网络架构情况
CNCnet一期工程是一个全国性的高速宽带IP骨干网络。以IP技术为核心,采用IP over DWDM技术模式,IP直接承载在DWDM系统这上,实现对数据、图象、语音、传真等业务的支持。
一期覆盖全国17个城市即:北京、天津、济南、南京、上海、杭州、宁波、福州、厦门、广州、深圳、长沙、武汉、郑州、石家庄、合肥。一期的17个节点分为三类:SuperPop、GigaPop和Pop,三类在节点能力、可靠性要求、业务容量等方面要求均按类别递减。北京、上海、广州、武汉为SuperPop;天津、济南、南京、杭州、福州、厦门、深圳、长沙为GigaPop;其它的节点包括石家庄、郑州、南昌、合肥、宁波业务量相对较小,作为普通的POP点。以上链路全部采用OC48 POS链路,占用DWDM设备的一个波长通道,北京、上海、广州和武汉之间建立OC48 POS Full-Mesh直连通道。 一期工程后,CNC又建设了济青烟二级骨干网、长三角地区二级骨干网,一些新建的城域网的核心节点也同时成为该地市在CNCnet上的骨干节点(比如大连)。二级骨干网和服务器托管城域网主要解决网络覆盖面的问题,在传输带宽上以满足现有业务需求为基础进行选择,底层传输多选择SDH技术。 CNCnet的具体的拓扑(不包括济青烟/长三角二级骨干网和城域网)如下图
网络业务情况
ISDN:综合业务数字网,简称一线通
电话卡
201卡 IP电话卡 300电话卡 IC电话卡
IP电话超市
IP电话主叫识别业务
VOIP专线接入
数据中心
DDN:数字数据网
速度为N*64KBPS(N=1、2、3……31)and N*2MBP的国际国内告诉数据专线业务。 数据业务接口:V.35,RS232,RS449,×.21,G.703, ×.50,etc 可与40余个国家和地区开通告诉数据电路,国内已基本通达个省会城市及主要大城市
VPN:架设在公网上的虚拟专用网络
帧中继:可提供多条虚道路、虚连接,支持突发性业务
ATM:可提供多种业务,多种用户端口,可实现任意速率服务器托管接入
VPDN:虚拟专用拨号网
宽带接入
ADSL高速上网业务(超级一线通)
宽带商务
互联网数据中心-I-Dxnet MPLS-VPN(虚拟专网)服务 VPDN(虚拟拨号专网)服务 互联网专线接入服务(DIA) 电话会议服务 语音业务服务 专线接入业务 号码可携带业务 通用个人通信业务 免费电话业务 虚拟专用网业务 ICW业务 宽带电话业务
卫生宽带综合业务
IP FAX
存储转发业务 互联网传真IP电话会议
IP800业务
视像会议系统
视频点播
网络发展计划
以下是网通目前比较关注服务器托管的几类网络发展方向:
下一代网络NGN的发展应用现状
NGN(下一代网络)是这两年电信领域最被追捧的技术领域之一,原因之一是NGN给制造商和运营商带来的诱人市场前景。另一方面是有关NGN技术的大量争论。NGN已经是个泛滥的名词!从字面看,NGN指的是下一代网络(Next Generation Network),未来的任何一种方案、技术都可以纳入下一代的范围。 目前NGN存在着两个不同的流派:一个关注业务,一个关注技术。第一个是以ITU-T为代表从业务来看NGN,其特性和结构以及提供的业务都可以精确描述。另一个流派以每年在波顿举办的NGN大会为代表,更关注网络在发展过程中遇到的具体技术。去年ITU-T SG13研究组成立了一个NGN2004项目,对NGN做了很多研究,并吸收了ETSI很多成果,并于去年12月份出台了两个草案,从结构到功能都对NGN做了清楚的规定。这使得两个流派在有关NGN几个关键的地方达成了共识。大家认为,NGN是以IP作为基础设施,能够提供下一代电信业务的体系,是支持语音、数据和多媒体业务的因特网、移动通信网络、固定电话通信网络的融合网络。 泛指的广义NGN实际包容了所有新一代网络技术,而狭义的NGN往往特指软交换。今天国内谈得比较多的是狭义的NGN,即软交换。软交换是建立在业界标准的硬件平台之上,通过软件包的方式来提供所有的呼叫控制业务生成功能。