【摘要】本文以典型单园区局域网为例,从实践经验出发,探讨网络管理和运维的一般方法和故障处理原则。园区网安全体系的管理,应从实际情况出发,全面、系统衡量网络设施和业务体系,从多层次、多维度实施网络管理手段。
【关键词】园区网;网络管理
1单园区网络简述
根据机构的组织结构、规模、人员数量和业务需求等因素,与其匹配的本地局域网具有不同的规模,按照地理覆盖面积划分为小企业网、中型局域网、大型跨地域网络。本文中单园区网络指:网络规模满足人员在100人以上(或端点数量大于100个)的,拓扑中存在对外提供服务的独立服务器安全区域,网络接入通常为为光纤专线,具备独立管理公网IP地址,对联网数据的流动带宽有管控需要,并可能或已经形成VPN虚拟局域网络接入能力的网络。单园区网既是对小企业网络的扩展和丰富,也是构成大型网络的基础结构。建设AD域可以实现相当复杂的高级网络管理策略,对进出域内的各类资源和用户进行有效管理。与此对应,不搭建域的网络环境,通常不具备精细的资源和用户管理能力,联网用户具有较高的自由度,对属于自己的资源和设备对象具备完全的控制权限。非域环境下网络管理员不能完全控制用户的行为和操作,一般仅能在用户网络出口实现有限管理。非域网络环境的管理优势:
(1)网络规模中等情况下,逻辑拓扑和设备的变更更加灵活简便。
(2)用户对自己终端管理的自由度较高。
(3)对网络管理者的技术水平要求不高。
(4)网络故障切换手段灵活,故障点易于定位。
2园区网管理简述
2.1数据中心区域管理和运维
数据中心是园区网络中资金投入密度最高的组成部分,其具备物理设备设施集中部署、关键数据集中存放、要求精细化运维、安全体系与环境要求高等特点,数据中心运维将消耗网络管理者大部分工作精力。
2.1.1物理设备管理
管理者必须确实掌握全部物理设备的基本信息,通常一个可靠的做法是建立设备信息统计表格,并随时更新设备维护记录。典型表格字段包括:设备名称/型号、出厂参数、本地配置信息、系统/软件/登录信息、设备部署位置/IP地址/级联端口、设备管理和登陆信息、设备维护记录。一般建议制作多个表格并互相关联,最少的情况为仅制作所有设备的单设备信息清单和关联的设备总表,设备总表典型字段包括:设备名称、网络地址、设备功能描述、部署位置、级联端口等。制作表格应注意,每张表格应充分包含所需信息,尽量减少表格种类,以便于查询和维护。
2.1.2业务管理
建设数据中心的目标是业务的可靠运行,因此网络管理员应切实了解全部在线业务的基本信息。典型的业务登记表格字段包括:业务名称、网络地址、功能描述、业务管理地址/登陆信息、所在服务器信息、当前数据容量/年度增量、业务维护记录。由于数据中心业务相对复杂,物理设施与业务都需要登记各类信息,多数情况下IP地址配置互相交错,容易引起冲突,因此我们一般建议将网络地址按照功能划分不同区域,如网络管理、交换设备使用默认IP地址范围,服务器、主机占用一个C类或B类地址段,业务则与上述地址区分,使用另外独立地址段,由于各类IP不能在交换机内实现二层互通,可保障各个网段内的IP管理有序,数据风暴发生概率减少。以Vmware集成刀箱为例,目前各数据中心的普遍做法为网络设备、刀箱和主机、管理虚拟主机、业务分别使用独立C类地址,即4个IP段。考虑到整个园区网内IP地址组成复杂,为便于管理,可以制作相应的IP管理表格。
2.2用户区域网络管理
尽管用户行为不与数据中心直接关联,但用户的集中活动仍能对数据中心产生影响,例如非常集中的下载行为很可能挤占业务发布链路带宽,导致业务无法正常相应访问需求。因此,在数据中心侧应部署网络边界,在用户侧应部署网络行为检测和控制系统:网络管理者应对本地网络具备基本控制能力。根据本地网络的安全要求,可对用户区域实行不同级别的网络管理。对具有较强安全性要求的部门或人员,应采取可信化管理方式,即用户、接入终端、链路、物理地址、网络地址的互相对应甚至绑定,以防止非法用户接入网络或接入用户的非法活动;对有一般安全性要求的部门,仅需实行IP绑定策略,做好日志记录;对普通接入用户,通常实施地址DHCP分配,并在服务器端配置服务策略和基本防护手段。
2.3网络安全防护体系管理
(1)物理设施与环境安全,布设防雷击设施,在数据中心配置接地以及弱电平衡。
(2)数据中心安全防护体系,一般包括网络边界防火墙,区域边界防火墙,入侵检测和防护系统,站点攻击防护系统(针对web服务),云平台专属安全系统等。
(3)用户侧安防体系,一般要求建立园区网病毒防护服务器,并要求主要接入终端接受病毒防护安装要求,对未能部署安装病毒防护套件的终端,应视重要程度给予管理措施,以防止成为网络内的攻击源头。
(4)应部署统一网络管理平台,通过SNMP协议,可对所有物理交换设备记录其运行信息,并接收任何设备故障报警信息。
(5)针对任何可能发生的故障,预先制定应急方案,对关键服务应准备热备服务系统,以便在需要时随时切换
3网络故障的处理原则
(1)尽量缩小故障影响范围
(2)根据记录表格信息,快速定位故障点
(3)设备故障时优先选择设备替换,服务故障时备份业务快速切换
(4)故障处理,以不影响网络运行和其他业务为处理前提。
4结语
园区网是一个动态的不断发展的网络,管理者还是可以通过各种手段,以科学、合理的方式建设网络体系,同时持续投入精力不断学习,提高技术水平,尽力保护本地网络和服务正常运行,不受非法攻击的侵害。作为多年工作经验的总结,笔者希望通过本文抛砖引玉,提供网络安全运维的一些方法和原则,谨与同行共同交流。
参考文献:
[1]胡三国.浅析园区网信息管理与安全策略[J].考试周刊,2011(68).
[2]马锐,葛慧,张文涛,MaRui,GeHui,ZhangWentao.多单位共用园区网管理模式的思考[J].网络安全技术与应用,2014(10).
作者:林洋 单位:吉林广播电视大学
