蘇州某倉(cāng)儲(chǔ)物流集團(tuán)目前在蘇州建有大型的倉(cāng)儲(chǔ)和物流中心, 并在昆山市玉山建有分支機(jī)構(gòu)。根據(jù)業(yè)務(wù)發(fā)展的需要, 需要在吳江市松陵和張家港市楊舍建立新的辦事處, 在建設(shè)分部的同時(shí)需要對(duì)蘇州總部的總部所在的網(wǎng)絡(luò)進(jìn)行安全升級(jí)加固。
當(dāng)前蘇州總部的網(wǎng)絡(luò)系統(tǒng)承載了公司的核心數(shù)據(jù)流業(yè)務(wù), 集團(tuán)的倉(cāng)儲(chǔ)物流管理系統(tǒng)WMS、辦公OA系統(tǒng)、ERP系統(tǒng)、CRM系統(tǒng)、EDI系統(tǒng)所構(gòu)成的數(shù)據(jù)中心均在蘇州總部, 目前蘇州總部的所有核心業(yè)務(wù)服務(wù)器系統(tǒng)及辦公網(wǎng)絡(luò)子系統(tǒng)、無(wú)線網(wǎng)絡(luò)子系統(tǒng)均下掛于兩臺(tái)Cisco 4948核心交換機(jī)。出口路由器使用兩臺(tái)Cisco 3825, 通過(guò)租用電信網(wǎng)絡(luò)和聯(lián)通網(wǎng)絡(luò)兩路鏈路接入Internet, 聯(lián)通鏈路為備份。核心交換機(jī)與出口路由器之間通過(guò)兩臺(tái)ASA 5520防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)流量的安全防護(hù)[1], 在ASA防火墻上劃分出DMZ區(qū), 供外網(wǎng)訪問(wèn)的企業(yè)Web門戶網(wǎng)站和郵件服務(wù)器均位于此區(qū)域[2]。總部的服務(wù)器中的B 2B系統(tǒng)實(shí)現(xiàn)和上游、下游企業(yè)之間的訂單數(shù)據(jù)接收和發(fā)送等功能。
玉山分部的工作人員可以通過(guò)廣域網(wǎng)專線遠(yuǎn)程訪問(wèn)蘇州總部的業(yè)務(wù)系統(tǒng), 玉山同時(shí)也作為總部的數(shù)據(jù)備份中心蘇州總部的業(yè)務(wù)中心的服務(wù)器中的新的數(shù)據(jù)按照要求定時(shí)轉(zhuǎn)發(fā)到玉山機(jī)房實(shí)現(xiàn)異地備份。
根據(jù)業(yè)務(wù)需求, 此次在吳江市松陵和張家港市楊舍兩處新建立的分部辦事處, 需要通過(guò)廣域網(wǎng)遠(yuǎn)程登錄公司網(wǎng)站訪問(wèn)總部?jī)?nèi)外網(wǎng)系統(tǒng)的數(shù)據(jù)。集團(tuán)希望這兩個(gè)辦事處員工從廣域網(wǎng)數(shù)據(jù)訪問(wèn)時(shí), 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)能夠提供高安全和較高的性價(jià)比。
考慮目前上游、下游企業(yè)之間的數(shù)據(jù)傳輸是通過(guò)廣域網(wǎng)實(shí)現(xiàn)的, 需要對(duì)這部分?jǐn)?shù)據(jù)實(shí)現(xiàn)必要的安全加固, 同時(shí)需要滿足企業(yè)負(fù)責(zé)人、部分信任合作企業(yè)服務(wù)器數(shù)據(jù)系統(tǒng)能夠直接訪問(wèn)位于ASA防火墻內(nèi)網(wǎng)的服務(wù)器系統(tǒng)。
網(wǎng)絡(luò)總體方案規(guī)劃主要包括廣域網(wǎng)方案和安全方案兩個(gè)大類的設(shè)計(jì), 設(shè)計(jì)方案的總體拓?fù)鋱D如圖1所示。
根據(jù)需求分析, 目前松陵、楊舍的辦事處規(guī)模及業(yè)務(wù)數(shù)據(jù)流量較小, 對(duì)于采用2M以上廣域網(wǎng)專線的方案雖然傳輸速率有保障但每年費(fèi)用較高, 故未采納。而目前電信ADSL或廣電CableModem網(wǎng)絡(luò)技術(shù)成熟且應(yīng)用范圍廣泛, 廣域網(wǎng)絡(luò)線路投資費(fèi)用較低, 更適合于松陵、楊舍這樣的小型辦事機(jī)構(gòu)[3]。
