自以太網(wǎng)技術(shù)1972年誕生以來,市場對計算機聯(lián)網(wǎng)的速率提出了越來越高的要求,快速以太網(wǎng)、吉比特以太網(wǎng)和10吉比特以太網(wǎng)相繼出現(xiàn)。以太網(wǎng)正是由于它的簡單、易用、高速,一次又一次地跨越速度的障礙,創(chuàng)造了人們始料未及的輝煌。電信業(yè)當(dāng)前正在發(fā)生的最大、最深刻的變化是——由傳統(tǒng)語音業(yè)務(wù)向數(shù)據(jù)業(yè)務(wù)的戰(zhàn)略性轉(zhuǎn)變,根據(jù)JP摩根、麥肯錫、IDC的市場調(diào)查及最新預(yù)測,語音業(yè)務(wù)與數(shù)據(jù)業(yè)務(wù)收入的增長在2000年出現(xiàn)新拐點,全球范圍語音業(yè)務(wù)收入正在以1%左右的速度緩慢下降。隨著IP業(yè)務(wù)和網(wǎng)絡(luò)規(guī)模的迅速發(fā)展,IP網(wǎng)絡(luò)上運行的設(shè)備已相當(dāng)豐富、廠家日益多樣,電信運營商在建設(shè)網(wǎng)絡(luò)系統(tǒng)的同時,必將重點放在如何維護(hù)、管理網(wǎng)絡(luò),從而為用戶提供良好的服務(wù)。 1 目前以太網(wǎng)存在的主要問題
電信網(wǎng)是為用戶提供商業(yè)服務(wù)的,它提供的電信服務(wù)是一種商品,因而它要保證服務(wù)質(zhì)量,要有足夠的安全性、可靠性和能夠確保售后服務(wù)能力,必須有很強的可管理性和可維護(hù)性。目前全球有大量的用戶采用以太網(wǎng)接入,然而由于認(rèn)證計費、服務(wù)質(zhì)量、可管理性、信息安全、可靠性以及實裝率低等多種因素,以太網(wǎng)作為公用電信網(wǎng)接入方式尚待進(jìn)一步改進(jìn)。
目前存在的主要問題有以下幾點。 1.1 QoS問題
· 由于網(wǎng)上設(shè)備數(shù)量眾多,且設(shè)備多樣,QoS部署、管理困難。
· 由于IP網(wǎng)絡(luò)是面向無連接的,動態(tài)選路,路徑不可預(yù)知,沒有資源預(yù)留,采用相對優(yōu)先權(quán),呼叫過程無CAC控制,擁塞控制為開環(huán)方式,無法保證QoS的控制。 1.2 安全性能問題
目前的以太網(wǎng)不像傳統(tǒng)的電信程控交換機那樣分離網(wǎng)管信息和用戶信息。事實上以太網(wǎng)原來就根本沒有網(wǎng)內(nèi)安全機制,而現(xiàn)在用于公用電信網(wǎng),其網(wǎng)管、服務(wù)質(zhì)量、安全機制成為必不可少的關(guān)鍵要求。原以太網(wǎng)沒有內(nèi)置保護(hù)功能,主要靠路由器來實施保護(hù),需要大約1s的時間才能使數(shù)據(jù)流重新定向,使以太網(wǎng)無法傳送如:電信級的語音數(shù)據(jù)流。 1.3 無統(tǒng)一有效的網(wǎng)管體系
以太網(wǎng)技術(shù)進(jìn)入電信運營商數(shù)據(jù)城域網(wǎng)、骨干網(wǎng)應(yīng)用后,其背景發(fā)生了質(zhì)的改變,由一種局域網(wǎng)互連應(yīng)用進(jìn)入到網(wǎng)絡(luò)運營商進(jìn)行運營和盈利的經(jīng)營活動中。多廠家網(wǎng)絡(luò)設(shè)備,其自身網(wǎng)管性能不完善,更無法實現(xiàn)統(tǒng)一有效的網(wǎng)管。今天對以太網(wǎng)的要求跟過去相比已經(jīng)有了根本的不同,它不僅要支持服務(wù)、應(yīng)用,同時也有更高的帶寬需求,特別是需要管理,不斷提高的QoS和網(wǎng)管能力。雖然802.1p、802.1q和802.1w使以太網(wǎng)技術(shù)初步具有優(yōu)先級控制、VLAN及MPLS提供一定的QoS帶寬服務(wù),但這些還遠(yuǎn)遠(yuǎn)不夠。以太網(wǎng)原來主要用于小型局域網(wǎng)絡(luò)環(huán)境,網(wǎng)管能力很弱,在公用電信網(wǎng)中,必須有效地運行和維護(hù)大規(guī)模的地理分散的網(wǎng)絡(luò),必須有極強的網(wǎng)絡(luò)級管理能力。 2 電信級以太網(wǎng)網(wǎng)管的基本要求
