电信行业DCN交换机带外网管建设方案

XX电信DCN交换机带外网管建设方案
目录
第一章需求分析 (3)
1.1需求概述 (3)
1.2需求分析 (3)
1.3系统建设目标 (5)
第二章带外网管系统方案 (7)
2.1 方案论证 (7)
2.2 DCN交换机集中管理方案 (8)
2.3 网络中央管理系统 (9)
2.4 带外网管运维结构图 (10)
2.5 设备清单及预算 (11)
第三章运维管理系统规划 (12)
3.1 管理权限划分 (12)
3.2 设备分组管理 (13)
3.3 安全审计功能 (14)
3.4 日志管理 (14)
3.5 故障管理 (15)
3.6 故障告警 (15)
第四章带外网管安全策略 (16)
4.1 数据加密系统 (16)
4.2 身份认证系统 (21)
4.3 IP地址过滤技术 (25)
第五章带外网管系统介绍 (26)
5.1 控制台服务器 (27)
5.2 网络中央管理器 (30)
第六章设备安装及系统调试 (33)
6.1 设备安装 (33)
6.2 系统调试 (33)
6.3 技术培训 (33)
第七章技术培训及售后服务 (34)
7.1 技术支持 (34)
7.2 售后服务 (35)
第一章需求分析
1.1需求概述
DCN运维专网作为XX电信网络系统、数据业务系统、各类应用系统运维支撑平台，为网络系统、数据业务系统以及各类应用系统提供技术保障服务。

目前XX电信机房有8个DCN交换机机柜，共计安装60多台DCN网管交换机设备。

目前运维管理人员通过内部网络远程登陆方式或者直接到机房用笔记本串口直接连接交换机Console端口进行管理，鉴于现行管理模式过于分散无法实现管理过程的集中记录，同时也不利于DCN网络系统的安全。

因此XX电信运维管理中心规划建立一套DCN网管交换机带外网管系统，运维管理人员通过带外网管系统对DCN网管交换机设备进行集中管理和维护，带外网管系统对运维管理人员的管理权限和管理范围进行严格的界定，对运维管理人员的管理过程进行集中记录。

1.2需求分析
1）DCN设备集中管理
运维管理人员在网管中心直接使用个人电脑或着带外管理终端设备登陆带外网管系统对机房内部所有DCN网管交换机设备的Console 端口进行集中管理，而无须运维管理人员携带笔记本亲自到机房对DCN网管交换机进行直接配置或管理。

2）权限分级管理
通过带外网管系统对运维管理人员的权限权限、管理范围进行严格界定，通常情况下运维管理人员分权限为四级：超级管理员帐户、高级管理帐户、受限管理员帐户、来宾监控帐户。

运维管理人员登陆带外管理系统时只能看到有权限管理的设备列表，高级别管理人员可以对低级别管理人员的管理过程进行全程监控。

带外网管系统使得运维管理人员工作分工明确大大提高运维效率。

3）管理过程集中记录
带外网管系统对管理员帐户信息进行认证，对运维管理人员的登陆时间、操作内容、退出时间等信息进行详细记录。

支持用户ID告警功能，当预设管理人员登陆带外网管系统时，自动向预设的高级别管理用户发送邮件告警，高级别用户登陆系统对低级别管理用户进行跟踪和监听。

4）提高网络系统安全性
带外网管系统支持SSHv2、SSLv3加密技术，所有管理控制信息均通过加密方式在管理员和被管理设备之间传送。

带外网管系统还支持LDAP、SecurID、RADIUS、NIS、Kerberos 和TACACS+等身份认证系统，防止未经授权用户非法访问。

支持IP地址过滤技术根据IP地址列表允许或阻止用户访问。

5）提高相互协作能力和运维效率
带外网管系统建成后将对DCN网络设备进行集中管理，通过
带外网管系统对运维部门人力资源进行合理分配和资源调度，提
高各级运维部门的相互协作能力和运维效率。

带外管理系统的分
级管理功能可以对各级运维管理人员的管理权限、管理范围进行
严格界定，使得运维管理人员工作分工精细、责任明确。

所有管
理配置过程记录集中存到网络中央管理器上，任何设备的管理配
置信息都能够通过网络中央管理器查看。

1.3系统建设目标
1)提高DCN网络安全及可靠性
通过带外网管系统对DCN网管交换机设备进行集中管理，使得所有DCN交换机设备配置信息文件进行集中存储，当配置文件混乱或者丢失时，通过带外网管系统快速恢复。

