■陳曉輝 唐 強(qiáng) 劉 爽 中國(guó)石油塔里木油田分公司信息管理部

一、引言

近幾年，隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)應(yīng)用的不斷豐富，用戶可存在于網(wǎng)絡(luò)空間的活動(dòng)越來(lái)越多，上至六七十的老人，下到小學(xué)生都加入了這個(gè)行列。而企業(yè)因網(wǎng)絡(luò)接入用戶數(shù)急劇增加，隨之接入的網(wǎng)絡(luò)設(shè)備數(shù)量也在增多，設(shè)備配置也隨著應(yīng)用的需求不斷的變化。在實(shí)際工作中，簡(jiǎn)單的擴(kuò)充網(wǎng)絡(luò)帶寬來(lái)提高網(wǎng)絡(luò)訪問速度的做法效果并不理想。經(jīng)過反復(fù)研究分析，采用綜合性技術(shù)手段提高網(wǎng)絡(luò)穩(wěn)定性，對(duì)于訪問速度的提高，用戶體驗(yàn)十分顯著。網(wǎng)絡(luò)速度實(shí)際是恒定的，用戶上網(wǎng)訪問快慢的感受實(shí)際上是受帶寬影響，但又存在有效帶寬問題。

隨著網(wǎng)絡(luò)規(guī)模的增大并變得更為復(fù)雜，需要更多的功能、更好地控制網(wǎng)絡(luò)組建。

二、如何提高網(wǎng)絡(luò)穩(wěn)定性問題研究

網(wǎng)絡(luò)穩(wěn)定，帶寬中的有效帶寬就比較高，用戶上網(wǎng)訪問速度就比較平穩(wěn)，用戶的訪問體驗(yàn)就不會(huì)出現(xiàn)高低起伏，但網(wǎng)絡(luò)訪問穩(wěn)定了并不代表速度就快了。要提高網(wǎng)絡(luò)穩(wěn)定性，首先應(yīng)找出造成網(wǎng)絡(luò)不穩(wěn)定的原因，并結(jié)合實(shí)際情況盡可能把這些問題解決掉。

1.影響網(wǎng)絡(luò)穩(wěn)定性的因素。影響網(wǎng)絡(luò)不穩(wěn)定的因素很多，總結(jié)起來(lái)主要表現(xiàn)在五個(gè)方面：網(wǎng)絡(luò)架構(gòu)、路由體系、網(wǎng)絡(luò)安全、桌面安全和系統(tǒng)安全。目前，對(duì)企業(yè)網(wǎng)絡(luò)在這幾方面情況分析如下：

(1)企業(yè)網(wǎng)絡(luò)架構(gòu)主要采用的是“三級(jí)”架構(gòu)（核心、匯聚、接入）?？傮w思路很明確，但隨著網(wǎng)絡(luò)的不斷延伸，接入用戶的不斷增加和新技術(shù)的應(yīng)用，網(wǎng)絡(luò)邊界不斷賦予新的內(nèi)涵，邊界功能化、明晰化成為現(xiàn)在存在的問題。

(2)隨著技術(shù)的發(fā)展和網(wǎng)絡(luò)應(yīng)用的深入原來(lái)的路由體系是否適合現(xiàn)在不斷擴(kuò)展的企業(yè)網(wǎng)絡(luò)，如何找出路由體系中關(guān)鍵技術(shù)的平衡點(diǎn)這都是技術(shù)難點(diǎn)。

(3)網(wǎng)絡(luò)安全的隱患是影響網(wǎng)絡(luò)穩(wěn)定性的直接因素。經(jīng)過近幾年的努力，企業(yè)網(wǎng)絡(luò)安全問題已得到很大提升，尤其是網(wǎng)絡(luò)安全域劃分的實(shí)施。

(4)桌面安全和系統(tǒng)安全對(duì)網(wǎng)絡(luò)的局部穩(wěn)定起到至關(guān)重要的作用。近兩年部署的桌面安全準(zhǔn)入系統(tǒng)的實(shí)施，使桌面安全和系統(tǒng)安全從根本上得到改善，為快速預(yù)測(cè)和提前相應(yīng)提供了支持。

2.提高網(wǎng)絡(luò)穩(wěn)定性的措施。從影響網(wǎng)絡(luò)穩(wěn)定性的因素出發(fā)，我們結(jié)合業(yè)界的相關(guān)技術(shù)，提出了提高網(wǎng)絡(luò)穩(wěn)定性的措施。

