移动通信传输网络安全.pptx

《移动通信传输网络安全.pptx》由会员分享，可在线阅读，更多相关《移动通信传输网络安全.pptx（36页珍藏版）》请在课桌文档上搜索。

1、提升区县分公司传输网络维护技能培训传输网络安全专题,网管中心,培训目标要求,目录,传输网安全体系模型介绍,安全模型体系,传输网络是是由线路和设备组成庞大网络体系，为更好地阐述传输网安全体系要求，集团总部建立了传输全方位安全模型。该模型从传输线路、传输设备、网络结构、业务配置、传输网管五个维度出发，针对每个维度可能影响系统安全的要素进行分析，制定了具体安全要求和原则。,传输全方位安全模型示意图,线路安全要求,影响传输线路安全的要素有三个，主要是：光缆纤芯质量、管理线路管道质量安全和架空杆路质量安全。,传输设备安全要求,1、设备的保护地（PGND）应就近短接至保护接地铜排上；2、机柜前、后门和侧门

2、下方接地端子应通过截面积不小于6mm2的连接电缆接到机柜结构体的接地端子上。,对于汇聚层及以上设备，要求关键单板必须配置保护。关键单板包括：时钟板、交叉板、主控板、具备TPS的业务板等。,传输设备必须正确配置时钟，配置外时钟的保护子网，要求环上配置主备两个外时钟；跟踪时钟根据两个方向配置时钟跟踪关系。,在配置了主备保护单板时，同设备的主备保护单板（1+1、1:1、1：N）应保持软件版本一致。,网络结构安全要求,1、采用PTN 10GE/40GE组环（基于OTN），环节点数35个，业务量大时组网状网2、部署L3功能，实现基于IP地址的转发,核心层,1、PTN 10GE组环，环节点数46个2、采用

3、L2 分组转发功能3、带宽利用率70%时，扩容PTN系统4、业务量大时，下沉OTN,汇聚层,1、GE/双GE组环，单环接入基站68个2、纤芯紧张城市适度超前部署10GE环3、采用L2 分组转发功能4、采用GE光接口接入基站,接入层,PTN承载LTE组网结构要求,SGW/MME部署在地市的无线回传组网场景，网络分层与2G/TD一样，保持城域网三层结构不变区别在于：LTE基站业务回传需支持“点对多点”连接模式，核心层需要L3层功能各层网络组网要求如下：,业务电路分配安全要求,网管安全要求,目录,网络结构六大类隐患定义,1、超大汇聚点,定义：针对汇聚层传输设备，每个汇聚节点所挂设备超过80个视为超大

4、汇聚点。,每个汇聚节点所下挂设备超过100个视为超大汇聚点。,图例：,超大汇聚点隐患案例,红河建水10G机房,红河建水10G机房下挂超过100个传输节点,网络结构六大类隐患定义,2、汇聚层单归属,定义：针对汇聚层网络，县区区域内汇聚环与上层网络至少2个点相连，汇聚环只上联至上层网络一个节点视为不满足汇聚层双归属，即汇聚层单归。,图例：（左图单归属、右图双归属）,单归属,双归属,汇聚环,核心环,核心环,汇聚环,16,文山“汇聚双归核心层比”指标典型案例分析,上图是文山本地网SDH网管部分截图。朱街-广南-富宁-西畴等节点组10G核心环，广南电信-董堡-空山-底基等节点组汇聚环，从图中可以看出：汇

5、聚环是以“广南电信2-广南电信10G”单节点上联核心环的。从网管图上显示的结果来看，这种情况具有普遍性，与结构评估“汇聚双归核心层比”指标值仅为2.2%相印证。一旦该“上联节点”出故障，将导致汇聚环及其所带接入层的几十个基站业务中断。表明文山传输网结构安全性非常差。,汇聚环单节点上联核心环,汇聚环,核心环,网络结构六大类隐患定义,网络结构六大类隐患定义,3、长单链,注1：对于2.5G扩展子架，采用了1+1线性保护设置的，不属于长单链。注2：如果链形结构下挂在非接入网设备上（如骨干或汇聚设备），链上网元数量或业务数量达到长单链 标准，仍然视为长单链。,SDH长单链判定标准：,18,文山“接入物理

6、节点成环比”指标典型案例分析,上图是文山本地网SDH网管部分截图。接入层节点“6027-砚山移动”下挂8条无保护链、共30多个网元。从网管图上显示的结果来看，这种情况具有普遍性，与结构评估“接入物理节点成环比”指标值仅为9.9%相印证。该节点一旦失效将导致大面积基站业务中断，表明文山传输网存在非常大的安全隐患。,网络结构六大类隐患定义,网络结构六大类隐患定义,4、同路由（同缆）环,定义：汇聚环、骨干环不同段落经过同一个路由（使用同一根光缆）或者汇聚节点出入局光缆单点入局，如出现单点故障可能导致同一站点多个方向光路断开，视为同路由（同缆）环。,图例：,光缆单点入局，造成局部同缆环,网络结构六大类

