【文章內(nèi)容簡介】 能 IP 網(wǎng)絡(luò)性能指標(biāo)包括： － 吞吐量：網(wǎng)絡(luò)兩個節(jié)點(diǎn)之間特定業(yè)務(wù)流的平均速率； － 延遲： IP 包在進(jìn)入網(wǎng)絡(luò)節(jié)點(diǎn)和離開網(wǎng)絡(luò)節(jié)點(diǎn)之間的平均歷時，可以是單向延遲或是往返延遲； － 抖動： IP 包延遲的變化； － 包丟失率： IP 包在網(wǎng)絡(luò)傳送過程中丟失報(bào)文的百分比； － 可用性：網(wǎng)絡(luò)可以為用戶提供服務(wù)的 時間的百分比。 不同的用戶及業(yè)務(wù)對 IP 網(wǎng)絡(luò)性能 指標(biāo)的要求是不同的， 本規(guī)范只對網(wǎng)絡(luò)輕載條件下的網(wǎng)絡(luò)性能提出建議，在工程建設(shè)中，應(yīng)該根據(jù)實(shí)際情況對上述性能指標(biāo)提出建設(shè)要求。一般公用計(jì)算機(jī)互聯(lián)網(wǎng)網(wǎng)絡(luò)性能指標(biāo)參考建議如下： － 單向延遲： ≤ 150ms(全網(wǎng)端到端， 包括傳輸延遲和設(shè)備延遲 )； － 抖動： ≤ 20ms； － 包丟失率： ≤ 1％； － 可用性： ≥ ％。 YD XXXXXXXX 12 9 服務(wù)質(zhì)量 公用計(jì)算機(jī)互聯(lián)網(wǎng)應(yīng)在仔細(xì)規(guī)劃估算所承載的各種業(yè)務(wù)的平均速率和峰值速率的基礎(chǔ)上，合理設(shè)計(jì)鏈路帶寬。在不采用各種 QoS 技術(shù)的 情況 下，網(wǎng)絡(luò)可采用輕載方式提高服務(wù)質(zhì)量： － 在采用主備疏通方式的流量規(guī)劃方式下，中繼電路的帶寬利用率宜設(shè)計(jì)在 50％～ 70％區(qū)間內(nèi)； － 在采用分擔(dān)疏通方式的流量規(guī)劃方式下，中繼電路的帶寬利用率宜設(shè)計(jì)在 40％～ 50％區(qū)間內(nèi)。 根據(jù)業(yè)務(wù)需求，公用計(jì)算機(jī)互聯(lián)網(wǎng)可積極采用 以下 各種 IP QoS 技術(shù) ： 1 基于 RSVP 的 IntServ 方案是一種端到端基于流的 QoS 技術(shù) ， 目前粒度為單個流的資源預(yù)留的解決思路在互聯(lián)網(wǎng)上擴(kuò)展性無法保證 ， 不建議采用。 2 基于 DSCP 的 DiffServ 方案是一種基于 類的 QoS 技術(shù) ， 通過將業(yè)務(wù)定義為有限的類，可以較好地解決擴(kuò)展性問題，建議 可 主要采用。 3 MPLS 可以與 DiffServ 結(jié)合，提供 MPLS CoS。 MPLS 與 DiffServ 的結(jié)合可以將 DS 字節(jié)的設(shè)置融入 MPLS 的標(biāo)記分配過程中，使得 MPLS 標(biāo)記具備區(qū)分分組服務(wù)質(zhì)量的能力。包括ELSP 方案和 LLSP 方案 ， 目前可主要采用 ELSP 方案。 4 MPLS TE 是一種間接改善網(wǎng)絡(luò) QoS 的技術(shù)。 MPLS TE 利用了 LSP 支持顯示路由的能力，在網(wǎng)絡(luò)資源有限的前提下，將網(wǎng)絡(luò)流量合理引導(dǎo)，間接改善網(wǎng)絡(luò)服務(wù)質(zhì)量。 MPLS DiffServAware TE 在 MPLS TE 的基礎(chǔ)上，增加了基于類別的資源管理，充分利用了 DiffServ的可擴(kuò)展性以及 MPLS 的顯示路由能力，是解決 IP QoS 的較好技術(shù)之一。 