NGN局端設(shè)備組網(wǎng)

NGN局端設(shè)備組網(wǎng)固網(wǎng)業(yè)務(wù)支持部NGN項(xiàng)目組NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實(shí)現(xiàn)原理LAN（一）組網(wǎng)方案LAN（二）組網(wǎng)方案NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異網(wǎng)絡(luò)構(gòu)造：電路網(wǎng)絡(luò)－IP網(wǎng)絡(luò)信令類型：窄帶信令－基于TCP/IP的多媒體信令網(wǎng)絡(luò)部件：窄帶交換機(jī)－軟交換、各類網(wǎng)關(guān)和邊緣接入設(shè)備工作模式：電路轉(zhuǎn)接－IP分層工作模式承載方式：2M傳送－語音和承載分離的IP傳送業(yè)務(wù)類型：附加業(yè)務(wù)－附加業(yè)務(wù)、智能業(yè)務(wù)和開放的第三方業(yè)務(wù)NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實(shí)現(xiàn)原理LAN（一）組網(wǎng)方案LAN（二）組網(wǎng)方案

NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)具有全I(xiàn)P、分布式、語音數(shù)據(jù)融合、伸縮性強(qiáng)等特點(diǎn)和優(yōu)勢(shì)，但隨之而來的是網(wǎng)絡(luò)安全問題解決網(wǎng)絡(luò)安全問題的基本思路是：實(shí)施網(wǎng)絡(luò)分隔，保護(hù)核心部件；采用代理技術(shù)，提供智能終端用戶接入通道；增加設(shè)備認(rèn)證、協(xié)議加密及訪問控制，解決終端用戶接入的安全性NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實(shí)現(xiàn)原理LAN（一）組網(wǎng)方案LAN（二）組網(wǎng)方案NGN網(wǎng)絡(luò)安全方案框架NGN組網(wǎng)模型NGN組網(wǎng)模型圖中NGNIP核心網(wǎng)作為NGN業(yè)務(wù)的承載網(wǎng)，可以由運(yùn)營(yíng)商原有的城域網(wǎng)構(gòu)成，或者利用VPN技術(shù)獨(dú)立構(gòu)建，局端設(shè)備主要圍繞LAN（一）、LAN（二）兩個(gè)獨(dú)立的以太網(wǎng)絡(luò)組網(wǎng)。LAN（一）為承載、控制、帶內(nèi)網(wǎng)管網(wǎng)絡(luò)，與NGNIP核心網(wǎng)在網(wǎng)絡(luò)層互通，完成局端設(shè)備在此平面中的網(wǎng)絡(luò)互連、帶寬匯聚功能。為保證可靠性，LAN（一）中的設(shè)備端口均要求支持主備用或負(fù)荷分擔(dān)工作模式。如果NGNIP核心網(wǎng)未按要求進(jìn)行網(wǎng)絡(luò)分隔，沒有足夠的安全性，則LAN（一）出口處需要增加防火墻保護(hù)局端設(shè)備的安全。

LAN（二）為帶外網(wǎng)管及操作維護(hù)網(wǎng)絡(luò)，連接各個(gè)設(shè)備的帶外網(wǎng)管接口、操作維護(hù)接口及操作維護(hù)終端，各維護(hù)終端均連接到同一個(gè)網(wǎng)絡(luò)中。NGN網(wǎng)絡(luò)需求網(wǎng)絡(luò)帶寬資源分配合理，無瓶頸；網(wǎng)絡(luò)交換節(jié)點(diǎn)盡量少，設(shè)備成本盡量低、工程復(fù)雜度盡量低；關(guān)鍵網(wǎng)絡(luò)LAN（一）中無單點(diǎn)故障，具有較高可靠性；網(wǎng)絡(luò)中進(jìn)行區(qū)域劃分，盡量減小人為操作失誤造成的影響；方案適用面廣，易于實(shí)現(xiàn)規(guī)范化；網(wǎng)絡(luò)占用IP地址數(shù)量盡量少；NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實(shí)現(xiàn)原理

