时间:2022-07-18 09:56:40
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络管理范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
关键词:网络战略管理战略网络
一、导言
随着Internet技术、计算机技术和网络技术的发展,人们已步入网络时代,它将彻底改变企业传统的经营方式和战略行为。网络时代的竞争已不再是单个企业之间的竞争,而是企业合作网络之间的竞争,这是一种新的竞争形态——网络竞争。在网络竞争环境下,基于“公司是独立、自治实体”的假设和仅从自身的利益出发来研究企业战略的局限性越来越明显,必须从嵌入于企业的关系网络视角来研究企业战略。战略网络(StrategicNetworks)就是在这种背景下兴起和发展起来的新战略思想。
所谓战略网络,是指由社会的不同组织或个人为了共同的远景,通过一定的协议或契约联结在一起,以彼此间相互信任和长期合作为基础而构成具有战略意义的、不断进化和优化的动态合作网络。战略网络及其管理“必然将成为新的管理范式与新的竞争游戏规则”,“战略网络管理是当今企业成功的关键”。因此,战略网络研究既是一个急需研究的理论问题,又是一个具有重大现实意义的问题。正如《战略管理杂志》(StrategicManagementJournal)在2000年3月出版“战略网络专集”时,编辑所评论的那样:“我们觉得认真地强调战略网络是如何影响公司的利润率问题——战略研究的一个中心问题的时机已成熟”。战略网络作为战略管理研究的新领域,已引起学术界的广泛关注,并从不同的角度展开研究。但由于战略网络及其嵌入其中的动态关系网络的复杂性和模糊性,现有的战略网络研究系统性不够,缺乏定量和动态分析及其支撑技术。为此,本文在评价现有战略网络研究学派的基础上,提出今后战略网络研究将是系统化、动态化和定量化,形成一套比较完整的、可操作的战略网络理论与技术方法,使得战略网络理论能真正应用于企业战略管理的实践之中。
二、战略网络研究沿革
20世纪80年代以前,市场环境相对稳定、资源稀缺,而且企业网络的功能主要体现在价格控制和市场的份额上,网络参与者将网络视为一种投机选择,协调成本高和机会主义多,因而网络被许多学者认为有负面影响和缺乏效率,长期以来其优势没有得到理论界和实业界的认真重视。20世纪80年代以后,市场环境发生了巨大的变化,特别是知识、信息在经济中的作用越来越大,网络技术的迅猛发展,组织网络化日益凸现,而且网络给企业的发展带来了显著的成效。例如,日本的企业之所以在20世纪七八十年代以来,国际竞争力迅速增强,国际化经营效果显著,就是因为日本的企业并非以单个原子状态来活动,而是以一群合作企业或组织构成相互依赖的关系网络参与国际竞争,实现知识共享、共同发展,形成了世界级的核心能力。因此,从20世纪80年代末开始,企业网络及其关系管理的研究,愈来愈受到学者们的重视,相继出现了组织生态系统(OrganizationEcosystem)、组织网络化(OrganizationalNetworking)、网络组织(NetworkOrganization)、组织域(OrganizationField)、企业集群(EnterpriseCluster)、伙伴关系(Partnering)、关系治理(RelationalGovernance)、拓展企业(ExpandedEnterprise)、合作竞争(Co—petition)、组织间竞争优势(Inter—organizationalCompetitiveAdvantage)、关系能力(RelationalCapability)、关系资源(RelationResource)、网络资源(NetworkResource)、联盟网络(AllianceNetworks)、战略网络(StrategicNetworks)、战略区域(StrategicBlocks)、公司间信任(Inter—firmTrust)、供应商网络(SuppliersNetwork)等新概念,有学者和先行的厂商已认识到企业隐含的、不可模仿的社会关系网络和其成功的合作伙伴——供应商、顾客、互补者和联盟伙伴,是“创新关键来源”、“组织学习的关键来源”、“学习和能力的关键来源”。R·Gualti等人将这些具有持久性的、对进入其中具有战略意义的组织之间的节点构成的网络统称为战略网络,这些节点包括了战略联盟、合资、长期的买卖伙伴等。于是,战略网络研究就成为战略管理研究的新热点。
就战略管理学者对战略网络研究历程看,首先提出战略网络概念的是J.C·Jarillo。他于1988年在《战略管理杂志》发表题为“战略网络”的论文,可谓是战略网络理论的经典之作。该文从战略的高度阐述了战略网络的内涵,认为战略网络是一种关系网络,获取企业生存和发展所需资源和知识的关键渠道,是“企业竞争优势之源”,而不仅仅是一种组织模式,使之有别于一般意义的网络组织。这篇文章的发表,标志着战略网络理论研究的开始。随后,战略管理研究者开始对企业之间和企业与其他组织之间的关系网络研究产生了广泛的兴趣,1992年N.Nohria等编写出版的论文集《网络与组织:结构、形式和行为》,汇集了社会网络理论、组织理论、战略理论、经济理论研究者对战略网络理论的最新研究成果。与此同时,战略网络研究的奠基者J.C.Jarillo通过进一步研究和实证考察,于1993年出版其专著《战略网络》,标志着战略网络理论基本形成。1999年F.J.Richter出版了其专著《战略网络——日本企业间合作的艺术》,该书以日本企业的战略网络为例,研究了战略网络的理论基础、战略网络形成动因、战略网络的管理与进化,进一步丰富了战略网络理论,促进战略网络理论走向实践。2000年《战略管理杂志》出版“战略网络’论文专集,介绍了当前有关战略网络理论研究的最新研究成果,强调这一理论要整合和系统化,使之形成比较完整的理论体系,更有效地指导企业在网络竞争环境下制定和实施企业战略。这标志着战略网络研究进入了一个系统研究阶段。
三、战略网络研究主要学派
由于战略网络及其嵌入其中的动态关系网络的复杂性和模糊性,目前战略管理的学者们都只能以不同的理论为基础,从不同的视角研究战略网络,并取得了一定的成果,为战略网络的进一步深入研究奠定了基础。作者综合有关文献,将现有战略网络研究主要分为五大学派。
1.以R.Gulati为代表的结合新经济社会学来研究企业战略网络的理论,我们称之为经济社会学派。R.Gulati的主要代表作有《战略网络》、《联盟与网络》、《网络位置与学习:网络资源和公司能力对联盟形成的影响》。
他的主要观点是:(1)规范了战略网络的定义,界定了战略网络的研究范围,明确将对企业有战略意义的战略联盟、合资、长期的买卖伙伴和一群相似的节点都归集为战略网络,强调它是嵌入于企业之中的关系网络,对企业的生存与发展具有战略意义。(2)用社会网络理论的“嵌人性”和“结构洞”原理,证明了战略网络对企业行为和绩效的影响,说明战略网络及其管理能力是网络资源和关系资源,是战略网络参与者在参与网络后所获得的独特资源,具有独特性,难以模仿性,是一种核心能力。(3)强调战略网络是一个公司接近信息、资源、市场和技术的关键渠道,能够取得学习、规模和范围经济的优势,战略网络直接影响企业的战略行为和竞争优势。(4)嵌入于战略网络之中的网络关系,对于企业来说,是一种既有机会又有约束的资源。因为“网络也意味企业被锁定在非生产关系里或排除了与其他可行的组织结成伙伴的机会”。(5)提出要整合战略网络于企业战略研究之中,并提出可从产业结构、产业内分析、企业能力、交易成本和转换成本、网络进化和企业收益来与现有的战略研究相结合。
该学派的主要缺点是:如何整合战略网络于战略研究中,没有提出具体的理论框架,缺乏技术方法研究,难于对企业的实践有实际指导作用。
2.以J.C.Jarillo为代表的用组织理论来研究战略网络,我们称之为组织学派。其主要代表作为《战略网络》、《战略网络——创造无边界的组织》(专著)。
他的主要观点有:(1)最早捉出战略网络的概念,认为战略网络是一种长期的、有目的的组织安排,其目的在于通过战略网络使企业获得长期竞争优势。(2)提出了用商业系统思想来研究企业经营活动。他认为,实现产品/服务有效地传送到顾客手中,整个过程的所有活动要合作,如何选择组织合作方式的中心问题,就是要保证企业持续竞争优势。(3)提出了组织商业系统活动方式的评价标准,是最大化组织效率与灵活性,并通过比较层级制、市场和战略网络三种组织方式,说明战略网络是网络经济时代最佳组织模式。(4)初步形成了战略网络的基本理论,有利于指导企业进行战略网络管理,包括网络选择的时机和信任机制的建立,利用交易成本理论说明何时建立网络为好,利用博弈理论提出了加强组织间信任的机制。
其主要不足是:没有考虑网络关系、社会和文化等因素对网络及其效率的影响,没有分析战略网络的成因、特征等基本问题,没有对战略网络中组织间学习过程和网络进化过程展开研究。
3.以P.J.Richter为代表的文化学派。他根据自身在中国、日本、韩国等东亚国家担任国际跨国公司代表、与这些国家的企业有长期交往的经历,发表了多篇有关东亚企业成长的论文,并于2000年出版了其专著《战略网络——日本企业间合作的艺术》。该书以日本企业的战略网络为例,研究了战略网络的理论基础、战略网络形成动因、战略网络的管理与进化,进一步丰富了战略网络理论和促进战略网络在实践中的应用。
Richter的主要观点有:(1)日本经济及其企业成功的关键因素之一,在于其企业的战略网络管理水平高,日本企业的战略网络与西方一般意义上的网络组织不同,它注重知识、能力资源的共享。(2)突出文化在战略网络形成和进化中的作用。强调由于日本企业受传统文化影响,容易形成战略网络的网络文化,包括高度忠诚、相互信任、自然尊重和统一价值观等。(3)运用企业系统理论、成长理论和博弈论来系统研究战略网络的动因,为战略网络研究提供了理论基础。(4)重点分析了战略网络企业间的网络学习过程,说明战略网络在知识管理和能力培养中的特殊意义。(5)论述了企业后勤合作、技术合作和全球化合作中的战略网络管理问题,为战略网络走向实际应用奠定了基础。(6)强调了企业家之间的关系在战略网络中的重要性。
由于Richter仅从文化视角研究战略网络,没有将战略网络管理整合于战略研究之中,由于文化研究难于定量化,造成缺乏对战略网络进行定量研究,也缺乏对战略网络管理对策研究。
4.以波特(Porter)为代表的用企业集群理论来研究区域合作网络。由于企业集群理论起源于区域经济研究,故我们将此学派称为区域经济学派。企业集群是指在一特定区域内的一群相互联系的公司和各种组织(包括学校、研究机构、中介机构、客户等),为了获取新的和互补的技术、从联盟中获益、加快学习过程、降低交易成本、分担风险而结成的网络。因此,我们认为,企业集群是战略网络的一种,集群研究也属于战略网络研究范畴。波特有关集群研究的主要代表作有《国家竞争》、《亚当·斯密:区位、集群和竞争的“新”竞争微观经济学》、《集群与新竞争经济学》和《产业集群与竞争:企业、政府和机构新议题》,其集群理论主要是通过对各国典型区域的企业集群(如硅谷和波士顿的高新产业区、意大利的皮革制造企业集群等)的实务观察和研究所得,他认为“所有进步的经济体中,都可明显存在着企业集群,企业集群的形成,也是经济发展的基本因素之一”。
波特的主要观点包括:(1)集群是位于某个地方、在特定领域内获得异质的竞争优势的重要集合,地理位置是一个竞争优势。(2)企业集群是一个开放体系,具有外部效应,同一地区内的公司或机构之间相互联系、共享知识,企业集群是一种“新竞争”和“新经济”。(3)企业集群是由地理位置所处的社会、文化、政策等条件形成的,具有历史依赖性。(4)集群是空间布局上的新组织形式,“代表一种合作与竞争的组合”,是一种合作竞争思想,是一种群体思维的战略思想(突破单个实体的狭隘思想)。(5)分析了企业集群的成因、特征和网络关系,揭示了企业集群与竞争优势的关系,丰富了战略网络研究的内容。
其主要缺点:过分强调地理位置在企业集群形成中的重要性,认为在网络经济时代“地点仍是竞争的根本”,产业选择首要问题是区位:过分强调政府产业政策对集群管理的作用,忽略了企业本身在关系网络管理中的能动作用,利用集群理论侧重于区域经济和产业经济发展的研究,而非用于微观层面的企业战略研究之中。
5.以J.M.Moor为代表的从生态观的视角来研究战略网络,我们称之为商业生态学派。Moor提出的企业商业系统包括了供应商、主要生产者、竞争对手、顾客、科研机构、高等院校、行政管理部门、政府及其他利益相关者。我们认为,各个成员在这个系统中相互依赖、共同进化所形成的交错复杂的关系网络,从本质上看也是一种战略网络,有关商业生态系统研究也应属于战略网络研究领域。Moor的代表作,是其1996年出版的《竞争的衰亡:商业生态系统时代的领导和战略》。他认为,网络经济世界的运行并不都是你死我活的斗争,而是像生态系统那样,企业与其他组织之间存在“共同进化”关系。在企业的商业生态系统中,为了企业的生存和发展,彼此间应该合作,努力营造与维护一个共生的商业生态系统。因此,他强调必须有“新的语言、新的战略逻辑和新的实施方法”,用全新的理论——商业生态学来全面阐述了商业生态系统的企业战略。
Moor的主要观点包括:(1)用生态系统的观念来透视整个商业经营活动和研究战略,拓宽了战略网络研究的视野。他认为,企业是其所处商业生态系统的成员之一,这个系统决定了企业的战略行为和战略价值,这个系统绩效直接影响到企业绩效。(2)按照自相似、自组织、自学习与动态进化的原则来设计网状结构组织和商业生态系统(即战略网络),通过共创愿景、系统思考、网络学习、共享知识、协同作用,使企业在创造未来中实现可持续发展。(3)建立一个相互依赖、相互学习、共同进化的企业生态系统,是企业持续发展的前提。企业的绩效主要取决于其在这个系统中的合作效率和网络关系管理能力的水平。(4)商业生态系统中的成员间相互合作演化过程,包括了开拓、发展、权威、重振或死亡,企业在这个演化过程中不断进化、异化和蜕变。(5)强调了企业与环境的相互渗透,企业的边界模糊。企业的战略行为受其所在的系统制约,企业的战略制定、实施和评价都依赖于整个系统。
其主要缺点是:过分强调系统选择企业的作用,忽略了企业本身初始条件的重要性,忽略了企业核心能力对其战略行为的决定作用和对整个商业生态系统的影响,仅强调整个商业生态系统中各成员的合作,忽视了成员之间的合作是一个博弈过程,有合作也有竞争,并认为合作有周期性,无法持久。
综观战略网络研究各个学派的主要观点,我们认为,当前有关战略网络研究有以下的特点:(1)应用一种理论从某个侧面研究的多,而综合各种理论从系统观角度研究的少。(2)偏重于战略网络形成和企业战略网络案例分析的多,而对嵌入于战略网络的关系分析与战略网络结构分析的少。(3)侧重于战略网络的静态研究多,企业战略网络管理的动态研究少,更缺乏对深层次的网络管理问题和网络进化问题的研究。(4)在技术方法研究上,以定性为主,缺乏定量的具有动态性的技术方法,更缺乏有关动态战略分析方法、网络信息管理支撑技术方法和工具的研究。正因如此,战略网络研究至今还没有形成一种比较完整的、对企业战略管理有现实指导意义的、可操作的基本战略理论及其技术与方法,使之未能广泛应用于企业战略管理实践之中。
四、战略网络研究趋势和主要方向
从上分析,我们认为,现代战略网络研究发展趋势是:(1)战略网络研究系统化。由于战略网络及其嵌入其中的动态关系网络的复杂性和模糊性,既涉及到经济学、管理学的内容,又涉及到社会学、心理学的知识,未来的研究必须整合多个学科的理论来系统研究战略网络,才能对战略网络有全面的认识和理解。(2)战略网络研究动态化。战略网络的基本特征就是动态变化和不断进化,只有引入社会网络技术、系统动力学、进化博弈、离散仿真的技术等分析方法来分析战略网络的互动性和动态性,才能真正揭示战略网络的演化规律。(3)战略网络研究定量化。由于战略网络涉及的组织多、相互的关系复杂,未来的研究必须采用社会调查统计方法收集大量的数据,利用现代数学统计方法分析网络和建立相应的数学模型,才有保证战略网络研究成果的科学性和可操作性。
结合战略网络研究发展趋势分析,我们认为,今后战略网络研究的主要方向:
1.用系统观进行战略网络理论框架研究。综合应用现代企业战略理论、社会网络理论、协同商务理论、企业能力理论、系统理论和博弈论等,从系统观的角度,构建战略网络理论框架。它包括战略网络的结构、功能和特征,战略网络对企业绩效的影响,企业核心能力和企业动态关系网络分析,战略网络的目标与选择,战略网络的动态管理,战略网络绩效评价与网络进化。
2.战略网络中的组织间动态关系分析与技术方法研究。要运用系统动力学、社会网络技术方法和离散系统仿真技术,进行组织间动态关系网络分析与仿真模型优化,明确对企业核心能力的培育、提升和发挥不同作用网络节点之间的动态关系,保证战略网络的优化。
3.战略网络动态管理过程研究,要促进战略网络研究成果用于实践和可操作性,这是研究的重点和难点,它包括:(1)利用组织学习理论和企业网络理论,建立起有效的网络学习机制:运用博弈理论分析网络学习中的博弈均衡问题,制定出企业在网络学习中的最优策略。(2)运用委托—理论,建立长期网络信任机制,保证网络知识有效转换、整合与创新。(3)运用协同商务的原理和技术、数据库技术、计算机和网络通讯技术等,开发和实现基于协同商务观的企业战略网络信息管理系统,保证网络内部信息、知识的快速交流、处理和共享。
一、网络连接故障问题
