維護(hù)現(xiàn)狀概述

隨著多網(wǎng)元、多設(shè)備的出現(xiàn)。維護(hù)員為了制作一條局?jǐn)?shù)據(jù)或處理一個故障，需要在不同的設(shè)備網(wǎng)管終端上來回操作，有的設(shè)備更只配備一個維護(hù)臺，這時工程師只能排隊(duì)輪流操作，工作滯后。

目前，各電信機(jī)房普遍實(shí)行集中監(jiān)控，受值班人員專業(yè)水平參差不齊的因素影響，值班人員往往一監(jiān)控到告警，就直接通知相關(guān)專業(yè)人員，有時候因?yàn)橹蛋嗳藛T的表述不清，專業(yè)人員不得不在半夜三更或在惡劣的天氣里從家趕到現(xiàn)場，進(jìn)行故障確認(rèn)。

圖1 網(wǎng)絡(luò)連接

如何讓維護(hù)員使用自已的電腦（不用安裝專業(yè)的維護(hù)軟件）對設(shè)備進(jìn)行維護(hù)，而不用排隊(duì)到專業(yè)網(wǎng)管終端上操作，如何讓工程師在遠(yuǎn)程就可以對設(shè)備進(jìn)行診斷，而不用盲目的趕往現(xiàn)場，這些非常值得探討，該文將從集中維護(hù)網(wǎng)絡(luò)的搭建、維護(hù)臺的配置和相關(guān)安全事項(xiàng)這3個方面來介紹如何實(shí)現(xiàn)集中維護(hù)多網(wǎng)元設(shè)備。

集中維護(hù)多元設(shè)備方案介紹

集中維護(hù)網(wǎng)的搭建

網(wǎng)絡(luò)搭建時采用一臺華為AR-2811路由器和一臺S3928交換機(jī)。（隨著設(shè)備的更新?lián)Q代，有些交換機(jī)和路由器被淘汰下來，可以加以利用，對于交換機(jī)只要能夠劃分VLAN就行，路由器只需要支持NAT功能和能夠支持子接口）如圖1所示。

網(wǎng)絡(luò)連接說明：

1、從A類網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)里引出一條網(wǎng)線接到交換機(jī)1口，歸屬于 VLAN 2。

2、從B類網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)里引出一條網(wǎng)線接到交換機(jī)2口，歸屬于VLAN 3。

3、從C類網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)里引出一條網(wǎng)線接到交換機(jī)3口，歸屬于VLAN 4。

4、交換機(jī)4口連接互聯(lián)網(wǎng)，化入VLAN 5,該口主要用于遠(yuǎn)程VPN 撥號進(jìn)入維護(hù)網(wǎng)段,在遠(yuǎn)程如家里對設(shè)備進(jìn)行操作。

5、交換機(jī)6~10口用于維護(hù)網(wǎng)段,給維護(hù)人員電腦接入使用，不用劃VLAN。

6、交 換 機(jī)11口,連接AR28-11路由器的Ether net0/1,用于維護(hù)網(wǎng)段的網(wǎng)關(guān).不用化VLAN。

7、交 換 機(jī)12口 啟trunk,用于連接AR28-11路由器的Ethernet0/0,透傳各設(shè)備網(wǎng)段的數(shù)據(jù)到路由器上。

交換機(jī)的配置

現(xiàn)在只給出HW-S3928各接口的配置,如下:

配置AR28-11路由器

(0.0.0.255這反掩碼來決定哪些地址可以訪問 A類設(shè)備網(wǎng)絡(luò))

rule 10 deny ip

同理依次創(chuàng)建B、C類設(shè)備的NAT和訪問列表.

通過以上的配置,在維護(hù)網(wǎng)段就可以用一根網(wǎng)線同時訪問A,B,C設(shè)備網(wǎng)段，而不用于頻繁更換網(wǎng)線和網(wǎng)卡的IP地址了。

以上配置滿足了本地訪問需求,若要進(jìn)行遠(yuǎn)程撥號維護(hù)，就要進(jìn)行L2TP VPN的配置,配置如下:

圖2 設(shè)置代理

以上配置完成后L2TP VPN服務(wù)器就已經(jīng)架設(shè)好了。不過對于使用L2tp Vpn,客戶端的 Windows操作系統(tǒng)還需要進(jìn)行如下配置：

（1）修改注冊表，禁用自動L2TP/IPSec 策略：

HKEY_LOCAL_MACHINESystemCurr entControlSetServicesRas manParameters，單 擊Parameters參數(shù)，接著在右邊窗口空白處單擊鼠標(biāo)右鍵，選擇［新建/雙字節(jié)值］并新建一個注冊表值（名稱為Prohib itIPSec，值為 1），然后重新啟動系統(tǒng)。

（2）在網(wǎng)絡(luò)連接里創(chuàng)建一個新的VPN撥號連接，相關(guān)參數(shù)設(shè)置需要和路由器的配置一樣。設(shè)置好后，進(jìn)行VPN撥號，撥號成功后將獲得192.168.0.X的地址，你只要在路由器中把該地址加入到相應(yīng)的ACL number訪問列表中即可。這樣你就可以在遠(yuǎn)程對設(shè)備進(jìn)行操作。

維護(hù)臺的設(shè)置

網(wǎng)絡(luò)通了，只是成功了50%。由于電信設(shè)備的專業(yè)維護(hù)臺主要采用Solaris和Windows兩種操作系統(tǒng)，如果要遠(yuǎn)程維護(hù)就必須把相應(yīng)的電信設(shè)備配備的維護(hù)軟件裝入維護(hù)員的電腦，有的維護(hù)軟件需要運(yùn)行在Unix系統(tǒng)，有的維護(hù)軟件比較大，而且要裝如Oracle,MyAQL server等大型數(shù)據(jù)庫軟件，這對于電腦配置不高的維護(hù)人員來說又是一個問題。如何讓維護(hù)人員的電腦不用安裝消耗資源龐大的維護(hù)軟件，又能輕松在不同電信設(shè)備間進(jìn)行切換操作呢?

