宽带IP专网规划和建设

摘要：该文通过宽带IP专网建设的具体实践，提出了一种新的IP网络专网建设应用的方式。利用通用的IP网络设备，低成本的建设IP专网，满足区域内各个行业的计算机网络现阶段专网联网的需要。

关键词：物理隔离；IP专网；IP规划；路由策略；投资费用

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)25-1401-03

Dedicated Broadband IP Network Planning and Construction

GAN Yun-fei

(Guangxi Broadcast Television Information Network Co., Ltd. of Yulin Branch, Yulin 537000, China)

Abstract: Through a broadband IP network building's concrete practice, a new IP network of the network construction of the way. Common use of the IP network equipment, low-cost construction of the IP network to meet the various sectors within the region of the computer network at this stage of the network interconnection needs.

Key words: physical isolation; IP network Dedicated; IP planning; routing strategy; investment costs

1 引言

安全是专网网络对于可用性的一个基本要求，规划和建设计算机信息系统，有相应的标准，国家保密局国保发[1998]1号、国国务院令（147号）、国家标准 GB 17859-1999、公安部GA/T 387-2002规定了相应的原则和标准。计算机信息系统联网采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。计算机系统安全保护能力等级分为：第一级：用户自主保护级；第二级：系统审计保护级；第三级：安全标记保护级；第四级：结构化保护级；第五级：访问验证保护级。

1.1 结构化保护主要防范策略

物理隔离： 所谓“物理隔离”是指内部网不直接或间接地连接公共网。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，物理隔离也为内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。

主要采用的形式：

1) 线路隔离：如光纤传输网；

2) 电路隔离：如SDH电路传输网、DDN电路传输网；

3) 逻辑隔离：如MPLS、VPN、VLAN专用网技术，访问控制技术。

1.2 物理隔离在安全上的作用

1) 在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网；同时防止内部网信息通过网络连接泄漏到外部网。

2) 在物理辐射上隔断内部网与外部网，确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。

3) 在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处理器等暂存部件，要在网络转换时作清除处理，防止残留信息出网；对于断电非遗失性设备如磁带机、硬盘等存储设备，内部网与外部网信息分开存储。

2 主要内容

有线电视网的改造，逐步实现了使用有线电视电缆Cable Modem和光纤以太网方式到小区的两种互联接入，可以为企事业单位及市民提供国际互联网接入服务。但为了满足区域内各个行业的计算机网络互联网接入、专网联网的进一步需要，必须构架IP城域网和传输专网。

2.1 专网组网方式

1) 通常的SDH传输组网方案：华为SDH传输方案做传输专网，投资（约300万元）。如图1。

每个用户端还需要添加基带调制解调器和路由器，约13000元。

2) IP宽带网组网方案：IP宽带网，骨干网络平台由核心骨干层和信息汇聚点组成，骨干层：由中心分前端和各县区分前端组成，每个分前端的传输带宽分别为1Gbps，交换机用华为公司的MA5200，核心路由器用华为公司的NE80，交换能力为160G,并可平滑扩容。边缘层：接入各光点单位和社区用户。边缘层交换机用华为公司的s2403，通过交换机可提供10M/100M和GE接口链路接入骨干层，对访问层提供各种速率的接口能力。如图2。

2.2 问题提出

由于实际的专网应用目前业务不多，SDH传输方案做传输专网的基础网络设备投资和用户端传输设备的投入相当大。有没有其它更省的，又能满足现阶段区域内各个行业的计算机网络专网联网需要的组网方式？

各种技术构架专网方式的费用比较（以200个单位组网计）：

■

VLAN+ACL IP专网：在用户端只需要添加1000元的光电转换器或50元的网卡；

光纤IP专网：在用户单位端只需要添加1000元的光电转换器；

DDN专网：在用户单位端需要添加共13000元的基带调制解调器和路由器；

比较可知VLAN+ACL IP专网是投资最节约、最灵活的方式。

经过分析设备的基本技术条件，与设备供应商华为公司和专网需求用户广泛交流，找到价格更便宜实用，专网需求用户能接受，又能符合国家公共安全行业标准的技术方案。

经过详细的技术剖析和严密的测试，实施的技术解决方案：采用IP网VLAN隔离技术+ACL路由策略控制技术构架专网，通过逻辑隔离的方式实现网络间的隔离 。这样实现的大型城域网专网组网方式，基本能满足现阶段区域内各个行业的计算机网络专网联网需要。

2.3 IP网络基本技术条件分析与方案实施

2.3.1 技术分析

用户端在接入端口可以通过VLAN做二层隔离， 同一台5200交换机可以对用户ARP转发控制隔离，ne80路由器可以对IP做ACL路由策略控制，作一定组合，在理论上是可以实现用户所需要的“专网”。

但要实现目标，还有相当多的问题。主要问题是MA5200自带的DHCP给用户分配IP是无序的，无法根据业务区分“专网” 用户和“公网” 用户，ne80对IP做ACL路由策略的控制就无法实现。经过详细的技术剖析DHCP报文内容和过程，可以这样解决：（以下先描述DHCP客户与服务器交换信息的流程）。

