企业计算机网络维护平台搭建及治理案例分析
吴小玉 万方数据

随着计算机网络及应用技术的发展,江苏华电戚墅堰发电有限公司的信息化脚步不断向前迈进。公司局域网内部管理信息区,无论是应用规模的广度还是深度都发生了巨大的变化,具体表现在以下3方面:


    1)用户电脑数量:从原来的几十台发展到目前的500多台;


    2)网络:从原来单一的网络,发展成多网络的集成,通过网络隔离装置与安全生产区相联,通过防火墙与上级部门相联,还通过防火墙与互联网相联;


    3)应用:从公司内部专用业务系统发展到跨生产区、集团公司、上级主管、互联网等各类网络的专用和业务系统,内部还有动态主机配置协议服务(Dynamic host Configuration ProtocolService. DIICP Service )、域名服务(Domain Name System Service, DNSService),ISA于忆理服务(MicrosoftInternet Security and AccelerationServer, ISA Server)等网络服务。


    然而,在企业内部,各生产车间、管理部门分布分散,人员力、公地点混杂,一方面,从物理地点上,难以理清和规范各类用户应用中涉及的计算机网络系统资源;另一方面,随着企业改革的不断推进,以及部门、人员变动,给计算机网络系统资源的管理、维护、运行带来诸多问题,主要可以归纳为以下2个方面:


    1)网络依赖物理位置分布,线路复杂,不易变动,线路接入和调整投入开销大,维护成本高;


    2)各类应用及用户相互交叉,维护中,问题发现困难,问题定位更困难,故障排查耗时长,给计算机网络系统的正常应用带来了极大的影响。


    针对上述问题和挑战,公司利用计算机网络系统扩容升级改造时机,采取措施分期进行了易维护网络的布局和完善。


1 计算机易维护网络基础平台的搭建


    1.1 易维护网络物理硬件基础搭建


    在公司计算机网络系统扩容升级改造时,网络系统结构布局上采用了简单的“星型”结构,数据信息直接交换到桌面(见图1),计算机网络系统结构中的核心设备采用2台思科交换路由器Cisco 6509, 互为冗余。用户接人端采用了思科交换器Cisco 3550、Cisco 2950、Cisco 3750等,每个用户通过这些交换设备接口规范化接入就近的交换机,为易维护网络建立了物理硬件基础。


    1.2实现网络物理结构和逻辑结构分离


    采用上述布局结构,接入同一物理设备的用户电脑,已能突破物理接入位置限制,不在同一子网;而分布在不同设备接入的用户电脑,可划分在同一子网。这种在逻辑层面可任意将用户电脑按需划分到不同的虚拟子网的结果,实现了网络物理结构和逻辑结构的分离。


    1.3监控防御布局


    在网络“星型”结构的核心交换路由器Cisco 6509上,部署了了入侵检测模块(IntrusionDetection Systems,IDS)和防火墙模块,监测经过网络的核心数据流,一定程度卜实现对流经数据的分辨及流量的局部可视化;监控网络核心交换路由的非正常流量,建立局部、特定的监控防御机制。


    另外,在网络中部署北塔网管软件,实时呈现网络拓扑结构、流址状况,监测从接入到核心的各级端口和网络设备数据流量,可视化地呈现抽象的数据信息流量,为各个设备、服务器、用户机器提供统一的网络流量监控平台。

 

2 网络系统易维护平台的关键要素


    2.1分层的通信协议


    TCP/IP协议是分层工作的,协议的第2层以硬件MAC地址寻址,协议的第3层以IP地址寻址。Cisco 2950. Cisco 3550.Cisco 3750, Cisco 6509的交换功能部分工作在TCP/IP协议的第2层,基于硬件MAC地址寻址。交换设备的每个接口都学习维护着数据交换用的MAC地址,并提供命令可供查询等,接口还可以由命令加以控制。核心交换路由Cisco 6509的路由功能部分下作在TCP/IP协议的第3层,负责将数据转发到别的网络,基于IP地址寻址。


