傅立杰

【摘 要】核心網(wǎng)形成了以軟交換端局（關(guān)口局）為核心的全I(xiàn)P話務(wù)匯接核心網(wǎng)組網(wǎng)模式。TDM端局核心過渡到以IP軟交換端局為核心，由3級垂直化網(wǎng)絡(luò)過渡到IP扁平化網(wǎng)絡(luò)。采用全方位容災(zāi)備份的手段來加強核心網(wǎng)的安全性、抗風(fēng)險性是非常有必要的。

【關(guān)鍵詞】全方位；容災(zāi)；IP；核心網(wǎng)

0.概述

核心網(wǎng)完成了包括所有軟交換端局和軟交換關(guān)口局的IP化改造工作，形成了以軟交換端局（關(guān)口局）為核心的全I(xiàn)P話務(wù)匯接核心網(wǎng)組網(wǎng)模式。改造完成后，IP軟交換核心網(wǎng)在話務(wù)承載能力、用戶容量、業(yè)務(wù)開發(fā)推廣效率等多方面都比TDM交換核心網(wǎng)有了顯著的提高。此時，如何構(gòu)建安全核心網(wǎng)，原有的維護(hù)手段能否適用新型網(wǎng)絡(luò)等，都是亟需討論的問題。以下將從網(wǎng)絡(luò)、設(shè)備、業(yè)務(wù)數(shù)據(jù)、運維管理、周邊配套、其他輔助手段等多方面進(jìn)行探討，通過全方位容災(zāi)備份構(gòu)建安全核心網(wǎng)。

核心網(wǎng)在完成IP軟交換改造后，網(wǎng)絡(luò)結(jié)構(gòu)有了明顯變化，由TDM端局核心過渡到以IP軟交換端局為核心，由3級垂直化網(wǎng)絡(luò)過渡到IP扁平化網(wǎng)絡(luò)。

核心網(wǎng)（本地網(wǎng)部分）主要由IP化軟交換端局、IP化軟交換關(guān)口局以及支持TD-SCDMA和2G業(yè)務(wù)的HLR和IP承載網(wǎng)接入CE組成，設(shè)計用戶總?cè)萘窟_(dá)到1000萬。軟交換端局設(shè)備通過100Mbit/s網(wǎng)線和GE光纖與IP承載網(wǎng)CE進(jìn)行分組對接，完成信令流和媒體流承載，HLR設(shè)備仍采用TDM承載方式完成No.7信令交互。

面對如此龐大的用戶量，安全運行成為核心網(wǎng)維護(hù)工作的重中之重，所以采用全方位容災(zāi)備份的手段來加強核心網(wǎng)的安全性、抗風(fēng)險性是非常有必要的。

1.網(wǎng)絡(luò)層面安全

核心網(wǎng)完成IP軟交換改造后，信令網(wǎng)層面保持原No.7信令網(wǎng)組網(wǎng)方式。話務(wù)網(wǎng)層面各個軟交換端局依托IP承載網(wǎng)的雙平面雙路由連接方式實現(xiàn)話務(wù)網(wǎng)層面的負(fù)荷分擔(dān)。

1.1信令網(wǎng)組網(wǎng)安全

核心網(wǎng)所有HLR與端局（關(guān)口局）等網(wǎng)絡(luò)的信令連接保持網(wǎng)狀網(wǎng)連接方式不變，直達(dá)鏈路作為第一信令路由，到L局的迂回路由作為備份信令路由，確保了在C/D接口上傳輸信令業(yè)務(wù)的可靠性。端局（關(guān)口局）替換為軟交換設(shè)備后，支持2Mbit/s信令連接方式，增加信令通道帶寬，保證高信令負(fù)荷下業(yè)務(wù)的正常疏通，為今后TD-SCDMA大量新業(yè)務(wù)的開展奠定了基礎(chǔ)。

1.2話務(wù)網(wǎng)組網(wǎng)安全

核心網(wǎng)所有軟交換端局（關(guān)口局）話務(wù)均通過分組方式接入IP承載網(wǎng)進(jìn)行疏通，遵循“就近入IP，就遠(yuǎn)出IP”的話務(wù)疏通原則，并依托IP承載網(wǎng)的雙平面雙路由連接方式實現(xiàn)話務(wù)層面的負(fù)荷分擔(dān)，確保話務(wù)的安全可靠性。

