中国移动SDH业务方案0825.docx
《中国移动SDH业务方案0825.docx》由会员分享,可在线阅读,更多相关《中国移动SDH业务方案0825.docx(21页珍藏版)》请在冰豆网上搜索。
中国移动SDH业务方案0825
中国移动SDH/MSTP业务技术方案
1前言
中国移动通信集团公司(简称“中国移动”)于2000年4月20日成立,注册资本518亿元人民币,截至2008年9月30日,资产规模超过8,000亿元人民币,拥有全球第一的网络和客户规模,是北京2008年奥运会合作伙伴和2010年上海世博会全球合作伙伴。
中国移动全资拥有中国移动(香港)集团有限公司,由其控股的中国移动有限公司(简称“上市公司”)在国内31个省(自治区、直辖市)和香港特别行政区设立全资子公司,并在香港和纽约上市。
目前,中国移动有限公司是中国在境外上市公司中市值最大的公司之一,也是全球市值最大的通信公司。
中国移动主要经营移动话音、数据、IP电话和多媒体业务,并具有计算机互联网国际联网单位经营权和国际出入口局业务经营权。
除提供基本话音业务外,还提供传真、数据、IP电话等多种增值业务,拥有“全球通”、“神州行”、“动感地带”等著名客户品牌。
中国移动通信集团北京有限公司(简称“中国移动北京公司”)是中国移动通信集团公司(北京2008年奥运会合作伙伴、《财富》杂志500强企业)的重要成员之一。
中国移动北京公司秉承“正德厚生,臻于至善”的企业核心价值观,在创造企业经济价值、为推动首都经济发展做出贡献的同时,不断提升企业社会责任感,积极参与各项公益事业和社会活动,在服务奥运的征程上,秉承“一切围绕奥运,一切为了奥运,一切服务奥运”工作思路,出色完成了历史赋予的神圣使命;在抗击冰雪和地震灾害的斗争中,给予灾区无私的支持与援助,完美诠释了“一方有难,八方支援”的深刻内涵;在TD-SCDMA网络建设的攻坚中,用1年时间完成了过去十几年GSM建设任务量的70%;在响应“绿色北京”、“节约型社会”的号召中,全面开展“绿箱子行动”和节能减排的各项工作。
中国移动互联网(Chinamobilenet简称CMNet)是一个全国性、以宽带IP为技术核心的新一代电信基础网络,可提供IP电话、手机上网、专线上网、无线局域网(WLAN)、虚拟专用网、GPRS骨干传输、带宽批发等一系列高品质电信服务,拥有高带宽的国际互联网入口,它可以满足人们在通信、电子商务、信息浏览、娱乐等方面的需求,使全球化、综合化、个人化通信从根本上得以保障。
北京移动作为CMNET的重要骨干节点,凭借优势的骨干网络资源和接入平台,结合北京移动的丰富的传输资源,能够为客户提供全方位、综合化、移动化的互联网接入解决方案。
作为北京2008奥运会的合作伙伴,北京移动一直致力于“数字北京”的建设,北京移动愿意积极配合政府电子政务的信息化建设,为政府信息化建设提升作出更大的贡献。
2北京移动网络规模
2.1北京移动互联网络规模
北京移动作为中国移动互联网(CMNET)的三大核心骨干节点之一,汇接了全国16个重要省会城市,通过与其他两大核心骨干节点的高速连接,形成覆盖全中国的互联网络,实现了真正意义上的“南北互联互通”。
北京移动互联网在骨干层面出口与中国联通、中国电信等多家运营商实现了的互联互通,并有充足的带宽保证互访质量。
另外在本地,北京移动目前已与北京联通、北京电信等各大运营商之间建立了互联互通链路。
实现方式是采用SDH光传输,双方建立多个2.5Gbit/s二纤双向复用段保护环,以保证互联链路的安全性。
(总带宽达到40-50Gbit/s)
2.2北京移动传输网络规模
北京移动已经在北京市区内建成品字形结构的光纤宽带骨干网络,结合连接各郊区基站的光纤网络,实现了对北京市的网络覆盖。
该网络采用多种网络新技术和先进的大容量网络交换设备,建设起点高、技术新,支持业务种类多。
网络具有较高的稳定性、可靠性、和安全性。
2.2.1传输网现状
