统一数据通道范文(精选3篇)
统一数据通道 第1篇
关键词:审计系统,维护通道,安全,统一
一、引言
目前电信运营商的移动网络、固话网络都稳步向IP化演进, 伴随着这种演进, 电信网络的运维方式也在发生着变化。传统的各电信网络如移动网、固话网、城域网以及传输承载网都有专业的维护队伍维护, 但伴随着电信网络的全IP化, 各个专业的维护界面不再清晰, 各种电信业务网络已经相互融合, 密不可分, 如相当一部分的固话已通过城域网接入, 移动网络的承载网IPRAN也是一张全IP化的网络。网络的融合提出了维护通道统一的需求。
网络运维的安全也日益为各运营商所重视, 运营商网络的维护操作主要有三类人组成, 运营商自己的运维人员、第三方集成商和设备厂商工程师, 然而, 由于现有管理手段的不完善, 帐号共享情况的存在, 以及加密、图形协议的广泛引用, 使得各类维护操作人员的日常操作存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控和操作事故无法定位等安全风险。电信运营商需要对各类运维人员的操作过程, 能做到事前防范、事中控制和事后审计。
三大电信运营商全业务竞争激烈, 网络质量、故障响应也是竞争的重要方面, 要求运维人员能7X24小时响应网络故障。但是, 目前的运营商业务网络中, 有相当一部分不支持远程维护, 无法随时随地对网络进行维护操作。
基于上面的三点需求, 提出一种基于运维审计系统的电信运营商网络统一维护通道, 实现融合、安全和方便地维护电信网络。
二、电信网络维护通道现状
目前电信运营商的传输、交换、数据和移动网络基本还是按专业来划分维护的, 各个专业网络都有各自的维护通道, 维护通道之间基本没有交集。每个专业网络不同的网络层次和不同的厂家设备也有不同的维护通道, 有的设备采用telnet方式, 有的设备采用图形网管的方式, 有的采用web方式;有的采用公网通道的方式, 有的采用私网通道的方式。维护通道的多样性不符合目前电信运营商推进的集中监控、集中维护和集中管理的集约化维护模式。
多种多样的维护通道使电信运营商对各类维护人员网络的操作缺乏有效的监管, 无法保证运维安全, 对少数有意的破坏或误操作引起的业务中断无法进行快速的故障定位。运维安全越来越被提到重要的位置, 运营商也在想各种办法提高网络维护操作的监管水平。记录网络运维的每一个操作动作, 对网络运维过程进行有效的审计, 建立基于运维审计系统的统一维护通道被认为是一种比较可行的办法。
三、基于运维审计系统的统一维护通道架构
维护通道采用防火墙加运维审计系统来实现, 系统架构如图1所示, 防火墙实现多种维护方式的安全接入, 包括远程维护接入和MPLS-VPN接入, 出于安全考虑, 远程维护接入拒绝公网方式接入, 采用更为安全的VPDN和二次拨号接入。同时通过防火墙形成一个统一的运维通道接入运维审计系统, 在运维审计系统中导入网络设备和网管系统, 通过运维审计系统来操作各种电信运营商的网络设备和网管, 实现操作过程的审计, 达到运维安全之目的。
在上述系统架构中, 运维审计系统具有核心设备的作用, 采购运维审计系统时需要考虑到下面一些问题。
3.1 license数量
电信运营商网络庞大, 一个中等本地网的城域网设备可达上万台, 当然很多接入层设备都是用图形网管来管理的, 所以采购运维审计系统时要充分估计需要导入设备的数量, 并留有一定的余地。
3.2网络接口数量
电信运营商网络比其他的企业网络要复杂许多, 有城域网、传输网、语音网、移动网及移动承载网IPRAN等各类网络, 每一种网络还采用不同的维护方式, 例如城域网有采用图形网管方式的, 也有采用telnet方式的, 所以在采购运维审计系统时, 要考虑到网络接口的情况。目前在电信运营商中采用运维审计系统来管理网络还处于起步阶段, 许多运维审计系统厂家没有考虑到运营商网络的复杂度, 审计系统设备提供的网络接口一般也不超过8个, 有网络接口不够用的风险, 所以可以考虑网络接口采用子接口的方式。绍兴电信本地网测试过3个厂家的运维审计系统, 都是采用Linux的内核, 在对接口作二次开发后, 都能实现子接口的功能, 实现单接口接入多网络。
