ICG专栏已经讲了19期了,这19期面向的读者是以最终用户为主,对于ICG在最终用户那需要使用到的特性也覆盖得比较全面。从本期开始,专栏侧重于另外一部分读者——运营商人员,ICG是依托于运营商平台、渠道销售到最终用户那去的,有一些技术是运营商用得到,而最终用户用不到的,比如本期专栏要介绍的TR-069。
网络设备是一种资产,资产往往都需要进行管理,网络设备也不例外,网络设备的作用是网络互联,网络应用是一种实时交互性很强的业务,传统资产管理手段以人工盘点方式铁定是无法达到网络级别的实时性,所以网络设备的管理还是依托于网络,我们称为网络管理。网络管理有好几种分类方式,以网管流量安全性来分,可以分为:
l 带内网管,即网管流量与网络应用流量混合在同一条逻辑线路上进行传输,如果线路发生故障则网管和网络应用将同时失效;
l 带外网管,及网管流量与网络应用流量相隔离,隔离可以是物理线路隔离,也可以逻辑线路(如采用物理接口子接口)隔离,隔离的目的就是要求两种流量各走各的,不相互干扰,网络应用失效,网管还可以运行,可以提供必要的诊断信息收集等手段。
通过两张图的对比,可以发现带外网管的优势:
l 网管流量与互联网流量相隔离,可以保证用户互联网带宽的利用率;
l 网管使用专门的逻辑线路,可以简化现场安装内容,远程下发安装配置;
l 网管使用专门的逻辑线路,有利于网管故障的排查。
带外网管以独特的优势,目前互联网已经越来越倾向于带外网管。带外网管通需要独立线路,可以是物理的,也可以是逻辑的,那么那种更好更流行呢?
l 物理独立,需要专门一个物理接口用于网管(如E0/0用于互联网业务,E0/1用于网管),在双链路上行情况下,要为2家运营商准备4个物理接口,宝贵的接口资源被无情占用;
l 逻辑独立,与互联网业务使用同一个物理接口,使用子接口做网管(如E0/0用于互联网业务,E0/0.616用于网管),可以做到一个物理接口运行多种业务,业务和业务之间相互隔离(通过VLAN TAG技术实现,后期专栏介绍)。
从这个对比可以看出逻辑独立更有优势,但逻辑独立也有劣势,那就是一旦物理线路发生故障,那么所有业务都会歇菜,但物理线路故障是一种用户感知得到的“业务故障”,属于必须解决的问题,业务歇菜是故障的体现,是无法被掩盖的。从这种角度上来说,逻辑线路隔离是满足运营要求的。
说到网络管理,最早的网络管理出现在PSTN电话网络系统中,那时对每种PSTN设备都有相应的网管平台,虽然都比较成熟,但是基本上不同设备与不同网管平台无法达到相互兼容。IP网络的管理则出现得相对较晚,相比于PSTN各种私有网管平台而言,各个IP网管系统水平不一,但兼容性得到了很大的提高,因为它遵循统一的标准。说到IP网络管理,不能不提SNMP(Simple Network Management Protocol简单网络管理协议),在TR-069出现以前,SNMP就是IP网络管理的代名词。
介绍SNMP网管还是以带外方式为主:
1. 设置专门的SNMP服务器,对所有网络设备进行管理;
2. 每台被管理网络设备都有固定的网管IP地址,比如上图中ICG-1的E0/0.616配置固定IP为192.168.5.6;
3. 在每台被管理设备上设置SNMP安全参数;
4. 在SNMP服务器上手动添加每台被管理设备的IP地址、注释、SNMP安全参数;
5. SNMP向被管理设备发起SNMP请求;
6. 被管理设备向服务器返回SNMP应答。
SNMP看似非常完美,但它有一个致命弱点,在图中,我们只画了3台ICG网关,但如果是3000台ICG网关或者是30000台ICG网关,那么需要提前为每台ICG分配IP地址,然后再到SNMP服务器上添加IP,这个工作量是不是太给力了?没错,这个工作量会让任何一个网管人员干到“工作带感”。我们需要Change,那么有请今天的主角TR-069。
