IP接入论文(共6篇)
IP接入论文 篇1
随着无线技术的发展,空口的传送速率在飞速增长,下行速率从R99的384kbit/s发展到LTE的100Mbit/s,基于2Mbit/s的传输带宽已无法满足未来无线数据业务的大带宽需求。因此,无论是2G还是3G网络,都在朝着更符合未来无线业务需求的全IP架构方向演进,而LTE网络从标准设计的初期就采用了全IP的架构。
2G/3G/LTE IP化无线接入网的新特性
IP化后的2G/3G/LTE无线接入网络体现出了许多新的特点。
1.承载高带宽的业务流量
采用传统的TDM和ATM技术难以高效率地处理如此大颗粒的数据业务,其面向连接的特性也无法通过统计复用适应数据业务的突发特性。另外,通过SDH网络承载数据业务的成本也将随着带宽的增加呈指数增长。
2.流置扁平化趋势逐步显现
传统的2G、3G基站系统中,所有用户的业务流量都需送到基站控制器进行统一处理。而LTE网络中X2逻辑接口的引入,使得基站之间存在直接的逻辑接口,当用户在eNB之间进行切换时,切换消息及用户数据可以在eNB之间直接进行交换,降低转发时延,提高网络性能,流量转发趋于扁平化。
3.灵活的负载分担,冗余备份机制
IP网络面向无连接、动态的路由机制,使得组网级保护机制实现更加简单、灵活。传统的2G、3G网络中,每个基站归属于一个基站控制器,当基站控制器发生故障时,其相关的基站都会受到影响。因此,引入灵活的Flex机制,可以有效地实现负载分担和冗余备份。而LTE系统在设计时也充分考虑了类似的需求。
4.多业务IP承载及所需的QoS保障
网络中的语音、视频、数据等多种业务将呈现出多元化的趋势,由于各种业务对于承载的需求各不同,例如语音业务对时延敏感、视频对丢包敏感等等,因此将各种业务同时承载在IP网络时,应能根据需求将各种业务进行隔离、区分,并针对各种业务的特性分别进行相应的QoS保障。
5.简化维护管理难度
2G/3G无线接入网IP化后,可以将需要维护的网络类型归一化,减少维护人员的技能要求,简化了维护管理难度。
6.节省传输资源成本
在IP方式下,能够采用压缩率比较高的编解码类型、VAD、IP头压缩、IP头复用等技术,大幅降低每呼叫的带宽占用,同时大幅提高传输效率和传输资源利用率。IP传输建设或租赁成本比同等带宽的采用TDM传输网络的成本要低很多。
2G/3G/LTE无线接入网IP化的进程
1.2G BSS IP化
2G接口全部采用TDM接口,其IP化主要体现在Abis接口、A接口和Gb接口的IP化(如图1所示)。Abis接口涉及基站和基站控制器的改造,对于现网的改造工作量较大,而目前还以语音业务为主的GSM系统对带宽的需求还不是那么强烈,因此,在IP化的进程中笔者建议按需引入,在业务量大的地方或热点地区先行引入。
对于A接口的IP化进程,优先对新建的BSC进行改造,新的BSC就做TC移除,实现A口IP化。对已有的BSC要考虑改造代价,TC可以不移除,可以实现这种PCM over IP的改进方式,即编解码方式不变,只把接口IP化。
由于Gb接口IP化的标准已成熟,并且厂家支持情况较好。考虑到PS域业务对带宽的迫切需求,在进行充分的技术可行性论证后,可以考虑大规模引入。
2.3G RAN IP化
目前,3G网络全部采用ATM承载,包括Iub、Iu-CS和Iu-PS接口,采用点到点的方式处理ATM信元,物理端口以IMA El为主。这种方式对于大颗粒的数据业务不具备优势,一方面需要的物理端口数量较多,另一方面传输效率较低,无法实现统计复用。因此,对于以数据业务为主的3G网络,IP化的要求更加迫切,在3G网络的发展建设过程中起着重要的作用
与2G的Abis接口、A接口、Gb接口对应的是3G中的Iub接口、Iu-CS接口和Iu-PS接口。在这三类接口中,Iu-PS是基站控制器和PS域核心网元的接口,对带宽的需求最大,也是IP化首先需要考虑的接口,厂家的支持情况较好;Iub接口的标准化也已经完成,由于3G的基站业务量远远大于2G,因此Iub接口IP化的需求也大于Abis接口的需求;而Iu-CS接口是基站控制器和CS域核心网元的接口,设计核心网的改造,改造量相对较大,目前正在大力推进。
3. LTE全IP架构
LTE系统采用全IP承载,具有成本低、实现简单、操作维护方便等优点。eNodeB设备的用户面和控制面采用全IP承载,控制信令包和用户数据包均封装在IP分组内传送。相比于传统的2G、3G系统,所有用户的业务流量必须送到基站控制器进行统一处理,LTE系统中X2逻辑接口的引入,使得移动用户在进行切换时,切换消息及用户数据可以在eNB之间直接进行交换,减少转发时延,流量趋于扁平化。而S1-Flex (MME池)的引入使得eNB可以同时归属到多个MME,满足无线网络负载分担、冗余备份的需求,大大提高网络的利用率和可靠性。
全IP的LTE系统特点对承载网络提出了全新的需求。
(1)基于动态通信模式的可自动选择最佳路径的承载要求,满足LTE系统X2接口和MME池的多连接需求。
(2)即插即用统计复用,可超配的承载要求,满足LTE系统大带宽、统计复用的需求。
(3)对不同业务进行区分,并实现灵活的QoS保证的承载要求,满足LTE系统多业务、差分服务的需求。
摘要:无线接入网络的全IP化已经成为网络发展演进中的主要方向和技术演进趋势,无线网络IP化的道路已经非常清晰,但是面对庞大而且不断发展的2G网络,如何实现IP转型成为关键问题。
IP接入论文 篇2
关键词城域网客户网络BGP
1客户需求
目前,大部分电信城域网通过汇聚路由器运行IBGP协议来承载用户路由,而部分客户网络则需要通过双上行接入电信城域网,并要求双上行的链路在路由上实现冗余且能够自动切换。从安全角度考虑,城域网汇聚路由器一般不与客户网络运行IGP协议,但如果汇聚路由器与客户网络运行静态路由,再将静态路由引入到城域网的BGP协议,此方式在链路接入正常Down|UP的时候没有问题,但是当链路出现“单通”且静态路由不会消失的情况下,就会导致业务的中断。虽然配置静态路由可以考虑使用BFD协议来监测“单通”的问题,但是需要客户网络的设备支持BFD协议,否则无法实现。
2建议方案
为了实现客户网络双上行冗余链路的路由自动切换,可以考虑在客户网络和某城域网之间运行BGP协议。但是根据电信城域网相关规范,城域网汇聚路由器在收到客户网络发布的EBGP路由后,核心路由器在向163、CN2等EBGP发送路由时,需将这部分路由过滤掉。
