NGN承载网的QoS和安全考虑及建设方案探讨

带宽需求。

2.5QoS的考虑

通过对影响QoS的指标分析可以看到，对承载网的精心设计（如层次、跳数的控制）、充分合理的带宽规划、避免网络拥塞，是目前现实方案中需要重点考虑的因素。

当前的IP服务质量体系结构主要有IETF建议的IntServ体系和DiffServ体系。IntServ模型使用资源预留协议(RSVP)，在传送数据之前，根据业务的服务质量需求进行网络资源预留，从而为改数据流提供端到端的服务质量保证。集成模型虽然能够提供确定的服务质量保证，但是它需要在网络中维护每个流的状态，对路由器的要求高，难以在大型IP网络中实施，因此不考虑使用这个方案。区分服务的基本思想是将用户的数据流按照服务质量要求划分等级，级别高的数据流在排队和占用资源时比级别低的数据流有更高的优先级。区分服务只包含有限数量的业务级别，状态信息数量少、实现简单、扩展性好。因此是目前业界认同的IP网络QoS的解决方案。

在NGN业务与互联网业务共用网络设备的情况下，互联网业务的流量特征对网络QoS性能的影响要充分考虑。一直以来，互联网的网络规划与建设基本上是参照平均统计的经验模型，在充分考虑业务发展需要的同时预留一定的余量，网络设备的能力与带宽往往超过实际的需要，但实际上发现网络的质量并不稳定。根据近年来的研究发现，互联网承载的主要业务如WWW，FTP等在较大的时间尺度内具有自相似的特性，表现为聚合流量产生的过程具有显著的突发性，而不是像传统模型那样是一个预期的平滑叠加过程。具体体现到IP城域网的现象就是：平均性能较好，瞬态特性很差。因此，在网络设计中必须充分考虑互联网流量对NGN业务的冲击。解决这个问题，可以采用DiffServ技术来部分改善，也可以考虑建设NGN专用网络去避免这个问题。从运营的角度看，考虑到传输资源充分、网络带宽以及设备成本低、安全性等因素的考虑，建设专用轻载网络，尽可能增大网络带宽也是非常现实的方案。

在以上分析的基础上，提出本文的QoS解决思路，根据实际情况混合采用以上技术。在骨干层使用MPLSVPN技术，城域网内使用DiffServ技术及部分建设专用网络。在与互联网共用设备的节点，根据NGN承载的实体，分别将骨干网上NGNVPN的LSP，NGN业务的二层VLAN，NGN业务的三层IP地址的优先级字段都设置为最高级别，网络节点通过优先级字段进行报文分类、流量整形、流量监管和队列调度，从而实现对NGN业务高优先级的处理，最大程度减少互联网的突发特性对NGN业务的冲击。另外，专用设备的建设用以保障在NGN业务量大的区域，隔离互联网对NGN业务的影响。

对于业务带宽的设计，需要根据VoIP的话务模型进行计算。根据目前我们开展的NGN业务的特征及网络实际情况，我们使用了如下的带宽计算经验公式：NGN业务带宽＝[（用户数×单话路带宽）×收敛比×(1+2.5%)]/0.8，其中话路带宽＝编码率＋包头开销/打包周期；收敛比＝话路收敛比×静音压缩比（如果VAD，取60％，否则取1）；话路收敛比：1万用户以上取0.1，1万～1千取0.25，1千以下取0.5，话路收敛比可以根据本地业务的开展与网络的实际情况进行调整。

3NGN承载网的安全性与可靠性考虑

（1）为防止受到黑客或病毒程序的攻击或干扰，NGN承载网必须与互联网进行物理或逻辑隔离，与互联网的互通必须通过安全设备（如防火墙）实现，不能直接接入。

（2）NGN用户或设备的接入需要经过身份认证才可以接入NGN网络，避免非法用户和非法报文进入NGN网络。只有当用户的身份得到确认，才可以进行事后审计与追踪，有效地防止了用户侧的网络攻击行为。

通过以上措施可以基本消除来自其它网络和NGN用户方面的安全隐患，但还要采取安全手段来保证NGN内部网络的安全。软交换、网关、服务器等NGN核心网络设备在IP网中的地位类似于网络主机设备，因此要求这些设备应具备数据网中主机设备所具有的安全规格，可以应用防火墙、入侵检测、流量控制、安全日志与审计等技术实现对NGN核心网络设备的安全防护。对于一些对安全级别要求较高的用户还可以采用加密技术对信令和数据进行加密保护。网管系统对各网元设备设置不同级别的管理员权限，使用户不能越级对设备进行操作。

考虑到NGN承载网承载的都是电信级的业务，必须对网络的可靠性进行充分的考虑。单台数据设备支持关键部件及单板的备份以及多个设备之间负载分担及冗余备份，如VRRP的方式保证网络的安全性与可靠性；在组网上可以考虑MPLSFRR和OSPF多条同等开销路径，当链路失效时具有高效的切换机制保证所有业务的不中断。

4NGN承载网建设方案

4.1NGN承载网的建设思路

（