席尔琛

同济大学软件学院 上海 200336

0 引言

没有任何东西是完全相同的。如果深入研究任何大型网络，你将看到一个网络管理解决方案不能解决全部的问题，然而研究发现，企业网络是具有行业特征的，或者说很多企业的网络具有相似的运行模式，既然网络可以按特征分类，那么针对某一类企业的网络管理解决方案就是有可能存在的。

1 航运企业信息系统特点

航运业是非常有特点的行业，尤其是远洋运输，它控制的船舶装载着各种货物、长期航行于世界各个海域、停泊在世界各个港口，具有距离远、覆盖面广、高度分散、流动性大等特点。传统的信息管理系统反应慢、效率低，随着信息技术和通信技术的快速发展并相互融合，也随着全球经济一体化的深入发展对船运越来越快的带动作用，航运企业的信息系统越来越庞大、越来越重要。它的信息系统要存放客户的数据、货物的数据、船舶的数据、港口的数据…；要实现船期查询、运价查询、订舱、船位和货物的实时跟踪…；要满足管理层经营状况分析、财务状况统计、人事管理…；要24小时不间断运行、要能满足大量用户并发使用……这是种数据量超大、实时性要求高、并发用户多、应用系统复杂、网点遍布世界的高可靠性信息系统。显然，现代化的航运企业已经离不开信息系统了。它是决策者判断依据的重要信息来源，也是业务员的基本需要，更是对客户的展现平台。从某种意义上说，信息系统的水平高低是现代航运企业核心竞争力的重要标志。

对于具有如此重要意义的信息系统，遍布世界各地的网络系统，显然，必须有一个可靠实用的网络管理系统，才能真正管理好网络，真正保障信息系统的运行，实现通过信息化带动航运管理的现代化，提升核心竞争力的企业发展目标。

2 网络管理系统架构

如何打造符合航运企业自身特点、有特色的网管系统？这里以笔者所在单位为例，介绍一下我们的网管系统。

笔者所在单位是国内航运界领军企业。2000年开始投入巨额资金建设全球数据专网，到现在，已经覆盖全球几十个国家和地区，近百条多条数据专线，位于上海的数据中心拥有几百台服务器，每时每刻都有数千个用户访问，为全球用户提供7*24小时服务。

2.1 设计原则

（1）集中统一管理

公司目前业务系统采用集中管理的方式，集中管理也是业界趋势。网管系统也应采用集中统一管理的方式，这样就明确了数据中心对区域中心及口岸网络核心设备的管理责任和权限；提高了对广域网的监控力度，便于及时发现和排除重大安全隐患。

建立集中统一管理的网管平台，对于网管系统生产环境有利于达到以下目的：

① 快速、方便、高效地监控骨干网络的实时状态；

② 及时生成报表，提供领导决策依据。

建立集中统一管理的网管平台，对于网管系统本身有利于达到以下目的：

① 运用冗余模式保障网管系统的持续运行；

② 运用合理的备份手段防止核心网络设备的性能、事件等数据的丢失；

③ 减少客户化的工作量。

（2）充分保护现有投资

公司之前已经在数据中心部署了 Sniffer DSS，RSA认证，HP OPENVIEW ServziceDesk，在网管系统建设过程中应充分考虑对现有系统的利用。

（3）阶段性目标和长远规划相结合

网管建设工作是一项需要统筹安排的系统工程，因此要结合全系统网络的建设发展，进行长远规划，按照运行维护工作的实际需要，统筹兼顾，分阶段进行。

（4）网络管理系统易用性

网管系统主要服务于日常运行维护工作，对于故障的发现、处理、查询，实效性要求较高，因此网管系统必须直观、简单，具有易用性和可操作性，以便及时对网络出现的各类故障及时做出反应。

（5）网络管理系统扩展性

随着公司网络建设的不断深入进行，为了有效满足网络管理功能需求的增加，应充分考虑到整个网管系统的可扩展性。

（6）网络管理系统集成性

网管系统所面向的对象主要是网络设备及广域网链路，根据运行维护工作的需要，以及网管系统扩展性的要求，网管系统应具有集成性，即分布在不同机器平台和操作系统上、采用不同的语言或者开发工具生成的各类网管应用软件必须能集成在一起，构成一个统一的网络监控平台。

（7）网络管理系统灵活性

网管系统应具有灵活地处理网络设备和安全设备对象变化的能力，无论是增加或减少设备，不需要重新设计和大量调整监控系统架构，能够及时为运行维护工作提供有力支持。

2.2 系统组成

网络管理系统的目标主要是要实现对网络设备的管理，包括拓扑管理、故障管理、协议和性能管理、配置管理、安全管理、变更管理，同时对网络管理员进行相应的分级设置和权限管理，使网络管理系统的功能得到最优利用(见图1)。

