CN210807298U - 传输网网管系统 - Google Patents

Abstract

本申请公开了一种传输网网管系统。其中，该方法包括：维护系统节点，包括：接入通信设备、与接入通信设备连接的计算设备和网关网元；网管数据网核心节点，包括：主设备、从设备、主备用网关网元、隔离设备、安全设备和核心通信设备，其中，通过安全设备接入至网管数据网核心节点中的至少一个设备，使得对网络上传输的数据进行安全传输。本申请解决了通信网管网络与信息安全存在风险，导致通信网管网络与信息安全性差的问题的技术问题。

Description

传输网网管系统

技术领域

本申请涉及传输网网络管理领域，具体而言，涉及一种传输网网管系统。

背景技术

目前，跨地区的大型集团公司内部的通信传输网一般采用集中管理模式，实现传输网网管系统异地部署。而在这种集中管理模式下，网管系统集中运行一段时间后，会出现通信网管网络与信息安全存在风险，导致通信网管网络与信息安全性差的问题。

针对上述技术问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种传输网网管系统，以至少解决通信网管网络与信息安全存在风险，导致通信网管网络与信息安全性差的问题的技术问题。

根据本申请实施例的一个方面，提供了一种传输网网管系统，包括：维护系统节点，包括：接入通信设备、与接入通信设备连接的计算设备和网关网元；网管数据网核心节点，包括：主设备、从设备、主备用网关网元、隔离设备、安全设备和核心通信设备，其中，通过安全设备接入至网管数据网核心节点中的至少一个设备，使得对网络上传输的数据进行安全传输。

可选地，所述接入通信设备包括接入交换机、接入网关和接入路由器，其中，所述计算设备和所述网关网元经由所述接入交换机、所述接入网关和所述接入路由器，与所述网管数据网核心节点进行数据通讯；其中，所述计算设备与所述网关网元互通，并划分在同一个VPN中，且与外部系统之间处于隔离状态。

可选地，所述系统还包括：所述主设备、所述从设备和所述主备用网关网元之间同时通信，且所述主设备、所述从设备之间进行数据同步；通过所述隔离设备控制所述主设备、所述从设备和所述主备用网关网元，与外部系统进行隔离，其中，所述隔离设备为单向隔离装置。

可选地，所述核心通信设备包括：核心交换机、核心路由器和核心网关，其中，所述主设备、所述从设备和所述主备用网关网元经由所述核心通信设备与所述维护系统节点进行通信。

可选地，所述安全设备包括：入侵检测设备、防病毒设备、认证网关；其中，所述入侵检测设备和所述防病毒设备接入所述核心交换机，用于监测经由所述交换机的通信数据；所述认证网关接入所述核心交换机和所述核心路由器之间，用于对通过所述核心路由器进入的数据进行安全认证。

可选地，所述网管数据网核心节点还包括：部署于核心交换机、核心路由器和核心网关中的防火墙，用于划分得到不同的安全区域，禁止区域内部的非法接入行为。

可选地，所述传输网网管系统还包括：不同安全区域之间采用访问控制策略。

可选地，所述传输网网管系统还包括：部署了日志集的审计设备，接入所述维护系统节点和/或所述网管数据网核心节点，用于审计网络中的访问行为。

可选地，所述传输网网管系统的网络链路、网管数据网核心节点和维护系统节点中的设备采用双链路、双机部署模式。

可选地，所述传输网网管系统还包括：TMS系统，通过所述隔离设备接入所述网管数据网核心节点。

在本申请实施例中，提供了一种传输网网管系统，包括：维护系统节点，包括：接入通信设备、与接入通信设备连接的计算设备和网关网元；网管数据网核心节点，包括：主设备、从设备、主备用网关网元、隔离设备、安全设备和核心通信设备，其中，通过安全设备接入至网管数据网核心节点中的至少一个设备，使得对网络上传输的数据进行安全传输，从而实现了更好地保证传输网网管安全稳定运行的技术效果，进而解决了通信网管网络与信息安全存在风险，导致通信网管网络与信息安全性差的问题的技术问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是根据本申请实施例的一种传输网网管系统的结构图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

