網(wǎng)絡設備集中管理策略探討

趙曉峰

摘要：服務器、個人電腦和交換機是網(wǎng)絡管理中最常見的設備，它們數(shù)量眾多、不易管理，為此，結合網(wǎng)絡運維實踐和集中管理模式，提出對這些設備進行集中管理的具體實施方法，這些方法在實踐當中被證明是行之有效的。

關鍵詞：網(wǎng)絡設備；集中管理；虛擬化；無盤工作站；SecureCRT

中圖分類號：TP391 文獻標識碼：A 文章編號：1009-3044（2018）09-0057-03

Abstract： Servers， personal computers and the switch is the most common equipment in network management. They are numerous， difficult to manage. Therefore， combined with practice of network operation and maintenance and centralized management mode， put forward some implement methods of centralized management of equipment. These methods are proved to be effective in practice.

Key words： network equipment； centralized management； virtualization； diskless workstation； SecureCRT

根據(jù)百度百科的定義，網(wǎng)絡設備及部件是連接到網(wǎng)絡中的物理實體。常見的網(wǎng)絡設備有：計算機（無論其為個人電腦或服務器）、集線器、交換機、路由器、防火墻等，由于存儲也屬于連接到網(wǎng)絡中的物理實體，同時也是計算機網(wǎng)絡中很重要的設備，故本文把存儲也列入網(wǎng)絡設備的范疇。在現(xiàn)代計算機網(wǎng)絡中，計算機、交換機和存儲是必不可少的設備，數(shù)量也最為眾多，如何對這些網(wǎng)絡設備進行簡單快速而又有效的管理，以便滿足日益增多的業(yè)務系統(tǒng)的需求和安全管理的要求，是需要進行研究和解決的，既需要從策略和方法層面進行整體架構，又需要從技術層面加以實施，限于篇幅，本文僅從管理策略方面進行探討，計算機從用途上可分為個人電腦和服務器，對它們的管理有所不同，因而分開進行討論。

網(wǎng)絡設備集中管理最大的好處在于方便管理、降低運維成本，依托網(wǎng)絡設備集中管理平臺可以實現(xiàn)對所有同類設備的管理，達到資源共享、靈活分配、省去人工記憶地址和批量處理等目的。本文分為四個部分：第一部分為總體思想，主要討論網(wǎng)絡設備管理的若干原則，以便在選擇具體管理手段時進行遵循；第二部分主要討論服務器的集中管理策略，分別從虛擬化、加入域、時間同步、補丁分發(fā)和采用分布式存儲等角度進行闡述；第三部分主要討論個人電腦的集中管控策略，分別從無盤工作站和內網(wǎng)監(jiān)管的角度進行闡述；第四部分主要討論交換機的集中管理手段，主要從SecureCRT終端仿真程序和SNMP協(xié)議的角度進行闡述。

1 總體思想

就整體而言，對網(wǎng)絡設備的管理應符合以下原則：統(tǒng)一管理、操作簡單、資源分配合理、能對運行情況進行多方位監(jiān)控、自動記錄操作日志、管理安全。

統(tǒng)一管理主要體現(xiàn)在：將所有同類設備納入到統(tǒng)一的管理平臺中，共享底層資源，并能進行資源的靈活分配，對全部設備的操作可批量進行，以達到一個操作全部有效的目的。

操作簡單主要體現(xiàn)在：不需要過多的鍵盤輸入操作，盡可能一鍵點擊操作，以節(jié)省操作時間，例如：建立批處理命令文件，利用憑據(jù)等。

資源分配合理主要體現(xiàn)在：能夠根據(jù)需求的變動靈活進行資源的調整分配，并有效避免資源浪費。例如：對于高計算性的業(yè)務可以分配較多的CPU和內存，而對于那些要求空間大的業(yè)務可以分配較多的存儲空間，相應的其他資源可以較少分配。避免資源浪費是對資源分配合理的進一步補充，對于那些長期無人使用的系統(tǒng)及時進行下線處理，釋放出相應的資源，以便分配給其他業(yè)務系統(tǒng)。

能對運行情況進行多方位監(jiān)控主要指對網(wǎng)絡設備的運行情況能夠實時記錄和查看，如遇故障情況，能夠及時報警，以便管理員在第一時間發(fā)現(xiàn)。例如：CPU占用率、內存占用率、硬盤讀寫是否正常、網(wǎng)卡傳輸速率等。

