网管工作站 Web Server E-Mail 服务器
Proxy Server 双机热备 DNS服务器 中心交换机 计费认证服务器 防火墙 百兆接入 DMZ访问服务器 路由器 千兆主干 数据库服务器 总部网络中心 二级机构交换机 工作组交换机 Internet/ ChinaNET 企业VPN用户 PC机(瘦客户端) PSTN/IS 拨号访问 如图:
网络可以为一下几方面
外部DNS 访问Internet VPN 防火墙 代理服务器 核心交换机 网管工作站 服务器 客户段 公司采防火墙和代理服务器进行和外界通信
防火墙可以阻挡外界的攻击和不必要的数据流量 用代理服务器进行内部网络监控
内部有DNS 就采用内部DNS也可以通过防火墙使用外部DNS
、代理服务器
代理服务器虽然不是整个网络的关键服务器,但如果配置不当,则可能成为整个系统的瓶颈。本方案建议采用较低配置的SUN E250服务器作为代理服务器,主要配置如下: 1个400MHZ UltraSPARCTM-II CPU,带2M高速缓存 1个18G HD 1G 内存
此配置下,代理服务器完全能胜任10000个用户的访问需求。
、
DNS(域名)服务器
域名服务器中运行域名数据库,其功能是进行地址转换翻译,这种翻译称为“主机名/域名解析”或“名称解析”,由于域名服务器存储的主要是域名数据库,为用户提供域名解析服务,因此对设备的存储空间的要求并不大,但需要具有较高的处理速度和强大的并行能力。
此服务器可以与WEB服务器在硬件上合成在一起,服务器软件由操作系统附加提供。此外,由于DNS服务器非常重要,因而我们在其他服务器(如备份服务器)上设置DNS
备份。
数据备份
1、数据备份概述
公司信息系统的主要业务数据主要有流转数据和历史数据两大类。由于系统数据量和数据流量均很大,对数据处理的实时性要求高,面对快速增加的资料量、二十四小时不停运转及日趋有限的备份时段,如何做到有效的资料保护,是一个刻不容缓的议题。
相对于SUN小型机的双机热备份,这是冷备份方式。建议在数据库服务器端采用自动化备份系统,由备份软件和大容量存储设备组成。它具有以下功能: 1.1集中式管理、跨网络备份
集中式管理、跨网络备份可以让MIS人员在公司这样的大型信息系统中,以较少的人工成本来备份整个信息系统的资料,只要一台备份服务器,便能管理到整个网络的备份工作,并且可以从备份服务器上备份与恢复整个网络上的资料。 1.2自动化备份与恢复
自动化不需要人力去操作或更换磁带媒体(使用自动换带磁带机或磁带库),可以降低人员维护成本;定时的备份功能,可以事先分配不同的作业系统,使机器A上的XXX目录下的文件在每天五点前备好,机器B上的YYY目录下的文件在六点以后备好,大大减轻管理员的压力;而自动化作业不需要人工操作的特性,也可以确保人为操作上的错误不致发生,增加备份的可靠度。 1.3安全性与可靠性
用备份软件厂商提供的防毒软件,备份资料前自动对文件进行病毒扫描,能够确保备份的资料并未遭受病毒感染,以后再读出校验,以及提供同位检查信息,能确保储存在磁带媒体上的资料是正确的。 1.4灾难防治与重建
可以在系统毁损而必须完全重新安装作业系统、应用程序的状态下,提供简便且快速的能力,以简单的几个步骤,跳过重新安装作业系统与应用程序的步骤,直接将此损毁的系统在最短的时间内恢复原状。
2、推荐采用的备份软件和存储设备
2.1备份软件
目前应用得较好的有美国Legato公司的Legato Netwoker和美国CA公司的ARCserver备份软件。它们提供的数据存储管理系统提供了客户机/服务器体系结构下网络数据存储管理解决方案,它通过在网络中选定一台机器作为数据管理的备份服务器,在其他机器上安装客户端软件,从而将整个网络的数据全自动地备份到与备份服务器相连的存储设备上,并在备份服务器上为各个备份客户端建立相应的备份数据的索引表,存储介质使用索引表来实现数据的全自动恢复。它们支持目前流行的绝大多数操作系统。通过各种代理选件,来完成不同的需要,如数据库的代理选件,可以在线备份打开的数据库。
2.2存储设备
存储设备我们推荐业界知名品牌HP的产品。HP SureStore系列产品线从低容量到高容量,能满足不同用户的需要。
(1) HP SureStore磁带机、磁带库系列
DAT 4mm磁带机:容量从2GB到24GB,适合网络系统备份。DAT246e自动加载磁带机,可以存放6盘磁带,由驱动器自动存取磁带,容量达144GB,可以用于自动化备份方案中;
DLT磁带机:容量有30GB、40GB、70GB,在同类产品中,它的速度及可靠性是最高的,最快可以达到10MB/S。适合于企业级数据保护。
DLT自动加载磁带机:有DLT418与DLT718,8个槽位可放8盘磁带,由驱动器自动存取磁带,容量分别是320GB、560GB。
DLT磁带库:容量从300GB到3.4TB。磁带库不是磁带机和磁带的简单堆积,磁带库的大容量和连续备份能力、自动换带及数据管理功能是单台或多台磁带机无法比拟的。特别适合于大型企业网络的数据备份。 (2) HP SureStore光盘机、库系列
MO光盘机:目前有2.6GB和5.2GB光盘机,它的介质保存寿命长。直接读写的存取方式使它适合于做查询。
MO光盘库:容量从40GB到1.2TB。适用于需做数据查询的大型企业网络的数据存储。
(3) HP SureStore光盘塔
光盘塔是多个CD盘片的堆叠(7-14个CDROM),是一种网络接口设备,直接连接在网络上,不依靠任何服务器,使网络用户共享CD上的数据。一种仅用于查询的设备。但可与HP CDWriter即CD刻录机(可刻录650MB的数据)配合使用,对于数据量不大但要数据共享的网络来说,非常适用。
2.3备份方案结构图 备份服务器
HP光盘库或磁带库 客户端
LAN 3、备份方案选择
在本方案中,我们采用HP SureStore DAT 4mm磁带机系列中的DAT246e自动加载磁客户端 客户端
带机,可以存放6盘磁带,由驱动器自动存取磁带,容量达144GB。结合ARCserver备份管理软件,可以全面实现上述的四大自动化备份功能。专门设置一台备份服务器(高档PC机),安装ARCserver 6.61 Advanced Edition软件及Open File(打开文件备份)选件和灾难恢复选件,在SUN小型机上安装Client Agent for Unix客户端软件和ORACLE选件,可以实现对数据库服务器的集中式管理、跨网络自动备份与恢复。
