2007/05/24

網(wǎng)絡(luò)建設(shè)需求和目標(biāo)
　　傳統(tǒng)的TDM長途網(wǎng)由于在網(wǎng)絡(luò)層次上存在不足，比如，部分節(jié)點結(jié)構(gòu)混雜（省際長途局DC1與省內(nèi)長途局DC2合一、省際長途局與網(wǎng)關(guān)局合一等），部分省長途交換網(wǎng)的交換節(jié)點為單節(jié)點設(shè)備，存在單點安全性問題等，因此已不能適應(yīng)業(yè)務(wù)的發(fā)展，需要升級和改造。
　　從長遠來看，NGN是未來技術(shù)發(fā)展的方向，能夠滿足網(wǎng)絡(luò)演進的戰(zhàn)略需要。用NGN技術(shù)建設(shè)長途網(wǎng)絡(luò)，可以實現(xiàn)以下目標(biāo)：調(diào)整、優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，使網(wǎng)絡(luò)結(jié)構(gòu)更加清晰、易于維護；滿足日益增加的新業(yè)務(wù)需求和競爭的需要；實現(xiàn)統(tǒng)一的運維管理；及時跟蹤最新的技術(shù)，保證網(wǎng)絡(luò)的平穩(wěn)過渡和平滑演進。
　　圖1所示為上海貝爾阿爾卡特針對運營商現(xiàn)網(wǎng)狀況提供的NGN解決方案。它以軟交換為核心，利用統(tǒng)一的網(wǎng)管平臺以及與PSTN互通的中繼網(wǎng)關(guān)實現(xiàn)網(wǎng)絡(luò)部署，主要由兩個部分組成：（1）核心控制網(wǎng)絡(luò)。提供網(wǎng)絡(luò)的核心控制能力、業(yè)務(wù)以及網(wǎng)管計費等功能。其中軟交換作為網(wǎng)絡(luò)的呼叫控制核心、業(yè)務(wù)交換點和業(yè)務(wù)提供點，滿足話音、增值業(yè)務(wù)、寬帶多媒體業(yè)務(wù)等要求。它通過信令網(wǎng)關(guān)與七號信令網(wǎng)絡(luò)互通，通過INAP接口與智能網(wǎng)的SCP互通。中心網(wǎng)管提供基于SNMP的網(wǎng)絡(luò)設(shè)備管理。（2）接入網(wǎng)絡(luò)。提供不同容量的中繼網(wǎng)關(guān)設(shè)備，實現(xiàn)與PSTN互通。

組網(wǎng)方案
圖2　NGN長途網(wǎng)與TDM長途網(wǎng)結(jié)構(gòu)

軟交換的設(shè)置

　　軟交換作為NGN網(wǎng)絡(luò)的核心，負(fù)責(zé)控制中繼網(wǎng)關(guān)設(shè)備，實現(xiàn)呼叫控制及路由管理。軟交換應(yīng)放置在中心節(jié)點，作為現(xiàn)有長途局的補充，在網(wǎng)絡(luò)位置上平行于現(xiàn)有長途局。

　　NGN承載在IP網(wǎng)上，采用開放的體系架構(gòu)，一套軟交換可以控制多個媒體網(wǎng)關(guān)。軟交換可采用相對集中設(shè)置的方式，不需要與媒體網(wǎng)關(guān)配對設(shè)置。

　　考慮到建網(wǎng)初期的網(wǎng)絡(luò)規(guī)模及業(yè)務(wù)流量，可按地域?qū)�NGN網(wǎng)絡(luò)分為若干個NGN域，在每個NGN域選取一個城市作為大區(qū)中心，每個大區(qū)中心設(shè)立一對軟交換，并設(shè)置在不同局址，實現(xiàn)異地雙歸屬冗余備份。大區(qū)軟交換控制本大區(qū)的中繼網(wǎng)關(guān)，對長途業(yè)務(wù)進行分流和保護。對于單TDM DC1的城市，TG作為第二長途局，對現(xiàn)有DC1長途話務(wù)進行分流，與現(xiàn)有DC1形成雙節(jié)點進行負(fù)荷分擔(dān)，為長途業(yè)務(wù)提供較高的安全保證。對于多TDM DC1的城市，TG作為DC1的備份，與DC1負(fù)荷分擔(dān)長途語音業(yè)務(wù)。

