支持ICT業(yè)務(wù)的企業(yè)信息通信網(wǎng)關(guān)應用解析

李江寧 王波 王英 花欣 2010/07/13

• 路由、交換一體化，支持2個(gè)以太網(wǎng)WAN口加4/8個(gè)以太網(wǎng)LAN口；


• 寬帶、窄帶一體化，支持從N×64 kbit/s到100 Mbit/s廣域網(wǎng)鏈路接口；


• 廣域、局域一體化，支持廣域網(wǎng)和局域網(wǎng)的統一控制和管理；


• 有線(xiàn)、無(wú)線(xiàn)一體化，支持3G和WLAN接入，能夠和有線(xiàn)網(wǎng)絡(luò )進(jìn)行無(wú)縫對接；


• 數據、語(yǔ)音一體化，支持數據多業(yè)務(wù)的開(kāi)展和VoIP功能，并能進(jìn)一步擴展為IPPBX；


• 信息、通信一體化，支持豐富的增值應用、網(wǎng)絡(luò )應用監管。

　　MP1800系統架構如圖所示。

圖1:MP1800的系統架構

　　MP1800采用了先進(jìn)的400 MHz的 PowerPC嵌入式雙核處理器，配以256 MB，64bit/133 MHz的DDR2 SDRAM、最大256 MB的Flash。MP1800在設計上對通信接口和增值業(yè)務(wù)模塊提供了良好的支持，包括通過(guò)CPU自帶的接口提供了窄帶接口（E1/CE1、同異步串口等）、4端口的IP語(yǔ)音模塊、4/8端口的10/100M/1 000M LAN以太交換接口、2端口的10/100M WAN以太路由接口、1端口的ADSL/ADSL2+接口、4端口的G. SHDSL接口；通過(guò)64bit/33MHz的PCI總線(xiàn)擴展出支持802.1b/g協(xié)議的WLAN接口和支持100 Mbit/s加密性能的硬件加密模塊；通過(guò)USB2.0接口擴展支持WCDMA/cdma2000/TD-CDMA的3G Modem接口。

　　多業(yè)務(wù)融合設計

　　MP1800做到了多業(yè)務(wù)和高性能的完美結合，實(shí)現了包括路由、交換、IP語(yǔ)音、安全、無(wú)線(xiàn)接入、防火墻和滿(mǎn)足電信要求的網(wǎng)管功能，能承擔以前多種通信設備才能承擔的任務(wù)。

　　MP1800的高性能設計

　　為了滿(mǎn)足政府、中小企業(yè)、電信運營(yíng)商對信息通信設備越來(lái)越高的性能需求，MP1800在軟件體系上進(jìn)行了專(zhuān)門(mén)設計和優(yōu)化，最主要的一個(gè)特點(diǎn)是采用了雙核處理器來(lái)進(jìn)行數據報文的處理，其中一個(gè)處理器核心專(zhuān)門(mén)處理所有通信接口來(lái)的的數據報文，對其進(jìn)行收發(fā)、識別、分類(lèi)和快速轉發(fā)，保證數據的高效處理；而另一個(gè)處理器核心則處理復雜的網(wǎng)絡(luò )應用和用戶(hù)配置，比如網(wǎng)絡(luò )安全、MPLS和動(dòng)態(tài)路由協(xié)議功能，這樣的設計使得MP1800能夠做到轉發(fā)和控制/管理相分離，互相不受影響，因此MP1800能夠做到64 byte報文的雙向百兆全線(xiàn)速轉發(fā)，即使在配置了復雜的ACL/QoS功能時(shí)性能也沒(méi)有太大的影響。此外，為了提高IPSec安全性能，MP1800采用了硬件加密模塊，能夠達到100 Mbit/s的加解密性能。

　　MP1800的QoS功能

　　由于政府、中小企業(yè)客戶(hù)越來(lái)越重視關(guān)鍵業(yè)務(wù)的通信質(zhì)量，因此QoS功能在未來(lái)的網(wǎng)絡(luò )應用中將發(fā)揮越來(lái)越重要的作用。MP1800為用戶(hù)提供了流分類(lèi)、流量監管、流量整形、擁塞管理和擁塞避免等多種應用。

