资源预览内容
第1页 / 共10页
第2页 / 共10页
第3页 / 共10页
第4页 / 共10页
第5页 / 共10页
第6页 / 共10页
第7页 / 共10页
第8页 / 共10页
第9页 / 共10页
第10页 / 共10页
亲,该文档总共10页全部预览完了,如果喜欢就下载吧!
资源描述
长庆通信公司技术论文2003年科技论文接入网络的管理与维护王祥波2003-11-20目 录一、问题提出二、接入网络对病毒及黑客软件的控制三、网络的动态监控管理四、用户管理五、存在的问题 一、问题提出:目前网络在构建的基本结构分为三种结构:核心层、汇聚层、接入层。具体的说:西安信息中心所有的服务器、路由器、交换机属于核心层网络。延安、庆阳、靖边、银川等四大节点的路由器、交换机属于汇聚层设备,统一提供各个地区的网络汇聚。而各种小区宽带网络、ADSL接入、拨号上网等等都属于接入层,是接入用户的最后一段网络。在大量的网络维护工作中,技术人员主要的维护管理核心层和汇聚层,而对于接入层的管理是薄弱的环节。目前各个分公司都在公司的指导下建设小区宽带网络,但是接入层网络并不是核心层能够完全监控的。然而接入层所接入的大量用户在毫无安全措施的情况下将对整个网络形成巨大的安全隐患。鉴于接入网络在网络中所处的位置,直接面对大量的用户,如果在维护管理方面缺乏有效的管理,将对核心网络造成难以预计的后果。同时对于用户权益的保证、通信公司的收益也会产生巨大影响。此外目前各个分公司都在大力加强接入网络的建设,发展用户,随之而来的管理和维护工作将是长期而困难的。接入网络的管理是建立在系统设备基本功能的基础上,辅助以相应的网管系统和用户资料,并要求技术人员能够动态的对网络突发事件作出及时有效的反应,因此技术人员必须了解设备及各种软件,同时在接入网络建设和用户发展过程中必须抓好用户资料的管理。使整个网络做到平稳运行、用户资料有据可查、定期与不定期监控相结合,保证用户的权益和通信公司的效益。接入网络管理的基础:接入网络动态管理(流量监控、软件监控、IP包分析等)用户管理技术支持用户资料网管系统设备支持二、接入网络对病毒及黑客软件的控制目前病毒、黑客主要攻击的操作系统是Windows系列及相应的SQLsever数据库等。特别是WindowsXP、Windows2000。由于系统本身的漏洞,可攻击造成可能。对于这些攻击,主要是利用TCP/IP端口进行,因此针对此类攻击的防范方法主要有:1、接入网络的接入交换机S3526(楼层交换机RS2016没有安全功能)在交换机上利用设备本身提供的安全功能:quidwaysystem-gurad enable 通过该功能能够为交换机防范“冲击波”病毒提供一定的防范能力。(S3526虽然具有三层功能,但是对ACL等支持有限,不能提供完全的访问控制功能,因此如果出现大量的端口攻击将造成汇聚层交换机Cisco3550负担沉重。)2、DSLAM系统由于DSLAM系统本身采用Linux系统,采用系统自带的防火墙IPCHain制定相关的策略:/sbin/ipchains -I input -p icmp -j DENY/sbin/ipchains -A input -p tcp -dport 135 -j DENY/sbin/ipchains -A input -p tcp -dport 137 -j DENY/sbin/ipchains -A input -p tcp -dport 139 -j DENY/sbin/ipchains -A input -p tcp -dport 593 -j DENY/sbin/ipchains -A input -p udp -dport 69 -j DENY/sbin/ipchains -A input -p udp -dport 1433 -j DENY/sbin/ipchains -A input -p udp -dport 1434 -j DENY/sbin/ipchains -A input -p udp -dport 4444 -j DENY该策略主要针对今年爆发的“冲击波”等病毒,135、137等端口都是病毒容易攻击使用的端口。将该配置添加至系统启动文件“startup.post”,系统启动配置后,策略生效。3、拨号系统长庆通信公司采用的拨号服务器主要有华为QuidwayRefiner8010及北电A8000。由于技术原因A8000没有提供ACL策略,因此只在Refiner8010实施安全策略:Quidway(config)#firewall enableQuidway(config)#firewall default permitQuidway(config)#access-list permit ip any any 10.78.1.2 0Quidway(config)#access-list 1 permit ip any 61.185.215.132 0Quidway(config)#access-list 1 permit tcp any any eq smtpQuidway(config)#access-list 1 permit tcp any any eq pop3Quidway(config)#access-list 1 permit tcp any any range 21 20Quidway(config)#access-list 1 deny ip any anyQuidway(config)# radius filter 1策略只允许拨号用户使用Http、Ftp、E-mail、DNS等常用服务,其他则予以关闭。