■陳曉輝 唐 強 劉 爽 中國石油塔里木油田分公司信息管理部

一、引言

近幾年，隨著互聯(lián)網(wǎng)技術的不斷發(fā)展，網(wǎng)絡應用的不斷豐富，用戶可存在于網(wǎng)絡空間的活動越來越多，上至六七十的老人，下到小學生都加入了這個行列。而企業(yè)因網(wǎng)絡接入用戶數(shù)急劇增加，隨之接入的網(wǎng)絡設備數(shù)量也在增多，設備配置也隨著應用的需求不斷的變化。在實際工作中，簡單的擴充網(wǎng)絡帶寬來提高網(wǎng)絡訪問速度的做法效果并不理想。經(jīng)過反復研究分析，采用綜合性技術手段提高網(wǎng)絡穩(wěn)定性，對于訪問速度的提高，用戶體驗十分顯著。網(wǎng)絡速度實際是恒定的，用戶上網(wǎng)訪問快慢的感受實際上是受帶寬影響，但又存在有效帶寬問題。

隨著網(wǎng)絡規(guī)模的增大并變得更為復雜，需要更多的功能、更好地控制網(wǎng)絡組建。

二、如何提高網(wǎng)絡穩(wěn)定性問題研究

網(wǎng)絡穩(wěn)定，帶寬中的有效帶寬就比較高，用戶上網(wǎng)訪問速度就比較平穩(wěn)，用戶的訪問體驗就不會出現(xiàn)高低起伏，但網(wǎng)絡訪問穩(wěn)定了并不代表速度就快了。要提高網(wǎng)絡穩(wěn)定性，首先應找出造成網(wǎng)絡不穩(wěn)定的原因，并結合實際情況盡可能把這些問題解決掉。

1.影響網(wǎng)絡穩(wěn)定性的因素。影響網(wǎng)絡不穩(wěn)定的因素很多，總結起來主要表現(xiàn)在五個方面：網(wǎng)絡架構、路由體系、網(wǎng)絡安全、桌面安全和系統(tǒng)安全。目前，對企業(yè)網(wǎng)絡在這幾方面情況分析如下：

(1)企業(yè)網(wǎng)絡架構主要采用的是“三級”架構（核心、匯聚、接入）?？傮w思路很明確，但隨著網(wǎng)絡的不斷延伸，接入用戶的不斷增加和新技術的應用，網(wǎng)絡邊界不斷賦予新的內涵，邊界功能化、明晰化成為現(xiàn)在存在的問題。

(2)隨著技術的發(fā)展和網(wǎng)絡應用的深入原來的路由體系是否適合現(xiàn)在不斷擴展的企業(yè)網(wǎng)絡，如何找出路由體系中關鍵技術的平衡點這都是技術難點。

(3)網(wǎng)絡安全的隱患是影響網(wǎng)絡穩(wěn)定性的直接因素。經(jīng)過近幾年的努力，企業(yè)網(wǎng)絡安全問題已得到很大提升，尤其是網(wǎng)絡安全域劃分的實施。

(4)桌面安全和系統(tǒng)安全對網(wǎng)絡的局部穩(wěn)定起到至關重要的作用。近兩年部署的桌面安全準入系統(tǒng)的實施，使桌面安全和系統(tǒng)安全從根本上得到改善，為快速預測和提前相應提供了支持。

2.提高網(wǎng)絡穩(wěn)定性的措施。從影響網(wǎng)絡穩(wěn)定性的因素出發(fā)，我們結合業(yè)界的相關技術，提出了提高網(wǎng)絡穩(wěn)定性的措施。

（1）網(wǎng)絡架構。企業(yè)網(wǎng)絡是按照標準的三層結構部署，但是缺乏真正意義上的三層核心，不同功能網(wǎng)絡之間邊界不夠清晰，沒有使用安全設備進行隔離和訪問控制。企業(yè)基于根據(jù)業(yè)務功能規(guī)劃物理網(wǎng)絡的設計原則，靈活性欠佳，且網(wǎng)絡單元連接關系規(guī)劃的不盡合理，造成部分應用數(shù)據(jù)流路徑的不合理性。

針對企業(yè)網(wǎng)絡現(xiàn)狀，按照功能分區(qū)、邏輯分層的原則，并考慮安全區(qū)域劃分的方式進行構造網(wǎng)絡，增加統(tǒng)一的三網(wǎng)絡核心，整合網(wǎng)絡安全邊界，優(yōu)化網(wǎng)絡單元連接和應用數(shù)據(jù)流路徑。增加開發(fā)測試區(qū)，增強開發(fā)測試類應用的獨立性和安全性；增加運行管理區(qū)，為企業(yè)網(wǎng)絡運行管理、網(wǎng)絡安全管理提供網(wǎng)絡基礎接入平臺；增加數(shù)據(jù)擺渡區(qū)，隔離保護生產和科研網(wǎng)絡，以保障企業(yè)核心業(yè)務；針對各網(wǎng)絡功能區(qū)，定義網(wǎng)絡安全邊界，實施網(wǎng)絡安全控制；增加各功能區(qū)網(wǎng)絡設備和網(wǎng)絡連接的冗余性，提高網(wǎng)絡的可用性，包括：各功能區(qū)的冗余分布層和連接。

