基于運維審計系統(tǒng)的網(wǎng)絡統(tǒng)一維護通道的應用

1、基于運維審計系統(tǒng)的網(wǎng)絡統(tǒng)一維護通道的應用基于運維審計系統(tǒng)的網(wǎng)絡統(tǒng)一維護通道的應用一、引言目前電信運營商的挪動網(wǎng)絡、固話網(wǎng)絡都穩(wěn)步向IP化演進，伴隨著這種演進，電信網(wǎng)絡的運維方式也在發(fā)生著變化。傳統(tǒng)的各電信網(wǎng)絡如挪動網(wǎng)、固話網(wǎng)、城域網(wǎng)以及傳輸承載網(wǎng)都有專業(yè)的維護隊伍維護，但伴隨著電信網(wǎng)絡的全IP化，各個專業(yè)的維護界面不再明晰，各種電信業(yè)務網(wǎng)絡已經(jīng)互相交融，密不可分，如相當一局部的固話已通過城域網(wǎng)接入，挪動網(wǎng)絡的承載網(wǎng)IPRAN也是一張全IP化的網(wǎng)絡。網(wǎng)絡的交融提出了維護通道統(tǒng)一的需求。網(wǎng)絡運維的平安也日益為各運營商所重視，運營商網(wǎng)絡的維護操作主要有三類人組成，運營商自己的運維人員、第三方集成商和

2、設備廠商工程師，然而，由于現(xiàn)有管理手段的不完善，帳號共享情況的存在，以及加密、圖形協(xié)議的廣泛引用，使得各類維護操作人員的日常操作存在操作身份不明確、操作過程不透明、操作內(nèi)容不可知、操作行為不可控和操作事故無法定位等平安風險。電信運營商需要對各類運維人員的操作過程，能做到事前防范、事中控制和事后審計。三大電信運營商全業(yè)務競爭劇烈，網(wǎng)絡質(zhì)量、故障響應也是競爭的重要方面，要求運維人員能7X24小時響應網(wǎng)絡故障。但是，目前的運營商業(yè)務網(wǎng)絡中，有相當一局部不支持遠程維護，無法隨時隨地對網(wǎng)絡進展維護操作?；谏厦娴娜c需求，提出一種基于運維審計系統(tǒng)的電信運營商網(wǎng)絡統(tǒng)一維護通道，實現(xiàn)交融、平安和方便地維護電

3、信網(wǎng)絡。二、電信網(wǎng)絡維護通道現(xiàn)狀目前電信運營商的傳輸、交換、數(shù)據(jù)和挪動網(wǎng)絡根本還是按專業(yè)來劃分維護的，各個專業(yè)網(wǎng)絡都有各自的維護通道，維護通道之間根本沒有交集。每個專業(yè)網(wǎng)絡不同的網(wǎng)絡層次和不同的廠家設備也有不同的維護通道，有的設備采用telnet方式，有的設備采用圖形網(wǎng)管的方式，有的采用eb方式；有的采用公網(wǎng)通道的方式本文由論文聯(lián)盟.Ll.搜集整理，有的采用私網(wǎng)通道的方式。維護通道的多樣性不符合目前電信運營商推進的集中監(jiān)控、集中維護和集中管理的集約化維護形式。多種多樣的維護通道使電信運營商對各類維護人員網(wǎng)絡的操作缺乏有效的監(jiān)管，無法保證運維平安，對少數(shù)有意的破壞或誤操作引起的業(yè)務中斷無法進展快

4、速的故障定位。運維平安越來越被提到重要的位置，運營商也在想各種方法進步網(wǎng)絡維護操作的監(jiān)管程度。記錄網(wǎng)絡運維的每一個操作動作，對網(wǎng)絡運維過程進展有效的審計，建立基于運維審計系統(tǒng)的統(tǒng)一維護通道被認為是一種比擬可行的方法。三、基于運維審計系統(tǒng)的統(tǒng)一維護通道架構維護通道采用防火墻加運維審計系統(tǒng)來實現(xiàn)，系統(tǒng)架構如圖1所示，防火墻實現(xiàn)多種維護方式的平安接入，包括遠程維護接入和PLS-VPN接入，出于平安考慮，遠程維護接入回絕公網(wǎng)方式接入，采用更為平安的VPDN和二次撥號接入。同時通過防火墻形成一個統(tǒng)一的運維通道接入運維審計系統(tǒng)，在運維審計系統(tǒng)中導入網(wǎng)絡設備和網(wǎng)管系統(tǒng)，通過運維審計系統(tǒng)來操作各種電信運營商的

5、網(wǎng)絡設備和網(wǎng)管，實現(xiàn)操作過程的審計，到達運維平安之目的。在上述系統(tǒng)架構中，運維審計系統(tǒng)具有核心設備的作用，采購運維審計系統(tǒng)時需要考慮到下面一些問題。3.1liense數(shù)量電信運營商網(wǎng)絡龐大，一個中等本地網(wǎng)的城域網(wǎng)設備可達上萬臺，當然很多接入層設備都是用圖形網(wǎng)管來管理的，所以采購運維審計系統(tǒng)時要充分估計需要導入設備的數(shù)量，并留有一定的余地。3.2網(wǎng)絡接口數(shù)量電信運營商網(wǎng)絡比其他的企業(yè)網(wǎng)絡要復雜許多，有城域網(wǎng)、傳輸網(wǎng)、語音網(wǎng)、挪動網(wǎng)及挪動承載網(wǎng)IPRAN等各類網(wǎng)絡，每一種網(wǎng)絡還采用不同的維護方式，例如城域網(wǎng)有采用圖形網(wǎng)管方式的，也有采用telnet方式的，所以在采購運維審計系統(tǒng)時，要考慮到網(wǎng)絡接口

