网管平台技术建议书.docx
《网管平台技术建议书.docx》由会员分享,可在线阅读,更多相关《网管平台技术建议书.docx(24页珍藏版)》请在冰豆网上搜索。
网管平台技术建议书
统一网管平台
技术建议书
1建设目标
网络管理系统应以保障安全生产,提高网络服务质量管理为目标,定位于建立有效的网络管理流程体系,从快速故障定位和排除、设备性能检测、网络流量和容量分析,IT运维流程等方面切入,全面监控网络运行,快速故障发现和恢复,规范网络运维,保障不间断地提供IT服务。
通过整合网络操作和运维流程,结合多种告警方案,形成规范的网络管理和保障机制,并采用数据分析和报表工具进行综合的分析,建立一个完善的网络运维和管理系统,使其能够安全、可靠、高效地实现网络管理所需要的功能,保障用户网络的健康,稳定运行。
2解决方案
中兴网络管理系统(ICM)的设计和实现基于ITIL理论和中兴在运营商等行业多年的网络系统集成、运维经验而研发,结合经验丰富的资深咨询顾问和工程师组成的网络管理专家小组,帮助客户实现面向业务与服务的强大网管系统。
系统采用可扩展的分布式架构,主要功能包括拓扑管理,设备性能监控,设备端口监控、链路监控、路由分析、流量分析、VLAN/ACL配置监控、SYSLOG、WLAN监控、配置变更监控、告警管理及报表,同时可提供基于指令扩展的高级巡检功能。
。
3设计原则
3.1安全生产的原则
网络管理系统具有高度的安全性、可靠性。
网管系统作为对整个生产网络的监控、管理中心,必须通过数据备份、权限设置等多种方式方法保证网管系统本身的安全性、可靠性,确保网管系统724小时不间断运行。
网络管理系统对整个网络的监控方式保证不对企业网络的稳定生产运行造成影响。
3.2高可用性的原则
网管系统应提供各种必要的跟踪问题和事件的方法和手段以及个性化和图形化的监控界面分析工具,以用户业务、网络、数据为中心,从不同角度提供监控管理网络的能力,满足企业的管理体制,满足不同层次的管理需求,
3.3可扩展性的原则
网络管理系统的建设是一个长期的工程,网络管理系统的建设,无论是从管理架构的设计和产品的选择,可扩展性都应该是一个基本准则。
系统应具有开放性和扩展性,易于扩充和客户化。
由于新应用、新需求层出不穷,没有任何一个网络管理系统能够做到包罗万象,一劳永逸,因此系统必须具有良好的开放性和扩展性,提供接口,便于增加网络管理者需要的应用和特点。
4架构设计
系统主要由采集分析服务器、数据库服务器和WEB门户服务器、采集机等物理构件组成,可采用分布式部署主要是为了提高用户访问和数据采集的并发能力,便于适应用户不同的网络环境采用多采集机的方式,穿透防火墙对不同的网络维护区域执行监控作业。
针对管理设备量和数据负载量不是很大的用户,也可以采用单机部署,减少硬件投入。
5系统特点
中兴ICM支持在Windows/Linux上部署,通过Web进行管理和使用的跨平台系统。
操作界面采用浏览器进行访问和呈现,结合多种富客户端技术,给使用者全新的操作体验。
Ø跨平台分布式部署
系统可实现分布式部署,跨平台使用。
依据用户不同的管理容量进行功能和探针的裁剪。
平台兼容MYSQL,ORACLE等主流的数据库系统。
客户端无需安装其它软件就能够进行管理和操作。
Ø大型网络快速数据采集能力
优化了SNMP,ICMP,TELNET/SSH等探针的能力,以适应用户需要进行大型网络维护和管理的用户的需求。
通过高效,快速的采集,数据处理和存储能力,提升网络监控效率、缩短故障发现时间间隔。
Ø可扩展的平台式架构
运行平台采用可扩展的架构设计,以符合当前不断进化的网络技术和应用管理需求。
