江苏电信IDC路由设备(地市)局数据配置规范总则V1.2-2.
中国电信互联网及相关网络路由器设备安全防护要求V1.0.
中国电信互联网及相关网络路由器设备安全防护要求V1.0.中国电信安全策略体系文档文档编号: SOC 02-02-003中国电信互联网及相关网络路由器设备安全防护要求版本号:1.0.0发布日期:修订记录目次前言 (1)1引言 (2)1.1目的 (2)1.2围 (2)2防护策略划分 (3)3管理平面防护策略 (4)3.1管理口防护 (4)3.2账号与口令 (4)3.3认证 (5)3.4授权 (5)3.5审计 (5)3.6远程管理 (6)3.7SNMP安全 (6)3.8系统日志 (6)3.9NTP (7)3.10banner信息 (7)3.11未使用的管理平面服务 (7)4数据转发平面防护策略 (8)4.1流量控制 (8)4.2典型垃圾流量过滤 (8)4.3ToFab (8)5控制平面防护策略 (9)5.1ACL控制 (9)5.2路由安全防护 (9)5.3协议报文防护 (9)5.4引擎防护策略 (10)前言为进一步落实《中国电信互联网及相关网络安全策略总纲》要求,促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本防护要求(以下简称“要求”)。
各省公司可以根据实际情况,在本要求的基础上制定相应的实施细则并具体实施。
本文档起草单位:中国电信集团公司网络运行维护事业部本文档解释单位:中国电信集团公司网络运行维护事业部1引言1.1目的为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本要求。
1.2围本要求适用于中国电信的互联网与相关网络及系统,主要包括IP 承载网,以及承载在其上的各种业务网、业务平台和支撑系统。
IP承载网包括中国电信ChinaNet、CN2、城域网、DCN等网络;业务网包括C网分组域、软交换等;业务平台包括C网业务平台、全球眼、互联星空等;支撑系统包括DNS、网管系统、认证系统等。
中国电信江苏
PCI及PRACH参数规划指导原则(R1.1)中国电信江苏公司无线网络优化中心2014年4月2日版本信息目录1PCI规划原则 (4)1.1PCI规划原则 (4)1.1.1PCI复用 (4)1.1.2模3干扰 (5)1.1.3模30干扰 (6)1.2PCI分组方案 (6)1.3PCI模3规划原则 (11)1.4边界PCI规划原则 (11)2PRACH规划原则 (13)2.1PRACH理论说明 (13)2.2PRACH参数配置要求 (21)2.3高铁参数配置要求 (25)1 PCI规划原则PCI(Physical Cell ID),即物理小区ID,是LTE 系统中终端区分不同小区的无线信号标识(类似CDMA制式下的PN)。
PCI和RS的位置存在一定的映射关系,RS位置相同时在同频情况下会产生干扰。
LTE的物理小区ID(即PCI)数量为504 个(0~503)。
现实组网不可避免要对PCI进行复用,可能造成相同PCI由于复用距离过小产生冲突(PCI 冲突)。
PCI规划(物理小区ID规划)的目的就是为每个eNB小区合理分配PCI,确保同频同PCI的小区下行信号之间不会互相产生干扰,避免影响手机正确同步和解码正常服务小区的导频信道。
LTE网络中,PCI规划要结合频率、RS位置、小区关系统一考虑。
1.1 PCI规划原则1.1.1 PCI复用现实组网不可避免要对PCI复用,在PCI规划时应当避免以下情况:(1)PCI冲突假如两个相邻的小区分配相同的PCI,这种情况下会导致重叠区域中至多只有一个小区会被终端检测到,而造成初始小区搜索时只能同步到其中一个小区,而该小区不一定是最合适的,称这种情况为冲突(collision),如图1-1所示:图1-1 PCI冲突(2)PCI混淆假如一个小区的两个相邻小区具有相同的PCI,这种情况下如果终端请求切换到ID 为A 的小区,eNB不知道哪个为目标小区。
称这种情况为混淆。
如图1-2所示:图1-2 PCI混淆一般一个小区的两个相邻小区具有相同PCI在网管上会被检测出来,我们要注意C网中的OneWay和TwoWay的问题。
江苏电信城域网路由设备局数据配置规范总则 V1.5-2011.10.11
江苏电信城域网路由设备局数据配置规范总则中国电信江苏公司2011年09月目录第1章概述 (4)1.1 术语和缩写语表 (4)1.2 网络结构说明 (6)第2章IP城域网网络设备命名及链路描述规范 (7)2.1 设备命名规范 (7)2.1.1 适用范围 (7)2.1.2 设备命名规范格式 (7)2.2 端口描述规范 (10)2.2.1 环回端口描述 (10)2.2.2 网络端口描述规范 (10)2.2.3 关于SE800/1200的二/三层端口描述 (11)2.2.4 关于阿朗7750 的二/三层端口描述 (11)2.2.5 空闲端口 (12)第3章路由器基本配置规范 (13)3.1 系统基本配置规范 (13)3.1.1 设备名称配置 (13)3.1.2 Banner配置 (13)3.1.3 设备自身时间及NTP (13)3.1.4 Telnet配置 (15)3.1.5 AAA配置 (16)3.1.6 系统高可靠性配置 (18)3.1.7 软件启动顺序 (18)3.2 端口配置规范 (19)3.2.1 MTU值设计 (19)3.2.2 Loopback端口配置 (20)3.2.3 GE端口配置 (20)3.2.4 GE子端口端口配置 (23)3.2.5 POS端口配置 (24)3.2.6 端口镜像配置 (26)第4章路由协议配置规范 (27)4.1.1 城域网路由架构概述 (27)4.1.2 路由优先级/管理距离 (27)4.1.3 静态路由配置 (28)4.1.4 ISIS配置 (30)4.1.5 BGP配置 (37)4.1.6 RR配置 (41)4.1.7 默认路由管理 (45)4.1.8 负载均衡配置 (45)第5章MPLS协议配置规范 (47)5.1.1 MPLS全局配置 (47)5.1.2 LDP协议配置 (47)5.1.3 资源配置 (50)第6章网管配置规范 (52)6.1.1 SNMP管理代理配置 (52)6.1.2 故障管理配置 (54)6.1.3 Flow配置 (56)第7章QOS配置规范 (58)7.1.1 QoS分类和标记 (58)7.1.2 预留带宽管理 (58)7.1.3 流量限速和整形 (59)7.1.4 队列调度 (59)7.1.5 拥塞避免 (60)7.1.6 城域网与ChinaNet、CN2的QoS对接 (61)7.1.7 江苏城域网QoS部署 (61)第8章组播配置规范 (64)8.1.1 组播概述 (64)8.1.2 组播配置 (64)8.1.3 组播组规划 (64)8.1.4 组播RP配置 (64)8.1.5 组播源配置 (65)8.1.6 组播MSDP配置 (65)8.1.7 组播MSDP组限制 (67)第9章BFD配置规范 (68)9.1.1 BFD概述 (68)9.1.2 静态路由配置BFD (68)9.1.3 ISIS协议配置BFD (69)9.1.4 BGP协议配置BFD (69)第10章网络设备安全策略配置推广 (70)10.1.1 源地址合法性检测 (70)10.1.2 路由器引擎保护 (70)10.1.3 城域网设备安全加固策略 (71)第1章概述为保证城域网的运行质量,实现易维护、可管理、集中维护的需要,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。
