移动通信传输网络安全.ppt

提升区县分公司传输网络维护技能培训 传输网络安全专题 网管中心 培训目标要求 目录 传输网安全体系模型介绍 安全模型体系 传输网络是是由线路和设备组成庞大网络体系 为更好地阐述传输网安全体系要求 集团总部建立了传输全方位安全模型 该模型从传输线路 传输设备 网络结构 业务配置 传输网管五个维度出发 针对每个维度可能影响系统安全的要素进行分析 制定了具体安全要求和原则 传输全方位安全模型示意图 线路安全要求 影响传输线路安全的要素有三个 主要是 光缆纤芯质量 管理线路管道质量安全和架空杆路质量安全 传输设备安全要求 1 设备的保护地 PGND 应就近短接至保护接地铜排上 2 机柜前 后门和侧门下方接地端子应通过截面积不小于6mm2的连接电缆接到机柜结构体的接地端子上 对于汇聚层及以上设备 要求关键单板必须配置保护 关键单板包括 时钟板 交叉板 主控板 具备TPS的业务板等 传输设备必须正确配置时钟 配置外时钟的保护子网 要求环上配置主备两个外时钟 跟踪时钟根据两个方向配置时钟跟踪关系 在配置了主备保护单板时 同设备的主备保护单板 1 1 1 1 1 N 应保持软件版本一致 网络结构安全要求 1 采用PTN10GE 40GE组环 基于OTN 环节点数3 5个 业务量大时组网状网2 部署L3功能 实现基于IP地址的转发 核心层 1 PTN10GE组环 环节点数4 6个2 采用L2分组转发功能3 带宽利用率 70 时 扩容PTN系统4 业务量大时 下沉OTN 汇聚层 1 GE 双GE组环 单环接入基站6 8个2 纤芯紧张城市适度超前部署10GE环3 采用L2分组转发功能4 采用GE光接口接入基站 接入层 PTN承载LTE组网结构要求 SGW MME部署在地市的无线回传组网场景 网络分层与2G TD一样 保持城域网三层结构不变区别在于 LTE基站业务回传需支持 点对多点 连接模式 核心层需要L3层功能各层网络组网要求如下 业务电路分配安全要求 网管安全要求 目录 网络结构六大类隐患定义 1 超大汇聚点 定义 针对汇聚层传输设备 每个汇聚节点所挂设备超过80个视为超大汇聚点 每个汇聚节点所下挂设备超过100个视为超大汇聚点 图例 超大汇聚点隐患案例 红河建水10G机房 红河建水10G机房下挂超过100个传输节点 网络结构六大类隐患定义 2 汇聚层单归属 定义 针对汇聚层网络 县区区域内汇聚环与上层网络至少2个点相连 汇聚环只上联至上层网络一个节点视为不满足汇聚层双归属 即汇聚层单归 图例 左图单归属 右图双归属 单归属 双归属 汇聚环 核心环 核心环 汇聚环 16 文山 汇聚双归核心层比 指标典型案例分析 上图是文山本地网SDH网管部分截图 朱街 广南 富宁 西畴等节点组10G核心环 广南电信 董堡 空山 底基等节点组汇聚环 从图中可以看出 汇聚环是以 广南电信2 广南电信10G 单节点上联核心环的 从网管图上显示的结果来看 这种情况具有普遍性 与结构评估 汇聚双归核心层比 指标值仅为2 2 相印证 一旦该 上联节点 出故障 将导致汇聚环及其所带接入层的几十个基站业务中断 表明文山传输网结构安全性非常差 汇聚环单节点上联核心环 汇聚环 核心环 网络结构六大类隐患定义 网络结构六大类隐患定义 3 长单链 注1 对于2 5G扩展子架 采用了1 1线性保护设置的 不属于长单链 注2 如果链形结构下挂在非接入网设备上 如骨干或汇聚设备 链上网元数量或业务数量达到长单链标准 仍然视为长单链 SDH长单链判定标准 18 文山 接入物理节点成环比 指标典型案例分析 上图是文山本地网SDH网管部分截图 接入层节点 6027 砚山移动 下挂8条无保护链 共30多个网元 从网管图上显示的结果来看 这种情况具有普遍性 与结构评估 接入物理节点成环比 指标值仅为9 9 相印证 