1、ICS 3304001M 19 Y口中华人民共和国通信行业标准YDT 1 402-2009代替YD厂r 1 402-2005lP网间互联总体技术要求The General Technique Requirements ofIP Networks InterC0nnectiOn2009-09-01实施中华人民共和国工业和信息化部发布前12345678910目 次YD厂r 1402-2009言II范围1规范性引用文件1术语、定义和缩略语1口网间互联模型241 IP网问互联的含义242口网间互联模型结构示意2口网间互联的对等方式和转接方式551口网间互联方式概述552对等方式553转接方式6网间互联
2、功能要求7IP网间互联路由策略要求771基本路由策略要求772直连方式互联外部路由策略要求773 NAP点方式互联外部路由策略要求7P网间互联计费要求881流量计费882带宽计费8口网问互联服务质量要求891服务要求及限定892服务质量参数及指标8IP网间互联管理要求10101 网管中心的技术要求10102网络管理接口11口网间互联安全要求11111物理安全要求1l112网络安全要求11113安全管理要求12YD厂r 140212009刖 吾本标准根据公用电信网间互联管理规定、中华人民共和国计算机信息网络国际联网管理暂行规定以及相关标准制订。本标准代替yD,rr 1402-2005(IP网间互
3、联总体技术要求。本标准与YDT 1402-2005相比主要变化如下:增加925节“直连方式互联质量要求”;删除原第10章“口网间互联扩容基本要求”;修订第11章“P网间互联安全要求”。本标准由中国通信标准化协会提出并归口。本标准主要起草单位:工业和信息化部电信研究院、中国电信集团公司、中国联合网络通信有限公司、中国移动通信集团公司本标准主要起草人:高巍、魏亮、王彦、张强、李乐生、李俊、杨威、高玲、杨西光本标准于2005年首次发布,本次为第一次修订。IIP网间互联总体技术要求YD厂r 140220091范围本标准规定了不同互联单位的口互联网网间互联的总体技术要求,包括网间互联模型、互联方式、互联
4、功能、路由策略、计费与结算以及安全、服务质量和管理等方面的技术要求。本标准可作为不同互联单位之间进行P互联网网间互联的技术依据。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB9361-88 计算站场地安全要求GB2887-89 计算站场地技术条件GB50173-93 电子计算机机房设计规范YDT 1097 路由器设备技术规范一高端路由器YDT 1 149 IP网络技术要
5、求计费YDT 1170 IP网络技术要求网络总体YDT 1359 路由器设备安全技术要求高端路由器(基于IPv4)YDrI1627 以太网交换机设备安全技术要求YDT 1629 具有路由功能的以太网交换机设备安全技术要求YDfr 1771 IP网络技术要求网络性能参数与指标ITUT Y1231 IP方面体系结构、接入、网络容量和资源管理,口接入网结构RFC 791 IP,DARPA互联网程序协议规范3术语、定义和缩略语31术语和定义下列定义适用于本标准:1)互联网:直接进行国际联网的计算机信息网络。2)互联单位:负责互联网络运行的单位。3)NAP点:又称互联网交换中心,是经过国家电信主管部门批
6、准的,两个或多个互联单位网络实现交汇的公共平台及相关设施,主要完成不同互联单位之间的数据交换以及可能的路由发布。4)对等方式互联:地位相当或规模相当的两个互联单位之间进行平等的互联。对等互联的双方只交换自己网络用户与对方网络用户之间的流量,而不转接与第三方互联单位之间的流量。5)转接方式互联:一个较大规模的互联单位(提供方互联单位)向较小规模的互联单位(客户互联单位)提供它所拥有的互联网路由表,使客户互联单位获得提供者互联单位的网络资源,同时实现对YD厂r 1402-2009其他网络的访问。6)对等方:参与对等方式互联的任何一方互联单位。7)转接互通提供方:提供转接方式互联服务的互联单位。8)
