“网络就是计算机”已经不再是SUN公司几年前提出的商业口号, 而是现实生活中的真实现象。今天, 一台没有连上网络的计算机, 似乎己经不具有太多的价值了。随着网络的普及, 网络安全也随之提升到了一个相当重要的程度, 没有完善的安全管理机制, 网络的发展与应用也将受到极大的影响, 甚至面临不可预知的危机。对于众多企业来说, 必须要借助网络进行生产, 与客户、供应商、合作伙伴等进行沟通, 网络已经是企业每天营运活动中不可缺少的一部分。
1 企业型局域网拓扑结构的设计
星型拓扑结构具有成本低级、易于管理、容易扩展等优点, 所以本文研究的企业型局域网拓扑选用以星型拓扑结构为主[1]。企业型局域网采用三层的层次化网络设计模型, 核心层由高端路由器和交换机组成分布层由用于实现策略的路由器和交换机构成, 接入层通过用以连接用户的低端交换机和无线接入点构成。整体的拓扑结构如图1所示。
2 企业型局域网的网络管理研究
2.1 企业型局域网的基本设备
(1) 交换设备的选择。
在本文研究的企业型局域网中, 采用市场占有率最高, 性能较好的CISCO交换机。楼层交换机采用CISCO Catalyst4506支持三层交换和VLAN技术。中心交换机广域网交换机采用CISCO Catalyst3560, 该交换机同样具备三层交换能力。支持各种广域网和局域网标准, 能提供很好的管理性能和安全性能。可实现VLAN及NAT (网络地址转换) 等功能, 可以对网络进行战术性设计和战略性规划, 能及时检测网络入侵, 使企业型局域网免受外部和内部的威胁[2]。同时, 交换机全部支持1 O M/1 0 0 M/1000Mbps的速率。
(2) 网卡、网线。
从价格与可扩展性考虑, 10/l00M自适应网卡已经相当便宜。而且, 企业型局域网内的大部分计算机采用10/l00M的网卡。对于网线的选择, 主干网线选1000M光纤, 其余的选择第5类双绞线。另外, 企业型局域网包括若干个人PC机、网络服务器。办公PC的配置至少在PIII以上, 前台PC配置可略低点。网络服务器要采用当前较高端的配置, 保证性能的稳定及需求。
2.2 企业型局域网VLAN的划分
VLAN分段通常被认为是控制网络广播风暴的一种基本手段, 其实也是保证企业型局域网安全的一项重要措施。它可以将非法用户与敏感的网络资源相互隔离, 从而防止可能的非法侦听。在分布式网络环境下, 企业型局域网可以按机构或部门的设置来划分VLAN, 各部门内部的所有服务器和用户节点都在各自的VLAN内, 互不侵扰, 从而有效地控制广播、防止黑客。
经过分析, 本文研究将企业型局域网按照应用类型分为对应的四个子网:生产子网 (LAN1) 、管理子网 (LAN2) 、劳资子网 (LAN3) 和财务子网 (LAN4) 。各网络系统的运行采用的是以交换技术为主的方式。三网主干均采用的是千兆以太网技术, 起点的高定位为企业型局域网的信息应用带来了高速、稳定、符合国际标准的网络平台。这四者连接起来构成企业的主干网。
2.3 企业型局域网防火墙体系的构建
本文采用访问控制列表来构建防火墙体系结构。访问控制列表是应用在路由器接口的指令列表, 这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝, 可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表, ACL可以当作一种网络控制的有力工具, 用来过滤流入和流出路由器接口的数据包。从而达到网络防火墙的作用[3]。
首先我们定义路由器全局配置模式下的访问列表, 这里我们要求数据包在通过当前端口时是否匹配, 访问列表是按照语句的编写顺序进行效验比较的, 数据包头与访问列表的第一句不匹配, 及继续与下一句进行效验, 一直到有相匹配的语句时, 数据包将被接受。如果在访问列表里没有一个语句是与数据包匹配的, 数据包将被拒绝。
