【文章內容簡介】 前IP網絡主要的QoS技術之一，本規(guī)范給出基于DiffServ的部署參考示例如下：－ 總體上，網絡接入邊緣路由器根據業(yè)務的QoS要求將業(yè)務映射到一個類別中，然后用IP包頭的DS字段加以標識。所有的網絡核心的路由器根據DS字段執(zhí)行預定義的服務策略，即根據DS字段將IP包放入不同隊列，對不同隊列定義不同的處理策略，實現(xiàn)不同類別IP包的不同的逐跳轉發(fā)行為(PHB)；－ 根據業(yè)務需要，定義服務等級；－ 在網絡接入邊緣，主要采用業(yè)務分類與標記(例如基于IP五元組、ACL等)、速率限制(例如CAR、GTS等)等技術；－ 在網絡核心，主要采用隊列調度(例如PQ/WFQ/CBWFQ/MDRR、LLS/NLS/PBS等)、擁塞控制(例如RED/WRED等)等技術。： IP QoS技術部署示例服務等級PHB調度方式擁塞控制業(yè)務7最高優(yōu)先LLS無網絡設備間協(xié)議通信6EFLLS無實時語音業(yè)務5EFLLS無實時視頻業(yè)務4AF4NLSWRED大客戶金牌數(shù)據業(yè)務3預留－－－2AF2NLSWRED大客戶銀牌數(shù)據業(yè)務1AF1NLSWRED大客戶銅牌數(shù)據業(yè)務0BEFIFOWRED一般公眾互聯(lián)網業(yè)務10 網絡管理 網管體系結構 寬帶IP城域網可以設置單獨的專業(yè)網管系統(tǒng)。寬帶IP城域網也可采用全省集中管理的方式，各城域網內只設置操作維護中心。 網管系統(tǒng)與被管設備之間的網管信息通道一般可采用帶內方式，也可采用帶內帶外相結合的方式。 寬帶IP城域網的網管系統(tǒng)可通過特定的接口與綜合網管系統(tǒng)實現(xiàn)連接，以實現(xiàn)綜合的資源、故障、性能等管理功能。 網管接口 網管接口協(xié)議：1 網管系統(tǒng)與被管設備之間采用基于SNMP的接口。2 網管系統(tǒng)和省網管中心之間采用SNMP或基于XML的WebServices接口。 網管接口信息模型：寬帶IP城域網中采用的網絡設備必須支持通用的公有信息模型，同時也允許提供針對自身產品特色的私有信息模型。 網管接口功能：網管接口的功能要求主要包括故障管理、計費管理、配置管理、性能管理和安全管理。寬帶IP城域網中采用的網絡設備必須支持網管接口功能要求，要求提供實時的告警信息、準實時的性能信息和動態(tài)的資源配置信息，以及提供計費和安全信息。 網管功能 資源管理：實現(xiàn)設備管理、電路管理、路徑管理、IP地址管理、AS管理、軟件版本管理、資源報表統(tǒng)計、資源預警等功能。 拓撲管理：實現(xiàn)拓撲管理功能。拓撲管理既要有C/S的界面也要能夠通過B/S訪問。根據不同的視角和不同的側重層次，拓撲圖可以有不同的視圖；實現(xiàn)拓撲自動發(fā)現(xiàn)、監(jiān)視與瀏覽；實現(xiàn)基于拓撲的流量顯示、資源顯示、故障顯示。 故障管理：應能提供列表形式的告警監(jiān)視窗口，網管人員可以在視圖上監(jiān)視到網元的實時告警，對相關告警操作或啟動相關網元的告警歷史信息查詢?yōu)g覽功能；應具備聲、光、電的告警功能；支持告警過濾、告警轉發(fā)、告警確認和告警升級、告警清除；支持一定的故障關聯(lián)分析。 性能監(jiān)測與分析：應提供及時有效的手段對網絡性能進行監(jiān)測，可以從網元、路由信息、端到端路徑、網絡應用等不同層次、不同方面，對網絡的性能進行分析。通過性能數(shù)據的波動，及時發(fā)現(xiàn)故障，并進行前期預警。 