|
當前,信息通信融合(ICT)已經成為再明顯不過的趨勢,為了應對這種變化,業已開展全業務競爭的中國三大電信運營商都迫切需要向綜合信息服務提供商轉型。研究結果表明為政企用戶提供信息通信基礎設施集成建設是一個較好的突破點。本文分析了政府和中小企業對信息通信基礎設施的需求,設計和實現了一種能有效地支持運營商ICT業務競爭的企業信息通信網關。 關鍵詞 ICT;企業信息通信網關;一體化;WLAN;3G 1 對信息通信網關的需求 中國的運營商市場經過10多年的調整,形成了三足鼎力的競爭格局。為了應對日益激烈的全業務競爭和信息通信融合趨勢,三大電信運營商紛紛以不同方式向綜合信息服務提供商轉型。 電信運營商的理想價值鏈條是聚合內容提供商、應用提供商、設備提供商和電信運營商的自營服務能力。電信運營商希望借助合作方的應用開發、技術支持能力,使用自身的品牌和渠道,共同為客戶提供信息通信解決方案。其中,如何為廣大的政府或中小企業用戶提供綜合信息服務是其面臨的關鍵課題之一,研究結果表明為政府或中小企業用戶提供信息通信基礎設施集成建設是一個較好的突破點。為此,電信運營商需要把信息通信設備部署到客戶處,需要為企業客戶提供綜合服務,包括互聯網接入、VPN連接、VoIP語音服務等。 中國政府和中小企業用戶的特點是數量眾多,IT技術能力較弱,對信息通信基礎設施的需求多樣化,因此如果能夠將多元業務方便地部署于同一節點,不僅能夠最大程度地避免網絡設備繁雜導致故障點多的問題,而且能極大地降低企業網絡建設的初期投資與長期運維成本,對電信運營商和政企客戶而言都是雙贏的。基于此,新一代支持ICT業務的企業信息通信網關就需要滿足以下需求。 設備接入方式要豐富,不僅要有傳統銅線接入的方式,如E1、V35的窄帶接入和LAN 以太、WAN 以太、xDSL的寬帶接入,還要有市場上方興未艾的WLAN、3G、WiMAX等寬帶無線接入方式。無線接入方式由于能夠給客戶組網帶來極大的移動性和部署靈活性,未來將是企業信息通信基礎設施建設的熱門技術。 某些政府類客戶將網絡的安全和性能需求提到一個相當高的位置,不僅要求很高的轉發能力,而且還需要有高性能的加解密能力,以滿足通信安全需求。有的客戶還要求設備能夠帶有防火墻功能,解決Internet上越來越多的病毒攻擊和網絡攻擊。 為了對設備能夠進行方便和完善的管理,以便幫助不具備信息通信維護能力的政府和中小企業用戶解決維護之苦,電信運營商對網絡接入設備的統一管理提出了新的要求,要求通信設備支持多種網絡管理方式,如Web、SNMP和TR069等。 支持ICT業務的企業信息通信網關設計 體系結構描述 MP1800是邁普通信技術股份有限公司專門為政府、中小企業客戶量身打造的符合電信運營商和中小企業信息通信需求的新一代信息通信設備。它具有5個一體化的特點: 路由、交換一體化,支持2個以太網WAN口加4/8個以太網LAN口; 寬帶、窄帶一體化,支持從N×64 kbit/s到100 Mbit/s廣域網鏈路接口; 廣域、局域一體化,支持廣域網和局域網的統一控制和管理; 有線、無線一體化,支持3G和WLAN接入,能夠和有線網絡進行無縫對接; 數據、語音一體化,支持數據多業務的開展和VoIP功能,并能進一步擴展為IPPBX; 信息、通信一體化,支持豐富的增值應用、網絡應用監管。 MP1800系統架構如圖1所示。 圖1 MP1800的系統架構 MP1800采用了先進的400 MHz的 PowerPC嵌入式雙核處理器,配以256 MB,64bit/133 MHz的DDR2 SDRAM、最大256 MB的Flash。MP1800在設計上對通信接口和增值業務模塊提供了良好的支持,包括通過CPU自帶的接口提供了窄帶接口(E1/CE1、同異步串口等)、4端口的IP語音模塊、4/8端口的10/100M/1 000M LAN以太交換接口、2端口的10/100M WAN以太路由接口、1端口的ADSL/ADSL2+接口、4端口的G. SHDSL接口;通過64bit/33MHz的PCI總線擴展出支持802.1b/g協議的WLAN接口和支持100 Mbit/s加密性能的硬件加密模塊;通過USB2.0接口擴展支持WCDMA/cdma2000/TD-CDMA的3G Modem接口。 多業務融合設計 MP1800做到了多業務和高性能的完美結合,實現了包括路由、交換、IP語音、安全、無線接入、防火墻和滿足電信要求的網管功能,能承擔以前多種通信設備才能承擔的任務。 