网络管理
在网络发展的早期,网络管理的大部分事情是由网络工程师来完成的,为了
确定某台主机或某个网络是否运行良好,他可能利用类似于ping的实用工具,为了确定网络的故障,他有可能需要拎着测试仪和工具箱沿整个网络查找一遍。这种即费时又费力的办法,对于一些较小的局网是可行的,然而随着网络本身的发展,网上的机器设备越来越多,网络的规模也越来越大,就只能采用网络管理技术来完成了。
网络管理分为五部分:失效管理,性能管理,安全管理,记帐管理,配置管理。这五部分是相辅相成、密不可分的。 1、公司网络系统对网络管理需求
公司计算机网络系统既是一个信息通讯网络又是一个管理机构,系统覆盖范围广、用户量大。根据网络管理所包含的四部分功能,一个计算机网络的网络系统管理和运行建设应该满足下列需求:
同时支持网络监视和控制两方面的能力
系统监视功能是为了掌握网络的当前状态,而系统控制功能是采取措施影响系统的运行状态。许多网络系统管理功能同时应包含这两方面的能力。例如:在失效管理中,网络监视能力用来发现和诊断网络故障,网络控制能力用来隔离故障、定位故障、最终排除故障。
能够管理所有的网络协议
应该做到管理一个网络中的尽可能多的协议层,从物理层到应用层。
尽可能大的管理范围
在管理尽可能多的网络协议层的同时,还应该考虑扩大网络管理的范围。不仅管理点到点的网络通信,还应管理端到端的网络通信;不仅管理基本的网络设备,还应该管理应用层的功能。
尽可能小的系统开销
管理尽可能多的协议层和尽可能大的范围肯定是以增大系统开销作为代价的。应该根据实际情况对网络管理的范围和所需系统开销作为一个统一的合理的分配和选择。在同样的网络管理下,尽可能减少系统开销,提高网络的运行效率。
容纳不同的管理系统
大型计算机网络一般可能连接不同的局域计算机网络,这些网络可能具备各自不同的网络管理功能。尽可能容纳不同的网络管理功能在一起,形成统一的网络管理和运行机制是十分重要的一项工作。
系统管理的标准化
管理不同厂家的连网设备和容纳不同的网络管理系统一般应该通过网络管理的标准化来实现。国际标准化组织 ISO 十分重视网络管理的标准化工作,制定了一系列的网络管理标准。在设计网络管理和运行时,应该采用标准化的网络管理机制和协议。
2、公司信息系统网络管理选型和配置
根据上述网络管理的需求,为了对整个网络系统(包括服务器和网络设备)进行有效的管理,网络管理系统配置如下:
一台SUN Ultra 10作为网管工作站,Sun Ultra 10 Model 440 440/ 256MB/
20GB/ PGX
在SUNNet Manager2.3作为网管平台,实现对服务器的管理
在SUNNet Manager2.3平台上运行CiscoWorks网管软件,实现对网络设备
的管理
SunNet Manager网络管理系统构筑在Solaris操作系统之上,内容包括:
创建元件、视图、总线和连接 查看和修改(单元的)性质、数据 可使用控制台特性适合专门的应用
生成“快速转储”,“数据报告”和“事件报告”
使用数据报告,事件/捕俘报告和错误报告以及事件请求窗口来查看数据 使用SunNet Manager管理SNMP设备 安装和配置协作的主控台
3、Solstice SunNet Manager 2.3介绍
网管主要功能是完成对各主机服务器和网络设备的集中管理,同时作为全网的中心,还将实现对整个广域网进行集中的网络管理控制。Sun公司的解决方案一般为:Sun公司的网管平台Sun Net Manager外加其他网络公司的网管软件Cisco Works,Nortel Optivity等来满足网络管理的功能。
随着客户机/服务器计算技术的爆发性增长,如今的企业面临着如何最好地管理复杂的、异构的环境。这个挑战由于没有一致的管理平台管理不同大小的环境而变得更加复杂!低档平台可以经济有效地管理小的网络,但是不能调整到管理大的环境。相反地,高档企业管理平台由于价格较高不适于小的网络。此外,平台一般没有提供平台之间的允许跨网络管理的分布产品。为了满足这个需要,Sun公司开发了SolsticeTM Site ManagerTM和Solstice Domain ManagerTM。它们一起提
供了:
高级事件管理:一个容易建立的、高级的事件管理平台,监控关键任务
环境的健全与否,并快速找出问题所在区域。
一致性的平台适于多种大小环境: 该两种产品提供了同样的工具、应用
程序、用户界面、请求管理特征、代理和拓扑数据库。这种一致性大大减小了内部各个管理员的学习过程。
用于中型网络的管理平台:Solstice Site Manager中的先进技术特别适合
于管理中型网络。
用于大型网络的管理平台:Solstice Domain Manager上的代理使用了分
布式轮询,可管理大量的局部和远程节点。这个产品也为有效地管理大型的和多个网络提供了特征和工具。
平台间的分布:Solstice Site Manager可发送拓扑和事件或者陷阱信息到
Solstice Domain Manager。Solstice Domain Manager可配置为从多个Solstice Site Manager接收信息或者设置为对其它Solstice Domain Manager的发送器和接收器。这种平台分布允许用在跨网络管理上。 一个可靠的平台:Solstice Site Manager和Solstice Domain Manager基于
已验证的SolsticeTM SunNet ManagerTM和Solstice Cooperative ConsolesTM Manager技术。
SUN公司的Solstice Site and Domain Manager 2.3 产品家族包括一系列可扩展的和分布式的可以适用于任何规模的关键应用环境的网络管理平台。
