局域网环境网络管理监测方法研究

杨敏 何芸 侯波

摘要：随着局域网网络设备数量剧增、地震勘探部署精细化需求提升，高性能网络架构日趋复杂，处理解释存储集群综合应用对网络安全、管理和监测带来很大难度和隐患。利用SolarWinds网络流量监测软件分析网络软硬件性能指标，流量实时探测，为地震部署设计高性能网络结构、业务流量预测与网络规划提供管理工具，同时，通过奇安信网络设备针对局域网非法外联、弱口令、病毒等安全隐患因素进行排查，定期扫描监管网络状态，提高网络安全防范可控性、精准性、高效性。

关键词：流量采集；集中式部署；镜像；告警

一、前言

网络安全包含的特性有：保密性、完整性、可用性、可审查性。网络安全面临的威胁常见有入侵系统、病毒攻击、木马程序攻击、后门攻击等。每个安全层面的控制粒度相同，分为：局域网、广域网、数据中心。笔者所在的单位属于局域网，在网络策略制定上，本文主要讨论的是监控策略层级，针对网络管理监控不同业务管理监控重点需求差异，重点阐述二个工具设备软件的性能特性及应用实践，通过网络集中监测、管理、规划，不仅保障生产网络安全、高效的运行，也适应未来业务的拓展和变化。

二、网络监控部署架构

（一）集中式部署

网络安全准入控制系统支持集中管理和多级管理来满足不同组织的管理需求，多样部署接入网络环境。设备区域部署将实现区域接入网络的资产可见、活动可知、设备可控。

集中式部署适用于设备集中在一个区域，网络光纤或专线数据传输带宽比较大，需要保障服务器和设备之间数据通信的场景。优点是实施部署简单、成本低、控制台统一管理，此种部署方式适用于规模比较小、相对比较独立的网络环境部署。如：一整栋办公楼，或一个视频专网管理片区，在这种环境下，网络规模较小，网络拓扑较简单，可将设备部署于网络核心交换机旁，统一管理范围内的各类设备。

（二）分布式部署

分布式部署一般在众多分支机构被采用，机构采用专线或站点对站点VPN的方式与总部网络相连，需要确保设备安全稳定运行的场景。在分支机构独立部署准入设备，统一管理平台进行集中管理、策略下发、设备监测等操作，采用“分布式部署、集中式管理”模式部署。由于设备下移，管理力度加强，风险控制小，安全稳定，对于各种准入方式都适用。

（三）分级式部署

分级部署方式适用于众多下属分支机构，并存在多级管理的需求，需要针对区域权限进行细分控制的场景。通过配置准入设备和同级准入统一管理平台对接，二级管理平台与一级管理平台级联的模式。准入设备由各自二级管理平台管理，二级管理平台受一级管理平台监管，接收一级管理平台下发的策略模板，并上报基础数据与告警至上级平台，从而适应大型组织架构下的灵活管理。

三、网络监测软件设备介绍

（一）SolarWinds Orion Network Performance Monitor

SolarWinds是一款体系结构的分布式网络性能监控系统，基于SNMP网络管理协议的一款业界领先的网络管理软件，部署方便，适用于各种网络架构，针对各种不同设备MIB库，自定义添加agent节点交换机等设备，实时形象展示性能监测管理、流量探测的软件工具[1]。它通过一个至关的基于Web的用户界面提供有设备向设备的钻取和详细的系统信息，为路由器、交换机、无线接入点、服务器、虚拟化环境和其他开启SNMP协议的设备提供监控，跟踪UP/DOWN状态，及时深入分析以及进行网络性能统计。

（二）奇安信准入监控设备

奇安信网神网络安全准入控制系统解决了网内设备安全接入管理难的问题[2]。它能够轻松实现网络设备的发现识别、接入感知、用户识别、多类型设备统一接入控制、仿冒检测和处置、安全合规检查、状态监控、IP 地址管理与使用监控等安全管理功能。控制中心采用B/S 架构，接入控制器中内置控制中心，同时支持在外部服务器通过软件安装包安装控制中心，满足不同规模单机管理或分布式集中管理的需求。

四、网络监测工具工作模式及特性

（一）工作模式

网络监控是针对局域网内的计算机进行监视和控制，奇安信设备接入控制器支持旁路监听、策略路由、网桥三种工作模式。不同的工作模式对原有网络影响不同，设备管控效果不同。设备以何种方式工作需要根据实际网络环境和需求而定。

1.旁路监听

采用旁路监听部署模式通过交换机流量镜像方式获取流量数据。旁路监控模式部署起来灵活方便，只需要在交换机上配置镜像端口即可，不会影响现有的网络结构。而串联模式一般要作为网关、网桥或者代理服务器，所以需要对现有网络结构进行变动。旁路模式分析的是镜像端口拷贝过来的数据，对原始传递的数据包不会造成延时，不会对网速造成任何影响。而串联模式是串联在网络中的，那么所有的数据必须先经过监控系统，通过监控系统的分析检查之后，才能够发送到各个客户端，所以会对网速有一定的延时。

2.策略路由

策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。作用是：路由器通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器[3]。在策略路由模式下，接入控制器通常串联于管控区域出口处，管控区域内设备穿越边界的报文。根据管控效果与成本的平衡，可适当下移控制器部署位置以实现管控效果的最优化。策略路由对所有报文进行检查，支持对UDP报文进行阻断。具有管控效果好，能够最大利用最大带宽等优点。但同时策略路由需修改原有网络拓扑，不支持硬件bypass。部署时需根据实际需求进行评估选择。