流量采集與分析：通過采集網絡的鏈路層流量和業(yè)務流量，實現(xiàn)對各個網絡層次的電路負載和電路擁塞的分析，對網絡流量流向及網絡業(yè)務類型分布進行分析。 路由管理：對網絡中的路由實體進行監(jiān)測，對網絡路由信息及其變化情況進行分析。 QoS管理：在網絡提供QoS時，應提供面向網絡的QoS的管理功能，主要包括網絡層QoS參數(shù)配置、基于QoS的性能監(jiān)測、基于QoS的流量分析等功能。 前端信息服務管理：應提供面向前端、面向業(yè)務、面向客戶的功能，支持以WEB形式發(fā)布各種與前端、與業(yè)務的相關的統(tǒng)計信息。 報表統(tǒng)計：實現(xiàn)對網絡的業(yè)務、資源、故障以及性能等信息進行統(tǒng)計發(fā)布，為網管使用人員提供多種形式的報告和圖表。 安全管理功能宜由專門的SMC實現(xiàn)，具體內容見第11章。 VPN管理: VPN用戶可以擁有自己的網管設備和網管機構，由網管系統(tǒng)配置權限，實現(xiàn)VPN用戶自助管理。用戶VPN網管應具備以下功能：收集VPN內部的網管信息，如：拓撲結構、鏈路狀態(tài)、流量和流向、網絡資源的占用情況等；性能監(jiān)視；相關信息的配置，如內部業(yè)務配置等；同時還應提供VPN的內部計費管理、安全管理等。用戶管理終端上只顯示本用戶虛擬專網的網絡情況，在網絡運行者授權的情況下，可實現(xiàn)用戶對本虛擬專網的實時操作。網管系統(tǒng)支持VPN業(yè)務數(shù)據的生成，特別是VPN用戶數(shù)據的生成，能夠靈活地添加、刪除虛擬專用網的用戶站點，靈活地修改用戶的接入權限，服務級別等。11 網絡安全 安全目標與框架，實現(xiàn)網絡運行安全和業(yè)務安全，即保證各類網元設備的正常運行，保證信息在網絡上的安全存儲傳輸，保障網絡的運營維護管理安全。 網絡安全框架由防護、檢測與評估、響應閉環(huán)構成。防護部分即基本的安全技術和安全措施，是整個網絡安全的基礎；檢測與評估部分對全網進行實時監(jiān)控，定期對全網進行安全掃描和風險評估，并將結果傳給響應系統(tǒng)；響應部分根據檢測和評估結果，調整安全策略、產生安全告警、修補安全漏洞、進行安全加固等。防護部分、檢測與評估部分的實現(xiàn)主要依賴于安全技術的部署。響應部分的實現(xiàn)構成安全管理的技術手段。 寬帶IP城域網安全通常包括兩個方面：技術要求和管理要求。在技術方面上，網絡安全由以下幾個方面組成：物理安全，網絡安全和信息安全。 安全管理，信息安全部門應該根據管理原則和該系統(tǒng)處理數(shù)據的保密性，制定相應的管理制度或采取相應的規(guī)范。：密碼長度、修改日期及不同平臺、不同機構需要的不同安全設置；每條信息那些人可以訪問；每個人在向其它人散布信息時所必須遵守的規(guī)則；違反規(guī)定的情況如何處理等。 安全技術部署 物理安全：保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤以及各種計算機犯罪行為導致的破壞過程。它包括三個方面的內容：1環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護，應符合GB5017393《電子計算機機房設計規(guī)范》、GB288789《計算機站場地要求》、GB936188《計算機站場地安全要求》等地要求；2設備安全：網絡設備如計算機以及電纜、網橋和路由器等的防盜、防毀、防電磁輻射泄露、防止線路截獲、抗電磁干擾及電源保護等。