PBR保障內(nèi)外網(wǎng)互聯(lián)安全

引言：當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入各個(gè)領(lǐng)域，在網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)時(shí)，內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)已經(jīng)普遍采取了隔離措施。但是，當(dāng)安全性提高的同時(shí)也就意味著放棄了某些便利性，例如在我們實(shí)際工作中有很多場(chǎng)景確實(shí)需要內(nèi)外網(wǎng)同時(shí)使用才能完成。

當(dāng)今計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)深入各個(gè)領(lǐng)域，它正在對(duì)人們的生活方式和工作方式產(chǎn)生著前所未有的影響。同時(shí)，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，人們對(duì)網(wǎng)絡(luò)知識(shí)的了解不斷深入，網(wǎng)絡(luò)上的攻擊行為變得越來(lái)越多，網(wǎng)絡(luò)與信息的安全重要性已經(jīng)不容忽視。

在這種形勢(shì)下，當(dāng)前在網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì)時(shí)，內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)已經(jīng)普遍采取了隔離措施。但是，當(dāng)安全性提高的同時(shí)也就意味著放棄了某些便利性，例如在我們實(shí)際工作中有很多場(chǎng)景確實(shí)需要內(nèi)外網(wǎng)同時(shí)使用才能完成。以醫(yī)院為例，內(nèi)網(wǎng)醫(yī)療設(shè)備的安裝調(diào)試、各類(lèi)程序升級(jí)、軟件的故障處理、遠(yuǎn)程會(huì)診，以及農(nóng)合、醫(yī)保、內(nèi)網(wǎng)病毒查殺等等都需要調(diào)取外部的數(shù)據(jù)，同時(shí)管理員的數(shù)據(jù)查詢(xún)匯總，軟件、網(wǎng)絡(luò)運(yùn)維與管理都有這樣的實(shí)際需求。

圖1 內(nèi)外網(wǎng)拓?fù)?/p>

接下來(lái)結(jié)合筆者的實(shí)踐經(jīng)驗(yàn)詳細(xì)介紹在內(nèi)外網(wǎng)邏輯隔離的情況下，利用策略路由Route-map工具在網(wǎng)絡(luò)核心層來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)的互聯(lián)互通。策略路由（PBR：Policy-Based Routing）提供了一種比基于目的地址進(jìn)行路由轉(zhuǎn)發(fā)更加靈活的數(shù)據(jù)包路由轉(zhuǎn)發(fā)機(jī)制。策略路由可以根據(jù) IP/IPv6 報(bào)文源的地址、目的地址、端口以及報(bào)文長(zhǎng)度等內(nèi)容靈活地進(jìn)行路由選擇，其優(yōu)先級(jí)比普通的路由高，這樣就可以按照網(wǎng)絡(luò)管理員的意愿針對(duì)部分感興趣的流量重新定義報(bào)文的轉(zhuǎn)發(fā)路徑，從而滿(mǎn)足其他一些特殊場(chǎng)景下的需求。

Route-map工具類(lèi)似于腳本語(yǔ)言，其中包含的“match”，“set”參數(shù)和編程中的“if”，“then” 語(yǔ)句很相似，對(duì)于有編程經(jīng)驗(yàn)的人員更容易理解，也即match到所需要的特定路由后再執(zhí)行相對(duì)應(yīng)的set操作。但此時(shí)需要注意區(qū)分以下兩種情況，情況1是“或”的關(guān)系，匹配到一個(gè)條目就會(huì)終止；而情況2是“與”關(guān)系，需要匹配全部條目，內(nèi)外網(wǎng)拓?fù)淙鐖D1所示。

情況1：

情況2：

下面開(kāi)始分別對(duì)內(nèi)網(wǎng)和外網(wǎng)進(jìn)行相應(yīng)的分析和配置。

內(nèi)網(wǎng)部分

以筆者單位為例，通常有各式各樣的服務(wù)器和眾多客戶(hù)端，多運(yùn)行 ospf、eigrp等內(nèi)部動(dòng)態(tài)路由協(xié)議，網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)較大，本文以核心層、匯聚層、接入層三層網(wǎng)絡(luò)拓?fù)錇槔?/p>

1.首先在內(nèi)網(wǎng)核心交換機(jī)上配置擴(kuò)展ACL，來(lái)匹配內(nèi)網(wǎng)特殊流量:

2.內(nèi)網(wǎng)核心上配置策略路由：

應(yīng)當(dāng)注意的是:在此處策略路由為set ip default next-hop而不是set ip next-hop，因?yàn)椴呗月酚傻膬?yōu)先級(jí)要比普通的路由高，原本的內(nèi)網(wǎng)ospf路由無(wú)法起到作用，從而導(dǎo)致使用該IP地址的客戶(hù)端會(huì)連接內(nèi)網(wǎng)服務(wù)器失敗。而加上default后會(huì)降低路由優(yōu)先級(jí)從而不會(huì)影響客戶(hù)端正常訪問(wèn)內(nèi)網(wǎng)服務(wù)器段的IP地址，保證了對(duì)內(nèi)網(wǎng)、外網(wǎng)的數(shù)據(jù)同時(shí)正常訪問(wèn)。

set ip next-hop可以設(shè)置下一跳IP地址，也可以設(shè)置數(shù)據(jù)包的出接口，建議設(shè)置為下一跳的IP地址。

3.在內(nèi)網(wǎng)核心設(shè)備上相應(yīng)的匯聚端口上應(yīng)用策略路由:

這里應(yīng)當(dāng)注意的是：策略路由一定要應(yīng)用到數(shù)據(jù)包的in方向接口，而不能應(yīng)用到數(shù)據(jù)包的out方向接口。因?yàn)椴呗月酚蓪?shí)際上是在數(shù)據(jù)包進(jìn)路由器的時(shí)候，強(qiáng)制設(shè)置數(shù)據(jù)包的下一跳，在out方向的接口，路由器已經(jīng)對(duì)數(shù)據(jù)包做完IP路由，把數(shù)據(jù)包從接口轉(zhuǎn)發(fā)出去了，因此此時(shí)out方向的策略路由并不生效。

4.在內(nèi)網(wǎng)其他部分上的配置

匯聚交換機(jī)DHCP配置：

外網(wǎng)部分

外網(wǎng)只滿(mǎn)足用戶(hù)互聯(lián)網(wǎng)、部分遠(yuǎn)程會(huì)診等需求客戶(hù)端相對(duì)較少，網(wǎng)絡(luò)結(jié)構(gòu)并不復(fù)雜，本文以核心層、接入層二層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為例，只需配置來(lái)自?xún)?nèi)網(wǎng)的返回靜態(tài)路由即可。

外網(wǎng)核心交換機(jī)配置：

經(jīng)過(guò)以上配置，內(nèi)網(wǎng)的192.168.10.98—99這兩個(gè)IP地址就達(dá)到了內(nèi)外網(wǎng)同時(shí)訪問(wèn)的目的。這對(duì)于在只有內(nèi)網(wǎng)處理問(wèn)題故障的管理人員來(lái)說(shuō)無(wú)疑是一件利器，有了外援的支持處理問(wèn)題自然也就迎刃有余了。相反，在外網(wǎng)核心配置策略路由也可以實(shí)現(xiàn)外網(wǎng)IP地址的外轉(zhuǎn)內(nèi)，同時(shí)又達(dá)到訪問(wèn)內(nèi)外網(wǎng)的需求。

當(dāng)用戶(hù)遇到有以下應(yīng)用場(chǎng)景時(shí)，策略路由會(huì)帶來(lái)更多的選擇和便利，同時(shí)策略路由只是Route-map工具應(yīng)用的其中一個(gè)方面，Route-map工具本身在路由重分布redistribute和邊界網(wǎng)關(guān)協(xié)議（BGP)中應(yīng)用也十分廣泛。

當(dāng)網(wǎng)絡(luò)中的匯聚與核心設(shè)備，或者是核心與出口路由器之間有多條鏈路互聯(lián)時(shí)，普通的路由表的負(fù)載或者主備的結(jié)果可能無(wú)法滿(mǎn)足需求，或者網(wǎng)絡(luò)中又引人了一些新的業(yè)務(wù)，這些網(wǎng)段在原先的網(wǎng)上設(shè)計(jì)時(shí)并沒(méi)有考慮到，而此時(shí)出現(xiàn)新的路由訪問(wèn)的需要，但是又不想去調(diào)整前期規(guī)劃的，復(fù)雜的OSPF路由控制選路的策略，此時(shí)就可以利用策略路由這種技術(shù)來(lái)針對(duì)這部分新的需求進(jìn)行一個(gè)重新的路由選擇，可以按照用戶(hù)的意愿選擇一條指定的鏈路轉(zhuǎn)發(fā)數(shù)據(jù)，而并不依賴(lài)于傳統(tǒng)的路由表。

還有另外一種常見(jiàn)的應(yīng)用場(chǎng)景就是核心到網(wǎng)絡(luò)出口設(shè)備有多臺(tái)路由器或者防火墻，其對(duì)應(yīng)的多家不同的運(yùn)營(yíng)商鏈路，比如聯(lián)通（100M），電信(50M），移動(dòng)(50M）等，此時(shí)用戶(hù)希望根據(jù)每臺(tái)鏈路的負(fù)載程度，帶寬利用率等情況來(lái)將內(nèi)網(wǎng)中的流量分流到這三條鏈路上，比如醫(yī)院各病房科室和其他醫(yī)院的遠(yuǎn)程會(huì)診全部走移動(dòng)專(zhuān)線出口，農(nóng)合、醫(yī)?？剖覕?shù)據(jù)全部走電信，行政后勤辦公、電教中心、多媒體等全部都走聯(lián)通，另外遠(yuǎn)程會(huì)診基于不同的業(yè)務(wù)類(lèi)型進(jìn)行分流，同時(shí)電信，聯(lián)通，移動(dòng)又彼此作為各自的鏈路故障時(shí)候的備份，起到冗余，如果用戶(hù)有這樣的組網(wǎng)需求，就可以考慮采用策略路由進(jìn)行選路，在達(dá)到內(nèi)外網(wǎng)互聯(lián)要求的同時(shí)又保證了網(wǎng)絡(luò)的安全性。