在使用局域网的时候,无法避免地会存在一些故障。网络管理最主要的任务之一是:对网络系统进行优化,及时排除相应的故障。网络连接故障问题只要是发生在日常的医院网络管理工作之中,就应该对相关网络机器中的网卡设置仔细检查运行正常与否。通过用鼠标按顺序点击设置窗口进行检查:点击控制面板,点击系统,点击设备管理,点击网络适配器。另外,及时检查在相关窗口中有没有出现I/O地址冲突和中断号的情况。一般来说,网卡配置成功主要表现在:“该设备正常运转”字样出现在网络适配器属性里面,至少在“网上邻居”中能较为容易地找到。当网卡检查完毕保证正常工作状态时,通过一定方式搜索其他网络中的计算机,出现网络连线中断问题最常见的状况是:无法联系到其他网络中的计算机,采用的方式是:“网上邻居”。RJ-45水晶头和双绞线接触不到位、网络线内部出现断裂现象、网络连接设备出现不少质量问题,对于线路到底有没有断裂可以采用测线仪做一些相应的检测,接着在检测网络质量好坏时可以采用替代方式进行测试。在网卡和网线正常运作的前提下,应该仔细检查一下软件设置方面有没有什么故障。打个比方,出现故障的原因不排除中断信号有误差。在保证网络介质运行正常的前提下,满足一定的条件才能返回进行网卡设置,这个条件是:当处于明确无法接通时。进一步检查相关设备资源有无冲突现象,这里需要指出的是,绝大部分冲突未必都有明显提示。为了能够及时将问题解决,确保正常开展医务人员相关方面的工作,必须注重排查软件和硬件,寻找阻碍网络正常连接的根源。
二、网络堵塞问题
相当一部分医院认为,网络设备质量无法引起有关方面高度重视的主要原因在于:不少医院在网络建设的过程之中,只注重大幅度降低成本,促使网络建设见效十分的不明显。一般来说,医院必须昼夜持续不间断地工作。为了避免医院网络出现瘫痪的情况,为了保证医院相关网络设备的稳定运行,我们应该重点关注服务器和主交换机的运转状况,大大增强相关网络设备的稳定性能。在实践过程中,网络难免存在一些堵塞情况,这在一定程度上影响医院员工正常的工作秩序,大幅度降低了医院员工的工作效率。将路由器的管理信息库打开,网络平均流量远远低于50%会在该库显示出来,很少产生数据碰撞的情况,这表明在整个网络结构中并不是所有设备都是有缺陷的,或许是极个别工作站引发了故障。在局域网中明确相关工作站地点的前提下,进一步确定存在质疑的工作站用户和与位置的有效途径是:采用一定的方式将MAC地址搜索到,并且将相关工作站网卡MAC地址备份顺利打开,将两者对照起来进行精确查找。这个方式是:通过熟练运用网络万用表。紧接着,全面地检查这个搜索出来的工作站,但是应该清楚地看到,计算机并没有给该工作站用户使用,却出现了网络堵塞的情况。进一步连接该工作站网卡和相关方面的网络测试仪,对流量进行模拟发送。只要大幅度增加流量,那么数据碰撞的次数也会相应递增。毫无疑问,故障发生在网卡的连接上。这里需要明确的是,所有工作站在局域网中基于同一个网段,整个网络传输质量很大程度上受一台工作站运转状况的影响,导致堵塞故障出现在整个网络。另外,IE浏览器使用故障问题不容忽视。
作者:宋向坤 单位:安徽省太和县人民医院
前 言
随着计算机技术和Internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
第一章 网络安全技术
1.1概述
网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,以及其他的安全服务和安全机制策略。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系.
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高.
网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.
信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用
1.2防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.
目前的防火墙产品主要有堡垒主机,包过滤路由器,应用层网关(服务器)以及电路层网关,屏蔽主机防火墙,双宿主机等类型.
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击.
自从1986年美国Digital公司在Internet上安装了全球第一个商用防火墙系统,提出了防火墙概念后,防火墙技术得到了飞速的发展.国内外已有数十家公司推出了功能各不相同的防火墙产品系列.
防火墙处于5层网络安全体系中的最底层,属于网络层安全技术范畴.在这一层上,企业对安全系统提出的问题是:所有的IP是否都能访问到企业的内部网络系统如果答案是"是",则说明企业内部网还没有在网络层采取相应的防范措施.
作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一.虽然从理论上看,防火墙处于网络安全的最底层,负责网络间的安全认证与传输,但随着网络安全技术的整体发展和网络应用的不断变化,现代防火墙技术已经逐步走向网络层之外的其他安全层次,不仅要完成传统防火墙的过滤任务,同时还能为各种网络应用提供相应的安全服务.另外还有多种防火墙产品正朝着数据安全与用户认证,防止病毒与黑客侵入等方向发展.
根据防火墙所采用的技术不同,我们可以将它分为四种基本类型:包过滤型,网络地址转换—NAT,型和监测型.
1.3 防火墙主要技术
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些"包"是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转化—NAT
网络地址转换是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不许要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
型
型防火墙也可以被称为服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,服务器相当于一台真正的服务器;而从服务器来看,服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给服务器,服务器再根据这一请求向服务器索取数据,然后再由服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性.
监测型
监测型防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以目前在实用中的防火墙产品仍然以第二代型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上
1.4防火墙体系结构
筛选路由式体系结构
SHAPE \* MERGEFORMAT
屏蔽子网式结构
双网主机式体系结构
SHAPE \* MERGEFORMAT
屏蔽主机式体系结构
1.5入侵检测系统
1概念
当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接2连3的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至于不可能被彻底解决,还的仍然可以有更大的改善,只不过我们所采取的安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现他、有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,在相当一部分黑客攻击当中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节------入侵检测系统。
入侵检测系统(Intrusion detection system,简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成份,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前存取控制系统,例如防火墙;识别防火墙通常用不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。
作为监控和识别攻击的标准解决方案,IDS系统已经成为安防体系的重要组成部分。
IDS系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。
防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误解操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从二可以极大地减少网络免受各种攻击的损害。
假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。
2侵检测的主要技术————入侵分析技术
入侵分析技术主要有三大类:签名、统计和数据完整性。
签名分析法
名分析法主要用来检测有无对系统的已知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。
主要方法:从攻击模式中归纳出其签名,编写到IDS系统的代码里,再由IDS系统对检测过程中收集到的信息进行签名分析。
签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操作动作,一方是已知攻击模式的签名数据库。
统计分析法
统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。
主要方法:首先根据被检测系统的正常行为定义一个规律性的东西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。
统计分析法的理论经常是统计学,此方法中,“写照”的确定至关重要。
数据完整分析法
数据完整分析法主要用来查证文件或对象是否被修改过,它的理论经常是密码学。
3侵检测系统的分类:
现有的IDS的分类,大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性研究方面的问题,在这里采用五类标准:控制策略、同步技术、信息源、分析方法、响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中,监控和探测是由本地的一个控制点控制,层次似的将报告发向一个或多个中心站。在全分布式IDS中,监控和探测是使用一种叫“”的方法,进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技中,信息源是以文件的形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中,事件一发生,信息源就传给分析引擎,并且立刻得到处理和反映。实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式IDS,能够同时分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中,首先建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库,由于库的有限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时,主动IDS会采用以下三种响应:收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法,因为行为有点过激)。被动响应IDS则是将信息提供给系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
4 IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点
就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说,必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。(5)自身抵抗攻击能力。这一点很重要,尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:(1)IDS运行时,额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。
5 IDS的发展趋
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主方法,智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:
(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的 监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。结合防火墙,病毒防护以及电子商务技术,提供完整的网络安全保障。
第二章 网络管理
2.1概述
随着计算机技术和Internet的发展,企业和政府部门开始大规模的建立网络来推动电子商务和政务的发展,伴随着网络的业务和应用的丰富,对计算机网络的管理与维护也就变得至关重要。人们普遍认为,网络管理是计算机网络的关键技术之一,尤其在大型计算机网络中更是如此。网络管理就是指监督、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障。
关于网络管理的定义目前很多,但都不够权威。一般来说,网络管理就是通过某种方式对网络进行管理,使网络能正常高效地运行。其目的很明确,就是使网络中的资源得到更加有效的利用。它应维护网络的正常运行,当网络出现故障时能及时报告和处理,并协调、保持网络系统的高效运行等。国际标准化组织(ISO)在ISO/IEC7498-4中定义并描述了开放系统互连(OSI)管理的术语和概念,提出了一个OSI管理的结构并描述了OSI管理应有的行为。它认为,开放系统互连管理是指这样一些功能,它们控制、协调、监视OSI环境下的一些资源,这些资源保证OSI环境下的通信。通常对一个网络管理系统需要定义以下内容:
系统的功能。即一个网络管理系统应具有哪些功能。
网络资源的表示。网络管理很大一部分是对网络中资源的管理。网络中的资源就是指网络中的硬件、软件以及所提供的服务等。而一个网络管理系统必须在系统中将它们表示出来,才能对其进行管理。
网络管理信息的表示。网络管理系统对网络的管理主要靠系统中网络管理信息的传递来实现。网络管理信息应如何表示、怎样传递、传送的协议是什么?这都是一个网络管理系统必须考虑的问题。
系统的结构。即网络管理系统的结构是怎样的。
网络管理这一学科领域自20世纪80年代起逐渐受到重视,许多国际标准化组织、论坛和科研机构都先后开发了各类标准、协议来指导网络管理与设计,但各种网络系统在结构上存在着或大或小的差异,至今还没有一个大家都能接受的标准。当前,网络管理技术主要有以下三种:诞生于Internte家族的SNMP是专门用于对Internet进行管理的,虽然它有简单适用等特点,已成为当前网络界的实际标准,但由于Internet本身发展的不规范性,使SNMP有先天性的不足,难以用于复杂的网络管理,只适用于TCP/IP网络,在安全方面也有欠缺。已有SNMPv1和SNMPv2两种版本,其中SNMPv2主要在安全方面有所补充。随着新的网络技术及系统的研究与出现,电信网、有线网、宽带网等的融合,使原来的SNMP已不能满足新的网络技术的要求;CMIP可对一个完整的网络管理方案提供全面支持,在技术和标准上比较成熟.最大的优势在于,协议中的变量并不仅仅是与终端相关的一些信息,而且可以被用于完成某些任务,但正由于它是针对SNMP的不足而设计的,因此过于复杂,实施费用过高,还不能被广泛接受;分布对象网络管理技术是将CORBA技术应用于网络管理而产生的,主要采用了分布对象技术将所有的管理应用和被管元素都看作分布对象,这些分布对象之间的交互就构成了网络管理.此方法最大的特点是屏蔽了编程语言、网络协议和操作系统的差异,提供了多种透明性,因此适应面广,开发容易,应用前景广阔.SNMP和CMIP这两种协议由于各自有其拥护者,因而在很长一段时期内不会出现相互替代的情况,而如果由完全基于CORBA的系统来取代,所需要的时间、资金以及人力资源等都过于庞大,也是不能接受的.所以,CORBA,SNMP,CMIP相结合成为基于CORBA的网络管理系统是当前研究的主要方向。
网络管理协议
网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。
网络管理系统通常由管理者(Manager)和( Agent)组成,管理者从各那儿采集管理信息,进行加工处理,从而提供相应的网络管理功能,达到对管理之目的。即管理者与之间孺要利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。
目前有两大网管协议,一个是由IETF提出来的简单网络管理协议SNMP,它是基于TCP / IP和Internet的。因为TCP/IP协议是当今网络互连的工业标准,得到了众多厂商的支持,因此SNMP是一个既成事实的网络管理标准协议。SNMP的特点主要是采用轮询监控,管理者按一定时间间隔向者请求管理信息,根据管理信息判断是否有异常事件发生。轮询监控的主要优点是对的要求不高;缺点是在广域网的情形下,轮询不仅带来较大的通信开销,而且轮询所获得的结果无法反映最新的状态。
另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控,当对网络进行监控时,管理者只需向发出一个监控请求,会自动监视指定的管理对象,并且只是在异常事件(如设备、线路故障)发生时才向管理者发出告警,而且给出一段较完整的故障报告,包括故障现象、故障原因。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对的软硬件资源要求高,要求被管站上开发许多相应的程序,因此短期内尚不能得到广泛的支持。
网络管理系统的组成
网络管理的需求决定网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。
网管软件平台提供网络系统的配置、故障、性能以及网络用户分布方面的基本管理。目前决大多数网管软件平台都是在UNIX 和DOS/WINDOWS平台上实现的。目前公认的三大网管软件平台是:HP View、IBM Netview和SUN Netmanager。虽然它们的产品形态有不同的操作系统的版本,但都遵循SNMP协议和提供类似的网管功能。
不过,尽管上述网管软件平台具有类似的网管功能,但是它们在网管支撑软件的支持、系统的可靠性、用户界面、操作功能、管理方式和应用程序接口,以及数据库的支持等方面都存在差别。可能在其它操作系统之上实现的Netview、 Openview、Netmanager网 管 软 件 平 台 版 本 仅 是 标 准Netview、 Openview、Netmanager的子集。例如,在MS Windows操作系统上实现的Netview 网管软件平台版本Netview for Windows 便仅仅只是Netview的子集。
网管支撑软件是运行于网管软件平台之上,支持面向特定网络功能、网络设备和操作系统管理的支撑软件系统。
网络设备生产厂商往往为其生产的网络设备开发专门的网络管理软件。这类软件建立在网络管理平台之上,针对特定的网络管理设备,通过应用程序接口与平台交互,并利用平台提供的数据库和资源,实现对网络设备的管理,比如Cisco Works就是这种类型的网络管理软件,它可建立在HP Open View和IBM Netview等管理平台之上,管理广域互联网络中的Cisco路由器及其它设备。通过它,可以实现对Cisco的各种网络互联设备(如路由器、交换机等)进行复杂网络管理。
网络管理的体系结构
网络管理系统的体系结构(简称网络拓扑)是决定网络管理性能的重要因素之一。通常可以分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。
非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM(Manager of manager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的MOM,而不直接通讯。层次方式相对来说具有一定的伸缩性:通过增加一级MOM,层次可进一步加深。分布式是端对端(peer to peer)的体系结构,整个系统有多个管理方,几个对等的管理者同时运行于网络中,每个管理者负责管理系统中一个特定部分 “域”,管理者之间可以相互通讯或通过高级管理者进行协调。
对于选择集中式还是非集中式,这要根据实际场合的需要来决定。而介于两者之间的部分分布式网管体系结构,则是近期发展起来的兼顾两者优点的一种新型网管体系结构
2.2常见的几种网络管理技术
基于WEB的网络管理模式
随着 Internet技术的广泛应用,Intranet也正在悄然取代原有的企业内部局域网,由于异种平台的存在及网络管理方法和模型的多样性, 使得网络管理软件开发和维护的费用很高, 培训管理人员的时间很长,因此人们迫切需要寻求高效、方便的网络管理模式来适应网络高速发展的新形势。随着Intranet和WEB 及其开发工具的迅速发展,基于WEB的网络管理技术也因此应运而生。基于WEB的网管解决方案主要有以下几方面的优点:(1)地理上和系统间的可移动性:系统管理员可以在Intranet 上的任何站点或Internet的远程站点上利用 WEB 浏览器透明存取网络管理信息;(2)统一的WEB浏览器界面方便了用户的使用和学习,从而可节省培训费用和管理开销;(3)管理应用程序间的平滑链接:由于管理应用程序独立于平台,可以通过标准的HTTP协议将多个基于WEB的管理应用程序集成在一起,实现管理应用程序间的透明移动和访问;(4)利用 JAVA技术能够迅速对软件进行升级。 为了规范和促进基于WEB的网管系统开发,目前已相继公布了两个主要推荐标准:WEBM和JMAPI。两个推荐标准各有其特色,并基于不同的原理提出。
WEBM方案仍然支持现存的管理标准和协议,它通过WEB技术对不同管理平台所提供的分布式管理服务进行集成,并且不会影响现有的网络基础结构。 JMAPI 是一种轻型的管理基础结构,采用JMAPI来开发集成管理工具存在以下优点:平台无关、高度集成化、消除程序版本分发问题、安全性和协议无关性。
2.分布对象网络管理技术
目前广泛采用的网络管理系统模式是一种基于Client/Server技术的集中式平台模式。由于组织结构简单,自应用以来,已经得到广泛推广,但同时也存在着许多缺陷:一个或几个站点负责收集分析所有网络节点信息,并进行相应管理,造成中心网络管理站点负载过重;所有信息送往中心站点处理,造成此处通信瓶颈;每个站点上的程序是预先定义的,具有固定功能,不利于扩展。随着网络技术和网络规模尤其是因特网的发展,集中式在可扩展性、可靠性、有效性、灵活性等方面有很大的局限,已不能适应发展的需要.
CORBA技术
CORBA技术是对象管理组织OMG推出的工业标准,主要思想是将分布计算模式和面向对象思想结合在一起,构建分布式应用。CORBA的主要目标是解决面向对象的异构应用之间的互操作问题,并提供分布式计算所需要的一些其它服务。OMG是CORBA平台的核心,
它用于屏蔽与底层平台有关的细节,使开发者可以集中精力去解决与应用相关的问题,而不必自己去创建分布式计算基础平台。CORBA将建立在ORB之上的所有分布式应用看作分布计算对象,每个计算对象向外提供接口,任何别的对象都可以通过这个接口调用该对象提供的服务。CORBA同时提供一些公共服务设施,例如名字服务、事务服务等,借助于这些服务,CORBA可以提供位置透明性、移动透明性等分布透明性。
CORBA的一般结构
基于CORBA的网络管理系统通常按照Client/Server的结构进行构造。其中,服务方是指针对网络元素和数据库组成的被管对象进行的一些基本网络服务,例如配置管理、性能管理等.客户方则是面向用户的一些界面,或者提供给用户进一步开发的管理接口等。其中,从网络元素中获取的网络管理信息通常需要经过CORBA/SNMP网关或CORBA/CMIP网关进行转换,这一部分在有的网络管理系统中被抽象成CORBA的概念.从以上分析可以看出,运用CORBA技术完全能够实现标准的网络管理系统。不仅如此,由于CORBA是一种分布对象技术,基于CORBA的网络管理系统能够克服传统网络管理技术的不足,在网络管理的分布性、可靠性和易开发性方面达到一个新的高度。
2.3统一不同的网络管理系统面临的问题
统一的不同层面
网络管理的统一存在三个层次。
站点级的统计,这是最低级的统一,不同的网络管理系统在同一服务器上运行,相互独立,是不同的NMS。
GUI级的统一,指不同的网络管理系统操作界面风格统一,运用的术语相同,管理员面对的是一种操作语言,这是一种表面上的统一,具有友好的一次性学习的界面。
管理应用级的统一,这是最高级别的统一。在这个级别上,不但实现了GUI的统一,各种网络管理系统的管理应用程序按照统一标准设计,应用程序间可进行信息共享和关联操作。在这一层面上的统一实现了对异构网的综合分析与管理,进行关联操作,网管系统可具有推理判断能力。
统一的内容
网络管理系统统一可从三个方面依次去实现,即操作界面的统一、网管协议的统网管功能的统一。
界面的统一
网络管理系统是管理的工具,但归根到底是要人去操作管理,操作界面的优劣会对管理员产生很大影响。不同网管系统具有不同的操作界面,要求管理员分别学习,或增加管理员人数,形成人力浪费。现在没有统一的网管用户界面的统一标准。现有的网管系统几乎都实现了图形界面,但既有基于UNIX操作系统的又有基于WINDOWS操作系统,且界面的格式千差万别,给管理员的工作增加困难。
网管协议的统一
管理协议是NMS核心和管理之间进行信息交换遵循的标准,是网管系统统一的关键所在。目前流行的两种网管协议为SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互联网活动委员会IAB提出的基于TCP/IP网管协议,CMIP是由国际标准化组织ISO开发的基于网络互联的网管协议。网管协议的统一就是指这两种协议的统一
网管功能的统一
在ISO标准中定义了配置管理、故障管理、性能管理、安全管理、计费管理等领域。现有的网管系统在网管规范尚未成熟就进行了开发,大都是实现了部分模块的部分功能。这些网管系统功能单一,相互独立,不能实现信息的共享。不能从宏观上实现管理,不利于网络的综合管理。
统一的策略
将多个网络管理系统统一在一起的方法有三种,一种是格式转换法,即各个子网管理系统通过程序进行格式的转换,以便相互识别和共享资源,是一种分散式管理方式。另一种使用分层网管平台,即建立更高级的管理系统,高级网管系统和低级网管系统间进行通信,分层管理,是一种分布式管理方式。第三种是标准化方法,是遵循标准的规范和协议,建立的综合网络管理系统。
使用分层的网管平台是当前较为流行的方法,如现在广泛研究和讨论的基于CORBA的TMN(Telecomunication Management Network)就是将TMN中的管理者通过ORB(Object Request Broker)连接起来,实现不同管理系统的统一。
格式转换法是目前使用较多的方法,如运营商要求网管系统对外提供统一的数据收集、告警信息。
协议标准化方法是统一网络管理系统的趋势和方向,电信管理网TMN就是在电信领域内的一种标准协议,使得不同的厂商、不同的软硬件网管产品的统一管理成为可能。标准化实现统一的网管功能,包括网管协议的标准化、管理信息集模型的标准化和高层管理应用程序功能的统一规划。
格式转换和应用网管平台的策略是基于现有网管系统的基础上统一网管系统,而标准法策略则不考虑现有网管系统而重新设计一套新的标准,或是对现有网络管理系统进行较大改进,考虑到我们当前的网络管理发展的现状,还是以格式转换和应用网管平台方式统一网络系统。
网络管理系统实现统一的方法
当前网络管理的统一主要涉及两个方面,一是网管协议的统一。另一种是分布系统的统一,即在CORBA环境下的统一。它是基于面向对象的网管平台和格式转换的策略。
2.4网络管理协议SNMP和CMIP的统一
SNMP和CMIP在它们的范围、复杂性、以及解决网络管理问题的方法方面有很大的不同。SNMP被设计的很简单,使它非常易于在TCP/IP系统中普及。目前这已经成为事实。可是这一特点也不太适合大型的、复杂的、多企业的网络。相对应的,CMIP被设计的比较通用和灵活。但这也同时提高了复杂性。SNMP和CMIP的统一是指分别支持这两种协议的网络管理系统信息互通,互相兼容。
SNMP和CMIP统一有两种思想,一种是两种协议共存,一种是两种协议的互作用。
协议共存可有三种方法实现,一是建立双协议栈,二是建立混合协议栈,三是通用应用程序接口(APIs)。双协议栈的方法要求被管设备同时支持两种体系结构,但这要求被管设备要有很高的处理能力和存储能力,开销大,不实用。混合协议栈就是建立一种底层协议栈同时支持这两种协议,这样运行在该协议栈上的管理系统可同时管理支持SNMP的设备和支持CMIP的设备,为了使CMIP能在内存有限的设备上运行,IBM和3COM联合为IEEE802.1b开发了一个特殊的逻辑链路控制上的CMIP(CMOL),因为它取消了很多高层协议开销,减少了对设备处理能力和内存的需求,并且不需要考虑底层的协议,但同时由于缺少网络层,失去了跨越互联网络的能力。多厂商管理平台定义了一套开放的应用程序接口(APIs),允许开发商开发管理软件而不用关心管理协议的一些细节描述、数据定义、和特殊的用户接口。如图2所示为HP OpenView利用XMP(X/Open Management Protocol) API来实现多协议管理平台的结构。其中Postmaster 用来管理在网络对象间的通信,如管理者和之间的请求和相应,而ORS(Object Registration Services)为每个产生一个目录,纪录它们的位置和采用的协议。
协议共存虽然能实现SNMP和CMIP的综合,但协议之间没有互作用能力不能很好的实现协作对网络的分布式管理。 对于SNMP内部不支持SNMP的设备可采用委托PROXY的方式解决。对于TMN/CMIP内部非Q3或Qx接口的设备可通过增加适配器进行转换。因此可通过增加中间的方式来解决SNMP和CMIP之间统一问题。由于CMIP的强大的对等能力和对复杂系统的模型能力即事件驱动机制,使得它更适于跨管理域实现对等实体间的互作用,以分层分布的方式管理网络,由于它对设备的性能要求较高,因此在这种层次结构中,可充当中央管理站和中间管理站,而SNMP可用于下层管理简单设备。如图3给出了协议互作用的管理模型
基于CORBA的网管系统的统一
利用面向对象的的技术对网络资源进行描述是一种有效的方式。在分层的网络管理平台上,利用面向对象的思想,将网络资源和网络管理资源进行抽象。管理平台为不同应用系统和高层管理者提供的是一组管理对象,对象由属性和方法组成。利用对象的封装性可以使管理应用和高层管理者面对在较高层次上进行抽象的管理对象,屏蔽了实现各种管理功能的细节。为应用提供了对网络资源进行描述和管理的高级抽象,易于实现各种管理功能。而对象类的继承性便于扩充和增加管理对象类,继承性支持系统开发过程中的可重用性。
在应用环境中,管理应用和高层管理节点与管理平台是基于C/S(顾客/服务器)模式的分布式结构,即管理应用节点和高层管理者节点与他们所以来的平台节点可能处于不同的地理位置。因此考虑基于何种结构,采用什么样的协议实现分布对象的访问。
多厂商设备的环境的网络管理一直是网络管理研究和实现的难点。鉴于CORBA的分布式面向对象的特点,在网管系统的开发中加以引用。
本文采用OMG的CORBA(Common Object Request Broker Architecture)做为实现分布管理对象访问的设施。CORBA是很有应用前景的系统集成标准,它提供了面向对象应用的互操作标准。CORBA位分布对象环境描述了面向对象的设施-----对象请求,他提供了分布对象进行请求和应答的机制。这样CORBA提供了在异构分布环境下不同机器的不同应用的互操作能力和将多个对象系统无缝互连接的能力。CORBA机制是独立于任何程序设计语言的,对象的接口描述在IDL(Interface Description Language)中。CORBA支持两种标准协议-----GIOP和IIOP。GIOP是信息表示协议,描述了所传输信息的格式,而IIOP则描述了CORBA所支持的传输协议,即GIOP信息如何进行交换
管理不同厂商应用和高层管理者如何使用CORBA机制访问相应的管理平台所提供的管理对象。使得处于不同节点的不同厂商的管理应用和高层管理者能无缝使用分布对象提供的功能。在这两种情况下原理是相同的,只是功能不同,在第一种情况下,不同厂商的管理应用脚本程序通过CORBA机制访问管理平台上的应用管理对象,以实现同一层次上的管理功能。在第二种情况下,高层管理平台上的脚本进程通过CORBA机制访问底层管理者为高层提供的管理对象以实现高层对底层的网络管理功能。
CORBA机制除支持客户端对服务器端所提供的分布对象的访问外,还提供分布对象服务功能------COSS,它包括分布对象访问的安全机制、事件机制等。在网络管理应用中,除主动询问网络管理信息以管理、监视网络的运行状态外,还有一种应用是被管理对象在发生故障和事件时,向管理者提出事件处理请求。CORBA中的事件服务机制恰好可以满足这一需求。
2.5网络管理分类及功能
事实上,网络管理技术是伴随着计算机、网络和通信技术的发展而发展的,二者相辅相成。从网络管理范畴来分类,可分为对网“路”的管理。即针对交换机、路由器等主干网络进行管理;对接入设备的管理,即对内部PC、服务器、交换机等进行管理;对行为的管理。即针对用户的使用进行管理;对资产的管理,即统计IT软硬件的信息等。根据网管软件的发展历史,可以将网管软件划分为三代:
第一代网管软件就是最常用的命令行方式,并结合一些简单的网络监测工具,它不仅要求使用者精通网络的原理及概念,还要求使用者了解不同厂商的不同网络设备的配置方法。
第二代网管软件有着良好的图形化界面。用户无须过多了解设备的配置方法,就能图形化地对多台设备同时进行配置和监控。大大提高了工作效率,但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题数增大,容易引发误操作。
第三代网管软件相对来说比较智能,是真正将网络和管理进行有机结合的软件系统,具有“自动配置”和“自动调整”功能。对网管人员来说,只要把用户情况、设备情况以及用户与网络资源之间的分配关系输入网管系统,系统就能自动地建立图形化的人员与网络的配置关系,并自动鉴别用户身份,分配用户所需的资源(如电子邮件、Web、文档服务等)。
根据国际标准化组织定义网络管理有五大功能:故障管理、配置管理、性能管理、安全管理、计费管理。对网络管理软件产品功能的不同,又可细分为五类,即网络故障管理软件,网络配置管理软件,网络性能管理软件,网络服务/安全管理软件,网络计费管理软件。
下面我们来简单介绍一下大家熟悉的网络故障管理、网络配置管理、网络性能管理、网络计费管理和网络安全管理五个方面网络管理功能:
ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能,并被广泛接受。这五大功能是:
(1)故障管理(fault management)
故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:
.维护并检查错误日志
.接受错误检测报告并做出响应
.跟踪、辨认错误
.执行诊断测试
.纠正错误
对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器,即所谓的"警报"。 一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理 器应能执行一些诊断测试来辨别故障原因。
(2)计费管理(accounting management)
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。
(3)配置管理(configuration management)
配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了 实现某个特定功能或使网络性能达到最优。
这包括:
.设置开放系统中有关路由操作的参数
.被管对象和被管对象组名字的管理
.初始化或关闭被管对象
.根据要求收集系统当前状态的有关信息
.获取系统重要变化的信息
.更改系统的配置
(4)性能管理(performance management)
性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:
.收集统计信息
.维护并检查系统状态日志
.确定自然和人工状况下系统的性能
.改变系统操作模式以进行系统性能管理的操作
(5)安全管理(security management)
安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:
网络数据的私有性(保护网络数据不被侵 入者非法获取),
授权(authentication)(防止侵入者在网络上发送错误信息),
访问控制(控制访问控制(控制对网络资源的访问)。
相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:
.创建、删除、控制安全服务和机制
.与安全相关信息的分布
.与安全相关事件的报告
网络管理中的关键
网络迅速发展,导致网络结构更为复杂;网络应用的日新月异,让网络管理员每天都要面对新的问题。很多企事业单位,在遇到网络问题不知道应该如何去解决,看流量,拔网线等手段,排查周期长,也很难真正找出问题。
网络发展到一定阶段,必然要考虑到网络性能、网络故障与网络安全性问题。只有通过运用网络分析技术对网络流通数据的清晰认识,才能为故障的排查,性能的提升,以及网络安全的解决提供可靠的数据依据。
信息应用与治理
网络最大的价值,是在于信息化的应用。当出现故障不能及时解决,既使有再好的电子商务、电子政务,也只是一个摆设。无论是安全、性能还是故障性问题,不能快速解决,给企业带来的是难以衡量的损失。
治理并不是简单的网络管理,它需要管理者对网络中所有设备完全掌握,包括每个网卡地址,以及所处的位置。通过对网络传输中的数据进行全面监控分析,才能从网络底层数据获取各种网络应用行为造成的网络问题,并快速的定位到网卡的位置。从而在安全策略上更好的防范,对故障和性能更合理的管理。
一劳永逸的误区
从管理角度的考虑,往往期望络故障和安全性问题可以自动解决。但历经多年,没有任何产品能做到。虽然许多企业部署了非常好的安全防护产品,但仍然会受到网络攻击和病毒危害。根本原因在于,网络应用本身就在不断的发展,新的病毒以及病毒变种,都很难被基于特征库或病毒库的产品所识别。要解决这些问题,则要求网络管理员随时都能查看到网络中真实的数据,最快的发现引起问题的原因。
网络拓扑图VS矩阵图
网络拓扑图要求这些交换设备都必须支持SNMP(简单网络管理协议),它能直观能看到网络结构,但看不到终端主机;它能看到设备断网情况和粗略流量,但对网络问题的解决能力并不实用。
从技术趋势来看,矩阵图(Matrix)将更适合网络管理的需要。矩阵图也被称为主机连接图,可以监控每台主机(包括交换设备)之间的通讯连接,极大的提高了监控范围,监控范围深入到每台主机之间的各种应用,包括通讯、资源占用、活跃程度、服务应用等,管理者可以监控到每台主机的一举一动,各种网络问题都会在矩阵中表现出异常。如:BT下载、DDOS攻击、ARP攻击、木马扫描等。
"诊断专家"快速提高解决能力
网络分析不仅提供网络依据,更重要的是帮助管理者提高问题的解决能力。"诊断专家"则是一个从问题原因到问题结果的完整解释。好的网络分析产品,可以自动提取问题的相关数据,并告诉管理者网络中存在有哪些问题,可能产生的原因,有什么办法可以解决,ARP攻击的快速定位则是一个很好的证明。
网络数据的回放能力
好的网络分析产品,都具有网络数据的回放能力,将网络数据进行7x24小时记录,可以按每天或每小时来记录。如果要分析昨天某个时段出现的网络故障,只需要将当时保存的数据包进行播放,同时通过网络分析来追溯故障是如何发生的,使网络管理对历史问题追查能力得到明显提高。
2.6网络管理体系结构及技术
1 WBM 技术介绍
随着应用Intranet的企业的增多,同时Internet技术逐渐向Intranet的迁移,一些主要的网络厂商正试图以一种新的形式去应用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式,从出现伊始就表现出强大的生命力,以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐,被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。
WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此,他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面,浏览器操作和W e b页面对W W W用户来讲是非常熟悉的,所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说,WBM是网络管理方案的一次革命。
2 基于WBM 技术的网管系统设计
系统的设计目标
在本系统设计阶段,就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标,采用先进的WBM技术和高效的算法,力求在性能上可以达到国外同类产品的水平。
本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理,使用户可以从任何地方通过WEB浏览器对网络和设备,以及相关系统和服务实施应变式管理和控制,从而保证网络上的资源处于最佳运行状态,并保持网络的可用性和可靠性。
系统的体系结构
在系统设计的时候,以国外同类的先进产品作为参照物,同时考虑到技术发展的趋势,在当前的技术条件下进行设计。我们采用三层结构的设计,融合了先进的WBM技术,使系统能够提供给管理员灵活简便的管理途径。
三层结构的特点[2]:1)完成管理任务的软件作为中间层以后台进程方式实现,实施网络设备的轮询和故障信息的收集;2)管理中间件驻留在网络设备和浏览器之间,用户仅需通过管理中间层的主页存取被管设备;3)管理中间件中继转发管理信息并进行S N M P 和H T T P之间的协议转换三层结构无需对设备作任何改变。
网络拓扑发现算法的设计
为了实施对网络的管理,网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前,即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的,拓扑的速度也非常快。但它存在一个缺陷[3]。那就是,在一个特定的域中,所有的子网的信息都依赖于设备具有SNMP的特性,如果系统不支持SNMP,则这种方法就无能为力了。还有对网络管理的不重视,或者考虑到安全方面的原因,人们往往把网络设备的SNMP功能关闭,这样就难于取得设备的M I B值,就出现了拓扑的不完整性,严重影响了网络管理系统的功能。针对这一的问题,下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。
PING和路由建立
PING的主要操作是发送报文,并简单地等待回答。PING之所以如此命名,是因为它是一个简单的回显协议,使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是:首先向目的机器发送一个响应请求的ICMP报文,然后等待目的机器的应答,直到超时。如收到应答报文,则报告目的机器运行正常,程序退出。
路由建立的功能就是利用I P 头中的TTL域。开始时信源设置IP头的TTL值为0,发送报文给信宿,第一个网关收到此报文后,发现TTL值为0,它丢弃此报文,并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析,这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿,第一个网关把它的TTL值减为0后转发给第二个网关,第二个网关发现报文TTL值为0,丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去,直到报文正确到达信宿,这样就得到了通往信宿的路由。
网络拓扑的发现算法具体实现的步骤:
(1)于给定的IP区间,利用PING依次检测每个IP地址,将检测到的IP地址记录到IP地址表中。
(2)对第一步中查到的每个IP地址进行traceroute操作,记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。
(3)对IP地址表中的每个IP地址,通过发送掩码请求报文与接收掩码应答报文,找到这些IP地址的子网掩码。
(4)根据子网掩码,确定对应每个IP地址的子网地址,并确定各个子网的网络类型。把查到的各个子网加入地址表中。
(5)试图得到与IP地址表中每个IP地址对应的域名(Domain Name),如具有相同域名,则说明同一个网络设备具有多个IP地址,即具有多个网络接口。
(6)根据第二步中的路由与第四步中得到的子网,产生连接情况表。
第三章 网络维护
3.1概述
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
3.2分析模型和方法
七层的网络结构分析模型方法
从网络的七层结构的定义和功能上逐一进行分析和排查,这是传统的而且最基础的分析和测试方法。这里有自下而上和自上而下两种思路。自下而上是:从物理层的链路开始检测直到应用。自上而下是:从应用协议中捕捉数据包,分析数据包统计和流量统计信息,以获得有价值的资料。
网络连接结构的分析方法
从网络的连接构成来看,大致可以分成客户端、网络链路、服务器端三个模块。
1、客户端具备网络的七层结构,也会出现从硬件到软件、从驱动到应用程序、从设置错误到病毒等的故障问题。所以在分析和测试客户端的过程中要有大量的背景知识,有时PC的发烧经验也会有所帮助。也可以在实际测试过程中询问客户端的用户,分析他们反映的问题是个性的还是共性的,这将有助于自己对客户端的进一步检测作出决定。
2、来自网络链路的问题通常需要网管、现场测试仪,甚至需要用协议分析仪来帮助确定问题的性质和原因。对于这方面的问题分析需要有坚实的网络知识和实践经验,有时实践经验会决定排除故障的时间。
3、在分析服务器端的情况时更需要有网络应用方面的丰富知识,要了解服务器的硬件性能及配置情况、系统性能及配置情况、网络应用及对服务器的影响情况。
工具型分析方法
工具型分析方法有强大的各种测试工具和软件,它们的自动分析能快速地给出网络的各种参数甚至是故障的分析结果,这对解决常见网络故障非常有效。
综合及经验型分析方法靠时间、错误和成功经验的积累 在大多数的阿络维护工作人员的工作中是采用这个方法的,再依靠网管和测试工具迅速定位网络的故障。
3.3计算机无法上网故障的排除
1、对于某网计算机上不了网的故障,首先要分别确定此计算机的网卡安装是否正确,是否存在硬件故障,网络配置是否正确在实际工作中我们一般采用Ping本机的回送地址(127.0.0.1)来判断网卡硬件安装和TCP/IP协议的正确性。
如果能Ping通,即说明这部分没有问题。如果出现超时情况,则要检查计算机的网卡是否与机器上的其它设备存在中断冲突的问题。通过查看系统属性中的设备管理器,查看是否在网络适配器的设备前面有黄色惊叹号或红色叉号,如有则说明硬件的驱动程序没有安装成功,可删除后重新安装。另外,要确保TCP/IP协议安装的正确性,并且要绑定在你所安装的网卡上。如果重新安装后还是Ping不通回送地址,最好换上一块正常的网卡试一试。由于在局域网中划分了VLAN,所以连在不同VLAN中的计算机都有各自不同的IP地址、子网掩码和网关。要在机器的网络属性中设定的IP地址等数据与连接的VLAN相匹配,否则将出现网络不通的情况。
当确保了计算机的硬件设备和网络配置正确后,接着就要查看计算机与交换机之间的双绞线,交换机的RJ45端口或交换机的配置是否有问题。此时我们要Ping上网计算机所在VLAN的网关,不通的话就要分段检查上面所说的各项。
最简单的方法是检查双绞线,用线缆测试仪检测双绞线是否断开。双绞线没有问题,就要查看交换机的端口是否坏了。交换机每一个端口都有状态指示灯以询问一下其它网管人员就可以排除了,如果不放心可以对照查看。交换机的参数配置表也是网络管理员必备的资料之一,并且随着网络用户的变化要不断地修改,检测到此,如果端口指示灯不亮,就只能是端口损坏了,可以把跳线接到正常使用的端口上排除其它原因,确定是端口的问题。
2、一批联网计算机上不了网对于同时有一批计算机上不了网的故障,首先要找到这些计算机的共性,如是不是属于同一VLAN或接在同一交换机上的,若这些计算机属于同一VLAN,且属于计算机分别连接于不同的楼层交换机,那么检查一下路由器上是否有acl限制,在路由器上对该VLAN的配置是否正确,路由协议(如我局的OSPF协议)是否配置正确。若这些计算机属于同一交换机,则应到机房检查该交换机是否有电源松落情况,或该交换机CPU负载率是否很高,与上一级网络设备的链路是否正常。
通常某交换机连接的所有电脑都不能正常与网内其它电脑通讯,这是典型的交换机死机现象,可以通过重新启动交换机的方法解决。如果重新启动后故障依旧,则检查一下那台交换机连接的所有电脑,看逐个断开连接的每台电脑的情况,慢慢定位到某个故障电脑,会发现多半是某台电脑上的网卡故障导致的。
故障通常是交换机的某个端口变得非常缓慢,最后导致整台交换机或整个堆叠慢下来。通过控制台检查交换机的状态,发现交换机的缓冲池增长得非常快,达到了90%或更多。原因及解决方法为:首先应该使用其它电脑更换这个端口上原来的连接,看是否由这个端口连接的那台电脑的网络故障导致的,也可以重新设置出错的端口并重新启动交换机,个别时候,可能是这个端口损坏了。
3.4计算机网络故障分析
计算机网络故障主要分为硬件故障和软件故障,对计算机网络故障进行分析也主要可以从硬件与软件两个方面着手:
(一)计算机网络故障分析与诊断的基本方法
计算机网络故障分析与诊断的原则可归纳为:由服务器到工作站(就是出现工作站不能入网的情况时,先确定服务器是否有问题);由外部到内部(即当有工作站出现网络故障时,先检查其外部直接可看到的设备情况,如与之相连的交换机或集线器有没有故障,电缆有无缠绕导致内部线缆断裂或接触不良);由软件到硬件(就是网络出故障后先从操作系统、网络协议、网卡驱动程序及配置上找原因。重新安装网卡驱动或网络协议、操作系统,看看故障是否消失。在确定排除软件问题后再检查硬件是否损坏。
(二)网络硬件故障的分析与诊断方法
网络中的硬件故障比较复杂,现就日常工作中常见的网络连线问题和网卡问题来进行探讨。如,网线至交换机或集线器之间的故障分析与诊断方法,故障诊断:通过看网卡指示灯集线器指示灯。首先,检查网线是否插好;其次,若有数台工作站同时出现网络故障,则有可能是连接这些计算机的交换机或集线器出故障。如,网卡故障,故障分析:这是最常发生的问题。如网卡设置错误,网卡在安装过程中是否正确地设置中断号,I/0端口地址,驱动程序是否出错,网卡是否出故障等。
(三)网络配置故障的分析与诊断
故障分析:网络配置故障就是由网络中的各项配置不当而产生的故障。它是一种较复杂的现象,不但要检查服务器的各项配置、工作站的各项配置,还要根据出现的错误信息和现象查出原因。如,域名、计算机名和地址故障的分析与诊断。故障分析:在实际工作中经常会出现在“网上邻居”中看不到其它计算机或只能看到部分计算机,无法找到指定的计算机等现象。故障诊断:检查网络中每个域、每台计算机的名称是否唯一;检查网络中的计算机名是否和域名或工作组名重复,使用TCP/IP时,检查分配给网络适配器的IP地址有无重复。在如协议故障的分析与诊断,故障分析:确认您所使用的协议与网络上其它计算机使用的协议相同。否则,将看不到网络上其它计算机。在配置和使用TCP/IP协议时的主要问题是IP地址、子网掩码和路由问题。IP地址的分配复杂,分配不好,容易造成网络混乱。因而,非网管人员不要随意修改IP地址。
3.5故障定位及排除的常用方法
1.告警性能分析法
通过网管获取告警和性能信息进行故障定位。我们单位使用了Siteview网络网管,可以对全单位的网络设备进行管理,平时多观察各设备CPU负载率和各线路的流量。当有人反映不能连接至网络或网速很慢时,可通过网管观察计算机与交换机的连接情况,是否有时断时通的现象,交换机CPU负载率是否很高,线路流量是否很大。通过观察设备端口状态,分析和观察交换机哪个端口所接的计算机发包量不太正常。
2.查看网络设备日志法
