網(wǎng)絡(luò)管理及安全準(zhǔn)入機(jī)制研究

趙旺飛，王 齊

（中國移動(dòng)通信集團(tuán)廣東有限公司珠海分公司，廣東 珠海 519015）

0 引言

以珠海移動(dòng)的網(wǎng)管網(wǎng)絡(luò)為例，目前網(wǎng)管網(wǎng)連接核心網(wǎng)、數(shù)據(jù)網(wǎng)、無線網(wǎng)、統(tǒng)一網(wǎng)管平臺(tái)（網(wǎng)絡(luò)管理系統(tǒng)支撐平臺(tái)）和眾多操作維護(hù)終端。①對(duì)設(shè)備的遠(yuǎn)程維護(hù)通過telnet方式實(shí)現(xiàn)，缺乏統(tǒng)一的設(shè)備呈現(xiàn)視圖和操作界面；②在關(guān)聯(lián)設(shè)備出現(xiàn)故障后才能發(fā)現(xiàn)網(wǎng)管網(wǎng)設(shè)備故障，導(dǎo)致網(wǎng)管網(wǎng)絡(luò)故障處理不及時(shí)，影響了對(duì)其他網(wǎng)絡(luò)設(shè)備的監(jiān)控、管理和維護(hù)；③網(wǎng)管網(wǎng)多達(dá)21個(gè)C類子網(wǎng)，IP地址的管理均通過EXCEL文檔記錄和維護(hù)，更新不及時(shí)容易導(dǎo)致 IP地址分配重疊，造成網(wǎng)絡(luò)隱患；④接入層操作維護(hù)終端眾多，管理難度大，需要定期對(duì)接入終端進(jìn)行安全巡檢和掃描，確保網(wǎng)管網(wǎng)絡(luò)安全，管理成本高且容易產(chǎn)生接入安全隱患。

1 設(shè)計(jì)目標(biāo)

重點(diǎn)考察設(shè)備拓?fù)渥詣?dòng)發(fā)現(xiàn)和性能分析、IP地址自動(dòng)搜集與管理、基于介質(zhì)訪問控制（MAC，Media Access Control）地址的安全準(zhǔn)入控制機(jī)制這三個(gè)主要方面的內(nèi)容，實(shí)現(xiàn)網(wǎng)絡(luò)安全管理和維護(hù)。

2 系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)管理系統(tǒng)通過采集網(wǎng)絡(luò)設(shè)備數(shù)據(jù)，進(jìn)行故障監(jiān)控和性能分析，實(shí)現(xiàn)故障的主動(dòng)監(jiān)控、故障及時(shí)跟進(jìn)和故障及時(shí)處理。通過簡單網(wǎng)絡(luò)管理協(xié)議(SNMP，Simple Network Management Protocol)協(xié)議及設(shè)置搜索范圍，采用多種算法、迅速搜索整個(gè)網(wǎng)絡(luò)內(nèi)的所有節(jié)點(diǎn)、自動(dòng)勾畫出整個(gè)網(wǎng)絡(luò)的準(zhǔn)確第二層拓?fù)鋱D——物理拓?fù)鋱D[1]，包括交換機(jī)、服務(wù)器、防火墻、協(xié)轉(zhuǎn)等，以及設(shè)備間的冗余連接、備份連接、均衡負(fù)載連接等等。通過物理拓樸圖即可對(duì)各設(shè)備的工作狀態(tài)、線路流量、線路通斷狀態(tài)、IP地址資源、服務(wù)資源的分布、設(shè)備負(fù)載與端口流量等等進(jìn)行全天候的7×24小時(shí)實(shí)時(shí)監(jiān)控管理，并產(chǎn)生相關(guān)的聯(lián)動(dòng)告警信息與分析預(yù)測報(bào)表，如圖 1所示。

圖1 網(wǎng)絡(luò)管理平臺(tái)體系結(jié)構(gòu)

3 系統(tǒng)關(guān)鍵技術(shù)研究

3.1 設(shè)備拓?fù)渥詣?dòng)發(fā)現(xiàn)

網(wǎng)絡(luò)層拓?fù)浒l(fā)現(xiàn)算法的任務(wù)就是發(fā)現(xiàn)被管網(wǎng)絡(luò)中的子網(wǎng)、路由器以及它們之間的連接關(guān)系[2-3]。通過分析路由器上的路由表，就可以知道網(wǎng)絡(luò)層的拓?fù)浣Y(jié)構(gòu)[4-5]。

