【IT168 信息化】
在电信行业信息化的过程中,建立了大量的企业级应用系统,在企业的生产、经营、管理过程中发挥着不可或缺的作用,这些系统相对独立又相互依赖,存在大量的信息交互需求。由于电信企业地域分布很广,信息系统多采用分布式架构,对广域IP通信需求比较迫切,近二十年间,各类广域通信网络纷纷建立,为解决该问题进行了种种有益的尝试。
DCN网络是电信企业为解决广域通信需求而建立的最为庞大的一张网络,承载了电信企业2/3以上的业务系统, 由于多网并存带来的技术、业务和管理难度逐步被行业所认同,通过DCN网络去整合其它广域网络,进行统一承载成为电信企业信息化过程的必由之路。
DCN网络将作为唯一的业务支撑系统的承载网络,所有的业务支撑系统都将使用DCN网络来完成通信功能,成为统一的网络平台和数据传输控制平台。通过加强DCN对其他业务系统的支撑管理能力,可以有效提高企业的整体服务水平和竞争实力。
DCN整合,成为电信企业信息化进程中一次不可回避的大手术。
经年累月的网络建设,纵横交织的网络互联
电信企业整体的广域网建设主要存在以下问题,这也是目前DCN整合所要面对的网络现状。
1、 网络建设前瞻性不强,缺乏承载目标整体统一规划,广域网随应用而生,随着企业级应用的不断建设,不断形成大型的广域网络,最终形成多网并存,多网互联的复杂网络环境。这种业务驱动的建设模式在初期的建设效率和建设效益都是非常明显的,但随着企业信息化程度的不断提高,集中系统建设的提速, 弊病明显,不仅MBOSS各类系统有单独的承载网络,一些大的应用也有独立的承载网络,在一个企业内部,存在5张以上的广域网络不是什么稀罕的情形。如在部分省公司,网络管理、综合客服、计费帐务、财务管理、网上办公等应用都有独立的承载网络。
2、 承载网络功能不强,性能不足,互相隔离,互相依赖。每个网络都具备单独的承载客体,采用不同的网络技术,满足不同的承载需求,网络多而不强。随着电信企业信息化的深入,以破除“信息孤岛”,实现信息共享和信息交换为目标的阶段已经基本过去,企业体现出整体的“信息依赖”,为实现一个企业的业务目标,各应用系统被组装成有机的链条,每个系统解决其中的部分功能,在应用系统的设计中必须更多考虑与其他系统的接口和交互。如在传统业务实现上,在服务开通、服务保障和服务计费的标准E-TOM流程中,要多个系统和多个网络进行交互,体现在网络上,需要不同网络之间的协同作用。通过分离网络结构实现紧密业务互访的网络模式,在现实操作中表现为非常复杂的网络互联。
3、 网络结构高度复杂,采用了不同的网络设备、不同连接技术,形成“牵一发动全身”的状况。由于网络在核心层、汇聚层面、接入层面被连接起来,不同的网络归属不同的管理和使用部门,由不同技术水平的人去管理维护,随着时间推移,人员变化,要想把整体的网络情况调查清楚是一件非常困难的事情,我们曾经试图找专门的公司去做这件事情,局方和实施公司为此大概花了1年多的时间。
4、 网络覆盖重叠和缺漏并存,对于网络接入来说,各个网络的覆盖范围差别很大,城区交叉覆盖情况多见,县乡覆盖缺漏居多,造成资源浪费和能力不足并存,也形成一些安全隐患。
5、 整体可靠性降低,故障定位,故障协调处理时间长。由于广域网络的复杂互联,设备种类繁多,配置管理方式不同,涉及人员多,界面分割不清,容易互相报障,互相等待,容易影响障碍的定位和判断,处理障碍时间长。同时,不同时间建造的网络、不同厂家的设备、不合理的网络连接、复杂的网络路由模式,使总体的网络环境多变,网络可靠性难以保障。
