NGN(下一代網(wǎng)絡，Next Generation Network)的終極目標是建設一個能夠同時提供話音、數(shù)據(jù)以及多媒體等業(yè)務的，集通信、政務、商務以及娛樂于一體，滿足個人通信的分組融合網(wǎng)絡。為實現(xiàn)這一目標，ITU-T，IETF等標準化組織制定了一系列相關標準協(xié)議，包括H.248/Megaco，SIP，H.323，BICC以及SIGTRAN。NGN網(wǎng)絡上又包含了多種類型的設備，主要包括軟交換、媒體網(wǎng)關、信令網(wǎng)關、智能終端、各種數(shù)據(jù)庫/服務器以及承載網(wǎng)設備等。NGN是一個實現(xiàn)了全面融合的網(wǎng)絡，不但包括了電話網(wǎng)絡，如PSTN，ISDN，H.323，還包括了數(shù)據(jù)網(wǎng)絡，如ATM，IP等網(wǎng)絡。因此，多種網(wǎng)絡之間的互通是NGN成功的必要條件。IP技術作為最成功的互聯(lián)網(wǎng)分組應用技術，它的廣大包容性也得到了最大的驗證，在NGN網(wǎng)絡中將采用全IP網(wǎng)絡作為承載網(wǎng)。
　　為了NGN業(yè)務的順利展開，必須從業(yè)務需求的角度著手，結(jié)合目前網(wǎng)絡技術的發(fā)展，精心設計NGN承載網(wǎng)絡，需要考慮的問題包括地址規(guī)劃、路由規(guī)劃、服務質(zhì)量和網(wǎng)絡安全等方方面面的因素。雖然NGN承載網(wǎng)的覆蓋范圍最終應該能通達全國，但考慮運營商的網(wǎng)絡建設、業(yè)務提供的都有一個分階段的發(fā)展過程，所以承載網(wǎng)的設計中還必須考慮能否靈活、平滑的擴展�？梢灶A見，NGN承載網(wǎng)將是一個復雜的網(wǎng)絡，在很多方面對目前的數(shù)據(jù)網(wǎng)技術提出了挑戰(zhàn)。
二、NGN業(yè)務對承載網(wǎng)的需求
　　NGN業(yè)務開展的初期，由于用戶數(shù)目較少，業(yè)務類型較簡單，網(wǎng)絡負載也不大，所以在現(xiàn)實應用中直接將NGN業(yè)務接入到已有的數(shù)據(jù)網(wǎng)絡上進行承載。無論是NGN終端的地址分配，還是匯聚、骨干網(wǎng)絡資源，包括接口、PVC、路由，都沒有同傳統(tǒng)Internet業(yè)務進行區(qū)分。這種實現(xiàn)對當前的運營商數(shù)據(jù)網(wǎng)絡沒有苛刻的要求，但隨著用戶數(shù)目的增多和業(yè)務復雜程度的提高，一些棘手的問題也漸漸顯現(xiàn)出來，如終端地址短缺、服務質(zhì)量難以保障、用戶安全以及用戶管理等問題。
　　無論是從流量模型還是服務質(zhì)量角度看，傳統(tǒng)Internet業(yè)務與NGN業(yè)務都存在著較大的差異。傳統(tǒng)Internet業(yè)務以Web，F(xiàn)TP以及E-mail為主，這些業(yè)務都是基于TCP/IP協(xié)議的，業(yè)務模型都是非對稱的，對服務質(zhì)量(如時延、抖動等)沒有明確的要求。而NGN業(yè)務模型是對稱的，即使是不同業(yè)務的編碼方式對帶寬也有不一樣的需求，每種具體應用對帶寬的需求也是恒定的。此外，NGN業(yè)務的實施也對服務質(zhì)量提出了嚴格的要求。
　　目前絕大多數(shù)的Internet業(yè)務使用TCP作為傳輸層協(xié)議，而TCP滑動窗口機制根據(jù)對端響應進行窗口尺寸的調(diào)整，只要對端能夠在超時之前進行響應，則傳送窗口就增大，這種機制注定了Internet的帶寬資源將被耗盡。可以看到，簡單的將NGN業(yè)務承載到因特網(wǎng)上，NGN業(yè)務的QoS將難以得到保障。
