寬帶IP城域網(wǎng)工程設(shè)計規(guī)范

1、YD中華人民共和國通信行業(yè)標(biāo)準(zhǔn)YD XXXX-XXXX寬帶IP城域網(wǎng)工程設(shè)計規(guī)范Code for design of broadband IP metro area network（2004年版）( 征求意見稿 )XXXX-XX-XX實施XXXX-XX-XX發(fā)布中華人民共和國信息產(chǎn)業(yè)部 發(fā)布中華人民共和國通信行業(yè)標(biāo)準(zhǔn)寬帶IP城域網(wǎng)工程設(shè)計規(guī)范Code for design of broadband IP metro area networkYD XXXX-XXXX（2004年版）主編部門：中華人民共和國信息產(chǎn)業(yè)部綜合規(guī)劃司批準(zhǔn)部門：中華人民共和國信息產(chǎn)業(yè)部施行日期：200X年XX月XX日XXX

2、X出版社200X 北 京目 次前 言III1 總 則12 術(shù)語、符號23 網(wǎng)路結(jié)構(gòu)53.1 網(wǎng)絡(luò)層次53.2 節(jié)點(diǎn)設(shè)置54 網(wǎng)路組織65 路由協(xié)議65.1 自治域劃分原則65.2 路由協(xié)議選擇76 路由策略86.1 路由策略設(shè)計原則86.2 路由信息的接收與宣告86.3 流量流向規(guī)劃與路由選擇規(guī)則86.4 路由協(xié)議運(yùn)行的穩(wěn)定性與擴(kuò)展性97 網(wǎng)間互聯(lián)107.1 與骨干網(wǎng)或省網(wǎng)間互聯(lián)107.2 與PSTN/ISDN網(wǎng)間互聯(lián)108 網(wǎng)絡(luò)性能109 服務(wù)質(zhì)量1210 網(wǎng)絡(luò)管理1410.1 網(wǎng)管體系結(jié)構(gòu)1410.2 網(wǎng)管接口1410.3 網(wǎng)管功能1411 網(wǎng)絡(luò)安全1611.1 安全目標(biāo)與框架1611.2

3、 安全管理1611.3 安全技術(shù)部署1612 傳送技術(shù)1913 業(yè)務(wù)2013.1 業(yè)務(wù)種類2013.2 業(yè)務(wù)描述2013.3 業(yè)務(wù)承載2113.4 業(yè)務(wù)和用戶接入方式2213.5 業(yè)務(wù)計費(fèi)與結(jié)算2313.6 業(yè)務(wù)管理和寬帶用戶管理2314 編號方案、地址分配與域名系統(tǒng)2614.1 編號方案2614.2 地址分配2615 設(shè)備配置原則2816 機(jī)房設(shè)計30附錄A 本規(guī)范用詞說明32前 言寬帶IP城域網(wǎng)是IP骨干網(wǎng)在城域范圍內(nèi)的延伸和覆蓋，是覆蓋城市、郊區(qū)及其所轄的縣市和地區(qū)，提供城域多業(yè)務(wù)的網(wǎng)絡(luò)。寬帶IP城域網(wǎng)承擔(dān)集團(tuán)用戶、商用大樓、智能小區(qū)的業(yè)務(wù)接入和電路出租任務(wù)，具有覆蓋面廣、投資量大、接入

4、技術(shù)多樣和接入方式靈活的特點(diǎn)。IP城域網(wǎng)界于全國骨干網(wǎng)或省網(wǎng)和用戶駐地網(wǎng)或終端用戶之間，將企業(yè)和個人客戶的各種業(yè)務(wù)連接到骨干網(wǎng)中。本規(guī)范主要規(guī)定了基于IPv4的我國寬帶IP城域網(wǎng)的網(wǎng)路結(jié)構(gòu)、網(wǎng)路組織、路由協(xié)議、路由策略、網(wǎng)間互聯(lián)、網(wǎng)絡(luò)性能、服務(wù)質(zhì)量、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)安全、傳送技術(shù)、業(yè)務(wù)、編號方案、地址分配設(shè)備配置原則、機(jī)房設(shè)計等。本規(guī)范適用于基于IPv4的我國寬帶IP城域網(wǎng)的工程規(guī)劃和建設(shè)。本規(guī)范由信息產(chǎn)業(yè)部綜合規(guī)劃司負(fù)責(zé)解釋、修訂、監(jiān)督執(zhí)行。本規(guī)范起草單位：京移通信設(shè)計院有限公司本規(guī)范主要起草人：XXX1 總 則2 術(shù)語、符號本規(guī)范使用了以下術(shù)語：AC接入控制器ACL訪問控制列表ADSL非對稱

5、數(shù)字用戶線AP接入點(diǎn)AS 自治系統(tǒng)ATM異步轉(zhuǎn)移模式BGP 邊界網(wǎng)關(guān)協(xié)議，BGP-4為邊界網(wǎng)關(guān)協(xié)議版本4BRAS寬帶接入服務(wù)器B/S瀏覽器/服務(wù)器模式CAR承諾訪問速率CBWFQ 基于類的加權(quán)公平排隊CIDR無類域間路由選擇CoS服務(wù)等級C/S客戶機(jī)/服務(wù)器模式CSD電路交換數(shù)據(jù)DDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)DiffServ差分服務(wù)模式DWDM密集型波分復(fù)用ENUM電話號碼到 URI的映射FR幀中繼GE千兆比特以太網(wǎng)GPRS通用分組無線業(yè)務(wù)GRE通用路由封裝GSM全球移動通信系統(tǒng)GTS通用流量整形ICP互聯(lián)網(wǎng)內(nèi)容提供商IDCInternet數(shù)據(jù)中心IEEE電氣和電子工程師學(xué)會美IETF因特網(wǎng)工程師任務(wù)組In

