标准规范下载简介

GB 51375-2019-T：网络工程设计标准（无水印 带标签）

12.1 安全且标与框架

12.1.1公用互联网的网络与信息安全目标应在合理的安全成本 基础上，保证各类网元设备的正常运行，保证信息在网络上的安全 传输，保障网络的运营维护管理安全，保障业务安全和内容安全， 并应符合相关行业管理要求。

1..公用工联网的网与信息安全日标应在合理的安全成本 基础上，保证各类网元设备的正常运行，保证信息在网络上的安全 传输，保障网络的运营维护管理安全，保障业务安全和内容安全 并应符合相关行业管理要求。 12.1.2公用互联网的安全框架应由防护、检测与评估、响应闭环 构成JGJ／T 411-2017 冲击回波法检测混凝土缺陷技术规程，并应符合下列规定： 1防护部分应提供基本的安全技术和安全措施： 2检测与评估部分宜实现对全网的实时监控，定期对全网进 行安全扫描和风险评估，并将结果传给响应系统； 3响应部分应能根据检测和评估结果，调整安全策略、产生 安全告警、修补安全漏洞、进行安全加固等； 4安全框架所需保障设施应与网络同步规划、设计、建设。

12.2.1公用互联网宜设立安全管理中心，作为实现网络安全管 理的技术平台。

12.2.2安全管理中心的功能宜符合下列规定：

12.3.1公用互联网应在业务的审核、检查、拨测等环节部署内容 安全管理和技术手段。 12.3.2公用互联网宜在1DC出口处、网简互联处和网络内不同 层次之间设置流量检测与控制系统，应主要实现下列功能： 1异常流量检测及控制； 2不良信息检测及控制。

12.4.1公用互联网的用户信息应加密存储，访问用户信息应进 行权限控制。 12.4.2用户使用公用互联网接人业务应可溯源，网络接入访问 日志记录保存不应少于6个月。 12.4.3公用互联网接入、承载的业务系统应符合下列规定： 1 应划分安全域，应配置防火墙进行安全域边界控制； 2业务提供、控制与管理过程应保护用户隐私，不泄漏用户 相关敏感信息；

12.5.1公用互联网应从控制、管理和数据三个层面保障自身安全。 12.5.2公用互联网应在域内路由协议和域间路由协议中后用校 验和认证功能，保证路由信息的完整性和已授权性。 12.5.3在网络关键节点，可根据源地址及端口、目的地址及端口 以及协议类型等参数实施ACL，可根据路由表中的网段和物理接 口实施uRPF

12.5.5 网络设备的远程维护应使用加密协议。 12.5.6 网络设备应关闭未使用的功能和服务。 12.5.7 网络设备应关闭未使用的SNMP协议和未使用的读写 权限。 12.5.8[ 网络的域名服务器应实现域名数据安全和解析安全

3.0.1网络各节点配置的主要网络设备可包括路由器、交换机 设备。配套设备可包括设备机架、电源架、配线架等。 3.0.2设备配置应以近期需求为基础，兼顾远期业务发展的需 。选用的设备应性能稳定、安全可靠、技术先进、兼容性好、能效 好、模块化、扩展性强，具备在线升级能力。 3.0.3采用的各种网络设备应符合有关的设备技术规范，并应 合下列规定： 1应符合下列能耗管理要求： 1）对于机框描槽式设备，应有高温报警功能； 2）对于机框插槽式设备，应具备能源监控及管理功能； 3）对于机框插槽式设备，应支持通过命令行或网管工具远 程关闭设备部分模块或功能，或进人微电状态； 4）对于机框插槽式设备，应支持根据实际情况动态调整风 扇转速； 5）宜具有可根据用户需求和不同应用场合配置交流或直流 供电的选择； 6设备内部应有合理的气流组织。 2应符合下列环保与包装要求： 1）设备的主要部分应减少铅、、求、六价铬、漠化阻燃剂等 有害物质； 2）应采用用量最少的适度包装，包装材料对人体和生物应 无毒无害，包装应易于重复利用或易于回收再生，包装废 弃物可以降解腐化。 3.0.4路由器设备配置应符合下列规定：