（1）網(wǎng)絡(luò)架構(gòu)。企業(yè)網(wǎng)絡(luò)是按照標(biāo)準(zhǔn)的三層結(jié)構(gòu)部署，但是缺乏真正意義上的三層核心，不同功能網(wǎng)絡(luò)之間邊界不夠清晰，沒有使用安全設(shè)備進(jìn)行隔離和訪問控制。企業(yè)基于根據(jù)業(yè)務(wù)功能規(guī)劃物理網(wǎng)絡(luò)的設(shè)計(jì)原則，靈活性欠佳，且網(wǎng)絡(luò)單元連接關(guān)系規(guī)劃的不盡合理，造成部分應(yīng)用數(shù)據(jù)流路徑的不合理性。

針對(duì)企業(yè)網(wǎng)絡(luò)現(xiàn)狀，按照功能分區(qū)、邏輯分層的原則，并考慮安全區(qū)域劃分的方式進(jìn)行構(gòu)造網(wǎng)絡(luò)，增加統(tǒng)一的三網(wǎng)絡(luò)核心，整合網(wǎng)絡(luò)安全邊界，優(yōu)化網(wǎng)絡(luò)單元連接和應(yīng)用數(shù)據(jù)流路徑。增加開發(fā)測(cè)試區(qū)，增強(qiáng)開發(fā)測(cè)試類應(yīng)用的獨(dú)立性和安全性；增加運(yùn)行管理區(qū)，為企業(yè)網(wǎng)絡(luò)運(yùn)行管理、網(wǎng)絡(luò)安全管理提供網(wǎng)絡(luò)基礎(chǔ)接入平臺(tái)；增加數(shù)據(jù)擺渡區(qū)，隔離保護(hù)生產(chǎn)和科研網(wǎng)絡(luò)，以保障企業(yè)核心業(yè)務(wù)；針對(duì)各網(wǎng)絡(luò)功能區(qū)，定義網(wǎng)絡(luò)安全邊界，實(shí)施網(wǎng)絡(luò)安全控制；增加各功能區(qū)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)連接的冗余性，提高網(wǎng)絡(luò)的可用性，包括：各功能區(qū)的冗余分布層和連接。

現(xiàn)在提倡扁平化管理，企業(yè)網(wǎng)絡(luò)是按照標(biāo)準(zhǔn)的三層結(jié)構(gòu)部署，按照功能分區(qū)、邏輯分層的原則，網(wǎng)絡(luò)架構(gòu)為核心——匯聚——接入。但隨著網(wǎng)絡(luò)規(guī)模的增大企業(yè)網(wǎng)絡(luò)變得更為復(fù)雜，在網(wǎng)絡(luò)接入層中有的地方包含了三層、四層，甚至五層接連，增加了數(shù)據(jù)轉(zhuǎn)發(fā)層數(shù)，也就增加了故障點(diǎn)：上聯(lián)設(shè)備故障，直接影響其下聯(lián)設(shè)備。對(duì)用戶來(lái)說(shuō)直接影響了其上網(wǎng)體驗(yàn)。

（2）路由體系。路由協(xié)議是網(wǎng)絡(luò)基礎(chǔ)規(guī)則的重要內(nèi)容，需要考察路由協(xié)議的開放性、可擴(kuò)展性、靈活性和可管理性等方面，進(jìn)行比較和選擇。

下表中列出了幾種路由協(xié)議各自的優(yōu)點(diǎn)和需注意的問題。

?

根據(jù)前文提出的企業(yè)網(wǎng)絡(luò)架構(gòu)，考慮各種路由協(xié)議的特點(diǎn)，企業(yè)在內(nèi)部網(wǎng)絡(luò)采用OSPF路由和Static路由相結(jié)合的方式。

(3)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全體系架構(gòu)需要考慮三個(gè)層面的內(nèi)容：網(wǎng)絡(luò)安全架構(gòu)、網(wǎng)絡(luò)安全技術(shù)和網(wǎng)絡(luò)設(shè)備配置安全，并通過不斷的評(píng)估和規(guī)劃，提高企業(yè)整體的安全水平。對(duì)企業(yè)網(wǎng)絡(luò)安全技術(shù)部署現(xiàn)狀的了解和分析，考慮認(rèn)證鑒權(quán)、訪問控制、審計(jì)跟蹤、響應(yīng)恢復(fù)、內(nèi)容安全這五個(gè)方面。安全應(yīng)該貫徹到整個(gè)IT架構(gòu)中的各個(gè)層次，網(wǎng)絡(luò)設(shè)備配置安全也非常重要，利用設(shè)備操作系統(tǒng)軟件的許多安全技術(shù)，可以大大增強(qiáng)網(wǎng)絡(luò)設(shè)備的安全性，從而為整個(gè)網(wǎng)絡(luò)的安全又提供了一層保障。從口令管理、服務(wù)管理、訪問控制和管理、攻擊防范和路由安全這幾個(gè)方面，提出網(wǎng)絡(luò)設(shè)備配置安全：

