論開源軟件在企業網絡管理的實踐

摘要：在企業信息化的背景下，企業網絡管理系統的建設顯得更加重要。但是在部分中小型企業無法投入大量人力、物力、財力的情況下，利用開源軟件建設企業網絡管理系統可以有效降低企業的成本并提升網絡可靠性。結合部分開源網絡管理軟件在企業中的實際運用，分析開源軟件在企業網絡管理系統的建設中發揮的重要作用與企業在使用開源軟件中遇到的一些問題和思考，對企業網絡管理系統的建設提供了積極的借鑒。

關鍵詞：開源軟件；網絡管理；網絡監控；低成本

一、前言

隨著互聯網的普及和信息化程度的提高，企業、組織和個人對網絡的依賴程度都在不斷增加，信息傳播、交流溝通、商務協作、休閑娛樂都離不開網絡。網絡是整個企業信息化建設的基礎，建設高冗余性、高安全性的企業網絡往往意味著龐大的人力、物力、財力的投入，但是對于那些投入有限的企業可以利用開源軟件建設高效有序的網絡管理系統，減少網絡停機發生的概率，幫助企業迅速定位故障，促使網絡恢復正常，并在事后通過對日志的分析避免類似事件的再次發生。

二、開源軟件現狀

“開放源代碼軟件”（Open Source Software，OSS）通常是指基于各種開放源代碼而發布的軟件，并且此軟件的使用，修改和分發也不受許可證的限制，可以有效降低軟件使用者的使用成本。2022年，中國信息通信研究院通過調研企業使用、推廣及支持開源軟件帶來的量化效益、非量化效益，同時引入統計誤差、勞動力轉化率和公開數據資料等，綜合得出開源軟件為企業帶來超過8%的成本節省[1]。開源軟件早已被各行業、企業普遍接受，尤其對于投入有限的中小企業來說，相較于昂貴的商業軟件，免費的開源軟件無疑是更優質的選擇。

三、企業網絡管理系統的建設

ISO在ISO/IEC7498-4文檔中定義了網絡管理的五大功能，分別是故障管理、配置管理、計費管理、性能管理、安全管理。針對這五大功能，企業應該從以下幾個方面進行企業網絡管理系統的建設。

（一）建設及時高效的監控系統

隨著企業數字化建設的推進，路由器、交換機、防火墻、服務器等各式各樣的設備越來越多。發生問題、定位問題、解決問題這種傳統方式在處理網絡問題時往往會浪費大量的人力和時間。高效的監控系統對企業網絡中各種設備運行的狀態進行實時觀察，幫助網絡管理人員提早發現風險隱患，及時定位故障，極大減少網絡管理人員的負擔，提升網絡運維的效率。

（二）建設持續穩定的備份系統

持續的備份機制是對企業網絡故障管理的最低限度要求，可以使管理人員在設備發生災難性故障時通過替換設備恢復網絡。持續的備份機制包含周期性的配置備份及配置比對、重大變更前的配置備份、定期的配置恢復演練。這些配置管理手段可以有效提升企業網絡的可靠性，近年來，NetDevOps（網絡運維自動化）概念的流行與推廣也使得網絡管理人員從這些以往只能通過手動操作的繁復工作中解放，幫助企業進行有效的配置管理。

（三）建設完善可靠的日志系統

在企業網絡管理中定期對設備日志審計可以幫助網絡管理人員發現設備存在的風險隱患，在故障發生后也可以有效地追溯問題發生的原因，從而幫助企業建立完備的網絡管理制度。審計的前提是建立完善可靠的日志收集系統，對于設備系統日志、人員操作日志、安全防護日志的分類妥善保存是企業網絡管理的關鍵。

四、開源軟件在企業網絡管理中的具體實踐

如圖1所示，某企業的網絡拓撲為典型的中小型企業網絡，屬于簡化的傳統網絡三層結構。非常明顯出于節約成本的考慮，該企業網絡所有設備均采用單點結構沒有冗余，沒有DMZ區，內部服務器如果向外部提供服務存在比較大的風險。在不進行網絡改造的情況下，通過免費的開源軟件建設相關網絡管理系統是短期內提升該企業網絡可靠性的有效途徑。

根據之前提到的建設思路，完善監控手段盡早發現設備風險、故障節點、性能瓶頸。配置自動化備份確保一旦有設備發生硬件故障時可以通過替換設備迅速恢復。搭建日志處理系統保存系統、安全、操作日志作為排查問題、審計操作的基礎。同時，使用VPN系統避免將內網業務系統映射至公網。

（一）開源的Linux系統CentOS

本設計中選擇開源的Linux操作系統CentOS 7作為其他軟件的基礎環境。Linux操作系統相較于Windows操作系統更穩定，資源消耗更小。同時得益于本身的穩定性、安全性和社區支持，CentOS一直在企業中受到廣泛歡迎。

CentOS操作系統自帶的NTP服務為所有設備提供統一的時間服務器，所有網絡設備將該服務器配置為時間服務器，即用統一的時間戳輸出日志，NTP服務資源消耗極小無須單獨占用一臺服務器。

1.安裝服務：yum -y install ntp。

2.修改配置：vi/etc/ntp.conf。

3.啟動服務：systemctl start ntpd。

Rsyslog日志服務是CentOS操作系統另一個自帶的服務，通過Facility（設施）定義日志消息的來源，并對日志分類。通過Priority（級別）定義日志消息的等級。通過Rules規則定義日志轉發、存放的規則。

1.安裝服務：yum -y install rsyslog。

2.修改配置：vi/etc/rsyslog.conf。

3.啟動服務：systemctl start rsyslog。

（二）開源的網絡監控軟件Zabbix

Zabbix是一個基于前端Web和后端數據庫的企業級開源監控解決方案，設計選擇在CentOS 7上部署基于Apache和MySQL的Zabbix5.0。由于開源軟件龐大的社區支持，企業的網絡管理人員能在Zabbix官方網站下載到各個操作適用的版本及相應的安裝步驟。操作手冊詳細到每一個指令，對于新接觸的人來說也不存在任何安裝難度。

Zabbix程序搭建完畢后，在Web界面通過結合SNMP（Simple Network Management Protocol）協議配置自動發現設備、設備的監控項、根據設備監控項的數值定義告警閾值。設備支持的SNMP協議的MIB（Management Information Base）信息可以從各廠商官方網站上直接獲取，根據企業具體需求部署定制的Zabbix監控主界面如圖2所示。

設計中針對目標設備的CPU使用率設置了90%進行告警，及時發現了互聯網出口設備在流量高峰時期存在性能瓶頸，經常發生CPU使用率過高的告警，為網絡管理人員在對設備升級設計方案時提供了理論依據。同時結合下文提到的Python腳本，Zabbix能將告警信息及時推送到釘釘或者企業微信進行故障報警，無須網絡管理人員24小時一直關注監控系統的界面。

（三）開源的VPN軟件Pritunl

基于開源的OpenVPN和MongoDB實現的開源的企業級VPN管理軟件Pritunl，給企業提供了除各廠商的硬件VPN解決方案外另一個選擇。和上文部署的Zabbix一樣，Pritunl也有強大且完整的社區支持。安裝步驟如下：

1.安裝Pritunl軟件倉庫。

2.安裝程序及數據庫：yum install pritunl mongodb-org。

3.啟動服務：systemctl start pritunl mongodb-org。

Pritunl程序搭建完畢后，在Web界面進行VPN服務的配置，可以自定義監聽的UDP或者TCP端口，避免常規端口暴露在公網，通過Server（服務）與Organizations（組織）的綁定進行VPN訪問權限的劃分，創立并分配不同Users（用戶）以提供給企業員工使用。網絡管理人員可以輕松通過系統觀察VPN賬號的使用情況，也可以通過系統自帶的日志系統進行行為審計，同時在用戶端也有簡單易懂的客戶端進行連接操作。

使用VPN避免了企業內部業務服務器，如OA、ERP系統，提供給外地分公司或者出差人員訪問系統時，Web服務必須開放到互聯網，避免了系統被直接攻擊入侵的風險。開源的Pritunl提供的權限分配、人員日志審計已足夠滿足企業的安全要求。

（四）開源的Python編程語言

Python語言作為一門高級、解釋性編程語言，語法簡潔，代碼可讀性強。網絡運維自動化主要利用Python庫（或函數）編制腳本來實現對網絡設備的自動化管理和運維操作，提高運維工作效率并減少人為錯誤[2]。在設計中利用Python語言編寫腳本并實現了以下兩個功能。

