DCN网络融合与组网安全提升探讨

(整期优先)网络出版时间:2024-08-10
/ 2

DCN网络融合与组网安全提升探讨

林伟炬 何境宇 黄夏菱

中国移动通信集团广东有限公司 邮编:510623

【文章摘要】:由于项目建设历史、网络分管部门不同等原因,在各大电信运营商的省级网络中,往往存在多个内部DCN网络,每个DCN网架构相似,从省中心到市、县公司的末端节点都是相互独立组网,仅在省中心通过防火墙互联受控互通。DCN网承载BMOS域IT业务,随着业务的发展、网络的复杂性提升,DCN网分管和运维难度的问题日益凸显,如分别有不同的对外出口,部署不同的安全防护体系,功能有冗余,各自扩容建设成本高,基础资源利用率低,维护不统一,运维效率不够高效等。本文结合现网实践经验,探讨了DCN网融合演进的方案,并就如何进一步提升融合DCN网的组网安全方面进行探讨,在实施融合和组网安全中找到平衡点,以更安全更可靠更高效更节省成本地支撑电信运营商内部IT业务的发展。

【关键词】:DCN,融合,安全,第三路由

由于项目建设历史、网络分管部门不同等原因,在各大电信运营商的省级网络中,往往存在多个相互封闭的内部IT支撑网络,也叫DCN网(Data Communication Network),每个DCN网架构相似,从省中心到市、县公司的末端节点都是相互独立组网,仅在省中心通过防火墙互联受控互通。本文旨在对DCN网融合思路及如何进一步提升融合DCN网的组网安全方面进行探讨,以更稳定高效地支撑电信运营商内部IT业务的发展。

DCN网承载的业务一般包括B域(业务域,如BOSS计费、电子渠道等各类营帐系统),M域(管理域,如OA、ERP等企业管理系统),O域(运营域,如4A、综合资源、告警平台等网管支撑系统),S域(增值域,如大数据、视频云等平台增值业务)业务。不同的省份根据承载的业务,有的划分为OA网、BOSS网、网管网,有的把OA和BOSS合并为MDCN网,有的把网管网又拆分为通用网管网和传输网管网。随着业务的发展、网络的复杂性提升,DCN网分管和运维难度的问题日益凸显,如各网各自为政,有不同的对外出口,分别部署安全防护体系,功能有冗余;各自扩容,设备种类繁多,建设成本高、基础资源利用率低;维护不统一,人力分散浪费,网络智能化能力参差不齐,运维效率不够高效。

一、DCN网络融合的方式

近年来各省也在思考和实践对DCN网的融合,因为DCN网和IP专网(IP专用承载网的简称,主要承载话音、企业内部通信以及高端VPN客户等高价值电信业务)的网络架构相似,都是基于MPLS VPN技术的分层网络,所以DCN融合演进一般有两种方式:

1、与IP专网深度融合

各DCN网的接入AR可以作为CE接入到IP专网AR,或者利旧部分DCN网较新的AR作为IP专网的专用AR,汇聚各DCN网的CE业务:

图1

该组网方式的优点是:

(1)集中规划,集中运维,节省建设成本和传输资源。

(2)符合集团公司内部支撑系统原则上通过IP专网进行承载的预期。

(3)省内DCN网业务与IP专网业务互访较融合前扁平化。

缺点是:

(1)需要对IP专网进行带宽扩容,网络割接变得更频繁,设备厂商繁多,可能存在设备兼容性的问题,会对IP专网的运行稳定性造成影响,出故障业务影响面较大。

(2)需要向运营商集团公司申请并配合进行局数据调整,审批环节增多,可能会降低省内运维效率。

(3)IP专网原则上VPN之间不能互访,新建VPN和VPN间互访均会受到集团公司相关规范约束,可能还需配置嵌套VPN,或者改在业务系统内部实现VPN互通,所以既会降低省内业务的灵活性,也会增加IP专网的复杂性。

(4)IPv4地址资源紧张,原来各DCN网的使用地址段可能存在分配不规范、交叉、分散和存在冲突等问题,需进行聚合整改,不容易实施。

(5)网管网原先独立于IP专网借助DCN网进行带外管理,目前的融合改造会造成网管网作为IP专网的一种带内VPN业务。

2、各DCN网先融合,再整体作为IP专网省内延伸

各DCN网共建一个省网,可以某张较新的DCN网为基础,也可以新建融合网络,省网采用“核心层+汇聚层”(BR+AR)的架构,核心层集中部署,汇聚层在全省各个地市分别部署,不同域业务在AR上建不同VPN接入。本地网采用“核心层+汇聚层+接入层”的形式,各地市营业厅、办公、生产和网管网系统根据安全域进行划分CE,独立汇聚各域业务接入省网。省网通过集中出口CE接入到IP专网,实现与IP专网的系统互访。

图2

该方式的优点是:

(1)实现省内各DCN网的融合,节省建设成本。

(2)省内业务互访只需省内审批,运维效率较高,易于管理。

(3)不会增加IP专网的复杂性和不确定性。

    缺点是:

