[電信] 江西電信寬帶接入層維護要求

1、 2006年網(wǎng)絡運行維護暨安全保衛(wèi)工作會參閱材料 江西電信寬帶接入層關于網(wǎng)速慢和異常掉線問題的維護要求（征求意見稿）省網(wǎng)管中心全省數(shù)據(jù)維護骨干二00六年五月目 錄一、概述1、網(wǎng)絡優(yōu)化總體原則二、我省寬帶接入網(wǎng)現(xiàn)狀分析1、網(wǎng)速慢原因分析2、異常掉線原因分析三、接入網(wǎng)各方面的規(guī)范要求1、設備側(cè)基本維護要求2、lan交換機安裝的要求3、用戶側(cè)安裝要求4、用戶宣傳5、各級鏈路的路由及帶寬要求6、dslam設備要求7、二層以太網(wǎng)交換機8、樓道交換機9、光纖收發(fā)器10、modem11、設備防雷接地12、開通用戶測試要求13、用戶帶寬開放大小經(jīng)驗值14、安全管理四、網(wǎng)絡質(zhì)量與用戶服務質(zhì)量指標體系1、網(wǎng)絡質(zhì)量

2、指標體系2、用戶服務質(zhì)量指標體系一、概述中國電信寬帶ip網(wǎng)按層次分為骨干網(wǎng)、城域網(wǎng)和寬帶接入網(wǎng)；寬帶接入網(wǎng)是直接接入最終用戶終端的網(wǎng)絡，是整個寬帶網(wǎng)絡中重要的一個層面。編制本要求的目的是以“大市場”的思想為指導，從維護的角度出發(fā)，充分討論接入層寬帶用戶反映最多的網(wǎng)速慢、異常掉線頻繁等可感知的服務問題的表現(xiàn)，制定相關規(guī)范，改善和提高服務質(zhì)量，通過分析用戶上網(wǎng)行為，相對確定用戶需求，從網(wǎng)絡能力和服務條件等方面為市場部門提供網(wǎng)絡依據(jù)，開展高效營銷。同時通過廣泛深入的調(diào)查研究，全面掌握我省寬帶接入網(wǎng)的維護管理現(xiàn)狀及自身特點，有助于實現(xiàn)寬帶接入網(wǎng)運維工作的管理創(chuàng)新。網(wǎng)絡優(yōu)化總體原則:為適應寬帶接入網(wǎng)高帶

3、寬、廣覆蓋發(fā)展趨勢，滿足不同用戶差異化接入需要，以及提供綜合業(yè)務承載能力，寬帶接入網(wǎng)應按照“橫向模塊化、縱向?qū)哟位痹O計思路，進一步規(guī)范網(wǎng)絡結(jié)構(gòu)，加強對大客戶、高品質(zhì)新業(yè)務支持，保證整體寬帶接入網(wǎng)質(zhì)量，突出打造大客戶精品寬帶接入網(wǎng)。按照端口實占率不超過70%，擴容規(guī)模應滿足未來一至兩年的業(yè)務需求原則，并結(jié)合競爭程度、效益大小、資源狀況和遠近需求等因素。寬帶接入網(wǎng)的優(yōu)化應在統(tǒng)一規(guī)劃、按需建設的前提下，根據(jù)資源和業(yè)務需求的情況，重點提升現(xiàn)有網(wǎng)絡的容量，優(yōu)化網(wǎng)絡結(jié)構(gòu)，提升對業(yè)務的支持能力。主要思路如下： （1） 采用多種手段，實現(xiàn)網(wǎng)絡的靈活覆蓋；（2） 整理接入網(wǎng)，構(gòu)建相對獨立的大客戶接入平面和大眾

