中学校园网络建设技术方案书

1、中学校园网络建设技术方案书目录第一幸 项目建设的背景和必要性31. 1项目建设背景31.2现状及存在问题第二章需求分析第三幸网络整体设计方案3. 1核心交换机3. 2楼宇接入交换机.3.3上网行为管理3333.5无线控制器3. 4统一出口网关3.5 IMC智能管理中心2. 1需求分析002222441 1 1 1 1 1 1 1第四幸无线解决方案特点4. 1 AP零配置4.2某分层安全体系4.3实时业务无线漫游技术4.4用户接入安全第五幸某中学网络管理设计4.5实现的无线射频资源管理5. 1系统管理设计5.3拓扑管理175.4故障管理205.5告警深度关联分析和统计215.6告警深度关联分析和

2、统计255.7性能管理295. 8设备管理组件管理32第六章菜简介及应用案例336. 1菜公司总体描述336.2菜成功案例34第七幸 菜公司售后保障体系以及用户认证培训体系367. 1厂家上门服务367.2服务组织结构367.3服务及时保障性387.4服务有效性保障39第一章 项目建设的背景和必要性1.1项目建设背景上世纪九十年代以来通过一系列重大工程和政罠措施，我国的教育信息化发展奠定了 一定的基础。随着教育模式的改革和新技术的不断涌现，信息化教学的应用不断拓展和深入, 教学资源不斷丰富，教育信息化在促进教育公平、提高教育质量、创新教育模式领域的支撑 和带动作用初步显现。仁2现状及存在问题

3、有线部分：简单的非可网管交换机纽网，网络经常出现故障，时斷时续，无法管理到接入 设备，网络出现故障排查困难。 无线部分：通过在有线末端加装家庭版路由器的方式解决。困扰有四：1、WIFI访问 速度慢，重启路由器才能正常。2、无法统一整个无线网络的SSID,无法实现漫游， 终端移动需要重新连接无线。3、无线AP无法进行统一管理，相互之间干扰严重。4、 配置维护麻烦，需要单台设备管理。 认证部分：通过IP+MAC地址方式解决，管理非常麻烦，耗费大量人力物力。 上网行为：暂无，无法对使用的上网行为进行控制和纪录，无法溯源。 网络管理：暂无，纯靠经脸进行日常维护，无法真正做到网络故障的联通告誓和通 知。

4、2.1需求分析 有线部分：采用大二层结构，每个楼到核心交换机通过千兆光纤互联，保证馋路的可 靠性和稳定性。 无线部分：采用面板AP的部署方式，每个房间一台，实现每房间有线无线一体化的接 入。 认证部分：IMC智能管理中心，可对接入网络的用户进行统一认证管理。 上网行为：可对所有用户的上网行为进行应用级的控制，如允许上QQ但限制刷QQ空 间等等。同时可对上网行为进行记录。 网络管理：IMC智能管理中心，对全网的物理设备进疔配置、管理和实时监控，网络 故障可以第一时间通过或者短信的方式告知管理者。2.2设计原则某中学网络包括教学楼、办公楼、科技楼等大量的信息点，学校管理、教育科研、电子 教学.远程

5、教育和互联网的引入以及对外技术交流与合作服务等大董业务的开展，要求网络 必须是一个实用的、鬲可靠、离效率、高扩展性、鬲安全性系统。 可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用鬲可靠性网络 产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份疑略，保证 网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于 诊斷和排除，充分体现计算机网络的离可靠性。 先进性在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。 实用性在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的 现状和未来发展趙势

6、。 离性能骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的离呑吐能力， 保证各种信息（数扌居.图象）的爲质量传输，才能使网络不成为业务开展的瓶颈。 开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络（如 中国教育网、公共数扌居网.学校之间等其它网络）之间的平滑连接互通，以及将来网络的扩 展。 扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构 和现有设备的调整。 管理性对网络实行集中监测.分权管理，并统一分配带宽资源。选用先进的网络管理平台，具 有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 安全性制订统

7、一的网络安全我略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、 廉改或泄漏，使数据具有极爲的可信性。 兼容性兼容性，能够最大限度地保证学校现有各种计算机软、披件资源的可用性和连续性，为 不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系 统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥主干网 的优势。 经济性经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有 计划.有步骤地实施，在保证网络整体性能的祈提下，充分利用现有设备或做必要的升级。 兼容与互通当前阶段，整个云计算产业还不够成熟，相关标准还不完罢。为

