华为——NGN承载网网络规划与优化解决方案

1、华为技术有限公司华为技术有限公司 服务营销中心服务营销中心 ngn对承载网的要求 pngn对承载网对承载网qos的要求的要求 l端到端带宽保证，满足业务的要求端到端带宽保证，满足业务的要求 l承载网时延承载网时延40ms； l承载网时延抖动承载网时延抖动10ms； l丢包率丢包率0.1 ； pngn对承载网安全性的要求对承载网安全性的要求 l不受蠕虫病毒、黑客等外界攻击不受蠕虫病毒、黑客等外界攻击 lngn业务持续可用、确保隐私业务持续可用、确保隐私 l对常见病毒的免疫功能对常见病毒的免疫功能 lngn业务、承载网不被盗用业务、承载网不被盗用 pngn对承载网的可用性要求对承载网的可用性要求

2、l网络的可用性达到网络的可用性达到99.99% llsp备份，故障切换时间备份，故障切换时间50ms l可部署独立的信令网可部署独立的信令网 l网络支持主备双平面结构网络支持主备双平面结构 ngn承载网的qos问题 2003年12月4日18：22：345日3：10：5 某城域网承载网质量实测 平均丢包 率0.14% 瞬态丢包 率50 平均时 延9ms 最大时 延 1058ms pip网络的平均性能较好，瞬态特性很差网络的平均性能较好，瞬态特性很差 l时延：时延：平均时延只有平均时延只有9ms，但是瞬态时延可能达到，但是瞬态时延可能达到1s l丢包率：丢包率：平均丢包率只有平均丢包率只有0.14

3、%，瞬态丢包率可达，瞬态丢包率可达50 pip网络特性具有突发和不可预知的特点网络特性具有突发和不可预知的特点 p即使是轻载网，即使是轻载网， ip网络也不能保证网络也不能保证qos ngn承载网引起的安全问题 p运营商业务的安全问题：运营商业务的安全问题： l业务盗用业务盗用：未经授权使用未经授权使用ngn业务，导致运营商收入流失；业务，导致运营商收入流失； l带宽盗用带宽盗用：利用：利用ngn设备端口连接用户私有的数据网络；设备端口连接用户私有的数据网络； ldos攻击攻击：通过网络层或应用层的大流量攻击，使：通过网络层或应用层的大流量攻击，使ngn设备无法响设备无法响 应正常用户的业务请

4、求或降低业务的品质。应正常用户的业务请求或降低业务的品质。 p运营商设备的安全问题运营商设备的安全问题 l破坏设备程序及数据破坏设备程序及数据：通过：通过ngn设备远程加载或数据配置流程的漏设备远程加载或数据配置流程的漏 洞破坏设备，通常的洞破坏设备，通常的tftp、ftp、snmp等协议均存在安全漏洞。等协议均存在安全漏洞。 l病毒攻击病毒攻击：通过病毒入侵的方式破坏：通过病毒入侵的方式破坏ngn设备，或者用户被病毒感设备，或者用户被病毒感 染的计算机自动攻击染的计算机自动攻击ngn设备，造成业务的中断或者劣化；设备，造成业务的中断或者劣化； l黑客攻击黑客攻击：通过非常规的技术手段获得：通

5、过非常规的技术手段获得ngn设备的控制权。设备的控制权。 p用户业务的安全问题用户业务的安全问题 l用户仿冒用户仿冒：盗用其他用户的帐号及权限使用业务；：盗用其他用户的帐号及权限使用业务； l非法监听非法监听：非法监听其他用户呼叫的主被叫信息或媒体流内容。：非法监听其他用户呼叫的主被叫信息或媒体流内容。 ngn承载网的可用性问题 p承载网瞬态承载网瞬态qos特性较差引起的话音瞬断；特性较差引起的话音瞬断； p路由器的故障检测和处理机制不完善；路由器的故障检测和处理机制不完善； l对于以太网链路，故障检测时间达到对于以太网链路，故障检测时间达到1s量级；量级； l没有针对连接或者流的故障检测机制

