【導讀】數(shù)據(jù)備份技術(shù)概述...

　　

【正文】 防范： 在交換機上啟用 IGMP 源端口檢查的功能，從而達到防范非法組播源的目的。IGMP 源端口檢查指嚴格限定 IGMP 組播流的進入端口，當 IGMP 源端口檢查關閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口；當 IGMP 源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換 20 機把它們轉(zhuǎn)發(fā)向已注冊的端口，而從非路由連接口進入的視頻 流被視為是非法的，將被丟棄。 10）、交換機的管理安全 網(wǎng)絡管理可以說是網(wǎng)絡中最薄弱的一個環(huán)節(jié)，因為一旦攻擊者登錄交換機，那么交換機配置的所有安全防范措施則化為烏有，因此必須重視交換機管理安全： 一般的網(wǎng)絡管理協(xié)議： SNMPv2， Tel， Web 等都是明文登錄和傳輸信息的，因此，盡量使用 SSH、 SNMPv3 等秘文傳輸方式登錄交換機，因為它們都與交換機之間都是加密傳輸。 管理 VLAN 與用戶 VLAN 分開 交換機上不用的端口劃在一個 VLAN 中，并將這些口 Shutdown，需要用時，再開啟 限制可以管理交換機的 IP， CISCO 交換機均支持 Tel 和 Web 的源 IP 訪問控制列表 IRF2 虛擬化設計 Cisco 系列交換機支持 IRF2（第二代智能彈性架構(gòu)）技術(shù)， 在擴展性、可靠性、整體架構(gòu) 和可用性方面 具有強大的優(yōu)勢，主要體現(xiàn)在 三 個方面 ： 彈性擴展： IRF 技術(shù)允許交換機利用互聯(lián)電纜實現(xiàn)多臺設備的擴展；具有即插即用、同步升級的優(yōu)點，同時大大降低系統(tǒng)擴展的成本。 簡化業(yè)務： 通過分布式鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負載分擔和互為備份，從而提高整個網(wǎng)絡架構(gòu)的冗余性和鏈路資源的利用率 ，并且支持堆疊組內(nèi)所有設備的單一 IP 管理 。 高可用：通過標準的萬兆以太網(wǎng)接口實現(xiàn)智能彈性架構(gòu)，可以根據(jù)需求分配業(yè)務帶寬和堆疊帶寬，合理分配本地流量與上行流量；不僅可以實現(xiàn)機架內(nèi)的堆疊，也可以實現(xiàn)跨機架，甚至跨區(qū)域的遠距離堆疊。 21 IP 地址規(guī)劃設計 本公司 網(wǎng)絡作為一個覆蓋全各系統(tǒng)，基于 TCP/IP 協(xié)議的網(wǎng)絡系統(tǒng)， IP 地址和域名應該遵循統(tǒng)一規(guī)則。 IP地址由數(shù)字構(gòu)成，不含地理信息（與郵政編碼和電話號碼都不同）難以記憶，也難于理解，因此，采用域名來標識主機。域名系統(tǒng)（ DNS）是Inter/Intra 解決無意義的 IP 地址和有 意義的名字之間的映射的網(wǎng)絡服務機制。 信息網(wǎng)的 DNS 組織結(jié)構(gòu)遵循 CTI 的域名分配規(guī)則，采用和因特網(wǎng)類似的結(jié)構(gòu)，分成頂層域（ toplevel domain）、第二層域（ secondlevel domain）、第三層域（ thirdlevel domain）等等。第二層域為用戶層域，一般這一層域名與頂層域名一起，基本上可以描述該用戶的名稱等性質(zhì)。以上兩層域名由網(wǎng)管中心統(tǒng)一規(guī)劃，第三層域名由各單位自行規(guī)劃確定。一些單位如果不能明確劃分，可劃入“其它”類。如該單位隸屬于某個域名已定的單位，則該單位域名可定 義為已定義域名的下一級域名。為了域名正確匹配網(wǎng)絡地址，在省廳網(wǎng)管中心設置一個域名服務器（ DNS）。 IP地址的分配有多種方案 ,省局確定的方案是： IP 地址的分配應與域名分配相結(jié)合，每個域名對應一個 IP 地址。以便于日后的網(wǎng)絡擴展，方便管理，有利于網(wǎng)絡信息安全。 