楊娟+劉波+胡勇+陸海峰

摘 要：為了適應(yīng)信息化管理工作的需要，四川廣播電視大學(xué)建設(shè)了網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)，在數(shù)據(jù)整合的基礎(chǔ)上，通過數(shù)據(jù)和設(shè)備之間的關(guān)聯(lián)性分析，使網(wǎng)絡(luò)管理人員在工作過程中有據(jù)可循，提升了管理的高效性和精確度，進(jìn)而實(shí)現(xiàn)對(duì)現(xiàn)有設(shè)備的最優(yōu)化使用、管理和運(yùn)維。文章闡述了系統(tǒng)的建設(shè)背景、功能模塊、權(quán)限設(shè)計(jì)思路和使用的關(guān)鍵技術(shù)，并展示了實(shí)際的運(yùn)行效果。最后，也對(duì)下一步系統(tǒng)的發(fā)展方向作出了說明。

關(guān)鍵詞：網(wǎng)絡(luò)基礎(chǔ)設(shè)施；網(wǎng)絡(luò)管理；基于角色的訪問控制；ITIL

1 概述

隨著國(guó)家教育戰(zhàn)略和社會(huì)的發(fā)展，四川廣播電視大學(xué)（以下簡(jiǎn)稱“四川電大”）的信息化建設(shè)已經(jīng)進(jìn)入了一個(gè)新的時(shí)代。隨著信息化建設(shè)工作的推進(jìn)，四川電大購(gòu)入越來越多的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，如何使用、管理和運(yùn)維好這些網(wǎng)絡(luò)基礎(chǔ)設(shè)施，成為了一個(gè)亟待解決的課題。

近幾年，四川電大在網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面投入了大量資金，校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施得到加強(qiáng)，中心機(jī)房達(dá)到一定規(guī)模。截止2016年8月，校園網(wǎng)已實(shí)現(xiàn)中心機(jī)房萬(wàn)兆雙鏈路核心，千兆網(wǎng)絡(luò)到桌面，出口帶寬達(dá)400兆，并新部署和改造了920個(gè)有線網(wǎng)絡(luò)接入點(diǎn)，新布設(shè)光纜達(dá)8公里，實(shí)現(xiàn)了弱電線路全部下地。校本部部署有128個(gè)無(wú)線AP，實(shí)現(xiàn)了主要辦公場(chǎng)所的無(wú)線網(wǎng)絡(luò)覆蓋，并實(shí)現(xiàn)了有線和無(wú)線接入的統(tǒng)一認(rèn)證。中心機(jī)房實(shí)現(xiàn)了規(guī)劃、科學(xué)的功能區(qū)劃分，已有100余臺(tái)服務(wù)器、3套網(wǎng)絡(luò)存儲(chǔ)設(shè)備、2臺(tái)核心交換機(jī)、2臺(tái)高性能防火墻、2臺(tái)網(wǎng)絡(luò)行為管理、2臺(tái)負(fù)載均衡的規(guī)模。新建設(shè)的服務(wù)器虛擬化系統(tǒng)，也已于2016年初投入運(yùn)行。

數(shù)量繁多的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的新增，對(duì)我校網(wǎng)絡(luò)管理運(yùn)維人員帶來了新的挑戰(zhàn)。結(jié)合工作中的實(shí)際情況，我們發(fā)現(xiàn)以往傳統(tǒng)的通過Excel表格統(tǒng)計(jì)各類網(wǎng)絡(luò)基礎(chǔ)設(shè)施的相關(guān)數(shù)據(jù)，再使用紙質(zhì)筆記本記錄設(shè)備相關(guān)維護(hù)保修信息的手工式管理辦法，已經(jīng)不能對(duì)現(xiàn)有的設(shè)備進(jìn)行有效的管理。經(jīng)過多次討論，我們認(rèn)為有必要對(duì)現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)進(jìn)行有效整合，包括：設(shè)備的硬件參數(shù)、軟件運(yùn)行情況、IP的地址的分配、域名的分配、過往的運(yùn)維情況、存放的位置等。因此，建立一個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)勢(shì)在必行。在數(shù)據(jù)整合的基礎(chǔ)上，通過數(shù)據(jù)和設(shè)備之間的關(guān)聯(lián)性分析，使網(wǎng)絡(luò)管理人員在工作過程中有據(jù)可循，提升管理的高效性和精確度，進(jìn)而實(shí)現(xiàn)對(duì)現(xiàn)有設(shè)備的最優(yōu)化使用、管理和運(yùn)維。

