【導(dǎo)讀】電信、公用事業(yè)、運(yùn)輸和國(guó)防等關(guān)鍵基礎(chǔ)設(shè)施服務(wù)具有國(guó)家戰(zhàn)略級(jí)重要性。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)列出了16個(gè)被認(rèn)為對(duì)安全至關(guān)重要的此類部門。第21號(hào)總統(tǒng)政策指令(PPD-21):《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》提出了一項(xiàng)國(guó)家政策,旨在加強(qiáng)和維護(hù)關(guān)鍵基礎(chǔ)設(shè)施的安全性、運(yùn)作性和彈性。
電信、公用事業(yè)、運(yùn)輸和國(guó)防等關(guān)鍵基礎(chǔ)設(shè)施服務(wù)具有國(guó)家戰(zhàn)略級(jí)重要性。美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)列出了16個(gè)被認(rèn)為對(duì)安全至關(guān)重要的此類部門。第21號(hào)總統(tǒng)政策指令(PPD-21):《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》提出了一項(xiàng)國(guó)家政策,旨在加強(qiáng)和維護(hù)關(guān)鍵基礎(chǔ)設(shè)施的安全性、運(yùn)作性和彈性。
定位、導(dǎo)航和授時(shí)(PNT)共同構(gòu)成了國(guó)家關(guān)鍵基礎(chǔ)設(shè)施正常運(yùn)作的必要條件。然而,廣泛采用全球定位系統(tǒng)(GPS)作為PNT信息的主要來(lái)源會(huì)引入漏洞。CISA通過(guò)國(guó)家風(fēng)險(xiǎn)管理中心與政府和行業(yè)合作伙伴合作,目的是增強(qiáng)美國(guó)國(guó)家PNT生態(tài)系統(tǒng)的安全性和彈性。2020年初簽署的第13905號(hào)行政命令(E.O.)《通過(guò)負(fù)責(zé)任地使用定位、導(dǎo)航與授時(shí)(PNT)服務(wù)來(lái)增強(qiáng)國(guó)家彈性》通過(guò)政策推廣來(lái)加強(qiáng)政府和基礎(chǔ)設(shè)施運(yùn)營(yíng)商對(duì)PNT服務(wù)的負(fù)責(zé)任運(yùn)用。
下面概述了成本考慮因素并探索了關(guān)鍵基礎(chǔ)設(shè)施有助于增強(qiáng)PNT(重點(diǎn)是同步和精確授時(shí))的三個(gè)關(guān)鍵要素:冗余、彈性和安全性。
評(píng)估成本和位置
運(yùn)營(yíng)商通常很難對(duì)與在架構(gòu)每一層上部署彈性、冗余和安全性相關(guān)的成本進(jìn)行調(diào)整。全新的授時(shí)和同步解決方案及設(shè)計(jì)選擇有助于形成合理的成本結(jié)構(gòu),提供穩(wěn)健且可靠的解決方案。
成本和解決方案類型之間的問(wèn)題通常與考量的部署位置有關(guān)。隨著技術(shù)的演進(jìn),例如SDH/TDM向以太網(wǎng)的遷移以及移動(dòng)LTE/4G和5G的開發(fā),集群辦公室(特別是位于邊緣的網(wǎng)絡(luò)接入點(diǎn))的數(shù)量激增。這必然導(dǎo)致設(shè)備變得更小(通常是1-U機(jī)架可安裝設(shè)備),并且成本與小尺寸邊緣基站(小型蜂窩網(wǎng)和gNodeB)一致。
運(yùn)營(yíng)商面臨著這樣一個(gè)問(wèn)題:在這種環(huán)境下提供冗余、彈性和安全性的最佳方式是什么?需要考慮兩個(gè)核心層級(jí)——架構(gòu)級(jí)和設(shè)計(jì)級(jí)。
探索冗余
可以通過(guò)部署兩端(東/西)的核心功能來(lái)設(shè)計(jì)架構(gòu)級(jí)的冗余,借助雙重路徑實(shí)現(xiàn)方向冗余并利用高性能功能實(shí)現(xiàn)長(zhǎng)距離高效高精度時(shí)間傳輸,從而實(shí)現(xiàn)經(jīng)濟(jì)高效的分布。虛擬主參考時(shí)鐘(vPRTC)架構(gòu)便是此類架構(gòu)級(jí)解決方案。
