51学通信技术论坛

 找回密码
 立即注册
搜索
查看: 1013|回复: 0

[数据网络及IP技术] 核心网IP化演进趋势下的风险分析及安全方案研究 [复制链接]

Rank: 9Rank: 9

发表于 2015-5-3 16:02:54 |显示全部楼层
一键分享 一键分享

摘 要 本文首先分析了软交换核心网的承载方式,针对目前IP化的演进趋势进行风险分析。提出软交换承载网和
TDM网、CMNET网相互备份的安全加固思路,重点分析了CMNET网备份软交换承载网的方案。避免单
一承载带来的安全隐患,提高网络安全。

目前I P 化成为网络发展的重点。核心网,甚至
全网I P 化的优点是不言而喻,但另一方面I P 化对电
信运营将产生深远的影响,其中网络安全成为重要的
研究课题。本文从设备、传输、路由组织等角度,进
行核心网I P 化风险分析,并提出承载I P 化和TDM网、
CMNET网相互备份的安全加固方案,提高网络安全。
1 软交换承载网的现状及演进趋势
软交换承载网是指软交换设备互联的承载方式,
主要包括CE(软交换侧)、I P 承载网(传输侧)及相
应传输路由。
1.1 承载网发展历程及现状
广东省软交换及相应承载网发展至今,历经3 个
阶段:临时网、非统一站点、统一站点。其网络及演
进如图1 所示。
根据图1,软交换接入承载网主要经历3 个阶段,
从临时承载到集中承载,从各自CE 接入到统一站点
接入。其发展趋势使得更多设备、业务扁平化接入承
载网,更加凸现I P 承载的重要性。
1.2 IP 化网络演进趋势
核心网的演进主要体现为网络的扁平化趋势和业
务的集中化趋势。通过I P 化承载及I P 网络,任何两
个通信点通过承载网直接相连。另外未来的网络将是
“Al l I P”的方式,信令、话音、各类增值业务等都将
承载在I P 之上。这种趋势使得承载网成为网络的核心,
其安全性成为影响全网业务的关键。
2 承载IP 化的风险分析及安全加固思路
I P 化的演进使得承载网成为网络的核心,其安全
性直接影响到网络运行和业务安全。
2.1 承载IP 化的风险分析
2. 1. 1 高集中化组网风险
目前软交换MSC Ser ver 集中在个别集中化城市
(如广东省集中在深圳、广州),出现过度集中的情况,
如一个机房存在多套MSC Ser ver 的情况,这些软交
换设备用统一的一对CE 及AR出口, 给CE和承载
网的建设、维护带来很大压力。
2. 1. 2 高危险性操作风险
在软交换承载网中,大量使用数通设备,这些设
备一方面不具备传统电信产品的运行保护方式,如数
据检查、非工作区快速倒回等,另一方面其隶于一个
自治系统,其路由相互影响。因此涉及这些设备的操
作极具危险性。
2. 1. 3 高隐蔽性故障风险
I P 网络故障比较隐蔽,比如某机房的承载网施工,
可能影响到其它机房或地市业务。此外由于路由的动
态性、灵活性从而导致故障很难定位,造成业务抢修
时间较长。
根据以上分析,当软交换承载网出现问题时,其
影响面广、破坏力强,因此其安全性对网络建设和运
行起着关键影响。
2.2 承载网的风险点
软交换承载网包含CE 设备、I P 承载网、传输路
由等,其涉及面广,包含交换、传输、数据等多个专业,
因此风险点也较多。
2. 2. 1 设备类风险点
软交换承载网的数通类设备,一般都是双机运行,
当双机无法切换,或双机同时中断时,其下挂软交换
设备将出现全部业务中断。
2. 2. 2 传输类风险点
传输类故障包括传输设备、管道、光缆、竖井、
走线的单路由隐患。此类故障是软交换承载网的多
发点。
2. 2. 3 数据类风险点
由于软交换承载网是一个扁平化网络,任何一点
的配置均可能影响到全网的运行。如某AR路由、I P