3.3如何快速找到需要操作的网络设备
电信运营商网络设备数量很多, 在设备导入运维审计系统, 并通过运维审计系统来操作维护设备时, 如何快速找到目标设备也是一个问题。所以在采购设备时, 要考虑厂家的运维审计系统是否支持多级树形结构的设备导入, 以和目前网络设备按本地网、县公司、分支局来对设备进行归类相适应。通过telnet方式来维护的设备, 还需要支持按设备名称的关键字母来搜索的功能。
四、基于运维审计系统的统一维护通道实现的功能
4.1统一的维护通道
通过基于运维审计系统的统一通道来操作维护各类电信业务网络, 维护的接入方式不再因被维护的网络或网管的不同而不同, 运维人员只需要通过一个统一的入口登录运维审计系统, 在运维审计系统上就能找到需要操作的网络设备和网管, 然后按授权的权限进行操作即可;如果是telnet方式进行设备维护, 只需要telnet一个统一的IP地址, 就能找到维护人员被授权的设备, 再选择目标设备进行维护操作, 并可通过口令代填功能, 提供访问网络设备的自动登录, 从而简便运维操作。此统一维护通道简洁、清晰、明了, 也省却了记录各个网络设备和网管的IP地址。
4.2安全的运维模式
(1) 运维操作采用MPLS-VPN、VPDN和二次拨号接入
运维操作采用MPLS-VPN、VPDN和二次拨号接入, 拒绝公网方式的接入, 整个维护侧只有LNS提供了一个公网地址, 避免了防火墙和运维审计系统暴露在公网中被恶意攻击的风险, 保证了维护接入的安全。
(2) 身份认证
运维人员通过运维审计系统操作网络设备和网管需要进行身份认证, 针对不同的运维人群, 可以采用静态或动态口令的方式进行身份验证。
(3) 授权
每个运维人员在运维审计系统上采用最小授权, 包括所能操作的设备范围和操作命令权限两个方面。
对设备厂商工程师和第三方集成商的一些设备升级之类的操作设定严格的授权时间段, 使其只能在设定的时间段内操作, 避免一些不必要的用户投诉。
(4) 事中告警、阻断功能
支持事中告警功能, 通过配置敏感操作策略, 当运维人员操作这类命令时, 系统提供告警或阻断, 一些危险的操作能被及时中断, 也便于审计员能重点关注一些危险的操作。
(9) 审计
记录所有的操作过程, 能够审计全部操作行为, 审计结果能够以录像重放形式展现, 支持根据时间、运维命令、进度条等方式进行定位回放, 能快速定位一些误操作引起的故障。
4.3良好的扩展性
建立在图1系统架构上的基于运维审计系统的统一维护通道建成后, 可以在运维审计系统的内部接口扩展地接入各种电信业务网络和网管服务器, 这些网络和服务器的接入不涉及到维护侧统一入口的改动, 也就是说运维审计系统的外部接口和内部接口是独立的, 每一侧的改动都不影响另一侧, 这就使得系统具有良好的扩展性, 可以方便地增加需要通过统一通道维护的业务网络和网管服务器, 这些增加的业务网络或网管服务器只需在运维审计系统上对相关的操作维护人员进行授权即可。
五、结束语
统一数据通道 第2篇
哈佛结构的微处理器通常具有较高的执行效率。
哈佛结构是为了高速数据处理而采用的,因为可以同时读取指令和数据(分开存储的)。大大提高了数据吞吐率,缺点是结构复杂。对外围设备的连接与处理要求高,十分不适合外围存储器的扩展。所以早期通用CPU难以采用这种结构。
通用微机(冯)指令和数据是混合存储的,结构上简单,成本低。
单片机,由于内部集成了所需的存储器,所以采用哈佛结构也未尝不可。处理器,依托CACHE的存在,已经很好的将二者统一起来了。
统一网络简化数据中心管理 第3篇
管理压力陡然上升
在“2011中国保险IT应用高峰论坛”上,记者见到了长安责任保险股份有限公司(以下简称长安责任保险)的IT主管刘卫。刘卫是一个坚定的虚拟化和云计算的追随者和实践者,他非常看好云计算未来在保险行业的应用。但是经过几年的摸索他也认识到,“云计算可能是一个很好的概念,或者是一个很好的模式。但是在保险业,特别是私有云建设,现在如果连虚拟化都没有做,那就不要说什么云计算了。”