使用Unix系統(tǒng)的設(shè)備

如使用的MOTOR的OMC系統(tǒng),維護(hù)員對MOTOR的GSM基站、BSC維護(hù)，都是通過OMC-R維護(hù)臺進(jìn)行，而該維護(hù)臺采用的是Solaris系統(tǒng)。直接在辦公電腦上裝維護(hù)軟件不可能。（辦公電腦大都是Windows系統(tǒng)），目前可以采用以下方案進(jìn)行：

（1）可以采用Netterm、CRT等終端仿真軟件登入維護(hù)臺進(jìn)行，但是這些軟件只能遠(yuǎn)程telnet進(jìn)行命令交互。即只支持文字，不支持圖形界面。

（2）對于需要開啟GUI圖形界面界面時，Netterm,CRT等仿真軟件無法實(shí)現(xiàn)。以下重點(diǎn)介紹可以開啟圖形界面的Xmanager軟件。因?yàn)榫W(wǎng)絡(luò)互通是經(jīng)過路由器NAT來進(jìn)行的，所以在軟件配置時需要設(shè)置代理。如圖2所示。

設(shè)置好后直接連接，就可以象在OMCR維護(hù)臺上一樣操作了。

使用Windows的維護(hù)臺

如使用的華為交換機(jī)維護(hù)工作站,可以利用Window s XP操作系統(tǒng)允許多用戶同時登入的特點(diǎn)，用遠(yuǎn)程桌面連接。這樣不占用專業(yè)維護(hù)臺，又可以利用windows自帶的遠(yuǎn)程桌面連接登入專業(yè)維護(hù)臺，共享該維護(hù)臺對通信設(shè)備進(jìn)行操作，省了在自家電腦裝維護(hù)軟件的麻煩。以下簡要介紹2種配置Windows XP或Windows 2000 server多用戶功能的方法。

（1）直接安裝 WinCo nnect Server XP 多用戶遠(yuǎn)程桌面服務(wù)器軟件，這個方法簡單，但是軟件需要購買，不實(shí)際。

（2）對專業(yè)維護(hù)臺的Windows XP系統(tǒng)進(jìn)行改造(也滿足運(yùn)行維護(hù)規(guī)范要求,不得在專業(yè)維護(hù)網(wǎng)管終端安裝無關(guān)的軟件)，首先從網(wǎng)上下載Build 2055補(bǔ)丁 里 termsrv.dll，在 安 全模式下覆蓋現(xiàn)有系統(tǒng)的里的termsrv.dll這個文件（因?yàn)橹挥蠦uild 2055補(bǔ)丁里termsrv.dll才可以支持多用戶同時登入）。

然后修改注冊表 HKEY_LOCA L_MACHINESYSTEMCurrentControlSetControlTerminal ServerLicensing Core里增加EnableCon currentSessions"=dwo rd:00000001 這項(xiàng)。

最后在計算機(jī)管理里增加一個Remote Desktop User,并允許該用戶遠(yuǎn)程桌面連接.這樣你的Windows XP多用戶系統(tǒng)就設(shè)置好了。開啟Windows XP自帶的遠(yuǎn)程桌面連接軟件進(jìn)行連接(對于Windows 2000的維護(hù)電腦只要把XP里的Mstsc.exe和Mstscax.dll這兩個文件考過來就可以直接使用)，這樣就可以直接共享專業(yè)網(wǎng)管終端對電信設(shè)備進(jìn)行操作。

安全注意事項(xiàng)

(1)可以在路由器上進(jìn)行IP地址和MAC地址綁定，防止部分維護(hù)員改變IP地址，訪問未受權(quán)的設(shè)備。

(2)設(shè)置遠(yuǎn)程VPN的帳號與IP地址綁定,專人專用.在路由器上配置相應(yīng)的安全策略，只開放遠(yuǎn)程撥號所需的端口。不用遠(yuǎn)程維護(hù)功能時拔掉互聯(lián)網(wǎng)網(wǎng)線,需要時才叫機(jī)房人員把網(wǎng)線接上（機(jī)房人員需要做好使用登記）,這樣保證內(nèi)網(wǎng)與互聯(lián)網(wǎng)的物理隔離。

(3)定期對路由器的log和個專業(yè)維護(hù)臺的日志進(jìn)行分析，查看是否有可疑的非法登入。

總結(jié)

通過集中操作維護(hù)，不僅解決了維護(hù)人員排隊(duì)使用網(wǎng)管終端的問題，而且解決了維護(hù)人員在自己的電腦上裝一大堆維護(hù)軟件的麻煩。以此同時又可以遠(yuǎn)程對設(shè)備進(jìn)行操作維護(hù)，對故障的搶修贏得時間。此種方案對于維護(hù)人員和需要遠(yuǎn)程辦公的人員帶來了極大的便利。