中国移动wlan设备参数配置规范
(东北汉子)
目录
一、瘦AC参数配置 (4)
1.1 常用配置 (4)
1.1.1 AC访问帐号配置 (4)
1.1.2 用户带宽限制配置 (5)
1.1.3 用户闲置下线时间设置 (6)
1.1.4 配置计费间隔时间 (6)
1.1.5 添加AP分组及分组关联 (7)
1.1.6 配置用户的地址池 (9)
1.1.7 配置 AP的地址池 (10)
1.1.8 配置热点NAS ID (11)
1.1.9 WLAN访问控制配置 (12)
1.2 开局配置 (13)
1.2.1 配置AC设备名称 (13)
1.2.2 配置AC NAME (14)
1.2.3 配置 AC 的公网IP地址和默认路由 (14)
1.2.4 配置NAS IP (16)
1.2.5 开启DHCP,设置DHCP服务器地址 (17)
1.2.6 配置Portal页面推送 (17)
1.2.7 配置RADIUS服务器 (18)
1.2.8 配置基于SSID推送一级/二级PORTAL (19)
1.2.9 配置AC白名单 (20)
1.2.10 配置VRRP心跳线 (21)
1.2.11 配置热备份的VRRP 通告间隔 (22)
1.2.12 开启VRRP热备抢占模式 (23)
1.2.13 添加AP版本信息 (23)
1.2.14 AC隧道模式 (24)
1.2.15 安全模式配置 (25)
1.2.16 网管采集配置 (26)
二、无线参数配置 (27)
2.1 常用配置 (27)
2.1.1 新建SSID (27)
2.1.2 无线功率配置 (28)
2.1.3 无线信道调整配置 (29)
2.1.4 无线客户端隔离参数配置 (31)
2.2 开局配置 (32)
2.2.1 AP与AC通信模式配置 (32)
2.2.2 射频开关 (33)
三、场景设置 (34)
3.1 场景:新增站点及AP (34)
3.1.1 创建新站点AP分组名 (34)
3.1.2 创建WLAN分组设置 (34)
3.1.3 关联分组策略 (35)
3.2 场景:更换故障AP (36)
3.3 场景:优化WLAN信号 (36)
3.3.1无线功率配置 (36)
3.3.2 无线信道调整配置 (38)
一、瘦AC参数配置
1.1 常用配置
1.1.1 AC访问帐号配置
【描述】
对不同的用户名定义不同级别的访问权限。
【配置要求】
根据集团账号安全规范进行配置。注意区分权限。
【配置方法】
在接入平台配置:
在接入平台的配置模式下进行配置基于用户的访问控制:
1、用户模式权限配置
HAZZ-WLAN-AC191-ADLYAC20KMC(config)# local-user username xxxx password xxxx service-type all level priv-level
2、特权模式权限配置
HAZZ-WLAN-AC191-ADLYAC20KMC(config)#enable secret xxxx
在AC页面配置:
使用超级权限账号登陆AC—账户管理
在账户管理页面,可添加、删除及设置账号权限
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.1.2 用户带宽限制配置
【描述】
使用户的上网速率不高于限制的速率。
带宽控制有两个方式,一种是在AC上配置,一种是radius下发。前者一般称作根据域的带宽控制,后者称作根据用户的带宽控制。
【配置要求】
各省根据实际带宽需求进行配置。分别配置上行和下行带宽,单位是:字节/秒。
集团规范要求:在繁忙热点必须配置。
【配置方法】
第一步:配置带宽策略名称
AC(config)# rate-policy bandname
第二步:配置策略所使用的带宽
AC(rate-policy)# downstream number1 number2
AC(rate-policy)# upstream number3 number4
number1:用户每秒平均下行的字节数
number2:用户每秒爆发下行的字节数
number3:用户每秒平均上行的字节数
number4:用户每秒爆发上行的字节数
第三步:创建服务策略并将该速率策略分给该服务策略
AC(config)# service-policy ser-bandname
AC(service-policy)# rate-policy bandname
第三步:将服务策略分配给相应的域
AC(domain)# service-policy ser-bandname
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.1.3 用户闲置下线时间设置
【描述】
用户认证后,在一时间范围内不访问网络,中断用户认证计费。
根据集团规范规定:用户闲置15分钟时,中断用户认证计费
【配置要求】
按照集团要求进行配置闲置下线时间。
需配置一个时间范围(单位:秒),同时需配置一个流量阀值。
当这段时间内,用户流量小于流量阀值时,中断用户认证和计费。
厂家默认配置:时间900秒,流量阀值2048字节
集团规范建议:15分钟。
【配置方法】
ip dhcp idle-interval 900 threshold 2048 //在900秒内用户流量小于2048字节,用户自动下线
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.1.4 配置计费间隔时间
【描述】
设置计费更新报文间隔时间。
在用户上网过程中,为了保护用户计费信息,每隔一段时间AC就向中央RADIUS用户认证服务器报一个实时计费信息,包括当前用户上网总时长,以及用户总流量信息。
【配置要求】
按各省实际情况配置,建议15分钟。
【配置方法】
domain CMCC
aaa authentication radius
aaa ACcounting radius
radius server 221.176.1.138 authentication
radius server 221.176.1.138 ACcounting
portal-url http://221.176.1.140/wlan/index.php
interim-time 900 //配置计费间隔时间900秒
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.1.5 添加AP分组及分组关联
【描述】
用于将AP添加入AC进行管理。
将同一站点或区域AP设置为同一个AP分组名。
将一种无线参数的配置定义为一个WLAN分组名。
AP分组和WLAN分组进行关联后 ,同一分组AP可接收到AC下发的对应配置。
【配置要求】
建议同一热点AP加入同一分组
【配置方法】
添加AP分组:
在AC的添加AP分组页面下载模版,并将AP的MAC地址输入第一栏,第二栏写上你要的分组名称,后面几列主要是配置AP的名称、模式、信道等参数,根据情况进行相应的填写。完成后保存,再向AC导入刚才导出后更改的文件。如果编了错误的分组名可以在ap分组列
表下点击删除键删除选中的错误AP分组项。
导入后就会出现如上情况,则该AP就可以上线。
WLAN分组设置:
分组策略关联:
点击一分组策略关联,会出现如下界面;再点击AP分组前面的框内,则可以选择关联的组。
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.1.6 配置用户的地址池
【描述】
配置用户地址池的地址、网关、租约时间等参数。参数配置成功后应用到设备对应端口。
使用户可以通过AC获取IP地址。
【配置要求】
地址池配置包括地址、网关、租约时间等参数。
用户地址池:根据业务发展规划分配,应满足用户接入需求。
租约时间:要求配置不少于两倍的闲置下线时间,可根据使用情况进行调整。
