CMNET数据专线.doc

CMNET数据专线一、业务介绍CMNET数据专线业务是指，集团客户使用数据网络接入设备（一般为中低端路由器），通过我公司传输链路，接入移动CMNET网络，从而使用Internet网络服务。一般情况下，我公司需要保障CMNET核心网、接入网、传输链路、客户端接入设备的通畅和安全，为客户提供端到端的数据网络服务。CMNET数据专线客户端设备一般包括接入路由器，有的还有光端机/协议转换器。图1-1CMNET数据专线拓扑图二、数据配置客户端路由器需要配置接口IP地址、封装模式、NAT、路由、ACL等数据。以下是典型的数据配置（华为设备）：#配置访问控制列表，主要用于封堵常见漏洞（可选）acl number 3000 rule 10 permit icmp icmp-type echo rule 11 permit icmp icmp-type echo-reply rule 12 permit icmp icmp-type ttl-exceeded rule 15 deny icmp rule 20 deny tcp destination-port eq 445 rule 21 deny udp destination-port eq 445 rule 25 deny tcp destination-port eq 593 rule 30 deny tcp destination-port eq 4444 rule 35 deny tcp destination-port eq 707 rule 40 deny tcp destination-port eq 5554 rule 45 deny tcp destination-port eq 9996 rule 50 deny tcp destination-port eq 1068#配置接口，在Serial2/0口配置outbound方向的地址映射，并将访问控制列表应用到端口的进入方向（必选）interface Ethernet0/1 ip address 192.168.0.1 255.255.255.0 firewall packet-filter 3000 inboundinterface Serial2/0 ip address 218.204.172.50 255.255.255.248 nat outbound 3001 nat server protocol tcp global 218.204.172.51 any inside 192.168.0.129 any#配置默认静态路由（必选） ip route-static 0.0.0.0 0.0.0.0 218.204.172.49 preference 60三、例行维护例行维护工作主要分为两部分：日常维护和例行巡检。日常维护工作一般以月为周期，通过远程管理或网管检查客户端设备的运行情况等。广东移动CMNET数据专线客户端设备每月维护记录表设备维护项目操作记录或检查结果备注路由器检查数据配置路由器备份数据配置路由器检查运行状态光端机检查运行状态光端机检查线路标签协议转换器检查运行状态协议转换器检查线路标签记录人签名：记录时间：巡检工作在每个季度的第一个月执行。工作内容主要为巡查各客户端设备，检查设备的完好性，设备的机房环境是否正常，打扫设备卫生，检查设备的资产标签是否与资料一致。同时要请客户填写巡检调查表，了解客户的进一步需求和工作中的不足以便改正。巡检完成后要对照巡检所得数据修改现有资料，整理客户意见并提交。对客户提出的工作要求可以处理的尽快提交各个部门处理。广东移动CMNET数据专线巡检表2008年第X季度巡检巡检点地址业务类型备注联系人联系电话设备信息（巡检人员填写）核对是否正确设备型号资产编号（客户资产请注明）客户机房环境及设备运行状况调查（巡检人员填写）1、机房温度是否合适 （常温）2、机房是否有空调 是 否3、机房灰尘情况 很少 一般 较多（设备积尘）4、设备运行是否正常 5、设备温度是否合适 （1850）6、设备连线是否有标签 7、设备电源连接是否合适 （是否有接地线）8、设备连线接头是否正常 （接头有否损坏及是否牢固）9、设备是否合理安装 (是否安装到机柜并固定好) 10、其他情况说明：客户使用情况调查（客户填写）使用该专线过程中是否存在问题：巡检情况调查（客户填写）巡检人员是否按照贵公司的安排进入机房巡检？ 你对巡检人员的巡检工作有何意见？ 确认签名（巡检日期 _ _年_月_日）客户签名巡检人员签名四、客户端监控4.1 监控原理数据专线的客户端常见设备包括交换机、路由器、防火墙等。大部分的交换机、路由器和防火墙设备应支持SNMP协议以及PING测试。