山东通信

山东通信技术目次渊1979年创刊总第123期冤第29卷第2期2009年6月渊季刊冤渊公开发行冤ShandongTongxinJishu技术研究与应用TD-SCDMAPS域防火墙优化方案及实施....................................张心同罗宝东渊1冤基于Adhoc网络的退避算法研究................................................................赵金渊4冤面向AdHoc网络的多路径路由协议研究......................陈海生闫帅领姜海渊8冤基于多维监控系统的全新监控模式探索....................................宫钦孙健渊10冤无线传感器网络DV-Hop定位算法研究........................邱烨张爽高亚茹渊14冤基于CC2431的无线传感器网络节点设计............................................................................王传坤郭家虎杜贻晶孟庆彪渊20冤EPON技术在高速公路通信系统中的应用研究........................赵丽花樊俊青渊23冤技术交流WCDMA掉话原因分析及解决方法..........................................................陈向伟渊26冤一种基于串联方式进行通信电源防雷的技术实现............................................................................张连红马波董志强王虎生渊34冤远程供电在TD-SCDMA通信网络中的应用探讨............................................................................位莅徐智江吕雪峰闫冰渊37冤层次分析法在业绩评价指标权重分配中的应用......................................时晓宇渊39冤开环并行替换的原理及应用........................................................李国华李敏渊41冤利用机房动力环境监控系统实现对MDF告警的监控............................马宝强渊44冤科技新闻TD-LTE的研发为何如此紧迫钥............................................................................渊46冤山东联通成立研发中心..........................................................................................渊47冤山东联通成果获山东省计算机应用优秀成果奖..................................................渊47冤淄博联通研发山东首个宽带设备实时告警系统..................................................渊47冤主管单位院山东省通信管理局主办单位院山东通信学会编委院孔建坤王剑峰吕雪峰刘梦溪张学辉赵珑高兆法郭彬董士宝傅玉林谢绍富(按姓氏笔画为序)主编院张渲编辑院刘伟地址院济南市经十一路40号邮编院250002电话院0531-82092813袁86612813Email院txjs@sdca.gov.cn国内统一刊号院CN37-1161/TN广告经营许可证号院3700004000133国内定价院5.00元TD-SCDMAPS域防火墙优化方案及实施渊1中国移动上海公司袁上海2001342中国联通德州市分公司袁德州253000冤张心同1罗宝东2摘要院随着TD-SCDMA网络的不断建设和完善袁其承载的数据业务越来越多袁作为核心设备的防火墙往往成为网络瓶颈遥本文根据防火墙在TD-SCDMAPS域网络中的策略配置原则袁提出了两种通过增加防火墙实现业务分流的方案袁并应用改进后的方案对现网防火墙进行了改造遥关键词院TD-SCDMAPS域防火墙业务分流图1TD-SCDMAPS域网络架构第29卷第2期2009年6月山东通信技术ShandongCommunicationTechnologyVol.29No.2Jun.20091引言TD-SCDMA是我国具有自主知识产权的第三代移动通信系统标准之一遥随着TD-SCDMA网络的不断建设和完善袁其承载的数据业务越来越多袁包括手机电视尧视频共享等遥2008年9月袁中移动就开始了TD-SCDMA试验网的二期建设袁由一期的8个城市再增加28个主要城市遥随着网络规模的扩大尧业务类型的丰富袁数据业务流量迅速增长袁这对承载数据业务的TD-SCDMA分组域渊PS域冤核心网设备的网络能力提出了更高的要求袁尤其是防火墙遥本文分析了防火墙在TD-SCDMAPS域网络中的重要作用尧策略配置袁提出并分析了在现有防火墙性能不足的条件下增加防火墙进行业务分流的两种方案袁介绍了采用改进后的方案对现网防火墙进行改造实施的实际案例遥2TD-SCDMAPS域网络中的防火墙2.1TD-SCDMAPS域网络TD-SCDMAPS域网络设备主要包括SGSN渊服务GPRS支持节点冤尧GGSN渊网关GPRS支持节点冤尧DNS渊域名服务器冤和NTPServer渊网络时间协议服务器冤遥在实际的网络中袁可以仅有一个或多个SGSN袁也可以仅有一个或者多个GGSN袁或者是以上两种情况的组合遥DNS和NTPServer一般是一套双机备份遥网络结构如图1所示遥配置两台三层设备渊路由器或交换机冤袁作为用户边界渊CustomerEdge袁CE冤设备袁提供TD-SCDMAPS域SGSN和GGSN等设备的接入曰为防止CMNet侧的攻击袁在CE和CMNet之间设置两台防火墙遥CE与防火墙之间以口子型连接遥为方便运营和管理袁TD-SCDMAPS域网络划分为两个VLAN渊虚拟局域网冤袁分别是Gn渊SGSN和GGSN之间的接口冤VLAN和Gi渊GGSN和外部网络的接口冤VLAN袁分别承载Gn接口流量和Gi接口流量遥通过不同的VRF渊VPNRouting／ForwardingIn-stance袁路由转发实例冤袁实现对GnVLAN和GiVLANVLAN的区分遥VRF综合了各站点的VPN成员关系和路由规则袁包含了到达所有与本站点属于同1--图2改造前后CE尧防火墙到CMNet的业务流一个VPN的站点路由信息遥CE提供Multi-VRF功能袁维护多个逻辑上分离的VRF和一个公网路由表袁实现不同接口的路由和数据的隔离袁因此不同VPN的地址空间不会发生冲突遥对应GnVLAN和GiVLAN袁CE主要设置以下2个VRF遥渊1冤GnVRF袁负责接入Gn接口袁并处理Gn接口路由和对应数据转发袁CE通过配置将连接Gn接口的VLAN或物理端口映射到该VRF曰渊2冤GiVRF袁负责接入Gi接口袁并处理Gi接口路由和对应数据转发袁CE通过配置将连接Gi接口的VLAN或物理端口映射到该VRF遥2.2防火墙在TD-SCDMAPS域网络中的作用和策略配置防火墙是指设置在不同网络渊可信赖的内部局域网TD-SCDMAPS域和不可信赖的公共网络CM-Net冤之间的设备袁尽可能地对外部屏蔽内网的信息尧结构和运行状况袁以防止发生不可预测的尧潜在破坏性的入侵袁实现对网络的安全保护遥TD-SCDMAPS域防火墙工作于L3模式袁主备方式遥渊1冤防火墙与CMNet路由器之间配置静态路由袁防火墙通过缺省路由访问CMNet曰渊2冤防火墙之间通过HA线同步session曰渊3冤防火墙与CE之间运行OSPF袁交互内部路由袁防火墙向CE通告缺省路由遥防火墙应配置相关安全策略袁为CE和PS域设备提供保护袁包括Gi接口和Gn接口的不同配置遥渊1冤Gi接口防火墙仅允许三类数据包流入袁包括目的地址在本地用户地址段内曰目的地址为GGSNGi接口地址且源协议端口为53渊DNS冤尧1812/1813渊RADIUS冤曰目的地址为本地WAPGRE路由器隧道端地址遥防火墙仅允许三类数据包流出袁包括源地址在本地用户地址段内曰源地址为GGSNGi接口地址且目的协议端口为53渊DNS冤尧1812/1813渊RADIUS冤曰源地址为本地WAPGRE路由器隧道端地址遥渊2冤Gn接口防火墙允许流入流出数据包的源和目的地址应在中移动CMNet网中所有SGSN尧GGSN尧DNS服务器尧NTP服务器的地址范围内袁同时源和目的协议端口至少一个为2123/2152/3386渊GTP协议端口袁其中GTPV0使用UDP端口号3386袁GTPV1中GTP-C使用UDP端口号2123袁GTP-U使用UDP端口号2152冤尧53渊DNS冤尧123渊NTP冤遥3在TD-SCDMAPS域增加防火墙的优化方案对于TD-SCDMAPS域而言袁网络瓶颈往往发生在最容易忽视的路由设备上袁特别是防火墙遥防火墙的性能指标主要包括吞吐量尧报文转发率尧最大并发连接数尧每秒新建连接数等遥吞吐量和报文转发率是关系防火墙应用的主要指标遥GnVLAN和GiVLAN通过防火墙连接到CM-Net遥由于现网防火墙netscreen500性能较低袁随着用户业务量渊新建连接数和业务流量冤的增加袁使得防火墙的CPU高达80％遥为有效保护设备投资袁经过实际勘察尧周密调研和慎重讨论袁决定增加2台同样型号的库存防火墙遥防火墙的负荷主要由Gn流量和Gi流量两部分引起袁其中Gi流量主要由APN分别为cmnet和cmwap的用户业务产生遥根据目前的业务统计袁Gn流量引起的CPU负荷约为25%袁APN=cmnet的用户为80%袁其余20%主要为APN=cmwap的用户遥假定每用户Gi流量引起CPU负荷相等袁则有APN=cmnet的Gi流量引起的CPU负荷为41％袁APN=cmwap的Gi流量引起的CPU负荷为14％遥鉴于上述分析结果袁如果将APN=cmnet的Gi流量割接到新增的FW3/4上袁其它流量保留在原先FW1/2上袁这样通过合理分流袁可基本实现均衡的负荷分担袁有效降低防火墙CPU负荷遥新增防火墙前后CE尧防火墙和CM-Net的业务流实现如图2所示遥张心同等院TD-SCDMAPS域防火墙优化方案及实施第2期22--3.1优化前方案及分析改造前袁所有流量在CE1/2以默认路由指向FW1/2袁所以调整的主要问题在于如何路由实现APN=cmnet的Gi流量通过新增FW3/4转发袁可选方案有两个遥渊1冤在CE1/2上使用源地址策略路由袁将源地址为APN=cmnet的Gi流量指到新增FW3/4袁其它流量的默认路由仍然指向FW1/2曰渊2冤在CE1/2上只使用目的地址路由袁将APN=cmwap的Gi流量和Gn流量的目的地址路由指向FW1/2袁其它流量的默认路由指向新增FW3/4遥依次对上述两个可选方案进行了割接和验证袁但都没有达到预期目的遥渊1冤对于方案1袁在CE上的关键配置是院1冤在CE上运行命令sdmpreferrouting袁打开策略路由功能遥2冤设置策略路由袁将源地址为10.80.0.0/17的APN=cmnet的Gi流量路由到FW3/4的内口地址10.0.33.4遥access-list1permit10.80.0.00.0.127.255route-maplab1permit10Matchipaddress1setipnext-hop10.0.33.43冤将上述策略路由加到CE相应接口上遥interfaceGigabitEthernet1/0/15Ippolicyroute-maplab1但是在执行第3冤步的时候出现了错误袁提示需要先将该接口上的VRF配置去掉袁而去掉VRF增加策略路由后袁提示无法创建VRF遥也就是说袁现网CE渊Cisco3750冤