導(dǎo)語：IAD網(wǎng)絡(luò)管理設(shè)計論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要iad(IntegratedAccessDevice綜合接入設(shè)備)作為NGN軟交換中一個重要的用戶層終端設(shè)備，以其分組型接入、寬帶化接入、綜合性接入等特點，成為軟交換的一種主要的終端應(yīng)用形式而得到廠商和運營商的關(guān)注。IAD作為用戶級設(shè)備，具有數(shù)量大、分布廣、種類多的特點，如何對其進行統(tǒng)一管理是當前接入網(wǎng)研究的一個重要研究方向。此外，IAD位于用戶側(cè)，其接入安全性的問題也需要引起足夠的關(guān)注。本文就IAD統(tǒng)一管理系統(tǒng)的設(shè)計和如何解決IAD接入安全問題提出了一些觀點，并給出實現(xiàn)方案。

關(guān)鍵詞下一代網(wǎng)絡(luò)、統(tǒng)一管理系統(tǒng)、IAD、接入安全

引言

NGN充分利用了新技術(shù)在網(wǎng)絡(luò)融合、業(yè)務(wù)融合、靈活計費以及快速生成業(yè)務(wù)方面的顯著優(yōu)勢，將快速提高運營商的業(yè)務(wù)開展和網(wǎng)絡(luò)盈利能力。其重要特征就是分組化、開放式、高帶寬、多種媒體流統(tǒng)一承載，基于分組模式，是網(wǎng)絡(luò)層分組模式與傳送層電路模式的結(jié)合。NGN實現(xiàn)了業(yè)務(wù)功能與承載技術(shù)的分離，這樣就使業(yè)務(wù)應(yīng)用的開發(fā)、實施更加便利，完全改變了現(xiàn)有在智能網(wǎng)上開發(fā)業(yè)務(wù)的方式，利用寬帶IP網(wǎng)統(tǒng)一承載話音業(yè)務(wù)、數(shù)據(jù)業(yè)務(wù)、視頻業(yè)務(wù)，為用戶提供了嶄新的統(tǒng)一業(yè)務(wù)平臺，使網(wǎng)絡(luò)能夠和電子商務(wù)、教育、醫(yī)療、娛樂、休閑、自動控制等應(yīng)用結(jié)合起來。同時，提高了網(wǎng)絡(luò)資源的利用率、增加了業(yè)務(wù)收入、降低了網(wǎng)絡(luò)建設(shè)和運營成本，隨著NGN核心技術(shù)的不斷完善、成熟和成本的降低。在網(wǎng)絡(luò)融合、業(yè)務(wù)融合、靈活計費以及快速生成業(yè)務(wù)方面的優(yōu)勢將逐步得以體現(xiàn)，將顯著提高電信運營商的業(yè)務(wù)開展能力和網(wǎng)絡(luò)盈利能力。NGN讓電信運營商可以更靈活地為大量具有不同需求的用戶提供有質(zhì)量保證的電信業(yè)務(wù)。隨著NGN的不斷發(fā)展和國內(nèi)NGN網(wǎng)的逐步建立，接入網(wǎng)在向綜合化方向發(fā)展的同時，也需要具有向基于分組的統(tǒng)一網(wǎng)絡(luò)管理的能力。

1系統(tǒng)設(shè)計的目的及結(jié)構(gòu)實現(xiàn)

IAD作為以軟交換為核心的NGN的主要接入層設(shè)備，它將用戶的數(shù)據(jù)、語音及視頻等應(yīng)用需求接入到分組交換網(wǎng)絡(luò)中，在分組交換網(wǎng)絡(luò)中完成相應(yīng)的功能，為運營商提供理想的分組語音解決方案，受到了全球網(wǎng)絡(luò)運營商和設(shè)備供應(yīng)商的高度重視。作為用戶端設(shè)備的IAD在網(wǎng)絡(luò)中具有數(shù)量大、分布廣和基于動態(tài)私網(wǎng)IP的特點，如何對這種用戶側(cè)的設(shè)備實現(xiàn)有效的管理是未來各大運營商將要面對的問題。目前，幾乎所有的IAD設(shè)備制造廠家都能實現(xiàn)對自己廠家產(chǎn)品的有效管理，還有幾個廠家聯(lián)合提出IADMS（綜合接入終端管理系統(tǒng)）規(guī)范草案，著重研究了如何對進入NGN的IAD實現(xiàn)跨廠商、跨品牌“即插即用”的統(tǒng)一網(wǎng)絡(luò)管理。

