廣域網(wǎng)用戶集中管理系統(tǒng)實(shí)施在供電系統(tǒng)中的應(yīng)用

　　前言

　　隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，信息技術(shù)的發(fā)展突飛猛進(jìn)，它幾乎滲透到了每一個(gè)企業(yè)的經(jīng)營(yíng)管理活動(dòng)中，信息化建設(shè)已經(jīng)成為廣大企業(yè)生存和發(fā)展必不可少的戰(zhàn)略行為。而互聯(lián)網(wǎng)體系作為當(dāng)今社會(huì)最重要的信息基礎(chǔ)建設(shè)，IP地址是最重要的互聯(lián)網(wǎng)基礎(chǔ)資源，IP地址管理包含IP地址分配、IP地址配置以及IP地址溯源等眾多環(huán)節(jié)，因此，IP地址管理技術(shù)是當(dāng)前企業(yè)信息化建設(shè)領(lǐng)域的關(guān)注焦點(diǎn)。早期安慶供電公司分配地址時(shí)采用靜態(tài)分配IP配合人工統(tǒng)計(jì)，隨著供電公司三級(jí)五大的調(diào)整，安慶供電公司的IP地址被打亂�？梢钥闯觯�早期的IP地址分配方式對(duì)于IP地址的利用及管理方面造成較大的困擾。采用動(dòng)態(tài)IP地址獲取可以獲得更高的資源利用效率、實(shí)現(xiàn)企業(yè)資源和業(yè)務(wù)的靈活配置、簡(jiǎn)化網(wǎng)絡(luò)和業(yè)務(wù)管理并加快業(yè)務(wù)提供速度，通過用戶集中管理系統(tǒng)優(yōu)化IP管理方式、提升IT系統(tǒng)運(yùn)行效率是當(dāng)前技術(shù)發(fā)展的方向。

　　用戶集中管理系統(tǒng)是用戶地址管理技術(shù)在網(wǎng)絡(luò)架構(gòu)中的具體應(yīng)用，它提高了網(wǎng)絡(luò)地址管理效率以及節(jié)約IP地址使用率，并在一定程度上提高網(wǎng)絡(luò)中用戶的安全性。相對(duì)于傳統(tǒng)網(wǎng)絡(luò)，用戶集中管理系統(tǒng)更適合于為SG186工程保駕護(hù)航，也將成為今后供電公司網(wǎng)絡(luò)管理拓展的方向。

　　1、網(wǎng)絡(luò)架構(gòu)現(xiàn)狀及需求

　　在國(guó)家建設(shè)智能電網(wǎng)的大背景下，安慶供電公司也積極響應(yīng)號(hào)召，投入很大力量打造安慶的智能電網(wǎng)。經(jīng)過近幾年信息化建設(shè)的投入，安慶供電公司建立了完善的局域網(wǎng)和承載各種業(yè)務(wù)的廣域網(wǎng)，提高了業(yè)務(wù)運(yùn)轉(zhuǎn)效率，能夠更高效地為當(dāng)?shù)亟?jīng)濟(jì)建設(shè)服務(wù)。但管理問題也隨之出現(xiàn)，復(fù)雜的IT系統(tǒng)管理人員如何從容應(yīng)對(duì)，網(wǎng)絡(luò)故障導(dǎo)致的業(yè)務(wù)中斷嚴(yán)重影響了正常工作，IP地址的盜用給工作帶來了大量麻煩等等。如何確保有序、高效管控，讓IT系統(tǒng)和業(yè)務(wù)系統(tǒng)發(fā)揮最大價(jià)值，成為安慶供電公司的緊迫任務(wù)。

　　目前，安慶供電公司在廣域網(wǎng)中采用為每臺(tái)PC指定IP地址方式，該方式的好處是配置簡(jiǎn)單、易實(shí)現(xiàn)。但隨著安慶供電公司信息網(wǎng)絡(luò)(廣域網(wǎng))用戶的增多，網(wǎng)絡(luò)IP地址的管理分配成為一個(gè)工作量大且繁瑣的事情。由于終端用戶的IP地址都需要信息網(wǎng)絡(luò)管理人員集中管理及分配，信息網(wǎng)絡(luò)管理人員就需要對(duì)所有終端用戶的主機(jī)進(jìn)行手工靜態(tài)設(shè)置，百密必有一疏，大量IP地址的分配難免會(huì)出現(xiàn)誤配和錯(cuò)配的情形，如：IP地址沖突、掩碼錯(cuò)誤、網(wǎng)關(guān)錯(cuò)誤等;另外手工配置IP地址的方式?jīng)Q定了終端用戶可以私自修改地址，而造成網(wǎng)絡(luò)地址沖突、網(wǎng)關(guān)地址被使用等;一旦IP地址沖突，首先就是沖突的2臺(tái)電腦不能上網(wǎng)，偶爾會(huì)出現(xiàn)一臺(tái)能上，一臺(tái)不能上情況;如果私自修改的IP地址跟服務(wù)器，交換機(jī)，路由器等網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP地址沖突，就會(huì)造成整個(gè)網(wǎng)絡(luò)的癱瘓。上述也會(huì)造成信息網(wǎng)絡(luò)的抖動(dòng)和安全隱患，在網(wǎng)絡(luò)安全上也存在一定的隱患。

