当前,信息通信融合(ICT)已经成为再明显不过的趋势,为了应对这种变化,业已开展全业务竞争的中国三大电信运营商都迫切需要向综合信息服务提供商转型。研究结果表明为政企用户提供信息通信基础设施集成建设是一个较好的突破点。本文分析了政府和中小企业对信息通信基础设施的需求,设计和实现了一种能有效地支持运营商ICT业务竞争的企业信息通信网关。
1 、对信息通信网关的需求
中国的运营商市场经过10多年的调整,形成了三足鼎力的竞争格局。为了应对日益激烈的全业务竞争和信息通信融合趋势,三大电信运营商纷纷以不同方式向综合信息服务提供商转型。
电信运营商的理想价值链条是聚合内容提供商、应用提供商、设备提供商和电信运营商的自营服务能力。电信运营商希望借助合作方的应用开发、技术支持能力,使用自身的品牌和渠道,共同为客户提供信息通信解决方案。其中,如何为广大的政府或中小企业用户提供综合信息服务是其面临的关键课题之一,研究结果表明为政府或中小企业用户提供信息通信基础设施集成建设是一个较好的突破点。为此,电信运营商需要把信息通信设备部署到客户处,需要为企业客户提供综合服务,包括互联网接入、VPN连接、VoIP语音服务等。
中国政府和中小企业用户的特点是数量众多,IT技术能力较弱,对信息通信基础设施的需求多样化,因此如果能够将多元业务方便地部署于同一节点,不仅能够最大程度地避免网络设备繁杂导致故障点多的问题,而且能极大地降低企业网络建设的初期投资与长期运维成本,对电信运营商和政企客户而言都是双赢的。基于此,新一代支持ICT业务的企业信息通信网关就需要满足以下需求。
设备接入方式要丰富,不仅要有传统铜线接入的方式,如E1、V35的窄带接入和LAN 以太、WAN 以太、xDSL的宽带接入,还要有市场上方兴未艾的WLAN、3G、WiMAX等宽带无线接入方式。无线接入方式由于能够给客户组网带来极大的移动性和部署灵活性,未来将是企业信息通信基础设施建设的热门技术。
某些政府类客户将网络的安全和性能需求提到一个相当高的位置,不仅要求很高的转发能力,而且还需要有高性能的加解密能力,以满足通信安全需求。有的客户还要求设备能够带有防火墙功能,解决Internet上越来越多的病毒攻击和网络攻击。
为了对设备能够进行方便和完善的管理,以便帮助不具备信息通信维护能力的政府和中小企业用户解决维护之苦,电信运营商对网络接入设备的统一管理提出了新的要求,要求通信设备支持多种网络管理方式,如Web、SNMP和TR069等。
支持ICT业务的企业信息通信网关设计
2、体系结构描述
MP1800是迈普通信技术股份有限公司专门为政府、中小企业客户量身打造的符合电信运营商和中小企业信息通信需求的新一代信息通信设备。它具有5个一体化的特点:
路由、交换一体化,支持2个以太网WAN口加4/8个以太网LAN口;宽带、窄带一体化,支持从N×64 kbit/s到100 Mbit/s广域网链路接口;广域、局域一体化,支持广域网和局域网的统一控制和管理;有线、无线一体化,支持3G和WLAN接入,能够和有线网络进行无缝对接;数据、语音一体化,支持数据多业务的开展和VoIP功能,并能进一步扩展为IPPBX;信息、通信一体化,支持丰富的增值应用、网络应用监管。
MP1800系统架构如图1所示。
图1 MP1800的系统架构
MP1800采用了先进的400 MHz的 PowerPC嵌入式双核处理器,配以256 MB,64bit/133 MHz的DDR2 SDRAM、最大256 MB的Flash。MP1800在设计上对通信接口和增值业务模块提供了良好的支持,包括通过CPU自带的接口提供了窄带接口(E1/CE1、同异步串口等)、4端口的IP语音模块、4/8端口的10/100M/1 000M LAN以太交换接口、2端口的10/100M WAN以太路由接口、1端口的ADSL/ADSL2+接口、4端口的G. SHDSL接口;通过64bit/33MHz的PCI总线扩展出支持802.1b/g协议的WLAN接口和支持100 Mbit/s加密性能的硬件加密模块;通过USB2.0接口扩展支持WCDMA/cdma2000/TD-CDMA的3G Modem接口。
多业务融合设计
MP1800做到了多业务和高性能的完美结合,实现了包括路由、交换、IP语音、安全、无线接入、防火墙和满足电信要求的网管功能,能承担以前多种通信设备才能承担的任务。
