概述
網絡管理 英文名稱:Network Management 定義:監測、控制和記錄電信網絡資源的性能和使用情況,以使網絡有效運行,為用戶提供一定質量水平的電信業務。應用學科:通信科技(一級學科);支撐網絡(二級學科)網絡管理概念解析 網絡管理,是指網絡管理員通過網絡管理程序對網絡上的資源進行集中化管理的操作,包括配置管理、性能和記賬管理、問題管理、操作管理和變化管理等。一台設備所支持的管理程度反映了該設備的可管理性及可操作性。 而交換機的管理功能是指交換機如何控制用戶訪問交換機,以及用戶對交換機的可視程度如何。通常,交換機廠商都提供管理軟件或滿足第三方管理軟件遠程管理交換機。一般的交換機滿足SNMPMIBI / MIB II統計管理功能。而複雜一些的交換機會增加通過内置RMON組(mini-RMON)來支持RMON主動監視功能。有的交換機還允許外接RMON探監視可選端口的網絡狀況。常見的網絡管理方式有以下幾種:
⑴SNMP管理技術
⑵RMON管理技術
⑶基于WEB的網絡管理
SNMP是英文“Simple Network Management Protocol”的縮寫,中文意思是“簡單網絡管理協議”。SNMP首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。
SNMP是目前最常用的環境管理協議。SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的傳輸協議上被使用。SNMP是一系列協議組和規範(見下表),它們提供了一種從網絡上的設備中收集網絡管理信息的方法。SNMP也為設備向網絡管理工作站報告問題和錯誤提供了一種方法。
幾乎所有的網絡設備生産廠家都實現了對SNMP的支持。領導潮流的SNMP是一個從網絡上的設備收集管理信息的公用通信協議。設備的管理者收集這些信息并記錄在管理信息庫(MIB)中。這些信息報告設備的特性、數據吞吐量、通信超載和錯誤等。MIB有公共的格式,所以來自多個廠商的SNMP管理工具可以收集MIB信息,在管理控制台上呈現給系統管理員。
通過将SNMP嵌入數據通信設備,如交換機或集線器中,就可以從一個中心站管理這些設備,并以圖形方式查看信息。可獲取的很多管理應用程序通常可在大多數當前使用的操作系統下運行,如Windows3.11.Windows95、Windows NT和不同版本UNIX的等
一個被管理的設備有一個管理代理,它負責向管理站請求信息和動作,代理還可以借助于陷阱為管理站提供站動提供的信息,因此,一些關鍵的網絡設備(如集線器、路由器、交換機等)提供這一管理代理,又稱SNMP代理,以便通過SNMP管理站進行管理。
關于網絡管理的定義很多,但都不夠權威。一般來說,網絡管理就是通過某種方式對網絡進行管理,使網絡能正常高效地運行。其目的很明确,就是使網絡中的資源得到更加有效的利用。它應維護網絡的正常運行,當網絡出現故障時能及時報告和處理,并協調、保持網絡系統的高效運行等。國際标準化組織(ISO)在ISO/IEC7498-4中定義并描述了開放系統互連(OSI)管理的術語和概念,提出了一個OSI管理的結構并描述了OSI管理應有的行為。它認為,開放系統互連管理是指這樣一些功能,它們控制、協調、監視OSI環境下的一些資源,這些資源保證OSI環境下的通信。通常對一個網絡管理系統需要定義以下内容:
○ 系統的功能。即一個網絡管理系統應具有哪些功能。
○網絡資源的表示。網絡管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。而一個網絡管理系統必須在系統中将它們表示出來,才能對其進行管理。
○ 網絡管理信息的表示。網絡管理系統對網絡的管理主要靠系統中網絡管理信息的傳遞來實現。網絡管理信息應如何表示、怎樣傳遞、傳送的協議是什麼?這都是一個網絡管理系統必須考慮的問題。
○ 系統的結構。即網絡管理系統的結構是怎樣的。
分類功能
三代分類
事實上,網絡管理技術是伴随着計算機、網絡和通信技術的發展而發展的,二者相輔相成。從網絡管理範疇來分類,可分為對網“路”的管理。即針對交換機、路由器等主幹網絡進行管理;對接入設備的管理,即對内部PC、服務器、交換機等進行管理;對行為的管理。即針對用戶的使用進行管理;對資産的管理,即統計IT軟硬件的信息等。根據網管軟件的發展曆史,可以将網管軟件劃分為三代:
第一代網管軟件就是最常用的命令行方式,并結合一些簡單的網絡監測工具,它不僅要求使用者精通網絡的原理及概念,還要求使用者了解不同廠商的不同網絡設備的配置方法。
第二代網管軟件有着良好的圖形化界面。用戶無須過多了解設備的配置方法,就能圖形化地對多台設備同時進行配置和監控。大大提高了工作效率,但仍然存在由于人為因素造成的設備功能使用不全面或不正确的問題數增大,容易引發誤操作。
第三代網管軟件相對來說比較智能,是真正将網絡和管理進行有機結合的軟件系統,具有“自動配置”和“自動調整”功能。對網管人員來說,隻要把用戶情況、設備情況以及用戶與網絡資源之間的分配關系輸入網管系統,系統就能自動地建立圖形化的人員與網絡的配置關系,并自動鑒别用戶身份,分配用戶所需的資源(如電子郵件、Web、文檔服務等)。
五大功能
根據國際标準化組織定義網絡管理有五大功能:故障管理、配置管理、性能管理、安全管理、計費管理。對網絡管理軟件産品功能的不同,又可細分為五類,即網絡故障管理軟件,網絡配置管理軟件,網絡性能管理軟件,網絡服務/安全管理軟件,網絡計費管理軟件。
下面我們來簡單介紹一下大家熟悉的網絡故障管理、網絡配置管理、網絡性能管理、網絡計費管理和網絡安全管理五個方面網絡管理功能:
ISO在ISO/IEC 7498-4文檔中定義了網絡管理的五大功能,并被廣泛接受。這五大功能是:
⑴故障管理(Fault Management)
