任華，孫建強，王曉周

（中國移動通信集團設(shè)計院有限公司，北京 100080）

1 概述

近年來各省移動核心網(wǎng)已基本完成了軟交換和話音IP化的演進，用于承載話音業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備已經(jīng)頗具規(guī)模。同時，社會各界對通信安全保障的要求也越來越高。在此背景下，如何加強承載網(wǎng)絡(luò)的安全性，降低承載網(wǎng)設(shè)備上不安全因素帶來的風(fēng)險，規(guī)范業(yè)務(wù)系統(tǒng)CE設(shè)備的工程建設(shè)及組網(wǎng)結(jié)構(gòu)，保障移動網(wǎng)絡(luò)運行的安全穩(wěn)定性，顯得愈發(fā)重要。

本論文主要針對某省移動核心網(wǎng)軟交換IP化之后承載網(wǎng)CE設(shè)備的安全保障方案進行研究討論。分析現(xiàn)網(wǎng)承載網(wǎng)絡(luò)CE設(shè)備運行可能存在的風(fēng)險，探討網(wǎng)絡(luò)整改、優(yōu)化方案。

2 軟交換核心網(wǎng)CE設(shè)備運行及組網(wǎng)架構(gòu)現(xiàn)狀

目前各省移動核心網(wǎng)軟交換和話音IP化已基本完成。CE設(shè)備主要設(shè)置在軟交換設(shè)備業(yè)務(wù)節(jié)點和IP承載網(wǎng)接入路由器(access router)之間，由CE設(shè)備完成軟交換節(jié)點接入IP承載網(wǎng)，并將信令、媒體流隔離至不同VRF，如圖1所示。

圖1 軟交換設(shè)備IP接入連接示意圖

各省移動核心網(wǎng)通常包含多個廠家的軟交換設(shè)備，對應(yīng)的承載網(wǎng)接入CE也包括多個廠家的路由器設(shè)備。在軟交換IP化的進程中，大部分核心網(wǎng)節(jié)點通過本廠家CE設(shè)備接入IP承載網(wǎng)，少量節(jié)點通過異廠家CE設(shè)備完成IP接入。

3 安全風(fēng)險分析與安全保障方案

通過前期對某省軟交換核心網(wǎng)CE設(shè)備運行和組網(wǎng)架構(gòu)的調(diào)研，分析現(xiàn)網(wǎng)的安全風(fēng)險主要存在于組網(wǎng)架構(gòu)、設(shè)備配置及鏈路設(shè)置、設(shè)備安裝及接入等方面。本章主要評估、歸納各類現(xiàn)網(wǎng)可能存在的安全風(fēng)險，結(jié)合移動集團與CE設(shè)備冗余保護、組網(wǎng)架構(gòu)相關(guān)的規(guī)范要求，分析總結(jié)出具體的安全保障方案。

3.1 組網(wǎng)架構(gòu)安全風(fēng)險分析與安全保障方案

風(fēng)險1: 部分CE設(shè)備同時掛接存在備份關(guān)系的多個核心網(wǎng)網(wǎng)元。例如，某地市由4個MSC Server組成Pool，其中2個MSC Server設(shè)置在同一機樓，通過同一對CE設(shè)備接入IP承載網(wǎng)。這種情況下，若CE設(shè)備發(fā)生故障，將同時影響該Pool內(nèi)的2個核心網(wǎng)節(jié)點，造成的容量損失極可能超過該Pool的容災(zāi)承受能力。

優(yōu)化方案:明確備份網(wǎng)元接入CE時的原則，對現(xiàn)網(wǎng)存在該風(fēng)險的接入情況進行排查、整改，在網(wǎng)絡(luò)規(guī)劃時遵循該原則，規(guī)避風(fēng)險。

某省各類存在備份關(guān)系網(wǎng)元的接入原則如表1所示。

表1 存在備份關(guān)系的核心網(wǎng)網(wǎng)元接入原則表

風(fēng)險2: CE設(shè)備掛接網(wǎng)元數(shù)量過多，網(wǎng)元接入過于集中，部分CE接入網(wǎng)元達到12個甚至更多，安全風(fēng)險較大。

