【文章內容簡介】 20ms(暫定值，從接入節(jié)點至 IP 城域網(wǎng)出口，包括傳輸延遲和設備延遲 )； － 抖動：≤ 20ms(暫定值 )； － 包丟失率：≤ 1％ (暫定值 )； － 可用性：≥ ％ (暫定值 )。 9 服務質量 服務質量 (QoS)是指 IP 網(wǎng)絡的一種能力 ，可為特定的業(yè)務提供其所需要的服務。通過有效地實施各項 IP QoS 技術，使得運營商能夠有效地控制網(wǎng)絡資源及其使用，在單一網(wǎng)絡平臺上融合語音、視頻及數(shù)據(jù)等多種業(yè)務，能夠在現(xiàn)有網(wǎng)絡上細分客戶、針對不同的客戶需求提供特色的差別業(yè)務。 寬帶 IP城域網(wǎng)應在仔細規(guī)劃估算所承載的各種業(yè)務的平均速率和峰值速率的基礎上，合理設計鏈路帶寬。在不采用各種 QoS 技術的情況下，網(wǎng)絡可采用輕載方式提高服務質量： － 在采用主備疏通方式的流量規(guī)劃方式下，中繼電路的帶寬利用率宜設計在 50％～ 70％區(qū)間內； － 在采用分擔疏通方 式的流量規(guī)劃方式下，中繼電路的帶寬利用率宜設計在 40％～ 50％區(qū)間內。 根據(jù)業(yè)務需求，寬帶 IP 城域網(wǎng)可積極采用以下各種 IP QoS 技術： 1 基于 RSVP 的 IntServ 方案是一種端到端基于流的 QoS 技術。目前粒度為單個流的資源預留的解決思路在互聯(lián)網(wǎng)上擴展性無法保證。不建議采用。 2 基于 DSCP 的 DiffServ 方案是一種基于類的 QoS 技術。通過將業(yè)務定義為有限的類，可以較好地解決擴展性問題，建議主要采用。 3 MPLS 可以與 DiffServ 結合，提供 MPLS CoS。 MPLS 與 DiffServ 的結合可以將 DS 字節(jié)的設置融入 MPLS 的標記分配過程中，使得 MPLS 標記具備區(qū)分分組服務質量的能力。包括ELSP 方案和 LLSP 方案。目前可主要采用 ELSP 方案。 4 MPLS TE 是一種間接改善網(wǎng)絡 QoS 的技術。 MPLS TE 利用了 LSP 支持顯示路由的能力，在網(wǎng)絡資源有限的前提下，將網(wǎng)絡流量合理引導，間接改善網(wǎng)絡服務質量。 MPLS DiffServAware TE 在 MPLS TE 的基礎上，增加了基于類別的資源管理，充分利用了 DiffServ的可擴展性以及 MPLS 的顯示路由能力，是解決 IP QoS 的較好技術之一。 考慮到 IP QoS 現(xiàn)實技術成熟程度的限制和大規(guī)模運用經(jīng)驗的缺乏， IP QoS 的引入實施及完善將是長期的過程。寬帶 IP 城域網(wǎng)的工程設計應隨時注意新技術的發(fā)展和可能的實際應用。 IP 網(wǎng)絡中 QoS 的技術部署主要包括資源控制、資源隔離和資源調度等各種技術及策略的運用。鑒于 DiffServ 是目前 IP 網(wǎng)絡主要的 QoS 技術之一，本規(guī)范給出基于 DiffServ 的部署參考示例如下： － 總體上，網(wǎng)絡接入邊緣路由器根據(jù)業(yè)務的 QoS 要求將業(yè)務映射到一個類別中，然后用 IP 包頭的 DS 字段加以標識。