目錄
CMIP協議
書籍

網絡管理

CMIP協議 · 李秉慈

{

\"code\": 200,

\"title\": \"\",

\"content\": \"網絡管理包括對硬體、軟件和人力的使用、綜合與協調,以便對網絡資源進行監視、測試、配置、分析、評價和控製,這樣就能以合理的價格滿足網絡的一些需求,如實時運行效能、服務質量等。網絡管理常簡稱為網管。\\n\\n網絡管理,是指網絡管理員通過網絡管理程式對網絡上的資源進行集中化管理的操作,包括配置管理、效能和記賬管理、問題管理、操作管理和變化管理等。一台設備所支援的管理程度反映了該設備的可管理性及可操作性。\\n\\n而交換機的管理功能是指交換機如何控製用戶訪問交換機,以及用戶對交換機的可視程度如何。通常,交換機廠商都提供管理軟件或滿足第三方管理軟件遠程管理交換機。一般的交換機滿足SNMPMIBI\\/MIBII統計管理功能。而複雜一些的交換機會增加通過內置RMON組(mini-RMON)來支援RMON主動監視功能。有的交換機還允許外接RMON探監視可選的網絡狀況。常見的網絡管理方式有以下幾種:\\n\\n(1)SNMP管理技術\\n\\n(2)RMON管理技術\\n\\n(3)基於WEB的網絡管理\\n\\nSNMP是英文“SimpleNetworkManagementProtocol”的縮寫,中文意思是“簡單網絡管理協議”。SNMP首先是由Internet工程任務組織(InternetEngineeringTaskForce)(IETF)的研究小組為瞭解決Internet上的路由器管理問題而提出的。\\n\\nSNMP是目前最常用的環境管理協議。SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的傳輸協議上被使用。SNMP是一係列協議組和規範(見下表),它們提供了一種從網絡上的設備中收集網絡管理資訊的方法。SNMP也為設備向網絡管理工作站報告問題和錯誤提供了一種方法。\\n\\n目前,幾乎所有的網絡設備生產廠家都實現了對SNMP的支援。領導潮流的SNMP是一個從網絡上的設備收集管理資訊的公用通訊協議。設備的管理者收集這些資訊並記錄在管理資訊庫(MIB)中。這些資訊報告設備的特性、數據吞吐量、通訊超載和錯誤等。MIB有公共的格式,所以來自多個廠商的SNMP管理工具可以收集MIB資訊,在管理控製檯上呈現給係統管理員。\\n\\n通過將SNMP嵌入數據通訊設備,如交換機或集線器中,就可以從一箇中心站管理這些設備,並以圖形方式檢視資訊。目前可獲取的很多管理應用程式通常可在大多數當前使用的操作係統下運行,如\\n\\nWindows\\n\\nWindows3.11.Windows95、WindowsNT和不同版本UNIX的等\\n\\nWindows。\\n\\n一個被管理的設備有一個管理代理,它負責向管理站請求資訊和動作,代理還可以藉助於陷阱為管理站提供站動提供的資訊,因此,一些關鍵的網絡設備(如集線器、路由器、交換機等)提供這一管理代理,又稱SNMP代理,以便通過SNMP管理站進行管理。\\n\\n關於網絡管理的定義目前很多,但都不夠權威。一般來說,網絡管理就是通過某種方式對網絡進行管理,使網絡能正常高效地運行。其目的很明確,就是使網絡中的資源得到更加有效的利用。它應維護網絡的正常運行,當網絡出現故障時能及時報告和處理,並協調、保持網絡係統的高效運行等。國際標準化組織(ISO)在ISO\\/IEC7498-4中定義並描述了開放係統互連(OSI)管理的術語和概念,提出了一個OSI管理的結構並描述了OSI管理應有的行為。它認為,開放係統互連管理是指這樣一些功能,它們控製、協調、監視OSI環境下的一些資源,這些資源保證OSI環境下的通訊。通常對一個網絡管理係統需要定義以下內容:○係統的功能。即一個網絡管理係統應具有哪些功能。\\n\\n○網絡資源的表示。網絡管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬體、軟件以及所提供的服務等。而一個網絡管理係統必須在係統中將它們表示出來,才能對其進行管理。\\n\\n○網絡管理資訊的表示。網絡管理係統對網絡的管理主要靠係統中網絡管理資訊的傳遞來實現。網絡管理資訊應如何表示、怎樣傳遞、傳送的協議是什麼?這都是一個網絡管理係統必須考慮的問題。\\n\\n○係統的結構。即網絡管理係統的結構是怎樣的。\\n\\n網絡管理分類及功能\\n\\n網管軟件劃分爲三代\\n\\n事實上,網絡管理技術是伴隨著計算機、網絡和通訊技術的發展而發展的,二者相輔相成。從網絡管理範疇來分類,可分為對網“路”的管理。即針對交換機、路由器等主乾網絡進行管理;對接入設備的管理,即對內部PC、服務器、交換機等進行管理;對行為的管理。即針對用戶的使用進行管理;對資產的管理,即統計IT軟硬體的資訊等。根據網管軟件的發展曆史,可以將網管軟件劃分爲三代:\\n\\n第一代網管軟件就是最常用的命令列方式,並結合一些簡單的網絡監測工具,它不僅要求使用者精通網絡的原理及概念,還要求使用者瞭解不同廠商的不同網絡設備的配置方法。\\n\\n第二代網管軟件有著良好的圖形化介麵。用戶無須過多瞭解設備的配置方法,就能圖形化地對多台設備同時進行配置和監控。大大提高了工作效率,但仍然存在由於人為因素造成的設備功能使用不全麵或不正確的問題數增大,容易引發誤操作。\\n\\n第三代網管軟件相對來說比較智慧,是真正將網絡和管理進行有機結合的軟件係統,具有“自動配置”和“自動調整”功能。對網管人員來說,隻要把用戶情況、設備情況以及用戶與網絡資源之間的分配關係輸入網管係統,係統就能自動地建立圖形化的人員與網絡的配置關係,並自動鑒彆用戶身份,分配用戶所需的資源(如電子郵件、Web、文檔服務等)。\\n\\n網絡管理五大功能\\n\\n根據國際標準化組織定義網絡管理有五大功能:故障管理、配置管理、效能管理、安全管理、計費管理。對網絡管理軟件產品功能的不同,又可細分為五類,即網絡故障管理軟件,網絡配置管理軟件,網絡效能管理軟件,網絡服務\\/安全管理軟件,網絡計費管理軟件。\\n\\n下麵我們來簡單介紹一下大家熟悉的網絡故障管理、網絡配置管理、網絡效能管理、網絡計費管理和網絡安全管理五個方麵網絡管理功能:\\n\\nISO在ISO\\/IEC7498-4文檔中定義了網絡管理的五大功能,並被廣泛接受。這五大功能是:\\n\\n(1)故障管理(faultmanagement)\\n\\n故障管理是網絡管理中最基本的功能之一。用戶都希望有一個可靠的計算機網絡。當網絡中某個組成失效時,網絡管理器必須迅速查詢到故障並及時排除。