MME Sv接口机制差异以及与现网CE配合时的安全隐患分析-

【问题现象】

诺基亚和爱立信MME的Sv接口业务地址整机只有一个IP，现网CE上软交换信令VPN路由一般按照奇数CE发布前半个C、偶数CE发布后半个C方式，其中一个CE故障，可能会导致业务全阻。
【原因定位】

Sv接口协议基于GTP、SGs接口协议基于SCTP。按集团规范SGs、Sv的物理IP接口可共用；Sv和SGs接口都使用IP承载网软交换信令VPN（ChinaMobile_NGN_SG）。

华为、爱立信、诺基亚三厂家Sv接口特点分析如下：

1、物理接口：华为、爱立信、诺基亚均共用现网SGs物理接口；爱立信、诺基亚出2个物理接口，华为为4个物理接口（三框满配，两框出一对即可）。

2、业务地址：华为、爱立信、诺基亚均需要新增单独的业务地址，诺基亚和爱立信为整机一个IP，华为数量和现网SGs一致，有四个业务地址（三框满配，两框出一对即可）。

3、组网方式：华为和爱立信类似，采用双主端口负荷分担的方式，诺基亚因设备机制限制，只能采用主备方式；三个厂家均配置BFD探测。

现网CE上软交换信令VPN路由一般按照奇数CE发布前半个C、偶数CE发布后半个C方式，SGs、Mc/Nc口基于SCTP双归属配置，没有风险。但诺基亚和爱立信MME的Sv接口只能用1个IP地址，若仍然用其所连CE下原有的路由(奇数CE发布前半个C、偶数CE发布后半个C)，会有非常大的安全隐患：
1、假设站点CE01到AR发布10.0.0.0/25、CE02发布10.0.0.128/25。

2、SGs、Mc/Nc口业务地址IP会从10.0.0.0/25、10.0.0.128/25各取1段，任何1台CE故障，都不会影响业务。

3、爱立信、诺基亚MME的Sv接口只能用一个地址，若使用了10.0.0.0/25中地址（CE01发布），一但CE01故障，会导致业务全阻。

【解决方案】

有如下两个解决方案，建议使用方案1。通过此案例提醒我们未雨绸缪，关注此安全隐患，避免因为地址分配和路由发布不当导致VOLTE大规模使用后的安全风险。
方案1：调整CE到AR发布路由方式，奇数CE01在发布前半个C基础上、增加发布后半个C；偶数CE在发布后半个C基础上、增加发布前半个C。不涉及AR侧操作：
1、由CE01到AR发布10.0.0.0/25、CE02到AR发布10.0.0.128/25改为

2、CE01到AR发布10.0.0.0/25+10.0.0.128/25、CE02到AR发布10.0.0.128/25+10.0.0.0/25。

方案2：CE上再申请增加1个C的软交换信令地址给Sv接口用，奇数偶数CE都发布整个C，缺点是浪费地址且需要AR侧配合。

本文整理自网络，文章版权归原作者所有，如有侵权，请联系我们进行删除。小编微信（gprshome201101）