1应在完成网络节点局域网结构设计的基础上配置路由器 设备； 2应充分考该节点在网络中的位置和功能，所配置的路由 器设备的功能与性能应与其在网络中的角色一致；处理的业务量 相对设备能力较小时，一台路由器设备也可兼做两种功能角色； 3当一个节点存在多条对外连接中继电路、节点配置多台路 由器设备时，应注意对整体网络结构的影响以及对流量流向规划 的影响； 4骨干网路由器设备和城域网核心层路由器设备的主控板 卡、交换板卡、电源模块、风扇模块等关键部件应允余配置，应支持 热备份功能和热插拨功能； 5路由器设备的接口板应根据网络中继电路设计情况进行 配置；当一个节点存在多条对外连接中继电路时，电路与接口板的 对应应考虑安全可靠性要求； 6国际出人口节点的国际出人口路由器设备应单独配置，不 与其他功能路由器合设； 7路由器设备应同时支持IPv4和IPv6协议栈。 13.0.5业务接人控制系统设备配置应符合下列规定： 1业务接人控制系统设备可由一台设备完成，也可单独设置 为业务路由器SR或宽带接人服务器BRAS； 2SR可主要作为用户专线接人网络的网关、MPLSVPN PE、组播网关等，BRAS可主要作为用户宽带接人网络的网关、组 播网关等； 3SR、BRAS应实现对用户的接人及接人认证控制、QoS策 略控制和计费统计等功能： 4SR、BRAS应以综合成本最低为原则，考虑传输资源条件 和用户数量部署；对于中、大规模的城域网，宜在汇聚层分布配置， 小规模的城域网可在核心层集中配置；接入重要业务的SR可单 独设置，并可直接接人骨干网一般汇接节点：

5SR（BRAS)宜成对设置，成对的SR（BRAS）之间宜互为 几余备份，可同机房或不同机房设置。 13.0.6 设备机架、电源架、配线架等配套设备应根据工程实际需 要配置。 13.0.7备品备件的配置应根据设备的重要性、故障率以及工程 售后服务内容确定，宜采用集中备件方式

14.0.1网络设备应选择安装在便于与传送网连接、便于维护管 理的通信机房内，机房设计应符合现行行业标准《通信建筑工程设 计规范》YD5003和《通信局（站）节能设计规范》YD/T5184的 规定。 14.0.2机房的工作地、保护地、建筑防雷接地应符合现行国家标 准《通信局（站）防雷与接地工程设计规范》GB50689的规定。 14.0.3设备安装应符合现行行业标准《电信设备安装抗震设计 规范》YD5059的规定。 14.0.4设备机房的防火措施应符合现行国家标准《建筑设计防 火规范》GB50016的规定。

1为便于在执行本标准条文时区别对待，对要求产格程度不 司的用词说明如下： 1)表示很严格，非这样做不可的： 正面词采用“必须”，反面词采用“严禁”； 2)表示严格，在正常情况下均应这样做的： 正面词采用“应”，反面词采用“不应”或“不得”； 3）表示充许稍有选择，在条件许可时首先应这样做的： 正面词采用“宜”，反面词采用“不宜”； 4）表示有选择，在定条件下可以这样做的，采用“可”。 2条文中指明应按其他有关标准执行的写法为：“应符合··· 的规定”或“应按执行”

《建筑设计防火规范》GB50016 《通信局（站）防雷与接地工程设计规范》GB50689 《通信建筑工程设计规范》YD5003 《电信设备安装抗震设计规范》YD5059 《通信局（站）节能设计规范》YD/T5184

《网络工程设计标准》GB/T51375一2019经房和城乡建设 部2019年6月5日以第152号公告批准发布。 本标准制订过程中，编写组进行了国内公用互联网网络建设 的调查研究，总结了我国近年来公用互联网网络的设计成果，在广 泛征求意见的基础上，制订本标准。 为了便于广大设计、施工等单位有关人员在使用本标准时能 正确理解和执行条文规定，编写组按章、节、条顺序编制了本标准 的条文说明。对条文规定的目的、执行中需注意的有关事项进行 广说明。但是，本条文说明不具备与标准正文同等的法律效力，仅 供使用者作为理解和把握标准规定的参考

1.0.1随着网络不断融合和电信网络IP化技术的发展，互联网 已经成为重要基础网络。规范公用互联网网络的工程设计，可以 提高网络设计的标准化程度，促进网络之间的互联互通，促进新技 术在网络中的应用，提高网络服务质量和安全性

4.1.1骨十网是互联网网络的广域主于。城域网主要承担集团 用户、商用大楼、智能小区和个人用户的业务接入，具有覆盖面广 接入技术多样和接入方式灵活的特点。城域网位于骨于网和宽带 接入网、用户驻地网或终端用户之间，将企业和个人客户的各种业 务连接到骨干网中。 4.1.2骨干网网络层次的选择是规模、管理与技术各方面综合优 化的结果。目前，多数公用互联网网络属于层次化网络，随着设备 能力的增强网络层次品现扁平化结构发展趋热但息此时网终结

化的结果。自前，多数公用互联网网络属于层次化网络，随着设备 能力的增强，网络层次呈现扁平化结构发展趋势，但是此时网络结 构仍应保持层次清晰。本条描述的两种网络层次结构如图1所示。

图1两种网络层次结构示意

4.1.3城域网的网络层次如图2所示，城域接入网的设计要求不 在本标准范围内。

图2城域网的网络层次示意

4.2.3核心汇接节点的选择可采用如下步骤：求出一般汇接节点 之间的网络流量短矩阵，选择设定流量值，根据流量矩阵和流量國 值确定一般汇接节点之间的点对点电路，选择设定度数阈值，超出 度数阈值的一般汇接节点可以确定为核心汇接节点。选择时应同 时考虑传送网的资源条件、维护管理等因素。 4.2.7城域网的业务接人控制节点的设置应综合考虑设备成本

4.2.7城域网的业务接人控制节点的设置应综合考虑设备成本、

.2.7城域网的业务接人控制节点的设置应综合考设备成本、 机房条件、运维成本以及网络安全信息分级规范等管理规定。 城域网汇聚节点的选择应同时考虑业务接入系统的设置、业 务发展以及传送网的资源条件等因素。

4.3.1中继电路的设置以能高效率、低成本疏通网络流量为原 则，并兼顾网络维护管理的便利性。网络点对点流量小于传送网 的电路带宽时，宜较多地设置转接电路汇聚流量，以充分利用IP 流量的统计复用特性，提高电路利用率。网络点对点流量大于传 送网的电路带宽时，可多设置直达电路，形成较扁平化的网络结 构，提高网络性能，但是也要注意过多的中继电路影响路由收敛、 流量均衡，增加维护难度，

4.3.5当路由表中只有条最优路由（ECMP链路除外

IP路由在故障发生时，需要重新收敛，收敛时间一般在秒级，这样 将造成部分流量丢失。快速重路由机制通过填补路由收敛的时间 间隙，在故障发生后路由重新收敛期间，将流量快速切换到备份路 径，保证业务不中断；路由收敛后，将流量切换回收敛后的最佳路 径。快速重路由可采用MPLSTEFRR、IPFRR、LDPFRR等技 术实现。以一种MPLSTEFRR设置方式举例：在某中继电路部 署主用承载TETunnel,在不同路由的中继电路上部署与之对应 的FRRBackupLSP。

5.1.2在工程中对于域内路由协议可以根据实际情况选择

5.1.4用户采用动态路由接入时，应注意用户路由传播范

5.1.5网络配置的路由协议应同时支持IPv4和IPv6路

6. 1 国内网间互联

6.1.1网间互联可以通过直连方式互联，也可以通过NAP互 联。NAP可以是公共的，由多个规模相当的互联网单位通过签订 多边协议共同建立和维护：或是由第三方机构建立和维护：也可以 由较大规模的互联网单位设立NAP，为较小规模的互联网单位提 供网络互联，

务质量，并进行服务质量参数的监测工作。服务质量参数可包括 IP数据包转发时延、IP数据包转发去失率、互联电路可用率和 BGP路由传播时间等。

6.3.1对等方式互联的双方只交换本网络用户与对方网络用户 之间的路由和流量，而不转接其他互联单位的用户之间的路由和 流量。对等互联还可进一步分为公共对等互联和专用对等互联。 公共对等互联指多个IP网络间签署并遵守多边协议进行对等互 联，这种互联方式一般应用在NAP。专用对等互联指两个网络间 签署并遵守双边协议进行对等互联，这种互联方式既可以在NAP 进行，也可以由两个互联单位通过直连电路实现。对等关系不具 有可传递性。转接互联提供者除了充许被转接网络用户访问自已 网络中的充许访问的地址外，还应根据双方约定充许其通过自已 的网络访问其他互联单位的网络。

7.2.2网管接口信息模型应符合网管接口功能的需要

7.2.2网管接口信息模型应符合网管接口功能的需要。

8.0.1路由器采用SDH顺结构通过光传送网传输时，路器使 用PS端口：采用以太网顺结构通过光传送网传输时，路由器便 用以太网端口；采用（TN顿结构通过光传送网传输时，路由器使 用OTN端口。 8.0.3当IP网络和传送网同时配置保护倒换功能时，需要协同 不同层之间的保护，避免对转发流量产生影响。例如可采用延迟 机制来协同，当为IP网络提供传送服务的传送网（如SDH、 DWDM、OTN)在因故障进行保护倒换时，IP网络的保护延退等 待一个周期，确保底层传送层的保护完成（生效或失效），然后再决 定是否后动IP网络层的保护

8.0.1路由器采用SDH顿结构通过光传送网传输时，路由器便 用P（S端口；采用以太网顺结构通过光传送网传输时，路由器便 用以太网端口；采用（)TN顿结构通过光传送网传输时，路由器使 用OTN端口。

9.0.2城域网与接入网互联时，通过业务接入控制层实现对用户 接入互联网的认证，用户使用各种业务的认证由业务系统执行。 可采用基于端口的802.1x认证，基于端口链路层地址绑定的认 证，基于用户名和口令的PAP、CHAP、EAP等网络层接入认证 基于用户名和口令的高层协议认证等方式。业务接人控制层与认 证系统服务器端可以采用RADIUS、DIAMETER等AAA协议 接口，完整实现用户接入网络的认证与计费。

9.0.6承载技术举例:可以采用 MPLS VPN 或 IP转发的方式

9.0.6承载技术举例：可以采

提供IP业务，可采用VPWS和VPIS的方式提供各种以太网业 务，可采用PWE3方式提供TDM业务。互联网网络可提供端到 瑞和局部的网络保护与恢复功能，实现对链路故障和中间节点故 障下的保护，需要注意应与业务网络对接保护，包括双归保护、双 节点亢余保护等。互联网网络可通过网管系统为承载业务提供故 障定位、性能监测等管理功能。互联网网络可采用DiffServ模型 为各种业务提供服务质量保障，实现流分类和流标记、流量监管 流量整形、拥塞管理、队列调度、连接允许功能等QoS功能。互联 网网络可采用同步以太网方式提供频率同步，以IEEE1588v2的 方式提供时间同步

10编号方案、地址分配与域名系统

10.2.1IP地址用于用户和应用的标识和网络路由

0.2.1地址用用产 立用的标识利网络路田。 双栈节点需同时配置IPv4和IPv6地址，节点的IPv4和IPv6 地址之间不必有关联，但是对于支持自动隧道的双栈节点，必须配 置与IPv4地址有映射关系的IPv6地址。 10.2.2IP地址规划和分配应本着既满足需求又不造成浪费的 原则进行。在网络建设、扩容过程中规划地址时，应在满足网络近 期发展的前提下尽可能地节约使用。 IPv4地址在规划时，需要打破传统A类、B类、C类地址的划 分，充分利用CIDR方式及VLSM等技术，合理、高效地使用IP 地址，不应使用C类地址作为规划的最小单位。 对于IPv6地址，尽管地址空间极大，但仍要避免浪费。在制 定全球唯一IPv6单播地址分配方案时，应注意IPv6不同干IPy4 的特性，这些特性将直接影响分配方案。IPv6的自动配置机制依 赖于目前/64子网前缀长度。大规模用户可分配大于/48的地址 块。较大规模用户可分配/48的地址块，对其内部子网可采用使 用/56的地址块。较小规模的用户可分配/56地址前缀。无子网 划分需求的用户可分配/64的地址块。如果是单个设备接人，分 配/128地址。 组播地址的分配应注意不能发生组播地址冲突，还需尽量避 免多个IP组播地址映射到相同MAC组播地址的冲突问题

