TB/T 3547-2019 铁路信号安全数据网
- 文档部分内容预览:
图2信号安全数据网子网结构1示意
图3信号安全数据网子网结构2示意
7.2.4信号安全数据网在跨子网通信时,不宜超过3次路由,通信端到端延迟时间不应大于50mS。 7.3网络分支结构 7.3.1环网与单个独立节点连接时,应在独立节点处设置交换机,通过交换机与环网直接连接,女 图4所示。
图4环网与独立节点连接示意
3.1交换机的环网接口应为100Mbit/s及以上光纤接口技术交底,数据业务接口为10Mbit/s及以上电接口 3.2交换机设备应满足表1和表2的要求
表1二层交换机设备要求
表2三层交换机设备要求
表2三层交换机设备要求(续)
8.3交换机用于组网的光通信接口宜为SFP接口,可以通过配 人适成组 网的需求。 8.4同一子网内的交换机设备应采用相同的环网协议。 8.5信号安全数据网子网间采用不同品牌交换机时,应满足互联互通的需求。交换机通信接口参数 (波长、接收灵敏度、饱和功率和发送功率等)应匹配,链路聚合协议应采用静态配置方式,路由协议应 采用静态路由协议,互联交换机间应统一通信技术标准等。 8.6交换机光口应具备光功率检测功能,并能够将检测数据上传至网管系统。
9.1应用设备通过电接口接入到信号安全数据网,各应用设备和交换机的电口连接电缆应采用6类 及以上屏蔽双绞电缆,电缆长度不应超过50m。 9.2各应用设备的A、B机都配置以太网接口(接口1和接口2),接口1接人左环网,接口2接人右环 网,连接方式如图5所示
9.3应用设备应统一采用IEEE802.3以太网顿格式进行数据通信。
图5交换机和应用设备的连接方式
10.1.1信号安全数据网应设置综合网管系统,用于信号安全数据网的管理。 10.1.2综合网管系统分为EMS网管和NMS网管 10.1.3EMS网管负责监控所属线路信号安全数据网设备和网络安全设备的在线运行状态(包括相 部线路互联设备的在线运行状态)和EMS网管服务器的运行状态,以及EMS与信号安全数据网之间 设备的运行状态。 10.1.4NMS网管负责监控属地辖区内所有线路信号安全数据网设备的运行状态和NMS网管服务 器的运行状态,以及EMS与NMS之间的交换机和网络安全设备的运行状态。 10.1.5网管系统不应影响信号安全数据网的安全和通信业务,不应降低原有系统的封闭性 10.1.6综合网管系统具备对不同品牌交换机和网络安全设备的监测功能。 10.1.7综合网管系统应支持新网元扩展及升级。 10.1.8综合网管系统应提供图形化全中文界面。 10.1.9综合网管系统NMS服务器需从CTC获得时钟同步信号,实现网管系统时钟同步。EMS应 与NMS时钟同步,交换机应与EMS时钟同步。 10.1.10综合网管系统接入信号安全数据网应加防火墙或网闸等隔离设备
10.2.1综合网管系统的管理对象包括:交换机、防火墙和网管服务器等实体。 10.2.2综合网管系统硬件包括协议转换器、防火墙、EMS服务器、NMS服务器,网管交换机、EMS网 管终端以及NMS网管终端等设备,其系统结构如图6所示
10. 3网管系统接口
10.4EMS网管系统功能
图6综合网管系统结构
10.4.1.1EMS网管拓扑图上应反映信号安全数据网拓扑图以及与相邻线路的连接关系,具体包括 以下信息: a 线路网络设备在线运行状态以及设备间连接状态; b) 线路网络设备与应用设备之间的连接状态; c) 与相邻线路互联网络设备的连接状态; d) EMS和NMS之间所有网络设备和安全设备运行状态和连接状态; e)EMS和线路网络设备之间安全设备的运行状态和连接状态。 10.4.1.2可生成与实际网络拓扑结构相同的网络拓扑视图,通过浏览网络拓扑视图实时监测整个网 各的设备运行状态, 10.4.1.3拓扑管理应实现设备拓扑分组管理功能,同时还应支持拓扑图导入、导出和备份。 10.4.1.4拓扑图上具备设备面板图展现功能,面板图应如实反映设备硬件组成情况,端口连接状态 以及设备运行状态。 10.4.1.5对于拓扑图上特殊设备和特殊链路(如允余管理器、阻塞链路或聚合链路等)必须明确 标识
10.4. 2配置管理
