自以太網技術1972年誕生以來,市場對計算機聯網的速率提出了越來越高的要求,快速以太網、吉比特以太網和10吉比特以太網相繼出現。以太網正是由于它的簡單、易用、高速,一次又一次地跨越速度的障礙,創造了人們始料未及的輝煌。電信業當前正在發生的最大、最深刻的變化是——由傳統語音業務向數據業務的戰略性轉變,根據JP摩根、麥肯錫、IDC的市場調查及最新預測,語音業務與數據業務收入的增長在2000年出現新拐點,全球范圍語音業務收入正在以1%左右的速度緩慢下降。隨著IP業務和網絡規模的迅速發展,IP網絡上運行的設備已相當豐富、廠家日益多樣,電信運營商在建設網絡系統的同時,必將重點放在如何維護、管理網絡,從而為用戶提供良好的服務。 1 目前以太網存在的主要問題
電信網是為用戶提供商業服務的,它提供的電信服務是一種商品,因而它要保證服務質量,要有足夠的安全性、可靠性和能夠確保售后服務能力,必須有很強的可管理性和可維護性。目前全球有大量的用戶采用以太網接入,然而由于認證計費、服務質量、可管理性、信息安全、可靠性以及實裝率低等多種因素,以太網作為公用電信網接入方式尚待進一步改進。
目前存在的主要問題有以下幾點。 1.1 QoS問題
· 由于網上設備數量眾多,且設備多樣,QoS部署、管理困難。
· 由于IP網絡是面向無連接的,動態選路,路徑不可預知,沒有資源預留,采用相對優先權,呼叫過程無CAC控制,擁塞控制為開環方式,無法保證QoS的控制。 1.2 安全性能問題
目前的以太網不像傳統的電信程控交換機那樣分離網管信息和用戶信息。事實上以太網原來就根本沒有網內安全機制,而現在用于公用電信網,其網管、服務質量、安全機制成為必不可少的關鍵要求。原以太網沒有內置保護功能,主要靠路由器來實施保護,需要大約1s的時間才能使數據流重新定向,使以太網無法傳送如:電信級的語音數據流。 1.3 無統一有效的網管體系
以太網技術進入電信運營商數據城域網、骨干網應用后,其背景發生了質的改變,由一種局域網互連應用進入到網絡運營商進行運營和盈利的經營活動中。多廠家網絡設備,其自身網管性能不完善,更無法實現統一有效的網管。今天對以太網的要求跟過去相比已經有了根本的不同,它不僅要支持服務、應用,同時也有更高的帶寬需求,特別是需要管理,不斷提高的QoS和網管能力。雖然802.1p、802.1q和802.1w使以太網技術初步具有優先級控制、VLAN及MPLS提供一定的QoS帶寬服務,但這些還遠遠不夠。以太網原來主要用于小型局域網絡環境,網管能力很弱,在公用電信網中,必須有效地運行和維護大規模的地理分散的網絡,必須有極強的網絡級管理能力。 2 電信級以太網網管的基本要求
IP管理網是電信管理網(TMN)的一個子網,應繼承和遵從TMN的結構,保證協議和過程的可擴性,使用開放系統互連(OSI)的7層協議棧,即物理層、鏈路層、網絡層、傳送層、會話層、表示層和應用層。IP數據網是一個開放的系統,其管理有著特殊的復雜性。電信級IP網管系統要求對IP數據網上的故障、性能、配置、環境等信息進行全面的監控,對路由器的CPU負荷、網絡整體和局部的流量、流向、丟包、時延、網元設備的負荷情況等,提供實時統計分析,對網上事件做出快速反應,提供有效故障隔離措施,并依賴有效的操作控制手段,盡快解決故障,保證網絡的正常運行,實現集中操作和維護管理。IP綜合網管系統主要由五大部分組成:配置管理、性能管理、故障管理、業務管理和安全管理。 2.1 配置管理
配置管理是對所管理IP網中的IP設備和管理進程的配置信息進行查詢及部分配置資源信息的指配,負責設備保障、狀態檢查和安裝功能,能夠以圖形、文字等形式分層顯示配置相關的各類信息,并且具有編輯(增加、刪除、更改)、分類統計和打印輸出這些數據的功能。網絡的配置管理主要包括:全網拓撲管理、各路由設備的路由信息表配置、管理域配置、交換機配置等。根據設備有關的網絡連接的配置信息,生成網絡的拓撲結構圖,以友好的、直觀的圖形方式體現出來,以管理IP網絡資源和管理進程信息,并對這些網絡資源進行維護和管理。
