1 對信息通信網(wǎng)關(guān)的需求
中國的運(yùn)營商市場經(jīng)過10多年的調(diào)整,形成了三足鼎力的競爭格局。為了應(yīng)對日益激烈的全業(yè)務(wù)競爭和信息通信融合趨勢,三大電信運(yùn)營商紛紛以不同方式向綜合信息服務(wù)提供商轉(zhuǎn)型。
電信運(yùn)營商的理想價值鏈條是聚合內(nèi)容提供商、應(yīng)用提供商、設(shè)備提供商和電信運(yùn)營商的自營服務(wù)能力。電信運(yùn)營商希望借助合作方的應(yīng)用開發(fā)、技術(shù)支持能力,使用自身的品牌和渠道,共同為客戶提供信息通信解決方案。其中,如何為廣大的政府或中小企業(yè)用戶提供綜合信息服務(wù)是其面臨的關(guān)鍵課題之一,研究結(jié)果表明為政府或中小企業(yè)用戶提供信息通信基礎(chǔ)設(shè)施集成建設(shè)是一個較好的突破點。為此,電信運(yùn)營商需要把信息通信設(shè)備部署到客戶處,需要為企業(yè)客戶提供綜合服務(wù),包括互聯(lián)網(wǎng)接入、VPN連接、VoIP語音服務(wù)等。
中國政府和中小企業(yè)用戶的特點是數(shù)量眾多,IT技術(shù)能力較弱,對信息通信基礎(chǔ)設(shè)施的需求多樣化,因此如果能夠?qū)⒍嘣獦I(yè)務(wù)方便地部署于同一節(jié)點,不僅能夠最大程度地避免網(wǎng)絡(luò)設(shè)備繁雜導(dǎo)致故障點多的問題,而且能極大地降低企業(yè)網(wǎng)絡(luò)建設(shè)的初期投資與長期運(yùn)維成本,對電信運(yùn)營商和政企客戶而言都是雙贏的?;诖?,新一代支持ICT業(yè)務(wù)的企業(yè)信息通信網(wǎng)關(guān)就需要滿足以下需求。
設(shè)備接入方式要豐富,不僅要有傳統(tǒng)銅線接入的方式,如E1、V35的窄帶接入和LAN 以太、WAN 以太、xDSL的寬帶接入,還要有市場上方興未艾的WLAN、3G、WiMAX等寬帶無線接入方式。無線接入方式由于能夠給客戶組網(wǎng)帶來極大的移動性和部署靈活性,未來將是企業(yè)信息通信基礎(chǔ)設(shè)施建設(shè)的熱門技術(shù)。
某些政府類客戶將網(wǎng)絡(luò)的安全和性能需求提到一個相當(dāng)高的位置,不僅要求很高的轉(zhuǎn)發(fā)能力,而且還需要有高性能的加解密能力,以滿足通信安全需求。有的客戶還要求設(shè)備能夠帶有防火墻功能,解決Internet上越來越多的病毒攻擊和網(wǎng)絡(luò)攻擊。
為了對設(shè)備能夠進(jìn)行方便和完善的管理,以便幫助不具備信息通信維護(hù)能力的政府和中小企業(yè)用戶解決維護(hù)之苦,電信運(yùn)營商對網(wǎng)絡(luò)接入設(shè)備的統(tǒng)一管理提出了新的要求,要求通信設(shè)備支持多種網(wǎng)絡(luò)管理方式,如Web、SNMP和TR069等。
支持ICT業(yè)務(wù)的企業(yè)信息通信網(wǎng)關(guān)設(shè)計
體系結(jié)構(gòu)描述
MP1800是邁普通信技術(shù)股份有限公司專門為政府、中小企業(yè)客戶量身打造的符合電信運(yùn)營商和中小企業(yè)信息通信需求的新一代信息通信設(shè)備。它具有5個一體化的特點:
路由、交換一體化,支持2個以太網(wǎng)WAN口加4/8個以太網(wǎng)LAN口;
寬帶、窄帶一體化,支持從N×64 kbit/s到100 Mbit/s廣域網(wǎng)鏈路接口;
