基于ICT業(yè)務的企業(yè)信息通信網(wǎng)關設計與應用

精品文檔-下載后可編輯基于ICT業(yè)務的企業(yè)信息通信網(wǎng)關設計與應用1對信息通信網(wǎng)關的需求

中國的運營商市場經(jīng)過10多年的調整，形成了三足鼎力的競爭格局。為了應對日益激烈的全業(yè)務競爭和信息通信融合趨勢，三大電信運營商紛紛以不同方式向綜合信息服務提供商轉型。電信運營商希望借助合作方的應用開發(fā)、技術支持能力，使用自身的品牌和渠道，共同為客戶提供信息通信解決方案。信網(wǎng)關可以在各種網(wǎng)絡協(xié)議間做報文轉換，其功能可以通過一塊芯片、一個嵌入式設備或板卡、或者是一臺獨立的設備實現(xiàn)。還有一些設備，如PC，也可以實現(xiàn)網(wǎng)關（或設備服務器）的功能。倍加福的智能系統(tǒng)部經(jīng)理HelgeHornis指出，網(wǎng)關必須能夠完整地解析出報文的內容，并且智能地將它轉換為另一種協(xié)議。Moxa公司的產品營銷經(jīng)理JimToepper說，在工業(yè)自動化領域，網(wǎng)關涉及到協(xié)議之間的轉換；在通信行業(yè)，網(wǎng)關也被稱為路由器；而到了消費者市場（家庭用戶），網(wǎng)關就是一種用來共享因特網(wǎng)連接的有線或無線設備。

中國政府和中小企業(yè)用戶的特點是數(shù)量眾多，IT技術能力較弱，對信息通信基礎設施的需求多樣化，因此如果能夠將多元業(yè)務方便地部署于同一節(jié)點，而且能極大地降低企業(yè)網(wǎng)絡建設的初期投資與長期運維成本，對電信運營商和政企客戶而言都是雙贏的。基于此，新一代支持ICT業(yè)務的企業(yè)信息通信網(wǎng)關就需要滿足以下需求。

接入設備是一個硬件設備，其通常用于遠程的訪問網(wǎng)絡資源，反之亦然。普通的接入設備有路由器、復用器和調制調節(jié)器。整合接取設備（IAD）是一種能同時發(fā)送傳統(tǒng)的PSTN語音服務、信息包語音服務和通過單個WAN鏈接的數(shù)據(jù)服務（通過LAN端口）的接入設備。一個接入設備集合了多種無線電遙控設備，包括語音和通過單個共享接入鏈接到一個載體或服務提供商接駁站（PoP）的數(shù)據(jù)。無線接入方式由于能夠給客戶組網(wǎng)帶來極大的移動性和部署靈活性，未來將是企業(yè)信息通信基礎設施建設的熱門技術。

某些政府類客戶將網(wǎng)絡的安全和性能需求提到一個相當高的位置，不僅要求很高的轉發(fā)能力，而且還需要有高性能的加解密能力，以滿足通信安全需求。有的客戶還要求設備能夠帶有防火墻功能，解決Internet上越來越多的病毒攻擊和網(wǎng)絡攻擊。

為了對設備能夠進行方便和完善的管理，電信運營商對網(wǎng)絡接入設備的統(tǒng)一管理提出了新的要求，要求通信設備支持多種網(wǎng)絡管理方式，如Web、SNMP和TR069等。

支持ICT業(yè)務的企業(yè)信息通信網(wǎng)關設計

體系結構描述

MP1800是邁普通信技術股份有限公司專門為政府、中小企業(yè)客戶量身打造的符合電信運營商和中小企業(yè)信息通信需求的新一代信息通信設備。它具有5個一體化的特點：

路由、交換一體化，支持2個以太網(wǎng)WAN口加4/8個以太網(wǎng)LAN口；

寬帶、窄帶一體化，支持從N×64kbit/s到100Mbit/s廣域網(wǎng)鏈路接口；

廣域、局域一體化，支持廣域網(wǎng)和局域網(wǎng)的統(tǒng)一控制和管理；

有線、無線一體化，支持3G和WLAN接入，能夠和有線網(wǎng)絡進行無縫對接；

數(shù)據(jù)、語音一體化，支持數(shù)據(jù)多業(yè)務的開展和VoIP功能，并能進一步擴展為IPPBX；

信息、通信一體化，支持豐富的增值應用、網(wǎng)絡應用監(jiān)管。

MP1800系統(tǒng)架構如圖1所示。

圖1MP1800的系統(tǒng)架構

MP1800采用了先進的400MHz的PowerPC嵌入式雙核處理器，配以256MB，64bit/133MHz的DDR2SDRAM、256MB的Flash。通過64bit/33MHz的PCI總線擴展出支持802.1b/g協(xié)議的WLAN接口和支持100Mbit/s加密性能的硬件加密模塊；通過USB2.0接口擴展支持WCDMA/cdma2000/TD-CDMA的3GModem接口。

多業(yè)務融合設計

MP1800做到了多業(yè)務和高性能的完美結合，實現(xiàn)了包括路由、交換、IP語音、安全、無線接入、防火墻和滿足電信要求的網(wǎng)管功能，能承擔以前多種通信設備才能承擔的任務。

