IP城域網(wǎng)網(wǎng)絡(luò)的維護(hù)探討

樸慶花

（大慶油田信息技術(shù)公司，黑龍江 大慶 163000）

我國(guó)目前的通信市場(chǎng)競(jìng)爭(zhēng)十分激烈，電信運(yùn)營(yíng)商已經(jīng)將數(shù)據(jù)業(yè)務(wù)作為新的業(yè)務(wù)增長(zhǎng)點(diǎn)，通信網(wǎng)絡(luò)的IP化趨勢(shì)在目前的發(fā)展前景下，變得越來(lái)越明細(xì)，IP城域網(wǎng)承載了更多新業(yè)務(wù)。因此IP城域網(wǎng)的安全、維修對(duì)電信業(yè)務(wù)的運(yùn)行安全、穩(wěn)定有著直接的影響，發(fā)揮著重要的作用。只有我們對(duì)網(wǎng)絡(luò)發(fā)展趨勢(shì)高度認(rèn)識(shí)，才能做好網(wǎng)絡(luò)維護(hù)工作，對(duì)IP城域網(wǎng)資源合理優(yōu)化滿足電信業(yè)務(wù)網(wǎng)絡(luò)需求的基礎(chǔ)上，從城域網(wǎng)各個(gè)方面進(jìn)行科學(xué)合理的調(diào)配。通過對(duì)往年網(wǎng)絡(luò)故障案例進(jìn)行分析研究，制定科學(xué)合理的維護(hù)措施和預(yù)防方案，實(shí)現(xiàn)我國(guó)通信網(wǎng)絡(luò)的可持續(xù)發(fā)展。

1 網(wǎng)絡(luò)安全體系結(jié)構(gòu)

IP城域網(wǎng)網(wǎng)絡(luò)安全問題是十分重要的一個(gè)環(huán)節(jié)，我們需要將多層安全防護(hù)安裝在網(wǎng)絡(luò)中，同時(shí)還要高度重視安裝了安全防護(hù)系統(tǒng)后是否會(huì)對(duì)網(wǎng)速產(chǎn)生影響。針對(duì)網(wǎng)絡(luò)服務(wù)類型與安全需求的不同，安全層次的劃分也存在差異，因此只有選擇科學(xué)合理的網(wǎng)絡(luò)安全技術(shù)，建立完善的安全體系結(jié)構(gòu)，避免出現(xiàn)系統(tǒng)受到惡意攻擊及非法訪問。