廣域、局域一體化,支持廣域網(wǎng)和局域網(wǎng)的統(tǒng)一控制和管理;
有線、無線一體化,支持3G和WLAN接入,能夠和有線網(wǎng)絡(luò)進(jìn)行無縫對接;
數(shù)據(jù)、語音一體化,支持?jǐn)?shù)據(jù)多業(yè)務(wù)的開展和VoIP功能,并能進(jìn)一步擴(kuò)展為IPPBX;
信息、通信一體化,支持豐富的增值應(yīng)用、網(wǎng)絡(luò)應(yīng)用監(jiān)管。
MP1800系統(tǒng)架構(gòu)如圖1所示。
圖1 MP1800的系統(tǒng)架構(gòu)
MP1800采用了先進(jìn)的400 MHz的 PowerPC嵌入式雙核處理器,配以256 MB,64bit/133 MHz的DDR2 SDRAM、最大256 MB的Flash。MP1800在設(shè)計上對通信接口和增值業(yè)務(wù)模塊提供了良好的支持,包括通過CPU自帶的接口提供了窄帶接口(E1/CE1、同異步串口等)、4端口的IP語音模塊、4/8端口的10/100M/1 000M LAN以太交換接口、2端口的10/100M WAN以太路由接口、1端口的ADSL/ADSL2+接口、4端口的G. SHDSL接口;通過64bit/33MHz的PCI總線擴(kuò)展出支持802.1b/g協(xié)議的WLAN接口和支持100 Mbit/s加密性能的硬件加密模塊;通過USB2.0接口擴(kuò)展支持WCDMA/cdma2000/TD-CDMA的3G Modem接口。
多業(yè)務(wù)融合設(shè)計
MP1800做到了多業(yè)務(wù)和高性能的完美結(jié)合,實現(xiàn)了包括路由、交換、IP語音、安全、無線接入、防火墻和滿足電信要求的網(wǎng)管功能,能承擔(dān)以前多種通信設(shè)備才能承擔(dān)的任務(wù)。
MP1800的高性能設(shè)計
為了滿足政府、中小企業(yè)、電信運(yùn)營商對信息通信設(shè)備越來越高的性能需求,MP1800在軟件體系上進(jìn)行了專門設(shè)計和優(yōu)化,最主要的一個特點是采用了雙核處理器來進(jìn)行數(shù)據(jù)報文的處理,其中一個處理器核心專門處理所有通信接口來的的數(shù)據(jù)報文,對其進(jìn)行收發(fā)、識別、分類和快速轉(zhuǎn)發(fā),保證數(shù)據(jù)的高效處理;而另一個處理器核心則處理復(fù)雜的網(wǎng)絡(luò)應(yīng)用和用戶配置,比如網(wǎng)絡(luò)安全、MPLS和動態(tài)路由協(xié)議功能,這樣的設(shè)計使得MP1800能夠做到轉(zhuǎn)發(fā)和控制/管理相分離,互相不受影響,因此MP1800能夠做到64 byte報文的雙向百兆全線速轉(zhuǎn)發(fā),即使在配置了復(fù)雜的ACL/QoS功能時性能也沒有太大的影響。此外,為了提高IPSec安全性能,MP1800采用了硬件加密模塊,能夠達(dá)到100 Mbit/s的加解密性能。
MP1800的QoS功能
由于政府、中小企業(yè)客戶越來越重視關(guān)鍵業(yè)務(wù)的通信質(zhì)量,因此QoS功能在未來的網(wǎng)絡(luò)應(yīng)用中將發(fā)揮越來越重要的作用。MP1800為用戶提供了流分類、流量監(jiān)管、流量整形、擁塞管理和擁塞避免等多種應(yīng)用。
(1)流分類
