樸慶花

（大慶油田信息技術公司，黑龍江 大慶 163000）

我國目前的通信市場競爭十分激烈，電信運營商已經將數據業(yè)務作為新的業(yè)務增長點，通信網絡的IP化趨勢在目前的發(fā)展前景下，變得越來越明細，IP城域網承載了更多新業(yè)務。因此IP城域網的安全、維修對電信業(yè)務的運行安全、穩(wěn)定有著直接的影響，發(fā)揮著重要的作用。只有我們對網絡發(fā)展趨勢高度認識，才能做好網絡維護工作，對IP城域網資源合理優(yōu)化滿足電信業(yè)務網絡需求的基礎上，從城域網各個方面進行科學合理的調配。通過對往年網絡故障案例進行分析研究，制定科學合理的維護措施和預防方案，實現我國通信網絡的可持續(xù)發(fā)展。

1 網絡安全體系結構

IP城域網網絡安全問題是十分重要的一個環(huán)節(jié)，我們需要將多層安全防護安裝在網絡中，同時還要高度重視安裝了安全防護系統(tǒng)后是否會對網速產生影響。針對網絡服務類型與安全需求的不同，安全層次的劃分也存在差異，因此只有選擇科學合理的網絡安全技術，建立完善的安全體系結構，避免出現系統(tǒng)受到惡意攻擊及非法訪問。

（1）通常情況下路由器會提供一些基礎的地址或者服務過濾機，實現初步的端口過濾、IP地址過濾、協議過濾，同時想要避免出現非法TCP、UDP的應用以及非法IP地址入侵，需要建立完善的訪問列表，限制網絡訪問的同時有效對訪問進行控制，形成最基礎的網絡安全屏障。（2）采取加密措施運作路由協議，路由器協議的重要作用就是網路層IP包的尋址，想要路由器在企業(yè)網絡服務中發(fā)揮作用，就要保障路由協議的有效性和準確性，通常情況下路由器使用的協議為ISIS協議和OSPF協議，路由器協議的認證對路由器的影響是比較小的，但是一旦出現路由器接收到錯誤的ISIS和OSPF包，路由器就會因為錯誤的信息造成IP尋徑錯誤，影響企業(yè)網絡的正常運行。因此路由器協議的安全運作在路由器配置時是十分重要的，根據實際情況對骨干路由協議采取加密措施，避免路由器受到外界非法竊取。（3）防火墻在網絡安全方面發(fā)揮著重要的作用，因此我們需要安裝硬件防火墻建立邊緣防御系統(tǒng)，保障城域網網絡區(qū)域與非安全網絡區(qū)域隔離開來。（4）在建立防火墻的同時也要應用入侵偵測和漏洞檢測工具，形成安全監(jiān)測預警系統(tǒng)，實現非法入侵的預警和監(jiān)控。同時IDS可以在網絡遇到黑客攻擊的時候做出積極的反應，第一時間報警及收集證據。IDS與防火墻的有機結合，加強了網絡安全性，有效的降低了網絡可能遇到破壞和攻擊的幾率。（5）對虛擬網絡功能使用交換機進行網段劃分，交通隔離。虛擬網絡一般建立在局域網之內，虛擬網絡的應用可以實現對非法入侵的有效隔離，局域網中的三層交換設備可以明確的區(qū)分出哪些是可以交換地址哪些是非法交換地址?？梢詫AC地址的VLAN建立在比較敏感的區(qū)域，在MAC功能的基礎上杜絕非法主機的登陸。

2 城域網技術的現狀

2.1 IP城域網的結構

IP城域網的結構主要包括匯聚層、接入層、核心層。其中的骨干節(jié)點為城域網的匯聚節(jié)點及核心節(jié)點，核心層的主要組成部分為核心交換設備與傳輸網絡。其主要的功能就是整個城域網路由表的更新及數據參數的轉發(fā)，與IP廣域骨干網相連接，對IP數據口的傳輸速度進一步提升。匯聚層通常使用三層交換機，其性能比較好容量比較大，主要的功能就是控制用戶流量、擴展核心層設備端口。接入層的主要功能是連接不同地點的用戶，是其進入到骨干節(jié)點中，小區(qū)內使用FTTH+LAN技術全覆蓋，連接不同業(yè)務類型用戶，通常情況下使用二層交換機和三層交換機。

2.2 IP城域網業(yè)務

（1）寬帶撥號接入業(yè)務。DSL撥號接入：通過DSL用戶可以接入城域網的以太網或者ATM，在BRAS終結。LAN撥號接入：駐地小區(qū)內的用戶利用光纖連接以太網及城域網，上網方式為PPPOE，在BRAS終結。（2）Internet專線接入業(yè)務。DSL專線：接入方式為DSL專線，在BRAS終結。LAN專線：接入方式為LAN專線，終結位置在三層交換機附近。（3）VPN業(yè)務。VLAN互連二層VPN：通過光纖與DSL用戶可以連接以太網及城域網，將802、IQVLAN安裝在城域網二層交換機和三層交換機上，提供更多的連接點供給用戶。