图1是根据本申请实施例的一种传输网网管系统的结构图，如图1所示，该系统包括：

维护系统节点10，包括：接入通信设备、与接入通信设备连接的计算设备和网关网元。

网管数据网核心节点12，包括：主设备、从设备、主备用网关网元、隔离设备、安全设备和核心通信设备，其中，通过安全设备接入至网管数据网核心节点中的至少一个设备，使得对网络上传输的数据进行安全传输。

通过上述系统，可以实现更好地保证传输网网管安全稳定运行的技术效果。

根据本申请的一个可选的实施例，上述接入通信设备包括接入交换机、接入网关和接入路由器，其中，所述计算设备和所述网关网元经由所述接入交换机、所述接入网关和所述接入路由器，与所述网管数据网核心节点进行数据通讯；其中，所述计算设备与所述网关网元互通，并划分在同一个VPN中，且与外部系统之间处于隔离状态。

根据本申请的一个可选的实施例，每套传输网网管系统应至少单独划分1个VPN。计算设备应与本系统服务器通信，但与本系统网关网元隔离。为满足上述要求，采取如下方案：

为了对网关网元和计算设备进行隔离，需将网管服务器配置成双网卡服务器，每个系统建设2个VPN，其中1个为网关网元与数据通信网(Data Communication Network,DCN)服务器通信，另一个为本系统计算设备与本地系统服务器通信。

根据本申请的一个可选的实施例，所述主设备、所述从设备和所述主备用网关网元之间同时通信，且所述主设备、所述从设备之间进行数据同步；通过所述隔离设备控制所述主设备、所述从设备和所述主备用网关网元，与外部系统进行隔离，其中，所述隔离设备为单向隔离装置。

传输网网管系统使用的承载网络总体上应划分为生产控制大区和管理信息大区，两个大区之间应实现横向隔离，部署单向隔离装置；涉及上下级单位互联业务的通信设备网管系统使用的承载网络应在纵向边界实现安全认证，部署纵向认证网关，重点强化边界防护。

根据本申请的一个可选的实施例，所述核心通信设备包括：核心交换机、核心路由器和核心网关，其中，所述主设备、所述从设备和所述主备用网关网元经由所述核心通信设备与所述维护系统节点进行通信。

在本申请的一个可选的实施例中，所述安全设备包括：入侵检测设备、防病毒设备、认证网关；其中，所述入侵检测设备和所述防病毒设备接入所述核心交换机，用于监测经由所述交换机的通信数据；所述认证网关接入所述核心交换机和所述核心路由器之间，用于对通过所述核心路由器进入的数据进行安全认证。

根据本申请的一个可选的实施例中，上述传输网网管系统具备入侵防范、恶意代码防范、漏洞扫描相关安全功能，在网络中部署入侵防御系统、防病毒系统、漏洞扫描系统，能够监视网络边界处和网络内部的入侵行为，对网络边界和网络内部的恶意代码进行检测和清除，在关键网络节点处对垃圾邮件进行检测和防护。定期开展漏洞扫描工作，一旦发现漏洞，在不影响业务的情况下更新漏洞补丁。

根据本申请的一个可选的实施例，所述网管数据网核心节点还包括：部署于核心交换机、核心路由器和核心网关中的防火墙，用于划分得到不同的安全区域，禁止区域内部的非法接入行为。

