IP承載網(wǎng)組網(wǎng)技術(shù)及安全研究

石曉霞，羅群飛

（1.中通服咨詢設(shè)計研究院有限公司，江蘇 如皋 226500；2.南京電子設(shè)備研究所，江蘇 如皋 226500）

0 引 言

隨著通信技術(shù)的不斷發(fā)展和進(jìn)步，網(wǎng)際互連協(xié)議（Internet Protocol，IP）承載網(wǎng)技術(shù)受到了更多的關(guān)注。為發(fā)揮IP承載網(wǎng)技術(shù)優(yōu)勢和作用，要結(jié)合業(yè)務(wù)應(yīng)用要求以及內(nèi)容落實更加科學(xué)合理的技術(shù)管理方案，以便提高IP承載網(wǎng)技術(shù)運行安全性和可靠性，從而為業(yè)務(wù)多元管理提供保障。

1 IP承載網(wǎng)組網(wǎng)技術(shù)內(nèi)容

基于軟交換R4架構(gòu)技術(shù)的全面推廣應(yīng)用，借助IP網(wǎng)絡(luò)完成CS承載組網(wǎng)處理工作成為了多數(shù)運營商的優(yōu)選。該技術(shù)結(jié)合管理支撐系統(tǒng)（Management Support System，MSS）和媒體網(wǎng)關(guān)（Media GateWay，MGW）共址場景完成組網(wǎng)以及工程實施處理，有效建構(gòu)專網(wǎng)IP承載網(wǎng)，以便于能完成組網(wǎng)應(yīng)用控制工作。

1.1 總體層級布局

結(jié)合IP承載網(wǎng)的應(yīng)用要求，建立單一自治域方式組網(wǎng)體系，主要分為3層結(jié)構(gòu)，如圖1所示。

圖1 總體層級結(jié)構(gòu)

總體層級結(jié)構(gòu)如下：一是核心層，由核心節(jié)點組成，主要是處理匯聚節(jié)點流量信息，有效疏導(dǎo)相關(guān)聯(lián)匯聚節(jié)點的業(yè)務(wù)內(nèi)容，保證業(yè)務(wù)控制質(zhì)量和業(yè)務(wù)量水平均滿足預(yù)期；二是匯聚層，主要由匯聚節(jié)點組成，完成接入層流量的匯聚處理；三是接入層，由接入節(jié)點組成，設(shè)置不同區(qū)域的節(jié)點，要依據(jù)具體業(yè)務(wù)開展相關(guān)控制工作，更好地實現(xiàn)業(yè)務(wù)系統(tǒng)的接入管理[1]。

該層級按照路由協(xié)議完成部署工作，確保邊界網(wǎng)關(guān)協(xié)議（Border Gateway Protocol，BGP）部署、多協(xié)議標(biāo)記轉(zhuǎn)換部署等工作均按照標(biāo)準(zhǔn)化要求有序開展，從而維持IP承載網(wǎng)組網(wǎng)應(yīng)用的平衡。

1.2 具體技術(shù)內(nèi)容

1.2.1 局域網(wǎng)典型拓?fù)?/p>

主要是結(jié)合媒體網(wǎng)關(guān)的媒體流和IP承載網(wǎng)應(yīng)用運營商邊緣（Provider Edge，PE）路由器建立相應(yīng)的連接模式，根據(jù)實際應(yīng)用環(huán)境開展相關(guān)工作，從而更好地完成信令流、網(wǎng)管流量處理等工作。配合分流量設(shè)備匯聚處理環(huán)節(jié)，上聯(lián)IP承載網(wǎng)PE路由器，建構(gòu)更加完整的信息運行管理體系。

此外，結(jié)合設(shè)計的IP接入方案有效實現(xiàn)組網(wǎng)拓?fù)淝芭_業(yè)務(wù)和后臺網(wǎng)管協(xié)同控制的目標(biāo)，保證接口能借助局域網(wǎng)交換機整理IP承載網(wǎng)PE信息，最大程度上建立完整的技術(shù)運行管理模式[2]。

1.2.2 多鏈路體系

結(jié)合實際應(yīng)用環(huán)境和運行要求，建立基于每局址配置應(yīng)用模式，匯聚信令面和網(wǎng)管接口流量體系，建立基于多條GE鏈路應(yīng)用體系，如配置Lan Switch（T64G）2層應(yīng)用模式，配置鏈路匯聚控制協(xié)議（Link Aggregation Control Protocol，LACP），如圖2所示。同時，將多條物理鏈路捆綁為1條邏輯鏈路，從而更好地提升其可靠性和安全性。