優(yōu)化方案:限制網(wǎng)元接入數(shù)量、容量。當(dāng)接入網(wǎng)元達到限制時，對原CE進行分裂，通過新建CE、網(wǎng)元割接的方式進行優(yōu)化。

通過分析評估，某省軟交換CE設(shè)備接入原則確定為:同一對CE實際承載的軟交換用戶不超過500萬；接入的大容量軟交換網(wǎng)元不超過8個；若該對CE設(shè)備同時掛接BSC，則接入總網(wǎng)元數(shù)不超過10個。

風(fēng)險3: 同機房的多對CE設(shè)備在進行節(jié)點接入時，接入數(shù)量和流量分配不均勻。部分機房存在新建CE設(shè)備接入網(wǎng)元少、流量低，而使用年限較長的CE設(shè)備接入網(wǎng)元較多，承載流量高的不合理情況。

優(yōu)化方案:對現(xiàn)網(wǎng)同機樓存在多對CE時掛接網(wǎng)元的方案進行核查，針對同廠家CE設(shè)備接入網(wǎng)元數(shù)量或流量相差過大的情況進行調(diào)整。由于CE下掛網(wǎng)元情況是隨著網(wǎng)絡(luò)擴容而變化的，因此調(diào)整可以隨著各期核心網(wǎng)網(wǎng)絡(luò)建設(shè)項目進行，在各期網(wǎng)絡(luò)擴容規(guī)劃時統(tǒng)一考慮。

對于同機樓異廠家CE設(shè)備間網(wǎng)元掛接數(shù)量及流量存在差異的情況，不建議實施調(diào)整，建議仍然以滿足軟交換網(wǎng)元接入本廠家CE設(shè)備原則為主，避免不同廠家設(shè)備連接時可能出現(xiàn)的工程配合及運行維護問題。

3.2 設(shè)備配置及鏈路設(shè)置安全風(fēng)險分析與安全保障方案

風(fēng)險1: CE設(shè)備服務(wù)年限較長(超過5年)，不但存在擴容瓶頸，而且有設(shè)備老化、故障率升高的安全隱患。

優(yōu)化方案:對于現(xiàn)網(wǎng)存在的老舊CE設(shè)備，綜合考慮設(shè)備平臺、入網(wǎng)年限、設(shè)備運行情況、下掛網(wǎng)元擴容需求等因素，以網(wǎng)絡(luò)擴容為契機，實施必要的替換或退網(wǎng)割接。

例如，在某省存在一定數(shù)量華為NE40型號的CE設(shè)備。設(shè)備入網(wǎng)年限超過5年，CE至AR間帶寬多為1×GE或多GE捆綁，不支持10 GE接口，且設(shè)備的框位、板卡容量有限，有必要分步實施替換。經(jīng)過對這些老舊設(shè)備進行分析評估，計劃在2～3期軟交換擴容工程內(nèi)完成替換或割接退網(wǎng)。具體規(guī)劃時，優(yōu)先考慮入網(wǎng)時間長、有10 GE上聯(lián)AR需求的CE設(shè)備。

風(fēng)險2: CE設(shè)備上槽位利用率和板卡端口利用率過高(超過80%)，留給設(shè)備擴容和網(wǎng)絡(luò)調(diào)整的空間小。對設(shè)備處理能力形成挑戰(zhàn)的同時，也極大限制了針對突發(fā)需求時網(wǎng)絡(luò)臨時調(diào)整的空間，存在安全隱患。

優(yōu)化方案:控制CE設(shè)備上槽位、板卡的利用率，板卡及槽位的規(guī)劃配置可適度超前，留取一定余量。

對某省來說，具體優(yōu)化調(diào)整時考慮如下原則：CE設(shè)備槽位利用率超過75%，可新建一對CE，板卡端口利用率超過80%，可擴容板卡。

風(fēng)險3: 鏈路設(shè)置上存在安全風(fēng)險：如CE至AR的上行鏈路與主備CE間互聯(lián)鏈路同板卡(上行、互聯(lián)全部鏈路都同板卡)，主備CE間多條互聯(lián)鏈路同板卡等。

