宽带ip城域网工程设计规范doc(编辑修改稿)

宽带ip城域网工程设计规范doc(编辑修改稿)内容摘要：

20ms(暂定值，从接入节点至 IP 城域网出口，包括传输延迟和设备延迟 )； － 抖动：≤ 20ms(暂定值 )； － 包丢失率：≤ 1％ (暂定值 )； － 可用性：≥ ％ (暂定值 )。 9 服务质量 服务质量 (QoS)是指 IP 网络的一种能力 ，可为特定的业务提供其所需要的服务。 通过有效地实施各项 IP QoS 技术，使得运营商能够有效地控制网络资源及其使用，在单一网络平台上融合语音、视频及数据等多种业务，能够在现有网络上细分客户、针对不同的客户需求提供特色的差别业务。 宽带 IP城域网应在仔细规划估算所承载的各种业务的平均速率和峰值速率的基础上，合理设计链路带宽。 在不采用各种 QoS 技术的情况下，网络可采用轻载方式提高服务质量： － 在采用主备疏通方式的流量规划方式下，中继电路的带宽利用率宜设计在 50％～ 70％区间内； － 在采用分担疏通方 式的流量规划方式下，中继电路的带宽利用率宜设计在 40％～ 50％区间内。 根据业务需求，宽带 IP 城域网可积极采用以下各种 IP QoS 技术： 1 基于 RSVP 的 IntServ 方案是一种端到端基于流的 QoS 技术。 目前粒度为单个流的资源预留的解决思路在互联网上扩展性无法保证。 不建议采用。 2 基于 DSCP 的 DiffServ 方案是一种基于类的 QoS 技术。 通过将业务定义为有限的类，可以较好地解决扩展性问题，建议主要采用。 3 MPLS 可以与 DiffServ 结合，提供 MPLS CoS。 MPLS 与 DiffServ 的结合可以将 DS 字节的设置融入 MPLS 的标记分配过程中，使得 MPLS 标记具备区分分组服务质量的能力。 包括ELSP 方案和 LLSP 方案。 目前可主要采用 ELSP 方案。 4 MPLS TE 是一种间接改善网络 QoS 的技术。 MPLS TE 利用了 LSP 支持显示路由的能力，在网络资源有限的前提下，将网络流量合理引导，间接改善网络服务质量。 MPLS DiffServAware TE 在 MPLS TE 的基础上，增加了基于类别的资源管理，充分利用了 DiffServ的可扩展性以及 MPLS 的显示路由能力，是解决 IP QoS 的较好技术之一。 考虑到 IP QoS 现实技术成熟程度的限制和大规模运用经验的缺乏， IP QoS 的引入实施及完善将是长期的过程。 宽带 IP 城域网的工程设计应随时注意新技术的发展和可能的实际应用。 IP 网络中 QoS 的技术部署主要包括资源控制、资源隔离和资源调度等各种技术及策略的运用。 鉴于 DiffServ 是目前 IP 网络主要的 QoS 技术之一，本规范给出基于 DiffServ 的部署参考示例如下： － 总体上，网络接入边缘路由器根据业务的 QoS 要求将业务映射到一个类别中，然后用 IP 包头的 DS 字段加以标识。 所有 的网络核心的路由器根据 DS 字段执行预定义的服务策略，即根据 DS 字段将 IP 包放入不同队列，对不同队列定义不同的处理策略，实现不同类别IP 包的不同的逐跳转发行为 (PHB)； － 根据业务需要，定义服务等级； － 在网络接入边缘，主要采用业务分类与标记 (例如基于 IP 五元组、 ACL 等 )、速率限 制 (例如 CAR、 GTS 等 )等技术； － 在网络核心，主要采用队列调度 (例如 PQ/WFQ/CBWFQ/MDRR、 LLS/NLS/PBS 等 )、拥塞控制 (例如 RED/WRED 等 )等技术。 如下表 所示： 表 IP QoS 技术部署示例 服务等级 PHB 调度方式 拥塞控制 业务 7 最高优先 LLS 无 网络设备间协议通信 6 EF LLS 无 实时语音业务 5 EF LLS 无 实时视频业务 4 AF4 NLS WRED 大客户金牌数据业务 3 预留 － － － 2 AF2 NLS WRED 大客户银牌数据业务 1 AF1 NLS WRED 大客户铜牌数据业务 0 BE FIFO WRED 一般公众互联网业务 10 网络管理 网管体系结构 宽带 IP 城域网可以设置单独的专业网管系统。 宽带 IP 城域网也可采用全省集中管理的方式，各城域网内只设置操作维护中心。 网管系统与被管设备之间的网管信息通道一般可采用带内方式，也可采用带内带外相结合的方式。 宽带 IP 城域网的网管系统可通过特定的接口与综合网管系统实现连接，以实现综合的资源、故障、性能等管理功能。 网管接口 网管接口协议： 1 网管系统与被管设备之间采用基于 SNMP 的接口。 2 网管系统和省网管中心之间采用 SNMP 或基于 XML 的 WebServices 接口。 网管接口信息模型：宽带 IP城域网中采用的网络设备必须支持通用的公有信息模型，同时也允许提供针对自身产品特色的私有信息模型。 网管接口功能：网管接口的功能要求主要包括故障管理、计费管理、配置管理、性能管理和安全管理。 宽带 IP 城域网中采用的网络设备必须支持网管接口功能要求，要求提供实时的告警信息、准实时的性能信息和动态的资源配置信息，以及提供计费和安全信息。 网管功能 资源管理：实现设备管理、电路管理、路径管理、 IP 地址管理、 AS 管理、软件版本管理、资源报表统计、资源预警等功能。 拓扑管理：实现拓扑管理功能。 拓扑管理既要有 C/S 的界面也要能够通过 B/S 访问。 根据不同的视角和不同的侧重层次，拓扑图可以有不同的视图；实现拓扑自动发现、监视与浏览；实现基于拓扑的流量显示、资源显示、故障显示。 故障管理：应能提供列表形式的告警监视窗口，网管人员可以在视图上监视到网元的实时告警，对相关告警操作或启动相关网元的告警历史信息查询浏览功能；应具备声、光、电的告警功能；支持告警过滤、告警转发、告警确认和告警升级、告警清除；支持一定的故障 关联分析。 性能监测与分析：应提供及时有效的手段对网络性能进行监测，可以从网元、路由 信息、端到端路径、网络应用等不同层次、不同方面，对网络的性能进行分析。 通过性能数据的波动，及时发现故障，并进行前期预警。 流量采集与分析：通过采集网络的链路层流量和业务流量，实现对各个网络层次的电路负载和电路拥塞的分析，对网络流量流向及网络业务类型分布进行分析。 路由管理：对网络中的路由实体进行监测，对网络路由信息及其变化情况进行分析。 QoS 管理：在网络提供 QoS 时， 应提供面向网络的 QoS 的管理功能，主要包括网络层QoS 参数配置、基于 QoS 的性能监测、基于 QoS 的流量分析等功能。 前端信息服务管理：应提供面向前端、面向业务、面向客户的功能，支持以 WEB 形式发布各种与前端、与业务的相关的统计信息。 报表统计：实现对网络的业务、资源、故障以及性能等信息进行统计发布，为网管使用人员提供多种形式的报告和图表。 安全管理功能宜由专门的 SMC 实现，具体内容见第 11 章。 VPN 管理 : VPN 用户可以拥有自己的网管设备和网管机 构，由网管系统配置权限，实现 VPN 用户自助管理。 用户 VPN 网管应具备以下功能：收集 VPN 内部的网管信息，如：拓扑结构、链路状态、流量和流向、网络资源的占用情况等；性能监视；相关信息的配置，如内部业务配置等；同时还应提供 VPN 的内部计费管理、安全管理等。 用户管理终端上只显示本用户虚拟专网的网络情况，在网络运行者授权的情况下，可实现用户对本虚拟专网的实时操作。 