所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

企业业务网站
选择语言
搜索
技术支持 文档中心
智简园区网络解决方案 V100R019C10 维护宝典
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
MSP管理员运维

MSP管理员运维

MSP管理员登录iMaster NCE-Campus

背景信息

MSP帐号可以使用浏览器登录iMaster NCE-Campus,在图形化界面中执行系统管理和运维操作。支持的浏览器包括:

  • Google Chrome 57及以上

操作步骤

  1. 打开浏览器。
  2. 在地址栏输入https://iMaster NCE-Campus服务器IP地址:端口号“Enter”键。

    • iMaster NCE-Campus服务器IP地址为“北向管理IP”,在安装iMaster NCE-Campus时指定。
    • 端口号为“18008”,登录时端口号必须跟安装时配置的端口号保持一致。
    • 登录认证组件和登录iMaster NCE-Campus方法一致。

  3. 忽略安全证书问题,进入登录界面。

    使用浏览器登录iMaster NCE-Campus时,浏览器会通过ER证书对iMaster NCE-Campus进行单向认证。安装iMaster NCE-Campus时已预置华为的ER证书,此证书仅用作临时通信,不作商用。申请的新ER证书更新预置的ER证书,以提高iMaster NCE-Campus的通信安全性。为了避免证书过期导致系统存在安全风险,建议定期更新。更新ER证书之后,则不会出现如下提示信息。

    • Chrome:依次单击“高级 > 继续前往...(不安全)”

  4. 输入管理员名称和密码,单击“登录”

    如果使用LDAP对MSP管理员进行认证,登录iMaster NCE-Campus用户名格式为“MSP管理员名称/<LDAP USER NAME>“,例如:在iMaster NCE-Campus上创建的的MSP帐号名称为msp1@huawei.com,用户名格式为msp1@huawei.com/<LDAP USER NAME>

  5. (可选)首次登录时,按提示修改密码并绑定邮箱。非首次登录无此步骤。

    • 为了安全起见,建议不要设置浏览器记住密码。
    • 如果系统管理员已配置邮箱服务器,且系统管理员创建MSP管理员时未配置邮箱,则MSP首次登录时需要绑定邮箱。
    • 如果系统管理员未配置邮箱服务器,MSP首次登录时无绑定邮箱操作。
    • MSP管理员创建的子管理员帐号首次登录时,无绑定邮箱操作。

  6. (可选)进行双因素认证,如果已配置手机号码,单击获取验证码并填写,验证通过之后方可登录iMaster NCE-Campus。如果系统创建MSP管理员时选择的帐号/密码认证,则不会有此步骤。
  7. (可选)签署隐私声明。

    系统管理员创建根MSP管理员时,如果选择了隐私声明,MSP管理员第一次登录iMaster NCE-Campus时,需要签署隐私声明。

    如果根MSP管理员已签署隐私声明,创建的子MSP管理员第一次登录iMaster NCE-Campus时,也需要签署隐私声明。

    如果不签署隐私声明,则无法登录。

首页管理

查看首页

MSP管理员登录iMaster NCE-Campus以后,直接进入“概览”界面,可以查看租户的相关信息,同时可对租户进行创建和删除操作。

操作步骤

  1. 使用MSP管理员帐号登录iMaster NCE-Campus
  2. 在首页中可查看租户列表信息。可进行租户的创建。

授权租户开关设备本地CLI配置功能

背景信息

设备上线之后,如果用户登录设备CLI,并通过命令行方式对设备业务进行配置或修改,可能会和iMaster NCE-Campus下发的配置发生冲突,导致业务异常。

为了避免通过命令行修改设备配置而导致业务异常,MSP管理员可以授权租户开启/关闭交换机CLI配置功能。

此功能只对交换机生效。

操作步骤

  1. 登录iMaster NCE-Campus

  2. 单击租户后边的图标,选择“取消授权”,单击“确定”。取消授权之后,租户则无法开启交换机本地CLI配置功能,用户无法通过CLI对设备进行配置。

后续处理

租户管理员开启/关闭交换机本地CLI配置功能,详细操作请参见设备本地CLI配置

License管理

表4-85 License模式介绍

License模式

License可再分配

适用场景

角色

操作指导

全局永久License

不支持再分配

本地部署场景

系统管理员

导入iMaster NCE-Campus和iMaster NCE-CampusInsight的License文件

MSP管理员

查看License信息

租户管理员

查看License信息

全局订阅License

不再分配

MSP自建云部署场景(MSP管理员不需要统筹管理License)

系统管理员
  1. 第一次登录iMaster NCE-Campus选择“全局订阅License”时,“License再分配”选择“否”
  2. 导入iMaster NCE-Campus和iMaster NCE-CampusInsight的License文件

MSP管理员

不涉及

租户管理员

不涉及

再分配

MSP自建云部署场景(MSP管理员需要统筹管理License)

系统管理员
  1. 第一次登录iMaster NCE-Campus选择“全局订阅License”时,“License再分配”选择“是”
  2. 导入iMaster NCE-Campus和iMaster NCE-CampusInsight的License文件
  3. 配置iMaster NCE-Campus和iMaster NCE-CampusInsight的License套餐包并分配给MSP管理员

MSP管理员

分配License给租户管理员

租户管理员

查看自己的License信息

租户订阅License

不再分配

华为公有云部署场景(MSP管理员不需要统筹管理租户License)

系统管理员

创建MSP管理员时,不开启“License拆分”功能

MSP管理员

从ESDP平台申请激活码

租户管理员

向MSP购买License激活码,并导入iMaster NCE-Campus和iMaster NCE-CampusInsight的激活码

再分配

华为公有云部署场景(MSP管理员需要统筹管理租户License)

系统管理员

创建MSP管理员时,开启“License拆分”功能。

MSP管理员

从ESDP平台申请激活码,并导入iMaster NCE-Campus和iMaster NCE-CampusInsight的激活码

租户管理员

查看自己的License信息

查看License信息(全局永久License)

背景信息

如果系统管理员已导入License文件,MSP管理员可以查看License信息。

前置任务

系统管理员已经导入License文件。

操作步骤

  1. 在主菜单中选择系统 > 管理员 > License管理 ,进入License管理页面,单击图标,查看License文件信息

  2. 单击“License信息”页签,查看License信息。

    • 产品名称选择NCE-Campus,查看iMaster NCE-Campus的License信息。

    • 产品名称选择CampusInsight,查看iMaster NCE-CampusInsight的License信息。

分配License(全局订阅License+License再分配)

背景信息

如果系统管理员已经为MSP管理员分配License套餐包,MSP管理员可以为租户分配License,便于对License进行精细化管理。

只有在系统管理员第一次登录iMaster NCE-Campus,License模式设置为“全局订阅”时,且“License拆分”选择“是”,MSP管理员方可为租户分配License。

前置任务

系统管理员已经为MSP管理员分配License套餐包,详细操作过程请参见“License管理(全局订阅License+License可再分配)”。

操作步骤

  1. 在主菜单中选择系统 > 管理员 > License管理 ,进入License管理页面。查看到系统管理员为MSP管理员分配的License套餐包信息和License消耗信息。

    单击套餐包名称,可以查看套餐包的详细信息。

  2. 单击“过期提醒”,开启“接收到期提醒”功能,配置接收邮件的邮箱,License到期之前会发送到指定邮箱进行提醒。

    • 系统管理员必须完成邮箱服务器的配置,方可配置过期提醒,否则过期提醒无法配置成功,详细配置成请参见“配置邮件服务器”。
    • 最多可以配置5个邮箱,每个邮箱通过换行分隔。
    • License资源项距离到期时间小于30天时,开始发送提醒邮件,每天凌晨2:25发送。
    • 如果这里配置了过期提醒,License过期邮件只会发给这里配置的邮箱,不会再单独发邮件到租户管理员邮箱,所以建议将租户管理员的邮箱也在这里进行配置,避免租户管理员无法接收License过期邮件。

  3. 单击“租户License”页签,为租户分配License。

    1. 点击租户左侧的图标,可以查看到租户的License状态和License资源消耗情况。

    2. 单击“创建”,在“License套餐包名称”列单击图标选择License套餐包,单击“确认”

    3. 配置License资源数,单位为“台*天”,单击图标,完成为租户分配License套餐包。

    4. (可选)单击图标冻结License套餐包,冻结之后的License套餐包不可再进行分配和使用;单击图标修改License套餐包资源数;单击图标删除已分配的套餐包。

      冻结License套餐包、删除License套餐包都会导致相关设备下线,请谨慎操作。

    5. (可选)单击“停用策略”,配置此License套餐包的停用时间和最长欠费时长。

      对于停用策略配置的停用时间和实际消耗License到期时间,以先到的为准。

后续处理

租户管理员登录iMaster NCE-Campus,可以查看License资源状态和License资源消耗信息,详细查看过程请参见“查看License信息(全局订阅License+License再分配)”。

License激活和授权(租户订阅License+License再分配)

背景信息

如果系统管理员创建MSP管理员时,已开启“拆分License”功能,则由MSP管理员统一导入激活码激活License,然后根据租户业务需要为每个租户分配License资源,租户无法自行导入License。

  • 系统管理员第一次登录iMaster NCE-Campus,License模式设置为“租户订阅”
  • 此任务仅适用于华为公有云部署场景,MSP从ESDP平台获取License激活码分配给租户。
租户订阅License(TBL)。
  • 编码方式:8806
  • 按时间消耗License:到期后,iMaster NCE-Campus停止服务
  • 主要表现为:X台*X天
  • 举例:订阅的概念类似于包月。客户购买S5700-LI系列8端口的License 10台天,那么1台该型号设备可以使用10天,或者2台该型号设备可以使用5天,以此类推,总的台天数为10。
  • 扣减时间:每天凌晨2:00进行扣减和结算。

前提条件

  • 已经注册租户帐号
  • 系统管理员创建MSP管理员时,已开启“支持License拆分”
  • MSP管理员已申请License激活码。
  • 如果需要通过iMaster NCE-Campus导入CampusInsight的License的激活码。iMaster NCE-Campus和CampusInsigt对接时,需要先同步License,详细操作过程请参见对接iMaster NCE-CampusInsight

操作步骤

  1. 在主菜单中选择系统 > 管理员 > License管理
  2. 导入激活码或者授权ID,激活License。激活码或授权ID导入一个即可。

    • 单击“导入激活码”

      • 如果有多个激活码,请用“回车键”分开每个激活码。
      • 激活码不能超过10条。
      • iMaster NCE-Campus和CampusInsigt对接之后,可以通过iMaster NCE-Campus导入iMaster NCE-CampusInsight的License激活码。
    • 单击“导入授权ID”

      • 如果有多个授权ID,请用“回车键”分开每个激活码。
      • 授权ID不能超过10条。

    设备第一次注册之后,开始消耗License,设备处于在线状态、离线状态和告警状态,都会消耗License,每天凌晨2点开始扣减,每台设备每天消耗1个单位License。

    租户订阅License(可拆分)场景,系统默认不带90天的common series资源。

  3. 查看License状态。

  4. (可选)单击“统一过期时间”,配置License资源统一过期时间。

    common series资源不参与“统一过期时间”计算。

    同一租户下,相同类型设备的License在每天结算时,会自动计算“统一过期时间”。

    同一租户下,不同类型设备的设备License不会自动计算“统一过期时间”,如果需要统一过期时间,请执行本操作。

    点击“统一过期时间”,可以将不同到期时间的资源项统一成同样的到期时间,方便管理。该操作不可逆。

    该功能可以用来做资源做整合。举例:有license资源项3种:AR100系列10台天,单价5元/台天,AR1200系列20台天,单价10元/台天,Indoor AP系列20台天,单价20元/台天。iMaster NCE-Campus中存在AR100系列设备5台,AR1200系列设备10台,其他设备没有。可以通过统一到期时间按钮,把资源进行整合:10*5 + 20*10 + 20*20 = 650元,所有设备使用一天的消耗为:5*5 + 10*10 = 125元,650/125 = 5天 剩余25元,那么两种系列的license资源到期时间均统一到5天后。剩余的25元,待下次计算时,加到整合的新资源中。

    这个功能可以使资源分配更灵活,将欠费的资源通过资源整合变成正常使用状态。

  5. 单击“过期提醒”,开启“接收到期提醒”功能,配置接收邮件的邮箱,License到期之前会发送到指定邮箱进行提醒。

    • 系统管理员必须完成邮箱服务器的配置,方可配置过期提醒,否则过期提醒无法配置成功,详细配置成请参见“配置邮件服务器”。
    • 最多可以配置5个邮箱,每个邮箱通过换行分隔。
    • License资源项距离到期时间小于30天时,开始发送提醒邮件,每天凌晨2:25发送。
    • 如果这里配置了过期提醒,License过期邮件只会发给这里配置的邮箱,不会再单独发邮件到租户管理员邮箱,所以建议将租户管理员的邮箱也在这里进行配置,避免租户管理员无法接收License过期邮件。

  6. 查看License资源每日消耗情况。

  7. 查看License激活码/授权ID导入记录,单击图标,查看License激活码/授权ID的详细信息。

    Licene加载成功之后,可以查看软件ID,用于进行SnS计费鉴权。

  8. 单击“租户License”页签,为租户分配License。

    1. 点击租户左侧的图标,可以看到每个租户下面有54类产品License,资源数量为0。

    2. 单击“操作”列的图标,配置租户所需要的License资源数,单位为“台*天”,单击图标。

    3. (可选)单击图标冻结License,冻结之后的License不可再进行分配和使用;单击图标修改License资源数。

      冻结License会导致相关设备下线,请谨慎操作。

    4. (可选)单击“停用策略”,配置此License套餐包的停用时间和最长欠费时长。

      对于停用策略配置的停用时间和实际消耗License到期时间,以先到的为准。

后续处理

租户管理员登录iMaster NCE-Campus,在主菜单中选择系统 > 系统管理 > License管理,查看License资源状态和License资源消耗信息。

管理用户帐号

MSP管理员帐号管理

背景信息

系统管理员创建的MSP管理员具有MSP的所有权限,我们称之为根MSP管理员。

为了保证系统的安全性,根MSP管理员可以创建多个子MSP,并通过角色为每个子MSP分配不同的权限,即分权。

前提条件

  • 查看MSP管理员帐号策略。

    iMaster NCE-Campus默认已经设置了帐号策略,MSP管理员可以查看帐号策略,例如帐号名的长度和与帐号登录相关的策略。

    在主菜单中选择系统 > 管理员 > 管理员,单击“帐号策略”,查看MSP管理员帐号策略。

  • 查看MSP管理员密码策略。

    iMaster NCE-Campus默认已经设置了密码策略,MSP管理员可以查看密码策略,例如密码的复杂度、更新周期和字符限制等。

    在主菜单中选择系统 > 管理员 > 管理员,单击“密码策略”,查看MSP管理员密码策略。

    为提高安全性,建议启用iMaster NCE-Campus提供的所有密码安全策略。

    如果需要PCI认证,帐号策略和密码策略请按照如下要求进行调整:

    • 启用帐号停用策略,帐号连续未登录(天)设置为90天,如果帐号超过90天未登录,则停用此帐号。
    • 帐号锁定策略,限定时间段长度(分钟)设置为30分钟,30分钟以内连续登录5次失败,则锁定此帐号,锁定时长设置为30分钟。
    • 密码不能与历史密码重复次数(不能与最近几次历史密码重复)设置为4

  • 创建角色。

    如果系统中已经存在的角色的功能权限不满足需求,可以先创建新的角色,然后再创建新的帐号。

    在主菜单中选择系统 > 管理员 > 管理员,单击“角色”页签。单击“创建”,选择功能权限后完成角色的创建。

    iMaster NCE-Campus为MSP管理员预置如下角色。预置角色不可删除或修改。

    • MSP Administrator:MSP管理员角色,操作管理业务及相关配置。
    • Operator:操作员角色,管理系统业务运行。
    • Open Api Operator:开放接口操作员角色,拥有开放接口业务和相关配置的使用权限。

操作步骤

  1. 在主菜单中选择系统 > 管理员 > 管理员
  2. 单击“创建”,在“创建用户”页面中填写参数。

    为了保证安全,请勿将密码透漏给别人, 并且定期修改密码。

    • 手动创建密码。

      “密码创建模式”选择“手动创建”。创建帐号时直接配置密码,如果“首次登录修改密码”选择“是”,帐号首次登录iMaster NCE-Campus时,会提示用户先修改密码,密码修改成功后方可登录。

    • 邮箱创建密码。

      “密码创建模式”选择“邮箱创建”。完成帐号创建之后,系统会发送一个链接到用户邮箱,登录邮箱,点开链接配置帐号密码。

      • 如果选择邮箱创建密码,请提前配置邮箱服务器,否则系统无法发送链接到邮箱,详细配置过程请参见配置邮件服务器
      • 通过邮箱创建密码之后,首次登录时iMaster NCE-Campus无需修改密码。

