廣域網(wǎng)用戶(hù)集中管理系統實(shí)施在供電系統中的應用

　　前言

　　隨著(zhù)計算機技術(shù)的飛速發(fā)展和廣泛應用，信息技術(shù)的發(fā)展突飛猛進(jìn)，它幾乎滲透到了每一個(gè)企業(yè)的經(jīng)營(yíng)管理活動(dòng)中，信息化建設已經(jīng)成為廣大企業(yè)生存和發(fā)展必不可少的戰略行為。而互聯(lián)網(wǎng)體系作為當今社會(huì )最重要的信息基礎建設，IP地址是最重要的互聯(lián)網(wǎng)基礎資源，IP地址管理包含IP地址分配、IP地址配置以及IP地址溯源等眾多環(huán)節，因此，IP地址管理技術(shù)是當前企業(yè)信息化建設領(lǐng)域的關(guān)注焦點(diǎn)。早期安慶供電公司分配地址時(shí)采用靜態(tài)分配IP配合人工統計，隨著(zhù)供電公司三級五大的調整，安慶供電公司的IP地址被打亂�？梢钥闯�，早期的IP地址分配方式對于IP地址的利用及管理方面造成較大的困擾。采用動(dòng)態(tài)IP地址獲取可以獲得更高的資源利用效率、實(shí)現企業(yè)資源和業(yè)務(wù)的靈活配置、簡(jiǎn)化網(wǎng)絡(luò )和業(yè)務(wù)管理并加快業(yè)務(wù)提供速度，通過(guò)用戶(hù)集中管理系統優(yōu)化IP管理方式、提升IT系統運行效率是當前技術(shù)發(fā)展的方向。

　　用戶(hù)集中管理系統是用戶(hù)地址管理技術(shù)在網(wǎng)絡(luò )架構中的具體應用，它提高了網(wǎng)絡(luò )地址管理效率以及節約IP地址使用率，并在一定程度上提高網(wǎng)絡(luò )中用戶(hù)的安全性。相對于傳統網(wǎng)絡(luò )，用戶(hù)集中管理系統更適合于為SG186工程保駕護航，也將成為今后供電公司網(wǎng)絡(luò )管理拓展的方向。

　　1、網(wǎng)絡(luò )架構現狀及需求

　　在國家建設智能電網(wǎng)的大背景下，安慶供電公司也積極響應號召，投入很大力量打造安慶的智能電網(wǎng)。經(jīng)過(guò)近幾年信息化建設的投入，安慶供電公司建立了完善的局域網(wǎng)和承載各種業(yè)務(wù)的廣域網(wǎng)，提高了業(yè)務(wù)運轉效率，能夠更高效地為當地經(jīng)濟建設服務(wù)。但管理問(wèn)題也隨之出現，復雜的IT系統管理人員如何從容應對，網(wǎng)絡(luò )故障導致的業(yè)務(wù)中斷嚴重影響了正常工作，IP地址的盜用給工作帶來(lái)了大量麻煩等等。如何確保有序、高效管控，讓IT系統和業(yè)務(wù)系統發(fā)揮最大價(jià)值，成為安慶供電公司的緊迫任務(wù)。

　　目前，安慶供電公司在廣域網(wǎng)中采用為每臺PC指定IP地址方式，該方式的好處是配置簡(jiǎn)單、易實(shí)現。但隨著(zhù)安慶供電公司信息網(wǎng)絡(luò )(廣域網(wǎng))用戶(hù)的增多，網(wǎng)絡(luò )IP地址的管理分配成為一個(gè)工作量大且繁瑣的事情。由于終端用戶(hù)的IP地址都需要信息網(wǎng)絡(luò )管理人員集中管理及分配，信息網(wǎng)絡(luò )管理人員就需要對所有終端用戶(hù)的主機進(jìn)行手工靜態(tài)設置，百密必有一疏，大量IP地址的分配難免會(huì )出現誤配和錯配的情形，如：IP地址沖突、掩碼錯誤、網(wǎng)關(guān)錯誤等;另外手工配置IP地址的方式?jīng)Q定了終端用戶(hù)可以私自修改地址，而造成網(wǎng)絡(luò )地址沖突、網(wǎng)關(guān)地址被使用等;一旦IP地址沖突，首先就是沖突的2臺電腦不能上網(wǎng)，偶爾會(huì )出現一臺能上，一臺不能上情況;如果私自修改的IP地址跟服務(wù)器，交換機，路由器等網(wǎng)絡(luò )關(guān)鍵設備的IP地址沖突，就會(huì )造成整個(gè)網(wǎng)絡(luò )的癱瘓。上述也會(huì )造成信息網(wǎng)絡(luò )的抖動(dòng)和安全隱患，在網(wǎng)絡(luò )安全上也存在一定的隱患。

