方正网略网络架构管理系统

1、方正集团方正网略网络架构管理系统技术白皮书版权所有©2005方正信息安全技术有限公司产品部一、概述31、网管系统现状32、局域网网管系统的发展趋势33、方正网略net1nway pro系统54、net inway pro 系统特性5二、产品定位61、细分市场定位62、功能定位6三、产品特色81、网络ip资源保护，非法ip接入阻断82、网络拓扑白动发现83、网络流量实时监控84、专用硕件ip管理引擎95、网络蠕虫等有害流量的检测与阻断9四、功能介绍101、简单明了的人性化界而102、ip 管理103、设备管理114、性能分析135、故障管理146、专用硬件ip管理引華15五、产品结构和

2、硬件要求 161、net1xway pro 系统结构162、推荐使用系统配置16六、组网方式181、普通网络182、使用vlan的网络18一、概述1、网管系统现状随着计算机技术的发展和信息化的口益普及，网络规模和应用膨胀的速度li益加快，使 得越来越多的企业认识到，网管软件不仅仅是电信、银行这些大企业才需耍，只耍具备一定 复杂度的网络结构，都需要使用网管软件对网络进行管理，以保证各项业务的正常开展。根据idc的数据显示，中国各行业对网管系统的需求正以30%的速度稳步增长，而行业 的分布也从电信、金融业占主体向其他方向发展，政府、制造、交通、教育在网管软件市场 屮的份额越来越人，到2006年将占

3、据60%以上。当前，越来越多的政府部门、大学、制造企业等都开始购买网管软件来加强网络管理, 通过配置管理、故障管理、性能管理等工具初步解决了网络管理维护的问题。2、局域网网管系统的发展趋势企业由于规模的不同，网络大小也不能少电信、银行这样的行业大企业相比，因此网络 管理技术面临着一场变革，其冃标是屏蔽高深莫测的网络技术，让网管工作变得愉快起来, 即:应用更加智能和高效的网络管理软件。对网管软件的要求也冇着自身的特点和侧重点，用户需求呈现以下的特点：简单方便的管理界面电信、银行等大企业由丁自身设备、网络都必须保证稳定、可靠的运行，才能保证服务 的正常开展，因此从成立z初，就建立了专门的设备运行维

4、护部门，冇一个庞大的专业维护 人员对设备、网络的安全运行负责。而一般企业的网络建设过程有所不同，是由于技术的发展、管理的需要，办公自动化、 生成管理自动化、物流自动化等先进的管理方式的引入，才逐步形成了企业局域网的发展, 因此，企业不可能有资深的网络管理团队来负责网络的监控。因此，对企业来说，网络管理软件不能是专家风格的用户界面，而应该是用户界面友好, 操作简单方便，功能完善易用的系统。综合的网络管理模式由于网络技术的不断发展，新产品不断涌现，企业建立的内部网络会不断进行完善。在 这个逐步引进新网络设备的过程中，不可避免的会冇多个厂家的设备被引入。因此，企业的 内部网不可能是那个设备厂家独自垄

5、断的市场，而是多家并存的局血。在这样的网络环境屮，不可能使用某一个设备厂家提供的网元级管理软件对这个网络情 况进行管理，必须使用集成的、综合型的网管软件來监控这个网络的运行情况。关注网络运行状态对于企业而言，网络止常的运行才能保证企业生产经营活动的正常开展，保证企业的止 常运转。而传统的网管软件包容的功能：配置管理、性能管理、故障管理、计费管理、安全 管理对企业而样，不是用不上，就是某些功能还不够强人。因此 对于企业网管软件，需要整合传统网管软件的功能，并对当前网络中出现的问题 提供针对性解决办法。功能简单实用当越来越多的企业认识到网络管理的重要性以后，都购买了昂贵的通用型网管软件，认 为有了