設備配置數據包括系統內各網元生成的設備配置參數,也包括根據設計文件及管理資料人工生成的參數兩部分內容。對配置數據的管理包括配置文件的生產和獲取,配置文件的維護和編輯,制定配置計劃,進行配置校驗和配置結果模擬并使配置生效等。用于配置管理的軟件主要有針對Cisco設備的Cisco Netsys Baseliner、CWSI、ACL Manager。HP OpenView網管平臺也提供了相應的功能模塊支持配置管理,OpenView的NNM(Network Node Manager)可以自動發現網絡節點,生產網絡拓撲圖,并對各種網絡事件進行處理。
IP綜合網管系統的配置管理系統可由四個部分組成:網元管理平臺、基本配置管理、高級配置管理、用戶公共接口。網元管理平臺一般是設備廠商提供的設備管理平臺,負責與設備直接通信,基本配置和高級配置管理完成配置功能,用戶公共接口不僅提供用戶訪問管理功能的接口,同時還提供與其他管理功能的接口。在配置管理中,通過網絡拓撲圖,網管人員可以對整個網絡結構有形象地了解,設備配置信息和網絡流量報警也可在拓撲圖上直觀地顯示?;贘ava語言開發的網絡拓撲顯示功能模塊,除對網絡設備可進行拓撲發現外,還可分層顯示網絡拓撲,對網絡設備和鏈路配置信息進行查詢,實現拓撲圖上的流量報警,實現實時路由監測和ISIS路由仿真功能。ISIS路由仿真方式是通過簡單的模擬操作,對網絡和設備進行有效配置,使整個網絡的流量流向更趨于合理,使網絡擁塞盡量減少。在網絡拓撲圖的基礎上,選定源點,根據網絡中所有通過ISIS路由協議獲得路由的metric值,計算出一條最短路徑,在拓撲圖上以不同顏色的線反映處理,當網管人員出于減輕某段鏈路流量的考慮而改變一條或多條路由的metric值時,該模塊重新執行最短路徑算法(Dijkstra算法),計算并畫出新的最短路徑,通過更改前后最短路徑的變化,網管人員對網管設備(如路由器路由協議的優先級別等)進行相應配置,從而達到提高網絡效能、負載均衡等目的?;贖P NNM提取的管理信息生產網絡拓撲,可通過SNMP直接從骨干網設備的Agent中取得所需的MIB信息并存入數據庫。 2.2 性能管理
性能管理是通過對網絡系統的被動監測和主動測量確定網絡設備CPU的負荷、系統中站點的可達性、網絡系統的流量、傳輸速率、帶寬利用率、時延、丟包率等,并發現系統的物理連接和系統配置的問題,確定網絡瓶頸,進而通過網絡狀態監視和路由優化及流量平衡技術,優化網絡性能,提高網絡運行效益。性能管理功能包括數據信息采集,性能信息的統計和存儲,性能管理閾值處理和性能報告生產等。通常性能指標的閾值可以參考如下指標:
· CPU利用率:小于70%;
· IP設備MEM的利用率:小于80%;
· Ping定時測試指定的地址,如:每小時連續3次(每次相隔1~3min),若連續沒有拼通,則認為該通路中斷,發出可聞可見告警;
· 時延,運營商網內:小于100ms;與其他運營商網際:小于200ms;與其他運營商國際:小于300ms;
· 丟包率:小于1%;
· 流量帶寬的占用率:小于80%。
性能管理系統可通過Cisco NetFlow軟件,采集路由器各端口基于QoS 級的數據流,捕獲每個網絡流量的分類和優先權,在服務質量的基礎上區分數據流并加以處理,生產相應報表。NetFlow采集數據還可用于平衡網絡的負載,查找網絡的故障,優化網絡的性能以及SLA吞吐量監測和基于數據流的計費等方面。使用Cisco IPM(Internet Performance Managerment)軟件,發送echo、pathecho數據包測定網絡的響應時間,進而可以采集網絡時延、丟包率和抖動等網絡性能參數,生產反映網絡服務質量的報告,指導網管人員使用相應的QoS策略,實現對企業用戶的SLA管理?;贖P OpenView的NetMetrix、Network Hearth/Concord等軟件,可以發現并隔離網絡故障,反映網絡性能趨勢,監測網絡資源和性能,測定流量峰值并產生相應報表。 2.3 故障/告警管理
