NGN承载网的QoS和安全考虑及建设方案探讨
扫描二维码
随时随地手机看文章
1 引言
NGN是下一代电信网的发展趋势,虽然目前其体系架构、相关标准仍在不断完善中,但是无论是基于软交换的体系架构还是基于IMS的体系架构,对承载网技术的要求是一致的,都需要承载网能够提供电信级的QoS与安全。
目标的NGN网络上能够开展任何一种电信业务,统一的承载平台也一直是电信界的梦想,人们期待IP能够成为这个全业务网络的基础转发平台。虽然IP网络是目前公认的下一代电信网的承载网络,但IP网络本身的特点一方面奠定了IP网络成功的基础,另一方面这些特点也限制了其进一步的发展。IP的QoS与安全问题成为其最终能否承担起这个历史使命的最大悬念。电信级的端到端QoS研究,是电信界研究的热点,目前还没有成熟、可靠、可以大规模实施的技术,各运营商业也在密切跟踪与参与。目前,基于软交换的NGN系统及业务已经基本成熟,对于运营商而言,现阶段建设NGN网络、开展NGN业务具有一定的战略意义,因此在现有网络上研究如何提供具有一定保障的QoS与安全,并开展NGN的业务成为了一个现实而重要的课题。本文分析了承载网的QoS与安全问题,并给出了一种现实的NGN承载网的建设方案。
2 NGN承载网的QoS考虑
考虑承载网的QoS问题,首先必须搞清楚影响VoIPQoS的几个重要因素。
2.1时延
由于当前IP分组网的固有特性和低比特话音编解码器的使用,使得VoIP语音分组的端到端时延要比电路交换网中的时延大得多,组成部分也更为复杂,VoIP应用中网络通信结构和底层传输协议的多样性,决定了时延成分的多样性。
端到端的时延可以分成两个部分,即固定时延和可变时延。固定时延包括编解码器引入的时延和打包时延。固定时延和采用的压缩算法、打包的语音数据量相关。可变时延包括:承载网上的传输、节点中排队、服务处理时延、去抖动时延,这些和设备的端口速率,网络的负载情况,经过的网络路径、设备对QoS的支持方式、实现的QoS算法等密切相关。特别是去抖时延和承载网络的抖动指标密切相关,通过采用合适的网络技术可以显著降低语音通过网络时引入的抖动,减少去抖动时延。
IP网中话音分组的端到端时延,150ms以下的时延,对于大多数应用来说是可接受的;150~400ms之间的时延,在用户预知时延状况的前提下可以接受;大于400ms的时延不可接受。
目前,不同级别的网络设备,在正常情况下的数据包处理时延为几十微秒到几毫秒,能够满足单跳时延要求,但承载网的跳数设计不能超过以上端到端的的时延要求,而且跳数越少越好。
2.2 抖动
根据实际测量发现,抖动大于500ms是不可接收的,而抖动达到300ms时,是可以接受的,此时为了消除抖动会引起较大的时延,综合时延对语音质量的影响来考虑,要求承载网的抖动小于80ms。
抖动会引起端到端的时延增加,会引起语音质量的降低。影响抖动的因素一般和网络的拥塞程度相关。网络节点流量超忙,数据包在各节点缓存时间过长,使得到达速率变化较大。由于语音同数据在同一条物理线路上传输,语音包通常会由于数据包的突发性而导致阻塞。
2.3 丢包率
丢包对VoIP语音质量的影响较大,当丢包率大于10%时,已不能接受,而在丢包率为5%时,基本可以接受。因此,要求IP承载网的丢包率小于5%。
丢包率的形成原因主要有两点,一是传统IP传输过程中的误码,这种情况在目前的网络条件下发生的概率极低。另一个是不能保障业务带宽造成的,当网络流量越拥塞,影响就越强烈,丢包发生率也就越大。
2.4 带宽
