序論:速發(fā)表網(wǎng)結(jié)合其深厚的文秘經(jīng)驗����,特別為您篩選了11篇網(wǎng)絡(luò)管理范文。如果您需要更多原創(chuàng)資料�,歡迎隨時與我們的客服老師聯(lián)系����,希望您能從中汲取靈感和知識!
篇1
關(guān)鍵詞:網(wǎng)絡(luò)戰(zhàn)略管理戰(zhàn)略網(wǎng)絡(luò)
一���、導(dǎo)言
隨著Internet技術(shù)、計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,人們已步入網(wǎng)絡(luò)時代�,它將徹底改變企業(yè)傳統(tǒng)的經(jīng)營方式和戰(zhàn)略行為。網(wǎng)絡(luò)時代的競爭已不再是單個企業(yè)之間的競爭����,而是企業(yè)合作網(wǎng)絡(luò)之間的競爭�,這是一種新的競爭形態(tài)——網(wǎng)絡(luò)競爭����。在網(wǎng)絡(luò)競爭環(huán)境下�,基于“公司是獨立、自治實體”的假設(shè)和僅從自身的利益出發(fā)來研究企業(yè)戰(zhàn)略的局限性越來越明顯���,必須從嵌入于企業(yè)的關(guān)系網(wǎng)絡(luò)視角來研究企業(yè)戰(zhàn)略�。戰(zhàn)略網(wǎng)絡(luò)(StrategicNetworks)就是在這種背景下興起和發(fā)展起來的新戰(zhàn)略思想���。
所謂戰(zhàn)略網(wǎng)絡(luò),是指由社會的不同組織或個人為了共同的遠(yuǎn)景��,通過一定的協(xié)議或契約聯(lián)結(jié)在一起���,以彼此間相互信任和長期合作為基礎(chǔ)而構(gòu)成具有戰(zhàn)略意義的���、不斷進(jìn)化和優(yōu)化的動態(tài)合作網(wǎng)絡(luò)。戰(zhàn)略網(wǎng)絡(luò)及其管理“必然將成為新的管理范式與新的競爭游戲規(guī)則”�,“戰(zhàn)略網(wǎng)絡(luò)管理是當(dāng)今企業(yè)成功的關(guān)鍵”。因此�,戰(zhàn)略網(wǎng)絡(luò)研究既是一個急需研究的理論問題,又是一個具有重大現(xiàn)實意義的問題���。正如《戰(zhàn)略管理雜志》(StrategicManagementJournal)在2000年3月出版“戰(zhàn)略網(wǎng)絡(luò)專集”時���,編輯所評論的那樣:“我們覺得認(rèn)真地強(qiáng)調(diào)戰(zhàn)略網(wǎng)絡(luò)是如何影響公司的利潤率問題——戰(zhàn)略研究的一個中心問題的時機(jī)已成熟”。戰(zhàn)略網(wǎng)絡(luò)作為戰(zhàn)略管理研究的新領(lǐng)域�����,已引起學(xué)術(shù)界的廣泛關(guān)注,并從不同的角度展開研究����。但由于戰(zhàn)略網(wǎng)絡(luò)及其嵌入其中的動態(tài)關(guān)系網(wǎng)絡(luò)的復(fù)雜性和模糊性����,現(xiàn)有的戰(zhàn)略網(wǎng)絡(luò)研究系統(tǒng)性不夠,缺乏定量和動態(tài)分析及其支撐技術(shù)���。為此�,本文在評價現(xiàn)有戰(zhàn)略網(wǎng)絡(luò)研究學(xué)派的基礎(chǔ)上����,提出今后戰(zhàn)略網(wǎng)絡(luò)研究將是系統(tǒng)化、動態(tài)化和定量化����,形成一套比較完整的、可操作的戰(zhàn)略網(wǎng)絡(luò)理論與技術(shù)方法����,使得戰(zhàn)略網(wǎng)絡(luò)理論能真正應(yīng)用于企業(yè)戰(zhàn)略管理的實踐之中。
二�����、戰(zhàn)略網(wǎng)絡(luò)研究沿革
20世紀(jì)80年代以前,市場環(huán)境相對穩(wěn)定����、資源稀缺,而且企業(yè)網(wǎng)絡(luò)的功能主要體現(xiàn)在價格控制和市場的份額上���,網(wǎng)絡(luò)參與者將網(wǎng)絡(luò)視為一種投機(jī)選擇��,協(xié)調(diào)成本高和機(jī)會主義多�,因而網(wǎng)絡(luò)被許多學(xué)者認(rèn)為有負(fù)面影響和缺乏效率��,長期以來其優(yōu)勢沒有得到理論界和實業(yè)界的認(rèn)真重視�。20世紀(jì)80年代以后,市場環(huán)境發(fā)生了巨大的變化��,特別是知識�、信息在經(jīng)濟(jì)中的作用越來越大,網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展��,組織網(wǎng)絡(luò)化日益凸現(xiàn)����,而且網(wǎng)絡(luò)給企業(yè)的發(fā)展帶來了顯著的成效����。例如���,日本的企業(yè)之所以在20世紀(jì)七八十年代以來,國際競爭力迅速增強(qiáng)�,國際化經(jīng)營效果顯著,就是因為日本的企業(yè)并非以單個原子狀態(tài)來活動���,而是以一群合作企業(yè)或組織構(gòu)成相互依賴的關(guān)系網(wǎng)絡(luò)參與國際競爭���,實現(xiàn)知識共享、共同發(fā)展����,形成了世界級的核心能力。因此����,從20世紀(jì)80年代末開始,企業(yè)網(wǎng)絡(luò)及其關(guān)系管理的研究�,愈來愈受到學(xué)者們的重視,相繼出現(xiàn)了組織生態(tài)系統(tǒng)(OrganizationEcosystem)�、組織網(wǎng)絡(luò)化(OrganizationalNetworking)����、網(wǎng)絡(luò)組織(NetworkOrganization)�、組織域(OrganizationField)、企業(yè)集群(EnterpriseCluster)���、伙伴關(guān)系(Partnering)����、關(guān)系治理(RelationalGovernance)����、拓展企業(yè)(ExpandedEnterprise)、合作競爭(Co—petition)����、組織間競爭優(yōu)勢(Inter—organizationalCompetitiveAdvantage)、關(guān)系能力(RelationalCapability)�、關(guān)系資源(RelationResource)、網(wǎng)絡(luò)資源(NetworkResource)����、聯(lián)盟網(wǎng)絡(luò)(AllianceNetworks)、戰(zhàn)略網(wǎng)絡(luò)(StrategicNetworks)����、戰(zhàn)略區(qū)域(StrategicBlocks)�、公司間信任(Inter—firmTrust)�����、供應(yīng)商網(wǎng)絡(luò)(SuppliersNetwork)等新概念��,有學(xué)者和先行的廠商已認(rèn)識到企業(yè)隱含的�、不可模仿的社會關(guān)系網(wǎng)絡(luò)和其成功的合作伙伴——供應(yīng)商���、顧客����、互補者和聯(lián)盟伙伴��,是“創(chuàng)新關(guān)鍵來源”�、“組織學(xué)習(xí)的關(guān)鍵來源”、“學(xué)習(xí)和能力的關(guān)鍵來源”���。R·Gualti等人將這些具有持久性的�����、對進(jìn)入其中具有戰(zhàn)略意義的組織之間的節(jié)點構(gòu)成的網(wǎng)絡(luò)統(tǒng)稱為戰(zhàn)略網(wǎng)絡(luò)�,這些節(jié)點包括了戰(zhàn)略聯(lián)盟、合資�����、長期的買賣伙伴等���。于是��,戰(zhàn)略網(wǎng)絡(luò)研究就成為戰(zhàn)略管理研究的新熱點���。
就戰(zhàn)略管理學(xué)者對戰(zhàn)略網(wǎng)絡(luò)研究歷程看,首先提出戰(zhàn)略網(wǎng)絡(luò)概念的是J.C·Jarillo�����。他于1988年在《戰(zhàn)略管理雜志》發(fā)表題為“戰(zhàn)略網(wǎng)絡(luò)”的論文�,可謂是戰(zhàn)略網(wǎng)絡(luò)理論的經(jīng)典之作。該文從戰(zhàn)略的高度闡述了戰(zhàn)略網(wǎng)絡(luò)的內(nèi)涵��,認(rèn)為戰(zhàn)略網(wǎng)絡(luò)是一種關(guān)系網(wǎng)絡(luò)���,獲取企業(yè)生存和發(fā)展所需資源和知識的關(guān)鍵渠道���,是“企業(yè)競爭優(yōu)勢之源”���,而不僅僅是一種組織模式,使之有別于一般意義的網(wǎng)絡(luò)組織�。這篇文章的發(fā)表,標(biāo)志著戰(zhàn)略網(wǎng)絡(luò)理論研究的開始����。隨后,戰(zhàn)略管理研究者開始對企業(yè)之間和企業(yè)與其他組織之間的關(guān)系網(wǎng)絡(luò)研究產(chǎn)生了廣泛的興趣���,1992年N.Nohria等編寫出版的論文集《網(wǎng)絡(luò)與組織:結(jié)構(gòu)����、形式和行為》��,匯集了社會網(wǎng)絡(luò)理論�、組織理論�、戰(zhàn)略理論、經(jīng)濟(jì)理論研究者對戰(zhàn)略網(wǎng)絡(luò)理論的最新研究成果����。與此同時���,戰(zhàn)略網(wǎng)絡(luò)研究的奠基者J.C.Jarillo通過進(jìn)一步研究和實證考察,于1993年出版其專著《戰(zhàn)略網(wǎng)絡(luò)》���,標(biāo)志著戰(zhàn)略網(wǎng)絡(luò)理論基本形成����。1999年F.J.Richter出版了其專著《戰(zhàn)略網(wǎng)絡(luò)——日本企業(yè)間合作的藝術(shù)》�����,該書以日本企業(yè)的戰(zhàn)略網(wǎng)絡(luò)為例�����,研究了戰(zhàn)略網(wǎng)絡(luò)的理論基礎(chǔ)�����、戰(zhàn)略網(wǎng)絡(luò)形成動因���、戰(zhàn)略網(wǎng)絡(luò)的管理與進(jìn)化����,進(jìn)一步豐富了戰(zhàn)略網(wǎng)絡(luò)理論,促進(jìn)戰(zhàn)略網(wǎng)絡(luò)理論走向?qū)嵺`����。2000年《戰(zhàn)略管理雜志》出版“戰(zhàn)略網(wǎng)絡(luò)’論文專集,介紹了當(dāng)前有關(guān)戰(zhàn)略網(wǎng)絡(luò)理論研究的最新研究成果�����,強(qiáng)調(diào)這一理論要整合和系統(tǒng)化��,使之形成比較完整的理論體系�����,更有效地指導(dǎo)企業(yè)在網(wǎng)絡(luò)競爭環(huán)境下制定和實施企業(yè)戰(zhàn)略�����。這標(biāo)志著戰(zhàn)略網(wǎng)絡(luò)研究進(jìn)入了一個系統(tǒng)研究階段�。
三����、戰(zhàn)略網(wǎng)絡(luò)研究主要學(xué)派
由于戰(zhàn)略網(wǎng)絡(luò)及其嵌入其中的動態(tài)關(guān)系網(wǎng)絡(luò)的復(fù)雜性和模糊性,目前戰(zhàn)略管理的學(xué)者們都只能以不同的理論為基礎(chǔ),從不同的視角研究戰(zhàn)略網(wǎng)絡(luò)�,并取得了一定的成果,為戰(zhàn)略網(wǎng)絡(luò)的進(jìn)一步深入研究奠定了基礎(chǔ)����。作者綜合有關(guān)文獻(xiàn),將現(xiàn)有戰(zhàn)略網(wǎng)絡(luò)研究主要分為五大學(xué)派��。
1.以R.Gulati為代表的結(jié)合新經(jīng)濟(jì)社會學(xué)來研究企業(yè)戰(zhàn)略網(wǎng)絡(luò)的理論�,我們稱之為經(jīng)濟(jì)社會學(xué)派。R.Gulati的主要代表作有《戰(zhàn)略網(wǎng)絡(luò)》�、《聯(lián)盟與網(wǎng)絡(luò)》、《網(wǎng)絡(luò)位置與學(xué)習(xí):網(wǎng)絡(luò)資源和公司能力對聯(lián)盟形成的影響》��。
他的主要觀點是:(1)規(guī)范了戰(zhàn)略網(wǎng)絡(luò)的定義��,界定了戰(zhàn)略網(wǎng)絡(luò)的研究范圍��,明確將對企業(yè)有戰(zhàn)略意義的戰(zhàn)略聯(lián)盟��、合資�����、長期的買賣伙伴和一群相似的節(jié)點都?xì)w集為戰(zhàn)略網(wǎng)絡(luò)�����,強(qiáng)調(diào)它是嵌入于企業(yè)之中的關(guān)系網(wǎng)絡(luò),對企業(yè)的生存與發(fā)展具有戰(zhàn)略意義��。(2)用社會網(wǎng)絡(luò)理論的“嵌人性”和“結(jié)構(gòu)洞”原理���,證明了戰(zhàn)略網(wǎng)絡(luò)對企業(yè)行為和績效的影響�,說明戰(zhàn)略網(wǎng)絡(luò)及其管理能力是網(wǎng)絡(luò)資源和關(guān)系資源���,是戰(zhàn)略網(wǎng)絡(luò)參與者在參與網(wǎng)絡(luò)后所獲得的獨特資源�����,具有獨特性�����,難以模仿性�����,是一種核心能力�。(3)強(qiáng)調(diào)戰(zhàn)略網(wǎng)絡(luò)是一個公司接近信息�����、資源����、市場和技術(shù)的關(guān)鍵渠道,能夠取得學(xué)習(xí)��、規(guī)模和范圍經(jīng)濟(jì)的優(yōu)勢��,戰(zhàn)略網(wǎng)絡(luò)直接影響企業(yè)的戰(zhàn)略行為和競爭優(yōu)勢�。(4)嵌入于戰(zhàn)略網(wǎng)絡(luò)之中的網(wǎng)絡(luò)關(guān)系,對于企業(yè)來說�,是一種既有機(jī)會又有約束的資源。因為“網(wǎng)絡(luò)也意味企業(yè)被鎖定在非生產(chǎn)關(guān)系里或排除了與其他可行的組織結(jié)成伙伴的機(jī)會”�����。(5)提出要整合戰(zhàn)略網(wǎng)絡(luò)于企業(yè)戰(zhàn)略研究之中�,并提出可從產(chǎn)業(yè)結(jié)構(gòu)、產(chǎn)業(yè)內(nèi)分析��、企業(yè)能力��、交易成本和轉(zhuǎn)換成本��、網(wǎng)絡(luò)進(jìn)化和企業(yè)收益來與現(xiàn)有的戰(zhàn)略研究相結(jié)合。
該學(xué)派的主要缺點是:如何整合戰(zhàn)略網(wǎng)絡(luò)于戰(zhàn)略研究中���,沒有提出具體的理論框架����,缺乏技術(shù)方法研究�����,難于對企業(yè)的實踐有實際指導(dǎo)作用����。
2.以J.C.Jarillo為代表的用組織理論來研究戰(zhàn)略網(wǎng)絡(luò),我們稱之為組織學(xué)派��。其主要代表作為《戰(zhàn)略網(wǎng)絡(luò)》���、《戰(zhàn)略網(wǎng)絡(luò)——創(chuàng)造無邊界的組織》(專著)���。
他的主要觀點有:(1)最早捉出戰(zhàn)略網(wǎng)絡(luò)的概念,認(rèn)為戰(zhàn)略網(wǎng)絡(luò)是一種長期的�、有目的的組織安排,其目的在于通過戰(zhàn)略網(wǎng)絡(luò)使企業(yè)獲得長期競爭優(yōu)勢。(2)提出了用商業(yè)系統(tǒng)思想來研究企業(yè)經(jīng)營活動����。他認(rèn)為����,實現(xiàn)產(chǎn)品/服務(wù)有效地傳送到顧客手中,整個過程的所有活動要合作�,如何選擇組織合作方式的中心問題,就是要保證企業(yè)持續(xù)競爭優(yōu)勢�����。(3)提出了組織商業(yè)系統(tǒng)活動方式的評價標(biāo)準(zhǔn)�,是最大化組織效率與靈活性,并通過比較層級制���、市場和戰(zhàn)略網(wǎng)絡(luò)三種組織方式��,說明戰(zhàn)略網(wǎng)絡(luò)是網(wǎng)絡(luò)經(jīng)濟(jì)時代最佳組織模式���。(4)初步形成了戰(zhàn)略網(wǎng)絡(luò)的基本理論,有利于指導(dǎo)企業(yè)進(jìn)行戰(zhàn)略網(wǎng)絡(luò)管理�����,包括網(wǎng)絡(luò)選擇的時機(jī)和信任機(jī)制的建立,利用交易成本理論說明何時建立網(wǎng)絡(luò)為好�,利用博弈理論提出了加強(qiáng)組織間信任的機(jī)制。
其主要不足是:沒有考慮網(wǎng)絡(luò)關(guān)系���、社會和文化等因素對網(wǎng)絡(luò)及其效率的影響����,沒有分析戰(zhàn)略網(wǎng)絡(luò)的成因�、特征等基本問題,沒有對戰(zhàn)略網(wǎng)絡(luò)中組織間學(xué)習(xí)過程和網(wǎng)絡(luò)進(jìn)化過程展開研究�����。
3.以P.J.Richter為代表的文化學(xué)派�����。他根據(jù)自身在中國�、日本、韓國等東亞國家擔(dān)任國際跨國公司代表���、與這些國家的企業(yè)有長期交往的經(jīng)歷���,發(fā)表了多篇有關(guān)東亞企業(yè)成長的論文���,并于2000年出版了其專著《戰(zhàn)略網(wǎng)絡(luò)——日本企業(yè)間合作的藝術(shù)》。該書以日本企業(yè)的戰(zhàn)略網(wǎng)絡(luò)為例��,研究了戰(zhàn)略網(wǎng)絡(luò)的理論基礎(chǔ)����、戰(zhàn)略網(wǎng)絡(luò)形成動因���、戰(zhàn)略網(wǎng)絡(luò)的管理與進(jìn)化����,進(jìn)一步豐富了戰(zhàn)略網(wǎng)絡(luò)理論和促進(jìn)戰(zhàn)略網(wǎng)絡(luò)在實踐中的應(yīng)用���。
Richter的主要觀點有:(1)日本經(jīng)濟(jì)及其企業(yè)成功的關(guān)鍵因素之一�,在于其企業(yè)的戰(zhàn)略網(wǎng)絡(luò)管理水平高�����,日本企業(yè)的戰(zhàn)略網(wǎng)絡(luò)與西方一般意義上的網(wǎng)絡(luò)組織不同���,它注重知識����、能力資源的共享。(2)突出文化在戰(zhàn)略網(wǎng)絡(luò)形成和進(jìn)化中的作用�。強(qiáng)調(diào)由于日本企業(yè)受傳統(tǒng)文化影響,容易形成戰(zhàn)略網(wǎng)絡(luò)的網(wǎng)絡(luò)文化�����,包括高度忠誠���、相互信任����、自然尊重和統(tǒng)一價值觀等�。(3)運用企業(yè)系統(tǒng)理論、成長理論和博弈論來系統(tǒng)研究戰(zhàn)略網(wǎng)絡(luò)的動因�,為戰(zhàn)略網(wǎng)絡(luò)研究提供了理論基礎(chǔ)。(4)重點分析了戰(zhàn)略網(wǎng)絡(luò)企業(yè)間的網(wǎng)絡(luò)學(xué)習(xí)過程���,說明戰(zhàn)略網(wǎng)絡(luò)在知識管理和能力培養(yǎng)中的特殊意義�。(5)論述了企業(yè)后勤合作����、技術(shù)合作和全球化合作中的戰(zhàn)略網(wǎng)絡(luò)管理問題�����,為戰(zhàn)略網(wǎng)絡(luò)走向?qū)嶋H應(yīng)用奠定了基礎(chǔ)��。(6)強(qiáng)調(diào)了企業(yè)家之間的關(guān)系在戰(zhàn)略網(wǎng)絡(luò)中的重要性���。
由于Richter僅從文化視角研究戰(zhàn)略網(wǎng)絡(luò),沒有將戰(zhàn)略網(wǎng)絡(luò)管理整合于戰(zhàn)略研究之中��,由于文化研究難于定量化�����,造成缺乏對戰(zhàn)略網(wǎng)絡(luò)進(jìn)行定量研究����,也缺乏對戰(zhàn)略網(wǎng)絡(luò)管理對策研究��。
4.以波特(Porter)為代表的用企業(yè)集群理論來研究區(qū)域合作網(wǎng)絡(luò)��。由于企業(yè)集群理論起源于區(qū)域經(jīng)濟(jì)研究���,故我們將此學(xué)派稱為區(qū)域經(jīng)濟(jì)學(xué)派����。企業(yè)集群是指在一特定區(qū)域內(nèi)的一群相互聯(lián)系的公司和各種組織(包括學(xué)校、研究機(jī)構(gòu)���、中介機(jī)構(gòu)�����、客戶等)���,為了獲取新的和互補的技術(shù)、從聯(lián)盟中獲益����、加快學(xué)習(xí)過程、降低交易成本����、分擔(dān)風(fēng)險而結(jié)成的網(wǎng)絡(luò)。因此����,我們認(rèn)為�����,企業(yè)集群是戰(zhàn)略網(wǎng)絡(luò)的一種��,集群研究也屬于戰(zhàn)略網(wǎng)絡(luò)研究范疇�����。波特有關(guān)集群研究的主要代表作有《國家競爭》���、《亞當(dāng)·斯密:區(qū)位、集群和競爭的“新”競爭微觀經(jīng)濟(jì)學(xué)》����、《集群與新競爭經(jīng)濟(jì)學(xué)》和《產(chǎn)業(yè)集群與競爭:企業(yè)、政府和機(jī)構(gòu)新議題》�����,其集群理論主要是通過對各國典型區(qū)域的企業(yè)集群(如硅谷和波士頓的高新產(chǎn)業(yè)區(qū)���、意大利的皮革制造企業(yè)集群等)的實務(wù)觀察和研究所得,他認(rèn)為“所有進(jìn)步的經(jīng)濟(jì)體中��,都可明顯存在著企業(yè)集群,企業(yè)集群的形成����,也是經(jīng)濟(jì)發(fā)展的基本因素之一”。
波特的主要觀點包括:(1)集群是位于某個地方�、在特定領(lǐng)域內(nèi)獲得異質(zhì)的競爭優(yōu)勢的重要集合,地理位置是一個競爭優(yōu)勢����。(2)企業(yè)集群是一個開放體系,具有外部效應(yīng)����,同一地區(qū)內(nèi)的公司或機(jī)構(gòu)之間相互聯(lián)系、共享知識�����,企業(yè)集群是一種“新競爭”和“新經(jīng)濟(jì)”��。(3)企業(yè)集群是由地理位置所處的社會���、文化�、政策等條件形成的���,具有歷史依賴性����。(4)集群是空間布局上的新組織形式,“代表一種合作與競爭的組合”����,是一種合作競爭思想,是一種群體思維的戰(zhàn)略思想(突破單個實體的狹隘思想)�����。(5)分析了企業(yè)集群的成因、特征和網(wǎng)絡(luò)關(guān)系,揭示了企業(yè)集群與競爭優(yōu)勢的關(guān)系�����,豐富了戰(zhàn)略網(wǎng)絡(luò)研究的內(nèi)容。
其主要缺點:過分強(qiáng)調(diào)地理位置在企業(yè)集群形成中的重要性�����,認(rèn)為在網(wǎng)絡(luò)經(jīng)濟(jì)時代“地點仍是競爭的根本”����,產(chǎn)業(yè)選擇首要問題是區(qū)位:過分強(qiáng)調(diào)政府產(chǎn)業(yè)政策對集群管理的作用,忽略了企業(yè)本身在關(guān)系網(wǎng)絡(luò)管理中的能動作用�����,利用集群理論側(cè)重于區(qū)域經(jīng)濟(jì)和產(chǎn)業(yè)經(jīng)濟(jì)發(fā)展的研究��,而非用于微觀層面的企業(yè)戰(zhàn)略研究之中���。
5.以J.M.Moor為代表的從生態(tài)觀的視角來研究戰(zhàn)略網(wǎng)絡(luò)�����,我們稱之為商業(yè)生態(tài)學(xué)派����。Moor提出的企業(yè)商業(yè)系統(tǒng)包括了供應(yīng)商�����、主要生產(chǎn)者��、競爭對手��、顧客、科研機(jī)構(gòu)���、高等院校�、行政管理部門���、政府及其他利益相關(guān)者��。我們認(rèn)為�,各個成員在這個系統(tǒng)中相互依賴����、共同進(jìn)化所形成的交錯復(fù)雜的關(guān)系網(wǎng)絡(luò),從本質(zhì)上看也是一種戰(zhàn)略網(wǎng)絡(luò)�����,有關(guān)商業(yè)生態(tài)系統(tǒng)研究也應(yīng)屬于戰(zhàn)略網(wǎng)絡(luò)研究領(lǐng)域���。Moor的代表作��,是其1996年出版的《競爭的衰亡:商業(yè)生態(tài)系統(tǒng)時代的領(lǐng)導(dǎo)和戰(zhàn)略》�����。他認(rèn)為���,網(wǎng)絡(luò)經(jīng)濟(jì)世界的運行并不都是你死我活的斗爭,而是像生態(tài)系統(tǒng)那樣�,企業(yè)與其他組織之間存在“共同進(jìn)化”關(guān)系。在企業(yè)的商業(yè)生態(tài)系統(tǒng)中�����,為了企業(yè)的生存和發(fā)展����,彼此間應(yīng)該合作,努力營造與維護(hù)一個共生的商業(yè)生態(tài)系統(tǒng)�。因此,他強(qiáng)調(diào)必須有“新的語言��、新的戰(zhàn)略邏輯和新的實施方法”�����,用全新的理論——商業(yè)生態(tài)學(xué)來全面闡述了商業(yè)生態(tài)系統(tǒng)的企業(yè)戰(zhàn)略��。
Moor的主要觀點包括:(1)用生態(tài)系統(tǒng)的觀念來透視整個商業(yè)經(jīng)營活動和研究戰(zhàn)略����,拓寬了戰(zhàn)略網(wǎng)絡(luò)研究的視野�。他認(rèn)為����,企業(yè)是其所處商業(yè)生態(tài)系統(tǒng)的成員之一,這個系統(tǒng)決定了企業(yè)的戰(zhàn)略行為和戰(zhàn)略價值����,這個系統(tǒng)績效直接影響到企業(yè)績效。(2)按照自相似�����、自組織�、自學(xué)習(xí)與動態(tài)進(jìn)化的原則來設(shè)計網(wǎng)狀結(jié)構(gòu)組織和商業(yè)生態(tài)系統(tǒng)(即戰(zhàn)略網(wǎng)絡(luò)),通過共創(chuàng)愿景���、系統(tǒng)思考�、網(wǎng)絡(luò)學(xué)習(xí)����、共享知識、協(xié)同作用�,使企業(yè)在創(chuàng)造未來中實現(xiàn)可持續(xù)發(fā)展�����。(3)建立一個相互依賴��、相互學(xué)習(xí)、共同進(jìn)化的企業(yè)生態(tài)系統(tǒng)�,是企業(yè)持續(xù)發(fā)展的前提。企業(yè)的績效主要取決于其在這個系統(tǒng)中的合作效率和網(wǎng)絡(luò)關(guān)系管理能力的水平��。(4)商業(yè)生態(tài)系統(tǒng)中的成員間相互合作演化過程�,包括了開拓、發(fā)展��、權(quán)威���、重振或死亡��,企業(yè)在這個演化過程中不斷進(jìn)化����、異化和蛻變�����。(5)強(qiáng)調(diào)了企業(yè)與環(huán)境的相互滲透,企業(yè)的邊界模糊����。企業(yè)的戰(zhàn)略行為受其所在的系統(tǒng)制約,企業(yè)的戰(zhàn)略制定���、實施和評價都依賴于整個系統(tǒng)���。
其主要缺點是:過分強(qiáng)調(diào)系統(tǒng)選擇企業(yè)的作用,忽略了企業(yè)本身初始條件的重要性��,忽略了企業(yè)核心能力對其戰(zhàn)略行為的決定作用和對整個商業(yè)生態(tài)系統(tǒng)的影響��,僅強(qiáng)調(diào)整個商業(yè)生態(tài)系統(tǒng)中各成員的合作����,忽視了成員之間的合作是一個博弈過程,有合作也有競爭�����,并認(rèn)為合作有周期性����,無法持久�����。
綜觀戰(zhàn)略網(wǎng)絡(luò)研究各個學(xué)派的主要觀點��,我們認(rèn)為�����,當(dāng)前有關(guān)戰(zhàn)略網(wǎng)絡(luò)研究有以下的特點:(1)應(yīng)用一種理論從某個側(cè)面研究的多,而綜合各種理論從系統(tǒng)觀角度研究的少����。(2)偏重于戰(zhàn)略網(wǎng)絡(luò)形成和企業(yè)戰(zhàn)略網(wǎng)絡(luò)案例分析的多,而對嵌入于戰(zhàn)略網(wǎng)絡(luò)的關(guān)系分析與戰(zhàn)略網(wǎng)絡(luò)結(jié)構(gòu)分析的少�。(3)側(cè)重于戰(zhàn)略網(wǎng)絡(luò)的靜態(tài)研究多,企業(yè)戰(zhàn)略網(wǎng)絡(luò)管理的動態(tài)研究少���,更缺乏對深層次的網(wǎng)絡(luò)管理問題和網(wǎng)絡(luò)進(jìn)化問題的研究�����。(4)在技術(shù)方法研究上��,以定性為主����,缺乏定量的具有動態(tài)性的技術(shù)方法,更缺乏有關(guān)動態(tài)戰(zhàn)略分析方法���、網(wǎng)絡(luò)信息管理支撐技術(shù)方法和工具的研究��。正因如此���,戰(zhàn)略網(wǎng)絡(luò)研究至今還沒有形成一種比較完整的、對企業(yè)戰(zhàn)略管理有現(xiàn)實指導(dǎo)意義的����、可操作的基本戰(zhàn)略理論及其技術(shù)與方法,使之未能廣泛應(yīng)用于企業(yè)戰(zhàn)略管理實踐之中�。
四、戰(zhàn)略網(wǎng)絡(luò)研究趨勢和主要方向
