【文章內容簡介】 疏通質量將有所降質； － 按業(yè)務分擔疏通方式：對于不同的流量 (例如按業(yè)務種類 )，在網絡正常情況下分別經YD XXXXXXXX 9 由各自不同的主要路由進行疏通，異常時業(yè)務疏通質量將有所降質。 規(guī)劃優(yōu)化的原則為盡量滿足網絡所承載業(yè)務的質量、可靠性等要求，全網的整體資源利用率高，同時要易于維護管理，并方便進行流量調整。 根據流量流向規(guī)劃，網絡應設計合適的路由選擇規(guī)則。一般的規(guī)則有： － 就近原則：業(yè)務流量根據拓撲結構確定的最短路徑進行疏通； － 指定路徑原則：業(yè)務流量根據預先規(guī)劃的路徑或者預先 規(guī)劃的路徑關鍵點 (例如出入口位置、不同網絡平面等 )進行疏通。 網絡的路由選擇規(guī)則的實現可采用以下技術： － 合理設計域內路由協(xié)議的鏈路權值； － 運用域間路由協(xié)議的各種屬性并合理設計賦值； － 采用 MPLS TE 技術。 網絡路由應盡可能進行聚合。根據網絡路由選擇規(guī)則的需要，網絡中可以存在適當的非聚合路由。 網絡中不應存在路由選擇循環(huán)，不存在路由黑洞。 路由協(xié)議運行的穩(wěn)定性與擴展性 為提高網絡的穩(wěn)定性，原則上在域內和域間兩種路由協(xié)議之間不進行路由信息的 互相注入。 根據網絡規(guī)模，合理設計域內路由協(xié)議的分級或分區(qū)域，以提高網絡的穩(wěn)定性。在網絡中繼電路帶寬較寬、網絡節(jié)點設備的計算能力較強時，盡量采用不分級和不分區(qū)域的域內路由協(xié)議方案，以方便優(yōu)化網絡路由。 為了快速跟蹤網絡中繼電路狀態(tài)變化情況，降低可能的電路中斷對業(yè)務的影響，應合理運用路由協(xié)議的快速收斂技術，并合理設計有關的故障檢測定時器范圍。 應合理運用路由協(xié)議的雅致重啟 (Graceful Restart)技術，以提高網絡運行的穩(wěn)定性。 根據路由選擇需要，應合理 確定網絡中運行 BGP 協(xié)議的節(jié)點范圍。一般地，為保證 BGP路由的連通性和加速收斂，在骨干網自治域內所有路由器均應運行域內 BGP，并采用路由反射器技術提高 BGP 會話的擴展性，路由反射器應冗余設置。 盡量在網絡邊緣接入處對路由進行聚合收斂，并采用設置 BGP 阻尼的方式來減小由于中繼電路不穩(wěn)定對網絡的影響。 YD XXXXXXXX 10 7 網間互聯(lián) 國內網間互聯(lián) 各運營商的公用計算機互聯(lián)網在國內應實現互聯(lián)。互聯(lián)可通過國內 NAP 或者通過兩網間的直連互聯(lián)電路實現。 兩個網絡的國內互聯(lián)應設置多于 1 個的 互聯(lián)點，并實現不同互聯(lián)點之間互聯(lián)流量的疏通備份?；ヂ?lián)點應首先設置在骨干網中的互聯(lián)互通層面。 對于部分業(yè)務量大的省份，可以開通省內網間互聯(lián)電路，但是該互聯(lián)電路應僅用于疏通省內部分兩網間的互聯(lián)業(yè)務。 國內網間互聯(lián)帶寬應根據業(yè)務需求雙方協(xié)商確定。 國際網間互聯(lián) 條件許可時，根據業(yè)務需要，公用計算機互聯(lián)網可以直接和國外的互聯(lián)網實現互聯(lián)?；ヂ?lián)必須通過批準的國際出入口節(jié)點實現。 具備條件時，公用計算機互聯(lián)網可以和 1 家以上的國外互聯(lián)網進行互聯(lián)，以實現互聯(lián)網國際業(yè)務 的疏通備份或分擔。 