4 网络安全性

　　网络的安全性是当前互联网的最大缺陷之一。网络安全的关键是实现应用层、网络层和物理层的溯源和攻击者的物理定位。通常，溯源采用网络层和物理层溯源相结合的方式实现，最终目标是实现类似的DDoS攻击。溯源是事后威慑方式的安全防范技术，目前的PSTN就具备可溯源性。

　　应用层溯源可通过自身的身份识别和认证来实现，也可以在应用层协议中增加网络层信息，将其转化为网络层的溯源问题，比如在电子邮件协议MSTP和POP协议中增加发送者源地址信息，也可以由电子邮件服务器记录发送者的源地址信息，将应用层的追溯转移到网络层，由后者实现。

　　网络层溯源根据源IP地址实现，物理层溯源是在用户和业务接入控制点之间采用一个用户一个VLAN或者PVC方式建立物理层点对点连接，实现用户接入物理位置的定位。受IPv4地址数量的限制，目前普通用户上网采用PPP拨号或者DHCP实现动态地址分配，企业上网采用NAT技术，这些都给网络层溯源带来困难。建立完整的地址资源管理信息库，结合RADIUS记账信息中IP地址和物理端口信息的对应信息，实现网络层的溯源，并最终实现物理层溯源，是目前可行的方案。

　　在业务接入控制点设备上，采用严格的单播反向路径查找（uRPF）技术，基本可以防止源地址欺骗。将来采用IPv6技术后，所有个人和企业终端都可以分配到永久性的公共IP地址，因而很容易识别发送设备的类型，实现端到端的安全；再结合uRPF技术，有望从根本上解决网络层的溯源。

　　5 IPv6技术

　　目前的互联网是以IPv4协议为基础的，还剩14亿地址可用，可能在2010年左右全部耗尽。此外，IPv4在应用限制、管理灵活性、安全性方面的内在缺陷也越来越不能满足未来发展的需要，互联网逐渐转向以IPv6为基础的下一代互联网是不可避免的大趋势，IPv6是下一代互联网的基本特征之一。

　　采用IPv6从根本上解决了IPv4存在的地址限制，并能够更加有效地支持移动IP，它给业务实现和网络运营管理带来的好处是革命性的：第一，IPv6使地址空间从IPv4的32bit扩展到128bit，完全消除了互联网地址壁垒造成的网络壁垒和通信壁垒，解决了网络层端到端的寻址和呼叫，有利于运营网络向企业网络和家庭网络的延伸；第二，I6避免了动态地址分配和网络地址转换（NAT）的使用，解决了网络层溯源问题，给网络安全提供了根本的解决措施，同时扫清了NAT对业务实现的障碍；第三，IPv6协议内置移动IPv6协议，可以使移动终端在不改变自身IP地址的前提下实现在不同接入媒质之间的自由移动，为3G、WLAN、WiMAX等的无缝使用创造了条件；第四，IPv6协议通过一系列的自动发现和自动配置功能，简化了网络节点的管理和维护，可以实现即插即用，有利于支持移动节点以及大量小型家电和通信设备的应用；第五，采用IPv6后可以开发很多新的热点应用，特别是P2P业务，例如在线聊天、在线游戏等。

　　有关IPv6的技术标准已经基本成型，但实际网络推进速度很慢：一方面是IPv4通过采用NAT等措施尚能应付5年左右的地址需求；另一方面，IP地址方式与上层协议和网络的运作方式关系紧密，实现IPv4向IPv6升级，几乎涉及网上所有设备和应用，耗时费力，存在较大的风险。

　　6 QoS业务控制技术

　　目前的互联网是一个“尽力而为”的网络，没有严格的QoS概念和机制。而下一代互联网需要有可运营的QoS机制，这就要求网络具备业务质量保证和业务质量控制两个方面的能力。QoS业务相关的关键技术包括质量保证、质量控制、QoS管理、QoS业务标识和防盗。

　　质量保证主要是适度轻载、DiffServ和流量工程（TE）相结合、尽量简单化地实现。根据国际运营商和研究结构的实时检测结果，互联网流量符合泊松分布模型。中国电信广州研究院采用此模型对主流核心路由器的测试结果显示：在平均负载为50％时，丢包率为O，平均抖动在10μs以内；在平均负载为80％时，丢包率为0，抖动在30μs左右；在平均负载接近100％时（突发已经比较严重），如果QoS队列缓存容量大于1 000个IP包，丢包率在O.2％左右，抖动控制在600μs左右。如果采用QoS机制，Critical和Best Effort业务分别在总带宽6％和94％的情况下：Critical业务丢包率为O，抖动在60μs左右；Best Effort业务丢包率为O.3％左右，抖动在1.2 ms左右。由此可见，采用新一代高端路由器，即使在重载情况下高等级业务的质量也能得到保证。

　　在DiffServ架构中，调度算法、队列数量、缓存大小和丢包策略决定设备每跳的行为（PHB）。一般要求每个物理端口支持100 ms的数据缓存能力，每个业务逻辑端口大于8个队列和8个严格优先等级，支持基于WRED的丢包策略。边缘业务路由器的发展趋势是具备丰富的业务支持、处理和升级能力以及层次化的队列调度机制等。

　　网络质量控制是网络控制的重要组成部分，是在轻载网络上如何实现网络层差分业务的关键。下一代互联网应该具备针对不同包类型、应用类型和业务类型，实现可人为配置的丢包比例和丢包方式、包乱序控制和包延时控制。这样才能真正实现可控的差分服务，同时打击非法应用和非法运营。

　　QoS业务管理是部署QoS业务的难点，目前缺少成熟的管理系统。近期可行的QoS管理方案是采用OPENET进行离线的QoS参数计算和网络仿真、参数在线配置、实际运行参数的采集和统计分析，然后根据统计分析的结果周期性地调整网络QoS参数。

　　QoS业务盗用是用户自行修改QoS等级标记享受高等级的服务质量，甚至利用高等级流量实施安全攻击。根据物理端口完成业务分类和等级标识是最安全和可信的，如最高等级的业务必须基于物理端口完成Qo$业务标记，并在业务接入控制点设备上进行业务等级的审查和重标识。

　　7 中国电信CN2的总体设计思路

　　CN2项目是中国电信着力为下一代网络与业务打造的业务承载平台，其主要设计思路是充分利用现有的比较成熟的最新技术搭建一个可扩展、高可用、具备一定QoS和安全性的融合的业务承载平台。在网络架构上分为两个网络功能层面和4个网络结构层面。两个功能层分别是高速转发层和业务提供层，前者称为骨干网络，后者称为业务提供网络。4个结构层分别指核心层、汇聚层、边缘层和业务接入层。

　　CN2的基本建网特点是大容量和轻载运行，核心层采用MPLS FRR，全网采用快速路由收敛，以硬件线速转发方式支持IPv6，具备差分服务、组播、有保证的MPLS VPN、协议平稳重启、BFD功能以及简化的业务开放策略等。

　　在CN2网络的具体设计上有很多独到之处，例如物理拓扑设计在保持网络层次化的同时，尽量简化网络结构，打破行政区限制，减少设备和节点数量，减少端到端的路由跳数，以保证网络的可管理性；在业务量较小的地市不设置节点，就近合并城域网，从而控制节点数量。

　　在路由设计上采用扁平化思路。IGP采用简单高效成熟的IS-IS协议，所有路由器在同一IS-ISLevel 2平面内，充分利用多等价路径负载分担技术，按照单子面设计路由。BGP采用BGP-4协议和一级路由反射器（RR）结构，利用一些设计技巧，实现iBCP和eBCP在多等价路径情况下的负载分担，实现ICP和BCP的完美配合。

　　CN2的核心技术是IP／MPLS。在IP层面，可以实现小于1s的快速路由收敛、8条等价路径负载分担、ICP／BCP的协议平稳重启、基于DiffServ架构的8个等级的QoS业务、全网组播，具备平稳升级到IPv6的能力；在MPLS层面，核心节点之间50条链路部署了FRR，可实现50ms的保护切换；CN2可以提供全网MPLS二层／三层VPN业务。

　　CN2还配套建设了网络管理系统，采用全网集中管理的思路，重点建设VPN业务、QoS业务、网络安全和大客户业务相关的业务管理系统。

　　除了技术措施外，业务策略的设计也很关键，按照目前的技术水平，不能指望一个高质量的网络对所有业务和所有用户都开放，那将是十分复杂被动的局面。因而，CN2网络将采用尽量简单的业务策略，初期主要开放4类重要业务，即承载有质量保证的企业互联和大客户接入、3G中继、软交换中继以及重要的互联星空（Vnet）业务。中国电信现有的ChinaNet互联网将作为普通互联网业务的承载网络，两张网络将长期并存和互补，共同承载中国电信的IP业务。

　　简而言之，CN2的建设将为中国电信下一代网络的发展奠定一个统一的有较高质量保证的业务承载平台，其自身也将构成下一代网络的一部分。有理由相信，这一网络的建设将在很大程度上促进我国下一代网络技术业务的全面展开和向融合网络的演进步伐。