　　并且現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)不能很好的防范網(wǎng)絡(luò)中可能出現(xiàn)的ARP欺騙和中間人攻擊，對(duì)網(wǎng)絡(luò)的正常運(yùn)行構(gòu)成了嚴(yán)重威脅，如果現(xiàn)有的網(wǎng)絡(luò)內(nèi)部某臺(tái)設(shè)備感染了ARP病毒，那么全網(wǎng)的設(shè)備都將面臨著嚴(yán)重的安裝威脅。網(wǎng)絡(luò)用戶數(shù)量大，管理難，容易出現(xiàn)地址亂配等現(xiàn)象，這樣不僅大大浪費(fèi)了IP地址同時(shí)還會(huì)在網(wǎng)絡(luò)設(shè)備的管理存在嚴(yán)重的問題。這些都給網(wǎng)絡(luò)的安全管理帶來問題。

　　2、用戶集中管理系統(tǒng)設(shè)計(jì)方案

　　2.1 設(shè)計(jì)思想

　　用戶集中管理系統(tǒng)是一種IP地址管理技術(shù)，它通過減少IP地址的管理復(fù)雜性和降低網(wǎng)絡(luò)ARP攻擊環(huán)節(jié)，從邏輯上簡(jiǎn)化了網(wǎng)絡(luò)管理，同時(shí)增加了網(wǎng)絡(luò)安全。安慶供電公司廣域網(wǎng)用戶集中管理系統(tǒng)將部署一臺(tái)服務(wù)器作為廣域網(wǎng)的DHCP服務(wù)器，在服務(wù)器上采用IP+MAC的方式為信息網(wǎng)用戶動(dòng)態(tài)分配IP地址，實(shí)現(xiàn)每位用戶動(dòng)態(tài)獲取地址，并且每次獲得IP都固定，便于管理，大大簡(jiǎn)化了此前需信息中心工作人員需前往每名用戶桌面為其設(shè)置IP地址的工作量。

　　為了網(wǎng)絡(luò)的安全性和用戶私自修改IP地址以及中間人攻擊，將在信息廣域網(wǎng)交換機(jī)部署DHCP SNOOPING和ARP DETECTION技術(shù)，對(duì)用戶的IP地址進(jìn)行arp檢測(cè)，對(duì)全網(wǎng)進(jìn)行集中管控。

　　2.2 網(wǎng)絡(luò)架構(gòu)

　　如上圖所示：DHCP服務(wù)器部署于核心交換機(jī)的服務(wù)器區(qū)，在DHCP服務(wù)器上實(shí)行IP+MAC方式建立地址池為用戶分配IP地址，固定用戶IP地址，并加強(qiáng)管理性;接入層交換機(jī)部署DHCP SNOOPING技術(shù)，將交換機(jī)間的接口設(shè)置為DHCP TRUST(信任)接口，來保護(hù)網(wǎng)絡(luò)中DHCP服務(wù)器的合法性，即保證用戶獲取的地址是從供電公司所部署的服務(wù)器上獲取，而非非法服務(wù)器;同時(shí)接入層交換機(jī)部署ARP Detection(動(dòng)態(tài)arp檢測(cè)技術(shù))保護(hù)網(wǎng)絡(luò)的安全性，對(duì)網(wǎng)絡(luò)中的中間人行為進(jìn)行拒絕服務(wù)，當(dāng)然網(wǎng)絡(luò)中用戶的IP地址私自更改的現(xiàn)象也會(huì)很好的進(jìn)行控制。

