引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)及應(yīng)用技術(shù)的發(fā)展,江蘇華電戚墅堰發(fā)電有限公司的信息化腳步不斷向前邁進(jìn)。公司局域網(wǎng)內(nèi)部管理信息區(qū),無論是應(yīng)用規(guī)模的廣度還是深度都發(fā)生了巨大的變化,具體表現(xiàn)在以下3方面:
1)用戶電腦數(shù)量:從原來的幾十臺(tái)發(fā)展到目前的500多臺(tái);
2)網(wǎng)絡(luò):從原來單一的網(wǎng)絡(luò),發(fā)展成多網(wǎng)絡(luò)的集成,通過網(wǎng)絡(luò)隔離裝置與安全生產(chǎn)區(qū)相聯(lián),通過防火墻與上級(jí)部門相聯(lián),還通過防火墻與互聯(lián)網(wǎng)相聯(lián);
3)應(yīng)用:從公司內(nèi)部專用業(yè)務(wù)系統(tǒng)發(fā)展到跨生產(chǎn)區(qū)、集團(tuán)公司、上級(jí)主管、互聯(lián)網(wǎng)等各類網(wǎng)絡(luò)的專用和業(yè)務(wù)系統(tǒng),內(nèi)部還有動(dòng)態(tài)主機(jī)配置協(xié)議服務(wù)(Dynamic host Configuration ProtocolService. DIICP Service )、域名服務(wù)(Domain Name System Service, DNSService),ISA于憶理服務(wù)(MicrosoftInternet Security and AccelerationServer, ISA Server)等網(wǎng)絡(luò)服務(wù)。
然而,在企業(yè)內(nèi)部,各生產(chǎn)車間、管理部門分布分散,人員力、公地點(diǎn)混雜,一方面,從物理地點(diǎn)上,難以理清和規(guī)范各類用戶應(yīng)用中涉及的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)資源;另一方面,隨著企業(yè)改革的不斷推進(jìn),以及部門、人員變動(dòng),給計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)資源的管理、維護(hù)、運(yùn)行帶來諸多問題,主要可以歸納為以下2個(gè)方面:
1)網(wǎng)絡(luò)依賴物理位置分布,線路復(fù)雜,不易變動(dòng),線路接入和調(diào)整投入開銷大,維護(hù)成本高;
2)各類應(yīng)用及用戶相互交叉,維護(hù)中,問題發(fā)現(xiàn)困難,問題定位更困難,故障排查耗時(shí)長(zhǎng),給計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的正常應(yīng)用帶來了極大的影響。
針對(duì)上述問題和挑戰(zhàn),公司利用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)擴(kuò)容升級(jí)改造時(shí)機(jī),采取措施分期進(jìn)行了易維護(hù)網(wǎng)絡(luò)的布局和完善。
1 計(jì)算機(jī)易維護(hù)網(wǎng)絡(luò)基礎(chǔ)平臺(tái)的搭建
1.1 易維護(hù)網(wǎng)絡(luò)物理硬件基礎(chǔ)搭建
在公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)擴(kuò)容升級(jí)改造時(shí),網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)布局上采用了簡(jiǎn)單的“星型”結(jié)構(gòu),數(shù)據(jù)信息直接交換到桌面(見圖1),計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)中的核心設(shè)備采用2臺(tái)思科交換路由器Cisco 6509, 互為冗余。用戶接人端采用了思科交換器Cisco 3550、Cisco 2950、Cisco 3750等,每個(gè)用戶通過這些交換設(shè)備接口規(guī)范化接入就近的交換機(jī),為易維護(hù)網(wǎng)絡(luò)建立了物理硬件基礎(chǔ)。
1.2實(shí)現(xiàn)網(wǎng)絡(luò)物理結(jié)構(gòu)和邏輯結(jié)構(gòu)分離
采用上述布局結(jié)構(gòu),接入同一物理設(shè)備的用戶電腦,已能突破物理接入位置限制,不在同一子網(wǎng);而分布在不同設(shè)備接入的用戶電腦,可劃分在同一子網(wǎng)。這種在邏輯層面可任意將用戶電腦按需劃分到不同的虛擬子網(wǎng)的結(jié)果,實(shí)現(xiàn)了網(wǎng)絡(luò)物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的分離。
