【正文】 第259條 設(shè)備線卡基于NP芯片設(shè)計(jì)，數(shù)據(jù)處理優(yōu)先采用硬件來支持IP/MPLS 包轉(zhuǎn)發(fā)和所有相關(guān)業(yè)務(wù)、控制和安全功能；在所有接口都配置了2000條過濾規(guī)則的情況下，必須能夠以線速轉(zhuǎn)發(fā)IP/MPLS 數(shù)據(jù)包。第十二章 城域網(wǎng)USR設(shè)備要求 技術(shù)要求第257條 整機(jī)業(yè)務(wù)接口槽位不低于5個(gè)，系統(tǒng)交換容量不低于720Gbps，單插槽單向交換容量不低于10G，整機(jī)IP/MPLS包轉(zhuǎn)發(fā)能力不低于400Mpps，單插槽數(shù)據(jù)包轉(zhuǎn)發(fā)能力不低于15Mpps。10％，50Hz 177。 電源要求第255條 直流：48V ～ 60V。第253條 相對濕度：10％ ～ 90％（非凝露、非結(jié)霜）。第251條 支持網(wǎng)絡(luò)時(shí)間同步協(xié)議NTP。第249條 設(shè)備支持管理流量與用戶流量從物理或邏輯上分離。第247條 提供網(wǎng)絡(luò)QOS業(yè)務(wù)管理軟件，便于QOS業(yè)務(wù)的管理、監(jiān)控、及SLA報(bào)表生成。 網(wǎng)絡(luò)管理第245條 設(shè)備支持SNMP V1/V2/V3協(xié)議。第243條 支持HQoS（層次化QoS），以實(shí)現(xiàn)用戶+用戶業(yè)務(wù)精細(xì)化業(yè)務(wù)控制。第241條 業(yè)務(wù)板支持分布式VPN組播功能。第239條 設(shè)備支持MPLS TE和FRR功能，說明遵循的標(biāo)準(zhǔn)和草案。第237條 單臺設(shè)備支持至少4K個(gè)VRF，VRF路由表容量至少20萬條。第235條 MPLS信令標(biāo)準(zhǔn)支持LDP協(xié)議。第233條 單臺設(shè)備單向標(biāo)簽轉(zhuǎn)發(fā)表容量和處理能力大于1萬條。第232條 設(shè)備作為MPLS網(wǎng)中P路由器時(shí)，必須支持2000條以上LSP，作為MPLS網(wǎng)中PE路由器時(shí)，必須支持1000條以上LSP。第230條 支持DHCP Relay，提供DHCP 安全檢查能力。第229條 支持基于用戶定義的策略，提供靜態(tài)配置的策略路由能力。必須允許用戶通過策略規(guī)定任意一組靜態(tài)路由是否通過動態(tài)路由協(xié)議擴(kuò)散。應(yīng)允許對每一條靜態(tài)路由指定度量（metric）。第226條 支持IBGP/EBGP多路徑負(fù)載分擔(dān)，分擔(dān)誤差需在10%之內(nèi)。第224條 單臺設(shè)備要求BGP會話數(shù)量大于50個(gè)、路由表容量大于30萬條和最大Path容量150萬條。第222條 支持OSPF多進(jìn)程（需詳細(xì)說明支持的進(jìn)程數(shù)量）。第220條 必須支持Bidirectional Forwarding Detection（BFD）（ work in progress ），故障檢測時(shí)間滿足50ms要求，支持BFD for OSPF/ISIS（ work in progress ）。 單播路由協(xié)議及性能要求第218條 網(wǎng)絡(luò)域內(nèi)路由協(xié)議采用OSPF動態(tài)路由協(xié)議，同時(shí)要求設(shè)備支持RIPV1/VISIS動態(tài)路由協(xié)議。 業(yè)務(wù)接口要求第216條 業(yè)務(wù)板和接口子卡分離設(shè)計(jì)，接口板變化時(shí)，只需要更換接口子卡，最大限度保護(hù)用戶投資。第214條 路由器的丟包率（packet loss rate）：l 輕載條件下（端口吞吐量10%）IP 包丟包率為0；l 重載條件下（端口吞吐量80%）IP %。第212條 設(shè)備線卡基于NP芯片設(shè)計(jì)，數(shù)據(jù)處理優(yōu)先采用硬件來支持IP/MPLS 包轉(zhuǎn)發(fā)和所有相關(guān)業(yè)務(wù)、控制和安全功能；在所有接口都配置了2000條過濾規(guī)則的情況下，必須能夠以線速轉(zhuǎn)發(fā)IP/MPLS 數(shù)據(jù)包。