提高管理水平的資料通訊論文
提高管理水平的資料通訊論文
1光傳輸網中資料通訊網路的設計原則分析
資料通訊網也被稱之為DCN,它是電信管理網,交換機與路由器是該網路的兩大核心技術,透過DCN網能夠對傳輸網路內的網元、終端以及裝置進行互聯,進而實現電信傳輸網路內部的裝置維護與業務管理自動化。由於DCN網涉及的業務相對較多,加之其覆蓋範圍比較廣,故此,在對DCN網路進行設計的過程中,應當遵循以下幾點原則。
(1)安全性原則
對於DCN網路而言,它的安全性主要包括兩方面的內容:一方面是網路整體的安全性,另一方面則是子網的安全。其中網路整體安全涉及的範圍較廣,具體是指網路在面對安全威脅的前提下,能夠保持完整性的能力;子網的安全涉及的範圍相對較小,具體是指在同一個網路環境下,按照不同的業務在邏輯上建立的各子網之間的安全。
(2)可靠性原則
就光傳輸網路而言,它不但是整個電信網的基礎,而且還是各種電信功能產生的前提,所以要求DCN網路必須具備足夠的可靠性。鑑於此,在DCN網路設計時,應當盡最大的可能避免設計方面的缺陷,這樣能夠有效減少網路發生故障的機率,同時,還要保證網路故障的恢復時間在容忍限度以內,這也是網路設計時必須注意的問題之一。
(3)管理性原則
由於DCN網路具有非常廣的覆蓋範圍,這在一定程度上增大了該網路的管理以及維護難度。因此,在DCN網路設計的過程中,必須充分考慮到網路所處區域及相關維護人員的具體分佈情況,從而合理設定網路節點,以免導致管理真空的情況發生。此外,在網路管理方面,不但要實現全網集中管理,而且還應當保證各個區域內均能夠實行分級管理與維護。
(4)可擴充套件性原則
從傳輸技術的發展歷程看,其具有更新速度快的特點,在傳輸技術不斷向前發展的同時,DCN網路接入的各種新業務也隨之大幅度增加,若是網路不具備良好的可擴充套件性,則會在新業務不斷增多後,導致無法有效接入網路,這樣一來便需要對網路進行改擴建或是重新建設,由此會產生出巨大的費用,並且還會造成前期建設網路的費用白白浪費。所以,在對DCN網路進行設計時,必須確保網路具有良好的可擴充套件性,這樣能夠避免網路重複建設造成的資金浪費。
2光傳輸網中資料通訊網路的設計與安全實現研究
2.1DCN網路設計要點
(1)網路結構設計
在傳輸網的建設過程中,為了方便網路集中管理,便將各個傳輸系統的匯接點全部設定在各省、市中心。因此,在對DCN網路進行設計時,必須充分考慮這一情況,並應當儘可能不再單獨為DCN網路建立機房。具體可以採用三層網路結構體系,藉此來將網路按照實際功能分為以下三層,即骨幹層、分佈層、接入層,這樣便可以實現兼顧網路的設計原則,該方法也是國內建設大型網路結構時普遍採用的設計方法之一。可以將省傳輸網幹線或是支線傳輸系統匯接最多的節點機房作為DCN網路的骨幹層,並在該機房內設定核心路由器,同時可將一些相對比較重要的市中心傳輸機房作為分佈層路由器設定的節點,而比較偏遠和較為分散的縣市節點機房則可作為接入層路由器的設定節點。由於骨幹層的重要性較高,所以該層應當至少設定兩臺路由器,在具體安裝時,應當將兩臺路由器分別裝在不同的節點機房當中,這樣有助於提高機房裝置的容災性。若是將兩臺路由器全部安裝在一個機房內,路由器之間應當採用雙鏈路的方式進行連線。如果骨幹層的路由器超過兩臺時,應當以環路的方式對路由器進行組網,由此能夠進一步提高路由器的安全性和可靠性;在進行骨幹層與分佈層之間的連線時,可以將骨幹層內的一臺路由器作為核心,並以此作為下一級網路的中心點,向鄰近的市進行輻射式連線,從而組成星形網路結構;在進行分佈層與接入層之間的連線時,可以採取就近接入的方式,這不但有助於簡化網路接入,而且還能有效提高網路的擴充套件性。在DCN網路內的所有使用者、伺服器以及安全裝置等全部透過路由器與交換機進行連線,對於網路內不同的業務型別可以採取設定子網的`方式進行劃分。
