77公用计算机互联网工程设计规范(编辑修改稿)

77公用计算机互联网工程设计规范(编辑修改稿)内容摘要：

疏通质量将有所降质； － 按业务分担疏通方式：对于不同的流量 (例如按业务种类 )，在网络正常情况下分别经YD XXXXXXXX 9 由各自不同的主要路由进行疏通，异常时业务疏通质量将有所降质。 规划优化的原则为尽量满足网络所承载业务的质量、可靠性等要求，全网的整体资源利用率高，同时要易于维护管理，并方便进行流量调整。 根据流量流向规划，网络应设计合适的路由选择规则。 一般的规则有： － 就近原则：业务流量根据拓扑结构确定的最短路径进行疏通； － 指定路径原则：业务流量根据预先规划的路径或者预先 规划的路径关键点 (例如出入口位置、不同网络平面等 )进行疏通。 网络的路由选择规则的实现可采用以下技术： － 合理设计域内路由协议的链路权值； － 运用域间路由协议的各种属性并合理设计赋值； － 采用 MPLS TE 技术。 网络路由应尽可能进行聚合。 根据网络路由选择规则的需要，网络中可以存在适当的非聚合路由。 网络中不应存在路由选择循环，不存在路由黑洞。 路由协议运行的稳定性与扩展性 为提高网络的稳定性，原则上在域内和域间两种路由协议之间不进行路由信息的 互相注入。 根据网络规模，合理设计域内路由协议的分级或分区域，以提高网络的稳定性。 在网络中继电路带宽较宽、网络节点设备的计算能力较强时，尽量采用不分级和不分区域的域内路由协议方案，以方便优化网络路由。 为了快速跟踪网络中继电路状态变化情况，降低可能的电路中断对业务的影响，应合理运用路由协议的快速收敛技术，并合理设计有关的故障检测定时器范围。 应合理运用路由协议的雅致重启 (Graceful Restart)技术，以提高网络运行的稳定性。 根据路由选择需要，应合理 确定网络中运行 BGP 协议的节点范围。 一般地，为保证 BGP路由的连通性和加速收敛，在骨干网自治域内所有路由器均应运行域内 BGP，并采用路由反射器技术提高 BGP 会话的扩展性，路由反射器应冗余设置。 尽量在网络边缘接入处对路由进行聚合收敛，并采用设置 BGP 阻尼的方式来减小由于中继电路不稳定对网络的影响。 YD XXXXXXXX 10 7 网间互联 国内网间互联 各运营商的公用计算机互联网在国内应实现互联。 互联可通过国内 NAP 或者通过两网间的直连互联电路实现。 两个网络的国内互联应设置多于 1 个的 互联点，并实现不同互联点之间互联流量的疏通备份。 互联点应首先设置在骨干网中的互联互通层面。 对于部分业务量大的省份，可以开通省内网间互联电路，但是该互联电路应仅用于疏通省内部分两网间的互联业务。 国内网间互联带宽应根据业务需求双方协商确定。 国际网间互联 条件许可时，根据业务需要，公用计算机互联网可以直接和国外的互联网实现互联。 互联必须通过批准的国际出入口节点实现。 具备条件时，公用计算机互联网可以和 1 家以上的国外互联网进行互联，以实现互联网国际业务 的疏通备份或分担。 国际网间互联带宽应根据业务需求确定。 网间互联路由策略 网络应设计合理的网间互联路由策略，实现互联业务疏通的路由优化，尽量减少不合理的互联业务路由走向，并有效利用互联带宽。 网间互联应对入网流量进行控制，主要可以通过控制向互联对方网络宣告的路由信息内容、通过配置调整相应 BGP 路由的有关属性参数，引导入网流量。 网间互联应对出网流量进行控制，主要可以通过配置 BGP 路由的有关属性参数、与互联对方网络协商有关 BGP 路由有关属性参数赋值含 义及方式，引导出网流量。 国际网间互联路由可以采用穿透方式或对等方式。 YD XXXXXXXX 11 8 网络性能 IP 网络性能指标包括： － 吞吐量：网络两个节点之间特定业务流的平均速率； － 延迟： IP 包在进入网络节点和离开网络节点之间的平均历时，可以是单向延迟或是往返延迟； － 抖动： IP 包延迟的变化； － 包丢失率： IP 包在网络传送过程中丢失报文的百分比； － 可用性：网络可以为用户提供服务的时间的百分比。 不同的用户及业务对 IP 网络性能指标的要求是不同的，本规范只对网络轻载条件下的网络性 能提出建议，在工程建设中，应该根据实际情况对上述性能指标提出建设要求。 