NGN在長途骨干網(wǎng)的應用

2007/05/24

圖1　NGN長途骨干網(wǎng)解決方案網(wǎng)絡模型

組網(wǎng)方案

　　NGN網(wǎng)絡作為現(xiàn)有TDM長途網(wǎng)的補充，實現(xiàn)話務的分擔和保護。NGN大容量、廣覆蓋的優(yōu)勢，可以快速分流長途話務。NGN網(wǎng)與TDM網(wǎng)的關系如圖2所示。

圖2　NGN長途網(wǎng)與TDM長途網(wǎng)結構

軟交換的設置

　　軟交換作為NGN網(wǎng)絡的核心，負責控制中繼網(wǎng)關設備，實現(xiàn)呼叫控制及路由管理。軟交換應放置在中心節(jié)點，作為現(xiàn)有長途局的補充，在網(wǎng)絡位置上平行于現(xiàn)有長途局。

　　NGN承載在IP網(wǎng)上，采用開放的體系架構，一套軟交換可以控制多個媒體網(wǎng)關。軟交換可采用相對集中設置的方式，不需要與媒體網(wǎng)關配對設置。

　　考慮到建網(wǎng)初期的網(wǎng)絡規(guī)模及業(yè)務流量，可按地域將NGN網(wǎng)絡分為若干個NGN域，在每個NGN域選取一個城市作為大區(qū)中心，每個大區(qū)中心設立一對軟交換，并設置在不同局址，實現(xiàn)異地雙歸屬冗余備份。大區(qū)軟交換控制本大區(qū)的中繼網(wǎng)關，對長途業(yè)務進行分流和保護。對于單TDM DC1的城市，TG作為第二長途局，對現(xiàn)有DC1長途話務進行分流，與現(xiàn)有DC1形成雙節(jié)點進行負荷分擔，為長途業(yè)務提供較高的安全保證。對于多TDM DC1的城市，TG作為DC1的備份，與DC1負荷分擔長途語音業(yè)務。

中繼網(wǎng)關的設置

　　中繼網(wǎng)關作為與長途的匯接點，負責媒體流的轉換，實現(xiàn)TDM旁路、TDM與VoIP業(yè)務流之間的編解碼、打包/拆包、時延抖動濾除等功能。中繼網(wǎng)關與軟交換之間采用H.248協(xié)議。

　　實施雙歸屬時，兩個軟交換各承擔部分話務，需設置中繼網(wǎng)關雙歸屬到大區(qū)軟交換。中繼網(wǎng)關配置軟交換的原則是，盡量使軟交換的負荷均衡，即各50%的分配原則。

NGN網(wǎng)絡安全性

　　NGN網(wǎng)絡的安全性涉及設備安全性和網(wǎng)絡安全性兩部分。

設備安全性

　　設備安全性包括軟交換設備安全性和中繼網(wǎng)關設備安全性。

軟交換設備安全性

　　軟交換設備負責控制大量的設備和呼叫接續(xù)，處理能力和功能非常強大。一個軟交換能支持百萬用戶或等效中繼，這一方面簡化了網(wǎng)絡結構和層次，有效降低了設備成本和運維支出，另一方面也帶來了安全隱患。當軟交換設備出現(xiàn)故障時，將導致大范圍的通信故障，給整個網(wǎng)絡造成非常大的影響。

　　為了保證軟交換設備的安全性，首先，要確保軟交換設備自身的安全性。以上海貝爾阿爾卡特A5020 MGC軟交換為例，主要采取了下面幾個措施：（1）在對外網(wǎng)絡接口上，除了系統(tǒng)需要使用的服務外，如H.248、SIP、MGCP、H.323、INAP等相關協(xié)議，其他不使用的網(wǎng)絡服務（如HTTP）一律關閉，防止非法用戶通過非法的服務入侵設備。（2）利用網(wǎng)絡路由器實現(xiàn)防火墻功能和網(wǎng)絡安全協(xié)議IPSec的功能，防止非法用戶通過惡意攻擊、竊聽等手段破壞合法用戶的正常服務。（3）網(wǎng)絡管理系統(tǒng)提供嚴格的用戶認證功能，只有通過認證并擁有合法權限的用戶，才可以對A5020 MGC的各網(wǎng)元進行正常的網(wǎng)絡管理。

