隨著多網元、多設備的出現。維護員為了制作一條局數據或處理一個故障,需要在不同的設備網管終端上來回操作,有的設備更只配備一個維護臺,這時工程師只能排隊輪流操作,工作滯后。
目前,各電信機房普遍實行集中監(jiān)控,受值班人員專業(yè)水平參差不齊的因素影響,值班人員往往一監(jiān)控到告警,就直接通知相關專業(yè)人員,有時候因為值班人員的表述不清,專業(yè)人員不得不在半夜三更或在惡劣的天氣里從家趕到現場,進行故障確認。
圖1 網絡連接
如何讓維護員使用自已的電腦(不用安裝專業(yè)的維護軟件)對設備進行維護,而不用排隊到專業(yè)網管終端上操作,如何讓工程師在遠程就可以對設備進行診斷,而不用盲目的趕往現場,這些非常值得探討,該文將從集中維護網絡的搭建、維護臺的配置和相關安全事項這3個方面來介紹如何實現集中維護多網元設備。
網絡搭建時采用一臺華為AR-2811路由器和一臺S3928交換機。(隨著設備的更新?lián)Q代,有些交換機和路由器被淘汰下來,可以加以利用,對于交換機只要能夠劃分VLAN就行,路由器只需要支持NAT功能和能夠支持子接口)如圖1所示。
網絡連接說明:
1、從A類網絡設備的網絡里引出一條網線接到交換機1口,歸屬于 VLAN 2。
2、從B類網絡設備的網絡里引出一條網線接到交換機2口,歸屬于VLAN 3。
3、從C類網絡設備的網絡里引出一條網線接到交換機3口,歸屬于VLAN 4。
4、交換機4口連接互聯(lián)網,化入VLAN 5,該口主要用于遠程VPN 撥號進入維護網段,在遠程如家里對設備進行操作。
5、交換機6~10口用于維護網段,給維護人員電腦接入使用,不用劃VLAN。
6、交 換 機11口,連接AR28-11路由器的Ether net0/1,用于維護網段的網關.不用化VLAN。
7、交 換 機12口 啟trunk,用于連接AR28-11路由器的Ethernet0/0,透傳各設備網段的數據到路由器上。
現在只給出HW-S3928各接口的配置,如下:
(0.0.0.255這反掩碼來決定哪些地址可以訪問 A類設備網絡)
rule 10 deny ip
同理依次創(chuàng)建B、C類設備的NAT和訪問列表.
通過以上的配置,在維護網段就可以用一根網線同時訪問A,B,C設備網段,而不用于頻繁更換網線和網卡的IP地址了。
以上配置滿足了本地訪問需求,若要進行遠程撥號維護,就要進行L2TP VPN的配置,配置如下:
圖2 設置代理
以上配置完成后L2TP VPN服務器就已經架設好了。不過對于使用L2tp Vpn,客戶端的 Windows操作系統(tǒng)還需要進行如下配置:
(1)修改注冊表,禁用自動L2TP/IPSec 策略:
HKEY_LOCAL_MACHINESystemCurr entControlSetServicesRas manParameters,單 擊Parameters參數,接著在右邊窗口空白處單擊鼠標右鍵,選擇[新建/雙字節(jié)值]并新建一個注冊表值(名稱為Prohib itIPSec,值為 1),然后重新啟動系統(tǒng)。
(2)在網絡連接里創(chuàng)建一個新的VPN撥號連接,相關參數設置需要和路由器的配置一樣。設置好后,進行VPN撥號,撥號成功后將獲得192.168.0.X的地址,你只要在路由器中把該地址加入到相應的ACL number訪問列表中即可。這樣你就可以在遠程對設備進行操作。
網絡通了,只是成功了50%。由于電信設備的專業(yè)維護臺主要采用Solaris和Windows兩種操作系統(tǒng),如果要遠程維護就必須把相應的電信設備配備的維護軟件裝入維護員的電腦,有的維護軟件需要運行在Unix系統(tǒng),有的維護軟件比較大,而且要裝如Oracle,MyAQL server等大型數據庫軟件,這對于電腦配置不高的維護人員來說又是一個問題。如何讓維護人員的電腦不用安裝消耗資源龐大的維護軟件,又能輕松在不同電信設備間進行切換操作呢?
