NGN局端設備組網(wǎng)_第1頁
NGN局端設備組網(wǎng)_第2頁
NGN局端設備組網(wǎng)_第3頁
NGN局端設備組網(wǎng)_第4頁
NGN局端設備組網(wǎng)_第5頁
已閱讀5頁,還剩20頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

NGN局端設備組網(wǎng)固網(wǎng)業(yè)務支持部NGN項目組NGN局端設備組網(wǎng)NGN網(wǎng)絡和PSTN網(wǎng)絡的差異NGN網(wǎng)絡的安全性問題NGN網(wǎng)絡安全方案和組網(wǎng)模型關鍵技術實現(xiàn)原理LAN(一)組網(wǎng)方案LAN(二)組網(wǎng)方案NGN網(wǎng)絡和PSTN網(wǎng)絡的差異網(wǎng)絡構造:電路網(wǎng)絡-IP網(wǎng)絡信令類型:窄帶信令-基于TCP/IP的多媒體信令網(wǎng)絡部件:窄帶交換機-軟交換、各類網(wǎng)關和邊緣接入設備工作模式:電路轉(zhuǎn)接-IP分層工作模式承載方式:2M傳送-語音和承載分離的IP傳送業(yè)務類型:附加業(yè)務-附加業(yè)務、智能業(yè)務和開放的第三方業(yè)務NGN局端設備組網(wǎng)NGN網(wǎng)絡和PSTN網(wǎng)絡的差異NGN網(wǎng)絡的安全性問題NGN網(wǎng)絡安全方案和組網(wǎng)模型關鍵技術實現(xiàn)原理LAN(一)組網(wǎng)方案LAN(二)組網(wǎng)方案

NGN網(wǎng)絡的安全性問題NGN網(wǎng)絡具有全IP、分布式、語音數(shù)據(jù)融合、伸縮性強等特點和優(yōu)勢,但隨之而來的是網(wǎng)絡安全問題解決網(wǎng)絡安全問題的基本思路是:實施網(wǎng)絡分隔,保護核心部件;采用代理技術,提供智能終端用戶接入通道;增加設備認證、協(xié)議加密及訪問控制,解決終端用戶接入的安全性NGN局端設備組網(wǎng)NGN網(wǎng)絡和PSTN網(wǎng)絡的差異NGN網(wǎng)絡的安全性問題NGN網(wǎng)絡安全方案和組網(wǎng)模型關鍵技術實現(xiàn)原理LAN(一)組網(wǎng)方案LAN(二)組網(wǎng)方案NGN網(wǎng)絡安全方案框架NGN組網(wǎng)模型NGN組網(wǎng)模型圖中NGNIP核心網(wǎng)作為NGN業(yè)務的承載網(wǎng),可以由運營商原有的城域網(wǎng)構成,或者利用VPN技術獨立構建,局端設備主要圍繞LAN(一)、LAN(二)兩個獨立的以太網(wǎng)絡組網(wǎng)。LAN(一)為承載、控制、帶內(nèi)網(wǎng)管網(wǎng)絡,與NGNIP核心網(wǎng)在網(wǎng)絡層互通,完成局端設備在此平面中的網(wǎng)絡互連、帶寬匯聚功能。為保證可靠性,LAN(一)中的設備端口均要求支持主備用或負荷分擔工作模式。如果NGNIP核心網(wǎng)未按要求進行網(wǎng)絡分隔,沒有足夠的安全性,則LAN(一)出口處需要增加防火墻保護局端設備的安全。

LAN(二)為帶外網(wǎng)管及操作維護網(wǎng)絡,連接各個設備的帶外網(wǎng)管接口、操作維護接口及操作維護終端,各維護終端均連接到同一個網(wǎng)絡中。NGN網(wǎng)絡需求網(wǎng)絡帶寬資源分配合理,無瓶頸;網(wǎng)絡交換節(jié)點盡量少,設備成本盡量低、工程復雜度盡量低;關鍵網(wǎng)絡LAN(一)中無單點故障,具有較高可靠性;網(wǎng)絡中進行區(qū)域劃分,盡量減小人為操作失誤造成的影響;方案適用面廣,易于實現(xiàn)規(guī)范化;網(wǎng)絡占用IP地址數(shù)量盡量少;NGN局端設備組網(wǎng)NGN網(wǎng)絡和PSTN網(wǎng)絡的差異NGN網(wǎng)絡的安全性問題NGN網(wǎng)絡安全方案和組網(wǎng)模型關鍵技術實現(xiàn)原理

