会员中心
用户名:
密 码:
 
  忘记密码
邮政通信
邮政金融3G网络的设计
文章来源:本站原创  发布时间:2014-10-31  浏览次数:681
作者:张志峰
(鞍山市邮政局114001)
摘要:本文结合辽宁邮政信息网使用现状,介绍了邮政3G网络项目的背景,分析了目前主流3G技术,探讨了3G网络设计中重要的组网架构,提出了邮政3G网络项目的网络方案、设计理念及实现过程。
关键词:3G网络 组网 路由
1. 3G网络项目背景
      目前中国邮政已经进入了电子化、网络化的快速转型期。网络已经演变成企业发展业务的根基,并与业务运作、经营管理紧密结合。企业业务网的辐射能力直接取决于网络的延伸能力,而3G技术的发展恰好为传统网络带来了新的发展契机。如何让邮政自助终端借助现有3G网络平台进入会场、集市、社区等更广阔的空间,把普遍服务便捷地带到3G网络所覆盖的地方成为目前亟待解决的问题。  
2.目前主流3G技术分析
2.1 联通3G技术分析
      WCDMA的主要技术指标支持高速数据传输(对于宽带而言是 384Kb/s,对于局域网是2Mb/s),支持可变速传输(帖长10ms,码片速率3.84Mcps)。其主要特点包括:
(1)基站同步方式:支持异步和同步的基站运行方式,组网方便、灵活。
(2)调制方式:上行为BPSK,下行为QPSK。
(3)解调方式:导频辅助的想干解调。
(4)接入方式:DS-CDMA方式。
(5)三种编码方式:在话音停信道采用卷积码(R=113,K=9)进行内部编码和Veterbi 解码,在数据信道采用Reed Solomon编码,在控制信道采用卷积码(R=112,K=9)进行内部编码和Veterbi 解码。
(6)适应多种速率的传输,可灵活地提供多种业务,并根据不同的业务质量和业务速率分配不同的资源,同时对多速率、多媒体的业务可通过改变扩频比(对于低速率的32Kb/s,64Kb/s,128Kb/s的业务)和多码并行传送(对于高于128Kb/s的业务)的方式来实现。
2.2 电信3G技术分析
      CDMA2000是从CDMA One演进而来的第三代移动通信技术。其技术特点如下:前反向同时采用导频辅助相干解调;在扩频码选择采用相同M序列,通过不同的相位偏置区分不同的小区和用户;下行信道采用公共连续导频方式进行相干检测,提高系统容量;在下行信道传输中,定义直扩和多载波传输两种方式,码片速率分别为3.68Mcps和1.22Mcps,多载波方式能很好地兼容IS-95网络。
2.3 3G网络设计的组网架构
      目前运营商3G专网存在GRE、L2TP两种隧道技术组网,但GRE组网无法对VPN隧道进行安全认证,并且由于GRE是三层隧道技术,企业的私网路由需要运营商来承载,不适合金融行业3G组网应用,所以要求使用L2TP隧道技术组网。3G企业L2TP专网可分为3个组成部分:
      .网点侧:包括支持联通、电信3G接入的3G路由器,网点终端设备,3G路由器内安装运营商SIM卡或UIM卡,SIM卡或UIM卡注册开通3G专网服务。
      .运营商侧:包括3G无线基站、LAC设备、AAA认证服务器和VPDN的数据承载网。
      .企业中心侧:包括LNS路由器和认证服务器,与运营商通过MSTP专线连接。
3.邮政3G网络项目的设计
3.1 系统总体架构
      3G企业专网建立过程为以下四部分:
(1)在网点3G路由器上安装SIM、UIM卡,配置用户名、密码(联通还需要设置APN名称),启动3G拨号连接;
(2)通过3G基站传输,运营商LAC设备收到3G拨号数据后,根据APN名称、用户名中的域名(@*****)判断此用户为VPDN专网用户,并通过运营商侧AAA认证服务器进行SIM\UIM卡的IMSI认证,通过认证后由LAC设备发起与用户LNS设备的L2TP VPN连接;
(3)L2TP VPN建立过程中,企业中心用户侧LNS设备的AAA服务器需要对网点3G路由器的用户名、密码、SIM\UIM卡的IMSI信息进行认证,认证通过后,会通过AAA认证服务器为网点3G路由器分配企业内部IP地址,建立PPP连接进行IP通信。
(4)网点3G路由器和企业中心用户侧LNS设备之间配置IPSse加密对营业终端访问企业网的流量进行加密。
3.2 网络区域划分
3.2.1 3G接入区
      本区域设备包括两台LNS接入路由器。主要负责与运营商LAC设备建立L2TP VPN,并与网点3G路由器建立端到端的IPS加密。
3.2.2 3G接入隔离区
      3G接入隔离区包括AAA服务器、网络管理平台服务器。
3.2.3 企业内网核心区
      企业内网核心区放置辽宁省邮政金融网核心服务器,主要负责业务类服务器接入,3G接入的网点数据最终将流向核心区进行业务处理。
3.3路由器协议部署
      网点3G路由器配置缺省路由下一跳指向3G拨号接口,成功后与LNS接入路由器IPSEC加密网关之间直接通过IPSEC VPN进行端到端加密,LNS接入路由器IPSEC加密网关配置“IPSEC反向路由注入”功能,就可动态根据IPSec 生成ATM网点业务网段的静态路由,且无需增加其他额外的路由协议开销,当网点路由器无法和LNS进行IPSec协商时则无法访问企业内网核心区资源。
      LNS接入路由器与企业内网之间运行OSPF动态路由协议,OSPF采用的是链路状态及最短路径树算法,在防止路由环路的同时,可实现网络故障时的路由快速收敛,使得网络有更高的可靠性。
3.4网络平台部署
