河南移动GPRS核心网优化报告

河南移动 GPRS核心网优化交流材料 概述 河南移动 GPRS核心网优化在 GPRS四期扩容过程中（ 2004年 10月）开始介入，历时 3个多月，共形成 11个专题，每一个专题都有分析报告，报告中均包含设立专题的原因、专题分析、发现的问题和解决问题的建议等 专题的确认 本着核心网优化为维护服务为网络良好运行服务的原则，选择专题 专题的确认来自两个方面 从网络安全运行的角度发现问题 从提高客户感知的角度发现问题 GPRS核心网优化专题 一、 GPRS核心网网络拓扑分析 二、 GPRS核心网 IDS（ Intrusion Detection System） 分析 三、 GPRS核心网病毒监测分析 四、 FW的性能分析 五、 GGSN acl分析 六、 KPI分析 -GPRS PDP激活指标分析 七、 KPI分析 -DNS分析 八、 GPRS容量预警更新 九、 SGSN参数分析 十、 MMS分析 十一、 MRTG（ The Multi Router Traffic Grapher） 工具使用 一、网络拓扑分析 经过 GPRS四期扩容，新增加了多个网元，并对原有的网络设备进行了调整和改造，拓扑结构发生很大变化，即由原来的单平面改造为双平面。 通过优化网络拓扑、改进网络路由，加强了负荷分担、路由备份功能，从而提高 GPRS核心网络的整体运行质量。 目的 一、网络拓扑分析 1. Switch与 GGSN之间 OSPF路由配置问题 . 1.1. OSPF路由域没有指定 DR路由器 . 1.2. OSPF路由域没有优化数据传输路径 . 2. 出口 FIREWALL的 VLAN间没有配置容错 . 3. CMNET至 GPRS CORE的入网路由不支持链路冗余和负载均衡 . 4. Gi 接口 RIP路由存在路由广播泛滥以及由此导致的路由循环问题 . 发现问题 一、网络拓扑分析 1. Switch与 GGSN之间 OSPF路由配置解决方案 . 1.1. 指定 SW-1SW-2分别为 DR路由器和 BDR路由器 . 1.2. 通过指定 Cost值优化数据传输路径 . 2. 通过 VRRP技术使出口 FIREWALL的 VLAN监控所有端口状态 ,实现完全容错 . 3. 通过 VRRP技术实现 CMNET至 GPRS CORE的入网路由完全容错 . 4. 定义 GGSN的 Gi接口只广播 RIP路由而不接收 RIP路由 . 问题解决方案 二、 GPRS核心网 IDS分析 分析 GPRS核心网中攻击及可疑行为的类型和分布； 分析攻击及可疑行为对网络安全所产生的影响。 目的 二、 GPRS核心网 IDS分析 1. GPRS核心网仍然面临来自多方面的安全威胁，如内部用户的误操作、 GPRS用户或 internet用户的主动攻击行为，以及病毒、恶意的网页代码等。 2. 当前大部分的网络报警事件都是一些非标准网络行为或病毒感染导致。安全威胁较高的系统溢出、密码猜解等主动攻击行为较少见。 发现问题 二、 GPRS核心网 IDS分析 GGSN和防火墙对 GPRS核心网的保护明显而且有效，在GGSN的 ACL和防火墙的安全规则中进行部分调整，进一步屏蔽了可能存在的安全漏洞。 问题解决方案 三、 GPRS核心网病毒监测分析 对当前的核心网病毒流量情况进行分析，与一期优化项目的病毒流量情况进行比较，从而判断 GPRS核心网病毒流量的变化趋势。 目的 三、 GPRS核心网病毒监测分析 1. 当前网络主要存在恶性蠕虫病毒和 Email病毒，其中 “ 震荡波 ” 病毒影响最大。 2. 与前期优化项目时的各项数据比较，目前 GPRS网络的病毒流量无论从 packet还是 byte来看都已经大大地降低，对GPRS网络的影响也已经非常低。 发现问题 三、 GPRS核心网病毒监测分析 从目前的 GGSN和防火墙的规则配置来看，需要做进一步的调整，从而更好地屏蔽来自 GPRS用户和 Internet的病毒流量。 问题解决方案 四、 FW的性能分析 GPRS核心网拓扑结构变化较大， FW作为 GPRS核心网安全设备，需要重新分析和定义安全策略。 目的 四、 FW的性能分析 1. 各 FW的 OM-VLAN接口存在 IP SPOOFING安全隐患，因此需要打开该接口的 ANTI-SPOOFING功能； 2. 各 FW的物理内存利用率偏高； 3. GPRS核心网络拓扑及路由优化对 FW-1的各主要接口数据吞吐量有一定影响，整体来看流量随用户数量增加而同步增加。 发现问题 四、 FW的性能分析 1. 各 FW的 OM-VLAN接口存在 IP SPOOFING安全隐患，因此需要打开该接口的 ANTI-SPOOFING功能； 2. 各 FW的物理内存利用率偏高； 3. 采用第三方的网络流量管理和分析软件如 MRTG建立GPRS核心网络流量变化趋势的 BASELINE和预警机制； 4. 采用独立的第三方 LOG分析软件记录各网元的 LOG信息 问题解决方案 五、 GGSN acl分析 GPRS核心网拓扑结构变化较大，需要对 GGSN的接入列表详细分析，配合 FW进一步加强 GPRS核心网的安全性。 目的 五、 GGSN acl分析 1. 由于 GPRS四期扩容的 IP地址段和路由拓扑的变更，导致了 Gn接口、 Gi接口上原有安全配置的失效，造成安全漏洞。 