赵晓峰

摘要：服务器、个人电脑和交换机是网络管理中最常见的设备，它们数量众多、不易管理，为此，结合网络运维实践和集中管理模式，提出对这些设备进行集中管理的具体实施方法，这些方法在实践当中被证明是行之有效的。

关键词：网络设备；集中管理；虚拟化；无盘工作站；SecureCRT

中图分类号：TP391 文献标识码：A 文章编号：1009-3044（2018）09-0057-03

Abstract： Servers， personal computers and the switch is the most common equipment in network management. They are numerous， difficult to manage. Therefore， combined with practice of network operation and maintenance and centralized management mode， put forward some implement methods of centralized management of equipment. These methods are proved to be effective in practice.

Key words： network equipment； centralized management； virtualization； diskless workstation； SecureCRT

根据百度百科的定义，网络设备及部件是连接到网络中的物理实体。常见的网络设备有：计算机（无论其为个人电脑或服务器）、集线器、交换机、路由器、防火墙等，由于存储也属于连接到网络中的物理实体，同时也是计算机网络中很重要的设备，故本文把存储也列入网络设备的范畴。在现代计算机网络中，计算机、交换机和存储是必不可少的设备，数量也最为众多，如何对这些网络设备进行简单快速而又有效的管理，以便满足日益增多的业务系统的需求和安全管理的要求，是需要进行研究和解决的，既需要从策略和方法层面进行整体架构，又需要从技术层面加以实施，限于篇幅，本文仅从管理策略方面进行探讨，计算机从用途上可分为个人电脑和服务器，对它们的管理有所不同，因而分开进行讨论。

网络设备集中管理最大的好处在于方便管理、降低运维成本，依托网络设备集中管理平台可以实现对所有同类设备的管理，达到资源共享、灵活分配、省去人工记忆地址和批量处理等目的。本文分为四个部分：第一部分为总体思想，主要讨论网络设备管理的若干原则，以便在选择具体管理手段时进行遵循；第二部分主要讨论服务器的集中管理策略，分别从虚拟化、加入域、时间同步、补丁分发和采用分布式存储等角度进行阐述；第三部分主要讨论个人电脑的集中管控策略，分别从无盘工作站和内网监管的角度进行阐述；第四部分主要讨论交换机的集中管理手段，主要从SecureCRT终端仿真程序和SNMP协议的角度进行阐述。

1 总体思想

就整体而言，对网络设备的管理应符合以下原则：统一管理、操作简单、资源分配合理、能对运行情况进行多方位监控、自动记录操作日志、管理安全。

统一管理主要体现在：将所有同类设备纳入到统一的管理平台中，共享底层资源，并能进行资源的灵活分配，对全部设备的操作可批量进行，以达到一个操作全部有效的目的。

操作简单主要体现在：不需要过多的键盘输入操作，尽可能一键点击操作，以节省操作时间，例如：建立批处理命令文件，利用凭据等。

资源分配合理主要体现在：能够根据需求的变动灵活进行资源的调整分配，并有效避免资源浪费。例如：对于高计算性的业务可以分配较多的CPU和内存，而对于那些要求空间大的业务可以分配较多的存储空间，相应的其他资源可以较少分配。避免资源浪费是对资源分配合理的进一步补充，对于那些长期无人使用的系统及时进行下线处理，释放出相应的资源，以便分配给其他业务系统。

能对运行情况进行多方位监控主要指对网络设备的运行情况能够实时记录和查看，如遇故障情况，能够及时报警，以便管理员在第一时间发现。例如：CPU占用率、内存占用率、硬盘读写是否正常、网卡传输速率等。

自动记录操作日志主要体现在：对于网络设备的每一步操作都有详细的日志记录，以便出现故障时能够根据日志进行问题跟踪，同时，有些日志包含了大量的用户行为信息，对这些信息进行挖掘分析，可以有效辅助管理者的日后决策。

管理安全主要体现在：首先操作要安全，其次数据要安全，不然干扰或者破坏了正在运行的服务，轻则造成一定影响，重则长时间无法正常服务。因此在操作之前应该评估所作的操作是否会对现有服务产生影响，尤其是会不會造成数据丢失，会不会造成系统无法正常启动等，对于可能出现服务故障的操作应及时做好数据备份，建立还原点等，以便故障出现后能够快速进行恢复。