4、接入平面；（3） 提高設備功能要求，實現(xiàn)用戶的二層速率限制和qos 控制功能；（4） 唯一標識用戶，完成精確綁定，實現(xiàn)對用戶的定位和追蹤；（5） 提高網(wǎng)絡對高速率接入、組播、視頻等業(yè)務的支持能力。（6） 采取多種措施，解決串擾等問題，提高出線率，提供高速接入。二、我省寬帶接入網(wǎng)現(xiàn)狀分析我省寬帶網(wǎng)絡經(jīng)過幾年的發(fā)展和不斷優(yōu)化，已取得了一些可喜的成績，網(wǎng)絡規(guī)模不僅覆蓋了大部分的偏遠農(nóng)村，而且用戶數(shù)也已初具規(guī)模，已超過50萬并在不斷快速增長。但隨著網(wǎng)絡規(guī)模和用戶數(shù)的遞增，我省各本地接入網(wǎng)的一些缺陷也漸漸的暴露出來，影響了我省寬帶業(yè)務的正常發(fā)展。經(jīng)過歸納總結(jié)，我省寬帶接入網(wǎng)主要存在以下幾方面的問題：1、

5、各本地網(wǎng)都普遍存在傳輸資源、光纜資源不足的情況；2、工程資料、用戶資料不準、不規(guī)范和接入設備安裝維護不規(guī)范；3、大多城域網(wǎng)是交換型的網(wǎng)絡結(jié)構(gòu)，二層網(wǎng)絡規(guī)模較大，設備級聯(lián)級數(shù)太大，互相影響比較嚴重，容易受到病毒攻擊，不便于設備運行和維護；4、大部分的光纖收發(fā)器、二層交換機放置在室外，無防雷措施導致了設備容易損壞，樓道交換機的電力不穩(wěn)定、箱體溫度高，易引起故障，導致用戶無法正常上網(wǎng)；5、部分設備功能和性能不足；6、用戶反映的網(wǎng)速慢、異常掉線現(xiàn)象越來越集中。在以上的問題中，用戶反映的網(wǎng)速慢、異常掉線現(xiàn)象是我們最關心的，是影響我省寬帶質(zhì)量最重要的因素，也是本文最想要解決的問題，下面是在經(jīng)過深入分析后對

6、用戶反映的網(wǎng)速慢及異常掉線的原因羅列：1、網(wǎng)速慢主要原因分析：第一，用戶主觀感受原因，用戶對帶寬的需求是無止境的，無論提供多快的網(wǎng)速，用戶心里都有網(wǎng)速更快的需求，其次用戶對網(wǎng)速快慢的衡量主要基于其所訪問網(wǎng)站和所玩游戲的速度的快慢，這不僅與我們所提供的網(wǎng)絡服務有關，更多的關系到用戶所訪問網(wǎng)站和游戲服務器的訪問量和性能有關，特別對于出省的網(wǎng)站和游戲服務器，速度的快慢更多的牽涉到出省中繼帶寬的大小和網(wǎng)站服務器訪問量的大??；第二，網(wǎng)絡的原因，用戶的速率集中開通在768k、1.2m、1.5m等偏低的速率段，也是用戶反映速率慢的主要原因之一，由于出市中繼和城域網(wǎng)本身設備和中繼性能限制，以及外線質(zhì)量的限制，

7、用戶速率無法提高到更高的速率段；設備之間鏈路存在有網(wǎng)絡瓶頸引起網(wǎng)速慢；寬帶接入網(wǎng)結(jié)構(gòu)不盡合理，造成網(wǎng)絡級聯(lián)層數(shù)多，設備處理能力不足，帶寬存在局部瓶頸，無法保障網(wǎng)絡質(zhì)量；第三，病毒的原因，接入層的匯聚設備、bas設備、樓道交換機或小區(qū)交換機遭病毒攻擊造成設備性能下降、處理速度減慢從而影響用戶上網(wǎng)速度，用戶電腦感染病毒導致上網(wǎng)速度慢。第四，設備的原因，二層以太交換機、樓道交換機、光纖收發(fā)器、moden長時間開著，導致發(fā)熱，芯片性能下降，影響上網(wǎng)速率；以太網(wǎng)交換機與上連交換機端口之間及交換機端口與用戶電腦網(wǎng)卡端口之間的工作模式不匹配造成網(wǎng)速慢。第五，線路的原因，電話線路質(zhì)量差、接觸不良或是過長，造成

