蟻靜緘，王計(jì)艷，董 勛

（1.中國移動通信集團(tuán)設(shè)計(jì)院有限公司廣東分公司 廣州510623；

2.中國移動通信集團(tuán)設(shè)計(jì)院有限公司 北京100080）

1 EPC/GPRS 融合核心網(wǎng)的組網(wǎng)結(jié)構(gòu)

中國移動GPRS 設(shè)備通過省網(wǎng)路由器接入中國移動互聯(lián)網(wǎng)（CMNET）。以某省的EPC/GPRS 核心網(wǎng)組網(wǎng)結(jié)構(gòu)為例，全省分為八大區(qū)域中心，各區(qū)域中心的核心網(wǎng)設(shè)備以局址為單位組LAN（局域網(wǎng)），每個(gè)LAN 均包括SGSN、GGSN、PCRF、CG 等核心網(wǎng)設(shè)備以及業(yè)務(wù)路由器、防火墻、計(jì)費(fèi)網(wǎng)管交換機(jī)等數(shù)通設(shè)備。

如圖1 所示，每個(gè)LAN 均設(shè)有以下幾部分。

①一對Gi 防火墻，每個(gè)LAN 單獨(dú)設(shè)置，局域網(wǎng)各個(gè)LAN 通過Gi 防火墻連接至CMNET，疏通Gi接口業(yè)務(wù)流。

②一對CE 業(yè)務(wù)路由器，用于核心設(shè)備和組網(wǎng)設(shè)備的互連。

圖1 LAN 內(nèi)組網(wǎng)

③Gn 防火墻可多個(gè)LAN 共用，因此LAN 內(nèi)可設(shè)置一對Gn 防火墻或者不設(shè)置防火墻。如果LAN內(nèi)不設(shè)置Gn 防火墻，則通過業(yè)務(wù)路由器與其他LAN 實(shí)現(xiàn)LAN 間互連，用以疏通Gn 接口的業(yè)務(wù)流，如圖2 所示。通過LAN 間互連的方式，能夠減少LAN 間Gn 流量對Gn 防火墻以及CMNET的承載壓力。

圖2 LAN 間組網(wǎng)

④一對計(jì)費(fèi)網(wǎng)管交換機(jī)，局域網(wǎng)每個(gè)LAN 通過計(jì)費(fèi)網(wǎng)管交換機(jī)上聯(lián)到BOSS，疏通計(jì)費(fèi)信息。

⑤根據(jù)需求，可在連接網(wǎng)管之前增加網(wǎng)管防火墻（比如在同一個(gè)機(jī)樓設(shè)置一對網(wǎng)管防火墻），用以進(jìn)行網(wǎng)管的安全隔離。

可以看到，在EPC LAN 中的主要數(shù)通設(shè)備有Gi/Gn 防火墻、CE 業(yè)務(wù)路由器、計(jì)費(fèi)網(wǎng)管交換機(jī)。本文重點(diǎn)歸納總結(jié)了EPC/GPRS 網(wǎng)絡(luò)中的Gi/Gn 防火墻、業(yè)務(wù)路由器以及計(jì)費(fèi)網(wǎng)管交換機(jī)的規(guī)劃配置方法，針對未來可能存在的瓶頸提出部署建議，并進(jìn)一步探討數(shù)通設(shè)備未來的演進(jìn)方向。

2 EPC 網(wǎng)絡(luò)中數(shù)通設(shè)備的規(guī)劃方法

2.1 Gi/Gn 防火墻的規(guī)劃配置方法

防火墻可以使LAN 與Internet 之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪，從而保護(hù)內(nèi)部網(wǎng)絡(luò)。在EPC/GRPS 中，LAN 內(nèi)的Gi 防火墻單獨(dú)設(shè)置，各個(gè)LAN 通過Gi 防火墻連接至CMNET，疏通Gi 接口業(yè)務(wù)流；局域網(wǎng)內(nèi)多個(gè)LAN 可共用一對Gn 防火墻，并通過LAN 間Gn 互連，疏通Gn 接口業(yè)務(wù)。

