廣域網(wǎng)用戶集中管理系統(tǒng)實(shí)施在供電系統(tǒng)中的應(yīng)用

1、廣域網(wǎng)用戶集中管理系統(tǒng)施行在供電系統(tǒng)中的應(yīng)用廣域網(wǎng)用戶集中管理系統(tǒng)施行在供電系統(tǒng)中的應(yīng)用前言隨著計(jì)算機(jī)技術(shù)的飛速開展和廣泛應(yīng)用，信息技術(shù)的開展突飛猛進(jìn)，它幾乎浸透到了每一個(gè)企業(yè)的經(jīng)營管理活動(dòng)中，信息化建立已經(jīng)成為廣闊企業(yè)生存和開展必不可少的戰(zhàn)略行為。而互聯(lián)網(wǎng)體系作為當(dāng)今社會(huì)最重要的信息根底建立，IP地址是最重要的互聯(lián)網(wǎng)根底資源，IP地址管理包含IP地址分配、IP地址配置以及IP地址溯源等眾多環(huán)節(jié)，因此，IP地址管理技術(shù)是當(dāng)前企業(yè)信息化建立領(lǐng)域的關(guān)注焦點(diǎn)。早期安慶供電公司分配地址時(shí)采用靜態(tài)分配IP配合人工統(tǒng)計(jì)，隨著供電公司三級五大的調(diào)整，安慶供電公司的IP地址被打亂?？梢钥闯觯缙诘腎P地址分配

2、方式對于IP地址的利用及管理方面造成較大的困擾。采用動(dòng)態(tài)IP地址獲取可以獲得更高的資源利用效率、實(shí)現(xiàn)企業(yè)資源和業(yè)務(wù)的靈敏配置、簡化網(wǎng)絡(luò)和業(yè)務(wù)管理并加快業(yè)務(wù)提供速度，通過用戶集中管理系統(tǒng)優(yōu)化IP管理方式、提升IT系統(tǒng)運(yùn)行效率是當(dāng)前技術(shù)開展的方向。用戶集中管理系統(tǒng)是用戶地址管理技術(shù)在網(wǎng)絡(luò)架構(gòu)中的詳細(xì)應(yīng)用，它進(jìn)步了網(wǎng)絡(luò)地址管理效率以及節(jié)約IP地址使用率，并在一定程度上進(jìn)步網(wǎng)絡(luò)中用戶的平安性。相對于傳統(tǒng)網(wǎng)絡(luò)，用戶集中管理系統(tǒng)更合適于為SG186工程保駕護(hù)航，也將成為今后供電公司網(wǎng)絡(luò)管理拓展的方向。1網(wǎng)絡(luò)架構(gòu)現(xiàn)狀及需求在國家建立智能電網(wǎng)的大背景下，安慶供電公司也積極響應(yīng)號召，投入很大力量打造安慶的智能電

3、網(wǎng)。經(jīng)過近幾年信息化建立的投入，安慶供電公司建立了完善的局域網(wǎng)和承載各種業(yè)務(wù)的廣域網(wǎng)，進(jìn)步了業(yè)務(wù)運(yùn)轉(zhuǎn)效率，可以更高效地為當(dāng)?shù)亟?jīng)濟(jì)建立效勞。但管理問題也隨之出現(xiàn)，復(fù)雜的IT系統(tǒng)管理人員如何沉著應(yīng)對，網(wǎng)絡(luò)故障導(dǎo)致的業(yè)務(wù)中斷嚴(yán)重影響了正常工作，IP地址的盜用給工作帶來了大量費(fèi)事等等。如何確保有序、高效管控，讓IT系統(tǒng)和業(yè)務(wù)系統(tǒng)發(fā)揮最大價(jià)值，成為安慶供電公司的緊迫任務(wù)。目前，安慶供電公司在廣域網(wǎng)中采用為每臺(tái)P指定IP地址方式，該方式的好處是配置簡單、易實(shí)現(xiàn)。但隨著安慶供電公司信息網(wǎng)絡(luò)廣域網(wǎng)用戶的增多，網(wǎng)絡(luò)IP地址的管理分配成為一個(gè)工作量大且繁瑣的事情。由于終端用戶的IP地址都需要信息網(wǎng)絡(luò)管理人員集中管

4、理及分配，信息網(wǎng)絡(luò)管理人員就需要對所有終端用戶的主機(jī)進(jìn)展手工靜態(tài)設(shè)置，百密必有一疏，大量IP地址的分配難免會(huì)出現(xiàn)誤配和本文由論文聯(lián)盟.Ll.搜集整理錯(cuò)配的情形，如：IP地址沖突、掩碼錯(cuò)誤、網(wǎng)關(guān)錯(cuò)誤等；另外手工配置IP地址的方式?jīng)Q定了終端用戶可以私自修改地址，而造成網(wǎng)絡(luò)地址沖突、網(wǎng)關(guān)地址被使用等；一旦IP地址沖突，首先就是沖突的2臺(tái)電腦不能上網(wǎng)，偶然會(huì)出現(xiàn)一臺(tái)能上，一臺(tái)不能上情況；假如私自修改的IP地址跟效勞器，交換機(jī)，路由器等網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP地址沖突，就會(huì)造成整個(gè)網(wǎng)絡(luò)的癱瘓。上述也會(huì)造成信息網(wǎng)絡(luò)的抖動(dòng)和平安隱患，在網(wǎng)絡(luò)平安上也存在一定的隱患。并且現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)不能很好的防范網(wǎng)絡(luò)中可能出現(xiàn)的A