6、tServ集成服務(wù)模式IP互聯(lián)網(wǎng)協(xié)議IP800基于IP的800號業(yè)務(wù)IPv4互聯(lián)網(wǎng)協(xié)議-第4版IPv6互聯(lián)網(wǎng)協(xié)議-第6版IPSecIP安全協(xié)議ISDN綜合業(yè)務(wù)數(shù)字網(wǎng)IS-IS中間系統(tǒng)-中間系統(tǒng)ISP互聯(lián)網(wǎng)服務(wù)提供商L22層L2TP第2層隧道協(xié)議L33層LMDS本地多點(diǎn)分配業(yè)務(wù)MIB管理信息庫MPLS多協(xié)議標(biāo)記交換MSTP多業(yè)務(wù)傳送平臺NAP網(wǎng)絡(luò)接入點(diǎn)NAS網(wǎng)絡(luò)接入服務(wù)器OSPF開放最短路徑優(yōu)先路由協(xié)議PHB逐跳轉(zhuǎn)發(fā)行為PKI公共密鑰基礎(chǔ)設(shè)施POSSDH上傳送IPPQ優(yōu)先隊列PSTN公用電話交換網(wǎng)QoS服務(wù)質(zhì)量RADIUS撥號用戶遠(yuǎn)程認(rèn)證服務(wù)RED隨機(jī)早期探測RFC征求意見稿RPR彈性分組環(huán)RS

7、VP資源預(yù)留協(xié)議SDH同步數(shù)字體系SmartCard智能卡SMC安全管理中心SNMP簡單網(wǎng)絡(luò)管理協(xié)議SP服務(wù)提供商TE流量工程Token令牌VLSM可變長子網(wǎng)掩碼VOIPIP承載語音VPN虛擬專用網(wǎng)WAP無線應(yīng)用協(xié)議WFQ加權(quán)公平排隊WRED加權(quán)隨機(jī)早期檢測WLAN無線局域網(wǎng)WWW萬維網(wǎng)XML擴(kuò)充標(biāo)識語言E-LSP 一種MPLS CoS方案，在LER上將IP DS字節(jié)映射到MPLS標(biāo)記的EXP位，通過EXP位向LSR表示分組的QoS要求L-LSP在LER上將IP DS字節(jié)映射為一個LSP，通過標(biāo)記和EXP位向LSR表示分組的QoS要求3 網(wǎng)路結(jié)構(gòu)3.1 網(wǎng)絡(luò)層次業(yè)務(wù)管理層負(fù)責(zé)提供統(tǒng)一的網(wǎng)絡(luò)管理

8、與業(yè)務(wù)管理、統(tǒng)一業(yè)務(wù)描述格式，根據(jù)業(yè)務(wù)開展的需要，實現(xiàn)業(yè)務(wù)的分級分權(quán)及網(wǎng)絡(luò)管理，提供網(wǎng)絡(luò)設(shè)備的故障、配置、計費(fèi)、性能和安全的統(tǒng)一管理。3.2 節(jié)點(diǎn)設(shè)置4 網(wǎng)路組織“雙星型”網(wǎng)絡(luò)結(jié)構(gòu)， 在保證網(wǎng)絡(luò)安全的前提下有效的降低初期投資。 5 路由協(xié)議5.1 自治域劃分原則 對于較小規(guī)模的寬帶IP城域網(wǎng)可不設(shè)置為獨(dú)立的自治域，而是將其作為一個IGP路由域上聯(lián)到省網(wǎng)或骨干網(wǎng)，并且通過IBGP會話向骨干網(wǎng)通報其內(nèi)部路由。 對于一些省份中的的省會或者經(jīng)濟(jì)比較發(fā)達(dá)的主要城市，其IP城域網(wǎng)可以劃分為獨(dú)立的自治域，分配公用的或保留的AS號，并通過EBGP會話向省內(nèi)骨干網(wǎng)或省際骨干網(wǎng)通報其內(nèi)部路由，若采用了保留AS號，

9、應(yīng)在省網(wǎng)與骨干網(wǎng)互連的邊界進(jìn)行過濾，轉(zhuǎn)換為骨干網(wǎng)合法AS號向外廣播。5.2 路由協(xié)議選擇 不擁有獨(dú)立自治域的IP城域網(wǎng)，其被劃分為省網(wǎng)IGP路由域，因此城域網(wǎng)IGP選擇應(yīng)考慮內(nèi)部設(shè)備對路由協(xié)議的支持，還應(yīng)根據(jù)省網(wǎng)的路由協(xié)議選擇自己的內(nèi)部路由協(xié)議。在自治域內(nèi)應(yīng)選用合適的域內(nèi)路由協(xié)議。域內(nèi)路由協(xié)議應(yīng)采用動態(tài)路由機(jī)制，可以選用OSPF或IS-IS。應(yīng)選用合適的域間路由協(xié)議。與全國骨干網(wǎng)或省網(wǎng)域間路由協(xié)議采用BGP-4。6 路由策略6.1 路由策略設(shè)計原則1 通過路由策略的實施，實現(xiàn)正確的路由信息接收與宣告。2 通過路由策略的實施，在網(wǎng)絡(luò)拓?fù)涞呐浜舷?，?yīng)實現(xiàn)避免網(wǎng)絡(luò)中出現(xiàn)單故障點(diǎn)、提高網(wǎng)絡(luò)的生存能力。

