IP網的QoS、安全等問題一直是電信界詬病的焦點，隨著下一代網絡（NGN）從理論研究階段過渡到實際應用階段，關于IP網絡的爭論更加激烈。IP技術是否能夠滿足NGN承載的要求，在業界還有很大的分歧，IP極端樂觀主義者認為互聯網就是網絡融合的未來，認為沒有NGN，只有NGI；IP極端悲觀主義者認為IP技術本身就不適合承載電信業務，需要有革命性的變化，甚至需要發明一種新技術來承載下一代網絡。

網絡是技術、管理模式和商業模式的有機組合，判斷一個技術的好壞要看這種技術能否與管理模式和商業模式有效地配合以支持業務開展，同時要兼顧技術的成熟性和產業的投入和支持。我們在談論IP問題的時候也決不能“維技術論”，本文從一個網絡應用者的視角談一下對于IP網絡和技術的看法，僅代表個人觀點。

2 下一代網絡的發展目標

如圖1所示，ITU-T對于下一代網絡有過一個純功能層面的定義，對于運營商來說，這樣一個定義是無法直接應用于生產當中的，需要根據這個定義進行技術選擇，而且需要充分考慮運行維護模式、商業模式等問題。

筆者認為，下一代網絡是從電信網對業務和網絡的要求出發，充分利用互聯網的先進技術，引入電信網的運營和管理模式，通過商業模式上的創新來實現的新一代網絡。在下一代網絡中，IP無論在承載層還是業務層都將擔任重要角色，目前，ITU-T，3GPP，OMA等國際主流標準化組織都與IETF建立了聯絡，充分利用IP領域已有的先進技術實現電信業務。

2．1 業務的IP化

隨著互聯網業務的普及，TCP/IP協議已經成了各種操作系統的默認配置，目前大部分業務系統使用TCP/IP協議進行通信。

互聯網的開放性使其成為新業務最好的試驗場，電信網也不斷從互聯網業務中吸取營養，SIP是目前業界公認的下一代網絡的核心控制技術之一，它最初就產生于互聯網。

2．2 網絡的IP化

20世紀90年代的關于ATM和IP的爭論已經徹底成為歷史。目前，IP無論從技術、設備還是標準化方面的發展都遠遠超過對手，一枝獨秀。目前，路由器廣泛采用ASIC，NP等硬件/準硬件技術實現，性能、穩定性大為提高，ATM等其他技術已經成為IP之下的二層技術。

IP領域技術發展帶有明顯的技術驅動的特點，新技術層出不窮，但由于IP技術的最初定位不是滿足電信網絡的需求，在滿足電信網的QoS、安全、高可用性等要求方面還有形成體系。

3 IP技術發展狀況

IP技術最初是為滿足院校、學術機構的資源共享而發明的，隨著網絡規模的不斷擴大，共享資源的爆炸式增加，IP網絡成為全球范圍的國際互聯網絡——Internet，互聯網的發展極大地改變了人們的生產、生活，也對電信網絡的發展產生了深刻的影響，IP技術以其簡單、開放、靈活等特性使電信網絡快速開發和提供豐富多彩的增值業務成為可能。

4 IP QoS技術發展現狀和趨勢

4．1 IP QoS技術發展現狀

IP QoS技術分為區分服務（DiffServ）和集成服務（IntServ）兩大模型，從這兩大模型衍生出來的其他QoS技術如圖2所示。

（1）區分服務（DiffServ）和集成服務（IntServ）

DiffServ相關標準為RFC2475，2474，2597（EF），2598（AF）。在DiffServ方案中，在網絡入口處根據服務要求對業務進行分類、流量控制，同時設置DSCP，在網絡中根據實施好的QoS機制來區分每一類通信（依據分組的DSCP值）、并為之服務（包括資源分配、分組丟棄策略等，統稱為PHB），DiffServ域中的所有節點都將根據分組的DSCP字段來遵守PHB。

IntServ相關標準為RFC2210。IntServ定義了兩種服務，即保證服務與控制負載服務。使用IntServ，兩端應用程序在通信前，需要根據業務類型及對網絡資源的要求，通過RSVP信令（帶外）建立端到端的通信路徑；沿途的每一個路由器都需要記錄每一個業務流的狀態信息，即“軟狀態”，并提供相應的服務確保。

DiffServ和IntServ代表QoS保證的兩種不同的理念，DiffServ是粗管道、面向類的QoS保證技術，IntServ是細管道、面向流的QoS保證技術。事實證明，IntServ在大網中應用存在擴展性問題，目前基本已經退出歷史舞臺。

（2）E-LSP和MPLS流量工程（MPLS TE）

隨著MPLS在VPN等領域的大量應用，DiffServ和MPLS結合出現了E-LSP，即通過MPLS標簽中的EXP字段來標記業務的優先級。

IntServ模式盡管在以流為單位的細粒度QoS保證方面已沒有發展前途，但與MPLS技術結合產生了面向粗管道的MPLS-TE技術，可以通過RSVP-TE作為信令為一類業務端到端預留一個大粒度的帶寬。

