XX集团网络运行情况分析报告.docVIP

XX集团网络 运行情况分析报告 2008年05月 目录 1网络运行情况分析背景 3 1.1 XX集团网络建设的背景 3 1.2 XX集团网络当前面临的问题 4 2网络分析环境 5 3网络分析方法 6 4网络运行情况详细分析 6 4.1 部分办公网数据流分析 6 4.2 整网核心交换机数据流分析 11 5网络分析情况总结 15 6 解决方案 16 1网络运行情况分析背景 1.1 XX集团网络建设的背景 公司介绍略 为保证XX集团的核心业务的发展和未来战略目标的实现，集团的信息化建设必须跟上业务发展的步伐和需求，而作为XX集团信息化建设的基础设施和支撑系统，XX集团网络的建设、发展、完善是一个必需的过程。XX集团网络中，除了一些对外宣传的常规应用服务外，还运行着大量的内部办公系统，比如ERP、OA、公文交换等核心的业务系统，这些核心的业务系统是XX集团办公自动化的基本组成要素，所有业务数据的交换和调用都是通过XX集团的网络来完成的，其中的任何一个环节出现问题，都将严重影响整个生产或办公的流水线，给整个XX集团带来难以估量的经济损失，因此我们必须运用我们的技术手段来保证XX集团网络的高效、稳定的运行。 1.2 XX集团网络当前面临的问题 根据前期的一些沟通和交流，我们得知，当前XX集团网络中存在着一些问题，简单总结主要有以下几点： 办公网段访问ERP服务器（一般为大文件传输）时速度很慢； 部分办公网段在向ERP上传流水帐时存在丢包情况（部分流水帐数据没有上传成功）； 部分办公VLAN存在偶尔整网掉线情况 部分办公网段存在访问OA掉线的情况 其他的一些零散的病毒或异常数据流问题 根据上面的一些问题，我们可以判断当前XX集团的网络系统处于一种亚健康的状态，在这种状态下的网络是危险的，因为它潜伏着很多安全隐患，一旦这些安全隐患触发，将给整个网络带来巨大的灾难，因此我们需要针对咱们XX集团当前的网络运行状况做一个具体的分析，以便找到导致当前大大小小网络问题的诱因，并有针对性的解决这些潜在的、影响整网稳定运行的安全隐患。 2网络分析环境 XX网络系统主要由内部办公网段、服务器网段以及互联网接入部分组成，服务器网段主要为192.168.0.0/21网段，内部办公网段划分的VLAN比较多；所有VLAN的划分、隔离以及VLAN间的路由主要都是通过整个内部办公网络的核心交换机来完成的，内部办公机器大概有1200台左右，具体的网络建设拓扑如下图所示： XX集团网络拓扑示意图 3网络分析方法 考虑到XX网络的实际情况，我们在做网络运行情况分析的时候，主要使用科来的网络分析软件，通过抓取部分问题办公网和整网核心交换机的数据流来做相应的网络层、应用层的分析，通过分析来发现相应的链路层、网络层、应用层的问题。 4网络运行情况详细分析 4.1 部分办公网数据流分析 4.1.1 部分办公网数据流分析说明 1、由于我们缺少办公网段接入交换机的相关资料（有些接入交换机比较低端，不支持端口镜像功能，有些缺少串口调试线，接入交换机又没有管理IP地址，无法配置交换机的端口镜像），因此，我们仅通过抓取单台主机的数据包进行部分到整体的分析； 2、由于上面的原因，我们在分析部分网段的数据包时，主要侧重于链路层，无法做到针对网络层、应用层的分析； 3、另外，由于时间的原因，我们不可能对所有的办公VLAN都进行相应的数据包分析，因此，我们采取采样法，主要针对192.168.43.0/24网段、192.168.41.0/24网段、192.168.50.0/24网段进行了数据包的捕获和分析。 4.1.2 针对192.168.43.0/24网段的数据包分析 通过对192.168.43.0/24网段的单机数据包的分析，我们可以发现，192.168.43.0/24网段存在ARP扫描行为，对应扫描机器的IP和MAC地址如下图所示： 具体的数据包如下图所示（以192.168.43.111为例） ARP扫描是指一台机器在1秒内发出的ARP请求数据包超过60个，而正常的网络通讯过程中，肯定不存在这种情况，因此，ARP扫描是网络中的一个异常行为，需要特别关注！ ARP扫描产生的可能原因主要有以下几点： 扫描主机运行有网络扫描程序，例如MAC地址扫描器、X-SCAN等 扫描主机中存在监控软件； 扫描主机感染病毒，病毒在系统后台自动运行的扫描，例如ARP欺骗木马等。 通过科来的分析，我们将192.168.43.0/24网段存在ARP扫描行为的主机列表如下： IP地址 MAC地址 192.168.43.41 00:50:8D:56:F9:68 192.168.43.43 00:0A:EB:40:4C:78 192.168.43.62 00:0C:76:A6:30:D7 192.168.43.169