中国联通通信网络运行维护规程

运行维护规程

络 设 备 分 网 册

IP网设备篇

中国联合网络通信集团有限公司

二零一零年七月

目 录

第五篇IP网设备 ............................................................................... 2

第一章通则 ................................................ 2

第二章设备维护管理 ........................................ 3

第一节设备维护管理基本规定 .................................. 3

第二节设备维护具体要求 ...................................... 4

第三章网络维护管理 ........................................ 6

第一节网络维护管理基本规定 .................................. 6

第二节网络维护管理要求 ...................................... 6

第三节网络变更管理要求 ...................................... 7

第四节网络运行维护指标 ...................................... 8

第四章故障管理 ............................................ 8

第一节故障定义 .............................................. 8

第二节故障处理 ............................................. 10

第三节故障报告、统计和分析 ................................. 10

第五章IP网网络安全管理 ................................... 11

第一节安全管理专人负责制 ................................... 11

第二节网络设备和主机系统的安全管理 ......................... 11

第三节网络安全要求 ......................................... 12

第四节日常维护的安全管理 ................................... 13

第五节网络安全防护 ......................................... 13

第六章维护作业计划 ....................................... 14

附录1：IP网网络及设备的主要运行维护技术指标 .................... 17

第五篇IP网设备

第一章 通则

第1条 本篇适用于中国联通互联网、中国联通IP承载网的网络设备、网管系统、中继电路及接入认证、域

名系统等设备的维护。

第2条 IP网设备包括网络设备、主机设备、接入设备。

1. 网络设备主要包括：路由器、二层（及以上）以太网交换设备、防火墙以及具备三层路由功能的IP网

相关设备。

2. 主机设备主要包括：IP网管系统相关的服务器、DNS服务器、接入认证服务器、计费服务器及有关磁

盘阵列、磁带机等主机和存储设备。

3. 接入设备主要包括：宽带接入服务器、窄带拨号接入服务器等。

第3条 IP网软件及数据主要包括：IP网络设备运行软件、主机设备操作系统软件、认证计费系统软件、DNS

系统软件、网管系统软件、数据库软件、漏洞扫描及病毒防护安全软件等和IP网配置数据（网络数据、业务数据）、

网络运行数据。

第4条 IP网配套设备主要包括：用于IP网网络设备之间连接及业务接入的通信线缆、动力线缆、地线，机

架电源，配线架，光电转换器，仪表仪器，专业工具，备品备件等，以上设备的维护管理须遵循相应设备维护规程。

第5条 IP网骨干网路由器、省网路由器、城域网主要网络设备和认证计费系统、DNS系统、网管系统等关

键应用系统的主机设备属于IP网重要设备。

第6条 本规程依据IP网的技术体制及维护技术指标体系的要求制定。

第二章 设备维护管理

第一节 设备维护管理基本规定

第7条 IP网设备的维护包括日常维护、定期维护和突发性维护（故障处理）：

（1） 日常维护是指日常检测等经常性的简单维护工作，包括对设备、系统、电路、网络性能的实时监控。

（2） 定期维护是指按规定期限进行的预检、预修、检测等维护工作。包括对设备、系统、电路的周期性

检测，对设备所在机房的巡视和环境维护等；设备的定期维护应有详细记录，并由主管负责人审核、

签字。

（3） 突发性维护指对设备、系统、电路的故障处理等。

第8条 各省级分公司对辖区范围内的所有IP网相关设备、电路等应建立准确、完备的资料档案，对辖区用

