长期以来,电信运营企业的信息化建设都是两条腿走路:一则"主内",以IT手段满足整个集团的内部应用需求;一则"主外",丰富增值服务手段,为企业转型战略服务.而对电信运营商而言,结合了IT管理和安全特性的网管系统,成为了信息化建设的重点领域.
某省级联通作为一个电信运营商企业的缩影,带着他们的经验与困惑走入我们的视线。联通的信息化支撑网络主要由BSS(业务支撑系统)网络和MSS(管理支持系统)网络构成,承载着全省数百万联通用户的营业、计费、账务以及提供经营分析数据的任务,以及全省数千员工的日常办公需求。
为统一门户建设打基础
随着3G时代的到来,用户数量和业务数量的增长会又面临一个新的高峰,一方面要求IT支撑系统更稳定,系统容量更大,整体系统的准确性和及时性提升到更高的标准。另外随着外联业务增长以及网络的互联性增大,外来非法访问和恶意入侵的防范,各种新业务的应用,对系统安全性提出了更高的要求,需要相应的提供更高的安全等级的系统支撑。
在IT建设初期,由于BSS网络与MSS网络是分别建设的。两张网络彼此分离,之间没有任何的物理连接,每张网络都有各自到地市的传输线路,无法实现传输资源、系统资源的共享,因此形成了两大信息孤岛。
而随着业务的发展,各系统资源的共享也越来越迫切。为了满足业务需求进行了第一次安全改造,决定尝试将BSS网络与MSS网络进行连接,出于对BBS网络数据传输的信息安全考虑,需要将合作伙伴等外部访问用户进行剥离。
设立了DMZ区,将原有直接接入BSS网络的各外部访问统一调整至安全可控区域,一方面避免了BSS网络与MSS网络的直连互访,另一方面又可满足不同的业务访问需求。并使用多级防火墙进行隔离控制,进行严格的策略限定。通过这次的网络安全改造,实现了初步的信息资源整合,建立了初步的统一信息平台。
面对迅速增长的业务,日益庞大的数据信息流,BSS和MSS原有至地市主干传输线路的带宽又成为了系统中的瓶颈,扩容BSS/MSS带宽以及增加MSS网络冗余备份线路成为了摆在面前的主要问题。经反复市场调研以及技术沟通,最终确定了采用业内先进的BGP/MPLS-VPN技术方案来同时满足以上两张网的需求。
最终,于2006年5月份,该工程顺利结束,主干传输线路带宽由原有的2M-SDH升级到12MB的ATM电路,在传输平台层面,实现了融合统一,不仅完成了原定的扩容冗余线路建设任务,同时也为今后各系统网络的统一建设打下了基础。
注重信息安全
目前,在联通支撑网络中,共有路由器以及交换机约100余台,从高端的CISCO12016到低端的CISCO2600,从高端的CISCO6509到低端的CISCO1900均有应用;省中心同时部署有30余台小型机以及各类存储备份设备。
在网络运维方面,公司自行研发的一套监控系统,可以定期监控各设备的网络通断情况。各系统设备的端口状态、CPU、内存、SYSLOG、磁盘空间大小以及数据库的性能指标也可借由此进行完全的监控。
网络以及主机设备是系统安全稳定运行的基础,因此对于该批设备的监控成为了首当其冲的问题。其中,链路监控包括链路通断以及带宽的监控手段,链路通断可以用最基本的PING命令或者监控设备的端口UP/DOWN情况来准实时监控;而带宽监控亦可采用部分流量以及带宽管理工具进行监控。
虽然BSS内网与MSS外网在物理上已经联通,有防火墙进行安全隔离,但是仍存在一定的安全风险。并且由于办公应用的需求,从MSS网络上可以访问互联网,客观上也存在有安全隐患。因此,为了保证信息安全,保证整个系统的安全,采取了种种方案来进行控制监控:
一是严格控制网络互访,加强防火墙策略管理,对数据流向进行端口级别控制;
