关闭

关闭

关闭

封号提示

内容

首页 顺德东菱集团网络平台发展规划建议书.doc

顺德东菱集团网络平台发展规划建议书.doc

顺德东菱集团网络平台发展规划建议书.doc

上传者: 仙人指路 2018-05-08 评分 0 0 0 0 0 0 暂无简介 简介 举报

简介:本文档为《顺德东菱集团网络平台发展规划建议书doc》,可适用于计划/解决方案领域,主题内容包含顺德东菱集团网络平台发展规划建议书年月目录前言第章东菱集团网络现状现有网络体系结构对现有网络的分析第章现阶段和未来网络应用CAD、CAM、PDM、C符等。

顺德东菱集团网络平台发展规划建议书年月目录前言第章东菱集团网络现状现有网络体系结构对现有网络的分析第章现阶段和未来网络应用CAD、CAM、PDM、CAPP企业资源管理(ERP)客户关系管理(CRM)办公自动化(OA)视频会议系统远程监控系统IP电话第章网络规划发展网络结构设计核心层分布层接入层核心交换机选型建议交换结构(SwitchingFabric)阻塞与非阻塞配置采用何种方式实现第层处理系统容量关键部件冗余设计缓冲技术系统结构的技术寿命网络层路由设计IP地址规划虚拟网划分和管理路由协议选择和路由设计网络管理系统平台第章网络安全东菱集团网络系统安全风险分析物理层安全网络层安全操作系统层安全数据库层安全应用层安全操作层安全(人和组织)网络层安全系统设计网络层安全区域划分内部网络安全设计互联网关安全设计防病毒安全系统部署数据备份安全部署第章结束语前言本发展规划建议书(以下简称建议书)是根据东菱集团现有的网络平台和网络业务需求编写的。本建议书根据计算机网络的相关技术规范结合东菱集团目前网络资源的现状充分考虑现有和未来的网络业务发展需要提出了相应的整体发展规划。本发展规划建议采用目前成熟稳定的千兆以太网交换设备对东菱集团现有网络进行扩容和升级在该宽带IP网络平台之上实现企业既有的和即将发展的各种数据、语音、视频应用。所构建的千兆网络平台不仅提供强健的性能和可靠性保证同时也要能提供优异的QoS保证和灵活的策略管理支持。同时网络平台的发展规划将充分考虑到原有网络系统的资源充分利用原有的网络设备保护原有的网络投资。本发展规划将充分考虑东菱集团的发展通过信息平台的基础建设保证在迅速变化着的市场中保持竞争性和灵活性。本建议书的文档包括网络现状、现阶段和未来的网络应用、网络平台发展规划网络安全等主要部分。第章东菱集团网络现状东菱集团网络平台目前采用以百兆以太网为主的交换机构建以下为现有网络体系结构及其分析。现有网络体系结构网络在总体上采用星型以太网全交换拓扑结构其主干和桌面的带宽均为M主配线间由一台DLinkDGSTG三层交换机和NetGear端口百兆交换机构成整个网络的核心分布在各个分厂和分配线间大部分为DLink工作组交换机通过双绞线铜缆将百兆端口分发到桌面。网络主配线间至部分分厂的远距离传输采用了多模或单模光纤并采用了M光收发器实现交换机的联结总体信息点总数约为。由于目前传输的数据量不大主交换机工作比较正常网络也比较稳定基本能够满足目前企业的需要。对现有网络的分析但是目前网络还存在部分的隐患如果不对网络平台进行相应的调整和扩容会极大影响到东菱集图的信息化建设的发展和网络平台的稳定性、可靠性。网络主干带宽:目前东菱集团网络采用百兆以太网为主干而且目前网络交换机之间均采用了多次级联在普通的应用下虽然工作正常但在受到网络病毒所产生大流量冲击的情况下由于网络主干带宽的限制造成网络的拥塞。网络的控制访问:目前作为核心三层交换的DGSTG交换机可以保证正常的应用下的三层交换机但没有办法根据数据包的源目的IP地址、TCPUDP端口对数据流进行访问控制和过滤所以在病毒爆发过程中无法有效的过滤病毒所产生的流量和限制网络病毒在内部局域网上的传播。网络结构:目前网络结构采用了星型的体系结构但局部存在多次的级联。而且级联的拓扑不是非常符合网络流量的特点造成客户端访问服务器时流量多次重复在核心交换机和级联工作组交换机之间传递加重了三层交换机的负载降低了链路的使用效率。网络管理:目前网络所采用的设备厂商和型号均较多没有形成全面的网络管理以及以有效的网络监控。网络安全:目前对外部网络的连接采用了防火墙进行隔离和保护但内部网络上没有整体的安全和访病毒设计。但越来越多的网络攻击和病毒是从网络内部发起的。第章现阶段和未来网络应用信息化技术的高速发展催生了大量而又丰富多彩的网络应用技术其中一些技术有助于企业改善管理机制节省营运成本提高企业对市场的应变能力和快速响应能力已经逐渐成为企业信息化建设的新热点。CAD、CAM、PDM、CAPP目前东菱集团采用专用的CAD设计软件进行产品设计。随着设计、加工设备的数字化和智能化通过网络传递加工数据控制加工过程将逐步成为现实。所以在未来的网络建设中要考虑设计部门与加工车间实时的低延时的数据传递。目前东菱集团已经将网络信息点布设到了车间这种超前的做法将对东菱集图实现现代化制造提供必要的条件。同时在选购数控设备时也必须考虑其接入内部网络的能力以满足未来的需要。PDM、CAPP的实施目前已经列入了东菱集团的信息化发展计划并将提供必要的接口向ERP系统交互BOM和工艺信息。企业资源管理(ERP)作为东菱集图信息化的核心项目ERP系统将提供企业产供销一体化的信息平台跨越了企业整个价值链。作为一个关键应用业务ERP对网络的低延时、可靠性、安全性、扩展性等提出了最为严格的要求具体如下:、网络必须能够实时响应至个节点的并发访问并且保证不能出现丢失数据的现象、网络必须足够可靠不能因为某台设备或某条线路的问题而导致整个网络中断、网络必须支持小时不间断运行不能因为病毒、电源故障、黑客等问题造成系统崩溃、网络必须能够应付系统用户的快速增长和应用范围的不断扩大避免频繁的设备更新、网络必须延伸到生产第一线为实现全面的生产过程控制作好准备。