网络管理结构及党政网中网管解决方案.doc
- 文档编号:1800047
- 上传时间:2023-05-01
- 格式:DOC
- 页数:17
- 大小:1.32MB
网络管理结构及党政网中网管解决方案.doc
《网络管理结构及党政网中网管解决方案.doc》由会员分享,可在线阅读,更多相关《网络管理结构及党政网中网管解决方案.doc(17页珍藏版)》请在冰点文库上搜索。
网络管理系统架构
一、网络管理系统的重要性
回顾网络建设的历史,存在着这样几个阶段:
一开始是出现各种独立的设备,每种设备有自己特殊的用途;之后就是要渐渐把这些独立的集成起来,组成一个网络,完成一系列的业务;然后发现光集成起来还不行,这个网络还得是可管理的,因为随着网络规模的扩大,网络的维护管理日益成为一个十分突出的问题。
一个跨地域的中/大型网络如果忽视网管系统的建设投入,运行管理时会经常面临如下的困难:
(1)需要大量的专业人员来对网络进行维护和管理。
这类人才往往是希缺人才,培训的周期长、投资大,以至于企业常常难以承受;
(2)安全问题。
由于网络规模大、分布广,网络的安全管理成为企业最关心的问题之一。
这里的安全包含几个方面:
要避免由于维护人员的操作失误而引起网络运行故障;要防止人为破坏网络运行的任何行为;要避免由于网络设备的不当配置而影响网络的正常运行。
这些问题的解决常常超出维护人员的能力极限;
(3)管理维护成本的不断上升。
人力成本成为网络维护的沉重负担,随着网络业务的渐入正轨,会需要越来越多的高素质的网络维护人才。
二、网络管理系统概述
2.1网络管理系统的功能
为了对实现跨厂商、跨平台的网络设备的统一管理,国际标准化组织(ISO)制定了OSI网络管理模型,在该模型中,基本的网络管理功能被划分成五个功能。
故障管理--检测、隔离、更正网络问题并从这些问题中恢复。
性能管理--分析和控制整个网络的数据吞吐,为终端用户提供连续的可靠的服务。
配置管理--从网络中获取信息并根据这些信息对设备进行配置,通过它,可以实现对网络设备的配置的集中管理。
计费管理--测度网络上资源的利用情况,设置计量单位、确定开销、向用户收费。
安全管理--控制对网络资源和敏感信息的访问。
这种控制包括对网络设备的访问限制,对给定设备上某种应用的访问控制以及对网络协议的访问控制。
通常,一个具体的网络管理系统并不一定都包含网络管理的五大功能,不同的系统可能会选取其中几个功能加以实现,但几乎每个网管系统都会包括故障管理、配置管理和性能管理这三个功能。
2.2网络管理模型
从网络管理系统的组成来说,现代计算机网络的网络管理系统基本上由4个部分组成:
多个被管对象代理(Agents),至少一个网络管理器(NetworkManager)或称网管工作站,一种通用的网络管理协议(NetworkManagementProtocol),以及一个或多个管理信息库(MIB,ManagementInformationBase)。
用户主机和网络互连设备等所有被管理的网络设备称为被管对象(ManagedObject),驻留在这些被管对象上,配合网络管理的处理实体被称为被管对象代理。
实施管理的处理实体被称为管理器(Manager),管理器驻留在网管工作站上。
管理器和代理通过交换管理信息进行工作。
这种信息交换通过一种网络管理协议来实现。
管理信息分别存储在被管对象和管理工作站上的管理信息库中。
网络管理协议与管理信息库中的管理信息描述了所有被管对象及其属性值,使得网络管理的全部工作就是读取(get,对于监视)或设置(set,对应于控制)这些对象信息及其属性值变量。
简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。
三、网管管理系统的架构
设计网管系统的架构,是一项复杂的工作,考虑的因素有很多,例如以下几个方面都是必须考虑的:
1.对多种类型设备的集中管理
现代网络中设备类型种类多,例如有路由器、以太网交换机、ATM设备、宽带接入设备、窄带接入服务器等。
