文/袁方成

需求分析

某市钢铁集团园区网络中，主要有以下需求：

1、网络主要承载的是生产业务，因此必须要求网络达到5个9的高可靠性，保证业务不中断；

2、除生产业务之外，网络中还有其他多种业务，如厂区生产控制信令、厂区办公流量、监控流量、网络管理流量、视频会议系统等；

3、生产网需要与监控网及办公网完全隔离；

4、各厂区的终端可访问本厂区的服务器及其他厂区的终端，但不能访问其他厂区的服务器；

5、生产网及办公网均可访问数据中心服务器，但只能访问与各自业务相关的服务器；

6、需对数据中心做重点防护，对网络中的攻击行为的类型及数量等进行统计并且生成相应的报表；

7、对网络中的攻击能够做到主动防御，并且能够将发起攻击的终端从网络中隔离，以免对网络造成负载。

根据上述需求，将主要针对以下三个方面来对整体网络进行规划：

1、 核心骨干网设计；

2、 功能隔离设计；

3、 网络安全设计；

核心骨干网设计方案

核心骨干网是整个网络的主要设计部分，该部分网络包括主办公楼、八个工厂汇聚和相应的接入层网络部分。整个网络采用典型的三层架构：

· 核心层：作为园区核心节点，两台核心交换机部署于厂区主办公大楼，交换机之间采用万兆链路互联，与各个汇聚层节点也通过万兆互联，同时使用千兆光口提供主办公大楼内的各个楼层交换机的接入，并在核心交换机上部署FW和Netstream板卡。

· 汇聚层：园区共有八个汇聚节点，每个节点对应一个生产工厂，各部署两台汇聚交换机，交换机之间采用双千兆链路互联，其与核心交换机之间以万兆链路为主、千兆链路备份的方式进行全互联，每台汇聚层交换机都配置一块Netstream板卡。

· 接入层：所有接入交换机通过两个千兆光口同汇聚交换机实现双链路相连，其中在主办公大楼的接入交换机同核心交换机直接相连；从网络性能出发，所有接入层采用千兆到桌面设计。

 http://www.h3c.com.cn/res/201008/27/20100827_1040250_image001_688042_30008_0.jpg
图1 核心骨干网拓扑图

如图1所示，汇聚节点与核心交换机之间、接入层与汇聚层之间全部采用双链路互联。考虑到汇聚交换机两条上行链路在某些情况下（如园区建设中的施工原因等）出现链路中断的可能，汇聚层再部署双环的架构，环上链路同样运行OSPF及MPLS，使得在主万兆上行与备份千兆上行同时断掉的情况下，可通过环网来保证业务的正常运行，实现高速的链路自愈能力。

各层设备的功能划分如下：

1．核心节点设备作为P设备，用于交换MPLS报文；

2．汇聚设备作为PE设备，维护VPN信息，与P设备进行MPLS转发，用于各分厂监控、管理、L2/L3等业务系统的VPN接入；^**

^**注： L2主要指生产控制信令及PLC等相关流量，L3主要指其他的网络业务如用户上网流量、一卡通、视频监控、视频会议及MES/ERP/OA等办公流量。

3．接入交换机作为CE设备，可通过VLAN进行二层隔离，通过VLAN Tag区分不同业务，同时与PE设备进行IP转发。 

功能隔离设计方案

结合上述需求，对园区网络的MPLS VPN规划如下，如表1所示。

1. 按业务类型将接入交换机的VLAN划分为L2 VLAN、L3 VLAN、监控VLAN、管理VLAN等。

2. 根据VLAN和业务情况，规划VPN虚拟组，包括L2/L3 VPN、L4 VPN（主要是访问互联网的流量，以方便对这些流量进行控制）、监控VPN、Internet VPN、服务器群共享VPN，管理VPN。并在网关交换机上确定每个端口所绑定的VPN。未绑定VPN的端口属于公网public（普通的交换机或未配置VPN的交换机，其IP地址和路由转发表都属于公网public），其中public只允许管理VPN进行访问，以保证只有管理VPN才能对设备进行配置管理。

3. L2/L3 VPN与L4 VPN、监控VPN、Internet VPN之间不能互访；

4. 对于L4生产区不能访问Internet、办公区能够访问Internet，有两种实现方式：

1) 将L4再细分为两个VPN，一个引入Internet缺省路由，一个不引入Internet缺省路由。此方式实现了生产区用户与互联网逻辑隔离，但增加了VPN的数量，适用于隔离和控制要求较高的场合；

2) 为L4 VPN引入Internet缺省路由，但在互联网出口通过ACL禁止生产区用户的访问。此方式实现相对简单，但需要生产用户和办公用户的IP地址规划比较清晰，适用于隔离和控制要求较小的场合。