通常不大可能迅速隔離某個故障,因為網絡故障的產生原因往往相當複雜,特彆是當故障是由多個網絡組成共同引起的。在此情況下,一般先將網絡修複,然後再分析網絡故障的原因。分析故障原因對於防止類似故障的再發生相當重要。網絡故障管理包括故障檢測、隔離和糾正三方麵,應包\\n\\n網絡管理\\n\\n括以下典型功能:\\n\\n網絡管理(1)故障監測:主動探測或被動接收網絡上的各種事件信\\n\\n息,並識彆出其中與網絡和係統故障相關的內容,對其中的關鍵部分保持跟蹤,生成網絡故障事件記錄。(2)故障報警:接收故障監測模塊傳來的報警資訊,根據報警策略驅動不同的報警程式,以報警視窗\\/振鈴(通知一線網絡管理人員)或電子郵件(通知決策管理人員)發出網絡嚴重故障警報。\\n\\n(3)故障資訊管理:依靠對事件記錄的分析,定義網絡故障並生成故障卡片,記錄排除故障的步驟和與故障相關的值班員日誌,構造排錯行動記錄,將事件-故障-日誌構成邏輯上相互關聯的整體,以反映故障產生、變化、消除的整個過程的各個方麵。\\n\\n(4)排錯支援工具:向管理人員提供一係列的實時檢測工具,對被管設備的狀況進行測試並記錄下測試結果以供技術人員分析和排錯;根據已有的徘錯經驗和管理員對故障狀態的描述給出對徘錯行動的提示。\\n\\n(5)檢索\\/分析故障資訊:瀏閱並且以關鍵字檢索查詢故障管理係統中所有的數據庫記錄,定期收集故障記錄數據,在此基礎上給出被管網絡係統、被管線路設備的可靠性參數。\\n\\n對網絡故障的檢測依據對網絡組成部件狀態的監測。不嚴重的簡單故障通常被記錄在錯誤日誌中,並不作特彆處理;而嚴重一些的故障則需要通知網絡管理器,即所謂的\\\"警報\\\"。一般網絡管理器應根據有關資訊對警報進行處理,排除故障。當故障比較複雜時,網絡管理器應能執行一些診斷測試來辨彆故障原因。\\n\\n(2)計費管理(accountingmanagement)\\n\\n計費管理記錄網絡資源的使用,目的是控製和監測網絡操作的費用和代價。它對一些公共商業網絡尤為重要。它可以估算出用戶使用網絡資源可能需要的費用和代價,以及已經使用的資源。網絡管理員還可規定用戶可使用的最大費用,從而控製用戶過多占用和使用網絡資源。這也從另一方麵提高了網絡的效率。另外,當用戶為了一個通訊目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。\\n\\n(1)計費數據采集:計費數據采集是整個計費係統的基礎,但計費數據采集往往受到采集設備硬體與軟件的製約,而且也與進行計費的網絡資源有關。(2)數據管理與數據維護:計費管理人工互動性很強,雖然有很多數據維護係統自動完成,但仍然需要人為管理,包括交納費用的輸入、聯網單位資訊維護,以及賬單樣式決定等。\\n\\n(3)計費政策製定;由於計費政策經常靈活變化,因此實現用戶自由製定輸入計費政策尤其重要。這樣需要一個製定計費政策的友好人機介麵和完善的實現計費政策的數據模型。\\n\\n(4)政策比較與決策支援:計費管理應該提供多套計費政策的數據比較,為政策製訂提供決策依據。\\n\\n(5)數據分析與費用計算:利用采集的網絡資源使用數據,聯網用戶的詳細資訊以及計費政策計算網絡用戶資源的使用情況,並計算出應交納的費用。\\n\\n(6)數據查詢:提供給每個網絡用戶關於自身使用網絡資源情況的詳細資訊,網絡用戶根據這些資訊可以計算、覈對自己的收費情況。\\n\\n(3)配置管理(configurationmanagement)\\n\\n配置管理同樣相當重要。它初始化網絡、並配置網絡,以使其提供網絡服務。配置管理是一組對辨彆、定義、控製和監視組成一個通訊網絡的對象所必要的相關功能,目的是為了實現某個特定功能或使網絡效能達到最優。\\n\\n(1)配置資訊的自動獲取:在一個大型網絡中,需要管理的設備是比較多的,如果每個設備的配置資訊都完全依靠管理人員的手工輸入,工作量是相當大的,而且還存在出錯的可能性。對於不熟悉網絡結構的人員來說,這項工作甚至無法完成‘因此,一個先進的網絡管理係統應該具有配置資訊自動獲取功能。即使在管理人員不是很熟悉網絡結構和配置狀況的情況下,也能通過有關的技術手段來完成對網絡的配置和管理。在網絡設備的配置資訊中,根據獲取手段大致可以分為三類:一類是網絡管理協議標準的MIB中定義的配置資訊(包括SNMP;和CMIP協議);二類是不在網絡管理協議標準中有定義,但是對設備運行比較重要的配置資訊;三類就是用於管理的一些輔助資訊。\\n\\n(2)自動配置、自動備份及相關技術:配置資訊自動獲取功能相當於從網絡設備中“讀”資訊,相應的,在網絡管理應用中還有大量“寫”資訊的需求。同樣根據設置手段對網絡配置資訊進行分類:一類是可以通過網絡管理協議標準中定義的方法(如SNMP中的set服務)進行設置的配置資訊;二類是可以通過自動登錄到設備進行配置的資訊;三類就是需要修改的管理性配置資訊。\\n\\n(3)配置一致性檢查:在一個大型網絡中,由於網絡設備眾多,而且由於管理的原因,這些設備很可能不是由同一個管理人員進行配置的。實際上‘即使是同一個管理員對設備進行的配置,也會由於各種原因導致配置一致性問題。因此,對整個網絡的配置情況進行一致性檢查是必需的。在網絡的配置中,對網絡正常運行影響最大的主要是路由器配置和路由資訊配置,因此,要進行、致性檢查的也主要是這兩類資訊。\\n\\n(4)用戶操作記錄功能:配置係統的安全性是整個網絡管理係統安全的核心,因此,必須對用戶進行的每一配置操作進行記錄。在配置管理中,需要對用戶操作進行記錄,並儲存下來。管理人員可以隨時檢視特定用戶在特定時間內進行的特定配置操作。\\n\\n(4)效能管理(performancemanagement)\\n\\n效能管理估價係統資源的運行狀況及通訊效率等係統效能。其能力包括監視和分析被管網絡及其所提供服務的效能機製。效能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的效能。效能管理收集分析有關被管網絡當前狀況的數據資訊,並維持和分析效能日誌。一些典型的功能包括:\\n\\n(1)效能監控:由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內存餘量。對於每個被管對象,定時采集效能數據,自動生成效能報告。\\n\\n(2)閾值控製:可對每一個被管對象的每一條屬性設置閾值,對於特定被管對象的特定屬性,可以針對不同的\\n\\nCPU晶片\\n\\n時間段和效能指標進\\n\\nCPU晶片行閾值設置。可通過設置閾值檢查開關控製閡值檢查和\\n\\n告警,提供相應的閾值管理和溢位告警機製。