内网中冗余网络架构的设计与管理

来源 :中国新通信 | 被引量 : 0次 | 上传用户:hiketty
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘要】 目的:对公司内网中冗余备份架构的设计与工作原理进行详细的分析。方法:以公司持续发展为根本指导思想,从公司OA系统的建设与优化出发,从设计原则、系统设计和网络几个方面对公司网冗余备份架构系统的设计详细论述。结果:通过本文论述,对公司网冗余备份以及系统架构有详细的了解,从而实现科学的系统设计,促进公司管理效率的提升。结论:公司网冗余备份架构在提高公司网运行速度、促进公司运行效率方面有着十分突出的作用,值得推广应用。
  【关键词】 公司网 冗余系统 系统架构 设计原则 工作原理
  一、设计背景
  公司信息化系统是指计算机技术、信息技术及自动化技术等现代科学技术在工作用中全过程的统称。公司的信息化系统从2007年公司成立开始到目前已经成为公司生产、建设、经营、管理、科研、设计等的重要组成部分,在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的经济效益和社会效益。
  目前公司的信息化系统涵盖了OA办公自动化系统、档案管理系统、人力资源系统、NC财务系统、高清视频会议系统、内外网文件交换系统、生产实施监管系统、工业视频监控系统、生产管理系统等各种应用系统。上述应用系统都是通过公司的核心网络运行的,网络稳定与安全对整个信息化系统起着至关重要的作用。
  在公司信息化系统中,核心网络层处于公司信息化系统的中心,网络中的大量数据都通过网络核心层设备进行交换,同时承担不同VLAN之间路由的功能。核心层设备一旦宕机,整个网络即面临瘫痪。因此,在网络设计中,核心设备的选择,一方面要求其具有强大的数据交换能力,另一方面要求其具有较高的可靠性,一般选择高端核心三层交换机。同时为进一步提高核心层的可靠性,避免核心层设备宕机造成整个网络瘫痪,一般在核心层再放置一台设备,作为另一台设备的备份,一旦主用设备整机出现故障,立即切换到备用设备,确保网络核心层的高度可靠性。
  二、设计依据和原则
  2.1 设计依据与参考文件
  《集团公司信息化规划修编》
  《关于实施集团信息化“双网模式”网络架构改造的通知》
  《关于规范双网建设深化设计方案中网络安全产品选型的通知》
  《关于集团广域网扩容的通知》
  《关于双网建设验收有关事宜的通知》
  《关于进行高清视频会议系统改造的通知》
  《关于制定2011年双网建设最终方案及投资估算的通知》
  2.2 设计原则
  公司信息系统设计必须遵循的以下原则:
  2.2.1统一规划、统一实施
  公司信息化网络系统是一个统一的网络,其信息安全系统必须统一规划、统一设计、统一实施、统一管理。
  2.2.2多层次防御、主动防御
  对于重要的信息系统,不能仅仅依靠一种防范的措施,而是必须建立多级防范体系,从多方面、多层次对系统进行保护。对系统的保护要采用积极的主动防范措施进行。
  2.2.3技术与管理相结合原则
  任何一个计算机系统都是一个复杂的系统工程,其中涉及产品生产过程和人的因素,因此它的安全总体解决方案,必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的,必须坚持技术和管理相结合的原则。
  2.2.4先进性和可行性相结合的原则
  在工程实施过程中既要考虑先进性更要考虑可行性,如果只考虑先进性将会产生很大的风险。因为一个不可行的安全策略形同虚设。
  2.2.5分层次、分级别的安全防护原则
  鉴于信息系统的特殊性和其特点,对安全要求比较高。由于信息网的用户级别划分的严格性、系统的复杂性,安全方案要体现安全的多层次、多级别的原则。
  三、系统建设
  3.1 内网网络冗余性可靠性建设
  3.1.1系统整体冗余性建设
  在公司信息化系统中,核心网络层处于公司信息化系统的中心,网络中的大量数据都通过网络核心层设备进行交换,同时承担不同VLAN之间路由的功能。核心层设备一旦宕机,整个网络即面临瘫痪。因此,在公司的网络设计中,核心设备的选择了具有强大的数据交换能力和较高的可靠性。同时,为进一步提高核心层的可靠性,避免核心层设备宕机造成整个网络瘫痪,一般在核心层再放置一台设备,作为另一台设备的备份,一旦主用设备整机出现故障,立即切换到备用设备,确保网络核心层的高度可靠性。增强网络的关键节点的冗余度和可靠性。
  3.1.2内网核心冗余的建设
  采用了2台模块化三层交换机——Cisco? Catalyst?6509E,每台6509E提供10G的接口2个,48个10/100/1000以太网电口,48个千兆以太网光端口。Cisco Catalyst 6500系列是思科重要的智能多层模块化交换机,交换矩阵支持720Gbps背板带宽,可持续转发速率达400Mpps,每个插槽支持40Gbps第四到七层内容/应用交换和负载均衡;支持集成化馈线电源和高密度电话(T1/E1和FXS)线卡;支持高级特性和QoS,用于支持语音、视频和关键数据应用;在单一机箱中支持10FL、10/100、100-FX(单模和多模)、10/100/1000、千兆位以太网、万千兆位以太网、T1/E1到OC-48的接口灵活性;单一系统中10/100/1000端口密度达576个端口,支持从T1/E1到OC-48的WAN连接;支持硬件加速智能服务,包括高级网络管理功能、互联网协议版本6(Ipv6)和多协议标签交换(MPLS)、网络地址转换、GRE等;多协议路由,同时也传统协议和服务。