中繼網(wǎng)關(guān)的設(shè)置

　　中繼網(wǎng)關(guān)作為與長途的匯接點，負(fù)責(zé)媒體流的轉(zhuǎn)換，實現(xiàn)TDM旁路、TDM與VoIP業(yè)務(wù)流之間的編解碼、打包/拆包、時延抖動濾除等功能。中繼網(wǎng)關(guān)與軟交換之間采用H.248協(xié)議。

　　實施雙歸屬時，兩個軟交換各承擔(dān)部分話務(wù)，需設(shè)置中繼網(wǎng)關(guān)雙歸屬到大區(qū)軟交換。中繼網(wǎng)關(guān)配置軟交換的原則是，盡量使軟交換的負(fù)荷均衡，即各50%的分配原則。

NGN網(wǎng)絡(luò)安全性

　　NGN網(wǎng)絡(luò)的安全性涉及設(shè)備安全性和網(wǎng)絡(luò)安全性兩部分。

設(shè)備安全性

　　設(shè)備安全性包括軟交換設(shè)備安全性和中繼網(wǎng)關(guān)設(shè)備安全性。

軟交換設(shè)備安全性

　　軟交換設(shè)備負(fù)責(zé)控制大量的設(shè)備和呼叫接續(xù)，處理能力和功能非常強大。一個軟交換能支持百萬用戶或等效中繼，這一方面簡化了網(wǎng)絡(luò)結(jié)構(gòu)和層次，有效降低了設(shè)備成本和運維支出，另一方面也帶來了安全隱患。當(dāng)軟交換設(shè)備出現(xiàn)故障時，將導(dǎo)致大范圍的通信故障，給整個網(wǎng)絡(luò)造成非常大的影響。

　　為了保證軟交換設(shè)備的安全性，首先，要確保軟交換設(shè)備自身的安全性。以上海貝爾阿爾卡特A5020 MGC軟交換為例，主要采取了下面幾個措施：（1）在對外網(wǎng)絡(luò)接口上，除了系統(tǒng)需要使用的服務(wù)外，如H.248、SIP、MGCP、H.323、INAP等相關(guān)協(xié)議，其他不使用的網(wǎng)絡(luò)服務(wù)（如HTTP）一律關(guān)閉，防止非法用戶通過非法的服務(wù)入侵設(shè)備。（2）利用網(wǎng)絡(luò)路由器實現(xiàn)防火墻功能和網(wǎng)絡(luò)安全協(xié)議IPSec的功能，防止非法用戶通過惡意攻擊、竊聽等手段破壞合法用戶的正常服務(wù)。（3）網(wǎng)絡(luò)管理系統(tǒng)提供嚴(yán)格的用戶認(rèn)證功能，只有通過認(rèn)證并擁有合法權(quán)限的用戶，才可以對A5020 MGC的各網(wǎng)元進行正常的網(wǎng)絡(luò)管理。

　　其次，采用軟交換雙歸屬機制來保證軟交換設(shè)備的安全性。雙歸屬機制是NGN領(lǐng)域獨特的安全容災(zāi)技術(shù)，能夠?qū)崿F(xiàn)異地的容災(zāi)備份，這對于應(yīng)付突發(fā)事件具有重要意義。雙歸屬機制主要解決以下問題：（1）連接性檢測。這包括網(wǎng)關(guān)、終端設(shè)備與軟交換之間的連接性檢測。當(dāng)檢測到連接丟失后，能夠向備份軟交換設(shè)備重新注冊。主備份軟交換之間通過連接性檢測來判斷對端軟交換的運行狀態(tài)。其他軟交換通過檢查與主備份軟交換之間的連接性，更新其內(nèi)部路由表，決定呼叫路由策略。（2）網(wǎng)關(guān)、終端設(shè)備的重新注冊。網(wǎng)關(guān)、終端設(shè)備必須具備針對軟交換的重新注冊功能。在網(wǎng)關(guān)、終端設(shè)備上配置軟交換列表，當(dāng)檢測到主軟交換不可達時，自動向軟交換列表中的其他軟交換發(fā)起注冊。（3）軟交換之間數(shù)據(jù)的同步及切換策略。當(dāng)主備份軟交換之間發(fā)現(xiàn)對方不可達時，采取必要的措施報告該事件，并決定切換策略。