Solstice Site Manager 包括 Solstice SunNet Manager 2.3的100节点版本。 本方案软硬件配置清单中选用的SNM-NM-2.3-P,是Solstice SunNet Manager不节点数量的版本。具体技术特性参见《SolsticeTM Site ManagerTM and SolsticeTM Domain ManagerTM 2.3技术》。
4、Sun网管系统的工作原理及特点
Sun NetManager管理平台如下图所示:
4.1分布式管理
Sun Net Manager是基于分布式的管理结构,它为用户提供了管理来自不同厂商的、规模和复杂程序可变的网络及系统的能力。Sun Net Manager结构的伸缩性体现在它将管理处理的负载分散到网络上。这不仅减少了作为管理者的主机的负担,而且降低了网络带宽的开销。
Sun Net Manager提供了性能价格比很好的中型网络管理。Sun Net Manager可以管理无限个计算机主机和网络设备,它也包括了Solstice Cooperative Console的发送方功能,允许管理信息(拓扑、事件和陷阱)传送到Solstice Domain Manager的控制台上。
Solstice Domain Manager包括了无结点许可的Sun Net Manager 2.3、Solstice Cooperative Console的发送方与接收方的全部功能及先进的版面排列工具,可用来与Solstice Site Manager或Solstice Sun Net Manager一起协同管理大型的、多层次的复杂网络。
Sun采取分布式管理,有三种管理模式:外部到的管理系统可以在必要时接管外部点的网管;分级的管理方式可以缩小网管的容量,必要时还可以相互接管;协同的管理方式,两个Domain Manager的数据库可以保持同步,必要时可以互相接管工作。
Sun Net Manager与Sun Net Manager通过RPC沟通的Agent有两种类型:直接存取管理对象,如CPU统计Agent、磁盘信息Agent等;非直接存取规律对象,也称Proxy Agent(委托代理)。
Proxy Agent是分布式管理体系结构的基础,它可以很容易的扩充网管容量。规模化的管理用Proxy Agent来实现。这种Proxy Agent为用户带来三方面的好处:网络管理的轮询(Polling)局部化,减少了文件传输的开销,增加了每个管理者可管理的结点数;Proxy Agent为远程Agent提供了广域网上可靠的传输;通过提供不同类型的Proxy Agent,可使Sun Net Manager管理任何类型协议的对象,例如DECnet网和FDDI网等。
Sun Net Manager Agent和Proxy Agent与应用程序通过RPC(ONC/RPC)协议进行通讯。Proxy Agent将RPC协议翻译成被管理元素所能理解的协议,通过它,Sun Net Manager可以管理小量的资源,包括:通讯协议层和接口;网络设备如交换机、路由器、集线器、打印机、工作站和PC;应用程序、数据和网络服务;系统和操作系统资源。 4.2协同管理
协同管理是Sun Net Manager和Cooperative Console共同实现的,其主要特点是信息的分布采集、信息的分布执行、应用的分布执行。我们可将一个小型企业网管按其业务组织或地域分为若干区,每个区都有自己的网管系统。但有关区之间可以互相作用。区与区之间的关系可根据实际需要灵活配置,即可以层次、也可以为对等,甚至可以根据被管目标的特性管理职能,例如路由器、X.25服务器、数据库应用等可分别由不同区域的网管中心来管理,从而充分发挥各地技术专家的特长。
数据和事件管理采用Sun Net Manager,用户可以发送类型请示到Proxy Agent: 数据请求:例如每60秒轮询一次hostperf agent,提取所需信息,送回请
求方;
事件请求:例如每60秒轮询一次hostperf agent,如果某一属性符合某个
标准(CPU利用率90%),则送交事件报告给请求方。
Sun Net Manager 2.3不但提供了易用的生成事件请求的工具,而且还提供了非常好的事件管理功能来监视关键设备的状况。Sun Net Manager 2.3引进了一个新的特性:基于事件的动作(Event-Based Actions)。一个预先定义的事件发生,可激发一个接着发生的事件请求。管理者可以将多个预先定义的请求连结起来,以快速诊断问题所在。
Sun Net Manager 2.3还允许对一类设备(如Cisco路由器)提交一个共同的事件请求。
4.3 SNMP的支持
简单网络管理协议(SNMP)是一个用于管理信息交换的工业标准。Sun Net Manager包括了所有基本的SNMP机制,而且允许配置SNMP陷阱(trap)为不同的优先等级。在网络中出现故障时,能够传送到其他Solstice或非Solstice的平
台上,如需要对IBM的小型机实现一体化的管理,Sun公司相应的解决方案实现SNMP陷阱到IBM Netview的传送。Sun Net Manager同时还支持SNMP V2。 4.4安全性
在分布式网管系统中,网络管理系统的安全性显得特别重要,在配置Cooperative Console时,我们提供访问控制表以保证具有那些被授权接受管理数据的人才能得到相关信息。另外Cooperative Console还提供了只读控制台的功能,使得一般的网管人员只能在只读方式下操作,不能增加/移动/删除网络元素。 4.5用户工具
Sun Net Manager的用户工具很丰富,它可使操作员监视和控制网络及系统资源。图形化的界面简化了操作过程和减轻了培训要求,这些工具主要包括: (1) 管理控制台(Managemet Console)
控制台是一个管理应用,它具有面向图形的用户接口、使管理人员能够启动管理任务并显示管理信息。通过控制台,管理员能够解决许多类型的管理问题,如:
·设备配置设定 ·故障报警和诊断 ·网络资源的监控与控制 ·系统网络容量规划和管理 (2)搜寻工具(Discover Tool)
搜寻工具自动发现IP和SNMP设备,写入管理数据库,并构造网络的图形表示。这个工具为建立、显示和配置数据库节省了时间。 (3)Solstice Domain Manager版面排列工具