地址的错误配置,均可能影响全网的路由出现频繁刷
新甚至环路。
2.3 安全加固思路
软交换承载网的安全加固思路是利用现有丰富的
承载资源, 如TDM网络、CMNET 网等, 使得软交
换承载网和TDM网络、CMNET 网形成既隔离又互
通的备份网络体系。当承载网局部或全部出现问题时,
可以通过TDM网络、CMNET 网络进行备份, 确保
业务正常疏通。
3 TDM网备份方案及分析
TDM网的备份方案主要是通过目前TDM网来疏
通软交换局的业务。当承载网出现问题后,业务通过
传统的TDM网进行迂回。
3.1 TDM网现状
TDM网是指非I P 化、电路承载的网络,其底层
的传输方式是目前丰富的SDH网络。如目前广东省
TDM网包括本地网、长途网两种类型:本地网以直联、
关口汇接为主;长途网包括TMSC2/ TMSC1 的TDM
三级网、TMG/ SA为主的软交换二级网等两种方式。
3.2 备份方案
3. 2. 1 网络结构图
TDM网备份软交换承载网的方案如图所示。
以上可以看出,这种方案的主要特点是通过目前
传输MSTP 技术来保护Mc 口业务, 通过LSTP 疏通
Nc 口业务, 通过传统GW/ TMSC2 等TDM全互联网
元疏通Nb 口业务。
3. 2. 2 Mc 口的保护
由于目前Mc 口只能承载到I P 之上。在目前
TDM网络架构下,能提供I P 传输的方式,比较常用
的有传输MSTP 技术。深圳在GSM11B工程中, 在
SZSS37 局上曾成功开通备份Mc 口保护链路,并且在
一对CE 故障时,确保业务顺利疏通到备份链路上。
3. 2. 3 Nc 口的保护
目前各MSC Ser ver 需要和LSTP 相连, 对Nc
口的保护主要是利用LSTP 迂回保护。但由于目前
BI CC协议无法承载到TDM网上, 当Nc 口倒回到
LSTP 等传统TDM信令网时,BI CC协商失败, 回落
到I SUP 上。
3. 2. 4 Nb 口的保护
目前MGW仍需要和传统GW、MTM、TMSC2
(疏通本地特殊IVR业务)网元通过TDM方式互联,
因此可以说,用TDM网络对Nb 进行保护是具备天
然的条件。当承载网出现问题后,语音业务通过TDM
承载方式, 利用本地GW、
TMSC2 局进行疏通,从而确保
业务不受影响。
3.3 路由分析
当I P 承载网中断时,Mc
口通过TDM传输MSTP 网疏
通,Nc 和Nb 通过现网TDM
网元进行疏通。这种TDM网备
份的特点是充分利用现网资源,
可以快速疏通I P 化业务。
TDM网备份的方案也存在
一些缺点,首先在集团的I P 化
建设原则中,不建议TDM作为
I P 化承载的备份方式,甚至在
I P 化后期,I P 化软交换局将不
再配置TDM端口。因此用TDM网作为备份的方案,
只能作为一种应急疏通方式。
4 CMNET 网备份方案及分析
CMNET 作为全国性的互联网络体系,其承载的
业务一般是安全性较低的数据业务。但其由于起步早、
网络结构广泛且成熟度高,因此可以作为软交换承载
网的备份。
4.1 CMNET 网现状
CMNET 网起步较早, 在2001 年即建成并覆盖
全省各地。其定位主要是移动数据业务、互联网接入
等业务。省内CMNET 网络架够分为3 层:省内骨干
层和汇聚层、接入层,传输方式采用I P over SDH技
术。相比软交换承载网,CMNET 发展比较成熟,基
本能覆省内各个地市的每个机房。
4.2 备份方案
4. 2. 1 备份网络结构
软交换设备在接入软交换承载网的同时,通过备
用接口接入CMNET 网。当软交换承载网出现故障时,
由MN T 疏通业务。
从以上备份结构可以看出,软交换设备在接入承
载网的同时, 也通过备份接口接入CMNET 网,其
接入点为CMNET的接入路由器(作用类似软交换承
