中国联通通信网络运行维护规程-固定网络设备分册-分组.doc

运行维护规程固定网络设备分册分组传送设备篇中国联合网络通信集团有限公司二零一三年七月目录第一章通则3第二章分组传送网网管系统维护3第一节一般规定3第二节网管设置与职责范围4第三节网管系统监控管理4第四节网管系统维护作业计划5第三章分组传送网设备维护5第一节一般规定5第二节分组传送网设备日常维护管理6第三节分组传送网设备维护作业计划6第四节分组传送网设备资源管理8第五节分组传送网设备时钟、时间管理8第四章安全管理8第一节安全管理责任制8第二节网络设备和主机系统的安全管理9第三节网络安全要求10第四节日常维护的安全管理11第五节网络安全防护11第五章故障管理12第一节故障等级划分12第二节故障上报与处理13第六章质量统计分析15第一章 通则第1条 本篇适用于中国联通所属分组传送网的各类分组传送设备、网管设备、通道和电路的运行维护工作要求。为本企业以外的单位代为维护的分组传送设备、网管设备、通道和电路，应结合本规程按代维协议的规定进行维护。第2条 分组传送网主要设备包括：基本分组传送设备、监控设备及配套设施。第3条 分组传送设备的调拨、停用、报废、拆除、转让等应严格按相应的管理权限执行，本地传送网设备应申报省公司批准。第4条 各类设备在工程初验合格后，开始执行本规程相关条款。第二章 分组传送网网管系统维护第一节 一般规定第5条 分组传送网网管系统分操作系统和应用系统两个层面，操作系统是分组传送网管系统的基础，为网管应用系统提供运行环境；应用系统运行在操作系统之上，为用户提供具体的网络管理手段。第6条 分组传送网网管应用系统设置四个管理等级，高级别的操作管理员可拥有低级别的功能和控制权限，分级如下：1. 系统管理员级：负责分组传送网网管系统的全面管理。进行网管数据备份和恢复，各级用户口令设置，增减、修改或删除用户及进行日志管理和安全管理。2. 业务配置员级：负责分组传送系统的业务开放工作。可进行告警等级的修改或设置，可进行交叉连接数据的修改等。3. 设备维护员级：负责通道和电路的维护。可进行激光器关闭、端口环回、告警设置、保护倒换操作等日常网络维护操作。4. 系统监视员级：负责监视系统告警，只有观察浏览网管和确认告警的权限。第7条 分组传送网网管操作系统设置两个管理等级，分级如下：1. 系统管理员级：负责网管操作系统的全面维护管理，负责操作系统用户的管理等。2. 系统维护员级：负责数据的日常备份，负责操作系统的基本维护（如正常情况下的系统重启、进程检查、数据导出、磁盘空间维护等）。第二节 网管设置与职责范围第8条 网管系统为一级网管系统，实现了设备、链路、故障、性能等全面管理。第9条 分组传送网网管系统应采用异地双机热备份方式，避免因单台设备故障而影响业务运行。第10条 应部署服务器病毒防护系统，减少病毒对系统和应用软件造成破坏的机会，保证服务器的可用性；第11条 做好网管系统分权、分域管理，杜绝对系统的非授权访问；第12条 各网管系统维护单位按照职责划分，进行网络运行监控、电路数据配置、网络恢复及保护设置、告警及性能的监控。第13条 网管系统设备要求专机专用，确保软、硬件正常运行。第14条 严格管理软件版本及其补丁，保证及时进行服务器软件补丁升级、修补漏洞；第15条 本地维护终端（LCT）作为网管系统辅助手段，可根据需要设置在现场维护部门。各现场维护部门负责管辖范围内网元的告警处理、性能劣化处理及日常维护。第三节 网管系统监控管理第16条 主要内容包括：网络设备监控、中继电路状态监控、网络流量监控、网络性能监控、用户或业务电路状态监控及网管系统及设备运行性能监控。1. 网络设备监控：指对分组传送网核心汇聚设备、接入设备的运行状况、性能（如设备温度、CPU负荷、内存利用率等）的监控，统计分析网络设备对业务的承载能力。2. 中继电路状态监控：指对分组传送网中继电路的连通性监控，及时发现网络中继故障。3. 网络流量监控：指对分组传送网上联业务平台电路或业务平台CE之间、分组传送网内节点间中继电路的流量监控、采集，用于分析网络带宽资源的利用率、趋势、模型以及发现网络的异常流量。4. 网络性能的监控：指对分组传送网内重要设备间互联的网络时延、丢包率等网络性能的监控、采集，用于统计、分析网络的性能及业务质量。第四节 网管系统维护作业计划第17条 分组传送网网管维护项目及周期：表1：传输网管维护项目及周期表维护项目维护周期备注网管数据备份日每天备份一次数据库，应保留最近5天或保留最新的5份配置。 磁盘空间检查月检查网管服务器是否存在磁盘利用率过高的故障隐患，当磁盘空间利用率不超过70%，超过及时清理、扩容，在未恢复前应每日检查CPU、内存性能检查日检查网管服务器是否存在CPU、内存过高的故障隐患网管设备清洁周系统日志检查月DCN通路质量月系统运行情况分析月路由器/交换机运行状态检查月网管系统时间同步季系统备份恢复测试年主备服务器倒换测试年系统应急预案演练年第三章 分组传送网设备维护第一节 一般规定第18条 为适应业务发展，分组传送网设备应具有下列功能：1. 灵活的业务调度、疏导功能；2. 具备一定的工作容量和保护容量，能快速完成网络的业务恢复；3. 具有良好的兼容性与稳定性，可快速、方便地进行网络扩容，并对原有的网络结构及业务不产生影响；4. 具有集成性，能降低设备运行维护成本，节约占地面积；5. 具有多种业务速率接口，向智能化方向发展。第19条 设备完好的主要标准为：1. 各类设备电气和传输性能应符合规定的技术指标要求。2. 硬件结构完整，设备清洁，应用软件齐全。3. 设备运行正常，使用良好。4. 技术资料齐全、完整，与实际相符。第二节 分组传送网设备日常维护管理第20条 分组传送网设备的维护包括日常维护、日常测试、重点整治、网络组巡。1. 日常维护：指定期对机房、设备、网管及配套设施进行的巡视巡检3、清洁、数据备份等日常操作。维护人员通过日常维护能够及时发现并解决问题，为网络稳定运行提供基本保障。2. 日常测试：指通过网管定期对汇聚层、核心层等重要设备接口流量、带宽利用率、直连链路的丢包率等进行周期性测试。维护人员通过日常测试能够及时了解网络运行情况，通过阶段性性能数据分析，及时发现网络隐患并解决，提高网络运行质量。3. 重点整治：指对网络存在的重大隐患（如大范围运行指标劣化等）进行专题解决，或对网络进行优化调整等操作。通过重点整治，可以解决重大网络隐患，保证网络运行质量。4. 网络组巡：针对网络存在的典型问题，组织相关部门人员检查现场网络运行情况，解决存在的问题，交流维护经验，提高维护质量。第三节 分组传送网设备维护作业计划第21条 分组传送网设备通用维护项目及周期：分类维护项目维护周期备注日常维护有人站机房设备运行状况巡视3次/日本地网视情况自行规定有人站机房设备表面清洁月无人站机房设备运行状况巡检月设备风扇检查和风扇过滤网定期清洁月机顶、走线架及配线架检查、清洁季告警功能检查年系统隐患整治按需重点整治网络优化调整按需机房环境整改按需基础管理情况按需网络组巡设备运行情况按需实际操作技能按需解决问题情况按需第22条 分组传送网日常维护作业计划：分类维护项目维护周期备注网络日常监测设备单板基础性能监控（温度等）告警设置越限告警设备CPU、内存监控告警设置越限告警（可以通过性能监控设置实例来完成，CPU超50%，内存超90%产生告警）全网设备光功率监控告警设置越限告警（可以通过性能监控来完成，产生告警）全网设备链路丢包率监控告警设置越限告警(网管服务器上实现告警发现)汇聚核心层设备光功率监控月定义光口光功率例行监控任务，定期采集光口光功率，并且定义光功率标称值（上下变化不超过3DB），超过门限上报告警；汇聚核心层设备链路丢包率监控月通过网管设备可以针对某个链路做测试，或可在网管服务器上创建性能监控任务，可以通过告警发现汇聚核心层设备端口链路流量监控（参考中国联通本地综合承载传送网与IP城域网技术体制）日可在网管服务器上创建性能监控任务，可以通过告警发现（链路无传送层保护情况下的利用率（峰值）不超过33.3%；在有传送层保护（如OTN或WDM层保护）情况下的利用率（峰值）不超过45%。非负载分担方式链路利用率不超过70%。接入层设备端口链路流量监控（参考中国联通本地综合承载传送网与IP城域网技术体制）月可在网管服务器上创建性能监控任务，可以通过告警发现（考虑保护带宽预占情况下的互联链路利用率不超过80%）。安全日志检查月建议采用日志服务器进行设备安全检查。倒换测试年可根据实际情况增加倒换测试次数第四节 分组传送网设备资源管理第23条 分组传送网资源（包括设备网元命名、IP地址和自治域号码等）的维护管理作为分组传送网维护管理的重要内容，必须设置专人负责，做到以省公司为单位统一规划、合理使用。对IP地址（设备Loopback地址、设备互联地址、管理IP等一系列地址）的使用应及时记录、更新、备案。具体管理要求参见公司相关管理规定。第24条 分组传送网网络资源统计分析：应定期进行网络运行状况分析，周期性收集网络运行资料（如网元类型数量、单板类型数量、设备端口占用情况、网络负载情况、IP地址分配状况等），并汇总、分析，并以此作为网络优化、扩容依据。第五节 分组传送网设备时钟、时间管理第25条 设备时钟的配置原则 核心汇聚设备的系统时钟向上采用1588V2同步或同步以太方式进行同步，向下通过同步以太方式传递时钟进行同步；第26条 设备的时间配置原则 设备的系统时间应通过NTP服务器进行同步，检查设备和NTP服务器同步的状态，要求状态正常，且系统时间正确；第27条 设备的时区配置原则 需要设置为东八区（GMT+08:00）第四章 安全管理第一节 安全管理责任制第28条 网络安全管理实行统一组织、分级管理、专人负责制。在分公司范围内建立网络安全小组，由专人负责所辖区域内分组传送网的安全管理及日常相关工作。安全小组成员需在分公司运维管理部门备案，当人员发生变动时，应及时进行备案变更。第29条 安全小组应定期查看有关部门或安全厂家安全站点的安全公告，跟踪和研究各种IP网安全漏洞和攻击手段，跟踪主机系统使用的操作系统、应用系统最新版本和安全补丁程序的发布情况，以便及时制定相应的对策，做好安全防护工作。第二节 网络设备和主机系统的安全管理第30条 核心层及汇聚层设备应符合以下性能、安全要求：1. 设备可用率应达到或超过99.999%；原则上，设备的核心处理及交换模块、电源模块必须为1：1 主备模式；设备采用双/多路冗余供电方式；设备的线路卡要求N：1 备份；设备必须支持热插拔功能；设备在故障状态下可以实现一定程度上的故障自恢复，包括主备引擎的切换、不中断业务的转发等。2. 在新设备入网前，必须与现网网络设备进行严格的互通性测试，由新入网设备厂家提供测试报告及测试案例，确保新设备符合相关设备的技术要求。3. 重要网络设备必须采用经过厂家测试并正式发布的、性能稳定可靠的内核软件和操作系统软件版本，省内同一厂家的同型号设备所安装的内核软件、操作系统的版本原则上应统一，安装的补丁程序版本原则上应一致；所采用的硬件和软件产品本身应具备一定的安全功能。影响业务的设备升级或补丁原则上一年不能超过2次。第31条 网管系统的安全要求：1. 采用异地冗余配置，避免因单台设备故障而影响整网网络监控；2. 应部署服务器病毒防护系统，减少病毒对系统和应用软件造成破坏的机会，保证服务器的可用性；3. 杜绝对系统的非授权访问；4. 执行严格的审计策略，以增强系统的安全性；5. 严格管理软件版本及其补丁，保证及时进行服务器软件补丁升级、修补漏洞；第32条 安全管理系统1. 应配置专门的安全管理系统（如AAA认证系统等），实现网络数据过滤、路由认证、异常流量识别和限制、异常报文的处理、安全监控等管理；2. 支持分权分域的用户认证，并可以记录、查询、导出用户操作日志，即用户登入登出的信息。3. 可以记录管理员的操作信息。第33条 报表服务器1应部署服务器病毒防护系统，减少病毒对系统和应用软件造成破坏的机会，保证服务器的可用性；2. 杜绝对系统的非授权访问；3. 执行严格的审计策略，以增强系统的安全性；4. 严格管理软件版本及其补丁，保证及时进行服务器软件补丁升级、修补漏洞；第三节 网络安全要求第34条 网络拓扑安全要求:1. 核心设备必须采用全网状结构连接，保证核心网络拓扑的安全性。2. 核心节点不少于2 个，并保证同节点核心设备间直联。3. 直连核心、汇聚的设备应通过双/多链路上联不同节点，防止单链路失效导致设备脱网。4. 双/多上联链路原则上从本设备的不同板卡引出，连接到不同的核心节点或同一核心节点的不同核心设备或同一核心设备的不同板卡。第35条 链路可靠性要求:1. 核心节点之间任何速率的中继电路超过2条（含2条）以上时，应开放在两条不同物理路由的系统；2. 汇聚层上联同一核心节点超过2条（含2条）的中继电路，应开放在不同物理路由或不同的系统上，同时要求在不同路由上的数量要尽量均衡。3. 汇聚设备应实现双上联链路。第36条 路由协议安全要求1. 在满足网络安全要求下，采用先进、成熟的路由协议（如OSPF，IS-IS，BGP等）及加密方式和密钥。2. 对于BGP网络，应设置路由反射器（RR），保证路由控制数据与业务转发数据的分离；在BGP路由器上应采取措施对非法BGP路由进行过滤，防止路由震荡。第37条 业务接入安全要求1. 业务不应直接接入到汇聚层及以上PE设备。2. 大客户自有设备原则上采用UNI接口对接,不启用动态路由协议。第38条 应严格限制其与其他网络的互联，避免因网络互联开放引起外部网络攻击。第39条 必须关闭全网设备中未使用的物理端口。第四节 日常维护的安全管理第40条 网络及设备的日常安全管理：1. 各级维护部门应严格执行维护作业计划，每月定期检查网络设备的安全策略配置，并填写和保留有关记录。2. 每月定期进行设备硬件、系统软件、应用软件、运行状态检查，及时发现设备运行中的安全隐患，并填写和保留有关记录。3. 每月定期检查安全日志(包括系统访问日志、配置更改日志等)，及时发现非法访问和异常配置的安全隐患，并填写和保留有关记录。第41条 对网络安全检查中发现的问题，应根据问题的严重性及影响范围制订修补计划，必要时可以寻求专业安全技术厂商的支持并报上级运维管理部门审批。第42条 MIB安全管理：1. 设备MIB库的读写字串必须设定为非缺省值，避免攻击者窃取其中的信息，威胁网络的安全；非必要情况下，不设置写权限。2. 必须通过设备的访问控制列表严格限制可读/写设备MIB 库的主机, 原则上禁止从网管网段外访问MIB库。3. 对于不同的网管系统，应设置独立的SNMP字串和访问控制列表。第五节 网络安全防护第43条 远程登录访问控制要求1. 确保在所有登录服务的位置设置口令防护，其中设备登录和认证的通信过程应加密，确保AUX和Console接口设置认证口令。2. 严格限定特定的IP地址远程登录网络设备或主机设备。3. 对设备的远程登录会话最大无响应连接断开时间应设置为不大于10分钟。第44条 原则上不允许直接登录网元对设备进行操作。网管应设置本地登录告警，并定期检查确认日志中的登录事件。对于放置在客户机房的分组传送网设备原则上应禁止CON口登录功能。第45条 应有专人进行网管账号管理，禁止对其他人员开放系统管理员权限。账号密码应每90天变更一次。第46条 应针对分组传送设备配置AAA功能，采用集中认证系统进行认证并记录设备访问和操作日志。第47条 遵循最小化服务原则，关闭分组传送设备及相关的以太网交换机、服务器上不需要的所有服务，避免增加网络的安全风险。发现安全漏洞时，应采取必要的防护措施，并及时升级软件版本或安装补丁。第48条 流量监控要求进行网络流量监控，按月定期采集、分析网络流量数据，了解网络流量的主要组成成份，形成网络流量的一般模型，掌握流量随时间变化的规律，及时发现异常流量。第49条 每年至少一次对重要网络设备进行安全审计和评估，形成评估报告，对评估报告中发现的安全隐患，应采取措施予以消除。同时做好相关资料的存档。第五章 故障管理第一节 故障等级划分第50条 分组传送网故障是指由于分组传送网络设备/系统发生故障而导致影响业务正常使用或造成网络运行不稳定的情况。分为特别重大故障、重大故障、较大故障、一般故障、其它故障。1. 特别重大故障：1) 由于网络故障，造成其承载的本地网及以上范围的用户无法正常使用业务，业务故障历时超过1小时；2) 移动电话通信中断影响超过50万户，且持续超过1小时；3) 造成省级以上党政军重要机关、与国计民生和社会安定直接有关的重要企事业单位相关通信阻断；2. 重大故障：1) 由于网络故障，造成其承载的本地网及以上范围的用户无法正常使用业务，业务故障历时超过20分钟； 2) 移动电话通信中断影响超过10万户，且持续超过1小时；3) 造成地市级以上党政军重要机关、与国计民生和社会安定直接有关的重要企事业单位相关通信阻断；4) 具有重大影响的会议、活动期间相关通信中断。3. 较大故障：1) 移动电话通信中断影响超过3万户，且持续超过20分钟；2) 造成地市级以下党政军重要机关、与国计民生和社会安定直接有关的重要企事业单位相关通信阻断。3) 重保用户重保期间等相关通信中断4. 一般故障：移动电话通信中断影响超过1万户5. 其他故障：特别重大故障、重大故障、较大故障及一般故障以外的故障。第51条 各省分公司可以在满足上述要求的基础上，依据业务实际情况适当补充本地网故障等级划分；第二节 故障上报与处理 第52条 在发生特别重大故障、重大故障、较大故障及下述所列的各种情况下，应立即逐级上报。1. 台风、暴雨、洪水、火灾等灾害引发的相关通信故障；2. 人为破坏对网络造成的冲击，不法组织进行的通信干扰；3. 维护人员操作不当造成的网络严重不畅或局部瘫痪事件。第53条 故障处理原则：1. 先抢通业务后处理故障 根据网管告警信息、设备告警指示或用户申告，初步判断故障性质、段落，确定故障点，如不能迅速恢复通信，应根据电路调度原则和应急调度方案抢通业务。2. 在出现业务故障后，应该立即通报相关业务部门。3. 处理故障时，一般应不影响正在使用的用户或任意扩大影响范围，即在处理低速率电路故障时，不应影响和中断高速率电路。处理支路故障时，不应影响和中断线路传输系统。必须严格按照生产厂家提供的故障诊断手册、命令手册等规定的命令和操作方法处理。 4. 处理重大故障时，首先应按已批准的应急措施和方法尽快恢复通信，不可因查找原因而延长故障历时。 5. 对于临时调通的电路，应详细记录临时路由调整情况，并在故障修复后根据网络情况及时恢复。业务恢复申请应在故障修复后24小时内提出；6. 详细记录故障现象、性质、段落、时间、影响范围、处理过程、结果、处理人等信息。处理完毕，应向申告方反馈结果。第54条 业务抢通原则： 当发生特别重大故障或重大故障时，应先抢通重要业务，后抢通一般业务。第55条 故障处理时限：1. 影响业务的故障：按照承载业务要求的恢复时限进行处理；2. 未影响业务的故障：汇聚及核心层故障修复时限24小时， 接入层故障修复时限72小时。第56条 故障历时：1. 故障历时是指从故障发生时起，到故障恢复时止的总时长（以分钟为单位）。 2. 在核对电路故障历时，传输系统、通道及电路故障历时的统计以网管设备记录为主要依据，用户申告和其它专业机房的测试记录作为参考 。第57条 应急处理流程及预案：1. 各级维护部门应制订本维护部门的紧急故障处理流程，维护人员应熟悉操作处理方法并严格按照流程操作；2. 各级维护部门应提前备有完善、可靠的传输系统应急抢修预案，应保证倒换系统或备用系统正常工作；3. 当发生重大通信故障或光纤阻断时，各维护单位应根据应急预案和应急调度原则及流程进行电路抢通和业务恢复；4. 各级传输维护人员应积极配合，服从上级指挥调度。5. 各级维护部门应在重大节假日、汛期、两会等重保之前修订补充应急预案。第58条 故障统计和分析1. 定期（月度、季度、年度）进行故障分析，找出产生故障和异常现象的原因，并提出采取预防质量下降或改善运行质量的相应解决措施。2. 定期（月度、季度、年度）汇总故障统计报表，上报运维管理部门。3. 针对反复发生的故障，应提出相关的整改方案和实施计划。4. 故障统计应与故障运维考核指标相挂钩。第59条 故障总结分析：故障处理结束后，应认真分析故障原因、总结经验教训。特别重大故障、重大故障及较大故障应按照公共分册中关于故障上报的规定及时上报，并提交简要书面报告，处理完毕后做出专题故障报告，主要包括故障现象、故障类型、故障起始时间、业务抢通时间、故障修复时间、处理过程、原因分析、解决措施及责任分析，故障分析报告应及时报上级维护管理部门，并存档；一般故障应定期总结分析并报上级维护部门。第六章 质量统计分析第60条 分组传送网质量统计的主要项目包括可靠性指标和性能指标，可靠性指标包括设备的板卡故障率、设备故障历时等，性能指标包括网管维护指标、网络系统及设备性能维护指标、业务维护指标。第61条 各级维护管理部门每月定期