6、 网络安全环境无法控制,主要分为三种情况:1、基于企业内部信息系统存在紧密的联系,系统互访的需求很多,但MPLS-VPN的广泛应用,使各系统被相对割离开,特别是在一个系统中的部分用户授权去访问另一个系统时,在网络上使两个应用系统互联互通会很不合理,在实际工作中,会存在各种方式去解决这个问题,比如双网卡、单网卡双IP、交换机双上联,路由方式联通等。2、同互联网的连接,在工作中对互联网的依赖程度越来越高,但解决方式却很不相同,在网络中存在大量的互联网出入口,进一步放大了网络的脆弱性,即使是通过VPN方式进行解决也无法改变出入口过多导致的威胁状况。3、同extranet的连接,业务合作伙伴的大量存在,与内部系统的访问渠道比较复杂,加剧了网络安全的复杂状况。为提高安全程度,使用了大量的安全设备,而安全设备的管理使用相对复杂,也对网络管理提出了挑战。
7、 网络管理面临挑战,应用分属不同部门管理,存在行政分割;网络使用不同的设备,存在技术分割;不同的广域网络承载不同的应用,存在业务分割;在管理一个网络时可能对其它网络的应用产生影响,在互相进行配置管理时,会交叉产生障碍,存在管理分割,种种限制提高了管理的难度。
8、 网络异构使维保和备件多样化,加大了售后服务的成本。信息化网络承载着整体的信息化应用,具有显著的全局重要性,一旦存在问题,影响巨大。而保障庞大网络正常运转的备件和维保服务必须到位,客观上成本较高。在实践中,即使是低端的光猫和协转等设备也必须统一进行考虑。
9、 边缘设备、边缘线路当作核心设备、核心带宽使用。由于设备接入的时间顺序不同,接入地点光缆线路资源会制约网络拓扑,特别是方案设计时,很多时候以便利性为出发点,使得在设备和线路的串接中,存在核心设备接入到低端设备、低端设备进行流量汇聚的本末倒置的情况。接入端为一系列的高性能设备,带宽为千兆级别,而在接入点为接入层设备,如华为2403级别的,带宽为百兆级别,而且,在该点同时会汇聚多个应用。
10、 网络协议混杂,IP地址管理困难,接入控制难度大,网络迂回,网络风暴大量存在。
11、 无法有效制定网络演进思路,正是由于多张网络纵横互联,采用了多种设备和技术,同时必须保证业务系统的持续性,网络规划要想落地,现实条件的制约确实不小,而制定整体的承载网络规划,几乎是不可能的。
整合路径分析
为实现DCN整合目标,应对现有的广域网络区别对待,详尽分析,大致路径如下:
1、 进行信息化基础情况调研,需要局方、集成公司、维保公司密切配合,找到第一手资料,为提高准确程度,必须由现场管理人员签字确认。
2、 对DCN网络进行安全加固和网络系统优化,DCN网络作为整合的主体,必须具备整合其它网络的能力,在整体网络资源规划的前提下,需要进行网络设备的升级改造和链路的测算扩容等工作。同时,DCN网络承载了全部的信息化应用,一旦发生问题,不仅会对信息化全局造成影响,还直接影响了企业的生产、经营、管理,网络安全成为信息化安全的第一要务,特别是接入一些流动性强、个人使用程度高的终端,网络安全建设必须先行。
3、 针对不同的广域网情况,制定不同的整合方案。对承载业务相对单一、设备较老的网络,将现有设备退网,直接将应用割接到DCN上;对部分网络中功能较强的设备,将部分设备降级使用,将网络进行分拆合并;对功能相对完整的广域网络,将网络进行合并优化,直接成为DCN网络的一部分;针对部分网络覆盖范围广,网络相对完善,同其他网络交叉相对少,采取直接融入的方式进行解决。
整合案例分析
网络整合是一个复杂的系统工程,稍有不慎会引起全局的故障和整体的系统失效,下面根据实际的网络整合实践,以某电信企业OA广域网络整合到DCN的成功案例进行介绍分析。
3.1、 业务分析与流量测算
3.1.1、 DCN网络现状