管理一个小型网络的一部分工作是以一定的方式设计屏幕,能够快速浏览到某一个具体单元。版面排列工具能从管理数据库中读取信息。并自动将设备和连接按下列三种版面排列方式之一显示,这种方式是:层次式、弧形式、对称式。 版面排列工具还提供一个总览窗口,通过它可知道目前浏览的是网络的哪个部分。版面排列工具还支持拓扑图的打印。 (4)IPX搜寻工具(IPX Discover)
Sun Net Manager 2.3能够输入已存在于Novell Manage Wise网络管理控制台的拓扑图,因此它能够浏览到NetWare LAN的PC。Sun Net Manager 2.3能够通过Novell Management Agent 2.0管理NetWare服务器的文件系统、打印队列、用户组和其他属性。
(5)浏览工具(Browser Tool)
浏览工具可用来检索和设置被管设备MIB中的SNMP属性。管理员还能从特定属性中得到更多信息,包括属性名、属性类型、存取信息和网络地址。 (6)图形工具
图形工具通过的、可比较的图形来表示动态的或日志化的网络信息。这些有利于鉴别统计趋势、诊断潜在的网络问题或瓶颈。例如,很容易的创建图形来显示服务器的CPU利用率,观察峰值负载、网络程序的执行或其他任何有用的元素属性。 4.6应用接口
Sun Net Manager既提供了用户工具,又提供了开发者工具。开发者工具是三个应用编程接口(APIS)。厂商和用户可用来构造强大的工具,以补充Sun Net Manager中包含的用户工具的功能。三个API是:
·管理者服务API(Manager Services API) ·代理服务API(Agent Services API)
·数据库/拓扑图API(Database/topology Map Services API)
5、CiscoWorks for SUN Net Manager介绍
由于SNM-NM-2.3-P可以高效地管理到网络中的SUN服务器和支持SNMP的网络设备,但他并不能监控和管理到CISCO网络设备如交换机的某一个端口。因此,在本设计方案中,我们还选用了CiscoWorks for SUN Net Manager作为网络管理平台的补充。它作为Cisco公司功能强大的网络管理产品之一,在网络监控、管理、优化方面具有独特的性能。
CiscoWorks for SUN Net Manager是一套基于SUN Net Manager的集成式网络配置和诊断工具,包括Configuration Builder、Show Commands、Health Monitor和CiscoView应用程序,基于工业标准平台提供设备监视、配置维护、故障排除等应用。可以在一台网管工作站上实现对整个网络的集成管理。
其功能已从单纯的配置管理扩展到设备配置和网络健康状况等多个方面,其主要特点包括:定性或定量的分析网络各项参数(如:接口流量、错误发生率、CPU利用率等),判断网络健康状况,为系统升级、维护提供第一手资料;基于SNMP(简单网络管理协议),全面管理网络中多种设备(路由器、交换机、防火墙等),以照片方式显示设备直观视图;易于使用,通过简单的点击配置设备端口和各项参数;通过不同色彩和多种图表显示各种工作状态,便于实时监控和迅速
定位故障;提供设备升级接口。
以下是各个工具功能的描述: Configuration Builder
可以提供多个设备配置窗口同时配置多台设备;通过TCP/IP实现远程配置;可探测网络中某设备的型号、软件版本、图像类型以及所安装接口的数量和类型等信息;可检测网络中重复的地址和配置等。
Show Commands
可以快速显示有关Cisco路由选择设备的系统和协议的详细信息。 Health Monitor
使用SNMP监视和控制Cisco设备,是一个动态的错误和性能管理工具,可提供设备特性、接口状态、错误和协议使用率的实时统计数据。它还提供CPU和环境卡状态并通过颜色变化显示条件的改变。
CiscoView
使用SNMP来监视和控制Cisco设备,提供动态状态信息、统计数据和全面的配置信息。可提供设备前、后面板的物理视图并通过状态栏中的信息反馈和端口颜色变化显示实时状态。能提供例外报告,使用户能够很快掌握必要的查询信息。
6、CiscoWorks for SUN Net Manager功能描述
CiscoWorks以五种网络管理功能为实施对象:差错管理,运行管理,配置管理(包括设备管理),账户管理(包含在运行管理实施中)以及安全管理。每种功能区可以实现的具体功能描述如下
6.1查错管理
可以使用CiscoWorks查错功能实现如下功能:
用Device Monitor应用程序获得Cisco路由器上用以监控路由环境的特
定设备的信息和接口信息。
用Show命令应用程序在Cisco路由器上模拟路由器执行Show命令 用Path Tool应用程序显示从源设备到目的设备的动态的图形化路径。 用Path Tool应用程序分析运用于连接实用程序和错误率信息的图形化的
路径。
用Environmental Monitor(环境监控器)应用程序进入Cisco AGS+和7500
路由器环境监控卡获取温度和电压信息。
用Health Monitor(健康监控器)应用程序,包括Show命令和Real
TimeGraphs(实时图形)应用程序数据获取设备信息。
用Contacts应用程序迅速获取网络中与设备有关的管理和维护人员信息
6.2运行管理
有了CiscoWorks,就可以收回关于网络设备的状态和管理信息,并同时将信息显示到多个设备上,这样就可以根据互联网环境的需求变化来操作了。使用CiscoWorks的运行管理,可以实现以下功能:
用Polling Summary(轮询汇总)和Real-Time Graph(实时图形)应用程
序动态比较设备统计数据。
用Polling Summary(轮询汇总)和Real-Time Graph(实时图形)应用程
序显示特定时间段内的历史数据。
用Real-Time Graph(实时图形)应用程序,动态绘制实时路由器信息,
包括路由器的健壮性,接口的健康性,协议传输的状况。
