《中国电信内蒙古分公司软交换网络建设技术建议书.doc》由会员分享,可在线阅读,更多相关《中国电信内蒙古分公司软交换网络建设技术建议书.doc(41页珍藏版)》请在三一办公上搜索。
1、中国电信内蒙古分公司软交换网络建设技术建议书 中兴通讯股份有限公司目 录1.网络建设要求42.方案总体构思43.组网实施方案53.1.组网方案描述53.2.Softswitch与其他网络的互通设计103.2.1.与PSTN及现有七号信令网的互通103.2.2.与现有智能网的互通113.2.3.与现有H.323体系的IP电话网互通123.2.4.与未来SIP网络的互通123.2.5.Softswitch域-域互通133.2.6.不同数据网的互通133.3.QoS保证策略143.4.组网具体说明163.5.网络安全性设计183.5.1.完善的网络组织183.5.2.中兴软交换系统安全性设计183.
2、5.3.中兴软交换设备可靠性设计193.6.网络建设条件213.7.网络设备配置清单223.8.小区用户接入233.9.地址规划244.业务提供255.防火墙穿透方案285.1.H.323语音设备的接入296.综合网管296.1.总体介绍296.2.ZTE Softswitch网管系统功能结构316.2.1.网络管理层326.2.2.网元管理层336.2.3.业务管理层346.3.计费营帐系统356.3.1.计费356.3.2.营帐376.4.号码分配397.设备互通测试报告398.中兴通讯SOFTSWITCH重要里程碑401. 网络建设要求本项目基于内蒙古农业大学小区有线网络建设,由内蒙电信
3、与中兴通讯公司合作,在该小区新建软交换商用试验网,全网建设软交换中心平台1套(含网管),中继网关、信令网关各1套,IAD综合接入设备(IAD601)300台,计费采用内蒙古电信现有的计费系统。另外涉及小区宽带接入,还需要建设小区接入层的数据网。新建软交换系统初期设计总容量为5万线。2. 方案总体构思在商用实验网方案中,内蒙电信区公司作为核心节点,配置软交换控制设备ZXSS10 SS1b、信令网关ZXSS10 S100、综合网管系统ZXSS10 NMS各一套,为全网提供统一的呼叫控制、No.7信令的转换以及综合网络管理。另建设1套中继网关ZXSS10 I704用以农大小区用户与PSTN的互通。对
4、于小区用户的宽带上网和语音接入,中兴通讯配置相应的二层以太网交换机ZXR10 1816和ZXR10 2826以及小区核心汇聚设备ZXR10 3904、三层交换机T-16C组成数据承载网,初期采用300台综合接入设备ZXSS10 IAD601以实现用宽带和语音的综合接入。考虑到商用实验网中小区用户对语音和宽带的需求,此次软交换项目采用IAD接入方案,其条件是用户拥有城域数据接入网资源(如LAN、WLAN等),这种接入方式主要应用于家庭/SOHO、楼道、商业楼宇、企事业单位、政府及学校等。这种方案的优点是组网方式简单,可以充分利用现有数据网络接入侧资源,用户接入迅速。中兴通讯的商用实验网方案不提供
5、计费营帐系统(BOSS)的相关配置,利用运营商现有的BOSS系统,软交换控制设备对于业务区内的每一次呼叫,都将产生详细的CDR,提供给业务区内现有的BOSS系统产生详细话单。对于跨业务区呼叫或跨网呼叫,软交换控制设备也将提供CDR,由现有的BOSS系统根据一定的网间结算策略产生费用。软交换控制设备提供标准XML接口,可以和运营商的BOSS系统进行用户开户等数据的交换。本方案提供基本语音业务,包括IP市话、IP长话, 以及Centrex业务。ZXSS10系统可与支持标准H.323协议的设备互通。本次实验网方案,系统本身没有提供H.323的设备和协议,将来可以根据实际需要逐步增加。商用实验网的基础
6、承载网络采用内蒙古电信IP数据网,内蒙古电信IP数据网应提供相应的带宽资源及QoS保证。3. 组网实施方案3.1. 组网方案描述内蒙农大NGN项目需要在内蒙电信核心节点配置一套软交换控制设备ZXSS10 SS1b,提供呼叫控制及语音业务;放置一套信令网关ZXSS10 S100,实现软交换网与PSTN网的信令互通;配置一套综合网管系统ZXSS10 NMS,实现对呼和浩特业务区的综合管理。考虑到农大东、西小区用户有限,因此先配置3套ZXSS10 I704(提供10个E1)作为中继网关,提供小区语音用户与PSTN的互通。用户侧配置2套接入网关设备ZXSS10 A200提供用户语音接入。配置一套IAD