传统的管理方式往往是针对每种设备开发专门的网管软件,“铁路警察,各管一段”,各系统没有很好地组织在一起。
随着网络的逐渐融合,一个实际业务的发放往往要穿越多种类型设备,这样原有的分离的专业管理软件无法提供快速端到端业务发放的能力,线路排障等等都存在问题。
2、大规模网络管理能力
现代网络规模,尤其是IP网络的规模是很大的。
网络可以分为骨干层、汇聚层、接入层,通常一个大中型网络中会包含大量的各类设备。
设备多带来的问题至少有两个:
一个是如何解决单台网管站处理能力的问题,设想有10000台设备,仅仅是网管的轮询监视功能就将给网管工作站带来沉重的负担,而且还将造成大量的网管数据流。
另一方面是网络管理信息的收敛问题,一个人不可能去关注全城域网的上万台设备的告警,网管系统内部如何保证这些设备信息很好地收敛和组合,很好地进行操作对象的定位,这对我们的网管系统的框架和结构提出了新的要求。
3、成本跨度
对于一个理性的网络建设单位,建网的成本一直是必须考虑的关键问题之一,这其中当然也包括网管系统的建设投入。
一般来说,网管系统的建设应具有一定的超前性,但实际情况是网管系统的投资预算一般比较有限,特别是在建网的初期,设备不是很多时,希望有低成本的网管解决方案,例如使用基于微机的管理系统,而现有的很多网管系统往往需要运行在高配置的工作站上,还需要专业数据库支持等等,这就造成了矛盾。
另外,当以后网络扩容时,需要更换高档次的设备,原来购买的硬件设备是否能够利用上,保护以前的投资,也是值得重视的问题。
4、多厂商设备的管理
一个大中型的网络,通常都包含多各厂商的设备。
目前各厂商网管都不具备管理其他厂家的能力,这样运营商就不可避免地需要选择多家网管软件。
这就带来了和问题1类似的局面,网络是统一的,仅仅因为厂家的不同就需要选择多套网管。
所以,往往会引入第三方网管系统来进行统一的管理。
在设计体系架构时,需要考虑这个需求。
下面我们来看一看华为公司固定网网管系统架构:
华为公司固定网网管系统分为综合网络管理产品iManagerN2000和综合业务管理产品iManagerN2100。
iManagerN2000定位在区域内的网元级管理,完成华为公司多种类型设备的集中网管。
iManagerN2100定位是大规模网络的监控和业务网管。
N2000和N2100之间以及N2100与上层的OSS系统之间都留有接口,方便系统的扩充。
iManagerN2000从整体设计上采用软件平台+产品部件的方式。
其EMF软件平台,采用了成熟的Client/Server体系结构,支持从微机到工作站多种操作系统,客户端和服务器之间采用ASN。
1的格式传送信息。
EMF平台提供了一个大的框架,包括公共的消息通讯框架,通用的公共后台,如拓扑、告警、性能、安全等,并屏蔽了异种数据库操作等等编程细节。
为了适应网络的复杂性,特别是新类型设备的增加,EMF提供了新部件注册机制,对于新增加的设备种类,可以自行开发相应的部件,部件通过注册达到与EMF合为一体的目的。
由于平台设计是开放的,并采用部件化结构,达到了“拆开能管,合起来也能管,能拆能合”的效果,满足不同客户的不同需求。
由于拥有一个平台,iManagerN2000网管系统构建了简洁一致的管理方式,提供统一告警、统一拓扑、统一面板风格和维护操作界面。
并且充分考虑了用户的操作习惯,将各种宽带管理应用集成和简化到系统中,并赋予一致的风格和视觉效果,使得管理者可以轻松地对整个网络实施监视、维护和操作。
在产品部件方面,目前华为公司在固网领域已经开发了三个部件,即BMS、DMS和UMS,BMS主要管理综合接入与宽带领域的设备,UMS主要管理NGN领域的设备,DMS主要管理数据通信领域的相关设备。
这些部件统一在EMF平台上面开发,可以相互集成和进行数据共享。
至此,这个体系架构已经很好地解决了前面提到的对多种类型设备的集中管理的问题。
在处理大规模网络的情况下,华为网管体系采用分级分层架构,如下图:
其核心思想是通过建立分级管理体系,而不是一味地扩充单点网管站的能力,达到管理大规模网络的目的。
例如在一个省里,可能有若干地市,这样在省级别网管中心安装一套N2100系统(上级网管),在每个地市安装一套N2000系统(下级网管)。
每套下级网管中心只管理自己区域范围内的设备,其管理区域由上级网管指定,同时向上级网管中心上报本地拓扑信息、重要设备告警信息以及收敛后的设备性能信息等。
上级网管中心负责整体网络的监视,包括全网拓扑、告警、性能数据等,给每个下级网管分配管理域,但不参与下级网管所辖范围内的设备的管理。
这样设计的好处是:
满足不同的管理需求,上层的人关心整体的网络趋势,下层的人关心本区域内的设备控制;通过分权机制,保障了网络的安全,每个下级网管中心不能互管;实现就近管理,在离设备最近的地方设立网管站,避免了大量网管信息的“长途跋涉”,同时由于下级网管中心可以把自己收集到的数据经过收敛后上传而不是直接透传,使得上级网管中心可以只关心网络中的重要事件。
上下级网管的接口在设计上采用标准的协议,如SNMP,这样即使上级网管由第三方网管代替也很容易。
由于iManagerN2000和N2100的采用是Client/Server结构,能够集中管理多种类型的设备,而且设计上能够跨平台运行,以及分级网管机制提供的可伸缩的管理能力,就很好地解决了运营商在选购网管系统时的成本跨度问题。
例如在在建网的初期,设备不是很多时,购买微机或低档工作站就可以进行管理。
当网络扩容要提高服务器等级时,由于系统的Client/Server结构,使得原来购买的微机或低档工作站仍然可以当作客户端使用。
这是保护硬件投资。
更主要的是,不论是设备种类增加或设备数量增加,使用iManagerN2000和N2100仍可继续管理,而不用引进其他的系统,这样原有的培训、使用经验等“软性投资”也得到了保护。
谈到多厂家设备共管的问题,需要从分析现有的IP网管软件入手。
现有的IP网管软件大概可分为四类,包括:
设备制造商网管:
厂商自身开发的主要面向厂商内部设备管理支持的网络与业务管理系统,比如华为网管和CISCO网管。
各种通用的IP网络管理系统和平台:
这些系统可以完成基于各种标准IP特性的IP网络管理功能支持,比如自动拓扑发现,二层、三层IP网络拓扑管理,基本的IP性能、故障管理等。
这些系统的集成功能都很强,很多时候都可以作为一个系统集成平台来直接使用。
目前主流的通用IP网络管理系统有:
OpenViewNNM、NetView、CA等。
各种专业的独立IP网络与业务管理软件:
这些软件主要由独立软件开发商提供,系统功能专一并且功能很强,主要提供面向多厂商设备的专业管理功能支持。
管理领域覆盖了IP网络的各个方面,主要的领域包括:
性能管理、SLA管理、故障管理、各种业务管理、资源管理等。
例如:
TCSI、Micromuse、Concord、Orchestream等。
运营商自己开发的综合网管系统:
可以完成运营商所需要的各种IP网络管理特性支持,重点在于多厂商设备的综合管理支持。
以上四种类型的网管由于自身的定位不同,单独使用都可以解决一定范围内的问题,但不能解决所有的问题。
因此,运营商可能需要综合部署以上的多种类型的IP网络管理系统,然后进行集成。
这是目前业界的现状,也是一种实际情况,因此对于大规模IP网络的管理还是很复杂的。
整个体系如下所示:
从理论上,我们提出运行商在多厂家设备组网的情况下可以采取以下的建设思路:
第一步,利用OpenView等通用网管平台完成基本的跨厂商全网IP设备管理,利用厂商网管完成厂商内部的网络与业务管理。
这种情况可以满足一般性的管理要求。
第二步,在上述情况不能满足需求的情况下,根据情况引进专业网管软件,加强在性能、故障、业务发放等方面的支持
第三步,如果还不能满足需求,则可以由运行商根据自身需求组织开发相应的软件。
从以上分析可以看出,在这个问题上,厂商网管最好的解决方式是从架构上支持开放接口和与流行网管软件集成。