用Show命令应用程序在Cisco路由器上模拟路由器执行Show命令。 用Device Polling (设备轮询)应用程序指定MIB对象以连续监控网络中
选定的设备。
用Polling Summary(轮询汇总)应用程序来制作一份图形化像素格式显
示网络可变统计数据的轮询信息,以监控和比较网络组件的运行状况。 启动Sybase Easy SQR应用程序运行一个数据库报表,打印在的
PollingSummary应用程序中收集的轮询表信息。
用Sybase Easy SQR应用程序中标准的SQL或者VQL语言为一种任意
的数据库元素集合创建标准的用户报告格式。
6.3帐户管理
帐户管理是管理功能的子集:用来生成帐户管理信息应用程序就在这些功能子集中。运行帐户管理时所能实现的功能如下:
用Show Commands应用程序来模拟Cisco路由器执行Show命令以获取
IP帐户检验点的信息。
用Device Polling应用程序来获取Cisco自身的MIB的对象信息。
6.4配置管理
可以使用CiscoWorks的配置管理实现以下功能:
用Configuration Management(配置管理)应用程序动态获取网络中远程
Cisco系统设备的配置参数。
编辑和浏览可以安装到Cisco设备上的配置文件。用
ConfigurationManagement应用程序滚动浏览和查找一个配置文件中的文本内容。
用Configuration Management应用程序识别一个Cisco设备,选择适当的
配置命令内容,启动安装命令。
用Configuration Management应用程序,通过阅读、编辑已加载的配置,
在Cisco设备配置中,改变Cisco在线设备配置的参数。
用Configuration Management应用程序,将存储配置与装载配置进行比较 用Configuration Management应用程序,从UNIX工作站的一个目录中读
取一个配置文件并存储于数据库中。
用Global Command Manager或Configuration Snap-In Manager应用程序,
在网络状态空闲时创建和发送全局或Snap-In命令来管理网络并安排命令的执行。
用AutoInstall Manager(自动安装管理器)应用程序从网络管理工作站上
远程安装新的路由器。
用TACACS Magager应用程序修改口令,管理帐户期限以及其他功能,
以管理网络中的TACACS用户。
通过Device Software Manager应用程序对Cisco设备的系统软件或微码
升级。
用几种CiscoWorks应用程序来使用域的概念或松散连接的设备组来管
理网络。设备管理设备管理是配置管理功能的子集。以下是运行时能实现的主要管理功能:
创建、修改和维护完整的网络清单——硬件、软件、运行部件的发布层
次,网络中相关负责人及地点。向有关网络设备、接口、合同等的数据库中输入数据。用Sync W/Sybase应用程序实现CiscoWorks Sybase数据库中的信息于NMS数据库中的信息同步。
用Contact应用程序迅速访问网络中相关设备的管理和维护人员。 组织设备域或者逻辑设备组以授权一些用户具有管理和维护权限,而另
一些用户只有监控设备权。这种设备组织是在Security Manager (安全管理器)中建立的,但它却保存为设备信息的一部分,每一个CiscoWorks应用程序都可使用。
6.5安全管理
可以使用安全管理实现以下功能:
建立选定CiscoWorks应用程序的权限检查。
根据特定用户所属的用户组或域建立安全权限,对设备配置文件,
网络管理进程,设备数据库信息以及网络活动信息的访问。 创建域或松散设备组来帮助网络的安全管理。
修改或删除用户权限以确保CiscoWorks网络管理应用程序的使用。
IP地址分配和域名管理 1、IP地址管理概述
对于局域网的IP地址管理问题,用户规模越大,管理工作就越困难,所以网络管理员必须深思加以解决。目前有两种方案,一是使用动态IP地址分配(DHCP),另一种方案是使用静态地址分配,但必须加强MAC地址的管理。
用动态IP地址分配(DHCP)的最大优点是客户端网络的配置非常简单,在没有管理员的帮助和干预的情况下,用户自己便可以对网络进行连接设置。但是,因为IP地址是动态分配的,网管员不能从IP地址上鉴定客户的身份,相应的IP层管理将失去作用。而且使用动态IP地址分配需要设置额外DHCP服务器。
使用静态IP地址分配可以对各部门进行合理的IP地址规划,能够在第三层上方便地跟踪管理,再加上对网卡MAC地址的管理,网络就会具有更好的可管理性。但如果网络规模较大,则IP地址管理的工作量就相当大。
综合以上考虑,由于一期规划整个信息点的规模不是很大,因此从网络安全的角度出发,我们建议采用静态地址分配的方法。并结合中心交换机的第三层交换功能,进行子网的划分,一方面可以降低网络风暴的发生,另一方面也加强了网络的安全性。
当随着以后各期规划的实施,整个网络信息的规模不断扩大,则可以考虑采用DHCP动态IP地址分配的方案,设立专门的DHCP服务器进行动态IP地址分配。同样可以基于中心交换机的VLAN功能进行配置,划分网段,根据各个二级单位信息点所在的网段进行动态地址分配。
2、内部网络IP地址分配
内部网部分可以使用保留地址。根据IANA的规定,以下三段地址作为保留地址,可以由用户自由使用,并只需保证企业范围内的唯一性。保留地址如下:10.0.0.0(1个A类地址)(ChinaNet使用该地址段)
172.16.0.0 至172.31.0.0 (16个B 类地址)
192.168.0.0至192.168.255.0
(256个C类地址)
我们建议内部网络采用保留IP地址192.168.x.x,子网掩码255.255.255.0,则最多可以提供254x254=516个IP地址,254个子网,在可以预见的将来能够满足信息点增长的要求。如果子网数大于254个,则可以通过修改子网掩码的方式扩展。
分配原则:我们把192.168.n.0(n从1到254)称作一个二级子网,原则上网络中心、机关大楼和每个二级单位各分配一个二级子网。根据二级单位的规模和信息点的数量,可以根据需要进行调整。每个二级单位应指定专人负责本子网的IP地址分配和管理工作,并和网络管理员协同工作,确保IP地址管理的效率。
