4.1.1铁路数据通信网广域网包括骨干网络、区域网络，网络 层次结构如图4.1.1所示。

4.1.1铁路数据通信网广域网包括骨干网络，区域网络，网络

电网标准规范范本图4.1.1铁略数据通信网的网络层次结构图

4.2.1铁路数据通信网骨干网络结构如图4.2.1所示。 4.2.2骨干网络大区节点的设计应符合下列规定：

4.2.1铁路数据通信网骨干网络结构如图4.2.1所

1铁路数据通信网骨干网络结构如图4.2.1所示。 2骨干网络大区节点的设计应符合下列规定：

图4.2.1铁路数据通信网骨干网络结构图

1铁道部应按大区节点设计，并宜选择一个异地天区节点 作为铁道部大区节点的备份节点。 2每一大区节点应设置2台路由器。 3各大区节点间形成网状或部分网状连接，每一大区节点 应与其地理位置上相邻的另两个大区节点连接。 4各大区节点与铁道部大区节点铁道部备份节点间应设 窗直连链路。 5各个大区节点间的互联链路带宽应根据业务流量设置。 在符合业务近期需求的情况下具有一定的余量，带宽应不低于 155.Mb/8。 6各大区节点间的互联链路应由具有保护能力的传输网络 提供：各大区节点与铁道部大区节点、铁道部备份节点间的链路

数量不应少于2条，并应采用不同物理路由；当其他大区节点间 的互联链路数量多于1条时，应采用不同物理路由。 4.2.3骨干网络应设置RR及VRR。RR及VRR宜合设，并应 万余配翼

铁路局区域网络结构如图4

图 4.3.1 铁路局区域网络结构图

，3.2铁路高区域网络核心节点的级应付下列规定： 1核心节点应设置2台路由器。 2设有大区节点铁路局的核心节点2台路由器应上联至本 铁路局大区节点及另外一个在地理位置上相邻的大区节点。 3未设置大区节点铁路局的核心节点2台路由器应分别上 联至地理位置上相邻的两个大区节点。 4核心节点与大区节点间互联链路的带宽应根据业务流量 设置，在符合业务近期需求的情况下，具有一定的余量。

5核心节点与一个大区节点间的互联链路仅为1条时，此 链路应由具有保护能力的传输网络提供：当多于1条时，应采用 不同物理路由。

链路应由具有保护能力的传输网络提供：当多于1条时，应采用 不同物理路由。 4.3.3铁路局区城网络汇聚节点的设计应符合下列规定： 1汇聚节点应设置2台路由器。 2汇案节点的路由器宜直接上联至核心节点的2台路由器 汇聚节点与核心节点及汇聚节点间可形成网状或部分网状连接。 3汇聚节点与核心节点及汇聚节点间的互联链路带宽应根据 业务流量设置。在符合业务近期需求的情况下，应具有一定的余 量。 4汇聚节点与核心节点间的互联链路应采用不同物理路由 5两个汇聚节点间的互联链路仅为1条时，此链路应由具 有保护能力的传输网络提供：当多于1条时，应采用不同物理路 由 4.3.4铁路局区域网络接人节点的设计应符合下列规定： 1客运专线铁路接入节点应在铁路局、客专调度所、客专 综合维修中心、客专动车检测基地、车站及段（所）等设置。 2客货共线等铁路接人节点应设置在铁路局及业务需求量 较多的车站段（所）等；未设置接入节点的车站，段（所） 通过传输网络将业务接入到邻近的接入节点。 3铁路局、客专调度所、客专综合维护中心、客专动车检 测基地及通用分组无线业务（GPRS）的接人节点应设置2台接 入路由器其他接人节点根据需要设置1台或2台接人路由器。 4铁路局、客专调度所、客专综合维修中心、客专动车检 则基地以及铁路局所在地的段（所）接人节点可直接上联至本 区域网络核心节点。 5车站，段（所）接入节点连接至汇策节点的连接方式 1）直接连至汇豪节点的2台路由器； 2）分别连至地理位置相邻的2个汇鑫节点：