客户关系管理(CRM)客户关系管理(CRM)是一种旨在改善企业与客户之间关系、提高客户忠诚度的新型运作机制它实施于企业的市场营销、销售、服务与技术支持等与客户有关的领域。CRM致力于以产品和资源为基础、以客户服务为中心、以赢得市场并取得最大回报为目标通过对信息的有效集成为基础进行的客户快速反应为客户提供一对一、交互式的个性化服务从而达到商业过程自动化并改进业务流程的目的。CRM系统是建立在电子商务和客户呼叫服务中心基础之上的其网络支持主要在INTERNET接入语音、传真、电子邮件的接入、处理和回复身份认证等方面。办公自动化(OA)企业的办公自动化系统主要致力于打造企业的信息通讯平台、协同工作平台、电子化流程平台、信息集成平台和知识管理平台。目前东菱集图已经实施了OA系统在网络平台上支持电子邮件系统、信息发布等基本应用。视频会议系统视频会议就是利用DDN、ISDN、LAN等多种通讯网络线路把语音、图像、数据等信息综合在一起进行远距离交互的宽带网络多媒体应用使人们在进行异地交流的时候既可以听到对方的声音又可以看到对方的图像还能看到对方演示文件。实现点对点、多点对多点的远程视频会议交流。视频会议系统在企业具有广泛的适用范围可以为企业内部、企业和驻外机构之间、企业和合作伙伴之间、企业与客户之间召开跨省、跨国的各种行政会议、商务会议、商务交流、远程培训、远程办公、远程指挥与调度等业务提供服务。近年来伴随着对信息共享要求的加大对办公效率提升的要求以及节约费用等各方面的综合考虑视频会议系统日益成为IT市场的热点加之宽带多媒体网络视频技术的发展使得视频会议突破了传统电视会议技术局限不仅仅简单满足视听的需求更成为全新的能提供计算机信息共享的多媒体业务平台成为全新沟通业务的承载体能够更加出色地实现传统会议的功能。视频会议系统由于其ldquo可视rdquo的特性不仅可以达到传统会议的ldquo面对面rdquo的效果而且与会者可以跨越地域的分隔进行自由的交流具有极强的交互性。而且由于高新技术的支持还可以实现传统会议所无法实现的某些视觉、听觉效果。在公司总部与驻外办事机构召开多点会议时视频会议系统所具备的会议控制功能使会议的组织者能有效的控制会议过程提高会议效率。在准备会议资料时视频会议系统的计算机信息管理手段可以方便的分发和演示电子文档提高工作效率远程视频会议系统可以大幅节减参加会议或培训人员的时间和差旅费用使原来因费用问题而受到控制的驻外人员会议和培训得以适时召开。远程监控系统传统的远程监控系统是基于专用的视频线路安装和维护的费用都比较高。新型的远程监控系统则可以通过现有的计算机内部网络传输信号利用计算机终端进行监控。东菱集图的厂区较为分散可以在部分地点安装监控设备对分散在各地的现场进行日夜监控保障这些场合的安全。各监控点将数据通过集图的的局域网传输到监控中心保安人员也可通过网络对各监控点进行远程控制。IP电话企业IP电话是利用VoIP技术通过网络来实现企业远程内部电话系统。由于内部IP电话能够实现免费的国内长途和国际长途电话所以深得企业的青睐成为了目前网络应用的一个亮点。东菱集图在三个方面能够得到IP电话所带来的好处一是通过企业的广域网网络实现与办事处的免费IP电话二是通过各办事处网络设备的转接实现与办事处所在区域的客户免长途费用的IP电话三是实现办事处之间免费的IP电话。内部IP电话的应用将为东菱集团节省可观的电话通讯费用。。第章网络规划发展网络结构设计根据东菱集团现有和未来即将发展的网络应用制定初步的网络发展规划。由于考虑东菱集团网络系统平台的扩展普通的平面网络结构设计模型难以满足网络性能的需求而采用层次化网络设计模型由于其良好的伸缩能力、易于实现、易于排除故障、可预测性、协议支持、易于管理等特点可充分满足网络不断增长的长期需求。因此考虑现有网络资源我们在发展规划中采用了经典的ldquo三层层次模型rdquo和二层三层相结合的设计方法。层次化网络设计的指导原则middot选择最适合需求的分级模型尽量降低网络拓扑结构的复杂性。一般情况下三层层次模型就可以充分满足用户的需求。middot没有必要使网络的各层总是完全的网状连接访问层通常不必考虑为网状分布层可以考虑部分的冗余核心层连接最好是网状其目的是考虑链路冗余和网络收敛速度的原因。middot通过把的通信流量控制在本地工作组内部从而使工作组LAN运行良好这主要通过将服务器定位在工作组中适当的工作组行为来实现。middot在适当的层次级别使用具体的特征控制策略这主要通过把不同的控制功能部署在不同的层次级别来实现对于东菱集图网络平台我们将用层次化网络设计模型由于其良好的伸缩能力、易于实现、易于排除故障、可预测性、协议支持、易于管理等特点可充分满足网络不断增长的长期需求。遵从层次化的网络的设计原则根据东菱集图现有网络物理资源分布以及对网络覆盖范围的需求本着尽量降低拓扑复杂性保证系统最大可靠性的原则我们采用三层层次化模型:核心层、分布层和接入层。整个网络设计以千兆为主干百兆到桌面的结构以网络中心为核心并通过千兆光纤链路和分厂和分配线间节点工作组交换机相连。在网络中心采用高背板带宽高可靠性的核心骨干路由交换机在分厂和分配线间采用工作组交换机。这样的设计结构具有层次化设计节约线路成本、保障安全、便于管理、扩展灵活等特点。核心层核心层的功能主要是实现骨干网络之间的优化传输核心层设计任务的重点通常是冗余能力、可靠性和高速的传输以及强大的路由处理能力。