中国电信IDC维护规范
中国电信IDC维护规范(暂行)中国电信集团公司2006年12月目录序言 (1)编写人员名单 (2)第一章总则 (3)第二章维护组织 (5)第一节维护组织机构及职责 (5)第二节维护职责划分 (6)第三章维护工作基本制度 (7)第一节各级岗位职责 (7)第二节值班和交接班制度 (8)第三节维护作业计划管理制度 (9)第四节安全防护管理制度 (9)第五节资料管理制度 (10)第六节客户进出机房制度 (11)第七节客户资料保密制度 (12)第四章设备维护管理 (13)第一节设备的管理原则 (13)第二节设备的大修和更新 (13)第三节客户设备的管理 (14)第五章维护作业管理 (16)第一节IDC设备集中监控 (16)第二节IDC设备维护 (16)第三节IDC客户设备维护 (17)第四节IDC网络安全维护 (18)第六章IDC机房配套设备的维护管理 (19)第一节IDC机房动力设备维护管理工作 (19)第二节IDC机房空调维护管理工作 (21)第三节IDC机房安全管理工作 (23)第四节IDC机房集中监控维护管理工作 (24)第七章故障处理管理 (25)第一节通则 (25)第二节故障等级划分 (26)第三节故障处理流程 (26)第八章维护质量考核管理 (30)第一节质量指标 (30)第二节质量统计与分析 (31)第三节质量检查 (32)第四节维护质量考核评定 (32)附件一:IDC差异化维护服务等级表 (34)附件二:报告管理中相关报告格式 (35)序言为了更好地支撑转型业务发展,指导各地开展好转型业务维护工作,2006年9月,中国电信集团公司网络运行维护事业部和上海、湖南、广东、浙江、福建、江苏等省(市)电信公司成立转型业务维护规范编写组,按照网络运行维护工作要面向网络、面向产品、面向客户的要求,结合转型业务的特点,吸收各地转型业务维护工作经验和差异化服务、电子运维、综合化集中维护等近几年运行维护管理方面取得的成果,历时2月,经过多层面的广泛征求意见和讨论修改,编写了《中国电信转型业务维护规范(试行)》,现予颁布试行。
中国电信CDMA网络数据的配置方法
中国电信CDMA网络数据的配置方法中国电信CDMA网络中兴和华为设备互联分册(试行)版本号: 1.0中国电信集团公司无线网络优化中心2009年1月发布编写说明:为规范CDMA网络边界互联工作,集团公司制定了《中国电信CDMA 网络边界互联技术方案》,对各种场景下的互联方法等进行了规定。
编制历史:1.组网简介32.核心网数据配置方法42.1.华为核心网42.1.1.数据收集42.1.2.切换信令链路上的配置42.1.3.切换话路上的配置(TDM方式下的切换)6 2.2.中兴核心网82.2.1.数据收集82.2.2.中兴MSCe上的数据配置103.无线网络数据配置方法183.1.华为无线网络数据配置183.1.1.数据收集183.1.2.同频硬切换数据配置193.1.3.HTC硬切换数据配置213.2.中兴无线网络243.2.1.配置BSS对接参数253.2.2.配置BSS的邻接小区253.2.3.配置小区切换参数273.2.4.设置邻接小区283.2.5.增加载频邻区284.硬切换的参数说明294.1.华为294.2.中兴335.互联经验归纳总结351.组网简介软件版本:寻址方式:DPC+SSN2.核心网数据配置方法2.1. 华为核心网2.1.1.数据收集1)切换目标局点的目的信令点码2)相邻MSCID(包括SID="切换目标局的系统识别码"和SWNO=”切换目标局的交换机号”)3)相邻位置区小区信息(LAI、CI),需要和MSCID对应起来4)MAP电路的CIC信息(要求两端配置一致)5)切换关系的局向的中继群信息2.1.2.切换信令链路上的配置1、现网配置背景由于切换的信令交互涉及到MAP层的信令交互,由于现网中存在切换关系的E口交互走的是GT大匹配方式,并没有配置SCCP层的数据和M3UA/MTP3层的数据,所以也是需要增加这部分的数据配置。
2、配置思路根据上述分析,链路上的数据配置主要分为两大部分:(1)SCCP层的数据配置:由于切换局点的“目的信令点”必然是已知的,所以本次配置是基于DPC+SSN的寻址方式,不需要配置GT数据;(2)MTP3/M3UA层的数据配置:由于现网中各MSC到LSTP的链路已经打通,所以信令链路采用窄带链路的方式配置MTP3层的数据,同时将到对局的链路路由指到到LSTP的路由上。
数据中心双线解决方案苏州上海BGP主机解决方案服务器网站IDC方案
数据中心双线解决方案苏州上海BGP主机解决方案服务器网站IDC方案第一篇:数据中心双线解决方案苏州上海BGP主机解决方案服务器网站IDC方案数据中心双线解决方案中国南北电信经营权的拆分后,出现了网通与电信双雄并起的格局。
在实现打破行业垄断、通过竞争为用户创造更多通信消费实惠这一历史性转变的同时,却给国内的大大小小的企业网站和广大网民们带来了新烦恼。
由于骨干网络资源的归属不同及网间结算等商业利益的因素,使得网通与电信两大运营商之间在业务上存在互联互通瓶颈,造成国内网站的区域访问速度快慢不一,如北方网通用户访问托管于南方电信机房的网站速度要比电信用户缓慢近十倍,反之亦然。
这种状况对于国内网站用户的网站运行质量,甚至收发邮件这样的网站日常管理维护工作都带来了极大不便。
互联互通政策层面解决步伐的缓慢,再加上大多数IDC服务商由于费用高昂而普遍采取挂靠单一运营商的模式开展网站托管业务,使得因为网站访问太慢而丧失网民流量的企业网站高达百分之六十。
为了避免这种产业负面影响的持续扩大,数据中心斥巨资租用网通、电信南北两大运营商出口线路、购买当今世界上最先进的智能解析设备,建立了山东第一个高标准的双线路IDC机房。
苏州乐拓数据中心经过全面的市场调研和周密的技术评估后,让原本分属于网通和电信的不同网站用户群都可获得最快的本地网站访问速度,实现了网络上真正的互联互通。
现在最常用的实现双线路的方式有如下几种方式一: 电信网通互相镜像实际是一个网站分别租用两个服务器.分别放在电信机房和网通机房, 然后让电信用户访问电信站点,网通用户访问网通站点.这样让用户获得最好的网络速度.网站镜像的弊端有多方面: 1.投入高成本:用户需要分别在电信机房和网通机房托管两台服务器2.维护成本高:由于网站需要更新,网站站长需要时刻手工同步两台服务器之间的数据.需要花费大量的时间和精力,对于一个实时动态的网站,经常更新同步简直是一个恶梦,由于以上弊端, 网站镜像实际已经很少用户使用.方式二: CDN网站加速服务在电信和网通分别放一个缓存服务器.用户实际访问缓存服务器,缓存服务器再从原网站服务器读取内容.并将已经读取的内容缓存到本地CDN加速的效果:CDN 可以很好的加快静态页面和图片的访问速度.但对动态网站页面(asp,php,等程序,论坛等)CDN就无法加速.甚至还会拖慢速度.方式三双线服务器是这1-2年才全新推出的IDC服务.双线服务器实际是一台服务器分别有电信和网通两条线路接入, 实现电信用户访问电信线路,网通用户访问网通线路.这样实现全国都快速访问的目的.根据不同的机房接入方式.双线服务接入有分单IP接入、单网卡双IP接入和双网卡双IP接入,3种接入方式.其中最好的是单网卡双IP接入.分别提供一个电信IP和网通IP.相比网站镜像/CDN加速.双线服务器具有多种优势: 成本低: 无需实时同步,管理维护成本低廉.网站访问速度快: 不存在缓存问题.网站速度最快.