廣域網(wǎng)用戶(hù)集中管理系統(tǒng)實(shí)施在供電系統(tǒng)中的應(yīng)用
前言
隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和廣泛應(yīng)用,信息技術(shù)的發(fā)展突飛猛進(jìn),它幾乎滲透到了每一個(gè)企業(yè)的經(jīng)營(yíng)管理活動(dòng)中,信息化建設(shè)已經(jīng)成為廣大企業(yè)生存和發(fā)展必不可少的戰(zhàn)略行為。而互聯(lián)網(wǎng)體系作為當(dāng)今社會(huì)最重要的信息基礎(chǔ)建設(shè),IP地址是最重要的互聯(lián)網(wǎng)基礎(chǔ)資源,IP地址管理包含IP地址分配、IP地址配置以及IP地址溯源等眾多環(huán)節(jié),因此,IP地址管理技術(shù)是當(dāng)前企業(yè)信息化建設(shè)領(lǐng)域的關(guān)注焦點(diǎn)。早期安慶供電公司分配地址時(shí)采用靜態(tài)分配IP配合人工統(tǒng)計(jì),隨著供電公司三級(jí)五大的調(diào)整,安慶供電公司的IP地址被打亂?梢钥闯觯缙诘腎P地址分配方式對(duì)于IP地址的利用及管理方面造成較大的困擾。采用動(dòng)態(tài)IP地址獲取可以獲得更高的資源利用效率、實(shí)現(xiàn)企業(yè)資源和業(yè)務(wù)的靈活配置、簡(jiǎn)化網(wǎng)絡(luò)和業(yè)務(wù)管理并加快業(yè)務(wù)提供速度,通過(guò)用戶(hù)集中管理系統(tǒng)優(yōu)化IP管理方式、提升IT系統(tǒng)運(yùn)行效率是當(dāng)前技術(shù)發(fā)展的方向。
用戶(hù)集中管理系統(tǒng)是用戶(hù)地址管理技術(shù)在網(wǎng)絡(luò)架構(gòu)中的具體應(yīng)用,它提高了網(wǎng)絡(luò)地址管理效率以及節(jié)約IP地址使用率,并在一定程度上提高網(wǎng)絡(luò)中用戶(hù)的安全性。相對(duì)于傳統(tǒng)網(wǎng)絡(luò),用戶(hù)集中管理系統(tǒng)更適合于為SG186工程保駕護(hù)航,也將成為今后供電公司網(wǎng)絡(luò)管理拓展的方向。
1、網(wǎng)絡(luò)架構(gòu)現(xiàn)狀及需求
在國(guó)家建設(shè)智能電網(wǎng)的大背景下,安慶供電公司也積極響應(yīng)號(hào)召,投入很大力量打造安慶的智能電網(wǎng)。經(jīng)過(guò)近幾年信息化建設(shè)的投入,安慶供電公司建立了完善的局域網(wǎng)和承載各種業(yè)務(wù)的廣域網(wǎng),提高了業(yè)務(wù)運(yùn)轉(zhuǎn)效率,能夠更高效地為當(dāng)?shù)亟?jīng)濟(jì)建設(shè)服務(wù)。但管理問(wèn)題也隨之出現(xiàn),復(fù)雜的IT系統(tǒng)管理人員如何從容應(yīng)對(duì),網(wǎng)絡(luò)故障導(dǎo)致的業(yè)務(wù)中斷嚴(yán)重影響了正常工作,IP地址的盜用給工作帶來(lái)了大量麻煩等等。如何確保有序、高效管控,讓IT系統(tǒng)和業(yè)務(wù)系統(tǒng)發(fā)揮最大價(jià)值,成為安慶供電公司的緊迫任務(wù)。
目前,安慶供電公司在廣域網(wǎng)中采用為每臺(tái)PC指定IP地址方式,該方式的好處是配置簡(jiǎn)單、易實(shí)現(xiàn)。但隨著安慶供電公司信息網(wǎng)絡(luò)(廣域網(wǎng))用戶(hù)的增多,網(wǎng)絡(luò)IP地址的管理分配成為一個(gè)工作量大且繁瑣的事情。由于終端用戶(hù)的IP地址都需要信息網(wǎng)絡(luò)管理人員集中管理及分配,信息網(wǎng)絡(luò)管理人員就需要對(duì)所有終端用戶(hù)的主機(jī)進(jìn)行手工靜態(tài)設(shè)置,百密必有一疏,大量IP地址的分配難免會(huì)出現(xiàn)誤配和錯(cuò)配的情形,如:IP地址沖突、掩碼錯(cuò)誤、網(wǎng)關(guān)錯(cuò)誤等;另外手工配置IP地址的方式?jīng)Q定了終端用戶(hù)可以私自修改地址,而造成網(wǎng)絡(luò)地址沖突、網(wǎng)關(guān)地址被使用等;一旦IP地址沖突,首先就是沖突的2臺(tái)電腦不能上網(wǎng),偶爾會(huì)出現(xiàn)一臺(tái)能上,一臺(tái)不能上情況;如果私自修改的IP地址跟服務(wù)器,交換機(jī),路由器等網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP地址沖突,就會(huì)造成整個(gè)網(wǎng)絡(luò)的癱瘓。上述也會(huì)造成信息網(wǎng)絡(luò)的抖動(dòng)和安全隱患,在網(wǎng)絡(luò)安全上也存在一定的隱患。
