29-ngn局端设备组网工程师培训胶片issue1.0

NGN局端设备组网,ISSUE 1.0,1,NGN网络的组网与数通产品联系紧密，IP承载网的安全性是NGN网络正常运营的重要保障。本节课重点介绍NGN工程中NGN局端设备IP出口到城域网入口这一段的网络连接及安全性等问题，是NGN工程施工的指导性规范，NGN核心承载网、接入网的组网不在本课程中详细讨论。,2,学习目标,学习完此课程，您将会：了解NGN组网的整体框架了解NGN网络的安全性问题。了解NGN局端组网的方案。了解NGN局端组网的关键技术。,3,参考资料,网站资料：NGN工程 局端设备组网指导书V2.1-20051231-B.doc,4,第1章 NGN网络的安全性问题第2章 信令LAN（一）与媒体层LAN（二）的组网第3章 NGN局端组网的QOS和可靠性配置 第4章 会议系统及SBC组网第5章 LAN（三）操作维护管理组网第6章 LAN（三）计费组网,5,第1章 NGN网络的安全性问题 第1节 NGN网络和PSTN网络的差异第2节 NGN业务模式对IP承载网的建设要求第3节 NGN组网框架第4节 NGN局端设备组网安全方案第5节 设备选型,6,PSTN网络和 NGN网络的差异,网络构造：电路网络分组网络信令类型：窄带信令基于TCP/IP的（多媒体）信令网络部件：窄带交换机软交换、信令网关、媒体网关、各类终端和承载设备连接方式：电路转接端到端连接承载方式：2M传送分组传送业务类型：补充业务、智能业务补充业务、智能业务、多媒体业务和开放的第三方业务,7,第1章 NGN网络的安全性问题 第1节 NGN网络和PSTN网络的差异第2节 NGN业务模式对IP承载网的建设要求第3节 NGN组网框架第4节 NGN局端设备组网安全方案第5节 设备选型,8,NGN业务模式对IP承载网的建设要求,安全性实施网络分隔，保护核心部件；采用代理技术，提供智能终端用户接入通道；增加设备认证、协议加密及访问控制，解决终端用户接入的安全性 。最关键词隔离：采用IP物理专网方式组建NGN承载网，这是目前采用最多的方式，安全性最好。通过MPLS VPN组建多业务网络，NGN承载网作为一个VPN存在。这个需要全网的规划，难度比较大。QoSIP物理专网方式（信令媒体分离）过量带宽(如中国移动T1工程按照50% 平均负荷配置承载网)特殊网络拓朴，如星型网，全互联网状网等。（如中国移动T1工程采用大区节点间全网状网，大区到各个省会之间全星型网的方式）IPTN完整的端到端Qos控制方案。（目前没有大规模实施）信令和VOIP 语音/视频共用物理网络 优先级（VoIP语音IP头 DSCP标识为EF，信令标识为AF，并限制EF 流的带宽)可靠性设备可靠性问题已不突出，VPN组网可靠性将随着MPLS技术的成熟逐步得到解决。网络流量规划以话务量为基础的理论计算VoIP通道数量在这里还适用。,9,第1章 NGN网络的安全性问题 第1节 NGN网络和PSTN网络的差异第2节 NGN业务模式对IP承载网的建设要求第3节 NGN组网框架第4节 NGN局端设备组网安全方案第5节 设备选型,10,NGN组网框架,基本框架将端到端的安全网络分解为段到段的安全层次。整个网络分为接入层、骨干层和远端、端局四个段的层次。,NGN承载网的分段框架,Terminal,Access Network,NGNBackbone,PE,LAN,NGN Core Equipment,Host Office,PE,Broadband Access,Backbone,SoftX3000,MGW,Remote Access,PSTN,本胶片重点分析，包括组网配置、QOS、可靠性和安全,BRAS/SBC,TG,11,NGN组网框架,NGN网络的组网部件,ISUP,SIPH.323,PARLAY,SNMPQ3,SIP,PSTN,M3UASCTP,NGN Bearer Network,PLMN,H.248,Soft Phone,SIP Phone,H.323 Phone,SIP-T/BICC/H.323,IAD,H.248MGCP,H.323,H.248MGCP,H.248,TELLIN（ENIP）,UMS(Active),AppServer,SG,switch,UMG,SoftX3000,AMG/UMG+RSP,SoftX3000,UMG,MRS,UMS(Standby),SNMPQ3,MRS,IADMS,SE2000,MCU,Mediax3600,以上是母局组网需要考虑的设备,12,NGN组网框架,基于不同流量分离思想的NGN核心网组网框架,Billing Network,Media,Softswitch(SoftX3000),MGW(UMG8900),SE 2000,STP(SG7000),Firewall 1,IP