2009 11 6
This presentation is the property of its rightful owner.
Sponsored Links
1 / 22

中国科技网广州分中心 贺蕴普 2009.11.6 PowerPoint PPT Presentation


  • 62 Views
  • Uploaded on
  • Presentation posted in: General

中国科技网广州分中心 贺蕴普 2009.11.6. 广州化学所网络管理经验与体会. 一、合理搭建网络架构 二、合理进行带宽分配 三、路由管理系统 RouterOS 四、网络管理手段(自行开发) 五、机房综合监控及报警系统(开发中). 一、合理搭建网络架构. 工作区 150 用户. 核心交换. 住宅区 260 用户. 网络架构简单清晰,分工作区和住宅区两个子网,相对独立。 工作区子网建于 1998 年,目前有 150 用户。 住宅区子网建于 2001 年,目前有 260 用户,接入率 60% 。

Download Presentation

中国科技网广州分中心 贺蕴普 2009.11.6

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


2009 11 6

中国科技网广州分中心贺蕴普2009.11.6

广州化学所网络管理经验与体会


2009 11 6

一、合理搭建网络架构

二、合理进行带宽分配

三、路由管理系统RouterOS

四、网络管理手段(自行开发)

五、机房综合监控及报警系统(开发中)


2009 11 6

一、合理搭建网络架构

工作区

150用户

核心交换

住宅区

260用户

  • 网络架构简单清晰,分工作区和住宅区两个子网,相对独立。

  • 工作区子网建于1998年,目前有150用户。

  • 住宅区子网建于2001年,目前有260用户,接入率60%。

  • 建设住宅区子网的经费来源,最初我们向单位申请经费支持,后来我们单位以无息贷款的方式给了我们20万元,我所共有住宅楼30栋,2001年我们仅覆盖了三分之一,后来靠收用户的网费逐步将住宅区全部覆盖并还清贷款。


2009 11 6

二、合理进行带宽分配

  • 访问院内(如邮件)不限带宽;

  • 保证工作区带宽、工作区每用户限速2M;

  • 住宅区分时限速,忙时每用户1M,闲时每用户3M;

  • 限速方式为按IP限速,靠软件实现。

  • 定时改变限速采用expect脚本语言,通过标准telnet或ssh接口自动执行限速命令。


2009 11 6

三、路由管理系统RouterOS

MikroTik RouterOS是一种路由操作系统,通过该软件将标准的PC电脑变成专业路由器,


2009 11 6

  • 两种用户管理方式

基于DHCP方式

基于PPPOE方式


2009 11 6

  • 定时自动限速


2009 11 6

  • 限用户并发数


2009 11 6

  • 日志生成与存储

  • 落实《互联网安全保护技术措施规定(公安部第82号令)》

  • 1. 记录并留存用户注册信息。

  • 2. 在公共信息服务中发现、停止传输违法信息,并保留相关记录,至少保存六十天记录备份。

  • 网络用户均采用NAT方式接入互联网,因此对用户上网行为的记录,必需在网关上进行。由于数据流量巨大,所以采用一台专门的日志文件服务器作为存储设备,减轻网关设备的压力。

  • 采用routeros的firewall规则,记录用户的网络连接信息,考虑到数据量和效率,目前我们只对tcp连接的syn包进行记录,并且只记录对外的连接。

  • 采用syslog服务器进行日志信息的网络存储。

  • 采用logrotate进行日志文件的循环备份及压缩,保存9周(63天)。


2009 11 6

  • 应用层管理

RouterOS layer7应用层协议分析,可以对常用应用如bt,迅雷,msn,qq等数据包进行管理,执行限速或丢包等操作。


2009 11 6

四、管理手段(自行开发)

  • 基于GSM短信的网络故障报警系统

  • 机房温度监控系统

  • IPV6软件路由

  • 服务器数据自动备份


2009 11 6

  • 基于GSM短信的网络故障报警系统

  • 系统目标

    由于研究所的机房通常没有24小时值班,因此我们希望在网络发生中断或恢复的第一时间,通过手机短信发到我们的手机上,被监控点为每一栋楼宇和一些重要用户。

  • 系统工作原理

    监控服务器采用linux的daemon(常驻内存)服务进程,定时发送ICMP数据探测被监控IP是否在线,出现故障后(设定连续丢包的个数),通过GSM Modem向指定的手机号码发送断网报警。网络恢复时再发送网络恢复的短信。

    ① 每栋楼宇的交换机需有固定ip地址;② 处理好误报和漏报的问题;


2009 11 6

  • 基于GSM短信的网络故障报警系统(续)

