21世纪政务外网的IT运维支撑系统管理建设的方案.docx

21世纪政务外网的IT运维支撑系统管理建设的方案 所谓运行维护管理，通常是指为保障所管理网络及网络上所承载业务正常、安全、有效运行，建立软件、硬件系统和组织体系，以及实施的组织生产、管理活动，简称运维管理图5-1 政务外网运维架构图地方电子政务外网的运行管理主要集中于业务、网络、网元的实施监控、分析、故障排除、调度管理等内容，主要集中于面向网络的实时性监管维护管理主要集中于网元、网络等的日常维护支撑工作的管理，其管理主要集中于面向用户服务与网络运维的计划性、流程性与标准化、规范化在省级以下政务外网的管理模式主要分为两种一是由市级管理机构负责市内政务外网的集中监控、集中管理与集中调度，县管理机构负责区域内的具体维护操作工作图5-2 政务外网运维支撑手段图图5-3 政务外网各级运维机构体系图二是地市、县分别负责所辖范围内政务外网的监控与维护工作地方电子政务外网运维支撑系统功能上可以包括两大部分内容监控管理是政务外网实时业务运行数据分析处理的核心监控管理在可以实现对政务外网网元设备、链路、主机以及应用等单元的信息采集、故障和性能监视、相关运行数据统计分析功能通过监控管理，管理者可以实时了解网络运转状态，量化评价网络和网络单元的状态和有效性，支持后继的网络分析和网络规划。

流程管理在关键环节上引入ITIL关于事件、问题、变更、配置管理的相关运行规范，将日常运维工作流程通过系统进行固化，以推进整个政务外网运维管理工作的规范化，并形成对运维流程的全过程跟踪以及对流程运转效率的监督考核地方电子政务外网运维支撑系统对接数据接口应符合国家电子政务外网管理中心制定的《国家政务外网运维支撑系统建设规范》的要求，可以与国家电子政务外网管理中心、省级外网建设运维单位运维支撑系统进行数据对接第一节 运维综合管理系统设计IT运维综合管理系统设计目标：实现网络管理中用户、设备、应用的集中统一管理，实现MPLS VPN网络的管理，使网络管理员可以方便直观地进行日常网络维护、管理和监控工作在不影响现有系统稳定运行的基础上，实现信息网络中各种资源的全面、细粒度的监测、预警和管理实现可视化、仪表化、智能化导航管理的新型运维模式，大大降低运维监控的技术难度，从整体到细节全面掌控IT运行情况实现完善的网络和业务负载统计分析功能，为政务外网的发展规划、决策分析提供可靠依据有效地接入和融合的监控系统及服务平台，将运行监控和维护管理工作紧密结合，形成提供全面、集成化运维服务管理系统搭建IT运维管理系统，结合ITIL理论从实际角度优化和理顺服务流程与管理工作，减轻管理人员的工作负担，从科学管理角度规划落地，提高IT运维管理的效率并进一步精细化，提高政务外网整体的服务质量、工作效率和知识积累。

建立基于标准化流程之上的日常运维的业务绩效考核，以日常运维流程为基础，提供客观、公平而具有真实意义的工作绩效考核根据上述目标，政务外网IT运维综合管理系统架构按照层次化结构进行设计系统平台的总体架构设计遵循“松耦合度”原则，采用系统软件总线、SOA开发设计模式，以确保各功能模块的灵活性，适应个性化的需求以及未来的发展建设需求政务外网利用当前先进成熟的监控管理产品和服务管理平台，具有很强的扩展能力和二次开发能力，并同时具有良好的开放性，支持业界标准，并能通过开放的接口与第三方产品集成能通过登录认证功能，按照不同地域划分或者结合政务外网的实际情况实现分级分权管理图5-4 运维系统概要设计图从整个体系组织上看，整体的系统按照逻辑层次分为被管理对象层、业务管理层、数据处理层和运维展现层，分别从底层监控、数据处理和上层运维几个方面对政务外网的系统进行管理，同时以上几个方面并不是孤立的，而是通过统一的资源库和子系统接口来进行有机的融合下面将按照具体的功能和作用来介绍这几个子系统的架构一 被管理对象层被管理对象层分为监控管理对象和服务管理对象两大类管理平台的最下层是被管对象层（网元层），通常意义上指被管理的各类软硬件平台和服务管理实体。

