|
《通信网络运维》简报
第(04)期
总第4期
2007年07月30日
本 期 目 录
【专委会新闻】
◇2007年第五期通信网络运维人员培训班在太原圆满结束
◇2007通信业中小企业总经理论坛(北京)召开
◇“移动通信网络资产动态跟踪管理系统鉴定会”在广州召开
◇通信网络运维创新座谈会在惠州举行
◇通信网络运维专委会到惠讯公司调研
◇《通信网络运行维护定额和费用标准》筹备会在京举行
◇“通信网络运维代维企业光缆线路和基站维护规程”初审会在京召开
【会员新闻】
◇中兴通讯入选“2007年度最具全球竞争力中国公司20强”
◇理想(集团)公司成为IBM钻石合作伙伴
◇日讯科技荣获“电子发展基金”100万元
◇2007高格登上了世界屋脊
【运营商新闻】
◇泰州电信推出“机房无忧”监控项目
◇河南网通自主研发光缆线路维护管理信息系统
◇山西移动2007年基站代维人员现场操作认证活动圆满结束
◇黑龙江联通建成运维培训基地
【会员技术文章】
◇光传送网发展与光纤光缆技术
◇因势利导构建电信网络异常流量防范体系
编辑整理:中国通信企业协会通信网络运维专业委员会会员服务部
责任编辑: 任铁艳(电话:010-82054249)
(内部资料,仅供参考)
【专委会新闻】
2007年第五期通信网络运维人员培训班在太原
圆满结束
由中国通信企业协会主办,通信网络运维专业委员会培训部承办,山西省通信行业协会协办的第五期“通信网络运维人员资格评定培训班”于2007年7月8日在太原举行。本次培训班有来自山西邮电工程局、太原众至诚公司、山西晋通线塔公司和山西通信微波实业公司等四个单位学员48人参加。本次培训班是通信网络运维专业委员会在太原组织的第二次,本次培训班得到了当地行业协会的大力支持和协助。
2007通信业中小企业总经理论坛(北京)召开
由知名门户网站C114主办,通信网络运维专委员会支持的“2007通信业中小企业总经理论坛(北京)”在京于2007年7月13日召开。通信网络运维专委会秘书长范贵福参会,并做了“行业协会如何搭建企业内交流合作平台”的发言,来自北京地区的中小企业总经理约50多人参加了论坛。此次论坛是C114发起,并与2007年4月上海成功举办的基础上的第二站。据了解,下次论坛将在广东深圳举办,这是C114为加强行业内中小企业沟通、交流的独特形式。
北京地区通信业中小企业如北京光桥、北京波特、北京威速、北京林克海德、北京欣易晨等公司总经理列会,知名通信专家做了专题报告,通过此次论坛,将会对通信产业发展,起到有益促进作用。
“移动通信网络资产动态跟踪管理系统鉴定会”
在广州召开
由广州移动和通信网络运维专委会共同组织的“移动通信网络资产动态跟踪管理系统鉴定会”于2007年7月14日在广州举行。
鉴定委员会经过对项目认真审核、评议,一致认为系统切合通信企业管理方向,具有重要的现实意义。该系统满足了管理精细化、标准化和规范化要求,提高了管理效率,涵盖了资产管理的全过程,能动态跟踪网络资产信息,实施效果明显,具有推广价值。
来自国家信息化评测中心、信息产业部电信研究院、中国科学院、华南理工大学、广州大学、广东工业大学、中国移动集团、中国网通研究院等专家参加了鉴定会。
该系统是由广州移动和珠海纬地公司共同开发的,历时两年多。
通信网络运维创新座谈会在惠州举行
