数据承载网

关键词： 电信业务 软交换 承载 网络

数据承载网（精选八篇）

数据承载网 篇1

中国移动很早就开始了电信网络发展思路研讨, 对IP网络承载面向未来的各种电信新业务进行了论证和评估, 确定了建设数据承载网的发展思路。中国移动用了一年多的时间建成了T1软交换汇接数据承载网, 这是一次建设电信级数据承载网的大规模的实践。最终证明数据承载技术显示了其巨大的使用价值。

一、中国移动IP专用承载网发展现状

中国移动IP专用承载网初期主要实现“软交换汇接网”业务的接入和承载, 通过“中国移动IP专用承载网工程”的建设, 其网络已经覆盖全国所有省会级城市, 具备在全国所有省会城市和部分省份地市级城市实现业务接入和承载的能力。中国移动数据承载骨干网经过三期工程建设后, 又启动了数据承载网省内延伸工程项目, 把网络向纵深方向进行了发展。

二、数据承载网网络定位

中国移动早几年已经建成了全国CMNET骨干网, 用以发展数据业务。一些省还建设了MDCN移动数据通信网。新建的数据承载网将如何定位呢?

1) 中国移动专用数据承载网是中国移动新一代能够同时支持语音、视频、数据、企业互联等多种业务的核心承载平台。

2) IP专网主要是一个承载网, 专用数据承载网目标将建设成面向多种业务的专网数据承载网。

3) IP专网和CMNet互相补充共同提供对中国移动业务的承载, IP专网定位于高价值和高要求的电信业务, CMnet定位于互联网业务和中低要求的电信业务。随着技术的发展, 未来应考虑多网合一的可能。

4) IP专网利用现有的城域网完成业务系统和集团客户的接入, 原则上不单独为IP专网设置城域网。

IP专网对上述业务的承载, 将随着业务的发展在具备条件的时候逐步实施。IP专网初期以汇接软交换业务为主, 主要承载汇接软交换的媒体流、信令流和部分网管流。

三、数据承载网网络结构

数据承载网目标结构分为三层, 即核心层、汇聚层和接入层。在部分省、市, 可根据具体情况, 将汇聚节点与接入节点合设, 具体可参下图1。

中国移动数据承载网长期发展将逐步演变为上述三层结构。其中, 核心节点及相关中继链路构成网络的核心层, 实现全网省间业务的转接功能, 核心节点设置在业务量较大且具备完善省际传输汇接条件的城市;汇聚节点及汇聚节点至核心节点相关中继链路、汇聚节点间中继链路构成网络的汇聚层, 实现各省业务向核心层网络的汇聚以及部分省间业务的疏导, 汇聚节点设置在各省会城市, 或业务量较大且具备完善省际、省内传输汇接条件的地市级中心城市;接入节点及接入节点至本省汇聚节点中继链路、接入节点间中继链路构成网络的接入层, 实现各地市业务向汇聚层网络的汇聚以及部分地市间业务的疏导, 接入节点设置在具有业务接入需求的各省会、直辖市及地市级城市。

四、中国移动数据承载网的表现及启示

1. 性能提高, 满足业务承载要求

中国移动数据承载网完全满足无线语音业务在QOS、可靠性和安全性等方面的要求, 通话质量接近PSTN, 音质清晰, 并能保证高接通率, 可稳定地承载大话务量。

2. 数据承载网的可靠性大大超过传统IP网络。

通过采用多业务MPLS VPN安全隔离技术, 数据承载网还可有效遏制病毒冲击和恶意攻击, 在网络一年多的运行过程中, 没有出现核心设备受病毒攻击的情况。

由于分流了大量的GSM省际语音业务流量, 数据承载网大大地提升了GSM网络的性能和服务能力, 满足2G用户数目高速发展的要求。

3. 业务开展更加方便

作为一个开放的网络, 数据承载网完全满足目前开放的各种业务的承载要求, 它不仅承载无线语音长途业务, 还承载了信令、SS7监控、数据业务监控和软交换网管等业务, 并对未出现的业务具有良好的扩展性。

4. 降低了投资成本

中国移动T1软交换汇接网和数据承载网的建设在很大程度上缓解了原汇接网的扩容压力, 同时IP网络的价格优势和高扩容能力, 也大大地节省了建网投资。

中国移动数据承载网的建设和成功运营表明电信级IP网络的建设已经是箭在弦上, 到了不得不发的时候了。“IP网络电信化, 电信业务IP化”是业界发展的潮流。实践证明, 通过科学规划和精心部署, IP网络完全可以实现电信业务的承载。尽管承载网的技术和标准还在发展中, 我们相信经过业界的共同努力, 数据承载网最终一定能满足NGN、3G等网络的业务需求, 解决QOS、安全和运营管理等问题, 为运营商转型打造一张具有综合支撑能力的新一代多业务数据承载网, 为企业的业务创新提供有力支持。

参考文献

[1]3G IP多媒体子系统IMS--融合移动网与因特网作者: (芬) 卡马里罗马丁译者:京移通信设计院张同须ISBN:7115137854出版日期:2006年

[2]多业务宽带IP通信网络作者:毕厚杰ISBN:7115135584出版日期:2005年

数据承载网 篇2

郭峰, 汪颖

（武汉理工大学 信息工程学院,湖北省 武汉市 430070）

Fengg163@163.com

业务的角度出发，分析了ASON网络承载业务的特点及其发展趋势。关键词：光纤通信,ASON；

中图法分类号：TN913文献标识码：A

摘 要: 介绍了目前光纤通信传送网的发展过程和现状，通过介绍自由交换光网络(ASON)的功能及技术特点，从承载

1引言

光纤通信由于具有损耗低、传输频带宽容量大、体积小、重量轻、抗电磁干扰、不易串音等优点而备受业内人士的青睐，发展非常迅速。从SDH（同步数字系列）发展到DWDM（密集波分复用）,超大容量密集波分复用技术的飞速发展使光纤的容量得到了比较彻底的发掘,解决了网络节点间传输容量的问题。但是网络节点瓶颈的问题依然很突出。

随着各种光传送网技术的商用，各大运营商都在探讨光传送网技术的引入问题。从承载业务的角度出发，结合ASON传送网的功能及特点，给出了基于ASON传送网的业务承载分析。

涉及带宽、灵活性、可靠性、可管理性等各个方面。

2.1同步数字系列（SDH）

SDH具有统一光接口标准和幀结构；不同厂家的产品可以在光路上互通。一步复用特性，上下话路简单，降低成本，提高可靠性和稳定性。强大的OAM能力--5%左右的信息作为开销，用来对设备和网络进行操作、管理、维护和配置。增强网络的生存性和安全性--能组成各种自愈网；前向/后向兼容--兼容PDH各种速率信号，并能兼容新业务信号。

但是SDH频带利用率低，指针调整机理复杂，软件的大量应用时，系统易受病毒或者误操作的危害。

2.2密集波分复用（DWDM）技术

DWDM能组合一组光波长用一根光纤进行传送。DWDM系统的传输容量很大；充分利用光纤的带宽资源，多波长复用在单模光纤中传输使一根光纤的传输容量比单波长传输增加几倍至几十倍；由于同一光纤中传输的信号波长彼此单独 因而能够传输特性完全不同的信号；波分复用通道对数据格式透明；能消除电光转换中电子器件的瓶颈。

但是DWDM系统采用了较多的光器件由此造成了系统成本过高,这是当前制约DWDM系统大规模

应用的主要因素；DWDM技术相关标准的制定还不完善等。2.3

自动交换光网络（ASON）ASON是指一种具有灵活性、高可扩展性的[1-3]

[1]

2光纤传送网技术

在近30年的发展过程中，国内单波传输设

备由20世纪70年代的PDH发展到90年代的SDH，2001后又推出了MSTP的产品，以适应城域网IP业务的发展。此后，随着网络对于组网能力和智能化需求的提升，又出现了基于MSTP的ASON设备。而多波光传输系统方面，也由早期的2.5G速率发展为10G速率，波道数则由8个波长发展到了160个波长甚至更多。到了今天，用于干线的DWDM技术已大量步入城域网，其组网的灵活性和业务承载的可靠性也得到了极大的提高[2]。