1汇聚节点应设置2台路由器。 2汇案节点的路由器宜直接上联至核心节点的2台路由器 汇聚节点与核心节点及汇聚节点间可形成网状或部分网状连接。 3汇聚节点与核心节点及汇聚节点间的互联链路带宽应根据 业务流量设置。在符合业务近期需求的情况下，应具有一定的余 量。 4汇聚节点与核心节点间的互联链路应采用不同物理路由， 5两个汇聚节点间的互联链路仅为1条时，此链路应由具 有保护能力的传输网络提供：当多于1条时，应采用不同物理路 由。

4.3.4铁路局区域网络接人节点的设计应符合下列规定

1客运专线铁路接入节点应在铁路局、客专调度所、客专 综合维修中心、客专动车检测基地、车站及段（所）等设置。 2客货共线等铁路接人节点应设置在铁路局及业务需求量 较多的车站、段（所）等：未设置接入节点的车站段（所） 通过传输网络将业务接入到邻近的接入节点。 3铁路局、客专调度所、客专综合维护中心、客专动车检 测基地及通用分组无线业务（GPRS）的接人节点应设置2台接 入路由器；其他接人节点根据需要设置1台或2台接人路由器。 4铁路局、客专调度所、客专综合维修中心、客专动车检 测基地以及铁路局所在地的段（所）接人节点可直接上联至本 区域网络核心节点。 5车站，段（所）接入节点连接至汇策节点的连接方式 1）直接连至汇豪节点的2台路由器； 2分别连至地理位置相邻的2个汇节点：

3）多个接人节点串接后与1个或2全汇聚节点连接。 6接人节点与汇聚或核心节点间及接人节点间互联链路的 带宽应根据网络流量设置，在符合业务近期需求的情况下，具有 一定的余量。 7接人节点与汇聚或核心节点间及接入节点间的互联链路 仅为1条时，此链路应由具有自愈能力的传输网络提供：当多于 1条时，应采用不同物理路由 4.3.5铁路局区网络应设置RR及VRR。RR及VRR宜合设 并应余配置

4.3.6铁路局区域网络每台RR/VRR与核心节点的两台路由器 互联。 4.3.7铁道部区域网络结构如图4.3.7所示，

4.3.6铁路局区域网络每台RR/VRR与核心节点的两台路由器

图4.3.7铁道部区域网络结构图

4.3.8铁道部接人节点的设计应符台下列规定： 1根据业务需要，铁道部设置一个或多个接入节点，每个 接人节点应设置2台接人路由器。 2铁道部每个接人节点的2台路由器应与铁道部大区节点

2台路由器直连。 3铁道部接入节点与铁道部大区节点间互联链路的带宽应 根据网络流量设置，在符合业务近期需求的情况下，具有一定的 余量：并应采用不同物理路由。 4：铁道部各接人节点间根据业务需要可设置直连链路

4.4.1铁路数据通信网应支持专线接入、有线宽带接人。、区域

4.4.1铁路数据通信网应支持专线接入、有线宽带接 多点传输服务（LMDS）及无线局域网（WLAN）等无 多种业务接人方式

4.4.2重要业务应采用专线接入方式，并宜具有迁回保护措施。

4.4.3当用户业务接入点信息流量较大、业务种类较多且距离 铁路数据通信网边缘较远时，可采用光纤以太网或MSTP等接人 方式：当距离较近时，也可采用电缆等其他以太网接人方式。 4.4.4在数设光电缆困难的节点，可采用LMDS、WLAN等无

铁路数据通信网边缘较远时，可采用光纤以太网或MSTP等接入 方式：当距离较近时，也可采用电缆等其他以太网接人方式。

线接人方式，使用频率等应符合国家无线电管理的相关规定

5.2.1铁路数据通信网路由策略的设计应符合下列规定： 1路由策略应保证正确路由信息的接收与宣告。 2在网络拓扑的配合下，路由策略应避免网络中出现单故 障点，提高网络的生存能力品 3路由策略应保证业务流量合理的分配。 4路由策略应采用无类域间路由（CIDR）：等方式最大化地 进行路由聚合， 5路由策略应便于网络的管理维护，对业务流量流向的变 化具有适应性

