黃民聰 蘇健淵 梁曉昀

摘要：文章介紹了一種復(fù)雜智慧園區(qū)網(wǎng)絡(luò)有線無(wú)線雙網(wǎng)融合的網(wǎng)絡(luò)架構(gòu)，該架構(gòu)通過(guò)提供RADIUS服務(wù)、VPN實(shí)例數(shù)據(jù)隔離和防火墻，實(shí)現(xiàn)了統(tǒng)一的RADIUS身份認(rèn)證，為網(wǎng)絡(luò)提供了業(yè)務(wù)隨行能力。此外，該架構(gòu)還基于用戶角色授權(quán)訪問(wèn)對(duì)應(yīng)的網(wǎng)絡(luò)資源，為不同的業(yè)務(wù)需求提供數(shù)據(jù)隔離，從而提高了網(wǎng)絡(luò)安全的防范能力。

關(guān)鍵詞：RADIUS認(rèn)證；業(yè)務(wù)隨行；數(shù)據(jù)隔離

中圖分類號(hào)：TP393? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）07-0086-03

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）

0 引言

隨著信息化技術(shù)的不斷發(fā)展，智慧園區(qū)網(wǎng)絡(luò)的功能日益完善、結(jié)構(gòu)日趨復(fù)雜、規(guī)模不斷擴(kuò)大。為滿足不同業(yè)務(wù)需求，智慧園區(qū)網(wǎng)絡(luò)需同時(shí)支持無(wú)線和有線兩種網(wǎng)絡(luò)接入方式。為確保數(shù)據(jù)安全，需為不同的用戶接入組分配相應(yīng)的資源訪問(wèn)權(quán)限，并禁止無(wú)授權(quán)用戶訪問(wèn)數(shù)據(jù)[1]。此外，為更好地開(kāi)展業(yè)務(wù)，網(wǎng)絡(luò)設(shè)備的接入地點(diǎn)不應(yīng)受限，這對(duì)網(wǎng)絡(luò)的靈活性提出了更高要求。因此，基于結(jié)構(gòu)化設(shè)計(jì)，我們提出了一種網(wǎng)絡(luò)架構(gòu)，該架構(gòu)可實(shí)現(xiàn)業(yè)務(wù)隨行、資源授權(quán)共享和統(tǒng)一安全認(rèn)證，提供一種智能、無(wú)感、泛在的網(wǎng)絡(luò)接入能力。

1 智慧園區(qū)網(wǎng)絡(luò)需求

1） 提供有線接入網(wǎng)絡(luò)能力，實(shí)現(xiàn)數(shù)字資源的授權(quán)訪問(wèn)。可根據(jù)業(yè)務(wù)需求設(shè)置不同部門之間的網(wǎng)絡(luò)訪問(wèn)權(quán)限，以保護(hù)敏感數(shù)據(jù)的安全。

2） 提供無(wú)線接入網(wǎng)絡(luò)能力，無(wú)線網(wǎng)絡(luò)應(yīng)分為內(nèi)部員工網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)。為確保數(shù)據(jù)安全，訪客網(wǎng)絡(luò)僅限訪問(wèn)外網(wǎng)，與內(nèi)部有線、無(wú)線網(wǎng)絡(luò)隔離，無(wú)法訪問(wèn)內(nèi)部數(shù)據(jù)中心資源。

3） 實(shí)現(xiàn)業(yè)務(wù)策略與IP地址的解耦，集中管理用戶信息和策略。用戶應(yīng)能從園區(qū)網(wǎng)絡(luò)中的任意位置、任意VLAN、任意IP網(wǎng)段接入，并始終控制其網(wǎng)絡(luò)訪問(wèn)權(quán)限，以實(shí)現(xiàn)業(yè)務(wù)隨行能力。

4） 注重網(wǎng)絡(luò)安全。所有訪問(wèn)Internet或進(jìn)入園區(qū)網(wǎng)絡(luò)的數(shù)據(jù)必須經(jīng)過(guò)防火墻過(guò)濾，滿足安全策略后才可放行。數(shù)據(jù)敏感的業(yè)務(wù)部門不得上外網(wǎng)。內(nèi)部員工無(wú)線網(wǎng)絡(luò)僅限訪問(wèn)數(shù)據(jù)中心的部分服務(wù)。