【配置方法】
在接入平台输入:
特权模式下配置:config terminal
地址配置下:ip-pool sta,配置以上命令。
全局模式下配置:ip-pool sta
HAZZ-WLAN-AC191-ADLYAC20KMC(config ter)#ip-pool sta
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)#ipaddress 192.168.80.1 255.255.255.0//用户地址池
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# alloc-mode localdhcp
//本地DHCP
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# default-router 192.168.80.1
//缺省路由
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# max-lease 3600
//地址池租约时间
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.1.7 配置 AP的地址池
【描述】
配置AP地址池的地址、网关、租约时间、厂家验证码等参数。使AP可以通过AC获取IP
地址。
【配置要求】
可以根据不同热点配置多个AP地址池
AP地址池:根据网络建设规划分配,应不小于实际接入AP数量。
地址池配置包括地址、网关、厂家验证码、租约时间等参数,配置成功,并应用到下行端口。
Aruba厂家验证码配置值为 23631
【配置方法】
在接入平台全局模式下配置:
在接入平台输入
进入特权模式下:config terminal,
配置2层AP地址池 ip-pool ap,配置以下命令。
HAZZ-WLAN-AC191-ADLYAC20KMC(config)#ip-pool ap //创建二层
AP地址池
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# ipaddress 192.168.80.1 255.255.255.0 //二层AP
地址池范围
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# alloc-mode localdhcp //本地DHCP HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# default-router 192.168.80.1 //缺省路
由
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# max-lease 600 //释放时
间
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# option-60 enterprise-code 23631 //60 企业
码
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# option-43 ip-list 172.16.100.100 //43 AC的ip 地址
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# available-interfACe port 0 //配置应用
端口
配置3层AP地址池 ip-pool ap,配置以下命令。
HAZZ-WLAN-AC191-ADLYAC20KMC(config)#ip-pool ap l3 //创建三
层AP地址池
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# ipnetwork 10.120.6.1 255.255.254.0 10.120.255.1 //三层AP地址池范围及下一跳地址
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# alloc-mode localdhcp //本地DHCP HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# default-router 10.120.6.1 //缺省路由HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# max-lease 600 //释放时间HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# option-60 enterprise-code 23631 //60 企业
码
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)# option-43 ip-list 172.16.100.100 //43 AC的ip 地址
HAZZ-WLAN-AC191-ADLYAC20KMC(ip-pool)#reservedip 10.120.6.1 //保留网关地
址
HAZZ-WLAN-AC191-ADLYAC20KMC (config)#ip pool ap available-interfACe 1 //配置启用
接口
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.1.8 配置热点NAS ID
【描述】
热点NAS ID即用户接入地编号,用于支持漫游计费和结算。
【配置要求】
根据集团规范定义,编号形式为:HST.CTY.PRO.OPE.NAT,长度为16位数字。
其中:
●HST表示WLAN热点覆盖地区,由4位数字组成,各省自己规划和分配,该段代码只对
于分布在WLAN热点覆盖地区的WLAN接入系统设备有效。
●CTY表示WLAN位于的城市,由4位数字组成,由各个地市的长途区号表示, 右对齐左
填零。
●PRO表示WLAN位于的省份,由3位数字组成,PRO的代码分配参见附表。
●OPE表示WLAN所属的运营商,由2位数字组成,中国移动为00。
●NAT表示WLAN所属的国家或者地区,由3位数字组成,中国为460。
【配置方法】
系统目前支持3种配置:
1、基于AP的ip地址(ip-pool)
2、基于STA的vlan
3、全局
三种配置都存在时优先级:
1、优先使用地址池内配置的nas-id填充radius报文中的nas-id属性,
2、其次使用vlan-nas-id,
3、最后使用全局nas-id,
若三者均为空,则使用默认的bgate1030字符。
1)根据ip-pool
AC(ip-pool)# pool-nas-id nas-id
如: AC(ip-pool)# pool-nas-id 1033073173100460
2)根据vlan
AC(config)# vlan-nas-identifier vlan-id nas-id
如:AC(config)# vlan-nas-identifier 3656 1032073173100460 */配置业务nas-id 3)全局
AC(config)# nas-identifier nas-id
如:AC(config)# nas-identifier 1032073173100460 */配置全局nas-id
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.1.9 WLAN访问控制配置
【描述】
为了防止非法人员登陆到AC上,造成一些非必要的WLAN故障。配置允许访问 AC的ip地址或者ip地址段