5.2.2根据网络所承载的业务种类，在存在多条路由的

5.2.2根据网络所承载的业务种类，在存在多条路由的情况下， 可采用下列方式对流量流向进行设计： 1使用静态路由协议的网络，宜采用主备疏通方式。 2使用动态路由协议的网络，宜采用分担疏通方式。 5.2.3路由选择应合理设计域内路由协议的链路权值，合理设 计使用域间路由协议的各种属性赋值。 5.2.4路由选择应符合下列规定： 1骨干网络各大区节点间应优选节点间直连链路。 2各区域网络之间互访应通过骨干网络转接。 3网络中不应存在路由选择循环，不应存在路由黑洞。 5.2.5铁路数据通信网两种路由协议间不宜进行路由信息的互 相注人 5.2.6铁路数据通信网宜采用路由协议的快速收敛技术。 5.2.7铁路数据通信网宜采用路由协议的平稳重启技术。 5.2.8铁路数据通信网宜在接入节点路由器以及实现域间互联 的区域网络核心路由器、骨干网络大区节点路由器上来用BCP 阻尼的方式，减少由于链路不稳定对网络产生的影响

6.0.1铁路数据通信网自治域号码分配、IP地址分配应符合铁 道部相关规定。 6.0.2铁路数据通信网使用的P地址应划分不同的区段，并分 为网络基础设施地和业务地址：网络基础设施地址主要包括网 络设备端口互联地址、网络设备管理地址网络管理系统地址 域名服务器地址等：业务地址为各种业务的应用地址。 6.0.3铁路数据通信网的IP地址分配应符合下列规定 1按需分配IP地址，并预留一定的发展空间。 2IP地址分配应考虑连续性宜按业务连续并兼顾地域连 续分配IP地 3P地址的分配应采用CIDR方式及可变长子网掩码 VSM）技术，合理、高效地使用IP地址不应使用24位子网掩 码作为最小分配单位，划分子网掩码时应保持地址的连续和路由表

6.0.1铁路数据通信网自治域号码分配、IP地址分配应符合铁 道部相关规定。 6.0.2铁路数据通信网使用的P地址应划分不同的区段，并分 为网络基础设施地和业务地址：网络基础设施地址主要包括网 络设备端口互联地址、网络设备管理地址网络管理系统地址 域名服务器地址等：业务地址为各种业务的应用地址

1按需配让地证，开顶窗一定的发展空间 2IP地址分配应考虑连续性，宜按业务连续并兼顾地域连 续分配IP地址。 3IP地址的分配应采用CIDR方式及可变长子网掩码 VLSM）技术，合理、高效地使用IP地址不应使用24位子网掩 码作为最小分配单位，划分子网掩码时应保持地址的连续和路由表 的优化

，01：铁路数据通信网城名系统设计应来用树型结构开由铁 道部根域名系统和铁路局二级域名系统构成。 7.0.2铁道部应设置根域名服务器，并对骨干网络及各铁路局 区域网络的路由器进行域名解析。 7.0.3铁路局应设置二级域名服务器，并对各铁路局区域网络 的路由器进行域名解析。

8.0.1铁路数据通信网的网络管理系统（以下简称网管系统） 应包括网元管理及PN管理，采用铁道部、铁路局两级结构。 8.0.2铁道部应设置骨网络网元管理系统，负责骨干网络及 铁道部区域网络网元的管理：铁路局应设置区域网络网元管理系 统，：负责本区域网络网元的管理。 B0.3铁道部应设置掌十网络VPN管理系统，负责骨干网络及 铁道部区域网络的维护和管理：铁路局应设置区域网络 VPN管理系统，负责本区域内VPN的维护和管理 8.0.4网络维护管理终端的设置应符合维护和管理要求。 8.0.5网管系统宜来用带内管理方式，根据需要可采用带外智 理方式。

0.6网管接口应符合下列

1网系统应提供接入综合网管系统的接口 2网管系统与被管理网元之间宜采用SNMPv3协议。 3区域网络网管系统与骨干网络网管系统之间的接口可采 用SNMPv3协议或基于XML的WebServices接口。 4网络设备应支持网管接口故障管理、计费管理、配置管 理、性能管理和安全管理功能要求，应提供实时告警信息，准实 时的性能信息、动态的资源配置信息以及计费和安全信息。 5网络设备应支持通用的公有信息模型，通用的公有信息 模型应为MIB2.0及以上版本 6网络设备可提供针对自身产品特色的私有信息模型但 供货商应提供接口标准、协议等相关信息。

