孫明一
構(gòu)建高品質(zhì)IP網(wǎng)絡(luò)已經(jīng)成為網(wǎng)絡(luò)建設(shè)的關(guān)鍵目標(biāo),其必須具備五大關(guān)鍵要素:
● 高品質(zhì)業(yè)務(wù)—主要解決QoS問(wèn)題,體現(xiàn)在具備業(yè)務(wù)的動(dòng)態(tài)感知、帶寬嚴(yán)格保證以及帶寬動(dòng)態(tài)調(diào)整能力三個(gè)方面;
● 業(yè)務(wù)高安全—將特別關(guān)注業(yè)務(wù)流的安全;
● 業(yè)務(wù)高可靠—涉及業(yè)務(wù)、網(wǎng)絡(luò)和設(shè)備三個(gè)層面的內(nèi)容;
● 業(yè)務(wù)高性能、可擴(kuò)展—不局限于對(duì)IP轉(zhuǎn)發(fā)性能的提高;
● 業(yè)務(wù)可管理、可優(yōu)化—突出業(yè)務(wù)與管理并重的理念。
其中,高品質(zhì)業(yè)務(wù)是最核心的要求,其他方面都是對(duì)高品質(zhì)業(yè)務(wù)的保障。
構(gòu)建網(wǎng)絡(luò),就像是修橋鋪路,交通能否安全暢通,取決于路橋工程的質(zhì)量,也取決于整體調(diào)度得力,管理高效。當(dāng)然,交通網(wǎng)絡(luò)仍需要不斷擴(kuò)展、優(yōu)化以適應(yīng)人口與經(jīng)濟(jì)發(fā)展的要求。
網(wǎng)絡(luò)建設(shè)就是為了實(shí)現(xiàn)相應(yīng)的業(yè)務(wù)目標(biāo),這些業(yè)務(wù)包括企業(yè)的IT系統(tǒng)、電子政務(wù)、電子商務(wù)、教學(xué)、生產(chǎn)系統(tǒng)等。為了與當(dāng)前業(yè)務(wù)目標(biāo)和技術(shù)發(fā)展的要求相適應(yīng),IP網(wǎng)絡(luò)將從“提供簡(jiǎn)單連接與控制的網(wǎng)絡(luò)”發(fā)展為“高品質(zhì)業(yè)務(wù)網(wǎng)絡(luò)”。
高品質(zhì)業(yè)務(wù)解決QoS
IP網(wǎng)絡(luò)承載了多種類型的業(yè)務(wù),從服務(wù)質(zhì)量考慮,不同業(yè)務(wù)對(duì)帶寬、時(shí)延、時(shí)延抖動(dòng)和誤碼/丟包率等關(guān)鍵指標(biāo)的要求是不同的。IP電話和視頻會(huì)議對(duì)時(shí)延和時(shí)延抖動(dòng)都比較敏感(時(shí)延<150ms,時(shí)延抖動(dòng)<10ms),而數(shù)據(jù)業(yè)務(wù)對(duì)時(shí)延的要求不太嚴(yán)格,但對(duì)網(wǎng)絡(luò)傳送的可靠性要求較高(丟包率低)。
傳統(tǒng)的IP網(wǎng)絡(luò)只能簡(jiǎn)單傳送各種業(yè)務(wù),但難以同時(shí)實(shí)現(xiàn)多業(yè)務(wù)的服務(wù)質(zhì)量保證,常常為了一些重要業(yè)務(wù)的服務(wù)保證而建設(shè)專網(wǎng),如視頻專網(wǎng)、OA專網(wǎng)等,因此高品質(zhì)IP網(wǎng)絡(luò)必須解決多業(yè)務(wù)承載的QoS問(wèn)題。有別于傳統(tǒng)IP網(wǎng)絡(luò)采用的靜態(tài)QoS解決方案,高品質(zhì)IP網(wǎng)絡(luò)需要提供更強(qiáng)的智能性,這里的網(wǎng)絡(luò)智能不再是簡(jiǎn)單的訪問(wèn)控制和標(biāo)記,而是體現(xiàn)在業(yè)務(wù)的動(dòng)態(tài)感知、帶寬嚴(yán)格保證、帶寬動(dòng)態(tài)調(diào)整三個(gè)方面。
