IP承载网日常维护管理手册.doc

目 录一、组网2二、局数据设置规范2三 路由设置规范5四、站点方案相关内容6五、工程施工要求7六、文档要求8七、ip地址管理要求9八、管理制度要求9附录：地市简写13ip承载网日常维护管理手册本手册汇了ip专网日常维护相关的内容，包括组网、局数据设置原则、安全管理要求、局数据制作要求、文档管理要求、ip地址管理要求、工程实施检查要求等日常维护内容，为了便于维护人员查阅，也摘录了ip承载网维护管理规定里面的作业计划、故障处理流程、分工界面等方面内容。两个文档将同步更新。一、组网上图为ip承载网省延伸一期工程组网图，将承载2g软交换、3g cs核心网话音信令、3g ps域、2g gprs gn接口等核心业务。ip专网全网在一个自治域中，最大维护风险在于“省甚至某地市的维护人员的错误操作将会造成影响全国的故障”，因此局数据制作必须慎重、且严格流程规定。二、局数据设置规范1. 系统管理软件版本：保证全网统一。华为ne80e版本_；cisco 12416软件版本_；华为ne5000e软件版本_系统帐号密码设置按照“帐号密码管理”要求设置，密码的设置要求有足够的安全性，必须是字母、数字和特殊符号的结合。关闭ftp,tftp,http功能console接口必须设置登陆密码：密码设置成_。通过console口登陆设备时，首先输入此密码才能进入，然后使用分配给相关人员的帐号维护操作设备。2. 设备与端口设备命名规范：各地ar路由器命名规范参照下面命名，其中sxnet代表ip承载网，地市简写除济南外均为3个字母。sdjn-ba-sxnet-rt01-12416(济南ar1), sdlwu-ba-sxnet-rt01-ne80e(莱芜ar1), sdwef-ba-sxnet-rt02-cisco12416(潍坊ar2), sdhze-ba-sxnet-rt01- ne80e(菏泽ar1)端口的描述要求符合统一规范，要求格式为to对端互联设备逻辑名互联端口号，如：to-tjtj-bc-sxnet-rt01-ne40-ip-trunk0；后期新开通的链路还需要有端口数据配置的时间，如：to-tjtj-bc-sxnet-rt01-ne40-ip-trunk0-20060812ip承载网设备未使用的各种端口必须手工shutdown，以免误连接等操作带来隐患，同时便于自动巡检实施。ip承载网网络设备之间以及与ce之间的互联以太网端口需设置为强制100m/1000m全双工方式。pos端口在ip-trunk中协议封装为hdlc,未在ip-trunk中协议封装为ppp;上传输的pos端口必须配置pos告警敏感功能，同时注意同机房pos互连时时钟问题。华为ar与华为br之间互连使用pos trunk链路，2*155捆绑链路trunk链路敏感值暂设置为1（断1条链路，trunk断掉）cisco ar与华为br之间互连无法使用pos trunk链路，将通过三层路由协议实现多链路负载均衡。不同厂家pos链路互连设置要求(注意协议、c2、帧格式、加扰、crc参数)3. 网管配置1)syslog设置。打开缺省syslog功能，指向_2)snmp设置。打开snmp ro，设置密码(按规定)；打开snmp trap指向_。trap具体要求信息：基本信息，包括链路up/down信息等全面详细内容。要求删除系统默认的private/public口令3）检查更新源为loopback0，rw community暂时不需要，删除。hwping/rping部署：有待进一步研究。开启xflow功能，具体参数要求待定4. 