中国科技网广州分中心贺蕴普

2009.11.6

广州化学所网络管理经验与体会

一、合理搭建网络架构

二、合理进行带宽分配

三、路由管理系统 RouterOS

四、网络管理手段（自行开发）

五、机房综合监控及报警系统（开发中）

一、合理搭建网络架构

核心交换

工作区150 用户

住宅区260 用户

网络架构简单清晰，分工作区和住宅区两个子网，相对独立。 工作区子网建于 1998 年，目前有 150 用户。 住宅区子网建于 2001 年，目前有 260 用户，接入率 60% 。

建设住宅区子网的经费来源，最初我们向单位申请经费支持，后来我们单位以无息贷款的方式给了我们 20 万元，我所共有住宅楼 30 栋， 2001 年我们仅覆盖了三分之一，后来靠收用户的网费逐步将住宅区全部覆盖并还清贷款。

二、合理进行带宽分配 访问院内（如邮件）不限带宽；

保证工作区带宽、工作区每用户限速 2M ；

住宅区分时限速，忙时每用户 1M ，闲时每用户 3M ；

限速方式为按 IP 限速，靠软件实现。

定时改变限速采用 expect 脚本语言，通过标准 telnet 或 ssh 接口自动执行限速命令。

三、路由管理系统 RouterOS

MikroTik RouterOS 是一种路由操作系统，通过该软件将标准的 PC 电脑变成专业路由器，

基于 DHCP 方式

基于 PPPOE 方式

两种用户管理方式

定时自动限速

限用户并发数

日志生成与存储

落实《互联网安全保护技术措施规定（公安部第 82 号令）》1. 记录并留存用户注册信息。2. 在公共信息服务中发现、停止传输违法信息，并保留相关记录，至少保存六十天记录备份。

网络用户均采用 NAT 方式接入互联网，因此对用户上网行为的记录，必需在网关上进行。由于数据流量巨大，所以采用一台专门的日志文件服务器作为存储设备，减轻网关设备的压力。 采用 routeros 的 firewall 规则，记录用户的网络连接信息，考虑到数据量和效率，目前我们只对 tcp 连接的 syn 包进行记录，并且只记录对外的连接。 采用 syslog 服务器进行日志信息的网络存储。 采用 logrotate 进行日志文件的循环备份及压缩，保存 9 周 (63 天 ) 。

应用层管理

RouterOS layer7 应用层协议分析，可以对常用应用如 bt ，迅雷， msn ， qq 等数据包进行管理，执行限速或丢包等操作。

四、管理手段（自行开发）

基于 GSM 短信的网络故障报警系统

机房温度监控系统

IPV6 软件路由

服务器数据自动备份

基于 GSM 短信的网络故障报警系统

系统目标

由于研究所的机房通常没有 24小时值班，因此我们希望在网络发生中断或恢复的第一时间，通过手机短信发到我们的手机上，被监控点为每一栋楼宇和一些重要用户。

系统工作原理

监控服务器采用 linux 的 daemon （常驻内存）服务进程，定时发送 ICMP 数据探测被监控 IP 是否在线，出现故障后（设定连续丢包的个数），通过 GSM Modem 向指定的手机号码发送断网报警。网络恢复时再发送网络恢复的短信。

