- 相关推荐
广域网用户集中管理系统实施在供电系统中的应用
前言
随着计算机技术的飞速发展和广泛应用,信息技术的发展突飞猛进,它几乎渗透到了每一个企业的经营管理活动中,信息化建设已经成为广大企业生存和发展必不可少的战略行为。而互联网体系作为当今社会最重要的信息基础建设,IP地址是最重要的互联网基础资源,IP地址管理包含IP地址分配、IP地址配置以及IP地址溯源等众多环节,因此,IP地址管理技术是当前企业信息化建设领域的关注焦点。早期安庆供电公司分配地址时采用静态分配IP配合人工统计,随着供电公司三级五大的调整,安庆供电公司的IP地址被打乱。可以看出,早期的IP地址分配方式对于IP地址的利用及管理方面造成较大的困扰。采用动态IP地址获取可以获得更高的资源利用效率、实现企业资源和业务的灵活配置、简化网络和业务管理并加快业务提供速度,通过用户集中管理系统优化IP管理方式、提升IT系统运行效率是当前技术发展的方向。
用户集中管理系统是用户地址管理技术在网络架构中的具体应用,它提高了网络地址管理效率以及节约IP地址使用率,并在一定程度上提高网络中用户的安全性。相对于传统网络,用户集中管理系统更适合于为SG186工程保驾护航,也将成为今后供电公司网络管理拓展的方向。
1、网络架构现状及需求
在国家建设智能电网的大背景下,安庆供电公司也积极响应号召,投入很大力量打造安庆的智能电网。经过近几年信息化建设的投入,安庆供电公司建立了完善的局域网和承载各种业务的广域网,提高了业务运转效率,能够更高效地为当地经济建设服务。但管理问题也随之出现,复杂的IT系统管理人员如何从容应对,网络故障导致的业务中断严重影响了正常工作,IP地址的盗用给工作带来了大量麻烦等等。如何确保有序、高效管控,让IT系统和业务系统发挥最大价值,成为安庆供电公司的紧迫任务。
目前,安庆供电公司在广域网中采用为每台PC指定IP地址方式,该方式的好处是配置简单、易实现。但随着安庆供电公司信息网络(广域网)用户的增多,网络IP地址的管理分配成为一个工作量大且繁琐的事情。由于终端用户的IP地址都需要信息网络管理人员集中管理及分配,信息网络管理人员就需要对所有终端用户的主机进行手工静态设置,百密必有一疏,大量IP地址的分配难免会出现误配和错配的情形,如:IP地址冲突、掩码错误、网关错误等;另外手工配置IP地址的方式决定了终端用户可以私自修改地址,而造成网络地址冲突、网关地址被使用等;一旦IP地址冲突,首先就是冲突的2台电脑不能上网,偶尔会出现一台能上,一台不能上情况;如果私自修改的IP地址跟服务器,交换机,路由器等网络关键设备的IP地址冲突,就会造成整个网络的瘫痪。上述也会造成信息网络的抖动和安全隐患,在网络安全上也存在一定的隐患。
并且现有的网络系统不能很好的防范网络中可能出现的ARP欺骗和中间人攻击,对网络的正常运行构成了严重威胁,如果现有的网络内部某台设备感染了ARP病毒,那么全网的设备都将面临着严重的安装威胁。网络用户数量大,管理难,容易出现地址乱配等现象,这样不仅大大浪费了IP地址同时还会在网络设备的管理存在严重的问题。这些都给网络的安全管理带来问题。
2、用户集中管理系统设计方案
2.1 设计思想
用户集中管理系统是一种IP地址管理技术,它通过减少IP地址的管理复杂性和降低网络ARP攻击环节,从逻辑上简化了网络管理,同时增加了网络安全。安庆供电公司广域网用户集中管理系统将部署一台服务器作为广域网的DHCP服务器,在服务器上采用IP+MAC的方式为信息网用户动态分配IP地址,实现每位用户动态获取地址,并且每次获得IP都固定,便于管理,大大简化了此前需信息中心工作人员需前往每名用户桌面为其设置IP地址的工作量。
为了网络的安全性和用户私自修改IP地址以及中间人攻击,将在信息广域网交换机部署DHCP SNOOPING和ARP DETECTION技术,对用户的IP地址进行arp检测,对全网进行集中管控。
2.2 网络架构
如上图所示:DHCP服务器部署于核心交换机的服务器区,在DHCP服务器上实行IP+MAC方式建立地址池为用户分配IP地址,固定用户IP地址,并加强管理性;接入层交换机部署DHCP SNOOPING技术,将交换机间的接口设置为DHCP TRUST(信任)接口,来保护网络中DHCP服务器的合法性,即保证用户获取的地址是从供电公司所部署的服务器上获取,而非非法服务器;同时接入层交换机部署ARP Detection(动态arp检测技术)保护网络的安全性,对网络中的中间人行为进行拒绝服务,当然网络中用户的IP地址私自更改的现象也会很好的进行控制。
3、用户集中管理系统应用分析
3.1 网络需求分析
