廖 明（國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心四川分中心，四川成都610074）

0 前言

為加強技術(shù)手段建設(shè)，實時監(jiān)測成都國家級互聯(lián)網(wǎng)骨干直聯(lián)點的網(wǎng)間通信質(zhì)量，四川省通信管理局按照工業(yè)和信息化部《國家通信網(wǎng)互聯(lián)互通監(jiān)控中心互聯(lián)網(wǎng)監(jiān)測系統(tǒng)技術(shù)要求》，組織編制《四川省互聯(lián)網(wǎng)監(jiān)測管理可行性研究報告》，并于2014年8月5日上報工業(yè)和信息化部審查，工業(yè)和信息化部于2014年12月8日印發(fā)《關(guān)于四川?。ǔ啥迹﹪壹壔ヂ?lián)網(wǎng)骨干直聯(lián)點監(jiān)測系統(tǒng)建設(shè)工程項目建議書（代可行性研究報告）的批復》（工信部規(guī)函［2014］563號）：“同意建設(shè)主動監(jiān)測子系統(tǒng)、被動監(jiān)測子系統(tǒng)、寬帶測速子系統(tǒng)和監(jiān)控中心子系統(tǒng)，實現(xiàn)成都直聯(lián)點互聯(lián)鏈路性能監(jiān)測、網(wǎng)絡運行安全監(jiān)測、網(wǎng)間不規(guī)范路由監(jiān)測、過網(wǎng)流量流向及業(yè)務監(jiān)測、端到端網(wǎng)絡通信性能監(jiān)測、端到端業(yè)務訪問質(zhì)量監(jiān)測、網(wǎng)間通信障礙責任判定測量等功能”。一套較為科學、系統(tǒng)、全面的互聯(lián)網(wǎng)骨干直聯(lián)點監(jiān)測系統(tǒng)，對成都骨干直聯(lián)點建設(shè)和發(fā)展發(fā)揮著基石和加速器的作用，是鞏固成都國家級通信樞紐地位，實時監(jiān)測分析網(wǎng)間通信質(zhì)量，確保網(wǎng)間通信暢通，保障成都骨干直聯(lián)點安全高效運行的有力技術(shù)手段。

1 建設(shè)分工界面

從監(jiān)測系統(tǒng)的可擴展性、可維護性出發(fā)，梳理確定監(jiān)測系統(tǒng)的建設(shè)維護分工界面。

1.1 省通信管理局負責建設(shè)主要內(nèi)容

監(jiān)測系統(tǒng)的軟硬件及主機房裝修、空調(diào)、-48 V直流電源系統(tǒng)、動力環(huán)境監(jiān)控等配套設(shè)備的安裝、調(diào)測及功能運行。

主動監(jiān)測子系統(tǒng)/寬帶測速子系統(tǒng)的服務器軟件安裝、調(diào)測及功能運行。

1.2 基礎(chǔ)電信企業(yè)負責建設(shè)主要內(nèi)容

主動監(jiān)測子系統(tǒng)/寬帶測速子系統(tǒng)的服務器硬件；被動監(jiān)測子系統(tǒng)配套的分光器、光放大器等。監(jiān)測系統(tǒng)主機房的OTN傳輸設(shè)備、光配線架、直流電源頭柜、入局光纜等。

把成都骨干直聯(lián)點互聯(lián)鏈路割接、分光彩集及傳送到監(jiān)測系統(tǒng)主機房的光配線架上。主動監(jiān)測子系統(tǒng)/寬帶測速子系統(tǒng)服務器到監(jiān)測系統(tǒng)主機房光配線架上的鏈路調(diào)通、調(diào)測和上線運行。

提供企業(yè)省內(nèi)公眾互聯(lián)網(wǎng)IP地址段表、鏈路端到端路由表、互聯(lián)鏈路備案表等數(shù)據(jù)。

2 系統(tǒng)總體架構(gòu)

