NGN局端设备组网

NGN局端设备组网固网业务支持部NGN项目组NGN局端设备组网NGN网络和PSTN网络的差异NGN网络的安全性问题NGN网络安全方案和组网模型关键技术实现原理LAN（一）组网方案LAN（二）组网方案NGN网络和PSTN网络的差异网络构造：电路网络－IP网络信令类型：窄带信令－基于TCP/IP的多媒体信令网络部件：窄带交换机－软交换、各类网关和边缘接入设备工作模式：电路转接－IP分层工作模式承载方式：2M传送－语音和承载分离的IP传送业务类型：附加业务－附加业务、智能业务和开放的第三方业务NGN局端设备组网NGN网络和PSTN网络的差异NGN网络的安全性问题NGN网络安全方案和组网模型关键技术实现原理LAN（一）组网方案LAN（二）组网方案

NGN网络的安全性问题NGN网络具有全IP、分布式、语音数据融合、伸缩性强等特点和优势，但随之而来的是网络安全问题解决网络安全问题的基本思路是：实施网络分隔，保护核心部件；采用代理技术，提供智能终端用户接入通道；增加设备认证、协议加密及访问控制，解决终端用户接入的安全性NGN局端设备组网NGN网络和PSTN网络的差异NGN网络的安全性问题NGN网络安全方案和组网模型关键技术实现原理LAN（一）组网方案LAN（二）组网方案NGN网络安全方案框架NGN组网模型NGN组网模型图中NGNIP核心网作为NGN业务的承载网，可以由运营商原有的城域网构成，或者利用VPN技术独立构建，局端设备主要围绕LAN（一）、LAN（二）两个独立的以太网络组网。LAN（一）为承载、控制、带内网管网络，与NGNIP核心网在网络层互通，完成局端设备在此平面中的网络互连、带宽汇聚功能。为保证可靠性，LAN（一）中的设备端口均要求支持主备用或负荷分担工作模式。如果NGNIP核心网未按要求进行网络分隔，没有足够的安全性，则LAN（一）出口处需要增加防火墙保护局端设备的安全。

LAN（二）为带外网管及操作维护网络，连接各个设备的带外网管接口、操作维护接口及操作维护终端，各维护终端均连接到同一个网络中。NGN网络需求网络带宽资源分配合理，无瓶颈；网络交换节点尽量少，设备成本尽量低、工程复杂度尽量低；关键网络LAN（一）中无单点故障，具有较高可靠性；网络中进行区域划分，尽量减小人为操作失误造成的影响；方案适用面广，易于实现规范化；网络占用IP地址数量尽量少；NGN局端设备组网NGN网络和PSTN网络的差异NGN网络的安全性问题NGN网络安全方案和组网模型关键技术实现原理

