關于如何提高企業網絡穩定性問題的研究

■陳曉輝 唐 強 劉 爽 中國石油塔里木油田分公司信息管理部

一、引言

近幾年，隨著互聯網技術的不斷發展，網絡應用的不斷豐富，用戶可存在于網絡空間的活動越來越多，上至六七十的老人，下到小學生都加入了這個行列。而企業因網絡接入用戶數急劇增加，隨之接入的網絡設備數量也在增多，設備配置也隨著應用的需求不斷的變化。在實際工作中，簡單的擴充網絡帶寬來提高網絡訪問速度的做法效果并不理想。經過反復研究分析，采用綜合性技術手段提高網絡穩定性，對于訪問速度的提高，用戶體驗十分顯著。網絡速度實際是恒定的，用戶上網訪問快慢的感受實際上是受帶寬影響，但又存在有效帶寬問題。

隨著網絡規模的增大并變得更為復雜，需要更多的功能、更好地控制網絡組建。

二、如何提高網絡穩定性問題研究

網絡穩定，帶寬中的有效帶寬就比較高，用戶上網訪問速度就比較平穩，用戶的訪問體驗就不會出現高低起伏，但網絡訪問穩定了并不代表速度就快了。要提高網絡穩定性，首先應找出造成網絡不穩定的原因，并結合實際情況盡可能把這些問題解決掉。

1.影響網絡穩定性的因素。影響網絡不穩定的因素很多，總結起來主要表現在五個方面：網絡架構、路由體系、網絡安全、桌面安全和系統安全。目前，對企業網絡在這幾方面情況分析如下：

(1)企業網絡架構主要采用的是“三級”架構（核心、匯聚、接入）。總體思路很明確，但隨著網絡的不斷延伸，接入用戶的不斷增加和新技術的應用，網絡邊界不斷賦予新的內涵，邊界功能化、明晰化成為現在存在的問題。

(2)隨著技術的發展和網絡應用的深入原來的路由體系是否適合現在不斷擴展的企業網絡，如何找出路由體系中關鍵技術的平衡點這都是技術難點。

(3)網絡安全的隱患是影響網絡穩定性的直接因素。經過近幾年的努力，企業網絡安全問題已得到很大提升，尤其是網絡安全域劃分的實施。

(4)桌面安全和系統安全對網絡的局部穩定起到至關重要的作用。近兩年部署的桌面安全準入系統的實施，使桌面安全和系統安全從根本上得到改善，為快速預測和提前相應提供了支持。

2.提高網絡穩定性的措施。從影響網絡穩定性的因素出發，我們結合業界的相關技術，提出了提高網絡穩定性的措施。

（1）網絡架構。企業網絡是按照標準的三層結構部署，但是缺乏真正意義上的三層核心，不同功能網絡之間邊界不夠清晰，沒有使用安全設備進行隔離和訪問控制。企業基于根據業務功能規劃物理網絡的設計原則，靈活性欠佳，且網絡單元連接關系規劃的不盡合理，造成部分應用數據流路徑的不合理性。

針對企業網絡現狀，按照功能分區、邏輯分層的原則，并考慮安全區域劃分的方式進行構造網絡，增加統一的三網絡核心，整合網絡安全邊界，優化網絡單元連接和應用數據流路徑。增加開發測試區，增強開發測試類應用的獨立性和安全性；增加運行管理區，為企業網絡運行管理、網絡安全管理提供網絡基礎接入平臺；增加數據擺渡區，隔離保護生產和科研網絡，以保障企業核心業務；針對各網絡功能區，定義網絡安全邊界，實施網絡安全控制；增加各功能區網絡設備和網絡連接的冗余性，提高網絡的可用性，包括：各功能區的冗余分布層和連接。

現在提倡扁平化管理，企業網絡是按照標準的三層結構部署，按照功能分區、邏輯分層的原則，網絡架構為核心——匯聚——接入。但隨著網絡規模的增大企業網絡變得更為復雜，在網絡接入層中有的地方包含了三層、四層，甚至五層接連，增加了數據轉發層數，也就增加了故障點：上聯設備故障，直接影響其下聯設備。對用戶來說直接影響了其上網體驗。

（2）路由體系。路由協議是網絡基礎規則的重要內容，需要考察路由協議的開放性、可擴展性、靈活性和可管理性等方面，進行比較和選擇。

下表中列出了幾種路由協議各自的優點和需注意的問題。

?

根據前文提出的企業網絡架構，考慮各種路由協議的特點，企業在內部網絡采用OSPF路由和Static路由相結合的方式。

(3)網絡安全。網絡安全體系架構需要考慮三個層面的內容：網絡安全架構、網絡安全技術和網絡設備配置安全，并通過不斷的評估和規劃，提高企業整體的安全水平。對企業網絡安全技術部署現狀的了解和分析，考慮認證鑒權、訪問控制、審計跟蹤、響應恢復、內容安全這五個方面。安全應該貫徹到整個IT架構中的各個層次，網絡設備配置安全也非常重要，利用設備操作系統軟件的許多安全技術，可以大大增強網絡設備的安全性，從而為整個網絡的安全又提供了一層保障。從口令管理、服務管理、訪問控制和管理、攻擊防范和路由安全這幾個方面，提出網絡設備配置安全：