      3G网管平台负责3G接入路由器到内部防火墙的全部网络,其管理功能分为两部分:LNS、VPN网关管理和3G拓扑、流量、告警、IPSecVPN隧道等管理。网络信息查看需要实现设备状态实时监控、设备基本网管信息查看和线路的状态查看,其中线路包括局域网线路、广域网3G线路和IPSec VPN链路。
      网管平台需要收集设备和线路信息,对异常情况产生告警。对线路切换、设备切换和设备重启等事件进行日志收集和记录。
3.5 网络高可靠设计
      3G接入区网络整体设计,关键部位采用线路冗余和设备冗余设计,充分考虑了网络的冗余性,关键部位(如LNS路由器、防火墙、核心交换机)均采用双设备双线路冗余设计,能够有效提高网络的可靠性。
3.5.1 L2TP VPN隧道冗余
      运营商的LAC路由器与企业内部LNS路由器建立L2TP隧道,默认情况下运营商LAC与主LNS路由器建立L2TP VPN,当主LNS路由器出现故障时,LAC与备LNS路由器建立L2TP VPN,完成L2TP VPN隧道冗余切换。
3.5.2 IPSEC VPN隧道冗余
      两台LNS接入路由器同时作为IPSed加密网关,两台加密网关配置相同的IPSed隧道源地址(此地址不对外进行路由发布)。网点3Game路由器3G拨号成功后默认先与主加密网关出现故障时,自动切换至备份加密网关,建立IPSEC VPN,实现IPSEC VPN隧道的冗余备份。
3.5.3 内部防火墙HA热备
      两台内部防火墙通过HA状态协议,实现冗余热备,默认情况下由主防火墙设备负责数据转发,当主防火墙出现故障时,自动切换至备份防火墙实现内部防火墙的热备。
3.5.4  AAA认证服务器热备
      AAA认证服务器负责对省内所有3G接入用户进行安全认证,为保证AAA认证服务器的高可用性,需要部署两台AAA认证服务器,两台服务器可进行用户同步,LNS接入路由器配置主、备两个RADIUS服务器的地址,默认情况下3G用户认证,由LNS送至主用AAA服务器的地址,实现了AAA认证服务器的冗余热备。
3.5.5 运营商专线冗余
      运营商专线负责对省内所有的3G的汇总接入,为保证运营商专线的高可靠性,部署两条运营商专线实现冗余备份。
4.系统方案实施
4.1 省中心3G网IP地址规划
4.2  LNS路由器关键配置
<DX3G-LNS-MSR5040>dis curr
sysname DX3G-LNS-MSR5040
l2tp enable //开启L2TP VPN 功能
#
radius scheme vpdn    //配置3G PPP  认证用 radius方案
server-type extended  //设置 radius认证H3C为扩展型
primary authentication 10.38.9.254 key simple vpdnvpdn  //设置认证服务器地址和通                           讯密钥   
Primary accounting  10.38.9.254 key simple vpdnvpdn  //设置计费服务器地址和通讯密钥
key authentication simple vpdnvpdn //设置认证协商密钥
key accounting simple vpdnvpdn //设置计费协商密钥
nas-ip 10.38.9.250  //配置NAS访问AAA服务器使用的地址
accounting-on enable    //打开计费功能
#
domain ww.vpdn.he    //配置3Game、认证域名wxw.vpdn.he
authentication ppp radius-scheme vpdn   //配置域PPP认证radius方案
authorization ppp radius-scheme vpdn   //配置域PPP授权radius方案
accounting ppp radius-scheme vpdn   //配置域PPP计费radius方案
access-limit disable   //限制接入未启用,默认配置
state active //域当前为可以提供服务状态
idle-cut disable    //禁用用户空闲下线功能
self-service-url diable   //不启用自助服务URL
#
ike proposal 10 //配置IPSec第一阶段协商算法
encryption-algorithm 3des-cbc    //采用3des-cbc加密方式
dh troup2    //采用dh group2 方式
authentication-algorithm md5    //采用MD5认证算法
#
ike peer branch     //IKE对端名称
pre-shared-key cipher    //配置预共享密钥
local-address 10.22.9.250   //配置IKE协商时使用的本端地址
#
ipsec proposal prop-3des-md5   //配置IPsec第二阶段算法提议
esp encryption-algorithm 3des  //使用esp 封装3des加密,MD5验证
#
ipsec policy-template branch 1    //ipsec 模板配置
ike-peer branch   //配置可以协商的IKE对端为之前配置的branch