　　IP地址是寶貴的資源，其分配方式還會影響路由效率和業(yè)務開展，因此有必要進行合理規(guī)劃。NGN業(yè)務具有端到端(Peer-to-Peer)及永久在線(A1ways-on-Line)的特點，這種通信模式需要分配大量的IP地址，如果全部終端都使用公網(wǎng)地址(IPv4地址)，顯然存在著地址匱乏的問題。簡單地為終端分配私有地址，如果不進行仔細的規(guī)劃，還可能存在多級穿越的技術難題。運營商在承載網(wǎng)中還需要實施靜態(tài)路由、動態(tài)路由和策略路由等技術，以保證用戶接入相應的業(yè)務網(wǎng)，實現(xiàn)相關應用。
　　NGN承載網(wǎng)采用的TCP/IP網(wǎng)絡技術與基于ATM和SDH的承載網(wǎng)相比，最大的特點就是網(wǎng)絡的開放性，這種特性可以加速網(wǎng)絡業(yè)務的發(fā)展，但這種開放性也使NGN網(wǎng)絡不可避免地面對各種安全上的威脅，如黑客的惡意攻擊和病毒程序的攻擊可能導致網(wǎng)絡癱瘓，也可能造成網(wǎng)絡設備端口的阻塞。個別用戶的仿冒、盜打以及超信用搶占資源等安全，都可能造成運營商營收的減少。
　　由于Internet設計的初衷是一個自由、開放的零管理網(wǎng)絡，甚至對用戶所使用的IP地址都不加以管理，網(wǎng)絡的秩序主要靠用戶自律實現(xiàn)。以前Internet的主要用戶都是高素質(zhì)的科研人員，這種假設是成立的，但當Internet面向公眾用戶時，這個前提已經(jīng)不復存在了，對網(wǎng)絡資源的濫用和惡意攻擊的現(xiàn)象時有發(fā)生。將Internet引入電信網(wǎng)就必須克服這種混亂的狀態(tài)，必須提供一種管理機制，使運營商能夠按業(yè)務設計自主地調(diào)度網(wǎng)絡資源。
三、NGN承載網(wǎng)策略
　　為了滿足NGN業(yè)務的不同需求，需要將NGN業(yè)務與Internet業(yè)務進行隔離，這種隔離可以是物理網(wǎng)絡的隔離，也可以是邏輯網(wǎng)絡的隔離。
　　1.物理隔離
　　從圖1可以看出，物理隔離是指另外建設一張IP專網(wǎng)，主要是在匯聚層和骨干網(wǎng)層面上采用雙網(wǎng)結(jié)構：一張網(wǎng)絡承載Internet業(yè)務，稱之為Internet網(wǎng)，主要提供傳統(tǒng)互聯(lián)網(wǎng)業(yè)務，按照上網(wǎng)時間及內(nèi)容收費。另一張網(wǎng)絡承載IP電信業(yè)務，提供高質(zhì)量的電信級業(yè)務，滿足NGN，3G對承載網(wǎng)的需求，支持VPN，視訊，語音以及流媒體等業(yè)務的要求，稱之為IP專網(wǎng)。

區(qū)別于Internet網(wǎng)絡建設的分級化建設思路(骨干—匯聚—接入)，IP專網(wǎng)建設可以采用扁平化模型，在全國骨干的大區(qū)中心設立核心節(jié)點，其它骨干節(jié)點設置匯接節(jié)點，接入層可以利用現(xiàn)有的城域網(wǎng)。整個骨干網(wǎng)采用獨立的編址方式，在核心城市建立信息交換中心，通過防火墻與現(xiàn)有IP骨干互聯(lián)，共享已有的內(nèi)容服務器。
　　IP專網(wǎng)和Internet網(wǎng)的運營理念不一樣IP專網(wǎng)按業(yè)務運營，它提供的電信服務是一種商品，因而它要保證服務質(zhì)量，要有足夠的安全性、可靠性和能夠確保售后服務能力，因此它必須有很強的可管理性、可擴展性和可維護性。
　　2.邏輯隔離