所有 的網(wǎng)絡核心的路由器根據(jù) DS 字段執(zhí)行預定義的服務策略，即根據(jù) DS 字段將 IP 包放入不同隊列，對不同隊列定義不同的處理策略，實現(xiàn)不同類別IP 包的不同的逐跳轉發(fā)行為 (PHB)； － 根據(jù)業(yè)務需要，定義服務等級； － 在網(wǎng)絡接入邊緣，主要采用業(yè)務分類與標記 (例如基于 IP 五元組、 ACL 等 )、速率限 制 (例如 CAR、 GTS 等 )等技術； － 在網(wǎng)絡核心，主要采用隊列調度 (例如 PQ/WFQ/CBWFQ/MDRR、 LLS/NLS/PBS 等 )、擁塞控制 (例如 RED/WRED 等 )等技術。 如下表 所示： 表 IP QoS 技術部署示例 服務等級 PHB 調度方式 擁塞控制 業(yè)務 7 最高優(yōu)先 LLS 無 網(wǎng)絡設備間協(xié)議通信 6 EF LLS 無 實時語音業(yè)務 5 EF LLS 無 實時視頻業(yè)務 4 AF4 NLS WRED 大客戶金牌數(shù)據(jù)業(yè)務 3 預留 － － － 2 AF2 NLS WRED 大客戶銀牌數(shù)據(jù)業(yè)務 1 AF1 NLS WRED 大客戶銅牌數(shù)據(jù)業(yè)務 0 BE FIFO WRED 一般公眾互聯(lián)網(wǎng)業(yè)務 10 網(wǎng)絡管理 網(wǎng)管體系結構 寬帶 IP 城域網(wǎng)可以設置單獨的專業(yè)網(wǎng)管系統(tǒng)。寬帶 IP 城域網(wǎng)也可采用全省集中管理的方式，各城域網(wǎng)內只設置操作維護中心。 網(wǎng)管系統(tǒng)與被管設備之間的網(wǎng)管信息通道一般可采用帶內方式，也可采用帶內帶外相結合的方式。 寬帶 IP 城域網(wǎng)的網(wǎng)管系統(tǒng)可通過特定的接口與綜合網(wǎng)管系統(tǒng)實現(xiàn)連接，以實現(xiàn)綜合的資源、故障、性能等管理功能。 網(wǎng)管接口 網(wǎng)管接口協(xié)議： 1 網(wǎng)管系統(tǒng)與被管設備之間采用基于 SNMP 的接口。 2 網(wǎng)管系統(tǒng)和省網(wǎng)管中心之間采用 SNMP 或基于 XML 的 WebServices 接口。 網(wǎng)管接口信息模型：寬帶 IP城域網(wǎng)中采用的網(wǎng)絡設備必須支持通用的公有信息模型，同時也允許提供針對自身產(chǎn)品特色的私有信息模型。 網(wǎng)管接口功能：網(wǎng)管接口的功能要求主要包括故障管理、計費管理、配置管理、性能管理和安全管理。寬帶 IP 城域網(wǎng)中采用的網(wǎng)絡設備必須支持網(wǎng)管接口功能要求，要求提供實時的告警信息、準實時的性能信息和動態(tài)的資源配置信息，以及提供計費和安全信息。 網(wǎng)管功能 資源管理：實現(xiàn)設備管理、電路管理、路徑管理、 IP 地址管理、 AS 管理、軟件版本管理、資源報表統(tǒng)計、資源預警等功能。 拓撲管理：實現(xiàn)拓撲管理功能。拓撲管理既要有 C/S 的界面也要能夠通過 B/S 訪問。根據(jù)不同的視角和不同的側重層次，拓撲圖可以有不同的視圖；實現(xiàn)拓撲自動發(fā)現(xiàn)、監(jiān)視與瀏覽；實現(xiàn)基于拓撲的流量顯示、資源顯示、故障顯示。 故障管理：應能提供列表形式的告警監(jiān)視窗口，網(wǎng)管人員可以在視圖上監(jiān)視到網(wǎng)元的實時告警，對相關告警操作或啟動相關網(wǎng)元的告警歷史信息查詢?yōu)g覽功能；應具備聲、光、電的告警功能；支持告警過濾、告警轉發(fā)、告警確認和告警升級、告警清除；支持一定的故障 關聯(lián)分析。 