集团专网是集团总公司及下属各企业之间进行信息交互,资源共享的重要平台。集团专网具有接入企业数量多,接入方式多样化等特点。因此,有效合理的网络规划及部署成为实现整体网络高效运转的唯一途径。
集团数据中心核心网络和下属企业局域网已遵循集团IT基础设施建设标准,按照层次化的网络结构分别进行实施和改造,保证集团公司及下属企业之间信息资源的获取和沟通。
数据中心在承接数据中心机房核心网络,集团专网的运维服务的过程中,发现尽管数据中心核心网络以及集团专网路由器已经按照既定规范进行了标准化的配置,但网络中仍存在非集团规划的私有地址。根据集团管信部及运维服务管理的要求,数据中心对未按要求使用的私有地址的问题出具整改建议。
二、潜在危害
集团专网作为大型网络,网内IP地址的合理规划和部署成为网络设计中的重要环节,将会直接影响到路由协议算法的效率。专网网络性能,安全性,可扩展性,可管理性甚至各类网络应用都与此有紧密的联系。
根据数据中心的运维经验,大型网络内使用私有IP地址存在以下危害:
地址混乱导致通讯失败:
一个IP网络中不应有两个主机采用相同的IP地址。如下属企业随意使用私有IP地址分配给用户主机,整体网络中产生地址重叠的可能性大大增加。一旦发生,将造成路由寻址错误,严重的可导致通讯失败,使企业内使用该地址的用户无法与专网内其他设备正常通讯。
降低整体网络性能:
使用私有地址导致地址不连续,地址在分层次结构的网络中不易于进行路径叠合,无法有效聚合路由表。当路由器寻址和路由表发生变动时,会导致路由算法的效率大大降低,企业专线网络设备和核心网络设备均会增加负荷,造成网络收敛速度慢,路由抖动时间长,路由成环的可能性增加。整体网络性能大大降低。
网络不易管理:
IP分配进行统一规划、实施,可实现对IP地址使用情况的自动统计,做到对IP地址资源的有效合理利用。看到一个地址可以大致判断出该地址所属的设备或实际使用者,每个地址段具有实际意义。不规范使用IP地址,不利于当网络中出现问题时对其迅速定位和及时解决,增加网络管理的复杂性。
确保私有地址信息不扩散到集团专网;
避免私有地址信息对核心网络系统产生不良影响;
私有地址不直接访问核心业务资源;
三、具体措施
1、确保私有地址信息不扩散到集团专网;
数据中心已与上述企业相关负责人联系并说明了整改方式,通过了解企业私有地址应用场景,私有地址使用人员等信息,合理建议企业如何减少私有地址的使用。对于确实暂时无法更改的企业,需将私有地址信息控制在企业局域网内部,保证其不扩散到集团专网中。
2、避免私有地址信息对核心网络系统产生不良影响;
通过技术手段,在数据中心广域网核心路由器中进行设置,使得集团专网中的私有地址路由信息无法通过核心路由器,传递到核心业务所在的网络区域。从而有效避免私有地址路由信息对核心网络系统产生潜在的不良影响。
3、私有地址不可直接访问核心业务资源;
在站点企业专线路由器上进行设置,应用网络地址转换(NAT)的技术,达到私有地址不可直接访问到核心业务资源的目的。
一对多转换 – 多个私有地址转换成为一个集团规划地址,访问核心业务资源;
一对一转换 – 一个私有地址转换成为一个固定的集团规划地址,不仅可以访问核心业务资源,也可被专网内其他用户访问;
在数据中心专线防火墙中设置访问策略,禁止以私有地址为源的地址段访问数据中心核心系统资源;
注:采用nat技术以后,虽解决了地址冲突和重叠的问题,但是访问的源地址将会被隐藏,的与行为审计,和溯源取证带来了不便利性,还请看到的朋友根据企业实际现状选择处理的方式。
屏蔽私有地址路由信息实施方法
1、在数据中心核心路由器上配置前缀访问列表,锁定被发现的私有网段;
2、在相对应的动态路由区域中,在入口方向添加此前缀列表;
3、前缀列表策略为禁止;
拓扑说明:
R1,R2,R3模拟专线站点接入环境,R2,R3为专线路由器,R1为企业内网三层交换机。运行在OSPF AREA 2;
R4,R5,R6模拟数据中心广域网核心接入环境,R4,R5为广域网路由器,R6为核心交换。运行在OSPF AREA 0;
R1广播172.16.0.0/24地址段,R2,R3配置前缀访问列表,禁止172.16.0.0/24路由信息进入AREA 0区域。
R4,R5,R6不接收172.16.0.0/24路由信息。完成路由屏蔽功能。
R2路由器配置:
R2(config)#do sh runn
Building configuration...
