秦保根 中国网通江西分公司运维部
摘 要 随着IP业务和网络规模的迅速发展,IP网络上运行的设备已相当丰富、厂家日益多样,电信运营商必将重点放在如何维护、管理网络,电信级的以太网网管系统呼之欲出。
关键词 IP以太网 电信级网管
自以太网技术1972年诞生以来,市场对计算机联网的速率提出了越来越高的要求,快速以太网、吉比特以太网和10吉比特以太网相继出现。以太网正是由于它的简单、易用、高速,一次又一次地跨越速度的障碍,创造了人们始料未及的辉煌。电信业当前正在发生的最大、最深刻的变化是——由传统语音业务向数据业务的战略性转变,根据JP摩根、麦肯锡、IDC的市场调查及最新预测,语音业务与数据业务收入的增长在2000年出现新拐点,全球范围语音业务收入正在以1%左右的速度缓慢下降。随着IP业务和网络规模的迅速发展,IP网络上运行的设备已相当丰富、厂家日益多样,电信运营商在建设网络系统的同时,必将重点放在如何维护、管理网络,从而为用户提供良好的服务。
1 目前以太网存在的主要问题
电信网是为用户提供商业服务的,它提供的电信服务是一种商品,因而它要保证服务质量,要有足够的安全性、可靠性和能够确保售后服务能力,必须有很强的可管理性和可维护性。目前全球有大量的用户采用以太网接入,然而由于认证计费、服务质量、可管理性、信息安全、可靠性以及实装率低等多种因素,以太网作为公用电信网接入方式尚待进一步改进。
目前存在的主要问题有以下几点。
1.1 QoS问题
· 由于网上设备数量众多,且设备多样,QoS部署、管理困难。
· 由于IP网络是面向无连接的,动态选路,路径不可预知,没有资源预留,采用相对优先权,呼叫过程无CAC控制,拥塞控制为开环方式,无法保证QoS的控制。
1.2 安全性能问题
目前的以太网不像传统的电信程控交换机那样分离网管信息和用户信息。事实上以太网原来就根本没有网内安全机制,而现在用于公用电信网,其网管、服务质量、安全机制成为必不可少的关键要求。原以太网没有内置保护功能,主要靠路由器来实施保护,需要大约1s的时间才能使数据流重新定向,使以太网无法传送如:电信级的语音数据流。
1.3 无统一有效的网管体系
以太网技术进入电信运营商数据城域网、骨干网应用后,其背景发生了质的改变,由一种局域网互连应用进入到网络运营商进行运营和盈利的经营活动中。多厂家网络设备,其自身网管性能不完善,更无法实现统一有效的网管。今天对以太网的要求跟过去相比已经有了根本的不同,它不仅要支持服务、应用,同时也有更高的带宽需求,特别是需要管理,不断提高的QoS和网管能力。虽然802.1p、802.1q和802.1w使以太网技术初步具有优先级控制、VLAN及MPLS提供一定的QoS带宽服务,但这些还远远不够。以太网原来主要用于小型局域网络环境,网管能力很弱,在公用电信网中,必须有效地运行和维护大规模的地理分散的网络,必须有极强的网络级管理能力。
2 电信级以太网网管的基本要求
IP管理网是电信管理网(TMN)的一个子网,应继承和遵从TMN的结构,保证协议和过程的可扩性,使用开放系统互连(OSI)的7层协议栈,即物理层、链路层、网络层、传送层、会话层、表示层和应用层。IP数据网是一个开放的系统,其管理有着特殊的复杂性。电信级IP网管系统要求对IP数据网上的故障、性能、配置、环境等信息进行全面的监控,对路由器的CPU负荷、网络整体和局部的流量、流向、丢包、时延、网元设备的负荷情况等,提供实时统计分析,对网上事件做出快速反应,提供有效故障隔离措施,并依赖有效的操作控制手段,尽快解决故障,保证网络的正常运行,实现集中操作和维护管理。IP综合网管系统主要由五大部分组成:配置管理、性能管理、故障管理、业务管理和安全管理。
2.1 配置管理
配置管理是对所管理IP网中的IP设备和管理进程的配置信息进行查询及部分配置资源信息的指配,负责设备保障、状态检查和安装功能,能够以图形、文字等形式分层显示配置相关的各类信息,并且具有编辑(增加、删除、更改)、分类统计和打印输出这些数据的功能。网络的配置管理主要包括:全网拓扑管理、各路由设备的路由信息表配置、管理域配置、交换机配置等。根据设备有关的网络连接的配置信息,生成网络的拓扑结构图,以友好的、直观的图形方式体现出来,以管理IP网络资源和管理进程信息,并对这些网络资源进行维护和管理。
