园区网网络安全的设计与实现

摘要

伴随着互联网技术的不断发展，各类企业、学校都组建了自己的园区网，人们的工作生活越来越离不开网络，但随之而来的网络安全问题也越来越严重，组建出性能优异且安全稳定的园区网络，已经成为当下网络建设的重要问题。

本项目基于稳定、安全和易于维护的原则，设计一个中大型园区网络，并在GNS模拟器中进行模拟实现。设计过程中，通过对园区网络的构建与安全防护进行综合分析，采用”模块化，层次化”的思想进行网络规划。首先按照三层网络架构，综合使用VLAN、MSTP、VRRP、链路聚合等技术，实现内网基本通信；然后使用ACL、防火墙等技术确保内部网络的安全。项目最终完成了所有网络设备的部署与参数配置，基本实现了网络通信、安全和管理等基本功能。通过测试，所设计的园区网络能够满足不同业务系统的网络需求，同时对于网络信息安全也有一定的保障。

　关键字：园区网络；网络规划；网络安全

第1章绪论

　　1.1研究背景及意义

在飞速发展的信息化社会中，通过网络来获取和交换信息已经成为当今主要的沟通方式之一，即便足不出户，也能做到知晓天下事；因此，群众对存储在网络中的信息安全意识日益增强。

对于园区网络来说，面对各种恶意扫描，网络攻击，如何保证网络数据安全成为备受关注的问题。就像习总X说的那样：“没有网络安全，就没有国家安全。”尤其是对于园区网络而言：”保小家才能护大家！”因此，如何组建出性能优异且稳定的网络，已经成为当前时期研发者需要解决的根本问题。

　1.2本项目研究内容

本项目是以某新建园区为研究对象，通过对其进行需求分析来研究如何组建网络稳定、环境安全且扩展性良好的园区网。

在网络建设过程中，严格按照三层网络架构来进行层次划分，根据层次不同选用不同的网络协议。如使用VLAN来对网络进行划分，VTP、MSTP对网络进行统一管理，DHCP中继实现接入的客户机能够自动接入网络。在网络安全方面，通过对端口信息检测，部署安全策略、防火墙、IPsec-VPN来对数据进行层层过滤，保护信息安全。

　第2章关键技术介绍

　　2.1路由与交换技术

　　2.1.1虚拟局域网技术

虚拟局域网(VirtualLocalAreaNetwork,简称VLAN)是在物理网络上划分出来的逻辑网络，其划分不受端口的实际物理位置限制，有着和普通物理网络同样的属性。二层的单播、广播、多播帧在一个VLAN内转发、扩散，而不会直接进入其他的VLAN之中。

按照IEEE802.1Q标准，可以将交换机端口设置为Access和Trunk模式，前者只属于一个VLAN，用于接入主机或其他网络设备；后者连接多个VLAN，可以透明传输交换上所有的帧，通过Trunk的数据会被打上不同的标签，用于相同VLAN之间的数据通信，不同VLAN之间想要通信就要借助于三层路由。

　2.1.2链路聚合

为了增强网络的可靠性，引入链路聚合，它是局域网中常用到的一种虚拟化技术手段，能够将网络设备之间的链路形成逻辑意义上的一条链路，通过部署负载均衡策略对通过的数据流量进行分配，如图2-1所示：

图2-1

294b30e92df2a855561ccc1f50f00523 　　对于接入各楼层的物理设备来说，可以使用堆叠的方式来实现设备的虚拟化，增强网络的稳定性，如图2-2所示：

图2-2

7d61746e1496e923a231fb4993eeed40 　　2.1.3多生成树技术

多生成树技术(MultipleSpanningTreeAlgorithmandProtocol,简称MSTP)具有RSTP的快速收敛机制，是基于实例(Instance)进行生成树计算，能够把VLAN映射到实例中，从而实现基于VLAN的数据分流；同时一个VLAN只能映射到一个实例中，一个或多个VLAN可以映射到同一个实例中，从而实现基于VLAN的负载均衡。

每个实例独立进行STP计算时，不同实例的根网桥可以不同，同一个端口在不同的实例中端口角色和状态也可以不同。如图2-3所示：

图2-3

b2039015f4814b352263bd2554384eb9 　　2.1.4OSPF

OSPF(开放最短路径优先)是IETE开发的基于链路状态的自治系统内部路由协议，它能够传播对端设备不具有的路由信息，实现网络迅速收敛，避免网络资源浪费；其工作过程主要经历四个阶段：寻找邻居->建立邻居管理->链路状态路由->计算路由。

