河南移動 GPRS核心網(wǎng)優(yōu)化交流材料 概述 河南移動 GPRS核心網(wǎng)優(yōu)化在 GPRS四期擴(kuò)容過程中（ 2004年 10月）開始介入，歷時 3個多月，共形成 11個專題，每一個專題都有分析報(bào)告，報(bào)告中均包含設(shè)立專題的原因、專題分析、發(fā)現(xiàn)的問題和解決問題的建議等 專題的確認(rèn) 本著核心網(wǎng)優(yōu)化為維護(hù)服務(wù)為網(wǎng)絡(luò)良好運(yùn)行服務(wù)的原則，選擇專題 專題的確認(rèn)來自兩個方面 從網(wǎng)絡(luò)安全運(yùn)行的角度發(fā)現(xiàn)問題 從提高客戶感知的角度發(fā)現(xiàn)問題 GPRS核心網(wǎng)優(yōu)化專題 一、 GPRS核心網(wǎng)網(wǎng)絡(luò)拓?fù)浞治?二、 GPRS核心網(wǎng) IDS（ Intrusion Detection System） 分析 三、 GPRS核心網(wǎng)病毒監(jiān)測分析 四、 FW的性能分析 五、 GGSN acl分析 六、 KPI分析 -GPRS PDP激活指標(biāo)分析 七、 KPI分析 -DNS分析 八、 GPRS容量預(yù)警更新 九、 SGSN參數(shù)分析 十、 MMS分析 十一、 MRTG（ The Multi Router Traffic Grapher） 工具使用 一、網(wǎng)絡(luò)拓?fù)浞治?經(jīng)過 GPRS四期擴(kuò)容，新增加了多個網(wǎng)元，并對原有的網(wǎng)絡(luò)設(shè)備進(jìn)行了調(diào)整和改造，拓?fù)浣Y(jié)構(gòu)發(fā)生很大變化，即由原來的單平面改造為雙平面。 通過優(yōu)化網(wǎng)絡(luò)拓?fù)?、改進(jìn)網(wǎng)絡(luò)路由，加強(qiáng)了負(fù)荷分擔(dān)、路由備份功能，從而提高 GPRS核心網(wǎng)絡(luò)的整體運(yùn)行質(zhì)量。 目的 一、網(wǎng)絡(luò)拓?fù)浞治?1. Switch與 GGSN之間 OSPF路由配置問題 . 1.1. OSPF路由域沒有指定 DR路由器 . 1.2. OSPF路由域沒有優(yōu)化數(shù)據(jù)傳輸路徑 . 2. 出口 FIREWALL的 VLAN間沒有配置容錯 . 3. CMNET至 GPRS CORE的入網(wǎng)路由不支持鏈路冗余和負(fù)載均衡 . 4. Gi 接口 RIP路由存在路由廣播泛濫以及由此導(dǎo)致的路由循環(huán)問題 . 發(fā)現(xiàn)問題 一、網(wǎng)絡(luò)拓?fù)浞治?1. Switch與 GGSN之間 OSPF路由配置解決方案 . 1.1. 指定 SW-1SW-2分別為 DR路由器和 BDR路由器 . 1.2. 通過指定 Cost值優(yōu)化數(shù)據(jù)傳輸路徑 . 2. 通過 VRRP技術(shù)使出口 FIREWALL的 VLAN監(jiān)控所有端口狀態(tài) ,實(shí)現(xiàn)完全容錯 . 3. 通過 VRRP技術(shù)實(shí)現(xiàn) CMNET至 GPRS CORE的入網(wǎng)路由完全容錯 . 4. 定義 GGSN的 Gi接口只廣播 RIP路由而不接收 RIP路由 . 問題解決方案 二、 GPRS核心網(wǎng) IDS分析 分析 GPRS核心網(wǎng)中攻擊及可疑行為的類型和分布； 分析攻擊及可疑行為對網(wǎng)絡(luò)安全所產(chǎn)生的影響。 目的 二、 GPRS核心網(wǎng) IDS分析 1. GPRS核心網(wǎng)仍然面臨來自多方面的安全威脅，如內(nèi)部用戶的誤操作、 GPRS用戶或 internet用戶的主動攻擊行為，以及病毒、惡意的網(wǎng)頁代碼等。 2. 當(dāng)前大部分的網(wǎng)絡(luò)報(bào)警事件都是一些非標(biāo)準(zhǔn)網(wǎng)絡(luò)行為或病毒感染導(dǎo)致。安全威脅較高的系統(tǒng)溢出、密碼猜解等主動攻擊行為較少見。 發(fā)現(xiàn)問題 二、 GPRS核心網(wǎng) IDS分析 GGSN和防火墻對 GPRS核心網(wǎng)的保護(hù)明顯而且有效，在GGSN的 ACL和防火墻的安全規(guī)則中進(jìn)行部分調(diào)整，進(jìn)一步屏蔽了可能存在的安全漏洞。 