中国联通通信网络运行维护规程固定网络设备分册IP网设备篇.docx
《中国联通通信网络运行维护规程固定网络设备分册IP网设备篇.docx》由会员分享,可在线阅读,更多相关《中国联通通信网络运行维护规程固定网络设备分册IP网设备篇.docx(21页珍藏版)》请在冰豆网上搜索。
中国联通通信网络运行维护规程固定网络设备分册IP网设备篇
运行维护规程
网络设备分册
IP网设备篇
中国联合网络通信集团有限公司
二零一零年七月
目录
第五篇IP网设备
第一章通则
第1条本篇适用于中国联通互联网、中国联通IP承载网的网络设备、网管系统、中继电路及接入认证、域名系统等设备的维护。
第2条IP网设备包括网络设备、主机设备、接入设备。
1.网络设备主要包括:
路由器、二层(及以上)以太网交换设备、防火墙以及具备三层路由功能的IP网相关设备。
2.主机设备主要包括:
IP网管系统相关的服务器、DNS服务器、接入认证服务器、计费服务器及有关磁盘阵列、磁带机等主机和存储设备。
3.接入设备主要包括:
宽带接入服务器、窄带拨号接入服务器等。
第3条IP网软件及数据主要包括:
IP网络设备运行软件、主机设备操作系统软件、认证计费系统软件、DNS系统软件、网管系统软件、数据库软件、漏洞扫描及病毒防护安全软件等和IP网配置数据(网络数据、业务数据)、网络运行数据。
第4条IP网配套设备主要包括:
用于IP网网络设备之间连接及业务接入的通信线缆、动力线缆、地线,机架电源,配线架,光电转换器,仪表仪器,专业工具,备品备件等,以上设备的维护管理须遵循相应设备维护规程。
第5条IP网骨干网路由器、省网路由器、城域网主要网络设备和认证计费系统、DNS系统、网管系统等关键应用系统的主机设备属于IP网重要设备。
第6条本规程依据IP网的技术体制及维护技术指标体系的要求制定。
第二章设备维护管理
第一节设备维护管理基本规定
第7条IP网设备的维护包括日常维护、定期维护和突发性维护(故障处理):
(1)日常维护是指日常检测等经常性的简单维护工作,包括对设备、系统、电路、网络性能的实时监控。
(2)定期维护是指按规定期限进行的预检、预修、检测等维护工作。
包括对设备、系统、电路的周期性检测,对设备所在机房的巡视和环境维护等;设备的定期维护应有详细记录,并由主管负责人审核、签字。
(3)突发性维护指对设备、系统、电路的故障处理等。
第8条各省级分公司对辖区范围内的所有IP网相关设备、电路等应建立准确、完备的资料档案,对辖区用户的相关资料、接入路由应建立详细、准确的台帐信息,并做到及时更新。
第9条IP网网管和设备维护分工原则。
1.网管部门负责监控网管设备和所辖网络设备的工作情况,负责所辖网络的性能统计、分析;管理相关网络资源,提出网络优化需求及制定优化方案;负责网络业务数据处理,提供节点设备维护技术指导,并负责监督。
现场维护部门负责监测属地所有网络设备的运行状态,并负责故障处理、设备硬件维护和返修。
2.对于IP网设备故障,由网管部门主持协调处理,现场维护部门协助配合,并对故障现象和处理过程作详细记录。
3.对于涉及相关设备的中继和用户电路阻断,现场维护部门应积极配合网管部门尽快查找原因,判断故障段落。
在确定非本端的问题后,应及时通知传输维护部门,并作好相关情况的记录。
第10条未得到相关维护管理部门的许可,严禁对路由器、高端以太网交换机、宽带接入服务器等重要网络设备执行硬重启、复位和软件或局数据加载等操作。
第11条各级维护部门对所有网络设备应包机到人,实行包机责任制。
第12条新设备启用应执行入网许可证制度及公司的验收测试制度。
第13条新建的IP网设备的业务开放,必须经过工程初验,满足各项技术指标和设计要求,并正式移交IP网维护部门之后进行;对于在建工程进行的业务开放,原则上不予实施,特殊情况需经相关的运维管理部门批准。