LAN（一）組網(wǎng)方案LAN（二）組網(wǎng)方案

關(guān)鍵技術(shù)實(shí)現(xiàn)原理NGN設(shè)備端口及網(wǎng)絡(luò)互連設(shè)備的備份倒換：

NGN母局中的LAN（一）作為母局中信令和媒體流的承載網(wǎng)絡(luò)，是系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)。為保證這個(gè)網(wǎng)絡(luò)的可靠性，要求所有接入到此網(wǎng)絡(luò)中的NGN設(shè)備端口均需要支持自備用或負(fù)荷分擔(dān)工作模式，所有網(wǎng)絡(luò)設(shè)備和互連鏈路均有備份倒換機(jī)制。防火墻配置當(dāng)網(wǎng)絡(luò)信任區(qū)僅局限在母局內(nèi)部時(shí)，母局出口處需要設(shè)置SaN或防火墻設(shè)備隔離信任區(qū)和非信任區(qū)。從NGN業(yè)務(wù)的特點(diǎn)考慮，優(yōu)選SaN設(shè)備。由于我司的防火墻與SaN采用相同的硬件平臺(tái)，當(dāng)目前的SaN設(shè)備的規(guī)格暫時(shí)不能滿足要求時(shí)，可考慮配置為防火墻工作模式NGN設(shè)備端口及網(wǎng)絡(luò)互連設(shè)備的備份倒換NGN設(shè)備接口的主備用倒換機(jī)制SoftX、TMG、AMG、SG等NGN網(wǎng)絡(luò)設(shè)備的外部以太網(wǎng)口可工作于主備用模式。在主備用模式下，兩個(gè)以太網(wǎng)口MAC地址不同，但是配置為相同的IP地址。系統(tǒng)初始狀態(tài)下主用端口處于激活狀態(tài)，通過ARP協(xié)議與二層網(wǎng)絡(luò)中的其他設(shè)備（包括三層交換機(jī)的路由模塊）通信。主用端口運(yùn)行過程中檢測(cè)網(wǎng)絡(luò)接口的鏈路狀態(tài)，當(dāng)檢測(cè)到端口二層鏈路中斷等異常后，將本端口倒換到備用狀態(tài)，原備用端口升為主用。備用端口激活后通過ARP協(xié)議更新網(wǎng)絡(luò)中其他節(jié)點(diǎn)的ARP表，維持本設(shè)備對(duì)外的正常通信。導(dǎo)致NGN端口倒換的故障包括網(wǎng)線斷、網(wǎng)口物理層芯片硬件故障、三層交換機(jī)故障等。U－NICA、N2000、IAD－MS等服務(wù)器類設(shè)備的以太網(wǎng)口也采用類似的模式工作。上行鏈路倒換機(jī)制上行鏈路的故障檢測(cè)及倒換通過三層交換機(jī)與邊緣路由器之間的路由更新來實(shí)現(xiàn)。A/B兩個(gè)平面三層交換機(jī)的VRRP協(xié)議配置中設(shè)定監(jiān)控上行接口的狀態(tài)，當(dāng)A平面的上行接口鏈路故障時(shí)，B平面升為主用，同時(shí)觸發(fā)路由更新。上行鏈路倒換時(shí)NGN設(shè)備不需要做任何動(dòng)作，但倒換過程中有一段時(shí)間無法與IP核心網(wǎng)中的設(shè)備通訊，此時(shí)間與路由協(xié)議參數(shù)設(shè)置有關(guān)。A/B平面三層交換機(jī)倒換機(jī)制A/B兩個(gè)平面三層交換機(jī)之間運(yùn)行VRRP協(xié)議實(shí)現(xiàn)設(shè)備之間的倒換，設(shè)備倒換的同時(shí)通過路由更新實(shí)現(xiàn)上行鏈路的倒換，通過二層鏈路狀態(tài)變化帶動(dòng)NGN設(shè)備端口倒換，簡(jiǎn)要原理如下：C/D/E三個(gè)地址段劃分到三個(gè)VLAN中，兩臺(tái)三層交換機(jī)上均配置三層接口。VRRP配置中，將同一VLAN中的兩個(gè)三層接口定義為一個(gè)VRRP組，制定一個(gè)虛擬地址作為此VRRP組的缺省網(wǎng)關(guān)地址（每個(gè)VLAN中需要定義一個(gè)VRRP組）。VRRP協(xié)議運(yùn)行后，兩臺(tái)三層交換機(jī)之間通過設(shè)定的優(yōu)先級(jí)確定VRRP組中的主用模塊，運(yùn)行過程中通過定時(shí)的心跳消息維持主備用狀態(tài)。三層交換機(jī)監(jiān)測(cè)本身的工作狀態(tài)和上行接口狀態(tài)，出現(xiàn)異常時(shí)，通過搶占方式產(chǎn)生新的主用路由設(shè)備，同時(shí)觸發(fā)周邊的路由器更新路由。主用三層交換機(jī)故障后，二層鏈路狀態(tài)同時(shí)改變，NGN設(shè)備根據(jù)此狀態(tài)同步進(jìn)行端口倒換。關(guān)鍵技術(shù)實(shí)現(xiàn)原理NGN設(shè)備端口及網(wǎng)絡(luò)互連設(shè)備的備份倒換：NGN母局中的LAN（一）作為母局中信令和媒體流的承載網(wǎng)絡(luò)，是系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)。為保證這個(gè)網(wǎng)絡(luò)的可靠性，要求所有接入到此網(wǎng)絡(luò)中的NGN設(shè)備端口均需要支持自備用或負(fù)荷分擔(dān)工作模式，所有網(wǎng)絡(luò)設(shè)備和互連鏈路均有備份倒換機(jī)制。防火墻配置