5. 通过路由引入来实现L4 VPN与监控VPN的互通。将能够访问监控资源的用户IP地址，引入到监控VPN中，同时在L4 VPN中引入监控VPN的IP地址。也可以结合ACL，进一步控制L4 VPN对监控VPN的访问，防止非授权用户访问监控资源。互联网用户访问监控网络的实现与之类似。

6. 数据中心服务器群（OA/生产/MES/ERP）等属于共享VPN， L2/L3 VPN和L4 VPN只能访问与自己业务相关的服务器。

表1 VPN规划

通过严格的VPN划分，明确每个VPN所属的业务类型和可访问用户组，从而在实现安全隔离的基础上，进行业务、用户的访问权限控制、变更和审计，从而更加直观、有效的对网络访问权限进行管理，降低维护的复杂度。

网络安全设计方案

由于整个集团内部的生产控制信令及相关数据的采集，均会通过服务器传达，因此重点对服务器区域的安全防护进行规划。

http://www.h3c.com.cn/res/201008/27/20100827_1040251_image002_688042_30008_0.jpg
图2 网络及数据中心拓扑图

如图2所示，整个数据中心主要由服务器区及安全管理系统区构成。

安全管理系统区主要由进行网络管理相关的服务器（包括网管平台服务器，用户管理服务器，补丁服务器等）以及安全管理设备组成，这些设备同核心交换机通过千兆链路直接相连。

服务器区是集团各项业务系统后台数据库服务器的集中存放区域，该区域内所有服务器配置双网卡通过千兆链路连接到两台数据中心交换机上，实现链路的冗余可靠与业务传输的负载分担。两台数据中心交换机之间万兆互联，实现数据的高速传输；他们同核心交换机之间以万兆链路为主、千兆链路备份的方式实现全连接。由于服务器区包含了多种业务服务器，将数据中心交换机作为MCE设备，从而对各流量间的访问进行严格控制。同时在数据中心交换机上配置IPS及FW板卡等安全设备及响应管理设备，实现对整个数据中心的整体职能安全联动。

智能安全联动管理解决方案

智能安全联动管理解决方案集监控管理、分析管理、响应管理于一体，与网络中的安全产品、安全方案、网络设备、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。如图3所示，其主要组成设备为事件管理中心和响应管理控制中心，实现事件管理和响应管理的紧密结合。

http://www.h3c.com.cn/res/201008/27/20100827_1040252_image003_688042_30008_0.jpg图3 安全联动示意图

事件管理中心(SecCenter)：对全网安全事件的监控、采集、分析、关联、汇聚、报表报告展示；

响应控制中心（SCC）：安全事件与网管系统、用户管理系统的结合，描绘出安全拓扑，并且根据决策结果进行联动，进行强制下线，加入黑名单等操作。

为实现主动防御攻击并隔离网络中存在攻击的终端，主要部署以下安全设备，如图4所示。：

 http://www.h3c.com.cn/res/201008/27/20100827_1040253_image004_688042_30008_0.jpg

图4 安全设备部署示意图

管理服务器1：作为主管理服务器，对整网设备包括综合出口区、服务器区以及核心骨干网区域所有设备进行统一管理。

管理服务器2：安装终端准入控制组件，提供对整个网络中所有终端用户身份状态和安全状态的审核，以及准入控制管理，同时提供资产管理，防病毒联动，软件应用管理等功能，还提供对内网用户的访问行为进行统一管理功能。

管理服务器3：安装网络流量分析管理组件，收集核心交换机以及汇聚交换机上配置的专用网络流量分析板卡发送过来的基于NetStream协议的数据流进行分析，并生成相关分析结果，以报表或图形方式显示。

其他管理服务器：主要包含第三方服务器（如LDAP,WSUS,KV等），分别用于终端准入账号同步，windows补丁更新，防病毒软件检测及升级等功能。

安全管理中心：收集来自综合出口区、服务器区以及核心骨干网区域各种网络设备和安全设备发送过来的安全日志，进行安全攻击分析以及攻击关联分析。分析完成后，安全管理中心将分析结果发送到H3C iMC网管平台，通过EAD组件以及iMC设备管理实现对网络中设备和用户的安全联动管理，将不安全用户下线或者关闭相关联设备的接口。从而隔断存在攻击的终端设备与整个园区网络的联系，以免造成网络质量的下降。

总结

基于MPLS VPN的虚拟园区网解决方案，网络规划逻辑清晰，逻辑隔离性强，配置和维护工作量小；且在传统树形结构的基础上融入双环网的设计，保证了整个网络的高可靠性。本方案同时提出了整体安全架构，从局部安全、全局安全、智能安全三个层面，为用户提供一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体，为集团的各项业务了一种先进、易用、安全、便于维护的多业务虚拟化网络承载平台。