NGN局端設(shè)備組網(wǎng)

NGN局端設(shè)備組網(wǎng)固網(wǎng)業(yè)務(wù)支持部NGN項目組NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實現(xiàn)原理LAN（一）組網(wǎng)方案LAN（二）組網(wǎng)方案NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異網(wǎng)絡(luò)構(gòu)造：電路網(wǎng)絡(luò)－IP網(wǎng)絡(luò)信令類型：窄帶信令－基于TCP/IP的多媒體信令網(wǎng)絡(luò)部件：窄帶交換機－軟交換、各類網(wǎng)關(guān)和邊緣接入設(shè)備工作模式：電路轉(zhuǎn)接－IP分層工作模式承載方式：2M傳送－語音和承載分離的IP傳送業(yè)務(wù)類型：附加業(yè)務(wù)－附加業(yè)務(wù)、智能業(yè)務(wù)和開放的第三方業(yè)務(wù)NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實現(xiàn)原理LAN（一）組網(wǎng)方案LAN（二）組網(wǎng)方案

NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)具有全IP、分布式、語音數(shù)據(jù)融合、伸縮性強等特點和優(yōu)勢，但隨之而來的是網(wǎng)絡(luò)安全問題解決網(wǎng)絡(luò)安全問題的基本思路是：實施網(wǎng)絡(luò)分隔，保護核心部件；采用代理技術(shù)，提供智能終端用戶接入通道；增加設(shè)備認證、協(xié)議加密及訪問控制，解決終端用戶接入的安全性NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實現(xiàn)原理LAN（一）組網(wǎng)方案LAN（二）組網(wǎng)方案NGN網(wǎng)絡(luò)安全方案框架NGN組網(wǎng)模型NGN組網(wǎng)模型圖中NGNIP核心網(wǎng)作為NGN業(yè)務(wù)的承載網(wǎng)，可以由運營商原有的城域網(wǎng)構(gòu)成，或者利用VPN技術(shù)獨立構(gòu)建，局端設(shè)備主要圍繞LAN（一）、LAN（二）兩個獨立的以太網(wǎng)絡(luò)組網(wǎng)。LAN（一）為承載、控制、帶內(nèi)網(wǎng)管網(wǎng)絡(luò)，與NGNIP核心網(wǎng)在網(wǎng)絡(luò)層互通，完成局端設(shè)備在此平面中的網(wǎng)絡(luò)互連、帶寬匯聚功能。為保證可靠性，LAN（一）中的設(shè)備端口均要求支持主備用或負荷分擔(dān)工作模式。如果NGNIP核心網(wǎng)未按要求進行網(wǎng)絡(luò)分隔，沒有足夠的安全性，則LAN（一）出口處需要增加防火墻保護局端設(shè)備的安全。

LAN（二）為帶外網(wǎng)管及操作維護網(wǎng)絡(luò)，連接各個設(shè)備的帶外網(wǎng)管接口、操作維護接口及操作維護終端，各維護終端均連接到同一個網(wǎng)絡(luò)中。NGN網(wǎng)絡(luò)需求網(wǎng)絡(luò)帶寬資源分配合理，無瓶頸；網(wǎng)絡(luò)交換節(jié)點盡量少，設(shè)備成本盡量低、工程復(fù)雜度盡量低；關(guān)鍵網(wǎng)絡(luò)LAN（一）中無單點故障，具有較高可靠性；網(wǎng)絡(luò)中進行區(qū)域劃分，盡量減小人為操作失誤造成的影響；方案適用面廣，易于實現(xiàn)規(guī)范化；網(wǎng)絡(luò)占用IP地址數(shù)量盡量少；NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實現(xiàn)原理