随着人们对电信业务的需求呈现出宽带化、多样化和个性化的新需求,今后的通信网将不再以话音业务为主,而是主要传送数据和多媒体业务。而软交换吸纳了IP、ATM、IN和TDM等众家之长,完全形成分层全开放的体系架构,通过呼叫控制、媒体交换及承载的分离,使得各个运营商可以根据自己的需要,充分利用现有资源采用适合自己的网络解决方案,寻找到自己的网络立足点,满足下一代网络业务融服务器托管服务器托管合之需。因此软交换被认为下一代网络建设的关键技术。 基于软交换技术的下一代网络通过IP包交换网实现网络和业务融合,可有效地降低运营商的运营成本。同时软交换作为下一代网络的发展方向,真正向着“个人通信”的宏伟目标迈出了重要的一步,即在任何时间(Whenever)、任何地点(Whereever)与任何人(Whoever)进行通信。 正是由于软交换技术在下一代网络发展中举足轻重的作用,国内外运营商在发展和部署下一代网络过程中纷纷选择软交换技术作为试验和商用突破口。
NGN的网络体系结构和特点
在研讨下一代网络体系及技术时,应从业务需求的分析入手,考虑网络装备的情况,研究新一代网络体系架构。NGN主要研究的内容如下:新业务和应用的研究;网络传送的基础设施;网络体系架构的研究;IP网络技术的研究;网络融合技术的研究;互通和互操作的研究;新型的控制、管理和运维机制;各网络单元的研究;新网络协议的研究;网络安全体系和技术的研究;测试技术的研究。 服务器托管 NGN的特点 NGN作为可以提供话音、数据和多媒体等各种业务的综合开放网络构架有三大特征: 首先,采用开放的网络构架体系,运营商可以根据业务的需要,自由组合组建网络。部件间协议接口的标准化可以实现各种异构网的互通。 第二,下一代网络是业务驱动的网络,其功能特点是:业务与呼叫控制分离、呼叫与承载分离。分离的目标是使业务真正独立于网络,灵活有效实现业务的提供。 第三,下一代网络是基于统一协议的、基于分组的网络。电信网络、计算机网络及有线电视网络将最终汇集到统一的IP网络,即人们通常所说的“三网”融合大趋势。IP协议使得各种以IP为基础的业务都能在不同的网上实现互通,三大网具有了统一的通信协议,从技术上为NII奠定了最坚实的基础。从其发展的过程来看,互联网覆盖全球、全方位命名、全方位服务、开放型系统、可支持视频、音频多种业务等。而这些方面恰恰是PSTN最大的缺陷(除了覆盖全球之外)。 NGN四层网络体系结构 ● 接入和传输层:利用各种接入手段将用户连接至网络,集中用户业务将它们传递至目的地。 ● 媒体层:将信息格式转换成为能够在网络上传递的信息格式。例如:将话音信号分割成ATM信元或IP包。此外,媒体层可以将信息选路至目的地。 ● 控制层:包含呼叫智能,决定用户收到的业务,并能控制低层网络元素对业务流的处理。 ● 网络服务层:在呼叫建立的基础上提供额外的服务。 NGN的关键技术 业务网层面:作为下一代业务网对于交换网则是软交换体系;对于数据网,则指下一代互联网NGI;而对于移动网,则指3G和超3G; 传送网层面,作为下一代传送网主要是智能光网络; 接入网层面,则是下一代宽带接入网。
中国网通NGN的建设策略和发展之路
中国网通公司作为新兴运营商,在国内最早开展下一代网络建设和试验,从成立之初就致力于下一代电信网络的建设,基于宽带IP网络建设自己的网络,因服务器托管此起步早,起点高,向下一代网络演变困难小得多,过渡相对容易得多。中国网通的NGN网络建设目前主要经历了下面几个阶段: 第一阶段:基础网络建设 以建设”中国高速互联示范网”为契机,建立基于IP over DWDM技术的IP骨干网,在全国建设了GII的基础网络设施的雏形。该基础网络在G.655光纤上新建基于DWDM技术的宽带承载网,有效地保证了NGN网络发展的带宽需求。同时在DWDM网络上新建基于IP技术的新一代宽带分组骨干网络,为NGN各种业务的融合和开展以及全球灵活方便互联提供了有效的承载平台。