公用计算机互联网工程设计规范

YD中华人民共和国通信行业标准YD/T XXXX-200X公用计算机互联网工程设计规范Code for design of internet engineering（2004年版）( 送审稿 )200X-XX-XX实施200X-XX-XX发布中华人民共和国信息产业部发布.中华人民共和国通信行业标准公用计算机互联网工程设计规范Code for design of internet engineeringYD/T XXXX-XXXX（2004年版）主管部门：信息产业部综合规划司批准部门：中华人民共和国信息产业部施行日期：200X年XX月XX日XXXX 出 版 社200X 北 京前 言1997年编制的中国公用计算机互联网工程设计暂行规定YD 5037-97已使用多年。近几年，出台了一系列的IP网络相关的行业标准，各电信运营企业也根据自身的业务定位和业务需求建设了各自的公用计算机互联网，并实现了互联互通。为适应我国电信业的发展，在信息产业部综合规划司的组织领导下，由京移通信设计院有限公司(原信息产业部北京邮电设计院)全面修订中国公用计算机互联网工程设计暂行规定YD 5037-97。经过调查研究，征求了多个电信运营企业及相关设计院和技术专家的意见，总结了原中国公用计算机互联网工程设计暂行规定YD 5037-97发布实施以来设计的实践经验，参照国家现行相关技术规范、标准及规定，确定了本规范的修订原则，对原规定进行了全面的修改。经反复讨论修改，后经有关部门会审定稿。原中国公用计算机互联网工程设计暂行规定YD 5037-97主要针对原中国电信公用计算机互联网的网络情况给出了工程设计规定，本规范在修订时充分考虑了目前国内各电信运营企业的公用计算机互联网的发展与建设需求，针对公用计算机互联网在工程设计中的共性技术要求方面给出了规定，同时将原规定的名称改为公用计算机互联网工程设计规范。本规范主要规定了基于IPv4的我国公用计算机互联网的网路结构、网路组织、路由协议、路由策略、网间互联、网络性能、服务质量、网络管理、网络安全、传送技术、业务、编号方案、地址分配与域名系统、设备配置原则、机房设计等。本规范主要规定了互联网网络工程的相关设计要求，不包括基于互联网的业务系统的工程设计要求，但是本规范中给出了互联网相关业务的描述，并对业务承载、业务和用户接入、业务计费与结算等方面给出了规定。本规范适用于基于IPv4的我国公用计算机互联网的工程规划和建设。本规范由信息产业部综合规划司负责解释、修订、监督执行。原主编单位：原邮电部北京设计院、原浙江省邮电规划设计院修订主编单位：京移通信设计院有限公司主要起草人：XXX.目 次前 言1 总 则12 术语、符号23 网路结构53.1 网络层次53.2 节点设置54 网路组织65 路由协议76 路由策略86.1 路由策略设计原则86.2 路由信息的接收与宣告86.3 流量流向规划与路由选择规则86.4 路由协议运行的稳定性与扩展性97 网间互联107.1 国内网间互联107.2 国际网间互联107.3 网间互联路由策略108 网络性能119 服务质量1210 网络管理1310.1 网管体系结构1310.2 网管接口1310.3 网管功能1311 网络安全1511.1 安全目标与框架1511.2 安全管理1511.3 安全技术部署1612 传送技术1813 业务1913.1 业务种类1913.2 业务描述1913.3 业务承载2013.4 业务和用户接入方式2113.5 业务计费与结算2214 编号方案、地址分配与域名系统2314.1 编号方案2314.2 地址分配2314.3 域名系统2415 设备配置原则2516 机房设计26附录A 本规范用词说明28附：条文说明29.1 总 则1.0.1 为了使公用计算机互联网工程设计有所依据，特制定本规范。1.0.2 本规范中的公用计算机互联网是指基于TCP/IP技术的，面向全社会个人和企事业单位提供互联网业务和承载基于互联网的增值电信业务，与国际因特网互联的IP网络。本规范中IP技术基于IPv4版本。1.0.3 本规范适用于公用计算机互联网新建工程设计，改扩建工程在合理利用原有设施的基础上参照本规范执行。1.0.4 设计必须贯彻国家基本建设方针和技术经济政策，符合相关技术标准、规范的规定。1.0.5 公用计算机互联网的设计应遵循开放性的原则，设计的网络应具有可运营性、可管理性、可增值性、可扩充性，设计的网络应安全可靠。设计应进行多方案技术经济比较，努力降低工程造价，提高经济效益。1.0.6 设计应与业务和网络发展规划相适应，以近期业务需求为主，兼顾远期业务发展。1.0.7 当本规范与国家标准有矛盾时，应以国家标准为准。1.0.8 在特殊情况下执行本规范个别条款有困难时，设计中应充分阐述理由，并提出采用相应措施的报告，呈主管部门审批。