在配置防火墻時(shí)，需要考慮以下重要性能指標(biāo)。

①并發(fā)連接數(shù)：防火墻同時(shí)能夠維持的會話連接總數(shù)。

②吞吐量：在沒有幀丟失的情況下，設(shè)備能夠接收的最大速率。

③端口數(shù)量：防火墻的對外接口數(shù)（GE 或10 GE），通過在業(yè)務(wù)插槽中插板來實(shí)現(xiàn)。

表1 為現(xiàn)網(wǎng)幾款常用防火墻的性能情況。

如何計(jì)算一個(gè)LAN 內(nèi)的防火墻流量并確定選型需求？ 首先，需要計(jì)算各個(gè)接口的流量，從而確定防火墻所需要配置的吞吐量及端口數(shù)需求；然后計(jì)算防火墻的最大并發(fā)會話數(shù)；最后綜合各項(xiàng)主要參數(shù)對防火墻進(jìn)行選型。

假設(shè)一個(gè)LAN 內(nèi)有兩臺SGSN/MME（記為MME1和MME2，其中，單臺2G/3G 容量為100 萬，4G 容量為50 萬）、兩臺GGSN/SAE-GW（分別為GW1 和GW2，其中單臺2G/3G 容量為50 萬，4G 容量為50 萬）。設(shè)定標(biāo)準(zhǔn)LAN 模型參數(shù)見表2。

表1 現(xiàn)網(wǎng)幾款常用防火墻的性能情況

表2 現(xiàn)網(wǎng)標(biāo)準(zhǔn)LAN 模型

Gi/SGi（Gbit/s）=2G/3G 用戶容量×2G/3G 并發(fā)用戶的平均單向最大流量+4G 流量×4G 并發(fā)用戶的平均單向最大流量；S5/S8（Gbit/s）= 4G 用戶容量×忙時(shí)每承載吞吐速率×省內(nèi)漫游比例×其中跨區(qū)域漫游占比；Gn/S5/S8（Gbit/s）= 2G/3G/4G 用戶容量×Gn并發(fā)單用戶帶寬+ S5/S8（Gbit/s）。

那么，計(jì)算得到GW1、GW2的單臺設(shè)備Gi/SGi流量為16.21 Gbit/s，S5/S8 口流量為0.86 Gbit/s，Gi防火墻上的流量為Gi/SGi_GW1+Gi/SGi_GW2=16.21+16.21=32.42 Gbit/s，因此Gi 防火墻的吞吐量需求為40 GE；對于端口需求，下聯(lián)路由器需要4×10 GE，上聯(lián)CMNET 需要4×10 GE，LAN 一對Gi 防火墻互連需要2×10 GE（由于不同廠家的互連機(jī)制不同，互連的端口需結(jié)合實(shí)際配置情況），同時(shí)考慮2×10 GE個(gè)端口冗余。因此，單臺Gi 防火墻需要配置40 GE的吞吐量、至少12個(gè)10 GE 端口。

在上述假定模型的基礎(chǔ)上，設(shè)定4G的CMNET占比為95%、2G/3G的CMNET 占比為90%，每CMNET PDP 2G/3G 會話數(shù)為5，4G 會話數(shù)為15。那么，并發(fā)會話數(shù)=2G/3G 激活PDP×2G/3G CMNET占比×2G/3G 每CMNET PDP的會話數(shù)+4G 承載數(shù)×4G CMNET 占比×4G 每CMNET PDP的會話數(shù)，計(jì)算得到每臺防火墻所需并發(fā)會話數(shù)為1 875 萬。

LAN 內(nèi)Gn 防火墻上的流量為Gn_GW=2G/3G/4G 容量×Gn 并發(fā)單用戶帶寬×0.1+ S5/S8（Gbit/s）=2.56 Gbit/s，那么路由器上連Gn 防火墻的接口數(shù)量為3×10 GE 或1×10 GE。目前Gn 接口基本采用10 GE，LAN 內(nèi)防火墻互連的接口類型由數(shù)通設(shè)備廠家建議。隨著2G/3G 用戶向LTE 遷移，Gn 防火墻重點(diǎn)滿足初期2G/3G 用戶的Gn 流量和4G 用戶的S5/S8流量。實(shí)際部署中，按照區(qū)域集中部署方式（每區(qū)域2G/3G 用戶1700 萬PDP+4G 用戶1200 萬承載），每對Gn 防火墻需疏通170 萬PDP的Gn 流量和66萬承載的S5/S8 流量，吞吐量＞25 Gbit/s（Gn/S5/S8 接口采用GTP 隧道協(xié)議，并發(fā)會話數(shù)較少）。

