4.2.1.4 方案实施与效果
整个方案的实施大致分为以下阶段:
1、信息中心工作人员试用eCop。信息中心的人员先在自己部门小范围内试用,积累初步经验。
2、全面部署IP管理代理,IP地址管理模块正式上线阶段,完成全网接入用户的实名管理和非法阻断。
eCop的成功实施和稳定运行,规范了内网的IP地址管理,为内网规范化管理提供了技术保障,提升了网络和服务器安全管理的水平,达到如下效果:
1、规范了网络接入的管理程序,新增加的需要接入内网的计算机,需要到信息中心报备和批准;
2、杜绝了由于一般人员私自修改IP地址造成服务器冲突、停机的现象,避免了重大经济损失;
3、极大减轻了管理人员的工作量;
4、充分实现“以人为本”的理念,实现信息安全工作齐抓共管。
第三章、 网络优化方案设计
1.外网网络及业务应用系统现状
为确保网站的安全性和稳定性,同时保障外部用户访问网站的方便快捷,目前,外网局域网网络结构及设备连接现状图如下:
总部以交换机为核心,从业务和功能方面,外网网络结构划分为以下几个VLAN:服务器分为VLAN1\\VLAN2\\VLAN3,三个区域;非研发部门独立在VLAN4区域;研发部门和PDM服务器独立在VLAN5区域;销售人员独立在VLAN6区域;所有区域与互联网逻辑隔离。还有一个分厂独立成为一个网络,和总部物理隔离。总部外网网络开通了一条互联网出口。
2.系统设计原则
? 高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高
可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持各个系统的正常运行。
? 技术先进性和实用性--保证满足系统业务的同时,又要体现出网络系统的先进性。在网
络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到阿尔西网络应用的现状和未来发展趋势。
? 高性能-承载网络性能是网络通讯系统良好运行的基础,设计中必须保障网络及设备的
?
? ? ?
高吞吐能力,保证各种信息(数据、语音、图象)的高质量传输,才能使网络不成为阿尔西各项业务开展的瓶颈。
标准开放性--支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接互通,以及将来网络的扩展。
灵活性及可扩展性--根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和设备的调整。
可管理性--对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。 安全性--制订统一的骨干网安全策略,整体考虑网络平台的安全性。
3.网络与网络安全系统方案设计
3.1网络与网络安全系统总体架构
根据阿尔西外网业务和功能的后续不断扩充,建议划分为五大区域: 用户接入区、安全管理区、对内服务区、对外服务区、Internet连接区,各区域之间通过防火墙隔离。
3.1.1用户接入区网络设计
用户接入区主要为阿尔西内部用户提供接入,因此在充分保证可靠性的同时,也必须实现数据的高速访问。
3.1.2安全管理区网络设计
该区域放置相关网络安全管理服务器。
3.1.3对内服务区网络设计
该区域提供局域网内部用户相关关键应用系统提供接入。
3.1.4对外服务器网络设计
该区域提供未来阿尔西对外关键应用系统提供接入。
3.1.5Internet连接区
目前该区域主要由一根Internet连接区成,后续根据业务进行扩充。
3.2网络系统设计
3.2.1用户接入和安全管理区网络设计
用户接入区主要为阿尔西内部用户提供接入,因此在充分保证可靠性的同时,也必须实现数据的高速访问。
用户接入区网络的设计分为两层:核心层和接入层。核心层采用两台核心交换机,两台互为主/备,同时提为接入层交换机及网络安全管理服务器提供双路接入,保证链路的可靠性。接入层交换机选用WS-C2960-48TC-L(提供了48个10/100/1000M接口及2个1000M接口),接入层交换机以2条1000M链路(办公楼接入层交换机通过多模光缆、综合楼接入层交换机通过单模光缆)分别上联两台核心层交换机,同时提供安全管理服务器的双路接入。
用户接入区网络拓扑图如下:
核心层交换机办公楼接入层交换机综合楼接入层交换机安全管理服务器 3.2.2对内服务区网络设计
对内服务区由VLAN1、VLAN2、VLAN3、VALN5中的内部服务器组成,该区域提供局域网内部用户相关关键应用系统提供接入。因此在充分保证可靠性的同时,也必须实现数据的高速访问。
对内服务区网络主要由2台Cisco Catalyst 4506组成,两台互为冗余备份。同时为区域内的服务器提供千兆双路接入,保证服务器的冗余接入。
3.2.3对外服务器网络设计
对外服务区由VLAN1、VLAN2、VLAN3、VALN5中的外部服务器和未来增加的外部服务器组成。该区域提供阿尔西对外关键应用系统提供接入。因此在充分保证可靠性的同时,也必须实现数据的高速访问。
对外服务区网络主要由2台Cisco Catalyst 4506组成,两台互为冗余备份。同时为区域内的服务器提供千兆双路接入,保证服务器的冗余接入。
3.3网络运维管理软件
3.3.1需求分析
随着信息化建设的不断推进,业务应用系统的不断开发和投入运行,IT系统管理的范围也越来越大,包括网络、服务器、数据库、应用系统、桌面系统,IT系统日益成为政府和企业日常工作的主要支撑平台。
如何使IT系统稳定、可靠、安全的运行,如何使IT工作步入一个有序的、规范的层次,如何使IT系统更好的为业务系统提供服务,从而提高整体运行效率,成为IT工作的一个长期的目标。
如何提升运行服务水平,对IT系统(网络、应用和安全等)进行统一监控,及时发现和排除故障,保障政府和企业日常生产与办公的有序进行,已日益成为信息部门的工作重点。越来越多用户认识到:三分建设七分管理,IT系统的管理质量直接影响IT系统的运行质量。 同时,网络安全也日益为人们关注的焦点。据统计分析资料得知,网络受到的攻击和损失更多地来自内部(约占70%),政府和企业内网的安全防护日益受到重视,网络安全特别是 “内网安全”已成为 IT应用面临的关键问题之一。
上海宝信基于上述需求,借鉴多年来从事网络管理软件开发和服务的经验与理念,提出了eCop NOM综合运行管理平台解决方案,该解决方案面对用户日益复杂的异构网络环境和系统,克服了对网络、服务器、应用和安全的分割管理,提供了安全运行集中监控与管理平台。在该平台的统一监管下,不但可以优化网络、充分利用系统资源,保障网络和应用系统地正常有序运行。
3.3.2产品概述
eCop NOM系统结构是一个完整的网络管理、系统管理、安全管理、IT基础环境管理、运行值班管理解决方案,可以最大限度的保护网络的现有投资,并充分考虑到将来管理需求扩展。其中每一个层次之间的描述如下:
3.3.2.1 管理对象层
管理对象层涵盖了机房环境、网络设备、主机系统、业务应用软件、网络安全设备等。同时系统可以管理由网络设备和线路构成的多种链路。
3.3.2.2 组件管理层
组件管理层通过各类探针(Probe)获得各类被管对象的数据。采集方式支持多种网络协议和采集方式,对于不符合标准网络协议的设备,系统提供二次开发的数据采集接口。