论文部分内容阅读
摘要:本文提出基于高速MESH组网的DCN平台、双机热备份、MPLS数据安全隔离的传输网管优化方案。
关键词:MESH组网;双机热备份;MPLS;传输;SDH
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)20-30245-03
On the Security Network Transmission Network Management Programme
ZENG Yan-jun
(Xiangzhou Prefecture branch,China Telecom, Zhuhai 519000)
Abstract: Based on this paper, high-speed network of DCN MESH platform, dual hot backup, MPLS data security isolation optimize the transmission network management programme.
Key words: MESH network, double hot backup; MPLS;Transmission;SDH
1 引言
目前传输网管系统监控中心一般设置在一个或两个节点核心骨干点,核心骨干点之间以组网划分网管管理区域,网
管系统单机运行、磁带备份的方式工作,以保证网管系统的可靠性;环网的网关网元根据各运营商所在地区传输骨干、汇聚、接入的关键网元情况,设置各环网的网关网元。为了将网关网元的管理信息传送至网管系统,通常在网关网元和网管系统服务器之间通过基于2M的DCN网络进行通信,DCN网络一般模型如图1所示。
2 现存网管现状
现在很多传输基础网络规模是经过多次的网络优化、改造、扩容工程后形成的,由于建设周期的冗长,用于传送网络信息的DCN网络很难进行统一的规划,因此,DCN网络也是跟随传输工程建设同步扩容,采用的路由器主要是基于2M的低端数通设备;随着传输网络的不断扩展,环网数量及网关网元的逐步增加,对于传送网管信息的DCN网络中的路由器、HUB 的数量也在不断上升,如此,承载传输网网管信息的DCN 网在更有效地满足传输网络的发展上,开始出现了一些问题,归纳起来,主要有以下几个方面。
2.1 维护管理的效率问题
目前网络中路由器众多,路由器之间数据通过2M传递,组网结构以点对点大量叠加为主,数量太多的2M造成网络结构复杂,安全性差,效率底下,造成维护的不便和2M资源大量消耗。
2.2 数通设备的广播风暴问题
各机房网关网元不断增多,使用HUB的数量加大,而HUB本身基于物理层的弊病,带来广播包的大量传播,使带宽拥塞,容易引起网络风暴等组网安全隐患。
2.3 网络管理域划分的安全性问题
虽然网管服务器在设计之初往往根据网络结构进行管理域划分,但不同网管服务器所管理的区域之间隔离无法保证,任一套T2000客户端可以登录不同的服务器,不同T2000 服务器之间可以访问不属于自身管辖管理域的网元,在电信级互连互通项目中存在这种隐患风险尤为明显。网络安全性不高,不便于安全规范管理。
2.4 单网管的安全性问题
很多传输网管采用C/S架构,服务器端往往以高性能小型机运行UNIX系统和高端数据库软件确保系统安全;用磁盘阵列或磁带机来保证数据安全。可是一旦出现意外,确保稳定性的因素会带来系统恢复实效性差的问题,随着网络的增大,安全性要求增高,该弊病无法为大运营商所接受。传输网管双机热备份问题势在必行。
2.5 发展和成本问题
基于2M 通道的路由器,由于其出口带宽较小,所需的路由器数量较多,DCN 扩展,路由器数量还将会大量增加,成本相对较高,带宽低。随着3G硝烟涌起,为在未来通信运营领域中占领先机,传输网络在未来几年中,保持稳步、快速、健康发展成为工作的重中之重。随着网络规模和网络覆盖面进一步扩大,DCN网络如果仍然按照原有的方式扩展,不利于网络的长期稳定发展。
3 承载网管DCN平台改造设计(以某地电信为例)
3.1 网管接入原则
所有传输网络(包括骨干、汇聚层)都以DCN方式接入网管。
(1)DCN平台规划必须满足高带宽、高可靠性、严格信息隔离、高冗余备份。
(2)实施主备网管热备份机制,通过热备份实时同步软件实现主备服务器同步。
(3)主备机之间切换时间短,提升防灾能力,可实现故障自动切换、人为手动切换。
(4)电信与其他运营商互联互通的传输网络,设立单独的DCN 通道和独立的网管系统进行管理。
(5)考虑到网络的已有规模和未来发展空间,对于网关网元相对较少的站点,仍以利用已有2M 路由器的方式通过DCN 接入。关键站点在网管DCN 规划中,建议以155M 路由器接入。
