【文章內(nèi)容簡介】 36所示。在圖36中右鍵單擊“RDPTcp”，選擇“屬性”，在彈出的窗口中選擇“常規(guī)”標簽頁。如果標簽頁中的配置與圖37中紅框標識出的部分一致，則無需進行安全加固。否則，請轉“ 實施安全加固”。圖36 終端服務配置主界面圖37 RDPTcp屬性窗口結束SUSE Linux操作系統(tǒng)請執(zhí)行如下操作，確認OMU操作系統(tǒng)是否需要安全加固：步驟 1 使用PuTTY軟件登錄OMU。如何使用PuTTY軟件登錄OMU，請參考BSC6900產(chǎn)品文檔中的《BSC6900 OMU管理指南》。步驟 2 輸入命令sek –v查詢OMU上是否已經(jīng)安裝了安全加固軟件。如果執(zhí)行結果如圖38所示，請轉步驟 3。否則，請轉“ 實施安全加固”。圖38 sek –v執(zhí)行結果步驟 3 輸入命令sek啟動安全加固軟件。如果啟動過程中出現(xiàn)圖39所示的提示窗口，單擊“Ok”進入主界面。如果啟動過程中出現(xiàn)其他提示窗口，請聯(lián)系華為工程師處理。圖39 安全加固軟件啟動提示窗口步驟 4 選擇“Configuration Recently imported file”，查詢當前已經(jīng)配置的安全加固策略。如果查詢結果窗口中含有圖310中紅框標識出的安全加固策略文件，則無需進行安全加固，否則，需要進行安全加固。圖310 操作系統(tǒng)為SUSE Linux的OMU上已經(jīng)配置的安全加固策略文件步驟 5 單擊“Ok”關閉圖310所示的查詢結果窗口。選擇“Policy Exit”，彈出如圖311所示的提示窗口，單擊“Yes”退出安全加固軟件。圖311 退出提示窗口步驟 6 如果步驟 4中檢查出操作系統(tǒng)需要進行安全加固，請轉“ 實施安全加固”。否則，結束操作。結束 實施安全加固如果檢查出OMU操作系統(tǒng)需要實施安全加固，推薦按照下面的操作為OMU操作系統(tǒng)實施安全加固。如果客戶認為待升級局點沒有特殊安全需求，可以跳過此步驟，對升級操作沒有影響。如果OMU操作系統(tǒng)是Windows，實施安全加固過程中需要停止OMU服務以及復位OMU單板，導致OMU與M2000斷鏈，對業(yè)務沒有影響。步驟 1 使用華為工程師賬號登錄，從網(wǎng)頁路徑“Support首頁 軟件中心 受控工具（小工具軟件） 無線 安全工具 公共”下獲取《BSC6900 操作系統(tǒng)加固操作指導書》。步驟 2 參考《BSC6900 操作系統(tǒng)加固操作指導書》實施安全加固。結束 檢查OMU單板的硬件配置l OMU單板的硬件配置與OMU單板的規(guī)格不相符不影響正常升級流程，但是升級后會新增20720告警。l 該章節(jié)的操作以主備OMU為例，單OMU與主備OMU檢查流程類似。l 該章節(jié)的的截圖以OMUa單板為例。 檢查OMU單板的CPU配置步驟 1 查詢主OMU單板的CPU個數(shù)。如果…則…OMU操作系統(tǒng)為Windows執(zhí)行如下操作： 。 單擊“開始 運行”，輸入命令taskmgr，按“Enter”，打開“Windows 任務管理器”。 單擊“性能”顯示性能標簽頁，如圖312所示，“CPU使用記錄”中顯示的方框個數(shù)即為當前系統(tǒng)配置的CPU個數(shù)。OMU操作系統(tǒng)為Linux執(zhí)行如下操作： 使用PuTTY軟件登錄OMU。 輸入命令cat /proc/cpuinfo | grep processor，按“Enter”，查詢結果如圖313所示，其中processor的個數(shù)即為當前系統(tǒng)的CPU個數(shù)。l ，請參考BSC6900產(chǎn)品文檔中的《BSC6900 OMU管理指南》。l 如何使用PuTTY軟件登錄OMU，請參考BSC6900產(chǎn)品文檔中的《BSC6900 OMU管理指南》。圖312 Windows性能標簽頁圖313 Linux CPU個數(shù)查詢結果步驟 2 查詢主OMU單板類型。如果…則…升級前版本為BSC6000執(zhí)行MML命令DSP ELABEL查詢OMU單板類型。升級前版本為BSC6900在LMT上通過“設備維護 BSC設備面板”查看OMU單板類型。步驟 3 根據(jù)步驟 1中查詢得到的CPU個數(shù)以及步驟 2中查詢得到的OMU單板類型，參照表32，確認主OMU單板實際CPU配置是否與規(guī)格相符合。如果不符合，請聯(lián)系華為工程師處理，否則升級后將上報ALM20720 OMU單板故障告警。表32 OMU單板CPU規(guī)格OMU單板類型CPU規(guī)格OMUa4OMUb2OMUc6步驟 4 重復步驟 1到步驟 3，確認備OMU單板實際CPU配置是否與規(guī)格相符合。