【配置要求】
将需要的管理IP地址分别加入到AC访问控制列表中。
【配置方法】
telnet control */打开telnet控制功能
telnet allowed-ip {ip|ip-net}211.142.222.0 255.255.255.0
举例:
telnet allowed-ip 211.142.222.0 255.255.255.0
telnet allowed-ip 211.138.224.34
telnet allowed-ip 211.142.223.187
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.2 开局配置
1.2.1 配置AC设备名称
【描述】
配置AC设备标识,可以更直观的标识设备的位置、网络等信息,便于进行配置和维护。
【配置要求】
在按照WLAN网络设备命名规范进行配置。
【配置方法】
在接入平台配置:
configure terminal //进入全局配置模
式
hostname HAZZ-WLAN-AC191-ADLYAC20KMC //配置设备名为YNYX-WLAN-AC01-GRWM7000
在AC页面配置:
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.2.2 配置AC NAME
【描述】
AC设备编码,作为AC的标识编码。
【配置要求】
请提前申请,此名称必须在集团注册,否则强制的URL页面将无法正常显示
全国AC的编码有统一规定,其编码规则为ACN.CTY.PRO.OPE。长度为13位数字
ACN表示AC的名字,由4位数字组成,各省自己规划和分配。
CTY表示WLAN位于的城市,由4位数字组成,由各个地市的长途区号表示, 右对齐左填零。PRO表示WLAN位于的省份,由3位数字组成。
OPE表示WLAN所属的运营商,由2位数字组成,中国移动为00。
【配置方法】
AC设备编码配置:
AC(config)# ex-portal AC-name 0000.0451.451.00 //配置AC-name为0000.0451.451.00
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.2.3 配置 AC 的公网IP地址和默认路由
【描述】
用于给AC指定一个公网IP地址。使AC能与外网互通。并且该地址还可用作AC的管理地址、DHCP服务器地址、以及AP获取配置地址。
【配置要求】
按照设计规划的IP地址进行配置。
配置时注意根据不同的组网方式,区分单AC和双AC热备的组网。
【配置方法】
使用软件版本为V4.0
管理平台外网口地址
在管理平台使用vi命令修改相应文件
HLHRB-AC1-ARUBA#vi /etc/network.d/ifcfg-eth2,然后进行以下参数配置
DEVICE=eth2
ONBOOT=yes
BOOTPROTO=static
TYPE=Ethernet
IPADDR=218.203.80.249 //管理版外网地址NETMASK=255.255.255.252 // 管理版地址子网掩码GATEWAY=218.203.80.250 //业务版地址
一般情况下,AP与该地址建立capwap隧道。
业务平台外网地址
单AC和双AC热备配置区别:
单AC:
在接入平台配置:
interfACe GigabitEthernet 1/1.0 //对1号端口进行配置
ip address 117.132.100.6 255.255.255.248 //配置1号端口IP地址117.132.100.6
双AC热备:
在主AC接入平台配置:
interfACe GigabitEthernet 1/1.0 //对1号端口进行配置
ip address 117.132.100.4 255.255.255.248 //配置1号端口IP地址117.132.100.4 standby vrip 220.192.164.6 group‐id 1 //配置 VRRP虚地址为220.192.164.6
在备AC接入平台配置:
interfACe GigabitEthernet 1/1.0 //对1号端口进行配置
ip address 117.132.100.5 255.255.255.248 //配置1号端口IP地址117.132.100.5 standby vrip 220.192.164.6 group‐id 1 //配置 VRRP虚地址为220.192.164.6
使用软件版本为V4.1
该版本下管理平台公网ip和业务平台的公网ip相同
在管理平台使用vi命令修改相应文件
HLHRB-AC1-ARUBA#vi /etc/network.d/ifcfg-eth0,然后进行以下参数配置
DEVICE=eth0
ONBOOT=yes
BOOTPROTO=static
TYPE=Ethernet
IPADDR=218.203.80.249 //管理版外网地址NETMASK=255.255.255.0 // 管理版地址子网掩码GATEWAY=218.203.80.1 //网关地址
业务平台单AC和双AC热备配置区别:
单AC:
在接入平台配置:
interfACe GigabitEthernet 1/4.0 //对4号端口进行配置
ip address 218.203.80.249 255.255.255.0 //配置4号端口IP地址218.203.80.249
双AC热备:
在主AC接入平台配置:
interfACe GigabitEthernet 1/4.0 //对4号端口进行配置
ip address 218.203.80.249 255.255.255.0 //配置4号端口IP地址218.203.80.249 vrip 218.203.80.248 group‐id 1 //配置 VRRP虚地址为218.203.80.248
在备AC接入平台配置:
interfACe GigabitEthernet 1/4.0 //对4号端口进行配置
ip address 218.203.80.250 255.255.255.0 //配置4号端口IP地址218.203.80.250 vrip 218.203.80.248 group‐id 1 //配置 VRRP虚地址为218.203.80.248
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.2.4 配置NAS IP
【描述】
认证时使用的AC标识。
WLAN用户接入认证点IP地址就是AC的接入平台与对端设备互联地址。
如果有做VRRP组网时,VRIP就是NAS IP。
【配置方法】
WLAN用户接入认证点IP址。
InterfACe GigabitEthernet1/X.0
ip address ip addrss netmask
如:interfACe GigabitEthernet 1/0.0
ip address 1.1.1.1 255.255.255.0
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900 软件版本:V4.0, V4.1
1.2.5 开启DHCP,设置DHCP服务器地址
【描述】
用于开启AC的DHCP服务,使AC能够对AP及用户下发IP地址。
【配置要求】
AC作为DHCP服务器时,由AC给AP或用户下发地址必须配置。
【配置方法】
ip dhcp ACtive //激活server
ip dhcp server 172.16.100.101 //配置server ip地址
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900 软件版本:V4.0, V4.1
1.2.6 配置Portal页面推送