经过几十年的发展，光传输技术已非常完美地解决了TDM业务的承载问题，但随着IP业务为主的分组业务的发展，光传送网的承载能力正在经受挑战。国际国内的各个光通信厂家一直在不断地寻求新的技术和产品来提升光传输设备对于各种业务的承载能力，发展的领域

能直接在光层上按需提供服务的光网络。它将是未来几年骨干传送网的发展方向。2005年智能光网络产品将会在运营商的网络中得到小规模试用，而几年以后智能光网络将会成为运营商传送网的主流技术。

收稿日期：2010-4-30

作者简介：郭峰(1986-),男，河南周口人，武汉理工大学信息工程学院硕士研究生.ASON具有以下几个特点：

(1）强大而灵活的传送和交换能力、支持复杂拓扑的格状网络；

(2)分布式的控制。建立分布式、开放的网络控制系统；

(3)开放的网络管理；

(4)以业务为中心，支持多业务。

ASON可为用户提供以下业务：波长批发、波长出租、带宽运营、按使用量付费、光VPN和光拨号等；它还有良好的生存性；具有链路管理、连接进入控制和业务优先级管理；具有路由选择功能；它还具有信令机制。

3光纤通信传送网业务承载分析[3]

作为解决未来的移动通信系统支持高速的数据接入的光纤通信传送网络，其业务承载除

了GSM话音业务外，更多的是对移动数据业务的承载。作为数据业务的整体提供方案，集团用户数据专线业务、智能小区高速上网业务以及带宽出租业务等都应在光纤通信传送网建设中给予考虑。针对上述考虑，可开发的通信业务将更加丰富，通信网上承载的信息总量和信息流量将迅速增长。远程医疗、网上购物、网上投票、网上视频直播、VOD视频点播、IPTV、网上教学、宽带游戏、视频会议、视频聊天、多媒体邮件等宽带增值业务应用日趋广泛。以下对ASON传送网的全面承载业务分类进行分析。

3.1话音业务承载分析

3.1.1 固定话音业务承载分析

目前固定电话用户数缓慢增长，固定话音业务也保持平稳的增长趋势。固定电话业务对带宽的需求增长不快。不远的将来，固定电话网络将向NGN下一代网过渡。数据通信格式为IP数据包，IP数据包首先通过IP承载网承载，然后过渡到传送网络进行传输。固定运营商传输节点多，传送网络庞大，电路利用率低。传输带宽需求继续平稳增加，引入ASON可以在满足新增传输带宽需求的同时整合目前电路配置的混乱现状，实现传送网络的平稳转型。

3.1.2移动话音业务承载分析

目前移动电话业务带宽需求增长较快，移动电话网络的带宽需求占传输系统总带宽需求的比例较大。3G网络的语音和数据都是以分组的方式传输。IP数据包首先通过IP承载网承载，然后过渡到传送网络进行传输。IP承载网由于承载话音业务，不会在传统城域网内混和传输，必须组建IP专用承载网。此专用承载网必须经过传输层的保护，因此IP承载网是承载在传送网之上的，占用传输带宽。ASON传送网络具有丰富的接口、灵活的配置管理、高效的带宽利用、完善的恢复机制等一系列优点[4-6]。

3.2数据业务的承载分析

3.2.1基础数据业务的承载分析

基础数据业务的承载网络主要有X.25、DDN、FR/ATM等。X.25、DDN业务未来呈缓慢萎缩趋势，FR/ATM还有一定增长，但是增长幅度不大。基础数据业务的带宽需求不大，未来对网络的冲击微乎其微。一般城市基础数据网络的节点数都不会很多，设备的端口速率一般不会超过155Mb/s，对传送网络影响较小。网络规划时一般取基础数据网络占交换网络带宽的5%左右。随着技术进步，基础数据网络的承载方式也将革新[2,3]。

基础数据网络虽然带宽占用不大，但是历史沿用至今，承载的业务却是非常重要的，比如银行专线等。基础数据网络的传输层对安全的要求非常高。ASON可以对电路割接，提供更高的基于网络恢复机制的安全性。

3.2.2 IP多媒体业务的承载分析

随着宽带的普及，IP多媒体业务是发展最快的业务。借助Internet，主要开展娱乐、视频点播、信息浏览查询下载、远程教学、聊天、邮件等各种业务。3G牌照发放之后，各大运营商都将在省际、省内、本地层面建设专用IP承载网，以便疏通3G语音和移动数据业务。ASON能够在传送网上疏通IP承载网业务，能够提供完善的保护机制。

3.2.3 移动数据业务承载分析

移动数据业务是通过IP承载网进行疏通的，IP承载网必须经由传送网络进行传输和保护。因此ASON对IP承载网的疏通包含了对移动数据业务的承载。

3.3流媒体业务承载分析

流媒体（Streaming Media）指在数据网络上按时间先后次序传输和播放的连续音／视频数据流。本质上，流媒体技术是一种在数据网络上传递多媒体信息的技术。目前数据网络具

有无连接、无确定路径、无质量保证的特点，给多媒体实时数据在数据网络上的传输带来了极大的困难。流媒体技术实际上是IP数据网层面的技术，传输层面只是提供透明的传输通道。

参考文献：

[1] 龚倩.智能光交换网络[ M ].北京:北京邮电大学

ASON传送网络以其动态带宽自动配置的优势特别适合流媒体业务的开展。因为传输层为路由器配置的通道是可以通过动态调节不断变化的，路由器之间数据流量小时可以缩减传输配置，路由器之间数据流量大时可以动态增加传输配置，只要带宽需求在ASON传输系统所能提供的最大带宽范围之内，都可以实现动态配置，使得流媒体业务不会因为底层传输的瓶颈而受到影响，不会出现网络拥塞，实时业务不能提供等弊端[2-4]。

3.4其它业务承载分析

其他业务主要包括带宽出租、大客户接入业务等。这些业务是运营商增长较快，盈利性较好的业务，必须通过传送网络的保护，最大限度的提高业务的安全性，让客户满意。ASON引入后比之目前的SDH等传输技术可以更加快速的配置端到端电路，安全性能也更强。

4结论

通过对基于ASON传送网的各种承载业务进行分析，认为在目前传送网的各项业务中，传送网承载业务IP化已经是无可争辩的事实，IP业务逐渐成为主导业务，因此，承载业务的IP化成为整个电信网发展的必然趋势。ASON也是下一步运营商规划时重点考虑引入的重大技术，是网络转型的重要工作之一。

出版社, 2003.[2] 中国电信.2009年年报

[3] 李允博，徐荣.数据业务承载技术应用分析.［J］.电信网技术,2007年8月第 8期

[4] The IP over SDH/ SONET Model.ITU2T.SG7 , D.191 ,1998(9)

[5] Cao Xiaojun.A waveband switching architecture

and algorithm for dynamic traffic.［J］.IEEE Communications Lett., 2003, 7(8): 397-399 [6] Lingampalli R, Vegalam P.Effect of wavelength

andwaveband grooming on all-optical networks with singlelayer photonic switching

IP承载网承载软交换接入方式 篇3

关键词：IP承载网,软交换

1 概述

IP技术是IP软交换承载网的核心。IP软交换承载网是为视频、语音、数据等多种业务提供承载的软交换网络。它既保证了电信业务网IP化演进时未来几年对IP承载的刚需, 也保证了长期的IMS网络、软交换网络和无线3G网络等的演进, 同时保证了基于IP的公众数据业务 (通信级) 的有效开展。运营商发展基于IP的软交换承载网将是大势所趋。

