集团信息平台技术方案建议书.docx

《集团信息平台技术方案建议书.docx》由会员分享，可在线阅读，更多相关《集团信息平台技术方案建议书.docx（52页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、重庆长丰化工集团信息平台技术方案建议书目录1.系统需求分析与总体建设目标41.1.需求分析41.2.建设原则42.重庆长丰化工集团网络平台整体设计52.1.组网拓扑52.2.组网说明62.3.解决方案特点62.3.1.核心交换机62.3.2.接入交换机82.3.3.安全92.3.4.统一管理103.管理中心设计123.1.集成化管理平台123.2.系统安全管理133.3.资源管理153.4.拓扑管理163.5.故障（告警/事件）管理183.6.告警深度关联分析与统计203.7.性能管理233.8.设备管理组件264.重庆长丰化工集团监控系统274.1.系统总体架构设计274.1.1.传统监控联

2、网建设模式分析274.1.2.H3C iVIP智能监控架构294.1.3.监控点设计304.2.系统流程原理说明304.2.1.基于单播组网的基本流程304.2.2.基于组播组网的基本流程334.2.3.报警与事件联动基本流程364.3.系统架构分项设计374.3.1.方案设计原则374.3.2.总控中心建设方案384.3.3.监控点设计404.4.系统特点424.4.1.统一的监控平台424.4.2.先进的系统架构424.4.3.高清实时的图像质量424.4.4.专业可靠的海量存储434.4.5.创新的媒体分发机制454.4.6.灵活高效的接入方式454.4.7.智能便利的管理维护454.4

3、.8.电信级设备可靠性464.4.9.丰富的增值业务464.4.10.国际标准的高度锲合474.5.H3C VM5000视频监控管理服务器481.系统需求分析与总体建设目标1.1. 需求分析重庆长丰化工集团信息平台系统是一个先进的、基于标准面向未来的、多用户、多业务的高速高效的网络系统。首先，它要有高速的交换速率，以便满足整个网络的数据传输、资源共享的需求。其次，它还应该提供足够的网络带宽和可靠的线路保障，使得各种实时性较强的应用（即语音、视频等多媒体应用）能够畅通运行，更好利用信息技术，再次，它必须有很高的管理和保密体系的支撑，所以部分应用需要在公网上运行，在网络规划后实现分离，需要能够满足

4、分离的合理性和稳定性，最终提高重庆长丰化工集团信息化应用和管理水平。1.2. 建设原则重庆长丰化工集团信息平台系统是一个先进的、基于标准面向未来的、多用户、多业务的高速高效的网络系统，为实现集团网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。独立性信息平台是基于各车间、办公室为网元构建起来

5、的面向集团信息化系统的网络，独立性是需要考虑的一个基本特性。独立性体现在两个方面：一是整个网络对于外部网络而言是一个物理上的独立实体，单独并唯一的实现对整个信息网的统一网络管理；二是网络各层次之间的依赖关系越低整个网络的稳定性也就越强；同时也为以后各应用平台结合自身特点开展独立的特色打好基础。技术先进性和实用性在保证满足集团业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图象）的高质量传输，才能

6、使网络不成为业务开展的瓶颈。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性制订统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。兼容性和经济性兼容性，能够最大限度地保证集团各种计算机软、硬件资源的可用性和连

7、续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。2. 重庆长丰化工集团网络平台整体设计2.1. 组网拓扑2.2. 组网说明核心：如图示意，在中心机房，配置一台高性能的万兆核心三层交换机，H3C S5500，H3C S5500-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品，具备业界盒式交换机最先进的硬件处理能

8、力和最丰富的业务特性。支持最多6个万兆扩展接口，支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，其出色的安全性，可靠性和多业务支持能力使其成为大型企业网络和园区网的汇聚，中小企业网核心、以及城域网边缘设备的第一选择。集团内部各个厂房、车间、办公室接入层交换机通过千兆多模光纤与核心交换机H3C S5500对接，实现千兆主干百兆桌面。接入层：H3C S3100系列千兆以太网交换机是H3C公司秉承IToIP理念设计的二层线速智能型可网管以太网交换机产品，具有千兆上行、可堆叠、无风扇静音设计、完备的安全和QoS控制策略等特点，满足企业用户多业务融合、高安全

9、、可扩展、易管理的建网需求，适合行业、企业网、宽带小区的接入和中小企业、分支机构汇聚交换。多功能安全出口网关：H3C SecPath U200-CM是H3C公司面向中小型企业/分支机构设计的新一代UTM（United Threat Management，统一威胁管理）设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。网管：配置H3C iMC智能管理中心作为全网的管理平台，对全网进行统一管理维护。2.3.