\\n\\n(3)效能分橋:對曆史數據進行分析,統計和整理,計算效能指標,對效能狀況作出判斷,為網絡規劃提供參考。\\n\\n(4)可視化的效能報告:對數據進行掃描和處理,生成效能趨勢曲線,以直觀的圖形反映效能分析的結果。\\n\\n(5)實時效能監控:提供了一係列實時數據采集;分析和可視化工具,用以對流量、負載、丟包、溫度、內存、延遲等網絡設備和線路的效能指標進行實時檢測,可任意設置數據采集間隔。\\n\\n(6)網絡對象效能查詢:可通過列表或按關鍵字檢索被管網絡對象及其屬性的效能記錄。\\n\\n(5)安全管理(securitymanagement)\\n\\n安全性一直是網絡的薄弱環節之一,而用戶對網絡安全的要求又相當高,因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題:\\n\\n網絡數據的私有性(保護網絡數據不被侵入者非法獲取),\\n\\n授權(authentication)(防止侵入者在網絡上發送錯誤資訊),\\n\\n訪問控製(控製訪問控製(控製對網絡資源的訪問)。\\n\\n相應的,網絡安全管理應包括對授權機製、訪問控製、加密和加密關鍵字的管理,另外還要維護和檢查安全日誌。包括:\\n\\n網絡管理過程中,存儲和傳輸的管理和控製資訊對網絡的運行和管理至關重要,一旦泄密、被篡改和偽造,將給網絡造成災難性的破壞。網絡管理本身的安全由以下機製來保證:(1)管理員身份認證,采用基於公開密鑰的證書認證機製;為提高係統效率,對於信任域內(如局域網)的用戶,可以使用簡單口令認證。\\n\\n(2)管理資訊存儲和傳輸的加密與完整性,Web瀏覽器和網絡管理服務器之間采用安全套接字層(SSL)傳輸協議,對管理資訊加密傳輸並保證其完整性;內部存儲的機密資訊,如登錄口令等,也是經過加密的。\\n\\n(3)網絡管理用戶分組管理與訪問控製,網絡管理係統的用戶(即管理員)按任務的不同分成若乾用戶組,不同的用戶組中有不同的權限範圍,對用戶的操作由訪問控製檢查,保證用戶不能越權使用網絡管理係統。\\n\\n(4)係統日誌分析,記錄用戶所有的操作,使係統的操作和對網絡對象的修改有據可查,同時也有助於故障的跟蹤與恢複。\\n\\n網絡對象的安全管理有以下功能:\\n\\n(1)網絡資源的訪問控製,通過管理路由器的訪問控製鏈表,完成防火牆的管理功能,即從網絡層(1P)和傳輸層(TCP)控製對網絡資源的訪問,保護網絡內部的設備和應用服務,防止外來的攻擊。\\n\\n(2)告警事件分析,接收網絡對象所發出的告警事件,分析員安全相關的資訊(如路由器登錄資訊、SNMP認證失敗資訊),實時地向管理員告警,並提供曆史安全事件的檢索與分析機製,及時地發現正在進行的攻擊或可疑的攻擊跡象。\\n\\n(3)主機係統的安全漏洞檢測,實時的監測主機係統的重要服務(如WWW,DNS等)的狀態,提供安全監測工具,以搜尋係統可能存在的安全漏洞或安全隱患,並給出彌補的措施。\\n\\n網絡管理協議\\n\\n隨著網絡的不斷髮展,規模增大,複雜性增加,簡單的網絡管理技術已不能適應網絡迅速發展的要求。以往的網絡管理係統往往是廠商在自己的網絡係統中開發的專用係統,很難對其他廠商的網絡係統、通訊設備軟件等進行管理,這種狀況很不適應網絡異構互聯的發展趨勢。20世紀80年代初期Internet的出現和發展使人們進一步意識到了這一點。研究開發者們迅速展開了對網絡管理的研究,並提出了多種網絡管理方案,包括HEMS、SGMP、CMIS\\/CMIP等。\\n\\nIAB最初製訂的關於Internet管理的發展策略,其初衷是采用跳MP作為暫時的Internet管理解決方案,並在適當的時候轉向CMIS\\/CMIP。SGMP是在NYSERNET和SURANET上開發應用的網絡管理工具,而CMIS\\/CMIP是20世紀80年代中期國際標準化組織(ISO)和CCITT聯合製訂的網絡管理標準。同時,IAB還分彆成立了相應的工作組,對這些方案進行適當的修改,使它們更適於Internet的管理。這些工作組隨後相應推出了SNMP(SimpleNetWorkManagementProtoc011988)和CMOT(CMIP\\/CMISOverTCP\\/IPl989)等網絡管理協議,下麵進行簡單介紹。\\n\\n1.SNMP\\n\\n簡單網絡管理協議(SNMP)的前身是1987年釋出的簡單網關監控協議(SGMP)。SGMP給出了監控網關(OSI第三層路由器)的直接手段,SNMP則是在其基礎上發展而來。最初,SNMP是作為一種可提供最小網絡管理功能的臨時方法開發的,它具有以下兩個優點:\\n\\n(1)與SNMP相關的管理資訊結構(**I)以及管理資訊庫(MIB)非常簡單,從而能夠迅速、簡便地實現;\\n\\n(2)SNMP是建立在SGMP基礎上的,而對於SGMP,人們積累了大量的操作經驗。\\n\\nSNMP經曆了兩次版本升級,現在的最新版本是SNMPv3。在前兩個版本中SNMP功能都得到了極大的增強,而在最新的版本中,SNMP在安全性方麵有了很大的改善,SNMP缺乏安全性的弱點正逐漸得到克服。\\n\\n2.CMIS\\/CMIP\\n\\n公共管理資訊服務\\/公共管理資訊協議(CMIS\\/CMIP)是OSI提供的網絡管理協議簇。CMIS定義了每個網絡組成部分提供的網絡管理服務,這些服務在本質上是很普通的,CMIP則是實現CMIS服務的協議。\\n\\nOSI網絡協議旨在為所有設備在ISO參考模型的每一層提供一個公共網絡結構,而CMIS\\/CMIP正是這樣一個用於所有網絡設備的完整網絡管理協議簇。\\n\\n出於通用性的考慮,CMlS\\/CMIP的功能與結構跟彆MP很不相同,SNMP是按照簡單和易於實現的原則設計的,而CMIS\\/CMIP則能夠提供支援一個完整網絡管理方案所需的功能。\\n\\nCMIS\\/CMIP的整體結構是建立在使用ISO網絡參考模型的基礎上的,網絡管理應用進程使用ISO參考模型中的應用層。也在這層上,公共管理資訊服務單元(CMISE)提供了應用程式使用CMIP協議的介麵。同時該層還包括了兩個ISO應用協議:聯絡控製服務元素(ACSE)和遠程操作服務元素(RpSE),其中ACSE在應用程式之間建立和關閉聯絡,而ROSE則處理應用之間的請求\\/響應互動。另外,值得注意的是OSI冇有在應用層之下特彆為網絡管理定義協議。\\n\\n3.CMOT\\n\\n公共管理資訊服務與協議(CMOT)是在TCP\\/IP協議簇上實現CMIS服務,這是一種過渡性的解決方案,直到\\n\\nTCP\\/IP協議\\n\\nOSI網絡管理協議被廣泛采用。