① 每栋楼宇的交换机需有固定 ip地址；② 处理好误报和漏报的问题；

基于 GSM 短信的网络故障报警系统（续）

讨论分析

① 在现有条件下（普通交换机，无固定 IP地址）如何监控？在普通交换机上加挂一台可设 ip地址的宽带路由（ 80 元 / 台）。

② 区分监控级别，对于极少发生丢包现象的线路（如主干），立刻报警。对于一般用户，将丢包个数的设定值相对设大，减少误报。

③ 对机房市电的监控，将一台设固定 IP地址宽带路由直接接在机房的市电上，对该 IP

地址进行监控。

④ 由于我们是分中心，所以我们除对所内监控外，还对我们分中心各所的外端进行监控。我们还对异地进行了试验，直接将短信发到异地网管人员的手机上。

⑤ 临时的作用：运营商夜间线路割接，割接完成后一定要跟我们用户确认线路恢复。可以临时将运营商联系人的手机号码加进去，线路恢复后会收到短信通知。

⑥ 本系统 2005 年开发完成，已经稳定运行四年，发送短信六千多条。

短信日志

机房温度监控系统

在监控服务器的串口上再接一套温度探测装置，可以监控机房环境的温度（通过 MRT

G 监控图输出。

当温度值异常时，通过前面的短信报警系统向指定的手机号码发送报警短信。

IPV6 软件路由器

为了开展对 CNGI 和 IPV6 的测试工作，我们采用 CENTOS 5.2 操作系统搭建了 IPV6 软路由器测试平台。

以静态路由方式实现了 IPV6段地址向下一级 IPV6 路由器转发。

以 RADVD 服务实现了最终用户的无状态的自动配置功能。

目前软路由稳定工作近半年，峰值流量超过 100Mbps ，平均流量 25Mbps

左右。

IPV6 流量月平均图

服务器数据的自动备份需备份的内容：小规模应用数据及复杂的操作系统配置备份，如 WEB 服务器配置文件、防火墙设置、本地路由表等数据、异地远程备份等。

备份的目标：实现一个灵活高效、针对 LINUX 、 WINDOWS 、 ROUTEROS 、专用防火墙、路由器、交换机等操作系统的各种复杂应用配置文件和数据的自动备份系统。利用配置文件定制备份内容，做到只备份需要的数据，并且能够对数据进行压缩和提供网络备份。

实现方法：采用一台大容量的服务器为备份主机，以主动或被动方式去获取系统备份数据，备份时间主要在凌晨网络空闲时间。

1. 采用统一的时间服务器，所有主机统一时间。2. LINUX ， SOLARIS主机主要采用 BASH 脚本，自动备份系统重要配置文件、数据库文件，压缩

后传至备份服务器。3. WINDOWS 采用 BAT 脚本和计划任务定时执行，数据压缩前关闭必要的 IIS 和 SQL 服务，传至备

份服务器。4. 交换机、防火墙、路由器采用以服务器主动连接方式备份数据，即采用 expect 脚本语言，通过标

准 telnet 或 ssh 接口执行备份命令至备份服务器。5. RouterOS 路由器操作系统，采用操作系统所定义的定时脚本生成备份数据，然后通过作为备份主

机的服务器以主动连接方式（ FTP ）获取数据。

机房综合监控及报警系统（开发中）系统目标1. 机房物理参数监控：温度，湿度，光度，噪音。2. 机房电源状态监控：断电等。3. 网络中断情况扫描： IPV4 ， IPV6 。4. 网络服务情况扫描：通过主动端口探测。（查看一些服务是否正常工作）5. SNMP 信息输出。6. 短信 GSM 报警，必要时拨打被监控用户电话。7. 支持 Web 管理。

硬件设计1. 采用三星 2440ARM处理器。实际产品采用 2440 核心板。2. GSM模块采用 BENQ-M22 。3. 稳压电源。4. 主板自行设计，含稳压芯片， 2440 核心板底座， M22底座， SIM卡卡套， PC串口芯片，

温度，湿度，光度，市电传感器接口，网络隔离变压器及接口，指示灯， GSM 外置天线。5. 采用 1U 机架式机箱。

机房综合监控及报警系统（续）

系统硬件实物图

主机板 BENQ/M22-GSM模块

机房综合监控及报警系统（续）

硬件系统示意图

图一 GSM实时网络监测报警系统硬件结构

2440 ARM 内核

以太网 MAC

FLASH

SRAM

温度湿度光度等传感器

市电监控 GPIO

BENQGSM

MODEM

UART

机房综合监控及报警系统（续）软件设计

2440ARM 支持全功能 LINUX 并支持 IPV6 ，主要采用 C 语言开发。 WEB SERVER 采用嵌入式 BOA 系统， CGI处理采用 CGIC库实

现。 数据库采用轻量级嵌入式 sqlite 。 采用多进程设计方案。 GSM 发送采用队列形式。

MAC硬件驱动 UART驱动接口

IP ， IPV6 ， ARP

传感器硬件 GPIO 中断服务

GSM 中间件 传感器中间件

TCP

监控内核

WEB 管理 监测及故障报告核心

图二 GSM实时网络监测报警系统软件架构

谢谢！