性能監(jiān)測與分析：應提供及時有效的手段對網(wǎng)絡性能進行監(jiān)測，可以從網(wǎng)元、路由 信息、端到端路徑、網(wǎng)絡應用等不同層次、不同方面，對網(wǎng)絡的性能進行分析。通過性能數(shù)據(jù)的波動，及時發(fā)現(xiàn)故障，并進行前期預警。 流量采集與分析：通過采集網(wǎng)絡的鏈路層流量和業(yè)務流量，實現(xiàn)對各個網(wǎng)絡層次的電路負載和電路擁塞的分析，對網(wǎng)絡流量流向及網(wǎng)絡業(yè)務類型分布進行分析。 路由管理：對網(wǎng)絡中的路由實體進行監(jiān)測，對網(wǎng)絡路由信息及其變化情況進行分析。 QoS 管理：在網(wǎng)絡提供 QoS 時， 應提供面向網(wǎng)絡的 QoS 的管理功能，主要包括網(wǎng)絡層QoS 參數(shù)配置、基于 QoS 的性能監(jiān)測、基于 QoS 的流量分析等功能。 前端信息服務管理：應提供面向前端、面向業(yè)務、面向客戶的功能，支持以 WEB 形式發(fā)布各種與前端、與業(yè)務的相關的統(tǒng)計信息。 報表統(tǒng)計：實現(xiàn)對網(wǎng)絡的業(yè)務、資源、故障以及性能等信息進行統(tǒng)計發(fā)布，為網(wǎng)管使用人員提供多種形式的報告和圖表。 安全管理功能宜由專門的 SMC 實現(xiàn)，具體內容見第 11 章。 VPN 管理 : VPN 用戶可以擁有自己的網(wǎng)管設備和網(wǎng)管機 構，由網(wǎng)管系統(tǒng)配置權限，實現(xiàn) VPN 用戶自助管理。用戶 VPN 網(wǎng)管應具備以下功能：收集 VPN 內部的網(wǎng)管信息，如：拓撲結構、鏈路狀態(tài)、流量和流向、網(wǎng)絡資源的占用情況等；性能監(jiān)視；相關信息的配置，如內部業(yè)務配置等；同時還應提供 VPN 的內部計費管理、安全管理等。用戶管理終端上只顯示本用戶虛擬專網(wǎng)的網(wǎng)絡情況，在網(wǎng)絡運行者授權的情況下，可實現(xiàn)用戶對本虛擬專網(wǎng)的實時操作。網(wǎng)管系統(tǒng)支持 VPN 業(yè)務數(shù)據(jù)的生成，特別是 VPN 用戶數(shù)據(jù)的生成，能夠靈活地添加、刪除虛擬專用網(wǎng)的用戶站點，靈活地修改用戶的接入權限，服務級別等。 11 網(wǎng)絡安全 安全目標與框架 寬帶 IP 城域網(wǎng)的網(wǎng)絡與信息安全目標是在合理的安全成本基礎上，實現(xiàn)網(wǎng)絡運行安全和業(yè)務安全，即保證各類網(wǎng)元設備的正常運行，保證信息在網(wǎng)絡上的安全存儲傳輸，保障網(wǎng)絡的運營維護管理安全。 網(wǎng)絡安全框架由防護、檢測與評估、響應閉環(huán)構成。防護部分即基本的安全技術和安全措施，是整個網(wǎng)絡安全的基礎；檢測與評估部分對全網(wǎng)進行實時監(jiān)控，定期對全網(wǎng)進行安全掃描和風險評估，并將結果傳給響應系統(tǒng)；響應部分根據(jù)檢測和評估結果，調整安全策略、產(chǎn)生安全告警、修補安全漏洞、進行 安全加固等。 防護部分、檢測與評估部分的實現(xiàn)主要依賴于安全技術的部署。 響應部分的實現(xiàn)構成安全管理的技術手段。 寬帶 IP 城域網(wǎng)安全通常包括兩個方面：技術要求和管理要求。在技術方面上，網(wǎng)絡安全由以下幾個方面組成：物理安全，網(wǎng)絡安全和信息安全。 安全管理 為了保護網(wǎng)絡的安全性，信息安全部門應該根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制定相應的管理制度或采取相應的規(guī)范。 