蘇州總部目前的出口路由器上行的廣域網(wǎng)是電信網(wǎng)絡(luò), 考慮到不同ISP網(wǎng)絡(luò)互訪存在訪問(wèn)速度不定的延時(shí)等問(wèn)題, 故建議在松陵、楊舍兩處采用電信的ADSL線路。出口路由器的方案實(shí)施考慮過(guò)兩種情形, 一種是用目前具備路由功能的ADSL產(chǎn)品作為基本路由器, 另一種是購(gòu)置專用路由器承擔(dān)路由的功能。考慮到今后辦事處后期業(yè)務(wù)的擴(kuò)展、語(yǔ)音等其他新業(yè)務(wù)數(shù)據(jù)的支持, 普通的路由型ADSL設(shè)備不能夠提供上述業(yè)務(wù)支持, 故此次采用思科2821路由器用于兩個(gè)新建辦事處的出口路由器設(shè)備。Cisco 2821作為工業(yè)級(jí)的分支機(jī)構(gòu)路由器, 較其他類型產(chǎn)品提供了更高的穩(wěn)定性和更大的擴(kuò)展性。
對(duì)于ADSL接口實(shí)現(xiàn)的問(wèn)題, 方案實(shí)施過(guò)程中也考慮過(guò)兩種情況, 第一種是在Cisco 2821路由器上加上WIC-1ADSL模塊, 讓路由器的WIC-1ADSL模塊接口直接接入電信POST;第二種是購(gòu)買專用橋接型ADSL設(shè)備, 路由器作為橋接型ADSL設(shè)備的下行設(shè)備, 由ADSL接入電信POST。這兩種方案都可以實(shí)現(xiàn)分支機(jī)構(gòu)通過(guò)線路訪問(wèn)但價(jià)格第二種占優(yōu)勢(shì)客戶在比較性價(jià)比后最終要求采用第二種方案ADSL設(shè)備選用了D-Link的DSL-2300E設(shè)備, 該產(chǎn)品支持ADSL2/ADSL2+, 在長(zhǎng)距離上可達(dá)到5.4公里傳輸距離, 可擁有更佳的覆蓋距離及范圍, 能夠滿足此次項(xiàng)目的需求。
對(duì)于松陵、楊舍辦事處訪問(wèn)蘇州總部安全性的需求, 及企業(yè)負(fù)責(zé)人、合作企業(yè)服務(wù)器系統(tǒng)需要從互聯(lián)網(wǎng)訪問(wèn)蘇州總部?jī)?nèi)網(wǎng)服務(wù)器的需求, 可以從總部的網(wǎng)絡(luò)系統(tǒng)上進(jìn)行安全數(shù)據(jù)加固配置或進(jìn)行網(wǎng)絡(luò)升級(jí)改造的方式來(lái)解決。
利用ASA 5520自帶的IPSecVPN功能[4], 可以為外網(wǎng)750個(gè)用戶提供基于IPSecVPN的并發(fā)連接, 但I(xiàn)PSecVPN需要在每個(gè)客戶端安裝客戶端軟件并進(jìn)行配置;如果使用ASA 5520的SSLVPN功能或購(gòu)買獨(dú)立的SSLVPN產(chǎn)品, 則需要額外的購(gòu)買費(fèi)用。根據(jù)當(dāng)前VPN訪問(wèn)對(duì)需求的滿足及兩種VPN方案費(fèi)用對(duì)比, 用戶建議傾向于利用ASA 5520自帶的IPSecVPN功能先行完成安全數(shù)據(jù)傳輸功能, 待以后業(yè)務(wù)發(fā)展網(wǎng)絡(luò)需升級(jí)時(shí)再行考慮SSLVPN[5]的部署??紤]到松陵、楊舍辦事處互聯(lián)網(wǎng)訪問(wèn)實(shí)際情況, 從對(duì)內(nèi)網(wǎng)的安全加固需要出發(fā)在Cisco 2821下掛一臺(tái)ASA 5510防火墻, 以實(shí)現(xiàn)對(duì)辦事處內(nèi)部的數(shù)據(jù)業(yè)務(wù)安全保護(hù)。
