PTN承载政企专线的安全性考虑*

2016-09-06 01:20徐云斌中国信息通信研究院技术与标准研究所高级工程师杨会峰国家电网公司河北省电力公司高级工程师张海懿中国信息通信研究院技术与标准研究所高级工程师
信息通信技术与政策 2016年2期
关键词:网络设备时延特性

徐云斌 中国信息通信研究院技术与标准研究所高级工程师杨会峰 国家电网公司河北省电力公司高级工程师张海懿 中国信息通信研究院技术与标准研究所高级工程师

PTN承载政企专线的安全性考虑*

徐云斌中国信息通信研究院技术与标准研究所高级工程师
杨会峰国家电网公司河北省电力公司高级工程师
张海懿中国信息通信研究院技术与标准研究所高级工程师

政企专线网络对其业务的安全性要求越来越高,目前业界对PTN网络承载政企专线用户的业务安全性和隔离特性存在疑虑。本文主要对PTN网络和MSTP网络的业务隔离特性进行比对分析,分析其网络安全性机制,给出承载政企专线网络的安全性考虑。

PTN;政企专线;网络安全

1 引言

传统的基于SDH的多业务传送网对数据业务突发性和灵活性的适应性越来越低,而传统的面向无连接的IP网络,则难以严格保证重要业务的运行质量和安全性要求。PTN技术对于IP大颗粒业务的传输弥补了原有SDH网络的不足,是SDH网络的良好补充;另一方面,随着政企专线IP业务的增长,其网络开放程度越来越高,网络受到的安全威胁加剧,也使得数据通信网络的安全可信越来越受到重视。

目前一些政企专线网络,需要网络业务接入灵活性、多样性和经济性的需求,对网络安全性要求也越来越高,一般要求其核心网络业务和普通接入业务之间实现物理隔离。对于不同的网络承载技术,业界认为SDH时隙隔离能够达到物理隔离的效果,但是对PTN网络承载后,不同的隧道和伪线之间的业务隔离效果和网络安全性存在疑虑。本文主要对PTN网络中的物理隔离特性和承载政企专线的网络安全性问题进行分析,对其业务隔离特性和SDH/MSTP网络的隔离特性进行比对分析。

2 PTN网络的安全性机制

目前,国内标准化组织CCSA正在研究制定PTN设备和网络安全行业标准,完善PTN网络的安全体系架构。从设备及网络层面安全机制来看,在业务层主要关注业务的接入安全控制以及业务隔离等机制;网络层关注隧道和伪线的隔离、OAM、网络保护机制等,同时DCN网络安全也是重点内容之一;设备层的安全主要是设备的访问控制和安全抗攻击能力。系统和软件层面主要对网管软件系统以及设备软件系统的安全机制进行考察。图1为电路PTN网络安全架构示意图。

(1)业务承载隔离特性

PTN和SDH技术的业务承载特性从以下几个层面进行比对分析:

●物理链路层:二者均为光纤信息进行传输。

●媒质传送层:MSTP采用STM-N帧格式进行传送,PTN采用以太网报文通过物理介质传送。

●通道层:MSTP网络分为高级通道H-VC和低阶通道L-VC,低阶通道(如VC-12)可以复用进入高阶通道(如VC4);PTN网络分别对应隧道层和伪线层,多个伪线(PW)可以封装进入一个隧道(LSP)。

●业务层:MSTP网络将各类业务封装进入SDH的VC时隙,而PTN网络采用统一的PWE3承载技术。

MSTP设备和PTN设备的业务隔离特性比对分析参见表1。

(2)业务时延承载特性

图1 电路PTN网络安全架构

表1 MSTP和PTN网络业务隔离特性比对分析

集团客户业务的承载一般对业务的端到端时延存在较高要求。MSTP承载以太网业务时延与GFP封装、VC级联、QoS配置策略和板卡拥塞状况密切相关。PTN承载以太网业务的时延和业务QoS配置策略、网络流量拥塞状况密切相关。总之,二者承载以太网业务的时延相差不大,单节点转发时延在50μs左右。

对于TDM业务的承载,PTN网络时延和封装帧数以及缓存时间相关,可以采用如下计算公式:

TDM业务端到端时延=封装的TDM帧数(典型8帧)×125μs+抖动缓存大小/2(典型值2~4ms)+中间网络时延(含光纤/设备时延,设备单跳转发时延一般小于50μs)

由此可以看出,对于TDM业务的承载,PTN网络的承载情况下的TDM业务端到端时延要大于MSTP网络。

(3)网络和DCN组网安全性

在集客业务的承载过程中,网络中存在一部分设备可能直接放置于客户机房,或者处于运营商监控范围之外,外部网络可通过DCN直接攻击运营商的整个网络,存在安全接入风险。需要PTN网络设备特别是DCN网络具备防网络攻击性能。可以通过以下几种手段提高网络抗攻击能力。