对于重要的IP地址(比如领导使用的IP地址和各个服务器使用的IP地址),采取IP地址和MAC地址绑定的方法,来保证IP地址不被盗用。这种绑定可以在PIX防火墙上实现。
2、ISP网络IP地址分配
一个内部子网分配给拨号访问服务器,共有254个IP地址,可以满足240个用户的接入需要。档ISP系统扩容时,可以相应增加子网的数量即可。拨号用户采用动态IP地址分
配的方法。
为了方便管理, ISP分配给用户的IP地址都是内部IP地址,可以访问内部网络。如果需要访问Interet,则同样由PIX实现IP地址转换。
3、域名管理
注册域名www.dalps.com
从Internet访问WWW服务器时,Internet上的域名解析指向PIX防火墙,由防火墙进行地址转换指向WWW服务器。
从内部网络访问WWW服务器时,首先在内部DNS服务器进行域名解析,即可得到WWW服务器的IP地址。如果需要访问Internet上的资源,则使用外部DNS服务器进行域名解析,得到目的地的IP地址。
网络安全
网络安全是当前IT业最受关注的环节。在公司的企业网建设中,内部网与Internet/ ChinaNET公众网的连接是重要环节。因此,需要着重解决好总部的防火墙方案。 1、安全技术介绍
由于Intranet网络系统将连入Internet,为用户提供各种信息服务。资源共享和开放是Internet特点,所以Internet的安全机制很松散;而企业内部网络系统要求有较高的安全性,其内部的许多数据和文件不接受未经授权的访问。因此,设计与开发保证内部各种信息的安全机制是实现该办公网络顺利运行的关键。安全技术主要包括系统安全、信息安全、应用安全和网络安全技术,而三者之中网络安全尤为重要,而且也是技术实现的难点所在。网络安全的主要技术是防火墙技术(Firewall),防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。
1.1 系统安全
系统安全保证一个主机系统的安全,主要包括主机系统的密码安全、重要服务器如Mail、FTP和数据库等大型应用系统的安全。我们在主机系统和数据库系统的选型上,已经充分考虑了系统的安全性。
1.2 信息安全
由于网络上有许多可用来做窃听的工具,如sniffer等,因此明文信息在网上传输是不安全的。TCP/IP协议本身不提供任何信息安全方面措施,因此必须另外开发,目前,Internet上的信息加密有两种途径:基于IP层的信息加密和基于应用层的信息加密,基于应用层的信息加密是传统的方法,用户在发送信息前,利用加密工具先将信息加密、然后才发送出去,
接收方可利用相应的解密工具还原信息;基于IP的信息加密是lnternet上的一种新技术,它对IP包进行加密,对于应用层的用户来说是透明的,用户无需在传送数据前进行加密,数据的安全是通过IP层自动实现的,但是这种应用要求发送方和接收方采用同样的技术、同样的产品,利用基于IP包的信息加密技术可在Internet上实现安全的私有网络SVPN(Secure Virtual Private Network)。
信息加/解密技术可分为两种体系,即单密钥的加密体系和双密钥的加密体系,单密钥的加密体系在加密和解密时采用相同的密钥,如著名的加密算法DES ;双密钥的加密方法又叫公开密钥的加密方法,加密和解密时采用不同的密钥,即公开密钥和私人密钥,如著名的RSA算法:这两种加密体系在Internet都得到了不同的应用,如Unix系统的用户密码password就采用DES算法,而信息加解密工具PGP(Pretty Good Privacy)采用了公开密钥的加密方法。
基于本网络之上的应用系统在设计时充分考虑了系统的安全性,
1.3 应用安全
应用安全是指基于网络的应用系统的安全,包括用户的身份认证和权限管理两部分。应用系统建立用户管理子系统,进行用户的管理和授权工作。
身份认证:用户使用应用系统,不管是从内部网络登录,还是拨号访问,还是通过INTERNET访问公司网络,首先需要通过严格的身份认证。只有合法的用户才能使用应用系统。
权限管理:每个使用网络的用户将受到严格的权限。一般而言,网络管理员不得从事业务操作,普通用户不能进行网络管理。
1.4 网络安全——防火墙
网络安全的主要技术是防火墙技术(Firewall),防火墙技术的核心思想是在不安全的网间环境中构造一个相对安全的子网环境。目前其实现方式有两种,即基于包过滤(Packet Filter)的防火墙和基于代理(Proxy)的防火墙。包过滤型防火墙处在网络层,根据IP包的包头信息来对信息的访问进行控制,而IP包的包头主要包括以下信息:IP包的源地址、目的地址、包类型,端口号,因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙,也叫应用层防火墙,处于应用层、可对IP地址和发生在该IP地址上的具体应用进行控制,由于它能识别应用协议,因此可对应用的整个过程进行控制,比如在应用建立时的密码验证、在FTP应用中允许某站点GET而不允许PUT等等。这两种防火墙各有优缺点,包过滤型防火墙由于基于网络层,因此对用户来说比较透明,但它一般采用“没被禁止的就是允许的”这一策略,在它失败时,网络是畅通的,这时内部网络将失去安全的屏障,而应用层防火墙采用“没被允许的就是禁止的”这一策略,在它失效时,内部网络与外部网络是隔离的,因此应用层防火墙要比包过滤型防火墙安全。
大多数路由器均支持包过滤功能,比如在Cisco路由器上可以通过设置过滤规则来实现包过滤功能,禁止外部网络对内部网络的某些重要机器的访问,禁止内部网络主机对Tnternet上部分站点的访问,并可利用端口号来选择控制的应用协议,比如TELNET的端口号为23、FTP的端口号为21、WWW的端口号为80等,这样就可以设或一些较复杂的规则,比如可以允许某台机器对Internet具有Email访问功能,却不能利用WWW和FTP等。
2、软件防火墙介绍
