现批准《网络工程设计标准》为国家标准,编号为GB/T 51375一2019,自2019年10月1日起实施。本标准在住房和城乡建设部门户网站()公开,并由住房和城乡建设部标准定额研究所组织中国计划出版杜出版发行。
本标准是根据住房和城乡建设部《关于印发〈2009年工程设标准规范制订、修订计划〉的通知》(逢标(2009)88号)的要求,由中国移动通信集团设计院有限公司会同有关单位共同编制完成。本标准适用于公用互联网的网络工程设计。在编制过程中,编制组进行了深入的调查研究,认直总结了公用互联网网络工程设计的实践经验,分析了各种技术的应用与发展状况,广泛征求全国有关单位和专家的意见,并参考了国内外相关标准规定的内容,最后经审查定稿。本标准共分14章,主要技术内容包括:总则,术语和代号,网络组成与功能,网络结构,路由协议与路由策略,网间互联,网络管理,传送技术,业务承载和接入,编号方案、地址分配与域名系统,网络性能与服务质量,网络与信息安全,设备配置原则,机房设计。
本标准由住房和城乡建设部负责管理,工业和信息化部负责日常管理,中国移动通信集团设计院有限公司负责具体技术内容的解释。本标准在应用过程中如有需要修改与补充的地方,请将有关意见和建议反馈给中国移动通信集团设计院有限公司(地址:北京市海淀区丹棱街甲16号,邮政编码:100080),以供修订时参考。本标准主编单位、参编单位、主要起草人和主要审查人:主编单位:中国移动通信集团设计院有限公司
主要起草人:崔海东 田海建 周振勇 牛瑛霞 唐利莉 王保兵 程华 刘春林 詹叶青 岳卫民
主要审查人:鲁华伟 周晓杰 叶宇煦 马科 包秀国 张锡跃 舒华峰 蔡善奇 赵丽红 孙晶红 王庆辉
条文说明《网络工程设计标准》GB/T 51375一2019经住房和城乡建设部2019年6月5日以第152号公告批准发布。本标准制订过程中,编写组进行了国内公用互联网网络建设的调查研究,总结了我国近年来公用互联网网络的设计成果,在广泛征求意见的基础上,制订本标准。为了便于广大设计、施工等单位有关人员在使用本标准时能正确理解和执行条文规定,编写组按章、节、条顺序编制了本标准的条文说明。对条文规定的目的、执行中需注意的有关事项进行了说明。但是,本条文说明不具备与标准正文同等的法律效力,仅供使用者作为理解和把握标准规定的参考。1总则1.0.1为使公用互联网网络工程设计做到技术先进、经济合理、安全适用、节能节材、可持续发展,制订本标准。1.0.2本标准适用于新建、改建、扩建公用互联网网络的工程设计。1.0.3公用互联网网络设计应遵循开放性的原则,设计的网络应具有可管理性、可运营性、可扩展性,设计的网络应安全可靠。1.0.4工程设计应选用符合国家现行有关技术要求的定型产品。未经产品质量监督检验机构鉴定合格的设备及主要材料,不得在工程中使用。1.0.5在我国抗震设防烈度7度以上(含7度)地区,公用互联网网络工程中使用的主要电信设备应经电信设备抗地震性能检测合格。1.0.6公用互联网网络工程设计除应符合本标准外,尚应符合国家现行有关标准的规定。条文说明1.0.1随着网络不断融合和电信网络IP化技术的发展,互联网已经成为重要基础网络。规范公用互联网网络的工程设计,可以提高网络设计的标准化程度,促进网络之间的互联互通,促进新技术在网络中的应用,提高网络服务质量和安全性。2术语和代号2.1 术语2.1.1公用互联网 Internet
面向公众用户提供服务,可承载语音、数据和多媒体类业务的IP网络。2.1.2网络节点 network node
构成IP网络的基本单元之一。提供与其他网络节点的连接,提供节点之间的路由选择机制,转发IP数据包。网络节点提供一种或多种网络功能,一般由位于同一机房的一台或几台互相本地连接的路由器、交换机等网络设备、服务器设备等组成。2.1.3中继电路 trunk
构成IP网络的基本单元之一。连接网络的不同网络节点,提供网络节点之间通信的物理或逻辑媒介。2.1.4业务接入控制系统 service access control system
将用户和业务接入互联网网络,并实现用户和业务接入的认证、授权和计费等功能,实现服务质量控制、组播控制等功能的系统。2.1.5运行维护支撑系统 operation and maintenance support system
支撑网络、保障正常运行的系统,主要包括网管系统和安全系统等。2.1.6安全系统 security system
保障各类网元设备正常运行,保证信息在IP网络上安全传输,保障网络的运营维护管理安全,保障业务安全的有关系统。2.1.7网管系统 network management system
保障网元及网络正常运行,实现配置管理、资源管理、故障管理、性能管理等功能的系统。2.1.8双栈 dual stack
在服务器或路由器、交换机等网络设备中同时支持IP4和IPv6双协议栈的技术。2.1.9数据包 packet
互联网网络的骨干部分,主要用于各城域网的广域互联,并与其他IP网络进行网间互联,同时可直接接入大型IDC、大型业务系统和重要用户。2.1.11城域网 metro area network
城域范围内的IP网络,位于骨干网与城域接入网之间,是IP骨干网在城域范围内的延伸和覆盖,是覆盖城市、郊区及其所辖的县市和地区,提供多种业务在城域内的互联、接入及用户接入的网络。2.1.12连通度 connectivity
断开一对节点之间所有通路所需要去掉的最少节点数。2.1.13路由器 router
通过转发数据包来实现网络互联、工作在IP层的网络设备。路由器可以支持多种协议,本标准中主要指支持TCP/IP协议簇和(或)MPLS相关协议。2.1.14带宽平均峰值利用率 bandwidth mean peak utilization ratio
在一天业务最忙的一个小时内,每个统计粒度下的电路带宽利用率的算术平均值。2.1.15自治域 autonomous system
包含一组由一系列路由器等网络设备互联而成的子网,构成网络拓扑一个可连接的分段。这些子网和路由器等网络设备一般都由一个单一的操作维护管理组织来控制,拥有单一和明确的路由政策,并使用一个自治域号来标识。2.1.16网间互联 network interconnection
使用IP协议把多个IP网络连接起来,在网络层提供相互转发IP包和路由信息服务,使一个IP网络中的用户能够与所连接的IP网络中的用户相互通信或者能够使用所连接的IP网络中的各种业务应用资源。2.1.17转接方式 transfer mode
提供方互联单位向客户方互联单位提供必要的路由信息,并提供IP数据包转发服务,使客户方互联单位可以访问提供方互联单位IP网络内的业务与应用资源,并通过提供方互联单位的IP网络实现对其他IP网络的访问。2.1.18对等方式 peer mode
两个互联单位之间进行平等互联,交换双方IP网络的路由信息并实现双方IP网络内用户与业务应用的互访,不转接与第三方互联单位之间的流量。2.1.19隧道 tunnel
一种协议封装到另外一种协议中的技术,通过在荷载数据报文前封装传送数据报头建立点到点的传送通道,实现荷载数据在传送报文网络中传送。2.1.20翻译 protocol translation
将一种数据包中的每个字段与另一种数据包中的每个字段建立起一一映射的关系,从而在两个网络的互联处实现数据报文转换的技术。2.1.21网络地址转换 network address translation
按照IP协议分配的固定长度数字标识符,用于标识数据发送的源和目的地,包括IPv4地址和IPv6地址。2.1.23域名系统 domain name system