网络安全配置ip专网通过防火墙统一出口与网管dcn相连(netscreen)，防火墙制作如下策略：1)允许厂家omc地址、数据网管访问ar/br设备loopback地址;2)允许堡垒主机地址访问ar/br设备loopback地址;3)允许公共设备12台维护终端地址访问ar/br设备loopback地址;4)禁止其它访问ip专网ar设置如下telnet登陆限制策略：1)允许堡垒主机地址登陆访问；2)允许br-ar互连地址段登陆访问；3)允许ar-ce互连地址段登陆访问；4)允许公共设备12台维护终端地址访问ar/br设备loopback地址;bgp、isis、mpls ldp均需启用md5认证pe-ce互连要求：1)ce(还是pe)做流速限制？（待定）2)pe-ce若用动态协议，需md5认证ar和br限制可接受snmp报文的地址范围：1)只允许网管地址段访问snmp端口。5. vpn规范命名规范：vrf容量限制与告警门限apply-label per-instance /一个vpn实例分发一个私网标签6. qos规范qos在diffserv dscp到mpls exp之间的转换对应关系(不同厂家设备可能不同)定义的dscp属于ip包头里面内容，我看在pos链路上也用了dscp标记，但是pos链路上已经是mpls了，这是否有些矛盾？具体内容待定7. 性能参数优化isis，vlan方面切换时延(链路、设备中断)等价路由逐包和逐流转发方式?trunk内各个链路均衡方式？8. 网管维护连接1)话务网管指定地址-网管dcn-防火墙-s3528g-tmg/ss网管端口2)访问集团n2000网管以及今后可能的cisco网管：指定网管dcn地址防火墙nat转换成40s3528gr2631eip专网网管vpn集团ip专网omc3)ip专网维护人员登陆ar设备：指定网管dcn地址网管dcn防火墙进行nat转换成27-236ar （网管dcn需要增加br/ar loopback路由）；若防火墙支持telnet客户端，可以首先登陆防火墙，然后登陆ar。gprs远程方式类型4)数据网管管理ar双向数据流向：防火墙将数据网管地址映射成37，（网管dcn需要增加br/ar loopback路由）5)厂家维护远程登陆问题：cisco集成商在山东没有人，具体如何方式，有待考虑。(初步考虑拨号方式)三 路由设置规范1. 总体原则ip承载网内部使用is-is,mbgp协议，接入业务系统时采用如下原则：1） 尽可能采用静态、ebgp协议；2） 否则，可以使用其它igp(rip,ospf)协议，但不应直接将其引入到vpn路由中，应该通过network使学到的igp路由在vpn路由中发布3） 给某个局点分配网段只用一部分或者需要拆开多个子网段使用时，为了减少路由条数，可以发布聚合路由(如增加一条指向null0的整个网段静态路由，发布此路由)。地址规划分配时也应该考虑到这点，避免地址分配过于分散。参照t局地址分配案例2. isis设备规范isis net 命名：包括区号86.0531.2211.3020.8082.00设置规划的igp metric，具体待定(路由metric规划表)发布路由要求3. mbgp设置规范rr地址：(按顺序)，具体待定指定发送bgp报文的源端口为loopback4. ar与ce之间流量规划问题(细节待定)根据前期各地故障经验看，ar与业务系统ce之间配合发生问题较多，具体路由应该仔细规划以具体规划设计应该尽早明确，以便实施时遵守。（为了减少路由收敛时间，最好两台ce与ar之间形成等值路由，这就要求话音地址段各分成两段，分别以ce1、ce2分别为主用？好像也不行，无法避免ce之间流量问题；信令地址段若采取sctp双归属，可以）要站在全网角度看主备、负荷分担问题（如ar-br链路是否等值）ce是否需要loopback地址ce发布给ar路由按照各厂家特性自己做，ar根据负荷分担或者主备方式来通过bgp network发布汇聚路由。