下面是根据上述问题和需求给出的一个参考建议方案。
(1)建议方案一 (设客户网络AS号为64959)
如图,客户网络的AS设置为64959与某电信汇聚路由器运行EBGP协议,某电信路由器下发缺省路由到客户网络,同时通过前缀列表严格控制从客户网络接收的用户路由,并增加Community属性65***:9999和no-export。客户网络发送自身网段地址到某城域网汇聚路由器,同时从某城域网汇聚路由器接收缺省路由。
配置脚本:
某电信路由器汇聚路由器:
ip prefix-list CustomerRoute seq 5 permit xx.xx.yy.0/28
ip prefix-list CustomerRoute seq 10 permit xx.xx.zz.0/28
!
route-map FromCustomer permit 10
match ip address prefix-list CustomerRoute
set community 65***:9999 no-export //对客户接收到的路由设置Community属性65***:9999和no-export
router bgp 65***
bgp router-id xx.xx.xx.xx //汇聚路由器 Loopback
bgp log-neighbor-changes
neighbor xx.xx.xx.xx remote-as 64959 //与客户互联的接口地址
neighbor xx.xx.xx.xx activate
neighbor xx.xx.xx.xx default-originate //向客户网络下发默认路由
neighbor xx.xx.xx.xx route-map FromCustomer in //设置策略只接收客户网络特定路由
no auto-summary
no synchronization
exit-address-family
!
客户端设备:
ip route xx.xx.yy.0 255.255.255.240 yy.yy.yy.1 //通过静态、动态、Null0发布
ip route xx.xx.zz.0 255.255.255.240 yy.yy.yy.1
router bgp 654959
bgp router-id xx.xx.xx.xx //客户网络Loopback
bgp log-neighbor-changes
neighbor xx.xx.xx.xx remote-as 65*** //与客户互联的接口地址
address-family ipv4
neighbor xx.xx.xx.xx activate
network xx.xx.yy.0 mask 255.255.255.240 //发布客户网段到某城域网路由器
network xx.xx.zz.0 mask 255.255.255.240
no auto-summary
no synchronization
exit-address-family
(2)建议方案二
通过方案一的实施,客户网络路由不发送到其他AS,但是在城域网内部还是可以看到64959这个AS号,而且将来若城域网分配这个AS号给其他业务使用的时候也会造成在本地城域网上该AS64959的混淆。因此我们也可以考虑和客户之间通过接口建立IBGP关系。
如上图,如果客户网络和某城域网汇聚路由器之间使用IBGP建立邻居关系的话,客户网络的路由,将不能从汇聚路由器发布到城域网的核心路由器和其他设备,这将导致可客户网络不可达。因此为了打破这个限制,我们需要在城域网的汇聚路由器上增加设置,将城域网RR设置为汇聚路由器的route-reflector-client,也就是说RR和汇聚路由器互相指定为对方为自己路由发射器的客户端。某电信路由器下发缺省路由到客户网络,同时通过前缀列表严格控制从客户网络接收的用户路由,并增加Community属性65***:9999。客户网络发送自身网段地址到某城域网汇聚路由器,同时从某城域网汇聚路由器接收缺省路由。
配置脚本:
某电信路由器汇聚路由器:
ip prefix-list CustomerRoute seq 5 permit xx.xx.yy.0/28
ip prefix-list CustomerRoute seq 10 permit xx.xx.zz.0/28
!
route-map FromCustomer permit 10
match ip address prefix-list CustomerRoute
set community 65***:9999 //对客户接收到的路由设置Community属性65***:9999
router bgp 65***
bgp router-id xx.xx.xx.xx //汇聚路由器 Loopback
bgp log-neighbor-changes
neighbor xx.xx.xx.1 update-source Loopback0 //IPV4 RR1 IBGP
neighbor xx.xx.xx.1 remote-as 65***
neighbor xx.xx.xx.2 update-source Loopback0 //IPV4 RR1 IBGP
neighbor xx.xx.xx.2 remote-as 65***
neighbor xx.xx.xx.xx remote-as 65*** //客户网络IBGP,与客户互联的接口地址
address-family ipv4
neighbor xx.xx.xx.1 activate
neighbor xx.xx.xx.1 route-reflector-client //指定RR1为汇聚路由器的客户端
neighbor xx.xx.xx.2 activate
neighbor xx.xx.xx.2 route-reflector-client ////指定RR2为汇聚路由器的客户端
neighbor xx.xx.xx.xx activate
neighbor xx.xx.xx.xx default-originate //向客户网络下发默认路由
neighbor xx.xx.xx.xx route-map FromCustomer in //设置策略只接收客户网络特定路由
no auto-summary
no synchronization
exit-address-family
!