OSPF工作过程如图2-4所示，其工作原理如下：

(1)通过发送Hello包与邻居建立邻居关系；

(2)运行ospf的路由器通过LSA同步到LSDB；

(3)每台路由器通过查看自己的路由表，为不同的流量选择最适合的路线。

图2-4

5054e569d198321df7530f58289a6213 　　2.1.5DHCP中继

为了增强网络的健壮性，在核心层部署DHCP中继协议，解决DHCP客户端不能跨网段获取IP地址的问题，这样做的优势是，可以在多个不同网络上的DHCP客户端使用相同的DHCP服务器，既节省成本，又方便对内部网络进行集中管控和维护。如图2-5所示：

图2-5

9738f750c7240b06486fbc2cb365206d 　　1.1.6VRRP

虚拟路由冗余协议(VirtualRouterRedundancyProtocol),是一种网关冗余协议，通过交互报文，把多台“路由器”虚拟为一台逻辑的“路由器”，主机把这台虚拟路由器设置为网关或者下一跳。由一台物理路由器承担网关的作用，一旦这台物理路由器失效，则由备份路由器自动承担网关的作用。如图2-6所示：

图2-6

2c2e26e9b989a3ba12471fce1ebd3001 　　其工作原理是：

(1)VRRP组(VRID)由多个路由器组成，属于同一VRRP组的VRRP路由器相互交换报文；

(2)虚拟路由器：有一个master和若干个backup组成，主机将虚拟路由器设置为网关；

(3)虚拟IP：虚拟路由器的IP地址；

(4)虚拟MAC：虚拟路由器拥有的虚拟MAC，虚拟路由器使用虚拟mac回应对虚拟IP的ARP请求；

(5)MASTER路由器：master路由器就是在VRRP组实际转发数据包的路由器；

(6)BACKUP路由器：backup路由器就是在VRRP组中处于监听状态的路由器，一旦MASTER路由器出现故障，backup就开始接替工作。

　2.1.7NAT

网络地址转换(NetworkAddressTranslationNAT)主要用来解决IPv4地址短缺问题，它能够把私有的内网地址(IP地址)转换成合法的公网地址，能够有效解决公网IP地址不足的问题。

通过在园区网的网关，即出口路由器上部署NAT，只需要申请一个合法的公网IP地址池，就可以把整个内网中的网络设备接入Internet中，内网中所有的网络节点使用的私有网络地址，当有数据通过NAT网关时，会将数据中的源

IP地址映射成为公网的IP地址。如图2-7所示：

图2-7

301ccabb9387f8d92da147ca98352844 　　2.2网络安全技术

　　2.2.1防火墙

在实际应用中，外网未经过任何安全策略就能够直接访问内部网络的话，就会带来严重的安全隐患，可能会遭受到恶意的入侵行为，更有甚者会对网络进行木马植入、病毒攻击，使得重要信息被窃取，甚至可能引起网络瘫痪。

面对入侵网络的恶意行为，在内网与外网之间部署的能够起到防御作用的网络设备，即为防火墙。它通常被放置在网络边界，是保护网络安全的第一道屏障。通过在防火墙上部署相应的安全策略，能够实现以下业务需求：

(1)实现对外部网络数据的安全隔离；

(2)内部网络安全管控；

(3)能够对访问内网的数据流量进行安全过滤；

(4)入侵防御；

(5)防御病毒。

对防火墙进行部署时，常常采用“三区域”的结构来对网络环境进行划分，如图2-8所示：

图2-8

d43475b489de4bc3367d4e3830bc7aa2 　　2.2.2VPN(数据安全)

VPN的建立无需使用物理线路，它是利用公共网络来构建的一条逻辑意义上的专用网络通道，为远程用户传输信息提供安全保障，且只有经过授权的用户才能使用。以下是VPN提供的三种主要功能：

(1)加密：在网络传输分组之前，发送方能对数据进行加密；即使有人窃听，也无法获取数据信息；

(2)数据完整性：接收方可检查通过Internet传输的过程中是否被修改；

(3)来源验证：接收方可验证发送方的身份，确保信息来源无误。如图2-9所示：

图2-9

1ee878f52c4beff01378ecf21b7c6e31 　　第3章园区网需求分析

　　3.1需求分析

目前，随着园区规模的不断扩大(已有员工600余人)，现有的网络规模及网络的基础设施已无法满足日益增长的业务需求。由于建设初期对网络性能考虑不周，且缺乏有效的园区规划，致使无法对园区网络进行有效的统一管理。网络中既存在单点故障导致网络可靠性降低，也存在未部署任何安全策略或安全设备来保证网络安全。缺乏有效的身份认证方法，用户可以随意接入网络，从而导致网络极易受到内部或外部扫描攻击，使得园区网络脆弱不堪。同时园区网络还存在以下问题：(1)低带宽，高延迟，园区网络中心各交换机设备陈旧，多数链路为百兆，无法满足网络数据流量日益增长的需要；