　　并且現有的網(wǎng)絡(luò )系統不能很好的防范網(wǎng)絡(luò )中可能出現的ARP欺騙和中間人攻擊，對網(wǎng)絡(luò )的正常運行構成了嚴重威脅，如果現有的網(wǎng)絡(luò )內部某臺設備感染了ARP病毒，那么全網(wǎng)的設備都將面臨著(zhù)嚴重的安裝威脅。網(wǎng)絡(luò )用戶(hù)數量大，管理難，容易出現地址亂配等現象，這樣不僅大大浪費了IP地址同時(shí)還會(huì )在網(wǎng)絡(luò )設備的管理存在嚴重的問(wèn)題。這些都給網(wǎng)絡(luò )的安全管理帶來(lái)問(wèn)題。

　　2、用戶(hù)集中管理系統設計方案

　　2.1 設計思想

　　用戶(hù)集中管理系統是一種IP地址管理技術(shù)，它通過(guò)減少I(mǎi)P地址的管理復雜性和降低網(wǎng)絡(luò )ARP攻擊環(huán)節，從邏輯上簡(jiǎn)化了網(wǎng)絡(luò )管理，同時(shí)增加了網(wǎng)絡(luò )安全。安慶供電公司廣域網(wǎng)用戶(hù)集中管理系統將部署一臺服務(wù)器作為廣域網(wǎng)的DHCP服務(wù)器，在服務(wù)器上采用IP+MAC的方式為信息網(wǎng)用戶(hù)動(dòng)態(tài)分配IP地址，實(shí)現每位用戶(hù)動(dòng)態(tài)獲取地址，并且每次獲得IP都固定，便于管理，大大簡(jiǎn)化了此前需信息中心工作人員需前往每名用戶(hù)桌面為其設置IP地址的工作量。

　　為了網(wǎng)絡(luò )的安全性和用戶(hù)私自修改IP地址以及中間人攻擊，將在信息廣域網(wǎng)交換機部署DHCP SNOOPING和ARP DETECTION技術(shù)，對用戶(hù)的IP地址進(jìn)行arp檢測，對全網(wǎng)進(jìn)行集中管控。

　　2.2 網(wǎng)絡(luò )架構

　　如上圖所示：DHCP服務(wù)器部署于核心交換機的服務(wù)器區，在DHCP服務(wù)器上實(shí)行IP+MAC方式建立地址池為用戶(hù)分配IP地址，固定用戶(hù)IP地址，并加強管理性;接入層交換機部署DHCP SNOOPING技術(shù)，將交換機間的接口設置為DHCP TRUST(信任)接口，來(lái)保護網(wǎng)絡(luò )中DHCP服務(wù)器的合法性，即保證用戶(hù)獲取的地址是從供電公司所部署的服務(wù)器上獲取，而非非法服務(wù)器;同時(shí)接入層交換機部署ARP Detection(動(dòng)態(tài)arp檢測技術(shù))保護網(wǎng)絡(luò )的安全性，對網(wǎng)絡(luò )中的中間人行為進(jìn)行拒絕服務(wù)，當然網(wǎng)絡(luò )中用戶(hù)的IP地址私自更改的現象也會(huì )很好的進(jìn)行控制。