proposal prop-3des-md5    //定义采用的IPsec第二阶段算法提议
reverse-route    //开户IPSec反向路由注入功能
#
ipsec policy postvpdn 1 isakmp template branch  //配置ipsec策略使用模板
#
12tp-group 1  //创建12tp级
mandatory-lcp    //强制lcp重认证
allow 12tp vitual-template 1  //使用虚模板1进行L2TP认证
tunnel password simple hebeipost111185    //设置L2TP隧道密码
#
interface Virtual-Template 1   //配置虚模板
ppp authentication-mode chap domain wxw.vpdn.he //配置PPP认证域
ppp account-statistics enable  //计费开启
ppp ipcp remote-address forced.    //强制远端IP地址协商获得
ppp compression iphc   //配置PPP压缩方式以节省带宽
ip address 10.38.3.254 255.255.254.0 //虚模板接口地址 10.38.3.254
ipsec policy postvpdn    //虚模板下启用ipsec策略
#
interface GigabitEthernet0/0   //LNS连接内网接口配置
port link-mode route
description To-ZHW-JuniperFW-E0/0
ip address 10.38.9.250 255.255.255.252
#
interface GigabitEthernet0/1    //LNS连接运营商专线配置
port link-mode route 
descriptionTo-DX-VPDN
ip address  10.235.18.78  255.255.255.252
#
4.3 网点3G路由器配置
[vpdn3131]dis cur 
#
acl number 3000   //IPSec加密流定义,源为LAN网段,目的为Server网段
rule 1 permit ip source 10.38.36.32.0.0.15 destination 10.0.0.0.0255.255.255 rule 100 deny ip
#
ike peer post-center   //ike peer 名称
pre-shared-key cipher  //定义预共享密钥
remote-address 10.38.9.250  //中心LNS接受ike 协商的地址
#
ipsec prosposal branch   //网点阶段IPSec 安全提议
#
ipsec policy branch 1 isacmp   //IPSec 策略配置
security acl 3000  //加密数据流定义
ike-peer post-center  //使用的IKE协商对端
proposal branch     //使用的IPSec安全提议
#
interface Cellular0/0  //3G拨号接口
async mode protocol  //接口默认为异步模式
link-protocol ppp    //接口链路层协议为PPP
ppp chap password cipher  //用户密码
ip address ppp-negotiate   //ip 从远端协商获取
dialer enable-circular    //使能拨号
dialer-group 1         //拨号组
dialer timer idle0       //不设置空闲挂断,即保持始终在线
dialer number#777     //拨号号码#777
ipsec policy branch     //应用ipsec 策略
#
interface Vlan-interface1  //局域网网关配置,E0/1-4工作在交换模式
ip address 10.38.36.46 255.255.255.240
#
interface Ethernet0/1
port link-node bridge
#
interface Ethernet0/2
port link-node bridge
#
interface Ethernet0/3
port link-node bridge
#
interface Ethernet0/4
port link-node bridge
#
ip route-static 10.0.0.0 255.0.0.0 Cellular0/0 //到10.0.0.0业务网段路由
dialer-rule 1 ip permit  //使能IP触发拨号组1拨号
#
5.总结
   本文本根据辽宁邮政业务需求与主流3G无线技术相结合,研究设计了拓扑结构更简单、可靠性与性价比更高的网络系统方案,可实现灵活部署营业网点及扩展营业范围等业务发展的需求。高可靠性3G网络的设计是一项永无止境的课题,随着业务发展的需求将会不断改进。
网站首页 关于我们免责声明联系我们
版权所有:辽宁省通信学会  备案号:辽ICP备11005629
联系电话:024-22517766  地址:沈阳市沈河区北站路72号


网站建设:恒昊互联网络