PPP協(xié)議作為廣域網(wǎng)協(xié)議擴(kuò)展了HDLC協(xié)議結(jié)構(gòu), 通過(guò)在數(shù)據(jù)包中提供LCP、NCP和數(shù)據(jù)幀的功能提供撥號(hào)連接、串行連接及DSL連接。
目前中國(guó)電信PPPoE網(wǎng)絡(luò)結(jié)構(gòu)原理如圖2所示, 以此次實(shí)施的方案為例, 分支機(jī)構(gòu)辦事處的分頻器下聯(lián)至ADSL設(shè)備和電話, 上聯(lián)到電信的DSLAM設(shè)備, 由DSLAM將低頻語(yǔ)言信號(hào)、高頻數(shù)字信號(hào)分別轉(zhuǎn)發(fā)到PSTN網(wǎng)絡(luò)和IP寬帶接入網(wǎng)。經(jīng)過(guò)RADIUS服務(wù)器驗(yàn)證用戶名和密碼的合法性后, 最后由BRAS/BAS計(jì)費(fèi)網(wǎng)關(guān)設(shè)備終結(jié)PPPoE數(shù)據(jù), 以后數(shù)據(jù)就通過(guò)IP城域網(wǎng)或IP骨干網(wǎng)轉(zhuǎn)發(fā)至目標(biāo)地。
類似于PPP協(xié)議, PPPoE協(xié)議會(huì)話也有建立和初始化鏈路階段, 但作為基于以太網(wǎng)的協(xié)議, 在初始化過(guò)程中增加了發(fā)現(xiàn)和會(huì)話階段。PPPoE協(xié)議的發(fā)現(xiàn)階段是為了識(shí)別DSLAM設(shè)備的MAC地址, 完成此步操作后CPE路由器就和DSLAM設(shè)備都獲取了建立連接關(guān)系所需的信息。PPPoE協(xié)議會(huì)話階段將協(xié)商PP-PoE的MRU凈載荷 (數(shù)據(jù)域) , 以太網(wǎng)的MTU為1500字節(jié), PPPoE的頭部6個(gè)字節(jié)和協(xié)議字段2個(gè)字節(jié)需要占用, 故MRU在CPE路由器上需要設(shè)置為1492個(gè)字節(jié)。
配置過(guò)程中, 首先在2821路由器上為PPPoE配置以太網(wǎng)接口, 此次分支機(jī)構(gòu)使用Gig0/0端口作為外網(wǎng)接口連接使用端口連接防火墻配置見(jiàn)圖3。
圖4表示了在2821設(shè)備上撥號(hào)器接口的配置。2821路由器作為CPE設(shè)備, 其外網(wǎng)撥號(hào)接口的地址IP需要由電信提供。其中PPP認(rèn)證采用的是PAP方式, ADSL驗(yàn)證所用的用戶名和密碼圖中用“*”號(hào)省略表示。由于Dailer0作為連接電信的邏輯接口, 需要配置缺省路由, 將路由器上的缺省目標(biāo)地址將都轉(zhuǎn)發(fā)到Dailer0接口。
2811路由器作為內(nèi)網(wǎng)和外網(wǎng)的連接設(shè)備, 需要通過(guò)NAT技術(shù)實(shí)現(xiàn)地址轉(zhuǎn)換以保證內(nèi)部網(wǎng)絡(luò)可以訪問(wèn)外部互聯(lián)網(wǎng), 配置中Gig0/1作為inside端口, Dialer0作為outside端口, Dialer0從電信所獲取的地址將用于內(nèi)網(wǎng)設(shè)備訪問(wèn)互聯(lián)網(wǎng)時(shí)源地址轉(zhuǎn)換, 配置如圖5所示。
VPN (VirtualPrivateNetwork) , 是在ISP提供的公網(wǎng)中通過(guò)提供一個(gè)安全和穩(wěn)定的隧道, 為數(shù)據(jù)流量建立一個(gè)臨時(shí)且安全的鏈路。VPN所建立的鏈路兩端沒(méi)有傳統(tǒng)的端到端的物理鏈路, 而是利用公網(wǎng)資源動(dòng)態(tài)建立實(shí)現(xiàn), 通過(guò)對(duì)數(shù)據(jù)加密、驗(yàn)證和身份識(shí)別等多種技術(shù), 在企業(yè)廣域網(wǎng)訪問(wèn)過(guò)程中實(shí)現(xiàn)高的安全和可靠性。
