1 H3C iMC智能管理中心解决方案介绍

H3C专注于IP产品与相关技术的研发、生产和销售，具备完善的产品技术、客户服务、渠道、认证培训体系，为您提供客户化、特性丰富、性价比高的网络产品与解决方案。作为业界领先的网络设备与解决方案供应商，H3C提供包括网络管理、用户管理、业务管理等全面的管理解决方案：H3C智能管理中心（H3C Intelligent Management Center，以下简称H3C iMC）。

H3C iMC是H3C IToIP解决方案的统一管理中心，基于SOA架构，采用灵活的组件化结构，与H3C的数据通信设备产品一起为用户提供全网解决方案，帮助客户真正实现网络的按需构建。

图1 H3C iMC在IToIP解决方案中的位置

H3C iMC作为IToIP解决方案核心管理系统，为用户提供了灵活的组件化结构，包括智能管理平台、ACL管理、QoS管理、NTA网络流量分析、MPLS VPN管理、用户接入管理、EAD解决方案、无线管理等业务组件，用户可以根据自己的管理需要和网络情况灵活选择需要的组件，真正实现“按需建构”。

H3C智能管理中心解决方案架构如下图所示：

图2 H3C iMC解决方案架构

由上图可以看出H3C iMC管理系统由智能管理平台以及各个业务组件组成，管理平台提供网络管理的一些基础功能，比如故障管理、性能管理、资源和拓扑管理、用户管理等，而业务组件提供了相应的业务管理功能；各个业务组件相对独立，并可以无缝的集成在管理平台中，使得整个系统具有很强的可扩展性。

2 iMC智能管理中心功能介绍

2.1 iMC智能管理平台

H3C iMC智能管理平台实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，基于B/S架构，可以与H3C iMC 其他业务组件有效集成，形成多种解决方案。

H3C iMC智能管理平台不仅可以实现H3C全线数据通信产品的管理，也可通过标准MIB实现对Cisco、3com、北电等各主流厂商的数据通信设备管理。

2.1.1 资源管理

iMC资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。通过资源管理可以：

网络自动发现

可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑，自动识别包括：路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备；

图3 多种自动发现方式

图4 自动识别多种设备类型

网络手工管理

可以手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNMP参数，以及批量校验Telnet参数等辅助功能；

网络视图管理

支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图，用户可以从不同角度实现整个网络的管理；

网络设备的管理

从任何一种网络视图入口，都可以实现对网络设备的管理，包括：支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等，用户可以方便的实现所有设备的管理；

设备及业务管理系统的集成管理

支持对H3C、CISCO、3COM等主要厂家设备的管理，支持手工添加设备厂商、设备系列及设备型号；支持设备面板管理的动态注册机制，实现与各厂家设备管理系统的有效集成；支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成，实现设备资源的统一管理；

设备分组权限管理

支持设备分组功能，通过对设备资源进行分组管理，系统管理员方便的分配其他管理员的管理权限，便于职责分离；

2.1.2 拓扑管理

iMC拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括：

拓扑自动发现

H3CiMC可以自动发现网络拓扑结构，支持全网设备的统一拓扑视图，通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构（具体参见资源管理），并且可以将非SNMP设备发现出来，只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围（只要设备IP可达）。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来，同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。

支持对全网设备和连接定时轮询和状态刷新，实时了解整个网络的运行情况，并且刷新周期是可定制（刷新周期：60～7200秒），同时也支持对多个设备的刷新周期进行批量配置的功能。

图5 iMC拓扑图展示

支持自定义拓扑

传统的网络管理软件大多支持自动发现网络拓扑的功能，但是自动发现后的网络拓扑往往是很多设备图标的简单排放，不能突出重点设备和网络层次，使网络管理人员感觉无从下手。

针对这种情况，H3C iMC的拓扑功能支持灵活的自定义功能，管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑，可对拓扑图进行增、删、改等编辑操作，使网络拓扑能够清晰地呈现整个企业的网络结构以及IT资源分布。

H3C iMC支持灵活定制拓扑图，使网络拓扑更有重点和层次感。管理员可以按照关注设备不同，管理角度不同定义多种拓扑，并可以针对拓扑不同选择不同的背景图；管理员可以根据网络设备的重要性不同，链路速率不同采用合适的图标显示。例如：对于校园网，用户可以定制校园分布图、办公楼内网络分布图、宿舍楼内网络分布图等等。

图6 设备详细信息

自动识别各种网络设备和主机的类型

H3C iMC可以自动识别H3C、华为、Cisco、3com等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备，并且以树形方式组织，以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分，如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC等等。

图7 iMC可管理设备类型展示

设备状态、连接状态、告警状态等信息在拓扑图上的直观显示

H3C iMC的拓扑功能与故障管理和性能管理紧密融合，使拓扑图能够清晰地看到企业IT资源的状态，包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障，根据节点图标颜色反映设备状态。

图8 状态展示

拓扑能提供设备管理便捷入口

H3C iMC拓扑能够提供对设备管理的便捷入口，管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能，实现对设备的面板管理等各项功能配置。

