论文部分内容阅读
摘要:为满足全业务市场竞争的需求,推进核心网络融合,提供多媒体业务及融合应用,运营商在2011年进行IMS网络部署。BAC作为IMS网络核心网安全防护的关键门户,负责隔离信任域(核心网)与非信任域(用户终端),除汇聚大量的各类IMS用户,同时提供核心层保护、QoS控制等功能,网络地位非常重要。本文对IMS网络中的BAC设备组网、容量、部署层面、业务规划规划设计进行探讨,力求为电信运营商的IMS网络建设提供有益的参考。
关键词:IMS;BAC;网络安全
中图分类号:TN919文献标识码:A文章编号:1007-9599 (2013) 07-0000-02
1引言
IMS是未来融合网络的核心,对今后的融合多媒体业务的提供具有很强的支持能力,是电信网络演进的目标,引入IMS能够构建开放的、固定移动统一融合的网络控制架构。
BAC(BorderAccessController,边缘接入控制设备)是IMS网络中引入的接入控制设备,它连接IMS核心网络与外部用户接入区域,完成IMS用户业务接入、实现不同网络环境下用户业务的互通、保障IMS网络安全、支持QOS管理、媒体管理、配合实现用户游牧管理等功能。在IMS网络中,BAC设备部署在CN2和城域网的边界,作为IMS用户接入IMS网络的边缘控制点。非可信接入设备通过BAC接入IMS网络,可信接入设备不需要经过BAC接入。
由于所有可能具有安全风险的用户都需要通过BAC接入,怎么样对BAC的容量及其部署层面实施科学合理的设计与规划,设计出符合其接入移动与用户实际需求合理接入方式,以便于其漫游和游牧等一系列问题的解决,因此,IMS网络的部署之前,电信运营商应充分考虑上述方式。
2BAC的IMS网络中位置
按照IMS组网原则,整个IMS划分成业务/应用层、控制层、承载层和接入层。BAC是IMS逻辑网络中负责逻辑接入设备,它处于接入网和核心网的边界上,提供接入控制、安全保护与互操作等功能。
3IMS终端的接入
BAC支持各种IMS终端接入IMS网络,从协议层面来分,可分为SIP终端和H.248终端。BAC支持SIP软硬终端(含移动、固定)的接入,SIP协议的向上接口为IMS核心网的P-CSCF设备,H.248协议的向上接口为AGCF设备。
4BAC部署方式
从部署的层面来看,BAC主要可分为以省区为基本单元和大区划分两种部署模式。
BAC按照实际使用的差异被划分成3种:(1)汇聚经由CTWAP无线接入的移动终端(VT终端);(2)汇聚互联网(PI-0)软硬终端设备;(3)汇聚固定接入终端。
在属地归属特性方面,互联网接入的软硬IMS终端在这一方面并非特别明显,因此采用以省区为基本单元的部署方式极为合适。
在移动终端的接入方面,必须考虑其无线接入这一特定方式,以及PDSN所采用的省区为基本单元的集中部署的实际情况,所以,对于BAC的部署也应当选择省区为基本单元为益。
由于固定接入的IMS终端的部署区域主要限定在城域网内,所以在建成初期其业务量相对较少,因此,可在设立试点并在这一时期采用以省为基本单元实施具体的BAC部署,当部署的数量达到一定程度的时候,应实施城域网分散部署,以汇聚更多的流量。就同一省区而言,建议一些地市的BAC采用以省为单位部署,一些地市BAC采用城域网分散部署。
在BAC的部署上,倘若选择以省中心为基本单元,那么在接入上会无形的增加了困难,本地网的IMS使用者必须跨越城域网才能够连接到BAC。倘若选择本地网部署模式,BAC分散于城域之内,这样一来就便于使用者可以通过本地BAC获取IMS服务。省会城市有必要部署无线终端的BAC,这主要是因为无线网络使用者大多由省中心的PDSN接入。
不管BAC的部署采用哪一种部署方式,都必须根据自身的实际需求。这两种不同的部署方式各自有着自己的优劣特点。
4.1把BAC下沉至地市,有助于使用者接入IMS网络的效率提升,避免跨越地市的IP网络。有必要选择实力较强的运行商专线来实现BAC到IMS的连接,提升信令响应的效率。倘若接入信令跨越地市,就会使得接入路径的故障频频发生,从而使得运维的难度加大,增加了人力、物力的消耗。就企业接入来说,一些情况下BAC会与企业私网进行对接,倘若BAC层面与企业私网不对应,就必须构建一个VPN通道以实现与远端的对接。
对使用者的接入造成障碍,跨地市面临一些具体操作上的不足。使用者与BAC之间的信令交互的频率极高,宛如脉搏的搏动,BAC下沉至地市能够避免信令因跨越地市而影响其交互频率。BAC同上层上连节点的信令是设备级,通过进行收敛,数目并不多。
4.2倘若将加密通道架设在UE和BAC之间,距离因素也制约着IPSec的实现。BAC下沉使得其分散于较广的地域之内,可以使得网络黑客的入侵被散列,从而降低了被入侵的几率,安全性大大提高。