故障管理是網絡管理中最基本的功能之一。用戶都希望有一個可靠的計算機網絡。當網絡中某個組成失效時,網絡管理器必須迅速查找到故障并及時排除。通常不大可能迅速隔離某個故障,因為網絡故障的産生原因往往相當複雜,特别是當故障是由多個網絡組成共同引起的。在此情況下,一般先将網絡修複,然後再分析網絡故障的原因。分析故障原因對于防止類似故障的再發生相當重要。網絡故障管理包括故障檢測、隔離和糾正三方面,應包括以下典型功能:
網絡管理
⑴故障監測:主動探測或被動接收網絡上的各種事件信息,并識别出其中與網絡和系統故障相關的内容,對其中的關鍵部分保持跟蹤,生成網絡故障事件記錄。
(1)故障報警:接收故障監測模塊傳來的報警信息,根據報警策略驅動不同的報警程序,以報警窗口/振鈴(通知一線網絡管理人員)或電子郵件(通知決策管理人員)發出網絡嚴重故障警報。
(2)故障信息管理:依靠對事件記錄的分析,定義網絡故障并生成故障卡片,記錄排除故障的步驟和與故障相關的值班員日志,構造排錯行動記錄,将事件-故障-日志構成邏輯上相互關聯的整體,以反映故障産生、變化、消除的整個過程的各個方面。
(3)排錯支持工具:向管理人員提供一系列的實時檢測工具,對被管設備的狀況進行測試并記錄下測試結果以供技術人員分析和排錯;根據已有的徘錯經驗和管理員對故障狀态的描述給出對排錯行動的提示。
(4)檢索/分析故障信息:浏閱并且以關鍵字檢索查詢故障管理系統中所有的數據庫記錄,定期收集故障記錄數據,在此基礎上給出被管網絡系統、被管線路設備的可靠性參數
對網絡故障的檢測依據對網絡組成部件狀态的監測。不嚴重的簡單故障通常被記錄在錯誤日志中,并不作特别處理;而嚴重一些的故障則需要通知網絡管理器,即所謂的"警報"。一般網絡管理器應根據有關信息對警報進行處理,排除故障。當故障比較複雜時,網絡管理器應能執行一些診斷測試來辨别故障原因。
⑵計費管理(Accounting Management)
計費管理記錄網絡資源的使用,目的是控制和監測網絡操作的費用和代價。它對一些公共商業網絡尤為重要。它可以估算出用戶使用網絡資源可能需要的費用和代價,以及已經使用的資源。網絡管理員還可規定用戶可使用的最大費用,從而控制用戶過多占用和使用網絡 資源。這也從另一方面提高了網絡的效率。另外,當用戶為了一個通信目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。
⑴計費數據采集:計費數據采集是整個計費系統的基礎,但計費數據采集往往受到采集設備硬件與軟件的制約,而且也與進行計費的網絡資源有關。
⑵數據管理與數據維護:計費管理人工交互性很強,雖然有很多數據維護系統自動完成,但仍然需要人為管理,包括交納費用的輸入、聯網單位信息維護,以及賬單樣式決定等。
⑶計費政策制定;由于計費政策經常靈活變化,因此實現用戶自由制定輸入計費政策尤其重要。這樣需要一個制定計費政策的友好人機界面和完善的實現計費政策的數據模型
⑷政策比較與決策支持:計費管理應該提供多套計費政策的數據比較,為政策制訂提供決策依據。
⑸數據分析與費用計算:利用采集的網絡資源使用數據,聯網用戶的詳細信息以及計費政策計算網絡用戶資源的使用情況,并計算出應交納的費用。
⑹數據查詢:提供給每個網絡用戶關于自身使用網絡資源情況的詳細信息,網絡用戶根據這些信息可以計算、核對自己的收費情況。
⑶配置管理(Configuration Management)
配置管理同樣相當重要。它初始化網絡、并配置網絡,以使其提供網絡服務。配置管理是一組對辨别、定義、控制和監視組成一個通信網絡的對象所必要的相關功能,目的是為了 實現某個特定功能或使網絡性能達到最優。
⑴配置信息的自動獲取:在一個大型網絡中,需要管理的設備是比較多的,如果每個設備的配置信息都完全依靠管理人員的手工輸入,工作量是相當大的,而且還存在出錯的可能性。對于不熟悉網絡結構的人員來說,這項工作甚至無法完成‘因此,一個先進的網絡管理系統應該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網絡結構和配置狀況的情況下,也能通過有關的技術手段來完成對網絡的配置和管理。在網絡設備的配置信息中,根據獲取手段大緻可以分為三類:一類是網絡管理協議标準的MIB中定義的配置信息(包括SNMP;和CMIP協議);二類是不在網絡管理協議标準中有定義,但是對設備運行比較重要的配置信息;三類就是用于管理的一些輔助信息。
⑵自動配置、自動備份及相關技術:配置信息自動獲取功能相當于從網絡設備中“讀”信息,相應的,在網絡管理應用中還有大量“寫”信息的需求。同樣根據設置手段對網絡配置信息進行分類:一類是可以通過網絡管理協議标準中定義的方法(如SNMP中的set服務)進行設置的配置信息;二類是可以通過自動登錄到設備進行配置的信息;三類就是需要修改的管理性配置信息。
⑶配置一緻性檢查:在一個大型網絡中,由于網絡設備衆多,而且由于管理的原因,這些設備很可能不是由同一個管理人員進行配置的。實際上‘即使是同一個管理員對設備進行的配置,也會由于各種原因導緻配置一緻性問題。因此,對整個網絡的配置情況進行一緻性檢查是必需的。在網絡的配置中,對網絡正常運行影響最大的主要是路由器端口配置和路由信息配置,因此,要進行一緻性檢查的也主要是這兩類信息。
⑷用戶操作記錄功能:配置系統的安全性是整個網絡管理系統安全的核心,因此,必須對用戶進行的每一配置操作進行記錄。在配置管理中,需要對用戶操作進行記錄,并保存下來。管理人員可以随時查看特定用戶在特定時間内進行的特定配置操作。
⑷性能管理(Performance Management)
性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網絡及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息,并維持和分析性能日志。一些典型的功能包括:
⑴性能監控:由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丢包率、CPU利用率、溫度、内存餘量。對于每個被管對象,定時采集性能數據,自動生成性能報告。