2007年7月16日,广东移动惠州公司组织了一个有关运维创新的小型座谈会,惠州移动主管网络维护与建设副总经理庄仁锋,网络部总经理曾祥沛,网络优化中心总经理古小璐及其他维护主管人员参加了会议。通信网络运维专委会副主任袁明孚、秘书长范贵福与惠州移动有关人员围绕运维创新进行了广泛的交流。会上,惠州移动全面介绍了近年来在运维创新方面所取得的成绩,包括“准实时半速率控制方案”、“超小型直放站覆盖”、“一站式基站应急管理系统”和“短信端口的字符技术”等,这些创新项目在实际工作中既有实用价值,又有明显经济效果,更有社会价值。运维专委会袁明孚副主任对惠州移动在运维方面取得的成果表示肯定,建议尽快申请专利,有机会在行业内推广。
范贵福秘书长还介绍了专委会近期的工作,如标准研究、代维企业资质评定和人员培训等。
通信网络运维专委会到惠讯公司调研
2007年7月17日,通信网络运维专委会袁明孚副主任和范贵福秘书长到广东惠讯公司进行调研。惠讯公司陈学信副总经理、姚少平总工程师、市场经营部黄琼总经理、总工室刘伏根主任等,与专委会一行围绕运维标准、代维企业评定、运维成果推广等内容进行了广泛的交流。
专委会袁明孚副主任介绍了近期开展的各项工作进展情况,惠讯公司简要介绍了公司发展目标。双方一致希望在企业评定、标准研究、成果推广等方面开展合作,专委会领导表示要做好服务,尽最大努力为企业发展创造条件。
《通信网络运行维护定额和费用标准》筹备会在京举行
由信息产业部工程定额质监中心和中国通信企业协会通信网络运维专业委员会组织的《通信网络运行维护定额和费用标准》筹备会于2007年7月24日在京举行,信息产业部工程定额质监中心主任曲晶唯、副主任刘晓丰,中国通信企业协会会员工作部主任徐荣德,通信网络运维专业委员会秘书长范贵福、副秘书长韩卫东,中国电信、中国网通、中国移动、中国联通、中国卫通、中国铁通、中国通信建设总公司和江西网新公司的代表参加了会议。
在筹备会上,组织单位分别介绍了《通信网络运行维护定额和费用标准》编制项目的背景、组织结构、近期工作计划和预算情况,代表们围绕项目编制进行了深入讨论。与会代表一致认为编制《通信网络运行维护定额和费用标准》是非常重要、非常及时的,将对规范服务市场、实现精细化管理起到有力的推动作用。
“通信网络代维企业光缆线路和基站维护规程”初审会在京召开
2007年7月25日,由通信网络运维专委会标准研究部组织的“通信网络代维企业光缆线路和基站维护规程”初审会在京召开。
通信网络运维专委会范贵福秘书长、韩卫东副秘书长,信息产业部通信工程定额质监中心、中国电信集团公司、中国移动通信集团公司、中国联合通信有限公司,中国卫星通信集团公司、中国铁通集团有限公司、中国通信建设总公司、广电总局无线电分管理局和江西网新方正技术责任有限公司的专家参加了初审会。参加会议的专家在热烈、积极的氛围中,就维护规程具体内容进行了认真、细致的审议。专家们对两个规程提出了非常中肯和建设性的意见和建议。
运维专业委员会标准研究部将根据各位专家的意见对“通信网络代维企业光缆线路和基站维护规程”进行更深入的修改,使其更加符合实际需要。
【会员新闻】
中兴通讯入选“2007年度最具全球竞争力中国
公司20强”
【中兴通讯股份有限公司】提供
近日,由罗兰•贝格国际管理咨询公司联合《环球企业家》杂志共同举办的“最具全球竞争力中国公司”评选结果在正式揭晓。中兴通讯在本次评选中入选“2007年度最具全球竞争力中国公司20强”,中兴通讯印度子公司也荣获“新兴市场之星”称号。
本次“最具全球竞争力中国公司”评选主要考察中国公司的海外业绩表现、国际化持续竞争能力和跨文化管理能力。作为我国高科技领域最早并最成功实践 “走出去”战略的标杆企业之一,中兴通讯通过大力自主创新,开发以3G为代表的高端产品,将领先的技术与上佳的商用能力有机结合,打造企业核心竞争力,迅速缩小了与国际通信巨头的差距。
