網絡管理及安全準入機制研究

趙旺飛，王 齊

（中國移動通信集團廣東有限公司珠海分公司，廣東 珠海 519015）

0 引言

以珠海移動的網管網絡為例，目前網管網連接核心網、數據網、無線網、統一網管平臺（網絡管理系統支撐平臺）和眾多操作維護終端。①對設備的遠程維護通過telnet方式實現，缺乏統一的設備呈現視圖和操作界面；②在關聯設備出現故障后才能發現網管網設備故障，導致網管網絡故障處理不及時，影響了對其他網絡設備的監控、管理和維護；③網管網多達21個C類子網，IP地址的管理均通過EXCEL文檔記錄和維護，更新不及時容易導致 IP地址分配重疊，造成網絡隱患；④接入層操作維護終端眾多，管理難度大，需要定期對接入終端進行安全巡檢和掃描，確保網管網絡安全，管理成本高且容易產生接入安全隱患。

1 設計目標

重點考察設備拓撲自動發現和性能分析、IP地址自動搜集與管理、基于介質訪問控制（MAC，Media Access Control）地址的安全準入控制機制這三個主要方面的內容，實現網絡安全管理和維護。

2 系統體系結構設計

網絡管理系統通過采集網絡設備數據，進行故障監控和性能分析，實現故障的主動監控、故障及時跟進和故障及時處理。通過簡單網絡管理協議(SNMP，Simple Network Management Protocol)協議及設置搜索范圍，采用多種算法、迅速搜索整個網絡內的所有節點、自動勾畫出整個網絡的準確第二層拓撲圖——物理拓撲圖[1]，包括交換機、服務器、防火墻、協轉等，以及設備間的冗余連接、備份連接、均衡負載連接等等。通過物理拓樸圖即可對各設備的工作狀態、線路流量、線路通斷狀態、IP地址資源、服務資源的分布、設備負載與端口流量等等進行全天候的7×24小時實時監控管理，并產生相關的聯動告警信息與分析預測報表，如圖 1所示。

圖1 網絡管理平臺體系結構

3 系統關鍵技術研究

3.1 設備拓撲自動發現

網絡層拓撲發現算法的任務就是發現被管網絡中的子網、路由器以及它們之間的連接關系[2-3]。通過分析路由器上的路由表，就可以知道網絡層的拓撲結構[4-5]。

節點搜索算法原理：圖的廣度優先遍歷

①從種子節點開始，搜索所有與該節點相關連的設備，把搜索到的設備信息存入鄰接表頭節點中，并在種子節點的鏈表中插入該節點的位置信息，表示頭節點與該位置的節點相關連；

②對鄰接表中的頭節點，從前向后逐個進行檢查，如果某頭節點的深度不超過指定深度，并且是可達的，則搜索與其相連節點，對搜索到的節點，如果已經在鄰接表中的，不需再存儲該設備的信息，只需在該頭節點的鏈表中插入搜索到的節點的位置信息的表節點。若搜索到的節點未在鄰接表中存儲，則把該節點的設備信息存儲到鄰接表中，并且在該頭節點的鏈表中插入搜索到的節點的位置信息的表節點；

③重復②，直到鄰接表中所有頭節點深度超過指定深度。

上述算法，從指定的種子節點出發，搜索指定深度內所有與之相關聯的活動設備，并把他們的信息和關聯情況存儲起來，根據存儲的信息，繪制網絡拓撲圖。

網管網絡設備模擬應急演練：通過 Web網頁方式展示網管網絡的網絡運行情況，如圖2為正常情況下部分設備運行的圖例。

圖2 正常狀態時網管網絡拓撲呈現

在網頁界面上顯示各鏈路的通斷情況，通過使用不同顏色來呈現語音和信令鏈路的通、斷或丟包情況。在網管網絡應急故障演練過程中，珠海3845-2路由器重啟時，平臺馬上監測到3845-2路由器到其下掛各設備鏈路中斷，但接入層設備運行正常，目前該項應用已經在網管網絡應急故障演練中得以驗證。