現(xiàn)在提倡扁平化管理，企業(yè)網(wǎng)絡是按照標準的三層結構部署，按照功能分區(qū)、邏輯分層的原則，網(wǎng)絡架構為核心——匯聚——接入。但隨著網(wǎng)絡規(guī)模的增大企業(yè)網(wǎng)絡變得更為復雜，在網(wǎng)絡接入層中有的地方包含了三層、四層，甚至五層接連，增加了數(shù)據(jù)轉發(fā)層數(shù)，也就增加了故障點：上聯(lián)設備故障，直接影響其下聯(lián)設備。對用戶來說直接影響了其上網(wǎng)體驗。

（2）路由體系。路由協(xié)議是網(wǎng)絡基礎規(guī)則的重要內容，需要考察路由協(xié)議的開放性、可擴展性、靈活性和可管理性等方面，進行比較和選擇。

下表中列出了幾種路由協(xié)議各自的優(yōu)點和需注意的問題。

?

根據(jù)前文提出的企業(yè)網(wǎng)絡架構，考慮各種路由協(xié)議的特點，企業(yè)在內部網(wǎng)絡采用OSPF路由和Static路由相結合的方式。

(3)網(wǎng)絡安全。網(wǎng)絡安全體系架構需要考慮三個層面的內容：網(wǎng)絡安全架構、網(wǎng)絡安全技術和網(wǎng)絡設備配置安全，并通過不斷的評估和規(guī)劃，提高企業(yè)整體的安全水平。對企業(yè)網(wǎng)絡安全技術部署現(xiàn)狀的了解和分析，考慮認證鑒權、訪問控制、審計跟蹤、響應恢復、內容安全這五個方面。安全應該貫徹到整個IT架構中的各個層次，網(wǎng)絡設備配置安全也非常重要，利用設備操作系統(tǒng)軟件的許多安全技術，可以大大增強網(wǎng)絡設備的安全性，從而為整個網(wǎng)絡的安全又提供了一層保障。從口令管理、服務管理、訪問控制和管理、攻擊防范和路由安全這幾個方面，提出網(wǎng)絡設備配置安全：

①口令管理：要求使用加密口令，避免口令被惡意截??；

②服務管理：強調網(wǎng)絡設備關閉不必要的服務，減少被攻擊者利用的可能；

③訪問控制和管理：要求對客戶端的操作進行嚴格的認證、授權和審計；

④攻擊防范：增加網(wǎng)絡設備防范攻擊功能的配置，減少網(wǎng)絡設備被惡意攻擊的風險；

⑤路由安全：關注路由協(xié)議認證，消除路由安全問題。

(4)桌面安全和系統(tǒng)安全。信息安全風險管理就是可以接受的代價，識別、控制、減少或消除可能影響信息系統(tǒng)的安全分析的過程。桌面和系統(tǒng)的安全風險管理并不僅僅只是著眼于防病毒，防攻擊以及系統(tǒng)加固也很重要。但必要的加固措施存在以下幾個問題：

①不能確保所有計算機都安裝了防火墻和殺毒軟件；

②不能及時對殺毒軟件、防火墻進行更新；

③不知道怎樣對系統(tǒng)防護進行策略配置，不知道怎樣對漏洞進行補丁安裝。

近兩年企業(yè)部署的桌面安全準入系統(tǒng)的實施，使桌面安全和系統(tǒng)安全從根本上得到改善。企業(yè)應從提高桌面準入客戶端的安裝率，挖掘該系統(tǒng)的深入應用，提高系統(tǒng)補丁的安裝出發(fā)來解決這些問題。

三、企業(yè)提高網(wǎng)絡穩(wěn)定性實踐方案

本實踐方案是在影響網(wǎng)絡穩(wěn)定的五大因素的基礎上，通過結合企業(yè)現(xiàn)狀、利用現(xiàn)有的條件得出的一套提高企業(yè)網(wǎng)絡穩(wěn)定性的實踐方案。以下將從網(wǎng)絡結構介紹出發(fā)，詳細闡述該實踐方案。

1.網(wǎng)絡架構。網(wǎng)絡架構在功能分區(qū)、邏輯分層的總體思路指導下，采用“三級”架構，核心-匯聚-接入。所有只具備單鏈路接入的單位聯(lián)接在邊界路由器，邊界路由器與核心A和核心B采用雙鏈，數(shù)據(jù)中心與核心采用雙鏈，重要并具備條件的各匯聚采用雙鏈，從而實現(xiàn)核心A和核心B熱備，無論核心A或B其中任何一個故障，各二級匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數(shù)據(jù)中心資源，進行日常辦公。從而加固了網(wǎng)絡核心，明晰了網(wǎng)絡邊界，提高了企業(yè)網(wǎng)絡穩(wěn)定性。

