軟交換網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)
張秀萍 2008/07/21
近幾年��,軟交換技術(shù)得到了業(yè)界的廣泛重視��,國(guó)際四大標(biāo)準(zhǔn)組織ITU-T�����、ETSl��、3GPP和IETF都在不同的范疇對(duì)軟交換技術(shù)進(jìn)行了研究和標(biāo)準(zhǔn)的制定�����。中國(guó)標(biāo)準(zhǔn)化組織也做了不少工作����,總體來(lái)看���,標(biāo)準(zhǔn)化工作處于世界的前列���。國(guó)內(nèi)幾大運(yùn)營(yíng)商也加入到軟交換網(wǎng)絡(luò)建設(shè)中,從引入角度看�����,無(wú)非有兩種方式���,一種從長(zhǎng)途引入���,優(yōu)化和分流現(xiàn)有VOIP業(yè)務(wù)�����,如中國(guó)移動(dòng)和中國(guó)衛(wèi)通��。一種從本地引入��,快速提供各類新業(yè)務(wù)�����,搶占市場(chǎng)����,主要表現(xiàn)在傳統(tǒng)固定運(yùn)營(yíng)商����,軟交換恰好提供了這種技術(shù)手段。
在全程全網(wǎng)上部署軟交換近期是不成熟的��,也是不可行的�。因?yàn)檫@已經(jīng)不單純是技術(shù)問(wèn)題,它還涉及到現(xiàn)行的運(yùn)營(yíng)體制���、管理體制等方面�。本文主要對(duì)軟交換的組網(wǎng)情況進(jìn)行探討,著重分析軟交換的網(wǎng)絡(luò)組織���、IP承載網(wǎng)組織�、安全性設(shè)計(jì)等方面內(nèi)容�����,并結(jié)合陜西鐵通軟交換的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行闡述�。
1軟交換的網(wǎng)絡(luò)組織
軟交換組網(wǎng)包括兩個(gè)方面:軟交換問(wèn)路由設(shè)計(jì)和話路網(wǎng)設(shè)計(jì)��。路由設(shè)計(jì)主要是指軟交換之間信令組織�����,一般采用SIP—I協(xié)議��;話路網(wǎng)設(shè)計(jì)主要是指各種媒體網(wǎng)關(guān)的話路互通�。
(1)軟交換間路由設(shè)計(jì)
定義一個(gè)軟交換機(jī)所轄的區(qū)域叫一個(gè)控制域。在路由設(shè)計(jì)中�,要進(jìn)行控制域的劃分,多個(gè)軟交換不論采取何種控制域劃分方式����,都涉及到對(duì)網(wǎng)關(guān)設(shè)備的尋址�����,即路由組織問(wèn)題�。路由組織方式可以分為3種:全平面方式����、分級(jí)方式和定位服務(wù)器方式。全平面方式用于軟交換初期規(guī)模較小時(shí)�����。分級(jí)方式沿襲了PSTN成熟的多級(jí)路由體系�,使每個(gè)軟交換機(jī)的路由數(shù)據(jù)相對(duì)簡(jiǎn)單,并使軟交換組網(wǎng)的結(jié)構(gòu)比較清晰��。定位服務(wù)器方式改變了上兩種信令組織逐跳轉(zhuǎn)發(fā)的方式��,直接利用IP的可達(dá)性���,直接定位到對(duì)端的軟交換機(jī)��,信令轉(zhuǎn)接簡(jiǎn)單明了����。
由于目前現(xiàn)行軟交換廠家設(shè)備間互通性較差。上述三種路由組織方式在近期都是不可行的��,尤其是定位服務(wù)器方式本身還處于發(fā)展之中���。在實(shí)際組網(wǎng)時(shí)����,盡量不要全程全網(wǎng)引入軟交換�����,可從本地引入或從長(zhǎng)途引入���,具體根據(jù)運(yùn)營(yíng)商引入軟交換的初衷來(lái)決定。信令組網(wǎng)還是考慮軟交換和傳統(tǒng)TDM混合組網(wǎng)的方式�����,等到各廠家互聯(lián)互通的問(wèn)題解決后可以逐步引入軟交換分級(jí)或者全平面的路由組織方式����。西安鐵通的信令路由是這樣設(shè)計(jì)的:因陜西鐵�;通未建設(shè)LSTP��,信令由端局接至SG��,通過(guò)SIG-TRAN協(xié)議訪問(wèn)SS���,SS查詢大區(qū)SHLR:如果為普通呼叫���,SS通過(guò)H.248協(xié)議控制TG接續(xù)話路,信令由本地SG至各端局����;如果為智能業(yè)務(wù)呼叫,SS通過(guò)SIP協(xié)議訪問(wèn)軟交換業(yè)務(wù)平臺(tái)(華為智能網(wǎng)SCP)觸發(fā)智能業(yè)務(wù)�。
(2)話路網(wǎng)絡(luò)設(shè)計(jì)
由于采用IP快速轉(zhuǎn)發(fā)的技術(shù),軟交換話路組織呈平面化��、無(wú)話路匯接����,在話路網(wǎng)絡(luò)設(shè)計(jì)時(shí)主要應(yīng)考慮QoS和安全性。目前在IP承載網(wǎng)主要是采用NPLS VPN的技術(shù)來(lái)實(shí)現(xiàn)��。由于TG(中繼網(wǎng)關(guān))�����、AG(接入網(wǎng)關(guān))、IAD(integrated access device�����,綜合接入設(shè)備)和智能終端要實(shí)現(xiàn)話路互通�,必須采用全網(wǎng)狀連接的方式。MPLS邏輯鏈路LSP(標(biāo)記交換路徑)全網(wǎng)狀的連接給承載網(wǎng)帶來(lái)了很大挑戰(zhàn)����,業(yè)界雖然可以采用VPN路由反射器技術(shù)來(lái)解決,但大規(guī)模MPLS VPN在IP承載網(wǎng)實(shí)施��,以及跨自治系統(tǒng)(autonomous system�,AS)的MPLS VPN的實(shí)現(xiàn)在實(shí)際中還缺乏支撐的案例。在近期�,建議話路組織還是采用與TDM混合組網(wǎng)方式���,把軟交換域限制在本地或者長(zhǎng)途����。在本地引入時(shí)��,由于在駐地網(wǎng)會(huì)大規(guī)模部署lAD和智能終端,要求駐地網(wǎng)支持MPLS VPN的功能是不現(xiàn)實(shí)的����,建議在城域網(wǎng)POP點(diǎn)或者匯接點(diǎn)部署業(yè)務(wù)接入控制設(shè)備(service access con.trol,SAC)�����,快速收斂lAD和智能終端的話務(wù)��,對(duì)實(shí)時(shí)業(yè)務(wù)流進(jìn)行過(guò)濾轉(zhuǎn)發(fā)���。針對(duì)以上分析介紹���,陜西鐵通采用如下設(shè)計(jì):對(duì)于本地呼叫,西安本地網(wǎng)之間呼叫通過(guò)TG轉(zhuǎn)接����,西安本網(wǎng)用戶呼叫外網(wǎng)以及外網(wǎng)來(lái)話通過(guò)原關(guān)口局至TG進(jìn)行轉(zhuǎn)接;對(duì)于長(zhǎng)途呼叫:西安本網(wǎng)呼叫異地長(zhǎng)途通過(guò)TG轉(zhuǎn)接至DCI長(zhǎng)途局接續(xù)�;異地來(lái)話由DCl局轉(zhuǎn)接至TG設(shè)備,再轉(zhuǎn)至各端局���。
2 IP承載網(wǎng)的組織
(1)IP承載網(wǎng)的技術(shù)要求
