宽带接入网有很多值得学习的地方,这里我们主要介绍关于宽带接入网的电信级管理综合说明。以太网原来是为局域网企事业用户内部应用设计的,缺乏安全机制保证。即便有需求也是由高层协议来处理。以太网也不能像SDH那样分离网管信息和用户信息,安全性不如SDH网。当扩展到MAN和WAN以后,将有大量的终端用户由同一个基础设施提供服务时,上述利用高层协议的处理方法就无法接受了,需要开发新的安全和加密机制。
宽带接入网中的安全需求主要来源于两方面,其一是设备本身的安全,其二是网络的安全。宽带接入网中的以太设备,首先要考虑网管层面的安全,另一方面,虽然大多数DDOS攻击是面向三层设备的,但各种Proxy/Snooping类的协议同样可能成为DDOS攻击的牺牲品,所以这类协议的安全特性也同样重要。
在网络安全性方面,宽带接入网要尽可能地阻止ARP/ICMP/MAC攻击的进入、防止网络广播风暴的发生,过滤蠕虫病毒数据帧,防止非法窃听。在这些方面,目前有VLAN/QinQ隔离、MAC绑定、MAC数量限制、广播/ICMP抑制、MAC/IP/L4过滤、SSHv2加密/SNMPv3安全访问、VLANJump等特性可用。
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是运营商网络中的交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使运营网络稳定运行,ISCOM系列交换机上应用了一些安全防范技术,有效地启用和配置这些技术,净化局域网环境。
电信级管理
以太技术本身不是为运营级别网络设计的,在一些方面不具备运营级别网络应该有的特性。原来用于局域网的以太网技术难以提供端到端的业务管理、故障检测和性能监视,主要采用基于IP的OAM协议,例如SNMP、IPping和IPtraceroute等来部分提供这些功能,但是局域网的以太网OAM技术一方面仅能提供诸如可达性等简单的管理,不能提供基于整个网络的各种必须的运维手段;另一方面是这些简单管理也必须在以太网层工作正常时运行,一旦以太网层本身出了故障就无法进行管理和维护了,瑞斯康达作为一家面向运营商的以太网设备供应商,在ISCOM系列交换机上不仅实现了基于链路的802.3ahOAM。
而且也实现了基于域的802.1agOAM,弥补原有以太网在此方面的不足,增强其在连接监视、故障定位、告警指示和性能管理等方面的OAM能力,从而完善其对网络、设备和业务的管理与控制,满足运营商建设可运营、可管理、可盈利网络的要求。在ISCOM系列交换机上,通过OAM功能的部署,可以帮助运营商用户定位故障,区分故障到底在最终用户(如专网用户),还是业务提供商,或者网络运营商,从而使各个组织的管理维护范围、责任界限更加清晰,当用户上报故障后,服务提供商可以快速、准确的排除故障,这样,将使庞大的运营网管理起来更加简单、更加有效!
……