城域网多业务承载的优化探讨
出处:论文网
时间:2007-03-07
网络安全优化
在多业务网关上采用uRPF、ACL、SESSION数量控制等技术构筑网络安全边界,抵御各种攻击进入城域骨干网。
在多业务网关和接入点上针对用户的双向流量做上下行限速;多业务网关应具备支持基于标准五元组,接入点应具备支持MAC地址(包括目的和源地址)的访问控制策略手段。
用户管理优化
城域网的用户管理由多业务网关(BBAS和MSR)配合Radius完成。管理系统应具备:
(1)用户名、地址等属性的绑定;
(2)限制用户恶意申请,P地址;
(3)通过限制一个用户拨号的次数和拨号速度,防止用户恶意发起PPP扫描方式的拨号攻击;
(4)通过限制TCP连接Sessions数,防止用户作非法代理等功能。
认证/计费优化
多业务网关结合Radius Server、Portal Server、各种后台数据库共同实现拨号用户的集中认证。
两种认证方式并存—PPPoE、DHCP+WEB
(1)具备根据时长、流量(区分QoS等级)计费能力。
(2)具备通过用户预付费方式或与用户宽带上网账号绑定方式进行互联网应用计费。
(3)具备针对业务网计费能力一业务网是指用户在互联网连接之外的业务,如NGN、视频会议。
(4)具备与用户签订SLA能力。
QOS基本QoS
城域网应通过合理规划网络结构、配置网络带宽,保持网络稳定性,提供基本的QoS保证。
城域骨干网以基于Diffserv为主的QoS技术(业务分类、标记、流量控制等机制)提供突发拥塞时qoS保证。由城域网多业务网关根据物理端口、逻辑子端口(VLANID等)或CoS位完成对城域网接入用户的分类和三层QoS标记(DSCP或EX?),及上行流量的速率限制和下行流量的限速、整形。BRAS、 MSR多业务路由器和路由器采用带有优先队列的加权轮循,配合WRED丢弃机制实现基于QoS等级的JP包转发。
宽带接入网以基于802.1P为主的QoS技术提供突发拥塞时的Q。s保证,提供至少两个等级的服务。由DSLAM与园区交换机根据VLAN完成不同用户与业务的CoS分类和标记;汇聚交换机和MSTP接入设备再根据内层VLAN的CoS标记直接映射成外层VLAN的CoS。由DSLAM和汇聚交换机分别对xDSL和LAN接入用户的上行流量进行速率限制。
网络智能
除了基本的QoS保证外,城域网也应该具备一定的业务智能,这种业务智能通过深层分组检测,结合基于特征的分析,可以感知网络中的各种应用(BT,skype等),并具备对这些业务进行总量或者每用户带宽精细控制的能力。初期,这种网络智能可以在城域网出口实现,随着流量规模的增加,这种控制功能也可以分散到城域网的各业务控制点实现。
技术成熟后,可采用基于COPS协议的Portal业务管理和QoS策略管理,实现和基本QoS机制以及网络智能的联动,保证业务的快速开展和精细有效的控制。
多业务承载实现
互联网接入业务实现
互联网接入业务分为公众用户互联网接入业务和大客户互联网专线接入业务。
公众用户互联网接入业务包括拨号接入和中小企业客户专线接入两种类型。其中,拨号接入业务采用动态JP地址分配方式,专线接入业务采用固定尸地址分配方式。
大客户互联网专线接入业务只有专线接入一种接入形式,用户接入采用直接接入MSTP/BPR、以太汇聚网或光纤直接接入MSR实现。
企业互联业务实现
城域网提供MPLS VPN与MSTP专线/专网两种技术实现企业互联业务。
由城域骨干网承载的基于MPLS技术的企业互联业务,为普通企业提供二三层虚拟连接。MPLS VPN可采用LAN、XDSL、MSTP等多种方式接入PE,FE由多业务网关实现。
IPTV业务实现
城域网应具备承载IPTV业务的能力,包括为IPTV业务提供组播支持、网络带宽和Qos保证的能力。IPTV业务的实现分为两阶段:
第一阶段为少量用户阶段。优先为IPTV独立终端分配公有地址,通过划分专用逻辑通道,在接入点进行QoS标记,通过802.1P等技术提供接入层QoS保证。通过静态组加入配置将所有组播流量推送到BRAS,BRAS通过PPPoE对用户进行组播复制,BRAS必须支持IGMP快速离开机制(]GMP fast leave)和组播组访问控制功能。由于PPP是一个点对点的协议,组播流量会复制到每一个组播接收用户的PPP会话,因此对BRAS的下行端口以及用户PPP流量途径的汇接层交换机和DSLAM对会产生巨大的带宽压力。
第二阶段为密集用户阶段。IPTV可与其它业务共用一个逻辑通道,由用户CPE设备进行QoS标记,802.1P技术提供接入层QoS保证;也可继续采用专用逻辑逻辑通道方式。用户采用DHCP进行认证,由MSR作为多业务网关,负责对IPTV接入进行控制。MSR需要具备DHCPServer、PIM、]GMP。BRAS/MSR和DSLAM/园区交换机之间的二层汇聚网络为组播业务提供专用VLAN,组播包由BRAS向接入点逐级复制,并最终由接入点实现面向用户的组播复制。沿途的交换机和DSLAM设备上需要开启IGMP Snooping功能。
软交换业务实现
城域网应具备承载软交换业务的能力,包括为各种软交换设备(包括33、AG等)提供接入,以及为软交换网络提供QoS保证和安全防护的能力。
3S、AG、TG和大客户lAD通过专线直接接入城域网接入设备,组成封闭的MPLS VPN专网/或者其它形式的封闭网络,并根据物理或逻辑接入端口实现QoS的分类和标记。
散户lAD与软终端用户通过公网接入,需通过申请成为训P用户得到QoS保证。
为防止黑客利用散户lAD与Pc软终端对运营商的ss、AG、下G的攻击,可在城域网内放置SBC(会话边界控制)设备,主要作为软交换业务的信令防火墙、私网用户的穿越代理,同时作为软交换VPN网络与城域网的代理网关设备。考虑到SBC设备的处理能力,建议公网用户间的媒体流可以直接互通,SBC只承载软交换公网用户的所有信令流与公私网用户间互访的媒体流。
- 上一篇:NGN产业链的探讨
- 下一篇:构建下一代网络的开放业务平台-基本模型
