收藏
下载资源 加入VIP免费专享

[通讯标准]-YDT5037-2005.pdf

上传人:小小飞 文档编号:3694132 上传时间:2019-09-20 格式:PDF 页数:47 大小:717.78KB
返回 下载 相关 举报
[通讯标准]-YDT5037-2005.pdf_第1页
第1页 / 共47页
[通讯标准]-YDT5037-2005.pdf_第2页
第2页 / 共47页
[通讯标准]-YDT5037-2005.pdf_第3页
第3页 / 共47页
[通讯标准]-YDT5037-2005.pdf_第4页
第4页 / 共47页
[通讯标准]-YDT5037-2005.pdf_第5页
第5页 / 共47页
亲,该文档总共47页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《[通讯标准]-YDT5037-2005.pdf》由会员分享,可在线阅读,更多相关《[通讯标准]-YDT5037-2005.pdf(47页珍藏版)》请在三一文库上搜索。

1、中华人 民共和 国通信行 业标 准 YD/ T 5 0 3 7 -2 0 0 5 公用计算机互联网工程设计规范 S p e c i f i c a t i o n o f E n g in e e r in g D e s i g n f o r I n t e rne t 2 0 0 5 - 1 0 - 0 8 发布2 0 0 6 - 0 1 - 0 1 实施 中华人民共和国信息产业部发布 中华人 民共和国通信行业标准 公用计算机互联网工程设计规范 S p e c i f i c a t i o n o f E n g i n e e r in g D e s i g n f o r I n

2、 t e r n e t yD / T 5 0 3 7 - 2 0 0 5 主管部门: 信息产业部综合规划司 批准部门: 中 华人民 共和国信息产业部 施行日期: 2 0 0 6年 1 月 1日 关于发布 公用计算机 互联网工程设计规范 的通知 信部规 2 0 0 5 ) 4 6 6 号 各省、 自治区、 直辖市通信管理局 , 中国电信集团公司、 中国网络通 信集团公司、 中国移动通信集团公司、 中国联合通信有限公司、 中 国卫星通信集团公司、 中国铁通集团有限公司, 中讯邮电咨询设计 院, 中国通信建设总公司: 现将 公用计算机互联网工程设计规范 ( 编号二 Y D / T 5 0 3 7

3、- 2 0 0 5 ) 发布, 自2 0 0 6 年1 月1日 起实行。原 中国公用计算机互联 网工程设计暂行规定 ( 编号: 、 ) 5 0 3 7 -9 7 ) 同时废止。 本规范由部综合规划司负责解释、 监督执行。 本规范由北京邮电大学出版社负责出版发行。 中华人民共和国信息产业部 =00五年十月八日 前言 本 规范是根据信息产业部“ 关于安排 通信工程建设标准 修 订和制定计划的通知” ( 信部规函 2 0 0 4 1 5 0 8号) 的要求, 对原中华 人民 共和国通信行业标准Y D 5 0 3 7 -9 7 中国 公用计算机互联网工 程设计暂行规定 进行了修订。 本规范主要规定了基

4、于 I P v 4的中国公用计算机互联网的网 络结构、 网络组织、 路由协议 、 路由策略、 网间互联、 网络性能、 服务 质量、 网络管理、 网络安全、 传送技术、 业务承载、 自治域号码分配、 地址分配与域名系统、 设备配置原则、 机房设计等。 本规范用黑体字标注的 条文为强制性条文, 必须严格执行。 本规范由 信息产业部综合规划司负责解释、 监督执行。规范 在使用过程中, 如有需要补充或修改的内容, 请与部综合规划司联 系 并将补充或修改意见寄部综合规划司( 地址: 北京市西长安街 1 3号, 邮编: 1 0 0 8 0 4 ) 0 原主编单位: 原邮电 部北京设计院、 原浙江省邮电 规

5、划设计院 修订主编单位: 京移通信设 计院有限公司 主要起草人: 崔海东 修订参编单位: 华信邮电咨询设计研究院有限公司 目 次 1 总则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 2 术语和符号 . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 3 网络结构 , , , 3 3 . 1 网络层次 , 3 3 .