IADMS的目的是要實現(xiàn)集中管理網(wǎng)絡(luò)中的IAD的各種狀態(tài)的有效管理，圖1所示是網(wǎng)絡(luò)體系結(jié)構(gòu)，從圖1中可以看出，IADMS只是NGN網(wǎng)絡(luò)管理系統(tǒng)(NMS)中網(wǎng)元管理系統(tǒng)(EMS)的一個邏輯網(wǎng)元，如果直接采用軟交換網(wǎng)元管理系統(tǒng)對全網(wǎng)的IAD進行集中管理，勢必會給軟交換網(wǎng)元管理系統(tǒng)造成壓力并使其暴露在用戶側(cè)，因此采用專門的管理系統(tǒng)來對IAD進行管理是必要的，并引入邏輯網(wǎng)元的實現(xiàn)方法進行管理功能的會聚。

設(shè)計IADMS總體方案的總體思路，是使接入到網(wǎng)絡(luò)的不同品牌和型號的IAD都能得到NMS的有效管理，同時還能提高（圖1網(wǎng)絡(luò)體系結(jié)構(gòu)圖、圖2系統(tǒng)體系結(jié)構(gòu)）系統(tǒng)體系結(jié)構(gòu)管理及維護人員的工作效率，提升運營商的管理能力和盈利能力。將IAD的統(tǒng)一網(wǎng)絡(luò)管理從NGN大網(wǎng)管中獨立出來，成為軟交換中的二級網(wǎng)管。IADMS的目標是對所管轄的IAD進行配置、升級、重啟等工作，并且對IAD的性能進行統(tǒng)計(包括端口故障率、可用率，包的抖動、時延等)，同時還具有告警監(jiān)測和安全防范的功能。

整個系統(tǒng)由客戶端層、服務(wù)器層和適配層三層組成，其中客戶端負責用圖形化方式的人機接口顯示各種網(wǎng)絡(luò)管理信息，響應(yīng)網(wǎng)管人員提交的各種管理操作并將請求提交到服務(wù)器層；服務(wù)器層負責具體業(yè)務(wù)的邏輯實現(xiàn)，完成客戶端提交的管理操作，將對設(shè)備的操作提交到適配層；適配層將服務(wù)器層的管理請求轉(zhuǎn)換為設(shè)備相關(guān)的命令下發(fā)到相應(yīng)的控制進程。此外，設(shè)備主動上報的信息到達適配層，適配層將上報的信息轉(zhuǎn)換為統(tǒng)一網(wǎng)管系統(tǒng)的標準格式，然后調(diào)用服務(wù)器層中對象的函數(shù)，服務(wù)器層完成上報的信息的邏輯處理，并向

所有的客戶端發(fā)送消息?？蛻舳私邮盏较⒅螅⑿陆缑骘@示，完成一個由設(shè)備上報驅(qū)動的自下而上的流程：通過將適配層從服務(wù)器層獨立出來，完成不同設(shè)備的管理命令到統(tǒng)一的信息模型的映射。此外，服務(wù)器層和客戶端層之問的接口可以根據(jù)運營商入網(wǎng)的要求有選擇地對外開放。這樣，服務(wù)器層自然成為上層網(wǎng)管的，從而方便地對上層網(wǎng)絡(luò)級管理系統(tǒng)提供CORBA接口，實現(xiàn)網(wǎng)絡(luò)的分級管理，滿足運營商的要求。系統(tǒng)體系結(jié)構(gòu)如圖2所示。

系統(tǒng)圍繞實時、可靠、高效、精確、方便管理和易于維護的思想來進行設(shè)計，將需要監(jiān)測的告警信息和數(shù)據(jù)信息以最快的速度傳送到管理中心的終端設(shè)備上，并根據(jù)設(shè)備情況完成遠程控制功能，以便維護人員及時發(fā)現(xiàn)異常情況，并采取相應(yīng)的措施；還可根據(jù)一段時問內(nèi)數(shù)據(jù)參量的統(tǒng)計情況，分析出設(shè)備的使用和可用狀況，盡早發(fā)現(xiàn)設(shè)備隱患，預(yù)防通信故障，增強網(wǎng)絡(luò)效益。具體的特征有：采用先進的分布式計算；IS0分層思想，中間件的軟件技術(shù)；基于TMN標準的要求及管理功能規(guī)范；滿足信息產(chǎn)業(yè)部相關(guān)規(guī)范對系統(tǒng)的要求。

