GB/T 51375-2019标准规范下载简介
GB/T 51375-2019 网络工程设计标准12.1安全直标与框架
12.1.1公用互联网的网络与信息安全目标应在合理的安全成本 基础上,保证各类网元设备的正常运行,保证信息在网络上的安全 传输,保障网络的运营维护管理安全,保障业务安全和内容安全, 并应符合相关行业管理要求。 12.1.2公用互联网的安全框架应由防护、检测与评估、响应闭环 构成,并应符合下列规定: 1防护部分应提供基本的安全技术和安全措施; 2检测与评估部分宜实现对全网的实时监控,定期对全网进 行安全扫描和风险评估,并将结果传给响应系统; 3响应部分应能根据检测和评估结果,调整安全策略、产生 安全告警、修补安全漏洞、进行安全加固等; 4安全框架所需保障设施应与网络同步规划、设计、建设
12.1.1公用互联网的网络与信息安全自标应在合理的安全成本 基础上,保证各类网元设备的正常运行,保证信息在网络上的安全 传输,保障网络的运营维护管理安全,保障业务安全和内容安全, 并应符合相关行业管理要求。
DL/T 1405.2-2018 智能变电站的同步相量测量装置 第2部分:技术规范2.1.2公用互联网的安全框架应由防护、检测与评估、响应
1防护部分应提供基本的安全技术和安全措施: 2检测与评估部分宜实现对全网的实时监控,定期对全网进 行安全扫描和风险评估,并将结果传给响应系统; 3响应部分应能根据检测和评估结果,调整安全策略、产生 安全告警、修补安全漏洞、进行安全加固等; 4安全框架所需保障设施应与网络同步规划、设计建设。
12.2.1公用互联网宜设立安全管理中心,作为实现网络安全管 理的技术平台。
2安全管理中心的功能宜符合下列规定:
12.2.2安全管理中心的功能宜符合下列规定:
安全管理和技木于段 12.3.2公用互联网宜在IDC出口处、网间互联处和网络内不同 层次之间设置流量检测与控制系统,应主要实现下列功能: 1异常流量检测及控制; 2不良信息检测及控制,
12.3.2公用互联网宜在IDC出口处、网间互联处和网络内不同
12.4.1公用互联网的用户信息应加密存储,访问用户信息应进 行权限控制, 12.4.2用户使用公用互联网接入业务应可溯源,网络接入访问 日志记录保存不应少于6个月。
12.4.1公用互联网的用户信息应加密存储,访问用户信息应进 行权限控制, 12.4.2用户使用公用互联网接入业务应可溯源,网络接入访问 日志记录保存不应少于6个月
12.4.3公用互联网接入、承载的业务系统应符合下列
1应划分安全域,应配置防火墙进行安全域边界控制; 2业务提供、控制与管理过程应保护用户隐私,不泄漏用户 相关敏感信息:;
12.5.1公用互联网应从控制、管理和数据三个层面保障自身安全。 12.5.2公用互联网应在域内路由协议和域间路由协议中启用校 验和认证功能,保证路由信息的完整性和已授权性。 12.5.3在网络关键节点,可根据源地址及端口、目的地址及端口 以及协议类型等参数实施ACL,可根据路由表中的网段和物理接 口实施uRPE
12.5.5 网络设备的远程维护应使用加密协议。 12.5.6 网络设备应关闭未使用的功能和服务。 12.5.7 网络设备应关闭未使用的SNMP协议和未使用的读写 权限。 12. 5.8P 网络的域名服务器应实现域名数据安全和解析安全
13.0.1网络各节点配置的主要网络设备可包括路由器、交换机 等设备。配套设备可包括设备机架、电源架、配线架等。 13.0.2设备配置应以近期需求为基础,兼顾远期业务发展的需 要。选用的设备应性能稳定、安全可靠、技术先进、兼容性好、能效 比好、模块化、扩展性强,具备在线升级能力。 13.0.3采用的各种网络设备应符合有关的设备技术规范,并应 符合下列规定: 1应符合下列能耗管理要求: 1)对于机框插槽式设备,应有高温报警功能; 2)对于机框插槽式设备,应具备能源监控及管理功能; 3)对于机框插槽式设备,应支持通过命令行或网管工具远 程关闭设备部分模块或功能,或进入微电状态: 4)对于机框插槽式设备,应支持根据实际情况动态调整风 扇转速; 5)宜具有可根据用户需求和不同应用场合配置交流或直流 供电的选择; 6)设备内部应有合理的气流组织。 2应符合下列环保与包装要求: 1)设备的主要部分应减少铅、镉、汞、六价铬、漠化阻燃剂等 有害物质; 2)应采用用量最少的适度包装,包装材料对人体和生物应 无毒无害,包装应易于重复利用或易于回收再生,包装废 弃物可以降解腐化。 13.0.4路由器设备配置应符合下列规定:
1应在完成网络节点局域网结构设计的基础上配置路由器 设备; 2应充分考虑该节点在网络中的位置和功能,所配置的路由 器设备的功能与性能应与其在网络中的角色一致:处理的业务量 相对设备能力较小时,一台路由器设备也可兼做两种功能角色; 3当一个节点存在多条对外连接中继电路、节点配置多台路 由器设备时,应注意对整体网络结构的影响以及对流量流向规划 的影响; 4骨干网路由器设备和城域网核心层路由器设备的主控板 卡、交换板卡、电源模块、风扇模块等关键部件应余配置,应支持 热备份功能和热插拔功能; 5路由器设备的接口板应根据网络中继电路设计情况进行 配置;当一个节点存在多条对外连接中继电路时,电路与接口板的 对应应考虑安全可靠性要求; 6国际出入口节点的国际出人口路由器设备应单独配置,不 与其他功能路由器合设; 7路由器设备应同时支持IPv4和IPv6协议栈。 13.0.5业务接入控制系统设备配置应符合下列规定: 1业务接入控制系统设备可由一台设备完成,也可单独设置 为业务路由器SR或宽带接人服务器BRAS: 2SR可主要作为用户专线接人网络的网关、MPLSVPN PE、组播网关等,BRAS可主要作为用户宽带接入网络的网关、组 播网关等; 3SR、BRAS应实现对用户的接入及接入认证控制、QoS策 略控制和计费统计等功能: 4SR、BRAS应以综合成本最低为原则,考虑传输资源条件 和用户数量部署;对于中、大规模的城域网,宜在汇聚层分布配置 小规模的城域网可在核心层集中配置;接入重要业务的SR可单 独设置,并可直接接人骨干网一般汇接节点;
5SR(BRAS)宜成对设置,成对的SR(BRAS)之间宜互为 几余备份,可同机房或不同机房设置。 13.0.6 设备机架、电源架、配线架等配套设备应根据工程实际需 要配置。 13.0.7备品备件的配置应根据设备的重要性、故障率以及工程 售后服务内容确定,宜采用集中备件方式,
14.0.1网络设备应选择安装在便于与传送网连接、便于维护管 理的通信机房内,机房设计应符合现行行业标准《通信建筑工程设 计规范》YD5003和《通信局(站)节能设计规范》YD/T5184的 规定。
14.0.2机房的工作地、保护地、建筑防雷接地应符合现行国家标
火规范》GB50016的规定。
1为便于在执行本标准条文时区别对待,对要求严格程度不 司的用词说明如下: 1)表示很严格,非这样做不可的: 正面词采用“必须”,反面词采用“严禁”; 2)表示严格,在正常情况下均应这样做的: 正面词采用“应”,反面词采用“不应”或“不得” 3)表示充许稍有选择,在条件许可时首先应这样做的: 正面词采用“宜”,反面词采用“不宜”; 4)表示有选择,在一定条件下可以这样做的,采用“可”。 2条文中指明应按其他有关标准执行的写法为:“应符合. 的规定”或“应按执行”
《建筑设计防火规范》GB50016 《通信局(站)防雷与接地工程设计规范》GB50689 《通信建筑工程设计规范》YD5003 《电信设备安装抗震设计规范》YD5059 《通信局(站)节能设计规范》YD/T5184
《网络工程设计标准》GB/T51375一2019经住房和城乡建设 部2019年6月5日以第152号公告批准发布。 本标准制订过程中,编写组进行了国内公用互联网网络建设 的调查研究,总结了我国近年来公用互联网网络的设计成果,在厂 泛征求意见的基础上,制订本标准。 为了便于厂天设计、施工等单位有关人员在使用本标准时能 正确理解和执行条文规定,编写组按章、节、条顺序编制了本标准 的条文说明。对条文规定的自的、执行中需注意的有关事项进行 了说明。但是,本条文说明不具备与标准正文同等的法律效力,仅 供使用者作为理解和把握标准规定的参考
11网络性能与服务质量
11.1网络性能 11.2服务质量 2 网络终与信息安全 ........
