1 引言
隨著網(wǎng)絡(luò)IP的逐步深入,移動數(shù)據(jù)業(yè)務(wù)也越來越異彩紛呈。但隨之而來的網(wǎng)絡(luò)維護復雜度和潛在的風險也在與日俱增。電信網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)IP化的最大挑戰(zhàn)。如何在網(wǎng)絡(luò)IP化過程中,在減少投資成本和運維成本的同時,保證用戶業(yè)務(wù)的平滑過渡,增加網(wǎng)絡(luò)安全系數(shù),降低網(wǎng)絡(luò)運維風險,是運營商急需解決的課題。
IP網(wǎng)絡(luò)以其高度的靈活性和突出的性價比逐漸成為運營商的首選平臺,其IP化自身的潛在缺點和風險也逐步放大。
2 全網(wǎng)IP化帶來的運維挑戰(zhàn)及應(yīng)對策略
2.1 IP網(wǎng)絡(luò)安全的挑戰(zhàn)
隨著互聯(lián)網(wǎng)規(guī)模和用戶的日益增加,互聯(lián)網(wǎng)已經(jīng)演變成一個非常開放的、自由的、復雜的通信方式。在這個網(wǎng)絡(luò)里缺少合理的管制,到處充滿了沖突,病毒與反病毒、保密與攔截、共享與版權(quán)保護等。一旦存在網(wǎng)絡(luò)攻擊,網(wǎng)絡(luò)就會陷入癱瘓。而網(wǎng)絡(luò)IP化的全面推開,IP協(xié)議的缺陷將深入到整個電信網(wǎng)絡(luò)的方方面面,電信網(wǎng)和互聯(lián)網(wǎng)一樣,也開始面臨一系列新的安全問題。雖然采用了邏輯隔離或物理隔離等方式使電信網(wǎng)和互聯(lián)網(wǎng)分開,但畢竟可以找到相連的節(jié)點(如公用一臺物理設(shè)備等)。無論網(wǎng)絡(luò)的硬件、軟件、物理環(huán)境、操作管理、惡意代碼以及管理越權(quán)等安全問題,都有可能對網(wǎng)絡(luò)的正常運行帶來影響。
5月19日,由于暴風影音域名解析系統(tǒng)遭受攻擊,導致運營商遞歸域名解析服務(wù)器擁塞,發(fā)生了江蘇、河北、山西、廣西、浙江等省的大面積用戶無法上網(wǎng)。在分析本次故障產(chǎn)生原因之余,我們感嘆又有多少機率能夠事先預測到這次故障的發(fā)生呢?首先,IP網(wǎng)絡(luò)端到端給IP網(wǎng)絡(luò)帶來端到端業(yè)務(wù)與承載的分離,使得網(wǎng)絡(luò)應(yīng)用開發(fā)接口完全開放,讓用戶都可以參與到互聯(lián)網(wǎng)的發(fā)展和創(chuàng)新中去,從而帶來了IP網(wǎng)絡(luò)無限的發(fā)展空間。但是,IP網(wǎng)絡(luò)各種各樣的缺陷也在不斷地累積,網(wǎng)絡(luò)的節(jié)點數(shù)和拓撲數(shù)量越高,網(wǎng)絡(luò)的薄弱點也就越多,潛在的風險也就越大;其次,在多個業(yè)務(wù)承載于同一網(wǎng)絡(luò)的情況下,彼此之間存在著影響和安全風險;第三,網(wǎng)絡(luò)和業(yè)務(wù)的相對分離,導致了業(yè)務(wù)層面不能全面考慮網(wǎng)絡(luò)資源、濫用網(wǎng)絡(luò)資源,這也對運營商對業(yè)務(wù)的控制力度提出了極大挑戰(zhàn)。
要發(fā)展IP網(wǎng)絡(luò),就要面對IP網(wǎng)絡(luò)存在的無法預知的風險。5.19事件中,某省電信公司的做法似乎給我們指點了方向。故障發(fā)生時,該公司的系統(tǒng)維護技術(shù)人員的手機收到告警信息,告警數(shù)據(jù)反映DNS服務(wù)器用戶請求數(shù)據(jù)突然升高,超過正常請求數(shù)據(jù)量的4倍。經(jīng)過人工采樣數(shù)據(jù)的分析,維護人員對故障進行了定位,并立即啟動了應(yīng)急處理預案。經(jīng)過采取屏蔽操作等人工干預措施,故障在15min內(nèi)恢復,該公司所有用戶均未受影響。