MP1800的QoS支持豐富的業(yè)務(wù)分類標(biāo)準(zhǔn),可廣泛應(yīng)用于傳統(tǒng)IP、MPLS和以太網(wǎng)等多種業(yè)務(wù)網(wǎng)絡(luò)中。MP1800支持業(yè)務(wù)深度識別功能,能夠識別多種應(yīng)用層協(xié)議,如HTTP、BT應(yīng)用等,可為語音、視頻、文件傳輸、Web瀏覽等不同應(yīng)用提供不同的QoS服務(wù)。
(2)流量監(jiān)管和流量整形
MP1800支持單速雙色和雙速三色的令牌桶算法,對超出規(guī)格的流量可以實施預(yù)先設(shè)定好的監(jiān)管動作。這些動作可以是:轉(zhuǎn)發(fā)、丟棄、改變優(yōu)先級并轉(zhuǎn)發(fā)、進(jìn)入下一級的監(jiān)管。
(3)擁塞管理
當(dāng)報文到達(dá)的速度大于該接口發(fā)送的速度時,在該接口處就會產(chǎn)生擁塞,發(fā)生報文丟失,而報文的丟失又可能會導(dǎo)致發(fā)送該報文的主機(jī)或路由器因超時而重傳此報文,這將導(dǎo)致惡性循環(huán)。擁塞管理的中心內(nèi)容就是當(dāng)擁塞發(fā)生時如何制定一個資源的調(diào)度策略,決定報文轉(zhuǎn)發(fā)的處理次序。MP1800的QoS提供豐富的調(diào)度策略,例如FIFO、PQ、CQ、WFQ、CBWFQ,每一種調(diào)度策略都可以為一種關(guān)鍵業(yè)務(wù)應(yīng)用而設(shè)計。
MP1800的2層交換功能
MP1800提供了豐富的二層以太網(wǎng)功能,包括MSTP、GARP/GVRP、LACP、以太網(wǎng)OAM、UDLD等,因此使用MP1800能夠方便、完善地構(gòu)建一個局域網(wǎng)絡(luò),快速、有效、安全地布置各種業(yè)務(wù)。
MSTP是一種生成樹協(xié)議,可以通過有選擇性地阻塞網(wǎng)絡(luò)冗余鏈路來達(dá)到消除網(wǎng)絡(luò)二層環(huán)路的目的,同時具備鏈路備份功能。
端口匯聚技術(shù)分為靜態(tài)匯聚和動態(tài)匯聚,是將多個端口聚合在一起形成一個匯聚組,不僅可以提高鏈路帶寬,實現(xiàn)流量在匯聚端口上的負(fù)載分擔(dān),也能提高連接可靠性。
以太網(wǎng)OAM作為一個二層協(xié)議,是監(jiān)控和解決網(wǎng)絡(luò)問題的工具。它能夠在數(shù)據(jù)鏈路層報告網(wǎng)絡(luò)的狀態(tài),使網(wǎng)絡(luò)管理員能夠更有效地管理網(wǎng)絡(luò)。這個功能能夠使電信運(yùn)營商方便地管理和維護(hù)設(shè)備,提升他們的客戶滿意度。
MP1800的安全功能
MP1800實現(xiàn)了多種安全技術(shù)來保障設(shè)備信息通信安全,這些技術(shù)有IPSec、SSL VPN、802.1x接入控制認(rèn)證和防火墻等。
(1)保證數(shù)據(jù)傳輸安全的IPSec功能
IPSec是一種三層隧道加密協(xié)議,它能夠為Internet上傳輸?shù)臄?shù)據(jù)提供高質(zhì)量的、可互操作的、基于密碼學(xué)的安全保證。它能夠提供以下的安全服務(wù):
數(shù)據(jù)機(jī)密性:IPSec發(fā)送方在通過網(wǎng)絡(luò)傳輸包前對包進(jìn)行加密;
數(shù)據(jù)完整性:IPSec接收方對發(fā)送方發(fā)送來的包進(jìn)行認(rèn)證,確保數(shù)據(jù)在傳輸過程中沒有被篡改;