同时,近年来中兴通讯继续大力推进国际化战略,在主流新兴国家市场和跨国运营商市场均取得较快增长,在欧洲与北美市场,中兴通讯也陆续扩大销售规模。2007年1季度报的数字显示,中兴通讯海外业务收入已经占据总收入60%的份额。在“新兴市场之星”评选中,中兴通讯的印度子公司以其迅速增长的业绩和在当地的巨大影响力,当仁不让的获得了这一殊荣。目前,中兴通讯已成为印度电信市场的一流供应商,在印度的员工已经超过600人,其中80%是本地员工。2006年,中兴通讯印度公司合同销售收入增至6亿美元。
理想(集团)公司成为IBM钻石合作伙伴
【上海理想信息产业(集团)有限公司】提供
理想(集团)公司继去年获得“IBM业务拓展伙伴(金牌)资质”后,今年又通过了IBM公司07年度的“蓝天碧海”授牌,成为“IBM钻石合作伙伴”。
IBM的区域合作伙伴按照公司资历和06年销售额共分四个等级:蓝牌、银牌、金牌和钻石。理想(集团)凭着去年良好的IBM设备销售额以及雄厚的技术实力,再次顺利地赢得了钻石级合作伙伴。
该资证使得经销 IBM 产品的终端合作伙伴在地区市场中更具竞争力,并将获得更多来自 IBM 渠道部门的基于技术、销售和认证等方面的专门支持。
日讯科技荣获“电子发展基金”100万元
【北京日讯在线科技有限公司】提供
日讯科技自主研发的“NTAS Professional 3G for TD-SCDMA无线网络优化测试系统平台”在2007年6月份荣获由财政部、信息产业部共同管理的“电子发展基金”无偿资助100万元,同时得到TD-SCDMA产业联盟、信息产业部电信研究院、联通技术部、移动技术部各部领导的一致肯定,促进了该项目产品化进程以及研发能力的提高。
2007高格登上了世界屋脊
【广州市高格通讯科技有限公司】提供
2007年6月,广州市高格通讯科技有限公司为青海网通一级干网设备进行清洗维护,高格公司的服务走上了世界屋脊。高格员工刻服各样的困难,在身体产生高原反应的情况下,仍然高质量、高标准、严要求地完成了工作,赢得青海网通公司高度的赞扬,并送上一面锦旗!
【运营商新闻】
泰州电信推出“机房无忧”监控项目
日前,江苏泰州市首家“机房无忧”监控项目顺利竣工,泰州市工商局成为当地第一个享受“机房无忧”监控类专家级服务的客户。“机房无忧”项目推出后,泰州电信多次通过产品推荐会等形式向客户详细介绍业务的功能及应用。根据泰州工商局机房的动力、环境监控需求,泰州电信为其量身定做个性化的机房解决方案,为客户机房提供实时、主动维护服务。泰州电信利用客户端原10M光路,通过MPLSVPN组网,为工商局机房安装温湿度传感器、烟雾传感器等实现机房7×24小时监控,通过高稳定性的SDU数据采集设备进行现场的动力和环境监控量的数据采集,将现场采集的数据送到电信监控中心平台,实现实时报警。“机房无忧”实现远程监控,系统将通过电话、短信方式将告警信息直接通知客户,同时每日定时以短信方式告知用户当日机房的温度、湿度、电压、烟感、运行情况等信息。
据了解,工商局“机房无忧”监控项目也是江苏电信在全省范围内承接的转型业务,去年10月底正式立项。今年6月,根据江苏电信大客户网管安装进度,泰州电信主动请缨,将原本接入本地动力监控平台的方案,优化为直接通过MPLS方式接入省大客户网管。泰州电信加快项目进度,做好用户沟通、设备采购、安装、MPLS路由规划等前期准备工作。7月10日,全省大客户网管采集到泰州工商局机房无忧监控数据,泰州电信成为全省首家接入省大客户网管的本地网,工商局也对“机房无忧”的经济性、实时性、安全性给予了充分肯定。
河南网通自主研发光缆线路维护管理信息系统