監(jiān)測系統(tǒng)采用B/S架構(gòu)，提供Web展示界面，實現(xiàn)對用戶信息、角色、權(quán)限、系統(tǒng)參數(shù)、基礎(chǔ)數(shù)據(jù)、監(jiān)測系統(tǒng)設(shè)備信息和管理日志等配置。向用戶提供資源、設(shè)備管理、維護、任務定制、下達和控制等功能。提供統(tǒng)一的監(jiān)控視圖，采用數(shù)據(jù)挖掘技術(shù)，提供數(shù)據(jù)對比分析和趨勢分析功能。

a）門戶。門戶向用戶提供統(tǒng)一的平臺及展示界面，監(jiān)測系統(tǒng)分析處理工作人員通過監(jiān)控中心門戶進入各類業(yè)務監(jiān)測功能模塊，進行業(yè)務的監(jiān)測、分析等處理。

b）應用系統(tǒng)。應用系統(tǒng)在信息安全防護體系和管理體系基礎(chǔ)上，依托數(shù)據(jù)采集、分析層所提供的數(shù)據(jù)，由基礎(chǔ)功能平臺支撐并運行。

c）數(shù)據(jù)分析層。數(shù)據(jù)分析主要對監(jiān)測到的數(shù)據(jù)、寬帶用戶的測試數(shù)據(jù)、網(wǎng)絡安全事件等數(shù)據(jù)進行分析，最終將分析的結(jié)果提供給各子系統(tǒng)進行展現(xiàn)。

d）數(shù)據(jù)庫層。數(shù)據(jù)處理主要是對采集到的鏈路性能質(zhì)量、網(wǎng)絡質(zhì)量、網(wǎng)絡速率、網(wǎng)絡安全事件等數(shù)據(jù)進行加工處理形成統(tǒng)一的數(shù)據(jù)庫。

e）數(shù)據(jù)采集層。數(shù)據(jù)采集層主要是通過分光器、采集服務器、接口對接等設(shè)備，采集鏈路性能質(zhì)量、網(wǎng)絡質(zhì)量、網(wǎng)絡速率、網(wǎng)絡安全事件等相關(guān)重要數(shù)據(jù)。

f）基礎(chǔ)設(shè)施層。基礎(chǔ)設(shè)施層主要搭建各子系統(tǒng)硬件設(shè)施，包括網(wǎng)絡、服務器、存儲、安全等設(shè)備。同時在互聯(lián)單位部署相關(guān)的分光器、采集服務器等設(shè)備進行數(shù)據(jù)采集。

監(jiān)控中心系統(tǒng)作為整個互聯(lián)網(wǎng)骨干直聯(lián)點監(jiān)測系統(tǒng)的數(shù)據(jù)中樞，采用“分層+分區(qū)”的思路進行其網(wǎng)絡架構(gòu)的設(shè)計。監(jiān)控中心系統(tǒng)網(wǎng)絡劃分為核心層與匯聚層，其中匯聚層將傳統(tǒng)的匯聚層與接入層進行整合，匯聚層交換機承擔接入層與匯聚層的雙重工作，實現(xiàn)扁平化的網(wǎng)絡架構(gòu)，降低網(wǎng)絡復雜度，簡化網(wǎng)絡拓撲，提高轉(zhuǎn)發(fā)性能。根據(jù)監(jiān)控中心系統(tǒng)應用與管理的不同需求，利用防火墻和核心交換機對監(jiān)控系統(tǒng)各功能區(qū)域進行邏輯劃分，主要分為數(shù)據(jù)中心區(qū)（含應用接口服務器區(qū)、數(shù)據(jù)存儲區(qū)、管理維護區(qū)）、Web門戶區(qū)、網(wǎng)絡安全區(qū)等。

3 系統(tǒng)建設(shè)方案

3.1 應用系統(tǒng)功能整體架構(gòu)設(shè)計

應用系統(tǒng)功能架構(gòu)如圖1所示。

3.1.1 主動監(jiān)測子系統(tǒng)

