隨著設備的增多,網絡規(guī)模的擴大,網絡管理的負擔也在進一步加重。作為一個單位的網絡管理員,你是否經常遭遇這樣的問題:單位網絡出故障了,你忙得焦頭爛額,卻一點頭緒也沒有,原因是,雖然你單位網絡的架構早已完成,可是由于歷史原因,網絡組建早,仍有很多地方并不合理,例如:安全-漏洞百出,網線-雜亂無章,設備-品牌眾多,管理-混亂一團糟。面對這些復雜的情況,如何搞好病毒的防范、作好業(yè)務的升級......已成為令網絡管理員十分頭疼的問題,你應該如何入手呢? 隨著企業(yè)業(yè)務變得越來越富有挑戰(zhàn)性,信息技術領域的工作也變得越來越復雜。要管理由各種LAN、Intranet和Extranet構成的混合網絡,網絡管理員如何優(yōu)化設備和網絡配置,使網絡系統充分發(fā)揮優(yōu)勢,是今天網絡管理員們正面臨的一項艱巨任務。網絡管理是一個關鍵環(huán)節(jié),網絡管理的質量也會直接影響網絡的運行效率。因此,計算機系統有一定規(guī)模并連網的企業(yè),就有網管的需求,尤其是辦公地點分布于各處的企業(yè),有了網管系統為網絡把脈,就可查看全網的網絡連接關系,實時監(jiān)控各種網絡設備可能出現的問題,檢測網絡性能瓶頸出在何處,并進行自動處理或遠程修復,實現高效的網絡管理,促進網絡的高效運轉。 一、網絡管理的概念伴隨著網絡業(yè)務和應用的豐富,對計算機網絡的管理與維護也就變得至關重要。 網絡管理是計算機網絡的關鍵技術之一,尤其在大型計算機網絡中更是如此。網絡管理就是指監(jiān)督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續(xù)正常運行,并在計算機網絡運行出現異常時能及時響應和排除故障。 關于網絡管理的定義目前很多,但都不夠權威。一般來說,網絡管理就是通過某種方式對網絡進行管理,使網絡能正常高效地運行。其目的很明確,就是使網絡中的資源能夠得到更加有效的利用,當網絡出現故障時能及時報告和處理,并協調、保持網絡系統的高效運行等。國際標準化組織(ISO)在ISO/IEC7498-4中定義并描述了開放系統互連(OSI)管理的術語和概念,提出了一個OSI管理的結構并描述了OSI管理應有的行為。它認為,開放系統互連管理是指這樣一些功能,它們控制、協調、監(jiān)視OSI環(huán)境下的一些資源,這些資源保證OSI環(huán)境下的通信。通常對一個網絡管理系統需要定義以下內容: ●系統的結構。即網絡管理系統的結構是怎樣的。 ●網絡資源的表示。網絡管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。而一個網絡管理系統必須在系統中將它們表示出來,才能對其進行管理。 ●網絡管理信息的表示。網絡管理系統對網絡的管理主要靠系統中網絡管理信息的傳遞來實現。網絡管理信息應如何表示、怎樣傳遞、傳送的協議是什么?這都是一個網絡管理系統必須考慮的問題。 二、網絡管理和網管軟件的分類及功能事實上,網絡管理技術是伴隨著計算機、網絡和通信技術的發(fā)展而發(fā)展的,二者相輔相成。 從網絡管理范疇來分類,可分為對網"路"的管理。即針對交換機、路由器等主干網絡進行管理;對接入設備的管理,即對內部PC、服務器、交換機等進行管理;對行為的管理。即針對用戶的使用進行管理;對資產的管理,即統計IT軟硬件的信息等。根據網管軟件的發(fā)展歷史,可以將網管軟件劃分為三代: 第一代網管軟件就是最常用的命令行方式,并結合一些簡單的網絡監(jiān)測工具,它不僅要求使用者精通網絡的原理及概念,還要求使用者了解不同廠商的不同網絡設備的配置方法。 第二代網管軟件有著良好的圖形化界面。用戶無須過多了解設備的配置方法,就能圖形化地對多臺設備同時進行配置和監(jiān)控。大大提高了工作效率,但仍然存在由于人為因素造成的設備功能使用不全面或不正確的問題,容易引發(fā)誤操作。 第三代網管軟件相對來說比較智能,是真正將網絡和管理進行有機結合的軟件系統,具有"自動配置"和"自動調整"功能。對網管人員來說,只要把用戶情況、設備情況以及用戶與網絡資源之間的分配關系輸入網管系統,系統就能自動地建立圖形化的人員與網絡的配置關系,并自動鑒別用戶身份,分配用戶所需的資源(如電子郵件、Web、文檔服務等)。 根據國際標準化組織定義網絡管理有五大功能:故障管理、配置管理、性能管理、安全管理、計費管理。對網絡管理軟件產品功能的不同,又可細分為五類,即網絡故障管理軟件,網絡配置管理軟件,網絡性能管理軟件,網絡服務/安全管理軟件,網絡計費管理軟件。 下面簡單介紹一下網絡故障管理、網絡配置管理、網絡性能管理、網絡計費管理和網絡安全管理五個方面網絡管理功能: ●網絡故障管理計算機網絡服務發(fā)生意外中斷是常見的,這種意外中斷在某些重要的時候可能會對社會或生產帶來很大的影響。但是,與單計算機系統不同的是,在大型計算機網絡中,當發(fā)生失效故障時,往往不能輕易、具體地確定故障所在的準確位置,而需要相關技術上的支持。因此,需要有一個故障管理系統,科學地管理網絡發(fā)生的所有故障,并記錄每個故障的產生及相關信息,最后確定并改正那些故障,保證網絡能提供連續(xù)可靠的服務。 ●網絡性能管理由于網絡資源的有限性,因此最理想的是在使用最少的網絡資源和具有最小通信費用的前提下,網絡提供持續(xù)、可靠的通信能力,并使網絡資源的使用達到最優(yōu)化的程度。 ●網絡計費管理當計算機網絡系統中的信息資源是有償使用的情況下,需要能夠記錄和統計哪些用戶利用哪條通信線路傳輸了多少信息,以及做的是什么工作等。在非商業(yè)化的網絡上,仍然需要統計各條線路工作的繁閑情況和不同資源的利用情況,以供決策參考。 ●網絡安全管理計算機網絡系統的特點決定了網絡本身安全的固有脆弱性,因此要確保網絡資源不被非法使用,確保網絡管理系統本身不被未經授公的訪問,以及網絡管理信息的機密性和完整性。 三、網絡管理的內容實際上,網絡管理的歷史已經相當久遠了。 從電信管理的角度看,自從有了電話交換網,就有了對通信網絡的管理,只不過那時的技術自動化程度還不高。對計算機網絡的管理,是與Internet的發(fā)展同步的,到了八十年代,隨著一系列網絡管理標準的出臺,出現了大量的商用系統。隨著網絡的發(fā)展,規(guī)模逐漸增大,復雜性增加,網絡管理技術也得到了迅速的發(fā)展。 一般說來,網絡管理就是通過某種方式對網絡狀態(tài)進行調整,使網絡能正常、高效地運行。其目的很明確,就是使網絡中的各種資源得到更加高效的利用,當網絡出現故障時,能及時作出報告和處理,并協調、保持網絡的高效運行等。 從實際應用的角度出發(fā),網管的主要內容包括: 拓撲管理:自動發(fā)現網絡內的所有設備(包括三層的設備和二層的設備),能夠正確地產生拓撲結構圖并自動更新。 故障管理:將所有網絡設備的故障相互聯系起來,對故障進行隔離并采取恢復措施。 配置管理:提供跟蹤變化的能力,為網絡上的所有設備配置、安裝和分配軟件。 性能管理:提供一個連續(xù)的、可從中監(jiān)視網絡性能和資源位置。 服務級別管理:在用戶與服務提供者之間定義服務級別協議,并檢查用戶所要求的服務是否被滿足。 幫助臺:設立呼叫受理中心,接受來自用戶的故障報告以及自動發(fā)現網絡的故障,經過特定的程序解決故障。 現代計算機網絡管理系統主要由四個要素組成:若干被管的代理;至少一個網絡管理器;一種公共網絡管理協議;一種或多種管理信息庫。其中,網絡管理協議是最重要的部分。當前,有兩種網絡管理協議在計算機網絡管理中占主導地位,一種是開放系統互連組織(OSI)提出的公共管理信息及協議(CMIS/CMIP),另一種是Internet工程任務組(IETF)提出的簡單網管協議(SNMP)。其實這兩種協議分別對應了兩種不同的管理方案,OSI提出的方案定義了故障管理、配置管理、計費管理、性能管理和安全管理這五個網管的功能域,對管理的框架、管理信息的定義、對象的屬性與行為等都有詳細的定義,OSI的方案雖然功能詳盡,但實現起來過于復雜,在實際應用中沒有得到太多廠家的支持。另一方面,IETF指定的SNMP協議顯得簡單實用,因而被迅速地推廣開來,得到了廣泛的支持。 ● 合理規(guī)劃網絡系統結構是網絡管理的基礎 通過對網絡系統不合理結構地一系列改造,如改變網絡結構(內外網分開)拓寬網絡帶寬,添加網絡設備(網管交換機),統一網絡產品品牌,重新劃分網絡,對機房網線重新布置等。這樣就保證了網絡系統的安全而高效。從此你就不必為網絡的維護而煩惱了。 ● 好用、實用的集成化幫助平臺是網絡管理的良好助手 目前比較好的著名的網管服務臺系統如OpenView, CA Unicenter,只是在國內的實際應用中,普遍沒有受到重視,在網管系統發(fā)現故障后,大部分的故障處理還是需要手工完成的,在這個過程中,并沒有一個有效的機制來監(jiān)督、考核故障的處理效率。其實,這是跟運營機制密切相關的,在松散的管理方式下,對網絡故障的處理也不可能是高效的。另一方面,由于文化、體制方面的不同,國外的產品拿到國內來使用,需要進行繁瑣的定制,這也是服務臺系統沒有很好推廣的原因。目前,報警處理流程逐漸明確,接警人員和網管工程師的分工日益精細,軟件廠商推出的幫助服務臺軟件也具有更方便、靈活的定制功能,使幫助服務臺系統的工作走上正規(guī)化和規(guī)范化。 ● 提早發(fā)現潛在問題,防患于未然 應使網管軟件能夠優(yōu)先"發(fā)現"網絡的所有設備,并繪制一份"地圖"。為網絡的物理設備和鏈接創(chuàng)建一個精確的圖像或地圖,有利于加快故障檢修時間和解決問題。新型的網絡管理應用軟件能夠自動生成這種地圖,并能發(fā)現各類設備和鏈接的詳細特征,例如速度、彈性和冗余性等。部分應用軟件還能突出顯示網絡設備的移動、增加和變化等情況。網絡管理員應該使用能提前發(fā)現和校正潛在問題的網管工具,以便防患于未然。新一代的系統允許網絡管理員為關鍵設備設置缺省值,一旦超過這些缺省值,系統將會自動報警,從而避免了用戶停機。有些系統還能自動識別網絡配置錯誤或優(yōu)化性能,并以明顯的方式告知網絡管理員。 ● 快速準確地定位網絡故障根源是網絡管理的有力保證 使用智能工具找到產生網絡問題的根源。從過去存在的問題看,網絡可能發(fā)生了十個問題,但只有一個問題是根源,其被解決后,其他問題就會迎刃而解。因此,網絡管理軟件應該能夠高效地發(fā)現問題的根源。在通常的故障處理中,網絡中某處如果發(fā)生了故障,通常會出現大量的警報,而一些重要的故障和性能報警,不易引起網管人員的充分重視。這可以通過設置不同的報警優(yōu)先級來解決。但更重要的是,應該有良好的事件關聯機制,可以刪除不必要的和無意義的信息,標識出故障的起因,只將影響關鍵業(yè)務的信息提交給IT管理人員,從而提高網管人員的工作效率,還能大幅度降低網絡的擁塞。 ● 選擇符合標準協議、易于使用的網管方案,減小復雜性和成本 應保證網絡的所有設備都支持工業(yè)標準協議,以便不同的設備之間可以實現暢通無阻的通信。由于使用專用產品需購買價格更高的附加產品,所以如果繼續(xù)使用專用軟件包,將會造成損失慘重的錯誤,并為企業(yè)帶來巨大的風險。具有工業(yè)標準的產品不僅隨時都可以使用,而且價格較低。最常見的標準有以太網、Wi-Fi (802.11b)、SNMP (簡單網絡管理協議)、RMON (遠程監(jiān)控) 和HTTP (標準Web語言)。不是所有的新型易用工具都能管理復雜的網絡。應該選用經過改進、簡單易用的圖形用戶界面和"向導"來提高設置和使用的方便性。如果小型網絡使用傳統的大型管理應用軟件,其產生的復雜性往往超過了他們的解決能力。有些功能可以從因特網下載插入軟件得到,而且這些軟件通常是免費提供的。 ● 跟蹤網絡系統動態(tài)變化,優(yōu)化配置網絡設備 首先,應根據企業(yè)的規(guī)模大小,網絡設備的多少以及IT支持人員的多少與素質來確定網管的目標是什么。應該注意,不論是實施何種管理,都應該根據網絡系統的流量情況和用戶在不同時期的需求,清晰地定義網管的處理流程,在故障的記錄、上報與解決的各個環(huán)節(jié)都有明確的處理原則。動態(tài)地對各個路由器、防火墻及交換機實施單點監(jiān)控,還要動態(tài)管理全部的資源,針對網絡、系統、應用、數據庫等各個層面實施統一、完全的管理。靈活地采取帶外網管和帶內管理的方式,充分保證網絡系統的安全穩(wěn)定運行。 ● 安全策略是整個網絡管理系統的有力保障 黑客與管理員是兩個互相獨立又互相了解的對立面,一個好的管理員如果不了解黑客的思路、做法,就無法來設置安全策略保護自己的網絡。我們想要保護自己防范攻擊就必須先了解對方的想法和思路以及他們使用的方法和工具,這樣我們就可以根據他們所采用的方式方法來制定自己的安全策略,做到因法而異,以不變應萬變來對抗入侵。 防火墻和入侵檢測系統可以由路由器、服務器和PC機構成,把需要保護的專用網絡和公用網絡相互隔離開來,它可以架設在高級網關處,比如網絡的INTERNET連接處,也可以建立在低等網關處,這樣可以把局域網中的某些敏感系統保護隔離起來。復雜高級的防火墻大都由許多軟件和硬件構成,它們負責把安全的內部局域網連接到不安全的廣域網中;使內部用戶可以在保證安全前提下訪問到外部網絡;所有對內部網絡進行的攻擊都集中在防火墻上,這樣大大減輕了管理員的工作負擔,只要直接調整防火墻上的安全措施就可以保證整個網絡主機的安全;而且這個網絡的通訊都要通過防火墻進行,方便進行監(jiān)聽和控制。 而且管理員在配置服務器的安全策略時一定要小心謹慎,比如在配置授權服務時,盡量用自己的方式為每個用戶加上詳細的描述來表述其身份,這樣一旦發(fā)現新出現的用戶沒有描述,或未用你的方法進行描述,你可以立刻核對它的合法性,看是否為入侵后留下的額外控制賬號。配置數據保護和數據集成可以為主機上的各種數據提供授權保護和加密,這樣可以防止用戶在遠端登錄主機時,登錄信息被中途監(jiān)聽、截獲,如果已經被截獲,可以防止被破解。安全策略是管理員手里最基礎的工具,有效地利用這個工具可以擊退大部分非法入侵。同時盡量避免使用系統的默認配置,這些默認配置是為了方便普通用戶使用的,但是很多黑客都熟悉默認配置的漏洞,能很方便地、從這里侵入系統,所以當系統安裝完畢后第一步就是要升級最新的補丁,然后更改系統的默認設置。為用戶建立好詳細的屬性和權限,方便確認用戶身份以及他能訪問修改的資料。定期修改用戶密碼,這樣可以讓密碼破解的威脅降到最低。總之利用好服務器自身系統的各種安全策略,就可以占用最小的資源,防止黑客的非法攻擊。 五、網絡管理的發(fā)展趨勢 隨著現代企業(yè)和網絡、通訊技術的不斷發(fā)展,企業(yè)網管軟件也不斷推陳出新,未來的網絡管理呈現如下發(fā)展趨勢。 ● 多廠家、多技術的融合 隨著計算機技術、網絡技術和通訊技術的融合,統一的、綜合的網管正日益顯示出重要性。因為沒有哪個單獨的產品能滿足網管方方面面的需要,所以在購買回來的網管軟件的基礎上,往往需要進行二次開發(fā)或與別的網管產品進行集成。以前進行網管產品的集成是一件很痛苦的事情。比如,廠商A的產品要求運行在Unix平臺上,而廠商B的產品必須運行在Windows NT環(huán)境下;再有,必須是廠商A的某一指定版本與廠商B的某一指定版本才能進行集成,任意一方單獨升級都會破壞這種集成。例如在電信環(huán)境中,以前在傳輸網、本地網、IP數據網、電話網等分別由不同的部門維護,信息也不能共享。而用戶和運營商都要求通過一個控制臺能對多個互聯的網絡進行管理,只有建立起多廠商的、多技術領域的綜合網管體系,才能符合需要。 ● 基于Web的網管 隨著基于Web的網絡管理的出現,集成問題在一定程度上得到解決。用戶只需點擊URL鏈接,就可以從一個系統轉到另一個系統,而無需考慮他們運行在何種平臺上。基于Web的網絡管理的實現有兩種方式。第一種方式是代理方式,即在一個內部工作站上運行Web服務器(代理)。在這種方式下,網絡管理軟件作為操作系統上的一個應用。它介于瀏覽器和網絡設備之間。在管理過程中,網絡管理軟件負責將收集到的網絡信息傳送到瀏覽器(Web服務器代理),并將傳統管理協議 (如SNMP) 轉換成 Web 協議 (如HTTP)。第二種實現方式是嵌入式。它將Web功能嵌入到網絡設備中,管理員可通過瀏覽器直接訪問并管理該設備。在這種方式下,網絡管理軟件與網絡設備集成在一起。網絡管理軟件無須完成協議轉換,所有的管理信息都可以通過HTTP協議傳送。 ● 面向業(yè)務的網管 新一代的網絡管理系統,已開始從面向網絡設備的管理向面向網絡業(yè)務的管理過度。這種網管思想把網絡服務、業(yè)務作為網管對象,通過實時監(jiān)測與網絡業(yè)務相關的設備、應用,通過模擬客戶實時測量網絡業(yè)務的服務質量,通過收集網絡業(yè)務的業(yè)務數據,實現全方位、多視角監(jiān)測網絡業(yè)務運行情況的目的,從而實現網絡業(yè)務的故障管理、性能管理和配置管理。 ● 基于CORBA技術的網管 CORBA最初的提出是為了滿足異構平臺上分布式計算的需要。它有以下優(yōu)點:可在一個分布式應用中混用多種語言、支持分布對象、提供高度的互通性等。OMG已經提出了基于CORBA的網管系統的體系結構,使用CORBA的方法來實現基于OSI開放接口和OSI系統管理概念。TMF和X/Open聯合開展的JIDM任務組已經開發(fā)出SNMP/CMIP/CORBA的互通靜態(tài)規(guī)范描述和動態(tài)交互式轉化方法?梢灶A見,CORBA將在網絡管理和系統管理中占有越來越重要的地位。
●系統的功能。即一個網絡管理系統應具有哪些功能。
●網絡配置管理一個實現中使用的計算機網絡是由多個廠家提供的產品、設備相互連接而成的,因此各設備需要相互了解和適應與其發(fā)生關系的其它設備的參數、狀態(tài)等信息,否則就不能有效甚至正常工作。尤其是網絡系統常常是動態(tài)變化的,如網絡系統本身要隨著用戶的增減、設備的維修或更新來調整網絡的配置。因此需要有足夠的技術手段支持這種調整或改變,使網絡能更有效地工作。
四、網絡管理的方法和經驗