企业内部网络系统接入公共网(Internet)以后可以与之进行数据信息交流,使信息获取更方便、及时,工作方式更快捷。但是,每一种不彻底公开的内部网络与INTERNET最大的区别是安全性。作为企业内部的办公系统,有大量的科技、生产秘密不能为他人所知,因此网络保密就成了关键,网络建成后,内部网与公共网之间将实现单向访问控制,通过防火墙进行隔离。防火墙技术是实现网络安全的重要保证.它可分为两种,即基于包过滤(PACKET FILTER)的网络级防火墙和基于代理(PROXY)的应用级防火墙。这两种防火墙各有优缺点,在本系统的内部网防火墙构架中,我们综合利用了这两种技术。下面是整个软件防火墙系统的介绍:
第一道防火墙采用Cisco路由器实现包过滤,完成访问控制功能:禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。第二道防火墙采用一台工作站来充当代理服务器,实现内部网对INTERNET的访问,同时实现隔离功能,禁止外部网络对内部网络的访问。在外部网与内部网之间为中间非军事区(DMZ),在这个区域里的主机与INTERNET直接相通,因此不用来存贮较敏感的数据,是一个过渡区域。 Packet FilterInternetProxy内部网DMZ(非军事区)软件防火墙示意图
3、CISCO PIX防火墙介绍
我们采用的第二种防火墙方案是采用Cisco公司的防火墙产品PIX,它是一种硬件解决方案,主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使用与管理更方便。PIX具有双以太网口(内部网与DMZ各一个),并可以扩展;可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的内部对外的访问。
整个系统的安全保障由CISCO PIX防火墙来完成,PIX是局域网对外的主要门户,由外界进入局域网的连接均要通过PIX。PIX的核心是基于适应性安全算法(ASA)的保护策略,是面向连接的防火墙,支持IPsec支持的56-bit数据加密标准(DES)和168-bit 3DES算法。可以提供6 Mbps以上的3DES性能,完全可胜任目前安全的需要。能同时支持25万个并发用户连接。
大多数提供代理服务的专用防火墙机器是基于UNIX系统的,这些操作系统本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交换)防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通信时,完成内部和外部地址之间的映射。
PIX是局域网对外的主要门户,由外界进入局域网的连接均要通过PIX。PIX的核心是基于适应性安全算法(ASA)的保护策略,是面向连接的防火墙,支持IPsec支持的56-bit数据加密标准(DES)和168-bit 3DES算法。可以提供6 Mbps以上的3DES性能,完全可胜任目前安全的需要。能同时支持25万个并发用户连接。
4、本方案网络安全配置概述
由于路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来,只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。因此为了保证企业内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。因此,本方案采用两层防火墙加上应用系统的身份认证和权限管理四层安全措施,来保证网络安全和应用安全。由于费用原因,本方案采取临时措施协助太钢进行病毒防范。
第一层 软件防火墙
通过CISCO的路有器和访问服务器本身具有的包过滤功能和代理服务器的内隔离功能实现。
第二层 硬件防火墙
即选用CISCO SECURE PIX 525防火墙,该产品经过了美全事务处(NSA)的认证,同时通过中全检测中心的认证。具体配置为:
CISCO SECURE PIX 525 4个100M以太网端口 128M内存 600MHZ CPU 第三层 身份认证
用户使用应用系统,不管是从内部网络登录,还是拨号访问,还是通过INTERNET访问公司网络,首先需要通过严格的身份认证。只有合法的用户才能使用应用系统。
第四层 权限管理
每个使用网络的用户将受到严格的权限。一般而言,网络管理员不得从
事业务操作,普通用户不能进行网络管理。 5、内部的合法用户在外地从不同路径入网的安全性
在分支机构,可以使用VPN方式接入公司网络 通过用户的身份认证保证用户的合法性
为保证拨号用户数据传输的安全性,可以使用SSL协议
如果有资金转移等关键应用,则可以采取结合CA认证的方式验证用户的身份。 加强管理,如不允许在网吧等公共场所使用公司内部网,不允许使用他人的电脑,避免留下使用痕迹
5、CISCO SECURE PIX 525配置和实施
CISCO SECURE PIX 525防火墙分别连接、ISP、内网和DMZ区(停火区)。管理员可以对四个区间的网络通信进行控制。防火墙的基本配置策略如下:
对外的IP地址只有一个,即防火墙的IP地址,对内部网络的访问,都通过防火
墙的IP地址转换(NAT)。
内部网络使用保留的IP地址192.168.x.x。当内部某一用户要访问Internet时,
Internet上看见的这个用户的IP地址就是防火墙的地址
外部网络的用户只有通过防火墙来才能访问WEB服务器和邮件服务器,由防火墙
来完成IP地址的映射。
外部网络用户不允许直接访问其他服务器。 不必要的端口也将被禁止。
这种技术既缓解了少量的IP地址和大量的主机之间的矛盾,又对外隐藏了内部主
机的IP地址,提高了安全性。
配置好PIX防火墙后,从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP地址指定数据链路MAC地址,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以跟踪UDP会话,也可以跟踪TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源地址,然后从外部地址库分配一个地址,并记录下所进行的转换。这就是人们常说的有界NAT(stateful NAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。