如使用的MOTOR的OMC系統(tǒng),維護員對MOTOR的GSM基站、BSC維護,都是通過OMC-R維護臺進行,而該維護臺采用的是Solaris系統(tǒng)。直接在辦公電腦上裝維護軟件不可能。(辦公電腦大都是Windows系統(tǒng)),目前可以采用以下方案進行:
(1)可以采用Netterm、CRT等終端仿真軟件登入維護臺進行,但是這些軟件只能遠程telnet進行命令交互。即只支持文字,不支持圖形界面。
(2)對于需要開啟GUI圖形界面界面時,Netterm,CRT等仿真軟件無法實現。以下重點介紹可以開啟圖形界面的Xmanager軟件。因為網絡互通是經過路由器NAT來進行的,所以在軟件配置時需要設置代理。如圖2所示。
設置好后直接連接,就可以象在OMCR維護臺上一樣操作了。
如使用的華為交換機維護工作站,可以利用Window s XP操作系統(tǒng)允許多用戶同時登入的特點,用遠程桌面連接。這樣不占用專業(yè)維護臺,又可以利用windows自帶的遠程桌面連接登入專業(yè)維護臺,共享該維護臺對通信設備進行操作,省了在自家電腦裝維護軟件的麻煩。以下簡要介紹2種配置Windows XP或Windows 2000 server多用戶功能的方法。
(1)直接安裝 WinCo nnect Server XP 多用戶遠程桌面服務器軟件,這個方法簡單,但是軟件需要購買,不實際。
(2)對專業(yè)維護臺的Windows XP系統(tǒng)進行改造(也滿足運行維護規(guī)范要求,不得在專業(yè)維護網管終端安裝無關的軟件),首先從網上下載Build 2055補丁 里 termsrv.dll,在 安 全模式下覆蓋現有系統(tǒng)的里的termsrv.dll這個文件(因為只有Build 2055補丁里termsrv.dll才可以支持多用戶同時登入)。
然后修改注冊表 HKEY_LOCA L_MACHINESYSTEMCurrentControlSetControlTerminal ServerLicensing Core里增加EnableCon currentSessions"=dwo rd:00000001 這項。
最后在計算機管理里增加一個Remote Desktop User,并允許該用戶遠程桌面連接.這樣你的Windows XP多用戶系統(tǒng)就設置好了。開啟Windows XP自帶的遠程桌面連接軟件進行連接(對于Windows 2000的維護電腦只要把XP里的Mstsc.exe和Mstscax.dll這兩個文件考過來就可以直接使用),這樣就可以直接共享專業(yè)網管終端對電信設備進行操作。
(1)可以在路由器上進行IP地址和MAC地址綁定,防止部分維護員改變IP地址,訪問未受權的設備。
(2)設置遠程VPN的帳號與IP地址綁定,專人專用.在路由器上配置相應的安全策略,只開放遠程撥號所需的端口。不用遠程維護功能時拔掉互聯(lián)網網線,需要時才叫機房人員把網線接上(機房人員需要做好使用登記),這樣保證內網與互聯(lián)網的物理隔離。
(3)定期對路由器的log和個專業(yè)維護臺的日志進行分析,查看是否有可疑的非法登入。
通過集中操作維護,不僅解決了維護人員排隊使用網管終端的問題,而且解決了維護人員在自己的電腦上裝一大堆維護軟件的麻煩。以此同時又可以遠程對設備進行操作維護,對故障的搶修贏得時間。此種方案對于維護人員和需要遠程辦公的人員帶來了極大的便利。