由以上几种方式当中可以看出,第三种方案是最可行的,其中双ip方案又是最节省成本和架构时间的一种方法,由于是采用双ip接入,可以根据服务器的本身条件来接入,如果服务器只有一个网卡,可以在这一个网卡上绑定两个ip,但是网通电信线路传输速度最大不能超过网卡接口的最大速率,如果有条件采用双网卡接入最好,这样可以成倍提高网络利用率,一下是采用双ip接入的网络结构图但是,我们这里也为客户提出单ip双线接入方案,就是在上面的方案的基础上添加一个设备即可,即智能交换机(客户自主根据需要选配),添加之后接入服务器只需要设置一个私有指定ip即可,智能交换机会根据来访客户的线路来自动判断网通电信线路,不需要手动设置路由,但是成本比较高,下面为单ip双线接入网络结构图由上面双线接入的方案当中可以看出,在这个当中起着重要作用的是智能dns系统, 智能域名解析服务是我们公司独立拥有的域名解析服务.使用智能解析服务.可以实现一个域名,电信用户访问电信IP地址.网通用户访问网通Ip地址.智能域名解析服务工作原理: 如下图, 当智能解析服务器收到客户端DNS服务器域名查询申请时, 会智能判断客户端DNS服务器所属电信网络还是网通网络.返回相应的IP地址.这样就实现了一个域名,电信用户访问电信IP,网通用户访问网通IP.智能域名解析服务应用非常广泛.在双线服务器方面,有了域名智能解析的双线服务.才可以说的上是真正的双线服务.或者一个大型网站, 同时在电信和网通有很多服务器,同样需要智能域名解析.同时EDNS智能解析服务还独有DNS轮循服务.DNS轮循服务是大型网站实现网站流量分流,均衡负载的一种重要形式.客户端通过智能dns访问过程如下客户经理:李应中热线咨询:*************手机咨询:*** E-mail/MSN:*************第二篇:个人电脑搭建网站服务器全面解决方案个人电脑搭建网站服务器全面解决方案怎么回事,我的主页不能访问了?!唉,原来这个免费空间又暂停服务了。
电信网络安全管理规范
电信网络安全管理规范一、引言随着互联网技术的迅猛发展,电信网络安全问题日益凸显。
为了保障电信网络的稳定运行和用户信息的安全,制定本电信网络安全管理规范,以规范电信网络安全管理行为,维护网络安全。
二、网络设备与系统安全1. 网络设备安全要求1.1 全部网络设备应具备合法合规的资质和标识,且应有有效的防火墙功能。
1.2 网络设备应定期更新固件和软件,确保安全漏洞得到及时修补。
1.3 网络设备应实施访问控制措施,限制非授权用户对设备的访问。
1.4 网络设备的管理接口应设置强密码,防止未授权的访问。
2. 系统安全要求2.1 核心系统应定期备份,并建立灾难恢复机制。
2.2 系统软件应定期更新,及时修复已知的漏洞。
2.3 用户账号和口令应遵循密码复杂性要求,禁止弱口令的使用。
2.4 权限管理应实行最小权限原则,对不同用户赋予不同的权限级别。
2.5 系统应保留关键操作日志,定期进行审计和检查。
三、数据安全1. 数据备份与恢复1.1 电信运营商应建立数据备份制度,定期对重要数据进行备份。
1.2 数据备份的存储介质应妥善保管,防止数据泄露或损坏。
1.3 定期组织数据恢复演练,确保在发生数据丢失或损坏时能够及时恢复。
2. 用户信息保护2.1 电信运营商应依法收集用户信息,并明示使用目的和范围。
2.2 用户信息应进行加密存储和传输,防止被非法获取。
2.3 严禁将用户信息用于非法用途,如未经用户授权的商业行为等。
2.4 合同期满或用户注销账号后,应及时销毁用户信息。
四、安全事件的处置1. 安全事件的管理1.1 电信运营商应建立安全事件记录和报告制度,及时记录并报告安全事件。
1.2 安全事件的级别应根据风险评估确定,采取相应的处置措施。
1.3 对于重大安全事件,应及时启动应急响应机制,迅速予以处理。
2. 安全事件的跟踪与分析2.1 对于已处理的安全事件,应进行跟踪与分析,总结经验教训。
2.2 分析安全事件的原因和影响,推动相关防护措施的完善。
江苏电信IDC综合管理系统资源数据录入客户操作手册
1数据录入操作手册
1.6客户设备进入、上架流程
用户登陆江苏电信数据方舟网门户,登陆地址:。
登录成功后,可以进行自服务操作。
■操作说明
数据方舟门户首页,如图所示。
图1-35江苏电信数据方舟网界面
进入江苏电信数据方舟网并登录,点击导航栏上的“用户自服务”菜单进入用户自服务界面。
图1-36用户自服务帐号登录界面
图1-37用户自服务系统界面
1)新增设备进入服务。
点击“客户设备进入”菜单栏,进入客户设备进入界面,点击“新增服务”按钮进入新增设备界面。
如图所示。
图1-38客户设备进入界面
进入“客户设备进入”新增界面,点击订单编号“选择”链接选择相对应的订单号,填写相关的设备信息(也可以通过excel批量导入)点击“保存”按钮。
经确认填写的设备无误后,点击“确认上架”按钮,此时表单已发送至客户经理,用户发起已完成。
如图所示:
图1-39客户设备进入新增界面
图1-40选择订单编号界面
图1-41客户设备详细信息界面点击“确认上架”后,表单详情如下:
图1-42客户设备上架详情。
电信级网络设备指标标准总册
电信级网络设备指标标准总册RUSER redacted on the night of December 17,2020中国移动通信企业标准QB-W-008-2007电信级设备指标标准总册G e n e r a l S p e c i f i c a t i o n f o rC a r r i e r G r a d e E v a l u a t i o n版本号:1.0.02007-4-10发布2007-4-10实施中国移动通信有限公司发布目录前言传统电话网基于电路交换,这种网络经过长期的发展和完善,形成了成熟的技术体系和管理模式,能够长时间、稳定地向公众提供电信业务,传统电话网提供的业务通常被我们称为电信级业务。
随着技术的发展和市场的变化,网络呈现宽带化、分组化的发展趋势,基于IP技术的分组交换网络已经成为未来全业务网络的事实标准,在IP网络之上的业务应用也逐渐走向通用服务器加载软件的方式。
然而,旧有的数据路由交换设备和通用计算平台是为企业级应用设计开发的,设备在可用性、可管理性等多个方面不能达到电信级水平。
随着电信网络IP化的发展,数据路由交换设备和通用计算平台在设计理念上发生了重大变化,目前已出现了大量电信级数据承载设备和数据计算设备。
本标准的目的是对网络设备所应达到的电信级要求进行规范。
本标准主要内容包括:电信级网络的定义和特征,系统可用性评估方法和电信级网络设备指标要求框架。
本标准的附录A 数据设备硬件可用性评估方法为资料性附录本标准的附录B软件可用性评估方法为资料性附录本标准的附录C可靠性指标预计(获取)方法论为资料性附录本标准由中移有限技〔2007〕55号印发。
本标准由中国移动通信有限公司技术部提出并归口。
本标准由归口部门负责解释。
本标准起草单位:中国移动通信有限公司研究院本标准主要起草人:孙少陵、周兆民、孙金霞、毛叶琴、杨冬1.范围本标准对中国移动重要数据承载网络设备、核心控制网络设备和数据业务网络设备所应达到的电信级要求进行规范,本标准暂不对接入网末端设备进行规范。
配置规范
IDC数据配置规范为了规范IDC机房数据配置,减少人为工作失误所造成设备、业务影响,依据《中国电信集团河北分公司宽带业务设备管理规范》、IDC数据设备操作注意事项和IDC机房实际情况,特制定本设备配置及命名管理规范。