10、3 通過路由策略的實施，應(yīng)實現(xiàn)預(yù)期的路由選擇方案，實現(xiàn)網(wǎng)絡(luò)流量規(guī)劃，使網(wǎng)絡(luò)業(yè)務(wù)流量合理的分布在各條電路上。4 路由策略應(yīng)保證網(wǎng)絡(luò)具有可擴(kuò)展性，使得網(wǎng)絡(luò)擴(kuò)展后全部資源可以被優(yōu)化利用。5 路由策略應(yīng)簡單、明了，含義明確、便于管理維護(hù)，應(yīng)對業(yè)務(wù)流量流向的變化具有適應(yīng)性，可以根據(jù)流量流向變化方便、快速地進(jìn)行調(diào)整。6.2 路由信息的接收與宣告6.3 流量流向規(guī)劃與路由選擇規(guī)則 主備疏通方式：對于所有流量，網(wǎng)絡(luò)正常情況下經(jīng)正常路由疏通，正常路由異常時經(jīng)由備用路由疏通； 按流量分擔(dān)疏通方式，對于所有流量，在網(wǎng)絡(luò)正常情況下經(jīng)由可能的路由以負(fù)載分擔(dān)方式疏通，異常時業(yè)務(wù)疏通質(zhì)量將有所降質(zhì)； 按業(yè)務(wù)分擔(dān)疏通方式：對

11、于不同的流量(例如按業(yè)務(wù)種類)，在網(wǎng)絡(luò)正常情況下分別經(jīng)由各自不同的主要路由進(jìn)行疏通，異常時業(yè)務(wù)疏通質(zhì)量將有所降質(zhì)。規(guī)劃優(yōu)化的原則為盡量滿足網(wǎng)絡(luò)所承載業(yè)務(wù)的質(zhì)量、可靠性等要求，全網(wǎng)的整體資源利用率高，同時要易于維護(hù)管理，并方便進(jìn)行流量調(diào)整。 就近原則：業(yè)務(wù)流量根據(jù)拓?fù)浣Y(jié)構(gòu)確定的最短路徑進(jìn)行疏通； 指定路徑原則：業(yè)務(wù)流量根據(jù)預(yù)先規(guī)劃的路徑或者預(yù)先規(guī)劃的路徑關(guān)鍵點(diǎn)(例如出入口位置、不同網(wǎng)絡(luò)平面等)進(jìn)行疏通。 合理設(shè)計域內(nèi)路由協(xié)議的鏈路權(quán)值； 運(yùn)用域間路由協(xié)議的各種屬性并合理設(shè)計賦值； 采用MPLS TE技術(shù)。6.4 路由協(xié)議運(yùn)行的穩(wěn)定性與擴(kuò)展性7 網(wǎng)間互聯(lián)7.1 與骨干網(wǎng)或省網(wǎng)間互聯(lián)7.2 與PST

12、N/ISDN網(wǎng)間互聯(lián)8 網(wǎng)絡(luò)性能 吞吐量：網(wǎng)絡(luò)兩個節(jié)點(diǎn)之間特定業(yè)務(wù)流的平均速率； 延遲：IP包在進(jìn)入網(wǎng)絡(luò)節(jié)點(diǎn)和離開網(wǎng)絡(luò)節(jié)點(diǎn)之間的平均歷時，可以是單向延遲或是往返延遲； 抖動：IP包延遲的變化； 包丟失率：IP包在網(wǎng)絡(luò)傳送過程中丟失報文的百分比； 可用性：網(wǎng)絡(luò)可以為用戶提供服務(wù)的時間的百分比。 單向延遲：20ms(暫定值，從接入節(jié)點(diǎn)至IP城域網(wǎng)出口，包括傳輸延遲和設(shè)備延遲)； 抖動：20ms(暫定值)； 包丟失率：1(暫定值)； 可用性：99.99(暫定值)。9 服務(wù)質(zhì)量 在采用主備疏通方式的流量規(guī)劃方式下，中繼電路的帶寬利用率宜設(shè)計在5070區(qū)間內(nèi)； 在采用分擔(dān)疏通方式的流量規(guī)劃方式下，中繼電

13、路的帶寬利用率宜設(shè)計在4050區(qū)間內(nèi)。1 基于RSVP的IntServ方案是一種端到端基于流的QoS技術(shù)。目前粒度為單個流的資源預(yù)留的解決思路在互聯(lián)網(wǎng)上擴(kuò)展性無法保證。不建議采用。 2 基于DSCP的DiffServ方案是一種基于類的QoS技術(shù)。通過將業(yè)務(wù)定義為有限的類，可以較好地解決擴(kuò)展性問題，建議主要采用。3 MPLS可以與DiffServ結(jié)合，提供MPLS CoS。MPLS與DiffServ的結(jié)合可以將DS字節(jié)的設(shè)置融入MPLS的標(biāo)記分配過程中，使得MPLS標(biāo)記具備區(qū)分分組服務(wù)質(zhì)量的能力。包括E-LSP方案和L-LSP方案。目前可主要采用E-LSP方案。4 MPLS TE是一種間接改善網(wǎng)

14、絡(luò)QoS的技術(shù)。MPLS TE利用了LSP支持顯示路由的能力，在網(wǎng)絡(luò)資源有限的前提下，將網(wǎng)絡(luò)流量合理引導(dǎo)，間接改善網(wǎng)絡(luò)服務(wù)質(zhì)量。MPLS DiffServ-Aware TE在MPLS TE的基礎(chǔ)上，增加了基于類別的資源管理，充分利用了DiffServ的可擴(kuò)展性以及MPLS 的顯示路由能力，是解決IP QoS的較好技術(shù)之一。IP網(wǎng)絡(luò)中QoS的技術(shù)部署主要包括資源控制、資源隔離和資源調(diào)度等各種技術(shù)及策略的運(yùn)用。鑒于DiffServ是目前IP網(wǎng)絡(luò)主要的QoS技術(shù)之一，本規(guī)范給出基于DiffServ的部署參考示例如下： 總體上，網(wǎng)絡(luò)接入邊緣路由器根據(jù)業(yè)務(wù)的QoS要求將業(yè)務(wù)映射到一個類別中，然后用IP包