  3.1.3业务服务器接入区冗余建设   在该区域部署2台三层全千兆交换机—Cisco? Catalyst?3750G-48TS,每台交换机提供48 个10/100/1000以太网电口,4个千兆位以太网SFP端口,以满足服务器的冗余接入Cisco Catalyst 3750G系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置,简化了融合应用的部署,并可针对不断变化的业务需求进行调整。此外,Cisco Catalyst 3750G系列针对高密度千兆位以太网部署进行了优化,包括多种交换机,以满足接入、汇聚或小型网络骨干连接需求。
  3.1.4集团公司接入区冗余建设
  将该区域部署2台Cisco CISCO3925E路由器,分别与到集团公司的两条广域网线路相连实现与集团总部冗余备份的互联互通。Cisco 3900 系列集成多业务路由器均提供嵌入式硬件加密加速、支持语音和视频的数字信号处理器 (DSP) 插槽、 可选防火墙、入侵预防、呼叫处理、语音信箱以及应用程序服务。此外,这些平台还支持业界最广泛的有线和无线连接选项,如 T1/E1、T3/E3、xDSL、铜缆和光纤 GE。
  3.1.5三级单位接入区冗余的建设
  在该区域除原有的一台Cisco 7200 VXR路由器外再部署一台Cisco 7200 VXR路由器,采用不同运营商的线路冗余实现与下属各电厂互联互通。Cisco 7200 VXR系列路由器能够通过一个小巧的机箱提供优异的性价比、灵活性和丰富的功能。Cisco 7200 VXR 系列是一款经过优化的多服务OC3/GE边缘路由器,非常适于作为电信运营商(小型POP)或者企业网络边缘的广域网汇聚器、一个企业广域网网关、一个高端可管理CPE 、用于提供数据中心连接,或者作为一个小型的核心路由器。凭借硬件支持的IPSec 加密模块以及强大的防火墙和VRF 感知IPSec/NAT 支持,Cisco 7200 适于提供集成安全服务。
  3.2 广域网链路冗余建设
  公司的广域网链路连接设计应该与集团公司形成,冗余的动态路由结构,将网络的结构改造成双设备(2台CISCO 3925路由器)、双线路上连,初步规划动态路由采用OSPF动态路由协议与集团公司对联,广域网链路通过采用2条来自不同运营商的资源,任何一个节点出现线路或设备故障不会影响整体网络的运行,实现网络的冗余架构。
  3.3 网络安全域的细分与冗余的防火墙部署
  为进一步加强网络的安全建设,细化业务内网的安全区域。
  在对公司的网络规划中,将公司网络规划中原来没有独立划分出来的内网业务服务区和内网公司用户接入区、集团广域网接入区和下属公司广域网接入区进行了细致的安全区域划分,根据组织结构、业务需求、信息系统功能、安全等级的不同,划分为四个安全区域:
  1、内网业务服务区:所有内网业务系统存放的区域。
  2、内网公司用户接入区:员工办公终端区域。
  3、集团广域网接入区:与集团相连接的广域网区域。
  4、下属公司广域网接入区:与下属单位相连接的广域网区域。
  并在这些相互隔离的区域中间部署冗余的防火墙,在确保网络安全的同时保证网络的冗余性和可靠性。
  四、网络管理
  4.1 网络维护
  着重建设网络信任体系和应急机制、建立多层次的网络与信息安全防御系统、建设从设备安全到用户安全的整体安全防护体系,实现网络与信息安全的可控、能控、在控。在不断完善信息安全责任制的同时,适时开展了重点网络和信息系统信息安全检查活动,逐步推进信息安全风险评估和等级保护工作。通过加强了信息安全应急队伍建设,组织网络与信息安全应急演练。逐步形成全公司统一指挥、协调联动、信息畅通的应急联动体系。
  在网络运维管理过程中,注重加强网络运行监测,及时发现并消除安全隐患,有效地遏制了各种有害信息传播,严防网络攻击破坏活动,杜绝各类安全事故发生,确保了通信、重要信息系统正常运行。
  在日常运维管理严格按照运维要求每周网管人员对机房内所有网络产品都要进行检查,观察各个设备信号灯是否工作正常,并做好相关记录。按时对路由器和交换机、防火墙的运行的配置文件进行备份,根据的要求和硬、软件条件来调整配置。维护设备各模块,使之正常运行,保证网络畅通,降低丢包率和延时间(延时与厂商的硬件和网络带宽以及协议有关)。每个月第一个星期检查内外网杀毒软件、内网防病毒网关、IDS等设备的升级情况,并做好记录,如未及时升级的手动升级,做定期的访问日志检查及防火墙Policy 检查和软件的升级。