業(yè)務(wù)動(dòng)態(tài)感知是實(shí)施服務(wù)質(zhì)量策略和安全策略的基礎(chǔ)。其基本過(guò)程如下:IP網(wǎng)絡(luò)邊緣設(shè)備根據(jù)業(yè)務(wù)流的特征、流標(biāo)記以及流統(tǒng)計(jì)閾值觸發(fā)特定業(yè)務(wù)的感知。由于新業(yè)務(wù)不斷涌現(xiàn),故需要IP網(wǎng)絡(luò)邊緣節(jié)點(diǎn)具備強(qiáng)大的智能處理能力和業(yè)務(wù)靈活性。業(yè)務(wù)感知可以由邊緣節(jié)點(diǎn)獨(dú)立完成,也可以與業(yè)務(wù)管理系統(tǒng)配合,這樣更容易實(shí)現(xiàn)整體的策略部署。
在業(yè)務(wù)感知的基礎(chǔ)上,IP網(wǎng)絡(luò)需要實(shí)現(xiàn)帶寬嚴(yán)格保證。首先,IP網(wǎng)絡(luò)要對(duì)每種業(yè)務(wù)提供帶寬資源,例如,為視頻業(yè)務(wù)分配384K的端到端帶寬、為語(yǔ)音業(yè)務(wù)分配25K端到端帶寬、為數(shù)據(jù)業(yè)務(wù)分配8M帶寬,在總帶寬不足或網(wǎng)絡(luò)異常情況下優(yōu)先保證關(guān)鍵業(yè)務(wù)的資源。
另外,新業(yè)務(wù)加入、業(yè)務(wù)流增長(zhǎng)的情況時(shí)有發(fā)生,網(wǎng)絡(luò)總是處于不斷變化之中。這就要求IP網(wǎng)絡(luò)具備帶寬動(dòng)態(tài)調(diào)整能力。例如,新業(yè)務(wù)加入的時(shí)候,IP網(wǎng)絡(luò)可以為新業(yè)務(wù)分配獨(dú)立的隧道或動(dòng)態(tài)調(diào)整LSP帶寬為新業(yè)務(wù)預(yù)留資源;而當(dāng)業(yè)務(wù)流增長(zhǎng)超過(guò)原有規(guī)劃的閾值范圍時(shí),IP網(wǎng)絡(luò)可以動(dòng)態(tài)調(diào)整對(duì)該業(yè)務(wù)分配的帶寬。
除了帶寬之外,視頻會(huì)議、IP電話等實(shí)時(shí)業(yè)務(wù)還需要嚴(yán)格保證低時(shí)延、低時(shí)延抖動(dòng)等指標(biāo),這些指標(biāo)主要依賴于IP網(wǎng)絡(luò)強(qiáng)大的硬件隊(duì)列調(diào)度能力。另外,部分關(guān)鍵業(yè)務(wù)對(duì)丟包率較敏感,除了有賴于IP網(wǎng)絡(luò)提供的整體流量調(diào)度能力之外,<50ms路徑自愈技術(shù)也可以將網(wǎng)絡(luò)故障導(dǎo)致的丟包數(shù)降到最低。
近年來(lái),IP網(wǎng)絡(luò)的端到端QoS技術(shù)獲得了長(zhǎng)足的進(jìn)步,DiffSev、MPLS TE、MPLS VPN等技術(shù)更緊密地融合在一起。針對(duì)高品質(zhì)IP網(wǎng)絡(luò)的要求,采用MPLS VPN與MPLS流量工程技術(shù)相配合可以很好地實(shí)現(xiàn)帶寬保證與動(dòng)態(tài)調(diào)整。
安全瞄準(zhǔn)業(yè)務(wù)流