結束 檢查OMU單板的內(nèi)存配置步驟 1 查詢主OMU單板內(nèi)存容量。如果…則…OMU操作系統(tǒng)為Windows執(zhí)行如下操作： 。 單擊“開始 運行”，輸入命令taskmgr，按“Enter”，打開“Windows 任務管理器”。 單擊“性能”顯示性能標簽頁，如圖312所示，“物理內(nèi)存(K)”中的“總數(shù)”項即為OMU單板內(nèi)存容量，單位是KB。OMU操作系統(tǒng)為Linux執(zhí)行如下操作： 使用PuTTY軟件登錄OMU。 輸入命令free，按“Enter”，查詢結果如圖315所示，內(nèi)存容量即為圖中用紅框標出的值，單位為KB。圖315 Linux內(nèi)存查詢結果步驟 2 查詢主OMU單板類型。如果…則…升級前版本為BSC6000執(zhí)行MML命令DSP ELABEL查詢OMU單板類型。升級前版本為BSC6900在LMT上通過“設備維護 BSC設備面板”查看OMU單板類型。步驟 3 根據(jù)步驟 1中查詢得到的OMU單板內(nèi)存容量與步驟 2中查詢得到的OMU單板類型，參考表33確認OMU單板實際內(nèi)存配置是否與規(guī)格相符合。如果不符合，請聯(lián)系華為工程師處理，否則升級后將上報ALM20720 OMU單板故障告警。l OMU單板內(nèi)存配置與內(nèi)存規(guī)格相符合的條件：OMU單板實際內(nèi)存容量與內(nèi)存規(guī)格之間的差距小于1000MB。l 1 GB = 1024 MB；1 MB = 1024 KB。表33 OMU單板內(nèi)存規(guī)格OMU單板類型內(nèi)存規(guī)格OMUa/OMUb2GBOMUc8GB步驟 4 重復步驟 1到步驟 3，確認備OMU單板實際內(nèi)存配置是否與規(guī)格相符合。結束 確認SSL連接信息如果升級前版本是BSC6000，不能使用SSL加密，則無需準備SSL連接信息；如果升級前版本是BSC6900，升級前請按照如下操作確認是否使用SSL加密，并按照相關操作準備SSL連接信息。步驟 1 在LMT上執(zhí)行MML命令LST SSLCONF，查詢OMU上的SSL配置信息并記錄。步驟 2 確認命令回顯信息中的“連接類型”：l 如果“連接類型”為“兼容連接”，請根據(jù)安全需要選擇升級工具是否需要進行SSL連接。如果不需要SSL連接則跳過此章節(jié)，后續(xù)請在圖42中選擇“不使用SSL加密”；否則請根據(jù)“認證模式”判斷是否需要準備公鑰證書文件及私鑰文件，詳情請見表34。l 如果“連接類型”為“僅SSL連接”，請根據(jù)“認證模式”判斷是否需要準備公鑰證書文件及私鑰文件，詳情請見表34。表34 SSL連接信息對應關系認證模式操作步驟不認證對方無需準備證書，跳過此章節(jié)，后續(xù)請在圖42中選擇“僅使用SSL加密，不提供公鑰證書文件和私鑰文件”。認證對端證書需要準備證書文件，轉步驟 3。步驟 3 向CA（Certificate Authority）申請獲取證書文件。后續(xù)請在圖42中選擇“使用SSL加密并且提供公鑰證書文件和私鑰文件”，并且將獲取的公鑰證書文件和私鑰文件載入，如果私鑰有口令，需要輸入其口令。升級工具只支持PEM格式的證書。結束 檢查OMU通信端口 檢查BSC6900新增OMU通信端口l 如果OMU通信端口被防火墻等網(wǎng)絡設備屏蔽，升級前請客戶開放，否則將影響端口所對應的業(yè)務。l 從BSC6900的版本到V900R014C00SPH552的升級場景，不涉及此步驟。如果是從BSC6000升級到當前版本，升級前務必請客戶確認BSC6900相比BSC6000新增開放的通信端口未被防火墻等網(wǎng)絡設備屏蔽。BSC6900相比BSC6000新增開放的OMU通信端口列表請參見表35。表35 BSC6900相比BSC6000新增開放的OMU通信端口列表端口號業(yè)務進程端口說明網(wǎng)絡協(xié)議類型所用網(wǎng)段（外網(wǎng)）20FTPServer數(shù)據(jù)主機加載/軟件和日志上傳下載（主動模式時）TCPY80weblmt用于本地維護的對外端口，瀏覽器連接此端口與LMT交互，對產(chǎn)品進行維護TCPY443weblmt瀏覽器通過此端口與LMT建立加密連接，用于對產(chǎn)品進行維護。