在建设基础网的同时在基础网上国内第一个开通基于VOIP技术和PSTN的普通IP电话业务以及互联网数据互联接入业务。 第二阶段:接入网和支撑网络、业务网的建设 在全国各城市建设宽带IP城域网,同时建设基于以太网技术的宽带接入网,实现从宽带IP骨干网、宽带IP城域网到宽带IP接入网宽带IP技术的端到端网络无缝连接。建设覆盖全网的同步网、智能网和7号信令网等支撑网络。利用智能网开展宽带长途智能业务和其他大量增值业务。建设覆盖全网的集中的计费营帐系统平台。 第三阶段:向以软交换系统为核心的下一代网过渡 利用网通已建成满足NGN所需的宽带IP骨干网和宽带IP城域网以及宽带接入网作为基础网络,建设和开通NGN试验网相对简单得多。只需在现有宽带IP网络增加支持多媒体业务的Softswitch系统就可以实现和试验基本的NGN功能和业务。 1.试验网的介绍 网通的策略是初期设置一套Softswitch控制设备,再将中继网关、信令网关分散放置在几个城市,直接与各地PSTN互通,形成区域性软交换试验网,待成熟后推广。此外,后期为保证系统安全,可以将软交换系统分域安装,两个Softswitch域的域内用户在正常情况分别由各自域的Softswitch来管理和控制,待某个域的Softswitch发生故障或恢复时,可按策略自动切换。 试验网主要使用的设备包括多业务交换服务器、OSS系统、网管系统以及计费系统。另外在IP语音网侧放置中继网关TG/信令网关SG,实现与网通VoIP网的互连互通;在用户侧,放置IAD设备,连接POTS话机以及PC机。 网通的NGN和软交换试验网考虑到与VoIP网络平台以及PSTN网络以及移动网络的互通性问题。初期主要考虑为用户同时提供数据业务以及宽带IP市话和长途电话电话业务。目前已经开展基于IP的视讯业务和多媒体业务的传送和承载,以及IP800号业务等。 2.下一步发展策略设想 首先,不断完善优化网络结构,扩大网络覆盖面,建成NGN综合业务服务器托管平台,逐步提供多样化、个性化、高附加值的新型增值业务,以此吸引用户并扩大网络收益。利用软交换提供的丰富的大客户接入手段为大客户提供数据和多媒体语音综合解决方案,通过自建、合作等手段,抢占集团、商业用户及中高档小区数据及语音市场;利用软交换开放的无极网络架构,以较少的投资,小规模的网络容量,在宽带数据网覆盖到的地方形成全省区域的业务覆盖;利用软交换网络扩容灵活快速、平滑升级的特点,简单快捷地逐步扩大网络。 其次逐步实现NGN网络与公司内其它网络的互联互通,包括公司内VOIP网络、智能网、网通北方通信公司的PSTN网以及将来的移动网的互通。 第三实现与其他运营商各种网络之间的对等互通,包括他们的NGN网。
NGN网络建设存在的问题和未来发展展望
(1)存在的问题 虽然不少厂家推出了软交换的解决方案,各运营商也在积极进行相关的试验,但新技术的应用需要相当长的时间来完善。在新兴运营商积极探索以分组承载网络是否能够提供话音业务的可行性时,传统运营商正在思考这种新的架构是否能够提供新的业务。 软交换系统和NGN标准和协议尚未做到兼容性,标准还在发展之中。不同厂家的软交换在技术标准的选用及协议的兼容性方面还难以做到相互兼容。因此各厂家的软交换系统和NGN还需要进行大量的兼容性试验和经过不断完善,才能最后大量推广商用。 基于软交换的网络组织目前国内外尚无成熟的经验,是采用基于软交换的全平面结构,还是分区域选路结构等在技术和实践方面都有待进一步的探索。 需解决软交换系统和NGN网的Qos保证问题。 “三网合一”的政策与技术试验问题。 由于需较长一段时间与现有网络共存,因此新网络体系还需解决和原有网络互通,包括:和现有的SS7信令网、智能网以及现有的PSTN网络体系互通与融合。 (2)基于软交换技术建设下一代网络的优势 软交换网络实现了与现有通信网络的平滑接入和无缝融合,适应电路交换网向宽带化、数据化演进的要求;它能兼容现有 PSTN/ISDN 的基本业务和新业务,提供全开放的业务平台,支持综合网络业务的快速生成和提供,同时支持传统IN业务。 