图9 设备管理便捷入口

2.1.3 故障（告警/事件）管理

故障管理，即告警/事件管理，是H3C iMC的核心模块，是iMC智能管理平台及其他业务组件统一的告警中心。如下图所示，以故障管理流程为引导，介绍H3C iMC强大的故障管理能力：

告警发现和上报

iMC告警中心可以按收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等；同时通过支持对设备定时轮询，实现通断告警、响应时间告警等，以告警事件的方式上报给H3C iMC告警中心；

l 设备告警包括电源电压、设备温度、风扇等告警事件，设备冷启动、热启动、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）变化，热备份路由（HSRP）状态变化等告警事件，支持对H3C、CISCO、华为、3COM等多厂商设备告警的识别和解析；

l 网管站告警指包括本级iMC系统集群服务器的异常告警，包括CPU利用率、内存使用率、iMC服务程序运行状态等以及下级iMC系统上报的告警事件；

l 网络性能监视包括CPU利用率，内存使用率，以及RMON告警的故障管理。

l 网络配置监视告警包括设备软件版本、配置信息变更等告警事件，并通过iMC智能配置中心组件（iMC iCC）实现配置文件定期检查，实现配置变更告警事件。

l 网络流量异常监视告警通过iMC 网络流量分析组件（iMC NTA）实现网络中异常流量告警，包括对设备及接口异常流量、主机IP地址异常流量和应用异常流量的告警，支持二级阈值告警定义；

l 终端安全异常告警通过iMC端点准入防御组件（iMC EAD）实现对终端用户安全异常的告警，包括ARP攻击告警、终端异常流量告警及其他终端不安全告警；

l iMC定期轮询告警指通过iMC的资源管理模块对设备接口信息定时进行轮循，并及时上报通断告警、响应时间告警等告警事件。

告警深度关联分析与统计

iMC告警中心根据告警脚本中的告警事件定义，接收并解析上报的告警事件；

注：H3C iMC根据标准mib中的trap信息预定义了大量告警脚本用于接收解析告警，同时支持Openview NNM告警定义格式的脚本定义，厂家私有告警可以集成到iMC告警定义脚本中，H3CiMC同时提供自定义告警方式，用户可以在H3CiMC界面上对不识别告警进行定义，后面再收到该告警事件会按用户定义的格式进行解析。

H3C iMC对接收到的告警事件进行深度关联分析，系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认相关告警；同时用户可以根据自己的需要确定事件的告警规则，以适应网络管理需要。

l 重复事件阈值告警：屏蔽重复接收到的相同事件，并可在达到阈值条件时产生新告警通知用户。

l 闪断事件阈值告警：分析接收到的闪断事件，并可在达到阈值条件时产生新告警通知用户。

l 未知事件阈值告警：屏蔽接收到的未知事件，并可在达到阈值条件时产生新告警通知用户。

l 未管理设备告警阈值告警：屏蔽接收到的未管理设备事件，并可在达到阈值条件时产生新告警通知用户。

l 自定义事件过滤规则：用户自定义的事件过滤规则，用户可指定在什么时间范围内、对什么样的告警进行过滤。

iMC系统预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则，同时，管理员可以自定义由告警事件升级为告警的规则，可从事件、事件关键字、事件源、时间范围四个方面进行规则定义，一旦定义事件升级为告警规则后，iMC告警中心会根据定义的规则关联分析后生成不同级别的告警（告警共分成紧急、重要、次要、警告、事件5个级别；在浏览数据窗口，分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示），将管理员从繁多的告警事件中解脱出来，避免产生告警风暴，让管理员能专心关注告警的根源。

实时告警

H3C iMC提供多种方式将告警通知给管理员，包括：

l 实时远程告警：通过手机短信或Email邮件的方式，将告警及时通知管理员，实现远程网络的监控和管理；

l 分类、声光告警板，按故障类别及等级实时告警，让管理员通过告警板不但及时知道告警产生，同时可以了解产生的告警的类别和等级：

l 实时告警浏览和确认，通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口：

l 提供系统快照，实时报告网络、下级网络及设备的状态]

l 通过拓扑实现报告网络及设备状态

故障解决

H3C iMC对各种故障警均提供“修复建议”，管理员可以参考修复建议对故障进行处理。在故障得到解决后，通过对告警的确认完成故障的恢复确认。

固化经验

H3C iMC提供告警知识库。告警知识是用户在维护过程中的经验总结，将这些经验输入系统，下次再出现同样的故障时，可以作为参考。用户选中一条告警记录，系统根据用户选中的告警记录，从告警知识库中查询出该条告警记录的维护经验，供用户进行告警处理进行参考。用户将自己的日常处理经验以及业务信息及时写入数据库、更新告警知识库对以后的故障诊断与排除非常有益。

