Введение

Настоящая эксплуатационная документация подготовлена для обеспечения эффективной и безопасной эксплуатации экземпляра программного обеспечения HSS-HLR (Home Subscriber Server — Home Location Register), предоставленного для проведения экспертной оценки.

Данный документ предназначен для инженерно-технического персонала, ответственного за развертывание, настройку, мониторинг и поддержку системы в рабочем состоянии. Он содержит полный набор инструкций, процедур и справочной информации, необходимой для повседневной эксплуатации системы.

В рамках экспертной оценки представленный экземпляр ПО демонстрирует:

Полнофункциональную реализацию HSS/HLR в соответствии со стандартами 3GPP

Интегрированные модули аутентификации (AuC) и централизованной базы данных (CUDB)

Современные интерфейсы управления и мониторинга

Готовность к промышленной эксплуатации в телекоммуникационных сетях

Документация построена по принципу "от простого к сложному" — от базовых проверок работоспособности до продвинутых процедур диагностики и восстановления. Все команды и процедуры проверены на тестовом стенде и готовы к применению.

Особое внимание уделено безопасности — все чувствительные данные (пароли, ключи доступа) в документации заменены на шаблоны, фактические значения предоставляются отдельно уполномоченным лицам.

Документ является динамическим — по мере накопления эксплуатационного опыта и выхода обновлений ПО он будет дополняться и актуализироваться.

1. Технические характеристики экземпляра

1.1. Конфигурация ВМ

text

Имя ВМ: hss-hlr-prod-01

vCPU: 8 ядер

RAM: 32 ГБ

Диск: 500 ГБ (SSD)

ОС: Ubuntu Server 20.04 LTS

Ядро: 5.4.0-xx-generic

1.2. Сетевые настройки

text

Основной интерфейс (eth0):

  IP: 192.168.100.50/24

  Gateway: 192.168.100.1

  DNS: 8.8.8.8, 8.8.4.4

Служебный интерфейс (eth1):

  IP: 10.0.100.50/24 (для backup/management)

1.3. Установленные компоненты

text

Основное ПО:

  - hss-core: v2.4.1

  - hlr-module: v1.8.3

  - auc-engine: v3.2.0

  - cudb-ldap: v5.1.2

Вспомогательное ПО:

  - OpenLDAP 2.4.57

  - Diameter Stack 1.6.0

  - SCTP Tools 1.0.18

  - Java Runtime 11.0.12

2. Доступ к системе

2.1. Учетные записи

text

Административный доступ:

  Логин: admin

  Пароль: [выдается отдельно]

  Уровень: полный доступ ко всем функциям

Операторский доступ:

  Логин: operator

  Пароль: [выдается отдельно]

  Уровень: только мониторинг и базовые операции

Технический доступ (SSH):

  Логин: root

  Пароль: [выдается отдельно]

  Порт: 2222 (нестандартный)

2.2. Интерфейсы управления

2.2.1. Консольный интерфейс (CLI)

bash

# Подключение через SSH

ssh -p 2222 root@192.168.100.50

# Запуск CLI HSS-HLR

cd /opt/hss/bin

./hss-cli

2.2.2. Веб-интерфейс

text

URL: https://192.168.100.50:8443/admin

Логин: admin

Интерфейс доступен только из внутренней сети

2.2.3. API интерфейсы

text

REST API: https://192.168.100.50:8443/api/v1

SOAP API: https://192.168.100.50:8443/soap

Документация: /opt/hss/docs/api/index.html

3. Стартовые процедуры

3.1. Проверка состояния системы

bash

# Проверка статуса сервисов

systemctl status hss-core

systemctl status hlr-service

systemctl status ldap-server

# Проверка сетевых соединений

ss -tlnp | grep -E '3868|3869|389|2222'

netstat -sctp

# Проверка дискового пространства

df -h / /opt/hss

3.2. Запуск/остановка сервисов

bash

# Полный запуск

systemctl start hss-core

systemctl start hlr-service

systemctl start ldap-server

# Полная остановка

systemctl stop ldap-server

systemctl stop hlr-service

systemctl stop hss-core

# Перезапуск

systemctl restart hss-core

3.3. Проверка работоспособности

bash

# Тест Diameter-интерфейса

/opt/hss/bin/test-diameter.sh

# Тест LDAP-соединения

ldapsearch -x -H ldap://localhost -b "dc=hss,dc=local"