（1）通常情況下路由器會(huì)提供一些基礎(chǔ)的地址或者服務(wù)過濾機(jī)，實(shí)現(xiàn)初步的端口過濾、IP地址過濾、協(xié)議過濾，同時(shí)想要避免出現(xiàn)非法TCP、UDP的應(yīng)用以及非法IP地址入侵，需要建立完善的訪問列表，限制網(wǎng)絡(luò)訪問的同時(shí)有效對(duì)訪問進(jìn)行控制，形成最基礎(chǔ)的網(wǎng)絡(luò)安全屏障。（2）采取加密措施運(yùn)作路由協(xié)議，路由器協(xié)議的重要作用就是網(wǎng)路層IP包的尋址，想要路由器在企業(yè)網(wǎng)絡(luò)服務(wù)中發(fā)揮作用，就要保障路由協(xié)議的有效性和準(zhǔn)確性，通常情況下路由器使用的協(xié)議為ISIS協(xié)議和OSPF協(xié)議，路由器協(xié)議的認(rèn)證對(duì)路由器的影響是比較小的，但是一旦出現(xiàn)路由器接收到錯(cuò)誤的ISIS和OSPF包，路由器就會(huì)因?yàn)殄e(cuò)誤的信息造成IP尋徑錯(cuò)誤，影響企業(yè)網(wǎng)絡(luò)的正常運(yùn)行。因此路由器協(xié)議的安全運(yùn)作在路由器配置時(shí)是十分重要的，根據(jù)實(shí)際情況對(duì)骨干路由協(xié)議采取加密措施，避免路由器受到外界非法竊取。（3）防火墻在網(wǎng)絡(luò)安全方面發(fā)揮著重要的作用，因此我們需要安裝硬件防火墻建立邊緣防御系統(tǒng)，保障城域網(wǎng)網(wǎng)絡(luò)區(qū)域與非安全網(wǎng)絡(luò)區(qū)域隔離開來(lái)。（4）在建立防火墻的同時(shí)也要應(yīng)用入侵偵測(cè)和漏洞檢測(cè)工具，形成安全監(jiān)測(cè)預(yù)警系統(tǒng)，實(shí)現(xiàn)非法入侵的預(yù)警和監(jiān)控。同時(shí)IDS可以在網(wǎng)絡(luò)遇到黑客攻擊的時(shí)候做出積極的反應(yīng)，第一時(shí)間報(bào)警及收集證據(jù)。IDS與防火墻的有機(jī)結(jié)合，加強(qiáng)了網(wǎng)絡(luò)安全性，有效的降低了網(wǎng)絡(luò)可能遇到破壞和攻擊的幾率。（5）對(duì)虛擬網(wǎng)絡(luò)功能使用交換機(jī)進(jìn)行網(wǎng)段劃分，交通隔離。虛擬網(wǎng)絡(luò)一般建立在局域網(wǎng)之內(nèi)，虛擬網(wǎng)絡(luò)的應(yīng)用可以實(shí)現(xiàn)對(duì)非法入侵的有效隔離，局域網(wǎng)中的三層交換設(shè)備可以明確的區(qū)分出哪些是可以交換地址哪些是非法交換地址?？梢詫AC地址的VLAN建立在比較敏感的區(qū)域，在MAC功能的基礎(chǔ)上杜絕非法主機(jī)的登陸。

2 城域網(wǎng)技術(shù)的現(xiàn)狀

2.1 IP城域網(wǎng)的結(jié)構(gòu)

IP城域網(wǎng)的結(jié)構(gòu)主要包括匯聚層、接入層、核心層。其中的骨干節(jié)點(diǎn)為城域網(wǎng)的匯聚節(jié)點(diǎn)及核心節(jié)點(diǎn)，核心層的主要組成部分為核心交換設(shè)備與傳輸網(wǎng)絡(luò)。其主要的功能就是整個(gè)城域網(wǎng)路由表的更新及數(shù)據(jù)參數(shù)的轉(zhuǎn)發(fā)，與IP廣域骨干網(wǎng)相連接，對(duì)IP數(shù)據(jù)口的傳輸速度進(jìn)一步提升。匯聚層通常使用三層交換機(jī)，其性能比較好容量比較大，主要的功能就是控制用戶流量、擴(kuò)展核心層設(shè)備端口。接入層的主要功能是連接不同地點(diǎn)的用戶，是其進(jìn)入到骨干節(jié)點(diǎn)中，小區(qū)內(nèi)使用FTTH+LAN技術(shù)全覆蓋，連接不同業(yè)務(wù)類型用戶，通常情況下使用二層交換機(jī)和三層交換機(jī)。

2.2 IP城域網(wǎng)業(yè)務(wù)

（1）寬帶撥號(hào)接入業(yè)務(wù)。DSL撥號(hào)接入：通過DSL用戶可以接入城域網(wǎng)的以太網(wǎng)或者ATM，在BRAS終結(jié)。LAN撥號(hào)接入：駐地小區(qū)內(nèi)的用戶利用光纖連接以太網(wǎng)及城域網(wǎng)，上網(wǎng)方式為PPPOE，在BRAS終結(jié)。（2）Internet專線接入業(yè)務(wù)。DSL專線：接入方式為DSL專線，在BRAS終結(jié)。LAN專線：接入方式為L(zhǎng)AN專線，終結(jié)位置在三層交換機(jī)附近。（3）VPN業(yè)務(wù)。VLAN互連二層VPN：通過光纖與DSL用戶可以連接以太網(wǎng)及城域網(wǎng)，將802、IQVLAN安裝在城域網(wǎng)二層交換機(jī)和三層交換機(jī)上，提供更多的連接點(diǎn)供給用戶。

