河南移动GPRS核心网优化报告.ppt

《河南移动GPRS核心网优化报告.ppt》由会员分享，可在线阅读，更多相关《河南移动GPRS核心网优化报告.ppt（37页珍藏版）》请在三一办公上搜索。

1、河南移动GPRS核心网优化交流材料,概述,河南移动GPRS核心网优化在GPRS四期扩容过程中（2004年10月）开始介入，历时3个多月，共形成11个专题，每一个专题都有分析报告，报告中均包含设立专题的原因、专题分析、发现的问题和解决问题的建议等,专题的确认,本着核心网优化为维护服务为网络良好运行服务的原则，选择专题专题的确认来自两个方面从网络安全运行的角度发现问题从提高客户感知的角度发现问题,GPRS核心网优化专题,一、GPRS核心网网络拓扑分析二、GPRS核心网IDS（Intrusion Detection System）分析三、GPRS核心网病毒监测分析四、FW的性能分析五、GGSN ac

2、l分析六、KPI分析-GPRS PDP激活指标分析七、KPI分析-DNS分析八、GPRS容量预警更新九、SGSN参数分析十、MMS分析十一、MRTG（The Multi Router Traffic Grapher）工具使用,一、网络拓扑分析,经过GPRS四期扩容，新增加了多个网元，并对原有的网络设备进行了调整和改造，拓扑结构发生很大变化，即由原来的单平面改造为双平面。通过优化网络拓扑、改进网络路由，加强了负荷分担、路由备份功能，从而提高GPRS核心网络的整体运行质量。,目的,一、网络拓扑分析,1.Switch与GGSN之间OSPF路由配置问题.1.1.OSPF路由域没有指定DR路由器.1.2

3、.OSPF路由域没有优化数据传输路径.2.出口FIREWALL的VLAN间没有配置容错.3.CMNET至GPRS CORE的入网路由不支持链路冗余和负载均衡.4.Gi 接口 RIP路由存在路由广播泛滥以及由此导致的路由循环问题.,发现问题,一、网络拓扑分析,1.Switch与GGSN之间OSPF路由配置解决方案.1.1.指定SW-1SW-2分别为DR路由器和BDR路由器.1.2.通过指定Cost值优化数据传输路径.2.通过VRRP技术使出口FIREWALL的VLAN监控所有端口状态,实现完全容错.3.通过VRRP技术实现CMNET至GPRS CORE的入网路由完全容错.4.定义GGSN的Gi接

4、口只广播RIP路由而不接收RIP路由.,问题解决方案,二、GPRS核心网IDS分析,分析GPRS核心网中攻击及可疑行为的类型和分布；分析攻击及可疑行为对网络安全所产生的影响。,目的,二、GPRS核心网IDS分析,1.GPRS核心网仍然面临来自多方面的安全威胁，如内部用户的误操作、GPRS用户或internet用户的主动攻击行为，以及病毒、恶意的网页代码等。2.当前大部分的网络报警事件都是一些非标准网络行为或病毒感染导致。安全威胁较高的系统溢出、密码猜解等主动攻击行为较少见。,发现问题,二、GPRS核心网IDS分析,GGSN和防火墙对GPRS核心网的保护明显而且有效，在GGSN的ACL和防火墙的

5、安全规则中进行部分调整，进一步屏蔽了可能存在的安全漏洞。,问题解决方案,三、GPRS核心网病毒监测分析,对当前的核心网病毒流量情况进行分析，与一期优化项目的病毒流量情况进行比较，从而判断GPRS核心网病毒流量的变化趋势。,目的,三、GPRS核心网病毒监测分析,1.当前网络主要存在恶性蠕虫病毒和Email病毒，其中“震荡波”病毒影响最大。2.与前期优化项目时的各项数据比较，目前GPRS网络的病毒流量无论从packet还是byte来看都已经大大地降低，对GPRS网络的影响也已经非常低。,发现问题,三、GPRS核心网病毒监测分析,从目前的GGSN和防火墙的规则配置来看，需要做进一步的调整，从而更好地

6、屏蔽来自GPRS用户和Internet的病毒流量。,问题解决方案,四、FW的性能分析,GPRS核心网拓扑结构变化较大，FW作为GPRS核心网安全设备，需要重新分析和定义安全策略。,目的,四、FW的性能分析,1.各FW的OM-VLAN接口存在IP SPOOFING安全隐患，因此需要打开该接口的ANTI-SPOOFING功能；2.各FW的物理内存利用率偏高；3.GPRS核心网络拓扑及路由优化对FW-1的各主要接口数据吞吐量有一定影响，整体来看流量随用户数量增加而同步增加。,发现问题,四、FW的性能分析,1.各FW的OM-VLAN接口存在IP SPOOFING安全隐患，因此需要打开该接口的ANTI-

