網(wǎng)絡管理相關知識(2)

網(wǎng)絡管理相關知識

　　四、 性能管理(Performance Management)

　　性能管理估價系統(tǒng)資源的運行狀況及通信效率等系統(tǒng)性能。其能力包括監(jiān)視和分析被管網(wǎng)絡及其所提供服務的性能機制。性能分析的結果可能會觸發(fā)某個診斷測試過程或重新配置網(wǎng)絡以維持網(wǎng)絡的性能。性能管理收集分析有關被管網(wǎng)絡當前狀況的數(shù)據(jù)信息，并維持和分析性能日志。一些典型的功能包括：

　　⑴性能監(jiān)控：由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內存余量。對于每個被管對象，定時采集性能數(shù)據(jù)，自動生成性能報告。

　　⑵閾值控制：可對每一個被管對象的每一條屬性設置閾值，對于特定被管對象的特定屬性，可以針對不同的時間段和性能指標進行閾值設置?？赏ㄟ^設置閾值檢查開關控制閡值檢查和告警，提供相應的閾值管理和溢出告警機制。

　　⑶性能分橋：對歷史數(shù)據(jù)進行分析，統(tǒng)計和整理，計算性能指標，對性能狀況作出判斷，為網(wǎng)絡規(guī)劃提供參考。

　?、瓤梢暬男阅軋蟾妫簩?shù)據(jù)進行掃描和處理，生成性能趨勢曲線，以直觀的圖形反映性能分析的結果。

　?、蓪崟r性能監(jiān)控：提供了一系列實時數(shù)據(jù)采集;分析和可視化工具，用以對流量、負載、丟包、溫度、內存、延遲等網(wǎng)絡設備和線路的性能指標進行實時檢測，可任意設置數(shù)據(jù)采集間隔。

　?、示W(wǎng)絡對象性能查詢：可通過列表或按關鍵字檢索被管網(wǎng)絡對象及其屬性的性能記錄。

　　五、 安全管理(Security Management)

　　安全性一直是網(wǎng)絡的薄弱環(huán)節(jié)之一，而用戶對網(wǎng)絡安全的要求又相當高，因此網(wǎng)絡安全管理非常重要。網(wǎng)絡中主要有以下幾大安全問題：

　　網(wǎng)絡數(shù)據(jù)的私有性(保護網(wǎng)絡數(shù)據(jù)不被侵 入者非法獲取)，

　　授權(Authentication)(防止侵入者在網(wǎng)絡上發(fā)送錯誤信息)，

　　訪問控制(控制訪問控制(控制對網(wǎng)絡資源的訪問)。

　　相應的，網(wǎng)絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理，另外還要維護和檢查安全日志。包括：

　　網(wǎng)絡管理過程中，存儲和傳輸?shù)墓芾砗涂刂菩畔W(wǎng)絡的運行和管理至關重要，一旦泄密、被篡改和偽造，會給網(wǎng)絡造成災難性的破壞。網(wǎng)絡管理本身的安全由以下機制來保證：⑴管理員身份認證，采用基于公開密鑰的證書認證機制;為提高系統(tǒng)效率，對于信任域內(如局域網(wǎng))的用戶，可以使用簡單口令認證。

　?、乒芾硇畔⒋鎯蛡鬏?shù)募用芘c完整性，Web瀏覽器和網(wǎng)絡管理服務器之間采用安全套接字層(SSL)傳輸協(xié)議，對管理信息加密傳輸并保證其完整性;內部存儲的機密信息，如登錄口令等，也是經(jīng)過加密的。

　　⑶網(wǎng)絡管理用戶分組管理與訪問控制，網(wǎng)絡管理系統(tǒng)的用戶(即管理員)按任務的不同分成若干用戶組，不同的用戶組中有不同的權限范圍，對用戶的操作由訪問控制檢查，保證用戶不能越權使用網(wǎng)絡管理系統(tǒng)。

　?、认到y(tǒng)日志分析，記錄用戶所有的操作，使系統(tǒng)的操作和對網(wǎng)絡對象的修改有據(jù)可查，同時也有助于故障的跟蹤與恢復。

　　網(wǎng)絡對象的安全管理有以下功能：

　?、啪W(wǎng)絡資源的訪問控制，通過管理路由器的訪問控制鏈表，完成防火墻的管理功能，即從網(wǎng)絡層(1P)和傳輸層(TCP)控制對網(wǎng)絡資源的訪問，保護網(wǎng)絡內部的設備和應用服務，防止外來的攻擊。