7、 Manager,负责呼市本地IAD终端的远程、集中管理。根据商用实验网的实际规模,本方案软交换控制设备只提供了3000用户License的处理能力,未来业务量增大需要扩容时,可通过增加License扩充其处理能力;呼和浩特可以通过增加大容量的中继网关设备ZXSS10 M100的方式来扩容,替换下来的小容量中继网关亦可移给集团用户使用。主要设备说明主要设备的功能如下:软交换控制设备(SS)SS是软交换网络的控制核心,完成对本地语音、视频业务的呼叫控制和媒体控制功能。支持H.323、H.248、MGCP、SIP等多种协议终端接入;应采用实时多任务处理系统及分布式结构。主要功能有:呼叫处理控制功能
8、,完成各种业务基本和增强的呼叫处理过程,包括呼叫处理、连接控制、智能呼叫触发检测和资源控制等。支持接收来自业务交换功能的监视请求,并对其中与呼叫相关的事件进行处理。接受来自业务交换功能的呼叫控制相关信息,支持呼叫的建立和监视;接入协议适配功能,支持H.323/H.248/MGCP/SIP/SINGTRAN/INAP等多种协议的处理,实现多种协议之间的适配;业务提供处理/接口功能,支持VoIP基本语音和视频业务、补充业务、附加业务及增值业务,提供智能业务的互通接口,提供新型增值业务生成平台如应用服务器的接口,使网络能够满足用户未来新业务的需求发展;互连互通功能,主要实现与其他对等实体之间互连互通
9、,如与其他的SS之间就采用SIP-T协议进行互通。应用支持功能,提供计费、认证、操作维护等应用支持功能。具有生成详细话单的功能,并能够按照运营商的需求将话单自动传送到相应的营帐结算中心,并接受营帐系统要求的用户控制操作。当使用记帐卡或预付费等业务时,具备实时断线功能。提供完善的操作维护功能,支持基于SNMP的网管机制,支持本地及远程的集中网络管理,可以与系统的其它网元设备一起纳入网管中心进行统一管理。用户管理功能,支持对用户和网关设备进行接入认证管理功能,防止非法用户/设备的接入。 资源控制、安全管理功能。提供资源管理功能,对系统中的各种资源进行集中的管理,如资源的分配、释放和控制。n 可靠性
10、系统故障恢复时间3 分钟全年最大故障时间5.3 分钟系统的可用性99.999%系统的无故障工作时间:MTBF69000hn 协议能力需支持下述协议:n 呼叫处理协议ISUP、TUP over IP;Q.931; SIP-T;H.323n 传输控制协议TCP、UDP;SCTP;TCAP/SCCP/M3UAn 媒体控制协议H.248;SIP;MGCP;H.323n 业务应用协议INAP(CS2);LDAP;RADIUSn 维护管理协议SNMPn 局域网协议自适应10/100MTX/FX以太网标准:IEEE802.3,IEEE 802.3u;TCP/IP协议族。1. 中继网关(TG)TG主要完成传统
11、电路交换式的PSTN网和IP网之间的媒体转换。TG在网络侧接口为100M的以太网口,在PSTN网侧接口为E1口,和SS之间采用H.248协议。此次投标中,具体投标设备型号为ZXSS10 I704中继网关,满配容量可以达到88个E1,根据一期容量,配置10个E1,实现媒体流的转换。n 可靠性系统故障恢复时间3 分钟全年最大故障时间5.3 分钟系统的可用性99.999%系统的无故障工作时间:MTBF69000h。n 协议能力应支持下述协议:n 控制协议MEGACO/H.248、RTP/RTCP;n 语音编码算法G.711、G.723.1、G.729A;n 传真T.30(PSTN侧),T.38(IP
12、侧);n 语音质量G.168(回声抑制),VAD(话音活动检测),CNG(舒适噪声生成);n 信令DTMF,MFC;n 局域网协议自适应10/100MTX/FX以太网标准:IEEE802.3,IEEE 802.3u;TCP/IP协议族;n 网管SNMP;n 其它E1网络接口的物理层特性应符合ITUT I.432、G.703、G.704、G.823 建议和GB.7611的要求。2. 信令网关(SG)七号信令网关TG是传统电路网和分组数据网之间的网关产品,实现电路交换网与分组交换网间的信令转换和互通。在电路侧发送和接收标准的SS7信令消息,在分组网侧采用IETF信令传送工作组(SIGTRAN)标准