4、DHCP服务器DHCP服务器是庆阳接入网络中唯一的服务器。由于该服务器硬件配置低:P500/64M+Win2000Server,如果染毒或系统工作异常,将造成大面积以太网用户中断,因此进行了主机加固工作。具体方法是:安装诺顿防病毒软件,并每星期定时更新采取主机加固。采取安全审核机制。四、用户管理在网络运行过程中,用户是最不稳定的因素。病毒、木马等等可能对网络造成损害的因素,通常是用户在上网过程中由于无意识而引入的。因此网络维护和管理的一项主要工作是:当对网络进行检测发现可疑流量及IP地址时,能够及时提供相应用户的资料,以便于处理。同时由于接入网络针对最终用户,而且数量巨大,由于工作人员的疏忽或者各种人情等关系,造成用户私自使用而没有缴纳费用,以至于对通信公司的效益造成影响。因此用户管理也是接入网络管理中一项极其重要的工作。用户管理最重要的工作是建立用户资料。目前在接入网络中,拨号用户能够直接计费,容易控制。主要管理工作是针对ADSL、以太网用户。1、ADSL用户借助于ADSL功能较为齐全的网络管理系统-EMS,可以将每一端口所对应的用户数据(包括用户姓名、电话号码)与端口一一对应。目前庆阳分公司通过LG DSLAM系统上网的用户约有500户,可以全部采用此类用户管理。其余的ADSL用户通过茶山Mini系统上网,由于该系统主要面对小容量用户,没有提供LG DSLAM相同的功能,需要另外建立用户数据库。LG DSLAM的用户管理界面:2、以太网用户以太网用户管理的最大困难在于交换机的端口与用户姓名、电话信息之间没有直接的联系。即使用户私自接通网络,如果没有监督机制,也无法发现用户是否使用了网络资源。因此技术人员利用当前较为流行的Web管理,开发出了简易的管理系统。该系统采用B/S结构,利用DHCP服务器作为后台数据库服务器以降低成本。管理系统界面如下:该系统主要分为两部分,分别规划有不同的用户名和密码:1、营业收费模快:通过营业组用户名及密码,进入模块。主要功能是添加当天新登记用户的信息,系统按次序提供外线安装调试端口。删除销户用户。系统自动累计用户数。系统能够查询用户详细信息。其界面如下:2、技术组模快:通过技术组用户名及密码,进入模块。主要功能是通过营业组提供的当天新增用户、销户用户及外线安装需要使用的端口,调用小区交换机自带网管系统,对端口进行开放、关闭工作。其中开户/销户调用交换机的界面如下:该系统结合通信公司业务流程,营业组登记用户、技术组对用户进行开户、销户,并相互监督,防止用户利用工作疏忽或人情等各种关系私自使用网络资源。四、网络的动态监控管理任何网络策略都是根据特定网络环境情况制定的,策略需要根据具体情况来设定或者在网络正常时期为减轻设备负担而予以关闭。为此技术人员需要通过各种软件检测、IP包分析、设备负载等监控手段定期对网络进行检测,设定相应的策略。1、 以太网在S3526上设定“monitor port(监视口)”,派技术人员在该端口上不定期的连接测试PC,使用Ethreal等软件进行抓包分析,检测用户上网数据是否有异常。一旦出现异常流量按以下步骤予以处理。是否正常通过DHCP服务查询MACY/N N Y通过交换机查询端口网络正常通知用户处理或上门处理以下是实际处理过的故障。经软件抓包分析检查发现地址为192.168.204.23的用户计算机染毒,大量发送icmp包给未知网段61.199.180.0 。通过检查相应的MAC确定用户为钻采院一用户,电话通知其杀毒没有结果后,暂时中断其网络并派人上门杀毒。经过处理后,该用户计算机正常。2、DSLAM系统DSLAM的IP板内部采用LINUX系统,其中有命令“Tcpdump”能够提供用户上网数据连接情况:其中的信息显示了用户当前的连接,虽然用户通过NAT最终以10.78.2网段的地址上网,但是通过该工具仍然能够显示用户的192.168网段的源地址。通过源地址能够查找出用户使用的端口,继而查出相应用户。通过这样定期和不定期的检查,庆阳分公司在10月份总共查找出23个感染病毒较严重的ADSL用户。3、策略的动态开放定期检查设备的负荷情况,以提供网络正常与否的直接说明。例如接入交换机,由于庆阳分公司小区以太网用户较少,交换机负荷一般在12%-20%之间,如果大大高于这个指标说明有异常流量,需要分析IP包后制定相应的措施。如果在正常范围内,则关闭策略,以降低设备负担。DSLAM系统所带用户较多,负荷一般在60%75%,如果高于75%系统处理速度变慢,用户上网速度将受影响,此时应检查造成负荷上升的原因。目前发现处理的情况一般是由于“冲击波”等病毒。此时制定相应的策略,关闭可疑端口。如果负荷在正常范围内,则关闭策略,以降低设备负担以上管理均是根据实际情况定期或不定期的检查,以开放或关闭相关的策略。通过动态管理,能够及时调整网络配置,较低设备运行负担,保证上网数据的干净。五、存在的问题1、设备缺陷:小区以太网使用的华为S3526交换机在功能上有所欠缺,可控制粒度不够。目前还不能提供完善的ACL访问控制,使的对于病毒、黑客软件的攻击没有较为全面的解决。而茶山系统虽然设备运行稳定,但是没有提供类似于LG系统的用户数据管理。LG和茶山系统内部虽然有防火墙功能,但是限于内存等因素,仅依靠IP板来完成网络数据的处理及安全功能,在实际应用中可能造成负荷过重。2、在小区网络建设初期,布线时没有将用户端口与用户家庭位置严格对应,造成后期管理困难,即使有网管系统,也会造成开户、销户错误。3、所有的接入网络应该通
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号