FEMTO核心网关技术组网方案模板文档格式.docx
《FEMTO核心网关技术组网方案模板文档格式.docx》由会员分享,可在线阅读,更多相关《FEMTO核心网关技术组网方案模板文档格式.docx(11页珍藏版)》请在冰豆网上搜索。
FEMTO基站从宽带网(电信、联通或其它宽带运营商网络)接入。
此时,WLAN只能是胖模式或者无线路由的应用方式。
Ø
WLAN系统:
主备AC均安装于纬五路二号楼四层机房,经过千兆光口连接至WLAN接入交换机S9306,进而经过移动自有城域网系统连接至京信企业级FEMTO远端。
TD系统:
TD核心网关安装于黄山路二号楼二层东侧机房。
PS域:
经过千兆光口连接至黄山路二号楼四层西侧CS域CE15、CE16;
CS域:
经过千兆电口连接至黄山路二号楼二层PS域CE53、CE54;
Iu-h口:
经过千兆光接口连接至黄山路二号楼二层东侧防火墙(新建),并经过CMNET接入交换机S9306接入CMNET,进而经过Internet、移动自有城域网连接至FEMTO基站。
GSM系统:
GSM核心网关安装于黄山路二号楼二层东侧机房。
A接口:
经过千兆以太网口连接至黄山路二号楼二层PS域CE53、CE54;
经过千兆光口连接至黄山路二号楼二层东侧防火墙(新建),并经过CMNET接入交换机S9306接入CMNET,进而经过Internet、移动自有城域网连接至FEMTO基站。
网管系统:
WLAN系统接入移动现有网管系统,TD/GSM系统网管由京信公司负责新建。
网管机柜安装于黄山路二号楼二层东侧机房,经过百兆以太网口连接至TD/GSMFEMTO核心机柜。
第二节物理需求
1设备安装空间需求
本次工程共新增直流机柜3个,交流机柜1个。
详情如下:
机柜规格如下:
直流机柜:
2200(高)*600(宽)*800(深)mm
交流机柜:
2200(高)*600(宽)*950(深)mm
机柜安装位置:
直流机柜1:
主要用于安装AC设备,拟安装在纬五路4层机房。
直流机柜2:
主要用于安装TD网关,拟安装在黄山路2号楼2层机房东侧。
直流机柜3:
主要用于安装GSM网关,拟安装在黄山路2号楼2层机房东侧。
主要用于安装网管服务器、交换机等设备,拟安装在黄山路2号楼东侧机房。
2机房接入电源需求
各机柜电源需求如下表:
机柜
端子需求
机柜设备功耗(W)
交/直流
局址
直流机柜1(主备AC)
主备2路共2个100A端子
600
直流
纬五路4层机房
直流机柜2(TD网关)
1700
黄山路2号楼2层机房
直流机柜3(GSM网关)
交流机柜
主备2路共2个35A端子
3800
交流
3传输资源接口说明
序号
地市
局止
起点
终点
电路类型
新增数量(条)
1
合肥
纬五路机房
4层主AC
4层S9306
GE光口
2
4层备AC
3
黄山路2号楼机房
2层TD网关
2层CS域CE53
GE电口
4
2层CS域CE54
5
4层PS域CE15
6
4层PS域CE16
7
4层CMNET交换机
8
2层GSM网关
9
10
11
12
3.1TD网关物理接口说明
●TD网关与M网关之间接口(IU-CS接口)
TDFemto网关使用以太网接口连接到CS承载CE与MGW互通。
端口类型:
千兆电口
端口数量:
1个
●TD网关与SGSN之间接口(IU-PS接口)
TDFemto网关使用以太网接口到SGSN用户面CE与SGSN互通。
千兆光接口
●TDFemto网关与城域网之间接口(Iu-h接口)
TDFemto网关使用以太网接口连接城域网交换机。
3.2GSM网关物理接口说明
●GSM网关与MGW之间接口(A接口)
GSMFemto网关IP化接口接口与MGW互通。
1个。
●GSM网关与SGSN之间接口(Gb接口)
GSMFemto网关使用以太网接口到Gb与SGSN互通。
●GSMFemto网关与城域网之间接口(Iu-h接口)
GSMFemto网关使用以太网接口连接CMNET交换机。
3.3AC物理接口说明
京信WLANAC使用光口连接交换机光口,主备AC使用光口对接。
4个
第三节业务流程
1.企业级基站数据通路分析
图2企业级基站示意图
企业级基站包含两个模块:
TD/GSM、WLAN。
两个模板经过内置的路由器作为数据的唯一通路。
即设备对外的WAN口只有一个IP,TD/GSM业务和WLAN业务都是经过内置路由器转发,为了保证实时性要求更高的FEMTO业务的QoS,在内置路由器上实现了业务优先、带宽比例分配和智能限速功能,能够保证FEMTO业务的优先传输。
系统示意图如图2所示。
