淺談傳輸網管安全組網方案

摘要：本文提出基于高速MESH組網的DCN平臺、雙機熱備份、MPLS數據安全隔離的傳輸網管優化方案。

關鍵詞：MESH組網；雙機熱備份；MPLS;傳輸；SDH

中圖分類號：TP393文獻標識碼：A 文章編號：1009-3044(2008)20-30245-03

On the Security Network Transmission Network Management Programme

ZENG Yan-jun

(Xiangzhou Prefecture branch，China Telecom， Zhuhai 519000)

Abstract: Based on this paper， high-speed network of DCN MESH platform， dual hot backup， MPLS data security isolation optimize the transmission network management programme.

Key words: MESH network， double hot backup; MPLS；Transmission;SDH

1 引言

目前傳輸網管系統監控中心一般設置在一個或兩個節點核心骨干點，核心骨干點之間以組網劃分網管管理區域，網

管系統單機運行、磁帶備份的方式工作，以保證網管系統的可靠性；環網的網關網元根據各運營商所在地區傳輸骨干、匯聚、接入的關鍵網元情況，設置各環網的網關網元。為了將網關網元的管理信息傳送至網管系統，通常在網關網元和網管系統服務器之間通過基于2M的DCN網絡進行通信，DCN網絡一般模型如圖1所示。

2 現存網管現狀

現在很多傳輸基礎網絡規模是經過多次的網絡優化、改造、擴容工程后形成的，由于建設周期的冗長，用于傳送網絡信息的DCN網絡很難進行統一的規劃，因此，DCN網絡也是跟隨傳輸工程建設同步擴容，采用的路由器主要是基于2M的低端數通設備；隨著傳輸網絡的不斷擴展，環網數量及網關網元的逐步增加，對于傳送網管信息的DCN網絡中的路由器、HUB 的數量也在不斷上升，如此，承載傳輸網網管信息的DCN 網在更有效地滿足傳輸網絡的發展上，開始出現了一些問題，歸納起來，主要有以下幾個方面。

2.1 維護管理的效率問題

目前網絡中路由器眾多，路由器之間數據通過2M傳遞，組網結構以點對點大量疊加為主，數量太多的2M造成網絡結構復雜，安全性差，效率底下，造成維護的不便和2M資源大量消耗。

2.2 數通設備的廣播風暴問題

各機房網關網元不斷增多，使用HUB的數量加大，而HUB本身基于物理層的弊病，帶來廣播包的大量傳播，使帶寬擁塞，容易引起網絡風暴等組網安全隱患。

2.3 網絡管理域劃分的安全性問題

雖然網管服務器在設計之初往往根據網絡結構進行管理域劃分，但不同網管服務器所管理的區域之間隔離無法保證，任一套T2000客戶端可以登錄不同的服務器，不同T2000 服務器之間可以訪問不屬于自身管轄管理域的網元，在電信級互連互通項目中存在這種隱患風險尤為明顯。網絡安全性不高，不便于安全規范管理。

2.4 單網管的安全性問題

很多傳輸網管采用C/S架構，服務器端往往以高性能小型機運行UNIX系統和高端數據庫軟件確保系統安全；用磁盤陣列或磁帶機來保證數據安全。可是一旦出現意外，確保穩定性的因素會帶來系統恢復實效性差的問題，隨著網絡的增大，安全性要求增高，該弊病無法為大運營商所接受。傳輸網管雙機熱備份問題勢在必行。

2.5 發展和成本問題

基于2M 通道的路由器，由于其出口帶寬較小，所需的路由器數量較多，DCN 擴展，路由器數量還將會大量增加，成本相對較高，帶寬低。隨著3G硝煙涌起，為在未來通信運營領域中占領先機，傳輸網絡在未來幾年中，保持穩步、快速、健康發展成為工作的重中之重。隨著網絡規模和網絡覆蓋面進一步擴大，DCN網絡如果仍然按照原有的方式擴展，不利于網絡的長期穩定發展。

3 承載網管DCN平臺改造設計(以某地電信為例)