IP網(wǎng)絡(luò)的安全性最重要的是保障業(yè)務(wù)的安全,特別是業(yè)務(wù)流的安全。IP網(wǎng)絡(luò)需要對(duì)不同業(yè)務(wù)實(shí)施安全隔離,為不同業(yè)務(wù)分配獨(dú)立的邏輯專網(wǎng),避免業(yè)務(wù)之間的互相影響。MPLS VPN、VLAN等技術(shù)的結(jié)合可將一個(gè)物理的企業(yè)網(wǎng)絡(luò)劃分為多個(gè)獨(dú)立的“邏輯網(wǎng)絡(luò)”,每類業(yè)務(wù)都可以獲得一部分網(wǎng)絡(luò)資源供自己使用,包括地址空間、路由轉(zhuǎn)發(fā)表、帶寬、隧道、服務(wù)質(zhì)量等。IP網(wǎng)絡(luò)邊緣節(jié)點(diǎn)能夠自動(dòng)識(shí)別業(yè)務(wù),根據(jù)業(yè)務(wù)類型映射不同VPN。
另外,為保護(hù)關(guān)鍵業(yè)務(wù)流(頻段),防止DoS流量攻擊,可以在安全隔離的基礎(chǔ)上應(yīng)用安全子隧道技術(shù),非法流量無(wú)法搶占安全子隧道的資源。安全子隧道技術(shù)是專門為保證業(yè)務(wù)流安全而設(shè)計(jì),可以在IP網(wǎng)絡(luò)為部分關(guān)鍵業(yè)務(wù)提供類似于ATM PVC的嚴(yán)格帶寬保護(hù)和安全性。
當(dāng)然,網(wǎng)絡(luò)安全問(wèn)題不可能通過(guò)某種一勞永逸的技術(shù)來(lái)解決,而是隨著安全狀態(tài)的變化,綜合考慮時(shí)間、空間、網(wǎng)絡(luò)層次的因素,不斷調(diào)整安全策略。因此從長(zhǎng)期發(fā)展來(lái)看,IP網(wǎng)絡(luò)還需要建立一個(gè)動(dòng)態(tài)安全防御體系,邊緣節(jié)點(diǎn)可與業(yè)務(wù)管理系統(tǒng)協(xié)作,實(shí)現(xiàn)動(dòng)態(tài)安全認(rèn)證、病毒防御和入侵防御。其中業(yè)務(wù)管理系統(tǒng)提供安全認(rèn)證、病毒檢測(cè)、入侵檢測(cè)策略的動(dòng)態(tài)刷新,邊緣節(jié)點(diǎn)實(shí)現(xiàn)用戶隔離和動(dòng)態(tài)防御。
可靠性涉及三方面
業(yè)務(wù)的可靠性源于IP網(wǎng)絡(luò)的可靠性。隨著網(wǎng)絡(luò)中關(guān)鍵業(yè)務(wù)越來(lái)越多,網(wǎng)絡(luò)的可靠性變得非常重要,從美國(guó)電網(wǎng)癱瘓事件可以看出,網(wǎng)絡(luò)的故障可能導(dǎo)致巨大的經(jīng)濟(jì)損失,甚至造成政治危機(jī)。
高品質(zhì)IP網(wǎng)絡(luò)是一個(gè)端到端可靠網(wǎng)絡(luò),其可靠性包括業(yè)務(wù)、網(wǎng)絡(luò)和設(shè)備三個(gè)層面。
在業(yè)務(wù)層面,IP網(wǎng)絡(luò)需要在設(shè)計(jì)中保證網(wǎng)絡(luò)生命周期業(yè)務(wù)不中斷,網(wǎng)絡(luò)的生命周期是指網(wǎng)絡(luò)構(gòu)建之后的網(wǎng)絡(luò)維護(hù)、升級(jí)擴(kuò)容、網(wǎng)絡(luò)優(yōu)化改造的整個(gè)過(guò)程。從業(yè)務(wù)層面來(lái)看,IP網(wǎng)絡(luò)在生命周期中的所有階段都應(yīng)是始終可用的。
