网络管理报告书小目录
1、网络管理的必要性
2、网络管理的组成
3、网管包括的具体方面
4、管理过程中用到的几款软件
1、网管的必要性
越来越多的企事业单位已经搭上互联网的快车,享受着互联网带来的行政管理、企业管理、文化教育、家庭娱乐方面的无线效率和便捷。但另一方面,我们同样也在为网络带来问题和安全隐患,以企业为例:
a、相当一部分员工在上班时间浏览和工作无关的网站。比如说娱乐、购物、邪教、反动的网站,这些网站一方面占用大量的工作时间,另一方面对员工的精神健康造成损害。
b、相当一部分员工在利用公司电脑玩单机游戏或者网络游戏。占用大量时间,或者占用过多公司带宽,造成公司网络的减慢,阻塞乃至瘫痪,导致重要的商业资讯无法及时传送而造成公司业务损失。
c、公司员工用各种下载工具下载网上资源是可能被恶意植入木马、病毒等从而损害公司电脑的安全,甚至会泄漏公司机密,造成不可逆转的损失等。
.
.
.
网络管理技术是随着计算机、网络及通信技术的发展而发展的,一个有效的网络一刻也离不开网络管理;另一方面,计算机及通信技术本身的快速发展又反过来刺激和促进了网络管理的发展。随着计算机和通信技术的不断发展,网络系统日益庞大和复杂,网络管理员所管理的资源信息也迅速增加,信息社会对计算机网络的依赖也会越来越大,先进的网络管理系统对于网络的安全、良好的运行已显得越来越重要,在网络规划时就必须加强对网络管理的考虑。
可见,企业网络管理是非常有必要的!
2、网管的组成
网络管理一般由五部分组成:管理进程、被管对象、代理进程、管理信息库和网络管理协议。
如图所示:
1.管理进程
管理进程也称为管理站,是网络管理的主动实体,它提供网络管理员与被管对象的界
面并完成网络管理员制定的各项管理任务,可读取或改变被管对象的网管信息。
2.被管对象
被管对象指网络上的软硬件设施。
3.代理进程
代理进程是网络管理中的被动实体,相当于一个解释器和过滤器,完成管理进程下达的管理任务,如系统配置和数据查询等,也可自动发送Trap或Event消息向管理进程报告本地出现的异常情况。
4.网络管理协议
网络管理协议是用于传输管理信息的一种传输协议,较流行的有SNMP和CMIP。
5.管理信息库
被管对象概念上的集合被称作管理信息库,所有相关的网络被管对象信息都存放在MIB中。MIB的组成结构在SMI中定义。MIB仅是一个概念上的数据库,实际网络中并不存在这样的库。MIB库在网络管理中的应用使得用面向对象的程序设计方法开发一体化的网络管理应用系统成为可能。
3、网络管理包括方面
(1)故障管理(fault management)
故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:
(1)故障监测:主动探测或被动接收网络上的各种事件信息,并识别出其中与网络和系统故障相关的内容,对其中的关键部分保持跟踪,生成网络故障事件记录。
(2)故障报警:接收故障监测模块传来的报警信息,根据报警策略驱动不同的报警程序,以报警窗口/振铃(通知一线网络管理人员)或电子邮件(通知决策管理人员)发出网络严重故障警报。
(3)故障信息管理:依靠对事件记录的分析,定义网络故障并生成故障卡片,记录排除故障的步骤和与故障相关的值班员日志,构造排错行动记录,将事件-故障-日志构成逻辑上相互关联的整体,以反映故障产生、变化、消除的整个过程的各个方面。
(4)排错支持工具:向管理人员提供一系列的实时检测工具,对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错;根据已有的徘错经验和管理员对故障状态的描述给出对徘错行动的提示。
(5)检索/分析故障信息:浏阅并且以关键字检索查询故障管理系统中所有的数据库记录,定期收集故障记录数据,在此基础上给出被管网络系统、被管线路设备的可靠性参数。
对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器,即所谓的"警报"。一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理器应能执行一些诊断测试来辨别故障原因。
(2)计费管理(accounting management)
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对
一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。
(1)计费数据采集:计费数据采集是整个计费系统的基础,但计费数据采集往往受到采集设备硬件与软件的制约,而且也与进行计费的网络资源有关。
(2)数据管理与数据维护:计费管理人工交互性很强,虽然有很多数据维护系统自动完成,但仍然需要人为管理,包括交纳费用的输入、联网单位信息维护,以及账单样式决定等。
