移动通信传输网络安全课件.ppt

1、提升区县分公司传输网络维护技能培训提升区县分公司传输网络维护技能培训传输网络安全专题传输网络安全专题网管中心网管中心培训目标要求培训目标要求1 1 了解集团总部制定的传输网络安全模型结构2 熟悉网络结构六大类隐患定义3 熟悉重大隐患排除方法4 掌握传输隐患上报操作方法目录目录传输网安全体系模型介绍传输网安全体系模型介绍网络结构网络结构六大类隐患定义六大类隐患定义重要隐患排除方法重要隐患排除方法隐患上报流程隐患上报流程传输网安全体系模型介绍传输网安全体系模型介绍安全模型体系安全模型体系传输线路安全要求传输线路安全要求传输设备安全要求传输设备安全要求网络结构安全要求网络结构安全要求业务分配安全要求

2、业务分配安全要求传输网管安全要求传输网管安全要求安全模型安全模型体系体系传输网络是是由线路和设备组成庞大网络体系，为更好地阐述传输网安全体系要求，集团总部建立了传输全方位安全模型。该模型从传输线路、传输设备、网络结构、业务配置、传输网管五个维度出发，针对每个维度可能影响系统安全的要素进行分析，制定了具体安全要求和原则。传输全方位安全模型示意图线路安全要求线路安全要求线路安全光缆纤光缆纤芯质量芯质量管道安管道安全全杆路安杆路安全全影响传输线路安全的要素有三个，主要是：光缆纤芯质量、管理线路管道质量安全和架空杆路质量安全。传输设备安全要求传输设备安全要求传传输输设设备备安安全全要要求求接地接地保护

3、保护软件软件版本版本时钟时钟保护保护1、设备的保护地（PGND）应就近短接至保护接地铜排上；2、机柜前、后门和侧门下方接地端子应通过截面积不小于6mm2的连接电缆接到机柜结构体的接地端子上。对于汇聚层及以上设备，要求关键单板必须配置保护。关键单板包括：时钟板、交叉板、主控板、具备TPS的业务板等。传输设备必须正确配置时钟，配置外时钟的保护子网，要求环上配置主备两个外时钟；跟踪时钟根据两个方向配置时钟跟踪关系。在配置了主备保护单板时，同设备的主备保护单板（1+1、1:1、1：N）应保持软件版本一致。传输网络结构安全要求双节点双路由要求SDH设备组网要求XPON设备组网要求PTN设备组网要求网络结

4、构安全要求网络结构安全要求1、采用PTN 10GE/40GE组环（基于基于OTNOTN），环节点数3 35 5个，业务量大时组网状网网状网2、部署部署L3L3功能功能，实现基于IP地址的转发核心层核心层1、PTN 10GE组环，环节点数4646个2、采用L2 分组转发功能3、带宽利用率带宽利用率70%70%时时，扩容扩容PTNPTN系统系统4、业务量大时，业务量大时，下沉下沉OTNOTN汇聚层汇聚层1、GE/双GE组环，单环接入基站单环接入基站6868个个2、纤芯紧张城市适度超前纤芯紧张城市适度超前部署部署10GE10GE环环3、采用L2 分组转发功能4、采用GE光接口接入基站接入层接入层GE

5、接入环GE接入环GE接入环10GE汇聚环10GE汇聚环10GE核心环eNodeBeNodeBeNodeBeNodeBeNodeBeNodeBeNodeBS-GW/MME落地设备10GE10GES1X2汇聚/接入层沿用L2承载方式ETH PW跨核心机房S1/X2采用静态L3 VPNn SGW/MMESGW/MME部署在地市的无线回传组网场景，网络分层与部署在地市的无线回传组网场景，网络分层与2G/TD2G/TD一样，一样，保持城域网三层结构不变保持城域网三层结构不变n 区别在于：区别在于：LTELTE基站业务回传需支持基站业务回传需支持“点对多点点对多点”连接模式，连接模式，核心层需要核心层需要

