论文部分内容阅读
【摘 要】DCN(Data Communication Network)中文名为数据通信网,是电信运营商内部的营业、计费、OA门户、网管数据传输、ERP等几乎所有生产、业务系统的传输通道和通信平台。对于电信行业来说,DCN网络是保障信息应用系统的整合策略的实施前提,在企业信息化建设中具有不可或缺的地位。事实证明,只有保障了DCN网的稳定和安全,才能有良好的生产环境和工作效率。所以各个运营商把DCN网络的建设重点放在了安全性上。
【关键词】DCN网;互联网出口;信息安全
1.统一互联网出口的背景
DCN(Data Communication Network)中文名为综合业务数据支撑网,吉林省联通公司DCN网作为多个应用系统的支撑网络,一直运行着大量的业务,其中包括全省的网管系统、电话充值系统、财务系统、物流系统、客服系统、办公自动化系统、全省综合营销系统、全省集中计费帐务系统、桌面电视电话系统等,是一个综合的承载网,与各个业务子系统都有接口,并且已经延伸到省内的各县市公司和主要机房。因此,DCN的正常运转是支撑企业业务正常运行的必要条件。
随着各业务系统的蓬勃发展,吉林省联通公司的网络规模逐渐扩大,系统也越来越开放;与此同时,网络攻击、黑客技术水平的不断提升,主要是病毒越加多样化。这些新型的网络病毒,无法迅速找到解决的方法,导致DCN网面临外部入侵,增加很多安全威胁,影响系统的正常运作。
DCN网经过安全建设,以及集团统一进行的AD域部署,已经在DCN网建设安全上初具规模。同时,在分公司已经部署了终端安全接入的网关,及相关防火墙设备,进行终端安全防护以及地市DCN网的安全防护。
目前终端进行了严格的安全部署,已经从系统上满足了终端的安全保障。工作人员可以结合实际情况,进行行为控制,但从实际上看,系统上基本没有统一的访问互联网的部署方式。通过各自的接入方式访问公网,这样,整个DCN网的终端安全带来很大的隐患。没有统一出口,统一的防护策略,使DCN网防护存在漏洞。
2. 网络现状
全省DCN网设置长春市和吉林市两个省级中心节点,由两台高性能的三层核心骨干交换机(华为S8512)和两台核心骨干路由器(华为NE80)组成双星型结构。长春二枢纽节点作为主用省中心节点,吉林市节点作为备用省中心节点,两个省中心节点之间路由器NE80采用GE链路相连;另外将省网通大厦作为全省的业务中心,网通大厦至两个省级中心节点采用GE(到主用省中心)/155M (到备用省中心)链路相连,形成全省的核心网络。包括四平联通在内的各地市节点本地核心路由器为2台NE40。分公司核心路由器NE40分别通过155M POS 上联到两个省中心节点NE80路由器,实现链路冗余备份。
总体组网结构如图1。
3. 网络建设方案
为保证DCN网上各项业务正常运行,同时满足办公需求,在省公司新增华为NE40路由器和Eudemon1000防火墙,包括四平联通在内的各地市DCN网节点核心路由器扩容155M POS端口,通过设置在各分公司的西门子ASON传输设备分别上联至省中心二枢纽七楼DCN机房新增NE40路由器,在省公司公网出口上统一部署出口策略和NAT策略,实现各地市DCN网接入全省统一互联网出口,保障DCN网络安全。
DCN网统一互联网出口结构图见图2。
4. 上网控制配置
缺省情况下,公司DCN网络的用户是无法通过统一互联网出口访问互联网的,需要在地市连接省公司的主用核心路由器NE40上进行配置,具体配置如下:
4.1配置可以上网用户的规则
配置命令:
rule-map intervlan 规则名称 ip 原ip 反掩码 目的ip 反掩码
(注:规则是应用在新加的pos接口上3/0/0,并且是對入方向控制,对应的规则可以从原来出口防火墙上获取)
例子如下:
rule-map intervlan r-1 ip any 133.200.108.188 0.0.0.0 //允许地址
rule-map intervlan r-2 ip any 133.200.106.150 0.0.0.0 //允许地址
rule-map intervlan r-3 ip any 133.200.130.109 0.0.0.0 //允许地址
rule-map intervlan r-1000 ip any any //拒绝其它所有
4.2关联EACL
配置命令:
eacl eacl的名称 规则名称 permit或deny
例子如下:
eacl internet r-1 permit
eacl internet r-2 permit
eacl internet r-3 permit
eacl internet r-1000 deny //最后一条是deny
4.3应用到POS端口上
在一个新建POS接口上应用EACL
配置命令:
access-group router eacl eacl-name
例子如下:
interface pos 3/0/0
access-group router eacl internet
4.4取消可以上网用户的上网功能
配置命令:
undo eacl eacl的名称 规则名称
undo rule-map规则名称
例子如下:
undo eacl internet r-1
undo rule-map r-1
5. 统一互联网接入情况
目前四平联通共有443个终端接入了统一互联网出口,代表IP地址及配置命令如下:
rule-map intervlan r-1 ip any 10.62.0.101 0.0.0.0
eacl internet r-1 permit
rule-map intervlan r-2 ip any 10.62.0.164 0
eacl internet r-2 permit
rule-map intervlan r-3 ip any 133.200.124.193 0
eacl internet r-3 permit
rule-map intervlan r-443 ip any 133.200.108.165 0
eacl internet r-443 permit
6 .结语
吉林省联通公司DCN网统一出口工程的实施,实现了全省各地市分公司访问互联网并进行统一管理,实现了互联网访问可管、可控。统一出口具备高速带宽、强大的性能,可以满足全省各级公司日益增长的通信需求。更重要的是,通过部署统一互联网出口,统一进行安全防护,更好的防护了公网给DCN网带来的攻击危害,进一步巩固了公司的信息安全。
参考文献:
[1]王景岩,李凤有 通信公司局域网络安全的优化 黑龙江科技信息 2011-05-15
[2]黄玮 江西吉安联通DCN网络优化方案设计与实现 南京邮电大学硕士论文 2013-03-01
作者简介:李乔(1982.4),男,吉林四平人,硕士研究生,工程师,研究方向为信息安全。
【关键词】DCN网;互联网出口;信息安全
1.统一互联网出口的背景
DCN(Data Communication Network)中文名为综合业务数据支撑网,吉林省联通公司DCN网作为多个应用系统的支撑网络,一直运行着大量的业务,其中包括全省的网管系统、电话充值系统、财务系统、物流系统、客服系统、办公自动化系统、全省综合营销系统、全省集中计费帐务系统、桌面电视电话系统等,是一个综合的承载网,与各个业务子系统都有接口,并且已经延伸到省内的各县市公司和主要机房。因此,DCN的正常运转是支撑企业业务正常运行的必要条件。
随着各业务系统的蓬勃发展,吉林省联通公司的网络规模逐渐扩大,系统也越来越开放;与此同时,网络攻击、黑客技术水平的不断提升,主要是病毒越加多样化。这些新型的网络病毒,无法迅速找到解决的方法,导致DCN网面临外部入侵,增加很多安全威胁,影响系统的正常运作。
DCN网经过安全建设,以及集团统一进行的AD域部署,已经在DCN网建设安全上初具规模。同时,在分公司已经部署了终端安全接入的网关,及相关防火墙设备,进行终端安全防护以及地市DCN网的安全防护。
目前终端进行了严格的安全部署,已经从系统上满足了终端的安全保障。工作人员可以结合实际情况,进行行为控制,但从实际上看,系统上基本没有统一的访问互联网的部署方式。通过各自的接入方式访问公网,这样,整个DCN网的终端安全带来很大的隐患。没有统一出口,统一的防护策略,使DCN网防护存在漏洞。
2. 网络现状
全省DCN网设置长春市和吉林市两个省级中心节点,由两台高性能的三层核心骨干交换机(华为S8512)和两台核心骨干路由器(华为NE80)组成双星型结构。长春二枢纽节点作为主用省中心节点,吉林市节点作为备用省中心节点,两个省中心节点之间路由器NE80采用GE链路相连;另外将省网通大厦作为全省的业务中心,网通大厦至两个省级中心节点采用GE(到主用省中心)/155M (到备用省中心)链路相连,形成全省的核心网络。包括四平联通在内的各地市节点本地核心路由器为2台NE40。分公司核心路由器NE40分别通过155M POS 上联到两个省中心节点NE80路由器,实现链路冗余备份。