一、数据配置基本要求:1、涉及核心设备操作时,值班人员两人同时在场,一人操作,一人监护,在涉及到汇聚层以上(包括汇聚层)设置时,必须报数据主管,同时口头报告实施方案。
2、在制作数据前要对现有的配置进行备份,做好回退准备,对临时性的操作不做保存处理。
3、每次数据配置完成后观察至少5分钟,同时对所作的数据进行审核,确认没有问题方可离开设备现场。
4、IDC日常业务开放(包括带宽变更、IP地址的划分)由专人负责,每周向公司汇报变更情况,每月月报中汇报端口开放等详细情况。
5、原则上将IDC数据设备划分为核心层和汇聚层,核心层包括NE80E,汇聚层包括除NE80E以外的其他三层设备(S9312、S8512等)。
华为NE80E的管理一级密码(可以查看状态)向省公司申请,授权IDC值班人员在紧急情况下进行远端查看。
S8500的远程管理二级密码(可以查看和配置),紧急情况下可以远端登陆便于查看,所有密码按照维护规程每月修改一次。
6、所有涉及业务的调整(包括带宽的变更、端口的开放、IP的分配、机柜的变更)必须有政企客户部的工单,个别业务需有政企客户部主任或是主管老总的签字。
7、因业务调整涉及到的数据配置由专人负责,特殊情况可授权值班人员进行操作。
8、IDC在接到工单后在2个工作日内完成对业务的调整。
9、对所有IDC业务的调整必须在正常工作日内进行操作,割接除外。
10、每周核对交换机的配置、端口使用情况、带宽分配情况及机柜使用情况,如可能影响到业务的运行,必须在工作日内进行,同时上报维护中心主任。
11、如需远端登录IDC设备必须有维护中心主任的授权,同时说明需进行的相关操作,操作完成后通知值班人员,由值班人员核查业务运行情况。
IDC接入层业务数据配置规范
IDC接入层业务数据配置规范修改记录内部版本号日期地点作者描述V1.0 2009.12.12 初稿目录一、概述 (1)二、VLAN规划及使用 (1)2.1 1-99 (1)2.2 100-999 ............................................................................................. 错误!未定义书签。
3.2 1000-3999 (1)三、共享业务 (1)3.1 实现方法 (1)3.2 配置规范 (2)四、独享业务 (3)4.1 实现方法 (3)4.2 配置规范 (4)一、概述该规范是针对IDC接入层的10M、100M共享及独享带宽业务的数据配置操作指导,内容包括实现VLAN规划、pVLAN、访问控制、端口限速等配置规则。
二、VLAN规划及使用2.1 2-999用于网络设备之间互联使用,包括汇聚层与接入层上下联、汇聚设备与增值业务平台、网管系统等互联。
3.2 1000-3999为业务生产使用,包括共享、独享网段、防火墙等网段;业务生产VLAN 在接入层设备上配置,同一个机房的不同接入层设备上可以使用相同的VLAN号。
三、共享业务3.1 实现方法1、VLAN共享以VLAN作为共享组,将共享业务电路端口以二层划入该VLAN,再通过VLAN限速实现共享组的速率。
每个共享组VLAN配1个或2个C地址,限定每个VLAN最多可划入20个端口,并要求划完20个端口,再创建新VLAN,以控制带宽利用率过分紧张或过分松散。
如果担心个别端口访问流量过大而挤占其他同VLAN端口,则可以增加限定每个业务端口的速率;限速大小依据市场策略要求而定。
规定共享端口数量、使用顺序和端口速率,作为区分共享和独享业务的差异。
2、pVLAN隔离共享业务VLAN配置为pVLAN形式,进行端口隔离,降低arp欺骗等常见局域网病毒影响。
3、访问控制根据业务单分配的ip地址,在每条电路端口上配置acl源地址访问控制,限定业务单分配地址可以访问互联网,防止非法ip业务。
电信互联网数据中心(IDC)总体技术要求
电信互联网数据中心(I D C)总体技术要求前言本标准是数据中心的系列标准文件之一,该系列标准文件的预计结构及名称如下:1)YD/T 2542-2013 电信互联网数据中心(IDC)总体技术要求2)YD/T 2441-2013 互联网数据中心技术及分级分类标准3)YD/T 2442-2013 互联网数据中心资源占用、能效及排放技术要求和评测方法4)YD/T 2543-2013 电信互联网数据中心(IDC)的能耗测评方法5)电信互联网数据中心(IDC)的运维管理技术要求6)电信互联网数据中心(IDC)网络设备测试方法7)电信互联网数据中心(IDC)网络设备技术要求8)集装箱式电信互联网数据中心(IDC)总体技术要求9)基于云计算的互联网数据中心网络互联技术要求10)基于云计算的互联网数据中心安全指南11)电信互联网数据中心(IDC)虚拟资源管理技术架构随着技术和设备的发展,还将根据情况制定后续相关标准。
本标准按照GB/T 1.1-2009 给出的规则起草。
本标准以GB50174《电子信息系统机房设计规范》等国家标准和行业标准为依据制定而成。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并归口。
本标准主要起草单位:工业和信息化部电信研究院、中国电信集团公司、中国联合网络通信集团有限公司、中国移动通信集团公司、中兴通讯股份有限公司、华为技术有限公司、百度在线网络技术(北京)有限公司、阿里巴巴(中国)有限公司、深圳市腾讯计算机系统有限公司、上海宽带技术及应用工程研究中心。
本标准主要起草人:高巍、蔡永顺、马少武、唐华斌、李明栋、高新菊、陈尚义、张敬、谭杰夫、方行、郭亮、李典林、李洁、张健。
电信互联网数据中心(IDC)总体技术要求1 范围本标准规定了互联网数据中心的系统组成,以及服务、资源、网络、机房设施、管理和安全等六个子系统的功能要求,并对电信互联网数据中心网络与信息安全、编址、服务质量和绿色节能等方面提出了要求。
电信网络信息安全规范
电信网络信息安全规范近年来,随着互联网的快速发展,电信网络信息安全问题日益突出。
为了保护网络用户的个人隐私和资产安全,各国纷纷制定了一系列的电信网络信息安全规范。
本文将从不同角度介绍电信网络信息安全规范的要点和实施措施,帮助读者更好地了解电信网络信息安全相关知识。
一、网络设备安全规范1. 设备接入认证规范为了防止未经授权的设备接入网络,网络设备应支持实施设备接入认证规范。
通过用户身份认证、设备认证和访问控制等技术手段,确保网络只能被授权设备访问。
2. 设备管理规范网络设备管理规范主要包括设备配置安全、设备软件升级安全、设备操作安全等方面。
设备管理员应遵循最佳实践,设定安全的设备配置、定期检查和升级设备固件、限制非管理员的设备操作权限等措施,确保设备的安全性。
3. 设备漏洞管理规范设备漏洞是黑客攻击的重要入口,因此对于网络设备的漏洞管理至关重要。
设备供应商应及时发布漏洞修复补丁,网络运营商应及时进行漏洞扫描和修复,用户应在设备投入使用后及时更新设备固件。
二、网络通信安全规范1. 通信协议安全规范网络通信协议是实现互联网通信的基础,通信协议的安全性直接影响整个网络的安全。
网络运营商应采用安全的通信协议,并定期对协议进行升级和漏洞修复,保障通信的机密性和完整性。
2. 数据加密安全规范为了保护用户的个人隐私和敏感数据,网络运营商应对用户数据进行加密处理。
充分利用现有的加密算法和技术手段,确保用户数据在传输和存储过程中不被窃取和篡改。
3. 通信安全监测规范为了及时发现和阻止网络攻击行为,网络运营商应建立健全的通信安全监测体系。
通过实时监测网络流量、异常行为和攻击特征,及时发现并应对网络安全事件,保障网络通信的安全性。