考慮到 IP QoS 現(xiàn)實(shí)技術(shù)成熟程度的限制和大規(guī)模運(yùn)用經(jīng)驗(yàn)的缺乏， IP QoS 的引入實(shí)施及完善將是長期的過程。 公用計(jì)算機(jī)互聯(lián)網(wǎng)的工程設(shè)計(jì)應(yīng)隨時注意新技術(shù)的發(fā)展和可能的實(shí)際應(yīng)用。 YD XXXXXXXX 13 10 網(wǎng)絡(luò)管理 網(wǎng)管體系結(jié)構(gòu) 根據(jù)運(yùn)營管理需要，以及網(wǎng)絡(luò)層次結(jié)構(gòu)特點(diǎn)，公用計(jì)算機(jī)互聯(lián)網(wǎng)的網(wǎng)管體系結(jié)構(gòu)可以 采用三級 結(jié)構(gòu) 或兩級結(jié)構(gòu)： 1 與兩層網(wǎng)絡(luò)相對應(yīng)，可以采用 兩級網(wǎng)管體系：設(shè)置 骨干 網(wǎng) 網(wǎng)管 中心 和城域網(wǎng)網(wǎng)管 中心 。骨干網(wǎng) 網(wǎng)管 中心 負(fù)責(zé)管理骨干網(wǎng)，并 可以 采用集中管理、省級分級操作的管理方式， 同時 在各省設(shè)置 省級設(shè)立維護(hù)操作中心。骨干 網(wǎng) 網(wǎng)管 中心應(yīng)在 異地設(shè)置一個備用網(wǎng)管中心。 城域網(wǎng)網(wǎng)管 中心 負(fù)責(zé)管理城域網(wǎng) ， 城域網(wǎng)網(wǎng)管 中心也可 在省內(nèi)全省集中設(shè)置 。 城域網(wǎng)網(wǎng)管 中心 與 骨干網(wǎng) 網(wǎng)管 中心 之間通過接口實(shí)現(xiàn) 信息 交互。 2 與三層網(wǎng)絡(luò)相對應(yīng)，可以采用三級網(wǎng)管體系：設(shè)置 一級網(wǎng)管中心 、 二級網(wǎng)管中心 和城域網(wǎng)網(wǎng)管 中心。 一級網(wǎng)管中心全國設(shè)置一個 ， 負(fù)責(zé) 省際 骨干網(wǎng)絡(luò)的管理 。 二級網(wǎng)管中心 每省設(shè)置一個，負(fù)責(zé)省內(nèi)骨干網(wǎng)絡(luò)的管理。 城域網(wǎng)網(wǎng)管 中心 負(fù)責(zé)管理城域網(wǎng) 。 各級 網(wǎng)管 中心 之間通過接口實(shí)現(xiàn) 信息 交互。 網(wǎng)管中心與被管設(shè)備之間的網(wǎng)管信息通道一般可采用帶內(nèi)方式。 公用計(jì)算機(jī)互聯(lián)網(wǎng)的網(wǎng)管中心可通過特定的接口與綜合網(wǎng)管系統(tǒng)實(shí)現(xiàn)連接，以實(shí)現(xiàn)綜合的資源、故障、性能等管理功能。 網(wǎng)管 接口 網(wǎng)管接口 協(xié)議 ： 1 網(wǎng)管中心與被管設(shè)備之間采用基于 SNMP 的接口 。 2 各 級網(wǎng)管中心之間 的 接口 可采用 SNMP 接口或基于 XML 的 WebServices 接口。 網(wǎng)管接口信息模型 ：公用計(jì)算機(jī)互聯(lián)網(wǎng)中采用的 網(wǎng)絡(luò)設(shè)備 必須 支持通用的公有信息模型，同時也允許提供針對自身產(chǎn)品特色的私有信息模型。 網(wǎng)管接口功能 ： 網(wǎng)管接口的功能要求主要包括故障管理、計(jì)費(fèi)管理、配置管理、性能管理和安全管理。 公用計(jì)算機(jī)互聯(lián)網(wǎng)中采用的 網(wǎng)絡(luò)設(shè)備 必須 支持 網(wǎng)管接口功能要求，要求提供實(shí)時的告警信息、準(zhǔn)實(shí)時的性能信息和動態(tài)的資源配置信息，以及提供計(jì)費(fèi)和安全信息。 網(wǎng)管功能 資源管理 ： 實(shí)現(xiàn)設(shè)備管理、電路管理、路徑管理、 IP 地址管理、 AS 管理、軟 件版本管理、資源報(bào)表統(tǒng)計(jì)、資源預(yù)警等功能。 YD XXXXXXXX 14 拓?fù)涔芾?：實(shí)現(xiàn) 拓?fù)涔芾砉δ?。拓?fù)涔芾砑纫?C/S 的界面也要能夠通過 B/S 訪問。根據(jù)不同的視角和不同的側(cè)重層次，拓?fù)鋱D可以有不同的視圖；實(shí)現(xiàn)拓?fù)渥詣影l(fā)現(xiàn)、監(jiān)視與瀏覽；實(shí)現(xiàn)基于拓?fù)涞牧髁匡@示、資源顯示、故障顯示。 故障管理 ： 應(yīng)能提供列表形式的告警監(jiān)視 窗口，網(wǎng)管人員可以在視圖上監(jiān)視到網(wǎng)元的實(shí)時告警，對相關(guān)告警操作 或啟動相關(guān)網(wǎng)元的告警歷史信息查詢?yōu)g覽功能 ； 應(yīng)具備聲、光、電的告警功能 ； 支持告警過濾、告警轉(zhuǎn)發(fā)、告警確認(rèn)和告警升級、告警清除 ； 支持一定 的故障關(guān)聯(lián)分析。 性能監(jiān)測與分析 ： 應(yīng)提供及時有效的手段對網(wǎng)絡(luò)性能進(jìn)行監(jiān)測，可以從網(wǎng)元、路由信息、端到端路徑、網(wǎng)絡(luò)應(yīng)用等不同層次、不同方面，對網(wǎng)絡(luò)的性能進(jìn)行分析。通過性能數(shù)據(jù)的波動，及時發(fā)現(xiàn)故障，并進(jìn)行前期預(yù)警。 流量采集與分析 ： 通過采集網(wǎng)絡(luò)的鏈路層流量和業(yè)務(wù)流量，實(shí)現(xiàn)對各個網(wǎng)絡(luò)層次的電路負(fù)載和電路擁塞的分析，對網(wǎng)絡(luò)流量流向及網(wǎng)絡(luò)業(yè)務(wù)類型分布進(jìn)行分析。 路由管理 ： 對網(wǎng)絡(luò)中的路由實(shí)體進(jìn)行監(jiān)測 ，對網(wǎng)絡(luò) 路由信息 及其變化情況進(jìn)行 分析。 QoS 管理 ：在網(wǎng)絡(luò)提供 QoS 時，應(yīng) 提供面向網(wǎng)絡(luò)的 QoS 的管理功能，主要包括網(wǎng)絡(luò)層QoS 參數(shù)配置、基于 QoS 的性能監(jiān)測、基于 QoS 的流量分析等功能。 前端信息服務(wù)管理 ：應(yīng) 提供面向前端、面向業(yè)務(wù)、面向客戶的功能，支持以 WEB 形式發(fā)布各種與前端、與業(yè)務(wù)的相關(guān)的統(tǒng)計(jì)信息。 報(bào)表統(tǒng)計(jì) ：實(shí)現(xiàn) 對網(wǎng)絡(luò)的業(yè)務(wù)、資源 、故障 以及性能等信息進(jìn)行統(tǒng)計(jì)發(fā)布，為網(wǎng)管使用人員提供多種形式的報(bào)告和圖表。 安全管理功能宜由專門的 SMC 實(shí)現(xiàn)，具體內(nèi)容見第 11 章。 YD XXXXXXXX 15 11 網(wǎng)絡(luò) 安全 安全目標(biāo) 與框架 公用計(jì)算機(jī) 互聯(lián)網(wǎng)的全網(wǎng) 網(wǎng)絡(luò)與信息 安全目標(biāo)是在合理的安全成本基礎(chǔ)上，實(shí)現(xiàn)網(wǎng)絡(luò)運(yùn)行安全和業(yè)務(wù)安全 ， 即 保證 各類網(wǎng)元設(shè)備的正常運(yùn)行， 保證 信息在網(wǎng)絡(luò)上的安全存儲傳輸，保障網(wǎng)絡(luò)的運(yùn)營維護(hù)管理安全。 網(wǎng)絡(luò)安全框架 由防護(hù)、 檢測與評估 、 響應(yīng) 閉環(huán)構(gòu)成。 防護(hù) 部分即 基本的安全技術(shù)和安全措施，是整個 網(wǎng)絡(luò) 安全的基礎(chǔ)；檢測與評估 部分 對全網(wǎng)進(jìn)行實(shí)時監(jiān)控，定期對全網(wǎng)進(jìn)行安全掃描和風(fēng)險評估，并 將 結(jié)果傳給響應(yīng)系統(tǒng)；響應(yīng) 部分 根據(jù)檢測和評估結(jié)果，調(diào)整 安全策略、產(chǎn)生安全告警、修補(bǔ)安全漏洞、進(jìn)行安全加固等 。 防護(hù)部分、 檢測與評 估 部分的實(shí)現(xiàn)主要依賴于安全技術(shù)的部署。 響應(yīng) 部分的實(shí)現(xiàn)構(gòu)成安全管理的技術(shù)手段。 安全管理 安全管理中心定位 安全管理 中心 (SMC)從技術(shù)上將全網(wǎng)的安全策略體系、安全事件體系、安全響應(yīng)體系和安全信息共享體系建立起來，形成 全網(wǎng) 安全保障體系 ，從而 幫助管理員隨時跟蹤判斷全網(wǎng)的安全形勢，對內(nèi)可以通過相應(yīng)調(diào)整策略滿足安全保障，對外可以提供給客戶明確的、定量的網(wǎng)絡(luò)安全事件和風(fēng)險水平。 安全管理中心應(yīng) 實(shí)現(xiàn)對 各種 IP 安全工具的統(tǒng)一管理，建立位于安全產(chǎn)品之上、面向管理層和決策層、與網(wǎng)絡(luò)規(guī)模相適應(yīng)的統(tǒng)計(jì) 、分析、管理、決策系統(tǒng)。 安全管理中心 通過中間件從防火墻設(shè)備、入侵檢測設(shè)備、日志服務(wù)器等各種安全設(shè)備系統(tǒng)收集的大量信息中，抽取出更加直觀、易于決策的信息，并從管理角度出發(fā)，對日常安全監(jiān)控?cái)?shù)據(jù)流的處理過程進(jìn)行管理、統(tǒng)計(jì)、分析。同時，安全管理 中心 還從管理層、決策層的角度出發(fā)，對全網(wǎng)安全性能、安全事件處理的過程進(jìn)行指標(biāo)化管理，為更高管理層直接監(jiān)督、控制安全事件的處理過程，直接掌握網(wǎng)絡(luò)安全運(yùn)行情況提供有效的手段。 安全管理中心體系 1 安全管理中心的體系與網(wǎng)管中心的體系方案應(yīng)一致。 2 安全管理中心可以 作為一個獨(dú)立的管理平臺發(fā)揮作用，也可以作為網(wǎng)管中心的一個功能子系統(tǒng)發(fā)揮作用。 3 安全管理中心和被管設(shè)備之間的信息交換通道采用帶內(nèi)方式。 安全管理中心功能 1 實(shí)現(xiàn)安全事件集中監(jiān)控。在各類安全設(shè)備、安全軟件、系統(tǒng)軟件之上建立安全事件的YD XXXXXXXX 16 集中監(jiān)控體系，實(shí)現(xiàn)安全事件的采集、處理、關(guān)聯(lián)性定義、實(shí)時監(jiān)控功能，提供安全設(shè)備部署的拓?fù)湫畔?，具有一定的安全事件的統(tǒng)計(jì)分析和報(bào)表功能。 2 建立信息資產(chǎn)與安全風(fēng)險管理中心，統(tǒng)一管理信息資產(chǎn)的識別、賦值、建檔、變更、停用等活動，并對資產(chǎn)進(jìn)行的漏洞和風(fēng)險評估結(jié)果進(jìn)行管 理，同時提供統(tǒng)計(jì)分析功能，為建立統(tǒng)一的信息資產(chǎn)安全管理和信息安全風(fēng)險評估與管理體系提供支撐。 3 實(shí)現(xiàn)安全策略管理，實(shí)現(xiàn)安全配置管理。 根據(jù) 安全 檢測和評估結(jié)果，調(diào)整安全策略 ，實(shí)現(xiàn)有關(guān)的安全配置。 4 實(shí)現(xiàn) 安全事件預(yù)警，提供安全趨勢分析和預(yù)警機(jī)制。 5 建立安全信息庫，積累安全管理相關(guān)知識經(jīng)驗(yàn)，為形成專家知識庫提供基礎(chǔ)。 