⑵阈值控制:可對每一個被管對象的每一條屬性設置阈值,對于特定被管對象的特定屬性,可以針對不同的時間段和性能指标進
CPU芯片
行阈值設置。可通過設置阈值檢查開關控制閡值檢查和告警,提供相應的阈值管理和溢出告警機制。
⑶性能分橋:對曆史數據進行分析,統計和整理,計算性能指标,對性能狀況作出判斷,為網絡規劃提供參考。
⑷可視化的性能報告:對數據進行掃描和處理,生成性能趨勢曲線,以直觀的圖形反映性能分析的結果。
⑸實時性能監控:提供了一系列實時數據采集;分析和可視化工具,用以對流量、負載、丢包、溫度、内存、延遲等網絡設備和線路的性能指标進行實時檢測,可任意設置數據采集間隔。
⑹網絡對象性能查詢:可通過列表或按關鍵字檢索被管網絡對象及其屬性的性能記錄。
⑸安全管理(Security Management)
安全性一直是網絡的薄弱環節之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題:
網絡數據的私有性(保護網絡數據不被侵 入者非法獲取),
授權(Authentication)(防止侵入者在網絡上發送錯誤信息),
訪問控制(控制訪問控制(控制對網絡資源的訪問)。
相應的,網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理,另外還要維護和檢查安全日志。包括:
網絡管理過程中,存儲和傳輸的管理和控制信息對網絡的運行和管理至關重要,一旦洩密、被篡改和僞造,将給網絡造成災難性的破壞。網絡管理本身的安全由以下機制來保證:⑴管理員身份認證,采用基于公開密鑰的證書認證機制;為提高系統效率,對于信任域内(如局域網)的用戶,可以使用簡單口令認證。
⑵管理信息存儲和傳輸的加密與完整性,Web浏覽器和網絡管理服務器之間采用安全套接字層(SSL)傳輸協議,對管理信息加密傳輸并保證其完整性;内部存儲的機密信息,如登錄口令等,也是經過加密的。
⑶網絡管理用戶分組管理與訪問控制,網絡管理系統的用戶(即管理員)按任務的不同分成若幹用戶組,不同的用戶組中有不同的權限範圍,對用戶的操作由訪問控制檢查,保證用戶不能越權使用網絡管理系統。
⑷系統日志分析,記錄用戶所有的操作,使系統的操作和對網絡對象的修改有據可查,同時也有助于故障的跟蹤與恢複。
網絡對象的安全管理有以下功能:
⑴網絡資源的訪問控制,通過管理路由器的訪問控制鍊表,完成防火牆的管理功能,即從網絡層(1P)和傳輸層(TCP)控制對網絡資源的訪問,保護網絡内部的設備和應用服務,防止外來的攻擊。
⑵告警事件分析,接收網絡對象所發出的告警事件,分析員安全相關的信息(如路由器登錄信息、SNMP認證失敗信息),實時地向管理員告警,并提供曆史安全事件的檢索與分析機制,及時地發現正在進行的攻擊或可疑的攻擊迹象。
⑶主機系統的安全漏洞檢測,實時的監測主機系統的重要服務(如WWW,DNS等)的狀态,提供安全監測工具,以搜索系統可能存在的安全漏洞或安全隐患,并給出彌補的措施
⑹上網行為管理
小草網管軟件綜合智能動态帶寬保障,服務器流量分析與保障、虛拟多設備管理等多項突破性技術,涵蓋流量分析、帶寬管理、上網行為管理、DMZ區服務器管理,專線集中管理、企業級防火牆與路由器、負載均衡等功能,在網絡性能、質量、安全等方面為客戶提供完整的解決方案。本産品已獲得各行業客戶的廣泛認可,成為企業網關綜合管理軟件産品第一品牌。
1.企業網關統一管理系統
2. 支持在windows操作系統上安裝與部署
3.安裝與操作簡單易用
4. 流量分析準确
5. 流控效果顯著
6.市場上唯一支持對DMZ區與内網服務器管理的産品
7. 市場上唯一支持對多條專線統一集中管理的産品
管理協議
簡介
随着網絡的不斷發展,規模增大,複雜性增加,簡單的網絡管理技術已不能适應網絡迅速發展的要求。以往的網絡管理系統往往是廠商在自己的網絡系統中開發的專用系統,很難對其他廠商的網絡系統、通信設備軟件等進行管理,這種狀況很不适應網絡異構互聯的發展趨勢。20世紀80年代初期Internet的出現和發展使人們進一步意識到了這一點。研究開發者們迅速展開了對網絡管理的研究,并提出了多種網絡管理方案,包括HEMS、SGMP、CMIS/CMIP等。下面進行簡單介紹。
SNMP
簡單網絡管理協議(SNMP)的前身是1987年發布的簡單網關監控協議(SGMP)。SGMP給出了監控網關(OSI第三層路由器)的直接手段,SNMP則是在其基礎上發展而來。最初,SNMP是作為一種可提供最小網絡管理功能的臨時方法開發的,它具有以下兩個優點:
⑴與SNMP相關的管理信息結構(SMI)以及管理信息庫(MIB)非常簡單,從而能夠迅速、簡便地實現;
⑵SNMP是建立在SGMP基礎上的,而對于SGMP,人們積累了大量的操作經驗。
SNMP經曆了兩次版本升級,現在的最新版本是SNMPv3。在前兩個版本中SNMP功能都得到了極大的增強,而在最新的版本中,SNMP在安全性方面有了很大的改善,SNMP缺乏安全性的弱點正逐漸得到克服。
CMIS/CMIP
公共管理信息服務/公共管理信息協議(CMIS/CMIP)是OSI提供的網絡管理協議簇。CMIS定義了每個網絡組成部分提供的網絡管理服務,這些服務在本質上是很普通的,CMIP則是實現CMIS服務的協議。
OSI網絡協議旨在為所有設備在ISO參考模型的每一層提供一個公共網絡結構,而CMIS/CMIP正是這樣一個用于所有網絡設備的完整網絡管理協議簇。
出于通用性的考慮,CMlS/CMIP的功能與結構跟SNMP很不相同,SNMP是按照簡單和易于實現的原則設計的,而CMIS/CMIP則能夠提供支持一個完整網絡管理方案所需的功能。
CMIS/CMIP的整體結構是建立在使用ISO網絡參考模型的基礎上的,網絡管理應用進程使用ISO參考模型中的應用層。也在這層上,公共管理信息服務單元(CMISE)提供了應用程序使用CMIP協議的接口。同時該層還包括了兩個ISO應用協議:聯系控制服務元素(ACSE)和遠程操作服務元素(RpSE),其中ACSE在應用程序之間建立和關閉聯系,而ROSE則處理應用之間的請求/響應交互。另外,值得注意的是OSI沒有在應用層之下特别為網絡管理定義協議。