國際網間互聯(lián)帶寬應根據業(yè)務需求確定。 網間互聯(lián)路由策略 網絡應設計合理的網間互聯(lián)路由策略，實現互聯(lián)業(yè)務疏通的路由優(yōu)化，盡量減少不合理的互聯(lián)業(yè)務路由走向，并有效利用互聯(lián)帶寬。 網間互聯(lián)應對入網流量進行控制，主要可以通過控制向互聯(lián)對方網絡宣告的路由信息內容、通過配置調整相應 BGP 路由的有關屬性參數，引導入網流量。 網間互聯(lián)應對出網流量進行控制，主要可以通過配置 BGP 路由的有關屬性參數、與互聯(lián)對方網絡協(xié)商有關 BGP 路由有關屬性參數賦值含 義及方式，引導出網流量。 國際網間互聯(lián)路由可以采用穿透方式或對等方式。 YD XXXXXXXX 11 8 網絡性能 IP 網絡性能指標包括： － 吞吐量：網絡兩個節(jié)點之間特定業(yè)務流的平均速率； － 延遲： IP 包在進入網絡節(jié)點和離開網絡節(jié)點之間的平均歷時，可以是單向延遲或是往返延遲； － 抖動： IP 包延遲的變化； － 包丟失率： IP 包在網絡傳送過程中丟失報文的百分比； － 可用性：網絡可以為用戶提供服務的時間的百分比。 不同的用戶及業(yè)務對 IP 網絡性能指標的要求是不同的，本規(guī)范只對網絡輕載條件下的網絡性 能提出建議，在工程建設中，應該根據實際情況對上述性能指標提出建設要求。一般公用計算機互聯(lián)網網絡性能指標參考建議如下： － 單向延遲：≤ 150ms(全網國內端到端，包括傳輸延遲和設備延遲，個別偏遠地區(qū)除外 )； － 抖動：≤ 20ms； － 包丟失率：≤ 1％； － 可用性：≥ ％。 YD XXXXXXXX 12 9 服務質量 公用計算機互聯(lián)網應在仔細規(guī)劃估算所承載的各種業(yè)務的平均速率和峰值速率的基礎上，合理設計鏈路帶寬。在不采用各種 QoS 技術的情況下，網絡可采用輕載方式提高服務質量： － 在采用主備疏通方式的流量規(guī)劃方 式下，中繼電路的帶寬平均峰值利用率宜設計在50％～ 70％區(qū)間內； － 在采用分擔疏通方式的流量規(guī)劃方式下，中繼電路的帶寬平均峰值利用率宜設計在40％～ 50％區(qū)間內。 根據業(yè)務需求，公用計算機互聯(lián)網可積極采用以下各種 IP QoS 技術： 1 基于 RSVP 的 IntServ 方案是一種端到端基于流的 QoS 技術，目前粒度為單個流的資源預留的解決思路在互聯(lián)網上擴展性無法保證，不建議采用。 2 基于 DSCP 的 DiffServ 方案是一種基于類的 QoS 技術，通過將業(yè)務定義為有限的類，可以較好地解決擴展性問題，建議 可主要采用。 3 MPLS 可以與 DiffServ 結合，提供 MPLS CoS。 MPLS 與 DiffServ 的結合可以將 DS 字節(jié)的設置融入 MPLS 的標記分配過程中，使得 MPLS 標記具備區(qū)分分組服務質量的能力。包括 ELSP 方案和 LLSP 方案，目前可主要采用 ELSP 方案。 4 MPLS TE 是一種間接改善網絡 QoS 的技術。 MPLS TE 利用了 LSP 支持顯示路由的能力，在網絡資源有限的前提下，將網絡流量合理引導，間接改善網絡服務質量。 MPLS DiffServAware TE 在 MPLS TE 的基礎上，增加了基于 類別的資源管理，充分利用了 DiffServ的可擴展性以及 MPLS 的顯式路由能力，是解決 IP QoS 的較好技術之一。 