6、这么强大的软件功能保障，网络就能够安全稳定运行。其实不然，山于传统的通用型网管软件都是针对电信、银行这些特殊行业的专业维护人 员设计的，不耍说其专业的命令行管理方式让一般管理人员无法接近，就是其繁多、分散的 强人功能也无法让非专业人员使用°现实惜况是人部分企业网络管理员只会使用一些简单的 基本功能，根本没有发挥其强人的管理功效。因此，对于企业网管软件，就应该是针对企业局域网的特殊性来进行设计和选择购买, 不能贪图功能的大、多、全，而是耍根据口身需求选择适合的、实用的管理软件。更加注重性价比企业网管软件与电信级网管软件不同，首先考虑的不是功能的强人，而是是否适合白身 需要，同时对稳定性

7、、可靠性的要求都没有电信级这样高的要求，因此，它更加关注的是软 件的性能价格比。提供主动预防功能传统的网管软件都是以收集网络信息并分析，对于故障仅仅是报警或者是通过报表进行 事后分析，并没有对当前网络屮的故障进行积极主动的处理。对于缺乏专职网管人员的金业而言，网管软件不仅要能够及时发现网络故障、报警并通 知管理员外，还必须捉供一些必要的处理方式，保证网络还能正常运行。3、方正网略netlnway pro系统方正网略一一一款真正简单方便实用的金业级专业网络管理系统，它在整合了传统网 管软件功能的同时，重点突出了方便、实用的特点，帮助网管人员维护好自身的网络。通过 对网络设备的管理、网络状态的分析

8、、设备性能的监测以及各种故障事件的诊断和快速修复, 为用户提供一个稳定可靠的网络环境。4、netlnway pro 系统特性方正网略综合网络管理系统具有以下特点: 专业设计系统的设计基于itil （it infrastructure library, it基础设施库）架构，遵循国际通行 的snmp协议，采川先进的纽件思想、标准的建模语言，体现专业化的企业级网管软件设计 思想。操作便捷人性化的设计，简单易用、呢置灵活、实施过程短，管理者无需专业基础知识，只 需经过简单培训，即可熟练使用。功能实用扌宾弃了大而全的网络系统设计思路，以川户迫切需要的功能模块來构建专业级网管软 件，挑选用户真正需要和常

9、用的设备管理、性能分析和故障管理功能，并融入当前企业网络 特别关注的ip资源竹理功能来组建系统的四大模块，体现真正实用的原则。 价格合理由于采用了实用化的设计理念，放弃了 一些暂时不太使用的功能，因此能够以一个合理 的价位提供广大企业一个精品级的专业网管软件。 部件硬件化考虑到企业网管软件安装调试的便利，以及管理维护的方便，方正网略对于在网管软件 屮人量使用的ip管理引擎进行了硬件化设计，提供了硬件方式的agent部件。二、产品定位1、细分市场定位方正网略综合网络管理系统在对普通网管软件的基木功能一设备配置管理、故障管 理、性能管理进行了功能增强外，重点是针对网络安全增强了网络ip综合管理，因

10、此市场 定位为网管市场中对网络安全管理冇迫切需要、并盂要简单、方便、实用的企业、教育等市 场。具体细分市场划分如下： 中小型网络管理该系统为那些没有配备专业管理人员的屮小型计算机网络提供简单实用、价廉物美的管 理工具。该系统适合在中小型企业、学校、政府机关等单位的办公自动化网络中使用，能提 高英网络运行质虽和管理水平。 特殊网络管理国内重要的计算机网络，如党、政、军、公安、武警、金融、证券等特殊部门、行业的 计算机网络，使用这种白主开发的、关键技术掌握在国人手里的通用网络管理系统和专门管 理工具，可以加强网络运行的安全性和可靠性。 大型网络管理为人型计算机网络的管理提供使用方便、投入小见效快的