保護的措施有：對主機房及重要信息存貯、收發(fā)部門進行屏蔽處理；對本地網、局域網傳輸線路傳導輻射的抑制；對診斷設備的輻射進行防范。3媒體安全：包括媒體數(shù)據的安全及媒體本身的安全?？梢圆捎枚鄼C數(shù)據備份等技術加以保護。 網絡安全： 網絡安全把需要保護的網絡用防火墻從開放因特網中隔離開來，實現(xiàn)內部信任網與外部不可信任網之間或是內部網不同網絡之間安全區(qū)域的隔離與訪問控制，保證網絡系統(tǒng)及網絡服務的可用性。1 內外網隔離及訪問控制：在內外部網絡之間設置防火墻，實現(xiàn)內部網絡的訪問控制。根據防范的方式和側重點的不同，可以選擇分組過濾或應用代理等不同類型的防火墻。2內部網不同安全域的隔離及訪問控制：采用防火墻技術實現(xiàn)內部網不同安全域的隔離及訪問控制。3網絡安全檢測：安裝網絡安全評估分析軟件。利用此類軟件掃描分析網絡系統(tǒng)，及時發(fā)現(xiàn)并修正存在的弱點和漏洞。4審計與監(jiān)控：安裝網絡安全評估分析軟件。利用此類軟件對用戶使用計算機網絡系統(tǒng)的進行記錄的過程，以便發(fā)現(xiàn)和預防可能的破壞活動。5全網安全遠程掃描和評估：在核心節(jié)點和網絡管理中心安裝網絡安全掃描器，對整個網絡進行安全掃描。6網絡備份系統(tǒng)：設計合理的備份機制，以便在出現(xiàn)問題時能夠及時恢復。例如在設計網絡拓撲時，任一節(jié)點與網絡其它之間應該至少有兩條物理連接，以供迂回路由；關鍵網絡設備都必須有備用的。 信息安全：在網絡實施過程中，應盡量利用各種手段來保障信息的安全搜索、存放和共享。最基本的原則是各級領導首先制定出相應的安全規(guī)范和政策。信息安全包括信息傳輸?shù)陌踩⑿畔⒋尜A的安全以及對網絡傳輸信息內容的審計三個方面。1鑒別：利用口令機制、智能卡或個體特征鑒別技術，對通信各方的身份進行鑒定。2數(shù)據傳輸加密技術：利用密碼技術，對傳輸中的數(shù)據流進行加密，防止竊聽、泄露、篡改和破壞。加密可以在不同的層次上進行：鏈路加密，節(jié)點加密和端到端的加密(比如傳輸前對文件進行加密)。3數(shù)據存貯安全：對保存在用戶終端中進行安全保護，防止關鍵數(shù)據被竊取。選擇使用安全數(shù)據庫系統(tǒng)，以及基于口令/密碼算法的身份驗證。4信息內容審計：安裝信息內容審計軟件，對進出網絡的信息內容進行審計，以防止或追查可能的泄密行為。5口令管理：目前發(fā)現(xiàn)的漏洞，大多是由于口令管理不嚴，使得黑客可以乘虛而入。因此口令的有效管理是非常基本的，也是非常重要的。6用戶帳號管理：在為用戶建立帳號時，應注意保證每個用戶的ID的唯一性，避免使用公用帳號；對于過期的帳號要及時封閉；對于長期不用的帳號要定期檢查，必要時封閉。7加強信息服務器的安全措施：必須注意服務器本身的安全設施，隨時更新版本。8系統(tǒng)的高可用性和備份措施：利用冗余技術，通過系統(tǒng)中硬件、軟件、數(shù)據的冗余，實現(xiàn)當系統(tǒng)中的某一個環(huán)節(jié)(硬件、軟件、數(shù)據)出現(xiàn)故障時，使用冗余部件提供服務。12 傳送技術 寬帶IP城域的傳送技術主要有SDH、WDM、多業(yè)務傳送節(jié)點技術、光纖直連、LMDS、。 寬帶IP城域網核心節(jié)點間傳輸可以通過SDH或城域WDM連接，以確保網絡的可擴展性；在網絡建設初期規(guī)模較小時，核心節(jié)點也可通過內置的光傳輸接口直驅光纖互聯(lián)或采用MSTP技術。 匯聚層傳送技術在大中城市建議采用POS( SDH鏈路)或者千兆以太網(光纖直連)或者多業(yè)務傳輸平臺技術。具體