《NGN承载网的QoS与安全问题.docx》由会员分享,可在线阅读,更多相关《NGN承载网的QoS与安全问题.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、NGN承载网的QoS与平安问题1引言NGN是下一代电信网的开展趋势,虽然目前其体系架构、相关标准仍在不 断完善中,但是无论是基于软交换的体系架构还是基于IMS的体系架构,对承 载网技术的要求是一致的,都需要承载网能够提供电信级的QoS与平安。本文分析了承载网的QoS与平安问题,并给出了一种现实的NGN承载网的 建设方案。2NGN承载网的QoS考虑考虑承载网的QoS问题,首先必须搞清楚影响VoIPQoS的几个重要因素。2. 1时延由于当前IP分组网的固有特性和低比特话音编解码器的使用,使得VoIP 语音分组的端到端时延要比电路交换网中的时延大得多,组成局部也更为复杂, VoIP应用中网络通信结构
2、和底层传输协议的多样性,决定了时延成分的多样性。端到端的时延可以分成两个局部,即固定时延和可变时延。固定时延包括 编解码器引入的时延和打包时延。固定时延和采用的压缩算法、打包的语音数 据量相关。可变时延包括:承载网上的传输、节点中排队、服务处理时延、去 抖动时延,这些和设备的端口速率,网络的负载情况,经过的网络路径、设备 对QoS的支持方式、实现的QoS算法等密切相关。特别是去抖时延和承载网络 的抖动指标密切相关,通过采用合适的网络技术可以显著降低语音通过网络时 引入的抖动,减少去抖动时延。IP网中话音分组的端到端时延,150ms以下的时延,对于大多数应用来说 是可接受的;150400ms之间
3、的时延,在用户预知时延状况的前提下可以接受; 大于400ms的时延不可接受。目前,不同级别的网络设备,在正常情况下的数据包处理时延为几十微秒 到几毫秒,能够满足单跳时延要求,但承载网的跳数设计不能超过以上端到端 的的时延要求,而且跳数越少越好。2. 2抖动根据实际测量发现,抖动大于500ms是不可接收的,而抖动到达300ms时, 是可以接受的,此时为了消除抖动会引起较大的时延,综合时延对语音质量的 影响来考虑,要求承载网的抖动小于80ms。抖动会引起端到端的时延增加,会引起语音质量的降低。影响抖动的因素 一般和网络的拥塞程度相关。网络节点流量超忙,数据包在各节点缓存时间过 长,使得到达速率变化
4、较大。由于语音同数据在同一条物理线路上传输,语音 包通常会由于数据包的突发性而导致阻塞。2. 3丢包率丢包对VoIP语音质量的影响较大,当丢包率大于10%时,已不能接受,而 在丢包率为5%时,基本可以接受。因此,要求IP承载网的丢包率小于5%。丢包率的形成原因主要有两点,一是传统IP传输过程中的误码,这种情况 在目前的网络条件下发生的概率极低。另一个是不能保障业务带宽造成的,当 网络流量越拥塞,影响就越强烈,丢包发生率也就越大。3. 4带宽足够的带宽是保障业务QoS的重要手段。如语音编码压缩采用ITU-TG. 729 标准,速率为8kbit/s。典型的语音编码器每20ms分发一个语音数据包,每
5、个 数据包中含有两个语音帧,所以每20ms就会采样生成160bit的信号,即数据 包大小为20字节。当加上12字节的RTP头,8字节的UDP头和20字节的1P 头后,那么每个包大小变为60字节。因此,每个语音连接的有效速率为 (60X8)/20=24kbit/so同理,G. 711的有效速率为80kbit/s。考虑目前城域网 内主要的链路层技术是以太网,G. 729, G.711的有效速率分别为:34. 4kbit/s, 90. 4kbit/so控制流和信令流的带宽详细计算原那么是一样的,要考虑信令消息以及开销 的字节数,开销的计算跟语音业务带宽中的计算类似,信令消息的字节数那么需 要根据不同
