全方位容災(zāi)備份 構(gòu)建安全核心網(wǎng)

傅立杰

【摘 要】核心網(wǎng)形成了以軟交換端局（關(guān)口局）為核心的全I(xiàn)P話務(wù)匯接核心網(wǎng)組網(wǎng)模式。TDM端局核心過(guò)渡到以IP軟交換端局為核心，由3級(jí)垂直化網(wǎng)絡(luò)過(guò)渡到IP扁平化網(wǎng)絡(luò)。采用全方位容災(zāi)備份的手段來(lái)加強(qiáng)核心網(wǎng)的安全性、抗風(fēng)險(xiǎn)性是非常有必要的。

【關(guān)鍵詞】全方位；容災(zāi)；IP；核心網(wǎng)

0.概述

核心網(wǎng)完成了包括所有軟交換端局和軟交換關(guān)口局的IP化改造工作，形成了以軟交換端局（關(guān)口局）為核心的全I(xiàn)P話務(wù)匯接核心網(wǎng)組網(wǎng)模式。改造完成后，IP軟交換核心網(wǎng)在話務(wù)承載能力、用戶容量、業(yè)務(wù)開(kāi)發(fā)推廣效率等多方面都比TDM交換核心網(wǎng)有了顯著的提高。此時(shí)，如何構(gòu)建安全核心網(wǎng)，原有的維護(hù)手段能否適用新型網(wǎng)絡(luò)等，都是亟需討論的問(wèn)題。以下將從網(wǎng)絡(luò)、設(shè)備、業(yè)務(wù)數(shù)據(jù)、運(yùn)維管理、周邊配套、其他輔助手段等多方面進(jìn)行探討，通過(guò)全方位容災(zāi)備份構(gòu)建安全核心網(wǎng)。

核心網(wǎng)在完成IP軟交換改造后，網(wǎng)絡(luò)結(jié)構(gòu)有了明顯變化，由TDM端局核心過(guò)渡到以IP軟交換端局為核心，由3級(jí)垂直化網(wǎng)絡(luò)過(guò)渡到IP扁平化網(wǎng)絡(luò)。

核心網(wǎng)（本地網(wǎng)部分）主要由IP化軟交換端局、IP化軟交換關(guān)口局以及支持TD-SCDMA和2G業(yè)務(wù)的HLR和IP承載網(wǎng)接入CE組成，設(shè)計(jì)用戶總?cè)萘窟_(dá)到1000萬(wàn)。軟交換端局設(shè)備通過(guò)100Mbit/s網(wǎng)線和GE光纖與IP承載網(wǎng)CE進(jìn)行分組對(duì)接，完成信令流和媒體流承載，HLR設(shè)備仍采用TDM承載方式完成No.7信令交互。

面對(duì)如此龐大的用戶量，安全運(yùn)行成為核心網(wǎng)維護(hù)工作的重中之重，所以采用全方位容災(zāi)備份的手段來(lái)加強(qiáng)核心網(wǎng)的安全性、抗風(fēng)險(xiǎn)性是非常有必要的。

1.網(wǎng)絡(luò)層面安全

核心網(wǎng)完成IP軟交換改造后，信令網(wǎng)層面保持原No.7信令網(wǎng)組網(wǎng)方式。話務(wù)網(wǎng)層面各個(gè)軟交換端局依托IP承載網(wǎng)的雙平面雙路由連接方式實(shí)現(xiàn)話務(wù)網(wǎng)層面的負(fù)荷分擔(dān)。

1.1信令網(wǎng)組網(wǎng)安全

核心網(wǎng)所有HLR與端局（關(guān)口局）等網(wǎng)絡(luò)的信令連接保持網(wǎng)狀網(wǎng)連接方式不變，直達(dá)鏈路作為第一信令路由，到L局的迂回路由作為備份信令路由，確保了在C/D接口上傳輸信令業(yè)務(wù)的可靠性。端局（關(guān)口局）替換為軟交換設(shè)備后，支持2Mbit/s信令連接方式，增加信令通道帶寬，保證高信令負(fù)荷下業(yè)務(wù)的正常疏通，為今后TD-SCDMA大量新業(yè)務(wù)的開(kāi)展奠定了基礎(chǔ)。

1.2話務(wù)網(wǎng)組網(wǎng)安全

核心網(wǎng)所有軟交換端局（關(guān)口局）話務(wù)均通過(guò)分組方式接入IP承載網(wǎng)進(jìn)行疏通，遵循“就近入IP，就遠(yuǎn)出IP”的話務(wù)疏通原則，并依托IP承載網(wǎng)的雙平面雙路由連接方式實(shí)現(xiàn)話務(wù)層面的負(fù)荷分擔(dān)，確保話務(wù)的安全可靠性。

