分而治之　构建电信级网络管理解决方案.docVIP

　　分而治之　构建电信级网络管理解决方案～教育资源库 　　随着目前网络规模和业务的快速发展，网络管理系统的作用越来越重要、也越来越复杂，如何保证网管系统能够724小时对全网进行监控维护，在构建电信级网络的同时如何构建电信级网管？成为一个重要的课题。 　　一个典型的管理网络主要有如下三个层次组成:网管通信网络，主要是网管和设备之间的通道网络；网管站，主要包括系统硬件，操作系统、数据库、网管软件等；网管应用，主要是合法的用户对网络可以进行合法操作。 　　一个高可靠、稳定的网管系统的建设和运行，需要综合考虑各方面因素，华为公司数通网管根据多年建设和运维经验，提出了一整套保证系统稳定可靠运行的分层方案。 　　网管通道隔离 　　在网管网络建设中主要有如下三种方式： 　　1.采用带外网管通道 　　网管网络建设大部分采用交叉原则，网管网需要和管理对象提供的业务网络独立，这种组网就是带外网管。 　　采用带外网管一方面保证了网管的可靠性，在管理对象发生故障时，由于网管通路独立于这个发生故障的被管设备，保证网管的运维指令能够到达被管理设备，保证了网管的可靠性。另一方面，目前的数通网络主要提供数据服务，采用带外网管，可以保证网管网和业务网络的物理隔离，从而保证了网管网的安全性。 　　采用带外网管一般采用独立的D网络(DDN、X.25、E1、FR)，网管服务器和被管对象通过路由器和DTU联成一个专网，传送网管信息；在设备侧，连接被管理设备的以太管理接口(一般设备都提供该接口)。 　　对于较高要求网络和设备，可以采用网管网络的多路由备份的方式保证设备和网管间通道的畅通。 　　2.组建单独的网管VPN网络 　　目前VPN技术发展迅速，包括VPDN和专线VPN技术，网管网络减少比较普遍的是专线VPN技术，包括GRE、IPSec、MPLS、VLL，由于网管对象一般包括接入层、汇聚层甚至骨干层的设备，一般接入的设备不支持VPN，主要通过VLAN进行二层隔离，网管信息采用单独的VLAN上行，在网络进行VLAN规划的时候需要考虑。在汇聚层(Router或者BAS)设备要求支持VPN和VLAN，且能够实现VLAN到VPN标签的映射，保证网管信息能够通过VPN网络传递到和网管服务器连接的VPN网关设备。 　　3.采用防火墙将网管站和公众业务网络隔离 　　网管网络和业务网络没有隔离情况下，在网管设备和被管对象之间增加防火墙。防火墙提供基于算法的高速ACL查找、静态和动态黑名单过滤、基于代理技术的SYNFlood防御、基于ISPKeeper专利技术的流控等特性。 　　网管站加固 　　1.操作系统情况 　　1）数通网管支持Windoicrosoft SQL Server安全属性参数。 　　2）在UNIX服务器上，病毒相对没有Windows泛滥，安全的重点是防止利用UNIX的服务和协议进行DOS和DDOS等攻击。在网管服务器，可以只保留和网管有关的服务和端口，关闭和网管无关的服务和端口，避免非法用户通过其他服务访问网管服务器。 　　这其中主要有四种方法：关闭和N2000网管无关的服务器和端口；修改services文件，关闭相关的端口；修改id.conf文件，关闭相关网络服务；修改tel方式的ACL，只有在ACL列表的工作站才能tel到网管服务器上；修改tel的提示信息，屏蔽操作系统信息，同时提供版权声明等。 　　2.网管数据冗余备份 　　网管数据库的备份 　　数通网管系统提供一个独立的图形界面的数据库备份工具，可以对网管数据库进行自动和手工备份和恢复，备份介质可以为磁盘或者外接的磁带。 　　磁盘镜像和磁盘阵列 　　针对Solaris，磁盘镜像通过主用磁盘和备用磁盘互为镜像的方式，网管系统对主用磁盘的所有操作，都同步的对其备用磁盘进行操作，一旦主用磁盘失效，网管系统就采用备用磁盘进行工作。 　　针对Windows，目前PC服务器缺省配置了RAID(Redundant Array of Independent Disks)卡，可以把多块独立的物理硬盘按照不同的组合形成一个硬盘组(逻辑硬盘)，从而提供比单个硬盘更高的存储性能和提供数据冗余。 　　远程网管数据复制 　　网管数据的本地备份的策略，为了进一步提高网管数据的安全性，提高容灾能力，需要网管系统提供远程数据复制的方案，从而能够自动将运行系统中的数据备份到异地，达到容灾备份的效果。 　　3.网管站冗余备份 　　网管站的冗余备份从位置上来说，包括本地双机备份和异地双机备份，主要是运行主备两个网管服务器，双机软件在检测到主用网管服务器故障后，能够切换到备用网管服务器上；同样，在备用网管服务器发生故障后，能够自动切换到主用的网管服务器上。 　　网管应用安全管