廣域網用戶集中管理系統實施在供電系統中的應用

廣域網用戶集中管理系統實施在供電系統中的應用

　　前言

　　隨著計算機技術的飛速發展和廣泛應用，信息技術的發展突飛猛進，它幾乎滲透到了每一個企業的經營管理活動中，信息化建設已經成為廣大企業生存和發展必不可少的戰略行為。而互聯網體系作為當今社會最重要的信息基礎建設，IP地址是最重要的互聯網基礎資源，IP地址管理包含IP地址分配、IP地址配置以及IP地址溯源等眾多環節，因此，IP地址管理技術是當前企業信息化建設領域的關注焦點。早期安慶供電公司分配地址時采用靜態分配IP配合人工統計，隨著供電公司三級五大的調整，安慶供電公司的IP地址被打亂�？梢钥闯觯�早期的IP地址分配方式對于IP地址的利用及管理方面造成較大的困擾。采用動態IP地址獲取可以獲得更高的資源利用效率、實現企業資源和業務的靈活配置、簡化網絡和業務管理并加快業務提供速度，通過用戶集中管理系統優化IP管理方式、提升IT系統運行效率是當前技術發展的方向。

　　用戶集中管理系統是用戶地址管理技術在網絡架構中的具體應用，它提高了網絡地址管理效率以及節約IP地址使用率，并在一定程度上提高網絡中用戶的安全性。相對于傳統網絡，用戶集中管理系統更適合于為SG186工程保駕護航，也將成為今后供電公司網絡管理拓展的方向。

　　1、網絡架構現狀及需求

　　在國家建設智能電網的大背景下，安慶供電公司也積極響應號召，投入很大力量打造安慶的智能電網。經過近幾年信息化建設的投入，安慶供電公司建立了完善的局域網和承載各種業務的廣域網，提高了業務運轉效率，能夠更高效地為當地經濟建設服務。但管理問題也隨之出現，復雜的IT系統管理人員如何從容應對，網絡故障導致的業務中斷嚴重影響了正常工作，IP地址的盜用給工作帶來了大量麻煩等等。如何確保有序、高效管控，讓IT系統和業務系統發揮最大價值，成為安慶供電公司的緊迫任務。

　　目前，安慶供電公司在廣域網中采用為每臺PC指定IP地址方式，該方式的好處是配置簡單、易實現。但隨著安慶供電公司信息網絡(廣域網)用戶的增多，網絡IP地址的管理分配成為一個工作量大且繁瑣的事情。由于終端用戶的IP地址都需要信息網絡管理人員集中管理及分配，信息網絡管理人員就需要對所有終端用戶的主機進行手工靜態設置，百密必有一疏，大量IP地址的分配難免會出現誤配和錯配的情形，如：IP地址沖突、掩碼錯誤、網關錯誤等;另外手工配置IP地址的方式決定了終端用戶可以私自修改地址，而造成網絡地址沖突、網關地址被使用等;一旦IP地址沖突，首先就是沖突的2臺電腦不能上網，偶爾會出現一臺能上，一臺不能上情況;如果私自修改的IP地址跟服務器，交換機，路由器等網絡關鍵設備的IP地址沖突，就會造成整個網絡的癱瘓。上述也會造成信息網絡的抖動和安全隱患，在網絡安全上也存在一定的隱患。

　　并且現有的網絡系統不能很好的防范網絡中可能出現的ARP欺騙和中間人攻擊，對網絡的正常運行構成了嚴重威脅，如果現有的網絡內部某臺設備感染了ARP病毒，那么全網的設備都將面臨著嚴重的安裝威脅。網絡用戶數量大，管理難，容易出現地址亂配等現象，這樣不僅大大浪費了IP地址同時還會在網絡設備的管理存在嚴重的問題。這些都給網絡的安全管理帶來問題。

　　2、用戶集中管理系統設計方案

　　2.1 設計思想

　　用戶集中管理系統是一種IP地址管理技術，它通過減少IP地址的管理復雜性和降低網絡ARP攻擊環節，從邏輯上簡化了網絡管理，同時增加了網絡安全。安慶供電公司廣域網用戶集中管理系統將部署一臺服務器作為廣域網的DHCP服務器，在服務器上采用IP+MAC的方式為信息網用戶動態分配IP地址，實現每位用戶動態獲取地址，并且每次獲得IP都固定，便于管理，大大簡化了此前需信息中心工作人員需前往每名用戶桌面為其設置IP地址的工作量。

　　為了網絡的安全性和用戶私自修改IP地址以及中間人攻擊，將在信息廣域網交換機部署DHCP SNOOPING和ARP DETECTION技術，對用戶的IP地址進行arp檢測，對全網進行集中管控。

　　2.2 網絡架構

　　如上圖所示：DHCP服務器部署于核心交換機的服務器區，在DHCP服務器上實行IP+MAC方式建立地址池為用戶分配IP地址，固定用戶IP地址，并加強管理性;接入層交換機部署DHCP SNOOPING技術，將交換機間的接口設置為DHCP TRUST(信任)接口，來保護網絡中DHCP服務器的合法性，即保證用戶獲取的地址是從供電公司所部署的服務器上獲取，而非非法服務器;同時接入層交換機部署ARP Detection(動態arp檢測技術)保護網絡的安全性，對網絡中的中間人行為進行拒絕服務，當然網絡中用戶的IP地址私自更改的現象也會很好的進行控制。