      关键参数

      参数说明

      帐号

      新建管理员的登录帐号。

      用户类型
      • 本地:本地用户只能从iMaster NCE-Campus界面登录。
      • 三方系统接入:三方系统接入用户使用北向api接口“/controller/v2/tokens”登录。
        说明:
        • 当用户类型为“三方系统接入”时,用户只能通过调用接口登录iMaster NCE-Campus
        • 当用户类型为“本地”时,用户只能通过登录页面登录iMaster NCE-Campus
        • 升级场景下,“本地”和“三方系统接入”两种类型的用户均修改为“全部”类型的用户。当用户类型为“全部”时,用户通过调用接口和登录页面均可登录iMaster NCE-Campus

      密码创建模式

      密码创建模式可以选择手动创建和邮箱创建。

      密码

      新建管理员的初始登录密码。

      说明:
      • 该参数仅在“用户类型”选择“本地”时显示。
      • “密码创建模式”如果是“邮箱创建”,必须填写有效的邮箱地址,完成帐号创建之后,系统会发送一个链接到用户邮箱,登录邮箱,点开链接配置帐号密码。
      • 通过邮箱创建密码,首次登录iMaster NCE-Campus时,用户无需修改密码。

      确认密码

      首次登录修改密码

      首次使用该帐号登录时,是否强制修改密码。

      手机

      系统管理员邮箱,方便该系统管理员下的MSP能快速联系上本系统管理员。

      邮箱

      系统管理员电话,方便该系统管理员下的MSP能快速联系上本系统管理员。

      角色

      从下拉列表中选取角色。

  3. 进入选择“管理对象”页面,选择此管理员可以管理的帐户,单击“下一步”。缺省情况下,“选择所属最大资源”开启,MSP管理员可以管理所有租户。关闭“选择所属最大资源”,则可以为MSP管理员选择可以管理的租户。 并选择租户管理员反授权的角色,当MSP管理员通过代维方式进入租户界面,则会拥有租户管理员所授权角色的权限。

  4. 进入“访问控制”页面,单击“创建”,按需设置允许使用该帐号登录iMaster NCE-Campus的IP地址区间,单击“确定”

    添加IP地址区间以后,仅该区间中的IP地址可以使用该帐号登录iMaster NCE-Campus。否则视为所有IP地址都允许使用该帐号登录iMaster NCE-Campus

    使用该帐号登录iMaster NCE-Campus以后,也可以选择系统 > 系统管理 > 帐户信息,在“访问控制”页面中维护这个IP地址区间。

  5. 单击“确定”,创建帐户成功。

后续处理

  • 修改帐户信息、重置密码、停用/启用帐户。
    1. 在主菜单中选择系统 > 管理员 > 管理员
    2. “操作”列单击图标,修改帐号帐息;单击图标重置密码,单击图标停用帐户,如果账户已停用,单击图标启用帐户。

  • 删除帐户。
    1. 在主菜单中选择系统 > 管理员 > 管理员。选中帐户,单击“删除”

  • 移交工作组管理员帐号权限。

    如果工作组管理员更换,可以通过工作组上级管理员将其移交给其他管理员。工作组管理员帐号只能将权限移交给自己创建的管理员帐号,在执行移交之前,请确保工作组管理员已完成新帐号创建。

    • 移交工作组管理员权限只能对当前用户所在工作组的一级子工作组用户进行操作,无法对二级及以上的工作组进行操作。
    • 工作组管理员权限被移交之后,被移交的工作组管理员如果在线,则会被强制退出,且再无任何权限。
    1. 在主菜单中选择系统 > 管理员 > 管理员。单击“用户”页签。
    2. 单击“选择”按钮,选择管理组,单击“确定”

      选择新帐号,单击“移交”,将此管理组管理员帐号移交给新帐号,移交后新帐号即拥有此管理组的管理员权限。

      新帐号必须为旧工作组管理员帐号创建的管理员帐号。

      如果图标移到新帐号后边,则说明移交成功。

  • 设置用户组。

    用户组用于对接第三方服务使用,例如对接AD FS、Net IQ、LADP服务器和AD服务器。

    在主菜单中选择系统 > 管理员 > 管理员,单击“用户组”页签,单击“创建”,创建用户组。

    单击“下一步”,选择用户组管理对象,并选择租户管理员授权的角色。

    仅具有MSP管理员权限的用户可进行用户组设置。

  • 个人设置。

    通过个人设置,可提高iMaster NCE-Campus的访问安全性。该功能只对当前用户生效。

    • 设置同时在线数。
      1. 在主菜单中选择系统 > 系统管理 > 帐户信息
      2. “基本信息”页面中单击图标,修改“最大同时在线数”,单击“应用”。缺省值0表示不限制。

    • 修改密码。
      1. 在主菜单中选择系统 > 系统管理 > 帐户信息
      2. “基本信息”页面中单击密码后边的图标,在弹出窗口中设置新密码。

    • 调整允许使用当前帐号登录到控制器的IP地址区间。

      “访问控制”页面中设置IP地址区间(),单击“确定”。列表为空表示不限制

  • 设置闲置超时时间。

    为了防止其他人员在管理员离开时进行非法操作,iMaster NCE-Campus提供管理员闲置超时设置功能。如果管理员在指定时间内不做任何操作,管理员将被自动注销。管理员自动注销后,管理员需重新登录iMaster NCE-Campus

    在主菜单中选择系统 > 管理员 > 管理员,单击“闲置超时设置”,设置闲置时间,单击“确定”

  • 查看在线用户管理。

    在主菜单中选择系统 > 管理员 > 管理员,单击“在线用户”页签。

  • 查看个人隐私声明
    1. 在主菜单中选择系统 > 系统管理 > 帐户信息
    2. “基本信息”页面中,查看用户是否签署隐私声明。
      • 如果“隐私声明签署”“未签署”,表示该用户还未签署隐私声明。
      • 如果“隐私声明签署”“已签署”,表示该用户已签署隐私声明。
  • 撤销个人隐私声明
    如果用户想撤销隐私声明签署,可单击“隐私声明签署”后的“撤销”,在弹出的“警告”提示框中单击“确定”

    撤销隐私声明会注销当前用户的会话,并清除该用户绑定的手机和邮箱,手机和邮箱被清除后,可能会影响用户下次登录或找回密码等功能,请谨慎操作。

配置MSP管理员认证模式

MSP管理员登录iMaster NCE-Campus时,可以采用三种方式对MSP管理员帐号进行认证:

  • 本地认证,缺省情况下,MSP管理员登录iMaster NCE-Campus时采用本地认证格式。
  • 使用LDAP服务器认证,需要和LADP服务器对接,详细配置过程请参见对接LDAP认证服务器

在主菜单中选择系统 > 系统管理 > 认证管理,配置认证模式。

LDAP服务器上的帐号不能和本地帐号相同。

对接LDAP认证服务器

LDAP用户组内的成员可通过LDAP认证服务器登录iMaster NCE-Campus

通用LDAP模式

获取LDAP证书

为了使LDAP服务器中的用户登录到iMaster NCE-Campus,需要配置iMaster NCE-Campus与LDAP服务器对接的参数。

前提条件
  • 部署LDAP服务器时,需要保证LDAP服务器和iMaster NCE-Campus路由互通,可以正常通信。

    如果LDAP服务器与iMaster NCE-Campus通过IPv6进行对接,则需要在LDAP服务器上手动配置与iMaster NCE-Campus业务面IP地址同网段的IPv6地址。

  • 已安装LDAP服务器,并配置域名、创建用户组和用户。

    新建用户的用户名不允许与iMaster NCE-Campus系统帐号同名且不能包含下列特殊字符“#%&'+|/();<=>?\”和空格,否则将导致新建用户无法被iMaster NCE-Campus识别,从而无法在iMaster NCE-Campus登录。

操作步骤
  1. 进入“<LDAP服务器安装目录>\OpenLDAP\secure\certs”目录下。
  2. 编辑“server.pem”文件,删除RSA PRIVATE KEY的内容,即删除从“-----BEGIN RSA PRIVATE KEY-----”到“-----END RSA PRIVATE KEY-----”的所有内容。

  3. 保存“server.pem”文件,得到LDAP证书“server.pem”。

配置iMaster NCE-Campus

配置iMaster NCE-Campus主要包括配置SSL连接证书、LDAP对接参数和创建用户组与用户组映射规则。

背景信息

用户要使用LDAP帐号登录iMaster NCE-Campus,需要配置iMaster NCE-Campus对接LDAP认证服务器。

前提条件

上面章节已获取的SSL证书。

数据准备

通过iMaster NCE-Campus证书管理工具导入的证书,必须满足如下要求:

  1. 证书名(包含后缀)的长度最大支持65个字符。
  2. 只支持X509 V3 Base64格式的证书,请不要使用DER二进制格式的证书。
  3. 证书必须使用安全性高于SHA256的签名哈希算法。
  4. 证书必须使用RSA长度大于2048的签名算法。
  5. 证书的有效期不能超过上限50年或低于下限90天。
  6. 证书的生效日期必须小于当前系统日期,否则会报证书尚未生效。
  7. 证书的截止日期必须大于当前系统日期,否则会报证书已过期。
  8. 证书文件大小应大于0 kB,小于50 kB 。
  9. 上传证书个数最大支持128个。
表4-86 认证参数规划

参数

数据示例

说明

认证服务器配置

服务器IP地址类型

IPv4

LDAP服务器IP地址类型,IPv4或IPv6。

主认证服务器IP

10.186.145.199

LDAP服务器IP地址,支持IPv6格式。

主认证服务器端口

636

LDAP默认636端口启用SSL协议。

用户DN前缀

uid=

登录用户DN中用户名之前的字段。

用户DN后缀

ou=ab,ou=aaa_group,dc=AAA,dc=com

登录用户DN中用户名之后的字段。

帐号

ldap_user

LDAP服务器上已创建的用户。

密码

-

LDAP服务器上已创建的用户的密码。

请自行规划密码。

创建用户组

组名

LDAPGroup1

用于映射LDAP服务器上的用户组。

角色

操作员,审计员

一个用户组可以选择多种权限。

创建用户组映射规则

规则名称

rule1

用户组映射规则的名称。

GLDAPTest

LDAP服务器上创建的用户组名称。

用户组

LDAPGroup1

用于管理CloudCampus@AC-Campus中帐号的权限。
操作步骤
  1. 导入LDAP服务器证书。

    1. 使用系统管理员帐号登录iMaster NCE-Campus
    2. 在主菜单中选择系统 > 系统管理 > 证书管理
    3. 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,单击“AuthService-LDAP”
    4. 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书,单击“提交”,将LADP服务器证书上传到iMaster NCE-Campus

  2. 创建用户组,用来关联LDAP服务器的用户组。

    1. 在主菜单中选择系统 > 管理员 > 管理员
    2. 选择“用户组”页签,单击“创建”
    3. 填写用户组信息,例如“用户组”“LDAPGroup1”“角色”“MSP Administrator”

    4. 单击“下一步”,在“管理对象”页面中选择管理对象。在“全部管理对象”列表中选择一个或者多个租户,单击将选中的租户添加到“已选管理对象”列表中。选择“授权”下拉框中的角色为租户授权。

    5. 单击“确定”,完成创建。

  3. 在主菜单中选择系统 > 系统管理 > 认证管理
  4. 认证方式选择“LDAP认证”,服务器模式选择“通用LDAP”,配置iMaster NCE-Campus与LDAP服务器对接的参数。

    LDAP服务器认证可选择SSL加密或不加密,不加密存在安全风险,所以建议使用SSL加密。

    启用SSL加密方式方法:打开“启用SSL”,选择证书管理策略。

  5. 创建用户组映射规则,使LDAP服务器中的用户映射到iMaster NCE-Campus相应的用户组中。

    1. 展开“高级设置”,打开“自定义用户组映射规则”,单击“创建”
    2. 填写映射规则,把LDAP服务器上用户组“GLDAPTest”的所有用户信息映射到iMaster NCE-Campus的用户组LDAPGroup1中,且这些用户将具有和LDAPGroup1相同的权限,即操作员和审计员权限。

    3. 单击“确定”

  6. 单击“测试”,输入“帐号”“密码”,单击“测试”

    1. 如果界面返回测试成功,请关闭“测试”窗口。
    2. 如果界面返回测试失败,请根据提示进行相应处理。

  7. 单击“应用”,使配置生效,页面提示“保存成功”。

    开启LDAP认证后,管理员用户在本地认证,三方系统接入用户和远端用户在LDAP服务器认证。

    本地用户无法登录控制器。

验证结果

注销当前MSP管理员帐号,使用LDAP用户组“GLDAPTest”的用户帐号和密码重新登录iMaster NCE-Campus,如果登录成功则说明对接成功,否则对接失败。

如果使用LDAP对MSP管理员进行认证,登录iMaster NCE-Campus用户名格式为“MSP管理员名称/<LDAP USER NAME>“,例如:在iMaster NCE-Campus上创建的的MSP帐号名称为msp1@huawei.com,用户名格式为msp1@huawei.com/<LDAP USER NAME>

查看LDAP用户组“GLDAPTest”的成员帐号的方法:使用LDAP Admin连接安装LDAP的服务器。右键单击“GLDAPTest”,右键单击“Properties”

参数解释
表4-87 LDAP认证服务器配置页面的参数说明

参数名称

说明

认证方式

选择LDAP认证。

服务器IP地址类型

LDAP服务器IP地址类型。

  • IPv4
  • IPv6

主认证服务器IP

LDAP服务器IP地址。

主认证服务器端口

LDAP默认636端口启用SSL协议,389端口不启用SSL协议。

上报服务器异常告警

LADP服务器出现异常时是否上报告警:

  • 开启:上报告警
  • 关闭:不上报告警

启用SSL

与LDAP服务器对接时,是否开启SSL协议。缺省为开启状态。

说明:
  • SSL协议为安全协议,为了提高系统的安全性,建议开启SSL协议。
  • 为了保证系统的通信安全,建议使用支持TLSv1.2及以上版本的LDAP服务器进行数据传输。

模式

选择通用LDAP。

用户DN前缀

例如:cn=。

用户DN后缀

例如:dc=com。

用户根DN

查询用户使用的baseDN。

用户对象类名

对应LDAP服务器Schema中用户类名的名称。

用户唯一标识属性

用以标识用户名的属性名称。

用户国家码属性

用以标识用户手机国家码的属性名称。

用户手机号属性

用以标识手机号的属性名称。

用户手机号格式

用以标识手机号的格式,默认为无国家码的手机号。

用户所属组属性

用以标识用户所属组的属性名称。

用户组根DN

查询用户组使用的baseDN。

用户组对象类名

对应LDAP服务器Schema中用户组类名的名称。

用户组唯一标识属性

用以标识用户组名的属性名称。

用户组成员属性

用以标识用户组成员的属性名称。

用户所属组分隔符

远端用户所属组名称之间的分隔符号。

开启逃生功能

开启逃生功能后,LDAP用户成功登录的帐号和密码会保存到本地服务器,当LDAP认证服务器故障时,则LDAP用户将通过本地认证后登录iMaster NCE-Campus
表4-88 创建用户组映射规则的参数说明

参数名称

说明

自定义用户组映射规则

将LDAP用户组映射到iMaster NCE-Campus中的一个或多个用户组。

规则名称

用户组映射规则的名称。

描述

对该映射规则的描述。

用户组

管理映射到LDAP服务器的用户组。

LDAP服务器中用户组的名称。

Windows AD模式

制作并导出AD证书

为了使AD服务器中的用户登录到iMaster NCE-Campus,需要配置iMaster NCE-Campus与AD服务器对接的参数。

前提条件
  • 部署AD服务器时,需要保证AD服务器和iMaster NCE-Campus路由互通,可以正常通信。

    如果AD服务器与iMaster NCE-Campus通过IPv6进行对接,则需要在AD服务器上手动配置与iMaster NCE-Campus业务面IP地址同网段的IPv6地址。

  • 已安装AD服务器,并配置域名、创建用户组和用户。

    新建用户的用户名不允许与iMaster NCE-Campus系统帐号同名且不能包含下列特殊字符“#%&'+|/();<=>?\”和空格,否则将导致新建用户无法被iMaster NCE-Campus识别,从而无法在iMaster NCE-Campus登录。

  • 非首次制作证书,请先卸载AD服务器的根证书和域证书,具体参见如何卸载AD根证书和域证书?
操作步骤

以下以Windows Server 2008 R2 Standard操作系统为例。

  1. 安装Active Directory证书服务。

    1. 单击桌面任务栏,打开服务器管理器。
    2. 选择“角色”后右键,单击“添加角色”

    3. 选择“服务器角色”,确保“Active Directory域服务”“DNS服务器”已安装。

    4. 选择“Active Directory证书服务”,单击“下一步”

    5. 选择“AD CS”下的“角色服务”,选择“证书颁发机构Web注册”,单击“下一步”

    6. 选择“AD CS”下的“安装类型”,保持默认配置,单击“下一步”

    7. 选择“AD CS”下的“CA类型”,保持默认配置,单击“下一步”

    8. 选择“AD CS”下的“私钥”,保持默认配置,单击“下一步”

    9. 选择“私钥”下的“加密”,在“选择此CA颁发的签名证书的哈希算法”区域框中,选择“SHA256”