1.3監(jiān)控防御布局
在網(wǎng)絡(luò)“星型”結(jié)構(gòu)的核心交換路由器Cisco 6509上,部署了了入侵檢測(cè)模塊(IntrusionDetection Systems,IDS)和防火墻模塊,監(jiān)測(cè)經(jīng)過網(wǎng)絡(luò)的核心數(shù)據(jù)流,一定程度卜實(shí)現(xiàn)對(duì)流經(jīng)數(shù)據(jù)的分辨及流量的局部可視化;監(jiān)控網(wǎng)絡(luò)核心交換路由的非正常流量,建立局部、特定的監(jiān)控防御機(jī)制。
另外,在網(wǎng)絡(luò)中部署北塔網(wǎng)管軟件,實(shí)時(shí)呈現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、流址狀況,監(jiān)測(cè)從接入到核心的各級(jí)端口和網(wǎng)絡(luò)設(shè)備數(shù)據(jù)流量,可視化地呈現(xiàn)抽象的數(shù)據(jù)信息流量,為各個(gè)設(shè)備、服務(wù)器、用戶機(jī)器提供統(tǒng)一的網(wǎng)絡(luò)流量監(jiān)控平臺(tái)。
圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意
2 網(wǎng)絡(luò)系統(tǒng)易維護(hù)平臺(tái)的關(guān)鍵要素
2.1分層的通信協(xié)議
TCP/IP協(xié)議是分層工作的,協(xié)議的第2層以硬件MAC地址尋址,協(xié)議的第3層以IP地址尋址。Cisco 2950. Cisco 3550.Cisco 3750, Cisco 6509的交換功能部分工作在TCP/IP協(xié)議的第2層,基于硬件MAC地址尋址。交換設(shè)備的每個(gè)接口都學(xué)習(xí)維護(hù)著數(shù)據(jù)交換用的MAC地址,并提供命令可供查詢等,接口還可以由命令加以控制。核心交換路由Cisco 6509的路由功能部分下作在TCP/IP協(xié)議的第3層,負(fù)責(zé)將數(shù)據(jù)轉(zhuǎn)發(fā)到別的網(wǎng)絡(luò),基于IP地址尋址。
Cisco2950、Cisco 3550、Cisco 3750等交換設(shè)備還支持虛擬網(wǎng)(Virtual Local Area Network,VLAN)的劃分,并提供多個(gè)VLAN綁定的TRUNK接口,與核心交換路由Cisco 6509相聯(lián)。在邏輯上,可以根據(jù)需要定義形成若干個(gè)虛擬子網(wǎng),在同一虛擬子網(wǎng)內(nèi),數(shù)據(jù)交換只在TCP/IP協(xié)議的第2層上進(jìn)行,也就是由Cisco 2950、Cisco 3550、Cisco 3750等交換設(shè)備或核心交換路由Cisco 6509的交換功能部分完成。在不同的虛擬子網(wǎng)間,第一次數(shù)據(jù)交換必須有TCP/IP協(xié)議的第3層來進(jìn)行,也就是必須由核心交換路由Cisco 6509的路由功能部分來完成。
Cisco的VLAN技術(shù)可以使擁有眾多設(shè)備、眾多接口的網(wǎng)絡(luò)按虛擬網(wǎng)絡(luò)劃分,只形成有限的若干個(gè)子網(wǎng)集合。這若干個(gè)子網(wǎng)集合,在本企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)特點(diǎn)下,根據(jù)TCP/IP協(xié)議的工作機(jī)制,又可以歸納為規(guī)范的一種物理鏈路和3種邏輯鏈路。
2.2規(guī)范的網(wǎng)絡(luò)連接鏈路
公司局域網(wǎng)中,任意一臺(tái)用戶電腦或服務(wù)器的接入,已不再受物理位置影響,其物理鏈路接人的規(guī)范模式如圖2所示。
同時(shí),任意一臺(tái)用戶電腦或服務(wù)器都屬于局域網(wǎng)若干個(gè)子網(wǎng)中的一個(gè)子網(wǎng),它們的數(shù)據(jù)信息流動(dòng)的軌跡,即邏輯鏈路,在企業(yè)局域網(wǎng)中,可以概括為3種規(guī)范模式。
圖2 物理鏈路示意
1)同一虛擬子網(wǎng)內(nèi)2臺(tái)機(jī)器交換數(shù)據(jù),通過接入交換機(jī)1、核心設(shè)備交換功能部分、另一臺(tái)機(jī)的接人交換機(jī)2(見圖3a),或交換數(shù)據(jù)只通過一臺(tái)交換機(jī)1(見圖36)。
