NGN承载网的QoS和安全考虑

　　3.NGN承载网的安全性与可靠性考虑

　　(1)为防止受到黑客或病毒程序的攻击或干扰，NGN承载网必须与互联网进行物理或逻辑隔离，与互联网的互通必须通过安全设备(如防火墙)实现，不能直接接入。

　　(2)NGN用户或设备的接入需要经过身份认证才可以接入NGN网络，避免非法用户和非法报文进入NGN网络。只有当用户的身份得到确认，才可以进行事后审计与追踪，有效地防止了用户侧的网络攻击行为。

　　通过以上措施可以基本消除来自其它网络和NGN用户方面的安全隐患，但还要采取安全手段来保证NGN内部网络的安全。软交换、网关、服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备，因此要求这些设备应具备数据网中主机设备所具有的安全规格，可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些对安全级别要求较高的用户还可以采用加密技术对信令和数据进行加密保护。网管系统对各网元设备设置不同级别的管理员权限，使用户不能越级对设备进行操作。

　　考虑到NGN承载网承载的都是电信级的业务，必须对网络的可靠性进行充分的考虑。单台数据设备支持关键部件及单板的备份以及多个设备之间负载分担及冗余备份，如VRRP的方式保证网络的安全性与可靠性;在组网上可以考虑MPLSFRR和OSPF多条同等开销路径，当链路失效时具有高效的切换机制保证所有业务的不中断。

　　4NGN承载网建设方案

　　4.1NGN承载网的建设思路

　　(1)IP公网解决方案。所有NGN网元的IP地址与Internet其他网元统一规划;除了IAD设备比较多外，NGN设备容量一般较大，设备间通讯业务对公网IP地址需求量不大，无须私有地址分配及随之带来的应用层NAT互通问题;可以快速部署。由于没有VPN隔离的安全保障，NGN网络设备的安全性完全依赖于防火墙的保护，安全性风险较大，不要求路由器必须支持IP/MPLSVPN能力。QoS问题很难解决，可以通过采用DiffServ部分解决。

　　(2)VPN解决方案。地址与互联网地址隔离，单独规划。QoS主要采用DiffServ技术，使用成熟的带宽管理技术，如优先级调度、CAR等来保证QoS。采用层次化组网和跨域VPN技术支撑NGN的规模部署。通过VPN，VLAN等技术实现NGN承载网的隔离，通过媒体防火墙等技术实现网络隔离、受控接入和保证安全。优先采用SDH，MSTP，VRRP和FRR等技术提高网络的可靠性，减少业务中断的时间，提高网络的可用性;尽量利用现有网络和设备，提供多样化的接入手段，可以在现有网络上部署，不引入新的网络协议，方案具有普遍的适用性，部署比较容易。

　　(3)新建IP专网解决方案。通过物理隔离保证安全性，过量带宽建设和DiffServ保证QoS，简化建网需要考虑的问题，有利于快速建网。通过防火墙与IP公网互通，实现来自与不可信任区的业务呼叫。专网IP地址可以规划为公用地址，也可规划为私有地址。规划为私有地址时，将来与Internet互通时需要NAT转换，网络建设投资较大。

　　根据以上的比较，并结合我们的具体情况，给出一种NGN承载网的建设思路：构建NGN物理/逻辑混合专网。共分为三个层次，骨干层、核心/汇聚层、接入层。骨干网采用MPLSVPN，使用DiffServ技术，将NGNVPN的LSP优先级设置为最高，城域网内核心及汇聚层设备根据具体情况采用专用或共用(二层VLAN隔离)设备，对于共用设备的情况也使用DiffServ技术，而接入层则必须识别NGN业务并对NGNVLAN进行优先转发。

　　安全方面，通过VPN，VLAN等技术实现NGN承载网与互联网的隔离，但NGN业务必须考虑由公网/它网接入的情况，对于这些"非信任"的流量，必须设置媒体防火墙，实现网络隔离、受控接入和保证安全。考虑到信令的穿透，这些防火墙也同时起着信令代理的作用。

　　考虑到目前NGN的网络建设、业务发展都还没有经济、可靠、成熟的模式可以遵循，那么就有必要对现阶段NGN的业务进行定位，业务的定位考虑到网络的能力，而网络的建设也符合业务的发展模式。根据以上思路，确定目前的NGN业务定位于提供增值业务，服务于网通的宽带大策略。这个思路的制定，既考虑到了承载网的现状，也符合电信业务的发展规律。

　　需要说明的是，NGN承载网的方案与NGN系统的部署方案没有直接关系，NGN系统中各组件的放置位置对承载网是透明的，承载网提供网络的连接，使得NGN的信令与媒体流畅通无阻实现NGN的业务要求。

　　4.2NGN承载网骨干层/核心/汇聚层建设方案

　　考虑到承载网的重要性及质量要求，骨干层的NGNVPN采用专用PE设备，不与普通MPLSVPN的设备共用，为增加网络可靠性，可以将互联网的PE作为NGNPE的备份。考虑到IP骨干网的拓扑结构已经非常健壮而且流量比较小，不会发生拥塞的情况，目前暂不考虑使用MPLS TE及FRR，待骨干网的流量起到一定程度再实施TE。路由方面，对于跨域的连接方式，考虑到MP-EBGP方式无需在不同的自治系统的PE之间建立全连接的LSP，可以有效解决组大网的问题，建议采用这种方案解决跨域问题。对于地址规划，理论上可以采用任意的IP地址规划方案，考虑到尽量避免NAT转换，同时考虑到今后有可能与其它软交换系统互连，建议核心系统采用公网地址，而接入层设备地址采用私网地址。

　　城域网内，一般建议设置独立核心设备汇聚NGN业务，上联至NGN的PE，而对于汇聚层则根据已有设备的实际使用情况确定共用设备还是投资新建设备，对于互联网业务重点区域、NGN业务发展重点区域、汇聚设备负荷已较重等情况下，建议设置独立的NGN汇聚设备。图1所示为NGN承载网的组网模型。