【描述】
配置后当用户关联AP后,可弹出移动定制的portal页面。
一级portal按照集团要求配置为http://221.176.1.140/wlan/index.php
二级portal按照各省情况配置
【配置方法】
全局模式下配置
在接入平台输入:
特权模式下:config terminal配置以上命令。
HAZZ-WLAN-AC191-ADLYAC20KMC(config ter)portalserver 221.176.1.140 external url-head http://221.176.1.140/index.php
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.2.7 配置RADIUS服务器
【描述】
RADIUS认证计费相关配置。
配置成功后,用户访问WLAN网络时,在PORTAL页面上输入的用户名和密码将与认证服务器交互,认证成功后才可以上网。
【配置要求】
一级radius地址按照集团要求配置为221.176.1.138
二级radius地址按照各省情况配置
【配置方法】
全局模式下配置:
Radius server 配置
radius-server 221.176.1.138 authentication //认证服务器地址
key 88----89
udp-port 1645
radius-server 221.176.1.138 ACcounting //计费服务器地址
key 88----89
udp-port 1646
Radius clint 配置
进入radius-client配置模式(必须)
AC(config)#radius-client */注意中间是横杠,并且要连写
配置一个IP地址(必须) */IP地址为VRRP地址,即注册AC-Name 的地址
AC(radius-client)#ipaddress A.B.C.D */注意ipaddress连写
关闭cAChe
AC(radius-client)#cAChe-interval 0 */0表示关闭,即不缓存radius信息
指定厂家码
AC(radius-client) vendor-id 23631 */厂商信息
配置认证UDP端口(可选)
AC(radius-client)# auth-port 1645 */默认为1645
配置计费UDP端口(可选)
AC(radius-client)# ACcount-port 1646 */默认为1646
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.2.8 配置基于SSID推送一级/二级PORTAL
【描述】
用于对不同的SSID,推送不同的PORTAL认证页面。
【配置要求】
在高校地区应配置CMCC和CMCC-EDU两个SSID。
注意PORTAL和SSID的对应关系。
【配置方法】
domain CMCC-EDU //省公司域名 SSID
portal-url http://211.142.211.10 //推动portal页面地址
radius server 211.142.211.7 authentication //域认证radius地址
radius server 211.142.211.7 ACcounting
service-policy internet
domain CMCC //集团域名 SSID
portal-url http://221.176.1.140/wlan/index.php //推动集团portal页面地址 radius server 221.176.1.138 authentication //集团认证radius地址
radius server 221.176.1.138 ACcounting
service-policy internet
【适用硬件及软件版本】
硬件:Aruba AC20KMC,MC8K-Z600, MC8K-Z606, MC8K-Z700, MC8K-Z900
软件版本:V4.0, V4.1
1.2.9 配置AC白名单
【描述】
使用户未经认证也可访问PORTAL服务器
【配置要求】
需定义portal服务器ip地址、radius地址、dns等,创建过滤策略并引用到地址池中。
集团portal地址配置为221.176.1.140
国漫地址配置为:211.151.58.233 (转接商二级portal地址)
216.168.253.44 (转接商国漫客户端证书服务器地址)
http://221.176.1.142:8001/selfwlan/selfwlan_index.ktcl (WLAN白名单功能(自服务)地址)
二级portal地址按各省情况配置
【配置方法】
rule portalserver permit ip 0.0.0.0 0.0.0.0 221.176.1.140 255.255.255.255
rule dns permit udp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 53
rule radius permit ip 0.0.0.0 0.0.0.0 221.176.1.138 255.255.255.255
filter-policy web
filter-rule portalserver
filter-rule dns
filter-rule radius
service-policy web
filter-policy web
中国移动企业信息化一期工程统一信息平台技术规范 (v1.0) 中国移动通信集团公司
目录1总则1 1.1.概述1 1.2.适用范围1 1.3.起草单位1 1.4.解释权2 2应用体系架构3 2.1.两级架构3 2.2.统一信息平台的组成4 2.3.总体技术要求5 3展示平台6 3.1.域名规则6 3.2.登录流程7 3.3.访问安全控制7 3.3.1.认证8 3.3.2.加密9 3.3.3.授权9 3.4.个性化展现经管9 3.5.内容应用聚集10 3.6.系统性能要求10 4网络和接入平台11 4.1.全国互联广域网组织结构11 4.1.1.全国互联广域网拓扑结构11 4.1.2.广域网互联承载网络的选择12 4.1.3.全国互联广域网的路由13 4.1.4.全国互联广域网的网络安全13 4.2.集团公司统一信息平台的网络组织结构13 4.2.1.集团公司统一信息平台局域网13 4.2.2.集团公司统一信息平台接入15 4.3.省公司统一信息平台的网络组织结构16 4.3.1.省公司统一信息平台局域网16 4.3.2.省公司统一信息平台接入18 4.4.IP地址规划19 4.4.1.IP地址规划原则19 4.4.2.IP地址规划方法20 4.4.3.IP地址规划要求21 5安全经管平台21 5.1.网络经管及网络安全21 5.1.1.网络系统经管21 5.1.2.网络安全22
5.2.系统经管及系统安全23 5.2.1.系统经管23 5.2.2.系统安全24 5.2.3.数据经管和安全25 5.2.4.防病毒26 6系统和环境要求27 6.1.系统要求27 6.1.1.主机设备27 6.1.2.操作系统27 6.1.3.存储备份设备28 6.1.4.网络设备29 6.1.5.数据库31 6.1.6.展示平台软件33 6.1. 7.开发工具34 6.1.8.系统文档34 6.2.机房环境要求35 6.2.1.机房环境条件35 6.2.2.接地要求36 6.2.3.空调及电源36