客户端网络设备:
ip route xx.xx.yy.0 255.255.255.240 yy.yy.yy.1 //通过静态、动态、Null0发布
ip route xx.xx.zz.0 255.255.255.240 yy.yy.yy.1
router bgp 65***
bgp router-id xx.xx.xx.xx //客户网络Loopback
bgp log-neighbor-changes
neighbor xx.xx.xx.xx remote-as 65*** //与客户互联的接口地址
address-family ipv4
neighbor xx.xx.xx.xx activate
network xx.xx.yy.0 mask 255.255.255.240 //发布客户网段到某城域网路由器
network xx.xx.zz.0 mask 255.255.255.240
no auto-summary
no synchronization
exit-address-family
!
3方案比较
通过两个方案的比较,我们可以发现两个方案在实施上都没什么问题,对于方案一需要使用新的AS以及后续可能存在路由问题。综合考虑建议某电信汇聚路由器和客户运行BGP协议的时候,采用方案二。
IP Metropolitan Area Network BGP Protocol Access Customer Network Implementation Scheme Analysis
Li Weixian
(China Telecom Yunnan branch,Kunming 650100,China)
AbstractWith the development of telecommunication operation, part of telecom customer network through double uplink access telecommunication network, and routing calls in realization of redundancy and can automatically switch. Therefore, how to reasonable deployment of router protocol is very important.
Key wordsmetropolitan area network,the customer network,BGP
IP接入论文 篇3
IP多播技术在解决单点发送多点问题的同时, 能够节省网络带宽, 降低网络负载, 所以应用广泛。IP多播有3类主要的信息收发关系:一点对多点、多点对一点和多点对多点。其中一点对多点模式下业务信息由一个发送者发给多个接收者, 是最常见的多播应用形式;典型的应用包括:媒体广播、信息缓存、事件通知和状态监视。多点对一点模式下, 信息从多个发送者向一个特定的接收者发送;典型应用包括:资源查找、数据收集等。多点对多点模式下存在多个发送者和多个接收者;典型应用有:网络会议、远程教育、讨论组等。由于无线接入系统带宽更加珍贵, 在此就如何在无线接入系统中支持IP多播进行分析, 并提出实现方法。
1 IP多播规则
1.1多播组
IP多播 (IP Multicast) 使用特定的IP多播地址, 按照尽最大努力投递的原则, 将IP 分组传送到一个多播组的所有主机。一个具体主机临时通过一个特定的协议过程, 可以加入一个多播组, 成为多播组的成员, 或退出多播组, 所以多播组的成员是随时变动的, 并且一台主机可以同时属于多个多播组。只有多播组成员才能接收多播信息, 多播信息通过多播路由器转发, 可以实现跨网段多播。
1.2多播分组在路由器中的处理
在传送多播分组包时, 路由器需要构造一个连接所有多播组成员的树。根据这个树, 路由器得出转发分组信息的一条唯一路径, 这个树就称为多播分布树。由于成员动态加入和退出多播组, 分布树也是动态更新的。
路由器使用逆向路径转发 (RPF) 对多播分组进行处理。当多播分组通过有源树时, 多播路由器对分组进行RPF检查, 检查内容为多播源地址, 目的是确定该多播分组所经过的接口是否在有源树的分支上;如果在, 则RPF检查成功, 多播分组被转发;如果RPF检查失败, 则丢弃该多播分组。
1.3以太网对多播的支持
IEEE分配了独立的以太网多播地址空间, 规定在48 bit的以太网MAC地址中, 第1字节的最低位为I/G ( Individual/Group) bit。当I/G bit为0时, 地址字段表示一个单播地址;当I/G bit为1时表示组地址, 用来进行多播。因此, 以太网多播组可以有247个。
2 无线接入系统的IP多播
由于以太网分配有独立的以太网多播地址空间, 自然就可以利用以太网多播地址空间完成IP多播, 另外, 依IEEE802.1Q构造的VLAN也能够把以太网地址分组, 所以也可以基于IEEE802.1Q实现IP多播。
2.1基于以太网多播的IP多播
