【摘 要】DCN（Data Communication Network）中文名為數(shù)據(jù)通信網(wǎng)，是電信運營商內(nèi)部的營業(yè)、計費、OA門戶、網(wǎng)管數(shù)據(jù)傳輸、ERP等幾乎所有生產(chǎn)、業(yè)務(wù)系統(tǒng)的傳輸通道和通信平臺。對于電信行業(yè)來說，DCN網(wǎng)絡(luò)是保障信息應(yīng)用系統(tǒng)的整合策略的實施前提，在企業(yè)信息化建設(shè)中具有不可或缺的地位。事實證明，只有保障了DCN網(wǎng)的穩(wěn)定和安全，才能有良好的生產(chǎn)環(huán)境和工作效率。所以各個運營商把DCN網(wǎng)絡(luò)的建設(shè)重點放在了安全性上。

【關(guān)鍵詞】DCN網(wǎng)；互聯(lián)網(wǎng)出口；信息安全

1.統(tǒng)一互聯(lián)網(wǎng)出口的背景

DCN（Data Communication Network）中文名為綜合業(yè)務(wù)數(shù)據(jù)支撐網(wǎng)，吉林省聯(lián)通公司DCN網(wǎng)作為多個應(yīng)用系統(tǒng)的支撐網(wǎng)絡(luò)，一直運行著大量的業(yè)務(wù)，其中包括全省的網(wǎng)管系統(tǒng)、電話充值系統(tǒng)、財務(wù)系統(tǒng)、物流系統(tǒng)、客服系統(tǒng)、辦公自動化系統(tǒng)、全省綜合營銷系統(tǒng)、全省集中計費帳務(wù)系統(tǒng)、桌面電視電話系統(tǒng)等，是一個綜合的承載網(wǎng)，與各個業(yè)務(wù)子系統(tǒng)都有接口，并且已經(jīng)延伸到省內(nèi)的各縣市公司和主要機房。因此，DCN的正常運轉(zhuǎn)是支撐企業(yè)業(yè)務(wù)正常運行的必要條件。

隨著各業(yè)務(wù)系統(tǒng)的蓬勃發(fā)展，吉林省聯(lián)通公司的網(wǎng)絡(luò)規(guī)模逐漸擴大，系統(tǒng)也越來越開放；與此同時，網(wǎng)絡(luò)攻擊、黑客技術(shù)水平的不斷提升，主要是病毒越加多樣化。這些新型的網(wǎng)絡(luò)病毒，無法迅速找到解決的方法，導致DCN網(wǎng)面臨外部入侵，增加很多安全威脅，影響系統(tǒng)的正常運作。

DCN網(wǎng)經(jīng)過安全建設(shè)，以及集團統(tǒng)一進行的AD域部署，已經(jīng)在DCN網(wǎng)建設(shè)安全上初具規(guī)模。同時，在分公司已經(jīng)部署了終端安全接入的網(wǎng)關(guān)，及相關(guān)防火墻設(shè)備，進行終端安全防護以及地市DCN網(wǎng)的安全防護。

目前終端進行了嚴格的安全部署，已經(jīng)從系統(tǒng)上滿足了終端的安全保障。工作人員可以結(jié)合實際情況，進行行為控制，但從實際上看，系統(tǒng)上基本沒有統(tǒng)一的訪問互聯(lián)網(wǎng)的部署方式。通過各自的接入方式訪問公網(wǎng)，這樣，整個DCN網(wǎng)的終端安全帶來很大的隱患。沒有統(tǒng)一出口，統(tǒng)一的防護策略，使DCN網(wǎng)防護存在漏洞。

2. 網(wǎng)絡(luò)現(xiàn)狀

全省DCN網(wǎng)設(shè)置長春市和吉林市兩個省級中心節(jié)點，由兩臺高性能的三層核心骨干交換機（華為S8512）和兩臺核心骨干路由器（華為NE80）組成雙星型結(jié)構(gòu)。長春二樞紐節(jié)點作為主用省中心節(jié)點，吉林市節(jié)點作為備用省中心節(jié)點，兩個省中心節(jié)點之間路由器NE80采用GE鏈路相連；另外將省網(wǎng)通大廈作為全省的業(yè)務(wù)中心，網(wǎng)通大廈至兩個省級中心節(jié)點采用GE（到主用省中心）/155M （到備用省中心）鏈路相連，形成全省的核心網(wǎng)絡(luò)。包括四平聯(lián)通在內(nèi)的各地市節(jié)點本地核心路由器為2臺NE40。分公司核心路由器NE40分別通過155M POS 上聯(lián)到兩個省中心節(jié)點NE80路由器，實現(xiàn)鏈路冗余備份。

