IP城域網網絡的維護探討

樸慶花

（大慶油田信息技術公司，黑龍江 大慶 163000）

我國目前的通信市場競爭十分激烈，電信運營商已經將數據業務作為新的業務增長點，通信網絡的IP化趨勢在目前的發展前景下，變得越來越明細，IP城域網承載了更多新業務。因此IP城域網的安全、維修對電信業務的運行安全、穩定有著直接的影響，發揮著重要的作用。只有我們對網絡發展趨勢高度認識，才能做好網絡維護工作，對IP城域網資源合理優化滿足電信業務網絡需求的基礎上，從城域網各個方面進行科學合理的調配。通過對往年網絡故障案例進行分析研究，制定科學合理的維護措施和預防方案，實現我國通信網絡的可持續發展。

1 網絡安全體系結構

IP城域網網絡安全問題是十分重要的一個環節，我們需要將多層安全防護安裝在網絡中，同時還要高度重視安裝了安全防護系統后是否會對網速產生影響。針對網絡服務類型與安全需求的不同，安全層次的劃分也存在差異，因此只有選擇科學合理的網絡安全技術，建立完善的安全體系結構，避免出現系統受到惡意攻擊及非法訪問。

（1）通常情況下路由器會提供一些基礎的地址或者服務過濾機，實現初步的端口過濾、IP地址過濾、協議過濾，同時想要避免出現非法TCP、UDP的應用以及非法IP地址入侵，需要建立完善的訪問列表，限制網絡訪問的同時有效對訪問進行控制，形成最基礎的網絡安全屏障。（2）采取加密措施運作路由協議，路由器協議的重要作用就是網路層IP包的尋址，想要路由器在企業網絡服務中發揮作用，就要保障路由協議的有效性和準確性，通常情況下路由器使用的協議為ISIS協議和OSPF協議，路由器協議的認證對路由器的影響是比較小的，但是一旦出現路由器接收到錯誤的ISIS和OSPF包，路由器就會因為錯誤的信息造成IP尋徑錯誤，影響企業網絡的正常運行。因此路由器協議的安全運作在路由器配置時是十分重要的，根據實際情況對骨干路由協議采取加密措施，避免路由器受到外界非法竊取。（3）防火墻在網絡安全方面發揮著重要的作用，因此我們需要安裝硬件防火墻建立邊緣防御系統，保障城域網網絡區域與非安全網絡區域隔離開來。（4）在建立防火墻的同時也要應用入侵偵測和漏洞檢測工具，形成安全監測預警系統，實現非法入侵的預警和監控。同時IDS可以在網絡遇到黑客攻擊的時候做出積極的反應，第一時間報警及收集證據。IDS與防火墻的有機結合，加強了網絡安全性，有效的降低了網絡可能遇到破壞和攻擊的幾率。（5）對虛擬網絡功能使用交換機進行網段劃分，交通隔離。虛擬網絡一般建立在局域網之內，虛擬網絡的應用可以實現對非法入侵的有效隔離，局域網中的三層交換設備可以明確的區分出哪些是可以交換地址哪些是非法交換地址。可以將MAC地址的VLAN建立在比較敏感的區域，在MAC功能的基礎上杜絕非法主機的登陸。

2 城域網技術的現狀

2.1 IP城域網的結構

IP城域網的結構主要包括匯聚層、接入層、核心層。其中的骨干節點為城域網的匯聚節點及核心節點，核心層的主要組成部分為核心交換設備與傳輸網絡。其主要的功能就是整個城域網路由表的更新及數據參數的轉發，與IP廣域骨干網相連接，對IP數據口的傳輸速度進一步提升。匯聚層通常使用三層交換機，其性能比較好容量比較大，主要的功能就是控制用戶流量、擴展核心層設備端口。接入層的主要功能是連接不同地點的用戶，是其進入到骨干節點中，小區內使用FTTH+LAN技術全覆蓋，連接不同業務類型用戶，通常情況下使用二層交換機和三層交換機。

2.2 IP城域網業務

（1）寬帶撥號接入業務。DSL撥號接入：通過DSL用戶可以接入城域網的以太網或者ATM，在BRAS終結。LAN撥號接入：駐地小區內的用戶利用光纖連接以太網及城域網，上網方式為PPPOE，在BRAS終結。（2）Internet專線接入業務。DSL專線：接入方式為DSL專線，在BRAS終結。LAN專線：接入方式為LAN專線，終結位置在三層交換機附近。（3）VPN業務。VLAN互連二層VPN：通過光纖與DSL用戶可以連接以太網及城域網，將802、IQVLAN安裝在城域網二層交換機和三層交換機上，提供更多的連接點供給用戶。