問題解決方案 三、 GPRS核心網(wǎng)病毒監(jiān)測分析 對當(dāng)前的核心網(wǎng)病毒流量情況進(jìn)行分析，與一期優(yōu)化項(xiàng)目的病毒流量情況進(jìn)行比較，從而判斷 GPRS核心網(wǎng)病毒流量的變化趨勢。 目的 三、 GPRS核心網(wǎng)病毒監(jiān)測分析 1. 當(dāng)前網(wǎng)絡(luò)主要存在惡性蠕蟲病毒和 Email病毒，其中 “ 震蕩波 ” 病毒影響最大。 2. 與前期優(yōu)化項(xiàng)目時的各項(xiàng)數(shù)據(jù)比較，目前 GPRS網(wǎng)絡(luò)的病毒流量無論從 packet還是 byte來看都已經(jīng)大大地降低，對GPRS網(wǎng)絡(luò)的影響也已經(jīng)非常低。 發(fā)現(xiàn)問題 三、 GPRS核心網(wǎng)病毒監(jiān)測分析 從目前的 GGSN和防火墻的規(guī)則配置來看，需要做進(jìn)一步的調(diào)整，從而更好地屏蔽來自 GPRS用戶和 Internet的病毒流量。 問題解決方案 四、 FW的性能分析 GPRS核心網(wǎng)拓?fù)浣Y(jié)構(gòu)變化較大， FW作為 GPRS核心網(wǎng)安全設(shè)備，需要重新分析和定義安全策略。 目的 四、 FW的性能分析 1. 各 FW的 OM-VLAN接口存在 IP SPOOFING安全隱患，因此需要打開該接口的 ANTI-SPOOFING功能； 2. 各 FW的物理內(nèi)存利用率偏高； 3. GPRS核心網(wǎng)絡(luò)拓?fù)浼奥酚蓛?yōu)化對 FW-1的各主要接口數(shù)據(jù)吞吐量有一定影響，整體來看流量隨用戶數(shù)量增加而同步增加。 發(fā)現(xiàn)問題 四、 FW的性能分析 1. 各 FW的 OM-VLAN接口存在 IP SPOOFING安全隱患，因此需要打開該接口的 ANTI-SPOOFING功能； 2. 各 FW的物理內(nèi)存利用率偏高； 3. 采用第三方的網(wǎng)絡(luò)流量管理和分析軟件如 MRTG建立GPRS核心網(wǎng)絡(luò)流量變化趨勢的 BASELINE和預(yù)警機(jī)制； 4. 采用獨(dú)立的第三方 LOG分析軟件記錄各網(wǎng)元的 LOG信息 問題解決方案 五、 GGSN acl分析 GPRS核心網(wǎng)拓?fù)浣Y(jié)構(gòu)變化較大，需要對 GGSN的接入列表詳細(xì)分析，配合 FW進(jìn)一步加強(qiáng) GPRS核心網(wǎng)的安全性。 目的 五、 GGSN acl分析 1. 由于 GPRS四期擴(kuò)容的 IP地址段和路由拓?fù)涞淖兏?，?dǎo)致了 Gn接口、 Gi接口上原有安全配置的失效，造成安全漏洞。 2. 在 Gn以及 Gi接口的 ACL配置中源 IP地址定義范圍較寬或未限定特定服務(wù)的端口號從而削弱了安全性，可能導(dǎo)致 IP欺騙的攻擊行為。 3. 對于 GGSN-3、 GGSN-4定義了 CMNET APN、 CMWAP APN，因此需要對來自 internet的蠕蟲病毒掃描端口進(jìn)行全面的封鎖。 發(fā)現(xiàn)問題 五、 GGSN acl分析 1. 對每個 GGSN上配置的 APN盡量關(guān)閉 Intermobile Traffic、 Inter-AP Traffic參數(shù)選項(xiàng)； 2. 將原先定義 Gn接口的 ACL配置細(xì)分為 Gn_2、 Gn_3接口各自的 ACL配置； 3. 將原先定義 Gi接口的 ACL配置細(xì)分為 Gi_1、 Gi_2接口各自的 ACL配置； 4. 按照最新的地址規(guī)劃更新所有 GGSN上的接口 ACL配置； 5. 盡量精確定義源 IP地址的范圍，除所有必須的源 IP地址和服務(wù)端口號允許通過外，限制其余的 IP地址通過。防止 IP Spoofing攻擊； 6. 對 GGSN-3、 GGSN-4增加對蠕蟲病毒掃描端口 Tcp port 139端口以及ICMP協(xié)議端口的限制，保護(hù) GPRS核心網(wǎng)免受 MS病毒的威脅； 7. 刪除各 GGSN上的冗余 ACL配置； 問題解決方案 六、 KPI分析 -GPRS PDP激活指標(biāo)分析 分析 GPRS PDP激活指標(biāo)低的原因 目的 六、 KPI分析 -GPRS PDP激活指標(biāo)分析 1、當(dāng)前 GPRS成功率應(yīng)為 90 93。 2、因用戶終端造成的 GPRS PDP激活失敗占 6 8 3.