2 IP承载网简介

2.1 IP承载网定义

IP承载网是各运营商以IP技术构建的专网, 用于承载视讯、软交换、VPN重点客户等对传输质量要求较高的业务。它采用具有高可靠性的双归属、双星、双平面设计, 细致设计了各类情况下的流量切换模型。IP承载网采用先进技术 (如FRR、BFD、MPLS TE等) , 可以快速检查诊断出网络断点, 有效缩短故障链路、故障设备等的倒备时间。网络设计方面要求IP承载网轻载其承载的业务, 并在二层、三层部署QOS质量保证, 为其所承载的业务提供全面质量保证。由于以上措施的有效部署, 奠定了IP承载网由于其它承载网络的基础, 它不但具备IP网络的承载业务灵活的优点, 而且具有高扩展性、低成本的特点, 同时兼具传输系统的高安全性和高可靠性的优势。

2.2 IP承载网结构

IP承载网一般采用分层的结构模式, 以便于网络组织和管理。

P路由器组成骨干层, 在省际和省内完成流量的转发工作。骨干层再分为汇接层和核心层。P即Provider Router, 指该层的核心路由器, 主要完成路由功能及快速转发。

核心路由器CR组成核心层, 根据核心节点的业务量情况、节点自身的传输条件以及节点的地理位置进行设置, 每个核心节点配置2台CR。

汇接层由省汇接路由器PR组成, 每个省均设置PR。CR也可以同时作为本省的省汇接路由器使用。

PE路由器组成接入层, 即接入路由器AR。它的主要功能是完成业务的接入以及VPN业务的组织和管理。PE即Provider Edge Router, 是边缘路由器, 它与CE相连, 主要功能是完成VPN业务的接入, 其中CE是直接与服务提供商相连的用户设备。

2.3 某运营商软交换平台

软交换技术是NGN网络的核心技术, 为下一代网络 (NGN) 具有实时性要求的业务提供呼叫控制和连接控制功能。软交换技术独立于传送网络, 主要完成呼叫控制、资源分配、协议处理、路由、认证、计费等主要功能, 同时可以向用户提供现有电路交换机所能提供的所有业务, 并向第三方提供可编程能力。

作为分组交换网络与传统PSTN网络融合的全新解决方案, 软交换将PSTN的可靠性和数据网的灵活性很好地结合起来, 是新兴运营商进入话音市场的新的技术手段, 也是传统话音网络向分组话音演进的方式。在国际上, 软交换作为下一代网络 (NGN) 的核心组件, 已经为越来越多的运营商所接受和采用。

目前随着技术发展, 某运营商交换业务平台从PSTN端局开始逐步向NGN演进, 逐步提升到汇接局, 用户数据逐步迁移, 承载逐步IP化。IP承载网作为NGN业务的承载网, 解决语音业务由公用互联网承载带来的质量得不到保障的问题;在承载NGN业务的同时, 后期可以考虑承载其他业务。

2.4 某运营商软交换平台包括四部分

(1) NGN软交换:包括softx3000、UMG8900。 (2) NGN与PSTN交换机互联部分:NGN平台的UMG与长途网长途局和若干本地网PSTN交换机通过2M中继相连, 完成固话与NGN用户的语音业务。 (3) NGN与IP承载网互联:NGN核心设备和地市汇聚设备通过IP承载网承载。 (4) NGN平台与SHLR (用户归属位置存储器) 相连, 采用宽带方式与软交换互开M3UA宽带链路。

3 某运营商IP承载网介绍

3.1 某运营商IP承载网组网

某运营商IP承载核心节点设置了2台核心路由器, 及2台核心交换机, 地市10个汇聚节点各设置了1台汇聚路由器, 及1台汇聚交换机, 地市汇聚节点至节点为2条155M通道, 地市汇聚节点三层交换机与汇聚路由器以GE通道互联。

3.2 某运营商IP承载网设备配置

IP承载核心节点的核心路由器为2台华为NE40E-X8路由器, 核心交换机为2台华为S9303路由交换机;地市汇聚节点的汇聚路由器各为1台华为NE40E-X3, 汇聚交换机各为1台华为S9303路由交换机。

3.3 IP承载网地址规划使用原则

(1) IP承载网全部采用私网地址 (包括设备互联和业务地址) ; (2) 一次全部规划、预留到位, 避免二次更换; (3) 条块化地址分配, 按照业务种类和地区进行划分, 不同业务、不同地市分开; (4) 地址分配尽量不与既有业务地址冲突; (5) 原来宣告使用的公网IP地址割接进IP承载网, 地址全部更换为私网地址; (6) IP承载网以VPN进行业务划分和隔离, 现阶段业务种类定义为VPN1、VPN2、VPN3, VPN1为NGN语音及信令、VPN2为NGN语音设备网管、VPN3为NGN设备网管;地区定义为14个地市, 后期根据IP承载网情况增加、调整业务种类和地区。

3.4 路由协议规划

路由协议是以自治系统 (AS, 一个具有共同的管理者, 并且共享同一种路由选择策略的网络的集合) 为基础的, 分为域间路由协议和域内路由协议两大类。根据IP路由选择、建立和维护应依据自治域的划分来考虑, 必须综合考虑管理和技术两个方面的因素:管理上应层次分明、清晰, 局部的变动不影响上层和全局;技术上应尽量简单、灵活, 以提高路由器的处理效率。自治域内部路由, 选用的是OSPF动态路由协议。

3.5 IP承载网各地市与核心节点接入原则

OLT和S9303之间有直连光纤的, OLT语音接口通过光纤直接接到9303上;没有直连光纤的, 从BAS上引出GE通道至S9303上, 实现GPON网络语音业务的接入。用户接入主要有三种接入协议:MGCP协议、H.248协议和SIP协议。MGCP协议主要针对普通IAD接入设备, H.248协议主要针对GPON接入设备, SIP协议针对多媒体接入设备。目前现网采用MGCP协议的商用装机很少, 大部分用户采用H.248、SIP开通。

4 结束语

先进的网络架构设计理念和完善的关键技术保证是各电信运营商软交换IP承载网的核心, 软交换IP承载网不但能够满足多种业务承载需求, 同时能够达到承载业务对于安全性、可靠性以及QOS的要求, 它是一个立足当前、面向未来、无限演进的IP网络, 充分满足了各电信运营商降低投资成本的需求, 可以快速和灵活的响应智能业务、新业务的开展和实施。

参考文献

[1]桂海源.IP电话技术与软交换[M].北京邮电大学出版社, 2010.

LTE承载网建设方案 篇4

LTE (Long Term Evolution, 长期演进) 项目是3G的演进, 但是LTE并不是4G技术, 而是3G与4G技术之间的主流技术演进, 是3.9G的全球标注, 增强了3G接入技术, 将带动移动网络进入真正的移动宽带时代。LTE超越了2G/3G传统化技术, 通过网络结构改变现实扁平网络结构, IP全宽带高, 网络安全保护更加全面能够提升网络的性能, LTE技术具有实用化是承载网的新需求, 可以保证业务更好的传输。

二、LTE网络结构

LTE与以往2G/3G网络相比, LTE网络包含很重要的部分。目前, 我们网络通讯出现的移动化、宽带化和IP化的趋势, 但是LTE网络的目标是:如网络延时的减少、加快用户数据速率、系统容量提高、覆盖面更广、降低运营的成本, 它省去了BSC/RNC (基站控制器/无线网络控制器) 网络设备, 接入网主要由NodeB (eNodeB, 简称e NB) 和接入网关 (Access Gateway, 简称AGW) 两个部分构成, e NodeB不仅具有原来的NodeB的功能外, 还能让RNC的大部分功能分散到e NB和a GW中。作为核心网络的一部分, aGW包括MME (Mobility Management Entity) 提供了用于LTE接入网络的主要控制, 有网络移动性管理。和SGM (Service Gateway) 用户平面数据传送转发和路由切换, 以及PGW (PDN Gateway) 管理用户设备和外部分组数据网络连接的三大功能, LTE对承载网络的各个方面都有相对的新要求, 包括X2与S1接口的承载、延时和宽带需求, LTE的主要接口组成包括S1与S2两部分, LTE使网络整体结构变的简化与便捷。

三、LTE时代的承载网

不过与3G相比, LTE对承载网提出了更高更全面的要求。通过了解和相关数据调查, 了解到LTE技术带来三方面的变化, 具体内容为:

首先就是高宽带, 与3G相比, LTE宽带更宽, 支持更多宽带需求的业务, 根据统计OVUM数据显示, 2010年的基站单扇区宽带为10～160M, 到了2015年将增长到100～300M。其次是降低用户网络延迟, 取消无线网络控制器, 采用扁平网络结构。LTE采用了IP化结构网络, 用e NodeB替代原有的RNC NobdeB结构, 各网络节点之间的接口使用传输, 核心网则演进到EPC。通过IMS承载综合业务, 把原有UTRAN的CS域业务均可由LTE网络的PS域承载。建立增加接口, 使相邻基站之间进行连接。

因此, 在考虑承载网的变化时, 在3G承载网包含了不同层次的网元, 在这基础上, LTE承载网所要考虑上网问题主要是:3G承载网将如何过渡到LTE, 如何不断提高网络技术。所以, 怎么样将传统的2G/3G技术发展到LTE技术是我们共同发展的目标, 这就需要我们运用科学、有效的方法制定出良好运营战略。3G承载网是运营商从运营方面的推动新概念, 我们还要做好维护的管理需求, 减少对运营系统维护管理的冲突, 运营方面也对PTN技术更全面更新的发展空间, 这就需要我们去适应LTE时代的承载网, 促进PTN技术不断发展与完善, 将其更好的应用于网络建设之中。

四、PTN技术发展

随着LTE的发展越来越近, 中国移动、中国联通、中国电信三大运营商也在不断努力后推进了LTE承载网技术的研究和落实工作。目前, 中国移动正在研究包括PTN之上增加三层路由功能在内的多种方案, PTN已近大规模的广泛应用, 成为城域网的主力技术, 中国电信对于LTE承载测试, L3的功能PTN在端到端管理技术和保护方面有很多优势网络演进等方面也具备了较大的优势, 但是我们还是要网络管理和互动通讯等方面来解决遗留的问题, 中国联通也在研究PTN和IP RAN技术解决方案。其中, 中国移动在LTE承载网的建设方案的研究上是比较领先的, 早期, 中国移动组织中兴、烽火网络、华为等厂商探讨可行的承载方案, 经过厂商业务内部充分交流和研究, 中国移动和厂商在方案策划方面达成共识, 目前PTN承载LTE解决方案采用L2 VPN+L3 VPN组网, L3的功能是不同于以往的构架, 整个无线网络分成两部分, 分布至e NodeB和SGW/MME这两部分。S1作为e NodeB与SGE/MME之间的接口, X2作为相邻基站之间的接口, S1作为e NodeB和不同SGW/MME之间的接口, 整个流量被细分为S1-U、S1-C和X2, 进行网络传送, PTN引入L3VPN, 对PTN网络设备构造有很好的保护, 能良好的更近其他业务, 设备功能也能提升L3的功能, 提高PTN设备对IP业务的承载能力。而相对L3VPN的技术L2VPN的技术简单性有技术上的优势。L3VPN的技术虽然有复杂性但是能确保承载网络的技术性。通过网络与CE设备相连可以不用新增部署或扩容CE设备, 能够很好的保障中国移动承载网络和技术体制的演进, 降低建网成本, 提高承载网的成本和LTE共同创建出更好的网络。

五、中兴提供领先方案

面对运营商全业务发展, 中兴通讯提供如下先进承载网方案:大容量集群技术, 支撑网络扁平化需求;GM-PLS及统一平台技术, 支撑网络融合;40G/100G OTN及接口技术, 支撑网络宽带;MPLS-TP及高精度时钟同步技术, 支撑传送分组化;DPI精确检测技术及动态资源管控技术, 支撑运营精细化;完善的全程端到端平滑演进的IPv6关键技术, 支撑向IPv6演进, 中兴通讯LTE提供领先解决方案, 不断的提升网络的性能, 从宏观和微观、纵向和横向等不同角度为运营商打造了一个有竞争力的LTE网络平台。而且, 中兴通讯产品也极大地提高了节能环保理念, 中兴处于业界领先地位, LTE承载网作为无线技术的主要标准, 在LTE全面推广的同时, 面向LTE的承载网络的演进也是非常重要的, 让运营商能够更好的推进承载网建设。

六、结语

综合上述, 结合我国的实际发展状况, 我们现在所使用的承载网方案是由PTN+L3VPN以及P TN+CE这两个重要部分组成的。但是, 不同的承载方案都会存在一定的优点与不足, 工程建设中可根据现网设备能力、业务开通数量、维护人员素质等实际情况进行选择, 对于新建网络建议采用PTN+L3VPN承载方案。但从长远发展的角度, PTN技术会越来越成熟, PTN技术将逐步增加L3功能, 满足LTE基站间横向转发业务需求。

参考文献

[1]陈晓明, 高军诗, 李勇.TD-LTE RAN承载网技术方案研究[J].电信工程技术与标准化.2010.11:13-15

[2]胡恒杰, 赵旭凇, 徐德平, 张华, 张炎炎.TD-LTE无线网络规划若干问题探讨[J].电信工程技术与标准化.2010.11:27-29

[3]杜洁.基于智能电网的LTE系统设计[J].云南电力技术.2010.06:18-20

[4]乔.LTE及其回传网解决方案综述[J].中国新通信.2010.09:26-28

[5]孙震强, 赵冬, 芒戈.LTE面临的挑战与对策[J].移动通信.2012.07:24-25

C网承载网安全隐患分析及防御策略 篇5

C网承载网与传统承载网络相比, 产生网络安全的两个最重要的原因是网络开放性和终端智能化。由于IP网络的开放性, 一方面给承载网带来了业务上的灵活性和扩展性, 极大地提高了网络效率, 另一方面也给承载网带来了许多难以预计的恶意攻击和外界干扰。电信运营商时刻都面临账号被盗用、服务被破坏、资源被抢占、设备瘫痪等严重安全威胁;终端智能化在带来业务灵活性的同时也使终端具备了产生安全攻击的强大能力, 这种攻击能够延伸到其他终端、业务系统甚至网络设备。C网承载网的安全风险从短期看, 会影响到运营商净收入减少、维护成本上升、客户满意度下降、管理重点偏移;从长期看, 将影响到运营商客户流失、竞争力降低、品牌价值下降、内部士气不振。因此, 提升C网承载网安全防御水平刻不容缓。

1 承载网安全问题对C网业务的影响

中国电信CDMA (码分多址) 网主要由C网承载网、终端用户、业务平台、业务支撑系统、无线、核心网等重要部分组成, 这些子系统纵向与横向之间, 进行数据信息交换和资源共享, 相互提供服务, 互相补充, 形成CDMA运营、管理、服务的统一整体。C网承载网作为这些子系统之间的基础承载载体, 一旦承载网出现安全问题, 将会对C网业务产生以下几方面影响。

1.1 对运营商造成的影响

1) 破坏设备程序及数据:通过承载网设备远程加载或数据配置流程的漏洞破坏设备, 导致设备无法正常运行, 进而导致整个网络无法正常运行;

2) 业务盗用:未经授权使用3G业务, 如通过非法手段绕过AAA (鉴权、授权、计费) /AN (接入网) AAA认证, 直接发起3G上网连接、篡改用户计费信息等, 导致运营商收人流失;

3) 带宽盗用:利用承载网设备端口连接用户私有的数据网络, 造成运营商数据业务收入流失并影响C网业务质量;

4) Do S (拒绝服务) 攻击:黑客通过网络层或应用层发起大流量的攻击, 致使真实业务数据被大量垃圾流量所淹没, 进而使承载网设备无法响应正常用户的业务请求或降低业务的品质。

1.2 对用户造成的影响

1) 账号被盗用:用户账号被他人盗用, 致使产生高额通信费用;

2) 信息被监听:非法监听其他呼叫的信息或媒体流内容;