足够的带宽是保障业务QoS的重要手段。如语音编码压缩采用ITU-TG.729标准,速率为8kbit/s。典型的语音编码器每20ms分发一个语音数据包,每个数据包中含有两个语音帧,所以每20ms就会采样生成160bit的信号,即数据包大小为20字节。当加上12字节的RTP头,8字节的UDP头和20字节的lP头后,则每个包大小变为60字节。因此,每个语音连接的有效速率为(60×8)/20=24kbit/s。同理,G.711的有效速率为80kbit/s。考虑目前城域网内主要的链路层技术是以太网,G.729,G.711的有效速率分别为:34.4kbit/s,90.4kbit/s。
控制流和信令流的带宽详细计算原则是一样的,要考虑信令消息以及开销的字节数,开销的计算跟语音业务带宽中的计算类似,信令消息的字节数则需要根据不同协议的呼叫消息字节数、呼叫比例的分配等来计算。由于控制信令在承载网占用的带宽较媒体流来说微乎其微,大约只占按照G.711编码所需带宽的0.5%,一个简单快速的算法就是按照媒体流带宽的2.5%预留。
对于任一层次的承载网络设备,上行端口汇聚了NGN的业务,其带宽设计必须满足其它端口及下联设备所带NGN用户的带宽需求。
2.5 QoS的考虑
通过对影响QoS的指标分析可以看到,对承载网的精心设计(如层次、跳数的控制)、充分合理的带宽规划、避免网络拥塞,是目前现实方案中需要重点考虑的因素。
当前的IP服务质量体系结构主要有IETF建议的IntServ体系和DiffServ体系。IntServ模型使用资源预留协议(RSVP),在传送数据之前,根据业务的服务质量需求进行网络资源预留,从而为改数据流提供端到端的服务质量保证。集成模型虽然能够提供确定的服务质量保证,但是它需要在网络中维护每个流的状态,对路由器的要求高,难以在大型IP网络中实施,因此不考虑使用这个方案。区分服务的基本思想是将用户的数据流按照服务质量要求划分等级,级别高的数据流在排队和占用资源时比级别低的数据流有更高的优先级。区分服务只包含有限数量的业务级别,状态信息数量少、实现简单、扩展性好。因此是目前业界认同的IP网络QoS的解决方案。
在NGN业务与互联网业务共用网络设备的情况下,互联网业务的流量特征对网络QoS性能的影响要充分考虑。一直以来,互联网的网络规划与建设基本上是参照平均统计的经验模型,在充分考虑业务发展需要的同时预留一定的余量,网络设备的能力与带宽往往超过实际的需要,但实际上发现网络的质量并不稳定。根据近年来的研究发现,互联网承载的主要业务如WWW,FTP等在较大的时间尺度内具有自相似的特性,表现为聚合流量产生的过程具有显著的突发性,而不是像传统模型那样是一个预期的平滑叠加过程。具体体现到IP城域网的现象就是:平均性能较好,瞬态特性很差。因此,在网络设计中必须充分考虑互联网流量对NGN业务的冲击。解决这个问题,可以采用DiffServ技术来部分改善,也可以考虑建设NGN专用网络去避免这个问题。从运营的角度看,考虑到传输资源充分、网络带宽以及设备成本低、安全性等因素的考虑,建设专用轻载网络,尽可能增大网络带宽也是非常现实的方案。
在以上分析的基础上,提出本文的QoS解决思路,根据实际情况混合采用以上技术。在骨干层使用MPLSVPN技术,城域网内使用DiffServ技术及部分建设专用网络。在与互联网共用设备的节点,根据NGN承载的实体,分别将骨干网上NGNVPN的LSP,NGN业务的二层VLAN,NGN业务的三层IP地址的优先级字段都设置为最高级别,网络节点通过优先级字段进行报文分类、流量整形、流量监管和队列调度,从而实现对NGN业务高优先级的处理,最大程度减少互联网的突发特性对NGN业务的冲击。另外,专用设备的建设用以保障在NGN业务量大的区域,隔离互联网对NGN业务的影响。
