传输层安全

2024-08-13

传输层安全（共4篇）

传输层安全篇1

摘要：随着互联网和多媒体业务对移动互联网的要求不断提高, 传统以MSTP为主的传输承载网络已难以满足移动网络高速发展的需求。本文介绍了LTE无线网络架构及其承载需求, 对多种传输技术进行分析比较, 从而选择LTE网络的传输组网技术。

关键词：LTE,传输,组网

LTE (Long Term Evolution, 长期演进) 系统采用全IP、扁平化网络架构, 减少了网络节点和系统复杂度, 也降低了网络部署和维护成本。

LTE网络架构由核心层、汇聚层、接入层3层网络构成。核心层网络是核心层节点间的传输系统, 核心层节点是指移动网业务核心网设备和干线设备所在地, 主要设备包括各类交换机、核心路由器、干线传输设备等。汇聚层网络是汇聚节点和核心节点间的传输系统, 汇聚层节点是指用于汇接接入层业务的汇聚点, 主要设备包括传输网汇聚层设备、IP城域网汇聚节点设备等。接入层网络是接入层节点至汇聚节点间的传输系统, 接入层节点是指业务接入点, 如基站、室内分布覆盖系统等。

1. LTE接入层网络承载需求

LTE接入网主要由网络e Node B和a GW之间构成, 在此架构基础上引入S1和X2接口:

S1接口为e Node B和a GW之间的接口, 分为S1-UP和S1-CP。S1-UP接口连接e Node B和SAEGW, 用于承载用户层面数据;S1-CP接口连接e Node B和MME, 用于承载控制层面数据。

X2接口为相邻e Node B间的逻辑接口。e Node B之间通过X2接口进行通信, 实现小区间优化的无线资源管理。业务流可以在e Node B之间直接进行交换, 降低转发的时延。

(1) LTE承载带宽需求

LTE采用全IP化扁平网络结构, 对于LTE的E-UTRAN侧的接口S1和X2接口, e Node B直接与EPC通过S1接口相连, 相邻e Node B间通过X2接口相连。为提高网络的负荷分担和冗灾能力, e Node B可采用S1-flex接口与多个S-GW或MME互连。因此, 每个e Node B的传输带宽需求为S1接口流量、X2接口流量及网管接口的流量之和, 但网管接口流量很小, 一般只有几百kbit/s, 与S1接口、X2接口的流量相比可以忽略不计。

S1接口带宽:在20MHz、2×MIMO的情况下, 平均流量约150M, 峰值流量可到450M。

X2接口带宽:一般为S1接口的5%。

(2) LTE承载时延要求

S 1逻辑连接的承载时延要求2~20ms, 以满足LTE的呼通率和服务质量要求;X2连接的承载时延要求10~20ms, 以满足用户业务的小区切换要求。

(3) LTE系统同步要求

L T E网络除了满足频率同步要求, 还需满足时间同步要求, 精度为±1.5us。

2. LTE网络传输组网技术

目前, 主要的传输组网技术有以太网技术、PTN技术、MPLS技术、MSTP技术等。

(1) 以太网技术

IP技术是以计算机互联网的形式发展起来的, 以统一的TCP/IP协议进行网络互联, 以便交换和共享信息。

以太网是最常用的传输组网方式, 同时以太网具有简单、成本低、IP传输效率高的特点, 使其成为最常用的IP化传输组网技术。

纯IP网具有IP传输效率高、易实现大容量端口、协议简单的优点, 但不能提供严格的Qo S, 可管理性、可靠性较差。

(2) PTN技术

PTN (分组传送网) 是一种光传送网络架构和具体技术:在IP业务和底层光传输媒质之间设置了一个层面, 针对分组业务流量的突发性和统计复用传送的要求而设计, 以分组业务为核心并支持多业务提供。

PTN是基于分组交换、面向连接的多业务统一传送技术, 能够提供多业务技术支持。它是一种更加适合IP业务传送的技术, 同时继承了光传输的传统优势, 包括良好的网络扩展性、灵活扩展性和丰富完善的运行管理维护 (OAM) , 快速的保护倒换和时钟传送能力, 业务标准化、高可靠性、安全性和严格服务质量 (Qos) , 整网管理理念, 端到端业务配置与精准的告警管理。

(3) MSTP技术

M S T P基于S D H平台, 同时实现TDM、ATM、以太网等业务的接入、处理和传送, 提供统一网管的多业务平台。

SDH传输体制是先进、成熟的基础传送平台技术, 基于SDH的MSTP平台具有良好的TDM业务传输保证, 同时MSTP平台在提供IP/ATM等新业务方面具有高度灵活性和快速性。原有的3G/2G网络已部署了大量SDH设备作为承载网络。