iManagerN2000和N2100都提供开放的接口,并且iManagerN2000可以和OpenView等进行界面集成。
四、网管系统中几个热点问题
4.1网管中的安全问题
一般人们把目光更多地关注在网络设备的安全上,其实网管系统的安全问题也同样很重要。
网管系统的安全可以分为两个层面,一个是网管系统自身的安全,另一个是网管系统对网络造成的影响。
首先谈谈网管系统自身的安全。
在组网设计时,最好将网管网和业务网通过物理网络、VLAN、独立的VPN等隔离,尽量不要将网管站暴露在公网上,减少受攻击的机会。
此外,还可以采用在网管站与外界之间增加防火墙,进行访问控制和过滤。
对网管站本身,关闭不使用的服务和端口,增加操作系统的安全级别,增加UPS等,减少系统Down机的可能。
在以上安全措施都失效的情况下,最实用的措施就是做好整个系统的备份,提高系统的容错和自动恢复的机制。
在备份方面,华为公司固定网网管系统考虑周全,提供从冷备份、温备份和热备份等各层次的备份手段,使得网管数据不丢失、业务不间断,在地域上可以进行本地备份和异地备份。
下面描述一下网管系统对网络的安全:
首先是网管系统必须提供用户权限控制能力,保证合适的人有合适的权力管理网络。
网络管理中有不同的角色,有规划人员、配置人员、监控人员等,另外每个人应该只能管一定范围内的设备。
华为公司固定网网管系统提供网管用户对可操作对象、可操作应用的细粒度控制。
不同权限的用户只能控制相应范围内的操作对象,可操作对象的种类为子网、设备、单板、端口。
操作应用支持粒度细化到所有应用和菜单。
其次是登录安全以及监控登录后用户的破坏性操作。
华为公司固定网网管系统在这方面考虑周全,除了一般的用户口令比较外,对登录的客户端IP地址可以进行限制,甚至可以做到限制某个用户只能在某个客户端登录。
客户端和服务器之间的用户登录口令等敏感信息的加密传送。
操作过程均有日志记录,系统管理员可以对登录人员的操作进行实时监控。
最后一点也是非常重要的一点,就是网管管理设备的通道必须是安全的。
众所周知,SNMPv1存在着安全隐患,现在华为公司固定网网管系统和设备之间已经采用SNMPv3进行通讯,提高了IP网管的安全性。
由于SNMPv3兼容SNMPv1和SNMPv2,所以华为公司固定网网管系统有很好的兼容管理能力。
4.2性能管理
在许多情况下,网络的性能是用户最为关心的问题之一,性能管理涉及到网络通信信息(流量、谁在使用、访问什么资源)的收集、加工和处理等一系列活动。
其目的是在使用最少的网络资源和达到最小延迟的前提下,保证网络提供可靠,连续的通信能力。
性能管理的具体内容包括从被管对象中收集与网络性能有关的数据,分析和统计历史数据,建立性能分析的模型,评价被管对象行为和通信活动有效性,预测网络性能的发展趋势,并根据分析和预测的结果,优化和调整网络拓扑结构、各种设备的配置和参数,以达到提高网络性能的目的。
如果需要做出重大调整时,还应考虑扩充或重建网络。
性能管理涉及到的内容是比较多的,iManagerN2000提出了层次化性能监控的概念,针对不同的侧重点,提供不同的性能监控工具。
性能管理可以分为三个层次:
第一层,对网络中单点设备的端口流量和CPU利用率等进行统计,判断设备本身的繁忙程度;第二层,监视网络中两点间响应时间、延迟、抖动,确认网络中的哪些设备导致了网络通信流的最大延迟,确定通信流瓶颈所在地;第三层,通过网流收集器和网流数据分析器,对网络业务流量分布、流向进行详尽地分析,为网络规划决策者提供依据。
4.3故障管理
故障管理也是网管人员最常用的功能,在网络发生故障时,能否迅速定位故障点和原因,并采用相应的排障措施,确保网络正常运行,是运维中最重要的问题之一。
一般来说,故障管理要求系统能够实时检测到设备告警,通过声光手段提醒管理员,并且能把这些告警记录保存下来,并提供良好的分类检索手段供迅速查找历史告警。
此外,告警有不同等级,系统还应提供过滤机制,允许管理员只关心某些重要告警。
这些都是最基本的功能。