10.4.2.1EMS网管应实现对拓扑信息、用户信息的备份和恢复。 0.4.2.2EMS网管应能够对所属网络设备进行远程配置;支持远程在线实施配置文件快速导入导 出操作,支持远程在线更新交换机固件;支持设备日志、运行日志的在线导出。可对信号安全数据网讼
10.4.3.1EMS网管系统应提供告警监视窗口,实时显示告警日志,并与拓扑图联动显示当前网络范 围内告警状态,并通过声光告警通知维护人员。 10.4.3.2EMS网管系统应为维护人员提供告警确认、告警删除、告警过滤的操作界面。 10.4.3.3EMS网管软件应能一次性显示告警事件不少于30d的告警历史记录,并能够以日志文件 的形式保存下来;支持对设备、发生时间、事件原因、事件告警等级记录的查询和导出。 10.4.3.4EMS网管系统应具备网络拓扑界面和报警同步回放功能。 10.4.3.5故魔级别应至少分为紧盒告警、主要告警.次要告警3个等级
10.4.4.1网管系统应能全面采集交换机重要性能指标(如光功率、误码率和端口流量等),可按时间 或者类别对性能数据进行查询,并通过曲线图或趋势图展现。 10.4.4.2网管系统应能对交换机重要参数(如光功率、误码率和端口流量等)设定合理的门限值,当 网络性能下降到门限值范围,在网管上产生门限告警,提示用户处理。 10.4.4.3应能对性能参数进行分类统计和综合分析,并实时显示。 10.4.4.4提供对性能数据的存储、备份和清除功能,存储时间应大于30d。
10.4.5.1网管系统至少应设定两种不同权限:管理员和操作员。根据不同的权限对网管软件的操作 能进行限制,管理员拥有对网管最高权限,操作员只具备查看和监视权限 10.4.5.2网管客户端通过用户名和密码进入网管服务器,同一时间同一用户只能在一处登录。EMS 管理员在配置时应采用双重口令方式。 10.4.5.3网管系统应提供操作锁定和定时锁定功能。 10.4.5.4网管服务器还应提供限制终端接人的能力,采用数字证书授权或者主机静态绑定的方式, 防止非法终端接人。
10. 4. 6日志管理
10.4.6.2用户的登录信息(包括成功与不成功)、账户设置、权限修改、网络配置等操作应准确记录 形成系统的操作日志。 10.4. 6.3系统须提供日志查询、日志删除、日志备份以及日志导出等功能。
10.4.7.1网管系统应能生成任意起止时间段的历史报表,报表包括实时性能/故障报表、性能/故障 统计报表、TOPN报表。 10.4.7.2统计报表应采用曲线图、柱状图等图形化方式显示,同时系统还应提供不同报表的对比查 看和报表导出功能。
a 设备管理:自动监测网内网络设备的设备状态、设备名称、设备序列号、IP地址、硬件型号、模 块组成、软件版本、端口等; b) 端口管理:端口状态、端口类型、所处槽位、端口型号、端口模式、速率、MAC地址、VLAN号、 IP地址、发送光功率和接收光功率、管理状态; c)连接管理:连接状态、连接起点设备和终点设备、连接起点端口和终点端口、双向负载情况。 .4.8.2资源信息应实现分类显示和统计汇总功能,支持资源信息查询,可生成电子文档导出
10.5NMS网管系统功能
0.5NMS网管系统功能
0. 5. 1拓扑管理
10.5.1.1拓扑管理要求能够自动采集以网元为基础的综合信息,形成综合网络拓扑图。能够以全 局、线路、区域多种视图形式表现网络的拓扑结构,支持不同视图之间的切换。 10.5.1.2全局视图以GIS或者电子地图等方式从宏观上展示各条线路网络相互关系和连接状态。 10.5.1.3线路视图以每条线路网络为单位,动态、实时显示整条线路网络连接关系、边界状态和设备 运行状态。 10.5.1.4区域视图以枢纽或者用户指定区域为单位呈现该区域网络的连接关系、边界状态和设备运 行状态。 10.5.1.5设备面板图显示网络设备的实际物理外观。设备外观由主机、模块和指示灯等构成。 10.5.1.6NMS提供拓扑切换、视图显示控制、视图监视以及视图对象操作如移动、删除、增加等
10.5.2.1全局视图告警以线路为单位,对所有设备状态进行综合,显示等级最高的设备告警对应的 颜色。 10.5.2.2线路视图、区域视图以及设备面板图中设备告警源于EMS网管系统,设备告警的定义、告 警等级、告警颜色与EMS完全一致。 10.5.2.3告警管理提供告警监视和显示、告警查询、告警清除、告警屏蔽、告警储存以及告警导出等 操作。 10.5.2.4告警管理应具有分析告警信息对设备、业务影响的功能以及告警之间相关性分析。告警相 关性分析应建立时间相关性、资源相关性和事件的相关性,并以可视化方式显示。 10.5.2.5网管对用户提供包括故障检测定位在内的各种决策支持。系统结合事件相关性、资源相关 性和事件相关性,提供告警之间因果关系和故障定位的支持