從這個案例中我們可以得出,雖然我們無法從根本上消除所有IP網(wǎng)絡(luò)帶來的隱患,但是在有效控制運營成本的同時,要大力建設(shè)全網(wǎng)安全智能管理平臺,采取必要的網(wǎng)絡(luò)優(yōu)化、盡可能多地發(fā)現(xiàn)網(wǎng)絡(luò)中的薄弱環(huán)節(jié),設(shè)置網(wǎng)絡(luò)安全事件處置預案,定期演練,提高維護人員的技術(shù)能力、對網(wǎng)絡(luò)關(guān)鍵部位實施必要的值守等措施,將網(wǎng)絡(luò)安全事故的影響降低到最小。
2.2 運營商運維架構(gòu)及網(wǎng)絡(luò)維護技術(shù)儲備的挑戰(zhàn)
全網(wǎng)IP化在統(tǒng)一網(wǎng)絡(luò)層充分引入和發(fā)揮智能化運維工具。目前,運營商的網(wǎng)絡(luò)維護中按照交換、無線、傳輸、數(shù)據(jù)、動力、網(wǎng)管支撐等專業(yè)進行維護領(lǐng)域劃分的方式無形中成為全網(wǎng)IP化網(wǎng)絡(luò)維護的障礙。
首先,按專業(yè)劃分的運維模式直接導致了運維邊界和接口的增加,不但增加了網(wǎng)絡(luò)維護的難度,降低了故障情況下反應(yīng)速度,同時也使運維責任不清,增加了溝通交流的成本。IP網(wǎng)絡(luò)下的故障或安全事件,由于其IP技術(shù)自身固有的缺陷,通常會導致短時間內(nèi)故障影響迅速傳播,最終演變成全網(wǎng)故障。所以,IP網(wǎng)絡(luò)運維需要比傳統(tǒng)網(wǎng)絡(luò)運維具有更快的反應(yīng)速度。
其次,與傳統(tǒng)網(wǎng)絡(luò)通過網(wǎng)管系統(tǒng)進行系統(tǒng)維護管理的方式不同,IP系統(tǒng)大多以命令行的運維方式為主。對于維護傳統(tǒng)交換、傳輸?shù)认到y(tǒng)的工程師而言,技術(shù)能力的繼承性成為了運營商不得不考慮的問題,運營商必須花費大量的時間及成本逐步提高維護人員的技術(shù)水平。
因此,運營商需要在以下幾個方面著手,盡快解決組織結(jié)構(gòu)和技術(shù)能力給網(wǎng)絡(luò)運維帶來的挑戰(zhàn)。
(1)加快建設(shè)IP網(wǎng)絡(luò)統(tǒng)一智能管理平臺,盡量以統(tǒng)一、可視的手段降低運維人員技術(shù)門檻。
(2)在相關(guān)領(lǐng)域整合現(xiàn)有管理組織結(jié)構(gòu),特別在承載網(wǎng)絡(luò)層面,充分利用IP技術(shù)的特點,逐步統(tǒng)一到IP網(wǎng)絡(luò)運維上來,減少人員接口,明晰責任,提高故障處理效率。
(3)在運營商運維人員技術(shù)能力向IP技術(shù)逐步遷移和提升的過程中,在運營商技術(shù)支持能力尚未完全建立的情況下,充分引入和利用設(shè)備供應(yīng)商的技術(shù)支持能力作為補充,在現(xiàn)場運維、故障處理、網(wǎng)絡(luò)優(yōu)化等多領(lǐng)域發(fā)揮其專業(yè)的特長,保證網(wǎng)絡(luò)建設(shè)與安全維護同步進行。
2.3 多廠商、多設(shè)備、多技術(shù)、多應(yīng)用環(huán)境下的維護復雜性挑戰(zhàn)
