HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedInternalNGN网络的组网与数通产品联系紧密,IP承载网的安全性是NGN网络正常运营的重要保障。本节课重点介绍NGN工程中NGN局端设备IP出口到城域网入口这一段的网络连接及安全性等问题,是NGN工程施工的指导性规范,NGN核心承载网、接入网的组网不在本课程中详细讨论。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage2学习完此课程,您将会:了解NGN组网的整体框架了解NGN网络的安全性问题。了解NGN局端组网的方案。了解NGN局端组网的关键技术。HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage3参考资料网站资料:《NGN工程局端设备组网指导书V2.1-20051231-B.doc》HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage4第1章NGN网络的安全性问题第2章信令LAN(一)与媒体层LAN(二)的组网第3章LAN(三)组网HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage5第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage6PSTN网络和NGN网络的差异网络构造:电路网络-分组网络信令类型:窄带信令-基于TCP/IP的(多媒体)信令网络部件:窄带交换机-软交换、信令网关、媒体网关、各类终端和承载设备连接方式:电路转接-端到端连接承载方式:2M传送-分组传送业务类型:补充业务、智能业务-补充业务、智能业务、多媒体业务和开放的第三方业务HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage7第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage8NGN业务模式对IP承载网的建设要求测试参数与业务良好网络较差网络恶劣网络ITU-T定义MOS4.0-5.03.5-4.03.0-3.51.5-3.00-1.5通信标准定义*Delay≤40ms≤100ms≤400msLoss≤0.1%≤1%≤5%Jitter≤10ms≤20ms≤60msModem透传可用不可用不可用传真透传可用不可用不可用T.38可用可用不可用话音G.711a/u优良中G.729a/b良良差G.723良接近良中视频384K未见劣化、可用轻微劣化、可用明显劣化、不可用二次拨号RFC2833可用、话音质量良以上可用、话音质量接近良可用、话音质量差到中消息类可用可用可用红字部分是不能满足运营要求的业务表现HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage9第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage10NGN组网框架基本框架将端到端的安全网络分解为段到段的安全层次。整个网络分为接入层、骨干层和远端、端局四个段的层次。NGN承载网的分段框架TerminalAccessNetworkNGNBackbonePELANNGNCoreEquipmentHostOfficePEBroadbandAccessBackboneSoftX3000MGWRemoteAccessPSTN本胶片重点分析,包括组网配置、QOS、可靠性和安全BRAS/SBCTGHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage11NGN组网框架NGN网络的组网部件ISUPSIPH.323PARLAYSNMPQ3SIPPSTNM3UASCTPNGNBearerNetworkPLMNH.248SoftPhoneSIPPhoneH.323PhoneSIP-T/BICC/H.323IADH.248MGCPH.323H.248MGCPH.248TELLIN(ENIP)UMS(Active)AppServerSGswitchSTPUMGSoftX3000AMG/UMG+RSPSoftX3000UMGMSCMRSUMS(Standby)SNMPQ3MRSIADMSSE2000MCUMediax3600以上是母局组网需要考虑的设备HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage12NGN组网框架基于不同流量分离思想的NGN核心网组网框架BillingNetworkMediaSoftswitch(SoftX3000)MGW(UMG8900)SE2000STP(SG7000)Firewall1IPPBXNMSIADFTP/FTAMOSSCORBASIGTRANFirewall2Signalling(DiffServ:DSCP=AF21)(DiffServ:DSCP=EF)(DiffServ:DSCP=AF41)Firewall3SE2000AMGOtherCarrierHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage13NGN组网框架NGN安全区域分隔模型IADSoftPhoneH.323PhoneSGSoftXMRSUMSGKMCUSIPPhoneiGWBIDS半信任区TELLIN(ENIP)专网区FireWallPCTerminalSoftPhoneIADVideoPhone非信任区(本运营商)普通VoicePhone非信任区(Internet)信任区(PSTN)PSTN运营网络Internet公网管理、操作维护上级OSS(网管、计费、鉴权等)RAS专网区DDNRouterSBC信任区IAD-MSRMROUTERBASL3/RouterUA黑客攻击*****安全系数攻击方向************(--)STP信任区RAS******母局可能病毒区域********(--)*(+)****(--)SBCAMGUMG信任区UMGDSLAM****SHLRDatabaseMediaX3600HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage14NGN组网框架NGN局端组网的区域划分SIPPhoneBillingCenterSHLRSoftXFireWallL3SWNGNCentralOfficeN2000UMSU-PathNMS/OSS/112TestCenterDDNRemoteAccessServerMCUBAM/BAUNMSOperationandMaintenanceTerminalPSTN/InternetCampus/IntranetIADOpeneyeH.323PhoneLAN(3)Operation&MaintenanceBBMAN(NGNBearerNetwork)IADSIPPhoneSBC/EudemonL3SWFireWallAMGTELLIN(ENIP)LAN(4)OtherInternetFireWallLAN(1)Signalling/ControlLAN(2)MediaMRSUMGAMGMCUDDNRouterIAD-MSIAD-MSIADUMGOpeneyeRMCC/GKMGK(MCU)SGMediaX3600HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage15第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage16NGN局端设备组网安全方案NGN组网尽可能做到信令面、承载面、管理面分离,提高组网可靠性、层次性和清晰度。网络带宽资源分配合理,无瓶颈。网络交换节点尽量少,设备成本尽量低、工程复杂度尽量低。无单点故障,具有较高可靠性。网络中进行区域划分,尽量减小人为操作失误造成的影响。网络占用IP地址数量尽量少。组网原则HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage17NGN局端设备组网安全方案组网可靠性机制模型VRRPIPBearerNetworkLayer3SwitchinAplaneLayer3SwitchinBplaneEdgeRouterLayer2NetworkActivePortofEquipmentStandbyPortofEquipmentSegment:C/D/EHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage18NGN局端设备组网安全方案NGN设备接口的主备用倒换机制A/B平面三层交换机倒换机制边缘路由器上行链路倒换机制组网可靠性倒换机制HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage19第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage20设备选型S3528G支持24×FE,4×GBICSlot。系统背板容量为32G,包转发率为9.6Mpps。支持千兆GBIC或者千兆SFP模块扩展。12KMAC,4KVLAN采用最长匹配转发技术,整机支持512个vlan子接口S3552G系统背板容量为32G,包转发率为13.2Mpps,12KMAC,4KVLAN。支持48×FE电口,4×GBICSlot。S3528G/S3552G安全智能以太网交换机QuidwayS3528GQuidwayS3552GHUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage21第1章NGN网络的安全性问题第2章信令LAN(一)与媒体层LAN(二)的组网第3章LAN(三)组网HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage22NGN局端组网备选方案一交换机做三层设备配置NGNBearerNetworkSoftXMRS6100UMGGKSGL10L20R1R2F10F20VRRPMCU8630VRRPn*FEL1L2F1F2n*FEL3L4n*FEVRRPLAN(1)LAN(2)F1/F2、F10/F20:Firewall(MixorRoutermode)L1/L2、L10/L20andL3/L4:Layer3SwitchR1/R2:Router(orNE40)SHLRMediaX1、建议UMG的信令、媒体和网管都配置单独接口2、若NGN远端设备等都没有配置俗称“带内管理通道”,UMS则无需互联L10可选组件n*FE:n≧3HUAWEITECHNOLOGIESCO.,LTD.AllrightsreservedPage23NGN局