运营商用户静态IP地址自动备案解决方案及数据准确性探索 摘 要 依据《互联网IP地址备案管理办法》提供互联网接入服务的运营商均需要及时准确的向工信部备案IP地址的使用主体及当前网络接入情况由于静态IP地址备案涉及用户信息,IP接入网络信息及运营商管理信息在内约28-35个备案字段,备案字段多,保密性、及时性、准确性要求高,因此在互联网发展初期的人海战术,来完成IP地址备案工作已不适用现今的互联网发展规模同时我们通过研究发现在互联网接入业务从前端商务部门受理,到后端业务开通,维护需求变更或IP备案等一系列流程中有诸多环节均可能存在差错,因此本文除了研究静态IP地址自动备案的解决方案,同时也探索通过ping测,nmap扫描,设备配置分析等技术手段提高IP地址备案数据的准确性关键词 静态IP地址;自动备案;数据准确性1 引言IP地址是当今互联网技术的基础资源,公网上的IP可以看做网络通行的身份证个人或单位在互联网上发布的内容均承载在某个动态或静态IP地址上为加强对互联网IP地址资源使用的管理,保障互联网络的安全,维护广大互联网用户的根本利益,促进互联网业的健康发展, 2005年中华人民共和国信息产业部令颁布第34号《互联网IP地址备案管理办法》[1]。
自此行政法令颁布以来,最初各级管理员通过各省管局系统手工填报IP地址备案的相关信息从运营商动态接入的IP地址,只需准确填报IP范围,后续可通过查询后台日志的方式查找到IP对应的用户信息,备案时相对简单而运营商静态方式接入的IP地址,则需要手工逐条填报对应的用户信息,涉及的备案字段更多,备案的IP变化较多,备案时相对更复杂随着我国互联网技术的发展和普及广东电信的互联网公网IP地址数量由最初的几十万个,迅速扩展到千万级别,涉及IP地址备案的地址和业务数量不断上升2010年中国电信集团统一建立了IP地址管理系统,通过引入统一的校验规则,并支持以文件方式批量录入IP地址备案的数据的数据,对IP地址备案工作的便利性有一定的改善2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,法律要求“网络运营者为用户办理网络接入、域名注册服务,办理固定、移动等入网手续,或者为用户提供信息发布、即时通讯等服务,在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息用户不提供真实身份信息的,网络运营者不得为其提供相关服务[2] 响应国家法律法规要求, 对于分配给用户静态使用的IP地址,备案字段从原来的20个增加到现在28-35个字段。
法规同时要求“ 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”,显然原来手工录入备案信息的工作方式已不再满足要求必须提出新的自动化的备案解决方案,同时需要探索可行的技术手段来检测备案是否准确2. IP地址自动备案方案讨论用户的业务受理信息均保存客户关系管理系统,简称CRM系统;用户接入的互联网所使用的IP地址,以及IP地址所在的网络设备或端口等相关信息,一般在业务开通或变更时由资源管理系统分配或地址管理员在网络设备进行业务数据配置时分配,这些数据在配置后一般会留存在业务开通系统中,也会留存在后端网管系统内IP地址备案需要获取CRM系统内的用户数据,同时也需要业务开通过程中分配的IP地址信息或从后端网管系统获取的IP地址信息,并将这些数据拼接起来传送到集团IP地址管理系统,并上报到工信部最直接的方式是对于涉及需要接入互联网使用IP地址的业务如:互联网专线业务、数据中心(IDC)业务,将IP地址备案环节纳入业务开通流程,以确保由业务系统触发的IP地址备案的增删改第二种方式是定时从网管系统通过配置分析方式发现新的未备案IP,并通过对IP指向的对应接口描述,反向查找业务系统内用户信息,完成前后数据拼接。