户的相关资料、接入路由应建立详细、准确的台帐信息，并做到及时更新。

第9条 IP网网管和设备维护分工原则。

1. 网管部门负责监控网管设备和所辖网络设备的工作情况，负责所辖网络的性能统计、分析；管理相关

网络资源，提出网络优化需求及制定优化方案；负责网络业务数据处理，提供节点设备维护技术指导，并负责监

督。现场维护部门负责监测属地所有网络设备的运行状态，并负责故障处理、设备硬件维护和返修。

2. 对于IP网设备故障，由网管部门主持协调处理，现场维护部门协助配合，并对故障现象和处理过程作

详细记录。

3. 对于涉及相关设备的中继和用户电路阻断，现场维护部门应积极配合网管部门尽快查找原因，判断故

障段落。在确定非本端的问题后，应及时通知传输维护部门，并作好相关情况的记录。

第10条 未得到相关维护管理部门的许可，严禁对路由器、高端以太网交换机、宽带接入服务器等重要网络

设备执行硬重启、复位和软件或局数据加载等操作。

第11条 各级维护部门对所有网络设备应包机到人，实行包机责任制。

第12条 新设备启用应执行入网许可证制度及公司的验收测试制度。

第13条 新建的IP网设备的业务开放，必须经过工程初验，满足各项技术指标和设计要求，并正式移交IP网

维护部门之后进行；对于在建工程进行的业务开放，原则上不予实施，特殊情况需经相关的运维管理部门批准。

第二节 设备维护具体要求

第14条 IP网网络设备维护项目及要求。

1. 主要项目：

（1） 监测节点板卡运行状态；

（2） 监测中继电路状态；

（3） 监控设备或系统CPU、内存占用率；

（4） 检查是否有严重及以上级别告警；

（5） 检查分析系统日志；

（6） 统计中继电路利用率(平均和峰值)；

（7） 统计出省中继电路出入流量；

（8） 检查、修改设备各级登录口令；

（9） 清洁机房环境和设备。

2. 维护要求：

（1） 监控设备运行状况，保证网络正常运行；

（2） 发现故障后应及时处理，无法排除的故障应报上一级网管中心；

（3） 做好相关记录。

第15条 IP网主机设备维护项目及要求。

1. 主要项目：

（1） 监测设备CPU、内存状态；

（2） 监测磁盘阵列、存储空间；

（3） 监测文件系统；

（4） 检查重要进程及数据库存活性、健康性；

（5） 监测设备日志及告警信息。

2. 维护要求：

（1） 监控设备运行状况，保证相关设备正常运行；

（2） 发现故障和隐患后应及时处理，并做好记录。

第16条 IP网接入设备维护项目及要求。

1. 主要项目：

（1） 监测节点设备主控板CPU占用率；

（2） 监测单板运行状态；

（3） 检查节点是否有严重及以上级别告警；

（4） 统计端口占用率；

（5） 统计分析中继流量、中继占用率情况(平均和峰值)和并发用户数；

（6） 检查分析设备系统日志。

2. 维护要求：

（1） 监控设备运行状况，保证网络正常运行；

（2） 发现故障和隐患后应及时处理，并做好记录。

第17条 IP网软件（包括网络设备操作系统软件、网管软件、认证计费系统软件、DNS软件, 安全软件等）

和配置文件维护项目及要求。

1. 主要项目：

（1） 软件及配置文件备份；

（2） 软件版本升级；

（3） 配置数据的增、删、改。

2. 维护要求：

（1） 设备的配置文件应定期进行备份；

（2） 所有设备在作配置修改前，必须对可能受到影响的系统软件、数据库、配置文件进行完整的备份，

并做完整性、一致性检查；

（3） 设备配置文件的备份必须多于一份，且保存在不同的存储介质上；

（4） 对IP网设备的软件版本进行周期性审计和分析的工作，并提出更新、升级建议。

第18条 IP网资源数据档案、运维资料的维护管理。

1. 资源数据档案、运维资料包括：

（1） 网络拓扑结构；

（2） 中继电路及用户电路资料；

（3） 配置数据、设备局数据资料、维护操作手册；

（4） 配置数据修改记录、故障处理记录、值班日志；

（5） 设备台账和机历簿；

（6） 运维人员通信录。

2. 维护要求：

（1） 严格管理相关维护资料，建立文档管理体系；

（2） 严格遵守公司相关保密制度，未经批准不得擅自向公司以外人员泄露相关资料；

（3） 根据网络的变更及时更新资料内容。

第三章 网络维护管理

第一节 网络维护管理基本规定

第19条 IP网网络维护管理必须遵循全程全网的原则，严格遵守IP网运行维护的基本任务和要求。

第20条 IP网网络维护管理的基本要求

1. 掌握IP网运行状况、网络资源和网络发展情况，合理调配网络和设备资源，保证IP网资源的合理

利用和网络运行最优化。

2. 制定IP网维护割接、网络优化方案，并组织实施。

3. 对符合入网技术要求的新设备、新系统的正式使用，执行验收制度。

4. 专人负责IP网网管系统的硬件、软件及相关设备的维护。

5. 对于现用或备用的网管系统，不得擅自更改其配置、结构或拆除部件，保证网管设备和系统完好。

第二节 网络维护管理要求