2. 在 Gn以及 Gi接口的 ACL配置中源 IP地址定义范围较宽或未限定特定服务的端口号从而削弱了安全性，可能导致 IP欺骗的攻击行为。 3. 对于 GGSN-3、 GGSN-4定义了 CMNET APN、 CMWAP APN，因此需要对来自 internet的蠕虫病毒扫描端口进行全面的封锁。 发现问题 五、 GGSN acl分析 1. 对每个 GGSN上配置的 APN尽量关闭 Intermobile Traffic、 Inter-AP Traffic参数选项； 2. 将原先定义 Gn接口的 ACL配置细分为 Gn_2、 Gn_3接口各自的 ACL配置； 3. 将原先定义 Gi接口的 ACL配置细分为 Gi_1、 Gi_2接口各自的 ACL配置； 4. 按照最新的地址规划更新所有 GGSN上的接口 ACL配置； 5. 尽量精确定义源 IP地址的范围，除所有必须的源 IP地址和服务端口号允许通过外，限制其余的 IP地址通过。防止 IP Spoofing攻击； 6. 对 GGSN-3、 GGSN-4增加对蠕虫病毒扫描端口 Tcp port 139端口以及ICMP协议端口的限制，保护 GPRS核心网免受 MS病毒的威胁； 7. 删除各 GGSN上的冗余 ACL配置； 问题解决方案 六、 KPI分析 -GPRS PDP激活指标分析 分析 GPRS PDP激活指标低的原因 目的 六、 KPI分析 -GPRS PDP激活指标分析 1、当前 GPRS成功率应为 90 93。 2、因用户终端造成的 GPRS PDP激活失败占 6 8 3.、其他原因造成的 GPRS PDP激活失败比例不足 1 发现问题 七、 KPI分析 -DNS分析 随着 GPRS用户量的增加，本次优化对 GPRS核心网的 DNS设备进行优化 目的 七、 KPI分析 -DNS分析 1.在 DNS中，一些相邻省 RAC、 LAC和 PAPU单元的 IP没有对应。 2. 在 DNS上看到 SGSN送到 DNS的查询，有不同进制的LAC/RAC 发现问题 七、 KPI分析 -DNS分析 1.在 DNS中，添加相邻省 RAC、 LAC和 PAPU单元 IP的对应关系。 2. 在 SGSN升级到 SG3后，问题解决。 问题解决方案 八、 GPRS容量预警更新 由于十月份新增加了两台 SGSN，并配置在 SG3版本。需要针对网络升级带来的容量上变化做一个分析。 目的 八、 GPRS容量预警更新 1. 新增 SGSN容量的变化只涉及 SGSN容量的变化。其容量较之 SG2有以下的变化： SMMU容量从 6万到 8万，支持的容量和 PDP也都有增加。 2. 现有的 SGSN1/SGSN2升级到 SG3只涉及 SG3的功能性升级 发现问题 八、 GPRS容量预警更新 考虑到 GPRS业务增长的因素以及扩容周期，我们定义 80为预警门限，部分网元和接口考虑到其它情况有具体数值。 问题解决方案 九、 SGSN参数分析 新扩容 SGSN3、 SGSN4的版本为 SG3，同 SG2参数有所变化，需要分析新参数的特点，灵活利用一些参数来满足不同时期的网络要求 目的 九、 SGSN参数分析 1、 IMEI check 鉴权打开，造成不必要的网络延时。 2、 DETACH TIMER 时间设置为 18个小时，造成不使用GPRS业务的附着用户，长时间占用网络附着资源，造成目前 SGSN附着容量紧张，甚至影响部分地区的 GPRS业务。 发现问题 九、 SGSN参数分析 问题解决方案 1、关闭 IMEI check 鉴权 2、将 DETACH TIMER 时间设置为 4个小时，这样会节省一部分 SGSN的附着资源，但对某些不符合规范的终端，需要在使用 GPRS业务前重启终端，方能使用。 十、 MMS分析 1. 通过对目前全省 MMS使用情况进行分析，发现 MMS存在的主要问题并对其进行分析。 2. 对常见 MMS问题总结分析思路和排错方法，提高用户的维护水平。 目的 十、 MMS分析 1. 1. MMS产生的问题： MO_Message_format_corrupt 计数 1次 占了 总体 0%， MO_Service_denied 计数 394次，占了总体 57%， 主要是发送手机的用户产生的问题，如黑白名单，欠费，发送至不同的服务商。 MO_content_no_accpect 计数为 11次 ，占了总体 2%。 2 WAP 层产生的问题： WAP Errors 记录 287次，占了 总体 41%。 主要是手机开发商 wap的协议软件的问题，还有一些是用户操作，如放弃了相关的请求等，但软件识别的 WAP层的错误并不代表 MMS发送和接收错误 发现问题 十、 MMS分析 1, 由 1860客服通过已有的信息判断用户（发送和接收）SIM 是否开通了相应的 MMS服务，直接排除由于用户行为造成的问题。 2. 定期采用 MMSMAX软件对全网的 MMS发送情况进行检查，及时发现问题。 问题解决方案 十一、 MRTG应用 1、在 GGSN/FW上可以通过 GUI的方式察看实时的性能指标数值，但指标长期变化趋势不能完全反映真实的情况。 2、采用通过设置系统计划任务的方式，将占用宝贵的CPU、 MEM和 Storage资源。同时所采集的