iManagerN2000在这些基础之上,还提供了几个特色功能:
第一是能够进行故障相关性分析。
因为在实践中,运维人员往往被大量的告警搞的无所是从。
一个重要原因是很多告警是相关的,例如拔掉一根光纤可能引起上百条告警,但真正的原因就是一条:
光纤被拔掉了。
故障相关性分析就是要在这上百条告警中分析出真正的原因并告诉网管人员。
第二是告警丢失问题。
在SNMP协议里,设备发生告警是通过发Trap通知网管站的,由于Trap是基于UDP协议的,因此是可能丢失的。
一个重要告警的丢失,或者一个恢复告警的丢失,都会带来严重的问题,在电信级的管理中必须避免出现。
iManagerN2000通过在Trap报文中增加相应的处理解决了这个问题。
第三是排障经验积累。
iManagerN2000建立了告警知识库,把维护人员排除故障的经验和处理过程不断地保存添加到知识库,便于经验积累与共享。
第四是告警的二次转发。
iManagerN2000系统接收到告警后,可以转发到其他网管系统,或者是管理员的手机短信、BP机、E-Mail等。
4.4基于WEB的网管(WBM)
WBM(Web-BasedManagement)技术允许管理人员通过与WWW同样的能力去监测他们的网络。
WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络,将使网管人员管理网络的方式得以改善。
WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。
管理人员应用WBM能够通过任何Web浏览器、在任何站点均可以监测和控制网络,所以他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。
浏览器操作和Web页面对WWW用户来讲是非常熟悉的,所以WBM的结果必然是既降低人员培训的费用又促进了更多的用户去利用网络运行状态信息。
WBM有两种基本的实现方法,它们之间平行地发展而且互不干涉。
第一种是代理方案,也就是将一个Web服务器加到一个内部工作站(代理)上,这个工作站与设备通信,浏览器用户通过HTTP协议与代理通信,同时代理通过SNMP协议与设备通信。
第二种实现WBM方式——嵌入方式,将Web能力真正地嵌入到网络设备中,每个设备有它自己的Web地址,管理人员可轻松地通过浏览器访问到该设备并且管理。
代理方式保留了现存的基于工作站的网管系统及设备的全部优点,同时还增加了访问灵活的优点。
既然代理与所有网络设备通信,那么它当然能提供一个公司的所有物理设备的全体映像,就像一个虚拟的网那样。
代理与设备之间的通信沿用SNMP,所以这种方案的实施只需要那些“传统”的设备即可。
嵌入方式给各独立设备带来了图形化的管理。
这一点保障了非常简单易用的接口,优于现在的命令行或基于菜单的远程登录界面。
Web接口可提供更简单的操作而不损失功能。
未来的网络中,基于代理和基于嵌入的两种网管方案都将被应用。
一个大型的机构可能需要继续通过所谓的代理方式来进行全部网络的网络监测与管理,而且代理方案也能够充分管理大型机构中的纯粹SNMP设备。
嵌入方式对于小规模的环境也许更为理想,小型网络系统简单并且不需要强有力的管理系统以及公司全面视图。
通常组织在网络和设备控制的培训方面比较不足,那么嵌入到每个设备的Web服务器将使用户从复杂的网管中解放出来。
另外,基于Web的设备提供真正的即插即用安装,这将减少安装时间、故障排除时间。
华为公司有自己的WEB管理系统。
网管系统既支持代理方式也支持嵌入方式,以代理方式为主、嵌入方式为辅。
4.5VPN业务管理
MPLSVPN是近年兴起的新型VPN实现技术,由于其在安全性、扩展性、QoS保障等方面的都有很好的表现,MPLSVPN已经成为近来建设的热点。
不同于以往IP业务的是,MPLSVPN涉及到技术多且复杂,增加了管理的难度。
针对这一情况,华为公司推出了基于华为统一网管平台之上的MPLSVPN业务管理的解决方案VPNManager。