配置管理、故障管理、性能监测、路由管理、QoS配置管理、安 全管理、VPN管理、流量采集，、报表统计等功能。 8.0.8根据需要，网管系统可提供性能分析、基于QoS的性能 监测及流量分析等功能。

901铁路数据通信网网络安全设计应包活承载网络女全、方

具0 12网络设备应支持鉴别，授权、计费（AAA）认证 13网络设备的服务配置应遵循最小化服务原则，关闭所有 不需要的服务。对于必需开启的服务，可通过访尚控制列表等手 段限制主机地址。 14网络设备应具有交互式访问安全的控制能力，应限制远 程终端的卫地址，远程登录应加密。 9.0.3人侵防范应符合下列规定： 1可根据需要设置人侵检测系统、人侵防系统、流量监 测和清洗系统。 2基于主机的入侵监测系统（HIDS）应设置在所监测的主 机上品 3基于网络的人侵监测系统（NIDS）应设置在所监测的网 络的进出口处或数据交换区域，对关键链路或数据交换区进行安 全检测。可采用链路旁路设置，也可利用网络设备的端口镜像功 能以旁路方式设置在数据交换区域。 4基于主机的人侵防御系统（HIPS）应设置在被保护的服 务器上。 5基于网络的人侵防御系统（NIPS）应设置在网络的进出 口处，对人侵活动和攻击流量进行拦截。可采用串行方式设置， 也可采用旁路方式设置。 6流量监测系统可选择流采样、链路分光、端口镜像等监 测方式。 7流量监测系统可设置在被保护网络的边界。 8流量清洗系统应根据网络实际情况选择引流、过滤、回 注策略。 9流量监测系统与流量清洗系统应能够实现系统间的联动， 在发现攻击流量后以手动或自动方式对攻击流量进行清洗过

9..4网络管理安全应合下划规定： 1在骨干网络各节点及区域网络的核心节点汇接节点可 采用带外网管方式。 2网络管理应分权、分域，并严格控制网络访问的权限。 3在采用SNMP做为网络管理协议时应采用v3及以上版 本，在配置SNMP时宜具有信息一摘要算法（MD5）认证和数 据加密标准算法（DES）加密。 4可设置认证授权服务器，对登录用户进行集中认证和管 理。 5宜设置日志服务器，集中存储日志，告警和调试信息。 9.0.5 网络安全审计应符合下列规定： 1 网络安全审计应由专用审计系统或相关网络安全设备实 现 2专用审计系统宜包括日志采集、主机审计、网络审计等 3网络安全设备宜包括网络漏洞扫描、防火墙、入侵检测 系统/人侵防御系统等。 4：网络安全审计的对象应包括路由器等网络设备、服务器、 网络安全设备等，所有审计对象应开启日志记录功能 9.0.6安全运行管理应符合下列规定： 1安全运行管理应具有安全事件管理、安全策略管理、安 全预警管理、安全日志审计、知识库管理、流程管理、关联分 析、风险管理等功能。 2安全运行管理应支持对各类被管理对象的多种数据采集 方式，实现安全事件收集，安全日志收集功能

1安全运行管理应具有安全事件管理、安全策略管理、安 全预警管理、安全日志审计、知识库管理、流程管理、关联分 析、风险管理等功能。 2安全运行管理应支持对各类被管理对象的多种数据采集 方式，实现安全事件收集，安全日志收集功能。

10.0.1铁路数据通信网的链路带宽应在估算所承载各种业务系 统的平均流量和峰值流量的基础上设计。 10.0.2在采用主备疏通方式时，链路带宽平均峰值利用率宜为 50%~70%：在采用分担疏通方式时，链路带宽平均峰值利用率 宜为40%~45% 10.0.3根据业务需要，铁路数据通信网可采用基于差分服务代 码点（DSCP）的DiffServ等技术保证服务质量。

11，.1根据需要，铁路数据通信网应配置网络设备和配套设 备。网络设备包括路由器、网管设备以及防火墙设备域名服务 器等。配套设备包括电源设备、配线架等。 11.0.2铁路数据通信网设备应符合相关技术标准的规定，以及 安全可靠、技术先进、经济合理、兼容性好扩展性强等的要 求

