隨著多網(wǎng)元、多設(shè)備的出現(xiàn)。維護(hù)員為了制作一條局?jǐn)?shù)據(jù)或處理一個故障,需要在不同的設(shè)備網(wǎng)管終端上來回操作,有的設(shè)備更只配備一個維護(hù)臺,這時工程師只能排隊(duì)輪流操作,工作滯后。
目前,各電信機(jī)房普遍實(shí)行集中監(jiān)控,受值班人員專業(yè)水平參差不齊的因素影響,值班人員往往一監(jiān)控到告警,就直接通知相關(guān)專業(yè)人員,有時候因?yàn)橹蛋嗳藛T的表述不清,專業(yè)人員不得不在半夜三更或在惡劣的天氣里從家趕到現(xiàn)場,進(jìn)行故障確認(rèn)。
圖1 網(wǎng)絡(luò)連接
如何讓維護(hù)員使用自已的電腦(不用安裝專業(yè)的維護(hù)軟件)對設(shè)備進(jìn)行維護(hù),而不用排隊(duì)到專業(yè)網(wǎng)管終端上操作,如何讓工程師在遠(yuǎn)程就可以對設(shè)備進(jìn)行診斷,而不用盲目的趕往現(xiàn)場,這些非常值得探討,該文將從集中維護(hù)網(wǎng)絡(luò)的搭建、維護(hù)臺的配置和相關(guān)安全事項(xiàng)這3個方面來介紹如何實(shí)現(xiàn)集中維護(hù)多網(wǎng)元設(shè)備。
網(wǎng)絡(luò)搭建時采用一臺華為AR-2811路由器和一臺S3928交換機(jī)。(隨著設(shè)備的更新?lián)Q代,有些交換機(jī)和路由器被淘汰下來,可以加以利用,對于交換機(jī)只要能夠劃分VLAN就行,路由器只需要支持NAT功能和能夠支持子接口)如圖1所示。
網(wǎng)絡(luò)連接說明:
1、從A類網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)里引出一條網(wǎng)線接到交換機(jī)1口,歸屬于 VLAN 2。
2、從B類網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)里引出一條網(wǎng)線接到交換機(jī)2口,歸屬于VLAN 3。
3、從C類網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)里引出一條網(wǎng)線接到交換機(jī)3口,歸屬于VLAN 4。
4、交換機(jī)4口連接互聯(lián)網(wǎng),化入VLAN 5,該口主要用于遠(yuǎn)程VPN 撥號進(jìn)入維護(hù)網(wǎng)段,在遠(yuǎn)程如家里對設(shè)備進(jìn)行操作。
5、交換機(jī)6~10口用于維護(hù)網(wǎng)段,給維護(hù)人員電腦接入使用,不用劃VLAN。
6、交 換 機(jī)11口,連接AR28-11路由器的Ether net0/1,用于維護(hù)網(wǎng)段的網(wǎng)關(guān).不用化VLAN。
7、交 換 機(jī)12口 啟trunk,用于連接AR28-11路由器的Ethernet0/0,透傳各設(shè)備網(wǎng)段的數(shù)據(jù)到路由器上。
現(xiàn)在只給出HW-S3928各接口的配置,如下:
(0.0.0.255這反掩碼來決定哪些地址可以訪問 A類設(shè)備網(wǎng)絡(luò))
rule 10 deny ip
同理依次創(chuàng)建B、C類設(shè)備的NAT和訪問列表.
通過以上的配置,在維護(hù)網(wǎng)段就可以用一根網(wǎng)線同時訪問A,B,C設(shè)備網(wǎng)段,而不用于頻繁更換網(wǎng)線和網(wǎng)卡的IP地址了。
以上配置滿足了本地訪問需求,若要進(jìn)行遠(yuǎn)程撥號維護(hù),就要進(jìn)行L2TP VPN的配置,配置如下:
圖2 設(shè)置代理
以上配置完成后L2TP VPN服務(wù)器就已經(jīng)架設(shè)好了。不過對于使用L2tp Vpn,客戶端的 Windows操作系統(tǒng)還需要進(jìn)行如下配置:
(1)修改注冊表,禁用自動L2TP/IPSec 策略:
HKEY_LOCAL_MACHINESystemCurr entControlSetServicesRas manParameters,單 擊Parameters參數(shù),接著在右邊窗口空白處單擊鼠標(biāo)右鍵,選擇[新建/雙字節(jié)值]并新建一個注冊表值(名稱為Prohib itIPSec,值為 1),然后重新啟動系統(tǒng)。
(2)在網(wǎng)絡(luò)連接里創(chuàng)建一個新的VPN撥號連接,相關(guān)參數(shù)設(shè)置需要和路由器的配置一樣。設(shè)置好后,進(jìn)行VPN撥號,撥號成功后將獲得192.168.0.X的地址,你只要在路由器中把該地址加入到相應(yīng)的ACL number訪問列表中即可。這樣你就可以在遠(yuǎn)程對設(shè)備進(jìn)行操作。
網(wǎng)絡(luò)通了,只是成功了50%。由于電信設(shè)備的專業(yè)維護(hù)臺主要采用Solaris和Windows兩種操作系統(tǒng),如果要遠(yuǎn)程維護(hù)就必須把相應(yīng)的電信設(shè)備配備的維護(hù)軟件裝入維護(hù)員的電腦,有的維護(hù)軟件需要運(yùn)行在Unix系統(tǒng),有的維護(hù)軟件比較大,而且要裝如Oracle,MyAQL server等大型數(shù)據(jù)庫軟件,這對于電腦配置不高的維護(hù)人員來說又是一個問題。如何讓維護(hù)人員的電腦不用安裝消耗資源龐大的維護(hù)軟件,又能輕松在不同電信設(shè)備間進(jìn)行切換操作呢?
