科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道巧妙升级 构建科技网络高效运行平台

巧妙升级 构建科技网络高效运行平台

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

从科技网络的运行现状来看,要提高科技网络的运行智能性,以及保证网络能够始终高速、可靠、稳定地运行,可以尝试从服务器、核心交换机要双机互备,提升网络带宽、选用专业硬件防火墙几个方面进行网络升级改造。

作者:帷幄 来源:IT专家网 2008年10月30日

关键字: 天融信 硬件防火墙

  • 评论
  • 分享微博
  • 分享邮件

  科技网络的运行现状

  科技网络中心已经持续运行五年多,最近服务器主机频繁发生硬件故障,开始是硬盘在接二连三地坏,之后是磁盘阵列卡坏、集成在服务器主板中的网卡坏,紧接着是风扇坏、电源坏。当发生磁盘阵列卡坏、硬盘坏、电源坏等故障现象时,保存在服务器系统中的重要信息时不时地发生丢失。此外,科技网络中存在的软件故障主要就是科技门户网站频繁遭遇DoS攻击,电子邮件系统由于自身漏洞原因常常不能正常工作。很明显,科技网络中心的服务器系统目前存在的问题主要就是运行安全性不够以及硬件设备性能不稳定。

  科技网络中心使用的核心交换机设备平时运行比较稳定,除偶尔出现过一次硬件模块损坏现象以外,其余时间一直运行非常稳定,系统资源消耗率一直较少。在核心交换机的参数配置方面,网络管理员由于担心网络攻击以及来自局域网中的异常数据包攻击,特意对交换机的访问设置进行了非常严格的控制,这么一来科技网内部的一些常见网络应用有时也会受到影响。科技网内部曾经遭遇过一次蠕虫病毒大规模发作的现象,当时核心交换机的CPU资源占用率达到了100%,局域网中的所有工作站都不能访问网络;很显然,核心交换机的抗病毒能力非常一般,并且它的智能化程度比较低,没有自动备份等功能。

  科技网络中心为了提高出口连接的稳定性,特意租用了电信和网通的两条出口宽带,并使用服务器作为这两条线路的NAT,由于这种方法是通过软件方式实现Internet路由连接的,网络传输效率不是很高;在网络信息流量低于25MB的时候,能够获得比较理想的传输速度,如果网络信息流量大于25MB的时候,我们就能感觉到网络传输速度明显下降;当然,就目前科技网络传输现状来看,数据传输流量很少有高于50MB的现象,正常情况下比较大的信息传输流量都在35MB左右。考虑到科技网络没有使用专业的硬件防火墙,而只是使用纯软件的方式实现Internet路由连接的,因此科技网络只能预防来自Internet网络的常见非法攻击,而对于非常流行并且有点疯狂的DDoS攻击和DoS攻击几乎没有一点办法。在持续运行几年来,科技网络受到来自Internet网络的DDoS攻击和DoS攻击不下于五、六次。从上面的描述中我们不难看出,科技网络的出口主要存在Internet路由连接效率低下、网络安全性能不是很高以及出口带宽资源比较有限。

  科技网络的升级方案

  从科技网络的运行现状来看,我们认为要提高科技网络的运行智能性,以及保证网络能够始终高速、可靠、稳定地运行,可以尝试从下面几个方面进行网络升级改造:

  1. 服务器需要进行双机备份

  这里所提到的“双机备份”,其实就是一台服务器存在硬件故障或运行状态不正常时,那么另外一台服务器在双机热备份软件的作用下就能自动及时启用,确保服务器系统能够持续、稳定地工作,等到另外一台服务器排除硬件故障或恢复运行状态后,再通过双机热备份软件自动进行数据同步操作。要实现双机备份目的,我们需要采购专业的双机热备份软件,例如笔者单位使用的双机热备份软件是LifeKeeper,还需要购买两台型号完全相同的服务器主机,并且还需要相关的硬件支持。在使用双机备份时,既能实现服务器数据自动备份目的,又能实现服务器数据自动同步目的,这样就能大大提高服务器系统的运行稳定性了。目前,双机备份的实现方式主要包括下面几种:

  一是基于存储共享的双机备份实现方式。在使用这种方式实现双机备份目的时,我们不但需要同时采购两台或两台以上的同型号服务器主机,而且还需要采购用来存储共享信息的磁盘阵列柜。两台或多台同型号的服务器主机可以采用并行、互备、主从等不同连接方式;在实际工作过程中,两台或多台同型号的服务器的IP地址将被同时映射到一个相同的虚拟IP地址上,并使用该虚拟IP地址统一为外界提供服务,然后依照工作方式的不同,自动将来自客户端的网络访问请求转交给其中的一台服务器系统去承担处理。并且,多台服务器之间使用专门的心跳线来侦察另外一台服务器的工作状态。当其中的一台服务器由于硬件故障或其他因素造成工作状态不正常时,另外一台服务器就能通过心跳线自动侦察出对方服务器的工作状态,并根据工作状态的好坏自动作出判断处理,然后进行切换操作,并自动接管所有服务,确保外界能够使用稳定地访问服务器系统中的共享内容。对于客户端而言,这一切换、接管过程是全自动的,而且完成的时间很短暂,从而看不出服务器系统存在任何稳定方面的问题。由于这种双机备份方式使用了相同的磁盘阵列柜,所以两台或多台服务器使用的数据其实是完全一样的,它们都是通过专业的双机备份软件来进行管理的。为了提高服务器系统的运行稳定性,我们常常还需要在购买两台服务器的基础上,再增加购买专业的负载均衡器,而该设备目前的市场价格一般在几千元左右,不过质量稍微好一点的需要上万元、甚至几万元。这样一来,我们就需要增加投资,额外选购备份服务器、磁盘阵列以及负载均衡设备等,很明显这种方法不但价格较高、投入较大,而且磁盘阵列又特别容易出现故障,因此这种方案不适合中小规模的单位。

  二是使用纯软件方式实现双机备份目的。这种方法是借助专业的镜像工具,将一台服务器中的重要数据实时拷贝到另外一台服务器主机中,如此一来相同的数据信息就能在两台服务器主机中同时保存一份,要是其中一台服务器由于硬件故障或其他意外因素发生故障时,能够自动切换到另外一台服务器中,让另外一台服务器系统来接管服务。这种双机备份实现方式具有以下几个优点:首先它不受距离的制约,连接两台服务器的SCSI电缆不受距离的限制;其次数据安全性能够得到保证,毕竟两台服务器系统中同时保存有相同的数据,而不象上面一种方式将数据共享保存在一个磁盘阵列柜中,一旦磁盘阵列柜发生损坏时,那么服务器中的数据就会发生丢失;第三能够有效节约投资费用,不需要额外选购价格高昂的磁盘阵列柜。当然,使用纯软件方式实现双机备份目的时,也存在明显的性能问题。考虑到要对两台服务器中的数据进行实时拷贝传输,肯定会有一个过程;专业的镜像工具可以使用两种方式来对这种过程进行处理,一种处理方式就是同步传输,具体地说只有在数据拷贝操作完成后,之前的任务才能算操作成功;另外一种处理方式就是异步传输,只要完成源数据操作,就算操作成功,数据拷贝工作在之后进行。这两种处理方式各有特色,但也都有自己的弊病,例如第一种处理方式可能会影响数据的写入速度,第二种处理方式容易导致服务器在切换的过程中发生数据丢失现象。

  从目前科技网络的运行实际来看,局域网内的邮件服务器系统、Web网站系统以及文件共享资源库系统写入的频率不是很高,基于这一点,我们更应该偏向选用投入较少的一种方案,也就是选用纯软件方式实现双机备份目的,因为该方案不需要额外购买磁盘阵列柜、负载均衡设备,只需要购买一套软件,这套软件的价格大约在1.5万到2万之间,所以该方案不但经济实惠,而且数据安全性能够得到保证。在使用该方案时,每台服务器主机中都同时安装两块网卡设备,同时每块网卡设备都连接到局域网交换机中,其中一块网卡作为正常的网络数据传输使用,另外一块网卡连接线缆作为心跳线使用,而选购回来的专业双机备份软件也需要同时安装到两台服务器系统中。对于网络传输流量不太大的科技网络来说,使用这种方案实现双机备份目的是完全可行的。