CMOT
公共管理信息服務與協議(CMOT)是在TCP/IP協議簇上實現CMIS服務,這是一種過渡性的解決方案,直到OSI網絡管理協議被廣泛采用。
TCP/IP協議
CMIS使用的應用協議并沒有根據CMOT而修改,CMOT仍然依賴于CMISE、ACSE和ROSE協議,這和CMIS/CMIP是一樣的。但是,CMOT并沒有直接使用參考模型中表示層實現,而是要求在表示層中使用另外一個協議--輕量表示協議(LPP),該協提供了目前最普通的兩種傳輸層協議--TCP和UDP的接口。
CMOT的一個緻命弱點在于它是一個過渡性的方案,而沒有人會把注意力集中在一個短期方案上。相反,許多重要廠商都加入了SNMP潮流并在其中投入了大量資源。事實上,雖然存在CMOT的定義,但該協議已經很長時間沒有得到任何發展了。
LMMP
局域網個人管理協議(LMMP)試圖為LAN環境提供一個網絡管理方案。LMMP以前被稱為IEEE802邏輯鍊路控制上的公共管理信息服務與協議(CMOL)。由于該協議直接位于IEEE802邏輯鍊路層(LLC)上,它可以不依賴于任何特定的網絡層協議進行網絡傳輸。
網絡管理
由于不要求任何網絡層協議,LMMP比CMIS/CMIP或CMOT都易于實現,然而沒有網絡層提供路由信息,LMMP信息不能跨越路由器,從而限制了它隻能在局域網中發展。但是,跨越局域網傳輸局限的LMMP信息轉換代理可能會克服這一問題。
簡單協議
簡單網絡管理協議(SNMP)是最早提出的網絡管理協議之一。SNMP已成為網絡管理領域中事實上的工業标準,并被廣泛支持和應用,大多數網絡管理系統和平台都是基于SNMP的。
一、 SNMP概述
SNMP的前身是簡單網關監控協議(SGMP),用來對通信線路進行管理。随後,人們對SGMP進行了很大的修改,特别是加入了符合Internet定義的SMI和MIB:體系結構,改進後的協議就是著名的SNMP。SNMP的目标是管理互聯網Internet上衆多廠家生産的軟硬件平台,因此SNMP受Internet标準網絡管理框架的影響也很大。SNMP已經出到第三個版本的協議,其功能較以前已經大大地加強和改進了。
SNMP的體系結構是圍繞着以下四個概念和目标進行設計的:保持管理代理(agent)的軟件成本盡可能低;最大限度地保持遠程管理的功能,以便充分利用Internet的網絡資源;體系結構必須有擴充的餘地;保持SNMP的獨立性,不依賴于具體的計算機、網關和網絡傳輸協議。在最近的改進中,又加入了保證SNMP體系本身安全性的目标。
另外,SNMP中提供了四類管理操作:get操作用來提取特定的網絡管理信息;get-next操作通過遍曆活動來提供強大的管理信息提取能力;set操作用來對管理信息進行控制(修改、設置);trap操作用來報告重要的事件。
二、 SNMP管理控制框架與實現
1.SNMP管理控制框架
SNMP定義了管理進程(Manager)和管理代理(Agent)之間的關系,這個關系稱為共同體(Community)。描述共同體的語義是非常複雜的,但其句法卻很簡單。位于網絡管理工作站(運行管理進程)上和各網絡元素上利用SNMP相互通信對網絡進行管理的軟件統統稱為SNMP應用實體。若幹個應用實體和SNMP組合起來形成一個共同體,不同的共同體之間用名字來區分,共同體的名字則必須符合Internet的層次結構命名規則,由無保留意義的字符串組成。此外,一個SNMP應用實體可以加入多個共同體
SNMP模型
。
SNMP的應用實體對Internet管理信息庫中的管理對象進行操作。一個SNMP應用實體可操作的管理對象子集稱為SNMP MIB授權範圍。SNMP應用實體對授權範圍内管理對象的訪問仍然還有進一步的訪問控制限制,比如隻讀、可讀寫等。SNMP體系結構中要求對每個共同體都規定其授權範圍及其對每個對象的訪問方式。記錄這些定義的文件稱為“共同體定義文件”。
SNMP的報文總是源自每個應用實體,報文中包括該應用實體所在的共同體的名字。這種報文在SNMP中稱為“有身份标志的報文”,共同體名字是在管理進程和管理代理之間交換管理信息報文時使用的。管理信息報文中包括以下兩部分内容:
⑴共同體名,加上發送方的一些标識信息(附加信息),用以驗證發送方确實是共同體中的成員,共同體實際上就是用來實現管理應用實體之間身份鑒别的;
⑵數據,這是兩個管理應用實體之間真正需要交換的信息。
在第三版本前的SNMP中隻是實現了簡單的身份鑒别,接收方僅憑共同體名來判定收發雙方是否在同一個共同體中,而前面提到的附加倍息尚未應用。接收方在驗明發送報文的管理代理或管理進程的身份後要對其訪問權限進行檢查。訪問權限檢查涉及到以下因素:
⑴一個共同體内各成員可以對哪些對象進行讀寫等管理操作,這些可讀寫對象稱為該共同體的“授權對象”(在授權範圍内);
⑵共同體成員對授權範圍内每個對象定義了訪問模式:隻讀或可讀寫;
⑶規定授權範圍内每個管理對象(類)可進行的操作(包括get,get-next,set和trap);
⑷管理信息庫(MIB)對每個對象的訪問方式限制(如MIB中可以規定哪些對象隻能讀而不能寫等)。
管理代理通過上述預先定義的訪問模式和權限來決定共同體中其他成員要求的管理對象訪問(操作)是否允許。共同體概念同樣适用于轉換代理(Proxy Agent),隻不過轉換代理中包含的對象主要是其他設備的内容。
2.SNMP實現方式為了提供遍曆管理信息庫的手段,SNMP在其MIB中采用了樹狀命名方法對每個管理對象實例命名。每個對象實例的名字都由對象類名字加上一個後綴構成。對象類的名字是不會相互重複的,因而不同對象類的對象實例之間也少有重名的危險。