　　3、用戶(hù)集中管理系統應用分析

　　3.1 網(wǎng)絡(luò )需求分析

　　目前安慶供電公司廣域網(wǎng)用戶(hù)地址采用靜態(tài)手工分配，對于網(wǎng)管人員在IP地址的管理上造成不方便，另外終端用戶(hù)私自修改地址造成網(wǎng)絡(luò )地址沖突、網(wǎng)關(guān)地址被使用等，也會(huì )造成信息網(wǎng)絡(luò )的抖動(dòng)和安全隱患;在網(wǎng)絡(luò )安全上也存在一定的安全隱患。同時(shí)現有的網(wǎng)絡(luò )系統不能很好的防范網(wǎng)絡(luò )中可能出現的ARP欺騙和中間人攻擊，對網(wǎng)絡(luò )的正常運行構成了嚴重威脅，如果現有的網(wǎng)絡(luò )內部某臺設備感染了ARP病毒那么全網(wǎng)的設備都將面臨著(zhù)嚴重的安裝威脅。網(wǎng)絡(luò )用戶(hù)數量大，管理難，容易出現地址亂配等現象，這樣不僅大大浪費了IP地址同時(shí)還會(huì )在網(wǎng)絡(luò )設備的管理存在嚴重的問(wèn)題。這些都給網(wǎng)絡(luò )的安全管理帶來(lái)問(wèn)題。

　　廣域網(wǎng)用戶(hù)集中管理系統的實(shí)施主要依靠當前網(wǎng)絡(luò )技術(shù)中的DHCP SNOOPING & ARP Detection技術(shù)對網(wǎng)絡(luò )用戶(hù)的安全接入進(jìn)行控制，所有用戶(hù)使用DHCP(動(dòng)態(tài)主機地址獲取方式)代替原有用戶(hù)靜態(tài)IP地址分配方式。利用在交換機上采用DHCP SNOOPING技術(shù)在每臺交換機形成一張DHCP SNOOPING表項，結合ARP Detection技術(shù)對交換機的每個(gè)端口下用戶(hù)的IP、MAC進(jìn)行綁定，使得每個(gè)接入安慶供電公司信息網(wǎng)絡(luò )的用戶(hù)只能使用在DHCP中獲取的合法IP地址方可正常上網(wǎng)，杜絕了用戶(hù)私自更改IP地址導致的網(wǎng)絡(luò )IP地址沖突現象，保證了信息網(wǎng)絡(luò )的安全。

　　3.2 DHCP服務(wù)器部署

　　3.3.1保證客戶(hù)端從合法的服務(wù)器獲取IP地址

　　網(wǎng)絡(luò )中如果存在私自架設的偽DHCP服務(wù)器，則可能導致DHCP客戶(hù)端獲取錯誤的IP地址和網(wǎng)絡(luò )配置參數，無(wú)法正常通信。為了使DHCP客戶(hù)端能通過(guò)合法的DHCP服務(wù)器獲取IP地址，DHCP Snooping安全機制允許將端口設置為信任端口和不信任端口：

　　1) 信任端口正常轉發(fā)接收到的DHCP報文。

　　2) 不信任端口接收到DHCP服務(wù)器響應的DHCP-ACK和DHCP-OFFER報文后，丟棄該報文。

　　3) 連接DHCP服務(wù)器和其他DHCP Snooping設備的端口需要設置為信任端口，其他端口設置為不信任端口，從而保證DHCP客戶(hù)端只能從合法的DHCP服務(wù)器獲取IP地址，私自架設的偽DHCP服務(wù)器無(wú)法為DHCP客戶(hù)端分配IP地址。

　　3.3.2記錄DHCP客戶(hù)端IP地址與MAC地址的對應關(guān)系

　　DHCP Snooping通過(guò)監聽(tīng)DHCP-REQUEST和信任端口收到的DHCP-ACK廣播報文，記錄DHCP Snooping表項，其中包括客戶(hù)端的MAC地址、獲取到的IP地址、與DHCP客戶(hù)端連接的端口及該端口所屬的VLAN等信息。

　　利用這些信息可以實(shí)現：

　　ARP代答：根據DHCP Snooping表項來(lái)判斷是否進(jìn)行ARP代答，從而減少ARP廣播報文。

　　ARP Detection：根據DHCP Snooping表項來(lái)判斷發(fā)送ARP報文的用戶(hù)是否合法，從而防止非法用戶(hù)的ARP攻擊。

