1、重庆长丰化工集团信息平台技术方案提议书目录1.系统需求分析和总体建设目标41.1.需求分析41.2.建设标准42.重庆长丰化工集团网络平台整体设计52.1.组网拓扑52.2.组网说明62.3.处理方案特点62.3.1.关键交换机62.3.2.接入交换机82.3.3.安全92.3.4.统一管理103.管理中心设计123.1.集成化管理平台123.2.系统安全管理133.3.资源管理153.4.拓扑管理163.5.故障(告警/事件)管理183.6.告警深度关联分析和统计203.7.性能管理233.8.设备管理组件264.重庆长丰化工集团监控系统274.1.系统总体架构设计274.1.1.传统监控联
2、网建设模式分析274.1.2.H3C iVIP智能监控架构294.1.3.监控点设计304.2.系统步骤原理说明304.2.1.基于单播组网基础步骤304.2.2.基于组播组网基础步骤334.2.3.报警和事件联动基础步骤364.3.系统架构分项设计374.3.1.方案设计标准374.3.2.总控中心建设方案384.3.3.监控点设计404.4.系统特点424.4.1.统一监控平台424.4.2.优异系统架构424.4.3.高清实时图像质量424.4.4.专业可靠海量存放434.4.5.创新媒体分发机制454.4.6.灵活高效接入方法454.4.7.智能便利管理维护454.4.8.电信级设备可
3、靠性464.4.9.丰富增值业务464.4.10.国际标准高度锲合474.5.H3C VM5000视频监控管理服务器481.系统需求分析和总体建设目标1.1. 需求分析重庆长丰化工集团信息平台系统是一个优异、基于标准面向未来、多用户、多业务高速高效网络系统。首先,它要有高速交换速率,方便满足整个网络数据传输、资源共享需求。其次,它还应该提供足够网络带宽和可靠线路保障,使得多种实时性较强应用(即语音、视频等多媒体应用)能够通畅运行,愈加好利用信息技术,再次,它必需有很高管理和保密体系支撑,所以部分应用需要在公网上运行,在网络计划后实现分离,需要能够满足分离合理性和稳定性,最终提升重庆长丰化工集团
4、信息化应用和管理水平。1.2. 建设标准重庆长丰化工集团信息平台系统是一个优异、基于标准面向未来、多用户、多业务高速高效网络系统,为实现集团网络高质、高效互联目标要求,在网络设计构建中,应一直坚持以下建网标准:高可靠性网络系统稳定可靠是应用系统正常运行关键确保,在网络设计中选择高可靠性网络产品,设备充足考虑冗余、容错能力;合理设计网络架构,制订可靠网络备份策略,确保网络含有故障自愈能力,最大程度地支持系统正常运行。网络设备在出现故障时应便于诊疗和排除,充足表现计算机网络高可靠性。独立性信息平台是基于各车间、办公室为网元构建起来面向集团信息化系统网络,独立性是需要考虑一个基础特征。独立性表现在两
5、个方面:一是整个网络对于外部网络而言是一个物理上独立实体,单独并唯一实现对整个信息网统一网络管理;二是网络各层次之间依靠关系越低整个网络稳定性也就越强;同时也为以后各应用平台结合本身特点开展独立特色打好基础。技术优异性和实用性在确保满足集团业务、应用系统业务同时,要表现出网络系统优异性。在网络设计中要把优异技术和现有成熟技术和标准结合起来,充足考虑网络应用现实状况和未来发展趋势。高性能骨干网络性能是整个网络良好运行基础,设计中必需保障网络及设备高吞吐能力,确保多种信息(数据、图象)高质量传输,才能使网络不成为业务开展瓶颈。标准开放性支持国际上通用网络协议、路由协议等开放协议标准,有利于确保和其
6、它网络之间平滑连接互通,和未来网络扩展。灵活性及可扩展性依据未来业务增加和改变,网络能够平滑地扩充和升级,最大程度降低对网络架构和现有设备调整。可管理性对网络实施集中监测、分权管理,并统一分配带宽资源。选择优异网络管理平台,含有对设备、端口等管理、流量统计分析,及可提供故障自动报警。安全性制订统一网络安全策略,整体考虑网络平台安全性。确保关键数据不被非法窃取、篡改或泄漏,使数据含有极高可信性。兼容性和经济性兼容性,能够最大程度地确保集团多种计算机软、硬件资源可用性和连续性,为不一样现存网络提供互联和升级手段,确保多种在用计算机系统(包含工作站、服务器和微机等设备)互连入网,充足利用现有网络资源
