eSight 是华为公司研制的面向企业有线 / 无线园区、企业分支的运维管理系统,实现对企业资源、业务、用户的统一管理以及智能联动。
本次博客将主要介绍 eSight 的一些基本功能,(esight的功能模块比较多,在安装的时候可以选择一些功能模块,本次主要介绍四个模块)包括安全管理、资源管理、告警管理以及性能管理;对于 eSight 的其他功能:如配置文件管理、日志管理、 WLAN 无线网络监控与配置管理、 MPLS VPN 网络监控与配置管理以及 iPCA 、 SLA 、网络流量分析管理等模块的深入学习,可以参考 NMS ( Network Management System )官方教材。
如何实现网络的安全管理?
(esight里面的安全管理,相当于是系统的权限管理,创建用户,然后让用户可以管理某些设备,如下图所示,有这么一个网络,然后有一个监控的人alarm_monitorA,然后这个监控的人A只能监控A市的网络设备,监控者B只能监控B市的网络设备,A和B不能越权限,看到另外的城市的网络,这个就是安全管理,AB只能监控,就是只能看,不能设置参数,然后还有另外一拨人Operator_AB,是操作者,可以去进行网络的一个设置的,这也是权限的控制,安全管理就是这一方面,用户的的创建和用户的权限的控制。 )
安全策略的内容
(这个权限的控制在如下图所示的地方,最上面是主菜单,浏览器主页上面的最上面一排,点系统就会出来一些子菜单,然后点击用户管理,整个页面就会进行刷新,进入到用户管理这个界面;用户;角色;这个角色的用户权限是落实到用户上面的,做的时候,会先定义一个角色,这个角色如果是系统的监控人员,那他就只有读的权限,然后用户的权限是在创建完用户之后,给这个用户去分配一个角色,用户ABC他的角色是监控人员,监控某一个网络)
添加用户、角色:通过配置用户并分配权限以对用户进行合理规划, eSight 支持将操作权限、管理对象分配给角色,再给用户指定所属角色,使此用户拥有该角色对应的操作权限。
账号策略:可通过设置账号名最小字符个数、账号停用策略(连续几天未使用)、账号锁定策略(账号锁定条件设置:限定时间段长度、限定时间段内连续登录失败次数;账号锁定时间设置:限定锁定时长等)来避免账号带来的风险。
密码策略:可通过设置密码最小字符个数、密码不能与历史密码重复次数、密码有效期等来避免用户设置过于简单的密码而导致帐号被盗用。
登录 IP 地址控制:可设置允许访问的 IP 地址区间。
访问控制策略设置后,如果在线用户不在允许登录的时间或 IP 地址范围内,该用户会自动注销。
登录时间控制:可通过起止日期、每日起止时间、星期等维度来设置时间策略。
考虑到缺省用户 admin 需要随时登录, eSight 不支持对其登录时间进行控制。
查看在线用户:可查看当前在线用户以及用户的登录时间、登录 IP 、所属角色信息。同时,还可执行如下操作:
刷新在线用户信息:将在线用户信息更新至最新。
强制注销用户:避免非法登录用户在 eSight 客户端中执行非法操作。
进入单用户模式:只允许当前用户登录 eSight ,其他所有在线用户都会被强制注销。
退出单用户模式:在单用户模式下完成维护操作后,需及时退出单用户模式。
闲时超时设置:如果在指定时间段内不做任何操作,客户端将被自动注销。
(接着来具体看一下创建角色的步骤)
创建角色 (1)
(点击角色----增加,缺省是会自动创建四个角色的,监控,安全角色:可以创建用户,操作员、系统管理员:拥有完全的权限,如果要增加角色,就可以点击增加,输入基本信息,然后下一步就是选择管理对象,就是这个角色它可以管理网络设备,是可以管理所有的网络设备,还是只是某个网络设备。)
为角色分配管理域,角色可以管理指定的管理域中的对象。
(接下来就是选择操作,就是它能够进行哪些操作。 这些操作就是用户在进来之后页面上会显示出来的可以进行的操作项,如果没有选中,那么上面的菜单项就没有了。)
创建角色 (2)
为角色分配管理权限,角色可以拥有对象的操作权限。
(接着创建用户)
创建用户 - 设置用户名/密码
用户的基本信息:用户名,密码, 然后下一步
创建用户 - 设置角色
用户的基本信息设置完成之后,就需要设置角色 ,如下图所示,下面四个角色是esight里面本来就有的角色,这个用户是什么角色就给它分配什么角色。
创建用户 - 设置访问控制
(这个账号允许什么时间登录,允许在哪些ip地址上登录,防止某些黑客登录)
设置账号策略
(可以设置一些用户名,账户停用策略,锁定策略等。)
合理设置用户名的长度和用户登录相关的策略,可提高eSight访问安全性。帐号策略将应用于所有用户,所以应由安全管理员进行设置。