仅就分组寻址考虑, 无线接入系统其实质是一个点对多点的以太网桥, 所以在此将其称为PMP无线网桥。IP多播在以太网环境下的主要工作是完成多播地址到以太网地址的映射, 以太网为支持多播规定有多播MAC地址, 每个终端可以获得多个以太网多播MAC地址。在单播情况下, 目MAC地址和IP地址一一对应, 而多播时目的以太网多播MAC地址应与IP多播地址一一对应。根据IANA (Internet Assigned NumberAuthority) 规定, 以太网多播MAC地址的高14位为0x01005e, 低23位复制IP多播地址的低23位;由于IP多播地址的后28位中只有23位被映射到以太网MAC地址, 尚有5位地址信息在以太网MAC地址中无法进行映射, 导致32个IP多播地址映射到同一个以太网多播MAC地址上, 造成多播下的带宽效率降低, 在无线环境下应当通过合理设计进行避免。
一般的PMP无线网桥通过对以太网MAC地址进行解析, 将端站地址与一组以太网地址进行绑定完成特定以太网分组到对应端站的发送;根据IP多播规则, 一个单基站PMP无线网桥中可能同时存在多个IP多播组, 所以为了支持IP多播, MPM无线网桥可以规定一类与之对应的多播地址, 称为无线链路层多播地址, 该类地址和IP多播地址及以太网多播地址的对应关系如图1所示。
站对收到的以太网多播分组不再简单地检查其目的地址是否在本基站系统内, 还将该分组交给IP层, 该对应关系通过表的方式存放在基站内。基检查其IP组播地址是否在本基站系统内, 如在, 则将原始以太网多播分组映射成本地PMP系统多播地址在无线段进行转发, 所有进入该多播的端站均接收该多播无线分组;如不在, 即使本地存在目的以太网多播地址, 也不进行转发, 因为这各以太网多播地址所映射的真实IP多播地址不在本基站系统内, 从而收到地址过滤效果, 避免不必要的带宽浪费。
2.2基于IEEE802.1Q的IP多播
IEEE802.1Q在以太网地址段上又附着了VLAN地址段, 其中提供12位对组进行识别, 所以共提供了212个组 (多播) 地址空间。该方式下, IP多播地址、IEEE802.1Q组地址、无线链路组播地址构成一一映射关系, 在该方式下, 不存在基于以太网多播方式下IP多播地址模糊的问题, 并且IEEE802.1Q组地址空间也足够大, 处理较简单。
3 IP多播分组的可靠传送
由于IP多播是基于UDP的, 因此IP多播也可能有信息包转送不可靠、信息包重复、信息包不按序到达、无流量控制等缺点。所以需要采取相应措施予以避免。
无线接入系统是基于IP网络的最后一跳, 为了提高整个网络的服务质量, 在无线接入系统内, 可提供的控制措施主要有:流控、无线段ARQ;流控有以太网端口流控和无线段流控, 其中无线段流控和无线电ARQ可统一考虑。
3.1以太网端口流控
以太网端口流控可以通过发送IEEE802.3标准定义的Pause帧来实现。Pause帧是一种以太网控制帧, 目的MAC地址字段为01-80-C2-00-00-01, 帧类型字段求为88-08, 携带要求发送端暂停的时长, 该时长以以太网物理层512个符号周期为基本单位, 最长65 536个基本单位。在本地接收器设置缓存, 并设置2个门限:Hi-WM和Low-WM, 接收缓存中存储量超过Hi-WM, 发出Pause帧, 之后周期发送Pause帧, 直到存储量低于Low-WM, 如图2所示。其中Pause帧发送周期与暂停时长值是重要参数, 如果周期短, 则Pause帧发送频繁, 占用无线带宽;如果周期长, 则可能导致本端接收溢出, 一般选择周期为:512*时长值*T/2, 其中T为以太网符号周期。
3.2无线段流控与ARQ
无线接入系统根据应用目标可以进行专门设计, 其空中接口具有一定灵活性。为了保证可靠传输, 减小误码对无线分组的影响, 一般将长以太网分组截为多个无线分组, 并编号及加入检错监督字段, 通过ARQ措施保证无线分组正确接收, 在此可将流控与ARQ统一设计。流控方式采用弹性滑动窗方式, 接收端根据缓存情况, 动态调整滑动窗宽度;滑动窗流控中接收端向发送端指出发送无线分组的基编号及最大偏移量。接收端可根据正确接收无线分组序号生成滑动窗控制参数, 也可以根据缓存剩余容量生成滑动窗控制参数。发端以收端通报的最大值无线分组序号为界丢弃所有序号小于该通报序号的分组。如图3所示, 发端对序号a之前的所有分组可丢弃, 它们已全部在收端正确收到了, 从序号b开始, 发端可连续发送4个分组, 然后等待新的滑动窗控制指令;序号为b的分组收错误, 在下一轮发送时进行重传。之后序号为f的分组也进行了重传。
4 结束语
无线接入系统是IP网络的最后一跳, IP多播需要整个网络及接入系统共同进行支持才得以实现, 尽管目前无线传输已宽带化, 但相对业务需求还显得依然很珍贵;无线传输段依然会由于衰落、干扰等因素造成比有线介质大得多的误码, 有必要采用大分组分段为小分组、选择式ARQ、专用组播报文等措施提高无线信道的利用效率。
参考文献
[1]岩延, 郭江涛.组播路由协议设计及应用[M].北京:人民邮电出版社, 2002.
[2]COMERD E.Internetworking with TCP/IP.Forth Edition[M].Upper Saddle River, NJ:Prentice Hall, 2001.
