【摘 要】DCN（Data Communication Network）中文名為數(shù)據(jù)通信網(wǎng)，是電信運(yùn)營(yíng)商內(nèi)部的營(yíng)業(yè)、計(jì)費(fèi)、OA門(mén)戶、網(wǎng)管數(shù)據(jù)傳輸、ERP等幾乎所有生產(chǎn)、業(yè)務(wù)系統(tǒng)的傳輸通道和通信平臺(tái)。對(duì)于電信行業(yè)來(lái)說(shuō)，DCN網(wǎng)絡(luò)是保障信息應(yīng)用系統(tǒng)的整合策略的實(shí)施前提，在企業(yè)信息化建設(shè)中具有不可或缺的地位。事實(shí)證明，只有保障了DCN網(wǎng)的穩(wěn)定和安全，才能有良好的生產(chǎn)環(huán)境和工作效率。所以各個(gè)運(yùn)營(yíng)商把DCN網(wǎng)絡(luò)的建設(shè)重點(diǎn)放在了安全性上。

【關(guān)鍵詞】DCN網(wǎng)；互聯(lián)網(wǎng)出口；信息安全

1.統(tǒng)一互聯(lián)網(wǎng)出口的背景

DCN（Data Communication Network）中文名為綜合業(yè)務(wù)數(shù)據(jù)支撐網(wǎng)，吉林省聯(lián)通公司DCN網(wǎng)作為多個(gè)應(yīng)用系統(tǒng)的支撐網(wǎng)絡(luò)，一直運(yùn)行著大量的業(yè)務(wù)，其中包括全省的網(wǎng)管系統(tǒng)、電話充值系統(tǒng)、財(cái)務(wù)系統(tǒng)、物流系統(tǒng)、客服系統(tǒng)、辦公自動(dòng)化系統(tǒng)、全省綜合營(yíng)銷(xiāo)系統(tǒng)、全省集中計(jì)費(fèi)帳務(wù)系統(tǒng)、桌面電視電話系統(tǒng)等，是一個(gè)綜合的承載網(wǎng)，與各個(gè)業(yè)務(wù)子系統(tǒng)都有接口，并且已經(jīng)延伸到省內(nèi)的各縣市公司和主要機(jī)房。因此，DCN的正常運(yùn)轉(zhuǎn)是支撐企業(yè)業(yè)務(wù)正常運(yùn)行的必要條件。

隨著各業(yè)務(wù)系統(tǒng)的蓬勃發(fā)展，吉林省聯(lián)通公司的網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，系統(tǒng)也越來(lái)越開(kāi)放；與此同時(shí)，網(wǎng)絡(luò)攻擊、黑客技術(shù)水平的不斷提升，主要是病毒越加多樣化。這些新型的網(wǎng)絡(luò)病毒，無(wú)法迅速找到解決的方法，導(dǎo)致DCN網(wǎng)面臨外部入侵，增加很多安全威脅，影響系統(tǒng)的正常運(yùn)作。

DCN網(wǎng)經(jīng)過(guò)安全建設(shè)，以及集團(tuán)統(tǒng)一進(jìn)行的AD域部署，已經(jīng)在DCN網(wǎng)建設(shè)安全上初具規(guī)模。同時(shí)，在分公司已經(jīng)部署了終端安全接入的網(wǎng)關(guān)，及相關(guān)防火墻設(shè)備，進(jìn)行終端安全防護(hù)以及地市DCN網(wǎng)的安全防護(hù)。

目前終端進(jìn)行了嚴(yán)格的安全部署，已經(jīng)從系統(tǒng)上滿足了終端的安全保障。工作人員可以結(jié)合實(shí)際情況，進(jìn)行行為控制，但從實(shí)際上看，系統(tǒng)上基本沒(méi)有統(tǒng)一的訪問(wèn)互聯(lián)網(wǎng)的部署方式。通過(guò)各自的接入方式訪問(wèn)公網(wǎng)，這樣，整個(gè)DCN網(wǎng)的終端安全帶來(lái)很大的隱患。沒(méi)有統(tǒng)一出口，統(tǒng)一的防護(hù)策略，使DCN網(wǎng)防護(hù)存在漏洞。

2. 網(wǎng)絡(luò)現(xiàn)狀

全省DCN網(wǎng)設(shè)置長(zhǎng)春市和吉林市兩個(gè)省級(jí)中心節(jié)點(diǎn)，由兩臺(tái)高性能的三層核心骨干交換機(jī)（華為S8512）和兩臺(tái)核心骨干路由器（華為NE80）組成雙星型結(jié)構(gòu)。長(zhǎng)春二樞紐節(jié)點(diǎn)作為主用省中心節(jié)點(diǎn)，吉林市節(jié)點(diǎn)作為備用省中心節(jié)點(diǎn)，兩個(gè)省中心節(jié)點(diǎn)之間路由器NE80采用GE鏈路相連；另外將省網(wǎng)通大廈作為全省的業(yè)務(wù)中心，網(wǎng)通大廈至兩個(gè)省級(jí)中心節(jié)點(diǎn)采用GE（到主用省中心）/155M （到備用省中心）鏈路相連，形成全省的核心網(wǎng)絡(luò)。包括四平聯(lián)通在內(nèi)的各地市節(jié)點(diǎn)本地核心路由器為2臺(tái)NE40。分公司核心路由器NE40分別通過(guò)155M POS 上聯(lián)到兩個(gè)省中心節(jié)點(diǎn)NE80路由器，實(shí)現(xiàn)鏈路冗余備份。

