【接入网宝典】第22期-安全管理介绍及应用方法.docVIP

前言： 本着“共同学习，共同提高”的宗旨，我们汇总整理了华为接入网设备日常维护中需要特别注意的事项和常见问题解答，发布在华为技术支持网站首页“华为资源－电子期刊－接入网宝典 ((接入网宝典(( ―安全管理介绍及应用方法 尊敬的客户： iManager N2000固定网综合网管系统（以下简称N2000）是管理华为固定网络设备的网管产品，实现了对多种设备的管理功能。本文将介绍。N2000网管系统的分权分域管理，包括以下四个方面： 1、设备管理的分权分域 设备管理的分权分域包括两部分内容： 1)?网关设备由各区域维护局管理维护，各区域的维护人员通过网管客户端只能管理本区域所辖的设备，不能维护其区域外的设备； 2)?软交换设备由中心维护局管理维护，各区域的维护人员通过网管客户端只能查看软交换的信息和状态。 2、配置数据的分权分域 配置数据的分权分域包括两部分内容： 1)?网关设备上数据配置的分权分域，通过在网管上调用网关远端维护终端的方式解决； 2)?软交换设备上数据配置的分权分域，通过在网管上对各区域维护局可以管理的配置数据进行鉴权，使不同的用户只能管理不同的配置数据。 3、告警管理的分权分域 告警管理的分权分域包括两部分内容： 1)?在网管上对设备的告警进行签权，区域维护局只能管理有管理权限的网关设备上报的告警； 2)?软交换设备上的告警由中心维护局管理。 4、性能管理的分权分域 性能管理的分权分域包括两部分内容： 1)?各区域维护局只能管理自己有权限管理的性能任务、性能数据、性能门限等； 2)?中心局为只能管理自己有权限管理的性能任务、性能数据、性能门限等。 二、安全管理应用实例 1、如何对NGN设备进行分权分域管理。 1) 规划维护区域 首先，按地域范围划分区域，将不同地域范围的设备划分到不同的区域维护局。 其次，按软交换进行区域细分，设置中心维护局，将软交换设备（SoftX3000）、信令网关设备（SG7000）、媒体资源服务器（MRS6100）移至中心维护局。 对于N2000拓扑视图，需增加对应的区域子图，在子图中增加相应区域的设备。 2) 规划用户组和用户 首先，按区域划分用户组，将不同用户组对应不同的区域。 其次，按用户组进行用户细分，分为区域局维护人员和中心局维护人员。 再次，设置用户组管理员，由用户组管理员分配组内用户的管理权限和操作权限。 对于N2000安全管理，需增加对应的用户组和用户，指定用户组管理员。 各区域维护局用户的管理权限和操作权限，由各区域维护局的管理员负责管理维护。 3) 规划设备的管理权限和操作权限 首先，为用户组分配相应区域的管理权限。 其次，为用户分配相应设备的管理权限和操作权限。 对于N2000安全管理，需为用户组分配相应区域的管理权限，需将用户加入相应的用户组，并为用户分配对应区域内设备的管理权限和操作权限。 4) 规划用户的ACL访问权限 规划用户的ACL（Access Control List）控制列表，限制用户只能从某个或者某些IP地址登录网管，保证网管系统的安全性。 对于N2000安全管理，需设置系统的ACL列表和用户的ACL列表，限制用户只能从指定的网管客户端登录网管服务器。 2、如何对性能统计任务进行分权分域管理。 1）同步性能统计任务。 2）分配用户的统计任务管理权限。 三、安全管理常见问题 在BMS网管中，只有admin用户能看到5200下挂的交换机列表。 【现象描述】 只有admin用户能看到5200下挂的交换机列表，其他用户都看不到。 【告警信息】 无 【原因分析】 普通用户权限设置不当引起的。 【处理过程】 普通用户要想看到5200的交换机列表，首先需要在管理权限中添加确定的5200设备的管理权限，还要添加需要管理的交换机设备的管理权限。其次在操作权限中也要添加相应的5200设备，交换机设备，及各自的新建设备的操作权限，这样普通用户登录后就可以管理到交换机，也可管理到后来新添加的交换机设备了。 【建议与总结dump tran tempdb with no_log清空tempdb数据库日志后，sysmonitor及网管客户端可以正常登录。 用sp_helpdb查看到数据库已经设置了日志自动截断功能。 进入sysmonitor查看进程及数据库信息，查看到DBBackup进程不断自动重启，引起tempdb数据库日志空间不断增长。 重启DBBackup进程，进程正常，不会自动重启。问题解决。 【建议与总结? 此致 敬礼！ 华为技术有限公司 全球技术服务部 意见反馈：supportmaster@。【】维护宣传系列在陆续发布上网的同时，也通过email邮件发送部分客户维护工程师。supportmaster@。 *****************************