暂时考虑以网络中心为整个网络的核心层节点(可以考虑在网络中心采用双核心交换机实现双机容错)核心节点选用高背板带宽、高性能的千兆骨干路由交换机。核心节点交换机将提供足够数量的千兆端口连接分布层和接入层交换机另外还要预留足够的扩展插槽保证未来需要对端口进行扩展时只需要增加相应的模块。另外核心交换机还应支持容错的背板、管理监控模块及冗余电源保证网络核心交换机良好的可扩充性和稳定性。分布层分布层通常是指在网络环境中将多个网络连接起来的部分网络的二级骨干部分通常是在分布层实现分布层一方面要求和核心层保持高速可靠连接另一方面汇聚了大量的访问层设备是部署网络策略的重要位置。同时分布层交换机需能实现三层交换功能、Qos功能等其它网络策略。建议在某个分厂和信息点较多的节点采用DLinkDGSTG三层交换机作为分布层节点通过千兆铜缆端口下联部分接入层交换机以后再通过千兆光纤端口上联核心交换机。接入层接入为用户提供了接入网络的能力访问层将用户连接到局域网中然后上联到到网络的分布层或核心层。根据地理上的分布和相应的光纤资源接入层工作组交换机采用带千兆上联端口并提供或百兆端口的千兆交换机。工作组交换机应考虑具有一定的堆叠能力堆叠以后通过单一的IP地址进行管理。核心交换机选型建议网络主干设备即核心交换机的系统结构直接决定了设备的性能和功能水平。这犹如先天很好的一个婴儿和一个先天不足的婴儿即便后天成长条件完全相同他们的能力依然有相当大的差别。因此深入了解设备的系统结构设计客观认知设备的性能和功能这对正确选择设备极有帮助下面将从七个方面对该问题进行讨论。交换结构(SwitchingFabric)随着网络交换技术不断的发展交换结构在网络设备的体系结构中占据着极为重要的地位。为了便于理解这里仅简述三种典型的交换结构的特点:共享总线:由于近年来网络设备的总线技术发展缓慢所以导致了共享总线带宽低访问效率不高而且它不能用来同时进行多点访问。另外受CPU频率和总线位数的限制其性能扩展困难。它适用于大部分流量在模块本地进行交换的网络模式。共享内存:其访问效率高适合同时进行多点访问(MULTICAST)。共享内存通常为DRAM和SRAM两种DRAM速度慢造价低SRAM速度快造价高。共享内存方式对内存芯片的性能要求很高至少为整机所有端口带宽之和的两倍(比如设备支持个千兆以太网端口则要求共享内存的性能要达到Gbps)。由此可见既便不考虑价格因素内存芯片技术本身在某种程度上也限制了共享内存方式所能达到的性能水平。交换矩阵(Crossbar):由于ASIC技术发展迅速目前ASIC芯片间的转发性能通常可达到Gbps甚至更高的性能于是给交换矩阵提供了极好的物质基础。所有接口模块(包括控制模块)都连接到一个矩阵式背板上通过ASIC芯片到ASIC芯片的直接转发可同时进行多个模块之间的通信每个模块的缓存只处理本模块上的输入输出队列因此对内存芯片性能的要求大大低于共享内存方式。总之交换矩阵的特点是访问效率高适合同时进行多点访问容易提供非常高的带宽并且性能扩展方便不易受CPU、总线以及内存技术的限制。建议所选用核心骨干路由交换机采用最新的CrossBar交换矩阵体系结构。阻塞与非阻塞配置阻塞与非阻塞配置是两种截然不同的设计思想它们各有优劣。在选型时一定要根据实际需求来选择相应的网络设备。阻塞配置:该种设计是指:机箱中所有交换端口的总带宽超过前述交换结构的转发能力。因此阻塞配置设计容易导致数据流从接口模块进入交换结构时发生阻塞一旦发生阻塞便会降低系统的交换性能。例如一个交换接口模块上有个千兆交换端口其累加和为Gbps而该模块在交换矩阵的带宽只有Gbps。当该模块满负荷工作时势必发生阻塞。采用阻塞设计容易在千兆百兆接口模块上提高端口密度十分适合连接服务器集群(因为服务器本身受到操作系统、输入输出总线、磁盘吞吐能力以及应用软件等诸多因素的影响通过其网卡进行交换的数据不可能达到网卡吞吐的标称值)。非阻塞配置:该设计的目标为:机箱中全部交换端口的总带宽低于或等于交换结构的转发能力这就使得在任何情况下数据流进入交换结构时不会发生阻塞。因此非阻塞设计的网络设备适用于主干连接。在主干设备选型时只需注意接口模块的端口密度和交换结构的转发能力相匹配即可。当要构造高性能的网络主干时必须选用非阻塞配置的主干设备。建议所选用核心骨干路由交换机采用无阻塞设计。采用何种方式实现第层处理众所周知每一次网络通信都是在通信的机器之间产生一串数据包。这些数据包构成的数据流可分别在第层进行识别。在第层(NetworkLayer即网络层以下简称L)数据流是通过源站点和目的站点的网络地址被识别。因此控制数据流的能力仅限于通信的源站点和目的站点的地址对实现这种功能的设备称之为路由器。路由器在网络中占据着核心的地位。传统路由器是采用软件实现路由功能其速度慢且价格昂贵往往成为网络的瓶颈。随着网络技术的发展路由器技术发生了革命路由功能由专用的ASIC集成电路来完成。现在这种设备被称之为第三层交换机或叫做交换式路由器。传统路由器具有阅读第层报头信息的能力(通过软件实现)与第三层交换机(或交换式路由器)采用专用的ASIC集成电路相比设备的性能几乎相差了两个数量级。值得指出的是:网络主干设备的系统结构在设计上分成两大类:集中式和分布式。即便两者都采用了新的技术但就其性能而言仍存在着较大的差异。集中式:所谓集中式顾名思义LL数据流的转发由一个中央模块控制处理。因此LL层转发能力通常为M-Mpps最多达到Mpps。分布式:将LL层数据流的转发策略设置到接口模块上并且通过专用的ASIC芯片转发LL层数据流从而实现相关控制和服务功能。LL层转发能力可达Mpps至Mpps。建议所选用核心骨干路由交换机采用分布式路由设计。系统容量由于网络规模越来越大网络主干设备的系统容量也成为选型中的重要考核指标。