13、的适配层协议和传输层协议。此次农大项目NGN具体设备型号为ZXSS10 S100中继网关,满配容量可以达到64条SS7 LINK,根据一期容量,配置2条SS7 LINK互为备份,实现7号信令的转换。n 可靠性系统故障恢复时间3 分钟;全年最大故障时间5.3 分钟;系统的可用性99.999%;系统的无故障工作时间:MTBF69000h。n 协议能力电路侧:标准No.7 ISUP信令。数据网侧:M3UA、SCTP、SUA、M2PA、M2UA。3. 应用服务器(APP)应用编程接口API,通过业务生成环境,完成业务创建和维护功能,为网络提供新业务服务。4. 综合网管系统(NMS)提供网络综合管理功能
14、,包括各网元设备的状态监测、版本的升级更新等,实现对全网集中统一管理。5. 宽带网关(BGW)宽带网关B100是软交换系统中重要的网元设备,完成IP地址转换、流量控制、带宽管理和防火墙的功能。考虑到互联网现有大量的私网IP地址用户,为了实现这些用户的软交换接入,采用此设备解决上述问题。目前衡量此设备的重要指标是并发用户数,中兴软交换系统中的宽带网关设备支持480并发用户数4800用户、960并发用户数9600和2880并发用户数28800用户的接入。此项目中,根据具体需要公私网IP转换的用户数,采用适当的宽带网关设备。目前中兴公司的宽带网关设备,全面支持H.248/MGCP/H.323/SIP
15、/NCS等协议终端的接入。6. 综合接入设备(IAD)IAD主要是面向个人用户及小型企业用户的网关设备,将用户端各类终端设备(如PC,PHONE,FAX)接入到包交换网中。目前中兴公司提供全系列的IAD设备,包括500系列、600系列和700系列,其中500系列主要分为508、512和524三款,实现普通语音用户的接入。600系列主要提供IAD601,实现一路数据和一路语音的同时接入;700系列可以作为小型中继网关提供24个E1实现小型中继网关功能,或者实现基于PRI信令的企业PBX的接入。用户可以根据实际情况,分析需要接入的用户类型和接入容量,灵活采用合适的IAD产品进行终端的接入。根据呼和
16、浩特农大小区用户的需求和内蒙电信公司的要求,本项目的边缘接入层设备采用IAD601。如果今后有相应的业务需求,各种智能话机H.323话机、SIP话机,可以直接接入到软交换系统中来,实现相应的功能。3.2. Softswitch与其他网络的互通设计3.2.1. 与PSTN及现有七号信令网的互通信令互通,采用中兴公司的ZXSS10 S100信令网关,实现PSTN网络的七号信令与Softswitch的互通。其协议包含两部分,SCN信令侧协议和IP网络侧协议。在SCN信令侧,ZXSS10 S100发送和接收ITUT标准的SS7信令,而IP网络侧采用的是IETF的Sigtran协议。ZTE Softsw
17、itch系统的ZXSS10 S100信令网关信令的接入方式可以有两种方式:方式一,采用A 链路方式,SG的七号链路与信令网的信令转接点相接,可以用一台ZXSS10 S100实现多局向、多中继网关信令接入。方式二,采用F链路方式,SG的七号链路利用传送话路中继电路E1的某个时隙传送,在中继网关中半固定连接方式连接到信令网关中。ZXSS10 S100信令网关七号信令链路物理接口采用E1方式。网络侧接口采用标准(一个或几个)100M/1000M以太网接口,与运营商IP核心承载网连接。本次采用方式二。3.2.2. 与现有智能网的互通对于已有的智能网, 如何保护已有投资,充分发挥网络功能,ZTE Sof
