【導(dǎo)讀】數(shù)據(jù)備份技術(shù)概述...

　　

【正文】 防范： 在交換機上啟用 IGMP 源端口檢查的功能，從而達(dá)到防范非法組播源的目的。IGMP 源端口檢查指嚴(yán)格限定 IGMP 組播流的進入端口，當(dāng) IGMP 源端口檢查關(guān)閉時，從任何端口進入的視頻流均是合法的，交換機會把它們轉(zhuǎn)發(fā)到已注冊的端口；當(dāng) IGMP 源端口檢查打開時，只有從路由連接口進入的視頻流才是合法的，交換 20 機把它們轉(zhuǎn)發(fā)向已注冊的端口，而從非路由連接口進入的視頻 流被視為是非法的，將被丟棄。 10）、交換機的管理安全 網(wǎng)絡(luò)管理可以說是網(wǎng)絡(luò)中最薄弱的一個環(huán)節(jié)，因為一旦攻擊者登錄交換機，那么交換機配置的所有安全防范措施則化為烏有，因此必須重視交換機管理安全： 一般的網(wǎng)絡(luò)管理協(xié)議： SNMPv2， Tel， Web 等都是明文登錄和傳輸信息的，因此，盡量使用 SSH、 SNMPv3 等秘文傳輸方式登錄交換機，因為它們都與交換機之間都是加密傳輸。 管理 VLAN 與用戶 VLAN 分開 交換機上不用的端口劃在一個 VLAN 中，并將這些口 Shutdown，需要用時，再開啟 限制可以管理交換機的 IP， CISCO 交換機均支持 Tel 和 Web 的源 IP 訪問控制列表 IRF2 虛擬化設(shè)計 Cisco 系列交換機支持 IRF2（第二代智能彈性架構(gòu)）技術(shù)， 在擴展性、可靠性、整體架構(gòu) 和可用性方面 具有強大的優(yōu)勢，主要體現(xiàn)在 三 個方面 ： 彈性擴展： IRF 技術(shù)允許交換機利用互聯(lián)電纜實現(xiàn)多臺設(shè)備的擴展；具有即插即用、同步升級的優(yōu)點，同時大大降低系統(tǒng)擴展的成本。 簡化業(yè)務(wù)： 通過分布式鏈路聚合技術(shù)，實現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率 ，并且支持堆疊組內(nèi)所有設(shè)備的單一 IP 管理 。 高可用：通過標(biāo)準(zhǔn)的萬兆以太網(wǎng)接口實現(xiàn)智能彈性架構(gòu)，可以根據(jù)需求分配業(yè)務(wù)帶寬和堆疊帶寬，合理分配本地流量與上行流量；不僅可以實現(xiàn)機架內(nèi)的堆疊，也可以實現(xiàn)跨機架，甚至跨區(qū)域的遠(yuǎn)距離堆疊。 21 IP 地址規(guī)劃設(shè)計 本公司 網(wǎng)絡(luò)作為一個覆蓋全各系統(tǒng)，基于 TCP/IP 協(xié)議的網(wǎng)絡(luò)系統(tǒng)， IP 地址和域名應(yīng)該遵循統(tǒng)一規(guī)則。 IP地址由數(shù)字構(gòu)成，不含地理信息（與郵政編碼和電話號碼都不同）難以記憶，也難于理解，因此，采用域名來標(biāo)識主機。域名系統(tǒng)（ DNS）是Inter/Intra 解決無意義的 IP 地址和有 意義的名字之間的映射的網(wǎng)絡(luò)服務(wù)機制。 信息網(wǎng)的 DNS 組織結(jié)構(gòu)遵循 CTI 的域名分配規(guī)則，采用和因特網(wǎng)類似的結(jié)構(gòu)，分成頂層域（ toplevel domain）、第二層域（ secondlevel domain）、第三層域（ thirdlevel domain）等等。第二層域為用戶層域，一般這一層域名與頂層域名一起，基本上可以描述該用戶的名稱等性質(zhì)。以上兩層域名由網(wǎng)管中心統(tǒng)一規(guī)劃，第三層域名由各單位自行規(guī)劃確定。