長(zhǎng)期以來(lái)，電信運(yùn)營(yíng)企業(yè)的信息化建設(shè)都是兩條腿走路:一則"主內(nèi)",以IT手段滿足整個(gè)集團(tuán)的內(nèi)部應(yīng)用需求;一則"主外",豐富增值服務(wù)手段,為企業(yè)轉(zhuǎn)型戰(zhàn)略服務(wù).而對(duì)電信運(yùn)營(yíng)商而言,結(jié)合了IT管理和安全特性的網(wǎng)管系統(tǒng),成為了信息化建設(shè)的重點(diǎn)領(lǐng)域.

某省級(jí)聯(lián)通作為一個(gè)電信運(yùn)營(yíng)商企業(yè)的縮影，帶著他們的經(jīng)驗(yàn)與困惑走入我們的視線。聯(lián)通的信息化支撐網(wǎng)絡(luò)主要由BSS（業(yè)務(wù)支撐系統(tǒng)）網(wǎng)絡(luò)和MSS（管理支持系統(tǒng)）網(wǎng)絡(luò)構(gòu)成，承載著全省數(shù)百萬(wàn)聯(lián)通用戶的營(yíng)業(yè)、計(jì)費(fèi)、賬務(wù)以及提供經(jīng)營(yíng)分析數(shù)據(jù)的任務(wù)，以及全省數(shù)千員工的日常辦公需求。

為統(tǒng)一門(mén)戶建設(shè)打基礎(chǔ)

隨著3G時(shí)代的到來(lái)，用戶數(shù)量和業(yè)務(wù)數(shù)量的增長(zhǎng)會(huì)又面臨一個(gè)新的高峰，一方面要求IT支撐系統(tǒng)更穩(wěn)定，系統(tǒng)容量更大，整體系統(tǒng)的準(zhǔn)確性和及時(shí)性提升到更高的標(biāo)準(zhǔn)。另外隨著外聯(lián)業(yè)務(wù)增長(zhǎng)以及網(wǎng)絡(luò)的互聯(lián)性增大，外來(lái)非法訪問(wèn)和惡意入侵的防范，各種新業(yè)務(wù)的應(yīng)用，對(duì)系統(tǒng)安全性提出了更高的要求，需要相應(yīng)的提供更高的安全等級(jí)的系統(tǒng)支撐。

在IT建設(shè)初期，由于BSS網(wǎng)絡(luò)與MSS網(wǎng)絡(luò)是分別建設(shè)的。兩張網(wǎng)絡(luò)彼此分離，之間沒(méi)有任何的物理連接，每張網(wǎng)絡(luò)都有各自到地市的傳輸線路，無(wú)法實(shí)現(xiàn)傳輸資源、系統(tǒng)資源的共享，因此形成了兩大信息孤島。

而隨著業(yè)務(wù)的發(fā)展，各系統(tǒng)資源的共享也越來(lái)越迫切。為了滿足業(yè)務(wù)需求進(jìn)行了第一次安全改造，決定嘗試將BSS網(wǎng)絡(luò)與MSS網(wǎng)絡(luò)進(jìn)行連接，出于對(duì)BBS網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)男畔踩紤]，需要將合作伙伴等外部訪問(wèn)用戶進(jìn)行剝離。

設(shè)立了DMZ區(qū)，將原有直接接入BSS網(wǎng)絡(luò)的各外部訪問(wèn)統(tǒng)一調(diào)整至安全可控區(qū)域，一方面避免了BSS網(wǎng)絡(luò)與MSS網(wǎng)絡(luò)的直連互訪，另一方面又可滿足不同的業(yè)務(wù)訪問(wèn)需求。并使用多級(jí)防火墻進(jìn)行隔離控制，進(jìn)行嚴(yán)格的策略限定。通過(guò)這次的網(wǎng)絡(luò)安全改造，實(shí)現(xiàn)了初步的信息資源整合，建立了初步的統(tǒng)一信息平臺(tái)。

面對(duì)迅速增長(zhǎng)的業(yè)務(wù)，日益龐大的數(shù)據(jù)信息流，BSS和MSS原有至地市主干傳輸線路的帶寬又成為了系統(tǒng)中的瓶頸，擴(kuò)容BSS/MSS帶寬以及增加MSS網(wǎng)絡(luò)冗余備份線路成為了擺在面前的主要問(wèn)題。經(jīng)反復(fù)市場(chǎng)調(diào)研以及技術(shù)溝通，最終確定了采用業(yè)內(nèi)先進(jìn)的BGP/MPLS-VPN技術(shù)方案來(lái)同時(shí)滿足以上兩張網(wǎng)的需求。

最終，于2006年5月份，該工程順利結(jié)束，主干傳輸線路帶寬由原有的2M-SDH升級(jí)到12MB的ATM電路，在傳輸平臺(tái)層面，實(shí)現(xiàn)了融合統(tǒng)一，不僅完成了原定的擴(kuò)容冗余線路建設(shè)任務(wù)，同時(shí)也為今后各系統(tǒng)網(wǎng)絡(luò)的統(tǒng)一建設(shè)打下了基礎(chǔ)。