隨著全網(wǎng)IP化在核心網(wǎng)、承載網(wǎng)、接入網(wǎng)等多領(lǐng)域逐步展開,Cisco,Juniper,愛立信,阿爾卡特朗訊,Extreme等國外設(shè)備供應(yīng)商,以及華為、中興等國內(nèi)設(shè)備供應(yīng)商均參與這一技術(shù)變革和網(wǎng)絡(luò)建設(shè),這些設(shè)備供應(yīng)商提供了從高、中、低端路由器、二、三、四層交換機、防火墻、寬帶接入服務(wù)器等IP網(wǎng)絡(luò)設(shè)備,到SDH,DWDM,PON,微波等傳輸網(wǎng)設(shè)備,這使IP網(wǎng)絡(luò)成為IPv4,IPv6,ATM,MSTP,BGP/MPLS,VPN,F(xiàn)TTx,LSTP,xDSL等各種技術(shù)的大集合,提供了包括PSTN,GSM CSD,GPRS,WLAN和專線接入等接入業(yè)務(wù),VoIP,IP會議電話等語音業(yè)務(wù)以及IP VPN業(yè)務(wù)在內(nèi)的多種業(yè)務(wù)。另一方面,由于大多數(shù)運營商采用了分期建設(shè)、集中采購招標的網(wǎng)絡(luò)建設(shè)方式,使得絕大多數(shù)省級運營商在同一張IP網(wǎng)絡(luò)內(nèi)至少面對2家以上的設(shè)備供應(yīng)商,多者甚至達到4~6家。
運營商不但需要維護各種應(yīng)用場景,應(yīng)對各種各樣的技術(shù)難題,還要熟悉若干家不同的設(shè)備供應(yīng)商的設(shè)備、面對不同的聯(lián)系接口和各種各樣的處理流程、配置若干種備品備件,成為運營商網(wǎng)絡(luò)運維的又一障礙,不但增加了網(wǎng)絡(luò)安全運行的風險系數(shù),而且增加了網(wǎng)絡(luò)運營成本OPEX以及CAPEX。
在運維實踐中,經(jīng)濟有效地引入專業(yè)的第三方支持力量,無疑是解決這個復雜問題的最佳方案。通過引入專業(yè)的具有豐富實踐經(jīng)驗的第三方支持隊伍直接負責設(shè)備網(wǎng)絡(luò)的維護,可以有效地簡化運營商網(wǎng)絡(luò)運維流程,擺脫故障定位依賴設(shè)備廠商間互相推諉的局面,增加網(wǎng)絡(luò)故障判斷的中立性。特別是在網(wǎng)絡(luò)建設(shè)初期,利用第三方專業(yè)支持隊伍作為技術(shù)支持能力的補充,為運營商自身技術(shù)遷移爭取時間,縮短真空期,為網(wǎng)絡(luò)的安全運行提供有力保障。
3 愛立信IP全網(wǎng)支撐服務(wù)
作為全球最大的電信解決方案提供商,愛立信每年在全球各種主要技術(shù)標準的固定網(wǎng)絡(luò)和移動網(wǎng)絡(luò)中要管理800多個網(wǎng)絡(luò)建設(shè)、擴容或升級項目,愛立信在多廠商和多技術(shù)環(huán)境中為運營商、企業(yè)和國家安全以及公共安全機構(gòu)提供超過2000個系統(tǒng)集成項目;在IP網(wǎng)絡(luò)建設(shè)領(lǐng)域,愛立信不但可以獨立提供IP網(wǎng)絡(luò)中所涉及的核心、邊緣接入等主要設(shè)備,更與Juniper,Cisco,Extreme等主流設(shè)備供應(yīng)商建立了長期的戰(zhàn)略合作關(guān)系,有能力為客戶提供端到端的IP網(wǎng)絡(luò)解決方案。所有這些充分奠定了愛立信在全球電信專業(yè)服務(wù)領(lǐng)域的領(lǐng)導地位,可以為運營商提供從網(wǎng)絡(luò)建設(shè)、維護、業(yè)務(wù)支持到市場營銷等全方位、高質(zhì)量的服務(wù)。
作者:愛立信(中國)有限公司 來源:電信網(wǎng)技術(shù)