    Cisco2950、Cisco 3550、Cisco 3750等交换设备还支持虚拟网(Virtual Local Area Network,VLAN)的划分,并提供多个VLAN绑定的TRUNK接口,与核心交换路由Cisco 6509相联。在逻辑上,可以根据需要定义形成若干个虚拟子网,在同一虚拟子网内,数据交换只在TCP/IP协议的第2层上进行,也就是由Cisco 2950、Cisco 3550、Cisco 3750等交换设备或核心交换路由Cisco 6509的交换功能部分完成。在不同的虚拟子网间,第一次数据交换必须有TCP/IP协议的第3层来进行,也就是必须由核心交换路由Cisco 6509的路由功能部分来完成。


    Cisco的VLAN技术可以使拥有众多设备、众多接口的网络按虚拟网络划分,只形成有限的若干个子网集合。这若干个子网集合,在本企业网络结构特点下,根据TCP/IP协议的工作机制,又可以归纳为规范的一种物理链路和3种逻辑链路。


    2.2规范的网络连接链路


    公司局域网中,任意一台用户电脑或服务器的接入,已不再受物理位置影响,其物理链路接人的规范模式如图2所示。


    同时,任意一台用户电脑或服务器都属于局域网若干个子网中的一个子网,它们的数据信息流动的轨迹,即逻辑链路,在企业局域网中,可以概括为3种规范模式。

 

1)同一虚拟子网内2台机器交换数据,通过接入交换机1、核心设备交换功能部分、另一台机的接人交换机2(见图3a),或交换数据只通过一台交换机1(见图36)。


    2)不同虚拟子网内2台机器交换数据,通过接人交换机1、核心设备交换功能部分、路由功能部分、另一台接人交换机2(见图3c),或通过接人交换机1、核心设备交换功能部分、路由功能部分、同一台接人交换机1(见图3d)。


    3)某一虚拟子网内一台机器,访问其他网络进行数据交换,通过接人交换机、核心设备交换功能部分、路由功能部分、防火墙设备,再到其他网络(见图3e )。


    规范化的链路特点使庞大网络变得简单而清晰,大大减少了维护开支,减少了排错响应时间。


    2.3智能网络设备


    公司局域网中,利用智能交换设备,实现数据交换到桌面,为实现远程数据流的跟踪提供了手段,同时,规范而有规律的链路特点,又为实现数据流跟踪提供了跟踪路线,一改以前数据流动到设备暗箱,不能再加分辨的状况,使数据流动轨迹的可视化程度得到提高。


    2.4标识接口和实时更新台账


    对每台网络设备进行命名,对网络设备的接口所连接的跳线进行标识。从核心设备到桌面接人设备,按设备建立接口连接清单,并及时更新,为维护提供实时台账。


    2.5北塔网管软件监控


    通过北塔网管软件,实现网络节点拓扑的可视化,并对节点问连线的流量进行监测,设置关键位置的报警。例如,对核心交换路由器设备的CPU负载设置警戒阀值80%(见图4)。

 

在计算机网络暴露故障之前,往往会发现一些异常情况,对这些异常情况的及时发现和排查是计算机网络系统防御故障的有效力一法。


    事实上,维护中所发现的异常流量不是很快能找到症结,并从根本上消除,因为症结主要是由系统漏洞所造成的,漏洞的发现和修复往往需要一个时间过程,因此,从网络角度及时恢复其正常运行,是维护的第一目标。网络异常流量的治理,有时则成为最佳、最快的网络维护策略。能否保障计算机网络系统正常可靠运行,关键在于隐患的及时发现、事件原因的及早确定和问题的准确定位。计算机网络维护平台的搭建,解决了故障的快速发现、快速定位、快速治理问题。企业运用网络设备功能,通过部署网络设施,规范网络链路,规范设施管理,逐步建立信息流量及其流动的分辨机制,从而提高事件快速响应能力。

 

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