IP城域網網絡安全研究

李俊杰+馮南梓

【摘要】 隨著互聯網業務在電信網絡的廣泛應用和寬帶互聯網用戶的快速發展，網絡安全問題日益成為影響運營商網絡正常運行和用戶使用網絡的重要因數。文章從IP城域網網絡現狀入手，分析IP城域網安全需求，并提出網絡安全解決方案，確保整個IP城域網結構合理，易于管理維護。

【關鍵詞】IP城域網 網絡安全 網絡安全防護

一、引言

由于技術和專業的限制，IP城域網建設初期網絡結構相對簡單，設備性能有限的，可提供用戶使用的業務類型較少。運營商長期處于鋪網、圈地的狀態，較少關注網絡安全性。

隨著寬帶提速、光網城市的推進，用戶規模越來越大，原有網絡結構、設備性能的一些弊端逐漸顯現出來，IP城域網網絡安全風險越來越大，網絡安全問題正逐步成為影響網絡正常運行、業務順利發展的重要因素。本文主要對IP城域網的網絡架構及網絡需求進行分析，并對網絡安全解決方案進行論述。

二、IP城域網網絡安全整體情況

IP城域網網絡分層結構現狀

IP城域網是在城域范圍內組建的，用于實現個人和企業用戶的語音、視頻、數據等多種業務接入、匯聚和轉發，可獨立進行管理的IP網絡平臺。包括城域骨干網、業務控制層和寬帶接入網兩部分。

城域骨干網：由城域核心路由器負責對業務控制層設備進行端口和流量匯聚，并作IP城域網到IP骨干網的流量轉發出口。

業務控制層由寬帶接入服務器（BRAS）與業務路由器（SR）兩種業務接入控制點組成，主要負責業務接入與控制。

寬帶接入網：是業務控制層以下，用戶家庭網關以上（不含CPE）的二層接入網絡。

三、IP城域網網絡安全需求分析

目前IP城域網主要以Intemet業務為主，需重點考慮以下方面：

（1）對外需加強黑客防御，對內提升安全控制;

（2）業務層、網絡層和用戶層安全并重;

（3）合理規劃網絡流量，保障網絡的可達性和可靠性;

（4）加強網絡身份認證、訪問授權;

（5）網絡按需隔離。

四、IP城域網網絡安全研究

IP城域網是城域業務接入和流量轉發的綜合數據網絡，不同的網絡結構和層次所面對的網絡安全問題將有所區別，為控制網絡中的安全風險，需要有針對性的采取不同的安全策略。

4.1 IP城域網核心層安全

由于核心層網絡承擔整個城域網出口流量匯聚和轉發，為保證其網絡安全性和可靠性，建議采用以下安全策略，包括：

采用路由和交換設備應保證全線速、無阻塞;

盡量采用加密方式實現設備或系統登錄，并強化登錄口令管理;

采用節點、機框、板卡和端口級冗余備份;

采用資源預留，分布式轉發等技術提高設備系統安全性;

對異常網絡流量進行實時監控，及時發現和解決問題。

4.2 IP城域網匯聚層安全

匯聚層業務控制點的安全性能主要體現在以下幾個方面：

根據用戶簽約帶寬配置線路速率，并通過限速和QoS等技術控制用戶合法帶寬;

對傳輸層和會話層的會話數和連接數進行總量限制，避免DoS/DDoS攻擊;

通過加強密碼、密鑰等方式提高網絡安全控制管理水平;

創建訪問控制列表（ACI），根據安全需求有選擇控制非法用戶訪問網絡安全服務;

通過syslog溯源系統強化安全日志管理。

4.3 IP城域網接入層安全

通過各種接入技術和傳輸資源實現網絡覆蓋，為用戶提供多種業務接入和流量控制。

通過用戶網絡隔離、用戶屬性（IP、MAC和設備端口等）精確綁定等手段防止用戶非法接入和惡意攻擊，提高網絡接入安全性;

在LAN接入，需要通過端口環路檢測避免二層環路的發生，避免廣播風暴對網絡的影響。

五、結語

目前，電信運營商IP城域網在網絡安全管理上還存在不足，網絡安全防御手段相對匱乏。對網絡安全的控制還集中在ACL、黑洞路由等傳統手段，未規模推進防火墻/IPS等專用第三方網絡安全設備與傳統的路由器/交換機進行聯動控制。且由于現有的檢測和控制方式相對分散，部分系統或設備必須由運維人員手工配置，難以在網絡安全受到威脅下，保證各系統和設備相互協調，迅速作出響應，以形成一個完整和有效的安全網絡。

但隨著網絡安全技術的不斷發展及人們對網絡安全認識的不斷深入，未來的IP城域網將會建立更加完善的網絡安全解決方案，對網絡安全進行快速識別和分析，并可及時對異常流量和網絡攻擊進行過濾和控制，以保障IP城域網更加穩定、可靠運行。

參考文獻[1]文光斌.主動防御網絡安全研究[J].計算機安全，2006（8）[2]李學軍，李講，朱英軍.寬帶IP城城網的優化策略與實踐[M].人民郵電出版社，2002