LAN(一)組網(wǎng)方案LAN(二)組網(wǎng)方案

關鍵技術實現(xiàn)原理NGN設備端口及網(wǎng)絡互連設備的備份倒換:

NGN母局中的LAN(一)作為母局中信令和媒體流的承載網(wǎng)絡,是系統(tǒng)中的關鍵網(wǎng)絡。為保證這個網(wǎng)絡的可靠性,要求所有接入到此網(wǎng)絡中的NGN設備端口均需要支持自備用或負荷分擔工作模式,所有網(wǎng)絡設備和互連鏈路均有備份倒換機制。防火墻配置當網(wǎng)絡信任區(qū)僅局限在母局內(nèi)部時,母局出口處需要設置SaN或防火墻設備隔離信任區(qū)和非信任區(qū)。從NGN業(yè)務的特點考慮,優(yōu)選SaN設備。由于我司的防火墻與SaN采用相同的硬件平臺,當目前的SaN設備的規(guī)格暫時不能滿足要求時,可考慮配置為防火墻工作模式NGN設備端口及網(wǎng)絡互連設備的備份倒換NGN設備接口的主備用倒換機制SoftX、TMG、AMG、SG等NGN網(wǎng)絡設備的外部以太網(wǎng)口可工作于主備用模式。在主備用模式下,兩個以太網(wǎng)口MAC地址不同,但是配置為相同的IP地址。系統(tǒng)初始狀態(tài)下主用端口處于激活狀態(tài),通過ARP協(xié)議與二層網(wǎng)絡中的其他設備(包括三層交換機的路由模塊)通信。主用端口運行過程中檢測網(wǎng)絡接口的鏈路狀態(tài),當檢測到端口二層鏈路中斷等異常后,將本端口倒換到備用狀態(tài),原備用端口升為主用。備用端口激活后通過ARP協(xié)議更新網(wǎng)絡中其他節(jié)點的ARP表,維持本設備對外的正常通信。導致NGN端口倒換的故障包括網(wǎng)線斷、網(wǎng)口物理層芯片硬件故障、三層交換機故障等。U-NICA、N2000、IAD-MS等服務器類設備的以太網(wǎng)口也采用類似的模式工作。上行鏈路倒換機制上行鏈路的故障檢測及倒換通過三層交換機與邊緣路由器之間的路由更新來實現(xiàn)。A/B兩個平面三層交換機的VRRP協(xié)議配置中設定監(jiān)控上行接口的狀態(tài),當A平面的上行接口鏈路故障時,B平面升為主用,同時觸發(fā)路由更新。上行鏈路倒換時NGN設備不需要做任何動作,但倒換過程中有一段時間無法與IP核心網(wǎng)中的設備通訊,此時間與路由協(xié)議參數(shù)設置有關。A/B平面三層交換機倒換機制A/B兩個平面三層交換機之間運行VRRP協(xié)議實現(xiàn)設備之間的倒換,設備倒換的同時通過路由更新實現(xiàn)上行鏈路的倒換,通過二層鏈路狀態(tài)變化帶動NGN設備端口倒換,簡要原理如下:C/D/E三個地址段劃分到三個VLAN中,兩臺三層交換機上均配置三層接口。VRRP配置中,將同一VLAN中的兩個三層接口定義為一個VRRP組,制定一個虛擬地址作為此VRRP組的缺省網(wǎng)關地址(每個VLAN中需要定義一個VRRP組)。VRRP協(xié)議運行后,兩臺三層交換機之間通過設定的優(yōu)先級確定VRRP組中的主用模塊,運行過程中通過定時的心跳消息維持主備用狀態(tài)。三層交換機監(jiān)測本身的工作狀態(tài)和上行接口狀態(tài),出現(xiàn)異常時,通過搶占方式產(chǎn)生新的主用路由設備,同時觸發(fā)周邊的路由器更新路由。主用三層交換機故障后,二層鏈路狀態(tài)同時改變,NGN設備根據(jù)此狀態(tài)同步進行端口倒換。關鍵技術實現(xiàn)原理NGN設備端口及網(wǎng)絡互連設備的備份倒換:NGN母局中的LAN(一)作為母局中信令和媒體流的承載網(wǎng)絡,是系統(tǒng)中的關鍵網(wǎng)絡。為保證這個網(wǎng)絡的可靠性,要求所有接入到此網(wǎng)絡中的NGN設備端口均需要支持自備用或負荷分擔工作模式,所有網(wǎng)絡設備和互連鏈路均有備份倒換機制。防火墻配置