在網(wǎng)絡(luò)層面,IP網(wǎng)絡(luò)需要滿足<50ms的鏈路和路徑自愈保護(hù)能力。彈性的鏈路技術(shù)包括RPR(彈性分組環(huán))、APS、MSTP/RSTP、端口聚合技術(shù),這些技術(shù)都可以實(shí)現(xiàn)50ms的鏈路自動(dòng)保護(hù)。IP/MPLS快速重路由可以實(shí)現(xiàn)50ms的網(wǎng)絡(luò)路徑或隧道自愈保護(hù)。
在設(shè)備層面,要求IP網(wǎng)絡(luò)設(shè)備采用電信級(jí)高可靠性設(shè)計(jì),設(shè)備關(guān)鍵器件包括交換網(wǎng)、主控單元、接口單元、電源、風(fēng)扇等都采用冗余設(shè)計(jì),支持熱備份和熱插拔;同時(shí)在軟件架構(gòu)上采用在線升級(jí)、軟件熱補(bǔ)丁等技術(shù)保證軟件升級(jí)和添加新功能時(shí)業(yè)務(wù)不中斷。另外,IP網(wǎng)絡(luò)設(shè)備整機(jī)高可用性需要達(dá)到99.999%,并支持NSF/NSR等無(wú)間斷轉(zhuǎn)發(fā)技術(shù)。
高性能不只是轉(zhuǎn)發(fā)性能
對(duì)IP網(wǎng)絡(luò)而言,網(wǎng)絡(luò)容量、性能等傳統(tǒng)指標(biāo)已經(jīng)成為最基本的要求。例如,當(dāng)前的IP網(wǎng)絡(luò)大量采用10G/2.5G等高速鏈路,核心節(jié)點(diǎn)的交換能力已經(jīng)攀升到500G以上,甚至達(dá)到幾T的數(shù)量級(jí)。但是,IP網(wǎng)絡(luò)需要強(qiáng)調(diào)的是業(yè)務(wù)的高性能,而不僅僅是IP轉(zhuǎn)發(fā)的高性能。
要實(shí)現(xiàn)業(yè)務(wù)的高性能,網(wǎng)絡(luò)和核心節(jié)點(diǎn)設(shè)備都需要在設(shè)計(jì)上體現(xiàn)出“業(yè)務(wù)與性能并重”的原則。也就是說(shuō),網(wǎng)絡(luò)在提供傳統(tǒng)的IP轉(zhuǎn)發(fā)功能的同時(shí),還需要處理大量的業(yè)務(wù)(MPLS、IPv6、IP組播、服務(wù)質(zhì)量、安全等),而且要求在這種情況下仍然可以保持全線速處理能力。值得欣慰的是,隨著10G NP和ASIC技術(shù)的成熟商用,由第五代路由器和新一代核心交換機(jī)構(gòu)建的IP網(wǎng)絡(luò)已經(jīng)具備了這樣的能力。
另外,新業(yè)務(wù)和新技術(shù)的發(fā)展非?,IP網(wǎng)絡(luò)只有具備強(qiáng)大的擴(kuò)展能力,才能使容量和業(yè)務(wù)性能與時(shí)俱進(jìn),不斷攀升。一方面,容量帶寬升級(jí)速度快,更新?lián)Q代頻繁,IP網(wǎng)絡(luò)需具備強(qiáng)大的硬件升級(jí)擴(kuò)容能力,有效保護(hù)用戶投資;另一方面,新業(yè)務(wù)層出不窮,技術(shù)日新月異,IP網(wǎng)絡(luò)需具備業(yè)務(wù)平滑演進(jìn)能力。
例如,消費(fèi)者業(yè)務(wù)、無(wú)線移動(dòng)網(wǎng)絡(luò)、分布計(jì)算的迅猛發(fā)展推動(dòng)了IPv6技術(shù)和商用進(jìn)程,下一代IP網(wǎng)絡(luò)將是以IPv6為基礎(chǔ)的高品質(zhì)綜合網(wǎng)絡(luò)。引入IPv6技術(shù)之后,IP網(wǎng)絡(luò)在安全性、QoS、系統(tǒng)管理和用戶容量等方面都會(huì)得到進(jìn)一步增強(qiáng)。但是IPv4向IPv6網(wǎng)絡(luò)演進(jìn)的過(guò)程將持續(xù)幾年到十幾年,在此期間IP網(wǎng)絡(luò)需要同時(shí)承載IPv4和IPv6業(yè)務(wù)流,因此支持IPv4/IPv6及各種過(guò)渡技術(shù)也將成為IP網(wǎng)絡(luò)設(shè)備的基本要求。