PBX,H.248/SIP,RTP/UDP,NMS,IAD,MML/SNMP,MML/SNMP,FTP/FTAM,MML/SNMP,MGCP/H.248/SIP/H.323,OSS,CORBA,SNMP,SIGTRAN,Firewall 2,Signalling,(DiffServ: DSCP=AF21),(DiffServ: DSCP=EF),(DiffServ: DSCP=AF41),Firewall 3,SIP-T/BICC,SNMP,SE 2000,AMG,Other Carrier,13,NGN组网框架,NGN安全区域分隔模型,IAD,Soft Phone,H.323 Phone,SG,SoftX,MRS,UMS,GK,MCU,SIP Phone,iGWB,IDS,半信任区,TELLIN（ENIP）,专网区,Fire Wall,PC Terminal,Soft Phone,IAD,Video Phone,非信任区（本运营商）,普通 Voice Phone,非信任区（Internet）,信任区（PSTN）,PSTN运营网络,Internet公网,管理、操作维护,上级OSS（网管、计费、鉴权等）,RAS,专网区,DDN Router,SBC,信任区,IAD-MS,RM,ROUTER,BAS,L3 /Router,UA,黑客攻击,* 安全系数,攻击方向,*,*,*,* (-),STP,信任区,RAS,*,*,母局可能病毒区域,*,* (-),* (+),* (-),SBC,AMG,UMG,信任区,UMG,DSLAM,*,SHLR,Database,MediaX3600,14,NGN组网框架,NGN局端组网的区域划分,15,NGN组网框架,LAN（一）：信令、控制与管理面（俗称带内管理）LAN（二）：媒体层面，有UMG/MCU/MRS等LAN（三）：NGN部件的带外网管、计费组网、各种操作维护终端等LAN（四）：TELLIN Portal、Mediax3600 面向公网的组网,NGN局端组网的区域说明要求,16,第1章 NGN网络的安全性问题 第1节 NGN网络和PSTN网络的差异第2节 NGN业务模式对IP承载网的建设要求第3节 NGN组网框架第4节 NGN局端设备组网安全方案第5节 设备选型,17,NGN局端设备组网安全方案,NGN局端设备组网可靠性需要优先考虑和保证。NGN组网尽可能做到信令面、承载面、管理面分离，提高组网可靠性、层次性和清晰度。基于目前各产品能支持的特性，尽可能提供合理的组网方案。尽可能考虑未来网络扩容需求，保证关键节点带宽余量，避免因为带宽不够而导致网络扩容时出现网络结构大改动。网络带宽资源分配合理，无瓶颈。网络交换节点尽量少，设备成本尽量低、工程复杂度尽量低。关键网络中无单点故障，具有较高可靠性。网络中进行区域划分，尽量减小人为操作失误造成的影响。方案适用面广，易于实现规范化。网络占用IP地址数量尽量少。,组网原则,18,NGN局端设备组网安全方案,组网可靠性机制模型,19,NGN局端设备组网安全方案,组网可靠性机制模型要点,边缘路由器作为NGN设备的IP核心网入口，局端所需的网络资源都从此路由器上提供，此设备在数通网络中维护。A/B平面两台三层交换机作为LAN（一）中的核心网络部件，二层互连后为NGN设备主备用端口提供一个二层网络，实现NGN设备端口备份倒换。此二层网络可划分为多个VLAN，实现不同类型NGN设备的接入和二层分隔。三层交换机与边缘路由器之间运行动态路由协议，实现边缘路由器端口及链路的备份倒换。而A/B平面两台三层交换机之间运行VRRP协议，实现交换机自身的备份倒换。三层交换机与边缘路由器之间运行的路由协议可以为OSPF/BGP等，由于路由收敛速度较慢的原因，一般不考虑RIP协议。,20,NGN局端设备组网安全方案,VRRPVRRP（Virtual router redundancy protocol, 虚拟路由器冗余协议）(RFC2338)提供了局域网上的设备备份机制。简单来说，VRRP是一种容错协议，它保证当主机的下一跳路由器坏掉时，可以及时由另一台路由器来代替，从而保持通讯的连续性和可靠性。IP主机不必支持另外的协议。,关键协议,OSPF路由协议静态路由协议、动态路由协议。动态路由协议外部路由协议(EGP)：BGP内部路由协议(IGP):RIP、IGRP、EIGRP、OSPF、IS-IS算法：距离矢量算法：RIP、IGRP、EIGRP、 BGP链路状态算法：OSPF、IS-IS,21,NGN局端设备组网安全方案,组网可靠性倒换机制,NGN设备接口的主备用倒换机制以SoftX3000为例（其它网关设备类似），SoftX3000的外部以太网口工作于主备用模式。在主备用模式下，配置为相同的IP地址。系统初始状态下主用端口处于激活状态，与二层网络中的其他设备（包括三层交换机的路由模块）通信。