1 前言
在公司信息内网,虽然制订了网络终端接入相关规定,明确网络终端必须履行接入、变更、注销手续,但因部分员工安全意识淡薄,网络终端私拉乱接的现象时有发生,不仅增加了运行维护人员的工作量,而且存在很大的安全隐患。
综上所述,研制网络终端接入控制系统势在必行,以解决网络终端接入面广、量大的难题,为信息安全运维实现一站式服务提供有力支撑。
2 网络接入控制系统的设计
2.1本系统开发思路
“变隐性为显性”一将交换机内部的隐含的信息呈现出来。
“变繁琐为简单”一将繁琐的命令转化为简单的界面,由系统自动管理数百台交换机、上千个端口。
“变专业为普通”一由专业管理变为普通人员也可管。
“变异步为同步”一以运维台帐为核心,环环相扣,实现台帐同步更新。
2.2公司网络现状
广域网:淮安公司采用调度省到市2.5G SDH通道实现12410接入省公司网,8540通过调度省到市ATM通道连接到省公司作为备用通道。市到县采用调度市县SDH622M通道,形成南北2个环网.
局域网:淮安供电公司办公区分散,供电公司局域网主要有7处,分别是生产调度楼、运行检修工区、新营销楼、营业所、教育培训中心,楚州营业部,淮阴营业部。公司本部局域网核心为CISC06509+6513双核心交换机。县公司核心交换机为双4507。各楼层配线间和各分部门接入交换机基本为cisco2950, 3550, 3650等交换机,千兆接入核心交换机,形成了骨千千兆、桌面百兆的局域网。
农电广域网:变电所节点使用h3cs三层交换机,通过变电所SDH设备上MSTP口连到核心网络,各供电所使用h3c二层交换机就近百兆或者千兆接入到变电所三层交换机。
目前我公司接入层设备间设备大部分为cisco2900系列、cisco 3500系列,少部分4500系列,变电所、供电所设备为H3C,市县共有各类接入交换机近300台。
2.3前期准备工作
1)核对基础台帐:统计所有交换机、终端台帐的详细信息,确保基础数据准确无误。
2)整理网络布线:整理网络设备间配线架、设备间到楼层房间的布线,标出所有交换机端口对应的配线架号,贴上标签,标出终端接口编号。
3)梳理流程制度:梳理网络制度和接入流程,制订相关配套表格,明确网络接入必须履行相关手续。
2.4方案设计工作
1)系统采用((C/S)体系结构,运用面向对象的数据库设计思想,用delphi等工具开发,可在windows xp, windows 2003等操作系统上运行,后台采用大型关系型数据库;
2)实现一套系统,分级分层授权管理;
3)以运维台帐为基础,自动控制交换机,实现对终端设备接入内网的控制,并将读取的信息存入大型关系型数据库,可对交换机端口实时绑定的MAC与运维台帐进行比较,将无台帐信息进行断网处理.待用户办理相关手续后重新接入网络,形成操作日志,以供查询分析。
2.5系统功能描述
2. 5. 1分为5大功能模块:
(1)系统设里:交换机台帐等信息设置.
(2)交换机端口设置:
1、自动对交换机所有端口绑定、解绑;
2、自动对交换机某个端口绑定、解绑:
3、可手动选择交换机端口、PC台帐,程序自动对该端口和PC台帐里对应MAC绑定:可手动选择已绑MAC信息,程序自动从该端口进行解绑。
(3)备份与恢复:
1.可对交换机所有端口绑定NAC信息进行备份,选择不同时间备份信息恢复;
2,可对交换机某个端口绑定。AC信息进行备份、选择不同时间备份信息恢复。
(4)端口重组:可将不同交换机的不同端口组合到一起。授权给操作员使用,如:将会议室几个端口授权给会议室管理员使用,对外来终端接入控制。
(5)报表、日志查询:报表查询,及所有操作功能都形成日志.供查询。
2.5.2实现如下功能:
(1)自动对交换机所有端口绑定、解绑
(2)自动对交换机某个端口绑定、解绑
(3)可对交换机所有端口绑定MAC信息进行备份、选择不同时间备份信息恢复
(4)可对交换机某个端口绑定MAC信息进行备份、选择不同时间备份信息恢复
(5)可手动选择交换机端口,PC台帐,程序自动对该端口和PC台帐里对应MAC绑定;可手动选择己绑MAC信息,程序自动从该端口进行解绑;
2.5.3部分流程:
(1)交换机自动绑定、解绑
(2)端口选择台帐绑定、解绑
对端口进行绑定的部分代码:
2.6按区域分步实施
总体实施步骤:
制定实施计划==>>宣传发动==>>规定时间节点终端,一次性自动绑定==>>通过运维台帐核对终端信息==>>纳入正常接入终端管理区域实施步骤:市公司==>>县公司==>>变电所==>>供电所
3 问题思考与一站式服务
不管企业和网络规模有多大:都需要用理想的安全水乎去权衡成本与可管理性。由于资撅的局限性,要选择正确的网络接入解决方案,我们首先需要确定网络接入控制部署的目标,包括理想的安全水平和管理水平,在提高安全性的同时还能减轻安全和网络管理的负担。网络接入控制系统能否发挥功效,很大程度依赖于我们日常的网络管理水平.如网络设备与终端的对应、台帐信息的及时性、全面性、准确性等。
我们的目标是提高管理水平,对最终用户提供一站式服务.采用内部传票方式.提升优质服务。
一站式服务要求提高H常网络管理水平,规范工作流程,与运维系统无缝接入,保持运维台帐同步联动。实现对终端设备接入内网的控制。
4 结论
网络接入控制系统是终端接入控制的得力工具,该系统已在cisco2950, 3550. H3C等交换机上运行成功,目前公司本部、后勤服务中心、变电运检中心、物资配送中心以及楚州营业部、洪泽供电公司、盯眙供电公司、金湖供电公司、涟水供电公司等单位投入使用,系统快速高效完成交换机瑞门与终端设备接入的管理,减少了网络工作人员的工作量,极大提高了公司信息安全运维管理水平,为公司信息安全运维一站式服务提供了有力支撑。