一些單位如果不能明確劃分，可劃入“其它”類。如該單位隸屬于某個域名已定的單位，則該單位域名可定 義為已定義域名的下一級域名。為了域名正確匹配網(wǎng)絡(luò)地址，在省廳網(wǎng)管中心設(shè)置一個域名服務(wù)器（ DNS）。 IP地址的分配有多種方案 ,省局確定的方案是： IP 地址的分配應(yīng)與域名分配相結(jié)合，每個域名對應(yīng)一個 IP 地址。以便于日后的網(wǎng)絡(luò)擴展，方便管理，有利于網(wǎng)絡(luò)信息安全。 規(guī)劃原則說明 方案建議采用 RFC1918 規(guī)定的 作為內(nèi)部 IP 網(wǎng)段，到各個 VLAN 再進行細(xì)分為 24 位掩碼的 IP 地址段。為了與用戶地址進行區(qū)分，采用 C 類地址，使用 24 位掩碼（ ）作為網(wǎng)絡(luò)設(shè)備的地址。 在具體進行 VLAN/IP 分配是，可以兼顧管理以及路由匯聚的因素。 IP 地址分類 網(wǎng)絡(luò)設(shè)備地址：網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備所使用的 VLAN/IP 地址 服務(wù)器群地址：網(wǎng)絡(luò)系統(tǒng)中對內(nèi) /對外的服務(wù)器所使用的 VLAN/IP 地址； 網(wǎng)絡(luò)管理地址：網(wǎng)絡(luò)系統(tǒng)管理人員及中心機房內(nèi)的電腦所使用的 VLAN/IP 地址； 固定用戶：相對固定的網(wǎng)絡(luò)用戶，分別屬于各個接入層的用戶所使用的 22 VLAN/IP 地址； 動態(tài)用戶：通過 DHCP 自動分配地址的接入網(wǎng)絡(luò)的用戶所使用的 VLAN/IP 地址； VPN 用戶：通過 VPN 接入網(wǎng)絡(luò)的用戶所使用的 IP 地址 ISP 接入：需要訪 問 INTERNET 所需要的 IP 地址 網(wǎng)絡(luò)設(shè)備地址 為了更好的對網(wǎng)絡(luò)系統(tǒng)進行管理監(jiān)控，需要為網(wǎng)絡(luò)設(shè)備分配一個 IP 地址，根據(jù)前面所建議的，我們采用 C 類地址，使用 24 位掩碼（ ）作為網(wǎng)絡(luò)設(shè)備的地址，這樣就將網(wǎng)絡(luò)內(nèi)部用戶所使用的 IP 地址與網(wǎng)絡(luò)設(shè)備地址區(qū)分開，所產(chǎn)生的效果是既加強的網(wǎng)絡(luò)系統(tǒng)的安全性，又方便了網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的管理。網(wǎng)絡(luò)設(shè)備所使用的 VLAN ID 一般是 VLAN1，即默認(rèn)（ default vlan）VLAN。 服務(wù)器群地址： 在網(wǎng)絡(luò)系統(tǒng)中有大量服務(wù)器，為了對服務(wù)器進行統(tǒng)一的管 理，我們建議采用（ 預(yù)留地址），服務(wù)器群所使用的 VLAN ID 與網(wǎng)段第三個數(shù)字相同為 VLAN 10。 網(wǎng)絡(luò)管理地址： 在網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)管理員及中心機房的電腦作用非常重要，因些將這些地址單獨劃到一個網(wǎng)段，我們建議采用 址，同樣 VLAN ID 與網(wǎng)段第三個數(shù)字相同為 VLAN 11 固定用戶： 固定用戶就是在各個接入層固定分配 IP 地址的用戶，每個接入層分配一個24位掩 碼的網(wǎng)段作為該接入層的 IP地址段 . 