经常看一下网络设备的日志,分析设备状况。我曾经通过showlonging命令观察到4006交换机下连的2950交换机经常每隔7小时down掉,然后又up,因时间间隔较长,单位人员未感觉网络中断,在此期间我们检查并确定了光缆、光收发器、网线、交换机配置、交换机端口均正常,后来的间隔时间由原来的7小时减为7分钟。由此我们立即判定2950交换机本身有故障,马上将已准备好的备用交换机换上,从而减少了处理故障的时间,并在最短时间内恢复网络。
3.替换法
替换法就是使用一个工作正常的物体去替换一个工作不正常的物体,从而达到定位故障、排除故障的目的。这里的物件可以是一段线缆、一个设备和一块模块。
4.配置数据分析法
查询、分析当前设备的配置数据,通过分析以上的配置数据是否正常来定位故障。若配置的数据有错误,需进行重新配置。
3.6计算机网络维护
计算机网络故障是与网络畅通相对应的一概念,计算机网络故障主要是指计算机无法实现联网或者无法实现全部联网。引起计算机网络故障的因素多种多样但总的来说可以分为物理故障与逻辑故障,或硬件故障与软件故障。物理故障或硬件故障可以包括电源线插头没有进行正常的连接,联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等故障也会不同程度影响到网络用户正常使用网络。软件故障是当前最常见的计算机网络故障之一,常见的软件故障有网络协议问题、网络设备的配置和设置等问题造成的。
网络故障目前已经成为影响计算机网络使用稳定性的重要因素之一,加强对计算机网络故障的分析和网络维护已经成为网络用户经常性的工作之一。及时进行网络故障分析和网络维护也已经成为保障网络稳定性的重要方式方法。
计算机网络维护是减少计算机网络故障,维护计算机网络稳定性的重要的方式方法。计算机网络维护一般来说包括以下方面:
1.对硬件的维护。首先检测联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等是否能够正常运行,对临近损坏的计算机硬件要及时进行更换。同时要查看网卡是否进行了正确的安装与配置。具体来说要确定联网计算机硬件能够达到联网的基本要求,计算机配置的硬件不会与上网软件发生冲突而导致不能正常联网。
2.对软件的维护。软件维护是计算机网络维护的主要方面,具体来说主要包括,
(1)计算机网络设置的检查。具体来说检查服务器是否正常,访问是否正常,以及检查网络服务、协议是否正常。
(2)对集线器、交换器和路由器等网络设备的检查。具体来说,包括检测网络设备的运行状态,检测网络设备的系统配置。
(3)对网络安全性的检测。对网络安全性的检测主要包括,对服务器上安装的防病毒软件进行定期升级和维护,并对系统进行定期的查杀毒处理;对服务器上安装的防火墙做不定期的的系统版本升级,检测是否有非法用户入网入侵行为;对联网计算机上的数据库做安全加密处理并对加密方式和手段进行定期更新,以保障数据的安全性。
(4)网络通畅性检测。在进行网络维护的过程,经常会遇到网络通讯不畅的问题,其具体表现为网络中的某一结点pingq其他主机,显示一个很小的数据包,需要几百甚至几千毫秒,传输文件非常慢,遇到这种情况应首先看集线器或交换机的状态指示灯,并根据情况进行判断。
计算机网络是计算机技术的一重要应用领域,计算机网络的便捷、高效、低廉为计算机网络应用的增加提供了保障,但计算机网络故障一旦发生就会给网络用户带来使用上巨大不便,甚至造成巨大的损失。因而必须进一步加强计算机网络故障分析与维护研究,提高网络的稳定性和安全性。
结束语 本文提出了现代网络中的一些安全策略,重点提出了管理技术和维护技术。本文介绍了几种常用的防范技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,本文介绍了网络管理几个方面的技术和网络维护的几种常用技术。
参考文献
晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究
周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社
李佳石, 冰心著. 网络管理系统中的自动拓扑算法[J].华中科技大学学报胡谷雨. 现代通信网和计算机管理.
岑贤道,安长青. 网络管理协议及应用开发.
1、网络流量的特性
通过对互联网通信量的测量,人们发现互联网通信量的主要特性有:
1、数据流是双向的,但通常是非对称的
互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
2、大部分TCP会话是短期的
超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。
3、包的到达过程不是泊松过程
大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
4、网络通信量具有局域性
互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和源及目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
2、 网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
1、基于硬件的测量和基于软件的测量
基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。
2、主动测量和被动测量
被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。
3、在线分析和离线分析
有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线地显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。
4、协议级分类
对于不同的协议,例如以太网(Ethernet ),帧中继(Frame Relay ),异步传输模式( Asynchronous Transfer Mode ),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
3、 网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
1、基于网络流量全镜像的监测技术:网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。
在网络安全上,网络监听一直被认为是一个比较敏感的话题,作为一个已经发展相对成熟的技术,网络监听在协助管理员进行网络数据检测、网络故障排除等方面都具有不可替代的作用,从而深受广大网络管理员的青睐。但是,从另外一个方面来讲,网络监听也给网络安全带来了巨大的隐患,在网络监听行为的同时往往会伴随着大量的网络若亲,从而导致了一系列的敏感数据被盗等安全事件的发生。
一、网络监听的定义
网络监听(英文名称Sniffer)是通过利用计算机的网络接口将网络上的传输数据进行截获的一种工具。我们一般认为网络监听是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上,可以攫取网络信息流的软件或硬件。网络监听早期主要是分析网络的流量,以便找出所关心的网络中潜在的问题。网络监听的存在对网络系统管理员是至关重要的,网络系统管理员通过网络监听可以诊断出大量的不可见模糊问题(如网络瓶颈、错误配置等),监视网络活动,完善网络安全策略,进行行之有效的网络管理。
二、网络监听的工作原理
Internet是由众多的局域网所组成,这些局域网一般是以太网、令牌网的结构。数据在这些网络上是以很小的称为帧(Frame)的单位传输的,帧通过特定的网络驱动程序进行成型,然后通过网卡发送到网线上。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式,物理上是广播的,同一物理网段的所有主机的网卡都能接收到这些以太网帧。当网络接口处于正常状态时,网卡收到传输来的数据帧,网卡内的芯片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,如果认为是目的地址为本机地址的数据帧或是广播帧,则接收并在接收后产生中断信号通知CUP,否则就丢弃不管,CUP得到中断信号产生中断,操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。通过修改网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将它收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式,称之为混杂模式。网络监听就是通过将网卡设置为混杂模式,它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。网络监听工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
三、网络监听的用途
在网络安全领域中,网络监听占有极其重要的作用。网络监听程序通常有两种形式:一是商业网络监听,二是黑客所使用的。商业网络监听用于维护网络,对于网络管理者,监听也是监控本地网络状况的直接手段,监听还是基于网络的入侵检测系统的必要基础。具体来说就是:
1.把网络中的数据流转化成可读格式。2.进行性能分析以发现网络瓶颈。
3.入侵检测以发现外界入侵者。4.生成网络活动日志和安全审计。
5.进行故障分析以发现网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器做出精确的问题判断。借助于网络监听,系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪一台主机、报文发送占用多少时间、或者相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。对于黑客攻击而言,网络监听是一种有效信息收集手段,并且可以辅助进行IP欺骗,如收集科技情报、个人资料、技术成果、系统信息、用户的帐号和密码,一些商用机密数据等,目的是为进一步入侵系统做准备,或者是为了其他不可告人的目的。
四、常用的网络监听工具
Network General:Network General开发了多种产品。最重要的是Expert Sniffer,它不仅仅可以sniffing,还能够通过高性能的专门系统发送/接收数据包。还有一个增强产品Distributed Snuffer System,可以将UNIX工作站作为Sniffer控制台,而将Sniffer Agents分布到远程主机上。
Microsoft’s Net Monitor:对于某些商业站点,可能同时需要运行多种协议如NetBEUI、IPX/SPX、TCP/IP、802.3和SNA等。这时很难找到一种Sniffer帮助解决网络问题,因为许多Sniffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor可以解决这个难题。它能够正确区分诸如Netware控制数据包、NetBios名字服务广播等独特的数据包。这个工具运行在MS Windows平台上。它甚至能够按MAC地址(或主机名)进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的,只要在一个对话框中单击需要监视的主机即可。
WinDump:最经典的Unix平台上的tepdump的Windows移植版,和tepdump几乎完全兼容,采用命令行方式运行。
Tcpdump:最经典的网络监听工具,被大量的Unix系统采用。
Dsniff:作者设计的出发点是用这个东西进行网络渗透测试,包括一套小巧好用的小工具,主要目标放在口令、用户访问资源等敏感资料上。
中图分类号:TP
文献标识码:A
文章编号:1672-3198(2010)17-0348-01
1 网络流量的特征
1.1 数据流是双向的,但通常是非对称的
互联网上大部分的应用都是双向交换数据的,因此网络的流是双向的。但是两个方向上的数据率有很大的差异,这是因为从网站下载时会导致从网站到客户端方向的数据量比另外一个方向多。
1.2 大部分TCP会话是短期的
超过90%的TCP会话交换的数据量小于10K字节,会话持续时间不超过几秒。虽然文件传输和远程登陆这些TCP对话都不是短期的,但是由于80%的WWW文档传输都小于10K字节,WWW的巨大增长使其在这方面产生了决定性的影响。1.3 包的到达过程不是泊松过程
大部分传统的排队理论和通信网络设计都假设包的到达过程是泊松过程,即包到达的间断时间的分布是独立的指数分布。简单的说,泊松到达过程就是事件(例如地震,交通事故,电话等)按照一定的概率独立的发生。泊松模型因为指数分布的无记忆性也就是事件之间的非相关性而使其在应用上要比其他模型更加简单。然而,近年来对互联网络通信量的测量显示包到达的过程不是泊松过程。包到达的间断时间不仅不服从指数分布,而且不是独立分布的。大部分时候是多个包连续到达,即包的到达是有突发性的。很明显,泊松过程不足以精确地描述包的到达过程。造成这种非泊松结构的部分原因是数据传输所使用的协议。非泊松过程的现象迫使人们怀疑使用简单的泊松模型研究网络的可靠性,从而促进了网络通信量模型的研究。
1.4 网络通信量具有局域性
互联网流量的局域性包括时间局域性和空间局域性。用户在应用层对互联网的访问反映在包的时间和目的地址上,从而显示出基于时间的相关(时间局域性)和基于空间的相关(空间局域性)。
2 网络流量的测量
网络流量的测量是人们研究互联网络的一个工具,通过采集和分析互联网的数据流,我们可以设计出更加符合实际的网络设备和更加合理的网络协议。计算机网络不是永远不会出错的,设备的一小点故障都有可能使整个网络瘫痪,或者使网络性能明显下降。例如广播风暴、非法包长、错误地址、安全攻击等。对互联网流量的测量可以为网络管理者提供详细的信息以帮助发现和解决问题。互联网流量的测量从不同的方面可以分为:
2.1 基于硬件的测量和基于软件的测量
基于硬件的测量通常指使用为采集和分析网络数据而特别设计的专用硬件设备进行网络流的测量,这些设备一般都比较昂贵,而且受网络接口数量,网络插件的类型,存储能力和协议分析能力等诸多因素的限制。基于软件的测量通常依靠修改工作站的内核中的网络接口部分,使其具备捕获网络数据包的功能。与基于硬件的方法比较,其费用比较低廉,但是性能比不上专用的网络流量分析器。
2.2 主动测量和被动测量
被动测量只是记录网络的数据流,不向网络流中注入任何数据。大部分网络流量测量都是被动的测量。主动测量使用由测量设备产生的数据流来探测网络而获知网络的信息。例如使用ping来估计到某个目的地址的网络延时。
2.3 在线分析和离线分析
有的网络流量分析器支持实时地收集和分析网络数据,使用可视化手段在线显示流量数据和分析结果,大部分基于硬件的网络分析器都具有这个能力。离线分析只是在线地收集网络数据,把数据存储下来,并不对数据进行实时的分析。
2.4 协议级分类
对于不同的协议,例如以太网(Ethernet)、帧中继(Frame Relay)、异步传输模式(Asynchronous Transfer Mode),需要使用不同的网络插件来收集网络数据,因此也就有了不同的通信量测试方法。
3 网络流量的监测技术
根据对网络流量的采集方式可将网络流量监测技术分为:基于网络流量全镜像的监测技术、基于SNMP的监测技术和基于Netflow的监测技术三种常用技术。
3.1 基于网络流量全镜像的监测技术
网络流量全镜像采集是目前IDS主要采用的网络流量采集模式。其原理是通过交换机等网络设备的端口镜像或者通过分光器、网络探针等附加设备,实现网络流量的无损复制和镜像采集。和其它两种流量采集方式相比,流量镜像采集的最大特点是能够提供丰富的应用层信息。
3.2 基于Netflow的流量监测技术
Netflow流量信息采集是基于网络设备提供的Netflow机制实现的网络流量信息采集。
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6892-02
Campus Intranet Computer Network Fault Analysis and Maintenance Program
ZHANG Bo
(Network Management Center, Baoji University of Arts and Sciences, Baoji 721007, China)
Abstract: In order to enable network administrators to work easily and can be in a highly challenging and technically difficult task, so that the smooth conduct of the work, we must work to correct some habits. Otherwise, it will hinder the smooth progress of the matter. Therefore, this article will be here several unsafe methods of network management, and summed up the experience of the author's work, in view of the characteristics of these insecurities and be corrected.
Key words: cautious; update; rigid; idealistic
1 不要过于谨慎
为了防止网络中的不利事件发生, NetopsiaSecuritatis的方法是紧紧地锁住系统,以至于任何人或者发生任何事情都无法改变系统,其他授权的管理员只能登录和修改自己的密码,而密码每次使用后,都有可能失效。这就意味着用户能做的事情就运行程序和编辑文件,所有授权用户只能面对一个的登录界面和一台普通的桌面系统,这对用户来说太危险了。
实际上,我们应该以仔细、开放的方式管理网络。工作站面对授权用户应该将端口开放以便于具体工作。管理服务器应在必要的时候允许安装任何其他的附件,在网络线路发生改变时,可以启动工作站解决问题。如果系统设备固定了,就失去了设备的灵活性。
2 不要频繁更新
更新是必要的,但是NetopsiaAbsistus的工作方式是不实际的。如果把网络上的每个工作站都设置成“网络唤醒”模式,而且在每天工作结束时自动关闭工作站,用这类远程控制来管理应用程序和系统的升级,那么每天你都会发现计算机系统完全变成了另一个模样,并且已经找不到昨天使用过的任何程序了。这样的确造成了一些麻烦。
由于工作站是一种以个人计算机和分布式网络计算为基础,主要面向专业应用领域,具备强大的数据运算与图形、图像处理能力,为满足工程设计、动画制作、科学研究、软件开发、金融管理、信息服务、模拟仿真等专业领域而设计开发的高性能计算机。另外,工作站还可分为台式工作站和移动工作站。因此,工作站应该具有独立性。
3 不要“贪多”
网络管理员是保障网络正常运行,在故障发生时迅速定位和排除错误,设计、组装、管理和维护内部计算机网络,提供计算机技术咨询与支持,以保证信息安全的专职人员。网络管理员在技术上要求熟悉网络设备的性能、连接与配置,掌握网络服务的搭建、配置与管理,能熟练使用网络诊断软件工具,及时排除网络故障;具备较强的动手能力和学习能力,善于分析、思考问题。因此,其技术能力可以说是随着网络的“成长”而提高的。
因此,针对网络管理工作,必须有专门IT主管否则总会有人因为工作过多而显得力不从心,以至影响正常工作。
4 不要工作太死板
网络管理员的主要日常工作是维护公司计算机硬件,搭建与配备计算机网络,根据需求设计网络方案;维护和监控公司局域网,保证其正常运行;安装和维护公司计算机、服务器系统软件和应用软件,并提供技术支持;解决排除各种软硬件故障,做好记录,定期制作系统运行报告;维护数据中心,对系统数据进行备份,协助网站相关应用软件的开发。几乎与网络的建立、管理、故障排除以及网络安全等有关的事情都属于网络管理员的工作,因而被誉为互联网的“侦察员”。
但是NetopsiaOfficiatis总有“超出我工作职责之外”的情绪,这是非常可怕的。网络是一个复杂的系统,故障与原因关系复杂,既可能是一因多果,也可能是一果多因。一旦出了问题,网络管理员就要尽快地恢复正常,加班加点也是家常便饭。所以,要求网络管理员要与时俱进,必须认真负责广泛涉猎与网络管理相关的知识领域,不断更新自己的知识和技能,跟上网络“发展”的步伐。
5 不要不考虑后果
NetopsiaExperiortus总是不停地试验各种新的补丁或升级程序。大多数明智的网络管理员在把新的解决方案应用到现有的系统中之前,都会在一个小的试验网络上做一下测试。但是,这类管理员却直接在现有的系统中操作,往往给用户的使用带来不必要的厌烦,这倒是和用户对频繁更新网络的管理员的反应有几分相像。不同的是,频繁更新网络的管理员一定会试图确保他的产品或升级行为真正有效,并且不会对网络和用户造成任何其它影响。所以,最好还是先做试验。
6 不要太“理想化”
NetopsiaDictatoris对任何有可能影响网络平稳运行的事情都会激动不已。你可能会认为这是件好事情,但是,做得有些过份就变的太理想化了。假如保留详尽的日志来说明网络的性能达到了100%,实际上,这是在几乎没有任何的网络资源分配给普通应用的情况下才能表现出来的,在正常工作日里是不可能有的。
7 结束语
作为网络管理员应该熟悉网络设备的性能、连接与配置,掌握网络服务的搭建、配置与管理,能熟练使用网络诊断软件工具,及时排除网络故障;具备较强的动手能力和学习能力,善于分析、思考问题。
参考文献:
[1] 曹广昕.网管员有奖征文之十――大型网络的维护与管理[J].中国计算机用户,1998,(50):53.
网络连接故障是医院网络管理中最常见的问题。网络连接问题其具体状况有网络线路中断,无法和其他网络中的计算机进行联系。其故障发生的主要原因有:相关网络机器设备的网卡设置出错、相关网页窗口的I/O地址出现冲突或中断、RJ-45水晶头和双绞线没有接触到位、网线出现断裂、网络连接设备出现质量、中断信号出现误差及设备资源有冲突等问题。这一系列问题都有可能导致网络信号中断,网络连接出现问题,从而影响整个医院的网络管理。
1.2网络堵塞问题
在医院的网络建设中,一些医院为了降低网络建设的成本,在网络设备上投入不大,其网络设备质量偏低,从而导致网络管理的成效并不明显。医院的网络管理一般是24小时不间断工作,由于其设备服务器、主交换机的运转状况不佳,导致出现网络堵塞甚至是网络瘫痪的故障问题。这些故障在一定程度上对医院的正常运行会产生很大的影响,能够明显降低医院工作人员的工作效率。
1.3安全性问题
在物联网时代中,信息安全问题一直是社会各界非常关注的问题。随着医院网路化进程的加快,医院的医疗信息和数据的管理往往依赖于网络信息系统。但是,首先当前在很多医院的网络信息系统维护等网络管理工作中还缺乏专业性的人才,因而很多时候网络出现故障问题的原因在于相关管理人员无法“预见”网络问题;其次由于医院网络管理维护的工作人员缺少专业性的计算机网络管理知识及网络安全的防范意识,使一些重要医疗数据信息没有得到及时备份,造成数据信息丢失,甚至出现医院网络账号泄露等问题。另外,更为严重的情况是计算机病毒对医院网络系统进行攻击,从而对医院网络数据信息的安全造成严重影响。
2医院网络管理技术问题的应对措施
2.1网络连接问题的应对措施
正对网络连接的问题,可以采取的应对措施是:首先,对网卡设置进行检查,当网卡检查显示器工作状态正常时,通过“网上邻居”对其网络连线进行检查;其次,对网络的线路进行排查,采用相关的测线仪对网络连线进行检测,看内部否存在断裂、网络连接设备是否出现质量问题等。当网卡和网线检测都是正常时,便应该对软件设置是否存在故障进行检测。一般情况下,经过三大步骤排查检测,能够查出相关问题。但是,为了能够及时有效地解决问题,相关医务管理人员在进行故障检测时,需要重视对软件和硬件两部分的排查,从而有利于查找出网络连接问题的根本原因。
2.2网络堵塞问题的应对措施
首先,完善医院的网络设备,提高网络设备运行的稳定性,为医院网络管理的运行提供基础设备保障。其次,当出现网路堵塞问题时,可以采取以下应对措施:查看设备缺陷,打开路由器的信息库,若网络的平均流量小于50%时就会在信息库显示出来,若数据碰撞的现象很少时,则表明在网络结构中只是有一部分设备有问题,或者少数工作站出现问题。接着就可以对工作站的故障进行分析,在区域网中先明确工作站的地点,确定可能存有问题的工作站用户及位置,其有效途径是先搜索出MAC的地址,然后备份相关工作站的网卡MAC地址,打开对比进行排查,再进行精确查找,从而得到一个精确的结果。接下来,将搜索出的工作站进行全面检查,这时会发现该工作站用户并没有得到计算机使用允许,而网络堵塞的状况却出现了。接着,连接该工作网站的网卡及相关方面网络测试仪,模拟发送流量,当流量大幅度增加后,数据碰撞的次数就会增加。由此可断定,故障问题是出现在网卡的连接方面。另外,还需注意的是此类故障次检测方式是基于所有工作站都是在同一个区域网中的同一个网段上。
2.3安全性问题的应对措施
医院网络数据信息安全性是一个非常严峻的问题,根据当前医院的网络建设中发生的一系列安全性故障问题,采取有效应对措施。首先,必须重视对医疗数据信息的备份,相关管理人员必须及时准确地将相关数据信息备份工作做到位,避免一些重要数据出现丢失、遗漏的问题。其次,加强相关管理人员网络安全防范意识,杜绝将医院账号和密码泄露的状况出现,从而在很大程度上降低医院的信息安全事故的发生。此外,对医院网络管理人员进行相关网络管理知识、计算机知识的专业培训,提高预见网络问题、应对网络问题的能力。另外,要充分运用当前先进的杀毒软件进行定期杀毒,安装好网络防火墙,并及时对网络“补丁”程序进行更新,从而有效地避免计算机病毒或网络黑客的攻击。
在应用环境中,管理应用和高层管理节点与管理平台是基于C/S(顾客/服务器)模式的分布式结构,即管理应用节点和高层管理者节点与他们所以来的平台节点可能处于不同的地理位置。因此考虑基于何种结构,采用什么样的协议实现分布对象的访问。
多厂商设备的环境的网络管理一直是网络管理研究和实现的难点。鉴于CORBA的分布式面向对象的特点,在网管系统的开发中加以引用。
本文采用OMG的CORBA(Common Object Request Broker Architecture)做为实现分布管理对象访问的设施。CORBA是很有应用前景的系统集成标准,它提供了面向对象应用的互操作标准。CORBA位分布对象环境描述了面向对象的设施-----对象请求,他提供了分布对象进行请求和应答的机制。这样CORBA提供了在异构分布环境下不同机器的不同应用的互操作能力和将多个对象系统无缝互连接的能力。CORBA机制是独立于任何程序设计语言的,对象的接口描述在IDL(Interface Description Language)中。CORBA支持两种标准协议-----GIOP和IIOP。GIOP是信息表示协议,描述了所传输信息的格式,而IIOP则描述了CORBA所支持的传输协议,即GIOP信息如何进行交换
管理不同厂商应用和高层管理者如何使用CORBA机制访问相应的管理平台所提供的管理对象。使得处于不同节点的不同厂商的管理应用和高层管理者能无缝使用分布对象提供的功能。在这两种情况下原理是相同的,只是功能不同,在第一种情况下,不同厂商的管理应用脚本程序通过CORBA机制访问管理平台上的应用管理对象,以实现同一层次上的管理功能。在第二种情况下,高层管理平台上的脚本进程通过CORBA机制访问底层管理者为高层提供的管理对象以实现高层对底层的网络管理功能。
CORBA机制除支持客户端对服务器端所提供的分布对象的访问外,还提供分布对象服务功能------COSS,它包括分布对象访问的安全机制、事件机制等。在网络管理应用中,除主动询问网络管理信息以管理、监视网络的运行状态外,还有一种应用是被管理对象在发生故障和事件时,向管理者提出事件处理请求。CORBA中的事件服务机制恰好可以满足这一需求。
2.5网络管理分类及功能
事实上,网络管理技术是伴随着计算机、网络和通信技术的发展而发展的,二者相辅相成。从网络管理范畴来分类,可分为对网“路”的管理。即针对交换机、路由器等主干网络进行管理;对接入设备的管理,即对内部PC、服务器、交换机等进行管理;对行为的管理。即针对用户的使用进行管理;对资产的管理,即统计IT软硬件的信息等。根据网管软件的发展历史,可以将网管软件划分为三代:
第一代网管软件就是最常用的命令行方式,并结合一些简单的网络监测工具,它不仅要求使用者精通网络的原理及概念,还要求使用者了解不同厂商的不同网络设备的配置方法。
第二代网管软件有着良好的图形化界面。用户无须过多了解设备的配置方法,就能图形化地对多台设备同时进行配置和监控。大大提高了工作效率,但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题数增大,容易引发误操作。
第三代网管软件相对来说比较智能,是真正将网络和管理进行有机结合的软件系统,具有“自动配置”和“自动调整”功能。对网管人员来说,只要把用户情况、设备情况以及用户与网络资源之间的分配关系输入网管系统,系统就能自动地建立图形化的人员与网络的配置关系,并自动鉴别用户身份,分配用户所需的资源(如电子邮件、Web、文档服务等)。
根据国际标准化组织定义网络管理有五大功能:故障管理、配置管理、性能管理、安全管理、计费管理。对网络管理软件产品功能的不同,又可细分为五类,即网络故障管理软件,网络配置管理软件,网络性能管理软件,网络服务/安全管理软件,网络计费管理软件。
下面我们来简单介绍一下大家熟悉的网络故障管理、网络配置管理、网络性能管理、网络计费管理和网络安全管理五个方面网络管理功能:
ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能,并被广泛接受。这五大功能是:
(1)故障管理(fault management)
故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时,网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障,因为网络故障的产生原因往往相当复杂,特别是当故障是由多个网络组成共同引起的。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能:
.维护并检查错误日志
.接受错误检测报告并做出响应
.跟踪、辨认错误
.执行诊断测试
.纠正错误
对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在错误日志中,并不作特别处理;而严重一些的故障则需要通知网络管理器,即所谓的"警报"。 一般网络管理器应根据有关信息对警报进行处理,排除故障。当故障比较复杂时,网络管理 器应能执行一些诊断测试来辨别故障原因。
(2)计费管理(accounting management)
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。
(3)配置管理(configuration management)
配置管理同样相当重要。它初始化网络、并配置网络,以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了 实现某个特定功能或使网络性能达到最优。
这包括:
.设置开放系统中有关路由操作的参数