与传统TDM技术相比,采用软交换技术建设的新一代网络具有如下优势。 1.网络结构清晰简洁,是完善的下一代网络结构体系; 2.目前网上实验和测试表明语音业务的各项指标及稳定性与PSTN网络相当甚至更优; 3.软交换网络基于宽带分组数据网,采用分组包交换、支持多业务融合的下一代网络,使得在新一代网络上实现语音、视频、数据等综合业务成为可能。可提供多媒体业务和移动业务等综合业务平台; 4.提供实时的、综合的、基于策略的网络管理模式,还提供集中远程网络管理维护功能; 5.软交换只需要一次性投入,同时该系统设备数量及占地比PSTN设备少很多,大大节省了设备投入与机房占地,工程实施更加经济方便,后续网络建设追加投入少; 6.终端接入设备可根据实际规模投入,保证高实装率; 7.业务收益将逐年增加。专家预测:软交换设备投资回收最长3-4年。 (3)NGN发展前景 软交换技术打破了传统的电信网络结构,为数据和话音的融合做好了充足准备,有希望解决诸多难题。基于“下一代网络核心”软交换的下一代网络的应用前景具体表现在: 1.为生成丰富灵活的新业务提供了实现手段。软交换网络将使电信网与互联网不断融合,而互联网具有多种新业务的催生能力。 2.彻底解决多网并存,扭转业务依赖网络的局面,为电信运营商降低运营成本,在市场竞争中取胜提供了保证。把传统PSTN、移动、数据和有线电视等各种网络统一为一个以IP为基础的综合、统一、多业务网络,使多种业务承载于同一核心网络,减少了网络建设的重复和运维的分立。 3.简捷、方便地承载原有PSTN业务,为电信运营商适应新形势,调整电信网络结构提供了新思路。
最后一公里接入
根据中国网通CNCnet和城域核心网的技术体服务器托管制和结构特点,接入段要求具有大容量、长距离、单位带宽成本低的特点。光纤不仅是适应宽带接入的一种理想媒体,而且在一定距离和一定规模下价格与铜缆相当,具有优良的性能价格比。全光网络当然是最终的趋势,但在现阶段,FTTH还不能规模使用,也就是说接入馈线段与引入线段需要灵活地与多种宽带接入手段相配合,以取得最佳效益。最后一公里的技术选择(馈线段): 1.基于无源光网路(PON)的光接入网(OAN),在前端和用户之间不需要任何电设备,除了光纤以外,只需要低成本的无源光分路器和耦合器。OAN的最重要的特征是它具有可扩展性。OAN可以在光纤基础网上以直驱方式实施,也可在现有的SDH/SONET环等光传输设施上实施,通过从SDH/SONET环上将光纤分支到用户,业务提供者可以连接各种规模的用户。另外,OAN可以灵活地为用户提供各种速率、各种价格的业务。通过灵活的带宽分配,利用IP或ATM协议,OAN的用户可以选择适合自己带宽需求的业务。这种能力消除了传统的DS-1和DS-3之间的价格差距。OAN主要面向带宽需求较大的企业用户和集团用户(FTTB/FTTC)。2.基于新一代城域光网的一体化城域接入网新一代城域光网的发展使密集波分复用(DWDM)正在从网络核心向终端用户推进。新一代城域接入网将通过IP协议或基于分组的基础设施传送大量的各种类型业务,这要求网络具有高度扩展性和无限的透明带宽。同时,网络能够做到单位比特的成本最低,而可靠性等于或高于现在的SONET/SDH基础设施。新一代城域光网设备与技术在过去的一年中已有长足进展,设备厂商尽力使产品在网络的核心和接入部分满足大容量、多协议基础设施的要求。城域光接入网可以与SDH/SONET同时存在,并承载SDH/SONET业务。光接入节点正在从简单的光ADM演变为综合接入设备,包括业务层接口、ATM或IP底板和光传送层。这种转变会提高每个节点的功能和复杂程度,但减少了整个接入网的复杂性。3.宽带无线接入作为宽带固定无线接入系统的代表,本地多点分配业务(LMDS)系统正在成为解决最后一公里的利器。LMDS是能够提供电话、视像节目、数据业务的宽带无线接入系统。目前作为双向系统,可适应交互式多媒体业务和宽带IP应用。