6、；没有针对连接或者流的故障检测机制； l路由器一般通过软件处理故障。路由器一般通过软件处理故障。 p较大规模承载网的路由收敛缓慢，路由收敛时间几秒到分钟量级较大规模承载网的路由收敛缓慢，路由收敛时间几秒到分钟量级 pngn业务容易受到其他业务、如业务容易受到其他业务、如tcp振荡的影响，可持续十几秒振荡的影响，可持续十几秒 r2 r4 r3 r6 r1 r7 1、接口 或线路故 障(50ms -1s量级) 4、到r6 的报文继 续送给r3 3、将到 r6的报 文丢弃 7、收到r3 的消息，路 由重计算 (1s量级) 8、到r6 的报文走 r4 语音流 数据流 2、故障检测、 上报、软件 处理(

7、100ms 量级) 5、备 份路由 倒换 6、到r6 的报文转 发给r4 某城域网内某连接的丢包率实测 某城域网内某连接对应的话音质量实测 瞬时丢 包率达 到21 瞬时丢包 导致话音 质量下降 另一连 接测试 缓慢的故障检测和路由收敛造成话音的瞬断 r1到r7初始路径 r2到r6故障倒换后的路径 r3接口倒换后的备份路径 接入问题 pnat问题的普遍性问题的普遍性 lip地址紧张，部分网络采用私网地址地址紧张，部分网络采用私网地址 l出于安全方面的原因采用私网地址出于安全方面的原因采用私网地址 l部分企业部分企业/园区采用园区采用proxy方式出口方式出口 l运营商重用公网运营商重用公网ip作

8、为作为ngn的的ip编址编址 pngn业务接入组网面临的问题业务接入组网面临的问题 l多种多种nat穿越方案的选择穿越方案的选择 lmgcp、sip、h.248、h.323等多种协议的支持等多种协议的支持 l多种的接入方式的选择（多种的接入方式的选择（xdsl/双绞线、以太网双绞线、以太网 /cat5、cm/hfc、wifi/无线）无线） l多种接入设备的选择（多种接入设备的选择（ag、iad、e-phone） l对于接入网的对于接入网的qos目前没有成熟方案目前没有成熟方案 数据穿越 voip sdp穿越 error 目前工程中存在的问题 目前工程中存在的问题 母局新组网方案（一） ngn

9、bearer network softx mrs6100 umg gk sg l10l20 r1 r2 f10f20 vrrp mcu8630 vrrp n*fe l1l2 f1f2 n*fe l3l4 n*fe vrrp lan（1） lan（2） ums / iadms f1/f2、f10/f20 ：firewall（transparent mode） l1/l2、l10/l20 and l3/l4 ：layer 3 switch r1/r2 ：router （ or ne40） shlr mediax outside network port for outband management

10、 1、建议、建议umg的信令、媒体和网管都配置单独接口的信令、媒体和网管都配置单独接口 2、若、若ngn远端设备等都没有配置俗称远端设备等都没有配置俗称“带内管理通道带内管理通道”，ums则无需互联则无需互联 l10 母局新组网方案（二） ngn bearer network softx mrs6100 umg gk sg l10l20 r1 r2 f10f20 vrrp mcu8630 vrrp n*fe l1l2 f1f2 n*fe l3l4 n*fe/ge vrrp lan（1） lan（2） ums / iadms f1/f2、f10/f20 ：firewall（transparent

11、 mode） l1/l2、l10/l20 and l3/l4 ：layer 3 switch r1/r2 ：router （ or ne40） shlr mediax outside network port for outband management ngn bearer network softxmrs6100 ums / iadms umg gk sg l10l20 r1r2 f10f20 vrrp 母局新组网方案（三） mcu8630 vrrp n*fe l1l2 f1f2 n*fe l3l4 n*fe/ge vrrp mediax shlr f1/f2、f10/f20 ：firew

12、all（transparent mode） l1/l2、l10/l20 and l3/l4 ：layer 3 switch r1/r2 ：router （ or ne40） outside network port ngn bearer network softx mrs6100 ums / iadms umg gk sg r1r2 mcu8630 n*fe/ge f1f2 母局组网方案（四） l1 #2lan 3lan control router module 4lan signalling 5lan other 6lan media l2 #2lan 3lan control route

13、r module 4lan signalling 5lan other 6lan media r1/r2 ：router l1/l2 ：layer 3 switch f1/f2 ：firewall（transparent mode） shlr mediax outside network port 信令、媒体和网管控制端口通过划分不同信令、媒体和网管控制端口通过划分不同vlan实现二层隔离实现二层隔离 ngn母局组网qos配置 before entering backbone ，according to the different interface(physical or logical),