3.2 IP地址管理

IP地址管理模塊提供對地址資源信息的多樣、清晰、靈活的組織；可以從多角度、全方位的進行對IP地址資源信息的各種查詢、統計等操作；管理員可以通過該模塊提供的功能完善的管理功能，實現對地址資源的分配、回收、維護等各種管理；同時提供各種相關的功能（諸如日志、各種輔助工具等）。同時通過事務接口提供對電子運維流轉工單的支持，可以為工單分配地址和端口等資源。

IP地址管理模塊的主流程如下：

①系統首先按照IP地址樹圖、私網IP地址樹圖、地理樹圖、私網地理樹圖和業務樹圖分別呈現地址資源;

②提供瀏覽方式和編輯方式的選擇功能，瀏覽方式下用戶只能查詢相關的地址資源，編輯方式下用戶可以分配、編輯、回收各種地址資源;

③對于編輯方式下的分配、編輯、回收等對后臺數據庫有影響的操作，可以讓用戶選擇是在事務模式下增刪改還是直接進行增刪改。事務操作可以回滾或者一次性提交地址資源的變化情況到數據庫；直接操作則把地址資源的變化直接提交到后臺數據庫;

④對于用戶的每次分配、編輯、回收操作，自動記錄這些操作，方便對地址資源變化情況進行查詢，如圖3所示。

圖3 IP地址模塊操作流程

3.3 MAC地址準入控制機制

隨著公司網絡規模的迅猛增長，珠海網管網絡接入規模也在不斷擴大，現有接入端口近千個[6]，接入設備的管理基本上依賴人工方式，通過用戶報障再解決的被動式管理。同時公司員工、合作單位及外來人員終端接入網絡無任何控制手段，如發生病毒攻擊或非法用戶入侵將無跡可尋，對網絡安全管理帶來極大壓力。

技術實現方案如圖4所示。

圖4 基于MAC地址的準入控制機制

（1）終端接入網絡的準入控制

保證只有合法終端才可以接入到網絡中，非法的終端將被在所接入的交換機上被阻斷。阻斷非授權終端接入網管網，在網絡最邊緣消除安全隱患。對授權的終端在設定允許接入 MAC地址(WHO)、允許接入時間(WHEN)、允許接入交換機（端口）(WHERE)后接入網絡。針對接入層網絡最邊緣處設備實行準入控制，如檢測到非法設備接入，即控制方式為接入端口關斷。

（2）終端接入網絡的審計管理

采集并記錄沉淀終端接入網絡的所有相關信息，管理員通過任意一種信息就可以查詢到終端接入時的所有相關聯信息；

（3）異常網絡接入行為實時告警

對于異常網絡接入行為進行實時告警，以便管理員及早發現安全隱患。

4 結語

在設計中通過應用上述方案，有效實現了網絡管理信息化技術在移動網管網中的落地，實現了設備拓撲自動發現、系統性能分析、告警主動監控和實時通知、IP地址集中化精細化管理和基于MAC地址的準入控制機制，有效地確保了網管網絡設備的易管理、易配置和易維護。

[1] 姜永廣,田永春, 一種無線自組織網絡動態路由協議[J].通信技術,2010,43(06):254-156,159.

[2] SON MH，JOO BS，KIM BC,et al.Physical Topology Discovery for Metroethemet Networks[J].ETRI Journal,2005,27(04)：355-366.

[3] 方飛, 李云.無線異構網絡的垂直切換判決算法[J].通信技術,2010,43(06):137-139.

[4] 劉海華, 王萍萍.基于生成樹算法的鏈路層拓撲發現研究[J].計算機技術與發展, 2008,18(05):97-112.

[5] 劉鵬，馬琳，廉新科.網絡安全設備的統一管理方法研究[J].信息安全與通信保密, 2010.

[6] 陳亮.MAC地址準入控制系統[M].珠海：[s.n.],2009:1-10.