圖2 靜態(tài)LACP模式組網(wǎng)

承載網(wǎng)在應(yīng)用體系建立的基礎(chǔ)上，結(jié)合PE路由器完成相關(guān)控制工作。主鏈路與軟交換設(shè)備設(shè)置在同一個機房內(nèi)，備份鏈路則借助短距離GE光口完成機房聯(lián)承載網(wǎng)PE路由器的控制，并借助遠(yuǎn)距離光纖實現(xiàn)可控化傳輸遠(yuǎn)端控制，更好地維持綜合應(yīng)用水平[3]。

1.2.3 IP地址分配

結(jié)合局址業(yè)務(wù)主要應(yīng)用要求進(jìn)行IP地址的分配，依據(jù)實際應(yīng)用控制標(biāo)準(zhǔn)更好地維持綜合應(yīng)用管理效果。因為MSC Server應(yīng)用模式中MGW借助IP專網(wǎng)完成互通處理，基本實現(xiàn)了封閉網(wǎng)絡(luò)結(jié)構(gòu)，所以依據(jù)運營商承載網(wǎng)IP運行的控制標(biāo)準(zhǔn)進(jìn)行電路域的升級作業(yè)，結(jié)合站點數(shù)量決定IP地址規(guī)劃方案，更好地維持子網(wǎng)規(guī)劃內(nèi)容的合理性和可控性[4]。

依據(jù)業(yè)務(wù)層面以及承載面的應(yīng)用標(biāo)準(zhǔn)，按照均衡配置的原則完成業(yè)務(wù)面處理，保證IP地址分配的合理性和設(shè)備互通地址控制的規(guī)范性，更好地提高媒體業(yè)務(wù)面地址應(yīng)用效果。

匯接交換網(wǎng)管控系統(tǒng)要將網(wǎng)管操作維護(hù)中心（Operation and Maintenance Center，OMC）和設(shè)備本地操作維護(hù)模塊（Operation Maintenance Module，OMM）作為基礎(chǔ)，保證設(shè)備建設(shè)匯接網(wǎng)一級匯接設(shè)備拓?fù)涮幚淼暮侠硇?，并完成?shù)據(jù)的統(tǒng)一核查，搭建較為完整的全網(wǎng)監(jiān)控體系、拓?fù)涮幚眢w系以及話務(wù)管理體系，保證資源調(diào)配工作順利開展，為IP承載網(wǎng)組網(wǎng)應(yīng)用控制效果最優(yōu)化提供保障[5]。

2 IP承載網(wǎng)組網(wǎng)安全控制內(nèi)容

完成IP承載網(wǎng)組網(wǎng)技術(shù)處理工作的基礎(chǔ)上，要結(jié)合其實際應(yīng)用環(huán)境和運行要求，踐行安全可控化管理方案，有效維持電信服務(wù)數(shù)據(jù)管理網(wǎng)絡(luò)的可靠性和規(guī)范性，更好地滿足業(yè)務(wù)安全應(yīng)用需求，實現(xiàn)綜合管控的目標(biāo)。

2.1 網(wǎng)絡(luò)可靠性設(shè)計環(huán)節(jié)

為進(jìn)一步提升IP承載網(wǎng)組網(wǎng)運行的安全性和規(guī)范性，提高設(shè)備保護(hù)、鏈路保護(hù)以及網(wǎng)絡(luò)保護(hù)內(nèi)容的規(guī)范性，要從網(wǎng)絡(luò)保障機制入手，一定程度上整合具體的控制流程，維持保護(hù)效果[6]。

2.1.1 設(shè)備級保護(hù)

借助設(shè)備關(guān)鍵部位完成冗余信息處理，維持良好的設(shè)備運行效能，創(chuàng)設(shè)安全且規(guī)范的設(shè)備運行空間，結(jié)合相關(guān)應(yīng)用模塊和處理體系落實規(guī)范工作，并維持設(shè)備可靠性管理水準(zhǔn)。制定不間斷路由轉(zhuǎn)發(fā)和優(yōu)雅重啟動等設(shè)備保護(hù)級技術(shù)方案，打造更加可控化的業(yè)務(wù)故障處理模式，減少故障問題造成的影響，從而大大提升IP承載網(wǎng)組網(wǎng)的運行安全性。此外，要對業(yè)務(wù)層多鏈路接入內(nèi)容予以跟蹤，有效降低鏈路故障產(chǎn)生的負(fù)面影響[7]。

2.1.2 鏈路級保護(hù)

在匯聚節(jié)點后完成鏈路結(jié)構(gòu)的備份處理，配合接入層匯聚上聯(lián)核心節(jié)點的同時，完成鏈路處理。在傳輸控制環(huán)節(jié)，在相同方向上完成上行線路雙路由保護(hù)工作。