中繼網(wǎng)關(guān)設(shè)備安全性

　　在NGN網(wǎng)絡(luò)中，中繼媒體網(wǎng)關(guān)必須保證最高級別的可靠性和可用性，以滿足最苛刻的應(yīng)用需求。以上海貝爾阿爾卡特A7510中繼媒體網(wǎng)關(guān)為例，綜合采取了兩個措施：（1）冗余性。其設(shè)計目標(biāo)是要支持不間斷的系統(tǒng)運行，不出現(xiàn)任何單點故障。A7510支持20個模塊，每個模塊可以1+1冗余或者N+1冗余。每一個備用模塊中都維護著一致的配置信息，防止在維護或升級操作時，當(dāng)A7510網(wǎng)關(guān)從活動模塊切換到備用模塊時，發(fā)生在線呼叫丟失。（2）內(nèi)存共享。每個模塊都包含完整的軟件拷貝，確保A7510網(wǎng)關(guān)在軟件升級過程中，或者在某個模塊出現(xiàn)故障的情況下，繼續(xù)保持聯(lián)機的有效狀態(tài)。冗余的組件包括系統(tǒng)以及管理軟件、信令以及網(wǎng)關(guān)控制軟件等。

網(wǎng)絡(luò)安全性

　　網(wǎng)絡(luò)的安全性包括網(wǎng)絡(luò)防攻擊能力和網(wǎng)絡(luò)冗余配置。

網(wǎng)絡(luò)防攻擊能力

　　鑒于NGN長途骨干網(wǎng)的重要性，建議NGN長途網(wǎng)承載于專用的IP網(wǎng)上，實現(xiàn)NGN核心設(shè)備與普通數(shù)據(jù)流的物理或邏輯隔離，保證網(wǎng)絡(luò)的安全性和防攻擊能力。為了防止外網(wǎng)的非法訪問，可以通過在三層交換機中劃分VLAN和定義訪問控制列表（ACL）的方式進行防護。

　　可以將NGN網(wǎng)絡(luò)劃分為核心網(wǎng)絡(luò)區(qū)（信令信任區(qū)）、核心媒體區(qū)（信令媒體信任區(qū)）、網(wǎng)管計費區(qū)（運維信任區(qū)）、半信任區(qū)（DMZ）、非信任區(qū)這5個區(qū)域。根據(jù)不同的區(qū)域，在防火墻上定義所需要的ACL。對于不符合ACL的IP包，防火墻將丟棄之。防火墻本身在各區(qū)域之間按照路由進行配置。

網(wǎng)絡(luò)冗余配置

　　除了設(shè)備本身的可靠性之外，還必須考慮承載網(wǎng)的高可靠性。因此，必須考慮IP網(wǎng)絡(luò)設(shè)備的容錯性和冗余性，使得在網(wǎng)絡(luò)組件發(fā)生意外故障，以及進行計劃內(nèi)網(wǎng)絡(luò)升級和變動時，網(wǎng)絡(luò)都能夠保持正常運行。

　　冗余配置如圖3所示。核心設(shè)備通過主備份網(wǎng)口與主備份三層交換機連接，主備份交換機之間有VLAN TRUNK（兩條物理鏈路通過802.3ad或FEC匯聚）的連接。同時主備交換機之間運行VRRP協(xié)議，以保證路由的惟一性。這種網(wǎng)絡(luò)的冗余配置，可以避免單點故障的發(fā)生。

圖3　網(wǎng)絡(luò)的冗余配置

中國通信網(wǎng)(www.c114.net)