IPSec協(xié)議作為VPN技術(shù)中的一種, 提供了強(qiáng)大的安全、加密、認(rèn)證和密鑰管理功能, 其工作于三層協(xié)議, 可以直接傳輸網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包[6]。
遠(yuǎn)程接入客戶端的驗(yàn)證可以在本地, 也可以在AAA服務(wù)器中實(shí)現(xiàn)[4]??紤]到項(xiàng)目中的VPN客戶數(shù)目分類不多且訪問(wèn)對(duì)象單一驗(yàn)證工作就放在防火墻中執(zhí)行為張家港楊舍辦事處創(chuàng)建的賬號(hào)和分配的地址池如圖6所示。
ISAKMP (Internet安全關(guān)聯(lián)和密鑰管理協(xié)議) 作為IPsecVPN體系中的一種主要協(xié)議, 定義了VPN雙方建立, 協(xié)商, 修改和刪除安全連接的程序和信息包格式[7]。項(xiàng)目中ASA防火墻為遠(yuǎn)程訪問(wèn)的用戶配置ISAKMP階段1策略如圖7所示。
ASA防火墻中的變換集所體現(xiàn)的是安全協(xié)議和算法的一個(gè)特定組合, 該組合用于規(guī)定流量的安全策略。在IKE階段2必須完成建立動(dòng)態(tài)加密映射dynamic-map, 并在靜態(tài)映射map中引用動(dòng)態(tài)加密映射dynamic-map。該執(zhí)行過(guò)程如圖8所示。
篇幅所限, IPSecVPN創(chuàng)建過(guò)程中涉及的組策略、隧道組定義及和VPN有關(guān)的ACL等幾個(gè)部分不再此處一一列出。
為保證集團(tuán)網(wǎng)絡(luò)的安全可靠, 在總部及各個(gè)分支機(jī)構(gòu)的接入層交換機(jī)上配置交換機(jī)自動(dòng)學(xué)習(xí)MAC地址并做MAC地址綁定, 對(duì)連接終端的交換機(jī)接口一律配置為portfast以加速STP的收斂速度, 配置如圖9所示。同時(shí)在接入層和匯聚層交換機(jī)中啟用了基于VLAN、IP、端口的ACL安全訪問(wèn)控制, 以保證數(shù)據(jù)訪問(wèn)的安全可靠。
在上述安全實(shí)施的基礎(chǔ)上, 總部及玉山各自借助在本地網(wǎng)絡(luò)中一臺(tái)已架設(shè)Windows2003Server的服務(wù)器上啟用Radius服務(wù)器功能, 對(duì)所有進(jìn)入接入層交換機(jī)的數(shù)據(jù)流量進(jìn)行基于端口的802.1x認(rèn)證, 在提高安全認(rèn)證效率同時(shí)最大限度保證網(wǎng)絡(luò)安全性, 總部接入層交換機(jī)802.1x認(rèn)證配置如圖10、圖11所示。
該存儲(chǔ)物流集團(tuán)網(wǎng)絡(luò)改造實(shí)施后的廣域網(wǎng)和VPN技術(shù)滿足了企業(yè)日常業(yè)務(wù)數(shù)據(jù)需求。目前, 蘇州總部ASA 5520可以承擔(dān)750個(gè)并發(fā)IPSecVPN訪問(wèn), 如果以后VPN用戶數(shù)目超過(guò)這個(gè)范圍, 建議購(gòu)置專用的SSLVPN設(shè)備。玉山目前承擔(dān)總部數(shù)據(jù)備份工作, 考慮到今后業(yè)務(wù)數(shù)據(jù)流量增加, 可以考慮增加廣域網(wǎng)加速器在不擴(kuò)充廣域網(wǎng)鏈路帶寬的前提下可以有效提升廣域網(wǎng)數(shù)據(jù)傳輸效率。
權(quán)所有©:上海陽(yáng)合儲(chǔ)運(yùn)
專業(yè)承接上海倉(cāng)庫(kù)租賃、上海倉(cāng)儲(chǔ)配送物流、上海電商倉(cāng)儲(chǔ)企業(yè)服務(wù)與微笑同在"的先進(jìn)理念不斷發(fā)展壯大。