基于運維審計系統(tǒng)的網絡統(tǒng)一維護通道的應用

【摘要】 為了適應電信運營商轉向集約化維護的網絡管理模式和達到運維安全之目的，在分析目前網絡維護通道現狀的基礎上，提出了一種基于運維審計系統(tǒng)的網絡統(tǒng)一維護通道，介紹了通道的系統(tǒng)架構、建設中的一些具體措施及實現的功能，表明通道不僅具有良好的靈活性和擴展性，同時能實現高效、安全、方便地維護管理電信網絡。

【關鍵詞】 審計系統(tǒng) 維護通道 安全 統(tǒng)一

一、引言

目前電信運營商的移動網絡、固話網絡都穩(wěn)步向IP化演進，伴隨著這種演進，電信網絡的運維方式也在發(fā)生著變化。傳統(tǒng)的各電信網絡如移動網、固話網、城域網以及傳輸承載網都有專業(yè)的維護隊伍維護，但伴隨著電信網絡的全IP化，各個專業(yè)的維護界面不再清晰，各種電信業(yè)務網絡已經相互融合，密不可分，如相當一部分的固話已通過城域網接入，移動網絡的承載網IPRAN也是一張全IP化的網絡。網絡的融合提出了維護通道統(tǒng)一的需求。

網絡運維的安全也日益為各運營商所重視，運營商網絡的維護操作主要有三類人組成，運營商自己的運維人員、第三方集成商和設備廠商工程師，然而，由于現有管理手段的不完善，帳號共享情況的存在，以及加密、圖形協(xié)議的廣泛引用，使得各類維護操作人員的日常操作存在操作身份不明確、操作過程不透明、操作內容不可知、操作行為不可控和操作事故無法定位等安全風險。電信運營商需要對各類運維人員的操作過程，能做到事前防范、事中控制和事后審計。

三大電信運營商全業(yè)務競爭激烈，網絡質量、故障響應也是競爭的重要方面，要求運維人員能7X24小時響應網絡故障。但是，目前的運營商業(yè)務網絡中，有相當一部分不支持遠程維護，無法隨時隨地對網絡進行維護操作。

基于上面的三點需求，提出一種基于運維審計系統(tǒng)的電信運營商網絡統(tǒng)一維護通道，實現融合、安全和方便地維護電信網絡。

二、電信網絡維護通道現狀

目前電信運營商的傳輸、交換、數據和移動網絡基本還是按專業(yè)來劃分維護的，各個專業(yè)網絡都有各自的維護通道，維護通道之間基本沒有交集。每個專業(yè)網絡不同的網絡層次和不同的廠家設備也有不同的維護通道，有的設備采用telnet方式，有的設備采用圖形網管的方式，有的采用web方式；有的采用公網通道的方式，有的采用私網通道的方式。維護通道的多樣性不符合目前電信運營商推進的集中監(jiān)控、集中維護和集中管理的集約化維護模式。

多種多樣的維護通道使電信運營商對各類維護人員網絡的操作缺乏有效的監(jiān)管，無法保證運維安全，對少數有意的破壞或誤操作引起的業(yè)務中斷無法進行快速的故障定位。運維安全越來越被提到重要的位置，運營商也在想各種辦法提高網絡維護操作的監(jiān)管水平。記錄網絡運維的每一個操作動作，對網絡運維過程進行有效的審計，建立基于運維審計系統(tǒng)的統(tǒng)一維護通道被認為是一種比較可行的辦法。

三、基于運維審計系統(tǒng)的統(tǒng)一維護通道架構

維護通道采用防火墻加運維審計系統(tǒng)來實現，系統(tǒng)架構如圖1所示，防火墻實現多種維護方式的安全接入，包括遠程維護接入和MPLS-VPN接入，出于安全考慮，遠程維護接入拒絕公網方式接入，采用更為安全的VPDN和二次撥號接入。同時通過防火墻形成一個統(tǒng)一的運維通道接入運維審計系統(tǒng)，在運維審計系統(tǒng)中導入網絡設備和網管系統(tǒng)，通過運維審計系統(tǒng)來操作各種電信運營商的網絡設備和網管，實現操作過程的審計，達到運維安全之目的。

在上述系統(tǒng)架構中，運維審計系統(tǒng)具有核心設備的作用，采購運維審計系統(tǒng)時需要考慮到下面一些問題。

3.1 license數量

電信運營商網絡龐大，一個中等本地網的城域網設備可達上萬臺，當然很多接入層設備都是用圖形網管來管理的，所以采購運維審計系統(tǒng)時要充分估計需要導入設備的數量，并留有一定的余地。

