1 引言
隨著網絡IP的逐步深入,移動 數據業務也越來越異彩紛呈。但隨之而來的網絡維護復雜度和潛在的風險也在與日俱增。電信 網絡安全已經成為網絡IP化的最大挑戰。如何在網絡IP化過程中,在減少投資成本和運維成本的同時,保證用戶業務的平滑過渡,增加網絡安全 系數,降低網絡運維風險,是運營商急需解決的課題。
IP網絡以其高度的靈活性和突出的性價比逐漸成為運營商的首選平臺,其IP化自身的潛在缺點和風險也逐步放大。
2 全網IP化帶來的運維挑戰及應對策略
2.1 IP網絡安全 的挑戰
隨著互聯網規模和用戶的日益增加,互聯網已經演變成一個非常開放的、自由的、復雜的通信方式。在這個網絡里缺少合理的管制,到處充滿了沖突,病毒與反病毒、保密與攔截、共享與版權保護等。一旦存在網絡攻擊,網絡就會陷入癱瘓。而網絡IP化的全面推開,IP協議的缺陷將深入到整個電信網絡的方方面面,電信網和互聯網一樣,也開始面臨一系列新的安全問題。雖然采用了邏輯隔離或物理隔離等方式使電信 網和互聯網 分開,但畢竟可以找到相連的節點(如公用一臺物理設備等)。無論網絡的硬件、軟件、物理環境、操作管理、惡意代碼以及管理越權等安全問題,都有可能對網絡的正常運行帶來影響。
5月19日,由于暴風影音域名解析系統遭受攻擊,導致運營商遞歸域名解析服務器擁塞,發生了江蘇、河北、山西、廣西、浙江等省的大面積用戶無法上網。在分析本次故障產生原因之余,我們感嘆又有多少機率能夠事先預測到這次故障的發生呢?首先,IP網絡端到端給IP網絡帶來端到端業務與承載的分離,使得網絡應用開發接口完全開放,讓用戶都可以參與到互聯網 的發展和創新中去,從而帶來了IP網絡無限的發展空間。但是,IP網絡各種各樣的缺陷也在不斷地累積,網絡的節點數和拓撲數量越高,網絡的薄弱點也就越多,潛在的風險也就越大;其次,在多個業務承載于同一網絡的情況下,彼此之間存在著影響和安全風險;第三,網絡和業務的相對分離,導致了業務層面不能全面考慮網絡資源、濫用網絡資源,這也對運營商對業務的控制力度提出了極大挑戰。
要發展IP網絡,就要面對IP網絡存在的無法預知的風險。5.19事件中,某省電信 公司的做法似乎給我們指點了方向。故障發生時,該公司的系統維護技術人員的手機 收到告警信息 ,告警數據反映DNS服務器用戶請求數據突然升高,超過正常請求數據量的4倍。經過人工采樣數據的分析,維護人員對故障進行了定位,并立即啟動了應急處理預案。經過采取屏蔽操作等人工干預措施,故障在15min內恢復,該公司所有用戶均未受影響。
從這個案例中我們可以得出,雖然我們無法從根本上消除所有IP網絡帶來的隱患,但是在有效控制運營成本的同時,要大力建設全網安全智能 管理平臺,采取必要的網絡優化、盡可能多地發現網絡中的薄弱環節,設置網絡安全事件處置預案,定期演練,提高維護人員的技術能力、對網絡關鍵部位實施必要的值守等措施,將網絡安全 事故的影響降低到最小。
2.2 運營商運維架構及網絡維護技術儲備的挑戰
全網IP化在統一網絡層充分引入和發揮智能 化運維工具。目前,運營商的網絡維護中按照交換、無線、傳輸、數據、動力、網管支撐等專業進行維護領域劃分的方式無形中成為全網IP化網絡維護的障礙。
首先,按專業劃分的運維模式直接導致了運維邊界和接口的增加,不但增加了網絡維護的難度,降低了故障情況下反應速度,同時也使運維責任不清,增加了溝通交流的成本。IP網絡下的故障或安全事件,由于其IP技術自身固有的缺陷,通常會導致短時間內故障影響迅速傳播,最終演變成全網故障。所以,IP網絡運維需要比傳統網絡運維具有更快的反應速度。
其次,與傳統網絡通過網管系統進行系統維護管理的方式不同,IP系統大多以命令行的運維方式為主。對于維護傳統交換、傳輸等系統的工程師而言,技術能力的繼承性成為了運營商不得不考慮的問題,運營商必須花費大量的時間及成本逐步提高維護人員的技術水平。
因此,運營商需要在以下幾個方面著手,盡快解決組織結構和技術能力給網絡運維帶來的挑戰。
(1)加快建設IP網絡統一智能 管理平臺,盡量以統一、可視的手段降低運維人員技術門檻。
(2)在相關領域整合現有管理組織結構,特別在承載網絡層面,充分利用IP技術的特點,逐步統一到IP網絡運維上來,減少人員接口,明晰責任,提高故障處理效率。
(3)在運營商運維人員技術能力向IP技術逐步遷移和提升的過程中,在運營商技術支持能力尚未完全建立的情況下,充分引入和利用設備供應商的技術支持能力作為補充,在現場運維、故障處理、網絡優化等多領域發揮其專業的特長,保證網絡建設與安全維護同步進行。
2.3 多廠商、多設備、多技術、多應用環境下的維護復雜性挑戰
