智能广域网在大型企业网络建设中的应用
发表时间:2020-04-14T07:09:09.894Z 来源:《中国电业》(发电)》2020年第1期作者:岳增显1 关猛2 [导读] 可用性,并使得分支机构的成本较低的网络架构方案,最终采用了智能广域网的解决方案。
烟台宝骏软件技术有限公司山东省烟台市 264000摘要:在大型企业的网络建设和管理中,面临多分支机构、多业务融合、复杂的流量和多变的流向,对网络的承载能力、保障能力等提出了新的挑战。
本文在探索研究网络前沿技术的基础上,集成了多个厂商的多个技术,规划和建设了具有适应性高、安全性高、架构开
放、易于扩展、且使用成本低的智能广域网。
未来,大型企业的网络规划和建设应该遵循“技术可行,经济合理”的基本原则,以促使智能广域网技术得以更广泛地应用。
关键词:智能广域网;大型企业;网络建设;应用
1导言
大型企业的网络建设方案大都采用了虚拟专用网络(VirtualPrivateNetwork,VPN),随着企业内部子网的增加和应用需求的增多,所需的网络设备和数据备份设备也会相应增多。
如果没有科学的规划,这些设备不仅造成购买和维护成本的增加,同时也会带来使用上的负担,比如接入网络的设备越多对带宽的需求就越大,从用户体验的角度看就是网速越来越慢。
智能广域网技术(IWAN)是一种新的组网方式,它可以在网络带宽不变的情况下,构建架构开放、编程灵活和易于扩展和维护的广域网,从而实现企业内部各节点之间高效的数据传输。
安徽省盐业总公司是隶属于安徽省国资委的大型国有企业,有17家市级盐业公司,71家县级公司。
从1999年开始,安徽省盐业公司借助于ISP骨干网络的专用链路建立了以VPN为纽带的企业局域网,并在此基础上运行了企业内部的ERP、OA等若干个管理系统。
随着业务的高速增长,现有的网络带宽难以满足工作的需求,且计划增加400多家乡镇级分支机构,这会对网络带宽及网络运营成本提出了更大的挑战。
为了能够找到比ISP专用链路成本更低,且能保障安全性、可用性,并使得分支机构的成本较低的网络架构方案,最终采用了智能广域网的解决方案。
图2 智能广域网构建的企业局域网
2智能广域网的架构
传统的大型企业总部与分支机构的网络连接如图1所示,分支机构与分支机构之间,分支机构与总部之间的数据链路为专用链路,如VPN等,而与互联网相连接的出口在一般在总部。
在图1的网络架构中,网络的安全访问控制措施都在总部部署和实施。
由于是专用链路,也就是私有链路,因此要为链路的使用付出较高的成本。
对于企业的长期经营而言,降低企业的网络成本就是寻求改进和提升的目标和动力。
为此,提出基于智能广域网的建设方案,其网络架构如图2所示。
在图2中,基于智能广域网来构建企业局域网,分支机构的流量通过虚拟的VPN通道传递到总公司,也就是说可以采用相同的安全架构,同时还可以得益于智能广域网的额外传输和边缘安全等优点。
智能广域网的优点有:1)独立于传输的连接。
智能广域网可以覆盖已有的VPN或DMVPN(动态多点虚拟局域网),并建立了一个带有路由搜索功能的网络,能够连接不同类型的局域网,并在不改变网络架构的环境中增加新的网络连接或者更改已有的网络连接。
2)智能路径选择。
智能广域网借助高性能路由器以及网络加速设备,平衡网络负载,充分利用可用带宽,使得业务数据能够快速、高效传递给企业内部和外部的用户。
智能路径传输是建立智能广域网的关键。
3)优化应用。
Http使得80端口和众多的端口不断重复使用,使得应用变得不透明,静态端口的使用不能满足需求。
智能广域网通过对数据包的深度检测,确定应用的性能,保证关键应用有适度的优先权或提供应用加速,在降低响应时间的同时降低对带宽的占用。
4)安全连接。
智能广域网通过各种防火墙和安全访问控制策略保证了连接的安全可靠,从而实现用户的流量保护。
由于分支机构直接接入互联网,分支机构会面临互联网的攻击和漏洞危害,主要有4个方面的安全问题:1)网络隔离;2)数据保密性和完整性;3)入侵和攻击防御;4)防数据泄露。