域名系统是一种将域名映射为某些预定义类型资源记录的分布式IP网络服务系统,网络中域名服务系统间通过相互协作实现域名到相应资源记录的解析。2.1.24IP包传输时延 IP packet transfer delay
IP网络承载业务所需要的资源保证。服务质量采用指标来表征,可包括丢包率、时延、时延变化、链路传输码率及其精度等。2.1.29接入连接建立成功率 access connection establishment success ration
有线接入方式下为在用户账号、密码正确的前提下,接入服务器的接通次数与用户申请建立连接的总次数之比;无线接入方式下为无线终端发起分组数据连接建立请求并成功建立连接的次数与无线终端发起分组数据连接建立请求总次数之比。2.1.30用户接入认证平均响应时间 user access authentication average response time
有线接入方式下为用户申请建立网络连接时,从用户提交完账号和密码起,至接入服务器完成认证并返回响应止的时间平均值;无线接入方式下为从用户提交完数据连接建立请求时起,至网络返回连接响应时止的时间平均值。2.1.31有线接入速率 wired access rate
有线接入方式下,从用户终端到接入服务器之间的接入速率。2.2 代号英文缩写 英文名称 中文名称
公用互联网网络应由网络节点、中继电路、业务接入控制系统和运行维护支撑系统组成。公用互联网网络应具备同时转发IPv4和IPv6数据包能力及向下一代互联网平滑过渡能力,可采用双栈方式。公用互联网网络应能接入各类用户承载各种业务,应支持对用户和业务的计费,应支持IPv4和IPv6用户业务间的互通。IPv4与IPv6将在一个较长时期内共存,需要部署并存过渡技术。目前主要有三种技术实现IPv4网络向IPv6网络的过渡,即双栈技术、隧道技术和协议翻译技术。在双栈技术中,网络节点设备需支持两个版本的IP协议栈(IPv4和IPv6)并同时启用。隧道技术是将另外一个协议数据包的报头直接封装在原数据包报头前,从而可以实现在不同协议的网络上直接进行传输。在一些场景中,可在IPv4路由体系中将IPv6数据报文封装到IPv4数据报文中,实现IPv6数据报文在IPv4隧道中的传送;在其他一些场景中,需要在IPv6路由体系中将IPv4数据报文封装到IPv6的数据报文中,实现IPv4数据报文在IPv6隧道中的传送。协议翻译技术是将IPv6数据包中的每个字段与IPv4数据包中的每个字段建立起一一映射的关系,从而实现数据报文的转换,当报文负荷中携带网络地址时,协议翻译技术需要同时使用应用层网关技术。互联网骨干网一般主要采用双栈演进路线,要求网络同时支持IPv4和IPv6协议栈,必须同时配置IPv4和IPv6地址。源节点根据目的节点的不同选用不同的协议栈,网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。考虑到IP网络从IPv4向IPv6的演进不可能在同一时刻全部完成,在过渡过程中将存在IPv4和IPv6用户及业务间的互通需求。公用互联网网络的层次应根据规模、运营、维护管理等因素确定,应符合下列规定:可根据业务需求在省内城市和地区组建城域网,根据业务流量、流向和管理等因素也可组织跨地区的区域城域网;公用互联网骨干网可包含省际骨干网和省内骨干网两个子层次,在维护管理条件允许时,宜采用扁平化设计方式,不区分省际、省内子层次。公用互联网城域网的子层次应根据规模等因素确定,可分为核心层,业务接入控制层和汇聚层。汇聚层应通过城域接入网、城域传送网接入用户和业务。公用互联网在骨干网内应设置国内网间互联互通子层,实现与其他公用互联网之间的互联互通。公用互联网在有国际业务需求时,可设置国际互联互通子层,实现与国外公用互联网之间的互联互通;可设置国际网络部分,可由国际流量交换层和国际接入层组成。骨干网是互联网网络的广城主干。城域网主要承担集团用户、商用大楼、智能小区和个人用户的业务接入,具有覆盖面广、接入技术多样和接入方式灵活的特点。城域网位于骨干网和宽带接入网、用户驻地网或终端用户之间,将企业和个人客户的各种业务连接到骨干网中。骨干网网络层次的选择是规模,管理与技术各方面综合优化的结果。目前,多数公用互联网网络属于层次化网络,随着设备能力的增强,网络层次呈现扁平化结构发展趋势,但是此时网络结构仍应保持层次清晰。本条描述的两种网络层次结构如图1所示。
图2 城域网的网络层次示意4.2 节点设置4.2.1公用互联网的网络节点设置应综合考虑节点间业务流量、网络覆盖和运营维护等因素,根据业务发展需要确定。未设置网络节点的区域,可通过传送网延伸。4.2.2根据建设需求,公用互联网的骨干网可由汇接节点、国内互联互通节点及国际互联互通出入口节点组成。4.2.3不区分省际、省内子层次的Kaiyun App下载 全站公用互联网骨干网,根据网络规模以及维护管理边界的不同,汇接节点可覆盖至省会级或地市级。节点设置应符合下列规定:1汇接节点覆盖至省会级时,可设置核心汇接节点和一般汇接节点,并应符合下列规定:1)核心汇接节点用于汇聚、转接一般汇接节点的流量,数量不宜多于30个;2)一般汇接节点接入疏通城域网的流量,数量不宜多于70个,每个省内的一般汇接节点数量不宜少于2个。2汇接节点覆盖至地市级时,可设置核心汇接节点、汇聚汇接节点和一般汇接节点,并应符合下列规定:1)核心汇接节点用于转接汇聚汇接节点的流量,数量不宜多于30个;2)汇聚汇接节点用于汇聚、转接一般汇接节点的流量,数量不宜多于70个,每个省内的汇聚汇接节点数量不宜少于2个;3)一般汇接节点接入疏通城域网的流量,数量不宜多于350个。4.2.4区分省际、省内子层次的公用互联网骨干网,在省际骨干网内和省内骨干网内可分别设置核心汇接节点和一般汇接节点,并应符合下列规定:1省际骨干网的核心汇接节点用于汇聚、转接省际骨干网的一般汇接节点的流量,数量不宜多于30个;一般汇接节点用于接入疏通省内骨干网,数量不宜多于70个,每个省内的一般汇接节点数量不宜少于2个;
2省内骨干网的核心汇接节点用于疏通省间流量,汇聚、转接省内骨干网一般汇接节点的流量,一般汇接节点用于接入疏通城域网流量。每个省内骨干网的核心汇接节点数量宜为2个一4个,一般汇接节点数量不宜多于30个。4.2.5骨干网国内网间互联互通子层应设置互联互通节点,主要功能应为转接与国内其他公用互联网之间的流量,实现国内网间互联。4.2.6骨干网国际互联互通子层应设置国际出入口节点,主要功能应为转接国际业务流量,实现国际网间互联。4.2.7城域网可由核心节点、业务接入控制节点、汇聚节点组成,并应符合下列规定:1城域网的核心节点应用于汇聚、转接业务接入控制节点的流量,与骨干网互联;根据城域网规模的不同,核心节点的数量宜为2个一4个;2城域网的业务接入控制节点应实现城域网业务的接入及控制、转接汇聚节点的流量,节点数量应综合考虑业务发展、网络建设成本、故障影响面、光纤资源、传输资源和机房条件等因素进行核算;3城域网汇聚节点应用于汇聚来自城域接入网的流量,节点数量应基于接入节点的数量,根据业务需求取定适当的收敛比核算;4城域接入网的主要功能应为通过各种接入技术和线路资源实现对用户的覆盖,应提供多种方式的用户接入,必要时可配合完成用户流量控制功能。4.2.8国际网络部分可根据业务需要设置国外节点,由国际流量交换节点和国际接入节点组成。
条文说明4.2.3核心汇接节点的选择可采用如下步骤:求出一般汇接节点之间的网络流量矩阵,选择设定流量阈值,根据流量矩阵和流量阈值确定一股汇接节点之间的点对点电路,选择设定度数阈值,超出度数阈值的一般汇接节点可以确定为核心汇接节点。选择时应同时考虑传送网的资源条件、维护管理等因素。4.2.7城域网的业务接入控制节点的设置应综合考虑设备成本、机房条件、运维成本以及网络安全信息分级规范等管理规定。城域网汇聚节点的选择应同时考虑业务接入系统的设置、业务发展以及传送网的资源条件等因素。4.3 中继电路组织4.3.1公用互联网网络节点之间可采用直达中继电路或转接方式实现业务流量疏通,电路组织应符合业务流量流向特点,并应根据节点间的业务流量需求规划疏通方式、设定各级电路组织阀值。4.3.2公用互联网骨干网整体上可采用不完全网状结构进行中继电路组织,并应符合下列规定:1骨干网内设置核心汇接节点、汇聚汇接节点和一般汇接节点时,汇接节点之间的中继电路组织应符合下列规定:1)一般汇接节点应和2个以上(含2个)的汇聚汇接节点之间设置中继电路,汇聚关系宜为在同一业务运营维护管理域内;2)汇聚汇接节点应和2个以上(含2个)的核心汇接节点之间设置中继电路,汇聚关系应综合考虑传输路由方向和本级电路组织阀值确定;3)同一业务运营维护管理域内的汇聚汇接节点之间宜设置直达中继电路;4)业务流量大、超过本级电路组织阀值时,不同业务运营维护管理域内的部分汇聚汇接节点之间可设置高效直达中继电路,该电路宜只用于疏通局部流量。2骨干网内设置核心汇接节点和一般汇接节点时,汇接节点之间的中继电路组织应符合下列规定:1)一般汇接节点应和2个以上(含2个)的核心汇接节点之间设置中继电路,汇聚关系应综合考虑传输路由方向和本级电路组织阀值确定;2)业务流量大、超过本级电路组织阀值时,部分一般汇接节点之间可设置高效直达中继电路,该电路宜只用于疏通局部流量;3)包含省际、省内子层次的骨干网中,省内骨干网的核心汇接节点应和2个以上(含2个)的省际骨干网的一般汇接节点之间设置中继电路。3核心汇接节点之间的中继电路组织应符合下列规定:
1)可采用不完全网状结构或完全网状结构进行电路组织,应综合考虑传输路由方向和本级电路组织阀值确定拓扑结构;2)核心汇接节点间的连通度不宜小于3。4互联互通节点、国际出入口节点应和核心汇接节点间设置直达中继电路。4.3.3公用互联网城域网节点间的电路组织应符合下列规定:1核心节点之间可采用完全网状结构进行电路组织;2业务接入控制节点宜和2个以上(含2个)的核心节点之间设置中继电路;3汇聚节点宜和2个以上(含2个)的业务接入控制节点之间设置中继电路,连接方式可选择星形、双星形,口字形等;4接入网络出入口节点宜和2个以上(含2个)的汇聚节点之间设置中继电路,汇聚关系应根据传输路由方向确定;5城域网的核心节点与骨干网的一般汇接节点之间应设置中继电路。4.3.4若存在国际网络部分,电路组织应符合下列规定:1国际流量交换节点应和2个以上(含2个)的国际出入口节点之间设置国际中继电路;
2国际流量交换节点、国际业务接入节点的中继电路可参照国内网络部分电路组织规定设置,应根据业务需求确定。4.3.5公用互联网的中继电路组织应保障网络的可靠性,中继方向可按重要性分级,具体规定如下:1中继方向重要性可分为R1级、R2级和R3级。R1级为最重要级中继方向,该中继方向所属中继电路的中断将导致较大面积网络路由迂回、流量拥塞,或流量疏通能力明显下降。R2级为重要级中继方向,该中继方向所属中继电路的中断将导致部分网络路由迂回、增加流量拥塞可能性,或流量疏通能力明显下降。R3级为一般级中继方向,该中继方向所属中继电路的中断将导致少量网络路由迂回、增加流量拥塞可能性,或流量疏通能力下降;2R1级重要性中继方向的中继电路的可用性不宜低于99.999%,R2级重要性中继方向的中继电路的可用性不宜低于99.99%,R3级重要性中继方向的中继电路的可用性不宜低于99.9%;3具备条件时,R1级、R2级中继方向的中继电路可采用MPLS TE FRR等技术配置逻辑备份电路,备份电路和被保护电路的中间路由不应相同,备份电路应能实现在50ms内倒换;4核心汇接节点间的中继方向、互联互通的中继方向可为R1级重要性;5一般汇接节点至汇聚汇接节点或核Kaiyun App下载 全站心汇接节点、汇聚汇接节点至核心汇接节点的中继方向可为R2级重要性;6汇聚汇接节点之间、一般汇接节点之间、城域网内的中继方向可为R3级重要性。4.3.6公用互联网的中继电路组织应满足网络性能的要求,宜符合下列规定:12个城域网经由骨干网转接业务时,经过的骨干网汇接节点数量不宜超过8个;2用户在骨干网内到达互联互通节点、国际出入口节点所经过的骨干网汇接节点数不宜超过4个。4.3.7公用互联网的中继电路组织应和传输网络进行联合优化,宜符合下列规定:1中继电路组织应结合传输网络路由情况,减少业务流量在传输网络物理路径上迂回;2源自一个节点不同方向的中继电路宜采用不同的传输系统开通,并采用不同的光缆路由;3R2、R3级中继方向的中继电路,在可用性符合第4.3.5条第2款要求且IP网络层面已经配置有一定可靠性措施时,可不要求传输网络为该中继电路提供保护机制。
中继电路的设置以能高效率、低成本疏通网络流量为原则,并兼顾网络维护管理的便利性。网络点对点流量小于传送网的电路带宽时,宜较多地设置转接电路汇聚流量,以充分利用IP流量的统计复用特性,提高电路利用率。网络点对点流量大于传送网的电路带宽时,可多设置直达电路,形成较扁平化的网络结构,提高网络性能,但是也要注意过多的中继电路影响路由收敛、流量均衡,增加维护难度。当路由表中只有一条最优路由(ECMP链路除外)。普通IP路由在故障发生时,需要重新收敛,收敛时间一般在秒级,这样将造成部分流量丢失。快速重路由机制通过填补路由收敛的时间间隙,在故障发生后路由重新收敛期间,将流量快速切换到备份路径,保证业务不中断;路由收敛后,将流量切换回收敛后的最佳路径。快速重路由可采用MPLS TE FRR、IP FRR、LDP FRR等技术实现。以一种MPLS TE FRR设置方式举例:在某中继电路部署主用承载TE Tunnel,在不同路由的中继电路上部署与之对应的FRR Backup LSP。预测网络流量应考虑网络承载的所有各类用户和业务,网络流量可估算为各类用户网络流量之和。某一类用户的网络流量可按下式计算:某类用户网络流量=该类用户设计业务带宽×用户数×用户使用网络并发系数×统计复用系数 (4.4.2)式中,用户使用网络并发系数应通过分析业务统计数据结合业务预测取定,一般范围在0.2~0.9;统计复用系数应通过分析业务统计数据结合业务预测取定,一般范围在0.2~0.9。缺乏流向统计数据时也可采用吸引系数法估算,并根据网络路由策略和网络中内容源分布适当调整。吸引系数法估算可按下式计算:
a(i,j)一调整系数。3宜估算网络稳态情况下的流量矩阵。对于服务质量有特定要求的,流量矩阵可叠加网络部分中继电路中断时的迂回流量和逻辑备份电路的流量。4.4.4中继电路带宽应以计算得出的流量为基础,综合考虑网络设备端口带宽颗粒、传输网络带宽颗粒进行配置,宜符合下列规定:1稳态下中继电路的带宽平均峰值利用率可为45%~80%;2路由器和中继电路单点故障下中继电路的带宽平均峰值利用率不宜超过90%;3有特定服务质量需求的中继电路可采用轻载方式,带宽平均峰值利用率可为10%~40%;4同局向中继电路宜采用同类型端口,可采用链路捆绑、 ECMP等技术进行配置以实现链路的负载均衡;5同局向中继电路流量需求超过3条155Mb/s电路时,宜直接配置2.5Gb/s带宽;6同局向中继电路流量需求超过2条2.5Gb/s电路时,宜直接配置10Gb/s带宽,超过4条GE电路带宽时宜直接配置10GE带宽;7同局向中继电路流量需求超过8×10Gb/s带宽时,宜直接配置100Gb/s带宽。5路由协议与路由策略5.1 路由协议5.1.1公用互联网网络可划分自治域,并宜符合下列规定:1骨干网、城域网可分别采用独立自治域设置。城域网规模较小时可不设置为独立的自治域,而是将其作为一个IGP路由域连接至骨干网;2不区分省际、省内子层次的骨干网宜采用单一自治域设置;3区分省际、省内子层次的骨干网中,省际骨干网和省内骨干网可分别采用独立自治域设置;4网络包含国际网络部分时,国际网络部分可纳入骨干网自治域。5.1.2公用互联网网络在自治域内应配置合适的域内路由协议,域内路由协议应采用动态路由机制,可选用IS-IS协议或OSPF协议。5.1.3公用互联网网络在自治域之间应配置合适的域间路由协议,域间路由协议应采用BGP协议。5.1.4用户接入可采用静态路由配置,有需求的用户接入也可采用RIP、IS-IS、OSPF、BGP等动态路由配置。5.1.5公用互联网网络配置的路由协议应具备同时支持IPv4和IPv6路由的能力。条文说明5.1.2在工程中对于域内路由协议可以根据实际情况选择OSPF协议或ISIS协议。
根据需要,网络内也可配置MPLS、有关组播路由协议等。较为典型的组播协议配置方式为:骨干网支持PIM-SM/MSDP/ MP-BGP、城域网支持PIM-SM和IGMP。5.1.4用户采用动态路由接入时,应注意用户路由传播范围。5.1.5网络配置的路由协议应同时支持IPv4和IPv6路由,可采用一个路由协议同时支持IPv4和IPv6路由,或采用不同的路由协议版本分别支持IPv4和IPv6路由。对于OSPF协议,支持IPv4路由的版本是OSPFv2,支持IPv6路由的版本是OSPFv3。对于IS-IS协议,IS-ISv6是支持IPv6的扩展版本。对于BGP协议,在IPv4场景下使用的版本是BGP4,为支持IPv6扩展的版本是BGP4+。当网络中配置使用MPLS时,需要支持基于IPv6地址方式生成转发表和建立LSP等。《网络工程设计标准》GB/T 51375-20195.2 路由策略5.2.1路由策略设计应符合下列规定:1路由策略的实施应实现正确的路由信息接收与宣告;
2路由策略的实施在保证网络结构的前提下,应避免网络中出现单故障点,提高网络的生存能力;3路由策略的实施应实现预期的路由选择方案,使网络业务流量合理分布在各条中继电路上;4路由策略应保证网络具有可扩展性,使得网络扩展后全部资源可以被优化利用;5路由策略应简洁、便于维护管理,对业务流量流向的变化应具有适应性,能够根据流量流向变化方便、快速地进行调整。5.2.2路由信息的接收与宣告应符合下列规定:1采用域内路由协议承载网络拓扑路由信息,并确定域间路由的下一跳信息;2可采用域间路由协议BGP承载外部网络路由信息及用户路由信息;3根据与其他网络的互联互通协议以及对用户的服务协议要求,正确地接收对方网络的路由信息及用户的路由信息,向对方网络正确宣告本网络的路由信息及用户的路由信息,并可采用BGP控制实现对接收,宜告的内容控制;宣告路由时应采用CIDR等方式进行路由聚合;接收路由时应控制外网路由信息的分布范围;4在域内和域间两类路由协议之间不宜互相注入路由信息。5.2.3流量流向规划与路由选择规则宜符合下列规定:1网络应进行流量流向规划,网络正常情况下应符合下列规定;1)核心汇接节点之间的流量应在核心汇接节点之间内部疏导,不应经由汇聚汇接节点疏导;2)汇聚汇接节点之间的流量应通过核心汇接节点之间疏导,不应通过一般汇接节点疏导,当汇聚汇接节点之间存在直连的时候,应优先选择直连电路疏导流量;3)一般汇接节点之间的流量应通过汇聚汇接节点之间疏导,当接入汇接节点之间存在直连的时候,应优先选择直连电路疏导流量;4)根据所承载的业务情况,多条可选路由间可采用主备方式或分担方式规划流量疏通方案。2路由选择规则应与流量流向规划相匹配,可依据就近原则或指定路径原则制定。3路由选择规则的设计实现可采用下列方式:1)合理设计域内路由协议的链路权值;2)合理设计使用域间路由协议的各种属性赋值;3)采用MPLS TE技术。4网络路由宜进行聚合。5网络中不应存在路由选择循环,并不应存在路由黑洞。5.2.4路由协议应正确进行运行参数属性设计,并应符合下列规定:1合理设计域内路由协议的分级或分区域;2合理确定网络中运行BGP协议的节点范围;3可采用BGP路由反射器技术,路由反射器可根据网络规模、管控需求分级、分区成组冗余设置;4合理运用路由协议的快速收敛技术;5可采用BFD快速故障检测技术;6可采用不间断转发、不间断路由技术。5.2.5网络可通过广域SDN技术,根据用户需求和全网的链路状态进行流量疏导。6网间互联6.1 国内网间互联6.1.1不同经营者的公用互联网应在国内实现网间互联,可通过国内NAP或者网间直连电路实现互联。6.1.2互联地点不应少于3个不同城市,宜实现不同互联地点之间互联流量的疏通备份,互联设备应设置在骨干网的国内网间互联互通子层内。6.1.3根据业务需要,可设置省内网间互联电路用于疏通省内网间业务。6.1.4国内网间互联带宽应满足互联业务需要并保证互联服务质量。6.1.5国内网间互联应支持对来去流量进行计费或根据互联带宽进行计费,应支持对互联电路进行监控、管理和统计。条文说明6.1.1网间互联可以通过直连方式互联,也可以通过NAP互联。NAP可以是公共的,由多个规模相当的互联网单位通过签订多边协议共同建立和维护;或是由第三方机构建立和维护;也可以由较大规模的互联网单位设立NAP,为较小规模的互联网单位提供网络互联。6.1.4提供互联服务的单位与其他互联单位宜签订协议明确服务质量,并进行服务质量参数的监测工作。服务质量参数可包括IP数据包转发时延、IP数据包转发丢失率、互联电路可用率和BGP路由传播时间等。6.2 国际网间互联6.2.1有国际业务需求时,公用互联网可与国外公用互联网互联。互联应通过批准的国际出入口节点实现。6.2.2具备条件时,公用互联网可和2家或2家以上的国外公用互联网互联,实现互联网国际业务的疏通备份或分担。6.2.3国际网间互联带宽应根据业务需求双方协商确定,带宽应满足业务互通需要。6.3 网间互联路由策略6.3.1根据业务需求,网间互联可采用转接方式或对等方式。6.3.2应合理设计网间互联路由策略,实现互联业务疏通的路由优化,尽量减少不合理的互联业务路由走向,并有效利用互联带宽。6.3.3网间互联可对入网流量进行控制,主要可通过控制向互联对方网络宣告的路由信息内容、通过配置调整相应BGP路由的有关属性参数,引导入网流量。6.3.4网间互联可对出网流量进行控制,主要可通过配置BGP路由的有关属性参数、与互联对方网络协商有关BGP路由有关属性参数赋值含义及方式,引导出网流量。条文说明6.3.1对等方式互联的双方只交换本网络用户与对方网络用户之间的路由和流量,而不转接其他互联单位的用户之间的路由和流量。对等互联还可进一步分为公共对等互联和专用对等互联。公共对等互联指多个IP网络间签署并遵守多边协议进行对等互联,这种互联方式一般应用在NAP。专用对等互联指两个网络间签署并遵守双边协议进行对等互联,这种互联方式既可以在NAP进行,也可以由两个互联单位通过直连电路实现。对等关系不具有可传递性。转接互联提供者除了允许被转接网络用户访问自己网络中的允许访问的地址外,还应根据双方约定允许其通过自己的网络访问其他互联单位的网络。