建议重点考核以下两个方面:物理容量:各类网络协议的端口密度如千兆以太网、快速以太网尤其是非阻塞配置下的端口密度。逻辑容量:路由表、MAC地址表、应用数据流表、访问控制列表(ACL)大小反映出设备支持网络规模大小的能力(先进的主干设备必须支持足够大的逻辑容量以及非阻塞配置设计下的高端口密度。)建议所选用核心骨干路由交换机具有G以上的背板带宽应能从十几个千兆端口扩展到几十个千兆端口。关键部件冗余设计人们已经普遍认同处于关键部位的网络设备不应存在单点故障。为此网络主干设备应能实现如下三方面的冗余。电源和机箱风扇冗余控制模块冗余:控制模块冗余功能应提供对主控制模块的ldquo自动切换rdquo支持。如:备份控制模块连续数次没有听到来自主控制模块的状态汇报备份模块将进行初始化并执行硬件恢复。另外各种模块均可热插拔。交换结构冗余:如果网络主干设备忽略交换结构的冗余设计就无法达到设备冗余的完整性。因此要充分考虑网络主干设备的可靠性应该要求该设备支持交换结构冗余。此外交换结构冗余功能也应具有对主交换结构ldquo自动切换rdquo的特性。建议所选用核心骨干路由交换机应能支持冗余的电源模块冗余的管理监控模块还支持冗余的背板设计使骨干交换机本身不成为单一故障点。缓冲技术缓冲技术在网络交换机的系统结构中使用的越来越多也越来越复杂。任何技术的使用都有着两面性如过大的缓冲空间会影响正常通信状态下数据包的转发速度(因为过大的缓冲空间需要相对多一点的寻址时间)并增加设备的成本。而过小的缓冲空间在发生拥塞时又容易丢包出错。所以适当的缓冲空间加上先进的缓冲调度算法是解决缓冲问题的合理方式。对于网络主干设备需要注意几点:.每端口是否享有独立的缓冲空间而且该缓冲空间的工作状态不会影响其它端口缓冲的状态。.模块或端口是否设计有独立的输入缓冲、独立的输出缓冲或是输入输出缓冲。是否具有一系列的缓冲管理调度算法如RED、WRED、RRFQ、WERRWEFQ。建议所选用核心骨干路由交换机每个端口采用独立的输入、输出缓存支持个硬件级队列通过WFQCBWFQCBQSP等先进的算法实现对网络数据流量QoS的支持。系统结构的技术寿命所选择的网络主干设备其系统结构应能满足用户的功能需求并具有足够长的技术生命周期。换言之要避免通过硬件补丁的办法(不断增加新的硬件单元对系统结构中存在的不足进行补偿或彻底更换新设备的方式)才能满足用户至年内不断增长的功能需求。业界有很多设备的系统结构是第层交换的设计概念需要通过增加第层的硬件模块才能实现第层或第层交换的功能而且第层数据包的转发能力远低于第层交换的转发能力。另外短期内还可能出现用新产品来替代原有产品的情况这对用户的投资保护十分不利。建议所选用核心骨干路由交换机应具有良好的扩展性和升级能力例如可以可以通过G以太网模块无缝的从千兆网络升级到万兆网络从而保护用户的投资。网络层路由设计IP地址规划IP地址是TCPIP协议族中的网络层逻辑地址它被用来唯一地标识网络中的一个节点,用户主机。IP地址空间的分配要与网络层次结构相适应既要有效地利用地址空间又要体现出网络的可扩展性和灵活性同时能满足路由协议的要求提高路由算法的效率加快路由变化的收敛速度。IP地址的分配应遵循以下几个原则:唯一性:一个IP网络中不能有两个主机采用相同的IP地址简单性:地址分配应简单易于管理降低网络扩展的复杂性简化路由表的款项连续性:连续地址在层次结构网络中易于进行路径叠合大大缩减路由表提高路由算法的效率可扩展性:地址分配在每一层次上都要留有余量在网络规模扩展时能保证地址叠合所需的连续性灵活性:地址分配应具有灵活性以满足多种路由策略的优化充分利用地址空间为了有效地利用地址空间我们可以对IP地址进行子网划分从地址的主机部分借取若干位作为子网号剩余部分仍然表示主机号。在因特网中一个网络节点的IP地址必须是唯一的为了保证这个唯一国际上专门有一个机构来负责IP地址的分配。这些分配的IP地址是通用的、或者说是合法的IP地址。由于在TCPIP协议开发的初期没有考虑到日后会有这么多计算机需要联网选择了只有位的IP地址使目前出现了地址短缺现象。因特网的管理机构为了满足一些大型企业和机构建网时的IP地址需要专门规定了一些保留地址这些保留地址只能用在企业和机构内部网络需要访问外部网络时采用地址翻译的办法。为了在今后实施网络的安全策略时便于管理在地址规划中一方面要考虑尽量使分配地址的范围缩小到最低程度另一方面考虑使各个OSPF区域内的地址连续。初步可以设置:核心层、分布层交换机之间采用网络地址交换机网管采用网络地址客户端采用网络地址。并根据各个中心的端口数量交换机台数链路数量以及东凌集团的具体需求进行规划。虚拟网划分和管理虚拟网(VLAN)技术是目前局域网技术中发展迅速的一种技术它通过在现有物理网基础上根据实际网络应用的需要灵活配置将网络各节点重新划分组网形成一个逻辑网络。虚拟网技术的引入给现有网络的设计、管理和维护带来了某些根本性的改变。在一个网络中采用虚拟网技术主要是基于以下几点考虑:提高管理效率:网络中节点的移动、增加和改变是网络运行中管理员经常面临的事情在以往的管理中只能采取重新进行布线、跳接或改变节点的网络地址等方式来达到目的。采用虚拟网技术后只需简单地在交换机上改变一些端口的设置即可完成相应的改变。控制广播数据:广播数据在每一个网络中都会存在的广播数据的多少主要取决于应用的类型、服务器的类型、网段中节点机的数量等如路由信息的更新、ARP请求等。在共享网络和二层交换的网络中广播数据会转发到每一个网络设备端口上在广播数据大到一定的程度中会形成广播风暴影响网络的使用。通过划分虚拟网可以缩小广播的区域从而减少广播数据。