三、用户隐私保护规范1. 用户信息收集与使用规范网络运营商在收集用户信息时应明确告知用户收集目的和使用范围,并征得用户的明示同意。
运营商应建立健全的用户信息管理制度,保护用户信息的安全和隐私。
电信IDC业务网管系统规范
电信集团IDC业务网管系统规范目录1前言 (1)2适用范围 (1)3名词与术语 (1)4参考资料 (2)5总体要求 (2)5.1整体架构 (2)5.2与外部系统的关系 (3)5.2.1与省IP 城域网网管系统的关系 (4)5.2.2与省级SOC 系统的关系 (5)5.2.3与省级综合故障管控系统的关系 (5)5.2.4与集团IDC 资源管理系统的关系 (5)5.3建设目标 (6)5.3.1远期目标 (6)5.3.2近期目标 (6)5.4建设原则 (7)5.4.1省级IDC 业务网管系统的建设原则 (7)5.4.1.1客户为导向 (7)5.4.1.2充分利旧 (7)5.4.1.3分省接入 (7)5.4.2本地IDC 机房安防系统、动环监控系统建设原则 (8)6IDC 业务网管系统功能要求 (8)6.1运营支撑管理 (8)6.1.1作业计划管理 (8)6.1.2自动巡检 (9)6.1.3自动故障告警 (9)6.2设备故障管理要求 (10)6.2.1端口异常监控 (10)6.2.2故障信息集成 (10)6.2.3故障上报 (10)6.2.4异常及告警的展现 (11)6.2.5异常及告警的处理 (11)6.3设备信息管理要求 (11)6.3.1网络设备管理 (12)6.3.2主机管理 (12)6.3.3地址管理 (12)6.3.4电路管理 (13)6.3.5电路群管理 (13)6.3.6VLAN 管理 (14)6.3.8配置文件管理 (14)6.3.9规范性检查 (14)6.3.10设备OS 版本管理 (14)6.3.11设备历史档案管理 (14)6.4性能管理要求 (14)6.4.1性能门限管理 (15)6.4.2实时性能处理 (15)6.4.3历史性能处理 (15)6.4.4性能监测 (15)6.4.4.1主机性能监测 (15)6.4.4.2网络性能监控 (16)6.4.4.3应用性能监测 (17)6.4.4.4性能检测与分析 (18)6.5网络拓扑管理要求 (18)6.5.1拓扑发现 (18)6.5.2拓扑展现 (18)6.5.3拓扑定制 (19)6.5.4拓扑监视 (19)6.6流量流向管理要求 (20)6.6.1流量流向管理 (20)6.6.2流量流向分析 (21)6.7业务/产品质量管理要求 (23)6.8用户集中权限认证管理 (24)6.9客户管理系统要求 (25)6.9.1大客户管理 (25)6.9.2前端服务管理 (25)6.9.3SLA 管理 (26)7演示系统要求 (26)7.1报表管理系统要求 (27)7.2系统管理要求 (28)7.2.1权限管理 (28)7.2.1.1角色管理 (28)7.2.1.2用户管理 (29)7.2.2系统数据的备份和恢复 (29)7.3日志管理要求 (29)8IDC 业务网管系统外部接口 (29)9IDC 业务网管系统性能要求 (32)10本地IDC 机房安防系统要求 (33)10.1本地视频安防监控系统要求 (33)10.2入侵报警系统要求 (34)11本地IDC 机房动环监控系统要求 (34)11.1数据采集内容及要求 (35)11.2告警管理 (35)11.3综合查询分析报表 (36)D) 环比分析报表(趋势分析)__ (36)1前言互联网数据中心(Internet Data Center,IDC)(以下简称IDC)是中国电信依托电信级机房设备、高质量的网络资源、系统化的监控手段、专业化的技术支撑,为客户提供标准机房环境、持续安全供电、高速网络接入、优质运行指标的设备托管以及相关增值服务,并向客户收取相应费用的一项业务。
中国电信IDC产品规范
中国电信IDC产品规范(暂行规定)中国电信集团公司2005年10月(内部资料,注意保密)目录第一章总则 (3)1、IDC产品定义 (3)2、产品名称和形象标识 (3)3、相关术语和缩略语 (3)4、规范执行 (4)第二章 IDC产品描述 (5)1、基础业务 (5)2、增值业务 (6)第三章 IDC产品技术规范 (8)1、机房功能分区 (8)2、机房建筑条件 (8)3、机房环境条件 (9)4、供电系统 (10)5、空调系统 (11)6、网络系统 (11)7、布线系统 (12)8、KVM系统 (12)9、网管系统 (13)10、网络安全系统 (16)11、数据存储备份系统 (16)第四章 IDC产品等级 (17)第五章 IDC产品管理 (25)1、故障分级和上报 (25)2、产品分级管理 (25)3、客户和资源录入制度 (26)第一章总则1、IDC产品定义中国电信互联网数据中心(Internet Data Center)(以下简称中国电信IDC)是以电信级独立机房和网络资源为依托,以高水平专业化技术支撑队伍为基础,为各类客户提供设备托管以及相关增值服务,并定期向客户收取相应服务费用的一项产品。
中国电信IDC需满足本规范中对IDC等级划分的最低要求。
2、产品名称和形象标识中国电信IDC产品的名称为:中国电信XX(地名)互联网数据中心,简称中国电信XX(地名)IDC。
中国电信IDC产品统一使用中国电信的企业品牌标识,不使用新的产品标识。
3、相关术语和缩略语IDC:(Internet Data Center)互联网数据中心LOGO:公司或企业的商标或标志SP:Service Provider,服务供应商SLA:Service Level Agreement,服务品质协议VIP:Very Important Person 贵宾KVM:Keyboard Video Mouse(键盘、显示器、鼠标)DdoS:Distributed Denial of Service分布式拒绝服务SAN:Storage Area Networking 存储区域网络NAS:Network Attached Storage网络连接存储DNS(Domain Name System)域名管理系统C/S:Client/Server,客户机/服务器结构B/S:Browser/Server,浏览器/服务器结构AS:Autonomous System 自治域SNMP:Simple Network Management Protocol 简单网络管理协议UPS:Uninterruptible Power System不间断电源系统防火墙:用以防范非授权的访问,保护信息安全的一个或一组系统。
数据中心基础设施技术规范
数据中心基础设施技术规范引言概述:数据中心作为现代信息技术的核心基础设施,扮演着存储、处理和传输大量数据的重要角色。
为了确保数据中心的高效运行和安全性,制定一系列的技术规范是必要的。
本文将详细介绍数据中心基础设施技术规范的五个主要方面。
一、硬件设备规范1.1 服务器规范- 硬件配置要求:包括处理器、内存、存储器等硬件组件的规格和性能要求。
- 网络接口要求:服务器的网络接口类型、数量和速度要满足数据中心的需求。
- 电源供应规范:服务器的电源供应应具备冗余和备份机制,以确保持续稳定的供电。
1.2 网络设备规范- 交换机规范:交换机的端口数量、速度和交换能力要满足数据中心的网络流量需求。
- 路由器规范:路由器的处理能力、路由表容量和接口数量要满足数据中心的网络拓扑和传输需求。
- 防火墙规范:防火墙应具备高性能的数据包过滤和访问控制能力,以保护数据中心免受网络攻击。