7、,发挥主干网优势。经济性,就是在充足利用现有资源情况下,最大程度地降低网络系统总体投资,有计划、有步骤地实施,在确保网络整体性能前提下,充足利用现有设备或做必需升级。2. 重庆长丰化工集团网络平台整体设计2.1. 组网拓扑2.2. 组网说明关键:图示意,在中心机房,配置一台高性能万兆关键三层交换机,H3C S5500,H3C S5500-EI系列交换机是H3C企业最新开发增强型IPv6强三层万兆以太网交换机产品,含有业界盒式交换机最优异硬件处理能力和最丰富业务特征。支持最多6个万兆扩展接口,支持IPv4/IPv6硬件双栈及线速转发,使用户能够从容应对立即带来IPv6时代;除此以外,其出色安全性
8、,可靠性和多业务支持能力使其成为大型企业网络和园区网汇聚,中小企业网关键、和城域网边缘设备第一选择。集团内部各个厂房、车间、办公室接入层交换机经过千兆多模光纤和关键交换机H3C S5500对接,实现千兆主干百兆桌面。接入层:H3C S3100系列千兆以太网交换机是H3C企业秉承IToIP理念设计二层线速智能型可网管以太网交换机产品,含有千兆上行、可堆叠、无风扇静音设计、完备安全和QoS控制策略等特点,满足企业用户多业务融合、高安全、可扩展、易管理建网需求,适合行业、企业网、宽带小区接入和中小企业、分支机构汇聚交换。多功效安全出口网关:H3C SecPath U200-CM是H3C企业面向中小型
9、企业/分支机构设计新一代UTM(United Threat Management,统一威胁管理)设备,采取高性能多核、多线程安全平台,保障全部安全功效开启时不降低性能,产品含有极高性价比。在提供传统防火墙、VPN功效基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功效。网管:配置H3C iMC智能管理中心作为全网管理平台,对全网进行统一管理维护。2.3. 处理方案特点2.3.1. 关键交换机多业务支持能力支持PoE(Power over Ethernet)技术,经过以太网对所连接设备(如IP Phone, Wireless AP等
10、)进行远程供电,从而使得无须在使用现场为设备布署单独电源系统,能够极大地降低布署终端设备布线和管理成本。支持Voice VLAN技术,交换机经过识别端口语音流,将对应接入端口加入Voice VLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则确保语音流优先传输来确保通话质量。同时经过设置Voice VLAN安全特征,只许可语音流量经过,能够有效预防突发数据流量对Voice VLAN内语音流量冲击。S5500-SI系列交换机经过支持POE和Voice Vlan技术结合能够提供完整语音设备管理方案,很好地处理了大量IP PHONE智能检测、供电和优先级调整问题。完备安全控制
11、策略H3C S5500-SI系列交换机支持EAD(端点准入防御)功效,配合后台系统能够将终端防病毒、补丁修复等终端安全方法和网络接入控制、访问权限控制等网络安全方法整合为一个联动安全体系,经过对网络接入终端检验、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全方面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁整体防御能力。H3C S5500-SI系列交换机支持对试图接入网络用户进行802.1x认证。能够在交换机上对802.1x用户端版本和有效性进行验证,预防非法用户登录网络。支持集中式MAC地址认证,能够基于端口和MAC地址对用户网络访问权限进行控制
12、认证方法,它不需要用户安装任何用户端软件,而且能够同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功效,使得为被授权访问端只能接入访问特定资源,而且会采取对应策略,比如能够取得802.1x用户端、升级用户端或取得其它升级程序等等。支持Secure Shell V2(SSH V2)特征能够提供安全信息保障和强大认证功效,以保护以太网交换机不受诸如IP地址欺诈、明文密码截取等等攻击。丰富QoS策略H3C S5500-SI系列交换机支持支持L2(Layer 2)L4(Layer 4)包过滤功效,提供基于源MAC地址、目标MAC地址、源IP地址、目标IP地址、TCP/UDP端口号