(3)计费政策制定;由于计费政策经常灵活变化,因此实现用户自由制定输入计费政策尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。
(4)政策比较与决策支持:计费管理应该提供多套计费政策的数据比较,为政策制订提供决策依据。
(5)数据分析与费用计算:利用采集的网络资源使用数据,联网用户的详细信息以及计费政策计算网络用户资源的使用情况,并计算出应交纳的费用。
(6)数据查询:提供给每个网络用户关于自身使用网络资源情况的详细信息,网络用户根据这些信息可以计算、核对自己的收费情况。
计费模式:
所有场景所共有的需求是识别用户,一个用户可以是一个登录过程中被识别的用户名与密码,如在拨号服务器或WEB入口。此处用一个IP地址代表一个用户,计费方式为“基于时间的计费”,收费为一小时一元。当你激活无线网卡后,DHCP服务
器会提供一个IP地址,当你打开浏览器后,一个HTTP重定向命令会将浏览器引导至服务提供商的Web页面,之后需要选择你需要的在线时长并通过信用卡付费,在所购买的时长用尽时,连接会立即中断。
(3)配置管理(configuration management)
配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了实现某个特定功能或使网络性能达到最优。
(1)配置信息的自动获取:在一个大型网络中,需要管理的设备是比较多的,如果每个设备的配置信息都完全依靠管理人员的手工输入,工作量是相当大的,而且还存在出错的可能性。对于不熟悉网络结构的人员来说,这项工作甚至无法完成‘因此,一个先进的网络管理系统应该具有配置信息自动获取功能。即使在管理人员不是很熟悉网络结构和配置状况的情况下,也能通过有关的技术手段来完成对网络的配置和管理。在网络设备的配置信息中,根据获取手段大致可以分为三类:一类是网络管理协议标准的MIB中定义的配置信息(包括SNMP;和CMIP协议);二类是不在网络管理协议标准中有定义,但是对设备运行比较重要的配置信息;三类就是用于管理的一些辅助信息。
(2)自动配置、自动备份及相关技术:配置信息自动获取功能相当于从网络设备中“读”信息,相应的,在网络管理应用中还有大量“写”信息的需求。同样根据设置手段对网络配置信息进行分类:一类是可以通过网络管理协议标准中定义的方法(如SNMP中的set服务)进行设置的配置信息;二类是可以通过自动登录到设备进行配置的信息;三类就是需要修改的管理性配置信息。
(3)配置一致性检查:在一个大型网络中,由于网络设备众多,而且由于管理的原因,这些设备很可能不是由同一个管理人员进行配置的。实际上‘即使是同一个管理员对设备进行的配置,也会由于各种原因导致配置一致性问题。因此,对整个网络的配置情况进行一致性检查是必需的。在网络的配置中,对网络正常运行影响最大的主要是路由器端口配置和路由信息配置,因此,要进行一致性检查的也主要是这两类信息。
(4)用户操作记录功能:配置系统的安全性是整个网络管理系统安全的核心,因此,必须对用户进行的每一配置操作进行记录。在配置管理中,需要对用户操作进行记录,并保存下来。管理人员可以随时查看特定用户在特定时间内进行的特定配置操作。
(4)性能管理(performance management)
性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:
(1)性能监控:由用户定义被管对象及其属性。被管对象类型包括线路和路由器;被管对象属性包括流量、延迟、丢包率、CPU利用率、温度、内存余量。对于每个被管对象,定时采集性能数据,自动生成性能报告。
(2)阈值控制:可对每一个被管对象的每一条属性设置阈值,对于特定被管对象的特定属性,可以针对不同的时间段和性能指标进行阈值设置。可通过设置阈值检查开关控制阈值检查和告警,提供相应的阈值管理和溢出告警机制。
(3)性能分桥:对历史数据进行分析,统计和整理,计算性能指标,对性能状况作出判断,为网络规划提供参考。
(4)可视化的性能报告:对数据进行扫描和处理,生成性能趋势曲线,以直观的图形反映性能分析的结果。
(5)实时性能监控:提供了一系列实时数据采集;分析和可视化工具,用以对流量、负载、丢包、温度、内存、延迟等网络设备和线路的性能指标进行实时检测,可任意设置数据采集间隔。
(6)网络对象性能查询:可通过列表或按关键字检索被管网络对象及其属性的性能记录。
(5)安全管理(security management)
安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:
网络数据的私有性(保护网络数据不被侵入者非法获取),
授权(authentication)(防止侵入者在网络上发送错误信息),