并且現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)不能很好的防范網(wǎng)絡(luò)中可能出現(xiàn)的ARP欺騙和中間人攻擊,對(duì)網(wǎng)絡(luò)的正常運(yùn)行構(gòu)成了嚴(yán)重威脅,如果現(xiàn)有的網(wǎng)絡(luò)內(nèi)部某臺(tái)設(shè)備感染了ARP病毒,那么全網(wǎng)的設(shè)備都將面臨著嚴(yán)重的安裝威脅。網(wǎng)絡(luò)用戶(hù)數(shù)量大,管理難,容易出現(xiàn)地址亂配等現(xiàn)象,這樣不僅大大浪費(fèi)了IP地址同時(shí)還會(huì)在網(wǎng)絡(luò)設(shè)備的管理存在嚴(yán)重的問(wèn)題。這些都給網(wǎng)絡(luò)的安全管理帶來(lái)問(wèn)題。
2、用戶(hù)集中管理系統(tǒng)設(shè)計(jì)方案
2.1 設(shè)計(jì)思想
用戶(hù)集中管理系統(tǒng)是一種IP地址管理技術(shù),它通過(guò)減少I(mǎi)P地址的管理復(fù)雜性和降低網(wǎng)絡(luò)ARP攻擊環(huán)節(jié),從邏輯上簡(jiǎn)化了網(wǎng)絡(luò)管理,同時(shí)增加了網(wǎng)絡(luò)安全。安慶供電公司廣域網(wǎng)用戶(hù)集中管理系統(tǒng)將部署一臺(tái)服務(wù)器作為廣域網(wǎng)的DHCP服務(wù)器,在服務(wù)器上采用IP+MAC的方式為信息網(wǎng)用戶(hù)動(dòng)態(tài)分配IP地址,實(shí)現(xiàn)每位用戶(hù)動(dòng)態(tài)獲取地址,并且每次獲得IP都固定,便于管理,大大簡(jiǎn)化了此前需信息中心工作人員需前往每名用戶(hù)桌面為其設(shè)置IP地址的工作量。
為了網(wǎng)絡(luò)的安全性和用戶(hù)私自修改IP地址以及中間人攻擊,將在信息廣域網(wǎng)交換機(jī)部署DHCP SNOOPING和ARP DETECTION技術(shù),對(duì)用戶(hù)的IP地址進(jìn)行arp檢測(cè),對(duì)全網(wǎng)進(jìn)行集中管控。
2.2 網(wǎng)絡(luò)架構(gòu)
如上圖所示:DHCP服務(wù)器部署于核心交換機(jī)的服務(wù)器區(qū),在DHCP服務(wù)器上實(shí)行IP+MAC方式建立地址池為用戶(hù)分配IP地址,固定用戶(hù)IP地址,并加強(qiáng)管理性;接入層交換機(jī)部署DHCP SNOOPING技術(shù),將交換機(jī)間的接口設(shè)置為DHCP TRUST(信任)接口,來(lái)保護(hù)網(wǎng)絡(luò)中DHCP服務(wù)器的合法性,即保證用戶(hù)獲取的地址是從供電公司所部署的服務(wù)器上獲取,而非非法服務(wù)器;同時(shí)接入層交換機(jī)部署ARP Detection(動(dòng)態(tài)arp檢測(cè)技術(shù))保護(hù)網(wǎng)絡(luò)的安全性,對(duì)網(wǎng)絡(luò)中的中間人行為進(jìn)行拒絕服務(wù),當(dāng)然網(wǎng)絡(luò)中用戶(hù)的IP地址私自更改的現(xiàn)象也會(huì)很好的進(jìn)行控制。
3、用戶(hù)集中管理系統(tǒng)應(yīng)用分析
3.1 網(wǎng)絡(luò)需求分析
