【正文】 核心節(jié)點間傳輸可以通過 SDH 或城域 WDM 連接，以確保網(wǎng)絡(luò)的可擴展性；在網(wǎng)絡(luò)建設(shè)初期規(guī)模較小時，核心節(jié)點也可通過內(nèi)置的光傳輸接口直驅(qū)光纖互聯(lián)或采用MSTP 技術(shù)。 8 系統(tǒng)的高可用性和備份措施：利用冗余技術(shù)，通過系統(tǒng)中硬件、軟件、數(shù)據(jù)的冗余， 實現(xiàn)當系統(tǒng)中的某一個環(huán)節(jié) (硬件、軟件、數(shù)據(jù) )出現(xiàn)故障 時，使用冗余部件提供服務(wù)。 6 用戶帳號管理：在為用戶建立帳號時，應(yīng)注意保證每個用戶的 ID 的唯一性，避免使用公用帳號；對于過期的帳號要及時封閉；對于長期不用的帳號要定期檢查，必要時封閉。 5 口令管理：目前發(fā)現(xiàn)的漏洞，大多是由于口令管理不嚴，使得黑客可以乘虛而入。選擇使用安全數(shù)據(jù)庫系統(tǒng)，以及基于口令 /密碼算法的身份驗證。加密可以在不同的層次上進行：鏈路加密，節(jié)點加密和端到端的加密 (比如傳輸前對文件進行加密 )。 1 鑒別：利用口令機制、智能卡或個體特征鑒別技術(shù)，對通信各方的身份進行鑒定。最基本的原則是各級領(lǐng)導(dǎo)首先制定出相應(yīng)的安全規(guī)范和政策。例如在設(shè)計網(wǎng)絡(luò)拓撲時，任一節(jié)點與網(wǎng)絡(luò)其它之間應(yīng)該至少有兩條物理連接，以供迂回路由；關(guān)鍵網(wǎng)絡(luò)設(shè)備都必須有備用的。 5 全網(wǎng)安全遠程掃描和評估：在核心節(jié)點和網(wǎng)絡(luò)管理中心安裝網(wǎng)絡(luò)安全掃描器，對整個網(wǎng)絡(luò)進行安全掃描。 4 審計與監(jiān)控：安裝網(wǎng)絡(luò)安全評估分析軟件。 3 網(wǎng)絡(luò)安全檢測：安裝網(wǎng)絡(luò)安全評估分析軟件。根據(jù)防范的方式和側(cè)重點的不同，可以選擇分組過濾或應(yīng)用代理等不同類型的防火墻。 網(wǎng)絡(luò)安全： 網(wǎng)絡(luò)安全把需要保護的網(wǎng)絡(luò)用防火墻從開放因特網(wǎng)中隔離開來，實現(xiàn)內(nèi)部信任網(wǎng)與 外部不可信任網(wǎng)之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)之間安全區(qū)域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。 3 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。它包括三個方面的內(nèi)容： 1 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災(zāi)難保護，應(yīng)符合 GB5017393《電子計算機機房設(shè)計規(guī)范》、 GB288789《計算機站場地要求》、 GB936188《計算機站場地安全要求》等地要求； 2 設(shè)備安全：網(wǎng)絡(luò)設(shè)備如計算機以及電纜、網(wǎng)橋和路由器等的防盜、防毀、防電磁輻射泄露、防止線路截獲、抗電磁干擾及電源保護等。 安全管理規(guī)范包括：密碼長度、修改日期及不同平臺、不同機構(gòu)需要的不同安全設(shè)置；每條信息那些人可以訪問；每個人在向其它人散布信息時所必須遵守的規(guī)則；違反規(guī)定的情況如何處理等。在技術(shù)方面上，網(wǎng)絡(luò)安全由以下幾個方面組成：物理安全，網(wǎng)絡(luò)安全和信息安全。 響應(yīng)部分的實現(xiàn)構(gòu)成安全管理的技術(shù)手段。防護部分即基本的安全技術(shù)和安全措施，是整個網(wǎng)絡(luò)安全的基礎(chǔ)；檢測與評估部分對全網(wǎng)進行實時監(jiān)控，定期對全網(wǎng)進行安全掃描和風(fēng)險評估，并將結(jié)果傳給響應(yīng)系統(tǒng)；響應(yīng)部分根據(jù)檢測和評估結(jié)果，調(diào)整安全策略、產(chǎn)生安全告警、修補安全漏洞、進行 安全加固等。 