8、保证多厂商的良好兼容 性，避免厂商技术锁定，方案的设计充分保证与第三方厂商设备保持良好的对接。此外，为 保证方案的前瞻性，设备的选型应充分考虑对已有的云计算相关标准（如EVB/802. 1Qbg等） 的扩展支持能力，保证良好的先进性，以适应未来的技术发展。 业务高可用云计算平台作为承载未来政务应用的磴要IT基础设施，承担着稳定运行和业务创新的 重任。伴随着数据与业务的集中，云计算平台的建设及运维给信息部门带来了巨大的压力， 因此平台的建设从基础资源池（计算.存储、网络）、虚拟化平台.云平台等多个层面充分 考虑业务的高可用，基础单元出现故障后业务应用能够迅速进行切换与迁移，用户无感知， 保证业务

9、的连续性。 统一管理与自动化云计算的最终目标是要实现系统的按需运营，多种服务的开通，而这依赖于对计算、存 储.网络资源的调皮和分配，同时提供用户管理、纽织管理、工作流管理、自助Portal界 面等。从用户资源的申请、审批到分配部署的智能化。管理系统不仅要实现对传统的物理资 源和新的虚拟资源进行管理，还要从全局而非割裂地管理资源，因此统一菅理与自动化将成 为必然趁勞。 开放接口传统的管理系统与上层系统对接，注重故障的上报和信息的查询。而云计算的管理系统 更关注如何实现自动化的部署，在接口方面更关注资源调度和分配，这就需要管理系统在业 务调度方面实现开放。为保证服务器、存储、网络等资源能够被云计算

10、运营平台良好的调度 与管埋，要求系统提供开放的API接口，云计算运营管理平台能够通过API接口、命令行脚 本实現对设备的配置与疑略下发联动。同吋云平台也提供开放的API接口，未来可以基砂这 些接口进行二次定制开放，将云管理平台与教育网应用相触合，实现面向云计算的教育应用 管理平台。第三章网络整体设计方案河南淮阳中学网络拓扑图/7上网行为,A Ari A门口保安处碱研中心口Fy无线控制器整体解决方案包括核心交换机、楼宇接入交换机、上网行为管理、统一出口网关.IMC 智能管理中心.无线控制器和面板AP等各个部分组成。3.1核心交换机核心交换机釆用S5560-EI系列交换机，者是某公司最新推出的高性

11、能融合以太网交换 机产品.基于业界领先的高性能碇件架构和某先进的ommware V7软件平台开发，同吋基于 强大的统一交换平台，实现有线无线的无缝融合。某S5560-EI系列交换机可集成无线控制 功能，实现接入层无线/有线本地转发，消除无线控制带宽瓶颈，扩大无线部署规模，节省 用户投资成本。某S5560-EI系列交换机实现业界1U设备罠鬲的端口密度以及灵活的端口扩展能力， 主机均固化4端口万兆光.可同时扩展高密万兆及40G端口.支持高密、高性能端口上行能 力。某S5560-EI系列支持可插拔双电源、可插拔双风扇结构设计，实现段件级的离可靠保 障，同时支持MACsec破件加密功能，包括用户数据加

12、密、数据帧完整性检查及数据源真实 性校验，为用户提供安全的无连接MAC层数据发送和接收服务。32楼宇接入交换机楼宇接入交换机采用某S5110系列以太网交换机，这是菜公司自主开发的绿邑节能全 千兆以太网交换机产品，具备丰富的业务特性，广泛应用于企业网和园区网的接入。在满足 高性能接入的基础上，提供更全面的安全接入我略和更强的网络菅理维护易用性是千兆接入 的理想选择。3.3上网行为管理上网行为管理釆用的是菜SecPath ACG 1000,他是某公司新一代应用控制网关，ACG 1000引入了全方位上网行为管理要素，是面向客户业务而量身定制的全业务网关产品。某SecPath ACG 1000能对网络

