全方位容灾备份 构建安全核心网

傅立杰

【摘 要】核心网形成了以软交换端局（关口局）为核心的全IP话务汇接核心网组网模式。TDM端局核心过渡到以IP软交换端局为核心，由3级垂直化网络过渡到IP扁平化网络。采用全方位容灾备份的手段来加强核心网的安全性、抗风险性是非常有必要的。

【关键词】全方位；容灾；IP；核心网

0.概述

核心网完成了包括所有软交换端局和软交换关口局的IP化改造工作，形成了以软交换端局（关口局）为核心的全IP话务汇接核心网组网模式。改造完成后，IP软交换核心网在话务承载能力、用户容量、业务开发推广效率等多方面都比TDM交换核心网有了显著的提高。此时，如何构建安全核心网，原有的维护手段能否适用新型网络等，都是亟需讨论的问题。以下将从网络、设备、业务数据、运维管理、周边配套、其他辅助手段等多方面进行探讨，通过全方位容灾备份构建安全核心网。

核心网在完成IP软交换改造后，网络结构有了明显变化，由TDM端局核心过渡到以IP软交换端局为核心，由3级垂直化网络过渡到IP扁平化网络。

核心网（本地网部分）主要由IP化软交换端局、IP化软交换关口局以及支持TD-SCDMA和2G业务的HLR和IP承载网接入CE组成，设计用户总容量达到1000万。软交换端局设备通过100Mbit/s网线和GE光纤与IP承载网CE进行分组对接，完成信令流和媒体流承载，HLR设备仍采用TDM承载方式完成No.7信令交互。

面对如此庞大的用户量，安全运行成为核心网维护工作的重中之重，所以采用全方位容灾备份的手段来加强核心网的安全性、抗风险性是非常有必要的。

1.网络层面安全

核心网完成IP软交换改造后，信令网层面保持原No.7信令网组网方式。话务网层面各个软交换端局依托IP承载网的双平面双路由连接方式实现话务网层面的负荷分担。

1.1信令网组网安全

核心网所有HLR与端局（关口局）等网络的信令连接保持网状网连接方式不变，直达链路作为第一信令路由，到L局的迂回路由作为备份信令路由，确保了在C/D接口上传输信令业务的可靠性。端局（关口局）替换为软交换设备后，支持2Mbit/s信令连接方式，增加信令通道带宽，保证高信令负荷下业务的正常疏通，为今后TD-SCDMA大量新业务的开展奠定了基础。

1.2话务网组网安全

核心网所有软交换端局（关口局）话务均通过分组方式接入IP承载网进行疏通，遵循“就近入IP，就远出IP”的话务疏通原则，并依托IP承载网的双平面双路由连接方式实现话务层面的负荷分担，确保话务的安全可靠性。

2.设备层面安全

设备层面安全从设备硬件结构、设备容灾等方面来实现。传统的设备层面容灾备份方式已经成熟应用，但IP软交换核心网由于还处于初期改造建网阶段，整体的软交换设备容灾方式仍在不断改进完善中。

2.1信令网设备安全

2.1.1设备硬件结构

所有HLR均采用NOKIA HLR，所有单板和重要模块均采用1+1或N+1的方式实现备份，确保设备单板或模块的安全运行。

2.1.2设备容灾

所有HLR引入N+X（现网X=1）容灾备份方式，采用NOKIA提供的HLR褚动态数据备份。当设备整体发生故障时，容灾HLR实时提取并创建用户的所有信息，达到网络无缝切换的效果，用户业务安全使用，不受影响。