從上分析���,我們認(rèn)為��,現(xiàn)代戰(zhàn)略網(wǎng)絡(luò)研究發(fā)展趨勢是:(1)戰(zhàn)略網(wǎng)絡(luò)研究系統(tǒng)化�。由于戰(zhàn)略網(wǎng)絡(luò)及其嵌入其中的動態(tài)關(guān)系網(wǎng)絡(luò)的復(fù)雜性和模糊性���,既涉及到經(jīng)濟(jì)學(xué)����、管理學(xué)的內(nèi)容,又涉及到社會學(xué)����、心理學(xué)的知識,未來的研究必須整合多個學(xué)科的理論來系統(tǒng)研究戰(zhàn)略網(wǎng)絡(luò)���,才能對戰(zhàn)略網(wǎng)絡(luò)有全面的認(rèn)識和理解���。(2)戰(zhàn)略網(wǎng)絡(luò)研究動態(tài)化。戰(zhàn)略網(wǎng)絡(luò)的基本特征就是動態(tài)變化和不斷進(jìn)化��,只有引入社會網(wǎng)絡(luò)技術(shù)��、系統(tǒng)動力學(xué)�����、進(jìn)化博弈�����、離散仿真的技術(shù)等分析方法來分析戰(zhàn)略網(wǎng)絡(luò)的互動性和動態(tài)性��,才能真正揭示戰(zhàn)略網(wǎng)絡(luò)的演化規(guī)律�����。(3)戰(zhàn)略網(wǎng)絡(luò)研究定量化�。由于戰(zhàn)略網(wǎng)絡(luò)涉及的組織多、相互的關(guān)系復(fù)雜�,未來的研究必須采用社會調(diào)查統(tǒng)計方法收集大量的數(shù)據(jù),利用現(xiàn)代數(shù)學(xué)統(tǒng)計方法分析網(wǎng)絡(luò)和建立相應(yīng)的數(shù)學(xué)模型���,才有保證戰(zhàn)略網(wǎng)絡(luò)研究成果的科學(xué)性和可操作性��。
結(jié)合戰(zhàn)略網(wǎng)絡(luò)研究發(fā)展趨勢分析���,我們認(rèn)為,今后戰(zhàn)略網(wǎng)絡(luò)研究的主要方向:
1.用系統(tǒng)觀進(jìn)行戰(zhàn)略網(wǎng)絡(luò)理論框架研究��。綜合應(yīng)用現(xiàn)代企業(yè)戰(zhàn)略理論�、社會網(wǎng)絡(luò)理論、協(xié)同商務(wù)理論����、企業(yè)能力理論、系統(tǒng)理論和博弈論等,從系統(tǒng)觀的角度�,構(gòu)建戰(zhàn)略網(wǎng)絡(luò)理論框架。它包括戰(zhàn)略網(wǎng)絡(luò)的結(jié)構(gòu)��、功能和特征�����,戰(zhàn)略網(wǎng)絡(luò)對企業(yè)績效的影響��,企業(yè)核心能力和企業(yè)動態(tài)關(guān)系網(wǎng)絡(luò)分析��,戰(zhàn)略網(wǎng)絡(luò)的目標(biāo)與選擇���,戰(zhàn)略網(wǎng)絡(luò)的動態(tài)管理���,戰(zhàn)略網(wǎng)絡(luò)績效評價與網(wǎng)絡(luò)進(jìn)化。
2.戰(zhàn)略網(wǎng)絡(luò)中的組織間動態(tài)關(guān)系分析與技術(shù)方法研究����。要運用系統(tǒng)動力學(xué)�����、社會網(wǎng)絡(luò)技術(shù)方法和離散系統(tǒng)仿真技術(shù),進(jìn)行組織間動態(tài)關(guān)系網(wǎng)絡(luò)分析與仿真模型優(yōu)化��,明確對企業(yè)核心能力的培育���、提升和發(fā)揮不同作用網(wǎng)絡(luò)節(jié)點之間的動態(tài)關(guān)系���,保證戰(zhàn)略網(wǎng)絡(luò)的優(yōu)化。
3.戰(zhàn)略網(wǎng)絡(luò)動態(tài)管理過程研究�,要促進(jìn)戰(zhàn)略網(wǎng)絡(luò)研究成果用于實踐和可操作性,這是研究的重點和難點�����,它包括:(1)利用組織學(xué)習(xí)理論和企業(yè)網(wǎng)絡(luò)理論����,建立起有效的網(wǎng)絡(luò)學(xué)習(xí)機(jī)制:運用博弈理論分析網(wǎng)絡(luò)學(xué)習(xí)中的博弈均衡問題,制定出企業(yè)在網(wǎng)絡(luò)學(xué)習(xí)中的最優(yōu)策略����。(2)運用委托—理論,建立長期網(wǎng)絡(luò)信任機(jī)制���,保證網(wǎng)絡(luò)知識有效轉(zhuǎn)換���、整合與創(chuàng)新�����。(3)運用協(xié)同商務(wù)的原理和技術(shù)�����、數(shù)據(jù)庫技術(shù)���、計算機(jī)和網(wǎng)絡(luò)通訊技術(shù)等,開發(fā)和實現(xiàn)基于協(xié)同商務(wù)觀的企業(yè)戰(zhàn)略網(wǎng)絡(luò)信息管理系統(tǒng)����,保證網(wǎng)絡(luò)內(nèi)部信息、知識的快速交流�、處理和共享。
篇2
一���、網(wǎng)絡(luò)連接故障問題
在使用局域網(wǎng)的時候��,無法避免地會存在一些故障。網(wǎng)絡(luò)管理最主要的任務(wù)之一是:對網(wǎng)絡(luò)系統(tǒng)進(jìn)行優(yōu)化��,及時排除相應(yīng)的故障。網(wǎng)絡(luò)連接故障問題只要是發(fā)生在日常的醫(yī)院網(wǎng)絡(luò)管理工作之中�����,就應(yīng)該對相關(guān)網(wǎng)絡(luò)機(jī)器中的網(wǎng)卡設(shè)置仔細(xì)檢查運行正常與否����。通過用鼠標(biāo)按順序點擊設(shè)置窗口進(jìn)行檢查:點擊控制面板,點擊系統(tǒng)����,點擊設(shè)備管理,點擊網(wǎng)絡(luò)適配器�����。另外��,及時檢查在相關(guān)窗口中有沒有出現(xiàn)I/O地址沖突和中斷號的情況���。一般來說�,網(wǎng)卡配置成功主要表現(xiàn)在:“該設(shè)備正常運轉(zhuǎn)”字樣出現(xiàn)在網(wǎng)絡(luò)適配器屬性里面�����,至少在“網(wǎng)上鄰居”中能較為容易地找到。當(dāng)網(wǎng)卡檢查完畢保證正常工作狀態(tài)時����,通過一定方式搜索其他網(wǎng)絡(luò)中的計算機(jī),出現(xiàn)網(wǎng)絡(luò)連線中斷問題最常見的狀況是:無法聯(lián)系到其他網(wǎng)絡(luò)中的計算機(jī)�,采用的方式是:“網(wǎng)上鄰居”。RJ-45水晶頭和雙絞線接觸不到位��、網(wǎng)絡(luò)線內(nèi)部出現(xiàn)斷裂現(xiàn)象��、網(wǎng)絡(luò)連接設(shè)備出現(xiàn)不少質(zhì)量問題�,對于線路到底有沒有斷裂可以采用測線儀做一些相應(yīng)的檢測,接著在檢測網(wǎng)絡(luò)質(zhì)量好壞時可以采用替代方式進(jìn)行測試�����。在網(wǎng)卡和網(wǎng)線正常運作的前提下�����,應(yīng)該仔細(xì)檢查一下軟件設(shè)置方面有沒有什么故障�。打個比方,出現(xiàn)故障的原因不排除中斷信號有誤差�。在保證網(wǎng)絡(luò)介質(zhì)運行正常的前提下,滿足一定的條件才能返回進(jìn)行網(wǎng)卡設(shè)置����,這個條件是:當(dāng)處于明確無法接通時。進(jìn)一步檢查相關(guān)設(shè)備資源有無沖突現(xiàn)象����,這里需要指出的是,絕大部分沖突未必都有明顯提示�����。為了能夠及時將問題解決��,確保正常開展醫(yī)務(wù)人員相關(guān)方面的工作��,必須注重排查軟件和硬件���,尋找阻礙網(wǎng)絡(luò)正常連接的根源��。
二����、網(wǎng)絡(luò)堵塞問題
相當(dāng)一部分醫(yī)院認(rèn)為����,網(wǎng)絡(luò)設(shè)備質(zhì)量無法引起有關(guān)方面高度重視的主要原因在于:不少醫(yī)院在網(wǎng)絡(luò)建設(shè)的過程之中�����,只注重大幅度降低成本�����,促使網(wǎng)絡(luò)建設(shè)見效十分的不明顯����。一般來說���,醫(yī)院必須晝夜持續(xù)不間斷地工作�。為了避免醫(yī)院網(wǎng)絡(luò)出現(xiàn)癱瘓的情況��,為了保證醫(yī)院相關(guān)網(wǎng)絡(luò)設(shè)備的穩(wěn)定運行����,我們應(yīng)該重點關(guān)注服務(wù)器和主交換機(jī)的運轉(zhuǎn)狀況,大大增強(qiáng)相關(guān)網(wǎng)絡(luò)設(shè)備的穩(wěn)定性能�����。在實踐過程中,網(wǎng)絡(luò)難免存在一些堵塞情況��,這在一定程度上影響醫(yī)院員工正常的工作秩序�����,大幅度降低了醫(yī)院員工的工作效率����。將路由器的管理信息庫打開�,網(wǎng)絡(luò)平均流量遠(yuǎn)遠(yuǎn)低于50%會在該庫顯示出來,很少產(chǎn)生數(shù)據(jù)碰撞的情況���,這表明在整個網(wǎng)絡(luò)結(jié)構(gòu)中并不是所有設(shè)備都是有缺陷的��,或許是極個別工作站引發(fā)了故障�����。在局域網(wǎng)中明確相關(guān)工作站地點的前提下����,進(jìn)一步確定存在質(zhì)疑的工作站用戶和與位置的有效途徑是:采用一定的方式將MAC地址搜索到��,并且將相關(guān)工作站網(wǎng)卡MAC地址備份順利打開�����,將兩者對照起來進(jìn)行精確查找。這個方式是:通過熟練運用網(wǎng)絡(luò)萬用表�。緊接著,全面地檢查這個搜索出來的工作站���,但是應(yīng)該清楚地看到����,計算機(jī)并沒有給該工作站用戶使用����,卻出現(xiàn)了網(wǎng)絡(luò)堵塞的情況。進(jìn)一步連接該工作站網(wǎng)卡和相關(guān)方面的網(wǎng)絡(luò)測試儀���,對流量進(jìn)行模擬發(fā)送�。只要大幅度增加流量��,那么數(shù)據(jù)碰撞的次數(shù)也會相應(yīng)遞增�。毫無疑問,故障發(fā)生在網(wǎng)卡的連接上��。這里需要明確的是,所有工作站在局域網(wǎng)中基于同一個網(wǎng)段�����,整個網(wǎng)絡(luò)傳輸質(zhì)量很大程度上受一臺工作站運轉(zhuǎn)狀況的影響���,導(dǎo)致堵塞故障出現(xiàn)在整個網(wǎng)絡(luò)���。另外,IE瀏覽器使用故障問題不容忽視�����。
作者:宋向坤 單位:安徽省太和縣人民醫(yī)院
篇3
前 言
隨著計算機(jī)技術(shù)和Internet的發(fā)展�����,企業(yè)和政府部門開始大規(guī)模的建立網(wǎng)絡(luò)來推動電子商務(wù)和政務(wù)的發(fā)展����,伴隨著網(wǎng)絡(luò)的業(yè)務(wù)和應(yīng)用的豐富�,對計算機(jī)網(wǎng)絡(luò)的管理與維護(hù)也就變得至關(guān)重要。人們普遍認(rèn)為�,網(wǎng)絡(luò)管理是計算機(jī)網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一,尤其在大型計算機(jī)網(wǎng)絡(luò)中更是如此。網(wǎng)絡(luò)管理就是指監(jiān)督�����、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱�����。其目標(biāo)是確保計算機(jī)網(wǎng)絡(luò)的持續(xù)正常運行�����,并在計算機(jī)網(wǎng)絡(luò)運行出現(xiàn)異常時能及時響應(yīng)和排除故障�����。
網(wǎng)絡(luò)故障極為普遍�,網(wǎng)絡(luò)故障的種類也多種多樣,要在網(wǎng)絡(luò)出現(xiàn)故障時及時對出現(xiàn)故障的網(wǎng)絡(luò)進(jìn)行維護(hù)��,以最快的速度恢復(fù)網(wǎng)絡(luò)的正常運行��,掌握一套行之有效的網(wǎng)絡(luò)維護(hù)理論����、方法和技術(shù)是關(guān)鍵�����。就網(wǎng)絡(luò)中常見故障進(jìn)行分類�����,并對各種常見網(wǎng)絡(luò)故障提出相應(yīng)的解決方法�。
隨著計算機(jī)的廣泛應(yīng)用和網(wǎng)絡(luò)的日趨流行��,功能獨立的多個計算機(jī)系統(tǒng)互聯(lián)起來����,互聯(lián)形成日漸龐大的網(wǎng)絡(luò)系統(tǒng)。計算機(jī)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運轉(zhuǎn)已與功能完善的網(wǎng)絡(luò)軟件密不可分����。計算機(jī)網(wǎng)絡(luò)系統(tǒng)�����,就是利用通訊設(shè)備和線路將地理位置不同的�、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等共享,包括硬件資源和軟件資源的共享:因此����,如何有效地做好本單位計算機(jī)網(wǎng)絡(luò)的日常維護(hù)工作���,確保其安全穩(wěn)定地運行,這是網(wǎng)絡(luò)運行維護(hù)人員的一項非常重要的工作���。
在排除比較復(fù)雜網(wǎng)絡(luò)的故障時��,我們常常要從多種角度來測試和分析故障的現(xiàn)象�,準(zhǔn)確確定故障點�����。
第一章 網(wǎng)絡(luò)安全技術(shù)
1.1概述
網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進(jìn)行介入控制��,以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段�����,主要包括物理的安全分析技術(shù)�����,網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)���,系統(tǒng)安全分析技術(shù)���,管理安全分析技術(shù)���,以及其他的安全服務(wù)和安全機(jī)制策略。
21世紀(jì)全世界的計算機(jī)都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化.它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在.當(dāng)人類步入21世紀(jì)這一信息社會,網(wǎng)絡(luò)社會的時候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系.
一個國家的信息安全體系實際上包括國家的法規(guī)和政策,以及技術(shù)與市場的發(fā)展平臺.我國在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高.
網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會各方面的延伸,進(jìn)入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程.為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā).安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè).
信息安全是國家發(fā)展所面臨的一個重要問題.對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上,產(chǎn)業(yè)上,政策上來發(fā)展它.政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應(yīng)該看到它對我國未來電子化,信息化的發(fā)展將起到非常重要的作用
1.2防火墻
網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài).
目前的防火墻產(chǎn)品主要有堡壘主機(jī),包過濾路由器,應(yīng)用層網(wǎng)關(guān)(服務(wù)器)以及電路層網(wǎng)關(guān),屏蔽主機(jī)防火墻,雙宿主機(jī)等類型.
雖然防火墻是目前保護(hù)網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展.國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列.
防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇.在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)如果答案是"是",則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施.
作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一.雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù).另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認(rèn)證,防止病毒與黑客侵入等方向發(fā)展.
根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型,網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT,型和監(jiān)測型.
1.3 防火墻主要技術(shù)
包過濾型
包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù).網(wǎng)絡(luò)上的數(shù)據(jù)都是以"包"為單位進(jìn)行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址,目標(biāo)地址,TCP/UDP源端口和目標(biāo)端口等.防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些"包"是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外.系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則.
包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全.
但包過濾技術(shù)的缺陷也是明顯的.包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源,目標(biāo)和端口等網(wǎng)絡(luò)信息進(jìn)行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.
網(wǎng)絡(luò)地址轉(zhuǎn)化—NAT
網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時的,外部的,注冊的IP地址標(biāo)準(zhǔn).它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng).它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的IP地址.
在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址.在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全.當(dāng)符合規(guī)則時,防火墻認(rèn)為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機(jī)中.當(dāng)不符合規(guī)則時,防火墻認(rèn)為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可.
型
型防火墻也可以被稱為服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展.服務(wù)器位于客戶機(jī)與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流.從客戶機(jī)來看,服務(wù)器相當(dāng)于一臺真正的服務(wù)器;而從服務(wù)器來看,服務(wù)器又是一臺真正的客戶機(jī).當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給服務(wù)器,服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī).由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng).
型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進(jìn)行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效.其缺點是對系統(tǒng)的整體性能有較大的影響,而且服務(wù)器必須針對客戶機(jī)可能產(chǎn)生的所有應(yīng)用類型逐一進(jìn)行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性.
監(jiān)測型
監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義.監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的,實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強(qiáng)的防范作用.據(jù)權(quán)威機(jī)構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當(dāng)比例的攻擊來自網(wǎng)絡(luò)內(nèi)部.因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品
雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以目前在實用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻.基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù).這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本.
實際上,作為當(dāng)前防火墻產(chǎn)品的主流趨勢,大多數(shù)服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢.由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄.正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上
1.4防火墻體系結(jié)構(gòu)
篩選路由式體系結(jié)構(gòu)
SHAPE \* MERGEFORMAT
屏蔽子網(wǎng)式結(jié)構(gòu)
雙網(wǎng)主機(jī)式體系結(jié)構(gòu)
SHAPE \* MERGEFORMAT
屏蔽主機(jī)式體系結(jié)構(gòu)
1.5入侵檢測系統(tǒng)
1概念
當(dāng)前���,平均每20秒就發(fā)生一次入侵計算機(jī)網(wǎng)絡(luò)的事件��,超過1/3的互聯(lián)網(wǎng)防火墻被攻破�!面對接2連3的安全問題�����,人們不禁要問:到底是安全問題本身太復(fù)雜�����,以至于不可能被徹底解決�,還的仍然可以有更大的改善��,只不過我們所采取的安全措施中缺少了某些重要的環(huán)節(jié)���。有關(guān)數(shù)據(jù)表明���,后一種解釋更說明問題�。有權(quán)威機(jī)構(gòu)做過入侵行為統(tǒng)計��,發(fā)現(xiàn)他�、有80%來自于網(wǎng)絡(luò)內(nèi)部,也就是說���,“堡壘”是從內(nèi)部被攻破的�����。另外�,在相當(dāng)一部分黑客攻擊當(dāng)中���,黑客都能輕易地繞過防火墻而攻擊網(wǎng)站服務(wù)器�。這就使人們認(rèn)識到:僅靠防火墻仍然遠(yuǎn)遠(yuǎn)不能將“不速之客”拒之門外����,還必須借助于一個“補救”環(huán)節(jié)------入侵檢測系統(tǒng)。
入侵檢測系統(tǒng)(Intrusion detection system,簡稱IDS)是指監(jiān)視(或者在可能的情況下阻止)入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡(luò)資源的行為的系統(tǒng)���。作為分層安全中日益被越普遍采用的成份�,入侵檢測系統(tǒng)能有效地提升黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)的門檻。入侵檢測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖來加強(qiáng)當(dāng)前存取控制系統(tǒng)�����,例如防火墻��;識別防火墻通常用不能識別的攻擊����,如來自企業(yè)內(nèi)部的攻擊;在發(fā)現(xiàn)入侵企圖之后提供必要的信息�����。
入侵檢測是防火墻的合理補充����,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計�����、監(jiān)視���、進(jìn)攻識別和響應(yīng))���,提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干個關(guān)鍵點收集信息����,并分析這些信息,檢測網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象��。它的作用是監(jiān)控網(wǎng)絡(luò)和計算機(jī)系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆���。
作為監(jiān)控和識別攻擊的標(biāo)準(zhǔn)解決方案���,IDS系統(tǒng)已經(jīng)成為安防體系的重要組成部分。
IDS系統(tǒng)以后臺進(jìn)程的形式運行���。發(fā)現(xiàn)可疑情況���,立即通知有關(guān)人員。
防火墻為網(wǎng)絡(luò)提供了第一道防線��,入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行檢測��,從而提供對內(nèi)部攻擊�����、外部攻擊和誤解操作的實時保護(hù)��。由于入侵檢測系統(tǒng)是防火墻后的又一道防線���,從二可以極大地減少網(wǎng)絡(luò)免受各種攻擊的損害���。
假如說防火墻是一幢大樓的門鎖,那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)���。門鎖可以防止小偷進(jìn)入大樓����,但不能保證小偷100%地被拒之門外����,更不能防止大樓內(nèi)部個別人員的不良企圖。而一旦小偷爬入大樓�����,或內(nèi)部人員有越界行為,門鎖就沒有任何作用了���,這時,只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告���。入侵檢測系統(tǒng)不僅僅針對外來的入侵者�����,同時也針對內(nèi)部的入侵行為�。
2侵檢測的主要技術(shù)————入侵分析技術(shù)
入侵分析技術(shù)主要有三大類:簽名���、統(tǒng)計和數(shù)據(jù)完整性��。
簽名分析法
名分析法主要用來檢測有無對系統(tǒng)的已知弱點進(jìn)行的攻擊行為��。這類攻擊可以通過監(jiān)視有無針對特定對象的某種行為而被檢測到��。
主要方法:從攻擊模式中歸納出其簽名����,編寫到IDS系統(tǒng)的代碼里,再由IDS系統(tǒng)對檢測過程中收集到的信息進(jìn)行簽名分析��。
簽名分析實際上是一個模板匹配操作�,匹配的一方是系統(tǒng)設(shè)置情況和用戶操作動作,一方是已知攻擊模式的簽名數(shù)據(jù)庫�����。
統(tǒng)計分析法
統(tǒng)計分析法是以系統(tǒng)正常使用情況下觀察到的動作為基礎(chǔ)�,如果某個操作偏離了正常的軌道,此操作就值得懷疑�����。
主要方法:首先根據(jù)被檢測系統(tǒng)的正常行為定義一個規(guī)律性的東西�����,在此稱為“寫照”�,然后檢測有沒有明顯偏離“寫照”的行為。
統(tǒng)計分析法的理論經(jīng)常是統(tǒng)計學(xué)��,此方法中�,“寫照”的確定至關(guān)重要。
數(shù)據(jù)完整分析法
數(shù)據(jù)完整分析法主要用來查證文件或?qū)ο笫欠癖恍薷倪^����,它的理論經(jīng)常是密碼學(xué)���。
3侵檢測系統(tǒng)的分類:
現(xiàn)有的IDS的分類,大都基于信息源和分析方法���。為了體現(xiàn)對IDS從布局����、采集��、分析���、響應(yīng)等各個層次及系統(tǒng)性研究方面的問題,在這里采用五類標(biāo)準(zhǔn):控制策略���、同步技術(shù)����、信息源�、分析方法、響應(yīng)方式��。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的��。按照控制策略IDS可以劃分為���,集中式IDS��、部分分布式IDS和全部分布式IDS�。在集中式IDS中���,一個中央節(jié)點控制系統(tǒng)中所有的監(jiān)視���、檢測和報告。在部分分布式IDS中���,監(jiān)控和探測是由本地的一個控制點控制�,層次似的將報告發(fā)向一個或多個中心站�����。在全分布式IDS中�����,監(jiān)控和探測是使用一種叫“”的方法,進(jìn)行分析并做出響應(yīng)決策�。
按照同步技術(shù)分類
同步技術(shù)是指被監(jiān)控的事件以及對這些事件的分析在同一時間進(jìn)行。按照同步技中����,信息源是以文件的形式傳給分析器,一次只處理特定時間段內(nèi)產(chǎn)生的信息�����,并在入侵發(fā)生時將結(jié)果反饋給用戶�。很多早期的基于主機(jī)的IDS都采用這種方案�����。在實時連續(xù)型IDS中����,事件一發(fā)生,信息源就傳給分析引擎���,并且立刻得到處理和反映����。實時IDS是基于網(wǎng)絡(luò)IDS首選的方案。
按照信息源分類
按照信息源分類是目前最通用的劃分方法���,它分為基于主機(jī)的IDS�����、基于網(wǎng)絡(luò)的IDS和分布式IDS�����?����;谥鳈C(jī)的IDS通過分析來自單個的計算機(jī)系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊��?���;谥鳈C(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕獲并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊����。分布式IDS,能夠同時分析來自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流�����,系統(tǒng)由多個部件組成,采用分布式結(jié)構(gòu)���。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS�。濫用檢測型的IDS中���,首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫�����,當(dāng)收集到的信息與庫中的原型相符合時則報警�����。任何不符合特定條件的活動將會被認(rèn)為合法,因此這樣的系統(tǒng)虛警率很低�����。異常檢測型IDS是建立在如下假設(shè)的基礎(chǔ)之上的����,即任何一種入侵行為都能由于其偏離正?�;蛘咚谕南到y(tǒng)和用戶活動規(guī)律而被檢測出來���。所以它需要一個記錄合法活動的數(shù)據(jù)庫,由于庫的有限性使得虛警率比較高����。
按照響應(yīng)方式分類
按照響應(yīng)方式IDS劃分為主動響應(yīng)IDS和被動響應(yīng)IDS。當(dāng)特定的入侵被檢測到時����,主動IDS會采用以下三種響應(yīng):收集輔助信息;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞���;對攻擊者采取行動(這是一種不被推薦的做法�����,因為行為有點過激)����。被動響應(yīng)IDS則是將信息提供給系統(tǒng)用戶�,依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動。
4 IDS的評價標(biāo)準(zhǔn)
目前的入侵檢測技術(shù)發(fā)展迅速,應(yīng)用的技術(shù)也很廣泛�,如何來評價IDS的優(yōu)缺點
就顯得非常重要。評價IDS的優(yōu)劣主要有這樣幾個方面[5]:(1)準(zhǔn)確性�。準(zhǔn)確性是指IDS不會標(biāo)記環(huán)境中的一個合法行為為異常或入侵����。(2)性能。IDS的性能是指處理審計事件的速度�。對一個實時IDS來說,必須要求性能良好�。(3)完整性。完整性是指IDS能檢測出所有的攻擊�。(4)故障容錯(fault tolerance)。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時��,能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能�����。(5)自身抵抗攻擊能力���。這一點很重要,尤其是“拒絕服務(wù)”攻擊����。因為多數(shù)對目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS����,再實施對系統(tǒng)的攻擊���。(6)及時性(Timeliness)��。一個IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果�,以便在系統(tǒng)造成嚴(yán)重危害之前能及時做出反應(yīng)��,阻止攻擊者破壞審計數(shù)據(jù)或IDS本身���。
除了上述幾個主要方面��,還應(yīng)該考慮以下幾個方面:(1)IDS運行時��,額外的計算機(jī)資源的開銷�;(2)誤警報率/漏警報率的程度����;(3)適應(yīng)性和擴(kuò)展性;(4)靈活性�����;(5)管理的開銷;(6)是否便于使用和配置��。
5 IDS的發(fā)展趨
隨著入侵檢測技術(shù)的發(fā)展���,成型的產(chǎn)品已陸續(xù)應(yīng)用到實踐中��。入侵檢測系統(tǒng)的典型代表是ISS(國際互聯(lián)網(wǎng)安全系統(tǒng)公司)公司的RealSecure����。目前較為著名的商用入侵檢測產(chǎn)品還有:NAI公司的CyberCop Monitor����、Axent公司的NetProwler、CISCO公司的Netranger�、CA公司的Sessionwall-3等。國內(nèi)的該類產(chǎn)品較少�����,但發(fā)展很快���,已有總參北方所��、中科網(wǎng)威���、啟明星辰等公司推出產(chǎn)品。
人們在完善原有技術(shù)的基礎(chǔ)上�,又在研究新的檢測方法,如數(shù)據(jù)融合技術(shù)�����,主動的自主方法����,智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為:
(1)大規(guī)模分布式入侵檢測�。傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架,顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的 監(jiān)測�����,不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作�����。因此����,必須發(fā)展大規(guī)模的分布式入侵檢測技術(shù)���。
(2)寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)��,各種寬帶接入手段層出不窮��,如何實現(xiàn)高速網(wǎng)絡(luò)下的實時入侵檢測成為一個現(xiàn)實的問題���。
(3)入侵檢測的數(shù)據(jù)融合技術(shù)���。目前的IDS還存在著很多缺陷。首先��,目前的技術(shù)還不能對付訓(xùn)練有素的黑客的復(fù)雜的攻擊�����。其次�����,系統(tǒng)的虛警率太高�。最后�,系統(tǒng)對大量的數(shù)據(jù)處理��,非但無助于解決問題��,還降低了處理能力��。數(shù)據(jù)融合技術(shù)是解決這一系列問題的好方法�。
(4)與網(wǎng)絡(luò)安全技術(shù)相結(jié)合��。結(jié)合防火墻��,病毒防護(hù)以及電子商務(wù)技術(shù)�����,提供完整的網(wǎng)絡(luò)安全保障���。
第二章 網(wǎng)絡(luò)管理
2.1概述
隨著計算機(jī)技術(shù)和Internet的發(fā)展�,企業(yè)和政府部門開始大規(guī)模的建立網(wǎng)絡(luò)來推動電子商務(wù)和政務(wù)的發(fā)展�,伴隨著網(wǎng)絡(luò)的業(yè)務(wù)和應(yīng)用的豐富,對計算機(jī)網(wǎng)絡(luò)的管理與維護(hù)也就變得至關(guān)重要�����。人們普遍認(rèn)為,網(wǎng)絡(luò)管理是計算機(jī)網(wǎng)絡(luò)的關(guān)鍵技術(shù)之一���,尤其在大型計算機(jī)網(wǎng)絡(luò)中更是如此�。網(wǎng)絡(luò)管理就是指監(jiān)督��、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動的總稱�����。其目標(biāo)是確保計算機(jī)網(wǎng)絡(luò)的持續(xù)正常運行���,并在計算機(jī)網(wǎng)絡(luò)運行出現(xiàn)異常時能及時響應(yīng)和排除故障��。
關(guān)于網(wǎng)絡(luò)管理的定義目前很多�,但都不夠權(quán)威��。一般來說����,網(wǎng)絡(luò)管理就是通過某種方式對網(wǎng)絡(luò)進(jìn)行管理,使網(wǎng)絡(luò)能正常高效地運行�。其目的很明確,就是使網(wǎng)絡(luò)中的資源得到更加有效的利用�����。它應(yīng)維護(hù)網(wǎng)絡(luò)的正常運行,當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時能及時報告和處理��,并協(xié)調(diào)����、保持網(wǎng)絡(luò)系統(tǒng)的高效運行等。國際標(biāo)準(zhǔn)化組織(ISO)在ISO/IEC7498-4中定義并描述了開放系統(tǒng)互連(OSI)管理的術(shù)語和概念��,提出了一個OSI管理的結(jié)構(gòu)并描述了OSI管理應(yīng)有的行為���。它認(rèn)為,開放系統(tǒng)互連管理是指這樣一些功能����,它們控制、協(xié)調(diào)��、監(jiān)視OSI環(huán)境下的一些資源�����,這些資源保證OSI環(huán)境下的通信���。通常對一個網(wǎng)絡(luò)管理系統(tǒng)需要定義以下內(nèi)容:
系統(tǒng)的功能���。即一個網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有哪些功能�����。
網(wǎng)絡(luò)資源的表示���。網(wǎng)絡(luò)管理很大一部分是對網(wǎng)絡(luò)中資源的管理。網(wǎng)絡(luò)中的資源就是指網(wǎng)絡(luò)中的硬件���、軟件以及所提供的服務(wù)等�。而一個網(wǎng)絡(luò)管理系統(tǒng)必須在系統(tǒng)中將它們表示出來�,才能對其進(jìn)行管理。
網(wǎng)絡(luò)管理信息的表示��。網(wǎng)絡(luò)管理系統(tǒng)對網(wǎng)絡(luò)的管理主要靠系統(tǒng)中網(wǎng)絡(luò)管理信息的傳遞來實現(xiàn)����。網(wǎng)絡(luò)管理信息應(yīng)如何表示、怎樣傳遞��、傳送的協(xié)議是什么?這都是一個網(wǎng)絡(luò)管理系統(tǒng)必須考慮的問題。
系統(tǒng)的結(jié)構(gòu)�����。即網(wǎng)絡(luò)管理系統(tǒng)的結(jié)構(gòu)是怎樣的����。
網(wǎng)絡(luò)管理這一學(xué)科領(lǐng)域自20世紀(jì)80年代起逐漸受到重視,許多國際標(biāo)準(zhǔn)化組織���、論壇和科研機(jī)構(gòu)都先后開發(fā)了各類標(biāo)準(zhǔn)����、協(xié)議來指導(dǎo)網(wǎng)絡(luò)管理與設(shè)計��,但各種網(wǎng)絡(luò)系統(tǒng)在結(jié)構(gòu)上存在著或大或小的差異�����,至今還沒有一個大家都能接受的標(biāo)準(zhǔn)��。當(dāng)前�,網(wǎng)絡(luò)管理技術(shù)主要有以下三種:誕生于Internte家族的SNMP是專門用于對Internet進(jìn)行管理的�����,雖然它有簡單適用等特點,已成為當(dāng)前網(wǎng)絡(luò)界的實際標(biāo)準(zhǔn)��,但由于Internet本身發(fā)展的不規(guī)范性���,使SNMP有先天性的不足���,難以用于復(fù)雜的網(wǎng)絡(luò)管理,只適用于TCP/IP網(wǎng)絡(luò)�,在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本���,其中SNMPv2主要在安全方面有所補充��。隨著新的網(wǎng)絡(luò)技術(shù)及系統(tǒng)的研究與出現(xiàn)�,電信網(wǎng)��、有線網(wǎng)���、寬帶網(wǎng)等的融合���,使原來的SNMP已不能滿足新的網(wǎng)絡(luò)技術(shù)的要求���;CMIP可對一個完整的網(wǎng)絡(luò)管理方案提供全面支持,在技術(shù)和標(biāo)準(zhǔn)上比較成熟.最大的優(yōu)勢在于���,協(xié)議中的變量并不僅僅是與終端相關(guān)的一些信息�,而且可以被用于完成某些任務(wù)�����,但正由于它是針對SNMP的不足而設(shè)計的�����,因此過于復(fù)雜�����,實施費用過高����,還不能被廣泛接受��;分布對象網(wǎng)絡(luò)管理技術(shù)是將CORBA技術(shù)應(yīng)用于網(wǎng)絡(luò)管理而產(chǎn)生的�,主要采用了分布對象技術(shù)將所有的管理應(yīng)用和被管元素都看作分布對象,這些分布對象之間的交互就構(gòu)成了網(wǎng)絡(luò)管理.此方法最大的特點是屏蔽了編程語言、網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)的差異�,提供了多種透明性,因此適應(yīng)面廣�����,開發(fā)容易��,應(yīng)用前景廣闊.SNMP和CMIP這兩種協(xié)議由于各自有其擁護(hù)者��,因而在很長一段時期內(nèi)不會出現(xiàn)相互替代的情況��,而如果由完全基于CORBA的系統(tǒng)來取代�,所需要的時間、資金以及人力資源等都過于龐大�����,也是不能接受的.所以�����,CORBA��,SNMP���,CMIP相結(jié)合成為基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)是當(dāng)前研究的主要方向��。
網(wǎng)絡(luò)管理協(xié)議
網(wǎng)絡(luò)管理協(xié)議一般為應(yīng)用層級協(xié)議�����,它定義了網(wǎng)絡(luò)管理信息的類別及其相應(yīng)的確切格式���,并且提供了網(wǎng)絡(luò)管理站和網(wǎng)絡(luò)管理節(jié)點間進(jìn)行通訊的標(biāo)準(zhǔn)或規(guī)則��。
網(wǎng)絡(luò)管理系統(tǒng)通常由管理者(Manager)和( Agent)組成����,管理者從各那兒采集管理信息�����,進(jìn)行加工處理����,從而提供相應(yīng)的網(wǎng)絡(luò)管理功能,達(dá)到對管理之目的�����。即管理者與之間孺要利用網(wǎng)絡(luò)實現(xiàn)管理信息交換�����,以完成各種管理功能�����,交換管理信息必須遵循統(tǒng)一的通信規(guī)約��,我們稱這個通信規(guī)約為網(wǎng)絡(luò)管理協(xié)議��。
目前有兩大網(wǎng)管協(xié)議����,一個是由IETF提出來的簡單網(wǎng)絡(luò)管理協(xié)議SNMP,它是基于TCP / IP和Internet的��。因為TCP/IP協(xié)議是當(dāng)今網(wǎng)絡(luò)互連的工業(yè)標(biāo)準(zhǔn)�����,得到了眾多廠商的支持�,因此SNMP是一個既成事實的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)協(xié)議。SNMP的特點主要是采用輪詢監(jiān)控�����,管理者按一定時間間隔向者請求管理信息,根據(jù)管理信息判斷是否有異常事件發(fā)生����。輪詢監(jiān)控的主要優(yōu)點是對的要求不高;缺點是在廣域網(wǎng)的情形下�,輪詢不僅帶來較大的通信開銷,而且輪詢所獲得的結(jié)果無法反映最新的狀態(tài)����。
另一個是ISO定義的公共管理信息協(xié)議CMIP。CMIP是以O(shè)SI的七層協(xié)議棧作為基礎(chǔ)����,它可以對開放系統(tǒng)互連環(huán)境下的所有網(wǎng)絡(luò)資源進(jìn)行監(jiān)測和控制,被認(rèn)為是未來網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)協(xié)議��。CMIP的特點是采用委托監(jiān)控����,當(dāng)對網(wǎng)絡(luò)進(jìn)行監(jiān)控時,管理者只需向發(fā)出一個監(jiān)控請求�����,會自動監(jiān)視指定的管理對象,并且只是在異常事件(如設(shè)備���、線路故障)發(fā)生時才向管理者發(fā)出告警,而且給出一段較完整的故障報告���,包括故障現(xiàn)象����、故障原因��。委托監(jiān)控的主要優(yōu)點是網(wǎng)絡(luò)管理通信的開銷小���、反應(yīng)及時�����,缺點是對的軟硬件資源要求高�,要求被管站上開發(fā)許多相應(yīng)的程序���,因此短期內(nèi)尚不能得到廣泛的支持���。
網(wǎng)絡(luò)管理系統(tǒng)的組成
網(wǎng)絡(luò)管理的需求決定網(wǎng)管系統(tǒng)的組成和規(guī)模���,任何網(wǎng)管系統(tǒng)無論其規(guī)模大小如何,基本上都是由支持網(wǎng)管協(xié)議的網(wǎng)管軟件平臺����、網(wǎng)管支撐軟件、網(wǎng)管工作平臺和支撐網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備組成����。
網(wǎng)管軟件平臺提供網(wǎng)絡(luò)系統(tǒng)的配置、故障���、性能以及網(wǎng)絡(luò)用戶分布方面的基本管理��。目前決大多數(shù)網(wǎng)管軟件平臺都是在UNIX 和DOS/WINDOWS平臺上實現(xiàn)的��。目前公認(rèn)的三大網(wǎng)管軟件平臺是:HP View����、IBM Netview和SUN Netmanager�。雖然它們的產(chǎn)品形態(tài)有不同的操作系統(tǒng)的版本,但都遵循SNMP協(xié)議和提供類似的網(wǎng)管功能��。
不過,盡管上述網(wǎng)管軟件平臺具有類似的網(wǎng)管功能�����,但是它們在網(wǎng)管支撐軟件的支持、系統(tǒng)的可靠性��、用戶界面�����、操作功能���、管理方式和應(yīng)用程序接口�����,以及數(shù)據(jù)庫的支持等方面都存在差別��?�?赡茉谄渌僮飨到y(tǒng)之上實現(xiàn)的Netview�、 Openview����、Netmanager網(wǎng) 管 軟 件 平 臺 版 本 僅 是 標(biāo) 準(zhǔn)Netview���、 Openview��、Netmanager的子集��。例如,在MS Windows操作系統(tǒng)上實現(xiàn)的Netview 網(wǎng)管軟件平臺版本Netview for Windows 便僅僅只是Netview的子集。
網(wǎng)管支撐軟件是運行于網(wǎng)管軟件平臺之上���,支持面向特定網(wǎng)絡(luò)功能、網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)管理的支撐軟件系統(tǒng)�����。
網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商往往為其生產(chǎn)的網(wǎng)絡(luò)設(shè)備開發(fā)專門的網(wǎng)絡(luò)管理軟件�。這類軟件建立在網(wǎng)絡(luò)管理平臺之上,針對特定的網(wǎng)絡(luò)管理設(shè)備,通過應(yīng)用程序接口與平臺交互�����,并利用平臺提供的數(shù)據(jù)庫和資源��,實現(xiàn)對網(wǎng)絡(luò)設(shè)備的管理����,比如Cisco Works就是這種類型的網(wǎng)絡(luò)管理軟件,它可建立在HP Open View和IBM Netview等管理平臺之上���,管理廣域互聯(lián)網(wǎng)絡(luò)中的Cisco路由器及其它設(shè)備����。通過它���,可以實現(xiàn)對Cisco的各種網(wǎng)絡(luò)互聯(lián)設(shè)備(如路由器��、交換機(jī)等)進(jìn)行復(fù)雜網(wǎng)絡(luò)管理�����。
網(wǎng)絡(luò)管理的體系結(jié)構(gòu)
網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)(簡稱網(wǎng)絡(luò)拓?fù)洌┦菦Q定網(wǎng)絡(luò)管理性能的重要因素之一。通常可以分為集中式和非集中式兩類體系結(jié)構(gòu)����。
目前,集中式網(wǎng)管體系結(jié)構(gòu)通常采用以平臺為中心的工作模式��,該工作模式把單一的管理者分成兩部分:管理平臺和管理應(yīng)用�����。管理平臺主要關(guān)心收集的信息并進(jìn)行簡單的計算�,而管理應(yīng)用則利用管理平臺提供的信息進(jìn)行決策和執(zhí)行更高級的功能。
非集中方式的網(wǎng)絡(luò)管理體系結(jié)構(gòu)包括層次方式和分布式����。層次方式采用管理者的管理者M(jìn)OM(Manager of manager)的概念,以域為單位����,每個域有一個管理者�,它們之間的通訊通過上層的MOM�,而不直接通訊。層次方式相對來說具有一定的伸縮性:通過增加一級MOM��,層次可進(jìn)一步加深�����。分布式是端對端(peer to peer)的體系結(jié)構(gòu)���,整個系統(tǒng)有多個管理方��,幾個對等的管理者同時運行于網(wǎng)絡(luò)中�����,每個管理者負(fù)責(zé)管理系統(tǒng)中一個特定部分 “域”���,管理者之間可以相互通訊或通過高級管理者進(jìn)行協(xié)調(diào)。
對于選擇集中式還是非集中式�,這要根據(jù)實際場合的需要來決定���。而介于兩者之間的部分分布式網(wǎng)管體系結(jié)構(gòu),則是近期發(fā)展起來的兼顧兩者優(yōu)點的一種新型網(wǎng)管體系結(jié)構(gòu)
2.2常見的幾種網(wǎng)絡(luò)管理技術(shù)
基于WEB的網(wǎng)絡(luò)管理模式
隨著 Internet技術(shù)的廣泛應(yīng)用�����,Intranet也正在悄然取代原有的企業(yè)內(nèi)部局域網(wǎng)�,由于異種平臺的存在及網(wǎng)絡(luò)管理方法和模型的多樣性����, 使得網(wǎng)絡(luò)管理軟件開發(fā)和維護(hù)的費用很高, 培訓(xùn)管理人員的時間很長���,因此人們迫切需要尋求高效���、方便的網(wǎng)絡(luò)管理模式來適應(yīng)網(wǎng)絡(luò)高速發(fā)展的新形勢。隨著Intranet和WEB 及其開發(fā)工具的迅速發(fā)展�,基于WEB的網(wǎng)絡(luò)管理技術(shù)也因此應(yīng)運而生?;赪EB的網(wǎng)管解決方案主要有以下幾方面的優(yōu)點:(1)地理上和系統(tǒng)間的可移動性:系統(tǒng)管理員可以在Intranet 上的任何站點或Internet的遠(yuǎn)程站點上利用 WEB 瀏覽器透明存取網(wǎng)絡(luò)管理信息;(2)統(tǒng)一的WEB瀏覽器界面方便了用戶的使用和學(xué)習(xí)���,從而可節(jié)省培訓(xùn)費用和管理開銷�;(3)管理應(yīng)用程序間的平滑鏈接:由于管理應(yīng)用程序獨立于平臺,可以通過標(biāo)準(zhǔn)的HTTP協(xié)議將多個基于WEB的管理應(yīng)用程序集成在一起�,實現(xiàn)管理應(yīng)用程序間的透明移動和訪問;(4)利用 JAVA技術(shù)能夠迅速對軟件進(jìn)行升級��。 為了規(guī)范和促進(jìn)基于WEB的網(wǎng)管系統(tǒng)開發(fā)����,目前已相繼公布了兩個主要推薦標(biāo)準(zhǔn):WEBM和JMAPI。兩個推薦標(biāo)準(zhǔn)各有其特色�,并基于不同的原理提出。
WEBM方案仍然支持現(xiàn)存的管理標(biāo)準(zhǔn)和協(xié)議�����,它通過WEB技術(shù)對不同管理平臺所提供的分布式管理服務(wù)進(jìn)行集成�,并且不會影響現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)。 JMAPI 是一種輕型的管理基礎(chǔ)結(jié)構(gòu)��,采用JMAPI來開發(fā)集成管理工具存在以下優(yōu)點:平臺無關(guān)�����、高度集成化���、消除程序版本分發(fā)問題�、安全性和協(xié)議無關(guān)性。
2.分布對象網(wǎng)絡(luò)管理技術(shù)
目前廣泛采用的網(wǎng)絡(luò)管理系統(tǒng)模式是一種基于Client/Server技術(shù)的集中式平臺模式��。由于組織結(jié)構(gòu)簡單���,自應(yīng)用以來�����,已經(jīng)得到廣泛推廣����,但同時也存在著許多缺陷:一個或幾個站點負(fù)責(zé)收集分析所有網(wǎng)絡(luò)節(jié)點信息����,并進(jìn)行相應(yīng)管理���,造成中心網(wǎng)絡(luò)管理站點負(fù)載過重���;所有信息送往中心站點處理,造成此處通信瓶頸����;每個站點上的程序是預(yù)先定義的���,具有固定功能,不利于擴(kuò)展�。隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模尤其是因特網(wǎng)的發(fā)展,集中式在可擴(kuò)展性�、可靠性、有效性���、靈活性等方面有很大的局限��,已不能適應(yīng)發(fā)展的需要.
CORBA技術(shù)
CORBA技術(shù)是對象管理組織OMG推出的工業(yè)標(biāo)準(zhǔn)��,主要思想是將分布計算模式和面向?qū)ο笏枷虢Y(jié)合在一起�����,構(gòu)建分布式應(yīng)用��。CORBA的主要目標(biāo)是解決面向?qū)ο蟮漠悩?gòu)應(yīng)用之間的互操作問題�����,并提供分布式計算所需要的一些其它服務(wù)�����。OMG是CORBA平臺的核心�����,
它用于屏蔽與底層平臺有關(guān)的細(xì)節(jié)�,使開發(fā)者可以集中精力去解決與應(yīng)用相關(guān)的問題,而不必自己去創(chuàng)建分布式計算基礎(chǔ)平臺��。CORBA將建立在ORB之上的所有分布式應(yīng)用看作分布計算對象�,每個計算對象向外提供接口,任何別的對象都可以通過這個接口調(diào)用該對象提供的服務(wù)�。CORBA同時提供一些公共服務(wù)設(shè)施,例如名字服務(wù)����、事務(wù)服務(wù)等���,借助于這些服務(wù)��,CORBA可以提供位置透明性���、移動透明性等分布透明性。
CORBA的一般結(jié)構(gòu)
基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)通常按照Client/Server的結(jié)構(gòu)進(jìn)行構(gòu)造。其中��,服務(wù)方是指針對網(wǎng)絡(luò)元素和數(shù)據(jù)庫組成的被管對象進(jìn)行的一些基本網(wǎng)絡(luò)服務(wù)��,例如配置管理��、性能管理等.客戶方則是面向用戶的一些界面�����,或者提供給用戶進(jìn)一步開發(fā)的管理接口等�����。其中�����,從網(wǎng)絡(luò)元素中獲取的網(wǎng)絡(luò)管理信息通常需要經(jīng)過CORBA/SNMP網(wǎng)關(guān)或CORBA/CMIP網(wǎng)關(guān)進(jìn)行轉(zhuǎn)換��,這一部分在有的網(wǎng)絡(luò)管理系統(tǒng)中被抽象成CORBA的概念.從以上分析可以看出��,運用CORBA技術(shù)完全能夠?qū)崿F(xiàn)標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理系統(tǒng)�����。不僅如此,由于CORBA是一種分布對象技術(shù)���,基于CORBA的網(wǎng)絡(luò)管理系統(tǒng)能夠克服傳統(tǒng)網(wǎng)絡(luò)管理技術(shù)的不足����,在網(wǎng)絡(luò)管理的分布性�����、可靠性和易開發(fā)性方面達(dá)到一個新的高度���。
2.3統(tǒng)一不同的網(wǎng)絡(luò)管理系統(tǒng)面臨的問題
統(tǒng)一的不同層面
