NGN在長途骨干網(wǎng)的應用
2007/05/24
網(wǎng)絡建設需求和目標
圖1 NGN長途骨干網(wǎng)解決方案網(wǎng)絡模型
組網(wǎng)方案
NGN網(wǎng)絡作為現(xiàn)有TDM長途網(wǎng)的補充,實現(xiàn)話務的分擔和保護。NGN大容量、廣覆蓋的優(yōu)勢,可以快速分流長途話務。NGN網(wǎng)與TDM網(wǎng)的關系如圖2所示。
圖2 NGN長途網(wǎng)與TDM長途網(wǎng)結構
軟交換的設置
軟交換作為NGN網(wǎng)絡的核心,負責控制中繼網(wǎng)關設備,實現(xiàn)呼叫控制及路由管理。軟交換應放置在中心節(jié)點,作為現(xiàn)有長途局的補充,在網(wǎng)絡位置上平行于現(xiàn)有長途局。
NGN承載在IP網(wǎng)上,采用開放的體系架構,一套軟交換可以控制多個媒體網(wǎng)關。軟交換可采用相對集中設置的方式,不需要與媒體網(wǎng)關配對設置。
考慮到建網(wǎng)初期的網(wǎng)絡規(guī)模及業(yè)務流量,可按地域將NGN網(wǎng)絡分為若干個NGN域,在每個NGN域選取一個城市作為大區(qū)中心,每個大區(qū)中心設立一對軟交換,并設置在不同局址,實現(xiàn)異地雙歸屬冗余備份。大區(qū)軟交換控制本大區(qū)的中繼網(wǎng)關,對長途業(yè)務進行分流和保護。對于單TDM
DC1的城市,TG作為第二長途局,對現(xiàn)有DC1長途話務進行分流,與現(xiàn)有DC1形成雙節(jié)點進行負荷分擔,為長途業(yè)務提供較高的安全保證。對于多TDM
DC1的城市,TG作為DC1的備份,與DC1負荷分擔長途語音業(yè)務。
中繼網(wǎng)關的設置
中繼網(wǎng)關作為與長途的匯接點,負責媒體流的轉換,實現(xiàn)TDM旁路、TDM與VoIP業(yè)務流之間的編解碼、打包/拆包、時延抖動濾除等功能。中繼網(wǎng)關與軟交換之間采用H.248協(xié)議。
實施雙歸屬時,兩個軟交換各承擔部分話務,需設置中繼網(wǎng)關雙歸屬到大區(qū)軟交換。中繼網(wǎng)關配置軟交換的原則是,盡量使軟交換的負荷均衡,即各50%的分配原則。
NGN網(wǎng)絡安全性
NGN網(wǎng)絡的安全性涉及設備安全性和網(wǎng)絡安全性兩部分。
設備安全性
設備安全性包括軟交換設備安全性和中繼網(wǎng)關設備安全性。
軟交換設備安全性
軟交換設備負責控制大量的設備和呼叫接續(xù),處理能力和功能非常強大。一個軟交換能支持百萬用戶或等效中繼,這一方面簡化了網(wǎng)絡結構和層次,有效降低了設備成本和運維支出,另一方面也帶來了安全隱患。當軟交換設備出現(xiàn)故障時,將導致大范圍的通信故障,給整個網(wǎng)絡造成非常大的影響。
為了保證軟交換設備的安全性,首先,要確保軟交換設備自身的安全性。以上海貝爾阿爾卡特A5020 MGC軟交換為例,主要采取了下面幾個措施:(1)在對外網(wǎng)絡接口上,除了系統(tǒng)需要使用的服務外,如H.248、SIP、MGCP、H.323、INAP等相關協(xié)議,其他不使用的網(wǎng)絡服務(如HTTP)一律關閉,防止非法用戶通過非法的服務入侵設備。(2)利用網(wǎng)絡路由器實現(xiàn)防火墻功能和網(wǎng)絡安全協(xié)議IPSec的功能,防止非法用戶通過惡意攻擊、竊聽等手段破壞合法用戶的正常服務。(3)網(wǎng)絡管理系統(tǒng)提供嚴格的用戶認證功能,只有通過認證并擁有合法權限的用戶,才可以對A5020
MGC的各網(wǎng)元進行正常的網(wǎng)絡管理。