11、网络安全管理工具，特别是针 对网络tp综合管理，能极大的捉高网络的安全保障能力。2、功能定位nettnway pm网络安全管理系统分为以下四大功能模块，每个模块的功能如下：1、ip管理 ip绑定防止ip冲突对ip资源进行保护或阻断 阻断未认证川户的网络连接定期统计tp使用情况，回收长期不使用ip2、设备管理网络拓扑结构自动生成 远程查询网络设备的资源使用情况远程检查网络设备连接状况 远程査询网络端口状态和pps3、性能分析 网络流最状况的图形化显示 实时监控设备端口的pps 对内网有害流量（蠕虫、dos攻击）进行阻断4、故障管理 检测tp故障、设备故障、流量故障、蠕虫故障 实时报警，并及吋通知

12、管理员，引导故障排除记录详细的故障报告三、产品特色方正网略netlnway pro充分考虑了当前企业级网管软件的用户需求，在以下方面的功 能上进行了增强： 网络ip资源保护，非法ip接入阳断 网络拓扑白动发现 网络流呈:实时监控 专用硬件ip管理引擎 网络蠕虫等有害流量的检测与阻断1、网络ip资源保护，非法ip接入阻断全而了解整个网络的设备运行情况、ip地址资源使用情况，对ip地址资源进行有 效的管理。对接入网络的计算机进行认证和管理，禁止未认证的计算机私自接入网络, 保障网络的安全运行。方便的ip地址资源分配管理、实时的ip故障监测与报警、冇效的故障响应策略, 使您真正感受和掌握网络资源的运

13、动脉搏！2、网络拓扑自动发现网络视图功能，拓扑结构自动发现，企业网络架构一目了然；实吋检测网络节点的 运行状态和连接惜况，及时把握网络拓扑和节点的改变；图形化的网络统计数据显示, 有助于规划长期网络发展。3、网络流量实时监控対网络设备和链路情况进行实时监测，及时发现和处理网络故障；刈出现故障的节 点进行隔离，引导管理员快速定位、排除网络故障；自动牛成带宽使用情况的图表，用 于长期趋势分析和制定带宽使用计划，并对优化口身的网络应用，根据所提供的精确而 及时的数据作出软硬件升级计划的决定。4、专用硬件ip管理引擎方正网略推出了硬件型tp管理引擎，用户只需要把此设备接入网络中即可正常工 作，减少了维

14、护工作量，同吋还增强了管理引擎的运行稳定性。方正网略推出的硬件型ip管理引擎分为：支持vlan的多网段竹理引擎和单网段竹 理引擎。单台vpa可支持的最大vlan数为128o5、网络蠕虫等有害流量的检测与阻断由于部署位證和技术特点，防火墙/ips对于内网异常流量都无能为力，而由于内 网界常流量导致的网络问题更成为网络管理中的盲区，方正网略的阻断功能可以通过对 每个端口实时监控，设定临界值，识别何害流最，阻断发出冇害流量的端ii,隔离有问 题的计算机。四. 功能介绍1、简单明了的人性化界面nettnway pro版木采用了简单明了的用户界面，如下图所示。在此用户界血中，把主耍功能（ip管理、设备管

15、理、性能分析、故障管理）包含在同一界面中，方便用户使用。多设0功世分斬 ©搠b g g 0 叼4 2005/04/» 20 36 !<总霜更联缶站吏紳 fmiftders4c218 54 xx.xxpkill文件ql）豪阅功能（x）9fg）烤訪qpntinat no2、ip管理netlnway pro增强了对ip管理方面的功能，使得用户对口前已经使用或者非法ip使 用的情况以及冃前网络负荷及故障信息能及时了解，制定切实可行的网络统合管理解决方 案。tp悸理是对整个局域网tp情况的悸理，包括：agent的运行状态，agent管理lan的 运行状态，各tp的运行状态及统计

