刘先虎
网络管理、网络安全
网络管理前言
随着网络技术与应用的不断发展,计算机网络在我们的日常生活中已经变得越来越普
遍。特别是20世纪90年代以来,随着 Internet在世界范围的普及,计算机网络逐渐成为人
们获取信息、发布信息的重要途径,与此同时,基于计算机网络的应用也越来越多,许多人
们生活中的重要环节都可以利用网络方便、快捷地实现。例如:网络商店的出现,使得人们
在家里就可以选购到自己满意的商品;金融网络的发展,使得货币完全电子化,人们 再也
不用在钱包中塞满纸币;还有邮电网络、各种专业大型网络等等。这些网络的发展使得大到
国家经济命脉小到个人日常生活严重依赖于计算机网络,因此网络运行的稳定性、 可靠性
就显得至关重要,于是网络管理就应运而生。
网络管理是计算机网络发展的必然产物,它随着计算机网络的发展而发展。早期的计算机网
络主要是局域网,在一定范围内连接数百台计算机,因此最早的网络管理是局域网管理。由
于局域网管理主要保证在局域网内的所有计算机能够顺利传递和共享文件,因此早期的局域
网管理系统与网络操作系统密不可分。而Internet的出现打破了网络的地域限制,跨地域的
广域网络得到飞速发展,这时的网络管理不再局限于保证文件的传输,而是保障连接网络的
网络对象(路由器、交换机、线路等)的正常运转,同时监测网络的运行 性能,优化网络的
拓扑结构。网络管理系统也因此越来越独立,越来越复杂,功能也越来越完备,网络管理也
发展成为计算机网络中的一个重要分支,国际上各种网络管理的
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
也相继制定,网络管理
逐步变得规范化、制度化。
传统局域网管理
传统的局域网管理主要针对一定范围的局域网络,在这样的局域网络中包括的
主要管理对象有:服务器、客户机、各种网络线路与集线器以及各种网络操作系统。由于在
这样规模的局域网中,网络管理的对象有限,网络管理一般包括三个方面:了解网络,网络
运行以及网络维护。
刘先虎
1.了解网络
要管好一个局域网,就必须对该局域网有清楚的了解。对该网络的清晰了解以
及对各种网络信息的资料化管理记录,是保证网络正常运转以及进行各种网络维护的前提与
基础。
(1)识别网络对象的硬件情况:局域网是由各种节点组成,这样的节点主要是
服务器和客户机,因此首先需要识别这些节点的硬件组成。硬件识别包括了解服务器和客户
机的品牌、它们的芯片速率、网卡品牌与配置情况,以及集线器的型号与品牌,这样就可以
了解局域网中硬件设备的提供商并对硬件设备所能达到的性能有大体的了解。另外,对服务
器的硬件还必须有进一步的了解,包括服务器的外设配置情况、硬盘驱动器的容量以及内存
大小等。
(2)判别局域网的拓扑结构:了解了网络中的关键部件之后需要进一步了解它们
是如何连接运行的,即网络结构下的实际布线系统。常见的三种布线的拓扑结构是星形、总
线和环型拓扑结构,另外也有无线和点对点的拓扑结构,但不常用。在了解局域网的布线结
构后,针对每种结构各自的优缺点,应注意其将导致的性能与故障差异。然后需要了解的是
实现网络传输的方式。常用的网络传输方式是 Ethernet,它是一种支持广泛的传输协议以及
多种布线形式的成熟标准。Ethernet是非确定型的,网络传送任务越重,越有可能发生冲突,
而冲突将导致影响响应时间。所以网络上有大量活动节点时性能就会大大降低,如果
Ethernet集线器上总是出现冲突信号的话,在熟悉网络布局后可能就得重新考虑分布网络上
的用户。Ethernet的缆线包括:粗缆 Ethernet,或叫10Base5 Ethernet,使用大号的同轴
电缆;细缆 Ethernet,也叫10Base2 Ethernet,使用小口径的RG-58同轴电缆;10BaseT
Ethernet,在星形结构中使用非屏蔽双绞线。对于采用 Ethernet方式的局域网,网络管理
员不仅要清楚 Ethernet的原理,还必须了解组网所用的 Ethernet缆线和插头以及它们的特
点,这样在网络出现故障时可以帮助故障点的寻找与排除。除了 Ethernet之外,其他的网
络传输方式还有标记环(Token Ring)、光纤分布数据接口(FDDl)以及 ARCNet等。了解局域
网使用的传输方式是局域网管理的基本条件之一。
(3)确定网络的互联:首先需要确定网络连接的设备和接入网络的方式。这些设
刘先虎
备与接入方式包括:使用调制解调器(Modem),使用网络插座,使用 CSU/DSU连接,使
用网桥工作,使用路由器,使用网关。这些接入设备对于保证网络节点的连通以及该局域网
与主干网连通有着重要作用,同时也是网络故障多发的故障点和影响网络性能的可能瓶颈所
在。另一方面,还需要在网络服务器或其他网络设备上确定该局域网的所有子网和各客户机
都能连通,并记录下网络中各子网以及客户机的 IP地址分配。
(4)确定用户负载和定位:网络负载最重要的方面是用户的分布,因为每一网络
和服务器上的用户数量是影响网络性能的关键因素,因此确定网络上有多少用户以及他们各
自的定位尤其重要。首先,查看文件服务器上的负载,了解文件服务器正常运行的时间,查
看服务器 CPU的使用率,以及服务器上网络连接的数目,这些数据提供了网络负载的直接
数据;然后,利用这些数据分析众多服务器中哪个使用率最高,哪些网络的负担最重,最后
对网络用户以及负载分布情况有个大致的了解。
2.网络运行
要使一个局域网顺利运转必须完成很多工作,这些工作包括:配置网络,即选
择网络操作系统,选择网络连接协议,并根据选择的网络协议配置客户机的网络软件;然后
配置网络服务器及网络的外围设备,做好网络意外预防处理;最后还有网络
安全管理
企业安全管理考核细则加油站安全管理机构环境和安全管理程序安全管理考核细则外来器械及植入物管理
、网络
用户权限分配以及病毒的预防与处理。