當(dāng)網(wǎng)絡(luò)信任區(qū)僅局限在母局內(nèi)部時(shí)，母局出口處需要設(shè)置SaN或防火墻設(shè)備隔離信任區(qū)和非信任區(qū)。從NGN業(yè)務(wù)的特點(diǎn)考慮，優(yōu)選SaN設(shè)備。由于我司的防火墻與SaN采用相同的硬件平臺(tái)，當(dāng)目前的SaN設(shè)備的規(guī)格暫時(shí)不能滿足要求時(shí)，可考慮配置為防火墻工作模式防火墻配置由于NGN母局內(nèi)部是可信任的設(shè)備，因此防火墻僅需要處理IP核心網(wǎng)進(jìn)入母局的數(shù)據(jù)流（下行方向），NGN母局輸出的數(shù)據(jù)流全部放行；NGN中的業(yè)務(wù)和信令承載于UDP、SCTP、TCP之上，而通用防火墻基于狀態(tài)的訪問控制功能僅對(duì)TCP有效，對(duì)于UDP、SCTP只能采用簡(jiǎn)單ACL的保護(hù)方式；母局設(shè)備與遠(yuǎn)端的其他設(shè)備處于同一個(gè)IP網(wǎng)絡(luò)，因此不需要進(jìn)行地址變換；母局中已經(jīng)配置了三層交換機(jī)完成路由功能，防火墻串接在上行鏈路中，不需要處理路由協(xié)議，工作于“橋模式”即可；SG等設(shè)備的IP地址僅在母局內(nèi)部使用，防火墻需要禁止外部對(duì)這些IP的所有訪問；NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實(shí)現(xiàn)原理LAN（一）組網(wǎng)方案

LAN（二）組網(wǎng)方案LAN（一）組網(wǎng)方案S3526E端口分配方案以太網(wǎng)端口所屬VLAN端口用途備注1＃、2＃FE2＃VLAN上行鏈路端口配置為ACCESS模式3＃、4＃FE3、4、5＃VLAN互連鏈路端口配置為TRUNK模式5?！?0＃FE3＃VLAN網(wǎng)管設(shè)備、Web接口設(shè)備端口配置為ACCESS模式11?！?2＃FE4＃VLAN其他NGN核心網(wǎng)設(shè)備端口配置為ACCESS模式23＃～24＃FE5＃VLAN備用端口端口配置為ACCESS模式S3552P端口分配方案以太網(wǎng)端口所屬VLAN端口用途備注1＃、2＃GE2＃VLAN上行鏈路端口配置為ACCESS模式3＃、4＃GE3、4、5＃VLAN互連鏈路端口配置為TRUNK模式1?！?＃FE3＃VLAN網(wǎng)管設(shè)備、Web接口設(shè)備端口配置為ACCESS模式7?！?6＃FE4＃VLAN其他NGN核心網(wǎng)設(shè)備端口配置為ACCESS模式47?！?8＃FE5＃VLAN備用端口端口配置為ACCESS模式NGN局端設(shè)備組網(wǎng)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異NGN網(wǎng)絡(luò)的安全性問題NGN網(wǎng)絡(luò)安全方案和組網(wǎng)模型關(guān)鍵技術(shù)實(shí)