聯(lián)通數(shù)據(jù)網(wǎng)網(wǎng)絡管理

1、網(wǎng)絡管理1 綜 述一個沒有網(wǎng)絡管理和網(wǎng)絡控制的網(wǎng)絡將是低效的網(wǎng)絡，網(wǎng)絡也不能被稱為智能的，網(wǎng)絡的故障診斷、運行狀態(tài)、收費等都很難實現(xiàn)。對于一個先進的網(wǎng)絡來說，用網(wǎng)管軟件對網(wǎng)絡進行管理是必不可少的。聯(lián)通數(shù)據(jù)網(wǎng)是一個寵大而復雜的系統(tǒng)。其網(wǎng)絡維護和管理十分重要，直接關系到整個網(wǎng)絡是否能穩(wěn)定而可靠地運行。在聯(lián)通數(shù)據(jù)網(wǎng)中，除了在網(wǎng)絡設計時采用了統(tǒng)一的建網(wǎng)模式，利用了結構清晰的網(wǎng)絡拓撲，還將提供一整套網(wǎng)絡測試或維護方案。另外，采用一套好的網(wǎng)絡管理軟件也是至關重要的。由于整個網(wǎng)絡系統(tǒng)基于整體設計，采用高性能網(wǎng)絡設備，因此選用統(tǒng)一網(wǎng)管軟件對網(wǎng)絡內所有設備進行統(tǒng)一管理。在該網(wǎng)管工作站上,實現(xiàn)對整個網(wǎng)絡的設備配置

2、、監(jiān)控、動態(tài)運行分析、安全設置、問題診斷、流量控制以及虛擬網(wǎng)劃分和管理等工作。使網(wǎng)絡的運行更能符合企業(yè)實際應用的需要，達到網(wǎng)絡高速有效的傳輸和安全可靠的使用。中國聯(lián)通數(shù)據(jù)網(wǎng)網(wǎng)絡管理采用分級的體系結構，以“管理-代理”為基本模型，網(wǎng)管中心設立在北京，各省會設置省級網(wǎng)管，各節(jié)點配置維護管理終端。網(wǎng)管系統(tǒng)的傳輸通道可采用帶內網(wǎng)管和帶外網(wǎng)管兩種方式。2 網(wǎng)絡管理結構中國聯(lián)通數(shù)據(jù)網(wǎng)網(wǎng)絡管理采用分級的體系結構，分三級模式實施： 1- 全國網(wǎng)管中心（NNMC）：設在北京，采用主-備方式，負責全國網(wǎng)絡的故障、性能、配置、安全、計費管理；2- 分權網(wǎng)管中心（RNMC）：設在各省會節(jié)點，負責省內網(wǎng)絡的故障、性能、

3、配置、安全、計費管理；;3- 維護管理終端（NMT）：設在其余各節(jié)點，負責本節(jié)點的配置及運行狀態(tài)、業(yè)務情況的監(jiān)控，為維護人員提供監(jiān)控手段。圖4. 管理模型示意圖NNMC（全國網(wǎng)管中心）相對于RNMC（分權網(wǎng)管中心），NNMC是管理器，RNMC是代理器；RNMC相對于NMT（維護管理終端），RNMC是管理器，NMT是代理器。在管理器與網(wǎng)元的代理器間按SNMP V2傳送網(wǎng)管信息。NNMC能夠指定一些管理功能和管理區(qū)域給某個RNMC負責管理，但NNMC比RNMC具有更高的優(yōu)先級。網(wǎng)絡管理方式建議采用帶外監(jiān)測，帶內管理的方式。所謂帶外檢測即采用網(wǎng)絡管理軟件對網(wǎng)絡設備進行讀的操作，也就是公用網(wǎng)段上絕對不

4、進行snmp set操作。目前大部分網(wǎng)絡設備對snmp v2及snmp v3支持不是很統(tǒng)一，而snmp v1有其與生俱來的弱點-安全性差！在snmp v1中agent和server之間的通信除依靠community串認證外不做任何安全設置，一旦community串丟失全網(wǎng)設備即處于極度危險之中。此外，經(jīng)驗豐富的黑客可以對snmp包進行截獲，并在適當?shù)臅r候發(fā)送造成網(wǎng)絡設備異常，如其惡意更改該包內容并進行發(fā)送，則該包的破壞性更大?；谝陨峡紤]，我方建議網(wǎng)絡設備的配置，軟件升級等危險性操作通過帶外管理來完成。所謂帶外管理指，網(wǎng)絡設備的管理不通過對外公開的網(wǎng)絡來實現(xiàn)。帶外管理方式一（終端管理）：所有的

5、UNIX主機和網(wǎng)絡設備皆可配置成為不允許telnet訪問，但如此設置必然導致極大的不便，為了既保證安全性又方便于設備的遠程管理可以采用帶外管理，即設置專用的終端服務器，連接圖如下。圖5:帶外管理方式（終端管理）示意圖管理員可以通過終端服務器直接進入控制臺來管理各種服務器或網(wǎng)絡設備，當管理員出差或需作遠程配置時可以通過撥號到終端服務器來完成。該終端服務器可以設置多重密碼認證體系以保證網(wǎng)絡安全，且當不需配置時直接切掉調制解調器電源即可防止任何用戶闖入。帶外管理方式二：為全網(wǎng)各個節(jié)點專門開辟鏈路只做網(wǎng)絡管理使用（如下圖所示）。圖6: 帶外管理方式二示意圖采用該種方式既減少了網(wǎng)絡流量同時通過路由和網(wǎng)絡