FEMTO基站提供两个无线接口,一个用于TD/GSM用户经过该设备使用移动通信网络,另一个用于WLAN用户经过该设备使用WLAN网络。
FEMTO基站提供一个有线接口,用于设备连接TD/GSM网关设备及WLANAC设备,并作为TD/GSM及WLAN用户的上联数据通道。
根据移动现有驻地网络的组网模式不同,能够分为WLAN网络和宽带网,两种不同组网模式下的业务流程如下:
1.1基于WLAN网模式下的业务流程
主要流程如下:
1)企业级基站启动时,向外广播DHCP请求,经过DHCP中继将广播转为单播,指向AC,这时AC就会给企业级基站分配一个私网IP。
2)企业级基站利用获取的IP与AC建立CAPWAP隧道,由AC对企业级基站的WLAN配置进行管理,并给企业级基站下发WLAN模板,完成WLAN覆盖。
3)同时企业级基站利用此IP给网关发送IPSec隧道建立请求(目的地址为网关地址的单播请求),请求抵达BRAS后,由BRAS免认证路由请求至网关,因企业级基站使用私网IP发送请求,固需在上层设备BRAS或防火墙上提供NAT功能,将私网地址装换为公网地址,经过CMNET抵达网关,网关收到请求后回复企业级基站请求,建立IPSec隧道。
隧道建立后,企业级基站经过HMS获取配置,提供TD移动接入服务。
为保障安全,可在BRAS上配置ACL规则,使企业级基站仅能访问TD网关等特定IP。
4)用户接入WLAN业务时,企业级基站对用户数据进行CAPWAP封装,业务数据走CAPWAP隧道抵达AC,完成认证接入互联网过程;
用户接入TD业务时,企业级基站会对用户数据进行进行IPSec封装,业务数据走IPSec隧道抵达网关,完成TD业务接入过程。
5)在建立隧道过程,接入交换机会给WLAN管理数据及TD管理数据标记同一VLAN,VLAN将终止在BRAS上。
整个过程,企业级基站不会对TD数据进行CAPWAP封装,同时不会对WLAN数据进行IPSec封装,即TD数据与WLAN数据为两路独立的数据。
1.2基于宽带网模式下的业务流程
主要流程如下(此模式下,至少需满足4M以上带宽):
1)企业级基站启动时,向外发送地址请求,此时本地DHCP服务器将回复该请求,给企业级基站分配IP地址。
2)利用此IP,在本地DHCP服务器上配置一option43字段,指向AC,使企业级基站在寻找AC阶段能找到AC,建立CAPWAP隧道,完成WLAN覆盖。
3)同时企业级基站利用此IP给网关发送IPSec隧道建立请求(目的地址为网关地址的单播请求),如该IP为私网IP,则需在上层设备添加NAT功能。
4)整个过程,接入交换机会给WLAN管理数据及TD管理数据标记同一VLAN,VLAN将终止在企业级基站网关上。
两路数据相互独立,各自封装其业务数据,其它数据走向,同WLAN网。
2.家庭级基站数据通路分析
家庭级基站具备TD+WIFI无线路由器功能。
当前家庭级基站不支持WLAN功能,在具备互联网接入且满足带宽要求(至少满足2M带宽)的场所均能满足开通要求,根据不同运营商网络分为移动宽带网和其它运营商宽带网模式,两种模式下的业务流程如下:
2.1移动宽带网
家庭网关具备PPoE自动拨号功能,部署时配置账号密码,上电后自动拨号,将从本地DHCP服务器获取IP,利用该IP,家庭网关与网关建立IPSec隧道,启动TD信号覆盖。
同时可提供WIFI无线路由器功能。
2.2其它运营商宽带网
对于家庭网关而言,与接入移动宽带网方式一样。
第四节系统安全措施
1.系统安全设计原则
1)多重保护原则:
多条安全防线,互相独立,能独自有效地保护关键网元。
即使一条防线被攻破,剩余的安全防线也有效保护网元。
2)最小授权原则:
操作维护或网元进程,只给予保证正常功能的最小权限和最小资源。
3)灵活配置原则:
当发现安全威协时,经过ACL、包过滤等技术,中断危险连接。
2.系统安全架构
双重防护,确保系统接入网络安全。
1)网络安全:
系统网关与CMNET之间配置防火墙,采用NAT和访问控制列表等技术防范网络攻击。
只开放业务所需的UDP500/4500端口,其它网络流量都阻止。
对于业务端口数据进行协议匹配。
同时,AC可添加防火墙或ACL,限制特定用户访问AC。
2)业务安全:
采用EAP-AKA、证书认证方式保证合法设备才能接入系统网关;
采用IPSec对业务、信令和OAM数据进行加密;
经过位置接入限制功能,限制用户在非法地址接入;
对不符合FEMTO系统协议的数据屏蔽,有效保证业务正常进行。
对于WLAN业务,启用防DOS攻击,御防非法用户接入
升级会员 