13、、协议类型、VLAN流分类。提供灵活对列调度算法,能够同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种模式。支持CAR(Committed Access Rate)功效,粒度最小达64Kbps。支持出、入两个方向端口镜像,用于对指定端口上报文进行监控,将端口上数据包复制到监控端口,以进行网络检测和故障排除。出色管理性H3C S5500-SI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台和iMC智能管理
14、中心。支持CLI命令行,Web网管,TELNET,HGMPv2集群管理,使设备管理更方便,而且支持SSH2.0等加密方法,使得管理愈加安全。H3C S5500-SI系列交换机支持基于MAC地址划分VLAN,很好处理了移动办公智能灵活管理;结合特有基于全局和VLAN下发ACL策略,在简化用户配置同时,也大幅节省了硬件资源。2.3.2. 接入交换机千兆上行、线速交换H3C S3100系列千兆交换机含有19.2Gbps总线带宽,为全部端口提供二层线速交换能力,同时支持千兆上行,满足目前多业务融合对高带宽需求。完备安全控制策略H3C S3100系列千兆交换机支持802.1x认证,在用户接入网络时完成必
15、需身份认证,支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功效,确保接入用户正当性。 支持跨交换机远程端口镜像功效(RSPAN),能够将接入端口流量镜像到关键交换机(比如S9500/7500)上,在关键上开启网流分析(Netstream)功效,对监控端口业务和流量进行监控、优化布署和恶意攻击监控。QoS能力H3C S3100系列千兆交换机支持每个端口4个输出队列,支持2种队列调度算法:WRR调度算法和HQ+WRR调度算法,能够以不一样优先级将报文放入端口输出队列。支持端口双向限速,限速控制粒度最小可达64 Kbps。满足用户多业务识别、分类、资源调度需要。简单易用管理和维护H3C S
16、3100系列千兆交换机采取无风扇静音设计,尤其适合在楼道和办公室使用。支持VCT(Virtual Cable Test)电缆检测功效,便于快速定位网络故障点。支持堆叠功效,经过增加设备来扩展端口数量和交换能力,多台设备之间相互备份增强了设备可靠性,从而确保了网络平滑升级并能降低扩建成本;同时对多台设备统一管理,降低了管理成本。经过FTP、TFTP实现设备远程升级,支持HGMP集群管理系统和故障诊疗,实现了设备集中管理和维护 。支持SNMP,可支持HP OpenView等通用网管平台,和H3C iMC网管系统。支持CLI命令行,Web网管,TELNET,HGMP集群管理,使设备管理更方便2.3.
17、3. 安全H3C SecPath UTM(United Threat Management,统一威胁管理)采取高性能多核、多线程安全平台,保障全部安全功效开启时不降低性能,产品含有极高性价比。在提供传统防火墙、VPN功效基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功效。 H3C企业SecPath UTM产品不仅能够全方面有效确保用户网络安全,还支持SNMP和TR-069网管方法,最大化降低设备运行成本和维护复杂性。 市场领先安全防护功效 完善防火墙功效:提供安全区域划分、静态/动态黑名单功效、MAC和IP绑定、访问控制列表(A
18、CL)和攻击防范等基础功效,还提供基于状态检测过滤、虚拟防火墙、VLAN透传等功效。能够防御ARP欺骗、TCP报文标志位不正当、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多个恶意攻击。 丰富VPN特征:支持L2TP VPN、GRE VPN、IPSec VPN等远程安全接入方法,同时设备集成硬件加密引擎实现高性能VPN处理。 实时病毒防护:采取Kaspersky企业流引擎查毒技术,从而快速、正确查杀网络流量中病毒等恶意代码。 实时垃圾邮件防护:能够拦截垃圾邮件,净化邮件系统,处理垃圾邮件对正常工作干扰问题。 优异URL过滤:实现基于用户URL访问控制,预防因浏览恶意