數(shù)據(jù)來源認(rèn)證:IPSec在接收端可以認(rèn)證發(fā)送IPSec報文的發(fā)送端是否合法;
防重放:IPSec接收方可檢測并拒絕接收過時或重復(fù)的報文。
通常,IPSec在一些低端通信設(shè)備上都是通過軟件實現(xiàn),由于復(fù)雜的加密/解密、認(rèn)證算法會占用大量的CPU資源,從而影響設(shè)備整體處理效率。MP1800使用硬件加密模塊,將復(fù)雜的算法處理在硬件上進(jìn)行,從而使得MP1800的IPSec加密性能能夠達(dá)到100M bit/s,完全滿足未來政府和中小企業(yè)日益復(fù)雜的應(yīng)用和信息通信安全需要。
(2)防范非法訪問的防火墻功能
政府、中小企業(yè)客戶對網(wǎng)絡(luò)安全性日益重視,據(jù)統(tǒng)計,對網(wǎng)絡(luò)安全威脅最大的是網(wǎng)絡(luò)攻擊與非法訪問。
常見的攻擊有ARP攻擊、NAT攻擊、路由攻擊、異常流量攻擊等。對于ARP攻擊,MP1800可以采用IP-MAC地址綁定進(jìn)行解決;對于NAT攻擊、路由攻擊、異常流量攻擊可以采取IP流量限速和NAT限制。
MP1800在內(nèi)部設(shè)計了防火墻,支持包過濾、訪問控制、URL過濾等功能。當(dāng)要求限制內(nèi)部員工PC上網(wǎng)時,可以通過限制IP地址方式禁止其上網(wǎng);當(dāng)要求限制上某個網(wǎng)站時,可以通過URL過濾功能限制對非工作網(wǎng)站的訪問。
MP1800無線功能
(1)支持局域無線的WLAN 功能
WLAN最大的優(yōu)勢就是免去或減少了繁雜的網(wǎng)絡(luò)布線,在對WLAN的支持上,MP1800能夠提供精細(xì)的用戶控制管理、靈活的安全機(jī)制、端到端的QoS等功能。
MP1800在接入無線用戶時,可以通過設(shè)置基于VLAN、基于AP和基于SSID的用戶接入控制方式等實現(xiàn)無線用戶精細(xì)化管理。
WLAN無線網(wǎng)絡(luò)的安全性主要體現(xiàn)在認(rèn)證和鏈路加密兩個方面。認(rèn)證用來保證只能由授權(quán)用戶進(jìn)行訪問,鏈路加密則保證發(fā)送的數(shù)據(jù)只能被特定的用戶所接收。MP1800支持802.1X認(rèn)證、Open System和Share Key認(rèn)證方式;支持WPA-PSK、WPA2-PSK、WEP、AES、TKIP加密。
(2)支持廣域無線的3G功能
隨著3G移動網(wǎng)絡(luò)的迅速普及,各大運(yùn)營商在提供3G多媒體業(yè)務(wù)的同時,也給客戶帶來更高帶寬的無線接入體驗,3G作為靈活、快速、安全、高效的Internet接入方式已逐步成為用戶廣域網(wǎng)接入的主流選擇之一。
MP1800的3G接入解決方案可有效滿足移動辦公、移動監(jiān)控、分支無線接入等無線寬帶接入需求。MP1800通過自帶的3G無線模塊或外接3G Modem提供無線上行接入。MP1800的 3G解決方案支持三種3G制式:WCDMA、cdma2000和TD-SCDMA。目前支持的3G Modem型號豐富,覆蓋市場主流的型號,確保MP1800能滿足3G無線通信應(yīng)用的適應(yīng)性和靈活性。
(3)完善的業(yè)務(wù)功能
MP1800上的兩種無線接口與其他的以太等物理接口相同,即MP1800上的無線接口支持完整的基于IP層以上的所有業(yè)務(wù)和功能特性,如接口備份、流量統(tǒng)計、網(wǎng)絡(luò)防攻擊等,可有效發(fā)揮無線接口應(yīng)用的潛力和價值。針對MP1800的無線通信,可以提供基于命令行、Web、SNMP和TR069等多種管理方式。