優(yōu)化方案:在網(wǎng)絡(luò)規(guī)劃和優(yōu)化調(diào)整時遵照以下原則：

（1）對于上聯(lián)鏈路，新建及現(xiàn)有CE上聯(lián)AR流量帶寬如單條GE鏈路無法滿足，則設(shè)置10 Gbit/s上聯(lián)，原則上不進行多GE鏈路捆綁。

（2）對于互聯(lián)鏈路，根據(jù)CE間業(yè)務(wù)流量，成對CE間可采用GE或多GE捆綁或10 GE互聯(lián)。CE間互聯(lián)鏈路分布在不同的板卡上，帶寬總和大于CE至AR上行鏈路帶寬需求。

（3）對于下聯(lián)鏈路，可根據(jù)業(yè)務(wù)系統(tǒng)到CE的業(yè)務(wù)流量，采用1個或多個GE/FE端口接入。對于業(yè)務(wù)接入的板卡，開通的全部端口流量不能超過背板交換容量。

3.3 設(shè)備安裝及接入情況安全風(fēng)險分析與安全保障方案

風(fēng)險1: CE設(shè)備取電方式存在安全隱患，部分主備CE或者對角線CE設(shè)備仍通過同一套開關(guān)電源取電，若開關(guān)電源故障，將直接造成所有CE接入節(jié)點業(yè)務(wù)中斷。

優(yōu)化方案:對存在上述情況的CE設(shè)備進行整改，嚴格執(zhí)行主備CE和對角線CE獨立取電。CE設(shè)備的安全運行直接影響到大量核心網(wǎng)網(wǎng)元的業(yè)務(wù)運行，電源割接時務(wù)必制定詳細的割接方案及應(yīng)急預(yù)案，規(guī)避工程風(fēng)險。

風(fēng)險2: 部分接入網(wǎng)元在接入同機樓CE設(shè)備時，布線距離過長，信號衰減及干擾可能對業(yè)務(wù)造成影響。

優(yōu)化方案: 根據(jù)各類網(wǎng)元接入CE的不同方式，分別規(guī)范接入原則。

某省分析制定的接入原則如下:

（1）電接口的業(yè)務(wù)系統(tǒng)接入現(xiàn)有CE時，布線距離不超過100m。

（2）軟交換網(wǎng)元采用光口接入同樓層CE時，原則上采用多模直連。

（3）軟交換網(wǎng)元采用光口跨樓層接入CE時，建議采用單模上ODF跳接的方式。

風(fēng)險3: CE設(shè)備成對設(shè)置，但接入IP承載網(wǎng)時，主備鏈路路由選擇不盡合理，存在單點故障隱患，如主備鏈路通過同一ODF模塊接入傳輸?shù)取?/p>

優(yōu)化方案: 規(guī)劃CE至AR的鏈路時，按照主備鏈路雙路由分開進行考慮，避免鏈路交叉。下聯(lián)設(shè)備至一對CE的主備接入鏈路情況復(fù)雜、數(shù)量較大，可根據(jù)機房條件酌情實施雙路由。

3.4 A接口IP化演進過程中的CE安全保障探討

前面3節(jié)針對現(xiàn)網(wǎng)軟交換CE設(shè)備存在的安全風(fēng)險隱患進行了安全保障方案的分析論述。當(dāng)前核心網(wǎng)軟交換網(wǎng)絡(luò)仍將進一步推進A接口IP化的演進。實施AoIP后，軟交換CE設(shè)備將遇到新的組網(wǎng)應(yīng)用場景。本節(jié)將對核心網(wǎng)A接口IP化演進過程中CE設(shè)備的安全保障進行簡單探討。在這種場景中，CE設(shè)備的配置及鏈路設(shè)置、設(shè)備安裝及接入情況的安全保障均可參照前面3節(jié)的原則與方案，本節(jié)僅探討組網(wǎng)架構(gòu)的安全保障。