19、或未授权网站(如网络钓鱼攻击网站)而带来安全威胁。 全方面流量管理:能正确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干扰或阻断等多个方法,保障网络关键业务正常应用。 细致行为审计:可对多种P2P/IM、网络游戏、邮件和数据传输等行为提供细致监控和统计,实现细粒度网络行为审计管理。 NAT应用:提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方法;支持多个应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NAT ALG功效。电信级设备高可靠性 采取H3C企业拥有自主知识产权软、硬件平台。产品应用从电信运
20、行商到中小企业用户,经历了多年市场考验。 支持双机状态热备功效,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份。 36年平均无故障时间(MTBF)。智能图形化管理 简单易用Web UI管理。 支持基于SNMP和TR-069协议管理。 经过H3C UTM管理软件实现统一管理。 经过H3C SecCenter安全管理中心实现统一管理2.3.4. 统一管理IMC网管系统除了含有设备网管功效,同时含有很强平台网管功效(包含安全,拓扑,告警,性能等通用网管功效)。针对第三方设备能够做到基础管理。下面针对具体管理功效进行介绍。资源拓扑管理IMC网管平台能够
21、在拓扑图中发觉全部可网管设备,以对应图标表示在拓扑图中。告警管理对于第三方厂商设备告警,IMC能够全部接收并对其中标准告警进行解析。性能管理IMC系统能够对第三方设备进行通用性能监视,包含接口流量监视,利用率监视,设备IP包转发,设备响应时间监视等。同时假如需要针对特殊设备性能检视,可经过增加自定义性能模板脚原来达成要求。此方案适适用于已经有网络存在设备关键是H3C设备,而且有部分第三方厂商设备,同时需要兼顾第三方设备管理。该方案能够实现对H3C设备完全管理(包含通用管理,设备管理及业务级管理),同时针对第三方设备管理能够达成通用管理程度,同时针对一些设备特征管理,可进行合适定制(如定制服务监
22、控,告警解析,性能模板),从而达成对第三方设备比较全方面管理。3. 管理中心设计3.1. 集成化管理平台H3C专注于IP产品和相关技术研发、生产和销售,含有完善产品技术、用户服务、渠道、认证培训体系,为您提供用户化、特征丰富、性价比高网络产品和处理方案。作为业界领先网络设备和处理方案供给商,H3C提供包含网络管理、用户管理、业务管理等全方面管了处理方案:H3C智能管理中心(H3C Intelligent Management Center,以下简称H3C iMC)。H3C iMC是H3C IToIP处理方案统一管理中心,基于SOA架构,采取灵活组件化结构,支持和HP Openview、SNMP
23、c等通用网管平台集成,支持集成各多厂家设备管理系统,和H3C数据通信设备产品一起为用户提供全网处理方案,帮助用户真正实现网络按需构建。H3C iMC在IToIP处理方案中位置H3C iMC作为IToIP处理方案关键管理系统,为用户提供了灵活组件化结构,包含智能管理平台、智能配置中心(iCC)、ACL管理、MPLS VPN管理、用户接入管理、EAD处理方案、无线管理、EPON管理等业务组件,用户能够依据自己管理需要和网络情况灵活选择需要组件,真正实现“按需建构”。H3C智能管理中心处理方案架构以下图所表示:H3C iMC处理方案架构由上图能够看出H3C iMC管理系统由智能管理平台和各个业务组件
24、组成,管理平台)提供网络管理部分基础功效,比如故障管理、性能管理、资源和拓扑管理、用户管理等,而业务组件提供了对应业务管理功效;各个业务组件相对独立,并能够无缝集成在管理平台中,使得整个系统含有很强可扩展性。H3C iMC智能管理平台实现网络资源、用户和业务融合管理,提供基础网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理,基于B/S架构,能够和H3C iMC 其它业务组件有效集成,形成多个处理方案。H3C iMC智能管理平台不仅能够实现H3C全线数据通信产品管理,也可经过标准mib实现对Cisco、华为、3COM等各主流厂商数据通信设备管理。3.2. 系统安全管理系统安全管