故障/告警管理實現對數據網內所有網元設備的告警監測和故障定位,配合運行管理功能進行故障排除和系統設備復測,收集和處理各網絡單元(NE)的各種故障、告警及網絡狀態異常信息,并具有各種分類統計和指導分析的功能。故障/告警管理主要包括以下內容:告警數據的采集和存儲、定制告警分類和級別、告警數據過濾和相關性分析、告警的實時顯示和生成報表、告警/故障處理、告警/故障數據庫的維護等。故障/告警管理以工作流的方式,提供了網管的自動化功能,通過一系列的工具和接口,幫助系統人員完成日常維護和管理工作,常見的工作流為值班日志和故障工作流。
在骨干網網管項目的告警/故障管理中,可選取Micromuse/Netcool作為主要的故障管理平臺,HP OpenView NNM 作為其補充,實現可定制的管理界面的生成、基于工作流的故障發現、工作流程設計、與其他管理模塊間的接口與互動、在網絡拓撲圖上的鏈路故障/告警顯示以及故障/告警解決指導知識庫的維護等。 2.4 服務管理
實現基于應用/服務的網絡管理,向網管人員明確反映網絡的實時質量狀況,為網絡規劃提供信息,并能提供有區別的服務,特別是按照企業大用戶的需求,提供基于QoS的服務級別協議(SLA)、計費等功能。
IP綜合網管系統對業務管理的功能劃分:
· 對于網絡的服務質量,可使用Cisco的IPM軟件,對骨干網中的Cisco設備收集相關數據,經分析處理可以獲得反映網絡QoS的時延、丟包率、網絡吞吐量等參數,進而生成QoS性能評價報告;
· 對于應用的服務質量,基于Netcool的ISM軟件,可以對多達18種應用層協議(包括DHCP、DNS、FTP、HTTP、RADIUS、POP3、SMTP等)的服務質量進行監視,并生成性能報告。針對IP網的特殊應用服務(如VPN、VoIP、線路租用等),使用直接針對該項業務的QoS監測管理軟件,可以獲得更詳細的QoS數據,有效地保證SLA管理水平。
IP綜合網管系統對網絡層面的功能劃分:
· 對于骨干層業務服務,遵循IETF DS BB、ETSI TIPHON等標準模型,由網資源管理器CM根據邏輯業務承載網的拓撲和資源狀況為業務流選路,CM管理業務網絡資源情況決定是否接納呼叫,協調業務層與承載層的配合,通過MPLS技術邏輯分離IP電信網和Internet,高質量業務走IP電信網,Internet業務走Internet。根據業務模型預規劃每個局向的LSP路徑及資源情況,提出預規劃業務模型,降低TE復雜度。
· 對于邊緣節點的可感知業務,通過CM、業務服務器、邊緣節點設備之間的配合實現業務的自感知,業務平面與控制平面、基礎網絡分離。
· 對于寬帶接入網,管理接入網用戶的多種業務,并進行業務的智能識別,根據用戶、業務細分服務,通過HGMP,統一管理和維護接入層各級設備,共同完成接入網內業務的服務保障。
業務服務等級一般分為三類:最優的業務、分等級的業務、盡力而為的業務,通過對用戶群的劃分來確定等級。通過預留帶寬等方式保障對大客戶的服務質量,分析大客戶的資源使用情況、使用效率,為大客戶提供資源分析報告。 2.5 安全管理
IP網的安全管理設備包括防火墻軟件和相應探測軟件,防止黑客破壞服務器、路由器、交換機以及認證服務器、AAA服務器、郵件服務器等。主要功能包括:權限管理功能、數據安全管理以及安全檢測功能。作為網絡管理的基本功能之一,安全管理通過控制信息訪問點來保護網絡中的敏感信息。保護敏感信息和允許網管人員訪問適當信息以進行工作這兩方面的需要,合理設置安全措施來保證系統和數據的安全。此外,對某些關鍵設計信息,如用戶密碼等,還應提供加密傳輸和存儲功能以加強保護。
安全管理的幾種實現途徑:
· 路由安全:對一切穿越接入安全邊界網關設備的報文,均進行安全檢查、流控與記錄,以便過濾非法訪問、抑制Proxy等非法接入、快速定位用戶的網絡攻擊。
· 城域網可用性安全:寬帶接入網/CPN,與IP城域核心網/運營支撐網之間的互訪,均必須由接入安全邊界網關設備代理完成,從而保證IP城域網的私密性。
· 設備可用性安全:邊緣路由器自動識別用戶的呼叫,根據用戶的呼叫走不同的業務VPN,為每個用戶提供獨立的VLAN,以此控制一切來自寬帶接入網/CPN的接入請求,不同業務網形成獨立的邏輯專網,在資源上是隔離的,避免業務之間的互相影響,保證接入安全邊界網關設備的正常運轉。
· 用戶管理安全:以“用戶=帳號/密碼+VLAN+應用量+……”等完善用戶表達,以此增強用戶管理能力。