中国网通在北京的LMDS试验已经取得初步结果,表明宽带无线接入技术在宽带IP业务支持能力和可靠性方面可以达到要求,应当给予重视,条件成熟时应大力发展。从目前的发展情况来看,宽带无线接入作为一种接入方式是无线技术发展的必然趋势,宽带无线接入是光接入的重要配合手段,而作为这一领域的代表,LMDS商用的步伐将逐步加快。4.PSTN/ISDN旁路接入PSTN/ISDN网络具有覆盖广泛,用户众多,接入灵活方便的特点;中国网通已经拥有171、17930/17931等专用接入号码,“避重就轻”,深入挖潜,快速发展将会取得良好的经济效益和社会效益。上述主要的宽带接入技术都有各自的优点和局限性,有不同的最佳适用场合,综合考虑业务成本、用户分布、市场需求以及用户对业务价格的承受能力等问题,以PSTN/ISDN旁路接入为先导,光接入为基础,宽带无线接入为重要切入和配合手段是应坚持的原则。最后一百米接入技术的选择(引入线段):连接用户的最后一百米,也就是入户段的技术主服务器托管要的传送媒质有:基于五类线的LAN技术、基于双绞线的xDSL、基于铜轴线的HFC技术、无线LAN技术以及光纤的PON技术等。这四种主要技术各有其技术特点,这就决定了它们的不同应用场合。1.ADSL由于其传送媒质而限制了带宽,同时具有挑线的弊端,但在现阶段和对分散用户,该技术还是比较成熟和经济的方案。2.HFC由于存在双向改造和漏斗效应,在用户相对集中且每光节点用户量在200户左右时是较佳的方案。3.无线LAN接入在不确定用户或没有有线的条件下具有一定的优势,但同时也会受地形和频率的限制。4.PON目前还受标准和实用化程度的制约,针对住宅用户的大规模商用还有一段距离。5.高速以太网接入由于与IP网的无缝结合和优良的可扩展性而具备很多天然优势,它将首先应用于企业用户并随着计费、管理等技术的发展和成熟快速进入家庭。最后一百米接入技术能够提供高速Internet服务,分组话音和视像业务,而费用远远低于FTTH。一般来讲LAN接入的成本比xDSL高一些,而低于HFC。目前xDSL系统的成本大约是500美元/用户,但由于技术迅速地更新换代,xDSL和cable modem的使用寿命较短,业务扩展性较差。高速以太网接入系统的主要组成部分一般具有更长的生命周期。 上述接入技术作为承载宽带IP业务和专线业务的最后100米解决方案,分别有不同的用户群和适用场合,都可以纳入宽带IP接入网的范畴。宽带IP接入网的一个显著特点是IP接入网不属于任何一般意义的业务提供者。由批发商/运营公司提供竞争的开放式光纤或波长接入,将用户和业务提供者连接起来。这种接入网将催生新的商业模式,促进各种新业务的蓬勃发展。
无线接入网络拓扑
关注OFDMA
OFDMA:空中端到端的解决方案
OFDMA的特点:
抗多径干扰和衰落
一定范围内可做到N-LOS
高频谱利用率
支持64QAM-256QAM高阶调制
用户接入速率范围宽
在选定副窄波上集中发射功率,扩大覆盖范围
提供固定及移动业务的统一接入
中国网通的OFDMA实验网络
卖点分析
华讯网络作为Cisco在国内的金牌代理,主要的经营业务也是围绕着Cisco的相关产品来开展的,为运营商提供数据网网络的架构方案和相应的产品是主要的业务种类,对于中国的运营商来讲,可能更多的需要的是一个系统集成商的服务,所谓“系统集成商”,应该是可以为运营商的网络提供整合的整体解决方案的供应商的代名词,不仅仅提供打包的网络传统产品(路由&交换)解决方案,也能够提供满足运营商更多经营要求的打包服务解决方案、打包的网络增值解决方案、打包的网络安全解决方案、打包的网络管理解决方案等等。打个比喻来讲,可能有点像一个大的MALL,有各种各样的产品可以满足各种客户不同的需求,如果达到这一点了,华讯网络将会从一个品牌的代理变成一个强有力的整体解决方案的提供者,从网络基础架构到网络运行管理等等的一条龙服务,这样由此具有的市场竞争力也是不可想象的。
正所谓“知己知彼,百战不殆”,我们也要分析我们的客户到底需要的是什么?到底有什么卖点是我们可以抓住的?