按照信息產(chǎn)業(yè)部和中國網(wǎng)絡(luò)通信集團(CNC)相關(guān)國家及企業(yè)標準，以及ITU—T的TMN標準規(guī)范，管理系統(tǒng)主要用于對以軟交換為核心的下一代網(wǎng)絡(luò)的綜合終端接入設(shè)備進行自動監(jiān)控，其管理對象是綜合終端接入設(shè)備。系統(tǒng)主要有五個功能模塊：配置管理、性能管理、故障管理、安全管理和系統(tǒng)管理，其軟件結(jié)構(gòu)如圖3所示。

具體功能如下：

·系統(tǒng)管理：在系統(tǒng)管理模塊中主要有數(shù)據(jù)庫管理、時鐘校驗、軟件升級管理和系統(tǒng)資源配置管理等管理內(nèi)容。

·配置管理：通過SNMP可以調(diào)用軟交換、信令網(wǎng)關(guān)和媒體網(wǎng)關(guān)設(shè)備上的MIB庫并進行設(shè)置，從而實現(xiàn)對設(shè)備上相應(yīng)功能模塊的配置。軟交換、信令網(wǎng)關(guān)和媒體網(wǎng)關(guān)遠程配置管理可以通過Telnet來實現(xiàn)。軟交換、信令網(wǎng)關(guān)和媒體網(wǎng)關(guān)應(yīng)具有Telnet協(xié)議接口和口令等安全設(shè)施。配置管理包括IAD設(shè)備樹管理、基本配置管理和軟交換配置管理。

·性能管理：通過對IAD的監(jiān)控和輪詢，獲取有關(guān)網(wǎng)絡(luò)以及終端接入設(shè)備運行的信息及統(tǒng)計數(shù)據(jù)，并能在所收集數(shù)據(jù)的基礎(chǔ)上，提供網(wǎng)絡(luò)以及終端接入設(shè)備的性能統(tǒng)計。性能管理包括端口性能管理、通道性能管理、協(xié)議性能管理和呼叫性能管理。

·故障管理：IAD通過SNMP的trap機制向IADMS主動報告設(shè)備啟動、狀態(tài)變化等緊急事件。在告警管理方面可以提供對實時告警的監(jiān)視呈現(xiàn)，對歷史告警的匯總分析，對告警信息的詳細描述等。故障管理包括實時告警采集和處理、多種方式呈現(xiàn)并處理告警、告警查詢分析、告警設(shè)置和派修單

等。(可以將告警分成了各種級別，比如一般告警、重要告警、緊急告警，一般告警可以用黃顏色的告警條表示，重要告警可以用紅顏色的告警條表示，而緊急告警可以要有警示聲音，也就是急促的短鳴的聲音提示有緊急告警)

·安全管理：在安全管理方面，提供網(wǎng)管用戶密碼鑒權(quán)，用戶網(wǎng)管功能權(quán)限分配和記錄各類安全事件日志等措施。安全管理包括登錄安全、用戶操作的安全管理和日志管理。

系統(tǒng)從設(shè)計到實現(xiàn)都是按照TMN標準規(guī)范來進行的，從而具有了TMN標準規(guī)范的許多特征，同時具有的以下特征：實時監(jiān)視IAD的工作狀態(tài)，遠程設(shè)置運行參數(shù)；故障監(jiān)測、定位及系統(tǒng)自診斷；告警屏幕顯示；大容量磁盤數(shù)據(jù)存儲；生成統(tǒng)計報表、顯示圖形曲線；歷史數(shù)據(jù)、告警查詢；多級操作權(quán)限，自動記錄用戶重大操作；設(shè)置告警級別和告警參數(shù)；動態(tài)全中文聯(lián)機幫助。

3安全性分析及實現(xiàn)方案

IAD作為NGN中一種不可或缺的接入層設(shè)備，其涉及到的一些問題也需要認真地解決。整個系統(tǒng)是基于IP網(wǎng)絡(luò)設(shè)計的，由于采用IP技術(shù)與基于ATM和SDH的承載網(wǎng)相比，其開放性特點非常適合網(wǎng)絡(luò)業(yè)務(wù)的發(fā)展，但IP協(xié)議的開放性和公用性也使IAD不可避免地受到黑客或病毒程序的攻擊或干擾，存在著如用戶仿冒、IP地址盜用、破壞服務(wù)（如DOS