2.3 業務發展需求

IP城域網綜合特點隨著網絡技術的不斷發展取得了一定的成績，尤其是MPLS VPN技術逐漸的成熟，在IP城域網上承載了更多的數據業務。寬帶業務隨著用戶多樣化、個性化業務的不斷擴展，具有以下幾種特點：（1）業務逐漸的高速化與寬帶化。（2）對用戶差異化區分，根據實際情況提供不同等級的業務。（3）一些新型業務在城域網上承載出來，業務逐漸的呈現出綜合化，開展了二層VPN功能和三層VPN功能。（4）集中對用戶和業務進行管理、控制，例如安全控制、速率限制、認證計費等。

3 網絡安全策略

網路絕對安全是比較困難的，因此我們需要根據實際可能出現的安全問題定量分析，制定相應的規范和措施，主要的方法有以下幾點：（1）協議的安全性：網絡協議在城域網中有著多種類型，主要分為各種廣域網、路由協議等，路由器、局域網絡協議也有著眾多的服務，對于一些無關緊要的服務可以選擇適當關閉。對于一些重要的協議要加強保護，避免路由器信息中出現非法路由器加入或者偽造，對網絡運行產生影響或者出現安全漏洞。想要加強網絡安全，就要密碼加密及標記時間，滿足LOG功能等服務。可以使用MD5加密方式或者明碼方式對路由器協議進行校驗。（2）設備的安全性：對遠程登陸及console口進行網絡設備控制，一般采取的方式為密碼校驗，對用戶的訪問權限利用終端訪問控制器進行管理。（3）安全防范工具的使用：安全網關內置的病毒查殺模塊要及時升級，可以及時有效的查殺病毒，加強信息系統的安全性。（4）做好系統備份：一定要對系統內的數據信息及時備份，備份是最有效的安全防范措施，一些重要的數據信息要采取雙備份，備份的數據信息一定要異地保存，保障網絡數據信息的安全性，同時也具有一定的恢復性。（5）用戶分級管理：根據網絡的區域不同進行劃分，主要分為中心級網絡管理員和區域級網絡管理人員，根據不同的網絡范圍職責、不同的功能、不同的權限進行區分。（6）建立完善的網絡維護隊伍：定期組織人員進行培訓，提升維護人員的技術水平，加強網絡維護隊伍的能力。

4 IP城域網網絡維護措施

網絡質量是通信市場競爭中的重要指標，用戶的感知與網絡運行質量有著密切的關系，維護就是效益、維護就是經營，因此我們需要對網絡維護人員的技術水平進一步加強，培養維護人員良好的應急能力，主要措施有以下幾個方面：

（1）對設備的使用環境、性能、結構等熟悉和了解，對設備工作過程中可能存在的安全隱患進行排查，一旦設備出現問題，就要對出現問題的原因進行分析，快速定位設備故障和制定解決措施。（2）網絡資料要準備齊全，網絡資料涉及的內容比較多，包括網絡拓撲圖、組網圖、IP地址分配使用表、客戶資料、設備配置備份信息等。只有保障資料的齊全，才能實現網絡在維護過程中發揮著重要的作用。（3）將傳統的被動維護升級為主動維護，加強日常維護強度，對設備的各項功能實時觀察，及時排除其可能存在的隱患，保障網絡設備運行的安全、穩定。（4）不斷引進先進的維護技術，與廠家及時溝通，不斷提高操作人員的維護水平。（5）對以往發生過的故障要及時記錄，吸取經驗教訓，定期組織人員進行交流，實現操作人員網絡維護能力的提升。（6）操作人員在遇到網絡故障時不要緊張，首先要對故障產生的原因進行分析，制定科學合理的解決措施，對物理連接、數據參數、網絡拓撲進行檢查，針對實際情況對故障采取有效措施。

5 結語

經過以上的研究和分析，網絡維護工作不是一朝一夕就能完成，需要日積月累，隨著網絡技術的不斷發展進步，更多先進的網絡維護技術應運而生，我們要不斷吸取經驗教訓，擴展思路，努力創新，才能實現網絡維護的可持續發展。