局域網(wǎng)規(guī)范管理方案

■ 山東 趙秀芹 何鈺 李瑞祥

編者按：保障局域網(wǎng)的暢通，是大樓內(nèi)部各個單位和部門信息系統(tǒng)正常運行的基本要求，要實現(xiàn)這一點，需要實現(xiàn)對局域網(wǎng)運行狀態(tài)的實時監(jiān)控。利用綜合網(wǎng)管平臺可以很好地實現(xiàn)實時告警，保障局域網(wǎng)安全穩(wěn)定運行。

筆者所在的辦公大樓是一幢21層的高層建筑（地上19層，地下2層），大樓里面有眾多的單位和部門。大樓的局域網(wǎng)在建樓時已經(jīng)通過綜合布線系統(tǒng)部署完成，采用了典型的星型結(jié)構(gòu)。辦公網(wǎng)核心交換機設(shè)在五樓中心機房，該交換機向上連接BRAS設(shè)備，向下分別通過多模的光纖收發(fā)器連接到各個樓層的交換機，大樓的綜合布線系統(tǒng)是 3層 1匯聚，即 1、2、3樓各辦公室的網(wǎng)線統(tǒng)一匯聚至2層豎井的綜合布線柜，以此類推，在 5、8、11、14、17樓豎井進行匯聚，筆者在各相應(yīng)的綜合布線柜處部署了可網(wǎng)管的交換機，實現(xiàn)了相應(yīng)樓層各個辦公點的網(wǎng)絡(luò)覆蓋。

保障局域網(wǎng)的暢通，是大樓內(nèi)部各個單位和部門信息系統(tǒng)正常運行的基本要求，那么要實現(xiàn)這一點，就需要實現(xiàn)對局域網(wǎng)運行狀態(tài)的實時監(jiān)控，發(fā)現(xiàn)問題及時處理，同時對于核心交換機及各接入層交換機的日志信息要實時記錄，定期巡檢，發(fā)現(xiàn)可疑告警信息也要及時處理，做到防微杜漸。為此筆者將辦公大樓的各臺交換機納入UNIO綜合網(wǎng)管平臺，實現(xiàn)了網(wǎng)絡(luò)中斷的實時告警，將各交換機產(chǎn)生的日志信息統(tǒng)一輸出到日志服務(wù)器，安排專人每天對日志信息進行篩查，發(fā)現(xiàn)可疑的告警信息就通知大樓的網(wǎng)絡(luò)維護人員進行處理，通過以上方式有效保障辦公大樓局域網(wǎng)的正常運行。

圖1 辦公局域網(wǎng)的網(wǎng)絡(luò)拓撲圖

具體實施步驟

1.把各交換機添加到網(wǎng)管服務(wù)器進行監(jiān)控

公司有一套基于SNMP的綜合網(wǎng)管系統(tǒng)，凡是支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備均可納入這套網(wǎng)管系統(tǒng)中，因此我們第一步就要將大樓辦公網(wǎng)全部納入到網(wǎng)管系統(tǒng)中，由于局域網(wǎng)組網(wǎng)是嚴格按照星型組網(wǎng)來構(gòu)建的，所以網(wǎng)絡(luò)層次非常清楚，分為核心層、匯聚層和接入層，其中BRAS為核心層，骨干交換機為匯聚層，位于各個堅井的交換機為接入層，網(wǎng)絡(luò)拓撲如圖1所示。

（1）添加網(wǎng)元

首先要用網(wǎng)管服務(wù)器上測試一下到交換機的連通狀態(tài)，通過ping命令進行查看，ping通的可以直接在網(wǎng)管服務(wù)器中進行添加，登錄網(wǎng)管服務(wù)器在“資源”菜單下“資源列表”中點擊“添加網(wǎng)元”，如圖2所示。

填寫完之后先測試，測試失敗的有可能是交換機沒有開啟SNMP協(xié)議，需要Telnet登錄交換機開啟SNMP協(xié)議，具體命令如下（以H3C S5130S-52S-EI交換機為例）：

snmp-agent community read Sdgdjnfgs

//配置團體名為Sdgdjnfgs。

snmp-agent sys-info version v2c

//配置交換機的SNMP版本為v2c。

設(shè)置完之后就能正常添加了。將大樓辦公局域網(wǎng)中的所有交換機都添加完畢后，就納入正常監(jiān)控范圍了。當出現(xiàn)網(wǎng)絡(luò)中斷或?qū)拵г浇绲裙收蠒r，這些監(jiān)控信息都會顯示在機房監(jiān)控大屏上，24小時值班人員就可以及時發(fā)現(xiàn)并通知相應(yīng)的維護人員。

圖2 添加網(wǎng)元

為了便于查看設(shè)備信息，我們把大樓交換機的IP地址在資源列表中集中到了一個目錄下，同時為了保證設(shè)備告警的準確性，我們還需要在交換機上做進一步地配置，比如時區(qū)設(shè)置，NTP（時間同步）設(shè)置等，下面分別說明一下。

2.交換機配置

(1)時區(qū)設(shè)置

同樣作為局域網(wǎng)規(guī)范管理的一部分，我們統(tǒng)一將網(wǎng)內(nèi)所有設(shè)備的時區(qū)設(shè)置為東八時區(qū)（即北京時間），以辦公網(wǎng)骨干交換機為例，設(shè)置命令如下：

c l o c k t i m e z o n e beijing add 08:00:00

查看命令如下：

[bangongwang_SW]dis clock

15:19:58.398 beijing Mon 01/14/2019

Time Zone : beijing add 08:00:00

（2） NTP（時間同步）設(shè)置

我們要對設(shè)備產(chǎn)生的日志信息進行分析，那么首先應(yīng)該保證設(shè)備的時間是正確的，這里我們把辦公網(wǎng)骨干交換機作為客戶端時間同步到BRAS 10.*.*.1上，之后再把辦公網(wǎng)交換機作為服務(wù)器，讓各豎井交換機時間同步到辦公網(wǎng)交換機，做NTP之前要在辦公網(wǎng)交換機上ping下BRAS的IP地址，能ping通之后再進行時間同步，具體操作如下：

[bangongwang_SW]ntpservice unicast-peer 10.*.*.1

操作完之后再通過display ntp status命令進行查看一下ntp是否同步成功，如出現(xiàn)以下提示，說明同步成功了。

display ntp status

C l o c k s t a t u s:synchronized

Clock stratum: 7

S y s t e m p e e r:10.*.*.1

Local mode: sym_active

Reference clock ID:10.*.*.1

Leap indicator: 00

C l o c k j i t t e r:0.000961 s

Stability: 0.000 pps

Clock precision: 2^-19

Root delay: 71.38062 ms

Root dispersion:351.94397 ms

Reference time:dfe2831d.b91ac943 Fri,Jan 11 2019 10:51:09.723

S y s t e m p o l l interval: 64 s

再通過display clock命令檢驗一下時間：

display clock

10:53:09.426 beijing Fri 01/11/2019

Time Zone : beijing add 08:00:00

各個豎井里面的接入層交換機跟隨骨干層交換機進行時間同步的設(shè)置（以烽火S2100ME交換機為例）

interface vlan 266

sntp client

sntp peer ip-address 10.*.*.45

sntp time-offset plus 0

exit

查看時間同步是否生效用如下命令：

S2100ME#show clock

clock : 2019-01-14 15:38:00

Time Zone:beijing+08:00

System running time: 925 hours,34 minutes,8 seconds

（3）允許Telnet遠程登錄

為局域網(wǎng)的交換機開啟Telnet遠程訪問功能，并設(shè)置遠程登錄的用戶名和密碼。

system-view

//進入系統(tǒng)視圖

telnet server enable//enable選項開啟Telnet服務(wù)

user-interface vty 0 14

//配置VTY用戶界面的終端屬性

protocol inbound teln et

//配置VTY用戶界面支持Telnet協(xié)議，

user privilege level 15

//設(shè)置用戶級別。15為管理級，為最高權(quán)限。

user-interface vty 0 14

//進入VTY 用戶界面視圖。

authentication-mode aaa，

//設(shè)置用戶驗證方式為AAA驗證。

aaa

//進入AAA視圖

l o c a l-u s e r a d m i n password A****@1*3

//定義登錄賬號和密碼

local-user admin service-type telnet

//配置本地用戶的接入類型為Telnet

（4）開啟SSH登錄方式

由于Telnet是一種相對不安全的遠程連接方式，所以我們在前期完成了基本的網(wǎng)絡(luò)規(guī)范化配置以后就要交換機上啟用SSH登錄方式，該方式可以實現(xiàn)數(shù)據(jù)的加密，在數(shù)據(jù)傳輸時要比Telnet安全的多，那么接下來我們介紹下SSH的配置方法。其實SSH服務(wù)的開啟和Telnet比較相似。

aaa

//進入AAA視圖

local-user jngd service-type ssh

//配置本地用戶的接入類型為SSH

stelnet server enable//開啟ssh服務(wù)ssh user jngd

//定義SSH用戶名

s s h u s e r j n g d authentication-type password

//定義SSH登錄認證方式為密碼認證

s s h u s e r j n g d service-type stelnet

//關(guān)聯(lián)SSH登錄用戶名

完成上面的操作后，記得將Telnet服務(wù)關(guān)閉，這樣就實現(xiàn)了對設(shè)備只能使用SSH登錄效果。

（5）添加日志至日志服務(wù)器并進行分析

①將交換機產(chǎn)生的日志信息輸出至日志服務(wù)器

為了提高工作效率，減輕原有日志服務(wù)器的壓力，我們又重新搭建了一臺日志服務(wù)器，用于添加辦公網(wǎng)內(nèi)的所有交換機日志。在添加syslog之前先用ping命令測試一下到日志服務(wù)器的鏈路是否相通，確保日志能順利傳送到日志服務(wù)器。