18、tswitch给予了充分的考虑。具体地说,由ZTE Softswitch以及它所控制的接点构成一个虚拟的SSP,通过INAP/CAP/TCAP/SCCP接口通过信令网关与电信现有的SCP互通,共同提供智能网业务。对于智能业务所需要的IVR等功能,由Softswitch控制的Media server和媒体网关实现。下图中描绘了现有智能网向下一代网络的融合策略。3.2.3. 与现有H.323体系的IP电话网互通基于H.323协议的IP电话网络已经覆盖了我国主要省市,因此在组建软交换为核心的网络时,应充分考虑与现有H.323网络的互连互通,互通协议建议采用H.323协议。当软交换机与H.323网分别
19、属于不同的运营商时,互通点设置在软交换互通点和一级网守之间;当软交换网与H.323网属于同一个运营商时,互通点由内蒙电信根据网络建设的实际情况来确定。ZTE Softswitch与H.323网互通,信令配合采用的协议是H.323 V 2.0协议族,包括:RAS、H.225(Q931)、和H.245。对于现有H.323网络,ZTE Softswitch 以及它所控制的接点构成一个虚拟的H.323网关。3.2.4. 与未来SIP网络的互通在未来的SIP网络中,内蒙电信Softswitch软交换设备可以提供SIP用户代理功能,包括SIP用户代理客户机和用户代理服务器功能,主要是代表PSTN/ISDN
20、侧的非SIP终端想IP侧发出SIP呼叫请求和对来自IP侧的SIP呼叫作出响应。Softswitch还可以充当SIP代理,转发SIP请求和响应消息。另外,Softswitch系统将能支持SIP-T协议,实现PSTN/ISDN侧的SS7信令和IP侧的映射和转换。软交换与SIP系统的互通主要分为以下四种方式:方式一:Softswitch终端(IAD、AG等)SIP网络该方式表示呼叫自Softswitch域内发起,终结于SIP网。方式二: SIP网络Softswitch终端(IAD、AG等)该方式表示呼叫自SIP网发起,终结于Softswitch域内。方式三:PSTN/ISDNSIP网络该方式表示呼叫
21、自PSTN/ISDN网发起,终结于SIP网。方式四:SIPPSTN/ISDN网络该方式表示呼叫自SIP网发起,终结于PSTN/ISDN网。方式五:SIPSIP网络该方式表示呼叫自SIP终端发起,终结于SIP网,此种呼叫是纯SIP网的情形,发端的SIP终端发出SIP消息,由软交换路由经过SIP网络将消息路由至SIP终端。这种方式Softswitch完成SIP 代理的功能。3.2.5. Softswitch域-域互通ZTE Softswitch之间目前采用SIP-T互通,将来支持BICC。考虑到SIP-T在SIP基础上增加了对Telephony应用的支持,继承了SIP的灵活性,比较适合于IP网。而
22、BICC协议目前没有完全的版本,在国际上还没有得到推广。对于对等Softswitch设备的互通,目前国际上还没有厂家完成。本方案中要求厂家仍采用SIP-T和BICC协议完成呼叫接续,媒体协商的功能。对于不同厂家提供的Softswitch控制的媒体设备(IAD、TG、AG等),只要媒体编码格式协商一致(G.711、G.729、G.723),由于都必须采用标准的RTP包格式,媒体应该能够互通。同时,要求今后各厂家对等Softswitch设备都必须遵循标准的互通协议,这样Softswitch设备完全能够实现与其他异种设备的互通。在互通的情况下,域内用户在正常情况分别由各自域的Softswitch来管
23、理和控制,如果某个域的Softswitch发生故障时,域内的网关设备可以按策略切换到网内另一个域的Softswitch进行接续和控制。当故障Softswitch恢复正常运行时,能自动接管原域内相关网关设备及终端设备的控制权限。3.2.6. 不同数据网的互通目前,主要的宽带网络包括各地各运营商的城域网、VoIP网、Internet数据和各种数据VPN网等,由于网络管理和规划的独立性,导致网络间的互通存在问题,特别是IP网的地址互通上问题更为严重。为了解决不同网络间Softswitch的互通,在不同网络间设置网关,网关可以跨在两个和几个网络间,在不同的网络中,给网关的不同的网络接口分配不同网络地址