6、2 节点设置 , 3 4 网络组织, , , , , , , , , , , , , 4 一5 5 路由协议 7 6 路由策略 , , , , , , 8 6 . 1 路由策略设计原则 , , 8 6 . 2 路由信息的接收与宣告 , , 8 6 . 3 流量流向规划与路由选择规则 一 9 6 . 4 路由协议运行的稳定与扩展 , 9 7 网间互联 , , , , , n 7 . 1 国内网间互联 。 , 一1 1 7 . 2 国际网间互联 , , , . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1 7 . 3 网

7、间互联路由策略 , , ” 一 网络性能 服务质量 1 0网络管理 , . . , , . 一 1 0 . 1 网 管体系结构 16l6 1 0 . 2 网管接口 1 0 . 3 网管功能 1 1 网络安全 , 1 8 1 1 . 1 安全目标与框架 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 8 1 1 . 2 安全管理 , , 1 8 1 1 . 3 安全技术部署 , , , , 4 , , , 一 1 9 1 2 传送技术 - 2 0 1 3 业务承载

8、, 4 , , , , , , , , 2 1 1 4 自治域号码分配、 地址分配与域名系统 2 2 1 4 . 1 自治域号码分配 , , , , 2 2 1 4 . 2 地址分配 , 2 2 1 4 . 3 域名系统 , 2 3 1 5 设备配置原则 , 2 4 1 6 机房设计 , , 一2 6 2931 附录 A 条文说明 本规范用词说明 1 总则 1 . 0 . 1 为 丁 便公用计算机互联 网工程设计有所依据, 特制定本 规范。 1 . 0 . 2 本规范中的公用计算机互联网是指基于T C P / I P 技术的, 面向全社会个人和企事业单位提供互联网 业务和承载基于 互联网 的

9、增值电信业务, 与国际因特网 互联的I P 网络。 本规范中I P 技术 基于 I P A 版本。 1 . 0 . 3 本规范适用于公用计算机互联网骨干网新建工程设计, 改 扩建工程在合理利用原有设施的基础上参照本规范 执行。 1 . 0 . 4 设计必须贯 彻国家基本建设方针和技术经济政策, 符合相 关技术标准、 规范的规定。 1 . 0 . 5 公用计算机 互联网的设计应遵循开放性的原则, 设计的网 络应具有可运营 性、 可管理性、 可增值性、 可扩充性, 设计的网络应 安全可靠。设计应进行多方案技术经济比较, 努力降低工程造价, 提高经济效益。 1 . 0 . 6 设计应与业务和网络发展

10、规划相适应, 以近期业务需求为 主, 兼顾远期业务发展。 1 . 0 . 7 电 信基本建设中 涉及国防安全, 应执行信息产业部颁发的 电信基本建设贯彻国防要求技术规定 。 1 . 0 . 8 工程设计中采用的电信设备应取得信息产业部电 信设备 人网许可证。未取得信息产业部颁发的电信设备人网许可证的设 备不得在工程中使用。 1 . 0 . 9 当 本规范与国家标准有矛 盾时, 应以国家标准为准。 1 . 0 . 1 0 在特殊 情况 执行本规 范个别条款 有困 难时, 设计中应充分 阐述理由, 并提出采用相应措施的报告, 呈主管部门审批。 2 术语和符号 英文缩写英文名称 八S A u t o

11、 n o m o u s S y s t e m B G P B o r d e r G a t e wa y P rot o col CI D R I P I P v 4 I P v 6 I S I S C la s s l e s s I n t e r d o m a in Ro u t i n g I n te rne t P r o t o c o l I n t e rne t P rot o c o l v e r s i o n 4 I n t e r n e t P rot o col v e r s i o n 6 I n t e r me d i a t e System