目前安庆供电公司广域网用户地址采用静态手工分配,对于网管人员在IP地址的管理上造成不方便,另外终端用户私自修改地址造成网络地址冲突、网关地址被使用等,也会造成信息网络的抖动和安全隐患;在网络安全上也存在一定的安全隐患。同时现有的网络系统不能很好的防范网络中可能出现的ARP欺骗和中间人攻击,对网络的正常运行构成了严重威胁,如果现有的网络内部某台设备感染了ARP病毒那么全网的设备都将面临着严重的安装威胁。网络用户数量大,管理难,容易出现地址乱配等现象,这样不仅大大浪费了IP地址同时还会在网络设备的管理存在严重的问题。这些都给网络的安全管理带来问题。
广域网用户集中管理系统的实施主要依靠当前网络技术中的DHCP SNOOPING & ARP Detection技术对网络用户的安全接入进行控制,所有用户使用DHCP(动态主机地址获取方式)代替原有用户静态IP地址分配方式。利用在交换机上采用DHCP SNOOPING技术在每台交换机形成一张DHCP SNOOPING表项,结合ARP Detection技术对交换机的每个端口下用户的IP、MAC进行绑定,使得每个接入安庆供电公司信息网络的用户只能使用在DHCP中获取的合法IP地址方可正常上网,杜绝了用户私自更改IP地址导致的网络IP地址冲突现象,保证了信息网络的安全。
3.2 DHCP服务器部署
3.3.1保证客户端从合法的服务器获取IP地址
网络中如果存在私自架设的伪DHCP服务器,则可能导致DHCP客户端获取错误的IP地址和网络配置参数,无法正常通信。为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
1) 信任端口正常转发接收到的DHCP报文。
2) 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
3) 连接DHCP服务器和其他DHCP Snooping设备的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
3.3.2记录DHCP客户端IP地址与MAC地址的对应关系
DHCP Snooping通过监听DHCP-REQUEST和信任端口收到的DHCP-ACK广播报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、获取到的IP地址、与DHCP客户端连接的端口及该端口所属的VLAN等信息。
利用这些信息可以实现:
ARP代答:根据DHCP Snooping表项来判断是否进行ARP代答,从而减少ARP广播报文。
ARP Detection:根据DHCP Snooping表项来判断发送ARP报文的用户是否合法,从而防止非法用户的ARP攻击。
MFF(MAC-Forced Forwarding):在MFF的自动方式中,设备接收到用户的ARP请求后,根据DHCP snooping表项查找该用户对应的网关地址,并回复网关的MAC地址,使得网关可以监控用户之间的数据流量,从而防止用户之间的恶意攻击,更好的保障网络安全。
IP Source Guard:通过动态获取DHCP Snooping表项对端口转发的报文进行过滤,防止非法报文通过该端口。
VLAN映射:发送给用户的报文通过查找映射VLAN对应的DHCP Snooping表项中的DHCP客户端IP地址、MAC地址和原始VLAN的信息,将报文的VLAN修改为原来的VLAN。
3.4 动态ARP检测部署
为防止信息网络中有恶意用户利用免费ARP信息向交换机发送伪造的arp报文,冒充网关的MAC和用户的MAC以获取数据信息。我们利用ARP DETECTION结合DHCP Snooping,利用DHCP Snooping在交换机中形成的MAC+IP的绑定表,对交换机下的攻击者进行动态的ARP检测。
4、结论
电力企业的各类应用系统是整个企业生产的核心,网络作为这些重要应用系统的载体其重要性不言而喻,企业需要不断的提升网络的性能以满足快速增长的各种业务对网络的需求。然而,网络性能总是伴随着技术的进步而不断得到提升,用户集中管理系统作为一种先进的、成熟的网络系统,为安庆供电公司广域网网络架构与网络管理提供了一个全新的理念。本文描述了用户集中管理系统在安庆供电公司广域网网络中的具体应用,并通过与传统网络的比较,达到了性能更高,管理性更高,安全性更高,业务更丰富的同时,使得网络管理也变得越来越简单,一方面为SG186工程的开展铺就了高速的信息通道,另一方面改变了公司传统网络管理,使新的网络管理具有更好的安全性和可靠性。
【广域网用户集中管理系统实施在供电系统中的应用】相关文章:
论谈教学管理系统在高职院教学管理中的应用08-05
探析软交换技术在电力通信系统中的应用前景06-04
谈ERP系统在线棒材钢铁企业中的实施08-30
医院档案管理中权变管理理论的应用分析08-29
智能控制系统应用思考09-19
网络技术在高校行政管理中的应用思考05-09
ERP在企业管理中的应用论文(通用5篇)05-23