  网络故障通常有以下几种可能:物理层中物理设备相互连接失败或者硬件及线路本身的问题;数据链路层的网络设备的接口配置问题;网络层网络协议配置或操作错误;传输层的设备性能或通信拥塞问题;上三层IOS或网络应用程序错误。诊断网络故障的过程应该沿着OSI七层模型从物理层开始向上进行。首先检查物理层,然后检查数据链路层,以此类推,设法确定通信失败的故障点,直到系统通信正常为止。
  4.2 制定合理有效网络安全管理策略
  面对网络安全的脆弱性,除了在网络设计上增加安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络的安全管理制度建设。因为诸多的不安全因素恰恰反映在组织管理和人员管理等方面,而这又是网络安全所必须考虑的基本问题。建设了切实可行的安全管理制度。
  4.2.1 安全管理策略原则
  公司的网络信息系统的安全管理基于三个原则:
  多人负责原则:每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的,应忠诚可靠,能胜任此项工作。
  领导直接管理原则:一般地讲,任何信息系统的都应该有部门或直接领导管理。   职责分离原则:除非系统主管领导批准,在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。
  4.2.2 制定合理有效的管理策略
  信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:
  根据工作的重要程度,确定该系统的安全等级 。
  根据确定的安全等级,确定每个人安全管理的范围。
  制订相应的机房出入管理制度。
  对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可安装自动识别登记系统,采用指纹锁、身份卡等手段,对人员进行识别、登记管理。
  制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;
  制订完备的系统维护制度,维护时,要首先经主管部门批准,并有安全管理人员在场,故障原因、维护内容和维护前后的情况要详细记录;
  定期安全检查:维系系统的安全不只是在建设时期的事情,而是长期维护的过程,需要定期根据安全制度、辅助一些技术手段进行检查,及时发现漏洞弥补漏洞,防患于未然;
  制订应急措施,要制订在紧急情况下,系统如何尽快恢复的应急措施,使损失减至最小;
  建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。
  安全系统需要由人来计划和管理,任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面,各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次,对各级用户的培训也十分重要,只有各级用户对网络安全性都有了深入了解后,才能降低网络信息系统的安全风险。
  五、结束语
  总之,制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步,只有组织机构均严格执行网络安全的各项规定,认真维护各自负责的分系统的网络安全性,才能保证整个系统网络的整体安全性。
  参考文献
  [1] 程敏.冗余网络在现场的应用[J].软件导刊,2012(10)
  [2] 王振华,江道根.一种基于CAN总线的双环冗余网络设计[J].安徽电子信息职业技术学院学报,2012(04)
  [3] 李周,王瑞.并行冗余网络中高效信息采集策略设计[J].电子设计工程,2012(07)
  [4] 玉晴庆.工业以太网环网冗余技术在南防铁路沿线小站的应用[J].信息通信,2012(02)
  [5] 刘新华.双交换机冗余网络智能切换的设计及应用[J].自动化博览,2011(05)
  [6] 邬春学,侯飞跃.ControlNet冗余网络控制系统的设计与优化[J].自动化仪表,2011(03)
  [7] 郑飞,路建涛.基于IEC60870-5-103规约的保护装置冗余网络通信设计[J].电力系统保护与控制,2010(24)
  作者简介
  耿庆峰,男,1984年11月生,汉族、新疆人。中共党员、大学本科学历、工学学士学位、第二学历为经济管理实务专业。助理工程师。公司总经理工作部信息专责。2009年2月起供职于华能新疆能源开发有限公司,负责信息化建设、文书管理、综合管理、机要保密等工作。2012年7月取得中华人民共和国人力资源与社会保障部教培中心颁发的信息行政管理师、信息化项目管理师资格。
  作者简介
  耿庆峰,男,1984年11月生,汉族、新疆人。中共党员、大学本科学历、工学学士学位、第二学历为经济管理实务专业。助理工程师。公司总经理工作部信息专责。2009年2月起供职于华能新疆能源开发有限公司,负责信息化建设、文书管理、综合管理、机要保密等工作。2012年7月取得中华人民共和国人力资源与社会保障部教培中心颁发的信息行政管理师、信息化项目管理师资格。
  致 谢
  从开始斟酌选题到现在论文成形,身边少不了帮助我的领导和同事,在此我对你们表示诚挚的谢意!
