■ 山東 趙秀芹 何鈺 李瑞祥

編者按：保障局域網(wǎng)的暢通，是大樓內(nèi)部各個(gè)單位和部門信息系統(tǒng)正常運(yùn)行的基本要求，要實(shí)現(xiàn)這一點(diǎn)，需要實(shí)現(xiàn)對(duì)局域網(wǎng)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控。利用綜合網(wǎng)管平臺(tái)可以很好地實(shí)現(xiàn)實(shí)時(shí)告警，保障局域網(wǎng)安全穩(wěn)定運(yùn)行。

筆者所在的辦公大樓是一幢21層的高層建筑（地上19層，地下2層），大樓里面有眾多的單位和部門。大樓的局域網(wǎng)在建樓時(shí)已經(jīng)通過綜合布線系統(tǒng)部署完成，采用了典型的星型結(jié)構(gòu)。辦公網(wǎng)核心交換機(jī)設(shè)在五樓中心機(jī)房，該交換機(jī)向上連接BRAS設(shè)備，向下分別通過多模的光纖收發(fā)器連接到各個(gè)樓層的交換機(jī)，大樓的綜合布線系統(tǒng)是 3層 1匯聚，即 1、2、3樓各辦公室的網(wǎng)線統(tǒng)一匯聚至2層豎井的綜合布線柜，以此類推，在 5、8、11、14、17樓豎井進(jìn)行匯聚，筆者在各相應(yīng)的綜合布線柜處部署了可網(wǎng)管的交換機(jī)，實(shí)現(xiàn)了相應(yīng)樓層各個(gè)辦公點(diǎn)的網(wǎng)絡(luò)覆蓋。

保障局域網(wǎng)的暢通，是大樓內(nèi)部各個(gè)單位和部門信息系統(tǒng)正常運(yùn)行的基本要求，那么要實(shí)現(xiàn)這一點(diǎn)，就需要實(shí)現(xiàn)對(duì)局域網(wǎng)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)問題及時(shí)處理，同時(shí)對(duì)于核心交換機(jī)及各接入層交換機(jī)的日志信息要實(shí)時(shí)記錄，定期巡檢，發(fā)現(xiàn)可疑告警信息也要及時(shí)處理，做到防微杜漸。為此筆者將辦公大樓的各臺(tái)交換機(jī)納入U(xiǎn)NIO綜合網(wǎng)管平臺(tái)，實(shí)現(xiàn)了網(wǎng)絡(luò)中斷的實(shí)時(shí)告警，將各交換機(jī)產(chǎn)生的日志信息統(tǒng)一輸出到日志服務(wù)器，安排專人每天對(duì)日志信息進(jìn)行篩查，發(fā)現(xiàn)可疑的告警信息就通知大樓的網(wǎng)絡(luò)維護(hù)人員進(jìn)行處理，通過以上方式有效保障辦公大樓局域網(wǎng)的正常運(yùn)行。

圖1 辦公局域網(wǎng)的網(wǎng)絡(luò)拓?fù)鋱D

具體實(shí)施步驟

1.把各交換機(jī)添加到網(wǎng)管服務(wù)器進(jìn)行監(jiān)控

公司有一套基于SNMP的綜合網(wǎng)管系統(tǒng)，凡是支持SNMP協(xié)議的網(wǎng)絡(luò)設(shè)備均可納入這套網(wǎng)管系統(tǒng)中，因此我們第一步就要將大樓辦公網(wǎng)全部納入到網(wǎng)管系統(tǒng)中，由于局域網(wǎng)組網(wǎng)是嚴(yán)格按照星型組網(wǎng)來(lái)構(gòu)建的，所以網(wǎng)絡(luò)層次非常清楚，分為核心層、匯聚層和接入層，其中BRAS為核心層，骨干交換機(jī)為匯聚層，位于各個(gè)堅(jiān)井的交換機(jī)為接入層，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