就BAC信令的监控而言,建议采用BAC上针对使用者的信令反馈及媒体主动上报的方式来进行监控,现阶段很多厂商的产品均支持这一项功能。
4.3当本地网IMS使用者达到一定数量后,所部属的BAC应当下沉到本地网。倘若该地市容量非常大,那么BAC应根据地市的实际情况来实施部署。倘若该市容量非常小,可以采用大区制,采取就近托管的原则,由所在区域的上级地市代管。
5BAC应用规划
5.1BAC容量规划
大容量BAC是未来应用发展趋势,所以IMSBAC定位为大容量、高集成的BAC设备,单台设备最大容量根据不同厂家有60万-100万不等。
BAC设置原则建议如下:(1)BAC以本地网为单位部署,起设门限为10万用户,用户数不达到起设门限的本地网不设置BAC,其业务由其他大本地网BAC承担。不区分SIP和H.248接入。可漫游终端(SIP软终端、C网分组域)统一通过省会一对专用的漫游BAC接入,根据业务量大小可独立设置或与省会BAC合设。(2)BAC的部署主要针对非信任的使用者。信任使用者主要采用FTTN和FTTB这两种方式接入,而非信任使用者主要采用Internet、FTTH和其他FTTB进行接入。(3)当几个BACIP配给于一个终端的时候,必须将各个BAC按照接入列表的优先顺序进行一一对应的接入,使得众多BAC之间互为备份,保持他们的负载均衡。
5.2BAC负载分担
考虑到网络及设备运行的稳定性和业务承载的可靠性,建议对BAC采用负载分担的方式,即一对BAC(BAC1和BAC2)同时处理业务。
在没有专用DNS的条件下可采取轮训注册或逐区注册的方式。
若在全省非信任域VPN中部署了DNS后,所有非信任域终端通过填写域名的方式注册到BAC上,具体注册在BAC的哪个区,由DNS的解析结果确定。
根据IMS的网络架构、用户需求及BAC设备设置原则,IMSBAC设备采用1+1负荷分担方式建设,不同机房组成地理容灾。
BAC作为IMS用户侧和核心侧的边界设备,起到地址互通和安全隔离的作用。BAC上行接入至P-CSCF或AGCF,下行接非可信终端,包括通过互联网、CTNET、CTWAP接入及城域网接入。在接入侧配置城域网络地址,核心侧部署CN2网络地址。同时,通过网管服务器进行管理。
6结束语
BAC作为IMS网络中的重要设备,负责汇聚大量的各类IMS用户,并提供核心层保护、QoS控制等功能,目前已经商但用户规模较小,当用户规模不断的增大,BAC在IMS网中的部署的架构和策略及应用是否适宜于将来网络发展需要,还需在实际的网络应用中进一步验证。
关键词:IMS;BAC;网络安全
中图分类号:TN919文献标识码:A文章编号:1007-9599 (2013) 07-0000-02
1引言
IMS是未来融合网络的核心,对今后的融合多媒体业务的提供具有很强的支持能力,是电信网络演进的目标,引入IMS能够构建开放的、固定移动统一融合的网络控制架构。
BAC(BorderAccessController,边缘接入控制设备)是IMS网络中引入的接入控制设备,它连接IMS核心网络与外部用户接入区域,完成IMS用户业务接入、实现不同网络环境下用户业务的互通、保障IMS网络安全、支持QOS管理、媒体管理、配合实现用户游牧管理等功能。在IMS网络中,BAC设备部署在CN2和城域网的边界,作为IMS用户接入IMS网络的边缘控制点。非可信接入设备通过BAC接入IMS网络,可信接入设备不需要经过BAC接入。
由于所有可能具有安全风险的用户都需要通过BAC接入,怎么样对BAC的容量及其部署层面实施科学合理的设计与规划,设计出符合其接入移动与用户实际需求合理接入方式,以便于其漫游和游牧等一系列问题的解决,因此,IMS网络的部署之前,电信运营商应充分考虑上述方式。
2BAC的IMS网络中位置
按照IMS组网原则,整个IMS划分成业务/应用层、控制层、承载层和接入层。BAC是IMS逻辑网络中负责逻辑接入设备,它处于接入网和核心网的边界上,提供接入控制、安全保护与互操作等功能。
3IMS终端的接入
BAC支持各种IMS终端接入IMS网络,从协议层面来分,可分为SIP终端和H.248终端。BAC支持SIP软硬终端(含移动、固定)的接入,SIP协议的向上接口为IMS核心网的P-CSCF设备,H.248协议的向上接口为AGCF设备。
4BAC部署方式
从部署的层面来看,BAC主要可分为以省区为基本单元和大区划分两种部署模式。
BAC按照实际使用的差异被划分成3种:(1)汇聚经由CTWAP无线接入的移动终端(VT终端);(2)汇聚互联网(PI-0)软硬终端设备;(3)汇聚固定接入终端。