中国移动WLAN WLAN是Wireless Local Area Network(无线局域网)的缩写,指应用无线通信技术将计算机设备互联起来,客户可通过笔记本电脑、PDA等终端以WLAN随时随地接入互联网和企业网,获取信息、娱乐或进行办公。支持多媒体功能,上传下载,随时欣赏网上影片或音乐。提供极速而稳定的无线连接。在中国移动WLAN网络覆盖地区,客户可以通过笔记本电脑、PDA等移动终端,在配备WLAN上网卡时以无线方式高速接入互联网/企业网,获取信息、移动办公或者娱乐。 在中国移动WLAN网络覆盖地区,共享接入速率最高可达11Mb/s。实现方式类似于局域网,需要通过手机号码和密码验证后方可打开网页,用户名为客户的手机号码,而密码则在申请WLAN业务时系统自动生成,客户可以把该密码修改成容易记忆的密码。 中国移动在全国31个省省会城市、首府、直辖市及经济发达和重点城市的机场、高级酒店、会议中心、展览馆等热点地区都进行了WLAN 网络覆盖,并且会继续扩大。 WLAN可提供高达54Mbps的速率(某些小城市可能为11Mbps,但大部分为54M),可以进行WWW浏览、收发EMAIL、欣赏网上电影、下载文件和进行办公。在配备WLAN上网卡时以无线方式高速接入互联网/企业网,获取信息、移动办公或者娱乐,共享接入速率最高可达54Mbps (现在大部分地区限速在1Mb/s~2Mb/s), 实现方式类似于局域网. 无线局域网(WLAN)主流技术
WLAN工作在2.5GHz或者5GHz 802.11 ,1997年,原始标准(2Mbit/s 工作在2.4GHz)。 802.11a,1999年,物理层补充(54Mbit/s工作在5GHz) 。 802.11b,1999年,物理层补充(11Mbit/s工作在2.4GHz) 。 802.11c,符合802.1D的媒体接入控制层(MAC) 桥接(MAC Layer Bridging) 。 802.11d,根据各国无线电规定做的调整。 802.11e ,对服务等级(Quality of Service, QS) 的支持。 802.11f,基站的互连性(Interoperability) 。 802.11g,物理层补充(54Mbit/s工作在2.4GHz) 。 802.11h,无线覆盖半径的调整,室内(indoor) 和室外(outdoor) 信道(5GHz频段) 。 802.11i,安全和鉴权(Authentification)方面的补充。 802.11n,可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbps,提供到300Mbps甚至高达600Mbps。 无线网络的设备类型 在无线局域网里,常见的设备有无线网卡、无线网桥、无线天线等。 1、无线网卡
中国移动集团管理信息系统部安全加固项目 Linux系统安全配置基线 中国移动集团公司第1页共15页 备注:中国移动集团管理信息系统部安全加固项目 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
中国移动集团公司第2页共15页版本版本控制信息更新日期更新人审批人V1.0创建2009年1月
中国移动集团管理信息系统部安全加固项目 目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)
中国移动通信企业标准 中国移动业务支撑网 4A 安全技术规范 版本号:1.0.0 中国移动通信有限公司 发布 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 QB-W-016-2007
目录 1概述 (7) 1.1范围 (7) 1.2规范性引用文件 (7) 1.3术语、定义和缩略语 (7) 2综述 (8) 2.1背景和现状分析 (8) 2.24A平台建设目标 (9) 2.34A平台管理范围 (10) 34A管理平台总体框架 (11) 44A管理平台功能要求 (14) 4.1帐号管理 (14) 4.1.1帐号管理的范围 (14) 4.1.2帐号管理的内容 (14) 4.1.3主帐号管理 (14) 4.1.4从帐号管理 (15) 4.1.5密码策略管理 (15) 4.2认证管理 (15) 4.2.1认证管理的范围 (16) 4.2.2认证管理的内容 (16) 4.2.3认证服务的管理 (16) 4.2.4认证枢纽的管理 (16) 4.2.5SSO的管理 (17) 4.2.6认证手段 (17) 4.2.7提供多种手段的组合使用 (17) 4.3授权管理 (17) 4.3.1授权管理的范围 (17) 4.3.2授权管理的内容 (18) 4.3.3资源管理 (18) 4.3.4角色管理 (18) 4.3.5资源授权 (19) 4.4审计管理 (20) 4.4.1审计管理范围 (20) 4.4.2审计信息收集与标准化 (21) 4.4.3审计分析 (21) 4.4.4审计预警 (22) 4.54A管理平台的自管理 (23)
4.5.2权限管理 (23) 4.5.3组件管理 (23) 4.5.4运行管理 (23) 4.5.5备份管理 (23) 4.64A管理平台接口管理 (24) 4.6.1帐号管理接口 (24) 4.6.2认证接口 (24) 4.6.3审计接口 (24) 4.6.4外部管理接口 (25) 54A管理平台技术要求 (25) 5.1总体技术框架 (25) 5.2P ORTAL层技术要求 (27) 5.3应用层技术要求 (27) 5.3.1前台应用层技术要求 (27) 5.3.2核心数据库技术要求 (28) 5.3.3后台服务层技术要求 (30) 5.3.4单点登录技术要求 (32) 5.3.5安全审计技术要求 (33) 5.4接口层技术要求 (35) 5.5非功能性技术要求 (35) 5.5.1业务连续性要求 (35) 5.5.2开放性和可扩展性要求 (38) 5.5.3性能要求 (38) 5.5.4安全性要求 (38) 64A管理平台接口规范 (40) 6.1应用接口技术规范 (40) 6.1.1总体描述 (40) 6.1.2登录类接口(①) (41) 6.1.3认证类接口 (42) 6.1.4帐号/角色接口(④) (43) 6.1.5审计类接口 (48) 6.2系统接口技术规范 (51) 6.2.1总体描述 (51) 6.2.2登录类接口(①) (52) 6.2.3认证类接口 (53) 6.2.4帐号接口(⑤) (55) 6.2.5审计类接口 (59) 6.3外部管理接口技术规范 (61) 7BOSS系统3.0的改造要求 (62)
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
中国移动技术规范
中国移动技术规范 文档编号: 中国移动PTN资源自动分析优化功能需求规范书 文档版本:Version 1.0 版权声明:版权归中国移动通信集团公司所有,未经中国移动通信集团公司书面许可,任何单位或个人不得以任何形式全部或部分使用和传播本技术规范。 发布日期:2020年4月 发布单位:中国移动通信集团公司
前言 本技术规范根据中国移动PTN网络维护效能提升管理需求而制定,随着网络管理需求的不断深化,本技术规范的相关内容将会修改和完善。 本技术规范的解释权属于中国移动通信集团公司。 本技术规范由中国移动通信集团公司提出并归口。 本技术规范起草单位:中国移动通信集团公司网络部 本技术规范主要起草人: 集团公司:邓春胜、邓宇 省公司:田志坚、黄垣森、杨彬、张剑、夏志超、李勇、娄文科、梁静海、张跃明、彭鹏、党志俊