（1）添加網(wǎng)元

首先要用網(wǎng)管服務(wù)器上測(cè)試一下到交換機(jī)的連通狀態(tài)，通過ping命令進(jìn)行查看，ping通的可以直接在網(wǎng)管服務(wù)器中進(jìn)行添加，登錄網(wǎng)管服務(wù)器在“資源”菜單下“資源列表”中點(diǎn)擊“添加網(wǎng)元”，如圖2所示。

填寫完之后先測(cè)試，測(cè)試失敗的有可能是交換機(jī)沒有開啟SNMP協(xié)議，需要Telnet登錄交換機(jī)開啟SNMP協(xié)議，具體命令如下（以H3C S5130S-52S-EI交換機(jī)為例）：

snmp-agent community read Sdgdjnfgs

//配置團(tuán)體名為Sdgdjnfgs。

snmp-agent sys-info version v2c

//配置交換機(jī)的SNMP版本為v2c。

設(shè)置完之后就能正常添加了。將大樓辦公局域網(wǎng)中的所有交換機(jī)都添加完畢后，就納入正常監(jiān)控范圍了。當(dāng)出現(xiàn)網(wǎng)絡(luò)中斷或?qū)拵г浇绲裙收蠒r(shí)，這些監(jiān)控信息都會(huì)顯示在機(jī)房監(jiān)控大屏上，24小時(shí)值班人員就可以及時(shí)發(fā)現(xiàn)并通知相應(yīng)的維護(hù)人員。

圖2 添加網(wǎng)元

為了便于查看設(shè)備信息，我們把大樓交換機(jī)的IP地址在資源列表中集中到了一個(gè)目錄下，同時(shí)為了保證設(shè)備告警的準(zhǔn)確性，我們還需要在交換機(jī)上做進(jìn)一步地配置，比如時(shí)區(qū)設(shè)置，NTP（時(shí)間同步）設(shè)置等，下面分別說(shuō)明一下。

2.交換機(jī)配置

(1)時(shí)區(qū)設(shè)置

同樣作為局域網(wǎng)規(guī)范管理的一部分，我們統(tǒng)一將網(wǎng)內(nèi)所有設(shè)備的時(shí)區(qū)設(shè)置為東八時(shí)區(qū)（即北京時(shí)間），以辦公網(wǎng)骨干交換機(jī)為例，設(shè)置命令如下：

c l o c k t i m e z o n e beijing add 08:00:00

查看命令如下：

[bangongwang_SW]dis clock

15:19:58.398 beijing Mon 01/14/2019

Time Zone : beijing add 08:00:00

（2） NTP（時(shí)間同步）設(shè)置

我們要對(duì)設(shè)備產(chǎn)生的日志信息進(jìn)行分析，那么首先應(yīng)該保證設(shè)備的時(shí)間是正確的，這里我們把辦公網(wǎng)骨干交換機(jī)作為客戶端時(shí)間同步到BRAS 10.*.*.1上，之后再把辦公網(wǎng)交換機(jī)作為服務(wù)器，讓各豎井交換機(jī)時(shí)間同步到辦公網(wǎng)交換機(jī)，做NTP之前要在辦公網(wǎng)交換機(jī)上ping下BRAS的IP地址，能ping通之后再進(jìn)行時(shí)間同步，具體操作如下：