網(wǎng)絡(luò)管理的統(tǒng)一存在三個層次�。
站點級的統(tǒng)計�����,這是最低級的統(tǒng)一��,不同的網(wǎng)絡(luò)管理系統(tǒng)在同一服務(wù)器上運行��,相互獨立���,是不同的NMS。
GUI級的統(tǒng)一,指不同的網(wǎng)絡(luò)管理系統(tǒng)操作界面風(fēng)格統(tǒng)一�����,運用的術(shù)語相同����,管理員面對的是一種操作語言,這是一種表面上的統(tǒng)一�,具有友好的一次性學(xué)習(xí)的界面。
管理應(yīng)用級的統(tǒng)一�,這是最高級別的統(tǒng)一。在這個級別上�,不但實現(xiàn)了GUI的統(tǒng)一,各種網(wǎng)絡(luò)管理系統(tǒng)的管理應(yīng)用程序按照統(tǒng)一標(biāo)準(zhǔn)設(shè)計���,應(yīng)用程序間可進(jìn)行信息共享和關(guān)聯(lián)操作�����。在這一層面上的統(tǒng)一實現(xiàn)了對異構(gòu)網(wǎng)的綜合分析與管理���,進(jìn)行關(guān)聯(lián)操作,網(wǎng)管系統(tǒng)可具有推理判斷能力�。
統(tǒng)一的內(nèi)容
網(wǎng)絡(luò)管理系統(tǒng)統(tǒng)一可從三個方面依次去實現(xiàn)�,即操作界面的統(tǒng)一����、網(wǎng)管協(xié)議的統(tǒng)網(wǎng)管功能的統(tǒng)一。
界面的統(tǒng)一
網(wǎng)絡(luò)管理系統(tǒng)是管理的工具�����,但歸根到底是要人去操作管理�����,操作界面的優(yōu)劣會對管理員產(chǎn)生很大影響��。不同網(wǎng)管系統(tǒng)具有不同的操作界面����,要求管理員分別學(xué)習(xí),或增加管理員人數(shù)�,形成人力浪費。現(xiàn)在沒有統(tǒng)一的網(wǎng)管用戶界面的統(tǒng)一標(biāo)準(zhǔn)?�,F(xiàn)有的網(wǎng)管系統(tǒng)幾乎都實現(xiàn)了圖形界面�,但既有基于UNIX操作系統(tǒng)的又有基于WINDOWS操作系統(tǒng),且界面的格式千差萬別�����,給管理員的工作增加困難�。
網(wǎng)管協(xié)議的統(tǒng)一
管理協(xié)議是NMS核心和管理之間進(jìn)行信息交換遵循的標(biāo)準(zhǔn),是網(wǎng)管系統(tǒng)統(tǒng)一的關(guān)鍵所在�。目前流行的兩種網(wǎng)管協(xié)議為SNMP(Simple Network Management Protocal)和CMIS/CMIP(Common Mangement Information Protocal).SNMP是由互聯(lián)網(wǎng)活動委員會IAB提出的基于TCP/IP網(wǎng)管協(xié)議,CMIP是由國際標(biāo)準(zhǔn)化組織ISO開發(fā)的基于網(wǎng)絡(luò)互聯(lián)的網(wǎng)管協(xié)議���。網(wǎng)管協(xié)議的統(tǒng)一就是指這兩種協(xié)議的統(tǒng)一
網(wǎng)管功能的統(tǒng)一
在ISO標(biāo)準(zhǔn)中定義了配置管理�、故障管理���、性能管理�、安全管理�、計費管理等領(lǐng)域。現(xiàn)有的網(wǎng)管系統(tǒng)在網(wǎng)管規(guī)范尚未成熟就進(jìn)行了開發(fā)��,大都是實現(xiàn)了部分模塊的部分功能�����。這些網(wǎng)管系統(tǒng)功能單一��,相互獨立����,不能實現(xiàn)信息的共享�����。不能從宏觀上實現(xiàn)管理����,不利于網(wǎng)絡(luò)的綜合管理�。
統(tǒng)一的策略
將多個網(wǎng)絡(luò)管理系統(tǒng)統(tǒng)一在一起的方法有三種,一種是格式轉(zhuǎn)換法���,即各個子網(wǎng)管理系統(tǒng)通過程序進(jìn)行格式的轉(zhuǎn)換����,以便相互識別和共享資源���,是一種分散式管理方式����。另一種使用分層網(wǎng)管平臺���,即建立更高級的管理系統(tǒng)���,高級網(wǎng)管系統(tǒng)和低級網(wǎng)管系統(tǒng)間進(jìn)行通信���,分層管理�����,是一種分布式管理方式�。第三種是標(biāo)準(zhǔn)化方法,是遵循標(biāo)準(zhǔn)的規(guī)范和協(xié)議�����,建立的綜合網(wǎng)絡(luò)管理系統(tǒng)��。
使用分層的網(wǎng)管平臺是當(dāng)前較為流行的方法���,如現(xiàn)在廣泛研究和討論的基于CORBA的TMN(Telecomunication Management Network)就是將TMN中的管理者通過ORB(Object Request Broker)連接起來����,實現(xiàn)不同管理系統(tǒng)的統(tǒng)一�。
格式轉(zhuǎn)換法是目前使用較多的方法,如運營商要求網(wǎng)管系統(tǒng)對外提供統(tǒng)一的數(shù)據(jù)收集����、告警信息����。
協(xié)議標(biāo)準(zhǔn)化方法是統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)的趨勢和方向,電信管理網(wǎng)TMN就是在電信領(lǐng)域內(nèi)的一種標(biāo)準(zhǔn)協(xié)議���,使得不同的廠商��、不同的軟硬件網(wǎng)管產(chǎn)品的統(tǒng)一管理成為可能��。標(biāo)準(zhǔn)化實現(xiàn)統(tǒng)一的網(wǎng)管功能���,包括網(wǎng)管協(xié)議的標(biāo)準(zhǔn)化、管理信息集模型的標(biāo)準(zhǔn)化和高層管理應(yīng)用程序功能的統(tǒng)一規(guī)劃���。
格式轉(zhuǎn)換和應(yīng)用網(wǎng)管平臺的策略是基于現(xiàn)有網(wǎng)管系統(tǒng)的基礎(chǔ)上統(tǒng)一網(wǎng)管系統(tǒng)��,而標(biāo)準(zhǔn)法策略則不考慮現(xiàn)有網(wǎng)管系統(tǒng)而重新設(shè)計一套新的標(biāo)準(zhǔn)�,或是對現(xiàn)有網(wǎng)絡(luò)管理系統(tǒng)進(jìn)行較大改進(jìn)�,考慮到我們當(dāng)前的網(wǎng)絡(luò)管理發(fā)展的現(xiàn)狀,還是以格式轉(zhuǎn)換和應(yīng)用網(wǎng)管平臺方式統(tǒng)一網(wǎng)絡(luò)系統(tǒng)�����。
網(wǎng)絡(luò)管理系統(tǒng)實現(xiàn)統(tǒng)一的方法
當(dāng)前網(wǎng)絡(luò)管理的統(tǒng)一主要涉及兩個方面,一是網(wǎng)管協(xié)議的統(tǒng)一�����。另一種是分布系統(tǒng)的統(tǒng)一�����,即在CORBA環(huán)境下的統(tǒng)一��。它是基于面向?qū)ο蟮木W(wǎng)管平臺和格式轉(zhuǎn)換的策略��。
2.4網(wǎng)絡(luò)管理協(xié)議SNMP和CMIP的統(tǒng)一
SNMP和CMIP在它們的范圍�、復(fù)雜性��、以及解決網(wǎng)絡(luò)管理問題的方法方面有很大的不同�����。SNMP被設(shè)計的很簡單�����,使它非常易于在TCP/IP系統(tǒng)中普及。目前這已經(jīng)成為事實��?�?墒沁@一特點也不太適合大型的��、復(fù)雜的����、多企業(yè)的網(wǎng)絡(luò)。相對應(yīng)的����,CMIP被設(shè)計的比較通用和靈活。但這也同時提高了復(fù)雜性���。SNMP和CMIP的統(tǒng)一是指分別支持這兩種協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)信息互通���,互相兼容。
SNMP和CMIP統(tǒng)一有兩種思想��,一種是兩種協(xié)議共存���,一種是兩種協(xié)議的互作用��。
協(xié)議共存可有三種方法實現(xiàn)��,一是建立雙協(xié)議棧�����,二是建立混合協(xié)議棧�����,三是通用應(yīng)用程序接口(APIs)�。雙協(xié)議棧的方法要求被管設(shè)備同時支持兩種體系結(jié)構(gòu),但這要求被管設(shè)備要有很高的處理能力和存儲能力���,開銷大,不實用�。混合協(xié)議棧就是建立一種底層協(xié)議棧同時支持這兩種協(xié)議��,這樣運行在該協(xié)議棧上的管理系統(tǒng)可同時管理支持SNMP的設(shè)備和支持CMIP的設(shè)備����,為了使CMIP能在內(nèi)存有限的設(shè)備上運行,IBM和3COM聯(lián)合為IEEE802.1b開發(fā)了一個特殊的邏輯鏈路控制上的CMIP(CMOL)���,因為它取消了很多高層協(xié)議開銷��,減少了對設(shè)備處理能力和內(nèi)存的需求�,并且不需要考慮底層的協(xié)議,但同時由于缺少網(wǎng)絡(luò)層��,失去了跨越互聯(lián)網(wǎng)絡(luò)的能力�����。多廠商管理平臺定義了一套開放的應(yīng)用程序接口(APIs)����,允許開發(fā)商開發(fā)管理軟件而不用關(guān)心管理協(xié)議的一些細(xì)節(jié)描述、數(shù)據(jù)定義�、和特殊的用戶接口。如圖2所示為HP OpenView利用XMP(X/Open Management Protocol) API來實現(xiàn)多協(xié)議管理平臺的結(jié)構(gòu)�����。其中Postmaster 用來管理在網(wǎng)絡(luò)對象間的通信���,如管理者和之間的請求和相應(yīng)���,而ORS(Object Registration Services)為每個產(chǎn)生一個目錄����,紀(jì)錄它們的位置和采用的協(xié)議����。
協(xié)議共存雖然能實現(xiàn)SNMP和CMIP的綜合,但協(xié)議之間沒有互作用能力不能很好的實現(xiàn)協(xié)作對網(wǎng)絡(luò)的分布式管理��。 對于SNMP內(nèi)部不支持SNMP的設(shè)備可采用委托PROXY的方式解決����。對于TMN/CMIP內(nèi)部非Q3或Qx接口的設(shè)備可通過增加適配器進(jìn)行轉(zhuǎn)換。因此可通過增加中間的方式來解決SNMP和CMIP之間統(tǒng)一問題����。由于CMIP的強(qiáng)大的對等能力和對復(fù)雜系統(tǒng)的模型能力即事件驅(qū)動機(jī)制,使得它更適于跨管理域?qū)崿F(xiàn)對等實體間的互作用���,以分層分布的方式管理網(wǎng)絡(luò),由于它對設(shè)備的性能要求較高�,因此在這種層次結(jié)構(gòu)中,可充當(dāng)中央管理站和中間管理站����,而SNMP可用于下層管理簡單設(shè)備�����。如圖3給出了協(xié)議互作用的管理模型
基于CORBA的網(wǎng)管系統(tǒng)的統(tǒng)一
利用面向?qū)ο蟮牡募夹g(shù)對網(wǎng)絡(luò)資源進(jìn)行描述是一種有效的方式��。在分層的網(wǎng)絡(luò)管理平臺上��,利用面向?qū)ο蟮乃枷?����,將網(wǎng)絡(luò)資源和網(wǎng)絡(luò)管理資源進(jìn)行抽象��。管理平臺為不同應(yīng)用系統(tǒng)和高層管理者提供的是一組管理對象��,對象由屬性和方法組成���。利用對象的封裝性可以使管理應(yīng)用和高層管理者面對在較高層次上進(jìn)行抽象的管理對象,屏蔽了實現(xiàn)各種管理功能的細(xì)節(jié)���。為應(yīng)用提供了對網(wǎng)絡(luò)資源進(jìn)行描述和管理的高級抽象��,易于實現(xiàn)各種管理功能�。而對象類的繼承性便于擴(kuò)充和增加管理對象類����,繼承性支持系統(tǒng)開發(fā)過程中的可重用性��。
在應(yīng)用環(huán)境中����,管理應(yīng)用和高層管理節(jié)點與管理平臺是基于C/S(顧客/服務(wù)器)模式的分布式結(jié)構(gòu)���,即管理應(yīng)用節(jié)點和高層管理者節(jié)點與他們所以來的平臺節(jié)點可能處于不同的地理位置�����。因此考慮基于何種結(jié)構(gòu)��,采用什么樣的協(xié)議實現(xiàn)分布對象的訪問����。
多廠商設(shè)備的環(huán)境的網(wǎng)絡(luò)管理一直是網(wǎng)絡(luò)管理研究和實現(xiàn)的難點�����。鑒于CORBA的分布式面向?qū)ο蟮奶攸c����,在網(wǎng)管系統(tǒng)的開發(fā)中加以引用。
本文采用OMG的CORBA(Common Object Request Broker Architecture)做為實現(xiàn)分布管理對象訪問的設(shè)施�。CORBA是很有應(yīng)用前景的系統(tǒng)集成標(biāo)準(zhǔn),它提供了面向?qū)ο髴?yīng)用的互操作標(biāo)準(zhǔn)���。CORBA位分布對象環(huán)境描述了面向?qū)ο蟮脑O(shè)施-----對象請求��,他提供了分布對象進(jìn)行請求和應(yīng)答的機(jī)制����。這樣CORBA提供了在異構(gòu)分布環(huán)境下不同機(jī)器的不同應(yīng)用的互操作能力和將多個對象系統(tǒng)無縫互連接的能力��。CORBA機(jī)制是獨立于任何程序設(shè)計語言的���,對象的接口描述在IDL(Interface Description Language)中��。CORBA支持兩種標(biāo)準(zhǔn)協(xié)議-----GIOP和IIOP���。GIOP是信息表示協(xié)議,描述了所傳輸信息的格式�����,而IIOP則描述了CORBA所支持的傳輸協(xié)議,即GIOP信息如何進(jìn)行交換
管理不同廠商應(yīng)用和高層管理者如何使用CORBA機(jī)制訪問相應(yīng)的管理平臺所提供的管理對象�。使得處于不同節(jié)點的不同廠商的管理應(yīng)用和高層管理者能無縫使用分布對象提供的功能。在這兩種情況下原理是相同的�,只是功能不同,在第一種情況下��,不同廠商的管理應(yīng)用腳本程序通過CORBA機(jī)制訪問管理平臺上的應(yīng)用管理對象���,以實現(xiàn)同一層次上的管理功能�����。在第二種情況下�,高層管理平臺上的腳本進(jìn)程通過CORBA機(jī)制訪問底層管理者為高層提供的管理對象以實現(xiàn)高層對底層的網(wǎng)絡(luò)管理功能���。
CORBA機(jī)制除支持客戶端對服務(wù)器端所提供的分布對象的訪問外�,還提供分布對象服務(wù)功能------COSS,它包括分布對象訪問的安全機(jī)制���、事件機(jī)制等����。在網(wǎng)絡(luò)管理應(yīng)用中�,除主動詢問網(wǎng)絡(luò)管理信息以管理、監(jiān)視網(wǎng)絡(luò)的運行狀態(tài)外,還有一種應(yīng)用是被管理對象在發(fā)生故障和事件時���,向管理者提出事件處理請求。CORBA中的事件服務(wù)機(jī)制恰好可以滿足這一需求����。
2.5網(wǎng)絡(luò)管理分類及功能
事實上,網(wǎng)絡(luò)管理技術(shù)是伴隨著計算機(jī)��、網(wǎng)絡(luò)和通信技術(shù)的發(fā)展而發(fā)展的��,二者相輔相成��。從網(wǎng)絡(luò)管理范疇來分類�����,可分為對網(wǎng)“路”的管理���。即針對交換機(jī)��、路由器等主干網(wǎng)絡(luò)進(jìn)行管理���;對接入設(shè)備的管理,即對內(nèi)部PC、服務(wù)器�、交換機(jī)等進(jìn)行管理;對行為的管理��。即針對用戶的使用進(jìn)行管理���;對資產(chǎn)的管理�,即統(tǒng)計IT軟硬件的信息等�。根據(jù)網(wǎng)管軟件的發(fā)展歷史,可以將網(wǎng)管軟件劃分為三代:
第一代網(wǎng)管軟件就是最常用的命令行方式�,并結(jié)合一些簡單的網(wǎng)絡(luò)監(jiān)測工具,它不僅要求使用者精通網(wǎng)絡(luò)的原理及概念�����,還要求使用者了解不同廠商的不同網(wǎng)絡(luò)設(shè)備的配置方法�����。
第二代網(wǎng)管軟件有著良好的圖形化界面��。用戶無須過多了解設(shè)備的配置方法���,就能圖形化地對多臺設(shè)備同時進(jìn)行配置和監(jiān)控�。大大提高了工作效率,但仍然存在由于人為因素造成的設(shè)備功能使用不全面或不正確的問題數(shù)增大���,容易引發(fā)誤操作�。
第三代網(wǎng)管軟件相對來說比較智能����,是真正將網(wǎng)絡(luò)和管理進(jìn)行有機(jī)結(jié)合的軟件系統(tǒng)����,具有“自動配置”和“自動調(diào)整”功能。對網(wǎng)管人員來說��,只要把用戶情況�����、設(shè)備情況以及用戶與網(wǎng)絡(luò)資源之間的分配關(guān)系輸入網(wǎng)管系統(tǒng)���,系統(tǒng)就能自動地建立圖形化的人員與網(wǎng)絡(luò)的配置關(guān)系�,并自動鑒別用戶身份�,分配用戶所需的資源(如電子郵件、Web��、文檔服務(wù)等)。
根據(jù)國際標(biāo)準(zhǔn)化組織定義網(wǎng)絡(luò)管理有五大功能:故障管理����、配置管理、性能管理��、安全管理��、計費管理����。對網(wǎng)絡(luò)管理軟件產(chǎn)品功能的不同,又可細(xì)分為五類��,即網(wǎng)絡(luò)故障管理軟件�,網(wǎng)絡(luò)配置管理軟件,網(wǎng)絡(luò)性能管理軟件�,網(wǎng)絡(luò)服務(wù)/安全管理軟件,網(wǎng)絡(luò)計費管理軟件����。
下面我們來簡單介紹一下大家熟悉的網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)配置管理��、網(wǎng)絡(luò)性能管理���、網(wǎng)絡(luò)計費管理和網(wǎng)絡(luò)安全管理五個方面網(wǎng)絡(luò)管理功能:
ISO在ISO/IEC 7498-4文檔中定義了網(wǎng)絡(luò)管理的五大功能,并被廣泛接受�����。這五大功能是:
(1)故障管理(fault management)
故障管理是網(wǎng)絡(luò)管理中最基本的功能之一��。用戶都希望有一個可靠的計算機(jī)網(wǎng)絡(luò)�。當(dāng)網(wǎng)絡(luò)中某個組成失效時,網(wǎng)絡(luò)管理器必須迅速查找到故障并及時排除。通常不大可能迅速隔離某個故障,因為網(wǎng)絡(luò)故障的產(chǎn)生原因往往相當(dāng)復(fù)雜,特別是當(dāng)故障是由多個網(wǎng)絡(luò)組成共同引起的���。在此情況下,一般先將網(wǎng)絡(luò)修復(fù),然后再分析網(wǎng)絡(luò)故障的原因。分析故障原因?qū)τ诜乐诡愃乒收系脑侔l(fā)生相當(dāng)重要�。網(wǎng)絡(luò)故障管理包括故障檢測、隔離和糾正三方面,應(yīng)包括以下典型功能:
.維護(hù)并檢查錯誤日志
.接受錯誤檢測報告并做出響應(yīng)
.跟蹤����、辨認(rèn)錯誤
.執(zhí)行診斷測試
.糾正錯誤
對網(wǎng)絡(luò)故障的檢測依據(jù)對網(wǎng)絡(luò)組成部件狀態(tài)的監(jiān)測。不嚴(yán)重的簡單故障通常被記錄在錯誤日志中,并不作特別處理;而嚴(yán)重一些的故障則需要通知網(wǎng)絡(luò)管理器,即所謂的"警報"�����。 一般網(wǎng)絡(luò)管理器應(yīng)根據(jù)有關(guān)信息對警報進(jìn)行處理,排除故障����。當(dāng)故障比較復(fù)雜時,網(wǎng)絡(luò)管理 器應(yīng)能執(zhí)行一些診斷測試來辨別故障原因����。
(2)計費管理(accounting management)
計費管理記錄網(wǎng)絡(luò)資源的使用,目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價�����。它對一些公共商業(yè)網(wǎng)絡(luò)尤為重要��。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費用和代價,以及已經(jīng)使用的資源�。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費用,從而控制用戶過多占用和使用網(wǎng)絡(luò) 資源。這也從另一方面提高了網(wǎng)絡(luò)的效率�����。另外,當(dāng)用戶為了一個通信目的需要使用多個網(wǎng)絡(luò)中的資源時,計費管理應(yīng)可計算總計費用����。
(3)配置管理(configuration management)
配置管理同樣相當(dāng)重要。它初始化網(wǎng)絡(luò)����、并配置網(wǎng)絡(luò),以使其提供網(wǎng)絡(luò)服務(wù)。配置管理 是一組對辨別����、定義�、控制和監(jiān)視組成一個通信網(wǎng)絡(luò)的對象所必要的相關(guān)功能,目的是為了 實現(xiàn)某個特定功能或使網(wǎng)絡(luò)性能達(dá)到最優(yōu)����。
這包括:
.設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)
.被管對象和被管對象組名字的管理
.初始化或關(guān)閉被管對象
.根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息
.獲取系統(tǒng)重要變化的信息
.更改系統(tǒng)的配置
(4)性能管理(performance management)
性能管理估價系統(tǒng)資源的運行狀況及通信效率等系統(tǒng)性能。其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機(jī)制���。性能分析的結(jié)果可能會觸發(fā)某個診斷測試過程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能����。性能管理收集分析有關(guān)被管網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息,并維持和分析性能日志��。一些典型的功能包括:
.收集統(tǒng)計信息
.維護(hù)并檢查系統(tǒng)狀態(tài)日志
.確定自然和人工狀況下系統(tǒng)的性能
.改變系統(tǒng)操作模式以進(jìn)行系統(tǒng)性能管理的操作
(5)安全管理(security management)
安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一,而用戶對網(wǎng)絡(luò)安全的要求又相當(dāng)高,因此網(wǎng)絡(luò)安全管理非常重要����。網(wǎng)絡(luò)中主要有以下幾大安全問題:
網(wǎng)絡(luò)數(shù)據(jù)的私有性(保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵 入者非法獲取),
授權(quán)(authentication)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯誤信息),
訪問控制(控制訪問控制(控制對網(wǎng)絡(luò)資源的訪問)�。
相應(yīng)的,網(wǎng)絡(luò)安全管理應(yīng)包括對授權(quán)機(jī)制、訪問控制 ����、加密和加密關(guān)鍵字的管理,另外還要維護(hù)和檢查安全日志。包括:
.創(chuàng)建���、刪除�、控制安全服務(wù)和機(jī)制
.與安全相關(guān)信息的分布
.與安全相關(guān)事件的報告
網(wǎng)絡(luò)管理中的關(guān)鍵
網(wǎng)絡(luò)迅速發(fā)展,導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)更為復(fù)雜���;網(wǎng)絡(luò)應(yīng)用的日新月異��,讓網(wǎng)絡(luò)管理員每天都要面對新的問題�����。很多企事業(yè)單位��,在遇到網(wǎng)絡(luò)問題不知道應(yīng)該如何去解決�,看流量�����,拔網(wǎng)線等手段�����,排查周期長����,也很難真正找出問題。
網(wǎng)絡(luò)發(fā)展到一定階段,必然要考慮到網(wǎng)絡(luò)性能�、網(wǎng)絡(luò)故障與網(wǎng)絡(luò)安全性問題。只有通過運用網(wǎng)絡(luò)分析技術(shù)對網(wǎng)絡(luò)流通數(shù)據(jù)的清晰認(rèn)識���,才能為故障的排查����,性能的提升����,以及網(wǎng)絡(luò)安全的解決提供可靠的數(shù)據(jù)依據(jù)。
信息應(yīng)用與治理
網(wǎng)絡(luò)最大的價值�����,是在于信息化的應(yīng)用�����。當(dāng)出現(xiàn)故障不能及時解決���,既使有再好的電子商務(wù)、電子政務(wù)���,也只是一個擺設(shè)��。無論是安全���、性能還是故障性問題��,不能快速解決��,給企業(yè)帶來的是難以衡量的損失����。
治理并不是簡單的網(wǎng)絡(luò)管理�,它需要管理者對網(wǎng)絡(luò)中所有設(shè)備完全掌握,包括每個網(wǎng)卡地址��,以及所處的位置���。通過對網(wǎng)絡(luò)傳輸中的數(shù)據(jù)進(jìn)行全面監(jiān)控分析����,才能從網(wǎng)絡(luò)底層數(shù)據(jù)獲取各種網(wǎng)絡(luò)應(yīng)用行為造成的網(wǎng)絡(luò)問題�����,并快速的定位到網(wǎng)卡的位置。從而在安全策略上更好的防范��,對故障和性能更合理的管理��。
一勞永逸的誤區(qū)
從管理角度的考慮�,往往期望絡(luò)故障和安全性問題可以自動解決。但歷經(jīng)多年�,沒有任何產(chǎn)品能做到。雖然許多企業(yè)部署了非常好的安全防護(hù)產(chǎn)品�����,但仍然會受到網(wǎng)絡(luò)攻擊和病毒危害����。根本原因在于,網(wǎng)絡(luò)應(yīng)用本身就在不斷的發(fā)展����,新的病毒以及病毒變種,都很難被基于特征庫或病毒庫的產(chǎn)品所識別�。要解決這些問題,則要求網(wǎng)絡(luò)管理員隨時都能查看到網(wǎng)絡(luò)中真實的數(shù)據(jù)���,最快的發(fā)現(xiàn)引起問題的原因��。
網(wǎng)絡(luò)拓?fù)鋱DVS矩陣圖
網(wǎng)絡(luò)拓?fù)鋱D要求這些交換設(shè)備都必須支持SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)����,它能直觀能看到網(wǎng)絡(luò)結(jié)構(gòu)���,但看不到終端主機(jī)�����;它能看到設(shè)備斷網(wǎng)情況和粗略流量����,但對網(wǎng)絡(luò)問題的解決能力并不實用�。
從技術(shù)趨勢來看,矩陣圖(Matrix)將更適合網(wǎng)絡(luò)管理的需要����。矩陣圖也被稱為主機(jī)連接圖,可以監(jiān)控每臺主機(jī)(包括交換設(shè)備)之間的通訊連接����,極大的提高了監(jiān)控范圍,監(jiān)控范圍深入到每臺主機(jī)之間的各種應(yīng)用���,包括通訊�����、資源占用�、活躍程度、服務(wù)應(yīng)用等�,管理者可以監(jiān)控到每臺主機(jī)的一舉一動,各種網(wǎng)絡(luò)問題都會在矩陣中表現(xiàn)出異常��。如:BT下載���、DDOS攻擊�、ARP攻擊���、木馬掃描等�����。
"診斷專家"快速提高解決能力
網(wǎng)絡(luò)分析不僅提供網(wǎng)絡(luò)依據(jù)�����,更重要的是幫助管理者提高問題的解決能力����。"診斷專家"則是一個從問題原因到問題結(jié)果的完整解釋。好的網(wǎng)絡(luò)分析產(chǎn)品��,可以自動提取問題的相關(guān)數(shù)據(jù)���,并告訴管理者網(wǎng)絡(luò)中存在有哪些問題,可能產(chǎn)生的原因�����,有什么辦法可以解決���,ARP攻擊的快速定位則是一個很好的證明��。
網(wǎng)絡(luò)數(shù)據(jù)的回放能力
好的網(wǎng)絡(luò)分析產(chǎn)品��,都具有網(wǎng)絡(luò)數(shù)據(jù)的回放能力��,將網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行7x24小時記錄�,可以按每天或每小時來記錄��。如果要分析昨天某個時段出現(xiàn)的網(wǎng)絡(luò)故障�����,只需要將當(dāng)時保存的數(shù)據(jù)包進(jìn)行播放,同時通過網(wǎng)絡(luò)分析來追溯故障是如何發(fā)生的���,使網(wǎng)絡(luò)管理對歷史問題追查能力得到明顯提高���。
2.6網(wǎng)絡(luò)管理體系結(jié)構(gòu)及技術(shù)
1 WBM 技術(shù)介紹
隨著應(yīng)用Intranet的企業(yè)的增多,同時Internet技術(shù)逐漸向Intranet的遷移��,一些主要的網(wǎng)絡(luò)廠商正試圖以一種新的形式去應(yīng)用M I S ���。因此就促使了W e b ( W e b - B a s e dManagement)網(wǎng)管技術(shù)的產(chǎn)生[2]�。它作為一種全新的網(wǎng)絡(luò)管理模式—基于Web的網(wǎng)絡(luò)管理模式��,從出現(xiàn)伊始就表現(xiàn)出強(qiáng)大的生命力���,以其特有的靈活性�、易操作性等特點贏得了許多技術(shù)專家和用戶的青睞�����,被譽為是“將改變用戶網(wǎng)絡(luò)管理方式的革命性網(wǎng)絡(luò)管理解決方案”�。
WBM融合了Web功能與網(wǎng)管技術(shù)�����,從而為網(wǎng)管人員提供了比傳統(tǒng)工具更強(qiáng)有力的能力�����。WBM可以允許網(wǎng)絡(luò)管理人員使用任何一種Web瀏覽器,在網(wǎng)絡(luò)任何節(jié)點上方便迅速地配置�、控制以及存取網(wǎng)絡(luò)和它的各個部分。因此���,他們不再只拘泥于網(wǎng)管工作站上了����,并且由此能夠解決很多由于多平臺結(jié)構(gòu)產(chǎn)生的互操作性問題���。WBM提供比傳統(tǒng)的命令驅(qū)動的遠(yuǎn)程登錄屏幕更直接�����、更易用的圖形界面����,瀏覽器操作和W e b頁面對W W W用戶來講是非常熟悉的,所以WBM的結(jié)果必然是既降低了MIS全體培訓(xùn)的費用又促進(jìn)了更多的用戶去利用網(wǎng)絡(luò)運行狀態(tài)信息���。所以說���,WBM是網(wǎng)絡(luò)管理方案的一次革命。
2 基于WBM 技術(shù)的網(wǎng)管系統(tǒng)設(shè)計
系統(tǒng)的設(shè)計目標(biāo)
在本系統(tǒng)設(shè)計階段���,就定下以開發(fā)基于園區(qū)網(wǎng)�����、Web模式的具有自主版權(quán)的中文網(wǎng)絡(luò)管理系統(tǒng)軟件為目標(biāo)�,采用先進(jìn)的WBM技術(shù)和高效的算法��,力求在性能上可以達(dá)到國外同類產(chǎn)品的水平��。
本網(wǎng)管系統(tǒng)提供基于WEB的整套網(wǎng)管解決方案�。它針對分布式IP網(wǎng)絡(luò)進(jìn)行有效資源管理,使用戶可以從任何地方通過WEB瀏覽器對網(wǎng)絡(luò)和設(shè)備����,以及相關(guān)系統(tǒng)和服務(wù)實施應(yīng)變式管理和控制,從而保證網(wǎng)絡(luò)上的資源處于最佳運行狀態(tài),并保持網(wǎng)絡(luò)的可用性和可靠性���。
系統(tǒng)的體系結(jié)構(gòu)
在系統(tǒng)設(shè)計的時候�����,以國外同類的先進(jìn)產(chǎn)品作為參照物����,同時考慮到技術(shù)發(fā)展的趨勢���,在當(dāng)前的技術(shù)條件下進(jìn)行設(shè)計����。我們采用三層結(jié)構(gòu)的設(shè)計����,融合了先進(jìn)的WBM技術(shù)���,使系統(tǒng)能夠提供給管理員靈活簡便的管理途徑��。
三層結(jié)構(gòu)的特點[2]:1)完成管理任務(wù)的軟件作為中間層以后臺進(jìn)程方式實現(xiàn)�����,實施網(wǎng)絡(luò)設(shè)備的輪詢和故障信息的收集�;2)管理中間件駐留在網(wǎng)絡(luò)設(shè)備和瀏覽器之間,用戶僅需通過管理中間層的主頁存取被管設(shè)備�����;3)管理中間件中繼轉(zhuǎn)發(fā)管理信息并進(jìn)行S N M P 和H T T P之間的協(xié)議轉(zhuǎn)換三層結(jié)構(gòu)無需對設(shè)備作任何改變����。
網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)算法的設(shè)計
為了實施對網(wǎng)絡(luò)的管理,網(wǎng)管系統(tǒng)必須有一個直觀的����、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網(wǎng)絡(luò)設(shè)備的拓?fù)潢P(guān)系以圖形的方式展現(xiàn)在用戶面前��,即拓?fù)浒l(fā)現(xiàn)���。目前廣泛采用的拓?fù)浒l(fā)現(xiàn)算法是基于SNMP的拓?fù)浒l(fā)現(xiàn)算法����?��;赟NMP的拓?fù)渌惴ㄔ谝欢ǔ潭壬鲜欠浅S行У?��,拓?fù)涞乃俣纫卜浅�??�。但它存在一個缺陷[3]����。那就是,在一個特定的域中�����,所有的子網(wǎng)的信息都依賴于設(shè)備具有SNMP的特性���,如果系統(tǒng)不支持SNMP��,則這種方法就無能為力了。還有對網(wǎng)絡(luò)管理的不重視�����,或者考慮到安全方面的原因���,人們往往把網(wǎng)絡(luò)設(shè)備的SNMP功能關(guān)閉���,這樣就難于取得設(shè)備的M I B值��,就出現(xiàn)了拓?fù)涞牟煌暾?�,?yán)重影響了網(wǎng)絡(luò)管理系統(tǒng)的功能�����。針對這一的問題��,下面討論本系統(tǒng)對上述算法的改進(jìn)—基于ICMP協(xié)議的拓?fù)浒l(fā)現(xiàn)�����。
PING和路由建立
PING的主要操作是發(fā)送報文�,并簡單地等待回答���。PING之所以如此命名�,是因為它是一個簡單的回顯協(xié)議��,使用ICMP響應(yīng)請求與響應(yīng)應(yīng)答報文��。PING主要由系統(tǒng)程序員用于診斷和調(diào)試實現(xiàn)PING的過程主要是:首先向目的機(jī)器發(fā)送一個響應(yīng)請求的ICMP報文,然后等待目的機(jī)器的應(yīng)答���,直到超時�。如收到應(yīng)答報文����,則報告目的機(jī)器運行正常,程序退出����。
路由建立的功能就是利用I P 頭中的TTL域。開始時信源設(shè)置IP頭的TTL值為0�,發(fā)送報文給信宿,第一個網(wǎng)關(guān)收到此報文后�,發(fā)現(xiàn)TTL值為0,它丟棄此報文�����,并發(fā)送一個類型為超時的ICMP報文給信源����。信源接收到此報文后對它進(jìn)行解析�����,這樣就得到了路由中的第一個網(wǎng)關(guān)地址。然后信源發(fā)送TTL值為1的報文給信宿�,第一個網(wǎng)關(guān)把它的TTL值減為0后轉(zhuǎn)發(fā)給第二個網(wǎng)關(guān),第二個網(wǎng)關(guān)發(fā)現(xiàn)報文TTL值為0���,丟棄此報文并向信源發(fā)送超時ICMP報文�。這樣就得到了路由中和第二個網(wǎng)關(guān)地址���。如此循環(huán)下去��,直到報文正確到達(dá)信宿����,這樣就得到了通往信宿的路由��。
網(wǎng)絡(luò)拓?fù)涞陌l(fā)現(xiàn)算法具體實現(xiàn)的步驟:
(1)于給定的IP區(qū)間���,利用PING依次檢測每個IP地址���,將檢測到的IP地址記錄到IP地址表中。
(2)對第一步中查到的每個IP地址進(jìn)行traceroute操作�����,記錄到這些IP地址的路由。并把每條路由中的網(wǎng)關(guān)地址也加到IP表中�����。
(3)對IP地址表中的每個IP地址��,通過發(fā)送掩碼請求報文與接收掩碼應(yīng)答報文�,找到這些IP地址的子網(wǎng)掩碼。
(4)根據(jù)子網(wǎng)掩碼�����,確定對應(yīng)每個IP地址的子網(wǎng)地址�,并確定各個子網(wǎng)的網(wǎng)絡(luò)類型。把查到的各個子網(wǎng)加入地址表中�。
(5)試圖得到與IP地址表中每個IP地址對應(yīng)的域名(Domain Name),如具有相同域名���,則說明同一個網(wǎng)絡(luò)設(shè)備具有多個IP地址�,即具有多個網(wǎng)絡(luò)接口��。
(6)根據(jù)第二步中的路由與第四步中得到的子網(wǎng),產(chǎn)生連接情況表�。
第三章 網(wǎng)絡(luò)維護(hù)
3.1概述
網(wǎng)絡(luò)故障極為普遍���,網(wǎng)絡(luò)故障的種類也多種多樣�,要在網(wǎng)絡(luò)出現(xiàn)故障時及時對出現(xiàn)故障的網(wǎng)絡(luò)進(jìn)行維護(hù)�����,以最快的速度恢復(fù)網(wǎng)絡(luò)的正常運行����,掌握一套行之有效的網(wǎng)絡(luò)維護(hù)理論、方法和技術(shù)是關(guān)鍵��。就網(wǎng)絡(luò)中常見故障進(jìn)行分類��,并對各種常見網(wǎng)絡(luò)故障提出相應(yīng)的解決方法��。
隨著計算機(jī)的廣泛應(yīng)用和網(wǎng)絡(luò)的日趨流行�����,功能獨立的多個計算機(jī)系統(tǒng)互聯(lián)起來���,互聯(lián)形成日漸龐大的網(wǎng)絡(luò)系統(tǒng)���。計算機(jī)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運轉(zhuǎn)已與功能完善的網(wǎng)絡(luò)軟件密不可分��。計算機(jī)網(wǎng)絡(luò)系統(tǒng)���,就是利用通訊設(shè)備和線路將地理位置不同的、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等共享�,包括硬件資源和軟件資源的共享:因此,如何有效地做好本單位計算機(jī)網(wǎng)絡(luò)的日常維護(hù)工作�����,確保其安全穩(wěn)定地運行�,這是網(wǎng)絡(luò)運行維護(hù)人員的一項非常重要的工作。
在排除比較復(fù)雜網(wǎng)絡(luò)的故障時����,我們常常要從多種角度來測試和分析故障的現(xiàn)象,準(zhǔn)確確定故障點�����。
3.2分析模型和方法
七層的網(wǎng)絡(luò)結(jié)構(gòu)分析模型方法
從網(wǎng)絡(luò)的七層結(jié)構(gòu)的定義和功能上逐一進(jìn)行分析和排查����,這是傳統(tǒng)的而且最基礎(chǔ)的分析和測試方法��。這里有自下而上和自上而下兩種思路��。自下而上是:從物理層的鏈路開始檢測直到應(yīng)用��。自上而下是:從應(yīng)用協(xié)議中捕捉數(shù)據(jù)包,分析數(shù)據(jù)包統(tǒng)計和流量統(tǒng)計信息���,以獲得有價值的資料��。
網(wǎng)絡(luò)連接結(jié)構(gòu)的分析方法
從網(wǎng)絡(luò)的連接構(gòu)成來看�,大致可以分成客戶端�、網(wǎng)絡(luò)鏈路、服務(wù)器端三個模塊�����。
1���、客戶端具備網(wǎng)絡(luò)的七層結(jié)構(gòu)��,也會出現(xiàn)從硬件到軟件�、從驅(qū)動到應(yīng)用程序、從設(shè)置錯誤到病毒等的故障問題��。所以在分析和測試客戶端的過程中要有大量的背景知識���,有時PC的發(fā)燒經(jīng)驗也會有所幫助����。也可以在實際測試過程中詢問客戶端的用戶���,分析他們反映的問題是個性的還是共性的����,這將有助于自己對客戶端的進(jìn)一步檢測作出決定����。
2、來自網(wǎng)絡(luò)鏈路的問題通常需要網(wǎng)管�����、現(xiàn)場測試儀���,甚至需要用協(xié)議分析儀來幫助確定問題的性質(zhì)和原因��。對于這方面的問題分析需要有堅實的網(wǎng)絡(luò)知識和實踐經(jīng)驗����,有時實踐經(jīng)驗會決定排除故障的時間。
3���、在分析服務(wù)器端的情況時更需要有網(wǎng)絡(luò)應(yīng)用方面的豐富知識��,要了解服務(wù)器的硬件性能及配置情況��、系統(tǒng)性能及配置情況、網(wǎng)絡(luò)應(yīng)用及對服務(wù)器的影響情況��。
工具型分析方法
工具型分析方法有強(qiáng)大的各種測試工具和軟件����,它們的自動分析能快速地給出網(wǎng)絡(luò)的各種參數(shù)甚至是故障的分析結(jié)果,這對解決常見網(wǎng)絡(luò)故障非常有效�����。
綜合及經(jīng)驗型分析方法靠時間����、錯誤和成功經(jīng)驗的積累 在大多數(shù)的阿絡(luò)維護(hù)工作人員的工作中是采用這個方法的���,再依靠網(wǎng)管和測試工具迅速定位網(wǎng)絡(luò)的故障。
3.3計算機(jī)無法上網(wǎng)故障的排除
1�、對于某網(wǎng)計算機(jī)上不了網(wǎng)的故障,首先要分別確定此計算機(jī)的網(wǎng)卡安裝是否正確����,是否存在硬件故障,網(wǎng)絡(luò)配置是否正確在實際工作中我們一般采用Ping本機(jī)的回送地址(127.0.0.1)來判斷網(wǎng)卡硬件安裝和TCP/IP協(xié)議的正確性�����。
如果能Ping通���,即說明這部分沒有問題��。如果出現(xiàn)超時情況�,則要檢查計算機(jī)的網(wǎng)卡是否與機(jī)器上的其它設(shè)備存在中斷沖突的問題��。通過查看系統(tǒng)屬性中的設(shè)備管理器����,查看是否在網(wǎng)絡(luò)適配器的設(shè)備前面有黃色驚嘆號或紅色叉號,如有則說明硬件的驅(qū)動程序沒有安裝成功�,可刪除后重新安裝��。另外����,要確保TCP/IP協(xié)議安裝的正確性��,并且要綁定在你所安裝的網(wǎng)卡上��。如果重新安裝后還是Ping不通回送地址�,最好換上一塊正常的網(wǎng)卡試一試。由于在局域網(wǎng)中劃分了VLAN��,所以連在不同VLAN中的計算機(jī)都有各自不同的IP地址��、子網(wǎng)掩碼和網(wǎng)關(guān)��。要在機(jī)器的網(wǎng)絡(luò)屬性中設(shè)定的IP地址等數(shù)據(jù)與連接的VLAN相匹配����,否則將出現(xiàn)網(wǎng)絡(luò)不通的情況�����。
當(dāng)確保了計算機(jī)的硬件設(shè)備和網(wǎng)絡(luò)配置正確后���,接著就要查看計算機(jī)與交換機(jī)之間的雙絞線����,交換機(jī)的RJ45端口或交換機(jī)的配置是否有問題。此時我們要Ping上網(wǎng)計算機(jī)所在VLAN的網(wǎng)關(guān)��,不通的話就要分段檢查上面所說的各項��。
最簡單的方法是檢查雙絞線�,用線纜測試儀檢測雙絞線是否斷開。雙絞線沒有問題���,就要查看交換機(jī)的端口是否壞了��。交換機(jī)每一個端口都有狀態(tài)指示燈以詢問一下其它網(wǎng)管人員就可以排除了�,如果不放心可以對照查看����。交換機(jī)的參數(shù)配置表也是網(wǎng)絡(luò)管理員必備的資料之一,并且隨著網(wǎng)絡(luò)用戶的變化要不斷地修改��,檢測到此��,如果端口指示燈不亮�,就只能是端口損壞了���,可以把跳線接到正常使用的端口上排除其它原因,確定是端口的問題��。
2���、一批聯(lián)網(wǎng)計算機(jī)上不了網(wǎng)對于同時有一批計算機(jī)上不了網(wǎng)的故障����,首先要找到這些計算機(jī)的共性����,如是不是屬于同一VLAN或接在同一交換機(jī)上的,若這些計算機(jī)屬于同一VLAN���,且屬于計算機(jī)分別連接于不同的樓層交換機(jī)�,那么檢查一下路由器上是否有acl限制���,在路由器上對該VLAN的配置是否正確,路由協(xié)議(如我局的OSPF協(xié)議)是否配置正確�����。若這些計算機(jī)屬于同一交換機(jī),則應(yīng)到機(jī)房檢查該交換機(jī)是否有電源松落情況�,或該交換機(jī)CPU負(fù)載率是否很高,與上一級網(wǎng)絡(luò)設(shè)備的鏈路是否正常�。
通常某交換機(jī)連接的所有電腦都不能正常與網(wǎng)內(nèi)其它電腦通訊,這是典型的交換機(jī)死機(jī)現(xiàn)象�,可以通過重新啟動交換機(jī)的方法解決。如果重新啟動后故障依舊�,則檢查一下那臺交換機(jī)連接的所有電腦���,看逐個斷開連接的每臺電腦的情況��,慢慢定位到某個故障電腦�����,會發(fā)現(xiàn)多半是某臺電腦上的網(wǎng)卡故障導(dǎo)致的�。
故障通常是交換機(jī)的某個端口變得非常緩慢,最后導(dǎo)致整臺交換機(jī)或整個堆疊慢下來�。通過控制臺檢查交換機(jī)的狀態(tài),發(fā)現(xiàn)交換機(jī)的緩沖池增長得非?����?欤_(dá)到了90%或更多��。原因及解決方法為:首先應(yīng)該使用其它電腦更換這個端口上原來的連接���,看是否由這個端口連接的那臺電腦的網(wǎng)絡(luò)故障導(dǎo)致的����,也可以重新設(shè)置出錯的端口并重新啟動交換機(jī)����,個別時候,可能是這個端口損壞了�。
3.4計算機(jī)網(wǎng)絡(luò)故障分析
計算機(jī)網(wǎng)絡(luò)故障主要分為硬件故障和軟件故障,對計算機(jī)網(wǎng)絡(luò)故障進(jìn)行分析也主要可以從硬件與軟件兩個方面著手:
(一)計算機(jī)網(wǎng)絡(luò)故障分析與診斷的基本方法
計算機(jī)網(wǎng)絡(luò)故障分析與診斷的原則可歸納為:由服務(wù)器到工作站(就是出現(xiàn)工作站不能入網(wǎng)的情況時����,先確定服務(wù)器是否有問題);由外部到內(nèi)部(即當(dāng)有工作站出現(xiàn)網(wǎng)絡(luò)故障時����,先檢查其外部直接可看到的設(shè)備情況,如與之相連的交換機(jī)或集線器有沒有故障����,電纜有無纏繞導(dǎo)致內(nèi)部線纜斷裂或接觸不良)�����;由軟件到硬件(就是網(wǎng)絡(luò)出故障后先從操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議���、網(wǎng)卡驅(qū)動程序及配置上找原因����。重新安裝網(wǎng)卡驅(qū)動或網(wǎng)絡(luò)協(xié)議����、操作系統(tǒng),看看故障是否消失����。在確定排除軟件問題后再檢查硬件是否損壞。
(二)網(wǎng)絡(luò)硬件故障的分析與診斷方法
網(wǎng)絡(luò)中的硬件故障比較復(fù)雜���,現(xiàn)就日常工作中常見的網(wǎng)絡(luò)連線問題和網(wǎng)卡問題來進(jìn)行探討���。如,網(wǎng)線至交換機(jī)或集線器之間的故障分析與診斷方法��,故障診斷:通過看網(wǎng)卡指示燈集線器指示燈。首先���,檢查網(wǎng)線是否插好�;其次����,若有數(shù)臺工作站同時出現(xiàn)網(wǎng)絡(luò)故障,則有可能是連接這些計算機(jī)的交換機(jī)或集線器出故障���。如�����,網(wǎng)卡故障�,故障分析:這是最常發(fā)生的問題��。如網(wǎng)卡設(shè)置錯誤�����,網(wǎng)卡在安裝過程中是否正確地設(shè)置中斷號��,I/0端口地址�����,驅(qū)動程序是否出錯,網(wǎng)卡是否出故障等�。
(三)網(wǎng)絡(luò)配置故障的分析與診斷
故障分析:網(wǎng)絡(luò)配置故障就是由網(wǎng)絡(luò)中的各項配置不當(dāng)而產(chǎn)生的故障����。它是一種較復(fù)雜的現(xiàn)象,不但要檢查服務(wù)器的各項配置����、工作站的各項配置,還要根據(jù)出現(xiàn)的錯誤信息和現(xiàn)象查出原因���。如�,域名��、計算機(jī)名和地址故障的分析與診斷��。故障分析:在實際工作中經(jīng)常會出現(xiàn)在“網(wǎng)上鄰居”中看不到其它計算機(jī)或只能看到部分計算機(jī)���,無法找到指定的計算機(jī)等現(xiàn)象�。故障診斷:檢查網(wǎng)絡(luò)中每個域�����、每臺計算機(jī)的名稱是否唯一;檢查網(wǎng)絡(luò)中的計算機(jī)名是否和域名或工作組名重復(fù)����,使用TCP/IP時,檢查分配給網(wǎng)絡(luò)適配器的IP地址有無重復(fù)���。在如協(xié)議故障的分析與診斷��,故障分析:確認(rèn)您所使用的協(xié)議與網(wǎng)絡(luò)上其它計算機(jī)使用的協(xié)議相同�����。否則����,將看不到網(wǎng)絡(luò)上其它計算機(jī)���。在配置和使用TCP/IP協(xié)議時的主要問題是IP地址�����、子網(wǎng)掩碼和路由問題�。IP地址的分配復(fù)雜,分配不好����,容易造成網(wǎng)絡(luò)混亂。因而����,非網(wǎng)管人員不要隨意修改IP地址��。
3.5故障定位及排除的常用方法
1.告警性能分析法
通過網(wǎng)管獲取告警和性能信息進(jìn)行故障定位�����。我們單位使用了Siteview網(wǎng)絡(luò)網(wǎng)管�,可以對全單位的網(wǎng)絡(luò)設(shè)備進(jìn)行管理,平時多觀察各設(shè)備CPU負(fù)載率和各線路的流量�。當(dāng)有人反映不能連接至網(wǎng)絡(luò)或網(wǎng)速很慢時,可通過網(wǎng)管觀察計算機(jī)與交換機(jī)的連接情況�����,是否有時斷時通的現(xiàn)象��,交換機(jī)CPU負(fù)載率是否很高���,線路流量是否很大�。通過觀察設(shè)備端口狀態(tài),分析和觀察交換機(jī)哪個端口所接的計算機(jī)發(fā)包量不太正常���。
2.查看網(wǎng)絡(luò)設(shè)備日志法
經(jīng)?��?匆幌戮W(wǎng)絡(luò)設(shè)備的日志,分析設(shè)備狀況�����。我曾經(jīng)通過showlonging命令觀察到4006交換機(jī)下連的2950交換機(jī)經(jīng)常每隔7小時down掉��,然后又up��,因時間間隔較長�����,單位人員未感覺網(wǎng)絡(luò)中斷���,在此期間我們檢查并確定了光纜���、光收發(fā)器��、網(wǎng)線����、交換機(jī)配置���、交換機(jī)端口均正常��,后來的間隔時間由原來的7小時減為7分鐘�。由此我們立即判定2950交換機(jī)本身有故障��,馬上將已準(zhǔn)備好的備用交換機(jī)換上��,從而減少了處理故障的時間�����,并在最短時間內(nèi)恢復(fù)網(wǎng)絡(luò)���。
3.替換法
替換法就是使用一個工作正常的物體去替換一個工作不正常的物體,從而達(dá)到定位故障�、排除故障的目的。這里的物件可以是一段線纜����、一個設(shè)備和一塊模塊����。
4.配置數(shù)據(jù)分析法
查詢���、分析當(dāng)前設(shè)備的配置數(shù)據(jù)�����,通過分析以上的配置數(shù)據(jù)是否正常來定位故障����。若配置的數(shù)據(jù)有錯誤��,需進(jìn)行重新配置��。
3.6計算機(jī)網(wǎng)絡(luò)維護(hù)
計算機(jī)網(wǎng)絡(luò)故障是與網(wǎng)絡(luò)暢通相對應(yīng)的一概念���,計算機(jī)網(wǎng)絡(luò)故障主要是指計算機(jī)無法實現(xiàn)聯(lián)網(wǎng)或者無法實現(xiàn)全部聯(lián)網(wǎng)��。引起計算機(jī)網(wǎng)絡(luò)故障的因素多種多樣但總的來說可以分為物理故障與邏輯故障��,或硬件故障與軟件故障���。物理故障或硬件故障可以包括電源線插頭沒有進(jìn)行正常的連接����,聯(lián)網(wǎng)電腦網(wǎng)卡���、網(wǎng)線�、集線器���、交換機(jī)���、路由器等故障、計算機(jī)硬盤�����、內(nèi)存�、顯示器等故障也會不同程度影響到網(wǎng)絡(luò)用戶正常使用網(wǎng)絡(luò)�����。軟件故障是當(dāng)前最常見的計算機(jī)網(wǎng)絡(luò)故障之一,常見的軟件故障有網(wǎng)絡(luò)協(xié)議問題���、網(wǎng)絡(luò)設(shè)備的配置和設(shè)置等問題造成的����。
網(wǎng)絡(luò)故障目前已經(jīng)成為影響計算機(jī)網(wǎng)絡(luò)使用穩(wěn)定性的重要因素之一���,加強(qiáng)對計算機(jī)網(wǎng)絡(luò)故障的分析和網(wǎng)絡(luò)維護(hù)已經(jīng)成為網(wǎng)絡(luò)用戶經(jīng)常性的工作之一�����。及時進(jìn)行網(wǎng)絡(luò)故障分析和網(wǎng)絡(luò)維護(hù)也已經(jīng)成為保障網(wǎng)絡(luò)穩(wěn)定性的重要方式方法���。
計算機(jī)網(wǎng)絡(luò)維護(hù)是減少計算機(jī)網(wǎng)絡(luò)故障,維護(hù)計算機(jī)網(wǎng)絡(luò)穩(wěn)定性的重要的方式方法�。計算機(jī)網(wǎng)絡(luò)維護(hù)一般來說包括以下方面:
1.對硬件的維護(hù)。首先檢測聯(lián)網(wǎng)電腦網(wǎng)卡����、網(wǎng)線、集線器�、交換機(jī)、路由器等故障����、計算機(jī)硬盤����、內(nèi)存�����、顯示器等是否能夠正常運行�����,對臨近損壞的計算機(jī)硬件要及時進(jìn)行更換��。同時要查看網(wǎng)卡是否進(jìn)行了正確的安裝與配置��。具體來說要確定聯(lián)網(wǎng)計算機(jī)硬件能夠達(dá)到聯(lián)網(wǎng)的基本要求����,計算機(jī)配置的硬件不會與上網(wǎng)軟件發(fā)生沖突而導(dǎo)致不能正常聯(lián)網(wǎng)。
2.對軟件的維護(hù)����。軟件維護(hù)是計算機(jī)網(wǎng)絡(luò)維護(hù)的主要方面����,具體來說主要包括�,
(1)計算機(jī)網(wǎng)絡(luò)設(shè)置的檢查����。具體來說檢查服務(wù)器是否正常,訪問是否正常����,以及檢查網(wǎng)絡(luò)服務(wù)、協(xié)議是否正常��。
(2)對集線器����、交換器和路由器等網(wǎng)絡(luò)設(shè)備的檢查。具體來說��,包括檢測網(wǎng)絡(luò)設(shè)備的運行狀態(tài)�����,檢測網(wǎng)絡(luò)設(shè)備的系統(tǒng)配置�。
(3)對網(wǎng)絡(luò)安全性的檢測。對網(wǎng)絡(luò)安全性的檢測主要包括�,對服務(wù)器上安裝的防病毒軟件進(jìn)行定期升級和維護(hù)�,并對系統(tǒng)進(jìn)行定期的查殺毒處理�����;對服務(wù)器上安裝的防火墻做不定期的的系統(tǒng)版本升級��,檢測是否有非法用戶入網(wǎng)入侵行為�����;對聯(lián)網(wǎng)計算機(jī)上的數(shù)據(jù)庫做安全加密處理并對加密方式和手段進(jìn)行定期更新����,以保障數(shù)據(jù)的安全性。
(4)網(wǎng)絡(luò)通暢性檢測�����。在進(jìn)行網(wǎng)絡(luò)維護(hù)的過程�����,經(jīng)常會遇到網(wǎng)絡(luò)通訊不暢的問題�����,其具體表現(xiàn)為網(wǎng)絡(luò)中的某一結(jié)點pingq其他主機(jī)�����,顯示一個很小的數(shù)據(jù)包����,需要幾百甚至幾千毫秒,傳輸文件非常慢�����,遇到這種情況應(yīng)首先看集線器或交換機(jī)的狀態(tài)指示燈����,并根據(jù)情況進(jìn)行判斷。
計算機(jī)網(wǎng)絡(luò)是計算機(jī)技術(shù)的一重要應(yīng)用領(lǐng)域����,計算機(jī)網(wǎng)絡(luò)的便捷、高效�����、低廉為計算機(jī)網(wǎng)絡(luò)應(yīng)用的增加提供了保障���,但計算機(jī)網(wǎng)絡(luò)故障一旦發(fā)生就會給網(wǎng)絡(luò)用戶帶來使用上巨大不便�����,甚至造成巨大的損失�。因而必須進(jìn)一步加強(qiáng)計算機(jī)網(wǎng)絡(luò)故障分析與維護(hù)研究,提高網(wǎng)絡(luò)的穩(wěn)定性和安全性����。
結(jié)束語 本文提出了現(xiàn)代網(wǎng)絡(luò)中的一些安全策略,重點提出了管理技術(shù)和維護(hù)技術(shù)�。本文介紹了幾種常用的防范技術(shù)。隨著現(xiàn)在的發(fā)展�,網(wǎng)絡(luò)的不安全因素很多,網(wǎng)絡(luò)管理和維護(hù)尤其重要���,本文介紹了網(wǎng)絡(luò)管理幾個方面的技術(shù)和網(wǎng)絡(luò)維護(hù)的幾種常用技術(shù)�����。
參考文獻(xiàn)
晏蒲柳.大規(guī)模智能網(wǎng)絡(luò)管理模型方法[J].計算機(jī)應(yīng)用研究
周楊,家海,任憲坤,王沛瑜.網(wǎng)絡(luò)管理原理與實現(xiàn)技術(shù)[M].北京:清華大學(xué)出版社
李佳石, 冰心著. 網(wǎng)絡(luò)管理系統(tǒng)中的自動拓?fù)渌惴╗J].華中科技大學(xué)學(xué)報胡谷雨. 現(xiàn)代通信網(wǎng)和計算機(jī)管理.
岑賢道�,安長青. 網(wǎng)絡(luò)管理協(xié)議及應(yīng)用開發(fā).