7网络管理7.1 网管体系结构7.1.1公用互联网的网管体系结构可采用三级结构或两级结构,并宜符合下列规定:1采用两级网管体系时可设置骨干网网管中心和城域网网管中心,并宜符合下列规定:1)骨干网网管中心负责管理骨干网,可采用集中管理、省级分级操作的管理方式,同时在各省设置省级操作维护中心;2)骨干网网管中心可在异地设置备用网管中心;3)城域网网管中心负责管理城域网,城域网网管中心也可在省内全省集中设置;4)城域网网管中心与骨干网网管中心之间通过接口实现信息交互。2采用三级网管体系时可设置一级网管中心、二级网管中心和城域网网管中心,并宜符合下列规定:1)一级网管中心全国设置1个,负责省际骨干网络的管理;2)二级网管中心每省设置1个,负责省内骨干网络的管理;3)城域网网管中心负责管理城域网;4)各级网管中心之间通过接口实现信息交互。7.1.2网管中心与被管设备之间的网管信息通道宜优先采用带内方式,并应保证网管数据流的可靠传输,可同时提供带外网管通道作为应急备份。7.1.3网管中心可通过接口与综合网管系统实现连接,以实现综合的资源、故障、性能等管理功能,也可通过接口与其他支撑系统连接。条文说明7.1.2除带内网管信息通道外,也可设计带外网管的信息通道。《网络工程设计标准》GB/T 51375-20197.2 网管接口7.2.1网管中心与被管设备之间的接口协议应符合下列规定:1应具备SNMP接口,提供配置、性能、故障管理等功能;2应具备流量流向统计接口,实现网络性能的监测、安全管理和计费管理等功能;3宜能详细记录系统活动日志,实现系统运行评估;4宜支持远程登录和虚拟终端功能;5宜支持远程主机之间的文件传输;6宜提供XML接口及配置模板,实现网管中心对被管设备的配置;7应支持IPv4单协议栈及IPv6单协议栈场景下接口通信,应同时支持IPv4、IPv6双协议栈场景下接口通信。7.2.2被管网络设备应支持通用的公有信息模型,应符合网管接口功能要求,可提供动态资源配置信息、实时告警信息、准实时性能信息、计费和安全信息、流量流向信息、QoS和LSP管理信息、 VPN管理信息等。条文说明7.2.2网管接口信息模型应符合网管接口功能的需要。7.3 网管功能7.3.1配置管理实现功能应符合下列规定:1可提供单点接入、日志采集与管理、自动巡检、局数据制作等功能;2应支持网元配置和管理,创建、删除、查询网络设备,查询设备内部的物理状态信息;3可支持业务配置和管理,支持有关业务相关参数的创建和修改;4应支持配置数据管理,支持对配置数据的合法性检查,自动生成配置数据,支持数据备份和恢复能力。
7.3.2资源管理实现功能应符合下列规定:1应支持拓扑管理功能,支持拓扑编辑,支持拓扑自动发现、监视与浏览,支持不同层次的拓扑视图展示,实现基于拓扑的流量显示、资源显示、配置显示和故障显示等;2宜提供设备管理、电路管理、IP地址管理、自治域号管理、软件版本管理等功能;3宜支持路由管理功能,可对网络中的路由实体进行监测,对网络路由信息及其变化情况进行分析;4宜提供资源报表统计、资源预警等功能。7.3.3故障管理实现功能应符合下列规定:1应支持告警的收集与显示、屏蔽与过滤、转发、确认与升级、存储与清除、查询与统计;2应支持对告警分类,可按严重等级划分;3应支持告警相关性抑制和故障定位。7.3.4计费管理实现功能应符合下列规定:1可通知用户所承担的费用或所消耗的资源;2可设置计费限量并使费率安排与资源的使用联系起来;3可把为获得一种给定的通信目标而调用多个资源的费用组合起来;4计费原始数据保存时限不应小于5个月。7.3.5性能管理实现功能应符合下列规定:1应支持大规模网络性能监控,支持设备监控、链路监控、服务质量监控,能及时了解设备健康状况、链路的资源利用情况和故障情况、监控分析业务质量;2应支持性能数据存储、查询,支持性能趋势分析,支持性能统计数据报表输出;3应支持性能门限管理,支持性能指标阈值告警。7.3.6安全管理实现功能应符合下列规定:1应具备用户管理功能,能提供基于控制点和角色的权限控制;2应具备对系统操作日志记录功能,提供日志的管理和查询;3应能提供与安全有关事件的报告;4可通过访问控制和备份等手段保证网管数据安全。7.3.7流量流向分析实现功能应符合下列规定:1可支持不同统计粒度分析,并可支持多个网络设备输出的流量统计数据的收集、存储;2应支持过滤器定制,支持接收、拒绝特定类型的流量数据;3应支持聚合规则定制,支持按不同聚合规则聚合数据;4应支持对流量统计数据进行统计分析及其分析结果的图表方式呈现,支持流量排队分析、趋势分析、明细数据分析等。7.3.8QoS管理实现功能宜符合下列规定:1可支持DiffServ QoS管理,并可支持IP DiffServ、E-LSP管理;2可支持MPLS TE QoS管理;3可支持QoS网络资源、QoS策路自动发现;4可支持QoS策略的规划、部署、审计和监控;5可对流量按照特定规则进行分类,可实现基于类的流量监管、流量整形、拥塞管理、重新标记优先级等功能。7.3.9MPLS管理实现功能应符合下列规定:1应支持MPLS网络资源、MPLS TE隧道、静态LSP自动发现;2应支持MPLS TE网络拓扑自动发现;3可支持MPLS能力配置、LDP能力配置、MPLS TE能力配置;4可支持MPLS TE隧道端到端的规划、部署、审计和监控;5应支持静态LSP端到端的规划、部署、审计和监控,支持LSP拓扑显示、LSP保护组管理、性能统计、支持LSP告警管理。
7.3.10MPLS VPN管理实现功能应符合下列规定:1应支持VPN网络资源、VPN业务发现功能;2宜支持VPN业务规划、业务部署;3宜支持VPN业务配置审计、连通性审计、业务监控;4应支持VPN网络视图、客户视图显示;5应支持VPN性能统计、告警管理;6宜支持VPN客户管理,支持VPN客户WEB自助管理。
8传送技术8.0.1公用互联网骨干网的传输网宜以光传送网为主构建,宜采用IP over SDH、IP over DWDM(OTN)等技术,骨干网路由器可采用SDH帧结构、以太网帧结构或OTN帧结构进行传输,采用SDH帧结构时路由器的时钟同步定时系统应符合SDH系统对同步时钟的要求。8.0.2公用互联网城域网的传输网宜以光传送网为主,以其他方式为辅构建。8.0.3公用互联网网络内部采用的保护机制应和传送网的保护倒换机制进行协同。8.0.4公用互联网网络设备应可靠接入时间同步定时设备,可采用时间服务器和时间客户端工作方式,宜选NTP协议。条文说明8.0.1路由器采用SDH帧结构通过光传送网传输时,路由器使用POS端口;采用以太网帧结构通过光传送网传输时,路由器使用以太网端口;采用OTN顿结构通过光传送网传输时,路由器使用OTN端口。8.0.3当IP网络和传送网同时配置保护倒换功能时,需要协同不同层之间的保护,避免对转发流量产生影响。例如可采用延迟机制来协同,当为IP网络提供传送服务的传送网(如SDH、 DWDM、OTN)在因故障进行保护倒换时,IP网络的保护延迟等待一个周期,确保底层传送层的保护完成(生效或失效),然后再决定是否启动IP网络层的保护。9业务承载和接入9.0.1公用互联网可承载语音、数据和多媒体类业务,业务形式可包括网络接入类业务、资源出租类业务、能力服务类业务和应用内容类业务等。9.0.2公用互联网可配置接入设备实现网络接入类业务、配合实现资源出租类中的VPN业务等,并应符合下列规定:1公用互联网可与固定电话网、移动通信网互联,宜实现通过固定电话网、移动通信网接入;2公用互联网城域网可与各种接入网互联,应支持宽带接入方式、专线公用互联网可通过接入IDC提供资源出租类、能力服务类等业务。根据IDC业务量大小,可选择在核心汇接节点、汇聚汇接节点或一般汇接节点接入。9.0.4公用互联网可通过与叠加建设的各类业务网络互联,提供能力服务类和应用内容类等业务。