带外管理系统支持权限分级管理功能，对运维管理人员的管理权限和管理范围进行限定。

端口分组管理功能可以对DCN网管交换机Console端口进行分组管理。

带外网管系统集中记录所有运维管理人员对交换机管理信息，并通过带外管理系统进行查看。

带外网管系统建成后，所有运维管理人均通过带外网管系统集中管理DCN网络设备。

在提高运维效率的同时，大大的提高DCN网络系统的安全性和可靠性。

2)增强故障快速处理能力
运维管理人员通过带外网管系统对DCN网络设备的Console端口进行集中管理，运维管理在网管中心通过带外网管终端机登陆带外网管系统对DCN网络设备进行配置和管理。

当DCN网络设备出现配置丢失、宕机等故障时通过带外网管系统快速恢复正常运行，而无须运维管理人员到机房对故障设备进行直接干预。

整个管理维护过程集中记录到网络中央管理器，运维管理人员通过带外网管系统直接查看管理过程信息，从而大大的提高运维效率和突发故障快速处理能力。

3)减低企业运维成本
带外管理系统具有良好兼容特性和系统扩展性能，最多可以对12288台网元设备进行集中管理。

带外网管系统还可以对机房内部的其它重要网络设备如：交换机、路由器、服务器设备以及设备电源系统进行整合管理。

带外管理系统投入使用后建立各级运维部门联动协作的运维新体制，实现集中监控、统一调度、远程协助、本地维护的全新运维管理模式。

明确各级运维部门的责任和分工，提高各级运维部门的整体协同工作能力。

通过带外管理的先进运维管理模式在提高企业运维效率和服务质量的同时有效的降低企业运维成本。

第二章带外网管系统方案
2.1 方案论证
XX电信机房网络系统由各种不通用途的网络设备和通信设备组成，因此网络设备和通信设备的稳定运行是确保网络系统持续稳定运行的关键。

考虑到机房内部的网络设备（路由器、交换机、防火墙等）和通信设备由不同的厂商提供，这些来自不同厂商、不同类型的网络设备和通信设备的管理和维护方式也都不一样，因此现有的管理软件和难对这些设备进行集中管理。

目前机房中使用的网络设备和通信设备都带有本地Console配置管理端口，且所有网络设备的Console端口都采用标准的串行(RS232)通信协议。

SLC控制台服务器是基于标准串行（RS232）通信协议的集中管理工具，SLC控制台服务器对DCN网管交换机设备的串行（Console）配置端口通过透明方式转换到以太网络，通过SLC控制台服务器的以太网络端口连接到DCN运维网络。

这样运维管理人员在网管中心通过运维网络直接对DCN网管交换机设备进行配置和管理。

SLM网管中央管理器是带外网管系统集中管理平台，通过SLM 网络中央管理器对SLC控制台服务器、远程KVM设备、远程电源管理器设备以及单一网元设备进行整合管理。

通过统一的管理界面对机房内部的DCN网管交换机设备进行管理和维护，通过SLM网络中央管理器分级权限管理功能对运维管理人员的管理权限、管理范围进行界定，对运维管理人员的操作管理过程进行集中记录。

2.2 DCN交换机集中管理方案
SecureLinx™ SLC控制台服务器是网络设备（交换机、路由器、防火墙、漏洞扫描、入侵检测、负载均衡设备等）集中管理工具，通过SLC控制台服务器可以对DNC网管交换机设备的Console配置端口进行集中管理。

运维管理人员通过SLC控制台服务器对DCN网管交换机设备的串行（Console）配置端口进行配置管理。

SLC控制台服务器的以太网络端口连接到集中运维管理平台上实现集中管理，这样运维管理人员在网管中心通过运维管理平台对机房网络设备进行集中配置和管理。

网络设备集中运维管理拓扑图：
2.3 网络集中管理方案
SecureLinx™ SLM网络中央管理器是带外网管系统平台的核心部分，SLM网络中央管理对多种网络设备（如计算机、服务器、路由器、交换机、防火墙等设备）通过SLM内置的https或SNMP图形化管理界面整合管理。