注重信息安全

目前，在聯(lián)通支撐網(wǎng)絡(luò)中，共有路由器以及交換機(jī)約100余臺(tái)，從高端的CISCO12016到低端的CISCO2600，從高端的CISCO6509到低端的CISCO1900均有應(yīng)用；省中心同時(shí)部署有30余臺(tái)小型機(jī)以及各類存儲(chǔ)備份設(shè)備。

在網(wǎng)絡(luò)運(yùn)維方面，公司自行研發(fā)的一套監(jiān)控系統(tǒng)，可以定期監(jiān)控各設(shè)備的網(wǎng)絡(luò)通斷情況。各系統(tǒng)設(shè)備的端口狀態(tài)、CPU、內(nèi)存、SYSLOG、磁盤(pán)空間大小以及數(shù)據(jù)庫(kù)的性能指標(biāo)也可借由此進(jìn)行完全的監(jiān)控。

網(wǎng)絡(luò)以及主機(jī)設(shè)備是系統(tǒng)安全穩(wěn)定運(yùn)行的基礎(chǔ)，因此對(duì)于該批設(shè)備的監(jiān)控成為了首當(dāng)其沖的問(wèn)題。其中，鏈路監(jiān)控包括鏈路通斷以及帶寬的監(jiān)控手段，鏈路通斷可以用最基本的PING命令或者監(jiān)控設(shè)備的端口UP/DOWN情況來(lái)準(zhǔn)實(shí)時(shí)監(jiān)控；而帶寬監(jiān)控亦可采用部分流量以及帶寬管理工具進(jìn)行監(jiān)控。

雖然BSS內(nèi)網(wǎng)與MSS外網(wǎng)在物理上已經(jīng)聯(lián)通，有防火墻進(jìn)行安全隔離，但是仍存在一定的安全風(fēng)險(xiǎn)。并且由于辦公應(yīng)用的需求，從MSS網(wǎng)絡(luò)上可以訪問(wèn)互聯(lián)網(wǎng)，客觀上也存在有安全隱患。因此，為了保證信息安全，保證整個(gè)系統(tǒng)的安全，采取了種種方案來(lái)進(jìn)行控制監(jiān)控：

一是嚴(yán)格控制網(wǎng)絡(luò)互訪，加強(qiáng)防火墻策略管理，對(duì)數(shù)據(jù)流向進(jìn)行端口級(jí)別控制；

二是部署了IDS與安全審計(jì)產(chǎn)品，對(duì)異常流量，非法訪問(wèn)進(jìn)行實(shí)時(shí)監(jiān)控；同時(shí)不定期使用網(wǎng)絡(luò)數(shù)據(jù)包分析工具，分析大數(shù)據(jù)流量，監(jiān)控網(wǎng)絡(luò)使用情況；

三是加強(qiáng)終端安全管理，由于與公網(wǎng)的聯(lián)通性，病毒、木馬、惡意程序、大流量網(wǎng)絡(luò)應(yīng)用成為了目前MSS網(wǎng)絡(luò)的最大敵人。除了安裝使用了防病毒產(chǎn)品外，還在核心交換機(jī)以及各接入交換機(jī)上部署了大量的ACL，來(lái)滿足網(wǎng)絡(luò)安全的需求。

邁向IT服務(wù)管理

從前期的各項(xiàng)目建設(shè)情況來(lái)看，網(wǎng)絡(luò)運(yùn)維已進(jìn)入電信行業(yè)，但是仍然處于一個(gè)較低的水平，只是簡(jiǎn)單的系統(tǒng)監(jiān)控，尚未達(dá)到ITSM的水平，沒(méi)有形成一套標(biāo)準(zhǔn)流程化的監(jiān)控、處理流程。我們認(rèn)為，支撐網(wǎng)絡(luò)監(jiān)控服務(wù)的功能主要體現(xiàn)在保證業(yè)務(wù)的穩(wěn)定運(yùn)行，譬如營(yíng)業(yè)廳營(yíng)業(yè)網(wǎng)絡(luò)接入、HLR接入和短信接口等關(guān)于用戶使用感知的重點(diǎn)線路；以及重要系統(tǒng)和重要進(jìn)程的監(jiān)控等。

但是，對(duì)于電信行業(yè)的支撐網(wǎng)絡(luò)來(lái)講，網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、數(shù)據(jù)庫(kù)、中間件、應(yīng)用都存在出現(xiàn)問(wèn)題的可能性，由于支撐網(wǎng)絡(luò)的特殊性，突發(fā)流量是常見(jiàn)的現(xiàn)象，如前臺(tái)系統(tǒng)忙，響應(yīng)時(shí)間過(guò)長(zhǎng)，表空間，磁盤(pán)空間的突增等。為此，需要有一套更為先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)來(lái)進(jìn)行管理監(jiān)控和預(yù)警，建立統(tǒng)一的網(wǎng)絡(luò)運(yùn)維平臺(tái)勢(shì)在必行。