6、L3L3层功能层功能n 各层网络组网要求如下：各层网络组网要求如下：业务电路分配安全要求大颗粒重要电路安全要求大颗粒重要电路安全要求局间重要电路安全要求局间重要电路安全要求基站及一般电路安全要求基站及一般电路安全要求传输核心设备与业务设备传输核心设备与业务设备对接安全要求对接安全要求业务电路分配安全要求业务电路分配安全要求网管安全要求网管安全要求双机热双机热备份要备份要求求网管要求具备热备份机制，从而保证网管的稳定性，防止网管宕机引起的网络脱管。备份数备份数据要求据要求网管周期性数据备份可以回溯，各种日志文件至少应能保存6个月的事件。DCN管管理网要理网要求求网管DCN要求单个子网域内网元数量

7、不超过128个，以防止因子网内网元数量过多而产生ECC风暴。ECC保护保护要求要求网元与网管通信应具备保护，在发生光缆中断等故障时，如果网元电路未中断，则网元的通信也不应中断。带外带外DCN要要求求网管DCN带外通道使用的电路应具备保护，要求电路在2条以上，且该电路按照重要电路安全要求对待。网元管理网元管理能力要求能力要求网管服务器管理网元应留有一定富余，要求网管服务器管理的网元数不超过其标称最大管理能力的80%。目录目录传输网安全体系模型介绍传输网安全体系模型介绍网络结构网络结构六大类隐患定义六大类隐患定义重要隐患排除方法重要隐患排除方法隐患上报流程隐患上报流程网络结构六大类隐患定义网络结构

8、六大类隐患定义1、超超大汇聚点大汇聚点定义定义：针对汇聚层传输设备，每个汇聚节点所挂设备超过80个视为超大汇聚点。GE接入环GE接入环GE接入环10GE汇聚环10GE汇聚环10GE核心环eNodeBeNodeBeNodeBeNodeBeNodeBeNodeBeNodeBS-GW/MME落地设备10GE10GES1X2每个汇聚节每个汇聚节点所下挂设点所下挂设备超过备超过100个视为超大个视为超大汇聚点汇聚点。图例：图例：超大汇聚点隐患案例超大汇聚点隐患案例红河建水红河建水10G机房机房红河建水红河建水10G机房下挂超过机房下挂超过100个传输节点个传输节点网络结构六大类隐患定义网络结构六大类隐患

9、定义2、汇聚层单归属汇聚层单归属定义定义：针对汇聚层网络，县区区域内汇聚环与上层网络至少2个点相连，汇聚环只上联至上层网络一个节点视为不满足汇聚层双归属，即汇聚层单归。图例：（左图单归属、右图双归属）单归属双归属汇聚环汇聚环核心环核心环核心环核心环汇聚环汇聚环16文山文山“汇聚双归核心层比汇聚双归核心层比”指标典型案例分析指标典型案例分析上图是文山本地网SDH网管部分截图。朱街-广南-富宁-西畴等节点组10G核心环，广南电信-董堡-空山-底基等节点组汇聚环，从图中可以看出：汇聚环是以从图中可以看出：汇聚环是以“广南电信广南电信2-广南电信广南电信10G”单节点上联核心环的。单节点上联核心环的。

10、从网管图上显示的结果来看，这种情况具有普遍性，与结构评估与结构评估“汇聚双归核心层比汇聚双归核心层比”指标值仅为指标值仅为2.2%相印证。相印证。一旦该“上联节点”出故障，将导致汇聚环及其所带接入层的几十个基站业务中断。表明文山传输网结构安全性非常差。汇聚环单节汇聚环单节点上联核心点上联核心环环汇聚环汇聚环核心环核心环网络结构六大类隐患定义网络结构六大类隐患定义网络结构六大类隐患定义网络结构六大类隐患定义3、长单链长单链判定内容判定标准链上网元数量2.5G以上1，622M3，155M5（不含室分），155M8（含室分）链上业务数量30E1 注1：对于2.5G扩展子架，采用了1+1线性保护设置的