第二节设备维护具体要求
第14条IP网网络设备维护项目及要求。
1.主要项目:
(1)监测节点板卡运行状态;
(2)监测中继电路状态;
(3)监控设备或系统CPU、内存占用率;
(4)检查是否有严重及以上级别告警;
(5)检查分析系统日志;
(6)统计中继电路利用率(平均和峰值);
(7)统计出省中继电路出入流量;
(8)检查、修改设备各级登录口令;
(9)清洁机房环境和设备。
2.维护要求:
(1)监控设备运行状况,保证网络正常运行;
(2)发现故障后应及时处理,无法排除的故障应报上一级网管中心;
(3)做好相关记录。
第15条IP网主机设备维护项目及要求。
1.主要项目:
(1)监测设备CPU、内存状态;
(2)监测磁盘阵列、存储空间;
(3)监测文件系统;
(4)检查重要进程及数据库存活性、健康性;
(5)监测设备日志及告警信息。
2.维护要求:
(1)监控设备运行状况,保证相关设备正常运行;
(2)发现故障和隐患后应及时处理,并做好记录。
第16条IP网接入设备维护项目及要求。
1.主要项目:
(1)监测节点设备主控板CPU占用率;
(2)监测单板运行状态;
(3)检查节点是否有严重及以上级别告警;
(4)统计端口占用率;
(5)统计分析中继流量、中继占用率情况(平均和峰值)和并发用户数;
(6)检查分析设备系统日志。
2.维护要求:
(1)监控设备运行状况,保证网络正常运行;
(2)发现故障和隐患后应及时处理,并做好记录。
第17条IP网软件(包括网络设备操作系统软件、网管软件、认证计费系统软件、DNS软件,安全软件等)和配置文件维护项目及要求。
1.主要项目:
(1)软件及配置文件备份;
(2)软件版本升级;
(3)配置数据的增、删、改。
2.维护要求:
(1)设备的配置文件应定期进行备份;
(2)所有设备在作配置修改前,必须对可能受到影响的系统软件、数据库、配置文件进行完整的备份,并做完整性、一致性检查;
(3)设备配置文件的备份必须多于一份,且保存在不同的存储介质上;
(4)对IP网设备的软件版本进行周期性审计和分析的工作,并提出更新、升级建议。
第18条IP网资源数据档案、运维资料的维护管理。
1.资源数据档案、运维资料包括:
(1)网络拓扑结构;
(2)中继电路及用户电路资料;
(3)配置数据、设备局数据资料、维护操作手册;
(4)配置数据修改记录、故障处理记录、值班日志;
(5)设备台账和机历簿;
(6)运维人员通信录。
2.维护要求:
(1)严格管理相关维护资料,建立文档管理体系;
(2)严格遵守公司相关保密制度,未经批准不得擅自向公司以外人员泄露相关资料;
(3)根据网络的变更及时更新资料内容。
第三章网络维护管理
第一节网络维护管理基本规定
第19条IP网网络维护管理必须遵循全程全网的原则,严格遵守IP网运行维护的基本任务和要求。
第20条IP网网络维护管理的基本要求
1.掌握IP网运行状况、网络资源和网络发展情况,合理调配网络和设备资源,保证IP网资源的合理利用和网络运行最优化。
2.制定IP网维护割接、网络优化方案,并组织实施。
3.对符合入网技术要求的新设备、新系统的正式使用,执行验收制度。
4.专人负责IP网网管系统的硬件、软件及相关设备的维护。
5.对于现用或备用的网管系统,不得擅自更改其配置、结构或拆除部件,保证网管设备和系统完好。
第二节网络维护管理要求
第21条IP网监控管理。
主要内容包括:
网络设备监控、中继电路状态监控、网络流量监控、网络性能监控、用户或业务电路状态监控及IP网网管系统及设备运行性能监控。
1.网络设备监控:
指对IP网骨干网设备、省网或城域网设备、接入设备的运行状况、性能的监控,统计分析网络设备对业务的承载能力。
2.中继电路状态监控:
指对IP网骨干网、省网或城域网中继电路的连通性监控,及时发现网络中继故障。
3.网络流量监控:
指对IP网骨干网与国内外运营商网间互联电路、IP网骨干网POP点间中继电路、IP网省网或城域网上联骨干网电路、IP网省网或城域网内节点间中继电路的流量监控,用以分析网络带宽资源的利用率、趋势、模型以及发现网络的异常流量。
4.网络性能的监控:
指对IP网骨干网与国内外运营商网间互联、IP网骨干网POP点间互联、IP网省网或城域网与IP网骨干网互联、IP网省网或城域网内重要设备间互联的网络时延、丢包率等网络性能的监控,用以统计、分析网络的性能及业务质量。
第22条IP网码号资源(包括IP地址和自治域号码)的维护管理作为IP网维护管理的重要内容,必须设置专人负责,做到以省公司为单位统一规划、合理使用,对IP地址的使用应及时记录、更新、备案。
具体管理要求参见公司相关管理规定。
第23条IP网资源统计分析。
应定期进行网络运行状况分析,周期性收集网络运行资料,并汇总、分析,并以此作为网络优化、扩容依据。
第24条IP网认证计费系统的维护管理
1.计费原始数据备份保留周期为半年。
2.计费软件若需修改,必须验证计费的准确性,并做好修改记录。
3.确保计费的准确率(包括计时、计次准确率和费率数据准确率)≥99.99%。
4.新增费率或修改费率必须有相关主管部门的正式通知(包括书面通知、电子工单)作为依据。
第25条IP网网管系统和DNS系统的维护管理:
1.网管原始数据在线保存一年,网管数据和DNS系统业务数据每月备份一次。
2.网管系统和DNS系统有关软件若需升级或修改,必须经过有关功能完整性、准确性和可靠性验证测试后才能实施,并做好相关记录。
第三节网络变更管理要求
第26条网络变更管理原则
1.由于网络优化、业务调整的需要而进行的网络变更,变更方案原则上应先保证网络的稳定运行,变更过程对各类业务的影响应控制在最小范围;
2.网络设备的软硬件版本升级和补丁修补,原则上应先进行实验点升级,经检测确认后再进行全网相关操作;
3.所有网络设备在运维过程中,升级、更换的软件或硬件应为厂家所发布的、稳定的正式产品,并经运维管理部门审批后方可实施;
4.在实施重大网络变更前,必须组织相关专家对技术方案的可行性、安全性进行论证,并经运维管理部门审批后,指定具有丰富维护经验的技术人员负责实施操作。
第27条配置模板变更管理:
1.在变更过程中涉及到设备系统及业务的配置改动时,应事先制定统一的变更操作配置模板,组织维护专家进行充分论证和测试,经运维管理部门审批后,方可应用于实际网络中;
2.各级维护部门应根据业务及网络设备的实际需要,对配置模板进行调整,并完善到相关操作手册中;
3.变更工作完成后应对相关文档进行更新保存。
第28条变更操作管理:
1.为避免人为操作失误,对重要网络设备的配置更改,应采用双人操作机制,严格按照操作手册执行。
在实施变更操作前,应先进行设备配置文件的备份,并实现异质或异地备份。
2.网络设备的运行配置文件和启动配置文件应保持一致。
3.网络变更应在业务闲时进行。
应严格遵照相关的割接升级流程执行,对网络设备的变更全过程进行严密的控制,使变更过程中可能带来的风险减小到最低限度。
4.为保证变更的顺利实施,变更前应制定包括时间、业务影响范围、影响用户清单、详细操作步骤的变更方案及应急回退方案。
5.总部运行维护部负责IP网骨干网的变更割接管理,各省级分公司负责IP网省网或城域网的变更割接管理;涉及影响到骨干网的变更割接,应提前十个工作日报总部运行维护部审批,经同意后,方可组织实施,并在完成后三个工作日内反馈结果。
6.变更实施单位应详细记录变更过程,变更完成后应尽快通知相关部门,及时更新相应维护资料,并在规定时间内向审批单位反馈变更结果。
第四节网络运行维护指标