3.2 DCN平台组网结构模型
考虑以上要求,在规划DCN平台组网结构模型如下:以A和C机房作为中心节点,采用以太网连接网管平台的小型机和业务PC服务器;B、C、D、E 等机房作为接入节点,采用的155M 链路分别上连到两个核心节点,两条链路为主备方式。在两个中心机房之间,采用两条622M 链路连接,进行负载分担、冗余备份。
3.3 网管DCN通道需求
网关网元数及所需的2M通道带宽需求如表1,表2。
假如a、b、c、d、e、f、g这七个节点之间网管通道带宽要求较高,且还有继续发展的趋势,而多个高出2M的路由器累计成本极高,因此“合并”这七个点的路由器(如上图),并采用高速率(155M/622M)POS 口互连。其他节点带宽需求较低,仍然沿用原有方式通过路由器出2M端口互连。
3.4 物理通道设置
方案一:利用已有的骨干网SDH传输平台提供155M/622M 通道,优点是:节省光纤资源,充分利用SDH 环网保护原理对外接灾害抵抗能力高。但为了保证安全性,防止自身的网管信息承载自身的传输通道上,应对DCN 平臺主备路由分担在运营商骨干网络的不同平面之上,进行风险分担。
方案二:在不同DCN 平台节点之间采用光纤直联,优点是避免了自身的网管信息承载自身的传输通道问题,节约了设备带宽资源,但由于带宽低浪费纤缆资源,同时要考虑主备路由的光缆路由无关性。
我方在实际操作时选用了方案一。
3.5 VPN 实现不同T2000 之间的安全隔离
由于传输网管支撑网属于专用网络,只承载单一的网管业务,因此可以排除来自互联网的攻击、病毒等威胁。由于存在不同的网关网元,需要访问不同的T2000 服务器,为了防止同一套T2000 的跨区域管理,在网络设计时必须要考虑对不同的网关网元进行安全隔离;而且原有的多台服务器由于多种原因,IP地址存在冲突,因此在本次工程中采用MPLSVPN + IP VPN技术,在统一的网络平台上建立多个独立的虚拟网络,保证整个网管业务的安全性。
(1)首先,我们为所有T2000 分配相应的IP 地址,根据规划分配MPLS 标签;
(2)其次在相同节点(七大节点)内,所有网关网元根据其归属T2000的IP地址分配相应的IP地址,在接入L2(二层以太网交换机)时分给各自的VLAN 号码,实现节点内的不同网元的隔离;
(3)然后L2上连到该节点的路由器(PE节点),路由器终结VLAN,并根据IP 地址分配给其所属T2000 的MPLS 标签,这样来自不同节点的归属相同T2000管理的网关网元就划分到了相同的VPN,从而最终实现了同一VPN 的全网互通。
3.6 本次方案对于安全性的考虑
(1)若网关网元主用通道故障,浦东主用服务器通过钦州节点,走网关网元的备用通道进行访问。
(2)若一个环上一个网关网元或者每一站点的NE20路由器出现故障,无法上载网管信息,则a主用服务器通过该环上的另一个网关网元上载网管信息。
(3)若骨干路由器或8500交换机出现故障,则浦东主用T2000 服务器向钦州备用的T2000 服务器进行倒换,实现a和b网管服务器的异地热备份。当然,骨干路由器和8500交换机属于高端设备,其安全稳定性是经受了大量的网络运行的实际考验的,而且在硬件配置上,针对关键的板件如交换、主控、电源板也充分考虑了1+1 的热备份。
(4)在选择物理通道上,每一站点的主备用通道分别承载在两个10G 传送平台上,充分保证了其传送通道的安全稳定性。
3.7 主备机之间同步的实现
目前在主备机之间同步中,以SUN 公司工作站为例可以采用SUN 公司自带的SUN CLUSTER 同步软件实现;可以采用网管数据库选购件例如SYBASE REPLICATION 实现数据库同步;还可采用厂商随网管提供的软件如华为公司T2000系统的VERITASE 软件、IMAP WATCHMAN 软件实现。考虑网管的总体兼容性,建议采用网管厂商提供的备份工具较为有效。
下面以华为T2000 采用IMAP WATCHMAN 为例进行说明。
3.7.1 软件结构图
iMap Watchman 双机方案的软件结构图如图2 所示。
3.7.2 倒换和恢复原理
主节点——复制的数据源所在的节点为主节点,在主节点上可以启动网管等应用程序。备节点—— 复制的数据宿所在的节点为备节点,在备节点上不能启动网管等应用程序。
正常情况下,主节点上的T2000 服务器程序运行,备节点上的T2000 服务器程序不运行,主节点所连接的T2000 客户端程序通过T2000 服务器程序管理整個网络。
Watchaman 在线监控T2000 服务器程序和数据复制服务的运行情况,主备节点间保持通信,实时监测对方节点的工作状态,并通过心跳连接、通信连接监视两节点间的通信状况。