8、moden握手速率達不到所開帶寬速率；以太網(wǎng)用戶由于網(wǎng)線過長、網(wǎng)線質(zhì)量差、網(wǎng)線水晶頭未按標準做或是網(wǎng)線經(jīng)過強磁、強電、強熱的物體從而造成網(wǎng)速慢。第六，用戶電腦性能差或進行了非法操作，造成網(wǎng)速慢。2、用戶異常掉線的主要原因分析：第一、線路的原因，adsl線路質(zhì)量不好或是受外界環(huán)境強烈影響從而造成moden握手失敗，引起掉線；部分銅纜線路質(zhì)量下降、接頭過多并且氧化嚴重等問題，造成adsl、vdsl網(wǎng)絡質(zhì)量下降，用戶頻繁出現(xiàn)異常掉線。第二、設備的原因， adsl moden長期工作發(fā)熱導致工作不正?；蚴苁謾C等強電磁信號影響造成掉線；用戶端分離器故障造成異常掉線。第三、安裝不規(guī)范的原因，adsl mo

9、dem話音分離器安裝不正確，沒有安裝在電話機之前，這樣當有電話呼入時易引起掉線。第四、用戶的原因，因用戶私接問題導致異常掉線，現(xiàn)網(wǎng)中存在一些采用具備路由功能的modem私自組網(wǎng)，這種組網(wǎng)方式下的用戶帳號大量出現(xiàn)異常掉線情況；用戶使用不當如異常關機、異常斷網(wǎng)等導致異常掉線現(xiàn)象。這些原因都是客觀存在的，寬帶提質(zhì)工程解決了一些問題，但更多的工作是客戶的感知度與寬帶網(wǎng)絡質(zhì)量之間的差距問題，這些將是寬帶業(yè)務發(fā)展中永恒的話題，也將是寬帶服務提供商永恒的工作內(nèi)容之一。針對以上原因，經(jīng)過我們與各地市公司維護人員共同探討，認為在目前城域網(wǎng)的維護中應有一些規(guī)范的要求來指導全省，歸納如下：三、接入網(wǎng)各方面的要求（1

10、）設備側(cè)基本維護要求1）定期檢查bras上的地址利用率情況，對于地址利用率超過90%的bras要針對具體的情況加入適量的地址，預防由于地址不夠而引起的用戶撥不上號、掉線的故障。2）每周在用戶上網(wǎng)高峰期檢查接入網(wǎng)中繼的流量，對中繼利用率超過80%應考慮加中繼負荷分擔或者另加設備。3）每周在上網(wǎng)高峰期對bras和其他支持檢測在線用戶數(shù)檢查的接入層設備上，檢查最高在線用戶數(shù)，確保最高在線用戶數(shù)不會超過設備所能夠承受的數(shù)量。4）每周對設備cpu及內(nèi)存利用率進行檢查。5）每天查看告警及其他日志信息。6）每周檢查zan、ban、dslam的機房環(huán)境和設備運行狀態(tài)，并清潔機房和設備，保證設備清潔，散熱、防壓

11、良好。7）每周巡查用戶端和設備外的用戶線路質(zhì)量情況。8）每月巡視交換機等設備的用電情況，部分地市交換機是單獨電表供電，及時進行刷卡，保證交換機的供電正常。9）每月備份一次接入網(wǎng)設備配置數(shù)據(jù)。10）定期做好各光纜交接箱、電纜交接箱、分線盒的防進水，防破壞工作。11）裝機人員在維護時嚴禁用蠻力、暴力手段打開機箱，應用專配鑰匙打開。12）維護人員在更換壞的交換機時，應保證原網(wǎng)線與端口的對應關系不變、端口的開、關狀態(tài)不變，以確保資料的準確性。13）做好接入網(wǎng)和交換機上用戶線路標簽和端口資料的維護工作，維護人員在給用戶更換端口時，應電話通知機房做好用戶端口資料的更改工作。（2）lan交換機安裝的要求1）