15、頭的DS字段加以標(biāo)識。所有的網(wǎng)絡(luò)核心的路由器根據(jù)DS字段執(zhí)行預(yù)定義的服務(wù)策略，即根據(jù)DS字段將IP包放入不同隊列，對不同隊列定義不同的處理策略，實現(xiàn)不同類別IP包的不同的逐跳轉(zhuǎn)發(fā)行為(PHB)； 根據(jù)業(yè)務(wù)需要，定義服務(wù)等級； 在網(wǎng)絡(luò)接入邊緣，主要采用業(yè)務(wù)分類與標(biāo)記(例如基于IP五元組、ACL等)、速率限制(例如CAR、GTS等)等技術(shù)； 在網(wǎng)絡(luò)核心，主要采用隊列調(diào)度(例如PQ/WFQ/CBWFQ/MDRR、LLS/NLS/PBS等)、擁塞控制(例如RED/WRED等)等技術(shù)。服務(wù)等級PHB調(diào)度方式擁塞控制業(yè)務(wù)7最高優(yōu)先LLS無網(wǎng)絡(luò)設(shè)備間協(xié)議通信6EFLLS無實時語音業(yè)務(wù)5EFLLS無實時視頻業(yè)

16、務(wù)4AF4NLSWRED大客戶金牌數(shù)據(jù)業(yè)務(wù)3預(yù)留2AF2NLSWRED大客戶銀牌數(shù)據(jù)業(yè)務(wù)1AF1NLSWRED大客戶銅牌數(shù)據(jù)業(yè)務(wù)0BEFIFOWRED一般公眾互聯(lián)網(wǎng)業(yè)務(wù)10 網(wǎng)絡(luò)管理10.1 網(wǎng)管體系結(jié)構(gòu)10.2 網(wǎng)管接口1 網(wǎng)管系統(tǒng)與被管設(shè)備之間采用基于SNMP的接口。2 網(wǎng)管系統(tǒng)和省網(wǎng)管中心之間采用SNMP或基于XML的WebServices接口。10.3 網(wǎng)管功能 VPN用戶可以擁有自己的網(wǎng)管設(shè)備和網(wǎng)管機(jī)構(gòu)，由網(wǎng)管系統(tǒng)配置權(quán)限，實現(xiàn)VPN用戶自助管理。用戶VPN網(wǎng)管應(yīng)具備以下功能：收集VPN內(nèi)部的網(wǎng)管信息，如：拓?fù)浣Y(jié)構(gòu)、鏈路狀態(tài)、流量和流向、網(wǎng)絡(luò)資源的占用情況等；性能監(jiān)視；相關(guān)信息的配置

17、，如內(nèi)部業(yè)務(wù)配置等；同時還應(yīng)提供VPN的內(nèi)部計費(fèi)管理、安全管理等。用戶管理終端上只顯示本用戶虛擬專網(wǎng)的網(wǎng)絡(luò)情況，在網(wǎng)絡(luò)運(yùn)行者授權(quán)的情況下，可實現(xiàn)用戶對本虛擬專網(wǎng)的實時操作。網(wǎng)管系統(tǒng)支持VPN業(yè)務(wù)數(shù)據(jù)的生成，特別是VPN用戶數(shù)據(jù)的生成，能夠靈活地添加、刪除虛擬專用網(wǎng)的用戶站點(diǎn)，靈活地修改用戶的接入權(quán)限，服務(wù)級別等。11 網(wǎng)絡(luò)安全11.1 安全目標(biāo)與框架防護(hù)部分、檢測與評估部分的實現(xiàn)主要依賴于安全技術(shù)的部署。響應(yīng)部分的實現(xiàn)構(gòu)成安全管理的技術(shù)手段。11.2 安全管理11.3 安全技術(shù)部署1環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)，應(yīng)符合GB50173-93電子計算機(jī)機(jī)房設(shè)計規(guī)范、GB

18、2887-89計算機(jī)站場地要求、GB9361-88計算機(jī)站場地安全要求等地要求；2設(shè)備安全：網(wǎng)絡(luò)設(shè)備如計算機(jī)以及電纜、網(wǎng)橋和路由器等的防盜、防毀、防電磁輻射泄露、防止線路截獲、抗電磁干擾及電源保護(hù)等。保護(hù)的措施有：對主機(jī)房及重要信息存貯、收發(fā)部門進(jìn)行屏蔽處理；對本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制；對診斷設(shè)備的輻射進(jìn)行防范。3媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全?？梢圆捎枚鄼C(jī)數(shù)據(jù)備份等技術(shù)加以保護(hù)。網(wǎng)絡(luò)安全把需要保護(hù)的網(wǎng)絡(luò)用防火墻從開放因特網(wǎng)中隔離開來，實現(xiàn)內(nèi)部信任網(wǎng)與外部不可信任網(wǎng)之間或是內(nèi)部網(wǎng)不同網(wǎng)絡(luò)之間安全區(qū)域的隔離與訪問控制，保證網(wǎng)絡(luò)系統(tǒng)及網(wǎng)絡(luò)服務(wù)的可用性。1 內(nèi)外網(wǎng)隔離及訪問

19、控制：在內(nèi)外部網(wǎng)絡(luò)之間設(shè)置防火墻，實現(xiàn)內(nèi)部網(wǎng)絡(luò)的訪問控制。根據(jù)防范的方式和側(cè)重點(diǎn)的不同，可以選擇分組過濾或應(yīng)用代理等不同類型的防火墻。2內(nèi)部網(wǎng)不同安全域的隔離及訪問控制：采用防火墻技術(shù)實現(xiàn)內(nèi)部網(wǎng)不同安全域的隔離及訪問控制。3網(wǎng)絡(luò)安全檢測：安裝網(wǎng)絡(luò)安全評估分析軟件。利用此類軟件掃描分析網(wǎng)絡(luò)系統(tǒng)，及時發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞。4審計與監(jiān)控：安裝網(wǎng)絡(luò)安全評估分析軟件。利用此類軟件對用戶使用計算機(jī)網(wǎng)絡(luò)系統(tǒng)的進(jìn)行記錄的過程，以便發(fā)現(xiàn)和預(yù)防可能的破壞活動。5全網(wǎng)安全遠(yuǎn)程掃描和評估：在核心節(jié)點(diǎn)和網(wǎng)絡(luò)管理中心安裝網(wǎng)絡(luò)安全掃描器，對整個網(wǎng)絡(luò)進(jìn)行安全掃描。6網(wǎng)絡(luò)備份系統(tǒng)：設(shè)計合理的備份機(jī)制，以便在出現(xiàn)問題時能夠