10、解决方案特点2.3.1. 核心交换机多业务支持能力支持PoE（Power over Ethernet）技术，通过以太网对所连接的设备（如IP Phone, Wireless AP等）进行远程供电，从而使得不必在使用现场为设备部署单独的电源系统，能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术，交换机通过识别端口的语音流，将对应的接入端口加入Voice VLAN（专用语音VLAN）中，为语音流量提供专门通道，并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性，只允许语音流量通过，可以有效防止突发数据流量对Voice VLAN内

11、的语音流量的冲击。S5500-SI系列交换机通过支持POE和Voice Vlan技术结合可以提供完整的语音设备管理方案，很好地解决了大量的IP PHONE的智能检测、供电和优先级的调整问题。完备的安全控制策略H3C S5500-SI系列交换机支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。H3C S5500-SI

12、系列交换机支持对试图接入网络的用户进行802.1x认证。可以在交换机上对802.1x客户端的版本和有效性进行验证，防止非法用户登录网络。支持集中式MAC地址认证，可以基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件，而且可以同时运行802.1x认证和基于MAC地址认证。提供Guest Vlan功能，使得为被授权的访问端只能接入访问特定的资源，并且会采取相应的策略，例如可以获得802.1x客户端、升级客户端或者获得其他的升级程序等等。支持Secure Shell V2（SSH V2）特性可以提供安全的信息保障和强大的认证功能，以保护以太网交换机不受诸如I

13、P地址欺诈、明文密码截取等等攻击。丰富的QoS策略H3C S5500-SI系列交换机支持支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法，可以同时基于端口和队列进行设置，支持SP（Strict Priority）、WRR（Weighted Round Robin）、SP+WRR三种模式。支持CAR（Committed Access Rate）功能，粒度最小达64Kbps。支持出、入两个方向的端口镜像，用于对指定端口上的报文进行监控，将端口上的数据包

14、复制到监控端口，以进行网络检测和故障排除。出色的管理性H3C S5500-SI系列交换机支持SNMPv1/v2/v3（Simple Network Management Protocol），可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行，Web网管，TELNET，HGMPv2集群管理，使设备管理更方便，并且支持SSH2.0等加密方式，使得管理更加安全。H3C S5500-SI系列交换机支持基于MAC地址划分VLAN，很好的解决了移动办公的智能灵活管理；结合特有的基于全局和VLAN下发ACL策略，在简化用户配置的同时，也大幅节约了硬件资源。2.3.2. 接入交换机

15、千兆上行、线速交换H3C S3100系列千兆交换机具有19.2Gbps的总线带宽，为所有端口提供二层线速交换能力，同时支持千兆上行，满足当前多业务融合对高带宽的需求。完备的安全控制策略H3C S3100系列千兆交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，支持MAC地址和端口等多元组绑定、广播风暴抑制和端口锁定功能，保证接入用户的合法性。 支持跨交换机的远程端口镜像功能（RSPAN），可以将接入端口的流量镜像到核心交换机（例如S9500/7500）上，在核心上启动网流分析（Netstream）功能，对监控端口的业务和流量进行监控、优化部署和恶意攻击监控。QoS能力H3C S3

16、100系列千兆交换机支持每个端口4个输出队列，支持2种队列调度算法：WRR调度算法和HQ+WRR调度算法，可以以不同的优先级将报文放入端口的输出队列。支持端口双向限速，限速的控制粒度最小可达64 Kbps。满足用户多业务识别、分类、资源调度的需要。简单易用的管理和维护H3C S3100系列千兆交换机采用无风扇静音设计，特别适合在楼道和办公室使用。支持VCT（Virtual Cable Test）电缆检测功能，便于快速定位网络故障点。支持堆叠功能，通过增加设备来扩展端口数量和交换能力，多台设备之间的互相备份增强了设备的可靠性，从而保证了网络的平滑升级并能降低扩建成本；同时对多台设备统一管理，降低