13、中的网络社区.P2P/IM带宽滥用.网络游戏、炒股.网 络多媒体、非法访问等行为进行精细化识别和控制。利用智能流控、智能阻断、智能路由等 技术，配合创新的社交网络行为管理功能、清晰易管理日志等功能，可以提供业界最全面. 完善的上网行为管理解决方案。从而保障网络关键应用和服务的带宽，对网络流量、用户上 网行为进行深入分析与全面的审计，为用户全面了解网络应用模型和流量趙势，优化其带宽 资源，开展各项业务提供有力的支撑。34统一出口网关出口网关釆用某SecPath U200系列产品，这是某公司面向中小型企业/分支机构设计 的新一代UTM （United Threat Management,统一威胁菅

14、理）设备，釆用离性能的多核、多 线程安全平台，保障全部安全功能开启时不降低性能.产品具有极高的性价比。在提供传统 防火墙、VPN功能基础上，同时提供病毒防护.漏洞攻击防护、P2P/IM应用层流董控制和用 户行为审计等安全功能。某公司的SecPath U200-A不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，置大化减少设备运营成本和维护复杂性。3.5 IMC智能管理中心随着网络建设的不断深入发展，除了单纯的追求高带宽、高速率外，安全的网络、高效 的网络和可运营的网络成为越来越多的用户关注的焦点，网络精细化管理也越来越深入人 心，一套好的管理软件无疑对网络的精细化管理

15、超到至关重要的作用。基于多年的枳累和对用户网络的深入理解，某智能管理中心（intel I igence Management Center, iMC）平台（以下简称iMC平台）为用户提供了实用、易用的网络管理功能，在网 络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全等管理功能，不仅提供功能， 更通过流程向导的方式告诉用户如何使用功能满足业务需求，为用户提供了网络精细化管理 就佳的工具较件。对于设备数量较多、分布地域较广并且又相对较为集中的网络，iMC平台 提供分级管理的功能，有利于对整个网络进行清晰分权管理和负载分担。iMC平台除了涵盖 网络管理功能外.还是其他业务管理组件的承载平台

16、，共同实现了管理的深入融合联动。某iMC EIA终端智能接入纽件是一款全面的企业终端网络接入疑略管理解决方案。它 提供企业统一的网络接入疑略，实现企业网络（有线.无线和VPN网络）的统一接入管理， 并提供对员工、访客、设备管理员基于角色、设备类型、接入时间、接入地点的网络访问控 制，满足企业多种网络接入、多种终端接入的统一运维管理需求，确保终端安全策略在整个 网络无缝地执行。3.5无线控制器无线控制器釆用的是菜WX3500E系列无线控制器器，这是华三通信技术（以下简称某公 司）自主研发的下一代企业级核心多业务无线控制器（AC, Access Control ler）产品系列。 WX3500E系

17、列无线控制器具有大容董、高可靠、业务类型丰富等特点，集箱细的用户控制管 理、完善的射频资源管理、7X24小时无线安全管控、二三层快速漫游、灵汤的QoS控制. IPv4&IPv6双栈等多功能于一体，提供强大无线接入管理能力。配合某Fit AP产品系列， 包括2014年全新基于802. 11ac协议的AP,可以满足中小型企业园区WLAN接入、无线城域 网覆盖.热点覆盖等无线场景的典型应用3.6无线AP面板式AP釆用某WA2610H-GN无线接入点，这是华三通信技术（某）自主研发的新一代 面板式无线接入设备（以下简称AP）.可以安装在任意86mm面板的暗盒之上，不破坏原有装 修，安装方便，可管理能力

18、企。WA2610H-GN适合于学校、医院、酒店等各种密集房间场所，解决了在这些场景中，传 统AP布放方式信号质童不佳的问题，并极大的减少了安装成本以及实施时所带来的运营成 本。第四章无线解决方案特点41 AP零配置FAT -APFIT -AP组网模式FAT AP+有线交换机分布式即插即用AP管理维护分布式管理，配置工作量大，故障 更换需要配置集中管理，故障更换即插即用无线接入用户授权设备安全AP去失，配置去失，信息泄霜Ap零配置，即插即用，不存在安 全数据规模家庭用户使用大规模组网级别用户级企业级传统的WLAN网络都是为企业或家庭少量移动用户的接入而组建的，这类网络典型WLAN 建网时需要对成