2.3 業(yè)務發(fā)展需求

IP城域網綜合特點隨著網絡技術的不斷發(fā)展取得了一定的成績，尤其是MPLS VPN技術逐漸的成熟，在IP城域網上承載了更多的數據業(yè)務。寬帶業(yè)務隨著用戶多樣化、個性化業(yè)務的不斷擴展，具有以下幾種特點：（1）業(yè)務逐漸的高速化與寬帶化。（2）對用戶差異化區(qū)分，根據實際情況提供不同等級的業(yè)務。（3）一些新型業(yè)務在城域網上承載出來，業(yè)務逐漸的呈現出綜合化，開展了二層VPN功能和三層VPN功能。（4）集中對用戶和業(yè)務進行管理、控制，例如安全控制、速率限制、認證計費等。

3 網絡安全策略

網路絕對安全是比較困難的，因此我們需要根據實際可能出現的安全問題定量分析，制定相應的規(guī)范和措施，主要的方法有以下幾點：（1）協議的安全性：網絡協議在城域網中有著多種類型，主要分為各種廣域網、路由協議等，路由器、局域網絡協議也有著眾多的服務，對于一些無關緊要的服務可以選擇適當關閉。對于一些重要的協議要加強保護，避免路由器信息中出現非法路由器加入或者偽造，對網絡運行產生影響或者出現安全漏洞。想要加強網絡安全，就要密碼加密及標記時間，滿足LOG功能等服務?？梢允褂肕D5加密方式或者明碼方式對路由器協議進行校驗。（2）設備的安全性：對遠程登陸及console口進行網絡設備控制，一般采取的方式為密碼校驗，對用戶的訪問權限利用終端訪問控制器進行管理。（3）安全防范工具的使用：安全網關內置的病毒查殺模塊要及時升級，可以及時有效的查殺病毒，加強信息系統(tǒng)的安全性。（4）做好系統(tǒng)備份：一定要對系統(tǒng)內的數據信息及時備份，備份是最有效的安全防范措施，一些重要的數據信息要采取雙備份，備份的數據信息一定要異地保存，保障網絡數據信息的安全性，同時也具有一定的恢復性。（5）用戶分級管理：根據網絡的區(qū)域不同進行劃分，主要分為中心級網絡管理員和區(qū)域級網絡管理人員，根據不同的網絡范圍職責、不同的功能、不同的權限進行區(qū)分。（6）建立完善的網絡維護隊伍：定期組織人員進行培訓，提升維護人員的技術水平，加強網絡維護隊伍的能力。

4 IP城域網網絡維護措施

網絡質量是通信市場競爭中的重要指標，用戶的感知與網絡運行質量有著密切的關系，維護就是效益、維護就是經營，因此我們需要對網絡維護人員的技術水平進一步加強，培養(yǎng)維護人員良好的應急能力，主要措施有以下幾個方面：

（1）對設備的使用環(huán)境、性能、結構等熟悉和了解，對設備工作過程中可能存在的安全隱患進行排查，一旦設備出現問題，就要對出現問題的原因進行分析，快速定位設備故障和制定解決措施。（2）網絡資料要準備齊全，網絡資料涉及的內容比較多，包括網絡拓撲圖、組網圖、IP地址分配使用表、客戶資料、設備配置備份信息等。只有保障資料的齊全，才能實現網絡在維護過程中發(fā)揮著重要的作用。（3）將傳統(tǒng)的被動維護升級為主動維護，加強日常維護強度，對設備的各項功能實時觀察，及時排除其可能存在的隱患，保障網絡設備運行的安全、穩(wěn)定。（4）不斷引進先進的維護技術，與廠家及時溝通，不斷提高操作人員的維護水平。（5）對以往發(fā)生過的故障要及時記錄，吸取經驗教訓，定期組織人員進行交流，實現操作人員網絡維護能力的提升。（6）操作人員在遇到網絡故障時不要緊張，首先要對故障產生的原因進行分析，制定科學合理的解決措施，對物理連接、數據參數、網絡拓撲進行檢查，針對實際情況對故障采取有效措施。

5 結語

經過以上的研究和分析，網絡維護工作不是一朝一夕就能完成，需要日積月累，隨著網絡技術的不斷發(fā)展進步，更多先進的網絡維護技術應運而生，我們要不斷吸取經驗教訓，擴展思路，努力創(chuàng)新，才能實現網絡維護的可持續(xù)發(fā)展。