17、了管理成本。通过FTP、TFTP实现设备的远程升级，支持HGMP集群管理系统和故障诊断，实现了设备的集中管理和维护 。支持SNMP，可支持HP OpenView等通用网管平台，以及H3C iMC网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便2.3.3. 安全H3C SecPath UTM（United Threat Management，统一威胁管理)采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流

18、量控制和用户行为审计等安全功能。 H3C公司的SecPath UTM产品不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营成本和维护复杂性。 市场领先的安全防护功能 完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CC、SYN flood、地址扫描和端口扫描等多种恶意攻击。 丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec VPN等远程

19、安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。 实时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。 实时的垃圾邮件防护：可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。 先进的URL过滤：实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。 全面的流量管理：能精确检测BitTorrent、Thunder（迅雷）、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。 细致的行为审计：可对各种P2P/IM、网络游戏、邮件和数据传

20、输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。 NAT应用：提供多对一、多对多、静态网段、双向转换 、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。电信级设备高可靠性 采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。 支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份。 36年的平均无故障时间（MTBF)。智能图形化的管理 简单易用的Web UI管理。 支持基于SNMP

21、和TR-069协议的管理。 通过H3C UTM管理软件实现统一管理。 通过H3C SecCenter安全管理中心实现统一管理2.3.4. 统一管理IMC网管系统除了具有设备网管的功能，同时具有很强的平台网管功能（包括安全，拓扑，告警，性能等通用网管的功能）。针对第三方设备可以做到基本的管理。下面针对具体的管理功能进行介绍。资源拓扑管理IMC网管平台可以在拓扑图中发现所有可网管设备，以相应的图标表示在拓扑图中。告警管理对于第三方厂商设备的告警，IMC可以全部接收并对其中的标准告警进行解析。性能管理IMC系统可以对第三方设备进行通用性能监视，包括接口的流量监视，利用率监视，设备IP包转发，设备响应

22、时间的监视等。同时如果需要针对特殊设备性能的检视，可通过增加自定义性能模板脚本来达到要求。此方案适用于已有网络存在的设备主要是H3C设备，并且有部分第三方厂商的设备，同时需要兼顾第三方设备的管理。该方案可以实现对H3C设备的完全管理（包括通用管理，设备管理及业务级管理），同时针对第三方设备的管理可以达到通用管理的程度，同时针对某些设备的特性管理，可进行适当定制（如定制服务监控，告警解析，性能模板），从而达到对第三方设备的比较全面的管理。3. 管理中心设计3.1. 集成化管理平台H3C专注于IP产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特

23、性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。H3C iMC是H3C IToIP解决方案的统一管理中心，基于SOA架构，采用灵活的组件化结构，支持与HP Openview、SNMPc等通用网管平台的集成，支持集成各多厂家设备管理系统，与H3C的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。H3C iMC在IToIP解决方案中的位置H3C iMC作为IToIP

24、解决方案核心管理系统，为用户提供了灵活的组件化结构，包括智能管理平台、智能配置中心（iCC）、ACL管理、MPLS VPN管理、用户接入管理、EAD解决方案、无线管理、EPON管理等业务组件，用户可以根据自己的管理需要和网络情况灵活选择需要的组件，真正实现“按需建构”。H3C智能管理中心解决方案架构如下图所示：H3C iMC解决方案架构由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台）提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统

25、具有很强的可扩展性。H3C iMC智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，可以与H3C iMC 其他业务组件有效集成，形成多种解决方案。H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理，也可通过标准mib实现对Cisco、华为、3COM等各主流厂商的数据通信设备管理。3.2. 系统安全管理系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。所包含的主要功能有：操作员登录管理管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的

26、安全性，通过访问控制模板约束操作员可以登录的终端机器的IP地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。操作员密码管理管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问iMC系统的安全性。分组分级权限管理管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网络管理权限，

27、可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。操作日志管理对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计任何操作员的历史操作记录，界定网络操作错误的责任范围。操作员在线监控和管理系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。3.3. 资源管理iMC资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。本节讲解i

