青春期如此難熬 下一代網絡的“成長煩惱”
下一代網絡包含了正在發生的網絡構建方式的多種變革,它大量采用創新技術,是可以提供包括語音、數據和多媒體等各種業務在內的綜合開放的網絡構架,但在其發展的道路上也充滿了“成長的煩惱”。
美國擁有大部分的IPv4地址資源,其次是歐洲。剩下的國家只有少量IP資源。MIT, Xerox, Apple所分配的IPv4地址資源比整個中國還要多。正是這種資源被動的現狀促進了我國IPv6的發展。
通過驗收的中國下一代互聯網(CNGI),已經形成了和歐盟、美國差不多規模的網絡形態,這個龐大的工程確立了我國在下一代互聯網領域的地位和話語權,也掙脫出對目前的互聯網關鍵技術和核心產品的依賴,同時可增強國家信息安全建設。
下一代互聯網應當是一個具有向前、向后兼容并且與傳統網絡互操作,兼具互聯互通、允許平滑演進的安全網絡。但是,下一代互聯網畢竟是一次演進性的變革,這場變革也為將來的網絡帶來一些首要問題——如何與現有網絡兼容?如何保證網絡安全性?
“糊涂”的IPv6
下一代網絡(NGN)的定義和概念很寬泛,它包含了正在發生的網絡構建方式的多種變革。NGN大量采用創新技術,是可以提供包括語音、數據和多媒體等各種業務在內的綜合開放的網絡構架。
中國教育和科研計算機網(CERNET2)是CNGI的組成部分之一,作為世界上規模最大的純IPv6大型互聯網主干網,實現難度大,技術起點高。在建設當初就提出了“建設純IPv6大型互聯網主干網”、“基于真實IPv6源地址的網絡尋址體系結構”和“IPv4 over IPv6網狀體系結構過渡技術”的創新目標。
對比IPv4,IPv6改進了許多功能,如:單播和組播地址空間擴大、任意廣播地址、分層路由的集體尋址等。通過這些改進,IPv6擴大了地址空間,提高了網絡的整體吞吐量,使服務質量得到了很大改善,使安全性有了更好的保證,支持即插即用和移動性,并且更好地實現了多播功能。IPv6同時也解決了IPv4的地址枯竭問題,將地址長度從32位擴展到128位。
清華大學網絡中心副主任李星教授說:“CERNET 2在實際建設過程中,雖然嘗到了不少‘甜頭’。但由于驗收的環境基于純IPv6,它能暴露很多系統問題。比如微軟的操作系統實際上一到IPv6環境,很多功能就失效了。但更為重要的是,它提供了一個全新的應用環境。”
由于建設的是純IPv6網,遭遇最多的問題就是以往的軟硬件都不支持。比如,對于域名的解析,IPv4網絡的解析是連續的,而IPv6網絡的解析是不連續的。
原因是IPv6目前還處在發展階段,通過網絡設備對網址進行解析時,會產生延遲響應時間也從5毫秒增加到10秒,在打開TCP連接時會表現得非常慢。
下一代網絡安全
NGN的建設不可能一蹴而就,現有的網絡已經存在20多年的歷史。IT應用不是開關,還需要現有網絡與新網絡共生相當長的一段時間。這就要求新網絡必須能夠和原有網絡互通,所以就需要解決互通地址解析和路由選擇的問題。
一方面,NGN不是現有電信網和IP網的簡單延伸和疊加,也不是單項節點技術和網絡技術,而是整個網絡架構的變革,需要的是一種整體解決方案。另一方面,NGN的出現與發展不是革命,而是演進,即在繼承現有網絡優勢的基礎上實現平滑過渡。
目前采用的方法是通過軟交換手段實現互聯互通的效果,軟交換的體系結構是面向網絡融合的新一代多媒體業務整體解決方案,實現了對目前在各個業務網絡(如PSTNISDN、PLMN、IN、CATV和Internet等)之間進行的互通。
采用軟交換技術,將傳統交換機的功能模塊分離為獨立網絡部件,各部件按相應功能進行劃分,獨立發展,即業務功能與呼叫控制功能分離、呼叫控制功能與承載功能分離,實現開放的分布式網絡結構。
具體來說,NGN是一種業務驅動型網絡,通過開放式協議和接口,實現業務與呼叫控制分離以及呼叫控制與承載分離,使業務獨立于網絡,以便靈活、快速地提供業務。
網絡安全同樣也是NGN發展的障礙之一,因為NGN同樣也是基于IP網絡,也就不可避免會受到網絡中斷、截取、修改、捏造等方面的安全攻擊。
為了防止未經授權的實體利用軟交換協議建立非法呼叫或者干涉合法數據傳輸,需要對軟交換協議連接的傳輸建立安全機制。當在IP網絡上傳輸媒體網關控制協議時,需要使用IPSec對軟交換協議的傳輸進行保護。如果低層協議不支持IPSec,也有企業在H.248協議頭之中定義上AH頭來實現對協議連接的保護。
有專家認為,目前來說,可以通過兩種方法保證NGN的安全問題,一是減少潛在的安全威脅問題,在網絡中實施MPLS VPN,以保證數據傳輸的安全,在網絡中建設的設備最好使用私網IP;二是做好網絡的監測,發現問題便于及時應對。
據悉,CERNET2中部署了Juniper公司T系列核心路由平臺。T系列的核心是JUNOS操作系統,該操作系統已經在提供IPv6功能的產品中運行了3年多時間。 CERNIC主任吳建平教授指出:“由于該網絡平臺要求有最好的性能、安全和可靠性。在經過一系列的測試之后決定選用該平臺與Cisco、華為等廠商的產品對CERNET2提供保障。”