根据本申请的一个可选的实施例，所述传输网网管系统还包括：不同安全区域之间采用访问控制策略。

网管系统所在网络的边界处采用防护措施，部署防火墙，并合理划分区域，不同区域之间采用严格的访问控制策略，部署防火墙，并禁止区域内部的非法接入行为。

在本申请的一个可选的实施例中，上述传输网网管系统还包括：部署了日志集的审计设备，接入所述维护系统节点和/或所述网管数据网核心节点，用于审计网络中的访问行为。

网管系统实现集中审计机制，部署日志集中审计系统，能够对现有的通信设备网管系统访问行为进行记录，实现对操作日志记录及系统日志的审计，必要时可以做到事件回溯。

在本申请的一些可选的实施例中，所述传输网网管系统的网络链路、网管数据网核心节点和维护系统节点中的设备采用双链路、双机部署模式。

在上述网管系统中，重要的网络链路、网络设备、服务器应采用双链路、双机部署模式，以达到设备处理能力冗余、互相备份的效果，还可以采用异地备份中心机制。

根据本申请的一个可选的实施例，上述传输网网管系统还包括：TMS系统，通过所述隔离设备接入所述网管数据网核心节点。

上述TMS系统是指通信管理系统，通信管理系统(TMS)具备从主备网管服务器采集能力。通信网传输网管系统用户分为四级。第一级是系统管理员用户，第二级是系统安全管理员用户，第三级是系统操作员用户，第四级是系统监视员用户。不同等级的用户设置不同的管理权限，高级别的用户兼容低级别用户的所有功能。

采用上述传输网网管系统对跨地区的大型集团公司内部的通信传输网进行管理，可以实现以下技术效果：可在提高工作效率的同时，提升传输网管的管理能力；提高信息化安全防护能力；进一步保障传输网网络的安全稳定性。且采用上述网管系统进行组网的组网方式稳定性强，故障率低，寿命周期长，运维成本低。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种传输网网管系统，其特征在于，包括：

维护系统节点，包括：接入通信设备、与所述接入通信设备连接的计算设备和网关网元；

网管数据网核心节点，包括：主设备、从设备、主备用网关网元、隔离设备、安全设备和核心通信设备，其中，通过安全设备接入至所述网管数据网核心节点中的至少一个设备，使得对网络上传输的数据进行安全传输。

2.根据权利要求1所述的传输网网管系统，其特征在于，所述接入通信设备包括接入交换机、接入网关和接入路由器，其中，所述计算设备和所述网关网元经由所述接入交换机、所述接入网关和所述接入路由器，与所述网管数据网核心节点进行数据通讯；

其中，所述计算设备与所述网关网元互通，并划分在同一个VPN中，且与外部系统之间处于隔离状态。

3.根据权利要求1所述的传输网网管系统，其特征在于：

所述主设备、所述从设备和所述主备用网关网元之间同时通信，且所述主设备、所述从设备之间进行数据同步；

通过所述隔离设备控制所述主设备、所述从设备和所述主备用网关网元，与外部系统进行隔离，其中，所述隔离设备为单向隔离装置。

4.根据权利要求3所述的传输网网管系统，其特征在于，所述核心通信设备包括：核心交换机、核心路由器和核心网关，其中，所述主设备、所述从设备和所述主备用网关网元经由所述核心通信设备与所述维护系统节点进行通信。

5.根据权利要求4所述的传输网网管系统，其特征在于，所述安全设备包括：入侵检测设备、防病毒设备、认证网关；

其中，所述入侵检测设备和所述防病毒设备接入所述核心交换机，用于监测经由所述交换机的通信数据；

所述认证网关接入所述核心交换机和所述核心路由器之间，用于对通过所述核心路由器进入的数据进行安全认证。

6.根据权利要求4所述的传输网网管系统，其特征在于，所述网管数据网核心节点还包括：部署于所述核心交换机、所述核心路由器和所述核心网关中的防火墙，用于划分得到不同的安全区域，禁止区域内部的非法接入行为。

7.根据权利要求6所述的传输网网管系统，其特征在于，所述传输网网管系统还包括：不同安全区域之间采用访问控制策略。

8.根据权利要求1至7中任意一项所述的传输网网管系统，其特征在于，所述传输网网管系统还包括：

部署了日志集的审计设备，接入所述维护系统节点和/或所述网管数据网核心节点，用于审计网络中的访问行为。

9.根据权利要求1至7中任意一项所述的传输网网管系统，其特征在于，所述传输网网管系统的网络链路、网管数据网核心节点和维护系统节点中的设备采用双链路、双机部署模式。

10.根据权利要求1至7中任意一项所述的传输网网管系统，其特征在于，所述传输网网管系统还包括：

TMS系统，通过所述隔离设备接入所述网管数据网核心节点。

Images