①口令管理：要求使用加密口令，避免口令被惡意截取；

②服務管理：強調網絡設備關閉不必要的服務，減少被攻擊者利用的可能；

③訪問控制和管理：要求對客戶端的操作進行嚴格的認證、授權和審計；

④攻擊防范：增加網絡設備防范攻擊功能的配置，減少網絡設備被惡意攻擊的風險；

⑤路由安全：關注路由協議認證，消除路由安全問題。

(4)桌面安全和系統安全。信息安全風險管理就是可以接受的代價，識別、控制、減少或消除可能影響信息系統的安全分析的過程。桌面和系統的安全風險管理并不僅僅只是著眼于防病毒，防攻擊以及系統加固也很重要。但必要的加固措施存在以下幾個問題：

①不能確保所有計算機都安裝了防火墻和殺毒軟件；

②不能及時對殺毒軟件、防火墻進行更新；

③不知道怎樣對系統防護進行策略配置，不知道怎樣對漏洞進行補丁安裝。

近兩年企業部署的桌面安全準入系統的實施，使桌面安全和系統安全從根本上得到改善。企業應從提高桌面準入客戶端的安裝率，挖掘該系統的深入應用，提高系統補丁的安裝出發來解決這些問題。

三、企業提高網絡穩定性實踐方案

本實踐方案是在影響網絡穩定的五大因素的基礎上，通過結合企業現狀、利用現有的條件得出的一套提高企業網絡穩定性的實踐方案。以下將從網絡結構介紹出發，詳細闡述該實踐方案。

1.網絡架構。網絡架構在功能分區、邏輯分層的總體思路指導下，采用“三級”架構，核心-匯聚-接入。所有只具備單鏈路接入的單位聯接在邊界路由器，邊界路由器與核心A和核心B采用雙鏈，數據中心與核心采用雙鏈，重要并具備條件的各匯聚采用雙鏈，從而實現核心A和核心B熱備，無論核心A或B其中任何一個故障，各二級匯聚上用戶或邊界路由器用戶都能無所察覺的正常訪問數據中心資源，進行日常辦公。從而加固了網絡核心，明晰了網絡邊界，提高了企業網絡穩定性。

圖 網絡架構總體設計

2.路由體系。根據OSPF（開放式最短路徑優先）路由和Static（靜態）路由的優缺點，結合企業現狀，提出企業路由體系需遵循的三個原則：(1)動靜路由的選擇。

(2)減少路由器同步和收斂時間。

(3)明晰并統一語法。

企業網絡是采用OSPF路由和Static路由結合的方式，這兩種方式各有優缺點。Static路由可以精確的控制互聯網絡的路由行為，然而，如果經常發生網絡拓撲變化，那么手動配置方式將導致靜態路由的管理工作根本無法進行下去。OSPF路由能夠使互聯網絡迅速并自動地響應網絡拓撲的變化。但對于任何程序而言，自動化程度越高，可控程度就越差。通過Static路由這種精確控制互聯網絡的路由的方式，即減少各片區路由收斂對整網造成過大的影響，又在一定程度上規范了IP地址等網絡資源的使用。

企業網絡核心到邊界，核心到匯聚采用OSPF路由，使互聯網絡迅速并自動地響應網絡拓撲的變化，減少路由維護工作量。邊界其他一些網絡用戶數較大的接入單位采用Static路由，通過這種精確控制互聯網絡的路由的方式，減少各片區路由收斂對整網造成過大的影響，在一定程度上規范了IP地址等網絡資源的使用。接入邊界的網絡用戶數較大的單位內部網絡采用動態路由。并且統一路由規則，主要包括以下幾點：

(1)RID（router id）是用來唯一表示OSPF網絡中的一個節點，為避免由于組網不當造成相同自治系統中的RID沖突，路由器均需設置RID，RID的地址最好選擇網絡中最大的IP地址；

(2)合理使用OSPF的0區域，統一OSPF的語法和規則。

在本方案中，由于指出了網絡路由協議使用原則，規范了路由的語法和規則，從而避免了路由配置錯誤；并且把可能產生的路由震蕩局限在了比較小的范圍，從而提高了網絡穩定性。

3.網絡安全。啟用接入層交換機端口安全，采用適合企業現狀的相關參數，減少ARP攻擊。

4.桌面安全和系統安全。根據企業的實際情況，提出從兩方面出發：(1)把IPS桌面化和桌面防火墻的使用實現防攻擊。

(2)提高終端計算機補丁安裝率。

基于策略的終端安全檢查和控制功能，通過在sep（終端準入系統）策略服務器上制定詳細的wsus（）策略來控制計算機的補丁更新，安裝了sep客戶端計算機只要接入網絡，sep客戶端就會執行相應的wsus策略檢查并將結果提交給sep策略服務器，策略服務器在收到客戶端傳來檢查結果后和制定的wsus策略進行比對，如客戶端計算機滿足wsus策略才被允許使用網絡，否則只能訪問隔離網段內的網絡資源。針對不同區域實施不同策略，實現多組wsus服務器之間負載均衡，使客戶端能在最短時間內獲取補丁資源。

5.實踐總結。企業網絡是在不斷的擴展，各種新技術也是層出不窮，如何解決網絡穩定性的問題已成為當今乃至未來面臨的主要難題。這提醒著我們要從全局角度出發，思考、分析、解決問題，“頭痛醫頭，腳痛醫腳”的方式無法適應當下網絡的運維工作；并且要從體系角度進行網絡建設和維護，改變簡單的把“網絡維護”看成“網絡設備維護”的傳統思想。

[1]（美）多伊爾著.葛建立，吳劍章譯.TCP/IP路由技術，第一卷，2003.10.

[2]（美）卡德里奇（Kadrich,M.S.）著.伍前紅，余發江，楊飏譯.終端安全，2009.5；

[3]王錫林,郭慶平,程勝利.《計算機安全》[M].人民郵電出版社,1995.