12、交換機箱體應能夠有足夠的空間容下交換機、地線接線柱、電源插座、光纜盤線盒，并且交換機的左右與箱體要留有15cm以上的空間、交換機底部應留4cm左右的空間，以便布線和散熱，箱體兩側(cè)還應開有通風孔以幫助空氣流通散熱。2）箱體應安裝在通風良好、無陽光直射、人手夠不著的地方。3）箱體應接入地排以防雷，避免交換機因雷電擊壞。4）交換機的尾纖應盤在箱體內(nèi)的光纖盤線盒上，并且尾纖的彎曲半徑應不小于5cm。5）交換機應該有唯一的規(guī)范編碼，并在箱體上噴字標識。6）交換機的電源插座應安裝在箱體內(nèi)，并要帶有空氣開關以保護交換機不因電流過大而燒壞，也有利于更換交換機或?qū)粨Q機增加模塊時可方便斷電操作。（3）用戶側(cè)安裝

13、要求1）rj45網(wǎng)線頭的制作應按國際a標（線序為綠白-1，綠-2，橙白-3，藍-4，藍白-5，橙-6，棕白7）或b標（線序為橙白-1，橙-2，綠白-3，藍-4，藍白-5，綠-6，棕白-7，棕8）制作。2）網(wǎng)線的布放應布放在樓道墻內(nèi)的弱電pvc槽內(nèi)，禁止網(wǎng)線拉至戶外，以防引雷。3）安裝人員在安裝lan寬帶時，對所布放的網(wǎng)線應在交換機側(cè)貼上明確的標識，標明網(wǎng)線另一端所到達的用戶。4）adsl線路環(huán)阻不宜大于1300歐，大于1300歐的不宜開通adsl。5）adsl入戶線接線端子應當接觸牢固無銹蝕，可采用接線盒或接線指進行連接，要盡量減少接線頭的數(shù)量。6）從分線盒至用戶家大多采用的是平行線，由于平行

14、線衰減大，抗干擾能力弱，所以接入用戶的平行線應盡可能短，且要保證中途沒有接頭或破皮。7）從分線盒至用戶家的平行線超過100米，相互干擾，線路質(zhì)量較差時，可以考慮用銅平行線或小電纜替換原有的平行線，解決adsl用戶的線路質(zhì)量問題。8）接入adsl的用戶線應盡可能避開強電、強磁和高溫物體，避免引網(wǎng)速慢或掉線。（4）用戶宣傳1）建議用戶在電腦上安裝最新版本殺毒軟件，定期升級殺毒。2）建議用戶及時更新、增加操作系統(tǒng)補丁程序。3）建議用戶盡量不要使用帶路由的modem設備，組建私網(wǎng)。（5）各級鏈路的路由及帶寬要求為了實現(xiàn)帶寬保證，滿足用戶上網(wǎng)的速率需求，寬帶接入網(wǎng)建設中應合理設計網(wǎng)絡各層面間的帶寬，消除

15、網(wǎng)絡瓶頸。1）目前全省寬帶接入網(wǎng) ip dslam 通過100m上行，atm dslam 通過155m上行，由于dslam級聯(lián)情況逐步規(guī)范，100m和155m的上行中繼帶寬已經(jīng)足夠使用。2）根據(jù)用戶帶寬模型，在寬帶接入網(wǎng)中繼帶寬設計上，建議100m承載500個左右公眾用戶，155m承載800個左右公眾用戶，ge承載5000個左右公眾用戶；3）中繼利用率超過80%要考慮加中繼實現(xiàn)負荷分擔或者另加設備；4）對公眾用戶的上下行帶寬進行嚴格限制，在最靠近用戶端網(wǎng)絡設備上通過物理端口方式進行初步限制（如上下行3m等），減少用戶非法流量進入網(wǎng)絡中；5）通過pppoe屬性對用戶帶寬進行精確限制（根據(jù)市場承諾

