【摘要】 為了適應(yīng)電信運營商轉(zhuǎn)向集約化維護(hù)的網(wǎng)絡(luò)管理模式和達(dá)到運維安全之目的，在分析目前網(wǎng)絡(luò)維護(hù)通道現(xiàn)狀的基礎(chǔ)上，提出了一種基于運維審計系統(tǒng)的網(wǎng)絡(luò)統(tǒng)一維護(hù)通道，介紹了通道的系統(tǒng)架構(gòu)、建設(shè)中的一些具體措施及實現(xiàn)的功能，表明通道不僅具有良好的靈活性和擴(kuò)展性，同時能實現(xiàn)高效、安全、方便地維護(hù)管理電信網(wǎng)絡(luò)。

【關(guān)鍵詞】 審計系統(tǒng) 維護(hù)通道 安全 統(tǒng)一

一、引言

目前電信運營商的移動網(wǎng)絡(luò)、固話網(wǎng)絡(luò)都穩(wěn)步向IP化演進(jìn)，伴隨著這種演進(jìn)，電信網(wǎng)絡(luò)的運維方式也在發(fā)生著變化。傳統(tǒng)的各電信網(wǎng)絡(luò)如移動網(wǎng)、固話網(wǎng)、城域網(wǎng)以及傳輸承載網(wǎng)都有專業(yè)的維護(hù)隊伍維護(hù)，但伴隨著電信網(wǎng)絡(luò)的全I(xiàn)P化，各個專業(yè)的維護(hù)界面不再清晰，各種電信業(yè)務(wù)網(wǎng)絡(luò)已經(jīng)相互融合，密不可分，如相當(dāng)一部分的固話已通過城域網(wǎng)接入，移動網(wǎng)絡(luò)的承載網(wǎng)IPRAN也是一張全I(xiàn)P化的網(wǎng)絡(luò)。網(wǎng)絡(luò)的融合提出了維護(hù)通道統(tǒng)一的需求。

網(wǎng)絡(luò)運維的安全也日益為各運營商所重視，運營商網(wǎng)絡(luò)的維護(hù)操作主要有三類人組成，運營商自己的運維人員、第三方集成商和設(shè)備廠商工程師，然而，由于現(xiàn)有管理手段的不完善，帳號共享情況的存在，以及加密、圖形協(xié)議的廣泛引用，使得各類維護(hù)操作人員的日常操作存在操作身份不明確、操作過程不透明、操作內(nèi)容不可知、操作行為不可控和操作事故無法定位等安全風(fēng)險。電信運營商需要對各類運維人員的操作過程，能做到事前防范、事中控制和事后審計。

三大電信運營商全業(yè)務(wù)競爭激烈，網(wǎng)絡(luò)質(zhì)量、故障響應(yīng)也是競爭的重要方面，要求運維人員能7X24小時響應(yīng)網(wǎng)絡(luò)故障。但是，目前的運營商業(yè)務(wù)網(wǎng)絡(luò)中，有相當(dāng)一部分不支持遠(yuǎn)程維護(hù)，無法隨時隨地對網(wǎng)絡(luò)進(jìn)行維護(hù)操作。

基于上面的三點需求，提出一種基于運維審計系統(tǒng)的電信運營商網(wǎng)絡(luò)統(tǒng)一維護(hù)通道，實現(xiàn)融合、安全和方便地維護(hù)電信網(wǎng)絡(luò)。

二、電信網(wǎng)絡(luò)維護(hù)通道現(xiàn)狀

目前電信運營商的傳輸、交換、數(shù)據(jù)和移動網(wǎng)絡(luò)基本還是按專業(yè)來劃分維護(hù)的，各個專業(yè)網(wǎng)絡(luò)都有各自的維護(hù)通道，維護(hù)通道之間基本沒有交集。每個專業(yè)網(wǎng)絡(luò)不同的網(wǎng)絡(luò)層次和不同的廠家設(shè)備也有不同的維護(hù)通道，有的設(shè)備采用telnet方式，有的設(shè)備采用圖形網(wǎng)管的方式，有的采用web方式；有的采用公網(wǎng)通道的方式，有的采用私網(wǎng)通道的方式。維護(hù)通道的多樣性不符合目前電信運營商推進(jìn)的集中監(jiān)控、集中維護(hù)和集中管理的集約化維護(hù)模式。

多種多樣的維護(hù)通道使電信運營商對各類維護(hù)人員網(wǎng)絡(luò)的操作缺乏有效的監(jiān)管，無法保證運維安全，對少數(shù)有意的破壞或誤操作引起的業(yè)務(wù)中斷無法進(jìn)行快速的故障定位。運維安全越來越被提到重要的位置，運營商也在想各種辦法提高網(wǎng)絡(luò)維護(hù)操作的監(jiān)管水平。記錄網(wǎng)絡(luò)運維的每一個操作動作，對網(wǎng)絡(luò)運維過程進(jìn)行有效的審計，建立基于運維審計系統(tǒng)的統(tǒng)一維護(hù)通道被認(rèn)為是一種比較可行的辦法。