（参考tmg海南节点连接方式经验，null0路由可能引起无法自动倒换问题）1)network发布汇聚路由，null0静态路由优先级要低于bgp;2)ospf学习ce发布汇聚路由,network发布汇聚路由，需要路由过虑；3)ospf发布汇聚路由，引入ospf到bgp四、站点方案相关内容软交换站点概念如下。注意合理配置端口stp模式。在工程中使用生成树协议时，要求将各台参与生成树计算的交换机之间的互联端口上启动生成树协议，在端口启动生成树协议后，该端口状态为非边缘模式，而交换机的其它端口（连接其它设备的端口或空闲端口）设置为边缘端口或将该端口的生成树协议关闭。合理配置偶联中断检测时间。偶联中断检测时间不应过短，应大于ip专网平均的路由收敛时间，防止r4软交换设备对ip承载网的路由收敛过于敏感。合理配置偶联中断检测时间可以利用sctp的重传和缓存机制降低呼损。合理配置通路切换时间。当sctp偶联主通路故障时，sctp偶联应能快速切换到备用通路，切换时间为rto.min的取值。为了实现sctp主备通路快速切换，rto.min应配置较小，但必须大于ip专网规划的双向时延100毫秒。合理配置sctp缓存大小。当ip承载网发生路由收敛（中断）时，sctp具有重传机制。因此要求合理配置msc server和mgw的sctp接收和发送缓存区的大小，避免缓存过早溢出。站点ce设备若直接与本地网管dcn相连（具体连接待定），在站点ce互连接口上制作如下策略：1)允许本厂家omc地址、数据网管地址访问ce；2)允许堡垒主机地址访问ce3)允许省网管地址访问ce以及站点内交换设备地址4)禁止其它地址访问ce以及站点内交换设备地址站点ce设置如下telnet登陆限制策略：1)允许堡垒主机地址登陆访问；2)允许ar-ce互连地址段登陆访问；五、工程施工要求各分公司应该按照相关要求对设备进行严格、细致的检查，尤其要加强对工程实施、文档资料的检查，为网络安全稳定打好基础，随工人员应该做好监督管理。必须按照山东移动数据机房规范要求进行施工，随工人员应该做好监督管理序号检 查 标 准设备安装机柜安装完毕后，机柜内整体要求牢固，垂直偏差度应不大于3mm，机柜、机架安装位置应符合设计要求。机柜要求通风良好。机柜安装完毕后，机柜内要求清洁，不能遗留杂物。设备表面要求干净整洁，外部漆饰完好，设备各种标志正确、清晰、齐全。路由器各空挡板及各空单板条要求安装完整。路由器各单板的面板螺钉要求松紧适度，弹簧钢丝要求完好，各种零件不得脱落或碰坏。路由器的走线挡板安装必须稳妥。将设备console线安装放置在机柜中，以备急用ip专网ar/br所有的光模块就配置了尾纤，从规范性考虑，155pos、ge尾纤都应该布放到odf架，对端设备接过来时直接连到odf即可ip专网arge短距光模块占04槽，长距离模块占59。短距离从前往后用，长距离从后往前用暂时闲置的光口必须要加有护套。供电要求机柜内交流电源接入应直接接入空气开关。集装架内严禁使用多功能电源插座。对于交流供电的设备，核实具备双路ups供电。具有主备关系(负荷分担)的直流供电设备(路由器、交换机),2台设备应该分别接在2个开关电源上（设备a接在开关电源1上，设备b接在开关电源2上）。线缆工艺要求电源线（及地线）要求必须与信号线分开布放，必须采用整段线料。地线的接地方式要求符合机房规定。设备连接线缆每根都要经过严格测试，切实达到设备所需要的通信质量。设备所有连接线缆，必须由机架两侧的走线槽引出，再与机架内设备进行连接，不能从其他地方穿行。线缆终接后，应有余量。交接间、设备间对绞电缆预留长度宜为0.51.0m，工作区为1030mm；光缆布放宜盘留，预留长度宜为35m，有特殊要求的应按设计要求预留长度。线缆的弯曲半径应符合规定：非屏蔽双绞线电缆的弯曲半径应至少为电缆外径的4倍； 屏蔽双绞线电缆的弯曲半径应至少为电缆外径的610倍； 主干双绞电缆的弯曲半径应至少为电缆外径的10倍； 光缆的弯曲半工半续径应至少为光缆外径的15倍。线缆的布放应自然平直，不得产生扭绞、打圈接头等现象，不应受外力的挤压和损伤。