[bangongwang_SW]ntpservice unicast-peer 10.*.*.1

操作完之后再通過display ntp status命令進(jìn)行查看一下ntp是否同步成功，如出現(xiàn)以下提示，說(shuō)明同步成功了。

display ntp status

C l o c k s t a t u s:synchronized

Clock stratum: 7

S y s t e m p e e r:10.*.*.1

Local mode: sym_active

Reference clock ID:10.*.*.1

Leap indicator: 00

C l o c k j i t t e r:0.000961 s

Stability: 0.000 pps

Clock precision: 2^-19

Root delay: 71.38062 ms

Root dispersion:351.94397 ms

Reference time:dfe2831d.b91ac943 Fri,Jan 11 2019 10:51:09.723

S y s t e m p o l l interval: 64 s

再通過display clock命令檢驗(yàn)一下時(shí)間：

display clock

10:53:09.426 beijing Fri 01/11/2019

Time Zone : beijing add 08:00:00

各個(gè)豎井里面的接入層交換機(jī)跟隨骨干層交換機(jī)進(jìn)行時(shí)間同步的設(shè)置（以烽火S2100ME交換機(jī)為例）

interface vlan 266

sntp client

sntp peer ip-address 10.*.*.45

sntp time-offset plus 0

exit

查看時(shí)間同步是否生效用如下命令：

S2100ME#show clock

clock : 2019-01-14 15:38:00

Time Zone:beijing+08:00

System running time: 925 hours,34 minutes,8 seconds

（3）允許Telnet遠(yuǎn)程登錄

為局域網(wǎng)的交換機(jī)開啟Telnet遠(yuǎn)程訪問功能，并設(shè)置遠(yuǎn)程登錄的用戶名和密碼。

system-view

//進(jìn)入系統(tǒng)視圖

telnet server enable//enable選項(xiàng)開啟Telnet服務(wù)

user-interface vty 0 14

//配置VTY用戶界面的終端屬性

protocol inbound teln et

//配置VTY用戶界面支持Telnet協(xié)議，

user privilege level 15

//設(shè)置用戶級(jí)別。15為管理級(jí)，為最高權(quán)限。

user-interface vty 0 14

//進(jìn)入VTY 用戶界面視圖。

authentication-mode aaa，

//設(shè)置用戶驗(yàn)證方式為AAA驗(yàn)證。

aaa

//進(jìn)入AAA視圖

l o c a l-u s e r a d m i n password A****@1*3

//定義登錄賬號(hào)和密碼

local-user admin service-type telnet

//配置本地用戶的接入類型為Telnet

（4）開啟SSH登錄方式

由于Telnet是一種相對(duì)不安全的遠(yuǎn)程連接方式，所以我們?cè)谇捌谕瓿闪嘶镜木W(wǎng)絡(luò)規(guī)范化配置以后就要交換機(jī)上啟用SSH登錄方式，該方式可以實(shí)現(xiàn)數(shù)據(jù)的加密，在數(shù)據(jù)傳輸時(shí)要比Telnet安全的多，那么接下來(lái)我們介紹下SSH的配置方法。其實(shí)SSH服務(wù)的開啟和Telnet比較相似。

aaa

//進(jìn)入AAA視圖

local-user jngd service-type ssh

//配置本地用戶的接入類型為SSH

stelnet server enable//開啟ssh服務(wù)ssh user jngd

//定義SSH用戶名

s s h u s e r j n g d authentication-type password

//定義SSH登錄認(rèn)證方式為密碼認(rèn)證

s s h u s e r j n g d service-type stelnet

//關(guān)聯(lián)SSH登錄用戶名

完成上面的操作后，記得將Telnet服務(wù)關(guān)閉，這樣就實(shí)現(xiàn)了對(duì)設(shè)備只能使用SSH登錄效果。

（5）添加日志至日志服務(wù)器并進(jìn)行分析

①將交換機(jī)產(chǎn)生的日志信息輸出至日志服務(wù)器

為了提高工作效率，減輕原有日志服務(wù)器的壓力，我們又重新搭建了一臺(tái)日志服務(wù)器，用于添加辦公網(wǎng)內(nèi)的所有交換機(jī)日志。在添加syslog之前先用ping命令測(cè)試一下到日志服務(wù)器的鏈路是否相通，確保日志能順利傳送到日志服務(wù)器。

同時(shí)還需在日志服務(wù)器上再ping一下這臺(tái)交換機(jī)，確保均可以訪問到對(duì)方，在這個(gè)基礎(chǔ)上就可以進(jìn)行將交換機(jī)上產(chǎn)生的日志信息輸出到日志服務(wù)器的操作了。

添加syslog具體操作步驟如下：

system-view

System View: return to User View with Ctrl+Z.

[bangongwang_SW]infocenter enable

Information center is enabled.