6、协议的呼叫消息字节数、呼叫比例的分配等来计算。由于控制信令 在承载网占用的带宽较媒体流来说微乎其微,大约只占按照G. 711编码所需带 宽的0. 5%, 一个简单快速的算法就是按照媒体流带宽的2. 5%预留。对于任一层次的承载网络设备,上行端口汇聚了 NGN的业务,其带宽设计 必须满足其它端口及下联设备所带NGN用户的带宽需求。4. 5QoS的考虑通过对影响QoS的指标分析可以看到,对承载网的精心设计(如层次、跳数 的控制)、充分合理的带宽规划、防止网络拥塞,是目前现实方案中需要重点考 虑的因素。当前的IP服务质量体系结构主要有IETF建议的IntServ体系和DiffServ 体系。IntS
7、erv模型使用资源预留协议(RSVP),在传送数据之前,根据业务的 服务质量需求进行网络资源预留,从而为改数据流提供端到端的服务质量保证。 集成模型虽然能够提供确定的服务质量保证,但是它需要在网络中维护每个流 的状态,对路由器的要求高,难以在大型IP网络中实施,因此不考虑使用这个 方案。区分服务的基本思想是将用户的数据流按照服务质量要求划分等级,级 别高的数据流在排队和占用资源时比级别低的数据流有更高的优先级。区分服务只包含有限数量的业务级别,状态信息数量少、实现简单、扩展性好。因此 是目前业界认同的IP网络QoS的解决方案。在NGN业务与互联网业务共用网络设备的情况下,互联网业务的流量特征
8、对网络QoS性能的影响要充分考虑。一直以来,互联网的网络规划与建设基本 上是参照平均统计的经验模型,在充分考虑业务开展需要的同时预留一定的余 量,网络设备的能力与带宽往往超过实际的需要,但实际上发现网络的质量并 不稳定。根据近年来的研究发现,互联网承载的主要业务如WWW, FTP等在较大 的时间尺度内具有自相似的特性,表现为聚合流量产生的过程具有显著的突发 性,而不是像传统模型那样是一个预期的平滑叠加过程。具体表到达IP城域网 的现象就是:平均性能较好,瞬态特性很差。因此,在网络设计中必须充分考 虑互联网流量对NGN业务的冲击。解决这个问题,可以采用DiffServ技术来部 分改善,也可以考虑
9、建设NGN专用网络去防止这个问题。从运营的角度看,考 虑到传输资源充分、网络带宽以及设备本钱低、平安性等因素的考虑,建设专 用轻载网络,尽可能增大网络带宽也是非常现实的方案。在以上分析的基础上,提出本文的QoS解决思路,根据实际情况混合采用 以上技术。在骨干层使用MPLSVPN技术,城域网内使用DiffServ技术及局部建 设专用网络。在与互联网共用设备的节点,根据NGN承载的实体,分别将骨干 网上NGNVPN的LSP, NGN业务的二层VLAN, NGN业务的三层IP地址的优先级字 段都设置为最高级别,网络节点通过优先级字段进行报文分类、流量整形、流 量监管和队列调度,从而实现对NGN业务高
10、优先级的处理,最大程度减少互联 网的突发特性对NGN业务的冲击。另外,专用设备的建设用以保障在NGN业务 量大的区域,隔离互联网对NGN业务的影响。对于业务带宽的设计,需要根据VoIP的话务模型进行计算。根据目前我们 开展的NGN业务的特征及网络实际情况,我们使用了如下的带宽计算经验公式: NGN业务带宽=(用户数义单话路带宽)义收敛比X(l+2.5%)/0.8,其中话路带 宽二编码率+包头开销/打包周期;收敛比二话路收敛比X静音压缩比(如果VAD, 取60%,否那么取1);话路收敛比:1万用户以上取0.1, 1万1千取0.25, 1千 以下取0.5,话路收敛比可以根据本地业务的开展与网络的实
