電信級(jí)多業(yè)務(wù)IP承載網(wǎng)需求及關(guān)鍵技術(shù)

當(dāng)前國內(nèi)外運(yùn)營商正處于向綜合信息服務(wù)提供商轉(zhuǎn)型的關(guān)鍵時(shí)期。因此建設(shè)一個(gè)能夠承載多種電信業(yè)務(wù)，能夠靈活地實(shí)現(xiàn)各種新業(yè)務(wù)的承載，能夠?yàn)榧瘓F(tuán)用戶方便地提供VPN和專線，并具有QoS、安全、高可靠性的承載網(wǎng)非常必要，也非常緊迫。

1、電信級(jí)承載網(wǎng)標(biāo)準(zhǔn)化現(xiàn)狀

1.1MPLSTE

優(yōu)化網(wǎng)絡(luò)性能的過程被稱為流量工程(TrafficEngineering)，它使用先進(jìn)的路由選擇算法規(guī)定骨干網(wǎng)內(nèi)部的業(yè)務(wù)流干線和規(guī)劃業(yè)務(wù)流，將業(yè)務(wù)流映射到物理拓?fù)渚W(wǎng)絡(luò)中，從而充分提高網(wǎng)絡(luò)的整體效率。流量工程可以平衡網(wǎng)絡(luò)中不同鏈路、路由器和交換機(jī)之間的業(yè)務(wù)負(fù)載，有效地利用網(wǎng)絡(luò)所提供的帶寬資源。

MPLS的流量管理機(jī)制主要包括路徑選擇、負(fù)載均衡、路徑備份、故障恢復(fù)、路徑優(yōu)先級(jí)及碰撞等。

1.2MPLS可靠性

◆OAM

實(shí)現(xiàn)OAM功能可以有幾種方式，第一種是定義專用的OAM標(biāo)簽進(jìn)行網(wǎng)絡(luò)性能監(jiān)控，故障告警，類似于ATM中的信元和SDH中的開銷;第二種使用來實(shí)現(xiàn)故障檢測。此外，還包括故障恢復(fù)機(jī)制(Y.1720)，網(wǎng)絡(luò)優(yōu)化機(jī)制和網(wǎng)絡(luò)管理的功能。

◆MPLSLSP故障的檢測

近年來，ITU-T和IETF均在LSP故障檢測和恢復(fù)的標(biāo)準(zhǔn)化方面開展了大量工作，并分別開發(fā)了不同的實(shí)現(xiàn)機(jī)制。ITU-TY.1711規(guī)范了連通性確認(rèn)(CV，ConnectivityVerification)功能，而IETF則正在定義雙向前向探測(BFD，BidirectionalForwardingDetection)機(jī)制。

◆MPLSLSP故障的定位

與CV和BFD這兩種故障檢測方法相對(duì)應(yīng)，還可以配套使用兩種故障定位分析方法：MPLSLSPPing和MPLSLSP追蹤路由(Traceroute)。

◆TEFRR(快速重路由)

TEFRR是一種基于TE的LSP保護(hù)技術(shù)，可以提供基于鏈路和節(jié)點(diǎn)的保護(hù)，使用一條備份隧道保護(hù)被保護(hù)節(jié)點(diǎn)和鏈路。

TEFRR是一種局部和物理拓?fù)湎嘟Y(jié)合的保護(hù)技術(shù)，因此和業(yè)務(wù)是不相關(guān)的。對(duì)于一些容易出故障的接點(diǎn)，或是出故障影響范圍比較大的鏈路或節(jié)點(diǎn)提供50ms內(nèi)的保護(hù)切換。

1.3MPLS高可用性

(1)IGP快速收斂

IGP快速收斂引進(jìn)了大量的新技術(shù)，包括增量SP計(jì)算(i-SPF)，局部路由計(jì)算(PRC)等。IGP路由協(xié)議引進(jìn)了大量的快速收斂，快速檢測技術(shù)大大的提高了路由的收斂速度，收斂時(shí)間一般可以達(dá)到1～2s左右(不同的網(wǎng)絡(luò)規(guī)模，收斂時(shí)間有差異)，基本上可以滿足數(shù)據(jù)電信級(jí)承載網(wǎng)要求。