　　（1）流分類(lèi)

　　MP1800的QoS支持豐富的業(yè)務(wù)分類(lèi)標準，可廣泛應用于傳統IP、MPLS和以太網(wǎng)等多種業(yè)務(wù)網(wǎng)絡(luò )中。MP1800支持業(yè)務(wù)深度識別功能，能夠識別多種應用層協(xié)議，如HTTP、BT應用等，可為語(yǔ)音、視頻、文件傳輸、Web瀏覽等不同應用提供不同的QoS服務(wù)。

　　（2）流量監管和流量整形

　　MP1800支持單速雙色和雙速三色的令牌桶算法，對超出規格的流量可以實(shí)施預先設定好的監管動(dòng)作。這些動(dòng)作可以是：轉發(fā)、丟棄、改變優(yōu)先級并轉發(fā)、進(jìn)入下一級的監管。

　　（3）擁塞管理

　　當報文到達的速度大于該接口發(fā)送的速度時(shí)，在該接口處就會(huì )產(chǎn)生擁塞，發(fā)生報文丟失，而報文的丟失又可能會(huì )導致發(fā)送該報文的主機或路由器因超時(shí)而重傳此報文，這將導致惡性循環(huán)。擁塞管理的中心內容就是當擁塞發(fā)生時(shí)如何制定一個(gè)資源的調度策略，決定報文轉發(fā)的處理次序。MP1800的QoS提供豐富的調度策略，例如FIFO、PQ、CQ、WFQ、CBWFQ，每一種調度策略都可以為一種關(guān)鍵業(yè)務(wù)應用而設計。

　　MP1800的2層交換功能

　　MP1800提供了豐富的二層以太網(wǎng)功能，包括MSTP、GARP/GVRP、LACP、以太網(wǎng)OAM、UDLD等，因此使用MP1800能夠方便、完善地構建一個(gè)局域網(wǎng)絡(luò )，快速、有效、安全地布置各種業(yè)務(wù)。
MSTP是一種生成樹(shù)協(xié)議，可以通過(guò)有選擇性地阻塞網(wǎng)絡(luò )冗余鏈路來(lái)達到消除網(wǎng)絡(luò )二層環(huán)路的目的，同時(shí)具備鏈路備份功能。
　　端口匯聚技術(shù)分為靜態(tài)匯聚和動(dòng)態(tài)匯聚，是將多個(gè)端口聚合在一起形成一個(gè)匯聚組，不僅可以提高鏈路帶寬，實(shí)現流量在匯聚端口上的負載分擔，也能提高連接可靠性。

　　以太網(wǎng)OAM作為一個(gè)二層協(xié)議，是監控和解決網(wǎng)絡(luò )問(wèn)題的工具。它能夠在數據鏈路層報告網(wǎng)絡(luò )的狀態(tài)，使網(wǎng)絡(luò )管理員能夠更有效地管理網(wǎng)絡(luò )。這個(gè)功能能夠使電信運營(yíng)商方便地管理和維護設備，提升他們的客戶(hù)滿(mǎn)意度。

　　MP1800的安全功能

　　MP1800實(shí)現了多種安全技術(shù)來(lái)保障設備信息通信安全，這些技術(shù)有IPSec、SSL VPN、802.1x接入控制認證和防火墻等。

　　（1）保證數據傳輸安全的IPSec功能

　　IPSec是一種三層隧道加密協(xié)議，它能夠為Internet上傳輸的數據提供高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。它能夠提供以下的安全服務(wù)：

　　數據機密性：IPSec發(fā)送方在通過(guò)網(wǎng)絡(luò )傳輸包前對包進(jìn)行加密；

　　數據完整性：IPSec接收方對發(fā)送方發(fā)送來(lái)的包進(jìn)行認證，確保數據在傳輸過(guò)程中沒(méi)有被篡改；

　　數據來(lái)源認證：IPSec在接收端可以認證發(fā)送IPSec報文的發(fā)送端是否合法；

　　防重放：IPSec接收方可檢測并拒絕接收過(guò)時(shí)或重復的報文。

　　通常，IPSec在一些低端通信設備上都是通過(guò)軟件實(shí)現，由于復雜的加密/解密、認證算法會(huì )占用大量的CPU資源，從而影響設備整體處理效率。MP1800使用硬件加密模塊，將復雜的算法處理在硬件上進(jìn)行，從而使得MP1800的IPSec加密性能能夠達到100M bit/s，完全滿(mǎn)足未來(lái)政府和中小企業(yè)日益復雜的應用和信息通信安全需要。