19、百上千的AP进行逐一配置：网管IP地址.SSID和加密认证方式等无线业 务参数、信道和发射功率等射频参数、ACL和QOS等服务我略，很容易因误配置而造成配置 不一致。为了管理AP,需要维护大量AP的IP地址和设备的映射关系，每新增加一批AP设备都 需要进行地址关系维护接入AP的边缘网络需要更改VLAN、ACL等配置以适应无线用户的接入，为了能够支持 用户的无缝漫游，需要在边缘网络上配置所有无线用户可能使用的VLAN和ACL。察看网络运行状况和用户统计时需要逐一登录到AP设备才能完成察看。在线更改服务 我略和安全我略设定时也需要逐一登录到AP设备才能完成设定。升级AP软件无法自动完成，维护人员需

20、要手动逐一对设备进行软件升级，费时费力AP设备的去失意味着网络配置的去失，在发现设备去失前，网络存在入侵隐患，在发 现设备去失后又需要全网重配置。无线控制器+FIT AP控制架构对设备的功能进行了重新划分，其中无线控制器负责无 线网络的接入控制，转发和统计.AP的配置监控、漫游管理、AP的网管代理、安全控制： FIT AP负责802. 11报文的加解密.802.11的PHY功能、接受无线控制器的管理.RF空口 的统计等简单功能。某公司在支特这种新的网络架构时将一些新的智能功能集成进FIT AP 和无线控制器中，以便于给用户呈现统一的网络管理接口：无线控制器支持FIT AP的配置代理和査询代理，

21、能够将用户对FIT AP的配置顺利传达 到指定的FIT AP设备，同吋可以实时察看FIT AP的状态和统计信息无线控制器保存FIT AP的最新软件，并负责FIT AP软件的自动更新某公司通过这一全新的网络管理接口可以很好的解决目前型WLAN网络组网中存在的管 理问题：用户只需要建立业务参数模板和设备参数模板，并设定指定的AP引用这些摸板，当FIT AP启动时无线控制器会根据预先的配置引用信息给FIT AP下发配置，用户的配置工作董大 大减少。用户对FIT AP的管理是通过无线控制器来代理完成，网管不再关心FIT AP的IP地址， FIT AP和无线控制器之间的关联是自动完成，不再需用户对AP进

22、行的配置千预。无线用户的数扌居报文被FITAP封装在AP和AC间的数据隧道中，接入AP的边缘网络不 需要再为无线用户的接入而更改VLAN和ACL等配置无线控制器保存了所管理的FIT AP的运行状况和在线用户统计信息，维护人员只需登 录到指定的无线控制器就可以完成信息察看。用户对FIT AP的管理是通过无线控制器来代 理完成，因此在线更改服务策略设定和安全疑略设定也不再需要逐一登录到AP设备，而只 需要登录到指定的无线控制器就可以完成设置，无线控制器会自动把新的配置下发到指定的 FIT APo用户不再需要手动逐一对AP设备进行软件升级，AP在毎次重新启动吋会自动比较当前 运行的版本和无线控制器上

23、保存的版本.如果无线控制器上保存的版本更新，FIT AP会自 动更新本地的软件影像。AP本地不再保存配置信息，即使设备去失也不存在因配置去失而出现的安全隐患。4.2某分层安全体系物理层安全（数据加密）：网络安全：无线入侵检测系统，非法AP检测，白功能，黑 功能，无线协议攻击防御，端点准入防御，流量限速，安全策略统一部署4.3实时业务无线漫游技术某WX3510E系列无线控制器支持三层漫游，并支持快速漫游，漫游切换时间小于50ms, 满足对切换时间要求最苛刻的语音业务，从而对未来可能出现的各类实时、移动业务提供良 好的支持。某无线漫游解决方案支持同一 AC下AP之间，不同AC下AP之间的无缝快速漫

24、游，保证 无线客户端在一个子网部，从一个AP的覆盖国移动到另一个AP的掇盖囤时，通信不中斷， 用户无需磴新登录和认证。4.4用户接入安全某WLAN产品及方案同吋支持PPPoE和8021x的身份认证方式，与已经存在的校园网 后台账户联动，实现账号的统一，简化入网方式，并保持统一性。另外，通过丰富的用户接入控制手段，实现用户接入安全保证。用户接入认证：802. 1x接入认证.PSK认证、MAC接入认证以及有线网络常用的portal 认证和PPP0E动态控制用户权限：通过和AAA服务器配合，某的无线设备支持对认证用户动态下发带 宽、VLAN、ACL.优先级等参数，对于不同的用户群和业务可以控制其访问

