廣域網(wǎng)用戶集中管理系統(tǒng)實施在供電系統(tǒng)中的應用

　　前言

　　隨著計算機技術的飛速發(fā)展和廣泛應用，信息技術的發(fā)展突飛猛進，它幾乎滲透到了每一個企業(yè)的經(jīng)營管理活動中，信息化建設已經(jīng)成為廣大企業(yè)生存和發(fā)展必不可少的戰(zhàn)略行為。而互聯(lián)網(wǎng)體系作為當今社會最重要的信息基礎建設，IP地址是最重要的互聯(lián)網(wǎng)基礎資源，IP地址管理包含IP地址分配、IP地址配置以及IP地址溯源等眾多環(huán)節(jié)，因此，IP地址管理技術是當前企業(yè)信息化建設領域的關注焦點。早期安慶供電公司分配地址時采用靜態(tài)分配IP配合人工統(tǒng)計，隨著供電公司三級五大的調(diào)整，安慶供電公司的IP地址被打亂�？梢钥闯�，早期的IP地址分配方式對于IP地址的利用及管理方面造成較大的困擾。采用動態(tài)IP地址獲取可以獲得更高的資源利用效率、實現(xiàn)企業(yè)資源和業(yè)務的靈活配置、簡化網(wǎng)絡和業(yè)務管理并加快業(yè)務提供速度，通過用戶集中管理系統(tǒng)優(yōu)化IP管理方式、提升IT系統(tǒng)運行效率是當前技術發(fā)展的方向。

　　用戶集中管理系統(tǒng)是用戶地址管理技術在網(wǎng)絡架構中的具體應用，它提高了網(wǎng)絡地址管理效率以及節(jié)約IP地址使用率，并在一定程度上提高網(wǎng)絡中用戶的安全性。相對于傳統(tǒng)網(wǎng)絡，用戶集中管理系統(tǒng)更適合于為SG186工程保駕護航，也將成為今后供電公司網(wǎng)絡管理拓展的方向。

　　1、網(wǎng)絡架構現(xiàn)狀及需求

　　在國家建設智能電網(wǎng)的大背景下，安慶供電公司也積極響應號召，投入很大力量打造安慶的智能電網(wǎng)。經(jīng)過近幾年信息化建設的投入，安慶供電公司建立了完善的局域網(wǎng)和承載各種業(yè)務的廣域網(wǎng)，提高了業(yè)務運轉(zhuǎn)效率，能夠更高效地為當?shù)亟?jīng)濟建設服務。但管理問題也隨之出現(xiàn)，復雜的IT系統(tǒng)管理人員如何從容應對，網(wǎng)絡故障導致的業(yè)務中斷嚴重影響了正常工作，IP地址的盜用給工作帶來了大量麻煩等等。如何確保有序、高效管控，讓IT系統(tǒng)和業(yè)務系統(tǒng)發(fā)揮最大價值，成為安慶供電公司的緊迫任務。

　　目前，安慶供電公司在廣域網(wǎng)中采用為每臺PC指定IP地址方式，該方式的好處是配置簡單、易實現(xiàn)。但隨著安慶供電公司信息網(wǎng)絡(廣域網(wǎng))用戶的增多，網(wǎng)絡IP地址的管理分配成為一個工作量大且繁瑣的事情。由于終端用戶的IP地址都需要信息網(wǎng)絡管理人員集中管理及分配，信息網(wǎng)絡管理人員就需要對所有終端用戶的主機進行手工靜態(tài)設置，百密必有一疏，大量IP地址的分配難免會出現(xiàn)誤配和錯配的情形，如：IP地址沖突、掩碼錯誤、網(wǎng)關錯誤等;另外手工配置IP地址的方式?jīng)Q定了終端用戶可以私自修改地址，而造成網(wǎng)絡地址沖突、網(wǎng)關地址被使用等;一旦IP地址沖突，首先就是沖突的2臺電腦不能上網(wǎng)，偶爾會出現(xiàn)一臺能上，一臺不能上情況;如果私自修改的IP地址跟服務器，交換機，路由器等網(wǎng)絡關鍵設備的IP地址沖突，就會造成整個網(wǎng)絡的癱瘓。上述也會造成信息網(wǎng)絡的抖動和安全隱患，在網(wǎng)絡安全上也存在一定的隱患。

　　并且現(xiàn)有的網(wǎng)絡系統(tǒng)不能很好的防范網(wǎng)絡中可能出現(xiàn)的ARP欺騙和中間人攻擊，對網(wǎng)絡的正常運行構成了嚴重威脅，如果現(xiàn)有的網(wǎng)絡內(nèi)部某臺設備感染了ARP病毒，那么全網(wǎng)的設備都將面臨著嚴重的安裝威脅。網(wǎng)絡用戶數(shù)量大，管理難，容易出現(xiàn)地址亂配等現(xiàn)象，這樣不僅大大浪費了IP地址同時還會在網(wǎng)絡設備的管理存在嚴重的問題。這些都給網(wǎng)絡的安全管理帶來問題。