日前,河南网通完成了光缆线路维护管理信息系统的自主研发工作,并在焦作、许昌等地区进行了实验性应用,取得了较好效果,下一步将逐步在全省范围内进行推广应用。此项自主研发是河南网通从单一的长途光缆维护到光缆线路专业集中维护,再到现在提倡的经营型维护的重要标志。
该系统是第一个由电信运营商自主研发的光缆线路维护管理方面的集成化信息管理系统,它涵盖了企业DCN网络构建、光缆线路基础信息采集及处理、维护管理基础信息采集及处理、纤芯资源管理、设备状态和生产作业现场管理、生产作业流程控制、报表统计分析及管理决策等内容,实现了维护生产信息管理系统和流程控制系统的统一。
河南网通多年来在光缆线路的维护管理工作上一直努力创新、加强管理。其维护规模、维护效率、维护质量和成本使用效能在全国同行业名列前茅。此次自主研发的光缆线路维护管理信息系统,突破了传统的生产管理模式,以信息化建设为切入点,通过改造生产作业流程,实现了光缆故障隐患的无边界管理。同时,实现了光缆通信线路维护信息的共享和自动处理,保证了光缆通信网络的安全和稳定性,为推进精细化管理提供了基础。
山西移动2007年基站代维人员现场操作认证活动
圆满结束
为有效提高各代维公司基站维护人员的水平,提高基站设备维护质量,6月19日至22日,在人力资源部、省网管中心、各地市分公司的全力配合与支持下,网络部组织全省圆满完成了2007年基站代维人员现场操作认证活动。
基站设备维护质量密切关系到移动通信网络运行质量,是各项业务健康发展的前提,是为客户提供良好业务环境的必要条件。本次认证采用省公司统一命题、统一设置评分标准、统一组织由各地市同时实施的方式,共设置三个专业:主设备维护专业、配套设备维护专业、基站线塔维护专业,共680人次参加。为保证评分的公正性、严肃性,每考点由两名监考人员监考,省网络部全员出动,同时抽调人力资源部、省网管中心的部分人员,组成南北两个巡视小组进行现场督导,省网络部吕天飞经理携12名同志赴北部区域、尹君宇副经理携10名同志赴南部区域进行巡视、检查、指导,活动期间,山西各地市普降中到大雨,检查组、各地市分公司活动小组的广大成员克服困难,精心准备、精心选点、精心组织,在确保人身安全、设备安全的前提下,本次活动按照预定方案得以全面实施,于6月23日圆满完成,山西移动基站维护水平再上了一个新台阶!
黑龙江联通建成运维培训基地
日前,黑龙江联通运行维护培训基地在哈尔滨建成。这是首个运行维护方面的专业化培训基地,也是该公司盘活闲置资产、科学利旧的积极探索。
近年来,黑龙江联通对GSM网络进行了大规模的建设和优化,工程替换下来的旧设备较多。为使其中可用的网络设备发挥余热,该公司组成运行维护专家组,自行动手,将各地市分公司替换下来的可用设备集中,由专家组精心完成设备安装、组网、加电、数据加载、调试、测试等工作,仅用三个月时间就建成了黑龙江联通运行维护培训基地。
该基地建成后,可以为GSM网络传输、电源、基站、交换、网管、BSC、数据、仪表等十余个专业提供现场实地操作,为全省运行维护系统人才梯队培训提供有力保障。同时,培训基地的设备还可作为全省网络的应急备份,在关键时刻发挥作用。
【会员技术文章】
光传送网发展与光纤光缆技术
随着Internet快速发展带来的巨大冲击,移动话音和数据业务、互联网业务和各种新业务的迅速普及和应用,各种业务呈现爆炸式的增长态势,这给服务提供商带来广阔的市场前景和新的利润增长点。如何充分利用已有的网络基础设施,通过有效的带宽管理,快速、低成本地提高它们的业务提供能力,创造能满足其客户需求并能增加收入的新业务,是运营商首要解决的问题。