.被管对象和被管对象组名字的管理
.初始化或关闭被管对象
.根据要求收集系统当前状态的有关信息
.获取系统重要变化的信息
.更改系统的配置
(4)性能管理(performance management)
性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:
.收集统计信息
.维护并检查系统状态日志
.确定自然和人工状况下系统的性能
.改变系统操作模式以进行系统性能管理的操作
(5)安全管理(security management)
安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:
网络数据的私有性(保护网络数据不被侵 入者非法获取),
授权(authentication)(防止侵入者在网络上发送错误信息),
访问控制(控制访问控制(控制对网络资源的访问)。
相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:
.创建、删除、控制安全服务和机制
.与安全相关信息的分布
.与安全相关事件的报告
网络管理中的关键
网络迅速发展,导致网络结构更为复杂;网络应用的日新月异,让网络管理员每天都要面对新的问题。很多企事业单位,在遇到网络问题不知道应该如何去解决,看流量,拔网线等手段,排查周期长,也很难真正找出问题。
网络发展到一定阶段,必然要考虑到网络性能、网络故障与网络安全性问题。只有通过运用网络分析技术对网络流通数据的清晰认识,才能为故障的排查,性能的提升,以及网络安全的解决提供可靠的数据依据。
信息应用与治理
网络最大的价值,是在于信息化的应用。当出现故障不能及时解决,既使有再好的电子商务、电子政务,也只是一个摆设。无论是安全、性能还是故障性问题,不能快速解决,给企业带来的是难以衡量的损失。
治理并不是简单的网络管理,它需要管理者对网络中所有设备完全掌握,包括每个网卡地址,以及所处的位置。通过对网络传输中的数据进行全面监控分析,才能从网络底层数据获取各种网络应用行为造成的网络问题,并快速的定位到网卡的位置。从而在安全策略上更好的防范,对故障和性能更合理的管理。
一劳永逸的误区
从管理角度的考虑,往往期望络故障和安全性问题可以自动解决。但历经多年,没有任何产品能做到。虽然许多企业部署了非常好的安全防护产品,但仍然会受到网络攻击和病毒危害。根本原因在于,网络应用本身就在不断的发展,新的病毒以及病毒变种,都很难被基于特征库或病毒库的产品所识别。要解决这些问题,则要求网络管理员随时都能查看到网络中真实的数据,最快的发现引起问题的原因。
网络拓扑图VS矩阵图
网络拓扑图要求这些交换设备都必须支持SNMP(简单网络管理协议),它能直观能看到网络结构,但看不到终端主机;它能看到设备断网情况和粗略流量,但对网络问题的解决能力并不实用。
从技术趋势来看,矩阵图(Matrix)将更适合网络管理的需要。矩阵图也被称为主机连接图,可以监控每台主机(包括交换设备)之间的通讯连接,极大的提高了监控范围,监控范围深入到每台主机之间的各种应用,包括通讯、资源占用、活跃程度、服务应用等,管理者可以监控到每台主机的一举一动,各种网络问题都会在矩阵中表现出异常。如:BT下载、DDOS攻击、ARP攻击、木马扫描等。
"诊断专家"快速提高解决能力
网络分析不仅提供网络依据,更重要的是帮助管理者提高问题的解决能力。"诊断专家"则是一个从问题原因到问题结果的完整解释。好的网络分析产品,可以自动提取问题的相关数据,并告诉管理者网络中存在有哪些问题,可能产生的原因,有什么办法可以解决,ARP攻击的快速定位则是一个很好的证明。
网络数据的回放能力
好的网络分析产品,都具有网络数据的回放能力,将网络数据进行7x24小时记录,可以按每天或每小时来记录。如果要分析昨天某个时段出现的网络故障,只需要将当时保存的数据包进行播放,同时通过网络分析来追溯故障是如何发生的,使网络管理对历史问题追查能力得到明显提高。
2.6网络管理体系结构及技术
1 WBM 技术介绍
随着应用Intranet的企业的增多,同时Internet技术逐渐向Intranet的迁移,一些主要的网络厂商正试图以一种新的形式去应用M I S 。因此就促使了W e b ( W e b - B a s e dManagement)网管技术的产生[2]。它作为一种全新的网络管理模式—基于Web的网络管理模式,从出现伊始就表现出强大的生命力,以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐,被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。
WBM融合了Web功能与网管技术,从而为网管人员提供了比传统工具更强有力的能力。WBM可以允许网络管理人员使用任何一种Web浏览器,在网络任何节点上方便迅速地配置、控制以及存取网络和它的各个部分。因此,他们不再只拘泥于网管工作站上了,并且由此能够解决很多由于多平台结构产生的互操作性问题。WBM提供比传统的命令驱动的远程登录屏幕更直接、更易用的图形界面,浏览器操作和W e b页面对W W W用户来讲是非常熟悉的,所以WBM的结果必然是既降低了MIS全体培训的费用又促进了更多的用户去利用网络运行状态信息。所以说,WBM是网络管理方案的一次革命。
2 基于WBM 技术的网管系统设计
系统的设计目标
在本系统设计阶段,就定下以开发基于园区网、Web模式的具有自主版权的中文网络管理系统软件为目标,采用先进的WBM技术和高效的算法,力求在性能上可以达到国外同类产品的水平。
本网管系统提供基于WEB的整套网管解决方案。它针对分布式IP网络进行有效资源管理,使用户可以从任何地方通过WEB浏览器对网络和设备,以及相关系统和服务实施应变式管理和控制,从而保证网络上的资源处于最佳运行状态,并保持网络的可用性和可靠性。
系统的体系结构
在系统设计的时候,以国外同类的先进产品作为参照物,同时考虑到技术发展的趋势,在当前的技术条件下进行设计。我们采用三层结构的设计,融合了先进的WBM技术,使系统能够提供给管理员灵活简便的管理途径。
三层结构的特点[2]:1)完成管理任务的软件作为中间层以后台进程方式实现,实施网络设备的轮询和故障信息的收集;2)管理中间件驻留在网络设备和浏览器之间,用户仅需通过管理中间层的主页存取被管设备;3)管理中间件中继转发管理信息并进行S N M P 和H T T P之间的协议转换三层结构无需对设备作任何改变。
网络拓扑发现算法的设计
为了实施对网络的管理,网管系统必须有一个直观的、友好的用户界面来帮助管理员。其中最基本的一个帮助就是把网络设备的拓扑关系以图形的方式展现在用户面前,即拓扑发现。目前广泛采用的拓扑发现算法是基于SNMP的拓扑发现算法。基于SNMP的拓扑算法在一定程度上是非常有效的,拓扑的速度也非常快。但它存在一个缺陷[3]。那就是,在一个特定的域中,所有的子网的信息都依赖于设备具有SNMP的特性,如果系统不支持SNMP,则这种方法就无能为力了。还有对网络管理的不重视,或者考虑到安全方面的原因,人们往往把网络设备的SNMP功能关闭,这样就难于取得设备的M I B值,就出现了拓扑的不完整性,严重影响了网络管理系统的功能。针对这一的问题,下面讨论本系统对上述算法的改进—基于ICMP协议的拓扑发现。
PING和路由建立
PING的主要操作是发送报文,并简单地等待回答。PING之所以如此命名,是因为它是一个简单的回显协议,使用ICMP响应请求与响应应答报文。PING主要由系统程序员用于诊断和调试实现PING的过程主要是:首先向目的机器发送一个响应请求的ICMP报文,然后等待目的机器的应答,直到超时。如收到应答报文,则报告目的机器运行正常,程序退出。
路由建立的功能就是利用I P 头中的TTL域。开始时信源设置IP头的TTL值为0,发送报文给信宿,第一个网关收到此报文后,发现TTL值为0,它丢弃此报文,并发送一个类型为超时的ICMP报文给信源。信源接收到此报文后对它进行解析,这样就得到了路由中的第一个网关地址。然后信源发送TTL值为1的报文给信宿,第一个网关把它的TTL值减为0后转发给第二个网关,第二个网关发现报文TTL值为0,丢弃此报文并向信源发送超时ICMP报文。这样就得到了路由中和第二个网关地址。如此循环下去,直到报文正确到达信宿,这样就得到了通往信宿的路由。
网络拓扑的发现算法具体实现的步骤:
(1)于给定的IP区间,利用PING依次检测每个IP地址,将检测到的IP地址记录到IP地址表中。
(2)对第一步中查到的每个IP地址进行traceroute操作,记录到这些IP地址的路由。并把每条路由中的网关地址也加到IP表中。
(3)对IP地址表中的每个IP地址,通过发送掩码请求报文与接收掩码应答报文,找到这些IP地址的子网掩码。
(4)根据子网掩码,确定对应每个IP地址的子网地址,并确定各个子网的网络类型。把查到的各个子网加入地址表中。
(5)试图得到与IP地址表中每个IP地址对应的域名(Domain Name),如具有相同域名,则说明同一个网络设备具有多个IP地址,即具有多个网络接口。
(6)根据第二步中的路由与第四步中得到的子网,产生连接情况表。
第三章 网络维护
3.1概述
网络故障极为普遍,网络故障的种类也多种多样,要在网络出现故障时及时对出现故障的网络进行维护,以最快的速度恢复网络的正常运行,掌握一套行之有效的网络维护理论、方法和技术是关键。就网络中常见故障进行分类,并对各种常见网络故障提出相应的解决方法。
随着计算机的广泛应用和网络的日趋流行,功能独立的多个计算机系统互联起来,互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统,就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享,包括硬件资源和软件资源的共享:因此,如何有效地做好本单位计算机网络的日常维护工作,确保其安全稳定地运行,这是网络运行维护人员的一项非常重要的工作。
在排除比较复杂网络的故障时,我们常常要从多种角度来测试和分析故障的现象,准确确定故障点。
3.2分析模型和方法
七层的网络结构分析模型方法
从网络的七层结构的定义和功能上逐一进行分析和排查,这是传统的而且最基础的分析和测试方法。这里有自下而上和自上而下两种思路。自下而上是:从物理层的链路开始检测直到应用。自上而下是:从应用协议中捕捉数据包,分析数据包统计和流量统计信息,以获得有价值的资料。
网络连接结构的分析方法
从网络的连接构成来看,大致可以分成客户端、网络链路、服务器端三个模块。
1、客户端具备网络的七层结构,也会出现从硬件到软件、从驱动到应用程序、从设置错误到病毒等的故障问题。所以在分析和测试客户端的过程中要有大量的背景知识,有时PC的发烧经验也会有所帮助。也可以在实际测试过程中询问客户端的用户,分析他们反映的问题是个性的还是共性的,这将有助于自己对客户端的进一步检测作出决定。
2、来自网络链路的问题通常需要网管、现场测试仪,甚至需要用协议分析仪来帮助确定问题的性质和原因。对于这方面的问题分析需要有坚实的网络知识和实践经验,有时实践经验会决定排除故障的时间。
3、在分析服务器端的情况时更需要有网络应用方面的丰富知识,要了解服务器的硬件性能及配置情况、系统性能及配置情况、网络应用及对服务器的影响情况。
工具型分析方法
工具型分析方法有强大的各种测试工具和软件,它们的自动分析能快速地给出网络的各种参数甚至是故障的分析结果,这对解决常见网络故障非常有效。
综合及经验型分析方法靠时间、错误和成功经验的积累 在大多数的阿络维护工作人员的工作中是采用这个方法的,再依靠网管和测试工具迅速定位网络的故障。
3.3计算机无法上网故障的排除
1、对于某网计算机上不了网的故障,首先要分别确定此计算机的网卡安装是否正确,是否存在硬件故障,网络配置是否正确在实际工作中我们一般采用Ping本机的回送地址(127.0.0.1)来判断网卡硬件安装和TCP/IP协议的正确性。
如果能Ping通,即说明这部分没有问题。如果出现超时情况,则要检查计算机的网卡是否与机器上的其它设备存在中断冲突的问题。通过查看系统属性中的设备管理器,查看是否在网络适配器的设备前面有黄色惊叹号或红色叉号,如有则说明硬件的驱动程序没有安装成功,可删除后重新安装。另外,要确保TCP/IP协议安装的正确性,并且要绑定在你所安装的网卡上。如果重新安装后还是Ping不通回送地址,最好换上一块正常的网卡试一试。由于在局域网中划分了VLAN,所以连在不同VLAN中的计算机都有各自不同的IP地址、子网掩码和网关。要在机器的网络属性中设定的IP地址等数据与连接的VLAN相匹配,否则将出现网络不通的情况。
当确保了计算机的硬件设备和网络配置正确后,接着就要查看计算机与交换机之间的双绞线,交换机的RJ45端口或交换机的配置是否有问题。此时我们要Ping上网计算机所在VLAN的网关,不通的话就要分段检查上面所说的各项。
最简单的方法是检查双绞线,用线缆测试仪检测双绞线是否断开。双绞线没有问题,就要查看交换机的端口是否坏了。交换机每一个端口都有状态指示灯以询问一下其它网管人员就可以排除了,如果不放心可以对照查看。交换机的参数配置表也是网络管理员必备的资料之一,并且随着网络用户的变化要不断地修改,检测到此,如果端口指示灯不亮,就只能是端口损坏了,可以把跳线接到正常使用的端口上排除其它原因,确定是端口的问题。
2、一批联网计算机上不了网对于同时有一批计算机上不了网的故障,首先要找到这些计算机的共性,如是不是属于同一VLAN或接在同一交换机上的,若这些计算机属于同一VLAN,且属于计算机分别连接于不同的楼层交换机,那么检查一下路由器上是否有acl限制,在路由器上对该VLAN的配置是否正确,路由协议(如我局的OSPF协议)是否配置正确。若这些计算机属于同一交换机,则应到机房检查该交换机是否有电源松落情况,或该交换机CPU负载率是否很高,与上一级网络设备的链路是否正常。
通常某交换机连接的所有电脑都不能正常与网内其它电脑通讯,这是典型的交换机死机现象,可以通过重新启动交换机的方法解决。如果重新启动后故障依旧,则检查一下那台交换机连接的所有电脑,看逐个断开连接的每台电脑的情况,慢慢定位到某个故障电脑,会发现多半是某台电脑上的网卡故障导致的。