　　（2）防范非法訪(fǎng)問(wèn)的防火墻功能

　　政府、中小企業(yè)客戶(hù)對網(wǎng)絡(luò )安全性日益重視，據統計，對網(wǎng)絡(luò )安全威脅最大的是網(wǎng)絡(luò )攻擊與非法訪(fǎng)問(wèn)。

　　常見(jiàn)的攻擊有ARP攻擊、NAT攻擊、路由攻擊、異常流量攻擊等。對于A(yíng)RP攻擊，MP1800可以采用IP-MAC地址綁定進(jìn)行解決；對于NAT攻擊、路由攻擊、異常流量攻擊可以采取IP流量限速和NAT限制。

　　MP1800在內部設計了防火墻，支持包過(guò)濾、訪(fǎng)問(wèn)控制、URL過(guò)濾等功能。當要求限制內部員工PC上網(wǎng)時(shí)，可以通過(guò)限制IP地址方式禁止其上網(wǎng)；當要求限制上某個(gè)網(wǎng)站時(shí)，可以通過(guò)URL過(guò)濾功能限制對非工作網(wǎng)站的訪(fǎng)問(wèn)。

　　MP1800無(wú)線(xiàn)功能

　　（1）支持局域無(wú)線(xiàn)的WLAN 功能

　　WLAN最大的優(yōu)勢就是免去或減少了繁雜的網(wǎng)絡(luò )布線(xiàn)，在對WLAN的支持上，MP1800能夠提供精細的用戶(hù)控制管理、靈活的安全機制、端到端的QoS等功能。

　　MP1800在接入無(wú)線(xiàn)用戶(hù)時(shí)，可以通過(guò)設置基于VLAN、基于A(yíng)P和基于SSID的用戶(hù)接入控制方式等實(shí)現無(wú)線(xiàn)用戶(hù)精細化管理。

　　WLAN無(wú)線(xiàn)網(wǎng)絡(luò )的安全性主要體現在認證和鏈路加密兩個(gè)方面。認證用來(lái)保證只能由授權用戶(hù)進(jìn)行訪(fǎng)問(wèn)，鏈路加密則保證發(fā)送的數據只能被特定的用戶(hù)所接收。MP1800支持802.1X認證、Open System和Share Key認證方式；支持WPA-PSK、WPA2-PSK、WEP、AES、TKIP加密。

　　（2）支持廣域無(wú)線(xiàn)的3G功能

　　隨著(zhù)3G移動(dòng)網(wǎng)絡(luò )的迅速普及，各大運營(yíng)商在提供3G多媒體業(yè)務(wù)的同時(shí)，也給客戶(hù)帶來(lái)更高帶寬的無(wú)線(xiàn)接入體驗，3G作為靈活、快速、安全、高效的Internet接入方式已逐步成為用戶(hù)廣域網(wǎng)接入的主流選擇之一。

　　MP1800的3G接入解決方案可有效滿(mǎn)足移動(dòng)辦公、移動(dòng)監控、分支無(wú)線(xiàn)接入等無(wú)線(xiàn)寬帶接入需求。MP1800通過(guò)自帶的3G無(wú)線(xiàn)模塊或外接3G Modem提供無(wú)線(xiàn)上行接入。MP1800的 3G解決方案支持三種3G制式：WCDMA、cdma2000和TD-SCDMA。目前支持的3G Modem型號豐富，覆蓋市場(chǎng)主流的型號，確保MP1800能滿(mǎn)足3G無(wú)線(xiàn)通信應用的適應性和靈活性。

　　（3）完善的業(yè)務(wù)功能

　　MP1800上的兩種無(wú)線(xiàn)接口與其他的以太等物理接口相同，即MP1800上的無(wú)線(xiàn)接口支持完整的基于IP層以上的所有業(yè)務(wù)和功能特性，如接口備份、流量統計、網(wǎng)絡(luò )防攻擊等，可有效發(fā)揮無(wú)線(xiàn)接口應用的潛力和價(jià)值。針對MP1800的無(wú)線(xiàn)通信，可以提供基于命令行、Web、SNMP和TR069等多種管理方式。