全省共设置了2个省中心节点,若干个地市中心节点。省中心路由器与地市中心路由器之间呈复式双星形结构,采用MPLS-VPN技术,省核心两台P路由器分别通过一条155M POS电路与地市的两台PE路由器相连,省核心和地市两台设备之间使用链路互连,实现主备使用和负荷分担。
DCN已建立了统一的互联网出口,集中部署了防火墙、IPS、安全网关等安全设备,内部已建立起比较完善的安全体系,DCN省市中心的路由器和交换机之间已设置防火墙,以保护DCN内部网络的安全。
在县局和端局节点各设置二层交换机,通过FE或4*2M电路与地市核心的华为交换机相连,部分节点通过光缆与地市核心相连,实现DCN网络的覆盖。
DCN目前承载的业务系统覆盖了企业的MBOSS系统,另外其它网络无法覆盖和连接的部分均由DCN网络承担,接入系统近50个,从网络的功能、性能、结构、覆盖、安全、可靠、可管理等角度来看,DCN网络具备了整合其它网络的基础条件。
3.1.2、 OA网络现状
OA系统目前覆盖到省公司、市分公司和县分公司的行政部门和部分生产部门,现有用户4000余人。广域网组织通过专用IPSEC VPN网络实现与地市分公司和相关省公司使用部门OA终端联接,同时与MSS系统的ERP系统、资金系统等进行互联,为实现与与集团互联,通过安装防火墙系统实现与DCN系统的接入,从而实现了OA系统与集团DCN系统相连接,完成公文流转等功能,同时为实现部分企业经营数据的获取和展现,与综合客服的网络进行互联互通,这种复杂情形正如本文所描述的一样,同时,为了访问互联网,在系统中有众多的internet出入口,对公网的访问通过各节点自有出口实现,网络环境复杂,不便于管理,有较多安全隐患。在系统中主要存在三种业务流量:访问集团的流量、访问公网的流量,访问其它系统的流量。
互连主要有4种方式:
1)、与集团互访,OA系统通过DCN网的VPN访问集团。
2)、采用IPSEC互访的部门和市县分公司。
3)、与ERP等系统互访,通过光纤与远端系统系统互连。
4)、直连业务系统,通过光纤将其它系统接入,而其它系统的承载方式和组网模式对本系统而言,都是不可控和不确定的。为应对复杂的网络结构,OA网没有部署动态路由协议,与各个系统之间均使用静态路由进行管理。
3.1.3、 DCN骨干网带宽需求分析
DCN网省中心至外网的链路为2条GE,至集团公司也是2条GE链路。各地市至省中心为2条155M链路,约300M左右。目前地市至省中心的流量利用率不高,不到10%的流量。
随着DCN网上的系统不断增加,特别是OA系统的internet流量很大,对DCN网的带宽提出了越来越高的要求,必须采取OA互联网流量控制措施。
3.1.4、 DCN接入网带宽需求分析
目前DCN接入节点交换机至市DCN中心节点交换机之间的传输电路分为两种:FE电路和4×2M电路,基本满足目前接入业务系统的带宽需求,将各县OA交换机接入至DCN后,测算流量将大幅增加,4×2M电路将不能满足需求,需要整体改造为FE电路。
3.2、 制定整合目标和整合方案
将各地市及省中心业务部门的OA系统整体接入到DCN,范围包括省、市、县的全部接入点,大致涉及到全部的OA用户,通过DCN提供的MPLS-VPN代替原来的IPSecVPN,原有OA网络设备全部退网。地市OA系统的终端通过DCN网来访问省中心OA服务器,县局OA系统割接到县局DCN交换机,其业务通过DCN网来承载。
实现DCN internet出口的统一承载,OA系统和省中心OA系统的终端通过DCN网的统一出口访问互联网,原有的互联网出入口全部关闭。
通过DCN网实现与集团公司的OA、统一邮件访问,原有连接方式关闭。
通过DCN网完成同其它系统的连接,原有同其它系统的直接连接全部切断。