目录 PTN资源自动分析优化功能需求规范书.................... 错误!未定义书签。前言........................................................................... 错误!未定义书签。目录........................................................................... 错误!未定义书签。 一、PTN资源分析优化概述 ...................................... 错误!未定义书签。 二、功能需求说明 ..................................................... 错误!未定义书签。 2.1 ............................................................................. 物理资源分析 错误!未定义书签。 2.2逻辑资源分析 .................................................... 错误!未定义书签。 2.3流量监控及资源预警功能................................. 错误!未定义书签。 2.4资源优化分析报告功能..................................... 错误!未定义书签。
中国移动WLAN自动认证功能 iPhone PEAP及SIM认证配置操作手册 中国移动通信集团公司 2012年6月 IOS6.0版本的iPhone手机暂时只支持PEAP认证方式,IOS6.0以下版本的iPhone手机既支持PEAP认证也支持SIM认证,因此优先推荐IOS用户使用PEAP 认证方式。 1.PEAP认证配置方式(适合于IOS3.0-6.0系统) 提示:客户使用WLAN自动认证功能之前,需先开通WLAN业务,并订购WLAN 包流量套餐或者包时长套餐,优先推荐用户订购包流量套餐。 步骤1:进入“无线局域网”,打开Wi-Fi开关。 步骤2:等待系统搜索到带锁标识的CMCC-AUTO。 步骤3:点击CMCC-AUTO,在弹出的输入框中输入用户名和密码。用户名为手机号码,密码为该号码的WLAN业务密码。 步骤4:接受peap server安全证书。 步骤5:等待手机状态栏出现WiFi标识并且CMCC-AUTO前被勾选,认证结束,您已经连接到互联网。 2.SIM认证配置方式(适合于IOS6.0以下系统,IOS6.0 系统暂不支持) iPhone系统初次使用EAP-SIM认证,必须先安装“中国移动WLAN SIM认证证书”。该证书安装步骤如下:
步骤1:确保手机能够正常上网。 步骤2:点击网页提供或系统短信发送的下载地址/CMCC-AUTO.mobileconfig,下载配置文件。 步骤3:配置文件下载完成后,系统会出现证书安装界面。 步骤4:点击安装后,会弹出确认窗口。 步骤5:选择“现在安装”,进行证书的安装。 步骤6:安装完成后,点击“完成”结束安装。 提示:证书只在初次使用时安装,不用重复安装。 注: 1、iPhone系统进行WLAN自动认证的操作步骤如下: 步骤1:进入“无线局域网”,打开Wi-Fi开关。 步骤2:等待系统搜索到带锁标识的CMCC-AUTO。 步骤3:点击CMCC-AUTO,开始与网络侧进行认证。 步骤4:等待手机状态栏出现WiFi标识并且CMCC-AUTO前被勾选,认证结束。 2、iPhone系统打开CMCC-AUTO自动加入功能的操作步骤如下: 步骤1:点击CMCC-AUTO的箭头,进入CMCC-AUTO属性界面。 步骤2:在CMCC-AUTO的属性界面中打开“自动加入”的开关。在周围的环境中如果有CMCC-AUTO网络时,iPhone将能够快速搜索到并自动进行认证关联。 3、iPhone系统WLAN自动认证下线的操作步骤如下: 步骤1:进入系统“无线局域网络”设置。 步骤2:将“无线局域”关闭。系统会自动完成下线。
Microsoft SQL Server数据库系 统安全配置基线 中国移动通信公司管理信息系统部 2012年 4月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1适用范围 (4) 1.2适用版本 (4) 1.3实施 (4) 1.4例外条款 (4) 第2章帐号与口令 (5) 2.1口令安全 (5) 2.1.1删除不必要的帐号* (5) 2.1.2SQLServer用户口令安全 (5) 2.1.3根据用户分配帐号避免帐号共享* (6) 2.1.4分配数据库用户所需的最小权限* (6) 2.1.5网络访问限制* (7) 第3章日志 (8) 3.1日志审计 (8) 3.1.1SQLServer登录审计* (8) 3.1.2SQLServer安全事件审计* (8) 第4章其他 (10) 4.1安全策略 (10) 4.1.1通讯协议安全策略* (10) 4.2更新补丁 (10) 4.2.1补丁要求* (10) 4.3存储保护 (11) 4.3.1停用不必要存储过程* (11) 第5章评审与修订 (13)
第1章概述 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的SQL Server 数据库应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.1 适用范围 本配置标准的使用者包括:数据库管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的SQL Server数据库系统。 1.2 适用版本 SQL Server系列数据库。 1.3 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.4 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动通信企业标准 QB-╳╳-╳╳╳-╳╳╳╳ 中国移动条码识别业务终端技术规范 C h i n a M o b i l e B a r c o d e R e c o g n i t i o n S e r v i c e T e r m i n a l S p e c i f i c a t i o n 版本号: 1.1.0(报批稿) ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司发布
1. 适用范围 (44) 2. 引用标准 (44) 3. 相关术语 (44) 4. 缩略语解释 (44) 5. 业务描述 (55) 5.1. 业务定义 (55) 5.2. 业务模型 (55) 6. 终端功能要求 (55) 6.1. QR码符号取景及采集 (55) 6.2. 终端解码 (66) 6.2.1. QR码符号到数据字符 (66) 6.2.2. 数据字符到应用信息 (77) 6.3. 打开和保存文件 (88) 6.3.1. 保存文件 (88) 6.3.2. 打开文件 (88) 7. 终端业务应用要求 (88) 7.1. 属性操作要求 (88) 7.2. 应用操作要求 (1010) 7.2.1. 名片应用 (1010) 7.2.2. 短信应用 (1010) 7.2.3. 邮件应用 (1010) 7.2.4. 文本应用 (1111) 7.2.5. 业务营销应用WAP业务 (1111) 7.2.6. 业务营销应用SMS业务 (1212) 7.2.7. 业务营销应用IVR业务 (1212) 8. 终端异常处理要求 (1313) 8.1. 终端解码异常事件处理要求 (1313) 8.2. 其它异常事件处理要求 (1313) 9. 终端性能要求 (1313) 10. 终端界面要求 (1414) 11. 终端硬件要求(推荐) (1414) 11.1. 摄像头 (1414) 11.2. CPU (1414) 11.3. 存储器 (1414) 12. 编制历史 (1414) 附录A 中国移动条码识别业务终端界面规范 (1515)
Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月
