NGN承載網(wǎng)的QoS和安全考慮及建設(shè)方案探討

在以上分析的基礎(chǔ)上，提出本文的QoS解決思路，根據(jù)實(shí)際情況混合采用以上技術(shù)。在骨干層使用MPLSVPN技術(shù)，城域網(wǎng)內(nèi)使用DiffServ技術(shù)及部分建設(shè)專用網(wǎng)絡(luò)。在與互聯(lián)網(wǎng)共用設(shè)備的節(jié)點(diǎn)，根據(jù)NGN承載的實(shí)體，分別將骨干網(wǎng)上NGNVPN的LSP，NGN業(yè)務(wù)的二層VLAN，NGN業(yè)務(wù)的三層IP地址的優(yōu)先級(jí)字段都設(shè)置為最高級(jí)別，網(wǎng)絡(luò)節(jié)點(diǎn)通過優(yōu)先級(jí)字段進(jìn)行報(bào)文分類、流量整形、流量監(jiān)管和隊(duì)列調(diào)度，從而實(shí)現(xiàn)對(duì)NGN業(yè)務(wù)高優(yōu)先級(jí)的處理，最大程度減少互聯(lián)網(wǎng)的突發(fā)特性對(duì)NGN業(yè)務(wù)的沖擊。另外，專用設(shè)備的建設(shè)用以保障在NGN業(yè)務(wù)量大的區(qū)域，隔離互聯(lián)網(wǎng)對(duì)NGN業(yè)務(wù)的影響。

對(duì)于業(yè)務(wù)帶寬的設(shè)計(jì)，需要根據(jù)VoIP的話務(wù)模型進(jìn)行計(jì)算。根據(jù)目前我們開展的NGN業(yè)務(wù)的特征及網(wǎng)絡(luò)實(shí)際情況，我們使用了如下的帶寬計(jì)算經(jīng)驗(yàn)公式：NGN業(yè)務(wù)帶寬=[(用戶數(shù)×單話路帶寬)×收斂比×(1+2.5%)]/0.8，其中話路帶寬=編碼率+包頭開銷/打包周期;收斂比=話路收斂比×靜音壓縮比(如果VAD，取60%，否則取1);話路收斂比：1萬用戶以上取0.1，1萬～1千取0.25，1千以下取0.5，話路收斂比可以根據(jù)本地業(yè)務(wù)的開展與網(wǎng)絡(luò)的實(shí)際情況進(jìn)行調(diào)整。

3 NGN承載網(wǎng)的安全性與可靠性考慮

(1)為防止受到黑客或病毒程序的攻擊或干擾，NGN承載網(wǎng)必須與互聯(lián)網(wǎng)進(jìn)行物理或邏輯隔離，與互聯(lián)網(wǎng)的互通必須通過安全設(shè)備(如防火墻)實(shí)現(xiàn)，不能直接接入。

(2)NGN用戶或設(shè)備的接入需要經(jīng)過身份認(rèn)證才可以接入NGN網(wǎng)絡(luò)，避免非法用戶和非法報(bào)文進(jìn)入NGN網(wǎng)絡(luò)。只有當(dāng)用戶的身份得到確認(rèn)，才可以進(jìn)行事后審計(jì)與追蹤，有效地防止了用戶側(cè)的網(wǎng)絡(luò)攻擊行為。

通過以上措施可以基本消除來自其它網(wǎng)絡(luò)和NGN用戶方面的安全隱患，但還要采取安全手段來保證NGN內(nèi)部網(wǎng)絡(luò)的安全。軟交換、網(wǎng)關(guān)、服務(wù)器等NGN核心網(wǎng)絡(luò)設(shè)備在IP網(wǎng)中的地位類似于網(wǎng)絡(luò)主機(jī)設(shè)備，因此要求這些設(shè)備應(yīng)具備數(shù)據(jù)網(wǎng)中主機(jī)設(shè)備所具有的安全規(guī)格，可以應(yīng)用防火墻、入侵檢測(cè)、流量控制、安全日志與審計(jì)等技術(shù)實(shí)現(xiàn)對(duì)NGN核心網(wǎng)絡(luò)設(shè)備的安全防護(hù)。對(duì)于一些對(duì)安全級(jí)別要求較高的用戶還可以采用加密技術(shù)對(duì)信令和數(shù)據(jù)進(jìn)行加密保護(hù)。網(wǎng)管系統(tǒng)對(duì)各網(wǎng)元設(shè)備設(shè)置不同級(jí)別的管理員權(quán)限，使用戶不能越級(jí)對(duì)設(shè)備進(jìn)行操作。