11、际情况进行调整。5. NGN承载网的平安性与可靠性考虑(1)为防止受到黑客或病毒程序的攻击或干扰,NGN承载网必须与互联网进 行物理或逻辑隔离,与互联网的互通必须通过平安设备(如防火墙)实现,不能 直接接入。(2)NGN用户或设备的接入需要经过身份认证才可以接入NGN网络,防止非 法用户和非法报文进入NGN网络。只有当用户的身份得到确认,才可以进行事 后审计与追踪,有效地防止了用户侧的网络攻击行为。通过以上措施可以基本消除来自其它网络和NGN用户方面的平安隐患,但 还要采取平安手段来保证NGN内部网络的平安。软交换、网关、服务器等NGN 核心网络设备在IP网中的地位类似于网络主机设备,因此要求
12、这些设备应具备 数据网中主机设备所具有的平安规格,可以应用防火墙、入侵检测、流量控制、 平安日志与审计等技术实现对NGN核心网络设备的平安防护。对于一些对平安 级别要求较高的用户还可以采用加密技术对信令和数据进行加密保护。网管系 统对各网元设备设置不同级别的管理员权限,使用户不能越级对设备进行操作。考虑到NGN承载网承载的都是电信级的业务,必须对网络的可靠性进行充 分的考虑。单台数据设备支持关键部件及单板的备份以及多个设备之间负载分 担及冗余备份,如VRRP的方式保证网络的平安性与可靠性;在组网上可以考虑 MPLSFRR和OSPF多条同等开销路径,当链路失效时具有高效的切换机制保证所 有业务的
13、不中断。4NGN承载网建设方案6. 1NGN承载网的建设思路(1) IP公网解决方案。所有NGN网元的IP地址与Internet其他网元统一 规划;除了 IAD设备比拟多外,NGN设备容量一般较大,设备间通讯业务对公网 IP地址需求量不大,无须私有地址分配及随之带来的应用层NAT互通问题;可 以快速部署。由于没有VPN隔离的平安保障,NGN网络设备的平安性完全依赖 于防火墙的保护,平安性风险较大,不要求路由器必须支持IP/MPLSVPN能力。 QoS问题很难解决,可以通过采用DiffServ局部解决。(2)VPN解决方案。地址与互联网地址隔离,单独规划。QoS主要采用 DiffServ技术,使
14、用成熟的带宽管理技术,如优先级调度、CAR等来保证QoS。 采用层次化组网和跨域VPN技术支撑NGN的规模部署。通过VPN, VLAN等技术 实现NGN承载网的隔离,通过媒体防火墙等技术实现网络隔离、受控接入和保 证平安。优先采用SDH, MSTP, VRRP和FRR等技术提高网络的可靠性,减少业 务中断的时间,提高网络的可用性;尽量利用现有网络和设备,提供多样化的接 入手段,可以在现有网络上部署,不引入新的,方案具有普遍的适用性,部署 比拟容易。(3)新建IP专网解决方案。通过物理隔离保证平安性,过量带宽建设和 DiffServ保证QoS,简化建网需要考虑的问题,有利于快速建网。通过防火墙
15、与IP公网互通,实现来自与不可信任区的业务呼叫。专网IP地址可以规划为 公用地址,也可规划为私有地址。规划为私有地址时,将来与Internet互通时 需要NAT转换,网络建设投资较大。根据以上的比拟,并结合我们的具体情况,给出一种NGN承载网的建设思 路:构建NGN物理/逻辑混合专网。共分为三个层次,骨干层、核心/汇聚层、 接入层。骨干网采用MPLSVPN,使用DiffServ技术,将NGNVPN的LSP优先级 设置为最高,城域网内核心及汇聚层设备根据具体情况采用专用或共用(二层 VLAN隔离)设备,对于共用设备的情况也使用DiffServ技术,而接入层那么必须 识别NGN业务并对NGNVLA
