目前,業(yè)界普遍認(rèn)為:公用交換電話網(wǎng)(PSTN)和ATM網(wǎng)可以保證業(yè)務(wù)的服務(wù)質(zhì)量,而IP網(wǎng)絡(luò)無法保證服務(wù)質(zhì)量。因此,本節(jié)在進行IP網(wǎng)絡(luò)的服務(wù)質(zhì)量問題分析時,主要以PSTN和ATM技術(shù)、網(wǎng)絡(luò)作比較。首先我們看一看PSTN網(wǎng)絡(luò)的服務(wù)質(zhì)量。
在PSTN中,網(wǎng)絡(luò)與業(yè)務(wù)不分離,都是由運營商提供和控制的。用戶不能自行創(chuàng)建新業(yè)務(wù),只能在運營商提供的業(yè)務(wù)類型中選擇,并且運營商目前提供的都是以話音業(yè)務(wù)模型為核心的基本業(yè)務(wù)和補充業(yè)務(wù),最大特點是具有固定的傳輸速率(如64kb/s)。
對于單個用戶,當(dāng)PSTN網(wǎng)絡(luò)收到用戶的呼叫請求時,在接續(xù)的過程中能夠判斷針對此次呼叫的端到端的網(wǎng)絡(luò)資源是否可用。如果可用,則允許用戶接入,否則拒絕。能夠做到這一點的前提是:PSTN網(wǎng)絡(luò)知道用戶的每次請求所要求的網(wǎng)絡(luò)資源都是64kb/s,因此可以很容易地確定用戶所請求的端到端的網(wǎng)絡(luò)資源是否可用。
對于全網(wǎng)而言,可以以每用戶每呼叫需要64kb/s資源為基礎(chǔ),統(tǒng)計流量和流向,結(jié)合一百多年來的運營經(jīng)驗,進行合理的規(guī)劃和設(shè)計,在保證每用戶每呼叫服務(wù)質(zhì)量的前提下,提高整個網(wǎng)絡(luò)的資源利用率。
其次我們看一看ATM網(wǎng)絡(luò)的服務(wù)質(zhì)量。
ATM雖然具有支持流量工程、支持實時業(yè)務(wù)的可變比特率(rt-VBR)等功能,但目前最典型的用法是提供點到點(如PVC專線)和多點到多點(ATM網(wǎng)絡(luò))的業(yè)務(wù)。另外,ATM目前所支持的高層業(yè)務(wù)幾乎全是IP (IP over ATM)。高層的IP會很明確地告訴低層的ATM,它需要多少網(wǎng)絡(luò)資源(比如155Mb/s、622Mb/s等),但IP卻不知道它的高層應(yīng)用(如WWW、E-mail)究竟需要多少資源。可以這樣說,是IP替ATM背上了無法保證QoS的黑鍋。ATM的流量工程和rt-VBR功能使用得非常少,原因是很清楚的。
換一個角度來看ATM和IP,F(xiàn)在幾乎所有的高層業(yè)務(wù)都是基于IP的,IP無法保證它的服務(wù)質(zhì)量,但使用ATM究竟行不行?如果把突發(fā)性的數(shù)據(jù)業(yè)務(wù)移植到ATM上,如WWW/E-mail/FTP/VoIP over ATM等,去掉中間的IP層,會出現(xiàn)什么情況?不難想象,ATM提供的服務(wù)質(zhì)量不會比IP更好,而ATM在其它方面的問題(如編址、可擴展性)可能會更嚴(yán)重。
下面我們探討一下IP網(wǎng)絡(luò)的服務(wù)質(zhì)量。
IP最初的設(shè)計就是為了承載多業(yè)務(wù),網(wǎng)絡(luò)與業(yè)務(wù)分離,用戶接入和IP包的傳輸服務(wù)由ISP提供,內(nèi)容服務(wù)(如WWW、FTP、E-mail)由內(nèi)容提供商(ICP)提供。
對于單個用戶而言,如果要在IP網(wǎng)絡(luò)上保證用戶的QoS,存在很多困難,包括可能不清楚用戶使用的業(yè)務(wù)類型、不清楚該業(yè)務(wù)的業(yè)務(wù)特征和流量模型、不同用法下的同一種業(yè)務(wù)的特征和流量模型很可能不同、用戶在一條接入鏈路上可能混合使用多種業(yè)務(wù)、不規(guī)則網(wǎng)狀結(jié)構(gòu)使得端到端的可用資源情況很難判斷、同一個業(yè)務(wù)流中的不同數(shù)據(jù)包可能經(jīng)過不同的網(wǎng)絡(luò)路徑、與電話網(wǎng)的運營時間相比IP網(wǎng)絡(luò)的運營時間還非常短而且運維經(jīng)驗少,等等。
因為全網(wǎng)QoS的保證是以單個用戶的資源需求為基礎(chǔ)計算、規(guī)劃和設(shè)計的,因此如果單個用戶的QoS難以處理,網(wǎng)絡(luò)資源的優(yōu)化使用就無從談起,保證統(tǒng)計聚合后的全網(wǎng)QoS就更困難。
安全問題分析
業(yè)界目前普遍認(rèn)為,PSTN和ATM網(wǎng)是相對安全的,因此與上節(jié)相似,本節(jié)在進行IP網(wǎng)絡(luò)的安全問題分析時,主要以PSTN和ATM技術(shù)、網(wǎng)絡(luò)作比較。
首先我們看一看PSTN網(wǎng)絡(luò)的安全性。
與IP網(wǎng)絡(luò)相比,PSTN網(wǎng)絡(luò)的安全性來自幾個方面:
PSTN的終端是傻瓜型的,智能位于運營商網(wǎng)絡(luò)中,用戶——網(wǎng)絡(luò)接口(UNI)和網(wǎng)絡(luò)——網(wǎng)絡(luò)接口(NNI)分離。業(yè)務(wù)的提供和控制權(quán)都在運營商手里,運營商網(wǎng)絡(luò)只為自己能夠識別的業(yè)務(wù)提供服務(wù)。沒有運營商網(wǎng)絡(luò)的參與,用戶很難只在客戶端實施改造就產(chǎn)生一種新業(yè)務(wù)。運營商具有業(yè)務(wù)控制權(quán),意味著運營商可以只提供那些他認(rèn)為是安全的業(yè)務(wù)。傻瓜型終端使得用戶很難進行一些要智能終端支持的安全攻擊,使得在IP網(wǎng)絡(luò)上常見的病毒、黑客等攻擊在PSTN上無從下手,安全性容易得到保證。
當(dāng)使用PSTN提供IP網(wǎng)絡(luò)的接入服務(wù)時,這時的PSTN是IP網(wǎng)絡(luò)的鏈路層(接入)技術(shù),IP數(shù)據(jù)只是在PSTN上進行透傳,因此不可能利用PSTN接入IP的機會,從IP網(wǎng)絡(luò)攻擊PSTN網(wǎng)。
安全攻擊的成本較高。PSTN的收費模式和終端傻瓜型的特點等,使得客戶很難有效地發(fā)起大規(guī)模的攻擊(如分布式拒絕服務(wù)攻擊,DDOS),因為這樣做的成本很高。
客戶的可追查難度較低。PSTN網(wǎng)絡(luò)對所有的終端都有全球唯一的、公開的編號(E.164號碼),出現(xiàn)問題時容易追查攻擊者的位置。
其次我們看看ATM網(wǎng)絡(luò)的安全性。
與IP網(wǎng)絡(luò)相比,ATM網(wǎng)絡(luò)的安全性主要來自幾個方面:
沒有直接使用ATM的終端業(yè)務(wù),ATM網(wǎng)絡(luò)不直接面向用戶,使得客戶不可能發(fā)出ATM網(wǎng)絡(luò)能夠識別或要識別的ATM信令或數(shù)據(jù)。
ATM的UNI與NNI是分開的。網(wǎng)絡(luò)與用戶(IP用戶或話音用戶)之間的關(guān)系是為用戶提供信息的透傳功能,ATM的信令、數(shù)據(jù)和設(shè)備對用戶不可見,用戶產(chǎn)生的數(shù)據(jù)不可能攻擊ATM網(wǎng)絡(luò);而網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的安全性是靠運營商之間的信任關(guān)系來保證的。
ATM提供給用戶的是一個邏輯專網(wǎng),是一個內(nèi)部專網(wǎng)。用戶始終只能在自己的網(wǎng)絡(luò)中通信,只可能攻擊自己的網(wǎng)絡(luò)或自己網(wǎng)絡(luò)中的用戶,攻擊目標(biāo)有限,而且即使發(fā)生攻擊,也很容易追查。
最后我們再看一看IP的安全性。
與SDH、ATM、X.25等安全網(wǎng)絡(luò)相比,IP網(wǎng)絡(luò)不安全的主要原因在于:
IP網(wǎng)絡(luò)沒有用戶——網(wǎng)絡(luò)接口(UNI)和網(wǎng)絡(luò)——網(wǎng)絡(luò)接口(NNI)的區(qū)別,在IP層面是相互可見的。運營商網(wǎng)絡(luò)設(shè)備、協(xié)議甚至拓?fù)鋵τ脩羰强梢姷,用戶?cè)產(chǎn)生的IP信息既可能在用戶側(cè)終結(jié),也可能在網(wǎng)絡(luò)中終結(jié),這就使得用戶側(cè)有機會與運營商網(wǎng)絡(luò)交換非法路由信息,也可能攻擊運營商網(wǎng)絡(luò)的路由器和接入服務(wù)器等三層或三層以上的設(shè)備。另外,位于網(wǎng)絡(luò)邊緣的用戶側(cè)網(wǎng)絡(luò)、業(yè)務(wù)和應(yīng)用一般都使用TCP/UDP/IP技術(shù),用戶之間在IP層和應(yīng)用層都相互可見。這為互聯(lián)互通、降低成本等帶來了很大的方便,但同時也為用戶之間的相互攻擊對方的網(wǎng)絡(luò)、應(yīng)用和業(yè)務(wù)提供了方便。
終端的智能性和業(yè)務(wù)的多樣性,增加了識別和防范安全攻擊的難度。多種業(yè)務(wù)綜合承載在同一個網(wǎng)絡(luò)上,沒有建立用戶間的信任關(guān)系,導(dǎo)致惡意用戶很容易對別的用戶發(fā)起攻擊;被攻擊的用戶難以區(qū)分哪些是合法的用戶訪問請求,哪些是惡意攻擊。
IP技術(shù)發(fā)展很快,協(xié)議設(shè)計和軟件實現(xiàn)中的很多缺陷或BUG在大規(guī)模部署使用前來不及測試和排除。如TCP/IP協(xié)議族實現(xiàn)方面,尤其是微軟操作系統(tǒng)存在的安全漏洞。
此外,IP技術(shù)的寬帶化等方便了大規(guī)模攻擊的實施,如分布式拒絕服務(wù)攻擊;IP的計費模式導(dǎo)致攻擊成本很低;IP用戶的身份難以確定,以致很難跟蹤攻擊者。
來源:ZDNet