TR-069的全称叫Technical Report 069,是DSL论坛提出的全新网管协议,该协议组成的方案被称为CWMP(CPE WAN Management Protocol),CPE是(Customer Premise Equipment),用伟大古老而有高效的中文来翻译就是“用户侧设备广域网管理协议”,听起来还是很拗口,我们用图例来看看它是何方神圣,为何如此法力高强,值得阿丘专门介绍。
初看此图,和SNMP没啥区别嘛,如果你是个对技术细心的人,会发现1、2的顺序变了:
1. 提前设置好网管服务器;
2. 所有被管理设备预先配置好服务器地址;
3. 被管理设备安装上架时,需要配置IP地址(IP地址无法省略,但你可以使用DHCP方案避免手工配置环节);
4. 被管理设备主动向服务器发起注册;
5. 被管理设备注册到服务器后,服务器可以向被管理设备索要各种信息。
貌似还是没什么改变,如果你还是够仔细的话,会发现上面没有在网管服务器手工添加被管理设备IP地址的环节,为神马就这个环节是最关键的呢?IP地址是IP世界中最关键的内容,没有IP地址,神马应用都是“浮云”,这个东西虽然关键,它也很玄乎,变化莫测,有诸多变化,比如它可以被NAT一下,改头换面,它是一个逻辑的玩意,同一台ICG放在客户甲是192.168.5.6,搬到客户乙,又变成192.168.6.16。因此几乎没有人能够记住海量设备的管理IP地址,在这种前提下,我们可以体会到TR-069对我们是多么的用心良苦。
1. 在TR-069中,网管服务器被称为ACS(Auto Configuration Server自动配置服务器),它有专门的IP地址和URL;
2. 被管理设备ICG就是CPE,用户侧设备;
3. ICG可以通过厂家预配置的方式把ACS的URL、身份认证信息写入到ICG的启动配置中;
4. ICG还可以通过从DHCP服务器获取ACS的URL,DHCP方式我很推荐,一是不需要手工配置ICG的网管IP地址,也不需要预配置ACS的URL,只需要在DHCP服务器上稍作修改,就能够做到灵活部署的目的;
5. ICG获得网管IP后,就开始根据ACS的URL建立HTTP会话;
6. 建立会话后要进行初始化,初始化的目的是进行身份验证,ACS要确保被管理设备是合法的,不合法要被剔除;
7. 初始化完成后,服务器就可以向CPE索要各种信息了,如SN号,下发互联网接口地址、路由等等;
8. CPE对于ACS下发的指令给予答复。
可见TR-069非常适合被管理设备数量巨大的环境中,可以大量减轻服务器侧的配置工作量,实在是为“商务领航”这种业务量身定制的一套网管系统,另外,TR-069是一套开放标准的协议,目前刚刚兴起,兼容性上面不成问题。
整个流程分为3部分内容,第一部分是出厂预配置(通常是按照省或直辖市为单位进行预配置)阶段:
1. 根据运营商规范(指定子接口编号,如616),配置好专门的网管子接口;
2. 在网管子接口上启用DHCP获取地址功能;
3. 根据运营商规范,配置好指定ACS服务器的身份认证信息。
第二部分是运营商人员去安装ICG:
1. 将ICG安装到指定位置后,记录ICG的SN号和客户信息;
2. 将必要的网线连接好,并检查网管地址获取情况;
3. 安装检查无误后,向客户填写竣工单,返回后把SN号和客户信息录入到系统中,这个录入也是海量的,但SN号和客户信息比较固定,不像IP地址那般变化多端;
第三部分就是ICG运行后和ACS的交互:
1. 自动获取地址和ACS的URL;
2. 以管理子接口向ACS发起连接,并作身份注册;
3. ACS对连接请求的身份信息进行审核,检查SN等信息是否记录在册;
4. ACS自动添加该ICG条目,记录其连接方式;
5. 后面几部就是读取信息或配置信息的交互,这里不作叙述。
从本质上来看SNMP网管属于服务器主动向被管理设备发起连接,要求服务器提前拥有被管理设备的IP地址等信息,因而要求管理人员提前做好IP地址收集工作;而TR-069正好反过来,服务器只要架设好即可,被管理设备主动向服务器发起连接,服务器根据连接再作管理,省掉了IP地址收集工作,非常适合海量设备的网管工作。
ICG上TR-069的配置也很简单,就1页内容,详情参考华三论坛的“ICG配置与维护”。