电信级多业务IP承载网需求及关键技术

2007年12月28日 11:28    中国联通网站    评论()    

作 者：张云勇

    1.6MPLS安全

    IP网络的智能边缘化、开放性使Internet成为黑客活动的乐园，网络安全是IP网络中最为活跃的技术领域之一，包括安全隔离、访问控制、入侵检测、防病毒等。

    IP网络与传统电信网相比，其网络安全产生的两个根本原因是终端智能化和网络开放性。终端智能化带来了业务的灵活性，同时也使终端具备了产生安全攻击的强大能力，同时IP网络UNI和NNI不分，这种攻击就能够延伸到其他终端、业务系统甚至网络设备，使IP网络上的安全风险很大。

    网络安全的一个基本理念是“适度安全”，安全问题不能彻底解决，只能通过技术和管理的手段把安全风险降低到可以接受的程度。未来IP网络安全应该在以下几个方面加强：

    （1）安全域的划分和隔离：根据业务安全级别的不同把IP网络隔离成不同的安全域，不同安全要求的业务承载在不同的安全域中，降低安全风险的影响，简化安全策略的实施。

    （2）构建终端和网络之间的UNI接口：在网络边缘构建终端和关键业务网络之间的UNI接口，避免终端对网络内部的直接访问。

    （3）基于业务感知的访问控制：网络边缘的安全控制设备与业务层建立接口，根据业务需求确定访问控制策略。

    （4）建立安全管理体系：安全是30%技术+70%管理，需要建立一整套安全管理系统和制度，有效地综合使用各种安全技术手段保证网络安全。

    （5）带外安全。

    1.7MPLS互通

    TDM、ATM、FR互通及域间互通。

    2、设备成熟度，可行性分析

    目前，国际和国内的主流厂家的MPLS产品，都已经比较完善地支持MPLS基本的技术。至于一些新的扩展，设备成熟仍需时日，互联互通仍然较为困难。

    2.1IP承载网的TE部署的扩展性（表1）

    表1IP承载网的TE部署的扩展性

    运维复杂性E-LSP可行性L-LSP可行性

    核心节点简单可行可行

    汇聚节点需要工具配合可行不可行

    边缘节点PE太复杂不可行不可行

    2.2DS-TE

    现阶段，DS-TE将非面向连接的业务分类处理与面向连接的转发路径相结合，在IP/MPLS网络中实现资源的管理、分配与调度，是完美的QoS工作模型。目前DS-TE没有得到部署的原因是：

    ◆扩展性问题，即N平方问题，无法部署C3-C3端到端LSP；

    ◆DS-TE设备厂家之间互通性有问题。

    2.3MPLSL3VPN的扩展性分析

    ◆实际的大型IP骨干网中应采用VPN路由反射器（VPNRR）建立BGP邻接，即PE路由器和RR建立一个BGP邻接，PE间不直接建立BGP邻接，RR只负责在PE间转发路由，而不转发流量；

    ◆IP承载网，最多几百台PE路由器，在此方式下部署MPLSL3VPN完全能够满足扩展性需求。

    2.4多厂家环境下的网络管理架构

    从国内、外运营商的实际经验来看，设置综合网管平台是多厂家环境下的网络管理的必然选择。

    对于网元级的设备（包括故障管理）和性能管理，基于SNMP协议并通过厂家公开私有MIB由综合网管统一对多厂家设备直接进行管理已经不难实现，最关键的问题实际上是要解决多厂家PE的业务（尤其是VPN业务）统一部署和管理问题。

    目前，这一综合业务管理的架构国外运营商所采用。

    3、承载网技术要求

    3.1组网方案的设计原则

    ◆扁平化组网原则

    整网采用单一自治域扁平化的网络总体架构，形成总体“核心+接入”两层扁平化架构。

    ◆安全性原则

    各环节均采用高可靠性冗余组网，避免网络存在单点故障。

    ◆业务承载原则

    采用相互独立的2层、3层MPLSVPN承载不同的业务流量

    ◆业务质量保证原则

    应针对不同网络、用户及不同类型的应用提供多层次的服务质量保证

    ◆接入层设备采用业务路由器，统一提供丰富的多业务接入能力

    业务路由器通过MPLSVPN实现基于业务的逻辑网络，提供业务的安全隔离

    3.2关键技术在IP承载网的应用

    （1）LDPoverRSVP

    （2）在省级节点之间部署RSVP-TE

    （3）在PE和省级节点之间运行LDP

    （4）汇聚节点之间部署LDPOverRSVP

    （5）TEFRR应用规模

    ◆建议部署到核心层和汇聚层，对在核心、汇聚层之间的TETunnel提供保护。

    ◆在汇聚层和核心层P路由器部署可实施（100个节点规模），扩展性没有问题。主要厂家设备都具备这种能力。但是节点数大时，网络配置工作量大、复杂度提高。

    ◆在全网范围部署不现实，有扩展性问题。

    （6）地市的业务流量

    ◆采用LDP承载，在汇聚节点通过LDPoverRSVP方式将流量导入TELSP进行承载。

    ◆结合LDPECMP技术，实现地市业务流量的保护。

    （7）MPLSL3VPN大规模实施

    ◆主流厂家设备在路由表规模、BGP邻接数方面完全具有相应的扩展能力。

    ◆通过在网络中设置MPiBGP反射路由器（RR），提供BGP扩展能力，使MPLSL3VPN可以在全网规模实施。

    （8）MPLSL3VPN的业务质量保证

    ◆在边缘节点的业务接入侧对流量进行识别、分类、带宽控制（整形或限速）。

    ◆基于DiffServ架构在边缘节点把不同业务分类映射到LSPEXP位，由设备提供差别化服务。

    ◆在汇聚节点实施LDPoverRSVP，并将服务等级标识复制到TELSP的EXP位，在骨干层面（核心、汇聚）P路由器之间通过E-LSP保证不同业务的服务质量。

    ◆165业务在骨干层通过2层PWE方式承载，业务优先级最低，对承载MPLSL3VPN业务的E-LSP没有影响。

    3.3传输方案

[1]  [2]  [3]  编 辑：张翀