统一网管平台技术建议书

1、文档说明本文档所涉及到的文字、图表等，仅限于本公司和被呈送方，双方许可，扩散到第。文档属性客户名称：项目名称：文档：技术文档：1.0文档版本：2016-01-21版本日期：文档状态：初稿作者：文档变更1.02016-01-21初稿文档送呈审阅目录1233.13.2建设目标5解决方案6设计原则7安全生产的原则7高可用性的原则7目的版本修订日期修订人描述属性内容3.34566.16.277.17.27.388.18.2可扩展性的原则7架构设计8系统特点9运行能力10用户支持量10海量指标.10安全审计11多层面的权限管理11完善的操作. 11系统级日志11功能介绍12资源管理12系统管理121.1

2、.1、 权限管理121.1.2、计划138.38.48.58.68.78.88.9拓扑管理13设备性能.15设备端口.16链路.19路由信息.20流量分析21VLAN 配置ACL 配置.258.108.118.128.13.26SYSLOG 管理26配置文件管理27WLAN.288.13.1 AP 资源纳管298.13.2 AP 指标.29.308.148.15基于指令的扩展告警管理318.15.1 告警列表318.15.2 告警通知328.16报表321 建设目标网络管理系统应以保障安全生产，提高网络服务质量管理为目标，定位于建立有效的网络管理流程体系，从快速故障定位和排除、设备性能检测、网

3、络流量和容量分析，IT 运维流程等方面切入，全面网络运行，快速故障发现和恢复，规范网络运维，保障不间断地提供 IT 服务。通过整合网络操作和运维流程，结合多种告案，形成规范的网络管理和保障机制，并采用数据分析和报表工具进行综合的分析，建立一个完善的网络运维和管理系统，使其能够安全、可靠、高效地实现网络管理所需要的功能，保障用户网络的健康，稳定运行。2 解决方案中兴网络管理系统（ICM）的设计基于 ITIL 理论和中兴在运营商等行业多年的网络系统集成、运维经验而研发，结合经验丰富的资深顾问和工程师组成的网络管理小组，帮助客户实现面向业务与服务的强大系统。系统采用可扩展的分布式架构，主要功能包括拓

4、扑管理，设备性能，设备端口、链路、路由分析、流量分析、VLAN/ACL配置、SYSLOG、WLAN、配置变更、告警管理及报表，同时可提供基于指令扩展的高级巡检功能。3 设计原则3.1 安全生产的原则网络管理系统具有高度的安全性、可靠性。系统作为对整个生产网络的、管理中心，必须通过数据备份、权限设置等多种方式方法保证系统本身的安全性、可靠性，确保系统 724 小时不间断运行。网络管理系统对整个网络的方式保证不对企业网络的稳定生产运行造成影响。3.2 高可用性的原则系统应提供各种必要的问题和事件的方法和以及个性化和图形化的界面分析工具，以用户业务、网络、数据为中心，从不同角度提供管理网络的能力，满

5、足企业的管理体制，满足不同层次的管理需求，3.3 可扩展性的原则网络管理系统的建设是一个长期的工程，网络管理系统的建设，无论是从管理架构的设计和产品的选择，可扩展性都应该是一个基本准则。系统应具有开放性和扩展性，易于扩充和客户化。由于新应用、新需求层出不穷，没有任何一个网络管理系统能够做到万象，一劳永逸，因此系统必须具有良好的开放性和扩展性，提供接口，便于增加网络管理者需要的应用和特点。4 架构设计系统主要由分析服务器、数据库服务器和WEB 门户服务器、机等物理构件组成，可采用分布式部署主要是为了提高用户和的并发能力，便于适应用户不同的网络环境采用多机的方式，对不同的网络区域执行作业。针对管理

6、设备量和数据负载量不是很大的用户，也可以采用单机部署，减少硬件投入。5系统特点中兴 ICM 支持在 Windows/Linux 上部署，通过 Web 进行管理和使用的跨系统。操作界面采用浏览器进行和呈现，结合多种富客户端技术，给使用者全新的操作体验。跨分布式部署系统可实现分布式部署，跨使用。依据用户不同的管理容量进行功能和探针的裁剪。兼容，ORACLE 等主流的数据库系统。客户端无需安装其它就能够进行管理和操作。大型网络快速能力优化了 SNMP,ICMP,NET/SSH 等探针的能力，以适应用户需要进行大型网络和管理的用户的需求。通过高效，快速，数据处理和能力，网络效率、缩短故障发现时间间隔。

