终结者远程监控软件

88RADIO&TVJOURNAL

2020.03

技术改造

一、引言

随着信息化事业的迅猛发展，越来越多中小型企事

业单位信息系统对网络资源提出了更高的要求，如何更

好地优化现有网络资源已成为运维工作关注的重点。全

区无线发射台站远程监控系统核心网络承载了信息系统

所有业务的流量，对远程监控业务的健康运行起着至关

重要的作用。本文以该套网络系统为例，对其展开分析、

优化。

二、需求分析

核心网络的优化需根据具体业务需求，从安全性、

可靠性、高效性几个角度出发，分析现有网络存在的劣

势，为新架构设计提供目标。

（一）缺少冗余链路

现有网络结构的核心交换机、路由器存在单机运行

的情况，如图1所示，原网络架构中缺少必要的在线冗

余链路作为保障，容易因单点故障，造成核心业务中断。

（二）缺乏负载均衡机制

由于主要业务缺乏冗余链路，无法实现负载分担。

当突发流量过大时，核心区域设备容易因过载无法快速

完成转发任务，造成网络丢包、延时，从而给信息系统

用户带来负面体验。

（三）区域划分不明确

现有的核心网络划分为核心区域、服务器区域、终

端区域、运维区域，存在区域划分重叠和混淆的问题。

一方面，服务器区域同时存在承载业务系统的服务器设

远程监控系统核心网络架构分析与优化

李峻宁黄贤彬

（广西广播电视无线传播枢纽台）

摘要：为解决中小型企事业单位核心网络所面临的容量、可靠性、安全性不足的问题，本文以无线发射台站

远程监控核心网络为例，分析现有网络存在问题，结合MSTP、VRRP、策略路由、包过滤等技术，为该类型网

络提供了一套优化方案。

关键词：MSTP；VRRP；策略路由；优化方案

图1网络拓扑图

视听

2020.0389

技术改造

备和安全设备，给运维工作造成不便，同时也不利于安

全策略的应用。另一方面，现有网络架构边界划分不明

确，有部分边界网络直接接入核心交换设备。而外部二

层网络的直接接入，使核心网络容易受到复杂二层网络

环境带来的冲击，也给一系列二层网络攻击创造了可能。

（四）安全机制欠缺

现有网络各交换机空闲端口处于开放状态，同时，

缺少设备准入机制，缺乏IP地址欺骗攻击防御手段，

为攻击者提供了可乘之机，给执法者溯源造成了困难。

此外，区域间缺少相应的访问安全策略，使木马、病毒

通过高危端口扩散成为可能。

三、规划设计

根据需求分析，核心网络架构主要从以下几个方面

进行优化。

（一）网络结构规划

1.备份链路设计

为避免主要业务链路出现单节点，在原有结构基础

上增加一台核心交换机和路由器。如图1所示，路由器

和核心交换机间采用交叉上联的方式接线，以降低双节

点故障风险。确保多路径的开销值一致，以实现远程监

控业务链路负载均衡。

2.区域划分

新的网络结构区域划分如图1所示。将原服务器区

域切割成服务器区和安全区，同时明确边界区域，将所

有边界网络由边界防火墙接入，多个其它业务用trunk

方式上连至核心交换机，以VLAN标签区分不同业务流

量。为避免外部二层网络接入核心交换机，上连接口

须配置成三层以太网接口。其它业务网络因存在多个

VLAN接入，其对应三层接口须配置相应的Dot1q终结

子接口，对报文VLAN标签进行识别。

（二）链路冗余与负载分担

设计

采用冗余链路设计来提高网络可靠性的同时，必然

会使网络产生多个环路。现今的企业级交换设备一般

会默认开启RSTP或MSTP协议破除环路，MSTP默认所

有VLAN在instance0下运行，本质与RSTP无异。然

而RSTP虽在STP的基础上做了多处改进，大幅提升了

生成树收敛速度，但RSTP仍存在所有VLAN共享一颗生

成树的弊端，无法利用冗余链路实现负载分担，且在

部分情况下会造成某些VLAN通信异常。如图2所示，

假设SW2、SW3为核心交换机，SW1、SW4为接入交换

机，经RSTP计算后SW3的0/2口处于阻塞状态，

此时VLAN2内成员设备就无法访问处于SW3的VLANIF2

接口，且网络内所有流量只有一条路径可寻，无法进行

负载分担。因此，须为网络内所有交换机配置MSTP实

例与VLAN的映射关系，并指定核心交换机1、2为不同

实例下的主备根桥，实现二层负载分担。最后，将与终

端直接相连的端口配置为边缘端口，终端设备接入时不

进行MSTP计算，提高终端接入速度。

设计

VRRP是一种虚拟路由冗余协议，在交换设备不具

备堆叠条件的情况下，VRRP技术是实现冗余网关的最

佳途径。通过为两台核心交换机的VLANIF接口创建

VRRP备份组，来实现网关冗余备份，并通过设定优先

级来合理配置不同VLAN下的主备网关。VRRP和MSTP

联合组网时，须保证相同VLAN下主备网关的设置与

MSTP的主备根桥保持一致，原因如图2所示。SW2为

VLAN3所属MSTP实例的根桥，该MSTP实例在SW3的

VLANIDMSTPinstance映射VRRP备份组虚拟网关IPMSTP主根桥/VRRPMasterMSTP备根桥/Backup

100instance110.170.0.254核心交换机1核心交换机2

101instance210.170.1.254核心交换机2核心交换机1

102instance310.170.2.254核心交换机1核心交换机2

103instance410.170.3.254核心交换机2核心交换机1

图2部分区域示意

表1MSTP/VRRP规划表