1 IP网络的域名系统服务于网络和应用。

11.1.1互联网网络的性能主要取决于IP层的信息传送性能，其 在很大程度上依赖于承载IP层的低层链路的传输性能，同时高层 业务的有关性能也会影响IP网络的网络性能。本标准主要采用 IPTD、IPDV、IPLR、IPER作为 IP网络的性能参数。 需要注意的是，接入技术对用户端到端质量会产生极大影响， 而接入技术多种多样，接人速度及其他性能指标也千差方别。 在本标推中，对网络的性能指标要求均设定其处于正常运行 情况下，对网络拥塞所导致的网络质量下降情况不在本标准考虑 的范围之内。

11.2.4服务质量（QoS)是指IP网络的一种能力，可为特定的业 务提供其所需要的服务。实施各种IPQoS技术，可以有效控制 网络资源及其使用，能够针对不同用户需求提供差别化业务。 11.2.5IP网络中QoS的技术部署主要包括资源控制、资源隔离 和资源调度等各种技术及策略的运用。

11.2.4服务质量（QoS)是指IP网络的一种能力，可为特定的业

基于RSVP的IntServ方案是一种端到端基于流的QoS技 术DB32／T 4031-2021 建筑垃圾路基填筑设计施工技术规范.pdf，粒度为单个流的资源预留的解决思路扩展性无法保证，一般不 建议采用。 基于DSCP的DiffServ方案是一种基于类的QoS技术，通过 将业务定义为有限的类，可以较好地解决扩展性问题，建议可主要 采用。 MPLS 可 以与 DiffServ 结合,提供 MPLS CoS。MPLS 与

DiffServ的结合可以将DS字节的设置融入MPLS的标记分配过 程中，使得MPLS标记具备区分分组服务质量的能力。 MPLS TE是一种间接改善网络QoS的技术。MPLS TE利 用了LSP支持显式路由的能力，在网络资源有限的前提下，将网 络流量合理引导，间接改善网络服务质量。MPLSDiffServ AwareTE在MPLSTE的基础上，增加了基于类别的资源管理 充分利用了DiffServ的可扩展性以及MPLS的显式路由能力。 11.2.6服务质量监测平台应可以实现网络层或业务层的质量监 测，用户应可以通过浏览器或安装客户端软件进行测试。例如部 墨宽带接人速率测试平台为用户提供宽带洲速服务

12. 1 安全且标与框架

12.3.1内容安全是1P网络信息安全的重要组成部分，主要包括 不良信息的治理、防止信息泄漏、对信息进行校检及备份等。 12.3.2互联网面临着众多的内容安全威胁，增强流量检测与控 制能力是保障网络内容安全的有效技术手段。在网络中部署流量 检测与控制系统，作为实现内容安全技术设施的一部分，是实现互 联网“业务可识别”的重要技术措施。 流量检测与控制系统的流量检测功能实现可根据需求选择采 用深度流检测、深度包检测技术或采用直路、路或直路一旁路联 动三种方式进行系统部署和控制。 流量检测与控制系统的设置不应影响IP网络的网络性能

业务系统的安全措施应根据该系统的安全等级具体确 给出了基本要求。

JGJ／T187-2019 塔式起重机混凝土基础工程技术标准及条文说明12.5.1互联网网络在网络控制面的安全威胁主要包括路由信息 泄露、仿冒攻击、篡改攻击、路由干扰、路由过载和软件漏洞等；在 管理面的安全威胁主要包括非法设备访问等；在数据面的安全威 胁主要包括IP欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务 攻击、分片攻击、网络侦听和应用层攻击等。应根据可能的威胁采 取针对性的网络安全技术措施

表现在两个环节：一个是DNS权威服务器的主服务器和辅服务器 之间的数据更新过程中的数据完整性保证；另一个是DNS递归服 务器在执行递归查询过程中从权威服务器获取的查询结果的数据 完整性保证。应对应地采取各种安全技术措施

13.0.3设计在设备及配套选型等方面应遵循有利环境保护、有 利节能减排的原则，引人符合国家节能减排要求、低能耗的设备 优先采用有利节能环保的相关配套材料。