IP管理網(wǎng)是電信管理網(wǎng)(TMN)的一個子網(wǎng),應(yīng)繼承和遵從TMN的結(jié)構(gòu),保證協(xié)議和過程的可擴(kuò)性,使用開放系統(tǒng)互連(OSI)的7層協(xié)議棧,即物理層、鏈路層、網(wǎng)絡(luò)層、傳送層、會話層、表示層和應(yīng)用層。IP數(shù)據(jù)網(wǎng)是一個開放的系統(tǒng),其管理有著特殊的復(fù)雜性。電信級IP網(wǎng)管系統(tǒng)要求對IP數(shù)據(jù)網(wǎng)上的故障、性能、配置、環(huán)境等信息進(jìn)行全面的監(jiān)控,對路由器的CPU負(fù)荷、網(wǎng)絡(luò)整體和局部的流量、流向、丟包、時延、網(wǎng)元設(shè)備的負(fù)荷情況等,提供實時統(tǒng)計分析,對網(wǎng)上事件做出快速反應(yīng),提供有效故障隔離措施,并依賴有效的操作控制手段,盡快解決故障,保證網(wǎng)絡(luò)的正常運行,實現(xiàn)集中操作和維護(hù)管理。IP綜合網(wǎng)管系統(tǒng)主要由五大部分組成:配置管理、性能管理、故障管理、業(yè)務(wù)管理和安全管理。 2.1 配置管理
配置管理是對所管理IP網(wǎng)中的IP設(shè)備和管理進(jìn)程的配置信息進(jìn)行查詢及部分配置資源信息的指配,負(fù)責(zé)設(shè)備保障、狀態(tài)檢查和安裝功能,能夠以圖形、文字等形式分層顯示配置相關(guān)的各類信息,并且具有編輯(增加、刪除、更改)、分類統(tǒng)計和打印輸出這些數(shù)據(jù)的功能。網(wǎng)絡(luò)的配置管理主要包括:全網(wǎng)拓?fù)涔芾怼⒏髀酚稍O(shè)備的路由信息表配置、管理域配置、交換機配置等。根據(jù)設(shè)備有關(guān)的網(wǎng)絡(luò)連接的配置信息,生成網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)圖,以友好的、直觀的圖形方式體現(xiàn)出來,以管理IP網(wǎng)絡(luò)資源和管理進(jìn)程信息,并對這些網(wǎng)絡(luò)資源進(jìn)行維護(hù)和管理。
設(shè)備配置數(shù)據(jù)包括系統(tǒng)內(nèi)各網(wǎng)元生成的設(shè)備配置參數(shù),也包括根據(jù)設(shè)計文件及管理資料人工生成的參數(shù)兩部分內(nèi)容。對配置數(shù)據(jù)的管理包括配置文件的生產(chǎn)和獲取,配置文件的維護(hù)和編輯,制定配置計劃,進(jìn)行配置校驗和配置結(jié)果模擬并使配置生效等。用于配置管理的軟件主要有針對Cisco設(shè)備的Cisco Netsys Baseliner、CWSI、ACL Manager。HP OpenView網(wǎng)管平臺也提供了相應(yīng)的功能模塊支持配置管理,OpenView的NNM(Network Node Manager)可以自動發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點,生產(chǎn)網(wǎng)絡(luò)拓?fù)鋱D,并對各種網(wǎng)絡(luò)事件進(jìn)行處理。