  小提示

  对于那些网络传输流量不大、对数据传输实时性要求不高的中小规模局域网来说,还可以选用单服务器方案,该方案不但经济实用,而且配置起来也是非常的简单,唯一的要求就是选用的服务器主机必须要有较高的性能,以便确保类似Web这样的服务能够稳定地运行。要是想对服务器中的数据进行备份时,网络管理员可以定期使用手工方法将服务器主机中的重要数据拷贝到其他磁盘介质中加以安全保管。

  2. 核心交换机也要双机互备

  为了确保网络传输的稳定性、可靠性,避免发生单点故障,我们需要额外增加一台核心交换机,以便实现两台交换机的互相备份。例如,我们可以选用智能化程度非常高的交换机作为科技网络的核心交换机,例如目前许多对网络传输稳定性要求高的单位都选用华为S8505型号的交换机,这种交换机不但内嵌有硬件加速防火墙,而且还有非常完善的安全机制,可以对网络传输进行智能化程度较高的管理。将新增加的核心交换机配置成与之前的核心交换机双机互备后,科技网络的传输稳定性就能大大提升了。

  3. 提升网络带宽为1000MB

  伴随着网络应用的逐步深入,以及科技网络规模的不断扩大,科技网络的出口带宽资源也应该相应提升,之前使用的100MB出口带宽应该升级为1000MB。因为使用1000MB出口带宽后,科技网络的上网传输速度会更快,科技用户能够享受到更快速度、更高质量的网络服务,这样一来就能有效提高科技用户的工作效率,并且能够满足它们不断增长的快速访问要求。科技网内部的Web网站、电子邮件系统以及文件共享数据库等也能向外界提供更快的访问速度,提高科技用户的服务满意度。将网络带宽提升为1000MB后,相对于交换机的连接端口来说,无形之中能够有效提升连接端口的可靠性和稳定性,能够有效保证网络访问服务的质量;并且,平时经常发生的一些流量异常现象,在网络带宽升级为1000MB后也容易会自然消失。

  此外,时下比较流行的网络应用对出口带宽的需求也是越来越高,例如比较受欢迎的流媒体服务、视频会议服务、远程教学服务以及各种大容量多媒体下载服务等,都离不开大容量带宽资源的支持。

  4. 选用专业硬件防火墙

  为了保护科技网络传输的安全性,我们应该考虑选用专业的硬件防火墙,以便使用该防火墙有效保护服务器系统的运行安全性,避免科技网络受到来自Internet网络的病毒、木马、黑客攻击。

  我们选用的专业硬件防火墙必须满足以下几方面的功能要求:首先能够对各种常见非法攻击具有较强预防、抵制能力,例如能够预防IP欺骗、大包ICMP攻击、非法端口扫描、不明协议攻击等几十种攻击;其次应该有较强的地址转换能力,考虑到科技网络用户数量不断增多,这样一来网络传输流量就会随着时间推移不断增大,那样一来选用的硬件防火墙就应该能够提供比较强大的地址转换能力,要能够同时支持正向地址转换、反向地址转换,并且要求支持的并发连接数量在10000以上;第三要支持多安全区域保护功能,也就是说选用的硬件防火墙每一个物理连接端口应该对应一个安全保护区域,每一个区域中设置的安全策略仅对本地区域有效,而不影响其他区域的安全性能。综合要求,我们建议大家选用市场上比较成熟的硬件防火墙产品,例如型号为NGFW4000-UF的天融信硬件防火墙就可以选用,这款防火墙可以允许我们自由定义某个连接端口对应的网络为SSN,SSN主机与外网之间会受到防火墙的保护,SSN主机与内网之间也会受到防火墙的保护。此外,这款型号的防火墙也能支持上面提到的各种攻击预防能力,并且它能支持的并发连接数量最大可以达到1000000以上,完全能够满足科技网络的扩展升级要求。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章