篇4
1�、網(wǎng)絡(luò)流量的特性
通過對互聯(lián)網(wǎng)通信量的測量,人們發(fā)現(xiàn)互聯(lián)網(wǎng)通信量的主要特性有:
1、數(shù)據(jù)流是雙向的���,但通常是非對稱的
互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的�����,因此網(wǎng)絡(luò)的流是雙向的。但是兩個方向上的數(shù)據(jù)率有很大的差異��,這是因為從網(wǎng)站下載時會導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個方向多����。
2、大部分TCP會話是短期的
超過90%的TCP會話交換的數(shù)據(jù)量小于10K字節(jié)��,會話持續(xù)時間不超過幾秒�����。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對話都不是短期的�,但是由于80%的WWW文檔傳輸都小于10K字節(jié),WWW的巨大增長使其在這方面產(chǎn)生了決定性的影響���。
3��、包的到達(dá)過程不是泊松過程
大部分傳統(tǒng)的排隊理論和通信網(wǎng)絡(luò)設(shè)計都假設(shè)包的到達(dá)過程是泊松過程���,即包到達(dá)的間斷時間的分布是獨立的指數(shù)分布�����。簡單的說�����,泊松到達(dá)過程就是事件(例如地震���,交通事故,電話等)按照一定的概率獨立的發(fā)生����。泊松模型因為指數(shù)分布的無記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡單。然而近年來對互聯(lián)網(wǎng)絡(luò)通信量的測量顯示包到達(dá)的過程不是泊松過程�����。包到達(dá)的間斷時間不僅不服從指數(shù)分布��,而且不是獨立分布的���。大部分時候是多個包連續(xù)到達(dá)�����,即包的到達(dá)是有突發(fā)性的���。很明顯����,泊松過程不足以精確地描述包的到達(dá)過程�����。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議���。非泊松過程的現(xiàn)象迫使人們懷疑使用簡單的泊松模型研究網(wǎng)絡(luò)的可靠性,從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究���。
4��、網(wǎng)絡(luò)通信量具有局域性
互聯(lián)網(wǎng)流量的局域性包括時間局域性和空間局域性���。用戶在應(yīng)用層對互聯(lián)網(wǎng)的訪問反映在包的時間和源及目的地址上,從而顯示出基于時間的相關(guān)(時間局域性)和基于空間的相關(guān)(空間局域性)。
2�、 網(wǎng)絡(luò)流量的測量
網(wǎng)絡(luò)流量的測量是人們研究互聯(lián)網(wǎng)絡(luò)的一個工具,通過采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流�����,我們可以設(shè)計出更加符合實際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議���。計算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會出錯的���,設(shè)備的一小點故障都有可能使整個網(wǎng)絡(luò)癱瘓,或者使網(wǎng)絡(luò)性能明顯下降�。例如廣播風(fēng)暴、非法包長�、錯誤地址、安全攻擊等��。對互聯(lián)網(wǎng)流量的測量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問題��?�;ヂ?lián)網(wǎng)流量的測量從不同的方面可以分為:
1�����、基于硬件的測量和基于軟件的測量
基于硬件的測量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測量,這些設(shè)備一般都比較昂貴����,而且受網(wǎng)絡(luò)接口數(shù)量,網(wǎng)絡(luò)插件的類型�,存儲能力和協(xié)議分析能力等諸多因素的限制?�;谲浖臏y量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分����,使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能。與基于硬件的方法比較�,其費用比較低廉���,但是性能比不上專用的網(wǎng)絡(luò)流量分析器���。
2、主動測量和被動測量
被動測量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流����,不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)。大部分網(wǎng)絡(luò)流量測量都是被動的測量���。主動測量使用由測量設(shè)備產(chǎn)生的數(shù)據(jù)流來探測網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息���。例如使用ping來估計到某個目的地址的網(wǎng)絡(luò)延時��。
3���、在線分析和離線分析
有的網(wǎng)絡(luò)流量分析器支持實時地收集和分析網(wǎng)絡(luò)數(shù)據(jù),使用可視化手段在線地顯示流量數(shù)據(jù)和分析結(jié)果����,大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個能力。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù)����,把數(shù)據(jù)存儲下來,并不對數(shù)據(jù)進(jìn)行實時的分析�。
4、協(xié)議級分類
對于不同的協(xié)議�,例如以太網(wǎng)(Ethernet ),幀中繼(Frame Relay )��,異步傳輸模式( Asynchronous Transfer Mode )���,需要使用不同的網(wǎng)絡(luò)插件來收集網(wǎng)絡(luò)數(shù)據(jù)����,因此也就有了不同的通信量測試方法。
3����、 網(wǎng)絡(luò)流量的監(jiān)測技術(shù)
根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)、基于SNMP的監(jiān)測技術(shù)和基于Netflow的監(jiān)測技術(shù)三種常用技術(shù)�。
1、基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù):網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式����。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器、網(wǎng)絡(luò)探針等附加設(shè)備��,實現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集�����。和其它兩種流量采集方式相比��,流量鏡像采集的最大特點是能夠提供豐富的應(yīng)用層信息����。
篇5
在網(wǎng)絡(luò)安全上�����,網(wǎng)絡(luò)監(jiān)聽一直被認(rèn)為是一個比較敏感的話題,作為一個已經(jīng)發(fā)展相對成熟的技術(shù)���,網(wǎng)絡(luò)監(jiān)聽在協(xié)助管理員進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)檢測��、網(wǎng)絡(luò)故障排除等方面都具有不可替代的作用��,從而深受廣大網(wǎng)絡(luò)管理員的青睞�。但是��,從另外一個方面來講�,網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了巨大的隱患,在網(wǎng)絡(luò)監(jiān)聽行為的同時往往會伴隨著大量的網(wǎng)絡(luò)若親��,從而導(dǎo)致了一系列的敏感數(shù)據(jù)被盜等安全事件的發(fā)生���。
一���、網(wǎng)絡(luò)監(jiān)聽的定義
網(wǎng)絡(luò)監(jiān)聽(英文名稱Sniffer)是通過利用計算機(jī)的網(wǎng)絡(luò)接口將網(wǎng)絡(luò)上的傳輸數(shù)據(jù)進(jìn)行截獲的一種工具。我們一般認(rèn)為網(wǎng)絡(luò)監(jiān)聽是指在運行以太網(wǎng)協(xié)議��、TCP/IP協(xié)議�����、IPX協(xié)議或者其他協(xié)議的網(wǎng)絡(luò)上,可以攫取網(wǎng)絡(luò)信息流的軟件或硬件�。網(wǎng)絡(luò)監(jiān)聽早期主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題����。網(wǎng)絡(luò)監(jiān)聽的存在對網(wǎng)絡(luò)系統(tǒng)管理員是至關(guān)重要的,網(wǎng)絡(luò)系統(tǒng)管理員通過網(wǎng)絡(luò)監(jiān)聽可以診斷出大量的不可見模糊問題(如網(wǎng)絡(luò)瓶頸�、錯誤配置等),監(jiān)視網(wǎng)絡(luò)活動��,完善網(wǎng)絡(luò)安全策略�����,進(jìn)行行之有效的網(wǎng)絡(luò)管理�����。
二�、網(wǎng)絡(luò)監(jiān)聽的工作原理
Internet是由眾多的局域網(wǎng)所組成���,這些局域網(wǎng)一般是以太網(wǎng)�����、令牌網(wǎng)的結(jié)構(gòu)���。數(shù)據(jù)在這些網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)?��,幀通過特定的網(wǎng)絡(luò)驅(qū)動程序進(jìn)行成型,然后通過網(wǎng)卡發(fā)送到網(wǎng)線上��。由于以太網(wǎng)等很多網(wǎng)絡(luò)(常見共享HUB連接的內(nèi)部網(wǎng))是基于總線方式���,物理上是廣播的�,同一物理網(wǎng)段的所有主機(jī)的網(wǎng)卡都能接收到這些以太網(wǎng)幀���。當(dāng)網(wǎng)絡(luò)接口處于正常狀態(tài)時�,網(wǎng)卡收到傳輸來的數(shù)據(jù)幀�����,網(wǎng)卡內(nèi)的芯片程序先接收數(shù)據(jù)頭的目的MAC地址��,根據(jù)計算機(jī)上的網(wǎng)卡驅(qū)動程序設(shè)置的接收模式判斷該不該接收,如果認(rèn)為是目的地址為本機(jī)地址的數(shù)據(jù)幀或是廣播幀����,則接收并在接收后產(chǎn)生中斷信號通知CUP,否則就丟棄不管���,CUP得到中斷信號產(chǎn)生中斷�����,操作系統(tǒng)就根據(jù)網(wǎng)卡驅(qū)動程序中設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動程序接收數(shù)據(jù)��,驅(qū)動程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理���。通過修改網(wǎng)卡存在一種特殊的工作模式,在這種工作模式下���,網(wǎng)卡不對目的地址進(jìn)行判斷��,而直接將它收到的所有報文都傳遞給操作系統(tǒng)進(jìn)行處理����。這種特殊的工作模式���,稱之為混雜模式�。網(wǎng)絡(luò)監(jiān)聽就是通過將網(wǎng)卡設(shè)置為混雜模式��,它對遇到的每一個幀都產(chǎn)生一個硬件中斷以便提醒操作系統(tǒng)處理流經(jīng)該物理媒體上的每一個報文包��。網(wǎng)絡(luò)監(jiān)聽工作在網(wǎng)絡(luò)環(huán)境中的底層��,它會攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)����,并且通過相應(yīng)的軟件處理,可以實時分析這些數(shù)據(jù)的內(nèi)容�,進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局。
三��、網(wǎng)絡(luò)監(jiān)聽的用途
在網(wǎng)絡(luò)安全領(lǐng)域中���,網(wǎng)絡(luò)監(jiān)聽占有極其重要的作用�����。網(wǎng)絡(luò)監(jiān)聽程序通常有兩種形式:一是商業(yè)網(wǎng)絡(luò)監(jiān)聽���,二是黑客所使用的。商業(yè)網(wǎng)絡(luò)監(jiān)聽用于維護(hù)網(wǎng)絡(luò),對于網(wǎng)絡(luò)管理者���,監(jiān)聽也是監(jiān)控本地網(wǎng)絡(luò)狀況的直接手段����,監(jiān)聽還是基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的必要基礎(chǔ)�����。具體來說就是:
1.把網(wǎng)絡(luò)中的數(shù)據(jù)流轉(zhuǎn)化成可讀格式���。2.進(jìn)行性能分析以發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸�����。
3.入侵檢測以發(fā)現(xiàn)外界入侵者���。4.生成網(wǎng)絡(luò)活動日志和安全審計。
5.進(jìn)行故障分析以發(fā)現(xiàn)網(wǎng)絡(luò)中潛在的問題���。例如����,假設(shè)網(wǎng)絡(luò)的某一段運行得不是很好,報文的發(fā)送比較慢�����,而我們又不知道問題出在什么地方�,此時就可以用嗅探器做出精確的問題判斷����。借助于網(wǎng)絡(luò)監(jiān)聽,系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網(wǎng)絡(luò)協(xié)議��、占主要通訊協(xié)議的主機(jī)是哪一臺���、大多數(shù)通訊目的地是哪一臺主機(jī)���、報文發(fā)送占用多少時間、或者相互主機(jī)的報文傳送間隔時間等等���,這些信息為管理員判斷網(wǎng)絡(luò)問題�、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息���。對于黑客攻擊而言�����,網(wǎng)絡(luò)監(jiān)聽是一種有效信息收集手段����,并且可以輔助進(jìn)行IP欺騙,如收集科技情報�、個人資料、技術(shù)成果�����、系統(tǒng)信息�����、用戶的帳號和密碼�����,一些商用機(jī)密數(shù)據(jù)等�����,目的是為進(jìn)一步入侵系統(tǒng)做準(zhǔn)備�,或者是為了其他不可告人的目的����。
四����、常用的網(wǎng)絡(luò)監(jiān)聽工具
Network General:Network General開發(fā)了多種產(chǎn)品。最重要的是Expert Sniffer���,它不僅僅可以sniffing��,還能夠通過高性能的專門系統(tǒng)發(fā)送/接收數(shù)據(jù)包。還有一個增強(qiáng)產(chǎn)品Distributed Snuffer System�����,可以將UNIX工作站作為Sniffer控制臺��,而將Sniffer Agents分布到遠(yuǎn)程主機(jī)上����。
Microsoft’s Net Monitor:對于某些商業(yè)站點,可能同時需要運行多種協(xié)議如NetBEUI�����、IPX/SPX、TCP/IP����、802.3和SNA等。這時很難找到一種Sniffer幫助解決網(wǎng)絡(luò)問題�����,因為許多Sniffer往往將某些正確的協(xié)議數(shù)據(jù)包當(dāng)成了錯誤數(shù)據(jù)包��。Microsoft的Net Monitor可以解決這個難題�����。它能夠正確區(qū)分諸如Netware控制數(shù)據(jù)包�����、NetBios名字服務(wù)廣播等獨特的數(shù)據(jù)包��。這個工具運行在MS Windows平臺上��。它甚至能夠按MAC地址(或主機(jī)名)進(jìn)行網(wǎng)絡(luò)統(tǒng)計和會話信息監(jiān)視���。只需簡單地單擊某個會話即可獲得tcpdump標(biāo)準(zhǔn)的輸出����。過濾器設(shè)置也是最為簡單的,只要在一個對話框中單擊需要監(jiān)視的主機(jī)即可���。
WinDump:最經(jīng)典的Unix平臺上的tepdump的Windows移植版���,和tepdump幾乎完全兼容,采用命令行方式運行����。
Tcpdump:最經(jīng)典的網(wǎng)絡(luò)監(jiān)聽工具,被大量的Unix系統(tǒng)采用����。
Dsniff:作者設(shè)計的出發(fā)點是用這個東西進(jìn)行網(wǎng)絡(luò)滲透測試��,包括一套小巧好用的小工具��,主要目標(biāo)放在口令����、用戶訪問資源等敏感資料上。
篇6
中圖分類號:TP
文獻(xiàn)標(biāo)識碼:A
文章編號:1672-3198(2010)17-0348-01
1 網(wǎng)絡(luò)流量的特征
1.1 數(shù)據(jù)流是雙向的,但通常是非對稱的
互聯(lián)網(wǎng)上大部分的應(yīng)用都是雙向交換數(shù)據(jù)的,因此網(wǎng)絡(luò)的流是雙向的���。但是兩個方向上的數(shù)據(jù)率有很大的差異,這是因為從網(wǎng)站下載時會導(dǎo)致從網(wǎng)站到客戶端方向的數(shù)據(jù)量比另外一個方向多����。
1.2 大部分TCP會話是短期的
超過90%的TCP會話交換的數(shù)據(jù)量小于10K字節(jié),會話持續(xù)時間不超過幾秒。雖然文件傳輸和遠(yuǎn)程登陸這些TCP對話都不是短期的,但是由于80%的WWW文檔傳輸都小于10K字節(jié),WWW的巨大增長使其在這方面產(chǎn)生了決定性的影響���。1.3 包的到達(dá)過程不是泊松過程
大部分傳統(tǒng)的排隊理論和通信網(wǎng)絡(luò)設(shè)計都假設(shè)包的到達(dá)過程是泊松過程,即包到達(dá)的間斷時間的分布是獨立的指數(shù)分布�。簡單的說,泊松到達(dá)過程就是事件(例如地震,交通事故,電話等)按照一定的概率獨立的發(fā)生�。泊松模型因為指數(shù)分布的無記憶性也就是事件之間的非相關(guān)性而使其在應(yīng)用上要比其他模型更加簡單。然而,近年來對互聯(lián)網(wǎng)絡(luò)通信量的測量顯示包到達(dá)的過程不是泊松過程����。包到達(dá)的間斷時間不僅不服從指數(shù)分布,而且不是獨立分布的。大部分時候是多個包連續(xù)到達(dá),即包的到達(dá)是有突發(fā)性的�。很明顯,泊松過程不足以精確地描述包的到達(dá)過程。造成這種非泊松結(jié)構(gòu)的部分原因是數(shù)據(jù)傳輸所使用的協(xié)議��。非泊松過程的現(xiàn)象迫使人們懷疑使用簡單的泊松模型研究網(wǎng)絡(luò)的可靠性,從而促進(jìn)了網(wǎng)絡(luò)通信量模型的研究����。
1.4 網(wǎng)絡(luò)通信量具有局域性
互聯(lián)網(wǎng)流量的局域性包括時間局域性和空間局域性。用戶在應(yīng)用層對互聯(lián)網(wǎng)的訪問反映在包的時間和目的地址上,從而顯示出基于時間的相關(guān)(時間局域性)和基于空間的相關(guān)(空間局域性)��。
2 網(wǎng)絡(luò)流量的測量
網(wǎng)絡(luò)流量的測量是人們研究互聯(lián)網(wǎng)絡(luò)的一個工具,通過采集和分析互聯(lián)網(wǎng)的數(shù)據(jù)流,我們可以設(shè)計出更加符合實際的網(wǎng)絡(luò)設(shè)備和更加合理的網(wǎng)絡(luò)協(xié)議。計算機(jī)網(wǎng)絡(luò)不是永遠(yuǎn)不會出錯的,設(shè)備的一小點故障都有可能使整個網(wǎng)絡(luò)癱瘓,或者使網(wǎng)絡(luò)性能明顯下降�����。例如廣播風(fēng)暴���、非法包長�����、錯誤地址��、安全攻擊等�。對互聯(lián)網(wǎng)流量的測量可以為網(wǎng)絡(luò)管理者提供詳細(xì)的信息以幫助發(fā)現(xiàn)和解決問題��?�;ヂ?lián)網(wǎng)流量的測量從不同的方面可以分為:
2.1 基于硬件的測量和基于軟件的測量
基于硬件的測量通常指使用為采集和分析網(wǎng)絡(luò)數(shù)據(jù)而特別設(shè)計的專用硬件設(shè)備進(jìn)行網(wǎng)絡(luò)流的測量,這些設(shè)備一般都比較昂貴,而且受網(wǎng)絡(luò)接口數(shù)量,網(wǎng)絡(luò)插件的類型,存儲能力和協(xié)議分析能力等諸多因素的限制��?���;谲浖臏y量通常依靠修改工作站的內(nèi)核中的網(wǎng)絡(luò)接口部分,使其具備捕獲網(wǎng)絡(luò)數(shù)據(jù)包的功能���。與基于硬件的方法比較,其費用比較低廉,但是性能比不上專用的網(wǎng)絡(luò)流量分析器�����。
2.2 主動測量和被動測量
被動測量只是記錄網(wǎng)絡(luò)的數(shù)據(jù)流,不向網(wǎng)絡(luò)流中注入任何數(shù)據(jù)���。大部分網(wǎng)絡(luò)流量測量都是被動的測量����。主動測量使用由測量設(shè)備產(chǎn)生的數(shù)據(jù)流來探測網(wǎng)絡(luò)而獲知網(wǎng)絡(luò)的信息���。例如使用ping來估計到某個目的地址的網(wǎng)絡(luò)延時��。
2.3 在線分析和離線分析
有的網(wǎng)絡(luò)流量分析器支持實時地收集和分析網(wǎng)絡(luò)數(shù)據(jù),使用可視化手段在線顯示流量數(shù)據(jù)和分析結(jié)果,大部分基于硬件的網(wǎng)絡(luò)分析器都具有這個能力�����。離線分析只是在線地收集網(wǎng)絡(luò)數(shù)據(jù),把數(shù)據(jù)存儲下來,并不對數(shù)據(jù)進(jìn)行實時的分析�����。
2.4 協(xié)議級分類
對于不同的協(xié)議,例如以太網(wǎng)(Ethernet)�、幀中繼(Frame Relay)��、異步傳輸模式(Asynchronous Transfer Mode),需要使用不同的網(wǎng)絡(luò)插件來收集網(wǎng)絡(luò)數(shù)據(jù),因此也就有了不同的通信量測試方法。
3 網(wǎng)絡(luò)流量的監(jiān)測技術(shù)
根據(jù)對網(wǎng)絡(luò)流量的采集方式可將網(wǎng)絡(luò)流量監(jiān)測技術(shù)分為:基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)��、基于SNMP的監(jiān)測技術(shù)和基于Netflow的監(jiān)測技術(shù)三種常用技術(shù)�。
3.1 基于網(wǎng)絡(luò)流量全鏡像的監(jiān)測技術(shù)
網(wǎng)絡(luò)流量全鏡像采集是目前IDS主要采用的網(wǎng)絡(luò)流量采集模式。其原理是通過交換機(jī)等網(wǎng)絡(luò)設(shè)備的端口鏡像或者通過分光器����、網(wǎng)絡(luò)探針等附加設(shè)備,實現(xiàn)網(wǎng)絡(luò)流量的無損復(fù)制和鏡像采集。和其它兩種流量采集方式相比,流量鏡像采集的最大特點是能夠提供豐富的應(yīng)用層信息��。
3.2 基于Netflow的流量監(jiān)測技術(shù)
Netflow流量信息采集是基于網(wǎng)絡(luò)設(shè)備提供的Netflow機(jī)制實現(xiàn)的網(wǎng)絡(luò)流量信息采集��。
篇7
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2009)24-6892-02
Campus Intranet Computer Network Fault Analysis and Maintenance Program
ZHANG Bo
(Network Management Center, Baoji University of Arts and Sciences, Baoji 721007, China)
Abstract: In order to enable network administrators to work easily and can be in a highly challenging and technically difficult task, so that the smooth conduct of the work, we must work to correct some habits. Otherwise, it will hinder the smooth progress of the matter. Therefore, this article will be here several unsafe methods of network management, and summed up the experience of the author's work, in view of the characteristics of these insecurities and be corrected.
Key words: cautious; update; rigid; idealistic
1 不要過于謹(jǐn)慎
為了防止網(wǎng)絡(luò)中的不利事件發(fā)生, NetopsiaSecuritatis的方法是緊緊地鎖住系統(tǒng),以至于任何人或者發(fā)生任何事情都無法改變系統(tǒng),其他授權(quán)的管理員只能登錄和修改自己的密碼,而密碼每次使用后,都有可能失效�����。這就意味著用戶能做的事情就運行程序和編輯文件,所有授權(quán)用戶只能面對一個的登錄界面和一臺普通的桌面系統(tǒng),這對用戶來說太危險了��。
實際上,我們應(yīng)該以仔細(xì)���、開放的方式管理網(wǎng)絡(luò)�。工作站面對授權(quán)用戶應(yīng)該將端口開放以便于具體工作�����。管理服務(wù)器應(yīng)在必要的時候允許安裝任何其他的附件,在網(wǎng)絡(luò)線路發(fā)生改變時,可以啟動工作站解決問題����。如果系統(tǒng)設(shè)備固定了,就失去了設(shè)備的靈活性。
2 不要頻繁更新
更新是必要的,但是NetopsiaAbsistus的工作方式是不實際的��。如果把網(wǎng)絡(luò)上的每個工作站都設(shè)置成“網(wǎng)絡(luò)喚醒”模式,而且在每天工作結(jié)束時自動關(guān)閉工作站,用這類遠(yuǎn)程控制來管理應(yīng)用程序和系統(tǒng)的升級,那么每天你都會發(fā)現(xiàn)計算機(jī)系統(tǒng)完全變成了另一個模樣,并且已經(jīng)找不到昨天使用過的任何程序了�����。這樣的確造成了一些麻煩����。
由于工作站是一種以個人計算機(jī)和分布式網(wǎng)絡(luò)計算為基礎(chǔ),主要面向?qū)I(yè)應(yīng)用領(lǐng)域,具備強(qiáng)大的數(shù)據(jù)運算與圖形、圖像處理能力,為滿足工程設(shè)計����、動畫制作、科學(xué)研究�、軟件開發(fā)、金融管理��、信息服務(wù)����、模擬仿真等專業(yè)領(lǐng)域而設(shè)計開發(fā)的高性能計算機(jī)��。另外,工作站還可分為臺式工作站和移動工作站��。因此,工作站應(yīng)該具有獨立性�����。
3 不要“貪多”
網(wǎng)絡(luò)管理員是保障網(wǎng)絡(luò)正常運行,在故障發(fā)生時迅速定位和排除錯誤,設(shè)計���、組裝、管理和維護(hù)內(nèi)部計算機(jī)網(wǎng)絡(luò),提供計算機(jī)技術(shù)咨詢與支持,以保證信息安全的專職人員���。網(wǎng)絡(luò)管理員在技術(shù)上要求熟悉網(wǎng)絡(luò)設(shè)備的性能����、連接與配置,掌握網(wǎng)絡(luò)服務(wù)的搭建����、配置與管理,能熟練使用網(wǎng)絡(luò)診斷軟件工具,及時排除網(wǎng)絡(luò)故障;具備較強(qiáng)的動手能力和學(xué)習(xí)能力,善于分析、思考問題��。因此,其技術(shù)能力可以說是隨著網(wǎng)絡(luò)的“成長”而提高的����。
因此,針對網(wǎng)絡(luò)管理工作,必須有專門IT主管否則總會有人因為工作過多而顯得力不從心,以至影響正常工作����。
4 不要工作太死板
網(wǎng)絡(luò)管理員的主要日常工作是維護(hù)公司計算機(jī)硬件,搭建與配備計算機(jī)網(wǎng)絡(luò),根據(jù)需求設(shè)計網(wǎng)絡(luò)方案;維護(hù)和監(jiān)控公司局域網(wǎng),保證其正常運行;安裝和維護(hù)公司計算機(jī)�����、服務(wù)器系統(tǒng)軟件和應(yīng)用軟件,并提供技術(shù)支持;解決排除各種軟硬件故障,做好記錄,定期制作系統(tǒng)運行報告;維護(hù)數(shù)據(jù)中心,對系統(tǒng)數(shù)據(jù)進(jìn)行備份,協(xié)助網(wǎng)站相關(guān)應(yīng)用軟件的開發(fā)��。幾乎與網(wǎng)絡(luò)的建立����、管理�、故障排除以及網(wǎng)絡(luò)安全等有關(guān)的事情都屬于網(wǎng)絡(luò)管理員的工作,因而被譽為互聯(lián)網(wǎng)的“偵察員”。
但是NetopsiaOfficiatis總有“超出我工作職責(zé)之外”的情緒,這是非?����?膳碌?��。網(wǎng)絡(luò)是一個復(fù)雜的系統(tǒng),故障與原因關(guān)系復(fù)雜,既可能是一因多果,也可能是一果多因�。一旦出了問題,網(wǎng)絡(luò)管理員就要盡快地恢復(fù)正常,加班加點也是家常便飯�。所以,要求網(wǎng)絡(luò)管理員要與時俱進(jìn),必須認(rèn)真負(fù)責(zé)廣泛涉獵與網(wǎng)絡(luò)管理相關(guān)的知識領(lǐng)域,不斷更新自己的知識和技能,跟上網(wǎng)絡(luò)“發(fā)展”的步伐。
5 不要不考慮后果
NetopsiaExperiortus總是不停地試驗各種新的補丁或升級程序�����。大多數(shù)明智的網(wǎng)絡(luò)管理員在把新的解決方案應(yīng)用到現(xiàn)有的系統(tǒng)中之前,都會在一個小的試驗網(wǎng)絡(luò)上做一下測試。但是,這類管理員卻直接在現(xiàn)有的系統(tǒng)中操作,往往給用戶的使用帶來不必要的厭煩,這倒是和用戶對頻繁更新網(wǎng)絡(luò)的管理員的反應(yīng)有幾分相像���。不同的是,頻繁更新網(wǎng)絡(luò)的管理員一定會試圖確保他的產(chǎn)品或升級行為真正有效,并且不會對網(wǎng)絡(luò)和用戶造成任何其它影響�。所以,最好還是先做試驗�。
6 不要太“理想化”
NetopsiaDictatoris對任何有可能影響網(wǎng)絡(luò)平穩(wěn)運行的事情都會激動不已。你可能會認(rèn)為這是件好事情,但是,做得有些過份就變的太理想化了����。假如保留詳盡的日志來說明網(wǎng)絡(luò)的性能達(dá)到了100%,實際上,這是在幾乎沒有任何的網(wǎng)絡(luò)資源分配給普通應(yīng)用的情況下才能表現(xiàn)出來的,在正常工作日里是不可能有的。
7 結(jié)束語
作為網(wǎng)絡(luò)管理員應(yīng)該熟悉網(wǎng)絡(luò)設(shè)備的性能�����、連接與配置,掌握網(wǎng)絡(luò)服務(wù)的搭建��、配置與管理,能熟練使用網(wǎng)絡(luò)診斷軟件工具,及時排除網(wǎng)絡(luò)故障;具備較強(qiáng)的動手能力和學(xué)習(xí)能力,善于分析��、思考問題�����。
參考文獻(xiàn):
[1] 曹廣昕.網(wǎng)管員有獎?wù)魑闹D―大型網(wǎng)絡(luò)的維護(hù)與管理[J].中國計算機(jī)用戶,1998,(50):53.
篇8
網(wǎng)絡(luò)連接故障是醫(yī)院網(wǎng)絡(luò)管理中最常見的問題��。網(wǎng)絡(luò)連接問題其具體狀況有網(wǎng)絡(luò)線路中斷,無法和其他網(wǎng)絡(luò)中的計算機(jī)進(jìn)行聯(lián)系���。其故障發(fā)生的主要原因有:相關(guān)網(wǎng)絡(luò)機(jī)器設(shè)備的網(wǎng)卡設(shè)置出錯���、相關(guān)網(wǎng)頁窗口的I/O地址出現(xiàn)沖突或中斷、RJ-45水晶頭和雙絞線沒有接觸到位�����、網(wǎng)線出現(xiàn)斷裂�、網(wǎng)絡(luò)連接設(shè)備出現(xiàn)質(zhì)量�����、中斷信號出現(xiàn)誤差及設(shè)備資源有沖突等問題����。這一系列問題都有可能導(dǎo)致網(wǎng)絡(luò)信號中斷,網(wǎng)絡(luò)連接出現(xiàn)問題����,從而影響整個醫(yī)院的網(wǎng)絡(luò)管理。