此外, 在访问列表里, 我们没有写通配符掩码, 让路由器自动默认采用自动分配。当将访问列表应用到端口后, 端口将立即执行命令对其主机进行作用, 但是当计算机的IP地址改变后, 这个端口的访问控制列表也将失效, 这也是全局下配置访问控制列表的弊端。而通过扩展IP访问控制列表使功能上会变的更加灵活。我们在扩展访问列表的基础上, 再加上时间控制就能基本实现我们要求达到的目的。因为我们基本控制的都是WEB访问的协议, 我们定义一个扩展访问列表, 然后再列表中最后一句加上时间范围, 这样访问控制列表构建防火墙体系结构就基本完成了。
2.4 企业型局域网病毒防范体系的构建
企业型局域网病毒防范的措施主要是手动清除病毒以及网络防病毒软件查杀。
(1) 手动清除病毒。
想要清除病毒或木马, 首先得把它找出来。确定是病毒了以后再进行查杀。首先, 通过系统状态判断。按照正常使用机器的状态, 如果用户感觉到系统在启动其间有异常, 表现为启动速度明显比以前慢, 在使用电脑其间感觉到内存吃紧, 则表明电脑可能已经感染了病毒。
其次, 通过网络状态判断。在上网时, 突然感觉到网络速度变慢, 如果打开一个网页与以前明显有很大的差异, 邮件收发及其他网络工具异常等情况。如果存在上述情况, 则表明电脑可能感染了病毒。
另外, 通过系统工具。Windows系统提供了一个叫“任务管理器”工具, 他可以将当前正在使用的进程的内存使用率、CPU占有率, CPU使用时间等一系列信息显示出来。而一般的病毒对CPU资源使用率是很大的, 因此, 如果发现某个进程在大量使用CPU资源及内存是, 则应该注意一下。
(2) 网络防病毒软件查杀。
网络防病毒软件的设计也是针对网络的特点。在安装网络防病毒软件时, 应在网络服务器安装Server端工具。当安装好服务器端的软件后, 通过服务器自动分发给客户端, 使用户完成客户端的安装。这样在服务端和客户端两个主要的病毒入口都有效地防止了病毒的入侵, 也有利于日后服务端在线升级更新后, 自动通知客户端及时更新防病毒程序。网络杀毒软件的体系结构如图2所示。
2.5 企业型局域网流量监控的实现
在本文研究的企业型局域网运行期, 很多网络问题是围绕着带宽、速度产生的。经过不断的摸索, 本文采用了MRTG将把企业型局域网流量的结果通过一系列的图形显示出来, 这些图形将伴随着监测过程, 并带有相关信息。
企业型局域网通过产生一个ICMP回显请求, 并驱使它到达想要到达的主机, 便可以确定是否可以成功地到达该主机。ICMP回射请求和ICMP回射应答报文是配合工作的。当源主机向目标主机发送了ICMP回射请求数据包后, 它期待着目标主机的回答。目标主机在收到一个ICMP回射请求数据包后, 它会交换源、目的主机的地址, 然后将收到的ICMP回射请求数据包中的数据部分原封不动地封装在自己的ICMP回射应答数据包中, 然后发回给发送ICMP回射请求的一方。如果校验正确, 发送者便认为目标主机的回射服务正常。某天的流量监控数据如图3所示。
3 结语
总之, 网络的发展对企业型局域网的发展功不可没, 而企业型局域网的进一步发展又对网络提出了更多的要求, 也对网络管理提出了更高的要求。而企业型局域网管理是一个周期性工程, 新的技术将不断涌现和得到应用, 更加先进与成熟的实施方案将在网络管理中得到应用, 对网络管理人员也提出了更高的要求, 需要不断学习, 完善自己的知识架构, 迎接机遇与挑战。
摘要:有效的网络管理能够保证企业办公与管理的稳定运行。本文首先分析了企业型局域网的拓扑结构, 并进一步详细研究了企业型局域网网络管理研究中所涉及到的基本设备、VLAN划分、防火墙体系以及防病毒体系。
关键词:网络管理,企业型局域网,网络安全
参考文献
[1] 陶英华.Windows企业网络应用案例精解[M].中国水利水电出版社, 2007.
[2] 尹智庆, 刘维.信息安全等级保护面面观[J].网络安全技术与应用, 2008.
[3] 许小虎, 项保华.企业网络理论发展脉络与研究内容综述[J].科研管理, 2006.