2.設(shè)備層面安全

設(shè)備層面安全從設(shè)備硬件結(jié)構(gòu)、設(shè)備容災(zāi)等方面來(lái)實(shí)現(xiàn)。傳統(tǒng)的設(shè)備層面容災(zāi)備份方式已經(jīng)成熟應(yīng)用，但I(xiàn)P軟交換核心網(wǎng)由于還處于初期改造建網(wǎng)階段，整體的軟交換設(shè)備容災(zāi)方式仍在不斷改進(jìn)完善中。

2.1信令網(wǎng)設(shè)備安全

2.1.1設(shè)備硬件結(jié)構(gòu)

所有HLR均采用NOKIA HLR，所有單板和重要模塊均采用1+1或N+1的方式實(shí)現(xiàn)備份，確保設(shè)備單板或模塊的安全運(yùn)行。

2.1.2設(shè)備容災(zāi)

所有HLR引入N+X（現(xiàn)網(wǎng)X=1）容災(zāi)備份方式，采用NOKIA提供的HLR褚動(dòng)態(tài)數(shù)據(jù)備份。當(dāng)設(shè)備整體發(fā)生故障時(shí)，容災(zāi)HLR實(shí)時(shí)提取并創(chuàng)建用戶的所有信息，達(dá)到網(wǎng)絡(luò)無(wú)縫切換的效果，用戶業(yè)務(wù)安全使用，不受影響。

2.2話務(wù)網(wǎng)設(shè)備安全

2.2.1設(shè)備硬件結(jié)構(gòu)

所有軟交換端局（關(guān)口局）均采用華為的G9MSC，所有單板和重要模塊均采用1+1或負(fù)荷分擔(dān)的方式實(shí)現(xiàn)備份，確保設(shè)備單板或模塊的安全運(yùn)行。

2.2.2設(shè)備容災(zāi)

軟交換端局采用了控制與承載分離理念，整體設(shè)備分為Server和MGW兩大部分，組網(wǎng)更靈活，這比傳統(tǒng)2G交換機(jī)在設(shè)備容災(zāi)方面更有優(yōu)勢(shì)，方式更加多樣化。1+1、N+1多歸屬、MSC POOL等方式均可完成MSC級(jí)的容災(zāi)，而且實(shí)現(xiàn)方式多樣化，可以基于傳統(tǒng)的A接口，也可以基于軟交換特有的MC接口完成容災(zāi)。核心網(wǎng)采用華為軟交換設(shè)備，其MGW支持代理A-Flex功能組網(wǎng)，與RNC/BSC實(shí)現(xiàn)Iu/A-Flex功能混合組網(wǎng)，能夠在TD-SCDMA與2G融合組網(wǎng)情況下，達(dá)到MSC POOL資源共享的目的，避免了分別建立容災(zāi)體系所帶來(lái)的繁重工程和維護(hù)工作量。

目前，軟交換端局的Server和MGW配置是一一對(duì)應(yīng)，沒(méi)有在設(shè)備容災(zāi)方面進(jìn)行部署，而正在進(jìn)行的現(xiàn)網(wǎng)BSC替換為華為BSC工作，將為后期的MSC POOL部署和TD-SCDMA與2G網(wǎng)絡(luò)全面融合做好準(zhǔn)備，為全網(wǎng)軟交換設(shè)備容災(zāi)打下堅(jiān)實(shí)基礎(chǔ)。現(xiàn)階段在設(shè)備和中繼資源充足的情況下，可以采用備用中繼路由和SDH等設(shè)備結(jié)合的方式完成BSC掛接的容災(zāi)工作。

3.業(yè)務(wù)數(shù)據(jù)層面安全

核心網(wǎng)規(guī)模龐大，全網(wǎng)產(chǎn)生的業(yè)務(wù)數(shù)據(jù)數(shù)量巨大，包括系統(tǒng)、話單文件等數(shù)據(jù)接近3TB。這些重要數(shù)據(jù)存儲(chǔ)在BAM、應(yīng)急工作站、IGWB上，對(duì)系統(tǒng)壓力非常大，并且沒(méi)有安全備份措施，一旦發(fā)生丟失或錯(cuò)誤，將對(duì)公司或客戶造成無(wú)法彌補(bǔ)的損失，做好業(yè)務(wù)數(shù)據(jù)備份對(duì)網(wǎng)絡(luò)安全有著重要意義。