16、N进行优先转发。平安方面,通过VPN, VLAN等技术实现NGN承载网与互联网的隔离,但NGN业务必须考虑由公网/它网接入的情况,对于这些“非信任”的流量,必须设置媒体防火墙,实现网络隔离、受控接入和保证平安。考虑到信令的穿透, 这些防火墙也同时起着信令代理的作用。考虑到目前NGN的网络建设、业务开展都还没有经济、可靠、成熟的模式 可以遵循,那么就有必要对现阶段NGN的业务进行定位,业务的定位考虑到网 络的能力,而网络的建设也符合业务的开展模式。根据以上思路,确定目前的 NGN业务定位于提供增值业务,服务于网通的宽带大策略。这个思路的制定, 既考虑到了承载网的现状,也符合电信业务的开展规律。需
17、要说明的是,NGN承载网的方案与NGN系统的部署方案没有直接关系, NGN系统中各组件的放置位置对承载网是透明的,承载网提供网络的连接,使 得NGN的信令与媒体流畅通无阻实现NGN的业务要求。4. 2NGN承载网骨干层/核心/汇聚层建设方案考虑到承载网的重要性及质量要求,骨干层的NGNVPN采用专用PE设备, 不与普通MPLSVPN的设备共用,为增加网络可靠性,可以将互联网的PE作为 NGNPE的备份。考虑到IP骨干网的拓扑结构已经非常健壮而且流量比拟小,不 会发生拥塞的情况,目前暂不考虑使用MPLS TE及FRR,待骨干网的流量起到 一定程度再实施TE。路由方面,对于跨域的连接方式,考虑到M
18、P-EBGP方式无 需在不同的自治系统的PE之间建立全连接的LSP,可以有效解决组大网的问题, 建议采用这种方案解决跨域问题。对于地址规划,理论上可以采用任意的IP地 址规划方案,考虑到尽量防止NAT转换,同时考虑到今后有可能与其它软交换 系统互连,建议核心系统采用公网地址,而接入层设备地址采用私网地址。城域网内,一般建议设置独立核心设备汇聚NGN业务,上联至NGN的PE, 而对于汇聚层那么根据已有设备的实际使用情况确定共用设备还是投资新建设备, 对于互联网业务重点区域、NGN业务开展重点区域、汇聚设备负荷已较重等情 况下,建议设置独立的NGN汇聚设备。图1所示为NGN承载网的组网模型。4.
19、3NGN接入层建设方案4. 3. 1接入网的建设思路电信业务接入网本身具有复杂性,接入层技术种类多、接入方式多、接入 的业务多、接入环境比拟差、物理设施共用问题等。为了保证NGN业务的质量 与平安性,必须根据实际情况,妥善解决NGN接入与原有业务、接入技术、设 备的关系,才能完成NGN接入层的功能。处理这些问题的一个基本原那么就是: 在不影响原有业务的前提下,并在一定程度满足NGN业务质量的同时,尽量共 用设备减少投资。NGN业务是独立于互联网的业务,但NGN承载于IP上,考虑到节省投资及 技术的可行性,NGN接入层的建设不与互联网的IP分开考虑,而在一定层次上 进行汇合。IP的汇合层次是NG
20、N业务的质量、平安性与投资造价的折衷考虑。4.3. 2NGN接入模型NGN的接入非常灵活,可以通过软终端提供EPhone, VideoPhone等业务, 适用在宽带基础上开展语音和语音增值业务。软终端的方式与网络建设模式关 系不大,只要能够连接到互联网即可。目前,NGN的接入主要有两种方式:IAD与AG。IAD可以提供数据接口,一 般提供的用户端口数较少,而AG那么比拟灵活,既有小容量设备,可以提供几十 至上百线的节点,也有中大容量设备,提供上百至几千线的容量。IAD与AG的不同特点主要有二,一是综合接入,这点在我们实际运作中发 现除了设备放到用户端提供数据接入外,其它情况用的很少,而且综合接
21、入由 于带宽或者设备问题,互联网流量的突发性往往会对语音质量产生不良影响, 不推荐使用这种方式。二是IAD设备小、端口少的特点使其更适合靠近用户端, 而这一点必须依赖已有的LANo可以看到IAD与LAN有密切的关系。在实际使用中发现,IAD的设备的稳定、可靠性、可管理性不如AG,但接 入相当灵活,只要有以太网的地方都可以接入,可以充分利用已有的网络资源。 AG虽然稳定性、可靠性高,但需要布3类电缆,整体建网本钱较高,对于宽带 业务的支持只能限于DSL技术,不如LAN的带宽潜力大。根据以上分析不难发现NGN的业务开展与数据业务(互联网)的接入有密切 关系,对于IAD而言,适用于有LAN的情况,而
22、AG本身可以与DSLAM配合提供 宽带业务,实际上现在各主流厂家都已经推出了综合AG产品,可以直接在AG 上提供DSL业务,可见IAD+LAN+5类线、AG+xDSL+3类线是两种基本的NGN/宽 带接入模式。这两种模式具有不同的组网特点与要求,AG上行直接连接到IP城域网的 汇聚层或者核心层设备,可靠与平安性有较好的保证,而IAD 一般部署于接入 层的CPN内,NGN业务与互联网业务需要不同程度的共享LAN的资源,因此互 联网及NGN业务必须进行VLAN隔离,并实施不同的优先级,同时采用广播抑制、 端口限速、端口隔离、MAC/ARP限制等手段,解决CPN内NGN业务的的平安与 质量问题。另外
23、,IAD的放置位置虽然灵活,但IAD上行是IP分组,下行是3 类模拟信号,放置的位置实际上是上行VoIP分组质量与下行3类布线长度的综 合考虑。即放置的层次越高,语音的质量保证好,但3类线就越长(即投资高, 但IAD放在楼层时也可通过5类线分线解决),因此实际方案中,IAD的放置位 置必须综合考虑网络质量与投资的要求。4. 3. 3NGN的接入策略接入策略应根据接入技术特点、网络现状及NGN/宽带业务开展策略综合考 虑O(1)已有LAN的地方,使用IAD的方式接入NGN业务。(2)已建设PSTN的接入点,基础语音由PSTN提供。如果需要NGN接入,可 以考虑采用以下两种方式接入NGN网络,一是
24、语音接入模块的改造,上联端直接提供IP接口接入到NGN系统。二是通过PPPOE的拨号方式,接入到NGN,提 供NGN增值业务。(3)对于新建接入点,依据接入点数据、语音需求的特点及接入点的环境特 点选择接入模式。对于数据要求高的、用户较集中的情况,采用LAN+IAD的方 式;对于语音要求高的、用户较分散的情况,采用AG+DSL的方式;对于数据与语 音要求都很高的,那么也可以采用叠加的方式,即语音用AG接入,数据用LAN 接入。广东网通已开展了大量的宽带LAN用户,在LAN的基础上叠加语音业务具 有特殊意义。4. 3. 4接入网的地址规划对于AG的接入使用单独规划的NGN的私网地址,对于IAD非
25、在客户端的情 况也使用NGN的私网地址,但对于IAD在用户端的情况,考虑到平安性,使用 IP城域网的私网地址,VLAN终结到CPN内三层设备,走城域网内的路由到NGN 与城域网之间的防火墙,经过代理连接到NGN,保证NGNVPN的平安。对于与其他网合作方式接入的NGN业务,根据实际情况灵活选择以下方式: 用户地址为私网地址(由我们规划,合作方分配管理),但要求合作方保证纯语 音的接入;用户为公网地址,经过路由到我们城域网,通过防火墙连接NGN;用 户地址为私网地址(由合作方自行规划与分配),经过NAT转换为我们城域网公 网或私网地址,然后再通过防火墙连接到NGN,这种方式效率较低,不适宜开 展高品质的语音业务。对于软PHONE用户,在公网上直接注册到域名解释的防火墙,通过防火墙 代理连接到NGNo5NGN承载网的实践根据本文提出的建设方案,已建设独立的NGN承载网,并已开展NGN业务, 在网实际测量说明,目前的承载网可以满足时延、抖动及误码率的要求。随着 NGN业务量的迅速开展,在实际运营上还可能会出现一些问题,我们会积极跟 踪解决,适当调整策略,相信这种方案能较好地满足今后一段时期内NGN业务 的开展要求。