MP1800的高性能設計

為了滿足政府、中小企業(yè)、電信運營商對信息通信設備越來越高的性能需求，MP1800在軟件體系上進行了專門設計和優(yōu)化，主要的一個特點是采用了雙核處理器來進行數(shù)據(jù)報文的處理，比如網(wǎng)絡安全、MPLS和動態(tài)路由協(xié)議功能，這樣的設計使得MP1800能夠做到轉發(fā)和控制/管理相分離，互相不受影響，因此MP1800能夠做到64byte報文的雙向百兆全線速轉發(fā)，即使在配置了復雜的ACL/QoS功能時性能也沒有太大的影響。此外，為了提高IPSec安全性能，MP1800采用了硬件加密模塊，能夠達到100Mbit/s的加解密性能。

MP1800的QoS功能

由于政府、中小企業(yè)客戶越來越重視關鍵業(yè)務的通信質量，因此QoS功能在未來的網(wǎng)絡應用中將發(fā)揮越來越重要的作用。MP1800為用戶提供了流分類、流量監(jiān)管、流量整形、擁塞管理和擁塞避免等多種應用。

（1）流分類

MP1800的QoS支持豐富的業(yè)務分類標準，可廣泛應用于傳統(tǒng)IP、MPLS和以太網(wǎng)等多種業(yè)務網(wǎng)絡中。MP1800支持業(yè)務深度識別功能，能夠識別多種應用層協(xié)議，如HTTP、BT應用等，可為語音、視頻、文件傳輸、Web瀏覽等不同應用提供不同的QoS服務。

（2）流量監(jiān)管和流量整形

MP1800支持單速雙色和雙速三色的令牌桶算法，對超出規(guī)格的流量可以實施預先設定好的監(jiān)管動作。這些動作可以是：轉發(fā)、丟棄、改變優(yōu)先級并轉發(fā)、進入下的監(jiān)管。

（3）擁塞管理

當報文到達的速度大于該接口發(fā)送的速度時，在該接口處就會產生擁塞，發(fā)生報文丟失，而報文的丟失又可能會導致發(fā)送該報文的主機或路由器因超時而重傳此報文，這將導致惡性循環(huán)。MP1800的QoS提供豐富的調度策略，例如FIFO、PQ、CQ、WFQ、CBWFQ，每一種調度策略都可以為一種關鍵業(yè)務應用而設計。

MP1800的2層交換功能

MP1800提供了豐富的二層以太網(wǎng)功能，包括MSTP、GARP/GVRP、LACP、以太網(wǎng)OAM、UDLD等，因此使用MP1800能夠方便、完善地構建一個局域網(wǎng)絡，快速、有效、安全地布置各種業(yè)務。

端口匯聚技術分為靜態(tài)匯聚和動態(tài)匯聚，是將多個端口聚合在一起形成一個匯聚組，不僅可以提高鏈路帶寬，實現(xiàn)流量在匯聚端口上的負載分擔，也能提高連接可靠性。

以太網(wǎng)OAM作為一個二層協(xié)議，是監(jiān)控和解決網(wǎng)絡問題的工具。它能夠在數(shù)據(jù)鏈路層網(wǎng)絡的狀態(tài)，使網(wǎng)絡管理員能夠更有效地管理網(wǎng)絡。這個功能能夠使電信運營商方便地管理和維護設備，提升他們的客戶滿意度。

MP1800的安全功能

MP1800實現(xiàn)了多種安全技術來保障設備信息通信安全，這些技術有IPSec、SSLVPN、802.1x接入控制和防火墻等。

（1）保證數(shù)據(jù)傳輸安全的IPSec功能

IPSec是一種三層隧道加密協(xié)議，它能夠為Internet上傳輸?shù)臄?shù)據(jù)提供高質量的、可互操作的、基于密碼學的安全保證。它能夠提供以下的安全服務：

數(shù)據(jù)機密性：IPSec發(fā)送方在通過網(wǎng)絡傳輸包前對包進行加密；

數(shù)據(jù)完整性：IPSec接收方對發(fā)送方發(fā)送來的包進行，確保數(shù)據(jù)在傳輸過程中沒有被篡改；

數(shù)據(jù)：IPSec在接收端可以發(fā)送IPSec報文的發(fā)送端是否合法；

防重放：IPSec接收方可檢測并拒絕接收過時或重復的報文。

通常，IPSec在一些低端通信設備上都是通過軟件實現(xiàn)，由于復雜的加密/解密、算法會占用大量的CPU資源，從而影響設備整體處理效率。MP1800使用硬件加密模塊，將復雜的算法處理在硬件上進行，從而使得MP1800的IPSec加密性能能夠達到100Mbit/s，完全滿足未來政府和中小企業(yè)日益復雜的應用和信息通信安全需要。