被管实体层的范围依照用户的需求来进行划分监控管理对象主要包括：1.网络系统网络管理对象涵盖各级网络设备，包括各厂商的路由器、交换机、防火墙、均衡负载设备，以及主机、存储设备等所有支持SNMP协议的设备，同时包括网络设备互联的多种链路和网络流量、协议等，在此基础上建立网络关系拓扑，从整体上管理和维护网络2.安全系统安全管理对象包括保障网络信息安全的相关硬件和软件系统，包括各个厂商的防火墙、防病毒、入侵检测、流量监测系统等，提供对这些对象的监控、故障、日志、统计等多角度安全分析，并且纳入整体的网络关系拓扑中，更好地保障业务安全运行3.服务器系统主机服务器是系统管理的核心对象，主要从操作系统层面上对服务器进行监控，考虑到系统的复杂性，服务器管理对象需要支持Windows、IBM AIX、SUN Solaris、SCO UNIX、SUSE LINUX ES、Red Hat LINUX、HP-UX等平台，管理的核心以主机资源的使用性能、状态、故障告警为主4.存储备份系统系统需提供主流IBM、HP、SUN、HDS、ADICD、STK等存储备份系统的监控，有效保障存储备份系统的正常运行5.软件系统软件系统主要指软件基础架构平台，主要包括数据库系统、中间件系统等。

6.业务应用业务应用软件更加贴近各级业务系统环境，从运行角度来看，只有建立业务级别的监控管理，才可以更加准确地评估业务的运行情况，进而促进政务外网的健康发展和进一步拓展二 业务管理层（一）综合网络管理网络管理系统面向网络的全面监测，系统自动搜索全网的网络设备和配置，支持多厂商、异构类型网络，通过多种先进的算法，主动发现并动态更新网络链路互联结构；监控网络设备和链路的各类性能指标、运行状态、流量报文，进行分析和呈现；判断网络各种可能的异常情况，并进行告警分析，启发式定位故障原因，并上报给统一事件管理层；提供客户端和Web端两种呈现方式，为用户统一化管理提供支撑网管系统提供完善的流量分析解决方案，提供基于Sniffer、Netflow、Sflow等多种采集方式网络系统管理中内含IP地址接入管理模块，单独负责IP地址的接入管理，提供IP类信息自动发现和IP/MAC/主机/组织/人等信息绑定功能，并可以拦截与放行设备，将非法的IP终端隔离出网络网络管理系统的采集技术手段包括：主动采集包括SNMP Polling、ICMP、ARP、Traceroute、NetBIOS、TELNET等被动采集包括Syslog、SNMP Trap、Sniffer、Netflow、Sflow等。

网络管理系统采集的主要信息包括：设备配置信息获取设备厂商、设备型号、类型、固件版本、物理地址、IP地址、端口列表、VLAN等主要信息，同时对支持配置远程备份的设备，获取其配置文件IP地址信息主要用于IP地址管理，通过多种方式扫描和获取网络中活动IP地址的信息，和IP地址注册信息进行比对，对违规的IP地址进行阻断和放行链路配置信息获取线路类型，上行设备、上行端口，下行设备，下行端口，是否真实路线，上行带宽、下行带宽等信息网络拓扑信息获取ARP、Route、OSPF、GRP、CDP、STP、VLAN等拓扑相关信息网络性能信息主要包括以下网络性能信息：√ 网络设备的启动运行时间；√ 网络设备CPU的利用率；√ 网络设备的内存利用率；√ 网络设备的温度监测信息；√ 网络设备接口的丢包率、错包率、帧长度等；√ 网络设备接口到对端设备接口的丢包率和网络延迟；√ 重要链路的延迟、可用带宽；√ 可以自定义性能MIB指标表达式的定义工具网络报文信息√ 采用Sniffer、NetFlow、Sflow等多种报文分析技术对网络进行侦听，获取报文和协议信息；√ 协议、IP级协议、应用级别协议的流量分布信息；√ 流量、流向、会话分布信息。