7、可扩展的式架构运行采用可扩展的架构设计，以符合当前不断进化的网络技术和应用管理需求。采用扩展，XML 配置等技术，从探针，到的数据处理，客户化的展现定制方式，以及第的 WEBSERVICE 数据接口，实现可扩展的结构。的数据展现系统采用可视化的图形，列表等页面展现方式，集成各模块的数据内容，通过几种的展现界面，采用颜色，数据等指标的整合，直观的展现网络运行的各项指标和内容，实现的一目了然。6 运行能力6.1用户支持量ICM 采用 WEB SERVER 和AGENT 分开部署的方式，分离用户响应和处理，以WEB 服务端用户和支持能力，可支持 50 人以上的同时操作。6.2 海量指标系统通过优化的

8、探测模式，大幅了单个AGENT 的指标和数据处理能力，可同时支持 500 台以上设备，10000 个指标的处理能力。通过 AGENT 的扩充实现不断的扩展。对于 SNMP,ICMP 等探针进行了优化，通过异步执行的方式，实现快速的网络扫描和，大幅度效率。7 安全审计7.1 多层面的权限管理ICM 采用了多层面的用户权限管理机制，通过建立用户组，可灵活定制功能操作权限，权限设定可以细致到功能菜单级别。7.2 完善的操作系统内置了用户操作机制，系统在安全审计方面的能力。全面用户对模块的，数据和配置的调整。完整用户的过程。7.3 系统级日志系统按不同的级别建立了日志系统，结合业务功能需求，实现事件日

9、志的发送，并系统的实时运行状况。8 功能介绍8.1 资源管理1.系统支持通过 SNMP 协议自动发现管理网络内的智能设备（可设备），以及设备资源信息，包括网络设备的端口信息，以及逻辑资源 IP 与VLAN 信息。同样支持设备资源信息以固定模板的 EXECL 方式导入。2.设备支持分组管理模式，分组方式包括区域分组（自动生成）、类型分组（自动生成）、用户分组（用户根据各自管理思路自定义的设备分组），不同用户可拥有个性化的用户组，便于运维快速提取设备信息。8.2 系统管理8.2.1 权限管理系统权限控制采用业界通用的权限控制思路，用户的权限由用户所具备的角色定义，一个用户可同时具备多个角色，角色的

10、权限包括针对系统功能操作权限和针对管理对象的两个角度的控制。如：“配置浏览角色”具有查看设备配置文件的权限，但同时可限制该角色仅能查看某部分设备的配置文件，不能对所有设备配置文件浏览。8.2.2计划1.计划提供给运维主管一目了然掌握网络信息状态的，清晰掌握哪些设备（链路）在什么时间段以什么样的频率进行，类似运维体系中的作业计划。2.计划提供用户对不同设备不同数据灵活调整频率、时间点的功能，让系统对网络设备避开网络流量期，降低系统对网络的影响。3.系统任务调度引擎依据计划中定义的规则驱动系统完成各设备各类信息的更新。当用户发现设备某信息异常，可立即发起临时任务，任务调度引擎将立即驱动执行该设备某

11、信息的更新。8.3 拓扑管理系统支持区域拓扑、子网拓扑、分组拓扑几种拓扑模式，告警可向拓扑传递，可向下级拓扑钻取。当设备、链存在告警，可在拓扑图上突出展现，点击告警设备、链路则显示详细告警信息，同时可通过拓扑图查看设备性能数据，查看链路流量以及连接信息。并且提供ENT、SNMP 测试等小工具。系统支持自定义多级拓扑，如-省-市-县或用户自己的管理架构。下图是地图：区域拓扑在区域拓扑点击某省设备进入省级子网拓扑，支持以云图标识，如下图。点击省图中的地市云图标，进入地市拓扑，显示每个地市内设备的运行情况，如某地市内设备有告警，则该地市以告警的别提示，同时显示告警总数量。地市拓扑支持拓扑图定制，可根