11 網(wǎng)絡(luò)安全 安全目標與框架 寬帶 IP 城域網(wǎng)的網(wǎng)絡(luò)與信息安全目標是在合理的安全成本基礎(chǔ)上，實現(xiàn)網(wǎng)絡(luò)運行安全和業(yè)務(wù)安全，即保證各類網(wǎng)元設(shè)備的正常運行，保證信息在網(wǎng)絡(luò)上的安全存儲傳輸，保障網(wǎng)絡(luò)的運營維護管理安全。用戶管理終端上只顯示本用戶虛擬專網(wǎng)的網(wǎng)絡(luò)情況，在網(wǎng)絡(luò)運行者授權(quán)的情況下，可實現(xiàn)用戶對本虛擬專網(wǎng)的實時操作。 VPN 管理 : VPN 用戶可以擁有自己的網(wǎng)管設(shè)備和網(wǎng)管機 構(gòu)，由網(wǎng)管系統(tǒng)配置權(quán)限，實現(xiàn) VPN 用戶自助管理。 報表統(tǒng)計：實現(xiàn)對網(wǎng)絡(luò)的業(yè)務(wù)、資源、故障以及性能等信息進行統(tǒng)計發(fā)布，為網(wǎng)管使用人員提供多種形式的報告和圖表。 QoS 管理：在網(wǎng)絡(luò)提供 QoS 時， 應(yīng)提供面向網(wǎng)絡(luò)的 QoS 的管理功能，主要包括網(wǎng)絡(luò)層QoS 參數(shù)配置、基于 QoS 的性能監(jiān)測、基于 QoS 的流量分析等功能。 流量采集與分析：通過采集網(wǎng)絡(luò)的鏈路層流量和業(yè)務(wù)流量，實現(xiàn)對各個網(wǎng)絡(luò)層次的電路負載和電路擁塞的分析，對網(wǎng)絡(luò)流量流向及網(wǎng)絡(luò)業(yè)務(wù)類型分布進行分析。 性能監(jiān)測與分析：應(yīng)提供及時有效的手段對網(wǎng)絡(luò)性能進行監(jiān)測，可以從網(wǎng)元、路由 信息、端到端路徑、網(wǎng)絡(luò)應(yīng)用等不同層次、不同方面，對網(wǎng)絡(luò)的性能進行分析。根據(jù)不同的視角和不同的側(cè)重層次，拓撲圖可以有不同的視圖；實現(xiàn)拓撲自動發(fā)現(xiàn)、監(jiān)視與瀏覽；實現(xiàn)基于拓撲的流量顯示、資源顯示、故障顯示。 拓撲管理：實現(xiàn)拓撲管理功能。寬帶 IP 城域網(wǎng)中采用的網(wǎng)絡(luò)設(shè)備必須支持網(wǎng)管接口功能要求，要求提供實時的告警信息、準實時的性能信息和動態(tài)的資源配置信息，以及提供計費和安全信息。 網(wǎng)管接口信息模型：寬帶 IP城域網(wǎng)中采用的網(wǎng)絡(luò)設(shè)備必須支持通用的公有信息模型，同時也允許提供針對自身產(chǎn)品特色的私有信息模型。 網(wǎng)管接口 網(wǎng)管接口協(xié)議： 1 網(wǎng)管系統(tǒng)與被管設(shè)備之間采用基于 SNMP 的接口。 網(wǎng)管系統(tǒng)與被管設(shè)備之間的網(wǎng)管信息通道一般可采用帶內(nèi)方式，也可采用帶內(nèi)帶外相結(jié)合的方式。 如下表 所示： 表 IP QoS 技術(shù)部署示例 服務(wù)等級 PHB 調(diào)度方式 擁塞控制 業(yè)務(wù) 7 最高優(yōu)先 LLS 無 網(wǎng)絡(luò)設(shè)備間協(xié)議通信 6 EF LLS 無 實時語音業(yè)務(wù) 5 EF LLS 無 實時視頻業(yè)務(wù) 4 AF4 NLS WRED 大客戶金牌數(shù)據(jù)業(yè)務(wù) 3 預(yù)留 － － － 2 AF2 NLS WRED 大客戶銀牌數(shù)據(jù)業(yè)務(wù) 1 AF1 NLS WRED 大客戶銅牌數(shù)據(jù)業(yè)務(wù) 0 BE FIFO WRED 一般公眾互聯(lián)網(wǎng)業(yè)務(wù) 10 網(wǎng)絡(luò)管理 網(wǎng)管體系結(jié)構(gòu) 寬帶 IP 城域網(wǎng)可以設(shè)置單獨的專業(yè)網(wǎng)管系統(tǒng)。