檔案館檔案信息化系統(tǒng)建設方案

1、2020年5月29日檔案館檔案信息化系統(tǒng)建設方案文檔僅供參考檔案館檔案信息化系統(tǒng)建設設計方案 7月目錄 TOC o 1-2 h z u HYPERLINK l _Toc第 一 章 檔案局建設需求分析 PAGEREF _Toc h 4HYPERLINK l _Toc1.1 檔案局信息化建設現狀 PAGEREF _Toc h 4HYPERLINK l _Toc1.2 建設目標 PAGEREF _Toc h 4HYPERLINK l _Toc1.3 業(yè)務及需求分析 PAGEREF _Toc h 5HYPERLINK l _Toc1.4 系統(tǒng)設計原則 PAGEREF _Toc h 7HYPERLINK

2、 l _Toc第 二 章 網絡平臺建設 PAGEREF _Toc h 11HYPERLINK l _Toc2.1 網絡建設原則 PAGEREF _Toc h 11HYPERLINK l _Toc第 三 章 總體網絡建設方案 PAGEREF _Toc h 13HYPERLINK l _Toc3.1 方案設計思路 PAGEREF _Toc h 13HYPERLINK l _Toc3.2 網絡結構拓撲設計 PAGEREF _Toc h 24HYPERLINK l _Toc3.3 網絡管理設計 PAGEREF _Toc h 28HYPERLINK l _Toc3.4 網絡安全設計 PAGEREF _T

3、oc h 40HYPERLINK l _Toc第 四 章 云計算中心建設 PAGEREF _Toc h 49HYPERLINK l _Toc4.1 建設云計算平臺的重要意義 PAGEREF _Toc h 49HYPERLINK l _Toc第 五 章 中心機房建設方案 PAGEREF _Toc h 58HYPERLINK l _Toc5.1 機房裝飾工程 PAGEREF _Toc h 58HYPERLINK l _Toc5.2 機房供、配電系統(tǒng) PAGEREF _Toc h 63HYPERLINK l _Toc5.3 防雷接地系統(tǒng) PAGEREF _Toc h 67HYPERLINK l _T

4、oc5.4 機房消防系統(tǒng) PAGEREF _Toc h 70HYPERLINK l _Toc5.5 機房門禁系統(tǒng) PAGEREF _Toc h 72HYPERLINK l _Toc5.6 機房通風系統(tǒng) PAGEREF _Toc h 74HYPERLINK l _Toc5.7 機柜系統(tǒng) PAGEREF _Toc h 78HYPERLINK l _Toc5.8 UPS及環(huán)境監(jiān)控設計 PAGEREF _Toc h 79HYPERLINK l _Toc5.9 用戶需求及應用狀況 PAGEREF _Toc h 82HYPERLINK l _Toc5.10 實際方案介紹 PAGEREF _Toc h 82

5、HYPERLINK l _Toc5.11 單機配電原理圖 PAGEREF _Toc h 82HYPERLINK l _Toc5.12 輸入/輸出配電要求 PAGEREF _Toc h 83HYPERLINK l _Toc5.13 設備尺寸、重量及放置要求 PAGEREF _Toc h 84HYPERLINK l _Toc5.14 系統(tǒng)優(yōu)化建議方案 PAGEREF _Toc h 85HYPERLINK l _Toc5.15 產品介紹 PAGEREF _Toc h 86HYPERLINK l _Toc5.16 科士達蓄電池 PAGEREF _Toc h 90HYPERLINK l _Toc5.17

6、 服務器機柜產品資料 PAGEREF _Toc h 93HYPERLINK l _Toc5.18 環(huán)境監(jiān)控系統(tǒng) PAGEREF _Toc h 100檔案局建設需求分析檔案局信息化建設現狀信息化是當今世界科技、經濟與社會發(fā)展的大趨勢,是推進現代化建設的重大戰(zhàn)略舉措,也是衡量一個地區(qū)、一個城市現代化程度和綜合競爭力的重要標志。根據國家、省上、市上關于信息化建設的總體要求,XX市檔案局政府信息化建設緊緊圍繞國民經濟和社會發(fā)展目標,從全面建設小康社會、加快推進XX市檔案局現代化建設的要求出發(fā),采取切實有效的措施,加快信息化建設步伐,努力促進XX市檔案局”國際化、市場化、人文化、生態(tài)化”建設的發(fā)展目標,

7、推動經濟社會全面協(xié)調可持續(xù)發(fā)展。建設目標XX市檔案局網絡主要承載政務園區(qū)的政務應用,專用于政務園區(qū)政府網絡信息平臺,實現政務園區(qū)各入駐部門的網絡互聯(lián),滿足各種業(yè)務系統(tǒng)的需要。規(guī)劃建設的主要目標是:根據全省、全市檔案館網絡統(tǒng)一規(guī)劃,多業(yè)務承載網絡,具備多業(yè)務融合承載能力,即在統(tǒng)一的網絡系統(tǒng)平臺上,利用IP網絡承載電子政務業(yè)務數據、流媒體等信息;高可靠、高帶寬,保證現有電子政務各項業(yè)務應用需求,兼顧將來發(fā)展,提供一個高帶寬、可根據需求靈活進行服務級別管理的網絡系統(tǒng)平臺;故障冗余能力,由于電子政務應用的特殊性,網絡系統(tǒng)平臺應具備良好的可用性,要求網絡規(guī)劃具有完善的故障自愈能力和故障冗余能力。業(yè)務智能

8、化能力,電子政務平臺必須至少要在3到5年滿足黨政機關辦公需求,因此XX市檔案局基礎架構需要能夠智能適應黨政辦公的需求。基礎網絡架構能夠智能適應黨政機關業(yè)務能力的發(fā)展。業(yè)務及需求分析對整個新檔案館的信息化建設及檔案專用設施設計要求如下:(1)按新檔案館建設標準和規(guī)范設計;(2)所有硬件設施和軟件設施必須滿足現代檔案館可持續(xù)發(fā)展的需要;(3)檔案館的信息化系統(tǒng)的設計按三網一庫的要求設計: 檔案館的三網要物理隔離開來; 三網一庫是內部局域網(專網)、電子政務網(黨政網)、Internet網(外網),一庫是數字檔案基礎數據庫; 服務器機房的設備的安全保護,如:UPS電源系統(tǒng)、防雷系統(tǒng)、門禁系統(tǒng);服務器