2.2 CE 業(yè)務(wù)路由器的規(guī)劃配置方法

核心網(wǎng)EPC LAN 內(nèi)的CE 業(yè)務(wù)路由器作為“中間節(jié)點(diǎn)路由器”，用于連接不同網(wǎng)絡(luò)，起到了數(shù)據(jù)轉(zhuǎn)發(fā)的橋梁作用。

路由器一般分為高、中、低檔路由器，通常將吞吐量大于40 Gbit/s的路由器稱為高檔路由器，吞吐量在25～40 Gbit/s的路由器稱為中檔路由器，低于25 Gbit/s的為低檔路由器。根據(jù)當(dāng)前的業(yè)務(wù)量及發(fā)展需求，EPC LAN 中建議采用高檔路由器。在規(guī)劃選用CE 時(shí)，主要考慮以下性能指標(biāo)：設(shè)備端口容量、端口類型、接口密度、背板能力、轉(zhuǎn)發(fā)能力（交換能力）。表3 為現(xiàn)網(wǎng)幾款常用CE 業(yè)務(wù)路由器的性能情況。

表3 現(xiàn)網(wǎng)幾款常用CE 業(yè)務(wù)路由器的性能情況

CE 路由器是EPC 網(wǎng)絡(luò)中的重要設(shè)備，如何計(jì)算一個(gè)LAN 內(nèi)業(yè)務(wù)路由器的吞吐量需求、端口的需求數(shù)及選型是規(guī)劃中的重要步驟。同樣，采用上述的LAN 模型中，Gn=2G/3G 并發(fā)用戶的平均單向最大流量×2G/3G 激活比；SGi（Gbit/s）=4G 用戶容量×4G 并發(fā)用戶的平均單向最大流量。通過計(jì)算得到Gn_MME1=Gn_MME2=3.6 Gbit/s。如果SGSN的Gn/Gp 接口采用的是10 GE 接口，那么路由器下聯(lián)SGSN 需要2×10 GE；如果路由器下聯(lián)SGSN的Gn/Gp 接口采用的是GE 接口，那么下聯(lián)SGSN 需要（4+4）×10 GE。

通過計(jì)算得到Gn/S5/S8_GW1=Gn/S5/S8_GW2=4.67 Gbit/s，因此路由器連接每臺GGSN/SAE-GW的Gn/S5/S8（Gbit/s）接口需要采用一個(gè)10 GE。

通過計(jì)算得到Gi/SGi（Gbit/s）_GW1=Gi/SGi（Gbit/s）_GW2=16.21 Gbit/s，那么路由器與每臺SAE-GW的SGi 口數(shù)量需要2×10 GE 接口，因此共需要（2+2）×10 GE。

單臺路由器上聯(lián)單臺Gi 防火墻需要4×10 GE，上聯(lián)單臺Gn 防火墻需要2×10 GE。

另外，LAN 內(nèi)兩臺路由器之間的互連需要考慮LAN 間Gn 互連的流量及LAN 內(nèi)流量，來確定互連所需的10 GE 數(shù)量。如果LAN 內(nèi)流量較大，一般考慮用LAN 內(nèi)1/4的流量所需要的端口數(shù)量來取定；LAN 內(nèi)流量較小時(shí)，可采用2×10 GE 進(jìn)行LAN 內(nèi)路由器互連，同時(shí)也需要考慮配置一定的冗余端口。

根據(jù)上文計(jì)算，Gi/Gn 防火墻、CE 路由器的端口需求如圖3 所示。

2.3 計(jì)費(fèi)網(wǎng)管交換機(jī)

核心網(wǎng)設(shè)備通過各個(gè)LAN的計(jì)費(fèi)網(wǎng)管交換機(jī)連接到所在機(jī)房的網(wǎng)管接入設(shè)備，接入本地網(wǎng)管系統(tǒng)連接至網(wǎng)管中心。計(jì)費(fèi)交換機(jī)的主要性能參數(shù)如下。

