标准规范下载简介
GB 51375-2019-T:网络工程设计标准(无水印 带标签)12.1 安全且标与框架
12.1.1公用互联网的网络与信息安全目标应在合理的安全成本 基础上,保证各类网元设备的正常运行,保证信息在网络上的安全 传输,保障网络的运营维护管理安全,保障业务安全和内容安全, 并应符合相关行业管理要求。
1..公用工联网的网与信息安全日标应在合理的安全成本 基础上,保证各类网元设备的正常运行,保证信息在网络上的安全 传输,保障网络的运营维护管理安全,保障业务安全和内容安全 并应符合相关行业管理要求。 12.1.2公用互联网的安全框架应由防护、检测与评估、响应闭环 构成JGJ/T 411-2017 冲击回波法检测混凝土缺陷技术规程,并应符合下列规定: 1防护部分应提供基本的安全技术和安全措施: 2检测与评估部分宜实现对全网的实时监控,定期对全网进 行安全扫描和风险评估,并将结果传给响应系统; 3响应部分应能根据检测和评估结果,调整安全策略、产生 安全告警、修补安全漏洞、进行安全加固等; 4安全框架所需保障设施应与网络同步规划、设计、建设。
12.2.1公用互联网宜设立安全管理中心,作为实现网络安全管 理的技术平台。
12.2.2安全管理中心的功能宜符合下列规定:
12.3.1公用互联网应在业务的审核、检查、拨测等环节部署内容 安全管理和技术手段。 12.3.2公用互联网宜在1DC出口处、网简互联处和网络内不同 层次之间设置流量检测与控制系统,应主要实现下列功能: 1异常流量检测及控制; 2不良信息检测及控制。
12.4.1公用互联网的用户信息应加密存储,访问用户信息应进 行权限控制。 12.4.2用户使用公用互联网接人业务应可溯源,网络接入访问 日志记录保存不应少于6个月。 12.4.3公用互联网接入、承载的业务系统应符合下列规定: 1 应划分安全域,应配置防火墙进行安全域边界控制; 2业务提供、控制与管理过程应保护用户隐私,不泄漏用户 相关敏感信息;
12.5.1公用互联网应从控制、管理和数据三个层面保障自身安全。 12.5.2公用互联网应在域内路由协议和域间路由协议中后用校 验和认证功能,保证路由信息的完整性和已授权性。 12.5.3在网络关键节点,可根据源地址及端口、目的地址及端口 以及协议类型等参数实施ACL,可根据路由表中的网段和物理接 口实施uRPF
12.5.5 网络设备的远程维护应使用加密协议。 12.5.6 网络设备应关闭未使用的功能和服务。 12.5.7 网络设备应关闭未使用的SNMP协议和未使用的读写 权限。 12.5.8[ 网络的域名服务器应实现域名数据安全和解析安全
3.0.1网络各节点配置的主要网络设备可包括路由器、交换机 设备。配套设备可包括设备机架、电源架、配线架等。 3.0.2设备配置应以近期需求为基础,兼顾远期业务发展的需 。选用的设备应性能稳定、安全可靠、技术先进、兼容性好、能效 好、模块化、扩展性强,具备在线升级能力。 3.0.3采用的各种网络设备应符合有关的设备技术规范,并应 合下列规定: 1应符合下列能耗管理要求: 1)对于机框描槽式设备,应有高温报警功能; 2)对于机框插槽式设备,应具备能源监控及管理功能; 3)对于机框插槽式设备,应支持通过命令行或网管工具远 程关闭设备部分模块或功能,或进人微电状态; 4)对于机框插槽式设备,应支持根据实际情况动态调整风 扇转速; 5)宜具有可根据用户需求和不同应用场合配置交流或直流 供电的选择; 6设备内部应有合理的气流组织。 2应符合下列环保与包装要求: 1)设备的主要部分应减少铅、、求、六价铬、漠化阻燃剂等 有害物质; 2)应采用用量最少的适度包装,包装材料对人体和生物应 无毒无害,包装应易于重复利用或易于回收再生,包装废 弃物可以降解腐化。 3.0.4路由器设备配置应符合下列规定:
1应在完成网络节点局域网结构设计的基础上配置路由器 设备; 2应充分考该节点在网络中的位置和功能,所配置的路由 器设备的功能与性能应与其在网络中的角色一致;处理的业务量 相对设备能力较小时,一台路由器设备也可兼做两种功能角色; 3当一个节点存在多条对外连接中继电路、节点配置多台路 由器设备时,应注意对整体网络结构的影响以及对流量流向规划 的影响; 4骨干网路由器设备和城域网核心层路由器设备的主控板 卡、交换板卡、电源模块、风扇模块等关键部件应允余配置,应支持 热备份功能和热插拨功能; 5路由器设备的接口板应根据网络中继电路设计情况进行 配置;当一个节点存在多条对外连接中继电路时,电路与接口板的 对应应考虑安全可靠性要求; 6国际出人口节点的国际出人口路由器设备应单独配置,不 与其他功能路由器合设; 7路由器设备应同时支持IPv4和IPv6协议栈。 13.0.5业务接人控制系统设备配置应符合下列规定: 1业务接人控制系统设备可由一台设备完成,也可单独设置 为业务路由器SR或宽带接人服务器BRAS; 2SR可主要作为用户专线接人网络的网关、MPLSVPN PE、组播网关等,BRAS可主要作为用户宽带接人网络的网关、组 播网关等; 3SR、BRAS应实现对用户的接人及接人认证控制、QoS策 略控制和计费统计等功能: 4SR、BRAS应以综合成本最低为原则,考虑传输资源条件 和用户数量部署;对于中、大规模的城域网,宜在汇聚层分布配置, 小规模的城域网可在核心层集中配置;接入重要业务的SR可单 独设置,并可直接接人骨干网一般汇接节点:
5SR(BRAS)宜成对设置,成对的SR(BRAS)之间宜互为 几余备份,可同机房或不同机房设置。 13.0.6 设备机架、电源架、配线架等配套设备应根据工程实际需 要配置。 13.0.7备品备件的配置应根据设备的重要性、故障率以及工程 售后服务内容确定,宜采用集中备件方式
14.0.1网络设备应选择安装在便于与传送网连接、便于维护管 理的通信机房内,机房设计应符合现行行业标准《通信建筑工程设 计规范》YD5003和《通信局(站)节能设计规范》YD/T5184的 规定。 14.0.2机房的工作地、保护地、建筑防雷接地应符合现行国家标 准《通信局(站)防雷与接地工程设计规范》GB50689的规定。 14.0.3设备安装应符合现行行业标准《电信设备安装抗震设计 规范》YD5059的规定。 14.0.4设备机房的防火措施应符合现行国家标准《建筑设计防 火规范》GB50016的规定。
1为便于在执行本标准条文时区别对待,对要求产格程度不 司的用词说明如下: 1)表示很严格,非这样做不可的: 正面词采用“必须”,反面词采用“严禁”; 2)表示严格,在正常情况下均应这样做的: 正面词采用“应”,反面词采用“不应”或“不得”; 3)表示充许稍有选择,在条件许可时首先应这样做的: 正面词采用“宜”,反面词采用“不宜”; 4)表示有选择,在定条件下可以这样做的,采用“可”。 2条文中指明应按其他有关标准执行的写法为:“应符合··· 的规定”或“应按执行”
《建筑设计防火规范》GB50016 《通信局(站)防雷与接地工程设计规范》GB50689 《通信建筑工程设计规范》YD5003 《电信设备安装抗震设计规范》YD5059 《通信局(站)节能设计规范》YD/T5184
《网络工程设计标准》GB/T51375一2019经房和城乡建设 部2019年6月5日以第152号公告批准发布。 本标准制订过程中,编写组进行了国内公用互联网网络建设 的调查研究,总结了我国近年来公用互联网网络的设计成果,在广 泛征求意见的基础上,制订本标准。 为了便于广大设计、施工等单位有关人员在使用本标准时能 正确理解和执行条文规定,编写组按章、节、条顺序编制了本标准 的条文说明。对条文规定的目的、执行中需注意的有关事项进行 广说明。但是,本条文说明不具备与标准正文同等的法律效力,仅 供使用者作为理解和把握标准规定的参考