5、RP欺騙和中間人攻擊，對網(wǎng)絡(luò)的正常運(yùn)行構(gòu)成了嚴(yán)重威脅，假如現(xiàn)有的網(wǎng)絡(luò)內(nèi)部某臺(tái)設(shè)備感染了ARP病毒，那么全網(wǎng)的設(shè)備都將面臨著嚴(yán)重的安裝威脅。網(wǎng)絡(luò)用戶數(shù)量大，管理難，容易出現(xiàn)地址亂配等現(xiàn)象，這樣不僅大大浪費(fèi)了IP地址同時(shí)還會(huì)在網(wǎng)絡(luò)設(shè)備的管理存在嚴(yán)重的問題。這些都給網(wǎng)絡(luò)的平安管理帶來問題。2用戶集中管理系統(tǒng)設(shè)計(jì)方案2.1設(shè)計(jì)思想用戶集中管理系統(tǒng)是一種IP地址管理技術(shù)，它通過減少IP地址的管理復(fù)雜性和降低網(wǎng)絡(luò)ARP攻擊環(huán)節(jié)，從邏輯上簡化了網(wǎng)絡(luò)管理，同時(shí)增加了網(wǎng)絡(luò)平安。安慶供電公司廣域網(wǎng)用戶集中管理系統(tǒng)將部署一臺(tái)效勞器作為廣域網(wǎng)的DHP效勞器，在效勞器上采用IP+A的方式為信息網(wǎng)用戶動(dòng)態(tài)分配IP地址，實(shí)

6、現(xiàn)每位用戶動(dòng)態(tài)獲取地址，并且每次獲得IP都固定，便于管理，大大簡化了此前需信息中心工作人員需前往每名用戶桌面為其設(shè)置IP地址的工作量。為了網(wǎng)絡(luò)的平安性和用戶私自修改IP地址以及中間人攻擊，將在信息廣域網(wǎng)交換機(jī)部署DHPSNPING和ARPDETETIN技術(shù)，對用戶的IP地址進(jìn)展arp檢測，對全網(wǎng)進(jìn)展集中管控。2.2網(wǎng)絡(luò)架構(gòu)如上圖所示：DHP效勞器部署于核心交換機(jī)的效勞器區(qū)，在DHP效勞器上實(shí)行IP+A方式建立地址池為用戶分配IP地址，固定用戶IP地址，并加強(qiáng)管理性；接入層交換機(jī)部署DHPSNPING技術(shù)，將交換機(jī)間的接口設(shè)置為DHPTRUST信任接口，來保護(hù)網(wǎng)絡(luò)中DHP效勞器的合法性，即保證用

7、戶獲取的地址是從供電公司所部署的效勞器上獲取，而非非法效勞器；同時(shí)接入層交換機(jī)部署ARPDetetin動(dòng)態(tài)arp檢測技術(shù)保護(hù)網(wǎng)絡(luò)的平安性，對網(wǎng)絡(luò)中的中間人行為進(jìn)展回絕效勞，當(dāng)然網(wǎng)絡(luò)中用戶的IP地址私自更改的現(xiàn)象也會(huì)很好的進(jìn)展控制。3用戶集中管理系統(tǒng)應(yīng)用分析3.1網(wǎng)絡(luò)需求分析目前安慶供電公司廣域網(wǎng)用戶地址采用靜態(tài)手工分配，對于網(wǎng)管人員在IP地址的管理上造成不方便，另外終端用戶私自修改地址造成網(wǎng)絡(luò)地址沖突、網(wǎng)關(guān)地址被使用等，也會(huì)造成信息網(wǎng)絡(luò)的抖動(dòng)和平安隱患；在網(wǎng)絡(luò)平安上也存在一定的平安隱患。同時(shí)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)不能很好的防范網(wǎng)絡(luò)中可能出現(xiàn)的ARP欺騙和中間人攻擊，對網(wǎng)絡(luò)的正常運(yùn)行構(gòu)成了嚴(yán)重威脅，假如

