引言

    隨著計算機網(wǎng)絡及應用技術的發(fā)展，江蘇華電戚墅堰發(fā)電有限公司的信息化腳步不斷向前邁進。公司局域網(wǎng)內(nèi)部管理信息區(qū)，無論是應用規(guī)模的廣度還是深度都發(fā)生了巨大的變化，具體表現(xiàn)在以下3方面:

    1)用戶電腦數(shù)量:從原來的幾十臺發(fā)展到目前的500多臺;

    2)網(wǎng)絡:從原來單一的網(wǎng)絡，發(fā)展成多網(wǎng)絡的集成，通過網(wǎng)絡隔離裝置與安全生產(chǎn)區(qū)相聯(lián)，通過防火墻與上級部門相聯(lián)，還通過防火墻與互聯(lián)網(wǎng)相聯(lián);

    3)應用:從公司內(nèi)部專用業(yè)務系統(tǒng)發(fā)展到跨生產(chǎn)區(qū)、集團公司、上級主管、互聯(lián)網(wǎng)等各類網(wǎng)絡的專用和業(yè)務系統(tǒng)，內(nèi)部還有動態(tài)主機配置協(xié)議服務(Dynamic host Configuration ProtocolService. DIICP Service )、域名服務(Domain Name System Service, DNSService),ISA于憶理服務(MicrosoftInternet Security and AccelerationServer, ISA Server)等網(wǎng)絡服務。

    然而，在企業(yè)內(nèi)部，各生產(chǎn)車間、管理部門分布分散，人員力、公地點混雜，一方面，從物理地點上，難以理清和規(guī)范各類用戶應用中涉及的計算機網(wǎng)絡系統(tǒng)資源;另一方面，隨著企業(yè)改革的不斷推進，以及部門、人員變動，給計算機網(wǎng)絡系統(tǒng)資源的管理、維護、運行帶來諸多問題，主要可以歸納為以下2個方面:

    1)網(wǎng)絡依賴物理位置分布，線路復雜，不易變動，線路接入和調(diào)整投入開銷大，維護成本高;

    2)各類應用及用戶相互交叉，維護中，問題發(fā)現(xiàn)困難，問題定位更困難，故障排查耗時長，給計算機網(wǎng)絡系統(tǒng)的正常應用帶來了極大的影響。

    針對上述問題和挑戰(zhàn)，公司利用計算機網(wǎng)絡系統(tǒng)擴容升級改造時機，采取措施分期進行了易維護網(wǎng)絡的布局和完善。

1 計算機易維護網(wǎng)絡基礎平臺的搭建

    1.1 易維護網(wǎng)絡物理硬件基礎搭建

    在公司計算機網(wǎng)絡系統(tǒng)擴容升級改造時，網(wǎng)絡系統(tǒng)結(jié)構(gòu)布局上采用了簡單的“星型”結(jié)構(gòu)，數(shù)據(jù)信息直接交換到桌面(見圖1)，計算機網(wǎng)絡系統(tǒng)結(jié)構(gòu)中的核心設備采用2臺思科交換路由器Cisco 6509, 互為冗余。用戶接人端采用了思科交換器Cisco 3550、Cisco 2950、Cisco 3750等，每個用戶通過這些交換設備接口規(guī)范化接入就近的交換機，為易維護網(wǎng)絡建立了物理硬件基礎。

    1.2實現(xiàn)網(wǎng)絡物理結(jié)構(gòu)和邏輯結(jié)構(gòu)分離

    采用上述布局結(jié)構(gòu)，接入同一物理設備的用戶電腦，已能突破物理接入位置限制，不在同一子網(wǎng);而分布在不同設備接入的用戶電腦，可劃分在同一子網(wǎng)。這種在邏輯層面可任意將用戶電腦按需劃分到不同的虛擬子網(wǎng)的結(jié)果，實現(xiàn)了網(wǎng)絡物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的分離。