# Тест аутентификации

/opt/hss/bin/test-auth.sh IMSI=250010001000001

4. Ежедневные операции

4.1. Утренняя проверка

bash

# 1. Проверка логов ошибок

grep -i error /var/log/hss/hss.log | tail -20

# 2. Проверка доступности сервисов

curl -k https://localhost:8443/health

# 3. Проверка дискового пространства

/opt/hss/scripts/check-disk-space.sh

# 4. Проверка сетевых интерфейсов

/opt/hss/scripts/check-interfaces.sh

# 5. Проверка количества активных сессий

/opt/hss/scripts/active-sessions.sh

4.2. Мониторинг в реальном времени

bash

# Просмотр логов в реальном времени

tail -f /var/log/hss/hss.log

tail -f /var/log/hss/diameter.log

# Мониторинг системных ресурсов

htop

iftop -i eth0

# Мониторинг Diameter-трафика

/opt/hss/bin/monitor-diameter.sh

4.3. Резервное копирование

bash

# Ручное создание бэкапа

/opt/hss/scripts/backup.sh --full

# Проверка существующих бэкапов

ls -la /backup/hss/

/opt/hss/scripts/verify-backup.sh

# Автоматическое резервное копирование (ежедневно в 02:00)

systemctl status hss-backup.timer

5. Управление абонентами

5.1. Добавление абонента через CLI

bash

# Подключение к CLI

/opt/hss/bin/hss-cli

# Команды в интерфейсе HSS-CLI

1. Generate Auth Vector

2. Add Subscriber

3. List Subscribers

4. Delete Subscriber

7. Exit

# Пример добавления абонента через консоль

echo "IMSI=250010001000001,MSISDN=79150001111,PROFILE=DEFAULT" | /opt/hss/bin/add-subscriber.sh

5.2. Пакетное управление абонентами

bash

# Загрузка CSV-файла с абонентами

/opt/hss/bin/bulk-import.sh /path/to/subscribers.csv

# Формат CSV-файла:

# IMSI,MSISDN,PROFILE,APN,QOS

# 250010001000001,79150001111,DEFAULT,internet,GOLD

5.3. Экспорт данных абонентов

bash

# Экспорт всех абонентов

/opt/hss/bin/export-subscribers.sh --all > subscribers_export.csv

# Экспорт по критериям

/opt/hss/bin/export-subscribers.sh --profile=GOLD --active-only

6. Диагностика и устранение неисправностей

6.1. Типовые проблемы и решения

6.1.1. Проблема: HSS не отвечает на Diameter-запросы

bash

# Диагностика:

1. Проверить статус сервиса: systemctl status hss-core

2. Проверить порты: netstat -tlnp | grep 3868

3. Проверить журнал: tail -100 /var/log/hss/diameter.log

4. Проверить сеть: ping 192.168.100.50

# Решение:

systemctl restart hss-core

iptables -L -n | grep 3868  # Проверка firewall

6.1.2. Проблема: Ошибки аутентификации

bash

# Диагностика:

1. Проверить AuC: systemctl status auc-engine

2. Проверить ключи: /opt/hss/bin/check-keys.sh IMSI=...