眾多學(xué)者對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)的建設(shè)模式進(jìn)行了研究。興嘎[1]在2011年就撰文介紹了智能基礎(chǔ)設(shè)施管理系統(tǒng)的相關(guān)概念，并對(duì)其進(jìn)行了技術(shù)經(jīng)濟(jì)分析。汲汾[2]在其碩士答辯論文中則詳細(xì)闡述了云計(jì)算環(huán)境下基礎(chǔ)設(shè)施管理系統(tǒng)的總體設(shè)計(jì)框架與實(shí)現(xiàn)思路。王玨、邱雪松[3]又對(duì)系統(tǒng)中核心的適配器技術(shù)進(jìn)行了重點(diǎn)研究。上述研究成果都對(duì)四川廣播電視大學(xué)網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)的設(shè)計(jì)和應(yīng)用提供了有益的指導(dǎo)和幫助。

2 系統(tǒng)功能

從使用功能來看，該系統(tǒng)分為三個(gè)部分：其一是基礎(chǔ)設(shè)施的管理，對(duì)設(shè)備的相關(guān)信息進(jìn)行添加、編輯、刪除；其二是數(shù)據(jù)統(tǒng)計(jì)，對(duì)導(dǎo)入系統(tǒng)的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)；其三是系統(tǒng)管理，對(duì)系統(tǒng)的設(shè)備、用戶、角色、功能節(jié)點(diǎn)進(jìn)行管理。

2.1 基礎(chǔ)設(shè)施管理模塊

基礎(chǔ)設(shè)施管理又分為五個(gè)小模塊，分別是：服務(wù)器管理、交換機(jī)管理、域名管理、公網(wǎng)IP管理、維保管理。

服務(wù)器管理整合了：管理員、設(shè)備編號(hào)、用途、設(shè)備型號(hào)、存放地址、過保時(shí)間、服務(wù)器序列號(hào)、操作系統(tǒng)、CPU信息、內(nèi)存條信息、硬盤信息、分配IP地址、服務(wù)器上的虛擬機(jī)以及維保記錄。

交換機(jī)管理整合了：管理員、設(shè)備編號(hào)、設(shè)備類型、設(shè)備型號(hào)、存放地址、過保時(shí)間、端口信息、管理地址、維保記錄。

域名管理整合了：域名、公網(wǎng)IP、域名用途、到期時(shí)間、安全等級(jí)、等保時(shí)間、ISP、DNS解析、管理員、備案號(hào)、狀態(tài)。

公網(wǎng)IP管理整合了：公網(wǎng)IP、公網(wǎng)端口、內(nèi)網(wǎng)IP、內(nèi)網(wǎng)端口、狀態(tài)。

維保管理整合了：管理員、設(shè)備編號(hào)、設(shè)備類別、關(guān)鍵字、維保描述、維保公司、維保時(shí)間。

基礎(chǔ)設(shè)施管理模塊能對(duì)設(shè)備的上述信息進(jìn)行刪除、修改和添加。

2.2 數(shù)據(jù)統(tǒng)計(jì)模塊

數(shù)據(jù)統(tǒng)計(jì)又分為四個(gè)小模塊：服務(wù)器統(tǒng)計(jì)、交換機(jī)統(tǒng)計(jì)、域名統(tǒng)計(jì)、IP地址統(tǒng)計(jì)。

此模塊能將管理模塊所錄入的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，以柱狀圖、餅圖、折線圖、熱力圖等形式展現(xiàn)，或以Excel表格的形式導(dǎo)出。

2.3 系統(tǒng)管理模塊

系統(tǒng)管理模塊又分為四個(gè)小模塊：設(shè)備管理、用戶管理、角色管理、節(jié)點(diǎn)管理。

設(shè)備管理模塊，管理此系統(tǒng)中的所有設(shè)備信息。

用戶管理模塊，管理用戶的增加、刪除和編輯。

角色管理模塊，定義用戶角色，定義什么樣的角色有什么樣的權(quán)限。

3 權(quán)限設(shè)計(jì)

考慮到系統(tǒng)中管理的網(wǎng)絡(luò)基礎(chǔ)設(shè)施對(duì)四川電大整個(gè)網(wǎng)絡(luò)環(huán)境的安全管理工作至關(guān)重要，所以課題組對(duì)系統(tǒng)的權(quán)限管理部分進(jìn)行了重點(diǎn)設(shè)計(jì)，以最大限度地保障信息的安全可控。

