自以太網(wǎng)技術1972年誕生以來,市場對計算機聯(lián)網(wǎng)的速率提出了越來越高的要求,快速以太網(wǎng)、吉比特以太網(wǎng)和10吉比特以太網(wǎng)相繼出現(xiàn)。以太網(wǎng)正是由于它的簡單、易用、高速,一次又一次地跨越速度的障礙,創(chuàng)造了人們始料未及的輝煌。電信業(yè)當前正在發(fā)生的最大、最深刻的變化是——由傳統(tǒng)語音業(yè)務向數(shù)據(jù)業(yè)務的戰(zhàn)略性轉變,根據(jù)JP摩根、麥肯錫、IDC的市場調查及最新預測,語音業(yè)務與數(shù)據(jù)業(yè)務收入的增長在2000年出現(xiàn)新拐點,全球范圍語音業(yè)務收入正在以1%左右的速度緩慢下降。隨著IP業(yè)務和網(wǎng)絡規(guī)模的迅速發(fā)展,IP網(wǎng)絡上運行的設備已相當豐富、廠家日益多樣,電信運營商在建設網(wǎng)絡系統(tǒng)的同時,必將重點放在如何維護、管理網(wǎng)絡,從而為用戶提供良好的服務。 1 目前以太網(wǎng)存在的主要問題
電信網(wǎng)是為用戶提供商業(yè)服務的,它提供的電信服務是一種商品,因而它要保證服務質量,要有足夠的安全性、可靠性和能夠確保售后服務能力,必須有很強的可管理性和可維護性。目前全球有大量的用戶采用以太網(wǎng)接入,然而由于認證計費、服務質量、可管理性、信息安全、可靠性以及實裝率低等多種因素,以太網(wǎng)作為公用電信網(wǎng)接入方式尚待進一步改進。
目前存在的主要問題有以下幾點。 1.1 QoS問題
· 由于網(wǎng)上設備數(shù)量眾多,且設備多樣,QoS部署、管理困難。
· 由于IP網(wǎng)絡是面向無連接的,動態(tài)選路,路徑不可預知,沒有資源預留,采用相對優(yōu)先權,呼叫過程無CAC控制,擁塞控制為開環(huán)方式,無法保證QoS的控制。 1.2 安全性能問題
目前的以太網(wǎng)不像傳統(tǒng)的電信程控交換機那樣分離網(wǎng)管信息和用戶信息。事實上以太網(wǎng)原來就根本沒有網(wǎng)內安全機制,而現(xiàn)在用于公用電信網(wǎng),其網(wǎng)管、服務質量、安全機制成為必不可少的關鍵要求。原以太網(wǎng)沒有內置保護功能,主要靠路由器來實施保護,需要大約1s的時間才能使數(shù)據(jù)流重新定向,使以太網(wǎng)無法傳送如:電信級的語音數(shù)據(jù)流。 1.3 無統(tǒng)一有效的網(wǎng)管體系
以太網(wǎng)技術進入電信運營商數(shù)據(jù)城域網(wǎng)、骨干網(wǎng)應用后,其背景發(fā)生了質的改變,由一種局域網(wǎng)互連應用進入到網(wǎng)絡運營商進行運營和盈利的經(jīng)營活動中。多廠家網(wǎng)絡設備,其自身網(wǎng)管性能不完善,更無法實現(xiàn)統(tǒng)一有效的網(wǎng)管。今天對以太網(wǎng)的要求跟過去相比已經(jīng)有了根本的不同,它不僅要支持服務、應用,同時也有更高的帶寬需求,特別是需要管理,不斷提高的QoS和網(wǎng)管能力。雖然802.1p、802.1q和802.1w使以太網(wǎng)技術初步具有優(yōu)先級控制、VLAN及MPLS提供一定的QoS帶寬服務,但這些還遠遠不夠。以太網(wǎng)原來主要用于小型局域網(wǎng)絡環(huán)境,網(wǎng)管能力很弱,在公用電信網(wǎng)中,必須有效地運行和維護大規(guī)模的地理分散的網(wǎng)絡,必須有極強的網(wǎng)絡級管理能力。 2 電信級以太網(wǎng)網(wǎng)管的基本要求
