NGN营业与Internet营业的隔离,就许可为NGN营业自力规划IP地址空间,可以采用私有地址、公网地址。在IPv6部署之前,如不美观每个终端都分配一个IPv4公有地址,显然无法知足未来万万甚至上亿用户规模的需求,是以使用公网地址存在着严重的限制。! S* z) H3 B1 F5 O* x
运营商使用私有地址,可觉得分歧的终端设备分配私有地址,为NGN营业网焦点设备(如软交流、TG、MG、AG以及处事器)分配静态地址。这时,需要在私网-公网的鸿沟设置地址转换以及地址穿越设备。如不美观考虑用户成长需求以及收集培植的复杂度,建议选用A类私有网段(10.X.X.X),一个A类地址段包含1600万个地址,剔除组网开销后,现实年夜约撑持1000多万用户。如不美观全网采用一个私有地址段,也无法知足未来万万甚至上亿规模的需求,是以必需采用多个私有地址段组合编址,但这种体例增添了收集培植的复杂度,并为地址转换及地址穿越带来了新的难度。
- D' _4 J. I& P. p% F 考虑到NGN营业与Internet营业彼此隔离,公网地址私用也成为一种可行的地址方案,尤其是IP专网的隔离体例。公网私用理论上有40亿个IPv4地址可用,易于规划和扩展,但与Internet互通时也需要IP-IP网关,但这种网关数目回声于使用私有地址的NAT数目。
( n5 V7 h/ `$ V% d. n9 j 地址的分配体例还会影响到路由效率以及营业的开展,是以需要谨严的规划。无论是使用私有地址仍是公有地址,对地址/路由规划有以下建议:$ y7 q& T5 R0 x/ _, ~# r7 A
*IP地址的划分应该充实考虑收集地址现状和NGN营业成长的需要;2 S' ?$ S5 i5 |5 n, K# ~9 a
*参考收集组织结构和路由组织原则,焦点汇接层以及各省内分配地址应持续;
' r( C% I, w) \& J! t: o *充实合理操作地址资本,采用可变长子网掩码(VLSM)手艺;
, {0 ~( H0 R( d4 ~" _- A+ M* w. ^; u *地址划分有条理,采用CIDR手艺,便于收集互联,简化路由表,加速路由收敛速度,提高路由效率;7 p) w- `) ]6 R& |7 j) c
*充实操作已申请的地址空间,合理使用已分配的地址段,供给地址操作率。
# ]1 t, b/ H0 }9 F6 c) ` 处事质量
# |7 L' \* g( e. b8 ~- T NGN营业收集不再是社会公益性收集,而是商用收集,所怨└鳴oS保障是运营商运营的基本。因为NGN营业要求端到端的QoS保证,这就需要承载网全网撑持QoS机制。连系收集手艺及培植水平的现状,基于DiffServ的流量工程,连系快速重路由等手艺对实时营业的撑持有望达到电信级处事。具体实施时需要考虑QoS的演进策略,可以先在承载网上实现DiffServ处事,在初期主干网上NGN营业轻载时可使用超额带宽和DiffServ保证处事质量。跟着营业负载的增年夜再开启流量工程督导流量。流量工程监控的项目搜罗收集的拥塞状况、获得点流量等,再按照这些数据对流量进行疏浚沟通,避免收集拥塞的发生,同时也为进一步收集规划、进级供给依据。在承载收集中,实现端到端的QoS需要以下的三个部门来保障:
# R* V' V7 r7 I6 m *每个收集实体(接入处事器、路由器以及以太网交流机等)撑持QoS,供给报文分类、队列调剂、流量监管以及流量整形等功能;1 T4 i- { T) Z2 i) B% F
*采用信令手艺来协调端到端之间的收集实体为报文供给QoS;) X. F, H, O1 X" d
*接纳节制抉择是否许可用户信息流使用收集资本。6 S2 l7 b0 | ~! ]4 d
年夜承载网分层结构角度看,对主干网、汇聚层和接入层的QoS方案有以下建议:
( ~- w, j4 u2 O; ` *主干网轻载时使用超额带宽和DiffServ足以知足要求。跟着营业量增添,主干网重载时,物理隔离或逻辑隔离出NGN营业网,采用PLSDiffServ、MPLSTE以及MPLSFRR等手艺来保障主干网的处事质量;
- c. j9 K9 b a7 r *短期内看城域网培植的成本还斗劲高,所以城域汇聚层和接入层存在着较年夜的带宽收敛比,必需采用响应QoS机制,来保证NGN营业的质量。在L2设备上,对接入实时营业的VLAN端口,打上高优先级的802.1p标识表记标帜,优先转发;在L3设备上,直接对实时营业打上高优先级的DSCP标识表记标帜,优先措置。此外接入-汇聚-主干之间的接口上还要完成802.1p、DSCP、TOS、E-LSP等优先级的映射操作;
: Z( i8 I+ V( d/ u" E# O *城域接入层还需要对分歧用户限制带宽,经由过程与软交流节制设备的交互,澳暌姑户及营业动态进行带宽资本的设置装备摆设,供给差异性处事,知足与用户签定的SLA;; N4 B+ T3 W6 h+ k- C) C
*NGN边缘接入设备(如IAD等)还需冲要持DiffServ模子,对分歧营业流具有分类标识功能。搜罗二层和三层标识,以便NGN承载网设备按照标识对分歧的营业供给相关的QoS保证。NGN边缘接入设备应具有节制接入用户数目的功能,出口带宽应年夜于满负荷时的营业流量,以保证NGN营业的QoS。2 O& g' I; R: x7 z3 v. D
平安保障
: q7 J' _* |( K( x& Q( z2 H 站提醒: NGN承载网与Internet网彼此隔离,形成了一个相对封锁的营业网。这种隔离屏障了来自Internet的不平安身分,余下的工作就是对NGN营业网的进口进行严酷的平安节制。
: _ }3 j0 ~8 n; H R1 @* D *NGN营业网焦点设备(softX、SG、TG等)经由过程防火墙接入承载网,可以有用防止对关头设备的抨击袭击;; R* O7 x; v( o V" t$ y E
*NGN营业网经由过程IP-IP网关与Internet网互通,在该网关上设置合理的平安策略以及入侵监测机制,可以有用降低来自Internet的威胁;
% _, ?* r6 a, u$ ~5 L& O* h5 ` *IAD设备位于用户端,是营业网最年夜的平安隐患,存在着操作IAD恶意抨击袭击运营商关头收集设备的可能性。首先必需确保IAD设备的物理平安,不许可接入端口的犯警访谒;其次所有的IAD设备都经由过程BAS接入NGN营业网,由BAS进行设备的接入节制和打点。
$ I P( q1 s8 r- e& p$ I# V0 t 在实现NGN营业收集平安的同时,还需要保障用户的隔离、可打点等平安法子,提防常见的犯警应用,如地址仿冒,抢占资本。
" t G) T& u% Y/ U 用户信息隔离是指接入网必需保障用户数据(单播地址的帧)的平安性,隔离携带有用户小我信息的广播动静(如ARP地址解析和谈、DHCP动态主机设置装备摆设和谈),防止用户的关头设备受到抨击袭击。4 P7 Y( p- l$ Y3 {
用户打点要求用户在接入网运营处进行开户挂号,并在用户通信时进行认证与授权。对运营商而言,把握用户信息十分主要,是实现用户打点的基本,必需对每个用户进行开户挂号。在用户通信过程中,必需对用户进行正当性认证,杜抨击袭击警用户接入收集,占用收集资本,影响正当用户的权益。 |
发表于 2012-8-3 20:03:30