载网的CE 设备, 可以简称为Backup CE)。此外,
CMNET 网也作为普通接入点( 通过CMNET 网中的
GRE Rout er 接入软交换承载网的CE 设备),达到双
网互通的效果。
4. 2. 2 BCE 和GRE Rout er 的选择
BCE 设备主要负责软交换设备的备份接入,需要
在CMNET 的接入层完成, 可以选择CMNET 的接入
层交换机CI SCO3560 等。
GRE Rout er 主要负责VPN隧道管理和到软交
换承载网互通。考虑CMNET 网、软交换承载网都是
大型的I P 化网络,并且其核心层均属于集团公司负责
设备,因此GRE Rout er 也选择接入层设备,通过接
入层进行互通。
4. 2. 3 VPN部署方案
为满足软交换安全备份接入CMNET, 需要在
CMNET 上部署VPN。考虑到GRE 隧道的VPN方
式对现网CMNET 的影响最小, 因此可以采用GRE
隧道方案在CMNET 上构成VPN网络。此外, 为减
少互联规模,采用星型组网方式,在CMNET上选择
一个路由器作为核心GRE Rout er ,负责省内全网的
V N隧道转发。每个B 都和GR R 建立一
个隧道。
此外,GRE Rout er 也作为普通接点,接入
软交换承载网。考虑安全问题, 在CMNET、软
交换承载网的省内两大片区中(深圳、广州刚好
既是软交换承载网的中心,也是CMNET 承载网
的中心),各选择一个作为GRE Rout er ,互为
备份。粤东片区选择深圳GRE Rout er 为主路由
器,广州GRE Rout er 为备路由器,粤西片区类
似。
4. 2. 4 I P 地址部署方案
备份接口I P 地址不能和现网、CMNET 冲
突。目前软交换地址空间从10. A. B. C地址
空间中分配( 广东省A= 125 ~ 132, 全国A=
10 ~ 183),因此建议备份地址空间和以上区分开,
如可取A= 250 ~ 251 为信令空间地址(粤东、粤西
各占一个B),A= 252 ~ 253(粤东、粤西各占一个
B)为媒体流空间地址。
4. 2. 5 路由部署方案
路由部署主要涉及软交换设备、BCE、GRE
Rout er 等设备。
* 对于软交换设备:信令路由优先选承载网,
次选CMNET。对于媒体业务,由于只能走一种承载
网,因此需要人工干预:平时可以将备份接口人工关闭,
当软交换承载网出现故障时,人工解开即可;
* 对于BCE 设备: 每个BCE 设备到GRE
Rout er 配置隧道。BCE 设备配置目的地址为
10. A. B. C的路由, 其下一跳为指向GRE Rout er 的
隧道。其下联路由为直联,或细化(将A细分)静态
路由;
* 对于GRE Rout er 设备:针对目的地址为正常
的软交换地址,10. A. B. C(A= 125 ~ 132,区分信
令和媒体),其下一跳为指向该GRE Rout er 对应的
承载网CE 设备。这种路由主要是疏通故障区MGW
和正常区MGW之间媒体流业务。另外针对A=
250 ~ 253 的备份地址,根据A和B值的不同,送不
同的B 设备的隧道;
* 对于GRE Rout er 设备对应CE 及承载网设备:
本CE 及承载网设备除了负责正常软交换外,还要负
责全省备份平面的业务疏通,在CE设备上配置A=
250 ~ 253 的路由, 下一跳为GRE Rout er ,并且将
此地址发布到承载网AR上,并通过RR扩散到全网。
4.3 路由分析
考虑省内某机房一对CE出现故障时( 承载网
AR、BR或CE 故障等效多对CE 发生故障),路由分
析如下:
4. 3. 1 信令平面的路由(含Mc、Nc)
由于软交换设备在信令互通时,需要首先配置