(1)配置网络;配置网络就要选择网络操作系统。传统的网络操作系统包括
UNIX, Windows NT,NetWare,VINES,Windows for Workgroups,LANtastic,PersonaI
Net- Ware 等,这些网络操作系统有各自的特点,相对而言,在局域两中Windows NT 和Net-
Ware比较普遍。NT最大的优势在于价格和支撑其发展的巨头Microsoft。NT支持 IPX和 TCP
/IP,因此在大多数网络环境中受到欢迎,另外,其安全性和网络管理功能也不错在硬件完
全兼容时安装也比较方便。在现有网络中,大约70%的网络操作系统采用了Novell公司的
NetWare系列。NetWare 是一种快速而可靠的操作系统,十分类似于DOS,它对多种网络
协议和多种客户机操作系统有着完善的支持,其兼容性和模块化设计也使它领先于其它系
统。
选择网络协议也是配置网络的重要组成部分。现在流行的局域网网络协议包括
刘先虎
IPX/SPX、TCP/IP、NETBIOS、NetBEUI 和 AppleTalk等。比较普遍的协议是 IPX/SPX
和 TCP/IP,其中 IPX/SPX是 NetWare所采用的数据传输方式,在局域网中使用非常普
遍;TCP/IP 是面向 Internet所使用的网络协议,具有广泛的影响力。
在确定了网络操作系统和网络协议之后,需要配置该网络中每台客户机的网络
软件。在DOS平台上,一般是安装相应网络协议的网络驱动软件,然后修改一些配置文件
中的参数;在GUI 的操作系统(例如Windows系列、Macintosh 和OS2)中,则选择相应的
对话框窗口配置网络参数;在 UNIX系统中,主要靠修改系统配置文件来配置网络。
(2)配置网络服务器:在局域网中,服务器往往具有重要作用,一个配置良好
的服务器可以顺利保障网络的运行。首先是在服务器上用磁盘和卷根据内容的性质与空间大
小分配来划分工作,这样可以把不同的程序和数据按照一种顺序存放在磁盘中,而卷的使用
不仅可以按一定的层次存放数据,而且可以控制用户的访问权,然后在服务器上启动网络服
务进程,监测网络用户的访问。还有一些外围设备,比如共享打印机、共享外接磁盘或驱动
器等,这些设备在服务器上都应正确配置。
最后还应该注意的是预防网络意外发生,首先是保证电源(特别是网络服务器
的电源),一般的方式是配置UPS 应急电源;然后是保证服务器的环境状况(比如维持机房
的温度与湿度在一定的范围);最后是做好重要数据和系统的备份工作。备份的硬件设备包
括硬盘阵列和磁带、光盘驱动器等,备份的方法很多,常用的是磁盘镜像、磁盘双工或磁盘
阵列等。在进行备份时一定要做好详细记录,对备份内容进行分类并做标记。
(3)网络安全控制:网络安全控制的首要任务是管理用户注册和访问权限。在
局域网上,网络操作系统一般都提供用户管理和权限分配的工具。对于局域网内,部用户,
利用这些工具可以检查和设置用户信息、进行账号限制,例如改变账号密码、设置组、确定
组中的账号、修改组或账号的权限、设定账号有效时间等等。定时对网络当前访问情况进行
检查并做好记录,及时发现异常情况。另外,管理局域网外部权限和连接也很重要,一般局
域网外部用户可能会访问该局域网,如查看已有文件、传递他们的文件或使用其他网络资源,
因此对这种用户也需要建立账号,但应根据其使用网络的目的详细控制其访问权限,然后定
期检查哪些用户最近没有注册,对一些不再需要的账号及时注销。
刘先虎
查找并消除病毒也是局域网管理的一项重要任务。病毒对局域网的危害非常严
重,一种网络病毒可以通过网络迅速地传染到局域网的每一台客户机,因此及时发现并杀死
病毒至关重要。有多种不同的方法可以识别病毒:在文件级上,用CRC技术可以将预期的
文件大小或其他特征与文件被打开之前所看到的实际特征进行比较;最常用的方法是对文件
进行扫描,发现已知病毒的标志、代码,从而辨认出每一种病毒的变形。一旦发现病毒,当
然就要清除它。利用一些杀毒软件可以杀死病毒恢复原来的文件。另一种方法是删除有病毒
的文件,然后用备份的无病毒文件替代。另外还必须对受病毒感染的服务器上的各卷进行扫
描,如果在网络服务器之间或客户机之间存在通信联络,还必须去扫描其他系统。确定适当
的持续的病毒防护是避免病毒侵害的最有效方法,这样的防护包括:建立和增强反病毒规则
和程序;在客户机上安装和更新反病毒软件;安装基于网络的反病毒软件。
3.网络维护
网络维护是保障网络正常运行的重要方面,主要包括故障检测与排除、网络
日常检查及网络升级。
(1)常见网络的故障和修复:在局域网中,最重要的故障检测工作是文件服务
器的维护。只要服务器正常工作,集中存储的数据就是安全的,用户可以在需要时访问这些
数据。当然,网络连接设备应保证用户能持续工作,而客户机本身也应能正常工作。
故障处理过程有四个主要部分:发现故障迹象,追踪故障的根源,排除故障,
记录故障的解决方法。网络故障处理经常需要进行大量的调查研究,但相对而言只有很少的
问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
是真正比较复杂的。常见的情况是,故障的解决方法是很简单的,只不过被其他问题或
不完全的信息掩盖了。在处理故障期间,可以参考图1中的流程图,以确保能对网络故障进
行逻辑的和有条理的分析。
当网络管理人员收到故障报告时,首先应该检查别的用户是否也遇到同一问
题,如果有多个用户报告了同类问题,那么很可能是出现了服务器或缆线故障,而不是用户
客户机所引起的故障。
排除文件服务器上的错误非常关键,因为它通常会影响到很多用户,因此首先
要对服务器进行认真检查:服务器是否在运行?监视器是否显示信息?服务器是否响应键盘
刘先虎
输入? 服务器控制台是否显示异常终止或其他信息?服务器NIC(网络适配器)是否发送和接
收数据? 服务器的卷是否己安装?
文件服务器通常是十分稳定的,但它们也特别容易出现三种类型的故障:第一
类故障并不是网络操作系统本身的错误,而是由于配置的更改造成的,因此无论何时改变网
络操作系统的配置都必须备份以前的配置并记录更改日期;第二类故障是部件失效,虽然
NIC 和磁盘失效是最为常见的,但从键盘端口到 SIMM 的任何部件都可能会发生故障,甚
至在高品质服务器上也无法避免;第三类故障是服务器的软件模块引发的系统冲突故障,比
如磁盘驱动程序或 LAN驱动程序引发的内存故障等。
当服务器故障检查各方面都没有问题时,引起大量用户访问故障的问题很可
能出现在网络缆线系统上。如果故障网络采用的是总线拓扑结构,那么故障检测工作可能会
比较繁重;对于星形结构,则应检查集线器或 MAU 是否通电并能正常运行。如果连接设备
本身运行良好,可检查它们与服务器的物理连接。一般而言,对于物理网络,电缆和按插件
老化、电磁干扰、电缆长度限制是最常见的物理网络故障源;连接设备,如接插板、集线器
和路由器也是故障多发点。
(2)网络检查:网络检查是在网络正常运转情况下对服务器状态和网络运行情
况的动态信息收集和分析的过程。有些数据最好每天检查一次,而有些数据则较长时间检查
一次即可。下面列出一些需要定期检查的网络关键信息:
刘先虎
故障检测流程图
频率 活 动 频率 活 动
每日 检查各服务器的卷空间 每日 去除旧用户
每日 列出前一天创建的文体 每月 检查用户账号安全性
每日 找出可被存档/删除的旧文件 每月 确保备份的完整性
每日 检查备份的执行情况 每月 更服务器模块
每日 检查服务器错误记录文件 每月 更新客户文件
刘先虎
(3)网络升级:网络升级是一个持续的过程,它需要考虑一些财务和预算因素。
一般在网络管理中需要考虑的是必须进行的升级,这些升级能够保证网络正常运转。虽然网
络操作系统的升级通常是最迫切的,但硬件和软件也可能需要升级。
服务器升级是最重要的。必须的服务器升级有三种:最简单的是用户许可证升
级,如果网络服务器的能力已达到最大限度,并需要容纳更多的用户,就需要进行许可证升
级;另二种服务器升级是网络操作系统的升级,如果使用的是过时的或有故障的网络操作系
统,就应该升级为最新的版本;第三种服务器升级所指的范围相对来说要广泛一些,主要指
硬件升级,硬件升级可能包括增加磁盘空间、改进容错措施或系统升级。另外,客户软件的
升级有时也是很必要的,因为旧客户软件对于网络操作系统可能是一种沉重的负担。
在确定了最重要的升级之后,应决定需要购买的产品,并对升级费用进行评
估,然后制定实施升级的工作步骤,最后应从成本和效益两方面总结新配置的优点。
网络管理功能
在实际网络管理过程中,网络管理应具有的功能非常广泛,包括了很多方面。在()SI
网络管理标准中定义了网络管理的5大功能:配置管理、性能管理、故障管理、安全管理和
计费管理,这5大功能是网络管理最基本的功能。事实上,网络管理还应该包括其他一些功
能,比如网络规划、网络操作人员的管理等。不过除了基本的网络管理5。大功能,其他的
网络管理功能实现都与具体的网络实际条件有关,因此我们只需要关注 OSI网络管理标准
中的5大功能,其中:
(1)配置管理:自动发现网络拓扑结构,构造和维护网络系统的配置。监测网络被管对
象的状态,完成网络关键设备配置的语法检查,配置自动生成和自动配置备份系统,对于配
置的一致性进行严格的检验。
(2)故障管理;过滤、归并网络事件,有效地发现、定位网络故障,给出排错建议与排
错工具,形成整套的故障发现、告警与处理机制。
刘先虎
(3)性能管理:采集、分析网络对象的性能数据,监测网络对象的性能,对网络线路质
量进行分析。同时,统计网络运行状态信息,对网络的使用发展作出评测、估计,为网络进
一步规划与调整提供依据。
(4)安全管理:结合使用用户认证、访问控制、数据传输、存储的保密与完整性机制,
以保障网络管理系统本身的安全。维护系统日志,使系统的使用和网络对象的修改有据可查。
控制对网络资源的访问。
5)计费管理:对网际互联设备按 IP 地址的双向流量统计,产生多种信息统计报告及流
量对比,并提供网络计费工具,以便用户根据自定义的要求实施网络计费。
下面我们将针对5大功能中每个部分的功能进行具体的描述。
1.配置管理
(1)配置信息的自动获取:在一个大型网络中,需要管理的设备是比较多的,如果每个
设备的配置信息都完全依靠管理人员的手工输入,工作量是相当大的,而且还存在出错的可
能性。对于不熟悉网络结构的人员来说,这项工作甚至无法完成‘因此,一个先进的网络管
理系统应该具有配置信息自动获取功能。即使在管理人员不是很熟悉网络结构和配置状况的
情况下,也能通过有关的技术手段来完成对网络的配置和管理。在网络设备的配置信息中,
根据获取手段大致可以分为三类:一类是网络管理协议标准的 MIB中定义的配置信息(包括
SNMP;和 CMIP协议);二类是不在网络管理协议标准中有定义,但是对设备运行比较重
要的配置信息;三类就是用于管理的一些辅助信息。
(2)自动配置、自动备份及相关技术:配置信息自动获取功能相当于从网络设备中“读”
信息,相应的,在网络管理应用中还有大量“写”信息的需求。同样根据设置手段对网络配置
信息进行分类:一类是可以通过网络管理协议标准中定义的方法(如 SNMP 中的 set服务)
进行设置的配置信息;二类是可以通过自动登录到设备进行配置的信息;三类就是需要修改
的管理性配置信息。
(3)配置一致性检查:在一个大型网络中,由于网络设备众多,而且由于管理的原因,
这些设备很可能不是由同一个管理人员进行配置的。实际上‘即使是同一个管理员对设备进
行的配置,也会由于各种原因导致配置一致性问题。因此,对整个网络的配置情况进行一致
刘先虎
性检查是必需的。在网络的配置中,对网络正常运行影响最大的主要是路由器端口配置和路
由信息配置,因此,要进行、致性检查的也主要是这两类信息。
(4)用户操作记录功能:配置系统的安全性是整个网络管理系统安全的核心,因此,必
须对用户进行的每一配置操作进行记录。在配置管理中,需要对用户操作进行记录,并保存
下来。管理人员可以随时查看特定用户在特定时问内进行的特定配置操作。
2.性能管理
(1)性能监控:由用户定义被管对象及其属性。被管对象类型包括线路和路由器;被管
对象属性包括流量、延迟、丢包率、CPU利用率、温度、内存余量。对于每个被管对象,
定时采集性能数据,自动生成性能报告。
(2)阈值控制:可对每一个被管对象的每一条属性设置阈值,对于特定被管对象的特定
属性,可以针对不同的时间段和性能指标进行阈值设置。可通过设置阈值检查开关控制阂值
检查和告警,提供相应的阈值管理和溢出告警机制。
(3)性能分桥:对历史数据进行分析,统计和整理,计算性能指标,对性能状况作出判
断,为网络规划提供参考。
(4)可视化的性能报告:对数据进行扫描和处理,生成性能趋势曲线,以直观的图形反
映性能分析的结果。
(5)实时性能监控:提供了一系列实时数据采集;分析和可视化工具,用以对流量、负
载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测,可任意设置数据
采集间隔。
(6)网络对象性能查询:可通过列表或按关键字检索被管网络对象及其属性的性能记录。
3.故障管理
(1)故障监测:主动探测或被动接收网络上的各种事件信息,并识别出其中与网络和系
统故障相关的内容,对其中的关键部分保持跟踪,生成网络故障事件记录。
(2)故障报警:接收故障监测模块传来的报警信息,根据报警策略驱动不同的报警程序,
刘先虎
以报警窗口/振铃(
通知
关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知
一线网络管理人员)或电子邮件(通知决策管理人员)发出网络严重故
障警报。
(3)故障信息管理:依靠对事件记录的分析,定义网络故障并生成故障卡片,记录排除
故障的步骤和与故障相关的值班员日志,构造排错行动记录,将事件-故障-日志构成逻辑上
相互关联的整体,以反映故障产生、变化、消除的整个过程的各个方面。
(4)排错支持工具:向管理人员提供一系列的实时检测工具,对被管设备的状况进行测
试并记录下测试结果以供技术人员分析和排错;根据已有的徘错经验和管理员对故障状态的
描述给出对徘错行动的提示。
(5)检索/分析故障信息:浏阅并且以关键字检索查询故障管理系统中所有的数据库记
录,定期收集故障记录数据,在此基础上给出被管网络系统、被管线路设备的可靠性参数。
4.安全管理
安全管理的功能分为两部分,首先是网络管理本身的安全,其次是被管网络对象的安
全。
网络管理过程中,存储和传输的管理和控制信息对网络的运行和管理至关重要,一旦泄
密、被篡改和伪造,将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证:
(1)管理员身份认证,采用基于公开密钥的证书认证机制;为提高系统效率,对于信任
域内(如局域网)的用户,可以使用简单口令认证。
(2)管理信息存储和传输的加密与完整性,Web浏览器和网络管理服务器之间采用安全
套接字层(SSL)传输协议,对管理信息加密传输并保证其完整性;内部存储的机密信息,如
登录口令等,也是经过加密的。
(3)网络管理用户分组管理与访问控制,网络管理系统的用户(即管理员)按任务的不同
分成若干用户组,不同的用户组中有不同的权限范围,对用户的操作由访问控制检查,保证
用户不能越权使用网络管理系统。
(4)系统日志分析,记录用户所有的操作,使系统的操作和对网络对象的修改有据可查,
同时也有助于故障的跟踪与恢复。
刘先虎
网络对象的安全管理有以下功能:
(1)网络资源的访问控制,通过管理路由器的访问控制链表,完成防火墙的管理功能,
即从网络层(1P)和传输层(TCP)控制对网络资源的访问,保护网络内部的设备和应用服务,
防止外来的攻击。
(2)告警事件分析,接收网络对象所发出的告警事件,分析员安全相关的信息(如路由
器登录信息、SNMP 认证失败信息),实时地向管理员告警,并提供历史安全事件的检索与
分析机制,及时地发现正在进行的攻击或可疑的攻击迹象。
(3)主机系统的安全漏洞检测,实时的监测主机系统的重要服务(如WWW,DNS 等)
的状态,提供安全监测工具,以搜索系统可能存在的安全漏洞或安全隐患,并给出弥补的措
施。
总之,网络管理通过网关(即边界路由器)控制外来用户对网络资源的访问,以防止外
来的攻击;通过告警事件的分析处理,以发现正在进行的可能的攻击;通过安全漏洞检擒来
发现存在的安全隐患,以防患于未然。
5.计费管理
(1)计费数据采集:计费数据采集是整个计费系统的基础,但计费数据采集往往受到采
集设备硬件与软件的制约,而且也与进行计费的网络资源有关。
(2)数据管理与数据维护:计费管理人工交互性很强,虽然有很多数据维护系统自动完
成,但仍然需要人为管理,包括交纳费用的输入、联网单位信息维护,以及账单样式决定等。
(3)计费政策制定;由于计费政策经常灵活变化,因此实现用户自由制定输入计费政策
尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。
(4)政策比较与决策支持:计费管理应该提供多套计费政策的数据比较,为政策制订提
供决策依据。
(5)数据分析与费用计算:利用采集的网络资源使用数据,联网用户的详细信息以及计
费政策计算网络用户资源的使用情况,并计算出应交纳的费用。
刘先虎
(6)数据查询:提供给每个网络用户关于自身使用网络资源情况的详细信息,网络用户
根据这些信息可以计算、核对自己的收费情况。
网络管理协议
随着网络的不断发展,规模增大,复杂性增加,简单的网络管理技术已不能适应网络
迅速发展的要求。以往的网络管理系统往往是厂商在自己的网络系统中开发的专用系统,很
难对其他厂商的网络系统、通信设备软件等进行管理,这种状况很不适应网络异构互联的发
展趋势。20世纪80年代初期 Internet的出现和发展使人们进一步意识到了这一点。研究开
发者们迅速展开了对网络管理的研究,并提出了多种网络管理
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
,包括HEMS、SGMP、
CMIS/CMIP 等。
IAB 最初制订的关于 Internet管理的发展策略,其初衷是采用跳MP 作为暂时的
Internet管理解决方案,并在适当的时候转向 CMIS/CMIP。SGMP 是在 NYSERNET和
SURANET 上开发应用的网络管理工具,而CMIS/CMIP 是20世纪80年代中期国际标准化组
织(ISO)和 CCITT 联合制订的网络管理标准。同时,IAB 还分别成立了相应的工作组,对这
些方案进行适当的修改,使它们更适于 Internet的管理。这些工作组随后相应推出了
SNMP(Simple NetWork Management Protoc011988)和 CMOT(CMIP/CMIS Over TCP/
IPl989)等网络管理协议,下面进行简单介绍。
1.SNMP
简单网络管理协议(SNMP)的前身是1987年发布的简单网关监控协议(SGMP)。
SGMP 给出了监控网关(OSI第三层路由器)的直接手段,SNMP 则是在其基础上发展而来。
最初,SNMP 是作为一种可提供最小网络管理功能的临时方法开发的,它具有以下两个优
点:
(1)与 SNMP 相关的管理信息结构(SMI)以及管理信息库(MIB)非常简单,从而能够迅
速、简便地实现;
(2)SNMP 是建立在 SGMP基础上的,而对于 SGMP,人们积累了大量的操作经验。
SNMP 经历了两次版本升级,现在的最新版本是 SNMPv3。在前两个版本中 SNMP
刘先虎
功能都得到了极大的增强,而在最新的版本中,SNMP 在安全性方面有了很大的改善,SNMP
缺乏安全性的弱点正逐渐得到克服。
2.CMIS/CMIP
公共管理信息服务/公共管理信息协议(CMIS/CMIP)是哦 OSI提供的网络管理协议
簇。CMIS 定义了每个网络组成部分提供的网络管理服务,这些服务在本质上是很普通的,
CMIP 则是实现CMIS 服务的协议。
OSI网络协议旨在为所有设备在 ISO 参考模型的每一层提供一个公共网络结构,而
CMIS/CMIP 正是这样一个用于所有网络设备的完整网络管理协议簇。
出于通用性的考虑,CMlS/CMIP 的功能与结构跟别MP 很不相同,SNMP 是按照简
单和易于实现的原则设计的,而 CMIS/CMIP则能够提供支持一个完整网络管理方案所需
的功能。
CMIS/CMIP的整体结构是建立在使用 ISO 网络参考模型的基础上的,网络管理应用
进程使用 ISO参考模型中的应用层。也在这层上,公共管理信息服务单元(CMISE)提供了
应用程序使用 CMIP协议的接口。同时该层还包括了两个 ISO应用协议:联系控制服务元
素(ACSE)和远程操作服务元素(RpSE),其中 ACSE 在应用程序之间建立和关闭联系,而
ROSE则处理应用之间的请求/响应交互。另外,值得注意的是 OSI没有在应用层之下特
别为网络管理定义协议。
3.CMOT
公共管理信息服务与协议(CMOT)是在 TCP/IP 协议簇上实现CMIS 服务,这是一种
过渡性的解决方案,直到 OSI网络管理协议被广泛采用。
CMIS 使用的应用协议并没有根据CMOT 而修改,CMOT 仍然依赖于 CMISE、ACSE
和 ROSE协议,这和CMIS/CMIP是一样的。但是,CMOT 并没有直接使用参考模型中表
示层实现,而是要求在表示层中使用另外一个协议--轻量表示协议(LPP),该协提供了目前
最普通的两种传输层协议--TCP和UDP 的接口。
刘先虎
简单网络管理协议(SNMP)
简单网络管理协议(SNMP)是最早提出的网络管理协议之一,它一推出就得到
了广泛的应用和支持,特别是很快得到了数百家厂商的支持,其中包括 IBM,HP,SUN 等
大公司和厂商。目前 SNMP已成为网络管理领域中事实上的工业标准,并被广泛支持和应
用,大多数网络管理系统和平台都是基于 SNMP的。
一、 SNMP 概述
SNMP 的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,
人们对 SGMP进行了很大的修改,特别是加入了符合 Internet定义的 SMI和MIB:体系结
构,改进后的协议就是著名的 SNMP。SNMP 的目标是管理互联网 Internet上众多厂家生
产的软硬件平台,因此 SNMP 受 Internet标准网络管理框架的影响也很大。现在 SNMP 已
经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
SNMP 的体系结构是围绕着以下四个概念和目标进行设计的:保持管理代理
(agent)的软件成本尽可能低;最大限度地保持远程管理的功能,以便充分利用 Internet的
网络资源;体系结构必须有扩充的余地;保持 SNMP的独立性,不依赖于具体的计算机、
网关和网络传输协议。在最近的改进中,又加入了保证 SNMP体系本身安全性的目标。
另外,SNMP 中提供了四类管理操作:get操作用来提取特定的网络管理信息;get-
next操作通过遍历活动来提供强大的管理信息提取能力;set操作用来对管理信息进行控制
(修改、设置);trap操作用来报告重要的事件。
二、 SNMF 管理控制框架与实现
1.SNMP 管理控制框架
SNMP 定义了管理进程(manager)和管理代理(agent)之间的关系,这个关系称为
共同体(community)。描述共同体的语义是非常复杂的,但其句法却很简单。位于网络管理
工作站(运行管理进程)上和各网络元素上利用 SNMP 相互通信对网络进行管理的软件统统
称为 SNMP应用实体。若干个应用实体和 SNMP 组合起来形成一个共同体,不同的共同体
之间用名字来区分,共同体的名字则必须符合 Internet的层次结构命名规则,由无保留意义
刘先虎
的字符串组成。此外,一个 SNMP应用实体可以加入多个共同体。
SNMP 的应用实体对 Internet管理信息库中的管理对象进行操作。一个 SNMP 应
用实体可操作的管理对象子集称为 SNMP MIB授权范围。SNMP 应用实体对授权范围内管
理对象的访问仍然还有进一步的访问控制限制,比如只读、可读写等。SNMP 体系结构中
要求对每个共同体都规定其授权范围及其对每个对象的访问方式。记录这些定义的文件称为
“共同体定义文件”。
SNMP 的报文总是源自每个应用实体,报文中包括该应用实体所在的共同体的名
字。这种报文在 SNMP中称为“有身份标志的报文”,共同体名字是在管理进程和管理代理
之间交换管理信息报文时使用的。管理信息报文中包括以下两部分内容:
(1)共同体名,加上发送方的一些标识信息(附加信息),用以验证发送方确实是共
同体中的成员,共同体实际上就是用来实现管理应用实体之间身份鉴别的;
(2)数据,这是两个管理应用实体之间真正需要交换的信息。
在第三版本前的 SNMP中只是实现了简单的身份鉴别,接收方仅凭共同体名来判
定收发双方是否在同一个共同体中,而前面提到的附加倍息尚未应用。接收方在验明发送报
文的管理代理或管理进程的身份后要对其访问权限进行检查。访问权限检查涉及到以下因
素:
(1)一个共同体内各成员可以对哪些对象进行读写等管理操作,这些可读写对象称
为该共同体的“授权对象”(在授权范围内);
(2)共同体成员对授权范围内每个对象定义了访问模式:只读或可读写;
(3)规定授权范围内每个管理对象(类)可进行的操作(包括 get,get-next,set和
trap);
(4)管理信息库(MIB)对每个对象的访问方式限制(如MIB中可以规定哪些对象只能
读而不能写等)。
管理代理通过上述预先定义的访问模式和权限来决定共同体中其他成员要求的管
理对象访问(操作)是否允许。共同体概念同样适用于转换代理(Proxy agent),只不过转换代
刘先虎
理中包含的对象主要是其他设备的内容。
2.SNMP 实现方式为了提供遍历管理信息库的手段,SNMP 在其MIB 中采用了
树状命名方法对每个管理对象实例命名。每个对象实例的名字都由对象类名字加上一个后缀
构成。对象类的名字是不会相互重复的,因而不同对象类的对象实例之间也少有重名的危险。
在共同体的定义中一般要规定该共同体授权的管理对象范围,相应地也就规定了
哪些对象实例是该共同体的“管辖范围”,据此,共同体的定义可以想象为一个多叉树,以词
典序提供了遍历所有管理对象实例的手段。有了这个手段,SNMP 就可以使用 get-next操
作符,顺序地从一个对象找到下一个对象。get-next(object-instance)操作返回的结果是一个
对象实例标识符及其相关信息,该对象实例在上面的多叉树中紧排在指定标识符;bject-
instance 对象的后面。这种手段的优点在于,即使不知道管理对象实例的具体名字,管理系
统也能逐个地找到它,并提取到它的有关信息。遍历所有管理对象的过程可以从第一个对象
实例开始(这个实例一定要给出),然后逐次使用 get-next,直到返回一个差错(表示不存在的
管理对象实例)结束(完成遍历)。
由于信息是以表格形式(一种数据结构)存放的,在 SNMP 的管理概念中,把所有
表格都视为子树,其中一张表格(及其名字)是相应子树的根节点,每个列是根下面的子节点,
一列中的每个行则是该列节点下面的子节点,并且是子树的叶节点,如下图所示。因此,按
照前面的子树遍历思路,对表格的遍历是先访问第一列的所有元素,再访问第二列的所有元
素……,直到最后一个元素。若试图得到最后一个元素的“下一个”元素,则返回差错标记。
刘先虎
SNMP 树形表格结构示意图
SNMP 中各种管理信息大多以表格形式存在,一个表格对应一个对象类,每个元
素对应于该类的一个对象实例。那么,管理信息表对象中单个元素(对象实例)的操作可以用
前面提到的 get-next方法,也可以用后面将介绍的 get/set等操作。下面主要介绍表格内
一行信息的整体操作。
(1)增加一行:通过 SNMP 只用一次 set操作就可在一个表格中增加一行。操作中
的每个变量都对应于待增加行中的一个列元素,包括对象实例标识符。如果一个表格中有8
列,则 set操作中必须给出8个操作数,分别对应8个列中的相应元素。
(2)删除一行:删除一行也可以通过 SNMP 调用一次 set操作完成,并且比增加一
行还简单。删除一行只需要用 set操作将该行中的任意一个元素(对象实例)设置成“非法”即
可。但该操作有一个例外:地址翻译组对象中有一个特殊的表(地址变换表),该表中未定义
一个元素的“非法”条件。因此,SNMP 中采用的办法是将该表中的地址设置成空串,而空字
符串将被视为非法元素。
至于删除一行时,表中的一行元素是否真的在表中消失,则与每个设备(管理代理)
的具体实现有关。因此,网络管理操作中,运行管理进程可能从管理代理中得到“非法”数据,
即已经删除的不再使用的元素的内容,因此管理进程必须能通过各数据字段的内容来判断数
据的合法性。 CMOT 的一个致命弱点在于它是一个过渡性的方案,而没有人会把注意
力集中在一个短期方案上。相反,许多重要厂商都加入了 SNMP潮流并在其中投入了大量
资源。事实上,虽然存在 CMOT的定义,但该协议已经很长时间没有得到任何发展了。
4.LMMP
局域网个人管理协议(LMMP)试图为 LAN环境提供一个网络管理方案。LMMP 以前被
称为 IEEE802逻辑链路控制上的公共管理信息服务与协议(CMOL)。由于该协议直接位于
IEEE802逻辑链路层(LLC)上,它可以不依赖于任何特定的网络层协议进行网络传输。
由于不要求任何网络层协议,LMMP 比CMIS/CMIP 或CMOT 都易于实现,然而没有
网络层提供路由信息,LMMP 信息不能跨越路由器,从而限制了它只能在局域网中发展。
但是,跨越局域网传输局限的 LMMP信息转换代理可能会克服这一问题。
刘先虎
简单网络管理协议(SNMP)
简单网络管理协议(SNMP)是最早提出的网络管理协议之一,它一推出就得到
了广泛的应用和支持,特别是很快得到了数百家厂商的支持,其中包括 IBM,HP,SUN 等
大公司和厂商。目前 SNMP已成为网络管理领域中事实上的工业标准,并被广泛支持和应
用,大多数网络管理系统和平台都是基于 SNMP的。
一、 SNMP 概述
SNMP 的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,
人们对 SGMP进行了很大的修改,特别是加入了符合 Internet定义的 SMI和MIB:体系结
构,改进后的协议就是著名的 SNMP。SNMP 的目标是管理互联网 Internet上众多厂家生
产的软硬件平台,因此 SNMP 受 Internet标准网络管理框架的影响也很大。现在 SNMP 已
经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
SNMP 的体系结构是围绕着以下四个概念和目标进行设计的:保持管理代理
(agent)的软件成本尽可能低;最大限度地保持远程管理的功能,以便充分利用 Internet的
网络资源;体系结构必须有扩充的余地;保持 SNMP的独立性,不依赖于具体的计算机、
网关和网络传输协议。在最近的改进中,又加入了保证 SNMP体系本身安全性的目标。
另外,SNMP 中提供了四类管理操作:get操作用来提取特定的网络管理信息;get-
next操作通过遍历活动来提供强大的管理信息提取能力;set操作用来对管理信息进行控制
(修改、设置);trap操作用来报告重要的事件。
二、 SNMF 管理控制框架与实现
1.SNMP 管理控制框架
SNMP 定义了管理进程(manager)和管理代理(agent)之间的关系,这个关系称为
共同体(community)。描述共同体的语义是非常复杂的,但其句法却很简单。位于网络管理
工作站(运行管理进程)上和各网络元素上利用 SNMP 相互通信对网络进行管理的软件统统
称为 SNMP应用实体。若干个应用实体和 SNMP 组合起来形成一个共同体,不同的共同体
之间用名字来区分,共同体的名字则必须符合 Internet的层次结构命名规则,由无保留意义
刘先虎
的字符串组成。此外,一个 SNMP应用实体可以加入多个共同体。
SNMP 的应用实体对 Internet管理信息库中的管理对象进行操作。一个 SNMP 应
用实体可操作的管理对象子集称为 SNMP MIB授权范围。SNMP 应用实体对授权范围内管
理对象的访问仍然还有进一步的访问控制限制,比如只读、可读写等。SNMP 体系结构中
要求对每个共同体都规定其授权范围及其对每个对象的访问方式。记录这些定义的文件称为
“共同体定义文件”。
SNMP 的报文总是源自每个应用实体,报文中包括该应用实体所在的共同体的名
字。这种报文在 SNMP中称为“有身份标志的报文”,共同体名字是在管理进程和管理代理
之间交换管理信息报文时使用的。管理信息报文中包括以下两部分内容:
(1)共同体名,加上发送方的一些标识信息(附加信息),用以验证发送方确实是共
同体中的成员,共同体实际上就是用来实现管理应用实体之间身份鉴别的;
(2)数据,这是两个管理应用实体之间真正需要交换的信息。
在第三版本前的 SNMP中只是实现了简单的身份鉴别,接收方仅凭共同体名来判
定收发双方是否在同一个共同体中,而前面提到的附加倍息尚未应用。接收方在验明发送报
文的管理代理或管理进程的身份后要对其访问权限进行检查。访问权限检查涉及到以下因
素:
(1)一个共同体内各成员可以对哪些对象进行读写等管理操作,这些可读写对象称
为该共同体的“授权对象”(在授权范围内);
(2)共同体成员对授权范围内每个对象定义了访问模式:只读或可读写;
(3)规定授权范围内每个管理对象(类)可进行的操作(包括 get,get-next,set和
trap);
(4)管理信息库(MIB)对每个对象的访问方式限制(如MIB中可以规定哪些对象只能
读而不能写等)。
管理代理通过上述预先定义的访问模式和权限来决定共同体中其他成员要求的管
理对象访问(操作)是否允许。共同体概念同样适用于转换代理(Proxy agent),只不过转换代
刘先虎
理中包含的对象主要是其他设备的内容。
2.SNMP 实现方式为了提供遍历管理信息库的手段,SNMP 在其MIB 中采用了
树状命名方法对每个管理对象实例命名。每个对象实例的名字都由对象类名字加上一个后缀
构成。对象类的名字是不会相互重复的,因而不同对象类的对象实例之间也少有重名的危险。
在共同体的定义中一般要规定该共同体授权的管理对象范围,相应地也就规定了
哪些对象实例是该共同体的“管辖范围”,据此,共同体的定义可以想象为一个多叉树,以词
典序提供了遍历所有管理对象实例的手段。有了这个手段,SNMP 就可以使用 get-next操
作符,顺序地从一个对象找到下一个对象。get-next(object-instance)操作返回的结果是一个
对象实例标识符及其相关信息,该对象实例在上面的多叉树中紧排在指定标识符;bject-