攻擊）、搶占資源等安全問題。

IAD所遇到的安全問題主要有3種：

·接入安全：這通常是未經(jīng)授權(quán)的用戶通過監(jiān)視、攔截、篡改、捏造、重播欺騙、克隆、重定向等手段，非法獲取系統(tǒng)資源的訪問權(quán)。建立非法呼叫、干擾破壞合法呼叫或竊聽、抵賴服務(wù)費用、竊用服務(wù)等級等等。接入安全需要建立安全入網(wǎng)注冊、預(yù)配置安全管理、安全網(wǎng)管、安全信令、安全媒體流等安全機制。也就是說，必須適當選擇安全協(xié)議及密碼學算法，嚴密的密鑰管理體制，服務(wù)器及授權(quán)用戶有效的相互認證方法，通過完善的認證機制來解決用戶仿冒、IP盜用等問題。

·惡意攻擊：IAD接入端口是NGN業(yè)務(wù)網(wǎng)的最大的安全隱患，IAD處于用戶端，存在被利用來惡意攻擊運營商的關(guān)鍵網(wǎng)絡(luò)設(shè)備和其它IAD的可能性，例如惡意的拒絕服務(wù)攻擊(DoS)。對付惡意攻擊的做法，可以通過物理安全來保證接入端口不被非法訪問，同時在統(tǒng)籌規(guī)劃整個NGN交換網(wǎng)絡(luò)建設(shè)中，適當?shù)乜紤]相關(guān)設(shè)備的安全保障機制，部署專門的VPN承載NGN業(yè)務(wù)，與Internet邏輯上隔離開，提高網(wǎng)絡(luò)安全性。

·電源供給：IAD位于用戶端側(cè)，不用專門的機房，一般放置于離用戶較近的地方，如家庭、辦公室、小區(qū)或商業(yè)樓宇的樓道。從IAD測試情況來看，困擾其穩(wěn)定性的最大因素是電源問題。目前絕大部分IAD電源配置采用的是本地供電方式，一旦遇到區(qū)域斷電，IAD將不能工作，失去一切通信聯(lián)系。

后兩種問題超出了本篇文章的討論范圍，在這里就不進行詳細地論述了。

在接入安全上的解決思路是采取認證注冊的方式，認證注冊分為管理認證注冊和業(yè)務(wù)認證注冊兩大部分。管理認證注冊可以理解為IAD根據(jù)一些原始的配置參數(shù)向網(wǎng)管設(shè)備進行注冊；業(yè)務(wù)認證注冊是指在IAD提供服務(wù)前，向軟交換進行認證注冊。IAD上電后，同時發(fā)起管理注冊和業(yè)務(wù)注冊請求。管理注冊成功后，IAD從網(wǎng)管處獲得一些配置數(shù)據(jù)和文件；業(yè)務(wù)注冊成功后，IAD可以使用軟交換提供的業(yè)務(wù)。系統(tǒng)會在安全管理中的登錄安全子模塊中設(shè)置一項鑒權(quán)功能，用來對進入網(wǎng)絡(luò)的IAD進行鑒權(quán)。IAD是靠近用戶端的局供設(shè)備，在投入使用前需要進行配置(包括網(wǎng)管的IP地址、軟交換的IP地址等)。對于IAD自身的IP地址通常有兩種分配方法：一種是分配固定IP地址；另一種是通過DHCP（(動態(tài)主機控制協(xié)議)分配IP地址。前者主要在校園網(wǎng)絡(luò)中使用，而后者在小區(qū)寬帶和電信業(yè)務(wù)中比較普遍。

在管理認證方面主要對IAD進行認證注冊，在系統(tǒng)管理模塊的升級管理子模塊提供IAD的軟件和版本升級的維護管理。現(xiàn)有的IAD網(wǎng)管都只能管自己品牌的IAD，而這套管理系統(tǒng)增加了一個認證接口適配器，將不同品牌的IAD即時進行管理認證注冊。用來標識IAD的是MID(ManagedIdentifier)，一般是指IP地址或域名。IAD注冊時發(fā)起一個帶有MID的SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)trap請求，管理系統(tǒng)在自己的數(shù)據(jù)庫中尋找相應(yīng)的匹配項。管理系統(tǒng)如果找到匹配的MID或者接口適配器能將其轉(zhuǎn)化成數(shù)據(jù)庫中相應(yīng)的匹配項，那么就給予注冊；否則需要管理系統(tǒng)更改數(shù)據(jù)接口適配器，發(fā)出告警。