①口令管理：要求使用加密口令，避免口令被惡意截??；

②服務(wù)管理：強(qiáng)調(diào)網(wǎng)絡(luò)設(shè)備關(guān)閉不必要的服務(wù)，減少被攻擊者利用的可能；

③訪問控制和管理：要求對(duì)客戶端的操作進(jìn)行嚴(yán)格的認(rèn)證、授權(quán)和審計(jì)；

④攻擊防范：增加網(wǎng)絡(luò)設(shè)備防范攻擊功能的配置，減少網(wǎng)絡(luò)設(shè)備被惡意攻擊的風(fēng)險(xiǎn)；

⑤路由安全：關(guān)注路由協(xié)議認(rèn)證，消除路由安全問題。

(4)桌面安全和系統(tǒng)安全。信息安全風(fēng)險(xiǎn)管理就是可以接受的代價(jià)，識(shí)別、控制、減少或消除可能影響信息系統(tǒng)的安全分析的過程。桌面和系統(tǒng)的安全風(fēng)險(xiǎn)管理并不僅僅只是著眼于防病毒，防攻擊以及系統(tǒng)加固也很重要。但必要的加固措施存在以下幾個(gè)問題：

①不能確保所有計(jì)算機(jī)都安裝了防火墻和殺毒軟件；

②不能及時(shí)對(duì)殺毒軟件、防火墻進(jìn)行更新；

③不知道怎樣對(duì)系統(tǒng)防護(hù)進(jìn)行策略配置，不知道怎樣對(duì)漏洞進(jìn)行補(bǔ)丁安裝。

近兩年企業(yè)部署的桌面安全準(zhǔn)入系統(tǒng)的實(shí)施，使桌面安全和系統(tǒng)安全從根本上得到改善。企業(yè)應(yīng)從提高桌面準(zhǔn)入客戶端的安裝率，挖掘該系統(tǒng)的深入應(yīng)用，提高系統(tǒng)補(bǔ)丁的安裝出發(fā)來(lái)解決這些問題。

三、企業(yè)提高網(wǎng)絡(luò)穩(wěn)定性實(shí)踐方案

本實(shí)踐方案是在影響網(wǎng)絡(luò)穩(wěn)定的五大因素的基礎(chǔ)上，通過結(jié)合企業(yè)現(xiàn)狀、利用現(xiàn)有的條件得出的一套提高企業(yè)網(wǎng)絡(luò)穩(wěn)定性的實(shí)踐方案。以下將從網(wǎng)絡(luò)結(jié)構(gòu)介紹出發(fā)，詳細(xì)闡述該實(shí)踐方案。

1.網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)在功能分區(qū)、邏輯分層的總體思路指導(dǎo)下，采用“三級(jí)”架構(gòu)，核心-匯聚-接入。所有只具備單鏈路接入的單位聯(lián)接在邊界路由器，邊界路由器與核心A和核心B采用雙鏈，數(shù)據(jù)中心與核心采用雙鏈，重要并具備條件的各匯聚采用雙鏈，從而實(shí)現(xiàn)核心A和核心B熱備，無(wú)論核心A或B其中任何一個(gè)故障，各二級(jí)匯聚上用戶或邊界路由器用戶都能無(wú)所察覺的正常訪問數(shù)據(jù)中心資源，進(jìn)行日常辦公。從而加固了網(wǎng)絡(luò)核心，明晰了網(wǎng)絡(luò)邊界，提高了企業(yè)網(wǎng)絡(luò)穩(wěn)定性。

圖 網(wǎng)絡(luò)架構(gòu)總體設(shè)計(jì)

2.路由體系。根據(jù)OSPF（開放式最短路徑優(yōu)先）路由和Static（靜態(tài)）路由的優(yōu)缺點(diǎn)，結(jié)合企業(yè)現(xiàn)狀，提出企業(yè)路由體系需遵循的三個(gè)原則：(1)動(dòng)靜路由的選擇。

(2)減少路由器同步和收斂時(shí)間。

(3)明晰并統(tǒng)一語(yǔ)法。

企業(yè)網(wǎng)絡(luò)是采用OSPF路由和Static路由結(jié)合的方式，這兩種方式各有優(yōu)缺點(diǎn)。Static路由可以精確的控制互聯(lián)網(wǎng)絡(luò)的路由行為，然而，如果經(jīng)常發(fā)生網(wǎng)絡(luò)拓?fù)渥兓?，那么手?dòng)配置方式將導(dǎo)致靜態(tài)路由的管理工作根本無(wú)法進(jìn)行下去。OSPF路由能夠使互聯(lián)網(wǎng)絡(luò)迅速并自動(dòng)地響應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兓?。但?duì)于任何程序而言，自動(dòng)化程度越高，可控程度就越差。通過Static路由這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，即減少各片區(qū)路由收斂對(duì)整網(wǎng)造成過大的影響，又在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。

