文/翟传璞

近年来，随着信息技术的迅速发展，其对生产力的促进作用越来越明显，于是各类IT系统的业务类型不断丰富，终端规模不断扩大。作为企业核心业务的ERP、CRM、OA等系统的支撑平台，IT基础设施平台建设的规模和复杂度也与日剧增，IT基础设施(网络、服务器、存储、语音、视频以及安全设备等设施)的正常运转直接影响到企业生产效率和经济效益。

针对IT基础设施，目前有各种各样的网络管理系统、安全管理系统、存储管理系统、应用管理系统、终端管理系统等管理软件。这些面向功能的管理系统可以帮助企业解决各自领域中的IT问题，保证核心业务系统的日常运维，但由于标准不一、各自为政，相互之间缺乏有效联系，一旦企业IT设施发生变化或用户核心业务进行调整，往往很难进行相应调整；而且容易出现管理冗余，增加了IT管理的复杂性和维护成本。

如何设计一套系统实现对IT基础设施的统一管理，并能够基于企业的业务需求进行动态调整，必须解决好以下3个关键问题。

一、从“FCAPS”到“BP(Business Process业务流程)”

要设计一个能够实现统一IT管理的系统，首先需要确定的是管理系统的设计思路。

我们先来审视一下网络管理的经典模型――FCAPS(FCAPS是由ITU-T和ISO定义在M.3400规范中的一种网络管理功能模型。它将网络管理细分为五种功能区域：设备和应用故障管理、设备和应用配置管理、计费管理、性能管理和安全管理)。如图1所示。

图1 ISO定义的5大功能域FCAPS)

基于上面的网络管理模型，业界推出了众多的管理软件工具，但这些按照单一功能进行设计的工具与客户实际管理需求之间存在着巨大的“鸿沟”。一个IT维护中常见的例子：网络中出现了ARP病毒，IT管理员需要先知道是哪个端口在发送攻击报文，然后再确认端口所连接的是哪个PC，使用PC的是哪个用户，最后通过安装网络版的ARP防火墙或者在PC上绑定安全网关的IP和MAC地址解决上述问题。在此过程中管理员需要用到流量分析、网络管理和终端管理多个模块，复杂度可想而知。

要解决上述问题，我们可以换个思路来考虑，乐高玩具的设计思路很值得借鉴：基于标准的、可重用的玩具单元，乐高玩具可以按照玩家的想法组装出各种不同的形状。落实到管理架构的设计上，我们可以从客户应用业务出发来展开管理工作，将应用模型进行抽象建模。从本质上看，任何管理工作的开展实际上都是这个过程中的大大小小的业务流程(Business Process)，而不再是一个个独立的功能模块。以性能优化的业务流程为例，就可以分为数据采集、展示、审计、优化四个步骤，这四个步骤周而复始，从而实现闭环的性能优化管理。ARP攻击防范业务流程如图2所示：

图2 ARP攻击防范业务流

相对于按照功能划分设计的管理系统，基于业务流程设计的管理软件易用性更强，更符合IT管理人员的思维方式和操作习惯，从而有效解决IT管理界“有工具、无管理”的现状。

二、从“割裂管理”到“统一管理”

在确定了管理架构的设计思路后，需要考虑的是IT管理的范畴。传统的管理系统按照具体设备类型进行设计，即网络管理、安全管理、存储管理、服务器管理等，这些管理系统在单一领域功能强大，但管理员却无法对IT全局有一个清晰的认识，就像现实版的“盲人摸象”,因此有必要对整个IT系统进行统一管理。关键的技术是虚拟化。

虚拟化：对一组类似资源提供一个通用的抽象接口集，从而隐藏属性和操作之间的差异，并允许通过一种通用的方式来查看并维护资源。”——Open Grid Services Architecture Glossary of Terms。

使用虚拟化技术，可以对IT基础设施进行简化，屏蔽网络资源、存储资源以及计算资源的差异，将IT设施抽象为具有通用接口集的“资源”。采用虚拟化技术后，IT管理人员可以在一个交互平台上了解到各种IT资源的拓扑部署和状态信息，清楚的看到网络设备、语音设备、视频设备、存储设备、服务器、PC等资源状况，通过相关性分析，形成各个业务元素的关联关系，快速定位问题根因，及时进行问题的处理。

以09年大量部署的无线网络为例，按照传统的管理模式，有线一套管理系统，无线是另外一套管理系统，管理员无法直观了解到网络全局的状态。通过将资源虚拟化，用一套管理系统对全网设备进行一体化管理，有线、无线网络拓扑集中显示，告警信息统一收集，性能信息全面分析，方便的实现ACL、QoS、VLAN等资源的统一配置。

除了IT的硬件资源外，IT统一管理的范畴还可以扩展到IT资源的使用者――IT用户。通过AAA认证、Radius等技术，可以实现IT用户的身份准入、网络访问的权限控制。进一步将IT用户的管理与IT资源管理结合后，IT管理员面对的不再是一个个孤零零的“IP地址标识”，而是IT资源的真正使用者。在将ACL、QoS、VLAN等硬件资源直接与IT用户关联后，就能够实现更精确的资源管理。