VPNManager的主要功能定位在TMF建议的网管模型中的业务管理层和网络管理层,并涉及客户管理层的QoS管理的部分功能。
下图是VPNManager在TMF建议的TOM图中的位置:
VPNManager主要完成的功能是:
l承接业务订单,生成业务请求并进行网络部署
l维护网络数据,监视网络性能,故障
l网络性能、故障的业务相关性分析,为业务保障提供原始数据
下图描述了VPNManager在运营系统中的位置,
华为VPNManager是针对MPLSVPN的业务管理系统,不仅仅是一个网络部署软件,拥有以下特点:
l全网资源管理
提供资源管理器形式的全网资源管理,可以对全网资源的使用状况的进行快速浏览
l客户管理
提供VPN业务、网络资源和客户信息的关联管理,快速了解客户对网络的租用状况;提供客户基本信息和客户业务运行情况的报表。
更好的把握客户信息,保障业务质量
l业务发现
发现并还原先期在网络上运行的VPN业务,降低了网管本身带来的运营成本
l业务规划
向导方式的“业务请求”表达对VPN的预期配置,便利的实现Hub-Spoker、Full-Mesh以及Intranet、ExtranetVPN。
l快速业务部署
端到端的业务部署能力,提高客户和业务的响应速度
l故障业务相关性管理
故障管理和拓扑管理进行集成,在拓扑上表现网络和业务故障;
故障的相关性分析,能够提示设备影响到的客户和业务;
提供集中的故障管理系统,也可以进行单独的故障管理
lLSP显示
核心网的LSP通道显示功能,更加全面的了解VPN业务的运行状况
五、党政网中华为网管解决方案
iManagerN2000作为固定网络综合网管解决方案,能够对华为技术公司固定领域的产品,从核心交换到边缘接入,传送,智能,数据通信等网络设备和业务实施统一管理。
针对复杂网络对网络管理的不同需求,提供分级,分权管理能力,灵活满足用户运营维护体系的要求,保护用户投资,实现向宽带网络的平滑演进,满足宽带网络建设需求,保证用户网络的可管理、安全可靠。
对于党政网络的网管,我们建议在全省采用分级分权的带内网管体系。
所谓带内网管,就是所有网管通讯流量使用被管理网络的业务通道来承载,这样做的好处是不必为网管再另外构建一个单独的网管网络,可以节省网络建设投资。
由于带内网管通讯的可靠性依赖于所使用的业务通道,因此需要保证网管所联接的这些通道具有高可靠性和高连通性。
5.1网管系统的组网方案
省内网管系统的组网如下图所示。
如上图所示,省网管中心在省中心,网管系统直接接入省中心的核心交换机(也可以经过一个接入交换机后再进入核心交换机),与整个党政网连通。
一般情况下地市又有地市网管中心,地市网管中心一般位于地市城域网的网络中心,网管系统直接或间接接入中心的核心交换机,进而与整个网络连通。
各地市网管系统的管理区域为本地市的党政网络,构成全省网管系统的下级网管站;省中心的网管系统作为整个网管系统的上级网管站,并且直接管理地市网管中心没有覆盖的网络区域。
多个N2000系统(每个省、地市网管中心一套)在网络的不同区域上,分别对本区域的设备进行统一操作维护和管理。
同时,各地市网管中心的系统还接受上级网管中心的管理和权限分配,根据上级网管中心的配置需求,将本区域的告警、性能和拓扑数据上报,并具有对自己辖区内的告警进行过滤和收敛的功能。
在管理层次上,上级网管中心主要进行网络管理,但更关心整网的告警和性能数据收集和整理,同时提供全网的拓扑浏览功能。
对于不同的网管站(上级或下级网管站),具有不同的功能,下面分别予以描述。
上级网管站(省网管中心)功能
l完成对直接管理域的网络管理功能。
l对下级网管站进行授权,确定下级网管站的管理域,实现分权管理。
l通过下级网管站实现对该下级网管站管理域的管理。
l通过相应的设置接受下级网管站上报的设备及网管站
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 管理 结构 党政 网管 解决方案