1.3 存储设备规范- 存储容量要求:存储设备的容量应能满足数据中心的数据存储需求,包括冗余备份和容灾机制。
- 存储性能要求:存储设备的读写速度和响应时间要满足数据中心的数据访问需求。
- 存储协议规范:存储设备应支持主流的存储协议,如Fibre Channel、iSCSI 等。
二、电力供应规范2.1 供电容量规范- 电力负荷评估:根据数据中心的设备需求和未来扩展计划,评估所需的电力负荷容量。
- 电源冗余规范:电力供应应具备冗余备份机制,以确保在电力故障时数据中心的持续运行。
- UPS规范:UPS的容量和备份时间要满足数据中心在电力故障时的应急需求。
2.2 供电可靠性规范- 电力回路规范:数据中心的电力回路应采用双路供电,以确保在电力故障时的持续供电。
- 发机电规范:发机电的容量和启动时间要满足数据中心在长期停电时的应急需求。
- 电力监控规范:应建立电力监控系统,实时监测电力供应的状态和质量。
2.3 电力分配规范- 电力分配设计:根据数据中心的布局和设备需求,合理规划电力分配方案,确保供电均衡。
中国电信无线网络优化平台技术规范_功能规范
中国电信无线网络优化平台技术规范功能规范(讨论稿)中国电信集团公司无线网络优化中心2008-8目录1范围 (1)2术语和定义 (1)3系统功能要求 (1)3.1数据管理 (1)3.1.1数据管理总体要求 (1)3.1.1.1数据存储要求 (1)3.1.1.2数据可靠性要求 (1)3.1.1.3数据备份要求 (2)3.1.1.4数据完整性要求 (2)3.1.1.5数据性能要求 (2)3.1.2基础数据管理 (3)3.1.2.1无线网元基础数据管理 (3)3.1.2.2无线网元基础数据变更记录及分析 (5)3.1.3性能数据管理 (5)3.1.3.1性能数据的解析和管理 (5)3.1.3.2模板的查询 (7)3.1.3.3自定义的综合查询 (7)3.1.3.4自定义性能软告警分析 (8)3.1.3.5自定义性能趋势分析 (9)3.1.3.6自定义性能指标GIS专题图 (9)3.1.4参数数据管理 (9)3.1.4.1参数解析和查询 (10)3.1.4.2参数数据统计管理 (10)3.1.4.3参数变化分析 (11)3.1.5告警数据管理 (11)3.1.5.2 自定义查询 (11)3.1.6无线话单数据管理 (12)3.1.6.1无线话单采集、存储 (12)3.1.6.2无线话单的查询 (12)3.1.6.3无线话单的统计 (13)3.1.7测试数据管理 (13)3.1.7.1测试数据的导入、查询 (13)3.1.7.2测试数据的分析 (14)3.1.8客户投诉数据管理 (14)3.2性能监控 (16)3.2.1.1零业务量小区监控 (16)3.2.1.2高拥塞小区)监控 (16)3.2.1.3高掉话小区监控 (17)3.2.1.4切换成功率低小区/载频监控 (17)3.2.1.5业务异常监控 (18)3.2.1.6低起呼成功率小区监控 (18)3.2.1.7BSC/整网性能监控 (19)3.2.1.8干扰小区监控 (19)3.2.1.9重要场所监控 (20)3.3报表系统 (20)3.3.1 常用报表制作 (20)3.3.2 定期报表调度 (21)3.3.3 报表模板设计器 (21)3.4优化支撑 (21)3.4.1TOPN小区分析 (21)3.4.2最差小区分析 (22)3.4.3拥塞小区分析 (22)3.4.4直放站影响分析 (23)3.4.5新站入网分析 (23)3.4.7导频污染分析 (24)3.4.8相邻小区优化 (24)3.4.9小区干扰分析 (25)3.4.10重要场所性能分析 (25)3.4.11掉话分析 (25)3.4.12接入分析 (26)3.4.13VIP客户服务保障 (26)3.4.14话单数据分析 (27)3.5GIS(地理信息辅助分析) (27)3.5.1基本操作及图层控制 (27)3.5.2网元工程进度和运行状态的动态呈现 (28)3.5.3网元信息综合呈现及查询 (28)3.5.4基于小区模拟覆盖图的KPI渲染 (28)3.5.5小区KPI指标地理信息化分析 (29)3.5.6无线参数地理信息化分析 (29)3.5.7邻区关系的地理信息化分析 (29)3.5.8网络边界地理信息化分析 (30)3.5.9同、邻PN分析及O NE W AY、T WO W AY核查 (30)3.5.10M APINFO及G OOGLE EARTH的卫星图层 (30)3.5.11测试数据管理 (30)3.5.12监控结果展示 (31)3.5.13数据业务地理展示 (31)3.6数据业务分析 (31)3.6.1数据业务的性能指标查询 (31)3.6.2数据业务指标分析 (32)3.6.3数据业务报告 (32)3.7系统管理 (33)3.7.1安全管理 (33)3.7.1.1用户管理 (33)3.7.1.3系统登录和操作监控 (34)3.7.2日志管理 (35)3.7.3数据备份及恢复管理 (35)3.7.4负荷管理 (35)4系统技术要求 (35)4.1接入方式及接入能力 (35)4.2系统可靠性要求 (36)4.3系统时间响应要求 (36)4.4数据采集能力要求 (36)4.5数据联机存储能力要求 (37)4.6系统用户界面要求 (37)4.7系统可维护性要求 (37)4.8系统可扩展性要求 (38)4.9系统开放性要求 (38)4.10网络安全要求 (38)4.11其他要求 (38)中国电信无线网络优化平台技术规范功能规范1 范围本规范描述了中国电信无线网络优化平台的功能规范,涵盖了数据管理、性能监控、报表系统、优化支撑分析、GIS(地理信息辅助分析)、数据业务分析、系统管理和系统技术要求等方面。
电信互联网数据中心总体技术要求
电信互联网数据中心总体技术要求本文档旨在简要介绍《电信互联网数据中心总体技术要求》的背景和目的。
该文档是为了规范电信互联网数据中心在技术方面的要求而制定的。
电信互联网数据中心在信息技术的快速发展和网络应用的广泛应用下,扮演着越来越重要的角色。
电信互联网数据中心不仅为用户提供数据存储、处理和传输的基础设施,同时也关乎着信息安全和可靠性。
为了确保电信互联网数据中心的安全、高效运行,并兼顾用户的需求,制定本文档旨在提供指导,确保数据中心的技术要求得到满足。
本文档的目的是为电信互联网数据中心的建设、操作和监管提供一个统一的标准,以保证数据中心的运行安全、效率和可持续性。
通过本文档,我们将明确规定电信互联网数据中心的总体技术要求,包括但不限于网络设备、服务器、存储设备、冷却系统、电力供应等方面的要求。
同时,本文档也将涵盖数据中心的物理环境、安全管理、监控与维护等关键方面。
本文档将为各个相关方提供一个参考框架,以确保电信互联网数据中心的建设和运营达到高标准,为用户提供稳定、安全、高效的服务。
本文档定义了《电信互联网数据中心总体技术要求》的适用范围和相关术语。
本文档旨在提供电信互联网数据中心在技术方面的整体要求,包括网络架构、硬件设备、安全规范等内容。
数据中心应采用高可用、高性能的网络架构,确保数据传输的稳定性和速度。
网络架构应具备弹性扩展能力,能够满足未来数据流量增长的需求。
应采用分层架构,实现网络资源的有效管理和灵活配置。
数据中心的服务器设备应具备高性能和稳定性,能够处理大规模的数据交换和计算任务。
存储设备应具备高容量和可靠性,能够满足大规模数据存储的需求。
网络设备应具备高速传输能力和可靠性,确保数据的快速和安全传输。
