NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10

NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE102024/3/12NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10前言NGN網(wǎng)絡(luò)的組網(wǎng)與數(shù)通產(chǎn)品聯(lián)系緊密，IP承載網(wǎng)的安全性是NGN網(wǎng)絡(luò)正常運(yùn)營的重要保障。本節(jié)課重點(diǎn)介紹NGN工程中NGN局端設(shè)備IP出口到城域網(wǎng)入口這一段的網(wǎng)絡(luò)連接及安全性等問題，是NGN工程施工的指導(dǎo)性規(guī)范，NGN核心承載網(wǎng)、接入網(wǎng)的組網(wǎng)不在本課程中詳細(xì)討論。Page2NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10學(xué)習(xí)完此課程，您將會：了解NGN組網(wǎng)的整體框架了解NGN網(wǎng)絡(luò)的安全性問題。了解NGN局端組網(wǎng)的方案。了解NGN局端組網(wǎng)的關(guān)鍵技術(shù)。學(xué)習(xí)目標(biāo)Page3NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10參考資料網(wǎng)站資料：《NGN工程局端設(shè)備組網(wǎng)指導(dǎo)書V2.1-20051231-B.doc》Page4NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10內(nèi)容介紹第1章NGN網(wǎng)絡(luò)的安全性問題第2章信令LAN（一）與媒體層LAN（二）的組網(wǎng)第3章LAN（三）組網(wǎng)Page5NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10內(nèi)容介紹第1章NGN網(wǎng)絡(luò)的安全性問題第1節(jié)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異第2節(jié)NGN業(yè)務(wù)模式對IP承載網(wǎng)的建設(shè)要求第3節(jié)NGN組網(wǎng)框架第4節(jié)NGN局端設(shè)備組網(wǎng)安全方案第5節(jié)設(shè)備選型Page6NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10PSTN網(wǎng)絡(luò)和NGN網(wǎng)絡(luò)的差異網(wǎng)絡(luò)構(gòu)造：電路網(wǎng)絡(luò)－分組網(wǎng)絡(luò)信令類型：窄帶信令－基于TCP/IP的（多媒體）信令網(wǎng)絡(luò)部件：窄帶交換機(jī)－軟交換、信令網(wǎng)關(guān)、媒體網(wǎng)關(guān)、各類終端和承載設(shè)備連接方式：電路轉(zhuǎn)接－端到端連接承載方式：2M傳送－分組傳送業(yè)務(wù)類型：補(bǔ)充業(yè)務(wù)、智能業(yè)務(wù)－補(bǔ)充業(yè)務(wù)、智能業(yè)務(wù)、多媒體業(yè)務(wù)和開放的第三方業(yè)務(wù)Page7NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10內(nèi)容介紹第1章NGN網(wǎng)絡(luò)的安全性問題第1節(jié)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異第2節(jié)NGN業(yè)務(wù)模式對IP承載網(wǎng)的建設(shè)要求第3節(jié)NGN組網(wǎng)框架第4節(jié)NGN局端設(shè)備組網(wǎng)安全方案第5節(jié)設(shè)備選型Page8NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN業(yè)務(wù)模式對IP承載網(wǎng)的建設(shè)要求測試參數(shù)與業(yè)務(wù)良好網(wǎng)絡(luò)較差網(wǎng)絡(luò)惡劣網(wǎng)絡(luò)ITU-T定義MOS4.0-5.03.5-4.03.0-3.51.5-3.00-1.5通信標(biāo)準(zhǔn)定義*Delay≤40ms≤100ms≤400msLoss≤0.1%≤1%≤5%Jitter≤10ms≤20ms≤60msModem透傳可用不可用不可用傳真透傳可用不可用不可用T.38可用可用不可用話音G.711a/u優(yōu)良中G.729a/b良良差G.723良接近良中視頻384K未見劣化、可用輕微劣化、可用明顯劣化、不可用二次撥號RFC2833可用、話音質(zhì)量良以上可用、話音質(zhì)量接近良可用、話音質(zhì)量差到中消息類可用可用可用紅字部分是不能滿足運(yùn)營要求的業(yè)務(wù)表現(xiàn)Page9NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10內(nèi)容介紹第1章NGN網(wǎng)絡(luò)的安全性問題第1節(jié)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異第2節(jié)NGN業(yè)務(wù)模式對IP承載網(wǎng)的建設(shè)要求第3節(jié)NGN組網(wǎng)框架第4節(jié)NGN局端設(shè)備組網(wǎng)安全方案第5節(jié)設(shè)備選型Page10NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN組網(wǎng)框架基本框架將端到端的安全網(wǎng)絡(luò)分解為段到段的安全層次。整個網(wǎng)絡(luò)分為接入層、骨干層和遠(yuǎn)端、端局四個段的層次。NGN承載網(wǎng)的分段框架TerminalAccessNetworkNGNBackbonePELANNGNCoreEquipmentHostOfficePE