　　⑵告警事件分析，接收網(wǎng)絡對象所發(fā)出的告警事件，分析員安全相關的信息(如路由器登錄信息、SNMP認證失敗信息)，實時地向管理員告警，并提供歷史安全事件的檢索與分析機制，及時地發(fā)現(xiàn)正在進行的攻擊或可疑的攻擊跡象。

　　⑶主機系統(tǒng)的安全漏洞檢測，實時的監(jiān)測主機系統(tǒng)的重要服務(如WWW，DNS等)的狀態(tài)，提供安全監(jiān)測工具，以搜索系統(tǒng)可能存在的安全漏洞或安全隱患，并給出彌補的措施。

　　六、上網(wǎng)行為管理

　　網(wǎng)管軟件綜合智能動態(tài)帶寬保障，服務器流量分析與保障、虛擬多設備管理等多項突破性技術，涵蓋流量分析、帶寬管理、上網(wǎng)行為管理、DMZ區(qū)服務器管理，專線集中管理、企業(yè)級防火墻與路由器、負載均衡等功能，在網(wǎng)絡性能、質量、安全等方面為客戶提供完整的解決方案。本產(chǎn)品已獲得各行業(yè)客戶的廣泛認可，成為企業(yè)網(wǎng)關綜合管理軟件產(chǎn)品第一品牌。

　　1、企業(yè)網(wǎng)關統(tǒng)一管理系統(tǒng)

　　2、 支持在windows操作系統(tǒng)上安裝與部署

　　3、安裝與操作簡單易用

　　4、 流量分析準確

　　5、 流控效果顯著

　　6、市場上唯一支持對DMZ區(qū)與內網(wǎng)服務器管理的產(chǎn)品

　　7、 市場上唯一支持對多條專線統(tǒng)一集中管理的產(chǎn)品

　　簡單網(wǎng)絡管理協(xié)議

　　簡單網(wǎng)絡管理協(xié)議(SNMP)是最早提出的網(wǎng)絡管理協(xié)議之一。SNMP已成為網(wǎng)絡管理領域中事實上的工業(yè)標準，并被廣泛支持和應用，大多數(shù)網(wǎng)絡管理系統(tǒng)和平臺都是基于SNMP的。

　　一、 SNMP概述

　　SNMP的前身是簡單網(wǎng)關監(jiān)控協(xié)議(SGMP)，用來對通信線路進行管理。隨后，人們對SGMP進行了很大的修改，特別是加入了符合Internet定義的SMI和MIB：體系結構，改進后的協(xié)議就是著名的SNMP。SNMP的目標是管理互聯(lián)網(wǎng)Internet上眾多廠家生產(chǎn)的軟硬件平臺，因此SNMP受Internet標準網(wǎng)絡管理框架的影響也很大。SNMP已經(jīng)出到第三個版本的協(xié)議，其功能較以前已經(jīng)大大地加強和改進了。

　　SNMP的體系結構是圍繞著以下四個概念和目標進行設計的：保持管理代理(agent)的軟件成本盡可能低;最大限度地保持遠程管理的功能，以便充分利用Internet的網(wǎng)絡資源;體系結構必須有擴充的余地;保持SNMP的獨立性，不依賴于具體的計算機、網(wǎng)關和網(wǎng)絡傳輸協(xié)議。在相關的改進中，又加入了保證SNMP體系本身安全性的目標。

　　另外，SNMP中提供了四類管理操作：get操作用來提取特定的網(wǎng)絡管理信息;get-next操作通過遍歷活動來提供強大的管理信息提取能力;set操作用來對管理信息進行控制(修改、設置);trap操作用來報告重要的事件。

　　二、 SNMP管理控制框架與實現(xiàn)

　　1、SNMP管理控制框架

　　SNMP定義了管理進程(Manager)和管理代理(Agent)之間的關系，這個關系稱為共同體(Community)。描述共同體的語義是非常復雜的，但其句法卻很簡單。位于網(wǎng)絡管理工作站(運行管理進程)上和各網(wǎng)絡元素上利用SNMP相互通信對網(wǎng)絡進行管理的軟件統(tǒng)統(tǒng)稱為SNMP應用實體。若干個應用實體和SNMP組合起來形成一個共同體，不同的共同體之間用名字來區(qū)分，共同體的名字則必須符合Internet的層次結構命名規(guī)則，由無保留意義的字符串組成。此外，一個SNMP應用實體可以加入多個共同體。