25、网络的权限，限 制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。Hotspot用户隔离：可以保证未认证用户无法在AP上做互访。4.5实现的无线射频资源管理第一：无线射频监测及调控需求此外，为了提高WLAN网络的容量，常用方法是增加接入点。然而，接入点的数量增长 带来了新的问题。无线频谱的分配就是一个典型问题。WLAN无线频谱是一种固定资源一一 802. 11b/g标准只支持三个非重叠信道，为了避免相邻接入点出现同频千扰，需要让相邻AP 尽量使用不同的信道，随着AP数量的增多，避免相邻接入点使用相同的信道变得十分困难。要求AC支持无线射频监测和调控能力，可确保某个AP在发

26、生故障时，可以自动切换到 邻近的AP,由于用户信息全部同步在AC上，因此不会影响无线的接入服务。第二：某无线射频资源管理优势某公司提供了自学习的、智能的、实时的无线资源管理系统。某实时无线资源管理特性降低了管理成本，实现了网络的自分析、自配置和自修复。第三：智能负载均衡在无线网络中，负载均衡也是不可缺少的。AP -般最大能带20-30个并发客户，一旦 并发入网的无线用户数量超过这个上限则无法承载。特别是针对大量的数据传输和视频传 输，为了有效的缓解单个无线接入点的负担，有效利用周边整体无线接入点的资源，从而确 保每个需要上网的用户的正常数据访问的质量，需要负载均衡功能实现。某 无线控制器支持会

27、话和流量两种揆式实现负载均衡，当配置为会话模式的时候，负 载均衡的运行主要是看关联连接到该AP用户数量。当配置为流量揆式的时候，负载均衡主 要考虑使用流董快照。并且毎种揆式，可以设置两个负载均衡参数，负载均衡阈值(session), 判斷AP是否进入负载均衡状态，负载均衡差值(gap),判斯AP是否需要拒绝无线客户端接 入。当不同的AP覆盖同一区域时，可通过负栽均衡控制不同AP的接入用户数，以保证密集 用户区域的用户带宽性能。AC负责管理看客户端们的连接和断开。AC配置的负载均衡参数 是AP进行负载均衡，接收或者拒绝无线客户端连接的标准之一。在客户端们的连接的过程中，AC负责执行负栽均衡。AC

28、检查客户端要连接的AP是否处 于负栽均衡状态。如果不在的话，那么当前请求的连接将被接受：否则，将基于负载均衡的 差值，决定当前连接是被接受还是被拒绝。第五章某中学网络管理设计5.1系统管理设计系统安全管理功能主要有包括：操作日志管理.操作员管理、分组分级与权限管理、操 作员登录管理等。系统管理员 恢时监叱妙盘记录所有扌操作日老所包含的主要功能有：操作员登录管理管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性，通过 访问控制揆板约束操作员可以登录的终端机器的&地址围，避免恶意尝试另人密码进行登 录的行为存在，通过密码控制疑略，约束操作员密码组成要求，包括密码长度、密码复杂性

29、 要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。操作员密码管理管理员为操作员制定密码控制疑略，操作员仅能按照指定的策略定期修改密码，以保证 访问iMC系统的安全性。分组分级权限管理管理员通过设备分组、用户分纽的设置，可以为揀作员指定可以管理的指定设备分纽和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、 分资源（设备和用户）的多层权限控制；同吋通过设置下级网络管理权限，可以通过限制登 录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。操作日志管理对于操作员的所有操作，包括登录、注销的时间.登录IP地址以及登录期间进行

30、的任 何可能修改系统数損的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计 任何操作员的历史操作记录，界定网络操作错误的责任国。操作员在线监控和管理系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消 禁用当祈IP地址等控制操作。5.2资源管理iMC资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。本节讲解iMC的资源管理，下节讲解iMC的拓扑管理。通过许源管理可以：网络自动发现可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自 动发现

31、方式自学习网络资源及网络拓扑，自动识别包括：路由器.交换机、安全网关、存储 设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在的多种类型网络设备： 蛮网络自动发現（杳锁）帮助切按到简易模式选择目笏发理方式0以路也方弍发现通过设备賂由表目动蹴可爸迎的网绍设备。O以ARP方式安现迪过设缰ARP丟目动搜汞可皆迎的用谿设备。O aipsecvpn式左观遇过IP s ec vp N自动攪室可言理的静设备0以网段方式发现按IPF1段戋现只幸设百歪发讽的网段地址范羽，不壽种子设备。多种自动发现方式设备盘圍快黑目垮由船刖交扯飒9)眼务躯安全网为0 存储鬧g 畑无践设备4事语音设m打印机釘UPS