\\n\\nTCP\\/IP協議CMIS使用的應用協議並冇有根據CMOT而修\\n\\n改,CMOT仍然依賴於CMISE、ACSE和ROSE協議,這和CMIS\\/CMIP是一樣的。但是,CMOT並冇有直接使用參考模型中表示層實現,而是要求在表示層中使用另外一個協議--輕量表示協議(LPP),該協提供了目前最普通的兩種傳輸層協議--TCP和UDP的介麵。\\n\\nCMOT的一個致命弱點在於它是一個過渡性的方案,而冇有人會把注意力集中在一個短期方案上。相反,許多重要廠商都加入了SNMP潮流並在其中投入了大量資源。事實上,雖然存在CMOT的定義,但該協議已經很長時間冇有得到任何發展了。\\n\\n4.LMMP\\n\\n局域網個人管理協議(LMMP)試圖為LAN環境提供一個網絡管理方案。LMMP以前被稱為IEEE802邏輯鏈路控製上的公共管理資訊服務與協議(CMOL)。由於該協議直接位於IEEE802邏輯鏈路層(LLC)上,它可以不依賴於任\\n\\n網絡管理\\n\\n何特定的網絡層協議進行網絡傳輸。\\n\\n網絡管理由於不要求任何網絡層協議,LMMP比\\n\\nCMIS\\/CMIP或CMOT都易於實現,然而冇有網絡層提供路由資訊,LMMP資訊不能跨越路由器,從而限製了它隻能在局域網中發展。但是,跨越局域網傳輸侷限的LMMP資訊轉換代理可能會克服這一問題。\\n\\n簡單網絡管理協議(SNMP)\\n\\n簡單網絡管理協議(SNMP)是最早提出的網絡管理協議之一,它一推出就得到了廣泛的應用和支援,特彆是很快得到了數百家廠商的支援,其中包括IBM,HP,SUN等大公司和廠商。目前SNMP已成為網絡管理領域中事實上的工業標準,並被廣泛支援和應用,大多數網絡管理係統和平台都是基於SNMP的。\\n\\n一、SNMP概述\\n\\nSNMP的前身是簡單網關監控協議(SGMP),用來對通訊線路進行管理。隨後,人們對SGMP進行了很大的修改,特彆是加入了符合Internet定義的**I和MIB:體繫結構,改進後的協議就是著名的SNMP。SNMP的目標是管理互聯網Internet上眾多廠家生產的軟硬體平台,因此SNMP受Internet標準網絡管理框架的影響也很大。現在SNMP已經出到第三個版本的協議,其功能較以前已經大大地加強和改進了。\\n\\nSNMP的體繫結構是圍繞著以下四個概念和目標進行設計的:保持管理代理(agent)的軟件成本儘可能低;最大限度地保持遠程管理的功能,以便充分利用Internet的網絡資源;體繫結構必須有擴充的餘地;保持SNMP的獨立性,不依賴於具體的計算機、網關和網絡傳輸協議。在最近的改進中,又加入了保證SNMP體係本身安全性的目標。\\n\\n另外,SNMP中提供了四類管理操作:get操作用來提取特定的網絡管理資訊;get-next操作通過遍曆活動來提供強大的管理資訊提取能力;set操作用來對管理資訊進行控製(修改、設置);trap操作用來報告重要的事件。\\n\\n二、SNMP管理控製框架與實現\\n\\n1.SNMP管理控製框架\\n\\nSNMP定義了管理進程(manager)和管理代理(agent)之間的關係,這個關係稱為共同體(community)。描述共同體的語義是非常複雜的,但其句法卻很簡單。位於網絡管理工作站(運行管理進程)上和各網絡元素上利用SNMP相互通訊對網絡進行管理的軟件統統稱為SNMP應用實體。若乾個應用實體和SNMP組合起來形成一個共同體,不同的共同體之間用名字來區分,共同體的名字則必須符合Internet的層次結構命名規則,由無保留意義的\\n\\nSNMP模型\\n\\n字串組成。此外,一個SNMP應用實體可以加入多個共同體\\n\\nSNMP模型。\\n\\nSNMP的應用實體對Internet管理資訊庫中的管理對象進行操作。一個SNMP應用實體可操作的管理對象子集稱為SNMPMIB授權範圍。SNMP應用實體對授權範圍內管理對象的訪問仍然還有進一步的訪問控製限製,比如隻讀、可讀寫等。SNMP體繫結構中要求對每個共同體都規定其授權範圍及其對每個對象的訪問方式。記錄這些定義的檔案稱為“共同體定義檔案”。\\n\\nSNMP的報文總是源自每個應用實體,報文中包括該應用實體所在的共同體的名字。這種報文在SNMP中稱為“有身份標誌的報文”,共同體名字是在管理進程和管理代理之間交換管理資訊報文時使用的。管理資訊報文中包括以下兩部分內容:\\n\\n(1)共同體名,加上發送方的一些標識資訊(附加資訊),用以驗證發送方確實是共同體中的成員,共同體實際上就是用來實現管理應用實體之間身份鑒彆的;\\n\\n(2)數據,這是兩個管理應用實體之間真正需要交換的資訊。\\n\\n在第三版本前的SNMP中隻是實現了簡單的身份鑒彆,接收方僅憑共同體名來判定收發雙方是否在同一個共同體中,而前麵提到的附加倍息尚未應用。接收方在驗明發送報文的管理代理或管理進程的身份後要對其訪問權限進行檢查。訪問權限檢查涉及到以下因素:\\n\\n(1)一個共同體內各成員可以對哪些對象進行讀寫等管理操作,這些可讀寫對象稱為該共同體的“授權對象”(在授權範圍內);\\n\\n(2)共同體成員對授權範圍內每個對象定義了訪問模式:隻讀或可讀寫;\\n\\n(3)規定授權範圍內每個管理對象(類)可進行的操作(包括get,get-next,set和trap);\\n\\n(4)管理資訊庫(MIB)對每個對象的訪問方式限製(如MIB中可以規定哪些對象隻能讀而不能寫等)。\\n\\n管理代理通過上述預先定義的訪問模式和權限來決定共同體中其他成員要求的管理對象訪問(操作)是否允許。共同體概念同樣適用於轉換代理(Proxyagent),隻不過轉換代理中包含的對象主要是其他設備的內容。\\n\\n2.SNMP實現方式為了提供遍曆管理資訊庫的手段,SNMP在其MIB中采用了樹狀命名方法對每個管理對象實例命名。每個對象實例的名字都由對象類名字加上一個後綴構成。對象類的名字是不會相互重複的,因而不同對象類的對象實例之間也少有重名的危險。\\n\\n在共同體的定義中一般要規定該共同體授權的管理對象範圍,相應地也就規定了哪些對象實例是該共同體的“管轄範圍”,據此,共同體的定義可以想象為一個多叉樹,以詞典序提供了遍曆所有管理對象實例的手段。有了這個手段,SNMP就可以使用get-next操作符,順序地從一個對象找到下一個對象。get-next(object-instance)操作返回的結果是一個對象實例標識符及其相關資訊,該對象實例在上麵的多叉樹中緊排在指定標識符;bject-instance對象的後麵。這種手段的優點在於,即使不知道管理對象實例的具體名字,管理係統也能逐個地找到它,並提取到它的有關資訊。遍曆所有管理對象的過程可以從第一個對象實例開始(這個實例一定要給出),然後逐次使用get-next,直到返回一個差錯(表示不存在的管理對象實例)結束(完成遍曆)。\\n\\n由於資訊是以表格形式(一種數據結構)存放的,在SNMP的管理概念中,把所有表格都視為子樹,其中一張表格(及其名字)是相應子樹的根節點,每個列是根下麵的子節點,一列中的每個行則是該列節點下麵的子節點,並且是子樹的葉節點,如下圖所示。因此,按照前麵的子樹遍曆思路,對錶格的遍曆是先訪問第一列的所有元素,再訪問第二列的所有元素……,直到最後一個元素。若試圖得到最後一個元素的“下一個”元素,則返回差錯標記。\\n\\n網絡管理中的關鍵\\n\\n網絡迅速發展,導致網絡結構更為複雜;網絡應用的日新月異,讓網絡管理員每天都要麵對新的問題。很多企事業單位,在遇到網絡問題不知道應該如何去解決,看流量,拔網線等手段,排查週期長,也很難真正找出問題。\\n\\n網絡發展到一定階段,必然要考慮到網絡效能、網絡故障與網絡安全性問題。隻有通過運用網絡分析技術對網絡流通數據的清晰認識,才能為故障的排查,效能的提升,以及網絡安全的解決提供可靠的數據依據。\\n\\n資訊應用與治理\\n\\n網絡最大的價值,是在於資訊化的應用。當出現故障不能及時解決,即使有再好的電子商務、電子政務,也隻是一個擺設。無論是安全、效能還是故障性問題,不能快速解決,給企業帶來的是難以衡量的損失。\\n\\n治理並不是簡單的網絡管理,它需要管理者對網絡中所有設備完全掌握,包括每個網卡地址,以及所處的位置。通過對網絡傳輸中的數據進行全麵監控分析,才能從網絡底層數據獲取各種網絡應用行為造成的網絡問題,並快速的定位到網卡的位置。從而在安全策略上更好的防範,對故障和效能更合理的管理。\\n\\n一勞永逸的誤區\\n\\n從管理角度的考慮,往往期望絡故障和安全性問題可以自動解決。但曆經多年,冇有任何產品能做到。雖然許多企業部署了非常好的安全防護產品,但仍然會受到網絡攻擊和病毒危害。根本原因在於,網絡應用本身就在不斷的發展,新的病毒以及病毒變種,都很難被基於特征庫或病毒庫的產品所識彆。要解決這些問題,則要求網絡管理員隨時都能檢視到網絡中真實的數據,最快的發現引起問題的原因。\\n\\n網絡拓撲圖VS矩陣圖\\n\\n網絡拓撲圖要求這些交換設備都必須支援SNMP(簡單網絡管理協議),它能直觀能看到網絡結構,但看不\\n\\n網絡拓撲圖\\n\\n到終端主機;它能看到設備斷網情況和粗略流量,但對網絡問題的解決能力並不實用。\\n\\n網絡拓撲圖從技術趨勢來看,矩陣圖\\n\\n(Matrix)將更適合網絡管理的需要。矩陣圖也被稱為主機連接圖,可以監控每台主機(包括交換設備)之間的通訊連接,極大的提高了監控範圍,監控範圍深入到每台主機之間的各種應用,包括通訊、資源占用、活躍程度、服務應用等,管理者可以監控到每台主機的一舉一動,各種網絡問題都會在矩陣中表現出異常。如:BT下載、DDOS攻擊、ARP攻擊、木馬掃描等。\\n\\n\\\"診斷專家\\\"快速提高解決能力\\n\\n網絡分析不僅提供網絡依據,更重要的是幫助管理者提高問題的解決能力。\\\"診斷專家\\\"則是一個從問題原因到問題結果的完整解釋。好的網絡分析產品,可以自動提取問題的相關數據,並告訴管理者網絡中存在有哪些問題,可能產生的原因,有什麼辦法可以解決,ARP攻擊的快速定位則是一個很好的證明。\\n\\n網絡數據的回放能力\\n\\n好的網絡分析產品,都具有網絡數據的回放能力,將網絡數據進行7x24小時記錄,可以按每天或每小時來記錄。如果要分析昨天某個時段出現的網絡故障,隻需要將當時儲存的數據包進行播放,同時通過網絡分析來追溯故障是如何發生的,使網絡管理對曆史問題追查能力得到明顯提高。\\n\\n傳統的局域網管理\\n\\n傳統的局域網管理主要針對一定範圍的局域網絡,在這樣的局域網絡中包括的主要管理對象有:服務器、客戶機、各種網絡線路與集線器以及各種網絡操作係統。由於在這樣規模的局域網中,網絡管理的對象有限,網絡管理一般包括三個方麵:瞭解網絡,網絡運行以及網絡維護。1.瞭解網絡\\n\\n要管好一個局域網,就必須對該局域網有清楚的瞭解。對該網絡的清晰瞭解以及對各種網絡資訊的資料化管\\n\\n局域網\\n\\n理記錄,是保證網絡正常運轉以及進行各種網絡維護的前提與基礎。\\n\\n局域網(1)識彆\\n\\n網絡對象的硬體情況:局域網是由各種節點組成,這樣的節點主要是服務器和客戶機,因此首先需要識彆這些節點的硬體組成。硬體識彆包括瞭解服務器和客戶機的品牌、它們的晶片速率、網卡品牌與配置情況,以及集線器的型號與品牌,這樣就可以瞭解局域網中硬體設備的提供商並對硬體設備所能達到的效能有大體的瞭解。另外,對服務器的硬體還必須有進一步的瞭解,包括服務器的外設配置情況、硬盤驅動器的容量以及內存大小等。\\n\\n(2)判彆局域網的拓撲結構:瞭解了網絡中的關鍵部件之後需要進一步瞭解它們是如何連接運行的,即網絡結構下的實際佈線係統。常見的三種佈線的拓撲結構是星形、總線和環型拓撲結構,另外也有無線和點對點的拓撲結構,但不常用。在瞭解局域網的佈線結構後,針對每種結構各自的優缺點,應注意其將導致的效能與故障差異。然後需要瞭解的是實現網絡傳輸的方式。常用的網絡傳輸方式是Ethernet,它是一種支援廣泛的傳輸協議以及多種佈線形式的成熟標準。Ethernet是非確定型的,網絡傳送任務越重,越有可能發生衝突,而衝突將導致影響響應時間。所以網絡上有大量活動節點時效能就會大大降低,如果Ethernet集線器上總是出現衝突信號的話,在熟悉網絡佈局後可能就得重新考慮分佈網絡上的用戶。Ethernet的纜線包括:粗纜Ethernet,或叫10Base5Ethernet,使用大號的同軸電纜;細纜Ethernet,也叫10Base2Ethernet,使用小口徑的RG-58同軸電纜;10BaseTEthernet,在星形結構中使用非遮蔽雙絞線。對於采用Ethernet方式的局域網,網絡管理員不僅要清楚Ethernet的原理,還必須瞭解組網所用的Ethernet纜線和插頭以及它們的特點,這樣在網絡出現故障時可以幫助故障點的尋找與排除。除了Ethernet之外,其他的網絡傳輸方式還有標記環(TokenRing)、光纖分佈資料介麵(FDDl)以及ARCNet等。瞭解局域網使用的傳輸方式是局域網管理的基本條件之一。\\n\\n(3)確定網絡的互聯:首先需要確定網絡連接的設備和接入網絡的方式。這些設備與接入方式包括:使用調製解調器(Modem),使用網絡插座,使用CSU\\/DSU連接,使用網橋工作,使用路由器,使用網關。這些接入設備對於保證網絡節點的連通以及該局域網與主乾網連通有著重要作用,同時也是網絡故障多發的故障點和影響網絡效能的可能瓶頸所在。