网络运维 设备管控
如何实现网络安全监控运维?
智慧校园运维监控解决方案
当前高校网络已成为每个学校必备的信息基础设施,也成了学校提高教学、科研及管理水平的重要途径和手段。随着信息化发展,高校网络建设逐步走向数字化、智慧化,传统的人力巡检、运维逐渐难以支撑高校校园稳定运行。因此,如何在有限的投入下建立高效的校园网络运维系统,实现对网络设备、服务器、交换机、存储、虚拟化、业务系统等软硬件的运维管理,助力学校实现信息化建设,为校园网整体稳定运行保驾护航。
第1章 大学高校校园网运维背景
“十一五”“十二五”期间,大部分高校的基础设施得到了根本的改变。校园网通过部署四台高性能的核心设备,形成由交换层、区域汇聚交换层、终端用户接入层组成的“大”二层网络拓扑结构,设备之间通过光纤链路互联,组成一个“环形”主干网络,保障数据交换时的链路带宽。核心校园网具备万兆或千兆到汇聚,千兆或百兆到终端用户桌面的传输速率,办公、教学、学生宿舍等区域已通过有线、无线方式实现校园网接入,能够满足教学、科研、管理、学习对校园局域网的基本要求,为更终实现“智慧校园”打下了坚实的基础。
国务院关于印发国家教育事业发展“十三五”规划的通知中明确指出:支持各级各类学校建设智慧校园,综合利用互联网、大数据、人工智能和虚拟现实技术探索未来教育教学新模式。在“十四五”规划文件中,对智慧校园、智慧教室等信息化项目都有较清晰的目标与规划,各地学校已启动“十四五”信息化建设,积更奔向教育信息化2.0时代。
第2章 大学高校校园网运维需求及痛点分析
目前,大多数高校校园网覆盖全校所有办公区楼、公共场所和学生宿舍。高校网络接入主要分有线和无线两种形式,方便师生随时随地接入校园网。一般情况下,有线网在办公区按每房间部署一个网络信息点,在学生宿舍区按每学生床位部署一个网络信息点。因此,在智慧校园的建设过程中,面临数量巨大的设备、复杂的网络环境以及庞大的用户数量等基本特点。
2.1.统一管理难
高校校园网中存在数量巨大的网络设备、无线AP、视频、终端、双屏教学机、交互一体机、互联黑板、上课签到机、门禁等设备,其类型、型号、厂家各不相同,需要多个平台系统分别管理,费时费力。且校园占地面积大、园区多、设备分散,难以及时发现及定位设备故障问题,系统间很难联动处理故障问题,同时运维人员相对较少,管理难度大。
2.2.网络结构展示不直观
高校普遍有主校区还有分校区,网络跨校区部署,高校网络结构、链路关系无法可视化展现,设备节点位置不明确,故障难以实时定位。同时,不同校区的高校网络由不同运维人员负责,出现网络故障后无法明确故障发生在哪一个管理区域内,由于没有明确的责权分配及规范的层次管理,导致学校运维部门效率较低、运维流程不固定、责权划分不清。
2.3.网络安全管控是难题
高校网络环境复杂,网络层级建设层级多,网络安全管控存在两方面难题,一方面是没有全局设备的管理机制,如何进行安全管控,建立设备准入机制;另一方面是如何加强安防建设,如摄像头设备遍布整个校园,如何避免视频摄像设备故障等问题造成校园安防的缺失。
2.4.IP资源使用管理难
目前高校针对高校网络没有严格的管理政策,IP 地址使用与管理相对比较混乱,运维人员对IP的管理多处于通过EXCEL的模式进行,难以知晓IP资源使用详情,记录常出现与实际使用情况不一致的问题,导致无法准确掌握IP资源分配情况,对IP子网难进行有效规划。
2.5.故障预警难及时
高校网络设施庞杂、应用系统繁多,若没有智能的预警告警系统,将疲于应对各种修复需求。在日常管理与维护的过程中,部分设备可能因多种原因反复出现同一故障,但由于负责区域或职责变化,造成运维人员需要更多的时间精力去排查、判断、解决重复问题,耗时耗力。
2.6.运维数据展示不直观
