论开源软件在企业网络管理的实践

摘要：在企业信息化的背景下，企业网络管理系统的建设显得更加重要。但是在部分中小型企业无法投入大量人力、物力、财力的情况下，利用开源软件建设企业网络管理系统可以有效降低企业的成本并提升网络可靠性。结合部分开源网络管理软件在企业中的实际运用，分析开源软件在企业网络管理系统的建设中发挥的重要作用与企业在使用开源软件中遇到的一些问题和思考，对企业网络管理系统的建设提供了积极的借鉴。

关键词：开源软件；网络管理；网络监控；低成本

一、前言

随着互联网的普及和信息化程度的提高，企业、组织和个人对网络的依赖程度都在不断增加，信息传播、交流沟通、商务协作、休闲娱乐都离不开网络。网络是整个企业信息化建设的基础，建设高冗余性、高安全性的企业网络往往意味着庞大的人力、物力、财力的投入，但是对于那些投入有限的企业可以利用开源软件建设高效有序的网络管理系统，减少网络停机发生的概率，帮助企业迅速定位故障，促使网络恢复正常，并在事后通过对日志的分析避免类似事件的再次发生。

二、开源软件现状

“开放源代码软件”（Open Source Software，OSS）通常是指基于各种开放源代码而发布的软件，并且此软件的使用，修改和分发也不受许可证的限制，可以有效降低软件使用者的使用成本。2022年，中国信息通信研究院通过调研企业使用、推广及支持开源软件带来的量化效益、非量化效益，同时引入统计误差、劳动力转化率和公开数据资料等，综合得出开源软件为企业带来超过8%的成本节省[1]。开源软件早已被各行业、企业普遍接受，尤其对于投入有限的中小企业来说，相较于昂贵的商业软件，免费的开源软件无疑是更优质的选择。

三、企业网络管理系统的建设

ISO在ISO/IEC7498-4文档中定义了网络管理的五大功能，分别是故障管理、配置管理、计费管理、性能管理、安全管理。针对这五大功能，企业应该从以下几个方面进行企业网络管理系统的建设。

（一）建设及时高效的监控系统

随着企业数字化建设的推进，路由器、交换机、防火墙、服务器等各式各样的设备越来越多。发生问题、定位问题、解决问题这种传统方式在处理网络问题时往往会浪费大量的人力和时间。高效的监控系统对企业网络中各种设备运行的状态进行实时观察，帮助网络管理人员提早发现风险隐患，及时定位故障，极大减少网络管理人员的负担，提升网络运维的效率。

（二）建设持续稳定的备份系统

持续的备份机制是对企业网络故障管理的最低限度要求，可以使管理人员在设备发生灾难性故障时通过替换设备恢复网络。持续的备份机制包含周期性的配置备份及配置比对、重大变更前的配置备份、定期的配置恢复演练。这些配置管理手段可以有效提升企业网络的可靠性，近年来，NetDevOps（网络运维自动化）概念的流行与推广也使得网络管理人员从这些以往只能通过手动操作的繁复工作中解放，帮助企业进行有效的配置管理。

（三）建设完善可靠的日志系统

在企业网络管理中定期对设备日志审计可以帮助网络管理人员发现设备存在的风险隐患，在故障发生后也可以有效地追溯问题发生的原因，从而帮助企业建立完备的网络管理制度。审计的前提是建立完善可靠的日志收集系统，对于设备系统日志、人员操作日志、安全防护日志的分类妥善保存是企业网络管理的关键。

四、开源软件在企业网络管理中的具体实践

如图1所示，某企业的网络拓扑为典型的中小型企业网络，属于简化的传统网络三层结构。非常明显出于节约成本的考虑，该企业网络所有设备均采用单点结构没有冗余，没有DMZ区，内部服务器如果向外部提供服务存在比较大的风险。在不进行网络改造的情况下，通过免费的开源软件建设相关网络管理系统是短期内提升该企业网络可靠性的有效途径。