(2)接入层交换机仅仅是简单级联在一起，没有实现合理的网络划分，对于网络的扩容和维护管理有一定阻碍；

(3)原园区设计方案仅是使用了简单的树形拓扑，无冗余无备份，网络中心某个设备故障就可能导致园区内部整体网络瘫痪；

(4)对于广播流量没有进行很好的管控，也未对网络进行负载均衡，内部网络安全薄弱；内部如果出现恶意攻击，如ARP欺骗，将会造成大范围的网络故障；

(5)无法实现远程办公；

(6)未部署网络安全设备或网络安全策略，无法对经过的数据流量进行监管和防范。

　3.2网络设计需求分析

进行网络规划时，常常使用三层网络架构进行层次分析，使其能够深入的进行网络规划设计。对于复杂的网络结构，按照分层进行规划，能够保证业务需求的同时，也能分别对不同的层次进行扩容，加入不同的网络设备；为了提升园区网可靠性、降低园区网组网复杂度，园区网未来向虚拟化、扁平化方向发展，同层次交换机可以多台虚拟成一台。使其达到”化繁为简”的效果。以下是三层网络结构模型：

图3-1

3bb8924a8a5b2763c9d291978220c4a2 　　3.3网络设计目标

根据国家发布的《信息安全技术网络安全等级保护基本要求》为基础，明确园区网络建设应体现安全性、可靠性、可维护、可管理和易扩展性等特点。其中安全性和可靠性是网络建设的核心，但同时也要兼顾”功能第一，实用重点”的原则，去满足员工使用需求并能够满足未来业务增长需要。

为实现园区网的安全性和可靠性，需要对数据管理中心进行严控布局，目的是为了可以根据未来业务需求的发展，能够对设备进行升级和扩展的同时，还易于管理和维护，保证网络中心的正常运行，实现网络故障定位，诊断和维护等；具体设计如下：

(1)安全性：安全性是园区网络建设任务的重中之重，包括物理设备的安全控制以及对网络中数据流量的控制，需要配置安全策略来实现对园区网的安全管控；如：选用防火墙，ACL，IPsecvpn来实现。

(2)可靠性/可用性：可靠性是网络建设的核心，包括对关键链路的冗余，虚拟化和负载均衡；其中，关键设备均采用冗余的设计方案，每个层次均采用双机方式来进行部署，实现对网络的虚拟化；同时层与层之间采用冗余的方式，通过对网络设备进行配置实现网络的冗余及负载均衡；如VRRP，OSPF等。

(3)可维护性/可管理性：维护管理是网络运维的基础，需要对组建的网络进行细致规划，包含VLAN，MSTP，DHCP中继等，优秀的规划方案不仅能够大大缩短网络维护效率，也能够节省投入资金；如使用VLAN进行虚拟网络划分，VTP进行VLAN管理DHCP中继地址下发等。

(4)可扩展性：为业务发展的需求或者网络设备的接入提供功能基础。

　第4章园区网模块设计

　　4.1园区网络设计概述

此次项目基于现有园区网络综合布线结构，结合需求分析，对网络与安全防护进行重新设计部署，由简单的树形拓扑改变为星型拓扑，从而设计出适用于本园区的网络框架，为园区提供安全、稳定的网络环境；同时对相关物理网络设备进行模拟配置与调试，从而明确此园区网络设计方案的具体实施与部署细节。以下是本次项目规划的整体架构图：

图4-1

bdeb548071c76f2e927b587970cb22bb 　　在实际的项目应用中，还应考虑到网络的核心高可用性，主要包含以下几点：

(1)出口核心路由器、出口核心防火墙、网络管理中心核心交换机等均采用双网络设备，硬件上有冗余。同时进行设备双机部署，且互联链路冗余，在硬件和协议上达到了可靠稳定；

(2)根据实际情况，使用设备堆叠进行链路聚合，或者在链路多的情况下进行多链路捆绑的方式进行端口的二层或三层互联；

(3)出口设备采用直路部署接入网络。

　4.2模块化的网络设计方案

模块化设计主要是对内网进行部署，包括交换模块和路由模块。借助于三层网络架构来对内网中所有的网络设备及网络技术进行统筹管理，在核心层采用双冗余热备份结构连接核心交换机。在这种情况下，汇聚层和核心层的交换机都是双重热备份的。当处于工作状态的交换机出现故障时，处于等待状态的交换机立即转为工作状态，接替出现故障的交换机，从而保持网络通畅，实现网络设备之间的冗余备份，链路虚拟化及负载均衡，满足使用需求。如图4-2所示：