业务网络设施可入驻在IDC中或作为独立系统接入。9.0.5公用互联网可叠加建设内容分发系统,引导业务内容在网络中的分布,改善用户使用体验。9.0.6公用互联网承载业务应根据各种业务的服务质量、可靠性、安全性等方面的要求,采用一定的承载技术实现。对于可靠性要求,可通过网络冗余等方式实现;对于安全性和服务质量要求,可通过网络承载隔离以及各种服务质量保证技术实现;业务有对时钟同步和对时间同步的传送需求时,有关网络设备应支持高精度时间同步协议。9.0.7公用互联网的业务承载能力应根据业务需求预测确定。为保证网络易于扩展,网络设备的业务承载能力满足期可适当超前,网络中继电路的业务承载能力满足期超前不宜超过2年。9.0.8公用互联网业务运营所需的BSS、OSS系统宜与运营者的其他业务需求综合建设,并应能通过逐步扩展支持IPv6及向下一代互联网平滑过渡技术相关属性等方式,满足相应的业务运营需求。9.0.9公用互联网可综合采用隧道、翻译等机制,支持IPv4公网地址,IPv4私网地址、IPv6地址共存情况下的业务使用,可在城域网核心层或业务接入控制层部署CGN、AFTR等网络地址转换设备。条文说明9.0.2城域网与接入网互联时,通过业务接入控制层实现对用户接入互联网的认证,用户使用各种业务的认证由业务系统执行。可采用基于端口的802.1x认证,基于端口链路层地址绑定的认证,基于用户名和口令的PAP、CHAP、EAP等网络层接入认证,基于用户名和口令的高层协议认证等方式。业务接入控制层与认证系统服务器端可以采用RADIUS、DIAMETER等AAA协议接口,完整实现用户接入网络的认证与计费。9.0.6承载技术举例:可以采用MPLS VPN或IP转发的方式提供IP业务,可采用VPWS和VPLS的方式提供各种以太网业务,可采用PWE3方式提供TDM业务。互联网网络可提供端到端和局部的网络保护与恢复功能,实现对链路故障和中间节点故障下的保护,需要注意应与业务网络对接保护,包括双归保护、双节点冗余保护等。互联网网络可通过网管系统为承载业务提供故障定位、性能监测等管理功能。互联网网络可采用DiffServ模型为各种业务提供服务质量保障,实现流分类和流标记、流量监管、流量整形、拥塞管理、队列调度、连接允许功能等QoS功能。互联网网络可采用同步以太网方式提供频率同步,以IEEE1588v2的方式提供时间同步。9.0.8BSS、OSS系统应能够区分用户、设备的IP地址属性,保障下一代互联网过渡期IP网络业务的正常运营。9.0.9在IPv4、IPv6共存情况下,由于终端应用和业务系统可能仅支持IPv4或仅支持IPv6,有必要实现IPv4与IPv6的互通。a10a10.1 编号方案10.1.1公用互联网的业务接入号码应合理规划,并应符合有关行业主管部门的要求。10.1.2公用互联网骨干网应采用公开的自治域号码,网内的其他独立自治域可采用公开自治域号码或私有自治域号码,私有自治域号码在内部应统一规划、分配,并应在网络互联出口过滤。10.1.3公用互联网提供MPLS VPNKaiyun App下载 全站时,RT、RD应由全网统一规划、分配。《网络工程设计标准》GB/T 51375-2019a10.2 地址分配10.2.1公用互联网的网络设备端口互联地址、网络设备管理地址、用户地址和业务地址等应统一规划,并应支持IPv4地址,IPv6地址长期共存。10.2.2IP地址规划分配应符合下列规定:1应根据网络规模、建设周期、业务发展等因素按需分配;2应尽量提高地址利用率;3可进行合理的地址预留;4应便于溯源;5IPv4地址分配应符合下列规定:1)应利用CIDR、VLSM等技术,分子网掩码时应保持地址的连续和路由表的优化;2)宜保持地址分配的连续性,宜按地域分配连续的IP地址块;3)在不影响业务开展的前提下,可规划和使用IPv4私有地址。6IPv6全球单播地址分配应符合下列规定:1)IPv6全球单播地址应包括全球路由前缀、子网ID和接口标识符部分,前缀和子网ID部分与接口标识符可按照64/64划分;2)地址前缀规划应易于地址聚合,可基于相同地理位置、相同业务类型或者相同组织类别的子网使用相同前缀,应兼顾等级结构和扁平化寻址结构的使用;3)接入用户宜根据规模需求不同采用下列地址块尺寸进行分配:/48、/56、/64、/128。7组播业务需要的组播地址可采用静态地址分配方法分配。条文说明10.2.1IP地址用于用户和应用的标识和网络路由。双栈节点需同时配置IPv4和IPv6地址,节点的IPv4和IPv6地址之间不必有关联,但是对于支持自动隧道的双栈节点,必须配置与IPv4地址有映射关系的IPv6地址。10.2.2IP地址规划和分配应本着既满足需求又不造成浪费的原则进行。在网络建设、扩容过程中规划地址时,应在满足网络近期发展的前提下尽可能地节约使用。IPv4地址在规划时,需要打破传统A类、B类、C类地址的划分,充分利用CIDR方式及VLSM等技术,合理、高效地使用IP地址,不应使用C类地址作为规划的最小单位。对于IPv6地址,尽管地址空间极大,但仍要避免浪费。在制定全球唯一IPv6单播地址分配方案时,应注意IPv6不同于IPv4的特性,这些特性将直接影响分配方案。IPv6的自动配置机制依赖于目前/64子网前缀长度。大规模用户可分配大于/48的地址块。较大规模用户可分配/48的地址块,对其内部子网可采用使用/56的地址块。较小规模的用户可分配/56地址前缀。无子网划分需求的用户可分配/64的地址块。如果是单个设备接入,分配/128地址。组播地址的分配应注意不能发生组播地址冲突,还需尽量避免多个IP组播地址映射到相同MAC组播地址的冲突问题。a10.3 域名系统10.3.1公用互联网应根据业务需要对域名统一规划。10.3.2应根据业务和运营管理需要确定域名系统的层次,并可相应地设置各层次的域名服务器,具备条件的可引入域名根服务器镜像。10.3.3域名服务器部署应符合下列规定:1功能上应由权威服务器和递归服务器组成,两类解析服务器宜分离部署;2同一区的权威服务器不应少于2台,应支持域名解析的冗余、负荷分担,域名数据在各服务器上应主辅同步,各服务器应保持时间同步,可采用NTP协议;3同一服务域内的递归服务器应支持域名解析的冗余、负荷分担。10.3.4域名服务器宜采用双栈工作方式同时支持IPv4域名解析和IPv6域名解析。10.3.5域名服务器应保存解析日志,保存时长不应小于3个月。条文说明10.3.1IP网络的域名系统服务于网络和应用。10.3.2
域名系统的层次举例:在总部层次设置一级域名系统,在各子/分公司层次设置二级域名系统。10.3.3域名服务器用于存储域名和资源记录及其他相关信息并负责处理用户的查询请求。域名服务器包括权威服务器和递归服务器两种。权威服务器通常不提供递归解析服务,只负责维护和保存它所拥有权威的域的资源记录信息,并且接受递归服务器的查询请求。递归服务器也称为缓存服务器,通常不维护或者管理任何域的资源记录数据,只负责接收用户(解析器)的查询,并且通过查找缓存或者向包括根在内的权威服务器发出查询从而获得查询结果。为确保解析服务的安全性,可提供in-addr.arpa反向域名解析服务。根据业务需求,域名服务器也可支持一些高级功能,例如智能解析服务、轮询方式的解析,ENUM解析等。10.3.4IPv6网络的DNS与IPv4的DNS在体系结构上是一致的,IPv4和IPv6拥有统一的域名空间。DNS为IPv6地址定义了新的记录类型A6和AAAA,由于双栈节点要求直接与IPv4和IPv6节点通信,DNS应同时提供对IPv4A、IPv6A6/AAAA类型记录的解析。对于同时返回的IPv6和IPv4地址,主机应用层需要选择使用哪个IP协议。a11a11.1 网络性能11.1.1公用互联网骨干网的性能宜符合下列规定:1网内任意两个国内节点间忙时算术平均IPTD不宜大于50ms(个别偏远节点除外);2网内任意两个国内节点间忙时IPDV不宜大于10ms;3网内任意两个国内节点间忙时IPLR不宜大于0.1%;4网内任意两个国内节点间忙时IPER不宜大于0.01%;5骨干网的IGP路由收敛时间不宜大于30s。11.1.2公用互联网城域网的性能宜符合下列规定:1网内任意两个节点间忙时IPTD(不包含接入链路)不宜大于20ms;2网内任意两个节点间忙时IPDV(不包含接入链路)不宜大于5ms;3网内任意两个节点间忙时IPLR(不包含接入链路)不宜大于0.1%;4网内任意两个节点间忙时IPER(不包含接入链路)不宜大于0.01%。条文说明11.1.1互联网网络的性能主要取决于IP层的信息传送性能,其在很大程度上依赖于承载IP层的低层链路的传输性能,同时高层业务的有关性能也会影响IP网络的网络性能。本标准主要采用IPTD、IPDV、IPLR、IPER作为IP网络的性能参数。需要注意的是,接入技术对用户端到端质量会产生极大影响,而接入技术多种多样,接入速度及其他性能指标也千差万别。在本标准中,对网络的性能指标要求均设定其处于正常运行情况下,对网络拥塞所导致的网络质量下降情况不在本标准考虑的范围之内。a11.2 服务质量11.2.1公用互联网接入类业务的服务质量宜符合下列规定:1接入连接建立成功率不应小于95%;2用户接入认证平均响应时间不宜大于8s。11.2.2公用互联网业务的计费准确率不宜小于99.99%。11.2.3权威域名服务器的服务可用性不宜小于99.999%,95%域名解析请求的响应时间不宜大于500s;递归域名服务器的服务可用性不宜小于99.99%,95%域名解析请求的响应时间不宜大于1500ms。11.2.4可根据业务需要对业务进行服务质量分级,可设置8个不同的质量服务等级,不同的业务可根据服务质量需求映射到这8个服务等级中。11.2.5可采用DiffServ、E-LSP和MPLS-TE等IP QoS技术实现服务质量保证。11.2.6宜部署服务质量监测平台为用户提供服务质量监测服务。条文说明11.2.4服务质量(QoS)是指IP网络的一种能力,可为特定的业务提供其所需要的服务。实施各种IP QoS技术,可以有效控制网络资源及其使用,能够针对不同用户需求提供差别化业务。11.2.5IP网络中QoS的技术部署主要包括资源控制、资源隔离和资源调度等各种技术及策略的运用。基于RSVP的IntServ方案是一种端到端基于流的QoS技术,粒度为单个流的资源预留的解决思路扩展性无法保证,一般不建议采用。基于DSCP的DiffServ方案是一种基于类的QoS技术,通过将业务定义为有限的类,可以较好地解决扩展性问题,建议可主要采用。MPLS可以与DiffServ结合,提供MPLS CoS。MPLS与DiffServ的结合可以将DS字节的设置融入MPLS的标记分配过程中,使得MPLS标记具备区分分组服务质量的能力。MPLS TE是一种间接改善网络QoS的技术。MPLS TE利用了LSP支持显式路由的能力,在网络资源有限的前提下,将网络流量合理引导,间接改善网络服务质量。MPLS DiffServ-Aware TE在MPLS TE的基础上,增加了基于类别的资源管理,充分利用了DiffServ的可扩展性以及MPLS的显式路由能力。11.2.6服务质量监测平台应可以实现网络层或业务层的质量监测,用户应可以通过浏览器或安装客户端软件进行测试。例如部署宽带接入速率测试平台为用户提供宽带测速服务。a12a12.1 安全目标与框架12.1.1公用互联网的网络与信息安全目标应在合理的安全成本基础上,保证各类网元设备的正常运行,保证信息在网络上的安全传输,保障网络的运营维护管理安全,保障业务安全和内容安全,并应符合相关行业管理要求。12.1.2公用互联网的安全框架应由防护、检测与评估、响应闭环构成,并应符合下列规定:1防护部分应提供基本的安全技术和安全措施;2检测与评估部分宜实现对全网的实时监控,定期对全网进行安全扫描和风险评估,并将结果传给响应系统;3响应部分应能根据检测和评估结果,调整安全策略、产生安全告警、修补安全漏洞、进行安全加固等;4安全框架所需保障设施应与网络同步规划、设计、建设。条文说明12.1.1根据IP网络的特点,IP网络涉及的网络与信息安全可以分为网络自身安全、业务提供安全和信息内容安全等三个层面。12.1.2安全框架的技术实现需要在工程设计中根据需要适当部署安全技术手段,以实现安全防护、安全检测与评估等,可采用的安全技术手段举例如下:(1)访问控制,保证只有授权的人员和设备才允许访问网元、存储的信息、业务和应用;(2)鉴别,保证参与通信或应用的实体声称的身份的有效性;(3)不可抵赖,保证可提交给第三方用于证明某些事件或行为发生的证据的可用性;(4)数据保密,保证数据内容不被非授权的实体理解;(5)通信安全,保证信息只在授权的端点之间流动;(6)完整性,保证数据信息的完整;(7)可用性,保证对网元、信息、业务和应用的授权访问不被否决;(8)隐私,保护包括地址位置、IP地址等信息不被非法获得或使用;(9)审计和响应,对活动进行记录、检查、监控等,对安全事件做出告警,阻断等反应。除了安全技术手段外,还应执行严格的安全维护措施,包括关闭所有无关的服务端口、及时安装软件补丁、定期进行病毒扫描和系统安全漏洞扫描,定期做入侵检测和防火墙的规则更新、详细记录安全日志并定期审计、定期更改密码等。《网络工程设计标准》GB/T 51375-2019a12.2 安全管理12.2.1公用互联网宜设立安全管理中心,作为实现网络安全管理的技术平台。12.2.2安全管理中心的功能宜符合下列规定:1安全管理中心宜实现对各种IP安全工具的统一管理,并宜建立位于安全产品之上,面向管理层的监视、管理、统计、分析系统;2宜实现安全事件集中监控,并在各类安全设备、安全软件、系统软件之上建立安全事件的集中监控体系,实现安全事件的采集、处理、关联性定义、实时监控功能,提供安全设备部署的拓扑信息,具有一定的安全事件的统计分析和报表功能;3宜建立信息资产与安全风险管理中心,统一管理信息资产的识别、赋值、建档、变更、停用等活动,并对资产进行的漏洞和风险评估结果进行管理,同时提供统计分析功能,为建立统一的信息资产安全管理和信息安全风险评估与管理体系提供支撑;4宜实现安全策略管理,实现安全配置管理,根据安全检测和评估结果调整安全策略,实现有关的安全配置;5宜实现安全事件预警,提供安全趋势分析和预警机制;6宜建立安全信息库,积累安全管理相关知识经验,为形成专家知识库提供基础;7宜实现与其他管理信息系统的信息交换。条文说明12.2.1安全管理中心从技术上将全网的安全策略体系、安全事件体系、安全响应体系和安全信息共享体系建立起来,形成全网安全保障体系,从而帮助管理员随时跟踪判断全网的安全形势,对内可以通过相应调整策略满足安全保障,对外可以提供给客户明确的、定量的网络安全事件和风险水平。安全管理中心应实现对各种IP安全工具的统一管理,建立位于安全产品之上,面向管理层和决策层,与网络规模相适应的统计、分析、管理、决策系统。安全管理中心通过中间件从防火墙设备、入侵检测设备、日志服务器等各种安全设备系统收集的大量信息中,抽取出更加直观、易于决策的信息,并从管理角度出发,对日常安全监控数据流的处理过程进行管理、统计和分析。