    10. 选择“私钥”下的“CA名称”,配置CA名称,可以修改公用名称(如:Huawei-WIN-GRC97HN6VCE-CA)和可分辨名称后缀(如:DC=Huawei,DC=com)。

    11. 选择“私钥”下的“有效期”,修改根证书有效期,单击“下一步”

    12. 选择“AD CS”下的“证书数据库”,指定保存证书的路径,保持默认值,单击“下一步”

    13. 确认安装配置信息,单击“安装”

    14. 单击“关闭”

  2. 检查CA配置,保证域证书注册成功。

    1. “运行”中输入:inetmgr,打开IIS程序。

    2. 证书服务颁发机构Web注册服务在IIS默认站点下生成应用程序:CertSrv。

    3. 在左侧导航树上选择“CertSrv”,在最右侧“浏览应用程序”下,单击“浏览 *:80 (http)”,查看证书服务颁发机构Web注册页面。

  3. 导出CA为AD域服务器发放的证书。

    1. “运行”中输入:mmc,打开控制台根节点。

    2. 单击文件 > 添加/删除管理单元

    3. 选中“证书”,单击“添加”

    4. 选择“计算机帐户”,单击“下一步”

    5. 保持默认配置,单击“完成”

    6. 单击“确定”

    7. 证书(本地计算机) > 个人 > 证书下查看证书。

    8. 申请域证书。
      1. 在右侧区域空白处右键,选择所有任务 > 申请新证书

      2. 单击“下一步”

      3. 选择“Active Directory 注册策略”,单击“下一步”

      4. 勾选“域控制器”“域控制器身份验证”,单击“注册”

      5. 状态为成功时,表示注册成功,单击“完成”

      6. 域证书申请成功。
    9. 右键单击证书文件,选择所有任务 > 导出

    10. “证书导出向导”页面,保持默认配置,单击“下一步”

    11. 选择证书格式为“Base64编码X.509(.CER)(S)”,单击“下一步”

    12. 指定证书文件名和存储路径,单击“下一步”

    13. 确认配置信息,单击“完成”。页面提示“导出成功”,单击“确定”

    14. 3.l设置的存储路径下查看已导出的证书。

配置iMaster NCE-Campus

配置iMaster NCE-Campus主要包括配置SSL连接证书、AD对接参数、创建用户组与用户组映射规则。

背景信息

用户要使用LDAP帐号登录iMaster NCE-Campus,需要配置iMaster NCE-Campus对接LDAP认证服务器。

前提条件

上面章节已获取的SSL证书。

数据准备

通过iMaster NCE-Campus证书管理工具导入的证书,必须满足如下要求:

  1. 证书名(包含后缀)的长度最大支持65个字符。
  2. 只支持X509 V3 Base64格式的证书,请不要使用DER二进制格式的证书。
  3. 证书必须使用安全性高于SHA256的签名哈希算法。
  4. 证书必须使用RSA长度大于2048的签名算法。
  5. 证书的有效期不能超过上限50年或低于下限90天。
  6. 证书的生效日期必须小于当前系统日期,否则会报证书尚未生效。
  7. 证书的截止日期必须大于当前系统日期,否则会报证书已过期。
  8. 证书文件大小应大于0 kB,小于50 kB 。
  9. 上传证书个数最大支持128个。
表4-89 认证参数规划

参数

数据示例

说明

认证服务器配置

服务器IP地址类型

IPv4

AD服务器IP地址类型,IPv4或IPv6。

主认证服务器IP

192.168.4.107

AD服务器IP地址,支持IPv6格式。

主认证服务器端口

636

AD默认636端口启用SSL协议。

AD 域名

Huawei.com

配置AD服务器时的域名。

用户根DN

dc=HUAWEI,dc=com

用户从AD域同步控制器数据的根DN。

帐号

ad_user

AD服务器上已创建的用户。

密码

-

AD服务器上已创建的用户的密码。

请自行规划密码。

创建用户组

组名

ADGroup1

用于映射AD服务器上的用户组。

角色

操作员,审计员

一个用户组可以选择多种权限。

创建用户组映射规则

规则名称

rule1

用户组映射规则的名称。

GADTest

AD服务器上创建的用户组名称。

用户组

ADGroup1

用于管理CloudCampus@AC-Campus中帐号的权限。
操作步骤
  1. 导入AD服务器证书。

    1. 使用系统管理员帐号登录iMaster NCE-Campus
    2. 在主菜单中选择系统 > 系统管理 > 证书管理
    3. 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,单击“AuthService-LDAP”
    4. 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书,单击“提交”,将AD服务器证书上传到iMaster NCE-Campus

  2. 创建用户组,用来关联AD服务器的用户组。

    1. 在主菜单中选择系统 > 管理员 > 管理员
    2. 选择“用户组”页签,单击“创建”
    3. 填写用户组信息,例如“用户组”“LDAPGroup1”“角色”“MSP Administrator”

    4. 单击“下一步”,在“管理对象”页面中选择管理对象。在“全部管理对象”列表中选择一个或者多个租户,单击将选中的租户添加到“已选管理对象”列表中。选择“授权”下拉框中的角色为租户授权。

    5. 单击“确定”,完成创建。

  3. 在主菜单中选择系统 > 系统管理 > 认证管理
  4. 认证方式选择“LDAP认证”,服务器模式选择“Windows AD”,配置iMaster NCE-Campus与AD服务器对接的参数。

    AD服务器认证可选择SSL加密或不加密,不加密存在安全风险,所以建议使用SSL加密。

    启用SSL加密方式方法:打开“启用SSL”,选择证书管理策略。

  5. 创建用户组映射规则,使AD服务器中的用户组映射到iMaster NCE-Campus相应的用户组中。

    1. 展开“高级设置”,打开“自定义用户组映射规则”,单击“创建”
    2. 填写映射规则,把AD服务器上用户组“GADTest”的所有用户信息映射到iMaster NCE-Campus的用户组ADGroup1中,且这些用户将具有和ADGroup1相同的权限,即操作员和审计员权限。

    3. 单击“确定”

  6. 单击“测试”,输入“帐号”“密码”,单击“测试”

    1. 如果界面返回测试成功,请关闭“测试”窗口。
    2. 如果界面返回测试失败,请根据提示进行相应处理。

  7. 单击“应用”,使配置生效,页面提示“保存成功”。
验证结果

注销当前MSP帐号,使用AD用户组“GADTest”的用户帐号和密码重新登录iMaster NCE-Campus,如果登录成功则说明对接成功,否则对接失败。

查看AD用户组“GADTest”的成员帐号的方法:在安装AD的服务器桌面上选择开始 > 管理工具 > Active Directory 用户和计算机。右键单击GADTest,依次单击“属性”“成员”

参数解释
表4-90 AD认证服务器配置页面的参数说明

参数名称

说明

认证方式

选择LDAP认证。

服务器IP地址类型

AD服务器IP地址类型。

  • IPv4
  • IPv6

主认证服务器IP

AD服务器IP地址。

主认证服务器端口

AD默认636端口启用SSL协议,389端口不启用SSL协议。

上报服务器异常告警

LADP服务器出现异常时是否上报告警:

  • 开启:上报告警
  • 关闭:不上报告警

启用SSL

与LDAP服务器对接时,是否开启SSL协议。缺省为开启状态。

说明:
  • SSL协议为安全协议,为了提高系统的安全性,建议开启SSL协议。
  • 为了保证系统的通信安全,建议使用支持TLSv1.2及以上版本的LDAP服务器进行数据传输。

模式

选择Windows AD。

AD域名

配置AD服务器时的域名。

用户根DN

查询用户使用的baseDN。

用户对象类名

对应LDAP服务器Schema中用户类名的名称。

用户唯一标识属性

用以标识用户名的属性名称。

用户国家码属性

用以标识用户手机国家码的属性名称。

用户手机号属性

用以标识手机号的属性名称。

用户手机号格式

用以标识手机号的格式,默认为无国家码的手机号。

用户所属组属性

用以标识用户所属组的属性名称。

用户组根DN

查询用户组使用的baseDN。

用户组对象类名

对应LDAP服务器Schema中用户组类名的名称。

用户组唯一标识属性

用以标识用户组名的属性名称。

用户组成员属性

用以标识用户组成员的属性名称。

用户所属组分隔符

远端用户所属组名称之间的分隔符号。

开启逃生功能

开启逃生功能后,LDAP用户成功登录的帐号和密码会保存到本地服务器,当LDAP认证服务器故障时,则LDAP用户将通过本地认证后登录iMaster NCE-Campus
表4-91 创建用户组映射规则的参数说明

参数名称

说明

自定义用户组映射规则

将LDAP用户组映射到iMaster NCE-Campus中的一个或多个用户组。

规则名称

用户组映射规则的名称。

描述

对该映射规则的描述。

用户组

管理映射到AD服务器的用户组。

AD服务器中用户组的名称。

配置工作组

背景信息

管理员创建的子帐号和角色数据未做隔离,存在横向越权的问题,存在很大的安全隐患。

例如:默认的根管理员帐号具有最高权限,分别创建了帐号A和帐号B,分别分配给自己的下属部门或者合作公司,如果帐号A和帐号B具有帐号管理、角色管理权限,帐号A和帐号B可以互相修改、删除对方的帐号和角色信息。

工作组可以解决不同用户创建的帐号、角色、用户组数据相互可见而造成的横向越权问题。工作组是一个树形结构,提供一个有层次的权限平面,由上层工作组为下层工作组划分权限范围。在本层工作组内,用户可维护自己的帐号、角色,以及下层工作组。在平行工作组之间,不同帐号权限隔离,数据互不可见。

如果默认的根管理员不希望子帐号之间的横向越权,可以使用工作组管理员代替普通子帐号分配给下属部门或者分公司。

  • 最多只能创建5个层级关系的工作组。
  • 只能由父工作组的系统管理员创建子工作组。
  • 用户只能设置当前工作组的“帐号策略”、“密码策略”、“闲置超时设置”参数,不能对所在工作组的子工作组设置这些参数。

前置任务

  • 租户管理员创建工作组和工作组管理员帐号。
  • 租户管理将工作组权限反授权给MSP管理员。

操作步骤

  1. 使用MSP管理员帐号登录iMaster NCE-Campus,在主菜单中选择系统 > 管理员 > 工作组,单击“创建”,填写工作组信息,单击“下一步”

    表4-92 基本信息

    关键参数

    参数说明

    工作组名称

    工作组名称应能标识出工作组的用途。

    用户数量

    工作组内的所有管理员帐号数量,包含子工作组的管理员帐号数量。

    工作组数量

    工作组内能够创建的子工作组的数量。

    描述

    工作组的描述信息。

    角色
    • 工作组默认支持的角色包括MSP AdministratorOperatorOpen Api Operator。各角色的操作权限如下:
      • MSP Administrator:MSP管理员角色,操作管理业务及相关配置。
      • Operator:操作员角色,管理系统业务运行。
      • Open Api Operator:开放接口操作员角色,拥有开放接口业务和相关配置的使用权限。
    • 新建工作组需要使用管理员帐号创建角色,否则新建工作组创建子工作组的时候无法选择到“角色”

  2. 配置工作组管理员信息,单击“下一步”

    • 手动创建密码。

      为了保证安全,请勿将密码透漏给别人, 并且定期修改密码。

      “密码创建模式”选择“手动创建”。创建帐号时直接配置密码。

    • 邮箱创建密码。

      “密码创建模式”选择“邮箱创建”。完成帐号创建之后,系统会发送一个链接到用户邮箱,登录邮箱,点开链接配置帐号密码。

      • 如果选择邮箱创建密码,请提前配置邮箱服务器,否则系统无法发送链接到邮箱,详细配置过程请参见配置邮件服务器
      • 通过邮箱创建密码之后,首次登录时iMaster NCE-Campus无需修改密码。

  3. 选择管理对象,即选择此工作组可以管理的租户,并选择租户管理员创建的工作组,单击“确定”,并选择租户管理员授权的工作组。

    如果租户管理员已将租户工作组反授权给MSP管理员,使用MSP工作组管理员登录iMaster NCE-Campus之后,通过代维方式进入租户页面进行业务代维,只具有租户工作组所授权的权限。

后续处理

  • 修改工作组信息。
    1. 在主菜单中选择系统 > 管理员 > 工作组
    2. “操作”列单击图标,修改工作组信息。

  • 删除工作组。
    1. 在主菜单中选择系统 > 管理员 > 工作组
    2. 选中工作组,单击“删除”

      • 只能删除子工作组,无法删除当前用户所在的工作组。
      • 删除工作组会把子工作组下的所有层级的子工作组、用户、角色、用户组等信息全部删除。
      • 删除工作组是高危操作,请谨慎执行。
  • 移交工作组管理员帐号权限。

    如果工作组管理员更换,可以通过工作组上级管理员将其移交给其他管理员。工作组管理员帐号只能将权限移交给自己创建的管理员帐号,在执行移交之前,请确保工作组管理员已完成新帐号创建。

    • 移交工作组管理员权限只能对当前用户所在工作组的一级子工作组用户进行操作,无法对二级及以上的工作组进行操作。
    • 工作组管理员权限被移交之后,被移交的工作组管理员如果在线,则会被强制退出,且再无任何权限。
    1. 在主菜单中选择系统 > 管理员 > 管理员。单击“用户”页签。
    2. 单击“选择”按钮,选择管理组,单击“确定”

      选择新帐号,单击“移交”,将此管理组管理员帐号移交给新帐号,移交后新帐号即拥有此管理组的管理员权限。

      新帐号必须为旧工作组管理员帐号创建的管理员帐号。

      如果图标移到新帐号后边,则说明移交成功。

隐私声明管理

背景信息

MSP管理员创建租户管理员时,会收集用户的邮箱和手机等信息,告知用户已经履行通知义务,并得到了用户的授权需求。

MSP管理员可以根据需要创建隐私声明、删除隐私声明、修改隐私声明、查询隐私声明列表及内容和发布隐私声明,以实现对隐私声明进行线上管理。

缺省情况下,iMaster NCE-Campus开启隐私声明管理功能,如果不需要使用隐私声明管理,可以通过管理面关闭隐私声明管理功能,关闭之后,此功能不可用。请参考以下步骤关闭隐私声明管理功能。

  1. 登录管理面。
  2. 在主菜单中选择产品 > 软件管理 > 部署产品软件,选择更多 > 修改配置参数。将supportSignPrivacystatement(supportSignPrivacystatement, use 'ON', or 'OFF')设置为OFF,单击“确定”

  3. 单击查看任务列表,等待任务执行成功。

前提条件

管理员已具有创建、发布、修改和删除隐私声明的权限。

操作步骤

  1. 在主菜单中选择系统 > 管理员 > 隐私声明管理
  2. 单击“创建”“创建隐私声明”窗口,填写隐私声明的名称、版本号和内容。

    相同名称的隐私声明,其版本号必须大于已发布隐私声明的版本号。

  3. 单击“确定”,完成隐私声明创建。
  4. 单击目标隐私声明“操作”列的,在弹出的“警告”窗口中,单击“确定”,发布隐私声明最新版本。

    隐私声明分为草稿和发布两种状态,处于发布状态的隐私声明无法再次发布。

相关操作

相关操作

操作方法

查询隐私申明内容

单击目标隐私声明“操作”列的,在“查询隐私声明”窗口,查看隐私声明的内容。

修改隐私声明

单击目标隐私声明“操作”列的,在“修改隐私声明”窗口中,根据需要,修改隐私声明的名称、版本号和内容。

说明:

隐私声明分为草稿和发布两种状态,已发布的隐私声明无法修改。如果当前已发布的隐私声明需要修改内容,只可通过创建同名且高版本的隐私声明实现。

删除隐私声明
  • 如果删除单个隐私声明,请单击目标隐私声明“操作”列的,在弹出“警告”提示框中,单击“确定”
  • 如果批量删除隐私声明,请选中需删除的隐私声明,单击表格右上方的“删除”,在弹出“警告”提示框中,单击“确定”
    说明:

    隐私声明分为草稿和发布两种状态,已发布且已被用户签署的隐私声明无法删除,已发布但无用户签署的隐私声明可以删除。

后续操作

MSP管理员创建租户管理员时,选择隐私声明签署。
  • 签署了隐私声明的租户,在登录时需根据界面提示签署隐私声明,否则无法登录iMaster NCE-Campus
  • 设置隐私声明的状态为“发布”后,则已使用该同名隐私声明的租户,其隐私声明版本将被修改为当前发布的最新版本,且相关租户重新登录iMaster NCE-Campus时,需重新签署该最新发布的隐私声明。

创建根租户

背景信息

根租户管理员是租户业务网络配置和维护的主体。

前置任务

  • MSP创建的租户管理员可以选择“帐号/密码”认证,也可以选择“帐号/密码+短信验证码”,如果选择“帐号/密码+短信验证码”,请提前完成短信服务器配置,详细配置过程请参见配置短信服务器
  • 系统管理员创建MSP管理员时,如果需要填写用户邮箱、手机等信息,通过创建隐私声明,告知用户其已经履行通知义务,并得到了用户的授权,详细操作过程请参见隐私声明管理

