【導(dǎo)讀】數(shù)據(jù)備份技術(shù)概述...

　　

【正文】 防范： 在交換機(jī)上啟用 IGMP 源端口檢查的功能，從而達(dá)到防范非法組播源的目的。IGMP 源端口檢查指嚴(yán)格限定 IGMP 組播流的進(jìn)入端口，當(dāng) IGMP 源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口；當(dāng) IGMP 源端口檢查打開(kāi)時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換 20 機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口，而從非路由連接口進(jìn)入的視頻 流被視為是非法的，將被丟棄。 10）、交換機(jī)的管理安全 網(wǎng)絡(luò)管理可以說(shuō)是網(wǎng)絡(luò)中最薄弱的一個(gè)環(huán)節(jié)，因?yàn)橐坏┕粽叩卿浗粨Q機(jī)，那么交換機(jī)配置的所有安全防范措施則化為烏有，因此必須重視交換機(jī)管理安全： 一般的網(wǎng)絡(luò)管理協(xié)議： SNMPv2， Tel， Web 等都是明文登錄和傳輸信息的，因此，盡量使用 SSH、 SNMPv3 等秘文傳輸方式登錄交換機(jī)，因?yàn)樗鼈兌寂c交換機(jī)之間都是加密傳輸。 管理 VLAN 與用戶(hù) VLAN 分開(kāi) 交換機(jī)上不用的端口劃在一個(gè) VLAN 中，并將這些口 Shutdown，需要用時(shí)，再開(kāi)啟 限制可以管理交換機(jī)的 IP， CISCO 交換機(jī)均支持 Tel 和 Web 的源 IP 訪問(wèn)控制列表 IRF2 虛擬化設(shè)計(jì) Cisco 系列交換機(jī)支持 IRF2（第二代智能彈性架構(gòu)）技術(shù)， 在擴(kuò)展性、可靠性、整體架構(gòu) 和可用性方面 具有強(qiáng)大的優(yōu)勢(shì)，主要體現(xiàn)在 三 個(gè)方面 ： 彈性擴(kuò)展： IRF 技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺(tái)設(shè)備的擴(kuò)展；具有即插即用、同步升級(jí)的優(yōu)點(diǎn)，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本。 簡(jiǎn)化業(yè)務(wù)： 通過(guò)分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率 ，并且支持堆疊組內(nèi)所有設(shè)備的單一 IP 管理 。 高可用：通過(guò)標(biāo)準(zhǔn)的萬(wàn)兆以太網(wǎng)接口實(shí)現(xiàn)智能彈性架構(gòu)，可以根據(jù)需求分配業(yè)務(wù)帶寬和堆疊帶寬，合理分配本地流量與上行流量；不僅可以實(shí)現(xiàn)機(jī)架內(nèi)的堆疊，也可以實(shí)現(xiàn)跨機(jī)架，甚至跨區(qū)域的遠(yuǎn)距離堆疊。 21 IP 地址規(guī)劃設(shè)計(jì) 本公司 網(wǎng)絡(luò)作為一個(gè)覆蓋全各系統(tǒng)，基于 TCP/IP 協(xié)議的網(wǎng)絡(luò)系統(tǒng)， IP 地址和域名應(yīng)該遵循統(tǒng)一規(guī)則。 IP地址由數(shù)字構(gòu)成，不含地理信息（與郵政編碼和電話號(hào)碼都不同）難以記憶，也難于理解，因此，采用域名來(lái)標(biāo)識(shí)主機(jī)。域名系統(tǒng)（ DNS）是Inter/Intra 解決無(wú)意義的 IP 地址和有 意義的名字之間的映射的網(wǎng)絡(luò)服務(wù)機(jī)制。 信息網(wǎng)的 DNS 組織結(jié)構(gòu)遵循 CTI 的域名分配規(guī)則，采用和因特網(wǎng)類(lèi)似的結(jié)構(gòu)，分成頂層域（ toplevel domain）、第二層域（ secondlevel domain）、第三層域（ thirdlevel domain）等等。第二層域?yàn)橛脩?hù)層域，一般這一層域名與頂層域名一起，基本上可以描述該用戶(hù)的名稱(chēng)等性質(zhì)。以上兩層域名由網(wǎng)管中心統(tǒng)一規(guī)劃，第三層域名由各單位自行規(guī)劃確定。