该节点一旦失效将导致大面积基站业务中断 表明文山传输网存在非常大的安全隐患 网络结构六大类隐患定义 网络结构六大类隐患定义 4 同路由 同缆 环 定义 汇聚环 骨干环不同段落经过同一个路由 使用同一根光缆 或者汇聚节点出入局光缆单点入局 如出现单点故障可能导致同一站点多个方向光路断开 视为同路由 同缆 环 图例 光缆单点入局 造成局部同缆环 网络结构六大类隐患定义 5 OLT单上联保护 定义 要求OLT两条链路通过不同的设备板卡和物理路由上行 并且跨机房链路至少有一条承载于传输设备 不满足上述要求成为OLT单上联 图例 OLT需通过不同板卡上联至上层汇聚交换机 网络结构六大类隐患定义 6 超大环 定义 对于155M 622M接入环所带接入点数 只包括环上的接入点 不包括环带链的接入点 城区超过10个或郊区超过12个视为超大环 针对PTN核心层采用10GE组环 节点数超过4个 汇聚层采用10GE组环 节点数超过7个 接入层采用GE组环 节点超过10个视为超大环 接入层超大环示例 现网存在超大汇聚环网管截图 目录 骨干路由核心节点重大隐患排除方法 同路由进出城 同局前井进出局楼 同竖井进出机房 核心局楼 分离路由进出城 两个以上局前井进出局楼 两个竖井进出机房 隐患整治前 隐患整治后 长支链重大隐患排除方法 方法1 链改环 新建迂回路由将长链成环 方法2 同路由环回形成虚拟环 1 对于无法建设迂回路由的长链 建议同路由环回形成虚拟环 防止单个节点失效 停电 影响所有下游节点业务 2 对于链路迂回路由超长 超过10公里 或者安全性不高的接入节点 建议不纳入接入环 虚拟环 超大环重大隐患排除方法 方法1 新建光缆路由拆分大环为两个小环 方法2 同缆分纤拆环 对于接入层过大过长环路 可选择环上距离较近且能将现有环路进行拆分的节点 新建直接光缆路由 拆分后环路包含节点数目应当大致相当 如下图所示 新建光缆路由较困难的情况下 可以采用同缆分纤拆环的方式进行拆分 超大汇聚点重大隐患排除方法 方法1 接入节点升级为汇聚节点 拆分汇聚环 减轻汇聚点压力 对于接入层规模较大区域 通过合理选择汇聚机房 将条件合适的接入点升级为汇聚机房 对接入层按就近原则进行分割 通过拆分汇聚环增加汇聚环数量 达到减轻汇聚节点压力的目的 详见下图所示 3 增加两芯光纤组环 1 超大汇聚点 4 由接入节点升级为汇聚节点 实现两个汇聚节点分单业务 同缆环重大隐患排除方法 方法1 梳理光缆路由资源 调整组网纤芯 消除传输系统同缆环 通过梳理光缆路由资源 掌握光缆的资源信息 如果有其他光缆路由可达的 应调整纤芯使用 消除传输系统同缆环组网隐患 光缆单点入局 造成局部同缆环 方法2 新建光缆线路 消除传输系统同缆环 对应汇聚层以上的传输系统存在同缆环 且无不同路由的光缆资源可用时 应新建光缆路由 消除传输系统同缆环组网隐患 汇聚层单节点上联重大隐患排除方法 方法1 进行汇聚节点双归核心层改造 2012年省公司网络部启动专项工作 对改造方案 实施流程有详尽描述 请参照执行 图例 左图单归属 右图双归属 单归属 整治前 双归属 整治后 汇聚环 核心环 汇聚环 核心环 为解决单节点失效问题 公司下发 关于启动传输县域汇聚层单节点安全隐患整治的通知 网通 2011 748号 全省启动城域网双节点安全改造 项目当前进度 截止1029 1 设备安装及业务割接站点 全省共194个 开工67个 完工7个 开工率为34 完工率4 2 建设光缆段 全省共208段 开工133段 完工23段 开工率为64 完工率11 29 汇聚层单节点上联重大隐患排除方法 设备重大隐患排除方法 目录 32 传输隐患管理工作目的及要求 传输隐患上报要求 消除网络隐患 减少网络故障 提高网络质量 提高客户感知 提升核心竞争力 传输隐患管理目标 传输隐患 隐患工单上报流程 4 1