第29条IP网网络及设备的主要运行维护技术指标见附录1。
第30条网络运行质量指标统计项目
1.网络/系统可用率;
2.设备CPU/内存利用率;
3.时延抖动
4.端口占用率;
5.中继电路利用率(峰值、平均);
6.中继电路可用率;
7.网络中继电路流量(流入、流出);
8.网络时延;
9.网络丢包率;
10.宽带认证平均响应时长;
11.忙时认证成功率;
12.重大故障的次数和历时。
第四章故障管理
第一节故障定义
第31条IP网故障是指由于IP网设备、主机系统等发生故障而导致影响业务正常使用或危及网络安全稳定运行的情况。
IP网故障按影响业务的严重程度分类如下:
1.特别重大故障:
(1)100万以上互联网用户无法访问互联网1小时以上;
(2)全网50%以上国际互联带宽阻断1小时以上;
(3)骨干网与国内运营商网间直连点1个以上互联方向全阻1小时以上;
(4)2个以上省网(或2个以上电信网络安全防护定级3.2级以上城域网)脱网或严
重拥塞(指链路时延>110ms或丢包率超过8%,下同)1小时以上;
(5)IP承载网2个省业务阻断1小时以上;
(6)党政军重要机关、与国计民生和社会安定直接有关的重要企事业单位及具有重大影响的会议、活动等相关通信阻断。
2.重大故障:
(1)10万以上互联网用户无法访问互联网1小时以上;
(2)造成某个全国级重要信息系统用户数据通信中断1小时以上;
(3)全网30%以上国际互联带宽阻断1小时以上;
(4)骨干网与国内运营商网间直连点1个互联方向网间直连(或某个交换中心)全阻1小时以上;
(5)1个以上省网(或1个以上电信网络安全防护定级3.1级以上城域网)脱网或严重拥塞1小时以上;
(6)IP承载网1个省或某省2个以上地市业务阻断1小时以上;
(7)互联网骨干网某一核心节点全阻1小时以上;
(8)专线接入业务500端口以上阻断1小时以上;
(9)省级域名系统或认证系统全阻1小时以上。
3.较大故障:
(1)省、直辖市或自治区网内5万以上互联网接入用户无法正常访问互联网1小时以上;
(2)造成某省级重要信息系统用户数据通信中断1小时以上;
(3)全网10%以上国际互联带宽阻断1小时以上;
(4)骨干网与交换中心互联全阻1小时以上;
(5)1个以上城域网(电信网络安全防护定级3.1级以下)脱网或严重拥塞1小时以上;
(6)IP承载网1个以上地市业务阻断1小时以上;
(7)互联网骨干网某一核心节点全阻30分钟以上。
(8)专线接入业务100端口以上阻断1小时以上。
(9)省级域名服务器或认证服务器或计费服务器中断30分钟以上。
(10)重要大客户中心节点业务全阻1小时以上。
4.一般故障:
(1)省、直辖市或自治区网内1-5万互联网接入用户无法正常访问互联网1小时以上;
(2)专线接入业务20端口以上阻断1小时以上;
(3)造成某地市级重要信息系统用户数据通信中断1小时以上;
(4)国际互联设备、电路阻断,但未造成上述严重后果;
(5)骨干网与国内运营商直连设备、电路阻断,但未造成上述严重后果;
(6)IP骨干网重要节点或链路阻断,但未造成上述严重后果;
(7)省级域名服务器或认证服务器或计费服务器中断。
5.其它故障:
除上述四类故障以外的IP网故障。
第二节故障处理
第32条故障处理职责:
1.总部运行维护部接受各省级分公司的故障申告,或通过网管系统发现故障,负责判断并牵头处理IP网骨干网络故障,排查IP网骨干网络全网路由、流量等原因引起的故障,协调IP网骨干网络中继电路故障的排查。
2.各省级分公司接受各地市分公司的故障申告,或通过网管系统发现故障,负责判断并牵头处理IP网省网或城域网故障,排查IP网省网或城域网全网路由、流量等原因引起的故障,协调省内IP网中继电路故障的排查。
