淺談郵政3g網(wǎng)絡(luò)設(shè)計

1、<p>　　淺談郵政3G網(wǎng)絡(luò)設(shè)計</p><p>　　摘要：文章以河北郵政為例，介紹了郵政3G網(wǎng)絡(luò)項目的背景，分析了目前主流3G技術(shù)，探討了3G網(wǎng)絡(luò)設(shè)計中重要的組網(wǎng)架構(gòu)，提出了郵政3G網(wǎng)絡(luò)項目的網(wǎng)絡(luò)方案、設(shè)計理念及實現(xiàn)過程。 </p><p>　　關(guān)鍵詞：3G網(wǎng)絡(luò)；可靠性；安全性；組網(wǎng)；路由 </p><p>　　中國分類號：F61 </p>

2、<p><b>　　文獻標識碼：A </b></p><p>　　1 3G網(wǎng)絡(luò)項目背景與目標 </p><p>　　目前中國郵政已經(jīng)進入了電子化、網(wǎng)絡(luò)化的快速轉(zhuǎn)型期。網(wǎng)絡(luò)已經(jīng)演變成企業(yè)發(fā)展業(yè)務的根基，并與企業(yè)的業(yè)務運作、經(jīng)營管理緊密結(jié)合。特別是在業(yè)務競爭日趨激烈的今天，“網(wǎng)絡(luò)延伸到哪里，業(yè)務才能開辦到哪里”的發(fā)展特點日漸突顯。企業(yè)業(yè)務網(wǎng)的輻射能力直接取決于

3、網(wǎng)絡(luò)的延伸能力，而3G技術(shù)的發(fā)展恰好為傳統(tǒng)網(wǎng)絡(luò)帶來了新的發(fā)展契機。作為中國郵政重要業(yè)務板塊的郵政傳統(tǒng)業(yè)務，其自助終端走進了大型超市、商場、社區(qū)和鄉(xiāng)鎮(zhèn)，在帶給人們用郵便利的同時，也讓郵政企業(yè)感受到了布設(shè)便捷、資費較低和安全可靠的網(wǎng)絡(luò)帶來的業(yè)務拓展優(yōu)勢。如何讓郵政自助終端借助現(xiàn)有3G網(wǎng)絡(luò)平臺進入會場、集市、社區(qū)等更廣闊的空間，把普遍服務便捷地帶到3G網(wǎng)絡(luò)所覆蓋的地方成為目前亟待解決的問題。 </p><p>　　從2

4、006年至今，河北郵政信息網(wǎng)經(jīng)歷了規(guī)模從小到大，線路帶寬由窄到寬的演變過程，但是隨著業(yè)務的不斷發(fā)展，對網(wǎng)絡(luò)接入方式的靈活性要求越來越高。而傳統(tǒng)的有線網(wǎng)絡(luò)搭建要經(jīng)歷一個從線路申請到運營商開通再到線路安裝調(diào)試的過程，時間少則三天多則一周，這已經(jīng)不能滿足普遍服務所要求的便捷性?？紤]到目前3G技術(shù)已經(jīng)成熟，3G線路也能夠提供較高的上下行數(shù)據(jù)帶寬，經(jīng)過調(diào)研與評估。3G網(wǎng)可以實現(xiàn)承載郵政企業(yè)關(guān)鍵業(yè)務的能力，另外由于3G線路按流量收費，能節(jié)省大量線路

5、租費。據(jù)粗略統(tǒng)計，以3G方式實現(xiàn)網(wǎng)點線路改造后，按1000個網(wǎng)點的規(guī)模、有線線路租費按800元/月計算，一年就能節(jié)省約600萬元的線路租費，節(jié)約了企業(yè)的運營成本。 </p><p>　　3G網(wǎng)絡(luò)項目旨在借助3G無線網(wǎng)絡(luò)部署的靈活性，通過先進的接入方式擺脫郵政網(wǎng)點傳統(tǒng)有線接入方式的限制，為郵政企業(yè)降低有線線路租費的同時，拓展更多的郵政服務形式和更廣泛的業(yè)務受理范圍，并借助3G無線網(wǎng)絡(luò)的安全保證機制為郵政用戶提供最好

