承載網關鍵技術讓NGN業務更可靠

　　 
　　地址/路由規劃
　　NGN業務與Inte.net業務的隔離，就允許為NGN業務獨立規劃IP地址空間，可以采用私有地址、公網地址。在IPv6部署之前，如果每個終端都分配一個IPv4公有地址，顯然無法滿足未來千萬甚至上億用戶規模的需求，因此使用公網地址存在著嚴重的限制。

　　
　　運營商使用私有地址，可以為不同的終端設備分配私有地址，為NGN業務網核心設備(如軟交換、TG、MG、AG以及服務器)分配靜態地址。這時，需要在私網-公網的邊界設置地址轉換以及地址穿越設備。如果考慮用戶發展需求以及網絡建設的復雜度，建議選用A類私有網段(10.X.X.X)，一個A類地址段包含1600萬個地址，剔除組網開銷后，實際大約支持1000多萬用戶。如果全網采用一個私有地址段，也無法滿足未來千萬甚至上億規模的需求，因此必須采用多個私有地址段組合編址，但這種方式增加了網絡建設的復雜度，并為地址轉換及地址穿越帶來了新的難度。
　　
　　考慮到NGN業務與Internet業務相互隔離，公網地址私用也成為一種可行的地址方案，尤其是IP專網的隔離方式。公網私用理論上有40億個IPv4地址可用，易于規劃和擴展，但與Internet互通時也需要IP-IP網關，但這種網關數目應少于使用私有地址的NAT數量。
　　
　　地址的分配方式還會影響到路由效率以及業務的開展，因此需要謹慎的規劃。無論是使用私有地址還是公有地址，對地址/路由規劃有以下建議：
　　
　　*IP地址的劃分應該充分考慮網絡地址現狀和NGN業務發展的需要；
　　
　　*參考網絡組織結構和路由組織原則，核心匯接層以及各省內分配地址應連續；
　　
　　*充分合理利用地址資源，采用可變長子網掩碼(VLSM)技術；
　　
　　*地址劃分有層次，采用CIDR技術，便于網絡互聯，簡化路由表，加快路由收斂速度，提高路由效率；
　　
　　*充分利用已申請的地址空間，合理使用已分配的地址段，提供地址利用率。
　　
　　服務質量
　　NGN業務網絡不再是社會公益性網絡，而是商用網絡，所以提供QoS保障是運營商運營的基礎。由于NGN業務要求端到端的QoS保證，這就需要承載網全網支持QoS機制。結合網絡技術及建設水平的現狀，基于DiffServ的流量工程，結合快速重路由等技術對實時業務的支持有望達到電信級服務。具體實施時需要考慮QoS的演進策略，可以先在承載網上實現DiffServ服務，在初期骨干網上NGN業務輕載時可使用超額帶寬和DiffServ保證服務質量。隨著業務負載的增大再開啟流量工程督導流量。流量工程監控的項目包括網絡的擁塞狀況、點到點流量等，再根據這些數據對流量進行疏導，避免網絡擁塞的發生，同時也為進一步網絡規劃、升級提供依據。在承載網絡中，實現端到端的QoS需要以下的三個部分來保障：
　　
　　*每個網絡實體(接入服務器、路由器以及以太網交換機等)支持QoS，提供報文分類、隊列調度、流量監管以及流量整形等功能；
　　
　　*采用信令技術來協調端到端之間的網絡實體為報文提供QoS；
　　
　　*接納控制決定是否允許用戶信息流使用網絡資源。
　　
　　從承載網分層結構角度看，對骨干網、匯聚層和接入層的QoS方案有以下建議：
　　
　　*骨干網輕載時使用超額帶寬和DiffServ足以滿足要求。隨著業務量增加，骨干網重載時，物理隔離或邏輯隔離出NGN業務網，采用PLSDiffServ、MPLSTE以及MPLSFRR等技術來保障骨干網的服務質量；
　　
　　*短期內看城域網建設的成本還比較高，所以城域匯聚層和接入層存在著較大的帶寬收斂比，必須采用相應QoS機制，來保證NGN業務的質量。在L2設備上，對接入實時業務的VLAN端口，打上高優先級的802.1p標記，優先轉發；在L3設備上，直接對實時業務打上高優先級的DSCP標記，優先處理。另外接入-匯聚-骨干之間的接口上還要完成802.1p、DSCP、TOS、E-LSP等優先級的映射操作；
　　
　　*城域接入層還需要對不同用戶限制帶寬，通過與軟交換控制設備的交互，按用戶及業務動態進行帶寬資源的配置，提供差異性服務，滿足與用戶簽訂的SLA；
　　
　　*NGN邊緣接入設備(如IAD等)還需要支持DiffServ模型，對不同業務流具有分類標識功能。包括二層和三層標識，以便NGN承載網設備根據標識對不同的業務提供相關的QoS保證。NGN邊緣接入設備應具有控制接入用戶數目的功能，出口帶寬應大于滿負荷時的業務流量，以保證NGN業務的QoS。
　　
　　安全保障
　　NGN承載網與Internet網相互隔離，形成了一個相對封閉的業務網。這種隔離屏蔽了來自Internet的不安全因素，余下的工作就是對NGN業務網的入口進行嚴格的安全控制。
　　
　　*NGN業務網核心設備(softX、SG、TG等)通過防火墻接入承載網，可以有效防止對關鍵設備的攻擊；
　　
　　*NGN業務網通過IP-IP網關與Internet網互通，在該網關上設置合理的安全策略以及入侵監測機制，可以有效降低來自Internet的威脅；
　　
　　*IAD設備位于用戶端，是業務網最大的安全隱患，存在著利用IAD惡意攻擊運營商關鍵網絡設備的可能性。首先必須確保IAD設備的物理安全，不允許接入端口的非法訪問；其次所有的IAD設備都通過BAS接入NGN業務網，由BAS進行設備的接入控制和管理。
　　
　　在實現NGN業務網絡安全的同時，還需要保障用戶的隔離、可管理等安全措施，防范常見的非法應用，如地址仿冒，搶占資源。
　　
　　用戶信息隔離是指接入網必須保障用戶數據(單播地址的幀)的安全性，隔離攜帶有用戶個人信息的廣播消息(如ARP地址解析協議、DHCP動態主機配置協議)，防止用戶的關鍵設備受到攻擊。
　　
　　用戶管理要求用戶在接入網運營處進行開戶登記，并在用戶通信時進行認證與授權。對運營商而言，掌握用戶信息十分重要，是實現用戶管理的基礎，必須對每個用戶進行開戶登記。在用戶通信過程中，必須對用戶進行合法性認證，杜絕非法用戶接入網絡，占用網絡資源，影響合法用戶的權益。

原文轉自：http://www.kjueaiud.com