根据上述原则，下面分别从服务器、个人电脑和交换机这三种最常见的网络设备进行集中管理策略的探讨。

2 服务器集中管理

目前机房主流的服务器类型主要是两种：机架服务器和刀片服务器，大部分以机架服务器为主，主流的操作系统平台也是两种：Windows和Linux，机房所用Windows服务器操作系统目前以2008 R2为主，少部分为2003，更高级别的Windows 2012操作系统只能安装在一些高性能的服务器上，而Linux操作系统主要以RedHat和CentOS为主。存储方面以前主要是集中式存储，以EMC为代表，现在逐渐向分布式存储过渡。以下分别从服务器虚拟化、服务器加入域、添加时间同步服务器、部署补丁分发服务器和采用分布式存储五个方面来展开讨论。

2.1 服务器虚拟化

服务器虚拟化是将服务器物理资源抽象成逻辑资源，让一台服务器变成几台甚至上百台相互隔离的虚拟服务器，不再受限于物理上的界限，而是让CPU、内存、磁盘、I/O等硬件变成可以动态管理的“资源池”，从而提高资源的利用率，简化系统管理，实现服务器整合，让IT对业务的变化更具适应力。

它的好处主要体现在：1）实现业务系统的快速部署。传统的物理服务器仅安装操作系统就需要1-2小时的时间，如果出现安装不顺利的情况，则需要重新安装，非常耗时，而虚拟化则可以利用预先建立好的模板在1-2分钟的时间内快速克隆出一台服务器，用户只需关注业务本身的部署；2）轻松实现服务器的容灾备份。运行在物理机上的操作系统是存在安全风险的，不当操作可能导致系统无法正常启动，重装系统会造成部分数据丢失，而由于硬盘故障导致的系统无法正常启动，则需要重建Raid，这时候可能造成全部数据丢失，运行在虚拟机上的操作系统则可以通过预先建立的还原点来将系统恢复到故障前的状态，保证了数据和系统安全。3）实现资源的动态分配。传统的物理服务器如果出现配置无法满足业务要求时，一般只能通过购买更高端的服务器来满足要求，而虚拟机只需从资源池中分配剩余的资源即可，即使是剩余的资源无法满足要求，还可以从其他虚拟服务器中释放出部分暂时不需要的资源，实现了资源的统一管理、灵活配置。

目前服务器虚拟化软件主要是三种：VMware vSphere、Citrix XenServer和微软Hyper-V，VMware vSphere占据着市场的主流，在稳定性、安全性、移植性方面有着良好的表现， Hyper-V由于是免费产品受欢迎程度也较高，尤其是微软在Windows 2012操作系统中主推Hyper-V，声称在稳定性以及性能方面有很大提升。

2.2 服务器加入域

上百台甚至更多服务器，如果每台服务器设置不同的密码，几乎是没法管理的；如果每台服务器均需要配置相同的安全策略，则是相当繁琐的操作，且容易遗漏或出错，这时候，加入域是不错的选择。在加入域之前，首先要有一台服务器充当域控制器，必要时可以选择一台或者多台服务器充当额外域控制器。Windows 2000 Server以上操作系统均可用来充当域控制器，目前大多采用Windows 2008 R2作为域控制器服务器操作系统。

通过域控AD可以添加域账户，服务器加入域后可以通过域管理员账户来登录系统，有效避免了本地管理员密码忘记后系统无法进入的情况，同时，域控中的组策略拥有强大的功能，可以像配置本地组策略一样配置域组策略，例如：密码策略、审计策略、用户登录策略、IE浏览器策略、自动更新配置等等，一旦配置了该策略，凡是加入域的服务器或者PC机，便可以接收到这些策略配置，而无需再单台进行重复配置，实现了策略的统一下发。

2.3 添加时间同步服务器

对于普通PC機而言，日期时间不准确可能没多大影响，但服务器就不一样了，一旦时间出现问题，来自客户端提交的信息便会是错误的时间信息，给以后的信息查询带来麻烦，一些重要的业务时间出现问题，将给用户带来不便，给管理者带来负面影响，因此，确保服务器的时间准确很重要。而随着分布式计算技术的日趋成熟，基于分布式的应用也日趋增多，这时候要求参与分布式计算的服务器在时间上必须保持严格一致。对于企业院校而言，非常有必要在其内部网络中架设一台时间同步服务器，用来提供网内的时间同步服务，而时间同步服务本身不需要太多的资源，在Windows操作系统中，时间同步是通过Windows Time服务完成的，Windows Time通过NTP（Network Time Protocol）协议访问目标时钟同步服务器的123端口进行时间同步，具体配置可以通过互联网进行搜索。