LAN（一）组网方案LAN（二）组网方案

关键技术实现原理NGN设备端口及网络互连设备的备份倒换：

NGN母局中的LAN（一）作为母局中信令和媒体流的承载网络，是系统中的关键网络。为保证这个网络的可靠性，要求所有接入到此网络中的NGN设备端口均需要支持自备用或负荷分担工作模式，所有网络设备和互连链路均有备份倒换机制。防火墙配置当网络信任区仅局限在母局内部时，母局出口处需要设置SaN或防火墙设备隔离信任区和非信任区。从NGN业务的特点考虑，优选SaN设备。由于我司的防火墙与SaN采用相同的硬件平台，当目前的SaN设备的规格暂时不能满足要求时，可考虑配置为防火墙工作模式NGN设备端口及网络互连设备的备份倒换NGN设备接口的主备用倒换机制SoftX、TMG、AMG、SG等NGN网络设备的外部以太网口可工作于主备用模式。在主备用模式下，两个以太网口MAC地址不同，但是配置为相同的IP地址。系统初始状态下主用端口处于激活状态，通过ARP协议与二层网络中的其他设备（包括三层交换机的路由模块）通信。主用端口运行过程中检测网络接口的链路状态，当检测到端口二层链路中断等异常后，将本端口倒换到备用状态，原备用端口升为主用。备用端口激活后通过ARP协议更新网络中其他节点的ARP表，维持本设备对外的正常通信。导致NGN端口倒换的故障包括网线断、网口物理层芯片硬件故障、三层交换机故障等。U－NICA、N2000、IAD－MS等服务器类设备的以太网口也采用类似的模式工作。上行链路倒换机制上行链路的故障检测及倒换通过三层交换机与边缘路由器之间的路由更新来实现。A/B两个平面三层交换机的VRRP协议配置中设定监控上行接口的状态，当A平面的上行接口链路故障时，B平面升为主用，同时触发路由更新。上行链路倒换时NGN设备不需要做任何动作，但倒换过程中有一段时间无法与IP核心网中的设备通讯，此时间与路由协议参数设置有关。A/B平面三层交换机倒换机制A/B两个平面三层交换机之间运行VRRP协议实现设备之间的倒换，设备倒换的同时通过路由更新实现上行链路的倒换，通过二层链路状态变化带动NGN设备端口倒换，简要原理如下：C/D/E三个地址段划分到三个VLAN中，两台三层交换机上均配置三层接口。VRRP配置中，将同一VLAN中的两个三层接口定义为一个VRRP组，制定一个虚拟地址作为此VRRP组的缺省网关地址（每个VLAN中需要定义一个VRRP组）。VRRP协议运行后，两台三层交换机之间通过设定的优先级确定VRRP组中的主用模块，运行过程中通过定时的心跳消息维持主备用状态。三层交换机监测本身的工作状态和上行接口状态，出现异常时，通过抢占方式产生新的主用路由设备，同时触发周边的路由器更新路由。主用三层交换机故障后，二层链路状态同时改变，NGN设备根据此状态同步进行端口倒换。关键技术实现原理NGN设备端口及网络互连设备的备份倒换：NGN母局中的LAN（一）作为母局中信令和媒体流的承载网络，是系统中的关键网络。为保证这个网络的可靠性，要求所有接入到此网络中的NGN设备端口均需要支持自备用或负荷分担工作模式，所有网络设备和互连链路均有备份倒换机制。防火墙配置

当网络信任区仅局限在母局内部时，母局出口处需要设置SaN或防火墙设备隔离信任区和非信任区。从NGN业务的特点考虑，优选SaN设备。由于我司的防火墙与SaN采用相同的硬件平台，当目前的SaN设备的规格暂时不能满足要求时，可考虑配置为防火墙工作模式防火墙配置由于NGN母局内部是可信任的设备，因此防火墙仅需要处理IP核心网进入母局的数据流（下行方向），NGN母局输出的数据流全部放行；NGN中的业务和信令承载于UDP、SCTP、TCP之上，而通用防火墙基于状态的访问控制功能仅对TCP有效，对于UDP、SCTP只能采用简单ACL的保护方式；母局设备与远端的其他设备处于同一个IP网络，因此不需要进行地址变换；母局中已经配置了三层交换机完成路由功能，防火墙串接在上行链路中，不需要处理路由协议，工作于“桥模式”即可；SG等设备的IP地址仅在母局内部使用，防火墙需要禁止外部对这些IP的所有访问；NGN局端设备组网NGN网络和PSTN网络的差异NGN网络的安全性问题NGN网络安全方案和组网模型关键技术实现原理LAN（一）组网方案

LAN（二）组网方案LAN（一）组网方案S3526E端口分配方案以太网端口所属VLAN端口用途备注1＃、2＃FE2＃VLAN上行链路端口配置为ACCESS模式3＃、4＃FE3、4、5＃VLAN互连链路端口配置为TRUNK模式5＃～10＃FE3＃VLAN网管设备、Web接口设备端口配置为ACCESS模式11＃～22＃FE4＃VLAN其他NGN核心网设备端口配置为ACCESS模式23＃～24＃FE5＃VLAN备用端口端口配置为ACCESS模式S3552P端口分配方案以太网端口所属VLAN端口用途备注1＃、2＃GE2＃VLAN上行链路端口配置为ACCESS模式3＃、4＃GE3、4、5＃VLAN互连链路端口配置为TRUNK模式1＃～6＃FE3＃VLAN网管设备、Web接口设备端口配置为ACCESS模式7＃～46＃FE4＃VLAN其他NGN核心网设备端口配置为ACCESS模式47＃～48＃FE5＃VLAN备用端口端口配置为ACCESS模式NGN局端设备组网NGN网络和PSTN网络的差异NGN网络的安全性问题NGN网络安全方案和组网模型关键技术实