另一方麵,還需要在網絡服務器或其他網絡設備上確定該局域網的所有子網和各客戶機都能連通,並記錄下網絡中各子網以及客戶機的IP地址分配。\\n\\n(4)確定用戶負載和定位:網絡負載最重要的方麵是用戶的分佈,因為每一網絡和服務器上的用戶數量是影響網絡效能的關鍵因素,因此確定網絡上有多少用戶以及他們各自的定位尤其重要。首先,檢視檔案服務器上的負載,瞭解檔案服務器正常運行的時間,檢視服務器CPU的使用率,以及服務器上網絡連接的數目,這些數據提供了網絡負載的直接數據;然後,利用這些數據分析眾多服務器中哪個使用率最高,哪些網絡的負擔最重,最後對網絡用戶以及負載分佈情況有個大致的瞭解。\\n\\n2.網絡運行\\n\\n要使一個局域網順利運轉必須完成很多工作,這些工作包括:配置網絡,即選擇網絡操作係統,選擇網絡連接協議,並根據選擇的網絡協議配置客戶機的網絡軟件;然後配置網絡服務器及網絡的外圍設備,做好網絡意外預防處理;最後還有網絡安全管理、網絡用戶權限分配以及病毒的預防與處理。\\n\\n(1)配置網絡;配置網絡就要選擇網絡操作係統。傳統的網絡操作係統包括UNIX,WindowsNT,NetWare,VINES,WindowsforWorkgroups,LANtastic,PersonaINet-Ware等,這些網絡操作係統有各自的特點,相對而言,在局域兩中WindowsNT和Net-Ware比較普遍。NT最大的優勢在於價格和支撐其發展的巨頭Microsoft。NT支援IPX和TCP\\/IP,因此在大多數網絡環境中受到歡迎,另外,其安全性和網絡管理功能也不錯在硬體完全相容時安裝也比較方便。在現有網絡中,大約70%的網絡操作係統采用了Novell公司的NetWare係列。NetWare是一種快速而可靠的操作係統,十分類似於DOS,它對多種網絡協議和多種客戶機操作係統有著完善的支援,其相容性和模塊化設計也使它領先於其它係統。\\n\\n選擇網絡協議也是配置網絡的重要組成部分。現在流行的局域網網絡協議包括IPX\\/SPX、TCP\\/IP、NETBIOS、NetBEUI和AppleTalk等。比較普遍的協議是IPX\\/SPX和TCP\\/IP,其中IPX\\/SPX是NetWare所采用的數據傳輸方式,在局域網中使用非常普遍;TCP\\/IP是麵向Internet所使用的網絡協議,具有廣泛的影響力。\\n\\n在確定了網絡操作係統和網絡協議之後,需要配置該網絡中每台客戶機的網絡軟件。在DOS平台上,一般是安裝相應網絡協議的網絡驅動軟件,然後修改一些配置檔案中的參數;在GUI的操作係統(例如Windows係列、Macintosh和OS2)中,則選擇相應的對話框視窗配置網絡參數;在UNIX係統中,主要靠修改係統配置檔案來配置網絡。\\n\\n(2)配置網絡服務器:在局域網中,服務器往往具有重要作用,一個配置良好的服務器可以順利保障網絡的運行。首先是在服務器上用磁盤和卷根據內容的性質與空間大小分配來劃分工作,這樣可以把不同的程式和數據按照一種順序存放在磁盤中,而卷的使用不僅可以按一定的層次存放數據,而且可以控製用戶的訪問權,然後在服務器上啟動網絡服務進程,監測網絡用戶的訪問。還有一些外圍設備,比如共享列印機、共享外接磁盤或驅動器等,這些設備在服務器上都應正確配置。\\n\\n最後還應該注意的是預防網絡意外發生,首先是保證電源(特彆是網絡服務器的電源),一般的方式是配置UPS應急電源;然後是保證服務器的環境狀況(比如維持機房的溫度與濕度在一定的範圍);最後是做好重要數據和係統的備份工作。備份的硬體設備包括硬盤陣列和磁帶、光盤驅動器等,備份的方法很多,常用的是磁盤鏡像、磁盤雙工或磁盤陣列等。在進行備份時一定要做好詳細記錄,對備份內容進行分類並做標記。\\n\\n(3)網絡安全控製:網絡安全控製的首要任務是管理用戶註冊和訪問權限。在局域網上,網絡操作係統一般都提供用戶管理和權限分配的工具。對於局域網內,部用戶,利用這些工具可以檢查和設置用戶資訊、進行賬號限製,例如改變賬號密碼、設置組、確定組中的賬號、修改組或賬號的權限、設定賬號有效時間等等。定時對網絡當前訪問情況進行檢查並做好記錄,及時發現異常情況。另外,管理局域網外部權限和連接也很重要,一般局域網外部用戶可能會訪問該局域網,如檢視已有檔案、傳遞他們的檔案或使用其他網絡資源,因此對這種用戶也需要建立賬號,但應根據其使用網絡的目的詳細控製其訪問權限,然後定期檢查哪些用戶最近冇有註冊,對一些不再需要的賬號及時登出。\\n\\n查詢並消除病毒也是局域網管理的一項重要任務。病毒對局域網的危害非常嚴重,一種網絡病毒可以通過網絡迅速地傳染到局域網的每一台客戶機,因此及時發現並殺死病毒至關重要。有多種不同的方法可以識彆病毒:在檔案級上,用CRC技術可以將預期的檔案大小或其他特征與檔案被打開之前所看到的實際特征進行比較;最常用的方法是對檔案進行掃描,發現已知病毒的標誌、代碼,從而辨認出每一種病毒的變形。一旦發現病毒,當然就要清除它。利用一些殺毒軟件可以殺死病毒恢複原來的檔案。另一種方法是刪除有病毒的檔案,然後用備份的無病毒檔案替代。另外還必須對受病毒感染的服務器上的各捲進行掃描,如果在網絡服務器之間或客戶機之間存在通訊聯絡,還必須去掃描其他係統。確定適當的持續的病毒防護是避免病毒侵害的最有效方法,這樣的防護包括:建立和增強反病毒規則和程式;在客戶機上安裝和更新反病毒軟件;安裝基於網絡的反病毒軟件。\\n\\n3.網絡維護\\n\\n網絡維護是保障網絡正常運行的重要方麵,主要包括故障檢測與排除、網絡日常檢查及網絡升級。\\n\\n(1)常見網絡的故障和修複:在局域網中,最重要的故障檢測工作是檔案服務器的維護。隻要服務器正常工作,集中存儲的數據就是安全的,用戶可以在需要時訪問這些數據。當然,網絡連接設備應保證用戶能持續工作,而客戶機本身也應能正常工作。\\n\\n故障處理過程有四個主要部分:發現故障跡象,追蹤故障的根源,排除故障,記錄故障的解決方法。網絡故障處理經常需要進行大量的調查研究,但相對而言隻有很少的問題是真正比較複雜的。常見的情況是,故障的解決方法是很簡單的,隻不過被其他問題或不完全的資訊掩蓋了。在處理故障期間,可以參考圖1中的流程圖,以確保能對網絡故障進行邏輯的和有條理的分析。\\n\\n當網絡管理人員收到故障報告時,首先應該檢查彆的用戶是否也遇到同一問題,如果有多個用戶報告了同類問題,那麼很可能是出現了服務器或纜線故障,而不是用戶客戶機所引起的故障。\\n\\n排除檔案服務器上的錯誤非常關鍵,因為它通常會影響到很多用戶,因此首先要對服務器進行認真檢查:服務器是否在運行?監視器是否顯示資訊?服務器是否響應鍵盤輸入?服務器控製檯是否顯示異常終止或其他資訊?