NGN承載網(wǎng)的QoS和安全考慮及建設方案探討

在以上分析的基礎上，提出本文的QoS解決思路，根據(jù)實際情況混合采用以上技術。在骨干層使用MPLSVPN技術，城域網(wǎng)內(nèi)使用DiffServ技術及部分建設專用網(wǎng)絡。在與互聯(lián)網(wǎng)共用設備的節(jié)點，根據(jù)NGN承載的實體，分別將骨干網(wǎng)上NGNVPN的LSP，NGN業(yè)務的二層VLAN，NGN業(yè)務的三層IP地址的優(yōu)先級字段都設置為最高級別，網(wǎng)絡節(jié)點通過優(yōu)先級字段進行報文分類、流量整形、流量監(jiān)管和隊列調(diào)度，從而實現(xiàn)對NGN業(yè)務高優(yōu)先級的處理，最大程度減少互聯(lián)網(wǎng)的突發(fā)特性對NGN業(yè)務的沖擊。另外，專用設備的建設用以保障在NGN業(yè)務量大的區(qū)域，隔離互聯(lián)網(wǎng)對NGN業(yè)務的影響。

對于業(yè)務帶寬的設計，需要根據(jù)VoIP的話務模型進行計算。根據(jù)目前我們開展的NGN業(yè)務的特征及網(wǎng)絡實際情況，我們使用了如下的帶寬計算經(jīng)驗公式：NGN業(yè)務帶寬=[(用戶數(shù)×單話路帶寬)×收斂比×(1+2.5%)]/0.8，其中話路帶寬=編碼率+包頭開銷/打包周期;收斂比=話路收斂比×靜音壓縮比(如果VAD，取60%，否則取1);話路收斂比：1萬用戶以上取0.1，1萬～1千取0.25，1千以下取0.5，話路收斂比可以根據(jù)本地業(yè)務的開展與網(wǎng)絡的實際情況進行調(diào)整。

3 NGN承載網(wǎng)的安全性與可靠性考慮

(1)為防止受到黑客或病毒程序的攻擊或干擾，NGN承載網(wǎng)必須與互聯(lián)網(wǎng)進行物理或邏輯隔離，與互聯(lián)網(wǎng)的互通必須通過安全設備(如防火墻)實現(xiàn)，不能直接接入。

(2)NGN用戶或設備的接入需要經(jīng)過身份認證才可以接入NGN網(wǎng)絡，避免非法用戶和非法報文進入NGN網(wǎng)絡。只有當用戶的身份得到確認，才可以進行事后審計與追蹤，有效地防止了用戶側的網(wǎng)絡攻擊行為。

通過以上措施可以基本消除來自其它網(wǎng)絡和NGN用戶方面的安全隱患，但還要采取安全手段來保證NGN內(nèi)部網(wǎng)絡的安全。軟交換、網(wǎng)關、服務器等NGN核心網(wǎng)絡設備在IP網(wǎng)中的地位類似于網(wǎng)絡主機設備，因此要求這些設備應具備數(shù)據(jù)網(wǎng)中主機設備所具有的安全規(guī)格，可以應用防火墻、入侵檢測、流量控制、安全日志與審計等技術實現(xiàn)對NGN核心網(wǎng)絡設備的安全防護。對于一些對安全級別要求較高的用戶還可以采用加密技術對信令和數(shù)據(jù)進行加密保護。網(wǎng)管系統(tǒng)對各網(wǎng)元設備設置不同級別的管理員權限，使用戶不能越級對設備進行操作。

考慮到NGN承載網(wǎng)承載的都是電信級的業(yè)務，必須對網(wǎng)絡的可靠性進行充分的考慮。單臺數(shù)據(jù)設備支持關鍵部件及單板的備份以及多個設備之間負載分擔及冗余備份，如VRRP的方式保證網(wǎng)絡的安全性與可靠性;在組網(wǎng)上可以考慮MPLSFRR和OSPF多條同等開銷路徑，當鏈路失效時具有高效的切換機制保證所有業(yè)務的不中斷。

4 NGN承載網(wǎng)建設方案

4.1 NGN承載網(wǎng)的建設思路

(1)IP公網(wǎng)解決方案。所有NGN網(wǎng)元的IP地址與Internet其他網(wǎng)元統(tǒng)一規(guī)劃;除了IAD設備比較多外，NGN設備容量一般較大，設備間通訊業(yè)務對公網(wǎng)IP地址需求量不大，無須私有地址分配及隨之帶來的應用層NAT互通問題;可以快速部署。由于沒有VPN隔離的安全保障，NGN網(wǎng)絡設備的安全性完全依賴于防火墻的保護，安全性風險較大，不要求路由器必須支持IP/MPLSVPN能力。QoS問題很難解決，可以通過采用DiffServ部分解決。