隨著全網IP化在核心網、承載網、接入網等多領域逐步展開,Cisco,Juniper,愛立信,阿爾卡特朗訊,Extreme等國外設備供應商,以及華為 、中興等國內設備供應商均參與這一技術變革和網絡建設,這些設備供應商提供了從高、中、低端路由器、二、三、四層交換機、防火墻、寬帶接入服務器等IP網絡設備,到SDH,DWDM,PON,微波等傳輸網設備,這使IP網絡成為IPv4,IPv6,ATM,MSTP,BGP/MPLS,VPN,FTTx,LSTP,xDSL等各種技術的大集合,提供了包括PSTN,GSM CSD,GPRS,WLAN和專線接入等接入業務,VoIP,IP會議電話等語音業務以及IP VPN業務在內的多種業務。另一方面,由于大多數運營商采用了分期建設、集中采購招標的網絡建設方式,使得絕大多數省級運營商在同一張IP網絡內至少面對2家以上的設備供應商,多者甚至達到4~6家。
運營商不但需要維護各種應用場景,應對各種各樣的技術難題,還要熟悉若干家不同的設備供應商的設備、面對不同的聯系接口和各種各樣的處理流程、配置若干種備品備件,成為運營商網絡運維的又一障礙,不但增加了網絡安全 運行的風險系數,而且增加了網絡運營成本OPEX以及CAPEX。
在運維實踐中,經濟有效地引入專業的第三方支持力量,無疑是解決這個復雜問題的最佳方案。通過引入專業的具有豐富實踐經驗的第三方支持隊伍直接負責設備網絡的維護,可以有效地簡化運營商網絡運維流程,擺脫故障定位依賴設備廠商間互相推諉的局面,增加網絡故障判斷的中立性。特別是在網絡建設初期,利用第三方專業支持隊伍作為技術支持能力的補充,為運營商自身技術遷移爭取時間,縮短真空期,為網絡的安全運行提供有力保障。
3 愛立信IP全網支撐服務
作為全球最大的電信 解決方案提供商,愛立信每年在全球各種主要技術標準的固定網絡和移動 網絡中要管理800多個網絡建設、擴容或升級項目,愛立信在多廠商和多技術環境中為運營商、企業和國家安全以及公共安全機構提供超過2000個系統集成項目;在IP網絡建設領域,愛立信不但可以獨立提供IP網絡中所涉及的核心、邊緣接入等主要設備,更與Juniper,Cisco,Extreme等主流設備供應商建立了長期的戰略合作關系,有能力為客戶提供端到端的IP網絡解決方案。所有這些充分奠定了愛立信在全球電信 專業服務領域的領導地位,可以為運營商提供從網絡建設、維護、業務支持到市場 營銷等全方位、高質量的服務。
針對在 網絡 IP 化過程中 運營商 對網絡運維支撐的獨特要求, 愛立信 推出了一個全新的服務體系——IP全網支撐服務。該服務具備以下幾個特點:
(1)多廠商綜合技術支持平臺。
3.1 服務項目及內容
經過對運營商需求的總結,愛立信IP全網支撐服務歸納為三個層次的服務,包括基礎類支持服務、擴展類支持服務以及定制類支持服務。
(1)基礎類支持服務:關注運營商日常基本運維需求,包括設備檔案管理、現場值守、日常故障處理、系統升級組織與協助、重大事件項目專項支持、例行會議、定期巡檢、應急預案和演練以及設備供應商輔助與協調等服務項目。圖1為IP全網支撐服務模式下的故障處理流程。
圖1 IP全網支撐服務模式下的故障處理流程
(2)擴展類支持服務:擴展類服務涵蓋旨在提高 網絡安全 系數、降低事故造成的損失、提高網絡防風險能力所開展的網絡運行分析與評估、網絡信息 安全分析與評估、網絡設計與規劃支持等服務項目。
(3)定制類支持服務:定制類支持服務是指根據客戶實際需求、網絡維護實際情況,為客戶解決相對個別的實際問題所開展的相關專項服務,包括備件管理與輔助支持、面向業務或網絡的網絡優化等服務項目。圖2為備件管理服務模式下的運維流程。
圖2 備件管理服務模式下的網絡運維
3.2 服務組織結構
為實現快速、準確、高效的維護目標,愛立信組建了包括駐場維護層、核心支持層以及培訓拓展層在內的技術支持體系,在項目經理統一協調下進行運作(見圖3)。
圖3 愛立信服務組織結構圖
(1)駐場維護層:由具備寬泛的技術知識和豐富的現場經驗的維護工程師組成,完成網絡維護過程中的設備工作狀態監控、日常巡檢、故障響應及處理等日常工作;能夠第一時間處理軟性故障,迅速恢復業務;能夠通過分析工具,對流量進行業務區分、統計和歸納,從而預見網元設備的負荷趨勢,提出均衡負載的方案,提高系統的穩定性和綜合使用壽命,并對不同業務的運行情況提供分析報告,供業務部門適時做出調整和計劃,方便建設部門做出準確的擴容和改造計劃。
(2)核心支撐層:由相應領域的資深專家組成,為駐場維護工程師提供技術支持。
(3)培訓拓展層:由愛立信渠道專員和培訓專家組成,能在最短的時間獲得相關的廠家資料和產品資料,得到廠家的直接或者間接技術培訓,從而迅速給駐場維護工程師提供專業指導,在最短的時間內熟悉和掌握該設備的性能與特點。