3.1 網管接入原則

所有傳輸網絡(包括骨干、匯聚層)都以DCN方式接入網管。

（1）DCN平臺規劃必須滿足高帶寬、高可靠性、嚴格信息隔離、高冗余備份。

（2）實施主備網管熱備份機制，通過熱備份實時同步軟件實現主備服務器同步。

（3）主備機之間切換時間短，提升防災能力，可實現故障自動切換、人為手動切換。

（4）電信與其他運營商互聯互通的傳輸網絡，設立單獨的DCN 通道和獨立的網管系統進行管理。

（5）考慮到網絡的已有規模和未來發展空間，對于網關網元相對較少的站點，仍以利用已有2M 路由器的方式通過DCN 接入。關鍵站點在網管DCN 規劃中，建議以155M 路由器接入。

3.2 DCN平臺組網結構模型

考慮以上要求，在規劃DCN平臺組網結構模型如下：以A和C機房作為中心節點，采用以太網連接網管平臺的小型機和業務PC服務器；B、C、D、E 等機房作為接入節點，采用的155M 鏈路分別上連到兩個核心節點，兩條鏈路為主備方式。在兩個中心機房之間，采用兩條622M 鏈路連接，進行負載分擔、冗余備份。

3.3 網管DCN通道需求

網關網元數及所需的2M通道帶寬需求如表1，表2。

假如a、b、c、d、e、f、g這七個節點之間網管通道帶寬要求較高，且還有繼續發展的趨勢，而多個高出2M的路由器累計成本極高，因此“合并”這七個點的路由器(如上圖)，并采用高速率(155M/622M)POS 口互連。其他節點帶寬需求較低，仍然沿用原有方式通過路由器出2M端口互連。

3.4 物理通道設置

方案一：利用已有的骨干網SDH傳輸平臺提供155M/622M 通道，優點是：節省光纖資源，充分利用SDH 環網保護原理對外接災害抵抗能力高。但為了保證安全性，防止自身的網管信息承載自身的傳輸通道上，應對DCN 平臺主備路由分擔在運營商骨干網絡的不同平面之上，進行風險分擔。

方案二：在不同DCN 平臺節點之間采用光纖直聯，優點是避免了自身的網管信息承載自身的傳輸通道問題，節約了設備帶寬資源，但由于帶寬低浪費纖纜資源，同時要考慮主備路由的光纜路由無關性。

我方在實際操作時選用了方案一。

3.5 VPN 實現不同T2000 之間的安全隔離

由于傳輸網管支撐網屬于專用網絡，只承載單一的網管業務，因此可以排除來自互聯網的攻擊、病毒等威脅。由于存在不同的網關網元，需要訪問不同的T2000 服務器，為了防止同一套T2000 的跨區域管理，在網絡設計時必須要考慮對不同的網關網元進行安全隔離；而且原有的多臺服務器由于多種原因，IP地址存在沖突，因此在本次工程中采用MPLSVPN ＋ IP VPN技術，在統一的網絡平臺上建立多個獨立的虛擬網絡，保證整個網管業務的安全性。

（1）首先，我們為所有T2000 分配相應的IP 地址，根據規劃分配MPLS 標簽；

（2）其次在相同節點(七大節點)內，所有網關網元根據其歸屬T2000的IP地址分配相應的IP地址，在接入L2(二層以太網交換機)時分給各自的VLAN 號碼，實現節點內的不同網元的隔離；

（3）然后L2上連到該節點的路由器(PE節點)，路由器終結VLAN，并根據IP 地址分配給其所屬T2000 的MPLS 標簽，這樣來自不同節點的歸屬相同T2000管理的網關網元就劃分到了相同的VPN，從而最終實現了同一VPN 的全網互通。

3.6 本次方案對于安全性的考慮

（1）若網關網元主用通道故障，浦東主用服務器通過欽州節點，走網關網元的備用通道進行訪問。

（2）若一個環上一個網關網元或者每一站點的NE20路由器出現故障，無法上載網管信息，則a主用服務器通過該環上的另一個網關網元上載網管信息。

（3）若骨干路由器或8500交換機出現故障，則浦東主用T2000 服務器向欽州備用的T2000 服務器進行倒換，實現a和b網管服務器的異地熱備份。當然，骨干路由器和8500交換機屬于高端設備，其安全穩定性是經受了大量的網絡運行的實際考驗的，而且在硬件配置上，針對關鍵的板件如交換、主控、電源板也充分考慮了1＋1 的熱備份。

（4）在選擇物理通道上，每一站點的主備用通道分別承載在兩個10G 傳送平臺上，充分保證了其傳送通道的安全穩定性。

3.7 主備機之間同步的實現

目前在主備機之間同步中，以SUN 公司工作站為例可以采用SUN 公司自帶的SUN CLUSTER 同步軟件實現；可以采用網管數據庫選購件例如SYBASE REPLICATION 實現數據庫同步；還可采用廠商隨網管提供的軟件如華為公司T2000系統的VERITASE 軟件、IMAP WATCHMAN 軟件實現。考慮網管的總體兼容性，建議采用網管廠商提供的備份工具較為有效。

下面以華為T2000 采用IMAP WATCHMAN 為例進行說明。

3.7.1 軟件結構圖

iMap Watchman 雙機方案的軟件結構圖如圖2 所示。

3.7.2 倒換和恢復原理

主節點——復制的數據源所在的節點為主節點，在主節點上可以啟動網管等應用程序。備節點—— 復制的數據宿所在的節點為備節點，在備節點上不能啟動網管等應用程序。

正常情況下，主節點上的T2000 服務器程序運行，備節點上的T2000 服務器程序不運行，主節點所連接的T2000 客戶端程序通過T2000 服務器程序管理整個網絡。

Watchaman 在線監控T2000 服務器程序和數據復制服務的運行情況，主備節點間保持通信，實時監測對方節點的工作狀態，并通過心跳連接、通信連接監視兩節點間的通信狀況。

通過數據庫復制軟件VVR的復制功能實現主備節點間數據的實時同步，將主節點的T2000 服務器數據實時復制到備節點。

從主用倒換到備用服務器：當備節點(Site B)檢測到主節點(Site A)不在位時，發出警告以提示客戶。如果客戶未在現場或未手動進行倒換處理，系統將自動關閉主節點的T2000服務器程序，并將Site B設置為主節點，將Site A作為備節點，同時自動啟動Site B 的T2000 服務器程序。數據復制方向改變為Site A實時復制Site B的數據。從備用恢復到主用服務器：當Site A恢復正常后，可在Site B的Watchman客戶端界面上單擊<切換>，將主節點切換回Site A。倒換過程同上。從而實現數據的熱同步。

3.7.3 IP地址與路由規劃

目前接入到網管系統平臺的各廠家并沒有完全進行過統一的地址規劃，各廠家大量采用私有地址接入，形成了網絡地址基本無法實現匯聚的情況，而且網絡中可能還存在地址復用的問題，因此采用動態路由協議OSPF作為網絡的路由協議，并采用MPLS/VPN 技術。在進行本次網絡改造，將會對傳輸網管部分進行地址和路由的整理，該過程是網絡改造中的重要部分。IP地址規劃的主要內容有：設備Loopback口地址、設備互聯地址、業務網段地址等幾個方面。

各地PE設備NE20通過子接口與3026上相對應的Vlan連接，子接口的地址按各地Vlan分配一個網段地址（129.9.x.x/24），未使用的地址做保留。

該模型綜合考慮了高速MESH 組網的DCN平臺、雙機熱備份、MPLS 數據安全隔離，達到了預期效果。根據模型在某地電信傳輸綜合網管的優化改造中被成功實施，最初考慮的預期效果在實際中接受了檢驗!

參考文獻：

[1] 彭暉.新型的骨干網路由平臺－MPLS.北京郵電大學出版社.2002.

[2] 彭玉山.異地iMap Watchman 1.1.雙機方案介紹.2004.

[3] 紀越峰.現代光纖通信工程[M] .北京: 人民郵電出版社， 1997.

[4] 美Joseph C.Paiais，著.王江平，劉杰，聞傳花，等，譯.光纖通信[M].北京:電子工業出版社，2006.

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。”