在高校网络运维过程中,缺乏统一的数据分析标准,导致数据统计不规范,难以为决策提供准确支持。且不同园区间数据分散,分析维度限于单个模块内部,难以实现跨功能数据交互分析。
2.7.资产浪费大、维护难
在高校网络运维工作中,对IT资产的管理往往通过EXCEL表格进行,资产采购部门、使用部门、维护部门缺乏相互沟通,造成信息差异,由于人员流动、工作交接等情况造成资产使用人不明确,资产难以得到专人管理和维护,更难明确责任。
第3章 智和信通运维一体化解决方案
高校网络运维主要功能需求体现在网络可视化、故障管理、性能管理、业务管理、配置管理、自动化运维、安全管理、资产管理、工单管理、数据分析等。通过智和信通一站式平台,从而在整体上提高网络中各资产间的运行协调性、安全性和共享性,发挥智慧高校网络建设的更大效益,适应未来更加复杂多变的网络环境。
智和信通高校网络运维平台功能模型
3.1.全方位IT架构可视化
对于高校网络运维而言,网络跨校区、设备大维护量是网络运维的难点,如何通过可视化的能力,将复杂的网络直观地展示出来,是其关注的重点。北京智和信通网络结构可视化能力,通过图形化、具象化的拓扑形式展现设备间的联动关系与实时状态信息,降低运维部门的维护难度,拖动式的布局形式使配置更加灵活,帮助运维人员实时了解网络架构及全网运行状态,快速感知资源、链路、流量等异常信息。
在拓扑图上展现设备状态,通过树形、平面结构联动展示设备间链接关系,或按片区、按地域、按层级等多种布局方式划分网络,使用不同颜色、粗细、图标表示被管理对象的状态信息,颜色级别自定义。
高校校园网拓扑示意图
3.2.无线AC、AP设备智能管理
方案实现对有线、无线设备统一纳管,可对无线AC、AP设备进行监控,查看其连接终端的信息,查看无线AC、AP设备的状态、接入人员数、认证状态等。支持平台内跨厂商管理,将不同品牌、型号的胖AP、瘦AP进行统一展现和监管,可自动发现AC设备及其下联的AP连接设备。通过多维度的管理视角,直观地查看每个区域所属的AP分布情况及其当前状态,对其核心的可用性、健康度、响应时间、当前连接数、流量等信息实时监控。
AP下挂设备示意图
持将AP作为单独设备进行管理,享受和常规网络设备一样的拓扑,告警分析、资源展示、性能、事件等功能。可自动搜索发现AP设备的下挂设备并生成拓扑图,获取下挂设备的IP、MAC、端口等信息。
3.3.视频设备集中监控
方案可对不同品牌、不同型号的摄像头进行统一运维,融合网络高清、智能分析、多级管控为一体。并通过网络拓扑一键自动发现生成能力,直接生成视频系统可视化拓扑,通过定时轮询和事件上报进行可用性和健康度检查。
轻松对接多品牌、型号摄像头,通过智能化识别技术,实现对视频画面自动侦测、自动提取,主动监控发现和分析出摄像机设备常见的故障,如设备不连通、画面偏色、信号缺失、清晰度异常、亮度异常等问题和原因,并及时在拓扑图中显示出当前视频监控的可用情况。
视频监控效果示意图
3.4.基础IT资源自动巡检
通过自定义巡检策略,对IT设备的运行情况进行统计和报表生成,并可自定义预设时间向指定邮箱发送巡检结果报表,实现对设备的定期检查,把握网络运行中的易出现问题的环节,做到预防为先。
3.5.设备模型库监管无限制
采取用户自定义设备类型及其设备资源的方式,赋予用户自定义适配设备的能力,更大可能地支持对不同设备类型的支持。通过自定义设备类型及其设备资源,更大限度上提高了智和网管平台的管理范围,真正实现了对设备及其资源的化管理,达到管控万物的目标。
3.6.IP地址分配与管理
方案支持端到端规划、部署、管理和监控IP 地址。通过智能IP扫描能力,定义多层次子网,然后扫描其范围内每个IP地址的当前状态,包括IP地址,MAC地址等信息,也可以查看IP段内地址使用详情,便于学校进行IP地址分配管理等。