运营商网络基础建设
不用多讲,这是我们华讯网络的专长,具有服务器托管多年积累的专业知识、专业的服务队伍、专业的解决方案,等等。
我们现在能够在这一个方面所要提高的是更精、更专、服务性更强。
更精体现在更好的网络建设解决方案,做到精益求精,充分了解客户的相关需求后,做出满足需求更贴近客户的想法的解决方案。
更专体现在我们不仅仅在于提供网络传统基础架构的解决方案,也会在网络层次的各个专业方面有自己独到的解决方案(VPN、网管、安全)。
服务性更强体现在目前由于客户需要的服务内容更多、服务质量的要求更高等等。
对于不同的运营商来讲,所需求的网络基础架构的解决方案有一定的相同之处,主要是在技术实现手段上基本上还是差不多的,但是在贴近业务运行方面的考虑上,还是有一定的差异的,例如联通比较偏重话音、视频的应用(全国的voip网、宝视通等),电信比较偏重于专线商业用户、xDSL的宽带接入等,网通比较偏重于专线商业用户、MPLS VPN商业集团用户、小区以太接入等。这样的话,我们在对不同的运营商进行网络建设建议时,也需要区别不同运营商业务运作的特点来提供相应的网络解决方案。
运营商网络专项建设
网络管理
我们是Micromuse、netscout的代理商,有相应的项目实施经验,具有专业的工程师,具备了对运营商提供完善的性能分析、故障管理网管解决方案的能力,我们更加可以根据运营商自身业务和管理的需要,来提供网管系统二次开发定制的服务,这样可以更加贴近运营商的实际需要,从而达到双赢的目的。
网络安全
在安全的解决方案方面,我们需要根据运营商自身对于安全的需求来提供相应的安全解决方案,当然也可以引导客户充分认识自身在安全方面的需求,这是一个专业、复杂的过程,需要我们既能够提供技术的分析,也能站在运营商的角度来考虑一些问题,当然我们也可以根据现有的定义好的安全模型来分析运营商的网络架构,例如:
对于宽带网络运营商而言,宽带城域网包括基础承载网络和业务管理平台。城域承载网是城域网业务接入、汇聚和交换的物理核心网,它由核心交换层、边缘汇聚层、综合接入层构成。业务管理平台由业务支撑平台、网管平台、认证计费平台等组成。
城域网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的冲击,与业务相关的数据库服务器受到病毒的攻击,影响业务的正常运行,因此其安全设计考虑的重点与企业网络不同,用户的管理难度很大,安全管理制度实施困难,安全建设应更多地采用技术来保证网络和设备安全,并以用户管理作为辅助手段。
安全模型将宽带城域网分成三个区域:信任域、非信任域和隔离区域(非军事区)。信任域是宽带运营商的基础网络,通常采用防火墙等设备与电信业务网隔离,包括网管平台、智能业务平台、认证平台等设备;隔离区域是信任域和非信任域之间进行数据交互的平台,包括电信运营商提供的各种业务平台,如Web服务平台、FTP服务器、用户查询平台、Mail服务器等;非信任域是运营商面对客户的基础网络,它直接提供用户的接入和业务,同时也是Internet网络的一部分,包括基础用户接入、数据交换、媒体网关等设备,是运营商不能完全控制的网络。非信任域的基础网络是信息传输的基础,在城域网中起着至关重要的作用,作为安全模型中的非信任域,需要重点考虑。
1. 信任域的安全
信任域由网络业务支撑系统、网管系统、用户认证计费系统等组成,是城域网安全运营的核心所在,因而,必须采取最严密的安全措施。在一般情况下,信任域可能面临的威胁包括网络攻击、网络入侵、病毒(造成拒绝服务攻击)等。为了避免这些威胁,保证信任域的安全,可采服务器托管取以下手段:
(1)部署防火墙,制定严格的安全访问策略,严格限制对此区域的访问;
(2)认真配置好系统软件和应用软件,跟踪操作系统和应用系统的漏洞及补丁进展情况,严格限定系统和应用所服务对象的范围;
(3)部署网络入侵监测系统(IDS),对核心服务实施监控,对网络攻击和病毒及时报警;
(4)建立网管系统和日志系统;
(5)对重要的主机系统应采用双机热备份方式,对重要的应用系统和数据做好完善的备份工作,根据具体情况和需要设置灾难恢复系统。
2. 隔离域的安全
隔离域是城域网对外业务服务的平台,包括WWW服务、DNS服务、FTP服务、Mail服务、用户查询系统等,所有业务必须对外开放,因而安全威胁最大,也是最容易受到攻击的区域。为保证安全,可采取以下手段:
(1)部署防火墙,制定安全访问策略,特别是拒绝服务攻击(DDOS);