北京移动城域传输网按分层结构进行建设,整个网络清晰的分为核心层、汇聚层、接入层三个层面。
核心层采用ASON+MSTP设备组网,能够保证对重点电路(例如中央、国家机关)的高优先级。
汇聚层和接入层采用MSTP设备组网,具有多样化的网络接口和灵活的多业务接入能力。
核心层、汇聚层组网均采用二纤双向复用段保护环,核心层每个环路保证有两个业务节点,汇聚层每个环路保证上联到两个骨干节点,以确保单业务/骨干节点失效而业务不中断。
接入节点将根据光缆建设情况就近接入汇聚节点,相邻的3-5个接入节点与汇聚节点组成155Mbit/s或622Mbit/s通道保护环进行业务的汇聚,在光缆条件允许的情况下,尽量双归到两个汇聚层节点,以避免单节点失效导致的网络中断。
另外,郊区网作为城域传送网的一部分,郊区各县均建有综合楼,综合楼节点在移动传送网中相当于城区的汇聚节点,建设原则和使用的设备与城区汇聚节点相同。
郊区接入节点根据节点位置就近接入到郊县内相应的汇聚节点。
北京移动城域传输网总体结构如下图所示:
2.2.2光缆网现状
北京移动城域光缆网利用自有和租用的管道资源,按照主干层、汇聚层、接入层(包含用户层)光缆分层敷设,为城区及郊区的18个区县的基站提供光缆接入。
3SDH/MSTP业务方案
3.1SDH/MSTP工作原理平台
MSTP可以将传统的SDH复用器、数字交叉链接器(DXC)、WDM终端、网络二层交换机和IP边缘路由器等多个独立的设备集成为一个网络设备,即基于SDH技术的多业务传送平台(MSTP),进行统一控制和管理。
基于SDH的MSTP最适合作为网络边缘的融合节点支持混合型业务,特别是以TDM业务为主的混合业务。
它不仅适合缺乏网络基础设施的新运营商,应用于局间或POP间,还适合于大企事业用户驻地。
而且即便对于已敷设了大量SDH网的运营公司,以SDH为基础的多业务平台可以更有效地支持分组数据业务,有助于实现从电路交换网向分组网的过渡。
所以,它成为城域网近期的主流技术。
这就要求SDH必须从传送网转变为传送网和业务网一体化的多业务平台,即融合的多业务节点。
MSTP的实现基础是充分利用SDH技术对传输业务数据流提供保护恢复能力和较小的延时性能,并对网络业务支撑层加以改造,以适应多业务应用,实现对二层、三层的数据智能支持。
即将传送节点与各种业务节点融合在一起,构成业务层和传送层一体化的SDH业务节点,称为融合的网络节点或多业务节点,主要定位于网络边缘。
基于SDH的多业务传送节点除应具有标准SDH传送节点所具有的功能外,还具有以下主要功能特征。
(1)具有TDM业务、ATM业务或以太网业务的接入功能;
(2)具有TDM业务、ATM业务或以太网业务的传送功能包括点到点的透明传送功能;
(3)具有ATM业务或以太网业务的带宽统计复用功能;
(4)具有ATM业务或以太网业务映射到SDH虚容器的指配功能。
基于SDH的多业务传送节点可根据网络需求应用在传送网的接入层、汇聚层。
城域网大致包括基于SDH结构的城域网、基于以太网结构的城域网、基于ATM结构的城域网和基于DWDM结构的城域网。
各种城域网技术之间表现出一种融合的趋势。
3.2MSTP的特点
(1)业务的带宽灵活配置,MSTP上提供的10/100/1000Mbit/s系列接口,通过VC的捆绑可以满足各种用户的需求;
(2)可以根据业务的需要,工作在端口组方式和VLAN方式,其中VLAN方式可以分为接入模式和干线模式:
·端口组方式:
单板上全部的系统和用户端口均在一个端口组内。
这种方式只能应用于点对点对开的业务。
换句话说,也就是任何一个用户端口和任何一个系统端口(因为只有一个方向,所以没有必要启动所有的系统端口,一个就足够了)被启用了,网线插在任何一个启用的用户端口上,那个用户口就享有了所有带宽,业务就可以开通。
·VLAN方式:
分为接入模式和干线模式。
其中的接入模式,如果不设定VLANID,则端口处于端口组的工作方式下,单板上全部的系统和用户端口均在一个端口组内。