12、-to-Intermediates S y s t e m Mu l t ip roto c o l L a b e l S wit c h in g Ne t wo r k Ac c e s s Po i n t Op e n S h o rte s t P a t h Fi r s t 中文名称 自治系统 边界网关协议, E C $4 为 边界网关协议版本4 无类域间路由 互联网协议 互联网协议一 第4版 互联网协议一 第6版 MPL S N 八P OS P F Q乏 RF C RI P S DH S NMP VL SM V P N WD卜 丁 XM L Qu a li t y o f S

13、 e r v i c e R e q u e s t f o r C o mme n t s Ro u t e I n f o r ma t i o n Prot o c o l S y n c h r o n o u s D i g it a l H i e r a r c h y S imp l e Ne t w o r k Ma n a g e me n t P ro t o c o l V ari a b le - L e n g th S u b n e t Ma s k Vi r t u a l Pr i v a t e Ne t wo r k Wa v e l e n g t h

14、 D i v is io n Mu l t ip le x in g E x t e n s ib l e Ma r k u p f an g u a g 中间系统到中间系统 多协议标记交换 网络访问点 开放最短路径优先路由 协议 服务质量 征求意见稿 路由信息协议 同步数字系列 简单网络管理协议 可变长子网掩码 虚拟专用网 波分复用 扩充标识语言 3 网络结构 3 . 1网络层 次 3 . 1 . 1 公用计算机互联网的网络层次应根据运营、 管理等因素确 定。网络层次可分为两级: 骨干网、 城域网, 其 中骨干网、 城域网可 分别采用独立自 治域; 网络层次也可分为三级: 省际骨干网、 省内

15、 骨干网 和城域网, 其中 省际骨干网、 省内骨干网、 城域网可分别采 用独立的自治域。在条件允许的情况下, 宜优先采用两级层次 设计。 3 . 1 . 2 在省内 城市和地区可根据业务需求组建城域网。根据业 务流量、 流向和管理等因素, 也可以组织省内跨地区的城域网。 3 . 1 . 3 网络应设置网间互联互通层, 以实现与国内、 国际其它电 信业务经营者 公用计算机互联网之间的互通。在条件允许的情况 下, 网络可设置国际互联互通层, 以实现与国外电信业务经营者公 用计算机互联网之间的互通。 3 . 2 节点设置 3 . 2 . 1 公用计算机互联网的网络节点设置应根据业务发展需要 确定,

16、综合考虑业务流量和地理位置因素, 未设置网络节点的区 域, 可通过传送网延伸业务。 3 . 2 . 2 根据节点在网络中的位置和功能定位, 可以分为汇接节 点、 接人节点、 国内互联互通节点和国际出人口节点, 其中汇接节 点可进一步分为核心汇接节点、 一般汇接节点。上述节点可位于 同一安装地点。 3 . 2 . 3 汇接节点的主要功能是汇聚、 转接来 自接人节点的业务流 量。其中核心汇接节点在网络中的位置应是业务量的集中点或者 是地理上传输电路汇聚点, 一般汇接节点的位置应满足网络的覆 盖范围 要求。 接人节点的主 要功能是接人业务和用户。骨干网主 要由汇接节点、 互联互通节点及国际出人口节点

17、组成。 3 . 2 . 4 根据业务许可和 运营需要, 可设置国 外节点。国 外节点的 功能可根据业务需要确定。 4 网络组织 4 . 0 . 1 公用计算机互联网的骨干网内可形成由一般汇接节点和 核心汇接节点构成的两个等级结构 , 一般汇接节点与核心汇接节 点连接, 核心汇接节点相互之间进行连接。骨干网的覆盖规模较 大时, 也可采用三级结构。 4 . 0 . 2 骨干网内一般汇接节点与核心汇接节点连接的拓扑形式 宜采用双星形方式, 核心汇接节点之间连接的拓扑形式可采用网 状结构 、 不完全网状结构或者是多平面结构。 4 . 0 . 3 网络内中继电路的局向组织应在保持网络层次和等级的 前提下

