【文章內容簡介】 前IP網(wǎng)絡主要的QoS技術之一，本規(guī)范給出基于DiffServ的部署參考示例如下：－ 總體上，網(wǎng)絡接入邊緣路由器根據(jù)業(yè)務的QoS要求將業(yè)務映射到一個類別中，然后用IP包頭的DS字段加以標識。所有的網(wǎng)絡核心的路由器根據(jù)DS字段執(zhí)行預定義的服務策略，即根據(jù)DS字段將IP包放入不同隊列，對不同隊列定義不同的處理策略，實現(xiàn)不同類別IP包的不同的逐跳轉發(fā)行為(PHB)；－ 根據(jù)業(yè)務需要，定義服務等級；－ 在網(wǎng)絡接入邊緣，主要采用業(yè)務分類與標記(例如基于IP五元組、ACL等)、速率限制(例如CAR、GTS等)等技術；－ 在網(wǎng)絡核心，主要采用隊列調度(例如PQ/WFQ/CBWFQ/MDRR、LLS/NLS/PBS等)、擁塞控制(例如RED/WRED等)等技術。： IP QoS技術部署示例服務等級PHB調度方式擁塞控制業(yè)務7最高優(yōu)先LLS無網(wǎng)絡設備間協(xié)議通信6EFLLS無實時語音業(yè)務5EFLLS無實時視頻業(yè)務4AF4NLSWRED大客戶金牌數(shù)據(jù)業(yè)務3預留－－－2AF2NLSWRED大客戶銀牌數(shù)據(jù)業(yè)務1AF1NLSWRED大客戶銅牌數(shù)據(jù)業(yè)務0BEFIFOWRED一般公眾互聯(lián)網(wǎng)業(yè)務10 網(wǎng)絡管理 網(wǎng)管體系結構 寬帶IP城域網(wǎng)可以設置單獨的專業(yè)網(wǎng)管系統(tǒng)。寬帶IP城域網(wǎng)也可采用全省集中管理的方式，各城域網(wǎng)內只設置操作維護中心。 網(wǎng)管系統(tǒng)與被管設備之間的網(wǎng)管信息通道一般可采用帶內方式，也可采用帶內帶外相結合的方式。 寬帶IP城域網(wǎng)的網(wǎng)管系統(tǒng)可通過特定的接口與綜合網(wǎng)管系統(tǒng)實現(xiàn)連接，以實現(xiàn)綜合的資源、故障、性能等管理功能。 網(wǎng)管接口 網(wǎng)管接口協(xié)議：1 網(wǎng)管系統(tǒng)與被管設備之間采用基于SNMP的接口。2 網(wǎng)管系統(tǒng)和省網(wǎng)管中心之間采用SNMP或基于XML的WebServices接口。 網(wǎng)管接口信息模型：寬帶IP城域網(wǎng)中采用的網(wǎng)絡設備必須支持通用的公有信息模型，同時也允許提供針對自身產(chǎn)品特色的私有信息模型。 網(wǎng)管接口功能：網(wǎng)管接口的功能要求主要包括故障管理、計費管理、配置管理、性能管理和安全管理。寬帶IP城域網(wǎng)中采用的網(wǎng)絡設備必須支持網(wǎng)管接口功能要求，要求提供實時的告警信息、準實時的性能信息和動態(tài)的資源配置信息，以及提供計費和安全信息。 網(wǎng)管功能 資源管理：實現(xiàn)設備管理、電路管理、路徑管理、IP地址管理、AS管理、軟件版本管理、資源報表統(tǒng)計、資源預警等功能。 拓撲管理：實現(xiàn)拓撲管理功能。拓撲管理既要有C/S的界面也要能夠通過B/S訪問。根據(jù)不同的視角和不同的側重層次，拓撲圖可以有不同的視圖；實現(xiàn)拓撲自動發(fā)現(xiàn)、監(jiān)視與瀏覽；實現(xiàn)基于拓撲的流量顯示、資源顯示、故障顯示。 故障管理：應能提供列表形式的告警監(jiān)視窗口，網(wǎng)管人員可以在視圖上監(jiān)視到網(wǎng)元的實時告警，對相關告警操作或啟動相關網(wǎng)元的告警歷史信息查詢?yōu)g覽功能；應具備聲、光、電的告警功能；支持告警過濾、告警轉發(fā)、告警確認和告警升級、告警清除；支持一定的故障關聯(lián)分析。 性能監(jiān)測與分析：應提供及時有效的手段對網(wǎng)絡性能進行監(jiān)測，可以從網(wǎng)元、路由信息、端到端路徑、網(wǎng)絡應用等不同層次、不同方面，對網(wǎng)絡的性能進行分析。通過性能數(shù)據(jù)的波動，及時發(fā)現(xiàn)故障，并進行前期預警。 