設(shè)備本身也可以考慮使用冗余。此時(shí),設(shè)計(jì)的選擇至關(guān)重要。小型設(shè)備實(shí)際上無(wú)法通過(guò)模塊化硬件冗余進(jìn)行經(jīng)濟(jì)高效的設(shè)計(jì)。這里的創(chuàng)新是提供軟件冗余,以便部署低成本、高效率且高性能的分布式解決方案。硬件模塊通常很貴,原因有兩個(gè):一是成本;二是冗余模塊會(huì)占用另一個(gè)模塊(通常用于輸入和輸出端口)的空間。
硬件模塊冗余通常會(huì)導(dǎo)致在增加冗余和喪失功能之間做出權(quán)衡,例如,如果支持冗余,則需要在10G以太網(wǎng)(GE)支持或多頻段全球?qū)Ш叫l(wèi)星系統(tǒng)(GNSS)之間進(jìn)行選擇或者做出其他妥協(xié)。另一方面,采用軟件冗余時(shí),則不必做出權(quán)衡。這就是說(shuō),可以在保留所有現(xiàn)有功能的同時(shí)引入冗余,不必去除輸入或輸出,也不必棄用多頻段GNSS功能。冗余是通過(guò)軟件升級(jí)引入的,因此不會(huì)移除任何硬件。然而,硬件冗余意味著在設(shè)備內(nèi)部使用類似模塊復(fù)制現(xiàn)有模塊;新模塊會(huì)占用現(xiàn)有模塊的插槽,現(xiàn)有模塊從單元中移除時(shí)即會(huì)喪失功能。
圖1給出了通常部署的冗余用例,其中包含兩個(gè)使用虛擬路由器冗余協(xié)議(VRRP)的聚合路由器。
圖1:工作單元和備用單元之間的冗余連接示例
軟件冗余是一種基于兩個(gè)價(jià)格合理設(shè)備的雙單元方案,一個(gè)單元處于工作狀態(tài),另一個(gè)單元處于備用狀態(tài)。這種方案更加經(jīng)濟(jì)高效:首先,它不涉及包含昂貴硬件模塊的高成本設(shè)備設(shè)計(jì);其次,每個(gè)單元(不工作狀態(tài)和工作狀態(tài))均保留其所有功能,而硬件冗余設(shè)計(jì)涉及在設(shè)備中復(fù)制模塊,由于要給冗余的模塊讓出位置,很可能會(huì)縮減現(xiàn)有的功能。此外,由于工作單元和備用單元相同,因此軟件冗余是整個(gè)設(shè)備的總?cè)哂?。所有功能都是冗余的,包括振蕩器、GNSS接收機(jī)、端口和輸入/輸出,而硬件模塊僅在其自身功能(而非單元的其余部分)方面是冗余的。
充分利用彈性
架構(gòu)級(jí)的彈性是網(wǎng)絡(luò)設(shè)計(jì)的關(guān)鍵,目的是確保部署中的主時(shí)鐘(grandmaster)可以彼此相連。一些主時(shí)鐘連接到GNSS并將其作為時(shí)間和頻率的來(lái)源。務(wù)必將這些系統(tǒng)與其他1588主時(shí)鐘相連以實(shí)現(xiàn)輔助部分時(shí)間支持(APTS)并利用自動(dòng)不對(duì)稱校正(AAC)等關(guān)鍵創(chuàng)新。AAC是彈性設(shè)計(jì)中的關(guān)鍵(專利)優(yōu)勢(shì),能夠校準(zhǔn)可能由PTP流使用的通向/來(lái)自上行主時(shí)鐘的不同路徑,從而可在GNSS于主時(shí)鐘位置失敗時(shí)實(shí)現(xiàn)備份。上行主時(shí)鐘的備份路徑可以保證不間斷的精確授時(shí)和相位操作。此架構(gòu)確保在GNSS發(fā)生中斷時(shí)可以通過(guò)IEEE 1588精確授時(shí)協(xié)議(PTP)對(duì)其進(jìn)行備份,而且利用了最佳路徑。
另一種架構(gòu)選擇是虛擬PRTC(vPRTC),它支持運(yùn)營(yíng)商通過(guò)使用PTP的高性能邊界時(shí)鐘鏈來(lái)利用冗余和彈性在長(zhǎng)距離上實(shí)現(xiàn)高精度(通常在光網(wǎng)絡(luò)上);這種架構(gòu)減少了對(duì)GNSS的依賴,并使用PTP作為其主要時(shí)間和相位來(lái)源。
圖2給出了具有專用光授時(shí)通道(OTC)的光網(wǎng)絡(luò)部署,這種部署可在較長(zhǎng)的距離上實(shí)現(xiàn)高精度相位分布。
圖2:具有OTC的光網(wǎng)絡(luò)部署
設(shè)備級(jí)的彈性從正確選擇振蕩器開始(從OCXO到原子鐘(銣)),具體取決于位置、用例和相應(yīng)的計(jì)時(shí)保持性能要求。此外,GNSS接收機(jī)的選擇十分關(guān)鍵,因?yàn)橐恍┙邮諜C(jī)通常支持單一頻率,但電離層現(xiàn)象會(huì)在周期性事件(如太陽(yáng)風(fēng)暴)期間產(chǎn)生相當(dāng)大的延時(shí);為了減小此類延時(shí),需要使用多頻段GNSS接收機(jī)。
圖3對(duì)比了由于電離層效應(yīng)導(dǎo)致的單頻段延時(shí)和多頻段延時(shí),并給出了多頻段如何明顯減小時(shí)間誤差(用紅色突出顯示)。
GNSS衛(wèi)星以多個(gè)頻段發(fā)送時(shí)間信息。不同頻率信號(hào)之間的延時(shí)差異提供了電離層對(duì)絕對(duì)延時(shí)造成的影響的信息。利用這些信息,多頻段GNSS接收機(jī)便可補(bǔ)償從衛(wèi)星發(fā)送到接收機(jī)的無(wú)線電信號(hào)的延時(shí)差異。嵌入多頻段接收機(jī)可減小此類延時(shí),這對(duì)于需要40 ns的B類主參考時(shí)鐘(PRTC-B)以及30 ns的增強(qiáng)型PRTC(ePRTC)的應(yīng)用至關(guān)重要。
這些設(shè)備設(shè)計(jì)的選擇也同樣重要。GNSS接收機(jī)既可以嵌入到主板上的單元內(nèi),也可以作為硬件模塊提供,但后者通常需要額外的成本,而且可能需要拆卸和更換現(xiàn)有模塊。更可取的做法是,采用已啟用多頻段接收機(jī)的單元并通過(guò)許可證開啟多頻段功能,而不是在硬件模塊上提供多頻段選項(xiàng),因?yàn)楹笠环N做法需要與其他重要功能進(jìn)行權(quán)衡。
評(píng)估安全性
安全至關(guān)重要。通過(guò)終端接入控制器訪問(wèn)控制系統(tǒng)+(TACACS+)和遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)等標(biāo)準(zhǔn)機(jī)制進(jìn)行身份驗(yàn)證和授權(quán)可提供標(biāo)準(zhǔn)安全框架的優(yōu)勢(shì)。此外,雙因素身份驗(yàn)證(2FA)是一層額外的保護(hù),并非僅僅通過(guò)用戶名和密碼確保帳戶的安全。
另外,務(wù)必為安全外殼(SSH)擴(kuò)展提供不同級(jí)別的安全配置文件,以便針對(duì)用戶類型以及相關(guān)的訪問(wèn)權(quán)限和限制提供更多粒度。提供高安全性配置文件可定義和執(zhí)行最嚴(yán)格的系統(tǒng)訪問(wèn)規(guī)則。
需要解決腳本漏洞以及相關(guān)的常見漏洞和暴露(CVE?)問(wèn)題,以確保審查和解決所有潛在的安全漏洞。
此外,不斷演變的干擾和欺騙威脅需要成為精確授時(shí)安全策略的一部分,并通過(guò)信號(hào)監(jiān)測(cè)、一致性檢查和修復(fù)來(lái)實(shí)現(xiàn)??梢岳米詣?dòng)增益控制(AGC)和其他指標(biāo)提供閾值,并解釋對(duì)應(yīng)結(jié)果以及出現(xiàn)相應(yīng)結(jié)果時(shí)的緩解措施。
最終決策
為了確保持續(xù)的性能,做出正確的架構(gòu)選擇十分關(guān)鍵。全面的網(wǎng)絡(luò)工程設(shè)計(jì)研究應(yīng)包括需要部署主時(shí)鐘單元的位置及其性能和精度要求。這些步驟將指導(dǎo)說(shuō)明需要選擇哪種類型的精確授時(shí)和同步設(shè)備。
此外,網(wǎng)絡(luò)規(guī)劃人員和同步工程師應(yīng)特別注意設(shè)計(jì)選擇,例如無(wú)風(fēng)扇的設(shè)備與需要風(fēng)扇的設(shè)備、模塊化硬件冗余與軟件冗余、成本和權(quán)衡方面的相關(guān)優(yōu)勢(shì),以及類似有關(guān)嵌入式或模塊化GNSS的選擇。
這些選擇可以引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商在所有部署層級(jí)部署冗余、彈性和安全性。
(來(lái)源:Microchip,作者:頻率與時(shí)間系統(tǒng)業(yè)務(wù)部 新興產(chǎn)品主管Eric Colard)
免責(zé)聲明:本文為轉(zhuǎn)載文章,轉(zhuǎn)載此文目的在于傳遞更多信息,版權(quán)歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權(quán)問(wèn)題,請(qǐng)電話或者郵箱editor@52solution.com聯(lián)系小編進(jìn)行侵刪。
推薦閱讀:
ADI浪涌抑制器——為產(chǎn)品的可靠運(yùn)行保駕護(hù)航
我愛方案網(wǎng)推出PLBUS PLC應(yīng)用方案 與力合微共建方案商生態(tài)
基于PLC通信技術(shù)的單燈控制器,讓城市路燈更智慧!