MP1800的高性能设计
为了满足政府、中小企业、电信运营商对信息通信设备越来越高的性能需求,MP1800在软件体系上进行了专门设计和优化,最主要的一个特点是采用了双核处理器来进行数据报文的处理,其中一个处理器核心专门处理所有通信接口来的的数据报文,对其进行收发、识别、分类和快速转发,保证数据的高效处理;而另一个处理器核心则处理复杂的网络应用和用户配置,比如网络安全、MPLS和动态路由协议功能,这样的设计使得MP1800能够做到转发和控制/管理相分离,互相不受影响,因此MP1800能够做到64 byte报文的双向百兆全线速转发,即使在配置了复杂的ACL/QoS功能时性能也没有太大的影响。此外,为了提高IPSec安全性能,MP1800采用了硬件加密模块,能够达到100 Mbit/s的加解密性能。
MP1800的QoS功能
由于政府、中小企业客户越来越重视关键业务的通信质量,因此QoS功能在未来的网络应用中将发挥越来越重要的作用。MP1800为用户提供了流分类、流量监管、流量整形、拥塞管理和拥塞避免等多种应用。
(1)流分类
MP1800的QoS支持丰富的业务分类标准,可广泛应用于传统IP、MPLS和以太网等多种业务网络中。MP1800支持业务深度识别功能,能够识别多种应用层协议,如HTTP、BT应用等,可为语音、视频、文件传输、Web浏览等不同应用提供不同的QoS服务。
(2)流量监管和流量整形
MP1800支持单速双色和双速三色的令牌桶算法,对超出规格的流量可以实施预先设定好的监管动作。这些动作可以是:转发、丢弃、改变优先级并转发、进入下一级的监管。
(3)拥塞管理
当报文到达的速度大于该接口发送的速度时,在该接口处就会产生拥塞,发生报文丢失,而报文的丢失又可能会导致发送该报文的主机或路由器因超时而重传此报文,这将导致恶性循环。拥塞管理的中心内容就是当拥塞发生时如何制定一个资源的调度策略,决定报文转发的处理次序。MP1800的QoS提供丰富的调度策略,例如FIFO、PQ、CQ、WFQ、CBWFQ,每一种调度策略都可以为一种关键业务应用而设计。
MP1800的2层交换功能
MP1800提供了丰富的二层以太网功能,包括MSTP、GARP/GVRP、LACP、以太网OAM、UDLD等,因此使用MP1800能够方便、完善地构建一个局域网络,快速、有效、安全地布置各种业务。
MSTP是一种生成树协议,可以通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的,同时具备链路备份功能。
端口汇聚技术分为静态汇聚和动态汇聚,是将多个端口聚合在一起形成一个汇聚组,不仅可以提高链路带宽,实现流量在汇聚端口上的负载分担,也能提高连接可靠性。
以太网OAM作为一个二层协议,是监控和解决网络问题的工具。它能够在数据链路层报告网络的状态,使网络管理员能够更有效地管理网络。这个功能能够使电信运营商方便地管理和维护设备,提升他们的客户满意度。
MP1800的安全功能
MP1800实现了多种安全技术来保障设备信息通信安全,这些技术有IPSec、SSL VPN、802.1x接入控制认证和防火墙等。
(1)保证数据传输安全的IPSec功能
IPSec是一种三层隧道加密协议,它能够为Internet上传输的数据提供高质量的、可互操作的、基于密码学的安全保证。它能够提供以下的安全服务:
数据机密性:IPSec发送方在通过网络传输包前对包进行加密;数据完整性:IPSec接收方对发送方发送来的包进行认证,确保数据在传输过程中没有被篡改;数据来源认证:IPSec在接收端可以认证发送IPSec报文的发送端是否合法;防重放:IPSec接收方可检测并拒绝接收过时或重复的报文。
通常,IPSec在一些低端通信设备上都是通过软件实现,由于复杂的加密/解密、认证算法会占用大量的CPU资源,从而影响设备整体处理效率。MP1800使用硬件加密模块,将复杂的算法处理在硬件上进行,从而使得MP1800的IPSec加密性能能够达到100M bit/s,完全满足未来政府和中小企业日益复杂的应用和信息通信安全需要。
(2)防范非法访问的防火墙功能
政府、中小企业客户对网络安全性日益重视,据统计,对网络安全威胁最大的是网络攻击与非法访问。
常见的攻击有ARP攻击、NAT攻击、路由攻击、异常流量攻击等。对于ARP攻击,MP1800可以采用IP-MAC地址绑定进行解决;对于NAT攻击、路由攻击、异常流量攻击可以采取IP流量限速和NAT限制。