3) 个人隐私被窃取:黑客通过木马程序、钓鱼网站等手段窃取用户的个人隐私。

2 构建C网承载网安全防御策略思路

2.1 实施业务隔离

要建立安全的承载网保障机制, 首先要实现关键业务的安全隔离。出于业务融合、建设成本、网络安全等因素综合考虑, 目前通常采用物理网络隔离加逻辑网络隔离的方式。由于MPLS VPN (多协议标签交换虚拟专用网) 具有较强的业务融合能力及灵活的业务扩展能力, 尤其在安全方面, MPLS VPN相对于其他VPN而言具有路由安全隔离、隐藏MPLS核心结构、抗攻击性强、易于抵御标记欺骗等优势, MPLS VPN技术在现网环境中得到了广泛的应用。

以中国电信某省C网承载网为例, 该省C网承载网络采用CN2+ (下一代承载网) 融合CE (用户边缘设备) 的组网方式, 负责承载CDMA移动网络无线接入网元、核心网电路域网元、核心网分组域网元、移动业务平台和网管系统等, 为其提供互联互通、Internet访问等服务。为了确保网络安全, 承载网根据业务特性划分了若干VPN, 如移动软交换VPN、增值业务VPN、无线接入RP (汇聚点) VPN、网管VPN等等, 具体拓扑如图1所示。

通过MPLS VPN传送数据提高了用户信息在IP网络上传送的安全性, 但这种安全性也是相对而言的, 需要采用必要的技术措施来保障。所以在部署MPLS VPN时, 有以下两点需要注意:

1) 防止标签欺骗:在MPLS网络中, 包的转发不再是基于IP目的地址, 而是基于PE (网络边界设备) 路由器预先添加的标记, 理论上有可能出现MPLS包的标记欺骗。因此出于安全考虑, PE路由器应该不接受来自CE路由器的任何标记, 同时要做好MPLS标记的整体规划工作, 便于后期定期开展网络设备标签转发的定期检查工作。

2) 防止VPN之间的路由泄漏:PE路由器之间通过MP-BGP (多协议扩展边界网关协议) 交换路由信息, PE路由器之间路由信息的传送要经过一个或多个P (供应商) 路由器, 非法用户有可能采用源地址欺骗等手段要求与PE路由器建立连接MP-BGP并交换VPN路由信息。因此, PE路由器在另外一个对等体通信时, 应该部署相应的验证策略, 如BGP邻居的MD5 (消息摘要算法) 认证等。另外, 由于3G业务需要, 承载网的部分VPN需要进行部分互通, 例如为了满足接入认证需要, 无线接入VPN需要与AAA VPN进行互通, 这种VPN之间的互通就造成了VPN路由泄漏的可能。所以在进行数据配置时, 必须对互通VPN路由条目进行严格控制, 合理规划MPLS VPN的RT (路由目标) 属性。

2.2 承载网自身的安全保护策略

如图2所示, 可以根据C网IP综合承载网的网络架构及业务特性, 将承载网的安全域逻辑划分为控制平面、数据转发层面、管理平面等三大安全层面, 每个安全层面部署不同的安全策略。具体如下:

1) 控制平面:控制平面防护的主要目标是保证设备系统资源的可用性和路由的安全性, 使得路由器可以正常的实现路由交换、更新。具体策略包括设置路由密码认证、通过设置白名单方式控制路由的发布、规范路由参数的配置, 等等。

2) 转发平面:在数据转发平面的主要安全策略是对异常流量进行控制, 防止网络蠕虫和拒绝服务攻击流量在CDMA网络的泛滥, 造成网络的拥塞或不可用。具体策略包括对典型异常流量的过滤、部署URPF (单播反向路径检查) 策略预防地址伪造攻击等内容。

3) 管理平面:管理平面防护的主要目的是保护路由器远程管理及本地服务的安全性, 减少网元设备受到网络攻击或者被入侵的可能性。具体包括:强化设备密码管理, 关闭无用的系统服务;通过部署ACL (访问控制列表) 和SNMP (简单网络管理协议) 密码, 确保SNMP的安全;通过部署一次性口令认证系统以及设备访问控制提升远程终端访问安全;其他诸如NTP (网络时间协议) 、Syslog (系统日志) 、Netflow等应用的安全控制, 等等。

2.3 承载业务的保护

在业务安全方面, 除了业务平台应该具备必要的安全手段外, 承载网络本身应该能够协助业务层面提供有效的安全保障机制。具体包括以下几个方面:

1) 限制访问范围:承载网应该根据业务需求严格限定访问范围, 例如允许哪些网段访问、只允许那种类型的数据报文通过等等;

2) 针对关键应用部署Qo S (服务质量) 策略:3G网络的特点确实就是IP化, 这就导致CDMA网络无法像传统交换网络一样形成完全封闭的网络, 这就给外界的黑客从发起Do S攻击创造了可能。在带宽有限的条件下, 应该通过部署基于MPLS的Qo S策略, 优先保障关键应用的数据流量, 如信令流、语音媒体流等等;

3) 加强对非可信网元的接入管理:因业务合作需要, 有时承载网需要为第三方的网络设备提供接入, 此时需要部署专门的安全防护设备, 同时在承载网设备部署最为严格的安全策略。

2.4 强化网络预警与攻击溯源

为了确保承载网安全, 当承载网络遭受异常攻击时能及时得到处理, 避免C网业务因恶意攻击遭受影响。一方面, 需要加强对承载网流量、设备性能、业务状况等内容的监控, 另一方面, 需要运用实时安全监控技术, 实时检查网络数据流并将其与系统入侵特征数据库的数据相比较, 一旦发现有被攻击的迹象, 立即根据事先所定义的动作做出反应, 例如自动启动异常报文过滤机制、立即用短信通知网络维护人员等等。

安全攻击的溯源就是在发生安全事件或者出现安全问题时, 能够根据相关有效信息定位到导致安全事件或者发起攻击的来源, 甚至“顺藤摸瓜”找到攻击者。传统的网络在响应方面只能被动地实施安全补救措施, 而不能主动地进行反击。要建立新一代具备安全动态防御能力的承载网, 需要加强对威胁攻击的有效反击, 因此调查取证、攻击溯源便成为有效反击的首要步骤和关键环节。

3 加强网络管理, 避免安全事件

随着3G网络规模的扩大以及设备容量的扩大, 设备越来越复杂, 不可控因素随之增加。对网络安全而言, 管理和技术同样重要, 即使是先进的安全技术和设备也会可能因管理不善而崩溃。这种案例比比皆是, 可以说内部人员的安全意识和安全管理的重要性一点也不亚于使用各种复杂而昂贵的网络技术。因此在运营商内部建立一套有效的安全管理制度是确保网络安全运行的关键手段。这里所说的管理并不局限于技术层面的管理, 还包括管理制度、应急体系、运维规章、人员培训、密钥分发、保密制度等方方面面。完善的管理可以在一定程度上消除技术落后带来的不利因素。

4 结束语

NGN承载网专网模型概述 篇6

一、NGN业务体系结构

按照NGN业务体系构架, 可以对NGN业务网络进行划分, 可以把整个NGN业务网络, 从网络结构上划分成下列四个部分:1.NGN端局网络, 包括NGN信令设备 (Soft X3000、ENIP/UNICA等) 、网管设备、跟Soft X3000位于同一个机房的UMG/MRS等组成的一个复杂的局域网;2.NGN远端接入网络, 主要是大容量媒体网关, 比如UMG、SBC等的接入网络;3.NGN承载网骨干汇聚层, 就是承载NGN业务的数据通信网络, 按照传统的数据通信网络层次划分结构, 这部分网络可以划分为骨干层 (提供大容量的传输通道) 和汇聚层 (用于接入各种NGN设备) ;4.NGN终端用户接入网络, 也称为VOBB接入网络, 该网络主要用来接入各类NGN终端, 比如SIP终端、Open Eye、H323多媒体终端等。

二、NGN承载专网简述

截至目前, NGN承载网的组网方案, 有三种可以直接部署:IP公网 (IP Public) 、IP VPN、IP专网, 这三种模型当中, 只有NGN承载网骨干汇聚层各不相同, 其它三部分 (NGN端局、远端接入、终端用户接入网) 都没有差别。在本文中, 我们对NGN专网模型进行详细的描述, IP公网和IP VPN不进行分析。