3.对于IP网骨干网设备和电路故障,各省级分公司现场维护部门应按属地化管理原则,在总部运行维护部的统一指挥下,完成对辖区设备和电路故障的处理工作。
第33条故障处理的基本原则:
1.先抢通,后修复;先核心,后边缘;先本端,后对端;先网内,后网外。
当两个以上的故障同时发生时,对重大阻断、重要大客户故障等予以优先处理。
2.监测传输电路是否正常,原则上以IP层环测为依据。
第34条对于一条电路涉及两家运营商,若故障电路一端属于中国联通相关省公司,则必须认真负责处理解决故障;必要时可协助其他运营商或协调其他运营商,尽快处理有关故障。
第三节故障报告、统计和分析
第35条故障报告要求:
各级维护部门应及时处理故障,并按照公共分册中关于故障上报的规定及时上报。
1.对于特别重大故障及重大故障,应立即逐级上报,2小时内报至总部运行维护部和当地政府通信主管部门;
2.对于较大故障,应立即逐级上报,4小时内报至总部运行维护部和当地政府通信主管部门;
3.故障统计和分析:
(1)特别重大故障和重大故障处理结束恢复通信后相关运维管理部门应就故障现象、影响范围和时间、故障原因、解决处理情况等进行整理,形成正式的故障报告及时上报上级主管部门,直至总部运行维护部;
(2)较大故障处理结束恢复通信后,相关运维管理部门应将正式的故障报告及时上报至省公司运维管理部门;
(3)对于一般故障,应做好详细记录,每月进行分析汇总并上报至总部运行维护部和当地政府通信主管部门。
4.故障记录内容应包括故障现象、故障类型、故障起始时间、故障修复时间、故障历时、原因分析及解决情况、故障处理情况及责任分析等。
第五章IP网网络安全管理
第一节安全管理专人负责制
第36条IP网网络安全管理实行统一组织、分级管理、专人负责制。
在集团公司、省级分公司建立IP网网络安全小组,由专人负责所辖区域内IP网的安全管理及日常相关工作。
安全小组成员需在集团公司、省级分公司运维管理部门备案,当人员发生变动时,应及时通知上级运维管理部门。
第37条安全小组应定期查看有关部门或安全厂家安全站点的安全公告,跟踪和研究各种IP网安全漏洞和攻击手段,跟踪主机系统使用的操作系统、应用系统最新版本和安全补丁程序的发布情况,以便及时制定相应的对策,做好安全防护工作。
第二节网络设备和主机系统的安全管理
第38条重要网络设备应符合以下性能、安全要求:
1.设备可用率应达到或超过99.99%;原则上,设备的核心处理及交换模块、电源模块必须为1:
1主备模式;设备采用双/多路冗余供电方式;设备的线路卡要求N:
1备份;设备必须支持热插拔功能;设备在故障状态下可以实现一定程度上的故障自恢复,包括主备引擎的切换、不中断业务的转发等。
2.在新设备入网前,必须与现网网络设备进行严格的互通性测试,由新入网设备厂家提供测试报告及测试案例,确保新设备符合相关设备的技术要求。
3.重要网络设备必须采用经过厂家测试并正式发布的、性能稳定可靠的内核软件和操作系统软件版本,同一骨干网、省网、城域网的同型号设备所安装的内核软件、操作系统的版本原则上应统一,安装的补丁程序版本原则上应一致;所采用的硬件和软件产品本身应具备一定的安全功能。
第39条重要主机系统的安全要求。
重要主机系统包括网管服务器、认证计费服务器、邮件服务器、DNS服务器等,应满足以下性能、安全要求:
1.采用负载分担或冗余配置,避免因单台设备故障而影响业务运行;
2.应部署服务器病毒防护系统,减少病毒对系统和应用软件造成破坏的机会,保证服务器的可用性;
3.杜绝对系统的非授权访问;
4.执行严格的审计策略,以增强系统的安全性;
5.采用防火墙、IDS或在路由器配置ACL等方式,对服务器提供保护;
6.严格管理软件版本及其补丁,保证及时进行服务器软件补丁升级、修补漏洞;
7.DNS系统应配置递归查询IP源地址限制,只向本省用户提供递归查询服务;