BroadbandAccess

BackboneSoftX3000MGWRemoteAccessPSTN本膠片重點(diǎn)分析，包括組網(wǎng)配置、QOS、可靠性和安全BRAS/SBCTGPage11NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN組網(wǎng)框架NGN網(wǎng)絡(luò)的組網(wǎng)部件ISUPSIPH.323PARLAYSNMPQ3SIPPSTNM3UASCTPNGNBearerNetworkPLMNH.248SoftPhoneSIPPhoneH.323PhoneSIP-T/BICC/H.323IADH.248MGCPH.323H.248MGCPH.248TELLIN（ENIP）UMS(Active)AppServerSGswitchSTPUMGSoftX3000AMG/UMG+RSPSoftX3000UMGMSCMRSUMS(Standby)SNMPQ3MRSIADMSSE2000MCUMediax3600以上是母局組網(wǎng)需要考慮的設(shè)備Page12NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN組網(wǎng)框架基于不同流量分離思想的NGN核心網(wǎng)組網(wǎng)框架BillingNetworkMediaSoftswitch(SoftX3000)MGW(UMG8900)SE2000STP(SG7000)Firewall1IPPBXH.248/SIPRTP/UDPNMSIADMML/SNMPMML/SNMPFTP/FTAMMML/SNMPMGCP/H.248/SIP/H.323OSSCORBASNMPSIGTRANFirewall2Signalling(DiffServ:DSCP=AF21)(DiffServ:DSCP=EF)(DiffServ:DSCP=AF41)Firewall3SIP-T/BICCSNMPSE2000AMGOtherCarrierPage13NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN組網(wǎng)框架NGN安全區(qū)域分隔模型IADSoft

PhoneH.323PhoneSGSoftXMRSUMSGKMCUSIPPhoneiGWBIDS半信任區(qū)TELLIN（ENIP）專網(wǎng)區(qū)FireWallPCTerminalSoftPhoneIADVideoPhone非信任區(qū)（本運(yùn)營商）普通

Voice

Phone非信任區(qū)（Internet）信任區(qū)（PSTN）PSTN運(yùn)營網(wǎng)絡(luò)Internet公網(wǎng)管理、操作維護(hù)上級OSS（網(wǎng)管、計(jì)費(fèi)、鑒權(quán)等）RAS專網(wǎng)區(qū)DDNRouterSBC信任區(qū)IAD-MSRMROUTERBASL3/RouterUA黑客攻擊*****安全系數(shù)

攻擊方向************(--)STP信任區(qū)RAS******母局可能病毒區(qū)域********(--)*(+)****(--)SBCAMGUMG信任區(qū)UMGDSLAM****SHLRDatabaseMediaX3600Page14NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN組網(wǎng)框架NGN局端組網(wǎng)的區(qū)域劃分SIPPhoneBillingCenterSHLRSoftXFireWallL3SWNGNCentralOfficeN2000UMSU-PathNMS/OSS/112TestCenterDDNRemoteAccessServerMCUBAM/BAUNMSOperationandMaintenanceTerminalPSTN/InternetCampus/IntranetIADOpeneyeH.323PhoneLAN（3）Operation&MaintenanceBBMAN（NGNBearerNetwork）IADSIPPhoneSBC/EudemonL3SWFireWallAMGTELLIN（ENIP）LAN（4）OtherInternetFireWallLAN（1）Signalling/ControlLAN（2）MediaMRSUMGAMGMCUDDNRouterIAD-MSIAD-MSIADUMGOpeneyeRMCC/GKMGK（MCU）SGMediaX3600Page15NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10內(nèi)容介紹第1章NGN網(wǎng)絡(luò)的安全性問題第1節(jié)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異第2節(jié)NGN業(yè)務(wù)模式對IP承載網(wǎng)的建設(shè)要求第3節(jié)NGN組網(wǎng)框架第4節(jié)NGN局端設(shè)備組網(wǎng)安全方案第5節(jié)設(shè)備選型Page16NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端設(shè)備組網(wǎng)安全方案NGN組網(wǎng)盡可能做到信令面、承載面、管理面分離，提高組網(wǎng)可靠性、層次性和清晰度。網(wǎng)絡(luò)帶寬資源分配合理，無瓶頸。網(wǎng)絡(luò)交換節(jié)點(diǎn)盡量少，設(shè)備成本盡量低、工程復(fù)雜度盡量低。無單點(diǎn)故障，具有較高可靠性。網(wǎng)絡(luò)中進(jìn)行區(qū)域劃分，盡量減小人為操作失誤造成的影響。網(wǎng)絡(luò)占用IP地址數(shù)量盡量少。組網(wǎng)原則Page17NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端設(shè)備組網(wǎng)安全方案組網(wǎng)可靠性機(jī)制模型VRRPIPBearerNetworkLayer3SwitchinAplaneLayer3SwitchinBplaneEdgeRouterRoutingnotificationRoutingnotificationAddresssegment:AAddresssegment:BLayer2NetworkActivePortofEquipment