動態(tài)用戶 動態(tài)用戶就是在需要動態(tài)分配 IP 地址的用戶（如無線用戶等），我們建議采用 ，如果不夠還可適當(dāng)增加，同樣 VLAN ID與網(wǎng)段第三個數(shù)字相同為 VLAN 100 VPN 用戶地址 23 VPN 用戶通過 INTERNET 與防火墻建立 VPN 通道，為了將 VPN 用戶下內(nèi)部用戶進行區(qū)分，我們建議為 VPN 用戶分配 。 ISP 接入的處理 ISP 接入地址由 ISP 供應(yīng)商提供。 網(wǎng)絡(luò)優(yōu)化 ? 在多應(yīng)用、多 系統(tǒng)數(shù)據(jù)的大型網(wǎng)絡(luò)中，局域網(wǎng)與廣域網(wǎng)交匯點上形成的通訊瓶頸所帶來的阻塞往往令人無法接受。 TCP/IP 協(xié)議的天然屬性以及路由器上優(yōu)化技術(shù)的不完美為問題的解決帶來重重障礙。導(dǎo)致現(xiàn)象是，網(wǎng)絡(luò)里的最重要信息流無法順暢流通，廣域網(wǎng)資源使用量無法被很好地識別，區(qū)分和控制。通過國際互聯(lián)網(wǎng)或內(nèi)聯(lián)肉進行的各種應(yīng)用遇到響應(yīng)遲緩及中斷等問題，尤其是圖象和語音，通訊質(zhì)量得不到保障。 ? 目前先進的速率控制與整形技術(shù)（ Rate Control/Rate Shaping）為這些問題的解決帶來曙光。專業(yè)流量控制器通過對通訊兩端機器通訊流量 的同時及直接控制，有效地解決擁擠和阻塞。由于流量控制器能看懂 TCP/IP 從第二到第七的協(xié)議層，它能自動地分辨超過三百多種不同的各種協(xié)議，服務(wù)和應(yīng)用。它能根據(jù)一個特定信息流的特點，根據(jù) IP 地址，子網(wǎng)，服務(wù)器地點， TCP 應(yīng)用口，域名及應(yīng)用將這個信息流和其它信息流區(qū)分開來，再根據(jù)不同的需要給予適當(dāng)或應(yīng)有的帶寬分區(qū)（ Partition）和帶寬政策（ Policy）。帶寬分區(qū)和帶寬政策的實施可以是硬性或彈性的，根據(jù)不同的靈活實施，可以確保廣域網(wǎng)有限資源的按需動態(tài)分配。 ? 針對 貴公司 信息網(wǎng)，整網(wǎng)部屬 QoS 以來滿足應(yīng)用數(shù) 據(jù)的分類傳輸，保證關(guān)鍵應(yīng)用的網(wǎng)絡(luò)質(zhì)量。 QoS 通常通過四大步驟來部署，從而控制出現(xiàn)在廣域網(wǎng)接入瓶頸的阻塞。 ? 步驟一：分類――自動根據(jù)應(yīng)用程序的種類、子網(wǎng)、 URL 和其他信流特征，將網(wǎng)絡(luò)信息流分成為不同的類別。流量控制設(shè)備所作的遠(yuǎn)遠(yuǎn)超過靜態(tài)地對端口、 IP 地址等作分辨，而是以 OSI 網(wǎng)絡(luò)模型二至七層的特征為基礎(chǔ)對信息進行分類，對如 SAP 和 Oracle 等各種應(yīng)用程序進行精確定位。 ? 步驟二：分析――提供詳細(xì)的應(yīng)用程序性能和網(wǎng)絡(luò)效率分析，描述最大和平均帶寬利用率、響應(yīng)時間（細(xì)分到網(wǎng)絡(luò)與服務(wù)器延遲等）、最主要 的用 24 戶、網(wǎng)頁、應(yīng)用程序以及其他信息。 ? 步驟三：控制――通過基于策略的帶寬分配和流量整形，流量控制設(shè)備能夠保護重要的應(yīng)用程序、安置非關(guān)鍵信流，并且使有限的廣域網(wǎng)接入性能實現(xiàn)優(yōu)化。