3.4.1 A接口IP化技術(shù)

A接口IP化指BSC在A接口通過IP傳輸?shù)姆绞酵瓿膳c核心網(wǎng)交換局的信令和用戶面的連接。

A接口IP化改造前，BSC與MSC之間的接口基于TDM承載。BSC的信令面通過信令網(wǎng)關(guān)SG(內(nèi)置在MGW中)連接MSC Server，用戶面通過TDM接口連接MGW。A接口IP化以后，BSC的信令面通過IP方式直接連通MSC Server，媒體面通過IP方式連通MGW。如圖2所示。

圖2 A接口IP化前后用戶、信令面連接示意圖

3.4.2 AoIP場景下的CE設(shè)置方案

AoIP以后，A接口BSC側(cè)和MSC側(cè)的端口都需要通過CE設(shè)備實現(xiàn)IP連通。而在MSC側(cè)，Mc、Nc、Nb接口已完成IP化改造，MSC Server和MGW已接入IP承載網(wǎng)的CE設(shè)備。BSC側(cè)實現(xiàn)A接口IP化接入時，有以下兩種設(shè)置方案:

（1）單獨設(shè)置A接口IP化CE設(shè)備，為BSC設(shè)備提供接入；

（2）使用現(xiàn)網(wǎng)軟交換CE設(shè)備接入AoIP的BSC。

采用方案2能實現(xiàn)A接口與CS域軟交換設(shè)備共用信令和媒體VPN，減少話路迂回，降低組網(wǎng)風(fēng)險。這種方式下，A接口IP化站點接入具體方案如下:

（1）同局址BSC A接口IP化接入時與CS域其他IP端口共用軟交換CE設(shè)備。

（2）A接口媒體流在CS媒體VRF內(nèi)，信令流在CS信令VRF內(nèi)。

（3）MSC與BSC間的A接口與CE之間的連接應(yīng)避免產(chǎn)生二層環(huán)路。

（4）A接口接入時物理端口建議采用光口，能提高連接可靠性，有效延長傳輸距離。

（5）CE之間、CE與AR之間運行OSPF動態(tài)路由協(xié)議。

3.4.3 AoIP場景下的CE安全保障探討

在采用上述方案2進行AoIP組網(wǎng)時，為降低網(wǎng)絡(luò)運行風(fēng)險，可以參考以下組網(wǎng)原則:

（1）接入數(shù)量及容量允許情況下，BSC設(shè)備優(yōu)先接入同Pool MSC所在的CE設(shè)備，能減少媒體流網(wǎng)絡(luò)迂回，降低CE處理負荷。

（2）在BSC數(shù)量較多的局址，考慮潮汐效應(yīng)，優(yōu)先將覆蓋地區(qū)忙時存在差異的BSC設(shè)備接入同對CE設(shè)備，將忙時接近的BSC設(shè)備分開。如大學(xué)城與市中心熱點地區(qū)忙時時段不一樣，接入時優(yōu)先考慮將這覆蓋兩類地區(qū)的BSC設(shè)備混接。

（3）限制CE設(shè)備上接入網(wǎng)元的總數(shù)，降低網(wǎng)絡(luò)運行的風(fēng)險。

4 結(jié)束語

本文以某省移動核心網(wǎng)軟交換CE設(shè)備為例，分析軟交換IP承載CE設(shè)備運行及組網(wǎng)架構(gòu)存在的各類風(fēng)險，并針對性地探討各類風(fēng)險的安全保障方案與優(yōu)化措施。對各省核心網(wǎng)軟交換組網(wǎng)規(guī)劃及維護調(diào)整有一定參考意義。本文探討的部分安全保障方案和優(yōu)化措施在某省得以實行，效果顯著。事實證明，在網(wǎng)絡(luò)建設(shè)及維護過程中，有意識的對CE組網(wǎng)設(shè)備進行科學(xué)、規(guī)范的統(tǒng)籌管理，能夠極大地提高組網(wǎng)效率，降低網(wǎng)絡(luò)風(fēng)險。

[1] 中國移動集團. 中國移動CE設(shè)備組網(wǎng)架構(gòu)規(guī)范, 版本號：1.0.0[S].

[2] 黃玲, 鄭屹峰. GSM網(wǎng)絡(luò)A接口IP化實現(xiàn)[J]. 移動通信，2009,10：40-44.