1 引言
随着网络IP的逐步深入,移动 数据业务也越来越异彩纷呈。但随之而来的网络维护复杂度和潜在的风险也在与日俱增。电信 网络安全已经成为网络IP化的最大挑战。如何在网络IP化过程中,在减少投资成本和运维成本的同时,保证用户业务的平滑过渡,增加网络安全 系数,降低网络运维风险,是运营商急需解决的课题。
IP网络以其高度的灵活性和突出的性价比逐渐成为运营商的首选平台,其IP化自身的潜在缺点和风险也逐步放大。
2 全网IP化带来的运维挑战及应对策略
2.1 IP网络安全 的挑战
随着互联网规模和用户的日益增加,互联网已经演变成一个非常开放的、自由的、复杂的通信方式。在这个网络里缺少合理的管制,到处充满了冲突,病毒与反病毒、保密与拦截、共享与版权保护等。一旦存在网络攻击,网络就会陷入瘫痪。而网络IP化的全面推开,IP协议的缺陷将深入到整个电信网络的方方面面,电信网和互联网一样,也开始面临一系列新的安全问题。虽然采用了逻辑隔离或物理隔离等方式使电信 网和互联网 分开,但毕竟可以找到相连的节点(如公用一台物理设备等)。无论网络的硬件、软件、物理环境、操作管理、恶意代码以及管理越权等安全问题,都有可能对网络的正常运行带来影响。
5月19日,由于暴风影音域名解析系统遭受攻击,导致运营商递归域名解析服务器拥塞,发生了江苏、河北、山西、广西、浙江等省的大面积用户无法上网。在分析本次故障产生原因之余,我们感叹又有多少机率能够事先预测到这次故障的发生呢?首先,IP网络端到端给IP网络带来端到端业务与承载的分离,使得网络应用开发接口完全开放,让用户都可以参与到互联网 的发展和创新中去,从而带来了IP网络无限的发展空间。但是,IP网络各种各样的缺陷也在不断地累积,网络的节点数和拓扑数量越高,网络的薄弱点也就越多,潜在的风险也就越大;其次,在多个业务承载于同一网络的情况下,彼此之间存在着影响和安全风险;第三,网络和业务的相对分离,导致了业务层面不能全面考虑网络资源、滥用网络资源,这也对运营商对业务的控制力度提出了极大挑战。
要发展IP网络,就要面对IP网络存在的无法预知的风险。5.19事件中,某省电信 公司的做法似乎给我们指点了方向。故障发生时,该公司的系统维护技术人员的手机 收到告警信息 ,告警数据反映DNS服务器用户请求数据突然升高,超过正常请求数据量的4倍。经过人工采样数据的分析,维护人员对故障进行了定位,并立即启动了应急处理预案。经过采取屏蔽操作等人工干预措施,故障在15min内恢复,该公司所有用户均未受影响。
从这个案例中我们可以得出,虽然我们无法从根本上消除所有IP网络带来的隐患,但是在有效控制运营成本的同时,要大力建设全网安全智能 管理平台,采取必要的网络优化、尽可能多地发现网络中的薄弱环节,设置网络安全事件处置预案,定期演练,提高维护人员的技术能力、对网络关键部位实施必要的值守等措施,将网络安全 事故的影响降低到最小。
2.2 运营商运维架构及网络维护技术储备的挑战
全网IP化在统一网络层充分引入和发挥智能 化运维工具。目前,运营商的网络维护中按照交换、无线、传输、数据、动力、网管支撑等专业进行维护领域划分的方式无形中成为全网IP化网络维护的障碍。
首先,按专业划分的运维模式直接导致了运维边界和接口的增加,不但增加了网络维护的难度,降低了故障情况下反应速度,同时也使运维责任不清,增加了沟通交流的成本。IP网络下的故障或安全事件,由于其IP技术自身固有的缺陷,通常会导致短时间内故障影响迅速传播,最终演变成全网故障。所以,IP网络运维需要比传统网络运维具有更快的反应速度。
其次,与传统网络通过网管系统进行系统维护管理的方式不同,IP系统大多以命令行的运维方式为主。对于维护传统交换、传输等系统的工程师而言,技术能力的继承性成为了运营商不得不考虑的问题,运营商必须花费大量的时间及成本逐步提高维护人员的技术水平。
因此,运营商需要在以下几个方面着手,尽快解决组织结构和技术能力给网络运维带来的挑战。
(1)加快建设IP网络统一智能 管理平台,尽量以统一、可视的手段降低运维人员技术门槛。
(2)在相关领域整合现有管理组织结构,特别在承载网络层面,充分利用IP技术的特点,逐步统一到IP网络运维上来,减少人员接口,明晰责任,提高故障处理效率。
(3)在运营商运维人员技术能力向IP技术逐步迁移和提升的过程中,在运营商技术支持能力尚未完全建立的情况下,充分引入和利用设备供应商的技术支持能力作为补充,在现场运维、故障处理、网络优化等多领域发挥其专业的特长,保证网络建设与安全维护同步进行。
2.3 多厂商、多设备、多技术、多应用环境下的维护复杂性挑战