2.4 部署补丁分发服务器

在网络安全日益严峻的今天，在内网中部署补丁分发服务器对于服务器系统安全是很重要的，这样可以省去单台服务器逐个打补丁的麻烦。对于Windows操作系统，通常部署WSUS补丁分发服务器，部署完成后，在其他Windows服务器或PC终端上，输入gpedit.msc命令进入到组策略编辑器，找到计算机配置下的Windows Update选项，启用“配置自动更新”，然后在下一设置中输入补丁分发服务器的IP地址即可，实践当中，某些服务器利用上述设置可能无法获得更新补丁包，这时候，可通过修改注册表的方式添加相应的键值，重启服务器后即可生效。

2.5 采用分布式存储

分布式存储尽管在目前的现代机房环境中还没有成为主流，但由于其快速部署、资源分配灵活、易于扩展的优势，势必成为日后的主流。分布式存储是实现服务器统一管理的又一选择方案，它具有以下优点：1）磁盘空间灵活分配。分布式存储采用服务器集群的方式，形成了一个大的资源池，在这个资源池中，可以灵活地进行空间的分配和回收，即使是已经被分配出去的空间，当前没有被占满，还可以将剩余空间回收后分配给其他服务器，这在集中式存储上几乎是无法实现的；2）易于扩展，便于扩容。当资源池中的空间无法满足分配要求时，就需要进行磁盘容量的扩充，这时，集中式存储的办法是购买新的磁盘柜、做阵列、划分LUN，然后进行LUN的挂载，而分布式存储只需增加新的服务器即可，新增加的空间经过格式化后进入资源池，管理后台会自动更新服务器存储索引项。3）安全性更高。分布式存储将磁盘访问压力分散到各个服务器上，不容易造成单块磁盘的损坏，并且允许其中一台服务器整个坏掉，此时不影响数据的正常使用。

3 个人电脑集中管理

个人电脑一般位置比较分散，管理起来不太容易，且容易发生安全事件。目前，个人电脑操作系统大部分仍使用Windows，一方面Windows操作系统使用一段时间后会产生大量的垃圾文件，这些垃圾文件不及时清理会导致系统变慢，随着安装软件的增多也会使系统变慢，久而久之无法忍受时，重装系统便成为快速解决的办法，但这很耗时间也很繁琐。另一方面，个人拥有操作系统的最高权限，可随意连接到各类外设，导致安全事件的发生。针对上述两个方面，一是搭建无盘工作站系统，解决操作系统和软件安装问题；二是部署内网监管系统，防止非法计算机入网，并对联网的外设进行限制接入和用户行为审计。

3.1搭建无盘工作站

无盘工作站其实就是一台不带硬盘的普通电脑，它的优点主要表现在三个方面：第一，操作系统通过母盘安装后上传至无盘服务器，系统中所有无盘均可通过该母盘镜像正常启动，日后安装软件，也是一次安装，全部生效，大大节省了维护的时间，且每次重启，系统会自动还原至开机前的状态，不会产生额外的垃圾文件；第二，由于在内存中读写数据，响应速度大大提高；第三：安全性大大提高。操作系统的设置权限完全交由管理员，用户没有更改系统的权限，管理员可直接在镜像中限制外设接入，本机无法存储文件，所有文件均通过网络写至服务器，安全可控。

通过将无盘操作系统镜像设置加入域，可以实现域控安全策略的统一下发，另外，还可以在域控服务器中建立域用户，并对域用户配置网络存储空间路径和个性化漫游路径，同时利用Windows 2008服务器操作系统中的磁盘配额功能，可将域用户加入配额项，并对该用户进行空间限制，实现无盘工作站和域控的完美结合。

目前企业版的无盘工作站系统主要由锐起公司和网众公司提供。锐起无盘工作站服务端软件既可以采用Windows服务器操作系统，也可以采用Linux服务器操作系统，且Windows更稳定一些，界面简捷友好，并且自带个性网盘功能，客户端主要支持Windows系列版本，不支持Linux版本。网众无盘工作站服务端软件只能采用Linux服务器操作系统，它的优点是服务稳定，缺点是操作界面不太友好，客户端除了支持常见的Windows版本外，还支持Linux版本。

3.2部署内网监管系统

为了避免非法计算机利用非常手段接入内网，窃取内网信息，在局域网中部署内网监管系统是十分有必要的。一方面，所有合法入网的计算机必须安装内网监管客户端，没有安装的个人电脑将无法正常接入内网；另一方面，可以在内网监管系统后台设置MAC地址与IP地址绑定，只有合法存在的IP与MAC组合才允许正常入网。更重要的是，内网监管系统可以配置限制非法外联，禁止U盘、光驱、打印机等外设的接入，还可进行终端审计，包括文件审计、打印审计、网站审计、FTP审计、应用程序审计、刻录审计等等，限制用户的一些非法行为：如打游戏等。