、其他原因造成的 GPRS PDP激活失敗比例不足 1 發(fā)現(xiàn)問題 七、 KPI分析 -DNS分析 隨著 GPRS用戶量的增加，本次優(yōu)化對 GPRS核心網(wǎng)的 DNS設(shè)備進(jìn)行優(yōu)化 目的 七、 KPI分析 -DNS分析 1.在 DNS中，一些相鄰省 RAC、 LAC和 PAPU單元的 IP沒有對應(yīng)。 2. 在 DNS上看到 SGSN送到 DNS的查詢，有不同進(jìn)制的LAC/RAC 發(fā)現(xiàn)問題 七、 KPI分析 -DNS分析 1.在 DNS中，添加相鄰省 RAC、 LAC和 PAPU單元 IP的對應(yīng)關(guān)系。 2. 在 SGSN升級到 SG3后，問題解決。 問題解決方案 八、 GPRS容量預(yù)警更新 由于十月份新增加了兩臺 SGSN，并配置在 SG3版本。需要針對網(wǎng)絡(luò)升級帶來的容量上變化做一個分析。 目的 八、 GPRS容量預(yù)警更新 1. 新增 SGSN容量的變化只涉及 SGSN容量的變化。其容量較之 SG2有以下的變化： SMMU容量從 6萬到 8萬，支持的容量和 PDP也都有增加。 2. 現(xiàn)有的 SGSN1/SGSN2升級到 SG3只涉及 SG3的功能性升級 發(fā)現(xiàn)問題 八、 GPRS容量預(yù)警更新 考慮到 GPRS業(yè)務(wù)增長的因素以及擴(kuò)容周期，我們定義 80為預(yù)警門限，部分網(wǎng)元和接口考慮到其它情況有具體數(shù)值。 問題解決方案 九、 SGSN參數(shù)分析 新擴(kuò)容 SGSN3、 SGSN4的版本為 SG3，同 SG2參數(shù)有所變化，需要分析新參數(shù)的特點(diǎn)，靈活利用一些參數(shù)來滿足不同時期的網(wǎng)絡(luò)要求 目的 九、 SGSN參數(shù)分析 1、 IMEI check 鑒權(quán)打開，造成不必要的網(wǎng)絡(luò)延時。 2、 DETACH TIMER 時間設(shè)置為 18個小時，造成不使用GPRS業(yè)務(wù)的附著用戶，長時間占用網(wǎng)絡(luò)附著資源，造成目前 SGSN附著容量緊張，甚至影響部分地區(qū)的 GPRS業(yè)務(wù)。 發(fā)現(xiàn)問題 九、 SGSN參數(shù)分析 問題解決方案 1、關(guān)閉 IMEI check 鑒權(quán) 2、將 DETACH TIMER 時間設(shè)置為 4個小時，這樣會節(jié)省一部分 SGSN的附著資源，但對某些不符合規(guī)范的終端，需要在使用 GPRS業(yè)務(wù)前重啟終端，方能使用。 十、 MMS分析 1. 通過對目前全省 MMS使用情況進(jìn)行分析，發(fā)現(xiàn) MMS存在的主要問題并對其進(jìn)行分析。 2. 對常見 MMS問題總結(jié)分析思路和排錯方法，提高用戶的維護(hù)水平。 目的 十、 MMS分析 1. 1. MMS產(chǎn)生的問題： MO_Message_format_corrupt 計(jì)數(shù) 1次 占了 總體 0%， MO_Service_denied 計(jì)數(shù) 394次，占了總體 57%， 主要是發(fā)送手機(jī)的用戶產(chǎn)生的問題，如黑白名單，欠費(fèi)，發(fā)送至不同的服務(wù)商。 MO_content_no_accpect 計(jì)數(shù)為 11次 ，占了總體 2%。 2 WAP 層產(chǎn)生的問題： WAP Errors 記錄 287次，占了 總體 41%。 主要是手機(jī)開發(fā)商 wap的協(xié)議軟件的問題，還有一些是用戶操作，如放棄了相關(guān)的請求等，但軟件識別的 WAP層的錯誤并不代表 MMS發(fā)送和接收錯誤 發(fā)現(xiàn)問題 十、 MMS分析 1, 由 1860客服通過已有的信息判斷用戶（發(fā)送和接收）SIM 是否開通了相應(yīng)的 MMS服務(wù)，直接排除由于用戶行為造成的問題。 2. 定期采用 MMSMAX軟件對全網(wǎng)的 MMS發(fā)送情況進(jìn)行檢查，及時發(fā)現(xiàn)問題。 問題解決方案 十一、 MRTG應(yīng)用 1、在 GGSN/FW上可以通過 GUI的方式察看實(shí)時的性能指標(biāo)數(shù)值，但指標(biāo)長期變化趨勢不能完全反映真實(shí)的情況。 2、采用通過設(shè)置系統(tǒng)計(jì)劃任務(wù)的方式，將占用寶貴的CPU、 MEM和 Storage資源。同時所采集的