张文瑾

摘要:文章介绍了组建本地网集中监控系统的必要性、集中监控系统的接入方案、组网结构、网络安全策略及发展前景。

关键词:本地电话网;集中监控;网络安全

中图分类号:TN915.07 文献标识码:A文章编号:1006-8937(2009)20-0094-02

随着通信网络的迅速发展以及电信市场的逐步开放,电信行业的市场竞争越来越激烈,为更好地适应国内电信市场的竞争环境,满足各种新技术、新业务的要求,对本地网的网管与集中监控提出了更高的要求。

将内蒙十二个本地网内的所有交换机接入到统一的本地电话网集中监控管理系统,从而实现省、市两级网管系统联网、全区信息汇总、远程支援等功能,促进维护体制改革,有效地改善网络运行质量,加强网络的安全性,提高全网技术、支援的利用率,进而取得更好的经济和社会效益。

1系统接入方案

1.1系统简介

全区组建统一的本地电话网集中监控管理系统,在区公司网管中心组建一套省级电话网管系统,与各本地网进行互联。接入范围包括所有长途局、关口局、汇接局、市话端局。该系统能够实现告警和话务数据的集中采集和监视、局数据集中制作、重大技术故障的集中支撑和维护等功能。各本地网集中监控管理系统还可以与本地网综合业务管理系统互联,实现电子工单的自动施工。

呼伦贝尔市本地网网管集中监控系统的接入节点主要包括一个长途局、两个关口局、两个智能汇接局和三十余个市话端局。

1.2传输解决方案

对所有交换机统一采取TCP/IP协议接入网管系统,考虑节省投资,传输通路利用本地网计费帐务系统的传输通路,盟市至区中心由各盟市计费帐务系统的核心路由器与区网管中心路由器以星型连接。

1.3交换机接入方案

网管系统实现对交换机的监控维护需要交换机提供网管接口,逻辑上每个市话端局需要提供四个端口,分别用于告警、话务采集、操作维护和专门进行工单自动执行的业务口。对于汇接局和关口局则只需提供三个端口。

EWSD、S1240机型的交换机提供的OMT、MMC、MPTMON接口为标准的RS232串口。EWSD交换机由于OMT标准串口资源有限,利用X.25口通过PAD设备转换成五个标准串口再接入网管系统。交换机原有的OMT端口留作本地操作维护。串口型交换机接口的传输距离通常在20米以内,一般不能满足交换机至网管系统的传输距离,且远端接入用调制解调器形式实现运行不稳定,因此对串口型交换机统一采用终端服务器将四个串口转成一个以太网口,通过计费帐务系统的广域网路由器接入网管中心的核心交换机实现接入。

其他国产机型的交换机直接将局域网接口通过计费帐务系统的广域网接入网管系统。

2网管系统组网结构及网络安全策略

呼伦贝尔联通本地网网管系统拓扑图如图1所示。

①网络结构。全区共十二个本地网计费账务系统,各盟市节点采用两台Cisco7206路由器实现冗余备份,并提供E1接口与下属各旗县局相连。旗县交换机的TCP/IP端口通过本地网计费帐务系统的Cisco2924网络交换机接入Cisco2620路由器,该路由器通过E1中继接入盟市Cisco 7206核心交换机。区中心配置两台华为NE80高端路由器,区中心和各盟市各配两台华为S3026局域网交换机,与计费帐务系统的核心路由器之间实现冗余连接。

盟市的业务节点要求均匀地接入到两台S3026交换机上,通过冗余实现最大限度的可靠性,S3026交换机上的两个GE口用来连接业务服务器,其他的链路均为FE。两台S3026交换机直接通过双FE Trunk实现互联。区中心两台NE高端路由器和盟市Cisio 7206核心路由器之间通过FE链路实现互联,以最大程度地提高系统的可靠性。

②系统的安全隔离及分级控制方案。根据网络的总体需求,为网络中的各应用系统采取VLAN+ACL+IP地址规划的隔离方案:

在局域网交换机上通过划分VLAN的方式隔离不同应用系统;在路由器上以VLAN Trunking的方式连接局域网交换机,并为每个VLAN(应用系统)分配一个以太网子接口;在各路由器以太网子接口上引入ACL规则,为了更好地防止越权访问和实现业务隔离,采用接口出包过滤,防止非本业务和没有权限的源主机访问本网络;对各应用系统采用连续的地址分配策略,易于通过ACL规则对合法数据流的源/目的地址组合进行匹配。

③路由协议和路由策略。盟市中心和区中心之间采用OSPF动态路由协议实现路由可达,区中心和盟市中心互联的路由器接口划分为一个Area0。在县级节点的Cisco 2620路由器上配置到盟市中心的上行缺省静态路由,在盟市中心的Cisco7200路由器上配置到县级节点的下行静态路由。在盟市中心的Cisco 7200路由器上将到各旗县的静态路由经过汇聚后引入到OSPF动态路由协议中。

④网络安全。网络安全包括业务安全、设备安全和数据安全等几个方面。对网络设备的User和Privileges状态进行存取控制;限制对网络设备的SNMP和TELNET;配置动态防火墙,防止外部对网络设备进行的TCP SYN攻击;对不安全的端口上将路由协议进行Passive,防止不必要的路由泄露;对互连设备和路由信息交换进行相互认证。

⑤网络可靠性和负荷分担。对广域网和局域网的关键链路、网络设备的关键板件网管通道实现冗余备份,通过OSPF协议和特殊的Metric配置实现广域网多链路负荷分担和备份措施,在局域网内部通过VRRP或者HSRP实现主机到路由器之间冗余链路,实现路由器之间的设备冗余备份和链路冗余备份,同时通过VRRP或者HSRP以及局域网内部合理的缺省网关分配方案实现路由器之间的负荷分担。

3 结 语

本地网网管系统是一个分布于广域网环境、不间断运行的实时处理系统,能够实现远程操作维护、告警实时监控、话务分析、电信交换资源管理、维护管理、网管系统自身的监视管理和安全管理等功能,能够提供完善的功能和处理性能,充分地利用系统硬件平台的资源,合理开发网管系统的软件功能,提高对电信网的维护管理水平,保证电信网的稳定、高效优质的运行,使电信网更好地为广大用户提供优质服务。

参考文献:

[1] 曹淼,杨广强.网络融合下3G基站接入方案研究[J].现代电信科技,2009,(7).