MP1800在内部设计了防火墙,支持包过滤、访问控制、URL过滤等功能。当要求限制内部员工PC上网时,可以通过限制IP地址方式禁止其上网;当要求限制上某个网站时,可以通过URL过滤功能限制对非工作网站的访问。
MP1800无线功能
(1)支持局域无线的WLAN 功能
WLAN最大的优势就是免去或减少了繁杂的网络布线,在对WLAN的支持上,MP1800能够提供精细的用户控制管理、灵活的安全机制、端到端的QoS等功能。
MP1800在接入无线用户时,可以通过设置基于VLAN、基于AP和基于SSID的用户接入控制方式等实现无线用户精细化管理。
WLAN无线网络的安全性主要体现在认证和链路加密两个方面。认证用来保证只能由授权用户进行访问,链路加密则保证发送的数据只能被特定的用户所接收。MP1800支持802.1X认证、Open System和Share Key认证方式;支持WPA-PSK、WPA2-PSK、WEP、AES、TKIP加密。
(2)支持广域无线的3G功能
随着3G移动网络的迅速普及,各大运营商在提供3G多媒体业务的同时,也给客户带来更高带宽的无线接入体验,3G作为灵活、快速、安全、高效的Internet接入方式已逐步成为用户广域网接入的主流选择之一。
MP1800的3G接入解决方案可有效满足移动办公、移动监控、分支无线接入等无线宽带接入需求。MP1800通过自带的3G无线模块或外接3G Modem提供无线上行接入。MP1800的 3G解决方案支持三种3G制式:WCDMA、cdma2000和TD-SCDMA。目前支持的3G Modem型号丰富,覆盖市场主流的型号,确保MP1800能满足3G无线通信应用的适应性和灵活性。
(3)完善的业务功能
MP1800上的两种无线接口与其他的以太等物理接口相同,即MP1800上的无线接口支持完整的基于IP层以上的所有业务和功能特性,如接口备份、流量统计、网络防攻击等,可有效发挥无线接口应用的潜力和价值。针对MP1800的无线通信,可以提供基于命令行、Web、SNMP和TR069等多种管理方式。
3、典型应用
3.1 中小企业组网应用
MP1800作为一个独立的中小企业综合接入设备时,可采用3G通信链路作为广域网有线链路的备份或负载分担通道。而企业内部联网,既可以采用以太网的有线连接方式,也可以采用WLAN的无线连接。
如果MP1800是电信运营商代购或购买赠送给客户的信息通信网关,运营商可以在运维中心部署网管系统对设备及接口卡实现集中配置和管理,比较典型的是中国电信基于TR069的网管系统。采用MP1800的中小企业组网方案如图2所示。
图2 中小企业组网应用
3.2 无人值守ATM机无线组网应用
目前有越来越多的金融ATM机部署在商场、办公大楼等公共场所,特别是那些靠提供灵活服务与国有大商业银行展开差异化竞争的中小银行更倾向于采用这种无人值守部署方式。通常这些情况下有线通信链路很难获取,采用3G无线通信将是理想的选择。金融无人值守ATM机采用MP1800作为接入设备,该设备放置在ATM机里面,通过3G无线连接到银行网络中心。考虑到应用安全,MP1800与中心的设备实现IPSec数据加密功能,以解决安全隐患。与此同时,MP1800的VoIP模块还能外接一部电话机,以方便客户采用电话办理业务。其组网方案如图3所示。
图3 无人值守ATM的3G无线组网应用
3.3 总部/分支型政府机构与企业的组网应用
客户可以利用MP1800的各种接口(图4所示为3G链路,其实也可以采取有线专线链路)实现总部和分支之间的广域互连,分支节点的设备可以采用WLAN或以太的方式接入企业局域网,如图4所示。考虑到应用安全,分支机构可以和总部设备采用IPSec数据加密功能,同时,分支机构可以采用MP1800的xDSL接入Internet,并在MP1800上开启各种防火墙功能。公司总部运维中心可采用网管系统实现MP1800设备及接口模块的集中管理。
图4 总部/分支型政企客户的组网应用
4 、结束语
当前我国正处于工业化和信息化融合发展时期,政府和中小企业的业务活动越来越倾向于高效、弹性,因此他们对信息通信基础设施的需求呈现多样化的状态。本文设计和实现了一种能有效地支持电信运营商对政企客户提供ICT服务的企业信息通信网关,并对典型应用作了描述。