11、，不属于长单链。注2：如果链形结构下挂在非接入网设备上（如骨干或汇聚设备），链上网元数量或业务数量达到长单链 标准，仍然视为长单链。SDH长单链判定标准：18文山文山“接入物理节点成环比接入物理节点成环比”指标典型案例分析指标典型案例分析上图是文山本地网SDH网管部分截图。接入层节点接入层节点“6027-砚山移动砚山移动”下挂下挂8条无保护链、共条无保护链、共30多个多个网元。网元。从网管图上显示的结果来看，这种情况具有普遍性，与结构评估与结构评估“接入物理节点成环比接入物理节点成环比”指指标值仅为标值仅为9.9%相印证。相印证。该节点一旦失效将导致大面积基站业务中断，表明文山传输网存在非常大

12、的安全隐患。该接入节点带该接入节点带八条单链，一八条单链，一旦故障将全部旦故障将全部失效失效30多个网元多个网元在八条无保在八条无保护链上护链上网络结构六大类隐患定义网络结构六大类隐患定义网络结构六大类隐患定义网络结构六大类隐患定义4、同路由（同缆）同路由（同缆）环环定义：定义：汇聚环、骨干环不同段落经过同一个路由（使用同一根光缆）或者汇聚节点出入局光缆单点入局，如出现单点故障可能导致同一站点多个方向光路断开，视为同路由（同缆）环。同一根光缆构成传输系统逻辑拓扑的一部分或全部图例：光缆单点入局，造成局部同缆环网络结构六大类隐患定义网络结构六大类隐患定义5、OLT单上联保护单上联保护定义：定义：

13、要求OLT两条链路通过不同的设备板卡和物理路由上行，并且跨机房链路至少有一条承载于传输设备，不满足上述要求成为OLT单上联。图例：OLT需通过不同需通过不同板卡上联至上层板卡上联至上层汇聚交换机汇聚交换机网络结构六大类隐患定义网络结构六大类隐患定义6、超大环超大环定义：定义：对于155M、622M接入环所带接入点数（只包括环上的接入点，不包括环带链的接入点）城区超过10个或郊区超过12个视为超大环。针对PTN核心层采用10GE组环，节点数超过4个；汇聚层采用10GE组环，节点数超过7个；接入层采用GE组环，节点超过10个视为超大环。图例：接入层超大环示例现网存在超大汇聚环网管截图目录目录传输网

14、安全体系模型介绍传输网安全体系模型介绍网络结构网络结构六大类隐患定义六大类隐患定义重要隐患排除方法重要隐患排除方法隐患上报流程隐患上报流程骨干路由核心节点重大隐患排除方法骨干路由核心节点重大隐患排除方法隐患描述隐患描述排除方法排除方法核心局房进出局同路由 新建第二光缆路由，构建物理上完全独立的两个光缆路由，避免单点故障导致核心节点脱网重大故障发生。核心局房局同局前井新建第二局前井，确保光缆线路进出核心局房的两个路由在物理空间上尽量分类较远距离，避免同一人井故障导致核心节点脱网重大故障发生。核心局房同竖井新建通信楼内的第二竖井，使光缆线路在通信楼内物理空间上尽量分离，避免同竖井故障导致核心节点脱

15、网重大故障发生。进出城同路由（州市、县级城市）新建州市、县级城市进出城第二光缆路由，避免同路由故障导致核心节点脱网重大故障发生。核心局核心局楼楼同路由进出城、同局前井进出局楼、同竖井进出机房核心局核心局楼楼分离路由进出城、两个以上局前井进出局楼、两个竖井进出机房隐患整治前隐患整治后长支链重大隐患排除方法长支链重大隐患排除方法方法方法1：链改环，链改环，新建迂回路由将新建迂回路由将长链成长链成环环方法方法2：同路由环回形成虚拟环同路由环回形成虚拟环1、对于无法建设迂回路由的长链，建议同路由环回形成虚拟环同路由环回形成虚拟环，防止单个节点失效（停电）影响所有下游节点业务。2、对于链路迂回路由超长（