从传送网的发展趋势来看,从传送平面、控制平面和管理平面的角度来分析,传送平面一直致力于大容量、高带宽、长距离的传输,从线路传输技术来看,40Gbit/s、OTN、分组传送网、多窗口的WDM系统、ROADM和OXC等是未来发展的方向,从节点交换技术来看,目前主要是SDHVC级别的交换,未来将向OTN交换过渡,同时可能出现波长级别的交换,未来光突发交换和光分组交换也会是进一步发展的方向;控制平面的发展也经历了一段时间,GMPLS协议具有从分组一直到波长和光纤级别的控制能力,从目前VC级别的控制能力逐步延伸和扩展到更大颗粒的波长和更小颗粒的分组;从管理平面来看,提供端到端的网络管理能力、使得资源可控制、可管理和可规划,同时要进一步提升用户体验。
从光传送网对光纤光缆技术的需求角度分析,传送平面技术发展会对光纤光缆选型造成影响,从TDM的角度来看,高速TDM系统如40Gbit/sSDH系统或更高速率的系统会对承载系统的光纤有新的要求,而从WDM的角度来看,基于40Gbit/s等高速通路的WDM系统和超长距WDM系统应用也会对光纤的特性提出一些新的要求,诸如降低PMD、克服非线性效应,从系统的角度解决色散容限等问题。
光纤特性分析
2.1G.652光纤特性
G.652光纤是现在网络上应用比较多的一种光纤,ITU-T对于G.652分为四类光纤分别是G.652.A、G.652.B、G.652.C和G.652.D光纤光缆。
G.652四种光纤的分类主要基于PMD的要求和在1383nm处的衰耗要求。G.652.A光纤用于支持G.957和G.691最高速率为STM-16或10Gbit/s最大传输距离为40km(Ethernet)和STM-256用于G.693的应用。G.652.B光纤用于支持速率高达STM-64的更高比特率的应用,如G.691和G.692中的某些应用,G.693和G.959.1中的某些STM-256应用,根据应用不同,色度色散的容限需要考虑。G.652.C与G.652.A类似,但是允许的波长范围扩展到从1360nm到1530nm。G.652.D与G.652.B类似,但是允许的波长范围扩展到从1360nm到1530nm。
相关部门在2003年1月修改G.652光纤标准时,希望全面提高G.652光纤的特性,至少都要支持10Gbit/s的长途应用,对G.652B要求支持40Gbit/s的长途应用,所以开始提出G.652B的PMDQ应小于0.10ps/√km。后来基于考虑40Gbit/s的应用主要从城域网开始,10Gbit/s系统的传送在3000km左右已经可以覆盖大部分应用情况,所以放宽到0.20ps/√km。经过调整过的各类G.652光纤的特性为:G.652A支持10Gbit/s系统传输距离可达400km,10Gbit/s以太网的传输达40km,支持40Gbit/s系统的距离为2km。对于G.652B型光纤,必须支持10Gbit/s系统传输距离可达3000km以上,40Gbit/s系统的传输距离为80km。
G.652C型光纤基本属性与G.652A相同,但在1550nm的衰减系数更低,而且消除了1380nm附近的水吸收峰,即系统可以工作在1360~1530nm波段。
为了使无水吸收峰光纤也能支持G.652B所支持的那些应用,必须对无水吸收峰光纤的PMDQ提出更严的要求,因此有必要定义一种新的光纤类型,即G.652D型光纤。G.652D型光纤的属性与G.652B光纤基本相同,而衰减系数与G.652C光纤相同,即系统可以工作在1360~1530nm波段。
2.2G.655光纤特性
