臧其事　周俊琦　謝立帆

摘要：隨著數(shù)據(jù)中心的不斷發(fā)展，設(shè)備的種類與數(shù)據(jù)都在增加，從小型機(jī)，PC服務(wù)器，到交換機(jī)，UPS，存儲設(shè)備，虛擬機(jī)和vCenter，系統(tǒng)管理人員需要一種通用靈活的易用的設(shè)備監(jiān)控與管理方式，以提高數(shù)據(jù)中心設(shè)備的管理效率。本文首先介紹了簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的工作原理，分析了 SNMP v3 協(xié)議的加密實(shí)現(xiàn)。并以農(nóng)行上海分行的基于 SNMP 的設(shè)備監(jiān)測系統(tǒng)為例，實(shí)現(xiàn)了對數(shù)據(jù)中心各類設(shè)備資源的實(shí)時管理，通過主動探知與被動告警兩種模式，監(jiān)測設(shè)備失效信息并主動告警，提高了數(shù)據(jù)中心設(shè)備的管理效率。

關(guān)鍵詞：簡單網(wǎng)絡(luò)管理協(xié)議；監(jiān)控系統(tǒng)；安全性

中圖分類號：TP308 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2018）09-0112-02

1 引言

隨著IT技術(shù)的發(fā)展，數(shù)據(jù)中心的作用和地位日益重要，承載的設(shè)備數(shù)量日益龐大，設(shè)備類型日益復(fù)雜。傳統(tǒng)形式上，采用對機(jī)房進(jìn)行定時的人工巡檢，被證明是一種低效和滯后的監(jiān)控方式，系統(tǒng)管理員需要實(shí)時或準(zhǔn)實(shí)時的了解設(shè)備的基本狀況，如網(wǎng)絡(luò)是否聯(lián)通、硬件是否故障、UPS電壓是否在正常范圍內(nèi)等。針對上述需求，中國農(nóng)業(yè)銀行上海市分行考察了多種解決方案，認(rèn)為簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol，SNMP）具有通用與靈活等優(yōu)點(diǎn)，可以在原設(shè)備的基礎(chǔ)硬件上實(shí)時地進(jìn)行監(jiān)控。

盡管有著良好的易用性，但SNMP協(xié)議自身存在著一些缺點(diǎn)，主要亟待解決的問題是安全性。在考慮靈活與通用的同時，需要同步考慮安全問題，SNMP v3版本的出現(xiàn)，其兩個核心模塊是基于用戶的安全模型 （USM） 和基于視圖的訪問控制模型 （VACM），大大增強(qiáng)了安全性，因此，本文采用了SNMP v3版本的技術(shù)進(jìn)行具體實(shí)施。

2 SNMP協(xié)議安全性分析

SNMP使用Community名稱進(jìn)行認(rèn)證，而其默認(rèn)的名稱Public通常不會被管理員刻意更改，而嘗試使用此名稱進(jìn)行網(wǎng)絡(luò)訪問，通常能夠輕易獲得訪問許可。同時，此協(xié)議在傳輸時并不加密，使用網(wǎng)絡(luò)抓包工具如Sniff能夠輕易抓取SNMP協(xié)議報文，并分析出使用的Community名稱。還有一些特別的技巧可以逃避Community認(rèn)證，例如通過對非標(biāo)準(zhǔn)字段進(jìn)行注入，導(dǎo)致緩沖區(qū)溢出，從而構(gòu)成一次成功的攻擊。

SNMPv3為了解決安全性問題，主要引入了USM（基于用戶的安全模型）和VACM（基于視圖的訪問控制模型）兩種技術(shù)。USM提供了認(rèn)證和加密功能，VACM確定用戶是否允許訪問特定的MIB對象以及訪問方式。USM引入了用戶名和組的概念，可以設(shè)置認(rèn)證和加密功能。它指定使用HMAC-MD5和HMAC-SHA進(jìn)行身份驗(yàn)證，指定使用CBC-DES進(jìn)行信息加密。在提交RFC 2574（USM）時，這三種安全協(xié)議被認(rèn)為是（可接受的）安全的。而VACM技術(shù)定義了組、安全等級、上下文、MIB視圖、訪問策略五個元素，這些元素同時決定用戶是否具有訪問的權(quán)限，只有具有了訪問權(quán)限的用戶才能管理操作對象。

3 設(shè)備監(jiān)控系統(tǒng)的設(shè)計

本系統(tǒng)的設(shè)計目標(biāo)是監(jiān)測數(shù)據(jù)中心各類設(shè)備以獲得性能參數(shù)，主要有主動和被動兩種模式。其中主動模式是由服務(wù)器主動通過OID向客戶端進(jìn)行詢問，包含CPU負(fù)載，風(fēng)扇轉(zhuǎn)速，磁盤使用，UPS電壓，網(wǎng)絡(luò)流量等性能數(shù)據(jù)；被動模式是通過客戶端主動向服務(wù)器發(fā)起異常消息通知，例如網(wǎng)絡(luò)中斷，磁盤拔出，風(fēng)扇停轉(zhuǎn)，或者是某一部件失效。一個典型的異常消息如下所示：

2017-09-14 10：15：32

2 Green Red alarm.NetworkRedundancy LostAlarm - Event： Lost Network Redundancy （74862）

Summary： Lost uplink redundancy on virtual switch "vSwitch1". Physical NIC vmnic5 is down. Affected portgroups："VLAN1001"， "VLAN4000".

