硅谷杂志:广域网接入的要求及设计 |
| 2012-07-02 15:14 作者:李 卫 来源:硅谷网-《硅谷》杂志 HV: 编辑: 【搜索试试】
|
|
摘要:紧密围绕广域网接入前亟待解决的重要问题进行分析和探讨,对整个广域网接入的网络体系架构、接入IP地址分配、接入设备技术要求、接入安全建设和接入管理规范等几方面内容进行简要的概括和规划,对各级单位的规范、有序、安全接入广域网,促进行业信息化资源整合和信息共享的快速发展,具有一定的指导作用和重要的现实意义。
关键词:广域网;接入;SDH;VLSM;安全
中图分类号:TN915.6文献标识码:A文章编号:1671—7597(2012)0120
【《硅谷》杂志2012年1月刊文】
0引言
广域网建成初期,各接入单位基本都是单机接入广域网,访问广域网内共享资源的计算机数量有所限制,为使全系统的所有计算机都能便捷地访问广域网内共享资源,需把各接入单位的局域网都接入到广域网,但由于历史原因,各单位的网络建设情况各不相同,安全和规范程度参差不齐。因此,在接入前进行设计并提出接入要求已成为广域网接入工作的迫切需要。
广域网接入要求可以从接入技术规范和接入管理规范两方面去定制。接入技术规范主要对网络接入过程中可能涉及到的网络架构、主要网络设备等作出规划,提出规范性要求。接入管理规范主要从管理的角度出发,在规章制度、管理规范方面对网络接入过程中可能涉及到的某些问题作出原则性要求。
1接入技术规范
1.1接入架构要求
良好的网络架构设计是使网络具备可扩展能力的关键。网络架构的建立要考虑环境、设备配置、远程联网方式、通信量的大小、网络应用与业务定位等多种因素。合理的网络架构应该有结构化的设计,并遵循分层模型。分层模型的实现核心是将网络架构设计中的复杂问题分解为较小的、易于管理的问题。分层体系中的每一层解决不同的问题,有助于实现模块化,容易添加、替换和取消网络中的独立部件,具有很高的可扩展性[1]。
1.2接入设备技术要求
构建广域网由于受各种条件的限制,必须借助公共传输网络,用户只需了解公共传输网络提供的接口以及如何实现与公共传输网络之间的连接即可。
1.2.1接入技术分析及选择
ISP提供了多种同步和异步广域网连接服务,常用的有以下3类:
1)ATM
ATM是建立在电路交换和分组交换的基础上的一种面向连接的快速分组交换技术,它采用定长分组作为传输和交换的单位[2]。本身具有良好的流量控制均衡能力以及故障恢复能力,但对IP路由的支持一般,在复制多路广播方面缺乏高效率,管理复杂。
2)SDH
SDH对IP路由的支持能力强,具有很高的IP传输效率;符合Internet业务的特点,有利于实施多路广播方式;能利用SDH技术本身的环路,故可利用自愈合能力达到链路纠错,同时又利用OSPF协议防止设备和键路故障造成的网络停顿,提高网络的稳定性;省略了不必要的ATM层,简化了网络结构,降低了运行费用。但其仅对IP业务提供好的支持,不适于多业务平台;不能像IPoverATM技术那样提供较好的服务质量保障。
3)WDM
WDM是一个真正的链路层数据网,它充分利用光纤的带宽资源,极大地提高了带宽和相对的传输速率。但目前,对于波长标准化还没有实现;WDM系统的网络管理应与其传输的信号的网管分离。但在光域上加上开销和光信号的处理础还不完善,从而导致WDM系统的网络管理还不成熟。
综合比较,广域网可选国家公用通信网的SDH技术来组建广域网络的骨干链路。SDH网络的引入和使用,为信息高速公路提供了一个高智能的、高效的、操作运行廉价的实施方案[5]。
1.2.2接入设备要求
接入设备主要涉及路由器和交换机,现分别予以介绍并做出要求:
1)路由器
路由器是一种多端口的网络设备,它能够连接多个不同的网段和网络,并能将不同网段或网络之间的数据信息进行传输[3]。路由器应当被放置于最频繁访问广域网的位置,尽量直接连接在核心交换机上。在组网结构比较简单的网络中,通过认真设置和使用静态路由不仅可以改进网络的性能,还能为重要应用保证带宽。路由器担当着保护内部网络和数据安全的重要责任,在具体的实施过程中可以借助地址转换和访问列表来实现。
2)交换机
作为网络传输枢纽的交换机,在网络接入规范中的重要地位也是无可取代的。无论是控制广播风暴的产生、拒绝用户之间非授权访问、限制用户的网络服务与应用、禁止未授权计算机接入网络,还是拒绝非法用户访问网络,都离不开对交换机的深入配置。交换机应具有以下五项功能:风暴控制、保护端口、端口安全、创建VLAN、IEEE802.1X认证协议
1.2.3接入地址规划
合理的IP地址规划与分配,在整个网络的维护和扩展过程中占据了举足轻重的地位,其结果将直接影响到后期的维护管理、扩容升级及系统运作的效率。IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由汇聚,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。
1.2.4接入安全要求
根据广域网络的整体运行情况,本着因地制宜、实事求是的原则,对广域网网络接入安全要求分别说明:中心网络接入安全要求和接入单位网络接入安全要求。
1)中心网络接入安全要求
中心网络接入的安全建设应分为以下三个阶段来逐步完善:网络安全体系的建立、网络安全体系的提升和网络安全体系的完善。
①网络安全体系的建立