　　3、用戶集中管理系統應用分析

　　3.1 網絡需求分析

　　目前安慶供電公司廣域網用戶地址采用靜態手工分配，對于網管人員在IP地址的管理上造成不方便，另外終端用戶私自修改地址造成網絡地址沖突、網關地址被使用等，也會造成信息網絡的抖動和安全隱患;在網絡安全上也存在一定的安全隱患。同時現有的網絡系統不能很好的防范網絡中可能出現的ARP欺騙和中間人攻擊，對網絡的正常運行構成了嚴重威脅，如果現有的網絡內部某臺設備感染了ARP病毒那么全網的設備都將面臨著嚴重的安裝威脅。網絡用戶數量大，管理難，容易出現地址亂配等現象，這樣不僅大大浪費了IP地址同時還會在網絡設備的管理存在嚴重的問題。這些都給網絡的安全管理帶來問題。

　　廣域網用戶集中管理系統的實施主要依靠當前網絡技術中的DHCP SNOOPING & ARP Detection技術對網絡用戶的安全接入進行控制，所有用戶使用DHCP(動態主機地址獲取方式)代替原有用戶靜態IP地址分配方式。利用在交換機上采用DHCP SNOOPING技術在每臺交換機形成一張DHCP SNOOPING表項，結合ARP Detection技術對交換機的每個端口下用戶的IP、MAC進行綁定，使得每個接入安慶供電公司信息網絡的用戶只能使用在DHCP中獲取的合法IP地址方可正常上網，杜絕了用戶私自更改IP地址導致的網絡IP地址沖突現象，保證了信息網絡的安全。

　　3.2 DHCP服務器部署

　　3.3.1保證客戶端從合法的服務器獲取IP地址

　　網絡中如果存在私自架設的偽DHCP服務器，則可能導致DHCP客戶端獲取錯誤的IP地址和網絡配置參數，無法正常通信。為了使DHCP客戶端能通過合法的DHCP服務器獲取IP地址，DHCP Snooping安全機制允許將端口設置為信任端口和不信任端口：

　　1) 信任端口正常轉發接收到的DHCP報文。

　　2) 不信任端口接收到DHCP服務器響應的DHCP-ACK和DHCP-OFFER報文后，丟棄該報文。

　　3) 連接DHCP服務器和其他DHCP Snooping設備的端口需要設置為信任端口，其他端口設置為不信任端口，從而保證DHCP客戶端只能從合法的DHCP服務器獲取IP地址，私自架設的偽DHCP服務器無法為DHCP客戶端分配IP地址。

　　3.3.2記錄DHCP客戶端IP地址與MAC地址的對應關系

　　DHCP Snooping通過監聽DHCP-REQUEST和信任端口收到的DHCP-ACK廣播報文，記錄DHCP Snooping表項，其中包括客戶端的MAC地址、獲取到的IP地址、與DHCP客戶端連接的端口及該端口所屬的VLAN等信息。

　　利用這些信息可以實現：

　　ARP代答：根據DHCP Snooping表項來判斷是否進行ARP代答，從而減少ARP廣播報文。

　　ARP Detection：根據DHCP Snooping表項來判斷發送ARP報文的用戶是否合法，從而防止非法用戶的ARP攻擊。

　　MFF(MAC-Forced Forwarding)：在MFF的自動方式中，設備接收到用戶的ARP請求后，根據DHCP snooping表項查找該用戶對應的網關地址，并回復網關的MAC地址，使得網關可以監控用戶之間的數據流量，從而防止用戶之間的惡意攻擊，更好的保障網絡安全。

　　IP Source Guard：通過動態獲取DHCP Snooping表項對端口轉發的報文進行過濾，防止非法報文通過該端口。

　　VLAN映射：發送給用戶的報文通過查找映射VLAN對應的DHCP Snooping表項中的DHCP客戶端IP地址、MAC地址和原始VLAN的信息，將報文的VLAN修改為原來的VLAN。

　　3.4 動態ARP檢測部署

　　為防止信息網絡中有惡意用戶利用免費ARP信息向交換機發送偽造的arp報文，冒充網關的MAC和用戶的MAC以獲取數據信息。我們利用ARP DETECTION結合DHCP Snooping，利用DHCP Snooping在交換機中形成的MAC+IP的綁定表，對交換機下的攻擊者進行動態的ARP檢測。

　　4、結論

　　電力企業的各類應用系統是整個企業生產的核心，網絡作為這些重要應用系統的載體其重要性不言而喻，企業需要不斷的提升網絡的性能以滿足快速增長的各種業務對網絡的需求。然而，網絡性能總是伴隨著技術的進步而不斷得到提升，用戶集中管理系統作為一種先進的、成熟的網絡系統，為安慶供電公司廣域網網絡架構與網絡管理提供了一個全新的理念。本文描述了用戶集中管理系統在安慶供電公司廣域網網絡中的具體應用，并通過與傳統網絡的比較，達到了性能更高，管理性更高，安全性更高，業務更豐富的同時，使得網絡管理也變得越來越簡單，一方面為SG186工程的開展鋪就了高速的信息通道，另一方面改變了公司傳統網絡管理，使新的網絡管理具有更好的安全性和可靠性。

【廣域網用戶集中管理系統實施在供電系統中的應用】相關文章：

自動化控制技術對供電系統的應用的論文03-19

論談教學管理系統在高職院教學管理中的應用02-22

基于廣域網的多層無功電壓信息管理系統設計11-21

信息管理系統中系統集成技術的應用論文（通用7篇）01-18

淺談遠抄系統技術在營銷管理中的應用論文02-15

淺論人力資源系統化管理在企業管理中的應用11-23

關于網絡報銷系統在大中型醫院管理優化中的應用11-17

試論人力資源管理系統應用中遇到的問題及對策11-16

供電系統電纜故障測尋分析論文03-09