在共同體的定義中一般要規定該共同體授權的管理對象範圍,相應地也就規定了哪些對象實例是該共同體的“管轄範圍”,據此,共同體的定義可以想象為一個多叉樹,以詞典序提供了遍曆所有管理對象實例的手段。有了這個手段,SNMP就可以使用Get-next操作符,順序地從一個對象找到下一個對象。Get-next(Object-instance)操作返回的結果是一個對象實例标識符及其相關信息,該對象實例在上面的多叉樹中緊排在指定标識符;Bject-instance對象的後面。這種手段的優點在于,即使不知道管理對象實例的具體名字,管理系統也能逐個地找到它,并提取到它的有關信息。遍曆所有管理對象的過程可以從第一個對象實例開始(這個實例一定要給出),然後逐次使用Get-next,直到返回一個差錯(表示不存在的管理對象實例)結束(完成遍曆)。
由于信息是以表格形式(一種數據結構)存放的,在SNMP的管理概念中,把所有表格都視為子樹,其中一張表格(及其名字)是相應子樹的根節點,每個列是根下面的子節點,一列中的每個行則是該列節點下面的子節點,并且是子樹的葉節點,如下圖所示。因此,按照前面的子樹遍曆思路,對表格的遍曆是先訪問第一列的所有元素,再訪問第二列的所有元素……,直到最後一個元素。若試圖得到最後一個元素的“下一個”元素,則返回差錯标記。
管理關鍵
網絡迅速發展,導緻網絡結構更為複雜;網絡應用的日新月異,讓網絡管理員每天都要面對新的問題。很多企事業單位,在遇到網絡問題不知道應該如何去解決,看流量,拔網線等手段,排查周期長,也很難真正找出問題。
網絡發展到一定階段,必然要考慮到網絡性能、網絡故障與網絡安全性問題。隻有通過運用網絡分析技術對網絡流通數據的清晰認識,才能為故障的排查,性能的提升,以及網絡安全的解決提供可靠的數據依據。
信息應用與治理
網絡最大的價值,是在于信息化的應用。當出現故障不能及時解決,即使有再好的電子商務、電子政務,也隻是一個擺設。無論是安全、性能還是故障性問題,不能快速解決,給企業帶來的是難以衡量的損失。
治理并不是簡單的網絡管理,它需要管理者對網絡中所有設備完全掌握,包括每個網卡地址,以及所處的位置。通過對網絡傳輸中的數據進行全面監控分析,才能從網絡底層數據獲取各種網絡應用行為造成的網絡問題,并快速的定位到網卡的位置。從而在安全策略上更好的防範,對故障和性能更合理的管理。
一勞永逸的誤區
從管理角度的考慮,往往期望絡故障和安全性問題可以自動解決。但曆經多年,沒有任何産品能做到。雖然許多企業部署了非常好的安全防護産品,但仍然會受到網絡攻擊和病毒危害。根本原因在于,網絡應用本身就在不斷的發展,新的病毒以及病毒變種,都很難被基于特征庫或病毒庫的産品所識别。要解決這些問題,則要求網絡管理員随時都能查看到網絡中真實的數據,最快的發現引起問題的原因。
網絡拓撲圖VS矩陣圖
網絡拓撲圖要求這些交換設備都必須支持SNMP(簡單網絡管理協議),它能直觀能看到網絡結構,但看不到終端主機;它能看到設備斷網情況和粗略流量,但對網絡問題的解決能力并不實用。
從技術趨勢來看,矩陣圖(Matrix)将更适合網絡管理的需要。矩陣圖也被稱為主機連接圖,可以監控每台主機(包括交換設備)之間的通訊連接,極大的提高了監控範圍,監控範圍深入到每台主機之間的各種應用,包括通訊、資源占用、活躍程度、服務應用等,管理者可以監控到每台主機的一舉一動,各種網絡問題都會在矩陣中表現出異常。如:BT下載、DDOS攻擊、ARP攻擊、木馬掃描等。
"診斷專家"快速提高解決能力
網絡分析不僅提供網絡依據,更重要的是幫助管理者提高問題的解決能力。"診斷專家"則是一個從問題原因到問題結果的完整解釋。好的網絡分析産品,可以自動提取問題的相關數據,并告訴管理者網絡中存在有哪些問題,可能産生的原因,有什麼辦法可以解決,ARP攻擊的快速定位則是一個很好的證明。
網絡數據的回放能力
好的網絡分析産品,都具有網絡數據的回放能力,将網絡數據進行7x24小時記錄,可以按每天或每小時來記錄。如果要分析昨天某個時段出現的網絡故障,隻需要将當時保存的數據包進行播放,同時通過網絡分析來追溯故障是如何發生的,使網絡管理對曆史問題追查能力得到明顯提高。
局域網網絡流量控制與管理辦法
1、局域網網絡流量監控方法
網絡流量監控的主要目的是對網絡進行管理,其過程一般是:一、實時、不間斷地采集網絡數據。二、統計、分析所得數據。三、确認網絡的主要性能指标。四、對網絡進行分析管理。網絡流量監控的方法主要有兩種,一種是使用網絡監控設備,另一種是使用網絡流量監控軟件。當前的局域網網絡設備對于P2P這種模式沒有很好的管理效果,導緻P2P軟件大行其道,占用了極多的帶寬資源。當前,以下幾種網絡流量最為常見:
(1)P2P流量:P2P文件共享在網絡帶寬消耗方面是大戶,夜間,有95%的網絡帶寬被P2P占用。
(2)FTP流量:FTP這項服務的應用比較早,且重要程度隻比HTTP和SMTP稍低。P2P的出現,FTP的重要性再次降低,但其重要性仍然不可忽視。
...
2、局域網流量控制與管理策略
2.1 通過路由控制流量
2.2 禁止P2P下載
2.3 進行時間段管理
2.4 限定局域網主機速度
3、局域網流量異常發現與處理
3.1 找出流量過大的電腦
3.2 對異常主機發出警告
局域網絡管理
傳統的局域網管理主要針對一定範圍的局域網絡,在這樣的局域網絡中包括的主要管理對象有:服務器、客戶機、客戶端PC機各種網絡線路與集線器以及各種網絡操作系統。由于在這樣規模的局域網中,網絡管理的對象有限,網絡管理一般包括三個方面:了解網絡,網絡運行以及網絡維護。1.了解網絡
要管好一個局域網,就必須對該局域網有清楚的了解。對該網絡的清晰了解以及對各種網絡信息的資料化管理記錄,是保證網絡正常運轉以及進行各種網絡維護的前提與基礎
局域網
⑴識别網絡對象的硬件情況:局域網是由各種節點組成,這樣的節點主要是服務器和客戶機,因此首先需要識别這些節點的硬件組成。硬件識别包括了解服務器和客戶機的品牌、它們的芯片速率、網卡品牌與配置情況,以及集線器的型号與品牌,這樣就可以了解局域網中硬件設備的提供商并對硬件設備所能達到的性能有大體的了解。另外,對服務器的硬件還必須有進一步的了解,包括服務器的外設配置情況、硬盤驅動器的容量以及内存大小等。