数据中心应具备严格的物理安全措施,确保未经授权的人员无法进入机房。
网络安全应具备强大的防火墙和入侵检测系统,保障数据的安全性和隐私性。
应建立完善的备份和恢复机制,以应对意外事故和数据丢失的情况。
中国电信机房标准化规范
中国电信机房标准化规范目录一、基站标准化规范2.1基站房屋2.2机房环境2.3机房安全管理2.4设备安装2.5走线架2.6线缆布放2.7机房用电2.8防雷与接地2.9空调2.10环境监控系统2.11设备管理2.12资料管理一、基站标准化规范2.1基站房屋(1)站址1) 基站的站址不宜设在大功率无线发射台,大功率电视发射台、大功率雷达站和具有电焊设备、X光设备或生产强脉冲干扰的热合机、车床、高频炉的企业或医疗单位附近(个别基站选址时不得不在医疗单位附近时应尽量远离放射科室)。
2) 基站的站址不宜设在易燃、易爆及有腐蚀性物品的仓库和材料堆积场,以及在生产过程中容易发生火灾和爆炸危险的工业、企业附近。
3) 基站四周视野应开阔,基站天线主瓣方向(200m以内)没有高于基站天线高度的高大建筑物阻挡。
(2)荷载抗震加固1) 基站机房防雷、防震、接地应符合按照《电信专用房屋设计规范》(YD 5003-2005)要求。
地面匀布荷载应大于 600kg/m2(同机房内有更高荷载要求设备,按高荷载计),不能达到的采取承重加固措施。
2) 楼面为预制板楼面时,应加强楼面的整体性,防止产生裂缝。
对于租用房屋经改造作为机房使用的,应采用加固措施,尽量使设备及蓄电池组的荷载直接分散到承重墙上。
(3)基站外环境要求1) 站房附近无垃圾、积水,站房围墙内无垃圾、工程遗留物等。
2) 独立建站,需有围墙,围墙门完好、围墙无缺口,能正常关锁、隔离。
3) 围墙外排水设施齐全,四周排水孔畅通,地基稳固无沉降,围墙无裂痕。
4) 散水坡完好,无断裂和塌陷现象。
2.2机房环境(1)基站大门1) 机房门采用钢质防盗门,门外开,防盗门不应有损坏或腐蚀生锈痕迹, 门锁不锈蚀,打开容易、防盗性能良好;2) 基站防盗门外侧应有醒目、统一的警示牌。
(2)基站窗户、地面、墙面1) 机房窗户应不受阳光直射,受阳光直射时需用遮光纸做避光处理或用隔热板封闭窗户。
2) 机房室内净空高度≥2.8m。
电信行业网络信息安全规范
电信行业网络信息安全规范概述:随着互联网和信息技术的飞速发展,电信行业的网络信息安全问题成为各国政府和企业普遍关注的焦点。
为确保网络安全和信息保密,电信行业制定了一系列规范和标准,以规范网络信息安全管理和操作流程,保护用户的合法权益,实现信息的顺畅传输和互联互通。
一、基础设施安全规范1.1 网络设备安全规范在电信行业中,网络设备是信息传输和通信的基础。
为确保网络设备的安全性和可靠性,制定以下规范:1.1.1 设备采购规范网络设备采购时,必须严格遵守政府和行业的采购规定,选购正规厂家生产的设备,并与厂家签署正式的购买合同。
采购评估时要注意设备的性能、可扩展性以及安全性等方面的指标。
1.1.2 设备布线和安装规范设备布线和安装时要遵循标准化的布线方案,并配备合格的专业人员进行安装和调试。
设备安装完毕后要进行全面的安全测试,确保设备运行稳定和安全。
1.1.3 设备维护和更新规范定期对网络设备进行维护和安全更新,及时修复设备漏洞和软件缺陷,保障设备的稳定性和安全性。
同时,建立完善的设备运维记录和漏洞管理机制,并定期对设备进行巡检和评估。
1.2 数据中心安全规范数据中心是电信行业重要的信息存储和处理中心。
为保障数据中心的安全和可靠性,制定以下规范:1.2.1 数据备份和恢复规范建立完善的数据备份和恢复机制,定期对重要数据进行备份,并测试备份数据的完整性和可用性。
同时,制定应急预案和恢复方案,确保数据灾难恢复的快速性和准确性。
1.2.2 访问控制和权限管理规范建立有效的访问控制和权限管理机制,限制非授权人员的访问,确保数据的机密性和完整性。
为不同的用户和角色设置不同的权限,并定期审计权限的使用情况,及时撤销不必要的权限。
1.2.3 物理安全规范数据中心的物理安全至关重要。
确保数据中心的门禁系统、监控系统、灭火系统等设备的正常运行和维护,保护数据中心免受非授权人员和自然灾害的侵害。
二、网络安全操作规范2.1 网络访问控制规范为保护网络安全,制定以下规范:2.1.1 账号和口令管理规范制定强密码策略,要求用户设置复杂且安全的密码,并定期更换密码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
江苏电信IDC网路由设备(地市局数据配置规范总则中国电信江苏公司2013年3月目录第1章概述 (51.1术语、缩写和命名 (51.2网络结构说明 (7第2章IDC网络设备命名及链路描述规范 (10 2.1设备命名规范 (102.1.1适用范围 (102.1.2设备命名规范格式 (102.2端口描述规范 (122.2.1环回端口描述 (122.2.2网络端口描述规范 (122.2.2.1适用范围 (122.2.2.2端口描述包含下面几部分 (122.2.3关于阿朗7750 的二/三层端口描述 (13 2.2.4空闲端口 (13第3章路由器基本配置规范 (143.1系统基本配置规范 (143.1.1设备名称配置 (143.1.2Banner配置 (143.1.3设备自身时间及NTP (143.1.3.1时区配置 (143.1.3.2系统本地时间 (143.1.3.3NTP消息源地址 (153.1.3.4NTP协议加密 (153.1.3.5关闭SNTP进程 (153.1.4Telnet配置 (163.1.4.1连接数限制 (163.1.4.2空闲时间 (163.1.4.3TELNET访问控制列表 (163.1.5AAA配置 (173.1.5.1AAA服务器IP地址和端口号 (17 3.1.5.2AAA消息数据包源地址 (173.1.5.3认证模式 (183.1.5.4授权模式 (183.1.5.6本地用户帐号 (193.1.6系统高可靠性配置 (193.1.7软件启动顺序 (193.2端口配置规范 (193.2.1MTU值设计 (193.2.2Loopback端口配置 (203.2.3GE端口配置 (213.2.3.1端口描述 (213.2.3.2MTU值 (213.2.3.3关闭GE端口协商 (223.2.3.4关闭存在风险的安全漏洞 (22 3.2.3.5端口开启震荡禁止 (233.2.4GE子端口端口配置 (233.2.4.1命名规范 (233.2.5POS端口配置 (243.2.5.1端口描述 (243.2.5.2MTU值 (243.2.5.3POS封装、帧等 (243.2.5.4POS链路同步时钟 (25 3.2.6端口镜像配置 (26第4章路由协议配置规范 (27 4.1.1IDC路由架构概述 (274.1.2路由优先级/管理距离 (27 4.1.3静态路由配置 (284.1.3.1静态路由优先级 (284.1.3.2静态路由配置方式 (28 4.1.3.3静态黑洞路由配置 (29 4.1.3.4浮动静态路由配置 (29 4.1.3.5静态路由标记和描述 (29 4.1.4OSPF配置 (304.1.4.1概述 (304.1.4.2IDC网OSPF部署策略 (30 4.1.4.3OSPF进程名 (304.1.4.4OSPF router-id (314.1.4.5OSPF 时间参数 (314.1.4.6OSPF 接口配置 (314.1.4.7OSPF reference-bandwidth (32 