摘 要:随着我国“大力推进信息化与工业化融合”,目前大型企业以信息化建设工作已经初见成效,与生产、经营和管理密切相关的ERP应用系统陆续上线投用,实现了生产力跨越式发展。本文分析了当今网络安全问题,尤其是针对大型企业ERP应用数据传输质量需求,进行基于ERP应用的网络结构设计,并对ERP数据传送质量保证进行了相应的研究和实现。
关键词:企业网络;ERP;数据传输;Qos
中图分类号:TP302 文献标识码:A
Abstract:Along with our country "to promote informatization and industrialization fusion",the large-scale enterprises in informatization construction work has produced results,is closely related to the production,operation and management of ERP application system gradually launched putting-in-service proactively,realize the leaping development of productivity.This paper analyzes the current network security problems,especially for large enterprise ERP application of the demand of the network security,based on the ERP application network structure design,and has carried on the corresponding to ERP data transmission quality assurance research and implementation.
Keywords:enterprise network;ERP;data ransmission;Qos
1 引言(Introduction)
随着计算机技术和Internet的迅猛发展,加速了全球信息化的进程[1]。网络安全已成为一个国家的政治、经济和军事安全的基础,网络也对人们的生活方式和经济活动也产生了深远的影响[2]。我国“大力推进信息化与工业化融合”,与生产、经营和管理密切相关的ERP应用系统陆续上线投用[3],大型企业以信息化建设工作已经初见成效。以信息化带动工业化,以工业化促进信息化,从而发挥后发优势,实现生产力的跨越式发展[4]。目前大型企业网络安全工作关系到企业生产正常稳定运行,因此,如何保证大型企业网络及信息系统安全是所有的企业信息化必须要解决的课题。
2 网络安全现状(Network security status)
随着网络基础设施的建设和互联网应用的普及,网络安全问题越来越严重,安全攻击产生的损失越来越大。
(1)互联网协议(TCP/IP协议)有缺陷,加上攻击工具使用越来越简单,攻击者不需要专门的知识,使得攻击无处不在,无时不在。
(2)计算机操作系统软件的复杂性,越来越多的系统软件漏洞缺陷导致网络巨大的风险。
(3)各种攻击的技术集成,特别是病毒和黑客技术之间的集成,使攻击变得更加有害。
与生产、经营和管理密切相关的ERP应用系统上线后,对企业网络安全提出相应的要求,网络必须要保证企业ERP应用的数据传输安全可靠。
3 ERP应用数据网络传输质量保证(ERP application data network transmission quality assurance)
将大型企业的网络应用分为ERP应用和非ERP应用,分别采用不同的网络技术实现数据传送。
ERP应用是网络应用的重中之重,它的特点是涉及面很广,几乎涵盖所有的二级节点和三级节点,由于ERP应用对网络的速度、可靠性和延迟要求较高,所以必须为ERP应用保证足够的带宽和高级别的服务质量。
与ERP应用相关的工作站能够经过尽量少的网络节点与核心层相连。在网络规划中,建立一部分全局级别的VLAN,作为ERP应用的专用VLAN,在接入交换机上将这些VLAN的缺省网关指向核心交换机,通过Trunk建立贯穿全网的二层通道。而处于核心交换机和接入交换机之间的二级节点的交换机仅仅是做一个透明传输,提供高速的二层转发。ERP应用全局VLAN示意图1。
非ERP的应用分为两种:厂区内部的应用和跨厂区的应用,包括了WEB浏览、Email和各厂自身的生产管理应用等。这些应用的特点是种类繁多,使用突发性强,许多基于Windows的应用将产生大量的网络广播。如果给它们分配全局的VLAN,势必在网络的核心层和汇聚层形成大量广播包,这对于网络的稳定性是极为不利的,也将影响ERP相关的重要应用。