城域網(wǎng)骨干接入路由器采用同樣體系架構(gòu)的設(shè)備。城域網(wǎng)骨干接入路由器負(fù)責(zé)市州本地城域網(wǎng)（含所屬縣市網(wǎng)絡(luò)）的網(wǎng)絡(luò)業(yè)務(wù)接入，同時(shí)承擔(dān)本地城域網(wǎng)的核心路由器功能，安裝在市州網(wǎng)絡(luò)公司中心機(jī)房（總前端機(jī)房）。機(jī)房必須維護(hù)機(jī)房物理訪問授權(quán)情況的列表，機(jī)房管理者必須至少每6個(gè)月驗(yàn)證一次訪問權(quán)限人員列表。非機(jī)房工作人員進(jìn)出機(jī)房必須登記姓名、工作單位、進(jìn)（出）入時(shí)間、事由、陪同人等信息。機(jī)房內(nèi)部不允許撥號上網(wǎng)或其他對外網(wǎng)絡(luò)連接方式，如藍(lán)牙和無線連接。第208條 機(jī)房的安全管理。對于數(shù)據(jù)配置，由于更新得比較頻繁，定期（每半個(gè)月）更新。以備不時(shí)之需。第207條 在設(shè)備外保存設(shè)備當(dāng)前運(yùn)行的版本、數(shù)據(jù)配置、日志信息。對于每一次網(wǎng)絡(luò)的異常都進(jìn)行詳細(xì)的記錄，包括故障的發(fā)生時(shí)間，故障的現(xiàn)象，故障發(fā)生的原因，故障的恢復(fù)時(shí)間，恢復(fù)方法等，以便于日后進(jìn)行分析總結(jié)。對于每一次的對設(shè)備的硬件、軟件、數(shù)據(jù)配置的操作，都由相關(guān)的授權(quán)人員進(jìn)行授權(quán)，之后在嚴(yán)格按照申請的項(xiàng)目進(jìn)行操作，并都進(jìn)行記錄，以便在日后進(jìn)行查閱。定期（每月一次）檢查各個(gè)口令的授權(quán)人員，在掌握登錄口令的人員發(fā)生工作調(diào)動的時(shí)候，及時(shí)修改設(shè)備登錄口令。第204條 不同的人員掌握不同等級的登錄口令。對于管理級和配置級口令，每2個(gè)月更換一次，口令在10次內(nèi)不得重復(fù)；對于監(jiān)控級口令，每6個(gè)月更換一次，口令在5次內(nèi)不得重復(fù)。第203條 登錄口令的定期更換。加強(qiáng)設(shè)備登錄口令的強(qiáng)壯性，以保證登錄口令的保密性。通過URPF，可以防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。URPF通過獲取報(bào)文的源地址和入接口，以源地址為目的地址，在轉(zhuǎn)發(fā)表中查找源地址對應(yīng)的接口是否與入接口匹配，如果不匹配，認(rèn)為源地址是偽裝的，丟棄該報(bào)文。為了保證日志時(shí)間的準(zhǔn)確性，建議定期（每月一次）檢查設(shè)備的系統(tǒng)時(shí)間是否準(zhǔn)確，和實(shí)際時(shí)間誤差不超過1分鐘。系統(tǒng)日志缺省向console口、日志緩沖區(qū)輸出。系統(tǒng)日志會記錄設(shè)備的運(yùn)行信息，維護(hù)人員做了哪些操作，執(zhí)行了哪些命令。為了防止誤接設(shè)備而引起網(wǎng)絡(luò)的異常，建議對于不使用的物理端口在配置上將其關(guān)閉，防止誤接。n 禁止FTP服務(wù)，網(wǎng)絡(luò)上存在大量的FTP服務(wù)，使用不同的用戶名和密碼進(jìn)行嘗試登錄設(shè)備，一旦成功登錄，就可以對設(shè)備的文件系統(tǒng)操作，十分危險(xiǎn)。n 如果沒必要則禁止WINS和DNS服務(wù)。n 禁止IP Classless。n 禁止IP Source Routing。路由器操作系統(tǒng)支持Http協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視，而針對Http的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護(hù)，這使得用Http進(jìn)行管理相當(dāng)危險(xiǎn)。