省中心BOSS系统集成建设方案.doc

甲级设计证书编号 1900041 XX 省移动通信有限责任公司业务运营支撑系统 BOSS 省中心系统集成建设方案 XX 省电信规划设计院 Guangdong Planning and Designing Institute of Telecommunications 2002 年 9 月 XX 省移动通信有限责任公司业务运营支撑系统 BOSS 省中心系统集成建设方案 设计编号 建设单位 XX 省移动通信有限责任公司 设计单位 XX 省电信规划设计院 XX 省电信规划设计院 Guangdong Planning and Designing Institute of Telecommunications 2002 年 9 月 XX 省移动通信有限责任公司业务运营支撑系统 BOSS 省中心系统集成建设方案 院 长 陈运动 院审定人 郑建飞 设计室负责人 姚招平 报告审核人 高建江 报告编制人 刘清宇 左骅 蒋思军 冯福锋 许超 殷致云 XX 省移动通信有限责任公司业务运营支撑系统 BOSS 省中心系统集成建设方案 批 准 三 审 二 审 一 审 报告编制人 8 8 广广东东省省电电信信规规划划设设计计院院 联联系系电电话话 0 02 20 0 3 38 86 63 38 87 77 72 2 3 38 86 63 38 87 78 88 8 F FA AX X 设设计计文文件件分分发发表表 广广东东移移动动通通信信责责任任有有限限公公司司 发发送送单单位位全全套套文文件件 1 1 合合计计9 9 备备 注注 地地址址 广广州州五五羊羊新新城城寺寺右右新新马马路路 174号号立立信信大大厦厦 联联系系人人 林林方方 电电话话 1 13 39 90 02 22 22 20 02 20 05 5 e e m ma ai il l l lq qy y g gp pd di i c co om m c cn n 设设计计负负责责人人 刘刘清清宇宇 广广东东移移动动设设计计文文件件由由省省移移动动计计费费中中心心负负责责分分发发 广东省电信规划设计院I 目录 一 系统集成方案 一 背景分析 1 1 1BOSS 系统总体结构 1 二 系统集成原则 1 三 方案设计依据 2 四 系统集成方案文档的组织和版本控制 2 4 1文件命名原则和发布原则 2 4 2版本号说明 4 4 3版本历史 4 4 4发布的文件列表 4 五 网络部分系统集成方案 9 5 1网络整体方案 9 5 1 1BOSS 省中心网络结构描述 9 5 1 2设备命名 10 5 1 3IP 地址划分 12 5 1 4核心网络 VLAN 划分 12 5 1 5路由机制 13 5 1 6网络时钟同步 14 5 1 7网络安全 15 5 2配置实施方案 16 5 2 1核心层交换机 CISCO Catalyst 6509 16 5 2 2接入层路由器 CISCO 7507 17 5 2 3防火墙 18 六 各个子系统集成方案 19 6 1主机系统的系统集成 19 6 2数据库服务器 19 6 2 1数据库服务器系统集成目标 20 6 2 2数据库服务器系统高可用性集成方案 20 6 2 3数据库系统数据规划 27 6 2 4数据库服务器安装实施方案 29 6 2 5数据库系统的优化 29 6 3中间件服务 30 6 3 1中间件服务集成目标 30 6 3 2中间件服务集成方案 30 6 3 3中间件服务集成方法 34 6 3 4主数据库和清单数据库对 CICS 的重启认证 34 广东省电信规划设计院II 6 4数据库服务器存储设备 35 6 4 1数据库服务器存储设备集成目标 35 6 4 2数据库服务器存储设备集成方案 35 6 4 3SSA 磁盘阵列安装实施方案 37 6 5认证系统 37 6 5 1Safeword 认证原理 37 6 5 2移动 BOSS 系统安全需求 38 6 5 3解决方案 38 6 5 4认证软件的安装及操作及认证过程 39 6 5 5SafeWord 认证服务器拥塞故障处理 40 6 5 6认证系统安装实施方案 41 6 6清单服务 41 6 7统计分析 41 6 8接口服务 43 6 8 1接口服务器的位置 43 6 8 2接口服务器的设置 43 6 9网管与系统维护系统 43 6 9 1网络管理 44 6 9 2数据库管理 44 6 9 3CISCO 网络设备配置及管理 45 6 9 4SSA 存储设备管理 45 6 9 5拨号接入服务器管理 45 6 10备份系统 46 6 11新业务测试系统 46 6 12影像系统 47 6 13自助服务系统 48 七 系统集成的实施 49 7 1系统集成软件部署 50 八 系统测试及验收 50 九 运行及维护 51 二 图纸 1 GMCC 分公司 BOSS 系统区域中心网络物理连接示意图S JWL 1 2 BOSS 系统市中心路由示意图S JWL 2 3 营业厅接入基于端口的配置的静态路由方案S JWL 3 4 营业厅接入基于对端 IP 的配置的静态路由方案S JWL 4 5 营业厅接入 OSPF 动态路由方案S JWL 5 6 BOSS 系统安全策略S JWL 6 7 VLAN 与 IP 地址分配示意图S JWL 7 