网管系统支持 VPN 业务数据的生成，特别是 VPN 用户数据的生成，能够灵活地添加、删除虚拟专用网的用户站点，灵活地修改用户的接入权限，服务级别等。 11 网络安全 安全目标与框架 宽带 IP 城域网的网络与信息安全目标是在合理的安全成本基础上，实现网络运行安全和业务安全，即保证各类网元设备的正常运行，保证信息在网络上的安全存储传输，保障网络的运营维护管理安全。 网络安全框架由防护、检测与评估、响应闭环构成。 防护部分即基本的安全技术和安全措施，是整个网络安全的基础；检测与评估部分对全网进行实时监控，定期对全网进行安全扫描和风险评估，并将结果传给响应系统；响应部分根据检测和评估结果，调整安全策略、产生安全告警、修补安全漏洞、进行 安全加固等。 防护部分、检测与评估部分的实现主要依赖于安全技术的部署。 响应部分的实现构成安全管理的技术手段。 宽带 IP 城域网安全通常包括两个方面：技术要求和管理要求。 在技术方面上，网络安全由以下几个方面组成：物理安全，网络安全和信息安全。 安全管理 为了保护网络的安全性，信息安全部门应该根据管理原则和该系统处理数据的保密性，制定相应的管理制度或采取相应的规范。 安全管理规范包括：密码长度、修改日期及不同平台、不同机构需要的不同安全设置；每条信息那些人可以访问；每个人在向其它人散布信息时所必须遵守的规则；违反规定的情况如何处理等。 安全技术部署 物理安全：保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误以及各种计算机犯罪行为导致的破坏过程。 它包括三个方面的内容： 1 环境安全：对系统所在环境的安全保护，如区域保护和灾难保护，应符合 GB5017393《电子计算机机房设计规范》、 GB288789《计算机站场地要求》、 GB936188《计算机站场地安全要求》等地要求； 2 设备安全：网络设备如计算机以及电缆、网桥和路由器等的防盗、防毁、防电磁辐射泄露、防止线路截获、抗电磁干扰及电源保护等。 保护的措施有：对主机房及重要信息存贮、 收发部门进行屏蔽处理；对本地网、局域网传输线路传导辐射的抑制；对诊断设备的辐射进行防范。 3 媒体安全：包括媒体数据的安全及媒体本身的安全。 可以采用多机数据备份等技术加以保护。 网络安全： 网络安全把需要保护的网络用防火墙从开放因特网中隔离开来，实现内部信任网与 外部不可信任网之间或是内部网不同网络之间安全区域的隔离与访问控制，保证网络系统及网络服务的可用性。 1 内外网隔离及访问控制：在内外部网络之间设置防火墙，实现内部网络的访问控制。 根据防范的方式和侧重点的不同，可以选择分组过滤或应用代理等不同类型的防火墙。 2 内部网不同安全域的隔离及访问控制：采用防火墙技术实现内部网不同安全域的隔离及访问控制。 3 网络安全检测：安装网络安全评估分析软件。 利用此类软件扫描分析网络系统，及时发现并修正存在的弱点和漏洞。 4 审计与监控：安装网络安全评估分析软件。 利用此类软件对用户使 用计算机网络系统的进行记录的过程，以便发现和预防可能的破坏活动。 5 全网安全远程扫描和评估：在核心节点和网络管理中心安装网络安全扫描器，对整个网络进行安全扫描。 6 网络备份系统：设计合理的备份机制，以便在出现问题时能够及时恢复。 例如在设计网络拓扑时，任一节点与网络其它之间应该至少有两条物理连接，以供迂回路由；关键网络设备都必须有备用的。 信息安全：在网络实施过程中，应尽量利用各种手段来保障信息的安全搜索、存放和共享。 最基本的原则是各级领导首先制定出相应的安全规范和政策。 信息安全包括信息传输的安 全、信息存贮的安全以及对网络传输信息内容的审计三个方面。 1 鉴别：利用口令机制、智能卡或个体特征鉴别技术，对通信各方的身份进行鉴定。 2 数据传输加密技术：利用密码技术，对传输中的数据流进行加密，防止窃听、泄。