(2)虛擬冗余路由器協(xié)議(VRRP)

VRRP協(xié)議將系統(tǒng)中多臺(tái)路由器組成VRRP組，該組中擁有一個(gè)虛擬默認(rèn)網(wǎng)關(guān)地址。但在任何時(shí)刻，一個(gè)組內(nèi)只有控制虛擬網(wǎng)關(guān)地址的路由器是活動(dòng)路由器(Master)，由它來轉(zhuǎn)發(fā)數(shù)據(jù)包。如果活動(dòng)路由器發(fā)生了故障，它將選擇一個(gè)優(yōu)先權(quán)最高的冗余備份路由器(Backup)來替代活動(dòng)路由器。由于網(wǎng)絡(luò)內(nèi)的終端配置了VRRP虛擬網(wǎng)關(guān)地址，發(fā)生故障時(shí)，虛擬路由器沒有改變，主機(jī)仍然保持連接，網(wǎng)絡(luò)將不會(huì)受到單點(diǎn)故障的影響，這樣就較好地解決了網(wǎng)絡(luò)中路由器切換的問題。傳統(tǒng)的VRRP主備切換時(shí)間3秒以上，目前部分廠家提供快速VRRP切換，切換時(shí)間200ms以內(nèi)，VRRP協(xié)議適合在業(yè)務(wù)系統(tǒng)接入時(shí)采用。

(3)不間斷轉(zhuǎn)發(fā)技術(shù)

不間斷轉(zhuǎn)發(fā)技術(shù)包括NSF(不間斷轉(zhuǎn)發(fā))、NSR(不間斷路由)和GR(平穩(wěn)重啟)，這些技術(shù)保證在設(shè)備主控板發(fā)生故障時(shí)能夠保持正常轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文。

◆NSF技術(shù)在主控板發(fā)生故障時(shí)不更新線卡上的轉(zhuǎn)發(fā)表，保證數(shù)據(jù)報(bào)能夠繼續(xù)正常轉(zhuǎn)發(fā)。該技術(shù)為設(shè)備內(nèi)部實(shí)現(xiàn)，不涉及協(xié)議擴(kuò)展。

◆NSR技術(shù)要求主控板1+1冗余，正常工作時(shí)，主用板卡將路由信息和狀態(tài)信息同步給備用板卡，當(dāng)主用板卡故障時(shí)，備用板卡快速接管路由工作，保證數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)不受影響。該技術(shù)為設(shè)備內(nèi)部實(shí)現(xiàn)，不涉及協(xié)議擴(kuò)展。

◆GR技術(shù)是路由器與鄰居之間路由協(xié)議的擴(kuò)展，當(dāng)某路由器主控板故障時(shí)，通知鄰居路由器，保持?jǐn)?shù)據(jù)報(bào)文的正常轉(zhuǎn)發(fā)，當(dāng)故障路由器恢復(fù)后通知鄰居路由器，依靠鄰居路由器重新取得路由信息。

1.4MPLS業(yè)務(wù)管理

◆業(yè)務(wù)端到端的管理：MPLSL3VPN、MPLSL2 VPN、MPLS QoS、MPLS TE。

◆覆蓋業(yè)務(wù)生命周期：便捷的業(yè)務(wù)規(guī)劃、快速的業(yè)務(wù)發(fā)放、完善的業(yè)務(wù)監(jiān)控、TroubleShooting。

◆其他：多廠商設(shè)備管理、客戶自助管理的窗口(CNM)、完備的北向接口。

1.5MPLS服務(wù)質(zhì)量

◆Diffserv和IntServ模型

IPQoS技術(shù)分為區(qū)分服務(wù)(DiffServ)和集成服務(wù)(IntServ)兩大模型，從這兩大模型衍生出來的其他QoS技術(shù)。