2 术语和符号本规范使用了以下符号：AC接入控制器ACL 访问控制列表ADSL非对称数字用户线AP接入点AS 自治系统ATM异步转移模式BGP 边界网关协议，BGP-4为边界网关协议版本4BRAS宽带接入服务器B/S浏览器/服务器模式CAR承诺访问速率CBWFQ 基于类的加权公平排队CIDR无类域间路由CoS服务等级C/S客户机/服务器模式CSD电路交换数据DDN数字数据网DiffServ差分服务模式DWDM密集型波分复用DSCP DiffServ码点ENUM电话号码到 URI的映射FR帧中继GE千兆比特以太网GPRS通用分组无线业务GRE通用路由封装GSM全球移动通信系统GTS通用流量整形ICP互联网内容提供商IDCInternet数据中心IEEE电气和电子工程师学会美IETF因特网工程师任务组IntServ 集成服务模式IP互联网协议IP800基于IP的800号业务IPv4互联网协议-第4版IPv6互联网协议-第6版IPSecIP安全协议ISDN综合业务数字网IS-IS中间系统-中间系统ISP互联网服务提供商L22层L2TP第2层隧道协议L33层LLQ 低延迟队列LMDS本地多点分配业务MIB管理信息库MPLS多协议标记交换MSTP多业务传送平台NAP网络接入点NAS网络接入服务器OSPF开放最短路径优先路由协议PHB逐跳转发行为PKI公共密钥基础设施POSSDH上传送IPPQ优先队列PSTN公用电话交换网QoS服务质量RADIUS拨号用户远程认证服务RED随机早期探测RFC征求意见稿RPR弹性分组环RSVP资源预留协议SDH同步数字体系SmartCard智能卡SMC安全管理中心SNMP简单网络管理协议SP服务提供商TE流量工程Token令牌VLSM可变长子网掩码VOIPIP承载语音VPN虚拟专用网WAP无线应用协议WFQ加权公平排队WRED加权随机早期检测WLAN无线局域网WWW 万维网XML扩充标识语言E-LSP 一种MPLS CoS方案，在LER上将IP DS字节映射到MPLS标记的EXP位，通过EXP位向LSR表示分组的QoS要求L-LSP一种MPLS CoS方案，在LER上将IP DS字节映射为一个LSP，通过标记和EXP位向LSR表示分组的QoS要求3 网路结构3.1 网络层次3.1.1 公用计算机互联网的网络层次应根据运营、管理等因素确定。网络层次可分为两级：骨干网、城域网，其中骨干网、城域网分别采用独立自治域；网络层次也可分为三级：省际骨干网、省内骨干网和城域网，其中省际骨干网、省内骨干网、城域网可分别采用独立的自治域。在条件允许的情况下，宜优先采用网络层次少的设计。3.1.2 在省内城市和地区可根据业务需求组建城域网。根据业务流量、流向和管理等因素，也可以组织省内跨地区的城域网。3.1.3 网络应设置国内网间互联互通层，以实现与国内其他运营商互联网之间的互通。3.1.4 在条件允许的情况下，网络可设置国际出入口节点，以实现与国外运营商互联网之间的互通。3.2 节点设置3.2.1 公用计算机互联网的网络节点设置应根据业务发展需要确定，综合考虑业务流量和地理位置因素，未设置网络节点的区域，可通过传送网延伸业务。3.2.2 根据节点在网络中的功能定位，按照节点在网络中的位置，可以分为核心节点和一般节点；按照节点在网络中的功能，可以分为汇接节点、接入节点、国内互联互通节点和国际出入口节点。上述节点可位于同一地点。3.2.3 根据网络的规模情况，城域网内也可设置核心汇接节点、一般汇接节点和接入节点，或仅设置一般核心节点和接入节点。3.2.4 核心节点在网络中的位置应是业务量的集中点或者是地理上传输电路汇聚点，一般节点的位置应满足网络的覆盖范围要求。汇接节点的主要功能是汇聚、转接来自接入节点的业务流量，接入节点的主要功能是接入下一层次网络或者直接接入业务和用户。3.2.5 根据业务许可和运营需要，可设置国外节点。4 网路组织4.0.1 为了减少对长途传输电路的资源消耗、提高网络的动态路由收敛性能，原则上，公用计算机互联网的骨干网内或省网内应形成由一般节点和核心节点构成的两个等级结构，一般节点与核心节点连接，核心节点相互之间进行连接。骨干网的覆盖规模较大时，也可形成由一般节点、普通核心节点和骨干核心节点的三个等级结构。城域网也可以根据规模情况，与城域网内节点设置情况相对应，采用两级结构或者是三级结构。4.0.2 骨干网或省网内一般节点与核心节点连接的拓扑形式宜采用双星形方式，核心节点之间连接的拓扑形式可采用网状结构、不完全网状结构或者是多平面结构。城域网内可以采用双星形、环形等拓扑结构。4.0.3 网络内中继电路的局向组织应在保持网络层次和等级的前提下，综合考虑业务流量流向、传输资源等因素优化设置。个别业务量特别巨大的省网或城域网之间在经济合理时可以考虑设置直达电路。4.0.4 网络内中继电路的局向组织应充分考虑网络流量规划和路由选择方案的要求，每个方向的电路均应有明确的设置目的和疏通流量内容。