1) 客户端PC机会首先进行广播，它在本子网段内广播一个DHCPDISCOVER消息。BOOTP转发可以将这个消息传送到不在这个网段内的DHCP服务器上。

2) 每个有空闲地址的DHCP服务器都响应这个消息，在响应消息中包括了可用的地址，它的配置参数在DHCP选项中。

3) 客户将会接收到一个或多个服务器发来的地址和配置参数。当选择好了以后，客户广播DHCPREQUEST消息。 DHCPREQUEST消息在本网段广播，并通过DHCP/BOOTP转发向不同网段转发。如果客户在规定时间内没有收到任何服务器的回应，它会再次发送DHCPDISCOVER。

4) 许多服务器会接收到DHCPREQUEST广播，那些没有被选择的服务器把DHCPREQUEST视为拒绝包。那个被选择的服务器会记录这个地址已经有人用了，并以包含配置参数的DHCPACK包返回给客户。

5) 客户接收到包括配置参数的DHCPACK包，它对此参数进行最后一次检查，当没有发现冲突时客户才算真正配置好了。如果客户发现有人已经使用了这个地址，它需要向服务器发送DHCPDECLINE包，并重新开始配置过程，

6) 客户可以通过发送DHCPRELEASE包取消租用。

因此，如果用外挂DHCP服务器，代替5200自带的DHCP，把DHCP给用户分配IP的过程接管过来，控制和规划DHCP客户与服务器交换信息的流程，就可对用户有序地可规划地分配IP。经过比较和试验了几款DHCP服务软件，最终选用了cisco的dhcp服务软件（如图3），建立技术模型，进行了联调测试。

DHCP分配给5200交换机用户的IP可精确到S2016,S2403交换机终端VLAN端口：（例如）

interface virtual-template 2

ip address 10.3.0.1 255.255.192.0

dhcp server ip pc 192.168.0.10

bind vlan 12 181 210

bind vlan 12 300 303

portal-ip 192.168.0.9

exit

利用华为5200交换机的有些功能，对用户通过VLAN划分、认证控制分隔、IP规划，建立IP专网组，专网组内的终端设备可以访问前端服务器，其他组间数据不能访问、不能互通，5200交换机间的组的互联控制，由华为NE80路由器做ACL路由控制策略，实现用户接入的隔离和控制。

专网应用示意图（如图4）。

图4

2.3.2 方案实施

1) IP规划：每个有专网服务器接入的端口建立单独的虚模板，规划相应的IP地址段，静态IP地址段。其它终端用DHCP分配IP（用IP绑定到规划好相应的IP地址段）。

2) NE80路由器做路由控制策略。

rule-map zxtsl ip 10.2.0.0 0.0.63.255 10.2.128.0 0.0.63.255

（中心到分1）

rule-map sltzx ip 10.2.128.0 0.0.63.255 10.2.0.0 0.0.63.255

（分1到中心）

rule-map sltmy ip 10.2.128.0 0.0.63.255 10.2.64.0 0.0.63.255

（分1到分2）

rule-map mytsl ip 10.2.64.0 0.0.63.255 10.2.128.0 0.0.63.255

（分2到分1

rule-map zxtmy ip 10.2.0.0 0.0.63.255 10.2.64.0 0.0.63.255

（中心到分2）

rule-map mytzx ip 10.2.64.0 0.0.63.255 10.2.0.0 0.0.63.255

（分2到中心）

rule-map edu1 ip 10.3.0.0 0.0.255.255 any （教育到公众）

rule-map njw ip 61.232.66.0 0.0.0.255 any （农经到公众）

rule-map sbw ip 61.232.68.0 0.0.0.255 any （社保到公众）

acl global sltzx deny

acl global zxtsl deny

acl global zxtmy deny

acl global sltmy deny

acl global mytzx deny

acl global mytsl deny

acl global edu1 edu1f

acl global njw edu1f

acl global sbw edu1f

3) 5200交换机做认证控制隔离。

4) 2016，2403交换机做端口VLAN划分，不同专网接不同VLAN端口。

2.3.3 检查测试

用Sniffer软件检查数据包的情况，在用户端应没有其他专网网络的数据包。Ping其他专网网络的ip应不通。Ipscan对其他专网段地址进行搜索，应搜索不到其他专网段的主机。

2.3.4 要注意的问题

由于专网和公网共用同一接入层交换机，受交换机交换能力的限制，如果有用户使用流量特别大（如用户感染病毒发包），就会影响其他用户的使用。所以，要在网管设备中限制用户使用流量，在联网规划中控制用户接入的数量，最好有能统计监测用户使用流量的网管设备，选用有QOS保证的交换机。

3 应用情况

方案的原理特点，比较国家对信息安全控制的定位概念，IP传输专网通过逻辑隔离的方式实现网络间隔离 ，技术方案符合国家公共安全行业标准 GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》的要求，自主访问控制和强制访问控制达到第四级的结构化保护级。目前，在广西玉林市城域及到各个县市区联网的的玉林市农经专网、玉林市教育专网、玉林市社保专网的建网中，得到了应用。方案规划实施后，可以减少用户端传输设备（基带调制解调器和路由器）费用（每用户约13000元）。

参考文献：

[1] 范冰冰. 宽带IP网络构建技术[J].中山大学学报(自然科学版),2002(S1):24-27.

[2] 周晟楷. 宽带IP城域网络扩容优化及安全[J].长沙通信职业技术学院学报,2006(03):37-40 .

[3] 赖红辉. 宽带IP接入技术应用概述[J].电脑知识与技术(学术交流),2006，3(26)：39，71.

[4] 王霞. 关于宽带IP城域网构建和运营问题的研究[J].科技资讯,2006(35):250-251.