2.設(shè)備層面安全

設(shè)備層面安全從設(shè)備硬件結(jié)構(gòu)、設(shè)備容災(zāi)等方面來實現(xiàn)。傳統(tǒng)的設(shè)備層面容災(zāi)備份方式已經(jīng)成熟應(yīng)用，但I(xiàn)P軟交換核心網(wǎng)由于還處于初期改造建網(wǎng)階段，整體的軟交換設(shè)備容災(zāi)方式仍在不斷改進(jìn)完善中。

2.1信令網(wǎng)設(shè)備安全

2.1.1設(shè)備硬件結(jié)構(gòu)

所有HLR均采用NOKIA HLR，所有單板和重要模塊均采用1+1或N+1的方式實現(xiàn)備份，確保設(shè)備單板或模塊的安全運行。

2.1.2設(shè)備容災(zāi)

所有HLR引入N+X（現(xiàn)網(wǎng)X=1）容災(zāi)備份方式，采用NOKIA提供的HLR褚動態(tài)數(shù)據(jù)備份。當(dāng)設(shè)備整體發(fā)生故障時，容災(zāi)HLR實時提取并創(chuàng)建用戶的所有信息，達(dá)到網(wǎng)絡(luò)無縫切換的效果，用戶業(yè)務(wù)安全使用，不受影響。

2.2話務(wù)網(wǎng)設(shè)備安全

2.2.1設(shè)備硬件結(jié)構(gòu)

所有軟交換端局（關(guān)口局）均采用華為的G9MSC，所有單板和重要模塊均采用1+1或負(fù)荷分擔(dān)的方式實現(xiàn)備份，確保設(shè)備單板或模塊的安全運行。

2.2.2設(shè)備容災(zāi)

軟交換端局采用了控制與承載分離理念，整體設(shè)備分為Server和MGW兩大部分，組網(wǎng)更靈活，這比傳統(tǒng)2G交換機在設(shè)備容災(zāi)方面更有優(yōu)勢，方式更加多樣化。1+1、N+1多歸屬、MSC POOL等方式均可完成MSC級的容災(zāi)，而且實現(xiàn)方式多樣化，可以基于傳統(tǒng)的A接口，也可以基于軟交換特有的MC接口完成容災(zāi)。核心網(wǎng)采用華為軟交換設(shè)備，其MGW支持代理A-Flex功能組網(wǎng)，與RNC/BSC實現(xiàn)Iu/A-Flex功能混合組網(wǎng)，能夠在TD-SCDMA與2G融合組網(wǎng)情況下，達(dá)到MSC POOL資源共享的目的，避免了分別建立容災(zāi)體系所帶來的繁重工程和維護(hù)工作量。

目前，軟交換端局的Server和MGW配置是一一對應(yīng)，沒有在設(shè)備容災(zāi)方面進(jìn)行部署，而正在進(jìn)行的現(xiàn)網(wǎng)BSC替換為華為BSC工作，將為后期的MSC POOL部署和TD-SCDMA與2G網(wǎng)絡(luò)全面融合做好準(zhǔn)備，為全網(wǎng)軟交換設(shè)備容災(zāi)打下堅實基礎(chǔ)?，F(xiàn)階段在設(shè)備和中繼資源充足的情況下，可以采用備用中繼路由和SDH等設(shè)備結(jié)合的方式完成BSC掛接的容災(zāi)工作。

3.業(yè)務(wù)數(shù)據(jù)層面安全

核心網(wǎng)規(guī)模龐大，全網(wǎng)產(chǎn)生的業(yè)務(wù)數(shù)據(jù)數(shù)量巨大，包括系統(tǒng)、話單文件等數(shù)據(jù)接近3TB。這些重要數(shù)據(jù)存儲在BAM、應(yīng)急工作站、IGWB上，對系統(tǒng)壓力非常大，并且沒有安全備份措施，一旦發(fā)生丟失或錯誤，將對公司或客戶造成無法彌補的損失，做好業(yè)務(wù)數(shù)據(jù)備份對網(wǎng)絡(luò)安全有著重要意義。

