理论教育 LTE S1和X2实例深入解析

LTE S1和X2实例深入解析

时间:2023-07-01 理论教育 版权反馈
【摘要】:对于这种情况,将考虑LTE系统,具有通过专用线路服务连接到核心网站的两个eNodeB:eNodeB1和eNodeB2。图9.26显示了来自eNodeB1的所有S1业务如何在隧道上承载,并以明文方式从SEG1路由到目的地。eNodeB1和eNodeB2之间的X2接口通过核心网络站点路由器实现。表9.1和表9.2显示了eNodeB的策略。表9.1 eNodeB1安全策略表9.3显示了SEG的策略。表9.2 eNodeB2安全策略表9.3 SEG安全策略图9.29 带状态故障切换在SEG1故障的情况下,SEG2将接管并通告R1和R2路由器它现在具有地址IP@和IP2@。

LTE S1和X2实例深入解析

在本节中,将看看前面解释的概念如何适用于实际情况。对于这种情况,将考虑LTE系统,具有通过专用线路服务连接到核心网站的两个eNodeB:eNodeB1和eNodeB2。

核心网侧有一个MME、一个SGW、一个参考时钟(用于分组交换同步)和一个通向管理系统的网关。

一对冗余路由器提供站点连接,两个SEG连接到路由器作为冗余配置,到达eNodeB端点的VPN隧道。在每个eNB和SEG对之间建立一条隧道连接。

图9.26显示了来自eNodeB1的所有S1业务如何在隧道上承载,并以明文方式从SEG1路由到目的地。

eNodeB1和eNodeB2之间的X2接口通过核心网络站点路由器(星形拓扑)实现。因此,分组首先被转发到核心网络站点,在那里解密、路由、再次加密并且向目的地eNo-deB转发(见图9.27)。

也可以采用eNodeB之间的直接连接(网状拓扑),但这会额外增加VPN配置的复杂度,因为需要对每一个X2接口邻近节点明确定义交互策略。这会使得管理困难,除非使用自动管理机制,比如ANR。

为了简化,在每个eNodeB和SEG之间建立一条VPN。通过分配给不同的IPsecSA的方式,使各个平面的业务分离:

978-7-111-57100-1-Part02-139.jpg

图9.26 S1接口、管理和同步连接

注:只显示到eNodeB1的连接。

978-7-111-57100-1-Part02-140.jpg

图9.27 X2接口连接

• 用户面(S1-U、X2-U);

• 控制面(S1-C、X2-C);

• 管理面;

• 同步面。

在这个例子中,假定没有对管理平面的应用级保护,比如TLS。如果使用TLS,则不需要同时使用IPsec保护控制平面。

一些路由器为VPN接口提供分离的虚拟路由,其他的用于核心网接口,这可以有效划分路由域,降低误配置风险。

对eNodeB和SEG的设备认证,是通过数字证书进行,数字证书由CA提供,保存在管理站,属于移动运营商。证书管理协议(Certificate Management Protocol,CMP)用于eNodeB和SEG的证书管理。采用简单信任模型,根认证机构直接处理终端实体的数字证书。如果所有设备都属于同一个运营商,则不需要交叉认证。(www.daowen.com)

因此,需要为每个eNodeB提供它本身的设备证书和根认证机构证书,SEG被提供SEG的设备证书和根认证机构证书。另外,每个设备需要与本身设备证书相关的私有密钥。图9.28描述了证书管理架构。

978-7-111-57100-1-Part02-141.jpg

图9.28 证书管理接口

eNodeB与SEG之间的所有业务交换使用相同的保护、加密、认证以及防止重放保护。如果不是所有业务需要隐秘性保护,则由于需要处理的保护方式减少,这使得配置更容易。如前面所述,每一个业务类型映射到一个IPsecSA,而每个SA需要配置一个安全策略。允许为SA配置专用的包序列号以及反重放窗口,用于减少包重排序的影响。安全策略的定义仅基于IP地址。表9.1和表9.2显示了eNodeB的策略。

9.1 eNodeB1安全策略

978-7-111-57100-1-Part02-142.jpg

表9.3显示了SEG的策略。注:SEG策略中没有包含eNodeB的地址以便于简化调试(后续加入eNodeB不需要重配SEG策略)。

选择IKEv2做密钥管理。加密算法是128bit的AES-CBD、HMAC-SHA1哈希算法、DH组2密钥交换算法。IKE可以采用相同的算法。其他参数可以参考3GPPIKEv2配置文件。

弹性由一对冗余的SEG提供,具有带状态的故障切换。从eNB看,这两个SEG是一个节点,因为它们具有相同IP地址和相同的设备证书。SEG的弹性也依赖于路由器的冗余备份。SEG对核心网有一个虚拟IP地址IP2@。图9.29显示了SEG使用的IP地址。

9.2 eNodeB2安全策略

978-7-111-57100-1-Part02-143.jpg

9.3 SEG安全策略

978-7-111-57100-1-Part02-144.jpg

978-7-111-57100-1-Part02-145.jpg

图9.29 带状态故障切换

在SEG1故障的情况下,SEG2将接管并通告R1和R2路由器它现在具有地址IP@和IP2@。这种广告通常通过使用免费ARP发生。之后,来自eNodeB和来自核心网络设备的业务由R1重新路由到SEG2。除了几个丢失的分组之外,通常不会对eNodeB或核心NE产生可见中断。图9.30描述了故障转移后的流量路径,显示了SEG2中的地址IP@和IP2@现在是否处于活动状态。

978-7-111-57100-1-Part02-146.jpg

图9.30 网络中断后的带状态故障切换

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