4.0.5 网络内中继电路的局向组织应充分考虑网路的安全可靠。根据传输路由情况和可提供中继电路的可能，网络接入节点应尽可能设置2个方向的中继电路联入核心节点，网络核心节点应尽可能设置2个或2个以上方向的中继电路与其它核心节点连接。不同方向的中继电路尽量由不同的传输系统开通，并走不同的光缆路由。4.0.6 网络内中继电路的局向组织应满足网络性能的要求。一般情况下，国内用户全程全网端到端连接，中间最多经过10个节点；国内用户到达国际出入口节点所经过的节点数应不超过6个。4.0.7 网络每个局向中继电路的带宽设置应根据业务量矩阵、网络性能要求、网络流量流向规划等因素计算确定。在条件允许的情况下，可采用网络仿真工具进行计算。带宽设置必须同时考虑传输网络的带宽颗粒和可能的传输网络建设成本。同局向多条同带宽电路的数量必须小于动态路由协议的相关功能限制。4.0.8 若存在国外节点和网络，国外网络部分应通过国际出入口节点实现与国内网络部分的连接。国外网络部分可以作为一个单独的自治域，也可以和国内网络部分一起作为一个统一的自治域。4.0.9 若在网络本身的设计中已经比较多的考虑保护问题，综合考虑性能价格因素，原则上可不要求传送网为互联网中继电路提供保护机制。4.0.10 为保证业务质量和用户感受的一致性，主备电路或者分担电路的传输延迟尽量一致。5 路由协议5.0.1 公用计算机互联网在自治域内应选用合适的域内路由协议。域内路由协议应采用动态路由机制，目前可以选用OSPF或IS-IS。5.0.2 公用计算机互联网在自治域之间应选用合适的域间路由协议。域间路由协议目前采用BGP-4。5.0.3 根据业务需求，网络内可以配置有关组播路由协议。5.0.4 根据业务和用户需要，对于用户接入一般宜采用静态路由配置，部分有需求的终端规模较大的企事业单位用户的接入也可采用RIP、OSPF、BGP-4等动态路由配置。6 路由策略6.1 路由策略设计原则6.1.1 公用计算机互联网的路由策略在工程设计中应遵守下列原则：1 通过路由策略的实施，实现正确的路由信息接收与宣告。2 通过路由策略的实施，在网络拓扑的配合下，应实现避免网络中出现单故障点、提高网络的生存能力。3 通过路由策略的实施，应实现预期的路由选择方案，实现网络流量规划，使网络业务流量合理的分布在各条电路上。4 路由策略应保证网络具有可扩展性，使得网络扩展后全部资源可以被优化利用。5 路由策略应简单、明了，含义明确、便于管理维护，应对业务流量流向的变化具有适应性，可以根据流量流向变化方便、快速地进行调整。6.2 路由信息的接收与宣告6.2.1 原则上，公用计算机互联网可采用域内路由协议承载网络中继电路路由信息，并确定BGP路由的下一跳属性；采用域间路由协议BGP承载外部网络路由信息以及用户路由信息。6.2.2 公用计算机互联网应根据与之互联的网络的互通协议以及对用户的服务内容，正确地接收与宣告对方网络的路由信息及用户的路由信息，并采用BGP实现对接收、宣告的内容的控制。6.2.3 为减少互联网路由数量，降低路由器设备的资源消耗，各级路由器设备对外宣告路由时应采用无类域间路由(CIDR)等方式最大化地进行路由聚合。6.2.4 根据业务需求，网络可设计合适的组播路由域。6.3 流量流向规划与路由选择规则6.3.1 根据网络所承载的业务种类，对于网络存在多条可能路由的情况下，应进行合适的流量流向规划。一般的规划方式有： 主备疏通方式：对于所有流量，网络正常情况下经正常路由疏通，正常路由异常时经有备用路由疏通； 按流量分担疏通方式，对于所有流量，在网络正常情况下经由可能的路由以负载分担方式疏通，异常时业务疏通质量将有所降质； 按业务分担疏通方式：对于不同的流量(例如按业务种类)，在网络正常情况下分别经由各自不同的主要路由进行疏通，异常时业务疏通质量将有所降质。规划优化的原则为尽量满足网络所承载业务的质量、可靠性等要求，全网的整体资源利用率高，同时要易于维护管理，并方便进行流量调整。6.3.2 根据流量流向规划，网络应设计合适的路由选择规则。一般的规则有： 就近原则：业务流量根据拓扑结构确定的最短路径进行疏通； 指定路径原则：业务流量根据预先规划的路径或者预先规划的路径关键点(例如出入口位置、不同网络平面等)进行疏通。6.3.3 网络的路由选择规则的实现可采用以下技术： 合理设计域内路由协议的链路权值； 运用域间路由协议的各种属性并合理设计赋值； 采用MPLS TE技术。6.3.4 网络路由应尽可能进行聚合。根据网络路由选择规则的需要，网络中可以存在适当的非聚合路由。6.3.5 网络中不应存在路由选择循环，不存在路由黑洞。6.4 路由协议运行的稳定性与扩展性6.4.1 为提高网络的稳定性，原则上在域内和域间两种路由协议之间不进行路由信息的互相注入。6.4.2 根据网络规模，合理设计域内路由协议的分级或分区域，以提高网络的稳定性。