考慮到NGN承載網(wǎng)承載的都是電信級(jí)的業(yè)務(wù)，必須對(duì)網(wǎng)絡(luò)的可靠性進(jìn)行充分的考慮。單臺(tái)數(shù)據(jù)設(shè)備支持關(guān)鍵部件及單板的備份以及多個(gè)設(shè)備之間負(fù)載分擔(dān)及冗余備份，如VRRP的方式保證網(wǎng)絡(luò)的安全性與可靠性;在組網(wǎng)上可以考慮MPLSFRR和OSPF多條同等開銷路徑，當(dāng)鏈路失效時(shí)具有高效的切換機(jī)制保證所有業(yè)務(wù)的不中斷。

4 NGN承載網(wǎng)建設(shè)方案

4.1 NGN承載網(wǎng)的建設(shè)思路

(1)IP公網(wǎng)解決方案。所有NGN網(wǎng)元的IP地址與Internet其他網(wǎng)元統(tǒng)一規(guī)劃;除了IAD設(shè)備比較多外，NGN設(shè)備容量一般較大，設(shè)備間通訊業(yè)務(wù)對(duì)公網(wǎng)IP地址需求量不大，無須私有地址分配及隨之帶來的應(yīng)用層NAT互通問題;可以快速部署。由于沒有VPN隔離的安全保障，NGN網(wǎng)絡(luò)設(shè)備的安全性完全依賴于防火墻的保護(hù)，安全性風(fēng)險(xiǎn)較大，不要求路由器必須支持IP/MPLSVPN能力。QoS問題很難解決，可以通過采用DiffServ部分解決。

(2)VPN解決方案。地址與互聯(lián)網(wǎng)地址隔離，單獨(dú)規(guī)劃。QoS主要采用DiffServ技術(shù)，使用成熟的帶寬管理技術(shù)，如優(yōu)先級(jí)調(diào)度、CAR等來保證QoS。采用層次化組網(wǎng)和跨域VPN技術(shù)支撐NGN的規(guī)模部署。通過VPN，VLAN等技術(shù)實(shí)現(xiàn)NGN承載網(wǎng)的隔離，通過媒體防火墻等技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)隔離、受控接入和保證安全。優(yōu)先采用SDH，MSTP，VRRP和FRR等技術(shù)提高網(wǎng)絡(luò)的可靠性，減少業(yè)務(wù)中斷的時(shí)間，提高網(wǎng)絡(luò)的可用性;盡量利用現(xiàn)有網(wǎng)絡(luò)和設(shè)備，提供多樣化的接入手段，可以在現(xiàn)有網(wǎng)絡(luò)上部署，不引入新的網(wǎng)絡(luò)協(xié)議，方案具有普遍的適用性，部署比較容易。

(3)新建IP專網(wǎng)解決方案。通過物理隔離保證安全性，過量帶寬建設(shè)和DiffServ保證QoS，簡(jiǎn)化建網(wǎng)需要考慮的問題，有利于快速建網(wǎng)。通過防火墻與IP公網(wǎng)互通，實(shí)現(xiàn)來自與不可信任區(qū)的業(yè)務(wù)呼叫。專網(wǎng)IP地址可以規(guī)劃為公用地址，也可規(guī)劃為私有地址。規(guī)劃為私有地址時(shí)，將來與Internet互通時(shí)需要NAT轉(zhuǎn)換，網(wǎng)絡(luò)建設(shè)投資較大。