主用端口运行过程中检测网络接口的链路状态，当检测到端口二层链路中断等异常后，将本端口倒换到备用状态，原备用端口升为主用，从而使本设备对外的通信正常。导致NGN端口倒换的故障包括网线断、网口物理层芯片硬件故障、三层交换机故障等。A/B平面三层交换机倒换机制A/B两个平面三层交换机之间运行VRRP协议实现交换机之间的倒换，A/B平面倒换的同时通过路由更新实现上行链路的倒换，并通过二层链路状态变化带动NGN设备主备端口倒换，简要原理如下：A/B平面三层交换机上均配置三层接口，两个三层接口定义为一个VRRP组，指定一个虚拟地址作为此VRRP组对外的缺省网关地址。VRRP协议运行后，两台三层交换机之间通过设定的优先级确定VRRP组中的主用路由设备，运行过程中通过定时的握手消息维持主备用状态。三层交换机监测本身的工作状态和上行接口状态，出现异常时，通过抢占方式产生新的主用路由设备，同时触发周边的路由器更新路由。主用三层交换机故障后，二层链路状态同时改变，NGN设备根据此状态同步进行端口倒换。边缘路由器上行链路倒换机制上行链路的故障检测及倒换通过三层交换机与边缘路由器之间的路由更新来实现。A/B两个平面三层交换机的VRRP协议配置中设定监控上行接口（边缘路由器）的状态，当A平面的上行接口链路故障时，B平面升为主用，同时触发路由更新。上行链路倒换时NGN设备不需要做任何动作，但倒换过程中有一段时间无法与IP核心网中的设备通讯，此时间与路由协议参数设置有关。,22,第1章 NGN网络的安全性问题 第1节 NGN网络和PSTN网络的差异第2节 NGN业务模式对IP承载网的建设要求第3节 NGN组网框架第4节 NGN局端设备组网安全方案第5节 设备选型,23,设备选型,S3528G支持24FE，4GBIC Slot。系统背板容量为32G，包转发率为9.6Mpps。支持千兆GBIC或者千兆SFP模块扩展。12K MAC，4K VLAN采用最长匹配转发技术，整机支持512个vlan子接口,S3528G/S3552G安全智能以太网交换机,Quidway S3528G,Quidway S3552G,S3552G系统背板容量为32G，包转发率为13.2Mpps，12K MAC，4K VLAN。支持48FE电口，4GBIC Slot。,24,第1章 NGN网络的安全性问题第2章 信令LAN（一）与媒体层LAN（二）的组网第3章 NGN局端组网的QOS和可靠性配置 第4章 会议系统及SBC组网第5章 LAN（三）操作维护管理组网第6章 LAN（三）计费组网,25,第2章 信令LAN（一）与媒体层LAN（二）的组网 第1节 总体组网策略 第2节 NGN局端组网备选方案一 第3节 NGN局端组网备选方案二第4节 NGN局端组网备选方案三第5节 NGN局端组网备选方案四第6节 四种备选方案的比较,26,总体组网策略,LAN（1）用于信令与网管等控制相关的层面，一般选择防火墙保护。LAN（1）组网还需要实现网络二层分隔、NGN设备端口备份倒换、上行链路备份倒换、网络互连设备自身备份倒换等功能。LAN（2）需要考虑的UMG/MCU/MRS等有媒体层面部件。在NGN母局，对于UMG8900配置，仍建议最好信令、网管、媒体在物理端口上分离，以便分开组网。若不能满足，也可推荐UMG在OMU单板上只配置网管流， 而信令、媒体合一配置另一单独接口。另外，对于MCU8630则信令、媒体各配置一个接口，管理则是另外一个接口。而MRS6100则有单独BAM接口，信令、媒体端口可各自单独配置网口。,信令、网管、媒体流的分离要求,27,总体组网策略,针对目前NGN母局组网，在进行NGN部件的IP地址规划时，建议在考虑可运营可扩容的前提下，SOFTX/SHLR/SG等信令/控制设备的IP与NGN承载网IP地址要统一规划，以期NGN母局网络与NGN承载网之间不需地址转换在分配IP地址的时候，建议根据业务进行划分，而不是根据地域进行划分，一般情况下，即使是MPLS-VPN内的IP地址，建议使用公网IP地址； 即使是使用了保留IP地址，也建议MPLS-VPN之间的IP地址不要相互重复。在划分IP地址的时候，建议按照全局互联地址、信令网IP地址、媒体网IP地址、网管网IP地址四种不同业务类型进行划分，每种业务类型的IP地址段连续，这样便于MPLS-VPN的部署，也便于VPN内的IP地址聚合。如果按照地域进行划分，会导致每个MPLS-VPN内IP地址数量过多，不利于聚合，会导致一些安全策略不容易部署，一些路由策略难以部署，甚至无法部署。,IP地址规划策略,28,第2章 信令LAN（一）与媒体层LAN（二）的组网 第1节 总体组网策略 第2节 NGN局端组网备选方案一 第3节 NGN局端组网备选方案二第4节 NGN局端组网备选方案三第5节 NGN局端组网备选方案四第6节 四种备选方案的比较,29,NGN局端组网备选方案一,交换机做三层设备配置,NGN Bearer Network,SoftX,MRS6100,UMG,GK,SG,L10,L20,R1,R2,F10,F20,VRRP,MCU8630,VRRP,n*FE,L1,L2,F1,F2,n*FE,L3,L4,n*FE,VRRP,LAN（1）,LAN（2）,F1/F2、F10/F20 ：Firewall（Mix or Router mode）L1/L2、L10/L20 and L3/L4 ：Layer 3 SwitchR1/R2 ：Router （ or NE40）,SHLR,MediaX,1、建议UMG的信令、媒体和网管都配置单独接口2、若NGN远端设备等都没有配置俗称“带内管理通道”，UMS则无需互联L10,可选组件,n*FE：n3,30,NGN局端组网备选方案一,LAN（1）NGN核心网机框式设备：SOFTX/SHLR/SG/MRS/MCU等的信令层面由L1/L2三层交换机、防火墙F1/F2组网构成LAN（1）网络的主体部分。一些服务器、工作站类设备：N2000 UMS、IADMS、多媒体会议视频GK、会议电话MediaX等采用单独一组三层交换机L10/L20、防火墙F10/F20组网构建LAN（1）的可选一部份。LAN（2）若NGN承载网边缘路由器接口许可，UMG的主备接口建议直接与NGN承载网边缘路由器R1和R2的接口互联。MRS媒体流端口、MCU8630媒体端口，则通过两个三层交换机L3/L4构建组成媒体层的LAN（2）网络后，再出上行接口与R1/R2互联。,LAN（1）、 LAN（2）下设备说明,31,NGN局端组网备选方案一,L1与L2,3VLAN TRUNK,IP BearerNetwork,V,L,A,N,I,F,3,L1A,Plane S3528G,V,L,A,N,I,F,2,A Plane Eudemon500/1000,G,E,o,r,F,E,Edge Router,Router module,3#VLANSignaling,V,L,A,N,I,F,3,V,L,A,N,I,F,2,L2B,Plane S3528G,G,E,o,r,F,E,G,E,o,r,F,E,G,E,o,r,F,E,3#VLANSignaling,Router module,B Plane Eudemon500/1000,2GE or 4FE,2#VLAN,2#VLAN,32,NGN局端组网备选方案一,2个三层交换机之间通过二层接口设置VRRP。防火墙设备F1/F2若工作在混合模式（Mix Mode）的话，即防火墙上下行端口不占IP地址，之间网线连接的是F1与F2的三层心跳，跑一个HRP协议用于同步防火墙之间的session表。或者，防火墙设备F1/F2配置工作在路由模式（Router Mode）,这时，防火墙上下行端口就需要占用多个IP地址。L1/L2交换机之间至少配置4FE，并做链路捆绑，即交换机对这些互联链路接口做聚合并负载分担的配置。在L1与L2之间捆绑链路中起三层接口，并配置这2台三层交换机之间跑OSPF路由协议和作三层数据转发。L1或L2三层交换机可划分为两个VLAN：2VLAN上行端口、3VLAN信令。对于L1、L2三层交换机与上行设备的接口链路，都各自配置单独的三层IP网段。L1的上行接口与R1之间、L2的上行接口与R2之间链路上运行OSPF动态路由（防火墙作为混合模式）；或L1与F1、L2与F2之间跑OSPF路由协议，而F1与R1、F2与R2之间也跑OSPF路由协议或作静态路由配置（防火墙做路由模式）。,配置要点,33,NGN局端组网备选方案一,当组网中考虑防火墙配置时，因为防火墙设备是状态防火墙，所以当存在等价路由时，路由一次从防火墙通过，一次又从另一防火墙通过。防火墙将认为这是攻击，将报文阻断。所以当防火墙外接NGN骨干时，防火墙的上一级设备不能为等价路由形式，应将一台设备通过优先级等其他方式将其设为主用设备。比如，通过配置cost规避等价路由。,配置防火墙时应特别注意,Routing Tables:Destination/Mask proto pref Metric Nexthop Interface /0 Static 60 0 Serial0 /8 RIP 100 3 Serial0 /8 OSPF 10 100 Ethernet0 /1 OSPF 10 130 Serial0 /8 Static 60 0 Serial0 /8 Direct 0 0 Ethernet0 /32 Direct 0 0 LoopBack0 .,34,NGN局端组网备选方案一,L10与L20,3,/,4,V,L,A,N,T,R,U,N,K,V,L,A,N,I,F,3,V,L,A,N,I,F,4,V,L,A,N,I,F,2,G,E,o,r,F,E,V,L,A,N,I,F,4,3,#,V,L,A,N,Signaling,4,#,V,L,A,N,Other,4,#,V,L,A,N,Other,V,L,A,N,I,F,3,V,L,A,N,I,F,2,G,E,o,r,F,E,G,E,o,r,F,E,G,E,o,r,F,E,3,#,V,L,A,N,Signaling,IP BearerNetwork,L10A,Edge Router,Router module,L20B,Router module,Plane S3528G,Plane S3528G,A Plane Eudemon500/1000,B Plane Eudemon500/1000,2GE or 4FE,2#VLAN,2#VLAN,35,NGN局端组网备选方案一,2个LAN（1）中的L10/L20组网，是一个可选项目 ：只有当多媒体会议视频GK、会议电话MediaX和可能智能网产品部件，以及调测用机等服务器或工作站， 以及其他一些业务服务器的设备接口需要配套NGN业务在局端进行组网时，我们才建议配置L10/L20的组网。 图中的L10和L20作为三层交换机配置，并相对局端中上述设备的信令、网管或控制流端口，在两个三层交换机之间通过二层接口设置VRRP（按上图各设备连接方式，建议L10配置VRRP主用）。 F10/F20若工作在二层模式（transparent mode）的话，即不占IP地址，之间网线连接的混合模式时F10与F20的心跳，并各自出FE分别与R1、R2互联。L10或L20三层交换机也可根据实际需求划分为三个VLAN：2VLAN上行端口（这个VLAN仅仅只包含本设备的上行接口, 并且配置单独的三层IP网段）、3VLAN信令与控制、4VLAN备用端口，VLAN之间通过三层互通。4VLAN用于开局时的测试用途（如调测用机）。其他可参考LAN（1）中三层交换机L1/L2的配置。,配置要点,36,NGN局端组网备选方案一,L3与L4,V,L,A,N,T,R,U,N,K,V,L,A,N,I,F,5,V,L,A,N,I,F,4,V,L,A,N,I,F,2,G,E,o,r,F,E,V,L,A,N,I,F,4,4,#,V,L,A,N,Other,4,#,V,L,A,N,Other,V,L,A,N,I,F,5,V,L,A,N,I,F,2,G,E,o,r,F,E,G,E,o,r,F,E,G,E,o,r,F,E,IP BearerNetwork,L3A,Edge Router,Router module,L4B,Router module,Plane S3528G,Plane S3528G,2#VLAN,2#VLAN,V,L,A,N,I,F,3,3,/,4,2GE,5#VLANMedia,3#VLANMedia,5#VLANMedia,3#VLANMedia,V,L,A,N,I,F,3,37,NGN局端组网备选方案一,在LAN（2）中，MRS/MCU的媒体流端口出主备或负荷分担方式的多条FE链路，分别与L3、L4三层交换机连接。L3与L4交换机之间配置的2GE链路，并链路捆绑（聚合）后起二层和三层，其中二层做VLAN Trunk ，三层让两台三层交换机与两台路由器之间跑OSPF路由）。 而L3、L4相对局端设备如MRS/MCU媒体流端口，通过二层接口设置VRRP。UMG8900的媒体流端口出主备FE或GE链路，连接到两个不同Router上 ，具体配置选择，建议UMG8900双归属配置方式。最好建议UMG8900信令端口单独配置一个物理端口（如上图中UMG8900连接L1/L2的虚线）。 对于UMG8900信令媒体合一配置时，建议UMG8900对信令媒体标识不同VLAN和802.1p优先等级，再由Router依据不同VLAN和802.1p做不同VPN和优先级映射。L3和L4上行链路需要根据实际组网地带宽需求，可各配置1GE链路，并且每条链路配置单独的三层IP网段。L3与R1、L4与R2之间链路也运行OSPF动态路由。L3或L4三层交换机也可根据实际需求划分为三个VLAN：2VLAN上行端口（这个VLAN仅仅只包含本设备的上行接口, 并且配置单独的三层IP网段）、3VLAN媒体、4VLAN备用端口，VLAN之间通过三层互通。,配置要点,38,NGN局端组网备选方案一,业务流程,NGN Bearer Network,SoftX,MRS,UMG,GK,SG,L10,L20,R1,R2,F10,F20,MCU,L1,L2,F1,F2,L3,L4,Signalling,Media,MediaX,SHLR,39,NGN局端组网备选方案一,交换机做二层设备配置,NGN Bearer Network,SoftX,MRS6100,UMG,GK,SG,L10,L20,R1,R2,F10,F20,VRRP,MCU8630,VRRP,n*FE,L1,L2,F1,F2,n*FE,L3,L4,n*FE,VRRP,LAN（1）,LAN（2）,F1/F2、F10/F20 ：Firewall（Router mode）L1/L2、L10/L20 and L3/L4 ：Layer 2 SwitchR1/R2 ：Router （ or NE40）,SHLR,MediaX,SBC,OSPF动态路由或静态路由,VLAN上传到路由器终结,配置成二层设备,40,第2章 信令LAN（一）与媒体层LAN（二）的组网 第1节 总体组网策略 第2节 NGN局端组网备选方案一 第3节 NGN局端组网备选方案二第4节 NGN局端组网备选方案三第5节 NGN局端组网备选方案四第6节 四种备选方案的比较,41,NGN局端组网备选方案二,局端备选方案二组网图,42,NGN局端组网备选方案二,上图中的LAN（1）组网与局端备选方案一相同，L1/L2、L10/L20的VLAN划分可参考其中配置与选择。此方案中，UMG主备链路采用了VRRP方式，在三层交换机L3与L4之间通过二层接口设置VRRP功能。也可根据组网需求，将UMG/MRS/MCU这些媒体流端口进行分组，并在L3/L4上划分多个VLAN：若骨干核心网只划分了“媒体信令合一VPN”，则UMG媒体信令主备端口、MRS媒体端口、MCU8630媒体端口，通过L3/L4只需构建一组VRPP。同时，骨干汇聚层R1/R2路由器可将L3/L4上行接口统一映射到“媒体信令VPN”中，并统一映射到与媒体层相同的高优先等级EF。若骨干核心网划分“信令VPN”和“媒体VPN”，最好建议UMG媒体、信令各自单独配置接口，这样，UMG信令端口则可直接连接到LAN（1）中的L1/L2交换机设备上， 这时LAN（2）中也就只有媒体流，故也建议只构建一组VRRP组。L3与L4之间用捆绑的多条链路（如2GE）互连，具体可视UMG/MCU/MRS之间的出口总计带宽确定；上行接口链路视总带宽容量配置GE规格的接口，并且每条链路配置单独的三层IP网段。尽管中低端三层交换机设备大部分不具备MPLS VPN PE的功能，但在本方案中LAN（1）中信令/控制流与LAN（2）中的媒体流，采用了不同端口的接入边缘路由器R1/R2，这样，语音媒体流和信令控制流就由R1/R2也可很好地适配到需要划分的VPN中。,配置要点,43,第2章 信令LAN（一）与媒体层LAN（二）的组网 第1节 总体组网策略 第2节 NGN局端组网备选方案一 第3节 NGN局端组网备选方案二第4节 NGN局端组网备选方案三第5节 NGN局端组网备选方案四第6节 四种备选方案的比较,44,NGN局端组网备选方案三,局端备选方案三组网图,45,NGN局端组网备选方案三,L3与L4之间用捆绑的多条链路（如2GE）互连，之间的互联链路仅提供二层的VLAN TRUNK ，L3/L4三层交换机相对MRS/MCU的媒体端口，通过二层接口设置VRRP功能。而对信令层面的LAN（1）中F1/F2、F10/F20设备上的上行端口，L3/L4不做VRRP配置，而需分别用三层接口互通。L3和L4上行接口链路视总带宽容量配置GE规格的接口，在链路L3-R1、L4-R2上也各自配置单独的三层IP网段，并在链路上运行OSPF动态路由。 防火墙F1/F2可工作在混合或路由模式，若防火墙配置路由模式的话，则在L1-F1-L3、L2-F2-L4链路上的各设备端口需各自配置单独的三层IP地址，并运行OSPF动态路由；同样，L10和L20的上行端口也做类似配置。为了提高L3/L4汇聚能力，最佳建议是：选择我司NE40设备，它不仅可支持VRRP功能，而且可直接作为PE支持L3 MPLS VPN。若L3/L4选用，如S3528G之类三层交换机，则建议在各自的三层交换机上分别依据物理端口做对应的QOS标识映射。若骨干核心网划分“信令VPN”和“媒体VPN”，最好建议UMG媒体、信令各自单独配置接口，这样，UMG信令端口则可直接连接到LAN（1）中的L1/L2交换机设备上， L3/L4相对媒体流，也建议只构建一组VRRP组。,配置要点,46,第2章 信令LAN（一）与媒体层LAN（二）的组网 第1节 总体组网策略 第2节 NGN局端组网备选方案一 第3节 NGN局端组网备选方案二第4节 NGN局端组网备选方案三第5节 NGN局端组网备选方案四第6节 四种备选方案的比较,47,NGN局端组网备选方案四,局端备选方案四组网图,48,NGN局端组网备选方案四,L1或L2三层交换机可划分为四个VLAN：2VLAN上行端口（这个VLAN仅仅只包含本设备的上行接口，并且配置单独的三层IP网段）、3VLAN信令/控制（服务器工作站类设备）、4VLAN信令（机架式设备端口）、5VLAN备用端口、6VLAN媒体端口（若UMG配置信令媒体合一端口时，也被划分到此VLAN上），VLAN之间通过三层互通。