信息产业部电信研究院 田辉
地址/路由规划
NGN业务与Internet业务的隔离,就允许为NGN业务独立规划IP地址空间,可以采用私有地址、公网地址。在IPv6部署之前,如果每个终端都分配一个IPv4公有地址,显然无法满足未来千万甚至上亿用户规模的需求,因此使用公网地址存在着严重的限制。
运营商使用私有地址,可以为不同的终端设备分配私有地址,为NGN业务网核心设备(如软交换、TG、MG、AG以及服务器)分配静态地址。这时,需要在私网-公网的边界设置地址转换以及地址穿越设备。如果考虑用户发展需求以及网络建设的复杂度,建议选用A类私有网段(10.X.X.X),一个A类地址段包含1600万个地址,剔除组网开销后,实际大约支持1000多万用户。如果全网采用一个私有地址段,也无法满足未来千万甚至上亿规模的需求,因此必须采用多个私有地址段组合编址,但这种方式增加了网络建设的复杂度,并为地址转换及地址穿越带来了新的难度。
考虑到NGN业务与Internet业务相互隔离,公网地址私用也成为一种可行的地址方案,尤其是IP专网的隔离方式。公网私用理论上有40亿个IPv4地址可用,易于规划和扩展,但与Internet互通时也需要IP-IP网关,但这种网关数目应少于使用私有地址的NAT数量。
地址的分配方式还会影响到路由效率以及业务的开展,因此需要谨慎的规划。无论是使用私有地址还是公有地址,对地址/路由规划有以下建议:
*IP地址的划分应该充分考虑网络地址现状和NGN业务发展的需要;
*参考网络组织结构和路由组织原则,核心汇接层以及各省内分配地址应连续;
*充分合理利用地址资源,采用可变长子网掩码(VLSM)技术;
*地址划分有层次,采用CIDR技术,便于网络互联,简化路由表,加快路由收敛速度,提高路由效率;
*充分利用已申请的地址空间,合理使用已分配的地址段,提供地址利用率。
服务质量
NGN业务网络不再是社会公益性网络,而是商用网络,所以提供QoS保障是运营商运营的基础。由于NGN业务要求端到端的QoS保证,这就需要承载网全网支持QoS机制。结合网络技术及建设水平的现状,基于DiffServ的流量工程,结合快速重路由等技术对实时业务的支持有望达到电信级服务。具体实施时需要考虑QoS的演进策略,可以先在承载网上实现DiffServ服务,在初期骨干网上NGN业务轻载时可使用超额带宽和DiffServ保证服务质量。随着业务负载的增大再开启流量工程督导流量。流量工程监控的项目包括网络的拥塞状况、点到点流量等,再根据这些数据对流量进行疏导,避免网络拥塞的发生,同时也为进一步网络规划、升级提供依据。在承载网络中,实现端到端的QoS需要以下的三个部分来保障:
*每个网络实体(接入服务器、路由器以及以太网交换机等)支持QoS,提供报文分类、队列调度、流量监管以及流量整形等功能;
*采用信令技术来协调端到端之间的网络实体为报文提供QoS;
*接纳控制决定是否允许用户信息流使用网络资源。
从承载网分层结构角度看,对骨干网、汇聚层和接入层的QoS方案有以下建议:
*骨干网轻载时使用超额带宽和DiffServ足以满足要求。随着业务量增加,骨干网重载时,物理隔离或逻辑隔离出NGN业务网,采用PLSDiffServ、MPLSTE以及MPLSFRR等技术来保障骨干网的服务质量;
*短期内看城域网建设的成本还比较高,所以城域汇聚层和接入层存在着较大的带宽收敛比,必须采用相应QoS机制,来保证NGN业务的质量。在L2设备上,对接入实时业务的VLAN端口,打上高优先级的802.1p标记,优先转发;在L3设备上,直接对实时业务打上高优先级的DSCP标记,优先处理。另外接入-汇聚-骨干之间的接口上还要完成802.1p、DSCP、TOS、E-LSP等优先级的映射操作;
*城域接入层还需要对不同用户限制带宽,通过与软交换控制设备的交互,按用户及业务动态进行带宽资源的配置,提供差异性服务,满足与用户签订的SLA;
*NGN边缘接入设备(如IAD等)还需要支持DiffServ模型,对不同业务流具有分类标识功能。包括二层和三层标识,以便NGN承载网设备根据标识对不同的业务提供相关的QoS保证。NGN边缘接入设备应具有控制接入用户数目的功能,出口带宽应大于满负荷时的业务流量,以保证NGN业务的QoS。
安全保障
NGN承载网与Internet网相互隔离,形成了一个相对封闭的业务网。这种隔离屏蔽了来自Internet的不安全因素,余下的工作就是对NGN业务网的入口进行严格的安全控制。
*NGN业务网核心设备(softX、SG、TG等)通过防火墙接入承载网,可以有效防止对关键设备的攻击;
*NGN业务网通过IP-IP网关与Internet网互通,在该网关上设置合理的安全策略以及入侵监测机制,可以有效降低来自Internet的威胁;
*IAD设备位于用户端,是业务网最大的安全隐患,存在着利用IAD恶意攻击运营商关键网络设备的可能性。首先必须确保IAD设备的物理安全,不允许接入端口的非法访问;其次所有的IAD设备都通过BAS接入NGN业务网,由BAS进行设备的接入控制和管理。
在实现NGN业务网络安全的同时,还需要保障用户的隔离、可管理等安全措施,防范常见的非法应用,如地址仿冒,抢占资源。
用户信息隔离是指接入网必须保障用户数据(单播地址的帧)的安全性,隔离携带有用户个人信息的广播消息(如ARP地址解析协议、DHCP动态主机配置协议),防止用户的关键设备受到攻击。
用户管理要求用户在接入网运营处进行开户登记,并在用户通信时进行认证与授权。对运营商而言,掌握用户信息十分重要,是实现用户管理的基础,必须对每个用户进行开户登记。在用户通信过程中,必须对用户进行合法性认证,杜绝非法用户接入网络,占用网络资源,影响合法用户的权益。
----《通信产业报》
|