軟交換的承載網(wǎng)可以分為3個(gè)層面:全國(guó)骨干網(wǎng)��、城域網(wǎng)和駐地網(wǎng)�。軟交換對(duì)IP承載網(wǎng)的要求是輕載、安全和有QoS保證�。由于軟交換網(wǎng)承載的實(shí)時(shí)會(huì)話型業(yè)務(wù)有別于傳統(tǒng)的Internet業(yè)務(wù),建議最好能單獨(dú)建設(shè)1張全國(guó)IP骨干專網(wǎng)����,要支持MPLS VPN的功能。城域網(wǎng)比較復(fù)雜���,根據(jù)目前運(yùn)營(yíng)商的思路��,城域網(wǎng)是合一的�,這就需要城域網(wǎng)具備業(yè)務(wù)分流的能力���。城域網(wǎng)技術(shù)主要可以分為4種:
①大型城域IP網(wǎng)
要求城域核心�����、匯聚層支持P/PE功能����,可直接構(gòu)建MPLS VPN�;城域內(nèi)AG、SAC設(shè)備直接接入PE路由器��,也可以通過(guò)傳輸網(wǎng)絡(luò)或二層VLAN鏈路接入PE設(shè)備��;ss(軟交換機(jī))�����、SG(信令網(wǎng)關(guān))和TG設(shè)備通過(guò)跨AS域?qū)崿F(xiàn)MPLS VPN互通��。
②小型城域IP網(wǎng)
原則上要求城域內(nèi)設(shè)備支持MPLS VPN�。對(duì)于不能支持的,至少邊緣層能支持分布式PE的功能��。
③純二層以太城域網(wǎng)
AG�、SAC接入的二層交換機(jī)設(shè)備必須支持VLAN的隔離,對(duì)于不同的用戶����、業(yè)務(wù)流,通過(guò)劃分不同的VLAN來(lái)隔離�;城域網(wǎng)與骨干網(wǎng)PE設(shè)備之間通過(guò)VLAN trunk方式互通,完成不同VLAN到不同VPN的VRF(VPN路由轉(zhuǎn)發(fā)表)之間的關(guān)聯(lián)�,實(shí)現(xiàn)到不同VPN的接入。
④MSTP城域網(wǎng)
AG、SAC直接通過(guò)MSTP接入骨干網(wǎng)的PE設(shè)備���,在PE設(shè)備上通過(guò)不同的MSTP接入端口關(guān)聯(lián)到不同VPN VRF上���,實(shí)現(xiàn)VPN的接入。
對(duì)于采用IAD接入的駐地網(wǎng)用戶�����,要求其IAD設(shè)備能夠支持軟交換業(yè)務(wù)流量與普通Intemet上網(wǎng)業(yè)務(wù)流量的不同標(biāo)記��;城域內(nèi)的SAC設(shè)備要求能夠識(shí)別其所控區(qū)域IAD設(shè)備的標(biāo)記��,進(jìn)行業(yè)務(wù)的分流�,將軟交換業(yè)務(wù)流與Internet業(yè)務(wù)流導(dǎo)入不同的網(wǎng)絡(luò)。
對(duì)于單純的軟交換業(yè)務(wù)���,陜西鐵通公司新建兩臺(tái)獨(dú)立的CE路由器�,該設(shè)備主要完成軟交換語(yǔ)音�、信令和網(wǎng)管數(shù)據(jù)的傳送。這兩臺(tái)設(shè)備作為陜西的核心路由器一方面通過(guò)千兆接口與防火墻設(shè)備及UMG設(shè)備交叉相連��,實(shí)現(xiàn)西安NGN核心網(wǎng)絡(luò)的接入的安全性���;另一方面未來(lái)還可通過(guò)千兆端口互聯(lián)實(shí)現(xiàn)各地市中心節(jié)點(diǎn)內(nèi)部的NGN業(yè)務(wù)互通�,如西安本地與未來(lái)寶雞本地���,渭南本地等的NGN互通�����。
(3)IP承載網(wǎng)的拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)
為適應(yīng)軟交換業(yè)務(wù)承載��,IP網(wǎng)的拓?fù)湓O(shè)計(jì)要求更傾向于可靠性��。從承載NGN業(yè)務(wù)的特點(diǎn)出發(fā)��,承載網(wǎng)提供兩方面需求���,一要保證與其他業(yè)務(wù)相互隔離,二要保證NGN核心網(wǎng)絡(luò)免受攻擊或病毒影響����。