7、隐患定义,5、OLT单上联保护,定义：要求OLT两条链路通过不同的设备板卡和物理路由上行，并且跨机房链路至少有一条承载于传输设备，不满足上述要求成为OLT单上联。,图例：,OLT需通过不同板卡上联至上层汇聚交换机,网络结构六大类隐患定义,6、超大环,定义：对于155M、622M接入环所带接入点数（只包括环上的接入点，不包括环带链的接入点）城区超过10个或郊区超过12个视为超大环。针对PTN核心层采用10GE组环，节点数超过4个；汇聚层采用10GE组环，节点数超过7个；接入层采用GE组环，节点超过10个视为超大环。,接入层超大环示例,现网存在超大汇聚环网管截图,目录,骨干路由核心节点重大隐患排除

8、方法,同路由进出城、同局前井进出局楼、同竖井进出机房,核心局楼,分离路由进出城、两个以上局前井进出局楼、两个竖井进出机房,隐患整治前,隐患整治后,长支链重大隐患排除方法,方法1：链改环，新建迂回路由将长链成环,方法2：同路由环回形成虚拟环,1、对于无法建设迂回路由的长链，建议同路由环回形成虚拟环，防止单个节点失效（停电）影响所有下游节点业务。,2、对于链路迂回路由超长（超过10公里），或者安全性不高的接入节点，建议不纳入接入环。,虚拟环,超大环重大隐患排除方法,方法1：新建光缆路由拆分大环为两个小环,方法2：同缆分纤拆环,对于接入层过大过长环路，可选择环上距离较近且能将现有环路进行拆分的节点，

9、新建直接光缆路由，拆分后环路包含节点数目应当大致相当，如下图所示。,新建光缆路由较困难的情况下，可以采用同缆分纤拆环的方式进行拆分。,超大汇聚点重大隐患排除方法,方法1：接入节点升级为汇聚节点，拆分汇聚环，减轻汇聚点压力,对于接入层规模较大区域，通过合理选择汇聚机房，将条件合适的接入点升级为汇聚机房，对接入层按就近原则进行分割，通过拆分汇聚环增加汇聚环数量，达到减轻汇聚节点压力的目的。详见下图所示。,3、增加两芯光纤组环,1、超大汇聚点,4、由接入节点升级为汇聚节点，实现两个汇聚节点分单业务,同缆环重大隐患排除方法,方法1：梳理光缆路由资源，调整组网纤芯，消除传输系统同缆环,通过梳理光缆路由资

10、源，掌握光缆的资源信息，如果有其他光缆路由可达的，应调整纤芯使用，消除传输系统同缆环组网隐患。,光缆单点入局，造成局部同缆环,方法2：新建光缆线路，消除传输系统同缆环,对应汇聚层以上的传输系统存在同缆环，且无不同路由的光缆资源可用时，应新建光缆路由，消除传输系统同缆环组网隐患。,汇聚层单节点上联重大隐患排除方法,方法1,进行汇聚节点双归核心层改造。2012年省公司网络部启动专项工作，对改造方案，实施流程有详尽描述，请参照执行。,图例：（左图单归属、右图双归属）,单归属（整治前）,双归属（整治后）,汇聚环,核心环,汇聚环,核心环,为解决单节点失效问题，公司下发关于启动传输县域汇聚层单节点安全隐患

11、整治的通知（网通2011748号），全省启动城域网双节点安全改造。,项目当前进度（截止1029）：1、设备安装及业务割接站点：全省共194个，开工67个，完工7个。开工率为34%，完工率4%。2、建设光缆段：全省共208段，开工133段，完工23段。开工率为64%，完工率11%。,29,汇聚层单节点上联重大隐患排除方法,设备重大隐患排除方法,目录,32,传输隐患管理工作目的及要求,传输隐患上报要求,消除网络隐患，减少网络故障，提高网络质量，提高客户感知，提升核心竞争力,传输隐患管理目标,传输隐患隐患工单上报流程,4,1、分公司隐患上报人上报隐患2、分公司传输组长审核3、省公司接口人审核4、解决隐患（是/否）：已解决至步骤5，未解决返回上报人解决后至步骤25、隐患上报人归档隐患,隐患上报流程,传输隐患-上报操作具体介绍,传输隐患-上报操作具体介绍-新增工单,问 题,1、你公司传输网络存在多少六大类安全隐患？2、对你公司传输网络存在的安全隐患，请提出解决方案。,