　　2、用戶集中管理系統(tǒng)設計方案

　　2.1 設計思想

　　用戶集中管理系統(tǒng)是一種IP地址管理技術，它通過減少IP地址的管理復雜性和降低網(wǎng)絡ARP攻擊環(huán)節(jié)，從邏輯上簡化了網(wǎng)絡管理，同時增加了網(wǎng)絡安全。安慶供電公司廣域網(wǎng)用戶集中管理系統(tǒng)將部署一臺服務器作為廣域網(wǎng)的DHCP服務器，在服務器上采用IP+MAC的方式為信息網(wǎng)用戶動態(tài)分配IP地址，實現(xiàn)每位用戶動態(tài)獲取地址，并且每次獲得IP都固定，便于管理，大大簡化了此前需信息中心工作人員需前往每名用戶桌面為其設置IP地址的工作量。

　　為了網(wǎng)絡的安全性和用戶私自修改IP地址以及中間人攻擊，將在信息廣域網(wǎng)交換機部署DHCP SNOOPING和ARP DETECTION技術，對用戶的IP地址進行arp檢測，對全網(wǎng)進行集中管控。

　　2.2 網(wǎng)絡架構

　　如上圖所示：DHCP服務器部署于核心交換機的服務器區(qū)，在DHCP服務器上實行IP+MAC方式建立地址池為用戶分配IP地址，固定用戶IP地址，并加強管理性;接入層交換機部署DHCP SNOOPING技術，將交換機間的接口設置為DHCP TRUST(信任)接口，來保護網(wǎng)絡中DHCP服務器的合法性，即保證用戶獲取的地址是從供電公司所部署的服務器上獲取，而非非法服務器;同時接入層交換機部署ARP Detection(動態(tài)arp檢測技術)保護網(wǎng)絡的安全性，對網(wǎng)絡中的中間人行為進行拒絕服務，當然網(wǎng)絡中用戶的IP地址私自更改的現(xiàn)象也會很好的進行控制。

　　3、用戶集中管理系統(tǒng)應用分析

　　3.1 網(wǎng)絡需求分析

　　目前安慶供電公司廣域網(wǎng)用戶地址采用靜態(tài)手工分配，對于網(wǎng)管人員在IP地址的管理上造成不方便，另外終端用戶私自修改地址造成網(wǎng)絡地址沖突、網(wǎng)關地址被使用等，也會造成信息網(wǎng)絡的抖動和安全隱患;在網(wǎng)絡安全上也存在一定的安全隱患。同時現(xiàn)有的網(wǎng)絡系統(tǒng)不能很好的防范網(wǎng)絡中可能出現(xiàn)的ARP欺騙和中間人攻擊，對網(wǎng)絡的正常運行構成了嚴重威脅，如果現(xiàn)有的網(wǎng)絡內(nèi)部某臺設備感染了ARP病毒那么全網(wǎng)的設備都將面臨著嚴重的安裝威脅。網(wǎng)絡用戶數(shù)量大，管理難，容易出現(xiàn)地址亂配等現(xiàn)象，這樣不僅大大浪費了IP地址同時還會在網(wǎng)絡設備的管理存在嚴重的問題。這些都給網(wǎng)絡的安全管理帶來問題。

　　廣域網(wǎng)用戶集中管理系統(tǒng)的實施主要依靠當前網(wǎng)絡技術中的DHCP SNOOPING & ARP Detection技術對網(wǎng)絡用戶的安全接入進行控制，所有用戶使用DHCP(動態(tài)主機地址獲取方式)代替原有用戶靜態(tài)IP地址分配方式。利用在交換機上采用DHCP SNOOPING技術在每臺交換機形成一張DHCP SNOOPING表項，結(jié)合ARP Detection技術對交換機的每個端口下用戶的IP、MAC進行綁定，使得每個接入安慶供電公司信息網(wǎng)絡的用戶只能使用在DHCP中獲取的合法IP地址方可正常上網(wǎng)，杜絕了用戶私自更改IP地址導致的網(wǎng)絡IP地址沖突現(xiàn)象，保證了信息網(wǎng)絡的安全。

　　3.2 DHCP服務器部署

　　3.3.1保證客戶端從合法的服務器獲取IP地址

　　網(wǎng)絡中如果存在私自架設的偽DHCP服務器，則可能導致DHCP客戶端獲取錯誤的IP地址和網(wǎng)絡配置參數(shù)，無法正常通信。為了使DHCP客戶端能通過合法的DHCP服務器獲取IP地址，DHCP Snooping安全機制允許將端口設置為信任端口和不信任端口：