第21条 IP网监控管理。主要内容包括：网络设备监控、中继电路状态监控、网络流量监控、网络性能监控、

用户或业务电路状态监控及IP网网管系统及设备运行性能监控。

1. 网络设备监控：指对IP网骨干网设备、省网或城域网设备、接入设备的运行状况、性能的监控，

统计分析网络设备对业务的承载能力。

2. 中继电路状态监控：指对IP网骨干网、省网或城域网中继电路的连通性监控，及时发现网络中继

故障。

3. 网络流量监控：指对IP网骨干网与国内外运营商网间互联电路、IP网骨干网POP点间中继电路、

IP网省网或城域网上联骨干网电路、IP网省网或城域网内节点间中继电路的流量监控，用以分析网络带宽资源

的利用率、趋势、模型以及发现网络的异常流量。

4. 网络性能的监控：指对IP网骨干网与国内外运营商网间互联、IP网骨干网POP点间互联、IP网省

网或城域网与IP网骨干网互联、IP网省网或城域网内重要设备间互联的网络时延、丢包率等网络性能的监控，

用以统计、分析网络的性能及业务质量。

第22条 IP网码号资源（包括IP地址和自治域号码）的维护管理作为IP网维护管理的重要内容，必须设置

专人负责，做到以省公司为单位统一规划、合理使用，对IP地址的使用应及时记录、更新、备案。具体管理要求

参见公司相关管理规定。

第23条 IP网资源统计分析。应定期进行网络运行状况分析，周期性收集网络运行资料，并汇总、分析，并

以此作为网络优化、扩容依据。

第24条 IP网认证计费系统的维护管理

1. 计费原始数据备份保留周期为半年。

2. 计费软件若需修改，必须验证计费的准确性，并做好修改记录。

3. 确保计费的准确率(包括计时、计次准确率和费率数据准确率)≥99．99%。

4. 新增费率或修改费率必须有相关主管部门的正式通知（包括书面通知、电子工单）作为依据。

第25条 IP网网管系统和DNS系统的维护管理:

1. 网管原始数据在线保存一年，网管数据和DNS系统业务数据每月备份一次。

2. 网管系统和DNS系统有关软件若需升级或修改，必须经过有关功能完整性、准确性和可靠性验证测

试后才能实施，并做好相关记录。

第三节 网络变更管理要求

第26条 网络变更管理原则

1. 由于网络优化、业务调整的需要而进行的网络变更，变更方案原则上应先保证网络的稳定运行，变

更过程对各类业务的影响应控制在最小范围；

2. 网络设备的软硬件版本升级和补丁修补，原则上应先进行实验点升级，经检测确认后再进行全网相

关操作；

3. 所有网络设备在运维过程中，升级、更换的软件或硬件应为厂家所发布的、稳定的正式产品，并经

运维管理部门审批后方可实施；

4. 在实施重大网络变更前，必须组织相关专家对技术方案的可行性、安全性进行论证，并经运维管理

部门审批后，指定具有丰富维护经验的技术人员负责实施操作。

第27条 配置模板变更管理：

1. 在变更过程中涉及到设备系统及业务的配置改动时，应事先制定统一的变更操作配置模板，组织维

护专家进行充分论证和测试，经运维管理部门审批后，方可应用于实际网络中；

2. 各级维护部门应根据业务及网络设备的实际需要，对配置模板进行调整，并完善到相关操作手册中；

3. 变更工作完成后应对相关文档进行更新保存。

第28条 变更操作管理：

1. 为避免人为操作失误，对重要网络设备的配置更改，应采用双人操作机制，严格按照操作手册执行。

在实施变更操作前，应先进行设备配置文件的备份，并实现异质或异地备份。

2. 网络设备的运行配置文件和启动配置文件应保持一致。

3. 网络变更应在业务闲时进行。应严格遵照相关的割接升级流程执行，对网络设备的变更全过程进行

严密的控制，使变更过程中可能带来的风险减小到最低限度。

4. 为保证变更的顺利实施，变更前应制定包括时间、业务影响范围、影响用户清单、详细操作步骤的

变更方案及应急回退方案。

5. 总部运行维护部负责IP网骨干网的变更割接管理，各省级分公司负责IP网省网或城域网的变更割

接管理；涉及影响到骨干网的变更割接，应提前十个工作日报总部运行维护部审批，经同意后，方可组织实施，

并在完成后三个工作日内反馈结果。

6. 变更实施单位应详细记录变更过程，变更完成后应尽快通知相关部门，及时更新相应维护资料，并

在规定时间内向审批单位反馈变更结果。

第四节 网络运行维护指标

第29条 IP网网络及设备的主要运行维护技术指标见附录1。

第30条 网络运行质量指标统计项目

1. 网络/系统可用率；

2. 设备CPU/内存利用率；

3. 时延抖动

4. 端口占用率；

5. 中继电路利用率(峰值、平均)；

6. 中继电路可用率；

7. 网络中继电路流量（流入、流出）；

8. 网络时延；

9. 网络丢包率；

10. 宽带认证平均响应时长；

11. 忙时认证成功率；

12. 重大故障的次数和历时。

第四章 故障管理

第一节 故障定义

第31条 IP网故障是指由于IP网设备、主机系统等发生故障而导致影响业务正常使用或危及网络安全稳定运

行的情况。IP网故障按影响业务的严重程度分类如下：

1. 特别重大故障:

(1) 100万以上互联网用户无法访问互联网1小时以上；

(2) 全网50%以上国际互联带宽阻断1小时以上；

(3) 骨干网与国内运营商网间直连点1个以上互联方向全阻1小时以上；

(4) 2个以上省网(或2个以上电信网络安全防护定级3.2级以上城域网)脱网或严

重拥塞（指链路时延>110ms或丢包率超过8%，下同）1小时以上；

（5） IP承载网2个省业务阻断1小时以上；

（6） 党政军重要机关、与国计民生和社会安定直接有关的重要企事业单位及具有重大影响的会议、活动

等相关通信阻断。

2. 重大故障：

（1） 10万以上互联网用户无法访问互联网1小时以上；

（2） 造成某个全国级重要信息系统用户数据通信中断1小时以上；

（3） 全网30%以上国际互联带宽阻断1小时以上；

（4） 骨干网与国内运营商网间直连点1个互联方向网间直连(或某个交换中心)全阻1小时以上；

（5） 1个以上省网(或1个以上电信网络安全防护定级3.1级以上城域网)脱网或严重拥塞1小时以上；

（6） IP承载网1个省或某省2个以上地市业务阻断1小时以上；

（7） 互联网骨干网某一核心节点全阻1小时以上；

（8） 专线接入业务500端口以上阻断1小时以上；

（9） 省级域名系统或认证系统全阻1小时以上。

3. 较大故障：

（1） 省、直辖市或自治区网内5万以上互联网接入用户无法正常访问互联网1小时以上;

（2） 造成某省级重要信息系统用户数据通信中断1小时以上;

（3） 全网10%以上国际互联带宽阻断1小时以上;

（4） 骨干网与交换中心互联全阻1小时以上;

（5） 1个以上城域网(电信网络安全防护定级3.1级以下)脱网或严重拥塞1小时以上;