32、iO】Q PC0胪设各自动识别多种设备类型网络手工管理可以手工添加、删除网络设备，可以批量导入、导出网络设备，批董配置Telnet. SNMP 参数，以及批董校验Te I net参数等辅助功能；网络视图管理支持IP視图、设备视图.自定义视图、下级网络管理视图等多种管理视图，用户可以 从不同角厦实現整个网络的管理：网络设备的管理从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/ 去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时 告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等，用户可以方便的实现 所有设备的管理；设备及业务管理

33、系统的集成管理支持对某、CISCO.等主要厂家设备的管理，支持手工添加设备厂商、设备系列及设备 型号：支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成：支持拓 扑定位、ACL、VLAN. QoS等业务管理系统的集成，实现设备爺源的统一管理：设备分纽权限管理支持设备分组功能，通过对设备资源进行分组管理，系统菅理员方便的分配其他管理员 的管理权限，便于职责分离;5. 3拓扑管理iMC拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。 拓扑管理包括：拓扑自动发现某iMC可以自动发現网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提 供视图间的快速导航。

34、通过自动发现可以发现网络中的所有设备及网络结构（具体参见资源 管理），并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有 网络设备都列入其管理围（只要设备IP可达）。同时支持自动的拓扑图呈現和自定义拓扑。 自动拓扑可以自动将网络中的逻辑连接关系显示出来，同吋可以保存为自定艾拓扑图并可根 据具体情况进行修改以便于网管员对整个网络设备的监控。支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新 周期是可定制（刷新周期：607200秒），同时也支持对多个设备的刷新周期进行批量配置 的功能。支持自定狡拓扑传统的网络管理软件大多支持自动发现网络拓扑的功

35、能，但是自动发现后的网络拓扑往 往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下 手。针对这种情况，某iMC的拓扑功能支持灵活的自定狡功能，管理人员可以根据网络的实 际纽网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进行增.删、改等编辑操作, 使网络拓扑能够清晰地呈现网络结构以及IT资源分布。某iMC支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备 不同，管理角度不同定艾多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根 据网络设备的重要性不同.链路速率不同釆用合适的图标显示。自动识别各种网络设备和主机的类型某iMC可以自动识

36、别菜、某.Cisco.等厂商的设备、Windows. Solaris的PC和工作站.其他SNMP设备和ping设备，并且以树形方式组织，以不同的图标显示区分。在拓扑图 上更可进一步对设备的类型进行区分.如区分路由器、交换机.安全网关、存储设备、监控 设备、无线设备、语音设备、打印机、UPS.服务器.PC等等。设备状态.连接状态、告警状态等信息在拓扑图上的直观显示某iMC的拓扑功能与故障管理和性能管理紧密融合，使拓扑图能够清晰地看到IT资源 的状态，包括运行是否正常.网络带宽、接口连通、配置变化都能一目了然。多种颜邑区分 不同级别故障，根摇节点图标颜色反映设备状态。拓扑能提供设备管理便捷入口某i

37、MC拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备 图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。5.4故障管理故障管理，即告警/事件管理，是菜iMC的核心模块，是iMC智能菅理平台及其他业务 组件统一的告警中心。如下图所示，以故障管理流程为引导，介绍菜iMC强大的故障管理能力：a解决故障囲固化经验实时告警fa t4J T4O1I定时轮Jl50|通过拓扑实现报吿网络及设备状态实时告警关联 分析与统计实谛矗告警：手机短信及EMail吿警告哲化报Ur实时尙警浏览和确认rc4jOate吉誓纽别盃含设备礎性吿善3性昨警里金 7山 4弘 4金 1分类.声光告警

38、板.按故障类别及等级实时育警1. I | I透明化网管与告警中心、s1 一11L L11L.-*._|实现网络管理网络资源、存储资源、计算资源、业务系统告警发现和上报iMC告警中心可以按收各种告警源的告警事件，包括设备告警.本级网管站及下级网管 站告警、网络性能监视告警、网络配置监视告警、网络流董异常监视告警、终端安全异常告 警等：同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式 上报给某iMC告警中心：设备告警包括电源电压、设备温度、风扇等告警爭件，设备冷启动、热启动.接口I inkdown等重要告警事件，路由信息爭件(OSPF, BGP)变化，热备份路由(HSRP