故障通常是交换机的某个端口变得非常缓慢,最后导致整台交换机或整个堆叠慢下来。通过控制台检查交换机的状态,发现交换机的缓冲池增长得非常快,达到了90%或更多。原因及解决方法为:首先应该使用其它电脑更换这个端口上原来的连接,看是否由这个端口连接的那台电脑的网络故障导致的,也可以重新设置出错的端口并重新启动交换机,个别时候,可能是这个端口损坏了。
3.4计算机网络故障分析
计算机网络故障主要分为硬件故障和软件故障,对计算机网络故障进行分析也主要可以从硬件与软件两个方面着手:
(一)计算机网络故障分析与诊断的基本方法
计算机网络故障分析与诊断的原则可归纳为:由服务器到工作站(就是出现工作站不能入网的情况时,先确定服务器是否有问题);由外部到内部(即当有工作站出现网络故障时,先检查其外部直接可看到的设备情况,如与之相连的交换机或集线器有没有故障,电缆有无缠绕导致内部线缆断裂或接触不良);由软件到硬件(就是网络出故障后先从操作系统、网络协议、网卡驱动程序及配置上找原因。重新安装网卡驱动或网络协议、操作系统,看看故障是否消失。在确定排除软件问题后再检查硬件是否损坏。
(二)网络硬件故障的分析与诊断方法
网络中的硬件故障比较复杂,现就日常工作中常见的网络连线问题和网卡问题来进行探讨。如,网线至交换机或集线器之间的故障分析与诊断方法,故障诊断:通过看网卡指示灯集线器指示灯。首先,检查网线是否插好;其次,若有数台工作站同时出现网络故障,则有可能是连接这些计算机的交换机或集线器出故障。如,网卡故障,故障分析:这是最常发生的问题。如网卡设置错误,网卡在安装过程中是否正确地设置中断号,I/0端口地址,驱动程序是否出错,网卡是否出故障等。
(三)网络配置故障的分析与诊断
故障分析:网络配置故障就是由网络中的各项配置不当而产生的故障。它是一种较复杂的现象,不但要检查服务器的各项配置、工作站的各项配置,还要根据出现的错误信息和现象查出原因。如,域名、计算机名和地址故障的分析与诊断。故障分析:在实际工作中经常会出现在“网上邻居”中看不到其它计算机或只能看到部分计算机,无法找到指定的计算机等现象。故障诊断:检查网络中每个域、每台计算机的名称是否唯一;检查网络中的计算机名是否和域名或工作组名重复,使用TCP/IP时,检查分配给网络适配器的IP地址有无重复。在如协议故障的分析与诊断,故障分析:确认您所使用的协议与网络上其它计算机使用的协议相同。否则,将看不到网络上其它计算机。在配置和使用TCP/IP协议时的主要问题是IP地址、子网掩码和路由问题。IP地址的分配复杂,分配不好,容易造成网络混乱。因而,非网管人员不要随意修改IP地址。
3.5故障定位及排除的常用方法
1.告警性能分析法
通过网管获取告警和性能信息进行故障定位。我们单位使用了Siteview网络网管,可以对全单位的网络设备进行管理,平时多观察各设备CPU负载率和各线路的流量。当有人反映不能连接至网络或网速很慢时,可通过网管观察计算机与交换机的连接情况,是否有时断时通的现象,交换机CPU负载率是否很高,线路流量是否很大。通过观察设备端口状态,分析和观察交换机哪个端口所接的计算机发包量不太正常。
2.查看网络设备日志法
经常看一下网络设备的日志,分析设备状况。我曾经通过showlonging命令观察到4006交换机下连的2950交换机经常每隔7小时down掉,然后又up,因时间间隔较长,单位人员未感觉网络中断,在此期间我们检查并确定了光缆、光收发器、网线、交换机配置、交换机端口均正常,后来的间隔时间由原来的7小时减为7分钟。由此我们立即判定2950交换机本身有故障,马上将已准备好的备用交换机换上,从而减少了处理故障的时间,并在最短时间内恢复网络。
3.替换法
替换法就是使用一个工作正常的物体去替换一个工作不正常的物体,从而达到定位故障、排除故障的目的。这里的物件可以是一段线缆、一个设备和一块模块。
4.配置数据分析法
查询、分析当前设备的配置数据,通过分析以上的配置数据是否正常来定位故障。若配置的数据有错误,需进行重新配置。
3.6计算机网络维护
计算机网络故障是与网络畅通相对应的一概念,计算机网络故障主要是指计算机无法实现联网或者无法实现全部联网。引起计算机网络故障的因素多种多样但总的来说可以分为物理故障与逻辑故障,或硬件故障与软件故障。物理故障或硬件故障可以包括电源线插头没有进行正常的连接,联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等故障也会不同程度影响到网络用户正常使用网络。软件故障是当前最常见的计算机网络故障之一,常见的软件故障有网络协议问题、网络设备的配置和设置等问题造成的。
网络故障目前已经成为影响计算机网络使用稳定性的重要因素之一,加强对计算机网络故障的分析和网络维护已经成为网络用户经常性的工作之一。及时进行网络故障分析和网络维护也已经成为保障网络稳定性的重要方式方法。
计算机网络维护是减少计算机网络故障,维护计算机网络稳定性的重要的方式方法。计算机网络维护一般来说包括以下方面:
1.对硬件的维护。首先检测联网电脑网卡、网线、集线器、交换机、路由器等故障、计算机硬盘、内存、显示器等是否能够正常运行,对临近损坏的计算机硬件要及时进行更换。同时要查看网卡是否进行了正确的安装与配置。具体来说要确定联网计算机硬件能够达到联网的基本要求,计算机配置的硬件不会与上网软件发生冲突而导致不能正常联网。
2.对软件的维护。软件维护是计算机网络维护的主要方面,具体来说主要包括,
(1)计算机网络设置的检查。具体来说检查服务器是否正常,访问是否正常,以及检查网络服务、协议是否正常。
(2)对集线器、交换器和路由器等网络设备的检查。具体来说,包括检测网络设备的运行状态,检测网络设备的系统配置。
(3)对网络安全性的检测。对网络安全性的检测主要包括,对服务器上安装的防病毒软件进行定期升级和维护,并对系统进行定期的查杀毒处理;对服务器上安装的防火墙做不定期的的系统版本升级,检测是否有非法用户入网入侵行为;对联网计算机上的数据库做安全加密处理并对加密方式和手段进行定期更新,以保障数据的安全性。
(4)网络通畅性检测。在进行网络维护的过程,经常会遇到网络通讯不畅的问题,其具体表现为网络中的某一结点pingq其他主机,显示一个很小的数据包,需要几百甚至几千毫秒,传输文件非常慢,遇到这种情况应首先看集线器或交换机的状态指示灯,并根据情况进行判断。
计算机网络是计算机技术的一重要应用领域,计算机网络的便捷、高效、低廉为计算机网络应用的增加提供了保障,但计算机网络故障一旦发生就会给网络用户带来使用上巨大不便,甚至造成巨大的损失。因而必须进一步加强计算机网络故障分析与维护研究,提高网络的稳定性和安全性。
结束语
本文提出了现代网络中的一些安全策略,重点提出了管理技术和维护技术。本文介绍了几种常用的防范技术。随着现在的发展,网络的不安全因素很多,网络管理和维护尤其重要,本文介绍了网络管理几个方面的技术和网络维护的几种常用技术。
参考文献
晏蒲柳.大规模智能网络管理模型方法[J].计算机应用研究
周杨,家海,任宪坤,王沛瑜.网络管理原理与实现技术[M].北京:清华大学出版社
李佳石, 冰心著. 网络管理系统中的自动拓扑算法[J].华中科技大学学报胡谷雨. 现代通信网和计算机管理.
岑贤道,安长青. 网络管理协议及应用开发.
附录 A
我自20xx年xx月进入院网络管理中心,至今已有多半年时间,正是在这里我开始学习有关计算机的知识,完成了个人人生中的一次重要转变。但由于自己各方面的原因,现慎重提出辞职,愿各位领导可以考虑。
在过去的半年里,网络中心给予了我良好的学习和锻炼机会,学到了一些新的东西充实了自己,增加了自己的一些知识和实践经验。我对于网络中心领导和各位同事,半年多的照顾表示真心的感谢!今天我选择离开并不是我对现在的工作畏惧,承受能力不行。
望领导批准我的申请,并请协助办理相关离职手续,在正式离开之前我将认真继续做好目前的每一项工作 祝您们身体健康,事业顺心。并祝公司事业蓬勃发展。
而是我的人生要继续升华,我选择考研,选择继续深造我的学业。在这里的日子让我很难忘。我学会如何坚持,如何适应,如何交流,如何互助。我懂得了责任感对一个人的重要性,我懂得了很多书本上学不到的知识。
祝院网络中心顺利创造辉煌,祝网络中心的领导和同事们前程似锦鹏程万里!
2.此规定也包含了有关it的正确使用,信息安全和集团内部各单位的协调等方面的工作原则及相关前提条件。
第二条依据
本规定依据《中华人民共和国保守国家秘密法》和《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际管理暂行规定》制定。
第三条范围
集团网络由信息中心负责管理,上投大厦内所有单位、部门和员工均必须执行本规定。
第四条主机房安全规定
1.机房不得携入易燃、易爆物品。
2.机房内严禁吸烟。
3.机房内不准吃饭、吃零食或进行其它有害、污损电脑的行为。
4.机房严禁乱拉接电源,以防造成短路或失火。
5.非集团信息中心和信托公司电脑部工作人员严禁进入主机房(特许人员例外),工作人员进出主机房必须随手关门。
6.机房工作人员应定期检查机房消防设备完好情况。
第五条主机房净化规定
1.机房内应及时清扫卫生死角和可见灰尘。
2.精密空调应调节适合温度以适应计算机设备的运转。
3.机房应门窗密封,防止外来粉尘污染。
4.机房内不准带入无关物品,不准睡觉休息。
5.机房工作人员须穿专用拖鞋进入机房。
6.机房用品须定期清洁。
第六条主机房参观管理的规定
1.经信息中心主管批准,外来人员才予安排参观。
2.外来人员参观机房,须有公司指定人员陪同,并登记出入纪录。
3.参观人员不得拥挤、喧哗,应听从陪同人员安排。
4.参观结束后,操作人员应整理如常。
第七条网络中心办公区域管理规定
1.网络中心办公区域包括信息中心办公区域及信托公司电脑部办公区域。
2.办公区域内不得携入易燃、易爆物品,严禁吸烟,严禁乱拉接电源,以防造成短路或失火。
3.外来人员不得随意进入办公区域。
4.非经有关领导及信息中心主管及批准,办公区域不得随意增加、减少有碍办公环境的设备(家具、电器等)。
5.办公时间内须保持办公环境安静,不大声喧哗,不播放音乐。
6.办公区域须定期清洁,值班人员须保持环境卫生整洁。
7.值班人员每日下班前需认真检查门窗关闭情况。
第八条主干网管理规定
1.集团信息中心负责主干网的运行管理、设备管理和发展规划,保证主干网的畅通。
2.信息中心负责楼层接入设备的安装、调试及日常维护,任何单位和个人不得私自移动、改动有关设备。
3.主干网及楼层网络跳线一经固定,任何单位、个人不得私自改变,如有线路调整,需由相关单位提出申请,报信息中心审核同意,由信息中心网络部进行有关跳线工作,更改完毕,网络管理员需做好相应的文档记录。
第九条子网接入单位职责规定
1.各子网网络管理员具体负责子网内相应的网络安全和信息安全工作,保存网络运行的有关记录,指导计算机系统管理员和用户对各自负责的网络系统、计算机系统和上网资源进行管理。
2.子网接入单位在信息中心的统一规划和指导下,负责按有关要求和规定对子网进行建设、运行和管理;
3.子网接入单位指导计算机系统管理员和用户对各自负责的网络系统、计算机系统和上网资源进行管理;
4.子网接入单位负责和承担下一级接入单位和用户的管理、教育、技术咨询和培训工作;
5.负责本级网络相应的网络安全和信息安全工作;
6.负责保存本级网络运行的有关记录并接受上一级网络的监督和检查。
第十条ip地址、用户账号申请与电子邮件
1.与集团公司主干网络相连的电脑及网络设备ip地址由信息中心负责统一管理和分配。
2.入网单位应统一向信息中心申请分配或增加ip地址。入网单位和个人应严格使用由信息中心分配的ip地址,严禁盗用他人ip地址或私自乱设ip地址。信息中心有权切断乱设的ip地址入网,以保证公司网络的正常运行。
3.用户要求入网和个人要求办理电子邮件户头,应经过其部门主管同意,并向信息中心提出书面申请,审查同意后由管理员对入网计算机和用户进行逐个登记,在有关系统上开户,分配ip地址,办理有关手续。符合要求的计算机和用户方可入网运行、对外通信。
4.任何电子邮件(包括所有内部邮件)都必须遵守以下规定
4.1每位集团员工只能拥有一个后缀为××××××××*.com的电子邮箱,员工可以发送邮件至公司外部,但仅为工作用途。公司禁止所有不恰当的邮件传递行为并将其视为违反公司规章。
4.2严禁发送附件具有下列扩展名的邮件(例如:.exe,.vbs,.com,.bat,.cmd,mdb等等。
4.3每封发送邮件大小:原则上<=2m字节。严禁向非集团信箱自动转发邮件。
第十一条上网信息及网络安全管理
1.上网信息管理实行谁上网谁负责、后果自负的原则。上网信息不得有违反国家法律、法规或侵犯他人知识产权的内容。
2.各用户必须自觉遵守国家有关保密法规:
2.1不得利用国际联网泄露国家秘密;
2.2文件、资料、数据严禁上网流传、处理、储存;
2.3与文件、资料、数据和科研课题相关的微机严禁联网运行。
3.任何用户不得利用国际联网制作、复制、查阅和传播下列信息:
3.1煽动抗拒、破坏宪法和法律、行政法规实施;
3.2煽动颠覆国家政权,社会主义制度;
3.3煽动分裂国家、破坏国家统一;
3.4捏造或者歪曲事实,散布谣言,扰乱社会秩序;
3.5公然侮辱他人或者捏造事实诽谤他人;
3.6其他违反宪法和法律、行政法规的。
4.任何用户不得从事下列危害计算机信息网络安全的活动:
4.1未经允许,进入计算机信息网络或者使用计算机信息网络资源;
4.2未经允许,对计算机信息网络功能进行删除、修改或者增加的;
4.3未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
4.4故意制作、传播计算机病毒等破坏性程序的;
4.5其他危害计算机信息网络安全的。
5.从internet上下载文件有大小限制,任何例外必须报请信息中心批准。
6.信息中心和各接入单位要定期对相应的网络用户进行有关的信息安全和网络安全教育,并根据国家有关规定对上网信息进行检查。发现问题应及时上报,并采取处理措施。
7.信息中心、接入单位和用户必须接受并配合国家和集团有关部门依法进行的监督检查。