6、設備的各種ACL設置又極大提高了網(wǎng)絡的安全性。對于偏愛用網(wǎng)管軟件進行全網(wǎng)管理的單位來說，該種方式可謂最佳方案。此方案的缺點是造價偏高。3網(wǎng)絡管理平臺 網(wǎng)管系統(tǒng)設計應遵循如下原則：1) 網(wǎng)管平臺是一個支持SNMP的標準平臺。2) 網(wǎng)管平臺有能力管理足夠的站點。3) 網(wǎng)管平臺能及時準確地圖示網(wǎng)絡拓撲。4) 網(wǎng)管平臺能提供必要的流量分析手段。5) 網(wǎng)管平臺能對各種敏感參數(shù)設置告警閾值，對異常事件告警并作記錄。6) 網(wǎng)管平臺能提供安全管理機制。7) 網(wǎng)管平臺能提供適當?shù)挠脩艟幊探涌凇?) 網(wǎng)管平臺能與足夠多的網(wǎng)管應用軟件相配合。9) 網(wǎng)管工作站要有足夠的處理能力和足夠的內存。本次工程建議選擇SUN D

7、omain Manager作為網(wǎng)絡管理軟件平臺。我方對聯(lián)通數(shù)據(jù)網(wǎng)的網(wǎng)管實施方式建議如下：· 對于骨干網(wǎng)由IP網(wǎng)管中心集中管理，各省管理各省自己內部地市的網(wǎng)絡設備;· 采用專用網(wǎng)管鏈路管理全網(wǎng)設備（IP業(yè)務網(wǎng)和IP電話網(wǎng)）;· 全網(wǎng)管理中心設在北京，采用主-備方式;· 所有網(wǎng)絡設備根據(jù)相應規(guī)則設置SNMP ACL;· 網(wǎng)管平臺硬件采用SUN Ultra2 Station, 操作系統(tǒng)為Solaris 2.6, 軟件平臺采用SUN Domain/Site Manager;· 網(wǎng)管應用軟件選用Optivity for SUN Domain M

8、anager.4網(wǎng)絡管理功能網(wǎng)管中心能實現(xiàn)的管理功能包括故障管理、性能管理、配置管理和安全管理。¾ 故障管理:· 維護并檢查錯誤日志，形成故障統(tǒng)計；· 接受錯誤檢測報告并作出反應；· 跟蹤、辯認錯誤；· 執(zhí)行診斷測試；· 糾正錯誤。¾ 配置管理:· 創(chuàng)建并維護一個數(shù)據(jù)庫，其中包含網(wǎng)絡設備、軟件、操作級別、負責維護設備的人員等信息；· 可以訪問被管理設備的配置文件，并在必要時分析和編輯；· 可以比較網(wǎng)管中心數(shù)據(jù)庫中兩個配置文件的內容；以便將設備當前使用的配置和數(shù)據(jù)庫中存放的配置局限比較；·

9、; 網(wǎng)絡節(jié)點設備部件、端口的配置；· 網(wǎng)絡節(jié)點設備系統(tǒng)軟件的配置；· 網(wǎng)絡業(yè)務配置，網(wǎng)絡節(jié)點各種數(shù)據(jù)的配置與修改，網(wǎng)絡各種業(yè)務政策的配置與管理；· 對配置操作過程的記錄統(tǒng)計。¾ 性能管理· 自動發(fā)現(xiàn)網(wǎng)絡拓撲結構及網(wǎng)絡配置，實時監(jiān)控設備狀態(tài)；· 通過對被管理設備的監(jiān)控或輪詢，獲取有關網(wǎng)絡運行的信息及統(tǒng)計數(shù)據(jù)；· 對歷史統(tǒng)計數(shù)據(jù)的分析功能；· 優(yōu)化網(wǎng)絡性能，消除網(wǎng)絡中的瓶頸，實現(xiàn)網(wǎng)絡流量的均勻分布。¾ 安全管理· 網(wǎng)管系統(tǒng)采取高級別、多層次的安全防護措施；· 對各種配置數(shù)據(jù)、統(tǒng)計數(shù)據(jù)采取備份、保護措施；· 網(wǎng)管系統(tǒng)應提供嚴格的操作控制和存取控制；· 當網(wǎng)管系統(tǒng)出現(xiàn)故障時，能自動及人工恢復正常工作，不影響網(wǎng)絡的正常運行。¾ 其 它· 網(wǎng)管系統(tǒng)應能提供靈活的通告方法。通告方法可以包括電子郵件、聲音及顯示嚴懲警告的方法；· 網(wǎng)管系統(tǒng)應具有用戶友好性，易于使用，以有組織的、簡明的方式顯示信息，允許用戶配置環(huán)境；· 網(wǎng)管系統(tǒng)應提供編程接口，使其能得到方便靈活的擴展；· 用戶能控制網(wǎng)管