（3）DS-TE

DS-TE將E-LSP和MPLS-TE結合起來，能夠實現在MPLS-TE隧道中細分不同服務等級，提供更為靈活的QoS保證。目前，該技術尚不成熟，標準還在草案階段。

（4）現有QoS技術的實施

隨著硬件轉發技術的應用，路由器、交換機對數據報文的處理時延已經達到微秒級，端到端的時延主要取決于傳輸距離而不是節點的處理時延，實驗室測試和現網經驗告訴我們，在端口流量達到80%甚至90%的時候，大多數主流路由、交換設備都不會出現丟包，處理時延在100us左右。

目前，大多數商用網絡通過業務的流量流向預測、適當過量的帶寬設計避免網絡壅塞作為保證QoS的主要手段，同時在網絡上部署DiffServ和E-LSP技術，在網絡流量突發時保證高優先級業務的質量。

4．2 IP QoS技術發展趨勢

盡管現有QoS技術能夠在一定程度上解決網絡服務質量問題，但在具體實施過程中依然存在問題，不符合傳統電信網的運營模式：

（1）無法進行基于流的呼叫控制。對于話音等傳統電信業務，當網絡資源不足時無法拒絕訪問，只能降低業務的QoS，不符合用戶原有的使用習慣。

（2）IP承載層與業務之間沒有通信，只能通過IP層能夠感知的屬性（如IP五元組）實施QoS策略，在某些情況下無法滿足業務的需求。比如，對于基于IMS的IP電話和MSN的話音聊天，其媒體流都是端到端的RTP報文，通過IP五元組是無法進行區分以實施不同的QoS策略的。

為了在下一代網絡中解決這些問題，ITU-T提出了資源訪問控制功能（RACF）模型參考模型（見圖3）。在該參考模型中引入了資源控制功能（RACF），增強了承載控制功能。其中：

（1）RACF包含兩類資源和訪問控制功能實體：PD-FE（策略決策功能）和TRC-FE（傳輸資源控制功能）。

（2）TRC-FE保存和維護網絡拓撲信息、網絡和網元資源可用性信息，并從NACF獲得接入網傳輸定購信息；PD-FE是網絡資源和訪問控制的最終決策點，它根據SCF發來的請求，從TRC-FE獲得網絡資源信息和傳輸層的定購信息，根據一定的規則形成策略，通過Rw接口控制PE-FE，對流經PE-FE的所有媒體流進行訪問控制、資源分配和預留、地址翻譯等。

5 網絡可用性技術發展現狀和趨勢

電信網絡要求長時間不中斷提供服務，這是與互聯網的主要差別，因此網絡可用性對于IP承載電信業務至關重要。

網絡可用度的定義可以用如下公式表示：，其中：MTBF表示平均無故障時間，MTTR表示平均故障修復時間。

我們可以發現，通過延長MTBF或降低MTTR可以提高網絡可用度。延長MTBF受設備制造工藝、傳輸線路質量、計劃作業等因素影響，難以控制；降低MTTR可以通過設置冗余設備、鏈路，快速檢測到故障，并快速進行倒換來實現，目前業界提高網絡可用性也主要采取這種措施。

4．1 IP高可用性技術發展現狀

目前，主要的高可用性技術包括IGP快速收斂、TEFRR、虛擬冗余路由器協議（VRRP）和不間斷轉發技術。

（1）IGP快速收斂

IP網絡能夠通過路由協議實現自動路由，具有很高的可用性，但普通的IGP協議收斂時間根據網絡規模等一般都是在10s級別以上，顯然不能滿足電信級網絡的要求。

IGP快速收斂引進了大量的新技術，包括增量SP計算(i-SPF)，局部路由計算(PRC)等。IGP路由協議引進了大量的快速收斂，快速檢測技術大大的提高了路由的收斂速度，收斂時間一般可以達到1～2s左右（不同的網絡規模，收斂時間有差異），基本上可以滿足數據電信級承載網要求。

（2）TE FRR

TE FRR是一種基于TE的LSP保護技術，可以提供基于鏈路和節點的保護，使用一條備份隧道保護

被保護節點和鏈路。

TE FRR是一種局部和物理拓撲相結合的保護技術，因此和業務是不相關的。對于一些容易出故障的接點，或是出故障影響范圍比較大的鏈路或節點提供50ms內的保護切換。

由于TE技術存在擴展性問題，在大規模網絡上不建議全網部署，適合在對業務影響最大的網絡核心層部署。

（3）虛擬冗余路由器協議（VRRP）

VRRP協議將系統中多臺路由器組成VRRP組，該組中擁有一個虛擬默認網關地址。但在任何時刻，一個組內只有控制虛擬網關地址的路由器是活動路由器（Master），由它來轉發數據包。如果活動路由器發生了故障，它將選擇一個優先權最高的冗余備份路由器（Backup）來替代活動路由器。由于網絡內的終端配置了VRRP虛擬網關地址，發生故障時，虛擬路由器沒有改變，主機仍然保持連接，網絡將不會受到單點故障的影響，這樣就較好地解決了網絡中路由器切換的問題。VRRP協議適合在業務系統接入時采用。