7、转接互通客户方:接受转接方式互联服务的互联单位。32缩略语下列缩略语适用于本标准:AS Autonomous System 自治系统ATM Asynchronous Transfer Mode 异步传输模式BGP Border Gateway Protocol 边界网关协议BLPA BiLiteral Peer Agreement 双边对等协议GE GibitEthernet 吉比特以太网IP Internet Protocol 互联网协议LAN Local Area Network 局域网MLPA MultiLiteral Peer Agreement 多边对等协议NAP Network A
8、ccess Point 网络接入点或互联网交换中心POS Packet over SDH 在SDH上传送包SDH Synchronous Digital Hierarchy 同步数字网SLA Service Level Agreement 服务等级协议TCP Transmission Control Protocol 传输控制协议VLAN Virtual Local Are Network 虚拟局域网4 IP网间互联模型41 IP网间互联的含义一个互联单位可以利用协议把使用多种网络技术的网络(如以太网、SDH、POS;ATM、IP等)相互连接起来,组成一个相互协作的互联网:不同的互联单位之间也
9、可以通过口协议相互连接起来,形成更大规模的互联网。在本标准中“网间互联”指使用口协议,把不同角色、不同规模或位于不同地理位置的一个或多个互联单位的P网连接起来,在网络层提供相互转发口包和路由信息服务,以使一个互联单位的用户能够与另一个或多个互联单位的用户相互通信或者能够使用另一个或多个互联单位的各种互联网资源。m网间互联可以通过直连方式进行互联,也可以通过NAP点进行互联。NAP点可以是公共的,由多个规模相当的互联单位通过签订多边协议共同建立和维护,或是由中立机构作为完全公益的第三方建立和维护:也可以是私有的,由较大规模的互联单位设立NAP,为较小规模的互联单位提供网络互联。42 lP网间互联
10、模型结构示意坤网间互联模型结构示意如图1所示。根据网络的流量情况和互通的要求,两个互联单位的m网间可以在双方协商一致的情况下选择合适的接入点,以直连电路的方式实现对等互联或转接互联。直连接口的速率建议在155Mbiffs以上。2互联单位1 互联单位2一与NAP点相连一直连图1 lP网间互联模型另外,两个或多个互联单位的P网间也可以通过NAP点方式相连,实现流量互通。在这种方式下,可以以对等互联或转接互联的方式,实现对进入及流出互联单位的数据进行转发以及可能的路由发布。当NAP点的任意两个互联单位之间互联的转发流量超过一定的限值时,此两个互联单位之间应当采用直连方式或其他方式分担流量。421直连
11、方式结构如图2所示,互联单位A网络与互联单位B网络之间采用直连方式通过点到点的直连数据链路相联,例如POS、GE,直连点可以根据双方网络的互通需求和流量情况进行选择,由双方协商后指定。互联设备建议采用大容量的路由器,要求具有较强的路由功能,能够提供高速率的m接口,如POS、吉比特以太网等,连接的速率建议至少在155Mbits以上。,、,、互联单位诅鲡霄龟互联单位也) 弋图2直联方式结构422 NAP点方式结构NAP点是两个或多个互联单位网络交汇的公共平台及相关设施,负责把不同互联单位的疋9日络在网络层连接起来,主要完成对进入及流出不同互联单位网络的数据的转发功能,NAP同时也可以提供路由发布功
12、能。NAP点与互联单位互联的典型抽象模型如图3所示。互联单位1的用户通过互联网交换中心,可以访问互联单位2,互联单位3和互联单位4网络上的资源。同样的,互联单位2的用户也可以通过互联网交换中心,访问互联单位1,互联单位3和互联单位4网络上的资源。按照NAP所属关系的不同,可分为公共NAP和私有NAP。公共NAP是由某个第三方机构所拥有的节点,该节点应对任何希望互联的互联单位公平开放;私有NAP由某个互联单位设立,为其他互联单位提供互联服务。NAP点作为专门为客户提供互联和交换的传输网络,要求其接入用户具有自己的出口线路,这样可以更好地与其他的接入互联单位进行信息交换。3YD厂r 1 402-2
