四川廣播電視大學網(wǎng)絡基礎設施管理系統(tǒng)的設計與應用

楊娟+劉波+胡勇+陸海峰

摘 要：為了適應信息化管理工作的需要，四川廣播電視大學建設了網(wǎng)絡基礎設施管理系統(tǒng)，在數(shù)據(jù)整合的基礎上，通過數(shù)據(jù)和設備之間的關聯(lián)性分析，使網(wǎng)絡管理人員在工作過程中有據(jù)可循，提升了管理的高效性和精確度，進而實現(xiàn)對現(xiàn)有設備的最優(yōu)化使用、管理和運維。文章闡述了系統(tǒng)的建設背景、功能模塊、權限設計思路和使用的關鍵技術，并展示了實際的運行效果。最后，也對下一步系統(tǒng)的發(fā)展方向作出了說明。

關鍵詞：網(wǎng)絡基礎設施；網(wǎng)絡管理；基于角色的訪問控制；ITIL

1 概述

隨著國家教育戰(zhàn)略和社會的發(fā)展，四川廣播電視大學（以下簡稱“四川電大”）的信息化建設已經(jīng)進入了一個新的時代。隨著信息化建設工作的推進，四川電大購入越來越多的網(wǎng)絡基礎設施，如何使用、管理和運維好這些網(wǎng)絡基礎設施，成為了一個亟待解決的課題。

近幾年，四川電大在網(wǎng)絡基礎設施方面投入了大量資金，校園網(wǎng)絡基礎設施得到加強，中心機房達到一定規(guī)模。截止2016年8月，校園網(wǎng)已實現(xiàn)中心機房萬兆雙鏈路核心，千兆網(wǎng)絡到桌面，出口帶寬達400兆，并新部署和改造了920個有線網(wǎng)絡接入點，新布設光纜達8公里，實現(xiàn)了弱電線路全部下地。校本部部署有128個無線AP，實現(xiàn)了主要辦公場所的無線網(wǎng)絡覆蓋，并實現(xiàn)了有線和無線接入的統(tǒng)一認證。中心機房實現(xiàn)了規(guī)劃、科學的功能區(qū)劃分，已有100余臺服務器、3套網(wǎng)絡存儲設備、2臺核心交換機、2臺高性能防火墻、2臺網(wǎng)絡行為管理、2臺負載均衡的規(guī)模。新建設的服務器虛擬化系統(tǒng)，也已于2016年初投入運行。

數(shù)量繁多的網(wǎng)絡基礎設施的新增，對我校網(wǎng)絡管理運維人員帶來了新的挑戰(zhàn)。結合工作中的實際情況，我們發(fā)現(xiàn)以往傳統(tǒng)的通過Excel表格統(tǒng)計各類網(wǎng)絡基礎設施的相關數(shù)據(jù)，再使用紙質筆記本記錄設備相關維護保修信息的手工式管理辦法，已經(jīng)不能對現(xiàn)有的設備進行有效的管理。經(jīng)過多次討論，我們認為有必要對現(xiàn)有的網(wǎng)絡基礎設施數(shù)據(jù)進行有效整合，包括：設備的硬件參數(shù)、軟件運行情況、IP的地址的分配、域名的分配、過往的運維情況、存放的位置等。因此，建立一個網(wǎng)絡基礎設施管理系統(tǒng)勢在必行。在數(shù)據(jù)整合的基礎上，通過數(shù)據(jù)和設備之間的關聯(lián)性分析，使網(wǎng)絡管理人員在工作過程中有據(jù)可循，提升管理的高效性和精確度，進而實現(xiàn)對現(xiàn)有設備的最優(yōu)化使用、管理和運維。

眾多學者對網(wǎng)絡基礎設施管理系統(tǒng)的建設模式進行了研究。興嘎[1]在2011年就撰文介紹了智能基礎設施管理系統(tǒng)的相關概念，并對其進行了技術經(jīng)濟分析。汲汾[2]在其碩士答辯論文中則詳細闡述了云計算環(huán)境下基礎設施管理系統(tǒng)的總體設計框架與實現(xiàn)思路。王玨、邱雪松[3]又對系統(tǒng)中核心的適配器技術進行了重點研究。上述研究成果都對四川廣播電視大學網(wǎng)絡基礎設施管理系統(tǒng)的設計和應用提供了有益的指導和幫助。

2 系統(tǒng)功能

從使用功能來看，該系統(tǒng)分為三個部分：其一是基礎設施的管理，對設備的相關信息進行添加、編輯、刪除；其二是數(shù)據(jù)統(tǒng)計，對導入系統(tǒng)的數(shù)據(jù)進行統(tǒng)計；其三是系統(tǒng)管理，對系統(tǒng)的設備、用戶、角色、功能節(jié)點進行管理。