要确保OA网络的流量、控制internet的流量,使正常的OA访问不会受到影响,同时对internet的流量进行有效甄别,使不合法流量不能通过。
从上述目标来看,DCN整合的力度是很大的,基本没有留下后遗症,简单来讲,目标就是实现一张网承载,OA承载网络将退出历史舞台。
3.3、 整合实施与风险防范
3.3.1、 准备工作
组织管理准备:成立割接小组,割接小组由工程管理部门、技术部门、业务测试部门、相关设备厂商、系统集成商、工程实施厂商等人员组成。
环境设施准备:包括布放节点互联的尾纤、网线、光电模块或转换器,并确保链路设备导通测试。
核心设备技术准备:备份各节点数据、路由表项、ARP表项,配置DCN网数据,范围包括省网和地市节点VPN实例配置,实现与集团OA的跨域对接。各节点OA系统根据所使用的IP地址段,在割接中配置路由指向DCN网。
业务准备:按照枚举的方法,对每个承载系统制定翔实的测试方案,进行整合后的“黑盒子”测试。
表一、一级测试目录
序号 测试项目 操作及预期
1 省到地市链路连通性测试 应无丢包现象
2 各节点ping省公司服务器 应该可以ping通,并能正常访问相关资源
3 各节点ping集团公司服务器 应该可以ping通,并能正常访问相关资源
4 各节点ping其它互联系统地址 应该可以ping通,并能采集相应数据
5 互联网联通性测试 可以正常访问
3.3.2、 整合实施
1、完成省中心整合,采用原先地址规划,减少对现有网络的影响,同时按照DCN技术规范标准定义RD/RT:在省中心及各地市创建VPN实例MSS,创建三层接口与VPN实例绑定,在MBGP中配置引入直连路由、静态路由。增加DCN核心节点与OA省中心的互连链路,在DCN与OA互连链路之间运行VRRP。在两台DCN核心设备上配置去OA整网网段的VPN路由,下一跳为OA侧的浮动地址,同时不中断原来的IPSEC VPN。
2、逐步完成地市中心整合,同步开始县分公司整合。
(1)在地市利用OA核心交换机CISCO 3550进行测试,双链路接入DCN,一条链路属于OA VPN,一条链路属于INTERNET VPN。同时检查测试主机能否ping通省公司服务器和集团服务器,能否访问公网。
(2)如果测试成功,开始地市割接。
例如:割接A市,增加A市OA与A市DCN的互连链路(增加OA系统中C3550交换机与DCN网S6503交换机的互连链路),并配置互连地址,S3550上业务网段以静态路由的方式指向DCN网接口,新增加的静态路由优先级设置要比原来的优先级大。此时A市OA有两条通路访问省网及集团,在OA省网设备上删除原来A市网段的路由配置,这样A市OA访问省网或者集团时将走DCN网。
(3)按照此方法逐一将其它地市割接入DCN网,始终保持平滑割接。本步骤完成后OA系统即接入DCN网,需要断开原有IPSEC VPN,同时访问集团的业务仍然通过原有链路实现。
1、充分做好测试工作,可以大大降低割接的风险,可以组织提前测试和持续测试。
2、统一出口、集团互通等业务可以先行配置并测试。
3、多路由方式,整合过程中维持两网并存状态,市分公司的整合可以从容进行,也可以维持省市县的并行操作,降低实施风险。
4、出现问题后,以解决问题为主。地市实施完成后,进行业务观察和业务测试,如果与省公司部分业务不通,立刻检查相关配置是否正确。
5、在极端的情况下,采用设备及链路倒回的技术方案。
DCN整合是对多年来历史积累问题的一次总体清算,也是对现有承载网络和信息化系统的彻底梳理,涉及到大量的设备链路调整和数据配置,其对电信企业的改变将是革命性的,也成为信息化建设的重要里程碑。在这条信息化建设的必由之路上,本着能起到抛砖引玉的作用,让我们一同探索DCN整合的最优路径,推动信息化建设走向新的高度。