NGN時代IP承載網的構建

劉寧 姜忠正

摘 要:NGN網絡是網絡發展的必然趨勢,NGN網絡能夠能為用戶提供話音、數據和視訊等多種服務,這對現有的IP承載網提出了更高的要求,本文NGN時代IP承載網的承載要求和解決方案做了介紹。

關鍵詞:NGNIP承載網

中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2012)06(b)-0024-01

NGN(Next Generation Network)是基于包交換網絡,可以提供電信業務,是一種集成視頻、語音和數據業務新型的承載網絡,它是現代信息產業進一步發展的必然結果。

高清視頻的迅速普及及相關科研技術能力的提升,注定了視頻業務必定成為未來的業務發展的主體。在未來流媒體業務飛速膨脹、以及語音業務的IP化的時代,作為業務載體的IP承載網面臨新的要求。為了滿足NGN網絡不斷提升的用戶帶寬、差異化的用戶服務及業務多樣化,基于NGN的IP承載網勢必進行優化。

NGN對IP承載網的要求主要體現在以下三個方面。

1QoS保證能力

QoS保證能力,即服務質量的保證能力,包括可用性、延時、抖動、丟包率和頻道切換時間等。目前的視頻業務采用運動圖像壓縮編碼技術,在圖像解碼的過程中,各個幀之間有著互相參考和依賴,一個視頻報文的丟失,可能會影響后續多個視頻幀不能正確解碼,造成圖像的馬賽克現象。因此足夠的QoS保證是IP承載網必須具備的能力。

2高可靠性技術

承載網承載業務的實時性和復雜性,注定了承載網絡需要有一整套端到端的高可靠性技術來保證網絡的安全,有快速感知故障的機制以及自動快速切換到備份模塊的聯動技術。在承載網絡發生故障后,故障被快速感知,并和相關的備份模塊聯動,將業務快速遷移到備份模塊進行轉發,當故障恢復后應該有相應機制決定業務是否會切回原來的模塊。

3安全的業務服務

所謂安全的業務服務是指能夠基于業務進行安全隔離,業務之間互不影響,網絡具有防攻擊能力及冗余容災能力,對網絡中常見的各種攻擊如拒絕服務攻擊等有防護手段和抵御攻擊能力。

根據以上幾方面要求,NGN時代IP承載網的構建應采取以下幾個措施來保證業務開展。

3.1 提供QoS保證及QoS部署

為保證業務的穩定承載,可以根據不同的業務類型進行統一的QoS調度。對于IP承載網建議在網絡邊緣進行業務分類和標記,并根據標記進行相關的QoS策略,如流量監管和整形、擁塞管理和避免等。在承載網的核心側執行簡單流分類,進行相關的隊列調度和管理等。通過此法保證對業務的合理調度。

3.2 部署高可靠性技術

作為承載多種重要業務的IP承載網,部署高可靠性技術可以保證在網絡出現異常時快速感知和切換。IP承載網的高可靠性技術至少應包含以下幾個方面。

(1)故障檢測。

當故障發生時能夠以最短的時間檢測到故障的發生,縮短檢測時間,降低業務影響。目前業界最成熟最先進的技術就是BFD(Bidirectional Forwarding Detection)技術。BFD是一個簡單的“Hello”協議,一對系統在它們之間所建立會話的通道上周期性的發送檢測報文,如果某個系統在足夠長的時間內未收到對端的檢測報文,則認為在這條到相鄰系統的雙向通道的某個部分發生了故障。通過BFD技術可以在路由協議感知收斂之前感知故障,通過和相關協議模塊的聯動,檢測到故障后設備會立即將路由改為備份路徑或備份模塊轉發,保證業務不中斷。

(2)保護流量。

可使用FRR(Fast Reroute)技術保護故障發生至路由收斂前這段時間的流量不中斷,具體的說就是通過備份手段將流量切換到已經設置好的備份轉發表項上,達到保護流量的目的。常見的FRR如以下幾點。

①IP FRR。

建立到目的網絡的備份路徑,啟動故障檢測協議,主路徑沒有故障時,流量從主路徑發送出去,當主路徑故障時,流量從預先下發的備份路徑轉發出去,當主路徑恢復,轉發表項被更新時,流量從新的主路徑發送,FRR使命結束。

正常情況下流量選擇整網COST值較小的路徑(LR→NR)進行流量轉發,使用圖中路徑為LR→BNR→NR的路徑作為備份路徑,當主路徑故障時,LR將流量切到備用路徑進行轉發,保證流量不中斷。

②MPLS TE FRR。

MPLS TE FRR的基本原理是用一條預先建立的LSP來保護一條或多條LSP。預先建立的LSP稱為快速重路由LSP,被保護的LSP稱為主LSP。MPLS TE快速重路由的最終目的就是利用備份隧道繞過故障的鏈路或者節點,從而達到保護主路徑的功能。

兩個基站之間進行通信時通過IP承載網的MPLS VPN進行承載,業務承載在MPLS Te的Tunnel內,正常情況下業務流量路徑黃色實線Tunnel,當網絡中某個節點或某條路徑上的鏈路故障時,通過TE FRR技術使流量通過圖中虛黃線所示的Tunnel路徑轉發,保護了流量。

4網絡安全及防攻擊

NGN承載網全部采用MPLS VPN組網,通過標簽轉發技術防止數據回放,并通過VPN技術實現業務徹底隔離,保證了業務的安全性和可靠性。管理平面通過ACL限制管理端的源IP,防止非信任IP掃描或登錄設備。關閉不安全的telnet登錄方式,僅使用SSHv2登陸。網元的網絡管理使用SNMPv3,并對讀寫團體字進行MD5強口令加密處理,防止非法網管接入。網元設備開啟防DDOS攻擊、防ARP攻擊及防IP/ICMP攻擊等功能,保證網元安全。通過設置URPF、CPU-CAR、應用層聯動及攻擊溯源/告警等功能保證網絡及網元的安全。