2 智慧園區(qū)網(wǎng)絡(luò)方案設(shè)計(jì)與驗(yàn)證

智慧園區(qū)網(wǎng)絡(luò)分為三層架構(gòu)：接入層、匯聚層和核心層。接入層負(fù)責(zé)終端設(shè)備（有線和無(wú)線設(shè)備）的接入，不涉及業(yè)務(wù)VLAN，數(shù)據(jù)通過(guò)網(wǎng)絡(luò)設(shè)備的默認(rèn)VLAN 1進(jìn)行傳輸；匯聚層作為有線業(yè)務(wù)網(wǎng)段的網(wǎng)關(guān)，通過(guò)三層協(xié)議轉(zhuǎn)發(fā)數(shù)據(jù)至核心層，同時(shí)匯聚層也是RADIUS準(zhǔn)入認(rèn)證的開(kāi)始節(jié)點(diǎn)；核心層是內(nèi)部無(wú)線和外部無(wú)線業(yè)務(wù)的網(wǎng)關(guān)，為有線和無(wú)線業(yè)務(wù)提供HDCP服務(wù)，連接數(shù)據(jù)中心、防火墻和網(wǎng)絡(luò)出口，并根據(jù)需求策略進(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)。

2.1 接入層部署

1） 有線設(shè)備接入。為了滿足業(yè)務(wù)隨行的需求，準(zhǔn)入認(rèn)證在匯聚設(shè)備上進(jìn)行。因此，接入層數(shù)據(jù)通過(guò)設(shè)備默認(rèn)VLAN 1進(jìn)行傳輸，無(wú)需額外配置業(yè)務(wù)VLAN。接入層的主要職責(zé)是連接終端設(shè)備和放行無(wú)線管理VLAN 100。

2） 無(wú)線設(shè)備接入。無(wú)線網(wǎng)絡(luò)采用AC+FIT AP模式，其中AP無(wú)需進(jìn)行配置。AC管理AP時(shí)采用隧道模式，需要確保AC到AP的管理鏈路暢通無(wú)阻。在接入層，需要將接入AP的交換機(jī)端口配置為Access模式，并將PVID設(shè)置為VLAN 100。同時(shí)，從接入層到匯聚層、匯聚層到核心層以及核心層到管理AC的鏈路，都應(yīng)設(shè)置為trunk模式，并放行管理VLAN 100。

2.2 匯聚層部署

1） 有線業(yè)務(wù)網(wǎng)關(guān)配置。匯聚設(shè)備T1_AGG1和T2_AGG2被配置為對(duì)應(yīng)有線業(yè)務(wù)VLAN的網(wǎng)關(guān)設(shè)備。有關(guān)有線業(yè)務(wù)VLAN的劃分和IP地址規(guī)劃，如表1所示。

2） DHCP中繼配置。為了簡(jiǎn)化管理，我們將有線和無(wú)線業(yè)務(wù)的DHCP服務(wù)統(tǒng)一部署在核心設(shè)備上。因此，匯聚設(shè)備需要配置為DHCP中繼模式，其中，dhcp relay interface應(yīng)指向核心設(shè)備上提供DHCP服務(wù)的接口，匯聚層設(shè)備本身不提供DHCP服務(wù)。

3） 匯聚核心上行互聯(lián)鏈路配置。由于匯聚設(shè)備擔(dān)任業(yè)務(wù)VLAN的網(wǎng)關(guān)角色，匯聚層與核心層之間通過(guò)三層協(xié)議進(jìn)行數(shù)據(jù)交互。T1_AGG1和T2_AGG2將分別創(chuàng)建VLAN 208和209作為匯聚與核心之間的互聯(lián)VLAN。相關(guān)鏈路端口需配置為允許對(duì)應(yīng)VLAN的數(shù)據(jù)通過(guò)。

2.3 核心層部署

1） 無(wú)線業(yè)務(wù)網(wǎng)關(guān)。核心層設(shè)備充當(dāng)內(nèi)部無(wú)線和外部無(wú)線業(yè)務(wù)的網(wǎng)關(guān)角色。無(wú)線業(yè)務(wù)的VLAN劃分和IP地址規(guī)劃詳細(xì)信息如表2所示。

