移动通信传输网络安全.pptx-道客多多

资源描述

1、提升区县分公司传输网络维护技能培训传输网络安全专题网管中心培训目标要求1 了解集团总部制定的传输网络安全模型结构2 熟悉网络结构六大类隐患定义3熟悉重大隐患排除方法4掌握传输隐患上报操作方法目录传输网安全体系模型介绍网络结构六大类隐患定义重要隐患排除方法隐患上报流程传输网安全体系模型介绍安全模型体系传输线路安全要求传输设备安全要求网络结构安全要求业务分配安全要求传输网管安全要求安全模型体系传输网络是是由线路和设备组成庞大网络体系，为更好地阐述传输网安全体系要求，集团总部建立了传输全方位安全模型。该模型从传输线路、传输设备、网络结构、业务配置、传输网管五个维度出发，针对每个维

2、度可能影响系统安全的要素进行分析，制定了具体安全要求和原则。传输全方位安全模型示意图线路安全要求线路安全光缆纤芯质量管道安全杆路安全影响传输线路安全的要素有三个，主要是：光缆纤芯质量、管理线路管道质量安全和架空杆路质量安全。传输设备安全要求传输设备安全要求接地保护软件版本时钟保护1、设备的保护地（ PGND）应就近短接至保护接地铜排上； 2、机柜前、后门和侧门下方接地端子应通过截面积不小于 6mm2的连接电缆接到机柜结构体的接地端子上。对于汇聚层及以上设备，要求关键单板必须配置保护。

3、关键单板包括：时钟板、交叉板、主控板、具备 TPS的业务板等。传输设备必须正确配置时钟，配置外时钟的保护子网，要求环上配置主备两个外时钟；跟踪时钟根据两个方向配置时钟跟踪关系。在配置了主备保护单板时，同设备的主备保护单板（ 1+1、 1:1、 1： N）应保持软件版本一致。传输网络结构安全要求双节点双路由要求SDH设备组网要求XPON设备组网要求PTN设备组网要求网络结构安全要求1、采用 PTN 10GE/40GE组环（基于 OTN），环节点数 3 5个，业务量大时组网状网2、部署 L3功能，实现基

4、于 IP地址的转发核心层1、 PTN 10GE组环，环节点数 46个2、采用 L2 分组转发功能3、带宽利用率 70%时，扩容 PTN系统4、业务量大时，下沉 OTN汇聚层1、 GE/双 GE组环，单环接入基站 68个2、纤芯紧张城市适度超前部署 10GE环3、采用 L2 分组转发功能4、采用 GE光接口接入基站接入层 GE接入环GE接入环 GE接入环10GE汇聚环10GE汇聚环10GE核心环eNodeBeNodeBeNodeB eNodeB eNodeBeNodeBeNodeBS-GW/MME落地设备10GE10GES1X2汇聚 /接入层沿用 L2承载方式ETH PW跨核心

5、机房S1/X2采用静态 L3 VPNPTN承载 LTE组网结构要求n SGW/MME部署在地市的无线回传组网场景，网络分层与 2G/TD一样，保持城域网三层结构不变n 区别在于： LTE基站业务回传需支持 “ 点对多点 ” 连接模式，核心层需要 L3层功能n 各层网络组网要求如下：业务电路分配安全要求大颗粒重要电路安全要求局间重要电路安全要求基站及一般电路安全要求传输核心设备与业务设备对接安全要求业务电路分配安全要求网管安全要求双机热备份要求网管要求具备热备份机制，从而保证网管的稳定性，防止网管宕机引起的网络脱管。备份数据要求网管周期性数据备份可以回溯，各种日志文件至少应能保存6个月

6、的事件。DCN管理网要求网管DCN要求单个子网域内网元数量不超过128个，以防止因子网内网元数量过多而产生ECC 风暴。ECC保护要求网元与网管通信应具备保护，在发生光缆中断等故障时，如果网元电路未中断，则网元的通信也不应中断。带外DCN要求网管DCN带外通道使用的电路应具备保护，要求电路在2条以上，且该电路按照重要电路安全要求对待。网元管理能力要求网管服务器管理网元应留有一定富余，要求网管服务器管理的网元数不超过其标称最大管理能力的80%。目录传输网安全体系模型介绍网络结构六大类隐患定义重要隐患排除方法隐患上报流程网络结构六大类隐患定义1、超大汇聚点定义：针对汇聚层

