4G核心網數通設備規劃方法的探討

蟻靜緘，王計艷，董 勛

（1.中國移動通信集團設計院有限公司廣東分公司 廣州510623；

2.中國移動通信集團設計院有限公司 北京100080）

1 EPC/GPRS 融合核心網的組網結構

中國移動GPRS 設備通過省網路由器接入中國移動互聯網（CMNET）。以某省的EPC/GPRS 核心網組網結構為例，全省分為八大區域中心，各區域中心的核心網設備以局址為單位組LAN（局域網），每個LAN 均包括SGSN、GGSN、PCRF、CG 等核心網設備以及業務路由器、防火墻、計費網管交換機等數通設備。

如圖1 所示，每個LAN 均設有以下幾部分。

①一對Gi 防火墻，每個LAN 單獨設置，局域網各個LAN 通過Gi 防火墻連接至CMNET，疏通Gi接口業務流。

②一對CE 業務路由器，用于核心設備和組網設備的互連。

圖1 LAN 內組網

③Gn 防火墻可多個LAN 共用，因此LAN 內可設置一對Gn 防火墻或者不設置防火墻。如果LAN內不設置Gn 防火墻，則通過業務路由器與其他LAN 實現LAN 間互連，用以疏通Gn 接口的業務流，如圖2 所示。通過LAN 間互連的方式，能夠減少LAN 間Gn 流量對Gn 防火墻以及CMNET的承載壓力。

圖2 LAN 間組網

④一對計費網管交換機，局域網每個LAN 通過計費網管交換機上聯到BOSS，疏通計費信息。

⑤根據需求，可在連接網管之前增加網管防火墻（比如在同一個機樓設置一對網管防火墻），用以進行網管的安全隔離。

可以看到，在EPC LAN 中的主要數通設備有Gi/Gn 防火墻、CE 業務路由器、計費網管交換機。本文重點歸納總結了EPC/GPRS 網絡中的Gi/Gn 防火墻、業務路由器以及計費網管交換機的規劃配置方法，針對未來可能存在的瓶頸提出部署建議，并進一步探討數通設備未來的演進方向。

2 EPC 網絡中數通設備的規劃方法

2.1 Gi/Gn 防火墻的規劃配置方法

防火墻可以使LAN 與Internet 之間或者與其他外部網絡互相隔離、限制網絡互訪，從而保護內部網絡。在EPC/GRPS 中，LAN 內的Gi 防火墻單獨設置，各個LAN 通過Gi 防火墻連接至CMNET，疏通Gi 接口業務流；局域網內多個LAN 可共用一對Gn 防火墻，并通過LAN 間Gn 互連，疏通Gn 接口業務。

在配置防火墻時，需要考慮以下重要性能指標。

①并發連接數：防火墻同時能夠維持的會話連接總數。

②吞吐量：在沒有幀丟失的情況下，設備能夠接收的最大速率。

③端口數量：防火墻的對外接口數（GE 或10 GE），通過在業務插槽中插板來實現。

表1 為現網幾款常用防火墻的性能情況。

如何計算一個LAN 內的防火墻流量并確定選型需求？ 首先，需要計算各個接口的流量，從而確定防火墻所需要配置的吞吐量及端口數需求；然后計算防火墻的最大并發會話數；最后綜合各項主要參數對防火墻進行選型。

假設一個LAN 內有兩臺SGSN/MME（記為MME1和MME2，其中，單臺2G/3G 容量為100 萬，4G 容量為50 萬）、兩臺GGSN/SAE-GW（分別為GW1 和GW2，其中單臺2G/3G 容量為50 萬，4G 容量為50 萬）。設定標準LAN 模型參數見表2。

表1 現網幾款常用防火墻的性能情況

表2 現網標準LAN 模型

Gi/SGi（Gbit/s）=2G/3G 用戶容量×2G/3G 并發用戶的平均單向最大流量+4G 流量×4G 并發用戶的平均單向最大流量；S5/S8（Gbit/s）= 4G 用戶容量×忙時每承載吞吐速率×省內漫游比例×其中跨區域漫游占比；Gn/S5/S8（Gbit/s）= 2G/3G/4G 用戶容量×Gn并發單用戶帶寬+ S5/S8（Gbit/s）。