目前安慶供電公司廣域網(wǎng)用戶(hù)地址采用靜態(tài)手工分配,對(duì)于網(wǎng)管人員在IP地址的管理上造成不方便,另外終端用戶(hù)私自修改地址造成網(wǎng)絡(luò)地址沖突、網(wǎng)關(guān)地址被使用等,也會(huì)造成信息網(wǎng)絡(luò)的抖動(dòng)和安全隱患;在網(wǎng)絡(luò)安全上也存在一定的安全隱患。同時(shí)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)不能很好的防范網(wǎng)絡(luò)中可能出現(xiàn)的ARP欺騙和中間人攻擊,對(duì)網(wǎng)絡(luò)的正常運(yùn)行構(gòu)成了嚴(yán)重威脅,如果現(xiàn)有的網(wǎng)絡(luò)內(nèi)部某臺(tái)設(shè)備感染了ARP病毒那么全網(wǎng)的設(shè)備都將面臨著嚴(yán)重的安裝威脅。網(wǎng)絡(luò)用戶(hù)數(shù)量大,管理難,容易出現(xiàn)地址亂配等現(xiàn)象,這樣不僅大大浪費(fèi)了IP地址同時(shí)還會(huì)在網(wǎng)絡(luò)設(shè)備的管理存在嚴(yán)重的問(wèn)題。這些都給網(wǎng)絡(luò)的安全管理帶來(lái)問(wèn)題。
廣域網(wǎng)用戶(hù)集中管理系統(tǒng)的實(shí)施主要依靠當(dāng)前網(wǎng)絡(luò)技術(shù)中的DHCP SNOOPING & ARP Detection技術(shù)對(duì)網(wǎng)絡(luò)用戶(hù)的安全接入進(jìn)行控制,所有用戶(hù)使用DHCP(動(dòng)態(tài)主機(jī)地址獲取方式)代替原有用戶(hù)靜態(tài)IP地址分配方式。利用在交換機(jī)上采用DHCP SNOOPING技術(shù)在每臺(tái)交換機(jī)形成一張DHCP SNOOPING表項(xiàng),結(jié)合ARP Detection技術(shù)對(duì)交換機(jī)的每個(gè)端口下用戶(hù)的IP、MAC進(jìn)行綁定,使得每個(gè)接入安慶供電公司信息網(wǎng)絡(luò)的用戶(hù)只能使用在DHCP中獲取的合法IP地址方可正常上網(wǎng),杜絕了用戶(hù)私自更改IP地址導(dǎo)致的網(wǎng)絡(luò)IP地址沖突現(xiàn)象,保證了信息網(wǎng)絡(luò)的安全。
3.2 DHCP服務(wù)器部署
3.3.1保證客戶(hù)端從合法的服務(wù)器獲取IP地址
網(wǎng)絡(luò)中如果存在私自架設(shè)的偽DHCP服務(wù)器,則可能導(dǎo)致DHCP客戶(hù)端獲取錯(cuò)誤的IP地址和網(wǎng)絡(luò)配置參數(shù),無(wú)法正常通信。為了使DHCP客戶(hù)端能通過(guò)合法的DHCP服務(wù)器獲取IP地址,DHCP Snooping安全機(jī)制允許將端口設(shè)置為信任端口和不信任端口:
1) 信任端口正常轉(zhuǎn)發(fā)接收到的DHCP報(bào)文。
2) 不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK和DHCP-OFFER報(bào)文后,丟棄該報(bào)文。
3) 連接DHCP服務(wù)器和其他DHCP Snooping設(shè)備的端口需要設(shè)置為信任端口,其他端口設(shè)置為不信任端口,從而保證DHCP客戶(hù)端只能從合法的DHCP服務(wù)器獲取IP地址,私自架設(shè)的偽DHCP服務(wù)器無(wú)法為DHCP客戶(hù)端分配IP地址。
3.3.2記錄DHCP客戶(hù)端IP地址與MAC地址的對(duì)應(yīng)關(guān)系
DHCP Snooping通過(guò)監(jiān)聽(tīng)DHCP-REQUEST和信任端口收到的DHCP-ACK廣播報(bào)文,記錄DHCP Snooping表項(xiàng),其中包括客戶(hù)端的MAC地址、獲取到的IP地址、與DHCP客戶(hù)端連接的端口及該端口所屬的VLAN等信息。
利用這些信息可以實(shí)現(xiàn):
ARP代答:根據(jù)DHCP Snooping表項(xiàng)來(lái)判斷是否進(jìn)行ARP代答,從而減少ARP廣播報(bào)文。
ARP Detection:根據(jù)DHCP Snooping表項(xiàng)來(lái)判斷發(fā)送ARP報(bào)文的用戶(hù)是否合法,從而防止非法用戶(hù)的ARP攻擊。