操作步骤

  1. MSP管理员登录iMaster NCE-Campus
  2. 进入租户管理菜单。

    选择租户管理 > 租户管理 > 租户管理

  3. 单击“创建”,配置租户信息。租户名称不允许与已有帐号重复。可以根据需要开启“授权给MSP”功能。如果开启“授权给MSP”授权之后,会将租户管理员的“Tenant Administrator”角色权限授权给MSP,MSP通过代维方式登录租户界面,具有租户的“Tenant Administrator”角色权限。

    如果认证方式选择“帐号/密码+短信验证码”,请填写用于接收短信验证码的服务电话。

    隐私声明需要提前创建,详细操作过程请参见隐私声明管理。设置了隐私声明租户管理员登录iMaster NCE-Campus时,需根据界面提示签署隐私声明,否则无法登录iMaster NCE-Campus

    如果配置“帐号/密码+短信验证码”认证,短信验证码有以下要求:

    • 验证码的有效时间为5分钟,超过5分钟,则需要重新获取验证码。
    • 1分钟内不能多次获取验证码,1分钟后用户可以再次点击验证码按钮重新发送验证码短信,之前的验证码自动失效。
    • 连续获取5次验证码,获取功能被锁定10分钟。
    • 连续输错3次验证码,本次验证码作废,需要重新获取。

  4. 单击“下一步”,配置租户管理员的信息。

    • 手动创建密码。

      为了保证安全,请勿将密码透漏给别人, 并且定期修改密码。

      “密码创建模式”选择“手动创建”。创建帐号时直接配置密码,帐号首次登录iMaster NCE-Campus时,会提示用户先修改密码,密码修改成功后方可登录。

    • 邮箱创建密码。

      “密码创建模式”选择“邮箱创建”。完成帐号创建之后,系统会发送一个链接到用户邮箱,登录邮箱,点开链接配置帐号密码。

      • 如果选择邮箱创建密码,请提前配置邮箱服务器,否则系统无法发送链接到邮箱,详细配置过程请参见配置邮件服务器
      • 通过邮箱创建密码之后,首次登录时iMaster NCE-Campus无需修改密码。

  5. 单击“完成”,完成租户和租户管理员帐号的创建。

后续处理

表4-93 租户管理员相关操作

操作

操作步骤

修改租户管理员信息

单击操作列的图标,修改租户管理员信息。

删除租户管理员

单击操作列的图标,删除租户管理员。

说明:

删除租户时,iMaster NCE-Campus会把系统中已经存在的租户下的所有数据(主要包括:租户及租户管理员帐号、站点、租户设备)在iMaster NCE-Campus中删除。

查看租户管理员隐私声明签署信息

单击操作列的图标,如果用户已签署隐私声明,可查看该用户签署隐私声明的时间,以及所签署隐私声明的名称、版本和内容。

参数说明

表4-94 租户及租户管理员

参数名称

说明

`租户信息

租户名称

租户的名称。建议使用公司的名称命名。

管理员帐号数量

该租户所能拥有的租户管理员的数量。

地址

租户管理员邮政地址,方便租户所属的系统管理员联系本租户。

服务邮箱

租户管理员邮箱,方便联系租户管理员。请保证邮箱地址的正确性。

服务电话

租户管理员电话,方便联系租户管理员,并可以进行帐号/密码+短信验证码验证。请保证电话的正确性。

登录认证方式

选择租户管理员登录时的验证方式:

帐号/密码:租户管理员登录时只需要输入帐号/密码,帐号/密码验证通过之后,即可登录成功。

帐号/密码+短信验证码:租户管理员登录时,输入帐号/密码验证通过之后,会进入短信验证页面,短信验证通过之后,方可登录成功。

隐私声明

MSP管理员创建根租户管理员时,如果需要填写用户邮箱、手机等信息,通过创建隐私声明,告知用户其已经履行通知义务,并得到了用户的授权,详细操作过程请参见隐私声明管理

管理员信息

帐号

租户管理员的帐号。租户登录iMaster NCE-Campus时使用的帐号,帐号必须为邮箱格式,例如:xxx@xxx.com。iMaster NCE-Campus建议向租户索取,或者先申请一个可用的邮箱,后续给租户管理员使用。

密码创建模式

密码创建模式可以选择手动创建和邮箱创建。

密码

租户管理员首次登录iMaster NCE-Campus的密码。

确认密码

重新输入密码确认,避免密码输入错误而遗忘,必须和上述密码完全一致。

邮箱

可用于该帐号密码找回和消息推送等。如果不配置,将使用帐号作为默认邮箱。请保证邮箱地址的正确性。

手机

可用于该帐号双因素认证。

说明:

认证模式选择“帐号/密码+短信验证码”,界面才会出现填写手机号码。

国家/地区

租户管理员所属的国家或者地区。

修改MSP信息

管理员可以按需修改在控制器中的对应企业名称、定制企业Logo等个性化信息。

操作步骤

  1. 进入MSP信息界面。

    在主菜单选择系统 > 系统管理 > MSP信息

  2. 修改MSP的名称、地址、描述和邮箱,电话,另外还可以单击“上传图片”完成企业Logo的更换,最后单击“保存”

    管理员定制的这些个性化信息将在对应管理员的界面体现出来。例如,修改并刷新界面后可以看到界面左上角的图标已替换为对应企业Logo。

    定制企业Logo时,为了达到最佳显示效果,建议使用尺寸为150像素*30像素的图片。图片格式可以为jpg/png/bmp,大小不超过100KB。

修改用户信息

修改用户密码及访问控制

iMaster NCE-Campus提供用户帐号的密码修改和访问控制功能。用户第一次登录控制器后,需要修改缺省密码以确保控制器的安全性。定期修改密码,可防止系统密码被恶意盗取,保障系统不会被非法入侵。

密码长期使用会增加被盗窃和破解的风险,而且使用的时间越长,被盗窃和破解的风险越高。定期修改密码可以有效防范这种情况的发生,因此强烈建议您定期修改密码,并保管好新密码。

前提条件

已登录控制器的WebUI页面。

操作步骤
  • 修改缺省密码

    当第一次登录控制器的WEB页面时,会自动进入修改缺省密码的页面。

    1. 在“修改密码”页面中,设置“旧密码”、“新密码”和“确认新密码”。
    2. 单击“应用”。
  • 修改密码。
    1. 在主菜单中选择系统 > 系统管理 > 帐户信息
    2. “基本信息”页面中单击密码后边的图标,在弹出窗口中设置新密码。

  • 配置访问控制
    1. 在主菜单中选择系统 > 系统管理 > 帐户信息
    2. “访问控制”区域,单击“创建”,配置可登录的IP地址段,只有地址段内的IP地址才能访问。

    3. 单击“确定”

设置并验证用户邮箱

前提条件

已登录控制器的WebUI页面。

操作步骤
  1. 在主菜单中选择系统 > 系统管理 > 帐户信息
  2. 配置并验证邮箱。

    • 如果创建帐号时未配置邮箱,可以为本帐号配置邮箱。单击“邮箱”后边的图标,在弹出窗口中设置用户邮箱,单击“获取验证码”
    • 如果创建帐号时已配置邮箱,需要对邮箱进行验证,验证通过方可使用。单击“邮箱”后边的图标“验证”,在弹出窗口中设置用户邮箱,点击“获取验证码”
      • 验证码生效时长为10分钟,如果超过10分钟,请重新获取验证码。
      • 为了保证帐号安全,请勿向任何人透漏验证码。

  3. 登录邮箱,查看验证码,设置“邮箱验证码”,单击“确定”

设置用户双因素认证手机号和短信认证功能

双因素身份认证是一个安全性检验的过程,用户在登录帐户之前必须提供双重身份证明。既能提高安全性,又能阻止在线攻击,因为即便密码被盗或泄露,2FA仍能够确保攻击者无法访问帐户。此外,登录通知也可以警告用户,有人试图对其帐户进行未经授权的访问。iMaster NCE-Campus支持的双因素身份认证是在使用用户名密码认证登录的基础上加上短信认证。

背景信息
设置短信认证时需要进行以下配置:
  1. 设置手机号码:用户在登录iMaster NCE-Campus后,可以绑定手机号码。用户输入手机号码后,iMaster NCE-Campus会先检验手机号码格式是否符合要求(1到20位,全数字),再检查该手机号码是否允许帐号绑定,只有未绑定的手机号码才允许帐号绑定。如果该手机号码满足如上两个要求,则用户可申请验证码。手机号码设置后支持修改。
  2. 开启登录时短信验证:用户在设置手机号码后,可以选择开启登录时短信验证,可完成登录时双因素身份认证。开启登录时短信验证的前提是已经设置手机号码。

用户单击获取短信验证码后,可能由于网络信号或手机原因,短信未接收到,用户可在一分钟后重新获取验证码。一个验证码的有效时间为五分钟。如果用户在验证码失效前申请下一个验证码,连续申请超过5个且均未验证成功,该功能将锁定十分钟。

前提条件

系统管理员已正确配置短信服务器,详细配置过程参见配置短信服务器

操作步骤
  1. 在主菜单中选择系统 > 系统管理 > 帐户信息
  2. 单击“手机”后边的图标。在弹出窗口中,按界面提示完成手机验证,将当前帐号绑定到该手机号码。

  3. 单击“登录时短信验证”“修改”按钮。在弹出窗口中开启“登录时短信验证”功能,并完成短信验证码验证。

设置管理员客户端日期和时区

背景信息

缺省情况下,客户端上的时间按服务器端所在时区的时间显示。

如果需要显示客户端自己的所在时区的时间,可以修改时区和日期显示格式。

前提条件

已登录控制器的WebUI页面。

操作步骤
  1. 在主菜单中选择系统 > 系统管理 > 帐户信息,单击“日期和时区设置”页签。
  2. 设置日期格式和客户端时区,单击“应用”

    • 修改完成后,系统中的日期将按设置后的格式显示,客户端上所有时间将按照设置后的时区显示。
    • 该设置仅对本用户生效。

  3. (可选)单击“恢复默认设置”,日期格式和客户端时区恢复缺省值。

设置管理员客户端时间格式

前提条件

已登录控制器的WebUI页面。

操作步骤
  1. 在主菜单中选择系统 > 系统管理 > 帐户信息,单击“时间格式设置”页签。
  2. 设置时间格式,单击“应用”

    • HH或hh表示小时,mm表示分钟,ss表示秒,tt表示上午或者下午。
    • hh:mm:ss tt表示12小时时钟格式,HH:mm:ss表示24小时时钟格式。
    • 该设置仅对本用户生效。

  3. (可选)单击“恢复默认设置”,时间格式恢复为默认设置。

(可选)进入租户代维视图

MSP作为管理服务提供商,负责面向租户提供云化设备和云网络服务,当租户向MSP申请代维服务后,MSP可通过iMaster NCE-Campus对租户网络业务进行管理。如果租户不需要MSP代维租户业务,则跳过此步骤。

前提条件

租户管理员已经授权MSP进行代维。

操作步骤

  1. MSP管理员登录iMaster NCE-Campus首页。
  2. “租户列表”中,单击租户名称,进入租户代维视图。

租户设备管理

查看和导出设备信息

背景信息

MSP管理员对所管理的租户拥有的设备进行查看和管理的能力。

操作步骤

  1. 在主菜单中选择租户管理 > 租户管理 > 设备列表
  2. 选择租户后,系统按条件筛选出对应的设备,并以列表形式呈现设备的基本信息。
  3. 单击,可以设置呈现哪些维度的设备附加信息。

  4. 导出设备信息并下载到本地。

    • 导出指定设备信息:选择指定设备,单击“导出”按钮,则将选中的设备信息导出。

    • 导出所有设备信息:不选择任何设备,单击“导出”按钮,则会将所有设备信息导出。

清除设备ESN并删除设备

背景信息

如果租户管理员发现自己的设备被别人占用,无法添加设备,并且无法删除设备,可以联系MSP管理员清除设备ESN。清除设备ESN之后,可以重新添加设备。

前提条件

MSP管理员清除设备ESN或者删除设备时,系统会已邮件的方式通知当前使用设备的租户管理员。

需要完成以下配置,方可保证邮件发送成功。

  • MSP管理员已正确配置邮件服务器,具体请参见配置邮件服务器
  • 创建租户管理员时,必须填写租户的邮箱,邮件默认发送租户管理员邮箱。

操作步骤

  1. 在主菜单中选择租户管理 > 租户管理 > 设备列表

  2. 选择设备,单击“清除ESN”

    在弹出窗口中选择“已确定”,单击“确定”

    ESN清除成功后,租户管理员在系统界面仍然可以查看到设备,但是设备不可用。同时系统会以邮件方式通知正在使用设备的租户管理员。

  3. 选择设备,单击“删除设备”

    如果设备已加入Fabric,则无法删除设备。

    在弹出的窗口中选择“已确定”,单击“确定”

    设备删除成功后,此设备在系统界面不可见,同时系统会以邮件方式通知正在使用设备的租户管理员。

租户设备巡检

背景信息

MSP管理员定期检查租户网络,检查出网络、设备或业务进行中存在的异常,并进行处理,检查完毕后生成报告发送到指定邮箱。

MSP管理员可以对通过Netconf协议纳管的租户设备进行巡检,及时发现设备存在的隐患。

前提条件

系统管理员或MSP管理员已正确配置邮件服务器。

操作步骤

  1. 在主菜单中选择维护 > 维护 > 巡检
  2. 执行巡检任务。

    • 执行巡检前,必须先将需要巡检的设备加入站点,否则会造成巡检失败。
    • WAC、FitAP和分布式AP不支持巡检。
    1. 单击“巡检列表”页签。
    2. 对租户设备进行巡检 。
      • 对租户下所有设备进行巡检:在列表中找到待巡检的租户,单击“开始巡检”,可以对租户下所有设备进行巡检。

      • 对租户下多台设备批量巡检:单击租户图标,勾选需要巡检设备,单击“开始巡检”,可以对租户下所选定的设备进行批量巡检。

      • 对租户下单台设备进行巡检:单击租户图标,勾选设备并单击“操作”下面的图标,可以对租户下单台设备进行巡检。

        对于巡检失败的设备,可以通过“巡检状态”查看失败原因,巡检失败的可能原因如下:

        • 设备不在线。
        • 设备未加入站点。
        • 设备或版本不支持。
        • 在执行巡检的过程中重启iMaster NCE-Campus
        • 通过CLI(命令行)登录设备。
        • 创建会话或连接失败:控制器与设备建立SSH通道失败。
        • 巡检超时: 单台设备巡检超过16分钟,巡检超时。
        • 认证失败:在控制器上配置了交换机HWTACACS认证以及逃生功能,HWTACACS服务器故障或者网络不通。或者控制器为设备配置admin密码失败。
        • 会话或连接已存在:设备命令行已打开。
    3. 巡检完成之后,单击“导出报告”,获取并查看巡检报告。

      导出的巡检报告为.pdf格式。

  3. 查看巡检列表。

    1. 单击“巡检记录”页签。
    2. 从列表中找到巡检记录,可以执行导出巡检报文、导出巡检报告、删除和重新发送邮件等操作。

      • 系统最多保存3年以内的历史巡检记录。
      • 巡检状态有以下三种:
        • 全部成功:所有设备巡检成功。
        • 部分成功:部分设备巡检成功。
        • 异常结束:巡检过程发生异常,未完成巡检任务,比如说手工停止巡检操作。

  4. 配置通知邮件发送策略。

    1. 单击“巡检设置”页签。
    2. “邮件发送”设置为,单击“增加”,添加收件人邮箱,单击“确认”

    3. 设置邮件标题,单击“保存”

      如果MSP管理员邮箱已通过验证,缺省情况下,开启“邮件发送”功能时,系统会自动将MSP管理员的邮箱添加进来,并且不可删除不可修改。

      如果“邮件标题”使用缺省值,系统发送巡检报告邮件时会自动将标题中的日期刷新为实际日期。但如果使用定制的通知标题,将无法实现这一功能。

证书管理

背景信息

系统预制证书存在安全隐患,请及时申请并替换商用证书。

iMaster NCE-Campus会提供临时证书,当用户认为默认的证书不能满足安全要求时,可以向CA机构申请新的证书,并将证书导入iMaster NCE-Campus

表4-95 证书管理支持的服务证书列表

服务名称

证书类型

证书及相关文件

证书用途

AuthService-LDAP

身份证书

PEM格式的身份证书,身份证书的公钥文件、私钥文件、私钥密码和证书链。

用于校验iMaster NCE-Campus对接的AD-LADP服务器是否受信任,保证iMaster NCE-Campus和AD-LDAP服务器通信安全性。

信任证书

PEM或者CER格式的信任证书。

吊销列表

暂不支持。

暂不支持。

NorthboundCommunicationService-Syslog

身份证书

JKS格式的身份证书文件。

用于iMaster NCE-Campus校验第三方Syslog服务器的身份,保证iMaster NCE-Campus和第三方Syslog服务器通信的安全。

信任证书

JKS格式的信任证书文件。

吊销列表

暂不支持。

暂不支持。

前提条件

已经向CA机构申请到安全的证书。

操作步骤

  1. 在主菜单中选择系统 > 系统管理 > 证书管理
  2. 在左侧导航树中选择“服务证书管理”。

  3. 在“服务列表”页面,选择需要导入证书的服务名称,根据证书类型选择对应的页签配置证书信息。

第三方服务器配置

配置iMaster NCE-Campus和邮件服务器、短信服务器、Syslog服务器前, 必须保证iMaster NCE-Campus后台节点和服务器之间路由可达。