◆E-LSP

為了在MPLS中支持差分服務(wù)，通常我們將LSP分為兩類：一類為E-LSP，每個(gè)E-LSP共享某種預(yù)定的約束(OA)，通過EXP域，每個(gè)E-LSP可以支持8個(gè)BA;另一類為L-LSP，每個(gè)L-LSP有其預(yù)定的約束(OA)，支持一個(gè)BA，通過EXP域來區(qū)分丟棄優(yōu)先級(jí)。如圖2所示，采用L-LSP方案，為了在入口LSR和出口LSR之間支持QoS，必須為每種所支持的OA建立一條LSP;而采用E-LSP方案，則在入口LSR和出口LSR之間只需要一條LSP便可支持8種PHB。

◆網(wǎng)絡(luò)資源的動(dòng)態(tài)調(diào)整

最大分配模式和俄羅斯套娃模式。

◆CAC

MFA組織正在制定標(biāo)準(zhǔn)MPLS2006.146.00，GenericConnectionAdmissionControl(GCAC)Method for IP/MPLS Networks。

1.6MPLS安全

IP網(wǎng)絡(luò)的智能邊緣化、開放性使Internet成為黑客活動(dòng)的樂園，網(wǎng)絡(luò)安全是IP網(wǎng)絡(luò)中最為活躍的技術(shù)領(lǐng)域之一，包括安全隔離、訪問控制、入侵檢測、防病毒等。

IP網(wǎng)絡(luò)與傳統(tǒng)電信網(wǎng)相比，其網(wǎng)絡(luò)安全產(chǎn)生的兩個(gè)根本原因是終端智能化和網(wǎng)絡(luò)開放性。終端智能化帶來了業(yè)務(wù)的靈活性，同時(shí)也使終端具備了產(chǎn)生安全攻擊的強(qiáng)大能力，同時(shí)IP網(wǎng)絡(luò)UNI和NNI不分，這種攻擊就能夠延伸到其他終端、業(yè)務(wù)系統(tǒng)甚至網(wǎng)絡(luò)設(shè)備，使IP網(wǎng)絡(luò)上的安全風(fēng)險(xiǎn)很大。

網(wǎng)絡(luò)安全的一個(gè)基本理念是“適度安全”，安全問題不能徹底解決，只能通過技術(shù)和管理的手段把安全風(fēng)險(xiǎn)降低到可以接受的程度。未來IP網(wǎng)絡(luò)安全應(yīng)該在以下幾個(gè)方面加強(qiáng)：

(1)安全域的劃分和隔離：根據(jù)業(yè)務(wù)安全級(jí)別的不同把IP網(wǎng)絡(luò)隔離成不同的安全域，不同安全要求的業(yè)務(wù)承載在不同的安全域中，降低安全風(fēng)險(xiǎn)的影響，簡化安全策略的實(shí)施。

(2)構(gòu)建終端和網(wǎng)絡(luò)之間的UNI接口：在網(wǎng)絡(luò)邊緣構(gòu)建終端和關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)之間的UNI接口，避免終端對(duì)網(wǎng)絡(luò)內(nèi)部的直接訪問。

(3)基于業(yè)務(wù)感知的訪問控制：網(wǎng)絡(luò)邊緣的安全控制設(shè)備與業(yè)務(wù)層建立接口，根據(jù)業(yè)務(wù)需求確定訪問控制策略。

(4)建立安全管理體系：安全是30%技術(shù)+70%管理，需要建立一整套安全管理系統(tǒng)和制度，有效地綜合使用各種安全技術(shù)手段保證網(wǎng)絡(luò)安全。

(5)帶外安全。

1.7MPLS互通

TDM、ATM、FR互通及域間互通。

2、設(shè)備成熟度，可行性分析

目前，國際和國內(nèi)的主流廠家的MPLS產(chǎn)品，都已經(jīng)比較完善地支持MPLS基本的技術(shù)。至于一些新的擴(kuò)展，設(shè)備成熟仍需時(shí)日，互聯(lián)互通仍然較為困難。

2.1IP承載網(wǎng)的TE部署的擴(kuò)展性(表1)

表1IP承載網(wǎng)的TE部署的擴(kuò)展性

運(yùn)維復(fù)雜性E-LSP可行性L-LSP可行性

核心節(jié)點(diǎn)簡單可行可行

匯聚節(jié)點(diǎn)需要工具配合可行不可行

邊緣節(jié)點(diǎn)PE太復(fù)雜不可行不可行