自動記錄操作日志主要體現(xiàn)在：對于網(wǎng)絡設備的每一步操作都有詳細的日志記錄，以便出現(xiàn)故障時能夠根據(jù)日志進行問題跟蹤，同時，有些日志包含了大量的用戶行為信息，對這些信息進行挖掘分析，可以有效輔助管理者的日后決策。

管理安全主要體現(xiàn)在：首先操作要安全，其次數(shù)據(jù)要安全，不然干擾或者破壞了正在運行的服務，輕則造成一定影響，重則長時間無法正常服務。因此在操作之前應該評估所作的操作是否會對現(xiàn)有服務產生影響，尤其是會不會造成數(shù)據(jù)丟失，會不會造成系統(tǒng)無法正常啟動等，對于可能出現(xiàn)服務故障的操作應及時做好數(shù)據(jù)備份，建立還原點等，以便故障出現(xiàn)后能夠快速進行恢復。

根據(jù)上述原則，下面分別從服務器、個人電腦和交換機這三種最常見的網(wǎng)絡設備進行集中管理策略的探討。

2 服務器集中管理

目前機房主流的服務器類型主要是兩種：機架服務器和刀片服務器，大部分以機架服務器為主，主流的操作系統(tǒng)平臺也是兩種：Windows和Linux，機房所用Windows服務器操作系統(tǒng)目前以2008 R2為主，少部分為2003，更高級別的Windows 2012操作系統(tǒng)只能安裝在一些高性能的服務器上，而Linux操作系統(tǒng)主要以RedHat和CentOS為主。存儲方面以前主要是集中式存儲，以EMC為代表，現(xiàn)在逐漸向分布式存儲過渡。以下分別從服務器虛擬化、服務器加入域、添加時間同步服務器、部署補丁分發(fā)服務器和采用分布式存儲五個方面來展開討論。

2.1 服務器虛擬化

服務器虛擬化是將服務器物理資源抽象成邏輯資源，讓一臺服務器變成幾臺甚至上百臺相互隔離的虛擬服務器，不再受限于物理上的界限，而是讓CPU、內存、磁盤、I/O等硬件變成可以動態(tài)管理的“資源池”，從而提高資源的利用率，簡化系統(tǒng)管理，實現(xiàn)服務器整合，讓IT對業(yè)務的變化更具適應力。

它的好處主要體現(xiàn)在：1）實現(xiàn)業(yè)務系統(tǒng)的快速部署。傳統(tǒng)的物理服務器僅安裝操作系統(tǒng)就需要1-2小時的時間，如果出現(xiàn)安裝不順利的情況，則需要重新安裝，非常耗時，而虛擬化則可以利用預先建立好的模板在1-2分鐘的時間內快速克隆出一臺服務器，用戶只需關注業(yè)務本身的部署；2）輕松實現(xiàn)服務器的容災備份。運行在物理機上的操作系統(tǒng)是存在安全風險的，不當操作可能導致系統(tǒng)無法正常啟動，重裝系統(tǒng)會造成部分數(shù)據(jù)丟失，而由于硬盤故障導致的系統(tǒng)無法正常啟動，則需要重建Raid，這時候可能造成全部數(shù)據(jù)丟失，運行在虛擬機上的操作系統(tǒng)則可以通過預先建立的還原點來將系統(tǒng)恢復到故障前的狀態(tài)，保證了數(shù)據(jù)和系統(tǒng)安全。3）實現(xiàn)資源的動態(tài)分配。傳統(tǒng)的物理服務器如果出現(xiàn)配置無法滿足業(yè)務要求時，一般只能通過購買更高端的服務器來滿足要求，而虛擬機只需從資源池中分配剩余的資源即可，即使是剩余的資源無法滿足要求，還可以從其他虛擬服務器中釋放出部分暫時不需要的資源，實現(xiàn)了資源的統(tǒng)一管理、靈活配置。

目前服務器虛擬化軟件主要是三種：VMware vSphere、Citrix XenServer和微軟Hyper-V，VMware vSphere占據(jù)著市場的主流，在穩(wěn)定性、安全性、移植性方面有著良好的表現(xiàn)， Hyper-V由于是免費產品受歡迎程度也較高，尤其是微軟在Windows 2012操作系統(tǒng)中主推Hyper-V，聲稱在穩(wěn)定性以及性能方面有很大提升。

2.2 服務器加入域

上百臺甚至更多服務器，如果每臺服務器設置不同的密碼，幾乎是沒法管理的；如果每臺服務器均需要配置相同的安全策略，則是相當繁瑣的操作，且容易遺漏或出錯，這時候，加入域是不錯的選擇。在加入域之前，首先要有一臺服務器充當域控制器，必要時可以選擇一臺或者多臺服務器充當額外域控制器。Windows 2000 Server以上操作系統(tǒng)均可用來充當域控制器，目前大多采用Windows 2008 R2作為域控制器服務器操作系統(tǒng)。

通過域控AD可以添加域賬戶，服務器加入域后可以通過域管理員賬戶來登錄系統(tǒng)，有效避免了本地管理員密碼忘記后系統(tǒng)無法進入的情況，同時，域控中的組策略擁有強大的功能，可以像配置本地組策略一樣配置域組策略，例如：密碼策略、審計策略、用戶登錄策略、IE瀏覽器策略、自動更新配置等等，一旦配置了該策略，凡是加入域的服務器或者PC機，便可以接收到這些策略配置，而無需再單臺進行重復配置，實現(xiàn)了策略的統(tǒng)一下發(fā)。

2.3 添加時間同步服務器

對于普通PC機而言，日期時間不準確可能沒多大影響，但服務器就不一樣了，一旦時間出現(xiàn)問題，來自客戶端提交的信息便會是錯誤的時間信息，給以后的信息查詢帶來麻煩，一些重要的業(yè)務時間出現(xiàn)問題，將給用戶帶來不便，給管理者帶來負面影響，因此，確保服務器的時間準確很重要。而隨著分布式計算技術的日趨成熟，基于分布式的應用也日趨增多，這時候要求參與分布式計算的服務器在時間上必須保持嚴格一致。對于企業(yè)院校而言，非常有必要在其內部網(wǎng)絡中架設一臺時間同步服務器，用來提供網(wǎng)內的時間同步服務，而時間同步服務本身不需要太多的資源，在Windows操作系統(tǒng)中，時間同步是通過Windows Time服務完成的，Windows Time通過NTP（Network Time Protocol）協(xié)議訪問目標時鐘同步服務器的123端口進行時間同步，具體配置可以通過互聯(lián)網(wǎng)進行搜索。

2.4 部署補丁分發(fā)服務器

在網(wǎng)絡安全日益嚴峻的今天，在內網(wǎng)中部署補丁分發(fā)服務器對于服務器系統(tǒng)安全是很重要的，這樣可以省去單臺服務器逐個打補丁的麻煩。對于Windows操作系統(tǒng)，通常部署WSUS補丁分發(fā)服務器，部署完成后，在其他Windows服務器或PC終端上，輸入gpedit.msc命令進入到組策略編輯器，找到計算機配置下的Windows Update選項，啟用“配置自動更新”，然后在下一設置中輸入補丁分發(fā)服務器的IP地址即可，實踐當中，某些服務器利用上述設置可能無法獲得更新補丁包，這時候，可通過修改注冊表的方式添加相應的鍵值，重啟服務器后即可生效。

2.5 采用分布式存儲

分布式存儲盡管在目前的現(xiàn)代機房環(huán)境中還沒有成為主流，但由于其快速部署、資源分配靈活、易于擴展的優(yōu)勢，勢必成為日后的主流。分布式存儲是實現(xiàn)服務器統(tǒng)一管理的又一選擇方案，它具有以下優(yōu)點：1）磁盤空間靈活分配。分布式存儲采用服務器集群的方式，形成了一個大的資源池，在這個資源池中，可以靈活地進行空間的分配和回收，即使是已經被分配出去的空間，當前沒有被占滿，還可以將剩余空間回收后分配給其他服務器，這在集中式存儲上幾乎是無法實現(xiàn)的；2）易于擴展，便于擴容。當資源池中的空間無法滿足分配要求時，就需要進行磁盤容量的擴充，這時，集中式存儲的辦法是購買新的磁盤柜、做陣列、劃分LUN，然后進行LUN的掛載，而分布式存儲只需增加新的服務器即可，新增加的空間經過格式化后進入資源池，管理后臺會自動更新服務器存儲索引項。3）安全性更高。分布式存儲將磁盤訪問壓力分散到各個服務器上，不容易造成單塊磁盤的損壞，并且允許其中一臺服務器整個壞掉，此時不影響數(shù)據(jù)的正常使用。