    1.3監(jiān)控防御布局

    在網(wǎng)絡“星型”結(jié)構(gòu)的核心交換路由器Cisco 6509上，部署了了入侵檢測模塊(IntrusionDetection Systems,IDS)和防火墻模塊，監(jiān)測經(jīng)過網(wǎng)絡的核心數(shù)據(jù)流，一定程度卜實現(xiàn)對流經(jīng)數(shù)據(jù)的分辨及流量的局部可視化;監(jiān)控網(wǎng)絡核心交換路由的非正常流量，建立局部、特定的監(jiān)控防御機制。

    另外，在網(wǎng)絡中部署北塔網(wǎng)管軟件，實時呈現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)、流址狀況，監(jiān)測從接入到核心的各級端口和網(wǎng)絡設備數(shù)據(jù)流量，可視化地呈現(xiàn)抽象的數(shù)據(jù)信息流量，為各個設備、服務器、用戶機器提供統(tǒng)一的網(wǎng)絡流量監(jiān)控平臺。

圖1 網(wǎng)絡拓撲結(jié)構(gòu)示意

2 網(wǎng)絡系統(tǒng)易維護平臺的關鍵要素

    2.1分層的通信協(xié)議

    TCP/IP協(xié)議是分層工作的，協(xié)議的第2層以硬件MAC地址尋址，協(xié)議的第3層以IP地址尋址。Cisco 2950. Cisco 3550.Cisco 3750, Cisco 6509的交換功能部分工作在TCP/IP協(xié)議的第2層，基于硬件MAC地址尋址。交換設備的每個接口都學習維護著數(shù)據(jù)交換用的MAC地址，并提供命令可供查詢等，接口還可以由命令加以控制。核心交換路由Cisco 6509的路由功能部分下作在TCP/IP協(xié)議的第3層，負責將數(shù)據(jù)轉(zhuǎn)發(fā)到別的網(wǎng)絡，基于IP地址尋址。

    Cisco2950、Cisco 3550、Cisco 3750等交換設備還支持虛擬網(wǎng)(Virtual Local Area Network,VLAN)的劃分，并提供多個VLAN綁定的TRUNK接口，與核心交換路由Cisco 6509相聯(lián)。在邏輯上，可以根據(jù)需要定義形成若干個虛擬子網(wǎng)，在同一虛擬子網(wǎng)內(nèi)，數(shù)據(jù)交換只在TCP/IP協(xié)議的第2層上進行，也就是由Cisco 2950、Cisco 3550、Cisco 3750等交換設備或核心交換路由Cisco 6509的交換功能部分完成。在不同的虛擬子網(wǎng)間，第一次數(shù)據(jù)交換必須有TCP/IP協(xié)議的第3層來進行，也就是必須由核心交換路由Cisco 6509的路由功能部分來完成。

    Cisco的VLAN技術可以使擁有眾多設備、眾多接口的網(wǎng)絡按虛擬網(wǎng)絡劃分，只形成有限的若干個子網(wǎng)集合。這若干個子網(wǎng)集合，在本企業(yè)網(wǎng)絡結(jié)構(gòu)特點下，根據(jù)TCP/IP協(xié)議的工作機制，又可以歸納為規(guī)范的一種物理鏈路和3種邏輯鏈路。

    2.2規(guī)范的網(wǎng)絡連接鏈路

    公司局域網(wǎng)中，任意一臺用戶電腦或服務器的接入，已不再受物理位置影響，其物理鏈路接人的規(guī)范模式如圖2所示。

    同時，任意一臺用戶電腦或服務器都屬于局域網(wǎng)若干個子網(wǎng)中的一個子網(wǎng)，它們的數(shù)據(jù)信息流動的軌跡，即邏輯鏈路，在企業(yè)局域網(wǎng)中，可以概括為3種規(guī)范模式。

圖2 物理鏈路示意

    1)同一虛擬子網(wǎng)內(nèi)2臺機器交換數(shù)據(jù)，通過接入交換機1、核心設備交換功能部分、另一臺機的接人交換機2(見圖3a)，或交換數(shù)據(jù)只通過一臺交換機1(見圖36)。