16、超过10公里），或者安全性不高的接入节点，建议不纳入接入环。虚拟环虚拟环超大环重大隐患排除方法超大环重大隐患排除方法方法方法1：新建光缆路由拆分大环为两个小环：新建光缆路由拆分大环为两个小环方法方法2：同缆分纤拆环：同缆分纤拆环对于接入层过大过长环路，可选择环上距离较近且能将现有环路进行拆分的节点，新建直接光缆路由，拆分后环路包含节点数目应当大致相当，如下图所示。新建光缆路由较困难的情况下，可以采用同缆分纤拆环的方式进行拆分。超大汇聚点重大隐患排除方法超大汇聚点重大隐患排除方法方法方法1：接入节点升级为汇聚节点，拆分汇聚环，减轻汇聚点压力：接入节点升级为汇聚节点，拆分汇聚环，减轻汇聚点压力对于

17、接入层规模较大区域，通过合理选择汇聚机房，将条件合适的接入点升级为汇聚机房，对接入层按就近原则进行分割，通过拆分汇聚环增加汇聚环数量，达到减轻汇聚节点压力的目的。详见下图所示。2、选择合适的接入节点升级为汇聚节点汇聚环汇聚环1#汇聚环汇聚环2#3、增加两芯光纤组环1、超大汇聚点4、由接入节点升级为汇聚节点，实现两个汇聚节点分单业务同缆环重大隐患排除方法同缆环重大隐患排除方法方法方法1：梳理光缆路由资源，调整组网纤芯，消除传输系统同缆环：梳理光缆路由资源，调整组网纤芯，消除传输系统同缆环通过梳理光缆路由资源，掌握光缆的资源信息，如果有其他光缆路由可达的，应调整纤芯使用，消除传输系统同缆环组网隐患

18、。同一根光缆构成传输系统逻辑拓扑的一部分或全部光缆单点入局，造成局部同缆环方法方法2：新建光缆线路，消除传输系统同缆环：新建光缆线路，消除传输系统同缆环对应汇聚层以上的传输系统存在同缆环，且无不同路由的光缆资源可用时，应新建光缆路由，消除传输系统同缆环组网隐患。汇聚层单节点上联重大隐患排除方法汇聚层单节点上联重大隐患排除方法方法方法1进行汇聚节点双归核心层改造。2012年省公司网络部启动专项工作，对改造方案，实施流程有详尽描述，请参照执行。图例：（左图单归属、右图双归属）单归属（整治前）双归属（整治后）汇聚环汇聚环核心环核心环汇聚环汇聚环核心环核心环启动阶段下发关于启动传输县域汇聚层单节点安全

19、隐患整治的通 知（网通2011748号），启动安全改造。下发传输单节点改造指导意见，为安全改造提供依据。会审阶段已完成各地市城域传输网安全改造的设计会审。已完成安全改造的商务谈判，使具备施工条件。施工阶段形成省公司网络部-分公司的项目施工管理，管控质量进度。现正积极推进项目，关于尽快组织完成2012年传输网安全专项工程施工及业务改造事宜的通知网通2012308号验收阶段施工完成，严把验收关。达到双节点安全整治目的。为解决单节点失效问题，公司下发关于启动传输县域汇聚层单节点安全隐患整治的通知（网通2011748号），全省启动城域网双节点安全改造。项目当前进度（截止项目当前进度（截止1029）：）

20、：1、设备安装及业务割接站点：、设备安装及业务割接站点：全省共全省共194个，开工个，开工67个，完个，完工工7个。开工率为个。开工率为34%，完工，完工率率4%。2、建设光缆段：全省共、建设光缆段：全省共208段，开工段，开工133段，完工段，完工23段。段。开工率为开工率为64%，完工率，完工率11%。29汇聚层单节点上联重大隐患排除方法汇聚层单节点上联重大隐患排除方法设备重大隐患排除方法设备重大隐患排除方法隐患描述隐患描述排除方法排除方法设备级保护缺失1、电源、交叉、主控等重要板件应进行1+1保护配置；2、支路板应进行1：n配置TPS保护。3、主子架与扩展子架间应配置1+1线性复用段保护

