DCN統一互聯網出口的設計與實施

【摘 要】DCN（Data Communication Network）中文名為數據通信網，是電信運營商內部的營業、計費、OA門戶、網管數據傳輸、ERP等幾乎所有生產、業務系統的傳輸通道和通信平臺。對于電信行業來說，DCN網絡是保障信息應用系統的整合策略的實施前提，在企業信息化建設中具有不可或缺的地位。事實證明，只有保障了DCN網的穩定和安全，才能有良好的生產環境和工作效率。所以各個運營商把DCN網絡的建設重點放在了安全性上。

【關鍵詞】DCN網；互聯網出口；信息安全

1.統一互聯網出口的背景

DCN（Data Communication Network）中文名為綜合業務數據支撐網，吉林省聯通公司DCN網作為多個應用系統的支撐網絡，一直運行著大量的業務，其中包括全省的網管系統、電話充值系統、財務系統、物流系統、客服系統、辦公自動化系統、全省綜合營銷系統、全省集中計費帳務系統、桌面電視電話系統等，是一個綜合的承載網，與各個業務子系統都有接口，并且已經延伸到省內的各縣市公司和主要機房。因此，DCN的正常運轉是支撐企業業務正常運行的必要條件。

隨著各業務系統的蓬勃發展，吉林省聯通公司的網絡規模逐漸擴大，系統也越來越開放；與此同時，網絡攻擊、黑客技術水平的不斷提升，主要是病毒越加多樣化。這些新型的網絡病毒，無法迅速找到解決的方法，導致DCN網面臨外部入侵，增加很多安全威脅，影響系統的正常運作。

DCN網經過安全建設，以及集團統一進行的AD域部署，已經在DCN網建設安全上初具規模。同時，在分公司已經部署了終端安全接入的網關，及相關防火墻設備，進行終端安全防護以及地市DCN網的安全防護。

目前終端進行了嚴格的安全部署，已經從系統上滿足了終端的安全保障。工作人員可以結合實際情況，進行行為控制，但從實際上看，系統上基本沒有統一的訪問互聯網的部署方式。通過各自的接入方式訪問公網，這樣，整個DCN網的終端安全帶來很大的隱患。沒有統一出口，統一的防護策略，使DCN網防護存在漏洞。

2. 網絡現狀

全省DCN網設置長春市和吉林市兩個省級中心節點，由兩臺高性能的三層核心骨干交換機（華為S8512）和兩臺核心骨干路由器（華為NE80）組成雙星型結構。長春二樞紐節點作為主用省中心節點，吉林市節點作為備用省中心節點，兩個省中心節點之間路由器NE80采用GE鏈路相連；另外將省網通大廈作為全省的業務中心，網通大廈至兩個省級中心節點采用GE（到主用省中心）/155M （到備用省中心）鏈路相連，形成全省的核心網絡。包括四平聯通在內的各地市節點本地核心路由器為2臺NE40。分公司核心路由器NE40分別通過155M POS 上聯到兩個省中心節點NE80路由器，實現鏈路冗余備份。

總體組網結構如圖1。

3. 網絡建設方案

為保證DCN網上各項業務正常運行，同時滿足辦公需求，在省公司新增華為NE40路由器和Eudemon1000防火墻，包括四平聯通在內的各地市DCN網節點核心路由器擴容155M POS端口，通過設置在各分公司的西門子ASON傳輸設備分別上聯至省中心二樞紐七樓DCN機房新增NE40路由器，在省公司公網出口上統一部署出口策略和NAT策略，實現各地市DCN網接入全省統一互聯網出口，保障DCN網絡安全。

DCN網統一互聯網出口結構圖見圖2。

4. 上網控制配置

缺省情況下，公司DCN網絡的用戶是無法通過統一互聯網出口訪問互聯網的，需要在地市連接省公司的主用核心路由器NE40上進行配置，具體配置如下：

4.1配置可以上網用戶的規則

配置命令：

rule-map intervlan 規則名稱 ip 原ip 反掩碼 目的ip 反掩碼

（注：規則是應用在新加的pos接口上3/0/0，并且是對入方向控制，對應的規則可以從原來出口防火墻上獲取）

例子如下：

rule-map intervlan r-1 ip any 133.200.108.188 0.0.0.0 //允許地址

rule-map intervlan r-2 ip any 133.200.106.150 0.0.0.0 //允許地址

rule-map intervlan r-3 ip any 133.200.130.109 0.0.0.0 //允許地址

rule-map intervlan r-1000 ip any any //拒絕其它所有

4.2關聯EACL

配置命令：

eacl eacl的名稱 規則名稱 permit或deny

例子如下：

eacl internet r-1 permit

eacl internet r-2 permit

eacl internet r-3 permit

eacl internet r-1000 deny //最后一條是deny

4.3應用到POS端口上

在一個新建POS接口上應用EACL

配置命令：

access-group router eacl eacl-name

例子如下：

interface pos 3/0/0

access-group router eacl internet

4.4取消可以上網用戶的上網功能

配置命令：

undo eacl eacl的名稱 規則名稱

undo rule-map規則名稱

例子如下：

undo eacl internet r-1

undo rule-map r-1

5. 統一互聯網接入情況

目前四平聯通共有443個終端接入了統一互聯網出口，代表IP地址及配置命令如下：

rule-map intervlan r-1 ip any 10.62.0.101 0.0.0.0

eacl internet r-1 permit

rule-map intervlan r-2 ip any 10.62.0.164 0

eacl internet r-2 permit

rule-map intervlan r-3 ip any 133.200.124.193 0

eacl internet r-3 permit

rule-map intervlan r-443 ip any 133.200.108.165 0

eacl internet r-443 permit

6 .結語

吉林省聯通公司DCN網統一出口工程的實施，實現了全省各地市分公司訪問互聯網并進行統一管理，實現了互聯網訪問可管、可控。統一出口具備高速帶寬、強大的性能，可以滿足全省各級公司日益增長的通信需求。更重要的是，通過部署統一互聯網出口，統一進行安全防護，更好的防護了公網給DCN網帶來的攻擊危害，進一步鞏固了公司的信息安全。

參考文獻：

[1]王景巖，李鳳有 通信公司局域網絡安全的優化 黑龍江科技信息 2011-05-15

[2]黃瑋 江西吉安聯通DCN網絡優化方案設計與實現 南京郵電大學碩士論文 2013-03-01

作者簡介：李喬（1982.4），男，吉林四平人，碩士研究生，工程師，研究方向為信息安全。