1.0.1随着网络不断融合和电信网络IP化技术的发展,互联网 已经成为重要基础网络。规范公用互联网网络的工程设计,可以 提高网络设计的标准化程度,促进网络之间的互联互通,促进新技 术在网络中的应用,提高网络服务质量和安全性
4.1.1骨十网是互联网网络的广域主于。城域网主要承担集团 用户、商用大楼、智能小区和个人用户的业务接入,具有覆盖面广 接入技术多样和接入方式灵活的特点。城域网位于骨于网和宽带 接入网、用户驻地网或终端用户之间,将企业和个人客户的各种业 务连接到骨干网中。 4.1.2骨干网网络层次的选择是规模、管理与技术各方面综合优 化的结果。目前,多数公用互联网网络属于层次化网络,随着设备 能力的增强网络层次品现扁平化结构发展趋热但息此时网终结
化的结果。自前,多数公用互联网网络属于层次化网络,随着设备 能力的增强,网络层次呈现扁平化结构发展趋势,但是此时网络结 构仍应保持层次清晰。本条描述的两种网络层次结构如图1所示。
图1两种网络层次结构示意
4.1.3城域网的网络层次如图2所示,城域接入网的设计要求不 在本标准范围内。
图2城域网的网络层次示意
4.2.3核心汇接节点的选择可采用如下步骤:求出一般汇接节点 之间的网络流量短矩阵,选择设定流量值,根据流量矩阵和流量國 值确定一般汇接节点之间的点对点电路,选择设定度数阈值,超出 度数阈值的一般汇接节点可以确定为核心汇接节点。选择时应同 时考虑传送网的资源条件、维护管理等因素。 4.2.7城域网的业务接人控制节点的设置应综合考虑设备成本
4.2.7城域网的业务接人控制节点的设置应综合考虑设备成本、
.2.7城域网的业务接人控制节点的设置应综合考设备成本、 机房条件、运维成本以及网络安全信息分级规范等管理规定。 城域网汇聚节点的选择应同时考虑业务接入系统的设置、业 务发展以及传送网的资源条件等因素。
4.3.1中继电路的设置以能高效率、低成本疏通网络流量为原 则,并兼顾网络维护管理的便利性。网络点对点流量小于传送网 的电路带宽时,宜较多地设置转接电路汇聚流量,以充分利用IP 流量的统计复用特性,提高电路利用率。网络点对点流量大于传 送网的电路带宽时,可多设置直达电路,形成较扁平化的网络结 构,提高网络性能,但是也要注意过多的中继电路影响路由收敛、 流量均衡,增加维护难度,
4.3.5当路由表中只有条最优路由(ECMP链路除外
IP路由在故障发生时,需要重新收敛,收敛时间一般在秒级,这样 将造成部分流量丢失。快速重路由机制通过填补路由收敛的时间 间隙,在故障发生后路由重新收敛期间,将流量快速切换到备份路 径,保证业务不中断;路由收敛后,将流量切换回收敛后的最佳路 径。快速重路由可采用MPLSTEFRR、IPFRR、LDPFRR等技 术实现。以一种MPLSTEFRR设置方式举例:在某中继电路部 署主用承载TETunnel,在不同路由的中继电路上部署与之对应 的FRRBackupLSP。
5.1.2在工程中对于域内路由协议可以根据实际情况选择
5.1.4用户采用动态路由接入时,应注意用户路由传播范
5.1.5网络配置的路由协议应同时支持IPv4和IPv6路
6. 1 国内网间互联
6.1.1网间互联可以通过直连方式互联,也可以通过NAP互 联。NAP可以是公共的,由多个规模相当的互联网单位通过签订 多边协议共同建立和维护:或是由第三方机构建立和维护:也可以 由较大规模的互联网单位设立NAP,为较小规模的互联网单位提 供网络互联,
务质量,并进行服务质量参数的监测工作。服务质量参数可包括 IP数据包转发时延、IP数据包转发去失率、互联电路可用率和 BGP路由传播时间等。
6.3.1对等方式互联的双方只交换本网络用户与对方网络用户 之间的路由和流量,而不转接其他互联单位的用户之间的路由和 流量。对等互联还可进一步分为公共对等互联和专用对等互联。 公共对等互联指多个IP网络间签署并遵守多边协议进行对等互 联,这种互联方式一般应用在NAP。专用对等互联指两个网络间 签署并遵守双边协议进行对等互联,这种互联方式既可以在NAP 进行,也可以由两个互联单位通过直连电路实现。对等关系不具 有可传递性。转接互联提供者除了充许被转接网络用户访问自已 网络中的充许访问的地址外,还应根据双方约定充许其通过自已 的网络访问其他互联单位的网络。