增强网络的安全性:把有不同安全等级需求的网络节点划分在不同的虚拟网中通过在网络的第三层进行地址列表控制达到一定的安全性。实现虚拟的工作组:把临时因工作需要组成的项目组划分在一个虚拟网络可以达到共享文件等网上资源。虚拟网的基本实现原理是通过在传输的数据包中附加若干个虚网信息位来识别所属的虚拟网信息位的多少决定了实现虚网类型和虚网数目的多少。当数据包在网络上传播时网络交换机端口根据记录的虚网信息决定是否允许流经的包通过。在实现虚拟网的过程中各网络生产厂商纷纷推出了自己的技术和相应的产品导致了各厂商VLAN产品自成系统互不兼容如Cisco公司的ISL虚拟网协议。为了使不同厂商的VLAN产品可以互联互通制定了VLAN的国际标准即IEEEQ。通过在以太网帧中插入VLAN头部表示该帧为虚拟网的帧。IEEEQVLAN头部中包含的虚拟网标识位长度为位即最大可以表示个虚拟网。目前的以太网交换机均支持标准的IEEEQVLAN划分方式。在东菱集团虚拟网建议采用基于端口划分的方式。在根据网络的结构划分时主要是按照单位的结构和网络所在的地理结构来划分。具体划分虚拟网时遵循以下几条原则:-按照方便管理的原则把地理位置相近的节点划分在同一个虚拟网中。-每个虚拟网内的节点数最大以个节点为限最小不少于个节点。-尽量避免跨越多条主干网来划分虚拟网。-虽然VLAN号是交换网络中一个虚拟网的唯一标识用于识别和区分不同的虚拟网但人们在使用和管理中很难记忆各个VLAN号代表的网络。为了便于记忆和区分不同的虚拟网引入了VLAN的名称使用有意义的名字来代表各个虚拟网可以在定义一个VLAN时一同定义其名称。路由协议选择和路由设计东菱集团网络平台选择适当的路由协议进行认真的地址和路由规划对于优化整个网络的性能保证网络的扩展性健壮性具有非常重要的意义。东菱集团网络平台具有范围广用户应用复杂(包括数据备份、FTP、用户数据网页浏览、用户数据库查询、远程控制信息、应用系统的数据主备切换今后还将有视频会议、IP语音等多种类型的多媒体应用)容量要求高等特点。因此在东菱集团网络发展规划中应非常重视路由的策略及优化。常用的路由协议有RIPV、RIPV、和OSPF。RIPV不支持变长子网网络收敛速度较慢设备间转发的路由信息比较多每次交换路由信息都会把整个路由表广播出去严重浪费带宽RIPV虽然支持变长子网但依然有收敛速度慢交换内容多等弊端不适合作为一个运行商内部的网络路由协议。OSPF具有收敛速度宽占用带宽资源少等特点。下表是对不同路由协议的比较:比较项RIPRIPvOSPF协议类型距离矢量距离矢量连接状态支持变长子网不支持支持支持网络规模最多跳最多跳个路由器支持域的划分不支持不支持支持信息交换间隔秒秒有变动就交换无变动小时路由表交换内容全部路由表全部路由表更新过的内容路由收敛时间秒秒秒OSPF是作为一种基于链路状态的路由协议它在网络扩展性安全控制路由恢复(路由收敛)等具有明显的优势。网络扩展性:-支持网络分层结构-支持VLSPRouteSummary-标准协议各厂家路由器之间具有良好的互操作性-支持MultiPath允许在两点之间存在多条路径在多条路径上负载均衡提高网络主干容量安全性:-OSPF路由器之间支持身份认证避免黑客路由干扰。路由恢复:-采用LSA算法路由改变的影响局限在最小的范围东菱集图网络平台IP网络路由的规划直接影响到网络尤其是大规模业务网络的性能和扩展性。选择一个合适的路由协议和完整的路由规划是至关重要的。在对比不同路由协议的特点以后我们在东菱集图网络系统IP网络内部采用OSPF动态路由协议动态路由和静态路由相结合可以减少路由信息交换的频度和数量。由于OSPF是一种层次化的路由协议可以根据网络的结构把路由策略划分成不同的区域每个区域内路由器维护一个相同的链路状态数据库。在划分网络的OSPF区域时主要考虑以下几点原则:-每个区域内的路由器个数不宜太多最多不超过个路由的条数以不超过条为宜因为路由的判断是遵循最大匹配的原则即子网掩码最接近的路由项是下一跳的选择-区域内路由的收敛速度要快即一个区域内路由变化时重新计算出路由策略的时间这个时间要求越短越好-每个区域内的网络地址要连续比较容易地表示成一条或几条大的路由项-经常开关的路由设备(三层网络设备)不适宜划分在主干区域(area)内-区域也不宜划分的过多每个区域必须与主干区域有链路直接相连-边界路由器属于两到三个区域为宜网络管理系统平台东菱的网络平台需要良好的网络管理软件平台来进行管理配置和监控。国际标准化组织(InternationalOrganizationforStandardizationISO)定义了五大类型的网络管理功能包括性能管理、故障管理、配置管理、安全管理、记帐管理等。东菱集团的网络管理软件应主要提供对网络性能管理、故障管理、配置管理和安全管理的功能。第章网络安全在全球信息化的推动下企业信息化已经成为新世纪的潮流。今天可以说如果脱离了信息系统的支撑所有企业的一切业务将无法正常、快速的运作。但是享受信息化带来的好处的同时我们也必须认识到在计算机网络作用不断扩大的同时由于网络安全性方面存在的问题而对企业造成的危害或损失也十分巨大。因此网络安全是东菱集团在进行网络规划时必须十分关注的问题之一。随着企业发展规模的不断壮大分支机构的增加网络、系统和应用也必定会不断的扩展技术的应用范围就会变得种类繁多且十分复杂。特别是支撑整个企业运作的关键应用系统如ERP、PDM、CAPP等一旦出现安全问题如机密信息泄露、系统瘫痪因此而给企业造成的损失将是无法估量的。因此深入研究企业的网络系统和应用的安全特点在打造ldquo数字化企业rdquo的进程中制定保证企业的网络安全措施是东菱集团网络应用系统能够正常、稳定和健康运行的必要前提。