2） 業(yè)務(wù)數(shù)據(jù)隔離。為了保障內(nèi)部數(shù)據(jù)的安全性，我們?cè)诤诵膶觿?chuàng)建了兩個(gè)VPN實(shí)例。有線網(wǎng)段和內(nèi)部無(wú)線網(wǎng)段專為內(nèi)部員工使用，綁定在“Employee”實(shí)例中；而外部無(wú)線網(wǎng)段則供外部訪客使用，綁定在“Guest”實(shí)例中。未綁定實(shí)例的區(qū)域被定義為公共區(qū)域，用于與出口路由器X_Export1和X_Export2的連接。通過(guò)這種VPN實(shí)例的劃分方式，我們實(shí)現(xiàn)了內(nèi)部與外部數(shù)據(jù)的有效隔離。

3） DHCP服務(wù)。核心層為所有有線和無(wú)線業(yè)務(wù)網(wǎng)段提供DHCP服務(wù)。在核心層，我們需要為每個(gè)VLAN網(wǎng)段創(chuàng)建相應(yīng)的DHCP地址池，并將這些IP地址池綁定到對(duì)應(yīng)的VPN實(shí)例中。提供DHCP服務(wù)的接口應(yīng)選擇全局模式。

4） 數(shù)據(jù)互聯(lián)。核心層作為整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)中心，根據(jù)業(yè)務(wù)需求，我們?cè)O(shè)置了相應(yīng)的訪問(wèn)策略，確保數(shù)據(jù)在匯聚層、防火墻、數(shù)據(jù)中心、網(wǎng)絡(luò)出口以及無(wú)線控制器AC之間的高效傳輸。核心層與各個(gè)設(shè)備之間通過(guò)VLAN進(jìn)行互聯(lián)。具體的互聯(lián)VLAN及IP地址劃分詳見(jiàn)表3。

5） 敏感訪問(wèn)操作通過(guò)防火墻轉(zhuǎn)發(fā)。由于無(wú)線業(yè)務(wù)暴露于外部空間，存在被黑客破解的風(fēng)險(xiǎn)。為了保障數(shù)據(jù)中心的安全，需降低無(wú)線業(yè)務(wù)的訪問(wèn)權(quán)限。當(dāng)無(wú)線業(yè)務(wù)需要訪問(wèn)數(shù)據(jù)中心時(shí)，必須先將無(wú)線流量轉(zhuǎn)發(fā)至防火墻進(jìn)行過(guò)濾，只有滿足訪問(wèn)策略的數(shù)據(jù)才能進(jìn)行數(shù)據(jù)訪問(wèn)。

內(nèi)部無(wú)線訪問(wèn)數(shù)據(jù)中心網(wǎng)段數(shù)據(jù)繞防火墻轉(zhuǎn)發(fā)：使用ACL（訪問(wèn)控制列表）匹配源IP地址為內(nèi)部無(wú)線網(wǎng)段，目的IP地址為數(shù)據(jù)中心網(wǎng)段。匹配完成后，在VLANIF 51-55接口進(jìn)行重定向，將下一跳IP地址指向防火墻。

數(shù)據(jù)中心網(wǎng)段返回內(nèi)部無(wú)線網(wǎng)段繞防火墻轉(zhuǎn)發(fā)：使用ACL匹配源IP地址為數(shù)據(jù)中心網(wǎng)段，目的IP地址為內(nèi)部無(wú)線網(wǎng)段。匹配完成后，在VLANIF 60接口進(jìn)行重定向，將下一跳IP地址指向防火墻。

由于外部無(wú)線已綁定在Guest實(shí)例，而數(shù)據(jù)中心網(wǎng)段綁定在Employee實(shí)例，兩者之間數(shù)據(jù)已形成隔離，因此無(wú)需對(duì)外部無(wú)線網(wǎng)段進(jìn)行數(shù)據(jù)的重定向[2]。

2.4 無(wú)線AC控制器部署

AC使用隧道模式管理無(wú)線AP，VLAN 100作為管理VLAN。核心層、匯聚層和接入層交換機(jī)鏈路需要放行VLAN 100，以確保AC到AP之間的管理隧道暢通[3]。

分別創(chuàng)建Employee（51-55） 和Guest（101-105） VLAN池，并將VAP配置文件綁定到對(duì)應(yīng)的VLAN地址池。

2.5 防火墻部署

由于核心設(shè)備存在Employee和Guest兩個(gè)VPN實(shí)例，防火墻也需要相應(yīng)創(chuàng)建兩個(gè)虛擬防火墻。一個(gè)虛擬防火墻（Employee） 負(fù)責(zé)接收有線業(yè)務(wù)和內(nèi)部無(wú)線業(yè)務(wù)數(shù)據(jù)，另一個(gè)虛擬防火墻（Guest） 負(fù)責(zé)接收外部無(wú)線業(yè)務(wù)數(shù)據(jù)。通過(guò)虛擬防火墻，我們可以為不同業(yè)務(wù)的數(shù)據(jù)設(shè)置不同的訪問(wèn)權(quán)限。