可手动、自动获取子网信息,并根据网络结构对子网信息进行管理。定时获取全网的MAC-IP信息,并自动保存,可根据MAC或IP对在线设备进行查询。以端口图的形式显示当前网段内端口的使用情况。
支持通过端口视图及列表视图的形式,展示当前IP地址的使用情况,可查看某个子网的IP现网详情信息,如IP、掩码、主机名、设备类型、现网MAC、现网接入设备、现网接入端口、规划MAC、规划接入设备、使用人等,可批量分配IP地址。
3.6.3.IP地址异常追踪
方案支持通过追踪IP地址的历史关联MAC、接入设备/端口变更记录等与规划绑定MAC、规划接入设备/端口进行对比分析,当与规划不一致时生成一条异常记录,从而审核IP/MAC是否正确使用。
3.6.4.黑白名单配置
通过黑白名单功能用来检测用户所关心的设备是否在网络中出现及出现时间。支持配置黑名单或白名单,智能划拨规划表中的IP、MAC设置为白名单策略,对非法接入设备进行告警处置。
3.6.5.IP-MAC绑定
对全网MAC和IP进行配对绑定,并周期性对MAC-IP进行检测。自动将规划表中的IP-MAC设置为绑定关系,自动扫描在线终端,当IP-MAC的绑定关系发生冲突时产生告警,保证入网终端安全可信。
3.6.6.历史IP地址追踪
可追踪指定日期内,指定的IP地址的分配情况,匹配的MAC地址、使用人和变更记录。
3.7.业务可用性管理
大学高校内的监控、视频、邮件、电子图书馆等规模的扩展,产生巨大的业务压力,智和信通业务运维方案以实现业务价值为核心,以保障业务可用性为基础,通过对承载业务的IT基础设施构建真实的业务模型。通过智能化、自动化的业务监管方案,将IT设备对业务的价值可视化,构建业务分析模型,从业务的角度透视IT设施的分布和价值收益。
3.7.1.业务可用性拨测分析
针对业务应用性能与用户体验进行检测分析,无需安装插件即可提供开箱即用的主动拨测试业务监测。直观、便捷地帮助运维人员对高校内办公OA系统、教务系统、迎新系统、学工系统、财务系统等进行监控,从前端用户体验、网络延迟到后端的业务服务和基础架构,全栈溯源为用户提供端到端的完整全链路数据融合和关联分析,为用户快速发现业务性能瓶颈,提升用户体验奠定基础。
大学高校业务看板示意图
3.7.2.业务瓶颈根因定位
提供业务数据可视化能力,既可集中呈现业务数据的用户体验状态,也可以基于应用、设备实时监控、呈现业务各节点的实时运行状态,包括用户体验、节点可用性、节点负载等状态信息。基于自定义阈值自动监测,异常指标自动触发告警,快速定位业务瓶颈根因,并可根据用户自愈策略,触发自动运维实现故障自愈。
3.8.实时故障预警,及时洞察异常信息
智和信通高校网络运维方案,通过统一的故障管理平台,将各个模块中的监控信息统一采集、分析,实现整个校园网中各种事件信息、设备故障、网络异常、流量异常等告警,以智能化手段进行标准化的分析、压缩、并归关联等,通过多种方式实时传达告警信息,保证落实到指定人员进行处理,为学校提供主动式的故障解决方案。
3.9.跨校区线上配置运维
方案提供跨校区的设备策略远程配置管理工,可以自动批量进行设备配置修改,并可对设备配置进行备份、对比、恢复。宕机后设备配置可快速复原,保障设备及时恢复运行,提升配置效率、质量和安全性。
交换机策略查询与自动化配置:对交换机提供多设备、多资源批量策略下发,包括ACL策略、QOS策略、路由配置、端口流量限速、账号安全、终端准入、策略备份等,满足运维人员日常基本运维需求,
服务器远程管控:通过设备远程控制能力,对服务器进行批量分发配置文件、一键开关机、管理进程、管理应用等,配合自动化运维能力,实现自动化服务器管理,解放人力。
视频摄像头远程配置:通过智和网管平台独有的设备远程控制能力,单个或批量对摄像头进行远程控制,如远程调整摄像头角度、控制摄像头传输流量、修复摄像头故障等。