63 与框架 C64 (64 (65 (65 C66
1.0.1随着网络不断融合和电信网络IP化技术的发展,互联网 已经成为重要基础网络。规范公用互联网网络的工程设计,可以 提高网络设计的标准化程度,促进网络之间的互联互通,促进新技 术在网络中的应用,提高网络服务质量和安全性
全部完成,在过渡过程中将存在IPv4和IPv6用户及业务 通需求。
4.1.1骨十网是互联网网络的厂域主十。城域网主要承担集团 用户、商用大楼、智能小区和个人用户的业务接入,具有覆盖面广、 接入技术多样和接入方式灵活的特点。城域网位于骨干网和宽带 接人网、用户驻地网或终端用户之间,将企业和个人客户的各种业 务连接到骨王网中
化的结果。目前,多数公用互联网网络属于层次化网络,随着设备 能力的增强,网络层次呈现扁平化结构发展趋势,但是此时网络结 构仍应保持层次清晰。本条描述的两种网络层次结构如图1所示。
图1两种网络层次结构示意
4.1.3城域网的网络层次如图2所示,城域接人网的设计要求不 在本标准范围内。
图2城域网的网络层次示意
4.2.3核心汇接节点的选择可采用如下步骤:求出一般汇接节点
4.2.3核心汇接节点的选择可采用如下步骤:求出一般汇接节点 之间的网络流量矩阵,选择设定流量國值,根据流量矩阵和流量域 值确定一般汇接节点之间的点对点电路,选择设定度数阈值,超出 度数國值的一般汇接节点可以确定为核心汇接节点。选择时应同 时考虑传送网的资源条件、维护管理等因素。 的设黑编合老电设发成太
4.2.7城域网的业务接入控制节点的设置应综合考虑设备成本
机房条件、运维成本以及网络安全信息分级规范等管理规定。 城域网汇聚节点的选择应同时考虑业务接入系统的设置、业 务发展以及传送网的资源条件等因素。
则,并兼顾网络维护管理的便利性。网络点对点流量小手传送网 的电路带宽时,宜较多地设置转接电路汇聚流量,以充分利用IP 流量的统计复用特性,提高电路利用率。网络点对点流量大于传 送网的电路带宽时,可多设置直达电路,形成较扁平化的网络结 构,提高网络性能,但是也要注意过多的中继电路影响路由收敛、 流量均衡,增加维护难度
4.3.5当路由表中只有一条最优路由(ECMP链路除外
IP路由在故障发生时,需要重新收敛,收敛时间一般在秒级,这样 将造成部分流量丢失。快速重路由机制通过填补路由收敛的时间 旬隙,在故障发生后路由重新收敛期间,将流量快速切换到备份路 径,保证业务不中断;路由收敛后,将流量切换回收敛后的最佳路 径。快速重路由可采用MPLSTEFRR、IPFRR、LDPFRR等技 术实现。以一种MPLSTEFRR设置方式举例:在某中继电路部 署主用承载TETunnel,在不同路由的中继电路上部署与之对应 的FRRBackupLSP
5.1.2在工程中对于域内路由协议可以根据实际情况选择
5.1.4:用户采用动态路由接入时,应注意用户路由传播范围。
6.1.1网间互联可以通过直连方式互联,也可以通过NAP互 联。NAP可以是公共的,由多个规模相当的互联网单位通过签订 多边协议共同建立和维护;或是由第三方机构建立和维护;也可以 由较大规模的互联网单位设立NAP,为较小规模的互联网单位提 供网络互联。
务质量,并进行服务质量参数的监测工作。服务质量参数可包括 IP数据包转发时延、IP数据包转发丢失率、互联电路可用率和 BGP路由传播时间等。
6.3.1对等方式互联的双方只交换本网络用户与对方网络用户 之间的路由和流量,而不转接其他互联单位的用户之间的路由和 流量。对等互联还可进一步分为公共对等互联和专用对等互联。 公共对等互联指多个IP网络间签署并遵守多边协议进行对等互 联,这种互联方式一般应用在NAP。专用对等互联指两个网络间 签署并遵守双边协议进行对等互联,这种互联方式既可以在NAP 进行,也可以由两个互联单位通过直连电路实现。对等关系不具 有可传递性。转接互联提供者除了充许被转接网络用户访问自已 网络中的充许访问的地址外,还应根据双方约定充许其通过自已 的网络访问其他互联单位的网络。