6、的安全保障，利用無線信號加密、屏蔽非授權(quán)用戶、端到端數(shù)據(jù)加密、用戶認證等措施為河北郵政信息網(wǎng)打造一個安全的3G網(wǎng)絡(luò)環(huán)境。 </p><p>　　2 3G網(wǎng)絡(luò)設(shè)計原則 </p><p>　　數(shù)據(jù)的安全性、可管理性和可靠性是3G網(wǎng)絡(luò)設(shè)計的主要原則。 </p><p>　　保證3G無線網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩?，對?shù)據(jù)進行有效保護和高效利用是3G網(wǎng)絡(luò)在郵政企業(yè)中成功應用的最重要

7、因索之一。用戶數(shù)據(jù)是企業(yè)的基礎(chǔ)，郵政要為客戶提供一個可靠環(huán)境，以確?？蛻魯?shù)據(jù)資料的準確性和服務的連貫性。安全性是指用戶的接入鑒權(quán)和數(shù)據(jù)的傳輸安全?？晒芾硇允侵竿ㄟ^網(wǎng)絡(luò)管理，統(tǒng)計營業(yè)網(wǎng)點3G網(wǎng)絡(luò)的使用情況，并對用戶數(shù)據(jù)流量進行統(tǒng)計，制定個性化報表。另外，鑒于3G網(wǎng)絡(luò)容易受到外部因素干擾，因此需要充分考慮組網(wǎng)的可靠性。 </p><p>　　隨著第三代移動通信技術(shù)的發(fā)展，電信運營商的3G網(wǎng)絡(luò)可以使個人用戶隨時隨地地接

8、入互聯(lián)網(wǎng)。而對于企業(yè)用戶的3G網(wǎng)絡(luò)應用，更多的是要利用3G網(wǎng)絡(luò)實現(xiàn)對企業(yè)內(nèi)網(wǎng)資源的訪問。為保證郵政3G網(wǎng)絡(luò)接人的安全性，避免企業(yè)的業(yè)務數(shù)據(jù)暴露在互聯(lián)網(wǎng)上而出現(xiàn)相關(guān)安全問題（攻擊、黑客、竊取等），首先需要電信運營商對發(fā)放給郵政企業(yè)的SIM/UIM卡進行認證和專有域劃分，在接人3G網(wǎng)絡(luò)時首先進行安全認證，確保只有經(jīng)過授權(quán)的用戶才能接入郵政企業(yè)網(wǎng)絡(luò)；其次，通過VPN隧道技術(shù)，在運營商與企業(yè)網(wǎng)絡(luò)之間搭建一條VPN通道，確保運營商與企業(yè)間數(shù)據(jù)的安

9、全傳輸；最后，對3G接人的用戶進行再次認證，并在3G接人端與郵政企業(yè)網(wǎng)絡(luò)之間通過IPSec技術(shù)，實現(xiàn)端到端傳輸數(shù)據(jù)的加密，這樣通過采用用戶認證、專有域、隧道和數(shù)據(jù)加密等多種技術(shù)手段，最終確保企業(yè)數(shù)據(jù)的安全性。 </p><p>　　目前電信運營商3G專網(wǎng)存在GRE、L2TP兩種隧道技術(shù)組網(wǎng)，由于GRE是VPN的三層隧道協(xié)議，即在協(xié)議層之間采用了Tunnel（隧道）技術(shù)，對某些網(wǎng)絡(luò)層協(xié)議（如IP和IPX）的數(shù)據(jù)包進

10、行封裝，使這些被封裝的數(shù)據(jù)包能夠在另一個網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸，無法對VPN隧道進行安全認證，且企業(yè)的內(nèi)網(wǎng)路由需要由運營商來分配和管理，不適合郵政行業(yè)3G組網(wǎng)的需求，所以考慮使用L2TP隧道技術(shù)組網(wǎng)。 </p><p>　　3 3G網(wǎng)絡(luò)的組網(wǎng)設(shè)計 </p><p>　　3.1 網(wǎng)絡(luò)總體架構(gòu) </p><p>　　3G企業(yè)專網(wǎng)總體架構(gòu)如圖1所示，其建立過程分為以下