通过数据库复制软件VVR的复制功能实现主备节点间数据的实时同步,将主节点的T2000 服务器数据实时复制到备节点。
从主用倒换到备用服务器:当备节点(Site B)检测到主节点(Site A)不在位时,发出警告以提示客户。如果客户未在现场或未手动进行倒换处理,系统将自动关闭主节点的T2000服务器程序,并将Site B设置为主节点,将Site A作为备节点,同时自动启动Site B 的T2000 服务器程序。数据复制方向改变为Site A实时复制Site B的数据。从备用恢复到主用服务器:当Site A恢复正常后,可在Site B的Watchman客户端界面上单击<切换>,将主节点切换回Site A。倒换过程同上。从而实现数据的热同步。
3.7.3 IP地址与路由规划
目前接入到网管系统平台的各厂家并没有完全进行过统一的地址规划,各厂家大量采用私有地址接入,形成了网络地址基本无法实现汇聚的情况,而且网络中可能还存在地址复用的问题,因此采用动态路由协议OSPF作为网络的路由协议,并采用MPLS/VPN 技术。在进行本次网络改造,将会对传输网管部分进行地址和路由的整理,该过程是网络改造中的重要部分。IP地址规划的主要内容有:设备Loopback口地址、设备互联地址、业务网段地址等几个方面。
各地PE设备NE20通过子接口与3026上相对应的Vlan连接,子接口的地址按各地Vlan分配一个网段地址(129.9.x.x/24),未使用的地址做保留。
该模型综合考虑了高速MESH 组网的DCN平台、双机热备份、MPLS 数据安全隔离,达到了预期效果。根据模型在某地电信传输综合网管的优化改造中被成功实施,最初考虑的预期效果在实际中接受了检验!
参考文献:
[1] 彭晖.新型的骨干网路由平台-MPLS.北京邮电大学出版社.2002.
[2] 彭玉山.异地iMap Watchman 1.1.双机方案介绍.2004.
[3] 纪越峰.现代光纤通信工程[M] .北京: 人民邮电出版社, 1997.
[4] 美Joseph C.Paiais,著.王江平,刘杰,闻传花,等,译.光纤通信[M].北京:电子工业出版社,2006.
注:“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”
关键词:MESH组网;双机热备份;MPLS;传输;SDH
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)20-30245-03
On the Security Network Transmission Network Management Programme
ZENG Yan-jun
(Xiangzhou Prefecture branch,China Telecom, Zhuhai 519000)
Abstract: Based on this paper, high-speed network of DCN MESH platform, dual hot backup, MPLS data security isolation optimize the transmission network management programme.
Key words: MESH network, double hot backup; MPLS;Transmission;SDH
1 引言
目前传输网管系统监控中心一般设置在一个或两个节点核心骨干点,核心骨干点之间以组网划分网管管理区域,网
管系统单机运行、磁带备份的方式工作,以保证网管系统的可靠性;环网的网关网元根据各运营商所在地区传输骨干、汇聚、接入的关键网元情况,设置各环网的网关网元。为了将网关网元的管理信息传送至网管系统,通常在网关网元和网管系统服务器之间通过基于2M的DCN网络进行通信,DCN网络一般模型如图1所示。
2 现存网管现状
现在很多传输基础网络规模是经过多次的网络优化、改造、扩容工程后形成的,由于建设周期的冗长,用于传送网络信息的DCN网络很难进行统一的规划,因此,DCN网络也是跟随传输工程建设同步扩容,采用的路由器主要是基于2M的低端数通设备;随着传输网络的不断扩展,环网数量及网关网元的逐步增加,对于传送网管信息的DCN网络中的路由器、HUB 的数量也在不断上升,如此,承载传输网网管信息的DCN 网在更有效地满足传输网络的发展上,开始出现了一些问题,归纳起来,主要有以下几个方面。
2.1 维护管理的效率问题