(2)及时修补服务器的安全漏洞,关闭不必要的网络服务等;
(3)系统备份和日志系统等等。
3. 非信任域的安全
非信任域是网络业务的传输网络,主要由各种网络交换机组成,它直接提供用户的接入和业务。非信任域网络安全的主要威胁来自各种攻击和病毒,其危害性主要表现在三个方面:
(1)网络攻击或病毒攻击会消耗网络设备的系统资源,特别是CPU的处理能力,使正常用户报文丢失,造成网络故障。
(2)攻击会大量消耗四层资源,如TCP连接数资源,对网络服务器和NAT设备的影响很大。
(3)黑客对设备访问控制权的攻击。
城域网需要重点考虑的是非信任域的安全问题,加强设备自身的安全和日常维护流程,从技术和流程两方面来保证。
下面阐述如何从城域网分层的角度来加强网络设备的安全措施:
(1)城域网核心设备的安全
核心交换层由核心交换节点构成,它将多个边缘汇聚层连接起来,提供穿透服务,进行数据的高速转发,同时实现与全国骨干网络的互联,提供城市高速IP数据出口。用户数据流可通过汇聚层上行到核心网络,通过核心网获取所需业务。威胁城域核心网安全的风险主要表现为核心设备遭受攻击或病毒引发网络流量激增,进而对设备性能产生冲击。
核心交换设备对安全性能的要求包括:
① 采用无阻塞交换设备;
② 采用逐包转发、分布处理、Wred等QoS技术,避免流Cache模型造成系统崩溃;
③ 节点关键设备冗余备份,系统出现软硬件故障时,可迅速切换到备用模块;
④ 网络设备采用多极安全密码体系,限制非法设备和用户登录;
⑤ 实现路由认证,保证路由协议安全;
⑥ 支持SNMP V3,安全网管;
⑦ 流量监控。
(2)城域网汇聚层设备安全
汇聚层负责汇集分散的接入点进行数据交换,提供流量控制和用户管理(用户识别、授权、认证、计费)功能,作为城域网的业务提供层面,是可运营、可管理城域网最重要的组成部分。汇聚层设备是用户管理的基本设备,也是保证城域网承载网和业务安全的基本屏障,更是保障城域网安全性能的关键。
汇聚层设备的安全特性主要体现在以下几点:
① 用户接入网络的安全控制,包括加强口令、密码、智能卡等访问控制手段;
② 保证接入侧用户相互隔离,保证接入的安全性,防止IP地址被盗用或仿冒,防止用户间的相互攻击;
③ IP地址与MAC地址、卡号绑定,能够准确定位用户,包括端口或MAC地址,并可提供追查恶意用户的手段;
④ 支持限制用户端口最大接入IP地址数、PPP会话数、TCP/UDP连接数,有效防止DOS、DDOS类的攻击;
⑤ 支持访问控制列表(ACL),包括在虚拟路由器中创建ACL列表、采用多种过滤规则提供多层次对目标网络的保护,以及禁止部分用户访问或有选择地屏蔽网络服务;
⑥ 可实现对用户带宽的控制CAR;
⑦ 安全日志管理。
从长远看,BRAS产品也必须考虑用户的安全防护措施。如何提供病毒防治、集中安全管理和升级等手段,将成为提高通信网络安全的关键。
(3)城域网接入层设备安全
通过各种接入技术和线路资源实现用户覆盖,提供多业务用户的接入,并配合完成用户流量的控制功能,包括xDSL、LAN和WLAN等接入方式。
设备采用的安全手段包括:
① 用户隔离;
② 控制用户流量带宽。
城域网非信任域设备的安全保障措施是从城域网分层模型出发,实现层层防御,增强网络抗攻击性的能力。
VOIP
感觉目前运营商对于VOIP的投入和热情已经在减退,主要可能跟以下因素有关:
VOIP在国内的发展在1999年开始大规模的启动,到2002年初,形成了连续几年的高速投入和发展的势态,这也推动了VOIP厂商的技术以及设备、解决方案的发展。但从2002年开始,国内VoIP网络的建设突然减缓,国内运营商重新选择传统PSTN设备建设长途电话网络。除了国际电话外,运营商基本没有计划新建或大规模扩容VoIP长途网络。
回顾VoIP在国内的发展,1999年VoIP开始在国内大规模推广,吉通、联通、网通都推出了IP电话卡业务。短短的两三年时间,VoIP就直接威胁到传统长话业务,中国电信和中国移动不甘于自己的份额被蚕食,也加入IP电话的大战中来。其实IP电话占领市场的主要原因很简单,就是资费比传统长话要低得多。
最初的两方面原因直接推动了运营商采用VoIP技术:一是对新技术的崇尚和对未来的憧憬,上世纪90年代末期是计算机和网络通信技术发展的顶峰时期,对新技术不切实际的狂热追求比比皆是;二是执照问题,当时吉通、联通和网通只有VoIP长话的执照,不能经营普通长途电话业务。随着时间的推移,上述推动因素已不存在。
