軟交換規模商用的瓶頸與出路

2019-11-03 10:23:06

字體：大中小

來源：轉載

供稿：網友

中國電信集團北京研究院葉華張園

　　運營商商用軟交換的主要目的是希望減少投資、運營成本，尋求更多的業務增長點。但不可否認，到目前為止軟交換的成熟性是制約其發展的主要因素，規模商用仍面臨著種種亟待解決的問題，其主要挑戰包括：兼容和互聯尚未做到；新業務不很成熟；缺乏可行的QoS和網絡安全方案及組大網經驗；商業模型和運維管理的研究有待加強；軟交換系統的總體投資仍高于TDM等。

　　安全問題

　　在軟交換網絡中，各種媒體流的承載均采用分組網，分組網的一系列的安全問題也就隨之而來。軟交換網絡也就面臨著被攻擊、被假冒、搶占資源，用戶的信息被竊聽、被竄改等問題。在軟交換的本地網絡中，由于節點眾多(主要是接入設備)，分布廣泛，面臨的主要題包括幾個方面：

　　軟交換網絡節點(包括軟交換、各種媒體網關、IAD、各類終端)的安全，如網絡節點被攻擊、被假冒等；用戶信息的安全，如用戶的語音等信息被竊聽、被竄改、賬號被盜用等；業務的安全，如網絡被非法用戶使用、非法節點接入網絡。

　　(1)網絡節點設備的安全

　　對于軟交換、各類媒體網關、計費、網管等設備，考慮到重要程度高、節點數量相對較少、位置比較集中，可以在網絡外側設置防火墻，對發給網絡接點設備的數據包進行過濾，只允許特定端口號的數據包通過防火墻，這種方法可以對Ping of death等一系列的DoS(分布式拒絕服務攻擊)攻擊進行過濾。

　　網管系統應具有不同級別的管理員權限管理機制，越權操作應予以禁止。對非法操作提供記錄信息，對系統可能造成潛在危害的請求，應能夠告警并采取相應的防范措施。

　　對于一些未經授權的接入設備利用軟交換的協議建立非法呼叫或者干涉合法呼叫，需要對軟交換連接的傳輸建立安全機制。當在ip網絡上傳輸本協議時，可以使用Ipsec對H.248或MGCP協議的傳輸進行保護。如果低層協議不支持Ipsec，應當在H.248協議頭之中定義AH頭來實現對協議連接的保護。

　　(2)用戶信息的安全

　　對于用戶的私人信息的安全問題，主要存在于接入層。因此應該從兩個方面來保證用戶信息的安全：

　　第一，對用戶的數據流進行隔離，防止用戶的信息被非法用戶截取。可以采取二層的VLAN技術，對用戶的數據流進行隔離，用ACL控制用戶之間的互訪。

　　第二，為防止媒體流被篡改、修改和竊取，應實施適當的安全機制來保護媒體連接，解決辦法就是對音頻消息進行加密。但隨著寬帶終端數量的增加，一方面密鑰需求量會成倍增加，另一方面用戶每次通信可能會使用不同的密鑰，因為若用戶一次又一次的使用相同的密鑰與別人交換信息，則如果某人偶然地接觸到了用戶的密鑰，那么用戶曾經和另一個人交換的每一條消息都不再是保密的了，另一方面，使用一個特定密鑰加密的信息越多，提供給竊聽者的材料也就越多，這就增加了他們成功的機會，所有這些都對密鑰的分發提供了嚴峻的考驗。一種比較好的解決方案就是采用Kerberos解決方案，它是由MIT發明的，使保密密鑰的管理和分發變得十分容易。

　　(3)業務的安全

　　業務的安全主要是防止業務的非法盜用，非法搶占帶寬，防止非法終端和設備訪問網絡，解決的辦法就是軟交換網絡對SIP智能終端和IAD設備進行身份認證。

　　對于IAD設備，可以采用MAC地址認證的方法。即在認證的數據庫中將用戶設備的MAC地址記錄下來，當用戶需要接入網絡使用業務的時候，首先對用戶設備的MAC地址進行認證，如果認證通過，才給其分配IP地址，允許其接入網絡。如果用戶的終端設備為非法設備，則無法接入網絡。

　　對于SIP智能終端，則建議采用基于用戶名和密碼的認證方式，也稱DHCP+方式，之所以成為DHCP+主要是針對網絡發展的需要對傳統的DHCP協議進行了改進，主要增加了認證功能，即DHCP服務器在將配置參數發給終端之前必須將終端提供的用戶名和密碼送往軟交換進行認證，通過后才將配置信息發給用戶終端。

　　QOS問題

　　軟交換的承載網采用包交換網絡(ATM或IP)，而由于IP組網技術的簡單、靈活、接入的業務豐富，因而目前城域網中主要采用IP技術。IP技術的“Best effort”機制帶來的QoS問題也隨之帶給了軟交換網絡。目前的PSTN和ISDN網絡可以提供端到端的服務質量的保證，軟交換網絡如果要大規模的應用，就必須提供端到端的服務質量的保證，因而QoS問題就顯得更為重要。

　　目前，IP網中解決QoS問題的主要技術有Diffserv、802.1p/q、Interserve(RSVP)、MPLS技術。

　　我們可以在城域網的各個層次采用DiffServ、CAR、接入數量控制以及動態QoS策略等多種技術來保證NGN業務的端到端QoS。

　　在網絡的接入層，可以采用802.1p/q技術。首先，應對數據流進行分類。數據流可以分為信令流、語音流和數據流等，要求NGN的網絡設備(網關、IAD、SIP終端等)支持802.1p/q協議，可以根據端口號、IP地址等對數據流進行分類，對不同類別的數據流設置不同的VLAN，進行隔離。并且對不同類別的數據流設置不同的優先級，應對信令流設置最高的優先級，語音流其次，數據業務最后。這樣可以保證信令消息和實時業務在L2或L3的網絡中被優先轉發。