图4-2

a5e2e77f9f78416ebf38bdeffb65a90f 　　4.2.1交换模块设计

交换模块可以看作是底层网络框架的搭建，从划分VLAN-链路聚合-MSTP多生成树协议，都是为了给园区提供一个稳定，健壮的网络框架。

(1)VLAN

根据园区的组织结构，在每栋楼层放置二层交换机来接入网络设备，并按照楼层分布，部门人数及网络数据作为参考。对各部门进行VLAN划分，实现各部门之间的广播域隔离和数据安全。以下是划分VLAN的详细信息:

图4-3

233432c7391ea8b2b8a3e1bf1a7f4d3f 　　同时为了简化数据流量，通过VLAN中继协议(VTP)实现交换机之间的信息同步，处于VTP服务器模式的交换机还可以对域中的VLAN进行统一管理，实现对VLAN的添加、删除及重命名信息。如图4-4所示：

图4-4

ba3e89e1d46011bae09d59164302fd1e 　　(2)链路聚合

按照层次化的结构，VLAN所属接入层，汇聚层中的二层交换机通过802.1Q协议将上行链路通过链路聚合的方式接入核心层(三层交换机)，下行链路通过Access接入用户。

(3)MSTP

按照层次化结构的特点，底层各VLAN间的数据流量将会通过接入层交换机的Trunk口流向汇聚层，此时可以利用MSTP划分域的特性，将网络中产生的数据流量通过分组的方式传递给汇聚层的三层交换机，如图4-4所示；因其采用双设备管理模式，同层次之间的三层交换既实现了相互备份又实现了负载均衡，继而将分组后的流量交付给核心层的三层交换机，再通过其转发实现对数据流量的高速转发，实现内网间的网络通信。

　4.2.2路由模式

路由模块是为整个园区网络提供性能保障，它必须具有高可靠性和吞吐量千兆甚至万兆以上的可管理交换机来实现对数据的高速转发。

(1)OSPF

为了保证网络长期的可持续维护与更新，在组建网络时考虑到后期可能形成的大规模网络，可能会由于庞大的数据存储量而导致数据库溢出的情况，因此在汇聚和核心层的路由器上使用OSPF技术。这样做的好处是，OSPF能够将大型网络分割成若干各小型网络进行管理(即AS：autonomoussystem自治系统)，在分层的过程中可以实现区域隔离，隐藏内部区域，降低受其他路由区域错误路由信息的影响。

(2)VRRP

在实际的网络应用中，考虑到可能会由于网络震荡而导致的网关丢失从而致使网络连接中断，对此采用堆叠的方式将若干个路由器虚拟成逻辑意义上的一台设备，为接入主机提供虚拟的网关服务。这样做的好处是，虚拟组中的路由器有主备之分，主路由器负责数据分组的路由工作并为其下发网关，其余备份路由器则是备份状态，当网络发生震荡导致主路由器失效时，使其能够主动替换主路由器继续下发网关，保证网络稳定可靠。

(3)DHCP中继

为保证园区的后期发展，其网络功能必须具有良好的冗余性和可扩展性，依靠在相同网段内的DHCP服务器来完成对用户IP地址的下发会占据大量的数据资源，因此，在外部网段部署DHCP服务器，相同网段部署DHCP代理服务器来完成对用户请求IP地址的下发。如图4-5所示：

图4-5

82dea75dede84ba1fa56bd9a21c30995 　　4.3安全防护模块

安全防护模块主要是实现数据安全，根防护以及防火墙。其中数据安全是对内外网互访的数据进行加密，通过专门的虚拟网络通道完成对数据的传输；借助于OSPF协议，将面向用户连接的端口设置为边缘端口，通过对BPDU包的检测，能够防止一些恶意行为；在边缘端口处部署防火墙设备，实现对外网数据的筛选过滤，保护内网安全。

　4.3.1Failover故障防火墙

对于网络的安全性来讲，防火墙至关重要，内外网之间的通信都会经过防火墙进行数据转发，如果防火墙出现故障，便会直接导致内外网之间的通信全部中断。因此，为了避免因单点故障而导致的网络中断风险，在进行网络规划时，常常采用双防火墙或多台防火墙进行部署设计，提高网络的安全性，避免某台防火墙因故障问题导致网络崩溃。如图4-6所示：