instance 对象的后面。这种手段的优点在于,即使不知道管理对象实例的具体名字,管理系
统也能逐个地找到它,并提取到它的有关信息。遍历所有管理对象的过程可以从第一个对象
实例开始(这个实例一定要给出),然后逐次使用 get-next,直到返回一个差错(表示不存在的
管理对象实例)结束(完成遍历)。
由于信息是以表格形式(一种数据结构)存放的,在 SNMP 的管理概念中,把所有
表格都视为子树,其中一张表格(及其名字)是相应子树的根节点,每个列是根下面的子节点,
一列中的每个行则是该列节点下面的子节点,并且是子树的叶节点,如下图所示。因此,按
照前面的子树遍历思路,对表格的遍历是先访问第一列的所有元素,再访问第二列的所有元
素……,直到最后一个元素。若试图得到最后一个元素的“下一个”元素,则返回差错标记。
刘先虎
SNMP 树形表格结构示意图
SNMP 中各种管理信息大多以表格形式存在,一个表格对应一个对象类,每个元
素对应于该类的一个对象实例。那么,管理信息表对象中单个元素(对象实例)的操作可以用
前面提到的 get-next方法,也可以用后面将介绍的 get/set等操作。下面主要介绍表格内
一行信息的整体操作。
(1)增加一行:通过 SNMP 只用一次 set操作就可在一个表格中增加一行。操作中
的每个变量都对应于待增加行中的一个列元素,包括对象实例标识符。如果一个表格中有8
列,则 set操作中必须给出8个操作数,分别对应8个列中的相应元素。
(2)删除一行:删除一行也可以通过 SNMP 调用一次 set操作完成,并且比增加一
行还简单。删除一行只需要用 set操作将该行中的任意一个元素(对象实例)设置成“非法”即
可。但该操作有一个例外:地址翻译组对象中有一个特殊的表(地址变换表),该表中未定义
一个元素的“非法”条件。因此,SNMP 中采用的办法是将该表中的地址设置成空串,而空字
符串将被视为非法元素。
至于删除一行时,表中的一行元素是否真的在表中消失,则与每个设备(管理代理)
的具体实现有关。因此,网络管理操作中,运行管理进程可能从管理代理中得到“非法”数据,
即已经删除的不再使用的元素的内容,因此管理进程必须能通过各数据字段的内容来判断数
据的合法性。
网络管理系统
由于网络管理已经有了一系列的标准,以及OSI定义的网络管理五大功能,使得具有
配置管理、性能管理、故障管理、安全管理和计费管理五大功能的管理系统成为可能。同时,
也正是得益于这样的网络管理系统,我们才能对网络进行充分、完备和有序的管理。但是由
于涉及到众多的网络管理协议和五个方面所要求的功能以及不同网络的实际情况,使得网络
管理系统在技术上具有很强的挑战性。现在市场上号称是网络管理系统的软件不少,但真正
具有网络管理五大功能的网络管理系统却不多。我们下面将介绍四种网络管理系统,并给出
它们的优缺点比较。这四种网络管理系统是:惠普(HP)公司的0pen-View,国际商用公司
(IBM)的NetView,SUN 公司的 SunNet以及近年来代表未来智能网络管理方向的Cabletron
刘先虎
公司的 SPECTRUM。
一、 HP 的0penView
HP 的OpenView有争议地成为了第一个真正兼容的、跨平台的网络管理系统,因此
也得到了广泛的市场应用。但是,虽然0penView被认为是一个企业级的网络管理系统,但
它跟大多数别的网络管理系统一样,不能提供 NetWare,SNA,DECnet,x.25,无线通
信交换机以及其他非 SNMP设备的管理功能。另一方面,HP 努力使 OpenView由最初的
提供给第三方应用厂商的开发系统,转变为一个跨平台的最终用户产品。它的最大特点是被
第三方应用开发厂商所广泛接受。比如 IBM 就把OpenView增强功能并扩展成为自己的
NetView产品系列,从而与 OpenView展开竞争。特别在最近几年,OpenView已经成为网
络管理市场的领导者,与其他网络管理系统相比,OPenView拥有更多的第三方应用开发厂
商。在近期,OpenView看上去更像一个工业标准的网络管理系统。
l、网络监管特性
()penView不能处理因为某一网络对象故障而误导致的其他对象的故障。具体说来就
是,它不具备理解所有网络对象在网络中相互关系的能力,因此一旦这些网络对象中的一个
发生故障,导致其他正常的网络对象停止响应网络管理系统,它会把这些正常网络对象当作
故障对象对待。同时,OpenView也不能把服务的故障与设备的故障区分开来,比如是服务
器上的进程出了问题还是该服务器出了问题,它不能区分。这些是 OpenView的最大弱点。
另外,在OpenView中,性能的轮询与状态的轮询是截然分开的,这样导致一个网络
对象响应性能轮询失败但不触发一个报警,仅仅只有当该对象不响应状态的轮询才进行故障
报警。这将导致故障响应时间的延长,当然两种轮询的分开将带来灵活性上的好处,第三方
的开发商可以对不同轮询的事件分别处理。
OpenView还使用了商业化的关系数据库,这使得利用OpenView采集来的数据开发
扩展应用变得相对容易。但第三方应用开发厂商需要自己找地方存放自己的数据,这又限制
了这些数据的共享。
2.管理特性
刘先虎
OpenView的MIB 变量浏览器相对而言是最完善的,而且正常情况下使用该MIB 变量
浏览器只会产生很少的流量开销。但 OpenView仍然需要更多、更简洁的故障工具以对付
各种各样的故障与问题。
3.可用性
OpenView的用户界面显得干净以及相对的灵活,但在功能引导上显得笨拙。同时
OpenView还在简单、易用的Motif的图形用户界面上提供状态信息和网络拓扑结构图形,
虽然这些信息和图形在大多数网络管理系统中都提供。但是一个问题是
浙公网安备 33021202002483