NGN承載網(wǎng)的QoS和安全考慮及建設方案探討

在以上分析的基礎上，提出本文的QoS解決思路，根據實(shí)際情況混合采用以上技術(shù)。在骨干層使用MPLSVPN技術(shù)，城域網(wǎng)內使用DiffServ技術(shù)及部分建設專(zhuān)用網(wǎng)絡(luò )。在與互聯(lián)網(wǎng)共用設備的節點(diǎn)，根據NGN承載的實(shí)體，分別將骨干網(wǎng)上NGNVPN的LSP，NGN業(yè)務(wù)的二層VLAN，NGN業(yè)務(wù)的三層IP地址的優(yōu)先級字段都設置為最高級別，網(wǎng)絡(luò )節點(diǎn)通過(guò)優(yōu)先級字段進(jìn)行報文分類(lèi)、流量整形、流量監管和隊列調度，從而實(shí)現對NGN業(yè)務(wù)高優(yōu)先級的處理，最大程度減少互聯(lián)網(wǎng)的突發(fā)特性對NGN業(yè)務(wù)的沖擊。另外，專(zhuān)用設備的建設用以保障在NGN業(yè)務(wù)量大的區域，隔離互聯(lián)網(wǎng)對NGN業(yè)務(wù)的影響。

對于業(yè)務(wù)帶寬的設計，需要根據VoIP的話(huà)務(wù)模型進(jìn)行計算。根據目前我們開(kāi)展的NGN業(yè)務(wù)的特征及網(wǎng)絡(luò )實(shí)際情況，我們使用了如下的帶寬計算經(jīng)驗公式：NGN業(yè)務(wù)帶寬=[(用戶(hù)數×單話(huà)路帶寬)×收斂比×(1+2.5%)]/0.8，其中話(huà)路帶寬=編碼率+包頭開(kāi)銷(xiāo)/打包周期;收斂比=話(huà)路收斂比×靜音壓縮比(如果VAD，取60%，否則取1);話(huà)路收斂比：1萬(wàn)用戶(hù)以上取0.1，1萬(wàn)～1千取0.25，1千以下取0.5，話(huà)路收斂比可以根據本地業(yè)務(wù)的開(kāi)展與網(wǎng)絡(luò )的實(shí)際情況進(jìn)行調整。

3 NGN承載網(wǎng)的安全性與可靠性考慮

(1)為防止受到黑客或病毒程序的攻擊或干擾，NGN承載網(wǎng)必須與互聯(lián)網(wǎng)進(jìn)行物理或邏輯隔離，與互聯(lián)網(wǎng)的互通必須通過(guò)安全設備(如防火墻)實(shí)現，不能直接接入。

(2)NGN用戶(hù)或設備的接入需要經(jīng)過(guò)身份認證才可以接入NGN網(wǎng)絡(luò )，避免非法用戶(hù)和非法報文進(jìn)入NGN網(wǎng)絡(luò )。只有當用戶(hù)的身份得到確認，才可以進(jìn)行事后審計與追蹤，有效地防止了用戶(hù)側的網(wǎng)絡(luò )攻擊行為。

通過(guò)以上措施可以基本消除來(lái)自其它網(wǎng)絡(luò )和NGN用戶(hù)方面的安全隱患，但還要采取安全手段來(lái)保證NGN內部網(wǎng)絡(luò )的安全。軟交換、網(wǎng)關(guān)、服務(wù)器等NGN核心網(wǎng)絡(luò )設備在IP網(wǎng)中的地位類(lèi)似于網(wǎng)絡(luò )主機設備，因此要求這些設備應具備數據網(wǎng)中主機設備所具有的安全規格，可以應用防火墻、入侵檢測、流量控制、安全日志與審計等技術(shù)實(shí)現對NGN核心網(wǎng)絡(luò )設備的安全防護。對于一些對安全級別要求較高的用戶(hù)還可以采用加密技術(shù)對信令和數據進(jìn)行加密保護。網(wǎng)管系統對各網(wǎng)元設備設置不同級別的管理員權限，使用戶(hù)不能越級對設備進(jìn)行操作。

考慮到NGN承載網(wǎng)承載的都是電信級的業(yè)務(wù)，必須對網(wǎng)絡(luò )的可靠性進(jìn)行充分的考慮。單臺數據設備支持關(guān)鍵部件及單板的備份以及多個(gè)設備之間負載分擔及冗余備份，如VRRP的方式保證網(wǎng)絡(luò )的安全性與可靠性;在組網(wǎng)上可以考慮MPLSFRR和OSPF多條同等開(kāi)銷(xiāo)路徑，當鏈路失效時(shí)具有高效的切換機制保證所有業(yè)務(wù)的不中斷。

4 NGN承載網(wǎng)建設方案

4.1 NGN承載網(wǎng)的建設思路

(1)IP公網(wǎng)解決方案。所有NGN網(wǎng)元的IP地址與Internet其他網(wǎng)元統一規劃;除了IAD設備比較多外，NGN設備容量一般較大，設備間通訊業(yè)務(wù)對公網(wǎng)IP地址需求量不大，無(wú)須私有地址分配及隨之帶來(lái)的應用層NAT互通問(wèn)題;可以快速部署。由于沒(méi)有VPN隔離的安全保障，NGN網(wǎng)絡(luò )設備的安全性完全依賴(lài)于防火墻的保護，安全性風(fēng)險較大，不要求路由器必須支持IP/MPLSVPN能力。QoS問(wèn)題很難解決，可以通過(guò)采用DiffServ部分解決。