2.1 基礎設施管理模塊

基礎設施管理又分為五個小模塊，分別是：服務器管理、交換機管理、域名管理、公網(wǎng)IP管理、維保管理。

服務器管理整合了：管理員、設備編號、用途、設備型號、存放地址、過保時間、服務器序列號、操作系統(tǒng)、CPU信息、內(nèi)存條信息、硬盤信息、分配IP地址、服務器上的虛擬機以及維保記錄。

交換機管理整合了：管理員、設備編號、設備類型、設備型號、存放地址、過保時間、端口信息、管理地址、維保記錄。

域名管理整合了：域名、公網(wǎng)IP、域名用途、到期時間、安全等級、等保時間、ISP、DNS解析、管理員、備案號、狀態(tài)。

公網(wǎng)IP管理整合了：公網(wǎng)IP、公網(wǎng)端口、內(nèi)網(wǎng)IP、內(nèi)網(wǎng)端口、狀態(tài)。

維保管理整合了：管理員、設備編號、設備類別、關鍵字、維保描述、維保公司、維保時間。

基礎設施管理模塊能對設備的上述信息進行刪除、修改和添加。

2.2 數(shù)據(jù)統(tǒng)計模塊

數(shù)據(jù)統(tǒng)計又分為四個小模塊：服務器統(tǒng)計、交換機統(tǒng)計、域名統(tǒng)計、IP地址統(tǒng)計。

此模塊能將管理模塊所錄入的數(shù)據(jù)進行統(tǒng)計，以柱狀圖、餅圖、折線圖、熱力圖等形式展現(xiàn)，或以Excel表格的形式導出。

2.3 系統(tǒng)管理模塊

系統(tǒng)管理模塊又分為四個小模塊：設備管理、用戶管理、角色管理、節(jié)點管理。

設備管理模塊，管理此系統(tǒng)中的所有設備信息。

用戶管理模塊，管理用戶的增加、刪除和編輯。

角色管理模塊，定義用戶角色，定義什么樣的角色有什么樣的權限。

3 權限設計

考慮到系統(tǒng)中管理的網(wǎng)絡基礎設施對四川電大整個網(wǎng)絡環(huán)境的安全管理工作至關重要，所以課題組對系統(tǒng)的權限管理部分進行了重點設計，以最大限度地保障信息的安全可控。

系統(tǒng)以RBAC[4]（Role-Based Access Control，基于角色的訪問控制）為模型來構建。在RBAC中，權限與角色相關聯(lián)，用戶根據(jù)其職能職責被分配到指定的角色，從而獲得角色所具備的所有權限。權限可以根據(jù)需要很方便地向角色授予或從角色回收，角色與角色之間還可以建立關聯(lián)或繼承的關系以覆蓋更多現(xiàn)實中的客觀情況，這在很大程度上簡化了權限管理的工作。

用戶Help_user與角色Help_role通過映射表Help_user_role關聯(lián)，角色Help_role與權限Help_node通過映射表Help_access關聯(lián)，就是RBAC最簡易模型，基于角色的權限模型。

Help_node記錄下了整個網(wǎng)站操作對應的模塊名稱和操作名稱。

4 關鍵技術

系統(tǒng)采用PHP作為開發(fā)語言，MySQL作為數(shù)據(jù)庫支持，Thinkphp3.0作為系統(tǒng)框架， Xampp作為底層環(huán)境，B/S架構。B/S模式（Browser/Server，瀏覽器/服務器模式），是WEB興起后的一種網(wǎng)絡結構模式，WEB瀏覽器是客戶端最主要的應用軟件，這種模式統(tǒng)一了客戶端，將系統(tǒng)功能實現(xiàn)的核心部分集中到服務器上，簡化了系統(tǒng)的開發(fā)、維護和使用，用戶通過瀏覽器輸入相應的URL進行業(yè)務處理。

PHP[5]（PHP： Hypertext Preprocessor，中文名：“超文本預處理器”）是一種通用開源腳本語言，主要適用于Web開發(fā)領域。PHP可以比CGI或者Perl更快速地執(zhí)行動態(tài)網(wǎng)頁。PHP還可以執(zhí)行編譯后代碼，編譯可以達到加密和優(yōu)化代碼運行，使代碼運行更快。

MySQL[6]是在WEB用方面支持最好的RDBMS（Relational Database Management System，關系數(shù)據(jù)庫管理系統(tǒng)）應用軟件之一，其采用了雙授權政策，它分為社區(qū)版和商業(yè)版。由于其社區(qū)版的性能卓越，搭配 PHP 和 Apache 可組成良好的開發(fā)環(huán)境。