　　3、用戶集中管理系統(tǒng)應(yīng)用分析

　　3.1 網(wǎng)絡(luò)需求分析

　　目前安慶供電公司廣域網(wǎng)用戶地址采用靜態(tài)手工分配，對(duì)于網(wǎng)管人員在IP地址的管理上造成不方便，另外終端用戶私自修改地址造成網(wǎng)絡(luò)地址沖突、網(wǎng)關(guān)地址被使用等，也會(huì)造成信息網(wǎng)絡(luò)的抖動(dòng)和安全隱患;在網(wǎng)絡(luò)安全上也存在一定的安全隱患。同時(shí)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)不能很好的防范網(wǎng)絡(luò)中可能出現(xiàn)的ARP欺騙和中間人攻擊，對(duì)網(wǎng)絡(luò)的正常運(yùn)行構(gòu)成了嚴(yán)重威脅，如果現(xiàn)有的網(wǎng)絡(luò)內(nèi)部某臺(tái)設(shè)備感染了ARP病毒那么全網(wǎng)的設(shè)備都將面臨著嚴(yán)重的安裝威脅。網(wǎng)絡(luò)用戶數(shù)量大，管理難，容易出現(xiàn)地址亂配等現(xiàn)象，這樣不僅大大浪費(fèi)了IP地址同時(shí)還會(huì)在網(wǎng)絡(luò)設(shè)備的管理存在嚴(yán)重的問題。這些都給網(wǎng)絡(luò)的安全管理帶來問題。

　　廣域網(wǎng)用戶集中管理系統(tǒng)的實(shí)施主要依靠當(dāng)前網(wǎng)絡(luò)技術(shù)中的DHCP SNOOPING & ARP Detection技術(shù)對(duì)網(wǎng)絡(luò)用戶的安全接入進(jìn)行控制，所有用戶使用DHCP(動(dòng)態(tài)主機(jī)地址獲取方式)代替原有用戶靜態(tài)IP地址分配方式。利用在交換機(jī)上采用DHCP SNOOPING技術(shù)在每臺(tái)交換機(jī)形成一張DHCP SNOOPING表項(xiàng)，結(jié)合ARP Detection技術(shù)對(duì)交換機(jī)的每個(gè)端口下用戶的IP、MAC進(jìn)行綁定，使得每個(gè)接入安慶供電公司信息網(wǎng)絡(luò)的用戶只能使用在DHCP中獲取的合法IP地址方可正常上網(wǎng)，杜絕了用戶私自更改IP地址導(dǎo)致的網(wǎng)絡(luò)IP地址沖突現(xiàn)象，保證了信息網(wǎng)絡(luò)的安全。

　　3.2 DHCP服務(wù)器部署

　　3.3.1保證客戶端從合法的服務(wù)器獲取IP地址

　　網(wǎng)絡(luò)中如果存在私自架設(shè)的偽DHCP服務(wù)器，則可能導(dǎo)致DHCP客戶端獲取錯(cuò)誤的IP地址和網(wǎng)絡(luò)配置參數(shù)，無法正常通信。為了使DHCP客戶端能通過合法的DHCP服務(wù)器獲取IP地址，DHCP Snooping安全機(jī)制允許將端口設(shè)置為信任端口和不信任端口：

　　1) 信任端口正常轉(zhuǎn)發(fā)接收到的DHCP報(bào)文。

　　2) 不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK和DHCP-OFFER報(bào)文后，丟棄該報(bào)文。

　　3) 連接DHCP服務(wù)器和其他DHCP Snooping設(shè)備的端口需要設(shè)置為信任端口，其他端口設(shè)置為不信任端口，從而保證DHCP客戶端只能從合法的DHCP服務(wù)器獲取IP地址，私自架設(shè)的偽DHCP服務(wù)器無法為DHCP客戶端分配IP地址。

　　3.3.2記錄DHCP客戶端IP地址與MAC地址的對(duì)應(yīng)關(guān)系

　　DHCP Snooping通過監(jiān)聽DHCP-REQUEST和信任端口收到的DHCP-ACK廣播報(bào)文，記錄DHCP Snooping表項(xiàng)，其中包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的端口及該端口所屬的VLAN等信息。

　　利用這些信息可以實(shí)現(xiàn)：

　　ARP代答：根據(jù)DHCP Snooping表項(xiàng)來判斷是否進(jìn)行ARP代答，從而減少ARP廣播報(bào)文。

　　ARP Detection：根據(jù)DHCP Snooping表項(xiàng)來判斷發(fā)送ARP報(bào)文的用戶是否合法，從而防止非法用戶的ARP攻擊。