二是部署了IDS与安全审计产品,对异常流量,非法访问进行实时监控;同时不定期使用网络数据包分析工具,分析大数据流量,监控网络使用情况;
三是加强终端安全管理,由于与公网的联通性,病毒、木马、恶意程序、大流量网络应用成为了目前MSS网络的最大敌人。除了安装使用了防病毒产品外,还在核心交换机以及各接入交换机上部署了大量的ACL,来满足网络安全的需求。
迈向IT服务管理
从前期的各项目建设情况来看,网络运维已进入电信行业,但是仍然处于一个较低的水平,只是简单的系统监控,尚未达到ITSM的水平,没有形成一套标准流程化的监控、处理流程。我们认为,支撑网络监控服务的功能主要体现在保证业务的稳定运行,譬如营业厅营业网络接入、HLR接入和短信接口等关于用户使用感知的重点线路;以及重要系统和重要进程的监控等。
但是,对于电信行业的支撑网络来讲,网络设备、主机设备、数据库、中间件、应用都存在出现问题的可能性,由于支撑网络的特殊性,突发流量是常见的现象,如前台系统忙,响应时间过长,表空间,磁盘空间的突增等。为此,需要有一套更为先进的网络管理系统来进行管理监控和预警,建立统一的网络运维平台势在必行。
在预警的过程中,预警的准确性需要提高,避免误报和漏报,同时希望智能化关联程度较高,可以准确定位故障发生点。因此在部署网络管理方面,首先要从故障的及时响应与准确定位;对业务流量能够精细把握,保证业务拓展的延续性;同时对关键系统的业务进程进行监控。
在长期摸索探究的基础上,我们确立了建立统一网络管理平台的目标,为了改变目前相对单一的网路监控格局,正在对网络管理软件进行调研,在这个时候游龙科技走入我们的视线,不仅仅能够满足电信增值业务的运维要求,而且操作简单,已经成功应用于多个大型的电信网络。在不断的接触中,双方在建设的方向上取得了惊人的一致,游龙科技在长期的实施经验中,总结的电信支撑网络建设的三个金点子, 给我很大的启发并在此与大家分享:
电信支撑网络建设的三个金点子
金点子1——安全架构:在网络建设以及改造的时候,要充分考虑到系统安全性,架构从完全开放信任到可控安全,从事后补救到预警和快速响应,从单点安全到全面安全。划定不同的安全等级区域,采用不同的网络安全产品进行合理应用,制定不同区域间的访问规则,通过网络管理平台有效控制信息流,能够及时通过短信、邮件、声音、脚本等警报方式预警,并能根据用户需求自动生成各种美观的图形、图表分析报告。
金点子2——节约成本:在网络建设的时候,要充分考虑的设备线路的复用性与备用性。网络设备在进入部署前,要先进行全面测试。对于IT团队来说,前面的工作越细致,后面的麻烦相对就越小。在保证冗余备份的基础之上,充分利用新技术来提高设备的复用性。合理利用资源,通过信息化手段自动调整线程池大小,保障了系统的高可用性。分析网络QoS,进行流量管理减少带宽占用,利用压缩和高速缓存功能提高性能,并运用适当方法对网络进行优化,以减少对运营商的带宽需求。达到节约成本的目的。
金点子3——统一网管:网络建设完成后,为了保证网络处于监控下运行,最好能够建立针对多种网络技术平台、多种网络设备、多种通信接口进行综合管理的一套网络管理系统。对IT环境进行视图管理、故障管理、性能管理、配置管理、安全管理、策略管理、资源管理、日志管理、系统管理等。避免各系统监控各自为战,不能形成信息流程共享的恶性局面。同时可以考虑建设带外网管机制,可以提高网管的效率与可靠性,也有利于提高网管数据的安全性。
相信我们与游龙科技的合作达成之后,能带给我们双方更多的启发和经验,希望到时候与大家继续讨论。