李偉 2007/06/01

　　NGN是指能夠承載全部電信級(jí)業(yè)務(wù)(如語(yǔ)音、視頻、數(shù)據(jù)的統(tǒng)一承載平臺(tái))，即整合NGN和IMS體系架構(gòu)、固定網(wǎng)絡(luò)和移動(dòng)網(wǎng)絡(luò)融合在同一張NGN上。
　　業(yè)界公認(rèn)IP是NGN的承載平臺(tái)，而傳統(tǒng)IP網(wǎng)絡(luò)無(wú)論QoS、可靠性、可用性和安全性都因協(xié)議的限制，存在天生缺陷，因此NGN面臨的首要問(wèn)題是對(duì)IP承載網(wǎng)的優(yōu)化。本文從網(wǎng)絡(luò)的可靠性入手，探討NGN網(wǎng)絡(luò)的優(yōu)化思路。
1、NGN承載網(wǎng)需求
　　部署NGN業(yè)務(wù)時(shí)必須面對(duì)QoS、地址規(guī)劃、可靠性、網(wǎng)管和用戶安全等復(fù)雜問(wèn)題。從QoS角度看，目前國(guó)內(nèi)運(yùn)營(yíng)商普遍采用輕載加區(qū)分服務(wù)的方式，做得比較領(lǐng)先的運(yùn)營(yíng)商在此基礎(chǔ)上再引入FRR和流量工程(TE)作為配合，如中國(guó)電信CN2。IP地址的規(guī)劃則需要解決擴(kuò)展性和公私網(wǎng)互通問(wèn)題。目前上述方面已經(jīng)研究的非常多，下面從網(wǎng)絡(luò)的高可靠性角度進(jìn)行分析。
　　目前，固定網(wǎng)絡(luò)運(yùn)營(yíng)商大多以交換形的城域網(wǎng)作為承載。在這樣的網(wǎng)絡(luò)中，為承載NGN業(yè)務(wù)，需將三層交換機(jī)改造為核心路由器；接入交換機(jī)改造為業(yè)務(wù)路由器。
　　通常NGN業(yè)務(wù)系統(tǒng)不支持路由協(xié)議，一般采用虛擬路由器冗余協(xié)議(VRRP)保障。而VRRP出現(xiàn)在七八年前，其切換時(shí)間在3s以上。
　　在網(wǎng)絡(luò)級(jí)上。經(jīng)常采用Graceful Restart作為保護(hù)手段，該技術(shù)對(duì)設(shè)備和協(xié)議的要求較高，存在一些限制，同時(shí)在重啟的過(guò)程中，極易導(dǎo)致長(zhǎng)時(shí)間(數(shù)秒到數(shù)百秒)路由黑洞和環(huán)路，這在承載電信級(jí)業(yè)務(wù)的網(wǎng)絡(luò)中是無(wú)法容忍的。
2、NGN承載網(wǎng)最佳實(shí)踐
2.1　服務(wù)質(zhì)量(QoS)
　　就目前而言，通過(guò)全網(wǎng)端到端部署基于DiffServ的TE，并分別在二層和三層網(wǎng)絡(luò)結(jié)合FRR實(shí)現(xiàn)對(duì)實(shí)時(shí)業(yè)務(wù)的支持。
　　首先，在骨干網(wǎng)部署基于多協(xié)議標(biāo)簽交換(MPLS)的FRR和DiffServ技術(shù)，保障核心和大區(qū)的切換時(shí)間，并結(jié)合輕載保障QoS。其次在城域三層網(wǎng)絡(luò)中部署DiffServ，目前領(lǐng)先的設(shè)備可做到嚴(yán)格帶寬保證。
　　最有挑戰(zhàn)性的是接入網(wǎng)絡(luò)建設(shè)，目前虛擬專用局域網(wǎng)業(yè)務(wù)(VPLS)技術(shù)作為MPLS技術(shù)在以太網(wǎng)上的一種補(bǔ)充手段，可以充分實(shí)現(xiàn)DiffServ、FRR、VPN部署和接入的結(jié)合，因此在三層網(wǎng)絡(luò)邊緣部署VPLS可以很好地解決傳統(tǒng)的二層交換機(jī)無(wú)法克服的問(wèn)題。