三、从“自闭”到“开放”？

从IT架构看，IT管理软件位于IT基础设施和企业业务系统之间，一方面对IT基础设施进行管理，另一方面提供IT系统基础设施信息与上层业务系统进行配合。随着IT基础设施不断增加，类型越来越丰富，任何管理系统都无法实现“全面”的管理；同时，新的管理系统也面临着与客户现有系统对接的需求，IT管理系统由“自闭”走向“开放”是一种必然。典型的管理系统架构(如图3)可分为三层，从底向上分别为：“资源访问层”、“业务逻辑层”和“应用表示层”：

Ø资源访问层：负责从底层获取虚拟化的资源。从特定数据源获取数据(如数据库、后台进程等)，并将数据转换为易于处理的内部对象，供上层更加方便的进行处理，同时实现对网络资源的访问和控制管理；

Ø业务逻辑层：负责进行相应业务的计算和处理。实现具体的业务管理逻辑功能，进行事务控制等操作，并对上层提供完整的业务功能接口；

Ø应用表示层：负责提供外部访问接口。使外部程序(浏览器或第三方应用程序)能够访问系统业务逻辑功能，表示层的所有业务功能均通过调用业务逻辑层接口来实现。

图3管理系统架构

从实现开放的技术来看，SOA是一个不错的选择。通过SOA的这种具有中立的接口定义，可以实现各个系统之间的松耦合，相对于紧耦合而言，松耦合系统更灵活，当组成整个应用的每个系统的内部结构和实现发生改变时，对其他系统没有影响，适应不断变化的环境。

SOA(面向服务的体系结构)：SOA是一个组件模型，它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。接口是采用中立的方式进行定义的，它应该独立于实现服务的硬件平台、操作系统和编程语言。这使得构建在各种这样的系统中的服务可以以一种统一和通用的方式进行交互。

基于SOA的开放架构，管理系统可以为企业应用提供底层的资源管理调用接口，实现与各种应用系统如校园一卡通、OSS系统、人力资源管理系统的对接，从而实现IT管理系统与现有应用的融合，更好地支撑企业业务发展。

H3C的统一管理实践――iMC智能管理中心

作为H3C IToIP IT建设架构的关键组成部分，H3C iMC智能管理中心采用了统一管理的设计思想，以业务管理和业务流程模型为核心，基于面向服务(SOA)架构，提供网络资源、用户和业务的融合管理解决方案。

iMC智能管理中心的三个特点：

1.按照客户所需选择装配，通过业务流完成整个网络管理和运维；

安全联动业务流：将原有AAA、EAD、网管软件分别实现的功能集成，通过“业务流”的方式在一个系统中实现，从而大大提高了系统给用户带来的价值。通过iNode客户端感知到终端威胁，客户端或者交换机上报，然后通过拓扑、告警界面展示给管理员，管理员可以根据情况进行灵活处理，实现将用户下线(如图4)、关闭端口、下发QoS策略等。

图4安全联动业务流程

性能优化业务流：通过SNMP、NetStream等方式对网络流量进行监视--à对于监视的结果通过网络拓扑进行直观展示(带宽50％异常、应用TopN、用户TopN)(如图5)--à基于展示信息对网络进行调整(QoS、ACL)。

图5性能优化业务流程

2.不同业务之间实现融合联动，业务组件不再独立支撑业务，为客户提供更实用的业务支撑；

计算、网络、存储融合管理：通过iMC不仅可以实现对基础网络资源(如：路由器、交换机)的管理，还可以实现对存储资源、计算资源(服务器、应用、中间件)的管理。如图6

图6基础网络设备、存储资源和计算资源的统一管理

网络管理与用户管理融合：iMC将网络管理和用户接入认证统一统合，在一套系统中不仅可以对网络进行管理，还可以对接入网络的用户进行管理。如图7所示，拓扑不仅展示了网络资源的连接关系，更表现出网络资源被使用的情况。

图7网络管理与AAA融合管理

3.SOA架构开放设计，提供多种开放接口，与客户原有业务系统灵活对接

iMC基于SOA架构设计，实现资源访问层、业务逻辑层和应用表示层分层实现。业务系统对外提供多种开放接口，能与用户原有业务系统有机融合，业务系统内部要求服务组件化，既能灵活重组各服务组件，又能方便吸纳第三方服务。

校园网一卡通对接：如图8，使用iMC UAM用户接入管理模块、CAMS计费模块后，可以在一卡通系统中进行统一的用户管理、计费帐务管理的操作，而不需要在IT管理系统中进行重复性劳动。

图8 iMC与一卡通服务器对接流程

综述：

要解决传统管理系统存在的诸如业务缺乏协同、管理对象割裂、无法与其他IT系统融合等问题，统一IT管理架构是一个解决办法，BP业务流程、虚拟化、SOA等思想和技术为统一IT管理提供了很好的支撑。iMC智能管理中心正是H3C在统一管理方面初现成效的尝试，但统一管理的历程只有起点，没有终点，随着持续的研究和投入，相信IT系统的统一管理道路将会越走越宽。