    2)不同虛擬子網(wǎng)內(nèi)2臺機器交換數(shù)據(jù)，通過接人交換機1、核心設備交換功能部分、路由功能部分、另一臺接人交換機2(見圖3c)，或通過接人交換機1、核心設備交換功能部分、路由功能部分、同一臺接人交換機1(見圖3d)。

    3)某一虛擬子網(wǎng)內(nèi)一臺機器，訪問其他網(wǎng)絡進行數(shù)據(jù)交換，通過接人交換機、核心設備交換功能部分、路由功能部分、防火墻設備，再到其他網(wǎng)絡(見圖3e )。

    規(guī)范化的鏈路特點使龐大網(wǎng)絡變得簡單而清晰，大大減少了維護開支，減少了排錯響應時間。

    2.3智能網(wǎng)絡設備

    公司局域網(wǎng)中，利用智能交換設備，實現(xiàn)數(shù)據(jù)交換到桌面，為實現(xiàn)遠程數(shù)據(jù)流的跟蹤提供了手段，同時，規(guī)范而有規(guī)律的鏈路特點，又為實現(xiàn)數(shù)據(jù)流跟蹤提供了跟蹤路線，一改以前數(shù)據(jù)流動到設備暗箱，不能再加分辨的狀況，使數(shù)據(jù)流動軌跡的可視化程度得到提高。

    2.4標識接口和實時更新臺賬

    對每臺網(wǎng)絡設備進行命名，對網(wǎng)絡設備的接口所連接的跳線進行標識。從核心設備到桌面接人設備，按設備建立接口連接清單，并及時更新，為維護提供實時臺賬。

    2.5北塔網(wǎng)管軟件監(jiān)控

    通過北塔網(wǎng)管軟件，實現(xiàn)網(wǎng)絡節(jié)點拓撲的可視化，并對節(jié)點問連線的流量進行監(jiān)測，設置關鍵位置的報警。例如，對核心交換路由器設備的CPU負載設置警戒閥值80%(見圖4)。

圖3邏輯鏈路示意

圖4網(wǎng)絡告警

3 異常流量和攻擊的治理案例

    3.1現(xiàn)象發(fā)現(xiàn)

    通過北塔網(wǎng)管軟件的短消息報警，發(fā)現(xiàn)網(wǎng)絡中核心交換路由器設備CPU負載超過警戒線，記錄如下:

圖5 故障機物理連接示意

4 結(jié)語

    在計算機網(wǎng)絡暴露故障之前，往往會發(fā)現(xiàn)一些異常情況，對這些異常情況的及時發(fā)現(xiàn)和排查是計算機網(wǎng)絡系統(tǒng)防御故障的有效力一法。

    事實上，維護中所發(fā)現(xiàn)的異常流量不是很快能找到癥結(jié)，并從根本上消除，因為癥結(jié)主要是由系統(tǒng)漏洞所造成的，漏洞的發(fā)現(xiàn)和修復往往需要一個時間過程，因此，從網(wǎng)絡角度及時恢復其正常運行，是維護的第一目標。網(wǎng)絡異常流量的治理，有時則成為最佳、最快的網(wǎng)絡維護策略。能否保障計算機網(wǎng)絡系統(tǒng)正常可靠運行，關鍵在于隱患的及時發(fā)現(xiàn)、事件原因的及早確定和問題的準確定位。計算機網(wǎng)絡維護平臺的搭建，解決了故障的快速發(fā)現(xiàn)、快速定位、快速治理問題。企業(yè)運用網(wǎng)絡設備功能，通過部署網(wǎng)絡設施，規(guī)范網(wǎng)絡鏈路，規(guī)范設施管理，逐步建立信息流量及其流動的分辨機制，從而提高事件快速響應能力。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標題：企業(yè)計算機網(wǎng)絡維護平臺搭建及治理案例分析

本文網(wǎng)址：http://www.guhuozai8.cn/html/solutions/1401937941.html