NTP不是十分危險(xiǎn)的，但是如果沒有一個(gè)很好的認(rèn)證，則會影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯。n 禁止Finger、NTP服務(wù)。路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。第195條 關(guān)閉危險(xiǎn)的服務(wù)，如果在不使用以下服務(wù)的時(shí)候，必須將這些服務(wù)關(guān)閉，防止那些通過這些服務(wù)的攻擊對設(shè)備的影響。在設(shè)備上配置ACL，對已知的病毒所使用的TCP、UDP端口號進(jìn)行過濾。對于安全級別比較高的設(shè)備，采用AAA方式到RADIUS去認(rèn)證。對于安全級別一般的設(shè)備，認(rèn)證方式采用本地認(rèn)證，認(rèn)證的時(shí)候要求對用戶名和密碼都進(jìn)行認(rèn)證，配置密碼的時(shí)候要采用密文方式。第193條 對于各種登錄設(shè)備的方式（通過TELNET、CONSOLE口、AUX口）都進(jìn)行認(rèn)證。第191條 管理級：關(guān)系到系統(tǒng)基本運(yùn)行，系統(tǒng)支撐模塊的命令，這些命令對業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、Xmodem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。第189條 監(jiān)控級：用于系統(tǒng)維護(hù)、業(yè)務(wù)故障診斷等，包括display、debugging命令，該級別命令不允許進(jìn)行配置文件保存的操作。 安全措施 硬件安全措施第182條 定期檢查機(jī)房的溫度和濕度第183條 定期檢查機(jī)房電源輸入是否完好第184條 定期檢查設(shè)備的接地電阻是否正常第185條 定期檢查設(shè)備的相關(guān)線纜是否完好第186條 定期檢查設(shè)備的風(fēng)扇是否運(yùn)行正常 數(shù)據(jù)配置安全第187條 分級設(shè)置用戶口令，數(shù)據(jù)設(shè)備的登錄口令至少分為4級：參觀級、監(jiān)控級、配置級、管理級，不同的級別所能做的操作都不相同。路由器作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間通訊的關(guān)鍵設(shè)備，有必要提供充分的安全保護(hù)功能。第180條 隨著網(wǎng)絡(luò)應(yīng)用的日益普及，尤其是在一些特別場合的應(yīng)用，網(wǎng)絡(luò)安全成為日益迫切的需求。 網(wǎng)絡(luò)安全策略第179條 網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括竊聽報(bào)文、IP地址欺騙、源路由攻擊、端口掃描、拒絕服務(wù)攻擊、應(yīng)用層攻擊等。第178條 數(shù)據(jù)安全指設(shè)備和網(wǎng)管系統(tǒng)的配置數(shù)據(jù)、統(tǒng)計(jì)信息、診斷信息、歷史記錄、文檔以及軟件版本、補(bǔ)丁等不會丟失、錯漏。設(shè)備安全還包括在常見的自然現(xiàn)象對設(shè)備的破壞。第177條 設(shè)備安全指網(wǎng)絡(luò)設(shè)備包括網(wǎng)管系統(tǒng)應(yīng)當(dāng)防止網(wǎng)絡(luò)管理員之外的任何人或組織對網(wǎng)絡(luò)設(shè)備和網(wǎng)管系統(tǒng)配置、資源、診斷系統(tǒng)的有意或無意的訪問、破壞和假冒和攻擊。由于不同的用戶有不同的安全要求，一般用戶的上網(wǎng)業(yè)務(wù)和政府機(jī)關(guān)公文傳遞以及軍事機(jī)密的傳遞都有著完全不同的安全要求。第十章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全問題第175條 網(wǎng)絡(luò)安全包括業(yè)務(wù)安全、設(shè)備安全和數(shù)據(jù)安全等方面。