24、(IP地址)。Softswitch也可以跨在不同的网络中并分配不同的网络地址(IP地址)。由Softswitch,采用标准的协议(H.248)动态控制和分配两个网络端口的媒体连接与释放。网关作为Softswitch控制域内的终端媒体的代理,同时Softswitch也是出网控制的代理。这样就可以实现不同网络间Softswitch系统和媒体的互通。如下图所示:3.3. QoS保证策略Softswich是在数据网上提供语音解决方案,数据网在下一代网络中处于核心传送层的位置,它由IP路由器或ATM交换机构成。Softswitch系统相关网元设备与数据网的接口为不同速率的以太网口或ATM接口,一方面,可
25、以根据运营商现有的网络条件,灵活选择IP网或ATM网作为承载网。另一方面,由于近些年来,IP技术发展迅速,IP协议越来越成为网络的标准,在可能的情况下,建议选择IP网作为下一代网络的承载网。由于Softswitch系统提供的各种语音业务是以数据网为基本的,Softswitch只完成信令的处理和媒体的控制功能,而相关网元设备的寻路和语音媒体链路的建立与传送都是通过数据网来实现的,所以语音业务的质量将完成由数据网的QoS作保证。在没有出现资源争用和拥塞时,网络并不需要QoS技术进行业务保障。当网络带宽不足而出现拥塞时,则需要综合考虑整体业务需求,选择使用合适的QoS技术,消除网络拥塞,迅速恢复正常
26、传输。Softswitch是在数据网上提供全面的语音解决方案,其语音业务的质量是通过数据网的QoS加以保证的。其中对业务的区分,保证在恶劣情况下关键业务得到应有的网络服务,是网络QoS要解决的主要问题。 数据网对语音业务的保证可以从以下几个方面体现:1合适的网络带宽设计合适的带宽是保障业务QoS的重要手段。譬如一路比较清晰的IP电话需要占用约12kbps的网络带宽,因此不可能在1条64kbps的链路上同时承载8路这样的IP电话。而且,物理线路的带宽越宽,在一定范围内越会有效降低整个网络中数据传送的时延。 一个基本的设计思想是: 根据对带宽占用大的业务来选择线路带宽,并根据业务的使用频度来考虑业
27、务对带宽的复用。但如果网络中各种业务都是频繁业务,则只能采用带宽叠加的方法。在实际使用线路时,必须综合考虑运营商网络带宽资源的实际情况,加以分析。2优先队列技术保证语音质量保证语音等实时业务优先发送,限制诸如FTP等“霸道”业务对网络的占用,从边缘接入层就开始部署QoS技术,是构建语音QoS保障方案的一个基本思路。 将语音业务设置为高优先级的实时业务,当网络发生资源争用时,其他业务应该让道给高优先级的语音业务。从简洁性上看,使用PQ(优先队列)技术即可为这样的网络提供所需的业务服务质量,保证语音业务的优先发送,减少传送时延及丢包率。 在网络中仅存在单优先的语音业务时,利用PQ技术可以保证语音业
28、务得到最优先的转发,获得最好的服务(时延最小、丢包最少等),其他业务放在缺省的正常队列里发送。但如果网络中存在多优先业务时,必须配合其它技术,保证语音等各种业务的服务质量。3基于策略的QoS保证当网络中存在电子商务、组播、IP电话等多种实时业务而又发生网络资源不足时,不能简单地将语音业务置于优先,这需要结合多种QoS技术及策略来为各种业务提供需要的服务质量。 首先,网络需要对一些大量占用带宽的非关键“霸道”业务(如FTP等)进行带宽限制,对关键业务提供一定的带宽分配和保证。在路由器的QoS保障技术中,可以综合使用CQ(定制队列)、CAR(约定访问速率)、双向带宽管理技术及CIR(承诺信息速率)
29、、DiffServ(服务区分)来提供这样的服务。 例如,可以将语音业务的IP地址的某一位设置为特定值,具有一定的特征,或按照上层协议端口划分语音业务,网络内特定地址间的访问数据即为相应语音业务数据,访问其他网络地址通常就是非语音业务数据。 一般地,在网络拥塞时,需要保证关键业务(如电子商务、组播等)得到主要的带宽(50%),语音业务也能得到相应的网络带宽(30%),限制FTP业务不超过64kbps的带宽。这样,网络就能够通过带宽资源保证减小各种业务的拥塞及时延。另外,当关键业务流量不饱和时,该部分带宽可以被别的业务占用,从而提高整个网络的资源利用率。另外,在骨干层,随着MPLS技术的日渐成熟,
