FEMTO核心网关技术组网方案模板文档格式.docx

FEMTO核心网关技术组网方案模板文档格式.docx

《FEMTO核心网关技术组网方案模板文档格式.docx》由会员分享，可在线阅读，更多相关《FEMTO核心网关技术组网方案模板文档格式.docx（11页珍藏版）》请在冰豆网上搜索。

FEMTO基站从宽带网（电信、联通或其它宽带运营商网络）接入。

此时,WLAN只能是胖模式或者无线路由的应用方式。

Ø

WLAN系统:

主备AC均安装于纬五路二号楼四层机房,经过千兆光口连接至WLAN接入交换机S9306,进而经过移动自有城域网系统连接至京信企业级FEMTO远端。

TD系统:

TD核心网关安装于黄山路二号楼二层东侧机房。

PS域:

经过千兆光口连接至黄山路二号楼四层西侧CS域CE15、CE16;

CS域:

经过千兆电口连接至黄山路二号楼二层PS域CE53、CE54;

Iu-h口:

经过千兆光接口连接至黄山路二号楼二层东侧防火墙（新建）,并经过CMNET接入交换机S9306接入CMNET,进而经过Internet、移动自有城域网连接至FEMTO基站。

GSM系统:

GSM核心网关安装于黄山路二号楼二层东侧机房。

A接口:

经过千兆以太网口连接至黄山路二号楼二层PS域CE53、CE54;

经过千兆光口连接至黄山路二号楼二层东侧防火墙（新建）,并经过CMNET接入交换机S9306接入CMNET,进而经过Internet、移动自有城域网连接至FEMTO基站。

网管系统:

WLAN系统接入移动现有网管系统,TD/GSM系统网管由京信公司负责新建。

网管机柜安装于黄山路二号楼二层东侧机房,经过百兆以太网口连接至TD/GSMFEMTO核心机柜。

第二节物理需求

1设备安装空间需求

本次工程共新增直流机柜3个,交流机柜1个。

详情如下:

机柜规格如下:

直流机柜:

2200（高）*600（宽）*800（深）mm

交流机柜:

2200（高）*600（宽）*950（深）mm

机柜安装位置:

直流机柜1:

主要用于安装AC设备,拟安装在纬五路4层机房。

直流机柜2:

主要用于安装TD网关,拟安装在黄山路2号楼2层机房东侧。

直流机柜3:

主要用于安装GSM网关,拟安装在黄山路2号楼2层机房东侧。

主要用于安装网管服务器、交换机等设备,拟安装在黄山路2号楼东侧机房。

2机房接入电源需求

各机柜电源需求如下表:

机柜

端子需求

机柜设备功耗（W）

交/直流

局址

直流机柜1（主备AC）

主备2路共2个100A端子

600

直流

纬五路4层机房

直流机柜2（TD网关）

1700

黄山路2号楼2层机房

直流机柜3（GSM网关）

交流机柜

主备2路共2个35A端子

3800

交流

3传输资源接口说明

序号

地市

局止

起点

终点

电路类型

新增数量（条）

1

合肥

纬五路机房

4层主AC

4层S9306

GE光口

2

4层备AC

3

黄山路2号楼机房

2层TD网关

2层CS域CE53

GE电口

4

2层CS域CE54

5

4层PS域CE15

6

4层PS域CE16

7

4层CMNET交换机

8

2层GSM网关

9

10

11

12

3.1TD网关物理接口说明

●TD网关与M网关之间接口（IU-CS接口）

TDFemto网关使用以太网接口连接到CS承载CE与MGW互通。

端口类型:

千兆电口

端口数量:

1个

●TD网关与SGSN之间接口（IU-PS接口）

TDFemto网关使用以太网接口到SGSN用户面CE与SGSN互通。

千兆光接口

●TDFemto网关与城域网之间接口（Iu-h接口）

TDFemto网关使用以太网接口连接城域网交换机。

3.2GSM网关物理接口说明

●GSM网关与MGW之间接口（A接口）

GSMFemto网关IP化接口接口与MGW互通。

1个。

●GSM网关与SGSN之间接口（Gb接口）

GSMFemto网关使用以太网接口到Gb与SGSN互通。

●GSMFemto网关与城域网之间接口（Iu-h接口）

GSMFemto网关使用以太网接口连接CMNET交换机。

3.3AC物理接口说明

京信WLANAC使用光口连接交换机光口,主备AC使用光口对接。

4个

第三节业务流程

1.企业级基站数据通路分析

图2企业级基站示意图

企业级基站包含两个模块:

TD/GSM、WLAN。

两个模板经过内置的路由器作为数据的唯一通路。

即设备对外的WAN口只有一个IP,TD/GSM业务和WLAN业务都是经过内置路由器转发,为了保证实时性要求更高的FEMTO业务的QoS,在内置路由器上实现了业务优先、带宽比例分配和智能限速功能,能够保证FEMTO业务的优先传输。