运维管理人员通过SLM监控管理界面集中查看各地机房内部网络的设备运行状况，对于故障设备进行快速准确定位。

系统管理员还可以通过SLM对网络内部的计算机或网络设备进行统一系统升级，而无需管理员对设备进行逐一安装。

SLM具有强大的日志存储和管理能力，通过对设备产生系统日志进行系统分析和处理，对于有风险日志通过Email发送给管理员。

集中运维管理界面
2.5 设备清单及方案预算
设备名称规格型号单价（元）数量合计（元）
第三章运维管理系统规划
3.1 管理权限划分
运维管理系统对运维技术人员身份及管理权限详细划分，并自动生成管理权限列表。

中央管理系统对登录的运维技术人员的身份及管理权限进行认证，并对运维技术人员身份信息、登录时间、登录设备、操作内容等进行记录。

通常情况下运维管理系统把运维技术人员的管理权限分为五个级别：即超级管理账户、高级管理账户、一般管理账户、受限管理账户、来宾帐户。

超级管理用户
运维管理系统只对开放本地超级管理用户权限，超级管理用户负责本地运维账户权限管理，增加、删除和修改本地运维管理账户权限。

高级管理用户
高级管理用户通过运维管理系统可以部分网络系统的网络设备、服务器设备、电源系统进行高级级别的管理和维护。

一般管理用户
一般管理用户通过运维管理系统可以指定的网络设备或指定设备端口进行管理和维护。

受限管理用户
受限管理账户只能通过运维管理系统对特定的网络设备或服务器设备指定端口或单一功能进行管理。

来宾用户
来宾帐号在登录运维管理系统后只能查看到设备状态，不能对任何设备进行管理和操作。

以上各级别管理员都是独立的视图管理界面登陆到网络中央管理系统，独立的视图管理界面中只能看到自己有权限管理和监听的设备列表。

3.2 设备分组管理
运维管理系统可以对不同类型、不同地点的被管理设备重新分组管理，可以按照用户习惯自行定义。

例如：把同一机房的网络设备分为一组，或者同一类型的网络设备分为一组，或者把相同功能的网络设备分为一组。

对设备完成分组后可以对被管理设备的端口再进行分组，例如：把控制台服务器的第6端口、电源管理器的第7端口、远程KVM的第8端口进行任意组合分组，根据创建的管理用户权限添加对应被管理设备或设备端口，通过端口许可管理功能对管理用户的管理权限和
管理范围进行严格审查和界定。

3.3 安全审计功能
运维管理系统通过SLM网络中央管理器做集中认证管理和审计，管理用户通过SLM到达被管理设备时自动创建访问列表，详细记录管理用户的登陆时间、操作内容等信息。

如果管理未经SLM直接登录被管理设备进行操作时，被管理设备自动将系统日志和访问记录传送到SLM网络中央管理器。

也可以通过系统日志或SNMP trap方式对设备端口的访问和操作进行全程跟踪记录，管理权限高的用户可实时监控低级别用户访问过程。

3.4 日志管理
SLM中央管理系统自动本机运行日志及端口访问记录，同时对被管理设备运行日志及端口访问记录进行集中存取，运维管理人员可以在本地查看系统日志和访问记录，也可以登陆到网络中央管理系统查看有权限管理设备的运行日志及端口访问记录，系统日志也可以通过FTP方式及集中存储到远端的NFS服务器，
SLC控制台服务器有一个128MB CF存储卡用于存放设备运行日志及端口访问记录，每端口有256KB的独立缓冲区用于存放端口访问日志，即使在突然断电情况下数据不丢失。

3.5 故障管理
运维管理系统支持事故告警功能，管理设备在运行过程中报错时。

运维系统自动将设备运行日志通过电子邮件方式向运维管理人员发送告警信息。

系统管理员根据这些信息判定故障原因，并采取相应措施。

故障管理提供以下机制：
•通过电子邮件和/或SNMP（自动）报告故障的出现
•记录日志以及事件/端口缓冲状况
•进行诊断检测，找出错误原因。

•简单的自动纠正错误能力。

3.6 事件报警
SLM网络中央管理系统可以通过Email邮件、Syslog日志、SNMP （Mib）trap发送事件告警，告警形式包括关键字告警、用户ID告警、事件告警以及故障告警等。