18、, 综合考虑业务流量流向、 传输资源等因素优化设置。 个别 业务量特别巨大的省内网或城域网之间在经济合理时可以考虑设 置直达电路。 4 . 0 . 4 网络内中继电路的局向组织应充分考虑网络流量规划和 路由选择方案的要求, 每个方向的电路均应有明确的设置 目的和 疏通流量内容。 4 . 0 . 5 网络内中 继电 路的局向组织应充分考虑网络的安全可靠。 根 据传输路由 情况和提供中 继电 路的可能, 一个节点应尽可能设 置2 个或2 个以 上方向的中继电路与其它节点连接。不同方向的 中继电路尽量由不同的传输系统开通, 并走不同的光缆路由。 4 . 0 . 6 网络内中继电路的局向组织应满足网络

19、性能的要求。一 般 情况下, 国内同一电信业务经营者的用户全程端到端连接, 通过 骨干网时最多经过8 个节点; 国内用户在骨干网内到达国际出人 口节点所经过的节点数应不超过 5 个。 4 . 0 . 7 网络每个局向中继电路的带宽设置应根据业务量矩阵、 网 络性能要求 、 网络流量流向规划等因素计算确定。在条件允许的 情况下, 可采用网络仿真工具进行计算。带宽设置必须同时考虑 传输网 络的 带宽颗粒和可能的传输网络建设成本。同 局向多条同 带宽电路的数量必须小于动态路由协议的相关功能限制。 4 . 0 . 8 若存在国 外节点和网络, 国外网络部分应通过国际出 人口 节点实现与国内网络部分的连

20、接。国外网络部分可以 作为一个单 独的自治域, 也可以和国内网络部分一起作为一个统一的自治域。 4 . 0 . 9 若在网络本身的 设计中已经比较多的考虑保护问 题, 综合 考虑性能价格因素, 原则上可不再要求传送网为互联网中 继电路 提供保护机制。 5 路由协议 5 . 0 . 1 公用计算机互联网在自 治域内应选用合适的 域内 路由 协 议。域内路由 协议应采用动态路由机制, 目 前可以选用 O S P F 或 I SI S . 5 . 0 . 2 公用计算机互联网在自 治域之间应选用合适的域间路由 协议。域间路由协 议目 前采用B G P - 4 . 5 . 0 . 3 根据业务需求,

21、网络内可以配置其它有关协议。 5 . 0 . 4 对于 用户接入一般宜采用静态路由 配置, 有需求的用户接 人也可采用 R I P , O S P F , B G P - 4 等动态路由配置。 6 路由策略 6 . 1 路由策略设计原则 6 . 1 . 1 公用计算机互联网的路由策略在工程设计中应遵守下列 原则: 1 . 通过路由 策略的实施, 实现正确的路由 信息接收与宣告。 2 .通过路由策略的实施, 在网络拓扑的配合下, 尽量避免网络 中出现单故障点、 提高网络的生存能力。 3 .通过路由策略的实施 , 应实现预期的路由选择方案, 使网络 业务流量合理的分布在各条电路上。 4 .路由策略

22、应保证网络具有可扩展性, 使得网络扩展后全部 资源可以被优化利用。 5 . 路由策略应简单、 明了, 含义明确、 便于管理维护, 应对业务 流量流向的变化具有适应性, 可以根据流量流向变化方便、 快速地 进行调整 。 6 . 2 路由信息的接收与宣告 6 . 2 . 1 公用计算机互联网宜采用域内路由协议承载网络拓扑路 由信息 , 并确定 B G P路 由的下一跳属性 ; 采用域间路由协议 B G P 承载外部网络路由信息以及用户路由信息。 6 . 2 . 2 公用计算机互联网应根据与之互联的网络的互通协议 以 及对用户的服务内容, 正确地接收与宣告对方网络的路由信息及 用户的路由信息, 并采

