当发生网络安全事件时，怎样追踪责任人？当发生网络拥塞时，如何定位网络中的瓶颈？如何确定是网络资源不足还是异常流量造成的？如何定位造成异常流量的主机？如何保证关键应用的QoS？对于大量的网络接入终端，怎样防止IP地址的滥用、盗用和地址冲突？对于有偿网络资源的访问，如何计费？如何做到欠费自动停机？对于大量的网络设备，怎样做到实时监控和自动故障报警？

根据在网络管理活动中的这些实际需求，山东大学网络中心通过几年的增量式开发，建设完善了集网络管理、运行监控、流量计费、流量分析、用户管理、地址管理、访问控制、服务质量控制等诸多功能于一体的综合网络管理系统。

网络管理

网络中心对于网元的管理最开始主要依靠设备厂家提供的网络管理系统，包括华为的Quidview和Cisco的Works 2000。但是这些系统只能发挥非常有限的功能，因为山东大学校园网是一个两地七校区的大型网络，设备数量大、种类多，并且是分期建设，不可能通过网元管理系统实现对所有设备的集成管理，特别是对于网络拓扑的管理就是一件非常复杂的事情。

而我们自主开发的基于地址转发表的链路层拓扑发现满足了对拓扑管理的需求，不仅可以发现网络上的路由器、交换机等可网管设备，而且具有发现主机、集线器和非网管交换机等哑设备的特点。图1给出了一个校区的拓扑情况，在自动拓扑发现的基础上，自动生成Visio的VSD图，进而可以定制和增加直观的地理信息，然后进行Web发布。图2是发布后的Web界面。VSD图到Web的发布是动态实时的，在每次发布前，通过SNMP获取对象的运行状态，然后通过COM技术改变对应的VSD形状的颜色来反映网络的运行状况。

网络设备运行监控

通过拓扑图可以查看网络的链路状态，通过通用的设备面板生成技术可以直观设备运行状态。对于发生的网络故障可以实时报警，通过手机短信、电子邮件等形式快速通知网管员。网络故障包括：电源故障、设备温度、端口状态变化、链路通断、流量跳变等。比如，在一次流量跳变的报警中，系统及时发现了因天津节点UPS故障引起的高速链路传输中断，因为动态路由切换到了通往南京的低速链路，造成流量明显下降，因此产生报警。图3是设备面板的情况，不同的颜色表示端口的不同状态，点击端口可以查看其实时流量，结果如图4所示。

在如图4所示的窗口中，不仅可以查看端口的实时流量和带宽利用率，也可以有选择地保存主要端口的历史流量统计，以统计图表的形式直观表现网络中各条链路的历史流量情况。

在线流量监控和协议分析

实时监控所有在线用户，了解其免费流量/收费流量构成和访问目标，可以根据情况强制其下网。采集出口的全部入/出流量或单台主机的流量，通过协议分析了解流量的构成。对于异常流量进行监测，自动隔离产生异常流量的主机，特别是CERNET规定的国际流入量超标的主机，可以自动关闭，次日凌晨自动放开。记录各个用户的上网时间、上网地点、产生的流量和访问目标，为以后的安全事件责任追踪提供依据。图5是在线用户的情况，图6是流量采集和流量分析，图7是按流量大小排列的活动主机。

通过交换机的流量镜像端口（或者分光器），将出口流量镜像到服务器，通过流量分析，根据设置的访问控制策略、计费策略完成访问控制和计费。通过对TCP三次握手的控制，实现TCP流的阻断或重定向。这种方式不改变网络的拓扑结构、不改变用户的上网模式，控制和计费策略对用户是透明的，不会造成单点故障，也不影响网络的出口性能。目前系统能够线速处理1G的网络流量。