G.655光纤分为三类,这几种光纤的分类主要基于PMD的要求和色度色散特性。G.655.A光纤用于支持G.691、G.692、G.693和G.959.1应用,考虑到G.692应用,取决于通路波长和特定光纤的色散特性,总输入光功率的最大值应当进行限制,最小通路间隔的典型值应当限制在200GHz。G.655.B光纤用于支持G.691、G.692、G.693和G.959.1中的应用,考虑到G.692应用,取决于通路波长和特定光纤的色散特性,总输入光功率的最大值可以高于G.655.A光纤,最小通路间隔的典型值应当为100GHz或更小,对于PMD的要求允许STM-64系统传输距离至少达到400km。G.655.C与G.655.B类似,但是更严格的PMD要求允许STM-64系统的传输距离大于400km,同时也能适用于G.959.1的STM-256应用。需要注意的是,许多海底应用可以采用G.655.B和G.655.C光纤,对于海缆应用的对于某些限制会发生变化,例如光缆的截止波长的数值可以达到1500nm。
新的G.655B光纤可以支持以10Gbit/s为基础的100GHz及其以下间隔的DWDM系统在C和L波段的应用。为了既能满足100GHz及其以下间隔DWDM系统在C、L波段的应用,又能使N×10Gbit/s系统传送3000km以上,或支持N×40Gbit/s系统传送80km以上,就规范了一种新的G.655C型光纤,除了PMDQ为0.20ps/√km之外,它的其他属性和G.655B是一样的。
传送网光纤选型
综合上述对于G.652和G.655光纤的特性分析,我们可以得出以下结论。
G.652光纤主要适合于STM-16及其以下速率SDH和WDM系统的传输,适用于基于STM-64和STM-256的部分应用。G.652.A和G.652.B光纤的区别在于,后者支持10Gbit/s的超长距传输和40Gbit/s的应用;G.652.C和G.652.D与前两种光纤的区别在于消除了水峰,可以工作在1360~1530nm,传输特性分别与G.652.A和G.652.B类似。
G.655光纤主要适合于WDM系统和高速率TDM系统(STM-64和STM-256)的传输。G.655.A光纤适用于通路间隔为200GHz的WDM系统,G.655B光纤可以支持以10Gbit/s为基础的100GHz及其以下间隔的DWDM系统在C和L波段的应用,G.655.C光纤在支持以上应用的基础上,又能使N×10Gbit/s系统传送3000km以上,或支持N×40Gbit/s系统传送80km以上。
G.652和G.655光纤均适用于骨干传送网和城域传送网的应用,骨干传送网的传输距离较长,DWDM系统应用广泛,高速率大容量系统的应用可能性大,目前G.652B、G.652D、G.655B和G.655C光纤比较适合骨干网应用,需要根据实际情况进行选择。鉴于城域网传输距离短、DWDM系统应用不会非常普遍、单通路速率可能会达到较高、CWDM系统在光纤资源紧缺的地区会有一些应用等方面的特点,目前G.652光纤较适合于城域网的应用,G.652.C光纤消除了水吸收峰,为未来网络的应用提供了发展空间,在价格与传统G.652.A和G.652.B光纤相差不大的情况下是较好的选择。
因势利导构建电信网络异常流量防范体系
电信IP网作为一个开放性的公众服务网络,面临着众多的安全威胁,特别是蠕虫病毒和分布式拒绝服务攻击(DDoS)等,异常流量攻击行为严重威胁着电信IP网络的安全平稳运营。为有效遏制异常流量对电信IP网络安全运行构成的威胁,缓解网络运营压力,当务之急是采取有效措施应对异常流量攻击构成的严峻挑战。
异常流量攻击——对电信IP网安全的严峻挑战