IP接入论文 篇4
软交换承载网络采用的是IP分组网络, 通信协议和媒体流主要以IP数据包的形式进行传送。承载网接入IP城域网后面临的安全威胁大大增加, 主要有计算机病毒威胁和黑客攻击。
1.1 计算病毒威胁
软交换网络核心控制层和业务管理层如:Soft X3000、SG、SHLR、IGWB、MRS、N2000等设备的后台都是由计算机、服务器、数据库、操作系统组成。由于承载网接入IP城域网后, 这些设备就更加容易受到IP城域网公网网络的计算机病毒和网络攻击, 导致关键进程吊死、系统访问缓慢、死机, 严重将使整个网络瘫痪。
1.2 黑客攻击
从软交换网络运行情况来看, 网络黑客可以通过公网对承载网进行攻击也可以对软交换核心控制层设备进行攻击, 攻击手段主要有以下几个方面:
1.2.1 对承载网网络进行攻击
黑客可以通过公网对软交换承载网发起攻击, 大量占用网络资源和网络带宽, 导致正常业务流无法转发, 甚至使整个承载网网络瘫痪, 黑客还可以通过攻击网络中的关键设备, 篡改其路由和重要数据, 导致路由异常, 网络无法访问等, 使软交换业务受到严重影响。
1.2.2 对软交换核心控制层设备进行攻击
(1) 信令流攻击。信令流经过代理服务器或软交换进行转发来完成端到端呼叫的建立。目前使用的信令协议在安全性方面还不是很完善, 攻击者很容易利用信令流来对服务器发起各种攻击, 造成代理服务器吊死, 用户业务中断等, 攻击方式主要包括畸形信令报文攻击、注册劫持攻击、会话攻击三种。
(2) 媒体流攻击。软交换媒体流大多采用的是RTP协议, 由于其本身的开放性, 如果在媒体通道中通过Sniffer等方式记录所有信息并通过软件加以重放, 造成用户通话被泄露, 典型的媒体流攻击有插 (替) 音攻击和会话窃听。
(3) 服务窃取。黑客利用各种手段获取合法用户的帐号信息, 以此来盗用合法用户的语音业务, 并且很难追查, 是一个巨大的网络安全威胁。
2 软交换承载网接入IP城域网的安全策略
为防止受到病毒威胁和黑客攻击, 软交换承载网必须与IP城域网进行隔离, 这种隔离可以是物理的隔离, 也可以是逻辑的隔离。
在分析承载网对IP城域网的隔离技术前, 需要引入软交换网络的“安全域”概念, 安全域是描述如何管理和控制网络安全的模型, 在一个安全域内有相同的安全保护需求, 可以实施相同的安全保护机制。安全域之间根据不同的安全等级需求, 可以在安全域边界部署隔离、控制等安全策略。
根据软交换网络各部分的安全需求, 可以将软交换网络划分为内网区、外网区、隔离区3个安全域:内网区包括SS、TG、AG、SG、SHLR、MRS等核心控制层设备;外网区即指IP城域网区域;隔离区包括软交换服务器、北向接口等电信DCN网络。
2.1 物理隔离
(1) 利用防火墙设备进行隔离。防火墙是设置在被保护网络和外部网络之间的一道屏障, 它通过监测、限制和控制穿越防火墙的数据流, 防止外部网络对内部网络的攻击和破坏。
内网区的安全性需求特别是核心控制层的安全性尤为重要, 为保护SS、SG等关键信令设备, 需要在内网区和外网区 (IP城域网) 之间设置防火墙, 防止病毒入侵, 黑客攻击、非法用户登录, 异常信令流影响。应用场景如图1、图2所示。
(2) 利用BAC (Border Access Controller) 设备进行隔离。BAC设备称为边缘接入控制设备, 它将通过IP城域网接入的FTTH终端、SIP软终端连接到软交换网络。它通过NAT地址映射, 实现业务公私网穿越, 并作为内网区和外网区间的软交换协议应用层防火墙, 实现对软交换内网区的安全防护, 同时作为代理服务器, 通过PROXY (信令代理) 、媒体RELAY (媒体中继) 技术, 可以有效防止用户非法占用带宽和使用业务。应用场景如图3所示。
2.2 逻辑隔离
2.2.1 采用认证技术进行逻辑隔离
认证是防止主动攻击的重要技术, 它对开放环境中的各种消息系统的安全有重要作用, 认证的主要目的有两个:验证信息的发送者是真正的;验证信息的完整性, 保证信息在传送过程中未被窜改、重放或延迟等。目前有关认证的主要技术有:消息认证, 身份认证和数字签名。
软交换防火墙和BAC设备具有消息认证和身份认证功能, 通过状态检测机制, 可以对消息进行检测, 对被经过窜改、重放或延迟等的非法消息进行过滤、屏蔽, 它们的动态黑名单功能通过对报文行为特征进行检测, 当发现攻击企图后, 可以动态地将有企图攻击的源IP地址和用户添加或删除到黑名单中, 有效屏蔽非法IP和用户, 保障软交换内网的安全。
身份认证还包括设备登录认证, 由于软交换承载网接入IP城域网后, 承载网BAC、防火墙等设备暴露在公网中, 因此容易受到网络黑客的恶意攻击, 但这些设备采用的是命令行管理界面, 并进行分级权限管理, 分别为访问级 (0级) 、监控级 (1级) 、系统级 (2级) 、管理级 (3级) , 每一种级别的登录均需要经过密码验证通过后才能够获取相应的设备管理权限, 加上定期对设备密码进行更改, 增加了黑客破译密码攻击设备的难度, 保护了软交换设备的安全。
2.2.2 通过IP地址的规划进行隔离
软交换网络使用的是10段的私网IP地址, IP城域网为区别与软交换网络的公网网络, 目前软交换接入用户的大量AG、EPON设备定义为FTTB设备, 属于可信设备, 分配的是静态软交换私网地址, 而通过IP城域网接入软交换网络的FTTH设备, 由于设备放在用户侧, 属于不可信设备, 考虑到安全性, 使用的是动态分配的IP城域网172网段的私网地址, 由城域网经过BAC接入软交换, 通过BAC的地址映射和代理, IP城域网侧的用户只能看到172网段的城域网地址, 而无法看到软交换内网地址, 从逻辑上隔离了软交换网络。