鑒于 DiffServ 是目前 IP 網(wǎng)絡(luò)主要的 QoS 技術(shù)之一，本規(guī)范給出基于 DiffServ 的部署參考示例如下： － 總體上，網(wǎng)絡(luò)接入邊緣路由器根據(jù)業(yè)務(wù)的 QoS 要求將業(yè)務(wù)映射到一個類別中，然后用 IP 包頭的 DS 字段加以標識。寬帶 IP 城域網(wǎng)的工程設(shè)計應(yīng)隨時注意新技術(shù)的發(fā)展和可能的實際應(yīng)用。 MPLS DiffServAware TE 在 MPLS TE 的基礎(chǔ)上，增加了基于類別的資源管理，充分利用了 DiffServ的可擴展性以及 MPLS 的顯示路由能力，是解決 IP QoS 的較好技術(shù)之一。 4 MPLS TE 是一種間接改善網(wǎng)絡(luò) QoS 的技術(shù)。包括ELSP 方案和 LLSP 方案。 3 MPLS 可以與 DiffServ 結(jié)合，提供 MPLS CoS。 2 基于 DSCP 的 DiffServ 方案是一種基于類的 QoS 技術(shù)。目前粒度為單個流的資源預(yù)留的解決思路在互聯(lián)網(wǎng)上擴展性無法保證。在不采用各種 QoS 技術(shù)的情況下，網(wǎng)絡(luò)可采用輕載方式提高服務(wù)質(zhì)量： － 在采用主備疏通方式的流量規(guī)劃方式下，中繼電路的帶寬利用率宜設(shè)計在 50％～ 70％區(qū)間內(nèi)； － 在采用分擔(dān)疏通方 式的流量規(guī)劃方式下，中繼電路的帶寬利用率宜設(shè)計在 40％～ 50％區(qū)間內(nèi)。通過有效地實施各項 IP QoS 技術(shù)，使得運營商能夠有效地控制網(wǎng)絡(luò)資源及其使用，在單一網(wǎng)絡(luò)平臺上融合語音、視頻及數(shù)據(jù)等多種業(yè)務(wù)，能夠在現(xiàn)有網(wǎng)絡(luò)上細分客戶、針對不同的客戶需求提供特色的差別業(yè)務(wù)。一般寬帶 IP 城域網(wǎng)網(wǎng)絡(luò)性能指標參考建議如下： － 單向延遲：≤ 20ms(暫定值，從接入節(jié)點至 IP 城域網(wǎng)出口，包括傳輸延遲和設(shè)備延遲 )； － 抖動：≤ 20ms(暫定值 )； － 包丟失率：≤ 1％ (暫定值 )； － 可用性：≥ ％ (暫定值 )。 8 網(wǎng)絡(luò)性能 IP 網(wǎng)絡(luò)性能指標包括： － 吞吐量：網(wǎng)絡(luò)兩個節(jié)點之間特定業(yè)務(wù)流的平均速率； － 延遲： IP 包在進入網(wǎng)絡(luò)節(jié)點和離開網(wǎng)絡(luò)節(jié)點之間的平均歷時，可以是單向延遲或是往 返延遲； － 抖動： IP 包延遲的變化； － 包丟失率： IP 包在網(wǎng)絡(luò)傳送過程中丟失報文的百分比； － 可用性：網(wǎng)絡(luò)可 以為用戶提供服務(wù)的時間的百分比。 采用 IP 電話網(wǎng)關(guān)方式， PSTN 和 ISDN 用戶通過 IP 電話網(wǎng)關(guān)接入到寬帶 IP 城域網(wǎng)，呼叫 PC 用戶， 也可以呼 叫另一 PSTN/ISDN 網(wǎng)絡(luò)的用戶。 與 PSTN/ISDN 網(wǎng)間互聯(lián) 寬帶 IP 城域網(wǎng)與 PSTN/ISDN 網(wǎng)間互聯(lián)包括采用網(wǎng)絡(luò)接入服務(wù)器互聯(lián)和 IP 電話網(wǎng)關(guān)互聯(lián) 2 種方式。 網(wǎng)間互聯(lián)應(yīng)對入網(wǎng)流量進行控制，主要可以通過控制向互聯(lián)對方網(wǎng)絡(luò)宣告的路由信息內(nèi)容、通過配置調(diào)整相應(yīng) BGP 路由的有關(guān)屬性參數(shù)，引導(dǎo)入網(wǎng)流量。 網(wǎng)間互聯(lián) 帶寬應(yīng)根據(jù)業(yè)務(wù)需求雙方協(xié)商確定。 寬帶 IP 城域網(wǎng)選擇 2 個或 2 個以上核心節(jié)點與全國骨干網(wǎng)或省網(wǎng)路由器實現(xiàn)連接，提供寬帶 IP 城域網(wǎng)的出口。 可以采用設(shè)置 BGP 阻尼的方式來減小由于中繼電路不穩(wěn)定對網(wǎng)絡(luò)的影響。