广州化学所网络管理经验与体会.ppt

中国科技网广州分中心贺蕴普2009.11.6 一、合理搭建网络架构 谢谢！ * 广州化学所网络管理经验与体会 一、合理搭建网络架构 二、合理进行带宽分配 三、路由管理系统RouterOS 四、网络管理手段（自行开发） 五、机房综合监控及报警系统（开发中） 核心交换 工作区 150用户 住宅区 260用户 网络架构简单清晰，分工作区和住宅区两个子网，相对独立。 工作区子网建于1998年，目前有150用户。 住宅区子网建于2001年，目前有260用户，接入率60%。 建设住宅区子网的经费来源，最初我们向单位申请经费支持，后来我们单位以无息贷款的方式给了我们20万元，我所共有住宅楼30栋，2001年我们仅覆盖了三分之一，后来靠收用户的网费逐步将住宅区全部覆盖并还清贷款。 二、合理进行带宽分配 访问院内（如邮件）不限带宽； 保证工作区带宽、工作区每用户限速2M； 住宅区分时限速，忙时每用户1M，闲时每用户3M； 限速方式为按 IP限速，靠软件实现。 定时改变限速采用expect脚本语言，通过标准telnet或ssh接口自动执行限速命令。 三、路由管理系统RouterOS MikroTik RouterOS是一种路由操作系统，通过该软件将标准的PC电脑变成专业路由器， 基于DHCP方式 基于PPPOE方式 两种用户管理方式 定时自动限速 限用户并发数 日志生成与存储 落实《互联网安全保护技术措施规定（公安部第82号令）》 1. 记录并留存用户注册信息。 2. 在公共信息服务中发现、停止传输违法信息，并保留相关记录，至少保存六十天记录备份。 网络用户均采用NAT方式接入互联网，因此对用户上网行为的记录，必需在网关上进行。由于数据流量巨大，所以采用一台专门的日志文件服务器作为存储设备，减轻网关设备的压力。 采用routeros的firewall规则，记录用户的网络连接信息，考虑到数据量和效率，目前我们只对tcp连接的syn包进行记录，并且只记录对外的连接。 采用syslog服务器进行日志信息的网络存储。 采用logrotate进行日志文件的循环备份及压缩，保存9周(63天)。 应用层管理 RouterOS layer7应用层协议分析，可以对常用应用如bt，迅雷，msn，qq等数据包进行管理，执行限速或丢包等操作。 四、管理手段（自行开发） 基于GSM短信的网络故障报警系统 机房温度监控系统 IPV6软件路由 服务器数据自动备份 基于GSM短信的网络故障报警系统 系统目标 由于研究所的机房通常没有24小时值班，因此我们希望在网络发生中断或恢复的第一时间，通过手机短信发到我们的手机上，被监控点为每一栋楼宇和一些重要用户。 系统工作原理 监控服务器采用linux的daemon（常驻内存）服务进程，定时发送ICMP数据探测被监控IP是否在线，出现故障后（设定连续丢包的个数），通过GSM Modem向指定的手机号码发送断网报警。网络恢复时再发送网络恢复的短信。 ① 每栋楼宇的交换机需有固定ip地址；② 处理好误报和漏报的问题； 基于GSM短信的网络故障报警系统（续） 讨论分析 ① 在现有条件下（普通交换机，无固定IP地址）如何监控？在普通交换机上加挂一台可设ip地址的宽带路由（80元/台）。 ② 区分监控级别，对于极少发生丢包现象的线路（如主干），立刻报警。对于一般用户，将丢包个数的设定值相对设大，减少误报。 ③ 对机房市电的监控，将一台设固定IP地址宽带路由直接接在机房的市电上，对该IP地址进行监控。 ④ 由于我们是分中心，所以我们除对所内监控外，还对我们分中心各所的外端进行监控。我们还对异地进行了试验，直接将短信发到异地网管人员的手机上。 ⑤ 临时的作用：运营商夜间线路割接，割接完成后一定要跟我们用户确认线路恢复。可以临时将运营商联系人的手机号码加进去，线路恢复后会收到短信通知。 ⑥ 本系统2005年开发完成，已经稳定运行四年，发送短信六千多条。 短信日志 机房温度监控系统 在监控服务器的串口上再接一套温度探测装置，可以监控机房环境的温度（通过MRTG监控图输出。 当温度值异常时，通过前面的短信报警系统向指定的手机号码发送报警短信。 IPV6软件路由器 为了开展对CNGI和IPV6的测试工作，我们采用CENTOS 5.2操作系统搭建了IPV6软路由器测试平台。 以静态路由方式实现了IPV6段地址向下一级IPV6路由器转发。 以RADVD服务实现了最终用户的无状态的自动配置功能。