L1/L2交换机之间用捆绑的多条Trunk链路（FE或GE）互联，实现3、4、5、6四个VLAN的二层互通（L1与L2的2VLAN不作Trunk ），这样3、4、5、6号VLAN的端口平均分配在这两台交换机上，分别连接NGN设备的主备用端口。 通过Trunk互联后，L1或L2交换机上共分布了5个VLAN，每个VLAN都配置接口IP，实现VLAN之间的三层互通。5VLAN用于开局时的备用或测试用途，正常情况下不连接任何设备。L1和L2上行各配置GE接口的规格，防火墙F1/F2可工作在混合模式或路由模式，其上下行接口也应配置GE规格。在L1-F1-R1、L2-F2-R2链路上运行OSPF动态路由。,配置要点,49,第2章 信令LAN（一）与媒体层LAN（二）的组网 第1节 总体组网策略 第2节 NGN局端组网备选方案一 第3节 NGN局端组网备选方案二第4节 NGN局端组网备选方案三第5节 NGN局端组网备选方案四第6节 四种备选方案的比较,50,四种备选方案的比较,51,第1章 NGN网络的安全性问题第2章 信令LAN（一）与媒体层LAN（二）的组网第3章 NGN局端组网的QOS和可靠性配置 第4章 会议系统及SBC组网第5章 LAN（三）操作维护管理组网第6章 LAN（三）计费组网,52,第3章 NGN局端组网的QOS和可靠性配置 第1节 NGN局端组网QOS配置第2节 NGN局端组网可靠性配置,53,NGN局端组网QOS配置,SoftX3000。,UMG,L1/L2 : S3528G,L3/L4 : S3528G,ER1,ER2,CR,CR,GE,FE,在进入骨干前，根据流量的类型做不同标记：媒体： EF信令： AF网管：BE,这里只有“信令”一种流量，可不实施QoS策略。,L10/L20 : S3528G,L7 : S3526C,Mediax,MRS,UMS/IADMS,BAM。,这里只有“信令”一种流量，可不实施QoS策略。,UMS的带外网管端口。,GK,内网口,ER 标记 L7的端口为NMS VPN, NMS的Qos策略是： PHB=BE 或 PHB=AF4, CAR 需要在 TG/AG 上实施 NMS 为media带宽的 2.5%。,局端备选方案四组网图,54,NGN局端组网QOS配置,VPN和QOS映射的总结列表,（假设在NGN业务流的QOS服务等级划分中，我们拟定“高优先级”、“中优先级”和“低优先级”的这三个等级）,55,第3章 NGN局端组网的QOS和可靠性配置 第1节 NGN局端组网QOS配置第2节 NGN局端组网可靠性配置,56,NGN局端组网可靠性配置,57,NGN局端组网可靠性配置,BFD是一种快速的故障检测协议（APDP是华为公司提出的与BFD有类似功能的快速检测协议，而BFD则是IETF的一个标准草案，目前情况下，华为公司数据通信产品平台VRP支持APDP协议，后续将向BFD过渡，但在功能上，这两者之间区别不是太大，可以作为同一种协议考虑），它可以快速的检测到网络状态的异常。一般情况下，这种协议在点对点链路上启用，启用BFD协议的设备，会以间隔很短的时间（10ms30ms）相互发送（或单向发送）BFD协议报文，如果两者之间的任何一台设备，由于各种原因停止工作，那么对方会因为多次（缺省情况下是3次）接收不到对方的BFD报文而感知到这种异常状态，于是BFD协议模块会通知路由协议进程，路由协议进程会重新开始收敛。在路由收敛的这段时间内，会出现短暂的报文丢失，但这段时间停留在可以接受的范围（一般100ms到500ms，根据网络规模大小决定）。如果BFD/APDP协议跟接口备份（IP FRR）综合应用，效果会更佳，因为一旦BFD协议模块（或进程）检测到异常情况，可以马上启动接口备份功能，同时通知路由协议，这样网络设备首先会使用备用接口转发流量，在路由协议完成收敛之后，再使用收敛后的路径。下图说明了BFD和接口备份的综合应用效果：,BFD/APDP快速检测机制,58,第1章 NGN网络的安全性问题第2章 信令LAN（一）与媒体层LAN（二）的组网第3章 NGN局端组网的QOS和可靠性配置 第4章 会议系统及SBC组网第5章 LAN（三）操作维护管理组网第6章 LAN（三）计费组网,59,第4章 会议系统及SBC组网第1节 Mediax3600会议电话系统组网第2节 MCU8630视频会议系统组网第3节 SBC在局端的组网,60,Mediax3600会议电话系统组网,组网示意图,SoftX3000,MRS6100,MediaX3600,File Server,SIP,E-MAIL SERVER,Web Browser,IP