摘要 分析和探讨了移动IP城域网建设中的几个关键性问题,包括网络架构的优化、QoS机制的部署、安全性的增强以及组网设备的选择,以期中国移动在加强城域网的建设方面,更好地向“可持续发展、符合业务需求、高效、安全”的方向演进。
中国移动在CMNet工程完成后,就开始着手进行IP城域网的建设,目前各地已建设了一些城域网,但受限于当时的市场条件、技术水平、建设经验,其规模不大、网络架构和规划较为简单、支持的业务种类也相对较少。随着我国国民经济的健康发展以及信息化进程的不断推进,宽带市场已经进入了一个全新的发展阶段,用户规模增长迅速,业务需求日益活跃,逐渐呈现出多媒体化、互动性、个性化的特点。移动应抓住机遇,积极进入宽带市场,加强宽带基础设施—IP城域网的建设,向“可持续发展、符合业务需求、高效、安全”的网络方向演进。
1、网络架构的优化
IP城域网的网络架构,按组网设备可分为以高速三层交换机为主的交换型城域网和以高速路由器为主的路由型城域网两类。
移动IP城域网,目前基本属于交换型城域网。核心层使用高端路由器;汇聚层采用高端三层交换机,并通过在汇聚层交换机旁侧挂BRAS的方式完成用户的认证和业务管理;接入层既有二层交换机,也有三层交换机,提供用户的接入。随着业务发展、网络规模的扩大,其弊端逐渐显现出来:
(1)二层交换和三层路由,层次不清晰
汇聚层、接入层,二/三层网络重叠,网络功能层次模糊,同时设备种类多、能力参差不齐,使得宽带增值业务提供、网络优化难以展开。
侧挂BRAS,二层接入和三层接入/转发由同一台三层交换机承担,网络结构较为复杂,业务开展的复杂度增加。在网络流量很大的情况下,三层交换机既做二层交换,又做三层路由,必然会大大加重它的负担,影响响应速度,成为网络瓶颈。
(2)三层交换机的功能不足
与同档次的路由器相比,三层交换机接口类型少,路由功能不强,宽带增值业务、QoS支持能力弱,安全性(抵御DDoS和病毒攻击)、稳定性较差。三层交换机已不适合在宽带应用日益丰富的城域网中继续使用。路由型城域网的网络架构,如图1所示。
图1 路由型城域网的网络架构示意图
①核心层:实现进出城域网IP数据包的转发,采用高性能的路由器。
②汇聚层:负责接入层至核心层的IP数据包汇聚转发,避免大量的接入层设备直接接入核心层,采用高性能的路由器。对于中小型城域网,该层可与核心层合并。
③接入层:IP城域网的业务接入控制点,负责业务的控制、用户的管理、计费信息采集等功能,是业务提供的关键层,同时也是三层IP网络与二层网络的转换点。该层设备包括面向个人用户的BRAS、面向集团用户的接入路由器(AR)等。
④宽带接入网:负责二层链路的接入和汇聚,如将LAN接入的个人用户汇聚到BRAS,将专线业务汇聚到AR,在此层面只需要采用二层交换设备就可满足业务要求。
路由型城域网的三层路由和二层交换分隔,各层结构、功能清晰,扩展性好。三层域采用高端路由设备,功能、性能强大,易于实现网络优化、各种宽带增值业务以及将来IPv6的引入。因此,移动IP城域网网络架构的优化,主要是向路由型城域网方向演进。逐步取消三层交换机,BRAS由旁挂式改为直挂式,业务接入设备直接与汇聚层相连,采用以太网、MSTP等二层技术建设宽带接入网。网络架构优化时,应注意合理选择三层域的规模,减少高性能路由器、BRAS的数量,以降低建设成本。
2、QoS机制的部署
QoS能力是移动IP城域网提供具有质量保证的差异化应用和服务的基础,有利于形成移动将来在宽带市场竞争中的核心优势。如何部署QoS机制,以满足数据、语音、视频等各类业务承载和提供等级化大客户服务的需要,是移动IP城域网建设中值得探讨的一个问题。
Internet工程任务组(IETF)先后制定了两种QoS服务模型:集成服务(InterServ)/RSVP模型和区分服务(DiffServ)模型。DiffServ起源于IntServ。与IntServ相比,DiffServ定义的是一个相对简单而粒度粗一些的控制系统,针对的是流聚合后的每一类QoS控制,而不是像InterServ那样针对每一个流。因此,DiffServ具有可扩展性,能够在大型网络上提供QoS服务。DiffServ在其域的边缘对进入流进行分类,并为每一类型指定一个QoS标记。域内的核心路由器查看标记值,并根据每一类的特定逐跳行为(PHB)调度包的转发。
DiffServ提供的是一种区别对待不同业务的服务,为不同的业务设置不同的优先级和转发特性,但并不具体规定如何进行转发,也不设法消除拥塞,还需要拥塞控制技术(如RED)、队列调度技术等的协同工作。
