Post on 23-Jan-2016
description
中国科技网广州分中心贺蕴普
2009.11.6
广州化学所网络管理经验与体会
一、合理搭建网络架构
二、合理进行带宽分配
三、路由管理系统 RouterOS
四、网络管理手段(自行开发)
五、机房综合监控及报警系统(开发中)
一、合理搭建网络架构
核心交换
工作区150 用户
住宅区260 用户
网络架构简单清晰,分工作区和住宅区两个子网,相对独立。 工作区子网建于 1998 年,目前有 150 用户。 住宅区子网建于 2001 年,目前有 260 用户,接入率 60% 。
建设住宅区子网的经费来源,最初我们向单位申请经费支持,后来我们单位以无息贷款的方式给了我们 20 万元,我所共有住宅楼 30 栋, 2001 年我们仅覆盖了三分之一,后来靠收用户的网费逐步将住宅区全部覆盖并还清贷款。
二、合理进行带宽分配 访问院内(如邮件)不限带宽;
保证工作区带宽、工作区每用户限速 2M ;
住宅区分时限速,忙时每用户 1M ,闲时每用户 3M ;
限速方式为按 IP 限速,靠软件实现。
定时改变限速采用 expect 脚本语言,通过标准 telnet 或 ssh 接口自动执行限速命令。
三、路由管理系统 RouterOS
MikroTik RouterOS 是一种路由操作系统,通过该软件将标准的 PC 电脑变成专业路由器,
基于 DHCP 方式
基于 PPPOE 方式
两种用户管理方式
定时自动限速
限用户并发数
日志生成与存储
落实《互联网安全保护技术措施规定(公安部第 82 号令)》1. 记录并留存用户注册信息。2. 在公共信息服务中发现、停止传输违法信息,并保留相关记录,至少保存六十天记录备份。
网络用户均采用 NAT 方式接入互联网,因此对用户上网行为的记录,必需在网关上进行。由于数据流量巨大,所以采用一台专门的日志文件服务器作为存储设备,减轻网关设备的压力。 采用 routeros 的 firewall 规则,记录用户的网络连接信息,考虑到数据量和效率,目前我们只对 tcp 连接的 syn 包进行记录,并且只记录对外的连接。 采用 syslog 服务器进行日志信息的网络存储。 采用 logrotate 进行日志文件的循环备份及压缩,保存 9 周 (63 天 ) 。
应用层管理
RouterOS layer7 应用层协议分析,可以对常用应用如 bt ,迅雷, msn , qq 等数据包进行管理,执行限速或丢包等操作。
四、管理手段(自行开发)
基于 GSM 短信的网络故障报警系统
机房温度监控系统
IPV6 软件路由
服务器数据自动备份
基于 GSM 短信的网络故障报警系统
系统目标
由于研究所的机房通常没有 24小时值班,因此我们希望在网络发生中断或恢复的第一时间,通过手机短信发到我们的手机上,被监控点为每一栋楼宇和一些重要用户。
系统工作原理
监控服务器采用 linux 的 daemon (常驻内存)服务进程,定时发送 ICMP 数据探测被监控 IP 是否在线,出现故障后(设定连续丢包的个数),通过 GSM Modem 向指定的手机号码发送断网报警。网络恢复时再发送网络恢复的短信。
① 每栋楼宇的交换机需有固定 ip地址;② 处理好误报和漏报的问题;
基于 GSM 短信的网络故障报警系统(续)
讨论分析
① 在现有条件下(普通交换机,无固定 IP地址)如何监控?在普通交换机上加挂一台可设 ip地址的宽带路由( 80 元 / 台)。
② 区分监控级别,对于极少发生丢包现象的线路(如主干),立刻报警。对于一般用户,将丢包个数的设定值相对设大,减少误报。
③ 对机房市电的监控,将一台设固定 IP地址宽带路由直接接在机房的市电上,对该 IP
地址进行监控。
④ 由于我们是分中心,所以我们除对所内监控外,还对我们分中心各所的外端进行监控。我们还对异地进行了试验,直接将短信发到异地网管人员的手机上。
⑤ 临时的作用:运营商夜间线路割接,割接完成后一定要跟我们用户确认线路恢复。可以临时将运营商联系人的手机号码加进去,线路恢复后会收到短信通知。