4.1.4.9OSPF重分布路由 (324.1.4.10OSPF缺省路由 (334.1.4.11路由协议优先级 (334.1.4.12OSPF log邻居变化信息 (34 4.1.4.13OSPF 邻居链路加密 (344.1.4.14OSPF 链路cost调整 (344.1.4.15OSPF 快速收敛 (344.1.5BGP配置 (354.1.5.1概述 (354.1.5.2自治系统 (354.1.5.3IDC BGP 部署策略 (364.1.5.4BGP router-id配置 (364.1.5.5BGP log邻居变化信息 (364.1.5.6关闭BGP同步和自动汇总 (37 4.1.5.7BGP邻居MD5加密 (374.1.5.8BGP时间参数 (374.1.5.9BGP Community 属性规划 (38 4.1.5.10ChinaNet BGP 路由策略 (38 4.1.5.11CN2 BGP路由策略 (384.1.5.12BGP Peer group命名 (384.1.6默认路由管理 (39第5章网管配置规范 (415.1.1各地市网管采集机IP地址表 (41 5.1.2SNMP管理代理配置 (415.1.2.1全局开启SNMP进程 (415.1.2.2SNMP版本 (425.1.2.3RO Community值 (425.1.2.4RW Community值 (425.1.2.5SNMP访问控制列表 (435.1.2.6Ifindex索引一致性 (435.1.3故障管理配置 (445.1.3.1SNMP TRAP信息内容 (445.1.3.2SNMP TRAP 服务器地址 (44 5.1.3.3SNMP TRAP消息源地址 (445.1.3.4SYSLOG服务器地址 (445.1.3.5SYSLOG信息级别 (455.1.3.6SYSLOG消息源地址 (45第6章QOS配置规范 (47第7章BFD配置规范 (487.1.1BFD概述 (487.1.2静态路由配置BFD (487.1.3OSPF协议配置BFD (487.1.4BGP协议配置BFD (49第8章网络设备安全策略配置 (508.1.1源地址合法性检测 (508.1.2路由器引擎保护 (508.1.3IDC设备安全加固策略 (50第1章概述为保证江苏电信IDC网络的运行质量,实现易维护、可管理、集中维护的需要,必须在设备能力、网络设计、网络配置、维护流程、支撑系统等环节予以保障。
网络配置主要是指通过在设备上实施具体配置规范,开启设备控制层面和转发层面的功能和特性,实现网络的互通,保证网络具备预期的业务承载能力。
同样的物理网络在不同的配置下所提供的业务承载能力可能差距甚远,此外,由于网络规模不断扩大,设备特性不断变化,配置工作正日益变得复杂,全网配置发生错误的概率也在增加,因此很有必要对IDC网络设备的网络配置予以规范。
本篇是针对江苏电信IDC网络路由设备配置规范制定的总体原则,用于总结性描述IDC网络设备配置的相关规范标准,目的是为IDC配置规范各设备分册提供总体技术特性介绍。
本文主要内容安排如下:1. 介绍IDC网络目标网络结构以及路由设备在IDC网中的功能定位;2. 从网络配置方面阐述各技术功能和特性的说明以及规范要求。
3. 提出文档维护和执行的管理要求。
1.1 术语、缩写和命名为增强网络设备配置的可读性,借鉴了匈牙利命名法。
采用“类型+描述”的方式命名各类策略,其中“类型”为设备策略关键字的首字母缩写,均为小写英文字母;“描述”主要说明策略的用途,首字母和关键字为大写英文。
以下表为例:aclPermitSNMP 定义access-list设置允许通过SNMP协议访问设备的主机白名单rpFrom163 用于CRS设备的路由策略route-policy,一般定义为接收ChinaNet的BGP 路由策略psTo163 用于CRS设备的前缀列表prefix-set,一般定义为向ChinaNet发送的BGP 前缀列表本文中将使用下列术语和缩写,除非文中特别说明,否则意义如下;对于下表中未说明的术语和缩写,应做业界标准或惯例理解。
ACL Access Control List 访问控制列表AS Autonomous System 自治系统BGP Boarder Gateway Protocol 边界网关协议CAR Committed Access Rate 承诺访问速率CR Core Router 核心路由器DDoS Distributed Deny of Service 分布式拒绝服务攻击DiffServ Differentiated Services 差分服务DSCP Differentiated Service Code Point 差分服务代码点FRR Fast Re-route 快速重路由GE Gigabyte Ethernet 千兆以太网GR Graceful Restart 平滑重启动HA High Availability 高可用性HDLC High Data Link Control 高级数据链路控制IP Internet Protocol 互联网协议ISIS Inter System to Inter System 中间系统到中间系统MIB Management Information Base 管理信息库NSF Non Stop Fowarding 不间断转发NSR Non Stop Routing 不间断路由NTP Network Time Protocol 网络时间协议OAM Operation Administration and Maintenance 操作维护管理OSPF Open Shortest Path FirstPE Provider Edge 运营商边缘设备POS Packet over SDH SDH封装数据包PPP Point to Point Protocol 点到点协议QoS Quality of Service 服务质量RR Route Reflector 路由反射器SNMP Simple Network Management Protocol 简单网络管理协议TCP Transfer Control Protocol 传输控制协议UDP User Data Protocol 用户数据报协议uRPF Reverse Path Fowarding 反向路径转发VRRP Virtual Routing Redundancy Protocol 虚拟路由冗余协议上行流量用户发出的流量下行流量用户收到的流量1.2 网络结构说明江苏电信IDC网络包括省IDC专网和地市IDC网络,截至2012年底江苏IDC 专网负责南京、苏州、无锡、南通、常州、镇江、扬州、徐州共八个地市IDC 网络的接入。
地市IDC网络分为IDC核心层(汇聚层和接入层两个层次。
根据五星级IDC与本地IDC是否合设的区别,地市IDC核心层与省IDC专网、ChinaNet、城域网的连接关系可分为两类:图一:五星级IDC和本地IDC分离图二:五星级IDC和本地IDC合设地市IDC网络结构原则上设为核心层和接入层两个层次。
考虑到部分地市存在多个IDC机房,核心层可分为出口核心和汇聚两层。
汇聚层可采用高密度、大容量交换机路由器设备。
接入层不建议级联。
核心层(包括汇聚层提供10GE及以上带宽的业务接入颗粒度,接入层提供GE 及以下带宽的业务接入颗粒度。
对于GE至10GE之间带宽的业务接入需求,可根据端口数量、设备支持情况,在确保网络架构简洁、结构清晰的基础上,优先接入核心层(包括汇聚层。