青藏集團公司鐵路網絡資源分配動態研究

趙 亮，徐建偉，蔡海寧，韻文剛

（中國鐵路青藏集團有限公司信息技術所，青海 西寧 810007）

1 研究方法

1.1 應對策略

根據青藏集團有限公司綜合信息網內網的現有網絡環境、終端數量及分布情況，通過結合北信源終端一體化產品及北信源網絡準入控制系統的自動掃描、客戶端采集等措施進行深入研究并開發，以統計網內的網絡資源占用情況，保障網絡安全，并協助管理員有效地分配網絡資源、管理網絡資源[1]。

將青藏集團有限公司綜合信息網內網的網絡資源分為三種狀態：未使用、已注冊使用和未注冊使用。未使用，是指該網絡資源未被使用，可以分配使用；已注冊使用，是指該網絡資源被已安裝北信源終端一體化客戶端的終端占用；未注冊使用，是指該網絡資源被未安裝北信源終端一體化客戶端的終端占用。

查詢每個已注冊使用的網絡資源用戶特征信息，例如，用戶姓名、主機名稱、IP地址、MAC地址、子網掩碼、默認網關地址、DNS地址、操作系統版本、操作系統位數、CPU信息、內存信息、磁盤總容量、磁盤剩余容量、設備類型、接入交換機位置、首次接入時間、最后使用時間等。

查詢每個未注冊使用網絡資源的終端信息，例如，設備類型、IP地址、MAC地址、子網掩碼、默認網關地址、DNS地址、操作系統、接入交換機位置、首次接入時間、最后使用時間等。

設備類型包括：Windows服務器、Linux服務器、臺式計算機、便攜式計算機、虛擬機、網關、無線路由器、交換機、網絡攝像頭、打印機、手機、等類型。

利用分區域網絡資源統計功能，根據系統創建的組織結構，查詢不同部門或網絡段的網絡資源占用情況。

系統具備網絡資源分配、注冊審核、回收、管控等功能，并具有審計功能。

網絡資源分配：可將某一IP地址或某IP地址段永久或時段性地提供給終端使用。

注冊審核：當新終端入網時，需要安裝北信源終端一體化客戶端并進行注冊審核，符合注冊規則，方可入網，否則拒絕入網。

網絡資源回收：對未注冊北信源終端一體化客戶端終端使用的IP地址，以及時段性使用的IP地址和長期未使用的IP地址，可進行回收，且在未設置可使用的情況下不允許被使用。

網絡資源管控：無論是否注冊北信源終端一體化客戶端，都可對使用的IP地址進行允許/禁止訪問網絡資源的管控。

1.2 架構設計

1.2.1 系統架構圖（如圖1）

圖1 鐵路網絡資源分配動態研究系統架構圖

1.2.2 功能模塊

（1）網絡資源管理：系統具備對各部門、各網絡管理范圍內的基礎網絡數據進行收集、修改、刪除、查詢等功能。系統具備多個數據源收集途徑，如：北信源終端一體化平臺提供資源數據、從現有數據導入，以及人工錄入數據。此外系統還具備數據合法性校驗和數據編輯功能，避免用戶錄入時可能造成的錯誤。系統具備通過區域導航欄、設備導航欄、單點信息等圖形化的管理方式，能夠對網絡資源的使用情況進行查詢、修改，并與相應設備等進行關聯管理。

（2）綜合查詢統計：具備基本查詢和關聯查詢功能；系統具備多種查詢、統計方式，結合條件篩選功能，用戶可隨意對網絡資源的使用、占用情況進行靈活、方便的統計操作，并可生成統計報表。此外用戶還可根據條件定義所需報表的格式及生成報表內容，導出相應的格式為Excel、HTML、PDF等報表[2]。

（3）網絡拓撲管理：系統具備各種豐富的圖形化展示功能，能夠形象、直觀、全面的反映網絡資源使用情況，具備在拓撲圖上對網絡資源進行修改、鎖定、查詢等功能。

（4）系統接口管理：為了與其他系統之間進行數據交互，系統具備豐富的接口，如SysLog、Kafuka、Snmp、API接口等，可以使本系統與其他系統進行對接，如生產辦公系統、上級資源管理系統、態勢感知系統、安全運營系統等，以便于進行綜合統計分析。

（5）系統安全運營管理功能：系統具備對本系統的日志管理、安全管理、數據備份/恢復管理、故障恢復、系統參數設置等管理功能；其中，安全管理功能可以對不同用戶角色提供不同的權限功能，保證敏感、重要數據不會被任何非授權用戶訪問。同時結合日志管理功能對登錄用戶的注冊、重要操作行為進行審計，在需要時可對系統運行的歷史狀態進行行為分析。此外，由于系統儲存了網絡內所有資源信息，存儲信息的安全性極為重要，因此，系統還具備了定期數據自動備份、人工備份功能，能夠在數據毀壞、丟失等情況下將備份數據進行自動/人工恢復，保證系統的正常運行。

1.2.3 系統設計原則

（1）系統功能的可定制性及擴展性。系統采用的是模塊化組件技術，可以實現功能的積木式疊加；具備組件管理器，管理系統中各功能模塊，如增加、修改、刪除、停止、重啟等功能；系統功能可以根據用戶使用需求進行定制化，并且在擴展功能模塊時，對現有系統的其他功能不會造成影響。

（2）系統安全可靠性。系統具有登錄口令檢查功能，登錄口令在系統數據庫中以加密形式存放；具備雙因子認證擴展功能；具備用戶多重權限劃分管理，以保證系統的安全性。同時系統提供全面數據備份、恢復管理功能及完善的日志管理功能。

1.3 實現效果

1.3.1 整體展示效果（如圖2）

（1）針對已注冊北信源終端一體化在線設備所占用的網絡資源（已安裝使用），如圖2中方框處標記。

（2）針對未注冊北信源終端一體化設備所占用的網絡資源（未安裝未保護），并發出告警，如圖2中箭頭處標記。

（3）針對未使用的網絡資源（空閑），如圖2中圓圈處標記。

（4）針對設置保護不能被使用的網絡資源（被阻斷），如圖2中橢圓處標記。

（5）針對設置白名單的網絡資源（未安裝已保護），如圖2中長方形處標記。

圖2 鐵路網絡資源分配系統網絡資源整體使用情況

1.3.2 針對已注冊北信源終端一體化設備所占用的網絡資源

針對已注冊北信源終端一體化設備所占用的網絡資源，選中每個網絡資源，通過北信源終端一體化客戶端獲取設備信息，都可以精確顯示該設備的用戶特征信息，包括用戶姓名、主機名稱、IP地址、MAC地址、子網掩碼、默認網關地址、DNS地址、操作系統版本、操作系統位數、CPU信息、內存信息、磁盤總容量、磁盤剩余容量、設備類型、接入交換機位置、首次接入時間、最后使用時間等。

1.3.3 針對未注冊北信源終端一體化設備所占用的網絡資源

針對未注冊北信源終端一體化設備所占用的網絡資源，選中每個網絡資源，通過北信源網絡接入控制系統獲取的設備信息，顯示該設備的用戶特征信息，包括設備類型、IP地址、MAC地址、子網掩碼、默認網關地址、DNS地址、操作系統、接入交換機位置、首次接入時間、最后使用時間等。

1.3.4 針對設置白名單的網絡資源

通過頁面設置，將某個網絡資源設置在白名單中后，占用該網絡資源的設備將不受北信源終端一體化系統及北信源網絡準入控制系統策略影響，可以在不注冊北信源終端一體化客戶端的情況下訪問網絡資源。白名單期限可以是某段時間或永久。

1.3.5 管控流程（如圖3）

圖3 鐵路網絡資源分配系統管控流程

（1）通過結合北信源終端一體化系統及北信源網絡準入控制系統，除白名單內的終端（未注冊已保護）所有未注冊北信源一體化終端入網的終端（未注冊未保護）都會被阻斷，并有提示重定向至下載注冊頁面。若不完成注冊流程，將無法訪問網絡資源。

（2）注冊北信源一體化終端入網的終端通過人工或自動審核流程，方可正常訪問網絡資源，未通過審核的終端仍無法訪問網絡資源。

（3）無論是否為注冊北信源一體化終端入網的終端，若其使用的網絡資源已被系統設置為保護（被阻斷），都無法訪問網絡資源。

1.3.6 詳細功能說明

1.3.6.1 IP地址規劃與綁定

首先我們需要對青藏集團組織架構及網絡資源進行梳理，先將組織架構及對應的網絡資源進行維護。支持導入、導出組織架構，同時支持級聯上報至上級服務器，以及與第三方同步組織機構。此處的操作非常關鍵，涉及后期網絡資源管理、維護，以及二級管理員管理的范疇等（如圖4）。