（2）防范非法訪問的防火墻功能

政府、中小企業(yè)客戶對網(wǎng)絡安全性日益重視，據(jù)統(tǒng)計，對網(wǎng)絡安全威脅的是網(wǎng)絡攻擊與非法訪問。

常見的攻擊有ARP攻擊、NAT攻擊、路由攻擊、異常流量攻擊等。對于ARP攻擊，MP1800可以采用IP-MAC地址綁定進行解決；對于NAT攻擊、路由攻擊、異常流量攻擊可以采取IP流量限速和NAT限制。

MP1800在內部設計了防火墻，支持包過濾、訪問控制、URL過濾等功能。以通過URL過濾功能限制對非工作網(wǎng)站的訪問。

MP1800無線功能

（1）支持局域無線的WLAN功能

WLAN的優(yōu)勢就是免去或減少了繁雜的網(wǎng)絡布線，在對WLAN的支持上，MP1800能夠提供精細的用戶控制管理、靈活的安全機制、端到端的QoS等功能。

WLAN無線網(wǎng)絡的安全性主要體現(xiàn)在和鏈路加密兩個方面。用來保證只能由授權用戶進行訪問，鏈路加密則保證發(fā)送的數(shù)據(jù)只能被特定的用戶所接收。MP1800支持802.1X、OpenSystem和ShareKey方式；支持WPA-PSK、WPA2-PSK、WEP、AES、TKIP加密。

（2）支持廣域無線的3G功能

隨著3G移動網(wǎng)絡的迅速普及，各大運營商在提供3G多媒體業(yè)務的同時，也給客戶帶來更高帶寬的無線接入體驗，3G作為靈活、快速、安全、高效的Internet接入方式已逐步成為用戶廣域網(wǎng)接入的主流選擇之一。

MP1800的3G接入解決方案可有效滿足移動辦公、移動監(jiān)控、分支無線接入等無線寬帶接入需求。MP1800的3G解決方案支持三種3G制式：WCDMA、cdma2000和TD-SCDMA。

（3）完善的業(yè)務功能

MP1800上的兩種無線接口與其他的以太等物理接口相同，即MP1800上的無線接口支持完整的基于IP層以上的所有業(yè)務和功能特性，如接口備份、流量統(tǒng)計、網(wǎng)絡防攻擊等，可有效發(fā)揮無線接口應用的潛力和價值。

典型應用

3.1中小企業(yè)組網(wǎng)應用

MP1800作為一個獨立的中小企業(yè)綜合接入設備時，可采用3G通信鏈路作為廣域網(wǎng)有線鏈路的備份或負載分擔通道。而企業(yè)內部聯(lián)網(wǎng)，既可以采用以太網(wǎng)的有線連接方式，也可以采用WLAN的無線連接。

如果MP1800是電信運營商代購或購買給客戶的信息通信網(wǎng)關，運營商可以在運維中心部署網(wǎng)管系統(tǒng)對設備及接口卡實現(xiàn)集中配置和管理，比較典型的是中國電信基于TR069的網(wǎng)管系統(tǒng)。采用MP1800的中小企業(yè)組網(wǎng)方案如圖2所示。

圖2中小企業(yè)組網(wǎng)應用

3.2無人值守ATM機無線組網(wǎng)應用

目前有越來越多的金融ATM機部署在商場、辦公大樓等公共場所，特別是那些靠提供靈活服務與國有大商業(yè)銀行展開差異化競爭的中小銀行更傾向于采用這種無人值守部署方式?？紤]到應用安全，MP1800與中心的設備實現(xiàn)IPSec數(shù)據(jù)加密功能，以解決安全隱患。與此同時，MP1800的VoIP模塊還能外接一部電話機，以方便客戶采用電話辦理業(yè)務。其組網(wǎng)方案如圖3所示。

圖3無人值守ATM的3G無線組網(wǎng)應用

3.3總部/分支型政府機構與企業(yè)的組網(wǎng)應用

客戶可以利用MP1800的各種接口（圖4所示為3G鏈路，其實也可以采取有線專線鏈路）實現(xiàn)總部和分支之間的廣域互連，分支節(jié)點的設備可以采用WLAN或以太的方式接入企業(yè)局域網(wǎng)，如圖4所示。公司總部運維中心可采用網(wǎng)管系統(tǒng)實現(xiàn)MP1800設備及接口模塊的集中管理。

圖4總部/分支型政企客戶的組網(wǎng)應用

4結束語

在中國電信的企業(yè)戰(zhàn)略轉型指導意見中，ICT成為與互聯(lián)網(wǎng)應用、視頻內容以及移動通信并列的4大拓展業(yè)務領域之一。ICT產生的背景是行業(yè)間的融合以及對信息通信服務的強烈訴求，而固網(wǎng)運營商進入ICT領域是固網(wǎng)空間被四處擠壓、企業(yè)進入發(fā)展的疲勞甚至是衰退期下的選擇，嚴格說來屬于危機轉型或弱勢轉型。在轉型的先驅者中，既有諾基亞這樣從木材加工業(yè)成功轉型到IT產業(yè)的公司，也有在轉型過程中黯然落幕的百年老店ATT。因此，中國的固網(wǎng)運營商有必要全面地審視一下自己與IT企業(yè)的距離。讓我們做一個IT企業(yè)與CT企業(yè)的簡單比較。

在企業(yè)自動化和信息化項目