13、009豳砩靴枞釉器一 互联单位接入链路图3 NAP点与互联单位互联的模型为了保证NAP点的通信质量,当接入NAP点的任意两个互联单位之间的转发流量超过一定的限值时,此两个互联单位之间应当采用直连方式或其他方式分担流量。NAP点应根据互联网交换中心的容量和能力,采用相应的技术手段(例如基于MAC的速率限制技术),在互联设备的入13为互联单位设置相应速率的专用带宽,为各互联单位提供带宽保证。在建设NAP点时,可以选择使用以下参考结构,但不限于这些参考结构。42-21路由器方式路由器方图4路由器互联路由器要求具有较强转发能力,能够提供较高速率的口接口,如POS、吉比特以太网,连接的速率至少在155M
14、bitls以上。由于路由器处于中立的地位,因此,路由器必须向各互联单位提供公平的路由策略。4222 I_AN方式LAN方式是实现互联单位互联的另一种NAP结构,连接方式如图5所示。互联单位的边界设备一般是一台或多台接入路由器,NAP点的边界设备根据其所提供的服务不同而有所不同。交换功能可由一个或多个中立而可靠的第二层交换设备(如以太网交换机ATM交换机)组4YD厂r 14022009成,可选的交换结构包括以太网交换机、千,万兆以太网交换机等。当NAP点提供路由服务时,则需要采用路由服务器等设备,在互联单位的边缘路由器和NAP的路由服务器设备之间运行BGP协议,提供不同互联单位之间的路由仲裁和交
15、换服务。童群掌t蝴互联单位1终端A图5 LAN结构互联5 lP网间互联的对等方式和转接方式51 lP网间互联方式概述从流量层面的角度考虑,互联单位之间的口网间互联有两种类型:转接方式(Transition)和对等方式(Peering)。转接方式是指在两个互联单位的口网络互联中,其中规模较大的一方处于主导地位,向规模较小的一方提供接入整个互联网的服务。对等方式是指互联的两个地位相当或规模相当的互联单位都允许对方接入到本方网络中,但不允许对方穿越自己的疋网访问第三方网络。52对等方式对等方式互联的双方只交换自己网络用户与对方网络用户之问的路由和流量,而不转接其他互联单位的用户之间的路由和流量。对等
16、互联还可进一步分为两种形式,一是公共对等互联(PublicPeering);二是专用对等互联(PrivatePeedng)。前者指多个网络间签署并遵守多边协议(MLPA)进行对等互联,这种互联方式一般发生在NAP点。后者则是指两个网络间签署并遵守双边协议(BLPA)进行对等互联,这种互联方式既可以在NAP点上进行,也可以由两个互联单位通过电路的直接相连来实现。对等方式互联的典型情况如图6所示。图6中互联单位A和互联单位B的路由器中同时存在网络A和网络B的路由,因此连接到其中任何一个互联单位的用户都可以同时访问这两个网络中的地址。当互联单位之间建立对等方式的互联时,对等关系不具有可传递性,不能提
17、供到第三方网络的接入,即互联单位之间不能交换从其他的互联单位对等方获得的用户路由信息。直连的双方网络之间的关系可以形成双边对等方式,在互联网交换中心互联的互联单位之间的关系可以形成双边或多边对等方式。5YD厂r 14022009A用户路由属于互联单位AB用户路由属于互联单位B圆路由表圆路由表图6对等方式互联53转接方式本地互联单位通过转接方式互联可以实现到互联网的接入。在转接方式互联中,一个较大规模的互联单位(提供方互联单位)向较小规模的互联单位(客户互联单位)提供它所拥有的互联网路由表,使客户互联单位获得提供者互联单位的互联网资源,实现对其他网络的访问。转接互联提供者除了允许被转接网络用户访
18、问自己网络中的允许访问的地址外,还可根据双方约定允许其通过自己的网络访问其他互联单位的网络。转接方式模型如图7所示。图8中互联单位C(客户互联单位)和提供方互联单位之间通过转接方式进行互联。具体实现方式如下。1)互联单位c广播用户路由到提供方互联单位的网络,并接收提供方网络广播的路由。2)提供方网络广播互联网的全路由或者缺省路由到互联单位c网络,或者根据与互联单位一C间的约定只广播提供方网络的路由和其他特定网络的路由。同时,提供方网络把互联单位一C的用户路由发布到互联网上,或者根据与互联单位C间的约定只把互联单位C的用户路由发布到提供方所有用户网络和其他特定网络上。到互联网的路由图7转接方式互
19、联直连的两个互联单位网络之间可以形成转接关系,在互联网交换中心互联的互联单位之间也可以形成转接关系。6YD厂r 1 402-20096 lP网间互联功能要求两个或多个互联单位的口网间进行互联时,应实现以下功能。1)IP网间互联是在两个或多个互联单位网络之间交换流量,互联设备应能提供高速的数据转发能力;如果提供路由信息交换,应能提供良好的路由更新性能,能正确而迅速地更新和交换路由。2)P网间互联应能根据m网间计费要求对来去流量进行计费。3)P网间互联应当保证网络的传输质量,网间的通信质量应当符合第9章的要求。4)网间互联必须提供必要的网络管理功能和运行监控手段,如监测、统计互联链路的流量等。5)
20、IP网间互联应当保证互联的安全可靠和稳定性,支持网络节点的备份和节点之问的线路保护,提供网络安全防范措施。7 lP网间互联路由策略要求71 基本路由策略要求两个或多个互联单位的口网络间进行互联时,路由策略应符合以下基本要求。1)IP网间互联的外部路由协议采用BGP4,互联成员必须拥有公有AS号(自治域号)。2)口网络互联应建立和维护网络拓扑和策略数据库,选路应具有定的稳定性和可管理性。3)P网络互联实现网络间的路由信息交换,增强外部路由的一致性,减少路由会话的个数,并提供路由交换的安全可靠性。4)口网络互联向外通告的网络路由信息应保持良好的稳定性,必须采取一定的路由阻尼措施,避免两个互联网络之
21、间的路由动荡影响,或者影响到其他互联网络,对其他网络造成冲击。5)口网络互联向外通告的网络地址必须保证良好的聚合性,网络地址前缀不得超过24位。6)口网络互联应为流量提供必要的冗余路由和迂回路由,如采用多链路负载分担方式,或设定一些备用路由。72直连方式互联外部路由策略要求两个互联单位的IP网间进行直连方式互联时,对于外部路由策略应符合以下要求。1)在对等互联中,互联的任何一方网络不能向对方网络通告从另一对等方网络收到的路由信息,也不能通告从自己的转接互联提供方网络(发生在另一互联点)收到的路由信息;互联的任何一方不能把从对方网络得到的路由信息,在其他互联点向其他对等方网络或转接互联提供方网络
22、进行通告。2)在转接方式互联中,互联的客户方不能向对方通告从其对等方或另一个转接互联提供方(发生在另一互联点)收到的网络路由信息;客户方不能把从对方得到的网络路由信息,在其他互联点向其对等方或转接互联提供方进行通告。73 NAP点方式互联外部路由策略要求两个或多个互联单位的口网间进行NAP点方式互联时,外部路由策略应符合以下要求。1)多边对等互联中,接入的成员网络必须向NAP路由服务器(RS)通告本网以及本网下一级的转接互联客户方网络所有的网络地址,不能任意对从NAP路由服务器收到的其他对等方的正常网络路由进行过滤;2)在对等互联中,接入的成员网络不得将对等方未通告前缀的流量强行指向对方,不能
23、向对等方通告从另一对等方(发生在任一互联点)收到的网络路由信息,不能向其对等方通告从自己上一级的转接7YD厂r 1402-2009互通提供方(包括国际转接互通提供方和任一互联点的国内转接互通提供方)得到的网络路由信息;3)接入的成员网络不能把在NAP点从对等方或转接互联提供方得到的网络路由信息,在另一互联点向其对等方或上一级的转接互联提供方通告。8 IP网间互联计费要求本章规定口网间互联的计费要求,有关网络计费的详细要求参见行标YDfT 1149-2001网络技术要求计费。口网间互联计费方式主要有两种:流量计费和带宽计费。网间互联应具备流量计费的能力。81流量计费流量计费是以通过网络传输的实际
24、m包的比特数,在源互联单位的出端口向目的互联单位进行计费的计费方式。采用流量计费方式时,需要不间断地记录出入互联单位路由器的包流量。8_2带宽计费带宽计费是以带宽计费单位值为标准,按接入互联单位的电路容量进行计费。带宽计费单位值可以由管理部门统一规定,也可以由互联双方互联单位协商规定。采用带宽计费进行结算时通常以月、半年或一年为单位。9 IP网间互联服务质量要求91服务要求及限定1)提供互联服务的运营商与其他互联单位应签订服务等级协议(SLA),服务质量参数能满足各项指标要求。2)进行各项服务质量参数的监测工作,并定期向对方互联单位发布监测报告结果。监测报告发布周期暂定为一个月。监测报告制订者
