【摘要】當(dāng)前移動(dòng)核心網(wǎng)已基本實(shí)現(xiàn)各接口的IP化改造。本文從安全的角度對IP接入機(jī)制進(jìn)行研究，分別對不同類型網(wǎng)元的不同接口硬件實(shí)現(xiàn)進(jìn)行研究，比對了不同業(yè)務(wù)IP接入配置的異同，結(jié)合現(xiàn)網(wǎng)解釋接入安全性保障的實(shí)現(xiàn)。以期通過本文的闡述加強(qiáng)移動(dòng)通信技術(shù)交流，為促進(jìn)我國移動(dòng)通信網(wǎng)絡(luò)的安全建設(shè)與發(fā)展。

【關(guān)鍵詞】IP偶聯(lián)安全

一、概述

當(dāng)前全網(wǎng)已經(jīng)實(shí)現(xiàn)IP化改造的接口有Mc（MSS-MGW）、Nc（MSS-MSS）、Nb口（MGW-MGW），相對于原來的TDM承載，IP傳輸極大的減少了傳輸資源，降低了網(wǎng)絡(luò)建設(shè)成本。但同時(shí)，IP的“不可靠”特性，也為傳統(tǒng)語音交換業(yè)務(wù)的可靠服務(wù)質(zhì)量要求帶來了不確定性。在現(xiàn)網(wǎng)的規(guī)劃配置實(shí)現(xiàn)中，引入了多種安全保障機(jī)制來彌補(bǔ)IP安全性的缺陷。

二、MSS側(cè)接口IP接入機(jī)制的研究與應(yīng)用

在軟交換中，MSS用作信令控制的功能實(shí)體，IP化改造實(shí)則是信令（No.7信令）的IP化，SIGTRAN概念由此而生。從信令面協(xié)議棧來看，No.7信令協(xié)議棧中的MTP3/MTP2/MTP1（SDH/PDH）分別演進(jìn)變?yōu)镾IGTRAN信令協(xié)議棧中的M3UA/SCTP IP/Ethernet。其中M3UA層提供No.7信令的MTP路由，同時(shí)提供監(jiān)視功能；SCTP層提供IP信令點(diǎn)間的可靠連接，同時(shí)提供糾錯(cuò)檢錯(cuò)的流量控制；IP層提供IP節(jié)點(diǎn)間的非連接服務(wù)。

從協(xié)議棧的結(jié)構(gòu)可看，IP化之后MSS的信令接口主要靠SCTP層保護(hù)，SCTP層的安全性保護(hù)引入了偶聯(lián)、多歸屬的概念。在實(shí)現(xiàn)SCTP偶聯(lián)的時(shí)候，MSS的兩塊接口處理板綁定為一個(gè)IP host（即SCTP EPs）。因此一個(gè)IP host包含2個(gè)物理接口和2個(gè)IP地址（安全考慮IP一般為兩個(gè)獨(dú)立的地址段），即Multi-homing多歸屬。

三、MGW側(cè)接口IP接入機(jī)制的研究與應(yīng)用

3.1MGW信令面的IP接入機(jī)制

MGW的IP接入保護(hù)機(jī)制和前面所討論的MSS的保護(hù)機(jī)制相類似，網(wǎng)絡(luò)層都依靠SCTP層協(xié)議實(shí)現(xiàn)保護(hù)。而主要區(qū)別在于，現(xiàn)網(wǎng)中MGW的信令處理與物理接口相分離，即SCTP IP層與Ethernet物理層分別由不同的處理板實(shí)現(xiàn)。當(dāng)物理接口板主用口發(fā)生故障時(shí)，將自動(dòng)切換到備用口從而保護(hù)數(shù)據(jù)通信。若故障出現(xiàn)在數(shù)據(jù)鏈路層或網(wǎng)絡(luò)層，則由信令板中的SCTP/IP層協(xié)議實(shí)現(xiàn)保護(hù)。

當(dāng)故障發(fā)生在接口物理層時(shí)，物理接口板將切換備用口通信。由于網(wǎng)關(guān)地址仍指向原來主用的承載網(wǎng)入口CE1，因此，業(yè)務(wù)流經(jīng)備用口物理扭轉(zhuǎn)到承載網(wǎng)入口配對的另一CE2后，會(huì)通過CE1/2間的接口TRUNK繞回CE1作業(yè)務(wù)出口。正因如此，承載網(wǎng)入口配對的CE之間必須放通信令面的兩個(gè)VLAN，這樣才能真正實(shí)現(xiàn)接口物理層的保護(hù)。

若CE03出現(xiàn)三層故障，則通過SCTP協(xié)議層保護(hù)機(jī)制，MGW能識別主用地址段失效，進(jìn)而重選IP路徑（配對的另一地址段），經(jīng)備用接口板的主用口傳輸。

3.2MGW媒體面的IP接入機(jī)制

媒體面（用戶面）和信令面的協(xié)議棧結(jié)構(gòu)有明顯區(qū)別，對于媒體流來說，更注重?cái)?shù)據(jù)流的時(shí)效性均衡性而非安全性，因此并未引入網(wǎng)絡(luò)層保護(hù)協(xié)議的應(yīng)用。

在媒體面，各個(gè)IP物理接口板間采用負(fù)荷分擔(dān)的工作方式，MGW側(cè)只能實(shí)現(xiàn)接口板上主備端口的物理層倒換保護(hù)。IP接口板的主用口平均分配接入到配對的兩個(gè)CE上。即正常情況下，配對CE平分MGW的業(yè)務(wù)，實(shí)現(xiàn)業(yè)務(wù)均衡接入承載網(wǎng)。另外出于安全考慮，數(shù)據(jù)流同樣劃分歸屬于不同的子網(wǎng)，以實(shí)現(xiàn)業(yè)務(wù)地址段的容災(zāi)。

在CE側(cè)，實(shí)則配對CE并不能區(qū)分MGW側(cè)的主備端口，因此，CE配置中引入了VRRP協(xié)議（虛擬路由器冗余協(xié)議）。VLANs所指向的網(wǎng)關(guān)地址不再像信令面配置CE的接口實(shí)體地址，而是一個(gè)虛擬網(wǎng)關(guān)地址。通過在配對CE中定義虛擬網(wǎng)關(guān)優(yōu)先附著在不同的CE，以實(shí)現(xiàn)業(yè)務(wù)流的真正流量均衡。此外，VRRP的引入還有一大好處———當(dāng)網(wǎng)關(guān)附著的CE出現(xiàn)故障（特指L3故障）時(shí)，網(wǎng)關(guān)將自動(dòng)附著在配對的另一CE上，繼續(xù)保持有效，使業(yè)務(wù)不受任何影響。

四、結(jié)語

在移動(dòng)通信中，核心網(wǎng)采用了大量的安全保障機(jī)制以維護(hù)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行發(fā)展。本文對當(dāng)前網(wǎng)絡(luò)IP接入機(jī)制進(jìn)行的研究探討，有利于網(wǎng)絡(luò)的安全建設(shè)與維護(hù)，為促進(jìn)我國移動(dòng)通信事業(yè)可持續(xù)發(fā)展提供參考。

參考文獻(xiàn)

[1]李釗.移動(dòng)軟交換網(wǎng)絡(luò)中容災(zāi)技術(shù)的研究與應(yīng)用[D].西安電子科技大學(xué)，2010年

[2]徐建.基于軟交換的核心網(wǎng)網(wǎng)絡(luò)優(yōu)化技術(shù)研究[D].湖南大學(xué)，2010年