构，并应支持流量分析功能。 11.0.7接人节点路由器宜采用模块化结构，并宜支持流量分析 功能。 11.0.8路由器设备的交换容量及包转发能力等性能应符合铁路 相关技术标准的规定。 11.0.9路由器设备的接口板应根据网络中继电路设计情况进行 配置。当一个节点存在多条对外连接中继电路时，电路与接口板 的对应应符合安全可靠性要求。 11.0.10防火墙设备的配置应符合下列要求： 1宜采用双机允余配置，并具有负载均衡功能。 2：应具有包过滤功能：支持状态捡测。 3：应具有防范扫描窥探功能，支持多种过滤及端口隐藏机 制、端口到应用的映射。 4 应具有审计日志功能。 5 应支持地址及端口转换、端口映射和负载分配。 6宜集成人侵检测功能。 11.0. 11 配线架等配套设备应根据工程实际需要配置。 11.0.12备品备件的配置应根据设备的重要性、维修管理要求 等情况确定

12设备安装及运行环境要求

2.0.1铁路数据通信网设备房屋应符合《铁路运输通信设计 规范》TB10006等标准的有关规定。 12.0.2：铁路数据通信网设备的安装应符合下列规定： 1有专用的数据设备房屋及监控室时数据通信网设备应 安装在相应房屋内。 2：与其他通信设备合用房屋时，数据通信网设备应安装在 靠近传输设备的位置，网管设备安装在合设的监控室。 12.0.3铁路数据通信网设备供电等级应符合《铁路电力设计 规范》TB10008等标准的相关规定。 12.04铁路数据通信网设备宜采用直流供电方式。当采用交流 供电时，应配置UPS设备。 12.0.5铁路数据通信网设备防雷、电磁兼容及接地应符合 《铁路运输通信设计规范》TB10006及相关技术标准的规定。 12.0.6维修维护仪表及工具应根据维修维护需要配置，主要的 仪表可包括流量发生器，误码仪、协议测试仪、性能测试仪协 议分析仪等：主要的工具包括网线钳。

执行本规范条文时，对于要求严格程度的用词说明如下，以 便在执行中区别对待。 （1）表示很严格，非这样做不可的用词： 正面词采用““必须”； 反面词采用“严禁”。 （2）表示严格，在正常情况下均应这样做的用词： 正面词采用“应” 反面词采用“不应”或“不得”。 （3）表示允许稍有选择，在条件许可时首先应这样做的 用词： 正面词采用“宜”！ 反面词采用“不宜”。 （4）表示有选择，在一定条件下可以这样做的，采用 可

《铁路数据通信网设计规范》

本条文说明系对重点条文的端编制依据、存在的问 题以及在执行中应注意的事项等予以说明。为了减少 篇幅，只列条文号，未抄录原条文。

H 及的、图像等通信 系统数据业务主要由两种IP数据通信网来承载，即独立IP数据 通信网和综合IP数据通信网。根据国家政策及铁路有关规定 对于涉及铁路运输安全控制资金往来等系统的业务（包括 CTC/TDCS、列车控制及联锁，客票公安等系统），使用独立 IP数据通信网承载：铁路其他信息系统业务及通信系统数据业 务，使用综合IP数据通信网承载。 本规范中的铁路数据通信网，特指铁路综合卫数据通信 网。独立IP数据通信网的设计可参照执行。除业务接人方式 之外，局域网工程设计的其他内容要符合相关技术标准的 规定。 1.0.4铁路数据通信网为铁路信息系统提供数据承载，其中许 多信息关系到国家和铁路运输安全保密，因此其工程设计应符合 国家有关信息安全的规定。 1.0.5根据信息安全的需要和电信市场管理的规定，铁路数据 通信网是铁路运输专用网络，不直接与公众互联网互联。铁路的 门户网站等为公众服务的系统，可通过物理隔离的技术手段 如网闻等）从铁路相应信息系统中得到所需要的数据。 1.0.8系统设备等是指便于升级扩容、易老化的系统设条