(2)VPN解決方案。地址與互聯(lián)網(wǎng)地址隔離，單獨規(guī)劃。QoS主要采用DiffServ技術，使用成熟的帶寬管理技術，如優(yōu)先級調(diào)度、CAR等來保證QoS。采用層次化組網(wǎng)和跨域VPN技術支撐NGN的規(guī)模部署。通過VPN，VLAN等技術實現(xiàn)NGN承載網(wǎng)的隔離，通過媒體防火墻等技術實現(xiàn)網(wǎng)絡隔離、受控接入和保證安全。優(yōu)先采用SDH，MSTP，VRRP和FRR等技術提高網(wǎng)絡的可靠性，減少業(yè)務中斷的時間，提高網(wǎng)絡的可用性;盡量利用現(xiàn)有網(wǎng)絡和設備，提供多樣化的接入手段，可以在現(xiàn)有網(wǎng)絡上部署，不引入新的網(wǎng)絡協(xié)議，方案具有普遍的適用性，部署比較容易。

(3)新建IP專網(wǎng)解決方案。通過物理隔離保證安全性，過量帶寬建設和DiffServ保證QoS，簡化建網(wǎng)需要考慮的問題，有利于快速建網(wǎng)。通過防火墻與IP公網(wǎng)互通，實現(xiàn)來自與不可信任區(qū)的業(yè)務呼叫。專網(wǎng)IP地址可以規(guī)劃為公用地址，也可規(guī)劃為私有地址。規(guī)劃為私有地址時，將來與Internet互通時需要NAT轉(zhuǎn)換，網(wǎng)絡建設投資較大。

根據(jù)以上的比較，并結合我們的具體情況，給出一種NGN承載網(wǎng)的建設思路：構建NGN物理/邏輯混合專網(wǎng)。共分為三個層次，骨干層、核心/匯聚層、接入層。骨干網(wǎng)采用MPLSVPN，使用DiffServ技術，將NGNVPN的LSP優(yōu)先級設置為最高，城域網(wǎng)內(nèi)核心及匯聚層設備根據(jù)具體情況采用專用或共用(二層VLAN隔離)設備，對于共用設備的情況也使用DiffServ技術，而接入層則必須識別NGN業(yè)務并對NGNVLAN進行優(yōu)先轉(zhuǎn)發(fā)。

安全方面，通過VPN，VLAN等技術實現(xiàn)NGN承載網(wǎng)與互聯(lián)網(wǎng)的隔離，但NGN業(yè)務必須考慮由公網(wǎng)/它網(wǎng)接入的情況，對于這些“非信任”的流量，必須設置媒體防火墻，實現(xiàn)網(wǎng)絡隔離、受控接入和保證安全?？紤]到信令的穿透，這些防火墻也同時起著信令代理的作用。

考慮到目前NGN的網(wǎng)絡建設、業(yè)務發(fā)展都還沒有經(jīng)濟、可靠、成熟的模式可以遵循，那么就有必要對現(xiàn)階段NGN的業(yè)務進行定位，業(yè)務的定位考慮到網(wǎng)絡的能力，而網(wǎng)絡的建設也符合業(yè)務的發(fā)展模式。根據(jù)以上思路，確定目前的NGN業(yè)務定位于提供增值業(yè)務，服務于網(wǎng)通的寬帶大策略。這個思路的制定，既考慮到了承載網(wǎng)的現(xiàn)狀，也符合電信業(yè)務的發(fā)展規(guī)律。

需要說明的是，NGN承載網(wǎng)的方案與NGN系統(tǒng)的部署方案沒有直接關系，NGN系統(tǒng)中各組件的放置位置對承載網(wǎng)是透明的，承載網(wǎng)提供網(wǎng)絡的連接，使得NGN的信令與媒體流暢通無阻實現(xiàn)NGN的業(yè)務要求。

4.2 NGN承載網(wǎng)骨干層/核心/匯聚層建設方案

考慮到承載網(wǎng)的重要性及質(zhì)量要求，骨干層的NGNVPN采用專用PE設備，不與普通MPLSVPN的設備共用，為增加網(wǎng)絡可靠性，可以將互聯(lián)網(wǎng)的PE作為NGNPE的備份。考慮到IP骨干網(wǎng)的拓撲結構已經(jīng)非常健壯而且流量比較小，不會發(fā)生擁塞的情況，目前暫不考慮使用MPLS TE及FRR，待骨干網(wǎng)的流量起到一定程度再實施TE。路由方面，對于跨域的連接方式，考慮到MP-EBGP方式無需在不同的自治系統(tǒng)的PE之間建立全連接的LSP，可以有效解決組大網(wǎng)的問題，建議采用這種方案解決跨域問題。對于地址規(guī)劃，理論上可以采用任意的IP地址規(guī)劃方案，考慮到盡量避免NAT轉(zhuǎn)換，同時考慮到今后有可能與其它軟交換系統(tǒng)互連，建議核心系統(tǒng)采用公網(wǎng)地址，而接入層設備地址采用私網(wǎng)地址。