电信网管方案

第1页共34页电信DCN交换机带外网管建设方案第2页共34页目录第一章需求分析………………………………………………………………………………………………….31.1需求概述………………………………………………………………………………………………………….31.2需求分析………………………………………………………………………………………………………….31.3系统建设目标………………………………………………………………………………………………….5第二章带外网管系统方案…………………………………………………………………………………..72.1方案论证…………………………………………………………………………………………………………72.2DCN交换机集中管理方案………………………………………………………………………………82.3网络中央管理系统…………………………………………………………………………………………92.4带外网管运维结构图……………………………………………………………………………………102.5设备清单及预算……………………………………………………………………………………………11第三章运维管理系统规划………………………………………………………………………………..123.1管理权限划分……………………………………………………………………………………………….123.2设备分组管理……………………………………………………………………………………………….133.3安全审计功能……………………………………………………………………………………………….143.4日志管理……………………………………………………………………………………………………….143.5故障管理……………………………………………………………………………………………………….153.6故障告警……………………………………………………………………………………………………….15第四章带外网管安全策略…………………………………………………………………………………164.1数据加密系统………………………………………………………………………………………………..164.2身份认证系统………………………………………………………………………………………………..214.3IP地址过滤技术……………………………………………………………………………………………..25第五章带外网管系统介绍………………………………………………………………………………….265.1控制台服务器………………………………………………………………………………………………..275.2网络中央管理器……………………………..…………………………………………………………….30第六章设备安装及系统调试……………..………………………………………………………………336.1设备安装……………………………………….……………………………………………………………….336.2系统调试……………………………………….……………………………………………………………….336.3技术培训……………………………………….……………………………………………………………….33第七章技术培训及售后服务…………….……………………………………………………………….347.1技术支持……………………………………….……………………………………………………………….347.2售后服务……………………………………….……………………………………………………………….35第3页共34页第一章需求分析1.1需求概述DCN运维专网作为XX电信网络系统、数据业务系统、各类应用系统运维支撑平台，为网络系统、数据业务系统以及各类应用系统提供技术保障服务。目前XX电信机房有8个DCN交换机机柜，共计安装60多台DCN网管交换机设备。目前运维管理人员通过内部网络远程登陆方式或者直接到机房用笔记本串口直接连接交换机Console端口进行管理，鉴于现行管理模式过于分散无法实现管理过程的集中记录，同时也不利于DCN网络系统的安全。因此XX电信运维管理中心规划建立一套DCN网管交换机带外网管系统，运维管理人员通过带外网管系统对DCN网管交换机设备进行集中管理和维护，带外网管系统对运维管理人员的管理权限和管理范围进行严格的界定，对运维管理人员的管理过程进行集中记录。1.2需求分析1）DCN设备集中管理运维管理人员在网管中心直接使用个人电脑或着带外管理终端设备登陆带外网管系统对机房内部所有DCN网管交换机设备的Console端口进行集中管理，而无须运维管理人员携带笔记本亲自到机房对第4页共34页DCN网管交换机进行直接配置或管理。2）权限分级管理通过带外网管系统对运维管理人员的权限权限、管理范围进行严格界定，通常情况下运维管理人员分权限为四级：超级管理员帐户、高级管理帐户、受限管理员帐户、来宾监控帐户。运维管理人员登陆带外管理系统时只能看到有权限管理的设备列表，高级别管理人员可以对低级别管理人员的管理过程进行全程监控。带外网管系统使得运维管理人员工作分工明确大大提高运维效率。3）管理过程集中记录带外网管系统对管理员帐户信息进行认证，对运维管理人员的登陆时间、操作内容、退出时间等信息进行详细记录。支持用户ID告警功能，当预设管理人员登陆带外网管系统时，自动向预设的高级别管理用户发送邮件告警，高级别用户登陆系统对低级别管理用户进行跟踪和监听。4）提高网络系统安全性带外网管系统支持SSHv2、SSLv3加密技术，所有管理控制信息均通过加密方式在管理员和被管理设备之间传送。带外网管系统还支持LDAP、SecurID、RADIUS、NIS、Kerberos和TACACS+等身份认证系统，防止未经授权用户非法访问。支持IP地址过滤技术根据IP地址列表第5页共34页允许或阻止用户访问。