IAD網絡管理設計論文
時間:2022-03-12 10:32:00
導語:IAD網絡管理設計論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。
摘要iad(IntegratedAccessDevice綜合接入設備)作為NGN軟交換中一個重要的用戶層終端設備,以其分組型接入、寬帶化接入、綜合性接入等特點,成為軟交換的一種主要的終端應用形式而得到廠商和運營商的關注。IAD作為用戶級設備,具有數量大、分布廣、種類多的特點,如何對其進行統一管理是當前接入網研究的一個重要研究方向。此外,IAD位于用戶側,其接入安全性的問題也需要引起足夠的關注。本文就IAD統一管理系統的設計和如何解決IAD接入安全問題提出了一些觀點,并給出實現方案。
關鍵詞下一代網絡、統一管理系統、IAD、接入安全
引言
NGN充分利用了新技術在網絡融合、業務融合、靈活計費以及快速生成業務方面的顯著優勢,將快速提高運營商的業務開展和網絡盈利能力。其重要特征就是分組化、開放式、高帶寬、多種媒體流統一承載,基于分組模式,是網絡層分組模式與傳送層電路模式的結合。NGN實現了業務功能與承載技術的分離,這樣就使業務應用的開發、實施更加便利,完全改變了現有在智能網上開發業務的方式,利用寬帶IP網統一承載話音業務、數據業務、視頻業務,為用戶提供了嶄新的統一業務平臺,使網絡能夠和電子商務、教育、醫療、娛樂、休閑、自動控制等應用結合起來。同時,提高了網絡資源的利用率、增加了業務收入、降低了網絡建設和運營成本,隨著NGN核心技術的不斷完善、成熟和成本的降低。在網絡融合、業務融合、靈活計費以及快速生成業務方面的優勢將逐步得以體現,將顯著提高電信運營商的業務開展能力和網絡盈利能力。NGN讓電信運營商可以更靈活地為大量具有不同需求的用戶提供有質量保證的電信業務。隨著NGN的不斷發展和國內NGN網的逐步建立,接入網在向綜合化方向發展的同時,也需要具有向基于分組的統一網絡管理的能力。
1系統設計的目的及結構實現
IAD作為以軟交換為核心的NGN的主要接入層設備,它將用戶的數據、語音及視頻等應用需求接入到分組交換網絡中,在分組交換網絡中完成相應的功能,為運營商提供理想的分組語音解決方案,受到了全球網絡運營商和設備供應商的高度重視。作為用戶端設備的IAD在網絡中具有數量大、分布廣和基于動態私網IP的特點,如何對這種用戶側的設備實現有效的管理是未來各大運營商將要面對的問題。目前,幾乎所有的IAD設備制造廠家都能實現對自己廠家產品的有效管理,還有幾個廠家聯合提出IADMS(綜合接入終端管理系統)規范草案,著重研究了如何對進入NGN的IAD實現跨廠商、跨品牌“即插即用”的統一網絡管理。
IADMS的目的是要實現集中管理網絡中的IAD的各種狀態的有效管理,圖1所示是網絡體系結構,從圖1中可以看出,IADMS只是NGN網絡管理系統(NMS)中網元管理系統(EMS)的一個邏輯網元,如果直接采用軟交換網元管理系統對全網的IAD進行集中管理,勢必會給軟交換網元管理系統造成壓力并使其暴露在用戶側,因此采用專門的管理系統來對IAD進行管理是必要的,并引入邏輯網元的實現方法進行管理功能的會聚。
設計IADMS總體方案的總體思路,是使接入到網絡的不同品牌和型號的IAD都能得到NMS的有效管理,同時還能提高(圖1網絡體系結構圖、圖2系統體系結構)系統體系結構管理及維護人員的工作效率,提升運營商的管理能力和盈利能力。將IAD的統一網絡管理從NGN大網管中獨立出來,成為軟交換中的二級網管。IADMS的目標是對所管轄的IAD進行配置、升級、重啟等工作,并且對IAD的性能進行統計(包括端口故障率、可用率,包的抖動、時延等),同時還具有告警監測和安全防范的功能。