第174條 對于城域網(wǎng)匯聚層以下設(shè)備，包括樓道交換機(jī)、EOC等設(shè)備，要求支持SNMP協(xié)議，要求所有入網(wǎng)設(shè)備開放SNMP MIB庫，支持市州網(wǎng)管平臺對設(shè)備的管理。第173條 對于城域網(wǎng)匯聚層以上設(shè)備（包括BRAS、USR、EPON等）必須要求支持SNMP協(xié)議，要求所有入網(wǎng)設(shè)備開放SNMP MIB庫，支持市州網(wǎng)管平臺對設(shè)備的管理。 對入網(wǎng)設(shè)備的網(wǎng)管能力要求第172條 對于所有骨干網(wǎng)設(shè)備（包括骨干路由器、骨干交換機(jī)、骨干網(wǎng)市州接入路由器等）必須要求支持SNMP協(xié)議，要求所有入網(wǎng)設(shè)備開放SNMP MIB庫，支持省中心網(wǎng)管平臺對設(shè)備的管理。 分級網(wǎng)絡(luò)管理功能 省中心網(wǎng)絡(luò)管理功能第165條 省中心網(wǎng)絡(luò)管理平臺負(fù)責(zé)對湖南有線雙向網(wǎng)絡(luò)系統(tǒng)骨干網(wǎng)和省中心平臺的管理，包括骨干路由器、骨干交換機(jī)、骨干網(wǎng)市州接入路由器、省自治域管理中心、IDC中心的所有管理工作，包括系統(tǒng)監(jiān)視和系統(tǒng)控制；第166條 省中心網(wǎng)管監(jiān)控平臺可以監(jiān)視到城域網(wǎng)USR設(shè)備、BRAS設(shè)備和OLT匯聚設(shè)備的工作狀態(tài)，負(fù)責(zé)收集上述節(jié)點(diǎn)設(shè)備的工作信息；第167條 負(fù)責(zé)網(wǎng)內(nèi)全程業(yè)務(wù)資源的管理和調(diào)度，包括各類MPLS VPN管理和調(diào)度、骨干端口的調(diào)度和配置、傳輸流量和出口帶寬的配置和調(diào)度、網(wǎng)絡(luò)優(yōu)化的配置和調(diào)度；第168條 負(fù)責(zé)全網(wǎng)網(wǎng)絡(luò)的分析，對網(wǎng)絡(luò)存在的各類隱患作出預(yù)報(bào)和報(bào)警，并及時(shí)提出對網(wǎng)絡(luò)的優(yōu)化方案，并負(fù)責(zé)骨干網(wǎng)的優(yōu)化工作，指導(dǎo)各市州城域網(wǎng)的優(yōu)化工作。第163條 智能的告警管理，清晰、直觀的故障列表：智能管理中心能自動匯總?cè)W(wǎng)中故障設(shè)備，形成故障設(shè)備列表，使管理員能快速、清晰的找到需要關(guān)注的故障設(shè)備。第161條 靈活方便的拓?fù)涔δ?，豐富、實(shí)用的網(wǎng)絡(luò)拓?fù)湟晥D，除傳統(tǒng)的IP拓?fù)湟晥D外，管理中心還必須支持自定義視圖，使網(wǎng)絡(luò)管理員可以根據(jù)自己的組織結(jié)構(gòu)、地域情況、甚至樓層情況清晰靈活地繪制出客戶化的網(wǎng)絡(luò)拓?fù)?。?59條 靈活快捷的自動發(fā)現(xiàn)算法，智能管理平臺能快速、準(zhǔn)確地發(fā)現(xiàn)網(wǎng)絡(luò)資源，包括路由方式、ARP方式、IPSec VPN方式、網(wǎng)段方式等。 網(wǎng)絡(luò)管理功能第157條 網(wǎng)絡(luò)管理中心必須具備實(shí)用、易用、開放的網(wǎng)絡(luò)管理功能，可確保各類入網(wǎng)設(shè)備能夠納入到統(tǒng)一的網(wǎng)管平臺，在網(wǎng)絡(luò)資源的集中管理基礎(chǔ)上，實(shí)現(xiàn)拓?fù)洹⒐收?、性能等管理功能?網(wǎng)絡(luò)管理結(jié)構(gòu)第153條 根據(jù)湖南有線網(wǎng)絡(luò)管理實(shí)際需求，全網(wǎng)采用三級網(wǎng)絡(luò)管理結(jié)構(gòu)，即骨干網(wǎng)網(wǎng)絡(luò)管理中心、市級城域網(wǎng)網(wǎng)絡(luò)管理中心和縣級城域網(wǎng)網(wǎng)絡(luò)管理中心。