IP綜合網(wǎng)管系統(tǒng)的配置管理系統(tǒng)可由四個部分組成:網(wǎng)元管理平臺、基本配置管理、高級配置管理、用戶公共接口。網(wǎng)元管理平臺一般是設(shè)備廠商提供的設(shè)備管理平臺,負(fù)責(zé)與設(shè)備直接通信,基本配置和高級配置管理完成配置功能,用戶公共接口不僅提供用戶訪問管理功能的接口,同時還提供與其他管理功能的接口。在配置管理中,通過網(wǎng)絡(luò)拓?fù)鋱D,網(wǎng)管人員可以對整個網(wǎng)絡(luò)結(jié)構(gòu)有形象地了解,設(shè)備配置信息和網(wǎng)絡(luò)流量報警也可在拓?fù)鋱D上直觀地顯示。基于Java語言開發(fā)的網(wǎng)絡(luò)拓?fù)滹@示功能模塊,除對網(wǎng)絡(luò)設(shè)備可進(jìn)行拓?fù)浒l(fā)現(xiàn)外,還可分層顯示網(wǎng)絡(luò)拓?fù)洌瑢W(wǎng)絡(luò)設(shè)備和鏈路配置信息進(jìn)行查詢,實現(xiàn)拓?fù)鋱D上的流量報警,實現(xiàn)實時路由監(jiān)測和ISIS路由仿真功能。ISIS路由仿真方式是通過簡單的模擬操作,對網(wǎng)絡(luò)和設(shè)備進(jìn)行有效配置,使整個網(wǎng)絡(luò)的流量流向更趨于合理,使網(wǎng)絡(luò)擁塞盡量減少。在網(wǎng)絡(luò)拓?fù)鋱D的基礎(chǔ)上,選定源點,根據(jù)網(wǎng)絡(luò)中所有通過ISIS路由協(xié)議獲得路由的metric值,計算出一條最短路徑,在拓?fù)鋱D上以不同顏色的線反映處理,當(dāng)網(wǎng)管人員出于減輕某段鏈路流量的考慮而改變一條或多條路由的metric值時,該模塊重新執(zhí)行最短路徑算法(Dijkstra算法),計算并畫出新的最短路徑,通過更改前后最短路徑的變化,網(wǎng)管人員對網(wǎng)管設(shè)備(如路由器路由協(xié)議的優(yōu)先級別等)進(jìn)行相應(yīng)配置,從而達(dá)到提高網(wǎng)絡(luò)效能、負(fù)載均衡等目的。基于HP NNM提取的管理信息生產(chǎn)網(wǎng)絡(luò)拓?fù)洌赏ㄟ^SNMP直接從骨干網(wǎng)設(shè)備的Agent中取得所需的MIB信息并存入數(shù)據(jù)庫。 2.2 性能管理
性能管理是通過對網(wǎng)絡(luò)系統(tǒng)的被動監(jiān)測和主動測量確定網(wǎng)絡(luò)設(shè)備CPU的負(fù)荷、系統(tǒng)中站點的可達(dá)性、網(wǎng)絡(luò)系統(tǒng)的流量、傳輸速率、帶寬利用率、時延、丟包率等,并發(fā)現(xiàn)系統(tǒng)的物理連接和系統(tǒng)配置的問題,確定網(wǎng)絡(luò)瓶頸,進(jìn)而通過網(wǎng)絡(luò)狀態(tài)監(jiān)視和路由優(yōu)化及流量平衡技術(shù),優(yōu)化網(wǎng)絡(luò)性能,提高網(wǎng)絡(luò)運行效益。性能管理功能包括數(shù)據(jù)信息采集,性能信息的統(tǒng)計和存儲,性能管理閾值處理和性能報告生產(chǎn)等。通常性能指標(biāo)的閾值可以參考如下指標(biāo):
· CPU利用率:小于70%;
· IP設(shè)備MEM的利用率:小于80%;
· Ping定時測試指定的地址,如:每小時連續(xù)3次(每次相隔1~3min),若連續(xù)沒有拼通,則認(rèn)為該通路中斷,發(fā)出可聞可見告警;
· 時延,運營商網(wǎng)內(nèi):小于100ms;與其他運營商網(wǎng)際:小于200ms;與其他運營商國際:小于300ms;
· 丟包率:小于1%;
· 流量帶寬的占用率:小于80%。