2.2　網(wǎng)絡(luò)級(jí)可靠性
　　VPLS可以很好地解決傳統(tǒng)二層IP接入網(wǎng)的可靠性問(wèn)題，做到50ms級(jí)的鏈路切換。其建設(shè)思路如下：
　　將傳統(tǒng)的以太網(wǎng)交換機(jī)替換為支持VPLS應(yīng)用及有良好QoS保障機(jī)制的以太網(wǎng)業(yè)務(wù)交換機(jī)，業(yè)務(wù)路由器和業(yè)務(wù)交換機(jī)之間組成Secure VPLS架構(gòu)。
　　通過(guò)在業(yè)務(wù)路由器與業(yè)務(wù)交換機(jī)之間使用VPLS FRR技術(shù)來(lái)保證收斂時(shí)間小于50ms，同時(shí)通過(guò)用戶系統(tǒng)自有機(jī)制來(lái)實(shí)現(xiàn)用戶系統(tǒng)和業(yè)務(wù)交換機(jī)之間的鏈路故障快速收斂。不同的業(yè)務(wù)流在各節(jié)點(diǎn)內(nèi)劃為不同的VPLS實(shí)例，在節(jié)點(diǎn)間的核心網(wǎng)內(nèi)將業(yè)務(wù)流劃為不同的二三層VPN。
　　最終，全網(wǎng)業(yè)務(wù)系統(tǒng)端到端的VPN架構(gòu)為：節(jié)點(diǎn)內(nèi)VPLS+核心網(wǎng)MPLS VPN+節(jié)點(diǎn)內(nèi)VPLS，配合使用FRR、DiffServ，最大限度提供可靠性。
2.3　設(shè)備級(jí)可靠性
　　對(duì)承載實(shí)時(shí)業(yè)務(wù)的網(wǎng)絡(luò)，合理的方式是采用不間斷路由(NSR)的保護(hù)機(jī)制。
　　NSR技術(shù)使路由器設(shè)備達(dá)到了前所未有的高可用性，使主控卡在切換時(shí)，做到不中斷路由、不中斷轉(zhuǎn)發(fā)、不中斷業(yè)務(wù)，并且使鄰近的路由器不受任何影響。這一技術(shù)比傳統(tǒng)的不中斷轉(zhuǎn)發(fā)+Graceful Restart方式具有更好的系統(tǒng)可用性和可操作性，從而進(jìn)一步實(shí)現(xiàn)不中斷業(yè)務(wù)功能，它保證路由器的主備控制卡的平滑切換，對(duì)鄰居路由器沒(méi)有任何影響，無(wú)需路由協(xié)議的擴(kuò)充，實(shí)施起來(lái)簡(jiǎn)單易行。
2.4　網(wǎng)絡(luò)安全
　　通常NGN承載網(wǎng)會(huì)建設(shè)成與Internet隔離的私有網(wǎng)絡(luò)，但是由于接入用戶等需求，不能夠做到完全的隔離。因此面臨的風(fēng)險(xiǎn)來(lái)自網(wǎng)絡(luò)邊緣，同時(shí)協(xié)議自身所導(dǎo)致的漏洞也不可忽視。NGN承載網(wǎng)可考慮邊界部署防火墻、入侵檢測(cè)系統(tǒng)(IDS)，可以實(shí)時(shí)檢測(cè)，防止對(duì)承載網(wǎng)核心設(shè)備的攻擊。作為路由協(xié)議而言，除需要關(guān)閉常見(jiàn)的服務(wù)外，需重點(diǎn)部署對(duì)于設(shè)備控制和轉(zhuǎn)發(fā)平面的防護(hù)。如在控制平面，可通過(guò)設(shè)備專用芯片，建立專門(mén)的會(huì)話過(guò)濾，為正常的會(huì)話和其他攻擊手段建立區(qū)分服務(wù)，有效地解決針對(duì)路由協(xié)議和控制信令的攻擊。

中國(guó)聯(lián)通網(wǎng)站