萬學(xué)慶 劉存良

（中國移動廣東有限公司佛山分公司網(wǎng)絡(luò)管理中心，廣東 佛山 528000）

1 概述

當(dāng)前全網(wǎng)已經(jīng)實(shí)現(xiàn)IP化改造的接口有 Mc（MSS-MGW）、Nc（MSS-MSS）、Nb 口（MGW-MGW），相對于原來的TDM承載，IP傳輸極大的減少了傳輸資源，降低了網(wǎng)絡(luò)建設(shè)成本。但同時(shí)，IP的“不可靠”特性，也為傳統(tǒng)語音交換業(yè)務(wù)的可靠服務(wù)質(zhì)量要求帶來了不確定性。在現(xiàn)網(wǎng)的規(guī)劃配置實(shí)現(xiàn)中，引入了多種安全保障機(jī)制來彌補(bǔ)IP安全性的缺陷。

2 MSS側(cè)接口IP接入機(jī)制的研究與應(yīng)用

在軟交換中，MSS用作信令控制的功能實(shí)體，IP化改造實(shí)則是信令（No.7信令）的IP化，SIGTRAN概念由此而生。從信令面協(xié)議棧來看，No.7信令協(xié)議棧中的MTP3/MTP2/MTP1（SDH/PDH）分別演進(jìn)變?yōu)镾IGTRAN信令協(xié)議棧中的M3UA/SCTP IP/Ethernet。其中M3UA層提供No.7信令的MTP路由，同時(shí)提供監(jiān)視功能；SCTP層提供IP信令點(diǎn)間的可靠連接，同時(shí)提供糾錯(cuò)檢錯(cuò)的流量控制；IP層提供IP節(jié)點(diǎn)間的非連接服務(wù)。

從協(xié)議棧的結(jié)構(gòu)可看，IP化之后MSS的信令接口主要靠SCTP層保護(hù)，SCTP層的安全性保護(hù)引入了偶聯(lián)、多歸屬的概念。在實(shí)現(xiàn)SCTP偶聯(lián)的時(shí)候，MSS的兩塊接口處理板綁定為一個(gè)IP host（即SCTP EPs）。因此一個(gè)IP host包含2個(gè)物理接口和2個(gè)IP地址（安全考慮IP一般為兩個(gè)獨(dú)立的地址段），即Multi-homing多歸屬。

但值得注意的是，在正常情況下，IP host只會使用其中一個(gè)激活狀態(tài)的接口板來承載SCTP/IP層的業(yè)務(wù)。當(dāng)主用接口處理板發(fā)生SCTP或IP層錯(cuò)誤時(shí)，偶聯(lián)將會失效，SCTP EPs將遷移到備用板卡上。配對的IP接口處理板的配置是完全一樣的，因此偶聯(lián)將重新建立。而當(dāng)原主用板卡恢復(fù)正常后，為避免偶聯(lián)的中斷，SCTP EPs并不會回遷，原主用板變?yōu)閭溆镁途w的狀態(tài)。

現(xiàn)網(wǎng)中，MSS一般配置了多塊處理板作為IP業(yè)務(wù)承載接口板，即可劃分為多對IP host?，F(xiàn)網(wǎng)中為SCTP EPs分配的IP地址對處于不同的IP地址段，由此把IP承載網(wǎng)接入劃分到兩個(gè)子網(wǎng)以實(shí)現(xiàn)地址段的容災(zāi)。所有IP host的主用接口板都與一個(gè)承載網(wǎng)入口CE1相連，備用接口板與該CE1配對的承載網(wǎng)入口CE2連接。MSS端所設(shè)置的網(wǎng)關(guān)地址，實(shí)則是對應(yīng)的CE的VLAN接口地址。結(jié)合之前所討論的接入安全保障機(jī)制，無論故障發(fā)生在MSS側(cè)或CE側(cè)的任一層，MSS信令業(yè)務(wù)流都將自動切換到備用端口，經(jīng)由承載網(wǎng)入口另一配對的CE保持業(yè)務(wù)傳輸通暢。而當(dāng)其中一個(gè)接口子網(wǎng)一旦出現(xiàn)錯(cuò)誤，業(yè)務(wù)將重選備選子網(wǎng)，經(jīng)由配對CE2接入承載網(wǎng)。

3 MGW側(cè)接口IP接入機(jī)制的研究與應(yīng)用

在軟交換中，MGW上IP承載的業(yè)務(wù)有Mc口的MPT信令消息和ITU信令消息，Nb口的媒體流。因此MGW的IP接入機(jī)制要區(qū)分信令面和媒體面來分析。