刘卫为什么能说出这样的话,这和他的工作经验,特别是虚拟化方面的经验离不开。
一切还要从长安责任保险的IT建设进程说起。长安责任保险于2007年9月29日经中国保险监督管理委员会批准开业,总部设在北京。作为国内第一家以责任险为特色的保险公司,长安责任保险发展迅速。
刘卫告诉记者,虽然公司发展迅猛,但是由于公司成立比较晚,规模毕竟有限,因此在IT建设方面的投入也非常有限,长安责任保险采用了英特尔至强平台的刀片集群作为后台系统。
刘卫表示,从2008年开始,伴随着长安责任保险业务正式启动,IT系统随之开始运行,长安责任保险也开始了虚拟化的尝试。“公司所有的业务,包括核心业务都在虚拟机上运行。2008年开始服务器虚拟化,2009年服务器虚拟化完成后开始存储虚拟化,不过在整个过程中间遇到了不少问题。当时存储虚拟化是‘有概念无产品’,即使有个别产品也不一定就适合我们的需求。直到2010年,我们才找到了想要的存储虚拟化解决方案。但是到2010年年底,当我们业务达到一定规模的时候,虚拟机的维护问题又开始出现了。由于人手有限,不可能长时间维护多台虚拟机,我们现在正在寻找虚拟机自动管理的相应解决办法,不过到目前为止,还没有找到比较好的解决方案。”刘卫说。
目前困扰刘卫和长安责任保险的另一个问题就是,随着虚拟机越来越多,网络管理也越来越复杂。“长安保险所有的业务都是部署在虚拟机上的。用传统的TCP/IP的方案,每一根网线可能会对应大量的虚拟机。这就使得虚拟机的IP地址很难查询,管理人员也很难知道每根网线会对应多少台虚拟机,从而在分配资源上也会出现很多相应的问题。”为此刘卫也曾考虑过采用IPv6,但是考虑到整个升级换代工程的复杂性,刘卫最终还是打消了念头。
10G网卡化繁为简
长安责任保险当前面临的情况并不是一个个案,虚拟化的服务器对于数据中心I/O网络架构的需求非常强烈,当物理主机上安装多个工作负载时,他们需要更多的网络带宽。虚拟化不仅带来了交换和计算争抢资源的问题,更大的麻烦是在管理上,当物理交换机不能与虚拟机端口一一对应时,管理边界模糊不清,管理问题接踵而至。同时,既然网络资源被多个应用所共享,如何确保关键应用能够得到足够的网络资源则变得相对复杂,也会深深影响关键应用的性能和可用性。因此,在虚拟化的过程中,充分理解虚拟化环境的网络需求,合理地规划网络容量是十分必要的。
目前,已经有业内人士指出,基于共享式的万兆以太网架构来实施服务器虚拟化和存储网络整合,能够帮助数据中心打造一个高性价比同时易于管理的基础架构。
2011年 1 月,英特尔公司宣布推出一项可简化数据中心管理的统一网络技术。这项技术可帮助数据中心通过使用英特尔万兆以太网(10GbE)服务器适配器,在单一的网络线缆上实现数据中心的通信。
对于长安责任保险所面临的问题,英特尔公司网络连接事业部和NAND解决方案事业部业务发展经理齐炜表示,根据英特尔所提出的统一网络技术,长安责任保险的每台物理服务器上可运行4个虚拟机,依托英特尔万兆以太网网卡或网络芯片所具有的VMDQ (虚拟机设备队列)或 SR-IOV (SR-IOV)的多队列特性,实现网络资源的管理,每个队列(MAC/IP) 对应一个虚拟机 。
VMDQ 或 SR-IOV都是属于英特尔连接虚拟化技术(Intel Virtualization Technology for Connectivity,VT-c)的一部分。据了解,VT-c能够减少虚拟化服务器中的I/O瓶颈,并提高性能、灵活性和虚拟机的可扩展性。 它采用模拟模式或直接访问模式,能够降低虚拟化环境中的I/O额外开销,从而提高整体系统性能。 它可以优化CPU使用率、降低系统等待时间并提高I/O吞吐量。在模拟模式下,VMDQ能够卸载数据排序作业,并在VMM中从软件虚拟交换机向英特尔以太网10 G控制器进行复制,从而优化网络性能。在直接访问模式下,SR-IOV能够为全部虚拟机提供直接虚拟机连接和数据保护功能。 它可使数据绕过软件虚拟交换机,并提供近原生性能,并直接向个别虚拟机分配物理或虚拟I/O端口。