1.配合Zabbix實現在釘釘內進行實時的告警。通過自定義的格式設置清楚明確的告警信息，如圖3所示。

2.配合CentOS自帶的Crontab計劃任務功能在每周進行設備備份，并將備份完畢的配置文件按固定日期格式存放在服務器指定位置。在實踐中針對華為交換機通過Python庫編寫的備份腳本，如圖4所示。

至此，設計的網絡管理系統搭建完畢。由于CentOS的低資源消耗，整套系統僅使用了1臺虛擬機上運行的2臺CentOS服務器完成搭建。Zabbix、NTP、Rsyslog以及所有Python腳本運行共用一臺服務器，Pritunl由于其對互聯網提供服務的特殊性單獨部署一臺。相較于成熟商業軟件往往要求的高性能硬件支持，開源軟件低成本的部署有效降低了企業網絡建設的支出。

五、開源軟件存在的問題

開源軟件給企業在低成本的情況下在網絡管理體系的建設多了一種選擇，但是在使用開源軟件的過程中也發現了不少問題。

開源軟件擁有龐大的社區支持，可以輕松獲取關于軟件的信息、配置指南等。但是在實際部署與維護的過程中缺乏專業人員的技術支持，不如成熟的商業軟件有著完善的售后支持。通過開源軟件進行網絡管理對于網絡管理人員的專業技能非常依賴。培養技能熟練、高素質的網絡管理人員是開源軟件能為企業網絡管理提供價值的關鍵。

開源軟件運營方式存在不確定性，2014年Red Hat廠商收購CentOS，本文中大量運用的企業級開源操作系統CentOS 7已于2024年6月30日結束生命周期，開源社區也不再對其提供支持，企業為了系統的穩定性與安全性必須尋找新的系統進行升級替代。與此同時，世界上最大的反向代理軟件Ngnix也于2019被F5廠商收購，其商業化進程也不可避免。當某個開源軟件以其出色的性能與體驗發展傳播時，其商業化進展也不可避免。由此導致開源軟件相較于商業軟件在延續性上存在劣勢，使得企業在使用開源軟件時有所顧忌。

我國開源社區主要還是以利用國外開源代碼、依托國外開源社區為主，總體上仍是國際開源社區的次生社區，呈現依附性強、自主性弱的特點，存在較大的開源產業鏈斷供風險。國際主流開源基金會、開源項目以及多數開源許可證均誕生于美國或由美國公司掌控，隨時可因掌控方的需要而閉源斷供[3]。2021年美國國會就曾提出要研究中國獲得美國開源技術和基礎研究所能帶來的收益，以及是否應加強出口管制[4]。所以企業作為開源軟件的使用者，在使用開源軟件的過程中也要避免對單一軟件過度依賴。

六、結語

我國“十四五”規劃提到，支持數字技術開源社區等創新聯合體發展，完善開源知識產權和法律體系，鼓勵企業開放軟件源代碼、硬件設計和應用服務。中國開源戰略日趨成熟，開發者人數已達全球第二[5]。開源軟件以其獨有許可模式受到企業廣泛的認同，在享受開源軟件節約成本與帶來便利的情況下，企業也應重視開源軟件存在的弊端，制定完善的配套制度，培養高素質的人才，全面推動企業的信息化建設。

參考文獻

[1]郭雪，張一陽.全球開源生態愈發成熟助力數字經濟快速發展[J].通信世界，2022（23）：35-36.

[2]郭光建，孫啟娟，段波，等.基于Python的網絡設備自動化運維[J].電腦編程技巧與維護，2023（11）：173-176.

[3]王曉冬.我國開源軟件產業面臨的突出風險及對策研究[J].信息安全研究，2021，7（10）：973-976.

[4]郭滕達，張明喜.推動中國開源軟硬件發展的經驗與建議[J].科技導報，2024，42（02）：14-19.

[5]中國工程院院士倪光南：擁抱開源，與世界協同創新[N].中國電子報，2023-12-15（005）.

作者單位：上海外語教育出版社有限公司

責任編輯：王穎振、楊惠娟