　　從圖2可以看出，邏輯隔離是在現(xiàn)有的運營商數(shù)據(jù)網(wǎng)基礎上，利用已經(jīng)比較成熟的VPN(如MPLSVPN)技術將網(wǎng)絡資源進行隔離：將網(wǎng)絡劃分為兩個邏輯子網(wǎng)，一個是Internet業(yè)務子網(wǎng)，另一個是NGN業(yè)務子網(wǎng)。兩個子網(wǎng)通過VPN進行隔離。NGN業(yè)務與Internet業(yè)務的區(qū)分在邊緣路由器PE上完成，PE根據(jù)物理接口或邏輯接口區(qū)分業(yè)務的類型，邏輯接口可以是VLAN，PVC等。在NGN子網(wǎng)中，再有針對的對QoS以及安全等問題進行解決。

　　智能終端、媒體網(wǎng)關、綜合接入設備以及軟交換系統(tǒng)等設備連接到該邏輯網(wǎng)絡，與數(shù)據(jù)網(wǎng)的其它業(yè)務終端相對隔離。隔離的承載網(wǎng)絡構造的基本方法如下：
　　(1)骨干網(wǎng)中，采用運營商IP骨干網(wǎng)的MPL SVPN，或ATM骨干網(wǎng)PVC功能，甚至可直接基于傳輸網(wǎng)獨立建設一個NGN專用的VPN；
　　(2)城域網(wǎng)中，利用運營商IP城域網(wǎng)L3路由交換機VLAN功能，或ATM城域網(wǎng)PVC功能，為NGN業(yè)務分配專用VLAN；
　　(3)接入網(wǎng)中，為終端分配采用與其它業(yè)務不同的IP地址段，二層設備上利用VLAN實現(xiàn)業(yè)務的隔離。BAS或其它三層設備通過識別終端的地址，實現(xiàn)業(yè)務的分流。
　　實現(xiàn)NGN業(yè)務與Internet業(yè)務的邏輯隔離，則IP地址獨立于數(shù)據(jù)基礎網(wǎng)，便于業(yè)務擴展、安全控制和QoS的滿足，有利于網(wǎng)絡運營。
　　3.兩種策略的比較
　　將NGN業(yè)務與Internet業(yè)務隔離，在業(yè)界已經(jīng)達成共識。但究竟是采用物理隔離還是邏輯隔離，一直存在著激烈的爭論。最大的分歧不是技術問題，因為物理隔離和邏輯隔離使用大量相似的技術方案，爭論的焦點仍然集中在投資成本和回報上。在網(wǎng)絡建設的實踐中，既有使用邏輯隔離的案例，也有使用物理隔離的情況。
　　(1)從技術角度上看，邏輯隔離肯定會比物理隔離來得復雜，首先對基礎網(wǎng)絡設備的要求較高，路由器需要支持MPLS VPN、策略路由以及QoS等，交換機要支持VLAN，QoS等，BAS要支持用戶管理、用戶地址綁定以及QoS等。如果使用私有地址還需要解決地址的穿越問題。其次，網(wǎng)絡改造的配置工作大，基本上所有的基礎設備都要進行配置升級。再次，網(wǎng)絡管理復雜，網(wǎng)管系統(tǒng)不僅要管理網(wǎng)絡設備，還需要管理業(yè)務，有時還必須實現(xiàn)業(yè)務層和網(wǎng)絡層的關聯(lián)，如用戶開戶不僅需要配置營帳系統(tǒng)，而且還要配置接入設備(如交換機、BAS)。
　　(2)從投資角度上看，物理隔離初期的成本肯定會高于邏輯隔離。但要在現(xiàn)有網(wǎng)絡上承載新的電信業(yè)務，必須要進行全網(wǎng)的業(yè)務功能升級和節(jié)點擴容。電信業(yè)務對帶寬需求有跳躍式的增長，某些熱點地區(qū)可能會更高，如果將這些業(yè)務承載在現(xiàn)有的IP核心網(wǎng)上，必然還要進行端口及鏈路升級，這些升級費用也不會便宜，到最后有可能還要重新建網(wǎng)。因此，從長遠的利益看，建設高起點、全業(yè)務、可擴展的IP專網(wǎng)可能更能節(jié)約成本。
四、NGN承載網(wǎng)的關鍵技術
　　1.承載網(wǎng)的地址，路由規(guī)劃
　　NGN業(yè)務與Internet業(yè)務的隔離，允許為NGN業(yè)務獨立規(guī)劃IP地址空間，可以采用私有地址、公網(wǎng)地址。在IPv6部署之前，如果每個終端都分配一個IPv4公有地址，顯然無法滿足未來千萬甚至上億用戶規(guī)模的需求，因此使用公網(wǎng)地址存在著嚴重的限制。
　　運營商使用私有地址，可以為不同的終端設備分配私有地址，為NGN業(yè)務網(wǎng)核心設備(如軟交換，TG，MG，AG以及服務器)分配靜態(tài)地址。這時，需要在私網(wǎng)-公網(wǎng)的邊界設置地址轉(zhuǎn)換以及地址穿越設備。如果考慮用戶發(fā)展需求以及網(wǎng)絡建設的復雜度，建議選用A類私有網(wǎng)段(10.X.X.X)，一個A類地址段包含1600萬個地址，剔除組網(wǎng)開銷后，實際大約支持1000多萬用戶。如果全網(wǎng)采用一個私有地址段，也無法滿足未來千萬甚至上億規(guī)模的需求，因此必須采用多個私有地址段組合編址，但這種方式增加了網(wǎng)絡建設的復雜度，并為地址轉(zhuǎn)換及地址穿越帶來了新的難度。
　　考慮到NGN業(yè)務與Internet業(yè)務相互隔離，公網(wǎng)地址私用也成為一種可行的地址方案，尤其是1P專網(wǎng)的隔離方式。公網(wǎng)私用理論上有40億個IPv4地址可用，易于規(guī)劃和擴展，但與Internet互通是也需要1P-IP網(wǎng)關，但這種網(wǎng)關數(shù)目運少于使用私有地址的NAT數(shù)量。
　　地址的分配方式還會影響到路由效率以及業(yè)務的開展，因此需要謹慎的規(guī)劃。無論是使用私有地址還是公有地址，對地址/路由規(guī)劃有以下建議：
　　(1)IP地址的劃分應該充分考慮網(wǎng)絡地址現(xiàn)狀和NGN業(yè)務發(fā)展的需要；
　　(2)參考網(wǎng)絡組織結(jié)構和路由組織原則，核心匯接層以及各省內(nèi)分配地址應連續(xù)；
　　(3)充分合理利用地址資源，采用可變長子網(wǎng)掩碼(VLSM)技術：
　　(4)地址劃分有層次，采用CIDR技術，便于網(wǎng)絡互聯(lián)，簡化路由表，加快路由收斂速度，提高路由效率；
　　(5)充分利用己申請的地址空間，合理使用已分配的地址段，提供地址利用率。
　　2.承載網(wǎng)的服務質(zhì)量
　　NGN業(yè)務網(wǎng)絡不再是社會公益性網(wǎng)絡，而是商用網(wǎng)絡所以提供QoS保障是運營商運營的基礎。由于NGN業(yè)務要求端到端的QoS保證，這就需要承載網(wǎng)全網(wǎng)支持QoS機制。典型的IPQoS體系包括綜合業(yè)務模型(IntServ)和區(qū)分業(yè)務模型(DiffServ)，但結(jié)合到實際應用，這兩種IP業(yè)務型均不能完全滿足QoS要求。
　　結(jié)合網(wǎng)絡技術及建設水平的現(xiàn)狀，基于DiffServ的流量工程結(jié)合快速重路由等技術對實時業(yè)務的支持有望達到電信級服務。具體實施時需要考慮QoS的演進策略，可以先在承載網(wǎng)上實現(xiàn)DiffServ服務，在初期骨干網(wǎng)上NGN業(yè)務輕載時可使用超額帶寬和DiffServ保證服務質(zhì)量。隨著業(yè)務負載的增大再開啟流量工程督導流量，對流量進行疏導，避免網(wǎng)絡擁塞發(fā)生的同時也為進一步網(wǎng)絡規(guī)劃、升級提供依據(jù)。
　　(1)在承載網(wǎng)絡中，實現(xiàn)端到端的QoS需要三個部分來保障
　　每個網(wǎng)絡實體(接入服務器、路由器以及以太網(wǎng)交換機等)支持QoS，提供報文分類、隊列調(diào)度、流量監(jiān)管以及流量整形等功能：
　　采用信令技術來協(xié)調(diào)端到端之間的網(wǎng)絡實體為報文提供QoS；
　　接納控制來決定是否允許用戶信息流使用網(wǎng)絡資源。
　　(2)承載網(wǎng)分層結(jié)構角度看，對骨干網(wǎng)、匯聚層和接入層的QoS方案的建議
　　骨干網(wǎng)輕載時使用超額帶寬和DiffServ足以滿足要求。隨著業(yè)務量增加，骨干網(wǎng)重載時，物理隔離或邏輯隔離出NGN業(yè)務網(wǎng)，采用MPLS DiffServ，MPLS TE以及MPLS FRR等技術來保障骨干網(wǎng)的服務質(zhì)量。
　　短期內(nèi)看城域網(wǎng)建設的成本還比較高，城域匯聚層和接入層存在著較大的帶寬收斂比，必須采用相應QoS機制來保證NGN業(yè)務的質(zhì)量。在L2設備上，對接入實時業(yè)務的VLAN端口，打上高優(yōu)先級的802.1p標記，優(yōu)先轉(zhuǎn)發(fā)。在L3設備上，直接對實時業(yè)務打上高優(yōu)先級的DSCP標記，優(yōu)先處理。接入—匯聚—骨干之間的接口上還要完802.1p，DSCP，TOS，E-LSP等優(yōu)先級的映射操作。
　　城域接入層還需要對不同用戶限制帶寬，通過與軟交換控制設備的交互，按用戶及業(yè)務動態(tài)進行帶寬資源的配置，提供差異性服務，滿足與用戶簽訂的SLA。
　　NGN邊緣接入設備(如IAD等)還需要支持DiffServ模型，對不同業(yè)務流具有分類標識功能。包括二層和三層標識，以便NGN承載網(wǎng)設備根據(jù)標識對不同的業(yè)務提供相關的QoS保證。NGN邊緣接入設備應具有控制接入用戶數(shù)目的功能，出口帶寬應大于滿負荷時的業(yè)務流量，以保證NGN業(yè)務的QoS。
　　3.承載網(wǎng)的安全
　　NGN承載網(wǎng)與Internet網(wǎng)相互隔離，形成了一個相對封閉的業(yè)務網(wǎng)。這種隔離屏蔽了來自Internet的不安全因素，需要對NGN業(yè)務網(wǎng)的入口進行嚴格的安全控制。
　　NGN業(yè)務網(wǎng)核心設備(sofiX，SG，TG等)通過防火墻接入承載網(wǎng)，可以有效防止對關鍵設備的攻擊。
　　NGN業(yè)務網(wǎng)通過IP-IP網(wǎng)關與Internet網(wǎng)互通，在該網(wǎng)關上設置合理的安全策略以及入侵監(jiān)測機制，可以有效降低來自Internet的威脅。
　　IAD設備位于用戶端，是業(yè)務網(wǎng)最大的安全隱患，存在著利用IAD惡意攻擊運營商關鍵網(wǎng)絡設備的可能性。首先必須確保IAD設備的物理安全，不允許接入端口的非法訪問。其次，所有的IAD設備都通過BAS接入NGN業(yè)務網(wǎng)，由BAS進行設備的接入控制和管理。
　　在實現(xiàn)NGN業(yè)務網(wǎng)絡安全的同時，還需要保障用戶的隔離、可管理等安全措施，防范常見的非法應用，如地址訪問，搶占資源。
　　用戶信息隔離是指接入網(wǎng)必須保障用戶數(shù)據(jù)(單播地址的幀)的安全性，隔離攜帶有用戶個人信息的廣播消息(如ARP地址解析協(xié)議、DHCP動態(tài)主機配置協(xié)議)，防止用戶的關鍵設備受到攻擊。用戶管理要求用戶在接入網(wǎng)運營處進行開戶登記，并在用戶通信時進行認證與授權。對運營商而言，掌握用戶信息十分重要，是實現(xiàn)用戶管理的基礎，必須對每個用戶進行開戶登記。在用戶通信過程中，必須對用戶進行合法性認證，杜絕非法用戶接入網(wǎng)絡，占用網(wǎng)絡資源，影響合法用戶的權益。
五、結(jié)束語
　　無論是構建全新IP專網(wǎng)，還是使用VPN技術進行業(yè)務隔離，都是對IP技術的改進和補充。這些隔離方案與IP電信網(wǎng)理念相結(jié)合，可以較好的解決NGN業(yè)務的服務質(zhì)量、安全、地址以及業(yè)務管理等問題。當然，成功的技術必須是市場需求和技術創(chuàng)新雙重驅(qū)動的產(chǎn)物。NGN技術的發(fā)展肯定還會向數(shù)據(jù)承載網(wǎng)絡提出更多的要求，隨著NGN技術的進一步發(fā)展，運營商還需要不斷完善其承載網(wǎng)，以滿足新的業(yè)務需求。

泰爾網(wǎng)