9、機房的數據安全保護,如:防火墻、病毒入侵檢測等;(4)綜合智能控制系統(tǒng)采用自動檢測和智能控制,實現無人管理: 庫房溫濕度系統(tǒng)完全自動檢測溫度和濕度控制有效范圍之內,出現超出值自動報警,控制值在有效范圍內除濕機、空調都停止工作,達到節(jié)能; 視頻監(jiān)控系統(tǒng)在整個檔案館重點部位全方位監(jiān)控,使整個檔案館都監(jiān)控范圍,圖像的保存不少于半個月,并實現移動檢測報警同時有語音提示和圖像聯(lián)動報警; 綜合智能控制系統(tǒng)有電子地圖、溫濕度曲線圖、視頻聯(lián)動報警、設備故障檢測、語音提示、手機短信、屏幕報警、相互聯(lián)動等功能;(5)檔案查詢要采用多種查詢手段來滿足公眾信息的查詢; 局館介紹、查詢指南、局務公開、目錄查詢、相關視頻

10、資料(根據實際情況定點開發(fā));(6)報告廳要采用數字多媒體會議系統(tǒng);(7)檔案專用設施設備的配置,如:低溫冷凍消毒殺蟲柜、智能光盤柜、掃描儀等;(8)檔案系統(tǒng)專業(yè)軟件必須滿足檔案館的數字加工、電子檔案管理,檔案利用、查詢等要求;信息化平臺建設需要考慮的問題:多業(yè)務虛擬化邏輯隔離 為多部門提供靈活的虛擬專用網,實現不同職能部門之間靈活的業(yè)務訪問控制和隔離多業(yè)務統(tǒng)一承載 利用同一張物理承載網,實現數據、語音、視頻、監(jiān)控等不同業(yè)務數據的高效傳輸,實時保障不同業(yè)務的業(yè)務質量安全性 保證政府政務信息系統(tǒng)免受外來和內部不安全系統(tǒng)所帶來的安全威脅,實現政務信息的高可靠性數據管理 檔案館是政府電子化辦公的核心

11、資產,要能有效管理和保護這些業(yè)務數據維護管理 路由器、交換機、防火墻、入侵防御系統(tǒng)等各種網絡安全設備眾多,用戶終端資產,網絡業(yè)務多樣化等等,要能實現設備、用戶終端、網絡業(yè)務等多方面的高效管理網絡可持續(xù)發(fā)展、擴展 隨著網絡信息化技術的高速發(fā)展步伐,當前建設的網絡平臺要能有效滿足今后5年的網絡使用需求,現有的網絡平臺是能夠進行低成本的平滑升級。系統(tǒng)設計原則系統(tǒng)建設的目的在于應用。根據政府系統(tǒng)計算機工作的各種規(guī)范及各種業(yè)務的需求,結合政府部門的應用經驗和發(fā)展要求,在系統(tǒng)設計時,主要應遵循以下原則:系統(tǒng)可靠性原則使用技術成熟的網絡設備和通信技術,選擇支持網絡管理功能的網絡產品及其相關的網絡管理軟件,為

12、網絡管理和維護人員提供方便條件,系統(tǒng)建設應保證一定的冗余性。系統(tǒng)實用性與可管理性的原則網絡建設要有一定的前瞻性。在網絡建成的五年之內,業(yè)務量的增加不應導致對網絡結構及主干設備的重大調整。同時考慮實際的應用水平,避免技術環(huán)境過于超前造成投資浪費。嚴格按國家安全保密標準及相關文件要求,采用多級安全保密措施。設備應有效防止信息的泄密、病毒的入侵、以及抵制外界對其的非法侵入。但網絡安全措施不應嚴重影響網絡的易用性。網絡應有良好的用戶界面、管理界面和開發(fā)界面。 系統(tǒng)可擴展性和開放性原則網絡應采用開放式體系結構,易于擴充,使相對獨立的分系統(tǒng)易于進行組合和調整。選用的通信協(xié)議要符合國際標準或工業(yè)標準,網絡的

13、硬件環(huán)境,通信環(huán)境,軟件環(huán)境相互獨立,自成平臺,使相互間依賴減至最小,同時,要保證網絡的互聯(lián)。隨著應用水平的提高,對網絡的要求也會不斷提高,網絡結構應具有良好的可擴充與可延展性。預先作好硬件、軟件和管理接口,使網絡能擴充新的節(jié)點和新的分支,其次網絡必須具有擴充升級能力,能夠適應網絡科技發(fā)展的要求。系統(tǒng)具有最高性能、最好的升級途徑、充分的帶寬、苛刻環(huán)境中不存在單點故障,再出現問題后提供快速恢復能力。保護用戶投資及效益性在XX市檔案局網絡架構設計中,首先必須確保與全省、全市電子政務網絡技術架構的一致性,全省、全市電子政務網絡是架構在MPLS-VPN基礎上的能夠承載多業(yè)務的先進網絡,因此,XX市檔案

14、局的網絡也必須充分支持MPLS-VPN技術。設計依據主要依據的有關國標及文件如下:中辦發(fā)( )17號中辦發(fā) 11號國信 2號國務院令 492號GB 50173-92電氣裝置安裝工程 35kV及以下架空電力線路施工及驗收規(guī)范GB 50168-92電氣裝置安裝工程 電纜線路施工及驗收規(guī)范GB 50169-92電氣裝置安裝工程 接地裝置施工及驗收規(guī)范GB 50254-96電氣裝置安裝工程低壓電器施工及驗收規(guī)范GBJ 149-90電氣裝置安裝工程母線裝置施工及驗收規(guī)范GB 50171-92電氣裝置安裝工程盤、柜及二次回路結線施工及驗收規(guī)范GB 50254-96 GB 50255-96GB 50256-

15、96 GB 50257-96GB 50258-96 GB 50259-96電氣裝置安裝工程施工及驗收規(guī)范(其中:GB 50258-96 、GB 50259-96應執(zhí)行修訂后的國標GB 50303- )GB/T 5271.4- 信息技術 詞匯 第4部分:數據的組織GB/T 5271.6- 信息技術 詞匯 第6部分:數據的準備與處理GB/T 5271.8- 信息技術 詞匯 第8部分:安全GB/T 5271.9- 信息技術 詞匯 第9部分:數據通信GB/T5271.20-1994信息技術 詞匯 第20部分:系統(tǒng)開發(fā)GB/T5271.25- 信息技術 詞匯 第25部分:局域網GB/T5271.27-

16、信息技術 詞匯 第27部分:辦公自動化GB/T5271.28- 信息技術 詞匯 第28部分:人工智能 基本概念與專家系統(tǒng)GB/T 14085-1993信息處理系統(tǒng) 計算機系統(tǒng)配置圖符號及約定GB/Z 18729- 基于網絡的企業(yè)信息集成規(guī)范YD/T 1170- IP網絡技術要求網絡總體YD/T 1171- IP網絡技術要求網絡性能參數與指標GB 17859-1999計算機信息系統(tǒng) 安全保護等級劃分準則GB/T 17965- 信息技術 開放系統(tǒng)互連 高層安全模型GB/T 17963- 信息技術 開放系統(tǒng)互連 網絡層安全協(xié)議GB/T.16681-1996( )信息技術 開放系統(tǒng)中文界面規(guī)范GB/T

17、18336.1- 信息技術 安全技術 信息技術安全性評估準則 第1部分GB/T18336.2- 信息技術 安全技術 信息技術安全性評估準則 第2部分GB/T18336.3- 信息技術 安全技術 信息技術安全性評估準則 第3部分GB/T 18231- 信息技術 低層安全模型GB/T 18492- 信息技術 系統(tǒng)及軟件完整性級別GB 4943- 信息技術設備的安全GB 9254-1998信息技術設備的無線電騷擾限值和測量方法YD 5059-1998通信設備安裝抗震設計規(guī)范YD 5060-1998通信設備安裝抗震設計圖集GB/T 19486- 電子政務主題詞表編制規(guī)則GB/T 19487- 電子政務

18、業(yè)務流程設計方法 通用規(guī)范GB/T 19488.1- 電子政務數據元 第1部分:設計和管理規(guī)范YD 5059-1998通信設備安裝抗震設計規(guī)范YD 5060-1998通信設備安裝抗震設計圖集EIATIA-568A、EIATIA-568B 商用建筑線纜標準GB/T 18233- 信息技術 用戶建筑群的通用布纜GA 308- 安全防范系統(tǒng)驗收規(guī)范GA/T 75-1995安全防范工程程序與要求GA/T 74-1994安全防范系統(tǒng)通用圖形符號GB/T 2887- 電子計算機場地通用規(guī)范GB 50174-93電子計算機機房設計規(guī)范GB 9361-88計算站場地安全要求YD/T 754-1995通信機房靜

19、電防護通則GB/T 14715-93信息技術設備用不間斷電源系統(tǒng)通用技術條件國家標準(GB50174-93)國家標準(GB/T2887- )國家公共安全和保密標準GGBB1-1999GB17859:ISO17799/BS7799:網絡平臺建設 網絡建設原則高可靠性網絡架構和設備均支持業(yè)務系統(tǒng)對服務級別高可靠性的要求,在網絡分層部署的架構和設備體系選擇以及相關配置上均充分按照高可用的系統(tǒng)設計;整個網絡系統(tǒng)應具有很高的安全可靠性,必須滿足724365 小時連續(xù)運行的要求。在通信故障發(fā)生時,網絡設備能夠快速自動地切換到備份鏈路或設備上;高安全性按照嚴格的安全體系進行設計,分布式部署,使網絡具有統(tǒng)一的

20、安全防護能力,支持全網的安全聯(lián)動;網絡安全建設能有效防止網絡的非法訪問,保護關鍵數據不被非法竊取、篡改或泄漏,使數據具有極高的安全性;可擴展性作為承載業(yè)務數據通信的網絡平臺要具有面向未來的良好的伸縮性能,既能滿足當前的需求,又能支持未來業(yè)務網點、業(yè)務量、業(yè)務種類的擴展和與其它機構或部門的連接等對網絡的擴充性要求,能夠滿足不斷變化的應用需求?？晒芾硇哉麄€網絡系統(tǒng)需要能夠進行高效的管理和維護,有使用方便、部署簡單的網絡管理系統(tǒng),這將直接影響業(yè)務系統(tǒng)的運作。開放性網絡建設全面遵循業(yè)界標準,所推薦采用的設備、技術在互通性和互操作性上,能夠支持本網絡系統(tǒng)的快速布署。效益性網絡的投資應隨著網絡的伸縮能夠持

21、續(xù)發(fā)揮作用,保護現有網絡的投資,充分發(fā)揮網絡投資的最大效益。完整性網絡系統(tǒng)應實現端到端的、能整合數據、語音和圖像的多業(yè)務應用,滿足全網范圍統(tǒng)一的實施安全策略、QoS 策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網絡?？傮w網絡建設方案根據國家檔案館的規(guī)范要求,本次檔案館分為電子政務外網、檔案館內網、Internet網之間物理隔離,Int網絡主要以無線有線一體化方便到訪查閱人員上網,提高舒適度,實施立上網行為管理,其它網絡不涉及無線網絡。二樓為多媒體查閱利用閱覽室和辦公室,多媒體查閱利用閱覽室要求無線覆蓋。三樓為主要辦公室,包含主要領導辦公室,四樓五樓主要為辦公區(qū),每層樓設7個辦公室,每個辦公室

22、占時只有三個點,要求三套網絡接入。也就是現在每套網絡每層樓都要。設一臺24口交換機,未來辦公區(qū)可能會擴展,每套網絡在將來至少承載300個點。現有以及安裝的監(jiān)控點位52個將來要接到電子政務外網中,需配置POE供電交換機。方案設計思路方案設計思路概述總體思路千兆雙絞線到桌面、千兆光纖骨干為了實現檔案局網絡平臺承載網高速的接入和高效、穩(wěn)定的核心,網絡建設的總體思路采用”千兆雙絞線到桌面、千兆光纖到核心骨干”核心層采用虛擬虛擬化技術-高效穩(wěn)定網絡分別把兩臺物理核心交換機,經過技術,虛擬化成一臺邏輯的設備,主要基于以下幾個方面的考慮:性能翻番使用虛擬化技術后,核心設備是負載分擔的方式,兩臺設備當兩臺用,

23、使用虛擬化技術后,匯聚到核心的雙鏈路上行都是負載分擔方式,兩條鏈路當兩條用可靠性高:鏈路/節(jié)點故障200ms的故障自愈時間,MSTP+VRRP的方式為秒級收斂時間; 網絡更簡單使用虛擬化技術后,二層不需要生成樹;三層不需要VRRP;多臺設備只需配置一次,讓網絡更簡單安全滲透網絡用防火墻隔離各安全區(qū)域防火墻作為不同網絡或網絡安全域之間信息的出入口,能根據安全策略控制出入網絡的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務,實現網絡和信息安全的基礎設施。在邏輯上,防火墻是一個分離器、限制器和分析器,能夠有效監(jiān)不同安全網絡之間的任何活動。防火墻在網絡間實現訪問控制,比如一個是用戶的安全網絡

24、,稱之為被信任應受保護的網絡,另外一個是其它的非安全網絡稱為某個不被信任而且不需要保護的網絡。防火墻就位于一個受信任的網絡和一個不受信任的網絡之間,經過一系列的安全手段來保護受信任網絡上的信息。對關鍵路徑進行深入檢測防護雖然,網絡中已部署了防火墻等基礎網絡安全產品,可是,在網絡的運行維護中,IT部門依然發(fā)現網絡的帶寬利用率居高不下、而應用系統(tǒng)的響應速度越來越慢。產生這個問題的原因并不是當初網絡設計不周,而是自 以來,蠕蟲、點到點,入侵技術日益滋長并演變到應用層面(L7)的結果,而這些有害代碼總是偽裝成客戶正常業(yè)務進行傳播,當前部署的防火墻等安全產品其軟硬件設計當初僅按照其工作在L2-L4時的情