典型應(yīng)用
3.1 中小企業(yè)組網(wǎng)應(yīng)用
MP1800作為一個獨立的中小企業(yè)綜合接入設(shè)備時,可采用3G通信鏈路作為廣域網(wǎng)有線鏈路的備份或負(fù)載分擔(dān)通道。而企業(yè)內(nèi)部聯(lián)網(wǎng),既可以采用以太網(wǎng)的有線連接方式,也可以采用WLAN的無線連接。
如果MP1800是電信運(yùn)營商代購或購買贈送給客戶的信息通信網(wǎng)關(guān),運(yùn)營商可以在運(yùn)維中心部署網(wǎng)管系統(tǒng)對設(shè)備及接口卡實現(xiàn)集中配置和管理,比較典型的是中國電信基于TR069的網(wǎng)管系統(tǒng)。采用MP1800的中小企業(yè)組網(wǎng)方案如圖2所示。
圖2 中小企業(yè)組網(wǎng)應(yīng)用
3.2 無人值守ATM機(jī)無線組網(wǎng)應(yīng)用
目前有越來越多的金融ATM機(jī)部署在商場、辦公大樓等公共場所,特別是那些靠提供靈活服務(wù)與國有大商業(yè)銀行展開差異化競爭的中小銀行更傾向于采用這種無人值守部署方式。通常這些情況下有線通信鏈路很難獲取,采用3G無線通信將是理想的選擇。金融無人值守ATM機(jī)采用MP1800作為接入設(shè)備,該設(shè)備放置在ATM機(jī)里面,通過3G無線連接到銀行網(wǎng)絡(luò)中心。考慮到應(yīng)用安全,MP1800與中心的設(shè)備實現(xiàn)IPSec數(shù)據(jù)加密功能,以解決安全隱患。與此同時,MP1800的VoIP模塊還能外接一部電話機(jī),以方便客戶采用電話辦理業(yè)務(wù)。其組網(wǎng)方案如圖3所示。
圖3 無人值守ATM的3G無線組網(wǎng)應(yīng)用
3.3 總部/分支型政府機(jī)構(gòu)與企業(yè)的組網(wǎng)應(yīng)用
客戶可以利用MP1800的各種接口(圖4所示為3G鏈路,其實也可以采取有線專線鏈路)實現(xiàn)總部和分支之間的廣域互連,分支節(jié)點的設(shè)備可以采用WLAN或以太的方式接入企業(yè)局域網(wǎng),如圖4所示??紤]到應(yīng)用安全,分支機(jī)構(gòu)可以和總部設(shè)備采用IPSec數(shù)據(jù)加密功能,同時,分支機(jī)構(gòu)可以采用MP1800的xDSL接入Internet,并在MP1800上開啟各種防火墻功能。公司總部運(yùn)維中心可采用網(wǎng)管系統(tǒng)實現(xiàn)MP1800設(shè)備及接口模塊的集中管理。
圖4 總部/分支型政企客戶的組網(wǎng)應(yīng)用
4 結(jié)束語
當(dāng)前我國正處于工業(yè)化和信息化融合發(fā)展時期,政府和中小企業(yè)的業(yè)務(wù)活動越來越傾向于高效、彈性,因此他們對信息通信基礎(chǔ)設(shè)施的需求呈現(xiàn)多樣化的狀態(tài)。本文設(shè)計和實現(xiàn)了一種能有效地支持電信運(yùn)營商對政企客戶提供ICT服務(wù)的企業(yè)信息通信網(wǎng)關(guān),并對典型應(yīng)用作了描述。
參考文獻(xiàn)
1 譚晨輝. 商務(wù)領(lǐng)航品牌三級跳. 通信企業(yè)管理,2007(5)
2 岳麗娜,隴小渝. 電信品牌建設(shè)問題研究. 西安郵電學(xué)院學(xué)報,2007(2):8~12