7、SPOOFING功能；2.各FW的物理内存利用率偏高；3.采用第三方的网络流量管理和分析软件如MRTG建立GPRS核心网络流量变化趋势的BASELINE和预警机制；4.采用独立的第三方LOG分析软件记录各网元的LOG信息,问题解决方案,五、GGSN acl分析,GPRS核心网拓扑结构变化较大，需要对GGSN的接入列表详细分析，配合FW进一步加强GPRS核心网的安全性。,目的,五、GGSN acl分析,1.由于GPRS四期扩容的IP地址段和路由拓扑的变更，导致了Gn接口、Gi接口上原有安全配置的失效，造成安全漏洞。2.在Gn以及Gi接口的ACL配置中源IP地址定义范围较宽或未限定特定服务的端口号

8、从而削弱了安全性，可能导致IP欺骗的攻击行为。3.对于GGSN-3、GGSN-4定义了CMNET APN、CMWAP APN，因此需要对来自internet的蠕虫病毒扫描端口进行全面的封锁。,发现问题,五、GGSN acl分析,1.对每个GGSN上配置的APN尽量关闭Intermobile Traffic、Inter-AP Traffic参数选项；2.将原先定义Gn接口的ACL配置细分为Gn_2、Gn_3接口各自的ACL配置；3.将原先定义Gi接口的ACL配置细分为Gi_1、Gi_2接口各自的ACL配置；4.按照最新的地址规划更新所有GGSN上的接口ACL配置；5.尽量精确定义源IP地址的范围

9、，除所有必须的源IP地址和服务端口号允许通过外，限制其余的IP地址通过。防止IP Spoofing攻击；6.对GGSN-3、GGSN-4增加对蠕虫病毒扫描端口Tcp port 139端口以及ICMP协议端口的限制，保护GPRS核心网免受MS病毒的威胁；7.删除各GGSN上的冗余ACL配置；,问题解决方案,六、KPI分析-GPRS PDP激活指标分析,分析GPRS PDP激活指标低的原因,目的,六、KPI分析-GPRS PDP激活指标分析,1、当前GPRS成功率应为9093。2、因用户终端造成的GPRS PDP激活失败占683.、其他原因造成的GPRS PDP激活失败比例不足1,发现问题,七、K

10、PI分析-DNS分析,随着GPRS用户量的增加，本次优化对GPRS核心网的DNS设备进行优化,目的,七、KPI分析-DNS分析,1.在DNS中，一些相邻省RAC、LAC和PAPU单元的IP没有对应。2.在DNS上看到SGSN送到DNS的查询，有不同进制的LAC/RAC,发现问题,七、KPI分析-DNS分析,1.在DNS中，添加相邻省RAC、LAC和PAPU单元IP的对应关系。2.在SGSN升级到SG3后，问题解决。,问题解决方案,八、GPRS容量预警更新,由于十月份新增加了两台SGSN，并配置在SG3版本。需要针对网络升级带来的容量上变化做一个分析。,目的,八、GPRS容量预警更新,1.新增S

11、GSN容量的变化只涉及SGSN容量的变化。其容量较之SG2有以下的变化：SMMU容量从6万到8万，支持的容量和PDP也都有增加。2.现有的SGSN1/SGSN2升级到SG3只涉及SG3的功能性升级,发现问题,八、GPRS容量预警更新,考虑到GPRS业务增长的因素以及扩容周期，我们定义80为预警门限，部分网元和接口考虑到其它情况有具体数值。,问题解决方案,九、SGSN参数分析,新扩容SGSN3、SGSN4的版本为SG3，同SG2参数有所变化，需要分析新参数的特点，灵活利用一些参数来满足不同时期的网络要求,目的,九、SGSN参数分析,1、IMEI check 鉴权打开，造成不必要的网络延时。2、D