　　SNMP的應用實體對Internet管理信息庫中的管理對象進行操作。一個SNMP應用實體可操作的管理對象子集稱為SNMP MIB授權范圍。SNMP應用實體對授權范圍內管理對象的訪問仍然還有進一步的訪問控制限制，比如只讀、可讀寫等。SNMP體系結構中要求對每個共同體都規(guī)定其授權范圍及其對每個對象的訪問方式。記錄這些定義的文件稱為“共同體定義文件”。

　　SNMP的報文總是源自每個應用實體，報文中包括該應用實體所在的共同體的名字。這種報文在SNMP中稱為“有身份標志的報文”，共同體名字是在管理進程和管理代理之間交換管理信息報文時使用的。管理信息報文中包括以下兩部分內容：

　　⑴共同體名，加上發(fā)送方的一些標識信息(附加信息)，用以驗證發(fā)送方確實是共同體中的成員，共同體實際上就是用來實現(xiàn)管理應用實體之間身份鑒別的;

　?、茢?shù)據(jù)，這是兩個管理應用實體之間真正需要交換的信息。

　　在第三版本前的SNMP中只是實現(xiàn)了簡單的身份鑒別，接收方僅憑共同體名來判定收發(fā)雙方是否在同一個共同體中，而前面提到的附加倍息尚未應用。接收方在驗明發(fā)送報文的管理代理或管理進程的身份后要對其訪問權限進行檢查。訪問權限檢查涉及到以下因素：

　?、乓粋€共同體內各成員可以對哪些對象進行讀寫等管理操作，這些可讀寫對象稱為該共同體的“授權對象”(在授權范圍內);

　?、乒餐w成員對授權范圍內每個對象定義了訪問模式：只讀或可讀寫;

　　⑶規(guī)定授權范圍內每個管理對象(類)可進行的操作(包括get，get-next，set和trap);

　　⑷管理信息庫(MIB)對每個對象的訪問方式限制(如MIB中可以規(guī)定哪些對象只能讀而不能寫等)。

　　管理代理通過上述預先定義的訪問模式和權限來決定共同體中其他成員要求的管理對象訪問(操作)是否允許。共同體概念同樣適用于轉換代理(Proxy Agent)，只不過轉換代理中包含的對象主要是其他設備的內容。

　　2、SNMP實現(xiàn)方式為了提供遍歷管理信息庫的手段，SNMP在其MIB中采用了樹狀命名方法對每個管理對象實例命名。每個對象實例的名字都由對象類名字加上一個后綴構成。對象類的名字是不會相互重復的，因而不同對象類的對象實例之間也少有重名的危險。

　　在共同體的定義中一般要規(guī)定該共同體授權的管理對象范圍，相應地也就規(guī)定了哪些對象實例是該共同體的“管轄范圍”，據(jù)此，共同體的定義可以想象為一個多叉樹，以詞典序提供了遍歷所有管理對象實例的手段。有了這個手段，SNMP就可以使用Get-next操作符，順序地從一個對象找到下一個對象。Get-next(Object-instance)操作返回的結果是一個對象實例標識符及其相關信息，該對象實例在上面的多叉樹中緊排在指定標識符;Bject-instance對象的后面。這種手段的優(yōu)點在于，即使不知道管理對象實例的具體名字，管理系統(tǒng)也能逐個地找到它，并提取到它的有關信息。遍歷所有管理對象的過程可以從第一個對象實例開始(這個實例一定要給出)，然后逐次使用Get-next，直到返回一個差錯(表示不存在的管理對象實例)結束(完成遍歷)。

　　由于信息是以表格形式(一種數(shù)據(jù)結構)存放的，在SNMP的管理概念中，把所有表格都視為子樹，其中一張表格(及其名字)是相應子樹的根節(jié)點，每個列是根下面的子節(jié)點，一列中的每個行則是該列節(jié)點下面的子節(jié)點，并且是子樹的葉節(jié)點。因此，按照前面的子樹遍歷思路，對表格的遍歷是先訪問第一列的所有元素，再訪問第二列的所有元素……，直到最后一個元素。若試圖得到最后一個元素的“下一個”元素，則返回差錯標記。
看過“網(wǎng)絡管理相關知識“的人還看了：

1.網(wǎng)絡管理基礎知識有哪些

2.電腦網(wǎng)絡最基本的常識簡介

3.網(wǎng)絡安全與管理的知識介紹

4.網(wǎng)絡技術包括什么

5.計算機網(wǎng)絡管理知識