25、理功效关键有包含:操作日志管理、操作员管理、分组分级和权限管理、操作员登录管理等。所包含关键功效有:操作员登录管理管理员经过制订登录安全策略约束操作员登录鉴权,实现操作员登录安全性,经过访问控制模板约束操作员能够登录终端机器IP地址范围,避免恶意尝试另人密码进行登录行为存在,经过密码控制策略,约束操作员密码组成要求,包含密码长度、密码复杂性要求、密码使用期等,以约束操作员定时修改密码,并对密码复杂性按要求设置。操作员密码管理管理员为操作员制订密码控制策略,操作员仅能根据指定策略定时修改密码,以确保访问iMC系统安全性。分组分级权限管理管理员经过设备分组、用户分组设置,能够为操作员指定能够管理指
26、定设备分组和用户分组,并指定其管理权限和角色,包含管理员、维护员和查看员,实现按角色、分权限、分资源(设备和用户)多层权限控制;同时经过设置下级网络管理权限,能够经过限制登录下级网络管理系统操作员和密码,确保访问下级网络管理系统安全性。操作日志管理对于操作员全部操作,包含登录、注销时间、登录IP地址和登录期间进行任何可能修改系统数据操作,全部会统计具体日志。提供丰富查询条件,管理员能够审计任何操作员历史操作统计,界定网络操作错误责任范围。操作员在线监控和管理系统管理员经过“在线操作员”能够实时监控目前在线联机登录操作员信息,包含登录主机IP地址、登录时间等,同时,系统管理员能够将在线操作员强制
27、注销、禁用/取消禁用目前IP地址等控制操作。3.3. 资源管理iMC资源管理和拓扑管理作为整体共同为用户提供网络资源管理。本节讲解iMC资源管理,下节讲解iMC拓扑管理。经过资源管理能够:网络自动发觉能够经过设置种子简易方法、路由方法、ARP方法、IPSec VPN、网段方法等五种自动发觉方法自学习网络资源及网络拓扑,自动识别包含:路由器、交换机、安全网关、存放设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内多个类型网络设备;多个自动发觉方法自动识别多个设备类型网络手工管理能够手工添加、删除网络设备,能够批量导入、导出网络设备,批量配置Telnet、SNMP参数,和批量校验
28、Telnet参数等辅助功效;网络视图管理支持IP视图、设备视图、自定义视图、下级网络管理视图等多个管理视图,用户能够从不一样角度实现整个网络管理;网络设备管理从任何一个网络视图入口,全部能够实现对网络设备管理,包含:支持对设备管理/去管理、接口管理/去管理、设备具体信息显示和接口具体信息显示、设备和接口实时告警状态、设备和接口实时性能状态、实时检测存在故障设备等,用户能够方便实现全部设备管理;设备及业务管理系统集成管理支持对H3C、CISCO、等关键厂家设备管理,支持手工添加设备厂商、设备系列及设备型号;支持设备面板管理动态注册机制,实现和各厂家设备管理系统有效集成;支持拓扑定位、ACL、VL
29、AN、QoS等业务管理系统集成,实现设备资源统一管理;设备分组权限管理支持设备分组功效,经过对设备资源进行分组管理,系统管理员方便分配其它管理员管理权限,便于职责分离;3.4. 拓扑管理iMC拓扑管理从网络拓扑处理直观提供给用户对整个网络及网络设备资源管理。拓扑管理包含:拓扑自动发觉 H3C iMC能够自动发觉网络拓扑结构,支持全网设备统一拓扑视图,经过视图导航树提供视图间快速导航。经过自动发觉能够发觉网络中全部设备及网络结构(具体参见资源管理),而且能够将非SNMP设备发觉出来,只要设备能够ping通即可。这么就能够将全部网络设备全部列入其管理范围(只要设备IP可达)。同时支持自动拓扑图展现
30、和自定义拓扑。自动拓扑能够自动将网络中逻辑连接关系显示出来,同时能够保留为自定义拓扑图并可依据具体情况进行修改方便于网管员对整个网络设备监控。支持对全网设备和连接定时轮询和状态刷新,实时了解整个网络运行情况,而且刷新周期是可定制(刷新周期:607200秒),同时也支持对多个设备刷新周期进行批量配置功效。支持自定义拓扑传统网络管理软件大多支持自动发觉网络拓扑功效,不过自动发觉后网络拓扑往往是很多设备图标简单排放,不能突出关键设备和网络层次,使网络管理人员感觉无从下手。针对这种情况,H3C iMC拓扑功效支持灵活自定义功效,管理人员能够依据网络实际组网情况和设备关键性不一样灵活定制网络拓扑,可对拓