根据上述分析,在移动IP城域网上部署QoS机制,建议采用以DiffServ为主,DSCP(RFC1349,ToS字段前6位)和IP Precedence(RFC 791,ToS字段中的3位)相兼容的标记方式。
①接入层设备:按照用户或业务进行流分类、作QoS标记(IP采用DSCP和IP Precedence相兼容的标记方式,MPLS VPN用包头的EXP作标记),对用户下行流量整形(控制进入二层网络的流量,避免二层网络的拥塞),使用队列调度机制,根据QoS等级标记对IP包进行不同优先顺序的转发。
②汇聚层、核心层路由器:启用有优先队列的队列调度机制和拥塞控制(WRED)机制,部署队列调度的资源分配策略和WRED丢包策略,根据QoS等级标记对IP包进行不同优先顺序的转发、避免拥塞。
业务识别及分类标记是DiffServ操作的基础。考虑当前的技术条件,主要是基于业务流是否来自特定的物理端口或子端口进行简单的分类。发展趋势为要求接入设备具有深度分析业务流内容的能力,可以动态智能地标识业务流。
服务等级建议设置4~5个,如:
a)金牌服务—延迟敏感业务,如语音业务。
b)银牌服务—关键性业务,如视频业务、高等级VPN。
c)铜牌服务—一般业务,如游戏、普通VPN。
d)尽力服务—普通Internet上网等业务。
各服务等级具体的资源分配策略,建议按照业务预测、实际测量,结合本地具体情况等进行设计和调整。在网络拥塞时,不同QoS等级用户的流量应有一定的比例分配,既要确保在拥塞时不会只有较高等级的用户独占流量,又要保证较高等级用户的流量能较之优先转发。
宽带接入网的二层网络设备部署802.1p二层QoS机制。在支持限速功能的最靠近用户的交换机上做用户的上行流量限制。
3、安全性的增强
众多安全威胁发生在IP城域网,如DDoS拒绝服务攻击,蠕虫泛滥等,造成网络设备线路卡CPU过载、网络拥塞等,从而导致城域网不可用或网络服务质量下降。在今后相当长的一段时间内,保障网络与信息安全将是互联网发展的一项重点工作,国家将综合利用法律、制度、技术、经济、行政等多种手段,切实做好网络与信息安全工作,社会各界也应当增强网络信息安全意识,加强安全管理与防范。因此,采取安全措施,提高城域网整体安全水平,保障网络的可用性,是移动IP城域网今后建设中必须考虑的重要问题之一。另外,面向高端用户和企业用户提供安全代维的增值业务,也是一种发展方向。
在当前的技术手段下,可从以下几方面加强城域网的安全性:
①提高网络设备本身的安全功能,如支持uRPF或源地址过滤等。
②部署安全设备,监视并旁路、发现、过滤城域网中的非正常流量,加强城域网核心网络抵抗DDoS攻击的能力。
③加强BRAS的安全业务功能配置,如控制每个用户的TCP连接数,实施基于用户的访问控制列表等,以实现对家庭用户接入业务实施严格的控制和管理。
4、组网设备的选择
核心层、汇聚层设备为三层路由器,该层面的路由器要求性能和功能齐全可靠,端口需支持2.5G/10G POS、GE、10GE等,支持OSPF、ISIS、BGP等,具备良好的路由转发处理能力,支持大容量路由表,同时支持IPv4和IPv6,支持DSCP QoS,支持MPLS VPN,支持PIMv1/2、MSDP、MP-BGP、Anycast RP、DVMRP、IGMPv2/3等组播协议(组播的控制、复制要求由硬件实现,启用组播后不能对设备性能有显著影响),有良好的抵御DDoS和防病毒攻击能力,背板带宽在20 G以上,数据必须可在每端口分布式处理,接入层设备当前主要有BRAS和AR。BRAS设备,要求支持直挂方式;支持OSPF、ISIS、BGP等,同时支持IPv4和IPv6;802.1P;DSCP QoS(速率限制中的令牌桶运算、流分类运算要求由硬件实现);各种二层、三层VPN隧道;PIMv1/2、MSDP、MP-BGP、Anycast RP、DVMRP、IGMPv2/3等组播协议(组播的控制、复制要求由硬件实现,启用组播后不能对设备性能有显著影响);802.1Q IN 802.1Q,具备良好的抵御DDoS和防病毒攻击能力;对每个用户TCP连接数的控制;支持基于每个用户的ACL。AR设备,最小支持100个10 M专线用户,要求具备高密度、多类型端口(POS/GE/FE/CE1),支持OSPF、ISIS、BGP等。
宽带接入网的主要设备为MSTP(以太网透传及二层交换)、二层以太网交换机。具有以太网二层交换功能的MSTP和二层以太网交换机,要求支持802.1Q IN 802.1Q和802.1P;用户的上行流量限制;IGMPv2/3等组播协议(组播的控制、复制要求由专用硬件实现,启用组播后不能对设备性能有显著影响);端口广播的限制;L2层安全控制,与不同厂家的GE/FE口能正常协商工作。