2.1 IP地址备案纳入业务开通流程的方案研究图1 IP地址备案涉及的前后端系统图1所示为手工录入备案时的流程图,以及业务开通环节中各系统的作用:CRM系统:用于受理用户业务,存储在网用户及业务信息资源管理系统:用于分配用户接入物理资源可能包含部分虚拟资源,存储用户接入的网络资源信息,或许有IP资源信息业务服务开通调度系统:有业务开通当时的用户信息和网络信息,用于调度业务开通的各个施工环节和系统网管系统:用于业务开通时自动下发配置,监控网络的设备运行情况,存储设备配置信息IP地址备案系统(集团/工信部):具有存量的IP备案数据以及与管局和工信部IP备案系统接口;用于上报IP备案信息静态用户所需的IP备案信息中用户信息可以从CRM系统获取,IP地址及接入网络信息可以选择从 资源管理系统、业务服务开通调度系统、网管系统之一来获取由于IP备案动作与业务强关联,集团IP地址管理系统无法满足省内个性化需求,促使省内需要新建系统来打通业务流程,构建前后系统联动图2 省IP地址管理系统作用箭头1所示:在资源分配环节,从资源管理系统获取IP;在此环节获取IP地址极大的优点是后续环节施工中导致的工单撤回等问题,均不需要再对IP地址进行变更;但能否完在此环节获取到IP地址信息,关键问题取决于资源系统是否具备准确分配IP地址的能力。
由于IP属于虚拟开放性资源可以是同IP对多线路的关系同时IP资源保持全网唯一;而物理资源管理属于实体资源有严格的一一对应关系;因此如果资源系统不具备IP地址分配能力则此方案不可行; 箭头3所示:在网管系统施工时获取IP地址,由于网管只能自动施工常规工单,非常规需求工单需要人工施工并回填IP地址箭头2所示:在业务工单配置网络设备后,从服务开通调度系统获取网管/人工施工后返回的IP地址信息;在此处获取IP信息可以囊括所有的系统常规施工及手工开通的个性化IP信息综上可以看出在资源分配环节获取IP信息,并完成IP地址备案是最优方案;但受限于系统能力其次是从业务开通调度系统在配置施工环节获取网管和人工施工返回的所有IP是其次方案2.2 从网管采集IP地址拼接用户备案信息的方式图3 网管采集IP地址拼接CRM用户备案信息方式根据对网管配置分析的经验,如果配置方式不规范,人工配置有错漏,或是已撤销业务未删除数据的垃圾配置,特殊配置,网络割接调整等均会导致网络配置分析程序无法分析出IP地址对应的业务标识对网管的采集分析能力有较高要求,并且从业务管控角度考虑应该按单施工属于合理方式但它的优势是网管是与现网紧密关联的,作为一种开通后比对校准手段更为合理。
2.3 综合解决方案另一个需要纳入考虑的是备案时限问题,依照34号令要求,IP地址需要再使用后5个工作日内完成IP地址备案原来依照图1,图2的流程进行IP地址备案动作由于网管施工后到IP地址备案中间还有一个客户业务端装机及测试环节,这个环节取决于客户对业务的测试结果,从经验来看会影响IP地址备案时限但如果将IP地址备案环节串行到业务开通的流程中间,则会增加了一个非业务开通的必须环节,增加一个业务开通风险点影响开通时限或导致用户体验下降结合现有的系统能力和业务现状,广东电信选择图4方案;引入运营仓储系统,采用数据抓取方式CRM系统用户信息及业务服务开通调度系统内的工单回填IP地址运营仓储系统与省IP地址管理系统对接,实现将IP地址备案环节,虚拟化嵌入业务开通流程,实现IP地址在业务开通获取后业务流程与IP备案环节并行图4广东电信IP地址管理系统自动备案方案此方案虽然有诸多优势,但由于接口模式是被动接收型,因此对于CRM中涉及备案用户数据格式不符合要求的部分,无法主动拒绝,只能被动接受而在方案讨论过程中如与CRM系统做实时接口也会增加对业务开通流程的风险性,如接口发生问题将导致流程无法继续,如直接跳过会导致备案失败或缺少数据。