31、扑图进行增、删、改等编辑操作,使网络拓扑能够清楚地展现网络结构和IT资源分布。H3C iMC支持灵活定制拓扑图,使网络拓扑更相关键和层次感。管理员能够根据关注设备不一样,管理角度不一样定义多个拓扑,并能够针对拓扑不一样选择不一样背景图;管理员能够依据网络设备关键性不一样,链路速率不一样采取适宜图标显示。自动识别多种网络设备和主机类型H3C iMC能够自动识别H3C、H3C、Cisco、等厂商设备、Windows、SolarisPC和工作站、其它SNMP设备和ping设备,而且以树形方法组织,以不一样图标显示区分。在拓扑图上更可深入对设备类型进行区分,如区分路由器、交换机、安全网关、存放设备、监
32、控设备、无线设备、语音设备、打印机、UPS、服务器、PC等等。设备状态、连接状态、告警状态等信息在拓扑图上直观显示H3C iMC拓扑功效和故障管理和性能管理紧密融合,使拓扑图能够清楚地看到重庆长丰化工集团IT资源状态,包含运行是否正常、网络带宽、接口连通、配置改变全部能一目了然。多个颜色区分不一样等级故障,依据节点图标颜色反应设备状态。拓扑能提供设备管理便捷入口H3C iMC拓扑能够提供对设备管理便捷入口,管理员只需经过右键点击拓扑图中设备图标即可开启设备管理各项功效,实现对设备面板管理等各项功效配置。3.5. 故障(告警/事件)管理故障管理,即告警/事件管理,是H3C iMC关键模块,是iM
33、C智能管理平台及其它业务组件统一告警中心。以下图所表示,以故障管理步骤为引导,介绍H3C iMC强大故障管理能力:告警发觉和上报iMC告警中心能够按收多种告警源告警事件,包含设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等;同时经过支持对设备定时轮询,实现通断告警、响应时间告警等,以告警事件方法上报给H3C iMC告警中心;l 设备告警包含电源电压、设备温度、风扇等告警事件,设备冷开启、热开启、接口linkdown等关键告警事件,路由信息事件(OSPF,BGP)改变,热备份路由(HSRP)状态改变等告警事件,支持对H3C、CIS
34、CO、H3C、等多厂商设备告警识别和解析;l 网管站告警指包含本级iMC系统集群服务器异常告警,包含CPU利用率、内存使用率、iMC服务程序运行状态等和下级iMC系统上汇报警事件;l 网络性能监视包含CPU利用率,内存使用率,和RMON告警故障管理。l 网络配置监视告警包含设备软件版本、配置信息变更等告警事件,并经过iMC智能配置中心组件(iMC iCC)实现配置文件定时检验,实现配置变更告警事件。l 网络流量异常监视告警经过iMC 网络流量分析组件(iMC NTA)实现网络中异常流量告警,包含对设备及接口异常流量、主机IP地址异常流量和应用异常流量告警,支持二级阈值告警定义;l 终端安全异常
35、告警经过iMC端点准入防御组件(iMC EAD)实现对终端用户安全异常告警,包含ARP攻击告警、终端异常流量告警及其它终端不安全告警;l iMC定时轮询告警指经过iMC资源管理模块对设备接口信息定时进行轮循,并立即上报通断告警、响应时间告警等告警事件。3.6. 告警深度关联分析和统计iMC告警中心依据告警脚本中告警事件定义,接收并解析上汇报警事件;H3C iMC对接收到告警事件进行深度关联分析,系统缺省支持反复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警,并能在故障恢复时自动确定相关告警;同时用户能够依据自己需要确定事件告警规则,以适应网络管理需要。l 反复事件阈值
36、告警:屏蔽反复接收到相同事件,并可在达成阈值条件时产生新告警通知用户。 l 闪断事件阈值告警:分析接收到闪断事件,并可在达成阈值条件时产生新告警通知用户。l 未知事件阈值告警:屏蔽接收到未知事件,并可在达成阈值条件时产生新告警通知用户。l 未管理设备告警阈值告警:屏蔽接收到未管理设备事件,并可在达成阈值条件时产生新告警通知用户。l 自定义事件过滤规则:用户自定义事件过滤规则,用户可指定在什么时间范围内、对什么样告警进行过滤。iMC系统预定义缺省支持各类深度分析后告警事件关联升级为告警生成规则,同时,管理员能够自定义由告警事件升级为告警规则,可从事件、事件关键字、事件源、时间范围四个方面进行规则