7.2.2网管接口信息模型应符合网管接口功能的需要
7.2.2网管接口信息模型应符合网管接口功能的需要。
8.0.1路由器采用SDH顺结构通过光传送网传输时,路器使 用PS端口:采用以太网顺结构通过光传送网传输时,路由器便 用以太网端口;采用(TN顿结构通过光传送网传输时,路由器使 用OTN端口。 8.0.3当IP网络和传送网同时配置保护倒换功能时,需要协同 不同层之间的保护,避免对转发流量产生影响。例如可采用延迟 机制来协同,当为IP网络提供传送服务的传送网(如SDH、 DWDM、OTN)在因故障进行保护倒换时,IP网络的保护延退等 待一个周期,确保底层传送层的保护完成(生效或失效),然后再决 定是否后动IP网络层的保护
8.0.1路由器采用SDH顿结构通过光传送网传输时,路由器便 用P(S端口;采用以太网顺结构通过光传送网传输时,路由器便 用以太网端口;采用()TN顿结构通过光传送网传输时,路由器使 用OTN端口。
9.0.2城域网与接入网互联时,通过业务接入控制层实现对用户 接入互联网的认证,用户使用各种业务的认证由业务系统执行。 可采用基于端口的802.1x认证,基于端口链路层地址绑定的认 证,基于用户名和口令的PAP、CHAP、EAP等网络层接入认证 基于用户名和口令的高层协议认证等方式。业务接人控制层与认 证系统服务器端可以采用RADIUS、DIAMETER等AAA协议 接口,完整实现用户接入网络的认证与计费。
9.0.6承载技术举例:可以采用 MPLS VPN 或 IP转发的方式
9.0.6承载技术举例:可以采
提供IP业务,可采用VPWS和VPIS的方式提供各种以太网业 务,可采用PWE3方式提供TDM业务。互联网网络可提供端到 瑞和局部的网络保护与恢复功能,实现对链路故障和中间节点故 障下的保护,需要注意应与业务网络对接保护,包括双归保护、双 节点亢余保护等。互联网网络可通过网管系统为承载业务提供故 障定位、性能监测等管理功能。互联网网络可采用DiffServ模型 为各种业务提供服务质量保障,实现流分类和流标记、流量监管 流量整形、拥塞管理、队列调度、连接允许功能等QoS功能。互联 网网络可采用同步以太网方式提供频率同步,以IEEE1588v2的 方式提供时间同步
10编号方案、地址分配与域名系统
10.2.1IP地址用于用户和应用的标识和网络路由
0.2.1地址用用产 立用的标识利网络路田。 双栈节点需同时配置IPv4和IPv6地址,节点的IPv4和IPv6 地址之间不必有关联,但是对于支持自动隧道的双栈节点,必须配 置与IPv4地址有映射关系的IPv6地址。 10.2.2IP地址规划和分配应本着既满足需求又不造成浪费的 原则进行。在网络建设、扩容过程中规划地址时,应在满足网络近 期发展的前提下尽可能地节约使用。 IPv4地址在规划时,需要打破传统A类、B类、C类地址的划 分,充分利用CIDR方式及VLSM等技术,合理、高效地使用IP 地址,不应使用C类地址作为规划的最小单位。 对于IPv6地址,尽管地址空间极大,但仍要避免浪费。在制 定全球唯一IPv6单播地址分配方案时,应注意IPv6不同干IPy4 的特性,这些特性将直接影响分配方案。IPv6的自动配置机制依 赖于目前/64子网前缀长度。大规模用户可分配大于/48的地址 块。较大规模用户可分配/48的地址块,对其内部子网可采用使 用/56的地址块。较小规模的用户可分配/56地址前缀。无子网 划分需求的用户可分配/64的地址块。如果是单个设备接人,分 配/128地址。 组播地址的分配应注意不能发生组播地址冲突,还需尽量避 免多个IP组播地址映射到相同MAC组播地址的冲突问题
1 IP网络的域名系统服务于网络和应用。