缆线两端应贴有标签，应标明编号，标签书写应清晰，端正和正确。在距离设备距线缆接头3-10厘米的范围之内粘贴线缆标签。（标签的格式按照标签标准检查）现有软交换设备信令侧的ip承载物理接口，都是传统的五类网线物理接口，属于便于插拨、便于工地制作的压力接触物理接口。但也很容易产生传输不良，而影响ip网络的qos。尤其是将来重要的网络信令都在几条it规范接头的网线上，是非常大的安全运行隐患。因此必须严格按照五类线制作工艺制作网线、接头。光纤在下走线的机房的地板下布放时需要有套管，在上走线的机房布放时需要有走线槽。线路测试要求测试路由器pos板卡接收光功率在其额定范围内(接受光功率范围应在低于过载点5db和高于灵敏度3db之间。ping不同长度包(64,1500,4500)，查看性能指标范围(时延15ms,抖动5ms)以太网双绞线认证测试，百兆以太网需用5类、超5类(ge接口推荐用光纤)线缆标签按照线缆标签规范执行将console线放置在设备上，以备急用。日常维护中也需注意检查console线情况。不用槽位用空板卡盖住ip承载网现网br层面已经运行并且承载业务，各地工程实施时，注意新增ar局数据(任何数据加载修改)必须报省公司审批，以免发生ip地址冲突、错误路由发布等影响现网运行情况，各分公司随工人员应该把好此关。六、文档要求各地应该保存的文档资料如下：1)网络拓扑图：ip专网全网网络结构拓扑图、ip专网省网网络结构拓扑图、本节点网络拓扑图、站点网络拓扑图。（纸质文档和电子版）2)ip地址资料：全网ip地址段范围规划表、ip专网省内地址规划表(互连地址、loopback地址)、ip专网ar-ce互连地址表、ip专网承载业务系统地址分配规划表、各软交换站点内部ip地址分配使用情况表3)设备与端口使用情况表：对已经使用的端口要标明端口本端的描述信息、对端目的地端口的描述信息、端口的ip地址、光纤端口需要连接的odf的端子位置。例子如下4)工程文档，包括机房中设备位置图纸、设备电源走线图、电源柜端子分配位置5)备品备件清单6)设备电源走线图、电源柜端子分配位置、ddf、备品备件清单七、ip地址管理要求因为ip专网全网在一个自治域中，不再按照地市分配ip地址。br-ar、ar-ce互连地址段、站点ce互连地址段、各站点ce地址段均由省公司统一规划分配。按照统一规划，给各个软交换站点都规划了ip地址段，需严格按照要求在分配范围内使用。vpn信息分配详表的检查。要求包括本节点开通的vpn信息、rt/rd分配详表。（提供电子版）八、管理制度要求1. 帐号密码管理按照名字命名的密码，严格对应密码到人，便于在省市公司、各专业人员同事登陆设备故障处理过程中进行有效的协调和处理。用户名密码设置原则：1)用户名采用使用工程师姓名+手机号码方式分配，如huangjie139531106692)严格按照维护人员来分配帐号，每个维护人员1个2)ip专网ar/br设备：公共设备维护人员分配系统管理帐号，公共设备监控人员分配监控查看级别帐号3) )ip专网ar/br设备：分公司维护人员分配本地ar查看级别帐号，分公司监控人员分配本地ar监控查看级别帐号3)站点ce设备：公共设备维护人员分配系统管理帐号；分公司维护人员分配1个系统管理帐号，其它维护人员分配操作查看级别帐号，分公司监控人员分配监控查看级别帐号4)厂家工程师割接或巡检时需要使用密码时，为操作工程师临时分配用户名采用厂家手机号码方式分配，需要使用配置级别的密码时，必须进行登记和管理。使用完成后，删除临时用户名密码5)密码的设置要求有足够的安全性，必须是字母、数字和特殊符号的结合。ip专网、站点ce设备帐号密码管理登记设备名称申请厂家申请人员申请原因2. 局数据制作要求与流程3. 作业计划ar、ce设备作业计划如下（）考虑ip专网的重要性，需要强调的是：1）严格按要求执行作