总体组网结构如图1。
3. 网络建设方案
为保证DCN网上各项业务正常运行,同时满足办公需求,在省公司新增华为NE40路由器和Eudemon1000防火墙,包括四平联通在内的各地市DCN网节点核心路由器扩容155M POS端口,通过设置在各分公司的西门子ASON传输设备分别上联至省中心二枢纽七楼DCN机房新增NE40路由器,在省公司公网出口上统一部署出口策略和NAT策略,实现各地市DCN网接入全省统一互联网出口,保障DCN网络安全。
DCN网统一互联网出口结构图见图2。
4. 上网控制配置
缺省情况下,公司DCN网络的用户是无法通过统一互联网出口访问互联网的,需要在地市连接省公司的主用核心路由器NE40上进行配置,具体配置如下:
4.1配置可以上网用户的规则
配置命令:
rule-map intervlan 规则名称 ip 原ip 反掩码 目的ip 反掩码
(注:规则是应用在新加的pos接口上3/0/0,并且是對入方向控制,对应的规则可以从原来出口防火墙上获取)
例子如下:
rule-map intervlan r-1 ip any 133.200.108.188 0.0.0.0 //允许地址
rule-map intervlan r-2 ip any 133.200.106.150 0.0.0.0 //允许地址
rule-map intervlan r-3 ip any 133.200.130.109 0.0.0.0 //允许地址
rule-map intervlan r-1000 ip any any //拒绝其它所有
4.2关联EACL
配置命令:
eacl eacl的名称 规则名称 permit或deny
例子如下:
eacl internet r-1 permit
eacl internet r-2 permit
eacl internet r-3 permit
eacl internet r-1000 deny //最后一条是deny
4.3应用到POS端口上
在一个新建POS接口上应用EACL
配置命令:
access-group router eacl eacl-name
例子如下:
interface pos 3/0/0
access-group router eacl internet
4.4取消可以上网用户的上网功能
配置命令:
undo eacl eacl的名称 规则名称
undo rule-map规则名称
例子如下:
undo eacl internet r-1
undo rule-map r-1
5. 统一互联网接入情况
目前四平联通共有443个终端接入了统一互联网出口,代表IP地址及配置命令如下:
rule-map intervlan r-1 ip any 10.62.0.101 0.0.0.0
eacl internet r-1 permit
rule-map intervlan r-2 ip any 10.62.0.164 0
eacl internet r-2 permit
rule-map intervlan r-3 ip any 133.200.124.193 0
eacl internet r-3 permit
rule-map intervlan r-443 ip any 133.200.108.165 0
eacl internet r-443 permit
6 .结语
吉林省联通公司DCN网统一出口工程的实施,实现了全省各地市分公司访问互联网并进行统一管理,实现了互联网访问可管、可控。统一出口具备高速带宽、强大的性能,可以满足全省各级公司日益增长的通信需求。更重要的是,通过部署统一互联网出口,统一进行安全防护,更好的防护了公网给DCN网带来的攻击危害,进一步巩固了公司的信息安全。
参考文献:
[1]王景岩,李凤有 通信公司局域网络安全的优化 黑龙江科技信息 2011-05-15
[2]黄玮 江西吉安联通DCN网络优化方案设计与实现 南京邮电大学硕士论文 2013-03-01
作者简介:李乔(1982.4),男,吉林四平人,硕士研究生,工程师,研究方向为信息安全。