主動監(jiān)測是在網(wǎng)絡中通過主動監(jiān)測服務器發(fā)起探測數(shù)據(jù)，并對測試數(shù)據(jù)的轉(zhuǎn)發(fā)情況進行統(tǒng)計分析的一種測試方法。主動監(jiān)測子系統(tǒng)根據(jù)監(jiān)測范圍不同分為骨干網(wǎng)主動監(jiān)測、城域網(wǎng)端到端主動監(jiān)測2個子系統(tǒng)。

a）在四川電信、四川移動、四川聯(lián)通骨干網(wǎng)機房骨干互通路由器側(cè)配置一臺主動監(jiān)測服務器，此服務器放置在監(jiān)測系統(tǒng)監(jiān)控中心機房，通過企業(yè)配套傳輸系統(tǒng)與互聯(lián)邊界路由器連接，實現(xiàn)對骨干網(wǎng)及互聯(lián)鏈路性能的監(jiān)測。數(shù)據(jù)流向為：骨干路由器/互聯(lián)邊界路由器?傳輸網(wǎng)絡?監(jiān)控中心骨干網(wǎng)主動監(jiān)測服務器?路由器?數(shù)據(jù)核心交換區(qū)?主動接口服務器。

b）在各市（州）各互聯(lián)單位城域網(wǎng)機房部署主動監(jiān)測服務器，實現(xiàn)到其他省性能監(jiān)測、省內(nèi)網(wǎng)內(nèi)/網(wǎng)間網(wǎng)絡質(zhì)量及業(yè)務質(zhì)量監(jiān)測、省內(nèi)網(wǎng)絡架構(gòu)、網(wǎng)站架構(gòu)相關(guān)分析以及用于寬帶測速，此63臺主動監(jiān)測服務器由各互聯(lián)單位按照要求自行投資采購配套。數(shù)據(jù)流向為：城域網(wǎng)主動監(jiān)測設(shè)備?各互聯(lián)單位城域網(wǎng)/數(shù)據(jù)專網(wǎng)?傳輸網(wǎng)絡?路由器?數(shù)據(jù)核心交換區(qū)?主動接口服務器。

綜合考慮城域網(wǎng)端到端主動監(jiān)測數(shù)據(jù)的可復用性和數(shù)據(jù)安全性，要求城域網(wǎng)主動監(jiān)測服務器對城域網(wǎng)端到端主動監(jiān)測數(shù)據(jù)進行本機存儲，存儲周期至少達到半年。

圖1 應用系統(tǒng)功能整體架構(gòu)

3.1.2 被動監(jiān)測子系統(tǒng)

被動監(jiān)測是一種由流量/協(xié)議分析設(shè)備或軟件在網(wǎng)絡中對流量或協(xié)議的交互過程進行捕獲及分析的手段。

被動監(jiān)測子系統(tǒng)通過旁路分光彩集互聯(lián)鏈路的流量，對流量進行細粒度的測量，提取和記錄不同網(wǎng)絡層次的網(wǎng)絡流元數(shù)據(jù)；然后根據(jù)用戶的需求，從不同維度對微觀、細粒度的網(wǎng)絡流元數(shù)據(jù)進行統(tǒng)計聚合，從而實現(xiàn)對宏觀、粗粒度的質(zhì)量指標的精確測量。

3.1.2.1 部署方式比較

由表1可知，集中部署的缺點是占用傳輸帶寬較高，但是由于本項目各互聯(lián)單位配套建設(shè)了骨干互通路由器機房到監(jiān)測系統(tǒng)監(jiān)控中心機房的傳輸系統(tǒng)，不需要額外投資，且集中部署具有節(jié)省設(shè)備數(shù)量和機房監(jiān)測設(shè)備采用集中部署的方案。

3.1.2.2 被動監(jiān)測設(shè)備比較

目前市場上被動監(jiān)測設(shè)備主要采用2種方案，一是使用匯聚設(shè)備，然后將流量分散給多臺服務器進行監(jiān)測分析，以單臺處理10G流量能力的服務器計算，如果采集180G互聯(lián)帶寬，由于采集的流量是雙向的，相當于最大360G流量，考慮帶寬利用率，至少需要30余臺采集服務器，且每臺服務器也需要安裝特殊的采集板卡，故在投資成本上并不具備絕對優(yōu)勢。二是采用流量采集分析大型設(shè)備，一般來說此設(shè)備可以通過安裝多塊采集板卡實現(xiàn)大流量的采集，以單臺處理200G流量能力計算，本項目只需2臺設(shè)備即可。