建立广域网主节点的信息安全基础体系,形成一个从无到有的基本防护框架,确保各二级单位在接入广域网后主节点业务系统的稳定性和安全性。这是中心安全建设第一阶段的主要目标。在这一阶段中需要建立的安全防护体系主要有:计算机防雷系统、防火墙系统、网络访问控制系统、网络防病毒系统和安全访问域的划分。
②网络安全体系的提升
第二阶段的主要任务是在建立健全中心网络安全基本防护系统的基础上,利用多种监控技术和防御手段,建成一个从内到外、从被动防御到主动预防的更高层次的安全架构。这一阶段中需要建立的安全监控与防御体系主要有:入侵防御系统和安全漏洞扫描系统。
③网络安全体系的完善
第三阶段的主要任务是从应用层方面入手,在防护体系和监控体系不断完善的基础上,通过多种加密技术和用户认证手段,建立一个稳定、高效、健壮的立体安全防护架构。这一阶段中需要建立的安全体系主要有:SSLVPN移动办公系统和补丁分发管理系统。
2)接入单位网络接入安全要求
接入单位网络接入安全规划与中心的接入安全规划在进度上大体一致,但具体到内容方面有所区别。各接入单位的网络安全建设内容主要涉及到以下四个方面:
①安全规划,确定系统的安全框架与建设步骤,包括为系统定级等;
②重点资源的保护及各项安全技术的应用;
③安全管理平台的建设,及时准确地把握整个系统的安全运行状况;
④日常的运行维护,充分发挥好作为广域网二级节点的堡垒作用。
2接入管理规范
管理规范是所有技术措施发挥功效的能动因素,是实现整个广域网网络接入有序化的重要保证。广域网接入管理规范可以从两个方面进行规划。一是从纯粹的管理上及管理制度上来实现,二是从技术上建立高效的管理平台,包括网络管理和安全管理。
2.1管理制度
为了提高整个网络系统的健壮性,除了在网络结构上合理规划,系统设计上增加安全服务功能外,还必须花大力气加强网络系统管理制度的建立。
2.1.1管理制度内容
管理制度是信息系统内部依据系统必要的国家、团体的安全需求制定的一系列内部规章制度,在广域网接入规划和建设的过程中,应切实做好以下管理制度的建设和完善:机房与设施管理规范制度、设备管理规范制度、操作安全管理规范制度、计算机网络安全管理规范制度、计算机病毒防治管理规范制度、系统管理员岗位责任管理规范制度、安全管理员岗位责任管理规范制度、网站管理员岗位责任管理规范制度、网络信息安全审计管理规范制度、应用软件安全管理规范制度、技术文档管理规范制度、数据安全管理规范制度、密码安全管理规范制度、计算机网络系统重大安全事件预警及应急恢复管理规范制度以及系统备份及灾难恢复管理规范制度。
2.1.2管理制度实现
各单位信息系统的管理部门应根据管理制度建立原则和该系统处理数据的实际需求,制定相应的管理制度。具体工作包括:
1)根据工作的重要程度,确定该系统的安全等级;
2)根据确定的安全等级,确定管理实施的范围;
3)对于安全等级要求较高的系统,要实行分区控制;
4)制定严格的操作规程;
5)制定完备的系统维护制度;
6)制定应急措施。
2.2管理平台
建立管理平台的主要内容包括:定义完善的网络管理模型;贯彻规范的网络管理措施;建立恰当的安全审计机制,并且进行经常性的规则审核。
2.2.1网络管理
网络管理是指对网络的运行状态进行监测和控制,并能提供有效、可靠、安全、经济的服务[6]。一个好的网管系统能够确定故障发生在哪里,能够对网络管理员提出进一步优化网络的建议。网络管理系统还可以在数据库中查询电缆和网络设备有关的资料从而确定故障的性质。
2.2.2安全审计
安全审计主要是对网络系统中的安全设备和网络设备,应用系统和运行状况进行全面的监测、分析、评估[7]。广域网络中各种安全设备(防火墙、过滤网关等)、操作系统(包括Windows和Linux)、应用服务(E-mail、WEB、FTP、DNS)等都可产生大量的日志数据。这些日志数据翔实地记录了系统和网络的运行事件,是安全审计的重要数据。这些日志信息对于记录、检测、分析、识别各种安全事件和威胁有着非常重要的作用。
通过在各接入单位办公局域网内的关键节点处部署安全审计产品,可以监视并记录网络中的各类操作,实时地分析出网络中发生的安全相关事件。
3结束语
随着信息化的进一步发展,将会有越来越多的单位建成其自身局域网,也会有把其局域网接入广域网的需求,本论文可以指导各接入单位把其局域网安全有序的接入广域网,届时将会真正建成一个覆盖全系统的广域网络,各级部门之间能够方便、快捷的共享各种信息资源,进而推动本系统信息化进入一个新的时期。
参考文献:
[1]易建勋著,计算机网络设计,北京:人民邮电出版社,2007.
[2]王冀鲁著,计算机网络应用技术,北京:清华大学出版社,北京交通大学出版社,2006.
[3]郝志恒著,组网用网基础与提高,北京:电子工业出版社,2007.
[4]杨英鹏著,计算机网络原理与实践,北京:电子工业出版社,2007.
[5]PatrickRegan著,广域网,北京:清华大学出版社,2006.
[6]云红艳、杜祥军、赵志刚著,计算机网络管理,北京:人民邮电出版社,2008.
[7]杨远红、刘飞著,通信网络安全技术,北京:机械工业出版社,2006.
作者简介:
李卫(1977-),男,山东省临邑县人,本科,工程师,研究方向:计算机应用。(注:本文版权归作者本人和硅谷杂志所有,禁止他人未经授权转载)
|
|
|
|
【对“硅谷杂志:广域网接入的要求及设计”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