给它们分配局部的VLAN,所有此类应用的VLAN均在汇聚层终结,将广播阻隔与此。对于厂区内部应用的网络节点通讯,只需通过汇聚层交换机C的三层功能即可实现,跨厂区的应用,通过核心层和汇聚层之间的路由来完成。
4 Qos的实现(The realization of the Qos)
ERP应用对于整个大型企业的生产、流通、营销和管理有着举足轻重的作用,它也是大型企业网络中最重要的应用,为保证ERP应用能够在网络上正常、通畅和可靠的运行,不仅在线路、网络设备的性能和数据通讯方式上达到最优化的配置,而且还需要通过Qos技术来保证ERP应用能比企业中其他应用得到更快更好的处理。
大型企业使用二层的基于VLAN(端口)的Qos技术和基于三层和四层的Policy Qos技术结合来保证ERP应用的传输。
由于ERP应用在网络上是通过三层交换来实现的,数据包都是通过以太网帧的形式封装,交换机之间的Trunk使用802.1q协议。在802.1q的包头中有一个标记控制信息单元,大小为1个字节,在这个单元中前三位即是802.1p协议所规定的User Priority,一共可分为8个等级。这个优先级则代表了二层数据包Qos的服务等级Class of Service(Cos)。Cos位的值与该帧的优先级对应。能够指定每一个端口或者某一个VLAN的Cos值。所有的以太网帧都被标记优先级,就可以保证优先级高的数据桢的数据传输质量。
打当上Cos标记的以太帧离开接入层交换机(Catalyst 2950)到达汇聚层交换机(Catalyst 4006)时,便可以充分利用4006三代引擎的出色Qos功能实现ERP应用服务质量,如图2所示。
新的4006 Supervisor III将原来只在核心层才有的高速转发、高效管理和Qos保证带到了网络汇聚层,Supervisor III不仅支持一般的Queuing和Scheduling,而且全面支持更高级别的Qos策略控制。一项一项来看,4006的100M概述FX端口接受到从2950发来的带有Cos Tag的帧,将此端口设置成信任Cos的模式,然后在4006上配置基于VLAN的Qos。4006上基于VL ANQos要通过策略控制的方式来实现,由于策略控制所处理的Qos等级是三层的DSCP(Differentiated Service Code Point),是一个64位的值。因此在这里需要将以太帧头部的Cos的值转换为类似IP包头的DSCP值,在这里Catalyst 4006能够自动完成这一工作。以下是Cos与DSCP的对应表1。
此外,当执行完Qos的数据包离开Catalyst 4006时,它将自动转换回Cos的Qos等级,以便于下一级的Qos处理。
5 结论(Conclusion)
在计算机网络技术的推动之下,越来越多的企业通过各种信息技术使生产效率和效益大幅提升,提升了在变幻莫测的市场上的核心竞争力。现在的社会是信息社会,互联网让社会从工业文明走向信息文明,电子商务、物联网、云计算等技术越来越快。大型企业信息化建设已经有了一定的基础,目前大多数企业已进入全面推进ERP的实施和应用,与企业安全生产经营密切相关的各种应用系统投入使用,企业网络安全直接对生产经营紧密相连。因此信息网络安全保障工作已经关系到大型企业生产的正常运作。
参考文献(References)
[1] Gui H X.Research of the intrusion detection systembase d on data mining[C].Proceeding of the InternationalConference on e-Education Entertainment and e-Management,2011:190-192.
[2] C.Kruegel,W.Robertson(2004)Alert Verification:Determiningthe Success of Intrusion Attempts.Proc.First Workshop theDetection of Intrusions and Malware and VulnerabilityAssessment[D]2004,4:378-395.
[3] 张淑英.网络安全事件关联分析与态势评测技术研究[D].吉林大学,2012:1-3.
[4] 卫何.大型企业网络安全方案设计与实现[D].清华大学,2013.
[5] 阳丽.XX企业网络安全分析与实现[D].电子科技大学计算机应用技术系,2010.
[6] 樊哲高,李佳师.探索两化融合“青岛模式”[N].中国电子报,2009.
[7] 刘品.我国网络信息安全问题分析与建议[N].山西财经大学学报,2008,(l):37-39.
作者简介:
卫 何(1968-),女,硕士,高级工程师.研究领域:计算机网络安全.