⑥ 本系统 2005 年开发完成,已经稳定运行四年,发送短信六千多条。
短信日志
机房温度监控系统
在监控服务器的串口上再接一套温度探测装置,可以监控机房环境的温度(通过 MRT
G 监控图输出。
当温度值异常时,通过前面的短信报警系统向指定的手机号码发送报警短信。
IPV6 软件路由器
为了开展对 CNGI 和 IPV6 的测试工作,我们采用 CENTOS 5.2 操作系统搭建了 IPV6 软路由器测试平台。
以静态路由方式实现了 IPV6段地址向下一级 IPV6 路由器转发。
以 RADVD 服务实现了最终用户的无状态的自动配置功能。
目前软路由稳定工作近半年,峰值流量超过 100Mbps ,平均流量 25Mbps
左右。
IPV6 流量月平均图
服务器数据的自动备份需备份的内容:小规模应用数据及复杂的操作系统配置备份,如 WEB 服务器配置文件、防火墙设置、本地路由表等数据、异地远程备份等。
备份的目标:实现一个灵活高效、针对 LINUX 、 WINDOWS 、 ROUTEROS 、专用防火墙、路由器、交换机等操作系统的各种复杂应用配置文件和数据的自动备份系统。利用配置文件定制备份内容,做到只备份需要的数据,并且能够对数据进行压缩和提供网络备份。
实现方法:采用一台大容量的服务器为备份主机,以主动或被动方式去获取系统备份数据,备份时间主要在凌晨网络空闲时间。
1. 采用统一的时间服务器,所有主机统一时间。2. LINUX , SOLARIS主机主要采用 BASH 脚本,自动备份系统重要配置文件、数据库文件,压缩
后传至备份服务器。3. WINDOWS 采用 BAT 脚本和计划任务定时执行,数据压缩前关闭必要的 IIS 和 SQL 服务,传至备
份服务器。4. 交换机、防火墙、路由器采用以服务器主动连接方式备份数据,即采用 expect 脚本语言,通过标
准 telnet 或 ssh 接口执行备份命令至备份服务器。5. RouterOS 路由器操作系统,采用操作系统所定义的定时脚本生成备份数据,然后通过作为备份主
机的服务器以主动连接方式( FTP )获取数据。
机房综合监控及报警系统(开发中)系统目标1. 机房物理参数监控:温度,湿度,光度,噪音。2. 机房电源状态监控:断电等。3. 网络中断情况扫描: IPV4 , IPV6 。4. 网络服务情况扫描:通过主动端口探测。(查看一些服务是否正常工作)5. SNMP 信息输出。6. 短信 GSM 报警,必要时拨打被监控用户电话。7. 支持 Web 管理。
硬件设计1. 采用三星 2440ARM处理器。实际产品采用 2440 核心板。2. GSM模块采用 BENQ-M22 。3. 稳压电源。4. 主板自行设计,含稳压芯片, 2440 核心板底座, M22底座, SIM卡卡套, PC串口芯片,
温度,湿度,光度,市电传感器接口,网络隔离变压器及接口,指示灯, GSM 外置天线。5. 采用 1U 机架式机箱。
机房综合监控及报警系统(续)
系统硬件实物图
主机板 BENQ/M22-GSM模块
机房综合监控及报警系统(续)
硬件系统示意图
图一 GSM实时网络监测报警系统硬件结构
2440 ARM 内核
以太网 MAC
FLASH
SRAM
温度湿度光度等传感器
市电监控 GPIO
BENQGSM
MODEM
UART
机房综合监控及报警系统(续)软件设计
2440ARM 支持全功能 LINUX 并支持 IPV6 ,主要采用 C 语言开发。 WEB SERVER 采用嵌入式 BOA 系统, CGI处理采用 CGIC库实
现。 数据库采用轻量级嵌入式 sqlite 。 采用多进程设计方案。 GSM 发送采用队列形式。
MAC硬件驱动 UART驱动接口
IP , IPV6 , ARP
传感器硬件 GPIO 中断服务
GSM 中间件 传感器中间件
TCP
监控内核
WEB 管理 监测及故障报告核心
图二 GSM实时网络监测报警系统软件架构
谢谢!