(4) MPLS技术

多协议标签交换 (MPLS) 是一种用于快速数据包交换和路由的体系, 它为网络数据流量提供了目标、路由地址、转发和交换等能力。

MPLS是基于标记的IP路由选择, 利用标记 (label) 进行数据转发的。当分组进入网络时, 要为其分配固定长度的短的标记, 并将标记与分组封装在一起, 在整个转发过程中, 交换节点仅根据标记进行转发。

M P L S是常用的组网方式, 通过MPLS2层或者3层VPN实现LTE传输网络的组网, MPLS组网同时能够实现网络的保护功能, 通过建立多个VPN实现节点故障的保护。

3. LTE网络传输组网技术

LTE网络对承载传输网络除了2G/3G所需OAM、保护和时间同步等功能以外, 提出关键的新需求是L3VPN和大带宽。

承载2G/3G无线接入网RAN (基站←→基站控制器之间) 的传送网称为回传网。2G网络的回传网大多采用SDH, 3G网络由于IP化和带宽增加, 回传网逐步迁移到分组化承载 (PTN) 。

LTE网络引入e Node B多点归属的S1-Flex概念和e Node B之间X2接口需求等均为多点到多点连接, 点到点L2不能支撑, 只有L3才能满足此类多点到多点的横向流量需求。

承载网络支持L3功能才可以对LTE的流量进行有效疏导, 必须向IP化演进。MSTP技术难以满足承载需求, 主要针对PTN技术和IP技术进行比较。

从技术方面比较:PTN侧重2层业务, 整个网络构成若干庞大的综合的2层数据传输通道, 升级后支持完整的3层功能, 重在网络的安全可靠性、可管可控性以及更好的面向未来LTE承载等方面;IPRAN则主要侧重于3层路由功能, 整个网络是一个由路由器和交换机构成的基于IP报文的三层转发体系, 路由器具有很好的开放性, 业务调度也非常灵活。

从建网成本比较:IPRAN支持3层功能较全面, 处理机制复杂, 芯片成本相对较高, 尤其当涉及到TDM业务接入的时候, IPRAN设备的成本劣势更加明显;PTN是以包交换为内核, 提供弹性管道, 芯片处理简单, 带宽利用率很高, 因此总体成本最为低廉。

结语

将3层功能部署在核心汇聚节点后, PTN技术组建的传输网络完全能够满足LTE接入层网络承载需求, 其组网方式与SDH类似, 可以简便地将已部署的大量SDH网络更换为PTN网络, 网络建设成本最为低廉。

从各种传输技术的对比, 针对目前各电信运营商LTE网络均有大量TDM业务的实际情况, 采用PTN技术组建LTE接入层传输网络具有较大优势。

从各电信运营商LTE接入层传输网络的建设情况来看, 普遍采用PTN技术组建传输网络, 也说明PTN技术组建LTE接入层传输网络是最为适宜的。

参考文献

[1]中国通信建设集团设计院有限公司.TE组网与工程实践[M].北京:人民邮电出版社, 2014.

[2]孙宇彤.LTE教程——原理与实现/LTE丛书之学好LTE系列[M].北京:电子工业出版社, 2014.

传输层安全篇2

一、传输层的作用

1、跟踪各个会话

因为每台主机上可能有多个进程进行通信，传输层需要将各个数据段发送给相应的进程，这也可以理解，在传输层报头中加入了源和目的进程号(其实就是端口号)。

2、分段数据并管理每个分段(源)

3、重组数据(目的)

4、标识应用程序

这一条和第一条类似，用端口号标识。

5、流量控制

6、错误恢复

7、开始会话

二、端口号

类型：

公认端口——端口0到1023(210-1)

公认端口用于服务和应用程序。都是一些常用的应用程序所采用。

例如：FTP(端口20,21);HTTP(端口80);DNS(端口53)

已注册端口——端口1024到49151

分配给用户进程或应用程序。这些应用程序是用户选择安装的一些应用程序，不是已经分配了公认端口的常用应用程序。

这些端口在没有被服务器资源占用时，可由客户端动态选用为源端口。

例如：MSN Messenger(端口1812);HTTP备用(端口8008,8080)

动态或私有端口——端口49152到65535

也称为临时端口。这些端口往往在开始连接时被动态分配给客户端应用程序。客户端一般很少使用动态或私有端口服务(只有一些点对点文件共享程序使用)。

三、TCP头结构

TCP协议头最少20个字节，包括以下的区域：

TCP源端口(SourcePort)：16位的源端口其中包含初始化通信的端口。源端口和源IP地址的作用是标示报文的返回地址。

TCP目的端口(Destinationport)：这个端口指明报文接收计算机上的应用程序地址接口。

TCP序列号(序列码，SequenceNumber)：32位的序列号由接收端计算机使用，重新分段的报文成最初形式。当SYN出现，序列码实际上是初始序列码(ISN)，而第一个数据字节是ISN+1。