  衷心地感谢在百忙之中评阅论文的各位专家、教授们!谢谢!
  参 考 文 献
  [1] 程敏.冗余网络在现场的应用[J].软件导刊,2012(10)
  [2] 王振华,江道根.一种基于CAN总线的双环冗余网络设计[J].安徽电子信息职业技术学院学报,2012(04)
  [3] 李周,王瑞.并行冗余网络中高效信息采集策略设计[J].电子设计工程,2012(07)
  [4] 玉晴庆.工业以太网环网冗余技术在南防铁路沿线小站的应用[J].信息通信,2012(02)
  [5] 刘新华.双交换机冗余网络智能切换的设计及应用[J].自动化博览,2011(05)
  [6] 邬春学,侯飞跃.ControlNet冗余网络控制系统的设计与优化[J].自动化仪表,2011(03)
  [7] 郑飞,路建涛.基于IEC60870-5-103规约的保护装置冗余网络通信设计[J].电力系统保护与控制,2010(24)
其他文献
孙中山最早是从澳门迈出国门,认识世界并提出向西方学习;在香港求学期间,澳门是其进行革命宣传活动的重要基地;香港西医学院毕业后,首次从澳门踏入社会,在澳门等地从事推翻清
坪山柚是21世纪80年代福建省的柚类主栽品种,本文通过探讨华安坪山柚产业低迷及木质化原因的探究,提出了造成坪山柚产业低迷的主要原因是果实木质化,并针对此提出科学规划,良
【正】 一、单项选择题(本类题共20分,每小题1分。) 1.通过两个或两个以上相互对应的帐户,双重平衡地记录每一项经济业务的专门方法,称之为( )。A.试算平衡 B.借贷记帐 C.复
【正】 目前,预算外资金已成为社会财力的重要组成部分,从增长比例看,预算外资金大大超过了预算内资金的发展速度。要加强预算外资金的管理,首先,必须明确什么是预算外资金。
在超高频RFID读写器的设计中,信号解调是设计的关键技术之一。该文基于正交解调技术,提出一种解调方法,并用硬件描述语言编程实现。该方法采用统一的硬件结构对ASK和PSK两种调制信号进行解调,有利于读写器的集成化和小型化。
<正>经宝丰县人民政府批准,宝丰县国土资源局决定以网上挂牌方式出让1幅地块的国有建设用地使用权,并指定宝丰县国土资源局组织实施。现将有关事项公告如下:一、挂牌地块的基
在举国上下欢庆我国南海明珠——澳门回归祖国之际,在时代即将跨入21世纪之时,我们又迎来了湖北大学成人教育创办40周年庆典。在这大喜大庆的日子里,作为一个中国公民,我为祖
从无线自组织网络路由层的角度,描述了AODV路由协议;阐述了AODV路由协议的安全威胁;利用NS-2.33分析并仿真了AODV路由协议的黑洞攻击;结合已存在的黑洞防御方案,给出了一种新
【正】 谷祺教授,1931年生,上海市人。1952年以优异成绩毕业于上海圣约翰大学经济系,从此开始了长达四十余年的财会教学与科研生涯。他曾先后任教于东北财经学院、辽宁大学和