所谓NGN承载网专网, 就是单独建设一个独立的数据通信网络, 来承载NGN业务, 而不是象其它两种方式 (IP Public和IP VPN) 那样, 在现有的网络上承载NGN业务。对于NGN承载网专网的建设, 也是按照NGN业务网的划分方式, 把整个NGN业务网划分成三个部分:

1.NGN端局, 这是一个复杂的局域网, 这个局域网内部通过三层交换机进行连接, 整个局域网通过两台 (或更多) 相互备用的防火墙, 连接到NGN承载网的骨干汇聚层。

2.NGN媒体接入层, 即NGN承载网的远端接入网, 这部分网络主要是由UMG等媒体接入设备组成, 当前情况下, 这些设备通过路由器, 直接接入NGN承载网的骨干汇聚层。

3.VOBB接入网, 这个网络为各种各样的NGN业务终端提供了接入手段, 这个网络跟NGN承载网骨干汇聚层之间, 通过SBC (会话边界控制器) 进行隔离。

三、NGN承载网组网模式

1.双平面结构, 这种模式的主要思路是, 在规划网络物理拓扑结构的时候, 把网络划分成相互备用的两个平面, 其中一个平面用来承载NGN业务, 另外一个平面作为备用平面, 可以闲置, 也可以用来承载其它的数据业务, 比如大客户MPLS-VPN、企业专线、Internet访问等, 在NGN主用网络平面故障的时候, 可靠性保证机制会在很短的时间内 (正常情况下, 低于50ms的时间) 切换到备用平面, 这样可以充分地保证NGN业务的服务质量, 不会因为局部的网络中断而导致整个NGN业务的中断。

2.单平面结构, 不采用MPLS-VPN, 这种方式下, 可以通过Diff Serv来充分保证NGN业务的QOS, 对于网络的故障收敛, 采用传统的路由收敛来完成, 如果设备支持, 可以配以APDP/BFD等快速检测协议加快故障检测速度, 正常情况下, 如果不配置APDP/BFD等快速检测协议, 一个中等规模的网络, 在网络故障的时候, 其收敛时间可以在30s时间内完成, 如果实施了APDP/BFD等快速检测协议, 则网络故障时的收敛时间可以在100-200ms内完成。之所以不采用MPLS-VPN, 是因为如果采用了MPLS-VPN, 则可能会导致故障收敛时间更长, 因为在网络故障的时候, 路由收敛完成以后, 还需要完成MPLS LDP的收敛, 完成LSP重建, 更有甚的情况下, 还需要完成MPSL-VPN路由的交互, 这些时间加起来, 可能会导致整个网络的收敛时间达到分钟, 甚至5到10分钟的级别, 是NGN业务无论如何不能接受的。

电信IP承载网安全防御 篇7

随着通讯技术的飞速发展,电信业务越来越从普通话音向多媒体等数据业务发生转变。传统的电信SDH/MSTP承载网是基于电路交换平台的,因为带宽和速度的局限性,已很难满足用户日益增长的数据业务需求,而且,传统的承载网络不支持带宽复用和突发流量,持续升级也很困难,在网络TCO方面给运营商的网络运营带来巨大压力。

新一代的以IP技术为基础的专用承载网具备高带宽低成本的优势,已经逐渐取代传统承载网,成为现网各种业务种类整合的承载和传输平台。能够在IP承载网上运营的业务包括传统的2G和3G话音业务、视频通话业务、视频监控业务、流媒体业务、IPTV业务、大客户专线业务、常规互联网业务(如Web浏览和文件下载)和非常规互联网业务(如基于P2P技术的BT和电驴)等。

由于IP的开放性,一方面给承载网带来了业务上的灵活性和扩展性,极大地提高了网络效率,另一方面也给承载网带来了许多难以预计的外界恶意攻击和高频度干扰,电信运营商时刻面临用户仿冒盗用、服务破坏、资源抢占、设备瘫痪等严重安全威胁,网络管理日趋复杂,网络安全日益失控。由于电信在国计民生中的重要地位,牵一发而动全身,对于全程保障电信业务正常开展的IP承载网安全防御需求显得尤为突出。

2. IP承载网安全风险

目前IP承载网面临的安全风险主要涉及十方面。

a.规划风险:运营商多种业务平台共用IP承载网,各业务平台安全技术手段各自为阵,甚至互相干扰,这些极大地影响了IP承载网安全规划的整体布局,安全防御的纵深和强度都不足。

b.硬件风险:由于洪水、地震、飓风、冰雪、火灾、停电、恐怖袭击等灾难因素,造成IP承载网设备和传输线路的崩溃。

c.软件风险:协议、操作系统、网元运行软件均由各种编程语言代码构成,不可避免存在大量缺陷或可被利用的后门。

d.终端风险:许多业务系统均挂载了大量的终端,各种智能终端的非法呼叫,不受控制的设备的调试,用户数据失窃,均会造成部分终端绕过控制网元直接连通业务网元。

e.流量风险:带宽的盗用,垃圾流量比例的不断上升,虚假地址流量充斥网络,链路阻塞或拥堵等这些复杂的流量都容易造成IP承载网到业务网的真实业务反而被淹没。

f.攻击风险:来自内部或外部的恶意网络攻击,例如Hacker发动的DDo S分布式拒绝服务攻击就愈演愈烈,Dos(Deny of service)原来只是一类普通攻击,其基本原理就是通过发送各种垃圾报文导致网络阻塞、服务瘫痪。而DDo S攻击是在传统的Do S攻击基础之上产生的新一类攻击方式,它往往通过利用一批受控制的网络终端向某一个公共端口同时发起攻击。利用从任意源地址向任意目标地址提交数据包,很难将非法的数据包与合法的数据包区分开,具有极大的破坏性、复杂性和隐蔽性。

g.路由风险:利用公网向IP承载网网元恶意注入非法路由,泄露远超过网元容量的海量路由,造成核心路由器出现强烈的路由震荡和路由泛洪,内部的合法业务受损,合法路由数量减少,影响全系列业务服务品质。

h.病毒风险:蠕虫、病毒、特洛伊木马进入系统后,会不断复制自我并向其他文件传播,侵占资源,损坏内存,甚至将敏感信息发送出网络,会持续相当长的时间。

i.运维风险:各种网元由网络工程师人工进行配置,配置错误或产品的一些默认配置存在安全漏洞。同时网元部分内部故障无告警上报,故障定位根因困难。

j.流程风险:缺乏明确而连贯的安全策略和规范,信息资产风险观念和基础安全意识淡薄,也欠缺必要的流程组织及安全事故监控和响应恢复计划。

以上种种安全风险从短期看,影响到运营商净收入减少,维护成本上升,客户满意度下降,管理重点偏移。从长期看,将影响到运营商客户流失,竞争力降低,品牌价值下降,内部士气不振。因此提升IP承载网安全防御水平刻不容缓。

3. IP承载网的安全防御体系

从技术的角度出发,运营商需要定期分析与评估IP承载网的风险纬度,及时选择正确合理的安全措施,提高用户体验,构建起分层、严密、高可靠性的安全防御体系。

首先,通过业务分域将各种典型电信业务种类接入场景如软交换、IMS、NGN、IPTV、3G CS、3G PS、城域网、大客户专线等明确地划分成各类安全域,涉及包括四方面。

a.业务服务器所在的核心业务域,其接入IP承载网安全防御的重点是服务器系统安全补丁、安全日志审计等。

b.非智能终端接入系统所在的封闭业务域,其接入IP承载网安全防御的重点是路由安全、地址欺骗等。

c.智能终端接入系统所在的半封闭业务域,其接入IP承载网安全防御的重点是终端身份认证、流量过载等。

d.不可控的网络接入所在的开放业务域,其接入IP承载网安全防御的重点是DDo S攻击、病毒扩散、内容监控等。根据不同安全域的特点制定不同的安全防御措施,将不同的级别的安全问题控制在域内解决,同时利用防火墙手段重点加强在安全域间的安全访问控制。