同時還需在日志服務(wù)器上再ping一下這臺交換機，確保均可以訪問到對方，在這個基礎(chǔ)上就可以進行將交換機上產(chǎn)生的日志信息輸出到日志服務(wù)器的操作了。

添加syslog具體操作步驟如下：

system-view

System View: return to User View with Ctrl+Z.

[bangongwang_SW]infocenter enable

Information center is enabled.

[bangongwang_SW]infocenter loghost 10.*.*.26 facility local4

[bangongwang_SW]infocenter timestamp log date

[bangongwang_SW]quit

save

T h e c u r r e n t configuration will be written to the device.Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash:/startup.cfg]

(T o l e a v e t h e e x i s t i n g f i l e n a m e unchanged, press the enter key):

flash:/startup.cfg exists, overwrite? [Y/N]:n

存盤之后要查看一下有沒有定義成功：

display currentconfiguration

info-center loghost 10.*.*.26 facility local4

②日志告警的查看

在添加完日志信息后，我們就可以通過諸如“Navicat Premium”這樣的客戶端軟件登錄日志服務(wù)器上面的MYSQL數(shù)據(jù)庫，通過SQL腳本查看相關(guān)告警日志了，可以按照主機名和指定日期進行查詢，相關(guān)腳本如下：

SELECT

*

FROM

SystemEvents

WHERE

FromHost LIKE '2F_shujing'

AND

DeviceReportedTime LIKE '%2019-01-23%'

查詢出相關(guān)日志告警之后，可以導(dǎo)出Excel表格篩選查看，這樣比較方便查找自己需要的告警信息。

點擊菜單欄右側(cè)的“導(dǎo)出”按鈕，選擇“導(dǎo)出Excel表格”即可，如圖3所示。導(dǎo)出表格后，會發(fā)現(xiàn)有很多日志信息，可以通過“刪除重復(fù)項”、“關(guān)鍵字篩選”等操作查找出自己需要的日志告警，并進行分析定位，直到排除故障，達到防患于未然。

對告警信息的處理

如果是華為的交換機，當看到一條告警信息時，我們可以通過華為的HedEx Lite文檔系統(tǒng)進行查看， 可以通過下面的實際告警信息查詢具體故障：

1.IP地址沖突

錯誤告警信息如下：

圖3 導(dǎo)出日志信息

圖4 在華為的HedEx系統(tǒng)中查詢故間原因

OID 1.3.6.1.4.1.2011.5.2 5.1 2 3.2.6 A R P detects IP conflict. (IP address=10.66.66.149,Local interface=Gigabi tEthernet0/0/28, Local MAC=1234-3214-1234,Local vlan=266, Local CE vlan=0, Receive in terface=GigabitEthe rnet0/0/28, Receive MAC=4c09-b4f1-a140,Receive vlan=266, Receive CE vlan=0, IP conflict type=Remote IP conflict).

要對這個告警信息進行分析，我們其中的OID值記錄下來，然后打開HedEx Lite文檔系統(tǒng)，在首頁的“實用工具”下有個“告警查詢”，點擊進去之后，選好版本型號，在“關(guān)鍵字”一欄把剛才復(fù)制的OID值粘貼進去，點擊“查詢”就可以看到告警的相關(guān)描述，如圖4所示。

網(wǎng)絡(luò)中出現(xiàn)沖突的IP地址，如果不及時消除，會造成網(wǎng)絡(luò)的路由震蕩、用戶業(yè)務(wù)或者流量中斷等故障。需要盡快查找出沖突的設(shè)備或者是用戶，及時修改IP地址。

2.光模塊不匹配

如果是華為早期發(fā)貨的光模塊，對系統(tǒng)沒有影響。

如果不是，則光模塊功能可能會異常。如果是華為早期發(fā)貨的光模塊，則可以使用命令transceiver phony-alarm-disable關(guān)閉非華為定制光模塊告警功能。如果不是華為發(fā)貨或定制光模塊，建議更換華為定制光模塊。

總結(jié)

隨著辦公大樓局域網(wǎng)規(guī)模的不斷擴大，必須引入網(wǎng)管機制，形成對網(wǎng)絡(luò)的實時監(jiān)控機制，并及時與產(chǎn)生的告警信息進行處理，才能保障辦公局域網(wǎng)的正常有序運行。