对于业务带宽的设计,需要根据VoIP的话务模型进行计算。根据目前我们开展的NGN业务的特征及网络实际情况,我们使用了如下的带宽计算经验公式:NGN业务带宽=[(用户数×单话路带宽)×收敛比×(1+2.5%)]/0.8,其中话路带宽=编码率+包头开销/打包周期;收敛比=话路收敛比×静音压缩比(如果VAD,取60%,否则取1);话路收敛比:1万用户以上取0.1,1万~1千取0.25,1千以下取0.5,话路收敛比可以根据本地业务的开展与网络的实际情况进行调整。
3 NGN承载网的安全性与可靠性考虑
(1)为防止受到黑客或病毒程序的攻击或干扰,NGN承载网必须与互联网进行物理或逻辑隔离,与互联网的互通必须通过安全设备(如防火墙)实现,不能直接接入。
(2)NGN用户或设备的接入需要经过身份认证才可以接入NGN网络,避免非法用户和非法报文进入NGN网络。只有当用户的身份得到确认,才可以进行事后审计与追踪,有效地防止了用户侧的网络攻击行为。
通过以上措施可以基本消除来自其它网络和NGN用户方面的安全隐患,但还要采取安全手段来保证NGN内部网络的安全。软交换、网关、服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备,因此要求这些设备应具备数据网中主机设备所具有的安全规格,可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些对安全级别要求较高的用户还可以采用加密技术对信令和数据进行加密保护。网管系统对各网元设备设置不同级别的管理员权限,使用户不能越级对设备进行操作。
考虑到NGN承载网承载的都是电信级的业务,必须对网络的可靠性进行充分的考虑。单台数据设备支持关键部件及单板的备份以及多个设备之间负载分担及冗余备份,如VRRP的方式保证网络的安全性与可靠性;在组网上可以考虑MPLSFRR和OSPF多条同等开销路径,当链路失效时具有高效的切换机制保证所有业务的不中断。
4 NGN承载网建设方案
4.1 NGN承载网的建设思路
(1)IP公网解决方案。所有NGN网元的IP地址与Internet其他网元统一规划;除了IAD设备比较多外,NGN设备容量一般较大,设备间通讯业务对公网IP地址需求量不大,无须私有地址分配及随之带来的应用层NAT互通问题;可以快速部署。由于没有VPN隔离的安全保障,NGN网络设备的安全性完全依赖于防火墙的保护,安全性风险较大,不要求路由器必须支持IP/MPLSVPN能力。QoS问题很难解决,可以通过采用DiffServ部分解决。
(2)VPN解决方案。地址与互联网地址隔离,单独规划。QoS主要采用DiffServ技术,使用成熟的带宽管理技术,如优先级调度、CAR等来保证QoS。采用层次化组网和跨域VPN技术支撑NGN的规模部署。通过VPN,VLAN等技术实现NGN承载网的隔离,通过媒体防火墙等技术实现网络隔离、受控接入和保证安全。优先采用SDH,MSTP,VRRP和FRR等技术提高网络的可靠性,减少业务中断的时间,提高网络的可用性;尽量利用现有网络和设备,提供多样化的接入手段,可以在现有网络上部署,不引入新的网络协议,方案具有普遍的适用性,部署比较容易。
(3)新建IP专网解决方案。通过物理隔离保证安全性,过量带宽建设和DiffServ保证QoS,简化建网需要考虑的问题,有利于快速建网。通过防火墙与IP公网互通,实现来自与不可信任区的业务呼叫。专网IP地址可以规划为公用地址,也可规划为私有地址。规划为私有地址时,将来与Internet互通时需要NAT转换,网络建设投资较大。
根据以上的比较,并结合我们的具体情况,给出一种NGN承载网的建设思路:构建NGN物理/逻辑混合专网。共分为三个层次,骨干层、核心/汇聚层、接入层。骨干网采用MPLSVPN,使用DiffServ技术,将NGNVPN的LSP优先级设置为最高,城域网内核心及汇聚层设备根据具体情况采用专用或共用(二层VLAN隔离)设备,对于共用设备的情况也使用DiffServ技术,而接入层则必须识别NGN业务并对NGNVLAN进行优先转发。