系統(tǒng)以RBAC[4]（Role-Based Access Control，基于角色的訪問控制）為模型來構(gòu)建。在RBAC中，權(quán)限與角色相關(guān)聯(lián)，用戶根據(jù)其職能職責(zé)被分配到指定的角色，從而獲得角色所具備的所有權(quán)限。權(quán)限可以根據(jù)需要很方便地向角色授予或從角色回收，角色與角色之間還可以建立關(guān)聯(lián)或繼承的關(guān)系以覆蓋更多現(xiàn)實(shí)中的客觀情況，這在很大程度上簡(jiǎn)化了權(quán)限管理的工作。

用戶Help_user與角色Help_role通過映射表Help_user_role關(guān)聯(lián)，角色Help_role與權(quán)限Help_node通過映射表Help_access關(guān)聯(lián)，就是RBAC最簡(jiǎn)易模型，基于角色的權(quán)限模型。

Help_node記錄下了整個(gè)網(wǎng)站操作對(duì)應(yīng)的模塊名稱和操作名稱。

4 關(guān)鍵技術(shù)

系統(tǒng)采用PHP作為開發(fā)語(yǔ)言，MySQL作為數(shù)據(jù)庫(kù)支持，Thinkphp3.0作為系統(tǒng)框架， Xampp作為底層環(huán)境，B/S架構(gòu)。B/S模式（Browser/Server，瀏覽器/服務(wù)器模式），是WEB興起后的一種網(wǎng)絡(luò)結(jié)構(gòu)模式，WEB瀏覽器是客戶端最主要的應(yīng)用軟件，這種模式統(tǒng)一了客戶端，將系統(tǒng)功能實(shí)現(xiàn)的核心部分集中到服務(wù)器上，簡(jiǎn)化了系統(tǒng)的開發(fā)、維護(hù)和使用，用戶通過瀏覽器輸入相應(yīng)的URL進(jìn)行業(yè)務(wù)處理。

PHP[5]（PHP： Hypertext Preprocessor，中文名：“超文本預(yù)處理器”）是一種通用開源腳本語(yǔ)言，主要適用于Web開發(fā)領(lǐng)域。PHP可以比CGI或者Perl更快速地執(zhí)行動(dòng)態(tài)網(wǎng)頁(yè)。PHP還可以執(zhí)行編譯后代碼，編譯可以達(dá)到加密和優(yōu)化代碼運(yùn)行，使代碼運(yùn)行更快。

MySQL[6]是在WEB用方面支持最好的RDBMS（Relational Database Management System，關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)）應(yīng)用軟件之一，其采用了雙授權(quán)政策，它分為社區(qū)版和商業(yè)版。由于其社區(qū)版的性能卓越，搭配 PHP 和 Apache 可組成良好的開發(fā)環(huán)境。

ThinkPHP是一個(gè)快速、兼容而且簡(jiǎn)單的輕量級(jí)國(guó)產(chǎn)PHP開發(fā)框架[7]，遵循Apache2開源協(xié)議發(fā)布，基于面向?qū)ο蟮拈_發(fā)思想，采用MVC設(shè)計(jì)模式。作為一個(gè)整體解決方案和基礎(chǔ)開發(fā)環(huán)境，ThinkPHP包含了開發(fā)類庫(kù)、底層架構(gòu)、緩存機(jī)制、權(quán)限認(rèn)證、插件框架、數(shù)據(jù)持久化、表單模板、展示引擎等常用的組件，應(yīng)用開發(fā)者僅需要關(guān)注業(yè)務(wù)邏輯。

為了提高應(yīng)用性能，減輕數(shù)據(jù)庫(kù)的負(fù)載，系統(tǒng)在ThinkPHP開發(fā)框架中引入了MemCache緩存機(jī)制。MemCache[8]是一個(gè)可自由使用、源碼開放、高性能的分布式內(nèi)存對(duì)象緩存系統(tǒng)，用于動(dòng)態(tài)Web應(yīng)用以減輕數(shù)據(jù)庫(kù)的負(fù)載。MemCaChe是一個(gè)存儲(chǔ)鍵值對(duì)的HashMap，在內(nèi)存中對(duì)任意的數(shù)據(jù)（比如字符串、對(duì)象等）所使用的key-value存儲(chǔ)，數(shù)據(jù)可以來自數(shù)據(jù)庫(kù)調(diào)用、API調(diào)用，或者頁(yè)面渲染的結(jié)果。圖2是其核心原理示意圖：