2.3 業(yè)務(wù)發(fā)展需求

IP城域網(wǎng)綜合特點(diǎn)隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展取得了一定的成績(jī)，尤其是MPLS VPN技術(shù)逐漸的成熟，在IP城域網(wǎng)上承載了更多的數(shù)據(jù)業(yè)務(wù)。寬帶業(yè)務(wù)隨著用戶多樣化、個(gè)性化業(yè)務(wù)的不斷擴(kuò)展，具有以下幾種特點(diǎn)：（1）業(yè)務(wù)逐漸的高速化與寬帶化。（2）對(duì)用戶差異化區(qū)分，根據(jù)實(shí)際情況提供不同等級(jí)的業(yè)務(wù)。（3）一些新型業(yè)務(wù)在城域網(wǎng)上承載出來(lái)，業(yè)務(wù)逐漸的呈現(xiàn)出綜合化，開展了二層VPN功能和三層VPN功能。（4）集中對(duì)用戶和業(yè)務(wù)進(jìn)行管理、控制，例如安全控制、速率限制、認(rèn)證計(jì)費(fèi)等。

3 網(wǎng)絡(luò)安全策略

網(wǎng)路絕對(duì)安全是比較困難的，因此我們需要根據(jù)實(shí)際可能出現(xiàn)的安全問題定量分析，制定相應(yīng)的規(guī)范和措施，主要的方法有以下幾點(diǎn)：（1）協(xié)議的安全性：網(wǎng)絡(luò)協(xié)議在城域網(wǎng)中有著多種類型，主要分為各種廣域網(wǎng)、路由協(xié)議等，路由器、局域網(wǎng)絡(luò)協(xié)議也有著眾多的服務(wù)，對(duì)于一些無(wú)關(guān)緊要的服務(wù)可以選擇適當(dāng)關(guān)閉。對(duì)于一些重要的協(xié)議要加強(qiáng)保護(hù)，避免路由器信息中出現(xiàn)非法路由器加入或者偽造，對(duì)網(wǎng)絡(luò)運(yùn)行產(chǎn)生影響或者出現(xiàn)安全漏洞。想要加強(qiáng)網(wǎng)絡(luò)安全，就要密碼加密及標(biāo)記時(shí)間，滿足LOG功能等服務(wù)?？梢允褂肕D5加密方式或者明碼方式對(duì)路由器協(xié)議進(jìn)行校驗(yàn)。（2）設(shè)備的安全性：對(duì)遠(yuǎn)程登陸及console口進(jìn)行網(wǎng)絡(luò)設(shè)備控制，一般采取的方式為密碼校驗(yàn)，對(duì)用戶的訪問權(quán)限利用終端訪問控制器進(jìn)行管理。（3）安全防范工具的使用：安全網(wǎng)關(guān)內(nèi)置的病毒查殺模塊要及時(shí)升級(jí)，可以及時(shí)有效的查殺病毒，加強(qiáng)信息系統(tǒng)的安全性。（4）做好系統(tǒng)備份：一定要對(duì)系統(tǒng)內(nèi)的數(shù)據(jù)信息及時(shí)備份，備份是最有效的安全防范措施，一些重要的數(shù)據(jù)信息要采取雙備份，備份的數(shù)據(jù)信息一定要異地保存，保障網(wǎng)絡(luò)數(shù)據(jù)信息的安全性，同時(shí)也具有一定的恢復(fù)性。（5）用戶分級(jí)管理：根據(jù)網(wǎng)絡(luò)的區(qū)域不同進(jìn)行劃分，主要分為中心級(jí)網(wǎng)絡(luò)管理員和區(qū)域級(jí)網(wǎng)絡(luò)管理人員，根據(jù)不同的網(wǎng)絡(luò)范圍職責(zé)、不同的功能、不同的權(quán)限進(jìn)行區(qū)分。（6）建立完善的網(wǎng)絡(luò)維護(hù)隊(duì)伍：定期組織人員進(jìn)行培訓(xùn)，提升維護(hù)人員的技術(shù)水平，加強(qiáng)網(wǎng)絡(luò)維護(hù)隊(duì)伍的能力。