配置邮件服务器

背景信息

iMaster NCE-Campus需要向用户发送邮件时,需要首先配置邮箱服务器。

iMaster NCE-Campus在如下场景下,有发送邮件的诉求:

  • MSP管理员或者租户管理员忘记密码时,iMaster NCE-Campus需要以邮件方式发送重置的密码给管理员。
  • 当租户管理员对iMaster NCE-Campus进行告警设置后,当iMaster NCE-Campus上报告警后,iMaster NCE-Campus需要通过邮件的方式及时通知用户。
  • 当租户管理员需要邮件开局时,iMaster NCE-Campus需要向开局人员发送开局邮件。
  • 租户自注册场景,需要由iMaster NCE-Campus向租户邮箱发送激活链接,完成租户的自注册。
  • MSP管理员对租户设备巡检后,如果需要发送巡检报告到管理员邮箱。
  • MSP管理员清除设备ESN、或者删除设备时,如果需要通过邮件的方式发送通知给租户管理员。
  • 租户License到期前,iMaster NCE-Campus需要通过邮件方式提醒租户。
  • Portal认证访客接入场景,审批人通知方式或访客通知方式选择邮件通知。

系统管理员已经配置了邮件服务器主要用于发送邮件。如果MSP管理员需要使用区别于系统管理员设置的邮件服务器发送邮件,就需要单独配置。

如果系统管理员和MSP管理员均配置了邮件服务器,优先使用MSP管理员配置的邮件服务器,如果未查到MSP配置的邮件服务器,则使用系统管理员配置的邮件服务器。

操作步骤

  1. 导入邮箱服务器证书。

    1. 联系邮箱服务器提供商获取证书文件。
    2. 使用系统管理员帐号登录iMaster NCE-Campus,选择系统 > 系统管理 > 证书管理
    3. 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,单击“CampusBaseServiceServerConfigMoudle”
    4. 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书文件上传,单击“提交”,将邮箱服务器证书上传到iMaster NCE-Campus

  2. 在主菜单中选择系统 > 系统管理 > 第三方服务
  3. 配置与邮件服务器对接的相关参数。

    如果邮件服务器使用的是非官方CA证书,建议关闭“启用证书服务器证书校验”

  4. 单击“测试”,验证邮件发送功能。

    • 如果界面提示“测试成功”,并且能收到测试邮件,说明配置成功。单击“保存”
    • 如果界面提示“测试成功”,却无法收到测试邮件,请确认SMTP服务器的邮件功能是否正常。
    • 如果界面提示“配置测试失败”,请检查上述参数配置是否有误。
    • 受网络质量和SMTP服务器性能的影响,收到测试邮件可能稍有时延,但最多不超过2分钟。
    • 部分SMTP服务商针对第三方应用接入场景设置了权限控制功能。如果测试失败,请确认是否已在SMTP服务器侧开通第三方应用接入功能,并将“密码”设置为SMTP服务器侧对应的授权密码。
    • 受制于邮件服务商的安全策略,部分邮件发送场景可能出现收不到邮件的情况。如果发生未收到邮件的异常情况,请登录相应邮箱服务网站或联系邮箱服务提供商查看是否收到退信或其他异常情况,或者更换邮件服务器重试。

参数说明

表4-96 邮件服务器

参数名称

说明

SMTP地址

发送邮件的邮箱所属的SMTP地址。格式为IP地址或smtp.mail.com格式。

说明:

SMTP是简单邮件传输协议,主要用于传输系统之间的邮件信息并提供来信有关的通知。

端口

邮件服务器对外提供SMTP服务的端口,可以向邮件服务商获取。常见端口号为25。

启用安全连接

是否启用安全连接。

加密连接类型

仅当勾选“启用安全连接”时有效。

iMaster NCE-Campus与SMTP服务器之间建立加密通信链路时的协议类型。

说明:

推荐使用TLSv1.2类型的安全协议,TLSv1.0和TLSv1.1协议为不安全协议,请慎重使用。

启用服务器证书校验

为了提升系统安全性,请勾选“启用安全连接”“启用服务器证书校验”。选择证书。

证书文件

选择邮箱服务器证书文件,用于保证和邮箱服务器之间的数据安全。

启用认证

是否启用邮箱帐号、密码认证时使用。

帐号

仅当勾选“启用认证”时有效。

登录SMTP服务器的帐号和密码。

密码

发件邮箱

发件邮箱须保证在邮箱服务器上已注册开通。在测试邮件时会作为收件箱使用,连通性测试成功并保存后,此邮箱作为发件箱使用。

自定义邮件主题

管理员自定义邮件主题的前缀和后缀,发送邮件时会自动将前缀和后缀自动加在邮件主题前面和后边。

自定义邮件签名

管理员自定义邮件签名,发送的邮件会自动将签名带上。

配置短信服务器

背景信息

如果需要使用短信认证业务,则需要配置短信服务。

配置短信服务需要先配置短信平台,以此指定短信网关,然后根据短信平台配置帐号信息,实现发送短信功能。
  • 短信平台:由第三方提供的短信平台信息,具体格式和内容以第三方短信服务器的接口文档为准。

    缺省情况下,系统已预置如下短信服务器对接参数。

    • 企信通(fungo):http://qxt.fungo.cn/Recv_center,北京移动时空短信平台。
    • twilio:https://api.twilio.com:8443/2010-04-01/Accounts/{USERNAME}/Messages.json,如需使用,请到www.twilio.com申请短信服务。
  • 短信服务器:配置iMaster NCE-Campus和第三方短信平台进行对接参数,iMaster NCE-Campus和短信平台对接成功之后,可以实现发送短信功能。

    如果系统管理员已配置短信服务器,并且开启了“租户集成”,则MSP管理员可以直接使用系统管理员配置的短信服务器,否则户无法使用系统管理员配置的短信服务器,此时需要MSP管理员自己配置短信服务器,系统管理员配置短信服务器的操作请参见配置短信服务器

    如果MSP管理员不想使用系统管理员创建的短信服务器,也可以自己配置短信服务器。

前提条件

如果MSP管理员自己创建短信服务器,需要联系系统管理员配置短信平台信息,只有系统管理员可以配置短信平台信息。

操作步骤

  1. 导入短信服务器证书。

    1. 联系短信服务器提供商获取证书文件。
    2. 使用系统管理员帐号登录iMaster NCE-Campus,选择系统 > 系统管理 > 证书管理
    3. 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,单击“CampusBaseServiceServerConfigMoudle”
    4. 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书文件上传,单击“提交”,将短信服务器证书上传到iMaster NCE-Campus

  2. 选择系统 > 系统管理 > 第三方服务,单击“短信服务器”页签。
  3. 选择短信平台,填写相关信息。

    HTTP为不安全协议,建议使用HTTPS协议。

    • 短信服务类型选择“HTTP SMS Service”,短信平台选择fungo。

    • 短信服务类型选择“HTTP SMS Service”,短信平台选择twilio。

    • 短信服务类型选择“SMPP SMS Service”,选择创建的短信平台。

  4. 单击“测试”,以验证短信发送功能的有效性。

    • 测试成功,则弹出“测试成功”对话框,同时手机收到测试短信。
    • 测试失败,则弹出“测试失败”对话框。
      • 如果返回对话框中有错误码,请查看短信服务商产品文档,判断错误原因,并获取解决方案。
      • 如果返回对话框中无错误码,请检查短信模板中的URL是否正确,确认短信服务器是否可达。

  5. 测试成功后,单击“保存”

参数说明

表4-97 HTTP短信服务器

参数名称

说明

短信平台

选择短信模板,系统管理员配置短信服务器模板,以此指定短信网关。

缺省情况下,系统已预置如下短信服务器对接参数。

  • 企信通(fungo):http://qxt.fungo.cn/Recv_center,北京移动时空短信平台。
  • twilio:https://api.twilio.com:8443/2010-04-01/Accounts/{USERNAME}/Messages.json,如需使用,请到www.twilio.com申请短信服务。

如果使用其他运营商提供的短信服务,可以新建短信模板。

帐号

申请短信业务时所获取的帐号。

Token

申请短信业务时所获取的密码。

说明:

为确保系统和用户安全,建议第三方提供的密码也需要满足复杂度要求。

短信签名

发送短信时的签名。

发送号码

twilio模板支持此选项。从短信服务商获取的号码,用于校验短信发送号码是否正确。

租户继承

开启“租户继承”,如果MSP和租户未配置短信服务器,则使用系统管理员配置的短信服务器,如果关闭“租户继承”,MSP和租户则无法使用系统管理员配置的短信服务器。

测试号码

发送测试短信的号码,可以选择填写任意可使用的手机号码。

测试短信内容

进行短信测试时所发送的内容。
表4-98 SMPP短信服务器

参数名称

说明

短信平台

选择短信模板,系统管理员配置短信服务器模板,以此指定短信网关。

服务器标识

申请短信业务时所获取的服务器标识。

密码

申请短信业务时所获取的密码。

源号码

从短信服务商获取的号码,用于校验短信发送号码是否正确。

租户继承

开启“租户继承”,如果MSP和租户未配置短信服务器,则使用系统管理员配置的短信服务器,如果关闭“租户继承”,MSP和租户则无法使用系统管理员配置的短信服务器。

测试号码

发送测试短信的号码,可以选择填写任意可使用的手机号码。

测试短信内容

进行短信测试时所发送的内容。

配置地图URL

iMaster NCE-Campus通过地图标识站点所属的位置后,可以通过地图展示各站点的监控的数据。iMaster NCE-Campus目前仅支持高德和谷歌地图。请首先向地图服务商购买使用许可并获取接口URL,再按照如下方法进行配置。

如果MSP管理员单独购买的地图服务,可以单独配置地图URL。

如果系统管理员、MSP管理员和租户管理员均配置了地图,优先使用租户管理员配置的地图URL,如果租户管理员未配置地图URL,则使用MSP管理员配置的地图URL,如果租户管理员和MSP都未配置的地图URL,则使用系统管理员配置的地图URL。

前提条件

已向地图服务商购买相关服务,并获取地图的API地址和键值。键值的申请方法详见高德地图键值的申请流程

操作步骤

  1. 选择系统 > 系统管理 > 第三方服务,单击“地图URL配置”页签。
  2. 单击地图行对应的编辑,在输入框中输入API地址键值,同时勾选“使用说明

  3. 单击“确

高德地图键值的申请流程

  1. 单击键值申请链接https://lbs.amap.com/dev/key,进入高德地图官网。
  2. 在官网注册帐号并登录。
  3. 选择应用管理 > 我的应用,单击“创建新应用”

  4. 输入“应用名称”“应用类型”选择“工具”,单击“新建”

  5. 在创建的新应用中,单击“添加”

  6. 输入“Key名称”“服务平台”选择“Web端”,单击“提交”

  7. 得到的Key值即为键值。

参数说明

表4-99 地图URL

参数名称

说明

API地址

地图URL。

  • 高德地图的API地址是:https://webapi.amap.com/maps?v=1.4.0
  • 谷歌地图的API地址是:https://maps.googleapis.com/maps/api/js

键值

需要向服务商购买使用许可。

配置Syslog服务器

导入Syslog服务器信任证书

背景信息

该证书用于iMaster NCE-Campus作为客户端与远端Syslog服务器之间进行安全通信时,Syslog服务器提供的身份认证。

操作步骤
  1. 在主菜单中选择系统 > 系统管理 > 证书管理
  2. 在左侧导航树中选择“服务证书管理”,在“服务列表”页面,选择“NorthboundCommunicationService-Syslog”
  3. 单击“信任证书”页签,单击“导入”,填写证书信息,选择证书,单击“提交”,将Syslog服务器证书上传到iMaster NCE-Campus

    为了提高系统安全性和防止证书过期,建议用户定期(例如:3个月)更新证书。

配置Syslog

背景信息

用户需要使用Syslog服务器(网管系统的Syslog服务模块)接收并管理日志和告警,需要提前在Syslog服务器和iMaster NCE-Campus侧进行相关配置。

iMaster NCE-Campus自身可提供日志和告警的显示查询导出功能,同时也支持以Syslog报文的方式将日志和告警信息上报Syslog服务器或网管的Syslog服务模块。由Syslog服务器来统一管理日志和告警信息。iMaster NCE-Campus上报日志和告警到Syslog服务器的方式有两种:UDP上报方式(不安全)和TLS上报方式(安全),用户根据实际需要选择。

上报的日志类型包括运行日志、操作日志、安全日志,上报的告警包括集群告警、设备失联告警等。用户可以定制选择通过Syslog上报的告警信息。

前提条件
  • 已导入Syslog服务器信任证书。
  • (可选)如果Syslog服务器要求认证客户端身份,还需将iMaster NCE-Campus任意节点的如下证书文件导入Syslog服务器的信任域。

    名称

    路径

    client.keystore

    /etc/puppet/modules/opendaylight/files/ssl/syslog/client

    clientTrust.keystore
操作步骤
  1. 在主菜单中选择系统 > 系统管理 > 第三方服务,单击“Syslog配置”页签。
  2. “Syslog配置”页面单击“创建”,按照规划填写对接参数。

  3. 单击页面底部“测试”

    只有启用TLS需要测试,否则无“测试”按钮,请直接单击“应用”

    • 如果界面提示“测试成功”,表示syslog配置成功,单击“确认”
    • 如果界面提示“测试失败”,表示参数配置有误或证书有误,请分别检查北向应用和iMaster NCE-Campus侧配置的参数值以及导入的证书,修改后再次测试。

参数说明
表4-100 Syslog服务器配置

参数名称

参数说明

IP地址

Syslog服务器的IP地址,在Syslog服务器的主服务器上查看。

端口

主服务器的Syslog.conf配置文件中查看字段Source内,udp(ip()port()),或者tcp(ip()port()),port内的数字就是用来接收日志的端口号。

启用上报

启用Syslog服务配置,方可配置日志服务器的IP地址/域名和端口。

启用TLS

若Syslog服务器侧配置TLS上报方式,则开启TLS加密功能,若Syslog服务器侧配置UDP上报方式,则不启用TLS加密功能。

启用TLS前,请确保日志收集服务器支持TLS。

Syslog协议

选择上报Syslog的协议,可选RFC5424和RFC3164

上报日志类型

选择需要上报的日志类型。
上报日志内容
表4-101 上报日志内容说明

参数

说明

operatorTime

上报日志的时间

account

上报日志的帐号

clientIP

上报日志的源IP地址

tenant

产生日志的租户名称

tenantID

产生日志的租户ID

operation

产生日志信息的操作

operatorObj

操作对象

operatorResult

操作结果

level

日志级别

detail

日志详情

type

日志类型,包括操作日志、安全日志。

配置文件服务器

背景信息

设备升级或者加载补丁时,可以从第三方文件服务器获取系统软件和补丁。在升级之前需要将系统软件和补丁放到文件服务器上,并在iMaster NCE-Campus配置和第三文件服务器对接。

如果文件服务器已经被设备升级时使用,则无法修改和删除文件服务器。如需修改和删除文件服务器,请保证设备升级时未使用此文件服务器。

前置任务

完成SFTP或者HTTPS文件服务器的搭建和配置。

操作步骤

  1. 在主菜单中选择系统 > 系统管理 > 第三方服务,单击“文件服务器”页签,进入配置文件服务器配置页面。
  2. 单击“增加”,配置第三方文件服务器信息。可以选择SFTP协议或HTTPS协议传送文件。

    • 选择SFTP协议,配置文件服务器用户名、密码、IP地址和端口号。

    • 选择HTTPS协议,配置文件服务器的认证方式、IP地址和端口号。

  3. 单击“确定”,完成配置。

后续任务

  • 通过第三方文件服务器上传设备升级需要的系统软件或者补丁,并对设备升级,需要执行以下步骤。
    1. 在主菜单中选择维护 > 维护 > 文件管理,在文件列表中添加系统软件和补丁信息,具体操作请参见文件管理中的“新建第三方服务器文件”
    2. 通过租户管理员登录iMaster NCE-Campus,在主菜单中选择维护 > 设备维护 > 设备升级,对设备升级时,选择SFTP或者HTTPS协议,具体操作请参见NETCONF协议纳管设备升级/降级

通知用户管理

背景信息

运维人员需要发送一些通知给相关人员时,需使用远程通知发送消息。

运维人员可以在设置远程通知的参数后,手动编辑要通知的内容或使用设定好的通知模板,手动触发短消息和邮件的发送,使相关人员及时了解相关通知信息。

在给用户发送通知前,运维人员需创建通知用户、通知用户组,以满足发送通知的需要。

前置任务

已完成管理员的创建。

操作步骤

  1. 在主菜单中选择系统 > 系统管理 > 第三方服务
  2. 单击“通知用户管理”页签,配置通知用户和通知用户组。

    • 单击“通知用户”页签,单击“创建”,配置通知用户。填写用户信息,手机号码和邮箱至少填写一项,单击“确定”