21、。以上各种设备级保护应配置齐全，如有缺失应整治。软件版本不一致设备上配置的1+1或1：n保护的主备单板软件版本应保持一致；备件库配置的同类备件应与在网运行设备单板软件保持一致。通过定期软件升级方式解决。网管管理能力不够随着工程扩容不断增加网络设备数量，可能导致网管管理能力不够、网元脱管问题。通过更新升级网管硬件方式提升网管管理能力。网关网元ECC数量超限工程扩容后，可能使某些网关网元所管理的网元数量超过50个，导致网管速度慢、网元脱管等问题。通过网络优化专项工作，增加网关网元数量、重新分割ECC方案解决。单网管无备份网管对传输网络运维管理意义重大，单网管无备份可能导致不可预知的重大事故。排除隐

22、患方法：1、双机热备份改造；2、严格执行维护作业计划内容，定期将数据库备份到其他存储介质。单板备件缺失设备单板备件缺失、版本不一致，在网络发生故障时将会给网络带来重大风险。目前采取购买厂家备件服务策略，应定期检查厂家备件清单及备件库实物，督促厂家履行合同技术建议书规范内容，消除备件风险。目录目录传输网安全体系模型介绍传输网安全体系模型介绍网络结构网络结构六大类隐患定义六大类隐患定义重要隐患排除方法重要隐患排除方法隐患上报流程隐患上报流程32传输隐患管理工作目的及要求传输隐患管理工作目的及要求上报平台及时间上报平台及时间1、操作平台 NOP平台EOMS-隐患上报模块2、上报时间2012年10月起

23、，每月自然月结束前完成上报当月传输隐患。节假日不顺延，需提前完成。如月末31日为周末，则提前至30日完成上报填写要求填写要求填写及回复要求传输隐患工单的填写内容要完整、准确，不能有逻辑错误。审核环节需要分公司传输主管或组长进行把关，省公司接口人审核完毕后分公司按计划进行隐患解决，并及时回复隐患工单，以保证及时闭环。用户手册用户手册操作使用手册 如何传输隐患上报模块的使用指导，请参考使用手册。如有问题请联系以下联系人。传输传输隐患上报要求隐患上报要求消除网络隐患，减少网络故障，提高网络质量，提高客户感知，提升核心竞消除网络隐患，减少网络故障，提高网络质量，提高客户感知，提升核心竞争力争力传输隐患

24、管理目传输隐患管理目标标传输隐患传输隐患隐患工单上报流程隐患工单上报流程1、分公司隐患上报人上报隐患、分公司隐患上报人上报隐患2、分公司传输组长审核、分公司传输组长审核3、省公司接口人审核、省公司接口人审核4、解决隐患（是、解决隐患（是/否）：已解决至步骤否）：已解决至步骤5，未解决返回上报人解决后至步骤，未解决返回上报人解决后至步骤25、隐患上报人归档隐患、隐患上报人归档隐患隐患上报流程隐患上报流程传输隐患传输隐患-上报操作具体介绍上报操作具体介绍第一第一步：登陆步：登陆NOP账号账号第二步：选择第二步：选择EOMS系统系统NOP账号申请流程：县公司有需求人员向市公司发工作联系函，市公司审核后向省公司提出账号需求，由省公司统一创建nop账号。传输隐患传输隐患-上报上报操作具体介绍操作具体介绍-新增工单新增工单第三第三步：选择流程管理步：选择流程管理 第四步：选择传输隐患上报工单第四步：选择传输隐患上报工单问问 题题1、你、你公司传输网络存在多少六大公司传输网络存在多少六大类安全隐患类安全隐患？2、对、对你公司传输网络存在的安全你公司传输网络存在的安全隐患隐患，请，请提出解决方案。提出解决方案。谢 谢谢 谢