如使用的MOTOR的OMC系統(tǒng),維護(hù)員對MOTOR的GSM基站、BSC維護(hù),都是通過OMC-R維護(hù)臺進(jìn)行,而該維護(hù)臺采用的是Solaris系統(tǒng)。直接在辦公電腦上裝維護(hù)軟件不可能。(辦公電腦大都是Windows系統(tǒng)),目前可以采用以下方案進(jìn)行:
(1)可以采用Netterm、CRT等終端仿真軟件登入維護(hù)臺進(jìn)行,但是這些軟件只能遠(yuǎn)程telnet進(jìn)行命令交互。即只支持文字,不支持圖形界面。
(2)對于需要開啟GUI圖形界面界面時,Netterm,CRT等仿真軟件無法實(shí)現(xiàn)。以下重點(diǎn)介紹可以開啟圖形界面的Xmanager軟件。因?yàn)榫W(wǎng)絡(luò)互通是經(jīng)過路由器NAT來進(jìn)行的,所以在軟件配置時需要設(shè)置代理。如圖2所示。
設(shè)置好后直接連接,就可以象在OMCR維護(hù)臺上一樣操作了。
如使用的華為交換機(jī)維護(hù)工作站,可以利用Window s XP操作系統(tǒng)允許多用戶同時登入的特點(diǎn),用遠(yuǎn)程桌面連接。這樣不占用專業(yè)維護(hù)臺,又可以利用windows自帶的遠(yuǎn)程桌面連接登入專業(yè)維護(hù)臺,共享該維護(hù)臺對通信設(shè)備進(jìn)行操作,省了在自家電腦裝維護(hù)軟件的麻煩。以下簡要介紹2種配置Windows XP或Windows 2000 server多用戶功能的方法。
(1)直接安裝 WinCo nnect Server XP 多用戶遠(yuǎn)程桌面服務(wù)器軟件,這個方法簡單,但是軟件需要購買,不實(shí)際。
(2)對專業(yè)維護(hù)臺的Windows XP系統(tǒng)進(jìn)行改造(也滿足運(yùn)行維護(hù)規(guī)范要求,不得在專業(yè)維護(hù)網(wǎng)管終端安裝無關(guān)的軟件),首先從網(wǎng)上下載Build 2055補(bǔ)丁 里 termsrv.dll,在 安 全模式下覆蓋現(xiàn)有系統(tǒng)的里的termsrv.dll這個文件(因?yàn)橹挥蠦uild 2055補(bǔ)丁里termsrv.dll才可以支持多用戶同時登入)。
然后修改注冊表 HKEY_LOCA L_MACHINESYSTEMCurrentControlSetControlTerminal ServerLicensing Core里增加EnableCon currentSessions"=dwo rd:00000001 這項(xiàng)。
最后在計算機(jī)管理里增加一個Remote Desktop User,并允許該用戶遠(yuǎn)程桌面連接.這樣你的Windows XP多用戶系統(tǒng)就設(shè)置好了。開啟Windows XP自帶的遠(yuǎn)程桌面連接軟件進(jìn)行連接(對于Windows 2000的維護(hù)電腦只要把XP里的Mstsc.exe和Mstscax.dll這兩個文件考過來就可以直接使用),這樣就可以直接共享專業(yè)網(wǎng)管終端對電信設(shè)備進(jìn)行操作。
(1)可以在路由器上進(jìn)行IP地址和MAC地址綁定,防止部分維護(hù)員改變IP地址,訪問未受權(quán)的設(shè)備。
(2)設(shè)置遠(yuǎn)程VPN的帳號與IP地址綁定,專人專用.在路由器上配置相應(yīng)的安全策略,只開放遠(yuǎn)程撥號所需的端口。不用遠(yuǎn)程維護(hù)功能時拔掉互聯(lián)網(wǎng)網(wǎng)線,需要時才叫機(jī)房人員把網(wǎng)線接上(機(jī)房人員需要做好使用登記),這樣保證內(nèi)網(wǎng)與互聯(lián)網(wǎng)的物理隔離。
(3)定期對路由器的log和個專業(yè)維護(hù)臺的日志進(jìn)行分析,查看是否有可疑的非法登入。
通過集中操作維護(hù),不僅解決了維護(hù)人員排隊(duì)使用網(wǎng)管終端的問題,而且解決了維護(hù)人員在自己的電腦上裝一大堆維護(hù)軟件的麻煩。以此同時又可以遠(yuǎn)程對設(shè)備進(jìn)行操作維護(hù),對故障的搶修贏得時間。此種方案對于維護(hù)人員和需要遠(yuǎn)程辦公的人員帶來了極大的便利。