3.2 網絡接口數量

電信運營商網絡比其他的企業(yè)網絡要復雜許多，有城域網、傳輸網、語音網、移動網及移動承載網IPRAN等各類網絡，每一種網絡還采用不同的維護方式，例如城域網有采用圖形網管方式的，也有采用telnet方式的，所以在采購運維審計系統(tǒng)時，要考慮到網絡接口的情況。目前在電信運營商中采用運維審計系統(tǒng)來管理網絡還處于起步階段，許多運維審計系統(tǒng)廠家沒有考慮到運營商網絡的復雜度，審計系統(tǒng)設備提供的網絡接口一般也不超過8個，有網絡接口不夠用的風險，所以可以考慮網絡接口采用子接口的方式。紹興電信本地網測試過3個廠家的運維審計系統(tǒng)，都是采用Linux的內核，在對接口作二次開發(fā)后，都能實現子接口的功能，實現單接口接入多網絡。

3.3如何快速找到需要操作的網絡設備

電信運營商網絡設備數量很多，在設備導入運維審計系統(tǒng)，并通過運維審計系統(tǒng)來操作維護設備時，如何快速找到目標設備也是一個問題。所以在采購設備時，要考慮廠家的運維審計系統(tǒng)是否支持多級樹形結構的設備導入，以和目前網絡設備按本地網、縣公司、分支局來對設備進行歸類相適應。通過telnet方式來維護的設備，還需要支持按設備名稱的關鍵字母來搜索的功能。

四、基于運維審計系統(tǒng)的統(tǒng)一維護通道實現的功能

4.1統(tǒng)一的維護通道

通過基于運維審計系統(tǒng)的統(tǒng)一通道來操作維護各類電信業(yè)務網絡，維護的接入方式不再因被維護的網絡或網管的不同而不同，運維人員只需要通過一個統(tǒng)一的入口登錄運維審計系統(tǒng)，在運維審計系統(tǒng)上就能找到需要操作的網絡設備和網管，然后按授權的權限進行操作即可；如果是telnet方式進行設備維護，只需要telnet一個統(tǒng)一的IP地址，就能找到維護人員被授權的設備，再選擇目標設備進行維護操作，并可通過口令代填功能，提供訪問網絡設備的自動登錄，從而簡便運維操作。此統(tǒng)一維護通道簡潔、清晰、明了，也省卻了記錄各個網絡設備和網管的IP地址。

4.2安全的運維模式

（1）運維操作采用MPLS-VPN、VPDN和二次撥號接入

運維操作采用MPLS-VPN、VPDN和二次撥號接入，拒絕公網方式的接入，整個維護側只有LNS提供了一個公網地址，避免了防火墻和運維審計系統(tǒng)暴露在公網中被惡意攻擊的風險，保證了維護接入的安全。

（2）身份認證

運維人員通過運維審計系統(tǒng)操作網絡設備和網管需要進行身份認證，針對不同的運維人群，可以采用靜態(tài)或動態(tài)口令的方式進行身份驗證。

（3）授權

每個運維人員在運維審計系統(tǒng)上采用最小授權，包括所能操作的設備范圍和操作命令權限兩個方面。

對設備廠商工程師和第三方集成商的一些設備升級之類的操作設定嚴格的授權時間段，使其只能在設定的時間段內操作，避免一些不必要的用戶投訴。

（4）事中告警、阻斷功能

支持事中告警功能，通過配置敏感操作策略，當運維人員操作這類命令時，系統(tǒng)提供告警或阻斷，一些危險的操作能被及時中斷，也便于審計員能重點關注一些危險的操作。

（9）審計

記錄所有的操作過程，能夠審計全部操作行為，審計結果能夠以錄像重放形式展現，支持根據時間、運維命令、進度條等方式進行定位回放，能快速定位一些誤操作引起的故障。

4.3良好的擴展性

建立在圖1系統(tǒng)架構上的基于運維審計系統(tǒng)的統(tǒng)一維護通道建成后，可以在運維審計系統(tǒng)的內部接口擴展地接入各種電信業(yè)務網絡和網管服務器，這些網絡和服務器的接入不涉及到維護側統(tǒng)一入口的改動，也就是說運維審計系統(tǒng)的外部接口和內部接口是獨立的，每一側的改動都不影響另一側，這就使得系統(tǒng)具有良好的擴展性，可以方便地增加需要通過統(tǒng)一通道維護的業(yè)務網絡和網管服務器，這些增加的業(yè)務網絡或網管服務器只需在運維審計系統(tǒng)上對相關的操作維護人員進行授權即可。

五、結束語

基于運維審計系統(tǒng)的電信網絡統(tǒng)一維護通道，能高效、安全、方便地維護管理電信網絡，記錄運維人員對網絡的所有操作過程，做到事前防范、事中控制、事后審計，保證運維的安全，同時具有良好的靈活性和擴展性，可用于多種電信業(yè)務網絡的管理。按照上述架構建成的系統(tǒng)目前已在紹興電信網絡實際維護中使用。

聯(lián)系方式：

趙衛(wèi)良，通信地址：浙江省紹興市越城區(qū)四馬路9號中國電信股份有限公司紹興分公司數據支撐班，郵編：312000；電話：15305759377；郵箱：15305759377@189.cn；

代敏，通信地址：浙江省紹興市越城區(qū)四馬路9號中國電信股份有限公司紹興分公司數據支撐班，郵編：312000；電話：15305758122；郵箱：15305758122@189.cn；