整個系統由客戶端層、服務器層和適配層三層組成,其中客戶端負責用圖形化方式的人機接口顯示各種網絡管理信息,響應網管人員提交的各種管理操作并將請求提交到服務器層;服務器層負責具體業務的邏輯實現,完成客戶端提交的管理操作,將對設備的操作提交到適配層;適配層將服務器層的管理請求轉換為設備相關的命令下發到相應的控制進程。此外,設備主動上報的信息到達適配層,適配層將上報的信息轉換為統一網管系統的標準格式,然后調用服務器層中對象的函數,服務器層完成上報的信息的邏輯處理,并向
所有的客戶端發送消息。客戶端接收到消息之后,刷新界面顯示,完成一個由設備上報驅動的自下而上的流程:通過將適配層從服務器層獨立出來,完成不同設備的管理命令到統一的信息模型的映射。此外,服務器層和客戶端層之問的接口可以根據運營商入網的要求有選擇地對外開放。這樣,服務器層自然成為上層網管的,從而方便地對上層網絡級管理系統提供CORBA接口,實現網絡的分級管理,滿足運營商的要求。系統體系結構如圖2所示。
系統圍繞實時、可靠、高效、精確、方便管理和易于維護的思想來進行設計,將需要監測的告警信息和數據信息以最快的速度傳送到管理中心的終端設備上,并根據設備情況完成遠程控制功能,以便維護人員及時發現異常情況,并采取相應的措施;還可根據一段時問內數據參量的統計情況,分析出設備的使用和可用狀況,盡早發現設備隱患,預防通信故障,增強網絡效益。具體的特征有:采用先進的分布式計算;IS0分層思想,中間件的軟件技術;基于TMN標準的要求及管理功能規范;滿足信息產業部相關規范對系統的要求。
按照信息產業部和中國網絡通信集團(CNC)相關國家及企業標準,以及ITU—T的TMN標準規范,管理系統主要用于對以軟交換為核心的下一代網絡的綜合終端接入設備進行自動監控,其管理對象是綜合終端接入設備。系統主要有五個功能模塊:配置管理、性能管理、故障管理、安全管理和系統管理,其軟件結構如圖3所示。
具體功能如下:
·系統管理:在系統管理模塊中主要有數據庫管理、時鐘校驗、軟件升級管理和系統資源配置管理等管理內容。
·配置管理:通過SNMP可以調用軟交換、信令網關和媒體網關設備上的MIB庫并進行設置,從而實現對設備上相應功能模塊的配置。軟交換、信令網關和媒體網關遠程配置管理可以通過Telnet來實現。軟交換、信令網關和媒體網關應具有Telnet協議接口和口令等安全設施。配置管理包括IAD設備樹管理、基本配置管理和軟交換配置管理。
·性能管理:通過對IAD的監控和輪詢,獲取有關網絡以及終端接入設備運行的信息及統計數據,并能在所收集數據的基礎上,提供網絡以及終端接入設備的性能統計。性能管理包括端口性能管理、通道性能管理、協議性能管理和呼叫性能管理。
·故障管理:IAD通過SNMP的trap機制向IADMS主動報告設備啟動、狀態變化等緊急事件。在告警管理方面可以提供對實時告警的監視呈現,對歷史告警的匯總分析,對告警信息的詳細描述等。故障管理包括實時告警采集和處理、多種方式呈現并處理告警、告警查詢分析、告警設置和派修單
等。(可以將告警分成了各種級別,比如一般告警、重要告警、緊急告警,一般告警可以用黃顏色的告警條表示,重要告警可以用紅顏色的告警條表示,而緊急告警可以要有警示聲音,也就是急促的短鳴的聲音提示有緊急告警)
·安全管理:在安全管理方面,提供網管用戶密碼鑒權,用戶網管功能權限分配和記錄各類安全事件日志等措施。安全管理包括登錄安全、用戶操作的安全管理和日志管理。
系統從設計到實現都是按照TMN標準規范來進行的,從而具有了TMN標準規范的許多特征,同時具有的以下特征:實時監視IAD的工作狀態,遠程設置運行參數;故障監測、定位及系統自診斷;告警屏幕顯示;大容量磁盤數據存儲;生成統計報表、顯示圖形曲線;歷史數據、告警查詢;多級操作權限,自動記錄用戶重大操作;設置告警級別和告警參數;動態全中文聯機幫助。