2)不同虛擬子網(wǎng)內(nèi)2臺(tái)機(jī)器交換數(shù)據(jù),通過接人交換機(jī)1、核心設(shè)備交換功能部分、路由功能部分、另一臺(tái)接人交換機(jī)2(見圖3c),或通過接人交換機(jī)1、核心設(shè)備交換功能部分、路由功能部分、同一臺(tái)接人交換機(jī)1(見圖3d)。
3)某一虛擬子網(wǎng)內(nèi)一臺(tái)機(jī)器,訪問其他網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換,通過接人交換機(jī)、核心設(shè)備交換功能部分、路由功能部分、防火墻設(shè)備,再到其他網(wǎng)絡(luò)(見圖3e )。
規(guī)范化的鏈路特點(diǎn)使龐大網(wǎng)絡(luò)變得簡(jiǎn)單而清晰,大大減少了維護(hù)開支,減少了排錯(cuò)響應(yīng)時(shí)間。
2.3智能網(wǎng)絡(luò)設(shè)備
公司局域網(wǎng)中,利用智能交換設(shè)備,實(shí)現(xiàn)數(shù)據(jù)交換到桌面,為實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)流的跟蹤提供了手段,同時(shí),規(guī)范而有規(guī)律的鏈路特點(diǎn),又為實(shí)現(xiàn)數(shù)據(jù)流跟蹤提供了跟蹤路線,一改以前數(shù)據(jù)流動(dòng)到設(shè)備暗箱,不能再加分辨的狀況,使數(shù)據(jù)流動(dòng)軌跡的可視化程度得到提高。
2.4標(biāo)識(shí)接口和實(shí)時(shí)更新臺(tái)賬
對(duì)每臺(tái)網(wǎng)絡(luò)設(shè)備進(jìn)行命名,對(duì)網(wǎng)絡(luò)設(shè)備的接口所連接的跳線進(jìn)行標(biāo)識(shí)。從核心設(shè)備到桌面接人設(shè)備,按設(shè)備建立接口連接清單,并及時(shí)更新,為維護(hù)提供實(shí)時(shí)臺(tái)賬。
2.5北塔網(wǎng)管軟件監(jiān)控
通過北塔網(wǎng)管軟件,實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)拓?fù)涞目梢暬,并?duì)節(jié)點(diǎn)問連線的流量進(jìn)行監(jiān)測(cè),設(shè)置關(guān)鍵位置的報(bào)警。例如,對(duì)核心交換路由器設(shè)備的CPU負(fù)載設(shè)置警戒閥值80%(見圖4)。
圖3邏輯鏈路示意
圖4網(wǎng)絡(luò)告警
3 異常流量和攻擊的治理案例
3.1現(xiàn)象發(fā)現(xiàn)
通過北塔網(wǎng)管軟件的短消息報(bào)警,發(fā)現(xiàn)網(wǎng)絡(luò)中核心交換路由器設(shè)備CPU負(fù)載超過警戒線,記錄如下:
圖5 故障機(jī)物理連接示意
4 結(jié)語
在計(jì)算機(jī)網(wǎng)絡(luò)暴露故障之前,往往會(huì)發(fā)現(xiàn)一些異常情況,對(duì)這些異常情況的及時(shí)發(fā)現(xiàn)和排查是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)防御故障的有效力一法。
事實(shí)上,維護(hù)中所發(fā)現(xiàn)的異常流量不是很快能找到癥結(jié),并從根本上消除,因?yàn)榘Y結(jié)主要是由系統(tǒng)漏洞所造成的,漏洞的發(fā)現(xiàn)和修復(fù)往往需要一個(gè)時(shí)間過程,因此,從網(wǎng)絡(luò)角度及時(shí)恢復(fù)其正常運(yùn)行,是維護(hù)的第一目標(biāo)。網(wǎng)絡(luò)異常流量的治理,有時(shí)則成為最佳、最快的網(wǎng)絡(luò)維護(hù)策略。能否保障計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)正?煽窟\(yùn)行,關(guān)鍵在于隱患的及時(shí)發(fā)現(xiàn)、事件原因的及早確定和問題的準(zhǔn)確定位。計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)平臺(tái)的搭建,解決了故障的快速發(fā)現(xiàn)、快速定位、快速治理問題。企業(yè)運(yùn)用網(wǎng)絡(luò)設(shè)備功能,通過部署網(wǎng)絡(luò)設(shè)施,規(guī)范網(wǎng)絡(luò)鏈路,規(guī)范設(shè)施管理,逐步建立信息流量及其流動(dòng)的分辨機(jī)制,從而提高事件快速響應(yīng)能力。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)平臺(tái)搭建及治理案例分析
本文網(wǎng)址:http://www.ezxoed.cn/html/solutions/1401937941.html