房永興

（遼河油田通信公司網(wǎng)絡(luò)管理維護(hù)中心，遼寧 盤錦 124010）

隨著網(wǎng)絡(luò)使用日趨普及,企業(yè)為了控制和集成化管理企業(yè)生產(chǎn)經(jīng)營活動時的所有信息,增強(qiáng)企業(yè)核心競爭力,不斷提高企業(yè)信息化程度。企業(yè)數(shù)據(jù)量的加大給網(wǎng)絡(luò)帶寬帶來的巨大壓力,各種惡意軟件對企業(yè)網(wǎng)絡(luò)安全不斷的挑戰(zhàn),都成了企業(yè)網(wǎng)絡(luò)正在面臨的棘手問題。通信公司隨著通信技術(shù)的發(fā)展不斷壯大,為提高渠道覆蓋范圍大量增加網(wǎng)點個數(shù),使企業(yè)局域網(wǎng)絡(luò)負(fù)載量加大,同時信息的安全問題也變得日趨嚴(yán)重。因此,通信公司希望企業(yè)局域網(wǎng)絡(luò)提供更高的可用性和可靠性,也就是要求局域網(wǎng)絡(luò)進(jìn)行相應(yīng)網(wǎng)絡(luò)的優(yōu)化。

1 通信公司局域網(wǎng)絡(luò)的現(xiàn)狀況

隨著數(shù)據(jù)業(yè)務(wù)的高速發(fā)展和城市信息化的推進(jìn),除了承載傳統(tǒng)的電信業(yè)務(wù)之外,還應(yīng)能提供其它業(yè)務(wù),滿足多樣化傳輸需求,并能針對不同用戶的實際需求,提供差別化服務(wù)。根據(jù)技術(shù)發(fā)展趨勢和市場需求,構(gòu)建一個大容量、多業(yè)務(wù)、可擴(kuò)展和開放式的高可靠性網(wǎng)絡(luò)傳輸統(tǒng)一平臺,將成為網(wǎng)絡(luò)發(fā)展的方向和演進(jìn)的最終目標(biāo)。如何打造一個能夠適應(yīng)技術(shù)發(fā)展趨勢、大容量、多業(yè)務(wù)、可擴(kuò)展、開放式、高可用性的網(wǎng)絡(luò)平臺一直是通信從業(yè)人員的工作目標(biāo)。通信公司為用戶提供多種業(yè)務(wù)和技術(shù)服務(wù),勢必建設(shè)多套業(yè)務(wù)系統(tǒng),各業(yè)務(wù)網(wǎng)絡(luò)單獨組網(wǎng)復(fù)雜且低效,造成網(wǎng)絡(luò)資源嚴(yán)重浪費、設(shè)備和運營成本相對較高,以及業(yè)務(wù)提供緩慢等問題,無法滿足用戶的靈活性、高帶寬等需求。

2 通信公司局域網(wǎng)絡(luò)存在的問題

2.1 運維方式較簡單

主要在用戶反映網(wǎng)絡(luò)出現(xiàn)問題時候才通過TELNET到設(shè)備上查看相關(guān)信息。對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)帶寬利用率無法實現(xiàn)實時檢測,缺少有效的網(wǎng)絡(luò)管理工具。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)過于復(fù)雜

在日常運行維護(hù)的過程中,不能簡單地進(jìn)行救火式維護(hù)。為了保證各系統(tǒng)和網(wǎng)絡(luò)設(shè)備全天不間斷運行,網(wǎng)絡(luò)系統(tǒng)管理員除了定期對設(shè)備進(jìn)行巡視檢查外,還按照前期制定的《作業(yè)維護(hù)計劃》進(jìn)行日常例行的網(wǎng)絡(luò)配置、運行性能、日志等信息進(jìn)行檢查,確保設(shè)備能夠正常為用戶提供網(wǎng)絡(luò)服務(wù)。因為采用雙機(jī)冗余、互為熱備份模式,這樣就可以最大程度將影響降至最低。盡管系統(tǒng)管理員每天都主動維護(hù)設(shè)備,但是設(shè)備、系統(tǒng)或網(wǎng)絡(luò)還是會經(jīng)常會發(fā)生一些故障或障礙。每次發(fā)生的故障或障礙可能都不相同,這就需要系統(tǒng)或網(wǎng)絡(luò)管理員要有深層次的判斷排查能力,還要借助于一些專業(yè)工具。但有時故障的現(xiàn)象實在讓人無法判斷,因為各種排查手段都使用過后,發(fā)現(xiàn)結(jié)果卻是自相矛盾,無法解釋和無法定位的問題。