表2示出的是被動監(jiān)測設(shè)備比較。

本項目采用支持大流量采集分析設(shè)備，即接口承載板、大容量交換板以及多核應用處理板高密度集成，所有采集分析工作在一個機箱內(nèi)完成。

表1 被動監(jiān)測子系統(tǒng)部署方式比較

表2 被動監(jiān)測設(shè)備比較

四川電信、四川聯(lián)通、四川移動配套提供分光器、光放大器等設(shè)備，并通過互聯(lián)單位配套的傳輸系統(tǒng)將原始流量傳輸至監(jiān)測系統(tǒng)監(jiān)控中心機房。數(shù)據(jù)流向為：互聯(lián)邊界路由器?分光器?光放大器?互聯(lián)單位傳輸系統(tǒng)?監(jiān)控中心被動監(jiān)測設(shè)備?核心交換機?被動接口服務器。

在四川電信、四川移動、四川聯(lián)通等互聯(lián)單位互聯(lián)互通機房，通過分光器對每一條互聯(lián)鏈路光發(fā)方向分出4路信號（采用1∶4分光器，分光比分別為70%、10%、10%、10%），其中一路光信號（分光比為10%）通過光放大器進行功率放大，然后通過互聯(lián)單位新建OTN傳輸系統(tǒng)提供的多條10G專線，連接到監(jiān)測系統(tǒng)監(jiān)控中心機房的被動監(jiān)測設(shè)備上。

3.1.3 寬帶測速子系統(tǒng)設(shè)計

寬帶接入速率測試需要在城域網(wǎng)部署測速服務器，由于該系統(tǒng)已在城域網(wǎng)端到端主動監(jiān)測采集子系統(tǒng)中部署了主動監(jiān)測服務器，且由于測速服務主要對帶寬需求較高，已部署的主動監(jiān)測服務器性能滿足測速需求，該項目考慮共用。

根據(jù)各互聯(lián)單位或其他服務商提供的各市（州）各種簽約帶寬的比例發(fā)展友好用戶，用戶通過下載客戶端軟件并安裝在電腦上、手機上使用并測試。通過收集大量采集樣本進行多維度的統(tǒng)計分析。

3.2 數(shù)據(jù)處理和存儲以及備份系統(tǒng)設(shè)計

該工程所需數(shù)據(jù)處理、存儲和備份功能由監(jiān)控中心系統(tǒng)數(shù)據(jù)中心承載，主要為主動監(jiān)測子系統(tǒng)、被動監(jiān)測子系統(tǒng)、寬帶測速子系統(tǒng)、企業(yè)數(shù)據(jù)采集子系統(tǒng)提供數(shù)據(jù)匯聚、清洗、轉(zhuǎn)換、存儲、應用處理，并運用相關(guān)性分析、多元分析等數(shù)據(jù)綜合分析方法，得到網(wǎng)絡質(zhì)量、業(yè)務質(zhì)量、運行監(jiān)測等綜合性能指標。

3.3 系統(tǒng)安全設(shè)計

3.3.1 系統(tǒng)安全設(shè)計思路

主要從網(wǎng)絡安全、系統(tǒng)安全、數(shù)據(jù)庫安全、數(shù)據(jù)安全等4個維度進行構(gòu)建。

3.3.2 網(wǎng)絡安全方案

互聯(lián)網(wǎng)接入安全主要包括以下方面。

a）在監(jiān)控中心機房的互聯(lián)網(wǎng)接入路由器上配置訪問控制列表及安全加固，對常見網(wǎng)絡攻擊進行基本防護。首先，應該在路由器上禁用一些不需要的服務，例如IP路由選擇、代理ARP、http server等；第二，為路由器配置強口令，口令需要至少8個字符長，口令中需包含大小寫字母、數(shù)字及特殊符號，并且確保每3個月更換一次；第三，禁用telnet服務，使用較安全的SSH作為維護連接；最后，部署訪問控制列表，限制互聯(lián)網(wǎng)對內(nèi)網(wǎng)常見攻擊端口的訪問。

