Sistema de gestión y supervisión de errores

centralizado de alarmas generadas en los elementos de red del subsistema multimedia. Esta plataforma denominada OSS-RC recolecta todas las alarmas e información de errores generada por cada nodo de la red y los clasifica, identifica y ordena en función de su criticidad e impacto en cada función.

Este subsistema está a su vez conectado a su vez con el subsistema de supervisión de alarmas NMS de Orange (plataforma IBM Netcool) y los nodos de la red IMS por medio de CORBA.

El núcleo de red en redes de nueva generación 168 El subsistema está basado en la supervisión y monitorización de diferentes nodos de la red:

 Entidades de servicio. Los errores pueden ser de la propia plataforma TSP (CSCFs, HSSs, MTASs, etc.). Es decir generado por un nodo de la plataforma, debido a problemas físicos, de configuración o de servicio. Estos errores son gestionados a través del modulo de gestión de errores de la plataforma de servicio (TSP FM).

 Entidades de red, como los servidores DNS, ENUM, DHCP, SBC etc. Estos nodos hacen la gestión de eventos, errores y alarmas por medio de clientes SNMP internos que envían mensajes a un servidos SNMP que recibe todas las alarmas de estos elementos de red. El servidor SNMP es el que enviará los mensajes de alarma al gestor de alarmas de la red OSS-RC.  Entidades de medios. Un gestor de alarmas y errores que controla la función de medios y por lo tanto el estado y la disponibilidad de todos los medios y funciones de gestión de los medios existentes.

Figura 94. Arquitectura interna sistema de mantenimiento, monitorización y supervisión.

La solución OSS-RC 11.2 está desplegada sobre varios servidores SUN localizados en el emplazamiento de Coslada o Meneses.

9.3.9. Conectividad IP

Ericsson dispone de una solución para proporcionar la conectividad IP indispensable dentro de la arquitectura multimedia y de esta con el resto de la red

El núcleo de red en redes de nueva generación 169 del cliente. El conjunto de elementos de routers, firewalls, switches y puesta de seguridad (SBCs) desplegados dentro del nivel de red del IMS forma el denominado MPBN, o red troncal de conectividad de paquetes que permiten asegurar la conectividad IP entre nodos, servidores y equipos de acceso e interconexión.

La infraestructura propuesta tiene como objetivo proporcionar a la red características de alta disponibilidad, escalabilidad, seguridad y modularidad que aseguren la integración del dominio multimedia y la migración de usuarios al nuevo dominio.

9.3.9.1. Conectividad intra IMS

Para la conectividad entre entidades o nodos desplegados en un mismo despliegue IMS Ericsson propone el uso de la plataforma SmartEdge 600 que proporciona todas las funciones de conectividad IP dentro de un despliegue multimedia y hacia el exterior del despliegue. Estos routers de alta disponibilidad y ampliamente probados en redes reales consisten en una estructura modular formada por un chasis, procesadores de conexión cruzada, interfaces, transceptores y software. Estas estructura se puede es fácilmente escalables pues permite la inserción de hasta 8 módulos con 2 ranuras para redundancia de los procesadores de ruta en forma 1:1. Estos routers incorporan una tarjeta ASE que proporciona comunicaciones IPsec hacia el exterior del emplazamiento. En la configuración actual de las 6 ranuras restantes el chasis mantiene 3 ranuras disponibles para futura ampliaciones de capacidad de conmutación y enrutamiento. La figura 94 muestra las entidades desplegadas por emplazamiento.

El núcleo de red en redes de nueva generación 170

9.3.9.2. Conectividad con elementos externos

Para la interconexión de las redes de dos proveedores de servicio se emplean además de las soluciones en el nivel de control y transporte MSS explicados en el capítulo 8, en el nivel de conectividad IP un grupo de routers de interconexión que proporcionan las funciones de seguridad y aislamiento de tráfico requeridos entre dominios diferentes.

También proporcionan conectividad con las redes de acceso del operador interconectándose con otros elementos sobre el backbone IP de Orange.