那么，計算得到GW1、GW2的單臺設備Gi/SGi流量為16.21 Gbit/s，S5/S8 口流量為0.86 Gbit/s，Gi防火墻上的流量為Gi/SGi_GW1+Gi/SGi_GW2=16.21+16.21=32.42 Gbit/s，因此Gi 防火墻的吞吐量需求為40 GE；對于端口需求，下聯路由器需要4×10 GE，上聯CMNET 需要4×10 GE，LAN 一對Gi 防火墻互連需要2×10 GE（由于不同廠家的互連機制不同，互連的端口需結合實際配置情況），同時考慮2×10 GE個端口冗余。因此，單臺Gi 防火墻需要配置40 GE的吞吐量、至少12個10 GE 端口。

在上述假定模型的基礎上，設定4G的CMNET占比為95%、2G/3G的CMNET 占比為90%，每CMNET PDP 2G/3G 會話數為5，4G 會話數為15。那么，并發會話數=2G/3G 激活PDP×2G/3G CMNET占比×2G/3G 每CMNET PDP的會話數+4G 承載數×4G CMNET 占比×4G 每CMNET PDP的會話數，計算得到每臺防火墻所需并發會話數為1 875 萬。

LAN 內Gn 防火墻上的流量為Gn_GW=2G/3G/4G 容量×Gn 并發單用戶帶寬×0.1+ S5/S8（Gbit/s）=2.56 Gbit/s，那么路由器上連Gn 防火墻的接口數量為3×10 GE 或1×10 GE。目前Gn 接口基本采用10 GE，LAN 內防火墻互連的接口類型由數通設備廠家建議。隨著2G/3G 用戶向LTE 遷移，Gn 防火墻重點滿足初期2G/3G 用戶的Gn 流量和4G 用戶的S5/S8流量。實際部署中，按照區域集中部署方式（每區域2G/3G 用戶1700 萬PDP+4G 用戶1200 萬承載），每對Gn 防火墻需疏通170 萬PDP的Gn 流量和66萬承載的S5/S8 流量，吞吐量＞25 Gbit/s（Gn/S5/S8 接口采用GTP 隧道協議，并發會話數較少）。

2.2 CE 業務路由器的規劃配置方法

核心網EPC LAN 內的CE 業務路由器作為“中間節點路由器”，用于連接不同網絡，起到了數據轉發的橋梁作用。

路由器一般分為高、中、低檔路由器，通常將吞吐量大于40 Gbit/s的路由器稱為高檔路由器，吞吐量在25～40 Gbit/s的路由器稱為中檔路由器，低于25 Gbit/s的為低檔路由器。根據當前的業務量及發展需求，EPC LAN 中建議采用高檔路由器。在規劃選用CE 時，主要考慮以下性能指標：設備端口容量、端口類型、接口密度、背板能力、轉發能力（交換能力）。表3 為現網幾款常用CE 業務路由器的性能情況。

表3 現網幾款常用CE 業務路由器的性能情況

CE 路由器是EPC 網絡中的重要設備，如何計算一個LAN 內業務路由器的吞吐量需求、端口的需求數及選型是規劃中的重要步驟。同樣，采用上述的LAN 模型中，Gn=2G/3G 并發用戶的平均單向最大流量×2G/3G 激活比；SGi（Gbit/s）=4G 用戶容量×4G 并發用戶的平均單向最大流量。通過計算得到Gn_MME1=Gn_MME2=3.6 Gbit/s。如果SGSN的Gn/Gp 接口采用的是10 GE 接口，那么路由器下聯SGSN 需要2×10 GE；如果路由器下聯SGSN的Gn/Gp 接口采用的是GE 接口，那么下聯SGSN 需要（4+4）×10 GE。

通過計算得到Gn/S5/S8_GW1=Gn/S5/S8_GW2=4.67 Gbit/s，因此路由器連接每臺GGSN/SAE-GW的Gn/S5/S8（Gbit/s）接口需要采用一個10 GE。

通過計算得到Gi/SGi（Gbit/s）_GW1=Gi/SGi（Gbit/s）_GW2=16.21 Gbit/s，那么路由器與每臺SAE-GW的SGi 口數量需要2×10 GE 接口，因此共需要（2+2）×10 GE。

單臺路由器上聯單臺Gi 防火墻需要4×10 GE，上聯單臺Gn 防火墻需要2×10 GE。

另外，LAN 內兩臺路由器之間的互連需要考慮LAN 間Gn 互連的流量及LAN 內流量，來確定互連所需的10 GE 數量。如果LAN 內流量較大，一般考慮用LAN 內1/4的流量所需要的端口數量來取定；LAN 內流量較小時，可采用2×10 GE 進行LAN 內路由器互連，同時也需要考慮配置一定的冗余端口。