设备配置数据包括系统内各网元生成的设备配置参数,也包括根据设计文件及管理资料人工生成的参数两部分内容。对配置数据的管理包括配置文件的生产和获取,配置文件的维护和编辑,制定配置计划,进行配置校验和配置结果模拟并使配置生效等。用于配置管理的软件主要有针对Cisco设备的Cisco Netsys Baseliner、CWSI、ACL Manager。HP OpenView网管平台也提供了相应的功能模块支持配置管理,OpenView的NNM(Network Node Manager)可以自动发现网络节点,生产网络拓扑图,并对各种网络事件进行处理。
IP综合网管系统的配置管理系统可由四个部分组成:网元管理平台、基本配置管理、高级配置管理、用户公共接口。网元管理平台一般是设备厂商提供的设备管理平台,负责与设备直接通信,基本配置和高级配置管理完成配置功能,用户公共接口不仅提供用户访问管理功能的接口,同时还提供与其他管理功能的接口。在配置管理中,通过网络拓扑图,网管人员可以对整个网络结构有形象地了解,设备配置信息和网络流量报警也可在拓扑图上直观地显示。基于Java语言开发的网络拓扑显示功能模块,除对网络设备可进行拓扑发现外,还可分层显示网络拓扑,对网络设备和链路配置信息进行查询,实现拓扑图上的流量报警,实现实时路由监测和ISIS路由仿真功能。ISIS路由仿真方式是通过简单的模拟操作,对网络和设备进行有效配置,使整个网络的流量流向更趋于合理,使网络拥塞尽量减少。在网络拓扑图的基础上,选定源点,根据网络中所有通过ISIS路由协议获得路由的metric值,计算出一条最短路径,在拓扑图上以不同颜色的线反映处理,当网管人员出于减轻某段链路流量的考虑而改变一条或多条路由的metric值时,该模块重新执行最短路径算法(Dijkstra算法),计算并画出新的最短路径,通过更改前后最短路径的变化,网管人员对网管设备(如路由器路由协议的优先级别等)进行相应配置,从而达到提高网络效能、负载均衡等目的。基于HP NNM提取的管理信息生产网络拓扑,可通过SNMP直接从骨干网设备的Agent中取得所需的MIB信息并存入数据库。
2.2 性能管理
性能管理是通过对网络系统的被动监测和主动测量确定网络设备CPU的负荷、系统中站点的可达性、网络系统的流量、传输速率、带宽利用率、时延、丢包率等,并发现系统的物理连接和系统配置的问题,确定网络瓶颈,进而通过网络状态监视和路由优化及流量平衡技术,优化网络性能,提高网络运行效益。性能管理功能包括数据信息采集,性能信息的统计和存储,性能管理阈值处理和性能报告生产等。通常性能指标的阈值可以参考如下指标:
· CPU利用率:小于70%;
· IP设备MEM的利用率:小于80%;
· Ping定时测试指定的地址,如:每小时连续3次(每次相隔1~3min),若连续没有拼通,则认为该通路中断,发出可闻可见告警;
· 时延,运营商网内:小于100ms;与其他运营商网际:小于200ms;与其他运营商国际:小于300ms;
· 丢包率:小于1%;
· 流量带宽的占用率:小于80%。
性能管理系统可通过Cisco NetFlow软件,采集路由器各端口基于QoS 级的数据流,捕获每个网络流量的分类和优先权,在服务质量的基础上区分数据流并加以处理,生产相应报表。NetFlow采集数据还可用于平衡网络的负载,查找网络的故障,优化网络的性能以及SLA吞吐量监测和基于数据流的计费等方面。使用Cisco IPM(Internet Performance Managerment)软件,发送echo、pathecho数据包测定网络的响应时间,进而可以采集网络时延、丢包率和抖动等网络性能参数,生产反映网络服务质量的报告,指导网管人员使用相应的QoS策略,实现对企业用户的SLA管理。基于HP OpenView的NetMetrix、Network Hearth/Concord等软件,可以发现并隔离网络故障,反映网络性能趋势,监测网络资源和性能,测定流量峰值并产生相应报表。
2.3 故障/告警管理