同时,安全管理中心还从管理层、决策层的角度出发,对全网安全性能、安全事件处理的过程进行指标化管理,为更高管理层直接监督、控制安全事件的处理过程,直接掌握网络安全运行情况提供有效的手段。a12.3 内容安全12.3.1公用互联网应在业务的审核、检查、拨测等环节部署内容安全管理和技术手段。12.3.2公用互联网宜在IDC出口处,网间互联处和网络内不同层次之间设置流量检测与控制系统,应主要实现下列功能:1异常流量检测及控制;2不良信息检测及控制。条文说明12.3.1内容安全是IP网络信息安全的重要组成部分,主要包括不良信息的治理、防止信息泄漏、对信息进行校检及备份等。12.3.2互联网面临着众多的内容安全威胁,增强流量检测与控制能力是保障网络内容安全的有效技术手段。在网络中部署流量检测与控制系统,作为实现内容安全技术设施的一部分,是实现互联网“业务可识别”的重要技术措施。流量检测与控制系统的流量检测功能实现可根据需求选择采用深度流检测、深度包检测技术或采用直路、旁路或直路一旁路联动三种方式进行系统部署和控制。流量检测与控制系统的设置不应影响IP网络的网络性能。a12.4 业务安全12.4.1公用互联网的用户信息应加密存储,访问用户信息应进行权限控制。12.4.2用户使用公用互联网接入业务应可溯源,网络接入访问日志记录保存不应少于6个月。12.4.3公用互联网接入、承载的业务系统应符合下列规定:1应划分安全域,应配置防火墙进行安全域边界控制;2业务提供、控制与管理过程应保护用户隐私,不泄漏用户相关敏感信息;3业务控制与管理应提供并启用身份鉴别、标识唯一性检查、鉴别信息复杂度检查及登录失败处理功能;4业务控制与管理应严格限制默认账号的权限,各账号应依据最小授权原则授予完成各自承担任务所需的权限,按安全策略要求控制对文件、数据库表等内容的访问;5系统访问控制策略应由授权主体配置;6业务控制与管理应提供覆盖到每个账号的安全审计功能,应保证无法删除、修改或覆盖审计记录,业务相关审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等;7宜对业务及应用相关通信过程中的关键报文或会话过程提供必要的保护,并提供业务及应用相关访问、通信等数据的防抵赖功能;8宜对业务及应用服务水平进行检测,具有当服务水平降低到预先规定的阀值时进行告警、控制的功能。条文说明12.4.3业务系统的安全措施应根据该系统的安全等级具体确定,本条给出了基本要求。a12.5 网络安全12.5.1公用互联网应从控制、管理和数据三个层面保障自身安全。12.5.2公用互联网应在域内路由协议和域间路由协议中启用校验和认证功能,保证路由信息的完整性和已授权性。12.5.3在网络关键节点,可根据源地址及端口、目的地址及端口以及协议类型等参数实施ACL,可根据路由表中的网段和物理接口实施uRPF。12.5.4网络设备应支持对自身的访问控制和访问日志记录功能。12.5.5网络设备的远程维护应使用加密协议。12.5.6网络设备应关闭未使用的功能和服务。12.5.7网络设备应关闭未使用的SNMP协议和未使用的读写权限。12.5.8网络的域名服务器应实现域名数据安全和解析安全。条文说明12.5.1互联网网络在网络控制面的安全威胁主要包括路由信息泄露、仿冒攻击、篡改攻击、路由干扰、路由过载和软件漏洞等;在管理面的安全威胁主要包括非法设备访问等;在数据面的安全威胁主要包括IP欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务攻击、分片攻击、网络侦听和应用层攻击等。应根据可能的威胁采取针对性的网络安全技术措施。12.5.8域名系统面临的安全威胁主要表现为数据完整性,具体表现在两个环节:一个是DNS权威服务器的主服务器和辅服务器之间的数据更新过程中的数据完整性保证;另一个是DNS递归服务器在执行递归查询过程中从权威服务器获取的查询结果的数据完整性保证。应对应地采取各种安全技术措施。a1313.0.1网络各节点配置的主要网络设备可包括路由器、交换机等设备。配套设备可包括设备机架、电源架、配线设备配置应以近期需求为基础,兼顾远期业务发展的需要。选用的设备应性能稳定、安全可靠、技术先进、兼容性好、能效比好、模块化、扩展性强,具备在线采用的各种网络设备应符合有关的设备技术规范,并应符合下列规定:1应符合下列能耗管理要求:1)对于机框插槽式设备,应有高温报警功能;2)对于机框插槽式设备,应具备能源监控及管理功能;3)对于机框插槽式设备,应支持通过命令行或网管工具远程关闭设备部分模块或功能,或进入微电状态;4)对于机框插槽式设备,应支持根据实际情况动态调整风扇转速;5)宜具有可根据用户需求和不同应用场合配置交流或直流供电的选择;6)设备内部应有合理的气流组织。2应符合下列环保与包装要求:1)设备的主要部分应减少铅、镉、汞、六价铬、溴化阻燃剂等有害物质;2)应采用用量最少的适度包装,包装材料对人体和生物应无毒无害,包装应易于重复利用或易于回收再生,包装废弃物可以降解腐化。13.0.4路由器设备配置应符合下列规定:1应在完成网络节点局域网结构设计的基础上配置路由器设备;2应充分考虑该节点在网络中的位置和功能,所配置的路由器设备的功能与性能应与其在网络中的角色一致;处理的业务量相对设备能力较小时,一台路由器设备也可兼做两种功能角色;
3当一个节点存在多条对外连接中继电路、节点配置多台路由器设备时,应注意对整体网络结构的影响以及对流量流向规划的影响;4骨干网路由器设备和城域网核心层路由器设备的主控板卡、交换板卡、电源模块、风扇模块等关键部件应冗余配置,应支持热备份功能和热插拔功能;5路由器设备的接口板应根据网络中继电路设计情况进行配置;当一个节点存在多条对外连接中继电路时,电路与接口板的对应应考虑安全可靠性要求;6国际出入口节点的国际出入口路由器设备应单独配置,不与其他功能路由器合设;7路由器设备应同时支持IPv4和IPv6协议栈。13.0.5业务接入控制系统设备配置应符合下列规定:1业务接入控制系统设备可由一台设备完成,也可单独设置为业务路由器SR或宽带接入服务器BRAS;2SR可主要作为用户专线接入网络的网关、MPLS VPN PE、组播网关等,BRAS可主要作为用户宽带接入网络的网关、组播网关等;3SR、BRAS应实现对用户的接入及接人认证控制、QoS策略控制和计费统计等功能;4SR、BRAS应以综合成本最低为原则,考虑传输资源条件和用户数量部署:对于中、大规模的城域网,宜在汇聚层分布配置,小规模的城域网可在核心层集中配置;接入重要业务的SR可单独设置,并可直接接入骨干网一般汇接节点;5SR(BRAS)宜成对设置,成对的SR(BRAS)之间宜互为冗余备份,可同机房或不同机房设置。13.0.6设备机架、电源架、配线架等配套设备应根据工程实际需要配置。
13.0.7备品备件的配置应根据设备的重要性、故障率以及工程售后服务内容确定,宜采用集中备件方式。条文说明13.0.3设计在设备及配套选型等方面应遵循有利环境保护、有利节能减排的原则,引入符合国家节能减排要求、低能耗的设备,优先采用有利节能环保的相关配套材料。
机房的工作地、保护地、建筑防雷接地应符合现行国家标准《通信局(站)防雷与接地工程设计规范》GB 50689的规定。
设备安装应符合现行行业标准《电信设备安装抗震设计规范》YD 5059的规定。
设备机房的防火措施应符合现行国家标准《建筑设计防火规范》GB 50016的规定。
条文中指明应按其他有关标准执行的写法为:“应符合...的规定”或“应按...执行”。
老年人建筑——设计要求总结(防火要求、建造形式、避难要求......)开云 开云体育开云 开云体育