16、確定帶寬）；6）對部分設備不支持端口限速功能，在其上一層設備上通過vlan做限速。千兆到小區(qū)、百兆到大樓的公眾客戶可根據(jù)實際需要限速至1至10m；7）對于商業(yè)客戶和大客戶可根據(jù)實際需要限速至10至100m，提供差異化服務。（6）dslam設備要求1）新增dslam 設備以ip 上行接口（提供fe/ge 上行接口）為主。2）各市分公司原有atm 上行接口的adsl 設備現(xiàn)階段仍充分利用，未來可以考慮逐步轉(zhuǎn)入對qos 要求較高的專線傳輸使用。3）dslam 設備應支持每用戶一個vlan，支持基于snmp協(xié)議的端口配置和管理，支持51802.1p等功能。4）dslam 設備最好具備兩個及以上的上行接

17、口，以備業(yè)務拓展需要。5）dslam 設備參數(shù)設置，當用戶線路質(zhì)量較好的情況下設備端口設置成快速模式，當線路噪聲較大時設成交織模式，而且噪聲越大，交織深度越大，但同時交織深度越大，用戶上網(wǎng)的延時也越大。6）dslam 上行接口帶寬應該大于adsl 用戶上行鏈路總帶寬，做到上行帶寬無阻塞設計。dslam 節(jié)點的設置應綜合考慮成本回收及用戶的增長情況，在節(jié)點覆蓋區(qū)域內(nèi)有10 到15 個待裝用戶時，可設置dslam 設備。要認真預測adsl 用戶的發(fā)展趨勢，考慮adsl 的出線率情況，采用靈活的組網(wǎng)模式，選擇適當容量的dlsam 設備。7）新增dslam 設備應選擇支持adsl、adsl2+和vds

18、l 同框混插的設備。8）具備snmp v2 以上和標準的mib庫等網(wǎng)管功能。（7）二層以太網(wǎng)交換機1）采用性能較好、功能完善的二層以太網(wǎng)交換機作為接入?yún)R接節(jié)點。2）支持4k 802.1q方式vlan，盡量支持qinq技術；具有線速轉(zhuǎn)發(fā)的數(shù)據(jù)交換能力；具有高密度和豐富類型的接口；支持交直流可選供電；設備可用率達到99.99%以上。3）支持基于物理端口、mac、ip、vlan、協(xié)議類型、802.1p的識別和流分類，并能進行qos標記，支持snmp、telnet、console等方式網(wǎng)管，支持靈活的acl和廣播包抑制功能，具有防范攻擊能力。4）上行接口采用ge或多個fe捆綁，下行接口根據(jù)各節(jié)點用戶數(shù)

19、采用fe或ge，并根據(jù)實際業(yè)務發(fā)展情況可靈活擴展帶寬。5）大型城域網(wǎng)使用的二層以太交換機，應控制在3 家廠商以下，中小型城域網(wǎng)應控制在2 家以下。6）具備snmp v2 以上和標準的mib庫等網(wǎng)管功能。7）選用穩(wěn)定性較好的品牌，比如華為、cisco等。（8）樓道交換機1）支持32個以上標準vlan；2）mac地址空間不小于1k；3）支持10m下行和100m上行速率接口；4）具有基本的優(yōu)先級隊列并能對qos標識高的數(shù)據(jù)包進行優(yōu)先轉(zhuǎn)發(fā)，支持基于端口的速率控制能力；5）支持mac地址限制功能；6）支持廣播包抑制功能；7）支持基于igmp snooping的組播功能；8）支持基于snmp的網(wǎng)管；9）能

20、適應在較惡劣環(huán)境下（溫度0攝氏度至50攝氏度）正常工作，生命周期在5年以上；10）具有防雷保護功能。11）選用穩(wěn)定性較好的品牌，比如華為、cisco等。（9）光纖收發(fā)器1）支持基于snmp的網(wǎng)管；2）支持超長數(shù)據(jù)幀，確保mpls數(shù)據(jù)包透傳；3）具有自動環(huán)回檢測功能；4）具備帶寬控制、廣播包抑制功能；5）具有uplink或物理端口隔離功能。6）能適應在較惡劣環(huán)境下（溫度0攝氏度至60攝氏度）正常工作，生命周期在5年以上；7）選用機架集中式、帶網(wǎng)管功能且穩(wěn)定性較好的品牌，比如恒寶通、木青、烽火等。（10）modem1）具有遠程管理和遠程軟件升級的功能；2）應支持g.dmt，glite，t1.413