3 通信公司域網(wǎng)絡(luò)優(yōu)化的原則

3.1 穩(wěn)定性

隨著網(wǎng)絡(luò)用戶的不斷增加,用戶之間的互訪量較大,網(wǎng)絡(luò)中的廣播風(fēng)暴占據(jù)較大的流量,通過對相對訪問量較高的群組進(jìn)行VLAN的劃分設(shè)置,提高帶寬利用率,控制廣播風(fēng)暴。并且通過ACL訪問控制列表,拒絕部分?jǐn)?shù)據(jù)包,達(dá)到屏蔽部分流量的目的。

3.2 安全性

隨著計算機(jī)系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來越復(fù)雜，系統(tǒng)規(guī)模越來越大，特別是Internet的迅速發(fā)展，存取控制、邏輯連接數(shù)量不斷增加，軟件規(guī)?？涨芭蛎洠魏坞[含的缺陷、失誤都能造成巨大損失。又因為局域網(wǎng)用戶眾多，隨意篡改IP地址、惡意訪問等情況時有發(fā)生，存在較多的安全隱患和威脅。因此，要特別重視網(wǎng)絡(luò)的安全性。通過對服務(wù)器、路由器、防火墻的設(shè)置和優(yōu)化，可以有效的提高網(wǎng)絡(luò)的安全性。

4 通信公司局域網(wǎng)絡(luò)優(yōu)化的方法

4.1 穩(wěn)定性優(yōu)化

4.1.1 訪問控制列表(ACL)

訪問控制列表是使用在路由器接口的指令列表。這些指令列表可以告訴路由器對哪些數(shù)據(jù)包要收、對哪些數(shù)據(jù)包要拒絕。至于數(shù)據(jù)包是被接收還是拒絕,可由源地址、目的地址、端口號等的特定條件來決定。ACL可以過濾網(wǎng)絡(luò)中的流量,它是控制訪問的一種技術(shù)手段。主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法的使用和訪問。在這里我們使用的是擴(kuò)展IP訪問控制列表。擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項,包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級等。

4.1.2 VLAN技術(shù)

VLAN中文名稱為“虛擬局域網(wǎng)”。虛擬局域網(wǎng)邏輯上把網(wǎng)絡(luò)資源和網(wǎng)絡(luò)用戶按照一定的原則進(jìn)行劃分，把一個物理上實際的網(wǎng)絡(luò)劃分成多個小的邏輯的網(wǎng)絡(luò)。這些小的邏輯的網(wǎng)絡(luò)形成各自的廣播域，也就是虛擬局域網(wǎng)VLAN。這一技術(shù)主要使用于交換機(jī)和路由器中,但主流應(yīng)用還是在交換機(jī)上。VLAN能更好地滿足企業(yè)發(fā)展的需要，可突破物理網(wǎng)段的限制來建立部門網(wǎng)絡(luò)，對網(wǎng)絡(luò)通信進(jìn)行隔離，由于VLAN的特點,一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN內(nèi),從而可以控制流量、提高網(wǎng)絡(luò)帶寬的利用率、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

