張秀萍 2008/07/21
近幾年,軟交換技術得到了業(yè)界的廣泛重視,國際四大標準組織ITU-T、ETSl、3GPP和IETF都在不同的范疇對軟交換技術進行了研究和標準的制定。中國標準化組織也做了不少工作,總體來看,標準化工作處于世界的前列。國內幾大運營商也加入到軟交換網絡建設中,從引入角度看,無非有兩種方式,一種從長途引入,優(yōu)化和分流現有VOIP業(yè)務,如中國移動和中國衛(wèi)通。一種從本地引入,快速提供各類新業(yè)務,搶占市場,主要表現在傳統(tǒng)固定運營商,軟交換恰好提供了這種技術手段。在全程全網上部署軟交換近期是不成熟的,也是不可行的。因為這已經不單純是技術問題,它還涉及到現行的運營體制、管理體制等方面。本文主要對軟交換的組網情況進行探討,著重分析軟交換的網絡組織、IP承載網組織、安全性設計等方面內容,并結合陜西鐵通軟交換的網絡結構進行闡述。
1軟交換的網絡組織
軟交換組網包括兩個方面:軟交換問路由設計和話路網設計。路由設計主要是指軟交換之間信令組織,一般采用SIP—I協(xié)議;話路網設計主要是指各種媒體網關的話路互通。
(1)軟交換間路由設計
定義一個軟交換機所轄的區(qū)域叫一個控制域。在路由設計中,要進行控制域的劃分,多個軟交換不論采取何種控制域劃分方式,都涉及到對網關設備的尋址,即路由組織問題。路由組織方式可以分為3種:全平面方式、分級方式和定位服務器方式。全平面方式用于軟交換初期規(guī)模較小時。分級方式沿襲了PSTN成熟的多級路由體系,使每個軟交換機的路由數據相對簡單,并使軟交換組網的結構比較清晰。定位服務器方式改變了上兩種信令組織逐跳轉發(fā)的方式,直接利用IP的可達性,直接定位到對端的軟交換機,信令轉接簡單明了。
由于目前現行軟交換廠家設備間互通性較差。上述三種路由組織方式在近期都是不可行的,尤其是定位服務器方式本身還處于發(fā)展之中。在實際組網時,盡量不要全程全網引入軟交換,可從本地引入或從長途引入,具體根據運營商引入軟交換的初衷來決定。信令組網還是考慮軟交換和傳統(tǒng)TDM混合組網的方式,等到各廠家互聯互通的問題解決后可以逐步引入軟交換分級或者全平面的路由組織方式。西安鐵通的信令路由是這樣設計的:因陜西鐵;通未建設LSTP,信令由端局接至SG,通過SIG-TRAN協(xié)議訪問SS,SS查詢大區(qū)SHLR:如果為普通呼叫,SS通過H.248協(xié)議控制TG接續(xù)話路,信令由本地SG至各端局;如果為智能業(yè)務呼叫,SS通過SIP協(xié)議訪問軟交換業(yè)務平臺(華為智能網SCP)觸發(fā)智能業(yè)務。
(2)話路網絡設計
由于采用IP快速轉發(fā)的技術,軟交換話路組織呈平面化、無話路匯接,在話路網絡設計時主要應考慮QoS和安全性。目前在IP承載網主要是采用NPLS VPN的技術來實現。由于TG(中繼網關)、AG(接入網關)、IAD(integrated access device,綜合接入設備)和智能終端要實現話路互通,必須采用全網狀連接的方式。MPLS邏輯鏈路LSP(標記交換路徑)全網狀的連接給承載網帶來了很大挑戰(zhàn),業(yè)界雖然可以采用VPN路由反射器技術來解決,但大規(guī)模MPLS VPN在IP承載網實施,以及跨自治系統(tǒng)(autonomous system,AS)的MPLS VPN的實現在實際中還缺乏支撐的案例。在近期,建議話路組織還是采用與TDM混合組網方式,把軟交換域限制在本地或者長途。在本地引入時,由于在駐地網會大規(guī)模部署lAD和智能終端,要求駐地網支持MPLS VPN的功能是不現實的,建議在城域網POP點或者匯接點部署業(yè)務接入控制設備(service access con.trol,SAC),快速收斂lAD和智能終端的話務,對實時業(yè)務流進行過濾轉發(fā)。針對以上分析介紹,陜西鐵通采用如下設計:對于本地呼叫,西安本地網之間呼叫通過TG轉接,西安本網用戶呼叫外網以及外網來話通過原關口局至TG進行轉接;對于長途呼叫:西安本網呼叫異地長途通過TG轉接至DCI長途局接續(xù);異地來話由DCl局轉接至TG設備,再轉至各端局。
2 IP承載網的組織
(1)IP承載網的技術要求