StandbyPortofEquipment

Segment:C/D/EPage18NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端設(shè)備組網(wǎng)安全方案NGN設(shè)備接口的主備用倒換機(jī)制A/B平面三層交換機(jī)倒換機(jī)制邊緣路由器上行鏈路倒換機(jī)制組網(wǎng)可靠性倒換機(jī)制

Page19NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10內(nèi)容介紹第1章NGN網(wǎng)絡(luò)的安全性問題第1節(jié)NGN網(wǎng)絡(luò)和PSTN網(wǎng)絡(luò)的差異第2節(jié)NGN業(yè)務(wù)模式對IP承載網(wǎng)的建設(shè)要求第3節(jié)NGN組網(wǎng)框架第4節(jié)NGN局端設(shè)備組網(wǎng)安全方案第5節(jié)設(shè)備選型Page20NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10設(shè)備選型S3528G支持24×FE，4×GBICSlot。系統(tǒng)背板容量為32G，包轉(zhuǎn)發(fā)率為9.6Mpps。支持千兆GBIC或者千兆SFP模塊擴(kuò)展。12KMAC，4KVLAN采用最長匹配轉(zhuǎn)發(fā)技術(shù)，整機(jī)支持512個vlan子接口S3552G系統(tǒng)背板容量為32G，包轉(zhuǎn)發(fā)率為13.2Mpps，12KMAC，4KVLAN。支持48×FE電口，4×GBICSlot。S3528G/S3552G安全智能以太網(wǎng)交換機(jī)QuidwayS3528GQuidwayS3552GPage21NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10內(nèi)容介紹第1章NGN網(wǎng)絡(luò)的安全性問題第2章信令LAN（一）與媒體層LAN（二）的組網(wǎng)第3章LAN（三）組網(wǎng)Page22NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端組網(wǎng)備選方案一

交換機(jī)做三層設(shè)備配置NGNBearerNetworkSoftXMRS6100UMGGKSGL10L20R1R2F10F20VRRPMCU8630VRRPn*FEL1L2F1F2n*FEL3L4n*FEVRRPLAN（1）LAN（2）F1/F2、F10/F20：Firewall（MixorRoutermode）L1/L2、L10/L20andL3/L4：Layer3SwitchR1/R2：Router（orNE40）SHLRMediaX1、建議UMG的信令、媒體和網(wǎng)管都配置單獨(dú)接口2、若NGN遠(yuǎn)端設(shè)備等都沒有配置俗稱“帶內(nèi)管理通道”，UMS則無需互聯(lián)L10可選組件n*FE：n≧3Page23NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端組網(wǎng)備選方案一

L1與L23＃VLANTRUNK

IPBearerNetworkVLAN

IF

3L1APlaneS3528G

VLAN

IF

2

APlaneEudemon500/1000GE

or

FEEdgeRouter

Routermodule3#VLANSignalingVLAN

IF

3VLAN

IF

2L2BPlaneS3528GGE

or

FEGE

or

FEGE

or

FE3#VLANSignalingRoutermoduleBPlaneEudemon500/10002GEor4FE2#VLAN2#VLANPage24NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端組網(wǎng)備選方案一

L10與L203＃/4＃VLAN

TRUNKVLAN

IF

3VLAN

IF

4VLAN

IF

2

GE

or

FEVLAN

IF

43#VLANSignaling4#VLANOther4#VLANOtherVLAN

IF

3VLAN

IF

2GE

or

FEGE

or

FEGE

or

FE3#VLANSignalingIPBearerNetworkL10AEdgeRouterRoutermoduleL20BRoutermodulePlaneS3528GPlaneS3528GAPlaneEudemon500/1000BPlaneEudemon500/10002GEor4FE2#VLAN2#VLANPage25NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端組網(wǎng)備選方案一

L3與L4VLAN

TRUNKVLAN

IF

5VLAN

IF

4VLAN

IF

2

GE

or

FEVLAN

IF

44#VLANOther4#VLANOtherVLAN

IF

5VLAN

IF

2GE

or

FEGE

or

FEGE

or

FEIPBearerNetworkL3AEdgeRouterRoutermoduleL4BRoutermodulePlaneS3528GPlaneS3528G2#VLAN2#VLANVLAN