      用户名区分大小写字母。

    • 单击“通知用户组”页签,单击“创建”,配置通知用户组。填写用户组信息,选择用户并添加用户到该用户组,单击“确定”

      当需要给用户发送通知时,运维人员通过创建用户组,以实现通知的分组发送。

      • 用户手机号和邮箱不能同时为空,否则不能添加到用户组。
      • 在“通知用户”页签,可单击“创建”增加通知用户,新创建的用户默认添加到该用户组中。
      • 每个通知用户组最多可添加200个用户。
      • 在为用户组添加用户时,在“通知用户”和“运维用户”页签,均支持“按用户名搜索”、“按手机号码精确搜索”或“按邮箱地址精确搜索”。
      • 当用户的“手机号码”和“邮箱”同时为空时,无法将该用户添加至用户组中。
      • 用户组名区分大小写字母。

后续操作

  • 修改、查询、删除、导出通知用户。
    • 修改通知用户信息

      当某个通知用户的信息需要变更时,可在“通知用户”列表中,单击目标“操作”列的,修改通知用户的基本信息。

    • 查询通知用户

      为了更方便地查询某个或某些通知用户的信息,可在“通知用户”页面右上角的下拉框中,选择“按用户名搜索”“按手机号码精确搜索”“按邮箱地址精确搜索”,并在搜索框中输入对应的信息,单击,在“通知用户”列表中显示符合搜索条件的用户记录。

    • 删除通知用户

      当某个通知用户不再使用时,可在“通知用户”列表中,单击目标“操作”列的,删除通知用户。

    • 导出通知用户

      为了便于管理和查看通知用户,可在“通知用户”页面,单击“导出全部”,在“警告”对话框中,单击“确定”,在“设置文件格式和密码”对话框中设置导出文件格式、密码以及确认密码,将通知用户信息导出到本地。

  • 修改、复制、查询、删除通知用户组。
    • 修改通知用户组信息

      当某个通知用户组的信息需要变更时,可在“通知用户组”列表中,单击目标“操作”列的,修改通知用户组的基本信息。

    • 复制通知用户组

      当需要新创建的通知用户组信息与已有的通知用户组信息相似时,可在“通知用户组”列表中,单击目标“操作”列的,复制通知用户组信息,根据所需对其进行修改后,创建新的通知用户组。

    • 搜索通知用户组

      为了更方便地查询某个或某些通知用户组的信息,可在“通知用户组”页面右上角搜索框中输入用户组名,单击,通知用户组列表中显示符合搜索条件的用户组记录。

    • 删除通知用户组

      当某个通知用户组不再使用时,可在“通知用户组”列表中,单击目标“操作”列的,删除通知用户组。

告警管理

配置告警

用户可通过设置告警/事件规则,制定符合自身需求的告警/事件监控策略,提升故障解决效率。

配置屏蔽规则

对于上报而不需要关注的告警/事件,用户可以通过创建屏蔽规则,使后续上报的符合屏蔽规则的告警/事件不会显示在当前告警和事件日志中。

前提条件

已具备“设置屏蔽规则”操作权限。

背景信息
  • 创建规则成功后,如果规则的告警源设置为“所有告警源”,只有管理对象为“对象全集”的用户可以对该规则进行修改或删除。其他用户只能修改或删除告警源为“自定义告警源”的规则。
  • 规则启用后,将对在生效期间上报的告警/事件生效。在规则生效前符合条件的当前告警不会被屏蔽,生效后上报的告警将被屏蔽或丢弃。
  • 当告警同时匹配多条启用且处于生效期间的屏蔽规则时,若其中一条规则的动作配置为“丢弃”,无论这条规则的优先级高或低,则都按照该规则执行,将告警丢弃。
  • 屏蔽规则是以告警名称重定义后的属性来进行屏蔽的。如果针对某条告警同时设置了名称重定义规则和屏蔽规则,则名称重定义规则先生效,然后屏蔽规则才生效。
  • 最多支持创建1000条屏蔽规则。
  • 同时满足以下条件的屏蔽规则会屏蔽所有告警/事件,将导致告警/事件无法上报。
    • 屏蔽规则已启用。
    • 屏蔽规则选择了所有告警/事件源。
    • 屏蔽规则选择了所有告警/事件级别。
    • 屏蔽规则未设置指定告警/事件和高级条件。
    • 屏蔽规则未设置时间条件。
  • 创建事件屏蔽规则与创建告警屏蔽规则的操作类似,本操作以创建告警屏蔽规则为例,如需创建事件屏蔽规则请在“屏蔽规则”页面中单击“创建” ,选择“事件屏蔽规则”。
  • 缺省情况下,创建的规则依次按照已启用和未启用的顺序排列,当规则启停状态相同时,则按照修改时间降序排列。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“屏蔽规则”。
  3. 在“屏蔽规则”页面中,单击“创建”,选择“告警屏蔽规则”。
  4. 在“基本信息”区域中,设置规则的名称、描述信息、是否启用规则。
  5. 在“条件”区域中,设置规则生效的告警级别、告警、告警源,设置高级条件可以根据告警参数来筛选规则生效的告警。

    • “指定告警”缺省为不勾选,表示规则对所有告警都生效。
    • 只有管理对象为所有资源的用户可以选择“所有告警源”。
    • 在设置“告警源”时,选择“所有告警源”将对系统自身和所有管理对象产生的符合条件的告警进行屏蔽,请谨慎使用。

  6. 在“时间条件”区域中,设置规则生效的时间,用户可根据需要选择规则的生效时间和生效周期。

    “时间条件”中所有条件缺省为取消选中,表示规则在所有时间下生效。

  7. 屏蔽后的告警可选择“丢弃”或显示在“被屏蔽告警”列表中。

    • 创建事件屏蔽规则时,被屏蔽的事件只能被丢弃。
    • 选择“丢弃”后该告警将无法查看,请用户谨慎操作。

  8. 设置规则的优先级,当两条屏蔽规则屏蔽同一条告警时,优先级高的规则生效。
  9. 单击“确定”。
相关任务
  • 删除规则:对于冗余的规则,用户可在规则列表中选中后,单击“删除”,以减少规则的维护工作量。
  • 启用/停用规则:对于暂时不需要使用的规则,用户可在规则列表中选中后,单击“停用”。若要重新使用已停用的规则,可在选中规则后单击“启用”。
  • 用户可导入/导出屏蔽规则,以便统计、审核、迁移规则。在“屏蔽规则”页面中,单击“导入规则”或“导出规则”进行操作。

    导出的.xls文件已隐藏第一行,请不要修改第一行的文字,否则会导致导入失败。

任务示例

场景描述

运维人员计划于20XX年4月的每周一凌晨1点对设备A进行调测操作,每次调测在2个小时以内完成,设备A承载的业务届时会中断。这个期间产生的告警是可预测到的,且不需要被处理,需要配置屏蔽规则屏蔽这些告警,以避免这些告警被关注。

配置步骤

  1. 在“屏蔽规则”页面中,单击“创建”,选择“告警屏蔽规则”。
  2. 设置“规则名称”。
  3. 选择“自定义告警源”,在自定义告警源中添加设备A。
  4. 在“时间条件”区域中,设置“生效时间”为“20XX-04-01 00:00:00到20XX-04-30 23:59:59”,设置“按天”为“星期一”,“按时段”为“01:00到03:00”。
  5. 在“动作”区域中,选择“屏蔽后的告警”为“显示在“被屏蔽告警”中”。
  6. 其他参数保持缺省设置。
  1. 单击“确定”。

操作结果

设备A在20XX年4月的每周一凌晨1~3点产生的告警在“当前告警”、“历史告警”中均不可见。在“被屏蔽告警”页面可查看到这些被屏蔽的告警。

参数说明
表4-102 创建告警屏蔽规则参数说明

参数项

参数名称

说明

条件

告警
  • 若选择“指定告警”,则规则仅对添加的告警生效。

    “告警ID”、“分组名称”:唯一标识一条告警。

  • 若不选择“指定告警”,则默认对所有告警生效。

告警源
  • 所有告警源:该规则对所有告警源产生的告警生效。
  • 自定义告警源:该规则仅对指定告警源产生的告警生效。

高级条件

对各参数项(定位信息、告警源类型等)的条件限制。例如需要根据告警的定位信息进行筛选告警,则选择“定位信息”、“包含”,并输入对应的目标告警的定位信息关键字段。

时间条件

生效时间

设置规则的生效时间段。

按天

设置一周当中规则的具体生效日。

按时段

设置一天当中规则生效的时间段。

动作

屏蔽后的告警
  • 显示在“被屏蔽告警”中。
  • 丢弃:被屏蔽的告警会被删除。选择“丢弃”后该告警将无法查看,请用户谨慎操作。

其他

优先级

用户可自定义告警屏蔽规则执行的优先级。

修改记录

-

在屏蔽规则被成功创建后,单击规则名称,可在修改记录中查看该规则的创建人、创建时间、修改人和修改时间。未完成创建的规则看不到此项。

配置级别和类型重定义规则

用户可对告警/事件的级别和类型进行重定义,例如可将重点关注的告警/事件设置为高级别,运维人员将会对该告警/事件优先处理,从而提供优质网络保障服务。

前提条件
  • 已具备“设置重定义规则”的操作权限。
  • 用户只能对管理对象的规则进行配置,对非管理对象的规则只能查看。
背景信息
  • 规则只对规则启用且在生效期间上报的告警/事件生效。
  • 级别和类型修改不会下发到网元,只能修改告警/事件界面展示的告警/事件级别和类型,无法修改告警/事件在网元上的级别和类型。
  • 重定义告警/事件级别或类型后,在告警/事件列表中将显示修改后的级别和类型。但在配置规则中选择告警/事件时,依旧显示原始的级别和类型。
  • 若存在多条规则对同一条告警/事件的级别和类型进行了重定义,则最近配置的规则生效。
  • 最多可创建1000条级别和类型重定义规则。
  • 创建事件级别和类型重定义规则与创建告警级别和类型重定义规则的操作类似,本操作以创建告警级别和类型重定义规则为例,如需创建事件级别和类型重定义规则请在“级别和类型”界面中单击“创建”,选择“事件级别和类型重定义规则”。
  • 缺省情况下,创建的规则依次按照已启用和未启用的顺序排列,当规则启停状态相同时,则按照修改时间降序排列。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“重定义规则 > 级别和类型”。
  3. 在“级别和类型”页面中,单击“创建”,选择“告警级别和类型重定义规则”。
  4. 在“基本信息”区域中,设置规则的名称、描述信息、是否启用规则。
  5. 在“告警”区域中,设置目标告警名称、标识、分组名称。
  6. 在“动作”区域中,设置告警新级别和告警新类型。
  7. 在“告警源”区域中,选择所有告警源或自定义告警源。

    当用户的管理对象为所有资源时,才可选择“所有告警源”。

  8. 在“条件”区域中,设置告警参数条件来筛选需要重定义级别或类型的告警。

    例如需要根据告警的定位信息进行筛选,则选择“定位信息”、“包含”,并输入对应的目标告警的定位信息关键字段。

  9. 在“时间条件”区域中,设置规则生效的时间,用户可根据需要选择规则的生效时间和生效周期。

    “时间条件”中所有条件缺省为去勾选,表示规则在所有时间下生效。

  10. 单击“确定”。
相关任务
  • 若需要删除或停止规则,在规则列表中选择要停止的规则,单击“删除”或“停用”。“删除”将永久删除该规则;“停用”将停止执行该规则,在需要重新启用规则时可单击“启用”。
  • 用户可导入/导出级别和类型重定义规则,以便统计、审核、迁移规则。在“级别和类型”页面中,单击“导入规则”或“导出规则”进行操作。
    • 支持导入后缀名为.xls的文件,单次导入文件的大小不能超过1MB。最多导入1000条规则,若导入的规则名称已存在,则替代原有规则。
    • 导出的.xls文件已隐藏第一行,请不要修改第一行的文字,否则会导致导入失败。
参数说明
表4-103 创建级别和类型重定义规则参数

参数项

参数名称

说明

告警

告警名称

告警的名称。

标识

告警ID。

分组名称

由上报告警的网元或设备为上报的告警分配。

动作

告警新级别

符合该规则的告警重定义后的新级别。

告警新类型

符合该规则的告警重定义后的新类型。

告警源

所有告警源

该规则对所有告警源产生的告警生效。

自定义告警源

该规则仅对指定告警源产生的告警生效。

条件

定位信息、告警源类型等。

可以设定对各参数项的条件限制。

时间条件

生效时间

设置规则的生效时间段,缺省为服务器时间。若服务器、客户端或网元所处的时区有差异,可根据需要选择“按服务器时间”、“按客户端时间”或“按网元时间”。

按天

设置一周当中规则的具体生效日。

按时段

设置一天当中规则生效的时间段。

配置名称重定义规则

如果用户认为某告警/事件名称过于专业化,难以理解,可以通过设置告警/事件名称重定义规则,根据实际需要重新设置告警/事件名称。

前提条件

已具备“设置重定义规则”的操作权限。

背景信息
  • 规则只对规则启用且在生效期间上报的告警/事件生效。
  • 名称修改不会下发到对接网元,即无法修改告警/事件在对接网元上的名称。
  • 重定义告警/事件名称后,在配置其他规则中选择告警/事件时,显示重定义后的告警/事件名称。若在配置名称重定义规则中选择告警/事件,依旧显示原始的告警/事件名称。
  • 若存在多条规则对同一条告警的名称进行了重定义,则最近配置的规则生效。
  • 最多可创建1000条名称重定义规则。
  • 创建事件名称重定义规则与创建告警名称重定义规则的操作类似,本操作以创建告警名称重定义规则为例,如需创建事件名称重定义规则请在“名称”界面中单击“创建”,选择“事件名称重定义规则”。
  • 缺省情况下,创建的规则依次按照已启用和未启用的顺序排列,当规则启停状态相同时,则按照修改时间降序排列。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“重定义规则 > 名称”。
  3. 在“名称”页面中,单击“创建”,选择“告警名称重定义规则”。
  4. 在“基本信息”区域中,设置规则的名称、描述信息、是否启用规则。
  5. 在“告警”区域中,设置目标告警名称、标识、分组名称。
  6. 在“动作”区域中,输入重定义名称。
  7. 单击“确定”。
相关任务
  • 若需要删除或停止规则,在规则列表中选择要停止的规则,单击“删除”或“停用”。“删除”将永久删除该规则;“停用”将停止执行该规则,在需要重新启用规则时可单击“启用”。
  • 用户可导入/导出名称重定义规则,以便统计、审核、迁移规则。在“名称”页面中,单击“导入规则”或“导出规则”进行操作。
    • 支持导入后缀名为.xls的文件,单次导入文件的大小不能超过1MB。最多导入1000条规则,若导入的规则名称已存在,则替代原有规则。
    • 导出的.xls文件已隐藏第一行,请不要修改第一行的文字,否则会导致导入失败。

同步告警

对接系统与iMaster NCE-Campus断连后导致对接系统侧告警无法上报,二者重新连通后需将告警同步到iMaster NCE-Campus,便于iMaster NCE-Campus监控。

前提条件

已具备“同步网元告警”的操作权限。

背景信息

正常情况下,告警管理自动同步对接系统侧的告警数据到告警管理。

操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“告警同步”。
  3. 在“告警同步”页面中选择需要同步的告警源。“同步对象”参数说明请参见表4-104
  4. 单击“执行同步”开始同步告警。
参数说明
表4-104 同步对象参数说明

同步对象

说明

自定义告警源

以单个告警源为最小粒度选择告警源。

配置相关性规则

相关性规则中定义了告警之间的根源衍生关系,在监控或查看告警时可以将衍生告警过滤掉,只关注要处理的根源告警。

前提条件
  • 已具备“设置相关性规则”的操作权限。
  • 用户只能对管理对象的规则进行配置,对非管理对象的规则只能查看。
背景信息
  • 规则只对规则启用且在生效期间上报的告警生效。
  • 最多可创建300条自定义相关性规则。
  • 缺省相关性规则只能启停,不能修改和删除。
  • 缺省情况下,创建的规则依次按照已启用和未启用的顺序排列,当规则启停状态相同时,则按照修改时间降序排列。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“相关性规则”。
  3. 在“相关性规则”界面中选择“缺省规则”页签,查看缺省相关性规则中是否已存在满足需求的规则。

    • 是:执行4
    • 否:执行5

  4. 启停缺省相关性规则。

    在“缺省规则”中根据需要启停对应规则。

  5. 创建自定义相关性规则。

    1. 在“相关性规则”界面中选择“自定义规则”页签,单击“创建”。
    2. 在“基本信息”区域中,设置规则的名称、描述信息、是否启用规则。
    3. 在“告警”区域中,选择根源告警及衍生告警并设置对应的动作。
      • 根源告警:产生多条相关告警的源头告警。
      • 衍生告警:由根源告警导致产生的相关告警。
    4. 在“条件”区域中,单击“创建”,创建根源告警与衍生告警的关联规则。
    5. 在“其他”区域中,设置根源告警与衍生告警的发生间隔时间。