考慮到 IP QoS 現實技術成熟程度的限制和大規(guī)模運用經驗的缺乏， IP QoS 的引入實施及完善將是長期的過程。公用計算機互聯(lián)網的工程設計應隨時注意新技術的發(fā)展和可能的實際應用。 YD XXXXXXXX 13 10 網絡管理 網管體系結構 根據運營管理需要，以及網絡層次結構特點，公用計算機互聯(lián)網的網管體系結構可以采用三級結構或兩級結構： 1 與兩層網絡相對應，可以采用 兩級網管體系：設 置骨干網網管中心和城域網網管中心。骨干網網管中心負責管理骨干網，并可以采用集中管理、省級分級操作的管理方式，同時在各省設置省級設立維護操作中心。骨干網網管中心應在異地設置一個備用網管中心。 城域網網管中心負責管理城域網，城域網網管中心也可在省內全省集中設置。 城域網網管中心與骨干網網管中心之間通過接口實現信息交互。 2 與三層網絡相對應，可以采用三級網管體系：設置 一級網管中心、二級網管中心和城域網網管中心。一級網管中心全國設置一個，負責省際骨干網絡的管理。二級網管中心每省設置一個，負責省內骨干網絡的管理。城 域網網管中心負責管理城域網。 各級網管中心之間通過接口實現信息交互。 網管中心與被管設備之間的網管信息通道宜優(yōu)先采用帶內方式。 公用計算機互聯(lián)網的網管中心可通過特定的接口與綜合網管系統(tǒng)實現連接，以實現綜合的資源、故障、性能等管理功能。 網管接口 網管接口協(xié)議： 1 網管中心與被管設備之間采用基于 SNMP 的接口。 2 各級網管中心之間的接口可采用 SNMP 接口或基于 XML 的 WebServices 接口。 網管接口信息模型：公用計算機互聯(lián)網中采用的 網絡設備必須支持通用的公有信息模型，同時也允許提供針對自身產品特色的私有信息模型。 網管接口功能：網管接口的功能要求主要包括故障管理、計費管理、配置管理、性能管理和安全管理。公用計算機互聯(lián)網中采用的網絡設備必須支持網管接口功能要求，要求提供實時的告警信息、準實時的性能信息和動態(tài)的資源配置信息，以及提供計費和安全信息。 網管功能 資源管理：實現設備管理、電路管理、路徑管理、 IP 地址管理、 AS 管理、軟件版本管理、資源報表統(tǒng)計、資源預警等功能。 YD XXXXXXXX 14 拓撲管理：實現 拓撲管理功能。拓撲管理既要有 C/S 的界面也要能夠通過 B/S 訪問。根據不同的視角和不同的側重層次，拓撲圖可以有不同的視圖；實現拓撲自動發(fā)現、監(jiān)視與瀏覽；實現基于拓撲的流量顯示、資源顯示、故障顯示。 故障管理：應能提供列表形式的告警監(jiān)視窗口，網管人員可以在視圖上監(jiān)視到網元的實時告警，對相關告警操作或啟動相關網元的告警歷史信息查詢?yōu)g覽功能；應具備聲、光、電的告警功能；支持告警過濾、告警轉發(fā)、告警確認和告警升級、告警清除；支持一定的故障關聯(lián)分析。 性能監(jiān)測與分析：應提供及時有效的手段對網 絡性能進行監(jiān)測，可以從網元、路由信息、端到端路徑、網絡應用等不同層次、不同方面，對網絡的性能進行分析。通過性能數據的波動，及時發(fā)現故障，并進行前期預警。 流量采集與分析：通過采集網絡的鏈路層流量和業(yè)務流量，實現對各個網絡層次的電路負載和電路擁塞的分析，對網絡流量流向及網絡業(yè)務類型分布進行分析。 路由管理：對網絡中的路由實體進行監(jiān)測，對網絡路由信息及其變化情況進行分析。 QoS 管理：在網絡提供 QoS 時，應提供面向網絡的 QoS 的管理功能，主要包括網絡層QoS 參數配置、基 于 QoS 的性能監(jiān)測、基于 QoS 的流量分析等功能。 前端信息服務管理：應提供面向前端、面向業(yè)務、面向客戶的功能，支持以 WEB 形式發(fā)布各種與前端、與業(yè)務的相關的統(tǒng)計信息。 報表統(tǒng)計：實現對網絡的業(yè)務、資源、故障以及性能等信息進行統(tǒng)計發(fā)布，為網管使用人員提供多種形式的報告和圖表。 安全管理功能宜由專門的 SMC 實現，具體內容見第 11 章。 YD XXXXXXXX 15 11 網絡安全 安全目標與框架 公用計算機互聯(lián)網的全網網絡與信息安全目標是在合理的安全成本基礎上，實現網絡運 行安全和業(yè)務安全，即保證各類網元設備的正常運行，保證信息在網絡上的安全存儲傳輸，保障網絡的運營維護管理安全。 網絡安全框架由防護、檢測與評估、響應閉環(huán)構成。防護部分即基本的安全技術和安全措施，是整個網絡安全的基礎；檢測與評估部分對全網進行實時監(jiān)控，定期對全網進行安全掃描和風險評估，并將結果傳給響應系統(tǒng)；響應部分根據檢測和評估結果，調整安全策略、產生安全告警、修補安全漏洞、進行安全加固等。 防護部分、檢測與評估部分的實現主要依賴于安全技術的部署。 響應部分的實現構成安全管理的技術手段。 安全管理 安全管理中心定位 安全管理中心 (SMC)從技術上將全網的安全策略體系、安全事件體系、安全響應體系和安全信息共享體系建立起來，形成全網安全保障體系，從而幫助管理員隨時跟蹤判斷全網的安全形勢，對內可以通過相應調整策略滿足安全保障，對外可以提供給客戶明確的、定量的網絡安全事件和風險水平。 安全管理中心應實現對各種 IP 安全工具的統(tǒng)一管理，建立位于安全產品之上、面向管理層和決策層、與網絡規(guī)模相適應的統(tǒng)計、分析、管理、決策系統(tǒng)。安全管理中心通過中間件從防火墻設備、入侵檢測設備、日志服務器等各 種安全設備系統(tǒng)收集的大量信息中，抽取出更加直觀、易于決策的信息，并從管理角度出發(fā)，對日常安全監(jiān)控數據流的處理過程進行管理、統(tǒng)計、分析。同時，安全管理中心還從管理層、決策層的角度出發(fā)，對全網安全性能、安全事件處理的過程進行指標化管理，為更高管理層直接監(jiān)督、控制安全事件的處理過程，直接掌握網絡安全運行情況提供有效的手段。 安全管理中心體系 1 安全管理中心的體系與網管中心的體系方案應一致。 2 安全管理中心可以作為一個獨立的管理平臺發(fā)揮作用，也可以作為網管中心的一個功能子系統(tǒng)發(fā)揮作用。 3 安全管 理中心和被管設備之間的信息交換通道采用帶內方式。 安全管理中心功能 1 實現安全事件集中監(jiān)控。在各類安全設備、安全軟件、系統(tǒng)軟件之上建立安全事件的YD XXXXXXXX 16 集中監(jiān)控體系，實現安全事件的采集、處理、關聯(lián)性定義、實時監(jiān)控功能，提供安全設備部署的拓撲信息，具有一定的安全事件的統(tǒng)計分析和報表功能。 2 建立信息資產與安全風險管理中心，統(tǒng)一管理信息資產的識別、賦值、建檔、變更、停用等活動，并對資產進行的漏洞和風險評估結果進行管理，同時提供統(tǒng)計分析功能，為建立統(tǒng)一的信息資產安全管理和信息安全風險評估與管理體系提供支 撐。 3 實現安全策略管理，實現安全配置管理。根據安全檢測和評估結果，調整安全策略，實現有關的安全配置。 4 實現安全事件預警，提供安全趨勢分析和預警機制。 5 建立安全信息庫，積累安全管理相關知識經驗，為形成專家知識庫提供基礎。 6 實現與其它管理系統(tǒng)的信息交換，提供與其它系統(tǒng)集成的接口。