90RADIO&TVJOURNAL

2020.03

技术改造

0/2口被阻塞，而SW3为VLANIF3的Master，当来

自SW4的设备向VLAN3网关转发数据时，数据需经过

SW2、SW1才能最终到达SW3，使核心交换机间产生了不

必要的流量。因此，MSTP/VRRP规划如表1所示。

3.策略路由设计

现网采用OSPF技术实现三层通信，由于在路由器

和核心交换机之间规划了互为冗余的等价链路，在路由

器上必然会出现两条去往同一目的区域且开销相同，下

跳地址分别为核心交换机1和2的等价路由条目，从而

形成负载均衡。由于下跳地址的不确定性，会出现类似

上一小节提到的场景。如图2所示，一条目的地址属于

VLAN3所在网段的IP报文由路由器R流入，其访问对

象由SW4接入。该报文有两条等价路由可以选择，下跳

地址分别是SW2、SW3的接口地址，若经SW3转发，该

报文需经过SW1、SW2才能最终到达SW4，产生了不必

要的流量。因此，拓扑改造后需要在核心路由器上配置

策略路由，通过ACL匹配报文的目的地址，为报文选择

下跳地址。当策略路由定义的下跳地址不存在时，会自

动转为按路由表转发，实现故障切换。

（三）接口保护和安全策略

1.基于静态绑定的IPSG

为确保未授权设备不能接入内网，防止地址欺骗攻

击，须在所有接入交换机端口配置基于IP、MAC、接口

静态绑定的IPSG。不能通过IPSG表项匹配检查的设备

均无法接入网络。需注意若服务器区和安全区存在虚拟

化集群，其动态资源分配功能会导致虚拟机的网络上行

接口动态变更。因此，在设计服务器区和安全区交换机

的静态绑定表时，应采用N:1的IP和MAC绑定方式。

安全优化

在核心交换机和路由器OSPF区域启用基于HMAC-

MD5验证模式的区域验证，同时对核心交换机区域的

VLANIF配置OSPF静默功能，禁止这些接口收发路由信

息，从而提高OSPF网络的安全性。

3.高危端口过滤

在各个区域VLAN的出方向应用报文过滤，通过

ACL规则对使用知名高危端口进行通信的报文进行匹配

并阻止通过，以防止病毒、木马通过高危端口在区域间

进行传播，同时，强制关闭空闲物理接口，以强化信息

系统网络安全性。

四、部署和验证

根据上述优化方案，对远程监控系统核心网络进行

配置部署，并对负载分担和故障切换功能进行验证展示。

（一）区域划分配置

按表1为网络内所有设备配置VLAN、网关IP，并

配置OSPF确保路由器和各区域间路由可达。须将核心

交换机边界接口配置成三层接口，其它业务网络上连口

配置成Dot1q终结子接口。以核心交换机1部分接口为

例，如图3。

（二）负载分担配置

根据表1规划，首先为二层网络交换设备配置

MSTP基本功能，再为各MSTP实例配置主备根桥，并

在核心交换机上创建VRRP备份组。以核心交换机2、

VLANIF101为例，核心交换机2为实例2、4的主根桥，

其在VLANIF101的VRRP备份组内为Master，配置如图4。

因核心交换机1为该备份组的Backup，仅需配置vrrp

vrid101virtual-ip10.170.1.254即可。

最后则需要为路由器配置策略路由，为访问内部网

络各区域的报文合理选择下跳地址，以路由器1为例，

如图5。

（三）接口保护和安全策略配置

在各区域接入交换机配置IPSG静态绑定表，如：

user-bindstaticip-address10.170.2.11mac-

address5489-9821-4486interfaceg0/0/3，并在

其所属VLAN上使能IPSG。然后为所有OSPF设备统

一配置区域验证，如：authentication-modehmac-

图3三层接口和Dot1q终结配置

图4主备根桥/VRRP备份组配置

视听

2020.0391

技术改造

md51cipherAbc@123，并在OSPF进程界面下为没有

OSPF邻居的接口配置OSPF静默功能，如：silent-

interfaceVlanif100。最后创建ACL对访问高危端口

的报文进行匹配，在核心交换机各区域VLAN出方向应

用traffic-policy，实现对区域间报文进行过滤，并

关闭空闲接口。

（四）验证

完成配置后，使用displaystp命令查看所有

instance的主备根桥，同时使用displayvrrpbrief

命令查看所有VRRP备份组的角色，并以核心交换机2

为例，如图6，可以看到选举结果如之前规划。

使用VLAN101/102内的Server2和PC向位于路由

器1上的Server1发出ping请求，分别对核心交换机

1的G0/0/1口和核心交换机2的G0/0/2口抓包，可以

看到从VLAN102发出的ping请求和应答全部流经核心

交换机1的G0/0/1，而VLAN101则相反，说明MSTP、

VRRP、策略路由联合组网的负载分担策略可达预期效果。

将核心交换机1断电，模拟故障，此时所有流量转

移至核心交换机2所在链路，网络恢复正常。通过对命

令查看MSTP和VRRP备份组的状态，如图7，可以看出

故障切换符合预期。

五、总结

远程监控系统核心网络的升级优化方案能够大幅降

低单点故障带来的风险，有效利用了冗余资源进行负载

分担，并提高了安全性和可维护性，为将来进一步的网

络优化工作提供了基础。

图5策略路由配置

图6MSTP/VRRP选举结果

图7故障切换结果