11、四部分。 </p><p>　　一是在網(wǎng)點3G路由器上安裝SIM/UIM卡，配置用戶名、密碼（聯(lián)通還需要設(shè)置APN名稱），啟動3G撥號連接。 </p><p>　　二是通過3G基站傳輸，運營商LAC設(shè)備收到3G撥號數(shù)據(jù)后，會根據(jù)APN名稱、用戶名中的域名（@*****）判斷此用戶為企業(yè)VPDN專網(wǎng)用戶，并通過運營商側(cè)AAA認證服務器進行SIM/UIM卡的IMSI認證，通過認證后由LAC設(shè)備

12、發(fā)起與用戶LNS設(shè)備的L2TP VPN連接。 </p><p>　　三是L2TP VPN建立過程中，企業(yè)中心用戶側(cè)LNS設(shè)備的AAA服務器需要對網(wǎng)點3G路由器的用戶名、密碼、SIM/UIM卡的IMSI信息進行認證，認證通過后，通過AAA認證服務器為網(wǎng)點3G路由器分配企業(yè)內(nèi)部IP地址，建立PPP連接進行1P通信。 </p><p>　　四是網(wǎng)點3G路由器和企業(yè)中心用戶側(cè)LNS設(shè)備之間配置IP

13、Sec加密，實現(xiàn)網(wǎng)點終端與企業(yè)內(nèi)網(wǎng)之間通信數(shù)據(jù)的端到端加密。 </p><p>　　3.2 路由協(xié)議部署 </p><p>　　路由協(xié)議用于學習和維護路由，為網(wǎng)絡(luò)通訊提供最佳路徑，在網(wǎng)絡(luò)出現(xiàn)故障時，可通過路由收斂，實現(xiàn)網(wǎng)絡(luò)的高可靠性。路由協(xié)議的選擇依據(jù)原則如下。 </p><p>　　3.2.1 開放性和標準化 </p><p>　　必須使用

14、國際標準的路由協(xié)議，保證網(wǎng)絡(luò)的開放性，支持不同廠商設(shè)備的路由互連。 </p><p>　　3.2.2 可擴展性 　　使用的路由協(xié)議必須具備良好的擴展能力，能夠支持網(wǎng)絡(luò)規(guī)模的持續(xù)增長。 </p><p>　　3.2.3 支持快速收斂 </p><p>　　路由協(xié)議應該支持快速收斂，在網(wǎng)絡(luò)出現(xiàn)故障時，可通過路由收斂，實現(xiàn)網(wǎng)絡(luò)的高可靠性。 </p><

15、;p>　　3G網(wǎng)絡(luò)接人區(qū)的路由協(xié)議部署方案如圖2所示。 </p><p>　　網(wǎng)點3G路由器配置缺省路由下一跳指向3G撥號接口，3G撥號成功后與LNS接入路由器IPSec加密網(wǎng)關(guān)之間直接通過IPSec VPN進行端到端加密，LNS接入路由器IPSec加密網(wǎng)關(guān)配置“IPSec反向路由注入”功能，就可動態(tài)根據(jù)IPSec生成網(wǎng)點業(yè)務網(wǎng)段的靜態(tài)路由，且無需增加其他額外的路由協(xié)議開銷，當網(wǎng)點路由器無法和LNS進行IP

16、Sec協(xié)商時則無法訪問企業(yè)內(nèi)網(wǎng)核心區(qū)資源。 </p><p>　　LNS接入路由器與企業(yè)內(nèi)網(wǎng)之間運行OSPF動態(tài)路由協(xié)議，OSPF是鏈路狀態(tài)路由協(xié)議，采用的是最短路徑樹算法，協(xié)議自身的開銷小，在防止路由環(huán)路的同時，可實現(xiàn)網(wǎng)絡(luò)故障時的路由快速收斂，使網(wǎng)絡(luò)具有更高的可靠性。 </p><p>　　3.3 網(wǎng)管平臺部署 </p><p>　　3G網(wǎng)管平臺負責3G接入路由器