25、必须保证监测报告的准确性和可靠性。92服务质量参数及指标921指标的测量范围为了对坤网间互联的服务质量进行衡量,必须明确测量范围和测量点。对于直连方式,测量范围为互联单位A接入路由器和互联单位B接入路由器之间,包括互联单位A和B的接入路由器以及它们之间的链路部分,如图8所示。 ,、(:竺:旁1=:) 一_、 :-呻互联单位A接入路由器 互联单位B接入路由器图8直连方式互联的测量范围直连方式互联的服务质量测量应在直连链路日常运行过程中定期进行,暂定测量的报告周期为一个月,每月第一个周六起连续4天进行测量,每天测量时间为0:00,24:00,忙时时间为20:0021:00。对于NAP点方式,测量范
26、围分为两类:测量范围A和测量范围B。测量范围A在互联网交换中心的入口和出lSI之间,测量范围B在互联单位A接入路由器Rl至互联网交换中心的出口之间,如图9所示。8鼢 互联嘲交换|j,Ii,卜一矧刚卜一 一 卜沙接入路由器1 测量范崮AYD,T 14022009图9 NAP点方式互联的测量范围测量范围A适用于在NAP点空载情况下,对NAP点互联质量进行测量;测量范围B适用于对NAP点在13常运行情况下进行质量测量。922数据包转发时延对于直连方式,数据包转发时延指忙时在测量时刻数据包从互联单位A接入路由器的入口传输到达互联单位B接入路由器的出口所经历的时间。对于NAP点方式,数据包转发时延指忙时
27、在测量时刻数据包从在互联网交换EI=I心的入口到达出13之间或从互联单位A接入路由器R1到达互联网交换中心的出口所经历的时间。测量问隔暂定为300s。923数据包转发丢失率对于直连方式,数据包转发丢失率指忙时在测量时刻数据包从互联单位A接入路由器的入口传输到达互联单位B接入路由器的出口成功传送的数据包数与所传送的所有数据包的比值。对于NAP点方式,数据包转发丢失率指忙时在测嚣时刻数据包从在互联网交换中心的入口到达出口之间或从互联单位A接入路由器Rt到达互联网交换中心的出口成功传送的数据包数与所传送的所有数据包的比值。测量间隔暂定为300s。丢包率的超时门限为2s。924可用率可用率是指网间互联
28、能提供无故障服务时间占总运行时间的百分比。可用率主要衡量网间互联连续工作的可靠程度以及故障恢复时间。当两网路由器进行互联质量测量时,在某一时间段内(最小为1min,同时测量间隔也应相应减小,以满足1的测量准确性)数据包转发丢失率高于75,则该时间段内该条链路网络互联不可用。产生不可用事件的主要原因有:设备故障;性能下降:自然灾害。对于直连方式和NAP点方式,可用率的计算公式为:尉421一丁其中:一是以百分比表示的可用率;9YD厂r 14022009丁表示总服务时间(min),包括互联单位接入路由器、链路和互联设备(采用NAP点互联方式时)的总服务时间;d表示所有不可用时间总和,d表示由于互联单
29、位接入路由器、链路和互联设备故障(采用NAP点互联方式时)或其他人为因素造成的互联服务不可用时间(分钟)。925直连方式互联质量要求对于采用直连方式互联时,数据包转发时延(如)与数据包转发丢失率(Lo)的指标要求如表1中所示,其中对数据包转发时延和数据包转发丢失率的要求应同时满足。表1直连方式互联质量要求数据包转发时延(La)ms 数据包转发丢失率(如)0丑lO Lo210La20 1Lo1520La40 O5Lo140La80 Lo05j注1:以上指标均指往返测量结果。采用双向测量方法应保证测量数据包在两个方向上的转发均经过同一条互联链路。注2:以上数据包转发时延指标既适用于两互联单位在同一
30、地点进行直连的情况,也适用于两互联单位的互联节点不在同一地点,即使用长途链路互联的情况。注3:当数据包转发时延大于80ms,或丢包率大于2。应认为不满足本标准的指标要求926 NAP点方式互联质量要求对于采用NAP点方式互联的质量要求见表2。表2 NAP点方式互联质量要求类型 丢包率 延迟测量A 1 6ms参见925中直连方式互联测量B参见9 25中直连方式互联质量要求质量要求注1:在测量A中,假设路径经过2台交换机。注2:在测量B中,假设路径经过2台交换机,1台互联单位的接入路由器以及接入链路。接入链路的传播时延可以忽略。注3:依据有关规范,所有互联单位接入路由器的最大转发时延为3ms,核心