　　MFF(MAC-Forced Forwarding)：在MFF的自動(dòng)方式中，設(shè)備接收到用戶的ARP請(qǐng)求后，根據(jù)DHCP snooping表項(xiàng)查找該用戶對(duì)應(yīng)的網(wǎng)關(guān)地址，并回復(fù)網(wǎng)關(guān)的MAC地址，使得網(wǎng)關(guān)可以監(jiān)控用戶之間的數(shù)據(jù)流量，從而防止用戶之間的惡意攻擊，更好的保障網(wǎng)絡(luò)安全。

　　IP Source Guard：通過動(dòng)態(tài)獲取DHCP Snooping表項(xiàng)對(duì)端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)行過濾，防止非法報(bào)文通過該端口。

　　VLAN映射：發(fā)送給用戶的報(bào)文通過查找映射VLAN對(duì)應(yīng)的DHCP Snooping表項(xiàng)中的DHCP客戶端IP地址、MAC地址和原始VLAN的信息，將報(bào)文的VLAN修改為原來的VLAN。

　　3.4 動(dòng)態(tài)ARP檢測(cè)部署

　　為防止信息網(wǎng)絡(luò)中有惡意用戶利用免費(fèi)ARP信息向交換機(jī)發(fā)送偽造的arp報(bào)文，冒充網(wǎng)關(guān)的MAC和用戶的MAC以獲取數(shù)據(jù)信息。我們利用ARP DETECTION結(jié)合DHCP Snooping，利用DHCP Snooping在交換機(jī)中形成的MAC+IP的綁定表，對(duì)交換機(jī)下的攻擊者進(jìn)行動(dòng)態(tài)的ARP檢測(cè)。

　　4、結(jié)論

　　電力企業(yè)的各類應(yīng)用系統(tǒng)是整個(gè)企業(yè)生產(chǎn)的核心，網(wǎng)絡(luò)作為這些重要應(yīng)用系統(tǒng)的載體其重要性不言而喻，企業(yè)需要不斷的提升網(wǎng)絡(luò)的性能以滿足快速增長(zhǎng)的各種業(yè)務(wù)對(duì)網(wǎng)絡(luò)的需求。然而，網(wǎng)絡(luò)性能總是伴隨著技術(shù)的進(jìn)步而不斷得到提升，用戶集中管理系統(tǒng)作為一種先進(jìn)的、成熟的網(wǎng)絡(luò)系統(tǒng)，為安慶供電公司廣域網(wǎng)網(wǎng)絡(luò)架構(gòu)與網(wǎng)絡(luò)管理提供了一個(gè)全新的理念。本文描述了用戶集中管理系統(tǒng)在安慶供電公司廣域網(wǎng)網(wǎng)絡(luò)中的具體應(yīng)用，并通過與傳統(tǒng)網(wǎng)絡(luò)的比較，達(dá)到了性能更高，管理性更高，安全性更高，業(yè)務(wù)更豐富的同時(shí)，使得網(wǎng)絡(luò)管理也變得越來越簡(jiǎn)單，一方面為SG186工程的開展鋪就了高速的信息通道，另一方面改變了公司傳統(tǒng)網(wǎng)絡(luò)管理，使新的網(wǎng)絡(luò)管理具有更好的安全性和可靠性。

【廣域網(wǎng)用戶集中管理系統(tǒng)實(shí)施在供電系統(tǒng)中的應(yīng)用】相關(guān)文章：

自動(dòng)化控制技術(shù)對(duì)供電系統(tǒng)的應(yīng)用的論文03-19

論談教學(xué)管理系統(tǒng)在高職院教學(xué)管理中的應(yīng)用02-22

基于廣域網(wǎng)的多層無功電壓信息管理系統(tǒng)設(shè)計(jì)11-21

信息管理系統(tǒng)中系統(tǒng)集成技術(shù)的應(yīng)用論文（通用7篇）01-18

淺談遠(yuǎn)抄系統(tǒng)技術(shù)在營(yíng)銷管理中的應(yīng)用論文02-15

淺論人力資源系統(tǒng)化管理在企業(yè)管理中的應(yīng)用11-23

關(guān)于網(wǎng)絡(luò)報(bào)銷系統(tǒng)在大中型醫(yī)院管理優(yōu)化中的應(yīng)用11-17

試論人力資源管理系統(tǒng)應(yīng)用中遇到的問題及對(duì)策11-16

供電系統(tǒng)電纜故障測(cè)尋分析論文03-09