NGN营业与Internet营业的隔离,就许可为NGN营业自力规划IP地址空间,可以采用私有地址、公网地址。在IPv6部署之前,如不美观每个终端都分配一个IPv4公有地址,显然无法知足未来万万甚至上亿用户规模的需求,是以使用公网地址存在着严重的限制。& [9 Q V9 G8 m0 e2 U; w9 K
运营商使用私有地址,可觉得分歧的终端设备分配私有地址,为NGN营业网焦点设备(如软交流、TG、MG、AG以及处事器)分配静态地址。这时,需要在私网-公网的鸿沟设置地址转换以及地址穿越设备。如不美观考虑用户成长需求以及收集培植的复杂度,建议选用A类私有网段(10.X.X.X),一个A类地址段包含1600万个地址,剔除组网开销后,现实年夜约撑持1000多万用户。如不美观全网采用一个私有地址段,也无法知足未来万万甚至上亿规模的需求,是以必需采用多个私有地址段组合编址,但这种体例增添了收集培植的复杂度,并为地址转换及地址穿越带来了新的难度。# T$ l4 o, E9 v1 z# Z+ x6 G4 X
考虑到NGN营业与Internet营业彼此隔离,公网地址私用也成为一种可行的地址方案,尤其是IP专网的隔离体例。公网私用理论上有40亿个IPv4地址可用,易于规划和扩展,但与Internet互通时也需要IP-IP网关,但这种网关数目回声于使用私有地址的NAT数目。' [3 y' X- ?2 a
地址的分配体例还会影响到路由效率以及营业的开展,是以需要谨严的规划。无论是使用私有地址仍是公有地址,对地址/路由规划有以下建议:# U" w$ e. B* U( G. U* n/ V$ P
*IP地址的划分应该充实考虑收集地址现状和NGN营业成长的需要;
3 g1 g0 c) p1 C7 k( D/ g *参考收集组织结构和路由组织原则,焦点汇接层以及各省内分配地址应持续;7 L$ ?3 q0 r+ }
*充实合理操作地址资本,采用可变长子网掩码(VLSM)手艺;
- t( m; T9 p# A/ Y! K# G *地址划分有条理,采用CIDR手艺,便于收集互联,简化路由表,加速路由收敛速度,提高路由效率;& S% { Z+ ?- Z3 Q3 D/ ~
*充实操作已申请的地址空间,合理使用已分配的地址段,供给地址操作率。 M* z. I9 X2 J4 e' V
处事质量
; u* p4 a2 X9 ~2 G' ]; @$ G NGN营业收集不再是社会公益性收集,而是商用收集,所怨└鳴oS保障是运营商运营的基本。因为NGN营业要求端到端的QoS保证,这就需要承载网全网撑持QoS机制。连系收集手艺及培植水平的现状,基于DiffServ的流量工程,连系快速重路由等手艺对实时营业的撑持有望达到电信级处事。具体实施时需要考虑QoS的演进策略,可以先在承载网上实现DiffServ处事,在初期主干网上NGN营业轻载时可使用超额带宽和DiffServ保证处事质量。跟着营业负载的增年夜再开启流量工程督导流量。流量工程监控的项目搜罗收集的拥塞状况、获得点流量等,再按照这些数据对流量进行疏浚沟通,避免收集拥塞的发生,同时也为进一步收集规划、进级供给依据。在承载收集中,实现端到端的QoS需要以下的三个部门来保障:8 ^! u5 p# b3 K4 q7 R/ F
*每个收集实体(接入处事器、路由器以及以太网交流机等)撑持QoS,供给报文分类、队列调剂、流量监管以及流量整形等功能;2 U* C1 u: Q. O* s1 V+ l
*采用信令手艺来协调端到端之间的收集实体为报文供给QoS;
' H7 q% M6 W. ~7 D% s ^ *接纳节制抉择是否许可用户信息流使用收集资本。
1 ~! t$ B) [0 W5 S 年夜承载网分层结构角度看,对主干网、汇聚层和接入层的QoS方案有以下建议:. o7 ^6 y0 u9 I8 c \
*主干网轻载时使用超额带宽和DiffServ足以知足要求。跟着营业量增添,主干网重载时,物理隔离或逻辑隔离出NGN营业网,采用PLSDiffServ、MPLSTE以及MPLSFRR等手艺来保障主干网的处事质量;0 L; g" a1 X1 q* Z! T
*短期内看城域网培植的成本还斗劲高,所以城域汇聚层和接入层存在着较年夜的带宽收敛比,必需采用响应QoS机制,来保证NGN营业的质量。在L2设备上,对接入实时营业的VLAN端口,打上高优先级的802.1p标识表记标帜,优先转发;在L3设备上,直接对实时营业打上高优先级的DSCP标识表记标帜,优先措置。此外接入-汇聚-主干之间的接口上还要完成802.1p、DSCP、TOS、E-LSP等优先级的映射操作;+ A, }$ b( `$ h3 M5 u
*城域接入层还需要对分歧用户限制带宽,经由过程与软交流节制设备的交互,澳暌姑户及营业动态进行带宽资本的设置装备摆设,供给差异性处事,知足与用户签定的SLA;: ?4 k( b$ _- t' P
*NGN边缘接入设备(如IAD等)还需冲要持DiffServ模子,对分歧营业流具有分类标识功能。搜罗二层和三层标识,以便NGN承载网设备按照标识对分歧的营业供给相关的QoS保证。NGN边缘接入设备应具有节制接入用户数目的功能,出口带宽应年夜于满负荷时的营业流量,以保证NGN营业的QoS。, h( y8 u {7 c4 t$ B& n4 G) @
平安保障$ r1 ^4 M, b8 Q5 o
站提醒: NGN承载网与Internet网彼此隔离,形成了一个相对封锁的营业网。这种隔离屏障了来自Internet的不平安身分,余下的工作就是对NGN营业网的进口进行严酷的平安节制。) ]& A5 a5 S1 m; \6 [, j. Q
*NGN营业网焦点设备(softX、SG、TG等)经由过程防火墙接入承载网,可以有用防止对关头设备的抨击袭击;
, J( H/ x' F5 i( Y( l *NGN营业网经由过程IP-IP网关与Internet网互通,在该网关上设置合理的平安策略以及入侵监测机制,可以有用降低来自Internet的威胁;
/ w' d- P i9 y *IAD设备位于用户端,是营业网最年夜的平安隐患,存在着操作IAD恶意抨击袭击运营商关头收集设备的可能性。首先必需确保IAD设备的物理平安,不许可接入端口的犯警访谒;其次所有的IAD设备都经由过程BAS接入NGN营业网,由BAS进行设备的接入节制和打点。
4 _/ w) X: ~8 z& Q 在实现NGN营业收集平安的同时,还需要保障用户的隔离、可打点等平安法子,提防常见的犯警应用,如地址仿冒,抢占资本。" v' K0 |$ r( l7 E8 U( i3 }
用户信息隔离是指接入网必需保障用户数据(单播地址的帧)的平安性,隔离携带有用户小我信息的广播动静(如ARP地址解析和谈、DHCP动态主机设置装备摆设和谈),防止用户的关头设备受到抨击袭击。' L& S6 L# {% f' ]; K: o& W
用户打点要求用户在接入网运营处进行开户挂号,并在用户通信时进行认证与授权。对运营商而言,把握用户信息十分主要,是实现用户打点的基本,必需对每个用户进行开户挂号。在用户通信过程中,必需对用户进行正当性认证,杜抨击袭击警用户接入收集,占用收集资本,影响正当用户的权益。 |
发表于 2012-8-3 20:03:30