20、及時恢復(fù)。例如在設(shè)計網(wǎng)絡(luò)拓?fù)鋾r，任一節(jié)點(diǎn)與網(wǎng)絡(luò)其它之間應(yīng)該至少有兩條物理連接，以供迂回路由；關(guān)鍵網(wǎng)絡(luò)設(shè)備都必須有備用的。1鑒別：利用口令機(jī)制、智能卡或個體特征鑒別技術(shù)，對通信各方的身份進(jìn)行鑒定。2數(shù)據(jù)傳輸加密技術(shù)：利用密碼技術(shù)，對傳輸中的數(shù)據(jù)流進(jìn)行加密，防止竊聽、泄露、篡改和破壞。加密可以在不同的層次上進(jìn)行：鏈路加密，節(jié)點(diǎn)加密和端到端的加密(比如傳輸前對文件進(jìn)行加密)。3數(shù)據(jù)存貯安全：對保存在用戶終端中進(jìn)行安全保護(hù)，防止關(guān)鍵數(shù)據(jù)被竊取。選擇使用安全數(shù)據(jù)庫系統(tǒng)，以及基于口令/密碼算法的身份驗證。4信息內(nèi)容審計：安裝信息內(nèi)容審計軟件，對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行審計，以防止或追查可能的泄密行為。5口令

21、管理：目前發(fā)現(xiàn)的漏洞，大多是由于口令管理不嚴(yán)，使得黑客可以乘虛而入。因此口令的有效管理是非?；镜模彩欠浅Ｖ匾?。6用戶帳號管理：在為用戶建立帳號時，應(yīng)注意保證每個用戶的ID的唯一性，避免使用公用帳號；對于過期的帳號要及時封閉；對于長期不用的帳號要定期檢查，必要時封閉。7加強(qiáng)信息服務(wù)器的安全措施：必須注意服務(wù)器本身的安全設(shè)施，隨時更新版本。8系統(tǒng)的高可用性和備份措施：利用冗余技術(shù)，通過系統(tǒng)中硬件、軟件、數(shù)據(jù)的冗余，實現(xiàn)當(dāng)系統(tǒng)中的某一個環(huán)節(jié)(硬件、軟件、數(shù)據(jù))出現(xiàn)故障時，使用冗余部件提供服務(wù)。12 傳送技術(shù)SDH或城域WDM連接，以確保網(wǎng)絡(luò)的可擴(kuò)展性；在網(wǎng)絡(luò)建設(shè)初期規(guī)模較小時，核心節(jié)點(diǎn)也可通過

22、內(nèi)置的光傳輸接口直驅(qū)光纖互聯(lián)或采用MSTP技術(shù)。100Mb/s以上速率的接口與匯聚節(jié)點(diǎn)相連，遠(yuǎn)距離傳輸時優(yōu)先選用光纖作為物理層媒介。13 業(yè)務(wù)13.1 業(yè)務(wù)種類1 IP話音類業(yè)務(wù)：主要是IP電話業(yè)務(wù)和基于IP電話技術(shù)、軟交換技術(shù)的增值語音業(yè)務(wù)。2 IP數(shù)據(jù)類業(yè)務(wù)：分為基本數(shù)據(jù)業(yè)務(wù)和增值數(shù)據(jù)業(yè)務(wù)?；緮?shù)據(jù)業(yè)務(wù)是在互聯(lián)網(wǎng)上直接實現(xiàn)的數(shù)據(jù)業(yè)務(wù)，包括撥號接入、專線接入、IP VPN、IDC等。增值數(shù)據(jù)業(yè)務(wù)是指由城域網(wǎng)作為承載網(wǎng)絡(luò)，由運(yùn)營商或者運(yùn)營商與第三方SP合作通過相關(guān)業(yè)務(wù)平臺提供的業(yè)務(wù)。13.2 業(yè)務(wù)描述寬帶IP城域網(wǎng)提供的IP話音類業(yè)務(wù)主要是指通過城域網(wǎng)能承載的語音通信類業(yè)務(wù)。主要包括以下一些業(yè)

23、務(wù)：VOIP業(yè)務(wù)；IP會議電話；IP800等語音增值業(yè)務(wù)。1 基本數(shù)據(jù)業(yè)務(wù)1) 城域網(wǎng)接入業(yè)務(wù)城域網(wǎng)接入業(yè)務(wù)主要是城域網(wǎng)為用戶提供基于固定、移動、無線等各種方式的城域網(wǎng)接入服務(wù)。主要提供以下接入城域網(wǎng)的手段： PSTN、ISDN、GSM撥號接入； 寬帶接入(ADSL、以太網(wǎng))； GPRS接入、CDMA2000 1X接入； WLAN接入； 有線專線接入； 固定無線接入。2) 數(shù)據(jù)中心業(yè)務(wù)(IDC業(yè)務(wù))IDC是提供安全、可靠、高速、可擴(kuò)展的電信級服務(wù)場所。IDC業(yè)務(wù)為ISP、ICP、企業(yè)及個人用戶提供主機(jī)資源托管、主機(jī)資源出租以及更高層次的服務(wù)。3) IP虛擬專業(yè)網(wǎng)(VPN)業(yè)務(wù)IP VPN該業(yè)務(wù)

24、是指基于IP城域網(wǎng)為用戶提供虛擬專用網(wǎng)絡(luò)服務(wù)，為用戶提供的虛擬專網(wǎng)與公眾業(yè)務(wù)路由隔離。該業(yè)務(wù)主要分為兩種：VPN和VPDN業(yè)務(wù)。目前可實施VPN業(yè)務(wù)的主要手段是：L2TP VPN、GRE VPN、IPsec VPN、MPLS L2VPN和MPLS L3VPN等。2 增值數(shù)據(jù)業(yè)務(wù)1) 信息服務(wù)業(yè)務(wù)IP城域網(wǎng)信息服務(wù)業(yè)務(wù)主要是指通過互聯(lián)網(wǎng)承載的，由專門的業(yè)務(wù)平臺提供的各種信息服務(wù)。該類業(yè)務(wù)主要包括如下一些業(yè)務(wù)： 電子郵箱； 信息瀏覽(WWW、WAP)； 內(nèi)容下載； 在線翻譯、在線殺毒； 電子公告板/聊天室； 其它信息服務(wù)類業(yè)務(wù)。2) 即時通信業(yè)務(wù)即時通信業(yè)務(wù)主要是通過互聯(lián)網(wǎng)網(wǎng)實現(xiàn)實時的文字或視頻聊

25、天、應(yīng)用程序協(xié)作等服務(wù)。3) 流媒體業(yè)務(wù)流媒體業(yè)務(wù)是通過互聯(lián)網(wǎng)網(wǎng)實時播放多媒體內(nèi)容，例如互聯(lián)網(wǎng)電視、視頻點(diǎn)播、遠(yuǎn)程教學(xué)等。流媒體業(yè)務(wù)采用組播技術(shù)可以節(jié)約IP城域網(wǎng)的網(wǎng)絡(luò)資源。4) 網(wǎng)絡(luò)游戲業(yè)務(wù)網(wǎng)絡(luò)游戲業(yè)務(wù)是通過互聯(lián)網(wǎng)承載實現(xiàn)網(wǎng)絡(luò)游戲應(yīng)用協(xié)作，從而向用戶提供的用戶-應(yīng)用交互、用戶-用戶交互的業(yè)務(wù)。5) 電子商務(wù)業(yè)務(wù)電子商務(wù)是利用互聯(lián)網(wǎng)進(jìn)行的貿(mào)易，包括在互聯(lián)網(wǎng)上建立商務(wù)市場，完成訂購、投遞物品的信息管理以及資金的傳遞等功能。IP城域網(wǎng)用戶可以根據(jù)其不同的目的作為電子商務(wù)活動中的消費(fèi)者、商家、銀行、認(rèn)證中心、客戶服務(wù)中心、支付處理方和投遞方。具體應(yīng)用包括電子銀行、電子購物、電子商品交易等。電子商務(wù)業(yè)

26、務(wù)應(yīng)保證高安全性、高可靠性，必須采用一定強(qiáng)度的加密技術(shù)。13.3 業(yè)務(wù)承載13.4 業(yè)務(wù)和用戶接入方式撥號接入包括PSTN/ISDN固定撥號接入和GSM CSD方式的移動撥號接入。撥號接入城域網(wǎng)應(yīng)根據(jù)業(yè)務(wù)需要設(shè)置接入服務(wù)器。寬帶接入包括ADSL接入和以太網(wǎng)接入。寬帶接入應(yīng)根據(jù)業(yè)務(wù)需要設(shè)置寬帶接入服務(wù)器。寬帶接入中可采用虛擬撥號方式。專線接入包括有線專線接入和固定無線接入兩種方式，或者兩種方式的結(jié)合。專線接入主要是指通過租用專線的方式將業(yè)務(wù)或用戶接入城域網(wǎng)。1 有線專線接入1) 光纖直驅(qū)/寬帶以太網(wǎng)接入：基于光纖直驅(qū)的寬帶以太網(wǎng)接入可用于部分重要的業(yè)務(wù)源或大客戶接入城域網(wǎng)等。2) 基于光纖的無源

27、光網(wǎng)絡(luò)接入：無源光網(wǎng)絡(luò)為運(yùn)營商的中心機(jī)房和商業(yè)及居民客戶之間解決最后一公里的通信基礎(chǔ)。目前成熟的有APON解決方案，但是設(shè)備造價較貴，以以太網(wǎng)為基礎(chǔ)的無源光網(wǎng)絡(luò)目前發(fā)展較快。目前無源光網(wǎng)絡(luò)技術(shù)和設(shè)備不完全成熟。3) SDH/MSTP/DDN接入：SDH網(wǎng)絡(luò)可以提供2.5Gbps、622Mbps、155Mbps、2Mbps速率的接入，MSTP網(wǎng)絡(luò)還可以提供ATM接口和以太網(wǎng)(10/100/1000Mbps)接口；DDN網(wǎng)絡(luò)可提供2Mbps及2Mbps以下的速率接入。通過SDH/MSTP/DDN網(wǎng)絡(luò)可以接入重要的業(yè)務(wù)或大客戶。4) ATM/FR/X.25接入：通過ATM/FR/X.25與城域網(wǎng)進(jìn)行

28、連接，業(yè)務(wù)或用戶可以接入城域網(wǎng)。2 固定無線接入固定無線接入主要有LMDS和3.5GHz等方式的固定無線接入。利用固定無線接入方式可以彌補(bǔ)接入手段的不足，接入光纖、SDH網(wǎng)絡(luò)等覆蓋不到的用戶。通過GPRS、CDMA2000 1X網(wǎng)絡(luò)與城域網(wǎng)的互連可以實現(xiàn)移動用戶以分組方式接入城域網(wǎng)，使用各種城域網(wǎng)業(yè)務(wù)。WLAN提供了局域覆蓋、高速接入的無線接入技術(shù)，可為用戶提供熱點(diǎn)地區(qū)高速數(shù)據(jù)接入。通過WLAN的接入控制設(shè)備聯(lián)入城域網(wǎng)，用戶可在WLAN覆蓋區(qū)域接入城域網(wǎng)，使用各種城域網(wǎng)業(yè)務(wù)。13.5 業(yè)務(wù)計費(fèi)與結(jié)算1 IP城域網(wǎng)計費(fèi)體系由計費(fèi)信息采集前端設(shè)備(NAS、BRAS、WLAN AC/AP等)、計費(fèi)信