故障/告警管理实现对数据网内所有网元设备的告警监测和故障定位,配合运行管理功能进行故障排除和系统设备复测,收集和处理各网络单元(NE)的各种故障、告警及网络状态异常信息,并具有各种分类统计和指导分析的功能。故障/告警管理主要包括以下内容:告警数据的采集和存储、定制告警分类和级别、告警数据过滤和相关性分析、告警的实时显示和生成报表、告警/故障处理、告警/故障数据库的维护等。故障/告警管理以工作流的方式,提供了网管的自动化功能,通过一系列的工具和接口,帮助系统人员完成日常维护和管理工作,常见的工作流为值班日志和故障工作流。
在骨干网网管项目的告警/故障管理中,可选取Micromuse/Netcool作为主要的故障管理平台,HP OpenView NNM 作为其补充,实现可定制的管理界面的生成、基于工作流的故障发现、工作流程设计、与其他管理模块间的接口与互动、在网络拓扑图上的链路故障/告警显示以及故障/告警解决指导知识库的维护等。
2.4 服务管理
实现基于应用/服务的网络管理,向网管人员明确反映网络的实时质量状况,为网络规划提供信息,并能提供有区别的服务,特别是按照企业大用户的需求,提供基于QoS的服务级别协议(SLA)、计费等功能。
IP综合网管系统对业务管理的功能划分:
· 对于网络的服务质量,可使用Cisco的IPM软件,对骨干网中的Cisco设备收集相关数据,经分析处理可以获得反映网络QoS的时延、丢包率、网络吞吐量等参数,进而生成QoS性能评价报告;
· 对于应用的服务质量,基于Netcool的ISM软件,可以对多达18种应用层协议(包括DHCP、DNS、FTP、HTTP、RADIUS、POP3、SMTP等)的服务质量进行监视,并生成性能报告。针对IP网的特殊应用服务(如VPN、VoIP、线路租用等),使用直接针对该项业务的QoS监测管理软件,可以获得更详细的QoS数据,有效地保证SLA管理水平。
IP综合网管系统对网络层面的功能划分:
· 对于骨干层业务服务,遵循IETF DS BB、ETSI TIPHON等标准模型,由网资源管理器CM根据逻辑业务承载网的拓扑和资源状况为业务流选路,CM管理业务网络资源情况决定是否接纳呼叫,协调业务层与承载层的配合,通过MPLS技术逻辑分离IP电信网和Internet,高质量业务走IP电信网,Internet业务走Internet。根据业务模型预规划每个局向的LSP路径及资源情况,提出预规划业务模型,降低TE复杂度。
· 对于边缘节点的可感知业务,通过CM、业务服务器、边缘节点设备之间的配合实现业务的自感知,业务平面与控制平面、基础网络分离。
· 对于宽带接入网,管理接入网用户的多种业务,并进行业务的智能识别,根据用户、业务细分服务,通过HGMP,统一管理和维护接入层各级设备,共同完成接入网内业务的服务保障。
业务服务等级一般分为三类:最优的业务、分等级的业务、尽力而为的业务,通过对用户群的划分来确定等级。通过预留带宽等方式保障对大客户的服务质量,分析大客户的资源使用情况、使用效率,为大客户提供资源分析报告。
2.5 安全管理
IP网的安全管理设备包括防火墙软件和相应探测软件,防止黑客破坏服务器、路由器、交换机以及认证服务器、AAA服务器、邮件服务器等。主要功能包括:权限管理功能、数据安全管理以及安全检测功能。作为网络管理的基本功能之一,安全管理通过控制信息访问点来保护网络中的敏感信息。保护敏感信息和允许网管人员访问适当信息以进行工作这两方面的需要,合理设置安全措施来保证系统和数据的安全。此外,对某些关键设计信息,如用户密码等,还应提供加密传输和存储功能以加强保护。
安全管理的几种实现途径:
· 路由安全:对一切穿越接入安全边界网关设备的报文,均进行安全检查、流控与记录,以便过滤非法访问、抑制Proxy等非法接入、快速定位用户的网络攻击。
· 城域网可用性安全:宽带接入网/CPN,与IP城域核心网/运营支撑网之间的互访,均必须由接入安全边界网关设备代理完成,从而保证IP城域网的私密性。
· 设备可用性安全:边缘路由器自动识别用户的呼叫,根据用户的呼叫走不同的业务VPN,为每个用户提供独立的VLAN,以此控制一切来自宽带接入网/CPN的接入请求,不同业务网形成独立的逻辑专网,在资源上是隔离的,避免业务之间的互相影响,保证接入安全边界网关设备的正常运转。
· 用户管理安全:以“用户=帐号/密码+VLAN+应用量+……”等完善用户表达,以此增强用户管理能力。
----《中国数据通信》