在网络中继电路带宽较宽、网络节点设备的计算能力较强时，尽量采用不分级和不分区域的域内路由协议方案，以方便优化网络路由。6.4.3 为了快速跟踪网络中继电路状态变化情况，降低可能的电路中断对业务的影响，应合理运用路由协议的快速收敛技术，并合理设计有关的故障检测定时器范围。6.4.4 应合理运用路由协议的雅致重启(Graceful Restart)技术，以提高网络运行的稳定性。6.4.5 根据路由选择需要，应合理确定网络中运行BGP协议的节点范围。一般地，为保证BGP路由的连通性和加速收敛，在骨干网自治域内所有路由器均应运行域内BGP，并采用路由反射器技术提高BGP会话的扩展性，路由反射器应冗余设置。6.4.6 尽量在网络边缘接入处对路由进行聚合收敛，并采用设置BGP阻尼的方式来减小由于中继电路不稳定对网络的影响。7 网间互联7.1 国内网间互联7.1.1 各运营商的公用计算机互联网在国内应实现互联。互联可通过国内NAP或者通过两网间的直连互联电路实现。7.1.2 两个网络的国内互联应设置多于1个的互联点，并实现不同互联点之间互联流量的疏通备份。互联点应首先设置在骨干网中的互联互通层面。7.1.3 对于部分业务量大的省份，可以开通省内网间互联电路，但是该互联电路应仅用于疏通省内部分两网间的互联业务。7.1.4 国内网间互联带宽应根据业务需求双方协商确定。7.2 国际网间互联7.2.1 条件许可时，根据业务需要，公用计算机互联网可以直接和国外的互联网实现互联。互联必须通过批准的国际出入口节点实现。7.2.2 具备条件时，公用计算机互联网可以和1家以上的国外互联网进行互联，以实现互联网国际业务的疏通备份或分担。7.2.3 国际网间互联带宽应根据业务需求确定。7.3 网间互联路由策略7.3.1 网络应设计合理的网间互联路由策略，实现互联业务疏通的路由优化，尽量减少不合理的互联业务路由走向，并有效利用互联带宽。7.3.2 网间互联应对入网流量进行控制，主要可以通过控制向互联对方网络宣告的路由信息内容、通过配置调整相应BGP路由的有关属性参数，引导入网流量。7.3.3 网间互联应对出网流量进行控制，主要可以通过配置BGP路由的有关属性参数、与互联对方网络协商有关BGP路由有关属性参数赋值含义及方式，引导出网流量。7.3.4 国际网间互联路由可以采用穿透方式或对等方式。8 网络性能8.0.1 IP网络性能指标包括： 吞吐量：网络两个节点之间特定业务流的平均速率； 延迟：IP包在进入网络节点和离开网络节点之间的平均历时，可以是单向延迟或是往返延迟； 抖动：IP包延迟的变化； 包丢失率：IP包在网络传送过程中丢失报文的百分比； 可用性：网络可以为用户提供服务的时间的百分比。8.0.2 不同的用户及业务对IP网络性能指标的要求是不同的，本规范只对网络轻载条件下的网络性能提出建议，在工程建设中，应该根据实际情况对上述性能指标提出建设要求。一般公用计算机互联网网络性能指标参考建议如下： 单向延迟：150ms(全网国内端到端，包括传输延迟和设备延迟，个别偏远地区除外)； 抖动：20ms； 包丢失率：1； 可用性：99.99。9 服务质量9.0.1 公用计算机互联网应在仔细规划估算所承载的各种业务的平均速率和峰值速率的基础上，合理设计链路带宽。在不采用各种QoS技术的情况下，网络可采用轻载方式提高服务质量： 在采用主备疏通方式的流量规划方式下，中继电路的带宽平均峰值利用率宜设计在5070区间内； 在采用分担疏通方式的流量规划方式下，中继电路的带宽平均峰值利用率宜设计在4050区间内。9.0.2 根据业务需求，公用计算机互联网可积极采用以下各种IP QoS技术：1 基于RSVP的IntServ方案是一种端到端基于流的QoS技术，目前粒度为单个流的资源预留的解决思路在互联网上扩展性无法保证，不建议采用。 2 基于DSCP的DiffServ方案是一种基于类的QoS技术，通过将业务定义为有限的类，可以较好地解决扩展性问题，建议可主要采用。3 MPLS可以与DiffServ结合，提供MPLS CoS。MPLS与DiffServ的结合可以将DS字节的设置融入MPLS的标记分配过程中，使得MPLS标记具备区分分组服务质量的能力。包括E-LSP方案和L-LSP方案，目前可主要采用E-LSP方案。4 MPLS TE是一种间接改善网络QoS的技术。MPLS TE利用了LSP支持显示路由的能力，在网络资源有限的前提下，将网络流量合理引导，间接改善网络服务质量。MPLS DiffServ-Aware TE在MPLS TE的基础上，增加了基于类别的资源管理，充分利用了DiffServ的可扩展性以及MPLS 的显式路由能力，是解决IP QoS的较好技术之一。9.0.3 考虑到IP QoS现实技术成熟程度的限制和大规模运用经验的缺乏，IP QoS的引入实施及完善将是长期的过程。公用计算机互联网的工程设计应随时注意新技术的发展和可能的实际应用。10 网络管理10.1 网管体系结构10.1.1 根据运营管理需要，以及网络层次结构特点，公用计算机互联网的网管体系结构可以采用三级结构或两级结构：1 与两层网络相对应，可以采用两级网管体系：设置骨干网网管中心和城域网网管中心。骨干网网管中心负责管理骨干网，并可以采用集中管理、省级分级操作的管理方式，同时在各省设置省级设立维护操作中心。骨干网网管中心应在异地设置一个备用网管中心。城域网网管中心负责管理城域网，城域网网管中心也可在省内全省集中设置。城域网网管中心与骨干网网管中心之间通过接口实现信息交互。2 与三层网络相对应，可以采用三级网管体系：设置一级网管中心、二级网管中心和城域网网管中心。一级网管中心全国设置一个，负责省际骨干网络的管理。二级网管中心每省设置一个，负责省内骨干网络的管理。城域网网管中心负责管理城域网。各级网管中心之间通过接口实现信息交互。10.1.2 网管中心与被管设备之间的网管信息通道宜优先采用带内方式。10.1.3 公用计算机互联网的网管中心可通过特定的接口与综合网管系统实现连接，以实现综合的资源、故障、性能等管理功能。10.2 网管接口10.2.1 网管接口协议：1 网管中心与被管设备之间采用基于SNMP的接口。2 各级网管中心之间的接口可采用SNMP接口或基于XML的WebServices接口。10.2.2网管接口信息模型：公用计算机互联网中采用的网络设备必须支持通用的公有信息模型，同时也允许提供针对自身产品特色的私有信息模型。10.2.3网管接口功能：网管接口的功能要求主要包括故障管理、计费管理、配置管理、性能管理和安全管理。公用计算机互联网中采用的网络设备必须支持网管接口功能要求，要求提供实时的告警信息、准实时的性能信息和动态的资源配置信息，以及提供计费和安全信息。10.3 网管功能10.3.1 资源管理：实现设备管理、电路管理、路径管理、IP地址管理、AS管理、软件版本管理、资源报表统计、资源预警等功能。10.3.2 拓扑管理：实现拓扑管理功能。拓扑管理既要有C/S的界面也要能够通过B/S访问。根据不同的视角和不同的侧重层次，拓扑图可以有不同的视图；实现拓扑自动发现、监视与浏览；实现基于拓扑的流量显示、资源显示、故障显示。10.3.3 故障管理：应能提供列表形式的告警监视窗口，网管人员可以在视图上监视到网元的实时告警，对相关告警操作或启动相关网元的告警历史信息查询浏览功能；应具备声、光、电的告警功能；支持告警过滤、告警转发、告警确认和告警升级、告警清除；支持一定的故障关联分析。10.3.4 性能监测与分析：应提供及时有效的手段对网络性能进行监测，可以从网元、路由信息、端到端路径、网络应用等不同层次、不同方面，对网络的性能进行分析。通过性能数据的波动，及时发现故障，并进行前期预警。10.3.5 流量采集与分析：通过采集网络的链路层流量和业务流量，实现对各个网络层次的电路负载和电路拥塞的分析，对网络流量流向及网络业务类型分布进行分析。10.3.6 路由管理：对网络中的路由实体进行监测，对网络路由信息及其变化情况进行分析。10.3.7 QoS管理：在网络提供QoS时，应提供面向网络的QoS的管理功能，主要包括网络层QoS参数配置、基于QoS的性能监测、基于QoS的流量分析等功能。10.3.8 前端信息服务管理：应提供面向前端、面向业务、面向客户的功能，支持以WEB形式发布各种与前端、与业务的相关的统计信息。10.3.9 报表统计：实现对网络的业务、资源、故障以及性能等信息进行统计发布，为网管使用人员提供多种形式的报告和图表。10.3.10 安全管理功能宜由专门的SMC实现，具体内容见第11章。11 网络安全11.1 安全目标与框架11.1.1公用计算机互联网的全网网络与信息安全目标是在合理的安全成本基础上，实现网络运行安全和业务安全，即保证各类网元设备的正常运行，保证信息在网络上的安全存储传输，保障网络的运营维护管理安全。11.1.2 网络安全框架由防护、检测与评估、响应闭环构成。防护部分即基本的安全技术和安全措施，是整个网络安全的基础；检测与评估部分对全网进行实时监控，定期对全网进行安全扫描和风险评估，并将结果传给响应系统；响应部分根据检测和评估结果，调整安全策略、产生安全告警、修补安全漏洞、进行安全加固等。防护部分、检测与评估部分的实现主要依赖于安全技术的部署。响应部分的实现构成安全管理的技术手段。11.2 安全管理11.2.1 安全管理中心定位安全管理中心(SMC)从技术上将全网的安全策略体系、安全事件体系、安全响应体系和安全信息共享体系建立起来，形成全网安全保障体系，从而帮助管理员随时跟踪判断全网的安全形势，对内可以通过相应调整策略满足安全保障，对外可以提供给客户明确的、定量的网络安全事件和风险水平。