采用脚本扩展,XML配置等技术,从后台的采集探针,到核心的数据处理,客户化的展现定制方式,以及第三方的WEBSERVICE数据访问接口,实现可扩展的结构。
Ø一体化的数据展现
系统采用可视化的图形,列表等页面展现方式,集成各模块的数据内容,通过几种的展现界面,采用颜色,数据等指标的整合,直观的展现网络运行的各项指标和内容,实现监控的一目了然。
6运行能力
6.1在线用户支持量
ICM采用WEBSERVER和采集AGENT分开部署的方式,分离用户响应和后台处理,以提升WEB服务端用户访问和在线支持能力,可支持50人以上的同时在线操作。
6.2海量指标采集
系统通过优化的探测采集模式,大幅提升了单个AGENT的指标采集和数据处理能力,可同时支持500台以上设备,10000个采集指标的处理能力。
通过AGENT的扩充实现不断的扩展。
对于SNMP,ICMP等探针进行了优化,通过异步执行的方式,实现快速的网络扫描和数据采集,大幅度提升数据采集效率。
7安全审计
7.1多层面的权限管理
ICM采用了多层面的用户权限管理机制,通过建立用户组,可灵活定制功能操作权限,权限设定可以细致到功能菜单级别。
7.2完善的操作记录
系统内置了用户操作记录机制,提升系统在安全审计方面的能力。
全面监控用户对模块的访问,数据和配置的调整。
完整记录用户的在线过程。
7.3系统级日志
系统按不同的级别建立了日志记录系统,结合业务功能需求,实现事件日志的发送,并记录系统的实时运行状况。
8功能介绍
8.1资源管理
1.系统支持通过SNMP协议自动发现管理网络内的智能设备(可网管设备),以及设备内部资源信息,包括网络设备的端口信息,以及逻辑资源IP与VLAN信息。
同样支持设备资源信息以固定模板的EXECL方式导入。
2.设备支持分组管理模式,分组方式包括区域分组(自动生成)、类型分组(自动生成)、用户分组(用户根据各自管理思路自定义的设备分组),不同用户可拥有个性化的用户组,便于运维人员快速提取设备信息。
8.2系统管理
8.2.1权限管理
系统权限控制采用业界通用的权限控制思路,用户的权限由用户所具备的角色定义,一个用户可同时具备多个角色,角色的权限包括针对系统功能操作权限和针对管理对象的两个角度的控制。
如:
“配置浏览角色”具有查看设备配置文件的权限,但同时可限制该角色仅能查看某部分设备的配置文件,不能对所有设备配置文件浏览。
8.2.2监控计划
1.监控计划提供给运维主管一目了然掌握网络信息监控状态的报告,清晰掌握哪些设备(链路)在什么时间段以什么样的频率进行监控,类似运维体系中的作业计划。
2.监控计划提供用户对不同设备不同监控数据灵活调整监控频率、时间点的功能,让系统对网络设备的采集避开网络流量高峰期,降低系统对网络的影响。
3.系统任务调度引擎依据监控计划中定义的监控规则驱动系统完成各设备各类信息的更新。
当用户发现设备某信息异常,可立即发起临时任务,任务调度引擎将立即驱动执行该设备某信息的更新。
8.3拓扑管理
系统支持区域拓扑、子网拓扑、分组拓扑几种拓扑模式,告警可向上级拓扑传递,可向下级拓扑钻取。
当设备、链路上存在告警,可在拓扑图上突出展现,点击告警设备、链路则显示详细告警信息,同时可通过拓扑图查看设备性能数据,查看链路流量以及连接信息。
并且提供TELENT、SNMP测试等小工具。
系统支持自定义多级拓扑,如全国-省-市-县或用户自己的管理架构。
下图是全国地图:
全国区域拓扑
在区域拓扑点击某省设备进入省级子网拓扑,支持以云图标识,如下图。