14、mark the different tags for: media: mark as ef signal: mark as af nms : mark as be there is only one type of service (signaling) between the switch groups, the bandwidth is ensured without congestion, no qos methods need to be deployed. there is only one type of service (signaling) in vrrp group, th

15、e bandwidth between them is ensured without congestion, no qos methods need to be deployed. umss outside network port inside network port er map the port of l7 to nms vpn, qos for nms: phb=be or phb=af4, car need to be deployed. for tg/ag the nms bandwidth is 2.5% of media. ngn母局组网可靠性配置 ngn bearer n

16、etwork softx mrs6100umg gk sg l10l20 r1 r2 f10f20 vrrp mcu8630 vrrp n*fe l1l2 f1f2 n*fe l3l4 n*fe vrrp lan（1） lan（2） ums shlr mediax 母局边缘路由器 pe的双归属 母局出口防火墙 的主备配置 母局组网交换机主从冗 余备份，vrrp配置， bfd快速检测机制 ngn核心设备的信 令端口主备冗余， bfd检测机制 umg媒体端口双子网、 双归属，bfd检测， 在线切换 路由接口之间的bfd 检测，可快速检测 至ip层故障 sbc在母局组网的融合考虑 ngn vpn或或

17、ip专网专网 softx mrs n2000/iad-ms umg sg l10l20 r1r2 f10f20 mcu l1l2 f1f2 l3 l5 l6 f3 f4 f1/f2、f10/f20 and f3/f4： firewall（transparent mode） l1/l2、l10/l20 、l3/l4 and l5/l6 ： layer 3 switch r1/r2 ：router （or ne40） r3 r4 gk 外网口 mediax shlr internet /ip公网公网 portal server l4 核 心 类 服 务 区 管 理 类 服 务 区 porta l服

18、务 区 本 地 维 护 区 tellin （enip） tellin单独组网方式1 l30l31 f5f6 l3l4 l32l33 l34l35 l5l6 f3f4 internet公网公网 ngn 承载网承载网 r1r2 f7f8 l36 mrs m s s usau asadppgw smpoamsemswpsrs portal fep 内部专网内部专网 外部专网外部专网 sys smap wmc oam client ems client report client nm s 计 费 oss 核心类服务区 管理类服务区 portal服务区 本地维护终端区 bam_mrsbam_usau

19、tellin单独组网方式2 l30l31 f5f6 l3l4 l32l33 l5l6 f3f4 internet公网公网 ngn 承载网承载网 r1r2 f7f8 mrs m s s usauasadppgw smpoamsemswpsrs portal fep 内部专网内部专网 外部专网外部专网 sys smap wmcoam client ems client report client nm s 计 费 oss 核心类服务区 管理类服务区 portal服务区 本地维护终端区 bam_usaubam_mrs l36 tellin单独组网方式3 l3l4 l32l33 l34 l5l6 f3

20、f4 internet公网公网 ngn 承载网承载网 r1 r2 f7f8 mrs m s s usauasadppgw smpoamsemswpsrs portal fep 内部专网内部专网 外部专网外部专网 sys smap wmcoam client ems client report client nm s 计 费 oss 核心类服务区 管理类服务区 portal服务区 本地维护终端区 bam_usaubam_mrs l36 tellin在母局组网的融合考虑 ngn vpn或或ip专网专网 softx mrs（for sx3000） n2000/iad-ms umg sg l10l20

21、 r1r2 f10f20 mcu l1l2 f1f2 l3 l5 l6 f3 f4 f1/f2、f10/f20 and f3/f4： firewall（transparent mode） l1/l2、l10/l20 、l3/l4 and l5/l6 ： layer 3 switch r1/r2 ：router （or ne40） r3 r4 gk 外网口 mediax shlr internet /ip公网公网 portal server l4 核核 心心 类类 服服 务务 区区 管管 理理 类类 服服 务务 区区 port al服服 务区务区 本本 地地 维维 护护 区区 tellin （e

22、nip） mrs（for as）mss to r1/r2 as l30 l31 f5 f6 （与（与l3/l4是相同是相同 一组三层交换机）一组三层交换机） ngn母局组网的安全性总结 ngn vpn或或ip专网专网 softx mrs n2000/iad-ms umg sg l10l20 r1 r2 f10f20 mcu l1l2 f1f2 l3 l5 l6 f3 f4 r3 r4 gk 外网口 mediax shlr internet /ip公网公网 portal server l4 核 心 类 服 务 区 管 理 类 服 务 区 porta l服务 区 本 地 维 护 区 tellin