在属地归属特性方面,互联网接入的软硬IMS终端在这一方面并非特别明显,因此采用以省区为基本单元的部署方式极为合适。
在移动终端的接入方面,必须考虑其无线接入这一特定方式,以及PDSN所采用的省区为基本单元的集中部署的实际情况,所以,对于BAC的部署也应当选择省区为基本单元为益。
由于固定接入的IMS终端的部署区域主要限定在城域网内,所以在建成初期其业务量相对较少,因此,可在设立试点并在这一时期采用以省为基本单元实施具体的BAC部署,当部署的数量达到一定程度的时候,应实施城域网分散部署,以汇聚更多的流量。就同一省区而言,建议一些地市的BAC采用以省为单位部署,一些地市BAC采用城域网分散部署。
在BAC的部署上,倘若选择以省中心为基本单元,那么在接入上会无形的增加了困难,本地网的IMS使用者必须跨越城域网才能够连接到BAC。倘若选择本地网部署模式,BAC分散于城域之内,这样一来就便于使用者可以通过本地BAC获取IMS服务。省会城市有必要部署无线终端的BAC,这主要是因为无线网络使用者大多由省中心的PDSN接入。
不管BAC的部署采用哪一种部署方式,都必须根据自身的实际需求。这两种不同的部署方式各自有着自己的优劣特点。
4.1把BAC下沉至地市,有助于使用者接入IMS网络的效率提升,避免跨越地市的IP网络。有必要选择实力较强的运行商专线来实现BAC到IMS的连接,提升信令响应的效率。倘若接入信令跨越地市,就会使得接入路径的故障频频发生,从而使得运维的难度加大,增加了人力、物力的消耗。就企业接入来说,一些情况下BAC会与企业私网进行对接,倘若BAC层面与企业私网不对应,就必须构建一个VPN通道以实现与远端的对接。
对使用者的接入造成障碍,跨地市面临一些具体操作上的不足。使用者与BAC之间的信令交互的频率极高,宛如脉搏的搏动,BAC下沉至地市能够避免信令因跨越地市而影响其交互频率。BAC同上层上连节点的信令是设备级,通过进行收敛,数目并不多。
4.2倘若将加密通道架设在UE和BAC之间,距离因素也制约着IPSec的实现。BAC下沉使得其分散于较广的地域之内,可以使得网络黑客的入侵被散列,从而降低了被入侵的几率,安全性大大提高。
就BAC信令的监控而言,建议采用BAC上针对使用者的信令反馈及媒体主动上报的方式来进行监控,现阶段很多厂商的产品均支持这一项功能。
4.3当本地网IMS使用者达到一定数量后,所部属的BAC应当下沉到本地网。倘若该地市容量非常大,那么BAC应根据地市的实际情况来实施部署。倘若该市容量非常小,可以采用大区制,采取就近托管的原则,由所在区域的上级地市代管。
5BAC应用规划
5.1BAC容量规划
大容量BAC是未来应用发展趋势,所以IMSBAC定位为大容量、高集成的BAC设备,单台设备最大容量根据不同厂家有60万-100万不等。
BAC设置原则建议如下:(1)BAC以本地网为单位部署,起设门限为10万用户,用户数不达到起设门限的本地网不设置BAC,其业务由其他大本地网BAC承担。不区分SIP和H.248接入。可漫游终端(SIP软终端、C网分组域)统一通过省会一对专用的漫游BAC接入,根据业务量大小可独立设置或与省会BAC合设。(2)BAC的部署主要针对非信任的使用者。信任使用者主要采用FTTN和FTTB这两种方式接入,而非信任使用者主要采用Internet、FTTH和其他FTTB进行接入。(3)当几个BACIP配给于一个终端的时候,必须将各个BAC按照接入列表的优先顺序进行一一对应的接入,使得众多BAC之间互为备份,保持他们的负载均衡。
5.2BAC负载分担
考虑到网络及设备运行的稳定性和业务承载的可靠性,建议对BAC采用负载分担的方式,即一对BAC(BAC1和BAC2)同时处理业务。
在没有专用DNS的条件下可采取轮训注册或逐区注册的方式。
若在全省非信任域VPN中部署了DNS后,所有非信任域终端通过填写域名的方式注册到BAC上,具体注册在BAC的哪个区,由DNS的解析结果确定。
根据IMS的网络架构、用户需求及BAC设备设置原则,IMSBAC设备采用1+1负荷分担方式建设,不同机房组成地理容灾。
BAC作为IMS用户侧和核心侧的边界设备,起到地址互通和安全隔离的作用。BAC上行接入至P-CSCF或AGCF,下行接非可信终端,包括通过互联网、CTNET、CTWAP接入及城域网接入。在接入侧配置城域网络地址,核心侧部署CN2网络地址。同时,通过网管服务器进行管理。
6结束语
BAC作为IMS网络中的重要设备,负责汇聚大量的各类IMS用户,并提供核心层保护、QoS控制等功能,目前已经商但用户规模较小,当用户规模不断的增大,BAC在IMS网中的部署的架构和策略及应用是否适宜于将来网络发展需要,还需在实际的网络应用中进一步验证。