根据之前提到的建设思路，完善监控手段尽早发现设备风险、故障节点、性能瓶颈。配置自动化备份确保一旦有设备发生硬件故障时可以通过替换设备迅速恢复。搭建日志处理系统保存系统、安全、操作日志作为排查问题、审计操作的基础。同时，使用VPN系统避免将内网业务系统映射至公网。

（一）开源的Linux系统CentOS

本设计中选择开源的Linux操作系统CentOS 7作为其他软件的基础环境。Linux操作系统相较于Windows操作系统更稳定，资源消耗更小。同时得益于本身的稳定性、安全性和社区支持，CentOS一直在企业中受到广泛欢迎。

CentOS操作系统自带的NTP服务为所有设备提供统一的时间服务器，所有网络设备将该服务器配置为时间服务器，即用统一的时间戳输出日志，NTP服务资源消耗极小无须单独占用一台服务器。

1.安装服务：yum -y install ntp。

2.修改配置：vi/etc/ntp.conf。

3.启动服务：systemctl start ntpd。

Rsyslog日志服务是CentOS操作系统另一个自带的服务，通过Facility（设施）定义日志消息的来源，并对日志分类。通过Priority（级别）定义日志消息的等级。通过Rules规则定义日志转发、存放的规则。

1.安装服务：yum -y install rsyslog。

2.修改配置：vi/etc/rsyslog.conf。

3.启动服务：systemctl start rsyslog。

（二）开源的网络监控软件Zabbix

Zabbix是一个基于前端Web和后端数据库的企业级开源监控解决方案，设计选择在CentOS 7上部署基于Apache和MySQL的Zabbix5.0。由于开源软件庞大的社区支持，企业的网络管理人员能在Zabbix官方网站下载到各个操作适用的版本及相应的安装步骤。操作手册详细到每一个指令，对于新接触的人来说也不存在任何安装难度。

Zabbix程序搭建完毕后，在Web界面通过结合SNMP（Simple Network Management Protocol）协议配置自动发现设备、设备的监控项、根据设备监控项的数值定义告警阈值。设备支持的SNMP协议的MIB（Management Information Base）信息可以从各厂商官方网站上直接获取，根据企业具体需求部署定制的Zabbix监控主界面如图2所示。

设计中针对目标设备的CPU使用率设置了90%进行告警，及时发现了互联网出口设备在流量高峰时期存在性能瓶颈，经常发生CPU使用率过高的告警，为网络管理人员在对设备升级设计方案时提供了理论依据。同时结合下文提到的Python脚本，Zabbix能将告警信息及时推送到钉钉或者企业微信进行故障报警，无须网络管理人员24小时一直关注监控系统的界面。

（三）开源的VPN软件Pritunl

基于开源的OpenVPN和MongoDB实现的开源的企业级VPN管理软件Pritunl，给企业提供了除各厂商的硬件VPN解决方案外另一个选择。和上文部署的Zabbix一样，Pritunl也有强大且完整的社区支持。安装步骤如下：

1.安装Pritunl软件仓库。

2.安装程序及数据库：yum install pritunl mongodb-org。

3.启动服务：systemctl start pritunl mongodb-org。

Pritunl程序搭建完毕后，在Web界面进行VPN服务的配置，可以自定义监听的UDP或者TCP端口，避免常规端口暴露在公网，通过Server（服务）与Organizations（组织）的绑定进行VPN访问权限的划分，创立并分配不同Users（用户）以提供给企业员工使用。网络管理人员可以轻松通过系统观察VPN账号的使用情况，也可以通过系统自带的日志系统进行行为审计，同时在用户端也有简单易懂的客户端进行连接操作。

使用VPN避免了企业内部业务服务器，如OA、ERP系统，提供给外地分公司或者出差人员访问系统时，Web服务必须开放到互联网，避免了系统被直接攻击入侵的风险。开源的Pritunl提供的权限分配、人员日志审计已足够满足企业的安全要求。

（四）开源的Python编程语言

Python语言作为一门高级、解释性编程语言，语法简洁，代码可读性强。网络运维自动化主要利用Python库（或函数）编制脚本来实现对网络设备的自动化管理和运维操作，提高运维工作效率并减少人为错误[2]。在设计中利用Python语言编写脚本并实现了以下两个功能。