6 實(shí)現(xiàn)與其它管理系統(tǒng)的信息交換，提供與其它系統(tǒng)集成的接口 。 在工程建設(shè)初期，可以首先主要實(shí)現(xiàn)安全事件集中監(jiān)控。 安全技術(shù)部署 鑒別和認(rèn)證。通過對網(wǎng)絡(luò)系統(tǒng)中的主客體進(jìn) 行鑒別，并且給這些主客體賦予恰當(dāng)?shù)臉?biāo)志、標(biāo)簽、證書等。主要的處理都是針對實(shí)體進(jìn)行的。具體技術(shù)包括： － 口令； － Token、 SmartCard 等強(qiáng)鑒別機(jī)制； － PKI 公開密鑰基礎(chǔ)設(shè)施。 訪問控制。訪問控制 在 網(wǎng)關(guān)、接口和邊界 處引入， 業(yè)務(wù)必須通過 接入控制 才能進(jìn)行正常訪問。具體技術(shù)包括： － 訪問控制列表； － 防火墻 (網(wǎng)絡(luò)隔離和網(wǎng)絡(luò)訪問控制 )； － VPN； － 操作系統(tǒng)訪問控制； － 應(yīng)用系統(tǒng)訪問控制。 內(nèi)容安全。內(nèi)容安全主要是直接保護(hù)在系統(tǒng)中傳輸和存儲的信息。具體技術(shù)包括 ： － 加密 (保密性、完整性、抗抵賴等 )； － 內(nèi)容過濾； － 防病毒； － VPN 加密信道。 冗余和恢復(fù)。通過設(shè)備或者線路的冗余保障業(yè)務(wù)的連續(xù)性，通過備份恢復(fù)業(yè)務(wù)。具體技術(shù)包括： － 設(shè)備冗余； － 網(wǎng)絡(luò)迂回； － 數(shù)據(jù)備份。 審計(jì)和響應(yīng)。審計(jì)主要實(shí)現(xiàn)機(jī)制 可通過業(yè)務(wù)監(jiān)聽 工作方式實(shí)現(xiàn)。這種機(jī)制一般情況YD XXXXXXXX 17 下并不干涉和直接影響主業(yè)務(wù)流程，而是對主業(yè)務(wù)進(jìn)行記錄、檢查、監(jiān)控等。響應(yīng)主要是對安全事件作出告警、阻斷等反應(yīng)。具體技術(shù)包括： － 日志； － 漏洞掃描和評估； － 入侵檢測； － 異 常流量檢測。 YD XXXXXXXX 18 12 傳送技術(shù) 公用計(jì)算機(jī)互聯(lián)網(wǎng)骨干網(wǎng)的傳送網(wǎng)應(yīng)以光傳送網(wǎng)為主，以衛(wèi)星、微波等為輔構(gòu)建。 公用計(jì)算機(jī)互聯(lián)網(wǎng)骨干網(wǎng)的傳送網(wǎng)宜主要采用 IP Over SDH 和 IP Over WDM 技術(shù)，其中 IP Over WDM 可采用基于 SDH 幀結(jié)構(gòu)的技術(shù)方案。 由于公用計(jì)算機(jī)互聯(lián)網(wǎng)城域網(wǎng)的建設(shè)依托于本地網(wǎng)的基礎(chǔ)網(wǎng)絡(luò)和傳送網(wǎng)，具體 IP 傳送技術(shù)選擇需要根據(jù)本地網(wǎng)的實(shí)際情況進(jìn)行選擇。 1 本地傳送網(wǎng)可以提供 SDH 網(wǎng)絡(luò)資源或 DWDM 網(wǎng)絡(luò)資源，可以采用 IP Over SDH和 IP Over WDM 技術(shù)。 2 本地傳送網(wǎng)可以提供 MSTP 網(wǎng)絡(luò)，可以利用 MSTP 設(shè)備的以太網(wǎng)承載能力用于城域網(wǎng)組網(wǎng)。 3 本地傳送網(wǎng)比較薄弱，但具有光纖資源，可以采用 IP over 光纖方式組網(wǎng)。 IP over 光纖是指路由設(shè)備的 ATM 端口、 POS 端口、 GE 端口直接通過光纖直驅(qū)連接 ， 也可采用基于 的 RP