28、MC的资源管理，下节讲解iMC的拓扑管理。通过资源管理可以：网络自动发现可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备；多种自动发现方式自动识别多种设备类型网络手工管理可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNMP参数，以及批量校验Telnet参数等辅助功能；网络视图管理支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，用户可以从不同

29、角度实现整个网络的管理；网络设备的管理从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等，用户可以方便的实现所有设备的管理；设备及业务管理系统的集成管理支持对H3C、CISCO、等主要厂家设备的管理，支持手工添加设备厂商、设备系列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成；支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成，实现设备资源的统一管理；设备分组权限管理支持设备分组功能，通过对

30、设备资源进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；3.4. 拓扑管理iMC拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括：拓扑自动发现 H3C iMC可以自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构（具体参见资源管理），并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围（只要设备IP可达）。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同时可以保存为自

31、定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制（刷新周期：607200秒），同时也支持对多个设备的刷新周期进行批量配置的功能。支持自定义拓扑传统的网络管理软件大多支持自动发现网络拓扑的功能，但是自动发现后的网络拓扑往往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下手。针对这种情况，H3C iMC的拓扑功能支持灵活的自定义功能，管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进行增、删、改等编辑操作，使网络拓扑能够清晰地呈现

32、网络结构以及IT资源分布。H3C iMC支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根据网络设备的重要性不同，链路速率不同采用合适的图标显示。自动识别各种网络设备和主机的类型H3C iMC可以自动识别H3C、H3C、Cisco、等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备，并且以树形方式组织，以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分，如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务

33、器、PC等等。设备状态、连接状态、告警状态等信息在拓扑图上的直观显示H3C iMC的拓扑功能与故障管理和性能管理紧密融合，使拓扑图能够清晰地看到重庆长丰化工集团IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障，根据节点图标颜色反映设备状态。拓扑能提供设备管理便捷入口H3C iMC拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。3.5. 故障（告警/事件）管理故障管理，即告警/事件管理，是H3C iMC的核心模块，是iMC智能管理平台及其他业务组件统一的告警

34、中心。如下图所示，以故障管理流程为引导，介绍H3C iMC强大的故障管理能力：告警发现和上报iMC告警中心可以按收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给H3C iMC告警中心；l 设备告警包括电源电压、设备温度、风扇等告警事件，设备冷启动、热启动、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）变化，热备份路由（HSRP）状态变化等告警事件，支持对H3C、CISCO、H3C、等多厂商设备告警的

35、识别和解析；l 网管站告警指包括本级iMC系统集群服务器的异常告警，包括CPU利用率、内存使用率、iMC服务程序运行状态等以及下级iMC系统上报的告警事件；l 网络性能监视包括CPU利用率，内存使用率，以及RMON告警的故障管理。l 网络配置监视告警包括设备软件版本、配置信息变更等告警事件，并通过iMC智能配置中心组件（iMC iCC）实现配置文件定期检查，实现配置变更告警事件。l 网络流量异常监视告警通过iMC 网络流量分析组件（iMC NTA）实现网络中异常流量告警，包括对设备及接口异常流量、主机IP地址异常流量和应用异常流量的告警，支持二级阈值告警定义；l 终端安全异常告警通过iMC端点

36、准入防御组件（iMC EAD）实现对终端用户安全异常的告警，包括ARP攻击告警、终端异常流量告警及其他终端不安全告警；l iMC定期轮询告警指通过iMC的资源管理模块对设备接口信息定时进行轮循，并及时上报通断告警、响应时间告警等告警事件。3.6. 告警深度关联分析与统计iMC告警中心根据告警脚本中的告警事件定义，接收并解析上报的告警事件；H3C iMC对接收到的告警事件进行深度关联分析，系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认相关告警；同时用户可以根据自己的需要确定事件的告警规则，以适应网络管理需要。l 重复事件阈值告警