12、据管理需要对发现的设备节点、容器的图标、图标大小及拓扑背景图进行个性化定制。可以通过搜索的方式定位拓扑图中的设备，在拓扑图中可以对查看具体设备的性能和告警。支持拓扑图的导出。8.4 设备性能设备自身性能指标，包括：设备 CPU、内存、温度、风扇、电源状态，以及每个端口的状态与流量变化情况。系统支持对不同设备、不同指标，采用不同频率，更贴近运维需求。性能指标定义性能指标告警事件性能指标实时数据8.5 设备端口对设备端口深入检查与分析，包括端口状态、端口流量、光端口功率、端口 CRC、丢包、SDH。端口 I/O 与流量设备端口输入、输出的信息，包括长包、短包、流量、CRC 误码，以及丢包、溢出包、

13、欠缺包的数量，为做深入故障分析提供条件。对于以上信息的变化系统采用“增加”、“减少”箭头清晰呈现。端口 I/O端口流量光端口功率随着技术发展，光传输越来越普遍被使用，而设备的光端口功率值的偏差直接影响信息传输的连续性、稳定性，而很多设备在使用一段时间后，容易出现端口光功率的偏差，因此光功率值的检查是运维过程非常重要一环。系统基于IP 网络，定时的对网络中的路由器和交换机口和Giga 口进行，获得端口的光通信功率（Rxer/Txer）。支持用户根据不同的厂商、端口类型、传输模式、速率与波长分类设置不同的门限阀值。系统提供：最大值、偏大值、偏小值、最小值 4 个门限阀值的设置，并实现：低于灵敏度、

14、偏低关注、正常、偏高关注、过载 5 个告警级别。系统根据用户自定义的告警阀值提供相应告警，帮助设备及时发现收发工率异常的光口，为光模块更换提供优先级参考。系统内置主流设备厂商（hawei、h3c、思科、juniper、爱立信）的 光端口功率阀值信息系统支持区域与分组的导航方式查看设备光功率告警信息，并提供多种过滤条件的告警查询与EXCEL 文件格式导出。光端口功率端口 SDHSDH 层信息，有利于定位故障产生来至传输还是数据。SDH8.6 链路通过模拟用指令测试链路的方式，能够测试任意一条链路从源端到目标端的端口的性能数据（延迟、丢包率、抖动）。实现真正端到端链路性能测试，同时包括链路测试。结

15、合对设备端口状态的快速检查，反映链路潜在故障。系统支持对热备链路的监控。不同业务等级应用不同的测试方案（不同的测试包采用不同包大小次数），让测试更贴近业务的需求。随时产生链路性能，并支持导出EXECEL。链路性能趋势可实时查看，实现大致如下：8.7 路由信息对网络设备的路由状态、路由变更做深入分析，发现运维中不易检查到故障。1.路由协议检查及时获取路由的状态信息，包括各种路由的邻居数、路由条目、路由UP 时间（反映路由是否有端过，什么时候断的）。并直观反映信息是否异常，与上次相比偏高还是低。指标包括 ：OSPF 邻居数量OSPF 邻居 UP 时间OSPF 路由条数ISIS 邻居数量ISIS 邻

16、居 UP 时间ISIS 路由条数BGP 路由条数MPLSLDP 邻居数目2.路由对比主要用在网络割接时，当执行网络割接时，都会将割接前后路由备下，然后将割接前后路由做详细对比，判断割接后，路由是否正常。系统则将整个过程自动化，让能从路由对比中快速判定路由正确性。8.8 流量分析Netflow 提供网络流量的会话级视图，下每个 TCP/IP 事务的信息，帮助 IT监控和调整网络流量。NetFlow 可以按业务（应用、协议及端口）查看某一时间段的数据流量、带宽利用率，以及各协议的数据流量以及带宽利用率。NetFlow 提供的主要分析内容：全网按照应用协议分类的 TOPN 流量分析全网设备总流量分析

17、全网设备端口总流量分析：单台设备单个端口按会话流量分析：单台设备单个端口按来源 IP 地址的流量分析：单台设备按应用分类的 TOPN 流量分析：单台设备流量分析：单台设备单个端口流量分析：8.9 VLAN 配置VLAN 是网络设备中分配的重要信息，VLAN 的错误性变更及可能造成部分网络瘫痪，因此对 VLAN 信息的非常重要，系统从控制变更的角度，VLAN 信息的历史、变更情况。8.10 ACL 配置ACL 作为的重要部分，需要随时关注 ACL 的信息，避免地址进入网络，同时避免错误操作造成网络不可，带来业务瘫痪，与 VLAN 类似，系统从关注 ACL 配置变更角度，控制 ACL 的错误更改。