23、用 B G P实现对接收 宣告的内容的控制。 6 . 2 . 3 为减少互联网 路由数量, 降低路由器设备的资源消耗, 各 8 级路由 器设备对外宣告路由时 应采用无类域间路由( c mx 等方式 最大化地进行路由聚合。 6 . 3 流量流向规划与路由选择规则 6 . 3 . 1 根据网络所承载的业务种类, 对于网络存在多条可能路由 的情况下, 应 进行流量流向 规划。可采用的规划方式有: 1 . 主备疏通方式: 对于所有流量, 网络正常情况下经正常路由 疏通, 正常路由异常时经由 备用路由疏通; 2 . 分担疏通方式: 包括按所有流量分担疏通方式和按不同流 量分担疏通方式。按所有流量分担疏通

24、方式对于所有流量, 在网 络正常情况下经由 可能的路由以负载分担方式疏通; 按不同流量 分担疏通方式对于不同的流量( 例如按业务种类划分) , 在网络正 常情况下分别经由各自不同的主要路由进行疏通。 6 . 3 . 2 根据流量流向 规划, 网络应设计合适的路由选择规则。一 般的规则有: 1 . 就近原则: 业务流量根据拓扑结构确定的最短路径进行疏通; 2 . 指定路径原则: 业务流量根据预先规划的路径或者预先规 划的路径关键点( 例如出人口位置、 不同网络平面等) 进行疏通。 6 . 3 . 3 网络的路由 选择规则的实现可采用以 下技术: 1合理设计域内路由 协议的 链路权值; 2 . 合

25、理设计使用域间路由协议的各种属性赋值; 3 . 适当采用 MP L S T E技术。 6 . 3 . 4 网 络路由应尽可能进行聚 合。 6 . 3 . 5 网络中不应存在路由选择循环, 不存在路由黑洞。 6 . 4 路由协议运行的稳定与扩展 6 . 4 . 1 原则上, 在域内 和域间两种路由协议之间不进行路由信息 的互相注人。 9 6 . 4 . 2 合理设计域内 路由协议的分级或分区域。 6 . 4 . 3 合理运用路由 协议的快速收敛技术。 6 . 4 . 4 合理运用路由 协议的平稳重启( G r a c e f u l R e s t a r t ) 技术。 6 . 4 . 5 合

26、理确定网络中 运行B G P 协议的节点范围。一般地, 为 保 证B G P 路由的连通性和加速收敛, 在骨干网自 治域内所有路由 器 均应运行域内 B G P , 并采用路由反射器技术提高域内B G P会话的 扩展性, 路由反射器应冗余设置。 6 . 4 . 6 尽量在网络边缘接人处对路由进行聚合收敛, 并采用设置 B G P阻尼的方式来减小由于中继电路不稳定对网络的影响。 7 网间互联 7 . 1国内网间互联 7 . 1 . 1 各电信业务经营者的公用计算机互联网可通过国内N A1 也可通过两网间的直联电路实现互联。 7 . 1 . 2 互联应设置多于 1 个的互联点, 并实现不同互联点之

27、间互 联流量的疏通备份。互联点应优先选择在骨干网中的互联互通层 面 。 7 . 1 . 3 省内网间互 联电路的设置应根据业务需要双方协商确定。 7 . 1 . 4 国内网间互联带赛应根据仲务需求双方协商确定 7. 2国际网间互联 7 . 2 . 1 条件许可时, 公用计算机互联网可以直接和国外互联网实 现互联。互联必须通过批准的国际出人口节点实现。 7 . 2 . 2 具备条件时, 公用计算机互联网可以和 1 家以上的国外互 联网进行互联, 以实现互联网国际业务的疏通备份或分担。 7 . 2 . 3 国 际网间互 联带宽应根据业务需求双方协商确定。 7 . 3 网间互联路由策略 7 . 3