為了實(shí)現(xiàn)要求一,陜西鐵通承載網(wǎng)設(shè)計(jì)采用MPLS VPN技術(shù)���,即對(duì)不同的業(yè)務(wù)提供不同的VPN����,將不同業(yè)務(wù)隔離,保證其安全性和可靠性��。
對(duì)于要求二����,由于陜西鐵通承載網(wǎng)采用專網(wǎng)模式,因此從理論上講割斷了從互聯(lián)網(wǎng)上傳播病毒或發(fā)生攻擊行為的途徑�。所以我們主要考慮用戶承載部分對(duì)NGN核心部分的安全影響,即在核心承載部分通過(guò)添加安全設(shè)備實(shí)現(xiàn)對(duì)NGN核心設(shè)備的保護(hù)���。
為了保證出入NGN核心網(wǎng)絡(luò)業(yè)務(wù)的安全性.我們?cè)诤诵木W(wǎng)絡(luò)與承載網(wǎng)接口之間添加防火墻設(shè)備����。該設(shè)備應(yīng)該工作在透明模式����,同時(shí)具備以下功能:
a)支持多種ALG,保證NGN業(yè)務(wù)使用的H.323����、SIP、MGCP等協(xié)議的通訊����。能夠和視訊終端以及VOIP設(shè)備靈活組網(wǎng)�。
b)支持狀態(tài)檢測(cè)���,防范多種DoS攻擊��,防范掃描窺探,具備智能的蠕蟲(chóng)病毒防范等功能���。
c)在保證以上功能使用的情況下����,性能滿足今后流量的要求����。
為了滿足以上要求,陜西鐵通在核心網(wǎng)與承載網(wǎng)端口之間使用華為公司的Eudemon防火墻�。
由于防火墻是基于網(wǎng)絡(luò)連接實(shí)現(xiàn)對(duì)核心網(wǎng)的防護(hù),它對(duì)于摻雜在允許應(yīng)用數(shù)據(jù)流中的惡意代碼和從核心網(wǎng)內(nèi)某些設(shè)備發(fā)起的攻擊或者惡意的行為無(wú)法檢測(cè)����,因此陜西鐵通在核心網(wǎng)絡(luò)內(nèi)部使用入侵檢測(cè)(IDS)設(shè)備完成對(duì)核心設(shè)備的保護(hù)和監(jiān)護(hù)。
入侵檢測(cè)系統(tǒng)通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)信息進(jìn)行分析�����,可以從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中違反安全策略的行為和被攻擊的跡象,實(shí)時(shí)作出響應(yīng)���。
陜西鐵通在核心機(jī)房放置一臺(tái)華為公司的NIP入侵檢測(cè)設(shè)備����,該設(shè)備通過(guò)端口鏡像檢測(cè)各個(gè)設(shè)備之間的互通報(bào)文����,當(dāng)發(fā)現(xiàn)違反安全策略行為或有攻擊行為的跡象即向控制臺(tái)發(fā)出告警信息并按管理員預(yù)先設(shè)置的處理方式進(jìn)行相應(yīng)處理。
目前NGN已經(jīng)成為固網(wǎng)發(fā)展的必然方向�����,各大運(yùn)營(yíng)商都在進(jìn)行NGN的建設(shè)或商用��,每個(gè)運(yùn)營(yíng)商針對(duì)自身特點(diǎn)選擇的NGN建設(shè)切入點(diǎn)都不盡相同��,陜西鐵通正是立足于本網(wǎng)的組網(wǎng)特點(diǎn)���,在NGN組網(wǎng)時(shí)采用以上的軟交換網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)方案���。目前�,軟交換部分已在陜西鐵通整個(gè)組網(wǎng)中起者舉足輕重的作用���,也正在發(fā)揮著它的實(shí)力��。
泰爾網(wǎng)
相關(guān)鏈接: