软交换网络安全保护机制研究.doc

软交换网络安全保护机制研究 拟制 日期 评审人 日期 批准 日期 签发 日期 目 录 第一节 概述 1 第二节 BFD技术 2 2.1 BFD简介 2 2.2 BFD特点 2 2.3 BFD检测模式 2 2.4 BFD检测时间 3 2.5 BFD与应用程序的关系 4 2.6 BFD支持的应用 4 2.7 BFD检测的链路类型 5 2.8 BFD检测在软交换网络中的典型应用 6 第三节 FRR技术 9 3.1 IP ReRoute 9 3.2 IP FRR 9 3.3 LDP FRR 10 3.4 VPN FRR 11 3.5 FRR技术特点比较 11 3.6 FRR技术组合应用 12 3.7 IP FRR在软交换网络中的典型应用 12 第四节 SCTP双归属 17 4.1 SCTP基本概念 17 4.2 SCTP功能 20 4.3 SCTP 参数的建议值 20 4.4 SCTP双归属在软交换网络中的应用 21 第一节 概述 软交换目标网络是一个全IP网络，高质量、高可靠性的软交换语音业务需要IP网络提供电信级的保护。网络故障后引起流量中断的因素有： 故障检测时间 单台设备故障响应时间（表项更新） 故障传播时间 软交换网络相应的解决方案有： 在软交换媒体面与归属CE之间部署BFD可靠性技术，在加快网络故障检测时间； 在软交换网元部署接口备份技术，在归属CE部署FRR技术，加快设备的网络故障响应时间； 软交换信令面部署SCTP多归属技术，提高网络冗余度； 采用快速路由收敛，提高故障恢复时间。 本专题对软交换网络的安全保护机制进行研究，涉及软交换网路中的BFD技术、FRR技术、SCTP多归属技术等，并对其在中国移动软交换网络中的典型应用及相关配置进行了详细介绍。 第二节 BFD技术 2.1 BFD简介 BFD---Bidirectional Forwarding Detection，即双向转发检测，是一个简单的“Hello”协议，和路由协议的邻居检测部分相似。一对系统在它们之间所建立会话的通道上周期性的发送检测报文，如果某个系统在足够长的时间内未收到对端的检测报文，则认为在这条到相邻系统的双向通道的某个部分发生了故障。 2.2 BFD特点 BFD具有以下特点： 对相邻转发引擎之间的通道提供轻负荷、持续时间短的检测。这些故障包括接口，数据链路以至转发引擎本身。 提供一个单一的机制来对任何媒介、任何协议层进行实时地检测，并且检测的时间与开销范围比较宽。 2.3 BFD检测模式 BFD定义了两种检测模式： 异步检测模式 系统之间相互周期性地发送BFD控制包，如果某个系统在检测时间内没有收到对端发来的BFD控制报文，就宣布会话为Down。 查询检测模式 这种模式假定每个系统都有一个独立的方法确认它连接到其他系统。一旦BFD会话建立，系统停止发送BFD控制包，除非某个系统需要显式地验证连接性。在需要显式验证连接性的情况下，系统发送一个短系列的BFD控制包，然后，协议再次保持沉默。 两种模式的区别： 本质区别在于检测的位置不同，异步模式下本端按一定的发送周期发送BFD控制报文，在远端检测本端系统发送的BFD控制报文；而在查询模式下检测本端发送的BFD控制报文是在本端系统进行的。异步检测模式是主要工作模式，但查询模式在某些情况下是比较有用的，比如系统建立了大量的BFD会话，则周期性的发送BFD负担会很重。查询模式的缺点：检测时间本质上是由系统实现的直观推测驱动的，它对BFD协议不可见。当通道来回行程时间比期望的检测时间长，则查询模式也是不可用的。 2.4 BFD检测时间 BFD的检测时间由三个值决定： DMTI（Desired Min Tx Interval）：本端想要采用的最短BFD 控制报文发送周期； RMRI（Required Min Rx Interval）：本端能够支持的最短BFD 控制报文接收周期； Detect Mult（Detect time multiplier）：检测时间倍数。 首先，一个系统接收到对端发来的BFD 控制报文后，将该报文携带的RMRI 与自己本地的DMTI 进行比较，取二者中的较大值作为自己发送BFD 控制报文的速率。即，速度较慢的系统决定BFD 控制报文的发送速率。 Detect Mult不需要协商，两端系统各自配置。由于异步模式和查询模式检测方式不同，因此使用不同的Detect Mult 值来计算检测时间： 在异步模式下，检测的位置是在对端。 异步模式的检测时间 = 接收到的远端Detect Multi × max（本地的RMRI，接收到的DMTI） 在查询模式下，检测的位置在本端。 查询模式的检测时间 = 本地的Detect Multi × max（本地的RMRI，接收到DMT