3.1 MGW信令面的IP接入機(jī)制

MGW的IP接入保護(hù)機(jī)制和前面所討論的MSS的保護(hù)機(jī)制相類似，網(wǎng)絡(luò)層都依靠SCTP層協(xié)議實(shí)現(xiàn)保護(hù)。而主要區(qū)別在于，現(xiàn)網(wǎng)中MGW的信令處理與物理接口相分離，即SCTP IP層與Ethernet物理層分別由不同的處理板實(shí)現(xiàn)。當(dāng)物理接口板主用口發(fā)生故障時(shí)，將自動切換到備用口從而保護(hù)數(shù)據(jù)通信。若故障出現(xiàn)在數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層，則由信令板中的SCTP/IP層協(xié)議實(shí)現(xiàn)保護(hù)。

當(dāng)故障發(fā)生在接口物理層時(shí)，物理接口板將切換備用口通信。由于網(wǎng)關(guān)地址仍指向原來主用的承載網(wǎng)入口CE1，因此，業(yè)務(wù)流經(jīng)備用口物理扭轉(zhuǎn)到承載網(wǎng)入口配對的另一CE2后，會通過CE1/2間的接口TRUNK繞回CE1作業(yè)務(wù)出口。正因如此，承載網(wǎng)入口配對的CE之間必須放通信令面的兩個(gè)VLAN，這樣才能真正實(shí)現(xiàn)接口物理層的保護(hù)。若CE03出現(xiàn)三層故障，則通過SCTP協(xié)議層保護(hù)機(jī)制，MGW能識別主用地址段失效，進(jìn)而重選IP路徑（配對的另一地址段），經(jīng)備用接口板的主用口傳輸。

3.2 MGW媒體面的IP接入機(jī)制

媒體面（用戶面）和信令面的協(xié)議棧結(jié)構(gòu)有明顯區(qū)別，對于媒體流來說，更注重?cái)?shù)據(jù)流的時(shí)效性均衡性而非安全性，因此并未引入網(wǎng)絡(luò)層保護(hù)協(xié)議的應(yīng)用。

在媒體面，各個(gè)IP物理接口板間采用負(fù)荷分擔(dān)的工作方式，MGW側(cè)只能實(shí)現(xiàn)接口板上主備端口的物理層倒換保護(hù)。IP接口板的主用口平均分配接入到配對的兩個(gè)CE上。即正常情況下，配對CE平分MGW的業(yè)務(wù)，實(shí)現(xiàn)業(yè)務(wù)均衡接入承載網(wǎng)。另外出于安全考慮，數(shù)據(jù)流同樣劃分歸屬于不同的子網(wǎng)，以實(shí)現(xiàn)業(yè)務(wù)地址段的容災(zāi)。

在CE側(cè)，實(shí)則配對CE并不能區(qū)分MGW側(cè)的主備端口，因此，CE配置中引入了VRRP協(xié)議（虛擬路由器冗余協(xié)議）。VLANs所指向的網(wǎng)關(guān)地址不再像信令面配置CE的接口實(shí)體地址，而是一個(gè)虛擬網(wǎng)關(guān)地址。通過在配對CE中定義虛擬網(wǎng)關(guān)優(yōu)先附著在不同的CE，以實(shí)現(xiàn)業(yè)務(wù)流的真正流量均衡。此外，VRRP的引入還有一大好處--當(dāng)網(wǎng)關(guān)附著的CE出現(xiàn)故障（特指L3故障）時(shí)，網(wǎng)關(guān)將自動附著在配對的另一CE上，繼續(xù)保持有效，使業(yè)務(wù)不受任何影響。

結(jié)語

在移動通信中，核心網(wǎng)采用了大量的安全保障機(jī)制以維護(hù)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行發(fā)展。本文對當(dāng)前網(wǎng)絡(luò)IP接入機(jī)制進(jìn)行的研究探討，有利于網(wǎng)絡(luò)的安全建設(shè)與維護(hù)，為促進(jìn)我國移動通信事業(yè)可持續(xù)發(fā)展提供參考。

[1]金濤.軟交換通信技術(shù)及其網(wǎng)絡(luò)安全淺談[A].第七屆中國通信學(xué)會學(xué)術(shù)年會論文集，2010.

[2]陳曉玲.軟交換在固網(wǎng)智能化改造中的應(yīng)用與配置[J].長沙通信職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2008.

[3]李楊，陳金鷹，尚琴.基于軟交換的VoIP網(wǎng)絡(luò)結(jié)構(gòu)分析 [A].四川省通信學(xué)會2006年學(xué)術(shù)年會論文集（一），2006.

[4]徐建.基于軟交換的核心網(wǎng)網(wǎng)絡(luò)優(yōu)化技術(shù)研究[D].長沙：湖南大學(xué)，2010.