如何解决上述问题就是构建智能广域网的主要工作。
2主要问题的解决方案
2.1网络隔离
将网络分隔,检测它们之间的流量传输,确保子网之间没有流量泄漏。
本文的IWAN解决方案中,WAN到LAN的隔离是通过使用VRF 实现,而内部子网隔离是通过基于区域的防火墙软件实现。
2.1.1 WAN到LAN隔离
内网与外网隔离的目的是确保对内网访问的安全性,同时有效控制意外流量泄露。
由于运营商和企业使用各自独立的IP路由和编址方案,如果在分支路由器上混合使用这些方案,易造成数据包意外转发到错误的路由和网络,导致网络故障,甚至造成数据泄密。
内网和外网的隔离采用虚拟路由转发技术(VFR),VFR通过定义虚拟路由域,复制自己的路由协议和转发规则,从而将其作为自己的虚拟路由器,该方法可以消除路由攻击,减少内网和外网的IP冲突,降低内网流量外泄。
2.1.2 LAN中的子网隔离
内网可以根据区域、业务类型划分成若干子网。
子网隔离的目的是建立不同的网络安全区域,以便用相应的安全访问控制策略限制区域间的访问。
在基于区域的防火墙中,一个接入点只能属于一个区域,每个接入点都被定义成某个安全区域的成员,同一区域中的数据传输不受限制。
不同区域间数据传输需要制定策略,确保安全的跨区域访问。
2.2数据保密性和完整性
在智能广域网的架构中,各个分支机构都直接接入互联网,如果没有必要的措施,容易导致网络窃听、数据包劫持等安全问题。
在每个子网与互联网的接口处采用数字证书的公共密钥基础设施(PKI)。
PKI是一个具备较高安全性能的控制机制,专门用来对VPN对等体
进行身份的验证。
针对未经授权的设备伪装成VPN对等体,PKI能够识别准确识别,同时消除第三方攻击。
同时为了提高网络的安全性能,需要建设并维护企业自己的证书服务器,在向子网路由器授权安全证书时,要严格遵循证书颁发策略。
严格的证书管理制度能提高路由器的抗干扰能力。
2.3入侵和攻击防御
子网通过路由器接入外网后,就会直接受到攻击和入侵尝试。
这些攻击和入侵会导致路由器性能下降甚至瘫痪,并进一步感染连接到路由器的其他设备。
可以从两个方面来预防此类攻击。
2.3.1路由器安全保护
来自外部和内部的攻击都会导致路由器性能下降,甚至完全控制了路由器,对于路由器的保护采用以下方法:1)停止不必要的侦听端口,如HTTP等,避免这些端口被获取访问权限从而导致路由器瘫痪。
2)关闭纯文本接入模式,如Telnet。
3)在必要的接入点,开启身份接入验证。
4)对接入的子网数量进行控制。
2.3.2流量控制
分支机构的子网在接入外网后,路由器和有其连接的子网都需要保护,而对子网保护的一种有效方法就是流量控制。
流量控制就是将广域网接口的进入流量限制为仅为VPN的控制流量,也就是IPsecIKE流量。
同时,要允许来自重要设备和网络的管理流量进入网络,如
ICMP协议、DHCP协议和NTP协议等。
除此之外,禁止一切外部访问。
通过流量控制,基本能阻止恶意流量的入侵,而让来自指定IP的VPN流量和管理流量进入子网。
2.4防数据泄露
智能广域网中,需要针对数据泄露增加解决方案,本文采用了DLP(Dataleakageprevention)解决方案,其核心思想是设立中心站点,分支机构的数据流达到外网的唯一通道是通过中心站点,不允许分支机构有直接接入外网的流量,防止重要信息被有意或无意传到组织之外。
参考文献
[1]许文鹏,谭林,徐雪婧.基于低功耗广域网的智能电子手铐系统设计[J].中国安防,2019(10):98-102.
[2]李瑞,李春香,苏一丹,梅志林,罗富昌,马移星,余南华.新型低功耗广域网络LoRa技术在智能电网的推广应用研究[J].广州航海学院学报,2019,27(01):65-68.
[3]袁竹玲.智能电网环境下广域网通信系统的研究[J].网络安全技术与应用,2014(04):231+233.。