3.典型應用

　　3.1 中小企業(yè)組網(wǎng)應用

　　MP1800作為一個(gè)獨立的中小企業(yè)綜合接入設備時(shí)，可采用3G通信鏈路作為廣域網(wǎng)有線(xiàn)鏈路的備份或負載分擔通道。而企業(yè)內部聯(lián)網(wǎng)，既可以采用以太網(wǎng)的有線(xiàn)連接方式，也可以采用WLAN的無(wú)線(xiàn)連接。

　　如果MP1800是電信運營(yíng)商代購或購買(mǎi)贈送給客戶(hù)的信息通信網(wǎng)關(guān)，運營(yíng)商可以在運維中心部署網(wǎng)管系統對設備及接口卡實(shí)現集中配置和管理，比較典型的是中國電信基于TR069的網(wǎng)管系統。采用MP1800的中小企業(yè)組網(wǎng)方案如圖2所示。

　　 圖2:中小企業(yè)組網(wǎng)應用

　　3.2 無(wú)人值守ATM機無(wú)線(xiàn)組網(wǎng)應用

　　目前有越來(lái)越多的金融A(yíng)TM機部署在商場(chǎng)、辦公大樓等公共場(chǎng)所，特別是那些靠提供靈活服務(wù)與國有大商業(yè)銀行展開(kāi)差異化競爭的中小銀行更傾向于采用這種無(wú)人值守部署方式。通常這些情況下有線(xiàn)通信鏈路很難獲取，采用3G無(wú)線(xiàn)通信將是理想的選擇。金融無(wú)人值守ATM機采用MP1800作為接入設備，該設備放置在A(yíng)TM機里面，通過(guò)3G無(wú)線(xiàn)連接到銀行網(wǎng)絡(luò )中心。考慮到應用安全，MP1800與中心的設備實(shí)現IPSec數據加密功能，以解決安全隱患。與此同時(shí)，MP1800的VoIP模塊還能外接一部電話(huà)機，以方便客戶(hù)采用電話(huà)辦理業(yè)務(wù)。其組網(wǎng)方案如圖3所示。

　　 圖3:無(wú)人值守ATM的3G無(wú)線(xiàn)組網(wǎng)應用

　　3.3 總部/分支型政府機構與企業(yè)的組網(wǎng)應用

　　客戶(hù)可以利用MP1800的各種接口（圖4所示為3G鏈路，其實(shí)也可以采取有線(xiàn)專(zhuān)線(xiàn)鏈路）實(shí)現總部和分支之間的廣域互連，分支節點(diǎn)的設備可以采用WLAN或以太的方式接入企業(yè)局域網(wǎng)，如圖4所示。考慮到應用安全，分支機構可以和總部設備采用IPSec數據加密功能，同時(shí)，分支機構可以采用MP1800的xDSL接入Internet，并在MP1800上開(kāi)啟各種防火墻功能。公司總部運維中心可采用網(wǎng)管系統實(shí)現MP1800設備及接口模塊的集中管理。

圖4:總部/分支型政企客戶(hù)的組網(wǎng)應用

4.結束語(yǔ)

　　當前我國正處于工業(yè)化和信息化融合發(fā)展時(shí)期，政府和中小企業(yè)的業(yè)務(wù)活動(dòng)越來(lái)越傾向于高效、彈性，因此他們對信息通信基礎設施的需求呈現多樣化的狀態(tài)。本文設計和實(shí)現了一種能有效地支持電信運營(yíng)商對政企客戶(hù)提供ICT服務(wù)的企業(yè)信息通信網(wǎng)關(guān)，并對典型應用作了描述。

參考文獻

　　1.譚晨輝. 商務(wù)領(lǐng)航品牌三級跳. 通信企業(yè)管理，2007（5）
　　2.岳麗娜，隴小渝. 電信品牌建設問(wèn)題研究. 西安郵電學(xué)院學(xué)報，2007（2）：8～12

電信科學(xué)