規(guī)劃原則說明 方案建議采用 RFC1918 規(guī)定的 作為內(nèi)部 IP 網(wǎng)段，到各個 VLAN 再進行細分為 24 位掩碼的 IP 地址段。為了與用戶地址進行區(qū)分，采用 C 類地址，使用 24 位掩碼（ ）作為網(wǎng)絡設備的地址。 在具體進行 VLAN/IP 分配是，可以兼顧管理以及路由匯聚的因素。 IP 地址分類 網(wǎng)絡設備地址：網(wǎng)絡系統(tǒng)所有網(wǎng)絡設備所使用的 VLAN/IP 地址 服務器群地址：網(wǎng)絡系統(tǒng)中對內(nèi) /對外的服務器所使用的 VLAN/IP 地址； 網(wǎng)絡管理地址：網(wǎng)絡系統(tǒng)管理人員及中心機房內(nèi)的電腦所使用的 VLAN/IP 地址； 固定用戶：相對固定的網(wǎng)絡用戶，分別屬于各個接入層的用戶所使用的 22 VLAN/IP 地址； 動態(tài)用戶：通過 DHCP 自動分配地址的接入網(wǎng)絡的用戶所使用的 VLAN/IP 地址； VPN 用戶：通過 VPN 接入網(wǎng)絡的用戶所使用的 IP 地址 ISP 接入：需要訪 問 INTERNET 所需要的 IP 地址 網(wǎng)絡設備地址 為了更好的對網(wǎng)絡系統(tǒng)進行管理監(jiān)控，需要為網(wǎng)絡設備分配一個 IP 地址，根據(jù)前面所建議的，我們采用 C 類地址，使用 24 位掩碼（ ）作為網(wǎng)絡設備的地址，這樣就將網(wǎng)絡內(nèi)部用戶所使用的 IP 地址與網(wǎng)絡設備地址區(qū)分開，所產(chǎn)生的效果是既加強的網(wǎng)絡系統(tǒng)的安全性，又方便了網(wǎng)絡管理員對網(wǎng)絡設備的管理。網(wǎng)絡設備所使用的 VLAN ID 一般是 VLAN1，即默認（ default vlan）VLAN。 服務器群地址： 在網(wǎng)絡系統(tǒng)中有大量服務器，為了對服務器進行統(tǒng)一的管 理，我們建議采用（ 預留地址），服務器群所使用的 VLAN ID 與網(wǎng)段第三個數(shù)字相同為 VLAN 10。 網(wǎng)絡管理地址： 在網(wǎng)絡系統(tǒng)中，網(wǎng)絡管理員及中心機房的電腦作用非常重要，因些將這些地址單獨劃到一個網(wǎng)段，我們建議采用 址，同樣 VLAN ID 與網(wǎng)段第三個數(shù)字相同為 VLAN 11 固定用戶： 固定用戶就是在各個接入層固定分配 IP 地址的用戶，每個接入層分配一個24位掩 碼的網(wǎng)段作為該接入層的 IP地址段 . 動態(tài)用戶 動態(tài)用戶就是在需要動態(tài)分配 IP 地址的用戶（如無線用戶等），我們建議采用 ，如果不夠還可適當增加，同樣 VLAN ID與網(wǎng)段第三個數(shù)字相同為 VLAN 100 VPN 用戶地址 23 VPN 用戶通過 INTERNET 與防火墻建立 VPN 通道，為了將 VPN 用戶下內(nèi)部用戶進行區(qū)分，我們建議為 VPN 用戶分配 。 ISP 接入的處理 ISP 接入地址由 ISP 供應商提供。 網(wǎng)絡優(yōu)化 ? 在多應用、多 系統(tǒng)數(shù)據(jù)的大型網(wǎng)絡中，局域網(wǎng)與廣域網(wǎng)交匯點上形成的通訊瓶頸所帶來的阻塞往往令人無法接受。 TCP/IP 協(xié)議的天然屬性以及路由器上優(yōu)化技術(shù)的不完美為問題的解決帶來重重障礙。導致現(xiàn)象是，網(wǎng)絡里的最重要信息流無法順暢流通，廣域網(wǎng)資源使用量無法被很好地識別，區(qū)分和控制。通過國際互聯(lián)網(wǎng)或內(nèi)聯(lián)肉進行的各種應用遇到響應遲緩及中斷等問題，尤其是圖象和語音，通訊質(zhì)量得不到保障。 ? 目前先進的速率控制與整形技術(shù)（ Rate Control/Rate Shaping）為這些問題的解決帶來曙光。專業(yè)流量控制器通過對通訊兩端機器通訊流量 的同時及直接控制，有效地解決擁擠和阻塞。