一些單位如果不能明確劃分，可劃入“其它”類(lèi)。如該單位隸屬于某個(gè)域名已定的單位，則該單位域名可定 義為已定義域名的下一級(jí)域名。為了域名正確匹配網(wǎng)絡(luò)地址，在省廳網(wǎng)管中心設(shè)置一個(gè)域名服務(wù)器（ DNS）。 IP地址的分配有多種方案 ,省局確定的方案是： IP 地址的分配應(yīng)與域名分配相結(jié)合，每個(gè)域名對(duì)應(yīng)一個(gè) IP 地址。以便于日后的網(wǎng)絡(luò)擴(kuò)展，方便管理，有利于網(wǎng)絡(luò)信息安全。 規(guī)劃原則說(shuō)明 方案建議采用 RFC1918 規(guī)定的 作為內(nèi)部 IP 網(wǎng)段，到各個(gè) VLAN 再進(jìn)行細(xì)分為 24 位掩碼的 IP 地址段。為了與用戶(hù)地址進(jìn)行區(qū)分，采用 C 類(lèi)地址，使用 24 位掩碼（ ）作為網(wǎng)絡(luò)設(shè)備的地址。 在具體進(jìn)行 VLAN/IP 分配是，可以兼顧管理以及路由匯聚的因素。 IP 地址分類(lèi) 網(wǎng)絡(luò)設(shè)備地址：網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備所使用的 VLAN/IP 地址 服務(wù)器群地址：網(wǎng)絡(luò)系統(tǒng)中對(duì)內(nèi) /對(duì)外的服務(wù)器所使用的 VLAN/IP 地址； 網(wǎng)絡(luò)管理地址：網(wǎng)絡(luò)系統(tǒng)管理人員及中心機(jī)房?jī)?nèi)的電腦所使用的 VLAN/IP 地址； 固定用戶(hù)：相對(duì)固定的網(wǎng)絡(luò)用戶(hù)，分別屬于各個(gè)接入層的用戶(hù)所使用的 22 VLAN/IP 地址； 動(dòng)態(tài)用戶(hù)：通過(guò) DHCP 自動(dòng)分配地址的接入網(wǎng)絡(luò)的用戶(hù)所使用的 VLAN/IP 地址； VPN 用戶(hù)：通過(guò) VPN 接入網(wǎng)絡(luò)的用戶(hù)所使用的 IP 地址 ISP 接入：需要訪 問(wèn) INTERNET 所需要的 IP 地址 網(wǎng)絡(luò)設(shè)備地址 為了更好的對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理監(jiān)控，需要為網(wǎng)絡(luò)設(shè)備分配一個(gè) IP 地址，根據(jù)前面所建議的，我們采用 C 類(lèi)地址，使用 24 位掩碼（ ）作為網(wǎng)絡(luò)設(shè)備的地址，這樣就將網(wǎng)絡(luò)內(nèi)部用戶(hù)所使用的 IP 地址與網(wǎng)絡(luò)設(shè)備地址區(qū)分開(kāi)，所產(chǎn)生的效果是既加強(qiáng)的網(wǎng)絡(luò)系統(tǒng)的安全性，又方便了網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)絡(luò)設(shè)備所使用的 VLAN ID 一般是 VLAN1，即默認(rèn)（ default vlan）VLAN。 服務(wù)器群地址： 在網(wǎng)絡(luò)系統(tǒng)中有大量服務(wù)器，為了對(duì)服務(wù)器進(jìn)行統(tǒng)一的管 理，我們建議采用（ 預(yù)留地址），服務(wù)器群所使用的 VLAN ID 與網(wǎng)段第三個(gè)數(shù)字相同為 VLAN 10。 網(wǎng)絡(luò)管理地址： 在網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)管理員及中心機(jī)房的電腦作用非常重要，因些將這些地址單獨(dú)劃到一個(gè)網(wǎng)段，我們建議采用 址，同樣 VLAN ID 與網(wǎng)段第三個(gè)數(shù)字相同為 VLAN 11 固定用戶(hù)： 固定用戶(hù)就是在各個(gè)接入層固定分配 IP 地址的用戶(hù)，每個(gè)接入層分配一個(gè)24位掩 碼的網(wǎng)段作為該接入層的 IP地址段 . 