為了方便用戶的使用，系統(tǒng)還與校園網(wǎng)內(nèi)部署的銳捷安全計(jì)費(fèi)管理平臺(tái)RG-SAM對(duì)接實(shí)現(xiàn)了單點(diǎn)登錄功能。即當(dāng)用戶通過認(rèn)證客戶端軟件登入校園網(wǎng)后，再訪問系統(tǒng)網(wǎng)址則無(wú)需輸入用戶名密碼，可以直接進(jìn)入系統(tǒng)進(jìn)行相關(guān)功能操作。其內(nèi)部機(jī)制是基于SAM與OpenLDAP的聯(lián)動(dòng)認(rèn)證解決方案，實(shí)現(xiàn)了統(tǒng)一身份認(rèn)證。

5 系統(tǒng)運(yùn)行效果

5.1 基礎(chǔ)設(shè)施管理模塊

基礎(chǔ)設(shè)施管理模塊包括服務(wù)器管理、交換機(jī)管理，域名管理、公網(wǎng)IP管理、維保管理功能。

5.2 數(shù)據(jù)統(tǒng)計(jì)模塊

基礎(chǔ)設(shè)施管理模塊包括服務(wù)器統(tǒng)計(jì)、交換機(jī)統(tǒng)計(jì)、域名統(tǒng)計(jì)、IP地址統(tǒng)計(jì)功能。

5.3 系統(tǒng)管理模塊

基礎(chǔ)設(shè)施管理模塊包括設(shè)備管理、用戶管理、角色管理、節(jié)點(diǎn)管理功能。

6 結(jié)束語(yǔ)

“網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)”項(xiàng)目的研究是在四川電大進(jìn)行新一輪信息化建設(shè)的重要組成部分，該項(xiàng)目的使用者是全校的網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理員。通過認(rèn)真調(diào)研、學(xué)習(xí)、總結(jié)和吸收已有經(jīng)驗(yàn)，課題組采用成熟的信息技術(shù)和軟件架構(gòu)，結(jié)合銳捷SAM平臺(tái)，利用軟硬件一體化認(rèn)證解決方案實(shí)現(xiàn)了單點(diǎn)登錄功能，在RBAC的基礎(chǔ)上進(jìn)行權(quán)限劃分，構(gòu)建了系統(tǒng)的底層框架和數(shù)據(jù)模型，很好地滿足了用戶的業(yè)務(wù)需求。

下一步，網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理系統(tǒng)將在遵循ITIL[9]標(biāo)準(zhǔn)（Information Technology Infrastructure Library，信息技術(shù)基礎(chǔ)架構(gòu)庫(kù)）的基礎(chǔ)上拓展故障管理、性能管理、拓?fù)涔芾怼㈡溌饭芾淼裙δ?，自?dòng)采集服務(wù)器、路由器、交換機(jī)、存儲(chǔ)等設(shè)備的告警和性能數(shù)據(jù)（如SNMP協(xié)議trap、性能越門限告警等）并動(dòng)態(tài)展示，以提升系統(tǒng)的智能監(jiān)測(cè)能力，實(shí)現(xiàn)對(duì)所有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的統(tǒng)一管理和實(shí)時(shí)監(jiān)控。

參考文獻(xiàn)

[1]興嘎.智能基礎(chǔ)設(shè)施管理系統(tǒng)介紹及技術(shù)經(jīng)濟(jì)分析[J].微電腦世界，2011，19（9）：23-25.

[2]汲汾.云計(jì)算中心基礎(chǔ)設(shè)施管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].天津大學(xué)， 2012.

[3]王玨.IT基礎(chǔ)設(shè)施管理系統(tǒng)通用適配器的研究與實(shí)現(xiàn)[D].北京郵電大學(xué)，2013.

[4]周文峰，尤軍考，何基香.基于RBAC模型的權(quán)限管理系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J].微計(jì)算機(jī)信息，2006（15）：35-36.

[5]徐保民.PHP編程基礎(chǔ)及應(yīng)用實(shí)例集錦[M].北京：人民郵電出版社，2001.

[6]張旭剛，李東輝，俞俊，等.基于Zookeeper框架實(shí)現(xiàn)MySQL分布式數(shù)據(jù)庫(kù)集群[J].計(jì)算機(jī)與數(shù)字工程，2016（9）：1855-1859.

[7]王俊芳，李隱峰，王池.基于MVC模式的ThinkPHP框架研究[J].電子科技，2014（27）：151-153.

[8]王明俊，方勇.基于Memcache的內(nèi)存注入攻擊與防御[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，12（1）：126-129.

[9]左天組，劉偉.ITIL白皮書[M].北京：北京大學(xué)出版社，2004.