IP资源管理系统简介课件.ppt

IP资源管理系统,合肥优尔电子科技公司,一、概述,IP资源管理系统，是面向电力、电信、金融、政府机构和行政单位等用于网络安全管理的高端监控系统。通过对终端、主机及应用场景IP地址分配的可视化管理，实行VLAN信息的维护和监控，预防系统非法接入和抵御外部信息入侵。实时巡检交换机端口状态、监测设备接入、配置变更、动态日志和路由异常等迹象，极大保障网络运行安全。,2,二、管控的意义,实现国家电网公司关于信息安全“三不发生”目标，“五禁止”要求和“八不准”措施；执行省公司“个人计算机入网必须实现IP-MAC地址绑定”的规定。随着内网终端种类及数量的增加，安全防护要求日益升高的实情，必须实行终端设备入网100%物理绑定。原有IP管控系统由于网络多次升级，基础数据失真率提高，并且不能对基于MPLS多业务的新广域网实施管理，难以胜任当前电力网络管理新需求与新模式。,3,二、管控的意义（续）,传统网管未将终端设备纳入网络资源统一监管，但终端行为在网络安全中至关重要，直接影响整个系统运行安全，统一监管网络设备和终端设备是网关安全的基本策略。传统网管采用终端设备运行台账和网络地址资源独立维护，缺乏联动机制，导致设备台账与网络地址资源对应信息难以维护，数据准确性较差，设备与网络资源之间对应关系混乱，同时网络维护数据可信度低。,4,三、技术现状,目前适合企业级应用的网络安全管控系统主流源于以下国外品牌，但受多方面原因制约，应用范围局限。国内开发商提供的网络安防产品，基本上属于终端桌面引擎，为应用软件层，无法深入网络物理层。,5,四、功能与实现,6,四、功能与实现（续）,告警与禁止未知接入设备告警、VRV告警、端口绑定失败等告警；接入违规告警的禁止处理和事件查询。台帐同步审核实现与IMS、VRV系统数据集成，并实行设备台帐同步审核。分析与管控提供IP资源使用统计、IP使用信息综合查询、长期离线IP和失效IP信息查询等多维度数据统计分析，为制订防范措施提供决策。,7,五、管控效果,8,网络资源全景化展示,终端异常联动管理网络安全多级防护,完善的网络准入审查机制,系统应用指标推进系统深化应用,通过建立终端设备、网络设备台账数据库，对接入网络的设备进行统一维护，形成所有接入网络合法要素的唯一登记入口，限制了网络接入的随意性，保障了网络接入控制基础数据的唯一性和完整性。,六、基本原理,通过网络层控制终端，采用DHCP分配固定IP地址，网络层IP-MAC静态绑定，链路层MAC-端口动态绑定，设备日志动态分析等复合技术,9,七、技术路线,以交换机自动巡检为核心，采用系统与交换机相结合的IP管理策略和支持多网卡设备及应用场景的设备模型。通过网格、列表、统计、逻辑等视图方式对VLAN段IP地址资源进行图形化、网格化分配和管理，通过颜色、图标标识IP使用属性和状态，实行可视化展现。,10,七、技术路线（续1）,通过设备组模型，提供对多网卡、多IP的主机设备及其群组的IP分配，满足虚拟机、双机热备、负载均衡、集群等多种应用场景IP资源管理。采用基于命令模板的交换机控制方法，使用TELNET、SSH协议访问交换机命令行接口采集数据和操作。通过系统自动扫描交换机端口及其状态，实现接入设备在线监测和接入端口定位，并通过图形方式显示交换机端口状态、接入设备、配置变更、日志等信息。,11,七、技术路线（续2）,实现VRV数据融合数据全面共享，通过实时监测VRV系统及时发现终端异常行为，提供切断对整个网络安全带来风险的异常终端。实现与IMS、VRV系统中数据集成，并进行系统终端和主机设备台帐核对审计。,12,八、系统架构,13,九、系统模型,14,系统主要采用以算法为核心，以软硬件作为实现工具的、相互联系而又相互制约的一种并行结构处理技术,十、系统主控单元,15,主控单元是IP资源管理系统的载体，硬件核心为一套运用双系统支持的专用网关服务器,十一、物理接入方式,16,十二、应用案例,17,IP资源管理系统是基于专用网关服务器和网络运行环境支撑得得应用服务平台，采用LIUNX/SERVER两套操作系统同时并列运行互为备份。系统为软硬件一体化集成形态，适应快捷部署安装和初始化设置，VLAN网管人员通过简短培训即可以启用。以下通过典型管理界面了解应用管理情况。,1.VLAN资源管理,按照区域对IP段和VLAN段信息的进行配置维护功能。可按照区域划分公网、私网IP段，在IP段下划分VLAN，快速配置VLAN段信息。,2.IP资源管理,对VLAN段下IP地址资源进行管理，包括禁用指定VLAN段下所有空闲IP地址，释放当前已分配但未有效使用的IP地址，回收已过失效期的IP地址等。,3.终端设备IP分配,对单网卡、单IP的终端设备如台式机、笔记本、移动设备、网络打印机等终端设备的IP分配功能，包括为终端设备新分配IP、取消已分配IP、变更已分配IP等。,4.设备组IP分配,提供对多网卡、多IP的主机设备及其群组的IP分配，满足虚拟机、双机热备、负载均衡、集群等多种应用场景IP资源管理。,5.设备组IP视图列表,通过设备视图和列表视图方式显示设备组及已分配IP信息。,6.交换机端口状态,通过图形方式显示指定交换机模块组成、模块端口、类型及当前状态信息，进一步可查看指定端口的实时接入设备信息。,7.交换机配置变更,通过时间线图形方式显示指定交换机的配置变更时间节点，可在时间线上动态查看某时间节点的配置变更具体信息。,8.告警管理,对未知接入设备、VRV告警、端口绑定失败、交换机连接异常等接入违规告警事件的进行查询和处理。,9.VRV台帐审核,对系统在终端设备IP分配时建立终端设备台帐与VRV系统设备台帐进行比对，列出一致和不一致设备。,10.IP资源统计,按照区域对IP资源及使用情况分类统计、按照VLAN对IP资源及使用情况分类统计。可按照区域-VLAN-IP使用情况逐级钻取。,11.统计报表内容,IP使用信息综合查询按照IP、MAC或使用人员等条件查询相关IP使用信息，包括I