IF33＃/4＃2GE5#VLANMedia3#VLANMedia5#VLANMedia3#VLANMedia

VLAN

IF3Page26NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端組網(wǎng)備選方案一

業(yè)務(wù)流程N(yùn)GNBearerNetworkSoftXMRSUMGGKSGL10L20R1R2F10F20MCUL1L2F1F2L3L4SignallingMediaMediaXSHLRPage27NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端組網(wǎng)備選方案一

交換機(jī)做二層設(shè)備配置NGNBearerNetworkSoftXMRS6100UMGGKSGL10L20R1R2F10F20VRRPMCU8630VRRPn*FEL1L2F1F2n*FEL3L4n*FEVRRPLAN（1）LAN（2）F1/F2、F10/F20：Firewall（Routermode）L1/L2、L10/L20andL3/L4：Layer2SwitchR1/R2：Router（orNE40）SHLRMediaXSBCOSPF動態(tài)路由或靜態(tài)路由VLAN上傳到路由器終結(jié)配置成二層設(shè)備

Page28NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端組網(wǎng)備選方案一配置實(shí)例Page29NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10內(nèi)容介紹第1章NGN網(wǎng)絡(luò)的安全性問題第2章信令LAN（一）與媒體層LAN（二）的組網(wǎng)第3章LAN（三）組網(wǎng)Page30NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10SBC在局端的組網(wǎng)

SBC在局端組網(wǎng)的融合考慮F1/F2、F10/F20andF3/F4：Firewall（Transparentmode）L1/L2、L10/L20、L3/L4andL5/L6：Layer3SwitchR1/R2：Router（orNE40）NGNVPN或IP專網(wǎng)SOFTXMRS（forSX3000）UMGSGL10L20R1R2F10F20MCUL1L2F1F2L3L5L6F3F4SBCR3R4MediaX*2SHLRInternet/IP公網(wǎng)L4數(shù)據(jù)會議服務(wù)器MRS（forMediaX）SIPWeb/SipWeb/SipSIPPage31NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10SBC在局端的組網(wǎng)與前述的SBC組網(wǎng)相比，在局端中可同UMG8900、MediaX3600、Tellin等設(shè)備一起組網(wǎng)。面向Internet/IP公網(wǎng)的非信任區(qū)域，通過三層交換機(jī)L5/L6、防火墻F3/F4構(gòu)建雙SBC組網(wǎng)的安全與可靠性；同時，三層交換機(jī)L5/L6相對SBC主備接口（面向Internet側(cè)）配置VRRP組。對于SBC與NGN側(cè)的互聯(lián)，可與UMG8900/MRS等共用一組L3/L4三層交換機(jī)，從而，保證雙SBC與NGN互聯(lián)的高可靠性，以及保護(hù)NGN骨干核心網(wǎng)的安全。同樣，三層交換機(jī)L3/L4相對SBC主備接口（面向NGN的SOFTX3000側(cè)）配置VRRP組。若NGN骨干核心網(wǎng)采用的是媒體信令合一的VPN的話，SBC連接的三層交換機(jī)L3/L4只需要構(gòu)建一組VRRP組（包括SBC信令媒體流端口、MCU/MRS媒體流端口）。這時，L3與R1之間、L4與R2之間，則只需要配置GE端口，信令媒體流都通過此GE端口上行。對于SBC網(wǎng)管端口，SBC在局端組網(wǎng)時，仍建議采用單獨(dú)出FE網(wǎng)管接口，這樣，SBC網(wǎng)管接口就可直接連接到運(yùn)營商的內(nèi)部管理專網(wǎng)中，即上述中的LAN（3）網(wǎng)絡(luò)。組網(wǎng)要點(diǎn)Page32NGN局端設(shè)備組網(wǎng)工程師培訓(xùn)膠片ISSUE10NGN局端網(wǎng)管專網(wǎng)系統(tǒng)MRS6100SoftXSGNMS/OSS/112TestCenterPSTNU-PathOpeneyeH.323PhoneSIPPhoneRASAMGGKN2000UMSTMGNGNVPN或IP專網(wǎng)IADIADOperationTerminalDDNRouterDDNMODEMUntrustZone:NMSchannelIADIADIADMSInternetiWeb-RemoteAccessSAHTTPProxyWeb-RemoteAccessCAOperationterminalremoteaccessNMSVPN（Backbone）UMGUMGRMCC/GKM

Operation&MaintenanceSHLRiGWBNMSPortMCU