37、定义,一旦定义事件升级为告警规则后,iMC告警中心会依据定义规则关联分析后生成不一样等级告警(告警共分成紧急、关键、次要、警告、事件5个等级;在浏览数据窗口,分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示),将管理员从繁多告警事件中解脱出来,避免产生告警风暴,让管理员能用心关注告警根源。实时告警H3C iMC提供多个方法将告警通知给管理员,包含:l 实时远程告警:经过手机短信或Email邮件方法,将告警立即通知管理员,实现远程网络监控和管理;l 分类、声光告警板,按故障类别及等级实时告警,让管理员经过告警板不仅立即知道告警产生,同时能够了解产生告警类别和等级:l 实时告警浏览和确定,经过告
38、警首页对现在故障未排除告警实时刷新并提供故障排除确定入口:l 提供系统快照,实时汇报网络、下级网络及设备状态l 经过拓扑实现汇报网络及设备状态故障处理H3C iMC对多种故障警均提供“修复提议”,管理员能够参考修复提议对故障进行处理。在故障得四处理后,经过对告警确实定完成故障恢复确定。固化经验H3C iMC提供告警知识库。告警知识是用户在维护过程中经验总结,将这些经验输入系统,下次再出现一样故障时,能够作为参考。用户选中一条告警统计,系统依据用户选中告警统计,从告警知识库中查询出该条告警统计维护经验,供用户进行告警处理进行参考。用户将自己日常处理经验和业务信息立即写入数据库、更新告警知识库对以
39、后故障诊疗和排除很有益。3.7. 性能管理H3C iMC网管系统提供丰富性能管理功效,同时以直观方法显示给用户。比如:能够提供折线图、方图、饼图等多个显示方法并能生成对应报表。经过性能任务配置,可自动取得网络多种目前性能数据,并支持设置性能阈值,当性能超出阈值时,网络以告警方法通知告警中心:l 支持At a Glance、TopN功效,用户能够对CPU利用率、流量等关键指标一目了然;l 提供各类常见性能指标缺省采集模板;l 支持实时性能监视,支持二级阈值告警设置,当链路或端口流量超出阈值,系统将会发送性能告警,使网络管理人员能够能够立即了解网络中隐患,立即消除隐患。同时为故障定位提供手段;l
40、提供基于历史数据分析,为用户扩容网络、及早发觉网络隐患提供保障;l 支持饼图、折线图、曲线图等多个图形方法,直观地反应性能指标改变趋势;提供灵活组合条件统计和查询;性能报表支持导出Html、Txt、Excel、Pdf格式文件:3.8. 设备管理组件H3C iMC支持对H3C全系列IP产品进行设备管理,提供丰富管理功效。经过面板管理,网络管理人员能够直观地看到设备、板卡、端口工作状态,经过设备信息浏览监视,管理人员能够了解设备运行情况,实时监视CPU利用率、端口利用率等关键信息。同时,H3C iMC提供图形化配置方法,使设备功效配置不再复杂。H3C iMC向用户提供了完善网元管理功效,经过逼真面
41、板图片,直观地反应了设备运行情况。l 经过面板图标直观地反应设备框、架、槽、卡、风扇、CPU、端口等关键部件运行状态;l 能够查看、设置设备端口状态;l 能够查看路由、VLAN等配置信息;l 能够查看端口流量、丢包率、错包率等关键统计数据;l 支持对H3C交换机堆叠能力管理;l 经过Ping、Traceroute等功效测试目前网络链路健康情况;l 支持从设备列表、设备具体信息、拓扑等多个入口打开设备面板。4. 重庆长丰化工集团监控系统4.1. 系统总体架构设计4.1.1. 传统监控联网建设模式分析一、模拟视频监控系统模拟视频监控系统发展较早,现在常被称为第一代监控系统。模拟监控系统是以视频矩阵
42、、分割器、录像机为关键,辅以其它传感器模拟信号传输、控制、处理系统。模拟监控系统采取视频切换矩阵连网,多路数视频光端机上传视频图像。系统关键特点是:视频、音频信号采集、传输、存放均为模拟形式,一定距离范围内图像质量保持得很好。传统模拟视频监控系统有不足。首先,模拟视频信号通常采取同轴电缆进行传输,在距离较远时,需要使用视频放大器对视频信号进行放大以赔偿传输损耗,而这将造成信号信噪比下降。在实际工程中,假如对视频信号进行两级或两级以上放大,图像就会产生显著失真;第二,模拟视频监控系统中所存放视频图像信号是未经压缩模拟信号,需要使用大量录像带,成本高、体积大且不易保留;第三,模拟视频监控系统在进行