其次,采用軟交換雙歸屬機制來保證軟交換設備的安全性。雙歸屬機制是NGN領域獨特的安全容災技術,能夠實現(xiàn)異地的容災備份,這對于應付突發(fā)事件具有重要意義。雙歸屬機制主要解決以下問題:(1)連接性檢測。這包括網(wǎng)關、終端設備與軟交換之間的連接性檢測。當檢測到連接丟失后,能夠向備份軟交換設備重新注冊。主備份軟交換之間通過連接性檢測來判斷對端軟交換的運行狀態(tài)。其他軟交換通過檢查與主備份軟交換之間的連接性,更新其內部路由表,決定呼叫路由策略。(2)網(wǎng)關、終端設備的重新注冊。網(wǎng)關、終端設備必須具備針對軟交換的重新注冊功能。在網(wǎng)關、終端設備上配置軟交換列表,當檢測到主軟交換不可達時,自動向軟交換列表中的其他軟交換發(fā)起注冊。(3)軟交換之間數(shù)據(jù)的同步及切換策略。當主備份軟交換之間發(fā)現(xiàn)對方不可達時,采取必要的措施報告該事件,并決定切換策略。
中繼網(wǎng)關設備安全性
在NGN網(wǎng)絡中,中繼媒體網(wǎng)關必須保證最高級別的可靠性和可用性,以滿足最苛刻的應用需求。以上海貝爾阿爾卡特A7510中繼媒體網(wǎng)關為例,綜合采取了兩個措施:(1)冗余性。其設計目標是要支持不間斷的系統(tǒng)運行,不出現(xiàn)任何單點故障。A7510支持20個模塊,每個模塊可以1+1冗余或者N+1冗余。每一個備用模塊中都維護著一致的配置信息,防止在維護或升級操作時,當A7510網(wǎng)關從活動模塊切換到備用模塊時,發(fā)生在線呼叫丟失。(2)內存共享。每個模塊都包含完整的軟件拷貝,確保A7510網(wǎng)關在軟件升級過程中,或者在某個模塊出現(xiàn)故障的情況下,繼續(xù)保持聯(lián)機的有效狀態(tài)。冗余的組件包括系統(tǒng)以及管理軟件、信令以及網(wǎng)關控制軟件等。
網(wǎng)絡安全性
網(wǎng)絡的安全性包括網(wǎng)絡防攻擊能力和網(wǎng)絡冗余配置。
網(wǎng)絡防攻擊能力
鑒于NGN長途骨干網(wǎng)的重要性,建議NGN長途網(wǎng)承載于專用的IP網(wǎng)上,實現(xiàn)NGN核心設備與普通數(shù)據(jù)流的物理或邏輯隔離,保證網(wǎng)絡的安全性和防攻擊能力。為了防止外網(wǎng)的非法訪問,可以通過在三層交換機中劃分VLAN和定義訪問控制列表(ACL)的方式進行防護。
可以將NGN網(wǎng)絡劃分為核心網(wǎng)絡區(qū)(信令信任區(qū))、核心媒體區(qū)(信令媒體信任區(qū))、網(wǎng)管計費區(qū)(運維信任區(qū))、半信任區(qū)(DMZ)、非信任區(qū)這5個區(qū)域。根據(jù)不同的區(qū)域,在防火墻上定義所需要的ACL。對于不符合ACL的IP包,防火墻將丟棄之。防火墻本身在各區(qū)域之間按照路由進行配置。
網(wǎng)絡冗余配置
除了設備本身的可靠性之外,還必須考慮承載網(wǎng)的高可靠性。因此,必須考慮IP網(wǎng)絡設備的容錯性和冗余性,使得在網(wǎng)絡組件發(fā)生意外故障,以及進行計劃內網(wǎng)絡升級和變動時,網(wǎng)絡都能夠保持正常運行。
冗余配置如圖3所示。核心設備通過主備份網(wǎng)口與主備份三層交換機連接,主備份交換機之間有VLAN TRUNK(兩條物理鏈路通過802.3ad或FEC匯聚)的連接。同時主備交換機之間運行VRRP協(xié)議,以保證路由的惟一性。這種網(wǎng)絡的冗余配置,可以避免單點故障的發(fā)生。
圖3 網(wǎng)絡的冗余配置
下一代網(wǎng)絡(NGN)的實現(xiàn) 2007-05-18 |
電信級IP承載網(wǎng)規(guī)劃方法研究 2007-05-15 |
雷震洲:基于軟交換的NGN只是初級階段 2007-05-09 |
PSTN演進的四個步驟 2007-05-09 |
中繼信令網(wǎng)關在軟交換中的應用與分析 2007-05-09 |