IP管理網(wǎng)是電信管理網(wǎng)(TMN)的一個子網(wǎng),應繼承和遵從TMN的結構,保證協(xié)議和過程的可擴性,使用開放系統(tǒng)互連(OSI)的7層協(xié)議棧,即物理層、鏈路層、網(wǎng)絡層、傳送層、會話層、表示層和應用層。IP數(shù)據(jù)網(wǎng)是一個開放的系統(tǒng),其管理有著特殊的復雜性。電信級IP網(wǎng)管系統(tǒng)要求對IP數(shù)據(jù)網(wǎng)上的故障、性能、配置、環(huán)境等信息進行全面的監(jiān)控,對路由器的CPU負荷、網(wǎng)絡整體和局部的流量、流向、丟包、時延、網(wǎng)元設備的負荷情況等,提供實時統(tǒng)計分析,對網(wǎng)上事件做出快速反應,提供有效故障隔離措施,并依賴有效的操作控制手段,盡快解決故障,保證網(wǎng)絡的正常運行,實現(xiàn)集中操作和維護管理。IP綜合網(wǎng)管系統(tǒng)主要由五大部分組成:配置管理、性能管理、故障管理、業(yè)務管理和安全管理。 2.1 配置管理
配置管理是對所管理IP網(wǎng)中的IP設備和管理進程的配置信息進行查詢及部分配置資源信息的指配,負責設備保障、狀態(tài)檢查和安裝功能,能夠以圖形、文字等形式分層顯示配置相關的各類信息,并且具有編輯(增加、刪除、更改)、分類統(tǒng)計和打印輸出這些數(shù)據(jù)的功能。網(wǎng)絡的配置管理主要包括:全網(wǎng)拓撲管理、各路由設備的路由信息表配置、管理域配置、交換機配置等。根據(jù)設備有關的網(wǎng)絡連接的配置信息,生成網(wǎng)絡的拓撲結構圖,以友好的、直觀的圖形方式體現(xiàn)出來,以管理IP網(wǎng)絡資源和管理進程信息,并對這些網(wǎng)絡資源進行維護和管理。
設備配置數(shù)據(jù)包括系統(tǒng)內各網(wǎng)元生成的設備配置參數(shù),也包括根據(jù)設計文件及管理資料人工生成的參數(shù)兩部分內容。對配置數(shù)據(jù)的管理包括配置文件的生產(chǎn)和獲取,配置文件的維護和編輯,制定配置計劃,進行配置校驗和配置結果模擬并使配置生效等。用于配置管理的軟件主要有針對Cisco設備的Cisco Netsys Baseliner、CWSI、ACL Manager。HP OpenView網(wǎng)管平臺也提供了相應的功能模塊支持配置管理,OpenView的NNM(Network Node Manager)可以自動發(fā)現(xiàn)網(wǎng)絡節(jié)點,生產(chǎn)網(wǎng)絡拓撲圖,并對各種網(wǎng)絡事件進行處理。
IP綜合網(wǎng)管系統(tǒng)的配置管理系統(tǒng)可由四個部分組成:網(wǎng)元管理平臺、基本配置管理、高級配置管理、用戶公共接口。網(wǎng)元管理平臺一般是設備廠商提供的設備管理平臺,負責與設備直接通信,基本配置和高級配置管理完成配置功能,用戶公共接口不僅提供用戶訪問管理功能的接口,同時還提供與其他管理功能的接口。在配置管理中,通過網(wǎng)絡拓撲圖,網(wǎng)管人員可以對整個網(wǎng)絡結構有形象地了解,設備配置信息和網(wǎng)絡流量報警也可在拓撲圖上直觀地顯示。基于Java語言開發(fā)的網(wǎng)絡拓撲顯示功能模塊,除對網(wǎng)絡設備可進行拓撲發(fā)現(xiàn)外,還可分層顯示網(wǎng)絡拓撲,對網(wǎng)絡設備和鏈路配置信息進行查詢,實現(xiàn)拓撲圖上的流量報警,實現(xiàn)實時路由監(jiān)測和ISIS路由仿真功能。ISIS路由仿真方式是通過簡單的模擬操作,對網(wǎng)絡和設備進行有效配置,使整個網(wǎng)絡的流量流向更趨于合理,使網(wǎng)絡擁塞盡量減少。在網(wǎng)絡拓撲圖的基礎上,選定源點,根據(jù)網(wǎng)絡中所有通過ISIS路由協(xié)議獲得路由的metric值,計算出一條最短路徑,在拓撲圖上以不同顏色的線反映處理,當網(wǎng)管人員出于減輕某段鏈路流量的考慮而改變一條或多條路由的metric值時,該模塊重新執(zhí)行最短路徑算法(Dijkstra算法),計算并畫出新的最短路徑,通過更改前后最短路徑的變化,網(wǎng)管人員對網(wǎng)管設備(如路由器路由協(xié)議的優(yōu)先級別等)進行相應配置,從而達到提高網(wǎng)絡效能、負載均衡等目的。基于HP NNM提取的管理信息生產(chǎn)網(wǎng)絡拓撲,可通過SNMP直接從骨干網(wǎng)設備的Agent中取得所需的MIB信息并存入數(shù)據(jù)庫。 2.2 性能管理