网络告警信息√ 监测各级主干网络链路的通、断事件；√ 监测各级主干网路由器、三层交换机的端口工作状态；√ 接收设备厂商定义的TRAP、Syslog故障事件；√ 监测网络设备的配置情况，如果发现有异常改动就告警；√ 按照性能的阈值进行预警；√ 可按需灵活定义、设置故障监测范围、监测方式网管系统主要功能遵循以下的技术功能指标：支持大规模的广域网、局域网拓扑发现，并且自动拓扑更新，而不是人工的再次发现；提供网管发现的高级调优参数，包括发现周期、轮询速度、发包速度等，为不同的网络环境提供更好的兼容性；集成IP地址管理功能，可以设备入网审批、实现IP地址资源分配与统计、非法接入监控、阻止用户任意更改IP地址等行为拓扑界面集成配置、性能、告警的浮动展现，提供强大的拓扑导航和编辑功能；提供网络性能的多维分析，提供性能采集的门限管理，提供各类采集性能指标的趋势、比较、TopN分析呈现；提供故障的灵活通知方式，包括语音、E-mail、短信等等，灵活的通知策略确保通知到最合适的管理人员；集成Flowmon流量分析模块，分别用于广域网和局域网的流量分析，为用户提供完善、可伸缩的流量分析手段；集成网管工具箱，包括Ping、Traceroute、telnet、MIB浏览器等；告警的延时最长不超过10分钟，重要告警的延时不超过2分钟；性能的实时监测分析可达10秒钟，性能快照5～10分钟，系统智能重用性能数据，减少无效采集次数，性能的原始历史信息可以保留3个月，归并信息可以保留2年。

二）MPLS VPN网管设计及部署MPLS VPN网管是网管系统中的核心组成部分之一基于SOAP开放架构，提供强大的扩展能力和接口能力主要功能MPLS VPN网管完成的主要功能是：√ 根据网络规划，生成业务请求并进行部署、审计√ 维护网络数据，监视网络性能和故障√ 进行网络性能、故障的业务相关性分析，为业务保障提供原始数据体系结构MPLS VPN网管须采用B/S结构，基于SOA架构，最大限度地提供扩展性、冗余性以及健壮性，最大限度地降低部署成本，并提供Web服务接口，可提供二次开发能力MPLS VPN资源管理系统须提供便捷的方式增加VPN资源VPN资源包括PE、CE、VPNPE和CE资源可以直接从基础网络资源导入，而VPN资源用户既可以手工增加，也可以利用自动发现功能构建√ 支持虚拟CE由于CE设备的多样性，部分CE设备可能是不可管理的，管理员可以创建虚拟CE虚拟CE同样代表了一个客户接入点，利用虚拟CE设备不仅能够体现PE设备和客户站点之间的连接关系，而且能够确定客户接入点之间的连通性√ 支持直接查看PE、CE设备的详细信息除了基础网络资源的信息，还可以查看PE设备的VPN信息和VRF信息。

√ 支持周期同步和手工同步PE的配置信息如果配置发生了变化，系统告警提示管理员，在PE设备的VPN信息界面中提示哪些VPN链路的配置发生了变化，同时在拓扑上特殊标注√ 支持管理VPN管理VPN是为了管理CE而创建的VPN，与其他业务VPN的管理需求有明显的区别MPLS VPN网管提供对管理VPN的配置和过滤功能MPLS VPN分组管理MPLS VPN网管须支持将已发现的VPN按照网络的实际情况或者用户希望的方式进行组合这在网络非常庞大时，可以按客户、种类等分组方法，。