30、网络通过RSVP(资源预留协议),综合全网资源情况,对语音业务进行选路,建立和保持语音业务流穿过骨干网的隧道,保证语音业务的服务质量。 值得一提的是,部署QoS服务策略,需要从网络的边缘接入部分就开始进行,这样才能得到全网的服务保障。4组建多媒体语音VPN网对QoS实质性的保证建议内蒙电信在今后组建新一代多媒体语音商用网时采用VPN实现,通过相关技术与VPN技术配合保证业务质量的可靠性。说明如下:用户端语音接入设备,如IAD,接在城域网楼道以太网交换机的下连接口上,其可以通过DHCP获得一个IP地址,这个地址将在城域网汇接层三层以太网交换机上区分与数据处于不同的VLAN,保证语音与数据是完全分
31、离的,并通过设置指定VLAN的优先级保证语音的QoS。在整个网络中,ZTE Softswitch系统的所有网元设备将遵循内蒙电信语音VPN网的统一地址规划,相关设备接在哪一个城域网中,将采用哪一个城域网中分配的语音VPN网的地址段,IAD接于楼道以太网交换机,其分配的地址也将是语音VPN网在指定城市分配的地址。城域与城域之间语音的互通,通过各城城网VPN节点处PE,城市骨干节点的CE,在PE形成的MPLS VPN完成。通过这种方式,可以保证语音的互通,同时保证语音的安全。因为语音网与数据网是两个逻辑上相分离的网络,语音的QoS也将得到最好的保证。3.4. 组网具体说明一、电信中心机房1. 放置
32、一套Softswitch控制设备 ZXSS10 SS1b,及一套网络管理系统ZXSS10 NMS;ZXSS10 SS1放置于电信省公司数据城域网核心节点,通过100M以太网口与城域网核心层8016相连。软交换网络计费采集点为ZXSS10 SS1b。由于本方案不提供预付费业务,计费结算中心与ZXSS10 SS1b之间的计费数据接口只提供FTP接口;营帐系统与SOFTSWITCH间采用标准XML接口作为用户数据管理的接口。网管系统采用标准的SNMP协议。商务实验网采用带内网管。2. 在中心机房配置信令网关ZXSS10 S100一套,连接内蒙古电信PSTN网的LSTP,实现软交换网与PSTN网络之间
33、No.7信令互通。ZXSS10 S100与数据网侧的接口为100M以太网接口,放置于城域网核心层;S100与PSTN网LSTP通过标准的No.7信令链路相连接。本方案配置两条No.7信令链路,由内蒙电信提供2个信令点编码,一个用于SS1b,另一个用于S100作为STP信令转接。3. 在中心机房目前配置3套中继网关ZXSS10 I704,完成IP城域网到PSTN网间媒体流的转换,实现和PSTN网的互通。ZXSS10 I704置于城域网核心层,通过标准100M以太网口与IP城域网相连;ZXSS10 I704和 PSTN网的接口为标准E1,本方案配置10个E1。4. 放置一套ZXSS10 I704的
34、集中维护后台,对放置ZXSS10 I704小容量中继网关进行集中告警与远程维护;也可兼作A200的集中维护后台。二、农大小区中心机房在农大东、西小区中心机房各配置一套三层交换机T16C,作为园区核心汇聚设备,主要负责分别通过100M光口上联至区公司机房核心数据设备华为交换机8016,设置带宽均为100M。(布线方案详见数据方案)三、小区住户楼在农大东、西小区六十余栋楼宇中,按照布线情况和楼宇结构安装2层以太网交换机ZXR10 2826和ZXR10 1816,作为楼宇数据汇聚设备。为实现用户的宽带、语音接入,中兴公司为用户提供ZXSS10 IAD601,其网络侧接口为1个10/100M Base
35、-T以太网口,用户侧接口为1个10/100M Base-T以太网口和一个Z接口,连接用户PC终端和电话。3.5. 网络安全性设计ZTE Softswitch通过提供多种组网策略及电信级设备保障,充分保证语音通信与多媒体通信业务的安全.3.5.1. 完善的网络组织保证网络安全在与Internet或公用数据网边界的地方,会有防火墙、攻击检测系统(IDS)与认证设备对外网用户进行严格的用户接入认证和业务认证。业务接入与承载安全性设计。3.5.1.1. 对于局域网接入的用户尽量设法将语音、视频、数据业务流在用户驻地网的相互隔离。业务流隔离可以有多种方式,一种是物理设备上的隔离,即将不同业务分别放置在不