访问控制(控制访问控制(控制对网络资源的访问)。
相应的,网络安全管理应包括对授权机制、访问控制、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:
网络管理过程中,存储和传输的管理和控制信息对网络的运行和管理至关重要,一旦泄密、被篡改和伪造,将给网络造成灾难性的破坏。网络管理本身的安全由以下机制来保证:
(1)管理员身份认证,采用基于公开密钥的证书认证机制;为提高系统效率,对于信任域内(如局域网)的用户,可以使用简单口令认证。
(2)管理信息存储和传输的加密与完整性,Web浏览器和网络管理服务器之间采用安全套接字层(SSL)传输协议,对管理信息加密传输并保证其完整性;内部存储的机密信息,如登录口令等,也是经过加密的。
(3)网络管理用户分组管理与访问控制,网络管理系统的用户(即管理员)按任务的不同分成若干用户组,不同的用户组中有不同的权限范围,对用户的操作由访问控制检查,保证用户不能越权使用网络管理系统。
(4)系统日志分析,记录用户所有的操作,使系统的操作和对网络对象的修改有据可查,同时也有助于故障的跟踪与恢复。
网络对象的安全管理有以下功能:
(1)网络资源的访问控制,通过管理路由器的访问控制链表,完成防火墙的管理功能,即从网络层(1P)和传输层(TCP)控制对网络资源的访问,保护网络内部的设备和应用服务,防止外来的攻击。
(2)告警事件分析,接收网络对象所发出的告警事件,分析员安全相关的信息(如路由器登录信息、SNMP认证失败信息),实时地向管理员告警,并提供历史安全事件的检索与分析机制,及时地发现正在进行的攻击或可疑的攻击迹象。
(3)主机系统的安全漏洞检测,实时的监测主机系统的重要服务(如WWW,DNS等)的状态,提供安全监测工具,以搜索系统可能存在的安全漏洞或安全隐患,并给出弥补的
措施。
应对措施:
防火墙是一种有效的网络安全机制,是限制被保护网络与外部网络之间信息访问的网络安全屏障,可防止需要保护的子网受到来自外网的入侵、干扰和破坏。利用防病毒技术,如安装查杀毒软件发现与修补漏洞、补丁,查杀计算机病毒等,以保证安全性,或通过设置文件许可权限,或通过某种算法对重要文件进行加密提高保险系数。
4、网管软件
依靠单纯的传统制度管理来应对网络新生问题明显失效。网管软件是现在最好的解决之道。国内大多数网管软件都能够对员工访问网站进行过滤。
下面我们给出几款软件netxray、Sniffer Pro。
NetXRay是由Cinco Networks公司开发的一个用于高级分组检错的软件,功能很强大。功能:捕获并分析数据包,发送数据包,网络管理查看。监视网络状态,为优化网络性能提供资料:长时间的捕获,依据统计数值分析网络性能,网络中包的捕捉和解码,用于故障分析:尽量精确的设置捕捉规则,利于精确分析.
Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件,不管是在有线网络还是在无线网络中,它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。对于在现场进行快速的网络和应用问题故障诊断,基于便携式软件的解决方案具备最高的性价比,却能够让用户获得强大的网管和应用故障诊断功能。
Sniffer主要功能包括:捕获网络流量进行详细分析;利用专家分析系统诊断问题;实时监控网络活动情况等。七大监控功能,包括Dashboard(仪表)、HostTable(主机列表)、Matrix(矩阵)、ART(应用响应时间)、Protocol Distribution(协议分类)、History Sample(历史采样)和Global Statistics(球状统计)。1,通过仪表盘可看到从捕获开始,有多少数据包经过网络,多少帧被过滤,以及遗失多少帧。还可看到网络医用率、数据包数目和广播数。2,通过主机列表功能,可查看某台计算机所传输的数据量,如果发现某台计算机在某个时间段内发送或接受了大量数据,则说明该用户可能使用BT、PPLive等P2P软件。3,Matrix以矩阵方式列出当前网络中的链接情况。可清楚掌握某计算机正在哪些地址进行连接,并可查看蠕虫、BT软件等造成的网络异常情况。4,应用响应时间用来显示网络中Web网站的连接情况,可看到局域网中有哪些计算机正在上网,浏览的是哪些网站等。5,历史采样记录了捕获过程中各个时间段的网络利用情况,还可将记录爆出起来,以便分析各个时间段的数据流量。6,协议分类以一定表现形式(如柱状或表格)显示网络中不同协议的使用情况。7,全局统计用来显示不同大小数据包的使用情况。另外还可创建过滤器,1,过滤IP地址。2,过滤端口。3,过滤网络协议。用此工具捕获数据时可进行数据分析 1
2
3 6
7
抓包分析数据