節(jié)點(diǎn)搜索算法原理：圖的廣度優(yōu)先遍歷

①從種子節(jié)點(diǎn)開始，搜索所有與該節(jié)點(diǎn)相關(guān)連的設(shè)備，把搜索到的設(shè)備信息存入鄰接表頭節(jié)點(diǎn)中，并在種子節(jié)點(diǎn)的鏈表中插入該節(jié)點(diǎn)的位置信息，表示頭節(jié)點(diǎn)與該位置的節(jié)點(diǎn)相關(guān)連；

②對(duì)鄰接表中的頭節(jié)點(diǎn)，從前向后逐個(gè)進(jìn)行檢查，如果某頭節(jié)點(diǎn)的深度不超過指定深度，并且是可達(dá)的，則搜索與其相連節(jié)點(diǎn)，對(duì)搜索到的節(jié)點(diǎn)，如果已經(jīng)在鄰接表中的，不需再存儲(chǔ)該設(shè)備的信息，只需在該頭節(jié)點(diǎn)的鏈表中插入搜索到的節(jié)點(diǎn)的位置信息的表節(jié)點(diǎn)。若搜索到的節(jié)點(diǎn)未在鄰接表中存儲(chǔ)，則把該節(jié)點(diǎn)的設(shè)備信息存儲(chǔ)到鄰接表中，并且在該頭節(jié)點(diǎn)的鏈表中插入搜索到的節(jié)點(diǎn)的位置信息的表節(jié)點(diǎn)；

③重復(fù)②，直到鄰接表中所有頭節(jié)點(diǎn)深度超過指定深度。

上述算法，從指定的種子節(jié)點(diǎn)出發(fā)，搜索指定深度內(nèi)所有與之相關(guān)聯(lián)的活動(dòng)設(shè)備，并把他們的信息和關(guān)聯(lián)情況存儲(chǔ)起來，根據(jù)存儲(chǔ)的信息，繪制網(wǎng)絡(luò)拓?fù)鋱D。

網(wǎng)管網(wǎng)絡(luò)設(shè)備模擬應(yīng)急演練：通過 Web網(wǎng)頁方式展示網(wǎng)管網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)行情況，如圖2為正常情況下部分設(shè)備運(yùn)行的圖例。

圖2 正常狀態(tài)時(shí)網(wǎng)管網(wǎng)絡(luò)拓?fù)涑尸F(xiàn)

在網(wǎng)頁界面上顯示各鏈路的通斷情況，通過使用不同顏色來呈現(xiàn)語音和信令鏈路的通、斷或丟包情況。在網(wǎng)管網(wǎng)絡(luò)應(yīng)急故障演練過程中，珠海3845-2路由器重啟時(shí)，平臺(tái)馬上監(jiān)測到3845-2路由器到其下掛各設(shè)備鏈路中斷，但接入層設(shè)備運(yùn)行正常，目前該項(xiàng)應(yīng)用已經(jīng)在網(wǎng)管網(wǎng)絡(luò)應(yīng)急故障演練中得以驗(yàn)證。

3.2 IP地址管理

IP地址管理模塊提供對(duì)地址資源信息的多樣、清晰、靈活的組織；可以從多角度、全方位的進(jìn)行對(duì)IP地址資源信息的各種查詢、統(tǒng)計(jì)等操作；管理員可以通過該模塊提供的功能完善的管理功能，實(shí)現(xiàn)對(duì)地址資源的分配、回收、維護(hù)等各種管理；同時(shí)提供各種相關(guān)的功能（諸如日志、各種輔助工具等）。同時(shí)通過事務(wù)接口提供對(duì)電子運(yùn)維流轉(zhuǎn)工單的支持，可以為工單分配地址和端口等資源。

IP地址管理模塊的主流程如下：

①系統(tǒng)首先按照IP地址樹圖、私網(wǎng)IP地址樹圖、地理樹圖、私網(wǎng)地理樹圖和業(yè)務(wù)樹圖分別呈現(xiàn)地址資源;

②提供瀏覽方式和編輯方式的選擇功能，瀏覽方式下用戶只能查詢相關(guān)的地址資源，編輯方式下用戶可以分配、編輯、回收各種地址資源;