TCPY6006ems_gate維護端口TCPY8000ems_gate維護端口（SSL加密）TCPY8001ems_gate告警臺端口（SSL加密）TCPY8006ems_gate維護端口（SSL加密）TCPY8088遠程升級工具遠程升級工具（SSL加密）TCPY8099ems_gate與M2000數(shù)據(jù)同步（SSL加密）TCPY8100ems_gate告警箱（SSL加密）TCPY11775monitor雙機OMUUDPY16002ems_gate性能主動上報通知消息端口TCPY18002ems_gate性能主動上報通知消息端口（SSL加密）TCPY 檢查升級工具使用的通信端口已經(jīng)開放如果升級工具使用的通信端口被防火墻等網(wǎng)絡設備屏蔽，升級前請客戶開放，否則無法進行升級。升級前請客戶確認升級工具使用的通信端口未被防火墻等網(wǎng)絡設備屏蔽，操作步驟如下：步驟 1 請根據(jù)“ 確認SSL連接信息”判定是否需要使用SSL加密。如果不需要，確認6088及6000端口未被防火墻等網(wǎng)絡設備屏蔽；如果需要，確認8088及8000端口未被防火墻等網(wǎng)絡設備屏蔽。如果存在被屏蔽的端口，請參考表36將其配置為開放。表36 網(wǎng)元側需要開放的端口（一）打開端口對應網(wǎng)元IP遵從的協(xié)議6000外網(wǎng)虛擬IPTCP6088外網(wǎng)虛擬IP、外網(wǎng)固定IPTCP8000外網(wǎng)虛擬IPTCP8088外網(wǎng)虛擬IP、外網(wǎng)固定IPTCPl 在防火墻等網(wǎng)絡設備的安全策略中，往往需要結合IP地址和TCP/UDP的端口來進行流量控制。因此，客戶在執(zhí)行開放端口操作時，需要結合IP地址和TCP/UDP的端口一起進行配置。l 如果升級前網(wǎng)元是BSC6900，執(zhí)行MML命令DSP OMU查詢網(wǎng)元的外網(wǎng)虛擬IP以及外網(wǎng)固定IP。如果升級前網(wǎng)元是BSC6000，執(zhí)行MML命令DSP OMUNIC查詢網(wǎng)元的外網(wǎng)虛擬IP以及外網(wǎng)固定IP。如果網(wǎng)元沒有外網(wǎng)固定IP，則無需對外網(wǎng)固定IP進行配置。l 對于主備OMU，只需配置主OMU的外網(wǎng)固定IP。步驟 2 請確認是否使用“EMS代理IP”升級，如果是，請確認代理服務器（M2000）的31035端口需要對升級工具開放；如果不是，則無需確認。步驟 3 請確認OMU的ftp通訊端口未被防火墻等網(wǎng)絡設備屏蔽。請根據(jù)升級前版本選擇如下其中一種方法查詢ftp通訊端口：如果…則…升級前版本是BSC6000ftp通訊端口為22。升級前版本是V900R011執(zhí)行LST FTPSSRV，獲取“服務端命令監(jiān)聽端口”和“主動模式下的服務端數(shù)據(jù)源端口”。被動模式下的服務端數(shù)據(jù)端口范圍為25001~30000。升級前版本是V900R01V900R013 執(zhí)行LST FTPSSRV，獲取“服務端命令監(jiān)聽端口”和“主動模式下的服務端數(shù)據(jù)源端口”； 執(zhí)行LST FTPSRVPORT，獲取被動模式下的服務端數(shù)據(jù)端口范圍。升級前版本是V900R014執(zhí)行LST FTPSSRV，獲取“服務端命令監(jiān)聽端口”、“主動模式下的服務端數(shù)據(jù)源端口”和被動模式下的服務端數(shù)據(jù)端口范圍。對于所有查詢出的ftp通訊端口，如果有端口被屏蔽，請參考表37將被屏蔽的端口配置為開放。如果升級前網(wǎng)元是BSC6900，并且查詢出的ftp通訊端口不包含21，還需確認21端口是否被屏蔽。如果是，請參考表37將21端口默認配置為開放。表37 網(wǎng)元側需要開放的端口（二）打開端口對應網(wǎng)元IP遵從的協(xié)議ftp通訊端口外網(wǎng)虛擬IPTCP結束 檢查PC機操作系統(tǒng)環(huán)境Windows 7防火墻不支持21端口SSL加密傳輸。當運行升級工具客戶端的PC機操作系統(tǒng)是windows 7時，如果如下兩個條件同時滿足，上傳安裝包文件會失敗。l PC機的操作系統(tǒng)防火墻打開。l OMU ftp服務端“傳輸加密模式”為“SSL加密”，且“服務端命令監(jiān)聽端口”為“21”（可執(zhí)行MML命令LST FTPSSRV查詢?nèi)缟蟽蓚€參數(shù)）。此時請客戶任選如下其中一種方法規(guī)避：l 升級前關閉PC機的操作系統(tǒng)防火墻。l 執(zhí)行MML命令SET FTPSSRV設置ftp服務端“傳輸加密模式”為“明文”。l 執(zhí)行MML命令SET FTPSSRV設置ftp服務端“服務端命令監(jiān)聽端口”為自定義端口。推薦選擇升級前關閉PC機的操作系統(tǒng)防火墻。 配置PortTrunking的ACL升級前網(wǎng)元是BSC6000如果升級前網(wǎng)元