⑵判别局域網的拓撲結構:了解了網絡中的關鍵部件之後需要進一步了解它們是如何連接運行的,即網絡結構下的實際布線系統。常見的三種布線的拓撲結構是星形、總線和環型拓撲結構,另外也有無線和點對點的拓撲結構,但不常用。在了解局域網的布線結構後,針對每種結構各自的優缺點,應注意其将導緻的性能與故障差異。然後需要了解的是實現網絡傳輸的方式。常用的網絡傳輸方式是Ethernet,它是一種支持廣泛的傳輸協議以及多種布線形式的成熟标準。Ethernet是非确定型的,網絡傳送任務越重,越有可能發生沖突,而沖突将導緻影響響應時間。所以網絡上有大量活動節點時性能就會大大降低,如果Ethernet集線器上總是出現沖突信号的話,在熟悉網絡布局後可能就得重新考慮分布網絡上的用戶。Ethernet的纜線包括:粗纜Ethernet,或叫10Base5 Ethernet,使用大号的同軸電纜;細纜Ethernet,也叫10Base2Ethernet,使用小口徑的RG-58同軸電纜;10BaseTEthernet,在星形結構中使用非屏蔽雙絞線。對于采用Ethernet方式的局域網,網絡管理員不僅要清楚Ethernet的原理,還必須了解組網所用的Ethernet纜線和插頭以及它們的特點,這樣在網絡出現故障時可以幫助故障點的尋找與排除。除了Ethernet之外,其他的網絡傳輸方式還有标記環(Token Ring)、光纖分布數據接口(FDDl)以及ARCNet等。了解局域網使用的傳輸方式是局域網管理的基本條件之一。
⑶确定網絡的互聯:首先需要确定網絡連接的設備和接入網絡的方式。這些設備與接入方式包括:使用調制解調器(Modem),使用網絡插座,使用CSU/DSU連接,使用網橋工作,使用路由器,使用網關。這些接入設備對于保證網絡節點的連通以及該局域網與主幹網連通有着重要作用,同時也是網絡故障多發的故障點和影響網絡性能的可能瓶頸所在。另一方面,還需要在網絡服務器或其他網絡設備上确定該局域網的所有子網和各客戶機都能連通,并記錄下網絡中各子網以及客戶機的IP地址分配。
⑷确定用戶負載和定位:網絡負載最重要的方面是用戶的分布,因為每一網絡和服務器上的用戶數量是影響網絡性能的關鍵因素,因此确定網絡上有多少用戶以及他們各自的定位尤其重要。首先,查看文件服務器上的負載,了解文件服務器正常運行的時間,查看服務器CPU的使用率,以及服務器上網絡連接的數目,這些數據提供了網絡負載的直接數據;然後,利用這些數據分析衆多服務器中哪個使用率最高,哪些網絡的負擔最重,最後對網絡用戶以及負載分布情況有個大緻的了解。
2.網絡運行
要使一個局域網順利運轉必須完成很多工作,這些工作包括:配置網絡,即選擇網絡操作系統,選擇網絡連接協議,并根據選擇的網絡協議配置客戶機的網絡軟件;然後配置網絡服務器及網絡的外圍設備,做好網絡意外預防處理;最後還有網絡安全管理、網絡用戶權限分配以及病毒的預防與處理。
⑴配置網絡;配置網絡就要選擇網絡操作系統。傳統的網絡操作系統包括UNIX,Windows NT,NetWare,VINES,Windows for Workgroups,LANtastic,PersonaI Net-Ware等,這些網絡操作系統有各自的特點,相對而言,在局域兩中WindowsNT和Net-Ware比較普遍。NT最大的優勢在于價格和支撐其發展的巨頭Microsoft。NT支持IPX和TCP/IP,因此在大多數網絡環境中受到歡迎,另外,其安全性和網絡管理功能也不錯在硬件完全兼容時安裝也比較方便。在現有網絡中,大約70%的網絡操作系統采用了Novell公司的NetWare系列。NetWare是一種快速而可靠的操作系統,十分類似于DOS,它對多種網絡協議和多種客戶機操作系統有着完善的支持,其兼容性和模塊化設計也使它領先于其它系統。
選擇網絡協議也是配置網絡的重要組成部分。現在流行的局域網網絡協議包括IPX/SPX、TCP/IP、NETBIOS、NetBEUI和AppleTalk等。比較普遍的協議是IPX/SPX和TCP/IP,其中IPX/SPX是NetWare所采用的數據傳輸方式,在局域網中使用非常普遍;TCP/IP是面向Internet所使用的網絡協議,具有廣泛的影響力。
在确定了網絡操作系統和網絡協議之後,需要配置該網絡中每台客戶機的網絡軟件。在DOS平台上,一般是安裝相應網絡協議的網絡驅動軟件,然後修改一些配置文件中的參數;在GUI的操作系統(例如Windows系列、Macintosh和OS2)中,則選擇相應的對話框窗口配置網絡參數;在UNIX系統中,主要靠修改系統配置文件來配置網絡。
⑵配置網絡服務器:在局域網中,服務器往往具有重要作用,一個配置良好的服務器可以順利保障網絡的運行。首先是在服務器上用磁盤和卷根據内容的性質與空間大小分配來劃分工作,這樣可以把不同的程序和數據按照一種順序存放在磁盤中,而卷的使用不僅可以按一定的層次存放數據,而且可以控制用戶的訪問權,然後在服務器上啟動網絡服務進程,監測網絡用戶的訪問。還有一些外圍設備,比如共享打印機、共享外接磁盤或驅動器等,這些設備在服務器上都應正确配置。
最後還應該注意的是預防網絡意外發生,首先是保證電源(特别是網絡服務器的電源),一般的方式是配置UPS應急電源;然後是保證服務器的環境狀況(比如維持機房的溫度與濕度在一定的範圍);最後是做好重要數據和系統的備份工作。備份的硬件設備包括硬盤陣列和磁帶、光盤驅動器等,備份的方法很多,常用的是磁盤鏡像、磁盤雙工或磁盤陣列等。在進行備份時一定要做好詳細記錄,對備份内容進行分類并做标記。
⑶網絡安全控制:網絡安全控制的首要任務是管理用戶注冊和訪問權限。在局域網上,網絡操作系統一般都提供用戶管理和權限分配的工具。對于局域網内,部用戶,利用這些工具可以檢查和設置用戶信息、進行賬号限制,例如改變賬号密碼、設置組、确定組中的賬号、修改組或賬号的權限、設定賬号有效時間等等。定時對網絡當前訪問情況進行檢查并做好記錄,及時發現異常情況。另外,管理局域網外部權限和連接也很重要,一般局域網外部用戶可能會訪問該局域網,如查看已有文件、傳遞他們的文件或使用其他網絡資源,因此對這種用戶也需要建立賬号,但應根據其使用網絡的目的詳細控制其訪問權限,然後定期檢查哪些用戶沒有注冊,對一些不再需要的賬号及時注銷。