例如：当日志中出现预设字符123时，自动发送告警，当预设用户ABC登录系统时，自动发送告警信息，管理员可以对ABC用户管理过程进行全程监听。

第四章带外网管安全策略
带外网管系统具有高级别保安功能，采用先进的包括：128-bit SSHv2、128-bit SSLv3数据加密，支持LDAP, RADIUS, TACACS+、 NIS、Kerberos等身份认证系统，防止未经授权用户非法访问。

IP地址过滤功能可自由定义允许访问的IP地址列表或不允许访问的IP地址列表，根据访问控制IP地址表进行过滤或拦截。

4.1 数据加密系统
1）SSHv2加密
SSH( Secure Shell Protocol）安全外壳协议（SSH）是一种在远程登录及其它安全网络服务的加密协议。

SSH 主要有三部分组成：
传输层协议[SSH-TRANS]
提供了服务器认证，保密性及完整性。

此外它有时还提供压缩功能。

SSH-TRANS 通常运行在TCP/IP连接上，也可能用于其它可靠数据流上。

SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。

该协议中的认证基于主机，并且该协议不执行用户认证。

更高层的用户认证协议可以设计为在此协议之上。

用户认证协议[SSH-USERAUTH]
用于向服务器提供客户端用户鉴别功能。

它运行在传输层协议
SSH-TRANS 上面。

当SSH-USERAUTH 开始后，它从低层协议那里接收会话标识符（从第一次密钥交换中的交换哈希H ）。

会话标识符唯一标识此会话并且适用于标记以证明私钥的所有权。

SSH-USERAUTH 也需要知道低层协议是否提供保密性保护。

连接协议[SSH-CONNECT]
将多个加密隧道分成逻辑通道。

它运行在用户认证协议上。

它提供了交互式登录话路、远程命令执行、转发TCP/IP 连接和转发X11 连接。

一旦建立一个安全传输层连接，客户机就发送一个服务请求。

当用户认证完成之后，会发送第二个服务请求。

这样就允许新定义的协议可以与上述协议共存。

连接协议提供了用途广泛的各种通道，有标准的方法用于建立安全交互式会话外壳和转发（“隧道技术”）专有TCP/IP 端口和X11 连接。

通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。

使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。

SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"。

SSH连接示意图：
2）SSLv3加密
SSL (Secure Socket Layer)是用以保障在Internet上数据传输之安全，利用数据加密(Encryption)技术，可确保数据在网络上之传输过程中不会被截取及窃听。

目前一般通用之规格为40 bit之安全标准，美国则已推出128 bit之更高安全标准，但限制出境。

SSL加密技术已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。

SSL协议可分为两层：
SSL记录协议（SSL Record Protocol）：
它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。

SSL握手协议（SSL Handshake Protocol）：
它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有：
1）认证用户和服务器，确保数据发送到正确的客户机和服务器；2）加密数据以防止数据中途被窃取；
3）维护数据的完整性，确保数据在传输过程中不被改变。

SSL协议的工作流程：
服务器认证阶段：
1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；
2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；
4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

用户认证阶段：
在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。

经认证的服务器发送一个提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。

从SSL 协议所提供的服务及其工作流程可以看出，SSL协议运行的基础是商家对消费者信息保密的承诺，这就有利于商家而不利于消费者。

在电子商务初级阶段，由于运作电子商务的企业大多是信誉较高的大公司，因此这问题还没有充分暴露出来。

但随着电子商务的发展，各中小型公司也参与进来，这样在电子支付过程中的单一认证问题就越来越突出。

虽然在SSL3.0中通过数字签名和数字证书可实现浏览器和Web服务器双方的身份验证，但是SSL协议仍存在一些问题，比如，只能提供交易中客户与服务器间的双方认证，在涉及多方的电子交易中，SSL协议并不能协调各方间的安全传输和信任关系。

在这种情况下，Visa和MasterCard两大信用卡公组织制定了SET协议，为网上信用卡支付提供了全球性的标准。

SSL连接示意图：
3）HTTPS介绍
HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议它是内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。