28、. 1 合理设计网间互联路由策略, 实现互联业务疏通的路由优 化, 尽量减少不合理的互联业务路由 走向, 并有效利用互联带宽。 7 . 3 . 2 网间互联应对人网流量进行控制, 主要可以通过控制向互 联对方网络宣告的路由信息内容、 通过配置调整相应B G P 路由的 1 1 有关属 性参数, 引导人网流量。 7 . 3 . 3 网间互联应对出网流量进行控制, 主要可以通过配置 B G P 路由的有关属性参数、 与互联对方网络协商有关 B G P路由有关属 性参数赋值含义及方式, 引导出网流量。 7 . 3 . 4 国际网间互联路由可以采用穿透方式或对等方式。 8 网络性能 8 . 0 . 1

29、 公用计算机互联网的网络性能应符合Y D / T 1 1 7 1 -2 0 0 1 ( I P网络技术要求 一网络性能参数与指标 标准的有关规定 9 服务质量 9 . 0 . 1 在估算所承载的各种业务的平均速率和峰值速率的基础 上, 合理设计链路带宽。 9 . 0 . 2 在采用主备疏通方式的流量规划方式下, 中继电 路的带宽 平均峰值利用率宜设计在 5 0 %-7 0 %区间内; 在采用分担疏通方 式的流量规划方式下, 中继电路的带宽平均峰值利用率宜设计在 4 0 %-5 0 %区间内。 9 . 0 . 3 根据业务需求, 公用计算机互联网可积极采用各种 I P Q o S 技术。 1 0

30、 网络管理 1 0 . 1 网管体系结构 1 0 . 1 . 1 公用计算机互联网的网 管体系结构应根据电信业务经营 者的运维管理体系来设计。一般可以采用三级结构或两级结构: 1 采用两级网管体系: 设置骨干网网管中心和城域网网管中 心。骨干网网 管中 心负责管理骨干网, 并可以 采用集中管理、 省级 分级操作的管理方式, 同时在各省设置省级操作维护中心。骨干 网网管中心可在异地设置一个备用网管中心。 城域网网管中心负责管理城域网, 城域网网管中心也可在省 内全省集中设置。 城域网网管中心与骨干网网管中心之间通过接口实现信息交 互。 2 . 采用三级网管体系: 设置一级网管中心、 二级网管中心

31、和城 域网网管中心。一级 网管中心全国设置一个, 负责省际骨干网络 的管理。二级网管中心每省设置一个, 负责省内骨干网络的管理。 城域网网管中心负责管理城域网。 各级网管中心之间通过接口实现信息交互。 1 0 . 1 . 2 网管中 心与被管设备之间的网管信息通道宜优先采用带 内方式。 1 0 . 1 . 3 公用计算机互联网的网管中心可通过特定的接 口与经营 者的综合网管系统实现连接, 以实现综合的资源、 故障、 性能等管 理功能, 也可与经营者的其它支撑系统进行接口。 1 0 . 2 网管接口 1 0 . 2 . 1 网管接口协议: 1 .网管中心与被管设备之间主要采用 S N MP接口。

32、 2 . 各级网管中心之间的 接口 可采用S N M P 接口或基于X ML 的We b S e roic e s 接口。 1 0 . 2 . 2 网管接口信息模型: 公用计算机互联网中采用的网络设 备必须支持通用的公有信息模型, 同时也允许提供针对 自身产品 特色的私有信息模型。 1 0 . 3 网管功能 1 0 . 3 . 1 电信业务经营者可根据运维管理需要设计网管功能, 一 般可提供以下网管功能: 1 . 资源管理: 实现设备管理、 电路管理、 路径管理、 I P 地址管 理、 A S号管理、 软件版本管理、 MP L S V P N管理、 资源报表统计、 资 源预警等功能。 2 .

