快速实现多系统集中维护

维护现状概述

随着多网元、多设备的出现。维护员为了制作一条局数据或处理一个故障，需要在不同的设备网管终端上来回操作，有的设备更只配备一个维护台，这时工程师只能排队轮流操作，工作滞后。

目前，各电信机房普遍实行集中监控，受值班人员专业水平参差不齐的因素影响，值班人员往往一监控到告警，就直接通知相关专业人员，有时候因为值班人员的表述不清，专业人员不得不在半夜三更或在恶劣的天气里从家赶到现场，进行故障确认。

图1 网络连接

如何让维护员使用自已的电脑（不用安装专业的维护软件）对设备进行维护，而不用排队到专业网管终端上操作，如何让工程师在远程就可以对设备进行诊断，而不用盲目的赶往现场，这些非常值得探讨，该文将从集中维护网络的搭建、维护台的配置和相关安全事项这3个方面来介绍如何实现集中维护多网元设备。

集中维护多元设备方案介绍

集中维护网的搭建

网络搭建时采用一台华为AR-2811路由器和一台S3928交换机。（随着设备的更新换代，有些交换机和路由器被淘汰下来，可以加以利用，对于交换机只要能够划分VLAN就行，路由器只需要支持NAT功能和能够支持子接口）如图1所示。

网络连接说明：

1、从A类网络设备的网络里引出一条网线接到交换机1口，归属于 VLAN 2。

2、从B类网络设备的网络里引出一条网线接到交换机2口，归属于VLAN 3。

3、从C类网络设备的网络里引出一条网线接到交换机3口，归属于VLAN 4。

4、交换机4口连接互联网，化入VLAN 5,该口主要用于远程VPN 拨号进入维护网段,在远程如家里对设备进行操作。

5、交换机6~10口用于维护网段,给维护人员电脑接入使用，不用划VLAN。

6、交 换 机11口,连接AR28-11路由器的Ether net0/1,用于维护网段的网关.不用化VLAN。

7、交 换 机12口 启trunk,用于连接AR28-11路由器的Ethernet0/0,透传各设备网段的数据到路由器上。

交换机的配置

现在只给出HW-S3928各接口的配置,如下:

配置AR28-11路由器

(0.0.0.255这反掩码来决定哪些地址可以访问 A类设备网络)

rule 10 deny ip

同理依次创建B、C类设备的NAT和访问列表.

通过以上的配置,在维护网段就可以用一根网线同时访问A,B,C设备网段，而不用于频繁更换网线和网卡的IP地址了。

以上配置满足了本地访问需求,若要进行远程拨号维护，就要进行L2TP VPN的配置,配置如下:

图2 设置代理

以上配置完成后L2TP VPN服务器就已经架设好了。不过对于使用L2tp Vpn,客户端的 Windows操作系统还需要进行如下配置：

（1）修改注册表，禁用自动L2TP/IPSec 策略：

HKEY_LOCAL_MACHINESystemCurr entControlSetServicesRas manParameters，单 击Parameters参数，接着在右边窗口空白处单击鼠标右键，选择［新建/双字节值］并新建一个注册表值（名称为Prohib itIPSec，值为 1），然后重新启动系统。

（2）在网络连接里创建一个新的VPN拨号连接，相关参数设置需要和路由器的配置一样。设置好后，进行VPN拨号，拨号成功后将获得192.168.0.X的地址，你只要在路由器中把该地址加入到相应的ACL number访问列表中即可。这样你就可以在远程对设备进行操作。

维护台的设置

网络通了，只是成功了50%。由于电信设备的专业维护台主要采用Solaris和Windows两种操作系统，如果要远程维护就必须把相应的电信设备配备的维护软件装入维护员的电脑，有的维护软件需要运行在Unix系统，有的维护软件比较大，而且要装如Oracle,MyAQL server等大型数据库软件，这对于电脑配置不高的维护人员来说又是一个问题。如何让维护人员的电脑不用安装消耗资源庞大的维护软件，又能轻松在不同电信设备间进行切换操作呢?

使用Unix系统的设备

如使用的MOTOR的OMC系统,维护员对MOTOR的GSM基站、BSC维护，都是通过OMC-R维护台进行，而该维护台采用的是Solaris系统。直接在办公电脑上装维护软件不可能。（办公电脑大都是Windows系统），目前可以采用以下方案进行：

（1）可以采用Netterm、CRT等终端仿真软件登入维护台进行，但是这些软件只能远程telnet进行命令交互。即只支持文字，不支持图形界面。

（2）对于需要开启GUI图形界面界面时，Netterm,CRT等仿真软件无法实现。以下重点介绍可以开启图形界面的Xmanager软件。因为网络互通是经过路由器NAT来进行的，所以在软件配置时需要设置代理。如图2所示。

设置好后直接连接，就可以象在OMCR维护台上一样操作了。

使用Windows的维护台

如使用的华为交换机维护工作站,可以利用Window s XP操作系统允许多用户同时登入的特点，用远程桌面连接。这样不占用专业维护台，又可以利用windows自带的远程桌面连接登入专业维护台，共享该维护台对通信设备进行操作，省了在自家电脑装维护软件的麻烦。以下简要介绍2种配置Windows XP或Windows 2000 server多用户功能的方法。

（1）直接安装 WinCo nnect Server XP 多用户远程桌面服务器软件，这个方法简单，但是软件需要购买，不实际。

（2）对专业维护台的Windows XP系统进行改造(也满足运行维护规范要求,不得在专业维护网管终端安装无关的软件)，首先从网上下载Build 2055补丁 里 termsrv.dll，在 安 全模式下覆盖现有系统的里的termsrv.dll这个文件（因为只有Build 2055补丁里termsrv.dll才可以支持多用户同时登入）。

然后修改注册表 HKEY_LOCA L_MACHINESYSTEMCurrentControlSetControlTerminal ServerLicensing Core里增加EnableCon currentSessions"=dwo rd:00000001 这项。

最后在计算机管理里增加一个Remote Desktop User,并允许该用户远程桌面连接.这样你的Windows XP多用户系统就设置好了。开启Windows XP自带的远程桌面连接软件进行连接(对于Windows 2000的维护电脑只要把XP里的Mstsc.exe和Mstscax.dll这两个文件考过来就可以直接使用)，这样就可以直接共享专业网管终端对电信设备进行操作。

安全注意事项

(1)可以在路由器上进行IP地址和MAC地址绑定，防止部分维护员改变IP地址，访问未受权的设备。

(2)设置远程VPN的帐号与IP地址绑定,专人专用.在路由器上配置相应的安全策略，只开放远程拨号所需的端口。不用远程维护功能时拔掉互联网网线,需要时才叫机房人员把网线接上（机房人员需要做好使用登记）,这样保证内网与互联网的物理隔离。

(3)定期对路由器的log和个专业维护台的日志进行分析，查看是否有可疑的非法登入。

总结

通过集中操作维护，不仅解决了维护人员排队使用网管终端的问题，而且解决了维护人员在自己的电脑上装一大堆维护软件的麻烦。以此同时又可以远程对设备进行操作维护，对故障的抢修赢得时间。此种方案对于维护人员和需要远程办公的人员带来了极大的便利。