性能管理系統(tǒng)可通過Cisco NetFlow軟件,采集路由器各端口基于QoS 級的數(shù)據(jù)流,捕獲每個網(wǎng)絡(luò)流量的分類和優(yōu)先權(quán),在服務(wù)質(zhì)量的基礎(chǔ)上區(qū)分?jǐn)?shù)據(jù)流并加以處理,生產(chǎn)相應(yīng)報表。NetFlow采集數(shù)據(jù)還可用于平衡網(wǎng)絡(luò)的負(fù)載,查找網(wǎng)絡(luò)的故障,優(yōu)化網(wǎng)絡(luò)的性能以及SLA吞吐量監(jiān)測和基于數(shù)據(jù)流的計費等方面。使用Cisco IPM(Internet Performance Managerment)軟件,發(fā)送echo、pathecho數(shù)據(jù)包測定網(wǎng)絡(luò)的響應(yīng)時間,進(jìn)而可以采集網(wǎng)絡(luò)時延、丟包率和抖動等網(wǎng)絡(luò)性能參數(shù),生產(chǎn)反映網(wǎng)絡(luò)服務(wù)質(zhì)量的報告,指導(dǎo)網(wǎng)管人員使用相應(yīng)的QoS策略,實現(xiàn)對企業(yè)用戶的SLA管理。基于HP OpenView的NetMetrix、Network Hearth/Concord等軟件,可以發(fā)現(xiàn)并隔離網(wǎng)絡(luò)故障,反映網(wǎng)絡(luò)性能趨勢,監(jiān)測網(wǎng)絡(luò)資源和性能,測定流量峰值并產(chǎn)生相應(yīng)報表。 2.3 故障/告警管理
故障/告警管理實現(xiàn)對數(shù)據(jù)網(wǎng)內(nèi)所有網(wǎng)元設(shè)備的告警監(jiān)測和故障定位,配合運行管理功能進(jìn)行故障排除和系統(tǒng)設(shè)備復(fù)測,收集和處理各網(wǎng)絡(luò)單元(NE)的各種故障、告警及網(wǎng)絡(luò)狀態(tài)異常信息,并具有各種分類統(tǒng)計和指導(dǎo)分析的功能。故障/告警管理主要包括以下內(nèi)容:告警數(shù)據(jù)的采集和存儲、定制告警分類和級別、告警數(shù)據(jù)過濾和相關(guān)性分析、告警的實時顯示和生成報表、告警/故障處理、告警/故障數(shù)據(jù)庫的維護(hù)等。故障/告警管理以工作流的方式,提供了網(wǎng)管的自動化功能,通過一系列的工具和接口,幫助系統(tǒng)人員完成日常維護(hù)和管理工作,常見的工作流為值班日志和故障工作流。
在骨干網(wǎng)網(wǎng)管項目的告警/故障管理中,可選取Micromuse/Netcool作為主要的故障管理平臺,HP OpenView NNM 作為其補充,實現(xiàn)可定制的管理界面的生成、基于工作流的故障發(fā)現(xiàn)、工作流程設(shè)計、與其他管理模塊間的接口與互動、在網(wǎng)絡(luò)拓?fù)鋱D上的鏈路故障/告警顯示以及故障/告警解決指導(dǎo)知識庫的維護(hù)等。 2.4 服務(wù)管理
實現(xiàn)基于應(yīng)用/服務(wù)的網(wǎng)絡(luò)管理,向網(wǎng)管人員明確反映網(wǎng)絡(luò)的實時質(zhì)量狀況,為網(wǎng)絡(luò)規(guī)劃提供信息,并能提供有區(qū)別的服務(wù),特別是按照企業(yè)大用戶的需求,提供基于QoS的服務(wù)級別協(xié)議(SLA)、計費等功能。
IP綜合網(wǎng)管系統(tǒng)對業(yè)務(wù)管理的功能劃分:
· 對于網(wǎng)絡(luò)的服務(wù)質(zhì)量,可使用Cisco的IPM軟件,對骨干網(wǎng)中的Cisco設(shè)備收集相關(guān)數(shù)據(jù),經(jīng)分析處理可以獲得反映網(wǎng)絡(luò)QoS的時延、丟包率、網(wǎng)絡(luò)吞吐量等參數(shù),進(jìn)而生成QoS性能評價報告;
· 對于應(yīng)用的服務(wù)質(zhì)量,基于Netcool的ISM軟件,可以對多達(dá)18種應(yīng)用層協(xié)議(包括DHCP、DNS、FTP、HTTP、RADIUS、POP3、SMTP等)的服務(wù)質(zhì)量進(jìn)行監(jiān)視,并生成性能報告。針對IP網(wǎng)的特殊應(yīng)用服務(wù)(如VPN、VoIP、線路租用等),使用直接針對該項業(yè)務(wù)的QoS監(jiān)測管理軟件,可以獲得更詳細(xì)的QoS數(shù)據(jù),有效地保證SLA管理水平。