21、等調(diào)制協(xié)議；3）為普通用戶提供的modem只開放橋接的功能，避免用戶使用modem進行代理撥號；4）抗干擾性好，工作電壓適應范圍大，一般為180-260v；5）能適應在較惡劣環(huán)境下（溫度0攝氏度至50攝氏度）正常工作，生命周期在5年以上；6）選用穩(wěn)定性較好的品牌，比如實達、華碩、華為mt800等。（11）設備防雷接地由于交換機和光纖收發(fā)器部署在樓道這樣公眾場合，加強設備的防雷接地，優(yōu)先選擇接入大樓地網(wǎng)，一般接地阻抗可小于1歐姆，其次再選擇單獨打地線棒，并須經(jīng)降阻處理，要求接地阻抗小于5歐姆；對通過室外五類纜級聯(lián)了交換機的端口，加配端口防雷模塊。（12）開通用戶測試要求為確保新開通用戶能夠正常上

22、網(wǎng)，穩(wěn)定運行，在用戶開通前后對設備、線路質(zhì)量應做到嚴格的測試。1）檢查分離器、modem運行情況，指示燈顯示是否正常，噪音要求小于21db，保證其處在一個正常工作狀態(tài)。2）要求電纜、網(wǎng)線布放、綁扎整齊，不能有飛線，并做好標簽。3）檢測adsl線路環(huán)阻，要求小于1.1k 歐姆、絕緣電阻要求大于50m 歐姆、線路衰減下行方向小于55db，上行方向小于40db。4）在用戶開通上網(wǎng)后，進行連通性測試，指標如下：lan用戶ping（32字節(jié)）城域網(wǎng)邊緣設備時延小于10ms、丟包率應小于0.1%、時延抖動控制在10ms以內(nèi)。1m帶寬adsl用戶ping（32字節(jié)）城域網(wǎng)邊緣設備時延40ms至50ms、丟包

23、率應小于0.1%、時延抖動控制在10ms以內(nèi)；2m帶寬adsl用戶ping（32字節(jié)）城域網(wǎng)邊緣設備時延30ms至40ms、丟包率應小于0.1%、時延抖動控制在10ms以內(nèi)。5）開通后要求進行網(wǎng)速測試，保證用戶速率達標，標準如下：512k帶寬adsl用戶下載速率大于340k;1m 帶寬adsl用戶下載速率大于800k;2m 帶寬adsl用戶下載速率大于1.2m；10m 帶寬lan用戶下載速率大于3.4m。6）開通后，維護人員應向用戶講解網(wǎng)絡知識，交待注意事項，介紹分離器的作用和位置以及modem上各指示燈所表示的意思。（13）用戶帶寬開放大小經(jīng)驗值對于普通甲類lan用戶一般開通速率為10m ，

24、沒有突發(fā)值，就近通過5類線接入ban交換機，對于乙類用戶根據(jù)用戶申請的帶寬開通速率，并設置突發(fā)值為用戶實際申請值的5倍，采用光纖接入，確保乙類用戶的網(wǎng)絡服務質(zhì)量。對于adsl用戶目前全省主要開通的速率集中在768k、1.28m、1.5m、2m。對于vdsl用戶目前全省主要開通的速率集中在2m，4m，10m。（14）安全管理網(wǎng)絡的安全目前已經(jīng)日益成為業(yè)界關注的重點，其面臨的安全威脅主要源自未經(jīng)授權的非法網(wǎng)絡訪問、傳輸過程中可能出現(xiàn)的敏感信息泄漏與遺失、數(shù)據(jù)完整性破壞及計算機病毒的傳播。在組網(wǎng)設計上應充分考慮對業(yè)務的保護，減少網(wǎng)絡上的單點故障。加強網(wǎng)絡的路由安全，啟用路由協(xié)議相應的安全防護功能。加