（6） IP承载网1个以上地市业务阻断1小时以上；

（7） 互联网骨干网某一核心节点全阻30分钟以上。

（8） 专线接入业务100端口以上阻断1小时以上。

（9） 省级域名服务器或认证服务器或计费服务器中断30分钟以上。

（10） 重要大客户中心节点业务全阻1小时以上。

4. 一般故障：

(1) 省、直辖市或自治区网内1-5万互联网接入用户无法正常访问互联网1小时以上；

(2) 专线接入业务20端口以上阻断1小时以上；

(3) 造成某地市级重要信息系统用户数据通信中断1小时以上；

(4) 国际互联设备、电路阻断,但未造成上述严重后果；

(5) 骨干网与国内运营商直连设备、电路阻断,但未造成上述严重后果；

(6) IP骨干网重要节点或链路阻断,但未造成上述严重后果；

(7) 省级域名服务器或认证服务器或计费服务器中断。

5. 其它故障：除上述四类故障以外的IP网故障。

第二节 故障处理

第32条 故障处理职责：

1. 总部运行维护部接受各省级分公司的故障申告，或通过网管系统发现故障，负责判断并牵头处理

IP网骨干网络故障，排查IP网骨干网络全网路由、流量等原因引起的故障，协调IP网骨干网络中继电路故障

的排查。

2. 各省级分公司接受各地市分公司的故障申告，或通过网管系统发现故障，负责判断并牵头处理IP

网省网或城域网故障, 排查IP网省网或城域网全网路由、流量等原因引起的故障, 协调省内IP网中继电路故障

的排查。

3. 对于IP网骨干网设备和电路故障，各省级分公司现场维护部门应按属地化管理原则，在总部运行

维护部的统一指挥下，完成对辖区设备和电路故障的处理工作。

第33条 故障处理的基本原则：

1. 先抢通，后修复；先核心，后边缘；先本端，后对端；先网内，后网外。当两个以上的故障同时发

生时，对重大阻断、重要大客户故障等予以优先处理。

2. 监测传输电路是否正常，原则上以IP层环测为依据。

第34条 对于一条电路涉及两家运营商，若故障电路一端属于中国联通相关省公司，则必须认真负责处理解

决故障；必要时可协助其他运营商或协调其他运营商，尽快处理有关故障。

第三节 故障报告、统计和分析

第35条 故障报告要求：各级维护部门应及时处理故障，并按照公共分册中关于故障上报的规定及时上报。

1. 对于特别重大故障及重大故障，应立即逐级上报，2小时内报至总部运行维护部和当地政府通信主

管部门；

2. 对于较大故障，应立即逐级上报，4小时内报至总部运行维护部和当地政府通信主管部门；

3. 故障统计和分析：

(1) 特别重大故障和重大故障处理结束恢复通信后相关运维管理部门应就故障现象、影响范围和时间、

故障原因、解决处理情况等进行整理，形成正式的故障报告及时上报上级主管部门, 直至总部运行

维护部；

(2) 较大故障处理结束恢复通信后，相关运维管理部门应将正式的故障报告及时上报至省公司运维管理

部门；

(3) 对于一般故障，应做好详细记录，每月进行分析汇总并上报至总部运行维护部和当地政府通信主管

部门。

4. 故障记录内容应包括故障现象、故障类型、故障起始时间、故障修复时间、故障历时、原因分析及

解决情况、故障处理情况及责任分析等。

第五章 IP网网络安全管理

第一节 安全管理专人负责制

第36条 IP网网络安全管理实行统一组织、分级管理、专人负责制。在集团公司、省级分公司建立IP网网络

安全小组，由专人负责所辖区域内IP网的安全管理及日常相关工作。安全小组成员需在集团公司、省级分公司运

维管理部门备案，当人员发生变动时，应及时通知上级运维管理部门。

第37条 安全小组应定期查看有关部门或安全厂家安全站点的安全公告，跟踪和研究各种IP网安全漏洞和攻

击手段，跟踪主机系统使用的操作系统、应用系统最新版本和安全补丁程序的发布情况，以便及时制定相应的对策，

做好安全防护工作。

第二节 网络设备和主机系统的安全管理

第38条 重要网络设备应符合以下性能、安全要求：

1. 设备可用率应达到或超过99.99%；原则上，设备的核心处理及交换模块、电源模块必须为1：1 主

备模式；设备采用双/多路冗余供电方式；设备的线路卡要求N：1 备份；设备必须支持热插拔功能；设备在故

障状态下可以实现一定程度上的故障自恢复，包括主备引擎的切换、不中断业务的转发等。

2. 在新设备入网前，必须与现网网络设备进行严格的互通性测试，由新入网设备厂家提供测试报告及

测试案例，确保新设备符合相关设备的技术要求。

3. 重要网络设备必须采用经过厂家测试并正式发布的、性能稳定可靠的内核软件和操作系统软件版

本，同一骨干网、省网、城域网的同型号设备所安装的内核软件、操作系统的版本原则上应统一，安装的补丁程