如果设定了VLANID,需要设定“端口VLAN标记”。
这是因为交换芯片会为收到的数据包增加VLANID,然后通过系统端口走光纤发到对端同样VLANID的端口上。
比如某个用户口VLANID为2,则对应站点的用户端口的VLANID也应该设定为2。
这种模式可以应用于多个方向的MSTP业务,这时每个方向的端口都要设置不同的VLANID。
然后把该方向的用户端口和系统端口放置到一个虚拟网桥中(该虚拟网桥的VLANID必须与“端口VLAN标记”一样)。
(3)可以工作在全双工、半双工和自适应模式下,具备MAC地址自学习功能;
(4)QoS设置:
QoS实际上限制端口的发送,原理是发送端口根据业务优先级上有许多发送队列,根据QoS的配置和一定的算法完成各类优先级业务的发送。
因此,当一个端口可能发送来自多个来源的业务,而且总的流量可能超过发送端口的发送带宽时,可以设置端口的QoS能力,并相应地设置各种业务的优先级配置。
当QoS不作配置时,带宽平均分配,多个来源的业务尽力传输。
QoS的配置就是规定各端口在共享同一带宽时的优先级及所占用带宽的额度。
(5)对每个客户独立运行生成树协议。
3.3MSTP的优势
(1)现阶段大量用户的需求还是固定带宽专线,主要是2Mbit/s、10/100Mbit/s、34Mbit/s、155Mbit/s。
对于这些专线业务,大致可以划分为固定带宽业务和可变带宽业务。
对于固定带宽业务,MSTP设备从SDH那里集成了优秀的承载、调度能力,对于可变带宽业务,可以直接在MSTP设备上提供端到端透明传输通道,充分保证服务质量,可以充分利用MSTP的二层交换和统计复用功能共享带宽,节约成本,同时使用其中的VLAN划分功能隔离数据,用不同的业务质量等级(CoS)来保障重点用户的服务质量。
(2)在城域汇聚层,实现企业网络边缘节点到中心节点的业务汇聚,具有节点多、端口种类多、用户连接分散和较多端口数量等特点。
采用MSTP组网,可以实现IP路由设备10M/100M/1000MPOS和2M/FR业务的汇聚或直接接入,支持业务汇聚调度,综合承载,具有良好的生存性。
根据不同的网络容量需求,可以选择不同速率等级的MSTP设备。
3.4"SDH/MSTP"业务对相关系统的要求
(1)网络实现
“MSTP专线”业务的组网模型是MSTP设备放在接入端接入业务,下行和客户端设备相连,上行和本地网SDH设备相连。
中间采用已有的传送网(其他网络暂不考虑)作为该业务的承载网,两端的MSTP设备根据各本地网实际情况,可采用(或升级)现网MSTP设备,也可新购MSTP设备。
(2)对客户设备的配置要求
当开通点到多点以太网专线业务时,若分支节点客户设备需要为业务设置VLANID,中国移动将提供VLANID,以保证各分支节点具有不同的VLANID供汇聚节点识别。
开通点到点以太网专线业务时,对客户设备配置不作要求。
(3)MSTP设备互通要求
MSTP设备由中国移动根据客户需求选型、采购和管理维护,并确保兼容及互通功能。
(4)对业务承载网的要求
"SDH/MSTP"只需要在网络的接入层配置MSTP设备,网络内部可利用已有的SDH传送网资源。
由于MSTP对以太网业务的支持是通过GFP、虚级联和LCAS等技术来实现的,而这些技术都需要用SDH的通道开销字节来传送控制信息。
因此必须保证SDH通道开销字节的透明传送,即要求"SDH/MSTP"业务不能有2M电路的上下和转接,而需要采用STM-N接口进行网络连接。
(5)对以太网业务的支持
MSTP(Multi-serviceTransportPlatform)即多业务传输平台,它是一种城域传输网技术,将SDH传输技术、以太网、ATM、POS等多种技术进行有机融合,以SDH技术为基础,将多种业务进行汇聚并进行有效适配,实现多业务的综合接入和传送,实现SDH从纯传送网转变为传送网和业务网一体化的多业务平台。