3.1系統(tǒng)數(shù)據(jù)安全

核心網(wǎng)針對(duì)軟交換端局沒(méi)有外置存儲(chǔ)媒介的情況，結(jié)合設(shè)備分布和維護(hù)規(guī)程的本地異地雙備份要求，建立了一套交換端局的數(shù)據(jù)容災(zāi)備份系統(tǒng)。

該系統(tǒng)根據(jù)核心網(wǎng)軟交換端局集中分布情況，分別在局址各安裝了一套備份服務(wù)器。備份服務(wù)器采用FTP服務(wù)，通過(guò)本地LAN與所在局址下軟交換端局的應(yīng)急工作站相連，每周定時(shí)獲取系統(tǒng)備份。這樣避免了備份服務(wù)器與BAM直接連接而可能造成的安全風(fēng)險(xiǎn)，確保BAM的正常運(yùn)行。在備份服務(wù)器完成本局址的備份后，兩臺(tái)服務(wù)器通過(guò)局址間的LAN進(jìn)行數(shù)據(jù)同步（保存兩套全量的系統(tǒng)數(shù)據(jù)備份），這樣可以避免交換機(jī)和備份服務(wù)器之間的多次數(shù)據(jù)交互，減少占用局址間LAN時(shí)間和資源，提高系統(tǒng)使用效率，保證備份系統(tǒng)對(duì)端局保持零風(fēng)險(xiǎn)運(yùn)行。

采用該備份系統(tǒng)后，不僅可以滿足維護(hù)規(guī)程的要求，還將原來(lái)人工操作部分轉(zhuǎn)為自動(dòng)運(yùn)行，解放了人力，提高了效率，滿足系統(tǒng)數(shù)據(jù)備份的安全性和準(zhǔn)確性要求。

3.2計(jì)費(fèi)數(shù)據(jù)安全

核心網(wǎng)仍在繼續(xù)使用話單備份服務(wù)器，該服務(wù)器支持華為軟交換端局話單備份，成為BOSS計(jì)費(fèi)數(shù)據(jù)備份之外的一個(gè)安全有效補(bǔ)充。

4.周邊配套層面安全

4.1電源供電安全

交換核心網(wǎng)主設(shè)備保持著原有的雙電源、備用電池、油機(jī)發(fā)電等多種安全供電措施，但對(duì)于IP軟交換核心網(wǎng)的CE設(shè)備節(jié)點(diǎn)設(shè)置方式，僅使用以上安全措施是不夠的。由于CE設(shè)備都是成對(duì)配置，部分成對(duì)CE放置在同一地點(diǎn)，由同一套電源設(shè)備供電，這樣產(chǎn)生了單點(diǎn)供電隱患。針對(duì)這種情況，核心網(wǎng)進(jìn)行了專項(xiàng)整改，完成了所有CE設(shè)備的供電雙路由改造，使每對(duì)CE設(shè)備均有2套不同電源設(shè)備供電。

4.2傳輸路由安全

IP軟交換核心網(wǎng)對(duì)信令網(wǎng)TDM局間中繼部分進(jìn)行傳輸雙路由改造。改造完成后，即便單方向傳輸發(fā)生主干全阻情況，也不會(huì)導(dǎo)致信令網(wǎng)業(yè)務(wù)全阻。

4.3 IT設(shè)備安全

IP軟交換核心網(wǎng)完成改造后引入了大量的IT設(shè)備，如二/三層交換機(jī)、服務(wù)器等，這加重了核心網(wǎng)安全運(yùn)行的難度。硬件的容災(zāi)備份、軟件層面的防護(hù)、防火墻的配置和冗余、防范網(wǎng)絡(luò)風(fēng)暴和病毒的攻擊、觀測(cè)網(wǎng)絡(luò)流量和負(fù)載等方面都需要加強(qiáng)部署。同時(shí)關(guān)于IT設(shè)備的路由優(yōu)化、全量數(shù)據(jù)備份等工作項(xiàng)目也需要不斷完善。

5.結(jié)束語(yǔ)

核心網(wǎng)通過(guò)全方位容災(zāi)備份，將安全風(fēng)險(xiǎn)降到最低，隨著IP軟交換核心網(wǎng)改造工作的不斷推進(jìn)，MSC POOL、MSC多歸屬、全信令網(wǎng)IP化、A接口IP化、IMS等技術(shù)成熟應(yīng)用到現(xiàn)網(wǎng)，IT信息化將不斷滲透并徹底改變傳統(tǒng)交換網(wǎng)絡(luò)，這將為網(wǎng)絡(luò)帶來(lái)新的活力。