31、路由器的最大转发时延为1ms,交换机的最大转发时延为lms。注4:所有的指标都是指往返测量结果927 BGP路由传播时间BGP路由传播时间指当某互联单位接入路由器的BGP路由发生变化时,把该变化传播给其他互联单位接入路由器的时间。对于直连方式和NAP点方式,如果提供路由服务,比较互联单位接入路由器发生BGP路由变化,到对端互联单位接入路由器收到BGP路由更新消息为止的时间,BGP平均传播时间应小于10s,在95的情况下传播时间应该小于15s。10 IP网间互联管理要求对于直连方式的互联,由各互联单位的网络管理中,II,对互联设备完成各项管理功能。对于NAP点方式的互联,需要在NAP点设立网络管
32、理中心,完成对本地NAP的各项管理功能。101 网管中心的技术要求10YD厂r 1 402-2009(1)实时监视互联点的运行状况,采集运行数据,进行统计、分析、处理并显示告警。及时发现网络异常,确定异常发生的原因、性质和位置,采取有效的措施并形成异常报告。(2)应具备对互联点的安装、配置、连接功能以及网络异常时的重新配置和恢复功能。建立数据库,存储、检索、查询互联点中的设备配置、软件版本、拓扑结构等各种数据,并能及时更新。(3)实时监视互联点的性能,采集性能数据,定期或按需提供互联点的各种分析报告,并存档以备查询。(4)负责网管系统的安全管理,设置安全管理有关参数。当安全性受到威胁或破坏时立
33、即告警并应存档。(5)对互联点的重大异常情况负责协调管理。(6)管理本网管中心的相关资源,保证互联点正常运转的其他网管功能。(7)对在互联点中开展的一些增值服务的管理。102网络管理接口网管中心与互联点中的路由器和服务器之间目前暂定为采用基于简单网管协议(sNMP)的接口。11 lP网间互联安全要求111物理安全要求为了保证口网间互通设备、设施以及其他媒体的物理安全,口网间互通物理安全要求如下。1首先要保证系统所处环境机房,应遵守GB50173-93电子计算机机房设计规范、GB 2887-89计算站场地技术条件、GB 9361-88计算站场地安全要求。2应充分考虑在自然灾害发生时,网络的冗余设
34、计能够最大限度保证业务连续性。对重要的设备如路由器、交换机、数据库服务器等采用双机热备份。3对信息数据采用适当的数据备份系统,做好数据的容灾与备份工作,并且最好是异地备份。对诸如设备配置、安全日志等重要信息数据应至少保存3个月以上。4保证设备的电力供应,任何电力供应系统均不应超载,同时应设置备用电源以保证断电时的电力供应。对重要的网络设备采用UPS不间断稳压电源。112网络安全要求1121直联方式的lP网间互通网络安全要求直联方式的口网间互通网络安全要求如下:1用于网间直联的高端路由器设备应满足YI)FF 1359-2005路由器设备安全技术要求高端路由器(基于IPv4)标准要求。2互联双方应
35、在网络的接入侧采用有效手段抵御来自公共网络的入侵,如采用防网络攻击的软硬件、入侵检测系统等,保证数据信息不被其他用户或攻击者非法获得,并且不把来自网络的攻击和威胁传递到互联的另一方。3互联双方在网络的接入侧对网络上传播的病毒应有相应的防范措施,例如安装防蠕虫、防扫描等工具,避免病毒传播到另一方,造成网络瘫痪与拥塞。4互联的一方在网间应将数据信息透明传输到互联的另一方,不应进行数据的修改和分流。5互联的一方在网间应将路由信息透明地交换互联的另一方,能提供良好的路由更新性能,能正确而迅速地交换路由,不应进行路由过滤。11YD厂r 1 40220096互联的一方向外通告的网络路由信息应保持良好的准确
36、性和稳定性,必须采取路由阻尼措施,避免两个互联网络之间的路由动荡影响,或者影响到其他互联网络,对其他网络造成冲击。7互联双方的设备间应提供必要的冗余路由和迂回路由,设定一些备用路由。当网间发生故障造成业务流量全阻时,可通过这些路由疏通流量。8互联双方在网间互联的设备上应有严格的访问控制机制、操作的可审计性等防护措施。9互联双方在网间互联的设备上应使用访问控制列表和流量控制等措施有效限制非法的用户资源访问,防止拒绝服务攻击。10互联互通的主要目的是保障用户正常业务的有效互访,对某些无效业务和流量应采用一定的限制措施,以保证正常业务的质量。1 122 NAP点方式的lP网间互通网络安全要求NAP点