①端口容量：交換機(jī)在不發(fā)生分組丟失的情況下，所能夠達(dá)到的最大數(shù)據(jù)吞吐量。

②交換機(jī)的端口速率：每秒通過的比特?cái)?shù)。

③端口數(shù)：交換機(jī)的對外接口數(shù)，通常通過在業(yè)務(wù)插槽中插板來實(shí)現(xiàn)，具體的端口板卡為通用的板卡。

④分組轉(zhuǎn)發(fā)率：交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)分組能力的大小。

表4 為現(xiàn)網(wǎng)幾款常用計(jì)費(fèi)網(wǎng)管交換機(jī)的性能情況。

表4 現(xiàn)網(wǎng)幾款常用計(jì)費(fèi)網(wǎng)管交換機(jī)的性能情況

交換機(jī)一般不會成為組網(wǎng)瓶頸，其與LAN 內(nèi)設(shè)備連接的需求統(tǒng)計(jì)如下。

①PCRF：單臺一個(gè)GE，共PCRF 數(shù)量×GE；

②SGSN/MME：單臺一個(gè)GE，共需LAN 內(nèi)SGSN 數(shù)量×GE；

③GGSN/SAE-GW：單臺一個(gè)GE，共需LAN 內(nèi)GGSN 數(shù)量×GE；

④CG：單臺一個(gè)GE，共需LAN 內(nèi)CG 數(shù)量×GE；

圖3 防火墻及路由器端口需求

⑤CE 路由器：單臺一個(gè)GE，共2×GE；

⑥Gi 防火墻:單臺一個(gè)GE，共2×GE；

⑦Gn 防火墻：單臺一個(gè)GE，共2×GE 或0個(gè)；

⑧LAN 內(nèi)的一對網(wǎng)管交換機(jī)之間互連，共2×GE。

因此，配置計(jì)費(fèi)網(wǎng)管交換機(jī)的端口數(shù)量需要結(jié)合LAN 內(nèi)網(wǎng)元的數(shù)量計(jì)算考慮。由于當(dāng)前EPC LAN 模型大小，一般需要交換機(jī)能提供48～96個(gè)GE 接口。

3 面臨的挑戰(zhàn)及部署建議

3.1 面臨的挑戰(zhàn)

（1）帶寬

隨著互聯(lián)網(wǎng)流量的快速增長和傳統(tǒng)網(wǎng)絡(luò)的遷移，移動網(wǎng)絡(luò)將需要承載多應(yīng)用、多業(yè)務(wù)，也面臨著帶寬瓶頸、高可靠要求、面向未來演進(jìn)等問題，需要滿足大容量設(shè)備、資源協(xié)同共享、全面向IPv6 邁進(jìn)、網(wǎng)絡(luò)架構(gòu)扁平化的要求。云和端的變化推動著網(wǎng)絡(luò)變革，云將帶來交互性流量的爆發(fā)性增長，流量更加集中對超大容量節(jié)點(diǎn)的需求，海量信息的并行處理需要高網(wǎng)絡(luò)帶寬的支持。另外，智能終端的普及要求更快的會話數(shù)連接需求，也就是說，智能終端將帶來大量即時(shí)在網(wǎng)用戶，需要設(shè)備提供海量的并發(fā)連接能力。

（2）安全威脅

隨著業(yè)務(wù)的發(fā)展，移動互聯(lián)網(wǎng)將面臨著巨大的安全威脅。例如，終端平臺的標(biāo)準(zhǔn)化為攻擊工具的傳播帶來便利；IP 化導(dǎo)致數(shù)據(jù)傳輸安全威脅增加，接入點(diǎn)眾多，數(shù)據(jù)被竊取篡改成為可能；移動網(wǎng)絡(luò)數(shù)據(jù)傳輸存在偽造GTP的風(fēng)險(xiǎn)，大量GTP 隧道嚴(yán)重消耗核心網(wǎng)資源；SCTP 作為新報(bào)文傳輸協(xié)議，存在產(chǎn)生信令風(fēng)暴的風(fēng)險(xiǎn)；多業(yè)務(wù)的DDoS 以及應(yīng)用層攻擊日益增多；由于流量增長，對安全網(wǎng)關(guān)性能形成挑戰(zhàn)，DDoS 及應(yīng)用層攻擊頻發(fā)。