.0.4铁路数据通信网为铁路信息系统提供数据承载

3.0.2目前，在建客运专线的铁路数据通信网工程的系统处 理能力及业务接入能力的预留余量设计按照50%以上进行了 考虑。

3.0.3《IP网络技术要求一网络性能参数与指标》YD/T1171 规定了I网络性能参数与指标，端到端主要性能指标见说 明表1。

说明表1 P网络性能修数与指机

3..了本条参考铁道部运输筒发布的《铁路时间问步网技木杂 件V1.0）》（运基通信【2008599号）的相关要求制定。根 据该文件规定，铁路时间同步网地面时间同步部分按三级结构组 成，一级时间同步节点设置在铁道部调度中心，二级时间同步节 点设置在各铁路局调度所/客专调度所，三级时间同步节点设置 在车站、段（所）。铁路时间同步网为铁路运输各业务系统提供 统一标准时间信号，使各系统时钟设备与本系统同步，保证铁路 各系统运行计时准确。随着客运专线的建设，北京、武汉等铁路 局调度所已设置了二级时间同步节点设备。

由于铁路以铁道部为中心，大多数业务系统均需汇聚到

铁道部，因此，铁道部应设置为大区节点。 4大多数业务系统均需汇察到铁道部及备份节点，因此， 每一大区节点都应设置与铁道部或备份节点的直连链路。 6铁路数据通信网的设备互联链路由光传输网提供或采用 光纤直连方式，因此，不同物理路由是指不同物理路由的光传输 网或不同物理路由的光纤。本规范中的不同物理路由均为此 含义。

4.2.3路由反射方式是指某台路由器被酉

4.4.1专线接入特指一个用户通过专用通道接人，可以采用宽

有线宽带接入指一个以上用户通过DSL，宽带以太 于光纤的无源光网络、MSTP等方式接人铁路数据通信网。 多用户也可通过LMDS、WLAN覆盖方式接人铁路 信网。

4.4.2重要业务是指CPRS、信号集中监测、综合视频监控、旅

由器组成的网络区域。日前覆盖全国的电信运营商IP数据网络 多数采用多自治域方式组网。本规范推荐采用多自治城方式组 网，主要是由于铁路业务主要流向铁路局，铁路局内业务相对独 立，并且有利于工程项目分期分批实施。多自治域及单自治域组 网方式优缺点比较见说明表2。

多自治城及单自治域组网方式优

或路由选择的参数而改变路由发现的结果，最终改变的是路由 的内容，路由策略是在路由发现的时候产生作用。其目的是通

路由策略的实施，实现正确的路由信息接收和宜告：使网络业务 流量合理地分配在各条链路上：保证网络具有可扩展性：全部资 源可以被优化利用：对业务流向流量的变化具有适应性。

1IP地址预留是考愿今后业务发展的需要；限定一定的空 间是因为IP地址数量有限，避免闲量和浪费，提高利用率。 2IP地址分配考虑连续性是简化路由表的需要。在某一地 域内，同一业务系统之间信息互通较多，跨业务系统信息互通相 对较少，因此应首先考虑业务的连续性。

本章所述域名系统是指铁路数据通信网的域名系统。 系统的域名解析由各自的业务系统完成。

本草所述域名系统是指铁路数据通信网的域名系统。各业务 系统的域名解析由各自的业务系统完成。 8.0.5带内管理方式是指管理信息由本铁路数据通信网承载： 带外管理方式是指管理信息由其他网络承载。 8.0.6

系统的域名解析由各自的业务系统完成。

2SNMP是由互联网工程任务组（IETF）定义的网络管理 协议。通过SNMP，一个管理工作站可以远程管理所有支持这种 协议的网络设备，包括监视网络状态修改网络设备配置、接收 网络事件警告等。 3WebServices是一个基于网络的应用程序，它向外部程 序提供一定的调用接口。对WebServices的调用，通过SOAP （简单对象访问）协议进行。XML是SOAP的数据编码方式。 8.0.7根据《公用计算机互联网工程设计规范》YD/T5037， 网管功能具体含义如下： 资源管理包括设备管理、链路管理、路径管理、IP地址管 理、软件版本管理、MPLSVPN管理、资源报表统计、资源预警 等功能。 拓扑管理包括根据不同的视角和不同的侧重层次，拓扑图可