一般公用计算机互联网网络性能指标参考建议如下： － 单向延迟：≤ 150ms(全网国内端到端，包括传输延迟和设备延迟，个别偏远地区除外 )； － 抖动：≤ 20ms； － 包丢失率：≤ 1％； － 可用性：≥ ％。 YD XXXXXXXX 12 9 服务质量 公用计算机互联网应在仔细规划估算所承载的各种业务的平均速率和峰值速率的基础上，合理设计链路带宽。 在不采用各种 QoS 技术的情况下，网络可采用轻载方式提高服务质量： － 在采用主备疏通方式的流量规划方 式下，中继电路的带宽平均峰值利用率宜设计在50％～ 70％区间内； － 在采用分担疏通方式的流量规划方式下，中继电路的带宽平均峰值利用率宜设计在40％～ 50％区间内。 根据业务需求，公用计算机互联网可积极采用以下各种 IP QoS 技术： 1 基于 RSVP 的 IntServ 方案是一种端到端基于流的 QoS 技术，目前粒度为单个流的资源预留的解决思路在互联网上扩展性无法保证，不建议采用。 2 基于 DSCP 的 DiffServ 方案是一种基于类的 QoS 技术，通过将业务定义为有限的类，可以较好地解决扩展性问题，建议 可主要采用。 3 MPLS 可以与 DiffServ 结合，提供 MPLS CoS。 MPLS 与 DiffServ 的结合可以将 DS 字节的设置融入 MPLS 的标记分配过程中，使得 MPLS 标记具备区分分组服务质量的能力。 包括 ELSP 方案和 LLSP 方案，目前可主要采用 ELSP 方案。 4 MPLS TE 是一种间接改善网络 QoS 的技术。 MPLS TE 利用了 LSP 支持显示路由的能力，在网络资源有限的前提下，将网络流量合理引导，间接改善网络服务质量。 MPLS DiffServAware TE 在 MPLS TE 的基础上，增加了基于 类别的资源管理，充分利用了 DiffServ的可扩展性以及 MPLS 的显式路由能力，是解决 IP QoS 的较好技术之一。 考虑到 IP QoS 现实技术成熟程度的限制和大规模运用经验的缺乏， IP QoS 的引入实施及完善将是长期的过程。 公用计算机互联网的工程设计应随时注意新技术的发展和可能的实际应用。 YD XXXXXXXX 13 10 网络管理 网管体系结构 根据运营管理需要，以及网络层次结构特点，公用计算机互联网的网管体系结构可以采用三级结构或两级结构： 1 与两层网络相对应，可以采用 两级网管体系：设 置骨干网网管中心和城域网网管中心。 骨干网网管中心负责管理骨干网，并可以采用集中管理、省级分级操作的管理方式，同时在各省设置省级设立维护操作中心。 骨干网网管中心应在异地设置一个备用网管中心。 城域网网管中心负责管理城域网，城域网网管中心也可在省内全省集中设置。 城域网网管中心与骨干网网管中心之间通过接口实现信息交互。 2 与三层网络相对应，可以采用三级网管体系：设置 一级网管中心、二级网管中心和城域网网管中心。 一级网管中心全国设置一个，负责省际骨干网络的管理。 二级网管中心每省设置一个，负责省内骨干网络的管理。 城 域网网管中心负责管理城域网。 各级网管中心之间通过接口实现信息交互。 网管中心与被管设备之间的网管信息通道宜优先采用带内方式。 公用计算机互联网的网管中心可通过特定的接口与综合网管系统实现连接，以实现综合的资源、故障、性能等管理功能。 网管接口 网管接口协议： 1 网管中心与被管设备之间采用基于 SNMP 的接口。 2 各级网管中心之间的接口可采用 SNMP 接口或基于 XML 的 WebServices 接口。 网管接口信息模型：公用计算机互联网中采用的 网络设备必须支持通用的公有信息模型，同时也允许提供针对自身产品特色的私有信息模型。 网管接口功能：网管接口的功能要求主要包括故障管理、计费管理、配置管理、性能管理和安全管理。 公用计算机互联网中采用的网络设备必须支持网管接口功能要求，要求提供实时的告警信息、准实时的性能信息和动态的资源配置信息，以及提供计费和安全信息。 网管功能 资源管理：实现设备管理、电路管理、路径管理、 IP 地址管理、 AS 管理、软件版本管理、资源报表统计、资源预警等功能。 YD XXXXXXXX 14 拓扑管理：实现 拓扑管理功能。 拓扑管理既要有 C/S 的界面也要能够通过 B/S 访问。 根据不同的视角和不同的侧重层次，拓扑图可以有不同的视图；实现拓扑自动发现、监视与浏览；实现基于拓扑的流量显示、资源显示、故障显示。 