引言
隨著計算機網絡及應用技術的發展,江蘇華電戚墅堰發電有限公司的信息化腳步不斷向前邁進。公司局域網內部管理信息區,無論是應用規模的廣度還是深度都發生了巨大的變化,具體表現在以下3方面:
1)用戶電腦數量:從原來的幾十臺發展到目前的500多臺;
2)網絡:從原來單一的網絡,發展成多網絡的集成,通過網絡隔離裝置與安全生產區相聯,通過防火墻與上級部門相聯,還通過防火墻與互聯網相聯;
3)應用:從公司內部專用業務系統發展到跨生產區、集團公司、上級主管、互聯網等各類網絡的專用和業務系統,內部還有動態主機配置協議服務(Dynamic host Configuration ProtocolService. DIICP Service )、域名服務(Domain Name System Service, DNSService),ISA于憶理服務(MicrosoftInternet Security and AccelerationServer, ISA Server)等網絡服務。
然而,在企業內部,各生產車間、管理部門分布分散,人員力、公地點混雜,一方面,從物理地點上,難以理清和規范各類用戶應用中涉及的計算機網絡系統資源;另一方面,隨著企業改革的不斷推進,以及部門、人員變動,給計算機網絡系統資源的管理、維護、運行帶來諸多問題,主要可以歸納為以下2個方面:
1)網絡依賴物理位置分布,線路復雜,不易變動,線路接入和調整投入開銷大,維護成本高;
2)各類應用及用戶相互交叉,維護中,問題發現困難,問題定位更困難,故障排查耗時長,給計算機網絡系統的正常應用帶來了極大的影響。
針對上述問題和挑戰,公司利用計算機網絡系統擴容升級改造時機,采取措施分期進行了易維護網絡的布局和完善。
1 計算機易維護網絡基礎平臺的搭建
1.1 易維護網絡物理硬件基礎搭建
在公司計算機網絡系統擴容升級改造時,網絡系統結構布局上采用了簡單的“星型”結構,數據信息直接交換到桌面(見圖1),計算機網絡系統結構中的核心設備采用2臺思科交換路由器Cisco 6509, 互為冗余。用戶接人端采用了思科交換器Cisco 3550、Cisco 2950、Cisco 3750等,每個用戶通過這些交換設備接口規范化接入就近的交換機,為易維護網絡建立了物理硬件基礎。
1.2實現網絡物理結構和邏輯結構分離
采用上述布局結構,接入同一物理設備的用戶電腦,已能突破物理接入位置限制,不在同一子網;而分布在不同設備接入的用戶電腦,可劃分在同一子網。這種在邏輯層面可任意將用戶電腦按需劃分到不同的虛擬子網的結果,實現了網絡物理結構和邏輯結構的分離。
1.3監控防御布局
在網絡“星型”結構的核心交換路由器Cisco 6509上,部署了了入侵檢測模塊(IntrusionDetection Systems,IDS)和防火墻模塊,監測經過網絡的核心數據流,一定程度卜實現對流經數據的分辨及流量的局部可視化;監控網絡核心交換路由的非正常流量,建立局部、特定的監控防御機制。
另外,在網絡中部署北塔網管軟件,實時呈現網絡拓撲結構、流址狀況,監測從接入到核心的各級端口和網絡設備數據流量,可視化地呈現抽象的數據信息流量,為各個設備、服務器、用戶機器提供統一的網絡流量監控平臺。
圖1 網絡拓撲結構示意
2 網絡系統易維護平臺的關鍵要素
2.1分層的通信協議
TCP/IP協議是分層工作的,協議的第2層以硬件MAC地址尋址,協議的第3層以IP地址尋址。Cisco 2950. Cisco 3550.Cisco 3750, Cisco 6509的交換功能部分工作在TCP/IP協議的第2層,基于硬件MAC地址尋址。交換設備的每個接口都學習維護著數據交換用的MAC地址,并提供命令可供查詢等,接口還可以由命令加以控制。核心交換路由Cisco 6509的路由功能部分下作在TCP/IP協議的第3層,負責將數據轉發到別的網絡,基于IP地址尋址。