37、：屏蔽重复接收到的相同事件，并可在达到阈值条件时产生新告警通知用户。 l 闪断事件阈值告警：分析接收到的闪断事件，并可在达到阈值条件时产生新告警通知用户。l 未知事件阈值告警：屏蔽接收到的未知事件，并可在达到阈值条件时产生新告警通知用户。l 未管理设备告警阈值告警：屏蔽接收到的未管理设备事件，并可在达到阈值条件时产生新告警通知用户。l 自定义事件过滤规则：用户自定义的事件过滤规则，用户可指定在什么时间范围内、对什么样的告警进行过滤。iMC系统预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则，同时，管理员可以自定义由告警事件升级为告警的规则，可从事件、事件关键字、事件源、时间范围四个

38、方面进行规则定义，一旦定义事件升级为告警规则后，iMC告警中心会根据定义的规则关联分析后生成不同级别的告警（告警共分成紧急、重要、次要、警告、事件5个级别；在浏览数据窗口，分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示），将管理员从繁多的告警事件中解脱出来，避免产生告警风暴，让管理员能专心关注告警的根源。实时告警H3C iMC提供多种方式将告警通知给管理员，包括：l 实时远程告警：通过手机短信或Email邮件的方式，将告警及时通知管理员，实现远程网络的监控和管理；l 分类、声光告警板，按故障类别及等级实时告警，让管理员通过告警板不但及时知道告警产生，同时可以了解产生的告警的类别和等级：l

39、实时告警浏览和确认，通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口：l 提供系统快照，实时报告网络、下级网络及设备的状态l 通过拓扑实现报告网络及设备状态故障解决H3C iMC对各种故障警均提供“修复建议”，管理员可以参考修复建议对故障进行处理。在故障得到解决后，通过对告警的确认完成故障的恢复确认。固化经验H3C iMC提供告警知识库。告警知识是用户在维护过程中的经验总结，将这些经验输入系统，下次再出现同样的故障时，可以作为参考。用户选中一条告警记录，系统根据用户选中的告警记录，从告警知识库中查询出该条告警记录的维护经验，供用户进行告警处理进行参考。用户将自己的日常处理经验

40、以及业务信息及时写入数据库、更新告警知识库对以后的故障诊断与排除非常有益。3.7. 性能管理H3C iMC网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。例如：可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的阈值，当性能超过阈值时，网络以告警的方式通知告警中心:l 支持At a Glance、TopN功能，用户能够对CPU利用率、流量等关键指标一目了然；l 提供各类常用性能指标的缺省采集模板；l 支持实时性能监视，支持二级阈值告警设置,当链路或端口的流量超过阈值，系统将会发送性能告警，使网络管理人员可

41、以能够及时了解网络中的隐患，及时消除隐患。同时为故障定位提供手段；l 提供基于历史数据的分析，为用户扩容网络、及早发现网络隐患提供保障；l 支持饼图、折线图、曲线图等多种图形方式，直观地反映性能指标的变化趋势；提供灵活的组合条件统计和查询；性能报表支持导出Html、Txt、Excel、Pdf格式文件：3.8. 设备管理组件H3C iMC支持对H3C全系列IP产品进行设备管理，提供丰富的管理功能。通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态，通过设备信息浏览监视，管理人员可以了解设备的运行情况，实时监视CPU利用率、端口利用率等重要信息。同时，H3C iMC提供图形化的配置

42、方式，使设备功能配置不再复杂。H3C iMC向用户提供了完善的网元管理功能，通过逼真的面板图片，直观地反映了设备运行情况。l 通过面板图标直观地反映设备的框、架、槽、卡、风扇、CPU、端口等关键部件的运行状态；l 能够查看、设置设备端口状态；l 能够查看路由、VLAN等配置信息；l 能够查看端口流量、丢包率、错包率等关键统计数据；l 支持对H3C交换机堆叠能力的管理；l 通过Ping、Traceroute等功能测试当前网络链路的健康状况；l 支持从设备列表、设备详细信息、拓扑等多个入口打开设备面板。4. 重庆长丰化工集团监控系统4.1. 系统总体架构设计4.1.1. 传统监控联网建设模式分析一