11.1.1互联网网络的性能主要取决于IP层的信息传送性能,其 在很大程度上依赖于承载IP层的低层链路的传输性能,同时高层 业务的有关性能也会影响IP网络的网络性能。本标准主要采用 IPTD、IPDV、IPLR、IPER作为 IP网络的性能参数。 需要注意的是,接入技术对用户端到端质量会产生极大影响, 而接入技术多种多样,接人速度及其他性能指标也千差方别。 在本标推中,对网络的性能指标要求均设定其处于正常运行 情况下,对网络拥塞所导致的网络质量下降情况不在本标准考虑 的范围之内。
11.2.4服务质量(QoS)是指IP网络的一种能力,可为特定的业 务提供其所需要的服务。实施各种IPQoS技术,可以有效控制 网络资源及其使用,能够针对不同用户需求提供差别化业务。 11.2.5IP网络中QoS的技术部署主要包括资源控制、资源隔离 和资源调度等各种技术及策略的运用。
11.2.4服务质量(QoS)是指IP网络的一种能力,可为特定的业
基于RSVP的IntServ方案是一种端到端基于流的QoS技 术DB32/T 4031-2021 建筑垃圾路基填筑设计施工技术规范.pdf,粒度为单个流的资源预留的解决思路扩展性无法保证,一般不 建议采用。 基于DSCP的DiffServ方案是一种基于类的QoS技术,通过 将业务定义为有限的类,可以较好地解决扩展性问题,建议可主要 采用。 MPLS 可 以与 DiffServ 结合,提供 MPLS CoS。MPLS 与
DiffServ的结合可以将DS字节的设置融入MPLS的标记分配过 程中,使得MPLS标记具备区分分组服务质量的能力。 MPLS TE是一种间接改善网络QoS的技术。MPLS TE利 用了LSP支持显式路由的能力,在网络资源有限的前提下,将网 络流量合理引导,间接改善网络服务质量。MPLSDiffServ AwareTE在MPLSTE的基础上,增加了基于类别的资源管理 充分利用了DiffServ的可扩展性以及MPLS的显式路由能力。 11.2.6服务质量监测平台应可以实现网络层或业务层的质量监 测,用户应可以通过浏览器或安装客户端软件进行测试。例如部 墨宽带接人速率测试平台为用户提供宽带洲速服务
12. 1 安全且标与框架
12.3.1内容安全是1P网络信息安全的重要组成部分,主要包括 不良信息的治理、防止信息泄漏、对信息进行校检及备份等。 12.3.2互联网面临着众多的内容安全威胁,增强流量检测与控 制能力是保障网络内容安全的有效技术手段。在网络中部署流量 检测与控制系统,作为实现内容安全技术设施的一部分,是实现互 联网“业务可识别”的重要技术措施。 流量检测与控制系统的流量检测功能实现可根据需求选择采 用深度流检测、深度包检测技术或采用直路、路或直路一旁路联 动三种方式进行系统部署和控制。 流量检测与控制系统的设置不应影响IP网络的网络性能
业务系统的安全措施应根据该系统的安全等级具体确 给出了基本要求。
JGJ/T187-2019 塔式起重机混凝土基础工程技术标准及条文说明12.5.1互联网网络在网络控制面的安全威胁主要包括路由信息 泄露、仿冒攻击、篡改攻击、路由干扰、路由过载和软件漏洞等;在 管理面的安全威胁主要包括非法设备访问等;在数据面的安全威 胁主要包括IP欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务 攻击、分片攻击、网络侦听和应用层攻击等。应根据可能的威胁采 取针对性的网络安全技术措施
表现在两个环节:一个是DNS权威服务器的主服务器和辅服务器 之间的数据更新过程中的数据完整性保证;另一个是DNS递归服 务器在执行递归查询过程中从权威服务器获取的查询结果的数据 完整性保证。应对应地采取各种安全技术措施
13.0.3设计在设备及配套选型等方面应遵循有利环境保护、有 利节能减排的原则,引人符合国家节能减排要求、低能耗的设备 优先采用有利节能环保的相关配套材料。