烟草行业宽带上网管理及应用.doc

烟草行业宽带上网管理及应用一、前言 随着Internet技术的迅速发展和普及，烟草领域基本上全部采用Internet系统和内部的Intranet系统来满足日益增长的管理和分析需求。中烟工业公司和中烟销售公司有关烟草网络的管理方面有综合的方案和同一的设备指导意见。我们在选择网络设备及高性能的服务器方面有固定的选择，可是目前网络建设起来以后，随着网络的不断地扩展，管理问题越来越突出，很多烟草企业和机构都缺乏这个方面的成熟的经验。由于网络管理和的复杂性及客户使用网络的不确定性，这个方面的需求及综合要求是很高的，必须采用综合性的方案。它能提供一系列的管理功能来满足烟草领域的Internet及Intranet的需求。主要包括蠕虫病毒、用户带宽及流量控制、P2P软件管理、用户监控和记录、用户管理、策略控制、多线路自动路由等。 我们将对该系列产品在烟草领域的应用展开讨论。给大家一个参考和意见 二、组成及其原理 ? ? 是一个硬件的嵌入式设备，和所有的嵌入式系统一样，它采用高性能的网络处理平台，加上完善的管理和系统软件，提供一套完整的基于Web的接入管理平台。它集成了路由、防火墙、流量控制、用户管理、用户监控、P2P检测及处理、策略管理、系统等。它的重心是侧重于综合管理和自动策略平衡体系，希望更少的介入，更智能的管理和维护，全部的Web化管理。 ? 原理 是一个可以灵活定制产品。它的网络操作系统是一个小而精致的核心系统，具有高效率而高性能的体系结构。支持着所有的应用及管理和网络功能。 ?? 系统管理模块提供产品的管理功能和用户界面功能。把操作系统所提供的功能Web化、有效化，同时方便维护和操作。 ?? 内嵌数据库平台提供了高效率的数据维护和管理功能。并且省却了额外的管理设备和存储设备。克服了其他设备的问题，不需要独立的Log设备和分析体系。不同体系的设备和平台，采用的规模不同的数据库平台体系，也可以满足不同容量用户的管理要求。 ?? ??产品在硬件上采用性能设计原则、不同产品系列采用不同的硬件平台，以做高设计容量为指标，设计各个产品系列，这样在烟草领域，可以采用不同容量的设备，只是软件及管理能力不同，而操作及维护界面均相同，使用起来非常方便快捷。 ?? 软件上由于是自主知识产权的产品，可以灵活地定制和升级或做新功能的开发。无需更换硬件，只要更换或升级系统管理模块就可以，节省了大量的费用。 三、烟草公司的宽带接入 烟草企业宽带接入专线包含一条中烟公司的专线、一条是Internet上网专线。网络设备采用两条专线各有一套路由器、防火墙。针对内部网络部分，采用三层交换机。所有的产品均采用高性能的产品。系统中具有两套专线系统，分别走两个方向的路由。Internet系统通过路由器、防火墙和三层交换机进行数据管理。中烟公司的专线直接通过路由器和专线连接。这样系统内部的网络问题及Internet的问题可能通过路由器影响中烟公司的专线及数据。如果再加一套防火墙系统在中烟的专线上，系统的管理及透明性要差很多。为解决这个问题，我们采 ? ? 由上图可以看出，增加了宽带接入管理器以后，用户的数据先经过宽带接入管理器的处理和维护，系统的大量有害的信息和数据将不会影响到中烟公司的专线。同时针对内部用户的上网活动可以更加规范。数据的流量将更加明确和有序。 四、在实践中的应用 1、系统配置简单、应用透明 ? 客户端只需要设置所需要的内部IP地址和网关，任何应用软件无须更多设置。客户端接入INTERNET时不用其他额外的设置，同时地址由省公司统一分配，用户感觉不到宽带接入管理器的存在，提高了连接速度和管理效率。 2、防止IP地址盗用及防止ARP攻击 提供IP地址与网卡的MAC地址的自动绑定或手动绑定，客户端的网关设置错误不会引起系统崩溃。提供内嵌的基于微内核的包过滤防火墙，完全的内外网络隔离，能有效防止目前已知的攻击类型。针对ARP攻击，系统能自动免疫。 3、提供动静态带宽管理 根据带宽和实际使用情况，可以针对不同的用户实行静态或动态带宽控制管理，合理充分利用带宽资源，提高网络的运行效率。 所谓的动态带宽和静态带宽的控制是两种不同的管理模式，静态带宽管理是指用户的带宽是分配固定的，用户无法突破限制的带宽值。如果用户不在线上，它的带宽依然是限制的，无法调度，例如电信的ADSL系统就是采用静态带宽管理模式。而所谓的动态带宽管理是指用户的带宽控制是相对的，如果用户不需要很大的带宽，系统会自动把闲置的带宽分配给需要的用户，这样系统的资源及利用率就得到充分的提高。在企业中的带宽是有限的，所以采用动态带宽管理，将大大提高系统带宽资源的利用率，同时方便用户的使用。支持多网段的连接宽带接入管理器提供的带宽管理可以和系统的策略管理模块和系统自动的策略体系结合起来，这样系统可以自动对带宽进行平衡