網(wǎng)絡(luò)與業(yè)務(wù)管理并重
管理一直是IP網(wǎng)絡(luò)的薄弱環(huán)節(jié),也是高品質(zhì)IP網(wǎng)絡(luò)需要重點(diǎn)解決的問(wèn)題。關(guān)鍵是要實(shí)現(xiàn)IP網(wǎng)絡(luò)的管理,包括網(wǎng)絡(luò)管理和業(yè)務(wù)管理,通過(guò)管理使網(wǎng)絡(luò)具備不斷優(yōu)化的能力。
雖然IP網(wǎng)絡(luò)涉及到很多復(fù)雜的技術(shù),如QoS、安全、可靠性等,然而只有屏蔽掉復(fù)雜的技術(shù)細(xì)節(jié),使管理簡(jiǎn)單、直觀和高效,才能充分運(yùn)用先進(jìn)的技術(shù),提升IP網(wǎng)絡(luò)的整體效率。
業(yè)務(wù)管理包括VPN管理、服務(wù)質(zhì)量管理、安全管理等方面。VPN管理將一個(gè)物理的網(wǎng)絡(luò)劃分為多個(gè)邏輯業(yè)務(wù)網(wǎng)(VPN),并可以針對(duì)每個(gè)邏輯業(yè)務(wù)網(wǎng)進(jìn)行網(wǎng)絡(luò)資源分配。服務(wù)質(zhì)量管理包括QoS部署、業(yè)務(wù)性能監(jiān)控和流量工程管理等組件,并與VPN管理實(shí)現(xiàn)密切的配合,最終提供有保證的端到端業(yè)務(wù)。安全管理主要包括用戶訪問(wèn)控制,安全策略管理等方面。通過(guò)業(yè)務(wù)管理系統(tǒng),不僅可以方便地實(shí)現(xiàn)業(yè)務(wù)部署、日常維護(hù),還能夠根據(jù)業(yè)務(wù)發(fā)展不斷優(yōu)化資源配置。
▲ 編后話:
目前,大容量交換芯片和NP(網(wǎng)絡(luò)處理器)、ASIC技術(shù)的飛速發(fā)展,容量、性能等傳統(tǒng)指標(biāo)已經(jīng)不再是制約當(dāng)前IP網(wǎng)絡(luò)發(fā)展的主要因素,業(yè)務(wù)才是IP網(wǎng)絡(luò)面臨的真正挑戰(zhàn)。為了實(shí)現(xiàn)業(yè)務(wù)目標(biāo),IP網(wǎng)絡(luò)必須在服務(wù)質(zhì)量、安全性、可靠性、高性能、可管理性等方面有更好的表現(xiàn)。其中服務(wù)質(zhì)量由于其長(zhǎng)期懸而未決而成為關(guān)注的焦點(diǎn);安全性、可靠性是對(duì)業(yè)務(wù)開展的有效保障,難以想象,一個(gè)不可信任的網(wǎng)絡(luò)或者一個(gè)不可靠的網(wǎng)絡(luò)對(duì)用戶會(huì)有什么價(jià)值;另外,高性能仍然是重要的,但這里指的不是簡(jiǎn)單的IP傳送性能,而是網(wǎng)絡(luò)的業(yè)務(wù)性能和擴(kuò)展性;最后一點(diǎn)是網(wǎng)絡(luò)的業(yè)務(wù)管理能力必須得到增強(qiáng),因?yàn)榭晒芾硇砸恢笔荌P網(wǎng)絡(luò)的薄弱環(huán)節(jié)。由此可見,我們需要的不僅僅是網(wǎng)絡(luò),更重要的是網(wǎng)絡(luò)能夠提供的服務(wù)。
摘自《計(jì)算機(jī)世界報(bào)》