LAN（一）組網(wǎng)方案LAN（二）組網(wǎng)方案

關(guān)鍵技術(shù)實現(xiàn)原理NGN設(shè)備端口及網(wǎng)絡(luò)互連設(shè)備的備份倒換：

NGN母局中的LAN（一）作為母局中信令和媒體流的承載網(wǎng)絡(luò)，是系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)。為保證這個網(wǎng)絡(luò)的可靠性，要求所有接入到此網(wǎng)絡(luò)中的NGN設(shè)備端口均需要支持自備用或負荷分擔(dān)工作模式，所有網(wǎng)絡(luò)設(shè)備和互連鏈路均有備份倒換機制。防火墻配置當(dāng)網(wǎng)絡(luò)信任區(qū)僅局限在母局內(nèi)部時，母局出口處需要設(shè)置SaN或防火墻設(shè)備隔離信任區(qū)和非信任區(qū)。從NGN業(yè)務(wù)的特點考慮，優(yōu)選SaN設(shè)備。由于我司的防火墻與SaN采用相同的硬件平臺，當(dāng)目前的SaN設(shè)備的規(guī)格暫時不能滿足要求時，可考慮配置為防火墻工作模式NGN設(shè)備端口及網(wǎng)絡(luò)互連設(shè)備的備份倒換NGN設(shè)備接口的主備用倒換機制SoftX、TMG、AMG、SG等NGN網(wǎng)絡(luò)設(shè)備的外部以太網(wǎng)口可工作于主備用模式。在主備用模式下，兩個以太網(wǎng)口MAC地址不同，但是配置為相同的IP地址。系統(tǒng)初始狀態(tài)下主用端口處于激活狀態(tài)，通過ARP協(xié)議與二層網(wǎng)絡(luò)中的其他設(shè)備（包括三層交換機的路由模塊）通信。主用端口運行過程中檢測網(wǎng)絡(luò)接口的鏈路狀態(tài)，當(dāng)檢測到端口二層鏈路中斷等異常后，將本端口倒換到備用狀態(tài)，原備用端口升為主用。備用端口激活后通過ARP協(xié)議更新網(wǎng)絡(luò)中其他節(jié)點的ARP表，維持本設(shè)備對外的正常通信。導(dǎo)致NGN端口倒換的故障包括網(wǎng)線斷、網(wǎng)口物理層芯片硬件故障、三層交換機故障等。U－NICA、N2000、IAD－MS等服務(wù)器類設(shè)備的以太網(wǎng)口也采用類似的模式工作。上行鏈路倒換機制上行鏈路的故障檢測及倒換通過三層交換機與邊緣路由器之間的路由更新來實現(xiàn)。A/B兩個平面三層交換機的VRRP協(xié)議配置中設(shè)定監(jiān)控上行接口的狀態(tài)，當(dāng)A平面的上行接口鏈路故障時，B平面升為主用，同時觸發(fā)路由更新。上行鏈路倒換時NGN設(shè)備不需要做任何動作，但倒換過程中有一段時間無法與IP核心網(wǎng)中的設(shè)備通訊，此時間與路由協(xié)議參數(shù)設(shè)置有關(guān)。A/B平面三層交換機倒換機制A/B兩個平面三層交換機之間運行VRRP協(xié)議實現(xiàn)設(shè)備之間的倒換，設(shè)備倒換的同時通過路由更新實現(xiàn)上行鏈路的倒換，通過二層鏈路狀態(tài)變化帶動NGN設(shè)備端口倒換，簡要原理如下：C/D/E三個地址段劃分到三個VLAN中，兩臺三層交換機上均配置三層接口。VRRP配置中，將同一VLAN中的兩個三層接口定義為一個VRRP組，制定一個虛擬地址作為此VRRP組的缺省網(wǎng)關(guān)地址（每個VLAN中需要定義一個VRRP組）。VRRP協(xié)議運行后，兩臺三層交換機之間通過設(shè)定的優(yōu)先級確定VRRP組中的主用模塊，運行過程中通過定時的心跳消息維持主備用狀態(tài)。三層交換機監(jiān)測本身的工作狀態(tài)和上行接口狀態(tài)，出現(xiàn)異常時，通過搶占方式產(chǎn)生新的主用路由設(shè)備，同時觸發(fā)周邊的路由器更新路由。主用三層交換機故障后，二層鏈路狀態(tài)同時改變，NGN設(shè)備根據(jù)此狀態(tài)同步進行端口倒換。關(guān)鍵技術(shù)實現(xiàn)原理NGN設(shè)備端口及網(wǎng)絡(luò)互連設(shè)備的備份倒換：NGN母局中的LAN（一）作為母局中信令和媒體流的承載網(wǎng)絡(luò)，是系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)。為保證這個網(wǎng)絡(luò)的可靠性，要求所有接入到此網(wǎng)絡(luò)中的NGN設(shè)備端口均需要支持自備用或負荷分擔(dān)工作模式，所有網(wǎng)絡(luò)設(shè)備和互連鏈路均有備份倒換機制。防火墻配置

當(dāng)網(wǎng)絡(luò)信任區(qū)僅局限在母局內(nèi)部時，母局出口處需要設(shè)置SaN或防火墻設(shè)備隔離信任區(qū)和非信任區(qū)。從NGN業(yè)務(wù)的特點考慮，優(yōu)選SaN設(shè)備。由于我司的防火墻與SaN采用相同的硬件平臺，當(dāng)目前的SaN設(shè)備的規(guī)格暫時不能滿足要求時，可考慮配置為防火墻工作模式防火墻配置由于NGN母局內(nèi)部是可信任的設(shè)備，因此防火墻僅需要處理IP核心網(wǎng)進入母局的數(shù)據(jù)流（下行方向），NGN母局輸出的數(shù)據(jù)流全部放行；NGN中的業(yè)務(wù)和信令承載于UDP、SCTP、TCP之上，而通用防火墻基于狀態(tài)的訪問控制功能僅對TCP有效，對于UDP、SCTP只能采用簡單ACL的保護方式；母局設(shè)備與遠端的其他設(shè)備處于同一個IP網(wǎng)絡(luò)，因此不需要進行地址變換；母局中已經(jīng)配置了三層交換機完成路由功能，防火墻串接在上行鏈路中，不需要處理路由協(xié)議，工作于“橋模式”即可；SG等設(shè)備的IP地址僅在母局內(nèi)部使用，防火墻需要禁止外部對這些IP的所有訪問；NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實現(xiàn)原理LAN（一）組網(wǎng)方案

LAN（二）組網(wǎng)方案LAN（一）組網(wǎng)方案S3526E端口分配方案以太網(wǎng)端口所屬VLAN端口用途備注1＃、2＃FE2＃VLAN上行鏈路端口配置為ACCESS模式3＃、4＃FE3、4、5＃VLAN互連鏈路端口配置為TRUNK模式5＃～10＃FE3＃VLAN網(wǎng)管設(shè)備、Web接口設(shè)備端口配置為ACCESS模式11＃～22＃FE4＃VLAN其他NGN核心網(wǎng)設(shè)備端口配置為ACCESS模式23?！?4＃FE5＃VLAN備用端口端口配置為ACCESS模式S3552P端口分配方案以太網(wǎng)端口所屬VLAN端口用途備注1＃、2＃GE2＃VLAN上行鏈路端口配置為ACCESS模式3＃、4＃GE3、4、5＃VLAN互連鏈路端口配置為TRUNK模式1＃～6＃FE3＃VLAN網(wǎng)管設(shè)備、Web接口設(shè)備端口配置為ACCESS模式7＃～46＃FE4＃VLAN其他NGN核心網(wǎng)設(shè)備端口配置為ACCESS模式47?！?8＃FE5＃VLAN備用端口端口配置為ACCESS模式NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實