NGN营业与Internet营业的隔离,就许可为NGN营业自力规划IP地址空间,可以采用私有地址、公网地址。在IPv6部署之前,如不美观每个终端都分配一个IPv4公有地址,显然无法知足未来万万甚至上亿用户规模的需求,是以使用公网地址存在着严重的限制。
6 m" j; R' `" c! ^3 z h! g9 M 运营商使用私有地址,可觉得分歧的终端设备分配私有地址,为NGN营业网焦点设备(如软交流、TG、MG、AG以及处事器)分配静态地址。这时,需要在私网-公网的鸿沟设置地址转换以及地址穿越设备。如不美观考虑用户成长需求以及收集培植的复杂度,建议选用A类私有网段(10.X.X.X),一个A类地址段包含1600万个地址,剔除组网开销后,现实年夜约撑持1000多万用户。如不美观全网采用一个私有地址段,也无法知足未来万万甚至上亿规模的需求,是以必需采用多个私有地址段组合编址,但这种体例增添了收集培植的复杂度,并为地址转换及地址穿越带来了新的难度。
# A0 o0 m' z! V3 n( @( [; E4 b% Z+ M 考虑到NGN营业与Internet营业彼此隔离,公网地址私用也成为一种可行的地址方案,尤其是IP专网的隔离体例。公网私用理论上有40亿个IPv4地址可用,易于规划和扩展,但与Internet互通时也需要IP-IP网关,但这种网关数目回声于使用私有地址的NAT数目。
$ Y, V; e% b; H& S s 地址的分配体例还会影响到路由效率以及营业的开展,是以需要谨严的规划。无论是使用私有地址仍是公有地址,对地址/路由规划有以下建议:1 m: K) f2 r$ t1 W
*IP地址的划分应该充实考虑收集地址现状和NGN营业成长的需要;% u# g3 j/ G9 W) { Y
*参考收集组织结构和路由组织原则,焦点汇接层以及各省内分配地址应持续;/ J: @9 n, {/ \3 ]2 U
*充实合理操作地址资本,采用可变长子网掩码(VLSM)手艺;
2 A) F; Y, M! @, q* C. Y *地址划分有条理,采用CIDR手艺,便于收集互联,简化路由表,加速路由收敛速度,提高路由效率;
3 O. U) H) k& ~3 h" u- B# d0 H: C% ~ *充实操作已申请的地址空间,合理使用已分配的地址段,供给地址操作率。
?" I5 w6 [% s3 F 处事质量+ B, o, n: _! q" K! U5 L0 u
NGN营业收集不再是社会公益性收集,而是商用收集,所怨└鳴oS保障是运营商运营的基本。因为NGN营业要求端到端的QoS保证,这就需要承载网全网撑持QoS机制。连系收集手艺及培植水平的现状,基于DiffServ的流量工程,连系快速重路由等手艺对实时营业的撑持有望达到电信级处事。具体实施时需要考虑QoS的演进策略,可以先在承载网上实现DiffServ处事,在初期主干网上NGN营业轻载时可使用超额带宽和DiffServ保证处事质量。跟着营业负载的增年夜再开启流量工程督导流量。流量工程监控的项目搜罗收集的拥塞状况、获得点流量等,再按照这些数据对流量进行疏浚沟通,避免收集拥塞的发生,同时也为进一步收集规划、进级供给依据。在承载收集中,实现端到端的QoS需要以下的三个部门来保障:/ u; v& {" w/ D# u, t: \
*每个收集实体(接入处事器、路由器以及以太网交流机等)撑持QoS,供给报文分类、队列调剂、流量监管以及流量整形等功能;4 N# h/ c& v/ i9 J2 F
*采用信令手艺来协调端到端之间的收集实体为报文供给QoS;" @- r; Q& H' d. f% Q# k/ N0 t
*接纳节制抉择是否许可用户信息流使用收集资本。
* }, D. p& }0 p1 ^ 年夜承载网分层结构角度看,对主干网、汇聚层和接入层的QoS方案有以下建议:
' i! A# o+ Q& D *主干网轻载时使用超额带宽和DiffServ足以知足要求。跟着营业量增添,主干网重载时,物理隔离或逻辑隔离出NGN营业网,采用PLSDiffServ、MPLSTE以及MPLSFRR等手艺来保障主干网的处事质量;
3 m* L; T) g9 `% G& j! u- v6 C* ^ *短期内看城域网培植的成本还斗劲高,所以城域汇聚层和接入层存在着较年夜的带宽收敛比,必需采用响应QoS机制,来保证NGN营业的质量。在L2设备上,对接入实时营业的VLAN端口,打上高优先级的802.1p标识表记标帜,优先转发;在L3设备上,直接对实时营业打上高优先级的DSCP标识表记标帜,优先措置。此外接入-汇聚-主干之间的接口上还要完成802.1p、DSCP、TOS、E-LSP等优先级的映射操作;5 W+ \6 f2 z* I' I5 z; ?
*城域接入层还需要对分歧用户限制带宽,经由过程与软交流节制设备的交互,澳暌姑户及营业动态进行带宽资本的设置装备摆设,供给差异性处事,知足与用户签定的SLA;
1 L0 i9 y2 L- B: v *NGN边缘接入设备(如IAD等)还需冲要持DiffServ模子,对分歧营业流具有分类标识功能。搜罗二层和三层标识,以便NGN承载网设备按照标识对分歧的营业供给相关的QoS保证。NGN边缘接入设备应具有节制接入用户数目的功能,出口带宽应年夜于满负荷时的营业流量,以保证NGN营业的QoS。/ @* h) W1 c; z2 M v7 Q& c
平安保障
3 _0 ]8 S6 v7 c5 F7 c 站提醒: NGN承载网与Internet网彼此隔离,形成了一个相对封锁的营业网。这种隔离屏障了来自Internet的不平安身分,余下的工作就是对NGN营业网的进口进行严酷的平安节制。
. R3 Z1 P, s* F2 T" @ *NGN营业网焦点设备(softX、SG、TG等)经由过程防火墙接入承载网,可以有用防止对关头设备的抨击袭击;
1 L3 L: v; K( `2 D' u *NGN营业网经由过程IP-IP网关与Internet网互通,在该网关上设置合理的平安策略以及入侵监测机制,可以有用降低来自Internet的威胁;" d) Y0 Y4 g& Z# U r- i; `
*IAD设备位于用户端,是营业网最年夜的平安隐患,存在着操作IAD恶意抨击袭击运营商关头收集设备的可能性。首先必需确保IAD设备的物理平安,不许可接入端口的犯警访谒;其次所有的IAD设备都经由过程BAS接入NGN营业网,由BAS进行设备的接入节制和打点。
5 z3 L. V$ d8 O 在实现NGN营业收集平安的同时,还需要保障用户的隔离、可打点等平安法子,提防常见的犯警应用,如地址仿冒,抢占资本。9 K4 ]3 L, e$ |; i& F$ Y
用户信息隔离是指接入网必需保障用户数据(单播地址的帧)的平安性,隔离携带有用户小我信息的广播动静(如ARP地址解析和谈、DHCP动态主机设置装备摆设和谈),防止用户的关头设备受到抨击袭击。+ p1 x' M2 r7 `
用户打点要求用户在接入网运营处进行开户挂号,并在用户通信时进行认证与授权。对运营商而言,把握用户信息十分主要,是实现用户打点的基本,必需对每个用户进行开户挂号。在用户通信过程中,必需对用户进行正当性认证,杜抨击袭击警用户接入收集,占用收集资本,影响正当用户的权益。 |
发表于 2012-8-3 10:16:48