点击省图中的地市云图标,进入地市拓扑,显示每个地市内设备的运行情况,如某地市内设备有告警,则该地市以告警的最高级别提示,同时显示告警总数量。
地市拓扑
支持拓扑图定制,可根据管理需要对发现的设备节点、容器的图标、图标大小及拓扑背景图进行个性化定制。
可以通过搜索的方式定位拓扑图中的设备,在拓扑图中可以对查看具体设备的性能和告警。
支持拓扑图的导出。
8.4设备性能监控
监控设备自身性能指标,包括:
设备CPU、内存、温度、风扇、电源状态,以及每个端口的状态与流量变化情况。
系统支持对不同设备、不同指标,采用不同采集频率,更贴近运维需求。
性能指标定义
性能指标告警事件
性能指标实时数据
8.5设备端口监控
对设备端口深入检查与分析,包括端口状态、端口流量、光端口功率、端口CRC、丢包、SDH。
Ø端口I/O与流量监控
监控设备端口输入、输出的信息,包括长包、短包、流量、CRC误码,以及丢包、溢出包、欠缺包的数量,为维护人员做深入故障分析提供条件。
对于以上信息的变化系统采用“增加”、“减少”箭头清晰呈现。
端口I/O监控
端口流量监控
Ø光端口功率监控
随着技术发展,光传输越来越普遍被使用,而设备的光端口功率值的偏差直接影响信息传输的连续性、稳定性,而很多设备在使用一段时间后,容易出现端口光功率的偏差,因此光功率值的检查是运维过程非常重要一环。
系统基于IP网络,定时的对网络中的路由器和交换机POS口和Giga口进行数据采集,获得端口的光通信功率(RxPower/TxPower)。
支持用户根据不同的厂商、端口类型、传输模式、速率与波长分类设置不同的门限阀值。
系统提供:
最大值、偏大值、偏小值、最小值4个门限阀值的设置,并实现:
低于灵敏度、偏低关注、正常、偏高关注、过载5个告警级别。
系统根据用户自定义的告警阀值提供相应告警,帮助设备维护及时发现收发工率异常的光口,为光模块更换提供优先级参考。
系统内置主流设备厂商(hawei、h3c、阿尔卡特、思科、juniper、爱立信)的光端口功率阀值信息
系统支持区域与分组的导航方式查看设备光功率监控告警信息,并提供多种过滤条件的告警查询与EXCEL文件格式导出。
光端口功率监控
Ø端口SDH监控
监控SDH层信息,有利于定位故障产生来至传输还是数据。
SDH监控
8.6链路监控
通过模拟维护人员用PING指令测试链路的方式,能够测试任意一条链路从源端到目标端的端口的性能数据(延迟、丢包率、抖动)。
实现真正端到端链路性能测试,同时包括VPN链路测试。
结合对设备端口状态的快速检查,反映链路潜在故障。
系统支持对热备链路的监控。
不同业务等级应用不同的测试方案(不同的测试包采用不同PING包大小、PING次数),让测试更贴近业务的需求。
随时产生链路性能报告,并支持导出EXECEL。
链路性能趋势可实时查看,报告实现大致如下:
8.7路由信息监控
对网络设备的路由状态、路由变更做深入分析,发现运维中不易检查到故障。
1.路由协议检查
及时获取路由的状态信息,包括各种路由的邻居数、路由条目、路由UP时间(反映路由是否有端过,什么时候断的)。
并直观反映信息是否异常,与上次相比偏高还是低。
监控指标包括:
OSPF邻居数量
OSPF邻居UP时间
OSPF路由条数
ISIS邻居数量
ISIS邻居UP时间
ISIS路由条数
BGP路由条数
MPLSLDP邻居数目
2.路由对比
主要用在网络割接时,当执行网络割接时,维护人员都会将割接前后路由备下,然后将割接前后路由做详细对比,判断割接后,路由是否正常。
系统则将整个过程自动化,让维护人员能从路由对比中快速判定路由正确性。
8.8流量分析
Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息,帮助IT人员监控和调整网络流量。
NetFlow可以按业务单位(应用、协议及端口)查看某一时间段的数据流量、带宽利用率,以及各协议的数据流量以及带宽利用率。
NetFlow提供的主要分析内容:
Ø全网按照应用协议分类的TOPN流量分析
Ø全网设备总流量排行分析
Ø全网设备端口总流量排行分析:
Ø单台设备单个端口按会话流量分析:
Ø单台设备单个端口按来源IP地址的流量分析:
Ø单台设备按应用分类的TOPN流量分析:
Ø单台设备流量分析:
Ø单台设备单个端口流量分析:
8.9VLAN配置监控
VLAN是网络设备中分配的重要信息,VLAN的错误性变更及可能造成部分网络瘫痪,因此对VLAN信息的监控非常重要,系统从控制变更的角度,监控VLAN信息的历史、变更情况。
8.10ACL配置监控
ACL作为网络安全的重要部分,需要随时关注ACL的信息,避免非法地址进入网络,同时避免错误操作造成网络不可访问,带来业务瘫痪,与VLAN类似,系统从关注ACL配置非法变更角度,控制ACL的错误更改。
8.11SYSLOG管理
1.SYSLOG备份
通过SYSLOG协议自动接收、快速存储设备发送过来的LOG,并采用设备-月(天)-序号的格式存储LOG日志,保证高效存储大量的LOG日志。
2.SYSLOG分析
实时接收设备LOG日志,自动筛出关键LOG信息,让LOG日志从事后利用转为主动分析,除支持实时的自动分析,还提供时候筛查故障用的手动分析功能。
⏹自动分析:
根据定义的告警筛选规则,自动筛选LOG,直观呈现所有规则集检查结果,标志出告警内容。
⏹手动分析:
为事后分析而提供。
从某段历史的日志中快速找到需要内容,为故障判断提供途径。
8.12配置文件管理
网络设备能够安全稳定运行,设备的配置是其关键,而对设备配置的有效管理是网络日常运维管理中非常重要的一项工作,其中对设备关键配置文件的及时备份是重要的手段。
通过手动、周期和触发等多种方式的设备配置备份手段,能够及时、有效、无遗漏地将每一次配置变更后的配置文件进行备份,进行统一集中管理,以便运维人员随时查询和下载,及时发现由于配置变更引起的网络故障,方便运维人员将配置恢复到故障发现之前的状态。
设备每一次备份完成后将自动完成启动配置与运行配置的对比、当前配置与历史配置的比对以及当时配置与配置模板的对比,方便运维人员能够全面了解全国所有网络设备的配置变更情况,及时发现错误、非法的配置变更,以及变更后未及时保存配置文件,防火设备重启后引起网络故障。
每一台已纳管的网络设备默认将第一次成功备份的配置文件设为配置模板,运维人员可手动指定其它备份时间的备份文件为配置模板,也可导入配置文件作为配置模板使用。
通过标准配置模板的设定和配置文件的对比,可有效跟踪配置的变更。
通过对配置文件的集中管理,将网络中不同厂商、不同型号、不同版本的所有设备的相关配置文件保存到系统中,改变过去由工程师和运维人员分散保存,不易维护、查询和管理等问题,避免错误的网络配置导致的网络运行故障,以及在出现故障时减少处理故障的时间。
通过多维度的配置对比,可有效跟踪配置文件的每一次变更,以颜色标注出设备每一次变更配置,快速排除由配置引起的网络故障;及时检查主备设备配置一致性和即时提醒运维人员保存配置文件,避免在设备出现切换和重启时,发生配置不一致而引起的网络故障,也可大大提高因替换故障设备而恢复业务运行的时间。