网络泡沫的破灭使运营商更理性的看待新技术。一项新技术是否能生存甚至替代原有技术,关键看两点:首先,是否能产生新的收入或者说带来更多收入;其次,是否能降低成本。依目前国内的情况来看,VoIP难堪此重负。
VOIP能否带来新的收入呢
VoIP作为一项新技术能带给设备商和运营商很大的想象空间:新业务层出不穷,增值业务可以带来源源不断的收入。被谈论了很久的增值业务包括:统一消息(Unified Message)、号码可携带(LNP)、One Number、PC to Phone、Internet Call Waiting、Voice Portal等等。任何一个VoIP设备商都可以列出多达数十项的功能清单。这里没有必要对这些功能详述,只需要注意这样一个事实:这些功能绝大部分从没有带来过收入,有收入的基本上也都是象征性的。原因有很多,有的因为功能技术不成熟;有的因为不符合国内用户的使用习惯;有的则是由于受政策限制。
事实上,VoIP设备商所列举的大部分功能在传统智能网上也是可以实现的,而且很多VoIP的增值业务实际是通过与SS7信令网互通,由传统智能网来提供的。所以,在增值业务上VoIP与PSTN相比没有特别的优势,至少在目前是这样。目前的实际情况是VoIP仅仅提供了长途旁路业务。
VOIP能否降低成本呢
VoIP向多网合一的远景迈出了一大步,真正把语音和数据集成在一张网里,这意味着只需要建设和维护一个网络就可以提供以前多个网络支持的业务,建设和运维的成本都降低了。
VoIP具备语音压缩、带宽统计复用的能力,相对于传统PSTN网络带宽利用率更高,节约了传输成本。运营商期待VoIP能大幅降低长途语音成本。
而实际上的VoIP网络运营跟最初的设想差距很大。国内大部分运营商的VoIP网络承载在专网上,即专门为VoIP建设的IP基础网络。原因很简单,只有这样才能保证服务质量和系统安全。如果IP承载网络的质量不能保证,VoIP的质量也无从谈起。IP网络的QoS一直是让人头疼的难题,解决的方案不少,要么效果不理想,要么可操作性不强,最服务器托管简单的办法就是为VoIP建一个独立的IP专网。安全问题同样不可忽视,与QoS类似,专网是最彻底的解决办法。所以大部分运营商还是选择了为VoIP建专网。对于运营商来说,网络不但没有减少反而增加了,过去的语音、数据两张网变成了传统语音、语音IP、数据IP三张网。另外,主流VoIP厂家的设备通常不能互通,原因涉及技术和厂家利益问题,结果就是不少运营商有多个独立的VoIP网,这些VoIP网的互通只能由电路交换机来完成。还有一个不能忽视的问题,作为一项新技术,VoIP对运维人员的要求远比传统交换机高。这实际都增加了VoIP的运维成本。
另一个很重要的原因是,由于近几年光传输技术的突飞猛进,传输设备容量成倍增加,价格却不断走低。经过几年的大规模建设,国内运营商长途电路成本大大降低,并有很大的富余量。运营商对提高国内传输利用率的积极性不高,VoIP的吸引力也相应减弱。国内的主要运营商没有必要为了VoIP而VoIP。
此外,由于是新技术,而且初期的VoIP设备主要来自国外厂商,所以对比国内的传统交换设备,VoIP设备很昂贵。总体来看,VoIP在现阶段的应用并没有多少成本上的优势。
所以基于以上的种种因素,对运营商进行VOIP的推动还是比较艰难的,目前运营商却转向关注另一个新的热点“软交换”。
随着下一代网络(NGN)概念的逐渐升温,被视为NGN核心的软交换也成为最热门的技术之一。软交换在概念上与VoIP有根本不同,VoIP只能算软交换提供的业务之一。软交换应该是综合的业务平台,除了语音外,还支持视频、即时消息、游戏和各种数据业务。
我感觉可能目前更为关注VOIP的应该是企业用户而不是运营商,因为企业用户有自己迫切的需求:降低话音的成本。而VOIP恰恰可以满足他们的需求,所以,这也许是我们应该可以考虑的地方,利用华讯专业的IP Telephony的优势为企业用户订制企业需要的全国性或省级的VOIP网络。
MSTP
我们公司在MSTP方面没有很专业的人员来做,以前也只是做过贵州电力的一个项目(供货),在这一方面,也许还是可以加强一下,因为目前运营商在进行网络构建时,也会有采用MSTP的需求。
我会上载一份cisco在mstp方面的一个ppt文档,以供大家参考。
其它
目前运营商有很多业务,我们可服务器托管能也在公司逐步扩大的时候,会逐步涉足相应的领域,作一个具有很多专业技能的系统集成商,在以后的市场竞争中发展壮大。