③對(duì)于編輯方式下的分配、編輯、回收等對(duì)后臺(tái)數(shù)據(jù)庫有影響的操作，可以讓用戶選擇是在事務(wù)模式下增刪改還是直接進(jìn)行增刪改。事務(wù)操作可以回滾或者一次性提交地址資源的變化情況到數(shù)據(jù)庫；直接操作則把地址資源的變化直接提交到后臺(tái)數(shù)據(jù)庫;

④對(duì)于用戶的每次分配、編輯、回收操作，自動(dòng)記錄這些操作，方便對(duì)地址資源變化情況進(jìn)行查詢，如圖3所示。

圖3 IP地址模塊操作流程

3.3 MAC地址準(zhǔn)入控制機(jī)制

隨著公司網(wǎng)絡(luò)規(guī)模的迅猛增長，珠海網(wǎng)管網(wǎng)絡(luò)接入規(guī)模也在不斷擴(kuò)大，現(xiàn)有接入端口近千個(gè)[6]，接入設(shè)備的管理基本上依賴人工方式，通過用戶報(bào)障再解決的被動(dòng)式管理。同時(shí)公司員工、合作單位及外來人員終端接入網(wǎng)絡(luò)無任何控制手段，如發(fā)生病毒攻擊或非法用戶入侵將無跡可尋，對(duì)網(wǎng)絡(luò)安全管理帶來極大壓力。

技術(shù)實(shí)現(xiàn)方案如圖4所示。

圖4 基于MAC地址的準(zhǔn)入控制機(jī)制

（1）終端接入網(wǎng)絡(luò)的準(zhǔn)入控制

保證只有合法終端才可以接入到網(wǎng)絡(luò)中，非法的終端將被在所接入的交換機(jī)上被阻斷。阻斷非授權(quán)終端接入網(wǎng)管網(wǎng)，在網(wǎng)絡(luò)最邊緣消除安全隱患。對(duì)授權(quán)的終端在設(shè)定允許接入 MAC地址(WHO)、允許接入時(shí)間(WHEN)、允許接入交換機(jī)（端口）(WHERE)后接入網(wǎng)絡(luò)。針對(duì)接入層網(wǎng)絡(luò)最邊緣處設(shè)備實(shí)行準(zhǔn)入控制，如檢測到非法設(shè)備接入，即控制方式為接入端口關(guān)斷。

（2）終端接入網(wǎng)絡(luò)的審計(jì)管理

采集并記錄沉淀終端接入網(wǎng)絡(luò)的所有相關(guān)信息，管理員通過任意一種信息就可以查詢到終端接入時(shí)的所有相關(guān)聯(lián)信息；

（3）異常網(wǎng)絡(luò)接入行為實(shí)時(shí)告警

對(duì)于異常網(wǎng)絡(luò)接入行為進(jìn)行實(shí)時(shí)告警，以便管理員及早發(fā)現(xiàn)安全隱患。

4 結(jié)語

在設(shè)計(jì)中通過應(yīng)用上述方案，有效實(shí)現(xiàn)了網(wǎng)絡(luò)管理信息化技術(shù)在移動(dòng)網(wǎng)管網(wǎng)中的落地，實(shí)現(xiàn)了設(shè)備拓?fù)渥詣?dòng)發(fā)現(xiàn)、系統(tǒng)性能分析、告警主動(dòng)監(jiān)控和實(shí)時(shí)通知、IP地址集中化精細(xì)化管理和基于MAC地址的準(zhǔn)入控制機(jī)制，有效地確保了網(wǎng)管網(wǎng)絡(luò)設(shè)備的易管理、易配置和易維護(hù)。

[1] 姜永廣,田永春, 一種無線自組織網(wǎng)絡(luò)動(dòng)態(tài)路由協(xié)議[J].通信技術(shù),2010,43(06):254-156,159.

[2] SON MH，JOO BS，KIM BC,et al.Physical Topology Discovery for Metroethemet Networks[J].ETRI Journal,2005,27(04)：355-366.

[3] 方飛, 李云.無線異構(gòu)網(wǎng)絡(luò)的垂直切換判決算法[J].通信技術(shù),2010,43(06):137-139.

[4] 劉海華, 王萍萍.基于生成樹算法的鏈路層拓?fù)浒l(fā)現(xiàn)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展, 2008,18(05):97-112.

[5] 劉鵬，馬琳，廉新科.網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一管理方法研究[J].信息安全與通信保密, 2010.

[6] 陳亮.MAC地址準(zhǔn)入控制系統(tǒng)[M].珠海：[s.n.],2009:1-10.