我就職于一家互聯(lián)網(wǎng)企業(yè)，主要工作是網(wǎng)絡(luò)管理，準(zhǔn)確的說是面向IDC生產(chǎn)網(wǎng)絡(luò)的設(shè)計(jì)與維護(hù)，架構(gòu)勉強(qiáng)有一些吧，距離自己心中的架構(gòu)還遠(yuǎn)得很。專職做網(wǎng)絡(luò)差不多快5年了，之前系統(tǒng)、開發(fā)都涉及一點(diǎn)，但過于膚淺毫無建樹以至于浪費(fèi)了大好時(shí)光，如果早點(diǎn)進(jìn)入專項(xiàng)的技術(shù)方向就好了，當(dāng)然這只是個(gè)人看法，因人而異。

?

? ? ? 公司大大小小幾十個(gè)機(jī)房分布在全國(guó)各地，網(wǎng)絡(luò)結(jié)構(gòu)比較簡(jiǎn)單，只是多年積累下來的陳年舊賬、面對(duì)特殊情況產(chǎn)生的特殊問題，給網(wǎng)絡(luò)維護(hù)、發(fā)展帶來一些麻煩，也遇到不少有意思的問題、挑戰(zhàn)，加上網(wǎng)絡(luò)團(tuán)隊(duì)的同事都是真正做技術(shù)的人，因此幾年下來感覺有了不小的收獲。

? ? ? 在工作中遇到的很多問題，很多企業(yè)在其網(wǎng)絡(luò)發(fā)展過程中，很多網(wǎng)絡(luò)工程師在其成長(zhǎng)過程中，都會(huì)遇到，因此想聊一聊自己遇到的有意思的事情，希望可以在分享的過程中有所收獲。

?

???ＯＫ，切入正題：我是如何實(shí)現(xiàn)AAA、NTP和SYSLOG的。

?

? ?為什么自己會(huì)比較重視這三項(xiàng)服務(wù)呢？

? ?公司網(wǎng)絡(luò)發(fā)展，初期是比較緩慢的，中期隨著關(guān)鍵業(yè)務(wù)的快速發(fā)展，要求所有相關(guān)基礎(chǔ)服務(wù)也快速跟進(jìn)，這時(shí)因?yàn)椴坏貌槐ＷC速度和規(guī)模，而沒有考慮太多細(xì)節(jié)。當(dāng)前，不但要求網(wǎng)絡(luò)規(guī)模增長(zhǎng)快速，互聯(lián)網(wǎng)業(yè)務(wù)類型也多樣化發(fā)展，由先前的南北向流量為主，變成了東西向流量占據(jù)了半壁江山，高密度萬(wàn)兆接入、低延時(shí)高可靠數(shù)據(jù)交換、中大規(guī)模分布式應(yīng)用、跨地域的復(fù)雜網(wǎng)絡(luò)應(yīng)用、大數(shù)據(jù)等等，這些因素要求網(wǎng)絡(luò)達(dá)到更高標(biāo)準(zhǔn)，以面對(duì)各種各樣的問題。

? ?但不管有多少問題，首先要解決的是故障。

? ?處理故障，最起碼要能夠登錄設(shè)備，而早期遇到的問題是，某臺(tái)設(shè)備上有哪些帳號(hào)、可以從哪兒登錄，擁有什么權(quán)限還是個(gè)***煩。即使登錄到設(shè)備上，會(huì)發(fā)現(xiàn)無法得知誰(shuí)在什么時(shí)間做了什么事、設(shè)備在什么時(shí)間發(fā)生了什么事，或者獲得的數(shù)據(jù)不完整、不準(zhǔn)確。這些都極大地影響了故障處理效率，也是必須解決的基本問題。

? ?同時(shí)，這三項(xiàng)服務(wù)是網(wǎng)絡(luò)管理自動(dòng)化的基礎(chǔ)。

? ?通過兩期工作實(shí)現(xiàn)了讓自己滿意的上述三項(xiàng)服務(wù)。

? ?一期是對(duì)已有服務(wù)的整理，主要解決的問題是

? ?1）確保所有網(wǎng)管服務(wù)器上都運(yùn)行這三項(xiàng)服務(wù)。

? ?2）確保軟件版本、配置、數(shù)據(jù)一致。

? ?3）確保服務(wù)可用性，降低服務(wù)中斷時(shí)間。

? ?在實(shí)施過程中遇到很多問題，如操作系統(tǒng)不一致導(dǎo)致的軟件版本無法統(tǒng)一不得不分化為兩套標(biāo)準(zhǔn)，如軟件過于復(fù)雜導(dǎo)致配置和數(shù)據(jù)同步的復(fù)雜化，如配置變更帶來的巨大工作量和操作失誤引起的服務(wù)不可用，網(wǎng)管服務(wù)器雙機(jī)HA可用性及主備切換后帶來的配置有效性、數(shù)據(jù)差異消除問題等等。

? ?最終一期完成，基本實(shí)現(xiàn)了上述目標(biāo)。但卻推動(dòng)自己下定決心，一定要從根本上解決問題。

*注：

一期使用的tacacs+軟件tac_plus來自 http://www.networkforums.net/ ，更新緩慢、安裝配置復(fù)雜、需要額外數(shù)據(jù)庫(kù)和web支持、支持文檔極少。web使用apache，數(shù)據(jù)庫(kù)為mysql4（不支持5.0以上版本）。ntp使用系統(tǒng)自帶ntp程序，受操作系統(tǒng)類型、版本影響較大。syslog使用syslog-ng 2.1.4。

?