异常流量攻击对电信IP网的最大威胁是攻击流量大量挤占电信IP网络资源,极易造成网络不稳定和链路堵塞。同时商业利益的驱使,使得针对特定商业目标的异常流量攻击有愈演愈烈之势,对电信IP网安全构成了严峻的挑战。
异常流量攻击商业化趋势是近期网络安全的新动态。以往的黑客以熟悉掌握网络、协议、操作系统和编程等技术为荣,他们对网络发起攻击往往是以技术炫耀为目的。而现在随着网络经济的蓬勃发展,各种盈利性网络业务在IP网的承载和运营,使得不法之徒不再仅仅满足心理炫耀的需要,而是转向经济利益的攫取。国内出现了以攻击网游服务器、网吧为目标的DDOS攻击,多数为干扰竞争对手网络业务而获取经济利益,更有甚者,某些黑客结成了所谓的“网络黑帮”,通过攻击某些中小企业网站、游戏网站来勒索“保护费”、“修复费”。《E时代周报》报道称:上海某游戏娱乐公司网站遭到了DDOS分布式拒绝服务攻击,网站完全陷入瘫痪状态,并被“网络黑帮”勒索巨额“保护费”,异常流量攻击已经成为电信IP网络正常运营面临的严峻挑战。
异常流量疏导——电信IP网异常流量的防范手段
针对目前异常流量攻击猖獗,而控制乏术的现状,电信运营商应另辟蹊径,从流量疏导入手考虑应对之策。在此背景下,异常流量疏导技术应运而生。异常流量疏导技术具有良好可管理性,效率高,具有广泛的应用前景。目前有两种技术可应用于异常流量的疏导:黑洞路由技术和网络管道清洗(Cleanpipe)技术。其技术原理主要是采用BGP策略路由的方式改变流量转发方向,将流量牵引至指定节点,对这些流量进行丢弃、分析、过滤等处理。
黑洞路由技术
黑洞路由技术主要是通过宣告BGP最优路由改变原有流量的流向,将流量引入到空接口并丢弃。这样从路由层面看,就在网络中形成了路由“黑洞”,吞噬这些异常流量的数据包。这种方法的优点是:
第一,部署实施简单、快速。一旦发现网络中存在异常,仅需在路由器上配置静态路由,将异常流量牵引至空接口(NULL0)就可以实现对异常流量的疏导;而当异常流量消失后,可以快速地删除该静态路由恢复至原来的正常路由状态。
第二,充分利用路由器的转发功能,效率高。路由器仅需将IP包头的目的地址与路由表进行比照就可以完成转发,而ACL需要将IP包头及TCP/UDP等包头信息与ACL逐条比较方可决定数据包的流向,相比而言,利用路由方式的黑洞路由技术在效率上比ACL要高,且对路由器的性能影响较小。
第三,适合对大规模针对特定IP或IP段的DDOS攻击。缺点是不能对所牵引的数据包进行区别处理,只能全部丢弃,可能造成间接的DDOS攻击。
网络管道清洗技术
网络管道清洗技术可以对异常流量进行过滤,放行合法流量,不会造成间接DDOS攻击。其主要技术原理与黑洞路由技术基本类似,所不同的是网络管道清洗技术将采用异常流量过滤设备处理重定向流量。
这种方法的优点是:首先,可甄别攻击流量和正常流量,并过滤攻击流量,从而避免了间接DDOS攻击的发生,合法流量被转发到各自的最初目的地,确保关键请求不会丢失。
其次,可按照实际需要,通过宣告特定路由条目,对遭受DDOS攻击的节点进行过滤,而在攻击消失后,又可以恢复原有的路由途径,使设备在过滤异常流量时,做到按需过滤,提高了设备的效率和应用的可扩展性。
再者,过滤系统设备可以旁挂在核心节点路由器上,部署方便,可靠性高,不易发生因过滤设备运行异常而导致的网络中断事故。
主要缺点是对过滤设备的性能要求高,同时对攻击的判断准确度要求高,并且可能对旁挂设备造成潜在的性能影响。尤其是在所旁挂的路由设备上开启了多条ACL,而在流量需要进出该设备多次的情况下,对设备影响较大。
上述两种技术各有优缺点,考虑到电信IP网的特点,不难得出以下结论:
首先,黑洞路由技术较易于实现和控制,此项技术应尽可能部署于靠近攻击源一侧,尽早将攻击流量从网络中疏导出去;但是此项技术的缺点就在于不能根据流量实际情况有区别地进行丢弃,使正常流量到达目的地,而是将所有流量都丢弃了。
其次,网络管道清洗技术的实施虽有一定的复杂性,但是在电信IP网依然有较好的应用前景,在异常流量监测和过滤技术日益成熟的条件下,此项技术可以广泛地应用于保护电信重要业务和支撑系统、大型客户网络、城域网等环境中。
异常流量防范体系——电信IP网安全的重要一环
电信IP网建立有效的异常流量防范技术体系已刻不容缓。异常流量防范体系在技术层面首先应建立大网范围的异常流量监控系统,做到“早发现早处置,可追踪可取证”;其次在网络各个层面,尤其是网络边缘构建防控隔离带,御敌于国门之外;第三,因势利导,逐步引入异常流量清洗技术,从被动封堵变为主动疏导。在政策层面应首先加强国家立法,对此类严重干扰电信网络安全的行为予以严厉处罚;其次,加强与其他运营商、安全组织的合作,协同作战,共同维护互联网的安全稳定;第三,加强信息共享,建立安全预警机制,及时通报有关僵尸网络、异常流量攻击流向分析等信息。
构建完善的电信IP网络异常流量防范体系是一个长期的过程,从现阶段而言,电信运营商在技术层面重点是应用异常流量疏导技术保护核心资源,并在网络边缘构架安全隔离带。因此,电信IP网应逐步在试点的基础上,建立基于异常流量疏导技术的防范技术体系。
电信IP网建立异常流量清洗中心将成为电信运营商部署方式和发展方向。具体部署建议如下:
构建保护重要资源的流量清洗中心。结合现网业务系统的特点,IDC、DNS等环境中重要客户服务器和电信重要支撑系统服务器IP地址相对固定,即受保护的目标服务器明确,因此建议在IDC环境中部署基于网络管道清洗技术的异常流量过滤系统,对重要客户服务器提供按需安全过滤的保护;在投资允许的情况下,也可视网络管理和业务需要,在IP城域网核心出口适当部署异常流量清洗系统,在必要时保护核心网络资源。
部署黑洞路由建立安全隔离带。黑洞路由技术具有维护成本低、易于实现的特点,较适合在城域网各个层面部署,尤其适合在边缘部署对IP伪地址(IPSpoof)等有明显攻击特征的流量进行疏导过滤,在城域网范围内建立一道安全隔离带:一方面可以有效过滤攻击流量,将攻击流量尽可能在边缘丢弃,缓解异常流量给链路带来的压力,降低对大网干扰,提高网络利用率,另一方面将伪地址流进行有效过滤,可提高对攻击源的溯源和取证,为下一步采取法律手段提供依据。
异常流量清洗技术部署需要考虑路由控制、成本控制等方面因素,稍有不慎就可能造成一定的负面影响,故而在电信网络中部署异常流量疏导技术需要注意以下具体问题:
●组网路由控制,尤其需要解决好路由环路的控制问题。主要的方法有BGP策略路由、GRE隧道、VRF等控制手段;
●在IDC、DNS环境中,部署异常流量清洗设备应尽量靠近网络出口,尽量将异常流量在边缘过滤,降低对内网设备和链路的压力,提高过滤的效率;
●现有的异常流量过滤设备处理能力有限且较为昂贵,应考虑成本与效益,结合运营商转型需要,可重点考虑面向客户提供安全增值业务。
异常流量攻击是对电信IP网络构成的严峻挑战之一,对电信IP网的平稳运营构成了严重威胁,电信运营商应因势利导,从技术和政策层面构建有效的异常流量防范体系。一方面,电信运营商应利用现有的技术条件逐步建立异常流量监控系统,及时掌握异常流量的动态信息,并部署实施异常流量疏导技术,变被动封堵为主动疏导;另一方面,运营商可借助法律政策手段,对攻击者保持高压态势,同时与其他运营商、安全组织加强合作,多方联手打造安全和谐的网络环境。 |