Current configuration : 1147 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Ethernet0/0
ip address 10.8.12.2 255.255.255.0
full-duplex
!
interface Ethernet0/1
ip address 10.8.24.2 255.255.255.0
full-duplex
!
interface Ethernet0/2
ip address 10.8.23.2 255.255.255.0
full-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
router ospf 1
router-id 2.2.2.2
log-adjacency-changes
area 0 filter-list prefix 10 in
area 0 filter-list prefix 10 out
network 10.8.12.0 0.0.0.255 area 2
network 10.8.23.0 0.0.0.255 area 0
network 10.8.24.0 0.0.0.255 area 0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
ip prefix-list 10 seq 5 deny 172.16.0.0/24
!
control-plane
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
End
R2路由表
R2(config)#do sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
1.0.0.0/32 is subnetted, 1 subnets
O 1.1.1.1 [110/11] via 10.8.12.1, 00:40:00, Ethernet0/0
2.0.0.0/32 is subnetted, 1 subnets
C 2.2.2.2 is directly connected, Loopback0
172.16.0.0/32 is subnetted, 1 subnets
O 172.16.0.1 [110/11] via 10.8.12.1, 00:40:00, Ethernet0/0
10.0.0.0/24 is subnetted, 8 subnets
C 10.8.12.0 is directly connected, Ethernet0/0
O 10.8.13.0 [110/20] via 10.8.12.1, 00:40:00, Ethernet0/0
C 10.8.23.0 is directly connected, Ethernet0/2
C 10.8.24.0 is directly connected, Ethernet0/1
O 10.8.35.0 [110/20] via 10.8.23.3, 00:40:11, Ethernet0/2
O 10.8.46.0 [110/20] via 10.8.24.4, 00:40:11, Ethernet0/1
O 10.8.45.0 [110/20] via 10.8.24.4, 00:40:13, Ethernet0/1
O 10.8.56.0 [110/30] via 10.8.24.4, 00:40:13, Ethernet0/1
[110/30] via 10.8.23.3, 00:40:13, Ethernet0/2
R2(config)#
R4路由器配置:
Building configuration...
Current configuration : 1035 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R4
!
boot-start-marker
boot-end-marker
!
no aaa new-model
memory-size iomem 5
!
ip cef
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
interface Loopback0
ip address 4.4.4.4 255.255.255.255
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
interface Ethernet0/1
ip address 10.8.24.4 255.255.255.0
full-duplex
!
interface Ethernet0/2
ip address 10.8.45.4 255.255.255.0
full-duplex
!
interface Ethernet0/3
ip address 10.8.46.4 255.255.255.0
full-duplex
!
router ospf 1
router-id 4.4.4.4
log-adjacency-changes
network 10.8.24.0 0.0.0.255 area 0
network 10.8.45.0 0.0.0.255 area 0
network 10.8.46.0 0.0.0.255 area 0
!
ip http server
no ip http secure-server
!
ip forward-protocol nd
!
control-plane
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end
R4路由表
R4(config-router)#do sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
4.0.0.0/32 is subnetted, 1 subnets
C 4.4.4.4 is directly connected, Loopback0
10.0.0.0/24 is subnetted, 6 subnets
O 10.8.23.0 [110/20] via 10.8.24.2, 00:41:13, Ethernet0/1
C 10.8.24.0 is directly connected, Ethernet0/1
O 10.8.35.0 [110/20] via 10.8.45.5, 00:41:13, Ethernet0/2
C 10.8.46.0 is directly connected, Ethernet0/3
C 10.8.45.0 is directly connected, Ethernet0/2
O 10.8.56.0 [110/20] via 10.8.46.6, 00:41:13, Ethernet0/3
[110/20] via 10.8.45.5, 00:41:14, Ethernet0/2
R4(config-router)#
关于具有全国范围的广域网企业,集中idc场景下,分支企业使用私有地址分布到ospf下的防范措施。
原文地址:http://blog.51cto.com/13769225/2120921