7.2.2网管接口信息模型应符合网管接口功能的需要。
8.0.1路由器采用SDH顿结构通过光传送网传输时
8.0.1路由器采用SDH顺结构通过光传送网传输时,路由器便 用POS端口采用以太网顿结构通过光传送网传输时,路由器使 用以太网端口;采用OTN顿结构通过光传送网传输时,路由器使 用OTN端口。
8.0.1路由器米用SDH 项给构通过传送网传输时,路由器使 用POS端口;采用以太网顿结构通过光传送网传输时,路由器使 用以太网端口;采用OTN顿结构通过光传送网传输时,路由器使 用OTN端口。 8.0.3当1P网络和传送网同时配置保护倒换功能时,需要协同 不同层之间的保护,避免对转发流量产生影响。例如可采用延迟 机制来协同,当为IP网络提供传送服务的传送网(如SDH、 DWDM、OTN)在因故障进行保护倒换时,IP网络的保护延迟等 待一个周期,确保底层传送层的保护完成(生效或失效),然后再决 定是否启动IP网络层的保护
9.0.2城域网与接入网互联时,通过业务接入控制层实现对用户 接入互联网的认证,用户使用各种业务的认证由业务系统执行。 可采用基于端口的802.1x认证,基于端口链路层地址绑定的认 证,基于用户名和口令的PAP、CHAP、EAP等网络层接入认证, 基于用户名和口令的高层协议认证等方式。业务接入控制层与认 证系统服务器端可以采用RADIUS、DIAMETER等AAA协议 接口,完整实现用户接入网络的认证与计费。
9.0.6承载技术举例:可以采用MPLSVPN或IP转发的方式
9.0.6承载技术举例:可以采
提供IP业务,可采用VPWS和VPLS的方式提供各种以太网业 务,可采用PWE3方式提供TDM业务。互联网网络可提供端到 瑞和局部的网络保护与恢复功能,实现对链路故障和中间节点故 障下的保护,需要注意应与业务网络对接保护,包括双归保护、双 节点完余保护等。互联网网络可通过网管系统为承载业务提供敌 障定位,性能监测等管理功能。互联网网络可采用DiffServ模型 为各种业务提供服务质量保障,实现流分类和流标记、流量监管, 流量整形、拥塞管理、队列调度、连接充许功能等QoS功能。互联 网网络可采用同步以太网方式提供频率同步,以IEEE1588v2的 方式提供时间同步
BSS、OSS系统应能够区分用户、设备的IP地址属性,保
9.0.9在IPv4、IPv6共存情况下,由于终端应用和业务
10.2.1IP地址用于用户和应用的标识和网络路由
地址之间不必有关联,但是对于支持自动隧道的双栈节点,必须配 置与IPv4地址有映射关系的IPv6地址。 10.2.2IP地址规划和分配应本着既满足需求又不造成浪费的 原则进行。在网络建设、扩容过程中规划地址时,应在满足网络近 期发展的前提下尽可能地节约使用。 IPv4地址在规划时,需要打破传统A类、B类、C类地址的划 分,充分利用CIDR方式及VLSM等技术,合理、高效地使用IF 地址,不应使用C类地址作为规划的最小单位。 对于IPv6地址,尽管地址空间极大,但仍要避免浪费。在制 定全球唯一IPv6单播地址分配方案时,应注意IPv6不同于IPv4 的特性,这些特性将直接影响分配方案。IPv6的自动配置机制依 赖于自前/64子网前缀长度。大规模用户可分配大于/48的地址 块。较大规模用户可分配/48的地址块,对其内部子网可采用使 用/56的地址块。较小规模的用户可分配/56地址前缀。无子网 划分需求的用户可分配/64的地址块。如果是单个设备接入,分 配/128地址。 组播地址的分配应注意不能发生组播地址冲突,还需尽量避 免多个IP组播地址映射到相同MAC组播地址的冲突问题
10.2.2IP地址规划和分配应本看既满足需求文不造成泪
IP网络的域名系统服务于网络和应用
IP网络的域名系统服务于网络和应用。 1