33、拓扑管理: 实现拓扑管理功能。 根据不同的视角和不同的 侧重层次, 拓扑图可以有不同的视图; 实现拓扑 自动发现、 监视与 浏览; 实现基于拓扑的流量显示 、 资源显示、 配置显示和故障显示 等。 3 . 配置管理: 实现对网元设备的配置, 可保存历史配置信息并 可对不同配置进行比较。 4 . 故障管理: 提供列表形式的告警监视窗口, 可在窗口视图上 监视到网元的实时告警、 对相关告警进行操作或启动相关网元的 告警历史信息查询浏览功能; 具备各种告警提示手段; 支持告警过 滤、 告警转发、 告警确认和告警升级、 告警清除; 支持故障关联 分析。 5 . 性能监测与分析: 对网络性能进行监测,

34、可从网元 、 路由信 息、 端到端路径、 网络应用等不同层次、 不同方面, 对网络的性能进 1 6 行分析。通过对性能数据的监测及时发现故障, 并进行前期预警。 6 . 流量采集与分析: 通过采集网 络流量, 实现对各个网络层次 的电路负载和电路拥塞的分析, 对网络流量流向及网络业务类型 分布进行分析。 7路由管理: 对网络中的路由 实体进行监测, 对网 络路由信息 及其变化情况进行分析。 8 . Q o S 管理: 在网 络提供Q G S 时, 提供面向网络的Q D S 的管 理功能, 主要包括网 络层Q O S 参数配置、 基于Q O S 的性能监测、 基 于 Q O S的流量分析等功能。

35、 9 . 前 端信息服务管理: 以WE B形式发布各种网管实时信息 或统计信息。 1 0 . 报表统计: 实现对网 络的 业务、 资源、 故障以 及性能等信息 进行统计, 提供多种形式的报告和图表。 1 1 . 安全管理功能具体内容见本规范第1 1 章有关内 容。 1 1 网络安全 1 1 . 1 安全 目标与框架 1 1 . 1 . 1 公用计算机互联网的网络与信息安全目 标是在合理的安 全成本基础上, 实现网络运行安全和业务安全, 即保证各类网元设 备的正常运行 , 保证信息在网络上的安全存储传输, 保障网络的运 营维护管理安全。 1 1 . 1 . 2 网络安全框架由防护、 检测与评估

36、、 响应闭环构成。防护 部分即基本的安全技术和安全措施, 是整个网络安全的基础; 检测 与评估部分对全网进行实时监控, 定期对全网进行安全扫描和风 险评估, 并将结果传给响应系统; 响应部分根据检测和评估结果, 调整安全策略、 产生安全告警、 修补安全漏洞、 进行安全加固等。 1 1 . 2 安全管理 1 1 . 2 . 1 安全管理中心是实现安全管理的技术平台。 安全管理中 心实现对各种 I P安全工具的统一管理, 建立位于安全产品之上、 面向管理层的监视、 管理、 统计、 分析系统。安全管理中心通过中 间件从防火墙设备、 人侵检测设备、 日志服务器等各种安全设备收 集的信息中 抽取出更加直

37、观、 易于决策的信息, 并从管理角度出 发, 对 日常安全监控数据流的处理过程进行管理 、 统计、 分析。同 时, 安全管理中心还可对全网安全性能、 安全事件处理的过程进行 指标化管理, 为更高管理层直接监督、 控制安全事件的处理过程, 直接掌握网络安全运行情况提供有效的手段。 1 1 . 2 . 2 安全管理中心可以作为一个独立的管理平台发挥作用, 也可以作为网管中心的一个功能子系统。 1 8 1 1 . 2 . 3 安全管理中心宜实现如下功能: I . 实现安全事件集中监控。在各类安全设备、 安全软件、 系统 软件之上建立安全事件的集中监控体系, 实现安全事件的采集、 处 理、 关联性定义

38、、 实时监控功能, 提供安全设备部署的拓扑信息, 具 有一定的安全事件的统计分析和报表功能。 2 建立信息资产与安全风险管理中心, 统一管理信息资产的 识别、 赋值、 建档、 变更、 停用等活动, 并对资产进行的漏洞和风险 评估结果进行管理, 同时提供统计分析功能, 为建立统一的信息资 产安全管理和信息安全风险评估与管理体系提供支撑。 3 实现安全策略管理, 实现安全配置管理。根据安全检测和 评估结果, 调整安全策略, 实现有关的安全配置。 4 实现安全事件预警, 提供安全趋势分析和预警机制。 5 建立安全信息库, 积累安全管理相关知识经验, 为形成专家 知识库提供基础。 6 . 实现与其它管