M3UA层和SCTP 层的耦接, 除了创建正常耦联(经
软交换承载网),也需要创建备份耦联(经CMNET)。
在ERI CSSON的交换机上如图4 所示。
此时信令平面,正常业务经过软交换承载网疏通;
当软交换承载网(如CE 或AR)发生故障时,备份
信令业务切换到CMNET 上。
4. 3. 2 媒体平面的路由(Nb)
媒体流互通时的原理和信令流不同,任何MGW
之间的媒体流直接互通。当承载网出现局部故障时,
根据故障点距离软交换设备的远近,分为两种情况:
* CASE1 :承载网末端故障:这种情况主要是
一对CE 出现故障, 或CE 上联AR出现故障。此时
该CE 下联的任何软交换设备,都出现业务受阻情况。
如图的CASE1 部分,MGW1 和MGW2 之间无法通信。
此时路由疏通情况如下:
对于MGW1 和MGW2 的通信: 此时MGW1
和MGW2 接口发生切换, 业务倒换到CMNET 上,
MGW1 和MGW2 之间的媒体流通过BCE 设备完成媒
体流传送。
对于MGW1 和MGW3 的通信: 此时MGW1 切
换到CMNET 上, 但MGW3 因其上行承载网未出
现故障, 而未发生切换,此时需要将MGW1 的备份
地址和MGW3 的正常媒体地址进行互通。MGW1
首先送BCE1,BCE1 送GRE Rout er , 然后GRE
Rout er 根据目的地址为MGW3 的正常地址,将数据
流送承载网,由承载网疏通到MGW3。反向路由类似。
* CASE2 :承载网远端故障:这种情况主要是
AR、BR、CR或其中传输出现故障,造成部分业务
正常, 部分业务受阻。MGW1 和MGW2 仍能通过承
载网疏通业务,但无法和另一片区的MGW3 进行通信。
此时需要将故障区下的所有软交换设备人工切
换到CMNET 上, 即将MGW1、MGW2 人工切换到
CMNET 上。这种处理方法的本质是将承载网远端故
障分解为末端故障,进而发生切换到CMNET,确保
全部业务可以疏通。
但是,如果此时涉及的软交换设备较多,人工切
换工作量较大,在受影响业务较小并可接受范围内,
也可暂时无须处理,或通过TDM网回落。
5 方案对比
根据以上方案,可以看出,两种备份方案各有特
点,对比如下。
5.1 TDM网备份方案
TDM网备份方案的优点是网络简单,软交换设
备需要增加的设备不多。但缺点也比较明显,首先是
需要单独组Mc 口保护网络,其次是只能适用目前I P
化程度不高的网络,对于I P 化的深入开展,则无法形
成有效备份。
5.2 CMNET 网备份方案
CMNET网备份方案的缺点是网络复杂,并且软
交换侧需要增加一定的备份单板,如将目前的单板备
份方式修改为N+ 1 备份。但其优点是充分利用I P
承载和CMNET 网的特性,避开承载网的故障点,真
正疏通业务。此外这种方案的扩展性良好,适用I P 化
的任何阶段。
6 结论
本文分析了目前软交换承载网的风险点,提出了
建立备份网络的思路,首先提出TDM网作为备份的
方案,重点分析了CMNET 网的备份机制。以此建立
全省性的备份承载体系,使不同的承载网能够互联互
通,且能够相互部分,达到承载一体化的理想状况,
以此提高网络安全,确保核心网I P 化的趋势下,确保
网络和业务的安全。
附件: 你需要登录才可以下载或查看附件。没有帐号?立即注册
您需要登录后才可以回帖 登录 | 立即注册

站长邮箱|Archiver|51学通信 ( 粤ICP备11025688 )

GMT+8, 2018-10-20 14:55 , Processed in 0.044427 second(s), 13 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部