服務器NIC(網絡適配器)是否發送和接收數據?服務器的卷是否己安裝?\\n\\n檔案服務器通常是十分穩定的,但它們也特彆容易出現三種類型的故障:第一類故障並不是網絡操作係統本身的錯誤,而是由於配置的更改造成的,因此無論何時改變網絡操作係統的配置都必須備份以前的配置並記錄更改日期;第二類故障是部件失效,雖然NIC和磁盤失效是最為常見的,但從鍵盤到SIMM的任何部件都可能會發生故障,甚至在高品質服務器上也無法避免;第三類故障是服務器的軟件模塊引發的係統衝突故障,比如磁盤驅動程式或LAN驅動程式引發的內存故障等。\\n\\n當服務器故障檢查各方麵都冇有問題時,引起大量用戶訪問故障的問題很可能出現在網絡纜線係統上。如果故障網絡采用的是總線拓撲結構,那麼故障檢測工作可能會比較繁重;對於星形結構,則應檢查集線器或MAU是否通電並能正常運行。如果連接設備本身運行良好,可檢查它們與服務器的物理連接。一般而言,對於物理網絡,電纜和按外掛老化、電磁乾擾、電纜長度限製是最常見的物理網絡故障源;連接設備,如接插板、集線器和路由器也是故障多發點。\\n\\n(2)網絡檢查:網絡檢查是在網絡正常運轉情況下對服務器狀態和網絡運行情況的動態資訊收集和分析的過程。有些數據最好每天檢查一次,而有些數據則較長時間檢查一次即可。下麵列出一些需要定期檢查的網絡關鍵資訊:\\n\\n頻率活動頻率活動\\n\\n每日檢查各服務器的卷空間每日去除舊用戶\\n\\n每日列出前一天創建的文體每月檢查用戶賬號安全性\\n\\n每日找出可被存檔\\/刪除的舊檔案每月確保備份的完整性\\n\\n每日檢查備份的執行情況每月更服務器模塊\\n\\n每日檢查服務器錯誤記錄檔案每月更新客戶檔案\\n\\n(3)網絡升級:網絡升級是一個持續的過程,它需要考慮一些財務和預算因素。一般在網絡管理中需要考慮的是必須進行的升級,這些升級能夠保證網絡正常運轉。雖然網絡操作係統的升級通常是最迫切的,但硬體和軟件也可能需要升級。\\n\\n服務器升級是最重要的。必須的服務器升級有三種:最簡單的是用戶許可證升級,如果網絡服務器的能力已達到最大限度,並需要容納更多的用戶,就需要進行許可證升級;另二種服務器升級是網絡操作係統的升級,如果使用的是過時的或有故障的網絡操作係統,就應該升級為最新的版本;第三種服務器升級所指的範圍相對來說要廣泛一些,主要指硬體升級,硬體升級可能包括增加磁盤空間、改進容錯措施或係統升級。另外,客戶軟件的升級有時也是很必要的,因為舊客戶軟件對於網絡操作係統可能是一種沉重的負擔。\\n\\n在確定了最重要的升級之後,應決定需要購買的產品,並對升級費用進行評估,然後製定實施升級的工作步驟,最後應從成本和效益兩方麵總結新配置的優點。\\n\\n常見的網絡管理軟件\\n\\n百絡網警\\n\\n百絡網警局域網管理軟件是上海百絡資訊技術有限公司自主研發的基於KERCAP抓包內核的產品,摒棄了傳統軟件采用的國外開源程式winpcap,速度更快,安全性更好,通過了公安部認證,為包括中科院、360安全衛\\n\\n金盾\\n\\n士、蒙牛集團等全國5000多家企事業單位、政府機關和科\\n\\n金盾研機構的局域網管\\n\\n理作出了不可磨滅的貢獻。\\n\\n網絡管理員\\n\\n網絡管理員是一套可以為廣大機關,企事業單位提供完美管理解決方案的網絡管理軟件。該軟件主要針對目前國內機關,企事業單位的網絡應用現狀,如單位總出口帶寬有限、網絡濫用、員工無節製上網、聊天等等,提供了簡單、快捷但是非常有效的管理功能。軟件和同類產品相比,效能優異,部署方便,功能全麵,是一套理想的網管軟件。\\n\\n金盾CIS5\\n\\n金盾全麵內網安全與網絡行為管理軟件V5.0(JinDunComprehensiveIntranetSecurity&NetworkBehaviorManagementSoft),簡稱金盾CIS5,是一套融合了最新資訊技術和“全麵內網安全管理”及“終端統一威脅管理”先進管理理唸的裡程碑式的軟件產品。\\n\\n網絡管理與維護\\n\\n網絡管理和維護是一項非常複雜的任務,雖然現在關於網絡管理既製訂了國際標準,又存在眾多網絡管理的平台與係統,但要真正做好網絡管理的工作不是一件簡單的事情。做好這項工作需要廣泛的背景知識與大量的實際操作經驗,下麵我們將介紹網絡技術發展下一些新形式的網絡管理,以及在長期網絡管理實踐基礎上總結出來的一些網絡管理經驗。\\n\\nVLAN管理\\n\\nVLAN(虛擬局域網)就是一個計算機網絡,其中的計算機好像是被同一網線連接在一起,而實際上它們可能分處於局域網的不同區域。VLAN更多的是通過軟件而非硬體來實現,因此這使得它具有很高的靈活性。VlAN的一個主要特性就是提供了更多的管理控製,減少了相對日常管理開銷,提供了更大的配置靈活性。\\n\\nVLAN的這些特性包括:①當用戶從一個地點移動到另一個地點時,簡化了配置操作和過程修改;②當網絡阻塞時,可以重新調節流量分佈;②提供流量與廣播行為的詳細報告,同時統計VLAN邏輯區域的規模與組成;\\n\\nVLAN管理\\n\\n④提供根據實際情況在VLAN中增加和減少用戶的靈活性。\\n\\nVLAN管理上麵的這些操作\\n\\n必須透明地執行,同時需要不用具備太多實際網絡複雜連接情況的瞭解,或者不用知道如何重新配置協議。雖然用戶可以直接地通過設置或重置VLAN的來配置VLAN,但缺乏智慧網絡管理工具的幫助;而保證VLAN在若乾部門之間正常通訊是很困難的。\\n\\nCISCO公司提供了一組VLAN的管理工具:VLANView和TrafficView,我們通過這兩個工具來介紹VLAN管理所應具有的功能。這些工具都基於SNMP,完全支援SNMP的“get”和“set”操作,而且可以無縫地整合常用的網絡管理平台,比如openView,NetView和SunNetManager等。這些工具還用可視化的圖形用戶介麵來簡化VLAN的設計、配置和管理,同時還可管理從小型局域網到具有多層交換的複雜大型網絡。\\n\\nVLAN的配置如果根據交換機定義VLAN,通常很容易用某種拖放軟件把一個或多個用戶分配到特定的VLAN。在非交換環境裡,移動、新增或更改操作很麻煩,有可能要改動接線板上的跳線充一個集線器移動到另一個。然而,改動VLAN分配仍然要靠人工進行:在大型網絡裡,這樣做很費時,因而很多聯網供應商鼓吹采用VLAN可以簡化移動、新增和更改操作。\\n\\n基於MAC地址的VLAN分配方案確實可使某些移動、新增和更改操作自動化。如果用戶根據MAC地址被分配到一個VLAN或多個VLAN,他們的計算機可以連接交換網絡的任何一個,所有通訊量均能正確無誤地到達目的地。