华为网规培训-NGN承载网组网规划.ppt

NGN承载网组网规划,Page1,课程内容,第一章端局组网概述第二章信令与媒体层的组网第三章ENIP端局组网第四章网管与计费组网第五章安全与可靠性技术应用,Page2,NGN核心网框架概述,NGN承载网核心网一般采用单独LAN的方式对业务进行隔离分类框架建议如下:,以实现信令流、媒体流、网管流的分离减少互相的影响,Page3,NGN承载网端局设备分布图,Page4,组网结构说明,LAN（一）为信令、带内网管（或计费）网络与NGNIP核心网在网络层互通，完成母局设备在此平面中的网络互连、带宽汇聚功能。LAN（二）主要针对母局中各种媒体设备，如UMG/MRS/MCU都有独立的媒体流输出的物理接口，故建议单独组网。LAN（三）为带外网管及操作维护网络，连接各个设备的带外网管接口、操作维护接口及操作维护终端，各维护终端均连接到同一个网络中。LAN（四）暂定义为UNICA/UC等相关业务组网区域,Page5,课程内容,第一章端局组网概述第二章信令与媒体层的组网第三章ENIP端局组网第四章网管与计费组网第五章安全与可靠性技术应用,Page6,端局组网的备选方案一,Page7,常用组网模式说明,L1和L2：作为三层交换机配置，并相对母局核心网设置SOFTX/SG等的信令端口，在2个三层交换机之间通过二层接口设置VRRPF1/F2：工作在混合模式的话，即不占业务IP地址，之间网线连接的是F1与F2的心跳，并各自出FE分别与R1、R2互联。VLAN划分：三层交换机建议划分为三个业务VLAN：2VLAN上行端口（这个VLAN仅仅只包含本设备的上行接口，并且配置单独的三层IP网段）、4VLAN信令、5VLAN备用端口，VLAN之间通过三层互通组网中L10/L20：主要针对N2000Server、IADMS、多媒体应用时的RMCC或SMC、调测用机等服务器或工作站，以及远程网管路由器的设备的组网需求。MRS/MCU的媒体流端口连接：出主备或负荷分担方式的多条FE链路，分别与L3、L4三层交换机连接，并在相应接口配置VRRP。UMG的媒体流端口连接：出主备FE或GE链路，连接到两个不同Router上（考虑到UMG流量比较大）。路由器上通过设定动态路由，与UMG等媒体设备之间实现快速倒换。L3和L4上行链路需要根据实际组网地带宽需求，配置链路，并且每条链路配置单独的三层IP网段。L3与R1、L4与R2之间链路也运行OSPF动态路由，各设备媒体流端口可通过VLAN划分以期做隔离需求。对母局的媒体网关设备要求：建议这些设备配置时采用各自独立的媒体流物理端口、信令流物理端口，以便媒体流与信令流能分别接入LAN（一）和LAN（二）,Page8,（1）交换机做三层设备配置,Page9,（2）交换机做二层设备配置,Page10,（3）交换机二三层组网差异分析,不推荐,目前不要采用,目前推荐方式,Page11,业务流示意,Page12,端局组网的备选方案二,Page13,端局组网的备选方案三,Page14,端局组网的备选方案四,Page15,四种备选方案的比较,Page16,课程内容,第一章端局组网概述第二章信令与媒体层的组网第三章ENIP端局组网第四章网管与计费组网第五章安全与可靠性技术应用,Page17,组网方式一（标准组网）,Page18,ENIP组网结构说明,核心处理模块中的信令与媒体流分开，核心处理信令功能的AS、SDP、USAU、MRS、PGW等通过专门的三层交换机L30、L31进行处理。核心处理模块中的媒体流MRS、MSS等通过专门的交换机L3、L4进行处理，并直接与NGN承载网相连，降低媒体流对于信令流的冲击。对于管理区域的SMP、WPS、OAMS等设备，对于自身内部间的数据通信通过L32、L33进行二层交换，对外实现三层转发，并使用防火墙与Portal、内部专网、外部专网、维护终端进行隔离。