29-NGN局端设备组网工程师培训胶片ISSUE1.0

华为版权所有，未经许可不得扩散NGN局端设备组网ISSUE1.0内部资料，注意保密1NGN网络的组网与数通产品联系紧密，IP承载网的安全性是NGN网络正常运营的重要保障。本节课重点介绍NGN工程中NGN局端设备IP出口到城域网入口这一段的网络连接及安全性等问题，是NGN工程施工的指导性规范，NGN核心承载网、接入网的组网不在本课程中详细讨论。内部资料，注意保密2学习目标学习完此课程，您将会：了解NGN组网的整体框架了解NGN网络的安全性问题。了解NGN局端组网的方案。了解NGN局端组网的关键技术。内部资料，注意保密3参考资料网站资料：《NGN工程局端设备组网指导书V2.1-20051231-B.doc》内部资料，注意保密4第1章NGN网络的安全性问题第2章信令LAN（一）与媒体层LAN（二）的组网第3章NGN局端组网的QOS和可靠性配置第4章会议系统及SBC组网第5章LAN（三）操作维护管理组网第6章LAN（三）计费组网内部资料，注意保密5第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型内部资料，注意保密6PSTN网络和NGN网络的差异网络构造：电路网络－分组网络信令类型：窄带信令－基于TCP/IP的（多媒体）信令网络部件：窄带交换机－软交换、信令网关、媒体网关、各类终端和承载设备连接方式：电路转接－端到端连接承载方式：2M传送－分组传送业务类型：补充业务、智能业务－补充业务、智能业务、多媒体业务和开放的第三方业务内部资料，注意保密7第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型内部资料，注意保密8NGN业务模式对IP承载网的建设要求安全性实施网络分隔，保护核心部件；采用代理技术，提供智能终端用户接入通道；增加设备认证、协议加密及访问控制，解决终端用户接入的安全性。最关键词——隔离：采用IP物理专网方式组建NGN承载网，这是目前采用最多的方式，安全性最好。通过MPLSVPN组建多业务网络，NGN承载网作为一个VPN存在。这个需要全网的规划，难度比较大。QoSIP物理专网方式（信令媒体分离）过量带宽(如中国移动T1工程按照50%平均负荷配置承载网)特殊网络拓朴，如星型网，全互联网状网等。（如中国移动T1工程采用大区节点间全网状网，大区到各个省会之间全星型网的方式）IPTN完整的端到端Qos控制方案。（目前没有大规模实施）信令和VOIP语音/视频共用物理网络优先级（VoIP语音IP头DSCP标识为EF，信令标识为AF，并限制EF流的带宽)可靠性设备可靠性问题已不突出，VPN组网可靠性将随着MPLS技术的成熟逐步得到解决。网络流量规划以话务量为基础的理论计算VoIP通道数量在这里还适用。内部资料，注意保密9第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型内部资料，注意保密10NGN组网框架基本框架将端到端的安全网络分解为段到段的安全层次。整个网络分为接入层、骨干层和远端、端局四个段的层次。NGN承载网的分段框架TerminalAccessNetworkNGNBackbonePELANNGNCoreEquipmentHostOfficePEBroadbandAccessBackboneSoftX3000MGWRemoteAccessPSTN本胶片重点分析，包括组网配置、QOS、可靠性和安全BRAS/SBCTG内部资料，注意保密11NGN组网框架NGN网络的组网部件ISUPSIPH.323PARLAYSNMPQ3SIPPSTNM3UASCTPNGNBearerNetworkPLMNH.248SoftPhoneSIPPhoneH.323PhoneSIP-T/BICC/H.323IADH.248MGCPH.323H.248MGCPH.248TELLIN（ENIP）UMS(Active)AppServerSGswitchSTPUMGSoftX3000AMG/UMG+RSPSoftX3000UMGMSCMRSUMS(Standby)SNMPQ3MRSIADMSSE2000MCUMediax3600以上是母局组网需要考虑的设备内部资料，注意保密12NGN组网框架基于不同流量分离思想的NGN核心网组网框架BillingNetworkMediaSoftswitch(SoftX3000)MGW(UMG8900)SE2000STP(SG7000)Firewall1IPPBXNMSIADFTP/FTAMOSSCORBASIGTRANFirewall2Signalling(DiffServ:DSCP=AF21)(DiffServ:DSCP=EF)(DiffServ:DSCP=AF41)Firewall3SE2000AMGOtherCarrier内部资料，注意保密13NGN组网框架NGN安全区域分隔模型IADSoftPhoneH.323PhoneSGSoftXMRSUMSGKMCUSIPPhoneiGWBIDS半信任区TELLIN（ENIP）专网区FireWallPCTerminalSoftPhoneIADVideoPhone非信任区（本运营商）普通VoicePhone非信任区（Internet）信任区（PSTN）PSTN运营网络Internet公网管理、操作维护上级OSS（网管、计费、鉴权等）RAS专网区DDNRouterSBC信任区IAD-MSRMROUTERBASL3/RouterUA黑客攻击*****安全系数攻击方向************(--)STP信任区RAS******母局可能病毒区域********(--)*(+)****(--)SBCAMGUMG信任区UMGDSLAM****SHLRDatabaseMediaX3600内部资料，注意保密14NGN组网框架NGN局端组网的区域划分SIPPhoneBillingCenterSHLRSoftXFireWallL3SWNGNCentralOfficeN2000UMSU-PathNMS/OSS/112TestCenterDDNRemoteAccessServerMCUBAM/BAUNMSOperationandMaintenanceTerminalPSTN/InternetCampus/IntranetIADOpeneyeH.323PhoneLAN（3）Operation&MaintenanceBBMAN（NGNBearerNetwork）IADSIPPhoneSBC/EudemonL3SWFireWallAMGTELLIN（ENIP）LAN（4）OtherInternetFireWallLAN（1）Signalling/ControlLAN（2）MediaMRSUMGAMGMCUDDNRouterIAD-MSIAD-MSIADUMGOpeneyeRMCC/GKMGK（MCU）SGMediaX3600内部资料，注意保密15NGN组网框架LAN（一）：信令、控制与管理面（俗称带内管理）LAN（二）：媒体层面，有UMG/MCU/MRS等LAN（三）：NGN部件的带外网管、计费组网、各种操作维护终端等LAN（四）：TELLINPortal、Mediax3600面向公网的组网NGN局端组网的区域说明要求内部资料，注意保密16第1章NGN网络的安全性问题第1节NGN网络和PSTN网络的差异第2节NGN业务模式对IP承载网的建设要求第3节NGN组网框架第4节NGN局端设备组网安全方案第5节设备选型内部资料，注意保密17NGN局端设备组网安全方案NGN局端设备组网可靠性需要优先考虑和保证。NGN组网尽可能做到信令面、承载面、管理面分离，提高组网可靠性、层次性和清晰度。基于目前各产品能支持的特性，尽可能提供合理的组网方案。尽可能考虑未来网络扩容需求，保证关键节点带宽余量，避免因为带宽不够而导致网络扩容时出现网络结构大改动。网络带宽资源分配合理，无瓶颈。网络交换节点尽量少，设备成本尽量低、工程复杂度尽量低。关键网络中无单点故障，具有较高可靠性。网络中进行区域划分，尽量减小人为操作失误造成的影响。方案适用面广，易于实现规范化。网络占用IP地址数量尽量少。组网原则内部资料，注意保密18NGN局端设备组网安全方案组网可靠性机制模型VRRPIPBearerNetworkLayer3SwitchinAplaneLayer3SwitchinBplaneEdgeRouterLayer2NetworkActivePortofEquipmentStandbyPortofEquipmentSegment:C/D/E内部资料，注意保密19NGN局端设备组网安全方案组网可靠性机制模型要点边缘路由器作为NGN设备的IP核心网入口，局端所需的网络资源都从此路由器上提供，此设备在数通网络中维护。A/B平面两台三层交换机作为LAN（一）中的核心网络部件，二层互连后为NGN设备主备用端口提供一个二层网络，实现NGN设备端口备份倒换。此二层网络可划分为多个VLAN，实现不同类型NGN设备的接入和二层分隔。三层交换机与边缘路由器之间运行动态路由协议，实现边缘路由器端口及链路的备份倒换。而A/B平面两台三层交换机之间运行VRRP协议，实现交换机自身的备份倒换。三层交换机与边缘路由器之间运行的路由协议可以为OSPF/BGP等，由于路由收敛速度较慢的原因，一般不考虑RIP协议。内部资料，注意保密20NGN局端设备组网安全方案VRRPVRRP（Virtualrouterredundancyprotocol,虚拟路由器冗余协议）(RFC2338)提供了局域网上的设备备份机制。简单来说，VRRP是一种容错协议，它保证当主机的下一跳路由器坏掉时，可以及时由另一台路由器来代替，从而保持通讯的连续性和可靠性。IP主机不必支持另外的协议。关键协议OSPF路由协议静态路由协议、动态路由协议。动态路由协议外部路由协议(EGP)：BGP内部路由协议(IGP):RIP、IGRP、EIGRP、OSPF、IS-IS算法：距离矢量算法：RIP、IGRP、EIGRP、BGP链路状态算法：OSPF、IS-IS内部资料，注意保密21NGN局端设备组网安全方案组网可靠性倒换机制NGN设备接口的主备用倒换机制以SoftX3000为例（其它网关设备类似），SoftX3000的外部以太网口工作于主备用模式。在主备用模式下，配置为相同的IP地址。系统初始状态下主用端口处于激活状态，与二层网络中的其他设备（包括三层交换机的路由模块）通信。主用端口运行过程中检测网络接口的链路状态，当检测到端口二层链路中断等异常后，将本端口倒换到备用状态，原备用端口升为主用，从而使本设备对外的通信正常。导致NGN端口倒换的故障包括网线断、网口物理层芯片硬件故障、三层交换机故障等。A/B平面三层交换机倒换机制A/B两个平面三层交换机之间运行VRRP协议实现交换机之间的倒换，A/B平面倒换的同时通过路由更新实现上行链路的倒换，并通过二层链路状态变化带动NGN设备主备端口倒换，简要原理如下：A/B平面三层交换机上均配置三层接口，两个三层接口定义为一个VRRP组，指定一个虚拟地址作为此VRRP组对外的缺省网关地址。VRRP协议运行后，两台三层交换机之间通过设定的优先级确定VRRP组中的主用路由设备，运行过程中通过定时的握手消息维持主备用状态。三层交换机监测本身的工作状态和上行接口状态，出现异常时，通过抢占方式产生新的主用路由设备，同时触发周边的路由器更新路由。主用三层交换机故障后，二层链路状态同时改变，NGN设备根据此状态同步进