有效的对配置文件进行集中管理,将所有网络设备的配置文件进行分类整理,建立有效的配置文件管理机制,各地的维护人员通过统一的管理平台,方便快捷地查询、下载、对比、搜索和使用配置文件,降低各地运维人员的技术要求和工作量,减少对运维人员的过度依赖,有效节约维护成本。
8.13WLAN监控
对WLAN的监控包括AC、AP(仅针对瘦AP)的相关指标监视,AC可视作交换设备进行管理,AP所有指标均从AC提取。
针对AC自身的监视管理在“网络监视与巡检子系统”中体现,AP的监视管理包括AP资源管理、AP性能指标监视。
8.13.1AP资源纳管
AP资源通过从AC上自动采集的方式导入系统,同时支持手工批量导入(要求MAC地址必须与现网MAC匹配)。
系统用SNMP协议采集无线控制器(AC)下所管理的AP资源信息,采集的资源包括:
●AP名称
●设备厂家
●IP地址
●MAC地址
●网关
8.13.2AP指标监控
利用SNMP协议到所属无线控制器(AC)上采集AP数据指标,指标包括:
●在线用户数
●设备运行时间
●连接到AC时间
8.14基于指令的扩展监控
运维人员可扩展特定的新监控指标,并扩展到新的设备。
基于智能的指标扩展过程采用图形化界面引导,避免直接编写脚本的困惑。
整个实现过程完全模拟维护人员从登陆设备、到输入检查指令、到获取回显、定位与分析数据、最后发出告警,因此维护人员只要能通过指令获取的信息均可以通过扩展监控实现,系统采用XML脚本方式,将实现逻辑与软件分离,提高了可扩展性。
基于指令的指标扩展规则定义图
基于指令的监控扩展报告图
8.15告警管理
集中管理设备所有告警信息,包括告警查询、告警过滤、告警通知等。
8.15.1告警列表
以列表模式集中展示来至设备各模块发出的告警信息,满足维护人员集中、快速获取所有告警的需求。
点击单条告警可看到所有详细的监控结果及告警内容,以及告警关闭确认操作。
所有已确认告警将自动转入历史告警信息进行存档。
系统支持告警的关联,出现告警则关联资源信息,以及该设备、该指标的历史指标,便于更快速分析设备的故障。
8.15.2告警通知
系统支持将告警通过各类接口发送,包括邮件、短信(需短信网关或设备支持),或其它用户个性化通知接口。
为避免大量垃圾事件的发送,系统提供多方面的事件发送规则,可根据告警类别、告警级别、告警设备决定是否发送事件,事件发送的方式(短信、邮件),以及需要接收到用户信息。
发送历史可查询。
8.16报表
Ø常规报表
从多角度分析运维数据,反映网路运行质量,维护人员每次提取报表时,定义时间、对象范围,产生相应报表,报表可导出为EXCEL。
常规报表包括:
●故障类报表:
包括故障处理报表(反映故障处理效率)、故障分类统计报表(按故障等级、故障部件归类统计)、设备告警统计(针对部分设备详细统计其故障信息)
故障处理报告
●TOPn报表:
以对比的方式放映运维质量,包括:
告警TOPN报表、网络性能TOPN(CPU、MEM、温度等设备性能指标)、链路TOPN、流量TOPN
链路性能TOPn表
●峰值报表:
观察指标峰值,包括端口流量峰值、网络性能峰值
CPU峰值表
●性能报表:
详细反映各指标的趋势,包括:
端口性能报表、链路性能报表、网络性能报表
端口流量均值峰值表
端口流量详细趋势表
Ø自定义报表
将用户常用报表固化,并支持以邮件模式定期、自动、打包发送到用户,让报表更贴近用户个性化需要(用户可定义自有的报表),报表信息获取更高效。
自定义报表模板通过两种手段提供,一种通过常规报表中的“保存”生成和常规报表一致模板的自定义报表,以后只需要输入数据时间段就可生成想要的报表;另一种通过报表定制功能实现,可选择报表是否打包,按照什么时候周期自动发送。
自定义报表生成示意图
升级会员 