4.2 安全性優(yōu)化

防火墻是一個或一組系統(tǒng),防火墻系統(tǒng)能由路由器,也能由個人主機(jī)、主系統(tǒng)或者一批主系統(tǒng)構(gòu)成,它的作用是把網(wǎng)絡(luò)或子網(wǎng)同可能被網(wǎng)絡(luò)以外的一些系統(tǒng)濫用的服務(wù)和協(xié)議分隔區(qū)分開。它能提高機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性,能加強(qiáng)網(wǎng)絡(luò)之間相互訪問的控制,能防止和避免外部用戶非法使用內(nèi)部網(wǎng)絡(luò)的資源,能保護(hù)內(nèi)部網(wǎng)絡(luò)的設(shè)備不被惡意破壞,能防止內(nèi)部網(wǎng)絡(luò)的重要數(shù)據(jù)信息不被竊取。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制技術(shù),它能允許授權(quán)的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時將你拒絕的人和數(shù)據(jù)隔離在門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞內(nèi)網(wǎng)的重要信息。防火墻作為內(nèi)部網(wǎng)與外部網(wǎng)之間相互聯(lián)接的訪問控制設(shè)備,一般是被安裝在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)連接的點上。防火墻系統(tǒng)也可以位于等級較低的網(wǎng)關(guān),以便為某些數(shù)量較少的主系統(tǒng)或子網(wǎng)提供保護(hù)。

5 網(wǎng)絡(luò)安全配置

5.1 修改系統(tǒng)缺省服務(wù)和端口

按照最小特權(quán)原則,關(guān)閉不必要的服務(wù)和端口,以提高設(shè)備和網(wǎng)絡(luò)的安全性。

5.2 加密設(shè)置

對網(wǎng)絡(luò)設(shè)備進(jìn)行密碼設(shè)置,配置為強(qiáng)加密和啟用密碼加密；Service password_encryption//啟用加密服務(wù)；No enable password//禁用弱加密的特權(quán)密碼。

5.3 企業(yè)局域網(wǎng)內(nèi)IP地址與物理地址綁定

出于方便管理及網(wǎng)絡(luò)安全的考慮,為防止未通過授權(quán)的IP地址訪問網(wǎng)絡(luò)。將局域網(wǎng)內(nèi)IP地址與網(wǎng)卡MAC物理地址進(jìn)行綁定,是很有效的方法。同時也是防范ARP攻擊的有效手段。

5.4 限制企業(yè)局域網(wǎng)內(nèi)互聯(lián)網(wǎng)權(quán)限的開通

限制網(wǎng)絡(luò)訪問權(quán)限也是保護(hù)網(wǎng)絡(luò)使用安全的重要措施。通過訪問控制列表可以實現(xiàn)為使用外網(wǎng)權(quán)限的人的IP地址開放互聯(lián)網(wǎng)權(quán)限。其他人只開放內(nèi)網(wǎng)訪問權(quán)限。最大限度的保護(hù)網(wǎng)絡(luò)。

6 結(jié)語

綜上所述，對于通信公司局域網(wǎng)絡(luò)安全存在的問題,結(jié)合具體網(wǎng)絡(luò)優(yōu)化技術(shù)，以分析總結(jié)的方式給出與通信公司網(wǎng)絡(luò)相適應(yīng)的優(yōu)化分析方法。局域網(wǎng)絡(luò)安全優(yōu)化是一個長期的過程,它貫穿于網(wǎng)絡(luò)發(fā)展的全過程。只有保障了局域網(wǎng)絡(luò)的穩(wěn)定和安全,才能更好的發(fā)揮局域網(wǎng)絡(luò)的潛力、提高工作的效率，達(dá)到最佳的運行效果。

[1]張國鳴，唐樹才.網(wǎng)絡(luò)實用技術(shù).北京：清華大學(xué)出版社，2002

[2]Daniel Nssar.網(wǎng)絡(luò)運營保障技術(shù).北京：電子工業(yè)出版社，2001

[3]Douglas E.Comer.omputer Networks and Internets.Prentice Hall，2009

[4]張國鳴，嚴(yán)體華.網(wǎng)絡(luò)管理員教程.北京：清華大學(xué)出版社，2006

[5]譚浩強(qiáng).計算機(jī)網(wǎng)絡(luò)教程.北京：電子工業(yè)出版社，2003