东菱集团网络系统安全风险分析为了系统地描述和分析东菱集团的网络、应用和系统现在和将来可能存在的安全问题本节将从系统层次结构的角度展开分析各个层次可能存在的安全漏洞和安全风险并提出相应的解决方案。对东菱集团的网络安全分为六个层次来进行分析:物理层、网络层、操作系统层、数据库层、应用层和操作层。物理层安全物理层安全主要包括以下三个方面:环境安全:东菱集团目前存在的环境安全问题主要是雷击对网络所覆盖区域的危害。随着高性能服务器和核心交换机的使用网络本身的价值很高一旦遭雷击损坏将使公司蒙受较大的损失。网络防雷主要是电源防雷和数据线路防雷。其中电源防雷主要通过对主机房所在大楼电源进线处安装一级电源防雷器和在主机房电源进线处安装二级防雷器的办法解决数据线防雷包括以下措施:、室外采用光缆线路可以有效地抗雷击、室内采用金属桥架对金属数据线缆进行屏蔽并通过接地来防止雷电感应、对电话线路则必须安装通讯避雷器或避雷端子。任何避雷方式都要求有完善的交直流地线系统其接地电阻小于欧母。在研发大楼的建设中必须对大楼避雷系统、直流地线系统和电源防雷做通盘考虑保证未来大楼网络系统和电话系统有一个安全的防雷环境。此外主机房应安装恒温恒湿空调设备(按国家B级标准温度为、湿度为、最好在机房的下部进风出风口设中效过滤装置)设置安全照明设备安装防静电地板墙壁、天花和地板采取防尘防火措施机房门窗和管线接缝应密闭天花安装通风装置应设二氧化碳或卤代烷灭火装置安装电源保护开关。设备安全:设备主要是指中心机房的服务器、网络设备和网络线缆。在服务器和网络设备的安全方面东菱集团目前的UPS电源系统比较脆弱后备电池的供电时间很短没有网络自动关机保护等功能一旦出现电源故障将可能造成数据丢失、设备损坏等事故。在网络线缆方面东菱集团网络目前有很多线缆未采取密闭保护措施存在电磁干扰、鼠咬和人为损坏等问题这些问题如发生在网络干线上则有可能造成部分网络长时间中断。原配件中心的光纤曾被老鼠咬断过一次造成网络中断了天。此外应对光纤集中的室外电缆沟严加保护防止因施工造成的人为破坏出现网络大面积中断的恶性事故。服务器安全的最后底线是数据备份当服务器出现不可修复的或灾难性的事故时数据备份将能够尽快恢复网络的工作减少设备安全问题所带来的损失。东菱集团目前由于数据量较少通过系统管理员手动备份基本能够解决问题但手动备份有很多局限性容易出现差错遗漏部分必须备份的数据存在事故的隐患。随着东菱集团网络应用的深入数据量的日益增长采用全自动化的网络备份和恢复系统将势在必行。媒体安全:包括媒体数据的安全及媒体本身的安全媒体主要指承载数据的磁带、磁盘、光碟等介质。东菱集团目前几乎没有保证媒体安全的措施每天的数据备份磁带都由系统管理员自己保管磁盘、刻录光碟等媒体的管理也未制度化这可能存在一个很大的安全漏洞。因为备份磁带包含了企业几乎所有的信息有些甚至是非常敏感的一旦磁带被带出公司将造成难以估量的损失。因此必须对媒体安全制定严密的安全措施将媒体存放到防盗、防火、防毁、防电磁污染的安全场所(如人开启的保险柜)。最好设立一个信息保密室将数据备份、光盘刻录、软盘存档等工作集中管理并制定有效的保密措施。网络层安全网络层是网络信息系统的渠道和通路许多安全问题都集中体现在网络层的安全方面。东菱集团的内部网一旦和INTERNET连接拥有固定的IP地址则在网络层方面必定存在风险。由于网络系统内运行的TPCIP协议并非专为安全通讯而设计所以接入INTERNET的网络系统存在网络黑客入侵的隐患和威胁。网络入侵者一般采用预攻击探测、窃听等搜集信息然后利用IP欺骗、重放或重演、拒绝服务攻击(SYNFLOODPINGFLOOD等)、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。在东菱集团内部网中网络层的安全也将随着PDM、CAPP、ERP等的应用而成为需要关注的问题。内部网的风险主要在于研发资料、财务资料、及其他保密信息可能通过内部人员泄露到INTERNET而这种窃密渠道往往不为他人察觉是网络层安全的关键问题。因此要采取措施将敏感信息与INTERNET和其他无关人员隔离开来并通过在内网和外网之间设置网络防火墙设备制定合理的安全策略将能有效的解决网络层的信息安全问题。另一个困扰东菱集团的网络层安全问题是电脑病毒。目前东菱集团对网络服务器安装了服务器病毒防火墙但对个人电脑访问互联网所带来的病毒入侵则未采取措施这将对内部的所有电脑构成威胁。随着电脑数量的逐步增加个人电脑防病毒的问题将日益突出必须采取措施尽早解决这一问题。操作系统层安全操作系统安全也称主机安全由于现代操作系统的代码庞大从而不同程度上都存在一些安全漏洞。同时由于系统管理员对复杂的操作系统和其自身的安全机制了解不够操作配置不当也会造成安全隐患。对操作系统层的安全应从以下几点加强管理:使用NTFS文件系统它可以对文件和目录使用ACL存取控制表系统管理员账号由原先的ldquoAdministratorrdquo改名使非法登录用户不但要猜准口令还要先猜出用户名系统管理员的密码长度应至少位以上。限制用户密码的长度(如必须在位以上)强制用户定期更改密码对于提供Internet公共服务的计算机(如WEB网站)废止Guest账号移走或限制所有的其他用户账号开审计系统审计各种操作成功和失败的情况及时发现问题前兆定期备份日志文件及时安装最新的补丁程序。利用相应的扫描软件对操作系统进行安全性扫描评估、检测其存在的安全漏洞分析系统的安全性提出补救措施。最后对电脑用户应加强身份认证机制及认证强度。建议使用增强身份验证系统比如基于令牌的一次性口令认证系统等(目前美的公司已采用增强身份验证系统)。