版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)
第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器; 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
中国移动网络门户系统技术规范
中国移动通信企业标准 QB-W-028- 中国移动网络门户系统技术规范(第一版) NMS Portal Technical Specification 版本号 1.0.0 -××-××发布 -××-××实施 中国移动通信有限公司发布
目录 1 范围........................................ 错误!未定义书签。 2 引用标准.................................... 错误!未定义书签。 3 术语定义和缩略语............................ 错误!未定义书签。 4 系统概述与建设范围.......................... 错误!未定义书签。 5 ”总部-省”两级架构......................... 错误!未定义书签。 6 组网与设备配置要求.......................... 错误!未定义书签。 7 系统功能要求................................ 错误!未定义书签。 7.1 单点登录.............................. 错误!未定义书签。 7.1.1 基本要求 ........................... 错误!未定义书签。 7.1.2 具备4A的情况 ...................... 错误!未定义书签。 7.1.3 对于未接入4A的情况 ................ 错误!未定义书签。 7.2 接入服务.............................. 错误!未定义书签。 7.2.1 B/S与C/S应用统一接入.............. 错误!未定义书签。 7.2.2 公网接入 ........................... 错误!未定义书签。 7.2.3 移动接入 ........................... 错误!未定义书签。 7.3 界面集成.............................. 错误!未定义书签。 7.3.1 界面集成的技术方式 ................. 错误!未定义书签。 7.3.2 界面集成的基本功能—展现管理 ....... 错误!未定义书签。 7.3.3 界面集成的基本业务需求 ............. 错误!未定义书签。
中国移动校园WLAN业务常见问题及处理办法 1、使用条件 (一)用户所处区域有中国移动无线宽带信号覆盖(热点标识CMCC-EDU); (二)用户电脑有支持WlFl功能的无线网卡并且正确安装驱动程序; (三)用户有已开通且未欠费的账号。 2、上网操作流程 打幵笔记本无线网卡幵关 打开笔记本无线丽络连接 刷新网络列表 搜索可用网络,并连接移动热点?CH时?T JI开浏览器并任意输人一个网址.就可进人中国移动无线网络登录頁面 对已申谓账号的用户’揄人自己的黙号.密码和验IS码.然后虎击提交,此时用户即可上网“未申请抵号的用户*需運过対信 或到移动营业厅幵户获取账号) 输入已申谓的账号,密码和验证码”然后点击提交*此时用户即可上网。 3、常见故障及处理办法 (一)故障类型一 故障描述: 在网络列表中无法搜索到移动无线宽带网络信号(热点标识CMCC-EDU)
处理办法: 步骤一:首先确定笔记本的无线网卡开关已经打开,并且无线网卡工作能正常工作 步骤二:若是XP 系统,按下述程序操作: 1、鼠标右键点击"我的电脑"选择"服务",点开后在右边找到并双击"Wireless Zero Configuration"; -.?7 ?■ L.∣ dP 田IBil a lff ■ ■ ? wMτ∣?f?.r 豪, d*iQ*r?L>^ iB*T WvmM 14W 2、将启动类型改为"自动",点击"应用"再右键点击服务状态下面的"启动",然后点击"确定"; *,Γ?W ∣M ? rι??f αd M ?mc ‰lhirtirτuc?? P?τ ‰Λ? Z ?∣? e*w** HMfc l ^p? r?r< 5h44mCcpv ?W?tamc VlriM> CrdU4.. 吿魅基 f … ?κ≡^y ??M?c. .WnajOMrG E?t?* F?r≡?≡?□r ∣「L?? nul? C?w 円 I W πι %??fc?ff FflwaIgMt CamMHr 3ιarι∏q i ;3C5; ?=??M! ASflfl J?Mtwr --l?4A ∣ ???Mw ∣M*f ?'**??**> ∣u ?wgpmw≡∣ Ir?∣?^?F≠ ”常 s ‰???? Kmgfinrtf ∣m ∣ιJrart ,??rι Ew f Elmmm ???≡ln -rtl‰Lι ??“ ?,∣iv?ιMl]P>4 >‰ta Myar MPlMa4.,?Γ?M ir?qι ?M r v%ff 弔 怖如《 ∣?rdA F Fr< Stt XD l Q JP ??M M T N > M^r k a^M ?w W-... nruwtH^∣≡- IQMla B ItfySn κsa.. Mβ?aw*S" MiAJMW- ?w?w? PMtar *u ∣- IaFS FW 上的= 的的:??为 ?%? 的期 d 術 CMM 器曽 ¢¢1 H0a^BX -k-aa≡-aτeτ 冃目 r? ≠ 9 f Γ a a t a ?≡ >? T 3 t?t?!?i ?fiH?s5tfti?ti 1?曙 ?!Hc
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
中国移动技术规范 文档编号: 中国移动PTN故障智能辅助定位 功能需求规范书 文档版本:Version 1.0 版权声明:版权归中国移动通信集团公司所有,未经中国移动通信集团公司书面许可,任何单位或个人不得以任何形式全部或部分使用和传播本技术规范。 发布日期:2020年10月 发布单位:中国移动通信集团公司
前言 本技术规范根据中国移动PTN网络维护效能提升管理需求而制定,随着网络管理需求的不断深化,本技术规范的相关内容将会修改和完善。 本技术规范的解释权属于中国移动通信集团公司。 本技术规范由中国移动通信集团公司提出并归口。 本技术规范起草单位:中国移动通信集团公司网络部 本技术规范主要起草人: 集团公司:邓春胜、邓宇 省公司:党志俊、娄文科、田志坚、黄垣森、杨彬、张剑、夏志超、李勇、梁静海、张跃明、彭鹏
目录 前言 (2) 目录 (3) 1.概述 (4) 2. 术语、定义和缩略语 (4) 2.1术语和定义 (4) 2.2缩略语 (4) 3.功能需求 (5) 3.1告警相关性分析 (5) 3.1.1告警根源性分析 (5) 3.1.2告警相关性原则 (6) 3.2业务相关性分析 (6) 3.3故障辅助分析及定位 (6) 3.3.1用户界面 (7) 3.3.2故障定位手段 (7) 3.3.3故障定位结果 (8)
1.概述 研究各种典型场景下PTN网络故障诊断定位方法,包括业务故障、光缆故障、设备故障、时钟故障、DCN故障、业务性能劣化等,开发出故障智能辅助定位工具,实现一键式故障智能诊断及故障原因智能输出,并给出常见故障处理建议,提高运维人员现场维护效率及能力。该辅助定位功能具备以下模块: ―告警相关性分析 ―业务相关性分析 ―故障智能分析和定位 2. 术语、定义和缩略语 2.1 术语和定义 下列术语和定义适用于本技术规范: 网元管理系统 Element Management System 简称EMS,由设备供应商提供,是为了管理一个或多个传送网网元所使用的软硬件系统。网元管理系统管理由单一设备供应商提供的网元。 2.2 缩略语 下列缩略语适用于本技术规范:
中国移动通信企业标准 QB-D-028-2008 中国移动W L A N 用户接入流程 技术规范(W E B ) 版本号:2.0.0 中国移动通信有限公司 发布 2008-4-2发布 2008-4-2实施 T e c h n i c a l S p e c i f i c a t i o n F o r C M C C W L A N U s e r A c c e s s (W E B )
目录 1. 范围 (1) 2. 规范性引用文件 (1) 3. 术语、定义和缩略语 (2) 4. WEB认证系统结构 (2) 5. WEB用户接入流程 (3) 6. WEB用户下线流程 (5) 7. 协议 (7) 8. 协议参数 (8) 9. WEB认证安全问题 (10) 10. 编制历史 (10) 附录A详细修订历史 (11) 附录B WLAN接入设备编号 (11) 附录C WLAN接入设备编号中PRO字段的代码分配 (11) 附录D计费要求 (12)
前言 本标准的目的是制定中国移动基于WEB方式的WLAN用户接入规范和协议。 本标准主要包括以下几方面内容:WEB认证系统结构,基于WEB方式的WLAN用户接入流程,基于WEB方式的WLAN用户下线流程,协议,协议参数,WEB认证安全等。 本标准的附录B、C、D为标准性附录,附录A为资料性附录。 本标准由中移有限技〔2008〕49号印发。 本标准由中国移动通信有限公司技术部提出并归口。 本标准由标准归口部门负责解释。 本标准起草单位:中国移动通信有限公司研究院 本标准主要起草人:吕志虎,黄宇红,周文辉,邵春菊
Sybase数据库安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (4) 1.1目的 (4) 1.2适用范围 (4) 1.3适用版本 (4) 1.4实施 (4) 1.5例外条款 (4) 第2章帐号管理、认证授权安全要求 (5) 2.1帐号管理 (5) 2.2口令 (5) 2.2.1修改sa默认密码 (5) 2.2.2修改dba默认密码 (5) 2.2.3修改mon_user默认密码 (6) 2.2.4修改jagadmin默认密码 (6) 2.2.5修改entldbdbo默认密码 (7) 2.2.6修改PIAdmin默认密码 (7) 2.2.7修改PortalAdmin默认密码 (8) 2.2.8修改pkiuser默认密码 (8) 2.2.9修改pso默认密码 (9) 2.2.10密码复杂度 (10) 2.2.11最大错误登录次数* (10) 第3章其他安全要求 (12) 3.1其他安全配置 (12) 3.1.1补丁版本* (12) 3.1.2系统通用配置* (12) 第4章评审与修订 (15)
第1章概述 1.1 目的 本文档规定了中国移动管理信息系统部所维护管理的Sybase数据库应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Sybase数据库的安全配置。 1.2 适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 本配置标准适用的范围包括:中国移动总部和各省公司信息化部门维护管理的Sybase 数据库。 1.3 适用版本 Sybase数据库。 1.4 实施 本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。 本标准发布之日起生效。 1.5 例外条款 欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
浙江移动通信有限责任公司户外通信用一体化UPS电源系统技术规范书 二零零五年十一月
一、概述 (1) 本文件为浙江移动户外通信用一体化UPS电源系统设备招标文件的技术规范书。 (2) 本技术规范书的编制依据是根据中国信息产业部“通信局(站)电源系统的总技术要求”等有关规定编制。 (3) 参与选型及报价的设备必须符合本技术规范书的要求,如相关要求低于本技术规范书的要求应论述其理由。 (4) 设备必须具有入网证,并能提供设备技术数据和电原理图及安装图。 (5) 本技术的解释权属于浙江移动通信有限责任公司。 二、范围 本技术规范规定了户外通信用一体化不间断电源——UPS的技术要求、标志、包装、运输存储。 本技术规范适用于各类户外干放、直放站、微蜂窝等通信用静止型不间断电源。 三、定义 户外通信用一体化UPS电源系统在构成上,主要有五部分组成,包括户外专用UPS主机、蓄电池组、输入输出配电、防雷保护和一体化户外机柜。几部分相互配合,实现在市电正常时使用市电能量向通信设备提供纯净稳压的交流电,市电故障时使用蓄电池能量向通信设备提供纯净稳压的交流电。各部分可集成安装在一体化机柜内或蓄电池组独立安装。 参与报价设备厂家需详列一体化电源柜体尺寸、质量,电池柜尺寸、质量以及各组成部分主要技术指标。 四、一体化户外机柜技术要求 1、柜体采用热镀锌钢板、需防锈处理,表面喷塑。满足室外安装和室外工作的防雨、防尘、 防潮、防盗要求,外观美观。 2、防护等级:IP55。 3、温度范围:-25℃~+55℃。 4、湿度范围:5%~95%。 5、挡阳棚要求:能够挡住30度角的太阳光。 6、安装/维护方便:提供多种可选安装配件,可以满足抱大杆、抱小杆、壁挂和落地等多 种安装要求。 7、振动运输实验:按照GB/T14715-93中5.3.2条 高低温储存实验:贮存条件:YD/T1059-200 测试标准:YD/T1059-2000 8、内部合理布局,可满足UPS立式、卧式等各种安装方式。电池仓外置时,其电池仓柜体 需满足上述要求。
中国移动通信企业标准 中国移动机顶盒软探针北向接口技术规范 Te c h n i c a l S p e c i f i c a t i o n s f o r S e t To p B o x S o f t P r o b e a n d N o r t h -I n t e r f a c e 版本号:1.0.0 中国移动通信集团公司 发布 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 QB-╳╳-╳╳╳-╳╳╳╳
目录 1前言 (2) 2范围 (2) 3规范性引用文件 (2) 4术语、定义和缩略语 (2) 5软探针与监测平台接口 (3) 6接口协议定义 (4) 6.1.BOOT接口(IF1) (4) 6.1.1.BOOT请求 (4) 6.1.2.BOOT响应 (6) 6.2.PERIODIC接口(IF2) (9) 6.2.1.PERIODIC请求 (9) 6.2.2.PERIODIC响应 (11) 6.3.PROGRAM INFO接口(IF3) (12) 6.3.1.PROGRAM INFO请求 (12) 6.3.2.PROGRAM INFO响应 (15) 6.4.ALARM接口(IF4) (16) 6.4.1.ALARM请求 (16) 6.4.2.ALARM响应 (20) 6.5.CONNECTION REQUEST之网络测试接口(IF5) (21) 6.5.1.网络测试任务下发 (21) 6.5.2.网络测试数据上报请求 (23) 6.6.常量表 (25) 6.6.1.EventCode (25) 6.6.2.AlarmCode (25) https://www.doczj.com/doc/1011300092.html,workTestCode (26) 6.6.4.ProgramInfoCode (26) 6.6.5.Result (26) 6.6.6.OperationCode (27)