  • 讨论分析

    ① 在现有条件下(普通交换机,无固定IP地址)如何监控?在普通交换机上加挂一台可设ip地址的宽带路由(80元/台)。

    ② 区分监控级别,对于极少发生丢包现象的线路(如主干),立刻报警。对于一般用户,将丢包个数的设定值相对设大,减少误报。

    ③ 对机房市电的监控,将一台设固定IP地址宽带路由直接接在机房的市电上,对该IP地址进行监控。

    ④ 由于我们是分中心,所以我们除对所内监控外,还对我们分中心各所的外端进行监控。我们还对异地进行了试验,直接将短信发到异地网管人员的手机上。

    ⑤ 临时的作用:运营商夜间线路割接,割接完成后一定要跟我们用户确认线路恢复。可以临时将运营商联系人的手机号码加进去,线路恢复后会收到短信通知。

    ⑥ 本系统2005年开发完成,已经稳定运行四年,发送短信六千多条。


2009 11 6

  • 短信日志


2009 11 6

  • 机房温度监控系统

在监控服务器的串口上再接一套温度探测装置,可以监控机房环境的温度(通过MRTG监控图输出。

当温度值异常时,通过前面的短信报警系统向指定的手机号码发送报警短信。


2009 11 6

  • IPV6软件路由器

  • 为了开展对CNGI和IPV6的测试工作,我们采用CENTOS 5.2操作系统搭建了IPV6软路由器测试平台。

  • 以静态路由方式实现了IPV6段地址向下一级IPV6路由器转发。

  • 以RADVD服务实现了最终用户的无状态的自动配置功能。

    目前软路由稳定工作近半年,峰值流量超过100Mbps,平均流量25Mbps左右。

IPV6流量月平均图


2009 11 6

  • 服务器数据的自动备份

需备份的内容:小规模应用数据及复杂的操作系统配置备份,如WEB服务器配置文件、防火墙设置、本地路由表等数据、异地远程备份等。

备份的目标:实现一个灵活高效、针对LINUX、WINDOWS、ROUTEROS、专用防火墙、路由器、交换机等操作系统的各种复杂应用配置文件和数据的自动备份系统。利用配置文件定制备份内容,做到只备份需要的数据,并且能够对数据进行压缩和提供网络备份。

实现方法:采用一台大容量的服务器为备份主机,以主动或被动方式去获取系统备份数据,备份时间主要在凌晨网络空闲时间。

1. 采用统一的时间服务器,所有主机统一时间。

2. LINUX,SOLARIS主机主要采用BASH脚本,自动备份系统重要配置文件、数据库文件,压缩后传至备份服务器。

3. WINDOWS采用BAT脚本和计划任务定时执行,数据压缩前关闭必要的IIS和SQL服务,传至备份服务器。

4. 交换机、防火墙、路由器采用以服务器主动连接方式备份数据,即采用expect脚本语言,通过标准telnet或ssh接口执行备份命令至备份服务器。

5. RouterOS路由器操作系统,采用操作系统所定义的定时脚本生成备份数据,然后通过作为备份主机的服务器以主动连接方式(FTP)获取数据。


2009 11 6

  • 机房综合监控及报警系统(开发中)

系统目标

1. 机房物理参数监控:温度,湿度,光度,噪音。

2. 机房电源状态监控:断电等。

3. 网络中断情况扫描:IPV4,IPV6。

4. 网络服务情况扫描:通过主动端口探测。(查看一些服务是否正常工作)

5. SNMP信息输出。

6. 短信GSM报警,必要时拨打被监控用户电话。

7. 支持Web管理。

硬件设计

1. 采用三星2440ARM处理器。实际产品采用2440核心板。

2. GSM模块采用BENQ-M22。

3. 稳压电源。

4. 主板自行设计,含稳压芯片,2440核心板底座,M22底座,SIM卡卡套,PC串口芯片,温度,湿度,光度,市电传感器接口,网络隔离变压器及接口,指示灯,GSM外置天线。

5. 采用1U机架式机箱。


2009 11 6

  • 机房综合监控及报警系统(续)

系统硬件实物图

主机板

BENQ/M22-GSM模块


2009 11 6

FLASH

温度湿度光度等传感器

BENQ

GSM

MODEM

2440 ARM内核

图一GSM实时网络监测报警系统硬件结构

UART

以太网MAC

GPIO

SRAM

市电监控

  • 机房综合监控及报警系统(续)

硬件系统示意图


2009 11 6

WEB管理

监测及故障报告核心

监控内核

TCP

IP,IPV6,ARP

GSM中间件

传感器中间件

MAC硬件驱动

UART驱动接口

传感器硬件

GPIO中断服务

图二 GSM实时网络监测报警系统软件架构

  • 机房综合监控及报警系统(续)

软件设计

  • 2440ARM支持全功能LINUX并支持IPV6,主要采用C语言开发。

  • WEB SERVER采用嵌入式BOA系统,CGI处理采用CGIC库实现。

  • 数据库采用轻量级嵌入式sqlite。

  • 采用多进程设计方案。

  • GSM发送采用队列形式。


2009 11 6

谢谢!


  • Login