XX移动CMNET网络安全优化方案

XX移动CMNET网络安全优化方案

摘 要：从xx移动cmnet网络现状入手，充分剖析现状存在的各种不合理配置、架构设计、不健全的安全设置等，并提出详尽的优化建议，以提升网络健壮性、安全性。 关键词：cmnet 网络 安全 优化

中图分类号：tp393.02 文献标识码：a 文章编号：1007-3973（2013）003-0-02 1 总体介绍 1.1 背景

从2011年始，xx移动在cmnet资源引入、本地资源建设等方面为全业务发展、用户感知提升做了很大努力。至2012年8月，已引入三家三方厂商，建设了2个厂家的内容缓存cache，以及网宿的cdn系统，具备用户业务服务的提供能力；完成cmnet省网智能dns改造，核心接入侧pcc系统、wlan接入侧流量分析系统也正在建设之中。

然而，受到网内资源匮乏等因素的，现网仍存在一些问题，严重影响cmnet网络的安全、平稳运行。为进一步提高xx移动cmnet网络的安全性、健壮性，提升网络疏通能力和用户感知，制定此cmnet网络优化方案。 1.2 优化对象

本优化方案涵盖的网元包括cmnet省网61台，均为华为数通设

备，类型包括ne5000e、ne80e、ne40e、me60，范围涉及cmnet省干核心、地市核心、地市汇聚以及三方出口路由器等。业务涉及集团专线、wlan、家庭宽带业务。 1.3 优化内容

网络安全优化提升通常包括物理架构层面、管理层面、控制层面、数据层面等多方面的内容。物理架构层面则涵盖网络中存在的可能导致单点故障的节点、链路、板位、端口等内容；管理层面则包括帐号、口令、登录、认证、加密、访问控制等方面，涉及设备安全管理的诸多内容；控制层面则包括igp、bgp、ldp、icmp、arp等网络控制协议的内容；数据层面则指防病毒、防攻击、urpf等基于数据保护为目的的内容。 2 组网情况介绍

xx移动cmnet省网核心由2台ne5000e组成，每台ne5000e分别通过2条10g链路上联到集团cmnet骨干节点。各地市核心由2台ne80e组成，全省共12个地市，每个业务量大的地市单边采用10g加2.5g的方式连接到省网核心；每个业务量小的地市单边采用2.5g加155兆的方式连接到省网核心。

省核心设置2个核心机房，在每个核心机房内采用ne40e和ne80e为接入设备，单边采用10g链路连接到省网核心ne5000e，主要承载省内自有业务。整个cmnet省网设置一个三方出口，负责全省集团客户业务流量的疏导。

地市公司用2台ne80e作为城域网的核心，2台ne80e/ne40e作为地市业务路由器sr；2台华为s9306作为地市wlan业务的汇聚交换机；ims业务通过专用防火墙e8080e接入ip承载网络。 3 物理架构层面优化建议

省干汇聚、核心层采用口字型设计，城域接入、汇聚层下行设备双归至上行设备，提高网络可靠性及利用率。不同层次的关键节点（如：ne5000e、ne80e）具备异地容灾能力。

了解了网元间的连接端口及连接关系，我们就可以分析网络中存在的单点故障风险了。下面详细分析xx移动cmnet网络中存在单点故障风险的链路位置。 具体位置信息如下：

（1）单点故障风险：省干两台核心ne5000e间直连20g链路、省干ne5000e与路由反射器rr间互联eth-trunk 2g链路成员的端口、 xx市sr ne80e-1双归于汇聚层两台ne80e的两条ge链路、核心交换机s8016-2上联eth-trunk两条ge链路位于同一块单板，单板故障后，缺失冗余备份能力。

（2）流量冲击风险：各地市均存在核心层设备下连sr接口位于同一块单板，核心局两台ne80e下联s8016交换机的两条ge链路位于同一块单板，若单板故障，会引起对端设备突发流量冲击。 4 管理层面安全优化建议

本次管理平面的安全检测对包括帐号、口令、登录、认证、加

密、访问控制等方面内容进行检测，结果如下所示。

通过检测，我们发现存在如下问题，并提出了提升管理层面安全水平的建议。

（1）部分设备未配置用户登录认证方式为用户名加密码，需及时配置，并保证密码满足安全规范要求，即密码至少6位，包括字母、数字、大小写、特殊字符等。

（2）部分设备用户授权未实现分级分权管理，建议及时实施分权配置，便于安全管控和安全审计。

（3）部分设备未允许telnet/ssh远程登录认证的管理网段和管理主机，严重影响网络安全，建议及时配置，同时建议采用安全的ssh协议进行远程登录。

（4）部分设备登录超时时间配置过长，建议设置idle-timeout控制登陆的idle时间，严重影响网络安全，建议及时配置。 （5）部分设备未允许通过snmp协议进行网络管理的网管主机ip地址范围，严重影响网络安全，建议及时配置，采用安全的snmp协议版本snmpv3。

（6）部分设备未配置登录认证用户名，部分设备未使能特权密码保护，部分设备未将特权密码保护设置为md5加密方式，部分设备未采用密文方式保存本地用户密码，严重影响设备安全，建议及时配置。

（7）建议各网络设备均配置console端口密码保护功能，设置

登录提示及隐私声明（login banner），提升网络设备安全等级。 5 控制层面安全优化建议

控制平面的安全检测通过对包括igp、bgp、ldp、icmp、arp等网络控制协议的内容进行检测，加之对网络设备配置进行人工审计。检测结果如下所示。

通过评估，我们发现如下问题，并提出提升控制层面安全水平的建议：

（1）部分设备未配置实例路由表数量检查，未配置ospf/isis/bgp协议md5认证，未配置ldp邻居md5认证，严重影响网络安全运行，建议及时配置。

（2）部分设备启用icmp重定向功能和arp代理功能，建议审核开启的必要性，非必要情况及时关闭。 6 安全优化建议总结

基于以上评估，我们得出以下结论：

（1）物理架构方面，建议尽快调整、更换存在风险的互联链路端口，减少单点故障和流量冲击风险，提高冗余备份能力。 （2）组网架构方面，建议调整各地市家宽业务nat防火墙设备组网，避免设备故障影响该地市一半的个人宽带上网业务。同时，为使私网ip地址池利用率最大化，以及用户上网日志审计平台集中建设的便利性，建议在省干出口集中部署nat防火墙设备，组建双机热备双挂于省干出口。

（3）管理层面，存在部分路由器未设置用户名+密码登录认证方式，未分级分权管理未设置远程登录ip地址，未设置snmp协议源ip地址，超时时间设置过长，密码明文显示等问题。建议将网络设备登录管理纳入4a管控平台，实现集中化管理。 （4）控制层面，现网部分设备未配置igp/bgp/ldp等协议md5认证功能，建议尽快部署。

（5）数据层面，现网省干关键节点设备具备基本的防网络、防病毒攻击能力，但在地市sr层面建议尽快部署防病毒、防攻击、urpf等数据平面安全防护策略。 7 总结

通过对xx省cmnet网络安全现状的梳理，找出了一些影响cmnet网络质量的问题，提出了切实可行的优化建议。同时，通过梳理使笔者学会了网络评估的方法，评估工具的使用，加深了对网络架构的理解。 参考文献：

[1] 周艳萍.ip网络质量评估呈现系统的设计与实现[d].北京邮电大学，2010.

[2] 李可，薛质，铁玲.ip网络拓扑自动发现研究[j].计算机工程，2004（05）.

[3] 庄锁法，龚俭.网络拓扑发现综述[j].计算机技术与发展，2007（10）.