18、8.11 SYSLOG 管理1.SYSLOG 备份通过 SYSLOG 协议自动接收、快速设备发送过来的 LOG，并采用设备-月（天）-序号的格式LOG 日志，保证高效大量的 LOG 日志。2.SYSLOG 分析实时接收设备 LOG 日志，自动筛出关键 LOG 信息，让 LOG 日志从事后利用转为主动分析，除支持实时的自动分析，还提供时候筛查故障用动分析功能。自动分析:根据定义的告警筛选规则，自动筛选 LOG，直观呈现所有规则集检查结果，标志出告警内容。手动分析:为事后分析而提供。从某段历史的日志中快速找到需要内容，为故障判断提供途径。8.12 配置文件管理网络设备能够安全稳定运行，设备的配置是

19、其关键，而对设备配置的有效管理是网络日常运维管理中非常重要的一项工作，其中对设备关键配置文件的及时备份是重要段。通过手动、周期和触发等多种方式的设备配置备份，能够及时、有效、无遗漏地将每一次配置变更后的配置文件进行备份，进行集中管理，以便运维随时查询和，及时发现由于配置变更引起的网络故障，方便运维将配置恢复到故障发现之前的状态。设备每一次备份完成后将自动完成启动配置与运行配置的对比、当前配置与历史配置的比对以及当时配置与配置模板的对比，方便运维能够全面了解所有网络设备的配置变更情况，及时发现错误、的配置变更，以及变更后未及时保存配置文件，防火设备重启后引起网络故障。每一台已纳管的网络设备默认将

20、第一次成功备份的配置文件设为配置模板，运维可手动指定其它备份时间的备份文件为配置模板，也可导入配置文件作为配置模板使用。通过标准配置模板的设定和配置文件的对比，可有效配置的变更。通过对配置文件的集中管理，将网络中不同厂商、不同型号、不同版本的所有设备的相关配置文件保存到系统中，改变过去由工程师和运维分散保存，不易、查询和管理等问题，避免错误的网络配置导致的网络运行故障，以及在出现故障时减少处理故障的时间。通过度的配置对比，可有效配置文件的每一次变更，以颜色标注出设备每一次变更配置，快速排除由配置引起的网络故障；及时检查主备设备配置一致性和即时提醒运维保存配置文件，避免在设备出现切换和重启时，发

21、生配置不一致而引起的网络故障，也可大大提高因替换故障设备而恢复业务运行的时间。有效的对配置文件进行集中管理，将所有网络设备的配置文件进行分类整理，建立有效的配置文件管理机制，各地的通过的管理，方便快捷地查询、对比、搜索和使用配置文件，降低各地运维的技术要求和工作量，减少对运维的过度依赖，有效节约成本。8.13 WLAN对 WLAN 的包括 AC、AP（仅针对瘦 AP）的相关指标监视 ，AC 可视作交换设备进行管理，AP 所有指标均从 AC 提取。针对 AC 自身的监视管理在“网络监视与巡检子系统”中体现，AP 的监视管理包括 AP 资源管理、AP 性能指标监视。8.13.1AP 资源纳管AP

22、资源通过从 AC 上自动的方式导入系统，同时支持手工批量导入（要求 MAC地址必须与现网 MAC 匹配）。系统用 SNMP 协议无线控制器（AC）下所管理的 AP 资源信息，的资源包括：AP 名称 设备厂家 IP 地址 MAC 地址网关8.13.2AP 指标利用 SNMP 协议到所属无线控制器（AC）上AP 数据指标，指标包括：用户数 设备运行时间连接到 AC 时间8.14 基于指令的扩展运维可扩展特定的新指标，并扩展到新的设备。基于智能的指标扩展过程采用图形化界面引导，避免直接编写的困惑。整个实现过程完全模拟从登陆设备、到输入检查指令、到获取回显、定位与分析数据、最后发出告警，因此只要能通过指令获取的信息均可以通过扩展实现，系统采用XML方式，将实现逻辑与分离，提高了可扩展性。基于指令的指标扩展规则定义图基于指令的扩展图8.15 告警管理集中管理设备所有告警信息，包括告警查询、告警过滤、告警通知等。8.15.1告警列表以列表模式集中展示来至设备各模块发出的告警信息，满足集中、快速获取所有告警的需求。点击单条告警可