数据库层安全几乎所有的关键业务系统都运行在数据库平台上如果数据库安全无法保证建立在其上的应用系统也会因非法访问、误操作、外力灾难等而被破坏。数据库安全应从以下几点加强管理:数据库完整性:数据库管理程序必须确保只有经批准的人才能更新同时数据必须有访问控制机制另外数据库系统还必须防范非人为的外力灾难。因此整个数据库的保护是对系统上的所有文件周期性地做备份。数据库的周期性备份可以控制灾祸损失。必须能在系统出错后能重建数据库因此数据库操作系统必须维护对事务的记录。在出现系统失败的事故时由数据库的备份开始重新处理记录之后的所有业务。元素的完整性:数据库元素的完整性是指它们的正确性和准确性。用户由于数据更新、数据集成等应用的需要可能通过数据库输入数据而一个数据库可能包含几种相互关联的数据也可能在许多表中存储了重复的数据。这是需要一种策略来解决可能发生的数据冲突问题通过访问控制来维护数据库的完整性和一致性。为保证数据库元素的完整性必须维护数据库的更改日志。更改日志是数据库每次改变的记录文件日志包括原来的值和修改后的值。当出现错误的修改时数据库管理员可以根据日志恢复到错误以前的状态。可审计性:在某些应用中(如ERP、PDM等)数据库系统需要产生对数据库的所有访问(读或写)的审计记录。这种记录可以协助维持数据的完整性或者至少可以帮助在事后发现谁以及何时影响过什么数据值。数据库的审计踪迹必须包括对记录字段和元素一级的访问。对于企业关键的数据库应用审计记录必须做得很详细。同时系统管理者必须具备对审计记录的分析判断能力当出现问题时能够从记录中追踪到问题出在那里。访问控制:一般来说数据库的访问控制是由应用程序实现的在这种情况下数据库管理系统并不直接承担访问控制的职责。但是当企业建立了大量的数据库系统后如何利用数据挖掘工具从海量的数据中挖掘分析则成为企业的必然需求。这时数据库管理者必须根据用户访问特权逻辑地分割数据库。如营销中心用户可以得到销售数据、人力资源部用户可以得到工资数据、工时数据等。数据库管理者可以按照访问控制策略指定谁访问哪些数据这些数据可以是字段、记录、甚至元素允许一个用户或者程序可以有权读、改变、删除或输入一个数据可以增加或删除整个字段或记录或者重新组织完全的数据库。由于数据库中的记录字段和元素是相互关联的用户可能通过推理的方法从某些数据的值得到另外一些数据值。所以对数据库的访问控制还要考虑限制推理或禁止一些推理路径。必须特别注意的是通过应用程序来控制访问权限有两种:一种是数据库管理系统给应用程序一个具有完全访问的权限的帐户然后完全由应用程序来控制访问。这种方式存在不安全因素一旦被某个居心不良的人掌握这个帐户将会使数据库遭到破坏二是应用程序的访问控制与数据库管理系统的访问控制捆绑这样即使用户直接进入数据库也只能访问他可以访问的数据。应用程序还必须对用户权限列表进行加密。用户认证:数据库访问要求进行严格用户认证。因此必须限制用户密码的长度(如必须在位以上)强制用户定期更改密码用户密码。并开启访问日志对任何非法登录进行跟踪。为了加强安全性数据库管理员可以允许用户只在某些时段访问数据库比如在工作时间。其他保护措施:其他保护措施包括数据库所在的的服务器操作系统的安全必须有防特洛伊木马病毒的能力禁止将数据库文件随意移动到其他目录或电脑在安装使用前对数据库系统和应用程序的安全配置进行审核及时安装补丁和修正程序。特别要注意的是:必须将数据库程序开发人员、程序测试人员、数据库管理人员分离否则所有安全措施都可能形同虚设。应用层安全企业的应用包括WEB、FTP、邮件系统、DNS等服务系统以及ERP、SCR、CRM、办公自动化、电子商务等应用系统。当存在网上交易、网上审批和敏感数据交换的应用时会在不同程度上存在安全漏洞有的甚至是高风险的安全漏洞。所以需要为这样的应用系统提供应用层安全解决方案。应用层安全功能应包括ISO提出的身份认证、访问控制、数据机密性、数据完整性、抗否认这五种安全功能再加上安全审计和安全管理等安全功能(LOTUS平台提供了这些功能)。在此仅对以上功能做个简单介绍。身份认证:通过对企业内部或国家认可的管理机构签发的数字证书的支持使用SSL协议来完成用户身份认证。访问控制(授权):用户完成认证后并建立SSL通道要访问具体的资源时可通过授权来对用户进行访问控制。数据机密性:由建立的SSL通道来保证通过提供加密算法接口用户可根据需求采用不同加密算法。数据完整性:由建立的SSL通道保证在发送方为传送的信息产生一个校验和并加密此校验和与信息一起传送接收方收到信息后也算出一个校验和与发送方的校验和比较如果一致说明数据在传送中未被篡改。抗否认抗否认功能由提供的数字签名功能结合其它安全机制来完成。安全审计安全审计功能由提供的审计功能完成主要记录用户对资源的访问过程以及对服务器的管理操作。安全管理:对数字证书的签发、变更、作废进行管理制定访问权限分配方案对否认进行鉴定分析审计记录检测安全漏洞。操作层安全(人和组织)操作层是网络安全架构的最顶层其实就是对企业的网络、应用和系统进行操作、维护和使用的内部人员。人员有各种层次对人员的管理和安全制度的制订是否有效直接影响由这一层次所引发的安全问题椐统计大约有七八成的安全事件完全或部分地由内部引发的所以操作层的安全已经引起了人们的重视。目前东菱集团已经制定了《计算机网络系统管理制度》这个制度应随着网络发展和应用的复杂化作出相应的版本升级并强化执行力度。我们必须理解一个问题:通过各种网络技术手段所建立的网络安全体系并不能百分百地保证网络安全还应通过企业的行政管理制度来对网络管理人员和应用人员进行约束。