第151條 身份與接入管理：支持LAN、WAN、WLAN、VPN認(rèn)證接入，實(shí)現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理；支持智能卡、證書等強(qiáng)認(rèn)證功能，支持多種方式的端點(diǎn)準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù)，實(shí)現(xiàn)用戶與資源和業(yè)務(wù)的融合管理。 認(rèn)證流程第148條 PC寬帶上網(wǎng)的PPPOE認(rèn)證流程：第149條 STB的DHCP認(rèn)證流程：第九章 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理范圍第150條 基礎(chǔ)資源管理：基于全網(wǎng)網(wǎng)元的統(tǒng)一部署、管理和調(diào)配，包括對路由器、BRAS、USR、交換機(jī)、安全、存儲等設(shè)備資源，以及ACL/VLAN等網(wǎng)絡(luò)配置資源和桌面等終端資源，為業(yè)務(wù)融合、資源調(diào)度提供必要手段。其中OPTION60中帶有Vendor和Service Option信息，是由用戶終端發(fā)起DHCP請求時(shí)攜帶的信息，用來識別用戶終端類型，從而識別用戶業(yè)務(wù)類型，DHCP服務(wù)器可以依賴于此分配不同的業(yè)務(wù)IP地址。DHCP協(xié)議本身并沒有用來認(rèn)證的功能，利用DHCP擴(kuò)展字段方式不需要在用戶終端上安裝任何客戶端程序，不需要輸入用戶名和密碼。具有協(xié)議成熟、兼容BRAS、Radius設(shè)備，內(nèi)置帳號密碼，安全性較高，可以實(shí)時(shí)監(jiān)測，對接入網(wǎng)設(shè)備安全性要求較低，地址分配靈活，通過域名管理區(qū)分權(quán)限的特點(diǎn)，對于PC寬帶上網(wǎng)業(yè)務(wù)，采用PPPOE認(rèn)證。第146條 PPPOE認(rèn)證：PPPOE在標(biāo)準(zhǔn)PPP報(bào)文的前面加上以太網(wǎng)的報(bào)頭，使得PPPOE提供通過簡單橋接接入設(shè)備連接遠(yuǎn)端接入設(shè)備，并可以利用以太網(wǎng)的共享性連接多個(gè)用戶主機(jī)，在這個(gè)模型下，每個(gè)用戶主機(jī)利用自身的ppp堆棧，用戶使用熟悉的界面。第八章 用戶和業(yè)務(wù)認(rèn)證 需要認(rèn)證的業(yè)務(wù)類型第144條 雙向STB交互業(yè)務(wù)：可以基于STB提供如VOD點(diǎn)播、付費(fèi)電視、時(shí)移電視、網(wǎng)絡(luò)游戲、在線繳費(fèi)等業(yè)務(wù)，它主要是利用客廳電視加機(jī)頂盒作為業(yè)務(wù)開展的平臺，客戶通過按鍵操作即可實(shí)現(xiàn)業(yè)務(wù)操作。不同廠商的設(shè)備可能將QINQ報(bào)文外層VLAN Tag的TPID字段設(shè)為不同的值。兩層標(biāo)簽可以精確定位到每一個(gè)用戶和每一類具體的業(yè)務(wù)。第141條 兩層VLAN：對于STB業(yè)務(wù)和PC業(yè)務(wù)，考慮到EPON光接入網(wǎng)VLAN數(shù)量的限制，必須采用兩層VLAN才能確保在同一OLT下，具有足夠的VLAN數(shù)量。第138條 在OLT上行端口，分別與BRAS和USR相連，其中外層TAG具有PPPOE標(biāo)識的VLAN業(yè)務(wù)送BRAS，具有IPOE標(biāo)識的VLAN業(yè)務(wù)送USR；第139條 BRAS和USR終結(jié)所有的VLAN。第133條 VLAN標(biāo)簽號以城域網(wǎng)為單位統(tǒng)一規(guī)劃，規(guī)劃市必須考慮市州城市和市州所屬縣級城市的用戶。第127條 考慮到VLAN數(shù)量的限制和業(yè)務(wù)分類的需要，對于個(gè)人用戶采用采用二層VLAN標(biāo)簽（Tag）方式，對于VPN用戶，采用單層標(biāo)簽方式；第128條 內(nèi)層標(biāo)簽由用戶接入設(shè)備提供，按照每個(gè)用戶一個(gè)VLAN配置，該VLAN代表用戶的具體位