25、況考慮,不具有對數據流進行綜合、深度監(jiān)測的能力,自然就無法有效識別偽裝成正常業(yè)務的非法流量,結果蠕蟲、攻擊、間諜軟件、點到點應用等非法流量輕而易舉地經過防火墻開放的端口進出網絡。因此在關鍵路徑上部署獨立的具有深度檢測防御的IPS(入侵防御系統(tǒng))就顯得非常重要。深度檢測防御是為了檢測計算機網絡中違反安全策略行為。一般認為違反安全策略的行為有: 入侵非法用戶的違規(guī)行為; 濫用用戶的違規(guī)行為;深度檢測防御識別出任何不希望有的活動,從而限制這些活動,以保護系統(tǒng)的安全。深度檢測防御的應用目的是在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)驅逐入侵攻擊。在入侵攻擊過程中,能減少入侵攻擊所

26、造成的損失。對用戶非法上網行為進行識別和控制當前網絡各種應用越來越豐富,可是對于一個網絡的管理員而言,非法的、未受控的應用,會擠占合法應用帶寬,同時影響職員的整體生產率,這些應用必須被識別并加以控制。比如在電子政務網中,P2P下載、娛樂類應用占用了大量的帶寬,對這些機構正常的業(yè)務影響極大;另一方面,政府職員,把工作或學習時間消耗在一些不必要甚至非法的網絡活動上,大大影響了工作效率。經過應用識別技術,可把各種應用及其行為置于明確的可管理的前提下,并經過阻斷、限流等手段實現應用控制。對全網設備進行統(tǒng)一安全管理并進行用戶行為審計日益嚴峻的安全威脅迫,不得不加強對網絡系統(tǒng)的安全防護,不斷追求多層次、立

27、體化的安全防御體系,逐步引入了防病毒、防火墻、IPS/IDS、VPN等大量異構的單點安全防御技術,再加上交換機、路由器等網絡設備,網絡結構日益復雜。然而,現有網絡安全防御體系還是以孤立的單點防御為主,彼此間缺乏有效的協(xié)作,不同的設備之間的信息也無法共享,從而形成了一個個安全的”信息孤島”。經過統(tǒng)一安全管理平臺安全管理中心,能夠對網絡中的網絡設備、安全設備、服務器等進行統(tǒng)一管理,收集相關信息,進行關聯(lián)分析,形成安全事件報表輸出,而且針對用戶行為輸出審計報告,有效的幫助管理員了解網絡中的安全現狀與風險,提供相關解決辦法和建議。終端準入安全控制在網絡中,任何一臺終端的安全狀態(tài),都將直接影響到整個網絡

28、的安全。非法用戶的侵入,肆意破壞和盜取內部資源信息;不符合安全策略的終端(如防病毒庫版本低,補丁未升級),容易遭受攻擊、感染病毒,如果某臺終端感染了病毒,它將不斷在網絡中試圖尋找下一個受害者,并使其感染;在一個沒有安全防護的網絡中,最終的結果可能是全網癱瘓,所有終端都無法正常工作。對終端準入安全我們需要關注的問題是:病毒提前預防用戶權限細分 2. 告警自動響應 3. 安全統(tǒng)一管理 終端準入安全解決方案考慮到終端網絡安全的方方面面,針對上述主要問題都提出了具有針對性的方法,這些方法相互關聯(lián)、相互配合,形成完善的終端網絡安全解決方案病毒預防 經過終端軟件對終端的補丁、病毒庫升級狀態(tài)進行檢查,確保每

29、一個終端健康接入,預防病毒感染;防火墻進行安全域分割,最小化可能的病毒擴散范圍;防火墻/IPS對黨政網數據流進行監(jiān)控,根據特征識別病毒,而且經過與網絡設備和終端軟件的聯(lián)動,直接控制病毒爆發(fā)點。接入控制建設用戶接入控制: 1. 終端軟件進行身份認證,杜絕非法用戶接入。 2. 終端軟件收集終端用戶的安全狀態(tài),上報給安全管理平臺,對用戶終端安全狀態(tài)進行檢查,拒絕不符合安全策略的用戶登陸。 3. 防火墻、IPS對數據流進行監(jiān)控,及時阻斷攻擊的同時,將安全事件上報安全管理平臺。 4. 安全管理中心收集、分析后,通知網絡管理系統(tǒng)。 5. 網絡管理系統(tǒng)向網絡、安全設備和終端軟件統(tǒng)一下發(fā)安全管理策略,精確控制

30、攻擊源頭。威脅追根溯源 安全管理中心采集網絡設備、安全設備和服務器的安全日志,結合終端安全防護客戶端上報的用戶上網過程、安全狀態(tài)、病毒查殺事件,進行統(tǒng)一分析,實時輸出審計報告。當發(fā)生安全事故后,能夠根據記錄的信息對用戶既往行為進行分析和追根朔源。同時,安全管理員能夠按照法律法規(guī)(如SOX法案)和標準中的規(guī)定,定制相應的審計報告。安全全面掌控 基于先進的深度挖掘及分析技術,管理中心能對上百個廠商的各種產品進行管理,經過對海量信息的采集、分析、關聯(lián)、匯聚和統(tǒng)一處理,協(xié)助管理員實時監(jiān)控網絡安全狀況,及時發(fā)現安全隱患?？煽啃越M網技術推薦可靠性概述網絡的可靠性是一個從端到端的全程概念,單純提高某一層面的

31、可靠性并不能對網絡整體的可靠性有很大改進。網絡的可靠性最終要從設備級、鏈路級、網絡級、業(yè)務級等各層次保證。本次檔案局電子政務網絡平臺檔案局電子政務網絡平臺網絡建設需要從這幾個方面全面考慮網絡的可靠性,以構建高穩(wěn)定可靠的網絡平臺。設備級的可靠性:包括設備本身的健壯性及對周圍環(huán)境的適應能力,可靠的設備應該對關鍵部件(如主控板,交換網板,電源等)進行冗余備份,而且能夠在惡劣的環(huán)境下長時間穩(wěn)定運行。設備級可靠性的另外一個重要方面就是設備在線升級能力及容錯能力,容錯能力體現在如設備發(fā)生故障時,可自動平滑的啟動備份部件,不對業(yè)務造成影響。鏈路級的可靠性:包括鏈路本身的可靠性,包括良好的線路質量,及鏈路的備

32、份技術,如采用一些物理線路捆綁技術提供線路的可靠性,也能夠采用其它鏈路/線路保護技術,如環(huán)網技術、虛擬化技術網絡級的可靠性:設計合適的拓撲,如避免采用單星型結構以避免單點故障;網絡設計模塊化,各功能區(qū)域相獨立,任一區(qū)域的故障不會擴散到其它區(qū)域;設備間的備份,如采用進行備份,當主用設備發(fā)生故障時,流量自動切換到備份設備上,該過程對業(yè)務透明;路由可靠性:首先根據網絡特點選擇合理的路由協(xié)議,避免路由環(huán)路,減少路由振蕩,而且保護某個網絡節(jié)點失效后網絡快速自愈。業(yè)務的可靠性:網絡只是業(yè)務的承載平臺,設備,鏈路及網絡的可靠性設計歸根到底都是為了保證業(yè)務的可靠性,從網絡角度考慮業(yè)務可靠性,主要是經過各種網絡

33、技術時業(yè)務數據流滿足業(yè)務的要去,如流量分布是不均衡的,特別是突發(fā)流量會引起網絡的擁塞,導致業(yè)務的中斷,需流量管理的引入能夠使網絡流量均衡,提高網絡的利用率,進而對控制網絡擁塞情況的發(fā)生。網絡的可靠性設計并不是一個孤立的問題,受到網絡的地理分布,規(guī)模,可用線路等多方面原因限制,但作為核心承載基礎平臺,應具備以下可靠性設計特點:業(yè)務網絡與后臺管理層網絡的分離網絡關鍵設備之間互相備份網絡關鍵設備重要部件備份業(yè)務網絡的關鍵層次設備之間的冗余連接后臺管理層的雙平面網絡設計網絡結構模塊化優(yōu)化后的動態(tài)路由保護防火墻的冗余設計二層流量范圍的控制設備級可靠性設計本次檔案局電子政務網絡平臺網絡的設備級可靠性主要從

34、設備自身可靠性,設備間熱備份兩個方面考慮。作為網絡核心、分布層、高密度與關鍵業(yè)務接入層的關鍵設備必須具有電信級可靠性:可靠性指標必須達到99.999%;所有關鍵器件,如設備、電源等都采用冗余設計,業(yè)務模塊支持熱插拔;網絡核心設備支持不間斷轉發(fā),主控板熱備份。主備倒換過程不影響業(yè)務轉發(fā),不丟包。網絡核心設備支持軟件在線升級,升級過程中業(yè)務不中斷。網絡核心設備支持軟件熱補丁,打補丁過程中主控板和接口板都不需要重啟動,業(yè)務不中斷。引擎對高可靠性的支持必須是完備的,系統(tǒng)的。既要對硬件部件的備份,也需要對數據和系統(tǒng)的中間狀態(tài)信息備份。硬件的備份技術是由硬件邏輯或者底層軟件控制的,系統(tǒng)需要實時檢測硬件的狀

35、態(tài),如果發(fā)現異常,則啟動倒換過程,將備用硬件升級為主用,而原主用部件相應的轉換為備用,同時嘗試對硬件部件復位,并給系統(tǒng)發(fā)出告警。為了將網絡中斷時間減少至最短時間,甚至做到業(yè)務不中斷,要求系統(tǒng)運行時的動態(tài)數據或進程狀態(tài)進行熱備份,這時備用板處于一個特殊的運行態(tài),只接收和儲存由主用板發(fā)送來的數據和狀態(tài),當主用板發(fā)生故障時,系統(tǒng)平滑的切換到備用板,切換過程對網絡用戶透明,業(yè)務不會因為網絡的切換而中斷。當系統(tǒng)的備用板啟動之后,主用板和備用板之間的狀態(tài)差異能夠非常大,這時需要將主用系統(tǒng)的數據批量的備份到備用板上,這個過程就是批量備份。當批量備份結束后,隨著系統(tǒng)的運行,主用系統(tǒng)的數據會發(fā)生變化,這些變化需

36、要定時的備份到備用系統(tǒng)中。一旦主用系統(tǒng)出現故障,備用系統(tǒng)和主用系統(tǒng)的角色需要交換,將備用系統(tǒng)升格為主用系統(tǒng)。備用系統(tǒng)升級為主用系統(tǒng)后,一些狀態(tài)信息沒有從原主用系統(tǒng)得到,或數據失效,新的主用系統(tǒng)需要與接口板對硬件狀態(tài)、鏈路層狀態(tài)和配置數據上確認這些數據。熱備份保證主備系統(tǒng)板之間的數據和狀態(tài)始終一致,因而,業(yè)務板也感覺不到系統(tǒng)板發(fā)生倒換,再加上協(xié)議狀態(tài)的一致,因此能夠保證業(yè)務不會丟失。主備倒換發(fā)生時,業(yè)務板不發(fā)生變化,允許保文繼續(xù)轉發(fā),從而保證業(yè)務不損失。本次項目建設中,要求網絡的核心層、匯聚層等中高端機框式網絡設備都采用冗余引擎。每臺核心層設備均采用HA特性實現系統(tǒng)的高可靠性,能夠在主控板發(fā)生故

37、障時,快速、準確恢復系統(tǒng)的正常運行,從而增強系統(tǒng)的MTBF(Mean Time Between Failure),即平均故障間隔時間。電源電源是電子設備正常運行的動力所在,為了有效增加網絡設備運行的電源可靠性,要求本次檔案局電子政務網絡平臺網絡建設使用的核心網絡設備必須支持冗余電源。以實現了電源模塊的1+1冗余備份。模塊和端口模塊和端口設計通用原則如下:區(qū)分上連、互連和下連鏈路,盡量保證彼此模塊相對獨立;同一機箱優(yōu)先使用高編號槽位;同一模塊優(yōu)先使用高編號端口;系統(tǒng)軟件考慮到所有的軟件系統(tǒng)均無盡善盡美,那么軟件的補丁技術可靠性也是本次網絡建設設備級可靠性設計考慮的重要環(huán)節(jié)。補丁技術主要目的是修正

38、已經發(fā)現并解決的BUG,防止相同的問題在不同的網絡上發(fā)生。冷補丁技術的主要是使用更新的軟件版本替換有問題的版本,在這個過程中,如果是在無備份的機制下,會中斷轉發(fā)業(yè)務;在有備份板的情況下,打補丁操作需要在備板中進行,經過手動倒換操作,能實現無業(yè)務損失的升級工作,但在接口處理板上的補丁操作會影響業(yè)務的正常運行。冷補丁的軟件升級技術是傳統(tǒng)數據通信產品的主要方式,冷補丁技術能夠不中斷業(yè)務的轉發(fā),但對設備的正常運行有一定影響。熱補丁技術需要有操作系統(tǒng)和相應的編譯工具的支持,它的是將所需要升級的那部分代碼編譯后形成一個補丁文件,在打補丁過程中,將這個補丁文件加載到系統(tǒng)的補丁區(qū)域,并修改原有軟件的Bug 區(qū)