圖4 鐵路網絡資源分配系統網絡資源規劃與綁定

1.3.6.2 IP地址發現

其次我們需要開啟IP地址發現中的“注冊審核功能”，選擇審核的規則，如不允許重復IP地址注冊、終端IP地址與勾選的組織機構匹配認證，可同時選擇，然后選擇不符合規則處置方式，如禁止安裝、警告并重新選擇組織架構、安裝后阻斷網絡通信、轉人工審核。設置后系統會根據終端注冊情況自動審核。若勾選注冊審核后，無論是否匹配規則，都會安裝后阻斷網絡通信，而轉至人工審核。

1.3.6.3 IP地址發現

最后我們還需要在IP地址發現中開啟未注冊設備掃描，進行對網內未注冊北信源終端一體化終端的網絡資源進行掃描，以對其進行管理（如圖5）。

圖5 鐵路網絡資源分配系統網絡資源掃描功能

1.3.6.4 IP地址查詢

當完成上述3步后，系統就會根據網內網絡資源注冊使用情況進行匯總并整理，我們可以根據選擇組織架構或IP地址管理范圍對對應的IP地址段進行查詢，可查詢對應組織架構或IP地址管理范圍中的任意C類IP地址段使用情況。包含已安裝使用、未安裝未保護、未安裝已保護、空閑、被阻斷IP地址（如圖6）。

圖6 鐵路網絡資源分配系統網絡資源整體使用情況

可對二級管理員先行設置管理范圍，管理范圍權限為系統管理員＞二級管理員。系統管理員可查詢系統內所有組織架構及所有IP地址管理范圍內的網絡資源使用情況，二級管理員僅能查詢系統管理員對其設定的組織架構及IP地址管理范圍。

1.3.6.5 網絡資源使用者情況查詢

針對已注冊北信源終端一體化設備所占用的網絡資源，選中每個網絡資源，通過北信源終端一體化客戶端獲取設備信息，都可以精確顯示該設備的用戶特征信息，包括用戶姓名、主機名稱、IP地址、MAC地址、子網掩碼、默認網關地址、DNS地址、操作系統版本、操作系統位數、CPU信息、內存信息、磁盤總容量、磁盤剩余容量、設備類型、接入交換機位置、首次接入時間、最后使用時間等。

針對未注冊北信源終端一體化設備所占用的網絡資源，選中每個網絡資源，通過北信源網絡接入控制系統獲取的設備信息，顯示該設備的用戶特征信息，包括設備類型、IP地址、MAC地址、子網掩碼、默認網關地址、DNS地址、操作系統、接入交換機位置、首次接入時間、最后使用時間等。

通過頁面設置，將某個網絡資源設置在白名單中后，占用該網絡資源的設備將不受北信源終端一體化系統及北信源網絡準入控制系統策略影響，可以在不注冊北信源終端一體化客戶端的情況下訪問網絡資源。白名單期限可以是某段時間或永久。

2 應用效果

（1）通過結合北信源終端一體化系統及北信源網絡準入控制系統，對青藏集團綜合信息網內網內終端進行掃描，將已注冊北信源終端一體化客戶端占用的網絡資源分已安裝使用標示；將未注冊北信源終端一體化客戶端占用的網絡資源用“未安裝未保護”標示；將未使用的網絡資源用“空閑”標示；將設置保護的網絡資源用“被阻斷”標示；將設置成白名單的網絡資源用“未安裝已保護”標示。

（2）通過對網絡實施監控，能夠及時發現非法終端即未注冊北信源終端一體化終端入網情況（未安裝未保護），從而有效地管控網內終端訪問網絡資源情況，防止網絡入侵。

（3）通過對網內網絡資源設置保護，有效地阻止網絡資源被終端隨意占用，保留網絡資源給更重要的設備使用。

（4）通過對網內網絡資源設置白名單，有效地允許網內臨時設備或重要終端或無法注冊北信源終端一體化客戶端的終端訪問網絡資源，提高網內容錯。

（5）通過結合北信源終端一體化系統，開啟預注冊審核，新入網終端在注冊北信源終端一體化客戶端時，被要求核實注冊信息，從而避免注冊信息混亂或他人冒充注冊。

（6）所有頁面生成的注冊信息及審計信息都可導出成報表。

3 結束語

結合實際，完成青藏集團公司網絡資源監控系統架的設計與開發，彌補了青藏集團公司網絡資源監控的不足。能夠實現與實際應用系統的有機結合，符合實際需求，注重監控項的可定制能力和監控層次的可定制能力。下一步的工作是對監控系統的專家知識庫功能擴展，輔助完成網絡資源系統故障處理。■