安全管理中心应实现对各种IP安全工具的统一管理，建立位于安全产品之上、面向管理层和决策层、与网络规模相适应的统计、分析、管理、决策系统。安全管理中心通过中间件从防火墙设备、入侵检测设备、日志服务器等各种安全设备系统收集的大量信息中，抽取出更加直观、易于决策的信息，并从管理角度出发，对日常安全监控数据流的处理过程进行管理、统计、分析。同时，安全管理中心还从管理层、决策层的角度出发，对全网安全性能、安全事件处理的过程进行指标化管理，为更高管理层直接监督、控制安全事件的处理过程，直接掌握网络安全运行情况提供有效的手段。11.2.2 安全管理中心体系1 安全管理中心的体系与网管中心的体系方案应一致。2 安全管理中心可以作为一个独立的管理平台发挥作用，也可以作为网管中心的一个功能子系统发挥作用。3 安全管理中心和被管设备之间的信息交换通道采用带内方式。11.2.3 安全管理中心功能1 实现安全事件集中监控。在各类安全设备、安全软件、系统软件之上建立安全事件的集中监控体系，实现安全事件的采集、处理、关联性定义、实时监控功能，提供安全设备部署的拓扑信息，具有一定的安全事件的统计分析和报表功能。2 建立信息资产与安全风险管理中心，统一管理信息资产的识别、赋值、建档、变更、停用等活动，并对资产进行的漏洞和风险评估结果进行管理，同时提供统计分析功能，为建立统一的信息资产安全管理和信息安全风险评估与管理体系提供支撑。3 实现安全策略管理，实现安全配置管理。根据安全检测和评估结果，调整安全策略，实现有关的安全配置。4 实现安全事件预警，提供安全趋势分析和预警机制。5 建立安全信息库，积累安全管理相关知识经验，为形成专家知识库提供基础。6 实现与其它管理系统的信息交换，提供与其它系统集成的接口。在工程建设初期，可以首先主要实现安全事件集中监控。11.3 安全技术部署11.3.1 鉴别和认证。通过对网络系统中的主客体进行鉴别，并且给这些主客体赋予恰当的标志、标签、证书等。主要的处理都是针对实体进行的。具体技术包括：口令；Token、SmartCard等强鉴别机制；PKI 公开密钥基础设施。11.3.2 访问控制。访问控制在网关、接口和边界处引入，业务必须通过接入控制才能进行正常访问。具体技术包括：访问控制列表；防火墙(网络隔离和网络访问控制)；VPN；操作系统访问控制；应用系统访问控制。11.3.3 内容安全。内容安全主要是直接保护在系统中传输和存储的信息。具体技术包括：加密(保密性、完整性、抗抵赖等)；内容过滤；防病毒；VPN加密信道。11.3.4 冗余和恢复。通过设备或者线路的冗余保障业务的连续性，通过备份恢复业务。具体技术包括：设备冗余；网络迂回；数据备份。11.3.5 审计和响应。审计主要实现机制可通过业务监听工作方式实现。这种机制一般情况下并不干涉和直接影响主业务流程，而是对主业务进行记录、检查、监控等。响应主要是对安全事件作出告警、阻断等反应。具体技术包括： 日志； 漏洞扫描和评估；入侵检测；异常流量检测。12 传送技术12.0.1 公用计算机互联网骨干网的传送网应以光传送网为主。12.0.2 公用计算机互联网骨干网的传送网宜主要采用IP Over SDH和IP Over WDM技术，其中IP Over WDM可采用基于SDH帧结构的技术方案。12.0.3 由于公用计算机互联网城域网的建设依托于本地网的基础网络和传送网，具体IP传送技术选择需要根据本地网的实际情况进行选择。1 本地传送网可以提供SDH网络资源或DWDM网络资源，可以采用IP Over SDH和IP Over WDM技术。2 本地传送网可以提供MSTP网络，可以利用MSTP设备的以太网承载能力用于城域网组网。3 本地传送网比较薄弱，但具有光纤资源，可以采用IP over 光纤方式组网。IP over 光纤是指路由设备的ATM端口、POS端口、GE端口直接通过光纤直驱连接，也可采用基于IEEE802.17的RPR协议采用光纤直驱组网。13 业务13.1 业务种类13.1.1 本章主要描述了公用计算机互联网业务的基本类型，具体业务的开展应遵照相应的业务规范。13.1.2 公用计算机互联网的业务可面向固定用户和移动用户提供业务。13.1.3 总体上，公用计算机互联网提供的业务类型分为以下两大类：1 IP话音类业务：主要是IP电话业务和基于IP电话技术、软交换技术的增值语音业务。2 IP数据类业务：分为基本数据业务和增值数据业务。基本数据业务是在互联网上直接实现的数据业务，包括拨号接入、专线接入、IP VPN、IDC等。增值数据业务是指由互联网作为承载网络，由运营商或者运营商与第三方SP合作通过相关业务平台提供的业务。13.2 业务描述13.2.1 IP话音类业务公用计算机互联网提供的IP话音类业务主要是指通过互联网能承载的语音通信类业务。主要包括以下一些业务：VOIP业务；IP会议电话；IP800等语音增值业务。