对于Portal区的Portal、FEP设备，由于既要与核心区域、管理区域进行数据交换，同时又要与外部公网进行数据交换，所以，需要配置专门防火墙F3、F4与外部公众网络进行隔离。操作维护网络位于安全模型的内部专网中，与核心区与管理区等区域通过防火墙相连。基本属于一个比较独立的网络，完成网管系统NMS、操作维护平面的网络互连功能。,Page19,组网方式二（优化组网，推荐）,Page20,组网方式三（简化组网）,Page21,与NGN业务核心层融合组网,Page22,课程内容,第一章端局组网概述第二章信令与媒体层的组网第三章ENIP端局组网第四章网管与计费组网第五章安全与可靠性技术应用,Page23,操作维护与网管专网,Page24,NMS的LAN（3）组网连接,Page25,运营商内部DCN中的VPN考虑,Page26,计费系统组网一,Page27,计费系统组网二,Page28,课程内容,第一章端局组网概述第二章信令与媒体层的组网第三章ENIP端局组网第四章网管与计费组网第五章安全与可靠性技术应用,Page29,SoftX3000,SG7000,母局(一),U-NICA,OtherAppServer,MRS6000,TMG8010,UMG8900,AMG5000,母局(二),Internet,接入用户,NGN母局,母局(三),i-Manager/计费中心,IADMS/UMS/BMS,DCN网,PC,Phone,设备自身是安全的，其安全威胁全来自于外部。,1、自身安全问题，如病毒等；2、对外部提供服务，易引入外部不安全因素。,1、自身安全问题，如病毒等；2、管理漏洞；3、来自DCN网的黑客攻击。,对母局产生安全威胁的源头。,母局的安全威胁,Page30,NGN端局安全区域划分模型,Page31,安全区域划分说明,1）非信任区（UntrustZone）为Internet、IP城域网、企业网等公众网络，其中包括智能终端和桌面式IAD设备；2）信任区（TrustZone）为专用于NGN的IP网络，信任区中设置NGN核心网设备和大中容量接入网关设备；3）IAD安装在管理良好的大楼配线间、小区机房等场所时，也可以直接接入信任区；4）非信任区与信任区之间通过Eudemon防火墙设备在网络层隔离；5）半信任区（Semi-trustZone）用于设置NGN核心网中作为Web接口的服务器类设备，前端接口需要连接IP公网/Internet，后端接口需要连接NGN核心网；6）网管/计费/操作维护网（NMS/Billing/Operation）为独立的网络，与PSTN中的组网模式类似；7）窄带信令网与SG或内嵌SG功能的设备连接，包括SoftX、TMG、UMG等；8）跨多个网络分区的部件通过不同的物理接口连入各个区域；,Page32,安全域互访流量图(带内网管),MRS6000,TMG8010,UMG8900,AMG5000,U-NICA,SoftX3000,SG7000,核心网,SBC,FW,NGNMPLSVPN,网管MPLSVPN,数据业务MPLSVPN,OtherAppServer,i-Manager/计费中心,IADMS/UMS/BMS,IAD,OpenEye,H.323Phone,SIPPhone,CMTS,INTERNET/其它网络,FW,BAS,FW,FW,可控IAD,SBC,FW,DSLAM,RT,FW,Page33,跨区访问通过特定接口受控接入信任区与与其它区域网络层不互通；信任区通过业务代理设备（IPIPGateway、如Eudemon2200）实现与非信任区终端设备之间的业务互通；信任区通过应用服务器接口设备（ParlayGateway）实现与半信任区应用服务器之间的业务互通；半信任区（DMZ）与非信任区之间通过防火墙实现受控的网络层互通；运营维护网与其它区域网络层不互通，通过跨区域设备的应用层信息交换实现与信任区设备的业务交互。