序版本原则上应一致；所采用的硬件和软件产品本身应具备一定的安全功能。

第39条 重要主机系统的安全要求。重要主机系统包括网管服务器、认证计费服务器、邮件服务器、DNS服

务器等，应满足以下性能、安全要求：

1. 采用负载分担或冗余配置，避免因单台设备故障而影响业务运行；

2. 应部署服务器病毒防护系统，减少病毒对系统和应用软件造成破坏的机会，保证服务器的可用性；

3. 杜绝对系统的非授权访问；

4. 执行严格的审计策略，以增强系统的安全性；

5. 采用防火墙、IDS或在路由器配置ACL等方式，对服务器提供保护；

6. 严格管理软件版本及其补丁，保证及时进行服务器软件补丁升级、修补漏洞；

7. DNS系统应配置递归查询IP源地址限制，只向本省用户提供递归查询服务；

8. DNS系统应监测每秒查询数，限制超过设定门限值的源IP地址的访问；

9. DNS服务器CPU峰值月平均利用率应小于80％；

10. 认证/计费系统磁盘占用率应小于80％，应定期做好数据备份；

11. 应制订DNS系统和认证/计费系统的应急预案。

第三节 网络安全要求

第40条 网络拓扑安全要求。网络核心设备包括IP网骨干网、省网、城域网核心路由器，核心设备必须采用

全网状结构连接，保证核心网络拓扑的安全性。

1. 核心节点不少于2 个，并保证同节点核心设备间直联。直连核心的设备应通过双/多链路上联不同

核心节点，防止单链路失效导致设备脱网。

2. 双/多上联链路原则上从本设备的不同板卡引出，连接到不同的核心节点或同一核心节点的不同核

心设备或同一核心设备的不同板卡。

3. 链路可靠性要求

（1） IP网骨干网核心节点之间任何速率的业务中继电路超过2条（含2条）以上时，应开放在两条不

同物理路由的系统；同省上联不同核心节点的中继电路，应开放在不同物理路由的传输系统上；同省上联同一核

心节点超过2条（含2条）的中继电路，应开放在不同物理路由或不同的系统上，同时要求在不同路由上的数量

要尽量均衡；。

（2） 对级联级别达到2级或2级以上的二层汇聚，最上级的二层汇聚设备应实现双上联链路。

（3） 实现多FE捆绑或单GE上联，原则上通过传输网提供上联中继，实现传输层面保护，尽量不采用光

纤直驱的方式；采用光纤直驱方式时，应尽量选择不同出局光缆管道。

4. 兼顾业务安全性和业务开展灵活性，建立完善的用户标识机制。

第41条 路由协议安全要求

1. 采用先进、成熟的路由协议（如OSPF，IS-IS，BGP等）。

2. 路由设备间建立BGP邻居关系时，必须通过加密口令认证。

3. 对于BGP网络，应设置独立的路由反射器（RR），保证路由控制数据与业务转发数据的分离；在BGP

路由器上应采取措施对非法BGP路由进行过滤，防止路由震荡。

第42条 业务接入安全要求

1. 为了保证公众互联网(China169)骨干网路由稳定性及安全性，骨干网原则上不直接接入用户及业务

电路；确需接入，不得使用二层协议(局域网)接入方式。

2. 需接入到IP承载网的业务平台，原则上应连接在接入层的PE设备上；业务平台应通过CE设备与

IP承载网PE设备互联，不得使用将IP承载网的PE设备当缺省网关的业务接入方式。

第43条 在所有网络设备和主机设备配置统一的NTP服务器，保证全网设备时间的同步。

第44条 必须关闭网络设备未使用的物理端口。

第45条 定期拨测检查带外网管通道，保证其通畅性。

第四节 日常维护的安全管理

第46条 网络及设备的日常安全管理：

1. 各级维护部门应严格执行维护作业计划，每月定期检查网络设备的安全策略配置，并填写和保留有

关记录。

2. 每月定期进行设备硬件、系统软件、应用软件、运行状态检查，及时发现设备运行中的安全隐患，

并填写和保留有关记录。

3. 每月定期检查安全日志(包括系统访问日志、配置更改日志等)，及时发现非法访问和异常配置的安

全隐患，并填写和保留有关记录。

第47条 对网络安全检查中发现的问题，应根据问题的严重性及影响范围制订修补计划，必要时可以寻求专

业安全技术厂商的支持并报上级运维管理部门审批，在安全小组成员的监督下，由安全技术厂商进行渗透性测试，

以检查安全问题解决的效果。

第48条 MIB安全管理：

1. 设备MIB库的读／写字串必须设定为非缺省值，避免攻击者窃取其中的信息，威胁网络的安全；非

必要情况下，不设置写权限。

2. 必须通过设备的访问控制列表严格限制可读/写设备MIB 库的主机, 原则上禁止从网管网段外访

问MIB库。

3. 对于不同的网管系统，应设置独立的SNMP字串和访问控制列表。

第五节 网络安全防护

第49条 远程登录访问控制要求