以有不同的视图：实现拓扑自动发现、监视与浏览：实现基于拓 扑的流量显示资源显示，配置显示和故障显示等。 配置管理包括对网元设备及MPLSVPN的配置，可保存历史 配置信息开对不同配置进行化较。 故障管理包括提供列表形式的告悠蓝视窗口：可在窗口视图 上监视到网元的实时告警、对相关告警进行操作或启动相关网元 的告警历史信息查询浏览功能：具备各种告蓄提尔段：支持告 警过滤、告警转发、告警确认，告警升级和告警清除：支持故障 关联分析 性能监测包括对网络性能进行蓝测： 路由管理包括对网络中的路由实体进行监视，对网络路由信 息及其变化情况进行分析。 QoS配置管理包括网络层QoS参数配置， 安全管理功能是指本规范第9.0.4条的有关规定。 流量采集包活对各个网络层次的电路进行流量的米集。 报表统计包括对网络业务供水标准规范范本，资源，故障以及性能等信息进行 统计，提供多种形式的报告和图表。 8.0.8性能分析包括针对网元、路由信息、端到端路径、网络

1人侵防范是指从IP网络的若干关键点收集信息并对其进 行分析从中发现网络中是否有违反安全策略的行为或遭到人侵 的迹象，并依据既定的策略采取一定的安全措施。

拒绝服务蠕虫病毒、权限获取和可疑网络活动等威胁进行检测 和识别，必要时提供安全记录和告警，为了解安全状况和阻断非 法访问提供依据。 4~5入侵防御系统可以实现对网络或主机中的信息探测 拒绝服务，端虫病毒、权限获取和可疑网络活动等威胁进行检测 和识别，并主动、实时地采取措施对攻击或恶意数据包进行限制 和阻断。 6~7流量监测系统对网络中的路由设备发出的流信息进行 采集分析，关联网络的路由信息，可以发现、定位网络中的 DDoS等攻击流量，保证网络的安全性和可用性，为网络优化改 造提供依据。 采用流（Flow）采样方式，通过合理设置被监测路由设备的流 采样比例，确保路由设备开启流采集不影响正常流量转发。

拒绝服务，端虫病毒、权限获取和可疑网络活动等威胁进行检测 和识别，必要时提供安全记录和告警，为了解安全状况和阻断非 法访问提供依据。 4~5入侵防御系统可以实现对网络或主机中的信息探测 拒绝服务，端虫病毒、权限获取和可疑网络活动等威胁进行检测 和识别，并主动、实时地采取措施对攻击或恶意数据包进行限制 和阻断。 6~7流量监测系统对网络中的路由设备发出的流信息进行 采集分析，关联网络的路由信息，可以发现、定位网络中的 DDoS等攻击流量，保证网络的安全性和可用性，为网络优化改 造提供依据。 采用流（Flow）采样方式，通过合理设置被监测路由设备的流 采样比例，确保路由设备开启流采集不影响正常流量转发。 9.0.5网络安全审计的设计自标是实现对系统的记录及活动进 行独立的复查及检查，以便监测系统控制是否充分，确保系统控 制与现行策略及操作程序保持一致，探测违背安全性的行为，并 通告控制、策略程序中所显示的任何变化，为今后取证和安全 策略的调整提供依据。 9.0.6：安全运行管理中心是实现安全管理的技术平台，提供对 防火墙、网络安全设备等的统一安全管理，实现对风险及安全状 况的集中呈现和管理。 10.0.2本条参考《公用计算机互联网工程设计规范》YD/T 5037相关要求，并考虑铁路数据通信网承载业务的重要性而 确定。 10.0.3服务质量（0oS）是指IP网络的一种性能要求，可为特定 的业务提供其所需要的服务。通过采用保证oS的技术，能有效地 控制网络资源及其使用，针对不同的客户需求提供差异的服务。 自前，保证QoS的要求主要包括下列技术： 1其主DSCP的nifSar方密果二种其于米的ns 技术通

钢结构标准规范范本说明麦3Q0S设计示例

在设计QoS时，首先根据业务需要，定义服务等级，其次 在网络接人边缘，采用业务分类与标记，速率限制等技术，在 络核心，主要采用队列调度、拥塞控制等技术。

12.0.6流量发生器按照需求发送数据流：误码仪用于