16、信息，对各tp进行有效的管理。ip地址管理的功能如卜： 网络设备的ip地址、mac地址.设备信息浏览ip、mac绑定功能,对tp地址进行预约和保护，保证重要设备的止常运行ip> mac阻断功能,禁止非法用户的网络连接ip> mac认证功能,对未认证的网络设备进行隔离 回收不再使用的1p资源，捉供1p资源利用率見0也址j nic., 1 状态工00:40:50 fut.和|乍 oozofiitia. . .a合冲 h ene 22299 9oo:10: oo:io: 00:00：22222229 9 999 9 9vmw. . acc.f3. . f3fooo:30:oo:o2:b9

17、i n/acc a a annn00:10:b5.oo : 10: b5 n/an/an/aoozocz2900: i 0:bbkinnneffnnnvn对于新入网的设备，在入网申请到tp地址的时候，系统将记录并根据此设备的使川情况。如果此设备想占用网络屮已经被使用的ip,系统将产生报警，如下图所示:2sjip相关愴®矣裂av儀收时间2005/03/22 09:33:58问题ip:00a<«nt发信老ip：192 168 1.78检测ip矽突及16断口 乂9团定ip堆址：172.16 1 200mac地址：00 04 co 51：7d：ao

18、71; mac 00 e0 91 04 7f 70 用设备名称 vfj 组 i torkgrojp口 fimacentsi?: testo fi八o isfi .o内容 172 16 1 200 ip地址是00:04 co 51 7d a01址上0左l00:e0:91 04 7f.7dj但试图便用顽地址的系统mac 00 10 b5 00 07 c6名» ： smc ez 3rd 10-100 (smc1211tx) (smc ez card 10-100 (smc 显示新的设备00:e0:91:04:7f:7d mac ,使用 00 ip,连接到网络。显示 17

19、00 ip已使用 。00:e0:91:04:7f:7dmac使用此ip后，发牛冲 突，net in way pro 阻断。3、设备管理nettnway pro提供了対网络重要设备的系统信息、流量信息进行监控和管理的功能,设备管理的主要功能如卜:支持网络视图功能，自动搜索网络拓扑结构，并生成网络拓扑结构图； 网络设备（路由器、交换机、服务器、打印机等）进行实时状态监控；远程查询服务器的cpu、内存以及硕盘的利用率和内存中的运行进程信息； 远程查询网络设备的连接状态、hop数目、连接路径情况等信息； 监控网络设备端口的pps,及时检测和阻断蠕虫或内网弄常流量猛增设备。在设备管理中，

20、网络拓扑结构采用图示方式表示，可以迅速的看出网络的状态（止常或ciscopc知 routerpcswitch woki yahooyahooswi tchrouter故障等）。对于超过临界值或请求pps无应答时，节点颜色将变红，并被隔离。尬ipit址及网络管理.netinway pro *设备管理3凶1礙文件（e）查阅功能（q窗（妙帮助（也.|0|x|电hp管理彫设备管理©功能分析参故障管理百宫日 p辺设备笞理拓扑因|设备诸单|端口涪单|cisco14|12f1部设备设备正常设备故谭全部端口6个5个1个0个2jjj2005/04/06 03:03:29设备管理结构因更新结束jjfou

21、ndersec 服务器端:9准备|num 同时，nettnway pro还可以全天候24小时监控数t个网络设备的运行状态，如应答时间、损失率、生存时间等，如检测到故障，将实时报警并通知管理者。語文件（巳浏览0 功能©®a（is） 拾助（tov理弟设釜甘理 &性b&分析宓故障甘理曰口邑曰routerwom yhoo9 q®更萩筋>国斗ue文件保存切名待ipife 址public public public public66 94 230.46 192168l78192. !68. 1.5 192. 108. 1. 24 7

22、6i 172 201.239internet pc router switch unknownyahoo olci router cisco inacroup croup croup croup group系统信息淸单d检测连接状态ssss w*mz1 *»<ou" »£caa>«)1|，“r1 *»<oill.il)iollutvi1 we1 wc01 !)> »»<(nileti)4.性能分析连接路径信息;3;:|10|?|»|<|1提供服务信息丄j 口ijdnet