2.6 園區(qū)網(wǎng)內(nèi)部OSPF多進(jìn)程多區(qū)域路由設(shè)計(jì)

鑒于園區(qū)網(wǎng)內(nèi)存在Public、Employee和Guest三種相互隔離的流量，我們?cè)O(shè)計(jì)了基于多進(jìn)程多區(qū)域的OSPF路由來(lái)解決流量間的數(shù)據(jù)隔離問(wèn)題。Public區(qū)域的網(wǎng)段使用OSPF進(jìn)程1，Employee區(qū)域的網(wǎng)段使用OSPF進(jìn)程2，Guest區(qū)域的網(wǎng)段使用OSPF進(jìn)程3。具體的區(qū)域劃分詳如表4所示。

核心T1_Core上的OSPF鄰居關(guān)系如圖2所示。

2.7 業(yè)務(wù)隨行部署

為了滿足業(yè)務(wù)隨行的需求，在接入層，流量默認(rèn)通過(guò)設(shè)備VLAN 1進(jìn)行傳輸。而在匯聚層設(shè)備中，會(huì)啟動(dòng)RADIUS協(xié)議準(zhǔn)入認(rèn)證。匯聚層通過(guò)RADIUS協(xié)議與數(shù)據(jù)中心的認(rèn)證系統(tǒng)進(jìn)行AAA準(zhǔn)入認(rèn)證，通過(guò)認(rèn)證的用戶可以享受設(shè)備上線、使用計(jì)時(shí)和計(jì)費(fèi)等功能[4]。后臺(tái)系統(tǒng)根據(jù)準(zhǔn)入認(rèn)證的賬號(hào)，為用戶分配相應(yīng)的IP地址和業(yè)務(wù)資源組訪問(wèn)權(quán)限，從而有效杜絕非法接入。對(duì)于合法接入的認(rèn)證用戶，系統(tǒng)能夠?qū)崿F(xiàn)用戶角色和網(wǎng)絡(luò)資源訪問(wèn)權(quán)限的精準(zhǔn)分配，確保關(guān)鍵敏感數(shù)據(jù)不受非法訪問(wèn)。此外，設(shè)備接入不受地點(diǎn)限制，實(shí)現(xiàn)了業(yè)務(wù)隨行。采購(gòu)部通過(guò)準(zhǔn)入認(rèn)證的流程如圖3所示。

3 總結(jié)與展望

本文提出了一種在復(fù)雜智慧園區(qū)網(wǎng)絡(luò)環(huán)境下，基于RADIUS認(rèn)證實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)隨行的設(shè)計(jì)方案。在核心層設(shè)備中，采用VPN實(shí)例方式隔離內(nèi)部員工流量和外部訪客流量。用戶訪問(wèn)資源由防火墻安全策略進(jìn)行控制，從而確保了一定的網(wǎng)絡(luò)安全與防護(hù)。鑒于當(dāng)前網(wǎng)絡(luò)安全面臨的多樣化威脅和嚴(yán)峻形勢(shì)，單一手段難以實(shí)現(xiàn)理想的防護(hù)效果。因此，需要綜合運(yùn)用多種技術(shù)手段，以構(gòu)建更為有效的網(wǎng)絡(luò)安全防范措施[5]。

參考文獻(xiàn)：

[1] 鐘機(jī)靈，劉朝陽(yáng).高校無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)有機(jī)融合建設(shè)研究[J].信息通信，2020（7）：67-69.

[2] 馬崢，張銳.校園無(wú)線網(wǎng)絡(luò)優(yōu)化方法研究與實(shí)踐[J].信息技術(shù)與信息化，2021（3）：182-184.

[3] 沈勁桐.校園WLAN網(wǎng)絡(luò)優(yōu)化研究與應(yīng)用[J].中國(guó)新通信，2020，22（13）：109-110.

[4] 趙志平.網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)在企業(yè)中的應(yīng)用分析[J].科技創(chuàng)新與應(yīng)用，2018（35）：185-186.

[5] 莫新建.網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)探索[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（5）：10-11.

【通聯(lián)編輯：代影】