2.1.3 網(wǎng)絡(luò)級保護(hù)

基于網(wǎng)絡(luò)拓?fù)淙哂鄠浞菪畔⑦M(jìn)行雙歸雙路由處理，配合快速路由器切換網(wǎng)絡(luò)側(cè)保護(hù)處理環(huán)節(jié)，有效提升鏈路故障快速檢測分析的水平，維持綜合應(yīng)用效果最優(yōu)化。同時，在網(wǎng)絡(luò)級保護(hù)環(huán)節(jié)，要利用快速收斂等技術(shù)方案提升網(wǎng)絡(luò)業(yè)務(wù)安全水平，打造更加貼合IP承載網(wǎng)組網(wǎng)技術(shù)運行管理標(biāo)準(zhǔn)的流程，共建網(wǎng)絡(luò)業(yè)務(wù)檢測分析環(huán)節(jié)和快速收斂技術(shù)的平衡，進(jìn)一步提高業(yè)務(wù)安全性[8]。

2.2 路由協(xié)議可靠性設(shè)計環(huán)節(jié)

在IP承載網(wǎng)組網(wǎng)技術(shù)體系中，支持軟交換等業(yè)務(wù)功能，配合虛擬路由冗余協(xié)議（Virtual Router Redundancy Protocol，VRRP）冗余鏈路備份機制，就能更好地提高檢測處理效果，應(yīng)用信令接口故障檢測模式，保證承載網(wǎng)絡(luò)的可靠性和規(guī)范性。

2.3 網(wǎng)絡(luò)安全性管理

主要是依據(jù)IP承載網(wǎng)組網(wǎng)的運行要求，建立更加可控的系統(tǒng)安全運載控制模式，配合對應(yīng)的處理措施，打造更加完整且規(guī)范的管理平臺。

首先，進(jìn)行網(wǎng)管建設(shè)工作。目前較為常見的管理網(wǎng)絡(luò)應(yīng)用模式是“帶內(nèi)+帶外”的網(wǎng)管處理機制，設(shè)備網(wǎng)管口配置私網(wǎng)地址，并在IP承載網(wǎng)組網(wǎng)上進(jìn)行省級網(wǎng)絡(luò)架構(gòu)和地市級網(wǎng)絡(luò)架構(gòu)的并行處理。前者利用IPNet數(shù)據(jù)網(wǎng)管控系統(tǒng)予以運維管理，后者借助省級網(wǎng)管終端予以控制[9]。

其次，賬號分級管理。結(jié)合設(shè)備性能和具體應(yīng)用要求，有效落實設(shè)備賬號分級控制工作，無論是增設(shè)還是刪除都需要管理權(quán)限才能開展。對應(yīng)管理權(quán)限的持有者包括管理員、普通用戶、操作員以及臨時用戶，按照對應(yīng)權(quán)限分配有序完成功能的處理，提高賬戶統(tǒng)籌控制的水平，并更好地維護(hù)審計機制和審計策略應(yīng)用效能。

最后，終端接入安全環(huán)節(jié)的維護(hù)處理。在終端設(shè)備應(yīng)用過程中，借助安全區(qū)域終端區(qū)間就能開展針對性的管理認(rèn)證，配合網(wǎng)絡(luò)終端接口處理等環(huán)節(jié)，實現(xiàn)數(shù)據(jù)對比認(rèn)證分析，從而更好地完成資源和訪問信息的匯總工作，更好地提升系統(tǒng)設(shè)備資源應(yīng)用效率。

此外，要對業(yè)務(wù)層、物理層、協(xié)議層以及鏈路層等進(jìn)行協(xié)議狀態(tài)的實時性評估，強化監(jiān)控管理水平的同時發(fā)揮策略應(yīng)用的優(yōu)勢作用，保證IP承載網(wǎng)組網(wǎng)網(wǎng)絡(luò)安全體系效能最優(yōu)化[10]。

3 結(jié) 論

在業(yè)務(wù)需求和通信技術(shù)全面發(fā)展的時代背景下，要優(yōu)化IP承載網(wǎng)組網(wǎng)技術(shù)體系和內(nèi)容，結(jié)合具體應(yīng)用環(huán)境建立相應(yīng)的控制模式，確保多業(yè)務(wù)控制工作順利展開。該技術(shù)能滿足電信業(yè)務(wù)級別網(wǎng)絡(luò)應(yīng)用管理的需求，為組網(wǎng)可持續(xù)健康發(fā)展奠定堅實基礎(chǔ)。