改造措施 升级手段:
经过区信息中心的争取,教育城域网的改造与升级工作于今年年初进行并于今年年中完成。这次网络改造的重点就是上面遇到的四大问题。
购买缓存服务器并扩大带宽总出口:
从第一个大问题中我们可以了解到网络速度异常缓慢,一方面是因为分支节点过多,出口带宽远远不够用;而另一方面也是因为没有合理利用带宽资源造成的。所以笔者从两个方面入手来解决网络速度缓慢问题。
第一,申请经费扩充网络带宽总出口,将原来的20M出口扩大为35M,从而提高了接近100%的带宽。
第二,为了合理利用网络带宽资源,购买了缓存服务器——Netshine ICS,通过配置Netshine ICS开启缓存服务,可以节省大量的带宽,比如不同的学校访问相同的页面的话,以前需要占用两次带宽,而现在只需要占用一次,另一次由缓存服务器提供信息,而且缓存服务器会在网络不繁忙的时候自动访问常用网站获取缓存信息。(如图3)
&picid=109610.jpg) |
| 图3 点击大图 |
增加高性能核心设备,降低负载压力:
由于6509和4000设备的负载过高,设备压力大,所以笔者对核心设备进行了升级,购买了华为3COM公司的8500,他的价格只有CISCO 6509的一半,但是性能却差不多。对于城域网来说主要注重以下几个方面来选择核心设备即可——强大的ACL支持,webcache的支持或基于防火墙的负载均衡,具有强大的抗毒能力防范网内病毒,强大的交换能力,良好的QOS支持,主模块有上联接口(GBIC)。而华为3COM的8500设备正好满足这些需求。所以购买来后让网络的核心层由6509与8500共同工作,降低负载压力。(如图4)
 |
| 图4 |
增强网络管理,提高网络监控能力:
网络管理必须要借助网络管理工具,对于以前采取的手工对抗病毒与黑客的方法必须进行改变。所以教育城域网选择了一款名为packetshaper的网络流量监测硬件产品。(如图5)
|
| 图5 |
packetshaper是packeteer公司开发的产品,他是一种可以帮助公司的网络管理员发现流量使用情况,控制流量,并最终解决带宽使用效率问题的应用流管理设备。通过监视,控制和压缩网络流量packetshaper可以为关键应用提供高质量的服务,并可以根据企业和其他客户业务的实际需要来分配宝贵的网络带宽资源。该产品具有流量监视,流量整型,流量压缩的特点,可以在核心网络中对每个分支点的网络流量进行控制,可以限制任何一个分支网络的带宽,更强大的是他可以针对某个服务进行限制,同时通过他的分析我们还能够知道网络中存在的问题以及十大带宽占用情况。(如图6)
&picid=109633.jpg) |
| 图6 点击大图 |
提高网络安全变被动为主动:
以往教育城域网的网络安全非常脆弱,一个大规模的蠕虫病毒爆发后后果不堪想象。病毒问题也是造成网络速度缓慢的主要原因,而黑客入侵则使整个城域网办公系统,网站应用彻底瘫痪。针对这些安全问题笔者采取了添置新的安全设备来解决。
首先为了阻止黑客的入侵,选择了一款防火墙——SecPath 1000F。他是华为3Com公司面向大中型企业用户开发的新一代专业防火墙设备。支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全;采用ASPF(Application Specific Packet Filter)应用状态检测技术,可对连接状态过程和异常命令进行检测;提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理;支持多种VPN业务,如L2TP VPN、GRE VPN 、IPSec VPN、动态VPN等,可以构建多种形式的VPN;提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富的QoS特性,提供流量监管、流量整形及多种队列调度策略。(如图7)
&picid=109655.jpg) |
| 图7 点击大图 |
另外为了让网络安全从被动变为主动,购买了一款入侵防护系统IPS,由于IPS可以对网络入侵主动采取阻挡措施,并且经常和防火墙联动操作。这样通过IPS和防火墙共同作用可以最大限度的阻止黑客的入侵。笔者购买的IPS为华为3COM公司的TippingPoint,该设备获得了多个安全大奖,具备对2层到7层流量的深度分析与检测能力,同时配合以精心研究的攻击特征知识库和用户规则,既可以有效检测并实时阻断隐藏在海量网络流量中的病毒、攻击与滥用行为,也可以对分布在网络中的各种流量进行有效管理,从而达到对网络基础设施的保护、对网络应用的保护和对网络性能的保护。(如图8)
|
| 图8 |
总结:
改造和升级后的网络从根本上解决了前面的四大顽疾,在高带宽出口和缓存服务器的共同作用下各个分支网络的访问速度明显提升;在CISCO 6509和华为3COM 8500产品的共同运行下,网络负载压力也大大减小;在网络管理员和packetshaper的配合下,城域网的管理变得不再复杂,网络故障也都在第一时间得到解决,对于以前棘手的BT,电驴,P2P软件以及一些占用带宽的软件与服务也得到了适当的控制;整个网络也在入侵防护系统TippingPoint和防火墙1000F的联动下有如铜墙铁壁一样,让黑客与病毒望而却步。总的来说本次网络改造与升级是相当成功,为教育城域网的顺利运行提供了强有力的保障,给我们这些网络管理者提供了坚强的后盾。