病毒對局域網的危害非常嚴重,一種網絡病毒可以通過網絡迅速地傳染到局域網的每一台客戶機,因此及時發現并殺死病毒至關重要。有多種不同的方法可以識别病毒:在文件級上,用CRC技術可以将預期的文件大小或其他特征與文件被打開之前所看到的實際特征進行比較;最常用的方法是對文件進行掃描,發現已知病毒的标志、代碼,從而辨認出每一種病毒的變形。一旦發現病毒,當然就要清除它。利用一些殺毒軟件可以殺死病毒恢複原來的文件。另一種方法是删除有病毒的文件,然後用備份的無病毒文件替代。另外還必須對受病毒感染的服務器上的各卷進行掃描,如果在網絡服務器之間或客戶機之間存在通信聯絡,還必須去掃描其他系統。确定适當的持續的病毒防護是避免病毒侵害的最有效方法,這樣的防護包括:建立和增強反病毒規則和程序;在客戶機上安裝和更新反病毒軟件;安裝基于網絡的反病毒軟件。
3.網絡維護
網絡維護是保障網絡正常運行的重要方面,主要包括故障檢測與排除、網絡日常檢查及網絡升級。
⑴常見網絡的故障和修複:在局域網中,最重要的故障檢測工作是文件服務器的維護。隻要服務器正常工作,集中存儲的數據就是安全的,用戶可以在需要時訪問這些數據。當然,網絡連接設備應保證用戶能持續工作,而客戶機本身也應能正常工作。
故障處理過程有四個主要部分:發現故障迹象,追蹤故障的根源,排除故障,記錄故障的解決方法。網絡故障處理經常需要進行大量的調查研究,但相對而言隻有很少的問題是真正比較複雜的。常見的情況是,故障的解決方法是很簡單的,隻不過被其他問題或不完全的信息掩蓋了。在處理故障期間,可以參考圖1中的流程圖,以确保能對網絡故障進行邏輯的和有條理的分析。
當網絡管理人員收到故障報告時,首先應該檢查别的用戶是否也遇到同一問題,如果有多個用戶報告了同類問題,那麼很可能是出現了服務器或纜線故障,而不是用戶客戶機所引起的故障。
排除文件服務器上的錯誤非常關鍵,因為它通常會影響到很多用戶,因此首先要對服務器進行認真檢查:服務器是否在運行?監視器是否顯示信息?服務器是否響應鍵盤輸入? 服務器控制台是否顯示異常終止或其他信息?服務器NIC(網絡适配器)是否發送和接收數據? 服務器的卷是否己安裝?
文件服務器通常是十分穩定的,但它們也特别容易出現三種類型的故障:第一類故障并不是網絡操作系統本身的錯誤,而是由于配置的更改造成的,因此無論何時改變網絡操作系統的配置都必須備份以前的配置并記錄更改日期;第二類故障是部件失效,雖然NIC和磁盤失效是最為常見的,但從鍵盤端口到SIMM的任何部件都可能會發生故障,甚至在高品質服務器上也無法避免;第三類故障是服務器的軟件模塊引發的系統沖突故障,比如磁盤驅動程序或LAN驅動程序引發的内存故障等。
當服務器故障檢查各方面都沒有問題時,引起大量用戶訪問故障的問題很可能出現在網絡纜線系統上。如果故障網絡采用的是總線拓撲結構,那麼故障檢測工作可能會比較繁重;對于星形結構,則應檢查集線器或MAU是否通電并能正常運行。如果連接設備本身運行良好,可檢查它們與服務器的物理連接。一般而言,對于物理網絡,電纜和按插件老化、電磁幹擾、電纜長度限制是最常見的物理網絡故障源;連接設備,如接插闆、集線器和路由器也是故障多發點。
⑵網絡檢查:網絡檢查是在網絡正常運轉情況下對服務器狀态和網絡運行情況的動态信息收集和分析的過程。有些數據最好每天檢查一次,而有些數據則較長時間檢查一次即可。下面列出一些需要定期檢查的網絡關鍵信息:
頻率 活 動
頻率 活 動
每日 檢查各服務器的卷空間
每日 去除舊用戶
每日 列出前一天創建的文體
每月 檢查用戶賬号安全性
每日 找出可被存檔/删除的舊文件
每月 确保備份的完整性
每日 檢查備份的執行情況
每月 更服務器模塊
每日 檢查服務器錯誤記錄文件
每月 更新客戶文件
⑶網絡升級:網絡升級是一個持續的過程,它需要考慮一些财務和預算因素。一般在網絡管理中需要考慮的是必須進行的升級,這些升級能夠保證網絡正常運轉。雖然網絡操作系統的升級通常是最迫切的,但硬件和軟件也可能需要升級。
服務器升級是最重要的。必須的服務器升級有三種:最簡單的是用戶許可證升級,如果網絡服務器的能力已達到最大限度,并需要容納更多的用戶,就需要進行許可證升級;另二種服務器升級是網絡操作系統的升級,如果使用的是過時的或有故障的網絡操作系統,就應該升級為最新的版本;第三種服務器升級所指的範圍相對來說要廣泛一些,主要指硬件升級,硬件升級可能包括增加磁盤空間、改進容錯措施或系統升級。另外,客戶軟件的升級有時也是很必要的,因為舊客戶軟件對于網絡操作系統可能是一種沉重的負擔。
在确定了最重要的升級之後,應決定需要購買的産品,并對升級費用進行評估,然後制定實施升級的工作步驟,最後應從成本和效益兩方面總結新配置的優點。
常見軟件
提升國内網絡管理的整體水平
相比海外而言,國内的網絡管理起步較晚,用戶的管理水平也不及海外。科來積極的将此項技術應用于網絡 故障解決、網絡性能提升與網絡安全防護,旨在提升國内的網絡管理水平,縮短與國外的差距,幫助用戶實 現對其網絡的全可視化,透過網絡現象看到本質,真正的駕馭自己的網絡。
幫助網絡管理者精細化網絡管理
網絡分析技術是網絡管理的關鍵,是網絡進入深層次管理的必備技術,網絡分析技術的普及也是必然趨勢, 科來積極幫助用戶建立在此項技術上的深入認知!在官網推出免費版本的軟件供廣大技術愛好者交流使用, 同時有針對性的提供大量的技術學習文檔和視頻資料,并組織力量在相關論壇解答用戶的疑問及分享資源, 旨在推動該項技術在國内的普及程度,讓用戶切實的接觸到先進的網絡管理技術。
網絡管理員
網絡管理員主要針對目前國内機關,企事業單位的網絡應用現狀,如單位總出口帶寬有限、網絡濫用、員工無節制上網、聊天等等,提供了簡單、有效的管理功能。