MFF(MAC-Forced Forwarding):在MFF的自動(dòng)方式中,設(shè)備接收到用戶(hù)的ARP請(qǐng)求后,根據(jù)DHCP snooping表項(xiàng)查找該用戶(hù)對(duì)應(yīng)的網(wǎng)關(guān)地址,并回復(fù)網(wǎng)關(guān)的MAC地址,使得網(wǎng)關(guān)可以監(jiān)控用戶(hù)之間的數(shù)據(jù)流量,從而防止用戶(hù)之間的惡意攻擊,更好的保障網(wǎng)絡(luò)安全。
IP Source Guard:通過(guò)動(dòng)態(tài)獲取DHCP Snooping表項(xiàng)對(duì)端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過(guò)濾,防止非法報(bào)文通過(guò)該端口。
VLAN映射:發(fā)送給用戶(hù)的報(bào)文通過(guò)查找映射VLAN對(duì)應(yīng)的DHCP Snooping表項(xiàng)中的DHCP客戶(hù)端IP地址、MAC地址和原始VLAN的信息,將報(bào)文的VLAN修改為原來(lái)的VLAN。
3.4 動(dòng)態(tài)ARP檢測(cè)部署
為防止信息網(wǎng)絡(luò)中有惡意用戶(hù)利用免費(fèi)ARP信息向交換機(jī)發(fā)送偽造的arp報(bào)文,冒充網(wǎng)關(guān)的MAC和用戶(hù)的MAC以獲取數(shù)據(jù)信息。我們利用ARP DETECTION結(jié)合DHCP Snooping,利用DHCP Snooping在交換機(jī)中形成的MAC+IP的綁定表,對(duì)交換機(jī)下的攻擊者進(jìn)行動(dòng)態(tài)的ARP檢測(cè)。
4、結(jié)論
電力企業(yè)的各類(lèi)應(yīng)用系統(tǒng)是整個(gè)企業(yè)生產(chǎn)的核心,網(wǎng)絡(luò)作為這些重要應(yīng)用系統(tǒng)的載體其重要性不言而喻,企業(yè)需要不斷的提升網(wǎng)絡(luò)的性能以滿足快速增長(zhǎng)的各種業(yè)務(wù)對(duì)網(wǎng)絡(luò)的需求。然而,網(wǎng)絡(luò)性能總是伴隨著技術(shù)的進(jìn)步而不斷得到提升,用戶(hù)集中管理系統(tǒng)作為一種先進(jìn)的、成熟的網(wǎng)絡(luò)系統(tǒng),為安慶供電公司廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)與網(wǎng)絡(luò)管理提供了一個(gè)全新的理念。本文描述了用戶(hù)集中管理系統(tǒng)在安慶供電公司廣域網(wǎng)網(wǎng)絡(luò)中的具體應(yīng)用,并通過(guò)與傳統(tǒng)網(wǎng)絡(luò)的比較,達(dá)到了性能更高,管理性更高,安全性更高,業(yè)務(wù)更豐富的同時(shí),使得網(wǎng)絡(luò)管理也變得越來(lái)越簡(jiǎn)單,一方面為SG186工程的開(kāi)展鋪就了高速的信息通道,另一方面改變了公司傳統(tǒng)網(wǎng)絡(luò)管理,使新的網(wǎng)絡(luò)管理具有更好的安全性和可靠性。
【廣域網(wǎng)用戶(hù)集中管理系統(tǒng)實(shí)施在供電系統(tǒng)中的應(yīng)用】相關(guān)文章:
自動(dòng)化控制技術(shù)對(duì)供電系統(tǒng)的應(yīng)用的論文03-19
論談教學(xué)管理系統(tǒng)在高職院教學(xué)管理中的應(yīng)用02-22
基于廣域網(wǎng)的多層無(wú)功電壓信息管理系統(tǒng)設(shè)計(jì)11-21
信息管理系統(tǒng)中系統(tǒng)集成技術(shù)的應(yīng)用論文(通用7篇)01-18
淺談遠(yuǎn)抄系統(tǒng)技術(shù)在營(yíng)銷(xiāo)管理中的應(yīng)用論文02-15
淺論人力資源系統(tǒng)化管理在企業(yè)管理中的應(yīng)用11-23
關(guān)于網(wǎng)絡(luò)報(bào)銷(xiāo)系統(tǒng)在大中型醫(yī)院管理優(yōu)化中的應(yīng)用11-17
試論人力資源管理系統(tǒng)應(yīng)用中遇到的問(wèn)題及對(duì)策11-16
- 相關(guān)推薦