确认号(Acknowledgment Number)：32位的序列号由接收端计算机使用，重组分段的报文成最初形式。如果设置了ACK控制位，这个值表示一个准备接收的下一个包的序列码。

注：可以将确认号简单理解为准备接收地下一个包得序列码。

数据偏移量(HLEN)：4位包括TCP头大小，指示何处数据开始。

保留(Reserved)：6位值域，这些位必须是0。为了将来定义新的用途所保留。

标志(Code Bits)：6位标志域。表示为：紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是：URG、ACK、PSH、RST、SYN、FIN。

窗口(Window)：16位，用来表示窗口大小。

校验位(Checksum)：16位TCP头。源机器基于数据内容计算一个数值，收信息机要与源机器数值结果完全一样，从而证明数据的有效性。

优先指针(紧急，Urgent Pointer)：16位，指向后面是优先数据的字节，在URG标志设置了时才有效。如果URG标志没有被设置，紧急域作为填充。加快处理标示为紧急的数据段，

选项(Option)：长度不定，但长度必须以字节。如果没有选项就表示这个一字节的域等于0。

填充：不定长，填充的内容必须为0，它是为了数学目的而存在。目的是确保空间的可预测性。保证包头的结合和数据的开始处偏移量能够被32整除，一般额外的零以保证TCP头是32位的整数倍。

四、TCP三次握手

第一次握手(申请)：建立连接时，客户端发送SYN包(SYN=j)到服务器，并进入SYN_SENT状态，等待服务器确认;SYN：同步序列编号(Synchronize SequenceNumbers)。

第二次握手(回复+申请)：服务器收到SYN包，必须确认客户的SYN(ACK=j+1)，同时自己也发送一个SYN包(SYN=k)，即SYN+ACK包，此时服务器进入SYN_RECV状态;

第三次握手(回复)：客户端收到服务器的SYN+ACK包，向服务器发送确认包ACK(ACK=k+1)，此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。

五、通信中各种状态

LISTENING：监听来自远方TCP端口的连接请求。

SYN-SENT：在发送连接请求后等待匹配的连接请求。

SYN-RECE：在收到和发送一个连接请求后等待对连接请求的确认。

ESTABLISHED：代表一个打开的连接，数据可以传送给用户。

FIN-WAIT-1：等待远程TCP的连接中断请求，或先前的连接中断请求的确认。

FIN-WAIT-2：从远程TCP等待连接中断请求。

CLOSE-WAIT：等待从本地用户发来的连接中断请求。

CLOSING：等待远程TCP对连接中断的确认。

LAST-ACK：等待原来发向远程TCP的连接中断请求的确认。

TIME-WAIT：等待足够的时间以确保远程TCP接收到连接中断请求的确认。

CLOSED ：没有任何连接状态。

可以用netstat命令查看一下主机现在建立的连接和状态。

六、TCP会话终止

若要关闭连接，应设置数据报头重的FIN控制标志，需采用包含FIN数据段和ACK数据段的二次握手，因此要终止一个TCP支持的整个过程，需要实施4次交换，以终止两个双向会话。也可以用三次握手来终止(四次握手中的二、三两次合并为一次)。

七、TCP重传

关于确认号的一个小细节：如果接收到序列号为1500到3000以及3400到3500的数据段，那么确认号应当为3001。这是因为未接收到3001到3399之间的数据段，此时准备接收的下一个数据段的序列号为3001。

TCP的标准实施流程是：主机传输数据段，并将数据段的副本列入重新发送队列，然后启动计时器。当接收到数据确认信息时，主机将从队列中删除对应数据段;如果到及时器超时还没有收到确认信息，将重新传输数据段。

现在的主机还有一项备选功能：选择性确认。如果两台主机都支持选择性确认功能，目的主机便可以确认间断数据段中得数据，那么源主机就只要传输丢失的数据。

八、TCP的拥塞控制

主要要清楚的就是动态窗口大小控制，来使得每个TCP会话有最佳的窗口大小。

九、UDP协议：低开销通信

UDP是一种简单协议，提供了基本的传输层功能。与TCP相比，UDP开销极低，因为UDP是无连接的，并且不提供复杂的重新传输、排序和流量控制机制。

与TCP的通信机制不同，由于UDP是无连接的协议，因此通信发生之前不建立会话。UDP是基于事务的，换言之，应用程序要发送数据时，它仅是发送数据而已。由于不建立会话，因此一旦数据和端口号准备就绪，UDP就可以生成数据报并递交给网络层，并在网络上寻址和发送。

因为UDP不进行排序，所以数据到达的时候只是按先来后到的顺序进行排列。如果数据的顺序对应用程序很重要，那么应用程序只能自己标志数据的正确顺序，并决定如何处理这些数据。