17、到內(nèi)部防火墻的全部網(wǎng)絡(luò)，包括設(shè)備、鏈路和相應事件的統(tǒng)計，其管理功能分為兩部分：LNS、VPN網(wǎng)關(guān)管理和3G拓撲、流量、告警、IPSec VPN隧道管理。網(wǎng)絡(luò)信息查看需要實現(xiàn)設(shè)備狀態(tài)實時監(jiān)控、設(shè)備基本網(wǎng)管信息查看和線路的狀態(tài)查看，其中線路包括局域網(wǎng)線路、廣域網(wǎng)3G線路和IPSec VPN鏈路。網(wǎng)管平臺需要收集設(shè)備和線路信息，對異常情況產(chǎn)生告警，對線路切換、設(shè)備切換和設(shè)備重啟等事件進行日志收集和記錄。 </p><p&g

18、t;　　3.4 網(wǎng)絡(luò)安全防護 </p><p>　　3.4.1 網(wǎng)點設(shè)備接入側(cè)安全防護 </p><p>　　網(wǎng)點3G路由器對接入設(shè)備的IP+MAC地址做綁定，只允許合法的IP和MAC地址接入，當非法IP或MAC地址接入時，拒絕其訪問網(wǎng)絡(luò)資源。 </p><p>　　3.4.2 3G路由器接人側(cè)安全防護 </p><p>　　3G路由器接人側(cè)

19、安全措施包括以下三項。 </p><p>　　3.4.2.1 3G網(wǎng)點接入認證 </p><p>　　要求運營商對SIM/UIM卡的IMSI碼進行認證，拒絕非法SIM/UIM卡接人；企業(yè)中心側(cè)AAA認證服務器，要求對3G VPDN接人用戶做用戶名、密碼認證，同時對SIM/UIM卡的IMSI碼進行第二次安全認證，并由AAA認證服務器為3G VPDN接入用戶下發(fā)固定IP地址，保證3GVPDN接

20、入用戶與IP地址的一一對應。 </p><p>　　3.4.2.2 限制SIM/UIM卡互聯(lián)網(wǎng)服務 </p><p>　　運營商對3G接入的SIM/UIM卡限制互聯(lián)網(wǎng)服務，即便在3G VPDN專線接入認證失敗時，該SIM/UIM卡也不能連接互聯(lián)網(wǎng)，避免業(yè)務數(shù)據(jù)暴露在互聯(lián)網(wǎng)中而出現(xiàn)相關(guān)安全問題。 </p><p>　　3.4.2.3 接入時間控制 </p>

21、<p>　　3G接人區(qū)用戶側(cè)AAA認證服務器對3G接入用戶的撥人時間進行控制，防止用戶在非工作時間內(nèi)接入網(wǎng)絡(luò)。 </p><p>　　3.4.3 運營商3G無線側(cè)安全防護 </p><p>　　目前聯(lián)通、電信兩家運營商的3G網(wǎng)絡(luò)分別為WCD—MA、CDMA2000制式，這兩種3G制式全部是基于CDMA技術(shù)發(fā)展而來。CDMA源于軍用傳輸保密技術(shù)，它采用擴頻技術(shù)和偽隨機碼技術(shù)，具

22、有抗干擾、安全通信、保密性好的特性，可保證3G無線信號不被竊聽和破解，保證無線傳輸?shù)陌踩浴?</p><p>　　3.4.4 運營商有線側(cè)安全防護 </p><p>　　由于運營商與郵政企業(yè)是通過城域網(wǎng)接入，為保證企業(yè)數(shù)據(jù)的傳輸安全，LNS路由器要求支持IPSec VPN，同時承擔IPSec加密網(wǎng)關(guān)功能。網(wǎng)點3G接人路由器與加密網(wǎng)關(guān)建立IPSec VPN，對業(yè)務數(shù)據(jù)進行端到端加密，保證業(yè)