●可对PTNDCN网络分配秘钥,进行数据加密。

●PTN设备的客户侧接纳控制策略,进行广播组播等报文的抑制,防止广播风暴对网络设备造成冲击。

●PTN设备具备防止DDoS攻击、ARP泛洪攻击等手段。

●具备对网络管理通信端口的开启和关闭等手段,防止客户通过SNMP等协议直接登录攻击运营商网络。

(4)PTN网络互通技术

目前,运营商现网已经大量部署城域PTN设备,业务需求较为紧迫的情况下,需要边缘接入PTN设备实现集团客户设备接入,端到端政企专线的承载不能采用单一厂家设备,存在端到端设备互通问题。

PTN网络互通手段一般存在UNI模式、NNI模式、Overlay模式3种,具体参见图2。

3种模式的技术成熟度比较参见表2。

表2 PTN网络互通技术比较

总的来说,PTN网络互通技术已经基本成熟,在边缘接入PTN设备采用同一厂家设备情况下,和城域PTN网络为不同厂家情况下,一般可采用Overlay模式承载,便于实现端到端业务维护。边缘接入PTN设备采用不同厂家设备,而且和城域PTN网络为不同厂家情况下,可采用UNI模式实现端到端业务的互通,需要注意端到端业务的维护和快速故障定位等问题。NNI模式互通主要功能不存在问题,现阶段主要受限于业务配置及维护复杂性,随着SDN技术的成熟,NNI模式将会成为较好的解决方案。

图2 PTN网络互通模式

3 PTN承载政企专线的安全性考虑

(1)业务隔离特性

PTN网络采用伪线放置机制承载不同的业务,在网络无拥塞的情况下,不同隧道和伪线之间相互隔离无影响,当网络产生拥塞的情况下,不同隧道和伪线之间的时延会存在一定的相互影响。因此,PTN在承载政企专线的过程中,尽量采用网络轻载的方式。

此外,在业务承载过程中,核心业务和一般性的非核心业务尽量采用不同的端口接入网络,在接入侧实现不同物理端口的隔离。

(2)网络组网安全性

政企专线用户承载过程中,PTN网络设备有可能放置于运营商非受控的机房,而且PTN网络设备存在大量的以太网二层接口,非受控的用户更加容易接入网络,其网络安全风险比以往的SDH网络风险性更高,需要PTN网络设备具备安全接入控制机制和防止网络攻击手段。

(3)DCN网络安全

PTN网络设备应能够对DCN网络信息进行数据加密,同时具备对网络管理通信端口的开启和关闭等手段,防止客户通过SNMP等协议直接登录攻击运营商网络。

4 结束语

随着PTN技术的成熟以及客户对SDH技术逐步退网等方面因素的考虑,PTN技术在政企专线网络中逐步得到应用。对于政企专线用户核心业务和非核心业务的隔离特性以及网络安全性等要求,在网络轻载模式下,PTN网络可以通过业务VLAN隔离、隧道/伪线隔离、端口隔离等不同层面的隔离技术,满足业务隔离特性的需求。此外,PTN网络设备、业务端口、DCN网络可以通过业务接入控制和提供防止网络攻击手段,增加网络的安全可靠性。

爱立信宣布对FYI电视的收购意向

爱立信日前宣布对位于德克萨斯州Grand Prairie的著名娱乐元数据及富媒体内容提供商FYI电视的收购意向。本次收购将遵循惯例成交条件,收购完成后可帮助爱立信提升已有的在广播与媒体服务领域的行业领先地位。FYI电视每天都通过9000多个电视网络收集并分发电视娱乐内容及线性调度数据,将信息以定制格式进行汇聚并传输至种类繁多的数字、媒体、内容、分析及打印客户端,以便用户通过平板电脑、台式机、互联网门户及游戏机等联网设备使用这些数据。

爱立信执行副总裁兼全球服务业务部主管Magnus Mandersson表示:“随着电视行业的不断发展演进、观看电视的习惯不断发生变化,我们认为高质量的丰富的元数据将成为交付个性化电视体验的关键要素。通过将FYI电视的专长与我们在电视平台与内容搜索领域的出色表现结合在一起,我们将能帮助客户提升视频体验并且发现新的收入机遇。FYI电视的专长及在美国的庞大客户群与爱立信正好形成完美互补,将成为爱立信战略发展不可或缺的组成部分,帮助我们进一步巩固作为媒体服务领域全球领先的地位。”

Thoughts on the Security of PTN Carrying Government and Enterprise Private Line

Xu Yunbin,Yang Huifeng,Zhang Haiyi

The security requirements of the government and enterprise private line are increasing,but the current industry have doubts with the problem of security and isolation about PTN carrying the customer private line.In this paper,the isolation characteristics about PTN network and MSTP network are compared and analyzed,and the network security mechanism in PTN network is analyzed.

PTN;government and enterprise private line;Network security

国家电网公司科学技术项目SGRIXTKJ〔2015〕406号资助

2015-12-20)

猜你喜欢
网络设备时延特性
网络设备的安装与调试课程思政整体设计
谷稗的生物学特性和栽培技术
5G承载网部署满足uRLLC业务时延要求的研究
色彩特性
一种基于C# 的网络设备自动化登录工具的研制
基于GCC-nearest时延估计的室内声源定位
进一步凸显定制安装特性的优势 Integra DRX-5.2
VoLTE呼叫端到端接通时延分布分析
Quick Charge 4:什么是新的?
简化的基于时延线性拟合的宽带测向算法