1.2網(wǎng)絡(luò)堵塞問題
在醫(yī)院的網(wǎng)絡(luò)建設(shè)中����,一些醫(yī)院為了降低網(wǎng)絡(luò)建設(shè)的成本���,在網(wǎng)絡(luò)設(shè)備上投入不大,其網(wǎng)絡(luò)設(shè)備質(zhì)量偏低�����,從而導(dǎo)致網(wǎng)絡(luò)管理的成效并不明顯�����。醫(yī)院的網(wǎng)絡(luò)管理一般是24小時不間斷工作�����,由于其設(shè)備服務(wù)器����、主交換機(jī)的運轉(zhuǎn)狀況不佳,導(dǎo)致出現(xiàn)網(wǎng)絡(luò)堵塞甚至是網(wǎng)絡(luò)癱瘓的故障問題���。這些故障在一定程度上對醫(yī)院的正常運行會產(chǎn)生很大的影響�,能夠明顯降低醫(yī)院工作人員的工作效率。
1.3安全性問題
在物聯(lián)網(wǎng)時代中�����,信息安全問題一直是社會各界非常關(guān)注的問題����。隨著醫(yī)院網(wǎng)路化進(jìn)程的加快,醫(yī)院的醫(yī)療信息和數(shù)據(jù)的管理往往依賴于網(wǎng)絡(luò)信息系統(tǒng)����。但是,首先當(dāng)前在很多醫(yī)院的網(wǎng)絡(luò)信息系統(tǒng)維護(hù)等網(wǎng)絡(luò)管理工作中還缺乏專業(yè)性的人才���,因而很多時候網(wǎng)絡(luò)出現(xiàn)故障問題的原因在于相關(guān)管理人員無法“預(yù)見”網(wǎng)絡(luò)問題;其次由于醫(yī)院網(wǎng)絡(luò)管理維護(hù)的工作人員缺少專業(yè)性的計算機(jī)網(wǎng)絡(luò)管理知識及網(wǎng)絡(luò)安全的防范意識�,使一些重要醫(yī)療數(shù)據(jù)信息沒有得到及時備份,造成數(shù)據(jù)信息丟失�,甚至出現(xiàn)醫(yī)院網(wǎng)絡(luò)賬號泄露等問題。另外�,更為嚴(yán)重的情況是計算機(jī)病毒對醫(yī)院網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊,從而對醫(yī)院網(wǎng)絡(luò)數(shù)據(jù)信息的安全造成嚴(yán)重影響�。
2醫(yī)院網(wǎng)絡(luò)管理技術(shù)問題的應(yīng)對措施
2.1網(wǎng)絡(luò)連接問題的應(yīng)對措施
正對網(wǎng)絡(luò)連接的問題,可以采取的應(yīng)對措施是:首先����,對網(wǎng)卡設(shè)置進(jìn)行檢查��,當(dāng)網(wǎng)卡檢查顯示器工作狀態(tài)正常時���,通過“網(wǎng)上鄰居”對其網(wǎng)絡(luò)連線進(jìn)行檢查;其次�����,對網(wǎng)絡(luò)的線路進(jìn)行排查��,采用相關(guān)的測線儀對網(wǎng)絡(luò)連線進(jìn)行檢測�,看內(nèi)部否存在斷裂、網(wǎng)絡(luò)連接設(shè)備是否出現(xiàn)質(zhì)量問題等��。當(dāng)網(wǎng)卡和網(wǎng)線檢測都是正常時����,便應(yīng)該對軟件設(shè)置是否存在故障進(jìn)行檢測。一般情況下�����,經(jīng)過三大步驟排查檢測���,能夠查出相關(guān)問題����。但是,為了能夠及時有效地解決問題�,相關(guān)醫(yī)務(wù)管理人員在進(jìn)行故障檢測時,需要重視對軟件和硬件兩部分的排查��,從而有利于查找出網(wǎng)絡(luò)連接問題的根本原因��。
2.2網(wǎng)絡(luò)堵塞問題的應(yīng)對措施
首先��,完善醫(yī)院的網(wǎng)絡(luò)設(shè)備���,提高網(wǎng)絡(luò)設(shè)備運行的穩(wěn)定性����,為醫(yī)院網(wǎng)絡(luò)管理的運行提供基礎(chǔ)設(shè)備保障��。其次�,當(dāng)出現(xiàn)網(wǎng)路堵塞問題時�,可以采取以下應(yīng)對措施:查看設(shè)備缺陷,打開路由器的信息庫�����,若網(wǎng)絡(luò)的平均流量小于50%時就會在信息庫顯示出來,若數(shù)據(jù)碰撞的現(xiàn)象很少時����,則表明在網(wǎng)絡(luò)結(jié)構(gòu)中只是有一部分設(shè)備有問題,或者少數(shù)工作站出現(xiàn)問題��。接著就可以對工作站的故障進(jìn)行分析�,在區(qū)域網(wǎng)中先明確工作站的地點,確定可能存有問題的工作站用戶及位置��,其有效途徑是先搜索出MAC的地址�����,然后備份相關(guān)工作站的網(wǎng)卡MAC地址����,打開對比進(jìn)行排查,再進(jìn)行精確查找��,從而得到一個精確的結(jié)果����。接下來�����,將搜索出的工作站進(jìn)行全面檢查����,這時會發(fā)現(xiàn)該工作站用戶并沒有得到計算機(jī)使用允許����,而網(wǎng)絡(luò)堵塞的狀況卻出現(xiàn)了。接著�����,連接該工作網(wǎng)站的網(wǎng)卡及相關(guān)方面網(wǎng)絡(luò)測試儀����,模擬發(fā)送流量,當(dāng)流量大幅度增加后���,數(shù)據(jù)碰撞的次數(shù)就會增加。由此可斷定�����,故障問題是出現(xiàn)在網(wǎng)卡的連接方面。另外�����,還需注意的是此類故障次檢測方式是基于所有工作站都是在同一個區(qū)域網(wǎng)中的同一個網(wǎng)段上��。
2.3安全性問題的應(yīng)對措施
醫(yī)院網(wǎng)絡(luò)數(shù)據(jù)信息安全性是一個非常嚴(yán)峻的問題����,根據(jù)當(dāng)前醫(yī)院的網(wǎng)絡(luò)建設(shè)中發(fā)生的一系列安全性故障問題,采取有效應(yīng)對措施��。首先�����,必須重視對醫(yī)療數(shù)據(jù)信息的備份�,相關(guān)管理人員必須及時準(zhǔn)確地將相關(guān)數(shù)據(jù)信息備份工作做到位,避免一些重要數(shù)據(jù)出現(xiàn)丟失����、遺漏的問題。其次����,加強(qiáng)相關(guān)管理人員網(wǎng)絡(luò)安全防范意識��,杜絕將醫(yī)院賬號和密碼泄露的狀況出現(xiàn)�����,從而在很大程度上降低醫(yī)院的信息安全事故的發(fā)生�����。此外���,對醫(yī)院網(wǎng)絡(luò)管理人員進(jìn)行相關(guān)網(wǎng)絡(luò)管理知識、計算機(jī)知識的專業(yè)培訓(xùn)�,提高預(yù)見網(wǎng)絡(luò)問題、應(yīng)對網(wǎng)絡(luò)問題的能力���。另外����,要充分運用當(dāng)前先進(jìn)的殺毒軟件進(jìn)行定期殺毒��,安裝好網(wǎng)絡(luò)防火墻�����,并及時對網(wǎng)絡(luò)“補丁”程序進(jìn)行更新�,從而有效地避免計算機(jī)病毒或網(wǎng)絡(luò)黑客的攻擊。
篇9
在應(yīng)用環(huán)境中��,管理應(yīng)用和高層管理節(jié)點與管理平臺是基于C/S(顧客/服務(wù)器)模式的分布式結(jié)構(gòu)���,即管理應(yīng)用節(jié)點和高層管理者節(jié)點與他們所以來的平臺節(jié)點可能處于不同的地理位置�����。因此考慮基于何種結(jié)構(gòu)�,采用什么樣的協(xié)議實現(xiàn)分布對象的訪問��。
多廠商設(shè)備的環(huán)境的網(wǎng)絡(luò)管理一直是網(wǎng)絡(luò)管理研究和實現(xiàn)的難點�。鑒于CORBA的分布式面向?qū)ο蟮奶攸c,在網(wǎng)管系統(tǒng)的開發(fā)中加以引用�����。
本文采用OMG的CORBA(Common Object Request Broker Architecture)做為實現(xiàn)分布管理對象訪問的設(shè)施�。CORBA是很有應(yīng)用前景的系統(tǒng)集成標(biāo)準(zhǔn),它提供了面向?qū)ο髴?yīng)用的互操作標(biāo)準(zhǔn)�����。CORBA位分布對象環(huán)境描述了面向?qū)ο蟮脑O(shè)施-----對象請求,他提供了分布對象進(jìn)行請求和應(yīng)答的機(jī)制�����。這樣CORBA提供了在異構(gòu)分布環(huán)境下不同機(jī)器的不同應(yīng)用的互操作能力和將多個對象系統(tǒng)無縫互連接的能力�。CORBA機(jī)制是獨立于任何程序設(shè)計語言的,對象的接口描述在IDL(Interface Description Language)中�����。CORBA支持兩種標(biāo)準(zhǔn)協(xié)議-----GIOP和IIOP���。GIOP是信息表示協(xié)議���,描述了所傳輸信息的格式,而IIOP則描述了CORBA所支持的傳輸協(xié)議���,即GIOP信息如何進(jìn)行交換
管理不同廠商應(yīng)用和高層管理者如何使用CORBA機(jī)制訪問相應(yīng)的管理平臺所提供的管理對象�����。使得處于不同節(jié)點的不同廠商的管理應(yīng)用和高層管理者能無縫使用分布對象提供的功能���。在這兩種情況下原理是相同的���,只是功能不同,在第一種情況下����,不同廠商的管理應(yīng)用腳本程序通過CORBA機(jī)制訪問管理平臺上的應(yīng)用管理對象�����,以實現(xiàn)同一層次上的管理功能���。在第二種情況下�,高層管理平臺上的腳本進(jìn)程通過CORBA機(jī)制訪問底層管理者為高層提供的管理對象以實現(xiàn)高層對底層的網(wǎng)絡(luò)管理功能��。
CORBA機(jī)制除支持客戶端對服務(wù)器端所提供的分布對象的訪問外�����,還提供分布對象服務(wù)功能------COSS��,它包括分布對象訪問的安全機(jī)制��、事件機(jī)制等。在網(wǎng)絡(luò)管理應(yīng)用中���,除主動詢問網(wǎng)絡(luò)管理信息以管理�、監(jiān)視網(wǎng)絡(luò)的運行狀態(tài)外��,還有一種應(yīng)用是被管理對象在發(fā)生故障和事件時�,向管理者提出事件處理請求。CORBA中的事件服務(wù)機(jī)制恰好可以滿足這一需求����。
2.5網(wǎng)絡(luò)管理分類及功能
事實上,網(wǎng)絡(luò)管理技術(shù)是伴隨著計算機(jī)�、網(wǎng)絡(luò)和通信技術(shù)的發(fā)展而發(fā)展的,二者相輔相成��。從網(wǎng)絡(luò)管理范疇來分類����,可分為對網(wǎng)“路”的管理。即針對交換機(jī)���、路由器等主干網(wǎng)絡(luò)進(jìn)行管理�;對接入設(shè)備的管理���,即對內(nèi)部PC�、服務(wù)器、交換機(jī)等進(jìn)行管理�����;對行為的管理���。即針對用戶的使用進(jìn)行管理;對資產(chǎn)的管理�,即統(tǒng)計IT軟硬件的信息等。根據(jù)網(wǎng)管軟件的發(fā)展歷史���,可以將網(wǎng)管軟件劃分為三代:
第一代網(wǎng)管軟件就是最常用的命令行方式�,并結(jié)合一些簡單的網(wǎng)絡(luò)監(jiān)測工具���,它不僅要求使用者精通網(wǎng)絡(luò)的原理及概念��,還要求使用者了解不同廠商的不同網(wǎng)絡(luò)設(shè)備的配置方法��。
第二代網(wǎng)管軟件有著良好的圖形化界面�����。用戶無須過多了解設(shè)備的配置方法����,就能圖形化地對多臺設(shè)備同時進(jìn)行配置和監(jiān)控。大大提高了工作效率���,但仍然存在由于人為因素造成的設(shè)備功能使用不全面或不正確的問題數(shù)增大����,容易引發(fā)誤操作�����。
第三代網(wǎng)管軟件相對來說比較智能����,是真正將網(wǎng)絡(luò)和管理進(jìn)行有機(jī)結(jié)合的軟件系統(tǒng),具有“自動配置”和“自動調(diào)整”功能���。對網(wǎng)管人員來說����,只要把用戶情況��、設(shè)備情況以及用戶與網(wǎng)絡(luò)資源之間的分配關(guān)系輸入網(wǎng)管系統(tǒng),系統(tǒng)就能自動地建立圖形化的人員與網(wǎng)絡(luò)的配置關(guān)系����,并自動鑒別用戶身份,分配用戶所需的資源(如電子郵件����、Web、文檔服務(wù)等)��。
根據(jù)國際標(biāo)準(zhǔn)化組織定義網(wǎng)絡(luò)管理有五大功能:故障管理�、配置管理、性能管理���、安全管理、計費管理����。對網(wǎng)絡(luò)管理軟件產(chǎn)品功能的不同,又可細(xì)分為五類����,即網(wǎng)絡(luò)故障管理軟件,網(wǎng)絡(luò)配置管理軟件�����,網(wǎng)絡(luò)性能管理軟件,網(wǎng)絡(luò)服務(wù)/安全管理軟件��,網(wǎng)絡(luò)計費管理軟件����。
下面我們來簡單介紹一下大家熟悉的網(wǎng)絡(luò)故障管理、網(wǎng)絡(luò)配置管理�����、網(wǎng)絡(luò)性能管理����、網(wǎng)絡(luò)計費管理和網(wǎng)絡(luò)安全管理五個方面網(wǎng)絡(luò)管理功能:
ISO在ISO/IEC 7498-4文檔中定義了網(wǎng)絡(luò)管理的五大功能,并被廣泛接受����。這五大功能是:
(1)故障管理(fault management)
故障管理是網(wǎng)絡(luò)管理中最基本的功能之一。用戶都希望有一個可靠的計算機(jī)網(wǎng)絡(luò)����。當(dāng)網(wǎng)絡(luò)中某個組成失效時,網(wǎng)絡(luò)管理器必須迅速查找到故障并及時排除�����。通常不大可能迅速隔離某個故障,因為網(wǎng)絡(luò)故障的產(chǎn)生原因往往相當(dāng)復(fù)雜���,特別是當(dāng)故障是由多個網(wǎng)絡(luò)組成共同引起的���。在此情況下,一般先將網(wǎng)絡(luò)修復(fù)���,然后再分析網(wǎng)絡(luò)故障的原因��。分析故障原因?qū)τ诜乐诡愃乒收系脑侔l(fā)生相當(dāng)重要����。網(wǎng)絡(luò)故障管理包括故障檢測��、隔離和糾正三方面�,應(yīng)包括以下典型功能:
.維護(hù)并檢查錯誤日志
.接受錯誤檢測報告并做出響應(yīng)
.跟蹤����、辨認(rèn)錯誤
.執(zhí)行診斷測試
.糾正錯誤
對網(wǎng)絡(luò)故障的檢測依據(jù)對網(wǎng)絡(luò)組成部件狀態(tài)的監(jiān)測。不嚴(yán)重的簡單故障通常被記錄在錯誤日志中����,并不作特別處理;而嚴(yán)重一些的故障則需要通知網(wǎng)絡(luò)管理器��,即所謂的"警報"����。 一般網(wǎng)絡(luò)管理器應(yīng)根據(jù)有關(guān)信息對警報進(jìn)行處理��,排除故障���。當(dāng)故障比較復(fù)雜時���,網(wǎng)絡(luò)管理 器應(yīng)能執(zhí)行一些診斷測試來辨別故障原因。
(2)計費管理(accounting management)
計費管理記錄網(wǎng)絡(luò)資源的使用���,目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價����。它對一些公共商業(yè)網(wǎng)絡(luò)尤為重要�����。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費用和代價,以及已經(jīng)使用的資源���。網(wǎng)絡(luò)管理員還可規(guī)定用戶可使用的最大費用�����,從而控制用戶過多占用和使用網(wǎng)絡(luò) 資源�。這也從另一方面提高了網(wǎng)絡(luò)的效率����。另外,當(dāng)用戶為了一個通信目的需要使用多個網(wǎng)絡(luò)中的資源時�,計費管理應(yīng)可計算總計費用。
(3)配置管理(configuration management)
配置管理同樣相當(dāng)重要���。它初始化網(wǎng)絡(luò)����、并配置網(wǎng)絡(luò)��,以使其提供網(wǎng)絡(luò)服務(wù)����。配置管理 是一組對辨別����、定義����、控制和監(jiān)視組成一個通信網(wǎng)絡(luò)的對象所必要的相關(guān)功能���,目的是為了 實現(xiàn)某個特定功能或使網(wǎng)絡(luò)性能達(dá)到最優(yōu)��。
這包括:
.設(shè)置開放系統(tǒng)中有關(guān)路由操作的參數(shù)
.被管對象和被管對象組名字的管理
.初始化或關(guān)閉被管對象
.根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息
.獲取系統(tǒng)重要變化的信息
.更改系統(tǒng)的配置
(4)性能管理(performance management)
性能管理估價系統(tǒng)資源的運行狀況及通信效率等系統(tǒng)性能���。其能力包括監(jiān)視和分析被管網(wǎng)絡(luò)及其所提供服務(wù)的性能機(jī)制。性能分析的結(jié)果可能會觸發(fā)某個診斷測試過程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能���。性能管理收集分析有關(guān)被管網(wǎng)絡(luò)當(dāng)前狀況的數(shù)據(jù)信息��,并維持和分析性能日志�����。一些典型的功能包括:
.收集統(tǒng)計信息
.維護(hù)并檢查系統(tǒng)狀態(tài)日志
.確定自然和人工狀況下系統(tǒng)的性能
.改變系統(tǒng)操作模式以進(jìn)行系統(tǒng)性能管理的操作
(5)安全管理(security management)
安全性一直是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一�,而用戶對網(wǎng)絡(luò)安全的要求又相當(dāng)高���,因此網(wǎng)絡(luò)安全管理非常重要�。網(wǎng)絡(luò)中主要有以下幾大安全問題:
網(wǎng)絡(luò)數(shù)據(jù)的私有性(保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵 入者非法獲取),
授權(quán)(authentication)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯誤信息)��,
訪問控制(控制訪問控制(控制對網(wǎng)絡(luò)資源的訪問)��。
相應(yīng)的�,網(wǎng)絡(luò)安全管理應(yīng)包括對授權(quán)機(jī)制、訪問控制 �����、加密和加密關(guān)鍵字的管理���,另外還要維護(hù)和檢查安全日志���。包括:
.創(chuàng)建、刪除�����、控制安全服務(wù)和機(jī)制
.與安全相關(guān)信息的分布
.與安全相關(guān)事件的報告
網(wǎng)絡(luò)管理中的關(guān)鍵
網(wǎng)絡(luò)迅速發(fā)展�����,導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)更為復(fù)雜;網(wǎng)絡(luò)應(yīng)用的日新月異����,讓網(wǎng)絡(luò)管理員每天都要面對新的問題���。很多企事業(yè)單位����,在遇到網(wǎng)絡(luò)問題不知道應(yīng)該如何去解決���,看流量���,拔網(wǎng)線等手段,排查周期長�,也很難真正找出問題。
網(wǎng)絡(luò)發(fā)展到一定階段���,必然要考慮到網(wǎng)絡(luò)性能����、網(wǎng)絡(luò)故障與網(wǎng)絡(luò)安全性問題��。只有通過運用網(wǎng)絡(luò)分析技術(shù)對網(wǎng)絡(luò)流通數(shù)據(jù)的清晰認(rèn)識,才能為故障的排查���,性能的提升����,以及網(wǎng)絡(luò)安全的解決提供可靠的數(shù)據(jù)依據(jù)���。
信息應(yīng)用與治理
網(wǎng)絡(luò)最大的價值���,是在于信息化的應(yīng)用。當(dāng)出現(xiàn)故障不能及時解決����,既使有再好的電子商務(wù)、電子政務(wù)���,也只是一個擺設(shè)�����。無論是安全�����、性能還是故障性問題���,不能快速解決�����,給企業(yè)帶來的是難以衡量的損失。
治理并不是簡單的網(wǎng)絡(luò)管理��,它需要管理者對網(wǎng)絡(luò)中所有設(shè)備完全掌握��,包括每個網(wǎng)卡地址����,以及所處的位置。通過對網(wǎng)絡(luò)傳輸中的數(shù)據(jù)進(jìn)行全面監(jiān)控分析����,才能從網(wǎng)絡(luò)底層數(shù)據(jù)獲取各種網(wǎng)絡(luò)應(yīng)用行為造成的網(wǎng)絡(luò)問題,并快速的定位到網(wǎng)卡的位置���。從而在安全策略上更好的防范���,對故障和性能更合理的管理�����。
一勞永逸的誤區(qū)
從管理角度的考慮���,往往期望絡(luò)故障和安全性問題可以自動解決。但歷經(jīng)多年�,沒有任何產(chǎn)品能做到。雖然許多企業(yè)部署了非常好的安全防護(hù)產(chǎn)品���,但仍然會受到網(wǎng)絡(luò)攻擊和病毒危害���。根本原因在于,網(wǎng)絡(luò)應(yīng)用本身就在不斷的發(fā)展�,新的病毒以及病毒變種,都很難被基于特征庫或病毒庫的產(chǎn)品所識別�����。要解決這些問題��,則要求網(wǎng)絡(luò)管理員隨時都能查看到網(wǎng)絡(luò)中真實的數(shù)據(jù)���,最快的發(fā)現(xiàn)引起問題的原因�。
網(wǎng)絡(luò)拓?fù)鋱DVS矩陣圖
網(wǎng)絡(luò)拓?fù)鋱D要求這些交換設(shè)備都必須支持SNMP(簡單網(wǎng)絡(luò)管理協(xié)議),它能直觀能看到網(wǎng)絡(luò)結(jié)構(gòu)�����,但看不到終端主機(jī)�����;它能看到設(shè)備斷網(wǎng)情況和粗略流量�,但對網(wǎng)絡(luò)問題的解決能力并不實用��。
從技術(shù)趨勢來看���,矩陣圖(Matrix)將更適合網(wǎng)絡(luò)管理的需要�。矩陣圖也被稱為主機(jī)連接圖���,可以監(jiān)控每臺主機(jī)(包括交換設(shè)備)之間的通訊連接�,極大的提高了監(jiān)控范圍�����,監(jiān)控范圍深入到每臺主機(jī)之間的各種應(yīng)用���,包括通訊����、資源占用、活躍程度��、服務(wù)應(yīng)用等��,管理者可以監(jiān)控到每臺主機(jī)的一舉一動�,各種網(wǎng)絡(luò)問題都會在矩陣中表現(xiàn)出異常。如:BT下載�����、DDOS攻擊��、ARP攻擊���、木馬掃描等�����。
"診斷專家"快速提高解決能力
網(wǎng)絡(luò)分析不僅提供網(wǎng)絡(luò)依據(jù)��,更重要的是幫助管理者提高問題的解決能力����。"診斷專家"則是一個從問題原因到問題結(jié)果的完整解釋。好的網(wǎng)絡(luò)分析產(chǎn)品���,可以自動提取問題的相關(guān)數(shù)據(jù)�,并告訴管理者網(wǎng)絡(luò)中存在有哪些問題���,可能產(chǎn)生的原因�,有什么辦法可以解決�����,ARP攻擊的快速定位則是一個很好的證明�。
網(wǎng)絡(luò)數(shù)據(jù)的回放能力
好的網(wǎng)絡(luò)分析產(chǎn)品����,都具有網(wǎng)絡(luò)數(shù)據(jù)的回放能力,將網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行7x24小時記錄���,可以按每天或每小時來記錄�。如果要分析昨天某個時段出現(xiàn)的網(wǎng)絡(luò)故障,只需要將當(dāng)時保存的數(shù)據(jù)包進(jìn)行播放��,同時通過網(wǎng)絡(luò)分析來追溯故障是如何發(fā)生的�����,使網(wǎng)絡(luò)管理對歷史問題追查能力得到明顯提高�。
2.6網(wǎng)絡(luò)管理體系結(jié)構(gòu)及技術(shù)
1 WBM 技術(shù)介紹
隨著應(yīng)用Intranet的企業(yè)的增多,同時Internet技術(shù)逐漸向Intranet的遷移�����,一些主要的網(wǎng)絡(luò)廠商正試圖以一種新的形式去應(yīng)用M I S �����。因此就促使了W e b ( W e b - B a s e dManagement)網(wǎng)管技術(shù)的產(chǎn)生[2]�����。它作為一種全新的網(wǎng)絡(luò)管理模式—基于Web的網(wǎng)絡(luò)管理模式����,從出現(xiàn)伊始就表現(xiàn)出強(qiáng)大的生命力,以其特有的靈活性��、易操作性等特點贏得了許多技術(shù)專家和用戶的青睞,被譽為是“將改變用戶網(wǎng)絡(luò)管理方式的革命性網(wǎng)絡(luò)管理解決方案”����。
WBM融合了Web功能與網(wǎng)管技術(shù),從而為網(wǎng)管人員提供了比傳統(tǒng)工具更強(qiáng)有力的能力�。WBM可以允許網(wǎng)絡(luò)管理人員使用任何一種Web瀏覽器,在網(wǎng)絡(luò)任何節(jié)點上方便迅速地配置��、控制以及存取網(wǎng)絡(luò)和它的各個部分���。因此�����,他們不再只拘泥于網(wǎng)管工作站上了�����,并且由此能夠解決很多由于多平臺結(jié)構(gòu)產(chǎn)生的互操作性問題�����。WBM提供比傳統(tǒng)的命令驅(qū)動的遠(yuǎn)程登錄屏幕更直接、更易用的圖形界面����,瀏覽器操作和W e b頁面對W W W用戶來講是非常熟悉的����,所以WBM的結(jié)果必然是既降低了MIS全體培訓(xùn)的費用又促進(jìn)了更多的用戶去利用網(wǎng)絡(luò)運行狀態(tài)信息����。所以說,WBM是網(wǎng)絡(luò)管理方案的一次革命�。
2 基于WBM 技術(shù)的網(wǎng)管系統(tǒng)設(shè)計
系統(tǒng)的設(shè)計目標(biāo)
在本系統(tǒng)設(shè)計階段,就定下以開發(fā)基于園區(qū)網(wǎng)��、Web模式的具有自主版權(quán)的中文網(wǎng)絡(luò)管理系統(tǒng)軟件為目標(biāo)���,采用先進(jìn)的WBM技術(shù)和高效的算法�����,力求在性能上可以達(dá)到國外同類產(chǎn)品的水平�。
本網(wǎng)管系統(tǒng)提供基于WEB的整套網(wǎng)管解決方案���。它針對分布式IP網(wǎng)絡(luò)進(jìn)行有效資源管理�����,使用戶可以從任何地方通過WEB瀏覽器對網(wǎng)絡(luò)和設(shè)備�����,以及相關(guān)系統(tǒng)和服務(wù)實施應(yīng)變式管理和控制��,從而保證網(wǎng)絡(luò)上的資源處于最佳運行狀態(tài)���,并保持網(wǎng)絡(luò)的可用性和可靠性����。
系統(tǒng)的體系結(jié)構(gòu)
在系統(tǒng)設(shè)計的時候�����,以國外同類的先進(jìn)產(chǎn)品作為參照物��,同時考慮到技術(shù)發(fā)展的趨勢��,在當(dāng)前的技術(shù)條件下進(jìn)行設(shè)計�����。我們采用三層結(jié)構(gòu)的設(shè)計��,融合了先進(jìn)的WBM技術(shù)�����,使系統(tǒng)能夠提供給管理員靈活簡便的管理途徑��。
三層結(jié)構(gòu)的特點[2]:1)完成管理任務(wù)的軟件作為中間層以后臺進(jìn)程方式實現(xiàn)�����,實施網(wǎng)絡(luò)設(shè)備的輪詢和故障信息的收集��;2)管理中間件駐留在網(wǎng)絡(luò)設(shè)備和瀏覽器之間���,用戶僅需通過管理中間層的主頁存取被管設(shè)備��;3)管理中間件中繼轉(zhuǎn)發(fā)管理信息并進(jìn)行S N M P 和H T T P之間的協(xié)議轉(zhuǎn)換三層結(jié)構(gòu)無需對設(shè)備作任何改變���。
網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)算法的設(shè)計
為了實施對網(wǎng)絡(luò)的管理,網(wǎng)管系統(tǒng)必須有一個直觀的����、友好的用戶界面來幫助管理員。其中最基本的一個幫助就是把網(wǎng)絡(luò)設(shè)備的拓?fù)潢P(guān)系以圖形的方式展現(xiàn)在用戶面前����,即拓?fù)浒l(fā)現(xiàn)��。目前廣泛采用的拓?fù)浒l(fā)現(xiàn)算法是基于SNMP的拓?fù)浒l(fā)現(xiàn)算法�����?�;赟NMP的拓?fù)渌惴ㄔ谝欢ǔ潭壬鲜欠浅S行У?����,拓?fù)涞乃俣纫卜浅��??���。但它存在一個缺陷[3]���。那就是�����,在一個特定的域中�����,所有的子網(wǎng)的信息都依賴于設(shè)備具有SNMP的特性��,如果系統(tǒng)不支持SNMP�����,則這種方法就無能為力了��。還有對網(wǎng)絡(luò)管理的不重視����,或者考慮到安全方面的原因�,人們往往把網(wǎng)絡(luò)設(shè)備的SNMP功能關(guān)閉,這樣就難于取得設(shè)備的M I B值����,就出現(xiàn)了拓?fù)涞牟煌暾裕瑖?yán)重影響了網(wǎng)絡(luò)管理系統(tǒng)的功能��。針對這一的問題����,下面討論本系統(tǒng)對上述算法的改進(jìn)—基于ICMP協(xié)議的拓?fù)浒l(fā)現(xiàn)�����。
PING和路由建立
PING的主要操作是發(fā)送報文��,并簡單地等待回答����。PING之所以如此命名��,是因為它是一個簡單的回顯協(xié)議�,使用ICMP響應(yīng)請求與響應(yīng)應(yīng)答報文。PING主要由系統(tǒng)程序員用于診斷和調(diào)試實現(xiàn)PING的過程主要是:首先向目的機(jī)器發(fā)送一個響應(yīng)請求的ICMP報文���,然后等待目的機(jī)器的應(yīng)答�,直到超時����。如收到應(yīng)答報文,則報告目的機(jī)器運行正常����,程序退出。
路由建立的功能就是利用I P 頭中的TTL域。開始時信源設(shè)置IP頭的TTL值為0��,發(fā)送報文給信宿�,第一個網(wǎng)關(guān)收到此報文后,發(fā)現(xiàn)TTL值為0�����,它丟棄此報文��,并發(fā)送一個類型為超時的ICMP報文給信源�。信源接收到此報文后對它進(jìn)行解析�,這樣就得到了路由中的第一個網(wǎng)關(guān)地址。然后信源發(fā)送TTL值為1的報文給信宿��,第一個網(wǎng)關(guān)把它的TTL值減為0后轉(zhuǎn)發(fā)給第二個網(wǎng)關(guān)��,第二個網(wǎng)關(guān)發(fā)現(xiàn)報文TTL值為0��,丟棄此報文并向信源發(fā)送超時ICMP報文����。這樣就得到了路由中和第二個網(wǎng)關(guān)地址。如此循環(huán)下去�,直到報文正確到達(dá)信宿,這樣就得到了通往信宿的路由。
網(wǎng)絡(luò)拓?fù)涞陌l(fā)現(xiàn)算法具體實現(xiàn)的步驟:
(1)于給定的IP區(qū)間����,利用PING依次檢測每個IP地址,將檢測到的IP地址記錄到IP地址表中�����。
(2)對第一步中查到的每個IP地址進(jìn)行traceroute操作�����,記錄到這些IP地址的路由�。并把每條路由中的網(wǎng)關(guān)地址也加到IP表中。
(3)對IP地址表中的每個IP地址����,通過發(fā)送掩碼請求報文與接收掩碼應(yīng)答報文,找到這些IP地址的子網(wǎng)掩碼����。
(4)根據(jù)子網(wǎng)掩碼,確定對應(yīng)每個IP地址的子網(wǎng)地址���,并確定各個子網(wǎng)的網(wǎng)絡(luò)類型��。把查到的各個子網(wǎng)加入地址表中�。
(5)試圖得到與IP地址表中每個IP地址對應(yīng)的域名(Domain Name),如具有相同域名���,則說明同一個網(wǎng)絡(luò)設(shè)備具有多個IP地址���,即具有多個網(wǎng)絡(luò)接口。
(6)根據(jù)第二步中的路由與第四步中得到的子網(wǎng)�����,產(chǎn)生連接情況表���。
第三章 網(wǎng)絡(luò)維護(hù)
3.1概述
網(wǎng)絡(luò)故障極為普遍,網(wǎng)絡(luò)故障的種類也多種多樣��,要在網(wǎng)絡(luò)出現(xiàn)故障時及時對出現(xiàn)故障的網(wǎng)絡(luò)進(jìn)行維護(hù)����,以最快的速度恢復(fù)網(wǎng)絡(luò)的正常運行,掌握一套行之有效的網(wǎng)絡(luò)維護(hù)理論�����、方法和技術(shù)是關(guān)鍵。就網(wǎng)絡(luò)中常見故障進(jìn)行分類�,并對各種常見網(wǎng)絡(luò)故障提出相應(yīng)的解決方法。
隨著計算機(jī)的廣泛應(yīng)用和網(wǎng)絡(luò)的日趨流行����,功能獨立的多個計算機(jī)系統(tǒng)互聯(lián)起來,互聯(lián)形成日漸龐大的網(wǎng)絡(luò)系統(tǒng)����。計算機(jī)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運轉(zhuǎn)已與功能完善的網(wǎng)絡(luò)軟件密不可分。計算機(jī)網(wǎng)絡(luò)系統(tǒng)��,就是利用通訊設(shè)備和線路將地理位置不同的��、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等共享��,包括硬件資源和軟件資源的共享:因此�,如何有效地做好本單位計算機(jī)網(wǎng)絡(luò)的日常維護(hù)工作,確保其安全穩(wěn)定地運行�����,這是網(wǎng)絡(luò)運行維護(hù)人員的一項非常重要的工作���。
在排除比較復(fù)雜網(wǎng)絡(luò)的故障時��,我們常常要從多種角度來測試和分析故障的現(xiàn)象����,準(zhǔn)確確定故障點。
3.2分析模型和方法
七層的網(wǎng)絡(luò)結(jié)構(gòu)分析模型方法
從網(wǎng)絡(luò)的七層結(jié)構(gòu)的定義和功能上逐一進(jìn)行分析和排查���,這是傳統(tǒng)的而且最基礎(chǔ)的分析和測試方法���。這里有自下而上和自上而下兩種思路。自下而上是:從物理層的鏈路開始檢測直到應(yīng)用����。自上而下是:從應(yīng)用協(xié)議中捕捉數(shù)據(jù)包,分析數(shù)據(jù)包統(tǒng)計和流量統(tǒng)計信息�,以獲得有價值的資料。
網(wǎng)絡(luò)連接結(jié)構(gòu)的分析方法
從網(wǎng)絡(luò)的連接構(gòu)成來看�����,大致可以分成客戶端��、網(wǎng)絡(luò)鏈路���、服務(wù)器端三個模塊�。
1�����、客戶端具備網(wǎng)絡(luò)的七層結(jié)構(gòu)��,也會出現(xiàn)從硬件到軟件����、從驅(qū)動到應(yīng)用程序、從設(shè)置錯誤到病毒等的故障問題����。所以在分析和測試客戶端的過程中要有大量的背景知識,有時PC的發(fā)燒經(jīng)驗也會有所幫助�。也可以在實際測試過程中詢問客戶端的用戶,分析他們反映的問題是個性的還是共性的��,這將有助于自己對客戶端的進(jìn)一步檢測作出決定�����。
2�、來自網(wǎng)絡(luò)鏈路的問題通常需要網(wǎng)管、現(xiàn)場測試儀����,甚至需要用協(xié)議分析儀來幫助確定問題的性質(zhì)和原因��。對于這方面的問題分析需要有堅實的網(wǎng)絡(luò)知識和實踐經(jīng)驗�,有時實踐經(jīng)驗會決定排除故障的時間��。
3���、在分析服務(wù)器端的情況時更需要有網(wǎng)絡(luò)應(yīng)用方面的豐富知識�����,要了解服務(wù)器的硬件性能及配置情況���、系統(tǒng)性能及配置情況、網(wǎng)絡(luò)應(yīng)用及對服務(wù)器的影響情況�。
工具型分析方法
工具型分析方法有強(qiáng)大的各種測試工具和軟件,它們的自動分析能快速地給出網(wǎng)絡(luò)的各種參數(shù)甚至是故障的分析結(jié)果�����,這對解決常見網(wǎng)絡(luò)故障非常有效�����。
綜合及經(jīng)驗型分析方法靠時間����、錯誤和成功經(jīng)驗的積累 在大多數(shù)的阿絡(luò)維護(hù)工作人員的工作中是采用這個方法的,再依靠網(wǎng)管和測試工具迅速定位網(wǎng)絡(luò)的故障�����。
3.3計算機(jī)無法上網(wǎng)故障的排除
1�����、對于某網(wǎng)計算機(jī)上不了網(wǎng)的故障���,首先要分別確定此計算機(jī)的網(wǎng)卡安裝是否正確���,是否存在硬件故障,網(wǎng)絡(luò)配置是否正確在實際工作中我們一般采用Ping本機(jī)的回送地址(127.0.0.1)來判斷網(wǎng)卡硬件安裝和TCP/IP協(xié)議的正確性����。
如果能Ping通,即說明這部分沒有問題���。如果出現(xiàn)超時情況��,則要檢查計算機(jī)的網(wǎng)卡是否與機(jī)器上的其它設(shè)備存在中斷沖突的問題����。通過查看系統(tǒng)屬性中的設(shè)備管理器,查看是否在網(wǎng)絡(luò)適配器的設(shè)備前面有黃色驚嘆號或紅色叉號�����,如有則說明硬件的驅(qū)動程序沒有安裝成功�����,可刪除后重新安裝�����。另外����,要確保TCP/IP協(xié)議安裝的正確性,并且要綁定在你所安裝的網(wǎng)卡上�����。如果重新安裝后還是Ping不通回送地址,最好換上一塊正常的網(wǎng)卡試一試�����。由于在局域網(wǎng)中劃分了VLAN��,所以連在不同VLAN中的計算機(jī)都有各自不同的IP地址���、子網(wǎng)掩碼和網(wǎng)關(guān)。要在機(jī)器的網(wǎng)絡(luò)屬性中設(shè)定的IP地址等數(shù)據(jù)與連接的VLAN相匹配��,否則將出現(xiàn)網(wǎng)絡(luò)不通的情況���。
當(dāng)確保了計算機(jī)的硬件設(shè)備和網(wǎng)絡(luò)配置正確后�,接著就要查看計算機(jī)與交換機(jī)之間的雙絞線�����,交換機(jī)的RJ45端口或交換機(jī)的配置是否有問題���。此時我們要Ping上網(wǎng)計算機(jī)所在VLAN的網(wǎng)關(guān)���,不通的話就要分段檢查上面所說的各項。
最簡單的方法是檢查雙絞線,用線纜測試儀檢測雙絞線是否斷開�����。雙絞線沒有問題��,就要查看交換機(jī)的端口是否壞了��。交換機(jī)每一個端口都有狀態(tài)指示燈以詢問一下其它網(wǎng)管人員就可以排除了����,如果不放心可以對照查看。交換機(jī)的參數(shù)配置表也是網(wǎng)絡(luò)管理員必備的資料之一�,并且隨著網(wǎng)絡(luò)用戶的變化要不斷地修改,檢測到此�����,如果端口指示燈不亮�����,就只能是端口損壞了���,可以把跳線接到正常使用的端口上排除其它原因��,確定是端口的問題�。
2、一批聯(lián)網(wǎng)計算機(jī)上不了網(wǎng)對于同時有一批計算機(jī)上不了網(wǎng)的故障����,首先要找到這些計算機(jī)的共性��,如是不是屬于同一VLAN或接在同一交換機(jī)上的�����,若這些計算機(jī)屬于同一VLAN��,且屬于計算機(jī)分別連接于不同的樓層交換機(jī)���,那么檢查一下路由器上是否有acl限制��,在路由器上對該VLAN的配置是否正確�����,路由協(xié)議(如我局的OSPF協(xié)議)是否配置正確���。若這些計算機(jī)屬于同一交換機(jī)���,則應(yīng)到機(jī)房檢查該交換機(jī)是否有電源松落情況,或該交換機(jī)CPU負(fù)載率是否很高�,與上一級網(wǎng)絡(luò)設(shè)備的鏈路是否正常。
通常某交換機(jī)連接的所有電腦都不能正常與網(wǎng)內(nèi)其它電腦通訊����,這是典型的交換機(jī)死機(jī)現(xiàn)象,可以通過重新啟動交換機(jī)的方法解決�����。如果重新啟動后故障依舊����,則檢查一下那臺交換機(jī)連接的所有電腦,看逐個斷開連接的每臺電腦的情況����,慢慢定位到某個故障電腦,會發(fā)現(xiàn)多半是某臺電腦上的網(wǎng)卡故障導(dǎo)致的���。
故障通常是交換機(jī)的某個端口變得非常緩慢����,最后導(dǎo)致整臺交換機(jī)或整個堆疊慢下來。通過控制臺檢查交換機(jī)的狀態(tài)����,發(fā)現(xiàn)交換機(jī)的緩沖池增長得非常快��,達(dá)到了90%或更多�。原因及解決方法為:首先應(yīng)該使用其它電腦更換這個端口上原來的連接,看是否由這個端口連接的那臺電腦的網(wǎng)絡(luò)故障導(dǎo)致的��,也可以重新設(shè)置出錯的端口并重新啟動交換機(jī)���,個別時候,可能是這個端口損壞了��。
3.4計算機(jī)網(wǎng)絡(luò)故障分析
計算機(jī)網(wǎng)絡(luò)故障主要分為硬件故障和軟件故障��,對計算機(jī)網(wǎng)絡(luò)故障進(jìn)行分析也主要可以從硬件與軟件兩個方面著手:
(一)計算機(jī)網(wǎng)絡(luò)故障分析與診斷的基本方法
計算機(jī)網(wǎng)絡(luò)故障分析與診斷的原則可歸納為:由服務(wù)器到工作站(就是出現(xiàn)工作站不能入網(wǎng)的情況時�,先確定服務(wù)器是否有問題);由外部到內(nèi)部(即當(dāng)有工作站出現(xiàn)網(wǎng)絡(luò)故障時��,先檢查其外部直接可看到的設(shè)備情況�,如與之相連的交換機(jī)或集線器有沒有故障,電纜有無纏繞導(dǎo)致內(nèi)部線纜斷裂或接觸不良)��;由軟件到硬件(就是網(wǎng)絡(luò)出故障后先從操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議��、網(wǎng)卡驅(qū)動程序及配置上找原因���。重新安裝網(wǎng)卡驅(qū)動或網(wǎng)絡(luò)協(xié)議����、操作系統(tǒng)�����,看看故障是否消失���。在確定排除軟件問題后再檢查硬件是否損壞�����。
(二)網(wǎng)絡(luò)硬件故障的分析與診斷方法
網(wǎng)絡(luò)中的硬件故障比較復(fù)雜�,現(xiàn)就日常工作中常見的網(wǎng)絡(luò)連線問題和網(wǎng)卡問題來進(jìn)行探討��。如�����,網(wǎng)線至交換機(jī)或集線器之間的故障分析與診斷方法,故障診斷:通過看網(wǎng)卡指示燈集線器指示燈��。首先���,檢查網(wǎng)線是否插好����;其次�,若有數(shù)臺工作站同時出現(xiàn)網(wǎng)絡(luò)故障,則有可能是連接這些計算機(jī)的交換機(jī)或集線器出故障����。如�����,網(wǎng)卡故障�,故障分析:這是最常發(fā)生的問題。如網(wǎng)卡設(shè)置錯誤�����,網(wǎng)卡在安裝過程中是否正確地設(shè)置中斷號�����,I/0端口地址,驅(qū)動程序是否出錯��,網(wǎng)卡是否出故障等�����。
(三)網(wǎng)絡(luò)配置故障的分析與診斷
故障分析:網(wǎng)絡(luò)配置故障就是由網(wǎng)絡(luò)中的各項配置不當(dāng)而產(chǎn)生的故障��。它是一種較復(fù)雜的現(xiàn)象��,不但要檢查服務(wù)器的各項配置�����、工作站的各項配置��,還要根據(jù)出現(xiàn)的錯誤信息和現(xiàn)象查出原因�����。如�����,域名、計算機(jī)名和地址故障的分析與診斷�����。故障分析:在實際工作中經(jīng)常會出現(xiàn)在“網(wǎng)上鄰居”中看不到其它計算機(jī)或只能看到部分計算機(jī)���,無法找到指定的計算機(jī)等現(xiàn)象�����。故障診斷:檢查網(wǎng)絡(luò)中每個域��、每臺計算機(jī)的名稱是否唯一�����;檢查網(wǎng)絡(luò)中的計算機(jī)名是否和域名或工作組名重復(fù),使用TCP/IP時��,檢查分配給網(wǎng)絡(luò)適配器的IP地址有無重復(fù)��。在如協(xié)議故障的分析與診斷����,故障分析:確認(rèn)您所使用的協(xié)議與網(wǎng)絡(luò)上其它計算機(jī)使用的協(xié)議相同����。否則����,將看不到網(wǎng)絡(luò)上其它計算機(jī)。在配置和使用TCP/IP協(xié)議時的主要問題是IP地址���、子網(wǎng)掩碼和路由問題�。IP地址的分配復(fù)雜���,分配不好���,容易造成網(wǎng)絡(luò)混亂。因而����,非網(wǎng)管人員不要隨意修改IP地址。
3.5故障定位及排除的常用方法
1.告警性能分析法
通過網(wǎng)管獲取告警和性能信息進(jìn)行故障定位�����。我們單位使用了Siteview網(wǎng)絡(luò)網(wǎng)管,可以對全單位的網(wǎng)絡(luò)設(shè)備進(jìn)行管理�,平時多觀察各設(shè)備CPU負(fù)載率和各線路的流量。當(dāng)有人反映不能連接至網(wǎng)絡(luò)或網(wǎng)速很慢時����,可通過網(wǎng)管觀察計算機(jī)與交換機(jī)的連接情況,是否有時斷時通的現(xiàn)象�,交換機(jī)CPU負(fù)載率是否很高,線路流量是否很大��。通過觀察設(shè)備端口狀態(tài)���,分析和觀察交換機(jī)哪個端口所接的計算機(jī)發(fā)包量不太正常����。
2.查看網(wǎng)絡(luò)設(shè)備日志法
經(jīng)?����?匆幌戮W(wǎng)絡(luò)設(shè)備的日志�,分析設(shè)備狀況。我曾經(jīng)通過showlonging命令觀察到4006交換機(jī)下連的2950交換機(jī)經(jīng)常每隔7小時down掉�,然后又up�,因時間間隔較長,單位人員未感覺網(wǎng)絡(luò)中斷,在此期間我們檢查并確定了光纜�、光收發(fā)器、網(wǎng)線���、交換機(jī)配置�����、交換機(jī)端口均正常���,后來的間隔時間由原來的7小時減為7分鐘。由此我們立即判定2950交換機(jī)本身有故障��,馬上將已準(zhǔn)備好的備用交換機(jī)換上�����,從而減少了處理故障的時間����,并在最短時間內(nèi)恢復(fù)網(wǎng)絡(luò)。
3.替換法
替換法就是使用一個工作正常的物體去替換一個工作不正常的物體�,從而達(dá)到定位故障、排除故障的目的�����。這里的物件可以是一段線纜、一個設(shè)備和一塊模塊�。
4.配置數(shù)據(jù)分析法
查詢、分析當(dāng)前設(shè)備的配置數(shù)據(jù)��,通過分析以上的配置數(shù)據(jù)是否正常來定位故障�。若配置的數(shù)據(jù)有錯誤,需進(jìn)行重新配置�。
3.6計算機(jī)網(wǎng)絡(luò)維護(hù)
計算機(jī)網(wǎng)絡(luò)故障是與網(wǎng)絡(luò)暢通相對應(yīng)的一概念,計算機(jī)網(wǎng)絡(luò)故障主要是指計算機(jī)無法實現(xiàn)聯(lián)網(wǎng)或者無法實現(xiàn)全部聯(lián)網(wǎng)���。引起計算機(jī)網(wǎng)絡(luò)故障的因素多種多樣但總的來說可以分為物理故障與邏輯故障�,或硬件故障與軟件故障���。物理故障或硬件故障可以包括電源線插頭沒有進(jìn)行正常的連接����,聯(lián)網(wǎng)電腦網(wǎng)卡����、網(wǎng)線、集線器���、交換機(jī)�����、路由器等故障��、計算機(jī)硬盤���、內(nèi)存、顯示器等故障也會不同程度影響到網(wǎng)絡(luò)用戶正常使用網(wǎng)絡(luò)�����。軟件故障是當(dāng)前最常見的計算機(jī)網(wǎng)絡(luò)故障之一��,常見的軟件故障有網(wǎng)絡(luò)協(xié)議問題����、網(wǎng)絡(luò)設(shè)備的配置和設(shè)置等問題造成的。
網(wǎng)絡(luò)故障目前已經(jīng)成為影響計算機(jī)網(wǎng)絡(luò)使用穩(wěn)定性的重要因素之一����,加強(qiáng)對計算機(jī)網(wǎng)絡(luò)故障的分析和網(wǎng)絡(luò)維護(hù)已經(jīng)成為網(wǎng)絡(luò)用戶經(jīng)常性的工作之一。及時進(jìn)行網(wǎng)絡(luò)故障分析和網(wǎng)絡(luò)維護(hù)也已經(jīng)成為保障網(wǎng)絡(luò)穩(wěn)定性的重要方式方法����。
計算機(jī)網(wǎng)絡(luò)維護(hù)是減少計算機(jī)網(wǎng)絡(luò)故障���,維護(hù)計算機(jī)網(wǎng)絡(luò)穩(wěn)定性的重要的方式方法。計算機(jī)網(wǎng)絡(luò)維護(hù)一般來說包括以下方面:
1.對硬件的維護(hù)���。首先檢測聯(lián)網(wǎng)電腦網(wǎng)卡�����、網(wǎng)線���、集線器、交換機(jī)����、路由器等故障、計算機(jī)硬盤���、內(nèi)存���、顯示器等是否能夠正常運行,對臨近損壞的計算機(jī)硬件要及時進(jìn)行更換����。同時要查看網(wǎng)卡是否進(jìn)行了正確的安裝與配置�。具體來說要確定聯(lián)網(wǎng)計算機(jī)硬件能夠達(dá)到聯(lián)網(wǎng)的基本要求�����,計算機(jī)配置的硬件不會與上網(wǎng)軟件發(fā)生沖突而導(dǎo)致不能正常聯(lián)網(wǎng)����。
2.對軟件的維護(hù)�。軟件維護(hù)是計算機(jī)網(wǎng)絡(luò)維護(hù)的主要方面,具體來說主要包括�����,
(1)計算機(jī)網(wǎng)絡(luò)設(shè)置的檢查��。具體來說檢查服務(wù)器是否正常�,訪問是否正常,以及檢查網(wǎng)絡(luò)服務(wù)�����、協(xié)議是否正常�����。
(2)對集線器、交換器和路由器等網(wǎng)絡(luò)設(shè)備的檢查��。具體來說����,包括檢測網(wǎng)絡(luò)設(shè)備的運行狀態(tài),檢測網(wǎng)絡(luò)設(shè)備的系統(tǒng)配置�����。
(3)對網(wǎng)絡(luò)安全性的檢測�。對網(wǎng)絡(luò)安全性的檢測主要包括,對服務(wù)器上安裝的防病毒軟件進(jìn)行定期升級和維護(hù)���,并對系統(tǒng)進(jìn)行定期的查殺毒處理����;對服務(wù)器上安裝的防火墻做不定期的的系統(tǒng)版本升級��,檢測是否有非法用戶入網(wǎng)入侵行為���;對聯(lián)網(wǎng)計算機(jī)上的數(shù)據(jù)庫做安全加密處理并對加密方式和手段進(jìn)行定期更新�����,以保障數(shù)據(jù)的安全性��。
(4)網(wǎng)絡(luò)通暢性檢測�。在進(jìn)行網(wǎng)絡(luò)維護(hù)的過程,經(jīng)常會遇到網(wǎng)絡(luò)通訊不暢的問題��,其具體表現(xiàn)為網(wǎng)絡(luò)中的某一結(jié)點pingq其他主機(jī)���,顯示一個很小的數(shù)據(jù)包,需要幾百甚至幾千毫秒�����,傳輸文件非常慢��,遇到這種情況應(yīng)首先看集線器或交換機(jī)的狀態(tài)指示燈�,并根據(jù)情況進(jìn)行判斷。
計算機(jī)網(wǎng)絡(luò)是計算機(jī)技術(shù)的一重要應(yīng)用領(lǐng)域��,計算機(jī)網(wǎng)絡(luò)的便捷�、高效、低廉為計算機(jī)網(wǎng)絡(luò)應(yīng)用的增加提供了保障,但計算機(jī)網(wǎng)絡(luò)故障一旦發(fā)生就會給網(wǎng)絡(luò)用戶帶來使用上巨大不便���,甚至造成巨大的損失�。因而必須進(jìn)一步加強(qiáng)計算機(jī)網(wǎng)絡(luò)故障分析與維護(hù)研究���,提高網(wǎng)絡(luò)的穩(wěn)定性和安全性��。
結(jié)束語
本文提出了現(xiàn)代網(wǎng)絡(luò)中的一些安全策略��,重點提出了管理技術(shù)和維護(hù)技術(shù)����。本文介紹了幾種常用的防范技術(shù)���。隨著現(xiàn)在的發(fā)展��,網(wǎng)絡(luò)的不安全因素很多���,網(wǎng)絡(luò)管理和維護(hù)尤其重要,本文介紹了網(wǎng)絡(luò)管理幾個方面的技術(shù)和網(wǎng)絡(luò)維護(hù)的幾種常用技術(shù)�����。
參考文獻(xiàn)
晏蒲柳.大規(guī)模智能網(wǎng)絡(luò)管理模型方法[J].計算機(jī)應(yīng)用研究
周楊,家海��,任憲坤�,王沛瑜.網(wǎng)絡(luò)管理原理與實現(xiàn)技術(shù)[M].北京:清華大學(xué)出版社
李佳石, 冰心著. 網(wǎng)絡(luò)管理系統(tǒng)中的自動拓?fù)渌惴╗J].華中科技大學(xué)學(xué)報胡谷雨. 現(xiàn)代通信網(wǎng)和計算機(jī)管理.
岑賢道�,安長青. 網(wǎng)絡(luò)管理協(xié)議及應(yīng)用開發(fā).
附錄 A
篇10
我自20xx年xx月進(jìn)入院網(wǎng)絡(luò)管理中心,至今已有多半年時間�,正是在這里我開始學(xué)習(xí)有關(guān)計算機(jī)的知識,完成了個人人生中的一次重要轉(zhuǎn)變����。但由于自己各方面的原因,現(xiàn)慎重提出辭職����,愿各位領(lǐng)導(dǎo)可以考慮����。
在過去的半年里,網(wǎng)絡(luò)中心給予了我良好的學(xué)習(xí)和鍛煉機(jī)會���,學(xué)到了一些新的東西充實了自己����,增加了自己的一些知識和實踐經(jīng)驗。我對于網(wǎng)絡(luò)中心領(lǐng)導(dǎo)和各位同事����,半年多的照顧表示真心的感謝!今天我選擇離開并不是我對現(xiàn)在的工作畏懼����,承受能力不行。
望領(lǐng)導(dǎo)批準(zhǔn)我的申請�����,并請協(xié)助辦理相關(guān)離職手續(xù)��,在正式離開之前我將認(rèn)真繼續(xù)做好目前的每一項工作 祝您們身體健康����,事業(yè)順心。并祝公司事業(yè)蓬勃發(fā)展���。
而是我的人生要繼續(xù)升華���,我選擇考研,選擇繼續(xù)深造我的學(xué)業(yè)�。在這里的日子讓我很難忘����。我學(xué)會如何堅持����,如何適應(yīng),如何交流��,如何互助����。我懂得了責(zé)任感對一個人的重要性,我懂得了很多書本上學(xué)不到的知識�����。
祝院網(wǎng)絡(luò)中心順利創(chuàng)造輝煌��,祝網(wǎng)絡(luò)中心的領(lǐng)導(dǎo)和同事們前程似錦鵬程萬里���!
篇11
2.此規(guī)定也包含了有關(guān)it的正確使用,信息安全和集團(tuán)內(nèi)部各單位的協(xié)調(diào)等方面的工作原則及相關(guān)前提條件�。
第二條依據(jù)
本規(guī)定依據(jù)《中華人民共和國保守國家秘密法》和《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機(jī)信息網(wǎng)絡(luò)國際管理暫行規(guī)定》制定�。
第三條范圍
集團(tuán)網(wǎng)絡(luò)由信息中心負(fù)責(zé)管理���,上投大廈內(nèi)所有單位、部門和員工均必須執(zhí)行本規(guī)定����。
第四條主機(jī)房安全規(guī)定
1.機(jī)房不得攜入易燃、易爆物品��。
2.機(jī)房內(nèi)嚴(yán)禁吸煙���。
3.機(jī)房內(nèi)不準(zhǔn)吃飯����、吃零食或進(jìn)行其它有害�、污損電腦的行為。
4.機(jī)房嚴(yán)禁亂拉接電源����,以防造成短路或失火。
5.非集團(tuán)信息中心和信托公司電腦部工作人員嚴(yán)禁進(jìn)入主機(jī)房(特許人員例外)���,工作人員進(jìn)出主機(jī)房必須隨手關(guān)門����。
6.機(jī)房工作人員應(yīng)定期檢查機(jī)房消防設(shè)備完好情況。
第五條主機(jī)房凈化規(guī)定
1.機(jī)房內(nèi)應(yīng)及時清掃衛(wèi)生死角和可見灰塵�。
2.精密空調(diào)應(yīng)調(diào)節(jié)適合溫度以適應(yīng)計算機(jī)設(shè)備的運轉(zhuǎn)。
3.機(jī)房應(yīng)門窗密封��,防止外來粉塵污染�����。
4.機(jī)房內(nèi)不準(zhǔn)帶入無關(guān)物品�,不準(zhǔn)睡覺休息。
5.機(jī)房工作人員須穿專用拖鞋進(jìn)入機(jī)房���。
6.機(jī)房用品須定期清潔���。
第六條主機(jī)房參觀管理的規(guī)定
1.經(jīng)信息中心主管批準(zhǔn),外來人員才予安排參觀�。
2.外來人員參觀機(jī)房,須有公司指定人員陪同����,并登記出入紀(jì)錄。
3.參觀人員不得擁擠���、喧嘩�,應(yīng)聽從陪同人員安排�����。
4.參觀結(jié)束后��,操作人員應(yīng)整理如常����。
第七條網(wǎng)絡(luò)中心辦公區(qū)域管理規(guī)定
1.網(wǎng)絡(luò)中心辦公區(qū)域包括信息中心辦公區(qū)域及信托公司電腦部辦公區(qū)域。
2.辦公區(qū)域內(nèi)不得攜入易燃��、易爆物品����,嚴(yán)禁吸煙,嚴(yán)禁亂拉接電源�����,以防造成短路或失火��。
3.外來人員不得隨意進(jìn)入辦公區(qū)域���。
4.非經(jīng)有關(guān)領(lǐng)導(dǎo)及信息中心主管及批準(zhǔn)�����,辦公區(qū)域不得隨意增加��、減少有礙辦公環(huán)境的設(shè)備(家具�、電器等)。
5.辦公時間內(nèi)須保持辦公環(huán)境安靜����,不大聲喧嘩,不播放音樂�����。
6.辦公區(qū)域須定期清潔����,值班人員須保持環(huán)境衛(wèi)生整潔。
7.值班人員每日下班前需認(rèn)真檢查門窗關(guān)閉情況�。
第八條主干網(wǎng)管理規(guī)定
1.集團(tuán)信息中心負(fù)責(zé)主干網(wǎng)的運行管理、設(shè)備管理和發(fā)展規(guī)劃�,保證主干網(wǎng)的暢通。
2.信息中心負(fù)責(zé)樓層接入設(shè)備的安裝����、調(diào)試及日常維護(hù)����,任何單位和個人不得私自移動���、改動有關(guān)設(shè)備。
3.主干網(wǎng)及樓層網(wǎng)絡(luò)跳線一經(jīng)固定����,任何單位、個人不得私自改變�����,如有線路調(diào)整���,需由相關(guān)單位提出申請���,報信息中心審核同意,由信息中心網(wǎng)絡(luò)部進(jìn)行有關(guān)跳線工作�����,更改完畢,網(wǎng)絡(luò)管理員需做好相應(yīng)的文檔記錄���。
第九條子網(wǎng)接入單位職責(zé)規(guī)定
1.各子網(wǎng)網(wǎng)絡(luò)管理員具體負(fù)責(zé)子網(wǎng)內(nèi)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作�����,保存網(wǎng)絡(luò)運行的有關(guān)記錄���,指導(dǎo)計算機(jī)系統(tǒng)管理員和用戶對各自負(fù)責(zé)的網(wǎng)絡(luò)系統(tǒng)、計算機(jī)系統(tǒng)和上網(wǎng)資源進(jìn)行管理��。
2.子網(wǎng)接入單位在信息中心的統(tǒng)一規(guī)劃和指導(dǎo)下��,負(fù)責(zé)按有關(guān)要求和規(guī)定對子網(wǎng)進(jìn)行建設(shè)�����、運行和管理�;
3.子網(wǎng)接入單位指導(dǎo)計算機(jī)系統(tǒng)管理員和用戶對各自負(fù)責(zé)的網(wǎng)絡(luò)系統(tǒng)、計算機(jī)系統(tǒng)和上網(wǎng)資源進(jìn)行管理����;
4.子網(wǎng)接入單位負(fù)責(zé)和承擔(dān)下一級接入單位和用戶的管理、教育��、技術(shù)咨詢和培訓(xùn)工作;
5.負(fù)責(zé)本級網(wǎng)絡(luò)相應(yīng)的網(wǎng)絡(luò)安全和信息安全工作���;
6.負(fù)責(zé)保存本級網(wǎng)絡(luò)運行的有關(guān)記錄并接受上一級網(wǎng)絡(luò)的監(jiān)督和檢查��。
第十條ip地址���、用戶賬號申請與電子郵件
1.與集團(tuán)公司主干網(wǎng)絡(luò)相連的電腦及網(wǎng)絡(luò)設(shè)備ip地址由信息中心負(fù)責(zé)統(tǒng)一管理和分配�����。
2.入網(wǎng)單位應(yīng)統(tǒng)一向信息中心申請分配或增加ip地址���。入網(wǎng)單位和個人應(yīng)嚴(yán)格使用由信息中心分配的ip地址�����,嚴(yán)禁盜用他人ip地址或私自亂設(shè)ip地址��。信息中心有權(quán)切斷亂設(shè)的ip地址入網(wǎng)����,以保證公司網(wǎng)絡(luò)的正常運行���。
3.用戶要求入網(wǎng)和個人要求辦理電子郵件戶頭����,應(yīng)經(jīng)過其部門主管同意,并向信息中心提出書面申請�����,審查同意后由管理員對入網(wǎng)計算機(jī)和用戶進(jìn)行逐個登記����,在有關(guān)系統(tǒng)上開戶,分配ip地址�,辦理有關(guān)手續(xù)。符合要求的計算機(jī)和用戶方可入網(wǎng)運行��、對外通信��。
4.任何電子郵件(包括所有內(nèi)部郵件)都必須遵守以下規(guī)定
4.1每位集團(tuán)員工只能擁有一個后綴為××××××××*.com的電子郵箱�,員工可以發(fā)送郵件至公司外部,但僅為工作用途���。公司禁止所有不恰當(dāng)?shù)泥]件傳遞行為并將其視為違反公司規(guī)章��。
4.2嚴(yán)禁發(fā)送附件具有下列擴(kuò)展名的郵件(例如:.exe,.vbs,.com,.bat,.cmd,mdb等等��。
4.3每封發(fā)送郵件大?����。涸瓌t上<=2m字節(jié)����。嚴(yán)禁向非集團(tuán)信箱自動轉(zhuǎn)發(fā)郵件。
第十一條上網(wǎng)信息及網(wǎng)絡(luò)安全管理
1.上網(wǎng)信息管理實行誰上網(wǎng)誰負(fù)責(zé)��、后果自負(fù)的原則�。上網(wǎng)信息不得有違反國家法律����、法規(guī)或侵犯他人知識產(chǎn)權(quán)的內(nèi)容。
2.各用戶必須自覺遵守國家有關(guān)保密法規(guī):
2.1不得利用國際聯(lián)網(wǎng)泄露國家秘密�;
2.2文件、資料�、數(shù)據(jù)嚴(yán)禁上網(wǎng)流傳、處理�����、儲存�����;
2.3與文件、資料�、數(shù)據(jù)和科研課題相關(guān)的微機(jī)嚴(yán)禁聯(lián)網(wǎng)運行。
3.任何用戶不得利用國際聯(lián)網(wǎng)制作���、復(fù)制�、查閱和傳播下列信息:
3.1煽動抗拒����、破壞憲法和法律、行政法規(guī)實施�;
3.2煽動顛覆國家政權(quán),社會主義制度�����;
3.3煽動分裂國家��、破壞國家統(tǒng)一��;
3.4捏造或者歪曲事實�����,散布謠言,擾亂社會秩序���;
3.5公然侮辱他人或者捏造事實誹謗他人�����;
3.6其他違反憲法和法律��、行政法規(guī)的����。
4.任何用戶不得從事下列危害計算機(jī)信息網(wǎng)絡(luò)安全的活動:
4.1未經(jīng)允許����,進(jìn)入計算機(jī)信息網(wǎng)絡(luò)或者使用計算機(jī)信息網(wǎng)絡(luò)資源;
4.2未經(jīng)允許�����,對計算機(jī)信息網(wǎng)絡(luò)功能進(jìn)行刪除�、修改或者增加的��;
4.3未經(jīng)允許�,對計算機(jī)信息網(wǎng)絡(luò)中存儲���、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改或者增加的����;
4.4故意制作、傳播計算機(jī)病毒等破壞性程序的���;
4.5其他危害計算機(jī)信息網(wǎng)絡(luò)安全的�����。
5.從internet上下載文件有大小限制�,任何例外必須報請信息中心批準(zhǔn)�����。
6.信息中心和各接入單位要定期對相應(yīng)的網(wǎng)絡(luò)用戶進(jìn)行有關(guān)的信息安全和網(wǎng)絡(luò)安全教育�,并根據(jù)國家有關(guān)規(guī)定對上網(wǎng)信息進(jìn)行檢查。發(fā)現(xiàn)問題應(yīng)及時上報��,并采取處理措施��。
7.信息中心、接入單位和用戶必須接受并配合國家和集團(tuán)有關(guān)部門依法進(jìn)行的監(jiān)督檢查����。