安全管理規(guī)范包括：密碼長度、修改日期及不同平臺、不同機構需要的不同安全設置；每條信息那些人可以訪問；每個人在向其它人散布信息時所必須遵守的規(guī)則；違反規(guī)定的情況如何處理等。 安全技術部署 物理安全：保護計算機網(wǎng)絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤以及各種計算機犯罪行為導致的破壞過程。它包括三個方面的內容： 1 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護，應符合 GB5017393《電子計算機機房設計規(guī)范》、 GB288789《計算機站場地要求》、 GB936188《計算機站場地安全要求》等地要求； 2 設備安全：網(wǎng)絡設備如計算機以及電纜、網(wǎng)橋和路由器等的防盜、防毀、防電磁輻射泄露、防止線路截獲、抗電磁干擾及電源保護等。保護的措施有：對主機房及重要信息存貯、 收發(fā)部門進行屏蔽處理；對本地網(wǎng)、局域網(wǎng)傳輸線路傳導輻射的抑制；對診斷設備的輻射進行防范。 3 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全?？梢圆捎枚鄼C數(shù)據(jù)備份等技術加以保護。 網(wǎng)絡安全： 網(wǎng)絡安全把需要保護的網(wǎng)絡用防火墻從開放因特網(wǎng)中隔離開來，實現(xiàn)內部信任網(wǎng)與 外部不可信任網(wǎng)之間或是內部網(wǎng)不同網(wǎng)絡之間安全區(qū)域的隔離與訪問控制，保證網(wǎng)絡系統(tǒng)及網(wǎng)絡服務的可用性。 1 內外網(wǎng)隔離及訪問控制：在內外部網(wǎng)絡之間設置防火墻，實現(xiàn)內部網(wǎng)絡的訪問控制。根據(jù)防范的方式和側重點的不同，可以選擇分組過濾或應用代理等不同類型的防火墻。 2 內部網(wǎng)不同安全域的隔離及訪問控制：采用防火墻技術實現(xiàn)內部網(wǎng)不同安全域的隔離及訪問控制。 3 網(wǎng)絡安全檢測：安裝網(wǎng)絡安全評估分析軟件。利用此類軟件掃描分析網(wǎng)絡系統(tǒng)，及時發(fā)現(xiàn)并修正存在的弱點和漏洞。 4 審計與監(jiān)控：安裝網(wǎng)絡安全評估分析軟件。利用此類軟件對用戶使 用計算機網(wǎng)絡系統(tǒng)的進行記錄的過程，以便發(fā)現(xiàn)和預防可能的破壞活動。 5 全網(wǎng)安全遠程掃描和評估：在核心節(jié)點和網(wǎng)絡管理中心安裝網(wǎng)絡安全掃描器，對整個網(wǎng)絡進行安全掃描。 6 網(wǎng)絡備份系統(tǒng)：設計合理的備份機制，以便在出現(xiàn)問題時能夠及時恢復。例如在設計網(wǎng)絡拓撲時，任一節(jié)點與網(wǎng)絡其它之間應該至少有兩條物理連接，以供迂回路由；關鍵網(wǎng)絡設備都必須有備用的。 信息安全：在網(wǎng)絡實施過程中，應盡量利用各種手段來保障信息的安全搜索、存放和共享。最基本的原則是各級領導首先制定出相應的安全規(guī)范和政策。信息安全包括信息傳輸?shù)陌?全、信息存貯的安全以及對網(wǎng)絡傳輸信息內容的審計三個方面。 1 鑒別：利用口令機制、智能卡或個體特征鑒別技術，對通信各方的身份進行鑒定。 2 數(shù)據(jù)傳輸加密技術：利用密碼技術，對傳輸中的數(shù)據(jù)流進行加密，防止竊聽、泄