目前网络中路由器众多,路由器之间数据通过2M传递,组网结构以点对点大量叠加为主,数量太多的2M造成网络结构复杂,安全性差,效率底下,造成维护的不便和2M资源大量消耗。
2.2 数通设备的广播风暴问题
各机房网关网元不断增多,使用HUB的数量加大,而HUB本身基于物理层的弊病,带来广播包的大量传播,使带宽拥塞,容易引起网络风暴等组网安全隐患。
2.3 网络管理域划分的安全性问题
虽然网管服务器在设计之初往往根据网络结构进行管理域划分,但不同网管服务器所管理的区域之间隔离无法保证,任一套T2000客户端可以登录不同的服务器,不同T2000 服务器之间可以访问不属于自身管辖管理域的网元,在电信级互连互通项目中存在这种隐患风险尤为明显。网络安全性不高,不便于安全规范管理。
2.4 单网管的安全性问题
很多传输网管采用C/S架构,服务器端往往以高性能小型机运行UNIX系统和高端数据库软件确保系统安全;用磁盘阵列或磁带机来保证数据安全。可是一旦出现意外,确保稳定性的因素会带来系统恢复实效性差的问题,随着网络的增大,安全性要求增高,该弊病无法为大运营商所接受。传输网管双机热备份问题势在必行。
2.5 发展和成本问题
基于2M 通道的路由器,由于其出口带宽较小,所需的路由器数量较多,DCN 扩展,路由器数量还将会大量增加,成本相对较高,带宽低。随着3G硝烟涌起,为在未来通信运营领域中占领先机,传输网络在未来几年中,保持稳步、快速、健康发展成为工作的重中之重。随着网络规模和网络覆盖面进一步扩大,DCN网络如果仍然按照原有的方式扩展,不利于网络的长期稳定发展。
3 承载网管DCN平台改造设计(以某地电信为例)
3.1 网管接入原则
所有传输网络(包括骨干、汇聚层)都以DCN方式接入网管。
(1)DCN平台规划必须满足高带宽、高可靠性、严格信息隔离、高冗余备份。
(2)实施主备网管热备份机制,通过热备份实时同步软件实现主备服务器同步。
(3)主备机之间切换时间短,提升防灾能力,可实现故障自动切换、人为手动切换。
(4)电信与其他运营商互联互通的传输网络,设立单独的DCN 通道和独立的网管系统进行管理。
(5)考虑到网络的已有规模和未来发展空间,对于网关网元相对较少的站点,仍以利用已有2M 路由器的方式通过DCN 接入。关键站点在网管DCN 规划中,建议以155M 路由器接入。
3.2 DCN平台组网结构模型
考虑以上要求,在规划DCN平台组网结构模型如下:以A和C机房作为中心节点,采用以太网连接网管平台的小型机和业务PC服务器;B、C、D、E 等机房作为接入节点,采用的155M 链路分别上连到两个核心节点,两条链路为主备方式。在两个中心机房之间,采用两条622M 链路连接,进行负载分担、冗余备份。
3.3 网管DCN通道需求
网关网元数及所需的2M通道带宽需求如表1,表2。
假如a、b、c、d、e、f、g这七个节点之间网管通道带宽要求较高,且还有继续发展的趋势,而多个高出2M的路由器累计成本极高,因此“合并”这七个点的路由器(如上图),并采用高速率(155M/622M)POS 口互连。其他节点带宽需求较低,仍然沿用原有方式通过路由器出2M端口互连。
3.4 物理通道设置
方案一:利用已有的骨干网SDH传输平台提供155M/622M 通道,优点是:节省光纤资源,充分利用SDH 环网保护原理对外接灾害抵抗能力高。但为了保证安全性,防止自身的网管信息承载自身的传输通道上,应对DCN 平臺主备路由分担在运营商骨干网络的不同平面之上,进行风险分担。
方案二:在不同DCN 平台节点之间采用光纤直联,优点是避免了自身的网管信息承载自身的传输通道问题,节约了设备带宽资源,但由于带宽低浪费纤缆资源,同时要考虑主备路由的光缆路由无关性。
我方在实际操作时选用了方案一。
3.5 VPN 实现不同T2000 之间的安全隔离
由于传输网管支撑网属于专用网络,只承载单一的网管业务,因此可以排除来自互联网的攻击、病毒等威胁。由于存在不同的网关网元,需要访问不同的T2000 服务器,为了防止同一套T2000 的跨区域管理,在网络设计时必须要考虑对不同的网关网元进行安全隔离;而且原有的多台服务器由于多种原因,IP地址存在冲突,因此在本次工程中采用MPLSVPN + IP VPN技术,在统一的网络平台上建立多个独立的虚拟网络,保证整个网管业务的安全性。
(1)首先,我们为所有T2000 分配相应的IP 地址,根据规划分配MPLS 标签;
(2)其次在相同节点(七大节点)内,所有网关网元根据其归属T2000的IP地址分配相应的IP地址,在接入L2(二层以太网交换机)时分给各自的VLAN 号码,实现节点内的不同网元的隔离;