23、務數(shù)據(jù)的傳輸安全，并要求IPSec加密算法盡量使用高強度的合規(guī)算法，以保證數(shù)據(jù)報文在網(wǎng)絡(luò)傳輸時的不可否認性、防重播性、數(shù)據(jù)完整性和數(shù)據(jù)可靠性。 </p><p>　　3.4.5 3G接人區(qū)數(shù)據(jù)安全防護 </p><p>　　防火墻對傳輸?shù)臄?shù)據(jù)流進行安全策略控制，只允許合法數(shù)據(jù)流通過，開啟防火墻抗攻擊防范功能，包括常見的DoS/DDoS攻擊防范（如SYN flood、DNS Query Fl

24、ood等）、欺騙類攻擊防范、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范和地址/端口掃描防范等。 </p><p>　　3.5 網(wǎng)絡(luò)高可靠性設(shè)計 </p><p>　　3G接入?yún)^(qū)網(wǎng)絡(luò)整體設(shè)計，關(guān)鍵部位采用線路冗余和設(shè)備冗余設(shè)計，充分考慮網(wǎng)絡(luò)的冗余性，關(guān)鍵部位（如LNS路由器、防火墻、核心交換機）均采用雙設(shè)備雙線路冗余設(shè)計，能夠有效提高網(wǎng)絡(luò)的可靠性。 </p>&l

25、t;p>　　4 河北省郵政金融3G網(wǎng)絡(luò)的管理與維護 </p><p>　　4.1 SIM/UIM卡的發(fā)放、注冊、注銷管理 </p><p><b>　　4.1.1 發(fā)放 </b></p><p>　　有3G無線接人需求的市局需要向省中心提出申請。SIM/UIM卡的申請工作由市局單獨向運營商申請，申請完畢后向省中心進行報備。 </p&

26、gt;<p><b>　　4.1.2 注冊 </b></p><p>　　采購的SIM/UIM統(tǒng)一交由省中心進行3G路由器配置，用戶名、lP的設(shè)定及SIM/UIM卡的IMSI碼綁定工作。 </p><p><b>　　4.1.3 注銷 </b></p><p>　　對于停用或遺失的3G卡，市局需第一時間向省中

27、心提出注銷申請·省中心接到申請后，立即進行注銷處理。 </p><p>　　4.2 系統(tǒng)日常管理 </p><p>　　在3G網(wǎng)實際運行一段時間后，應對運行效果進行評估。若發(fā)現(xiàn)3G的速率過低或信號質(zhì)量不好，應及時與運營商溝通。并協(xié)調(diào)解決（可以協(xié)調(diào)運營商調(diào)整附近基站的參數(shù)或增加室內(nèi)分布系統(tǒng)）。 </p><p>　　4.3 河北省H3C智能管理中心iMC &

28、lt;/p><p>　　在Is（）提出的網(wǎng)絡(luò)管理框架模型（IS07498—4）文件中，網(wǎng)絡(luò)管理功能劃分為五個功能域，每個功能分別完成不同的網(wǎng)絡(luò)管理功能，即故障管理、配置管理、性能管理、計費管理和安全管理。這些功能在iMC上均有顯示。 　　4.3.1 故障管理 </p><p>　　故障管理（Fault Management）包括故障檢測、隔離和糾正OSI環(huán)境中的非正常操作，同時還包括錯誤記錄

29、、故障定位和診斷測試等功能，其目的是保證網(wǎng)絡(luò)能夠提供連續(xù)可靠的服務。iMC的故障管理通過對來自硬件設(shè)備或者網(wǎng)絡(luò)節(jié)點的報警進行監(jiān)控、報告和存儲，對故障進行診斷、定位和處理，能夠動態(tài)維護網(wǎng)絡(luò)的運行。同時，必要時還可以啟動網(wǎng)絡(luò)控制功能，通過診斷、修理、測試、操作外圍設(shè)備和備份設(shè)備來保證高度的可用性。 </p><p>　　4.3.2 配置管理 </p><p>　　配置管理（Configurat