???二期是服務(wù)重構(gòu)。

? ?1）軟件重新選型

? ?tacacs+ 使用 http://www.pro-bono-publico.de/projects/tac_plus.html 的 tac_plus。優(yōu)點(diǎn)是功能強(qiáng)大，配置簡(jiǎn)單，方便同步，穩(wěn)定可靠，更新及時(shí)，對(duì)新設(shè)備支持好。

? ?ntp 對(duì)比了 http://www.openntpd.org 和 http://www.ntp.org 選擇了后者。優(yōu)點(diǎn)是短小精悍，可靠穩(wěn)定。

? ?syslog 使用 http://www.balabit.com/network-security/syslog-ng/ 的 open-source 3.x 版本。優(yōu)點(diǎn)是功能強(qiáng)大，可靠穩(wěn)定。

? ?2）統(tǒng)一環(huán)境

? ?操作系統(tǒng)全部更新為CentOS 5，tac_plus、ntp、syslog-ng全部統(tǒng)一版本。

? ?最重要的是，除ntp外，tac_plus和syslog-ng在所有網(wǎng)管服務(wù)器上都使用同一配置文件，這極大地簡(jiǎn)化了配置同步和服務(wù)管理。其實(shí)ntp也可以使用一份配置文件，但考慮到ntp配置變化極少、安全風(fēng)險(xiǎn)小，故未實(shí)現(xiàn)。

? ?3）服務(wù)監(jiān)護(hù)和配置同步

? ?通過shell腳本對(duì)tac_plus、ntp和syslog-ng服務(wù)檢查，確保服務(wù)正確運(yùn)行。

? ?通過shell腳本實(shí)現(xiàn)tac_plus和syslog-ng的配置自動(dòng)下發(fā)和更新，以及配置更新后的服務(wù)重啟。以及對(duì)網(wǎng)管服務(wù)器上的服務(wù)檢查腳本、監(jiān)控腳本等各類保障程序的自動(dòng)下發(fā)和更新。

? ?通過rsync將分散在不同IDC的網(wǎng)管服務(wù)器收集的網(wǎng)絡(luò)設(shè)備的syslog集中到備份服務(wù)器歸檔。

? ?4）維護(hù)服務(wù)搭建文檔，提供統(tǒng)一的安裝文件集

? ?在對(duì)所有網(wǎng)管服務(wù)器全面升級(jí)時(shí)，根據(jù)文檔，單服務(wù)器搭建環(huán)境不超過30分鐘，當(dāng)然前提是對(duì)整體環(huán)境有一定了解。

? ?5）實(shí)現(xiàn)了syslog-ng配置文件的程序化創(chuàng)建，實(shí)現(xiàn)了tac_plus配置文件的動(dòng)態(tài)部分的程序化創(chuàng)建

? ?由于公司的公網(wǎng)、私網(wǎng)網(wǎng)段就有上千個(gè)，并且變更頻繁，靠人工去維護(hù)syslog-ng配置文件，不但工作量巨大，也非常容易出錯(cuò)，并且不易排錯(cuò)，因此達(dá)成此事。這件事的重點(diǎn)是，要維護(hù)一套靠譜的網(wǎng)絡(luò)信息庫(kù)，每家公司都面臨cmdb的各種問題，有機(jī)會(huì)單獨(dú)聊一聊。

? ?6）實(shí)現(xiàn)了對(duì)所有IDC重要交換機(jī)和路由器的配置自動(dòng)備份，以及對(duì)配置自動(dòng)分析和報(bào)警。

? ?配置分析還很基礎(chǔ)，但的確幫了大忙，人總是會(huì)出錯(cuò)的。

? ?在二期實(shí)現(xiàn)過程中，放棄原有的HA雙機(jī)結(jié)構(gòu)，因?yàn)橄啾绕鋷淼暮锰?#xff0c;給管理帶來了很多麻煩，在系統(tǒng)和網(wǎng)絡(luò)的精力投入分配上，必須有所取舍。

? ?但是，網(wǎng)管服務(wù)器的容錯(cuò)是必須解決的問題，備選方案是在網(wǎng)絡(luò)設(shè)備上指向多個(gè)不同的網(wǎng)管服務(wù)器，從網(wǎng)絡(luò)設(shè)備配置上實(shí)現(xiàn)冗余的效果。另外一個(gè)思路，是在虛擬機(jī)上搭建網(wǎng)管環(huán)境（aaa+ntp+syslog），發(fā)生問題時(shí)在冷備服務(wù)器上快速啟用虛擬機(jī)，并且由于已經(jīng)實(shí)現(xiàn)了全網(wǎng)單一配置文件，那么只要維護(hù)一個(gè)虛擬機(jī)版本，基本就可以無限地?cái)U(kuò)展網(wǎng)管服務(wù)器的部署了（*注：僅限于思路，并未實(shí)現(xiàn)）。

?

? ?以上就是實(shí)現(xiàn)AAA(tac_plus)、NTP和SYSLOG的過程，并沒有講很具體的實(shí)現(xiàn)細(xì)節(jié)，更重要的是想法和思路吧。

總結(jié)

以上是生活随笔為你收集整理的【干货】网管的三个重要服务：AAA、NTP和SYSLOG的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。