顯然,管理員要進行VLAN初始分配,但用戶移動到不同的物理連接不需要在管理控製檯進行人工乾預;例如有很多移動用戶的站,他們並非總是連接同一――或許因為辦公室都是臨時性的,采用基於MAC地址的VLAN可避免很多麻煩。\\n\\n傳統的Layer3技術怎麼樣呢?這裡離開VLAN最近的是IP子網:每個子網需要一個路由器,因為通訊量隻能通過一個路由器從一個子網移動到另一個子網。由於IP32位地址提供的地址空間很有限,所以很難分配子網地址,還有看你是否熟悉二進製演算法。因此,在IP網絡裡執行移動、新增和更改操作很困難,速度慢,容易出錯,而且費用大。另外,在公司更換I或者采用新安全策略時,可能有必要重新編號網絡,這對於大型網絡來說是無法想像的。\\n\\n實際上,如果有人采用現有的有子網的路由IP網絡,並根據IP地址訪問任意VLAN成員,路由器就可能會被不必要的通訊量淹冇。\\n\\n如果很多子網裡都有VALN成員,常用的VLAN廣播必須通過路由器才能達到所有成員。此外,糟糕的是廣域鏈路會生成額外廣播通訊量;有WAN連接服務的VLAN成員數通常應該保持在最低水平。實際上,基於Layer3地址的VLAN成員值有可能在增強和修改現有子網分佈方麵很有用,例如可通過一個全子網給VLAN新增兩個新節點,或者可用兩個子網組成一個VLAN而無須重新編號。\\n\\nCabletron的SecureFastVirtualNetworkingLayer3交換技術采用路由服務器模型而不是傳統的路由選擇模型。第一個資訊包傳送到路由服務器進行常規路由計算,但交換機能記憶路徑,因而後續資訊包可在Layer2交換,而無須查對路由表。由於有了基於純Layer3地址的VLAN,所以IP地址可以作為通用網絡ID,允許任何人連接任何數據鏈路,從而獲得全網絡訪問,大大簡化移動、新增和更改任務。\\n\\n但是,還有其他方法解決IP子網引起的管理問題。DHCP(動態主機配置協議)已經在連接時給用戶分配地址的其他技術,都可用於解決上述問題。\\n\\nWAN接入管理\\n\\n在網絡管理的解決方案中,我們知道一個大型網絡,一般是WAN,是通過分層進行管理的。比如在一個全國性的網絡中心之下有許多地區性的網絡中心,一般全國性的網絡中心主要保證這個WAN的主乾網正常運轉,而地\\n\\nWAN接入管理\\n\\n區性網絡中心則主要負責各個網絡用戶的接入管理。\\n\\nWAN接入管理對於每個想入網的用戶\\n\\n而言,首先要考慮在網絡連接上怎麼接人這個網絡。一般用戶需要找到主管自己這片地區的地區性網絡中心,然後提出申請,最後該地區性網絡中心再進行用戶的接入操作。這些操作一般包括:(1)聯網用戶必須租用一條網絡線路,連接用戶與地區性網絡中心。該線路可以是已經存在的,屬於某個商業網絡公司或電信公司,也可以是單獨為該用戶鋪設的一條線路。線路既可能是使用光纖的DDN專線,也可能是使用電話線的DDR線路。聯網用戶租用了網絡線路就要向線路的經營者交納租金,而線路的經營者可能不是提供接入服務的地區性網絡中心。\\n\\n(2)聯網用戶需要向地區網絡中心申請一段屬於自己的IP地址,然後在全國網絡中心註冊域名。\\n\\n(3)對於接入的聯網用戶,一般都要向地區性網絡中心一次**納一筆接入費用,然後地區網絡中心再對該用戶進行網絡接入的相關配置。\\n\\n(4)在聯網用戶端也需要進行相應的配置,然後開通該用戶的網絡連接,最後聯網用戶需要根據其使用網絡資源的流量交納網絡費用。\\n\\n在上麵的操作中可以看到,地區網絡中心對新聯網用戶的接人需要進行相應的配置,這些配置操作一般包括:\\n\\n(1)在接入路由器上,選擇一個空閒,在該上進行相應的配置,然後再根據接人的拓撲關係,配置該的路由資訊。\\n\\n(2)在接入路由器上,根據用戶的IP地址範圍建立一個access-1ist組,一旦用戶要求或其他情況(如用戶冇有按規定交納費用等)發生時,可以立即斷掉該用戶的網絡連接。\\n\\n(3)把該路由器和連接聯網用戶的線路加入網絡管理監視對象集,以保障提供給用戶可靠、穩定的網絡接人服務。\\n\\n網絡管理員介紹\\n\\n定義\\n\\n網絡管理員事實是從事網絡管理工作的人。網絡管理員的工作是讓網絡中的各種資源得到更加高效的利用,當網絡出現故障時能及時做出報告和處理,並協調、保持網絡的高效運行等。網絡管理員是維護網絡係統的最初、最直接的管理者,有初級和高級之分,網絡的複雜和永無止境的發展促使網絡管理員不斷向更深、更專的水平進軍。\\n\\n工作內容\\n\\n簡單地說,網管人員的工作主要包含三個方麵:網絡建設、網絡維護和網絡服務。\\n\\n維護公司計算機硬體,搭建與配備計算機網絡,根據需求設計網絡方案\\n\\n維護和監控公司局域網,保證其正常運行\\n\\n安裝和維護公司計算機、服務器係統軟件和應用軟件,並提供技術支援\\n\\n解決排除各種軟硬體故障,做好記錄,定期製作係統運行報告\\n\\n維護數據中心,對係統數據進行備份,協助網站相關應用軟件的開發。\\n\\n總之,所有與網絡的建立、管理、故障排除以及網絡安全等有關的事情都屬於網絡管理員的工作,因而被譽為互聯網的“偵察員”。\\n\\n校園網絡常見路由器故障維護判斷方法\\n\\n連接前的準備\\n\\n很多中小學的校園網采用了ADSL或者HDSL的連接方式,首先看Modem的狀態,如果Modem的DCD不亮,則表示線路連接故障。請先檢查接入線路連接,再檢查路由器的電纜連接,將控製終端連接到路由器上,按回車數下,出現路由器名稱。\\n\\n用終端或運行模擬軟件的PC節接入CONSOLE口。終端或PC配置資訊為:9600baud8databitsnoparity2stopbits(9600,8\\/N\\/2),意思是:波特率9600,數據位8,停止位1,奇偶校驗無。管理員也可以在遠端通過Telnetaddress進行遠程設置。但如果是對路由器進行第一次配置時,必須采用前一種配置方式。\\n\\n以太故障判斷\\n\\n我們使用showinterfaceethernet0(0)命令來判斷以太故障,用來檢查一條鏈路的狀態,此外,當我們懷疑有物理性故障時,可用shownversion顯示出物理性正常的,而出現物理故障的將不被顯示出來。\\n\\n串列埠故障判斷\\n\\n我們可以用showinterfaceserial0(串列埠0)命令來判斷串列埠故障,檢查鏈路的狀態。如下所示:\\n\\nrouter#showintserial0\\n\\n此外,當我們懷疑有物理性故障時,可用shownversion,將顯示出物理性正常的,而出現物理故障的將不被顯示出來。\\n\\n\"

}
若章節內容顯示異常,請重新整理或切換到 手機版 / 電腦版 檢視。