23、（enip） mrs（for as）mss to r1/r2 as l30 l31 f5 f6 terminalvobb access broadband access pc （softphone） videophone bras / pe vobb中的bras接入控制，sbc的 ngn业务代理，安全保护的前端级 internet 公网 接入的ngn业 务代理，web 访问的防火墙 隔离，安全保 护的前端级 母局前置的防 火墙隔离，对 软交换信令端 口监控，其他 信令/控制端口 对外禁止，安 全保护措施的 多层次 母局中服务器类设 备与ngn核心机框 类设备分开组网， 保护ngn核心部件 对外

24、接口通道 acl配置，以 保护内部端口 l3l4 文件传送接口 ngn承载网解决方案演进示意图 ngn ip公网运营模式 ip公网构建公网构建ngn承载网承载网 企业网企业网 / 校园网校园网 宽带接入网宽带接入网 (2) l3 sw l2 sw l2 sw pstn 企业网出口企业网出口 作作nat u-path iad open eye sip phone iad h.323 phone open eye amg tmg/umg iad 宽带接入网宽带接入网 (1) iad bas 安全防线推到安全防线推到ngn母母 局边缘局边缘 ngn母局设备母局设备 ip-ip网关网关 l3 sw i

25、p vpn model ngn vpn diffserv: ef nms vpn diffserv:be internet vpn diffserv:be oss and billing pstn softx3000 sg7000 umg tmg 其他运营商其他运营商 iadms n2000 运营商能够控制的运营商能够控制的iad 运营商无法控制的运营商无法控制的iad amg sbc 关口局关口局 firewall firewall sip终端终端 openeye 媒体媒体/信令流信令流 带外网管带外网管 带内网管带内网管 media layer double plane: mpls-vpn

26、 disable diffserv enable single plane: mpls-vpn disable diffserv enable single plane: mpls-vpn enable diffserv enable signal layer vobb/internet enipsgbillingnms nms clientsg7000 sx3000 enip umgtmgamg/uamcu iad sip phone vpn ip专网专网 或公网或公网 mstp sdh/wdm pe pe pe pe n*fe/ge vrrp pe pe pe dcn oss ngn网管专

27、网 方案方案1 方案方案2 方案方案4 方案方案5 煤体、信令与网管(fe/ge) 煤体、信令与网管(pos) 媒体、信令(fe/ge) 带外网管(fe) pe 方案方案3 pe vlan if lan ngn远端接入场景 远端设备通过sdh接入ngn ip网 远端设备通过mstp接入ngn ip网 直接接入承载网边缘路由器 ngn专网专网 nms network router router pstn lan/pos/atm pe 主用链路主用链路 备用电路备用电路 ug pe mpls lsp mpls lsp lan接入总体方案 ngn骨干网骨干网 bas internet 网网 骨干网：

28、骨干网：ip专网专网 或或 vpn网网 iad iad pstn sbc sbc 运营商可控边界运营商可控边界 iad pc lan lan 家庭应用家庭应用 pc 楼道接入楼道接入 nat soho应用应用 lan switch 支持支持802.1p 支持支持802.1q lan switch dhcp serverradius server l3/pe voip voip internet 支持支持802.1p 支持支持802.1q 安全防线安全防线 xdsl接入方式（1） ngn骨干网骨干网 bas internet 网网 骨干网：骨干网：ip专网专网 或或 vpn网网 dslam 家庭

29、应用家庭应用1 iad pc ip超市超市 adsl modem iad upath iad在楼道在楼道 xdsl modemiad nat/proxy pstn pc sbc 运营商可控边界运营商可控边界 dhcp server radius server ngn业务业务 数据通道数据通道 安全防线安全防线 家庭应用家庭应用2 pcvideo phone video phone 或或ephone 或或ephone adsl modem sbc xdsl接入方式（2） ngn骨干网骨干网 bas internet 网网 骨干网：骨干网：ip专网专网 或或 vpn网网 dslam 家庭应用家庭应用3 pc sbc 运营商可控边界运营商可控边界 dhcp server radius server 安全防线安全防线 amg pstn spliter ua（综合接入）（综合接入） pc spliter 家庭应用家庭应用1 adsl mod