(1)对于DCN网省内业务与IP专网业务互访,路由跳数较多,不够扁平化。

(2)网管和BMS域业务流量在省网虽然逻辑隔离,但物理共路,对传输的可靠性要求高。

二、DCN网络融合组网安全提升

以上两种DCN网融合方案各有优劣,不管采取哪种方案,融合后承载全域IT业务,尽管在实际组网中各个网络层次,尤其是核心层和汇聚层均已采用了口字型组网的冗余设计和备份,使得在任何设备或链路发生故障时,都可以通过备份设备或链路继续保持网络的正常运行。但中间传输可能存在保护级别不够高的情况,不能可靠地保证端到端严格不同路由,存在主备链路双断的风险,例如有些DCN网旧有局点的部署,跟新建传输系统的设计布局不同,可能会存在局部同传输系统或同光缆的情况。为此我们需要进一步采取措施提升融合DCN网的组网安全,减少对传输可靠性的依赖。

1、网管域独立组网

对于与IP专网深度融合的方案,网管子域独立组网,承担各专业生产网元的带外网管,能更安全地保障生产网元的基础通信服务,以实现管理流和业务流的物理分离,避免发生业务和网管全断的低概率事件。

图3

2、第三路由设计

对于作为IP专网省内延伸的融合网络方案,为了降低网管和BMS域业务在融合省网物理共路的安全风险,我们可以考虑在融合DCN网内作第三路由的备份补充。在确保不与AR主备链路同路由的情况下,可通过其它地市的异对AR单边开通第三路由互联应急疏导。若设备端口充足,第三路由链路作热备链路,对通链路及路由协议,调高链路COST值,使主备链路传输双断发生时业务能自动切换到第三路由链路。若设备端口不充足,第三路由作冷备链路,尾纤预留放到设备端口位置,并做好标签。如下图虚线所示。

图4

如果融合DCN省网核心BR不止一对节点,在确保不与AR主备链路同路由的情况下,也可以通过AR单边开通互联链路至跨片区BR来应急疏导。若设备端口充足,第三路由链路作热备链路,对通链路及路由协议,调高链路COST值,使原AR-BR传输双断发生时业务能自动切换到第三路由链路至跨片区核心BR来疏导,如下图虚线所示。

图5

以上第三路由链路可结合现网实际利用率来配备。

对于DCN本地网,我们重点关注核心汇聚层设备的安全,本地网的重要设备(例如核心CE)如果是部署在同机房,除了出局传输保护等级不够可能发生双断外,同电源隐患,或发生自然灾害、事故灾难等突发事件导致机楼受损的极端情况下,也可能会使得同节点重要设备业务双平面受损。

我们有三种做第三路由的方式,一是对本地网同机房的核心CE下带的各汇聚机楼,通过传输PTN网络连通起来,对连通集中后的机楼临时放通备用链路至省AR,当核心CE双平面业务受损时,通过连通集中后的机楼应急链路,上行至省网AR出口,从而绕过业务受损的本地网核心节点。

图6

如上图所示,下带业务防火墙调通之间的传输链路及到AR链路,需准备本地配通各汇聚点间的IGP路由协议等配置,需省AR与连通集中网元配通,省AR需修改本地网路由指向。可提前根据业务的实际情况配置好策略,应急时打开端口调用策略即可,如红色虚线条所示。

二是对本地网核心汇聚同机房的某类重要业务,传输接入网元已通过PTN传输环连通,可通过某个传输网元跳好备用链路至省AR,绕过同机房节点。

图7

如上图所示,例如基站网管业务,网管网CE、基站网管防火墙都在同机房,防火墙下带的传输网元在相同的PTN环里,可提前跳好备用链路至省AR,当出现上层同节点业务受损时,地市公司通知省网AR侧配合修改路由,同时机房驻点拔插替换尾纤,启用备用链路,便可使业务绕过故障节点,保障业务正常运行。

三是如果省网AR闲置端口不多,可以考虑把第三路由做到本地网异机楼节点CE,通过绕到异节点CE再上到AR。

图8

如上图所示,对同机楼CE下带的非同机楼汇聚设备开通传输链路到异机楼的CE,提前配置打通AR-CE的子接口或物理口,对通链路及路由协议,可提前根据业务的实际情况配置好策略,应急时打开端口调用策略即可,如红色虚线条所示。

与IP专网深度融合的方案,如果因投资有限不单独建网管网,也可用上述第三路由的设计方案来提升组网安全。

三、总结

本文探讨了两种DCN网融合演进的方案,一种是与IP专网深度融合,另一种是作为IP专网的省内延伸的融合,并就两种方案分别从组网安全的角度评估,提出了保持独立网管网、第三路由备份等安全加固举措,在实施融合和组网安全中找到平衡点,才能实现DCN融合网络更安全、更可靠、更高效、更节省成本地承载IT全域业务的目标。

作者简介:林伟炬,1983年8月 男 广东省广州市 汉 硕士 研究方向:通信网络运维
黄夏菱,1978年6月 男 广东省惠来县 汉 硕士 研究方向:通信与信息系统
何境宇,1984年10月 男 广东省廉江市 汉 硕士 研究方向:互联网业务维护