流量采集與分析：通過采集網(wǎng)絡的鏈路層流量和業(yè)務流量，實現(xiàn)對各個網(wǎng)絡層次的電路負載和電路擁塞的分析，對網(wǎng)絡流量流向及網(wǎng)絡業(yè)務類型分布進行分析。 路由管理：對網(wǎng)絡中的路由實體進行監(jiān)測，對網(wǎng)絡路由信息及其變化情況進行分析。 QoS管理：在網(wǎng)絡提供QoS時，應提供面向網(wǎng)絡的QoS的管理功能，主要包括網(wǎng)絡層QoS參數(shù)配置、基于QoS的性能監(jiān)測、基于QoS的流量分析等功能。 前端信息服務管理：應提供面向前端、面向業(yè)務、面向客戶的功能，支持以WEB形式發(fā)布各種與前端、與業(yè)務的相關的統(tǒng)計信息。 報表統(tǒng)計：實現(xiàn)對網(wǎng)絡的業(yè)務、資源、故障以及性能等信息進行統(tǒng)計發(fā)布，為網(wǎng)管使用人員提供多種形式的報告和圖表。 安全管理功能宜由專門的SMC實現(xiàn)，具體內容見第11章。 VPN管理: VPN用戶可以擁有自己的網(wǎng)管設備和網(wǎng)管機構，由網(wǎng)管系統(tǒng)配置權限，實現(xiàn)VPN用戶自助管理。用戶VPN網(wǎng)管應具備以下功能：收集VPN內部的網(wǎng)管信息，如：拓撲結構、鏈路狀態(tài)、流量和流向、網(wǎng)絡資源的占用情況等；性能監(jiān)視；相關信息的配置，如內部業(yè)務配置等；同時還應提供VPN的內部計費管理、安全管理等。用戶管理終端上只顯示本用戶虛擬專網(wǎng)的網(wǎng)絡情況，在網(wǎng)絡運行者授權的情況下，可實現(xiàn)用戶對本虛擬專網(wǎng)的實時操作。網(wǎng)管系統(tǒng)支持VPN業(yè)務數(shù)據(jù)的生成，特別是VPN用戶數(shù)據(jù)的生成，能夠靈活地添加、刪除虛擬專用網(wǎng)的用戶站點，靈活地修改用戶的接入權限，服務級別等。11 網(wǎng)絡安全 安全目標與框架，實現(xiàn)網(wǎng)絡運行安全和業(yè)務安全，即保證各類網(wǎng)元設備的正常運行，保證信息在網(wǎng)絡上的安全存儲傳輸，保障網(wǎng)絡的運營維護管理安全。 網(wǎng)絡安全框架由防護、檢測與評估、響應閉環(huán)構成。防護部分即基本的安全技術和安全措施，是整個網(wǎng)絡安全的基礎；檢測與評估部分對全網(wǎng)進行實時監(jiān)控，定期對全網(wǎng)進行安全掃描和風險評估，并將結果傳給響應系統(tǒng)；響應部分根據(jù)檢測和評估結果，調整安全策略、產(chǎn)生安全告警、修補安全漏洞、進行安全加固等。防護部分、檢測與評估部分的實現(xiàn)主要依賴于安全技術的部署。響應部分的實現(xiàn)構成安全管理的技術手段。 寬帶IP城域網(wǎng)安全通常包括兩個方面：技術要求和管理要求。在技術方面上，網(wǎng)絡安全由以下幾個方面組成：物理安全，網(wǎng)絡安全和信息安全。 安全管理，信息安全部門應該根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應的管理制度或采取相應的規(guī)范。：密碼長度、修改日期及不同平臺、不同機構需要的不同安全設置；每條信息那些人可以訪問；每個人在向其它人散布信息時所必須遵守的規(guī)則；違反規(guī)定的情況如何處理等。 安全技術部署 物理安全：保護計算機網(wǎng)絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤以及各種計算機犯罪行為導致的破壞過程。它包括三個方面的內容：1環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護，應符合GB5017393《電子計算機機房設計規(guī)范》、GB288789《計算機站場地要求》、GB936188《計算機站場地安全要求》等地要求；2設備安全：網(wǎng)絡設備如計算機以及電纜、網(wǎng)橋和路由器等的防盜、防毀、防電磁輻射泄露、防止線路截獲、抗電磁干擾及電源保護等。保護的措施有：對主機房及重要信息存貯、收發(fā)部門進行屏蔽處理；對本地網(wǎng)、局域網(wǎng)傳輸線路傳導輻射的抑制；對診斷設備的輻射進行防范。3媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全?？梢圆捎枚鄼C數(shù)據(jù)備份等技術加以保護。 網(wǎng)絡安全： 網(wǎng)絡安全把需要保護的網(wǎng)絡用防火墻從開放因特網(wǎng)中隔離開來，實現(xiàn)內部信任網(wǎng)與外部不可信任網(wǎng)之間或是內部網(wǎng)不同網(wǎng)絡之間安全區(qū)域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。1 內外網(wǎng)隔離及訪問控制：在內外部網(wǎng)絡之間設置防火墻，實現(xiàn)內部網(wǎng)絡的訪問控制。根據(jù)防范的方式和側重點的不同，可以選擇分組過濾或應用代理等不同類型的防火墻。2內部網(wǎng)不同安全域的隔離及訪問控制：采用防火墻技術實現(xiàn)內部網(wǎng)不同安全域的隔離及訪問控制。3網(wǎng)絡安全檢測：安裝網(wǎng)絡安全評估分析軟件。利用此類軟件掃描分析網(wǎng)絡系統(tǒng)，及時發(fā)現(xiàn)并修正存在的弱點和漏洞。4審計與監(jiān)控：安裝網(wǎng)絡安全評估分析軟件。利用此類軟件對用戶使用計算機網(wǎng)絡系統(tǒng)的進行記錄的過程，以便發(fā)現(xiàn)和預防可能的破壞活動。5全網(wǎng)安全遠程掃描和評估：在核心節(jié)點和網(wǎng)絡管理中心安裝網(wǎng)絡安全掃描器，對整個網(wǎng)絡進行安全掃描。6網(wǎng)絡備份系統(tǒng)：設計合理的備份機制，以便在出現(xiàn)問題時能夠及時恢復。例如在設計網(wǎng)絡拓撲時，任一節(jié)點與網(wǎng)絡其它之間應該至少有兩條物理連接，以供迂回路由；關鍵網(wǎng)絡設備都必須有備用的。 信息安全：在網(wǎng)絡實施過程中，應盡量利用各種手段來保障信息的安全搜索、存放和共享。最基本的原則是各級領導首先制定出相應的安全規(guī)范和政策。信息安全包括信息傳輸?shù)陌踩?、信息存貯的安全以及對網(wǎng)絡傳輸信息內容的審計三個方面。1鑒別：利用口令機制、智能卡或個體特征鑒別技術，對通信各方的身份進行鑒定。2數(shù)據(jù)傳輸加密技術：利用密碼技術，對傳輸中的數(shù)據(jù)流進行加密，防止竊聽、泄露、篡改和破壞。加密可以在不同的層次上進行：鏈路加密，節(jié)點加密和端到端的加密(比如傳輸前對文件進行加密)。3數(shù)據(jù)存貯安全：對保存在用戶終端中進行安全保護，防止關鍵數(shù)據(jù)被竊取。選擇使用安全數(shù)據(jù)庫系統(tǒng)，以及基于口令/密碼算法的身份驗證。4信息內容審計：安裝信息內容審計軟件，對進出網(wǎng)絡的信息內容進行審計，以防止或追查可能的泄密行為。5口令管理：目前發(fā)現(xiàn)的漏洞，大多是由于口令管理不嚴，使得黑客可以乘虛而入。因此口令的有效管理是非?；镜模彩欠浅Ｖ匾?。6用戶帳號管理：在為用戶建立帳號時，應注意保證每個用戶的ID的唯一性，避免使用公用帳號；對于過期的帳號要及時封閉；對于長期不用的帳號要定期檢查，必要時封閉。7加強信息服務器的安全措施：必須注意服務器本身的安全設施，隨時更新版本。8系統(tǒng)的高可用性和備份措施：利用冗余技術，通過系統(tǒng)中硬件、軟件、數(shù)據(jù)的冗余，實現(xiàn)當系統(tǒng)中的某一個環(huán)節(jié)(硬件、軟件、數(shù)據(jù))出現(xiàn)故障時，使用冗余部件提供服務。12 傳送技術 寬帶IP城域的傳送技術主要有SDH、WDM、多業(yè)務傳送節(jié)點技術、光纖直連、LMDS、。 寬帶IP城域網(wǎng)核心節(jié)點間傳輸可以通過SDH或城域WDM連接，以確保網(wǎng)絡的可擴展性；在網(wǎng)絡建設初期規(guī)模較小時，核心節(jié)點也可通過內置的光傳輸接口直驅光纖互聯(lián)或采用MSTP技術。 匯聚層傳送技術在大中城市建議采用POS( SDH鏈路)或者千兆以太網(wǎng)(光纖直連)或者多業(yè)務傳輸平臺技術。具體