30、ing Management）以對互連服務進行準備、初始化和啟動，并為其提高連續(xù)操作和終止互連服務為目的，對開發(fā)系統(tǒng)進行確認、實行控制。從中收集資料，并為開發(fā)系統(tǒng)提供資料。這些服務可以包括收集關(guān)于系統(tǒng)的信息，在系統(tǒng)發(fā)生變化和系統(tǒng)配置發(fā)生改變時給予提示。配置管理也是網(wǎng)絡(luò)管理的基本功能。本系統(tǒng)的配置管理包括識別網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、標識網(wǎng)絡(luò)中的對象、自動修改指定設(shè)備的配置和動態(tài)維護網(wǎng)絡(luò)配置數(shù)據(jù)庫等。 </p><p>　　

31、4.3.3 性能管理 </p><p>　　性能管理（Performance Management）應能使OSI環(huán)境中的資源行為和通信活動的有效性得以評估。性能管理涉及網(wǎng)絡(luò)通信信息的收集、加工和處理等活動，其目的是保證在使用最少網(wǎng)絡(luò)資源和具有最小延遲的前提下，提供可靠、連續(xù)的通信能力，并使網(wǎng)絡(luò)資源的使用達到最優(yōu)化。性能管理的具體內(nèi)容包括：從被管理對象中收集與網(wǎng)絡(luò)性能相關(guān)的參數(shù)；統(tǒng)計并分析歷史數(shù)據(jù)；建立性能分析模型

32、；預測網(wǎng)絡(luò)性能的長期發(fā)展趨勢。根據(jù)分析預測的結(jié)果對網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及被網(wǎng)管對象的配置參數(shù)進行調(diào)整，逐步達到網(wǎng)絡(luò)的最佳狀態(tài)。 </p><p>　　4.3.4 計費管理 </p><p>　　計費管理（Accounting Management）是以使用OSI環(huán)境資源和所付費用為目標而建立的。計費管理是商業(yè)化計算機網(wǎng)絡(luò)的重要網(wǎng)管功能，通過統(tǒng)計用戶的信息流量、訪問資源等信息來正確計算并向用戶收取

33、網(wǎng)絡(luò)服務費用。此外，計費管理還要進行網(wǎng)絡(luò)資源利用率的統(tǒng)計和網(wǎng)絡(luò)成本效益的核算。 </p><p>　　4.3.5 安全管理 </p><p>　　安全管理（Security Management）的目的是以產(chǎn)生、清除和控制安全服務和機制等功能來支持安全策略的應用。網(wǎng)絡(luò)安全管理的主要內(nèi)容包括：管理用戶的權(quán)限分配，與安全措施有關(guān)的信息分發(fā)，與安全有關(guān)的事件通知。安全服務設(shè)施的創(chuàng)建、控制和刪除，

34、安全管理日志記錄、維護和查詢等。在開放系統(tǒng)中，網(wǎng)絡(luò)安全問題日益突出，網(wǎng)絡(luò)安全管理正成為網(wǎng)絡(luò)管理功能模型中不可或缺的一個組成部分。 </p><p><b>　　5 結(jié)束語 </b></p><p>　　雖然河北郵政3G無線網(wǎng)絡(luò)系統(tǒng)的建設(shè)已經(jīng)完成試點工作，并實現(xiàn)了滿足項目需求的無線網(wǎng)絡(luò)系統(tǒng)，但并不意味著已經(jīng)建立了一個一勞永逸的網(wǎng)絡(luò)系統(tǒng)，尤其是高可靠性3G網(wǎng)絡(luò)系統(tǒng)設(shè)計方案

35、距離走向通用化還有多方面有待進一步完善與加固。首先，追求高可靠性3G網(wǎng)絡(luò)的設(shè)計方案是一個永無止境的課題，更簡潔的網(wǎng)絡(luò)拓撲結(jié)構(gòu)、更全面的可靠性保障、更高性能、更高性價比的網(wǎng)絡(luò)系統(tǒng)設(shè)計方案都是該課題進一步深入探索的目標；其次，由于項目需求的針對性和局限性以及工程建設(shè)時間進度的限制，本文只討論了主、備冗余方式下網(wǎng)絡(luò)系統(tǒng)的工作方式，對于負載均衡方式下的工作方式、對工作負荷的合理分配方案以及這兩種工作方式各自適用場合的比較和分析等內(nèi)容還沒有進行深