随着全网IP化在核心网、承载网、接入网等多领域逐步展开,Cisco,Juniper,爱立信,阿尔卡特朗讯,Extreme等国外设备供应商,以及华为 、中兴等国内设备供应商均参与这一技术变革和网络建设,这些设备供应商提供了从高、中、低端路由器、二、三、四层交换机、防火墙、宽带接入服务器等IP网络设备,到SDH,DWDM,PON,微波等传输网设备,这使IP网络成为IPv4,IPv6,ATM,MSTP,BGP/MPLS,VPN,FTTx,LSTP,xDSL等各种技术的大集合,提供了包括PSTN,GSM CSD,GPRS,WLAN和专线接入等接入业务,VoIP,IP会议电话等语音业务以及IP VPN业务在内的多种业务。另一方面,由于大多数运营商采用了分期建设、集中采购招标的网络建设方式,使得绝大多数省级运营商在同一张IP网络内至少面对2家以上的设备供应商,多者甚至达到4~6家。
运营商不但需要维护各种应用场景,应对各种各样的技术难题,还要熟悉若干家不同的设备供应商的设备、面对不同的联系接口和各种各样的处理流程、配置若干种备品备件,成为运营商网络运维的又一障碍,不但增加了网络安全 运行的风险系数,而且增加了网络运营成本OPEX以及CAPEX。
在运维实践中,经济有效地引入专业的第三方支持力量,无疑是解决这个复杂问题的最佳方案。通过引入专业的具有丰富实践经验的第三方支持队伍直接负责设备网络的维护,可以有效地简化运营商网络运维流程,摆脱故障定位依赖设备厂商间互相推诿的局面,增加网络故障判断的中立性。特别是在网络建设初期,利用第三方专业支持队伍作为技术支持能力的补充,为运营商自身技术迁移争取时间,缩短真空期,为网络的安全运行提供有力保障。
3 爱立信IP全网支撑服务
作为全球最大的电信 解决方案提供商,爱立信每年在全球各种主要技术标准的固定网络和移动 网络中要管理800多个网络建设、扩容或升级项目,爱立信在多厂商和多技术环境中为运营商、企业和国家安全以及公共安全机构提供超过2000个系统集成项目;在IP网络建设领域,爱立信不但可以独立提供IP网络中所涉及的核心、边缘接入等主要设备,更与Juniper,Cisco,Extreme等主流设备供应商建立了长期的战略合作关系,有能力为客户提供端到端的IP网络解决方案。所有这些充分奠定了爱立信在全球电信 专业服务领域的领导地位,可以为运营商提供从网络建设、维护、业务支持到市场 营销等全方位、高质量的服务。
针对在 网络 IP 化过程中 运营商 对网络运维支撑的独特要求, 爱立信 推出了一个全新的服务体系——IP全网支撑服务。该服务具备以下几个特点:
(1)多厂商综合技术支持平台。
3.1 服务项目及内容
经过对运营商需求的总结,爱立信IP全网支撑服务归纳为三个层次的服务,包括基础类支持服务、扩展类支持服务以及定制类支持服务。
(1)基础类支持服务:关注运营商日常基本运维需求,包括设备档案管理、现场值守、日常故障处理、系统升级组织与协助、重大事件项目专项支持、例行会议、定期巡检、应急预案和演练以及设备供应商辅助与协调等服务项目。图1为IP全网支撑服务模式下的故障处理流程。
图1 IP全网支撑服务模式下的故障处理流程
(2)扩展类支持服务:扩展类服务涵盖旨在提高 网络安全 系数、降低事故造成的损失、提高网络防风险能力所开展的网络运行分析与评估、网络信息 安全分析与评估、网络设计与规划支持等服务项目。
(3)定制类支持服务:定制类支持服务是指根据客户实际需求、网络维护实际情况,为客户解决相对个别的实际问题所开展的相关专项服务,包括备件管理与辅助支持、面向业务或网络的网络优化等服务项目。图2为备件管理服务模式下的运维流程。
图2 备件管理服务模式下的网络运维
3.2 服务组织结构
为实现快速、准确、高效的维护目标,爱立信组建了包括驻场维护层、核心支持层以及培训拓展层在内的技术支持体系,在项目经理统一协调下进行运作(见图3)。
图3 爱立信服务组织结构图
(1)驻场维护层:由具备宽泛的技术知识和丰富的现场经验的维护工程师组成,完成网络维护过程中的设备工作状态监控、日常巡检、故障响应及处理等日常工作;能够第一时间处理软性故障,迅速恢复业务;能够通过分析工具,对流量进行业务区分、统计和归纳,从而预见网元设备的负荷趋势,提出均衡负载的方案,提高系统的稳定性和综合使用寿命,并对不同业务的运行情况提供分析报告,供业务部门适时做出调整和计划,方便建设部门做出准确的扩容和改造计划。
(2)核心支撑层:由相应领域的资深专家组成,为驻场维护工程师提供技术支持。
(3)培训拓展层:由爱立信渠道专员和培训专家组成,能在最短的时间获得相关的厂家资料和产品资料,得到厂家的直接或者间接技术培训,从而迅速给驻场维护工程师提供专业指导,在最短的时间内熟悉和掌握该设备的性能与特点。