不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址,这个地址是不会过期的。在这种情况下,用到对目标地址和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。
PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。
配置PIX防火墙是一个比较直接的工作,在提供相同级别的安全服务情况下,PIX的配置相比设置代理服务器要简单的多。从理论上讲,所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库,一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。
下面介绍一个PIX防火墙实际配置案例,供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
1、PIX 防火墙
ip address outside 131.1.23.2 //设置PIX防火墙的外部地址 ip address inside 10.10.254.1 //设置PIX防火墙的内部地址
global 1 131.1.23.10-131.1.23.254 //设置一个内部计算机与INTERNET 上计算机进行通信时所需的全局地址池
nat 1 10.0.0.0 //允许网络地址为10.0.0.0 的网段地址被PIX翻译成外部地址 static 131.1.23.11 10.14.8.50 //网管工作站固定使用的外部地址为131.1.23.11
conduit 131.1.23.11 514 udp 131.1.23.1 255.255.255.255 //允许从RTRA发送到到 网管工作站的系统日志包通过PIX防火墙
mailhost 131.1.23.10 10.10.254.3 //允许从外部发起的对邮件服务器的连接(131.1.23.10) telnet 10.14.8.50 //允许网络管理员通过远程登录管理IPX防火墙 syslog facility 20.7
syslog host 10.14.8.50 //在位于网管工作站上的 日志服务器上记录所有事件日志 2、路由器RTRA
---- RTRA是外部防护路由器(直接连接INTERNET),它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers //阻止一些对路由器本身的攻击
logging trap debugging //强制路由器向系统日志服务器发送在此路由器发生的每一个事件,包括被存取列表拒绝的包和路由器配置的改变;这个动作可以作为对系统管理员的早期预警,预示有人在试图攻击路由器,或者已经攻入路由器,正在试图攻击防火墙 logging 131.1.23.11 //此地址是网管工作站的外部地址,路由器将记录所有事件到此主机上
enable secret xxxxxxxxxxx interface Ethernet 0
ip address 131.1.23.1 255.255.255.0 interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in //保护PIX防火墙和HTTP/FTP 服务器以及防卫欺骗攻击(见存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log // 禁止任何显示为来源于路由器RTRA 和PIX防火墙之间的信息包,这可以防止欺骗攻击
access-list 110 deny ip any host 131.1.23.2 log //防止对PIX防火墙外部接口的直接攻击并记录到系统日志服务器任何企图连接PIX防火墙外部接口的事件 access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established //允许已经建立的TCP会话的信息包通过 access-list 110 permit tcp any host 131.1.23.3 eq ftp //允许和FTP/HTTP服务器的FTP连接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data //允许和FTP/HTTP服务器的FTP数据连接
access-list 110 permit tcp any host 131.1.23.2 eq www //允许和FTP/HTTP服务器的HTTP连接 access-list 110 deny ip any host 131.1.23.2 log
//禁止和FTP/HTTP服务器的别的连接并记录到系统日志服务器任何企图连接FTP/HTTP的
事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255
//允许其他预定在PIX防火墙和路由器RTRA之间的流量
line vty 0 4 login
password xxxxxxxxxx access-class 10 in
//可以远程登录到此路由器的IP地址 access-list 10 permit ip 131.1.23.11
//只允许网管工作站远程登录到此路由器,当用户想从INTERNET管理此路由器时, 应对此存取控制列表进行修改
按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效的保护,防止外部的非法攻击
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- huatuo9.cn 版权所有 赣ICP备2023008801号-1
违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务