13.2.2 IP数据类业务1 基本数据业务1) 互联网接入业务互联网接入业务主要是互联网为用户提供基于固定、移动、无线等各种方式的互联网接入服务。主要提供以下接入互联网的手段： PSTN、ISDN、GSM拨号接入； 宽带接入(ADSL、以太网)； GPRS接入、CDMA2000 1X接入； WLAN接入； 有线专线接入； 固定无线接入。2) 数据中心业务(IDC业务)IDC是提供安全、可靠、高速、可扩展的电信级服务场所。IDC业务为ISP、ICP、企业及个人用户提供主机资源托管、主机资源出租以及更高层次的服务。3) IP虚拟专业网(VPN)业务IP VPN该业务是指基于互联网为用户提供虚拟专用网络服务，为用户提供的虚拟专网与公众业务路由隔离。该业务主要分为两种：VPN和VPDN业务。目前可实施VPN业务的主要手段是：L2TP VPN、GRE VPN、IPsec VPN、MPLS L2VPN和MPLS L3VPN等。2 增值数据业务1) 信息服务业务互联网信息服务业务主要是指通过互联网承载的，由专门的业务平台提供的各种信息服务。该类业务主要包括如下一些业务： 电子邮箱； 信息浏览(WWW、WAP)； 内容下载； 在线翻译、在线杀毒； 电子公告板/聊天室； 其它信息服务类业务。2) 即时通信业务即时通信业务主要是通过互联网实现实时的文字或视频聊天、应用程序协作等服务。3) 流媒体业务流媒体业务是通过互联网实时播放多媒体内容，例如互联网电视、视频点播、远程教学等。流媒体业务采用组播技术可以节约互联网的网络资源。4) 网络游戏业务网络游戏业务是通过互联网承载实现网络游戏应用协作，从而向用户提供的用户-应用交互、用户-用户交互的业务。5) 电子商务业务电子商务是利用互联网进行的贸易，包括在互联网上建立商务市场，完成订购、投递物品的信息管理以及资金的传递等功能。互联网用户可以根据其不同的目的作为电子商务活动中的消费者、商家、银行、认证中心、客户服务中心、支付处理方和投递方。具体应用包括电子银行、电子购物、电子商品交易等。电子商务业务应保证高安全性、高可靠性，必须采用一定强度的加密技术。13.3 业务承载13.3.1 互联网业务中的基本数据业务以互联网骨干网络为基础，通过配置接入设备实现接入业务和IP VPN业务，通过建设IDC实现IDC业务。13.3.2 互联网业务中增值数据业务以互联网为承载网络，通过建设相关的业务平台，提供各种业务。13.3.3 互联网承载各种业务，应根据各种业务的服务质量、可靠性、安全性等方面的要求，采用一定的承载技术实现。对于可靠性要求，可以通过网络的冗余等方式实现；对于安全性和服务质量要求，可以通过网络承载的隔离(例如VPN方式的隔离、物理平面方式的隔离等)以及以分类为基础的服务质量保证技术实现。13.3.4 互联网的业务承载能力应根据业务需求预测确定。为保证网络易于扩展，网络设备的业务承载能力可适当长些，网络中继电路的业务承载能力一般不宜超过2年。13.4 业务和用户接入方式13.4.1 窄带拨号接入拨号接入包括PSTN/ISDN固定拨号接入和GSM CSD方式的移动拨号接入。拨号接入互联网应根据业务需要设置接入服务器。13.4.2 宽带接入宽带接入包括xDSL接入、以太网接入、HFC接入和PON接入等。宽带接入应根据业务需要设置宽带接入服务器。宽带接入中可采用虚拟拨号方式。13.4.3 专线接入专线接入包括有线专线接入和固定无线接入两种方式，或者两种方式的结合。专线接入主要是指通过租用专线的方式将业务或用户接入互联网。1 有线专线接入1) 光纤直驱/宽带以太网接入：基于光纤直驱的宽带以太网接入可用于部分重要的业务源或大客户接入互联网等。2) 基于光纤的无源光网络接入：无源光网络为运营商的中心机房和商业及居民客户之间解决最后一公里的通信基础。目前成熟的有APON解决方案，但是设备造价较贵，以以太网为基础的无源光网络目前发展较快。目前无源光网络技术和设备不完全成熟。3) SDH/MSTP/DDN接入：SDH网络可以提供2.5Gbps、622Mbps、155Mbps、2Mbps速率的接入，MSTP网络还可以提供ATM接口和以太网(10/100/1000Mbps)接口；DDN网络可提供2Mbps及2Mbps以下的速率接入。通过SDH/MSTP/DDN网络可以接入重要的业务或大客户。4) ATM/FR/X.25接入：通过ATM/FR/X.25与互联网进行连接，业务或用户可以接入互联网。2 固定无线接入固定无线接入主要有LMDS和3.5GHz等方式的固定无线接入。利用固定无线接入方式可以弥补接入手段的不足，接入光纤、SDH网络等覆盖不到的用户。13.4.4 GPRS/CDMA2000 1X网接入通过GPRS、CDMA2000 1X网络与互联网的互连可以实现移动用户以分组方式接入互联网，使用各种互联网业务。