IP綜合網(wǎng)管系統(tǒng)對網(wǎng)絡(luò)層面的功能劃分:
· 對于骨干層業(yè)務(wù)服務(wù),遵循IETF DS BB、ETSI TIPHON等標(biāo)準(zhǔn)模型,由網(wǎng)資源管理器CM根據(jù)邏輯業(yè)務(wù)承載網(wǎng)的拓?fù)浜唾Y源狀況為業(yè)務(wù)流選路,CM管理業(yè)務(wù)網(wǎng)絡(luò)資源情況決定是否接納呼叫,協(xié)調(diào)業(yè)務(wù)層與承載層的配合,通過MPLS技術(shù)邏輯分離IP電信網(wǎng)和Internet,高質(zhì)量業(yè)務(wù)走IP電信網(wǎng),Internet業(yè)務(wù)走Internet。根據(jù)業(yè)務(wù)模型預(yù)規(guī)劃每個局向的LSP路徑及資源情況,提出預(yù)規(guī)劃業(yè)務(wù)模型,降低TE復(fù)雜度。
· 對于邊緣節(jié)點的可感知業(yè)務(wù),通過CM、業(yè)務(wù)服務(wù)器、邊緣節(jié)點設(shè)備之間的配合實現(xiàn)業(yè)務(wù)的自感知,業(yè)務(wù)平面與控制平面、基礎(chǔ)網(wǎng)絡(luò)分離。
· 對于寬帶接入網(wǎng),管理接入網(wǎng)用戶的多種業(yè)務(wù),并進(jìn)行業(yè)務(wù)的智能識別,根據(jù)用戶、業(yè)務(wù)細(xì)分服務(wù),通過HGMP,統(tǒng)一管理和維護(hù)接入層各級設(shè)備,共同完成接入網(wǎng)內(nèi)業(yè)務(wù)的服務(wù)保障。
業(yè)務(wù)服務(wù)等級一般分為三類:最優(yōu)的業(yè)務(wù)、分等級的業(yè)務(wù)、盡力而為的業(yè)務(wù),通過對用戶群的劃分來確定等級。通過預(yù)留帶寬等方式保障對大客戶的服務(wù)質(zhì)量,分析大客戶的資源使用情況、使用效率,為大客戶提供資源分析報告。 2.5 安全管理
IP網(wǎng)的安全管理設(shè)備包括防火墻軟件和相應(yīng)探測軟件,防止黑客破壞服務(wù)器、路由器、交換機以及認(rèn)證服務(wù)器、AAA服務(wù)器、郵件服務(wù)器等。主要功能包括:權(quán)限管理功能、數(shù)據(jù)安全管理以及安全檢測功能。作為網(wǎng)絡(luò)管理的基本功能之一,安全管理通過控制信息訪問點來保護(hù)網(wǎng)絡(luò)中的敏感信息。保護(hù)敏感信息和允許網(wǎng)管人員訪問適當(dāng)信息以進(jìn)行工作這兩方面的需要,合理設(shè)置安全措施來保證系統(tǒng)和數(shù)據(jù)的安全。此外,對某些關(guān)鍵設(shè)計信息,如用戶密碼等,還應(yīng)提供加密傳輸和存儲功能以加強保護(hù)。
安全管理的幾種實現(xiàn)途徑:
· 路由安全:對一切穿越接入安全邊界網(wǎng)關(guān)設(shè)備的報文,均進(jìn)行安全檢查、流控與記錄,以便過濾非法訪問、抑制Proxy等非法接入、快速定位用戶的網(wǎng)絡(luò)攻擊。
· 城域網(wǎng)可用性安全:寬帶接入網(wǎng)/CPN,與IP城域核心網(wǎng)/運營支撐網(wǎng)之間的互訪,均必須由接入安全邊界網(wǎng)關(guān)設(shè)備代理完成,從而保證IP城域網(wǎng)的私密性。
· 設(shè)備可用性安全:邊緣路由器自動識別用戶的呼叫,根據(jù)用戶的呼叫走不同的業(yè)務(wù)VPN,為每個用戶提供獨立的VLAN,以此控制一切來自寬帶接入網(wǎng)/CPN的接入請求,不同業(yè)務(wù)網(wǎng)形成獨立的邏輯專網(wǎng),在資源上是隔離的,避免業(yè)務(wù)之間的互相影響,保證接入安全邊界網(wǎng)關(guān)設(shè)備的正常運轉(zhuǎn)。
· 用戶管理安全:以“用戶=帳號/密碼+VLAN+應(yīng)用量+……”等完善用戶表達(dá),以此增強用戶管理能力。