云设施远程监控配置:实现公有云、私有云、混合云等一体化管理,自动化配置,对云上云下资源统一纳管,云部署架构可视化展现,对云上各类云服务器、云磁盘等云产品及各类 IP、NAT、DNS 等资源,实时监测,快速定位异常资源。
设备策略备份对比:方案通过配置文件批量备份、下载、周期性备份、查看等功能,为用户管理网络做出合理的建议提供数据支撑。
3.10.工运维与故障自愈结合
方案通过智和网管平台将高校网络运维中涉及的服务、命令、操作、执行组件化、策略化,将需要进行的运维服务、操作等以组件、策略的形式托管至平台中进行维护和管理,用户根据需求从策略库中选取对应的策略,并采取可视化拖拽的编排方式装配成运维业务流程,最后触发执行即可完成期望的运维变更任务,从而实现高效、稳定、安全的智能运维。
将人工运维与故障自愈结合,无需针对告警进行手动处置,只需预编排告警处理流程,平台根据场景自动触发,实现故障自愈。通过实时发现告警,进行预诊断分析,判断告警类型和级别,如果是一般告警,平台进行自动恢复,如果是严重复杂告警则通过告警通知、运维工单等形式通知运维管理人员,进行人工处理。同时,将只能有专家处理的各类操作和判断转化为可存在于平台内的流程,形成可保留可复用的运维知识。
3.11.实时监控网络流量
方案基于海量流量数据的存储挖掘,实现对网络流量的侦测分析。通过网络流量分析技术,采集、分析、存储所有网络流量,回溯分析数据包特征、异常网络行为,以多维数据分析和深度挖掘为手段,实现数据包层面的流量追踪,发现潜伏于网络中的未知攻击。帮助用户进行流量趋势分析、网络优化、网络监控等工作,并为网络规划、优化调整和业务发展提供基础依据。
提供端到端的流量监控能力,从设备、接口、IP、服务、应用、会话、QoS等层级的实时流量监控和历史流量分析,识别带宽消耗较大的应用程序、服务、协议或 IP 地址,避免网络容量过载,并提升更终用户网络体验。
3.12.可视化数据分析
利用图形、图表、图表等易于理解的形式,提取和分析大量复杂的高校网络中各类运维数据,呈现分析结果,从而帮助运维人员在短时间内更好地理解和获得更多的信息,帮助运维部门能够实时了解业务和其所依赖IT资源的运行状况,以及提供系统运维和优化的指示和依据。
3.13.资产全生命周期监管
方案通过资产管理模块将资产实物与运维数据库一一对应,将为高校运维提供更加便捷高效资产生命周期管理,资产跟踪、维护和统计分析。方案通过全栈合一的智和网管平台,将资产与运维结合,动态感知纳入监控的资产运行状态,分析IT资产的生命周期,实行IT资产全生命周期管理,从资产入库、领用、变更、维修、调拨、到报废处置,资产每一步操作均实现完整记录,并对资产真实运行情况进行分析,通过状态数据采集分析,预估资产将面临的风险,驱动资产维护保养。
3.14.定制化高校运维工单体系
结合高校网络运维的需求实现定制化运维工单,通过自动触发与用户报修等方式快速响应运维事件,解决突发故障和请求,实现整个运维流程规范化、标准化,运维协同高效透明,运维结果可查可控。
3.15.适配国产软硬件环境
智和信通国产信创能力采用Java、HTML5跨平台技术,兼容国产化操作系统、数据库、中间件、CPU和虚拟化等,支持包括:中标麒麟、银河麒麟、中科方德、达梦、人大金仓、南大通用、神州通用、华为虚拟化、H3C虚拟化、深信服虚拟化等。
4.多种部署方案适配校园网络结构
提供分布式部署和多级运维平台部署的方式,适配校园网网络结构,满足大学、高校统一运维需求。
4.1.分布式部署
在智和信通高校网络运维分布式部署方案中,采取核心网络部署综合运维平台,下级网络部署采集器的方式,用户可以在综合运维平台建立多个账号,进行权限划分,对下级网络进行管理。整个分布式部署方案采用综合运维平台-设备集的结构,综合运维平台获取不同设备集的监控信息,综合运维平台可以管理所有设备,实现对每个设备集中网络设备运行数据的采集、管理、存储。