随着近年来数据、宽带等IP业务的迅猛增长,MSTP技术的发展主要体现在对以太网业务的支持上。
3.5"SDH/MSTP"业务网络建设原则
1)可管理原则,方案基于北京移动城域网分层的网络结构,需要统一的分级、分权管理能力的网管系统,实现统一的网络业务调度和管理,降低网络运营成本。
2)可靠性原则,"SDH/MSTP"业务网络的建设应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
3)可扩展性原则,考虑今后到用户数量和业务种类的发展,此次方案要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够适应需求变化,充分留有扩充余地。
4)开放性和标准化原则,方案所采用的技术和设备材料等,都必须符合相应的国际标准或国家标准,或者符合相关系统内部的相应规范。
便于系统的升级、扩充,以及与其它系统或厂家的设备的互连、互通。
3.6"SDH/MSTP"业务网络管理
网管功能至少应包括:
拓扑管理、故障管理、配置管理、性能管理、安全管理、业务管理等主要网管功能。
故障管理:
跟踪、辨认错误,接受错误报告并作出反应;维护并检查错误日志,形成故障统计;能执行一定的诊断测试。
配置管理:
自动发现网络拓扑结构及网络配置,实时监控设备状态;创建并维护配置数据库;能进行网络节点设备、端口、系统软件的配置;对配置操作过程进行记录统计。
性能管理:
收集网络内运行的数据信息,提供网络的性能统计,如:
网络节点设备的可用率、CPU利用率、故障率,中继线路流量统计、网络时延统计,网络各类业务量统计等;分析历史统计数据,优化网络性能,消除网络中的瓶颈,实现网络流量的均匀分布。
采用SITESCOPE软件对网络设备的可用率、CPU利用率、内存利用率、网络服务可用性等进行指标监控,当故障发生时通过声、光等方式报警,管理人员可第一时间了解故障情况并进行处理。
4"SDH/MSTP"业务网络安全保障
作为提供多种网络解决方案的枢纽,北京移动数据业务部经过多年的运营,已经建立起一整套完善的信息安全管理体系及各种紧急情况的应急预案,并且成为中国大陆唯一一家通过BS7799国际安全认证的互联网数据中心。
可以为客户提供高可靠的安全性。
4.1信息安全解决方案
多层次防护体系
信息安全从技术层面上可以划分为五个层次,物理层、网络层、系统层、数据层、应用层。
根据信息安全的整体性,我们知道,木桶的盛水量取决于最短的一块板,信息系统的整体安全性,同样取决于最薄弱的环节。
因此,综合从这些层次来考虑问题,将有助于我们在技术防护措施的设计中,做到完善而没有纰漏。
下面将从这五个层次分别对信息安全方案进行分析和设计。
应用层
数据层
系统层
网络层
物理层
物理层安全
为了保护计算机设备、设施(含网络)以及其它媒体免遭地震、水灾、火灾、有害气体和其它环境事故(如电磁污染等)破坏,应采取适当的保护措施。
在通信线路和物理设备安全上主要是考虑其可靠性、稳定性,通信线路采用屏蔽布线系统抗干扰、抗电磁泄漏。
重要设备应该考虑采用双机热备份。
北京移动建立严格的机房管理制度,保证非授权人员无法从物理上进入和接触机房、机柜、主机或网络设备,确保通信设施安全运行。
北京移动传输网在光缆条件允许的情况下,尽量双归到两个汇聚层节点,以避免单节点失效导致的网络中断。
该网络采用多种网络新技术和先进的大容量网络交换设备,建设起点高、技术新,支持业务种类多。
网络具有较高的稳定性、可靠性、和安全性。
网络层安全
由于IP网络系统内运行的TPC/IP协议并非专为安全通讯而设计,所以网络系统存在大量安全隐患和威胁。
网络入侵者一般采用预攻击探测、窃听等搜集信息,然后利用IP欺骗、拒绝服务攻击、分布式拒绝服务攻击、篡改、堆栈溢出等手段进行攻击。
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其应用在有Internet接入的网络。
为此客户在接入互联网时,充分考虑了以下措施:
采取物理分段、逻辑分段等措施,根据业务系统运行的需要,规划和建立安全的网络拓扑结构;
通过使用防火墙等安全设备确保网络边界安全;
通过防火墙、路由器等网络设备,通过源地址、源端口或目的地址、目的端口等设置严格的访问控制策略;
建议网络采用安全扫描系统,对系统或网络设备的各种服务端口进行检测,以便及时发现漏洞并采取修补措施;
在网络DMZ区或数据中心等重要服务器网段,采用入侵检测系统,通过协议分析、特征检测等方式,及时发现攻击行为并采取相应措施。
系统层安全
操作系统不同程度上都存在一些安全漏洞或薄弱环节。
一些广泛应用的操作系统,如Unix,WindowsNT,其安全漏洞更是广为流传。
另一方面,系统管理员或使用人员对复杂的操作系统及其自身的安全机制了解不够,或者由于网络规模较大、管理人员精力有限,都可能造成配置不当,从而造成安全隐患。
所有的应用系统都运行在特定的操作系统上,失去操作系统的安全,应用系统就失去了安全基础。
仅仅依靠管理人员的一般管理来保证操作系统的安全是不够的,因此需要增加相应的产品和服务来保障操作系统的安全。
操作系统的漏洞需要得到及时的修补,才能保障系统的安全。
衡量主机操作系统的安全性,是看其符合TCSEC(TrustedComputerSystemEvaluationCriteria)橘皮书中规定的哪一个标准。
目前,市场上能提供的商用操作系统都是C2级和B1级。
在安全性方面,B1级远优于C2级系统。
但大多数公司只能提供C2级操作系统,只有少数几家公司能提供B1级系统。
为了与其它计算机系统联网,UNIX系统都要附带许多网络服务实用程序,如FTP、Telnet等,极大地方便了计算机用户。
遗憾的是,在应用过程中发现,这些实用程序在设计上的一些弱点和故障(BUG)常常会被所谓计算机黑客利用,用来进攻系统。
预防这种安全攻击的最有效手段是取消掉不需要的网络服务,并对必需的网络服务进行安全检测。
可以采用安全扫描系统,对操作系统级的漏洞进行检测,以便及时修补。
也可以采用专门的系统安全加固软件,或者采用专业安全加固服务,对Windows/UNIX等操作系统和防火墙、路由器、数据库等产品,进行安全配置,修补已知的安全漏洞。
数据层安全
在网络信息系统安全建设中必不可少的一个环节就是数据的常规备份和历史保存。
一般在生产本地的备份目的主要有两个:
一是生产系统的业务数据由于系统或人为误操作造成损坏或丢失后,可及时在生产本地实现数据的恢复;另一个目的是在发生地域性灾难(地震、火灾、机器毁坏等)时,可及时在本地或异地实现数据及整个系统的灾难恢复。
对于比较重要的业务系统,可以考虑采用专门的数据备份和灾难恢复系统。
数据的备份,最简单的包括本机硬盘备份、磁盘备份,也可以采用专用的磁带机、磁带库等专用设备进行备份,甚至建立异地容灾系统等;同时可以考虑采用相应的数据备份和恢复软件,进行自动化的集中管理。
我们建议在比较重要的业务系统增加高性能大容量磁带库或其他数据备份设备。
应用层安全
应用层安全是指网络上的应用系统安全,在信息系统中,包括OA、邮件等业务应用系统或Web业务等的安全。
应用层安全要求严格区分应用系统内各类数据访问的安全级别,做到对各种重要信息的绝对安全管理、查询和传输,采用各种手段,来严防越权访问和传输安全。
针对系统的特点,应在应用系统中提供增强的、有针对性的安全保证机制,包括内容如下:
●程序接口安全
●系统登录安全
●用户角色控制安全
●输入数据的安全检查
●应用系统数据库访问的安全
●防止网上密码盗用的安全策略
●IC卡身份识别
●系统日志的记录
●转账交易的数字签名
●完善的系统监控和日志
……
建议,除采用安全技术确保业务系统安全外,还需要采用系统监控、日志管理等方式保证应用系统的安全运行。
实践表面,良好的安全监控功能,可以大幅度提高系统的整体安全性,及早发现、排除安全隐患。
建议采用动态双因素口令系统,进行严格的用户身份认证和访问资源控制,确保应用系统的安全。
在应用层,还应采用基于网络的集中管理的网络防病毒系统。
4.2相关技术产品及部署建议
防火墙技术
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合,目的是为了保障“可信任的”网络安全并且维护“可信任的”网络与“不可信任的”网络之间通讯的方便。
防火墙被设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。
它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网(Intranet)和互联网(Internet)之间的任何活动,保证了内部网络的安全。
防火墙系统已经基本成为和路由器、交换机等具有同等地位的网络基础设备。
它能够把来自网络外部的绝大多数非法访问拒之门外。
防火墙技术主要分三种:
包过滤,应用代理服务器,状态检测防火墙。
每种防火墙都有其优点,也有与其它相比不足的地方。
下面是对每种防火墙的主要描述:
包过滤防火墙
包过滤防火墙以cisco的pix和Netscreen为典型,包过滤防火墙检查每个在网络间被传送的IP数据包中的内容,并根据它们的地址及指定的应用服务来决定接受或拒绝这个数据包。
Internet互连的基本单位就是IP数据包。
每个IP数据包包括一个包含源地址和目标地址的包头。
在包过滤防火墙中,是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(AccessControlTable)。
安全策略由每个与指定的源地址、目标地址、服务、及动作(通过或拒绝)的有关规则组成。
系统管理员必须将防火墙设置为准许或拒绝特殊类型的数据或地址,并允许授权一个时间密集的任务。
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。
路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
任何类型的防火墙在某种程度上均会影响网络的性能,包过滤防火墙通常速度最快,因为它只检测每个数据包中最基本的包头信息。
但包过滤策略的规则越多,就会发生越多的冲突。
因此,包过滤防火墙最适合于禁止多地址往来访问的相对封闭环境。
应用代理服务器
应用代理服务器以Axentraptor和NAI的gauntlet为典型,应用代理是在网络应用层上建立协议过滤和转发功能。
它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。
将所有跨越防火墙的网络通信链路分为两段。
防火墙内外计算机系统间应用层的"链接",由两个终止代理服务器上的"链接"来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。
应用代理服务器对客户端的请求行使“代理”职责。
客户端连接到防火墙并发出请求,然后防火墙连接到服务器并代表这个客户端重复这个请求。
返回时数据发送到代理服务器,然后再传送给用户,从而确保内部IP地址及口令不在Internet上出现。
状态检测防火墙
状态检测防火墙以checkpoint的Firewall-1和Netscreen最为著名。
状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性。
它们不仅仅检测“to”或“from”的地址,而且也不要求每个被访问的应用都有代理。
状态检测防火墙根据协议、端口及源地址、目的地址的具体情况决定数据包是否可以通过。
对于每个策略允许的请求,状态检测防火墙只在同一台主机上打开一个限时的窗口回应该数据包,并且通过保留前一个数据包的信息(比如,“
升级会员 