FEMTO核心网关技术组网方案模板

资料内容仅供您学习参考，如有不当或者侵权，请联系改正或者删除。FEMTO核心网关技术组网方案京信通信系统(中国)有限公司8月1日追求完美追求和谐目录第一节 系统组网图 图2所示。FEMTO基站提供两个无线接口,一个用于TD/GSM用户经过该设备使用移动通信网络,另一个用于WLAN用户经过该设备使用WLAN网络。FEMTO基站提供一个有线接口,用于设备连接TD/GSM网关设备及WLANAC设备,并作为TD/GSM及WLAN用户的上联数据通道。根据移动现有驻地网络的组网模式不同,能够分为WLAN网络和宽带网,两种不同组网模式下的业务流程如下:1.1基于WLAN网模式下的业务流程主要流程如下:企业级基站启动时,向外广播DHCP请求,经过DHCP中继将广播转为单播,指向AC,这时AC就会给企业级基站分配一个私网IP。企业级基站利用获取的IP与AC建立CAPWAP隧道,由AC对企业级基站的WLAN配置进行管理,并给企业级基站下发WLAN模板,完成WLAN覆盖。同时企业级基站利用此IP给网关发送IPSec隧道建立请求(目的地址为网关地址的单播请求),请求抵达BRAS后,由BRAS免认证路由请求至网关,因企业级基站使用私网IP发送请求,固需在上层设备BRAS或防火墙上提供NAT功能,将私网地址装换为公网地址,经过CMNET抵达网关,网关收到请求后回复企业级基站请求,建立IPSec隧道。隧道建立后,企业级基站经过HMS获取配置,提供TD移动接入服务。为保障安全,可在BRAS上配置ACL规则,使企业级基站仅能访问TD网关等特定IP。用户接入WLAN业务时,企业级基站对用户数据进行CAPWAP封装,业务数据走CAPWAP隧道抵达AC,完成认证接入互联网过程;用户接入TD业务时,企业级基站会对用户数据进行进行IPSec封装,业务数据走IPSec隧道抵达网关,完成TD业务接入过程。在建立隧道过程,接入交换机会给WLAN管理数据及TD管理数据标记同一VLAN,VLAN将终止在BRAS上。整个过程,企业级基站不会对TD数据进行CAPWAP封装,同时不会对WLAN数据进行IPSec封装,即TD数据与WLAN数据为两路独立的数据。1.2基于宽带网模式下的业务流程主要流程如下(此模式下,至少需满足4M以上带宽):企业级基站启动时,向外发送地址请求,此时本地DHCP服务器将回复该请求,给企业级基站分配IP地址。利用此IP,在本地DHCP服务器上配置一option43字段,指向AC,使企业级基站在寻找AC阶段能找到AC,建立CAPWAP隧道,完成WLAN覆盖。同时企业级基站利用此IP给网关发送IPSec隧道建立请求(目的地址为网关地址的单播请求),如该IP为私网IP,则需在上层设备添加NAT功能。整个过程,接入交换机会给WLAN管理数据及TD管理数据标记同一VLAN,VLAN将终止在企业级基站网关上。两路数据相互独立,各自封装其业务数据,其它数据走向,同WLAN网。2．家庭级基站数据通路分析家庭级基站具备TD+WIFI无线路由器功能。当前家庭级基站不支持WLAN功能,在具备互联网接入且满足带宽要求(至少满足2M带宽)的场所均能满足开通要求,根据不同运营商网络分为移动宽带网和其它运营商宽带网模式,两种模式下的业务流程如下:2.1移动宽带网家庭网关具备PPoE自动拨号功能,部署时配置账号密码,上电后自动拨号,将从本地DHCP服务器获取IP,利用该IP,家庭网关与网关建立IPSec隧道,启动TD信号覆盖。同时可提供WIFI无线路由器功能。2.2其它运营商宽带网对于家庭网关而言,与接入移动宽带网方式一样。系统安全措施系统安全设计原则1)多重保护原则:多条安全防线,互相独立,能独自有效地保护关键网元。即使一条防线被攻破,剩余的安全防线也有效保护网元。2)最小授权原则:操作维护或网元进程,只给予保证正常功能的最小权限和最小资源。3)灵活配置原则:当发现安全威协时,经过ACL、包过滤等技术,中断危险连接。系统安全架构双重防护,确保系统接入网络安全。1)网络安全:系统网关与CMNET之间配置防火墙,采用NAT和访问控制列表等技术防范网络攻击。只开放业务所需的UDP500/4500端口,其它网络流量都阻止。对于业务端口数据进行协议匹配。同时,AC可添加防火墙或ACL,限制特定用户访问AC。2)业务安全:采用EAP-AKA、证书认证方式保证合法设备才能接入系统网关;采用IPSec对业务、信令和OAM数据进行加密;经过位置接入限制功能,限制用户在非法地址接入;对不符合FEMTO系统协议的数据屏蔽,有效保证业务正常进行。对于WLAN业务,启用防DOS攻击,御防非法用户接入。FEMTO系统防火墙典型配置根据会议纪要推荐型号为华为Eudemon1000E型防火墙)安徽FEMTO防火墙配置和安全漏洞检查防火墙采用局方推荐华为Eudemon1000,将局方防火墙配置结合FEMTO系统安全配置原则结合,完成防火墙配置。FEMTO系统部署完成,由局方安排进行漏洞扫描,针对扫描结果,京信配合完成安全评估,并按要求完成安全加固。工程实施步骤网关/AC/网管设备安装设备到货情况,京信公司负责设备运输至机房,京信公司/市移动安排工程队施工人员,确定工程安装时间,网络部办理相关人员机房出入证事宜。硬件安装过程:第一步:机柜安装:固定机柜位置第二步:机框安装:网关,AC机框安装到机柜上。第三步:服务器,交换机设备安装:网管网管服务器,交换机安装固定到机柜上。第四步:电源安装:直流和交流机柜外部内部电源线缆安装,配电柜到京信机柜电源线缆敷设。第五步:信号线缆安装:京信网关,AC,交换机到核心网CE/交换机,DDF,ODF,网线/光纤线缆敷设。第六步:设备上电:硬件安装完成后给京信设备上电。网关/AC调试过程2.1GSM/TD网关开通调试GSM/TD网关开经过程:内部安装调试:安装软件版本,配置网关内部数据。并网对接联调:传输资源就绪,接口通,配置业务数据,与CS,PS,城域网核心设备对接,调试业务。业务测试:所有业务接口调通后,进行基本业务(语音,视频,短信,上网,切换)测试,解决存在问题。业务测试:进行基本业务(语音,短信,上网,切换)测试,解决存在问题。2.2AC开通调试内部调试:针对现网需求,升级AC版本;调试AC相关数据,包括AC连通性参数、认证参数、AP模版以及网管参数等;上传APdnl文件;并网对接联调:需运营商配合,添加AC路由;业务测试:测试WLAN业务是否正常,如有不正常,则检查以上步骤是否操作存在错误网管安装调试步骤GSM/TDIB-WAS网管调试第一步:前期机房环境勘测,包括机柜安装位置,服务器、交换机设备的供电、网络布线等。第二步:网管监控设备到货后,开箱验货,按照网管发货清单逐一验收,确保设备数量、配置与发货一致。第三步:网管服务器操作系统安装,数据库系统安装。第四步:交换机网络配置,按照网管设备分配的IP地址对设备进行网络配置,调试网络连通。包括网管服务器与FEMTO网关,网管服务器与FEMTOAP,交换机与服务器,网管监控终