部署方案优势:
- 增大平台容量、吞吐量,管理效率更高
- 可异地多点部署,网络可达即可完成监控管理
- 降低采集服务之间的耦合度,更易于扩展
- 故障影响范围小,便于排查
4.2.多级运维平台部署
在多级运维平台部署方案中,采用综合-区域-设备运维平台-设备的结构,部署多级架构运维平台方案,上级运维平台可以查看下级运维平台(包含其子集)的监控信息,综合运维平台可以管理所有设备,下级运维平台对本区域内单位或本单位网络进行管理。每级运维平台可以单独监控各自的网络设备,也可以由综合运维平台集中管理。实现上级运维平台对各二级单位的网络设备运行数据的采集、管理、存储,集成数据库进行数据的本地存储,并通过安全的传输方式将数据上传至综合运维平台。
部署方案优势:
- 对于高校总部平台,可对接下层分校区子平台,支持完整的网络、设备、资源、告警、事件等数据同步
- 对于分校区子平台,可完成其下各教学区、学生宿舍等的设备群交互,可具有平台完整的监控、管理权限。
- 子平台支持横向水平扩展,随着项目规模灵活增设
- 支持联动资产平台、工单平台、呼叫中心等,提供一体化运维解决方案
第4章 方案应用价值
通过部署北京智和信通高校一体化运维方案,可以实现对高校网络、业务、应用系统的24小时不间断监控,做到事前预警,解决被动救火的局面。通过多种拓扑方式,直观、展示被管设备的实时运行状态,整合业务、流量、资产、工单等能力,为运维人员掌控所辖范围内智慧校园网络状况提供基础。
通过跨校区设备配置和自动化运维,改善手工运维的工作方式,将手工运维变为自动化运维,在解放人力的同时兼顾运维效率与准确度,在运维的过程中实现信息、知识的共享,提高工作效率。
第5章 大学高校样板用户
5.1.中国音乐学院项目
中国音乐学院位于北京市,是以国学为根基,独具中国音乐教育和研究特色,培养从事中国音乐理论研究、创作、表演和教育的专门人才的高等音乐学府,国家首批“双”世界学科建设高校,素有“中国音乐家的摇篮”、“中国音乐的殿堂”的美誉。
5.1.1.核心需求
中国音乐学院是全交换机的网络,网络设备单一,但是对监控指标要求较高。中国音乐学院提出了以下网管核心需求:
- 通用功能,包括设备拓扑、故障管理、性能管理、配置管理以及安全管理等网管软件基本功能;
- 自动发现交换机设备,识别设备类型,生产网络拓扑图;
- 可以监控交换机端口状况,和流量使用情况;
- 支持自定义告警值,提供多种告警方式,具有告警信息统计功能;
- 对接学校工单平台。
5.1.2.智和信通方案
通过对中国音乐学院的需求分析,智和信通提出了智和网管平台+开放接口的方案,具体方案如下:
- 智和网管平台已经包含设备拓扑、故障管理、性能管理、配置管理以及安全管理等网管软件基本功能,用户可以直接使用;
- 支持自动发现设备生成网络拓扑图,并识别设备类型、资源,生成设备的面板图;
- 支持在拓扑中以不同颜色设备图标实时展现设备的实时状态信息;
- 主动监控交换机的在线状态,对交换机资源如:端口可用性、端口性能数据、端口故障、链路进行监控;
- 多种告警机制,自定义配置告警阈值,快速标记已执行操作的告警,迅速定位告警设备;
- 提供界面颜色、告警列表、Email、短信等告警方式
- 智和网管平台提供API接口,对接学校的工单处理平台。
5.1.3.方案成果
在上线智和网管平台,中国音乐学院实现了对校内网络设备的管理,对整个交换机网络的通断情况、链路通断情况、流量情况、非法组播告警、广播包告警进行实时监控。在故障处理方面,告警信息自动产生工单,发送到学校的工单处理平台中,提高运维人员的处理效率和师生的满意度。