由于流量控制器能看懂 TCP/IP 從第二到第七的協(xié)議層，它能自動地分辨超過三百多種不同的各種協(xié)議，服務和應用。它能根據(jù)一個特定信息流的特點，根據(jù) IP 地址，子網(wǎng)，服務器地點， TCP 應用口，域名及應用將這個信息流和其它信息流區(qū)分開來，再根據(jù)不同的需要給予適當或應有的帶寬分區(qū)（ Partition）和帶寬政策（ Policy）。帶寬分區(qū)和帶寬政策的實施可以是硬性或彈性的，根據(jù)不同的靈活實施，可以確保廣域網(wǎng)有限資源的按需動態(tài)分配。 ? 針對 貴公司 信息網(wǎng)，整網(wǎng)部屬 QoS 以來滿足應用數(shù) 據(jù)的分類傳輸，保證關鍵應用的網(wǎng)絡質(zhì)量。 QoS 通常通過四大步驟來部署，從而控制出現(xiàn)在廣域網(wǎng)接入瓶頸的阻塞。 ? 步驟一：分類――自動根據(jù)應用程序的種類、子網(wǎng)、 URL 和其他信流特征，將網(wǎng)絡信息流分成為不同的類別。流量控制設備所作的遠遠超過靜態(tài)地對端口、 IP 地址等作分辨，而是以 OSI 網(wǎng)絡模型二至七層的特征為基礎對信息進行分類，對如 SAP 和 Oracle 等各種應用程序進行精確定位。 ? 步驟二：分析――提供詳細的應用程序性能和網(wǎng)絡效率分析，描述最大和平均帶寬利用率、響應時間（細分到網(wǎng)絡與服務器延遲等）、最主要 的用 24 戶、網(wǎng)頁、應用程序以及其他信息。 ? 步驟三：控制――通過基于策略的帶寬分配和流量整形，流量控制設備能夠保護重要的應用程序、安置非關鍵信流，并且使有限的廣域網(wǎng)接入性能實現(xiàn)優(yōu)化。您可以為每個對話（ session）、每個應用程序指定具體的帶寬?？刂圃O備的 TCP 速率控制技術(shù)能夠主動地同時控制出港和入港的信息傳輸以避免阻塞、防止不必要的數(shù)據(jù)包丟棄和重發(fā)，力保平穩(wěn)、均一的流量，實現(xiàn)吞吐優(yōu)化。 ? 步驟四：報告――具有多種報告功能，它可以產(chǎn)生報告、圖表、數(shù)據(jù)和簡單網(wǎng)絡管理協(xié)議的管理信息庫（ SNMP MIB）。您可以通過 服務等級協(xié)議來界定性能標準，比較真實性能與服務等級目標，提供兩者吻合的報告。 IP 優(yōu)先級劃分 ? 針對 本公司 信息化網(wǎng)絡的實際的應用情況，可以把需要使用 QOS 的各種應用劃分為 5類： 1. 辦公類應用：這是對延時非常敏感的一種應用，實時性要求高，應該定義為最高級別的優(yōu)先級； 2. 視頻 /語音： 這類數(shù)據(jù)對延時也非常敏感，但屬于多媒體業(yè)務，可以定義為次優(yōu)先級； 3. 工程類業(yè)務： 這類數(shù)據(jù)的特點是交易包長度固定，交易時限要求實時，上下行數(shù)據(jù)流量基本對等，因為是網(wǎng)絡中的關鍵應用，所以應定義為比較高的優(yōu)先級； 4. 管理類業(yè)務： 這類數(shù)據(jù)通常對網(wǎng)絡實時性要求不高，可定義為一般優(yōu)先級業(yè)務； 5. 其它應用： 其它應用包括大部分 Inter 訪問，典型的應用是 FTP或 HTTP 等，可以把這類應用定義為最低的優(yōu)先級。 ? IP Precedence 規(guī)劃表： 業(yè)務應用類型 IP Precedence 值 其它應用（如 FTP 和 HTTP） 0 25 管理類業(yè)務 2 工程類業(yè)務 3 視頻 /語音 4 辦公類應用 5 QoS 策略規(guī)劃 ? 根據(jù) 網(wǎng)絡 以及與 WAN 的網(wǎng)絡結(jié)構(gòu)，同時考慮應用業(yè)務類型及特點，在整個網(wǎng)絡服務質(zhì)量保證方面可以使用下面的策略： ? 優(yōu)先級分類 —— 通過在分布層的交換機對接入端口設置 COS 實現(xiàn)； ? 擁塞避免機制 —— 采用 WRED Weighted Random Early Detection 實現(xiàn)； ? 