2.2话务网设备安全

2.2.1设备硬件结构

所有软交换端局（关口局）均采用华为的G9MSC，所有单板和重要模块均采用1+1或负荷分担的方式实现备份，确保设备单板或模块的安全运行。

2.2.2设备容灾

软交换端局采用了控制与承载分离理念，整体设备分为Server和MGW两大部分，组网更灵活，这比传统2G交换机在设备容灾方面更有优势，方式更加多样化。1+1、N+1多归属、MSC POOL等方式均可完成MSC级的容灾，而且实现方式多样化，可以基于传统的A接口，也可以基于软交换特有的MC接口完成容灾。核心网采用华为软交换设备，其MGW支持代理A-Flex功能组网，与RNC/BSC实现Iu/A-Flex功能混合组网，能够在TD-SCDMA与2G融合组网情况下，达到MSC POOL资源共享的目的，避免了分别建立容灾体系所带来的繁重工程和维护工作量。

目前，软交换端局的Server和MGW配置是一一对应，没有在设备容灾方面进行部署，而正在进行的现网BSC替换为华为BSC工作，将为后期的MSC POOL部署和TD-SCDMA与2G网络全面融合做好准备，为全网软交换设备容灾打下坚实基础。现阶段在设备和中继资源充足的情况下，可以采用备用中继路由和SDH等设备结合的方式完成BSC挂接的容灾工作。

3.业务数据层面安全

核心网规模庞大，全网产生的业务数据数量巨大，包括系统、话单文件等数据接近3TB。这些重要数据存储在BAM、应急工作站、IGWB上，对系统压力非常大，并且没有安全备份措施，一旦发生丢失或错误，将对公司或客户造成无法弥补的损失，做好业务数据备份对网络安全有着重要意义。

3.1系统数据安全

核心网针对软交换端局没有外置存储媒介的情况，结合设备分布和维护规程的本地异地双备份要求，建立了一套交换端局的数据容灾备份系统。

该系统根据核心网软交换端局集中分布情况，分别在局址各安装了一套备份服务器。备份服务器采用FTP服务，通过本地LAN与所在局址下软交换端局的应急工作站相连，每周定时获取系统备份。这样避免了备份服务器与BAM直接连接而可能造成的安全风险，确保BAM的正常运行。在备份服务器完成本局址的备份后，两台服务器通过局址间的LAN进行数据同步（保存两套全量的系统数据备份），这样可以避免交换机和备份服务器之间的多次数据交互，减少占用局址间LAN时间和资源，提高系统使用效率，保证备份系统对端局保持零风险运行。

采用该备份系统后，不仅可以满足维护规程的要求，还将原来人工操作部分转为自动运行，解放了人力，提高了效率，满足系统数据备份的安全性和准确性要求。

3.2计费数据安全

核心网仍在继续使用话单备份服务器，该服务器支持华为软交换端局话单备份，成为BOSS计费数据备份之外的一个安全有效补充。

4.周边配套层面安全

4.1电源供电安全

交换核心网主设备保持着原有的双电源、备用电池、油机发电等多种安全供电措施，但对于IP软交换核心网的CE设备节点设置方式，仅使用以上安全措施是不够的。由于CE设备都是成对配置，部分成对CE放置在同一地点，由同一套电源设备供电，这样产生了单点供电隐患。针对这种情况，核心网进行了专项整改，完成了所有CE设备的供电双路由改造，使每对CE设备均有2套不同电源设备供电。

4.2传输路由安全

IP软交换核心网对信令网TDM局间中继部分进行传输双路由改造。改造完成后，即便单方向传输发生主干全阻情况，也不会导致信令网业务全阻。

4.3 IT设备安全

IP软交换核心网完成改造后引入了大量的IT设备，如二/三层交换机、服务器等，这加重了核心网安全运行的难度。硬件的容灾备份、软件层面的防护、防火墙的配置和冗余、防范网络风暴和病毒的攻击、观测网络流量和负载等方面都需要加强部署。同时关于IT设备的路由优化、全量数据备份等工作项目也需要不断完善。

5.结束语

核心网通过全方位容灾备份，将安全风险降到最低，随着IP软交换核心网改造工作的不断推进，MSC POOL、MSC多归属、全信令网IP化、A接口IP化、IMS等技术成熟应用到现网，IT信息化将不断渗透并彻底改变传统交换网络，这将为网络带来新的活力。