37、方式的m网间互通网络安全要求除了应满足1121节中的安全要求外,还应满足如下要求。1用于NAP点方式互联的二层交换机应满足YDfr 16272007以太网交换机设备安全技术要求中的规定。2三层交换机设备应满足YDfr 1629-2007具有路由功能的以太网交换机设备安全技术要求中的规定。3在NAP点的互联设备上采用虚拟LAN(VLAN)等技术把不同互联单位的设备进行安全隔离,实现不同网络之间的隔离与访问控制。4NAP点网管系统设备应该采用防火墙与公共网络隔离,做到对外屏蔽重要设备的地址,服务器应关闭与本身服务不相关的端口。5NAP点的网管系统采用带外通道,保证网管系统和互联设备的物理隔离。6N
38、AP点用于互联的设备与网管之间要设置成多路由,可以采用的多路由备份的方式保证设备和网管系统间的畅通。7NAP点的服务器系统中存在比较多的安全漏洞和隐患,这些漏洞和隐患很容易被本地和远程的攻击者用来对操作系统进行攻击,需执行进程监控、重要文件完整性校验,关闭服务器的多余的端口和服务。8在NAP点对于存放重要信息的数据库,应采用数据加密技术来保护数据库的安全。数据库数据应定期进行备份,应具备操作日志记录功能,所有操作均应有操作记录,以备安全审计使用;应具备严格的存取访问控制机制,应能够采取层次、分区、表格等各种授权方式,控制用户对系统的存取权限。113安全管理要求安全管理主要涉及以下几个方面:人员
39、管理、设备和系统管理、网络管理、密码和密钥管理等,同时对网间互联互通来说,互联双方对管理方面的协调机制也是保障互联互通安全的重要因素。1131人员管理要求1制订相应的机房出入管理制度,对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理。12YD厂r 1402-20092制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。每条信息哪些人可以访问;每个人在向其他人散布信息时所必须遵守的规则;违反规定的情况如何处理等。3制订网间业务的故障应
40、急措施,建立完善的沟通机制,当网间出现网络攻击或流量拥塞等通信障碍时,互联双方应及时沟通,共同协商解决网间出现的问题,不得单方面中断通信链路。1132网络设备管理要求1IP网络互通设备属于重要设备,应选择机房内安全的位置放置,应使用监控装置(如摄像头或照相机)。对应除经过授权的必须访问以外,严格禁止对设备和系统的访问。2应制定完备的设备和系统维护制度,对设备和系统进行维护时,应采取数据保护措施。对设备进行预防维修或故障维修时,应记录故障原因、维修对象、维修内容和维修前后状况等信息。3设备和系统应有专门的人员进行操作。应能够对操作员的访问权限进行分级,并且对操作员的访问进行认证与授权。应能够对操
41、作员的所有操作都进行详细的日志记录。应能够在操作员进行非法操作时,自动发出告警,告警应根据行为的严重程度进行分级。告警方式应根据级别不同而不同。4应制定网络运行记录编写制度,网络运行记录包括姓名、操作时间、网络处理名称、故障记录及处理情况等。重要的日志应由安全负责人签名,规定保存期限。1 133密码和密钥管理要求1设置专职或兼职系统保密员,负责日常的密码和密钥管理工作。2定期更换密码和密钥。密码和密钥的最长使用时间不能超过半年,在涉密较多、人员复杂、保密条件较差的地方应尽可能缩短密码的使用时间。当密码和密钥使用期满时,应更换新的密码和密钥。3对密码和密钥数据库的访问和存取必须加以控制,以防止密
42、码和密钥被非法修改或泄露。当系统提供的访问和存取控制机制不够完善时,应对存储的密码和密钥加密。1 134互联双方的沟通机制要求1互联双方应协商制定沟通机制,定期互相通报互联设备、链路状况。2互联双方应建立应急解决预案,对互联互通中出现的突发问题,如病毒流量的爆发、链路故障、设备故障等事件建立一套双方认可的解决或处理程序。3建立互联互通问题的多边沟通机制,全体互联单位对互联互通中出现的共性问题可以进行集中的研究讨论。13中华人民共和国通信行业标准IP网间互联总体技术要求YD,r 14022009人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码:100061北京新瑞铭印刷有限公司印刷版权所有不得翻印开本:8801230 116 2009年8月第1版印张:1 25 2009年8月北京第1次印刷字数:30千字ISBN978-7-115-1867,09109定价:12元本书如有印装质量问题,请与本社联系电话:(010)67114922