ThinkPHP是一個快速、兼容而且簡單的輕量級國產(chǎn)PHP開發(fā)框架[7]，遵循Apache2開源協(xié)議發(fā)布，基于面向對象的開發(fā)思想，采用MVC設計模式。作為一個整體解決方案和基礎開發(fā)環(huán)境，ThinkPHP包含了開發(fā)類庫、底層架構、緩存機制、權限認證、插件框架、數(shù)據(jù)持久化、表單模板、展示引擎等常用的組件，應用開發(fā)者僅需要關注業(yè)務邏輯。

為了提高應用性能，減輕數(shù)據(jù)庫的負載，系統(tǒng)在ThinkPHP開發(fā)框架中引入了MemCache緩存機制。MemCache[8]是一個可自由使用、源碼開放、高性能的分布式內(nèi)存對象緩存系統(tǒng)，用于動態(tài)Web應用以減輕數(shù)據(jù)庫的負載。MemCaChe是一個存儲鍵值對的HashMap，在內(nèi)存中對任意的數(shù)據(jù)（比如字符串、對象等）所使用的key-value存儲，數(shù)據(jù)可以來自數(shù)據(jù)庫調(diào)用、API調(diào)用，或者頁面渲染的結果。圖2是其核心原理示意圖：

為了方便用戶的使用，系統(tǒng)還與校園網(wǎng)內(nèi)部署的銳捷安全計費管理平臺RG-SAM對接實現(xiàn)了單點登錄功能。即當用戶通過認證客戶端軟件登入校園網(wǎng)后，再訪問系統(tǒng)網(wǎng)址則無需輸入用戶名密碼，可以直接進入系統(tǒng)進行相關功能操作。其內(nèi)部機制是基于SAM與OpenLDAP的聯(lián)動認證解決方案，實現(xiàn)了統(tǒng)一身份認證。

5 系統(tǒng)運行效果

5.1 基礎設施管理模塊

基礎設施管理模塊包括服務器管理、交換機管理，域名管理、公網(wǎng)IP管理、維保管理功能。

5.2 數(shù)據(jù)統(tǒng)計模塊

基礎設施管理模塊包括服務器統(tǒng)計、交換機統(tǒng)計、域名統(tǒng)計、IP地址統(tǒng)計功能。

5.3 系統(tǒng)管理模塊

基礎設施管理模塊包括設備管理、用戶管理、角色管理、節(jié)點管理功能。

6 結束語

“網(wǎng)絡基礎設施管理系統(tǒng)”項目的研究是在四川電大進行新一輪信息化建設的重要組成部分，該項目的使用者是全校的網(wǎng)絡基礎設施管理員。通過認真調(diào)研、學習、總結和吸收已有經(jīng)驗，課題組采用成熟的信息技術和軟件架構，結合銳捷SAM平臺，利用軟硬件一體化認證解決方案實現(xiàn)了單點登錄功能，在RBAC的基礎上進行權限劃分，構建了系統(tǒng)的底層框架和數(shù)據(jù)模型，很好地滿足了用戶的業(yè)務需求。

下一步，網(wǎng)絡基礎設施管理系統(tǒng)將在遵循ITIL[9]標準（Information Technology Infrastructure Library，信息技術基礎架構庫）的基礎上拓展故障管理、性能管理、拓撲管理、鏈路管理等功能，自動采集服務器、路由器、交換機、存儲等設備的告警和性能數(shù)據(jù)（如SNMP協(xié)議trap、性能越門限告警等）并動態(tài)展示，以提升系統(tǒng)的智能監(jiān)測能力，實現(xiàn)對所有網(wǎng)絡基礎設施的統(tǒng)一管理和實時監(jiān)控。

參考文獻

[1]興嘎.智能基礎設施管理系統(tǒng)介紹及技術經(jīng)濟分析[J].微電腦世界，2011，19（9）：23-25.

[2]汲汾.云計算中心基礎設施管理系統(tǒng)的設計與實現(xiàn)[D].天津大學， 2012.

[3]王玨.IT基礎設施管理系統(tǒng)通用適配器的研究與實現(xiàn)[D].北京郵電大學，2013.

[4]周文峰，尤軍考，何基香.基于RBAC模型的權限管理系統(tǒng)設計與實現(xiàn)[J].微計算機信息，2006（15）：35-36.

[5]徐保民.PHP編程基礎及應用實例集錦[M].北京：人民郵電出版社，2001.

[6]張旭剛，李東輝，俞俊，等.基于Zookeeper框架實現(xiàn)MySQL分布式數(shù)據(jù)庫集群[J].計算機與數(shù)字工程，2016（9）：1855-1859.

[7]王俊芳，李隱峰，王池.基于MVC模式的ThinkPHP框架研究[J].電子科技，2014（27）：151-153.

[8]王明俊，方勇.基于Memcache的內(nèi)存注入攻擊與防御[J].網(wǎng)絡安全技術與應用，2014，12（1）：126-129.

[9]左天組，劉偉.ITIL白皮書[M].北京：北京大學出版社，2004.