MP1800的高性能設計 為了滿足政府、中小企業、電信運營商對信息通信設備越來越高的性能需求,MP1800在軟件體系上進行了專門設計和優化,最主要的一個特點是采用了雙核處理器來進行數據報文的處理,其中一個處理器核心專門處理所有通信接口來的的數據報文,對其進行收發、識別、分類和快速轉發,保證數據的高效處理;而另一個處理器核心則處理復雜的網絡應用和用戶配置,比如網絡安全、MPLS和動態路由協議功能,這樣的設計使得MP1800能夠做到轉發和控制/管理相分離,互相不受影響,因此MP1800能夠做到64 byte報文的雙向百兆全線速轉發,即使在配置了復雜的ACL/QoS功能時性能也沒有太大的影響。此外,為了提高IPSec安全性能,MP1800采用了硬件加密模塊,能夠達到100 Mbit/s的加解密性能。 MP1800的QoS功能 由于政府、中小企業客戶越來越重視關鍵業務的通信質量,因此QoS功能在未來的網絡應用中將發揮越來越重要的作用。MP1800為用戶提供了流分類、流量監管、流量整形、擁塞管理和擁塞避免等多種應用。 (1)流分類 MP1800的QoS支持豐富的業務分類標準,可廣泛應用于傳統IP、MPLS和以太網等多種業務網絡中。MP1800支持業務深度識別功能,能夠識別多種應用層協議,如HTTP、BT應用等,可為語音、視頻、文件傳輸、Web瀏覽等不同應用提供不同的QoS服務。 (2)流量監管和流量整形 MP1800支持單速雙色和雙速三色的令牌桶算法,對超出規格的流量可以實施預先設定好的監管動作。這些動作可以是:轉發、丟棄、改變優先級并轉發、進入下一級的監管。 (3)擁塞管理 當報文到達的速度大于該接口發送的速度時,在該接口處就會產生擁塞,發生報文丟失,而報文的丟失又可能會導致發送該報文的主機或路由器因超時而重傳此報文,這將導致惡性循環。擁塞管理的中心內容就是當擁塞發生時如何制定一個資源的調度策略,決定報文轉發的處理次序。MP1800的QoS提供豐富的調度策略,例如FIFO、PQ、CQ、WFQ、CBWFQ,每一種調度策略都可以為一種關鍵業務應用而設計。 MP1800的2層交換功能 MP1800提供了豐富的二層以太網功能,包括MSTP、GARP/GVRP、LACP、以太網OAM、UDLD等,因此使用MP1800能夠方便、完善地構建一個局域網絡,快速、有效、安全地布置各種業務。 MSTP是一種生成樹協議,可以通過有選擇性地阻塞網絡冗余鏈路來達到消除網絡二層環路的目的,同時具備鏈路備份功能。 端口匯聚技術分為靜態匯聚和動態匯聚,是將多個端口聚合在一起形成一個匯聚組,不僅可以提高鏈路帶寬,實現流量在匯聚端口上的負載分擔,也能提高連接可靠性。 以太網OAM作為一個二層協議,是監控和解決網絡問題的工具。它能夠在數據鏈路層報告網絡的狀態,使網絡管理員能夠更有效地管理網絡。這個功能能夠使電信運營商方便地管理和維護設備,提升他們的客戶滿意度。 MP1800的安全功能 MP1800實現了多種安全技術來保障設備信息通信安全,這些技術有IPSec、SSL VPN、802.1x接入控制認證和防火墻等。 (1)保證數據傳輸安全的IPSec功能 IPSec是一種三層隧道加密協議,它能夠為Internet上傳輸的數據提供高質量的、可互操作的、基于密碼學的安全保證。它能夠提供以下的安全服務: 數據機密性:IPSec發送方在通過網絡傳輸包前對包進行加密; 數據完整性:IPSec接收方對發送方發送來的包進行認證,確保數據在傳輸過程中沒有被篡改; 數據來源認證:IPSec在接收端可以認證發送IPSec報文的發送端是否合法; 防重放:IPSec接收方可檢測并拒絕接收過時或重復的報文。 通常,IPSec在一些低端通信設備上都是通過軟件實現,由于復雜的加密/解密、認證算法會占用大量的CPU資源,從而影響設備整體處理效率。MP1800使用硬件加密模塊,將復雜的算法處理在硬件上進行,從而使得MP1800的IPSec加密性能能夠達到100M bit/s,完全滿足未來政府和中小企業日益復雜的應用和信息通信安全需要。 (2)防范非法訪問的防火墻功能 政府、中小企業客戶對網絡安全性日益重視,據統計,對網絡安全威脅最大的是網絡攻擊與非法訪問。 常見的攻擊有ARP攻擊、NAT攻擊、路由攻擊、異常流量攻擊等。對于ARP攻擊,MP1800可以采用IP-MAC地址綁定進行解決;對于NAT攻擊、路由攻擊、異常流量攻擊可以采取IP流量限速和NAT限制。 MP1800在內部設計了防火墻,支持包過濾、訪問控制、URL過濾等功能。當要求限制內部員工PC上網時,可以通過限制IP地址方式禁止其上網;當要求限制上某個網站時,可以通過URL過濾功能限制對非工作網站的訪問。 MP1800無線功能 (1)支持局域無線的WLAN 功能 WLAN最大的優勢就是免去或減少了繁雜的網絡布線,在對WLAN的支持上,MP1800能夠提供精細的用戶控制管理、靈活的安全機制、端到端的QoS等功能。 MP1800在接入無線用戶時,可以通過設置基于VLAN、基于AP和基于SSID的用戶接入控制方式等實現無線用戶精細化管理。 WLAN無線網絡的安全性主要體現在認證和鏈路加密兩個方面。認證用來保證只能由授權用戶進行訪問,鏈路加密則保證發送的數據只能被特定的用戶所接收。MP1800支持802.1X認證、Open System和Share Key認證方式;支持WPA-PSK、WPA2-PSK、WEP、AES、TKIP加密。 (2)支持廣域無線的3G功能 隨著3G移動網絡的迅速普及,各大運營商在提供3G多媒體業務的同時,也給客戶帶來更高帶寬的無線接入體驗,3G作為靈活、快速、安全、高效的Internet接入方式已逐步成為用戶廣域網接入的主流選擇之一。 MP1800的3G接入解決方案可有效滿足移動辦公、移動監控、分支無線接入等無線寬帶接入需求。MP1800通過自帶的3G無線模塊或外接3G Modem提供無線上行接入。MP1800的 3G解決方案支持三種3G制式:WCDMA、cdma2000和TD-SCDMA。目前支持的3G Modem型號豐富,覆蓋市場主流的型號,確保MP1800能滿足3G無線通信應用的適應性和靈活性。 (3)完善的業務功能 MP1800上的兩種無線接口與其他的以太等物理接口相同,即MP1800上的無線接口支持完整的基于IP層以上的所有業務和功能特性,如接口備份、流量統計、網絡防攻擊等,可有效發揮無線接口應用的潛力和價值。針對MP1800的無線通信,可以提供基于命令行、Web、SNMP和TR069等多種管理方式。 典型應用 3.1 中小企業組網應用 MP1800作為一個獨立的中小企業綜合接入設備時,可采用3G通信鏈路作為廣域網有線鏈路的備份或負載分擔通道。而企業內部聯網,既可以采用以太網的有線連接方式,也可以采用WLAN的無線連接。 如果MP1800是電信運營商代購或購買贈送給客戶的信息通信網關,運營商可以在運維中心部署網管系統對設備及接口卡實現集中配置和管理,比較典型的是中國電信基于TR069的網管系統。采用MP1800的中小企業組網方案如圖2所示。 圖2 中小企業組網應用 3.2 無人值守ATM機無線組網應用 目前有越來越多的金融ATM機部署在商場、辦公大樓等公共場所,特別是那些靠提供靈活服務與國有大商業銀行展開差異化競爭的中小銀行更傾向于采用這種無人值守部署方式。通常這些情況下有線通信鏈路很難獲取,采用3G無線通信將是理想的選擇。金融無人值守ATM機采用MP1800作為接入設備,該設備放置在ATM機里面,通過3G無線連接到銀行網絡中心。考慮到應用安全,MP1800與中心的設備實現IPSec數據加密功能,以解決安全隱患。與此同時,MP1800的VoIP模塊還能外接一部電話機,以方便客戶采用電話辦理業務。其組網方案如圖3所示。 圖3 無人值守ATM的3G無線組網應用 3.3 總部/分支型政府機構與企業的組網應用 客戶可以利用MP1800的各種接口(圖4所示為3G鏈路,其實也可以采取有線專線鏈路)實現總部和分支之間的廣域互連,分支節點的設備可以采用WLAN或以太的方式接入企業局域網,如圖4所示。考慮到應用安全,分支機構可以和總部設備采用IPSec數據加密功能,同時,分支機構可以采用MP1800的xDSL接入Internet,并在MP1800上開啟各種防火墻功能。公司總部運維中心可采用網管系統實現MP1800設備及接口模塊的集中管理。 圖4 總部/分支型政企客戶的組網應用 4 結束語 當前我國正處于工業化和信息化融合發展時期,政府和中小企業的業務活動越來越傾向于高效、彈性,因此他們對信息通信基礎設施的需求呈現多樣化的狀態。本文設計和實現了一種能有效地支持電信運營商對政企客戶提供ICT服務的企業信息通信網關,并對典型應用作了描述。 |