(2)VPN解決方案。地址與互聯(lián)網(wǎng)地址隔離，單獨規劃。QoS主要采用DiffServ技術(shù)，使用成熟的帶寬管理技術(shù)，如優(yōu)先級調度、CAR等來(lái)保證QoS。采用層次化組網(wǎng)和跨域VPN技術(shù)支撐NGN的規模部署。通過(guò)VPN，VLAN等技術(shù)實(shí)現NGN承載網(wǎng)的隔離，通過(guò)媒體防火墻等技術(shù)實(shí)現網(wǎng)絡(luò )隔離、受控接入和保證安全。優(yōu)先采用SDH，MSTP，VRRP和FRR等技術(shù)提高網(wǎng)絡(luò )的可靠性，減少業(yè)務(wù)中斷的時(shí)間，提高網(wǎng)絡(luò )的可用性;盡量利用現有網(wǎng)絡(luò )和設備，提供多樣化的接入手段，可以在現有網(wǎng)絡(luò )上部署，不引入新的網(wǎng)絡(luò )協(xié)議，方案具有普遍的適用性，部署比較容易。

(3)新建IP專(zhuān)網(wǎng)解決方案。通過(guò)物理隔離保證安全性，過(guò)量帶寬建設和DiffServ保證QoS，簡(jiǎn)化建網(wǎng)需要考慮的問(wèn)題，有利于快速建網(wǎng)。通過(guò)防火墻與IP公網(wǎng)互通，實(shí)現來(lái)自與不可信任區的業(yè)務(wù)呼叫。專(zhuān)網(wǎng)IP地址可以規劃為公用地址，也可規劃為私有地址。規劃為私有地址時(shí)，將來(lái)與Internet互通時(shí)需要NAT轉換，網(wǎng)絡(luò )建設投資較大。

根據以上的比較，并結合我們的具體情況，給出一種NGN承載網(wǎng)的建設思路：構建NGN物理/邏輯混合專(zhuān)網(wǎng)。共分為三個(gè)層次，骨干層、核心/匯聚層、接入層。骨干網(wǎng)采用MPLSVPN，使用DiffServ技術(shù)，將NGNVPN的LSP優(yōu)先級設置為最高，城域網(wǎng)內核心及匯聚層設備根據具體情況采用專(zhuān)用或共用(二層VLAN隔離)設備，對于共用設備的情況也使用DiffServ技術(shù)，而接入層則必須識別NGN業(yè)務(wù)并對NGNVLAN進(jìn)行優(yōu)先轉發(fā)。

安全方面，通過(guò)VPN，VLAN等技術(shù)實(shí)現NGN承載網(wǎng)與互聯(lián)網(wǎng)的隔離，但NGN業(yè)務(wù)必須考慮由公網(wǎng)/它網(wǎng)接入的情況，對于這些“非信任”的流量，必須設置媒體防火墻，實(shí)現網(wǎng)絡(luò )隔離、受控接入和保證安全?？紤]到信令的穿透，這些防火墻也同時(shí)起著(zhù)信令代理的作用。

考慮到目前NGN的網(wǎng)絡(luò )建設、業(yè)務(wù)發(fā)展都還沒(méi)有經(jīng)濟、可靠、成熟的模式可以遵循，那么就有必要對現階段NGN的業(yè)務(wù)進(jìn)行定位，業(yè)務(wù)的定位考慮到網(wǎng)絡(luò )的能力，而網(wǎng)絡(luò )的建設也符合業(yè)務(wù)的發(fā)展模式。根據以上思路，確定目前的NGN業(yè)務(wù)定位于提供增值業(yè)務(wù)，服務(wù)于網(wǎng)通的寬帶大策略。這個(gè)思路的制定，既考慮到了承載網(wǎng)的現狀，也符合電信業(yè)務(wù)的發(fā)展規律。

需要說(shuō)明的是，NGN承載網(wǎng)的方案與NGN系統的部署方案沒(méi)有直接關(guān)系，NGN系統中各組件的放置位置對承載網(wǎng)是透明的，承載網(wǎng)提供網(wǎng)絡(luò )的連接，使得NGN的信令與媒體流暢通無(wú)阻實(shí)現NGN的業(yè)務(wù)要求。

4.2 NGN承載網(wǎng)骨干層/核心/匯聚層建設方案

考慮到承載網(wǎng)的重要性及質(zhì)量要求，骨干層的NGNVPN采用專(zhuān)用PE設備，不與普通MPLSVPN的設備共用，為增加網(wǎng)絡(luò )可靠性，可以將互聯(lián)網(wǎng)的PE作為NGNPE的備份?？紤]到IP骨干網(wǎng)的拓撲結構已經(jīng)非常健壯而且流量比較小，不會(huì )發(fā)生擁塞的情況，目前暫不考慮使用MPLS TE及FRR，待骨干網(wǎng)的流量起到一定程度再實(shí)施TE。路由方面，對于跨域的連接方式，考慮到MP-EBGP方式無(wú)需在不同的自治系統的PE之間建立全連接的LSP，可以有效解決組大網(wǎng)的問(wèn)題，建議采用這種方案解決跨域問(wèn)題。對于地址規劃，理論上可以采用任意的IP地址規劃方案，考慮到盡量避免NAT轉換，同時(shí)考慮到今后有可能與其它軟交換系統互連，建議核心系統采用公網(wǎng)地址，而接入層設備地址采用私網(wǎng)地址。