2.2.3 采用MPLS VPN技术隔离
MPLS VPN (Multiprotocol Label Switching Virtual PrivateNetworks) 是一种基于MPLS技术的VPN, 它在MPLS/IP公共网络上, 利用MPLS技术创建隧道, 实现二、三层VPN业务, MPLS VPN的隧道的建立就是采用MPLS的标签堆叠技术, 通过给用户数据封装双层标签来实现。其中内层标签即私网标签, 用来识别用户信息, 外层标签即公网标签, 用来在公网中转发私网数据。
相对于Vl AN的二层隔离技术, 所有网络都在一个IP地址段中, 彼此可见, 不是真正的隔离, 安全性不高, MPLS VPN是基于IP层信息和路由的三层隔离技术, 它将网络在逻辑上划分为互相隔离的安全可靠的局部专用网络, 不同VPN之间的IP地址彼此独立, VPN中的主机感觉不到其他VPN成员的存在, 实现了真正的隔离。
软交换承载网接入IP城域网的所有业务可以通过MPLS VPN进行承载, 软交换业务及网络的安全性就可以得到保障, 目前软交换语音业务如:FTTB、E8-2、E8-C均通过IP城域网MPLS VPN接入软交换承载网。应用场景如图4。
3 结语
随着中国电信集团公司“光网城市”工程的实施, FTTH将成为主流的用户接入技术, 软交换的语音业务将主要通过IP城域网接入, 对软交换业务和网络安全提出了巨大挑战, 作为整个软交换网络体系核心交换层的承载网, 在接入IP城域网后在网络组网、设备安全性、隔离与控制等各个方面形成了一个行之有效的安全防护体系, 保障了软交换网络的安全。
参考文献
[1]邵波, 王其和.计算机网络安全技术及应用[M].北京:电子工业出版社, 2007
IP接入论文 篇5
关键词:WCDMA,LTE,SCTP,流控机制,传输,传输时延,丢帧率
1 前言
基于用户感知提升的移动网端到端优化体系中, 随着局部网络负荷的提高, 对于数据业务相关的传输质量, 从网优角度开展监控、优化工作的重要性, 日益凸显。
目前无线网络中, WCDMA和LTE基站都支持基于IP的传输连接, 即控制面和用户面的传输功能都通过IP网承载。而原ATM连接已逐渐被IP网取代, 因此本文主要描述移动网IP相关内容。
与用户数据业务感知紧密关联的传输网流控机制, 包括与建立相关的“控制面SCTP流控机制”和与速率相关的“用户面速率流控机制”。在2014年, 本地优化团队基于一些网络问题, 对本地网的IP接入网做了专题分析和性能评估。本文将其中涉及流控机制的相关内容做一介绍。
2 基于网优, IP无线接入网的流控机制分析
2.1 IP无线接入网的性能监控
如图1所示, 以WCDMA为例, 连接从基站到RNC的IP无线网, 不仅只是IP层协议, 还包含以上不同协议。以便适用于不同业务。
其中, 传输层控制协议, 使用了UDP、TCP和SCTP协议, 而IP、TCP和SCTP协议是日常关注的重点。
当以上协议的性能发生较小的波动 (就维护角度来说可以忽略的波动) 也可能造成网优所关注用户指标的剧烈恶化。网优专业对传输性能的波动更加敏感。因此, 网优工作对于不同的网络问题, 对以上不同的协议, 开展性能监控。其监控内容、粒度、力度, 与日常运维对传输的监控有所区别。
在维护网管现有指标之外, 网优重点可以在无线网节点中, 开展以下几个方面的性能监控:
●IP无线接入网可靠性。包括相关协议链路的在服率、丢包率、丢帧率;
●IP无线接入网拥塞。包括链路拥塞累计时间、拥塞导致的消息丢失量、消息拒绝量, 业务速率受限比例等;
●IP无线网时延。IP网上下行平均时延, 时延方差;
●IP无线网利用效率。链路主备分情况, 单链路带宽利用率等;
●IP无线网异常日志检查及参数设定。分析告警、异常日志, 检查与协议相关的流量控制、缓存控制设定等。
基于上述性能监控, 网优人员可在了解掌握IP流控机制的基础上, 对其开展监控及调整优化工作。下面章节, 将介绍目前已开展的措施。
包括与信令控制面相关的SCTP流控机制, 和与用户面速率相关的HSPA流控机制。将在2.2、2.3小结中分别做理论分析, 并在第三章节引入实际的网优应用案例。
2.2 SCTP控制面流控机制
SCTP协议, 全名Streaming Control Transmission Proposal流控制传输协议, 是一个面向连接的流传输协议, 为两网络节点提供稳定、有序的数据传送服务 (图2所示) 。
相对于ATM网络, 其作用类似于传统的层二MTP2和NNI-SALL协议, 影响控制层信令链路的建立, 信令消息的拥塞、丢弃。
相对于IP网络中的TCP协议, 同是基于IP网络层以上, 而其更加可靠, 且支持两节点间通过设置多个IP地址, 实现多个流的管理。因此其多应用于控制面信令的传输控制。
具体定义请参考IETF RFC 4960标准。
如果IPRAN控制面出现拥塞、丢包、物理链路不可用、时延过大因素, 将会导致数据业务建立失败、建立时延过长、切换失败等网络问题。而通过监控SCTP性能, 则能对这些问题进行分类, 更高效的开展优化工作。
目前LTE和WCDMA基站到MME、RNC的IPRAN传输网控制面都使用SCTP协议。
2.3 用户面速率流控制机制
由于现LTE网络在IP网传输中没有明确TCP以外单独的流控机制, 目前以WCDMA网络HSPA Flow Control机制为例介绍用户面传输流控机制的实现。