3安全性分析及實現方案
IAD作為NGN中一種不可或缺的接入層設備,其涉及到的一些問題也需要認真地解決。整個系統是基于IP網絡設計的,由于采用IP技術與基于ATM和SDH的承載網相比,其開放性特點非常適合網絡業務的發展,但IP協議的開放性和公用性也使IAD不可避免地受到黑客或病毒程序的攻擊或干擾,存在著如用戶仿冒、IP地址盜用、破壞服務(如DOS
攻擊)、搶占資源等安全問題。
IAD所遇到的安全問題主要有3種:
·接入安全:這通常是未經授權的用戶通過監視、攔截、篡改、捏造、重播欺騙、克隆、重定向等手段,非法獲取系統資源的訪問權。建立非法呼叫、干擾破壞合法呼叫或竊聽、抵賴服務費用、竊用服務等級等等。接入安全需要建立安全入網注冊、預配置安全管理、安全網管、安全信令、安全媒體流等安全機制。也就是說,必須適當選擇安全協議及密碼學算法,嚴密的密鑰管理體制,服務器及授權用戶有效的相互認證方法,通過完善的認證機制來解決用戶仿冒、IP盜用等問題。
·惡意攻擊:IAD接入端口是NGN業務網的最大的安全隱患,IAD處于用戶端,存在被利用來惡意攻擊運營商的關鍵網絡設備和其它IAD的可能性,例如惡意的拒絕服務攻擊(DoS)。對付惡意攻擊的做法,可以通過物理安全來保證接入端口不被非法訪問,同時在統籌規劃整個NGN交換網絡建設中,適當地考慮相關設備的安全保障機制,部署專門的VPN承載NGN業務,與Internet邏輯上隔離開,提高網絡安全性。
·電源供給:IAD位于用戶端側,不用專門的機房,一般放置于離用戶較近的地方,如家庭、辦公室、小區或商業樓宇的樓道。從IAD測試情況來看,困擾其穩定性的最大因素是電源問題。目前絕大部分IAD電源配置采用的是本地供電方式,一旦遇到區域斷電,IAD將不能工作,失去一切通信聯系。
后兩種問題超出了本篇文章的討論范圍,在這里就不進行詳細地論述了。
在接入安全上的解決思路是采取認證注冊的方式,認證注冊分為管理認證注冊和業務認證注冊兩大部分。管理認證注冊可以理解為IAD根據一些原始的配置參數向網管設備進行注冊;業務認證注冊是指在IAD提供服務前,向軟交換進行認證注冊。IAD上電后,同時發起管理注冊和業務注冊請求。管理注冊成功后,IAD從網管處獲得一些配置數據和文件;業務注冊成功后,IAD可以使用軟交換提供的業務。系統會在安全管理中的登錄安全子模塊中設置一項鑒權功能,用來對進入網絡的IAD進行鑒權。IAD是靠近用戶端的局供設備,在投入使用前需要進行配置(包括網管的IP地址、軟交換的IP地址等)。對于IAD自身的IP地址通常有兩種分配方法:一種是分配固定IP地址;另一種是通過DHCP((動態主機控制協議)分配IP地址。前者主要在校園網絡中使用,而后者在小區寬帶和電信業務中比較普遍。
在管理認證方面主要對IAD進行認證注冊,在系統管理模塊的升級管理子模塊提供IAD的軟件和版本升級的維護管理。現有的IAD網管都只能管自己品牌的IAD,而這套管理系統增加了一個認證接口適配器,將不同品牌的IAD即時進行管理認證注冊。用來標識IAD的是MID(ManagedIdentifier),一般是指IP地址或域名。IAD注冊時發起一個帶有MID的SNMP(簡單網絡管理協議)trap請求,管理系統在自己的數據庫中尋找相應的匹配項。管理系統如果找到匹配的MID或者接口適配器能將其轉化成數據庫中相應的匹配項,那么就給予注冊;否則需要管理系統更改數據接口適配器,發出告警。