资源管理
(资源管理就是在esight中导入需要管理的设备,在之前的博客里讲述了安装esight的步骤,安装完esight之后,其实在esight里面是没有可以被管理的设备的,需要把被管理的设备添加到esight里面去,添加完了之后,才能进行监控,配置等一系列操作。)
要实现对网络进行管理,首先就需要将设备添加到eSight中,然后对其进行统一查询、监控、配置等操作,这就需要用到资源管理功能。
资源:指 eSight 所有管理对象的统称,如设备和子网。
网元:即网络单元,包含硬件设备及其上运行的软件。
子网:按照某种原则(如按地域划分)将一个比较大的网络结构分解为几个相对较小的网络结构,使网络便于管理。在 eSight 中,把这种相对较小的网络结构称为子网。
子网中可以管理的网络资源包括:子网、设备和链路。
子网下可以嵌套创建子网。
(添加设备的方式就是在esight的主菜单里面,浏览器最上面的一行中的资源,点进去之后有一个增加设备,有个单个添加,设备导入,添加设备的方式由三种,单个添加,自动发现,设备导入,单个添加把设备的IP地址添加进去,但是光指定ip地址是不够的,如果需要通过SNMP去管理的话,还需要,把snmp的版本,口令,就是读团体字,写团体字,给打进去。还有一个是自动发现,自动发现就是对地址的扫描,扫描的时候给出一个地址段,在这个地址范围里面去扫描,中间发现哪个地址有响应就去,尝试做一个SNMP的连接,这种自动发现的方式也需要导入SNMP的信息,还有一个是设备导入,设备导入是写一个excel表格,这个表格有格式模板,这个模板esight会给出,根据模板里的列表,把改填的值填好,导入进去就可以了,导入进去之后,esight就会有管理的设备,可以通过监控--拓扑管理区查看。)
手工创建单个网元:当需要添加到eSight的网元数量较少、网元所属类型较多时,可以通过手工创建单个网元的方式将网元添加到eSight中。
单个添加
如果进入了单个添加之后, 协议有snmp,和ICmp,icmp只能发现不能管理,如果想要管理的话,需要使用SNMP,
(管理协议配置好,管理设备的地址写上去,snmp的团体字写进去,注意这个地方可以设置模板,也可以手工写,做个模板相当于已经写好了,就可以用了,另外还可以设置telnet值,如果需要登录命令行界面的话,在图形界面中直接登录过去就可以了,)
SNMP :支持安装了 SNMP 组件并配置了 SNMP 访问参数的网络设备。
ICMP :主要是对那些没有 SNMP 相关参数的网络设备,网管服务器只要可以 ping 通该设备,就可以将其添加到网管中。
自动发现
(如果发现了地址,添加到哪里,是添加到拓扑的哪里,这里是root,就是根的拓扑,注意:协议设置里面也需要团体字,完成之后就会自动去扫描设备。)
自动添加至网管:若被勾选,网管将自动将网段中发现的设备添加到网管中;若未勾选,需要手动添加发现的网元。
设备导入
(设备导入会有一个模板,把这个模板下载下来,把这个模板里面的信息填写好,然后把填写好的表格上传到esight里面去,然后esight就会把这些设备一个一个导进去,)
导入设备时,需要注意如下两点:
使用 eSight 自带的模板。使用该模板填写数据时,请不要对模板结构做任何改动,否则无法导入设备。
一次导入的数据需要控制在 500 台以内。
物理资源管理
(当把这些设备导进来之后,就会有一个资源的列表,所谓物理资源就是在设备上可以看到的,板卡,机框之类的资源,查看详细资源就是可以看这个设备有几个板卡之类的。)
物理资源包含设备资源以及设备的实体资源,即机框、单板、子卡、端口资源。
分组管理
(设备是可以分子网的,分组,分组可以在资源下面有分组管理,首先,缺省就有一些分组,按照厂商分组,按设备类型分组,按接口分组,分组之后就会变成一个一个子网了。)
通过将多个设备创建为一个分组,从而达到将不在同一个子网下的多个设备作为一个对象分配给用户管理,提升用户批量管理设备的效率。
告警管理
(设置告警规则:什么样算紧急,什么样算次要,是可以去定义规则的。这个告警还可以远程通知,就是你不登陆网管界面,它会采用邮件,或者短信的方式通知你。)
告警管理功能可帮助网络维护人员更快、更准确地监控、处理告警,提升运维效率。
根据告警产生的位置,分类如下:
网元告警:网元发生故障时产生的告警。
网管告警:网管与网元连接发生故障或网管自身发生故障时产生的告警。
查看、处理告警
(拓扑中的图标会告诉你这里有告警,右键可以浏览告警。)
通过当前告警的告警板监控告警:
告警级别用于标识一条告警的严重程度和重要性、紧迫性, eSight 按严重程度递减的顺序可以将告警分为以下四个级别:紧急告警、重要告警、次要告警、提示告警。
通过当前告警的告警列表监控告警:
白色底板表示未清除的告警;绿色底板表示已清除的告警。如上图,“ CPU 利用率超过上限”的告警底板为绿色,则表示该告警已被清除。
清除告警:对一些无法自动清除的告警或者确认已不存在的告警,在 eSight 上可以手工清除。
确认告警:确认告警以标识某条告警已经被用户处理,可以不必过多关注。如果要重新关注该告警,可以对该告警进行反确认操作并采取相应的处理措施。
如下图所示是远程通知的规则。
远程通知规则:可设置告警源、告警级别或具体的告警事件以及通知的用户等信息,实现有选择性地进行告警通知。
告警远程通知:当符合条件的告警发生时, 可自动通过邮件或短消息通知给设定的维护人员,以便维护人员及时了解告警信息并采取相应措施。
(如上图所示,远程通知的方式如果是采用邮箱服务器的话,需要设置一个服务器,那么这个esight就是这个邮箱服务器的一个用户, 去发邮件告诉另外一个用户。先把告警信息发送到邮箱服务器,短消息服务器,短信猫,然后他们再去发送给管理员。)
邮箱服务器:可通过设置 SMTP 服务器域名或 IP 地址、发送通知的邮箱、端口等信息,实现将告警通过邮箱的方式发送。
短消息服务器:可通过设置短消息服务器域名或 IP 地址、短消息编码协议、短消息服务器端口、短消息服务器用户名、发送 / 接收短消息号码等信息,实现将告警通过短信的方式发送。
短信猫:可通过设置短信猫网络制式、连接短信猫的串口、短信猫波特率、接收通知的手机号等信息,实现将告警通过短信猫的方式发送。
性能管理概述
(就是去看网络中各个设备的运行情况。)
各个资源均定义了各项性能指标以衡量其性能优劣情况。通过 eSight 可以全面地监控其所管理资源的性能数据和各资源性能间的关系,对资源进行全方位性能数据综合分析评价,及时掌握网络整体运行趋势,便于网络优化,以保证网络处于最佳运行状态。
性能管理的相关概念:
指标及指标模板;
指标阈值;
性能采集任务;
测量对象;
采集周期。
指标:指标是一个量度,用来衡量资源的性能。如设备、端口、 CPU ( Central Processing Unit )、内存等都属于资源; CPU 占用率、内存占用率是衡量设备性能的指标。通过监视指标可以提前发现业务处理质量劣化的趋势,并在故障发生前解决这些隐患。
指标模板:同一类型的设备具有相同的指标属性,可以自由组合这些指标成为一个指标模板。创建性能采集任务时可直接使用该指标模板,提高操作效率。
指标阈值:指标阈值用来配置是否上报告警以及上报的告警级别,当某一测量指标测量值超出设置的阈值时就会产生相应的告警信息。而当测量值降低到指标阈值允许的范围内时,产生的告警信息就会自动消除。
性能采集任务:性能采集任务用来采集设备性能数据。 eSight 按照采集任务的属性采集设备性能数据,并支持图形化展示性能数据,供用户查看和分析性能数据。
测量对象:当某项资源存在多个时,测量对象用来规定“测量谁”。如一个设备存在多个 CPU ,测量对象可以指定测量哪个 CPU 。
采集周期:采集周期用来配置采集数据间隔时间。如采集周期为 5 分钟, eSight 就会每隔 5 分钟对采集对象的性能指标进行一次数据采集。
性能管理流程图
(性能管理在配置的时候,是分步骤的。)(top n就是最高的)
用户在eSight客户端中创建监控模板和监控任务后,eSight会根据任务属性采集设备性能数据,然后eSight性能管理中心会将采集的性能数据显示在eSight客户端,并根据设置的性能告警阈值,使告警显示在当前告警列表中。如果在首页portal中设置显示性能数据,即可在首页进行查看。
设置监控模板
(这个监控模板有一个预设的,可以对它进行修改。)
创建监控模板步骤:
开始创建;
增加指标;
设置阈值;
创建完成。
设置监控模板 (2)
增加指标。
设置监控模板 (3)
设置阈值。
设置监控模板 (4)
创建完成。
(设置完监控模板之后,开始设置监控任务,设置完监控任务才开始运行。)
创建监控任务的步骤:
开始创建;
设置任务信息;
设置监控指标;
选择资源;
创建完成。
设置监控任务 (2)
(选择资源就是选择网络设备,在哪些设备中进行监控。)
设置监控任务 (3)
设置监控任务 (4)
(选择组的时候,这个组的成员都被监控了。)
设置监控任务 (5)
创建完成。
( 监控设置完成之后,开始查看性能数据。)
性能数据查看 - 主页面
性能数据查看 - 详细信息查看
实时性能数据查看
历史性能数据查看