Figura 96. Comunicación e interconexión a nivel de red de emplazamientos core IMS y red de transporte IP

Los routers PE y SE se comunican por medios de 10 puertos GigaEthernet de interconexión física. El principal método de conexión entre entidades que pertenecen a dominios distintos es por medio de conexiones VPN sobre la red troncal IP (backbone).

9.3.10.

Seguridad

La seguridad es una característica principal en el despliegue de IMS y en la migración de usuarios al dominio multimedia. La seguridad está presente tanto en los nodos de la red como en el dominio en su conjunto. Para implementar las funciones de seguridad Ericsson parte de las especificación del seguridad de IMS explicadas en el capitulo 3.2.4.

9.3.10.1. Seguridad de acceso

Se encarga de las funciones de seguridad entre el terminal del usuario y la red IMS (conexión SIP, conexiones Web o conexiones XCAP entre otras) según se explica en el punto 3.2.4.4. Con respecto a la securización de la conexión SIP el método principal para usuarios

El núcleo de red en redes de nueva generación 171 móviles basados en tarjetas inteligentes USIM/ISIM, es el uso del protocolo IMS-AKA. Para el conjunto de terminales de móviles que nos soporte el mecanismo IMS-AKA se utilizan los mecanismos de seguridad GIBA del punto 3.2.4.5.3, para redes de acceso securizadas el método del punto 3.2.4.5.4, y finalmente para el resto de terminales de usuarios que no pertenecen al dominio móvil a través de SIP Digest y de NASS-IMS.

9.3.10.2. Seguridad en el dominio multimedia.

Ericsson implementa los conceptos de seguridad para el dominio multimedia del punto 3.2.4.3. Establece un principio de “defensa en profundidad” en base a diferentes niveles de seguridad dentro del dominio estableciendo un perímetro de seguridad, protección interna entre elementos desplegado en un mismo emplazamiento y protección de nodo o entidad.

El primer nivel de defensa es por tanto el perímetro de seguridad que está compuesto por los routers SE del emplazamiento, los firewall que proporcionan las funcionalidades de filtrado y acceso y las puertas de acceso de seguridad o SBCs para las redes de acceso cableadas y las interfaces entre diferentes redes junto con los router PE de interconexión. Para las redes de acceso móvil también el PCRF/P-CSCF realiza parcialmente funciones de SBC.

La segunda línea de protección consiste en la protección de la comunicación entre nodos de un mismo emplazamiento por medio de la segmentación del tráfico por medio de VLANs. A su vez se protege el trafico de salida del router SE hacia el router PE securizando las comunicaciones por medio de IPsec.

Finalmente la protección intra-nodo que consiste en la protección física de acceso a cada nodo y las herramientas de seguridad y control de puertos, software y aplicaciones instaladas en el nodo (node hardening).

9.3.10.3. Seguridad en el dominio de mantenimiento y operación (O&M)

La securización del nivel de operación y mantenimiento es especialmente sensible puesto que a través de este nivel se pueden producir cambios en las configuraciones de los nodos de IMS o del backbone. Esto se consigue en primer lugar separando el subsistema de O&M de los dominios de la red multimedia (de medios y de control) estableciendo para este como un dominio de seguridad a parte.

El dominio de O&M también se segmenta creando a su vez cuatro dominios de seguridad (infraestructura multimedia, red corporativa, facturación y servicios OSS) que son interconectados entre sí por medio de un router con funcionalidad firewall que controla toda la comunicación entre dominios. Dentro de cada dominio de seguridad el flujo de tráfico no está controlado. El router también realiza funciones de segmentación entre los distintos dominios.

El núcleo de red en redes de nueva generación 172 Adicionalmente se establece una política de privilegios de acceso a la plataforma O&M en base a un conjunto de perfiles de acceso y usuarios definidos en el sistema para controlar que operadores acceden a la plataforma, en qué condiciones y con qué permisos. Los dominios definidos dentro de la plataforma de O&M.