　　其次，采用軟交換雙歸屬機制來保證軟交換設備的安全性。雙歸屬機制是NGN領域獨特的安全容災技術，能夠實現(xiàn)異地的容災備份，這對于應付突發(fā)事件具有重要意義。雙歸屬機制主要解決以下問題：（1）連接性檢測。這包括網(wǎng)關、終端設備與軟交換之間的連接性檢測。當檢測到連接丟失后，能夠向備份軟交換設備重新注冊。主備份軟交換之間通過連接性檢測來判斷對端軟交換的運行狀態(tài)。其他軟交換通過檢查與主備份軟交換之間的連接性，更新其內部路由表，決定呼叫路由策略。（2）網(wǎng)關、終端設備的重新注冊。網(wǎng)關、終端設備必須具備針對軟交換的重新注冊功能。在網(wǎng)關、終端設備上配置軟交換列表，當檢測到主軟交換不可達時，自動向軟交換列表中的其他軟交換發(fā)起注冊。（3）軟交換之間數(shù)據(jù)的同步及切換策略。當主備份軟交換之間發(fā)現(xiàn)對方不可達時，采取必要的措施報告該事件，并決定切換策略。

中繼網(wǎng)關設備安全性

　　在NGN網(wǎng)絡中，中繼媒體網(wǎng)關必須保證最高級別的可靠性和可用性，以滿足最苛刻的應用需求。以上海貝爾阿爾卡特A7510中繼媒體網(wǎng)關為例，綜合采取了兩個措施：（1）冗余性。其設計目標是要支持不間斷的系統(tǒng)運行，不出現(xiàn)任何單點故障。A7510支持20個模塊，每個模塊可以1+1冗余或者N+1冗余。每一個備用模塊中都維護著一致的配置信息，防止在維護或升級操作時，當A7510網(wǎng)關從活動模塊切換到備用模塊時，發(fā)生在線呼叫丟失。（2）內存共享。每個模塊都包含完整的軟件拷貝，確保A7510網(wǎng)關在軟件升級過程中，或者在某個模塊出現(xiàn)故障的情況下，繼續(xù)保持聯(lián)機的有效狀態(tài)。冗余的組件包括系統(tǒng)以及管理軟件、信令以及網(wǎng)關控制軟件等。

網(wǎng)絡安全性

　　網(wǎng)絡的安全性包括網(wǎng)絡防攻擊能力和網(wǎng)絡冗余配置。

網(wǎng)絡防攻擊能力

　　鑒于NGN長途骨干網(wǎng)的重要性，建議NGN長途網(wǎng)承載于專用的IP網(wǎng)上，實現(xiàn)NGN核心設備與普通數(shù)據(jù)流的物理或邏輯隔離，保證網(wǎng)絡的安全性和防攻擊能力。為了防止外網(wǎng)的非法訪問，可以通過在三層交換機中劃分VLAN和定義訪問控制列表（ACL）的方式進行防護。

　　可以將NGN網(wǎng)絡劃分為核心網(wǎng)絡區(qū)（信令信任區(qū)）、核心媒體區(qū)（信令媒體信任區(qū)）、網(wǎng)管計費區(qū)（運維信任區(qū)）、半信任區(qū)（DMZ）、非信任區(qū)這5個區(qū)域。根據(jù)不同的區(qū)域，在防火墻上定義所需要的ACL。對于不符合ACL的IP包，防火墻將丟棄之。防火墻本身在各區(qū)域之間按照路由進行配置。

網(wǎng)絡冗余配置

　　除了設備本身的可靠性之外，還必須考慮承載網(wǎng)的高可靠性。因此，必須考慮IP網(wǎng)絡設備的容錯性和冗余性，使得在網(wǎng)絡組件發(fā)生意外故障，以及進行計劃內網(wǎng)絡升級和變動時，網(wǎng)絡都能夠保持正常運行。

　　冗余配置如圖3所示。核心設備通過主備份網(wǎng)口與主備份三層交換機連接，主備份交換機之間有VLAN TRUNK（兩條物理鏈路通過802.3ad或FEC匯聚）的連接。同時主備交換機之間運行VRRP協(xié)議，以保證路由的惟一性。這種網(wǎng)絡的冗余配置，可以避免單點故障的發(fā)生。

圖3　網(wǎng)絡的冗余配置

中國通信網(wǎng)(www.c114.net)