其次,针对安全域的接入采取物理和逻辑的隔离,将IP承载网中边界的骨干PE设备分别对应连接各安全域,避免其受到集中攻击和非法访问。可以针对安全域下各种不同的业务系统,直接启用双平面、双归属的冗余PE来接入,通过PE分设保证受到信任的安全域和不受信任的其他安全域的物理隔离,并采用BFD、快速路由收敛、快速重路由等技术来快速检测网络断点,缩短故障设备、故障链路和故障路由的倒换时间。

接着采用基于MPLS技术的IP虚拟专用网络VPN来进行安全域及安全域下面各业务域的逻辑隔离,在IP承载网上划分出各业务的专用逻辑域,其它业务不可能渗透到这些逻辑域里,逻辑域之间以及逻辑域到承载网络任何情况下都不会有自身业务的泄露。这已经是一种非常成熟的应用,MPLS/VPN利用结合传统路由技术的标签转发交换技术,简化了网络的拓扑结构,优化了核心路由器的路由选择性能,缩短了数据包转发时延,还便于进行安全域内的IP地址规划。

在理论上MPLS/VPN采用路由隔离,地址隔离和信息隐藏等手段抗攻击和标记欺骗,达到了FR/ATM级别的安全性,Miercom曾经对MPLS/VPN,FR/ATM进行安全比较测试,结论是两者安全性基本等同;在BGP MPLS/VPN的RFC里,也指出了MPLS/VPN是一种安全的隔离技术,其安全性等同于FR/ATM。

图1所示为电信基于MPLS/VPN的IP承载网拓扑。

根据多家运营商的实践观察,确实没有过出现运行中的个别VPN客户攻击IP承载网导致整网业务瘫痪的场景,一般MPLS/VPN内用户也很难被其他VPN用户攻击。

当然,对于MPLS/VPN隔离后的网络中PE设备存在着一定的安全隐患,如数据面的异常流量,PE设备可以通过流量整形等控制手段来有效避免带宽资源被挤占而影响其他VPN的正常工作。

最后,是在安全域内分别部署安全策略,对最关键的核心业务域需要进行重点的安全加固,如通过防火墙设备加强对本域的系统服务器的访问控制,通过IDS入侵检测系统加强对本域安全访问的监控,通过安全日志审计系统加强对本域操作的审计。

对封闭业务域的接入采用独立的PE系统配合防火墙直接接入IP承载网。路由安全方面通过PE限制注入的VRF路由表和转发表的数目,避免私网路由过大影响系统正常路由;通过PE之间选择安全性比较高的路由协议如BGP或者路由协议加密与反向路径查找,避免安全等级较低的网络注入较多的路由或欺骗路由;建立静态路由接入,避免路由收敛时间太长;通过路由器启用二层/三层QOS,避免一定程度的流量过载。

对半封闭业务域接入可以通过防火墙上使用ACL访问控制列表(Access Control List),流量限定和整形、报文过滤等功能,在边界对某些地址段进行访问限制,避免路由攻击和流量过载;通过建立智能终端和网络之间的身份认证鉴权系统接口,避免智能终端对IP承载网内部的直接访问和智能终端的互相访问。

对开放业务域接入必须采用防火墙隔离风险,同时在网络边界的部署流量监控设备与业务层建立接口,根据需求确定基于业务感知的访问策略。对于城域网到承载网接口还要部署流量清洗系统,通过PE和防火墙对进入IP承载网的流量进行清洗。特别对P2P、垃圾邮件等异常流量的清洗要通过特别的检测清洗中心,对非法流量通过后台管理系统进行干扰和联动进行控制,以便将业务内容全面分析,彻底清洗非法业务,检测清洗联动,即时输出清洗报表。部署最新防病毒网关和防病毒软件,避免病毒蠕虫等的扩散传播。

运营商还需要从监控和管理的角度全面加强这个IP承载网的安全防御体系。

监控是通过各种综合性服务措施,主要指采用网络安全漏洞扫描、部署入侵检测系统、控制服务器授权管理、远程登录系统加密通信、端口镜像流采样、审计系统加强对设备的日常操作审计等,尽早在第一时间发现安全问题并解决,防患于未然。

特别是为了增强IP承载网的防灾救灾能力,应建设安全报警反应机制和处理预案,成立专门的安全人员组织机构和快速响应体系,制定灾难性事故的应急预案,如紧急行动方案,资源(软硬件、数据等)备份及操作计划,系统恢复和检测方法等,具备事故相应的恢复能力。

管理则是合理规划IP承载网网管系统,独立构建VPN,优化网管体制将网络管理集中化,按照集团总的一级网管和省份的二级网管,达到配置级分权分域管理,进行精细化运营的目的。

操作实施方面借助CA证书、USB密钥棒、动态令牌等技术实现各安全域系统的用户身份认证,网络管理员采取授权制,严格控制对网络控制访问的权限,从内部管理上避免误操作的安全隐患,高级网管员可以修改配置,删除账号,低级管理员只能查看网管界面,不能做任何改动。

网络口令管理对设备的访问控制实施AAA集中管理,避免采用设备本身的认证,而是采用Radius等加密的密钥的生成分发与认证管理,保证用户名和密码在网上的传递是经过加密的,并对机密业务数据的传输辅以相应的数据加密,采用One-Time密码,防止密码强制攻击等手段,同时对网络口令需要有审计的功能,防止盗用密码的现象发生。

根据应用的不同,关闭网络不必用的功能和端口,防止利用这些功能攻击网络系统。SNMP系统采用V3版本,实施MD5认证和DES加密,通过MIB Viewer限制对包含大数据量的表类型变量的访问。

在网管终端上部署终端安全管理软件,加强对终端的管控,并部署一套安全管理服务器,在终端启动后,只有通过安全认证后,才能够访问IP承载网,而且对于不符合安全策略的行为,可以通过安全管理服务器配合网关进行修正。

3. 某电信NGN业务IP承载网安全防御案例

IPTV、视频监控等多种业务的出现,要求NGN业务的承载网络不仅能提供足够的带宽,还能够提供满足业务需求的Qo S保障和高可靠性保障。所采用的主要安全防御策略是让业务与承载隔离,形成相对封闭的承载网,对所有业务与承载网的出入接口进行严格的安全管控。

核心业务域NGN用户数据中心通过IP网关与承载网互通,安全性很高,承载网正常情况下不会受到来自用户数据中心的攻击。

封闭业务域关键NGN网络设备(如软交换、SG、TMG)通过防火墙接入,防止对这些关键网元的各种攻击。

半封闭业务域IAD智能终端接入端口是较大的安全隐患,IAD设备处于用户端,存在被利用来恶意攻击运营商关键网络设备的可能性,推行采用楼道IAD,通过物理安全来保证这种智能端口不被非法访问和控制,另一方面所有IAD设备都通过BAS安全服务器接入承载网,进行IAD的全方位的接入控制和管理。

开放业务域对NGN业务的特殊保护方面通过采用代理技术的信令和媒体保护系统,基于H323/SIP/H248/MGCP的状态防火墙和基于GTP协议的状态检测。

4. 结束语

新一代电信承载网必然是一个以IP技术为核心的数据承载网,这是ALL IP技术演进的必然趋势。

从运营商的角度看,要解决好IP承载网的安全防御问题,不仅要从技术面加强研究,针对不同安全域加强MPLS/VPN等重点技术的开拓创新,同时妥善的网络管理也是不可或缺的,只要将安全技术与网络管理进行有机结合,形成完备的网络安全防御体系,就一定能快速提升电信IP承载网的安全防御能力。

随着网络规模的进一步扩大,下一代主动型动态反攻击安全防御体系已经提上议事日程,继续探索电信IP承载网的安全防御任重而道远。

摘要：IP承载网的安全防御是保障电信运营商网络安全的关键,也是信息安全领域的一个热门课题。本文首先分析了IP承载网面临的安全风险,然后介绍了完善的安全体系架构,并提出了一个基于安全域、有针对性地部署安全防御策略的解决方案。

关键词：IP承载网,安全域,网络安全

参考文献

[1]孙玉.电信网络安全总体防卫讨论[M],北京:人民邮电出版社,2008.