6、的情況。目前在電信運營商中采用運維審計系統(tǒng)來管理網(wǎng)絡還處于起步階段，許多運維審計系統(tǒng)廠家沒有考慮到運營商網(wǎng)絡的復雜度，審計系統(tǒng)設備提供的網(wǎng)絡接口一般也不超過8個，有網(wǎng)絡接口不夠用的風險，所以可以考慮網(wǎng)絡接口采用子接口的方式。紹興電信本地網(wǎng)測試過3個廠家的運維審計系統(tǒng)，都是采用Linux的內(nèi)核，在對接口作二次開發(fā)后，都能實現(xiàn)子接口的功能，實現(xiàn)單接口接入多網(wǎng)絡。3.3如何快速找到需要操作的網(wǎng)絡設備電信運營商網(wǎng)絡設備數(shù)量很多，在設備導入運維審計系統(tǒng)，并通過運維審計系統(tǒng)來操作維護設備時，如何快速找到目的設備也是一個問題。所以在采購設備時，要考慮廠家的運維審計系統(tǒng)是否支持多級樹形構造的設備導入，以和目前

7、網(wǎng)絡設備按本地網(wǎng)、縣公司、分支局來對設備進展歸類相適應。通過telnet方式來維護的設備，還需要支持按設備名稱的關鍵字母來搜索的功能。四、基于運維審計系統(tǒng)的統(tǒng)一維護通道實現(xiàn)的功能4.1統(tǒng)一的維護通道通過基于運維審計系統(tǒng)的統(tǒng)一通道來操作維護各類電信業(yè)務網(wǎng)絡，維護的接入方式不再因被維護的網(wǎng)絡或網(wǎng)管的不同而不同，運維人員只需要通過一個統(tǒng)一的入口登錄運維審計系統(tǒng)，在運維審計系統(tǒng)上就能找到需要操作的網(wǎng)絡設備和網(wǎng)管，然后按受權的權限進展操作即可；假如是telnet方式進展設備維護，只需要telnet一個統(tǒng)一的IP地址，就能找到維護人員被受權的設備，再選擇目的設備進展維護操作，并可通過口令代填功能，提供訪問

8、網(wǎng)絡設備的自動登錄，從而簡便運維操作。此統(tǒng)一維護通道簡潔、明晰、明了，也省卻了記錄各個網(wǎng)絡設備和網(wǎng)管的IP地址。4.2平安的運維形式1運維操作采用PLS-VPN、VPDN和二次撥號接入運維操作采用PLS-VPN、VPDN和二次撥號接入，回絕公網(wǎng)方式的接入，整個維護側(cè)只有LNS提供了一個公網(wǎng)地址，防止了防火墻和運維審計系統(tǒng)暴露在公網(wǎng)中被惡意攻擊的風險，保證了維護接入的平安。2身份認證運維人員通過運維審計系統(tǒng)操作網(wǎng)絡設備和網(wǎng)管需要進展身份認證，針對不同的運維人群，可以采用靜態(tài)或動態(tài)口令的方式進展身份驗證。3受權每個運維人員在運維審計系統(tǒng)上采用最小受權，包括所能操作的設備范圍和操作命令權限兩個方面。

9、對設備廠商工程師和第三方集成商的一些設備晉級之類的操作設定嚴格的受權時間段，使其只能在設定的時間段內(nèi)操作，防止一些不必要的用戶投訴。4事中告警、阻斷功能支持事中告警功能，通過配置敏感操作策略，當運維人員操作這類命令時，系統(tǒng)提供告警或阻斷，一些危險的操作能被及時中斷，也便于審計員能重點關注一些危險的操作。9審計記錄所有的操作過程，可以審計全部操作行為，審計結(jié)果可以以錄像重放形式展現(xiàn)，支持根據(jù)時間、運維命令、進度條等方式進展定位回放，能快速定位一些誤操作引起的故障。4.3良好的擴展性建立在圖1系統(tǒng)架構上的基于運維審計系統(tǒng)的統(tǒng)一維護通道建成后，可以在運維審計系統(tǒng)的內(nèi)部接口擴展地接入各種電信業(yè)務網(wǎng)絡和網(wǎng)管效勞器，這些網(wǎng)絡和效勞器的接入不涉及到維護側(cè)統(tǒng)一入口的改動，也就是說運維審計系統(tǒng)的外部接口和內(nèi)部接口是獨立的，每一側(cè)的改動都不影響另一側(cè)，這就使得系統(tǒng)具有良好的擴展性，可以方便地增加需要通過統(tǒng)一通道維護的業(yè)務網(wǎng)絡和網(wǎng)管效勞器，這些增加的業(yè)務網(wǎng)絡或網(wǎng)管效勞器只需在運維審計系統(tǒng)上對相關的操作維護人員進展