广东省电信规划设计院III 8 BOSS 系统 CISCO 6509 VLAN 路由S JWL 8 9 BOSS 中心网络设备互联 IP 地址分配示意图S JWL 9 10 CISCO 6509 端口示意图S JWL 10 11 CISCO 6509 1 端口连接及 IP 地址分配示意图S JWL 11 12 CISCO 6509 2 端口连接及 IP 地址分配示意图S JWL 12 13 网络设备网管 IP 地址分配示意图S JWL 13 14 营业厅 IP 地址分配示意图S JWL 14 15 设备 IP 地址分配表S JWL 15 16 GMCC BOSS HLR 系统连接示意图S JWL 16 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院1 一 背景分析 1 1 BOSS 系统总体结构 BOSS 系统将在广州建立省中心节点 在 12 个市公司建立区域中心节点 省中心为整个 BOSS 系统的业务和管理的核心 集中统一完成全省计费 结算功 能 集中建设数据仓库系统 管理全省号码 SIM 卡号等共享资源的分配 并 监控 BOSS 系统各个区域中心节点的运行情况 BOSS 系统区域中心节点主要处理营销和帐务相关等 OLTP 事务 根据功能 进一部分为营销 帐务主系统 清单查询系统 统计分析系统 数据备份系统 认证系统 网管及维护系统 接口服务系统和新业务测试系统等子系统 二 系统集成原则 安全性 系统集成应根据信息系统的安全体系结构的要求 保障系统的安全 防止 各种攻击行为 保证数据和信息的安全 可靠性 系统集成的设计需保证使用成熟的尽量商品化的技术 产品 以及公开开 放的协议 保证所使用的技术是经过实践考验过 技术先进的 鲁棒性 可靠性保证系统不容易发生故障 鲁棒性就是保证即使在系统的核心部分 发生单点故障 偏离正常工作轨道时 系统也能够立刻发现故障 尽可能做到 在不需要人工干预的条件下 绕过故障点 在短时间内自动恢复业务运行 将 因系统故障导致的损失减少到最低点 系统集成应考虑核心设备各种单点故障 发生情况下 系统如何自动容错 可维护性 系统集成应考虑如何监控系统的运行状态 在发现问题的时候 能够作出 一些简单 合适操作 保证整个系统长期 稳定的维护 系统集成应考虑达到电信级要求 充分发挥设备潜力 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院2 三 方案设计依据 本设计依据如下 中国移动业务运营支撑系统技术规范 讨论稿 V1 0 BOSS 系统业务规范 讨论稿 XX 省移动通信有限责任公司业务运营支撑系统 BOSS 设备安装单项工程 施工图设计 XX 移动通信有限责任公司省计费中心和市公司提供的业务资料 IBM 厂商提供的设备资料 CISCO 公司提供的设备资料 其它软件厂商提供的资料 四 系统集成方案文档的组织和版本控制 4 1 文件命名原则和发布原则 系统集成方案以文档的形式出版 文件名称原则如下 文档编号 文档名称 地名编号 版本号 DOC 或 XLS 或 PDF 文档通过 ZIP 文件打包后发布 文档编号由分类编号和分类内档案号组成 给定了区域 节点名称 区域中心名称 后 文档编号能够唯一标识区域内的文档 ZIP 文件的文件名的规范为 中文地名 文档编号 edit 版本号 年月日 zip 表示可编辑的版本 中文地名 文档编号 pdf 版本号 年月日 zip 表示不 可编辑的 pdf 版本 每个版本的都发布可编辑文本和不可编辑的 pdf 版本 ZIP 文档的 年月日 为发布当天的日期 分类编号编制如下表 其中 zip 文档的文件名的文档编号可以采用备注列 的编号 文档编号 备注 项目管理文档 AA 网络 NNET IBM 设备 IIBM 网管 MMANAGEMENT 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院3 其他 XX FILES 公共文档 PP 分类内档案号的编制规则如下 分类内档案号由 2 3 为数字表示 其尾 数的含义如下表所示 除去尾数部分为编排的序列号 档案号尾数表示的文档部分 1 安装配置指南 2 安装记录 3 测试记录 3 其他文档 地名编号列表如下 序号市公司地名编号 1 广州 GZ 2 韶关 SG 3 清远 QY 4 肇庆 ZQ 5 云浮 YF 6 深圳 SZ 7 佛山 FS 8 顺德 SD 9 中山 ZS 10 珠海 ZH 11 东莞 DG 12 惠州 HZ 13 梅州 MZ 14 河源 HY 15 汕头 ST 16 汕尾 SW 17 潮州 CZ 18 揭阳 JY 19 江门 JM 20 湛江 ZJ 21 阳江 YJ 22 茂名 MM 23 省中心 SZX 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院4 4 2版本号说明 本文档的内容可能由于项目的持续工作而发生更改 每次更改 文档的发 布日期和递进版本号都将明显的被更改 版本号的递进遵循以下原则 版本 x y z z 当文档中仅加入了纯粹编辑的更改时 第三位数字发生增长 初始数 字为 0 Y 当其它类型的更改发生时 如技术改良 更正 更新等 第二位数字 发生增长 初始数字为 0 X 当文档确定为一个阶段性文档时 第一位数字发生增长 初始数字为 1 4 3 版本历史 版本发布日期描述作者 0 1 02002 10 8 包括总体方案刘清宇 等人 4 4发布的文件列表 发布的文档列表如下 文档编号文档名称地名 编号 版本 号 文档名称备注 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院5 分 类 编 号 分类 内档 案号 集成内容文档部分 项目管理 A11 系统集成 项目管理 A11 系统集成项目管理 V2 2 0 Z 总体方案 Z11 系统集成 总体方案 V2 2 0 Z11 系统集成总体方案 V2 2 0 Z12 网络设计 图纸 SZX V2 2 0 Z12 网络设计图纸 SZX V2 2 0 P 公共文档 P11 区域节点 系统集成 软件安装 部署 V2 2 0 P11 区域节点系统集成软件 安装部署 V2 2 0 P 21 数据库服 务器 包 括清单服 务器 重 启 CICS 安 全认证方 案 V2 2 0 111 数据库服务器 包括清 单服务器 重启 CICS 安全 认证方案 SZX V2 2 0 I IBM 设备 I11SSA 安装配置指 南 SZX V2 2 0 I11SSA 安装配置指南 SZX V2 2 0 I12SSA 安装记录 SZX V2 2 0 I12SSA 安装记录 SZX V2 2 0 I13SSA 测试记录 SZX V2 2 0 I13SSA 测试记录 SZX V2 2 0 I21 主机系统 备份方法 安装配置指 南 SZX V2 2 0 I21 主机系统备份方法安装 配置指南 SZX V2 2 0 I22 SZX I22SZX 无 I23 主机系统 备份方法 测试记录 SZX V2 2 0 I23 主机系统备份方法测试 记录 SZX V2 2 0 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院6 I31 INFORMIX 主数据库 安装配置指 南 SZX V2 2 0 I31INFORMIX 主数据库安装 配置指南 SZX V2 2 0 I32 INFORMIX 主数据库 安装记录 SZX V2 2 0 I32INFORMIX 主数据库安装 记录 SZX V2 2 0 I33 INFORMIX 主数据库 测试记录 SZX V2 2 0 I33INFORMIX 主数据库测试 记录 SZX V2 2 0 I34 INFORMIX 主数据库 参数配置建 议 SZX V2 2 0 I34INFORMIX 主数据库参数 配置建议 SZX V2 2 0 I41 INFORMIX 清单数据 库 安装配置指 南 SZX V2 2 0 I41INFORMIX 清单数据库安 装配置指南 SZX V2 2 0 I42 INFORMIX 清单数据 库 安装记录 SZX V2 2 0 I42INFORMIX 清单数据库安 装记录 SZX V2 2 0 无 I43 INFORMIX 清单数据 库 测试记录 SZX V2 2 0 I43INFORMIX 清单数据库测 试记录 SZX V2 2 0 无 I44 INFORMIX 清单数据 库 备份策略 SZX V2 2 0 I44INFORMIX 清单数据库备 份策略 SZX V2 2 0 I61HACMP 安装配置指 南 SZX V2 2 0 I61HACMP 安装配置指南 SZX V2 2 0 I62HACMP 安装记录 SZX V2 2 0 I62HACMP 安装记录 SZX V2 2 0 I63HACMP 测试记录 SZX V2 2 0 I63HACMP 测试记录 SZX V2 2 0 I71CICS 安装配置指 南 SZX V2 2 0 I71CICS 安装配置指南 SZX V2 2 0 I72CICS 安装记录 SZX V2 2 0 I72CICS 安装记录 SZX V2 2 0 I73CICS 测试记录 SZX V2 2 0 I73CICS 测试记录 SZX V2 2 0 I101 主机安装 安装配置指 南 SZX V2 2 0 I101 主机安装安装配置指 南 SZX V2 2 0 I102 主机安装安装记录 SZX V2 2 0 I102 主机安装安装记录 SZX V2 2 0 I103 主机安装测试记录 SZX V2 2 0 I103 主机安装测试记录 SZX V2 2 0 网管 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院7 M21TIVOLI 安装配置指 南 SZX V2 2 0 M21TIVOLI 安装配置指南 SZX V2 2 0 M22TIVOLI 安装记录 SZX V2 2 0 M22TIVOLI 安装记录 SZX V2 2 0 M23TIVOLI 测试记录 SZX V2 2 0 M23TIVOLI 测试记录 SZX V2 2 0 X 其他设备 X11 自助服务 系统 安装配置指 南 SZX V2 2 0 X11 自助服务系统安装配置 指南 SZX V2 2 0 X12 自助服务 系统 安装记录 SZX V2 2 0 X12 自助服务系统安装记录 SZX V2 2 0 X13 自助服务 系统 测试记录 SZX V2 2 0 X13 自助服务系统测试记录 SZX V2 2 0 X14 自助服务 应用软件 安装配置指 南 SZX V2 2 0 X14 自助服务应用软件安装 配置指南 SZX V2 2 0 X15 自助服务 应用软件 安装记录 SZX V2 2 0 X15 自助服务应用软件安装 记录 SZX V2 2 0 X16 自助服务 应用软件 测试记录 SZX V2 2 0 X16 自助服务应用软件测试 记录 SZX V2 2 0 X21 影像系统 安装配置指 南 SZX V2 2 0 X21 影像系统安装配置指南 SZX V2 2 0 X22 影像系统安装记录 SZX V2 2 0 X22 影像系统安装记录 SZX V2 2 0 X23 影像系统测试记录 SZX V2 2 0 X23 影像系统测试记录 SZX V2 2 0 X31 统计分析 HYPERION 安装配置指 南 SZX V2 2 0 X31 统计分析 HYPERION 安 装配置指南 SZX V2 2 0 X32 统计分析 HYPERION 安装记录 SZX V2 2 0 X32 统计分析 HYPERION 安 装记录 SZX V2 2 0 X33 统计分析 HYPERION 测试记录 SZX V2 2 0 X33 统计分析 HYPERION 测 试记录 SZX V2 2 0 X41SAFEWORD 安装配置指 南 SZX V2 2 0 X41SAFEWORD 安装配置指南 SZX V2 2 0 X42SAFEWORD 安装记录 SZX V2 2 0 X42SAFEWORD 安装记录 SZX V2 2 0 X43SAFEWORD 测试记录 SZX V2 2 0 X43SAFEWORD 测试记录 SZX V2 2 0 X51 防病毒 安装配置指 南 SZX V2 2 0 X51 防病毒安装配置指南 SZX V2 2 0 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院8 X61 报表 安装配置指 南 SZX V2 2 0 X61 报表安装配置指南 SZX V2 2 0 X62 报表安装记录 SZX V2 2 0 X62 报表安装记录 SZX V2 2 0 X63 报表测试记录 SZX V2 2 0 X63 报表测试记录 SZX V2 2 0 X71NETBACKUP 安装配置指 南 SZX V2 2 0 X71NETBACKUP 安装配置指 南 SZX V2 2 0 X72NETBACKUP 安装记录 SZX V2 2 0 X72NETBACKUP 安装记录 SZX V2 2 0 X73NETBACKUP 测试记录 SZX V2 2 0 X73NETBACKUP 测试记录 SZX V2 2 0 X81EMC 安装配置指 南 SZX V2 2 0 X81EMC 安装配置指南 SZX V2 2 0 N 网络 N11 核心交换 机 安装配置指 南 SZX V2 2 0 N11 核心交换机安装配置指 南 SZX V2 2 0 N12 核心交换 机 安装记录 SZX V2 2 0 N12 核心交换机安装记录 SZX V2 2 0 N13 核心交换 机 测试记录 SZX V2 2 0 N13 核心交换机测试记录 SZX V2 2 0 N21 核心路由 器 安装配置指 南 SZX V2 2 0 N21 核心路由器安装配置指 南 SZX V2 2 0 N22 核心路由 器 安装记录 SZX V2 2 0 N22 核心路由器安装记录 SZX V2 2 0 N23 核心路由 器 测试记录 SZX V2 2 0 N23 核心路由器测试记录 SZX V2 2 0 N31 内部防火 墙 安装配置指 南 SZX V2 2 0 N31 内部防火墙安装配置指 南 SZX V2 2 0 N32 内部防火 墙 安装记录 SZX V2 2 0 N32 内部防火墙安装记录 SZX V2 2 0 N33 内部防火 墙 测试记录 SZX V2 2 0 N33 内部防火墙测试记录 SZX V2 2 0 N41 外部防火 墙 安装配置指 南 SZX V2 2 0 N41 外部防火墙安装配置指 南 SZX V2 2 0 N42 外部防火 墙 安装记录 SZX V2 2 0 N42 外部防火墙安装记录 SZX V2 2 0 N43 外部防火 墙 测试记录 SZX V2 2 0 N43 外部防火墙测试记录 SZX V2 2 0 N51 外部路由 器 安装配置指 南 SZX V2 2 0 N51 外部路由器安装配置指 南 SZX V2 2 0 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院9 N52 外部路由 器 安装记录 SZX V2 2 0 N52 外部路由器安装记录 SZX V2 2 0 N53 外部路由 器 测试记录 SZX V2 2 0 N53 外部路由器测试记录 SZX V2 2 0 N61 营业厅路 由器 安装配置指 南 SZX V2 2 0 N61 营业厅路由器安装配置 指南 SZX V2 2 0 N62 营业厅路 由器 安装记录 SZX V2 2 0 N62 营业厅路由器安装记录 SZX V2 2 0 N63 营业厅路 由器 测试记录 SZX V2 2 0 N63 营业厅路由器测试记录 SZX V2 2 0 N83 网络联调测试记录 SZX V2 2 0 N83 网络联调测试记录 SZX V2 2 0 五 网络部分系统集成方案 5 1 网络整体方案 5 1 1 BOSS 省中心网络结构描述 省中心网络组织结构大致可以分为三层结构 接入层主要实现了省中心与 外部系统的连接 需要与省中心连接的系统包括公司内部系统与公司外部系统 核心层主要实现了省中心内部系统连接和数据交换 防火墙介于接入层和核心 层之间实现对内部网络的安全保护 GMCC BOSS 系统的网络结构以省中心为一级中心节点 BOSS 区域节点 为二级中心节点的分层结构 以营销和帐务系统等为 BOSS 系统的中心 其他 子系统包括营业厅 代办点 网元接口 OA MIS MASA WAP 客服系统 金融单位 实时清单系统 省中心的两台骨干路由器分别通过 MDCN 网的 MPLS VPN 连接 BOSS 区域节点骨干路由器 省中心以及每个 BOSS 区域节点 分别作为一个单独的 OSPF 区域 区域号分配如下表 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院10 GMCC BOSS系系统统OSPF路路由由域域划划分分 序序号号地地市市域域号号 1广州area1 2深圳area2 3佛山area3 4东莞area4 5汕头area5 6江门area7 7省中心area0 骨干路由器同时运行两个 OSPF 进程 一个为本地网络的路由进程 另 一个为与 MDCN 网 PE 路由器交换路由信息的路由进程 两者采用同一区域号 避免域间路由 省中心网络接入层配置两台骨干路由器 Cisco 7507 核心层配置两台骨干 局域网交换机 Cisco Catayst 6509 防火墙层配置两台防火墙 Netscreen 500 另外为了实现防火墙的高可用性配置两台交换机 Catalyst 3550 省中心 节点的网络结构 详见 Z12 网络设计图纸 的第 1 页网络结构示意图 5 1 2 设备命名 5 1 2 1路由设备命名 1 路由器命名 Rn Node Type Node Location Name Rn 表示第 n 台路由器 Node Type 表示该节点是核心节点还是接入节点 C 表示核心节点 A 表 示接入节点 Node 节点名称的缩写 Location 路由器所连接节点服务类型的缩写 如为核心节点时没有该项 Name 路由器所连接节点名称的缩写 如为核心节点时没有该项 例 R1 C DG 核心节点东莞第一台路由器 注 使用大写字母 2 端口命名 Slot FPCn TYPE PORT location PICn Rn Node 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院11 Type Node Location Name Slot 端口板所在的槽位号 PICn 可选项 如果是 FPC 板 是第几块 PIC 如果 FPC 板无 PIC 则 不需要此项描述 TYPE 端口类型 FE 快速以太网端口 HSSI HSSI 高速串行端口 S V 35 串行端口 S G 703 串行端口 ATM ATM 端口 POS POSIP 端 GE 千兆以太网 PORT location 端口在 PA 上的位置 Pn 可选项 第几个子端口或 PVC 例 1FE0 R1 C DG 核心节点东莞第一台路由器的第一个槽位的 FE 端口 上第一个快速以太口 5 1 2 2交换设备命名 1 交换机设备命名 Xn Node Type Node Location Name X 若为 Catalyst 设备 X SW 若为 RSM 设备 X RSM n 表示第 n 台交换设备 Node Type 表示该节点是核心节点还是接入节点 C 表示核心节点 A 表 示接入节点 Node 节点名称的缩写 Location 路由器所连接节点服务类型的缩写 如为核心节点时没有该项 Name 路由器所连接节点名称的缩写 如为核心节点时没有该项 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院12 5 1 2 3链路描述 DeviceName PORT PEER DeviceName PORT Bandwidth DeviceName 路由 交换设备名称 PORT 路由器 交换设备上的端口 PEER DeviceName 对端路由 交换设备名称 PORT 对端路由器 交换设备上的端口 Bandwidth 链路的带宽 例 R1 C DG 1FE1 R2 C DG 2FE0 FE 表示东莞核心节点第一 台路由器 1FE1 端口与东莞核心节点第二台路由器 2FE0 端口互联 带宽为 FE 5 1 2 4服务器命名 1 服务器命名 Sn Node Type Node Location Name Rn 表示第 n 台服务器 Node Type 表示该节点是核心节点 接入节点还是还是中立区服务器 C 表示核心节点 A 表示接入节点 E 输入中立区服务器 Node 节点名称的缩写 Location 服务器所连接节点服务类型的缩写 如为核心节点时没有该项 Name 路由器所连接节点名称的缩写 如为核心节点时没有该项 例 S1 C DG SHUJUKU 核心节点东莞第一台数据库服务器 注 使用大写字母 5 1 3IP 地址划分 由于网络结构采用了 OSPF 路由协议 支持可变长度子网编码 不建议 C 类地址为规划最小单位 根据中国移动公司有关 IP 地址分配的原则 根据 BOSS 系统的规模和各个营业厅的规模采用相应的子网掩码来划分子网 IP 地址 具体分配 见 Z12 网络设计图纸 中的 VLAN 与 IP 地址分配示意图 设备 IP 表 防火墙地址映射表 网管地址分配表 核心网络 IP 分配图 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院13 5 1 4核心网络 VLAN 划分 GMCC BOSS 省中心网络通过两台核心交换机基于交换机端口对核心服务器 和相关网络设备划分 VLAN 以增强网络的安全性 缩小广播域 减少网络中不 必要的数据流通 优化网络性能 简化管理的目的 VLAN 划分原则和 IP 地址 分配如图 VLAN 与 IP 地址分配示意图 为保证 GMCC BOSS 市中心网络信息的安全 明确相关信息的隔离或互 通 VLAN 的路由互通性见 Z12 网络设计图纸 中的 BOSS 系统 CISCO 6509 VLAN 路由表 Vlan 的互通性主要通过在 Vlan 接口上启用访问控制列表实现 然后再在此基础上启用路由器策略 实现对数据流的走向的控制 5 1 5 路由机制 5 1 5 1目标及原则 1 最优化 指路由算法选择最佳路径的能力 2 简洁性 算法设计简洁 利用最少的软件和开销 提供最有效的功 能 3 坚固性 路由算法处于非正常或不可预料的环境时 如硬件故障 负载过高或操作失误时 都能正确运行 由于路由器分布在网络联接点上 出 故障时会产生严重后果 最好的路由器算法通常能经受时间的考验 并在各种 网络环境下被证实是可靠的 4 快速收敛 收敛是在最佳路径的判断上所有路由器达到一致的过程 当某个网络事件引起路由可用或不可用时 路由器就发出更新信息 路由更新 信息遍及整个网络 引发重新计算最佳路径 最终达到所有路由器一致公认的 最佳路径 收敛慢的路由算法会造成路径循环或网络中断 5 灵活性 路由算法可以快速 准确地适应各种网络环境 例如 某 个网段发生故障 路由算法要能很快发现故障 并为使用该网段的所有路由选 择另一条最佳路径 根据 CMCC 集团公司 BOSS 系统建设的技术规范的建议 路由协议采用 采用 OSPF 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院14 5 1 5 2BOSS 系统总体路由策略 为了保证 BOSS 系统网络建设达到电信级要求 路由策略的制订必须能够 保证系统高度可靠性和鲁棒性 对于核心网络 包括市中心核心路由器 骨干 交换机 省中心的核心路由器 其失效 不论是设备的失效 端口的失效 还 是线路的失效 都将会导致整个系统的停顿 时间越长 所造成的损失和影响 也就越大 因此 BOSS 省中心到区域节点 以及区域内部市中心的核心网络设 备之间运行动态路由协议 OSPF 保证核心网络因为单点故障而发生中断 保 证系统的鲁棒性 具体来说 省中心两台核心路由器之间运行 OSPF 动态路由协议 核心路 由器与防火墙之间 防火墙与核心交换机之间采用静态路由为主的路由协议 核心路由器与外部系统的连接分两种情况 通过直接专线接入的系统可以采用 浮动静态路由 而通过 MDCN 接入的系统则在核心路由器和 MDCN 的 PE 路 由器之间采用 OSPF 协议 省中心的 Catalyst 6509 Catalyst3550 和 CISCO 7507 Netscreen 500 等设 备的性能比较高 主要链路都采用千兆以太网 能够满足采用动态路由对网络 设备处理性能的要求和系统带宽需求 5 1 5 3路由信息的安全策略 为了防止路由信息被窃取 有必要进行一定的安全设置 使得只有合法的 同一区域的路由器之间才能交换路由信息 下面针对 OSPF 协议讨论路由信息 的安全策略 OSPF 提供 MD5 加密方法对路由信息进行加密 方法是设置某区域使用安全 设置 MD5 方式 具体命令为 area 区域标号 autherfication message digest 设置某端口验证其相邻路由器相邻端口时的 MD5 口令 在端口设置模式 下 的设置命令为 ip ospf message digest key 口令标号 MD5 口令字符串 其中 在同一区域的相邻路由器的相邻端口的口令标号及口令字符串必须 相同 同一路由器的不同端口的 MD5 口令可以不同 也可以某些端口使用安 全设置 某些端口不使用安全设置 当 Cisco IOS 软件产生路由选择协议包时 该命令建立的口令被当做 密钥 直接插入 OSPF 报头中 一个分开的口令能被赋值到基于接口的网络上 同一 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院15 网上的所有相邻路由器必须有相同的口令 从而才能交换 OSPF 信息 5 1 6 网络时钟同步 5 1 6 1BOSS 系统网络时钟同步目的和实现原则 在 BOSS 系统实现时钟同步的目的 实现 BOSS 系统网络设备的时钟同步 保障网络的运行和为故障分析提供标准时钟依据 根据网络结构的特点 考虑到网络 主机设备的数量众多及不断的扩大发 展 我们采用以下同步原则 1 根据网络的结构把时钟同步分级实现 2 保证时钟源的冗余 防止单点故障或单点施工时带来的影响 同步采用安全认证的机制 防止非本网设备发出时钟同步请求和恶意干扰 5 1 6 2BOSS 时间同步规划 建议把区域节点 BOSS 系统把时钟同步分为二级 第一级以 BOSS 省网中心骨干路由器做为 NTP 的 Server 由区域节点 BOSS 的 2 台核心路由器发同步请求获取时钟提供给整个区域内的 BOSS 网络 第二级以区域节点 BOSS 的 2 台核心路由器做为 NTP 的 Server 接受区域 内内所有节点路由器和其他网络设备发出的同步请求 而且两台核心路由器在 失去外部标准时钟源的时候可以以自己的 Calendar 时钟作本区域的时钟源 5 1 7 网络安全 本系统采用的网络安全策略主要有 路由器的子网划分和路由限制 防火 墙的 NAT 包过滤 网管安全 下面提出网络安全的原则 并提出相应的解决 方案 5 1 7 1路由器的子网划分和路由限制 本系统根据功能将同一个具有相同安全策略的系统都划分为同一子网 具 体分为 市 BOSS 中心 营业厅 县代办点 网元接口 MDCN 网 包括 OA MIS MASAWAP 客服系统等 接口 金融单位接口 实时清单系统 网管 系统八大子网 各个子网之间进行路由隔离 并采用访问控制列表 ACL 进行 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院16 一定的限制 市 BOSS 中心局域网划分 VLAN 每个 VLAN 也作为一个子网隔离 只有部分 需要通信的 VLAN 之间可以互相访问 不同的外部系统之间不能直接通信 外部 系统需要访问省中心中心的途径只能通过防火墙访问专门负责与外系统通信的 服务器的外部地址 为了防止路由信息被窃取 有必要进行一定的安全设置 使得只有合法的 同一区域的路由器之间才能交换路由信息 保证路由信息的安全 5 1 7 2网管安全 本系统网管主要有 IBM 设备网管 CISCO 设备网管 EMC 存储设备网管 各个网管应该只能访问各自管理范围内的设备 各司其职 不能越权访问其他 设备 CISCO 网管需要穿过防火墙访问所有本系统相关的网络设备 需要在 相关路由设备上通过扩展的控制访问列表仅让网管信息的 UDP 包通过 不得开 放无关的数据包 5 1 7 3防火墙 防火墙是位于两个信任程度不同的网络之间 如核心层和接入层之间 的 软件或硬件设备的组合 它对两个网络之间的通信进行控制 通过强制实施统 一的安全策略 防止对重要信息资源的非法存取和访问 以达到保护系统安全 的目的 在防火墙上启用防御和检测以下各种网络攻击的功能 同步攻击 ICMP flood 检测 UDP flood 泛滥检测 检测死 ping Ping of death 检测 IP 欺骗 IP spoofing 检测端口扫描 Port scan 检测陆地攻击 Land attack 检测撕毁攻击 Tear drop attack 过滤 IP 源路由选项 Filter IP source route option 检测 IP 地址扫描攻击 IP address sweep attack 检测 WinNuke attack 攻击 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院17 Java ActiveX Zip EXE 默认分组拒绝 Default packet deny Dos DDoS 保护 5 2 配置实施方案 5 2 1核心层交换机 CISCO CATALYST 6509 核心层交换机主要实现核心层服务器之间的数据交换 是 BOSS 省中心网 络的核心 同时与防火墙连接 经过防火墙与接入层网络通信 主要通过以下 的配置实现相应的功能 1 对于内部服务器启用 HSRP 使对于内部服务器只有一个网关地址 保 证网关的可用性 在任何一台交换机的路由模块失效时仍然可以保持 Vlan 之间 的通信 对于防火墙也启用 HSRP 保证防火墙到内部网络的可达性 2 根据服务器功能和数据流的特点划分相应的 Vlan 在保证网络隔离性 的同时缩小以太网的广播域 减少网络中的广播流量 3 通过路由策略 访问控制列表等手段对 Vlan 之间的通信实现访问控制 不允许非法流量经过 作为网络安全的最后一道防线 4 使用 4 条 GE 电路 通过 GEC 千兆以太网通道 技术实现两台交换机 的互联 在保证服务器之间充足的网络带宽的同时实现互联链路的 Failover 5 配置相应路由协议主要以浮动静态路由为主 实现核心网络与接入层网 络的路由信息交换 保证网络可达性 6 配置多层交换功能 最大限度发挥设备的交换能力 7 两台交换机的 Vlan 和端口分配采用一致的配置 对关键服务器可以预 留端口以便一台核心交换机失效时可以通过简单跳线 恢复系统的功能 具体配置参见核心交换机配置指南 5 2 2接入层路由器 CISCO 7507 接入层路由器主要实现外部系统对省中心的访问 是外部系统进入省中心 系统经过的第一层 是省中心数据采集和数据下发功能实现的关键点 主要通 过以下配置实现相应的功能 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院18 1 启用 OSPF 协议作为 BOSS 系统专用路由协议 作为 BOSS 路由协议 OSPF 的骨干区域 Area0 的骨干路由器 2 通过浮动静态路由 备份接口技术与两台防火墙连接实现三层网络的全 程双机容错功能 同时通过路由协议的配置 对流量进行负载均衡 使两台设 备都能发挥最佳的性能 3 汇聚来自各个外部系统的低速租用电路 一般要求外部系统采用主备用 两条电路接入 路由器通过浮动静态路由接入省中心 保证网络的可靠性 4 作为 MPLSVPN 的 CE 路由器 与 MDCN 网连接 实现 VPN 功能 通过配置 子接口和 802 1Q 实现一个接口汇聚多个 VPN 流量 一个 CE 接入多个 VPN 的功 能 从而节省接口节省设备投资 而且具有很强的伸缩性 5 作为网络安全的第一道屏障 通过访问控制列表 路由策略等方式防止 非法流量的进入 隔绝不同的外部系统的通信 6 启用 NTP 时钟协议 作为全省 BOSS 系统网络设备的时钟源 详细配置参见核心路由器配置指南 5 2 3 防火墙 防火墙主要实现对省中心的核心层网络的安全保护 对接入层网络进入核 心层网络的访问进行控制 防火墙是省中心系统安全最主要的一层网络 是省 中心网络安全保障的关键点 主要通过以下配置实现相应的功能 1 按照初步设计方案一 Active Standby 双链路方案 进行相应的 HA 配 置 两台防火墙分成主用设备和备用设备 配置文件保持一致 主用设备的两 条链路与备用设备的两条链路形成一对一的备份关系 2 启用 NAT 功能 对固定需要也外部网络通信的服务器 如数据交换服务 器可以作静态 NAT MIP 同时对内部网段作动态 NAT VIP 提供与外部通 信的 IP 或者使用透传模式 该模式易于实施不占用 而且如果防火墙故障用 一般二层设备也可以保持网络的可达性 具体实施方案在集成方案中详细讨论 3 配置严格的访问控制策略 针对同的服务器不同的数据流配置不同的策 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院19 略 控制粒度尽量的小 开放端口尽量的少 4 对设备管理接口进行相应配置 实现基于 Console Modem 10 100 MGT 三种接口的 CLI 或者 WebUI 网管功能 开启相应的日志功能 5 启用流量管理功能 对不同的数据流进行一定的流量控制 使网络不会 出现瓶颈 保证带宽不会被一种数据流所独占 各种服务都可以正常的实现 6 配置防火墙的静态路由或者网关等 保持三层网络的连通性和路由信息 的交换 另外本期工程 由于已经属于私有网络 主要通过专用电路和 MDCN 网提 供的 VPN 服务 所以不再在系统内部署 VPN 详细配置参见内部防火墙配置指南 外部防火墙配置指南 六 各个子系统集成方案 6 1 省中心应用结构 这部分引用自省计费中心文件 BOSS 系统省中心体系架构设计 doc 用 以指导系统集成相关的集成和配置 详细描述见原文 6 1 1 应用结构 BOSS 省中心的应用从功能上 可以分为数据交互 GMCC 又称数据汇总 业务处理 业务管理三个层面 数据采集数据交换数据存储数据接收 流程控制 数据校验 计费处理结算处理帐务处理 数据分发数据建立 系统监控报表展现综合查询 报表引擎 生产监控 故障处理 业务操作 数数据据交交互互 业业务务处处理理 业业务务管管理理 监控代理 计费保障产品资费 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案 广东省电信规划设计院20 数据交互 主要实现 BOSS 系统与外部系统的数据交互 它负责将采集和接 收外部数据 对数据进行必要的校验 并分类保存 供内部数据处理进程使用 另一方面 它负责将处理完需要发送的数据 按照需要的格式和方式 发送到 指定的地方 它包括以下功能 数据采集 特指对网元的采集 数据接收 数据分发 实时数据交换 数据建立和数据存储等 这部分的应用主要负责与 外部接口的关系 存储和准备业务处理的数据源 业务处理 BOSS 省中心的核心业务处理主要指计费 结算 帐务等处理 它们对采集到的数据进行处理 将处理的结果保存到数据库中 除此之外 业 务处理还包括业务流程的控制 报表引擎对数据的处理 故障处理 监控代理 对信息的采集等 这部分应用的特点是与业务逻辑关系紧密 对性能要求较高 业务管理 主要实现对核心业务处理的支撑 以及基于业务数据的监控和 分析 包括以下功能 产品资费管理 生产监控 综合查询 前台业务流程操 作 系统监控 报表展现以及计费保障核查等 这部分应用的特点是以前台界 面显示为主 多为对数据库的查询操作 广东移动通信有限责任公司广东移动通信有限责任公司 BOSSBOSS 系统系统集成设计方案系统系统集成设计方案