10.5.2.1全局视图告警以线路为单位,对所有设备状态进行综合,显示等级最高的设备告警对应的 领色。 10.5.2.2线路视图、区域视图以及设备面板图中设备告警源于EMS网管系统,设备告警的定义、告 警等级、告警颜色与EMS完全一致。 10.5.2.3告警管理提供告警监视和显示、告警查询、告警清除、告警屏蔽、告警储存以及告警导出等 梁作。 10.5.2.4告警管理应具有分析告警信息对设备、业务影响的功能以及告警之间相关性分析。告警相 关性分析应建立时间相关性、资源相关性和事件的相关性,并以可视化方式显示。 10.5.2.5网管对用户提供包括故障检测定位在内的各种决策支持。系统结合事件相关性、资源相关 性和事件相关性,提供告警之间因果关系和故障定位的支持。
10. 5.3性能管理
0.5.3.1性能管理要求实现对所管理的网络和性能进行分析,为用户提供运行指标、报告和报表,关 网络扩展和优化提供数据支持。 10.5.3.2网管设置性能参数的阅值,当超过性能门限,在性能监视窗口产生超限告警,并且采用不回
颜色显示。 10.5.3.3网管提供查询设置和查询功能,对历史和当前性能数据进行查询,并且以表格等直观形式 呈现。 10.5.3.4网管提供性能分类统计和分析,对网络性能趋势进行预测,以多种直观的方式展现统计和 分析的结果。 10.5.3.5网管提供性能数据的存储、备份、删除等多种管理功能
10.5. 4 报表管理
10.5.4.2网管能够按照时间要求生成年报、季度报、月报、周报等周期性综合报表。 10.5.4.3网管能够按照限定范围生成综合性报表。 10.5.4.4对性能、告警进行多个维度交叉分析,生成实时性能/故障报表、性能/故障统计报表。 10.5.4.5根据用户设定参数进行数据查询和分析,并且生成报表数据,支持报表的导出、备份和删除
10. 5.5日志管理
10.5.5.1NMS系统应能提供操作日志和运行日志 10.5.5.2系统应提供日志查询、日志删除、日志备份以及日志导出等功能。
10. 5. 6资源管理
10.5.6.1对网络资源清理人库,结合拓扑图,实现资源的动态管理。 10.5.6.2在如实反映的网络资源的基础上,可以实现对资源数据的统计和分析,以可视化方式显示
位可单独设置网络管理终端设备。 10.6.2EMS网管与NMS网管之间通过2X2M专用通道实现允余连接,通道接口类型为FE或E 接口。 10.6.3NMS/EMS网管服务器与对应的网管终端通过2M专用通道连接,通道接口类型为FE或 E1接口。 10.6.4NMS网管服务器与EMS网管服务器之间通过三层网络设备隔离。 10.6.5不同子网互联站点的三层交换机上增加ACL功能。
立可单独设置网络管理终端设备。 10.6.2EMS网管与NMS网管之间通过2X2M专用通道实现允余连接,通道接口类型为FE或E 接口。 10.6.3NMS/EMS网管服务器与对应的网管终端通过2M专用通道连接,通道接口类型为FE或 E1接口。 10.6.4NMS网管服务器与EMS网管服务器之间通过三层网络设备隔离。 10.6.5不同子网互联站点的三层交换机上增加ACL功能
10.7网管系统技术要求
10.7.1.1告警响应时间(网络正常情况下,网元发生告警到网管系统显示该告警的时间)不大 OS。 10.7.1.2NMS支持的客户端数量不少于20个。 10.7.1.3系统平均无故障时间MTBF不少于1X10*h。 10.7.1.4系统平均修复时间MTTR不大于1h。 10.7.1.5日志文件保存时间不少于30d
10.7.2EMS网管系统性能要求
10.7.2.1告警响应时间(网络正常情况下铁路标准,网元发生告警到网管系统显示该告警的时间)不大于 10.7.2.2系统平均无故障时间MTBF不少于1×10*h。 10.7.2.3系统平均修复时间MTTR不大于1h。 10.7.2.4日志文件保存时间不少于180d。 10.7.2.5接人设备容量应不低于150台交换机。 10.7.2.6EMS支持的客户端不少于10个