動(dòng)態(tài)用戶(hù) 動(dòng)態(tài)用戶(hù)就是在需要?jiǎng)討B(tài)分配 IP 地址的用戶(hù)（如無(wú)線用戶(hù)等），我們建議采用 ，如果不夠還可適當(dāng)增加，同樣 VLAN ID與網(wǎng)段第三個(gè)數(shù)字相同為 VLAN 100 VPN 用戶(hù)地址 23 VPN 用戶(hù)通過(guò) INTERNET 與防火墻建立 VPN 通道，為了將 VPN 用戶(hù)下內(nèi)部用戶(hù)進(jìn)行區(qū)分，我們建議為 VPN 用戶(hù)分配 。 ISP 接入的處理 ISP 接入地址由 ISP 供應(yīng)商提供。 網(wǎng)絡(luò)優(yōu)化 ? 在多應(yīng)用、多 系統(tǒng)數(shù)據(jù)的大型網(wǎng)絡(luò)中，局域網(wǎng)與廣域網(wǎng)交匯點(diǎn)上形成的通訊瓶頸所帶來(lái)的阻塞往往令人無(wú)法接受。 TCP/IP 協(xié)議的天然屬性以及路由器上優(yōu)化技術(shù)的不完美為問(wèn)題的解決帶來(lái)重重障礙。導(dǎo)致現(xiàn)象是，網(wǎng)絡(luò)里的最重要信息流無(wú)法順暢流通，廣域網(wǎng)資源使用量無(wú)法被很好地識(shí)別，區(qū)分和控制。通過(guò)國(guó)際互聯(lián)網(wǎng)或內(nèi)聯(lián)肉進(jìn)行的各種應(yīng)用遇到響應(yīng)遲緩及中斷等問(wèn)題，尤其是圖象和語(yǔ)音，通訊質(zhì)量得不到保障。 ? 目前先進(jìn)的速率控制與整形技術(shù)（ Rate Control/Rate Shaping）為這些問(wèn)題的解決帶來(lái)曙光。專(zhuān)業(yè)流量控制器通過(guò)對(duì)通訊兩端機(jī)器通訊流量 的同時(shí)及直接控制，有效地解決擁擠和阻塞。由于流量控制器能看懂 TCP/IP 從第二到第七的協(xié)議層，它能自動(dòng)地分辨超過(guò)三百多種不同的各種協(xié)議，服務(wù)和應(yīng)用。它能根據(jù)一個(gè)特定信息流的特點(diǎn)，根據(jù) IP 地址，子網(wǎng)，服務(wù)器地點(diǎn)， TCP 應(yīng)用口，域名及應(yīng)用將這個(gè)信息流和其它信息流區(qū)分開(kāi)來(lái)，再根據(jù)不同的需要給予適當(dāng)或應(yīng)有的帶寬分區(qū)（ Partition）和帶寬政策（ Policy）。帶寬分區(qū)和帶寬政策的實(shí)施可以是硬性或彈性的，根據(jù)不同的靈活實(shí)施，可以確保廣域網(wǎng)有限資源的按需動(dòng)態(tài)分配。 ? 針對(duì) 貴公司 信息網(wǎng)，整網(wǎng)部屬 QoS 以來(lái)滿(mǎn)足應(yīng)用數(shù) 據(jù)的分類(lèi)傳輸，保證關(guān)鍵應(yīng)用的網(wǎng)絡(luò)質(zhì)量。 QoS 通常通過(guò)四大步驟來(lái)部署，從而控制出現(xiàn)在廣域網(wǎng)接入瓶頸的阻塞。 ? 步驟一：分類(lèi)――自動(dòng)根據(jù)應(yīng)用程序的種類(lèi)、子網(wǎng)、 URL 和其他信流特征，將網(wǎng)絡(luò)信息流分成為不同的類(lèi)別。流量控制設(shè)備所作的遠(yuǎn)遠(yuǎn)超過(guò)靜態(tài)地對(duì)端口、 IP 地址等作分辨，而是以 OSI 網(wǎng)絡(luò)模型二至七層的特征為基礎(chǔ)對(duì)信息進(jìn)行分類(lèi)，對(duì)如 SAP 和 Oracle 等各種應(yīng)用程序進(jìn)行精確定位。 ? 步驟二：分析――提供詳細(xì)的應(yīng)用程序性能和網(wǎng)絡(luò)效率分析，描述最大和平均帶寬利用率、響應(yīng)時(shí)間（細(xì)分到網(wǎng)絡(luò)與服務(wù)器延遲等）、最主要 的用 24 戶(hù)、網(wǎng)頁(yè)、應(yīng)用程序以及其他信息。 ? 步驟三：控制――通過(guò)基于策略的帶寬分配和流量整形，流量控制設(shè)備能夠保護(hù)重要的應(yīng)用程序、安置非關(guān)鍵信流，并且使有限的廣域網(wǎng)接入性能實(shí)現(xiàn)優(yōu)化。您可以為每個(gè)對(duì)話（ session）、每個(gè)應(yīng)用程序指定具體的帶寬?？刂圃O(shè)備的 TCP 速率控制技術(shù)能夠主動(dòng)地同時(shí)控制出港和入港的信息傳輸以避免阻塞、防止不必要的數(shù)據(jù)包丟棄和重發(fā)，力保平穩(wěn)、均一的流量，實(shí)現(xiàn)吞吐優(yōu)化。 ? 步驟四：報(bào)告――具有多種報(bào)告功能，它可以產(chǎn)生報(bào)告、圖表、數(shù)據(jù)和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的管理信息庫(kù)（ SNMP MIB）。您可以通過(guò) 服務(wù)等級(jí)協(xié)議來(lái)界定性能標(biāo)準(zhǔn)，比較真實(shí)性能與服務(wù)等級(jí)目標(biāo)，提供兩者吻合的報(bào)告。 IP 優(yōu)先級(jí)劃分 ? 針對(duì) 本公司 信息化網(wǎng)絡(luò)的實(shí)際的應(yīng)用情況，可以把需要使用 QOS 的各種應(yīng)用劃分為 5類(lèi)： 1. 辦公類(lèi)應(yīng)用：這是對(duì)延時(shí)非常敏感的一種應(yīng)用，實(shí)時(shí)性要求高，應(yīng)該定義為最高級(jí)別的優(yōu)先級(jí)； 2. 視頻 /語(yǔ)音： 這類(lèi)數(shù)據(jù)對(duì)延時(shí)也非常敏感，但屬于多媒體業(yè)務(wù)，可以定義為次優(yōu)先級(jí)； 3. 工程類(lèi)業(yè)務(wù)： 這類(lèi)數(shù)據(jù)的特點(diǎn)是交易包長(zhǎng)度固定，交易時(shí)限要求實(shí)時(shí)，上下行數(shù)據(jù)流量基本對(duì)等，因?yàn)槭蔷W(wǎng)絡(luò)中的關(guān)鍵應(yīng)用，所以應(yīng)定義為比較高的優(yōu)先級(jí)； 4. 管理類(lèi)業(yè)務(wù)： 這類(lèi)數(shù)據(jù)通常對(duì)網(wǎng)絡(luò)實(shí)時(shí)性要求不高，可定義為一般優(yōu)先級(jí)業(yè)務(wù)； 5. 其它應(yīng)用： 其它應(yīng)用包括大部分 Inter 訪問(wèn)，典型的應(yīng)用是 FTP或 HTTP 等，可以把這類(lèi)應(yīng)用定義為最低的優(yōu)先級(jí)。 ? IP Precedence 規(guī)劃表： 業(yè)務(wù)應(yīng)用類(lèi)型 IP Precedence 值 其它應(yīng)用（如 FTP 和 HTTP） 0 25 管理類(lèi)業(yè)務(wù) 2 工程類(lèi)業(yè)務(wù) 3 視頻 /語(yǔ)音 4 辦公類(lèi)應(yīng)用 5 QoS 策略規(guī)劃 ? 根據(jù) 網(wǎng)絡(luò) 以及與 WAN 的網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)考慮應(yīng)用業(yè)務(wù)類(lèi)型及特點(diǎn)，在整個(gè)網(wǎng)絡(luò)服務(wù)質(zhì)量保證方面可以使用下面的策略： ? 優(yōu)先級(jí)分類(lèi) —— 通過(guò)在分布層的交換機(jī)對(duì)接入端口設(shè)置 COS 實(shí)現(xiàn)； ? 擁塞避免機(jī)制 —— 采用 WRED Weighted Random Early Detection 實(shí)現(xiàn)； ? 擁塞管理機(jī)制 —— 采用 CBWFQ Class Based Weighted Fair Queuing 實(shí)現(xiàn)。 QoS 數(shù)據(jù)分類(lèi) ? 業(yè)務(wù)類(lèi) ? 在網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)部，辦公類(lèi)應(yīng)用數(shù)據(jù)和業(yè)務(wù)類(lèi)數(shù)據(jù)主要在業(yè)務(wù)交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級(jí)分類(lèi)可以在數(shù)據(jù)中心核心交換機(jī)上根據(jù)連接主機(jī)的端口上完成。 ? 具體的做法是將連接主機(jī)的交換機(jī)端口設(shè)置為 untrust， 并根據(jù)上表對(duì)進(jìn)入該端口的數(shù)據(jù)包打上相應(yīng)的 Cos 值。 ? OA 業(yè)務(wù)及視頻類(lèi) ? 