[2]李涛.网络安全概论[M],北京:电子工业出版社,2004.

[3]冯登国.计算机通信网络安全[M],北京:清华大学出版社,2004.

[4]高祥.IPv6承载网安全部署研究[J],无线电电子学与电信技术,2009,6.

[5]吕勇.浅谈广西电信承载网的构建和发展方向[J],电信工程技术和标准化,2003,3.

LTE承载网面对的挑战分析 篇8

随着现代科技的迅猛发展, 现代通讯业务也呈现蓬勃之势。高带宽业务的的蓬勃之势以及无线宽带化、泛在化的社会, 使得LTE技术呼之欲出。在很多方面虽然LTE比不上3G, 但是在LTE在很多方面却有着较大的优势, 首先是在高速率的数据传输上, 其速度快, 覆盖面广且能够分组传送。LTE业务将网络的IP进行重新分配, 将全面IP化成为可能, 客户对宽带的要求也大大增加。因此, 承载网的发展也有了新的要求。

二、LTE承载网研究现状

LTE在我国的研究一直是一个热点, 随着研究的深入客户的对承载网的要求也越来越高, 一些专业的开发商在这方面不断的扩展研究, 以迎接新时代网络时代的竞争。在目前的中国, LTE的研制试验, 目前在实际操作中应用较好的是中国电信, 其技术比较成熟, 其技术关键就是LTE承载数据的业务, 目前正在研究这种承载网的是QoS, 其划分等级还没有完全规范, 很多专家对于LTE的发展提出了大胆的设想:

中国电信在网络业务扩展上发展速度很快, 在目前的LTE网测试中, 中国电信与多家设备厂商进行合作, 根据不同的客户需求生产不同的设备终端。华为和上海贝尔的产品主要用于核心设备, 在于其技术方面相对成熟;而京信的设备主要用于天线方面。在上海世博会中推出的各种TD-LTE应用的中国移动也展现出其在LTE发面的实力深厚, 并且中国移动在这方面的探索也从未中断过。

虽然LTE拥有美好的发展前景, 但其实现在的LTE与传统的网络结构和传输方式还是有很大的差异的, 特别是在以后多种网络类型全部使用的情况先, LTE若想在市场中占有主导地位还有很长的路要走。现今, 对于LTE的研究依然还是处于探索阶段, 对于承载网想LTE发展的过程还有很多问题需要解决, 其主要设计到的问题就是网络的稳定性, 安全性和高效性, 可以同时满足各方面的技术要求, 但是目前所面临的最大的问题就是在多种网络类型传输过程中如何保证信息的稳定性和安全性, 中国移动研究院的专家认为目前中国移动的网络结构, 特别是3G网络结构都采用了PTN技术, 为未来这种技术的发展奠定了基础。

通过以上的探讨与研究, 可以得出在PTN技术的不断完善与发展的未来, 其一定能够支撑起未来的LTE时代。

三、LTE对承载网的要求过高

在原有的回传网络中其高宽带、高QoS以及同步的网络技术在基站之间要有稳定的联系, LTE起着功不可没的作用, 因而LTE对承载网提出了更高的要求。而今, E-UTRAN演进的结构立体化, 并且其RNC, ENB不在和直接和EPC有直接的关系, 不能进行网络连接, ENB之间可以进行直接连接, 与传统的2G和3G网络相比, LTE不在是简单的星形归属王族, 而是采用其他的网组, LTE网元其核心是采用的IP标示技术, 可以对承载网的功能进行灵活的调控, 所以处在核心层位的L3VPN就变的十分的重要, 另外在RAN上也提供了高效的对接能力, LTE在小区承载网与基站的调制技术、无线宽带、以及其他配置都有着密切的关系, 而且LTE网络中e NB接口承载带宽更大。关于QoS, LTE对其提出了更高的要求, 要求的主要内容要子啊网络建设中提供更多的优先级和高效的传输业务, 其中确保各类网络技术也变的更加规范, 对于网络的延迟和文件发送, 图像交互方面提出了更高的要求, LTE的数据业务种类繁多, 比3G在种类上更有优势;从而也要求承载网有较高的优先级能多有高的调度能力, 在网络安全方面, 客户对LTE提出了更高的要求, 在承载网技术中, 在出现故障时可以实现自动保护机制, 及时修复损失的数据, LTE大规模的不是可以有利于网络规划和配制, 在网络边缘应该支持承载网与核心网的接口保护, 随着LTE的不断发展, 社会对其的要求也在不断提高, 高精度的频率同步和时间同步需求便不言而喻了。

四、应对LTE对承载网要求过高的策略

虽然LTE的发展并不完善, 而且其对承载网的要求也过高, 但在现在科技日新月异的今天, 只要采取适当的措施, 应对LTE对承载网要求过高这一问题也并非无对策, 可以采用以下方法来解决这些问题:第一, 高速宽带、多种业务, 提供大容量的演进能力, 使用大型的缓存路由型设备, 对其进行环网的改造, 实施路由型方案。第二, 由点到面的网络组合, 实现IP/MPLS网络结构扁平化, 搭建L3到核心的S1接口以及L3到边缘的X2接口。第三, 对超大型的基站进行集中维护, 实现L3的网络适应性, 实现可视化的网络设备运行。第四, 同步的相位需求, 实现频率同步、相位同步以及进行环网自动补偿。

五、设备商积累经验

我国的LTE网络建设其实可以从一些LTE发展在前沿的国家寻找借鉴意义和经验, 例如在一些发达国家已经向一些运营商颁布了LTE的牌照, 而且很多发展中国家也开始对LTE开始了商业部署, 这对我国的LTE的发展提供了契机。像一些技术比较成熟的电信设备公司, 国外的如西门子、诺基亚、国内的主要由中兴和华为等公司, 他们在一些关键技术上已经成熟, 在发展过程中也取得了较大的进步, 便是全球主流设备商在国外的LTE商用部署中积累了丰富的经验的楷模。大家对华为的熟知程度加高, 华为在LTE网络的应用上已经与商业网络进行了可操作性的测试, 并计划在不久的将来和沙特的电信联手, 共同在阿拉伯部署中东最大的LTE商业网络。对于华为在沙特阿拉伯的商业部署, 不仅提升了用户的体验, 而且在降低每比特成本和提升频谱效率发面发挥着积极的意义。LTE的商业部署建设吸引着各个设备供应商的兴趣, 在上海世博会上, TD-LTE的基站建设是有多个设备生产商提供的不同的设备, 据调查, 在世博会中, 华为提供了室外的大部分基站的建设, 而其他的电信设备厂商也取得了不小的收获, 大唐电信集团、中兴通讯、上海贝尔、摩托罗拉提供了对中国馆、演艺中心等9个重要场馆室内覆盖的基站, 而且其他的一些世界著名的设备供应商也分别为各国提供室内覆盖的基站, 例如摩托罗拉对美国馆、诺基亚西门子通信对芬兰馆、爱立信对瑞典馆分别提供了室内覆盖的基站。随着全球化的不断深入, TD的国际化也成为了必然趋势, 在在“TD国际化产业高峰论坛”上, 摩托罗拉宣传TD-LTE在2010年下半年可以实现商用, 大唐电信也不断向TD的国际化迈进并表示TD的国际化条件已经成熟。

随着网络技术的不断发展, 全球移动在全球的发展十分迅速, 越来越多的运营商开始加入该行业, 在通信设备和技术上都有了很大的发展, 而且用户的规模也在不断的扩大, 越来越多的投资也开始流向改产业, 推动该产业的资金不断扩张, 在高利润的驱使下, 各国也很难单独驾驭LTE承载网, 从而国际交往合作变成了潮流, 推动者LTE承载网的实现, 应用的推广, 涉及LTE承载网的技术也在不断更新, 推动产品的升级换代, 从而也大大缩短了下一代移动通信网络的到来时间。但值得注意的是, 在LTE承载网络的很多方面仍然存在一些不足, 从而也为设备平滑演进、相关技术的创新革命提供了广阔的前景, 成本的降低也成为了各供应商关注的焦点。

六、结束语