39、)状态变 化等告警事件，支持对某、CISCO、菜、等多厂商设备告警的识别和解析；网管站告警指包括本级iMC系统集群服务器的异常告警，包括CPU利用率、存使用率、 iMC服务程序运行状态等以及下级iMC系统上报的告警事件；网络性能监视包括CPU利用率，存使用率，以及RM0N告警的故障管理。网络配置监视告警包括设备较件版本、配置信息变更等告警爭件，并通过iMC智能配置 中心组件(iMCiCC)实現配置丈件定期检查，实现配置变更告警事件。网络流量异常监视告警通过iMC网络流量分析组件(iMC NTA)实现网络中异常流量告 警，包括对设备及接口异常流量、主机IP地址异常流量和应用异常流董的告警，支持二

40、级 阈值告警定狡：终端安全异常告警通过iMC端点准入防御组件(iMC EAD)实现对终端用户安全异常的 告警，包括ARP攻击告警、终端异常流量告警及其他终端不安全告警：iMC定期轮询告警指通过iMC的養源管理模块对设备接口信息定时进行轮循，并及时上 报通断告警、响应时间告警等告警事件。5.5告警深度关联分析和统计iMC告警中心根据告警脚本中的告警事件定义，接收并解析上报的告警事件：某iMC对接收到的告警事件进行深度关联分析，系统缺省支持重复事件阈值告警、闪断 事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认 相关告警；同时用户可以根据自己的需要确定事件的告警规則

41、，以适应网络管理需要。重复事件阈值告警：屏蔽史复接收到的相同事件，并可在达到阈值条件时产生新告警通 知用户。闪斷事件阈值告警：分析接收到的闪断爭件，并可在达到阈值条件时产生新告警通知用 户。未知爭件阈值告警：屏蔽接收到的未知事件，并可在达到阈值条件时产生新告警通知用 户。未管理设备告警阈值告警：屏蔽接收到的未管理设备事件，并可在达到阈值条件时产生 新告警通知用户。自定义事件过滤规则：用户自定艾的事件过滤规则，用户可指定在什么时间围、对什么 样的告警进行过滤。iMC系统预定艾缺省支持各类深度分析后告警事件关联升级为告警的生成规则，同时， 管理员可以自定艾由告警事件升级为告警的规则，可从事件、事件

42、关键字、事件源、时间围 四个方面进行规则定艾，一旦定义事件升级为告警规则后，iMC告警中心会根据定艾的规则C H3C中心-tindoww Interne* Explorer回冈冥时未締认告警确认 删球提供系统快照，实时报告网络、下级网络及设备的状态Q R3C ofeS中心findows Internet Explorer叵BQf0 Mip7/0 153 ra TC-8raD；i.c/fvat/d.faxlt. j.f八,X，心p -fii adniin 花$ :工* J耸 - E面老)-.IA9) * w* 帰由為駅毀8 (4)用安全网天；0| 存X也各0|i无3也各 暹音邊各：0| MHWl

43、 0 UPS0 $ PC 171 /XiLSHUPftfi (0)设备识田欢煙常空田釧！.左劭关Q PCM疣描农!8：.刖卿/Xil8Nf.lP4r0忖尹沖叭潘存在故障的设备fflUPS(0各类设备实时状XLOGR7ER(10163.89 93)imcui3l-5*jn(l0 153.128.$65tr13存建awe的设备俱农一目了然5%*6nd“ay 98506R (40153 工 89)a 2.Quig可 96502 (10.153.89.120)111(10.15389.104)QZ023C6(10 153 130117imqilal-sun (10.153.128.)QLO4O14 )

44、中设备(Quidway S6506R )实例 (CPU: 2) 53过该佰仏当前值光仏。2007-09-08 11:34:08i次要性能任芻C设超刖鱼时问，性龍指标：设占响10 1537 18(10 153 7 18)应时问 5s)中设备(10.153.7.18 )实例 (：-0)超过眉佰10 当前值力20W耒務认2007-09-08 11:29:02snmp4junn33(10153.69.113)性詔任乡(设纟匝吋问，性能JS标：设蚤响 应时旧t iri )中设在(Snmp4jUTW133)实 例(W)超过観值仮当前值为25,未确认2007-09-08 11：28：56紧急111(10.1

