文 涛，叶 磊，刘立亮，祝 莹，杜成斌

（国网安徽省电力有限公司宣城供电公司，宣城 242000）

0 引言

随着公司信息化网络的快速发展，网络技术的不断提高，目前公司在网络环境中部署实施了300多台网络设备，但由于网络发展迅速，导致公司存在一些网络设备老旧、业务需求等分批采购不同品牌的网络设备，随着网络设备数量的不断增加，为提升网络设备安全性以及加强设备的密码复杂度管理，运维人员需定期更改设备密码、不同设备采用不同的登录方式，配置信息异地备份等，给运维人员带来繁重的工作任务，同时密码由运维人员随意更改，虽然防止了密码弱口令现象，但没有形成统一的密码安全管理策略，导致密码容易丢失。

为了帮助网络运维人员减少工作量，避免繁琐重复的操作，提高运维人员工作效率，统一网络设备密码的高效、自动化管理，确保网络设备的安全，亟需开发网络设备密码管控工具，解决由网络设备数量庞大与繁琐的工作操作、密码管理不严密等管理问题。

1 系统设计及功能

1.1 总体架构

网络设备密码管控工具主要分为三个方面：一是网络设备信息收集及录入；二是自定义密码策略，并根据密码策略自动生成密码，分别对应各个网络设备进行密码修改；三是自定义备份周期策略，根据策略实现自动异地备份配置信息。

系统总体架构如下：

图1 网络设备密码管控工具总体架构图

1.2 技术架构

网络设备密码管控工具整合利用现有安全技术手段，实现对网络设备密码的修改及配置信息的异地备份功能。主要由设备层、采集层、实施层和应用层四方面组成。

设备层：针对不同品牌的交换机设备，主要设备品牌包括：思科、华为、华三、中兴、锐捷、迈普等。

采集层：主要从设备层的交换机中获取其配置信息。

实施层：通过交换机信息，自动登录交换机设备，并进行密码修改变更操作，同时对交换机配置信息进行备份操作。

应用层：以网站的形式进行信息展示，主要包括：设备管理、密码策略管理、密码变更及记录、备份策略管理、配置异地备份及记录。

1.3 功能设计

根据系统业务需求，对网络设备密码管控工具功能进行设计，功能结构图如下：

图2 网络设备密码管控工具功能结构图

（1）网络设备管理

收集网络设备的相关信息，实现以列表的形式对网络设备信息进行展示，并支持设备信息的新增、修改、删除功能，同时支持根据Excel 模板批量导入设备信息。并支持导出功能。

（2）密码策略

实现密码策略的维护功能，主要包括策略新增、修改、删除功能，并以列表的形式进行展示。密码根据复杂程度进行设置，可以分为三个等级-弱、中、强：

弱：一般表示非常容易记的。例如123456这样的密码，位数少的。

中：一般为字母和数字，其中有的密码是由名字和生日进行组合而成的或者某些单词和数字。

高：大小写字母+数字+特殊符号。

（3）密码变更管理

①密码自动生成。根据设置的密码策略，自动生成密码，并支持设备密码的查看与批量导出。

②密码变更及记录。利用python 脚本自动读取密码并登录交换机，采用shell 脚本循环expect 脚本来完成批量变更交换机密码的完成任务，同时生成密码修改记录及导出。

（4）备份管理

①备份策略管理。完成备份策略的维护功能，主要包括策略新增、修改、删除功能，并以列表的形式进行展示。备份按照性质不同，可以分为：每小时备份，每天备份，每周备份，每个月备份等策略，按照不同的情况，采取不同的备份周期。

②配置自动备份。根据备份策略，通过周期性计划任务crontab 实现周期性自动执行，实现设备配置信息的自动化备份，并生成备份记录，支持导出功能。

2 结束语

通过网络设备密码管控工具的应用，建立统一全面的网络设备密码管控体系，实现了对网络设备密码安全管理规范化、标准化，统一了网络设备配置备份体系，实现异地备份网络设备配置信息，以达到容灾的目的。有效的帮助网络运维人员管理网络设备，避免繁琐重复的操作，帮助网络运维人员减少工作量，提高运维人员工作效率。