根據上文計算，Gi/Gn 防火墻、CE 路由器的端口需求如圖3 所示。

2.3 計費網管交換機

核心網設備通過各個LAN的計費網管交換機連接到所在機房的網管接入設備，接入本地網管系統連接至網管中心。計費交換機的主要性能參數如下。

①端口容量：交換機在不發生分組丟失的情況下，所能夠達到的最大數據吞吐量。

②交換機的端口速率：每秒通過的比特數。

③端口數：交換機的對外接口數，通常通過在業務插槽中插板來實現，具體的端口板卡為通用的板卡。

④分組轉發率：交換機轉發數據分組能力的大小。

表4 為現網幾款常用計費網管交換機的性能情況。

表4 現網幾款常用計費網管交換機的性能情況

交換機一般不會成為組網瓶頸，其與LAN 內設備連接的需求統計如下。

①PCRF：單臺一個GE，共PCRF 數量×GE；

②SGSN/MME：單臺一個GE，共需LAN 內SGSN 數量×GE；

③GGSN/SAE-GW：單臺一個GE，共需LAN 內GGSN 數量×GE；

④CG：單臺一個GE，共需LAN 內CG 數量×GE；

圖3 防火墻及路由器端口需求

⑤CE 路由器：單臺一個GE，共2×GE；

⑥Gi 防火墻:單臺一個GE，共2×GE；

⑦Gn 防火墻：單臺一個GE，共2×GE 或0個；

⑧LAN 內的一對網管交換機之間互連，共2×GE。

因此，配置計費網管交換機的端口數量需要結合LAN 內網元的數量計算考慮。由于當前EPC LAN 模型大小，一般需要交換機能提供48～96個GE 接口。

3 面臨的挑戰及部署建議

3.1 面臨的挑戰

（1）帶寬

隨著互聯網流量的快速增長和傳統網絡的遷移，移動網絡將需要承載多應用、多業務，也面臨著帶寬瓶頸、高可靠要求、面向未來演進等問題，需要滿足大容量設備、資源協同共享、全面向IPv6 邁進、網絡架構扁平化的要求。云和端的變化推動著網絡變革，云將帶來交互性流量的爆發性增長，流量更加集中對超大容量節點的需求，海量信息的并行處理需要高網絡帶寬的支持。另外，智能終端的普及要求更快的會話數連接需求，也就是說，智能終端將帶來大量即時在網用戶，需要設備提供海量的并發連接能力。

（2）安全威脅

隨著業務的發展，移動互聯網將面臨著巨大的安全威脅。例如，終端平臺的標準化為攻擊工具的傳播帶來便利；IP 化導致數據傳輸安全威脅增加，接入點眾多，數據被竊取篡改成為可能；移動網絡數據傳輸存在偽造GTP的風險，大量GTP 隧道嚴重消耗核心網資源；SCTP 作為新報文傳輸協議，存在產生信令風暴的風險；多業務的DDoS 以及應用層攻擊日益增多；由于流量增長，對安全網關性能形成挑戰，DDoS 及應用層攻擊頻發。

因此，如何防護威脅是4G 核心網規劃中需要考慮的重點。

3.2 部署建議

（1）帶寬部署

高密度的10 GE 接入、網絡側的40 GE/100 GE互連是云計算網絡未來10年的演進方向，當前設備要求具有GE、10 GE、40 GE、100 GE 接口的平滑演進能力。

（2）安全部署

當前應對移動互聯網絡的安全威脅，可以采用以下防護措施。

● 移動數據回傳安全：可以通過IPSec VPN 保護報文完整性和私密性、PKI 提供證書認證、DDoS 防護保護核心網設備及資源。

● GTP 安全：可以通過畸形報文過濾、流量限速、GTP 隧道限制、接入控制、源地址檢查等方式進行防護。

● SCTP 安全：通過會話建立、訪問控制、流量控制實現SCTP 安全防護。

● 網管系統安全：通過安全域隔離、訪問控制策略、DDoS 防護、IPS、AV 等方式進行安全防護。

● SGi 安全防護：通過DDoS 防護、大規模NAT、應用層流量控制支持IPv6 過渡演進。

在EPC 網絡中，涉及安全問題的網元主要包括防火墻、路由器及SGSN/MME、GGSN/SAE-GW。對于防火墻安全協議的部署建議如下。

①防火墻配置NAT 地址轉換，使得網元側使用的私網地址轉換成防火墻公網地址與CMNET 互通。

②防火墻將連接CR的端口加入Untrust 區域，將連接CE的端口加入Trust 區域，同時配置區域間安全策略，通過訪問控制列表ACL 保護GPRS 內網設備的安全。