因此，如何防護(hù)威脅是4G 核心網(wǎng)規(guī)劃中需要考慮的重點(diǎn)。

3.2 部署建議

（1）帶寬部署

高密度的10 GE 接入、網(wǎng)絡(luò)側(cè)的40 GE/100 GE互連是云計(jì)算網(wǎng)絡(luò)未來10年的演進(jìn)方向，當(dāng)前設(shè)備要求具有GE、10 GE、40 GE、100 GE 接口的平滑演進(jìn)能力。

（2）安全部署

當(dāng)前應(yīng)對移動互聯(lián)網(wǎng)絡(luò)的安全威脅，可以采用以下防護(hù)措施。

● 移動數(shù)據(jù)回傳安全：可以通過IPSec VPN 保護(hù)報(bào)文完整性和私密性、PKI 提供證書認(rèn)證、DDoS 防護(hù)保護(hù)核心網(wǎng)設(shè)備及資源。

● GTP 安全：可以通過畸形報(bào)文過濾、流量限速、GTP 隧道限制、接入控制、源地址檢查等方式進(jìn)行防護(hù)。

● SCTP 安全：通過會話建立、訪問控制、流量控制實(shí)現(xiàn)SCTP 安全防護(hù)。

● 網(wǎng)管系統(tǒng)安全：通過安全域隔離、訪問控制策略、DDoS 防護(hù)、IPS、AV 等方式進(jìn)行安全防護(hù)。

● SGi 安全防護(hù)：通過DDoS 防護(hù)、大規(guī)模NAT、應(yīng)用層流量控制支持IPv6 過渡演進(jìn)。

在EPC 網(wǎng)絡(luò)中，涉及安全問題的網(wǎng)元主要包括防火墻、路由器及SGSN/MME、GGSN/SAE-GW。對于防火墻安全協(xié)議的部署建議如下。

①防火墻配置NAT 地址轉(zhuǎn)換，使得網(wǎng)元側(cè)使用的私網(wǎng)地址轉(zhuǎn)換成防火墻公網(wǎng)地址與CMNET 互通。

②防火墻將連接CR的端口加入U(xiǎn)ntrust 區(qū)域，將連接CE的端口加入Trust 區(qū)域，同時(shí)配置區(qū)域間安全策略，通過訪問控制列表ACL 保護(hù)GPRS 內(nèi)網(wǎng)設(shè)備的安全。

③防火墻使用多條GE 鏈路捆綁進(jìn)行互連，使得防火墻設(shè)備之間同步回話表。兩臺防火墻保持熱備的狀態(tài)。

④防火墻開啟防攻擊策略，防止外網(wǎng)的攻擊。

⑤防火墻上下行口綁定在同一關(guān)聯(lián)組，當(dāng)其中一個(gè)端口狀態(tài)為DOWN，另外一個(gè)端口也變?yōu)镈OWN，使得流量順利切換。

對于CE 路由器及SGSN/GGSN 安全協(xié)議部署如下。

①CE 路由器需要配置兩個(gè)VPN 實(shí)例，隔離Gn、Gi 業(yè)務(wù)，將CE 連接GGSN/SGSN的端口根據(jù)流量類型分別綁定到對應(yīng)的VPN 實(shí)例。同時(shí)將CE 連接Gn、Gi 防火墻的端口也分別綁定到對應(yīng)的VPN 實(shí)例。

②SGSN/GGSN 網(wǎng)元需要配置兩個(gè)VPN 實(shí)例，隔離Gn、Gi 業(yè)務(wù)，根據(jù)物理端口承載的流量類型綁定對應(yīng)的VPN 實(shí)例。

4 數(shù)通設(shè)備的演進(jìn)方向

隨著網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，設(shè)備虛擬化能夠進(jìn)一步提高網(wǎng)絡(luò)的可靠性并降低成本，是未來的發(fā)展趨勢。對于基礎(chǔ)網(wǎng)絡(luò)來說，通過將多個(gè)物理網(wǎng)絡(luò)設(shè)備整合成一臺邏輯設(shè)備，簡化網(wǎng)絡(luò)架構(gòu)，屬于N∶1 整合型虛擬化。未來的規(guī)劃部署中，通過在EPC/GPRS網(wǎng)絡(luò)中引進(jìn)IRF 技術(shù)，使網(wǎng)絡(luò)數(shù)通設(shè)備虛擬化，能夠提高EPC/GPRS 網(wǎng)絡(luò)中設(shè)備的可維護(hù)性、可靠性、可用性、可擴(kuò)展性等。