36、同的物理传输设备上传输,比如语音、视频、数据业务分别通过不同的以太网交换机汇聚到统一的网络出口设备上。信息隔离更常用的方式是在用户驻地网内将不同业务的用户划分在不同的VLAN或不同的VPN中。语音、视频、数据业务的信息隔离使得网络更加安全。3.5.1.2. 对于互联网接入的用户,在互联网和本地城域网接口放置宽带网关以保证网络的安全。互联网接入用户在互联网侧不在软交换网络的控制范围内,所以软交换难以提供安全保证。但为了保证软交换网络用户不受互联网接入用户的非法攻击,在互联网和城域网的接口处须放置ZXSS10 B100进行流控制和流过滤。3.5.1.3. 在骨干层划分语音、视频的VPN,保证网络安
37、全。数据业务和语音、视频业务在骨干传输层也被不同的VPN隔离在一定程度上增加了网络的安全性。3.5.2. 中兴软交换系统安全性设计1. ZTE Softswitch系统首先可以通过在单台设备中主要部件及单板的备份以及多个设备之间负载分担及冗余备份的方式保证网络的安全性与可靠性。对于多台设备之间的负载分担与冗余备份,可以设置正常情况下,每台设备各处理Softswitch网内一半的业务,当某台设备发生故障时,另外一台正常工作的设备可以接续故障设备的工作,处理网内全部业务。当然,网内需要有仲栽机制对设备故障作出判断,并具有高效的切换机制保证所有业务的接续。2. ZTE提供的Softswtich网管系
38、统对各网元设备设置不同级别的管理员权限,使用户不能越级对设备进行操作。对试图非法进行系统的用户,在相关设备中实时记录LOG信息,对设备可能造成潜在危害的请求,如多次认证失败的连接、可疑的IP地址连接、并发的大话务流量等,网管系统将进行图文并茂的告警提示。3. 用户数据存储于ZTE Softwitch的维护数据管理模块上,只有授权的操作员才能操作人机命令修改程序,另外经过认证的网管系统可以通过SNMP协议来修改部分配置数据,系统还提供了针对授权的WEB Server用XML技术的维护数据服务。4. 中兴通讯提供的Softswtich系统相关网元设备内置一些自检安全工具,对可疑的入侵自发进行拒绝并
39、上报网管系统。并可以设置只对某几个主机开放Telnet、FTP,并可实时关闭外界对各网元设备的一些无关的网络请求。5. 另外,网络设计时可以在网络中启用一些防火墙设备、网络安全软件,实时监控整个网络的运行状态,保证网络安全可靠运行。3.5.3. 中兴软交换设备安全性与可靠性设计1. ZTE Softswitch系统具有高度的可靠性和安全性。分离结构模型,降低了系统风险。所有关键部件包括主处理器、主存、电源和管理接口等均采用热备份的方式,主备系统自动/人工切换;所有硬件板件均可支持热插拔;软件具有自适应、自学习、自恢复等功能,能够识别板件的在位状态,并提供智能告警、故障检测及恢复功能。2. 各网
40、元设备的工作均必须在Softswitch的控制下完成,只有获得Softswitch认证后的网元设备才能在网络中服务。3. 当系统处于运行状态时,主备处理板切换无论采用命令切换或手工切换,均能达到完全无呼损,强行拔板或故障切换会有少量呼损出现;软硬件升级可以逐个处理板进行,对指定处理板进行升级处理时可先将其上的业务分担到其他处理板进行,在该处理板无负荷的情况下进行软、硬件升级,完成后再将负荷倒换回来,基本上能做到不影响正常业务。3.5.3.1. SIP终端的认证机制对于SIP终端来说,ZTE Softswitch控制设备具有登记服务器功能,通过登记服务器对SIP终端进行认证。以下是一个登记服务器
41、认证的完整流程(采用RIGEST认证机制):u 说明:u F1:SIP终端发送REGISTER请求消息到登记服务器;u F2:登记服务器回送401“Unauthorized”响应,响应中包含鉴权所需的challenge信息(即本次认证不成功);u F3:SIP终端在收到401响应后,重新发起REGISTER请求,该请求中包含鉴权信息;u F4:登记服务器对鉴权信息进行认证,若通过,回送200OK响应。u 当然,如果第一次认证通过,则认证过程仅有F1、F4两个步骤。3.5.3.2. H.248的安全性保证由于H.248承载在数据网上,因此数据网中的安全技术均可应用于H.248,如IP Sec。另