　　1) 信任端口正常轉(zhuǎn)發(fā)接收到的DHCP報文。

　　2) 不信任端口接收到DHCP服務器響應的DHCP-ACK和DHCP-OFFER報文后，丟棄該報文。

　　3) 連接DHCP服務器和其他DHCP Snooping設備的端口需要設置為信任端口，其他端口設置為不信任端口，從而保證DHCP客戶端只能從合法的DHCP服務器獲取IP地址，私自架設的偽DHCP服務器無法為DHCP客戶端分配IP地址。

　　3.3.2記錄DHCP客戶端IP地址與MAC地址的對應關系

　　DHCP Snooping通過監(jiān)聽DHCP-REQUEST和信任端口收到的DHCP-ACK廣播報文，記錄DHCP Snooping表項，其中包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的端口及該端口所屬的VLAN等信息。

　　利用這些信息可以實現(xiàn)：

　　ARP代答：根據(jù)DHCP Snooping表項來判斷是否進行ARP代答，從而減少ARP廣播報文。

　　ARP Detection：根據(jù)DHCP Snooping表項來判斷發(fā)送ARP報文的用戶是否合法，從而防止非法用戶的ARP攻擊。

　　MFF(MAC-Forced Forwarding)：在MFF的自動方式中，設備接收到用戶的ARP請求后，根據(jù)DHCP snooping表項查找該用戶對應的網(wǎng)關地址，并回復網(wǎng)關的MAC地址，使得網(wǎng)關可以監(jiān)控用戶之間的數(shù)據(jù)流量，從而防止用戶之間的惡意攻擊，更好的保障網(wǎng)絡安全。

　　IP Source Guard：通過動態(tài)獲取DHCP Snooping表項對端口轉(zhuǎn)發(fā)的報文進行過濾，防止非法報文通過該端口。

　　VLAN映射：發(fā)送給用戶的報文通過查找映射VLAN對應的DHCP Snooping表項中的DHCP客戶端IP地址、MAC地址和原始VLAN的信息，將報文的VLAN修改為原來的VLAN。

　　3.4 動態(tài)ARP檢測部署

　　為防止信息網(wǎng)絡中有惡意用戶利用免費ARP信息向交換機發(fā)送偽造的arp報文，冒充網(wǎng)關的MAC和用戶的MAC以獲取數(shù)據(jù)信息。我們利用ARP DETECTION結(jié)合DHCP Snooping，利用DHCP Snooping在交換機中形成的MAC+IP的綁定表，對交換機下的攻擊者進行動態(tài)的ARP檢測。

　　4、結(jié)論

　　電力企業(yè)的各類應用系統(tǒng)是整個企業(yè)生產(chǎn)的核心，網(wǎng)絡作為這些重要應用系統(tǒng)的載體其重要性不言而喻，企業(yè)需要不斷的提升網(wǎng)絡的性能以滿足快速增長的各種業(yè)務對網(wǎng)絡的需求。然而，網(wǎng)絡性能總是伴隨著技術的進步而不斷得到提升，用戶集中管理系統(tǒng)作為一種先進的、成熟的網(wǎng)絡系統(tǒng)，為安慶供電公司廣域網(wǎng)網(wǎng)絡架構與網(wǎng)絡管理提供了一個全新的理念。本文描述了用戶集中管理系統(tǒng)在安慶供電公司廣域網(wǎng)網(wǎng)絡中的具體應用，并通過與傳統(tǒng)網(wǎng)絡的比較，達到了性能更高，管理性更高，安全性更高，業(yè)務更豐富的同時，使得網(wǎng)絡管理也變得越來越簡單，一方面為SG186工程的開展鋪就了高速的信息通道，另一方面改變了公司傳統(tǒng)網(wǎng)絡管理，使新的網(wǎng)絡管理具有更好的安全性和可靠性。

【廣域網(wǎng)用戶集中管理系統(tǒng)實施在供電系統(tǒng)中的應用】相關文章：

自動化控制技術對供電系統(tǒng)的應用的論文03-19

論談教學管理系統(tǒng)在高職院教學管理中的應用02-22

基于廣域網(wǎng)的多層無功電壓信息管理系統(tǒng)設計11-21

信息管理系統(tǒng)中系統(tǒng)集成技術的應用論文（通用7篇）01-18

淺談遠抄系統(tǒng)技術在營銷管理中的應用論文02-15

淺論人力資源系統(tǒng)化管理在企業(yè)管理中的應用11-23

關于網(wǎng)絡報銷系統(tǒng)在大中型醫(yī)院管理優(yōu)化中的應用11-17

試論人力資源管理系統(tǒng)應用中遇到的問題及對策11-16

供電系統(tǒng)電纜故障測尋分析論文03-09