b）在互聯(lián)網(wǎng)接口處部署防火墻，限制互聯(lián)網(wǎng)用戶對內(nèi)部服務器的訪問。只有訪問服務器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達內(nèi)部服務器。

c）在核心網(wǎng)絡中部署網(wǎng)絡安全關(guān)口監(jiān)測系統(tǒng)，該系統(tǒng)是具備報文檢測、流監(jiān)測、網(wǎng)絡異常通信行為分析、惡意代碼檢測等多種安全監(jiān)測能力和多源異構(gòu)數(shù)據(jù)關(guān)聯(lián)分析能力的一體化網(wǎng)絡安全監(jiān)測系統(tǒng)，通過對關(guān)口流量進行監(jiān)測分析、告警、日志留存、網(wǎng)絡審計，可及時發(fā)現(xiàn)惡意代碼感染、惡意代碼傳播、網(wǎng)站后門、網(wǎng)頁篡改、惡意URL訪問、DDoS攻擊及惡意網(wǎng)絡掃描等網(wǎng)絡安全事件，并可通過分析異常通信行為預警未知安全威脅，如APT攻擊。此外，該系統(tǒng)支持對歷史事件和數(shù)據(jù)的快速査詢和關(guān)聯(lián)分析，從而可對特定網(wǎng)絡安全事件進行全程回溯分析，保障重要用戶網(wǎng)絡安全。

內(nèi)網(wǎng)安全主要采取以下措施。

a）在核心交換機上開啟安全端口功能，使用安全端口，當發(fā)現(xiàn)試圖連接到交換機的計算機MAC地址與配置的MAC地址不同時，交換機將禁止從該端口輸入。

b）將不同服務器劃入不同VLAN，并根據(jù)訪問權(quán)限，在交換機VLAN端口上配置ACL，僅允許必要的流量跨VLAN通信，從而限制內(nèi)部攻擊的范圍。

c）利用網(wǎng)絡安全關(guān)口監(jiān)測系統(tǒng)監(jiān)視網(wǎng)絡流量，進行漏洞掃描，對內(nèi)網(wǎng)設(shè)備全面檢查，并對終端漏洞進行實時升級。

d）購買一套防病毒系統(tǒng)，用于保護數(shù)據(jù)中心系統(tǒng)主機和終端，統(tǒng)一管理網(wǎng)絡內(nèi)防病毒策略定制及升級，自動分發(fā)到網(wǎng)絡內(nèi)所有主機和服務器。

網(wǎng)絡設(shè)備安全加固主要包括如下6方面：賬號權(quán)限加固、網(wǎng)絡服務加固、網(wǎng)絡訪問控制加固、審計策略加固、惡意代碼防范、Bug修復。

3.3.3 系統(tǒng)安全方案

操作系統(tǒng)安全包括賬號權(quán)限加固、網(wǎng)絡服務加固、數(shù)據(jù)訪問控制加固、網(wǎng)絡訪問控制、口令策略加固、用戶鑒別加固、審計策略加固、漏洞加固等。

主機物理安全主要包括以下幾方面。

a）限制通過網(wǎng)絡對主機的IPMI端口進行訪問，為上述端口配置密碼，并且在核心交換機上配置訪問控制列表，僅允許指定的IP地址訪問主機的IPMI端口。

b）將主機安裝在有鎖的機柜中，并保持機柜在鎖定狀態(tài)。

c）設(shè)置屏保密碼，并自動鎖定主機。

主動監(jiān)測服務器/測速服務器部署在各互聯(lián)單位城域網(wǎng)機房，需對服務器做相應的安全加固，包括只開放需要端口，并在iptables中做IP限制。同時需各互聯(lián)單位做好主動監(jiān)測服務器在各自網(wǎng)絡環(huán)境中的安全保護。