8.DNS系统应监测每秒查询数,限制超过设定门限值的源IP地址的访问;
9.DNS服务器CPU峰值月平均利用率应小于80%;
10.认证/计费系统磁盘占用率应小于80%,应定期做好数据备份;
11.应制订DNS系统和认证/计费系统的应急预案。
第三节网络安全要求
第40条网络拓扑安全要求。
网络核心设备包括IP网骨干网、省网、城域网核心路由器,核心设备必须采用全网状结构连接,保证核心网络拓扑的安全性。
1.核心节点不少于2个,并保证同节点核心设备间直联。
直连核心的设备应通过双/多链路上联不同核心节点,防止单链路失效导致设备脱网。
2.双/多上联链路原则上从本设备的不同板卡引出,连接到不同的核心节点或同一核心节点的不同核心设备或同一核心设备的不同板卡。
3.链路可靠性要求
(1)IP网骨干网核心节点之间任何速率的业务中继电路超过2条(含2条)以上时,应开放在两条不同物理路由的系统;同省上联不同核心节点的中继电路,应开放在不同物理路由的传输系统上;同省上联同一核心节点超过2条(含2条)的中继电路,应开放在不同物理路由或不同的系统上,同时要求在不同路由上的数量要尽量均衡;。
(2)对级联级别达到2级或2级以上的二层汇聚,最上级的二层汇聚设备应实现双上联链路。
(3)实现多FE捆绑或单GE上联,原则上通过传输网提供上联中继,实现传输层面保护,尽量不采用光纤直驱的方式;采用光纤直驱方式时,应尽量选择不同出局光缆管道。
4.兼顾业务安全性和业务开展灵活性,建立完善的用户标识机制。
第41条路由协议安全要求
1.采用先进、成熟的路由协议(如OSPF,IS-IS,BGP等)。
2.路由设备间建立BGP邻居关系时,必须通过加密口令认证。
3.对于BGP网络,应设置独立的路由反射器(RR),保证路由控制数据与业务转发数据的分离;在BGP路由器上应采取措施对非法BGP路由进行过滤,防止路由震荡。
第42条业务接入安全要求
1.为了保证公众互联网(China169)骨干网路由稳定性及安全性,骨干网原则上不直接接入用户及业务电路;确需接入,不得使用二层协议(局域网)接入方式。
2.需接入到IP承载网的业务平台,原则上应连接在接入层的PE设备上;业务平台应通过CE设备与IP承载网PE设备互联,不得使用将IP承载网的PE设备当缺省网关的业务接入方式。
第43条在所有网络设备和主机设备配置统一的NTP服务器,保证全网设备时间的同步。
第44条必须关闭网络设备未使用的物理端口。
第45条定期拨测检查带外网管通道,保证其通畅性。
第四节日常维护的安全管理
第46条网络及设备的日常安全管理:
1.各级维护部门应严格执行维护作业计划,每月定期检查网络设备的安全策略配置,并填写和保留有关记录。
2.每月定期进行设备硬件、系统软件、应用软件、运行状态检查,及时发现设备运行中的安全隐患,并填写和保留有关记录。
3.每月定期检查安全日志(包括系统访问日志、配置更改日志等),及时发现非法访问和异常配置的安全隐患,并填写和保留有关记录。
第47条对网络安全检查中发现的问题,应根据问题的严重性及影响范围制订修补计划,必要时可以寻求专业安全技术厂商的支持并报上级运维管理部门审批,在安全小组成员的监督下,由安全技术厂商进行渗透性测试,以检查安全问题解决的效果。
第48条MIB安全管理:
1.设备MIB库的读/写字串必须设定为非缺省值,避免攻击者窃取其中的信息,威胁网络的安全;非必要情况下,不设置写权限。
2.必须通过设备的访问控制列表严格限制可读/写设备MIB库的主机,原则上禁止从网管网段外访问MIB库。
3.对于不同的网管系统,应设置独立的SNMP字串和访问控制列表。
第五节网络安全防护
第49条远程登录访问控制要求
1.确保在所有登录服务的位置设置口令防护,其中设备登录和认证的通信过程应加