(2)在DCN網的三層架構內,骨幹層是連線不同區域的橋樑,處於網路核心位置
由於骨幹層需要跨越多個區域網路,結合內外部閘道器協議,所以必須採取效能穩定、速度快的路由協議。OSPF協議可將互連的網路劃分為若干區域,能夠滿足網路分層建設的需求。在OSPF協議規劃下,骨幹層中的所有路由器構成主區域,使得分佈層和接入層路由器在其它域實現了獨立執行,提高了網路維護的簡便性。分佈層和接入層的連線也可採用OSPF協議,對於結構單一的網路而言,還可以使用靜態協議提高網路執行效率。
2.2DCN網路安全技術措施的實現
(1)路由器的安全設定
路由器是相對安全的連線內部網路與外部網路的橋樑,其工作在OSI協議的第三層,具備網路定址的功能。若攻擊者利用路由器的漏洞對資料通訊網路進行破壞,那麼就會對網路安全性造成嚴重影響,甚至會導致網路癱瘓。為此,必須對路由器採取必要的安全措施:①防範系統漏洞。及時更新廠家釋出的安全補丁,保證路由器作業系統是最新版本。同時,避免將路由器控制檯設定成空閒時間自動退出狀態,限制會話訪問,從而防範惡意埠與路由器建立連線,攻擊路由器的系統;②口令設定。確保使用加長的混合口令,並對口令設定使用期限,定期更換口令。通常情況下,攻擊者很容易破解較短的口令,或長期未更改的口令,所以必須重視口令的設定。尤其在更換重要網路管理人員時,一定要同時更換所有口令。此外,在設定口令時,應設成加密口令,防止攻擊者進入路由器更改口令。
(2)防火牆的安全設定
防火牆是內部網與外部網、專用網與公共網之間在介面上構造的保護屏障,主要由服務訪問規則、包過濾、驗證工具和應用閘道器構成。透過設定防火牆,能夠在內部網與外部網之間建立起安全閘道器,使所有資料在交換時都必須經過防火牆,同時防火牆要對所有資料進行檢測和審查,根據既定的安全策略決定資料的轉發或丟棄,從而達到有效防範非法使用者入侵內部網的目的,如TCP和UTP協議下的防火牆控制。TCP是一種可靠的通訊協議,工作在OIS第三層,建立TCP連線時必須透過三方握手的方式交換所需引數,其確保其可靠性。網路內主機在向遠端主機發送資料之前,需要先發送一個沒有設定確認的請求,在遠端主機響應的情況下,會向網路內主機發送確認標記。透過讓防火牆審查和監測確認標記,就能夠確保TCP的連線處於受控狀態。由於UTP屬於不可靠協議,所以不能採取上述控制方法,而是應當採取埠控制的方式。
(3)交換機的安全設定
在網路中,交換機處於主機與路由器之間,是網路裝置和主機的直接接入點。如果交換機面臨安全問題,那麼網路內部就會出現執行癱瘓。交換技術工作在OSI的第二層,對交換機造成的安全問題經常發生在鏈路層。①VLAN中繼攻擊的安全防範。這種攻擊現象一般發生在有需求建立中繼通道的交換機上。針對VLAN中繼攻擊所採取的防範措施較為簡單,只需要使用者預先在網路建設中設定VLAN,就能夠達到防範DTP協議漏洞的效果。同時也可以透過關閉所有埠的DTP功能,從而消除攻擊者獲取DTP協議的風險,以達到安全防範的目的;②生成樹協議攻擊的安全防範。在生成樹建立時,STP協議會以交換(BPDU)資訊包的形式對網路狀態進行不斷完善,最終確定最佳通訊路徑。攻擊者通常會攻擊交換漏洞,使網路迴路形成廣播風暴。針對這種情況,在設計和維護網路時,應最大限度地避免交換回路的形成,有效遏制交換資料在網路內的迴圈轉發。
3結語
綜上所述,本文以光傳輸網路為基礎,對資料通訊網路的設計要點與安全技術措施的實現進行了詳細論述。由於資料通訊網路屬於大型的網路結構,從而使得其設計相對比較複雜,並且整個網路對安全性的要求也相對較高,透過交換機與路由器的安全設定,以及防火牆技術的應用,能夠在一定程度上確保通訊網路的安全。