,NGN承载网安全域跨域互访原则,Page34,NGNMPLSVPN,TMG8010,SG7000,MRS6000,ENIP,UMG8900,SoftX3000,AMG5000,NGN承载网,FW,SBC,FW,Internet,FW,FW,IDS,PHONE,PHONE,PC,核心网,网管安全接入-核心层网络设备的防护,i-Manager/计费中心,IADMS/UMS/BMS,FW,网管VPN,DCN网,为防止Internet数据网访问到核心设备，需要增加SBC对语音业务做代理。同时增加防火墙保护SBC设备,对于NGN核心网的关键设备，增加防火墙进一步保护。,对接入核心网的PC设备需要加强防病毒措施。自身防病毒保证服务可用，同时防止病毒蔓至核心网。,既接入核心网又接入Internet的设备需要在两端均布署防火墙,网管网与业务网隔离，并接入防火墙减小网管网对核心网设备的影响。,Page35,NGN母局防火墙安全策略设置,NGN母局输出的数据流全部放行：由于NGN母局内部是可信任的设备，因此防火墙仅需要处理IP核心网进入母局的数据流；母局设备不需要地址转换：母局设备与远端的其他设备建议处于同一个IP网络；母局防火墙工作在透明模式：母局中已经配置了三层交换机完成路由功能，防火墙串接在上行链路中，若需要防火墙工作在路由模式时，则要考虑对IP地址段占用的需求与配置；对于UDP、SCTP只能采用简单ACL的保护方式：NGN中的业务和信令承载于UDP、TCP、SCTP之上，而通用防火墙基于状态的访问控制功能仅对TCP有效。,说明：防火墙外接NGN骨干时，防火墙的上一级设备不能为等价路由形式，应将一台设备通过优先级等其他方式将其设为主用设备。,Page36,NGN端局可靠性框架,业务管理层可靠性方案网络控制层可靠性方案核心交换层可靠性方案,EdgeAccess,CoreSwitch,Networkcontrol,ServiceManagement,Page37,NGN承载网端局可靠性-核心交换方案,边缘路由器,二层防火墙,L3,NGN承载网,VRRP,Backup,Master,主,备,路由协议通告,路由协议通告,缩短ARP老化时间，或者改为静态ARP映射,调整路由协议的定时器，比如修改OSPF协议的hellotime，或者静态指定邻居,部署基于APDP的接口备份技术可使检测故障、切换业务的响应速度DSCP).,网关节点QoS部署,Page78,在汇聚交换机上，可以根据802.1p进行调度。,在接入层交换机，根据入接口进行标记，并根据优先级进行调度(每种业务对应一条VLAN).,在BAS上,我们可以通过802.1p的优先级进行调度和CAR流控来控制上行流量。我们也可以根据报文特征通过打标签和调度进行下行流量的控制。,承载网,LAN接入方案,数据,语音,数据,语音,高优先级,低优先级,Page79,数据,语音,在汇聚交换机上，可以根据802.1p进行调度。,在IAD上,根据从不同接口进入的报文（语音设备或PC）进行不同的标记。,IAD接入方案,承载网,高优先级,低优先级,数据,语音,在BAS上,我们可以通过802.1p的优先级进行调度和CAR流控来控制上行流量。我们也可以根据报文特征通过打标签和调度进行下行流量的控制。,Page80,承载网,在RTU,建立两条PVC,一条对应PC,另一条对应电话，并设置不同的CLP.,在DSLAM上,把不同的PVC(关键服务和普通服务)中继到不同的上行接口。,ADSL接入方案(双PVC),Data,Voice,Data,Voice,在BAS上,我们可以通过802.1p的优先级进行调度和CAR流控来控制上行流量。我们也可以根据报文特征通过打标签和调度进行下行流量的控制。,Page81,承载网,ADSL接入方案(单PVC),高优先级,低优先级,DHCP服务器可以绑定IP和MAC地址。我们可以根据不同用户的MAC地址分配不同的IP地址，采用DHCP认证模式。,在BAS上,我们可以根据用户名分配不同的IP地址。采用DHCP认证模式。,每一个终端拥有唯一的ID(MAC地址或用户名)。不同的IP地址通过不同的ID分配得到。