3. Проверить журнал: grep "authentication failed" /var/log/hss/hss.log

# Решение:

/opt/hss/bin/reset-auth-vector.sh IMSI=...

systemctl restart auc-engine

6.1.3. Проблема: Переполнение диска

bash

# Диагностика:

df -h

du -sh /var/log/hss/*

# Решение:

/opt/hss/scripts/cleanup-logs.sh

journalctl --vacuum-size=100M

6.2. Сбор диагностической информации

bash

# Создать диагностический пакет

/opt/hss/scripts/gather-diag.sh --full

# Содержимое diag-пакета:

# - Конфигурационные файлы

# - Последние 1000 строк логов

# - Статус системных служб

# - Сетевые настройки

# - Информация о дисках и памяти

7. Мониторинг и метрики

7.1. Ключевые метрики для мониторинга

text

Производительность:

  - hss_transactions_per_second

  - hss_response_time_ms

  - diameter_messages_sent

  - diameter_messages_received

Ресурсы:

  - system_cpu_usage_percent

  - system_memory_usage_mb

  - disk_usage_percent

  - network_traffic_mbps

Абоненты:

  - active_subscribers_count

  - authentication_success_rate

  - registration_success_rate

  - roaming_subscribers_count

7.2. Пороговые значения для оповещений

text

Критические (alarm):

  - CPU > 90% более 5 минут

  - Память > 95%

  - Диск > 90%

  - Успешность аутентификации < 95%

Предупреждения (warning):

  - CPU > 80% более 10 минут

  - Память > 85%

  - Диск > 80%

  - Время ответа > 500 мс

7.3. Панели мониторинга

text

Grafana Dashboards:

  - HSS Overview: http://192.168.100.50:3000/d/hss-overview

  - Performance Metrics: http://192.168.100.50:3000/d/hss-performance

  - Subscriber Analytics: http://192.168.100.50:3000/d/hss-subscribers

Доступ: grafana/grafana (логин/пароль)

8. Резервное копирование и восстановление

8.1. Расписание бэкапов

text

Ежедневно:

  02:00 - Полный бэкап (удерживается 7 дней)

  12:00 - Инкрементальный бэкап (удерживается 30 дней)

Еженедельно:

  Воскресенье 03:00 - Полный бэкап (удерживается 4 недели)

Ежемесячно:

  Первое число 04:00 - Архивный бэкап (удерживается 12 месяцев)

8.2. Процедура восстановления

bash

# 1. Остановить сервисы

systemctl stop hss-core hlr-service ldap-server

# 2. Восстановить из бэкапа

/opt/hss/scripts/restore.sh --backup=/backup/hss/full_20231201.tar.gz

# 3. Запустить сервисы

systemctl start ldap-server hlr-service hss-core

# 4. Проверить восстановление

/opt/hss/scripts/verify-restore.sh

9. Безопасность

9.1. Рекомендации по безопасности

text

1. Регулярная смена паролей (каждые 90 дней)

2. Использование SSH-ключей вместо паролей

3. Ограничение доступа по IP-адресам

4. Регулярное обновление безопасности

5. Мониторинг подозрительной активности

9.2. Журналирование безопасности

bash

# Просмотр журналов безопасности

grep -i "failed\|denied\|unauthorized" /var/log/auth.log

journalctl -u ssh --since "today"

# Мониторинг попыток входа

lastb | head -20

Приложение A: Быстрый старт

A.1. Проверка работоспособности за 5 минут

bash

# 1. Проверка сервисов

systemctl is-active hss-core hlr-service ldap-server

# 2. Проверка портов

nc -z localhost 3868  # Diameter

nc -z localhost 389   # LDAP

# 3. Тестовая аутентификация

curl -X POST https://localhost:8443/api/v1/auth/test \

  -H "Content-Type: application/json" \

  -d '{"imsi":"250010001000001"}'

# 4. Проверка логов

tail -5 /var/log/hss/hss.log

A.2. Экстренные команды

bash

# Аварийная остановка

/opt/hss/scripts/emergency-stop.sh

# Аварийный запуск

/opt/hss/scripts/emergency-start.sh

# Сброс до заводских настроек

/opt/hss/scripts/factory-reset.sh  # ТОЛЬКО В КРИТИЧЕСКИХ СЛУЧАЯХ