NET,NGN,HTTP,SMTP,1、MeidaX3600中应用服务器可配置同时作为文件服务器使用，存放语音文件2、MediaX3600可有多个网卡，分别连接IP和NGN网络,NTP Server,NTP,App. Server,SIP,NFS,NFS,数据会议服务器,SIP,TCP,注意：数据会议服务器不是标准配置，目前是采用合作方的设备和方案,61,Mediax3600会议电话系统组网,SIP和Web分开的情形,NGN VPN或IP专网,SOFTX,MRS（for SX3000）,UMG,SG,L10,L20,R1,R2,F10,F20,MCU,L1,L2,F1,F2,L3,L5,L6,F3,F4,F1/F2、F10/F20 and F3/F4：Firewall（Transparent mode）L1/L2、L10/L20 、L3/L4 and L5/L6 ：Layer 3 SwitchR1/R2 ：Router （or NE40）,SBC,R3,R4,MediaX*2,SHLR,Internet /IP公网,L4,数据会议服务器,MRS（for MediaX）,SIP,Web/Sip,Web/Sip,SIP,注意：数据会议服务器不是标准配置，目前是采用合作方的设备和方案,iGWB,L10,MediaX*2,L20,NTP Server,计费中心,网管,MediaX内部网络,Bill,NFS,MRS(for MediaX),62,Mediax3600会议电话系统组网,SIP和Web合一的情形,Internet/IP公网,SOFTX,MRS（for SX3000）,UMG,SG,L10,L20,R1,R2,F10,F20,MCU,L1,L2,F1,F2,L3,F1/F2、F10/F20 and F3/F4：Firewall（Transparent mode）L1/L2、L10/L20 、L3/L4 and L5/L6 ：Layer 3 SwitchR1/R2 ：Router （or NE40）,MediaX*2,SHLR,L4,数据会议服务器,MRS（for MediaX）,SIP/Web/Sip,Web/Sip,SIP,注意：数据会议服务器不是标准配置，目前是采用合作方的设备和方案,iGWB,L10,MediaX*2,MRS(for MediaX),L20,NTP Server,计费中心,网管,MediaX内部网络,Bill,NFS,63,第4章 会议系统及SBC组网第1节 Mediax3600会议电话系统组网第2节 MCU8630视频会议系统组网第3节 SBC在局端的组网,64,MCU视频会议系统组网,单独多媒体域,1、视频会议系统单独配置GK和GKM，GK负责视频会议点对点业务的计费CDR输出2、RMCC负责视频会议多点业务的计费CDR输出3、8220可向多媒体GK注册,65,MCU视频会议系统组网,NGN域融合,1、SoftX3000负责视频会议业务中的所有终端业务注册，并负责视频会议点对点业务的计费CDR输出2、视频会议多点业务的计费CDR仍由RMCC输出,66,第4章 会议系统及SBC组网第1节 Mediax3600会议电话系统组网第2节 MCU8630视频会议系统组网第3节 SBC在局端的组网,67,SBC在局端的组网,SBC安全设备组网是关键配置。组网不仅要满足业务开展的需求，同时，也需要在可靠性、安全、QoS等方面综合考虑。所以，从SBC组网形式看，我们主要推荐的是双机热备，并前置防火墙的方案。当一台L3（如S3528G）死机以后，由于E2200与该L3的接口没有down，HRP故障检测程序检测不到故障发生，而目前E2200上也没有打开动态路由协议，这将导致E2200的业务中断。故，SBC需要支持BFD检测机制。在NGN母局，SBC网管，建议单独配置，这样就可直接互联到母局中的LAN（三）中。,双机热备方式,S3528G,S3528G,S3528G,S3528G,E2200,E2200,VRRP,VRRP,Client地址 IP0,Server地址 IP10,HRP,Untrust,区,域,Trust,区域,NGN骨干网,Internet /IP公网,R1（PE1）,R2（PE2）,L3,L4,L5,L6,R3,R4,IP0,IP0,IP10,IP10,上行方向,下行方向,68,SBC在局端的组网,这两个SBC（如我司SE2200或SE2300）通过VRRP以及VRRP基础上发展的VGMP、HRP实现一主一备，为了保证HRP报文不受到业务流量的影响，建议主备SBC之间通过单独的物理接口（如FE）相连，配置私网地址即可。下行需要两个三层交换机L3 SW，它们与Internet /IP公网的网络边缘路由器相连， L3 SW之间也通过VRRP实现主备。上行业需要两个L3 SW，它们与NGN骨干核心层的边缘路由器连接，之间也配置VRRP实现