10. 7.3设备要求
10.7.3.1EMS网管服务器正常运行时CPU利用率不高于50% 10.7.3.2EMS网管服务器正常运行时内存利用率不高于70% 10.7.3.3NMS网管服务器正常运行时CPU利用率不高于50% 10.7.3.4NMS网管服务器正常运行时内存利用率不高于70% 10.7.3.5 防火墙应支持基于五元组的数据包过滤。 10.7.3.6 防火墙应支持基于状态的包过滤。 10.7.3.7 防火墙应支持MAC地址和物理端口绑定。 10.7.3.8 防火墙应支持MAC地址和IP地址绑定。 10.7.3.9 防火墙应支持线速安全监察和转发。 10.7.3.10 防火墙的安全规则支持至少2000条,且安全规则配置数量不影响转发时延。 10.7.3.11 防火墙应支持低转发时延,理论上转发时延不大于20uS。 10.7.3.12 防火墙吞吐量不低于2Gbit/s。 10.7.3.13防火墙支持NATNTP.802.1P.802.1Q协议
11.2信号安全数据网设备IP地址和网管系统IP地址统一分配和管理。 11.3信号安全数据网设备IP地址分配包括应用设备地址、交换机设备地址和网间互联地址,其中交 换机设备地址含交换机管理地址以及EMS与信号安全数据网交换机的接口地址。 11.4网管系统IP地址分配包括EMS服务器对NMS的接口地址、EMS网管终端地址、NMS服务器 和NMS网管终端地址、网络管理交换机与安全设备地址。 11.5信号安全数据网设备IP地址和网管系统IP地址应固定分配。 11.6不同子网间应用设备应划分为不同的网段。 11.7左环网(应用设备接口1)IP地址采用奇数网段,右环网(应用设备接口2)IP地址采用偶数网 段,信号安全数据网中的网段应连续分配。 11.8每个网段中的IP地址×X×.1~×××.14预留给网关使用,应用设备IP地址从×××.15开始分配。 缺省网关为×××.1,子网掩码为255.255.255.0。 11.9TCC、CBI、RBC、TSRS和CCS的IP地址分配范围为XXX.15~XXX.234,IP地址分配顺序 为:每个站内设备按照先TCC设备后CBI设备的次序分配IP地址,车站间按照下行方向依次分配, RBC设备、TSRS设备和CCS设备最后分配。 11.10车站、线路所、中继站均按接入信号安全数据网设备的需求分配IP地址,并预留;对于安装 RBC和TSRS设备的车站,按照实际应用设备数量分配IP地址。 11.11 对于大型枢纽站应预留必要的IP地址,满足计划内准备实施的项目。 11.12预留IP地址范围为×××.235~×××.244。 11.13EMS服务器与信号安全数据网组网交换机相连接的IP地址范围为×XX.245~×XX.254。 11.14用于应用设备接入的交换机IP地址第四段采用奇数,用于中继的交换机IP地址第四段采用 偶数,左右环网中的交换机应配置在不同的网段中,每个站预留左右中继交换机的IP地址,车站或中 继站的交换机设备或用于中继的交换机IP地址应连续分配。 11.15 5应用设备IP地址应接照先干线、后支线(联络线)的原则分配
12.1身份认证和权限控制
12.2安全基线配置核查 12.2.1应启用路由限制策略,没有业务通信的路由路径实施禁用。 12.2.2应利用设备的端口安全策略,除留出适当数量的端口作为备用外,其他闲置端口应关闭,备用 离口可以连接假接口,避免误插。网络端口应与固定IP地址绑定。应使便用交换机本身的密码保护机 制对交换机进行设置。 12.2.3应采取有效措施防止非授权用户通过网络、Web、串口等方式对设备进行配置修改、安全设定 修改。
12.2安全基线配置核查 12.2.1应启用路由限制策略,没有业务通信的路由路径实施禁用。 12.2.2应利用设备的端口安全策略,除留出适当数量的端口作为备用外,其他闲置端口应关闭,备用 端口可以连接假接口,避免误插。网络端口应与固定IP地址绑定。应使用交换机本身的密码保护机 制对交换机进行设置。 2.2.3应采取有效措施防止非授权用户通过网络、Web、串口等方式对设备进行配置修改、安全设定 修改。
取样标准12.2安全基线配置核查
....- 铁路标准 数据标准
- 相关专题: