NGN在長(cháng)途骨干網(wǎng)的應用

2007/05/24

圖1　NGN長(cháng)途骨干網(wǎng)解決方案網(wǎng)絡(luò )模型

組網(wǎng)方案

　　NGN網(wǎng)絡(luò )作為現有TDM長(cháng)途網(wǎng)的補充，實(shí)現話(huà)務(wù)的分擔和保護。NGN大容量、廣覆蓋的優(yōu)勢，可以快速分流長(cháng)途話(huà)務(wù)。NGN網(wǎng)與TDM網(wǎng)的關(guān)系如圖2所示。

圖2　NGN長(cháng)途網(wǎng)與TDM長(cháng)途網(wǎng)結構

軟交換的設置

　　軟交換作為NGN網(wǎng)絡(luò )的核心，負責控制中繼網(wǎng)關(guān)設備，實(shí)現呼叫控制及路由管理。軟交換應放置在中心節點(diǎn)，作為現有長(cháng)途局的補充，在網(wǎng)絡(luò )位置上平行于現有長(cháng)途局。

　　NGN承載在IP網(wǎng)上，采用開(kāi)放的體系架構，一套軟交換可以控制多個(gè)媒體網(wǎng)關(guān)。軟交換可采用相對集中設置的方式，不需要與媒體網(wǎng)關(guān)配對設置。

　　考慮到建網(wǎng)初期的網(wǎng)絡(luò )規模及業(yè)務(wù)流量，可按地域將NGN網(wǎng)絡(luò )分為若干個(gè)NGN域，在每個(gè)NGN域選取一個(gè)城市作為大區中心，每個(gè)大區中心設立一對軟交換，并設置在不同局址，實(shí)現異地雙歸屬冗余備份。大區軟交換控制本大區的中繼網(wǎng)關(guān)，對長(cháng)途業(yè)務(wù)進(jìn)行分流和保護。對于單TDM DC1的城市，TG作為第二長(cháng)途局，對現有DC1長(cháng)途話(huà)務(wù)進(jìn)行分流，與現有DC1形成雙節點(diǎn)進(jìn)行負荷分擔，為長(cháng)途業(yè)務(wù)提供較高的安全保證。對于多TDM DC1的城市，TG作為DC1的備份，與DC1負荷分擔長(cháng)途語(yǔ)音業(yè)務(wù)。

中繼網(wǎng)關(guān)的設置

　　中繼網(wǎng)關(guān)作為與長(cháng)途的匯接點(diǎn)，負責媒體流的轉換，實(shí)現TDM旁路、TDM與VoIP業(yè)務(wù)流之間的編解碼、打包/拆包、時(shí)延抖動(dòng)濾除等功能。中繼網(wǎng)關(guān)與軟交換之間采用H.248協(xié)議。

　　實(shí)施雙歸屬時(shí)，兩個(gè)軟交換各承擔部分話(huà)務(wù)，需設置中繼網(wǎng)關(guān)雙歸屬到大區軟交換。中繼網(wǎng)關(guān)配置軟交換的原則是，盡量使軟交換的負荷均衡，即各50%的分配原則。

NGN網(wǎng)絡(luò )安全性

　　NGN網(wǎng)絡(luò )的安全性涉及設備安全性和網(wǎng)絡(luò )安全性?xún)刹糠帧?

設備安全性

　　設備安全性包括軟交換設備安全性和中繼網(wǎng)關(guān)設備安全性。

軟交換設備安全性

　　軟交換設備負責控制大量的設備和呼叫接續，處理能力和功能非常強大。一個(gè)軟交換能支持百萬(wàn)用戶(hù)或等效中繼，這一方面簡(jiǎn)化了網(wǎng)絡(luò )結構和層次，有效降低了設備成本和運維支出，另一方面也帶來(lái)了安全隱患。當軟交換設備出現故障時(shí)，將導致大范圍的通信故障，給整個(gè)網(wǎng)絡(luò )造成非常大的影響。

　　為了保證軟交換設備的安全性，首先，要確保軟交換設備自身的安全性。以上海貝爾阿爾卡特A5020 MGC軟交換為例，主要采取了下面幾個(gè)措施：（1）在對外網(wǎng)絡(luò )接口上，除了系統需要使用的服務(wù)外，如H.248、SIP、MGCP、H.323、INAP等相關(guān)協(xié)議，其他不使用的網(wǎng)絡(luò )服務(wù)（如HTTP）一律關(guān)閉，防止非法用戶(hù)通過(guò)非法的服務(wù)入侵設備。（2）利用網(wǎng)絡(luò )路由器實(shí)現防火墻功能和網(wǎng)絡(luò )安全協(xié)議IPSec的功能，防止非法用戶(hù)通過(guò)惡意攻擊、竊聽(tīng)等手段破壞合法用戶(hù)的正常服務(wù)。（3）網(wǎng)絡(luò )管理系統提供嚴格的用戶(hù)認證功能，只有通過(guò)認證并擁有合法權限的用戶(hù)，才可以對A5020 MGC的各網(wǎng)元進(jìn)行正常的網(wǎng)絡(luò )管理。

　　其次，采用軟交換雙歸屬機制來(lái)保證軟交換設備的安全性。雙歸屬機制是NGN領(lǐng)域獨特的安全容災技術(shù)，能夠實(shí)現異地的容災備份，這對于應付突發(fā)事件具有重要意義。雙歸屬機制主要解決以下問(wèn)題：（1）連接性檢測。這包括網(wǎng)關(guān)、終端設備與軟交換之間的連接性檢測。當檢測到連接丟失后，能夠向備份軟交換設備重新注冊。主備份軟交換之間通過(guò)連接性檢測來(lái)判斷對端軟交換的運行狀態(tài)。其他軟交換通過(guò)檢查與主備份軟交換之間的連接性，更新其內部路由表，決定呼叫路由策略。（2）網(wǎng)關(guān)、終端設備的重新注冊。網(wǎng)關(guān)、終端設備必須具備針對軟交換的重新注冊功能。在網(wǎng)關(guān)、終端設備上配置軟交換列表，當檢測到主軟交換不可達時(shí)，自動(dòng)向軟交換列表中的其他軟交換發(fā)起注冊。（3）軟交換之間數據的同步及切換策略。當主備份軟交換之間發(fā)現對方不可達時(shí)，采取必要的措施報告該事件，并決定切換策略。

中繼網(wǎng)關(guān)設備安全性

　　在NGN網(wǎng)絡(luò )中，中繼媒體網(wǎng)關(guān)必須保證最高級別的可靠性和可用性，以滿(mǎn)足最苛刻的應用需求。以上海貝爾阿爾卡特A7510中繼媒體網(wǎng)關(guān)為例，綜合采取了兩個(gè)措施：（1）冗余性。其設計目標是要支持不間斷的系統運行，不出現任何單點(diǎn)故障。A7510支持20個(gè)模塊，每個(gè)模塊可以1+1冗余或者N+1冗余。每一個(gè)備用模塊中都維護著(zhù)一致的配置信息，防止在維護或升級操作時(shí)，當A7510網(wǎng)關(guān)從活動(dòng)模塊切換到備用模塊時(shí)，發(fā)生在線(xiàn)呼叫丟失。（2）內存共享。每個(gè)模塊都包含完整的軟件拷貝，確保A7510網(wǎng)關(guān)在軟件升級過(guò)程中，或者在某個(gè)模塊出現故障的情況下，繼續保持聯(lián)機的有效狀態(tài)。冗余的組件包括系統以及管理軟件、信令以及網(wǎng)關(guān)控制軟件等。

網(wǎng)絡(luò )安全性

　　網(wǎng)絡(luò )的安全性包括網(wǎng)絡(luò )防攻擊能力和網(wǎng)絡(luò )冗余配置。

網(wǎng)絡(luò )防攻擊能力

　　鑒于NGN長(cháng)途骨干網(wǎng)的重要性，建議NGN長(cháng)途網(wǎng)承載于專(zhuān)用的IP網(wǎng)上，實(shí)現NGN核心設備與普通數據流的物理或邏輯隔離，保證網(wǎng)絡(luò )的安全性和防攻擊能力。為了防止外網(wǎng)的非法訪(fǎng)問(wèn)，可以通過(guò)在三層交換機中劃分VLAN和定義訪(fǎng)問(wèn)控制列表（ACL）的方式進(jìn)行防護。

　　可以將NGN網(wǎng)絡(luò )劃分為核心網(wǎng)絡(luò )區（信令信任區）、核心媒體區（信令媒體信任區）、網(wǎng)管計費區（運維信任區）、半信任區（DMZ）、非信任區這5個(gè)區域。根據不同的區域，在防火墻上定義所需要的ACL。對于不符合ACL的IP包，防火墻將丟棄之。防火墻本身在各區域之間按照路由進(jìn)行配置。

網(wǎng)絡(luò )冗余配置

　　除了設備本身的可靠性之外，還必須考慮承載網(wǎng)的高可靠性。因此，必須考慮IP網(wǎng)絡(luò )設備的容錯性和冗余性，使得在網(wǎng)絡(luò )組件發(fā)生意外故障，以及進(jìn)行計劃內網(wǎng)絡(luò )升級和變動(dòng)時(shí)，網(wǎng)絡(luò )都能夠保持正常運行。

　　冗余配置如圖3所示。核心設備通過(guò)主備份網(wǎng)口與主備份三層交換機連接，主備份交換機之間有VLAN TRUNK（兩條物理鏈路通過(guò)802.3ad或FEC匯聚）的連接。同時(shí)主備交換機之間運行VRRP協(xié)議，以保證路由的惟一性。這種網(wǎng)絡(luò )的冗余配置，可以避免單點(diǎn)故障的發(fā)生。

圖3　網(wǎng)絡(luò )的冗余配置

中國通信網(wǎng)(www.c114.net)