,DHCP服务器,从RTU到BAS,只有一条PVC在承载多种业务。不同业务的报文不能分开。QoS也就得不到保证。因此报文工作在BE模式。,数据,语音,数据,语音,BAS可以根据源IP地址为IP包打上标签。例如，它将为NGN报文打上高优先级的标签，为internet报文打上低优先级的标签。,Page82,承载网,IAD,数据,AP,BRIDGE,DSLAM,MODEM,AP,Bridge,移动数据,移动通信,语音,语音,在无线网桥和AP之间,可以使用IEEE802.11e标准来保证空中QoS。,WLAN接入方案,高优先级,低优先级,为802.1p报文打上标签。,LANSwitch,在BAS上,我们可以通过802.1p的优先级进行调度和CAR流控来控制上行流量。我们也可以根据报文特征通过打标签和调度进行下行流量的控制。,Page83,第一节方案概述第二节IPVPN模式MPLS-VPN解决方案第三节IPVPN模式QoS解决方案第四节专网拓扑设计方案第五节专网接入解决方案第六节MPLS-VPN/QoS/专网可靠性设计方案,课程内容,Page84,专网核心网设计方案双平面,接入网,主用平面:部署DiffServ不部署MPLS,备用平面:部署DiffServ部署MPLSVPN,MCR,备用接口,内平面连接,主用接口,在CR间部署BFD/APDP备用接口能够保证收敛时间该方案只能在纯IP网络中使用备用平面可以提供像企业VPN之类的其他业务,BCR,Page85,双平面拓扑的特点,只可以在纯IP网络中使用备用平面可以承载其他业务Diffserv部署在主用平面上来保证QoSMPLS-VPN和Diffserv可以部署在备用平面上IPFRR保证快速收敛现有网络可以作为备用平面使用比MPLS-VPN模式更容易部署,Page86,双平面的专网接入网设计方案,MCR,BCR,网络核心层,接入网,业务网,每个节点双上行接入,每个设备双上行接入,MGW,SBC,MGW,MGW,Page87,单平面专网拓扑设计方案,核心层:可以通过现在的业务需求预测未来的网络容量核心网络节点的位置必须位于重要城市或者中心地域。任何节点之间的连接必须是GE，10GE，2.5G这样的高带宽内部节点:推荐全网状连接在传输资源不很充足的情况下，可以使用半网状连接一个核心层节点可以由几个设备组成设计特性:每个节点之间的距离至多有两跳大容量,可以满足未来的需求,全网状连接,半网状连接,Page88,单平面专网接入网设计,核心层,接入节点,接入节点,一个接入节点至少可以由两个设备构成每个接入设备双上行本地连接用来连接本地接入设备本模式可以保证网络的可靠性,核心层,接入节点,接入节点,在无安全隐患的节点，仅仅两条上行链路就可以保证每个设备的可靠性需求,Page89,上层骨干网,单平面专网拓扑设计实例1,核心层,接入节点,接入节点,中等城市NGN承载网的实例,接入节点,接入节点,Page90,上层骨干网,单平面专网拓扑设计实例2,大城市或国家NGN承载网的实例,接入节点,半连接核心层,核心节点,接入节点,核心节点,接入节点,Page91,配置专网路由协议双平面(1),主用平面,备用平面,MPLS-VPNOSPF/IS-ISNBR,MPLS-VPNOSPF/IS-ISNBR,MPLS-VPNOSPF/IS-ISNBR,MPLS-VPNOSPF/IS-ISNBR,MPLS-VPNOSPF/IS-ISNBR,OSPF/IS-ISNBR,OSPF/IS-ISNBR,OSPF/IS-ISNBR,OSPF/IS-ISNBR,OSPF/IS-ISNBR,MPLSVPNOSPF/IS-ISNBR,OSPF/IS-ISNBR,MPLSVPNOSPF/IS-ISNBR,核心层,接入层,Page92,配置专网路由协议双平面(2),单域(OSPFAREA0/IS-ISLEVEL2)配置策略静态接口策略，不直接把静态路由引入IGP开销控制，内平面连接开销必须最低在主用平面和备用平面间基于IGP部署MPLSVPN主用平面和备用平面间也可以选择BGP在设备支持的情况下部署PRC和GR在设备支持的情况下在所有核心路由器上使能NSF,Page93,第一节方案概述第二节IPVPN模式MPLS-VPN解决方案第三节IPVPN模式QoS解决方案第四节专网拓扑设计方案第五节专网接入解决方案第六节MPLS-VPN/QoS/专网可靠性设计方案,课程内容,Page94,MCR,BCR,核心网络层,NGN,NMS,Other,双平面专网中心接入解决方案,绑定连接AR到NGNVPN的接口并信任AR的标记。