根據(jù)以上的比較，并結(jié)合我們的具體情況，給出一種NGN承載網(wǎng)的建設(shè)思路：構(gòu)建NGN物理/邏輯混合專網(wǎng)。共分為三個(gè)層次，骨干層、核心/匯聚層、接入層。骨干網(wǎng)采用MPLSVPN，使用DiffServ技術(shù)，將NGNVPN的LSP優(yōu)先級(jí)設(shè)置為最高，城域網(wǎng)內(nèi)核心及匯聚層設(shè)備根據(jù)具體情況采用專用或共用(二層VLAN隔離)設(shè)備，對(duì)于共用設(shè)備的情況也使用DiffServ技術(shù)，而接入層則必須識(shí)別NGN業(yè)務(wù)并對(duì)NGNVLAN進(jìn)行優(yōu)先轉(zhuǎn)發(fā)。

安全方面，通過VPN，VLAN等技術(shù)實(shí)現(xiàn)NGN承載網(wǎng)與互聯(lián)網(wǎng)的隔離，但NGN業(yè)務(wù)必須考慮由公網(wǎng)/它網(wǎng)接入的情況，對(duì)于這些“非信任”的流量，必須設(shè)置媒體防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)隔離、受控接入和保證安全?？紤]到信令的穿透，這些防火墻也同時(shí)起著信令代理的作用。

考慮到目前NGN的網(wǎng)絡(luò)建設(shè)、業(yè)務(wù)發(fā)展都還沒有經(jīng)濟(jì)、可靠、成熟的模式可以遵循，那么就有必要對(duì)現(xiàn)階段NGN的業(yè)務(wù)進(jìn)行定位，業(yè)務(wù)的定位考慮到網(wǎng)絡(luò)的能力，而網(wǎng)絡(luò)的建設(shè)也符合業(yè)務(wù)的發(fā)展模式。根據(jù)以上思路，確定目前的NGN業(yè)務(wù)定位于提供增值業(yè)務(wù)，服務(wù)于網(wǎng)通的寬帶大策略。這個(gè)思路的制定，既考慮到了承載網(wǎng)的現(xiàn)狀，也符合電信業(yè)務(wù)的發(fā)展規(guī)律。

需要說明的是，NGN承載網(wǎng)的方案與NGN系統(tǒng)的部署方案沒有直接關(guān)系，NGN系統(tǒng)中各組件的放置位置對(duì)承載網(wǎng)是透明的，承載網(wǎng)提供網(wǎng)絡(luò)的連接，使得NGN的信令與媒體流暢通無阻實(shí)現(xiàn)NGN的業(yè)務(wù)要求。

4.2 NGN承載網(wǎng)骨干層/核心/匯聚層建設(shè)方案

考慮到承載網(wǎng)的重要性及質(zhì)量要求，骨干層的NGNVPN采用專用PE設(shè)備，不與普通MPLSVPN的設(shè)備共用，為增加網(wǎng)絡(luò)可靠性，可以將互聯(lián)網(wǎng)的PE作為NGNPE的備份?？紤]到IP骨干網(wǎng)的拓?fù)浣Y(jié)構(gòu)已經(jīng)非常健壯而且流量比較小，不會(huì)發(fā)生擁塞的情況，目前暫不考慮使用MPLS TE及FRR，待骨干網(wǎng)的流量起到一定程度再實(shí)施TE。路由方面，對(duì)于跨域的連接方式，考慮到MP-EBGP方式無需在不同的自治系統(tǒng)的PE之間建立全連接的LSP，可以有效解決組大網(wǎng)的問題，建議采用這種方案解決跨域問題。對(duì)于地址規(guī)劃，理論上可以采用任意的IP地址規(guī)劃方案，考慮到盡量避免NAT轉(zhuǎn)換，同時(shí)考慮到今后有可能與其它軟交換系統(tǒng)互連，建議核心系統(tǒng)采用公網(wǎng)地址，而接入層設(shè)備地址采用私網(wǎng)地址。