Cisco2950、Cisco 3550、Cisco 3750等交換設備還支持虛擬網(Virtual Local Area Network,VLAN)的劃分,并提供多個VLAN綁定的TRUNK接口,與核心交換路由Cisco 6509相聯。在邏輯上,可以根據需要定義形成若干個虛擬子網,在同一虛擬子網內,數據交換只在TCP/IP協議的第2層上進行,也就是由Cisco 2950、Cisco 3550、Cisco 3750等交換設備或核心交換路由Cisco 6509的交換功能部分完成。在不同的虛擬子網間,第一次數據交換必須有TCP/IP協議的第3層來進行,也就是必須由核心交換路由Cisco 6509的路由功能部分來完成。
Cisco的VLAN技術可以使擁有眾多設備、眾多接口的網絡按虛擬網絡劃分,只形成有限的若干個子網集合。這若干個子網集合,在本企業網絡結構特點下,根據TCP/IP協議的工作機制,又可以歸納為規范的一種物理鏈路和3種邏輯鏈路。
2.2規范的網絡連接鏈路
公司局域網中,任意一臺用戶電腦或服務器的接入,已不再受物理位置影響,其物理鏈路接人的規范模式如圖2所示。
同時,任意一臺用戶電腦或服務器都屬于局域網若干個子網中的一個子網,它們的數據信息流動的軌跡,即邏輯鏈路,在企業局域網中,可以概括為3種規范模式。
圖2 物理鏈路示意
1)同一虛擬子網內2臺機器交換數據,通過接入交換機1、核心設備交換功能部分、另一臺機的接人交換機2(見圖3a),或交換數據只通過一臺交換機1(見圖36)。
2)不同虛擬子網內2臺機器交換數據,通過接人交換機1、核心設備交換功能部分、路由功能部分、另一臺接人交換機2(見圖3c),或通過接人交換機1、核心設備交換功能部分、路由功能部分、同一臺接人交換機1(見圖3d)。
3)某一虛擬子網內一臺機器,訪問其他網絡進行數據交換,通過接人交換機、核心設備交換功能部分、路由功能部分、防火墻設備,再到其他網絡(見圖3e )。
規范化的鏈路特點使龐大網絡變得簡單而清晰,大大減少了維護開支,減少了排錯響應時間。
2.3智能網絡設備
公司局域網中,利用智能交換設備,實現數據交換到桌面,為實現遠程數據流的跟蹤提供了手段,同時,規范而有規律的鏈路特點,又為實現數據流跟蹤提供了跟蹤路線,一改以前數據流動到設備暗箱,不能再加分辨的狀況,使數據流動軌跡的可視化程度得到提高。
2.4標識接口和實時更新臺賬
對每臺網絡設備進行命名,對網絡設備的接口所連接的跳線進行標識。從核心設備到桌面接人設備,按設備建立接口連接清單,并及時更新,為維護提供實時臺賬。
2.5北塔網管軟件監控
通過北塔網管軟件,實現網絡節點拓撲的可視化,并對節點問連線的流量進行監測,設置關鍵位置的報警。例如,對核心交換路由器設備的CPU負載設置警戒閥值80%(見圖4)。
圖3邏輯鏈路示意
圖4網絡告警
3 異常流量和攻擊的治理案例
3.1現象發現
通過北塔網管軟件的短消息報警,發現網絡中核心交換路由器設備CPU負載超過警戒線,記錄如下:
圖5 故障機物理連接示意
4 結語
在計算機網絡暴露故障之前,往往會發現一些異常情況,對這些異常情況的及時發現和排查是計算機網絡系統防御故障的有效力一法。
事實上,維護中所發現的異常流量不是很快能找到癥結,并從根本上消除,因為癥結主要是由系統漏洞所造成的,漏洞的發現和修復往往需要一個時間過程,因此,從網絡角度及時恢復其正常運行,是維護的第一目標。網絡異常流量的治理,有時則成為最佳、最快的網絡維護策略。能否保障計算機網絡系統正常可靠運行,關鍵在于隱患的及時發現、事件原因的及早確定和問題的準確定位。計算機網絡維護平臺的搭建,解決了故障的快速發現、快速定位、快速治理問題。企業運用網絡設備功能,通過部署網絡設施,規范網絡鏈路,規范設施管理,逐步建立信息流量及其流動的分辨機制,從而提高事件快速響應能力。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:企業計算機網絡維護平臺搭建及治理案例分析
相關文章