图4-6

e3a86dc1fc75f218ac2c7f073b321a6a 　　这样做的目的是，通过在防火墙之间建立起一条专门的备份通道，用于两台防火墙之间协商主备状态，以及会话等状态信息的备份。当其中某台出现问题，另外一台能够立即生效。

　4.3.2VPN设计方案

为了实现用户的远程接入，此次项目使用IPSecVPN来进行部署，其具有以下两个主要的功能：

(1)身份认证头(AH):AH提供身份认证、完整性以及不可否认性；

(2)封装安全有效载荷(ESP):ESP提供了加密，从而能够保护传输数据的机密性。ESP在网络层(第3层)上工作，并且可以用在传输模式或隧道模式中。在传输模式中，对IP数据包数据进行了加密，但是对数据包的头部并没有进行加密。在隧道模式中对整个IP数据包都进行了加密，并且新的数据包头被添加至IP数据包，从而能够控制通过隧道进行的传输。

　总结

此次论文，是对指定的园区网络项目着手，对其网络环境进行合理划分，使用模块化，分层次的结构模型制定出设计方案。通过虚拟化，多样化的技术支持组建性能优异的组网环境，主要研究内容包含了网络系统与安全防护的实现。

以论文为参考对项目进行组建，其实现过程又从管理维护、安全性、稳定性及易扩展性等方面进行考虑。一方面将安全防护具体实施到各端口及各种安全设备，通过控制流量出入、配置安全策略及专用虚拟网络通道，保证数据在传输过程中的完整性及保密性，能够极大减少安全隐患；另一方面按照层次化的结构将各种网络设备及接入设备进行分层，按照设备所处层级的不同选用不同的协议并对关键的链路及设备进行虚拟化，增强网络系统的易维护性及健壮性，保证网络能够长期稳定的运行。

以论文为依据，在GNS3仿真模拟器上完成对项目的具体实施，但由于仿真模拟器包含镜像的局限性，导致整体网络性能不能够进一步优化与提升。

主要包含以下方面：

(1)未实现入侵检测；整体环境依靠防火墙设备及安全策略来实现，对内部信息不敏感，不能实现对计算机的实时监视及系统警报。

(2)未接入无线网络设备，移动端设备无法通过Accesspoint接入网络。

(3)本课题只是在虚拟环境下实现，可能与实际网络组建中存在技术上的偏差，只有在具体实施时才能验证其方案的真实可行性。

　参考文献

[1].北京启明.防火墙原理与实用技术[M].北京:电子工业出版社2022.

[2]王磊某数字化园区网络系统与网络安全的设计与实现[D]西安建筑科技大学2019530

[3].谢文娜.基于IPv4/IPv6双协议栈的企业园区网络设计与仿真[D].厦门大学

[4]潘学文基于HCL的企业网络规划与设计[D]湖南科技学院电子与信息工程学院2021627

[5]黄硕基于虚拟化和SDN技术的企业园区网络优化设计[D]山东:山东大学20151120

[6].赵毅.高校校园计算机网络设计与实现[D].重庆大学.2006

[7].戚文静，刘学.网络安全原理与应用(第二版)[M].中国水利水电出版社2013.2

[8].风继林，刘庆杰.计算机网络工程与实践[M].北京:清华大学出版社.2005

[9].苏胆.同一网络安全管理中心的设计与实现[D].西安:电子科技大学2015

[10].冯建飞.某集团网络系统与网络管理的设计与实现[D].成都:成都电子科技大学2012

[11].ChristosXenakis,LazarosMerakos.SecurityinthirdGenerationMobileNetworks.ComputerCommunications[M].2004.

[12].王隆杰，梁广民.思科网络实验室CCNP(交换技术)实验指南[M].北京:电子工业出版社.2012.5

[13].王隆杰，梁广民.思科网络实验室CCNP(路由技术)实验指南[M].北京:电子工业出版社.2012.3

[14].AndewS.TanenbaunmDavidJ,Weyherall.ComputerNetwork(5thEdition)[M]London:PrenticeHall2011:57-62

[15].牛凯延.某专用IP网网络设计与实现[D].成都:成都电子科技大学.2017

　致谢

此次项目及论文，也会力有不逮遇的时候，非常感谢老师的耐心开导，使我能在有限的时间内完成此次项目及论文，在此，我愿老师身体健康，阖家幸福。借用曾读到过一句话：所有的经历都是学习，无论严寒酷暑，无论喜悦或算出，于我而言都是礼物；所有相遇，都是宝藏。大学时光里的所有经历，或许做不到一生铭记，但绝对一生感恩。