ALL IP是全球运营商转型的必经之路。从NGN/3G部署开始，就对IP承载网的可靠性、QoS保障和安全性等环节提出了严峻的考验，而向IMS的演进使它们面临更高要求的挑战。

IP承载网需求注入了新内涵

        IMS技术完全可以实现固网与移动网络的融合，它可将这两种不同的网络接入方式统一承载在相同的IP骨干网上。因此，IP承载网，尤其是骨干网在承载IMS业务时必须充分考虑到业务存在的差异性。

        事实上，IMS对IP承载网的要求与NGN/3G对IP承载网的要求存在很多相似之处，它同样要求IP承载网必须关注QoS、安全性、可靠性、可扩展性、业务策略驱动以及可运营、可管理等环节，但它在具体的需求内容方面却注入了新的内涵。

        例如，在可扩展性方面，由于固网业务和移动业务统一到IP承载网上，这就要求IP承载网必须具备组建大网的能力。在业务策略驱动方面，基于IMS的业务统一使用SIP进行业务的端到端控制，包括会话的创建、关闭和媒体流的转发，这就要求IP承载网必须具有接受来自于S-CSCF或是软交换等业务控制层控制的能力，具有在任何时候允许控制层关闭一个连接的能力。在运营管理方面，向IMS演进的IP承载网应当实现基于单一会话的控制和承载，这就要求网络必须具有精细到会话级别的运营和管理能力。下面，我们将展开讨论在向IMS演进的过程中，IP承载网应当进行哪些关键措施。

构建ITU-T Y.RACF架构

        简单地说，电信级多业务IP承载网＝IP网络技术+电信运营，采用面向IMS的ITU-T Y.RACF架构来建设IP电信承载网，完全满足电信运营的需求。

        首先表现在业务方面，ITU-T Y.RACF构架完全满足实时性较高业务的承载要求，例如语音、视频业务的质量与传统电信网络相当，既可实现严格的QoS保证（即Hard QoS），同时也支持电信级服务质量的IP新业务。

        其次表现在建设方面，现有IP网络只需简单改造即可升级为ITU-T Y.RACF网络。事实上，这种架构并不是对现有IP网络的简单否定，完全可以通过优化活动解决现有IP网络在QoS、安全、管理等环节存在的问题。

        还有一点值得注意，即这种架构采用了一种基于分层的网络结构——承载层、承载控制层和业务控制层，由承载控制层对资源进行统一管理，既可承载传统的电信业务，又可支持新型电信业务，而CAC机制的引入还可保证业务在使用前申请资源、使用中保证资源、使用后释放资源。

确保毫秒级保护倒换

        IMS实时业务对系统的可靠性提出了毫秒级的倒换要求，即必须确保网络在单点故障情况下，能够实现毫秒级别的保护倒换。

        首先，在物理拓扑上，IP承载网重点关注骨干接点的冗余备份，如提供链路冗余和接点冗余。冗余的物理拓扑必须与可靠性技术相结合，才能提供整网的高可靠性，传统的IP技术很难实现这个目标，而MPLS TE FRR则可以提供基于链路和接点的保护，很好地解决这一问题。

        此外，故障的快速发现机制是实现快速保护倒换的前提。高端路由器通常采用包括Ethernet OAM、APS、物理端口故障检测，以及基于三层的BFD技术在内的多种故障检测技术，还有基于MPLS的OAM技术等。一般来说，底层检测比上层故障检测快得多，故在实际的组网中应首选底层故障检测技术。

实现分层QoS保证方案

        IMS定义了分层的端到端QoS保证方案，具体包括应用控制层、骨干网QoS控制层和骨干网QoS转发保证层。

        在3GPP定义的IMS QoS架构中，应用接点如GGSN、PDF与IP 骨干网之间进行信息交互，以确定对于一个会话的QoS资源的预留。这一过程可以根据网络的具体情况，采用过度分配、静态预留、资源代理或应用终端探测等方式实现。

        ITU-T Y.RACF框架完全符合IMS QoS架构，且属于资源集中代理方式，可通过集中的资源管理系统来控制整个网络的资源分配。IMS的控制协议SIP在创建会话时会向ITU-T Y.RACF的资源管理器申请资源，资源管理器保存着整网资源信息拓扑，如果从源到目的地之间有足够资源，则向IMS的业务控制系统反馈OK，从而建立会话，同时在骨干网中端到端的为这个会话预留资源。具体的资源预留方式，可以采用MPLS TE方式，也可以采用普通的Diffserv方式。当此会话的流量到达骨干网的边缘时，基于已经预留资源的表项将被转发，没有对应表项的流量要么被丢弃，要么作为尽力转发流量处理。

消除潜在安全隐患

        IMS网络实现了各种会话式IP业务终端与骨干网络的直接互通，从而进一步加重了IP网络在安全性方面的风险。SIP协议天生就不是一种安全机制，各种终端（如UE等）没有安全保护措施，IMS终端用户可攻击IMS核心网络或IP承载网，而且Internet也是一个不安全的环节。如果IP承载网是多业务承载网，那么各种业务之间还会存在潜在的安全隐患。

        为了解决上述安全问题，可从以下几个方面着手。

        首先，网络安全边缘、骨干网边缘设备是解决安全问题的最重要屏障，包括IMS用户的认证、SIP信令的安全接入、非法流量的屏蔽以及对DDOS攻击的处理。其次是IMS核心控制设备的安全，它将直接影响到整个网络的业务运营，例如可要求从Internet来的呼叫必须经过状态防火墙。第三是核心网内部安全，可采用MPLS VPN进行安全隔离，将IP承载网上的不同业务或不同设备从控制和转发平面隔离，消除它们之间的影响，例如避免媒体对SIP信令的影响。

        一些领先的厂商已经在多业务控制网关产品内集成了用户的安全认证功能，即SBC代理功能，实现对SIP信令和媒体的代理，屏蔽非法的SIP呼叫，并具有对SIP信令的防攻击功能，防止非法SIP呼叫。有的还实现了防火墙功能，使用户之间、用户与IP承载网之间形成安全屏障，不相互直接暴露，而且在IMS的会话控制设备和Internet网关可部署防火墙设备。

        ITU-T Y.RACF架构中的资源管理器，可直接控制多业务控制网关上会话表象的创建和删除，没有会话表象匹配的会话流量将被认为是非法的，并被直接丢弃。如果网络管理员或安全部门发现某会话存在安全问题，可通过承载控制层面直接通知骨干网边缘设备直接拆除会话。

        目前，网络转型正站在突破的前夜，困难正一个个被克服。ITU-T Y.RACF架构给我们带来了一缕曙光，相信未来的IP之路会越走越光明。