（4）不間斷轉發技術

不間斷轉發技術包括NSF（不間斷轉發）、NSR（不間斷路由）和GR（溫柔重啟），這些技術保證在設備主控板發生故障時能夠保持正常轉發數據報文。

（1）NSF技術在主控板發生故障時不更新線卡上的轉發表，保證數據報能夠繼續正常轉發。該技術為設備內部實現，不涉及協議擴展。

（2）NSR技術要求主控板1+1冗余，正常工作時，主用板卡將路由信息和狀態信息同步給備用板卡，當主用板卡故障時，備用板卡快速接管路由工作，保證數據報文轉發不受影響。該技術為設備內部實現，不涉及協議擴展。

（3）GR技術是路由器與鄰居之間路由協議的擴展，當某路由器主控板故障時，通知鄰居路由器，保持數據報文的正常轉發，當故障路由器恢復后通知鄰居路由器，依靠鄰居路由器重新取得路由信息。

4．2 IP高可用性技術發展趨勢

IP高可用性技術有賴于對鏈路、節點故障的快速檢測，目前這方面技術正在發展過程中。

（1）MPLS OAM技術

MPLS OAM是針對單條LSP的連通性檢測。其基本原理是在源端節點周期性發送OAM連通性檢測報文(CV/FFD)，在宿端節點周期性檢測。當宿端檢測到缺陷后通過綁定的反向通道發送BDI報文通知LSP的源節點，完成保護倒換。

（2）雙向轉發檢測（BFD）

從本質上講，BFD是一種高速的獨立HELLO協議。BFD能夠與相鄰系統建立對等關系，之后，每個系統以協商的速率監測來自其他系統的BFD速率。監測速率能夠以毫秒級增量設定。當對等系統沒有接到預先設定數量的數據包時，它推斷BFD保護的軟件或硬件基礎設施發生故障，不管基礎設施是標記交換路徑、其他類型的隧道還是交換以太網絡。

BFD部署在路由器和其他系統的控制平面上，BFD檢測到的網絡故障可以由轉發平面恢復（例如在MPLS快速重啟路由中）或由控制平面恢復（例如當BFD用于加快路由協議運行速度時）。

6 IP承載網發展的其他問題

6．1 安全問題

IP網絡的智能邊緣化、開放性使Internet成為黑客活動的樂園，網絡安全是IP網絡中最為活躍的技術領域之一，包括安全隔離、訪問控制、入侵檢測、防病毒等。

IP網絡與傳統電信網相比，其網絡安全產生的兩個根本原因是終端智能化和網絡開放性。終端智能化帶來了業務的靈活性，同時也使終端具備了產生安全攻擊的強大能力，同時IP網絡UNI和NNI不分，這種攻擊就能夠延伸到其他終端、業務系統甚至網絡設備，使IP網絡上的安全風險很大。

網絡安全的一個基本理念是“適度安全”，安全問題不能徹底解決，只能通過技術和管理的手段把安全風險降低到可以接受的程度。未來IP網絡安全應該在以下幾個方面加強：

（1）安全域的劃分和隔離：根據業務安全級別的不同把IP網絡隔離成不同的安全域，不同安全要求的業務承載在不同的安全域中，降低安全風險的影響，簡化安全策略的實施。

（2）構建終端和網絡之間的UNI接口：在網絡邊緣構建終端和關鍵業務網絡之間的UNI接口，避免終端對網絡內部的直接訪問。

（3）基于業務感知的訪問控制：網絡邊緣的安全控制設備與業務層建立接口，根據業務需求確定訪問控制策略。

（4）建立安全管理體系：安全是30%技術+70%管理，需要建立一整套安全管理系統和制度，有效地綜合使用各種安全技術手段保證網絡安全。

6．2 地址問題

目前，互聯網使用的IPv4技術，互聯網的快速發展、初期的粗放地址管理策略以及各地域IP地址的分配不均使IP地址成為阻礙網絡發展的重要因素。為了緩解地址資源的不足，目前互聯網上大量使用地址轉換（NAT/NAPT）技術，打破了IP端到端的特性，使話音、視頻等端到端業務難以實現。隨著基于SIP的電話、視頻等業務的開展，IP地址對我國電信業務的制約將越發明顯。

為了解決地址問題，未來承載網絡必須全面支持IPv6。目前，IPv6技術已經比較完善，設備也日趨成熟，但由于IPv6升級成本高，缺乏殺手級應用，IPv6商用進程緩慢。2003年8月，國家發展與改革委員會牽頭，聯合八大部委，投資數十億啟動的國家級高技術產業產業重大專項“中國下一代互聯網（CNGI）”，以推動IPv6的研究、產業化和商用工作。目前，由全國5大運營商和教育網承建的6大CNGI主干網絡的建設已經基本完成，相關的應用試驗項目已開始進行，該項目將有力地推動IPv6的商用化進程。

6 結束語

隨著業務和網絡IP化趨勢日益明朗，IP技術作為下一代網絡的承載網技術已經成為必然，但目前的IP技術不能完全適應電信網的運營管理模式，不能完全滿足電信網對于QoS、安全、可用性等方面的要求，電信級IP網絡技術的發展任重道遠。