39、域,將新的特性跳轉到補丁區(qū)域執(zhí)行,整個過程不需要中斷業(yè)務,能夠在主用板執(zhí)行,因此業(yè)務沒有絲毫損失。另外熱補丁技術并沒有修改原有軟件,因此在需要時能夠回退,這也為補丁的更新提供了更便利的條件。熱補丁技術則是現有電信網絡設備的常見方式,在執(zhí)行過程中業(yè)務處理流程能夠正常進行,對設備沒有任何影響。本次網絡建設要求所使用的高端網絡設備需要支持兩種補丁方式。鏈路級可靠性設計鏈路級可靠性設計主要考慮在網絡的關鍵處采用鏈路冗余備份設計,可適當采用交叉連接方式、跨設備鏈路捆綁技術等。檔案局網絡平臺的網絡核心、匯聚層之間都需要有冗余連接;而重要服務器的接入建議采用AFT模式。這種模式提供服務器冗余備份的功能。網卡

40、組中的所有網卡使用相同的IP和MAC地址,整個網卡組在外界看來作為一塊虛擬網卡存在。備份組中的網卡有運行和備份兩種狀態(tài)。處于運行態(tài)的網卡(只有一塊)負責報文的收發(fā)。當運行態(tài)的網卡出現故障后,處于備份狀態(tài)的一塊網卡會自動切換到運行態(tài)接管所有業(yè)務。一般來說,一個網卡組能夠經過如下方式來檢測運行態(tài)的網卡的當前狀況,用以決策是否需要切換:處于運行態(tài)的網卡的鏈路狀況處于運行態(tài)的網卡是否發(fā)生硬件故障軟件檢測機制這種模式其功能完全不依賴交換機提供支持,其穩(wěn)定性是相對最高的。這種模式比較適合在對可靠性要求很高的場合中使用。網絡可靠性設計合適的拓撲,如避免采用星型結構以避免單點故障;網絡設計模塊化,各功能區(qū)域相

41、獨立,任一區(qū)域的故障不會擴散到其它區(qū)域;設備間的備份,如采用虛擬化進行備份,當主用設備發(fā)生故障時,流量毫秒級自動切換到備份設備上,該過程對業(yè)務透明;路由可靠性:首先根據網絡特點選擇合理的路由協(xié)議,避免路由環(huán)路,減少路由振蕩,而且保護某個網絡節(jié)點失效后網絡快速自愈。業(yè)務可靠性網絡只是業(yè)務的承載平臺,設備,鏈路及網絡的可靠性設計歸根到底都是為了保證業(yè)務的可靠性,從網絡角度考慮業(yè)務可靠性,主要是經過各種網絡技術時業(yè)務數據流滿足業(yè)務的要去,如流量分布是不均衡的,特別是突發(fā)流量會引起網絡的擁塞,導致業(yè)務的中斷,需流量管理的引入能夠使網絡流量均衡,提高網絡的利用率,進而對控制網絡擁塞情況的發(fā)生;本次網絡平

42、臺的建設完成后,將傳輸多種業(yè)務、多種應用,這些業(yè)務對可靠性、時延、時延抖動等服務質量有不同需求。為了保證檔案局電子政務網絡平臺的關鍵業(yè)務能高效應用,需要在網絡中實施QOS技術以保證關鍵業(yè)務在網絡上傳輸的帶寬和時延。IRF2虛擬化本次設計方案網絡核心采用兩臺75E系列交換機,兩臺交換機經過萬兆端口互聯(lián),利用IRF2技術,將兩臺物理設備虛擬成一臺,實現性能翻倍、單一管理等特性。IRF2虛擬化功能模擬出虛擬的設備,設備管理同時管理IRF2的虛擬設備與真實的物理設備,屏蔽其差異。而對于運行在此系統(tǒng)上的上層應用軟件來說,經過設備管理層的屏蔽,已經消除了IRF2系統(tǒng)中不同設備物理上的差異,因此,對于單一運

43、行的物理設備或IRF2虛擬出來的設備,上層軟件都不需要做任何的修改,而且對于上層軟件系統(tǒng)新增的功能,可同步應用于所有硬件設備。IRF2虛擬化模塊:自動進行IRF2系統(tǒng)的拓撲收集、角色選舉,并將設備組虛擬成單一的邏輯設備,上層軟件所見只是一臺設備;硬件系統(tǒng):IRF2組內的硬件設備及組件;設備管理層:提供對線卡、接口等各種設備資源的管理。這里的設備包括對硬件的抽象,也包括經過IRF2虛擬化發(fā)現的邏輯設備;系統(tǒng)管理與上層應用模塊:運行在IRF2系統(tǒng)上的所有管理、控制程序,包括各種路由協(xié)議模塊、鏈路層協(xié)議模塊等。網絡結構拓撲設計電子政務外網和互聯(lián)網 圖2拓撲圖方案具體說明網絡采用分層次,分區(qū)域設計,采

44、用扁平化二層組網,分為核心層、接入層,”千兆光纖骨干,千兆雙絞線到桌面”由于核心交換機充當著網絡樞紐節(jié)點,建議核心交換機均采用數據中心級交換機產品,核心交換機建議采用基于采用垂直豎插槽高端多業(yè)務路由交換機,前后通風,有利于設備散熱,提高設備和網絡的穩(wěn)定性和可靠性。為保證高可靠性,推薦核心交換機采用虛擬化技術,把兩臺物理的交換機設備虛擬成一臺邏輯設備,達到性能翻翻,管理方便,易于擴展,統(tǒng)一路由表轉發(fā)表,以滿足行政集中辦公區(qū)網絡高穩(wěn)定、高帶寬、高并發(fā)、易管理、毫秒級故障恢復時間等需求。詳細設計思路總體思路千兆雙絞線到桌面、千兆光纖骨干為了實現檔案局電子政務網絡平臺承載網高速的接入和高效、穩(wěn)定的核心

45、,網絡建設的總體思路采用”千兆到桌面、萬兆核心骨干”。核心層采用虛擬虛擬化技術-高效穩(wěn)定網絡分別把兩臺物理核心交換機,經過技術,虛擬化成一臺邏輯的設備,主要基于以下幾個方面的考慮:性能翻番使用虛擬化技術后,核心設備是負載分擔的方式,兩臺設備當兩臺用,使用虛擬化技術后,匯聚到核心的雙鏈路上行都是負載分擔方式,兩條鏈路當兩條用可靠性高:鏈路/節(jié)點故障200ms的故障自愈時間,MSTP+VRRP的方式為秒級收斂時間; 網絡更簡單使用虛擬化技術后,二層不需要生成樹;三層不需要VRRP;多臺設備只需配置一次,讓網絡更簡單支持網絡安全一體化可靠性高支持把安全板卡整合在核心交換機上,即插即用,熱插拔,當一個