图1 网络管理系统

（1）网络基础管理－该部分内容主要集中在基础网络拓扑发现、网络技术的完整支持、完善而全面的管理体系和提供端到端的管理能力；

（2）故障管理－主要提供对事件的全面管理，包括事件范围、智能处理技术、事件关联、问题定位和影响分析等；

（3）性能管理－作为网络管理的核心环节，性能管理包括端到端的实时和历史性能分析，并提供容量规划和完整的SLA支持；

（4）配置管理－对网络设备的配置进行集中管理，实现配置变更记录，多版本配置管理和配置比较等；

（5）安全管理－提供网络安全防护功能，对设备登录行为的安全认证，对网管系统提供账号分权、用户行为审计等；

（6）变更管理－对设备的配置更改进行审核、控制，禁止未经授权的配置更改；

（7）网络协议分析－对数据流量进行分析，掌握数据链路协议分布。

2.3 系统架构

根据公司的网络特点，网络管理系统主要由网管平台、安全防护硬件、安全认证以及协议分析探针四部分构成(见图2)。

图2 网络管理系统

（1）网管平台

网管平台软件CA Concord将全球网络设备纳入管理范围，提供网络基础管理、故障管理、性能管理以及配置管理功能。

Concord提供了完整的2层和3层网络拓扑视图，详细到每个端口和电路，界面简洁友好，利用SNMP轮询或者外部元素和其他网管系统数据的导入接收网络设备的性能信息，同时它具有根源分析、事件关联功能和统一用户界面来管理用户故障事件，并经过优化后仅将与故障相关的少数告警体现出来。它的资产管理功能能够通过智能的分析引擎灵活地根据不同角度对资产进行统计分类。对于网络设备的配置，Concord能够灵活批量上下载，并且能同时保存配置的多个历史版本，对不同版本的配置还能自动进行对比，确定哪些命令发生过变更。Concord的内嵌适配模块还能方便的集成第三方管理产品，提高了网管系统的扩展性。

（2）安全防护硬件

部署McAfee IntruShield IPS入侵防护系统，在Internet，Intranet方向的关键点上用in-line的方式串接IPS，将数据中心核心服务器网络紧密防护起来。

IntruShield可防护零日攻击、DoS/DDoS、SYN Flood攻击、间谍软件、恶意软件、VoIP漏洞、网络钓鱼、僵尸网络、网络蠕虫、木马和端到端应用。并且因为采用了NP(network processor)和ASIC(专用集成电路)的混合架构设计，通常这种方式在高端的3层交换机和防火墙中被大量采用，这使得它能以非常高的转发率进行工作，也帮助了Intrushield设备实现实时阻断的功能。

（3）安全认证

部署RSA Secure ID双因素用户认证系统，严格控制用户访问权限，对所有网络设备的登录进行动态口令认证。

利用 RSA系统，可以向授权的员工发放单独登记的设备，生成个人使用的密码。这一密码每60秒就会改变一次，认证服务器能够验证这个不断变化的密码是否有效。每个认证设备都是惟一的，别人不能通过记录以前的密码来预测将来的密码值。这样，如果某个用户提供了一个正确的密码，我们就可以相信该用户是合法用户。

（4）协议分析探针

部署Sniffer DSS(分布式Sniffer)系统，对核心服务器群和DMZ服务器群的关键流量进行监控，必要时进行抓包分析。Sniffer本身拥有独特的Sniffer Expert实施专家诊断和强大的协议解码功能，在业界是使用范围最广的。再加上分布式系统的 24*7的连续工作能力、专业的硬件探针设备，使得我们能对核心服务器网络进行不间断的监控，并且在troubleshooting的时候反应更加快速。

部署NetScout系统对广域网出口链路进行监控，掌握所有专线数据流量的协议分布、速率带宽情况。

NetScout对数据流量解析度很高，并且界面友好直观，操作性强。比如Site Monitor功能能够简洁的将全球不同网点划分成一个个监控对象，然后清楚的告诉我们每个网点什么时候运行着哪些流量，占用多少带宽，哪些主机对流量最高，使得我们轻松掌握全球专线流量分布。

企业信息化是个系统工程中，网络管理是其中一个永久的重要命题，网络管理系统只是管理者手中的工具，工具当然不可缺少，没有工具的管理者犹如手无寸铁的拓荒者，但是怎样用好工具，怎样让工具充分发挥功能同样也是一项复杂，长远的工程，它需要长时间的精心调整，可以说网络管理系统在相当程度上决定了网络管理的成功与否。因此，构建符合企业自身特点的、有特色的网管系统一定要做到总体规划、分步实施。