县级气象网络的安全控制与网段划分 |
| 2012-09-05 16:41 作者:王超然 苏天星 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网9月5日消息 《硅谷》杂志2012年第14期刊文称随着气象业务的发展,观测手段的增加,气象数据资料传输日益增多,对网络的依赖程度也越来越高,网络出现故障后对业务的影响较为严重。主要针对网络拥塞与ARP攻击等问题,在县级路由器与电脑间增加控制环节,进行流量控制与划分网段,从而增加网络的稳定性与安全性。
目前,湖北省县级气象业务网络主要通过内网(移动SDH专线)与外网(电信ADSL拨号)进行业务资料传输。平时主要由内网进行数据传输,当内网出现故障时,通过外网启动VPN备份网络进行数据传输。
随着县级气象业务的发展,传输的气象信息种类越来越多,如自动站资料、GPS/MET资料、农气资料等,对网络稳定性的要求也越来越高1。同时,个人办公电脑的增加,越来越多的网上办公应用,也增加了对网络的依赖。但是,目前的县局用于外网的网络通讯资源普遍比较紧张,也没有对流量进行控制,一旦少部分电脑启用占用网络资源的软件,整个外网通讯将受影响;且所有PC机之间在同一网段内,一旦感染ARP等计算机病毒,容易传染到其他电脑,甚至有可能影响到业务用电脑,安全性较差。因此,有必要对县局网络进行改造,优化网络资源。
1县级网络的现状与需求分析
目前的县级网络结构图如图1所示,PC机通过BD1721路由器连接内网与外网,所有的PC机在同一网段。目前,普遍采用的流量控制方法就是在BD1721与交换机之间加入代理服务器,或是通过BD1721路由器的limit限速命令进行流量控制。如果直接在所有PC机与BD1721之间增加代理服务器,那么就对代理服务器的要求较高,一旦代理服务器出现故障,将会影响整个县级网络,不仅对外网通讯产生影响,且对内网业务通讯同样造成严重影响2。而用路由器上并没有解决所有电脑在同一网段,网络可能出现的安全问题,而且高峰时段会增加路由器CPU负担,不利于其稳定。
图1县级网络结构图
综合以上所述,新的网络结构需要既对对网络进行管理,又不能增加网络的不稳定因素;对其进行流量控制的同时,要求操作尽量简单,不增加BD1721路由器的负担,确保其稳定性;同时也要求增加其网络安全性。
2县级网络结构设计
根据对原有县级网络结构的分析,设计出网络结构。业务电脑直接与BD1721路由器直接相连,个人办公电脑通过SOHO宽带路由器与BD1721路由器相连,如果SOHO宽带路由器所提供的端口不够或是个人办公电脑过多(超过10台),可用两台或多台SOHO路由器与BD1721路由器相连,划分为个人办公电脑1区、个人办公电脑2区,两个区设置方法相同。使用SOHO无线路由器,成本低廉,设置简单,自带的QoS质量控制功能能够较好的解决网络过载或拥塞,其WAN口又可以便利的将个人办公电脑与业务用机网段分开,避免ARP病毒感染到业务用机,增加了安全性,又带有无线功能,无线终端使用方便,比较适合于小型办公环境组建内部网络。
且就整个县级网络体系而言,在BD1721路由器与个人办公电脑间增加网络控制设备,流量控制主要靠中间的网络控制设备来执行,即不用担心中间设备故障导致业务网络瘫痪造成资料的迟传或漏传,也没有增加BD1721路由器的负担,且结构简单,操作容易。
3网络设计方案的实现
由于只是在个人办公电脑与BD1721路由器之间增加了设备,对业务电脑没有做任何更改,故在网络改造的过程中不用设置业务用机,主要针对SOHO无线路由器与个人办公电脑进行设置。这里以个人办公电脑1区的设置为例,其余其他办公电脑分区的设置相同。
3.1IP地址设置与网段划分
这里以磊科NW715P无线路由器为例进行设置。首先要以默认网关进入D-LINK路由器的控制页面(磊科NW715P的默认网关为192.168.1.1)。在“网络参数”选项里将“WAN”口设置为固定IP,再将WAN口IP改为县局内网IP地址,假设某县局局域网IP地址范围为192.168.36.064-095,除去作为广播地址的192.168.36.95与一个局域网关地址192.168.36.94,从剩下的地址池192.168.36.64-93中选取一个作为WAN口地址,假设IP地址选为192.168.36.90。在“默认网关”选项里则填写局域网网关地址192.168.36.94。个人办公电脑2区的设置基本相同,但同一网段不能出现两个相同的IP地址,地址应选为与192.168.36.90地址不同。具体设置如图3所示。这样设置后,业务电脑与个人办公电脑不在同一网段,如果个人办公电脑感染ARP病毒,可以避免传染到业务用机上。
图3WAN口设置
在LAN选项中,可以自行选择个人办公电脑所在的内部网段,这里以默认的192.168.1.1为例进行设置。
在“无线管理”中开启无线功能。为了增加无线网络的安全性,最好设置为WPA2-AES型加密方式,并隐藏SSID(ServiceSetIdentifier)。
以上设置完后,开启DHCP(DynamicHostConfigurationProtocol动态主机配置协议)服务自动分配IP地址。将个人办公电脑的网络设置改为“自动获取IP地址”。这样就可以正常上网了。
3.2QoS流量控制。
QoS(QualityofService)服务质量,是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。在计算机网络创建初期,没有意识到QoS应用的需要,整个网络运作如一个“竭尽全力”的系统。依发送和接收者看来,数据包从起点到终点的传输过程中会发生许多事情,并产生如丢失数据包、延迟等问题。网络资源总是有限的,只要存在抢夺网络资源的情况,就会出现服务质量的要求。服务质量是相对网络业务而言的,在保证某类业务的服务质量的同时,可能就是在损害其它业务的服务质量。
在无线路由器的QoS配置选项里,设置保证最小带宽,限制最大带宽,上行带宽(KB/s),下行带宽(KB/s)。保障最小带宽:无论什么时候,无论网络多么繁忙,只要有需求,路由器将至少提供给保证带宽,哪怕当前的带宽已经被其他用户占完,最小带宽可以理解成为保证带宽。当其他用户没有网络访问需求时,路由器会自动让出多余的带宽给要使用的用户。限制最大带宽:在网络空闲的时候,可以充分的使用空闲的带宽,但是不能超过设置的最大带宽,最大带宽可以理解成为限制带宽;比如你申请的宽带是2M的,限制最大带宽设置为1M,即使当前的网络空闲,你只能使用1M的带宽。最小带宽的值可以设为你申请的带宽数/用户数,可以适当小于计算出的数值,但不要超过。
这些根据外网的实际带宽填写,设置的时候注意填写的上行带宽与下行带宽的数值根据使用的传输介质的不同而不同,ADSL宽带连接属于非对等网络,上行带宽与下行带宽不一致,而光纤的上行与下行带宽一致。
3.3远程管理
为了方便对无线路由器进行管理,使与WAN口IP地址在同一网段的机器访问无线路由器,需开启远程管理功能。在“远端WEB管理”选项中启用远程管理功能,并自行设定端口,这里假设设置的为8080端口。在远程主机IE浏览器输入WAN口的IP地址加上端口号:http://192.168.36.90:8080,即可进行远程登陆操作管理。(原文载于《硅谷》杂志2012年第14期,硅谷网及《硅谷》杂志版权所有,未经允许禁止转载) |
|
|
|
【对“县级气象网络的安全控制与网段划分”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