42、外,H.248提供了临时AH方案,可供无IP Sec架构时使用。对于用户接入认证,ZTE软交换系统在H.248注册消息中加入了设备认证码,Softswitch设备在收到消息后,从中取出识别码进行对比,鉴权接入设备是否合法。3.6. 网络建设条件IP网络采用传送机制是尽力而为的(best effort)传送IP数据包,数据分组在分组网络中传输时会由于网络的传输差错、网络设备处理信号时带来的影响和网络的拥塞等原因造成分组丢失、传输时延和时延抖动,使得用户听到的语音、看到的图像会出现不连贯甚至中断的现象,无法为实时通信等服务质量要求很高的业务提供质量保证。内蒙电信软交换系统对承载的网络要求如下:正常
43、开通条件极限条件时延(ms)抖动(ms)丢包率(%)时延(ms)抖动(ms)丢包率(%)1002014006051) Softswitch接入PSTN网要有七号中继及七号信令链路资源,以保证与S100互连。需要与呼市电信关口局开两条七号信令链路(主备用),需要2个七号信令点编码,一个用在SS1b,一个用在S100上,S100用作信令转接点。IAD704作为中继网关与本地网开通话路中继,本次设计为10个E1。2) 内蒙电信为Softswitch和数据设备提供30个公网IP。其中包括ZXSS10 SS1b一个IP,ZXSS10 SS1b操作维护终端一个IP,ZXSS10 A200四个IP,ZXSS
44、10 S100两个IP,ZXSS10 S100后台服务器一个IP,ZXSS10 I704三个IP,网管客户机一个IP,网管服务器一个IP, IAD Manager服务器一个IP,APP服务器需要一个IP,数据设备(东西小区各放置一台T-16C)两个IP。3) 由于后台服务器上联数据网,出于安全靠虑,放置在硬件防火墙后。4) 在内蒙古电信公司Softswitch商用试验局中,用户语音接入设备选用中兴通讯AG设备ZXSS10 IAD600,只需要求在农大东、西小区五类线到户。5) 目前在西小区机房放置三层交换机T-16C(32光口,背板16/6G交换能力),东小区机房也放置一台T-16C(32光口
45、,背板16/6G交换能力)。两台3层交换机通过单模光纤直联到小区内各楼中单元2826二层交换机。再由2826通过100M电口级联1816或直接连接单元上网用户的IAD601。6) 内蒙电信核心节点的机房数据网设备为ZXSS10 SS1b、小区汇聚设备预留两个100M 以太网光口,通过光纤直联汇聚到区公司机房的核心数据设备华为交换机8016上,保证Softswitch核心节点网元设备与试验局指定节点的数据网设备顺利连接。7) 内蒙电信做好小区用户以及试验节点相关网元设备的IP地址规划,保证试验节点 数据网及软交换网络的互连互通。呼和浩特电信公司配合做好Softswitch试验网用户号码分配规划,
46、要求专门为农大语音用户开放2个千群号码。本次NGN网宽带用户使用公网IP,设置公网地址池,采用DHCP方式通过用户认证自动获取公网上网。经过与区公司网络部、市场部、呼分网络部NGN项目组成员开会协商决定由数据主管殷宏宇预留一个C类地址段,本次公网IP需要配置100个(呼分决定暂时为东西小区300个用户配置以太网交换机端口,因而先期设计100个IP供用户使用。)3.7. 网络设备配置清单设备清单列举如下:产品型号数量容量价格(万元)产品描述系统配置ZXSS10 SS1b 1套硬件平台具有5万线的能力,系统配置支持3000线用户的控制能力网络的控制核心,完成信令处理和媒体控制功能。放置于公网,支持
47、公网内的IAD、SIP、AG。支持centrex业务和IP PBX(包括私网)ZXSS10 I7043套10个E1 中继网关,实现与PSTN网的互通。ZXSS10 S1001套2条Link信令网关,完成PSTN到IP网七号信令的转换。ZXSS10 IAD600300套共2000线综合接入设备,用于接入用户。SS1b客户端管理服务器1套IAD manager1套用于对IAD进行管理。集中维护后台1套用于对业务区内所有的I601及I704进行集中告警与远程维护。网管服务器1套对全网进行统一管理。S100后台网管1套对S100统一管理。APP服务器1套负责增值业务和新型智能业务的管理3.8. 小区用户接入中兴通讯的软交换网络可以提供多种用户