25、強對網(wǎng)絡病毒、網(wǎng)絡攻擊和垃圾郵件的防范，啟用源地址過濾、閾值控制等功能，減少網(wǎng)絡中的流量攻擊。寬帶接入網(wǎng)的安全主要是二層網(wǎng)絡的安全，為防范二層網(wǎng)絡攻擊行為的發(fā)生，應充分利用二層交換機的安全功能，對層網(wǎng)絡進行安全加固。l2 的安全防護依賴于二層交換機安全功能的支持。為此，需要核實設備最新ios版本支持的安全功能，結(jié)合接入層的現(xiàn)狀實施l2 安全防護。l xdsl 接入策略，通過bras 設備和寬帶后臺實施，主要采取以下安全措施：1）通過后臺認證服務器，進行帳號綁定，以防止用戶帳號被濫用或盜用（適應于lan接入）；2）針對非專線用戶，在bras 上關閉用戶端25（禁止非專線用戶架設email服務器）

26、、135、139 等服務端口（該措施同樣適用于lan pppoe 用戶）；3）對用戶側(cè)接入實施反向地址檢查（urpf），防止利用非法源地址攻擊（該措施同樣適用于lan pppoe 用戶）；4）在bras 上，對接入速度進行限制（該措施同樣適用于lan pppoe 用戶）；5）在bras 中，通過acl 禁止用戶訪問bras 路由模塊（該措施同樣適用于lan pppoe 用戶）；l lan pppoe 接入策略，建議采取以下安全措施，提高lan pppoe 接入的安全性：1）通過后臺認證服務器，進行帳號綁定，以防止用戶帳號被濫用或盜用；2）細化vlan 劃分，控制單個vlan 的用戶數(shù)，盡量采用

27、端口隔離技術（pvlan和uplink）隔離，避免同一vlan 用戶相互干擾；3）針對小區(qū)接入lan pppoe 接入用戶，對去往三層交換機的二層流量實施過濾（mac filter），僅允許ether_type=0x8864（pppoe session stage）和ether_type=0x8863（pppoe discovery stage）以太幀通過；4）實施廣播包速率限制（broadcast-limit），防止小區(qū)用戶對寬帶接入服務器和匯聚層實施二層dos 攻擊；5）port security 防范cam 攻擊；6）針對虛假bras server 干擾lan pppoe 用戶正常接入情

28、況，應充分利用設備支持的安全特征（如pvlan 配置和uplink 端口隔離配置）避免同一個vlan 用戶相互干擾；對于不支持此類安全特征的設備，可采取定期掃描的方式。l 網(wǎng)吧接入策略網(wǎng)吧接入是安全問題頻繁發(fā)生的場所，因此需要加強對網(wǎng)吧接入的防控。采取的安全技術策略，建議采取相對集中接入方式，實施集中的安全策略管理和重點監(jiān)控。1）每個網(wǎng)吧分配獨立vlan和ip地址，為便于安全事件定位，建議統(tǒng)一規(guī)劃網(wǎng)吧vlan編號和ip地址；2）pc數(shù)少于100臺的網(wǎng)吧用戶一般通過接入?yún)R接交換機接入，pc數(shù)大于100臺的網(wǎng)吧用戶一般直接接入城域網(wǎng)匯聚設備；2）網(wǎng)吧接入應采用主、備用鏈路，建議主用光纖，備用ads

29、l；3）接入速度限制；4）廣播抑制（broadcast-limit）；5）port security 防范cam 攻擊；6）如支持三層控制功能，對用戶端的服務端口25（禁止用戶架設email服務器）、135 和139實施攔截（考慮性能問題，也可選擇在上聯(lián)端口配置）；7）針對黑網(wǎng)吧情況，可在連接的設備端口（針對ip）上做tcp session數(shù)限制（catalyst6509、華為8850、華為5200g支持）；8）啟用urpf功能，防止假冒源地址攻擊；9）限制icmp包流速（car）等。l 大客戶接入策略大客戶是我們的重要客戶，其接入的安全問題尤為重要，因此，需要加強對大客戶接入安全管理，采取全