擁塞管理機制 —— 采用 CBWFQ Class Based Weighted Fair Queuing 實現(xiàn)。 QoS 數(shù)據(jù)分類 ? 業(yè)務類 ? 在網(wǎng)絡數(shù)據(jù)中心內(nèi)部，辦公類應用數(shù)據(jù)和業(yè)務類數(shù)據(jù)主要在業(yè)務交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機上根據(jù)連接主機的端口上完成。 ? 具體的做法是將連接主機的交換機端口設置為 untrust， 并根據(jù)上表對進入該端口的數(shù)據(jù)包打上相應的 Cos 值。 ? OA 業(yè)務及視頻類 ? 在數(shù)據(jù)中心內(nèi)部， EAS 類數(shù)據(jù)服務和視頻數(shù)據(jù)主要在交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機等交換機上根據(jù)應用類型或連接相應網(wǎng)段的交換端口上完成。 ? 具體的做法是將連接主機的交換機端口設置為 untrust，并根據(jù)上表對 26 進入該端口的數(shù)據(jù)包打上相應的 Cos 值。 QoS 擁塞管理與擁塞避免 ? 由于數(shù)據(jù)中心局域網(wǎng)多采用千兆或捆綁的多千兆端口互聯(lián)，應該不會存在網(wǎng)絡擁塞的情況。所以在交換機上無需考慮擁塞管理。 ? 數(shù)據(jù)中心之間的廣域 網(wǎng)鏈路，數(shù)據(jù)中心與一級節(jié)點之間的廣域網(wǎng)鏈路都是可能發(fā)生擁塞的網(wǎng)段，需要使用 QoS 的擁塞管理機制， CBWFQ。 QoS 的擁塞管理機制可以在數(shù)據(jù)中心之間以及數(shù)據(jù)中心與各一級節(jié)點的廣域網(wǎng)電路上實現(xiàn)。同時 QoS 的擁塞避免機制，如數(shù)據(jù)包丟棄 WRED 也可以同時在相應的廣域網(wǎng)端口上實施，以保證高優(yōu)先級業(yè)務數(shù)據(jù)的服務質(zhì)量。 思科 WLAN 設計 思科的無線局域網(wǎng)系統(tǒng)滿足國際和國內(nèi)的無線標準，市場占有率超過 60%，思科 WLAN 最大程度的兼容符合 WiFi 標準的各種無線終端設備 . 無線局域網(wǎng)控制器 的智能 RF 管理 所有思科 WLAN 控制器都配備了用于自適應實時 RF管理的內(nèi)嵌軟件。思科WLAN 系統(tǒng)使用即將榮獲專利的無線資源管理 (RRM)算法，來實時發(fā)現(xiàn)空中無線資源使用的變化并作出調(diào)整。這些調(diào)整以類似于路由協(xié)議為 IP 網(wǎng)絡計算最佳拓撲的方式，為無線網(wǎng)絡創(chuàng)建最優(yōu)拓撲。 思科無線局域網(wǎng)控制器 所管理的特定智能 RF功能包括： ? 動態(tài)信道分配 — 信道可根據(jù)不斷變化的 RF 情況進行調(diào)整，以優(yōu)化網(wǎng)絡覆蓋范圍和性能。 ? 干擾檢測和避免 — 該系統(tǒng)可檢測干擾并重新調(diào)整網(wǎng)絡，以避免性能問題。 ? 負載均衡 — 此系統(tǒng)對多個接入點提供了自動的用戶負載均衡，即使負載量 很大，也能獲得最優(yōu)網(wǎng)絡性能。 ? 覆蓋盲區(qū)檢測和修復 — 無線資源管理 (RMM)軟件可發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過調(diào)整接入點的功率輸出來修復它們。 ? 動態(tài)功率控制 — 該系統(tǒng)可動態(tài)調(diào)整各接入點的功率輸出，來適應不斷變化的網(wǎng)絡情況，以確保達到預期的無線性能和可靠性。 27 無線局域網(wǎng)控制器 實現(xiàn)嚴格的安全性 思科無線局域網(wǎng)控制器 符合最嚴格的安全標準，包括： ? WiFi WPA2， WPA 和有線等效加密 (WEP) ? ，帶多種可擴展驗證協(xié)議