网络通信 频道

思科系统帮助广东联通“四步”打造健壮网络

    通信网络就像无垠的大海,表面上风平浪静,实则暗流汹涌。对普通用户而言,也许只是网络慢如蜗牛,再坏不过一两次掉线,多数情况下根本没有感到异常。而在后台网络,则无时不萌发着巨大的阴谋,不安定因素总是蠢蠢欲动。

领先半步结缘专业服务
――广东联通“四步”打造健壮网络
    电信网络日益IP化,网络的运行维护越来越重要、越来越复杂。IP网络与传统信令通信网络特性不同,网络运行维护的差别也很大。传统的信令通信网络是面向连接的,一条链路要么通,要么不通,问题既容易发现又容易解决,IP网络是无连接的,网络也许看起来还在运转,但速度明显缓慢;IP网络流量分配具有相当的灵活性,不同的分配方案带来的网络效率可以差之千里;IP网络攻击源无处不在,难以追踪和查找等等,都使IP网络维护的复杂性大大增加。维护电信运营商这样的大型网络,说它是一项精细化、高科技的艺术,一点都不夸张。

    有鉴于此,借助专业服务供应商的力量,就成了电信行业的最新潮流和趋势。国际上领先的电信运营商如AT&T、澳大利亚Telestra、新加坡电讯(SingTel)就使用了思科系统公司的网络优化和安全评估服务。在国内,素以市场嗅觉敏锐著称、近年来在市场营销及新业务拓展方面大放异彩的广东联通,无疑是这方面的先行者。从2004年上半年开始,广东联通在思科公司的帮助下,不声不响地开展了一场为期近半年网络优化和安全加固行动。

建立网管网
    行动的第一步,就是建立一个专门用于网络管理的逻辑网络,用技术术语来说叫“带外管理系统”。

    从技术的角度,网络管理可分为带外管理(out-of-band)和带内管理(in-band)两种管理模式。所谓带内管理,是指网络的管理控制信息与用户网络的承载业务信息通过同一个逻辑信道传送;而在带外管理模式中,网络的管理控制信息与用户网络的承载业务信息在不同的逻辑信道传送。一般说来,由于传送信息的隔离,带外管理比带内管理安全程度更高。因此,广东联通也选择了带外管理的模式。

    设备带外管理方式又分为两类:一类是通过设备的控制端口直接管理,比如常说的设备Console口或Aux口;一类是独立的网管网,比如为网管单独配置一个管理虚网(VLAN)或专用VPN,或为网管单独建设一个物理的网管网。通过Console口来管理设备的方式由于本地性较强,因此有较高的安全性,但是它有一个缺陷就是失去了管理上的灵活性、方便性和综合性。这种管理方式下,管理人员看到的只是一台一台独立的设备,难以了解网络全貌信息,更谈不上综合管理,提高网络效率,因此也就失去了网络管理的意义。建立独立的网管网,则集合了网络管理的安全性和灵活性优点。此种方式下,管理信息和承载业务信息从逻辑上分开,网络管理面临的威胁空间(包括威胁来源和威胁可能性)大大减小,因而这种方式被广东联通所采用。

    从2004年6月中旬开始,在完全不影响网络运行的前提下,广东联通建立网管网的工作有条不紊地进行。首先,联通运维小组跟思科公司的CCIE专家小组一起,分析广东联通目前的网络管理基本状况;第二步,双方讨论建设网管网的方案;第三步,根据讨论结果搭建试验平台进行测试;第四步,编写带外网管推荐报告;第五步,内部审核、讨论推荐报告;最后,按照推荐报告带外管理系统。

    通过实施带外管理系统,广东联通网络维护人员能够对任何情况下可能出现的危机事件做出快速反应,即使在设备网络连接丢失的紧急情况下也能够应付自如,对于硬件设备的维护、错误的侦测以及系统的还原都进行了简化。这样一来,就提高运维支撑系统对网络故障的快速响应能力;提高运维支撑系统对网络故障的速度;降低人为操作可能带来的风险;并且降低网络运营成本。

    建网管网是广东联通网络优化和网络安全评估的准备工作,网管网建好以后,广东联通围绕网络优化和网络安全进行了一系列“强身健体”的工作。

抗攻击测试
    笔者曾无意间进入某个网络安全论坛,这里黑客、红客和白客同在,他们在讨论着“能控制数以10万台计的电脑才是真正的牛人”。他们控制这些电脑做什么?当然是在需要的时候攻击某个目标。据有关数据,互联网上的应用主机平均每10分钟便会受到一次攻击或病毒扫描。要想免受“敌人”意想不到的攻击,最好的办法是尽可能发现和堵住漏洞。