39、理系 统的信息交换, 提供与其它系统集成的 接 口。 1 1 . 3 安全技术部署 1 1 . 3 . 1 在工程设计 中应根据需要适当部署安全技术手段, 以实 现安全防护、 安全检测与评估等。一般地, 可采用如下的安全技术 手段 : 1 . 鉴别和认证。 2 _ 访间控制。 3 .内容安全。 4 . 冗余和 恢复。 5 审计和响应。 1 2 传送技术 1 2 . 0 . 1 公用计算机互联网骨干网的传送网 应以光 传送网为主。 1 2 . 0 . 2 公用 计算机互联网骨干网的传送网宜主要采用 I P O v e r S D H和 I P O v e r WD N ! 技术, 其中I P O

40、v e r WD M 可采用基于 S D H 帧结构的技术方案。 1 3 业务承载 1 3 . 0 . 1 互联网业务中的 基本数据业务通过配置接人设备实现接 入业务和 I P V P N业务, 通过建设 I D C实现 I D C业务。 1 3 . 0 . 2 互联网业务中增值数据业务以互联网为承载网络, 通过 建设相 关的业务平台, 提供各种业务。 1 3 . 0 . 3 互 联网承载各种业务, 应根据各种业务的服务质量、 可靠 性、 安全性等方面的要求 , 采用一定的承载技术实现。对于可靠性 要求, 可以通过网络的冗余等方式实现; 对于安全性和服务质量要 求, 可以通过网络承载的隔离(

41、例如 V P N方式的隔离、 物理平面方 式的隔离等) 以及 各种服务质量保证技术实 现。 1 3 . 0 . 4 互联网的业务承载能力应根据业务需求预测确定。为保 证网络易于扩展, 网络设备的业务承载能力满足期可适当长些, 网 络中 继电路的业务承载能力满足期一般不宜超前超过2 年。 1 3 . 0 . 5 互联网可以建设满足业务需求的独立的计费体系, 并且 能够提供各 种计费方式。 互联网业务的结算应纳人到电信业务经 营者的 综合结算帐务系统中, 完成省际 结算和网间结算。 1 4 自治域号码分配、 地址分配与域名系统 1 4 . 1 自治域号码分配 1 4 . 1 . 1 自 治域( A

42、 S ) 号码的分配: 自治域号码由电信业务经营者 向相关组织申请。对于私有的自治域号码在一个电信业务经营者 内部应统一分 配 1 4 . 2 地址分配 1 4 . 2 . 1 I P 地址用于用户和应用的标识和网 络路由。 公用计算机 互联网应统一规划 I P地址, 包括网络设备端口互联地址、 网络设 备管理地址、 用户地址和业务地址等。 1 4 . 2 . 2 I P地址规划和分配应遵循下列原则: 1 . 按需分配, 避免 I P地址的浪费。 地址分配时应根据网络各节点的规模、 建设周期、 业务发展预 测等因素综合考虑, 本着既满足需求又不造成浪费的原则进行分 配。在网络建设、 扩容过程中

43、规划地址时, 应在满足网络近期发展 的前提下, 尽可能地节约使用, 避免 l P地址的浪费。 2 . 充分利用 C I D R, VL S M等技术 , 合理高效地使用 I P地址。 在规划地址时, 应打破传统 A类、 B类、 C类地址的划分, 充分 利用 C I D R方式及可变长子网掩码( VL S M) 等技术, 合理 、 高效地 使用 I P地址, 不应使用 C类地址做为规划的最小单位。划分子网 掩码时要注意保持地址的连续和路由表的优化。 3提高地址利用率。 地址规划和分配时应注意按需分配, 不造成浪费, 提高地址利 用率。合理扩大分配窗口值, 尽可能提高已获得的 I P v 4地址的利 22 用率。 4 保持地址分配的连续性。 为 保证

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1