1.配合Zabbix实现在钉钉内进行实时的告警。通过自定义的格式设置清楚明确的告警信息，如图3所示。

2.配合CentOS自带的Crontab计划任务功能在每周进行设备备份，并将备份完毕的配置文件按固定日期格式存放在服务器指定位置。在实践中针对华为交换机通过Python库编写的备份脚本，如图4所示。

至此，设计的网络管理系统搭建完毕。由于CentOS的低资源消耗，整套系统仅使用了1台虚拟机上运行的2台CentOS服务器完成搭建。Zabbix、NTP、Rsyslog以及所有Python脚本运行共用一台服务器，Pritunl由于其对互联网提供服务的特殊性单独部署一台。相较于成熟商业软件往往要求的高性能硬件支持，开源软件低成本的部署有效降低了企业网络建设的支出。

五、开源软件存在的问题

开源软件给企业在低成本的情况下在网络管理体系的建设多了一种选择，但是在使用开源软件的过程中也发现了不少问题。

开源软件拥有庞大的社区支持，可以轻松获取关于软件的信息、配置指南等。但是在实际部署与维护的过程中缺乏专业人员的技术支持，不如成熟的商业软件有着完善的售后支持。通过开源软件进行网络管理对于网络管理人员的专业技能非常依赖。培养技能熟练、高素质的网络管理人员是开源软件能为企业网络管理提供价值的关键。

开源软件运营方式存在不确定性，2014年Red Hat厂商收购CentOS，本文中大量运用的企业级开源操作系统CentOS 7已于2024年6月30日结束生命周期，开源社区也不再对其提供支持，企业为了系统的稳定性与安全性必须寻找新的系统进行升级替代。与此同时，世界上最大的反向代理软件Ngnix也于2019被F5厂商收购，其商业化进程也不可避免。当某个开源软件以其出色的性能与体验发展传播时，其商业化进展也不可避免。由此导致开源软件相较于商业软件在延续性上存在劣势，使得企业在使用开源软件时有所顾忌。

我国开源社区主要还是以利用国外开源代码、依托国外开源社区为主，总体上仍是国际开源社区的次生社区，呈现依附性强、自主性弱的特点，存在较大的开源产业链断供风险。国际主流开源基金会、开源项目以及多数开源许可证均诞生于美国或由美国公司掌控，随时可因掌控方的需要而闭源断供[3]。2021年美国国会就曾提出要研究中国获得美国开源技术和基础研究所能带来的收益，以及是否应加强出口管制[4]。所以企业作为开源软件的使用者，在使用开源软件的过程中也要避免对单一软件过度依赖。

六、结语

我国“十四五”规划提到，支持数字技术开源社区等创新联合体发展，完善开源知识产权和法律体系，鼓励企业开放软件源代码、硬件设计和应用服务。中国开源战略日趋成熟，开发者人数已达全球第二[5]。开源软件以其独有许可模式受到企业广泛的认同，在享受开源软件节约成本与带来便利的情况下，企业也应重视开源软件存在的弊端，制定完善的配套制度，培养高素质的人才，全面推动企业的信息化建设。

参考文献

[1]郭雪，张一阳.全球开源生态愈发成熟助力数字经济快速发展[J].通信世界，2022（23）：35-36.

[2]郭光建，孙启娟，段波，等.基于Python的网络设备自动化运维[J].电脑编程技巧与维护，2023（11）：173-176.

[3]王晓冬.我国开源软件产业面临的突出风险及对策研究[J].信息安全研究，2021，7（10）：973-976.

[4]郭滕达，张明喜.推动中国开源软硬件发展的经验与建议[J].科技导报，2024，42（02）：14-19.

[5]中国工程院院士倪光南：拥抱开源，与世界协同创新[N].中国电子报，2023-12-15（005）.

作者单位：上海外语教育出版社有限公司

责任编辑：王颖振、杨惠娟