系统示意图如图2所示。

FEMTO基站提供两个无线接口,一个用于TD/GSM用户经过该设备使用移动通信网络,另一个用于WLAN用户经过该设备使用WLAN网络。

FEMTO基站提供一个有线接口,用于设备连接TD/GSM网关设备及WLANAC设备,并作为TD/GSM及WLAN用户的上联数据通道。

根据移动现有驻地网络的组网模式不同,能够分为WLAN网络和宽带网,两种不同组网模式下的业务流程如下:

1.1基于WLAN网模式下的业务流程

主要流程如下:

1）企业级基站启动时,向外广播DHCP请求,经过DHCP中继将广播转为单播,指向AC,这时AC就会给企业级基站分配一个私网IP。

2）企业级基站利用获取的IP与AC建立CAPWAP隧道,由AC对企业级基站的WLAN配置进行管理,并给企业级基站下发WLAN模板,完成WLAN覆盖。

3）同时企业级基站利用此IP给网关发送IPSec隧道建立请求（目的地址为网关地址的单播请求）,请求抵达BRAS后,由BRAS免认证路由请求至网关,因企业级基站使用私网IP发送请求,固需在上层设备BRAS或防火墙上提供NAT功能,将私网地址装换为公网地址,经过CMNET抵达网关,网关收到请求后回复企业级基站请求,建立IPSec隧道。

隧道建立后,企业级基站经过HMS获取配置,提供TD移动接入服务。

为保障安全,可在BRAS上配置ACL规则,使企业级基站仅能访问TD网关等特定IP。

4）用户接入WLAN业务时,企业级基站对用户数据进行CAPWAP封装,业务数据走CAPWAP隧道抵达AC,完成认证接入互联网过程;

用户接入TD业务时,企业级基站会对用户数据进行进行IPSec封装,业务数据走IPSec隧道抵达网关,完成TD业务接入过程。

5）在建立隧道过程,接入交换机会给WLAN管理数据及TD管理数据标记同一VLAN,VLAN将终止在BRAS上。

整个过程,企业级基站不会对TD数据进行CAPWAP封装,同时不会对WLAN数据进行IPSec封装,即TD数据与WLAN数据为两路独立的数据。

1.2基于宽带网模式下的业务流程

主要流程如下（此模式下,至少需满足4M以上带宽）:

1）企业级基站启动时,向外发送地址请求,此时本地DHCP服务器将回复该请求,给企业级基站分配IP地址。

2）利用此IP,在本地DHCP服务器上配置一option43字段,指向AC,使企业级基站在寻找AC阶段能找到AC,建立CAPWAP隧道,完成WLAN覆盖。

3）同时企业级基站利用此IP给网关发送IPSec隧道建立请求（目的地址为网关地址的单播请求）,如该IP为私网IP,则需在上层设备添加NAT功能。

4）整个过程,接入交换机会给WLAN管理数据及TD管理数据标记同一VLAN,VLAN将终止在企业级基站网关上。

两路数据相互独立,各自封装其业务数据,其它数据走向,同WLAN网。

2．家庭级基站数据通路分析

家庭级基站具备TD+WIFI无线路由器功能。

当前家庭级基站不支持WLAN功能,在具备互联网接入且满足带宽要求（至少满足2M带宽）的场所均能满足开通要求,根据不同运营商网络分为移动宽带网和其它运营商宽带网模式,两种模式下的业务流程如下:

2.1移动宽带网

家庭网关具备PPoE自动拨号功能,部署时配置账号密码,上电后自动拨号,将从本地DHCP服务器获取IP,利用该IP,家庭网关与网关建立IPSec隧道,启动TD信号覆盖。

同时可提供WIFI无线路由器功能。

2.2其它运营商宽带网

对于家庭网关而言,与接入移动宽带网方式一样。

第四节系统安全措施

1.系统安全设计原则

1）多重保护原则:

多条安全防线,互相独立,能独自有效地保护关键网元。

即使一条防线被攻破,剩余的安全防线也有效保护网元。

2）最小授权原则:

操作维护或网元进程,只给予保证正常功能的最小权限和最小资源。

3）灵活配置原则:

当发现安全威协时,经过ACL、包过滤等技术,中断危险连接。

2.系统安全架构

双重防护,确保系统接入网络安全。

1）网络安全:

系统网关与CMNET之间配置防火墙,采用NAT和访问控制列表等技术防范网络攻击。

只开放业务所需的UDP500/4500端口,其它网络流量都阻止。

对于业务端口数据进行协议匹配。

同时,AC可添加防火墙或ACL,限制特定用户访问AC。

2）业务安全:

采用EAP-AKA、证书认证方式保证合法设备才能接入系统网关;

采用IPSec对业务、信令和OAM数据进行加密;

经过位置接入限制功能,限制用户在非法地址接入;

对不符合FEMTO系统协议的数据屏蔽,有效保证业务正常进行。

对于WLAN业务,启用防DOS攻击,御防非法用户接入