在預(yù)警的過(guò)程中，預(yù)警的準(zhǔn)確性需要提高，避免誤報(bào)和漏報(bào)，同時(shí)希望智能化關(guān)聯(lián)程度較高，可以準(zhǔn)確定位故障發(fā)生點(diǎn)。因此在部署網(wǎng)絡(luò)管理方面，首先要從故障的及時(shí)響應(yīng)與準(zhǔn)確定位；對(duì)業(yè)務(wù)流量能夠精細(xì)把握，保證業(yè)務(wù)拓展的延續(xù)性；同時(shí)對(duì)關(guān)鍵系統(tǒng)的業(yè)務(wù)進(jìn)程進(jìn)行監(jiān)控。

在長(zhǎng)期摸索探究的基礎(chǔ)上，我們確立了建立統(tǒng)一網(wǎng)絡(luò)管理平臺(tái)的目標(biāo)，為了改變目前相對(duì)單一的網(wǎng)路監(jiān)控格局，正在對(duì)網(wǎng)絡(luò)管理軟件進(jìn)行調(diào)研，在這個(gè)時(shí)候游龍科技走入我們的視線，不僅僅能夠滿足電信增值業(yè)務(wù)的運(yùn)維要求，而且操作簡(jiǎn)單，已經(jīng)成功應(yīng)用于多個(gè)大型的電信網(wǎng)絡(luò)。在不斷的接觸中，雙方在建設(shè)的方向上取得了驚人的一致，游龍科技在長(zhǎng)期的實(shí)施經(jīng)驗(yàn)中，總結(jié)的電信支撐網(wǎng)絡(luò)建設(shè)的三個(gè)金點(diǎn)子， 給我很大的啟發(fā)并在此與大家分享：

電信支撐網(wǎng)絡(luò)建設(shè)的三個(gè)金點(diǎn)子

金點(diǎn)子1——安全架構(gòu)：在網(wǎng)絡(luò)建設(shè)以及改造的時(shí)候，要充分考慮到系統(tǒng)安全性，架構(gòu)從完全開(kāi)放信任到可控安全，從事后補(bǔ)救到預(yù)警和快速響應(yīng)，從單點(diǎn)安全到全面安全。劃定不同的安全等級(jí)區(qū)域，采用不同的網(wǎng)絡(luò)安全產(chǎn)品進(jìn)行合理應(yīng)用，制定不同區(qū)域間的訪問(wèn)規(guī)則，通過(guò)網(wǎng)絡(luò)管理平臺(tái)有效控制信息流，能夠及時(shí)通過(guò)短信、郵件、聲音、腳本等警報(bào)方式預(yù)警，并能根據(jù)用戶需求自動(dòng)生成各種美觀的圖形、圖表分析報(bào)告。

金點(diǎn)子2——節(jié)約成本：在網(wǎng)絡(luò)建設(shè)的時(shí)候，要充分考慮的設(shè)備線路的復(fù)用性與備用性。網(wǎng)絡(luò)設(shè)備在進(jìn)入部署前，要先進(jìn)行全面測(cè)試。對(duì)于IT團(tuán)隊(duì)來(lái)說(shuō)，前面的工作越細(xì)致，后面的麻煩相對(duì)就越小。在保證冗余備份的基礎(chǔ)之上，充分利用新技術(shù)來(lái)提高設(shè)備的復(fù)用性。合理利用資源，通過(guò)信息化手段自動(dòng)調(diào)整線程池大小，保障了系統(tǒng)的高可用性。分析網(wǎng)絡(luò)QoS，進(jìn)行流量管理減少帶寬占用，利用壓縮和高速緩存功能提高性能，并運(yùn)用適當(dāng)方法對(duì)網(wǎng)絡(luò)進(jìn)行優(yōu)化，以減少對(duì)運(yùn)營(yíng)商的帶寬需求。達(dá)到節(jié)約成本的目的。

金點(diǎn)子3——統(tǒng)一網(wǎng)管：網(wǎng)絡(luò)建設(shè)完成后，為了保證網(wǎng)絡(luò)處于監(jiān)控下運(yùn)行，最好能夠建立針對(duì)多種網(wǎng)絡(luò)技術(shù)平臺(tái)、多種網(wǎng)絡(luò)設(shè)備、多種通信接口進(jìn)行綜合管理的一套網(wǎng)絡(luò)管理系統(tǒng)。對(duì)IT環(huán)境進(jìn)行視圖管理、故障管理、性能管理、配置管理、安全管理、策略管理、資源管理、日志管理、系統(tǒng)管理等。避免各系統(tǒng)監(jiān)控各自為戰(zhàn)，不能形成信息流程共享的惡性局面。同時(shí)可以考慮建設(shè)帶外網(wǎng)管機(jī)制，可以提高網(wǎng)管的效率與可靠性，也有利于提高網(wǎng)管數(shù)據(jù)的安全性。

相信我們與游龍科技的合作達(dá)成之后，能帶給我們雙方更多的啟發(fā)和經(jīng)驗(yàn)，希望到時(shí)候與大家繼續(xù)討論。