30、面集中的安全技術策略和相對集中接入方式，實施集中重點監(jiān)控。1）大客戶單獨使用接入設備或模塊，便于進行安全策略的統(tǒng)一部署和集中管理，提供差異化的服務；2）每個大客戶分配獨立vlan和ip地址，為便于安全管理，大客戶vlan編號和ip地址應進行統(tǒng)一規(guī)劃；3）普通大客戶（pc數(shù)少于100臺）一般通過接入?yún)R接交換機接入，重要大客戶如學校一般直接接入城域網(wǎng)匯聚設備。4）大客戶接入應采用主、備用鏈路；5）廣播抑制（broadcast-limit）；6）port security 防范cam 攻擊；7）如支持三層控制功能，對用戶端的服務端口25（禁止用戶架設email服務器）、135 和139實施攔截（考慮

31、性能問題，也可選擇在上聯(lián)端口配置）；8）啟用urpf功能，防止假冒源地址攻擊； 9）限制icmp包流速（car）等。l 匯聚層安全防護策略目前城域網(wǎng)一般使用bras 或三層交換機作為匯聚設備，三層的安全技術策略和用戶業(yè)務控制策略主要通過匯聚層實現(xiàn)。使用bras 或三層交換機作為城域網(wǎng)匯聚設備，可實施以下安全策略：1）啟用用戶側(cè)urpf 功能，防止假冒源地址攻擊；2）針對非專線用戶，對用戶端的服務端口25（防止用戶端成為email 服務器）、135 至139，445 服務端口實施攔截；3）限制icmp 包流速（car）；4）針對非專線用戶，四層會話數(shù)限制；5）帳號物理信息綁定；6）port se

32、curity 防范cam 攻擊；7）ip 防盜用；8）廣播壓制。l bras 安全防護措施bras 是寬帶網(wǎng)絡重要的設施，建議采取相應的措施提高bras 的安全性和可用性，主要措施包括：1）冗余設計避免單點故障；2）as 自身的安全特性提高設備自身的安全性；3）ras 容量和寬帶應用的實際情況，預留流量攻擊所消耗帶寬，調(diào)整bras 并發(fā)用戶數(shù)；l 設備側(cè)要做到登陸的帳號密碼保密并定時更新，并嚴格控制訪問列表。l 及時對設備進行升級，解決設備性能和其它安全上的漏洞。l 設備走線規(guī)范，做好接地，電源接法規(guī)范。l 設備放置在小區(qū)或者模塊機房防盜措施一定要做好。四、網(wǎng)絡質(zhì)量指標體系與用戶服務質(zhì)量指標體

33、系（一）網(wǎng)絡質(zhì)量指標體系l 承載業(yè)務指標1、接入網(wǎng)寬帶忙時網(wǎng)絡接通率寬帶忙時網(wǎng)絡接通率是指adsl、lan、vdsl等寬帶接入用戶成功建立連接的次數(shù)除以寬帶接入服務器收到用戶發(fā)起連接請求的總次數(shù)（扣除用戶原因引起的不成功連接次數(shù)）。建議該值由各市寬帶城域網(wǎng)網(wǎng)管系統(tǒng)自動統(tǒng)計。如果由于技術條件限制，寬帶城域網(wǎng)網(wǎng)管系統(tǒng)暫時無法自動統(tǒng)計的，考核數(shù)據(jù)允許人工測試得出。采用人工測試時，在統(tǒng)計時段內(nèi)發(fā)起的測試總次數(shù)不低于60次。寬帶（城域網(wǎng)）忙時網(wǎng)絡接通率95%。2、adsl異常掉線率指標adsl異常掉線率adsl異常斷線次數(shù) / adsl總斷線次數(shù)*100%adsl異常掉線率基礎數(shù)據(jù)的取樣周期建議為一個月，在整治異常掉線率的過程中，取樣周期可以定為一周或兩周，觀察網(wǎng)絡掉線指標變化情況。對掉線頻發(fā)的單個用戶整治時，可以觀測該用戶斷線情況記錄，了解整治結(jié)果?？疾閍dsl寬帶撥號用戶異常掉線率的主要