共找到4條詞條名為網路管理的結果 展開
網路管理
網際網路技術術語
網路管理包括對硬體、軟體和人力的使用、綜合與協調,以便對網路資源進行監視、測試、配置、分析、評價和控制,這樣就能以合理的價格滿足網路的一些需求,如實時運行性能、服務質量等。另外,當網路出現故障時能及時報告和處理,並協調、保持網路系統的高效運行等。網路管理常簡稱為網管。
網路管理[網際網路技術術語]
⑴SNMP管理技術
⑵RMON管理技術
⑶基於WEB的網路管理
SNMP是英文“ Simple Network Management Protocol”的縮寫,中文意思是“簡單網路管理協議”。SNMP首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。
SNMP是目前最常用的環境管理協議。SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的傳輸協議上被使用。SNMP是一系列協議組和規範(見下表),它們提供了一種從網路上的設備中收集網路管理信息的方法。SNMP也為設備向網路管理工作站報告問題和錯誤提供了一種方法。
幾乎所有的網路設備生產廠家都實現了對SNMP的支持。領導潮流的SNMP是一個從網路上的設備收集管理信息的公用通信協議。設備的管理者收集這些信息並記錄在管理信息庫(MIB)中。這些信息報告設備的特性、數據吞吐量、通信超載和錯誤等。MIB有公共的格式,所以來自多個廠商的SNMP管理工具可以收集MIB信息,在管理控制台上呈現給系統管理員。
Windows
一個被管理的設備有一個管理代理,它負責向管理站請求信息和動作,代理還可以藉助於陷阱為管理站提供站動提供的信息,因此,一些關鍵的網路設備(如集線器、路由器、交換機等)提供這一管理代理,又稱SNMP代理,以便通過SNMP管理站進行管理。
關於網路管理的定義很多,但都不夠權威。一般來說,網路管理就是通過某種方式對網路進行管理,使網路能正常高效地運行。其目的很明確,就是使網路中的資源得到更加有效的利用。它應維護網路的正常運行,當網路出現故障時能及時報告和處理,並協調、保持網路系統的高效運行等。國際標準化組織(ISO)在ISO/IEC7498-4中定義並描述了開放系統互連(OSI)管理的術語和概念,提出了一個OSI管理的結構並描述了OSI管理應有的行為。它認為,開放系統互連管理是指這樣一些功能,它們控制、協調、監視OSI環境下的一些資源,這些資源保證OSI環境下的通信。通常對一個網路管理系統需要定義以下內容:
○ 系統的功能。即一個網路管理系統應具有哪些功能。
○網路資源的表示。網路管理很大一部分是對網路中資源的管理。網路中的資源就是指網路中的硬體、軟體以及所提供的服務等。而一個網路管理系統必須在系統中將它們表示出來,才能對其進行管理。
○ 網路管理信息的表示。網路管理系統對網路的管理主要靠系統中網路管理信息的傳遞來實現。網路管理信息應如何表示、怎樣傳遞、傳送的協議是什麼?這都是一個網路管理系統必須考慮的問題。
○ 系統的結構。即網路管理系統的結構是怎樣的。
事實上,網路管理技術是伴隨著計算機、網路和通信技術的發展而發展的,二者相輔相成。從網路管理範疇來分類,可分為對網“路”的管理。即針對交換機、路由器等主幹網路進行管理;對接入設備的管理,即對內部PC、伺服器、交換機等進行管理;對行為的管理。即針對用戶的使用進行管理;對資產的管理,即統計IT軟硬體的信息等。根據網管軟體的發展歷史,可以將網管軟體劃分為三代:
第一代網管軟體就是最常用的命令行方式,並結合一些簡單的網路監測工具,它不僅要求使用者精通網路的原理及概念,還要求使用者了解不同廠商的不同網路設備的配置方法。
第二代網管軟體有著良好的圖形化界面。用戶無須過多了解設備的配置方法,就能圖形化地對多台設備同時進行配置和監控。大大提高了工作效率,但仍然存在由於人為因素造成的設備功能使用不全面或不正確的問題數增大,容易引發誤操作。
第三代網管軟體相對來說比較智能,是真正將網路和管理進行有機結合的軟體系統,具有“自動配置”和“自動調整”功能。對網管人員來說,只要把用戶情況、設備情況以及用戶與網路資源之間的分配關係輸入網管系統,系統就能自動地建立圖形化的人員與網路的配置關係,並自動鑒別用戶身份,分配用戶所需的資源(如電子郵件、Web、文檔服務等)。
根據國際標準化組織定義網路管理有五大功能:故障管理、配置管理、性能管理、安全管理、計費管理。對網路管理軟體產品功能的不同,又可細分為五類,即網路故障管理軟體,網路配置管理軟體,網路性能管理軟體,網路服務/安全管理軟體,網路計費管理軟體。
下面我們來簡單介紹一下大家熟悉的網路故障管理、網路配置管理、網路性能管理、網路計費管理和網路安全管理五個方面網路管理功能:
ISO在ISO/IEC 7498-4文檔中定義了網路管理的五大功能,並被廣泛接受。這五大功能是:
⑴故障管理(Fault Management)
故障管理是網路管理中最基本的功能之一。用戶都希望有一個可靠的計算機網路。當網路中某個組成失效時,網路管理器必須迅速查找到故障並及時排除。通常不大可能迅速隔離某個故障,因為網路故障的產生原因往往相當複雜,特別是當故障是由多個網路組成共同引起的。在此情況下,一般先將網路修復,然後再分析網路故障的原因。分析故障原因對於防止類似故障的再發生相當重要。網路故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能: ⑴故障監測:主動探測或被動接收網路上的各種事件信息,並識別出其中與網路和系統故障相關的內容,對其中的關鍵部分保持跟蹤,生成網路故障事件記錄。
(1)故障報警:接收故障監測模塊傳來的報警信息,根據報警策略驅動不同的報警程序,以報警窗口/振鈴(通知一線網路管理人員)或電子郵件(通知決策管理人員)發出網路嚴重故障警報。
(2)故障信息管理:依靠對事件記錄的分析,定義網路故障並生成故障卡片,記錄排除故障的步驟和與故障相關的值班員日誌,構造排錯行動記錄,將事件-故障-日誌構成邏輯上相互關聯的整體,以反映故障產生、變化、消除的整個過程的各個方面。
(3)排錯支持工具:向管理人員提供一系列的實時檢測工具,對被管設備的狀況進行測試並記錄下測試結果以供技術人員分析和排錯;根據已有的排錯經驗和管理員對故障狀態的描述給出對排錯行動的提示。
(4)檢索/分析故障信息:瀏閱並且以關鍵字檢索查詢故障管理系統中所有的資料庫記錄,定期收集故障記錄數據,在此基礎上給出被管網路系統、被管線路設備的可靠性參數。
對網路故障的檢測依據對網路組成部件狀態的監測。不嚴重的簡單故障通常被記錄在錯誤日誌中,並不作特別處理;而嚴重一些的故障則需要通知網路管理器,即所謂的"警報"。一般網路管理器應根據有關信息對警報進行處理,排除故障。當故障比較複雜時,網路管理器應能執行一些診斷測試來辨別故障原因。
⑵計費管理(Accounting Management)
計費管理記錄網路資源的使用,目的是控制和監測網路操作的費用和代價。它對一些公共商業網路尤為重要。它可以估算出用戶使用網路資源可能需要的費用和代價,以及已經使用的資源。網路管理員還可規定用戶可使用的最大費用,從而控制用戶過多佔用和使用網路 資源。這也從另一方面提高了網路的效率。另外,當用戶為了一個通信目的需要使用多個網路中的資源時,計費管理應可計算總計費用。
⑴計費數據採集:計費數據採集是整個計費系統的基礎,但計費數據採集往往受到採集設備硬體與軟體的制約,而且也與進行計費的網路資源有關。
⑵數據管理與數據維護:計費管理人工交互性很強,雖然有很多數據維護系統自動完成,但仍然需要人為管理,包括交納費用的輸入、聯網單位信息維護,以及賬單樣式決定等。
⑶計費政策制定;由於計費政策經常靈活變化,因此實現用戶自由制定輸入計費政策尤其重要。這樣需要一個制定計費政策的友好人機界面和完善的實現計費政策的數據模型。
⑷政策比較與決策支持:計費管理應該提供多套計費政策的數據比較,為政策制訂提供決策依據。
⑸數據分析與費用計算:利用採集的網路資源使用數據,聯網用戶的詳細信息以及計費政策計算網路用戶資源的使用情況,並計算出應交納的費用。
⑹數據查詢:提供給每個網路用戶關於自身使用網路資源情況的詳細信息,網路用戶根據這些信息可以計算、核對自己的收費情況。
⑶配置管理(Configuration Management)
配置管理同樣相當重要。它初始化網路、並配置網路,以使其提供網路服務。配置管理是一組對辨別、定義、控制和監視組成一個通信網路的對象所必要的相關功能,目的是為了 實現某個特定功能或使網路性能達到最優。
⑴配置信息的自動獲取:在一個大型網路中,需要管理的設備是比較多的,如果每個設備的配置信息都完全依靠管理人員的手工輸入,工作量是相當大的,而且還存在出錯的可能性。對於不熟悉網路結構的人員來說,這項工作甚至無法完成‘因此,一個先進的網路管理系統應該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網路結構和配置狀況的情況下,也能通過有關的技術手段來完成對網路的配置和管理。在網路設備的配置信息中,根據獲取手段大致可以分為三類:一類是網路管理協議標準的MIB中定義的配置信息(包括SNMP;和CMIP協議);二類是不在網路管理協議標準中有定義,但是對設備運行比較重要的配置信息;三類就是用於管理的一些輔助信息。
⑵自動配置、自動備份及相關技術:配置信息自動獲取功能相當於從網路設備中“讀”信息,相應的,在網路管理應用中還有大量“寫”信息的需求。同樣根據設置手段對網路配置信息進行分類:一類是可以通過網路管理協議標準中定義的方法(如SNMP中的set服務)進行設置的配置信息;二類是可以通過自動登錄到設備進行配置的信息;三類就是需要修改的管理性配置信息。
⑶配置一致性檢查:在一個大型網路中,由於網路設備眾多,而且由於管理的原因,這些設備很可能不是由同一個管理人員進行配置的。實際上‘即使是同一個管理員對設備進行的配置,也會由於各種原因導致配置一致性問題。因此,對整個網路的配置情況進行一致性檢查是必需的。在網路的配置中,對網路正常運行影響最大的主要是路由器埠配置和路由信息配置,因此,要進行一致性檢查的也主要是這兩類信息。
⑷用戶操作記錄功能:配置系統的安全性是整個網路管理系統安全的核心,因此,必須對用戶進行的每一配置操作進行記錄。在配置管理中,需要對用戶操作進行記錄,並保存下來。管理人員可以隨時查看特定用戶在特定時間內進行的特定配置操作。
⑷性能管理(Performance Management)
性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網路及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網路以維持網路的性能。性能管理收集分析有關被管網路當前狀況的數據信息,並維持和分析性能日誌。一些典型的功能包括:
⑴性能監控:由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內存余量。對於每個被管對象,定時採集性能數據,自動生成性能報告。
⑵閾值控制:可對每一個被管對象的每一條屬性設置閾值,對於特定被管對象的特定屬性,可以針對不同的時間段和性能指標進 行閾值設置。可通過設置閾值檢查開關控制閡值檢查和告警,提供相應的閾值管理和溢出告警機制。
⑶性能分橋:對歷史數據進行分析,統計和整理,計算性能指標,對性能狀況作出判斷,為網路規劃提供參考。
⑷可視化的性能報告:對數據進行掃描和處理,生成性能趨勢曲線,以直觀的圖形反映性能分析的結果。
⑸實時性能監控:提供了一系列實時數據採集;分析和可視化工具,用以對流量、負載、丟包、溫度、內存、延遲等網路設備和線路的性能指標進行實時檢測,可任意設置數據採集間隔。
⑹網路對象性能查詢:可通過列表或按關鍵字檢索被管網路對象及其屬性的性能記錄。
⑸安全管理(Security Management)
安全性一直是網路的薄弱環節之一,而用戶對網路安全的要求又相當高,因此網路安全管理非常重要。網路中主要有以下幾大安全問題:
網路數據的私有性(保護網路數據不被侵 入者非法獲取),
授權(Authentication)(防止侵入者在網路上發送錯誤信息),
訪問控制(控制訪問控制(控制對網路資源的訪問)。
相應的,網路安全管理應包括對授權機制、訪問控制、加密和加密關鍵字的管理,另外還要維護和檢查安全日誌。包括:
網路管理過程中,存儲和傳輸的管理和控制信息對網路的運行和管理至關重要,一旦泄密、被篡改和偽造,將給網路造成災難性的破壞。網路管理本身的安全由以下機制來保證:⑴管理員身份認證,採用基於公開密鑰的證書認證機制;為提高系統效率,對於信任域內(如區域網)的用戶,可以使用簡單口令認證。
⑵管理信息存儲和傳輸的加密與完整性,Web瀏覽器和網路管理伺服器之間採用安全套接字層(SSL)傳輸協議,對管理信息加密傳輸並保證其完整性;內部存儲的機密信息,如登錄口令等,也是經過加密的。
⑶網路管理用戶分組管理與訪問控制,網路管理系統的用戶(即管理員)按任務的不同分成若干用戶組,不同的用戶組中有不同的許可權範圍,對用戶的操作由訪問控制檢查,保證用戶不能越權使用網路管理系統。
⑷系統日誌分析,記錄用戶所有的操作,使系統的操作和對網路對象的修改有據可查,同時也有助於故障的跟蹤與恢復。
網路對象的安全管理有以下功能:
⑴網路資源的訪問控制,通過管理路由器的訪問控制鏈表,完成防火牆的管理功能,即從網路層(1P)和傳輸層(TCP)控制對網路資源的訪問,保護網路內部的設備和應用服務,防止外來的攻擊。
⑵告警事件分析,接收網路對象所發出的告警事件,分析員安全相關的信息(如路由器登錄信息、SNMP認證失敗信息),實時地向管理員告警,並提供歷史安全事件的檢索與分析機制,及時地發現正在進行的攻擊或可疑的攻擊跡象。
⑶主機系統的安全漏洞檢測,實時的監測主機系統的重要服務(如WWW,DNS等)的狀態,提供安全監測工具,以搜索系統可能存在的安全漏洞或安全隱患,並給出彌補的措施。
⑹上網行為管理
小草網管軟體綜合智能動態帶寬保障,伺服器流量分析與保障、虛擬多設備管理等多項突破性技術,涵蓋流量分析、帶寬管理、上網行為管理、DMZ區伺服器管理,專線集中管理、企業級防火牆與路由器、負載均衡等功能,在網路性能、質量、安全等方面為客戶提供完整的解決方案。本產品已獲得各行業客戶的廣泛認可,成為企業網關綜合管理軟體產品第一品牌。
1.企業網關統一管理系統
2. 支持在windows操作系統上安裝與部署
3.安裝與操作簡單易用
4. 流量分析準確
5. 流控效果顯著
6.市場上唯一支持對DMZ區與內網伺服器管理的產品
7. 市場上唯一支持對多條專線統一集中管理的產品
隨著網路的不斷發展,規模增大,複雜性增加,簡單的網路管理技術已不能適應網路迅速發展的要求。以往的網路管理系統往往是廠商在自己的網路系統中開發的專用系統,很難對其他廠商的網路系統、通信設備軟體等進行管理,這種狀況很不適應網路異構互聯的發展趨勢。20世紀80年代初期Internet的出現和發展使人們進一步意識到了這一點。研究開發者們迅速展開了對網路管理的研究,並提出了多種網路管理方案,包括HEMS、SGMP、CMIS/CMIP等。下面進行簡單介紹。
簡單網路管理協議(SNMP)的前身是1987年發布的簡單網關監控協議(SGMP)。SGMP給出了監控網關(OSI第三層路由器)的直接手段,SNMP則是在其基礎上發展而來。最初,SNMP是作為一種可提供最小網路管理功能的臨時方法開發的,它具有以下兩個優點:
⑴與SNMP相關的管理信息結構(SMI)以及管理信息庫(MIB)非常簡單,從而能夠迅速、簡便地實現;
⑵SNMP是建立在SGMP基礎上的,而對於SGMP,人們積累了大量的操作經驗。
SNMP經歷了兩次版本升級,現在的最新版本是SNMPv3。在前兩個版本中SNMP功能都得到了極大的增強,而在最新的版本中,SNMP在安全性方面有了很大的改善,SNMP缺乏安全性的弱點正逐漸得到克服。
公共管理信息服務/公共管理信息協議(CMIS/CMIP)是OSI提供的網路管理協議簇。CMIS定義了每個網路組成部分提供的網路管理服務,這些服務在本質上是很普通的,CMIP則是實現CMIS服務的協議。
OSI網路協議旨在為所有設備在ISO參考模型的每一層提供一個公共網路結構,而CMIS/CMIP正是這樣一個用於所有網路設備的完整網路管理協議簇。
出於通用性的考慮,CMlS/CMIP的功能與結構跟SNMP很不相同,SNMP是按照簡單和易於實現的原則設計的,而CMIS/CMIP則能夠提供支持一個完整網路管理方案所需的功能。
CMIS/CMIP的整體結構是建立在使用ISO網路參考模型的基礎上的,網路管理應用進程使用ISO參考模型中的應用層。也在這層上,公共管理信息服務單元(CMISE)提供了應用程序使用CMIP協議的介面。同時該層還包括了兩個ISO應用協議:聯繫控制服務元素(ACSE)和遠程操作服務元素(RpSE),其中ACSE在應用程序之間建立和關閉聯繫,而ROSE則處理應用之間的請求/響應交互。另外,值得注意的是OSI沒有在應用層之下特別為網路管理定義協議。
公共管理信息服務與協議(CMOT)是在TCP/IP協議簇上實現CMIS服務,這是一種過渡性的解決方案,直到OSI網路管理協議被廣泛採用。 CMIS使用的應用協議並沒有根據CMOT而修改,CMOT仍然依賴於CMISE、ACSE和ROSE協議,這和CMIS/CMIP是一樣的。但是,CMOT並沒有直接使用參考模型中表示層實現,而是要求在表示層中使用另外一個協議--輕量表示協議(LPP),該協提供了目前最普通的兩種傳輸層協議--TCP和UDP的介面。
CMOT的一個致命弱點在於它是一個過渡性的方案,而沒有人會把注意力集中在一個短期方案上。相反,許多重要廠商都加入了SNMP潮流並在其中投入了大量資源。事實上,雖然存在CMOT的定義,但該協議已經很長時間沒有得到任何發展了。
區域網個人管理協議(LMMP)試圖為LAN環境提供一個網路管理方案。LMMP以前被稱為IEEE802邏輯鏈路控制上的公共管理信息服務與協議(CMOL)。由於該協議直接位於IEEE802邏輯鏈路層(LLC)上,它可以不依賴於任何特定的網路層協議進行網路傳輸。由於不要求任何網路層協議,LMMP比CMIS/CMIP或CMOT都易於實現,然而沒有網路層提供路由信息,LMMP信息不能跨越路由器,從而限制了它只能在區域網中發展。但是,跨越區域網傳輸局限的LMMP信息轉換代理可能會克服這一問題。
簡單網路管理協議(SNMP)是最早提出的網路管理協議之一。SNMP已成為網路管理領域中事實上的工業標準,並被廣泛支持和應用,大多數網路管理系統和平台都是基於SNMP的。
一、 SNMP概述
SNMP的前身是簡單網關監控協議(SGMP),用來對通信線路進行管理。隨後,人們對SGMP進行了很大的修改,特別是加入了符合Internet定義的SMI和MIB:體系結構,改進后的協議就是著名的SNMP。SNMP的目標是管理網際網路Internet上眾多廠家生產的軟硬體平台,因此SNMP受Internet標準網路管理框架的影響也很大。SNMP已經出到第三個版本的協議,其功能較以前已經大大地加強和改進了。
SNMP的體系結構是圍繞著以下四個概念和目標進行設計的:保持管理代理(agent)的軟體成本儘可能低;最大限度地保持遠程管理的功能,以便充分利用Internet的網路資源;體系結構必須有擴充的餘地;保持SNMP的獨立性,不依賴於具體的計算機、網關和網路傳輸協議。在最近的改進中,又加入了保證SNMP體系本身安全性的目標。
另外,SNMP中提供了四類管理操作:get操作用來提取特定的網路管理信息;get-next操作通過遍歷活動來提供強大的管理信息提取能力;set操作用來對管理信息進行控制(修改、設置);trap操作用來報告重要的事件。
二、 SNMP管理控制框架與實現
1.SNMP管理控制框架
SNMP模型
SNMP的應用實體對Internet管理信息庫中的管理對象進行操作。一個SNMP應用實體可操作的管理對象子集稱為SNMP MIB授權範圍。SNMP應用實體對授權範圍內管理對象的訪問仍然還有進一步的訪問控制限制,比如只讀、可讀寫等。SNMP體系結構中要求對每個共同體都規定其授權範圍及其對每個對象的訪問方式。記錄這些定義的文件稱為“共同體定義文件”。
SNMP的報文總是源自每個應用實體,報文中包括該應用實體所在的共同體的名字。這種報文在SNMP中稱為“有身份標誌的報文”,共同體名字是在管理進程和管理代理之間交換管理信息報文時使用的。管理信息報文中包括以下兩部分內容:
⑴共同體名,加上發送方的一些標識信息(附加信息),用以驗證發送方確實是共同體中的成員,共同體實際上就是用來實現管理應用實體之間身份鑒別的;
⑵數據,這是兩個管理應用實體之間真正需要交換的信息。
在第三版本前的SNMP中只是實現了簡單的身份鑒別,接收方僅憑共同體名來判定收發雙方是否在同一個共同體中,而前面提到的附加倍息尚未應用。接收方在驗明發送報文的管理代理或管理進程的身份后要對其訪問許可權進行檢查。訪問許可權檢查涉及到以下因素:
⑴一個共同體內各成員可以對哪些對象進行讀寫等管理操作,這些可讀寫對象稱為該共同體的“授權對象”(在授權範圍內);
⑵共同體成員對授權範圍內每個對象定義了訪問模式:只讀或可讀寫;
⑶規定授權範圍內每個管理對象(類)可進行的操作(包括get,get-next,set和trap);
⑷管理信息庫(MIB)對每個對象的訪問方式限制(如MIB中可以規定哪些對象只能讀而不能寫等)。
管理代理通過上述預先定義的訪問模式和許可權來決定共同體中其他成員要求的管理對象訪問(操作)是否允許。共同體概念同樣適用於轉換代理(Proxy Agent),只不過轉換代理中包含的對象主要是其他設備的內容。
2.SNMP實現方式為了提供遍歷管理信息庫的手段,SNMP在其MIB中採用了樹狀命名方法對每個管理對象實例命名。每個對象實例的名字都由對象類名字加上一個後綴構成。對象類的名字是不會相互重複的,因而不同對象類的對象實例之間也少有重名的危險。
在共同體的定義中一般要規定該共同體授權的管理對象範圍,相應地也就規定了哪些對象實例是該共同體的“管轄範圍”,據此,共同體的定義可以想象為一個多叉樹,以詞典序提供了遍歷所有管理對象實例的手段。有了這個手段,SNMP就可以使用Get-next操作符,順序地從一個對象找到下一個對象。Get-next(Object-instance)操作返回的結果是一個對象實例標識符及其相關信息,該對象實例在上面的多叉樹中緊排在指定標識符;Bject-instance對象的後面。這種手段的優點在於,即使不知道管理對象實例的具體名字,管理系統也能逐個地找到它,並提取到它的有關信息。遍歷所有管理對象的過程可以從第一個對象實例開始(這個實例一定要給出),然後逐次使用Get-next,直到返回一個差錯(表示不存在的管理對象實例)結束(完成遍歷)。
由於信息是以表格形式(一種數據結構)存放的,在SNMP的管理概念中,把所有表格都視為子樹,其中一張表格(及其名字)是相應子樹的根節點,每個列是根下面的子節點,一列中的每個行則是該列節點下面的子節點,並且是子樹的葉節點,如下圖所示。因此,按照前面的子樹遍歷思路,對錶格的遍歷是先訪問第一列的所有元素,再訪問第二列的所有元素……,直到最後一個元素。若試圖得到最後一個元素的“下一個”元素,則返回差錯標記。
網路迅速發展,導致網路結構更為複雜;網路應用的日新月異,讓網路管理員每天都要面對新的問題。很多企事業單位,在遇到網路問題不知道應該如何去解決,看流量,拔網線等手段,排查周期長,也很難真正找出問題。
網路發展到一定階段,必然要考慮到網路性能、網路故障與網路安全性問題。只有通過運用網路分析技術對網路流通數據的清晰認識,才能為故障的排查,性能的提升,以及網路安全的解決提供可靠的數據依據。
信息應用與治理
網路最大的價值,是在於信息化的應用。當出現故障不能及時解決,即使有再好的電子商務、電子政務,也只是一個擺設。無論是安全、性能還是故障性問題,不能快速解決,給企業帶來的是難以衡量的損失。
治理並不是簡單的網路管理,它需要管理者對網路中所有設備完全掌握,包括每個網卡地址,以及所處的位置。通過對網路傳輸中的數據進行全面監控分析,才能從網路底層數據獲取各種網路應用行為造成的網路問題,並快速的定位到網卡的位置。從而在安全策略上更好的防範,對故障和性能更合理的管理。
一勞永逸的誤區
從管理角度的考慮,往往期望絡故障和安全性問題可以自動解決。但歷經多年,沒有任何產品能做到。雖然許多企業部署了非常好的安全防護產品,但仍然會受到網路攻擊和病毒危害。根本原因在於,網路應用本身就在不斷的發展,新的病毒以及病毒變種,都很難被基於特徵庫或病毒庫的產品所識別。要解決這些問題,則要求網路管理員隨時都能查看到網路中真實的數據,最快的發現引起問題的原因。
網路拓撲圖VS矩陣圖
網路拓撲圖
"診斷專家"快速提高解決能力
網路分析不僅提供網路依據,更重要的是幫助管理者提高問題的解決能力。"診斷專家"則是一個從問題原因到問題結果的完整解釋。好的網路分析產品,可以自動提取問題的相關數據,並告訴管理者網路中存在有哪些問題,可能產生的原因,有什麼辦法可以解決,ARP攻擊的快速定位則是一個很好的證明。
網路數據的回放能力
好的網路分析產品,都具有網路數據的回放能力,將網路數據進行7x24小時記錄,可以按每天或每小時來記錄。如果要分析昨天某個時段出現的網路故障,只需要將當時保存的數據包進行播放,同時通過網路分析來追溯故障是如何發生的,使網路管理對歷史問題追查能力得到明顯提高。
區域網網路流量控制與管理辦法
1、區域網網路流量監控方法
網路流量監控的主要目的是對網路進行管理,其過程一般是:一、實時、不間斷地採集網路數據。二、統計、分析所得數據。三、確認網路的主要性能指標。四、對網路進行分析管理。網路流量監控的方法主要有兩種,一種是使用網路監控設備,另一種是使用網路流量監控軟體。當前的區域網網路設備對於P2P這種模式沒有很好的管理效果,導致P2P軟體大行其道,佔用了極多的帶寬資源。當前,以下幾種網路流量最為常見:
(1)P2P流量:P2P文件共享在網路帶寬消耗方面是大戶,夜間,有95%的網路帶寬被P2P佔用。
(2)FTP流量:FTP這項服務的應用比較早,且重要程度只比HTTP和SMTP稍低。P2P的出現,FTP的重要性再次降低,但其重要性仍然不可忽視。
...
2、區域網流量控制與管理策略
2.1 通過路由控制流量
2.2 禁止P2P下載
2.3 進行時間段管理
2.4 限定區域網主機速度
3、區域網流量異常發現與處理
3.1 找出流量過大的電腦
3.2 對異常主機發出警告
傳統的區域網管理主要針對一定範圍的區域網路,在這樣的區域網路中包括的主要管理對象有:伺服器、客戶機、客戶端PC機各種網路線路與集線器以及各種網路操作系統。由於在這樣規模的區域網中,網路管理的對象有限,網路管理一般包括三個方面:了解網路,網路運行以及網路維護。1.了解網路
要管好一個區域網,就必須對該區域網有清楚的了解。對該網路的清晰了解以及對各種網路信息的資料化管理記錄,是保證網路正常運轉以及進行各種網路維護的前提與基礎。 ⑴識別網路對象的硬體情況:區域網是由各種節點組成,這樣的節點主要是伺服器和客戶機,因此首先需要識別這些節點的硬體組成。硬體識別包括了解伺服器和客戶機的品牌、它們的晶元速率、網卡品牌與配置情況,以及集線器的型號與品牌,這樣就可以了解區域網中硬體設備的提供商並對硬體設備所能達到的性能有大體的了解。另外,對伺服器的硬體還必須有進一步的了解,包括伺服器的外設配置情況、硬碟驅動器的容量以及內存大小等。
⑵判別區域網的拓撲結構:了解了網路中的關鍵部件之後需要進一步了解它們是如何連接運行的,即網路結構下的實際布線系統。常見的三種布線的拓撲結構是星形、匯流排和環型拓撲結構,另外也有無線和點對點的拓撲結構,但不常用。在了解區域網的布線結構后,針對每種結構各自的優缺點,應注意其將導致的性能與故障差異。然後需要了解的是實現網路傳輸的方式。常用的網路傳輸方式是Ethernet,它是一種支持廣泛的傳輸協議以及多種布線形式的成熟標準。Ethernet是非確定型的,網路傳送任務越重,越有可能發生衝突,而衝突將導致影響響應時間。所以網路上有大量活動節點時性能就會大大降低,如果Ethernet集線器上總是出現衝突信號的話,在熟悉網路布局后可能就得重新考慮分佈網路上的用戶。Ethernet的纜線包括:粗纜Ethernet,或叫10Base5 Ethernet,使用大號的同軸電纜;細纜Ethernet,也叫10Base2Ethernet,使用小口徑的RG-58同軸電纜;10BaseTEthernet,在星形結構中使用非屏蔽雙絞線。對於採用Ethernet方式的區域網,網路管理員不僅要清楚Ethernet的原理,還必須了解組網所用的Ethernet纜線和插頭以及它們的特點,這樣在網路出現故障時可以幫助故障點的尋找與排除。除了Ethernet之外,其他的網路傳輸方式還有標記環(Token Ring)、光纖分佈數據介面(FDDl)以及ARCNet等。了解區域網使用的傳輸方式是區域網管理的基本條件之一。
⑶確定網路的互聯:首先需要確定網路連接的設備和接入網路的方式。這些設備與接入方式包括:使用數據機(Modem),使用網路插座,使用CSU/DSU連接,使用網橋工作,使用路由器,使用網關。這些接入設備對於保證網路節點的連通以及該區域網與主幹網連通有著重要作用,同時也是網路故障多發的故障點和影響網路性能的可能瓶頸所在。另一方面,還需要在網路伺服器或其他網路設備上確定該區域網的所有子網和各客戶機都能連通,並記錄下網路中各子網以及客戶機的IP地址分配。
⑷確定用戶負載和定位:網路負載最重要的方面是用戶的分佈,因為每一網路和伺服器上的用戶數量是影響網路性能的關鍵因素,因此確定網路上有多少用戶以及他們各自的定位尤其重要。首先,查看文件伺服器上的負載,了解文件伺服器正常運行的時間,查看伺服器CPU的使用率,以及伺服器上網路連接的數目,這些數據提供了網路負載的直接數據;然後,利用這些數據分析眾多伺服器中哪個使用率最高,哪些網路的負擔最重,最後對網路用戶以及負載分佈情況有個大致的了解。
2.網路運行
要使一個區域網順利運轉必須完成很多工作,這些工作包括:配置網路,即選擇網路操作系統,選擇網路連接協議,並根據選擇的網路協議配置客戶機的網路軟體;然後配置網路伺服器及網路的外圍設備,做好網路意外預防處理;最後還有網路安全管理、網路用戶許可權分配以及病毒的預防與處理。
⑴配置網路;配置網路就要選擇網路操作系統。傳統的網路操作系統包括UNIX,Windows NT,NetWare,VINES,Windows for Workgroups,LANtastic,PersonaI Net-Ware等,這些網路操作系統有各自的特點,相對而言,在局域兩中WindowsNT和Net-Ware比較普遍。NT最大的優勢在於價格和支撐其發展的巨頭Microsoft。NT支持IPX和TCP/IP,因此在大多數網路環境中受到歡迎,另外,其安全性和網路管理功能也不錯在硬體完全兼容時安裝也比較方便。在現有網路中,大約70%的網路操作系統採用了Novell公司的NetWare系列。NetWare是一種快速而可靠的操作系統,十分類似於DOS,它對多種網路協議和多種客戶機操作系統有著完善的支持,其兼容性和模塊化設計也使它領先於其它系統。
選擇網路協議也是配置網路的重要組成部分。現在流行的區域網網路協議包括IPX/SPX、TCP/IP、NETBIOS、NetBEUI和AppleTalk等。比較普遍的協議是IPX/SPX和TCP/IP,其中IPX/SPX是NetWare所採用的數據傳輸方式,在區域網中使用非常普遍;TCP/IP是面向Internet所使用的網路協議,具有廣泛的影響力。
在確定了網路操作系統和網路協議之後,需要配置該網路中每台客戶機的網路軟體。在DOS平台上,一般是安裝相應網路協議的網路驅動軟體,然後修改一些配置文件中的參數;在GUI的操作系統(例如Windows系列、Macintosh和OS2)中,則選擇相應的對話框窗口配置網路參數;在UNIX系統中,主要靠修改系統配置文件來配置網路。
⑵配置網路伺服器:在區域網中,伺服器往往具有重要作用,一個配置良好的伺服器可以順利保障網路的運行。首先是在伺服器上用磁碟和卷根據內容的性質與空間大小分配來劃分工作,這樣可以把不同的程序和數據按照一種順序存放在磁碟中,而卷的使用不僅可以按一定的層次存放數據,而且可以控制用戶的訪問權,然後在伺服器上啟動網路服務進程,監測網路用戶的訪問。還有一些外圍設備,比如共享印表機、共享外接磁碟或驅動器等,這些設備在伺服器上都應正確配置。
最後還應該注意的是預防網路意外發生,首先是保證電源(特別是網路伺服器的電源),一般的方式是配置UPS應急電源;然後是保證伺服器的環境狀況(比如維持機房的溫度與濕度在一定的範圍);最後是做好重要數據和系統的備份工作。備份的硬體設備包括硬碟陣列和磁帶、光碟驅動器等,備份的方法很多,常用的是磁碟鏡像、磁碟雙工或磁碟陣列等。在進行備份時一定要做好詳細記錄,對備份內容進行分類並做標記。
⑶網路安全控制:網路安全控制的首要任務是管理用戶註冊和訪問許可權。在區域網上,網路操作系統一般都提供用戶管理和許可權分配的工具。對於區域網內,部用戶,利用這些工具可以檢查和設置用戶信息、進行賬號限制,例如改變賬號密碼、設置組、確定組中的賬號、修改組或賬號的許可權、設定賬號有效時間等等。定時對網路當前訪問情況進行檢查並做好記錄,及時發現異常情況。另外,管理區域網外部許可權和連接也很重要,一般區域網外部用戶可能會訪問該區域網,如查看已有文件、傳遞他們的文件或使用其他網路資源,因此對這種用戶也需要建立賬號,但應根據其使用網路的目的詳細控制其訪問許可權,然後定期檢查哪些用戶沒有註冊,對一些不再需要的賬號及時註銷。
病毒對區域網的危害非常嚴重,一種網路病毒可以通過網路迅速地傳染到區域網的每一台客戶機,因此及時發現並殺死病毒至關重要。有多種不同的方法可以識別病毒:在文件級上,用CRC技術可以將預期的文件大小或其他特徵與文件被打開之前所看到的實際特徵進行比較;最常用的方法是對文件進行掃描,發現已知病毒的標誌、代碼,從而辨認出每一種病毒的變形。一旦發現病毒,當然就要清除它。利用一些殺毒軟體可以殺死病毒恢復原來的文件。另一種方法是刪除有病毒的文件,然後用備份的無病毒文件替代。另外還必須對受病毒感染的伺服器上的各卷進行掃描,如果在網路伺服器之間或客戶機之間存在通信聯絡,還必須去掃描其他系統。確定適當的持續的病毒防護是避免病毒侵害的最有效方法,這樣的防護包括:建立和增強反病毒規則和程序;在客戶機上安裝和更新反病毒軟體;安裝基於網路的反病毒軟體。
3.網路維護
網路維護是保障網路正常運行的重要方面,主要包括故障檢測與排除、網路日常檢查及網路升級。
⑴常見網路的故障和修復:在區域網中,最重要的故障檢測工作是文件伺服器的維護。只要伺服器正常工作,集中存儲的數據就是安全的,用戶可以在需要時訪問這些數據。當然,網路連接設備應保證用戶能持續工作,而客戶機本身也應能正常工作。
故障處理過程有四個主要部分:發現故障跡象,追蹤故障的根源,排除故障,記錄故障的解決方法。網路故障處理經常需要進行大量的調查研究,但相對而言只有很少的問題是真正比較複雜的。常見的情況是,故障的解決方法是很簡單的,只不過被其他問題或不完全的信息掩蓋了。在處理故障期間,可以參考圖1中的流程圖,以確保能對網路故障進行邏輯的和有條理的分析。
當網路管理人員收到故障報告時,首先應該檢查別的用戶是否也遇到同一問題,如果有多個用戶報告了同類問題,那麼很可能是出現了伺服器或纜線故障,而不是用戶客戶機所引起的故障。
排除文件伺服器上的錯誤非常關鍵,因為它通常會影響到很多用戶,因此首先要對伺服器進行認真檢查:伺服器是否在運行?監視器是否顯示信息?伺服器是否響應鍵盤輸入? 伺服器控制台是否顯示異常終止或其他信息?伺服器NIC(網路適配器)是否發送和接收數據? 伺服器的卷是否己安裝?
文件伺服器通常是十分穩定的,但它們也特別容易出現三種類型的故障:第一類故障並不是網路操作系統本身的錯誤,而是由於配置的更改造成的,因此無論何時改變網路操作系統的配置都必須備份以前的配置並記錄更改日期;第二類故障是部件失效,雖然NIC和磁碟失效是最為常見的,但從鍵盤埠到SIMM的任何部件都可能會發生故障,甚至在高品質伺服器上也無法避免;第三類故障是伺服器的軟體模塊引發的系統衝突故障,比如磁碟驅動程序或LAN驅動程序引發的內存故障等。
當伺服器故障檢查各方面都沒有問題時,引起大量用戶訪問故障的問題很可能出現在網路纜線系統上。如果故障網路採用的是匯流排拓撲結構,那麼故障檢測工作可能會比較繁重;對於星形結構,則應檢查集線器或MAU是否通電並能正常運行。如果連接設備本身運行良好,可檢查它們與伺服器的物理連接。一般而言,對於物理網路,電纜和按插件老化、電磁干擾、電纜長度限制是最常見的物理網路故障源;連接設備,如接插板、集線器和路由器也是故障多發點。
⑵網路檢查:網路檢查是在網路正常運轉情況下對伺服器狀態和網路運行情況的動態信息收集和分析的過程。有些數據最好每天檢查一次,而有些數據則較長時間檢查一次即可。下面列出一些需要定期檢查的網路關鍵信息:
頻率 活 動 | 頻率 活 動 |
每日 檢查各伺服器的卷空間 | 每日 去除舊用戶 |
每日 列出前一天創建的文體 | 每月 檢查用戶賬號安全性 |
每日 找出可被存檔/刪除的舊文件 | 每月 確保備份的完整性 |
每日 檢查備份的執行情況 | 每月 更伺服器模塊 |
每日 檢查伺服器錯誤記錄文件 | 每月 更新客戶文件 |
⑶網路升級:網路升級是一個持續的過程,它需要考慮一些財務和預算因素。一般在網路管理中需要考慮的是必須進行的升級,這些升級能夠保證網路正常運轉。雖然網路操作系統的升級通常是最迫切的,但硬體和軟體也可能需要升級。
伺服器升級是最重要的。必須的伺服器升級有三種:最簡單的是用戶許可證升級,如果網路伺服器的能力已達到最大限度,並需要容納更多的用戶,就需要進行許可證升級;另二種伺服器升級是網路操作系統的升級,如果使用的是過時的或有故障的網路操作系統,就應該升級為最新的版本;第三種伺服器升級所指的範圍相對來說要廣泛一些,主要指硬體升級,硬體升級可能包括增加磁碟空間、改進容錯措施或系統升級。另外,客戶軟體的升級有時也是很必要的,因為舊客戶軟體對於網路操作系統可能是一種沉重的負擔。
在確定了最重要的升級之後,應決定需要購買的產品,並對升級費用進行評估,然後制定實施升級的工作步驟,最後應從成本和效益兩方面總結新配置的優點。
提升國內網路管理的整體水平
相比海外而言,國內的網路管理起步較晚,用戶的管理水平也不及海外。科來積極的將此項技術應用於網路 故障解決、網路性能提升與網路安全防護,旨在提升國內的網路管理水平,縮短與國外的差距,幫助用戶實 現對其網路的全可視化,透過網路現象看到本質,真正的駕馭自己的網路。
幫助網路管理者精細化網路管理
網路分析技術是網路管理的關鍵,是網路進入深層次管理的必備技術,網路分析技術的普及也是必然趨勢,科來積極幫助用戶建立在此項技術上的深入認知!在官網推出免費版本的軟體供廣大技術愛好者交流使用,同時有針對性的提供大量的技術學習文檔和視頻資料,並組織力量在相關論壇解答用戶的疑問及分享資源,旨在推動該項技術在國內的普及程度,讓用戶切實的接觸到先進的網路管理技術。
網路管理員
網路管理員主要針對目前國內機關,企事業單位的網路應用現狀,如單位總出口帶寬有限、網路濫用、員工無節制上網、聊天等等,提供了簡單、有效的管理功能。
網盾netsos3.0
網盾netsos是一款模塊化架構的區域網管理軟體,共包含12項強大的功能。根據實際需求,按需取用保證IT投資回報率。
網路管理和維護是一項非常複雜的任務,雖然關於網路管理既制訂了國際標準,又存在眾多網路管理的平台與系統,但要真正做好網路管理的工作不是一件簡單的事情。下面我們將介紹網路技術發展下一些新形式的網路管理,以及在長期網路管理實踐基礎上總結出來的一些網路管理經驗。
VLAN(虛擬區域網)就是一個計算機網路,其中的計算機好像是被同一網線連接在一起,而實際上它們可能分處於區域網的不同區域。VLAN更多的是通過軟體而非硬體來實現,因此這使得它具有很高的靈活性。VlAN的一個主要特性就是提供了更多的管理控制,減少了相對日常管理開銷,提供了更大的配置靈活性。
VLAN管理
VLAN的配置如果根據交換機埠定義VLAN,通常很容易用某種拖放軟體把一個或多個用戶分配到特定的VLAN。在非交換環境里,移動、添加或更改操作很麻煩,有可能要改動接線板上的跳線充一個集線器埠移動到另一個埠。然而,改動VLAN分配仍然要靠人工進行:在大型網路里,這樣做很費時,因而很多聯網供應商鼓吹採用VLAN可以簡化移動、添加和更改操作。
基於MAC地址的VLAN分配方案確實可使某些移動、添加和更改操作自動化。如果用戶根據MAC地址被分配到一個VLAN或多個VLAN,他們的計算機可以連接交換網路的任何一個埠,所有通信量均能正確無誤地到達目的地。顯然,管理員要進行VLAN初始分配,但用戶移動到不同的物理連接不需要在管理控制台進行人工干預;例如有很多移動用戶的站,他們並非總是連接同一埠――或許因為辦公室都是臨時性的,採用基於MAC地址的VLAN可避免很多麻煩。
傳統的Layer3技術怎麼樣呢?這裡離開VLAN最近的是IP子網:每個子網需要一個路由器埠,因為通信量只能通過一個路由器從一個子網移動到另一個子網。由於IP32位地址提供的地址空間很有限,所以很難分配子網地址,還有看你是否熟悉二進位演演算法。因此,在IP網路里執行移動、添加和更改操作很困難,速度慢,容易出錯,而且費用大。另外,在公司更換I 或者採用新安全策略時,可能有必要重新編號網路,這對於大型網路來說是無法想像的。
實際上,如果有人採用現有的有子網的路由IP網路,並根據IP地址訪問任意VLAN成員,路由器就可能會被不必要的通信量淹沒。
如果很多子網裡都有VALN成員,常用的VLAN廣播必須通過路由器才能達到所有成員。此外,糟糕的是廣域鏈路會生成額外廣播通信量;有WAN連接服務的VLAN成員數通常應該保持在最低水平。實際上,基於Layer3地址的VLAN成員值有可能在增強和修改現有子網分佈方面很有用,例如可通過一個全子網給VLAN添加兩個新節點,或者可用兩個子網組成一個VLAN而無須重新編號。
Cabletron的SecureFast Virtual Networking Layer3交換技術採用路由伺服器模型而不是傳統的路由選擇模型。第一個信息包傳送到路由伺服器進行常規路由計算,但交換機能記憶路徑,因而後續信息包可在Layer2交換,而無須查對路由表。由於有了基於純Layer3地址的VLAN,所以IP地址可以作為通用網路ID,允許任何人連接任何數據鏈路,從而獲得全網路訪問,大大簡化移動、添加和更改任務。
但是,還有其他方法解決IP子網引起的管理問題。DHCP(動態主機配置協議)已經在連接時給用戶分配地址的其他技術,都可用於解決上述問題。
WAN接入管理
⑵聯網用戶需要向地區網路中心申請一段屬於自己的IP地址,然後在全國網路中心註冊域名。
⑶對於接入的聯網用戶,一般都要向地區性網路中心一次性交納一筆接入費用,然後地區網路中心再對該用戶進行網路接入的相關配置。
⑷在聯網用戶端也需要進行相應的配置,然後開通該用戶的網路連接,最後聯網用戶需要根據其使用網路資源的流量交納網路費用。
在上面的操作中可以看到,地區網路中心對新聯網用戶的接人需要進行相應的配置,這些配置操作一般包括:
⑴在接入路由器上,選擇一個空閑埠,在該埠上進行相應的配置,然後再根據接人的拓撲關係,配置該埠的路由信息。
⑵在接入路由器上,根據用戶的IP地址範圍建立一個Access-1ist組,一旦用戶要求或其他情況(如用戶沒有按規定交納費用等)發生時,可以立即斷掉該用戶的網路連接。
⑶把該路由器埠和連接聯網用戶的線路加入網路管理監視對象集,以保障提供給用戶可靠、穩定的網路接人服務。