45、53.89.104)性能柱芻c CPU利用率，性能猜若：CPU老月 率()中设备(111)(CPU：.66536)WfiU，当前徒为佃.即未确认2007-09-0811:24:11L|.laterzt通过拓扑实现报告网络及设备状态故障解决某iMC对各种故障警均提供“修复建议：管理员可以参考修复建议对故障进行处理。在故障得到解决后，通过对告警的确认完成故障的恢复确认。固化经验某iMC提供告警知识库。告警知识是用户在维护过程中的经验总结，将这些经验输入系 统，下次再出现同样的故障时，可以作为参考。用户选中一条告警记录，系统根据用户选中 的告警记录，从告警知识库中查询出该条告警记录的维护经脸，供用户

46、进行告警处理进行参 考。用户将自己的日常处理经脸以及业务信息及时写入数据库、更新告警知识库对以后的故 障诊斯与排除非常有益。（2含書讦如信息名冷陛能上升吿整（砌百2）告書级別紧首010告苦时间告苦来滋1.3 6 1 4 12011 104 1 22 632007-09-08 12：34：08111(10.153.89 104)性能xjisj0返回更多当警对系统自带修复建，可能原因：1.阐值设定竝低：2、磷施过丸议的冇效补充，为 后续錐护提供便利：CPU利用率(安)iftS (11022( CPU 55536)NMS性能甘髻告警分类!?册认”信仓囚岀魏据超过修复遵议关注3E三耍业务西且畦能任务t

47、 CPU掰率由 粗过丙值14.当前值为20；2、陋8魏&过尢，且匆鹫发主，话權查网绷苗和阴 否存在问鬆如果不存在问題，S；更考弦迟不是冈络習呈的问題，如果是，可以苦鬼对 遊行玮前老升级。5.6告警深度关联分析和统计MC告警中心根据告警脚本中的告警事件定义，接收并解析上报的告警事件；某iMC对接收到的告警事件进行深度关联分析，系统缺省支持重复事件阈值告警、闪断 事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认 相关告警；同时用户可以根据自己的需要确定事件的告警规則，以适应网络管理需要。重复事件阈值告警：屏蔽史复接收到的相同事件，并可在达到阈值条件时产生新告警通 知

48、用户。闪断事件阈值告警：分析接收到的闪断事件，并可在达到阈值条件时产生新告警通知用 户。未知事件阈值告警：屏蔽接收到的未知事件，并可在达到阈值条件时产生新告警通知用 户。未管理设备告警阈值告警：屏蔽接收到的未管理设备事件，并可在达到阈值条件时产生 新告警通知用户。自定义事件过滤规则：用户自定艾的事件过滤规则，用户可指定在什么时间围、对什么 样的告警进行过滤。Q实时未的认告5?吉ill入收港iMC系统预定艾缺省支持各类深皮分析后告警事件关联升级为告警的生成规则，同时， 管理员可以自定艾由告警事件升级为告警的规则，可从事件、事件关键字、事件源、时间围 四个方面进行规则定狡，一旦定艾事件升级为告警规

49、则后，iMC告警中心会根据定艾的规则 关联分析后生成不同级别的告警（告警共分成紧急、重要、次要、警告、事件5个级别；在 浏览数据窗口，分别以红色、橙色、黄色、蓝色、灰色五种颜邑进行显示），将管理员从繁 多的告警事件中解脱出来，避免产生告警风菽，让管理员能专心关注告警的根源。实时告警某iMC提供多种方式舟告警通知给管理员，包括：实时远程告警：通过手机短信或Email的方式，将告警及时通知管理员，实现远程网络 的监控和管理：分类、声光告警板，按故障类别及等级实时告警，让管理员通过告警板不但及时知道告警产生，同时可以了解产生的告警的类别和等级:告警级别接危设备可达性告警3UM5性能告警9告警级别农晏HMS性能告警12告警级别事炜接口 /链路状态告警1A 12 Zt 18 必 13 血 1 Ji 1告警级别 空DNS性能告警16告警级别昔吉 网管站告警1实时告警浏览和确认，通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口 :冥时未締认告警确认