SNMP协议是通过IP协议进行监控的一种网络协议，因此通过SNMP监控，需要在数据网络中设置一台服务器作为SNMP信息采集机，通过IP协议连通所需要监控的客户端设备，并在客户端配置SNMP相关配置。SNMP协议采集到的信息一般选择存放于数据库，方便日后进行数据查询和分析。对于需要实现告警自动发送短信的情况，则需要调通SNMP信息采集机与短信网关的连接。4.2 设备配置客户端SNMP配置方式举例（华为路由器）：#配置SNMP只读权限字符串为fsomcsnmp-agent community read fsomc#配置SNMP版本为v2c（建议配置为v2c或v3）snmp-agent sys-info version v2c v34.3 监控界面和监控项目通过监控平台可以实时的查看各种设备的状态。一般告警信息主要分为三类，节点断网，节点端口断网及数据异常。其中前两种告警监控系统可见，平时注意记录就可以，而数据异常要由检查每个节点的详细监控项来判断。一般情况下当用户节点带宽占用超过80或用户数据丢包超过30即为数据异常。此时就要一方面联系客户了解情况，看客户是否关机，是否停电，设备是否有不正常现象，是否因没有使用而拔掉网线，请客户协助检查是否有用户在使用多线程下载或中了病毒。同时联系传输监控检查线路以排除故障，争取在最短时间内解决问题。图4-1 数据专线监控平台总界面主监控界面分为网络拓扑视图、当前告警信息、问题节点状态、历史纪录信息等模块。网络拓扑视图标明了现网中主要的网络设备节点，当该节点出现故障时，图标由绿色变为红色，一目了然。当监控的某个节点出现故障，会在当前告警信息栏里面显示，点击节点名可以察看该节点详细的资料和故障情况，用于处理故障的前期分析。节点状态栏列出了监控的所有节点的状态信息，无论是否正常运行，都可以点击节点名察看详细的资料。根据实际情况，建议通过SNMP监控的内容如下：l 出口流速：可通过SNMP监控实现，监测客户端设备出口的流速，一般是以太网端口或者E1端口。当出口流速超出出口总带宽80%，并且持续时间超过60分钟后，产生一般告警。图4-2 出口流速监控告警界面l 响应时延：可通过SNMP/PING监控实现，监测客户端设备的响应时间，当大于500毫秒时，说明客户端设备利用率较高，有可能存在故障，产生一般告警；当客户端无响应，说明客户端设备连接中断，产生严重告警。图4-3 响应时延监控告警界面l 丢包率：可通过PING监控实现，监测客户端设备的丢包率，当大于30%，说明客户端设备或者传输电路存在误码等，产生告警，告警级别为一般告警；当等于100%说明客户端设备连接中断，产生严重告警。图4-4 丢包率告警界面显示当前丢包率大于30%的节点l 连接数：可通过SNMP监控实现，监测客户端设备的连接数，当超出上限值（需根据客户端设备的具体性能情况制定）说明客户端连接数过多，产生一般告警。如果客户端设备不支持SNMP，可以通过PING测试实现响应时延和丢包率的监控。五、故障处理在维护工作中，当接到用户报障后，处理故障的方法主要分为以下几种情况：1 客户路由器连不上，线路已断。首先询问传输监控，看传输监控是否有客户线路的告警，如果有，先请传输判断是否为传输问题或者是停电，如果是传输问题，督促传输解决。如果经传输监控检查后传输无问题，则需要联系客户，请客户重启路由器并观察指示灯状态，以判断是否硬件问题。如果还无法判断问题，则联系客户去现场解决问题。在现场首先要检查光端机是否正常，可由传输人员一起检查。如有协议转换器，也要检查协议转换器，看电源灯是否正常，进出的数据指示灯是否都为绿灯状态，有数据流通过时数据传输的黄灯是否在闪，如果不正常有可能是协议转换器进程吊死，可重启协议转换器看是否恢复，如果不行的话可更换设备进行测试。2 客户路由器可以连上，但上网或部分应用如QQ、数据库等不能正常使用。这时可远程登陆上客户端路由器并查看配置，与以前备份的客户配置信息相比较，看是否有配置改变或者是有配置错误。如果有，改正后联系客户请客户测试，如没问题则故障解决。3 客户路由器可以连上，客户要求的应用需要放开本已禁止的端口。可通过远程登陆客户路由器，在配置中修改访问控制列表以放开端口，并做好记录工作。如果还不能解决，要到客户那里现场进行故障判断以便确定问题。4由监控系统发现客户数据流量异常，带宽占用过高或丢包过多。首先可先请传输检查传输线路是否有数据告警，光纤的光路是否对上，光端机是否告警。如没有可登陆客户端路由器设备，检查客户端设备的端口实际流量，如果流入与流出一致，再检查路由器上地址转换的任务数。可将结果保存后进行分析，如果发现有单个IP地址有超过100个任务数时，有可能是这个地址的主机在下载或中了病毒。