46、模塊出故障后,經過背板能夠將故障插卡屏蔽,數據自動跳過,保障業(yè)務正常開展,不會出現盒式獨立安全設備那樣的單點故障。安全策略部署靈活。擴展性高需要增加安全性能時,只需要增加安全板卡數量即可,而且性能會隨之壘加,已買設備不會因為性能不夠而被淘汰。性能高與核心交換機萬兆背板無縫互聯(lián),達到快速數據處理和交換。網絡管理設計網絡管理系統(tǒng)是網絡日常維護、監(jiān)控的重要工具,是網絡管理人員與網絡設備間的重要界面。網絡管理系統(tǒng)需要滿足以下基本功能需求:網管平臺需要對全網進行管理,需要有拓撲發(fā)現、設備管理等功能,力求能全面地覆蓋IT業(yè)務的各個方面;要求具有非常好的開放性,對業(yè)界主流廠商的設備都能夠一定程度的識別和管理

47、,能夠實現對網絡設備的故障管理、配置管理和性能管理、故障管理等。對于復雜業(yè)務,如MPLS VPN和QOS 管理、無線管理等業(yè)務,網管平臺需要能夠很好地支持,能最大限度地減小網管人員在進行網絡多業(yè)務管理時的工作量。要求網絡管理系統(tǒng)采用組件化設計思想,能夠按需裝配的所需的組件,方便網絡管理系統(tǒng)的功能模塊升級?？商峁I(yè)務、資源和用戶的融合管理解決方案,實現業(yè)務的端到端管理。經過網絡管理系統(tǒng)能夠靈活組織功能組件,能夠形成直接面向業(yè)務流解決方案,從根本上解決網絡管理的復雜性問題。網絡管理系統(tǒng)主要功能需要包括以下幾個方面系統(tǒng)安全管理系統(tǒng)安全管理功能主要有包括:操作日志管理、操作員管理、分組分級與權限管理、

48、操作員登錄管理等。所包含的主要功能有:操作員登錄管理管理員經過制定登錄安全策略約束操作員的登錄鑒權,實現操作員登錄的安全性,經過訪問控制模板約束操作員能夠登錄的終端機器的IP地址范圍,避免惡意嘗試另人密碼進行登錄的行為存在,經過密碼控制策略,約束操作員密碼組成要求,包括密碼長度、密碼復雜性要求、密碼有效期等,以約束操作員定期修改密碼,并對密碼復雜性按要求設置。操作員密碼管理管理員為操作員制定密碼控制策略,操作員僅能按照指定的策略定期修改密碼,以保證訪問網絡管理系統(tǒng)系統(tǒng)的安全性。分組分級權限管理管理員經過設備分組、用戶分組的設置,能夠為操作員指定能夠管理的指定設備分組和用戶分組,并指定其管理權限

49、和角色,包括管理員、維護員和查看員,實現按角色、分權限、分資源(設備和用戶)的多層權限控制;同時經過設置下級網絡管理權限,能夠經過限制登錄下級網絡管理系統(tǒng)的操作員和密碼,保證訪問下級網絡管理系統(tǒng)的安全性。操作日志管理對于操作員的所有操作,包括登錄、注銷的時間、登錄IP地址以及登錄期間進行的任何可能修改系統(tǒng)數據的操作,都會記錄詳細的日志。提供豐富的查詢條件,管理員能夠審計任何操作員的歷史操作記錄,界定網絡操作錯誤的責任范圍。操作員在線監(jiān)控和管理:系統(tǒng)管理員經過”在線操作員”能夠實時監(jiān)控當前在線聯(lián)機登錄的操作員信息,包括登錄的主機IP地址、登錄時間等,同時,系統(tǒng)管理員能夠將在線操作員強制注銷、禁用

50、/取消禁用當前IP地址等控制操作。資源管理網絡管理系統(tǒng)資源管理與拓撲管理作為整體共同為用戶提供網絡資源的管理。本節(jié)講解網絡管理系統(tǒng)的資源管理,下節(jié)講解網絡管理系統(tǒng)的拓撲管理。經過網絡管理系統(tǒng)資源管理,能夠完成:網絡自動發(fā)現能夠經過設置種子的簡易方式、路由方式、ARP方式、IPSec VPN、網段方式等五種自動發(fā)現方式自學習網絡資源及網絡拓撲,自動識別包括:路由器、交換機、安全網關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC在內的多種類型網絡設備;網絡手工管理能夠手工添加、刪除網絡設備,能夠批量導入、導出網絡設備,批量配置Telnet、SNMP參數,以及批量校驗Teln

51、et參數等輔助功能;網絡視圖管理支持IP視圖、設備視圖、自定義視圖、下級網絡管理視圖等多種管理視圖,用戶能夠從不同角度實現整個網絡的管理;網絡設備的管理從任何一種網絡視圖入口,都能夠實現對網絡設備的管理,包括:支持對設備的管理/去管理、接口的管理/去管理、設備的詳細信息顯示和接口詳細信息顯示、設備和接口實時告警狀態(tài)、設備和接口的實時性能狀態(tài)、實時檢測存在故障的設備等,用戶能夠方便的實現所有設備的管理;設備及業(yè)務管理系統(tǒng)的集成管理支持對CISCO、華三、華為、中興等主要廠家設備的管理,支持手工添加設備廠商、設備系列及設備型號;支持設備面板管理的動態(tài)注冊機制,實現與各廠家設備管理系統(tǒng)的有效集成;支

52、持拓撲定位、ACL、VLAN、QoS等業(yè)務管理系統(tǒng)的集成,實現設備資源的統(tǒng)一管理;設備分組權限管理支持設備分組功能,經過對設備資源進行分組管理,系統(tǒng)管理員方便的分配其它管理員的管理權限,便于職責分離;拓撲管理網絡管理系統(tǒng)拓撲管理從網絡拓撲的解決直觀的提供給用戶對整個網絡及網絡設備資源的管理。拓撲管理包括:拓撲自動發(fā)現網絡管理系統(tǒng)能夠自動發(fā)現網絡拓撲結構,支持全網設備的統(tǒng)一拓撲視圖,經過視圖導航樹提供視圖間的快速導航。經過自動發(fā)現能夠發(fā)現網絡中的所有設備及網絡結構,而且能夠將非SNMP設備發(fā)現出來,只要設備能夠ping通即可。這樣就能夠將所有網絡設備都列入其管理范圍(只要設備IP可達)。同時支持

53、自動的拓撲圖呈現和自定義拓撲。自動拓撲能夠自動將網絡中的邏輯連接關系顯示出來,同時能夠保存為自定義拓撲圖并可根據具體情況進行修改以便于網管員對整個網絡設備的監(jiān)控。支持對全網設備和連接定時輪詢和狀態(tài)刷新,實時了解整個網絡的運行情況,而且刷新周期是可定制(刷新周期:607200秒),同時也支持對多個設備的刷新周期進行批量配置的功能。支持自定義拓撲傳統(tǒng)的網絡管理軟件大多支持自動發(fā)現網絡拓撲的功能,可是自動發(fā)現后的網絡拓撲往往是很多設備圖標的簡單排放,不能突出重點設備和網絡層次,使網絡管理人員感覺無從下手。針對這種情況, 網絡管理系統(tǒng)的拓撲功能支持靈活的自定義功能,管理人員能夠根據網絡的實際組網情況和