總體組網(wǎng)結(jié)構(gòu)如圖1。

3. 網(wǎng)絡(luò)建設(shè)方案

為保證DCN網(wǎng)上各項(xiàng)業(yè)務(wù)正常運(yùn)行，同時(shí)滿足辦公需求，在省公司新增華為NE40路由器和Eudemon1000防火墻，包括四平聯(lián)通在內(nèi)的各地市DCN網(wǎng)節(jié)點(diǎn)核心路由器擴(kuò)容155M POS端口，通過(guò)設(shè)置在各分公司的西門(mén)子ASON傳輸設(shè)備分別上聯(lián)至省中心二樞紐七樓DCN機(jī)房新增NE40路由器，在省公司公網(wǎng)出口上統(tǒng)一部署出口策略和NAT策略，實(shí)現(xiàn)各地市DCN網(wǎng)接入全省統(tǒng)一互聯(lián)網(wǎng)出口，保障DCN網(wǎng)絡(luò)安全。

DCN網(wǎng)統(tǒng)一互聯(lián)網(wǎng)出口結(jié)構(gòu)圖見(jiàn)圖2。

4. 上網(wǎng)控制配置

缺省情況下，公司DCN網(wǎng)絡(luò)的用戶是無(wú)法通過(guò)統(tǒng)一互聯(lián)網(wǎng)出口訪問(wèn)互聯(lián)網(wǎng)的，需要在地市連接省公司的主用核心路由器NE40上進(jìn)行配置，具體配置如下：

4.1配置可以上網(wǎng)用戶的規(guī)則

配置命令：

rule-map intervlan 規(guī)則名稱 ip 原ip 反掩碼 目的ip 反掩碼

（注：規(guī)則是應(yīng)用在新加的pos接口上3/0/0，并且是對(duì)入方向控制，對(duì)應(yīng)的規(guī)則可以從原來(lái)出口防火墻上獲?。?/p>

例子如下：

rule-map intervlan r-1 ip any 133.200.108.188 0.0.0.0 //允許地址

rule-map intervlan r-2 ip any 133.200.106.150 0.0.0.0 //允許地址

rule-map intervlan r-3 ip any 133.200.130.109 0.0.0.0 //允許地址

rule-map intervlan r-1000 ip any any //拒絕其它所有

4.2關(guān)聯(lián)EACL

配置命令：

eacl eacl的名稱 規(guī)則名稱 permit或deny

例子如下：

eacl internet r-1 permit

eacl internet r-2 permit

eacl internet r-3 permit

eacl internet r-1000 deny //最后一條是deny

4.3應(yīng)用到POS端口上

在一個(gè)新建POS接口上應(yīng)用EACL

配置命令：

access-group router eacl eacl-name

例子如下：

interface pos 3/0/0

access-group router eacl internet

4.4取消可以上網(wǎng)用戶的上網(wǎng)功能

配置命令：

undo eacl eacl的名稱 規(guī)則名稱

undo rule-map規(guī)則名稱

例子如下：

undo eacl internet r-1

undo rule-map r-1

5. 統(tǒng)一互聯(lián)網(wǎng)接入情況

目前四平聯(lián)通共有443個(gè)終端接入了統(tǒng)一互聯(lián)網(wǎng)出口，代表IP地址及配置命令如下：

rule-map intervlan r-1 ip any 10.62.0.101 0.0.0.0

eacl internet r-1 permit

rule-map intervlan r-2 ip any 10.62.0.164 0

eacl internet r-2 permit

rule-map intervlan r-3 ip any 133.200.124.193 0

eacl internet r-3 permit

rule-map intervlan r-443 ip any 133.200.108.165 0

eacl internet r-443 permit

6 .結(jié)語(yǔ)

吉林省聯(lián)通公司DCN網(wǎng)統(tǒng)一出口工程的實(shí)施，實(shí)現(xiàn)了全省各地市分公司訪問(wèn)互聯(lián)網(wǎng)并進(jìn)行統(tǒng)一管理，實(shí)現(xiàn)了互聯(lián)網(wǎng)訪問(wèn)可管、可控。統(tǒng)一出口具備高速帶寬、強(qiáng)大的性能，可以滿足全省各級(jí)公司日益增長(zhǎng)的通信需求。更重要的是，通過(guò)部署統(tǒng)一互聯(lián)網(wǎng)出口，統(tǒng)一進(jìn)行安全防護(hù)，更好的防護(hù)了公網(wǎng)給DCN網(wǎng)帶來(lái)的攻擊危害，進(jìn)一步鞏固了公司的信息安全。

參考文獻(xiàn)：

[1]王景巖，李鳳有 通信公司局域網(wǎng)絡(luò)安全的優(yōu)化 黑龍江科技信息 2011-05-15

[2]黃瑋 江西吉安聯(lián)通DCN網(wǎng)絡(luò)優(yōu)化方案設(shè)計(jì)與實(shí)現(xiàn) 南京郵電大學(xué)碩士論文 2013-03-01

作者簡(jiǎn)介：李喬（1982.4），男，吉林四平人，碩士研究生，工程師，研究方向?yàn)樾畔踩?/p>