7、传输设备，每个汇聚节点所挂设备超过 80个视为超大汇聚点。GE接入环GE接入环 GE接入环10GE汇聚环10GE汇聚环10GE核心环eNodeBeNodeBeNodeB eNodeB eNodeBeNodeBeNodeBS-GW/MME落地设备10GE10GES1X2每个汇聚节点所下挂设备超过 100个视为超大汇聚点。图例：超大汇聚点隐患案例红河建水 10G机房红河建水 10G机房下挂超过100个传输节点网络结构六大类隐患定义2、汇聚层单归属定义：针对汇聚层网络，县区区域内汇聚环与上层网络至少 2个点相连，汇聚环只上联至上层网络一个节点视为不满足汇聚层双归属

8、，即汇聚层单归。图例：（左图单归属、右图双归属）单归属双归属汇聚环核心环核心环汇聚环16文山 “汇聚双归核心层比 ”指标典型案例分析上图是文山本地网 SDH网管部分截图。朱街 -广南 -富宁 -西畴等节点组 10G核心环，广南电信 -董堡 -空山 -底基等节点组汇聚环，从图中可以看出：汇聚环是以 “广南电信 2-广南电信 10G”单节点上联核心环的。从网管图上显示的结果来看，这种情况具有普遍性，与结构评估 “汇聚双归核心层比 ”指标值仅为 2.2%相印证。一旦该 “上联节点 ”出故障，将导致汇聚环及其所带接入层的几十个基站业务中断。表明文山传输网结构安全性非常差。汇聚环单

9、节点上联核心环汇聚环核心环网络结构六大类隐患定义网络结构六大类隐患定义3、长单链判定内容判定标准链上网元数量 2.5G以上 1， 622M3， 155M5（不含室分）， 155M8（含室分）链上业务数量 30E1 注 1：对于 2.5G扩展子架，采用了 1+1线性保护设置的，不属于长单链。注 2：如果链形结构下挂在非接入网设备上（如骨干或汇聚设备），链上网元数量或业务数量达到长单链标准，仍然视为长单链。SDH长单链判定标准：18文山 “接入物理节点成环比 ”指标典型案例分析上图是文山本地网 SDH网管部分截图。接入层节点 “6027-砚山移动 ”下挂 8条无保护链、共 30

10、多个网元。从网管图上显示的结果来看，这种情况具有普遍性，与结构评估 “接入物理节点成环比 ”指标值仅为 9.9%相印证。该节点一旦失效将导致大面积基站业务中断，表明文山传输网存在非常大的安全隐患。该接入节点带八条单链，一旦故障将全部失效30多个网元在八条无保护链上网络结构六大类隐患定义网络结构六大类隐患定义4、同路由（同缆）环定义：汇聚环、骨干环不同段落经过同一个路由（使用同一根光缆）或者汇聚节点出入局光缆单点入局，如出现单点故障可能导致同一站点多个方向光路断开，视为同路由（同缆）环。同一根光缆构成传输系统逻辑拓扑的一部分或全部图例：光缆单点

11、入局，造成局部同缆环网络结构六大类隐患定义5、 OLT单上联保护定义：要求 OLT两条链路通过不同的设备板卡和物理路由上行，并且跨机房链路至少有一条承载于传输设备，不满足上述要求成为 OLT单上联。图例：OLT需通过不同板卡上联至上层汇聚交换机网络结构六大类隐患定义6、超大环定义：对于 155M、 622M接入环所带接入点数（只包括环上的接入点，不包括环带链的接入点）城区超过 10个或郊区超过 12个视为超大环。针对 PTN核心层采用 10GE组环，节点数超过 4个；汇聚层采用 10GE组环，节点数超过 7个；接入层采用 GE组环，节点超过 10个视为超大环。

12、图例：接入层超大环示例现网存在超大汇聚环网管截图目录传输网安全体系模型介绍网络结构六大类隐患定义重要隐患排除方法隐患上报流程骨干路由核心节点重大隐患排除方法隐患描述排除方法核心局房进出局同路由新建第二光缆路由，构建物理上完全独立的两个光缆路由，避免单点故障导致核心节点脱网重大故障发生。核心局房局同局前井新建第二局前井，确保光缆线路进出核心局房的两个路由在物理空间上尽量分类较远距离，避免同一人井故障导致核心节点脱网重大故障发生。核心局房同竖井新建通信楼内的第二竖井，使光缆线路在通信楼内物理空间上尽量分离，避免同竖

13、井故障导致核心节点脱网重大故障发生。进出城同路由（州市、县级城市）新建州市、县级城市进出城第二光缆路由，避免同路由故障导致核心节点脱网重大故障发生。核心局楼同路由进出城、同局前井进出局楼、同竖井进出机房核心局楼分离路由进出城、两个以上局前井进出局楼、两个竖井进出机房隐患整治前隐患整治后长支链重大隐患排除方法方法 1：链改环，新建迂回路由将长链成环方法 2：同路由环回形成虚拟环1、对于无法建设迂回路由的长链，建议同路由环回形成虚拟环，防止单个节点失效（停电）影响所有下游节点业务。2、