HSPA Flow Control流控制机制, 通过控制单独RAB的bit速率分配, 在RNC和RBS之间, 对通过传输链路实现RLC AM (Acknowledge Mode) 确认模式传输的数据, 提供良好的RLC层控制性能, 减少RLC层数据重传。
如图3所示, 流控制机制在RBS与RNC间, 根据IUB传输性能, 通过控制RAB速率, 调节单RAB在基站侧的“用户缓存数据大小”, 即“基站侧用户待传数据大小”。
因此, “IUB传输性能”影响流控制机制, 网络通过流控机制对终端速率进行速率分配、限制。
由此可见, 在传输网络负荷较高时, 通过该机制, 降速用户空口侧速率, 从而防止传输负荷进一步陡增和传输时延指标的恶化。
但该机制并不是所有设备厂家都支持, 需要向相关厂家深入了解。
3 网优应用实例
按照前面章节描述的思路和内容, 在目前网优工作中, 成功开展了一部分传输网络问题的查找和优化。
下面列举三个方面的应用实例, 以便起到抛砖引玉之效。
3.1 传输时延与语音质量对比
在日常优化中, 为了将语音质量IP传输网质量进行关联。可将语音的质差比例与传输最大时延做对比。
如图4所示, 黑色柱状图为网络侧每15分钟的IP传输时延最大值, 曲线图为语音质差比例。
通过统计对比以及测试效果来看, 在连续出现传输较大时延时, 语音质量受影响的风险增高。
因此, 网优团队通过周期性的统计连续高时延基站, 排除传输问题对语音质量的影响。
而造成传输时延过大的原因, 一方面是传输质量问题;另一方面是在传输出现拥塞所致, 而此时流控机制 (包括用户和控制面) 将发挥其作用。通过降低数据业务速率匹配, 或者选择建立低占用带宽的业务 (包括低带宽的信令方式) , 从而动态的减少现有传输带宽的占用, 缓解拥塞情况。
3.2用户面速率流控受限统计及核查
在本地网中, 当用户数据包在基站的上行传输缓存中所滞留的时间超过设定的门限值, 则基站认定当前传输情况不支持用户在空口进行高速率传输, 因而在基站侧对用户进行降速处理。
每降速一次, 则相应的计数器加1。
如图5所示, 在某本地网中, 某RNC下所挂基站的速率受限情况远高于其他节点。
在该计数器的指向性下, 结合实际测试及传输硬件排查, 最终确认了问题是某传输网节点负荷过高。
3.3 SCTP控制面性能核查
当存在传输问题时, 控制面消息的传送也会受到影响。
如图6所示, 蓝色曲线图显示的SCTP所传输数据块的数目, 红色曲线表示SCTP控制面数据块的丢失比例。可见相应传输存在瞬时高丢包率的情况。通过检查SCTP链路的相关计数器, 从而确定存在传输闪断的情况, 导致瞬时高丢包率。
4 总结
综上所述, 由于网优专业对传输问题的容忍度最低, 需要关注其时延、瞬时丢包、速率受限等内容。且传输质量波动性大, 需要长时间的持续监控以便发现问题所在。
因此需要网优专业总结出一套系统的传输网络评估方法, 将其与传输专业的维护人员达成一致。
其后, 整合现有的传输网管系统和正在完善的大数据挖掘机制, 更精细并及时地发现各类传输问题。从而建立起端到端的移动网用户数据业务感知的保障体系。
参考文献
[1]UTRAN Iub interface user plane protocols for Common Transport Channel data streams.3GPP TS 25.435.
IP接入论文 篇6
随着宽带无线接入的出现, 接入移动化、宽带化的业务需求越来越高, 用户对移动通信网络的速率要求越来越高, 为此, 3G PP (第三代合作伙伴计划) 就制定了长期演进计划LTE (长期演进) , LTE改进并增强了3G的无线接入技术, 并作为无线网络演进的唯一标准。
当前国内大部分的省市, 针对3G业务的承载已逐步改造割接为IP (网际协议) 化的无线接入网, IP化无线接入网能够很好地承载移动回传业务, 同时具有网络调整简单、带宽利用率高等优点, 许多设备厂商、运营商和标准组织相继提出了各种分组传送的解决方案。
1 LTE业务需求分析
然而与传统3G网络相比, LTE网络结构更加扁平化、网络结构功能也更加复杂。省去了R N C (无线网络控制器) 一层, 原有R N C部分功能上移至EPC (演进的分组核心) 设备, 而另外一部分功能则下移至e N B (演进型基站) 设备。这种架构使得e N B承担了原有R N C的部分控制功能, 网络资源分配、网络切换直接由e N B完成, 并定义了几个新的接口。LTE回传业务结构模型如图1所示。
从图1中可见, LTE相对于3G网络, 其最大特点是网络扁平化, 只有一个网元e N B, 同时引入了S1和X 2接口业务回传, LTE回传业务主要包括如下:
·S1接口是e N B与EPC之间的通信接口。S1接口分为控制面和用户面, 其中S1-M M E (移动管理实体) 为控制面接口, S1-U为用户面接口。
·X 2接口是e N B之间的通信接口, 包括X 2_C (控制面) 、X 2_U (用户面) , 分别传送用户数据和控制信令。
·e N B到O&M (操作与维护) 系统之间操作维护接口主要用于对基站进行操作维护的命令发送和数据传输, 需要的带宽通常较小, 一般在1 M b/s以下。
对于当前LTE业务的承载, 工信部对各运营商已经发放TD D (时分双工) -LTE牌照, 主要以承载TD D-LTE业务为主。因此, 对于承载网络业务接入侧的TD D基站, 需要1个G E (千兆以太网) 口接入IPR A N (无线接入网IP化) 分组传送网。TD D-LTE业务承载组网总带宽配置要求如表1所示。
2 IP R A N业务承载方案