您可以為每個對話（ session）、每個應(yīng)用程序指定具體的帶寬?？刂圃O(shè)備的 TCP 速率控制技術(shù)能夠主動地同時控制出港和入港的信息傳輸以避免阻塞、防止不必要的數(shù)據(jù)包丟棄和重發(fā)，力保平穩(wěn)、均一的流量，實現(xiàn)吞吐優(yōu)化。 ? 步驟四：報告――具有多種報告功能，它可以產(chǎn)生報告、圖表、數(shù)據(jù)和簡單網(wǎng)絡(luò)管理協(xié)議的管理信息庫（ SNMP MIB）。您可以通過 服務(wù)等級協(xié)議來界定性能標(biāo)準(zhǔn)，比較真實性能與服務(wù)等級目標(biāo)，提供兩者吻合的報告。 IP 優(yōu)先級劃分 ? 針對 本公司 信息化網(wǎng)絡(luò)的實際的應(yīng)用情況，可以把需要使用 QOS 的各種應(yīng)用劃分為 5類： 1. 辦公類應(yīng)用：這是對延時非常敏感的一種應(yīng)用，實時性要求高，應(yīng)該定義為最高級別的優(yōu)先級； 2. 視頻 /語音： 這類數(shù)據(jù)對延時也非常敏感，但屬于多媒體業(yè)務(wù)，可以定義為次優(yōu)先級； 3. 工程類業(yè)務(wù)： 這類數(shù)據(jù)的特點是交易包長度固定，交易時限要求實時，上下行數(shù)據(jù)流量基本對等，因為是網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用，所以應(yīng)定義為比較高的優(yōu)先級； 4. 管理類業(yè)務(wù)： 這類數(shù)據(jù)通常對網(wǎng)絡(luò)實時性要求不高，可定義為一般優(yōu)先級業(yè)務(wù)； 5. 其它應(yīng)用： 其它應(yīng)用包括大部分 Inter 訪問，典型的應(yīng)用是 FTP或 HTTP 等，可以把這類應(yīng)用定義為最低的優(yōu)先級。 ? IP Precedence 規(guī)劃表： 業(yè)務(wù)應(yīng)用類型 IP Precedence 值 其它應(yīng)用（如 FTP 和 HTTP） 0 25 管理類業(yè)務(wù) 2 工程類業(yè)務(wù) 3 視頻 /語音 4 辦公類應(yīng)用 5 QoS 策略規(guī)劃 ? 根據(jù) 網(wǎng)絡(luò) 以及與 WAN 的網(wǎng)絡(luò)結(jié)構(gòu)，同時考慮應(yīng)用業(yè)務(wù)類型及特點，在整個網(wǎng)絡(luò)服務(wù)質(zhì)量保證方面可以使用下面的策略： ? 優(yōu)先級分類 —— 通過在分布層的交換機對接入端口設(shè)置 COS 實現(xiàn)； ? 擁塞避免機制 —— 采用 WRED Weighted Random Early Detection 實現(xiàn)； ? 擁塞管理機制 —— 采用 CBWFQ Class Based Weighted Fair Queuing 實現(xiàn)。 QoS 數(shù)據(jù)分類 ? 業(yè)務(wù)類 ? 在網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)部，辦公類應(yīng)用數(shù)據(jù)和業(yè)務(wù)類數(shù)據(jù)主要在業(yè)務(wù)交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機上根據(jù)連接主機的端口上完成。 ? 具體的做法是將連接主機的交換機端口設(shè)置為 untrust， 并根據(jù)上表對進入該端口的數(shù)據(jù)包打上相應(yīng)的 Cos 值。 ? OA 業(yè)務(wù)及視頻類 ? 