性能管理是通過對網(wǎng)絡系統(tǒng)的被動監(jiān)測和主動測量確定網(wǎng)絡設備CPU的負荷、系統(tǒng)中站點的可達性、網(wǎng)絡系統(tǒng)的流量、傳輸速率、帶寬利用率、時延、丟包率等,并發(fā)現(xiàn)系統(tǒng)的物理連接和系統(tǒng)配置的問題,確定網(wǎng)絡瓶頸,進而通過網(wǎng)絡狀態(tài)監(jiān)視和路由優(yōu)化及流量平衡技術,優(yōu)化網(wǎng)絡性能,提高網(wǎng)絡運行效益。性能管理功能包括數(shù)據(jù)信息采集,性能信息的統(tǒng)計和存儲,性能管理閾值處理和性能報告生產(chǎn)等。通常性能指標的閾值可以參考如下指標:
· CPU利用率:小于70%;
· IP設備MEM的利用率:小于80%;
· Ping定時測試指定的地址,如:每小時連續(xù)3次(每次相隔1~3min),若連續(xù)沒有拼通,則認為該通路中斷,發(fā)出可聞可見告警;
· 時延,運營商網(wǎng)內:小于100ms;與其他運營商網(wǎng)際:小于200ms;與其他運營商國際:小于300ms;
· 丟包率:小于1%;
· 流量帶寬的占用率:小于80%。
性能管理系統(tǒng)可通過Cisco NetFlow軟件,采集路由器各端口基于QoS 級的數(shù)據(jù)流,捕獲每個網(wǎng)絡流量的分類和優(yōu)先權,在服務質量的基礎上區(qū)分數(shù)據(jù)流并加以處理,生產(chǎn)相應報表。NetFlow采集數(shù)據(jù)還可用于平衡網(wǎng)絡的負載,查找網(wǎng)絡的故障,優(yōu)化網(wǎng)絡的性能以及SLA吞吐量監(jiān)測和基于數(shù)據(jù)流的計費等方面。使用Cisco IPM(Internet Performance Managerment)軟件,發(fā)送echo、pathecho數(shù)據(jù)包測定網(wǎng)絡的響應時間,進而可以采集網(wǎng)絡時延、丟包率和抖動等網(wǎng)絡性能參數(shù),生產(chǎn)反映網(wǎng)絡服務質量的報告,指導網(wǎng)管人員使用相應的QoS策略,實現(xiàn)對企業(yè)用戶的SLA管理。基于HP OpenView的NetMetrix、Network Hearth/Concord等軟件,可以發(fā)現(xiàn)并隔離網(wǎng)絡故障,反映網(wǎng)絡性能趨勢,監(jiān)測網(wǎng)絡資源和性能,測定流量峰值并產(chǎn)生相應報表。 2.3 故障/告警管理
故障/告警管理實現(xiàn)對數(shù)據(jù)網(wǎng)內所有網(wǎng)元設備的告警監(jiān)測和故障定位,配合運行管理功能進行故障排除和系統(tǒng)設備復測,收集和處理各網(wǎng)絡單元(NE)的各種故障、告警及網(wǎng)絡狀態(tài)異常信息,并具有各種分類統(tǒng)計和指導分析的功能。故障/告警管理主要包括以下內容:告警數(shù)據(jù)的采集和存儲、定制告警分類和級別、告警數(shù)據(jù)過濾和相關性分析、告警的實時顯示和生成報表、告警/故障處理、告警/故障數(shù)據(jù)庫的維護等。故障/告警管理以工作流的方式,提供了網(wǎng)管的自動化功能,通過一系列的工具和接口,幫助系統(tǒng)人員完成日常維護和管理工作,常見的工作流為值班日志和故障工作流。
在骨干網(wǎng)網(wǎng)管項目的告警/故障管理中,可選取Micromuse/Netcool作為主要的故障管理平臺,HP OpenView NNM 作為其補充,實現(xiàn)可定制的管理界面的生成、基于工作流的故障發(fā)現(xiàn)、工作流程設計、與其他管理模塊間的接口與互動、在網(wǎng)絡拓撲圖上的鏈路故障/告警顯示以及故障/告警解決指導知識庫的維護等。 2.4 服務管理
實現(xiàn)基于應用/服務的網(wǎng)絡管理,向網(wǎng)管人員明確反映網(wǎng)絡的實時質量狀況,為網(wǎng)絡規(guī)劃提供信息,并能提供有區(qū)別的服務,特別是按照企業(yè)大用戶的需求,提供基于QoS的服務級別協(xié)議(SLA)、計費等功能。