5）提高相互协作能力和运维效率带外网管系统建成后将对DCN网络设备进行集中管理，通过带外网管系统对运维部门人力资源进行合理分配和资源调度，提高各级运维部门的相互协作能力和运维效率。带外管理系统的分级管理功能可以对各级运维管理人员的管理权限、管理范围进行严格界定，使得运维管理人员工作分工精细、责任明确。所有管理配置过程记录集中存到网络中央管理器上，任何设备的管理配置信息都能够通过网络中央管理器查看。1.3系统建设目标1)提高DCN网络安全及可靠性通过带外网管系统对DCN网管交换机设备进行集中管理，使得所有DCN交换机设备配置信息文件进行集中存储，当配置文件混乱或者丢失时，通过带外网管系统快速恢复。带外管理系统支持权限分级管理功能，对运维管理人员的管理权限和管理范围进行限定。端口分组管理功能可以对DCN网管交换机Console端口进行分组管理。带外网管系统集中记录所有运维管理人员对交换机管理信息，并通过带外管理系统进行查看。带外网管系统建成后，所有运维管理人均通过带外网管系统集中第6页共34页管理DCN网络设备。在提高运维效率的同时，大大的提高DCN网络系统的安全性和可靠性。2)增强故障快速处理能力运维管理人员通过带外网管系统对DCN网络设备的Console端口进行集中管理，运维管理在网管中心通过带外网管终端机登陆带外网管系统对DCN网络设备进行配置和管理。当DCN网络设备出现配置丢失、宕机等故障时通过带外网管系统快速恢复正常运行，而无须运维管理人员到机房对故障设备进行直接干预。整个管理维护过程集中记录到网络中央管理器，运维管理人员通过带外网管系统直接查看管理过程信息，从而大大的提高运维效率和突发故障快速处理能力。3)减低企业运维成本带外管理系统具有良好兼容特性和系统扩展性能，最多可以对12288台网元设备进行集中管理。带外网管系统还可以对机房内部的其它重要网络设备如：交换机、路由器、服务器设备以及设备电源系统进行整合管理。带外管理系统投入使用后建立各级运维部门联动协作的运维新体制，实现集中监控、统一调度、远程协助、本地维护的全新运维管理模式。明确各级运维部门的责任和分工，提高各级运维部门的整体协同工作能力。通过带外管理的先进运维管理模式在提高企业运维效率和服务质量的同时有效的降低企业运维成本。第7页共34页第二章带外网管系统方案2.1方案论证XX电信机房网络系统由各种不通用途的网络设备和通信设备组成，因此网络设备和通信设备的稳定运行是确保网络系统持续稳定运行的关键。考虑到机房内部的网络设备（路由器、交换机、防火墙等）和通信设备由不同的厂商提供，这些来自不同厂商、不同类型的网络设备和通信设备的管理和维护方式也都不一样，因此现有的管理软件和难对这些设备进行集中管理。目前机房中使用的网络设备和通信设备都带有本地Console配置管理端口，且所有网络设备的Console端口都采用标准的串行(RS232)通信协议。SLC控制台服务器是基于标准串行（RS232）通信协议的集中管理工具，SLC控制台服务器对DCN网管交换机设备的串行（Console）配置端口通过透明方式转换到以太网络，通过SLC控制台服务器的以太网络端口连接到DCN运维网络。这样运维管理人员在网管中心通过运维网络直接对DCN网管交换机设备进行配置和管理。SLM网管中央管理器是带外网管系统集中管理平台，通过SLM网络中央管理器对SLC控制台服务器、远程KVM设备、远程电源管理器设备以及单一网元设备进行整合管理。通过统一的管理界面对机房内部的DCN网管交换机设备进行管理和维护，通过SLM网络中央第8页共34页管理器分级权限管理功能对运维管理人员的管理权限、管理范围进行界定，对运维管理人员的操作管理过程进行集中记录。2.2DCN交换机集中管理方案SecureLinx™SLC控制台服务器是网络设备（交换机、路由器、防火墙、漏洞扫描、入侵检测、负载均衡设备等）集中管理工具，通过SLC控制台服务器可以对DNC网管交换机设备的Console配置端口进行集中管理。运维管理人员通过SLC控制台服务器对DCN网管交换机设备的串行（Console）配置端口进行配置管理。SLC控制台服务器的以太网络端口连接到集中运维管理平台上实现集中管理，这样运维管理人员在网管中心通过运维管理平台对机房网络设备进行集中配置和管理。网络设备集中运维管理拓扑图：第9页共34页2.3网络集中管理方案SecureLinx™SLM网络中央管理器是带外网管系统平台的核心部分，SLM网络中央管理对多种网络设备（如计算机、服务器、路由器、交换机、防火墙等设备）通过SLM内置的https或SNMP图形化管理界面整合管理。运维管理人员通过SLM监控管理界面集中查看各地机房内部网络的设备运行状况，对于故障设备进行快速准确定位。系统管理员还可以通过SLM对网络内部的计算机或网络设备进行统一系统升级，而无需管理员对设备进行逐一安装。SLM具有强大的日志存储和管理能力，通过对设备产生系统日志进行系统分析和处理，对于有风险日志通过Email发送给管理员。集中运维管理界面第10页共34页2.5设备清单及方案预算设备名称规格型号单价（元）数量合计（元）第11页共34页第三章运维管理系统规划3.1管理权限划分运维管理系统对运维技术人员身份及管理权限详细划分，并自动生成管理权限列表。中央管理系统对登录的运维技术人员的身份及管理权限进行认证，并对运维技术人员身份信息、登录时间、登录设备、操作内容等进行记录。通常情况下运维管理系统把运维技术人员的管理权限分为五个级别：即超级管理账户、高级管理账户、一般管理账户、受限管理账户、来宾帐户。超级管理用户运维管理系统只对开放本地超级管理用户权限，超级管理用户负责本地运维账户权限管理，增加、删除和修改本地运维管理账户权限。高级管理用户高级管理用户通过运维管理系统可以部分网络系统的网络设备、服务器设备、电源系统进行高级级别的管理和维护。一般管理用户第12页共34页一般管理用户通过运维管理系统可以指定的网络设备或指定设备端口进行管理和维护。受限管理用户受限管理账