      根源告警与衍生告警产生间隔时间小于等于设置的值,才构成根源告警与衍生告警的关系。

    6. 单击“确定”。

相关任务
  • 若需要停止相关性规则,在相关性规则列表中选择要停用的相关性规则,单击“删除”或“停用”。“删除”将永久删除该相关性规则(缺省的相关性规则不支持删除);“停用”将停止执行该相关性规则,在需要重新启用相关性规则时可单击“启用”。
  • 用户可导入/导出自定义相关性规则,以便统计、审核、迁移规则。在“相关性规则 > 自定义规则”页面中,单击“导出规则”或“导入规则”进行操作。
    • 支持导入后缀名为.xls的文件,单次导入文件的总大小不能超过1MB。最多导入300条规则,若导入的规则名称已存在,则覆盖原有规则。
    • 导出的.xls文件已隐藏第一行,请不要修改第一行的文字,否则会导致导入失败。
任务示例

场景描述

某网元的连接发生了故障后,该网元会定时上报告警M。同时,由于该连接的中断,会引发该网元或其他网元产生大量的同类连接中断告警N。此时,只需要处理告警M,而不必关注告警N。通过设置告警相关性规则,可以将晚于告警M之后产生的告警N设置为衍生告警。

配置步骤

  1. 在“相关性规则 > 自定义规则”页面中,单击“创建”。
  2. 设置“规则名称”。
  3. 选择“根源告警”为告警M,“衍生告警”为告警N。
  4. 在“条件”中单击“创建”,设置规则生效条件为告警N的发生时间大于告警M的发生时间。
  5. 单击“确定”完成配置。

操作结果

当告警N的发生时间晚于告警M时,告警M为告警N的根源告警。此时在“当前告警”的过滤项中选择“根源告警”,单击“确定”后将不再显示告警N的告警信息,用户只需关注和处理告警M即可。

参数说明
表4-105 创建相关性规则参数说明

参数项

参数名称

说明

告警

根源告警

产生多条相关告警的源头告警。

根源告警可选择如下动作,表示当符合条件的告警上报时,对根源告警进行的操作。

  • 级别提升1级

衍生告警

根源告警产生的多条相关告警。

衍生告警可选择如下动作,表示当符合条件的告警上报时,对衍生告警进行的操作。

  • 级别重定义为“紧急”
  • 级别重定义为“重要”
  • 级别重定义为“次要”
  • 级别重定义为“提示”
  • 丢弃:指将衍生告警屏蔽且丢弃。

条件

定位信息、告警源类型等。

可以设定对各参数项的条件限制。

比较方式

选择条件的比较方式。

  • 值:表示用告警的某个属性与指定值做比较。
  • 告警:表示比较两个告警某个属性的值。

其他

时间间隔

根源告警与衍生告警的发生间隔时间。根源告警与衍生告警产生间隔时间小于或等于设置的值,才构成根源告警与衍生告警的关系。

优先级

规则生效的优先级。

配置闪断/振荡规则

通过设置该规则,可以选择将闪断或振荡告警丢弃或者显示到“被屏蔽告警”当中,以减少海量重复告警对运维的干扰。

前提条件
  • 已具备“设置闪断/振荡规则”的操作权限。
  • 用户只能对管理对象的规则进行配置,对非管理对象的规则只能查看。
背景信息
  • 规则只对规则启用且在生效期间上报的告警生效。
  • 闪断告警:若告警的产生时间与清除时间的间隔小于指定的时间,则该告警称为闪断告警,该时间段称为闪断周期。
  • 振荡告警:当同一告警源上报的同一告警(告警ID相同)的清除时间与下次产生的时间间隔时长小于或等于指定值时,则触发振荡处理,该告警标识为振荡告警。
  • 新配置的闪断/振荡规则只对启用该规则后新上报的告警生效。
  • 系统每10秒按闪断规则进行1次计算和处理,若这10秒内上报的告警超过1000条,则只能将最新的1000条告警按闪断规则处理,其他告警直接上报。
  • 最多可创建1000条闪断/振荡规则。
  • 缺省情况下,创建的规则依次按照已启用和未启用的顺序排列,当规则启停状态相同时,则按照修改时间降序排列。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“闪断/振荡规则”。
  3. 在“闪断/振荡规则”页面中,单击“创建”。
  4. 在“基本信息”区域中,设置规则的名称、描述信息、是否启用规则。
  5. 在“条件”区域中,设置规则生效的告警级别、告警、告警源,设置高级条件可以根据告警参数来筛选规则生效的告警。

    • “指定告警”缺省为去勾选,表示规则对所有告警生效。
    • 只有管理对象为所有资源的用户可以选择“所有告警源”。

  6. 在“时间条件”区域中,设置规则生效的时间,用户可根据需要选择规则的生效时间和生效周期。

    “时间条件”中所有条件缺省为去勾选,表示规则在所有时间下生效。

  7. 设置分析策略。

    • 闪断策略:设置闪断周期及动作。例如闪断周期为30且告警处理方式选择丢弃。表示当该告警的产生与清除时间间隔小于30秒,该告警会被丢弃。
      • 闪断周期:当告警的产生与清除时间间隔小于闪断周期时,该告警符合闪断策略。
      • 动作:选择将符合闪断策略的告警丢弃或显示在“被屏蔽告警”页面中。
    • 振荡策略:设置振荡的触发条件和结束条件及动作。
      • 触发条件:告警的清除时间与下次产生时间间隔时长小于或等于设定的阈值时,触发振荡。
      • 结束条件:告警的清除时间与下次产生时间间隔时长大于设定的阈值时,结束振荡。
      • 处理策略:选择将振荡周期中产生的告警丢弃或显示在“被屏蔽告警”页面中。

  8. 在“其他”区域中,设置规则的优先级。
  9. 单击“确定”。
相关任务
  • 若需要删除或停止规则,在规则列表中选择要停止的规则,单击“删除”或“停用”。“删除”将永久删除该规则;“停用”将停止执行该规则,在需要重新启用规则时可单击“启用”。
  • 用户可导入/导出闪断/振荡规则,以便统计、审核、迁移规则。在“闪断/振荡规则”页面中,单击“导出规则”或“导入规则”进行操作。
  • 支持导入后缀名为.xls的文件,单次导入文件的总大小不能超过1MB。最多导入1000条规则,若导入的规则名称已存在,则替代原有规则。
  • 导出的.xls文件已隐藏第一行,请不要修改第一行的文字,否则会导致导入失败。
任务示例

场景描述

在短时间内不断收到某次要告警M上报、清除的信息,可能是某设备/服务不断在正常/异常的状态间切换,为了减少此类告警的干扰,通过设置闪断/振荡规则,按以下策略处理该类告警。

  • 闪断策略:设置在30秒内告警M上报且清除时,丢弃该告警。
  • 振荡策略:设置告警M清除与下一条告警M产生的间隔时间小于20秒时,进入振荡,当间隔时间大于60秒时退出振荡,丢弃振荡期间产生的告警M。

配置步骤

  1. 在“闪断/振荡规则”页面中,单击“创建”。
  2. 输入规则名称。
  3. 在条件区域选中“指定告警”,单击“增加告警”,选择告警M,表示需要对告警M进行闪断/振荡处理。
  4. 在“分析类型”中,勾选“闪断分析”和“振荡分析”。
  5. 配置策略。
    • 闪断策略:配置“闪断周期(T)”为30秒,“动作”为“丢弃”。
    • 振荡策略:在“触发条件”中配置周期为60秒,产生告警数目为2;在“结束条件”中配置周期为60秒,产生告警数目为0;设置“处理策略”为“产生振荡告警,并丢弃触发振荡后的源告警”。
  6. 单击“确定”完成配置。

操作结果

告警M再次频繁上报、清除时,将直接被丢弃。

配置自动确认规则

当前告警数量达到阈值时,系统将进行满处理,将当前告警转为历史告警。为避免重要告警被满处理,用户可通过设置自动确认规则,将处于清除状态的当前告警,按照指定的规则进行自动确认转为历史告警。

前提条件
  • 已具备“设置自动确认规则”的操作权限。
  • 用户只能对管理对象的规则进行配置,对非管理对象的规则只能查看。
背景信息
  • 自动确认规则只对未确认已清除的告警生效,启用立即确认前已清除的告警不受影响。
  • 最多可存在1000条自动确认规则,系统已存在4条预置规则,用户最多可创建996条。
  • 告警同时满足确认方式为立即确认和延时确认的自动确认规则时,将按照立即确认的方式确认告警。
  • 缺省情况下,创建的规则依次按照已启用和未启用的顺序排列,当规则启停状态相同时,则按照修改时间降序排列。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“自动确认规则”。
  3. 在自动确认规则列表中,前4个为系统预置的各告警级别自动确认规则,查看是否已满足需求。

    • 是:执行4
    • 否:执行5

  4. 启用按告警级别的自动确认规则。例如,当启用了重要告警的自动确认规则后,已清除未确认的重要告警将会自动确认。

    在自动确认规则列表中,前4个为系统预置的各告警级别自动确认规则,只有管理对象为所有资源的用户才可以启停。
    1. 选择需要的级别自动确认规则,单击“启用”。
    2. 在“确认方式”列中查看规则的确认方式。
      • 立即确认:告警被清除后立即被自动确认。
      • 延时确认:告警被清除后根据“延时设置”中设置的参数进行自动确认。

  5. 创建自定义自动确认规则。

    1. 在“自动确认规则”界面中,单击“创建”。
    2. 在“基本信息”区域中,设置规则的名称、描述信息、是否启用规则。
    3. 在“条件”区域中,设置规则生效的告警级别、告警、告警源,设置高级条件可以根据告警参数来筛选规则生效的告警。
      • “指定告警”缺省为去勾选,表示规则对所有告警生效。
      • 只有管理对象为所有资源的用户可以选择“所有告警源”。
    4. 在“其他”区域中,设置规则的确认方式。
    5. 单击“确定”。

  6. 设置延时确认参数。当规则中的确认方式为延时确认时,系统将根据延时设置中的配置对相关告警进行自动确认。

    1. 单击“延时设置”,设置“执行时间”和“时长”。
      表4-106 “延时设置”参数说明

      参数

      说明

      执行时间

      每日定时执行告警自动确认规则的时间。

      时长(天)

      保持已清除未确认状态的时长超过该参数的告警才能够被自动确认。
    2. 单击“确定”,完成延时设置。

设置告警/事件名称组

用户可将多个告警/事件名称添加至一个名称组下,以便同时对多个告警/事件进行操作。

背景信息
  • 只有角色为“Administrator”的用户可以修改或删除所有名称组,其他用户只能修改或删除自己创建的名称组。
  • 告警名称组是部分告警名称的集合。事件名称组是部分事件名称的集合。
  • 在选择告警/事件名称时,选中一个名称组相当于同时选中多个告警/事件。
  • 只有在设置查询告警/事件和统计告警的过滤条件时支持选择告警/事件名称组。
  • 创建事件名称组与创建告警名称组的操作类似,本操作以创建告警名称组为例,如需创建事件名称组请在“告警/事件名称组”页面中单击“创建” ,选择“事件名称组”。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“告警/事件名称组”。
  3. 在“告警/事件名称组”页面中,单击“创建” ,选择“告警名称组”。
  4. 设置分组的名称。
  5. 在“成员”中单击“增加告警”,选择该名称组中包含的告警。
  6. 单击“确定”。

个性化监控

告警管理提供了多种告警/事件的显示方式和声音提示规则。用户根据需要可以修改告警视听规则,通过不同的通知方式获取最新的告警/事件信息。

设置告警/事件颜色

通过设置不同级别告警/事件对应的颜色,可以方便地浏览关注的告警/事件。

背景信息
  • 系统缺省提供4种级别告警/事件提示颜色。紧急:;重要:;次要:;提示:
  • 此设置即时生效,当前用户在其他客户端上再次登录时也生效,但不对其他用户生效。
  • 设置不同级别告警/事件对应的颜色后,告警灯颜色、告警列表和事件列表中级别的颜色将显示为已设置的颜色。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“颜色设置”。
  3. 在“颜色设置”页面中设置不同告警/事件级别对应的颜色。
  4. 单击“确定”。

设置告警展示方式

当用户需要在监控告警时更方便地识别不同状态的告警时,可以根据自身需要设置告警展示方式,快速识别关注的告警。

背景信息
  • 此设置即时生效,当前用户在其他客户端上再次登录时也生效,但不对其他用户生效。
  • 设置告警展示方式后,告警/事件列表的“级别”参数列将按照设置的样式显示,不同状态的告警将显示为设置的背景色。
  • 未确认 & 未清除”和“已确认 & 未清除”状态的告警背景色缺省为白色,“未确认 & 已清除”和“已确认 & 已清除”状态的告警背景色缺省为绿色。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“个性化 > 告警展示方式”。
  3. 在“告警展示方式”页面中选择“模式”和不同状态告警及事件的背景色。

    • 图标:告警/事件列表中的“级别”列显示级别图标和级别参数,级别图标的颜色按级别对应的颜色显示。告警背景色显示为设置的状态对应颜色。
    • 按列着色:告警/事件列表中的“级别”列的级别参数背景色显示为级别对应的颜色。告警背景色显示为设置的状态对应颜色。
    • 按行着色:“未确认&未清除”状态的告警背景色显示为级别对应的颜色,其他状态的告警背景色显示为设置的状态对应颜色。事件背景色显示为级别对应的颜色。

  4. 单击“确定”。

设置告警声音

通过设置不同级别告警的提示声音,可以更方便的监控告警。

背景信息
  • 此设置即时生效,当前用户在其他客户端上再次登录时也生效,但不对其他用户生效。
  • 系统缺省提供四种告警提示声音。紧急:Critical.mp3;重要:Major.mp3;次要:Minor.mp3;提示:Warning.mp3。
  • 只支持选择系统自带的声音文件。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“告警声音”。
  3. 在“告警声音”页面中设置不同告警级别对应的提示声音,单击可试听当前选择声音文件。
  4. 设置告警提示音的播放时长。当告警上报时,告警提示音播放对应时长后自动停止。
  5. 选择是否启用该声音设置。若选择不启用,则对应级别的告警上报时将不会播放提示音。
  6. 单击“确定”。

设置告警高亮显示

通过设置告警高亮显示,若告警在设定时间内没有得到处理(即状态没有改变),则该告警在告警列表中高亮显示,提示用户关注此告警。

背景信息
  • 系统缺省不启用高亮显示。
  • 此设置即时生效,当前用户在其他客户端上再次登录时也生效,但不对其他用户生效。
  • 高亮显示只对当前告警生效。
  • 符合高亮显示条件的告警,在告警列表中背景色为红色。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“高亮显示”。
  3. 在“高亮显示”页面中,设置“生效时间”和“监控状态”。表示当该级别的告警产生后,若该告警在指定监控状态下的持续时间大于等于指定生效时间,该告警将高亮显示。
  4. 设置是否启用对应级别的告警高亮显示。
  5. 单击“确定”。

设置告警字体颜色

设置告警列表中已读告警和未读告警的颜色,以便于用户区分。

背景信息
  • 此设置即时生效,当前用户在其他客户端上再次登录时也生效,但不对其他用户生效。
  • 已读告警和未读告警的缺省字体颜色均为黑色。
  • 新上报的告警均为未读告警。
操作步骤
  1. 在主菜单中选择告警 > 告警 > 告警设置
  2. 在左侧导航树中选择“字体颜色”。
  3. 设置已读告警和未读告警的字体颜色。
  4. 单击“确定”。

监控和查看告警

在告警管理中,运维人员可以监控和查看告警/事件,以便实时了解网络中的告警/事件状况并采取相应的措施。

监控和查看当前告警

在“当前告警”页面,运维人员可以查看实时更新的当前告警,以便掌握最新告警动态。

背景信息
  • “当前告警”界面显示告警的上限是5万条。告警超过5万条之后,最早的10%将转为历史告警。
  • 登录后首次进入“当前告警”页面,告警默认按照“最近”降序排列。
  • 新上报告警将在页面中加粗显示。
  • “已清除”告警的背景色在界面中显示为绿色。
  • 用户只能监控和查看已授权管理对象的告警。
操作步骤
  • 监控告警
    1. 在主菜单中选择告警 > 告警 > 当前告警
    2. 监控告警方式请参见下表。
      表4-107 监控告警方式

      任务名称

      任务描述

      通过右上角告警灯监控告警

      iMaster NCE-Campus右上角的告警灯显示(紧急、重要、次要、提示)的告警数量。单击告警灯,可以进入“当前告警”页面,查看对应告警的详细信息。

      通过告警列表监控告警

      通过“当前告警”页面实时监控告警所有网元和系统上报的告警,该界面最多可展示10万告警。

      通过告警灯监控告警

      在“当前告警”页面右上角的告警灯显示4种告警级别(紧急、重要、次要、提示)的告警数量。

      单击告警灯,可以查看对应告警的详细信息。

      通过统计面板监控告警

      在“当前告警”页面右上角单击,可监控告警的统计结果图表,统计结果基于过滤后的告警得出。统计面板缺省展示“Top 10 告警”、“告警持续时长”、“Top 10 告警源”、“告警级别”四个统计图表。若要展示“告警状态”或调整统计图表的展示顺序,在统计面板右上角单击,进入编辑面板,单击统计图表右上角下拉框,选择想要展示的图表与当前图表作替换。在统计面板中,单击任意统计图形可快速过滤该条件下的告警。关闭统计面板将自动取消面板中选中的过滤条件。
  • 查询告警
    1. 在主菜单中选择告警 > 告警 > 当前告警
    2. 在“当前告警”页面左上角单击“过滤”设置过滤条件,在过滤条件区域选择过滤条件并单击“确定”搜索告警,查看当前需要关注和处理的告警。
    3. 单击“保存”或“另存为”将当前过滤条件保存或另存为过滤模板。

