寬帶接入網(wǎng)還是比較常用的，于是我研究了一下IP寬帶接入網(wǎng)的電信級(jí)管理，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。以太網(wǎng)原來(lái)是為局域網(wǎng)企事業(yè)用戶內(nèi)部應(yīng)用設(shè)計(jì)的，缺乏安全機(jī)制保證。即便有需求也是由高層協(xié)議來(lái)處理。以太網(wǎng)也不能像SDH那樣分離網(wǎng)管信息和用戶信息，安全性不如SDH網(wǎng)。當(dāng)擴(kuò)展到MAN和WAN以后，將有大量的終端用戶由同一個(gè)基礎(chǔ)設(shè)施提供服務(wù)時(shí)，上述利用高層協(xié)議的處理方法就無(wú)法接受了，需要開(kāi)發(fā)新的安全和加密機(jī)制。

寬帶接入網(wǎng)中的安全需求主要來(lái)源于兩方面，其一是設(shè)備本身的安全，其二是網(wǎng)絡(luò)的安全。寬帶接入網(wǎng)中的以太設(shè)備，首先要考慮網(wǎng)管層面的安全，另一方面，雖然大多數(shù)DDOS攻擊是面向三層設(shè)備的，但各種Proxy/Snooping類的協(xié)議同樣可能成為DDOS攻擊的犧牲品，所以這類協(xié)議的安全特性也同樣重要。

在網(wǎng)絡(luò)安全性方面，寬帶接入網(wǎng)要盡可能地阻止ARP/ICMP/MAC攻擊的進(jìn)入、防止網(wǎng)絡(luò)廣播風(fēng)暴的發(fā)生，過(guò)濾蠕蟲(chóng)病毒數(shù)據(jù)幀，防止非法竊聽(tīng)。在這些方面，目前有VLAN/QinQ隔離、MAC綁定、MAC數(shù)量限制、廣播/ICMP抑制、MAC/IP/L4過(guò)濾、SSHv2加密/SNMPv3安全訪問(wèn)、VLANJump等特性可用。

在網(wǎng)絡(luò)實(shí)際環(huán)境中，隨著計(jì)算機(jī)性能的不斷提升，針對(duì)網(wǎng)絡(luò)中的交換機(jī)、路由器或其它計(jì)算機(jī)等設(shè)備的攻擊趨勢(shì)越來(lái)越嚴(yán)重，影響越來(lái)越劇烈。交換機(jī)作為局域網(wǎng)信息交換的主要設(shè)備，特別是運(yùn)營(yíng)商網(wǎng)絡(luò)中的交換機(jī)承載著極高的數(shù)據(jù)流量，在突發(fā)異常數(shù)據(jù)或攻擊時(shí)，極易造成負(fù)載過(guò)重或宕機(jī)現(xiàn)象。為了盡可能抑制攻擊帶來(lái)的影響，減輕交換機(jī)的負(fù)載，使運(yùn)營(yíng)網(wǎng)絡(luò)穩(wěn)定運(yùn)行，ISCOM系列交換機(jī)上應(yīng)用了一些安全防范技術(shù)，有效地啟用和配置這些技術(shù)，凈化局域網(wǎng)環(huán)境。

電信級(jí)管理

以太技術(shù)本身不是為運(yùn)營(yíng)級(jí)別網(wǎng)絡(luò)設(shè)計(jì)的，在一些方面不具備運(yùn)營(yíng)級(jí)別網(wǎng)絡(luò)應(yīng)該有的特性。原來(lái)用于局域網(wǎng)的以太網(wǎng)技術(shù)難以提供端到端的業(yè)務(wù)管理、故障檢測(cè)和性能監(jiān)視，主要采用基于IP的OAM協(xié)議，例如SNMP、IP ping和IP traceroute等來(lái)部分提供這些功能，但是局域網(wǎng)的以太網(wǎng)OAM技術(shù)一方面僅能提供諸如可達(dá)性等簡(jiǎn)單的管理，不能提供基于整個(gè)網(wǎng)絡(luò)的各種必須的運(yùn)維手段;另一方面是這些簡(jiǎn)單管理也必須在以太網(wǎng)層工作正常時(shí)運(yùn)行，一旦以太網(wǎng)層本身出了故障就無(wú)法進(jìn)行管理和維護(hù)了。

瑞斯康達(dá)作為一家面向運(yùn)營(yíng)商的以太網(wǎng)設(shè)備供應(yīng)商，在ISCOM 系列交換機(jī)上不僅實(shí)現(xiàn)了基于鏈路的 802。3ah OAM，而且也實(shí)現(xiàn)了基于域的802。1ag OAM，彌補(bǔ)原有以太網(wǎng)在此方面的不足，增強(qiáng)其在連接監(jiān)視、故障定位、告警指示和性能管理等方面的OAM能力，從而完善其對(duì)網(wǎng)絡(luò)、設(shè)備和業(yè)務(wù)的管理與控制，滿足運(yùn)營(yíng)商建設(shè)可運(yùn)營(yíng)、可管理、可盈利網(wǎng)絡(luò)的要求，

在ISCOM系列交換機(jī)上，通過(guò)OAM功能的部署，可以幫助運(yùn)營(yíng)商用戶定位故障，區(qū)分故障到底在最終用戶(如專網(wǎng)用戶)，還是業(yè)務(wù)提供商，或者網(wǎng)絡(luò)運(yùn)營(yíng)商，從而使各個(gè)組織的管理維護(hù)范圍、責(zé)任界限更加清晰，當(dāng)用戶上報(bào)故障后，服務(wù)提供商可以快速、準(zhǔn)確的排除故障，這樣，將使龐大的運(yùn)營(yíng)網(wǎng)管理起來(lái)更加簡(jiǎn)單、更加有效!