基于运维审计系统网络统一维护通道应用.docVIP

基于运维审计系统网络统一维护通道应用 基于运维审计系统的网络统一维护通道的应用 一、引言 　目前电信运营商的移动网络、固话网络都稳步向IP化演进，伴随着这种演进，电信网络的运维方式也在发生着变化。传统的各电信网络如移动网、固话网、城域网以及传输承载网都有专业的维护队伍维护，但伴随着电信网络的全IP化，各个专业的维护界面不再清晰，各种电信业务网络已经相互融合，密不可分，如相当一部分的固话已通过城域网接入，移动网络的承载网IPRAN也是一张全IP化的网络。网络的融合提出了维护通道统一的需求。 　网络运维的安全也日益为各运营商所重视，运营商网络的维护操作主要有三类人组成，运营商自己的运维人员、第三方集成商和设备厂商工程师，然而，由于现有管理手段的不完善，帐号共享情况的存在，以及加密、图形协议的广泛引用，使得各类维护操作人员的日常操作存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控和操作事故无法定位等安全风险。电信运营商需要对各类运维人员的操作过程，能做到事前防范、事中控制和事后审计。 　三大电信运营商全业务竞争激烈，网络质量、故障响应也是竞争的重要方面，要求运维人员能7X24小时响应网络故障。但是，目前的运营商业务网络中，有相当一部分不支持远程维护，无法随时随地对网络进行维护操作。 　基于上面的三点需求，提出一种基于运维审计系统的电信运营商网络统一维护通道，实现融合、安全和方便地维护电信网络。 　二、电信网络维护通道现状 　目前电信运营商的传输、交换、数据和移动网络基本还是按专业来划分维护的，各个专业网络都有各自的维护通道，维护通道之间基本没有交集。每个专业网络不同的网络层次和不同的厂家设备也有不同的维护通道，有的设备采用telnet方式，有的设备采用图形网管的方式，有的采用web方式；有的采用公网通道的方式，有的采用私网通道的方式。维护通道的多样性不符合目前电信运营商推进的集中监控、集中维护和集中管理的集约化维护模式。 　多种多样的维护通道使电信运营商对各类维护人员网络的操作缺乏有效的监管，无法保证运维安全，对少数有意的破坏或误操作引起的业务中断无法进行快速的故障定位。运维安全越来越被提到重要的位置，运营商也在想各种办法提高网络维护操作的监管水平。记录网络运维的每一个操作动作，对网络运维过程进行有效的审计，建立基于运维审计系统的统一维护通道被认为是一种比较可行的办法。 　三、基于运维审计系统的统一维护通道架构 　维护通道采用防火墙加运维审计系统来实现，系统架构如图1所示，防火墙实现多种维护方式的安全接入，包括远程维护接入和MPLS-VPN接入，出于安全考虑，远程维护接入拒绝公网方式接入，采用更为安全的VPDN和二次拨号接入。同时通过防火墙形成一个统一的运维通道接入运维审计系统，在运维审计系统中导入网络设备和网管系统，通过运维审计系统来操作各种电信运营商的网络设备和网管，实现操作过程的审计，达到运维安全之目的。 　在上述系统架构中，运维审计系统具有核心设备的作用，采购运维审计系统时需要考虑到下面一些问题。 　3.1 license数量 　电信运营商网络庞大，一个中等本地网的城域网设备可达上万台，当然很多接入层设备都是用图形网管来管理的，所以采购运维审计系统时要充分估计需要导入设备的数量，并留有一定的余地。 　3.2 网络接口数量 　电信运营商网络比其他的企业网络要复杂许多，有城域网、传输网、语音网、移动网及移动承载网IPRAN等各类网络，每一种网络还采用不同的维护方式，例如城域网有采用图形网管方式的，也有采用telnet方式的，所以在采购运维审计系统时，要考虑到网络接口的情况。目前在电信运营商中采用运维审计系统来管理网络还处于起步阶段，许多运维审计系统厂家没有考虑到运营商网络的复杂度，审计系统设备提供的网络接口一般也不超过8个，有网络接口不够用的风险，所以可以考虑网络接口采用子接口的方式。绍兴电信本地网测试过3个厂家的运维审计系统，都是采用Linux的内核，在对接口作二次开发后，都能实现子接口的功能，实现单接口接入多网络。 　3.3如何快速找到需要操作的网络设备 　电信运营商网络设备数量很多，在设备导入运维审计系统，并通过运维审计系统来操作维护设备时，如何快速找到目标设备也是一个问题。所以在采购设备时，要考虑厂家的运维审计系统是否支持多级树形结构的设备导入，以和目前网络设备按本地网、县公司、分支局来对设备进行归类相适应。通过telnet方式来维护的设备，还需要支持按设备名称的关键字母来搜索的功能。 　四、基于运维审计系统的统一维护通道实现的功能 　4.1统一的维护通道 　通过基于运维审计系统的统一通道来操作维护各类电信业务网络，维护的接入方式不再因被维护的网络或网管的不同而不同