23、 inway pro性能分析是以snmp为基础,执行网络监控。监控信息是以日、周、月、年为周期记录ii志。性能分析包括：网络流最监控和实时网络利用率杳询。 ipttlt &mt1nway pfio mm结折g 丈件fld畫kjqo开換设宣 wcu> 丽畑©叭?* 笏说吾音舌 ©功咄折賞疔 e s >| ）ram g i> ® s.忌品 rbw则e丘品垃时豪討*监曲食5、故障管理net inway pro故障管理完成网络故障（ip 及时发现和报警，具体功能如下： 故障浏览及定期刷新 故障分类、排序、统计 故障报警，并通知管理员 浏览故障的用

24、户权限管理 条件杏询历史故障功能故障、设备故障、流量故障、wdi故障）的i-nzhga站at* a皿山話mum* m川、迟 乡文hxq 、怦按种类故障分(xs»：pwfpra按巫耍性故障分类/o3/22 09:49:533 15*8*3® -netman fcfke5： 192.16b.1t78f <jr8tww司e0 fao <3t 1回方exc初切jsm2005/03/222005/03/22 2005/03/22 2006/03/22 2005/03/22 2005/03/22 2005/03/22 2005/03/22 2005/03/22 2005/0

25、3/22 2005/03/22 2005/03/22 2005/03/22 2005/03/22 2005/03/22 2005/03/22 2005/03/22 2006/03/22 2005/03/229 9999999999 q-q-q-9999 ooooooooooooooooqo565300605555555666364009777777777777漬设定郎件収件设定macilhilhw macjh* - m3uqwf&) i p mac t 也 uhm 俱 mac!也址喪宣 mac：w 讪 maclrtul macilluj macil macil macil mac1l.

26、 mac1也址 macltbufc mac地 ilk mac地址卑网络管理者的email地址*1aj mj購件ib务魁鼻试p r 厂 au|渭 i；numnetlnwaypro提供了各种详细报告（ip状态报告书、设备状态报告书、流屋分析报告书、故障情况报告书）的多种模板。故肾管理报告书（ip故障）0xw>r««ir mm»t>0>n»tfsft4*nknur她pfofluaswfaon/.t wwwtwr”ceftitevu/22h、iwmc1能分析报告（35挖结果）i 3wmi>a um, ul<2milrmia 

27、4;± s发企空30yiafi2<hohkti受更292 & , 2533013/22 oto w受 1!ik sg3 i n2iovia/22 otnulrz.k i 200iitrr»)次”22”“ st192 im 1 1%mmaoytj/w wh m»cmw«3tt m 2 217l«m山 1 2002mh乞竝 et21?2 t6 ： 200aoy«v22 ot ltt2new j?112 s63 1 «al«r/3033/ gt h «ik s&3 1 2mao5/

28、1;3/22 wit «1« 0251az»)5/«a/22 0tlt 4比ik >m 1 2<9iltrit2wv0m22g" 4:1121 刈i a<>mnubm : mb yi as bax ommfo« : kwos (i.agcod". ai mo <100 om««ki goo « a m /a 、6、专用硬件ip管理引擎netlnway pro为了降低用户的维护工作量，开发了专用便件ip管理引擎，避免了传统 软件探测引擎安装、维护的麻烦，减少了用户的管

29、理难度。硕件ip管理引擎的主要功能：自动检测网络节点的mac地址、主机名、作业群信息检测新入网的节点对没冇认证的网络节点进行阻断netlnway pro提供了两种硬件引擎：多网段管理引擎vpa (vlan probe agent)和单网段管理引擎spa (segment probe agent)«单台多网段管理引擎vpa最大对支持128个vlan,满足对大规模网络的集中探测引擎管理。由于支持vlan的vpa需要网络上的所有设备都有支持802. lq的网卡，因此对于不支持802. lq的vlan可使用多个spa的方式实现。gentagent和 manager间 相互认证，可以确保 系统安全平时以tray icon运行13?09gent 管agent环境设agent