2.1.4 性能管理

H3C iMC网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。例如：可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的阈值，当性能超过阈值时，网络以告警的方式通知告警中心:

l 支持At a Glance、TopN功能，用户能够对CPU利用率、流量等关键指标一目了然；

l 提供各类常用性能指标的缺省采集模板；

l 支持实时性能监视，支持二级阈值告警设置,当链路或端口的流量超过阈值，系统将会发送性能告警，使网络管理人员可以能够及时了解网络中的隐患，及时消除隐患。同时为故障定位提供手段；

l 提供基于历史数据的分析，为用户扩容网络、及早发现网络隐患提供保障；

l 支持饼图、折线图、曲线图等多种图形方式，直观地反映性能指标的变化趋势；提供灵活的组合条件统计和查询；性能报表支持导出Html、Txt、Excel、Pdf格式文件：

2.1.5 设备软件及配置管理

设备配置库管理

当网络规模较大时，网络管理员的配置工作将十分繁重，如果没有好的配置系统，管理员就只能手动进行配置下发及配置备份。这样就给管理员管理、维护网络带来一定的困难，尤其是当网络瘫痪时，大量设备配置需要恢复，导致维护成本大大增加。

H3C iMC提供配置库管理功能，帮助管理员对设备配置文件形成基线库，并进行集中管理。

l 设备配置库包括配置文件和配置片断，配置内容可带有参数，在部署时根据设备的差异设置不同的值。

l 系统缺省提供常用的配置片断：iCC提供一些常用的基本的配置片断，包括删除SNMP 团体字、添加只读SNMP 团体字、删除 NTP Server、增加 NTP Server、取消本地用户服务级别、取消本地用户服务、删除本地用户密码、删除本地用户、添加本地用户、取消DLDP、修改DLDP、使能DLDP、取消dot1x端口控制、取消dot1x等三十多种配置模板，可以对其进行复制、导出及部署：

l 管理员可以从指定配置文件/片断导入到配置库中进行管理，也可以从指定设备上读取当前配置并导入到配置库中进行管理。

l 除从设备导入、从文件导入配置库功能外，管理员可以查看、增加、复制、修改、删除、导出及部署指定的配置库中任何配置文件/片断。

当网络部署完毕，管理员可以通过配置库管理将设备的配置信息保存下来，并进行基线化，这样当设备配置变化或者需要更新配置时，管理员可以参照基线化的配置文件进行修改。

设备软件库管理

设备软件版本同设备配置文件一样，其管理方便性直接影响网络维护的工作量。同样iCC提供了设备软件库管理功能，解决对设备软件版本统一管理，并进行基线化。

l 设备软件的统一管理，设备软件库支持设备上各种业务的软件，从而实现设备软件的统一管理。

l 管理员可以通过设备软件库查看、从文件导入、从设备导入、修改、删除、导出、部署等操作，实现对设备软件的有效管理。

l 统一的配置向导和部署任务管理

l 设备软件文件及配置文件通过统一配置向导进行管理，实现软件文件和配置文件的集中部署

l 通过部署任务集中管理，可以完成任务查看、修改、复制、删除、启动、挂起、恢复等各项操作，任务包括周期性任务、一次性任务和立即任务。

设备软件文件和配置文件管理

l 管理员可以浏览设备的配置和软件信息。

l 管理员可以查看设备当前的软件版本和软件库中最新可用的软件，更新设备的软件，从而方便的对设备软件进行升级

l 管理员可以查看设备最新备份配置的时间，手工备份设备的配置文件，方便的对指定设备进行手工备份

l 管理员可以查看设备是否进行自动备份，增加自动备份设备，设置自动备份设备和周期，方便的将指定设备加入自动备份中，设置自动备份的设备列表以及自动备份周期

l 管理员可以查看设备最新的启动配置文件和运行配置文件，从而判断设备的配置是否发生变化

l 管理员可以通过设备备份配置历史一览，对设备配置文件进行查看、基线化、修改、比较、删除、恢复等操作，配置文件包括三种版本：基线、普通、草稿。

l 管理员可以比较任意两个配置文件的内容，方便的查看差异部分的内容。

l 管理员可以通过创建一个恢复任务，恢复设备的某一历史配置或设备某一更新历史的升级前软件版本。

2.1.6 系统安全管理

系统安全管理功能主要有包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。

图10 系统安全管理示意图

所包含的主要功能有：

操作员登录管理

管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性，通过访问控制模板约束操作员可以登录的终端机器的IP地址范围，避免恶意尝试另人密码进行登录的行为存在，通过密码控制策略，约束操作员密码组成要求，包括密码长度、密码复杂性要求、密码有效期等，以约束操作员定期修改密码，并对密码复杂性按要求设置。

操作员密码管理

管理员为操作员制定密码控制策略，操作员仅能按照指定的策略定期修改密码，以保证访问iMC系统的安全性。

分组分级权限管理

管理员通过设备分组、用户分组的设置，可以为操作员指定可以管理的指定设备分组和用户分组，并指定其管理权限和角色，包括管理员、维护员和查看员，实现按角色、分权限、分资源（设备和用户）的多层权限控制；同时通过设置下级网络管理权限，可以通过限制登录下级网络管理系统的操作员和密码，保证访问下级网络管理系统的安全性。

操作日志管理

对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志。提供丰富的查询条件，管理员可以审计任何操作员的历史操作记录，界定网络操作错误的责任范围。

操作员在线监控和管理

系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息，包括登录的主机IP地址、登录时间等，同时，系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。