4 IP城域網(wǎng)網(wǎng)絡(luò)維護(hù)措施

網(wǎng)絡(luò)質(zhì)量是通信市場(chǎng)競(jìng)爭(zhēng)中的重要指標(biāo)，用戶的感知與網(wǎng)絡(luò)運(yùn)行質(zhì)量有著密切的關(guān)系，維護(hù)就是效益、維護(hù)就是經(jīng)營(yíng)，因此我們需要對(duì)網(wǎng)絡(luò)維護(hù)人員的技術(shù)水平進(jìn)一步加強(qiáng)，培養(yǎng)維護(hù)人員良好的應(yīng)急能力，主要措施有以下幾個(gè)方面：

（1）對(duì)設(shè)備的使用環(huán)境、性能、結(jié)構(gòu)等熟悉和了解，對(duì)設(shè)備工作過程中可能存在的安全隱患進(jìn)行排查，一旦設(shè)備出現(xiàn)問題，就要對(duì)出現(xiàn)問題的原因進(jìn)行分析，快速定位設(shè)備故障和制定解決措施。（2）網(wǎng)絡(luò)資料要準(zhǔn)備齊全，網(wǎng)絡(luò)資料涉及的內(nèi)容比較多，包括網(wǎng)絡(luò)拓?fù)鋱D、組網(wǎng)圖、IP地址分配使用表、客戶資料、設(shè)備配置備份信息等。只有保障資料的齊全，才能實(shí)現(xiàn)網(wǎng)絡(luò)在維護(hù)過程中發(fā)揮著重要的作用。（3）將傳統(tǒng)的被動(dòng)維護(hù)升級(jí)為主動(dòng)維護(hù)，加強(qiáng)日常維護(hù)強(qiáng)度，對(duì)設(shè)備的各項(xiàng)功能實(shí)時(shí)觀察，及時(shí)排除其可能存在的隱患，保障網(wǎng)絡(luò)設(shè)備運(yùn)行的安全、穩(wěn)定。（4）不斷引進(jìn)先進(jìn)的維護(hù)技術(shù)，與廠家及時(shí)溝通，不斷提高操作人員的維護(hù)水平。（5）對(duì)以往發(fā)生過的故障要及時(shí)記錄，吸取經(jīng)驗(yàn)教訓(xùn)，定期組織人員進(jìn)行交流，實(shí)現(xiàn)操作人員網(wǎng)絡(luò)維護(hù)能力的提升。（6）操作人員在遇到網(wǎng)絡(luò)故障時(shí)不要緊張，首先要對(duì)故障產(chǎn)生的原因進(jìn)行分析，制定科學(xué)合理的解決措施，對(duì)物理連接、數(shù)據(jù)參數(shù)、網(wǎng)絡(luò)拓?fù)溥M(jìn)行檢查，針對(duì)實(shí)際情況對(duì)故障采取有效措施。

5 結(jié)語(yǔ)

經(jīng)過以上的研究和分析，網(wǎng)絡(luò)維護(hù)工作不是一朝一夕就能完成，需要日積月累，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展進(jìn)步，更多先進(jìn)的網(wǎng)絡(luò)維護(hù)技術(shù)應(yīng)運(yùn)而生，我們要不斷吸取經(jīng)驗(yàn)教訓(xùn)，擴(kuò)展思路，努力創(chuàng)新，才能實(shí)現(xiàn)網(wǎng)絡(luò)維護(hù)的可持續(xù)發(fā)展。