在數(shù)據(jù)中心內(nèi)部， EAS 類(lèi)數(shù)據(jù)服務(wù)和視頻數(shù)據(jù)主要在交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級(jí)分類(lèi)可以在數(shù)據(jù)中心核心交換機(jī)等交換機(jī)上根據(jù)應(yīng)用類(lèi)型或連接相應(yīng)網(wǎng)段的交換端口上完成。 ? 具體的做法是將連接主機(jī)的交換機(jī)端口設(shè)置為 untrust，并根據(jù)上表對(duì) 26 進(jìn)入該端口的數(shù)據(jù)包打上相應(yīng)的 Cos 值。 QoS 擁塞管理與擁塞避免 ? 由于數(shù)據(jù)中心局域網(wǎng)多采用千兆或捆綁的多千兆端口互聯(lián)，應(yīng)該不會(huì)存在網(wǎng)絡(luò)擁塞的情況。所以在交換機(jī)上無(wú)需考慮擁塞管理。 ? 數(shù)據(jù)中心之間的廣域 網(wǎng)鏈路，數(shù)據(jù)中心與一級(jí)節(jié)點(diǎn)之間的廣域網(wǎng)鏈路都是可能發(fā)生擁塞的網(wǎng)段，需要使用 QoS 的擁塞管理機(jī)制， CBWFQ。 QoS 的擁塞管理機(jī)制可以在數(shù)據(jù)中心之間以及數(shù)據(jù)中心與各一級(jí)節(jié)點(diǎn)的廣域網(wǎng)電路上實(shí)現(xiàn)。同時(shí) QoS 的擁塞避免機(jī)制，如數(shù)據(jù)包丟棄 WRED 也可以同時(shí)在相應(yīng)的廣域網(wǎng)端口上實(shí)施，以保證高優(yōu)先級(jí)業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量。 思科 WLAN 設(shè)計(jì) 思科的無(wú)線局域網(wǎng)系統(tǒng)滿(mǎn)足國(guó)際和國(guó)內(nèi)的無(wú)線標(biāo)準(zhǔn)，市場(chǎng)占有率超過(guò) 60%，思科 WLAN 最大程度的兼容符合 WiFi 標(biāo)準(zhǔn)的各種無(wú)線終端設(shè)備 . 無(wú)線局域網(wǎng)控制器 的智能 RF 管理 所有思科 WLAN 控制器都配備了用于自適應(yīng)實(shí)時(shí) RF管理的內(nèi)嵌軟件。思科WLAN 系統(tǒng)使用即將榮獲專(zhuān)利的無(wú)線資源管理 (RRM)算法，來(lái)實(shí)時(shí)發(fā)現(xiàn)空中無(wú)線資源使用的變化并作出調(diào)整。這些調(diào)整以類(lèi)似于路由協(xié)議為 IP 網(wǎng)絡(luò)計(jì)算最佳拓?fù)涞姆绞剑瑸闊o(wú)線網(wǎng)絡(luò)創(chuàng)建最優(yōu)拓?fù)洹? 思科無(wú)線局域網(wǎng)控制器 所管理的特定智能 RF功能包括： ? 動(dòng)態(tài)信道分配 — 信道可根據(jù)不斷變化的 RF 情況進(jìn)行調(diào)整，以?xún)?yōu)化網(wǎng)絡(luò)覆蓋范圍和性能。 ? 干擾檢測(cè)和避免 — 該系統(tǒng)可檢測(cè)干擾并重新調(diào)整網(wǎng)絡(luò)，以避免性能問(wèn)題。 ? 負(fù)載均衡 — 此系統(tǒng)對(duì)多個(gè)接入點(diǎn)提供了自動(dòng)的用戶(hù)負(fù)載均衡，即使負(fù)載量 很大，也能獲得最優(yōu)網(wǎng)絡(luò)性能。 ? 覆蓋盲區(qū)檢測(cè)和修復(fù) — 無(wú)線資源管理 (RMM)軟件可發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過(guò)調(diào)整接入點(diǎn)的功率輸出來(lái)修復(fù)它們。 ? 動(dòng)態(tài)功率控制 — 該系統(tǒng)可動(dòng)態(tài)調(diào)整各接入點(diǎn)的功率輸出，來(lái)適應(yīng)不斷變化的網(wǎng)絡(luò)情況，以確保達(dá)到預(yù)期的無(wú)線性能和可靠性。 27 無(wú)線局域網(wǎng)控制器 實(shí)現(xiàn)嚴(yán)格的安全性 思科無(wú)線局域網(wǎng)控制器 符合最嚴(yán)格的安全標(biāo)準(zhǔn)，包括： ? WiFi WPA2， WPA 和有線等效加密 (WEP) ? ，帶多種可擴(kuò)展驗(yàn)證協(xié)議