在網(wǎng)絡安全區(qū)部署一套網(wǎng)絡關(guān)口審計系統(tǒng)進行安全審計，加強對業(yè)務系統(tǒng)的審計，并解決帶寬濫用、訪問非法網(wǎng)站感染病毒等問題，方便事后追查取證。

3.3.4 數(shù)據(jù)庫安全方案

主要包括操作系統(tǒng)安全、賬戶安全、密碼安全、訪問權(quán)限安全、日志記錄、加密、管理員客戶端安全、安全補丁。

3.3.5 數(shù)據(jù)安全方案

主要包括數(shù)據(jù)加密存儲、數(shù)據(jù)容錯存儲、數(shù)據(jù)備份。

3.4 系統(tǒng)告警設(shè)計

系統(tǒng)告警主要包括以下功能：告警數(shù)據(jù)的采集與預處理、告警呈現(xiàn)、告警處理、告警影響分析、告警查詢與統(tǒng)計、系統(tǒng)自身管理等功能。

a）告警監(jiān)測。采用SNMP采集方式，監(jiān)測系統(tǒng)硬件設(shè)備的CPU利用率、內(nèi)存利用率，磁盤利用率以及進程情況。

b）告警呈現(xiàn)。包括告警流水窗口，拓撲呈現(xiàn)。支持告警確認、告警清除、查看告警詳細信息等操作。

c）告警處理?？赏ㄟ^圖形參數(shù)配置窗口設(shè)置告警信息的過濾條件，同時定制相應的內(nèi)部和外部觸發(fā)命令，如發(fā)E-mail、短信等，實現(xiàn)告警數(shù)據(jù)的自動響應處理。

d）告警通知。當監(jiān)測系統(tǒng)設(shè)備出現(xiàn)告警時，通過手機、E-mail郵箱等途徑，向省通信管理局相關(guān)人員進行告警通知。當成都國家級互聯(lián)網(wǎng)骨干直聯(lián)點網(wǎng)間互聯(lián)鏈路出現(xiàn)通信障礙及帶寬利用率大于70%時，增加對四川電信、四川移動、四川聯(lián)通等單位的維護人員及管理人員的告警通知。告警內(nèi)容、告警時間等可自動發(fā)送到告警接收人員。

4 網(wǎng)絡系統(tǒng)設(shè)計

4.1 企業(yè)配套傳輸方案

4.1.1 主動監(jiān)測系統(tǒng)帶寬需求

骨干網(wǎng)主動監(jiān)測：四川電信、四川移動、四川聯(lián)通3家互聯(lián)單位的每個互聯(lián)互通機房（共有3×2=6個）的互通路由器需通過已建設(shè)OTN傳輸系統(tǒng)提供的1條10G專線光路，連接到監(jiān)控中心的主動監(jiān)測匯聚以太網(wǎng)交換機上，再連接至主動監(jiān)測服務器。

城域網(wǎng)端到端主動監(jiān)測：四川電信、四川移動、四川聯(lián)通3家互聯(lián)單位所有部署了城域網(wǎng)端到端主動監(jiān)測服務器的機房，需對城域網(wǎng)監(jiān)測服務器提供1個至少1 000M以上的電口或光接口，連接至各互聯(lián)單位城域網(wǎng)，再通過各互聯(lián)單位內(nèi)部網(wǎng)絡匯聚，再上聯(lián)至企業(yè)側(cè)OTN傳輸設(shè)備，經(jīng)傳輸系統(tǒng)提供的不低于100M帶寬的專線鏈路，連接到監(jiān)控中心邊界路由器。

4.1.2 被動監(jiān)測系統(tǒng)帶寬需求

在四川電信、四川移動、四川聯(lián)通3家互聯(lián)單位的每個互聯(lián)互通機房，通過分光器對每一條互聯(lián)鏈路進行分光（可采用1∶4分光器，分光比分別為70%、10%、10%、10%），其中一路光信號（分光比為10%）通過光放大器進行信號功率放大，隨后通過新建的互聯(lián)單位OTN傳輸系統(tǒng)提供的10G專線光路，連接到監(jiān)控中心的被動監(jiān)測系統(tǒng)采集服務器上。