[bangongwang_SW]infocenter loghost 10.*.*.26 facility local4

[bangongwang_SW]infocenter timestamp log date

[bangongwang_SW]quit

save

T h e c u r r e n t configuration will be written to the device.Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash:/startup.cfg]

(T o l e a v e t h e e x i s t i n g f i l e n a m e unchanged, press the enter key):

flash:/startup.cfg exists, overwrite? [Y/N]:n

存盤之后要查看一下有沒有定義成功：

display currentconfiguration

info-center loghost 10.*.*.26 facility local4

②日志告警的查看

在添加完日志信息后，我們就可以通過諸如“Navicat Premium”這樣的客戶端軟件登錄日志服務(wù)器上面的MYSQL數(shù)據(jù)庫(kù)，通過SQL腳本查看相關(guān)告警日志了，可以按照主機(jī)名和指定日期進(jìn)行查詢，相關(guān)腳本如下：

SELECT

*

FROM

SystemEvents

WHERE

FromHost LIKE '2F_shujing'

AND

DeviceReportedTime LIKE '%2019-01-23%'

查詢出相關(guān)日志告警之后，可以導(dǎo)出Excel表格篩選查看，這樣比較方便查找自己需要的告警信息。

點(diǎn)擊菜單欄右側(cè)的“導(dǎo)出”按鈕，選擇“導(dǎo)出Excel表格”即可，如圖3所示。導(dǎo)出表格后，會(huì)發(fā)現(xiàn)有很多日志信息，可以通過“刪除重復(fù)項(xiàng)”、“關(guān)鍵字篩選”等操作查找出自己需要的日志告警，并進(jìn)行分析定位，直到排除故障，達(dá)到防患于未然。

對(duì)告警信息的處理

如果是華為的交換機(jī)，當(dāng)看到一條告警信息時(shí)，我們可以通過華為的HedEx Lite文檔系統(tǒng)進(jìn)行查看， 可以通過下面的實(shí)際告警信息查詢具體故障：

1.IP地址沖突

錯(cuò)誤告警信息如下：

圖3 導(dǎo)出日志信息

圖4 在華為的HedEx系統(tǒng)中查詢故間原因

OID 1.3.6.1.4.1.2011.5.2 5.1 2 3.2.6 A R P detects IP conflict. (IP address=10.66.66.149,Local interface=Gigabi tEthernet0/0/28, Local MAC=1234-3214-1234,Local vlan=266, Local CE vlan=0, Receive in terface=GigabitEthe rnet0/0/28, Receive MAC=4c09-b4f1-a140,Receive vlan=266, Receive CE vlan=0, IP conflict type=Remote IP conflict).

要對(duì)這個(gè)告警信息進(jìn)行分析，我們其中的OID值記錄下來(lái)，然后打開HedEx Lite文檔系統(tǒng)，在首頁(yè)的“實(shí)用工具”下有個(gè)“告警查詢”，點(diǎn)擊進(jìn)去之后，選好版本型號(hào)，在“關(guān)鍵字”一欄把剛才復(fù)制的OID值粘貼進(jìn)去，點(diǎn)擊“查詢”就可以看到告警的相關(guān)描述，如圖4所示。

網(wǎng)絡(luò)中出現(xiàn)沖突的IP地址，如果不及時(shí)消除，會(huì)造成網(wǎng)絡(luò)的路由震蕩、用戶業(yè)務(wù)或者流量中斷等故障。需要盡快查找出沖突的設(shè)備或者是用戶，及時(shí)修改IP地址。

2.光模塊不匹配

如果是華為早期發(fā)貨的光模塊，對(duì)系統(tǒng)沒有影響。

如果不是，則光模塊功能可能會(huì)異常。如果是華為早期發(fā)貨的光模塊，則可以使用命令transceiver phony-alarm-disable關(guān)閉非華為定制光模塊告警功能。如果不是華為發(fā)貨或定制光模塊，建議更換華為定制光模塊。

總結(jié)

隨著辦公大樓局域網(wǎng)規(guī)模的不斷擴(kuò)大，必須引入網(wǎng)管機(jī)制，形成對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控機(jī)制，并及時(shí)與產(chǎn)生的告警信息進(jìn)行處理，才能保障辦公局域網(wǎng)的正常有序運(yùn)行。