HTTPS实际上应用了Netscape的完全套接字层
（SSL）作为HTTP应用层的子层。

（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。

）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。

HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。

HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。

即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。

它是一个URI scheme(抽象标识符体系)，句法类同http:体系。

用于安全的HTTP数据传输。

https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。

这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

限制它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持。

4.2 身份认证系统
网络运维系统支持可以支持LDAP、NIS、RADIUS, SecurID、Kerberos等系统认证方式，认证系统是识别一个人身份的过程，一般采用用户名和密码识别法。

认证可以保证某人身份的正确性，但不会指明该人的存取权利。

建议采用SecurID 、LDAP或RADIUS认证来确保系统安全防止未授权客户非法访问。

系统管理远程访问运维网络须经过认证服务器对管理远程身份、管理权限进行系统认证，在
通过系统认证后登陆SLM运维管理系统进行管理和维护。

1）TACACS+ 认证
TACACS+(Terminal Access Controller Access Control System)终端访问控制器访问控制系统。

与IDsentrie的Radius协议相近。

不过TACACS+用的是TCP协议，Radius用的是UDP,一些管理员推荐使用TACACS+协议，因为TCP更可靠些。

RADIUS从用户角度结合了认证和授权，而TACACS+分离了这两个操作。

2）SecurID认证系统
RSA SecurID 用户认证系统是一个集数学、工程学和用户界面设计于一体的技术，它基于拥有专利的时间同步技术。

一个RSA SecurID 解决方案有三个主要部件组成：一个简单易用的令牌、一个功能强大的管理服务器以及一些不同的软件代理。

RSA SecurID 令牌，使用户证明自己的身份后获得受保护资源的访问权。

令牌先产生一个随机但专用于某个用户的“种子值”，该令牌每60秒钟就自动更新一次，其数字只有对于指定用户和特定时刻才有效，当然，还要综合用户的PIN码和密码。

鉴于这种令牌具有动态性质，用户的电子身份很难被模仿、盗用或者破坏。

SecurID 使用一种称为令牌的由电池供电的手持设备。

它存储
当前时间并拥有一个只有该令牌才有的64 位值。

每隔指定的间隔，通常是每隔一分钟，令牌计算并显示一个新的代码。

用户以某种方式将该代码同个事先协商的密码结合起来，在任何需要通行码的地方都输入该代码。

认证服务器每隔那一特定的时间就计算令牌代码，并以指定的方式将该代码同用户的秘码的副本相结合，如果两个通行码相互匹配，就允许访问。

3）RADIUS远程用户拨入认证系统
RADIUS 是一种在网络接入服务器（Network Access Server）和共享认证服务器间传输认证、授权和配置信息的协议。

RADIUS 使用UDP 作为其传输协议。

此外RADIUS 也负责传送网络接入服务器和共享计费服务器间的计费信息。

RADIUS认证系统特征如下：
•客户/服务器模式：
网络接入服务器作为RADIUS 的客户端，负责将用户信息传递给指定的RADIUS 服务器，然后根据返回信息进行操作。

RADIUS 服务器负责接收用户连接请求，认证用户后，返回所有必要的配置信息以便客户端为用户提供服务。

RADIUS 服务器可以作为其他RADIUS 服务器或认证服务器的代理。

•网络安全：
客户端与RADIUS 记帐服务器之间的通信是通过共享密钥的使用来鉴别的，这个共享密钥不会通过网络传送。

此外，任何用户口令在客户机和RADIUS 服务器间发送时都需要进行加密过程，以避免有人通过嗅探非安全网络可得到用户密码。

•灵活认证机制：
RADIUS 服务器支持多种用户认证方法。

当用户提供了用户名和原始口令后，RADIUS 服务器可支持PPP PAP 或CHAP、UNIX 登录和其它认证机制。

•协议的可扩充性：
所有的事务都是由不同长度的“属性－长度－值”的三元组构成的。

新的属性值的加入不会影响到原有协议的执行。

4）LDAP认证系统
LDAP（Lightweight Directory Access Protocol）是轻量目录访问协议，它是基于X.500标准的，但是简单多了并且可以根据需要定制。

与X.500不同，LDAP支持TCP/IP，这对访问Internet是必须的。

LDAP的核心规范在RFC中都有定义，所有与LDAP相关的RFC都可以在LDAPman RFC网页中找到。

简单说来，LDAP是一个得到关于人或者资源的集中、静态数据的快速方式。

LDAP是一个。