14、对于链路迂回路由超长（超过 10公里），或者安全性不高的接入节点，建议不纳入接入环。虚拟环超大环重大隐患排除方法方法 1：新建光缆路由拆分大环为两个小环方法 2：同缆分纤拆环对于接入层过大过长环路，可选择环上距离较近且能将现有环路进行拆分的节点，新建直接光缆路由，拆分后环路包含节点数目应当大致相当，如下图所示。新建光缆路由较困难的情况下，可以采用同缆分纤拆环的方式进行拆分。超大汇聚点重大隐患排除方法方法 1：接入节点升级为汇聚节点，拆分汇聚环，减轻汇聚点压力对于接入层规模较大区域，通过合理选择汇聚机房，将条件合适的接入点升级为汇聚机房，

15、对接入层按就近原则进行分割，通过拆分汇聚环增加汇聚环数量，达到减轻汇聚节点压力的目的。详见下图所示。2、选择合适的接入节点升级为汇聚节点汇聚环 1#汇聚环 2#3、增加两芯光纤组环1、超大汇聚点4、由接入节点升级为汇聚节点，实现两个汇聚节点分单业务同缆环重大隐患排除方法方法 1：梳理光缆路由资源，调整组网纤芯，消除传输系统同缆环通过梳理光缆路由资源，掌握光缆的资源信息，如果有其他光缆路由可达的，应调整纤芯使用，消除传输系统同缆环组网隐患。同一根光缆构成传输系统逻辑拓扑的一部分或全部光缆单点入局

16、，造成局部同缆环方法 2：新建光缆线路，消除传输系统同缆环对应汇聚层以上的传输系统存在同缆环，且无不同路由的光缆资源可用时，应新建光缆路由，消除传输系统同缆环组网隐患。汇聚层单节点上联重大隐患排除方法方法 1进行汇聚节点双归核心层改造。 2012年省公司网络部启动专项工作，对改造方案，实施流程有详尽描述，请参照执行。图例：（左图单归属、右图双归属）单归属（整治前）双归属（整治后）汇聚环核心环汇聚环核心环启动阶段下发关于启动传输县域汇聚层单节点安全隐患整治的通知（网通 2011 748号），启动安全改造。下发传输单节点改造指导

17、意见，为安全改造提供依据。会审阶段已完成各地市城域传输网安全改造的设计会审。已完成安全改造的商务谈判，使具备施工条件。施工阶段形成省公司网络部 -分公司的项目施工管理，管控质量进度。现正积极推进项目，关于尽快组织完成 2012年传输网安全专项工程施工及业务改造事宜的通知网通2012 308号验收阶段施工完成，严把验收关。达到双节点安全整治目的。为解决单节点失效问题，公司下发关于启动传输县域汇聚层单节点安全隐患整治的通知（网通 2011748号），全省启动城域网双节

18、点安全改造。项目当前进度（截止 1029）：1、设备安装及业务割接站点：全省共 194个，开工 67个，完工 7个。开工率为 34%，完工率 4%。2、建设光缆段：全省共 208段，开工 133段，完工 23段。开工率为 64%，完工率 11% 。29汇聚层单节点上联重大隐患排除方法设备重大隐患排除方法隐患描述排除方法设备级保护缺失 1、电源、交叉、主控等重要板件应进行 1+1保护配置； 2、支路板应进行 1： n配置 TPS保护。 3、主子架与扩展子架间应配置 1+1线性复用段保护。以上各种设备级保护应配置齐全，如

19、有缺失应整治。软件版本不一致设备上配置的 1+1或 1： n保护的主备单板软件版本应保持一致；备件库配置的同类备件应与在网运行设备单板软件保持一致。通过定期软件升级方式解决。网管管理能力不够随着工程扩容不断增加网络设备数量，可能导致网管管理能力不够、网元脱管问题。通过更新升级网管硬件方式提升网管管理能力。网关网元 ECC数量超限工程扩容后，可能使某些网关网元所管理的网元数量超过 50个，导致网管速度慢、网元脱管等问题。通过网络优化专项工作，增加网关网元数量、重新分割 ECC方案解决。单网管无备份网管对传输网络运维管理意义重大，单网管无备份可能导致不可预知的重大事故。排除隐患方法： 1、双机热备份改造； 2、严格执行维护作业计划内容，定期将数据库备份到其他存储介质。单板备件缺失设备单板备件缺失、版本不一致，在网络发生故障时将会给网络带来重大风险。目前采取购买厂家备件服务策略，应定期检查厂家备件清单及备件库实物，督促厂家履行合同技术建议书规范内容，消除备件风险。

展开阅读全文