企業(yè)網(wǎng)絡(luò)核心到邊界，核心到匯聚采用OSPF路由，使互聯(lián)網(wǎng)絡(luò)迅速并自動(dòng)地響應(yīng)網(wǎng)絡(luò)拓?fù)涞淖兓?，減少路由維護(hù)工作量。邊界其他一些網(wǎng)絡(luò)用戶數(shù)較大的接入單位采用Static路由，通過這種精確控制互聯(lián)網(wǎng)絡(luò)的路由的方式，減少各片區(qū)路由收斂對(duì)整網(wǎng)造成過大的影響，在一定程度上規(guī)范了IP地址等網(wǎng)絡(luò)資源的使用。接入邊界的網(wǎng)絡(luò)用戶數(shù)較大的單位內(nèi)部網(wǎng)絡(luò)采用動(dòng)態(tài)路由。并且統(tǒng)一路由規(guī)則，主要包括以下幾點(diǎn)：

(1)RID（router id）是用來(lái)唯一表示OSPF網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)，為避免由于組網(wǎng)不當(dāng)造成相同自治系統(tǒng)中的RID沖突，路由器均需設(shè)置RID，RID的地址最好選擇網(wǎng)絡(luò)中最大的IP地址；

(2)合理使用OSPF的0區(qū)域，統(tǒng)一OSPF的語(yǔ)法和規(guī)則。

在本方案中，由于指出了網(wǎng)絡(luò)路由協(xié)議使用原則，規(guī)范了路由的語(yǔ)法和規(guī)則，從而避免了路由配置錯(cuò)誤；并且把可能產(chǎn)生的路由震蕩局限在了比較小的范圍，從而提高了網(wǎng)絡(luò)穩(wěn)定性。

3.網(wǎng)絡(luò)安全。啟用接入層交換機(jī)端口安全，采用適合企業(yè)現(xiàn)狀的相關(guān)參數(shù)，減少ARP攻擊。

4.桌面安全和系統(tǒng)安全。根據(jù)企業(yè)的實(shí)際情況，提出從兩方面出發(fā)：(1)把IPS桌面化和桌面防火墻的使用實(shí)現(xiàn)防攻擊。

(2)提高終端計(jì)算機(jī)補(bǔ)丁安裝率。

基于策略的終端安全檢查和控制功能，通過在sep（終端準(zhǔn)入系統(tǒng)）策略服務(wù)器上制定詳細(xì)的wsus（）策略來(lái)控制計(jì)算機(jī)的補(bǔ)丁更新，安裝了sep客戶端計(jì)算機(jī)只要接入網(wǎng)絡(luò)，sep客戶端就會(huì)執(zhí)行相應(yīng)的wsus策略檢查并將結(jié)果提交給sep策略服務(wù)器，策略服務(wù)器在收到客戶端傳來(lái)檢查結(jié)果后和制定的wsus策略進(jìn)行比對(duì)，如客戶端計(jì)算機(jī)滿足wsus策略才被允許使用網(wǎng)絡(luò)，否則只能訪問隔離網(wǎng)段內(nèi)的網(wǎng)絡(luò)資源。針對(duì)不同區(qū)域?qū)嵤┎煌呗?，?shí)現(xiàn)多組wsus服務(wù)器之間負(fù)載均衡，使客戶端能在最短時(shí)間內(nèi)獲取補(bǔ)丁資源。

5.實(shí)踐總結(jié)。企業(yè)網(wǎng)絡(luò)是在不斷的擴(kuò)展，各種新技術(shù)也是層出不窮，如何解決網(wǎng)絡(luò)穩(wěn)定性的問題已成為當(dāng)今乃至未來(lái)面臨的主要難題。這提醒著我們要從全局角度出發(fā)，思考、分析、解決問題，“頭痛醫(yī)頭，腳痛醫(yī)腳”的方式無(wú)法適應(yīng)當(dāng)下網(wǎng)絡(luò)的運(yùn)維工作；并且要從體系角度進(jìn)行網(wǎng)絡(luò)建設(shè)和維護(hù)，改變簡(jiǎn)單的把“網(wǎng)絡(luò)維護(hù)”看成“網(wǎng)絡(luò)設(shè)備維護(hù)”的傳統(tǒng)思想。

[1]（美）多伊爾著.葛建立，吳劍章譯.TCP/IP路由技術(shù)，第一卷，2003.10.

[2]（美）卡德里奇（Kadrich,M.S.）著.伍前紅，余發(fā)江，楊飏譯.終端安全，2009.5；

[3]王錫林,郭慶平,程勝利.《計(jì)算機(jī)安全》[M].人民郵電出版社,1995.