    互联网安全审计可以模拟黑客的攻击,是一种主动发现应用主机或网络设备安全漏洞的有效方式,已经日益受到国内外大型企业、运营商的广泛重视。广东联通作为重要的互联网服务提供商,有为数不少的主机、网络设备与互连网连接,网络安全问题是重中之重。

    思科专家小组通过扮演“白客”的方式,有目的地进行网络攻击,对网络进行“排查”,测试应用主机的安全性,发现系统中潜在安全隐患及漏洞,及时提供补救措施,提出安全建议,从而提高主机的安全性,并为广东联通提供了业界安全管理的非常好的经验。

    这项工作从8月开始,历时两个多月,共检查了122台网络设备,发现的安全漏洞全部通知相关部门进行了补救。

设备健康评估
    抗攻击测试是治病,网络运行不仅需要设备无病,还需要健壮。
思科优化小组根据国内外网络运维经验,对广东联通长期连续运行的网络设备,对其硬件的运转状态、软件系统的稳定性、设备的处理能力等指标进行综合的检查以及评定,正是通过分析现有设备的硬件/软件运行状态,发现目前设备当中潜在故障。同时记录网络的健康状态,提高网络的稳定性。

    广东联通通过健康评估该变了原来的巡检工作方式,事先通过网络健康评估找出网络中有问题的相关设备,然后在巡检过程中有针对性地进行,从而有效地提高了网络设备巡检的效率。

    这项工作于8月初开始9月底结束,用了近两个月时间。第一步先收集原始数据;第二步对数据进行分析并形成健康评估报告;第三步,网络运维小组对报告进行审核;第四步,举行交流会;第五步,按照报告结果进行现场巡检;最后,给出现场巡检报告。通过检查,发现故障隐患,找出原因,并进行了改进。

网络流量分析
    流量模型的建立是现代网络管理系统重要的组成部分,它可以使管理人员掌握网络的特性,合理调配资源,实现网络的高效管理。

    思科优化小组针对广东联通的网络运用状况,引进了流量分析模型。检测现有网络资源使用状况;及时发现异常的网络事件;分析网络流量,为业务系统提供参考依据,为将来网络扩容提供参考依据;最终提高网络的安全性。

    这项工作于8月中旬开始10月底结束,历时两个多月。广东联通运维小组跟思科优化小组一起,进行了流量分析系统的硬件安装、软件系统安装及调试,跟踪一个报告周期,使用该系统发现、处理了2次网络安全事件,做出第一个流量分析报告,并为整个运维小组提供软件应用专题培训。

    至此,广东联通网络优化和安全评估工作告一段落。通过近半年的项目实施,形成了一个日常运营的规则,建立起一整套完善的、适合广东联通数据网的运营规范和网络管理的准则,并通过对新规则、新工具的培训,提高了运维小组的整体知识水平。

    下一步,广东联通运维小组将严格按照新的管理准则,随时做好网络的运行维护工作。

后记
    服务是目前业界热门的话题。但服务这东西容易落入“虚”的境地,不如产品、设备来得实在,也因为IT服务的提供者良莠不齐,此“服务”非彼“服务”,也因为用户的观念没有及时更新,多数用户不敢“吃螃蟹”。广东联通凭借敏锐的市场嗅觉,在业务方面,开展《大提速——速度改变未来》、《大安全——安全体现关怀》、《大覆盖——广度见证实力》的系列营销策划进行密集导入,使联通新时空“技术领先专家”的全新品牌形象迅速深入人心;实施“海洋新时空”战略,增强网络远程覆盖能力,力争100万渔民客户,使中国联通在广东电信业成为后起之秀;发起“F1行动”,以3000元大礼包相送,强攻“掌中宽带”市场。前方大力拓展市场,为中国联通贡献20%上的收入,显示了广东联通的非凡实力。而本次在广东联通借力思科服务加强网络保障,充分显示了广东联通的前瞻性思维。

    思科公司作为全球最大的电信网络设备供应商,也是深谙客户之道,不仅了解客户的业务需求,更深知客户当前最急需解决的IT问题是网络安全、网络架构设计与优化、新的网络应用等内容,于是以“帮助客户更快地迈向成功”为立足点,一板一眼地建立IT服务的标准和规范,打动客户心弦。纵观本次思科为广东联通提供服务的过程,其给人最深的感受就是,服务的流程化、标准化、系统化。也只有这样的服务,才能真正给客户带来价值。

0
相关文章