      用户可在页面左上方单击关注按钮“模板管理”查看当前界面的全部过滤模板,并在“快速过滤”中选择过滤模板。具有“系统管理员”角色的用户可管理所有用户保存的模板。

      系统提供以下类型的模板:
      • 关注模板:用户关注的模板,用户可将常用模板设置为关注模板,便于选择。
      • 自定义模板:当前用户自定义的模板,用户可设定是否将模板共享给其他用户。
      • 共享模板:其他用户共享的可使用的模板。
      • 预置模板:系统缺省的模板。
      • 其他模板:其他用户不共享的模板。其他模板只对具有“系统管理员”角色的用户可见。

      当前告警、历史告警、被屏蔽告警、事件各界面的过滤模板相对独立,不能共用。

    4. 导出当前告警。系统支持导出后缀为.xlsx或.csv的文件,当导出的告警数量超过10万条时,文件将以zip压缩包的格式导出。
      • 导出部分告警:选择要导出的告警,单击“导出”,选择“导出选中”。
      • 导出全部告警:单击“导出”,选择“全部”。

      导出告警时,只能导出界面中配置显示的告警列信息,可在告警列表右上方单击,设置要显示的告警列。

参数说明

告警过滤栏

告警过滤栏参数说明请参见表4-108

表4-108 告警过滤栏参数说明

参数项

说明

告警名称

选择需要查看的告警名称。

级别

告警的级别,包括紧急、重要、次要和提示。缺省为全部选中,至少选择一个告警级别。

告警状态

告警的状态,包括确认清除状态,缺省为全部选中,至少选择一个组合状态。

首次发生时间/最近发生时间

告警第一次发生时间和最近一次发生时间。

该参数在“告警日志”、“被屏蔽告警”和“历史告警”中显示为“发生时间”,表示告警最近一次发生的时间。

高级设置

用户可对告警参数设定条件过滤出需要查看的告警。

存在多个高级设置条件时,过滤结果取所有条件的交集,即要满足所有高级设置条件的告警才会被筛选出来。

操作符说明(输入的英文字母区分大小写):

  • 包含:筛选出包含指定字符串的告警。
  • 不包含:筛选出不包含指定字符串的告警。
  • 开头是:筛选出以指定字符串开始的告警。
  • 结尾是:筛选出以指定字符串结束的告警。
  • 属于:筛选出与指定字符串完全相同的告警。例如:在“定位信息”选项中选择“操作符”为“属于”,设置“值”为“XXX”,过滤出定位信息为“XXX”的告警,此时定位信息为“XXX123”的告警不会被过滤出来。
  • 不属于:筛选出指定字符串不相同的告警。例如:在“定位信息”选项中选择“操作符”为“不属于”,设置“值”为“XXX”,过滤出定位信息不为“XXX”的告警,此时定位信息为“XXX123”的告警将被过滤出来。
  • 空:筛选出该选项为空的告警。
  • 非空:筛选出该选项不为空的告警。

为提高维护效率,建议用户将“关联告警标识”保持为缺省选中的“根源告警”和“普通告警”,该参数不在“屏蔽告警”和“历史告警”中显示。各选项含义:

  • 普通告警:表示该告警不存在对应的根源/衍生告警。
  • 根源告警:产生多条相关告警的源头告警。
  • 衍生告警:由根源告警导致产生的相关告警。

告警操作栏

告警操作栏按钮说明请参见表4-109

表4-109 告警操作栏按钮说明

按钮

说明

自动刷新
  • 开启:实时刷新当前界面的告警。
  • 关闭:当前界面的告警将被锁定,此时只刷新当前界面的告警信息。若有其他告警上报,将不在该界面显示。

组合排序

根据多个告警字段对告警进行排序,最多可设置4个告警字段。

清除

当故障已经排除而告警没有自动清除时,需通过“清除”按钮进行手动清除。告警被清除后,状态变为“已清除”。

确认/反确认

对告警进行确认表示告警即将或已经被处理。告警被确认后,由未确认状态变成已确认状态。

如果要更换告警处理人员,可对该告警进行反确认操作。告警被反确认后,由已确认状态变成未确认状态。

备注

编辑告警的备注信息。

导出

导出XLSX或CSV格式的告警表,当导出的告警数量超过10万条时,文件将以zip压缩包的格式导出。

告警列

告警列参数说明请参见表4-110

表4-110 告警列参数说明

名称

说明

告警流水号

一条告警从产生开始,中间可能经过多次改变,例如级别变更、被清除等,根据该流水号可以唯一的确定一条告警。

次数

记录同一故障点发生同一告警的重复次数或被归并次数,以提高用户的关注和处理效率。

该参数不在“被屏蔽告警”和“历史告警”中显示。

告警源名称

产生告警的设备名称/网元名称。

名称

告警的名称。根据告警名称可以了解告警源发生了什么故障。如:CPU占用率过高告警,根据名称即可知道是CPU发生了告警。

告警ID

与告警名称一一对应。

级别

包括4种级别:紧急、重要、次要、提示。

确认状态

告警的确认状态,两种状态:

  • 已确认:被确认的告警,“确认状态”显示为“已确认”。
  • 未确认:被反确认的告警,“确认状态”显示为“未确认”。

该参数不在“被屏蔽告警”中显示。

清除状态

告警的清除状态,有两种状态:

  • 已清除。
  • 未清除。

该参数不在“被屏蔽告警”中显示。

可能原因

描述引起该告警的所有可能原因,引导维护人员处理告警。

确认时间

告警确认的时间。

该参数不在“被屏蔽告警”中显示。

清除时间

告警清除的时间。

该参数不在“被屏蔽告警”中显示。

类型

告警的类型。

操作

提供可对本条告警执行的操作:

  • 确认告警;
  • 清除告警;
  • 核对;
  • 设置屏蔽规则;
  • 设置级别和类型重定义规则;
  • 设置名称重定义规则;
  • 设置闪断/振荡规则;

定位信息

记录告警OID,发生告警设备的ESN和MAC地址等信息,用于确定告警类型和发生告警的设备信息。

首次发生时间

如果该告警是归并告警,则首次发生时间是该告警第一次发生的时间。如果该告警不是归并告警,界面上显示的是该告警的发生时间。

该参数不在“被屏蔽告警”和“历史告警”中显示。

到达网管时间

告警到达告警管理系统的时间。

最近发生时间

如果该告警是归并告警,则最近发生时间是该告警最近一次发生的时间。如果该告警不是归并告警,界面上显示的是该告警的发生时间。

该参数在“被屏蔽告警”和“历史告警”中显示为“发生时间”。

确认用户

执行告警确认操作的用户。若用户进行反确认操作,会同时删除当前的确认用户。

该参数不在“被屏蔽告警”中显示。

清除用户

清除告警的用户。

该参数不在“被屏蔽告警”中显示。

可自动清除
告警是否可以自动清除。
  • 是:表示该告警可以自动清除,则产生该告警的故障消除后,该告警的“清除状态”会自动变为“已清除”。
  • 否:表示该告警不可以自动清除,则产生该告警的故障消除后,需要手工清除告警。

该参数不在“被屏蔽告警”中显示。

附加信息

记录告警详细信息,辅助用户定位告警发生的原因。

清除类型

告警的清除类型:

  • 空:未清除;
  • 正常清除:设备故障恢复,接收到清除告警,告警被自动清除;
  • 复位清除:设备在重启动后,重新开始检测是否存在故障,原来存在的故障告警被自动清除;
  • 手动清除:告警被用户手动清除;
  • 配置清除:资源对象删除使此资源对象相关的告警被自动清除;
  • 相关性清除:告警管理在进行相关性规则处理时,当接收到未清除的衍生告警的根源告警时,则在上报根源告警的同时,自动清除该衍生告警,该衍生告警的清除类型为相关性清除;
  • 系统清除:由于存储空间的容量限制,根据满处理规则对较早上报的告警执行清除;
  • 状态切换清除:由于设备发生状态切换,设备前一状态的活动告警被自动清除,而后以切换后的设备状态重新上报告警,前一设备状态的活动告警的清除类型为状态切换清除;
  • 网管同步清除:当同步告警时,如果告警管理上原有的未清除告警在同步上来的告警中不存在了,则该告警被自动清除。

该参数不在“被屏蔽告警”中显示。

告警信息列

单击告警左侧箭头可展开告警信息列,查看告警详情等内容,各页签说明请参见表4-111

表4-111 告警拓展信息列页签说明

页签

说明

操作方法

告警详情

告警的参数说明请参见表4-110

说明:

如果告警有详细的告警参考帮助,则“产生原因和修复建议”显示链接可跳转到告警参考帮助。

设置告警详情的显示信息:在“告警详情”区域的右上角单击“选择列”。

备注

为该告警填加备注信息。

在区域右上角单击“编辑”,填写告警备注信息,单击“保存”。

最近2个月告警处理记录

可查看最近2个月对该告警执行的所有手工操作,以便运维人员在处理告警时参考。

-

衍生告警
  • 当上报的告警是根源告警时,拓展列展示“衍生告警”页签,可查看该告警的衍生告警。

-

过滤模板

在左侧的“快速过滤”中可管理过滤模板,按钮说明请参见表4-112

表4-112 过滤模板按钮说明

按钮

说明

操作方法

搜索模板

根据模板名称搜索过滤模板。
  1. 在“快速过滤”中的搜索框输入模板的名称。
  2. 单击进行搜索。

共享/取消共享

用户可共享或取消共享自定义的模板,并可在“共享模板”中选择其他用户共享的模板。

说明:

管理员可对除预置模板外的所有模板进行共享/取消共享,其他用户只可对自定义模板进行共享/取消共享。
  1. 在“快速过滤”中选择需要操作的模板。
  2. 若模板后的图标显示为,表示该模板未被共享,单击共享该模板。
  3. 若模板后的图标显示为,表示该模板已被共享,单击取消共享该模板。

关注/取消关注

用户可关注或取消关注模板,关注后的模板将在“关注模板”中显示。
  1. 在“快速过滤”中选择需要操作的模板。
  2. 若模板后的图标显示为,表示该模板未被关注,单击关注该模板。
  3. 若模板后的图标显示为,表示该模板已被关注,单击取消关注该模板。

设置/取消缺省模板

用户可为当前页面设置/取消缺省模板,进入当前页面后,系统将按缺省模板展示过滤后告警。

说明:

显示为的模板为缺省模板。
  1. 在“快速过滤”中选择需要操作的模板。
  2. 单击模板后的
  3. 在弹出的菜单中选择“设置为缺省模板”。
  4. 模板被设置为缺省模板后,可在弹出的菜单中选择“取消缺省模板”。
说明:

“预置模板”只支持设置/取消缺省模板的操作,若需执行该操作,直接单击模板后的“设置为缺省模板”或“取消缺省模板”即可。

重命名

对过滤模板重命名。

说明:

管理员可对除预置模板外的所有模板进行重命名,其他用户只可对自定义模板重命名。
  1. 在“快速过滤”中选择需要操作的模板。
  2. 单击模板后的
  3. 在弹出的菜单中选择“重命名”。
  4. 在弹出的对话框中输入重命名后的模板名称。

删除

删除过滤模板。

说明:

管理员可删除预置模板外的所有模板,其他用户只可删除自定义模板。
  1. 在“快速过滤”中选择需要操作的模板。
  2. 单击模板后的
  3. 在弹出的菜单中选择“删除”。

查看历史告警和被屏蔽告警

背景信息
  • 缺省展示2万条历史告警和被屏蔽告警。当告警条数超过该上限时,则根据过滤条件和排序结果显示前2万条告警。如果想要查询其他告警,可以修改过滤条件和排序进行查询。
  • 对于设备上报而不需要关注的告警,可以通过创建屏蔽规则,使后续上报且符合屏蔽规则的告警不在“当前告警”列表中显示,而在“屏蔽告警”列表中显示或丢弃。
  • 用户只能监控和查看已授权管理对象的告警。
操作步骤
  1. 查看历史告警和被屏蔽告警。

    • 查看历史告警
      1. 在主菜单中选择告警 > 告警 > 历史告警
      2. 在“历史告警”页面,单击“过滤”展开过滤面板,通过设置历史告警过滤条件,可以快速找到所关注的历史告警。
    • 查看被屏蔽告警
      1. 在主菜单中选择告警 > 告警 > 屏蔽告警
      2. 在“屏蔽告警”页面,单击“过滤”展开过滤面板,通过设置被屏蔽告警过滤条件,可以快速找到所关注的被屏蔽告警。

  2. 单击“保存”或“另存为”将当前过滤条件保存或另存为过滤模板。

    用户可在页面左上方单击关注按钮“模板管理”查看当前界面的全部过滤模板,并在“快速过滤”中选择过滤模板。具有“系统管理员”角色的用户可管理所有用户保存的模板。

    系统提供以下类型的模板:
    • 关注模板:用户关注的模板,用户可将常用模板设置为关注模板,便于选择。
    • 自定义模板:当前用户自定义的模板,用户可设定是否将模板共享给其他用户。
    • 共享模板:其他用户共享的可使用的模板。
    • 其他模板:其他用户不共享的模板。其他模板只对具有“系统管理员”角色的用户可见。

    当前告警、历史告警、屏蔽告警、事件各界面的过滤模板相对独立,不能共用。

  3. 导出历史告警或被屏蔽告警。系统支持导出后缀为.xlsx或.csv的文件,当导出的告警数量超过10万条时,文件将以zip压缩包的格式导出。

    • 导出部分告警:选择要导出的告警,单击“导出”,选择“导出选中”。
    • 导出全部告警:单击“导出”,选择“全部”。

    导出告警时,只能导出界面中配置显示的告警列信息,可在告警列表右上方单击,设置要显示的告警列。

参数说明

请参见“监控和查看当前告警”章节中的参数说明。

处理告警

在告警管理中,运维人员可以对告警进行操作处理,以辅助故障处理。例如为告警指定处理人、确认告警、清除告警等操作。

前提条件

已具备“告警处理”、“清除告警”、“修改告警级别”和“同步网元告警”权限。

背景信息

告警管理主要提供了处理告警的确认和清除以及调整级别、设为无效、设为维护态等操作,确认和清除如表4-113所示。告警状态转换关系如图4-14
表4-113 告警处理操作

名称

作用

说明

确认

标识告警由谁处理,避免多人同时处理同一告警。

对告警进行确认表示告警即将或已经被处理。告警被确认后,由未确认状态变成已确认状态。

如果要更换告警处理人员,可对该告警进行反确认操作。告警被反确认后,由已确认状态变成未确认状态。

清除

标识告警对应的故障是否恢复。

当对接网元或系统自身发生故障时,产生告警;当故障排除后,产生清除告警,原告警被清除。如果网络出现故障导致系统没有接收到清除告警或告警不能自动清除,就需要用户手工清除告警。

用户对告警执行手工清除后,告警管理会下发清除告警命令,对接网元或系统自身会清除相应的告警。
图4-14 告警状态转换关系

根据告警的确认、清除状态,告警管理将告警分为:

  • 当前告警:包括未确认未清除告警、已确认未清除告警、未确认已清除告警。需运维人员重点关注的,可在“当前告警”中进行监控、处理告警。
  • 历史告警:指已确认已清除告警。供网络维护人员查询、统计告警数据,为网络性能优化提供数据来源。

操作步骤

  1. 在主菜单中选择告警 > 告警 > 当前告警
  2. 在“当前告警”界面可以进行如下操作。

    操作名称

    场景

    操作

    查看告警详情

    获取告警名称、定位信息等告警重要信息,协助网络维护人员定位及排除告警对应的故障。

    在告警列表中,单击目标告警所在行左侧的箭头,展开目标告警的拓展行。

    手工确认告警

    为避免他人同时对某条告警进行处理,用户在处理告警时需手工确认该告警,确认状态表示该告警已有人跟进处理,其他用户不必关注。告警被确认后,由未确认状态变成已确认状态。

    选中一条或多条告警,单击告警列表上方的“确认”按钮;也可以在告警列表中单击某条告警操作列的

    确认后,告警参数“确认用户”显示为确认的用户名。

    手工清除告警

    某些特定的告警不能自动清除,排除相关故障后,需手工清除。

    选中一条或多条告警,单击告警列表上方的“清除”按钮;也可以在告警列表中单击某条告警操作列的

    • 清除后,若该告警已被确认,该告警将自动被移入历史告警列表中。
    • 清除后,若该告警还未被确认,在告警列表中该告警的背景颜色由白色变成绿色。