三、基于運維審計系統(tǒng)的統(tǒng)一維護(hù)通道架構(gòu)

維護(hù)通道采用防火墻加運維審計系統(tǒng)來實現(xiàn)，系統(tǒng)架構(gòu)如圖1所示，防火墻實現(xiàn)多種維護(hù)方式的安全接入，包括遠(yuǎn)程維護(hù)接入和MPLS-VPN接入，出于安全考慮，遠(yuǎn)程維護(hù)接入拒絕公網(wǎng)方式接入，采用更為安全的VPDN和二次撥號接入。同時通過防火墻形成一個統(tǒng)一的運維通道接入運維審計系統(tǒng)，在運維審計系統(tǒng)中導(dǎo)入網(wǎng)絡(luò)設(shè)備和網(wǎng)管系統(tǒng)，通過運維審計系統(tǒng)來操作各種電信運營商的網(wǎng)絡(luò)設(shè)備和網(wǎng)管，實現(xiàn)操作過程的審計，達(dá)到運維安全之目的。

在上述系統(tǒng)架構(gòu)中，運維審計系統(tǒng)具有核心設(shè)備的作用，采購運維審計系統(tǒng)時需要考慮到下面一些問題。

3.1 license數(shù)量

電信運營商網(wǎng)絡(luò)龐大，一個中等本地網(wǎng)的城域網(wǎng)設(shè)備可達(dá)上萬臺，當(dāng)然很多接入層設(shè)備都是用圖形網(wǎng)管來管理的，所以采購運維審計系統(tǒng)時要充分估計需要導(dǎo)入設(shè)備的數(shù)量，并留有一定的余地。

3.2 網(wǎng)絡(luò)接口數(shù)量

電信運營商網(wǎng)絡(luò)比其他的企業(yè)網(wǎng)絡(luò)要復(fù)雜許多，有城域網(wǎng)、傳輸網(wǎng)、語音網(wǎng)、移動網(wǎng)及移動承載網(wǎng)IPRAN等各類網(wǎng)絡(luò)，每一種網(wǎng)絡(luò)還采用不同的維護(hù)方式，例如城域網(wǎng)有采用圖形網(wǎng)管方式的，也有采用telnet方式的，所以在采購運維審計系統(tǒng)時，要考慮到網(wǎng)絡(luò)接口的情況。目前在電信運營商中采用運維審計系統(tǒng)來管理網(wǎng)絡(luò)還處于起步階段，許多運維審計系統(tǒng)廠家沒有考慮到運營商網(wǎng)絡(luò)的復(fù)雜度，審計系統(tǒng)設(shè)備提供的網(wǎng)絡(luò)接口一般也不超過8個，有網(wǎng)絡(luò)接口不夠用的風(fēng)險，所以可以考慮網(wǎng)絡(luò)接口采用子接口的方式。紹興電信本地網(wǎng)測試過3個廠家的運維審計系統(tǒng)，都是采用Linux的內(nèi)核，在對接口作二次開發(fā)后，都能實現(xiàn)子接口的功能，實現(xiàn)單接口接入多網(wǎng)絡(luò)。

3.3如何快速找到需要操作的網(wǎng)絡(luò)設(shè)備

電信運營商網(wǎng)絡(luò)設(shè)備數(shù)量很多，在設(shè)備導(dǎo)入運維審計系統(tǒng)，并通過運維審計系統(tǒng)來操作維護(hù)設(shè)備時，如何快速找到目標(biāo)設(shè)備也是一個問題。所以在采購設(shè)備時，要考慮廠家的運維審計系統(tǒng)是否支持多級樹形結(jié)構(gòu)的設(shè)備導(dǎo)入，以和目前網(wǎng)絡(luò)設(shè)備按本地網(wǎng)、縣公司、分支局來對設(shè)備進(jìn)行歸類相適應(yīng)。通過telnet方式來維護(hù)的設(shè)備，還需要支持按設(shè)備名稱的關(guān)鍵字母來搜索的功能。

四、基于運維審計系統(tǒng)的統(tǒng)一維護(hù)通道實現(xiàn)的功能

4.1統(tǒng)一的維護(hù)通道

通過基于運維審計系統(tǒng)的統(tǒng)一通道來操作維護(hù)各類電信業(yè)務(wù)網(wǎng)絡(luò)，維護(hù)的接入方式不再因被維護(hù)的網(wǎng)絡(luò)或網(wǎng)管的不同而不同，運維人員只需要通過一個統(tǒng)一的入口登錄運維審計系統(tǒng)，在運維審計系統(tǒng)上就能找到需要操作的網(wǎng)絡(luò)設(shè)備和網(wǎng)管，然后按授權(quán)的權(quán)限進(jìn)行操作即可；如果是telnet方式進(jìn)行設(shè)備維護(hù)，只需要telnet一個統(tǒng)一的IP地址，就能找到維護(hù)人員被授權(quán)的設(shè)備，再選擇目標(biāo)設(shè)備進(jìn)行維護(hù)操作，并可通過口令代填功能，提供訪問網(wǎng)絡(luò)設(shè)備的自動登錄，從而簡便運維操作。此統(tǒng)一維護(hù)通道簡潔、清晰、明了，也省卻了記錄各個網(wǎng)絡(luò)設(shè)備和網(wǎng)管的IP地址。

4.2安全的運維模式

（1）運維操作采用MPLS-VPN、VPDN和二次撥號接入

運維操作采用MPLS-VPN、VPDN和二次撥號接入，拒絕公網(wǎng)方式的接入，整個維護(hù)側(cè)只有LNS提供了一個公網(wǎng)地址，避免了防火墻和運維審計系統(tǒng)暴露在公網(wǎng)中被惡意攻擊的風(fēng)險，保證了維護(hù)接入的安全。

（2）身份認(rèn)證

運維人員通過運維審計系統(tǒng)操作網(wǎng)絡(luò)設(shè)備和網(wǎng)管需要進(jìn)行身份認(rèn)證，針對不同的運維人群，可以采用靜態(tài)或動態(tài)口令的方式進(jìn)行身份驗證。

（3）授權(quán)

每個運維人員在運維審計系統(tǒng)上采用最小授權(quán)，包括所能操作的設(shè)備范圍和操作命令權(quán)限兩個方面。

對設(shè)備廠商工程師和第三方集成商的一些設(shè)備升級之類的操作設(shè)定嚴(yán)格的授權(quán)時間段，使其只能在設(shè)定的時間段內(nèi)操作，避免一些不必要的用戶投訴。

（4）事中告警、阻斷功能

支持事中告警功能，通過配置敏感操作策略，當(dāng)運維人員操作這類命令時，系統(tǒng)提供告警或阻斷，一些危險的操作能被及時中斷，也便于審計員能重點關(guān)注一些危險的操作。

（9）審計

記錄所有的操作過程，能夠?qū)徲嬋坎僮餍袨?，審計結(jié)果能夠以錄像重放形式展現(xiàn)，支持根據(jù)時間、運維命令、進(jìn)度條等方式進(jìn)行定位回放，能快速定位一些誤操作引起的故障。

4.3良好的擴(kuò)展性

建立在圖1系統(tǒng)架構(gòu)上的基于運維審計系統(tǒng)的統(tǒng)一維護(hù)通道建成后，可以在運維審計系統(tǒng)的內(nèi)部接口擴(kuò)展地接入各種電信業(yè)務(wù)網(wǎng)絡(luò)和網(wǎng)管服務(wù)器，這些網(wǎng)絡(luò)和服務(wù)器的接入不涉及到維護(hù)側(cè)統(tǒng)一入口的改動，也就是說運維審計系統(tǒng)的外部接口和內(nèi)部接口是獨立的，每一側(cè)的改動都不影響另一側(cè)，這就使得系統(tǒng)具有良好的擴(kuò)展性，可以方便地增加需要通過統(tǒng)一通道維護(hù)的業(yè)務(wù)網(wǎng)絡(luò)和網(wǎng)管服務(wù)器，這些增加的業(yè)務(wù)網(wǎng)絡(luò)或網(wǎng)管服務(wù)器只需在運維審計系統(tǒng)上對相關(guān)的操作維護(hù)人員進(jìn)行授權(quán)即可。

五、結(jié)束語

基于運維審計系統(tǒng)的電信網(wǎng)絡(luò)統(tǒng)一維護(hù)通道，能高效、安全、方便地維護(hù)管理電信網(wǎng)絡(luò)，記錄運維人員對網(wǎng)絡(luò)的所有操作過程，做到事前防范、事中控制、事后審計，保證運維的安全，同時具有良好的靈活性和擴(kuò)展性，可用于多種電信業(yè)務(wù)網(wǎng)絡(luò)的管理。按照上述架構(gòu)建成的系統(tǒng)目前已在紹興電信網(wǎng)絡(luò)實際維護(hù)中使用。

聯(lián)系方式：

趙衛(wèi)良，通信地址：浙江省紹興市越城區(qū)四馬路9號中國電信股份有限公司紹興分公司數(shù)據(jù)支撐班，郵編：312000；電話：15305759377；郵箱：15305759377@189.cn；

代敏，通信地址：浙江省紹興市越城區(qū)四馬路9號中國電信股份有限公司紹興分公司數(shù)據(jù)支撐班，郵編：312000；電話：15305758122；郵箱：15305758122@189.cn；