圖 網(wǎng)絡架構總體設計

2.路由體系。根據(jù)OSPF（開放式最短路徑優(yōu)先）路由和Static（靜態(tài)）路由的優(yōu)缺點，結合企業(yè)現(xiàn)狀，提出企業(yè)路由體系需遵循的三個原則：(1)動靜路由的選擇。

(2)減少路由器同步和收斂時間。

(3)明晰并統(tǒng)一語法。

企業(yè)網(wǎng)絡是采用OSPF路由和Static路由結合的方式，這兩種方式各有優(yōu)缺點。Static路由可以精確的控制互聯(lián)網(wǎng)絡的路由行為，然而，如果經(jīng)常發(fā)生網(wǎng)絡拓撲變化，那么手動配置方式將導致靜態(tài)路由的管理工作根本無法進行下去。OSPF路由能夠使互聯(lián)網(wǎng)絡迅速并自動地響應網(wǎng)絡拓撲的變化。但對于任何程序而言，自動化程度越高，可控程度就越差。通過Static路由這種精確控制互聯(lián)網(wǎng)絡的路由的方式，即減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響，又在一定程度上規(guī)范了IP地址等網(wǎng)絡資源的使用。

企業(yè)網(wǎng)絡核心到邊界，核心到匯聚采用OSPF路由，使互聯(lián)網(wǎng)絡迅速并自動地響應網(wǎng)絡拓撲的變化，減少路由維護工作量。邊界其他一些網(wǎng)絡用戶數(shù)較大的接入單位采用Static路由，通過這種精確控制互聯(lián)網(wǎng)絡的路由的方式，減少各片區(qū)路由收斂對整網(wǎng)造成過大的影響，在一定程度上規(guī)范了IP地址等網(wǎng)絡資源的使用。接入邊界的網(wǎng)絡用戶數(shù)較大的單位內部網(wǎng)絡采用動態(tài)路由。并且統(tǒng)一路由規(guī)則，主要包括以下幾點：

(1)RID（router id）是用來唯一表示OSPF網(wǎng)絡中的一個節(jié)點，為避免由于組網(wǎng)不當造成相同自治系統(tǒng)中的RID沖突，路由器均需設置RID，RID的地址最好選擇網(wǎng)絡中最大的IP地址；

(2)合理使用OSPF的0區(qū)域，統(tǒng)一OSPF的語法和規(guī)則。

在本方案中，由于指出了網(wǎng)絡路由協(xié)議使用原則，規(guī)范了路由的語法和規(guī)則，從而避免了路由配置錯誤；并且把可能產生的路由震蕩局限在了比較小的范圍，從而提高了網(wǎng)絡穩(wěn)定性。

3.網(wǎng)絡安全。啟用接入層交換機端口安全，采用適合企業(yè)現(xiàn)狀的相關參數(shù)，減少ARP攻擊。

4.桌面安全和系統(tǒng)安全。根據(jù)企業(yè)的實際情況，提出從兩方面出發(fā)：(1)把IPS桌面化和桌面防火墻的使用實現(xiàn)防攻擊。

(2)提高終端計算機補丁安裝率。

基于策略的終端安全檢查和控制功能，通過在sep（終端準入系統(tǒng)）策略服務器上制定詳細的wsus（）策略來控制計算機的補丁更新，安裝了sep客戶端計算機只要接入網(wǎng)絡，sep客戶端就會執(zhí)行相應的wsus策略檢查并將結果提交給sep策略服務器，策略服務器在收到客戶端傳來檢查結果后和制定的wsus策略進行比對，如客戶端計算機滿足wsus策略才被允許使用網(wǎng)絡，否則只能訪問隔離網(wǎng)段內的網(wǎng)絡資源。針對不同區(qū)域實施不同策略，實現(xiàn)多組wsus服務器之間負載均衡，使客戶端能在最短時間內獲取補丁資源。

5.實踐總結。企業(yè)網(wǎng)絡是在不斷的擴展，各種新技術也是層出不窮，如何解決網(wǎng)絡穩(wěn)定性的問題已成為當今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發(fā)，思考、分析、解決問題，“頭痛醫(yī)頭，腳痛醫(yī)腳”的方式無法適應當下網(wǎng)絡的運維工作；并且要從體系角度進行網(wǎng)絡建設和維護，改變簡單的把“網(wǎng)絡維護”看成“網(wǎng)絡設備維護”的傳統(tǒng)思想。

[1]（美）多伊爾著.葛建立，吳劍章譯.TCP/IP路由技術，第一卷，2003.10.

[2]（美）卡德里奇（Kadrich,M.S.）著.伍前紅，余發(fā)江，楊飏譯.終端安全，2009.5；

[3]王錫林,郭慶平,程勝利.《計算機安全》[M].人民郵電出版社,1995.