IP綜合網(wǎng)管系統(tǒng)對業(yè)務管理的功能劃分:
· 對于網(wǎng)絡的服務質量,可使用Cisco的IPM軟件,對骨干網(wǎng)中的Cisco設備收集相關數(shù)據(jù),經(jīng)分析處理可以獲得反映網(wǎng)絡QoS的時延、丟包率、網(wǎng)絡吞吐量等參數(shù),進而生成QoS性能評價報告;
· 對于應用的服務質量,基于Netcool的ISM軟件,可以對多達18種應用層協(xié)議(包括DHCP、DNS、FTP、HTTP、RADIUS、POP3、SMTP等)的服務質量進行監(jiān)視,并生成性能報告。針對IP網(wǎng)的特殊應用服務(如VPN、VoIP、線路租用等),使用直接針對該項業(yè)務的QoS監(jiān)測管理軟件,可以獲得更詳細的QoS數(shù)據(jù),有效地保證SLA管理水平。
IP綜合網(wǎng)管系統(tǒng)對網(wǎng)絡層面的功能劃分:
· 對于骨干層業(yè)務服務,遵循IETF DS BB、ETSI TIPHON等標準模型,由網(wǎng)資源管理器CM根據(jù)邏輯業(yè)務承載網(wǎng)的拓撲和資源狀況為業(yè)務流選路,CM管理業(yè)務網(wǎng)絡資源情況決定是否接納呼叫,協(xié)調業(yè)務層與承載層的配合,通過MPLS技術邏輯分離IP電信網(wǎng)和Internet,高質量業(yè)務走IP電信網(wǎng),Internet業(yè)務走Internet。根據(jù)業(yè)務模型預規(guī)劃每個局向的LSP路徑及資源情況,提出預規(guī)劃業(yè)務模型,降低TE復雜度。
· 對于邊緣節(jié)點的可感知業(yè)務,通過CM、業(yè)務服務器、邊緣節(jié)點設備之間的配合實現(xiàn)業(yè)務的自感知,業(yè)務平面與控制平面、基礎網(wǎng)絡分離。
· 對于寬帶接入網(wǎng),管理接入網(wǎng)用戶的多種業(yè)務,并進行業(yè)務的智能識別,根據(jù)用戶、業(yè)務細分服務,通過HGMP,統(tǒng)一管理和維護接入層各級設備,共同完成接入網(wǎng)內業(yè)務的服務保障。
業(yè)務服務等級一般分為三類:最優(yōu)的業(yè)務、分等級的業(yè)務、盡力而為的業(yè)務,通過對用戶群的劃分來確定等級。通過預留帶寬等方式保障對大客戶的服務質量,分析大客戶的資源使用情況、使用效率,為大客戶提供資源分析報告。 2.5 安全管理
IP網(wǎng)的安全管理設備包括防火墻軟件和相應探測軟件,防止黑客破壞服務器、路由器、交換機以及認證服務器、AAA服務器、郵件服務器等。主要功能包括:權限管理功能、數(shù)據(jù)安全管理以及安全檢測功能。作為網(wǎng)絡管理的基本功能之一,安全管理通過控制信息訪問點來保護網(wǎng)絡中的敏感信息。保護敏感信息和允許網(wǎng)管人員訪問適當信息以進行工作這兩方面的需要,合理設置安全措施來保證系統(tǒng)和數(shù)據(jù)的安全。此外,對某些關鍵設計信息,如用戶密碼等,還應提供加密傳輸和存儲功能以加強保護。
安全管理的幾種實現(xiàn)途徑:
· 路由安全:對一切穿越接入安全邊界網(wǎng)關設備的報文,均進行安全檢查、流控與記錄,以便過濾非法訪問、抑制Proxy等非法接入、快速定位用戶的網(wǎng)絡攻擊。
· 城域網(wǎng)可用性安全:寬帶接入網(wǎng)/CPN,與IP城域核心網(wǎng)/運營支撐網(wǎng)之間的互訪,均必須由接入安全邊界網(wǎng)關設備代理完成,從而保證IP城域網(wǎng)的私密性。
· 設備可用性安全:邊緣路由器自動識別用戶的呼叫,根據(jù)用戶的呼叫走不同的業(yè)務VPN,為每個用戶提供獨立的VLAN,以此控制一切來自寬帶接入網(wǎng)/CPN的接入請求,不同業(yè)務網(wǎng)形成獨立的邏輯專網(wǎng),在資源上是隔離的,避免業(yè)務之間的互相影響,保證接入安全邊界網(wǎng)關設備的正常運轉。
· 用戶管理安全:以“用戶=帳號/密碼+VLAN+應用量+……”等完善用戶表達,以此增強用戶管理能力。