11.1.1互联网网络的性能主要取决于IP层的信息传送性能,其 在很大程度上依赖于承载IP层的低层链路的传输性能,同时高层 业务的有关性能也会影响IP网络的网络性能。本标准主要采用 IPTD、IPDV、IPLR、IPER作为IP网络的性能参数。 需要注意的是,接入技术对用户端到端质量会产生极大影响 而接入技术多种多样,接入速度及其他性能指标也千差万别。 在本标准中,对网络的性能指标要求均设定其处于正常运行 情况下,对网络拥塞所导致的网络质量下降情况不在本标准考虑 的范围之内
11.2.4服务质量(QoS)是指IP网络的一种能力,可为特定的业 务提供其所需要的服务。实施各种IPQoS技术,可以有效控制 网络资源及其使用,能够针对不同用户需求提供差别化业务。 11.2.5IP网络中QoS的技术部署主要包括资源控制、资源隔离 和资源调度等各种技术及策略的运用。 其王RSVP的IntSer方安是一种端到端其王流的OoS划
11.2.4服务质量(QoS)是指1P网络的一种能力,可为特定的业
和贡源调度等谷神技不及集略的运用。 基于RSVP的IntServ方案是一种端到端基于流的QoS技 术,粒度为单个流的资源预留的解决思路扩展性无法保证,一般不 建议采用。 基于DSCP的DiffServ方案是一种基于类的QoS技术,通过 将业务定义为有限的类,可以较好地解决扩展性问题,建议可主要 采用。 MPLS可以与DiffSerV结合,提供MPLSCoS。MPLS与
DiffServ的结合可以将DS字节的设置融入MPLS的标记分配过 程中,使得MPLS标记具备区分分组服务质量的能力。 MPLSTE是一种间接改善网络QoS的技术。MPLSTE利 用了LSP支持显式路由的能力,在网络资源有限的前提下,将网 络流量合理引导,间接改善网络服务质量。MPLSDiffServ AwareTE在MPLSTE的基础上,增加了基于类别的资源管理 充分利用了DiffServ的可扩展性以及MPLS的显式路由能力。
测DB32T 3762.10-2020 新型冠状病毒检测技术规范 第10部分:微量血清中和试验,用户应可以通过浏览器或安装客户端软件进行测试。例如部 署宽带接入速率测试平台为用户提供宽带测速服务。
12. 1 安全且标与框架
12.3.1内容安全是IP网络信息安全的重要组成部分,主要包括 不良信息的治理、防止信息泄漏、对信息进行校检及备份等。 12.3.2互联网面临看众多的内容安全威胁,增强流量检测与控 制能力是保障网络内容安全的有效技术手段。在网络中部署流量 检测与控制系统,作为实现内容安全技术设施的一部分,是实现互 联网“业务可识别”的重要技术措施。 流量检测与控制系统的流量检测功能实现可根据需求选择采 用深度流检测、深度包检测技术或采用直路、旁路或直路一劳路联 动三种方式进行系统部署和控制。 流量检测与控制系统的设置不应影响IP网络的网络性能
业务系统的安全措施应根据该系统的安全等级具体确 给出了基本要求。
12.5.1互联网网络在网络控制面的安全威胁主要包括路由信息 泄露、仿冒攻击、篡改攻击、路由干扰、路由过载和软件漏洞等;在 管理面的安全威胁主要包括非法设备访问等;在数据面的安全威 协主要包括IP欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务 攻击、分片攻击、网络侦听和应用层攻击等。应根据可能的威胁采 取针对性的网络安全技术措施
表现在两个环节:一个是DNS权威服务器的主服务器和辅服务器 之间的数据更新过程中的数据完整性保证;另一个是DNS递归服 务器在执行递归查询过程中从权威服务器获取的查询结果的数据 完整性保证。应对应地采取各种安全技术措施
13.0.3设计在设备及配套选型等方面应遵循有利环境保护、有 利节能减排的原则GB/T 38335-2019 光伏发电站运行规程,引入符合国家节能减排要求、低能耗的设备 优先采用有利节能环保的相关配套材料