配合该方案提高用户数据准确性的方式,是在CRM系统对客户信息中与备案相关字段,依照IP地址备案的要求进行格式校验和规范对于以前由后端维护人员根据用户信息手工选择的字段,通过在IP地址备案系统固化映射关系来识别和解决3 IP地址备案数据准确性校验方式IP地址备案数据校验分两部分,一部分是IP地址报备率,即已在网使用IP地址是否全备案;另一部分是IP地址准确率,即在网IP地址是否备案用途准确报备率:主要目标是查漏报IP,需要对全省海量的IP资源进行索引,探测IP是否活跃对索引方式的要求,必须速度快,否则IP资源也是在时刻变化的,如果探测周期太长会因为IP地址的状态发生变化而影响结果的准确性,增加每个周期的核对量因此海量快速筛查,较高的准确度及相对高频率的周期,才是检查漏报IP工具需要具备的能力准确率:从备案内容来看主要分为两部分,第一部分是用户数据,第二部分是网络数据用户数据的准确性由业务系统保证,与用户相关的备案数据由前端系统保证其准确性,需要考虑的是用户的更名过户或联系方式变更等无需通过业务施工工单方式调整的信息,都只在业务系统存在内容定期按业务系统更新即可保证数据的准确性 网络数据主要指IP地址,IP地址对应的接口配置的业务号码,以及IP地址所在的设备机房等信息, 这些数据主要留存在后端网管系统中。
IP信息随设备配置变化而变化,一般都可以达到按天更新的周期通过配置分析发现IP地址及IP对应的接口描述可检查IP与其业务是否与备案系统一致从业务受理开通到资源分配,从施工到备案网络配置这些流程中都有人工参与,并不是全自动的;流程繁多,情况复杂,因此还需要与由最终系统与最前系统进行比较,校验一致性并形成完整闭环3.1 检查IP地址报备率3.1.1 PING测及NMAP扫描:对于已备案的IP地址进行扫描是无异议的,对于IP地址管理系统中的空闲IP地址定期扫描可以及时发现漏报IP,Packet Internet Groper ,ping测是IP网络中常用的测试手段,用来快速检测主机是否响应或路由可达但有些网络中设置了禁PING方式,可以采用补充的NMAP扫描方式,检查是否有主机存活通过PING过滤可PING通地址,对于未PING通IP地址进,逐个进行NMAP扫描常用1000个端口,可缩短处理时间以广东电信经验空闲IP一般可在1-2天内完成处理为保证比对结果的准确有效可与IP地址备案系统进行二次比对,过滤掉这2天中已新增的IP地址备案结果再由各级管理员进行核对处理3.1.2路由分析:路由分析也是探索使用过的一种用于检查空闲漏报IP的方式,但并非所有已发布路由的IP地址,都属于在用IP,很多专线地址池IP只能以地址池的地址范围进行路由发布,单实际分配使用需依照现网的配置方式。
并且由于IP网络各层设备均有不同的路由发布方式及控制策略,受限于各类设备的路由处理机制,可采集到的网络设备范围,对分析结果有较大差异从IPV4中的应用效果来看,比PING+NMAP方式要差3.2 检查IP地址准确率:3.2.1用户数据准确性检查:存量用户数据定期更新因为IP备案系统中的存量数据历史已有人工校正准确性较高,而CRM内增量数据较准确而存量数据可能不符合备案要求,因此更新时由ODS系统抓取CRM系统内用于IP地址备案的全量用户数据(专线/IDC等涉及静态公网IP地址产品),由省IP地址管理系统进行数据校验,对于符合备案要求的相关字段用户数据,按CRM最新数据进行更新3.2.2网络数据准确性检查:设备配置文件分析与IP备案比对通过分析纳管设备的配置文件(或通过接口方式收集配置文件),提取接口IP,静态路由及地址池IP可以直观展现IP所在的网络设备,通过设备配置内的业务编码标识,或链路编码标识可与省IP地址备案数据进行比对,作。