在網(wǎng)絡(luò)中繼電路帶寬較寬、網(wǎng)絡(luò)節(jié)點設(shè)備的計算能力較強時，盡量采用不分級和不分區(qū)域的域內(nèi)路由協(xié)議方案，以方便優(yōu)化網(wǎng)絡(luò)路由。 路由協(xié)議運行的穩(wěn)定性與擴展性 為提高網(wǎng)絡(luò)的穩(wěn)定性，原則上在域內(nèi)和域間兩種路由協(xié)議之間不進行路由信息的互相注入。根據(jù)網(wǎng)絡(luò)路由選擇規(guī)則的需要，網(wǎng)絡(luò)中 可以存在適當?shù)姆蔷酆下酚伞? 網(wǎng)絡(luò)的路由選擇規(guī)則的實現(xiàn)可采用以下技術(shù)： － 合理設(shè)計域內(nèi)路由協(xié)議的鏈路權(quán)值； － 運用域間路由協(xié)議的各種屬性并合理設(shè)計賦值； － 采用 MPLS TE 技術(shù)。 根據(jù)流量流向規(guī)劃，網(wǎng)絡(luò)應(yīng)設(shè)計合適的路由選擇規(guī)則。一般的規(guī)劃方式有： － 主備疏通方式：對于所有流量，網(wǎng)絡(luò)正常情況下經(jīng)正常路由疏通，正常路由異常時經(jīng)由備用路由疏通； － 按流量分擔(dān)疏通方式，對于所有流量，在網(wǎng)絡(luò)正常情況下經(jīng)由可能的路由以負載分擔(dān)方式疏通，異常時業(yè)務(wù)疏通質(zhì)量將有所降質(zhì)； － 按業(yè)務(wù)分擔(dān)疏通方式：對于不同的流量 (例如按業(yè)務(wù)種類 )，在網(wǎng)絡(luò)正常情況下分別經(jīng)由各自不同的主要路由進行疏通，異常時業(yè)務(wù)疏通質(zhì)量將有所降質(zhì)。 根據(jù)業(yè)務(wù)需求，網(wǎng)絡(luò)可設(shè)計合適的組播路由域。 對于設(shè)置獨立自治域的 IP城域網(wǎng)出口節(jié)點路由器應(yīng)具備接收全部省外路由表的能力，要求對端發(fā)送全部路由表。 路由信息的接收與宣告 原則上，寬帶 IP 城域網(wǎng)可采用域內(nèi)路由協(xié)議承載網(wǎng)絡(luò)中繼電路信息，并確定 BGP 路由的下一跳路徑；采用域間路由協(xié)議 BGP 承載外部網(wǎng)絡(luò)路由信息以及用戶路由信息。 4 路由策略應(yīng)保證網(wǎng)絡(luò)具有可擴展性，使得網(wǎng)絡(luò)擴展后全部資源可以被優(yōu)化利用。 2 通過路由策略的實施，在網(wǎng)絡(luò)拓撲的配合下，應(yīng)實現(xiàn)避免網(wǎng)絡(luò)中出現(xiàn)單故障點、提高網(wǎng)絡(luò)的生存能力。 根據(jù)業(yè)務(wù)和用戶需要，對于用戶接入一般宜采用靜態(tài)路由配置，部分有需求的用戶也可采用 BGP4。 與全國骨干網(wǎng)或省網(wǎng)域間路由協(xié)議采用 BGP4。 對于 IP 城域網(wǎng)未設(shè)置獨立自治域，其內(nèi)部路由協(xié)議應(yīng)同時作為 IP 城域網(wǎng)與省網(wǎng)骨干之間的路由協(xié)議。 對于擁有獨立自治域的寬帶 IP 城域網(wǎng) 在自治域內(nèi)應(yīng)選用合適的域內(nèi)路由協(xié)議。 對于一些省份中的的省會或者經(jīng)濟比較發(fā)達的主要城市，其 IP 城域網(wǎng)可以劃分為獨立的自治域，分配公用的或保留的 AS 號，并通過 EBGP 會話向省內(nèi)骨干網(wǎng)或省際骨干網(wǎng)通報其內(nèi)部路由，若采用了保留 AS 號，應(yīng)在省網(wǎng)與骨干網(wǎng)互連的邊界進行過濾，轉(zhuǎn)換為骨干網(wǎng)合法 AS 號向外廣播。 為保證業(yè)務(wù)質(zhì)量和用戶感受的一致性，主備電路 或者分擔(dān)電路的傳輸延遲盡量一致。同局向多條同帶寬電路的數(shù)量必須小于動態(tài)路由協(xié)議的相關(guān)功能限制。在條件允許的情況下，可采用網(wǎng)絡(luò)仿真工具進行計算。每個寬帶 IP 城域網(wǎng)應(yīng)選擇 2 個或 2 個以上核心節(jié)點與全國骨干網(wǎng)或省網(wǎng)路由器實現(xiàn)連接，提供寬帶 IP