12、ETACH TIMER 时间设置为18个小时，造成不使用GPRS业务的附着用户，长时间占用网络附着资源，造成目前SGSN附着容量紧张，甚至影响部分地区的GPRS业务。,发现问题,九、SGSN参数分析,问题解决方案,1、关闭IMEI check 鉴权2、将DETACH TIMER 时间设置为4个小时，这样会节省一部分SGSN的附着资源，但对某些不符合规范的终端，需要在使用GPRS业务前重启终端，方能使用。,十、MMS分析,1.通过对目前全省MMS使用情况进行分析，发现MMS存在的主要问题并对其进行分析。2.对常见MMS问题总结分析思路和排错方法，提高用户的维护水平。,目的,十、MMS分析,1.1

13、.MMS产生的问题：MO_Message_format_corrupt 计数1次 占了 总体 0%，MO_Service_denied 计数394次，占了总体 57%，主要是发送手机的用户产生的问题，如黑白名单，欠费，发送至不同的服务商。MO_content_no_accpect 计数为 11次，占了总体 2%。2WAP 层产生的问题：WAP Errors 记录287次，占了 总体 41%。主要是手机开发商wap的协议软件的问题，还有一些是用户操作，如放弃了相关的请求等，但软件识别的WAP层的错误并不代表MMS发送和接收错误,发现问题,十、MMS分析,1,由1860客服通过已有的信息判断用户（

14、发送和接收）SIM 是否开通了相应的MMS服务，直接排除由于用户行为造成的问题。2.定期采用MMSMAX软件对全网的MMS发送情况进行检查，及时发现问题。,问题解决方案,十一、MRTG应用,1、在GGSN/FW上可以通过GUI的方式察看实时的性能指标数值，但指标长期变化趋势不能完全反映真实的情况。2、采用通过设置系统计划任务的方式，将占用宝贵的CPU、MEM和Storage资源。同时所采集的数据需要进行复杂的人工处理。3、Core Switch上可以通过CLI的方式察看实时的性能指标数值，但无法记录指标长期变化趋势。4、核心交换机端口流量是反映GPRS CORE核心网性能的重要指标。需要对其进

15、行连续的监控和记录。,使用MRTG的原因,十一、MRTG工具应用,在核心网安装MRTG服务器，对各网元的关键性能指标进行实时不间断的监控。该MRTG服务器的数据可以保存一年以上，为今后系统扩容、优化提供对比资料。,使用MRTG的优点,谢谢,MajpjMVcyzj21HLfrvy96dv02lPPfYgxUS7IYmZkyEmZ0kGeYZS3bpLCkYH1lt4EK7CxmUX3ijoYSOer7ZuaVWYgz4EpZrUirVpMzzvNtf1XZw5oswSXOtFaejnOcmfE1lZgnN1RSXg8wLCG8CVQ3XPJMvodPFWcpiYJgZazNSEPNIaklYSu

16、7qSd1UpaxmZDlpN9zW7kljfsLCLi26Yv109ffbnDH8LbUN1G6ACURQ39eG12KHL9tXsZ1jzgoCK8g1kuNOh5eFvcmVT5ZYVQt9zk3rp3qLnf02FovEXxVRxjCcFRNppiJljNiOuk6fONnyX7fyGg7sXZ49BmCN5oy9VesHpKzdjTKwjrkCEQCFDehVmGax3lrOEbw63VscA3YSijtUKoCyiLzAlVRp7l4QgPNHxvJFFDyjUVN3oHlMah0XBd4uTbkfPIhHtw0evPmYOrdhEDoPwvYhzlGplU1AU9mpyiCXH8

17、gpPCBRYjq77VcnbXumNE1yGfyTsbSj89J63kRTKDkKUg3mdS5sJ4X5cQ8dK7oW9IkScssECQdz2O9UTlpRjAFPChjhLdzopQzwxQf8ozdzOhogwAooXpUF83BX4C3jRgjDJiiXEUDMaNz4vQ4n164vspddHvOIVuBBdMA4xp1YhiHk0vOJ8TL1BxogzVlMpmod6ianYGmksQq6NWCEd56hZF4wfaNyZcrGfNxnPiG6ZAxSkfmhJAKtNmCqbRmppeXp8inz4eq3HkWCMSORyMMX522xpHG6basNr6KQfbZsFbHjzyNlJrruLolKFcC84dqfijBO5Dy2NaBcNEBPgQrT12PgpcKx2or2YChN5DPjs80zzdtdAdTKuW4uVv9bbZu3K2SZ2aEhTlIC1UqrIWibkzwHh6p8gLv26zr01mJybfOzFc4T7kQH1IpPwOzMDnAKPLsLrznXGjFNIA9bSWWms6ibKZwQIKrMzalwbFrQJvOP1rPH8rx2KkyYqrtQk5VRwM1HSX,