• 文章搜索:
  • IP技术专栏

        • 分享到...

        • 新浪微博
        • 腾讯微博
        • 推荐到豆瓣 豆瓣空间
        • 分享到搜狐微博 搜狐微博
        • 分享到QQ空间 QQ空间
        • 分享到腾讯朋友 腾讯朋友
        • 网易微博分享 网易微博
        • 添加到百度搜藏 百度搜藏
        • 转贴到开心网 开心网
        • 转发好友 告诉聊友
    • 推荐
    • 打印
    • 收藏

    移动LTE出口解决方案之防火墙设计

    文/刘臣平

    移动LTE背景介绍

    LTE(Long Term Evolution,长期演进)是3G的演进,被视为3G到4G演进的主要技术。LTE并非人们普遍误解的4G技术,而是3G与4G技术的一个过渡,是3.9G的全球标准。它改进并增强了3G的空中接入技术,采用OFDM和MIMO作为其无线网络演进的唯一标准。在20MHz的频谱带宽下能提供下行100Mbps和上行50Mbps峰值速率。

    中国移动TD-LTE核心网局点目前承载基本只有分组域业务,电路域业务依旧由原2G/TD网络承载。

    LTE拟承载业务包括:

    Ø 中高速承类载数据业务;

    Ø 现网PS域业务:WAP、无线游戏、音乐下载等;

    Ø TD-LTE高宽带演示业务:即摄即传、标清视频监控等。

    移动LTE流量模型介绍

    中国移动TD-LTE核心网中流量主要分为Gn和Gi两种。对于两种流量一般分别设置两组防火墙分别承载接入CMNET出口路由器。

    其中,Gn流量主要为本地SGSN访问其他局点SGSN流量,用于请求漫游客户终端注册信息,由Gn防火墙做NAT后经CMNET至其他局点。

    Gi流量主要分为两个部分,一部分为直接访问CMNET的流量,一部分为访问LTE业务的流量,两种流量通过手机终端的APN接入点不同,分别分配不同地址池的私网地址。

    访问CMNET流量在Gi防火墙上做NAT后访问CMNET,访问LTE流量在GGSN上封装入GRE隧道,Gi防火墙直接转发,通过CMNET至LTEGRE路由器上解封装后访问WAP业务服务器。

    在TD-LTE网络中,基本流量走向有两种,本地用户和漫游用户。

    本地用户上网流量由终端至eNodeB(LTE无线基站)经PTN网络至SGSN,通过Gn链路到达GGSN,在GGSN上分为WAP流量和CMNET流量,WAP流量封装GRE隧道经防火墙、CMNET至LTE系统经过解封装至WAP服务器。CMNET流量由防火墙做NAT访问CMNET。

    漫游用户上网流量在SGSN之前与本地用户一样,但由于本地SGSN没有漫游用户终端注册信息,需要通过Gn链路经Gn防火墙、CMNET访问其他局点SGSN请求此漫游用户的终端注册信息,当本地SGSN收到漫游用户终端注册信息后,上网流量在到达GGSN,后续访问过程则与本地用户一致。

    Gi防火墙与Gn防火墙相比,Gi由于主要是访问CMNET,域间策略相对简单但业务量较大;Gn防火墙需要放通对于其他局点包括国际局点Gn地址,策略较为复杂,在几千条数量级,但业务量相对Gi防火墙较少。

    LTE出口防火墙设计

    H3C公司提供的防火墙方案,采用vrrp技术,实现双机框高可靠性的部署。同时采用NAT业务单板插卡的方式,实现整机容量的灵活扩容。

    因整机容量和商务的不同,目前可以选择的机框有S75E、S95E,以95E为主;目前可以选择的NAT业务插卡有Secblade II、SecbladeIII板卡。

    防火墙采用串接方式接入CMNET,下联核心网网交换机。

    1、 防火墙与上下行设备物理互联设计

    H3C防火墙(Gi和Gn)都是通过VRRP与上下行设备互联,互相启用VRRP,一般情况下,防火墙不提供二层链路,需要上下行设备提供中间二层互联链路,为H3C防火墙提供VRRP心跳线;

    2、 Gi防火墙VPN设计

    由于进出防火墙流量都需要经过交换机机框,所以需要对于内外网流量做隔离,需要配置VPN完成路由隔离功能,需要配置trust和untrust两个VPN即可。

    3、 LTE防火墙冗余设计

    Gi防火墙交换机机框上的防火墙插卡成对使用,每一对防火墙插卡分别插在主框和备框的对应槽位上,采用主备模式,正常情况下只有一块防火墙卡在工作状态;

    每一对防火墙插卡进行配置同步,正常情况进行防火墙策略维护时,仅需维护主防火墙就可以,备用防火墙配置会自动与主防火墙同步。

    每一对防火墙插卡还需进行会话状态同步,在主防火墙故障情况下,备用防火墙替代主用防火墙后不需要重新建立会话。直接依据同步过来的会话进行数据报文转发。

    Gn防火墙用F5000的话启用双机热备、会话同步,连好会话配置同步的链路即可。用交换机加插卡方案要求与Gi防火墙相同。

    4、 LTE防火墙与CE路由设计

    LTE防火墙与CE之间互联启用VRRP,路由互相用静态路由将下一跳设为对方VRRP虚地址,H3C防火墙可配合CE启用BFD联动静态路由,加快CE侧路由倒换速度。

    5、 NAT设计

    LTE防火墙NAT不需NAT444,只需普通NAT即可,需要注意的是主备机框上的防火墙板卡为1:1备份,NAT地址池配置除level有区别之外,其他完全一致;

    ALG功能:根据现网应用,此种环境下ALG仅需要开启FTP ALG、RTSP ALG和PPTP ALG,其它ALG功能关闭。

    顶端