29、息采集點(diǎn)(主要是RADIUS服務(wù)器，基于信息內(nèi)容的計費(fèi)信息采集點(diǎn)主要在業(yè)務(wù)平臺或業(yè)務(wù)管理平臺)和運(yùn)營商的計費(fèi)帳務(wù)系統(tǒng)組成。計費(fèi)信息采集點(diǎn)生成用戶話單，可以定時、定量地傳送給計費(fèi)系統(tǒng)，由計費(fèi)帳務(wù)系統(tǒng)進(jìn)行批價、進(jìn)行帳務(wù)處理等。2 城域網(wǎng)計費(fèi)體系宜盡量采用集中方式。根據(jù)業(yè)務(wù)運(yùn)營和管理需要，也可采用多系統(tǒng)分散方式。3 對于基于信息內(nèi)容的計費(fèi)，在生成計費(fèi)話單信息前的業(yè)務(wù)流程中應(yīng)包含對業(yè)務(wù)合法性、業(yè)務(wù)用戶訂購合法性等的鑒權(quán)環(huán)節(jié)，避免業(yè)務(wù)欺詐。1 城域網(wǎng)業(yè)務(wù)計費(fèi)體系應(yīng)支持基于時長的計費(fèi)方式、基于流量的計費(fèi)方式、基于信息內(nèi)容的計費(fèi)方式，支持包月計費(fèi)方式，支持基于資源占用的計費(fèi)方式，并支持各種計費(fèi)帳務(wù)處理的各種

30、優(yōu)惠方式。隨著新的技術(shù)的發(fā)展，將來還可以采用基于QoS或者其它的高級計費(fèi)方式。2 城域網(wǎng)業(yè)務(wù)計費(fèi)體系應(yīng)支持預(yù)付費(fèi)的實時計費(fèi)方式和后付費(fèi)的的計費(fèi)方式。3 城域網(wǎng)業(yè)務(wù)計費(fèi)體系應(yīng)支持計費(fèi)方號碼的靈活設(shè)定，可以是主叫號碼、卡號、用戶注冊名、集團(tuán)帳號等，以滿足業(yè)務(wù)開展的需要。4 城域網(wǎng)業(yè)務(wù)計費(fèi)體系應(yīng)支持用戶漫游使用業(yè)務(wù)時發(fā)生的計費(fèi)結(jié)算需要。5 計費(fèi)信息采集點(diǎn)所收集的計費(fèi)要素應(yīng)滿足業(yè)務(wù)需要。寬帶IP城域網(wǎng)原則上歸納到省級結(jié)算中心，IP城域網(wǎng)只負(fù)責(zé)計費(fèi)信息的采集，不支持結(jié)算。對于部分規(guī)模較大的IP城域網(wǎng)業(yè)務(wù)結(jié)算應(yīng)依托于運(yùn)營商已有的計費(fèi)帳務(wù)系統(tǒng)，完成省際結(jié)算。13.6 業(yè)務(wù)管理和寬帶用戶管理寬帶IP城域網(wǎng)運(yùn)營

31、商應(yīng)建設(shè)一個可增值的寬帶業(yè)務(wù)平臺，使寬帶IP城域網(wǎng)能提供豐富的寬帶業(yè)務(wù)，并實施集中業(yè)務(wù)管理，規(guī)范寬帶業(yè)務(wù)的對外形象。 寬帶IP城域網(wǎng)的業(yè)務(wù)中心建設(shè)應(yīng)重點(diǎn)考慮以下幾個方面： 1 業(yè)務(wù)邏輯和業(yè)務(wù)功能分離，業(yè)務(wù)邏輯由業(yè)務(wù)中心定制，并通過開放的協(xié)議接口控制網(wǎng)絡(luò)設(shè)備中的業(yè)務(wù)功能。能夠根據(jù)用戶的需求快速地生成新的業(yè)務(wù)，而且不需要修改網(wǎng)絡(luò)設(shè)備并快速實施；可以使網(wǎng)絡(luò)具備不斷挖掘網(wǎng)絡(luò)能力，針對不同的用戶群提供不同的業(yè)務(wù)特性組合。如：寬帶上網(wǎng)卡、寬帶酒店（IP Hotel）、門戶業(yè)務(wù)（Portal）、智能小區(qū)。 2 靈活方便的業(yè)務(wù)提供：面向用戶和管理者的Web接入管理、支持多代理商的批發(fā)外包將是寬帶業(yè)務(wù)的重要特征

32、，通過有效的權(quán)限管理機(jī)制保證業(yè)務(wù)數(shù)據(jù)的安全。用戶可以定制業(yè)務(wù)提供的多種特性以及選擇不同的費(fèi)率策略。對于不同的接入手段，應(yīng)保持一致的業(yè)務(wù)特性。 3 靈活的業(yè)務(wù)計費(fèi)：按時長、流量、帶寬、服務(wù)等級等多種因素進(jìn)行綜合計費(fèi)，支持靈活的業(yè)務(wù)策略。 4 提供開放的協(xié)議和管理接口，支持第三方數(shù)據(jù)庫接入。5 積極發(fā)展Portal 業(yè)務(wù)，并通過廣告充值等手段，刺激用戶消費(fèi)。13.6.2 寬帶用戶管理功能寬帶IP城域網(wǎng)匯聚層設(shè)備應(yīng)提供以下寬帶用戶管理功能： 1 邊緣匯接設(shè)備應(yīng)能根據(jù)用戶的不同接入方式進(jìn)行寬帶用戶的身份識別：以太網(wǎng)接入（以MAC、IP地址或VLAN ID組合方式識別用戶）；PPPoE接入（PPPOE