　　MFF(MAC-Forced Forwarding)：在MFF的自動(dòng)方式中，設備接收到用戶(hù)的ARP請求后，根據DHCP snooping表項查找該用戶(hù)對應的網(wǎng)關(guān)地址，并回復網(wǎng)關(guān)的MAC地址，使得網(wǎng)關(guān)可以監控用戶(hù)之間的數據流量，從而防止用戶(hù)之間的惡意攻擊，更好的保障網(wǎng)絡(luò )安全。

　　IP Source Guard：通過(guò)動(dòng)態(tài)獲取DHCP Snooping表項對端口轉發(fā)的報文進(jìn)行過(guò)濾，防止非法報文通過(guò)該端口。

　　VLAN映射：發(fā)送給用戶(hù)的報文通過(guò)查找映射VLAN對應的DHCP Snooping表項中的DHCP客戶(hù)端IP地址、MAC地址和原始VLAN的信息，將報文的VLAN修改為原來(lái)的VLAN。

　　3.4 動(dòng)態(tài)ARP檢測部署

　　為防止信息網(wǎng)絡(luò )中有惡意用戶(hù)利用免費ARP信息向交換機發(fā)送偽造的arp報文，冒充網(wǎng)關(guān)的MAC和用戶(hù)的MAC以獲取數據信息。我們利用ARP DETECTION結合DHCP Snooping，利用DHCP Snooping在交換機中形成的MAC+IP的綁定表，對交換機下的攻擊者進(jìn)行動(dòng)態(tài)的ARP檢測。

　　4、結論

　　電力企業(yè)的各類(lèi)應用系統是整個(gè)企業(yè)生產(chǎn)的核心，網(wǎng)絡(luò )作為這些重要應用系統的載體其重要性不言而喻，企業(yè)需要不斷的提升網(wǎng)絡(luò )的性能以滿(mǎn)足快速增長(cháng)的各種業(yè)務(wù)對網(wǎng)絡(luò )的需求。然而，網(wǎng)絡(luò )性能總是伴隨著(zhù)技術(shù)的進(jìn)步而不斷得到提升，用戶(hù)集中管理系統作為一種先進(jìn)的、成熟的網(wǎng)絡(luò )系統，為安慶供電公司廣域網(wǎng)網(wǎng)絡(luò )架構與網(wǎng)絡(luò )管理提供了一個(gè)全新的理念。本文描述了用戶(hù)集中管理系統在安慶供電公司廣域網(wǎng)網(wǎng)絡(luò )中的具體應用，并通過(guò)與傳統網(wǎng)絡(luò )的比較，達到了性能更高，管理性更高，安全性更高，業(yè)務(wù)更豐富的同時(shí)，使得網(wǎng)絡(luò )管理也變得越來(lái)越簡(jiǎn)單，一方面為SG186工程的開(kāi)展鋪就了高速的信息通道，另一方面改變了公司傳統網(wǎng)絡(luò )管理，使新的網(wǎng)絡(luò )管理具有更好的安全性和可靠性。

【廣域網(wǎng)用戶(hù)集中管理系統實(shí)施在供電系統中的應用】相關(guān)文章：

自動(dòng)化控制技術(shù)對供電系統的應用的論文03-19

論談教學(xué)管理系統在高職院教學(xué)管理中的應用02-22

基于廣域網(wǎng)的多層無(wú)功電壓信息管理系統設計11-21

信息管理系統中系統集成技術(shù)的應用論文（通用7篇）01-18

淺談遠抄系統技術(shù)在營(yíng)銷(xiāo)管理中的應用論文02-15

淺論人力資源系統化管理在企業(yè)管理中的應用11-23

關(guān)于網(wǎng)絡(luò )報銷(xiāo)系統在大中型醫院管理優(yōu)化中的應用11-17

試論人力資源管理系統應用中遇到的問(wèn)題及對策11-16

供電系統電纜故障測尋分析論文03-09