此外，内网监管系统实时记录了用户计算机的软硬件信息、后台服务信息、进程信息、认证信息等，能对个人电脑进行全方位的监控，有利于发生安全事件时的问题跟踪。内网监管系统主要采用802.1x协议，交换机版本首先要支持配置该协议，然后进行相应的全局配置和端口配置。

4 交换机集中管理

交换机是内网中数量比较多的一类设备，实践当中大多采用远程管理的方式，远程登录协议主要有telnet和SSH两种，telnet由于是明文传送不太安全，SSH则是加密的，也是目前大多数采取的方式。现实当中，接入交换机是网络维护当中配置较多的一类交换机，它们少则几十台，多则几百台，如果这些交换机均需要增加一条全局配置命令，则需要每台交换机输入用户名和密码登录进行配置，非常浪费時间，同时，在配置交换机之前还需要查找其IP地址，显得不够智能，为了解决此问题，可以使用SecureCRT终端仿真程序，实现对所有交换机的集中配置管理。另外，为了能够直观地看到交换机的端口使用情况和性能状态指标，安装交换机管理平台是必不可少的，这时候通常需要配置SNMP协议，配置完成后，就可以通过该平台实现设备的统一管理。利用平台的自动发现功能能够快速添加交换机设备，并进行一些图形化界面的操作，但在实践当中，人们更习惯于用命令来操作交换机和查看性能指标，加之该协议一直以来存在一些致命的缺点，比如：每个厂商都有大量自己的私有MIB库，导致SNMP协议不能以一种统一通用的数据描述格式来保存所有被管理设备的各种信息，使得不同交换机品牌通过该协议无法进行正常的数据通信，给现实应用造成困难。因此，以下着重介绍使用SecureCRT。

SecureCRT是运行于Windows平台的一款终端仿真程序，支持SSH、Telnet、Serial、Rlogin和TAPI协议，是连接运行包括Windows、Linux、VMS的理想工具，也可以连接配置交换机，支持VBS、JS和Python三种脚本语言，通过执行编程脚本可以实现多台交换机的批量自动登录、批量自动配置和批量导出配置脚本，同时可以批量生成交换机连接Session文件，这些功能在需要同时操作多台交换机时非常有效。脚本的制作有两种方式：一种通过自带的录制脚本功能，点击Script菜单下的开始录制选项，输入相应的操作命令，完毕后点击停止录制选项，这时会自动弹出保存文件对话框，默认保存为.vbs脚本格式，下次直接运行该脚本即可；另一种是自己手动编写代码。当然，对于一般用户而言，更多的是不使用编程脚本下的操作，这时可以手动建立多个交换机Session连接文件，用于保存交换机的连接信息，下次选中相应连接名称即可进入远程交换机进行配置，在配置过程中，可以设置自动生成操作日志，以便于错误发生时的记录跟踪。除此之外，SecureCRT还可以代替Windows自带的超级终端程序和telnet命令，功能非常强大和使用方便。

5 结语

网络设备集中管理的优点是显而易见的，通过在实践过程中实施具体的集中化管理策略，能够较好地应对网络运维中出现的一些问题，但并非所有的问题均需要用集中管理的策略去处理，只有合适的才是正确的，况且管理需要从多个角度进行综合考虑，例如：用户的角度、安全的角度、性能最大化的角度等等，本文主要是从管理者的角度进行探讨。

参考文献：

[1] 李迎星. 浅析通信网络资源集中管理[J]. 信息通讯，2014，1（1）.

[2] 唐瑞明. 虚拟服务器技术在服务器管理中的应用[J]. 计算机光盘软件与应用，2014（19）.

[3] 童渊文，吕斌斌，左武志. 基于域控制器的桌面安全策略研究[J]. 信息通讯，2014（12）.

[4] 刘翠媚. 域控AD在网络运维中的应用[J]. 信息通信，2017（9）.

[5] 杨承周. 分布式存储关键技术及优势分析研究[J]. 网络安全技术与应用，2007（10）.

[6] 王骏翔. 数据中心自动化运维平台的设计与实现[J]. 上海船舶运输科学研究所学报，2016，39（3）.

[7] 龙炜. 自动化运维工具在企业信息系统管理中的应用[J]. 微型机与应用，2017，36（5）.