　　在城域網的邊緣層，要求網絡設備支持Diffserv。網絡設備應能根據多種信息對數據流進行分類，包括：VLAN ID、802.1p優先級、DS字段或TOS字段。網絡的邊緣設備根據預先設定好的策略，將各種信息映射為相應的DSCP值，高優先級的數據就能在網絡中優先排隊、優先轉發，得到高級別的服務。

　　對于骨干層，目前各大運營商的IP骨干網流量不高，有比較充足的帶寬。因此在骨干層可以采取保證充足的帶寬和DiffServ的策略來保證業務的QoS。

　　雖然軟交換網絡的QoS問題是由承載層不可靠性引起的，我們也可以采用其它的機制來提高網絡的QoS。

　　* 緩沖區的動態調整

　　在IP網中，由于路由不對稱或分組在各個節點的處理時間不一致引起分組傳輸的端到端時延不一致，即產生抖動，如果不消除抖動的影響，會使話音有斷續而影響通話質量。為此，接收端通常設定一個抖動緩沖區，以消除分組之間的時延差距，一般而言抖動緩沖是根據抖動的最差情況而設計的，這種做法的一個缺點是使端到端的時延過大，而端到端時延過大又能產生回聲，因此緩沖區的設定應能根據網絡的負載情況動態調整，以使網絡的端到端時延在網絡的當前條件下是最小的，因此軟交換網絡中的各個媒體網關應該具備動態調整緩沖大小的能力。

　　* 回聲抑制和舒適噪音

　　IP網絡中的各個節點對語音包的處理、排隊及終端節點對語音包的緩沖都會給語音帶來端到端的時延，當語音的時延超過25m時，就需要增加回聲補償機制，來減小回音。因此，通常要求網關、IAD、SIP終端等支持回聲抑制、舒適噪音等功能，來提高語音質量。

　　* 擁塞處理

　　軟交換作為呼叫控制的核心，應該能夠根據網關的負荷狀況，控制可接入的呼叫數量，H.248協議在附錄Annex M.2中定義了媒體網關資源擁塞處理包(Me dia Gateway Resource Congestion Handling)，此包作用于Root Termination上，此包中定義了MGCongestion事件，當MG擁塞時，就向軟交換報告MGCongestion擁塞事件，軟交換根據ObservedEventsDescriptor中reduction參數值來確定應該拒絕多少比例的呼叫。

　　*鏈路的動態檢測

　　鏈路的動態檢測是指網關設備利用RTCP的收、發報文監控統計包丟失率，網絡時延抖動等網絡性能參數。鏈路動態檢測是網關進行QOS管理的重要依據，它將直接影響語音編碼的動態轉換，輸入緩沖的動態調整等工作。

　　軟交換網絡管理

　　有效的網絡管理和業務管理對運營商來說是十分重要的，而軟交換網絡的承載平臺是基于數據網絡，因此，實時業務和電信級服務的特點使軟交換網絡對數據網絡的管理提出了更高的要求，此外，由于軟交換網絡采用的是分布式體系，要求網管系統不但能夠提供平面化的管理，而且能夠提供垂直化的系統管理，網絡管理更加復雜。因此基于軟交換的網絡管理、業務管理和各種用戶接入的管理也是軟交換技術的研究重點。

　　目前的軟交換設備廠家通常都能夠提供對軟交換網絡設備(比如軟交換、媒體網關等)的管理，但是很難提供網絡級的管理，即對整個網絡的安全管理、對網絡的資源管理。由于軟交換網絡采用分層的體系結構，因此要求軟交換的網管系統不但能對設備進行管理，而且能對軟交換承載網絡的資源進行管理，掌握設備及網絡資源的使用情況，這將有利于網絡QOS的管理及相關策略的實施。

　　目前，國內外設備制造商也在這一方面展開積極的研究和探索。有些廠家提出了建立基于承載網絡的網絡控制服務器，網絡控制服務器提供網絡級的話務量控制，它可以基于話務量統計數據和網絡拓撲、路由信息計算每條路徑需要預留的帶寬。在承載網絡的邊緣設置網絡訪問控制設備，網絡訪問控制設備根據網絡控制服務器計算的帶寬來控制網絡的流量，保證已經接入業務的QOS，并且，網絡訪問控制設備定期向網絡控制服務器報告帶寬使用情況，網絡控制服務器根據報告的業務量重新計算需要預留的帶寬，這樣就可以實現對承載網絡資源進行實時的管理和分配。但是，這些解決方案都有待進一步細化和在實際網絡中檢驗。

　　終端

　　移動終端從普通通話終端向支持數據、媒體業務終端漸進過程顯示，終端已成為業務發展的重要組成部分。因此從業務提供角度來講，軟交換的規模商用，不僅需要突破現有固定電話機只能提供單一的語音業務的瓶頸，還與終端的智能化、多媒體化、個性化程度密切相關。運營商應與終端制造商形成良性互動，共同培育市場。

　　目前NGN終端主要包括SIP終端、H.323終端，它們可以支持傳統語音、視訊和多媒體業務，但在業務提供能力、互通性、安全性、可管理性等方面有待深入研究。

　　我們可以通過局域網供電的方式，通過雙絞線為用戶的終端設備供電。CDP(CISCO Delivery PRo-tocol)協議就是一種通過局域網給終端設備供電的協議。IEEE802.3af也在研究通過以太網的媒體接口(MDI：media dependent interface)用網絡來給終端設備供電。

----《通信產業報》