54、設備重要性的不同靈活定制網絡拓撲,可對拓撲圖進行增、刪、改等編輯操作,使網絡拓撲能夠清晰地呈現網絡結構以及IT資源分布。 網絡管理系統(tǒng)支持靈活定制拓撲圖,使網絡拓撲更有重點和層次感。管理員能夠按照關注設備不同,管理角度不同定義多種拓撲,并能夠針對拓撲不同選擇不同的背景圖;管理員能夠根據網絡設備的重要性不同,鏈路速率不同采用合適的圖標顯示。自動識別各種網絡設備和主機的類型 網絡管理系統(tǒng)能夠自動識別CISCO、華三、華為、中興等主流廠商的設備、Windows、Solaris的PC和工作站、其它SNMP設備和ping設備,而且以樹形方式組織,以不同的圖標顯示區(qū)分。在拓撲圖上更可進一步對設備的類型進行

55、區(qū)分,如區(qū)分路由器、交換機、安全網關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC等等。設備狀態(tài)、連接狀態(tài)、告警狀態(tài)等信息在拓撲圖上的直觀顯示 網絡管理系統(tǒng)的拓撲功能與故障管理和性能管理緊密融合,使拓撲圖能夠清晰地看到 IT資源的狀態(tài),包括運行是否正常、網絡帶寬、接口連通、配置變化都能一目了然。多種顏色區(qū)分不同級別故障,根據節(jié)點圖標顏色反映設備狀態(tài)。拓撲能提供設備管理便捷入口 網絡管理系統(tǒng)拓撲能夠提供對設備管理的便捷入口,管理員只需經過右鍵點擊拓撲圖中的設備圖標即可啟動設備管理各項功能,實現對設備的面板管理等各項功能配置。故障(告警/事件)管理故障管理,即告警/事件管理

56、,是 網絡管理系統(tǒng)的核心模塊,是網絡管理系統(tǒng)及其它業(yè)務組件統(tǒng)一的告警中心。告警發(fā)現和上報網絡管理系統(tǒng)告警中心能夠按收各種告警源的告警事件,包括設備告警、本級網管站及下級網管站告警、網絡性能監(jiān)視告警、網絡配置監(jiān)視告警、網絡流量異常監(jiān)視告警、終端安全異常告警等;同時經過支持對設備定時輪詢,實現通斷告警、響應時間告警等以告警事件的方式上報給網絡管理系統(tǒng)告警中心;設備告警包括電源電壓、設備溫度、風扇等告警事件,設備冷啟動、熱啟動、接口linkdown等重要告警事件,路由信息事件(OSPF,BGP)變化,熱備份路由(HSRP)狀態(tài)變化等告警事件,支持對、CISCO、等多廠商設備告警的識別和解析;網管站告

57、警是指包括本級網絡管理系統(tǒng)系統(tǒng),集群服務器的異常告警,包括CPU利用率、內存使用率、網絡管理系統(tǒng)服務程序運行狀態(tài)等以及下級網絡管理系統(tǒng)系統(tǒng)上報的告警事件;網絡性能監(jiān)視包括CPU利用率,內存使用率,以及RMON告警的故障管理。網絡配置監(jiān)視告警包括設備軟件版本、配置信息變更等告警事件;網絡流量異常監(jiān)視告警經過網絡管理系統(tǒng)網絡流量分析實現網絡中異常流量告警,包括對設備及接口異常流量、主機IP地址異常流量和應用異常流量的告警,支持二級閾值告警定義;終端安全異常告警經過網絡管理系統(tǒng)內網安全防護實現對終端用戶安全異常的告警,包括ARP攻擊告警、終端異常流量告警及其它終端不安全告警;網絡管理系統(tǒng)定期輪詢告警

58、指經過網絡管理系統(tǒng)的資源管理模塊對設備接口信息定時進行輪循,并及時上報通斷告警、響應時間告警等告警事件。告警深度關聯(lián)分析與統(tǒng)計網絡管理系統(tǒng)告警中心根據告警腳本中的告警事件定義,接收并解析上報的告警事件;網絡管理系統(tǒng)對接收到的告警事件進行深度關聯(lián)分析,系統(tǒng)缺省支持重復事件閾值告警、閃斷事件閾值告警、未知事件閾值告警、未管理設備告警閾值告警,并能在故障恢復時自動確認相關告警;同時用戶能夠根據自己的需要確定事件的告警規(guī)則,以適應網絡管理需要。重復事件閾值告警:屏蔽重復接收到的相同事件,并可在達到閾值條件時產生新告警通知用戶。 閃斷事件閾值告警:分析接收到的閃斷事件,并可在達到閾值條件時產生新告警通知

59、用戶。未知事件閾值告警:屏蔽接收到的未知事件,并可在達到閾值條件時產生新告警通知用戶。未管理設備告警閾值告警:屏蔽接收到的未管理設備事件,并可在達到閾值條件時產生新告警通知用戶。自定義事件過濾規(guī)則:用戶自定義的事件過濾規(guī)則,用戶可指定在什么時間范圍內、對什么樣的告警進行過濾。網絡管理系統(tǒng)系統(tǒng)預定義缺省支持各類深度分析后告警事件關聯(lián)升級為告警的生成規(guī)則,同時,管理員能夠自定義由告警事件升級為告警的規(guī)則,可從事件、事件關鍵字、事件源、時間范圍四個方面進行規(guī)則定義,一旦定義事件升級為告警規(guī)則后,網絡管理系統(tǒng)告警中心會根據定義的規(guī)則關聯(lián)分析后生成不同級別的告警(告警共分成緊急、重要、次要、警告、事件5

60、個級別;在瀏覽數據窗口,分別以紅色、橙色、黃色、藍色、灰色五種顏色進行顯示),將管理員從繁多的告警事件中解脫出來,避免產生告警風暴,讓管理員能專心關注告警的根源。實時告警網絡管理系統(tǒng)提供多種方式將告警通知給管理員,包括:實時遠程告警:經過手機短信或Email郵件的方式,將告警及時通知管理員,實現遠程網絡的監(jiān)控和管理;分類、聲光告警板,按故障類別及等級實時告警,讓管理員經過告警板不但及時知道告警產生,同時能夠了解產生的告警的類別和等級;實時告警瀏覽和確認,經過告警首頁對當前故障未排除的告警實時刷新并提供故障排除確認的入口;提供系統(tǒng)快照,實時報告網絡、下級網絡及設備的狀態(tài);經過拓撲實現報告網絡及設