3.网桥模式

IP 报文同样经过接入控制器的检查，内部不合规终端的报文无法穿越接入控制器。透明网桥模式下，接入控制器通常串联于管控区域出口处，管控区域内设备穿越边界的报文。

（二）功能特性

经过局域网络长期的测试与监控需求，我们采用SolarWinds Orion NPM和奇安信准入认证设备组成整体解决方案。

1.Orion NPM是网络管理基础软件，在故障和性能管理方面，能快速地检测、诊断和解决网络问题。使用挖掘图表（Drill-downMap）等视图方式，简化网络问题排查。通过一个流行的备用引擎、多个轮询引擎以及附加的网络服务器进行调整，以满足扩展和管理需求，通过结合相关事件、持续情况和设备状态来实现高级警报。具体特性如下：

（1）自定义MIB轮询

通过MIB轮询，自定义MIB库，可以灵活监控局域网路由器、交换机、无线网卡、服务器任何支持SNMP的设备[4]。通过MIB表搜集详细信息，监控设备软硬件性能。

（2）全局状态和分析页面

通过管理Web页面查看数千交换机软硬件指标性能和端口状态，进行统计分析，快速诊断网络性能和可用性问题。

（3）基于角色的的访问控制

对部门、小组和用户建立相应帐号，可以精确指定用户访问管理界面的授权信息。管理员管理账号，通过自定义Web视图，查看监控报警信息，定义重点管理的设备端口，查看局域网拓扑图等。

2.奇安信准入认证整个设备入网控制工作性能流程主要包含五个环节：资产识别、身份认证、合规检查、异常处置和访问控制，如表1所示。

（1）资产识别

支持多种方式发现与识别资产，包括摄像头、打印机、电话、ATM、工控机等各类设备。设备通过学习建立行为模型，形成资产黑白名单，监测非法设备接入。准入系统支持对资产的厂商名称、设备类型、设备型号、IP 地址、MAC地址、接入位置等多种属性进行管理，并支持资产的批量导入导出。

（2）身份认证

支持Web认证、802.1x认证等多种准入控制方式，强制接入网络的IoT设备进行身份认证或资产登记，未通过身份认证或资产登记的设备无法接入网络或仅可以进入隔离区进行隔离修复。

（3）合规检查

能够通过主动扫描及流量分析的方式探查IoT设备合规情况，可以检查是否存在弱口令、违规开放端口、非法外联、被其他设备仿冒等问题，检查设备的流量是否超过管理员设定的最小值或最大值等情况。当发现设备未满足合规要求，本产品将根据管理员的策略配置对不合规设备进行阻断或日志记录。

（4）访问控制

基于设备的使用人信息、设备类型信息、操作系统、设备合规状态等多维度进行动态授权和访问控制，确保网内设备仅拥有受限的网络访问权限。当存在设备进行超越权限的网络访问请求时，将根据管理员配置对越权设备进行网络阻断。

五、网络监控管理实践

（一）SolarWinds Orion Netork Performance Monitor软件

建立OrionNPM管理服务器，通过实践和网络管理要求，实现如下应用：

1.通过门户管理界面监控网络设备软硬件性能指标， 比如端口利用率、丢包率、延时、 errors、discards 和CPU负载等，监控完整的链路状态，追踪访问路径。

2.实现对详细问题的诊断和网元分析，包括状态、IP地址、设备类型、历史丢包百分比、历史延迟信息、历史数据流量信息等等。自动发现和显示不同设备之间的连接关系。

3.自动发现和显示设备直接的连接关系，创建嵌套的多层拓扑图，基于地域、部门、楼层、建筑、机房、机柜等，使用简单的拖拽，实现个性化拓扑图展示。

4.通过阈值、Top排行、自定义视图及各类图表化的展示，突出分析网络问题。

5.通过自动化的网络发现，通知管理员网络中增加或者移除设备。

（二）奇安信准入认证设备

笔者单位网络规模较小，采用集中网络部署架构，在不影响原有网络结构的情况下，采用旁路监听部署模式，通过交换机流量镜像方式获取流量数据，取得了很好的监管效果。实现如下功能应用：

1.违规访问报警：通过安装客户端周期监测用户非法网络外联情况；

2.资产登记：支持设备自动发现及手动分组、部门分类统计，导出资产数据表格；

3.网络病毒发现：异常流量常规报警，防止病毒扩散，实现预防查杀；

4.桌面机漏洞诊断：实时扫描监测PC机弱口令、系统补丁漏洞等情况，实现问题机器阻断网络访问；

5.全盘扫描分析：周期全盘扫描，排查可疑文件、盗版软件安装情况，实现定期网络安全性检测。

六、结语

高效局域网管理可以使现有的网络安全达到真正的“可信”[5]。从被动响应到主动合规，从日志协议到业务行为审计， 实现对业务行为的认证、控制和审计；从各自为政到整体运维，同步推进安全技术和安全管理，双管齐下。利用更多软件工具、方法，扩展开发更多功能，实施全局部署网络安全监测管理方案，通过网络性能监测和健康度评判，加强局域网内部网络管理深度广度，取得了良好的效果。未来将更深入针对网络整体架构和设备软硬件指标性能以及实时动态流量数据，进行深度解析及监管，实现智能型、信息化、高效率的网络管理模式。

参考文献

[1]胡存生.局域网——组网技术与维护管理[M].北京：电子工业出版社，2004.

[2]谢希仁.计算机网络（第五版）[M].北京：电子工业出版社，2008.

[3]刘小伟.电脑局域网全面上手[M].北京：海洋出版社，2003.

[4]黄燕.计算机网络教程[M].北京：人民邮电出版社，2004.

[5]黄传河.计算机网络应用设计[M].武汉：武汉大学出版社，2004.

作者单位：新疆油田公司勘探开发研究院地球物理研究所