網盾netsos3.0
網盾netsos是一款模塊化架構的局域網管理軟件,共包含12項強大的功能。根據實際需求,按需取用保證IT投資回報率。
管理維護
簡介
網絡管理和維護是一項非常複雜的任務,雖然關于網絡管理既制訂了國際标準,又存在衆多網絡管理的平台與系統,但要真正做好網絡管理的工作不是一件簡單的事情。下面我們将介紹網絡技術發展下一些新形式的網絡管理,以及在長期網絡管理實踐基礎上總結出來的一些網絡管理經驗。
VLAN管理
VLAN(虛拟局域網)就是一個計算機網絡,其中的計算機好像是被同一網線連接在一起,而實際上它們可能分處于局域網的不同區域。VLAN更多的是通過軟件而非硬件來實現,因此這使得它具有很高的靈活性。VlAN的一個主要特性就是提供了更多的管理控制,減少了相對日常管理開銷,提供了更大的配置靈活性。
VLAN的這些特性包括:①當用戶從一個地點移動到另一個地點時,簡化了配置操作和過程修改;②當網絡阻塞時,可以重新調節流量分布;②提供流量與廣播行為的詳細報告,同時統計VLAN邏輯區域的規模與組成;④提供根據實際情況在VLAN中增加和減少用戶的靈活性。
上面的這些操作必須透明地執行,同時需要不用具備太多實際網絡複雜連接情況的了解,或者不用知道如何重新配置協議。雖然用戶可以直接地通過設置或重置VLAN的端口來配置VLAN,但缺乏智能網絡管理工具的幫助;而保證VLAN在若幹部門之間正常通信是很困難的。
VLAN的配置如果根據交換機端口定義VLAN,通常很容易用某種拖放軟件把一個或多個用戶分配到特定的VLAN。在非交換環境裡,移動、添加或更改操作很麻煩,有可能要改動接線闆上的跳線充一個集線器端口移動到另一個端口。然而,改動VLAN分配仍然要靠人工進行:在大型網絡裡,這樣做很費時,因而很多聯網供應商鼓吹采用VLAN可以簡化移動、添加和更改操作。
基于MAC地址的VLAN分配方案确實可使某些移動、添加和更改操作自動化。如果用戶根據MAC地址被分配到一個VLAN或多個VLAN,他們的計算機可以連接交換網絡的任何一個端口,所有通信量均能正确無誤地到達目的地。顯然,管理員要進行VLAN初始分配,但用戶移動到不同的物理連接不需要在管理控制台進行人工幹預;例如有很多移動用戶的站,他們并非總是連接同一端口――或許因為辦公室都是臨時性的,采用基于MAC地址的VLAN可避免很多麻煩。
傳統的Layer3技術怎麼樣呢?這裡離開VLAN最近的是IP子網:每個子網需要一個路由器端口,因為通信量隻能通過一個路由器從一個子網移動到另一個子網。由于IP32位地址提供的地址空間很有限,所以很難分配子網地址,還有看你是否熟悉二進制算法。因此,在IP網絡裡執行移動、添加和更改操作很困難,速度慢,容易出錯,而且費用大。另外,在公司更換I 或者采用新安全策略時,可能有必要重新編号網絡,這對于大型網絡來說是無法想像的。
實際上,如果有人采用現有的有子網的路由IP網絡,并根據IP地址訪問任意VLAN成員,路由器就可能會被不必要的通信量淹沒。
如果很多子網裡都有VALN成員,常用的VLAN廣播必須通過路由器才能達到所有成員。此外,糟糕的是廣域鍊路會生成額外廣播通信量;有WAN連接服務的VLAN成員數通常應該保持在最低水平。實際上, 基于Layer3地址的VLAN成員值有可能在增強和修改現有子網分布方面很有用,例如可通過一個全子網給VLAN添加兩個新節點,或者可用兩個子網組成一個VLAN而無須重新編号。
Cabletron的SecureFast Virtual Networking Layer3交換技術采用路由服務器模型而不是傳統的路由選擇模型。第一個信息包傳送到路由服務器進行常規路由計算,但交換機能記憶路徑,因而後續信息包可在Layer2交換,而無須查對路由表。由于有了基于純Layer3地址的VLAN,所以IP地址可以作為通用網絡ID,允許任何人連接任何數據鍊路,從而獲得全網絡訪問,大大簡化移動、添加和更改任務。
但是,還有其他方法解決IP子網引起的管理問題。DHCP(動态主機配置協議)已經在連接時給用戶分配地址的其他技術,都可用于解決上述問題。
WAN接入管理
在網絡管理的解決方案中,我們知道一個大型網絡,一般是WAN,是通過分層進行管理的。比如在一個全國性的網絡中心之下有許多地區性的網絡中心,一般全國性的網絡中心主要保證這個WAN的主幹網正常運轉,而地區性網絡中心則主要負責各個網絡用戶的接入管理。
對于每個想入網的用戶而言,首先要考慮在網絡連接上怎麼接人這個網絡。一般用戶需要找到主管自己這片地區的地區性網絡中心,然後提出申請,最後該地區性網絡中心再進行用戶的接入操作。這些操作一般包括:⑴聯網用戶必須租用一條網絡線路,連接用戶與地區性網絡中心。該線路可以是已經存在的,屬于某個商業網絡公司或電信公司,也可以是單獨為該用戶鋪設的一條線路。線路既可能是使用光纖的DDN專線,也可能是使用電話線的DDR線路。聯網用戶租用了網絡線路就要向線路的經營者交納租金,而線路的經營者可能不是提供接入服務的地 區性網絡中心。
⑵聯網用戶需要向地區網絡中心申請一段屬于自己的IP地址,然後在全國網絡中心注冊域名。
⑶對于接入的聯網用戶,一般都要向地區性網絡中心一次性交納一筆接入費用,然後地區網絡中心再對該用戶進行網絡接入的相關配置。
⑷在聯網用戶端也需要進行相應的配置,然後開通該用戶的網絡連接,最後聯網用戶需要根據其使用網絡資源的流量交納網絡費用。
在上面的操作中可以看到,地區網絡中心對新聯網用戶的接人需要進行相應的配置, 這些配置操作一般包括:
⑴在接入路由器上,選擇一個空閑端口,在該端口上進行相應的配置,然後再根據接人的拓撲關系,配置該端口的路由信息。
⑵在接入路由器上,根據用戶的IP地址範圍建立一個Access-1ist組,一旦用戶要求或其他情況(如用戶沒有按規定交納費用等)發生時,可以立即斷掉該用戶的網絡連接。
⑶把該路由器端口和連接聯網用戶的線路加入網絡管理監視對象集,以保障提供給用戶可靠、穩定的網絡接人服務。