3 個人電腦集中管理

個人電腦一般位置比較分散，管理起來不太容易，且容易發(fā)生安全事件。目前，個人電腦操作系統(tǒng)大部分仍使用Windows，一方面Windows操作系統(tǒng)使用一段時間后會產生大量的垃圾文件，這些垃圾文件不及時清理會導致系統(tǒng)變慢，隨著安裝軟件的增多也會使系統(tǒng)變慢，久而久之無法忍受時，重裝系統(tǒng)便成為快速解決的辦法，但這很耗時間也很繁瑣。另一方面，個人擁有操作系統(tǒng)的最高權限，可隨意連接到各類外設，導致安全事件的發(fā)生。針對上述兩個方面，一是搭建無盤工作站系統(tǒng)，解決操作系統(tǒng)和軟件安裝問題；二是部署內網(wǎng)監(jiān)管系統(tǒng)，防止非法計算機入網(wǎng)，并對聯(lián)網(wǎng)的外設進行限制接入和用戶行為審計。

3.1搭建無盤工作站

無盤工作站其實就是一臺不帶硬盤的普通電腦，它的優(yōu)點主要表現(xiàn)在三個方面：第一，操作系統(tǒng)通過母盤安裝后上傳至無盤服務器，系統(tǒng)中所有無盤均可通過該母盤鏡像正常啟動，日后安裝軟件，也是一次安裝，全部生效，大大節(jié)省了維護的時間，且每次重啟，系統(tǒng)會自動還原至開機前的狀態(tài)，不會產生額外的垃圾文件；第二，由于在內存中讀寫數(shù)據(jù)，響應速度大大提高；第三：安全性大大提高。操作系統(tǒng)的設置權限完全交由管理員，用戶沒有更改系統(tǒng)的權限，管理員可直接在鏡像中限制外設接入，本機無法存儲文件，所有文件均通過網(wǎng)絡寫至服務器，安全可控。

通過將無盤操作系統(tǒng)鏡像設置加入域，可以實現(xiàn)域控安全策略的統(tǒng)一下發(fā)，另外，還可以在域控服務器中建立域用戶，并對域用戶配置網(wǎng)絡存儲空間路徑和個性化漫游路徑，同時利用Windows 2008服務器操作系統(tǒng)中的磁盤配額功能，可將域用戶加入配額項，并對該用戶進行空間限制，實現(xiàn)無盤工作站和域控的完美結合。

目前企業(yè)版的無盤工作站系統(tǒng)主要由銳起公司和網(wǎng)眾公司提供。銳起無盤工作站服務端軟件既可以采用Windows服務器操作系統(tǒng)，也可以采用Linux服務器操作系統(tǒng)，且Windows更穩(wěn)定一些，界面簡捷友好，并且自帶個性網(wǎng)盤功能，客戶端主要支持Windows系列版本，不支持Linux版本。網(wǎng)眾無盤工作站服務端軟件只能采用Linux服務器操作系統(tǒng)，它的優(yōu)點是服務穩(wěn)定，缺點是操作界面不太友好，客戶端除了支持常見的Windows版本外，還支持Linux版本。

3.2部署內網(wǎng)監(jiān)管系統(tǒng)

為了避免非法計算機利用非常手段接入內網(wǎng)，竊取內網(wǎng)信息，在局域網(wǎng)中部署內網(wǎng)監(jiān)管系統(tǒng)是十分有必要的。一方面，所有合法入網(wǎng)的計算機必須安裝內網(wǎng)監(jiān)管客戶端，沒有安裝的個人電腦將無法正常接入內網(wǎng)；另一方面，可以在內網(wǎng)監(jiān)管系統(tǒng)后臺設置MAC地址與IP地址綁定，只有合法存在的IP與MAC組合才允許正常入網(wǎng)。更重要的是，內網(wǎng)監(jiān)管系統(tǒng)可以配置限制非法外聯(lián)，禁止U盤、光驅、打印機等外設的接入，還可進行終端審計，包括文件審計、打印審計、網(wǎng)站審計、FTP審計、應用程序審計、刻錄審計等等，限制用戶的一些非法行為：如打游戲等。

此外，內網(wǎng)監(jiān)管系統(tǒng)實時記錄了用戶計算機的軟硬件信息、后臺服務信息、進程信息、認證信息等，能對個人電腦進行全方位的監(jiān)控，有利于發(fā)生安全事件時的問題跟蹤。內網(wǎng)監(jiān)管系統(tǒng)主要采用802.1x協(xié)議，交換機版本首先要支持配置該協(xié)議，然后進行相應的全局配置和端口配置。