故障管理：应能提供列表形式的告警监视窗口，网管人员可以在视图上监视到网元的实时告警，对相关告警操作或启动相关网元的告警历史信息查询浏览功能；应具备声、光、电的告警功能；支持告警过滤、告警转发、告警确认和告警升级、告警清除；支持一定的故障关联分析。 性能监测与分析：应提供及时有效的手段对网 络性能进行监测，可以从网元、路由信息、端到端路径、网络应用等不同层次、不同方面，对网络的性能进行分析。 通过性能数据的波动，及时发现故障，并进行前期预警。 流量采集与分析：通过采集网络的链路层流量和业务流量，实现对各个网络层次的电路负载和电路拥塞的分析，对网络流量流向及网络业务类型分布进行分析。 路由管理：对网络中的路由实体进行监测，对网络路由信息及其变化情况进行分析。 QoS 管理：在网络提供 QoS 时，应提供面向网络的 QoS 的管理功能，主要包括网络层QoS 参数配置、基 于 QoS 的性能监测、基于 QoS 的流量分析等功能。 前端信息服务管理：应提供面向前端、面向业务、面向客户的功能，支持以 WEB 形式发布各种与前端、与业务的相关的统计信息。 报表统计：实现对网络的业务、资源、故障以及性能等信息进行统计发布，为网管使用人员提供多种形式的报告和图表。 安全管理功能宜由专门的 SMC 实现，具体内容见第 11 章。 YD XXXXXXXX 15 11 网络安全 安全目标与框架 公用计算机互联网的全网网络与信息安全目标是在合理的安全成本基础上，实现网络运 行安全和业务安全，即保证各类网元设备的正常运行，保证信息在网络上的安全存储传输，保障网络的运营维护管理安全。 网络安全框架由防护、检测与评估、响应闭环构成。 防护部分即基本的安全技术和安全措施，是整个网络安全的基础；检测与评估部分对全网进行实时监控，定期对全网进行安全扫描和风险评估，并将结果传给响应系统；响应部分根据检测和评估结果，调整安全策略、产生安全告警、修补安全漏洞、进行安全加固等。 防护部分、检测与评估部分的实现主要依赖于安全技术的部署。 响应部分的实现构成安全管理的技术手段。 安全管理 安全管理中心定位 安全管理中心 (SMC)从技术上将全网的安全策略体系、安全事件体系、安全响应体系和安全信息共享体系建立起来，形成全网安全保障体系，从而帮助管理员随时跟踪判断全网的安全形势，对内可以通过相应调整策略满足安全保障，对外可以提供给客户明确的、定量的网络安全事件和风险水平。 安全管理中心应实现对各种 IP 安全工具的统一管理，建立位于安全产品之上、面向管理层和决策层、与网络规模相适应的统计、分析、管理、决策系统。 安全管理中心通过中间件从防火墙设备、入侵检测设备、日志服务器等各 种安全设备系统收集的大量信息中，抽取出更加直观、易于决策的信息，并从管理角度出发，对日常安全监控数据流的处理过程进行管理、统计、分析。 同时，安全管理中心还从管理层、决策层的角度出发，对全网安全性能、安全事件处理的过程进行指标化管理，为更高管理层直接监督、控制安全事件的处理过程，直接掌握网络安全运行情况提供有效的手段。 安全管理中心体系 1 安全管理中心的体系与网管中心的体系方案应一致。 2 安全管理中心可以作为一个独立的管理平台发挥作用，也可以作为网管中心的一个功能子系统发挥作用。 3 安全管 理中心和被管设备之间的信息交换通道采用带内方式。 安全管理中心功能 1 实现安全事件集中监控。 在各类安全设备、安全软件、系统软件之上建立安全事件的YD XXXXXXXX 16 集中监控体系，实现安全事件的采集、处理、关联性定义、实时监控功能，提供安全设备部署的拓扑信息，具有一定的安全事件的统计分析和报表功能。 2 建立信息资产与安全风险管理中心，统一管理信息资产的识别、赋值、建档、变更、停用等活动，并对资产进行的漏洞和风险评估结果进行管理，同时提供统计分析功能，为建立统一的信息资产安全管理和信息安全风险评估与管理体系提供支 撑。 3 实现安全策略管理，实现安全配置管理。 根据安全检测和评估结果，调整安全策略，实现有关的安全配置。 4 实现安全事件预警，提供安全趋势分析和预警机制。 5 建立安全信息库，积累安全管理相关知识经验，为形成专家知识库提供基础。 6 实现与其它管理系统的信息交换，提供与其它系统集成的接口。