43、长延时录像时图像质量较差,检索时需要在录像带上反复进退查找,难度大、不易使用;第四,和信息系统无法交换数据,应用灵活性较差,不易扩展。因为模拟视频监控系统这些本身难以克服缺点,不能适应报警和监控系统信息共享要求,在系统建设过程中需要逐步淘汰或进行升级改造。二、模数结合视频监控系统数字硬盘录像机(DVR)应用到模拟监控系统中,将传统模拟视频信号转换为数字信号,经过计算机网络来传输,这就形成了模数结合监控系统,实现了视频/音频数字化、系统网络化、应用多媒体化和管理智能化。模数结合监控系统报警信号和视音频信号接入、图像切换和前端设备控制关键采取模拟切换矩阵;图像统计采取数字方法;图像数字化后经过计算
44、机网络传输。模数结合视频监控系统存在很多问题:1. “矩阵DVR”是两套系统组合。矩阵作为实时查看设备,起到控制、切换作用;DVR作为数字存放设备。两套系统之间没有相互控制、统一管理机制,而且也不能同时控制前端摄像机,仅仅是两套系统组合。2. 矩阵级联问题。在城市治安动态视频监控系统中均采取多联网模式,矩阵在级联过程中产生了以下问题:因为信号衰减造成图像传输到到上级部门时质量下降;上下级之间轻易形成控制冲突;无法获取其它同级区域图像,在突发情况下无法实现对周围情况全方位了解,等等问题。3. 标准化问题。矩阵协议现在没有形成国际标准化,不一样厂家矩阵难以实现互通,对后期扩容造成隐患。4. 视频存
45、放问题。在模数结合视频监控系统中采取DVR作为存放介质,不过DVR没有采取RAID、不支持硬盘热插拔,使得DVR难认为平安城市治安视频监控事后取证提供高可靠性、稳定性存放系统。同时因为视频文件分散在不一样设备上,难以形成统一管理和视频数据综合利用,例图像识别等应用。4.1.2. H3C iVIP智能监控架构视频编、解码器编解码器支持MPEG2、MPEG4、H.264、MJPEG等编码格式,支持实时流和存放流双流设计,支持高至8Mbps高清码流或低至128Kbps标清码流,支持端到端写存放(编码器直接写入IP SAN存放),采取电信级制造工艺,能够基于多种网络环境高质量、可靠满足各类网络监控前端
46、编码、存放和解码需求。网络视频存放系统基于iSCSI标准IP SAN技术和强大数据管理服务器构建完善网络存放系统,存放资源能够依据需求分布式部属并加以统一资源管理和调度,支持动态存放资源管理、在线部属,能够基于统一平台满足不一样存放质量、容量和服务质量用户需求,能够提供完善备份和存放生命周期管理功效。提供不一样性能IP SAN盘阵,同时支持NAS备份功效。系统管理平台包含专用视频管理服务器、数据管理服务器、用户端和媒体转发服务器,视频管理服务器是用于集中认证、注册、配置、控制、报警转发控制专用信令服务器,能够实现完善视频编解码设备网络管理功效,支持多台信令管理服务器相互协同工作组建多级多域管理
47、平台。数据管理服务器关键功效为管理存放设备、存放资源和视频数据,支持对系统全部存放资源进行全方位监控和管理,支持不间断视频检索、回放等业务。用户端能够提供友好方便人机界面功效,包含监控对象实时监视监听、查询、云台控制、接警处理,并集成了基础GIS功效方便用户操作。媒体转发服务器能够用于流媒体转发、组播单播转换和外网VOD点播服务。网络系统采取组播优化过系列交换机对前端视频编码器传输数据进行接入、汇聚、交换,其中接入形势推荐选择EPON网路接入,大大提升网络安全性、私密性和可实施性。经过多业务路由器、防火墙等实现对边界安全接入。4.1.3. 监控点设计系统路面监控点是系统基础,路面监控点分布和接入方法确定了系统科学性、使用性和可实施性。近距离监控点能够采取编码器后置方法,把编码器放在机房,经过同轴电缆将摄像头连接到编码器;远距离监控点提议采取编码器前置方法,将编码器安装在摄像头周围,经过以太网将编码器连接到中心机房。4.2. 系统步骤原理说明4.2.1. 基于单播组网基础步骤基础步骤图目前端到中心网络只许可采取单播技术时,前端
浙ICP备2021020529号-1 | 浙B2-20240490 