针对目前和未来信息化发展的情况东菱集团主要应在以下几个方面建立网络安全管理制度:信息安全组织保障:对网络信息安全管理实施工作责任制和责任追究制。成立公司网络信息安全领导小组和工作小组并配备网络信息安全管理员各部门主要负责人为本部门的网络信息安全责任人负责本部门内网络信息安全管理工作。网络信息安全领导小组的责任在于:提高管理人员和技术人员的安全防范意识明确网络安全的现状鉴别网络存在的安全隐患促使网络安全防范形成完整的、组织化的体系结构为网络安全管理人员和技术人员掌握必要的专业安全知识提供条件。数据和媒体安全管理:结合保密要求对备份磁带、磁盘、刻录光盘等信息媒体建立领用、归档、保管、销毁等安全保护措施。制定数据备份的方式、备份时间和归档时间并严禁私人将媒体带入公司。数据媒体必须妥善保存一般不应存放在主机房所在的同一楼层。帐户和权限管理:用户在接入网络或变更权限之前应提出书面申请经批准后由系统管理员设置帐户和权限。授权后应强制用户在第一次登录时修改帐户密码授权申请书应交到公司信息安全工作小组备案。安全管理员应对帐户和权限进行审计必要时检查系统访问日志。宣布人员调离的同时应马上收回钥匙、更换口令、取消帐户等并向被调离人员申明其保密义务。内部网用户管理:接入内部网的用户电脑按工作岗位安装必要的应用软件不得在未经申请的情况下擅自安装其他软件经批准安装了光驱、软驱、刻录机的用户不得将其进行网络共享具备上互联网权限的用户不得将与工作学习无关的信息下载到电脑上严禁在未经批准的情况下将移动存储设备带入公司严禁用户擅自变更IP地址和主机名称工作期间禁止上网访问与工作无关的信息。内部网用户管理的职责主要由各部门安全负责人承担。主机房安全管理:进入机房要换鞋保持机房内安静、整洁保护好服务器及网络设备严禁将食品、饮料等可食用东西带进机房严禁在机房内吸烟为保证设备正常运转不得擅自改动或移动机房内的电源、空调及机柜、服务器、交换机等计算机、网络设备严禁使用系统管理员的帐户访问INTERNET未经许可不得允许非机房内工作人员进入机房未经批准不能带外人参观、演示、查询信息对参观人员必须全程陪同应经常清除信息垃圾不得长期超量占用磁盘空间影响系统正常运行禁止使用不属于自己的IP地址、及帐号严禁带火种进入机房注意设备负荷防止用电超负荷和电线短路机房严禁堆放各类物件。保证过道畅通。要注意防盗防火平时掌握机房所配防火设施的操作规范离开机房必须锁门下班前作好数据备份工作检查设备的运转情况填好日志记录。主机房安全管理主要由当班系统管理员负责。应用系统安全管理:由该应用系统的推广负责人根据用户岗位需要编制用户岗位访问权限分配方案经网络安全管理领导小组批准后由系统管理员或信息安全管理员设置用户权限并将有关访问权限的资料交安全工作组归档保存作为今后安全审计的依据。如需要变更权限时也必须按以上流程进行。网络安全配置管理:按照网络安全领导小组批准的网络安全策略由信息中心负责制定网络安全配置方案包括子网的划分、VLAN的划分、网络安全层次的划分防火墙的配置等等。网络安全配置方案批准后由系统管理员负责分配网络的IP地址设置VLAN、防火墙设备。然后由网络安全工作组对网络安全情况进行测试。测试通过后工作组将有关网络安全配置的资料归档保存作为今后安全审计的依据。网络层安全系统设计主要针对东菱集团的网络、应用和系统的安全需求进行网络层安全系统的分析和设计对每个安全问题都详尽的描述技术和管理的要求并且选择相关技术、产品和服务。网络层安全区域划分东菱集团当前和未来的的应用将会包括ERP、PDM、CAPP、SCR、CRM、财务系统等企业管理信息系统也会有WEB、FTP、DNS、邮件系统等公众基本服务以及公司的办公自动化系统、电子商务系统等。这些应用所面向的对象不同有些是对内服务的如ERP有些是对外服务的如WEB网站。而对内服务的应用也不是向所有内部用户开放的如PDM。因此对这些应用必须合理划分安全环境而不能都装在一台服务器上去面对所有的访问。东菱集团可以按照以下方法来安排应用安全环境。将企业未来的内部网络分为公共安全域和内部安全域二个组成部分。这二部分有不同的结构和使用对象所以也有不同的安全要求。公共安全域通过INTERNET接受企业外部用户连接提供如:DNS、Email、WWW网站等公共服务同时还为内部网用户提供对外访问的连接和管理。这部分是外部和内部用户都能到达的网络区域负责传递或代理外部对内部的访问和内部对外部的访问。以公共安全域作为内外数据交换的安全管理点针对应用服务进行细粒度的访问控制对用户和服务器双方进行身份验证。该安全域是内部网安全的缓冲地带也称为停火区(DMZ)。同时在INTERNET的接入点设置防火墙进行较粗粒度的访问控制实施第一层的安全保护。所有外部用户禁止直接访问内部安全域如有需要只能通过在公共安全域中的服务器间接(代理)访问内部域的服务器同样内部用户也不能直接向外访问必须通过公共安全域上的代理服务器(Proxy)或网络地址转换(NAT)访问外部。内部安全域内安装提供内部信息服务的各种服务器如PDM、CAPP、ERP、财务系统、内部WEB服务器、内部邮件系统等还包括主安全服务器。内部安全域内的服务器是整个网络中最主要的信息资源安全要求最高不仅要防止外部的攻击和授权访问对内部网用户同样如此所以内部安全域也通过VLAN将服务器分别与在内部网的不同用户组连接。这些服务器不直接对外服务只接

用户评论(0)

0/200

精彩专题

上传我的资料

每篇奖励 +2积分

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

资料评价:

/34
¥20.0 购买

意见
反馈

立即扫码关注

爱问共享资料微信公众号

返回
顶部