目前运营商的2G、3G业务大部分都是利用M STP (多业务传送平台) 实现基站到基站控制器之间的数据传输。M STP基于SD H (同步数字体系) 平台, 同时实现TD M (时分复用) 业务、A TM (异步转移模式) 业务、Eth (以太网) 业务的接入、处理和传送, 并提供统一网管的多业务节点。M STP存在着成本较高、带宽利用率低、扩容困难以及配置不够灵活等弊端。
IP数据通信网是当前数据通信的主流方式, 且具备丰富的接入方式、庞大的网络规模等特点。为了最大限度地保护运营商的投资成本、减少建网投资并向LTE网络的平滑演进, 产生了在R A N中引入IPR A N解决方案。
IPR A N方案采用边缘路由器和汇聚/核心路由器构建的无线接入网, 具备优秀FM C (固定网络与移动网络融合) 承载能力和简单灵活的组网形式。CSG (基站侧网关) 到R SG (无线业务侧网关) 之间采用分层的设计, 适合大规模的网络承载。采用边缘路由器作为CSG组成接入网, 采用汇聚路由器作为A SG (汇聚侧网关) 和R SG组成汇聚网, 可以根据2G、3G和LTE业务的承载需求进行灵活部署, 全业务承载如图2所示。
根据LTE业务对网络的需求, 分组承载传送网主要是对S1接口、X 2接口的流量进行承载。LTE基站是纯IP基站, 业务类型属于以太网业务, 因此, LTE业务承载部署方案可以采用PW E3 (边缘到边缘的伪线仿真) 加L3V PN (三层虚拟专用网) (L2V PN加L3V PN) 方案, 即接入层 (二层结构) 、汇聚核心 (三层结构) 的组网模型。LTE业务接入端口为G E, 将其当作以太网业务看待, 在构建的三层分组承载网络中, 通过接入一段二层通道和一段三层通道进行业务承载, 其业务都承载在M PLS TE (多协议标签交换流量工程) 隧道。基站业务和管理采用同一G E接口接入, 采用不同的V LA N (虚拟局域网) 来区分业务。
3 IP R A N承载架构分析
3.1 优化承载网络结构
任何一个大型的IP网络, 都会设置一对R R (反射路由器) 角色的设备来简化IP网络的部署。对于承载LTE业务的IPR A N网络, 同样需要设置R R网元的角色。针对省会或大区地市, 考虑新建独立R R组网, 形成标准的大规模组网;对于小地市则可以考虑兼做。兼做与独立新建其逻辑结构一致, 只不过在物理上多两台设备而已。
新增两台独立R R, 分别连接到两个不同的机房的一对R SG设备上, 在链路上和节点上都存在双保护, 新增R R部署的组网拓扑模型如图3所示。
新增R R部署后, 不论针对3G业务还是LTE业务的承载, 需要本地网的所有A SG、R SG都只需要和这两台R R建立BG P (边界网关协议) 邻居关系。同时, 基于路由策略, 可以规划3G和LTE流量引导到不同的核心R SG设备来落地。在对R R发布路由的时候, 考虑3G、LTE的业务引导方向, 同时又保证V PN FR R (快速重路由) 的形成。即对于3G流量模型不做任何变动, 仍然引导到主R SG上去, 而LTE流量模型引导到备的R SG上去。其IPR A N网络内部BG P路由按上述目标规划进行设计部署。
3.2 LTE业务承载保护
针对LTE业务在业务承载方案中采用PW E3加L3V PN方案承载, 分层规划部署了BFD (双向转发检测) 技术, 同时在接入层部署PW (伪线) 冗余, 在汇聚核心层部署V PN FR R的保护技术, 在核心接入侧部署V R R P (虚拟路由器冗余协议) 或主备路由的保护方式。端到端的部署方案可以保证链路故障的保护倒换时间在50 m s以内, 节点故障的保护倒换时间在200 m s以内, 如图4所示。LTE业务承载保护模式要求如表2所示。
3.3 LTE业务承载流量模型
IPR A N内部分组网的V PN FR R关系部署决定了业务流量的走向。针对LTE业务的流量规划目标, 要求下行流量实现负载分担, 以提高网络侧带宽的利用率, 降低建网的投资成本。对于上行, 由于流量较小, 暂时不考虑负载分担等需求。
按照目标BG P路由发布策略部署之后, 由于分组网内部BG P路由策略的部署是使A SG都优选主LTE-R SG的路由, 因此, 上行的流量都引导至主LTE-R SG出口, 所有e N B的上行流量均到主R SG, 经本地IP承载网到M M E/SG W (业务网关) , 其上行流量模型如图5所示。
按照目标BG P路由发布策略部署之后, IPR A N的流量模型在外部本地IP承载网D CE (区域/汇聚用户边缘设备) 双负载分担设计的驱动下, 在内部下行同样可以实现负载分担。
按照规划部署, 对于R SG的路由优选, 在原有3G网络的基础之上新增R R后, 其调整后路由规划、路由优选的结果同样使无论3G、LTE业务承载下, 其主备R SG都优选各自一侧的A SG, 因此LTE承载时, 分组网的流量模型在外部本地IP承载网D CE双负载分担设计的驱动下, 在内部下行同样可以实现负载分担, 提高了网络带宽利用率, 降低了建设成本。其下行流量模型如图6所示。
4 小结
目前LTE业务的带宽和用户的感知体现需求越来越高, 基于IPR A N的LTE业务承载方案, 采用L2V PN加L3V PN方案进行业务部署, 在分组网内部有效调整汇聚层BG P路由发布策略, 实现LTE业务上下行业务流量的合理承载, 提高了承载网络带宽利用率, 在现有投资建设成本条件下, 以获取更好的用户感知和实现企业业务运营利益的最大化。
摘要:基于IP (网际协议) 的无线接入网络可以很好降低LTE (长期演进) 业务的承载建设难度, 同时实现用户感知和利益的最大化。从业务模型、承载方案、网络结构、流量模型等方面来探讨LTE业务的分组承载网络架构和应用。