總體組網(wǎng)結(jié)構(gòu)如圖1。

3. 網(wǎng)絡(luò)建設(shè)方案

為保證DCN網(wǎng)上各項業(yè)務(wù)正常運行，同時滿足辦公需求，在省公司新增華為NE40路由器和Eudemon1000防火墻，包括四平聯(lián)通在內(nèi)的各地市DCN網(wǎng)節(jié)點核心路由器擴容155M POS端口，通過設(shè)置在各分公司的西門子ASON傳輸設(shè)備分別上聯(lián)至省中心二樞紐七樓DCN機房新增NE40路由器，在省公司公網(wǎng)出口上統(tǒng)一部署出口策略和NAT策略，實現(xiàn)各地市DCN網(wǎng)接入全省統(tǒng)一互聯(lián)網(wǎng)出口，保障DCN網(wǎng)絡(luò)安全。

DCN網(wǎng)統(tǒng)一互聯(lián)網(wǎng)出口結(jié)構(gòu)圖見圖2。

4. 上網(wǎng)控制配置

缺省情況下，公司DCN網(wǎng)絡(luò)的用戶是無法通過統(tǒng)一互聯(lián)網(wǎng)出口訪問互聯(lián)網(wǎng)的，需要在地市連接省公司的主用核心路由器NE40上進行配置，具體配置如下：

4.1配置可以上網(wǎng)用戶的規(guī)則

配置命令：

rule-map intervlan 規(guī)則名稱 ip 原ip 反掩碼 目的ip 反掩碼

（注：規(guī)則是應(yīng)用在新加的pos接口上3/0/0，并且是對入方向控制，對應(yīng)的規(guī)則可以從原來出口防火墻上獲取）

例子如下：

rule-map intervlan r-1 ip any 133.200.108.188 0.0.0.0 //允許地址

rule-map intervlan r-2 ip any 133.200.106.150 0.0.0.0 //允許地址

rule-map intervlan r-3 ip any 133.200.130.109 0.0.0.0 //允許地址

rule-map intervlan r-1000 ip any any //拒絕其它所有

4.2關(guān)聯(lián)EACL

配置命令：

eacl eacl的名稱 規(guī)則名稱 permit或deny

例子如下：

eacl internet r-1 permit

eacl internet r-2 permit

eacl internet r-3 permit

eacl internet r-1000 deny //最后一條是deny

4.3應(yīng)用到POS端口上

在一個新建POS接口上應(yīng)用EACL

配置命令：

access-group router eacl eacl-name

例子如下：

interface pos 3/0/0

access-group router eacl internet

4.4取消可以上網(wǎng)用戶的上網(wǎng)功能

配置命令：

undo eacl eacl的名稱 規(guī)則名稱

undo rule-map規(guī)則名稱

例子如下：

undo eacl internet r-1

undo rule-map r-1

5. 統(tǒng)一互聯(lián)網(wǎng)接入情況

目前四平聯(lián)通共有443個終端接入了統(tǒng)一互聯(lián)網(wǎng)出口，代表IP地址及配置命令如下：

rule-map intervlan r-1 ip any 10.62.0.101 0.0.0.0

eacl internet r-1 permit

rule-map intervlan r-2 ip any 10.62.0.164 0

eacl internet r-2 permit

rule-map intervlan r-3 ip any 133.200.124.193 0

eacl internet r-3 permit

rule-map intervlan r-443 ip any 133.200.108.165 0

eacl internet r-443 permit

6 .結(jié)語

吉林省聯(lián)通公司DCN網(wǎng)統(tǒng)一出口工程的實施，實現(xiàn)了全省各地市分公司訪問互聯(lián)網(wǎng)并進行統(tǒng)一管理，實現(xiàn)了互聯(lián)網(wǎng)訪問可管、可控。統(tǒng)一出口具備高速帶寬、強大的性能，可以滿足全省各級公司日益增長的通信需求。更重要的是，通過部署統(tǒng)一互聯(lián)網(wǎng)出口，統(tǒng)一進行安全防護，更好的防護了公網(wǎng)給DCN網(wǎng)帶來的攻擊危害，進一步鞏固了公司的信息安全。

參考文獻：

[1]王景巖，李鳳有 通信公司局域網(wǎng)絡(luò)安全的優(yōu)化 黑龍江科技信息 2011-05-15

[2]黃瑋 江西吉安聯(lián)通DCN網(wǎng)絡(luò)優(yōu)化方案設(shè)計與實現(xiàn) 南京郵電大學碩士論文 2013-03-01

作者簡介：李喬（1982.4），男，吉林四平人，碩士研究生，工程師，研究方向為信息安全。