1. 确保在所有登录服务的位置设置口令防护，其中设备登录和认证的通信过程应加密，确保AUX和

Console接口设置EXEC口令。

2. 严格限定特定的IP地址远程登录网络设备或主机设备。

第50条 对设备的远程登录会话最大无响应连接断开时间应设置为不大于10分钟。

第51条 应开启路由器、以太网交换机日志功能，同时必须保证日志功能对设备性能的影响较小。

第52条 应针对路由器、交换机配置AAA功能，对于核心设备，应采用集中认证系统进行认证并记录设备访

问和操作日志。

第53条 关闭路由器、以太网交换机、服务器上不必需的服务。发现安全漏洞时，应采取必要的防护措施，

并及时升级软件版本或安装补丁。

第54条 流量监控要求

1. 进行网络流量监控，按月定期采集、分析网络流量数据，了解网络流量的主要组成成份，形成网络

流量的一般模型，掌握流量随时间变化的规律，及时发现异常流量。

2. 开启网络设备接入访问包过滤控制功能，使用访问控制列表，防止异常流量对网络造成冲击。

第55条 病毒防护按照公共分册相关要求执行。

第56条 每年至少一次对重要网络设备进行安全审计和评估，形成评估报告，对评估报告中发现的安全隐患，

应采取措施予以消除。同时做好相关资料的存档。

第六章 维护作业计划

第57条 维护作业的执行及记录：

1. 维护作业计划应报上级运维管理部门，获批准后认真执行，所列项目和周期未经批准不得删减变动。

维护作业计划完成后，必须详细记录完成情况和测试情况，同时将发现的问题摘要记录并做相应处理；测试记录

由专人妥善保管。

2. 各项计划一经下达应认真严肃对待，不得无故拖延计划的执行。

3. 各级维护人员要严格按照维护作业计划的内容和周期认真执行。

4. 维护作业应在业务空闲时进行，发现的不正常情况应及时处理和详细记录，对于无法处理的问题，

应立即向主管负责人报告。

5. 在记录里写明作业执行的结果、具体量化数据（如CPU利用率、磁盘占用率、网络流量等）、发现

的问题及处理过程等。

6. 遇需调整计划的，经上级运维管理部门批准后，随时下达，各级维护人员要认真执行。

第58条 骨干路由器、城域网汇聚层及以上路由器/交换机、IP承载网软交换业务接入系统的三层交换机、防

火墙的维护项目及维护周期：

表2：骨干路由器、城域网汇聚层及以上路由器/交换机的维护项目及维护周期

序号 作 业 项 目 周期 备 注

1 检查节点路由状态 日

2 监测节点各单板/模块运行状态 日

3 监测中继电路状态 日

4 检查系统资源占用情况（CPU、内存） 日

5 检查是否有严重及以上级别告警 日

6 系统日志检查分析 日

7 忙时中继电路利用率统计 周

8 监测各主要端口的流量是否异常 周

9 出省中继电路出入流量统计 周

10 省网出口节点间中继电路流量统计 周

11 配置数据检查 周

12 配置数据的备份 周

13 检查设备安全日志 月

14 检查设备安全策略配置 月

15 设备各级登录口令修改 季

16 在线监测设备端口接收光功率 季

17 设备和中继利用率的统计分析 月

18

19 设备表面清洁，清洁风扇过滤器（双面） 月

20 机房环境清洁 月

21 包机月小结 月

22 检查备用板功能是否正常 月

23 检查带外网管系统是否正常 半月

24 路由器、交换机系统软件版本统计 半年

省网至骨干网及城域网节点忙时时延月

及忙时丢包率统计

第59条 宽带接入服务器的维护项目及维护周期：

表3：宽带接入服务器的维护项目及维护周期

序号 作 业 项 目 周期 备 注

1 监测主控板、各单板/模块、端口状态 日

2 检查系统资源占用情况（CPU、内存） 日

3 日

4 忙时中继电路利用率 周

5 忙时并发用户数统计 日

6 检查IP pool使用情况 月

7 监测上联端口流量是否正常 日

8 配置数据备份 周/月 数据发生变化时随时备份

9 各设备、各级登录口令修改 季

10 中继流量的统计分析 月

11 设备表面清洁 月

12 机房环境清洁 月

13 包机月小结 月

14 检查备用板功能是否正常 月

检查系统日志，分析是否有严重及以

上级别告警

第60条 窄带接入服务器的维护项目及维护周期：

表4：窄带接入服务器的维护项目及维护周期

序号 作 业 项 目 周期 备 注

1 监测节点单板运行状态 日

2 检查节点是否有严重及以上级别告警 日

3 忙时端口占用率统计 月

4 备份系统及局数据配置 月

5 设备表面清洁 月

6 机房环境清洁 月

7 包机月小结 月

第61条 重要主机系统的维护项目及维护周期:

表5：主机系统的维护项目及维护周期

序号 作 业 项 目 周期 备 注

1 监测CPU利用率 日

2 监测Memory利用率 日

3 监测磁盘利用率 日

4 监测网络连通性 日

5 监测重要进程运行状态 日

6 检查节点是否有严重及以上级别告警 日

7 进行数据备份 周

8 包机月小结 月

附录1：IP网网络及设备的主要运行维护技术指标

指标1 点到点的包时延

定义：指IP网上指定标测点网络设备到另一指定标测点网络设备的环回时延。

计算方法：点到点的时延=指定标测点网络设备收到测试包时刻-指定标测点网络设备发出测试包时刻。

指标：任意两个互联网骨干网节点的时延值应≤100ms；IP承载网任意两个节点的时延≤100ms；

省网出口节点到相邻骨干网节点的时延值应≤20ms；

省内城域网接入节点到省网出口节点的时延值应≤100ms。

IP承载网省内接入路由器到汇聚路由器时延值应≤20ms（不含西藏、新疆、内蒙古），西藏、新疆、

内蒙古接入路由器到汇聚路由器时延值应≤40ms。

注：综合业务IP承载网测试包大小为230个字节，其它IP网测试包大小为512字节。

指标2 点到点的丢包率

定义：指IP网上指定标测点网络设备到另一指定标测点网络设备的丢包率。

计算方法：点到点的丢包率=（点到点的丢包数/点到点的总包数）*100%。

指标：任意两个互联网骨干网节点之间的丢包率应≤2%；综合业务IP承载网任意两个节点间丢包率＜0.2%；

移动业务IP承载网任意两个节点间丢包率＜0.5% 。

省网出口节点到相临骨干网节点之间的丢包率应≤1%；

省内城域网节点到省网出口节点之间的丢包率以及省内城域网节点之间的丢包率应≤1%。

注：综合业务IP承载网测试包大小为230个字节，其它IP网测试包大小为512字节。

指标3 时延抖动

定义：指成功传送的IP包在网络中传输时延值的变化。

（xx)



i1

n

2

i

其中，Xi表示每个包的时延值，X表示N个包的平均时延值。 计算方法：

n

指标：综合业务IP承载网时延抖动≤20ms，移动业务IP承载网在条件具备时参照执行；

注：综合业务IP承载网测试包大小为230个字节。

指标4 中继电路带宽峰值月平均利用率

定义：指IP网上指定中继电路在一个月内每日峰值利用率的平均值。

计算方法：中继电路带宽峰值月平均利用率=（当月中继电路带宽每日峰值利用率之和/当月的天数）*100%。

指标：≤80%。

指标5 中继电路可用率

定义：指互联IP网中继电路在统计时长内可用比率。

计算方法：中继电路可用率=（中继电路可用时长/统计时长）*100%。

指标：≥99%。

指标6 网络设备可用率

定义：指IP网网络设备在统计时长内的可用比率。

计算方法：网络设备可用率=（网络设备可用时长/统计时长）*100%。

指标：≥99.9%。

指标7 网络设备CPU月平均利用率

定义：指IP网上指定的网络设备在一个月内CPU利用率的平均值。

计算方法：网络设备CPU月平均利用率=（当月每日CPU平均利用率之和/当月的天数）*100%。

指标：≤50%。

指标8 网络设备内存月平均利用率

定义：指IP网上指定的网络设备在一个月内内存利用率的平均值。

计算方法：网络设备内存月平均利用率=（当月每日内存平均利用率之和/当月的天数）*100%。

指标：≤70%。

指标9 IP网主机设备CPU月平均利用率

定义：指IP网上指定的主机设备在一个月内CPU利用率的平均值。

计算方法：主机设备CPU月平均利用率=（当月每日CPU平均利用率之和/当月的天数）*100%。

指标：≤70%。

指标10 IP网主机设备内存月平均利用率

定义：指IP网上指定的主机设备在一个月内内存利用率的平均值。

计算方法：主机设备内存月平均利用率=（当月每日内存平均利用率之和/当月的天数）*100%。

指标：≤50%。

指标11 IP网主机设备硬盘月平均利用率

定义：指IP网上指定的主机设备在一个月内硬盘利用率的平均值。

计算方法：主机设备硬盘月平均利用率=（当月每日硬盘平均利用率之和/当月的天数）*100%。

指标：≤50%。

指标12 宽带认证平均响应时长

定义：在指定的统计时期内，宽带上网用户从呼叫建立到呼叫认证响应所需的平均时长。

计算方法：宽带认证平均响应时长=（考察的宽带认证响应时长之和/考察个数）*100%。

指标：≤8秒

指标13 忙时认证成功率

定义：指在指定的忙时统计时期内，上网用户输入认证信息（用户名、密码）后，认证服务器接受认证事务

并正确响应（包括正确认证和正确拒绝）的总次数与接入服务器发出的认证请求总次数之比。

计算方法：忙时认证成功率=（认证请求正确响应次数/认证请求总次数）*100%。

指标：≥99%。

注：本指标包含窄带拨号和宽带拨号。

实际指标超标的处理

当实际网络运行指标超出上述维护指标要求时，运维部门必须提出相关的网络优化、改造、扩容建议和申请，

并予以跟踪、记录和备案。

网络运行质量指标，以总部运行维护部下达的最新指标为准。