您所在的位置:e-works首页 > 基础信息化 >

企业计算机网络维护平台搭建及治理案例分析

发表时间:2013/3/4 吴小玉 来源:万方数据
随着企业信息化的推进,计算机网络系统的及时维护,成为企业面临的难题。面对网络中复杂的数据信息交换,分辨异常流量、提高流量"可视化"程度,是解决问题的基本思路。文章介绍企业通过网络设备结构和监控防御布局,完善物理和逻辑链路,搭建了企业计算机网络维护平台,使计算机网络系统的维护变得规范简化,提高了事件响应时间。此外,恢复计算机网络正常运行的最有效策略是对网络异常流量进行及时治理,并对具体事例进行了介绍。

引言

    随着计算机网络及应用技术的发展,江苏华电戚墅堰发电有限公司的信息化脚步不断向前迈进。公司局域网内部管理信息区,无论是应用规模的广度还是深度都发生了巨大的变化,具体表现在以下3方面:

    1)用户电脑数量:从原来的几十台发展到目前的500多台;

    2)网络:从原来单一的网络,发展成多网络的集成,通过网络隔离装置与安全生产区相联,通过防火墙与上级部门相联,还通过防火墙与互联网相联;

    3)应用:从公司内部专用业务系统发展到跨生产区、集团公司、上级主管、互联网等各类网络的专用和业务系统,内部还有动态主机配置协议服务(Dynamic host Configuration ProtocolService. DIICP Service )、域名服务(Domain Name System Service, DNSService),ISA于忆理服务(MicrosoftInternet Security and AccelerationServer, ISA Server)等网络服务。

    然而,在企业内部,各生产车间、管理部门分布分散,人员力、公地点混杂,一方面,从物理地点上,难以理清和规范各类用户应用中涉及的计算机网络系统资源;另一方面,随着企业改革的不断推进,以及部门、人员变动,给计算机网络系统资源的管理、维护、运行带来诸多问题,主要可以归纳为以下2个方面:

    1)网络依赖物理位置分布,线路复杂,不易变动,线路接入和调整投入开销大,维护成本高;

    2)各类应用及用户相互交叉,维护中,问题发现困难,问题定位更困难,故障排查耗时长,给计算机网络系统的正常应用带来了极大的影响。

    针对上述问题和挑战,公司利用计算机网络系统扩容升级改造时机,采取措施分期进行了易维护网络的布局和完善。

1 计算机易维护网络基础平台的搭建

    1.1 易维护网络物理硬件基础搭建

    在公司计算机网络系统扩容升级改造时,网络系统结构布局上采用了简单的“星型”结构,数据信息直接交换到桌面(见图1),计算机网络系统结构中的核心设备采用2台思科交换路由器Cisco 6509, 互为冗余。用户接人端采用了思科交换器Cisco 3550、Cisco 2950、Cisco 3750等,每个用户通过这些交换设备接口规范化接入就近的交换机,为易维护网络建立了物理硬件基础。

    1.2实现网络物理结构和逻辑结构分离

    采用上述布局结构,接入同一物理设备的用户电脑,已能突破物理接入位置限制,不在同一子网;而分布在不同设备接入的用户电脑,可划分在同一子网。这种在逻辑层面可任意将用户电脑按需划分到不同的虚拟子网的结果,实现了网络物理结构和逻辑结构的分离。

    1.3监控防御布局

    在网络“星型”结构的核心交换路由器Cisco 6509上,部署了了入侵检测模块(IntrusionDetection Systems,IDS)和防火墙模块,监测经过网络的核心数据流,一定程度卜实现对流经数据的分辨及流量的局部可视化;监控网络核心交换路由的非正常流量,建立局部、特定的监控防御机制。

    另外,在网络中部署北塔网管软件,实时呈现网络拓扑结构、流址状况,监测从接入到核心的各级端口和网络设备数据流量,可视化地呈现抽象的数据信息流量,为各个设备、服务器、用户机器提供统一的网络流量监控平台。

 

图1 网络拓扑结构示意

2 网络系统易维护平台的关键要素

    2.1分层的通信协议

    TCP/IP协议是分层工作的,协议的第2层以硬件MAC地址寻址,协议的第3层以IP地址寻址。Cisco 2950. Cisco 3550.Cisco 3750, Cisco 6509的交换功能部分工作在TCP/IP协议的第2层,基于硬件MAC地址寻址。交换设备的每个接口都学习维护着数据交换用的MAC地址,并提供命令可供查询等,接口还可以由命令加以控制。核心交换路由Cisco 6509的路由功能部分下作在TCP/IP协议的第3层,负责将数据转发到别的网络,基于IP地址寻址。

    Cisco2950、Cisco 3550、Cisco 3750等交换设备还支持虚拟网(Virtual Local Area Network,VLAN)的划分,并提供多个VLAN绑定的TRUNK接口,与核心交换路由Cisco 6509相联。在逻辑上,可以根据需要定义形成若干个虚拟子网,在同一虚拟子网内,数据交换只在TCP/IP协议的第2层上进行,也就是由Cisco 2950、Cisco 3550、Cisco 3750等交换设备或核心交换路由Cisco 6509的交换功能部分完成。在不同的虚拟子网间,第一次数据交换必须有TCP/IP协议的第3层来进行,也就是必须由核心交换路由Cisco 6509的路由功能部分来完成。

    Cisco的VLAN技术可以使拥有众多设备、众多接口的网络按虚拟网络划分,只形成有限的若干个子网集合。这若干个子网集合,在本企业网络结构特点下,根据TCP/IP协议的工作机制,又可以归纳为规范的一种物理链路和3种逻辑链路。

    2.2规范的网络连接链路

    公司局域网中,任意一台用户电脑或服务器的接入,已不再受物理位置影响,其物理链路接人的规范模式如图2所示。

    同时,任意一台用户电脑或服务器都属于局域网若干个子网中的一个子网,它们的数据信息流动的轨迹,即逻辑链路,在企业局域网中,可以概括为3种规范模式。

 物理链路示意

图2 物理链路示意

 

本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。

责任编辑:赵蔓