IP承载网组网与安全探讨.docVIP

IP承载网组网与安全探讨 　　【摘要】由于IP传输可以提供更大的带宽，方便运营商根据需求快速开发新业务，较低的网络建设成本有利于运营商减少OPEX，增加收入，更易于保持持续的竞争力，对不断变化的市场更加快速地反应，因此越来越多的业务承载在了IP网络上，业务对承载网络质量与安全性也越来越高。本文研究了IP承载网组网及安全性，探索了IP承载网络建设的发展趋势。 　　【关键词】IP承载网;组网;安全 　　0.引言 　　随着通信技术的发展，IP技术快速的在向电信领域渗透，业务IP化与网络IP化也逐渐开展，IP网络成为了未来国家通信基础设施的核心，发挥着重要的作用。随着信息技术和业务的快速发展，越来越多的新业务将由IP网络来承载， IP承载网络作为一个新的基础网络，向着多业务承载目标发展。 　　1.IP承载网组网结构 　　IP承载网是运营商以IP技术构建的一张专网，用于承载对传输质量要求较高的业务（如软交换、视讯、VPN等）。 　　1.1网络分层 　　IP承载网采用单一自治域方式组网，网络从总体上分为三层： 　　（1）核心层：核心层由核心节点组成，负责对汇聚节点流量进行汇聚并输导各个汇聚节点之间的业务量。 　　（2）汇聚层：汇聚层由汇聚节点组成，其功能是对接入层的流量进行汇聚。 　　（3）接入层：接入层由接入节点组成，设置在地、市，接入节点根据业务需要设置，负责业务系统的接入。 　　1.2路由协议部署 　　（1）BGP布署：域间路由协议采用BGP，考虑BGP Session的N平方问题，核心层CR做IPV4 RR Server设备，BGP主要承载域间路由和MPLS VPN路由。 　　（2）MPLS VPN布署：核心层CR和BR上运行M-IBGP协议，BGP MPLS VPN作为全网业务和应用的统一组织形式，不同的业务由不同的VPN承载以实现不同业务的隔离、监控和管理。 　　（3）ISIS：CR、BR、BR/AR、RR、AR运行ISIS，采用平面路由设计，全网所有路由器置于L2层，承载CR/BR、CR、BR、BR/AR、RR、AR的LOOPBACK地址和互联30位网段路由，保持其路由表的简洁性。 　　（4）标签：IP承载网端到端（PE-PE）间MPLS标签通过LDP分发，在骨干网内部CR、CR/BR、BR、BR/AR、AR间的互联接口上启用LDP。目前大多数IP承载网标签分发、控制、保持方式采用DU+有序+自由组合方式。 　　（5）OSPF:IP承载网PE和CE之间部署OSPF协议，采用OSPF多实例，完成PE到业务侧的可达，为了避免整网VPN路由引入到CE设备中，在PE设备上强制下发OSPF缺省路由，业务上行到CE后通过发布NULL0路由至PE。 　　2.IP承载网络的安全性 　　目前IP承载网主要承载话音和信令：3G CS域话音和信令、2G PS域、3G PS域、内部支撑系统（包括网管、BOSS、信令监测系统）等高品质电信服务的电信数据基础网络。随着业务的快速发展，对业务安全性要求越来越高。 　　2.1网络可靠性设计 　　IP承载网规划充分考虑了网络可靠性保障的问题，从设备、链路、网络三个角度对IP承载网络实施保护。 　　2.1.1设备级保护 　　（1）通过设备关键部件/板卡冗余，提高设备可靠性保障； 　　（2）采用不间断路由转发（NSF）、优雅重启动等设备级保护技术，减少由于设备故障问题对业务的影响； 　　（3）业务层多链路接入，端口分配至不同板卡，降低链路故障影响。 　　2.1.2链路级保护 　　（1）汇聚结点至少双上联核心结点，以实现链路备份。 　　（2）接入层以口字形汇聚上联路由器，实现链路备份。 　　（3）在传输方面，要求同方向上行链路采用双路由保护。 　　2.1.3网络级保护 　　（1）网络拓扑冗余备份，双归双路由。 　　（2）采用快速路由切换实现网络侧的保护。 　　（3）采用链路故障快速检测机制实现网络业务侧的故障检测。 　　（4）采用MPLS TE,路由快速收敛等技术提高网络业务安全。 　　2.2路由协议可靠性 　　软交换等业务接入IP承载网主要应用VRRP冗余链路备份机制，快速链路检测机制BFD，快速链路切换机制IP FRR，信令接口故障检测机制SCTP等提高IP承载网络的可靠性。 　　2.3路由协议的安全性 　　为提高IP承载网内务协议的运行安全，在各设备厂商软件版本支持和加密算法一致的情况下，ISIS hello,BGP PEER,LDP PEER,OSPF PEER、RSVP PEER间启用MD5认证，不同协议采用不同MD5密钥，防止密钥窃取，保证路由协议和标签协议建立邻居的安全性，以提高运行于IP承载网上各种协议的安全性。对V