3.1系統(tǒng)數(shù)據(jù)安全

核心網(wǎng)針對軟交換端局沒有外置存儲媒介的情況，結(jié)合設(shè)備分布和維護(hù)規(guī)程的本地異地雙備份要求，建立了一套交換端局的數(shù)據(jù)容災(zāi)備份系統(tǒng)。

該系統(tǒng)根據(jù)核心網(wǎng)軟交換端局集中分布情況，分別在局址各安裝了一套備份服務(wù)器。備份服務(wù)器采用FTP服務(wù)，通過本地LAN與所在局址下軟交換端局的應(yīng)急工作站相連，每周定時獲取系統(tǒng)備份。這樣避免了備份服務(wù)器與BAM直接連接而可能造成的安全風(fēng)險，確保BAM的正常運行。在備份服務(wù)器完成本局址的備份后，兩臺服務(wù)器通過局址間的LAN進(jìn)行數(shù)據(jù)同步（保存兩套全量的系統(tǒng)數(shù)據(jù)備份），這樣可以避免交換機和備份服務(wù)器之間的多次數(shù)據(jù)交互，減少占用局址間LAN時間和資源，提高系統(tǒng)使用效率，保證備份系統(tǒng)對端局保持零風(fēng)險運行。

采用該備份系統(tǒng)后，不僅可以滿足維護(hù)規(guī)程的要求，還將原來人工操作部分轉(zhuǎn)為自動運行，解放了人力，提高了效率，滿足系統(tǒng)數(shù)據(jù)備份的安全性和準(zhǔn)確性要求。

3.2計費數(shù)據(jù)安全

核心網(wǎng)仍在繼續(xù)使用話單備份服務(wù)器，該服務(wù)器支持華為軟交換端局話單備份，成為BOSS計費數(shù)據(jù)備份之外的一個安全有效補充。

4.周邊配套層面安全

4.1電源供電安全

交換核心網(wǎng)主設(shè)備保持著原有的雙電源、備用電池、油機發(fā)電等多種安全供電措施，但對于IP軟交換核心網(wǎng)的CE設(shè)備節(jié)點設(shè)置方式，僅使用以上安全措施是不夠的。由于CE設(shè)備都是成對配置，部分成對CE放置在同一地點，由同一套電源設(shè)備供電，這樣產(chǎn)生了單點供電隱患。針對這種情況，核心網(wǎng)進(jìn)行了專項整改，完成了所有CE設(shè)備的供電雙路由改造，使每對CE設(shè)備均有2套不同電源設(shè)備供電。

4.2傳輸路由安全

IP軟交換核心網(wǎng)對信令網(wǎng)TDM局間中繼部分進(jìn)行傳輸雙路由改造。改造完成后，即便單方向傳輸發(fā)生主干全阻情況，也不會導(dǎo)致信令網(wǎng)業(yè)務(wù)全阻。

4.3 IT設(shè)備安全

IP軟交換核心網(wǎng)完成改造后引入了大量的IT設(shè)備，如二/三層交換機、服務(wù)器等，這加重了核心網(wǎng)安全運行的難度。硬件的容災(zāi)備份、軟件層面的防護(hù)、防火墻的配置和冗余、防范網(wǎng)絡(luò)風(fēng)暴和病毒的攻擊、觀測網(wǎng)絡(luò)流量和負(fù)載等方面都需要加強部署。同時關(guān)于IT設(shè)備的路由優(yōu)化、全量數(shù)據(jù)備份等工作項目也需要不斷完善。

5.結(jié)束語

核心網(wǎng)通過全方位容災(zāi)備份，將安全風(fēng)險降到最低，隨著IP軟交換核心網(wǎng)改造工作的不斷推進(jìn)，MSC POOL、MSC多歸屬、全信令網(wǎng)IP化、A接口IP化、IMS等技術(shù)成熟應(yīng)用到現(xiàn)網(wǎng)，IT信息化將不斷滲透并徹底改變傳統(tǒng)交換網(wǎng)絡(luò)，這將為網(wǎng)絡(luò)帶來新的活力。