8、現(xiàn)有的網(wǎng)絡(luò)內(nèi)部某臺(tái)設(shè)備感染了ARP病毒那么全網(wǎng)的設(shè)備都將面臨著嚴(yán)重的安裝威脅。網(wǎng)絡(luò)用戶數(shù)量大，管理難，容易出現(xiàn)地址亂配等現(xiàn)象，這樣不僅大大浪費(fèi)了IP地址同時(shí)還會(huì)在網(wǎng)絡(luò)設(shè)備的管理存在嚴(yán)重的問題。這些都給網(wǎng)絡(luò)的平安管理帶來問題。廣域網(wǎng)用戶集中管理系統(tǒng)的施行主要依靠當(dāng)前網(wǎng)絡(luò)技術(shù)中的DHPSNPINGARPDetetin技術(shù)對網(wǎng)絡(luò)用戶的平安接入進(jìn)展控制，所有用戶使用DHP動(dòng)態(tài)主機(jī)地址獲取方式代替原有用戶靜態(tài)IP地址分配方式。利用在交換機(jī)上采用DHPSNPING技術(shù)在每臺(tái)交換機(jī)形成一張DHPSNPING表項(xiàng)，結(jié)合ARPDetetin技術(shù)對交換機(jī)的每個(gè)端口下用戶的IP、A進(jìn)展綁定，使得每個(gè)接入安慶供電公司

9、信息網(wǎng)絡(luò)的用戶只能使用在DHP中獲取的合法IP地址方可正常上網(wǎng)，杜絕了用戶私自更改IP地址導(dǎo)致的網(wǎng)絡(luò)IP地址沖突現(xiàn)象，保證了信息網(wǎng)絡(luò)的平安。3.2DHP效勞器部署3.3.1保證客戶端從合法的效勞器獲取IP地址網(wǎng)絡(luò)中假如存在私自架設(shè)的偽DHP效勞器，那么可能導(dǎo)致DHP客戶端獲取錯(cuò)誤的IP地址和網(wǎng)絡(luò)配置參數(shù)，無法正常通信。為了使DHP客戶端能通過合法的DHP效勞器獲取IP地址，DHPSnping平安機(jī)制允許將端口設(shè)置為信任端口和不信任端口：1信任端口正常轉(zhuǎn)發(fā)接收到的DHP報(bào)文。2不信任端口接收到DHP效勞器響應(yīng)的DHP-AK和DHP-FFER報(bào)文后，丟棄該報(bào)文。3連接DHP效勞器和其他DHPSnp

10、ing設(shè)備的端口需要設(shè)置為信任端口，其他端口設(shè)置為不信任端口，從而保證DHP客戶端只能從合法的DHP效勞器獲取IP地址，私自架設(shè)的偽DHP效勞器無法為DHP客戶端分配IP地址。3.3.2記錄DHP客戶端IP地址與A地址的對應(yīng)關(guān)系DHPSnping通過監(jiān)聽DHP-REQUEST和信任端口收到的DHP-AK播送報(bào)文，記錄DHPSnping表項(xiàng)，其中包括客戶端的A地址、獲取到的IP地址、與DHP客戶端連接的端口及該端口所屬的VLAN等信息。利用這些信息可以實(shí)現(xiàn)：ARP代答：根據(jù)DHPSnping表項(xiàng)來判斷是否進(jìn)展ARP代答，從而減少ARP播送報(bào)文。ARPDetetin：根據(jù)DHPSnping表項(xiàng)來判

11、斷發(fā)送ARP報(bào)文的用戶是否合法，從而防止非法用戶的ARP攻擊。FFA-FredFrarding：在FF的自動(dòng)方式中，設(shè)備接收到用戶的ARP懇求后，根據(jù)DHPsnping表項(xiàng)查找該用戶對應(yīng)的網(wǎng)關(guān)地址，并回復(fù)網(wǎng)關(guān)的A地址，使得網(wǎng)關(guān)可以監(jiān)控用戶之間的數(shù)據(jù)流量，從而防止用戶之間的惡意攻擊，更好的保障網(wǎng)絡(luò)平安。IPSureGuard：通過動(dòng)態(tài)獲取DHPSnping表項(xiàng)對端口轉(zhuǎn)發(fā)的報(bào)文進(jìn)展過濾，防止非法報(bào)文通過該端口。VLAN映射：發(fā)送給用戶的報(bào)文通過查找映射VLAN對應(yīng)的DHPSnping表項(xiàng)中的DHP客戶端IP地址、A地址和原始VLAN的信息，將報(bào)文的VLAN修改為原來的VLAN。3.4動(dòng)態(tài)ARP檢測部署為防止信息網(wǎng)絡(luò)中有惡意用戶利用免費(fèi)ARP信息向交換機(jī)發(fā)送偽造的arp報(bào)文，冒充網(wǎng)關(guān)的A和用戶的A以獲取數(shù)據(jù)信息。我們利用ARPDETETIN結(jié)合DHPSnping，利用DHPSnping在交換機(jī)中形成的A+IP的綁定表，對交換機(jī)下的攻擊者進(jìn)展動(dòng)態(tài)的ARP檢測。34結(jié)論電力企業(yè)的各類應(yīng)用系統(tǒng)是整個(gè)企業(yè)消費(fèi)的核心，網(wǎng)絡(luò)作為這些重要應(yīng)用系統(tǒng)的載體其重要性不言而喻，企業(yè)需要不斷的提升網(wǎng)絡(luò)的性能以滿足快速增長的各種業(yè)務(wù)對網(wǎng)絡(luò)的需求。然而，網(wǎng)絡(luò)性能總是伴隨著技術(shù)的進(jìn)步而不斷得到提升，用戶集中管理系統(tǒng)作為一種先進(jìn)的、