13.4.5 WLAN接入WLAN提供了局域覆盖、高速接入的无线接入技术，可为用户提供热点地区高速数据接入。通过WLAN的接入控制设备联入互联网，用户可在WLAN覆盖区域接入互联网，使用各种互联网业务。13.4.6 对于各种用户接入方式，在用户使用业务前，应采用合理的用户鉴权技术对用户身份进行认证。13.4.7 随着新业务的不断出现，应不断完善相应的连接和用户接入方式，同时应根据不同的业务要求，决定不同业务接入点的位置。13.5 业务计费与结算13.4.1 计费结算体系结构1 互联网计费体系由计费信息采集前端设备(NAS、BRAS、WLAN AC/AP等)、计费信息采集点(主要是RADIUS服务器，基于信息内容的计费信息采集点主要在业务平台或业务管理平台)和运营商的计费帐务系统组成。计费信息采集点生成用户话单，可以定时、定量地传送给计费系统，由计费帐务系统进行批价、进行帐务处理等。2 互联网计费体系宜尽量采用集中方式。根据业务运营和管理需要，也可采用多系统分散方式。3 对于基于信息内容的计费，在生成计费话单信息前的业务流程中应包含对业务合法性、业务用户订购合法性等的鉴权环节，避免业务欺诈。13.4.2 计费方式1 互联网业务计费体系应支持基于时长的计费方式、基于流量的计费方式、基于信息内容的计费方式，支持包月计费方式，支持按照使用天数计费方式，支持基于资源占用的计费方式，并支持各种计费帐务处理的各种优惠方式。随着新的技术的发展，将来还可以采用基于QoS或者其它的高级计费方式。2 互联网业务计费体系应支持预付费的实时计费方式和后付费的的计费方式。3 互联网业务计费体系应支持计费方号码的灵活设定，可以是主叫号码、卡号、用户注册名、集团帐号等，以满足业务开展的需要。4 互联网业务计费体系应支持用户漫游使用业务时发生的计费结算需要。5 计费信息采集点所收集的计费要素应满足业务需要。13.4.3结算互联网业务结算应依托于运营商已有的计费帐务系统，完成省际结算和网间结算。14 编号方案、地址分配与域名系统14.1 编号方案14.1.1接入号码：互联网的固定拨号接入号码、移动拨号接入号码、IP电话接入号码、IP VPDN接入号码应统一规划。14.1.2 经由GPRS、CDMA2000 1X上网的接入点名应统一规划。14.1.3 注册用户与持卡用户拨号上网的用户帐号：注册用户和持卡用户拨号上网时的用户帐号的表示方法为：usernamerealm。其中username 为用户名，realm须能标识出不同的业务提供商，在网间漫游时需要。用户在网内网时，只需键入username即可，不需键入realm。用户在其它业务提供商的网络上网时，要求键入全用户帐号，即usernamerealm。14.1.4 自治域(AS)号码的分配：自治域的号码由运营商向相关组织申请。对于私有的自治域号码在一个运营商内部应统一分配。14.2 地址分配14.2.1 IP地址用于用户和应用的标识和网络路由。公用计算机互联网需要规划IP地址，包括网络设备端口互联地址、网络设备管理地址、用户地址和业务地址等。本规范中公用计算机互联网的IP地址版本为IPv4。14.2.2 公用计算机互联网的IPv4地址规划和分配应遵循下列原则：1 按需分配，避免IP地址的浪费地址分配时应根据网络各节点的规模、建设周期、业务发展预测等因素综合考虑，本着既满足需求又不造成浪费的原则进行分配。在网络建设、扩容过程中规划地址时，应在满足网络近期发展的前提下，尽可能地节约使用，避免IP地址的浪费。2 充分利用CIDR、VLSM等技术，合理高效地使用IP地址在规划地址时，应打破传统A类、B类、C类地址的划分，充分利用CIDR方式及可变长子网掩码(VLSM)等技术，合理、高效地使用IP地址，不应使用C类地址做为规划的最小单位。划分子网掩码时要注意保持地址的连续和路由表的优化。3 提高地址利用率地址规划和分配时应注意按需分配，不造成浪费，提高地址利用率。合理扩大分配窗口值，尽可能提高已获得的IPv4地址的利用率。4 保持地址分配的连续性为保证IP网络的整网运行效率，简化各路由节点的路由表，在分配IPv4地址的过程中，应尽量保证网络内部地址的连续性，尽量按地域分配连续的IP地址块。5 为了业务发展的需要，地址规划时可以进行合理的地址预留地址预留时要注意地址的聚合问题，同时预留的空间应该有一定限度，避免地址的闲置和浪费。6 在不影响业务开展的前提下，可使用私有地址考虑到目前IPv4公有地址日益紧张，在不影响业务开展的前提下，在一定范围内可使用私有地址。规划和使用私有地址时，应采用RFC规定的私有地址范围，不能随便使用其它范围的地址。7 无恰当理由不应分配静态的客户地址所有静态地址的分配都必须有充分的理由和详细的规划说明。对于拨号连接用户，应该采用动态地址，一般不应该采用静态地址。14.3 域名系统14.3.1 公用计算机互联网的域名系统服务于互联网内的网络和应用