33、SESSION ID識別用戶）-支持接入用戶通過PPPoE接入上網(wǎng)，該接入?yún)f(xié)議在ADSL接入、以太接入、CMTS接入都適用；L2TP接入（L2TP SESSION ID識別用戶）。 2 支持以下方式的用戶認(rèn)證：通過業(yè)務(wù)中心完成認(rèn)證；通過Radius系統(tǒng)完成認(rèn)證；WEB認(rèn)證。IP城域網(wǎng)業(yè)務(wù)開放時對用戶的識別可以采取兩種方式：1) 如為用戶分配唯一靜態(tài)的IP地址，則無需進(jìn)行認(rèn)證。2) 如為用戶分配動態(tài)IP地址，則由認(rèn)證設(shè)備分配IP地址 3 用戶地址管理 1) 應(yīng)支持用戶動態(tài)選擇ISP的功能。 2) 支持固定分配IP地址：用戶每次上網(wǎng)時，使用一個固定的IP地址。 3) 支持動態(tài)IP地址分配。 動態(tài)I

34、P地址分配有以下幾種方式：DHCP動態(tài)分配：用戶開機(jī)時，地址由DHCP SERVER分配，匯聚設(shè)備實現(xiàn)DHCP SERVER或DHCP Relay；Radius server動態(tài)分配：在認(rèn)證階段，由Radius Server為用戶分配IP地址。 4) 支持由匯聚層網(wǎng)絡(luò)設(shè)備分配IP地址：在PPP拔號中，由匯聚層網(wǎng)絡(luò)設(shè)備從本機(jī)地址池為用戶分配IP地址。 5) 支持ISP分配IP地址：適用于PPP中繼到L2TP方式，地址分配對匯聚層網(wǎng)絡(luò)設(shè)備透明。14 編號方案、地址分配與域名系統(tǒng)14.1 編號方案用戶在其它業(yè)務(wù)提供商的網(wǎng)絡(luò)上網(wǎng)時，要求鍵入全用戶帳號，即usernamerealm。14.2 地址分配1

35、 按需分配，避免IP地址的浪費(fèi)地址分配時應(yīng)根據(jù)網(wǎng)絡(luò)各節(jié)點(diǎn)的規(guī)模、建設(shè)周期、業(yè)務(wù)發(fā)展預(yù)測等因素綜合考慮，本著既滿足需求又不造成浪費(fèi)的原則進(jìn)行分配。在網(wǎng)絡(luò)建設(shè)、擴(kuò)容過程中規(guī)劃地址時，應(yīng)在滿足網(wǎng)絡(luò)近期發(fā)展的前提下，盡可能地節(jié)約使用，避免IP地址的浪費(fèi)。2 充分利用CIDR、VLSM等技術(shù)，合理高效地使用IP地址在規(guī)劃地址時，應(yīng)打破傳統(tǒng)A類、B類、C類地址的劃分，充分利用無類別域間路由(CIDR)技術(shù)及可變長子網(wǎng)掩碼(VLSM)等技術(shù)，合理、高效地使用IP地址，不應(yīng)使用C類地址做為規(guī)劃的最小單位。采用CIDR、VLSM等技術(shù)可以更有效的利用IP地址空間，但劃分子網(wǎng)掩碼時要注意保持地址的連續(xù)和路由表的優(yōu)

36、化。3 提高地址利用率地址規(guī)劃和分配時應(yīng)注意按需分配，不造成浪費(fèi)，提高地址利用率。合理擴(kuò)大分配窗口值，盡可能提高已獲得的IPv4地址的利用率。4 保持地址分配的連續(xù)性為保證IP網(wǎng)絡(luò)的整網(wǎng)運(yùn)行效率，簡化各路由節(jié)點(diǎn)的路由表，在分配IPv4地址的過程中，應(yīng)盡量保證網(wǎng)絡(luò)內(nèi)部地址的連續(xù)性，盡量按地域分配連續(xù)的IP地址塊。5 為了業(yè)務(wù)發(fā)展的需要，地址規(guī)劃時可以進(jìn)行合理的地址預(yù)留地址預(yù)留時要注意地址的聚合問題，同時預(yù)留的空間應(yīng)該有一定限度，避免地址的閑置和浪費(fèi)。6 在不影響業(yè)務(wù)開展的前提下，可使用私有地址考慮到目前IPv4公有地址日益緊張，在不影響業(yè)務(wù)開展的前提下，在一定范圍內(nèi)可使用私有地址。規(guī)劃和使用私有地址時，只能嚴(yán)格采用RFC規(guī)定的私有地址范圍，不能隨便使用其它范圍的地址。7 無恰當(dāng)理由不應(yīng)分配靜態(tài)的客戶地址所有靜態(tài)地址的分配都必須有充分的理由和詳細(xì)的規(guī)劃說明。對于撥號連接用戶，應(yīng)該采用動態(tài)地址，不應(yīng)該采用靜態(tài)地址。15 設(shè)備配置原則1 應(yīng)在完成網(wǎng)絡(luò)節(jié)點(diǎn)局域網(wǎng)結(jié)構(gòu)詳細(xì)設(shè)計的基礎(chǔ)上配置節(jié)點(diǎn)所需要的主要設(shè)備。2 網(wǎng)絡(luò)節(jié)點(diǎn)內(nèi)路由器設(shè)備的配置應(yīng)充分考慮該節(jié)點(diǎn)在網(wǎng)絡(luò)中的位置和功能，所配置的設(shè)備的功能與性能應(yīng)與該設(shè)備在網(wǎng)絡(luò)中的角色一致。