軟交換的承載網可以分為3個層面:全國骨干網、城域網和駐地網。軟交換對IP承載網的要求是輕載、安全和有QoS保證。由于軟交換網承載的實時會話型業(yè)務有別于傳統(tǒng)的Internet業(yè)務,建議最好能單獨建設1張全國IP骨干專網,要支持MPLS VPN的功能。城域網比較復雜,根據目前運營商的思路,城域網是合一的,這就需要城域網具備業(yè)務分流的能力。城域網技術主要可以分為4種:
①大型城域IP網
要求城域核心、匯聚層支持P/PE功能,可直接構建MPLS VPN;城域內AG、SAC設備直接接入PE路由器,也可以通過傳輸網絡或二層VLAN鏈路接入PE設備;ss(軟交換機)、SG(信令網關)和TG設備通過跨AS域實現MPLS VPN互通。
②小型城域IP網
原則上要求城域內設備支持MPLS VPN。對于不能支持的,至少邊緣層能支持分布式PE的功能。
③純二層以太城域網
AG、SAC接入的二層交換機設備必須支持VLAN的隔離,對于不同的用戶、業(yè)務流,通過劃分不同的VLAN來隔離;城域網與骨干網PE設備之間通過VLAN trunk方式互通,完成不同VLAN到不同VPN的VRF(VPN路由轉發(fā)表)之間的關聯,實現到不同VPN的接入。
④MSTP城域網
AG、SAC直接通過MSTP接入骨干網的PE設備,在PE設備上通過不同的MSTP接入端口關聯到不同VPN VRF上,實現VPN的接入。
對于采用IAD接入的駐地網用戶,要求其IAD設備能夠支持軟交換業(yè)務流量與普通Intemet上網業(yè)務流量的不同標記;城域內的SAC設備要求能夠識別其所控區(qū)域IAD設備的標記,進行業(yè)務的分流,將軟交換業(yè)務流與Internet業(yè)務流導入不同的網絡。
對于單純的軟交換業(yè)務,陜西鐵通公司新建兩臺獨立的CE路由器,該設備主要完成軟交換語音、信令和網管數據的傳送。這兩臺設備作為陜西的核心路由器一方面通過千兆接口與防火墻設備及UMG設備交叉相連,實現西安NGN核心網絡的接入的安全性;另一方面未來還可通過千兆端口互聯實現各地市中心節(jié)點內部的NGN業(yè)務互通,如西安本地與未來寶雞本地,渭南本地等的NGN互通。
(3)IP承載網的拓撲結構設計
為適應軟交換業(yè)務承載,IP網的拓撲設計要求更傾向于可靠性。從承載NGN業(yè)務的特點出發(fā),承載網提供兩方面需求,一要保證與其他業(yè)務相互隔離,二要保證NGN核心網絡免受攻擊或病毒影響。
為了實現要求一,陜西鐵通承載網設計采用MPLS VPN技術,即對不同的業(yè)務提供不同的VPN,將不同業(yè)務隔離,保證其安全性和可靠性。
對于要求二,由于陜西鐵通承載網采用專網模式,因此從理論上講割斷了從互聯網上傳播病毒或發(fā)生攻擊行為的途徑。所以我們主要考慮用戶承載部分對NGN核心部分的安全影響,即在核心承載部分通過添加安全設備實現對NGN核心設備的保護。
為了保證出入NGN核心網絡業(yè)務的安全性.我們在核心網絡與承載網接口之間添加防火墻設備。該設備應該工作在透明模式,同時具備以下功能:
a)支持多種ALG,保證NGN業(yè)務使用的H.323、SIP、MGCP等協(xié)議的通訊。能夠和視訊終端以及VOIP設備靈活組網。
b)支持狀態(tài)檢測,防范多種DoS攻擊,防范掃描窺探,具備智能的蠕蟲病毒防范等功能。
c)在保證以上功能使用的情況下,性能滿足今后流量的要求。
為了滿足以上要求,陜西鐵通在核心網與承載網端口之間使用華為公司的Eudemon防火墻。
由于防火墻是基于網絡連接實現對核心網的防護,它對于摻雜在允許應用數據流中的惡意代碼和從核心網內某些設備發(fā)起的攻擊或者惡意的行為無法檢測,因此陜西鐵通在核心網絡內部使用入侵檢測(IDS)設備完成對核心設備的保護和監(jiān)護。
入侵檢測系統(tǒng)通過對計算機網絡或計算機系統(tǒng)中的若干關鍵點信息進行分析,可以從中發(fā)現網絡或系統(tǒng)中違反安全策略的行為和被攻擊的跡象,實時作出響應。
陜西鐵通在核心機房放置一臺華為公司的NIP入侵檢測設備,該設備通過端口鏡像檢測各個設備之間的互通報文,當發(fā)現違反安全策略行為或有攻擊行為的跡象即向控制臺發(fā)出告警信息并按管理員預先設置的處理方式進行相應處理。
目前NGN已經成為固網發(fā)展的必然方向,各大運營商都在進行NGN的建設或商用,每個運營商針對自身特點選擇的NGN建設切入點都不盡相同,陜西鐵通正是立足于本網的組網特點,在NGN組網時采用以上的軟交換網絡結構設計方案。目前,軟交換部分已在陜西鐵通整個組網中起者舉足輕重的作用,也正在發(fā)揮著它的實力。
泰爾網