（1）CE 路由器虛擬化

數(shù)通設(shè)備的未來演進(jìn)，要求CE 支持虛擬化，使得能夠簡化網(wǎng)絡(luò)部署和維護(hù)；要求配置高密度10 GE接口，單槽位20個(gè)以上；同時(shí)需要支持100 GE 接口，滿足4G 應(yīng)用對高帶寬的需求。

（2）防火墻虛擬化集群

防火墻位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間，集中所有互聯(lián)網(wǎng)流量，因此對其要求極高，一旦發(fā)生故障，必須能夠迅速恢復(fù)。通常一旦發(fā)生大流量攻擊事件，往往最先失去抵抗能力的就是這些網(wǎng)關(guān)設(shè)備，防火墻也必然成為主要攻擊的對象。如果流量達(dá)到一定的程度可以將整個(gè)上層設(shè)備帶寬堵塞，形成網(wǎng)絡(luò)瓶頸和系統(tǒng)單點(diǎn)故障，導(dǎo)致整個(gè)網(wǎng)絡(luò)中斷。為了打破網(wǎng)絡(luò)瓶頸，可以利用防火墻虛擬化來提升設(shè)備的可用性，防火墻虛擬化集群將是未來發(fā)展的趨勢。防火墻虛擬化同樣要求配置高密度10 GE 接口，同時(shí)需要支持100 GE 接口。

引進(jìn)虛擬化技術(shù)后，具有以下優(yōu)勢。

①可維護(hù)性：LAN 內(nèi)的兩臺設(shè)備統(tǒng)一管理，不存在配置同步引入配置沖突、配置不一致以及來回路徑不一致等問題。

②高可用性：日志、監(jiān)控實(shí)現(xiàn)一體化；上下行僅需各配置一個(gè)互連IP，節(jié)省IP，組網(wǎng)簡單。

③高可靠性：上下行鏈路支持聚合，端口故障切換時(shí)間大大減少；故障恢復(fù)過程中，由虛擬主控來控制主備業(yè)務(wù)，處理主備狀態(tài)，當(dāng)存在接口故障、鏈路故障后，可控制上下行統(tǒng)一切換，不存在切換不一致的問題。

④可擴(kuò)展性：可以根據(jù)用戶需求，實(shí)現(xiàn)彈性擴(kuò)展；新增設(shè)備加入或離開IRF 架構(gòu)時(shí)，可實(shí)現(xiàn)熱插拔。

⑤負(fù)載均衡：雙主模式，跨框接口捆綁帶寬利用率更高，內(nèi)部保證業(yè)務(wù)處理一致性。

⑥高性能：路由器、防火墻的吞吐量、并發(fā)會話數(shù)、每秒新建會話數(shù)受硬件結(jié)果限制，采用虛擬化技術(shù)后，設(shè)備交換能力及接口密度大大提升，從而大幅度提高了設(shè)備的性能。

5 結(jié)束語

移動網(wǎng)絡(luò)將面臨著帶寬瓶頸、高可靠要求、面向未來演進(jìn)、利潤增收等挑戰(zhàn)，需要滿足大容量設(shè)備、支持資源協(xié)同共享以及網(wǎng)絡(luò)架構(gòu)扁平化的要求。數(shù)通設(shè)備作為4G 核心網(wǎng)中重要的連接及安全防護(hù)設(shè)備，如何對其進(jìn)行規(guī)劃和部署具有重要的意義。本文對現(xiàn)網(wǎng)EPC 網(wǎng)絡(luò)中數(shù)通設(shè)備的規(guī)劃方法進(jìn)行了總結(jié)，同時(shí)針對當(dāng)前存在的瓶頸及未來的演進(jìn)進(jìn)行了詳細(xì)的分析探討，可為后續(xù)的網(wǎng)絡(luò)規(guī)劃與建設(shè)提供參考借鑒。