③防火墻使用多條GE 鏈路捆綁進行互連，使得防火墻設備之間同步回話表。兩臺防火墻保持熱備的狀態。

④防火墻開啟防攻擊策略，防止外網的攻擊。

⑤防火墻上下行口綁定在同一關聯組，當其中一個端口狀態為DOWN，另外一個端口也變為DOWN，使得流量順利切換。

對于CE 路由器及SGSN/GGSN 安全協議部署如下。

①CE 路由器需要配置兩個VPN 實例，隔離Gn、Gi 業務，將CE 連接GGSN/SGSN的端口根據流量類型分別綁定到對應的VPN 實例。同時將CE 連接Gn、Gi 防火墻的端口也分別綁定到對應的VPN 實例。

②SGSN/GGSN 網元需要配置兩個VPN 實例，隔離Gn、Gi 業務，根據物理端口承載的流量類型綁定對應的VPN 實例。

4 數通設備的演進方向

隨著網絡建設的不斷發展，設備虛擬化能夠進一步提高網絡的可靠性并降低成本，是未來的發展趨勢。對于基礎網絡來說，通過將多個物理網絡設備整合成一臺邏輯設備，簡化網絡架構，屬于N∶1 整合型虛擬化。未來的規劃部署中，通過在EPC/GPRS網絡中引進IRF 技術，使網絡數通設備虛擬化，能夠提高EPC/GPRS 網絡中設備的可維護性、可靠性、可用性、可擴展性等。

（1）CE 路由器虛擬化

數通設備的未來演進，要求CE 支持虛擬化，使得能夠簡化網絡部署和維護；要求配置高密度10 GE接口，單槽位20個以上；同時需要支持100 GE 接口，滿足4G 應用對高帶寬的需求。

（2）防火墻虛擬化集群

防火墻位于內部網絡與外部網絡之間，集中所有互聯網流量，因此對其要求極高，一旦發生故障，必須能夠迅速恢復。通常一旦發生大流量攻擊事件，往往最先失去抵抗能力的就是這些網關設備，防火墻也必然成為主要攻擊的對象。如果流量達到一定的程度可以將整個上層設備帶寬堵塞，形成網絡瓶頸和系統單點故障，導致整個網絡中斷。為了打破網絡瓶頸，可以利用防火墻虛擬化來提升設備的可用性，防火墻虛擬化集群將是未來發展的趨勢。防火墻虛擬化同樣要求配置高密度10 GE 接口，同時需要支持100 GE 接口。

引進虛擬化技術后，具有以下優勢。

①可維護性：LAN 內的兩臺設備統一管理，不存在配置同步引入配置沖突、配置不一致以及來回路徑不一致等問題。

②高可用性：日志、監控實現一體化；上下行僅需各配置一個互連IP，節省IP，組網簡單。

③高可靠性：上下行鏈路支持聚合，端口故障切換時間大大減少；故障恢復過程中，由虛擬主控來控制主備業務，處理主備狀態，當存在接口故障、鏈路故障后，可控制上下行統一切換，不存在切換不一致的問題。

④可擴展性：可以根據用戶需求，實現彈性擴展；新增設備加入或離開IRF 架構時，可實現熱插拔。

⑤負載均衡：雙主模式，跨框接口捆綁帶寬利用率更高，內部保證業務處理一致性。

⑥高性能：路由器、防火墻的吞吐量、并發會話數、每秒新建會話數受硬件結果限制，采用虛擬化技術后，設備交換能力及接口密度大大提升，從而大幅度提高了設備的性能。

5 結束語

移動網絡將面臨著帶寬瓶頸、高可靠要求、面向未來演進、利潤增收等挑戰，需要滿足大容量設備、支持資源協同共享以及網絡架構扁平化的要求。數通設備作為4G 核心網中重要的連接及安全防護設備，如何對其進行規劃和部署具有重要的意義。本文對現網EPC 網絡中數通設備的規劃方法進行了總結，同時針對當前存在的瓶頸及未來的演進進行了詳細的分析探討，可為后續的網絡規劃與建設提供參考借鑒。