當網(wǎng)絡信任區(qū)僅局限在母局內(nèi)部時,母局出口處需要設置SaN或防火墻設備隔離信任區(qū)和非信任區(qū)。從NGN業(yè)務的特點考慮,優(yōu)選SaN設備。由于我司的防火墻與SaN采用相同的硬件平臺,當目前的SaN設備的規(guī)格暫時不能滿足要求時,可考慮配置為防火墻工作模式防火墻配置由于NGN母局內(nèi)部是可信任的設備,因此防火墻僅需要處理IP核心網(wǎng)進入母局的數(shù)據(jù)流(下行方向),NGN母局輸出的數(shù)據(jù)流全部放行;NGN中的業(yè)務和信令承載于UDP、SCTP、TCP之上,而通用防火墻基于狀態(tài)的訪問控制功能僅對TCP有效,對于UDP、SCTP只能采用簡單ACL的保護方式;母局設備與遠端的其他設備處于同一個IP網(wǎng)絡,因此不需要進行地址變換;母局中已經(jīng)配置了三層交換機完成路由功能,防火墻串接在上行鏈路中,不需要處理路由協(xié)議,工作于“橋模式”即可;SG等設備的IP地址僅在母局內(nèi)部使用,防火墻需要禁止外部對這些IP的所有訪問;NGN局端設備組網(wǎng)NGN網(wǎng)絡和PSTN網(wǎng)絡的差異NGN網(wǎng)絡的安全性問題NGN網(wǎng)絡安全方案和組網(wǎng)模型關鍵技術實現(xiàn)原理LAN(一)組網(wǎng)方案

LAN(二)組網(wǎng)方案LAN(一)組網(wǎng)方案S3526E端口分配方案以太網(wǎng)端口所屬VLAN端口用途備注1#、2#FE2#VLAN上行鏈路端口配置為ACCESS模式3#、4#FE3、4、5#VLAN互連鏈路端口配置為TRUNK模式5?!?0#FE3#VLAN網(wǎng)管設備、Web接口設備端口配置為ACCESS模式11#~22#FE4#VLAN其他NGN核心網(wǎng)設備端口配置為ACCESS模式23?!?4#FE5#VLAN備用端口端口配置為ACCESS模式S3552P端口分配方案以太網(wǎng)端口所屬VLAN端口用途備注1#、2#GE2#VLAN上行鏈路端口配置為ACCESS模式3#、4#GE3、4、5#VLAN互連鏈路端口配置為TRUNK模式1?!?#FE3#VLAN網(wǎng)管設備、Web接口設備端口配置為ACCESS模式7?!?6#FE4#VLAN其他NGN核心網(wǎng)設備端口配置為ACCESS模式47#~48#FE5#VLAN備用端口端口配置為ACCESS模式NGN局端設備組網(wǎng)NGN網(wǎng)絡和PSTN網(wǎng)絡的差異NGN網(wǎng)絡的安全性問題NGN網(wǎng)絡安全方案和組網(wǎng)模型關鍵技術實

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論