也可以通过查看DHCP的IP分配来了解每个MAC地址对应的IP地址，当一个MAC地址有多个IP地址时可以判断是中了病毒。然后要通知客户对下载的主机停止下载任务，对中了病毒的主机进行杀毒。六、面向客户的故障预处理指引1检查客户端所有设备的供电是否正常，需要检查的设备一般有光端机、协议转换器、路由器等。2检查客户端的光端机的工作指示灯的状态是否正常。图6-1 高科光端机指示灯面板各指示灯的状态说明收无光：表示是否收到光，正常状态为指示灯不亮；误码：表示是否有误码，正常状态为指示灯不亮；对告：表示是否存在对告，正常状态为指示灯不亮；CH1：表示是否开通了的电路，正常开通状态为绿灯长亮；工作：正常工作状态为绿灯长亮；3检查客户端的协议转换器的指示灯的状态。图6-2 CTC协议转换器指示灯面板各指示灯的状态说明：Power：电源状态灯，正常通电时常亮。Signal Loss：E1信号丢失灯，正常状态为常灭，红色亮起表示E1信号丢失。Alarm：E1告警状态灯，正常状态为常灭，红色亮起表示E1告警状态。Link：链路连接灯，以太网正常连接情况下绿色常亮，熄灭表示未有连接。TD/RD：发送数据/接收数据状态灯，以太网通信情况下绿色常亮，熄灭表示未有数据发送/接收。100：连接速率灯，当以太网端口连接速率为100M时常亮，否则熄灭。Full：工作方式指示灯，当以太网端口的工作方式为全双工时常亮，否则熄灭。Error：错误信息灯，当以太网端口存在错误时亮起。4检查客户端的路由器各指示灯的状态是否正常。常见的华为路由器面板指示灯：POWER灯绿色常亮表示设备正常通电；SYSTEM灯绿色闪烁表示设备系统正在运行；模块插槽0，1，2，LAN 灯，如对应的位置上有相应模块，则Ready 灯绿色长亮，Active灯黄色闪烁。图6-3 华为路由器面板视图图6-4 思科路由器面板视图路由器背板一般包括电源连接线、电源开关、接口板卡等。电源开关符号“|”表示电源接通，符号“O”表示电源断开。图6-5 华为路由器背板视图图6-6 思科路由器背板视图以太网端口指示灯：一般位于路由器后部，如图6-7，Link灯亮起表示连接正常，否则熄灭；ACT灯闪烁表示有数据发送，否则熄灭。图6-7 以太网端口板卡E1端口指示灯：一般位于路由器后部，如图6-8，Link灯亮起表示收到载波信号，否则熄灭；ACT灯表示有数据发送，否则熄灭。图6-8 E1端口板卡4 交换机或PC主机以太网端口灯：一般交换机或PC主机的以太网端口上左右各一个指示灯，右灯绿色亮起起表示网线已经连接，否则熄灭；左灯橙色闪烁表示有数据发送/接收；但也有少数设备左右灯意义相反，请留意设备的具体说明。图6-9 华为交换机端口面板图6-10 PC主机以太网端口6客户端通过PING命令作连通性测试。客户端可以在PC主机上PING内部网络网关、外部网络网关、DNS等，并记录测试结果。7把上述的预处理的结果和故障现象记录清楚，然后向所属客户经理或10086报障并描述故障现象。七、典型案例1、 路由器缓存不足。故障现象：2007年6月26日，通过监控发现翔鹰科技有限公司客户设备所有端口状态都为UNKNOWN。处理过程：首先PING客户路由器IP 211.139.204.38正常，但无法TELNET。然后询问客户，上网一切正常。判断是路由器有问题。到客户那里检查路由器，所有端口状态正常，查询配置DIS CU ,报错NO ENOUGH MEM，判断可能是路由器内存临时信息过多，无足够缓存，重启后恢复正常。经验总结：出现某些隐性故障未必会影响到业务的正常使用，但必须在第一时间定位和处理，消除安全隐患。2、 协议转换器故障故障现象：2007年9月14日，南海捷朗公司反映，该公司通过专线接入我司网络，主要用于短信收发业务。现经常出现网络不稳定，主要现象为ping时延偶然会达到2000ms以上，甚至丢包。处理过程：经检查，该专线接入主机托管，而非IOD。9月14日 传输代维上门测试传输，发现线路正常，但接入数据设备（协议转换器）后，测得失帧，怀疑数据设备问题。综合以上故障现象，主要是由于协议专线器故障导致，但由于协议转换器（讯风通讯）已经无法联系到厂家进行维修，更换其他厂家得协议转换器日后仍有可能出现这种现象，故将其改接到IOD，在用户端放置路由器代替协议转换器。9月15日完成割接。9月18日回访用户反映故障现象已经消失。经验总结：对于单链网络，逐段排查找到问题原因。3、 客户局域网病毒问题导致无法上网故障现象：2007年10月4日，佛山市南海矽钢铁芯制造有限公司客户不能上网。处理过程：联系客户让其断开路由器下的网线后，可以登录上并可正常操作。查看端口状态，流量均正常，可判断为客户内网问题。因客户有5台交换机，所以让客户每次连接一台交换机，发现有3台单独连接路由器后不能上网。再让客户分别将这3