通過上述兩種監(jiān)測，可以有效的監(jiān)控和探知設(shè)備的使用狀態(tài)，根據(jù)歷史數(shù)據(jù)進(jìn)行分析和預(yù)警。

3.1 總體設(shè)計

通過對 SNMP 協(xié)議的研究，設(shè)計和構(gòu)建了基于B/S 架構(gòu)的系統(tǒng)結(jié)構(gòu)模型，如圖1所示。

由于采集產(chǎn)生了大量數(shù)據(jù)，這些數(shù)據(jù)以分topic的類別被投送到kafka集群，由下游消費(fèi)者接收消息并進(jìn)行分析，最后將分析結(jié)果入庫或放入HDFS。從而形成一個經(jīng)典，可插拔的生產(chǎn)-消費(fèi)者架構(gòu)。按我行的情況設(shè)計，針對不同的設(shè)備使用了不同的消費(fèi)者進(jìn)行數(shù)據(jù)接收和分析，例如ATM的消費(fèi)者，UPS的消費(fèi)者，以及vCenter的消費(fèi)者。

采用生產(chǎn)-消費(fèi)者這一經(jīng)典架構(gòu)，可以通過調(diào)節(jié)生產(chǎn)和消費(fèi)者的數(shù)量使系統(tǒng)效率達(dá)到最大化，例如我行的ATM數(shù)量較多，從而可以通過部署多個消費(fèi)者的形式處理大量的ATM性能數(shù)據(jù)。

3.2 功能設(shè)計

3.2.1 數(shù)據(jù)采集

數(shù)據(jù)采集處于系統(tǒng)的生產(chǎn)者的位置，通過主動詢問的方式采集設(shè)備的性能數(shù)據(jù)，并將采集得到的數(shù)據(jù)結(jié)果按不同的topic放入kafka隊列。 主要是通過各個廠商提供的MiB文件，提取系統(tǒng)需要采集的關(guān)鍵指標(biāo)，如UPS的電壓，服務(wù)器風(fēng)扇轉(zhuǎn)速等數(shù)據(jù)，通過給定的OID向設(shè)備進(jìn)行詢問，將返回結(jié)果解析后放入消息隊列。該功能作為系統(tǒng)的基礎(chǔ)部分，通過時間驅(qū)動來確保實(shí)時性。

3.2.2 數(shù)據(jù)分析

數(shù)據(jù)分析作為系統(tǒng)的消費(fèi)者存在，主要接收來自數(shù)據(jù)采集功能采集的基礎(chǔ)數(shù)據(jù)，包括主機(jī)信息、IP信息、磁盤信息、進(jìn)程信息、CPU信息等數(shù)據(jù)，結(jié)合設(shè)備的具體特征，根據(jù)歷史數(shù)據(jù)得出baseline以及正常浮動范圍，對于超出浮動范圍的部分編制告警信息，并發(fā)送給運(yùn)維人員。

3.2.3 數(shù)據(jù)展示

數(shù)據(jù)展示主要是以圖表方式呈現(xiàn)被監(jiān)測設(shè)備性能歷史數(shù)據(jù)，其圖表如圖2所示：

3.2.4 告警

對于超過浮動閾值的性能數(shù)據(jù)，以及被動接收到的錯誤信息，將主動通過短信，微信以及語音電話等方式通知運(yùn)維人員。實(shí)現(xiàn)方式是將編制的告警信息放入kafka上另一個topic的消息隊列實(shí)現(xiàn)，由另外一個告警消費(fèi)者負(fù)責(zé)從中讀告警內(nèi)容并分發(fā)給告警人。

4 結(jié)語

我行的設(shè)備監(jiān)控系統(tǒng)以SNMPv3為基準(zhǔn)協(xié)議，實(shí)現(xiàn)了對數(shù)據(jù)中心設(shè)備資源的實(shí)時監(jiān)控，并將監(jiān)測到的性能數(shù)據(jù)以圖形方式直觀顯示出來，提高了設(shè)備管理的工作效率，為設(shè)備管理提供了一種安全高效的方式。同時完成了對于失效事件的主動告警，將錯誤信息及時推送給運(yùn)維人員，將反應(yīng)時間由分鐘縮短到了秒級。由于使用了高安全性的SNMPv3協(xié)議，系統(tǒng)的安全性也得到了較為完善的保障，達(dá)到了性能與安全性的平衡，在類似系統(tǒng)的設(shè)計中具有一定的借鑒意義。

參考文獻(xiàn)

[1]施勝強(qiáng).淺析計算機(jī)網(wǎng)絡(luò)管理[J].計算機(jī)光盤軟件與應(yīng)用，2012，（16）：36-38.

[2]趙小錄.SNMPv3在商業(yè)交換機(jī)中的研究與應(yīng)用[D].廣州：廣東工業(yè)大學(xué)，2014.

[3]楊曉東，劉玉珍，張煥國.基于SNMP的安全威脅及防范策略分析[J].計算機(jī)工程，2004，30（22）：122-124.

[4]王金京.云計算環(huán)境下的計算機(jī)網(wǎng)絡(luò)安全問題探析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015，（8）：37-38.