接入层传输网业务保护方式篇3

一、接入层传输网存在的问题

接入层传输网通常都是按照地区规划来设计的, 区域性较强。我国传统的几大运营商通常都在各区县设立分公司, 并且都有独立的传输网络, 所有的业务都通过汇入中心节点后再传输到各个片区交换局。我国现阶段在接入传输网方面存在着许多的问题。首先, 现有的一部分设备不具有MSTP功能。我国传统的传输设备的接口较为单一, 不能满足移动业务IP化和政企客户业务提速的要求, 并且在扩容方面有存在巨大的困难。其次, 接入层传输网络配置业务不够灵活机动。我国传统的传输汇聚网络大多以城镇作为主要节点, 在一些发展较快的工业园林或者是村级点不能及时享有网络业务, 这给这些地区的进一步发展带来了困难。通常来说, 城区是政企客户最为集中的地区, 要想满足政企客户和基站业务的接入, 必须要大量的占用城区主干电缆, 广泛的使用PDH, 设备造成资源的浪费。乡镇城区网络业务的接入方式主要以2M的接入方式为主。最后, 中心网元和一些关键性设备大多放置在中心机房, 较为集中。这样在灾难发生时, 一旦中心机房遭到破坏, 那么将导致这个地区的网络业务彻底中断, 风险较大。在大城市中, 由于自然灾害或者是大规模的城市改造极易使中心机房的干线光缆中断, 导致区域内的业务受阻。

二、接入层传输网业务保护方式

改造本地区的传输网, 使其达到整体优化, 将那些维修成本较高、频繁出现故障的系统进行统一退网, 提高资源的利用率。根据社会发展的具体要求, 不断地提高本地传输网的能力, 优化接入层传输网的保护方式。

2.1设置第二中心机房

通过设立第二个中心机房能够更好的保护传输网业务的安全, 减少区域内整体业务中断的可能性。将不同的汇聚环设备放入到不同的区域内, 使每个区域的传输网都具有双平面的特性, 提高各个地区网络的安全系数。并要选用较为灵活的电路端配置, 提高接入层传输网业务的灵活性和协调度。

2.2用已有的超级站对业务进行保护

我国的一些地区在前几年发生大的灾难后就在一些区县地区建立了超级站, 保障了当灾难到来时可以用语音进行业务的传输。利用超级站保护就是在郊县的一些基站内安装卫星接收设备, 一般要经历这几个阶段, 首先基站的相关业务会利用卫星设备来进行传输, 然后一级干线传输网会到达公司交换局, 最后再将省骨干传输调度到各个交换片。这样, 即使中心网元遭到破坏或是重要设备失效, 也能保障一些业务的通畅进行。这种方式既能发挥超级站的作用, 又能保护接入层传输网业务的顺利开展, 减少资源的浪费。

2.3采用跨区域方式在交换片内实施保护

所谓的跨区域的方式就是把两个地区的传输节点用光路进行连接, 使相邻地区之间形成互相保护的关系, 彻底打破网络行政归属的限制。例如, A地的业务主要是通过本县的中心机房B来传输的, 可以建立一条保护路使A的节点和C地相连, C地的保护中心机房是D, 一旦B被破坏那么A的一部分业务可以由D来完成, 避免A地业务的全面被阻。简单来说就是, A和C地可以相互保护。采取这种保护方式, 有一定的地区要求两个地区必须是邻县, 而且在合适的节点之间有光缆相连, 并且在能够传输本地的业务的基础上还要为传输相邻地区的业务留有余地, 要充分考虑传输网的容量和设备的保护能力。这种跨区域保护的方式可以分为两种。第一种是在相邻的两个区县的汇聚节点之间用电缆连在一起, 这样两个区域的汇聚节点最好比较近, 尽量减少光缆的使用。第二种是在两个地区的边缘站点之间建立电缆联系。当两个地区距离比较远时, 可以在两地距离最近的地区建立联系, 这样既节约电缆, 又可以达到两地相互保护的目的。在这种情况下要充分考虑边远地区的设备承受能力, 及时对边缘地区的设备进行更新换代, 保证两地区相互保护的实现。

三、小结

总之, 经过多年的传输网络平台的建设, 我国的网络规模越来越大, 承担的业务量也越来越多, 然而现阶段我国在接入层传输网保护方面存在着许多的问题, 网络安全成为人们关注的焦点问题。通过跨区域的业务保护的方式和建立第二中心机房, 可以有效减少灾害给网络安全带来的影响, 尽量保护业务的安全进行。

参考文献

[1]梁伟.接入层传输网络业务保护方式研究[J].数字通信, 2013, 40 (3) :12-13

[2]马波.新会地区传输A网现状分析与完善[J].电子世界, 2014, 27 (10) :24-25