43、、模拟视频监控系统模拟视频监控系统的发展较早，目前常被称为第一代监控系统。模拟监控系统是以视频矩阵、分割器、录像机为核心，辅以其他传感器的模拟信号传输、控制、处理系统。模拟监控系统采用视频切换矩阵连网，多路数视频光端机上传视频图像。系统主要特点是：视频、音频信号的采集、传输、存储均为模拟形式，一定距离范围内图像质量保持得很好。传统的模拟视频监控系统有局限性。首先，模拟视频信号通常采用同轴电缆进行传输，在距离较远时，需要使用视频放大器对视频信号进行放大以补偿传输损耗，而这将导致信号信噪比的下降。在实际工程中，如果对视频信号进行两级或两级以上的放大，图像就会产生明显失真；第二，模拟视频监控系统中所

44、存储的视频图像信号是未经压缩的模拟信号，需要使用大量录像带，成本高、体积大且不易保存；第三，模拟视频监控系统在进行长延时录像时的图像质量较差，检索时需要在录像带上反复进退查找，难度大、不易使用；第四，与信息系统无法交换数据，应用的灵活性较差，不易扩展。由于模拟视频监控系统这些自身难以克服的缺点，不能适应报警与监控系统信息共享的要求，在系统建设过程中需要逐步淘汰或者进行升级改造。二、模数结合的视频监控系统数字硬盘录像机（DVR）应用到模拟监控系统中，将传统的模拟视频信号转换为数字信号，通过计算机网络来传输，这就形成了模数结合的监控系统，实现了视频/音频的数字化、系统的网络化、应用的多媒体化和管理

45、的智能化。模数结合监控系统的报警信号和视音频信号的接入、图像的切换和前端设备的控制主要采用模拟切换矩阵；图像的记录采用数字方式；图像数字化后通过计算机网络传输。模数结合的视频监控系统存在诸多问题：1. “矩阵DVR”是两套系统组合。矩阵作为实时查看设备，起到控制、切换作用；DVR作为数字存储设备。两套系统之间没有相互控制、统一管理的机制，并且也不能同时控制前端摄像机，仅仅是两套系统的组合。2. 矩阵级联问题。在城市治安动态视频监控系统中均采用多联网模式，矩阵在级联过程中产生了以下问题：由于信号衰减导致图像传输到到上级部门时质量下降；上下级之间容易形成控制冲突；无法获取其他同级区域的图像，在突发

46、情况下无法实现对周边情况的全方位了解，等等问题。3. 标准化问题。矩阵协议目前没有形成国际标准化，不同厂家的矩阵难以实现互通，对后期扩容造成隐患。4. 视频存储问题。在模数结合的视频监控系统中采用DVR作为存储介质，但是DVR没有采用RAID、不支持硬盘热插拔，使得DVR难以为平安城市治安视频监控的事后取证提供高可靠性、稳定性的存储系统。同时由于视频文件分散在不同设备上，难以形成统一管理和视频数据综合利用，例如图像识别等应用。4.1.2. H3C iVIP智能监控架构视频编、解码器编解码器支持MPEG2、MPEG4、H.264、MJPEG等编码格式，支持实时流和存储流双流设计，支持高至8Mbp

47、s的高清码流或低至128Kbps的标清码流，支持端到端写存储(编码器直接写入IP SAN存储)，采用电信级制造工艺，可以基于各种网络环境高质量、可靠的满足各类网络监控前端编码、存储和解码的需求。网络视频存储系统基于iSCSI标准的IP SAN技术和强大的数据管理服务器构建完善的网络存储系统，存储资源可以根据需求分布式部属并加以统一资源管理和调度，支持动态存储资源管理、在线部属，可以基于统一平台满足不同存储质量、容量和服务质量的客户需求，可以提供完善的备份和存储生命周期管理功能。提供不同性能的IP SAN盘阵，同时支持NAS备份功能。系统管理平台包括专用的视频管理服务器、数据管理服务器、客户端和媒体转发服务器，视频管理服务器是用于集中认证、注册、配置、控制、报警转发控制的专用信令服务器，可以实现完善的视频编解码设备网络管理功能，支持多台信令管理服务器相互协同工作组建多级多域的管理平台。数据管理服务器主要功能为管理存储设备、存储资源和视频数据，支持对系统所有存储资源进行全方位的监控和管理，支持不间断的视频检索、回放等业务。客户端可以提供友好方便的人机界面功能，包括监控对象