4.1.3 寬帶測速系統(tǒng)帶寬需求

寬帶測速系統(tǒng)監(jiān)測服務器與主動監(jiān)測服務器共用，因此鏈路帶寬與城域網(wǎng)主動監(jiān)測系統(tǒng)鏈路合設(shè)共用。

4.1.4 返遷終端帶寬需求

該工程考慮在四川省通信管理局百花辦公樓部署監(jiān)測系統(tǒng)的返牽終端，因此返牽終端通過原有傳輸網(wǎng)絡至各互聯(lián)單位，經(jīng)新建OTN傳輸系統(tǒng)提供的100M業(yè)務帶寬專線，連接至監(jiān)控中心系統(tǒng)。

4.2 路由部署方案

外部路由：根據(jù)對端的具體情況設(shè)置靜態(tài)路由，通過缺省路由連接各監(jiān)控中心網(wǎng)絡與各互聯(lián)單位網(wǎng)絡。

內(nèi)部路由：監(jiān)控中心系統(tǒng)各功能子區(qū)均通過2臺三層核心交換機進行互聯(lián)，通過劃分VLAN區(qū)分不同子系統(tǒng)。系統(tǒng)內(nèi)部不運行路由協(xié)議，所有VLAN間路由由核心交換機執(zhí)行并進行維護。同時，基于系統(tǒng)可靠性考慮，2臺核心交換機所有的VLAN端口配置為VRRP端口組進行冗余保護。

5 結(jié)論及評價

5.1 明確責任分工，發(fā)揮整體效能

按照監(jiān)測系統(tǒng)建設(shè)時的分工界面，確定與企業(yè)的維護界面，從而明確了責任分工，科學合理有序地分配維護資源，發(fā)揮相關(guān)單位整體效能，提高工作效率和工作質(zhì)量，有效地防止因系統(tǒng)維護內(nèi)容重疊而發(fā)生的工作扯皮現(xiàn)象。

5.2 設(shè)備集中部署，增強系統(tǒng)可靠性

監(jiān)測系統(tǒng)軟硬件集中部署安裝在監(jiān)控中心機房，做到真正的集中管理維護，升級快捷，一致性好，有效降低管理難度，降低IT資源消耗。減少被動監(jiān)測設(shè)備等硬件數(shù)量，節(jié)約項目投資，降低能耗。有利于快速部署、維護管理，有效降低故障率，縮短故障修復時間，增強系統(tǒng)可靠性。可以很好地實現(xiàn)數(shù)據(jù)安全以及有效防范病毒。

5.3 部署告警系統(tǒng)，提高工作效率

告警管理系統(tǒng)部署完成后，極大提高系統(tǒng)設(shè)備維護人員的工作效率，減輕工作負荷，縮短設(shè)備故障處理時間，降低軟硬件故障率和維護成本。

5.4 方案設(shè)計創(chuàng)新性，具有推廣價值

成都國家級互聯(lián)網(wǎng)骨干直聯(lián)點監(jiān)測系統(tǒng)的創(chuàng)新建設(shè)，貫徹了工業(yè)和信息化部的管理創(chuàng)新思路，從工作實際出發(fā)，解決了系統(tǒng)設(shè)備集中部署、建設(shè)維護責任劃分不清所遇到的實際困難，為省通信管理局快速建設(shè)監(jiān)測系統(tǒng)，有效利用監(jiān)測系統(tǒng)應用功能提供支持，有力支撐服務四川省互聯(lián)網(wǎng)的統(tǒng)籌發(fā)展、高效管理和安全運行，全面推進網(wǎng)絡強省建設(shè)。

監(jiān)測系統(tǒng)經(jīng)過1年的運行，穩(wěn)定可靠，易于推廣使用，能夠為其他省（市）通信管理局建設(shè)監(jiān)測系統(tǒng)提供借鑒。