如圖4所示,IAD管理注冊流程為:IAD向軟交換發起管理注冊請求,其中帶有設備標識碼;網管在數據庫中尋找相應的匹配項,并比較兩者的結果;如結果相同,發給IAD予以注冊的命令;如果不同,則發回錯誤信息。如圖4所示。由于目前的IP網絡中非常容易獲取IP地址,為了盡量避免非法用戶注冊成功,使用IAD標識碼來作為IAD的惟一(圖4管理認證注冊成功的流程、圖5業務認證的鑒權流程)標識。IAD的設備標識碼是指能夠惟一標識IAD的一串代碼,它可以是MAC地址或者是一些含有特定信息的代碼(如運營商的名稱、IAD設備提供商和IAD的一些自身信息)。衡量標識碼的可用性標準就是惟一性。為了防止網絡偵聽,泄漏IAD標識碼,可以采取加密的方式在網絡上傳輸。
在業務認證方面,由于業務認證強調的是IAD向軟交換的認證注冊,對于使用SIP的IAD來說,通過Digest鑒權來實現對SIP用戶的注冊、呼叫的認證,具體來說就是通過401和407消息,只有擁有合法用戶名和密碼的用戶才能夠使用NGN業務。而對于使用H.248協議的IAD來說,由于H.248協議本身并不像SIP提供用戶鑒權的功能,所以如果想要對用戶的使用進行鑒權的話,通常是通過廠商自己定義鑒權模式。可以采用H.248協議提供的一些命令來完成用戶的鑒權,主要通過注冊認證和心跳認證來確認中斷的合法性,具體來說,就是在H.248注冊命令中添加一些擴展項來進行鑒權。利用H.248協議中定義的擴展項,并且同時定義相同的加密算法和相同的設備標識碼,如基于公鑰的消息認證,通過注冊認證和心跳認證來確認終端的合法性,也可以達到用戶鑒權的目的。
如圖5所示,IAD通過注冊命令方式進行用戶鑒權的流程:IAD向軟交換發起注冊請求,其中帶有經過加密的設備標識碼;軟交換用和IAD相同的加密算法進行計算,并比較兩者的結果;如結果相同,發給IAD予以注冊的命令;如果不同,則發回錯誤信息。對IAD進行業務認證需要IAD和相應的軟交換匹配,不然將無法工作。但這都只是一種應用層上的安全保障方式,并不能從根本上解決安全問題,因此還需要與IPSec或TLS等底層協議相結合來解決。
4結束語
下一代網絡是面向服務的網絡系統,對于IAD的統一網絡管理由來已久,雖然爭議頗多,但是統一的網管勢在必行。綜上所述,通過對實現對IAD的統一管理,不僅僅是分擔了軟交換網絡在業務承載方面的負荷,提高了網絡資源利用率,而且進一步提高運營商的服務質量,降低維護費用,有利于進行集中化的管理,是下一代網絡管理發展的一個必然趨勢。本文在這方面進行了一些前瞻性的研究,并給出了相應的系統軟硬件方案,但是對IAD統一的網絡管理還需要運營商和設備制造商各方面的共同努力。
參考文獻
1強磊等.基于軟交換的下一代網絡組網技術.北京:人民郵電出版社,2005
2雷雪梅.現代網絡管理.北京:國防工業出版社,2005
3陳建亞.可編程交換技術.北京:北京郵電大學出版社.2001
4趙學軍等.軟交換技術與應用.北京:北京郵電出版社.2004
5MoLiandKumbesanSandrasegaran.InstituteofInformationandCommunicationTechnologiesandFacultyofEngineeringUniversityoftechnology,Sydney.NetworkManagementChallengesforNextGenerationNetworks.IEEEComputerSociety.2005
6AlexGillespie,BTLaboratories.SimonRees,FujitsuTelecommunicationsEurope.AccessNetworkManagementModeling.IEEECommunicationsMagazine·March1996
- 上一篇:改進德育工作意見
- 下一篇:NSadhoc網絡路由分析論文