(3)然后L2上连到该节点的路由器(PE节点),路由器终结VLAN,并根据IP 地址分配给其所属T2000 的MPLS 标签,这样来自不同节点的归属相同T2000管理的网关网元就划分到了相同的VPN,从而最终实现了同一VPN 的全网互通。
3.6 本次方案对于安全性的考虑
(1)若网关网元主用通道故障,浦东主用服务器通过钦州节点,走网关网元的备用通道进行访问。
(2)若一个环上一个网关网元或者每一站点的NE20路由器出现故障,无法上载网管信息,则a主用服务器通过该环上的另一个网关网元上载网管信息。
(3)若骨干路由器或8500交换机出现故障,则浦东主用T2000 服务器向钦州备用的T2000 服务器进行倒换,实现a和b网管服务器的异地热备份。当然,骨干路由器和8500交换机属于高端设备,其安全稳定性是经受了大量的网络运行的实际考验的,而且在硬件配置上,针对关键的板件如交换、主控、电源板也充分考虑了1+1 的热备份。
(4)在选择物理通道上,每一站点的主备用通道分别承载在两个10G 传送平台上,充分保证了其传送通道的安全稳定性。
3.7 主备机之间同步的实现
目前在主备机之间同步中,以SUN 公司工作站为例可以采用SUN 公司自带的SUN CLUSTER 同步软件实现;可以采用网管数据库选购件例如SYBASE REPLICATION 实现数据库同步;还可采用厂商随网管提供的软件如华为公司T2000系统的VERITASE 软件、IMAP WATCHMAN 软件实现。考虑网管的总体兼容性,建议采用网管厂商提供的备份工具较为有效。
下面以华为T2000 采用IMAP WATCHMAN 为例进行说明。
3.7.1 软件结构图
iMap Watchman 双机方案的软件结构图如图2 所示。
3.7.2 倒换和恢复原理
主节点——复制的数据源所在的节点为主节点,在主节点上可以启动网管等应用程序。备节点—— 复制的数据宿所在的节点为备节点,在备节点上不能启动网管等应用程序。
正常情况下,主节点上的T2000 服务器程序运行,备节点上的T2000 服务器程序不运行,主节点所连接的T2000 客户端程序通过T2000 服务器程序管理整個网络。
Watchaman 在线监控T2000 服务器程序和数据复制服务的运行情况,主备节点间保持通信,实时监测对方节点的工作状态,并通过心跳连接、通信连接监视两节点间的通信状况。
通过数据库复制软件VVR的复制功能实现主备节点间数据的实时同步,将主节点的T2000 服务器数据实时复制到备节点。
从主用倒换到备用服务器:当备节点(Site B)检测到主节点(Site A)不在位时,发出警告以提示客户。如果客户未在现场或未手动进行倒换处理,系统将自动关闭主节点的T2000服务器程序,并将Site B设置为主节点,将Site A作为备节点,同时自动启动Site B 的T2000 服务器程序。数据复制方向改变为Site A实时复制Site B的数据。从备用恢复到主用服务器:当Site A恢复正常后,可在Site B的Watchman客户端界面上单击<切换>,将主节点切换回Site A。倒换过程同上。从而实现数据的热同步。
3.7.3 IP地址与路由规划
目前接入到网管系统平台的各厂家并没有完全进行过统一的地址规划,各厂家大量采用私有地址接入,形成了网络地址基本无法实现汇聚的情况,而且网络中可能还存在地址复用的问题,因此采用动态路由协议OSPF作为网络的路由协议,并采用MPLS/VPN 技术。在进行本次网络改造,将会对传输网管部分进行地址和路由的整理,该过程是网络改造中的重要部分。IP地址规划的主要内容有:设备Loopback口地址、设备互联地址、业务网段地址等几个方面。
各地PE设备NE20通过子接口与3026上相对应的Vlan连接,子接口的地址按各地Vlan分配一个网段地址(129.9.x.x/24),未使用的地址做保留。
该模型综合考虑了高速MESH 组网的DCN平台、双机热备份、MPLS 数据安全隔离,达到了预期效果。根据模型在某地电信传输综合网管的优化改造中被成功实施,最初考虑的预期效果在实际中接受了检验!
参考文献:
[1] 彭晖.新型的骨干网路由平台-MPLS.北京邮电大学出版社.2002.
[2] 彭玉山.异地iMap Watchman 1.1.双机方案介绍.2004.
[3] 纪越峰.现代光纤通信工程[M] .北京: 人民邮电出版社, 1997.
[4] 美Joseph C.Paiais,著.王江平,刘杰,闻传花,等,译.光纤通信[M].北京:电子工业出版社,2006.
注:“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”