,AR,AR,业务层,信令子网,媒体子网,网管子网,根据连接表为不同的业务种类(EF/AF2/AF3)打上不同的标记.,接入层,Page95,MCR,BCR,核心网络层,业务网络,MGW,SBC,NGN,NMS,Other,双平面专网专网MGW接入解决方案,绑定连接AR到NGNVPN之间的接口，并信任AR的标记。,根据连接表打上不同的标记,下面的方法在业务网关和AR之间的连接是可行的:以太网连接，一种业务(网管，媒体，信令)建立一条物理连接以太网连接，一种业务建立一条逻辑隧道POS连接，媒体和信令混合在一起分别连接到NMSPOS连接，媒体，信令和网管混合在一起,AR,AR,Page96,单平面核心网的中心节点接入解决方案,业务层,信令VPNDiffserv:AF2,媒体VPNDiffserv:EF,网管VPNDiffserv:AF3,接入层,核心层,内部VPN网关,AR,AR,下面的方法是可行的:在这个模式下，业务子网和PE之间的物理连接至少要由PE提供三个端口。在这个模式下业务子网和PE之间的逻辑连接只需要每一个PE提供一个以太网端口就足够了。使用802.1q负责提供逻辑隧道。,信令子网,媒体子网,网管子网,根据物理或者逻辑接口绑定不同的VPN，并打上QoS标记。,内部VPN网关,Page97,单平面专网MGW接入解决方案(1),业务层,信令VPNDiffserv:AF2,媒体VPNDiffserv:EF,网管VPNDiffserv:AF3,下面的方法是可行的:为媒体，信令和网管各建立一个物理连接。802.1q能够模仿三个逻辑连接来建立逻辑连接。,接入层,核心层,MGW,SBC,AR,AR,核心层,根据物理或者逻辑接口绑定不同的VPN,本页幻灯片用来举例说明MGW接入中的以太网接入方式,Page98,业务层,信令VPNDiffserv:AF1,媒体VPNDiffserv:EF,网管VPNDiffserv:AF3,下面的方法是可行的:媒体，信令和网管用相同的POS连接承载。媒体和信令用相同的POS连接承载，网管用独立的连接承载。,接入层,核心层,MGW,SBC,AR,AR,根据物理接口绑定不同的VPN,内部VPN网关,内部VPN网关,单平面专网MGW接入解决方案(2),本页幻灯片用来举例说明MGW接入中的POS接入方式,Page99,第一节方案概述第二节IPVPN模式MPLS-VPN解决方案第三节IPVPN模式QoS解决方案第四节专网拓扑设计方案第五节专网接入解决方案第六节MPLS-VPN/QoS/专网可靠性设计方案,课程内容,Page100,专网MPLSVPN设计的单平面结构(1),媒体VPNDiffserv:EF,信令VPNDiffserv:AF2,NMSVPNDiffserv:AF3,DCN网,Internet/VOBB接入,信令子网,SG7000,SX3000,MGW,MCU,MRS,ENIP/UNICA,SBC,Inter-VPN网关,Inter-VPN网关,媒体子网,其他设备,Page101,专网MPLSVPN设计的单平面结构(2),信令VPN:Export:SIGExport:SIG_COMM(forcenteroffice)Import:SIGImport:COMM,媒体VPN:Export:MEDExport:COMMImport:SIG_COMMImport:NMS_COMMImport:M