在數(shù)據(jù)中心內(nèi)部， EAS 類數(shù)據(jù)服務(wù)和視頻數(shù)據(jù)主要在交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機等交換機上根據(jù)應(yīng)用類型或連接相應(yīng)網(wǎng)段的交換端口上完成。 ? 具體的做法是將連接主機的交換機端口設(shè)置為 untrust，并根據(jù)上表對 26 進入該端口的數(shù)據(jù)包打上相應(yīng)的 Cos 值。 QoS 擁塞管理與擁塞避免 ? 由于數(shù)據(jù)中心局域網(wǎng)多采用千兆或捆綁的多千兆端口互聯(lián)，應(yīng)該不會存在網(wǎng)絡(luò)擁塞的情況。所以在交換機上無需考慮擁塞管理。 ? 數(shù)據(jù)中心之間的廣域 網(wǎng)鏈路，數(shù)據(jù)中心與一級節(jié)點之間的廣域網(wǎng)鏈路都是可能發(fā)生擁塞的網(wǎng)段，需要使用 QoS 的擁塞管理機制， CBWFQ。 QoS 的擁塞管理機制可以在數(shù)據(jù)中心之間以及數(shù)據(jù)中心與各一級節(jié)點的廣域網(wǎng)電路上實現(xiàn)。同時 QoS 的擁塞避免機制，如數(shù)據(jù)包丟棄 WRED 也可以同時在相應(yīng)的廣域網(wǎng)端口上實施，以保證高優(yōu)先級業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量。 思科 WLAN 設(shè)計 思科的無線局域網(wǎng)系統(tǒng)滿足國際和國內(nèi)的無線標(biāo)準(zhǔn)，市場占有率超過 60%，思科 WLAN 最大程度的兼容符合 WiFi 標(biāo)準(zhǔn)的各種無線終端設(shè)備 . 無線局域網(wǎng)控制器 的智能 RF 管理 所有思科 WLAN 控制器都配備了用于自適應(yīng)實時 RF管理的內(nèi)嵌軟件。思科WLAN 系統(tǒng)使用即將榮獲專利的無線資源管理 (RRM)算法，來實時發(fā)現(xiàn)空中無線資源使用的變化并作出調(diào)整。這些調(diào)整以類似于路由協(xié)議為 IP 網(wǎng)絡(luò)計算最佳拓?fù)涞姆绞剑瑸闊o線網(wǎng)絡(luò)創(chuàng)建最優(yōu)拓?fù)洹? 思科無線局域網(wǎng)控制器 所管理的特定智能 RF功能包括： ? 動態(tài)信道分配 — 信道可根據(jù)不斷變化的 RF 情況進行調(diào)整，以優(yōu)化網(wǎng)絡(luò)覆蓋范圍和性能。 ? 干擾檢測和避免 — 該系統(tǒng)可檢測干擾并重新調(diào)整網(wǎng)絡(luò)，以避免性能問題。 ? 負(fù)載均衡 — 此系統(tǒng)對多個接入點提供了自動的用戶負(fù)載均衡，即使負(fù)載量 很大，也能獲得最優(yōu)網(wǎng)絡(luò)性能。 ? 覆蓋盲區(qū)檢測和修復(fù) — 無線資源管理 (RMM)軟件可發(fā)現(xiàn)覆蓋盲區(qū)，并嘗試通過調(diào)整接入點的功率輸出來修復(fù)它們。 ? 動態(tài)功率控制 — 該系統(tǒng)可動態(tài)調(diào)整各接入點的功率輸出，來適應(yīng)不斷變化的網(wǎng)絡(luò)情況，以確保達(dá)到預(yù)期的無線性能和可靠性。 27 無線局域網(wǎng)控制器 實現(xiàn)嚴(yán)格的安全性 思科無線局域網(wǎng)控制器 符合最嚴(yán)格的安全標(biāo)準(zhǔn)，包括： ? WiFi WPA2， WPA 和有線等效加密 (WEP) ? ，帶多種可擴展驗證協(xié)議