安全方面,通过VPN,VLAN等技术实现NGN承载网与互联网的隔离,但NGN业务必须考虑由公网/它网接入的情况,对于这些“非信任”的流量,必须设置媒体防火墙,实现网络隔离、受控接入和保证安全。考虑到信令的穿透,这些防火墙也同时起着信令代理的作用。
考虑到目前NGN的网络建设、业务发展都还没有经济、可靠、成熟的模式可以遵循,那么就有必要对现阶段NGN的业务进行定位,业务的定位考虑到网络的能力,而网络的建设也符合业务的发展模式。根据以上思路,确定目前的NGN业务定位于提供增值业务,服务于网通的宽带大策略。这个思路的制定,既考虑到了承载网的现状,也符合电信业务的发展规律。
需要说明的是,NGN承载网的方案与NGN系统的部署方案没有直接关系,NGN系统中各组件的放置位置对承载网是透明的,承载网提供网络的连接,使得NGN的信令与媒体流畅通无阻实现NGN的业务要求。
4.2 NGN承载网骨干层/核心/汇聚层建设方案
考虑到承载网的重要性及质量要求,骨干层的NGNVPN采用专用PE设备,不与普通MPLSVPN的设备共用,为增加网络可靠性,可以将互联网的PE作为NGNPE的备份。考虑到IP骨干网的拓扑结构已经非常健壮而且流量比较小,不会发生拥塞的情况,目前暂不考虑使用MPLS TE及FRR,待骨干网的流量起到一定程度再实施TE。路由方面,对于跨域的连接方式,考虑到MP-EBGP方式无需在不同的自治系统的PE之间建立全连接的LSP,可以有效解决组大网的问题,建议采用这种方案解决跨域问题。对于地址规划,理论上可以采用任意的IP地址规划方案,考虑到尽量避免NAT转换,同时考虑到今后有可能与其它软交换系统互连,建议核心系统采用公网地址,而接入层设备地址采用私网地址。
城域网内,一般建议设置独立核心设备汇聚NGN业务,上联至NGN的PE,而对于汇聚层则根据已有设备的实际使用情况确定共用设备还是投资新建设备,对于互联网业务重点区域、NGN业务发展重点区域、汇聚设备负荷已较重等情况下,建议设置独立的NGN汇聚设备。图1所示为NGN承载网的组网模型。
4.3 NGN接入层建设方案
4.3.1 接入网的建设思路
电信业务接入网本身具有复杂性,接入层技术种类多、接入方式多、接入的业务多、接入环境比较差、物理设施共用问题等。为了保证NGN业务的质量与安全性,必须根据实际情况,妥善解决NGN接入与原有业务、接入技术、设备的关系,才能完成NGN接入层的功能。处理这些问题的一个基本原则就是:在不影响原有业务的前提下,并在一定程度满足NGN业务质量的同时,尽量共用设备减少投资。
NGN业务是独立于互联网的业务,但NGN承载于IP上,考虑到节省投资及技术的可行性,NGN接入层的建设不与互联网的IP分开考虑,而在一定层次上进行汇合。IP的汇合层次是NGN业务的质量、安全性与投资造价的折衷考虑。
4.3.2 NGN接入模型
NGN的接入非常灵活,可以通过软终端提供EPhone,VideoPhone等业务,适用在宽带基础上开展语音和语音增值业务。软终端的方式与网络建设模式关系不大,只要能够连接到互联网即可。
目前,NGN的接入主要有两种方式:IAD与AG。IAD可以提供数据接口,一般提供的用户端口数较少,而AG则比较灵活,既有小容量设备,可以提供几十至上百线的节点,也有中大容量设备,提供上百至几千线的容量。
IAD与AG的不同特点主要有二,一是综合接入,这点在我们实际运作中发现除了设备放到用户端提供数据接入外,其它情况用的很少,而且综合接入由于带宽或者设备问题,互联网流量的突发性往往会对语音质量产生不良影响,不推荐使用这种方式。二是IAD设备小、端口少的特点使其更适合靠近用户端,而这一点必须依赖已有的LAN。可以看到IAD与LAN有密切的关系。
在实际使用中发现,IAD的设备的稳定、可靠性、可管理性不如AG,但接入相当灵活,只要有以太网的地方都可以接入,可以充分利用已有的网络资源。AG虽然稳定性、可靠性高,但需要布3类电缆,整体建网成本较高,对于宽带业务的支持只能限于DSL技术,不如LAN的带宽潜力大。
根据以上分析不难发现NGN的业务开展与数据业务(互联网)的接入有密切关系,对于IAD而言,适用于有LAN的情况,而AG本身可以与DSLAM配合提供宽带业务,实际上现在各主流厂家都已经推出了综合AG产品,可以直接在AG上提供DSL业务,可见IAD+LAN+5类线、AG+xDSL+3类线是两种基本的NGN/宽带接入模式。
这两种模式具有不同的组网特点与要求,AG上行直接连接到IP城域网的汇聚层或者核心层设备,可靠与安全性有较好的保证,而IAD一般部署于接入层的CPN内,NGN业务与互联网业务需要不同程度的共享LAN的资源,因此互联网及NGN业务必须进行VLAN隔离,并实施不同的优先级,同时采用广播抑制、端口限速、端口隔离、MAC/ARP限制等手段,解决CPN内NGN业务的的安全与质量问题。另外,IAD的放置位置虽然灵活,但IAD上行是IP分组,下行是3类模拟信号,放置的位置实际上是上行VoIP分组质量与下行3类布线长度的综合考虑。即放置的层次越高,语音的质量保证好,但3类线就越长(即投资高,但IAD放在楼层时也可通过5类线分线解决),因此实际方案中,IAD的放置位置必须综合考虑网络质量与投资的要求。
4.3.3 NGN的接入策略
接入策略应根据接入技术特点、网络现状及NGN/宽带业务发展策略综合考虑。
(1)已有LAN的地方,使用IAD的方式接入NGN业务。
(2)已建设PSTN的接入点,基础语音由PSTN提供。如果需要NGN接入,可以考虑采用以下两种方式接入NGN网络,一是语音接入模块的改造,上联端直接提供IP接口接入到NGN系统。二是通过PPPOE的拨号方式,接入到NGN,提供NGN增值业务。
(3)对于新建接入点,依据接入点数据、语音需求的特点及接入点的环境特点选择接入模式。对于数据要求高的、用户较集中的情况,采用LAN+IAD的方式;对于语音要求高的、用户较分散的情况,采用AG+DSL的方式;对于数据与语音要求都很高的,那么也可以采用叠加的方式,即语音用AG接入,数据用LAN接入。
广东网通已发展了大量的宽带LAN用户,在LAN的基础上叠加语音业务具有特殊意义。
4.3.4 接入网的地址规划
对于AG的接入使用单独规划的NGN的私网地址,对于IAD非在客户端的情况也使用NGN的私网地址,但对于IAD在用户端的情况,考虑到安全性,使用IP城域网的私网地址,VLAN终结到CPN内三层设备,走城域网内的路由到NGN与城域网之间的防火墙,经过代理连接到NGN,保证NGNVPN的安全。
对于与其他网合作方式接入的NGN业务,根据实际情况灵活选择以下方式:用户地址为私网地址(由我们规划,合作方分配管理),但要求合作方保证纯语音的接入;用户为公网地址,经过路由到我们城域网,通过防火墙连接NGN;用户地址为私网地址(由合作方自行规划与分配),经过NAT转换为我们城域网公网或私网地址,然后再通过防火墙连接到NGN,这种方式效率较低,不适宜开展高品质的语音业务。
对于软PHONE用户,在公网上直接注册到域名解释的防火墙,通过防火墙代理连接到NGN。
5 NGN承载网的实践
根据本文提出的建设方案,已建设独立的NGN承载网,并已开展NGN业务,在网实际测量表明,目前的承载网可以满足时延、抖动及误码率的要求。随着NGN业务量的迅速发展,在实际运营上还可能会出现一些问题,我们会积极跟踪解决,适当调整策略,相信这种方案能较好地满足今后一段时期内NGN业务的发展要求。