如圖4所示，IAD管理注冊流程為：IAD向軟交換發(fā)起管理注冊請求，其中帶有設(shè)備標識碼；網(wǎng)管在數(shù)據(jù)庫中尋找相應(yīng)的匹配項，并比較兩者的結(jié)果；如結(jié)果相同，發(fā)給IAD予以注冊的命令；如果不同，則發(fā)回錯誤信息。如圖4所示。由于目前的IP網(wǎng)絡(luò)中非常容易獲取IP地址，為了盡量避免非法用戶注冊成功，使用IAD標識碼來作為IAD的惟一（圖4管理認證注冊成功的流程、圖5業(yè)務(wù)認證的鑒權(quán)流程）標識。IAD的設(shè)備標識碼是指能夠惟一標識IAD的一串代碼，它可以是MAC地址或者是一些含有特定信息的代碼(如運營商的名稱、IAD設(shè)備提供商和IAD的一些自身信息)。衡量標識碼的可用性標準就是惟一性。為了防止網(wǎng)絡(luò)偵聽，泄漏IAD標識碼，可以采取加密的方式在網(wǎng)絡(luò)上傳輸。

在業(yè)務(wù)認證方面，由于業(yè)務(wù)認證強調(diào)的是IAD向軟交換的認證注冊，對于使用SIP的IAD來說，通過Digest鑒權(quán)來實現(xiàn)對SIP用戶的注冊、呼叫的認證，具體來說就是通過401和407消息，只有擁有合法用戶名和密碼的用戶才能夠使用NGN業(yè)務(wù)。而對于使用H．248協(xié)議的IAD來說，由于H．248協(xié)議本身并不像SIP提供用戶鑒權(quán)的功能，所以如果想要對用戶的使用進行鑒權(quán)的話，通常是通過廠商自己定義鑒權(quán)模式。可以采用H．248協(xié)議提供的一些命令來完成用戶的鑒權(quán)，主要通過注冊認證和心跳認證來確認中斷的合法性，具體來說，就是在H．248注冊命令中添加一些擴展項來進行鑒權(quán)。利用H．248協(xié)議中定義的擴展項，并且同時定義相同的加密算法和相同的設(shè)備標識碼，如基于公鑰的消息認證，通過注冊認證和心跳認證來確認終端的合法性，也可以達到用戶鑒權(quán)的目的。

如圖5所示，IAD通過注冊命令方式進行用戶鑒權(quán)的流程：IAD向軟交換發(fā)起注冊請求，其中帶有經(jīng)過加密的設(shè)備標識碼；軟交換用和IAD相同的加密算法進行計算，并比較兩者的結(jié)果；如結(jié)果相同，發(fā)給IAD予以注冊的命令；如果不同，則發(fā)回錯誤信息。對IAD進行業(yè)務(wù)認證需要IAD和相應(yīng)的軟交換匹配，不然將無法工作。但這都只是一種應(yīng)用層上的安全保障方式，并不能從根本上解決安全問題，因此還需要與IPSec或TLS等底層協(xié)議相結(jié)合來解決。

4結(jié)束語

下一代網(wǎng)絡(luò)是面向服務(wù)的網(wǎng)絡(luò)系統(tǒng)，對于IAD的統(tǒng)一網(wǎng)絡(luò)管理由來已久，雖然爭議頗多，但是統(tǒng)一的網(wǎng)管勢在必行。綜上所述，通過對實現(xiàn)對IAD的統(tǒng)一管理，不僅僅是分擔了軟交換網(wǎng)絡(luò)在業(yè)務(wù)承載方面的負荷，提高了網(wǎng)絡(luò)資源利用率，而且進一步提高運營商的服務(wù)質(zhì)量，降低維護費用，有利于進行集中化的管理，是下一代網(wǎng)絡(luò)管理發(fā)展的一個必然趨勢。本文在這方面進行了一些前瞻性的研究，并給出了相應(yīng)的系統(tǒng)軟硬件方案，但是對IAD統(tǒng)一的網(wǎng)絡(luò)管理還需要運營商和設(shè)備制造商各方面的共同努力。

參考文獻

1強磊等．基于軟交換的下一代網(wǎng)絡(luò)組網(wǎng)技術(shù)．北京：人民郵電出版社，2005

2雷雪梅．現(xiàn)代網(wǎng)絡(luò)管理．北京：國防工業(yè)出版社，2005

3陳建亞．可編程交換技術(shù)．北京：北京郵電大學出版社．2001

4趙學軍等．軟交換技術(shù)與應(yīng)用．北京：北京郵電出版社．2004

5MoLiandKumbesanSandrasegaran．InstituteofInformationandCommunicationTechnologiesandFacultyofEngineeringUniversityoftechnology，Sydney．NetworkManagementChallengesforNextGenerationNetworks．IEEEComputerSociety．2005

6AlexGillespie，BTLaboratories．SimonRees，F(xiàn)ujitsuTelecommunicationsEurope．AccessNetworkManagementModeling．IEEECommunicationsMagazine·March1996