网络管理及安全准入机制研究

赵旺飞，王 齐

（中国移动通信集团广东有限公司珠海分公司，广东 珠海 519015）

0 引言

以珠海移动的网管网络为例，目前网管网连接核心网、数据网、无线网、统一网管平台（网络管理系统支撑平台）和众多操作维护终端。①对设备的远程维护通过telnet方式实现，缺乏统一的设备呈现视图和操作界面；②在关联设备出现故障后才能发现网管网设备故障，导致网管网络故障处理不及时，影响了对其他网络设备的监控、管理和维护；③网管网多达21个C类子网，IP地址的管理均通过EXCEL文档记录和维护，更新不及时容易导致 IP地址分配重叠，造成网络隐患；④接入层操作维护终端众多，管理难度大，需要定期对接入终端进行安全巡检和扫描，确保网管网络安全，管理成本高且容易产生接入安全隐患。

1 设计目标

重点考察设备拓扑自动发现和性能分析、IP地址自动搜集与管理、基于介质访问控制（MAC，Media Access Control）地址的安全准入控制机制这三个主要方面的内容，实现网络安全管理和维护。

2 系统体系结构设计

网络管理系统通过采集网络设备数据，进行故障监控和性能分析，实现故障的主动监控、故障及时跟进和故障及时处理。通过简单网络管理协议(SNMP，Simple Network Management Protocol)协议及设置搜索范围，采用多种算法、迅速搜索整个网络内的所有节点、自动勾画出整个网络的准确第二层拓扑图——物理拓扑图[1]，包括交换机、服务器、防火墙、协转等，以及设备间的冗余连接、备份连接、均衡负载连接等等。通过物理拓朴图即可对各设备的工作状态、线路流量、线路通断状态、IP地址资源、服务资源的分布、设备负载与端口流量等等进行全天候的7×24小时实时监控管理，并产生相关的联动告警信息与分析预测报表，如图 1所示。

图1 网络管理平台体系结构

3 系统关键技术研究

3.1 设备拓扑自动发现

网络层拓扑发现算法的任务就是发现被管网络中的子网、路由器以及它们之间的连接关系[2-3]。通过分析路由器上的路由表，就可以知道网络层的拓扑结构[4-5]。

节点搜索算法原理：图的广度优先遍历

①从种子节点开始，搜索所有与该节点相关连的设备，把搜索到的设备信息存入邻接表头节点中，并在种子节点的链表中插入该节点的位置信息，表示头节点与该位置的节点相关连；

②对邻接表中的头节点，从前向后逐个进行检查，如果某头节点的深度不超过指定深度，并且是可达的，则搜索与其相连节点，对搜索到的节点，如果已经在邻接表中的，不需再存储该设备的信息，只需在该头节点的链表中插入搜索到的节点的位置信息的表节点。若搜索到的节点未在邻接表中存储，则把该节点的设备信息存储到邻接表中，并且在该头节点的链表中插入搜索到的节点的位置信息的表节点；

③重复②，直到邻接表中所有头节点深度超过指定深度。

上述算法，从指定的种子节点出发，搜索指定深度内所有与之相关联的活动设备，并把他们的信息和关联情况存储起来，根据存储的信息，绘制网络拓扑图。

网管网络设备模拟应急演练：通过 Web网页方式展示网管网络的网络运行情况，如图2为正常情况下部分设备运行的图例。

图2 正常状态时网管网络拓扑呈现

在网页界面上显示各链路的通断情况，通过使用不同颜色来呈现语音和信令链路的通、断或丢包情况。在网管网络应急故障演练过程中，珠海3845-2路由器重启时，平台马上监测到3845-2路由器到其下挂各设备链路中断，但接入层设备运行正常，目前该项应用已经在网管网络应急故障演练中得以验证。

3.2 IP地址管理

IP地址管理模块提供对地址资源信息的多样、清晰、灵活的组织；可以从多角度、全方位的进行对IP地址资源信息的各种查询、统计等操作；管理员可以通过该模块提供的功能完善的管理功能，实现对地址资源的分配、回收、维护等各种管理；同时提供各种相关的功能（诸如日志、各种辅助工具等）。同时通过事务接口提供对电子运维流转工单的支持，可以为工单分配地址和端口等资源。

IP地址管理模块的主流程如下：

①系统首先按照IP地址树图、私网IP地址树图、地理树图、私网地理树图和业务树图分别呈现地址资源;

②提供浏览方式和编辑方式的选择功能，浏览方式下用户只能查询相关的地址资源，编辑方式下用户可以分配、编辑、回收各种地址资源;

③对于编辑方式下的分配、编辑、回收等对后台数据库有影响的操作，可以让用户选择是在事务模式下增删改还是直接进行增删改。事务操作可以回滚或者一次性提交地址资源的变化情况到数据库；直接操作则把地址资源的变化直接提交到后台数据库;

④对于用户的每次分配、编辑、回收操作，自动记录这些操作，方便对地址资源变化情况进行查询，如图3所示。

图3 IP地址模块操作流程

3.3 MAC地址准入控制机制

随着公司网络规模的迅猛增长，珠海网管网络接入规模也在不断扩大，现有接入端口近千个[6]，接入设备的管理基本上依赖人工方式，通过用户报障再解决的被动式管理。同时公司员工、合作单位及外来人员终端接入网络无任何控制手段，如发生病毒攻击或非法用户入侵将无迹可寻，对网络安全管理带来极大压力。

技术实现方案如图4所示。

图4 基于MAC地址的准入控制机制

（1）终端接入网络的准入控制

保证只有合法终端才可以接入到网络中，非法的终端将被在所接入的交换机上被阻断。阻断非授权终端接入网管网，在网络最边缘消除安全隐患。对授权的终端在设定允许接入 MAC地址(WHO)、允许接入时间(WHEN)、允许接入交换机（端口）(WHERE)后接入网络。针对接入层网络最边缘处设备实行准入控制，如检测到非法设备接入，即控制方式为接入端口关断。

（2）终端接入网络的审计管理

采集并记录沉淀终端接入网络的所有相关信息，管理员通过任意一种信息就可以查询到终端接入时的所有相关联信息；

（3）异常网络接入行为实时告警

对于异常网络接入行为进行实时告警，以便管理员及早发现安全隐患。

4 结语

在设计中通过应用上述方案，有效实现了网络管理信息化技术在移动网管网中的落地，实现了设备拓扑自动发现、系统性能分析、告警主动监控和实时通知、IP地址集中化精细化管理和基于MAC地址的准入控制机制，有效地确保了网管网络设备的易管理、易配置和易维护。

[1] 姜永广,田永春, 一种无线自组织网络动态路由协议[J].通信技术,2010,43(06):254-156,159.

[2] SON MH，JOO BS，KIM BC,et al.Physical Topology Discovery for Metroethemet Networks[J].ETRI Journal,2005,27(04)：355-366.

[3] 方飞, 李云.无线异构网络的垂直切换判决算法[J].通信技术,2010,43(06):137-139.

[4] 刘海华, 王萍萍.基于生成树算法的链路层拓扑发现研究[J].计算机技术与发展, 2008,18(05):97-112.

[5] 刘鹏，马琳，廉新科.网络安全设备的统一管理方法研究[J].信息安全与通信保密, 2010.

[6] 陈亮.MAC地址准入控制系统[M].珠海：[s.n.],2009:1-10.