4 交換機集中管理

交換機是內網(wǎng)中數(shù)量比較多的一類設備，實踐當中大多采用遠程管理的方式，遠程登錄協(xié)議主要有telnet和SSH兩種，telnet由于是明文傳送不太安全，SSH則是加密的，也是目前大多數(shù)采取的方式?，F(xiàn)實當中，接入交換機是網(wǎng)絡維護當中配置較多的一類交換機，它們少則幾十臺，多則幾百臺，如果這些交換機均需要增加一條全局配置命令，則需要每臺交換機輸入用戶名和密碼登錄進行配置，非常浪費時間，同時，在配置交換機之前還需要查找其IP地址，顯得不夠智能，為了解決此問題，可以使用SecureCRT終端仿真程序，實現(xiàn)對所有交換機的集中配置管理。另外，為了能夠直觀地看到交換機的端口使用情況和性能狀態(tài)指標，安裝交換機管理平臺是必不可少的，這時候通常需要配置SNMP協(xié)議，配置完成后，就可以通過該平臺實現(xiàn)設備的統(tǒng)一管理。利用平臺的自動發(fā)現(xiàn)功能能夠快速添加交換機設備，并進行一些圖形化界面的操作，但在實踐當中，人們更習慣于用命令來操作交換機和查看性能指標，加之該協(xié)議一直以來存在一些致命的缺點，比如：每個廠商都有大量自己的私有MIB庫，導致SNMP協(xié)議不能以一種統(tǒng)一通用的數(shù)據(jù)描述格式來保存所有被管理設備的各種信息，使得不同交換機品牌通過該協(xié)議無法進行正常的數(shù)據(jù)通信，給現(xiàn)實應用造成困難。因此，以下著重介紹使用SecureCRT。

SecureCRT是運行于Windows平臺的一款終端仿真程序，支持SSH、Telnet、Serial、Rlogin和TAPI協(xié)議，是連接運行包括Windows、Linux、VMS的理想工具，也可以連接配置交換機，支持VBS、JS和Python三種腳本語言，通過執(zhí)行編程腳本可以實現(xiàn)多臺交換機的批量自動登錄、批量自動配置和批量導出配置腳本，同時可以批量生成交換機連接Session文件，這些功能在需要同時操作多臺交換機時非常有效。腳本的制作有兩種方式：一種通過自帶的錄制腳本功能，點擊Script菜單下的開始錄制選項，輸入相應的操作命令，完畢后點擊停止錄制選項，這時會自動彈出保存文件對話框，默認保存為.vbs腳本格式，下次直接運行該腳本即可；另一種是自己手動編寫代碼。當然，對于一般用戶而言，更多的是不使用編程腳本下的操作，這時可以手動建立多個交換機Session連接文件，用于保存交換機的連接信息，下次選中相應連接名稱即可進入遠程交換機進行配置，在配置過程中，可以設置自動生成操作日志，以便于錯誤發(fā)生時的記錄跟蹤。除此之外，SecureCRT還可以代替Windows自帶的超級終端程序和telnet命令，功能非常強大和使用方便。

5 結語

網(wǎng)絡設備集中管理的優(yōu)點是顯而易見的，通過在實踐過程中實施具體的集中化管理策略，能夠較好地應對網(wǎng)絡運維中出現(xiàn)的一些問題，但并非所有的問題均需要用集中管理的策略去處理，只有合適的才是正確的，況且管理需要從多個角度進行綜合考慮，例如：用戶的角度、安全的角度、性能最大化的角度等等，本文主要是從管理者的角度進行探討。

參考文獻：

[1] 李迎星. 淺析通信網(wǎng)絡資源集中管理[J]. 信息通訊，2014，1（1）.

[2] 唐瑞明. 虛擬服務器技術在服務器管理中的應用[J]. 計算機光盤軟件與應用，2014（19）.

[3] 童淵文，呂斌斌，左武志. 基于域控制器的桌面安全策略研究[J]. 信息通訊，2014（12）.

[4] 劉翠媚. 域控AD在網(wǎng)絡運維中的應用[J]. 信息通信，2017（9）.

[5] 楊承周. 分布式存儲關鍵技術及優(yōu)勢分析研究[J]. 網(wǎng)絡安全技術與應用，2007（10）.

[6] 王駿翔. 數(shù)據(jù)中心自動化運維平臺的設計與實現(xiàn)[J]. 上海船舶運輸科學研究所學報，2016，39（3）.

[7] 龍煒. 自動化運維工具在企業(yè)信息系統(tǒng)管理中的應用[J]. 微型機與應用，2017，36（5）.