時間:2023-05-29 17:40:27
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇通信網絡管理員,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:計算機網絡管理員;技能;素質
計算機網絡管理員就是保障網絡包括因特網、局域網、廣域網和其他數據通信系統在內的各種網絡的正常運行,通過網絡來實現信息資源的共享的職業,例如公司的員工可以共享打印機和傳真機等硬件或者軟件設備。在發生故障的時候,計算機網絡管理員能夠快速的定位和排除錯誤問題,可以設計、組裝、管理和維護企業內部的計算機網絡,提供計算機網絡的技術咨詢和支持工作,以此來保障企業信息的安全。
成為一名優秀的計算機網絡管理員能夠熟練的掌握計算機網絡方面的知識是首要要求,而開展一切網絡管理工作的前提是要熟練地掌握和運用網絡的基礎知識,如果模棱兩可的掌握網絡理論知識,一點都不扎實,在實際工作中那么必然會出現一些意想不到的問題。所以,一般來說,作為一名網絡管理人員必須熟練掌握以下基礎知識:在計算機網絡中最常出現的一個詞語就是網絡拓撲,作為一名網絡管理人員,就需要對每種結構的優劣做到心中有數,知道什么情況下,用哪種拓撲結構,怎么搭建該結構。在網絡管理中,網絡協議也是非常重要的,它規定了計算機網絡之間如何通信,怎么通信。作為網絡管理員,需要熟練地掌握每種協議的配置方法,知道在什么情況下運用哪種協議來實現通信,實現準確快速安全的通信。比如最基本的TCP/IP協議,比如UDP協議,要熟知他們之間的區別與聯系。掌握每種協議是如何工作在通信網絡的那一層中的。
在實際的工作中,網絡管理人員要時刻緊跟最新信息技術,掌握最新動態,并運用到工作中去。所以網絡管理人員必須時刻注意提高自身的能力,加大自身籌碼。網絡管理人員必須具有一定的閱讀英文文獻的能力,這就要求網絡管理人員必須能夠大量的掌握有關于計算機的專業詞匯,這樣的話就能流暢的閱讀技術資料英文原版,最重要的是可以看懂網絡管理設備和網絡管理軟件中的英文說明書,不至于因為看不懂說明書而手足無措。要有良好的語言表達能力。就網絡管理工作本身而然,是為企業內部服務,需要經常和領導、同事、同行、廠商等交流。所以具備一個良好的溝通能力,能實際工作變得事半功倍,提高辦事效率和自己的競爭力。
同時網絡管理員也要有吃苦的精神。網絡管理員需要保障企業內網、外網的正常運轉,需要隨時準備解決問題。工作的性質決定了工作的時間是不規律的,有時候還需要體力勞動,所以這就需要網絡管理人員有吃苦耐勞的精神。對于沒有吃苦精神的人來說,是做不好網絡管理的工作的。要有優秀的團體協作能力。團隊合作能力對于每一種工作都是一種必備的素質,俗話說眾人劃槳開大船,眾人的力量是巨大的,只有良好的團地合作能力,才能夠在一個團隊中實現自身的價值并為企業做貢獻,一個人的力量是有限的,對于網絡管理員也是如此。做事耐心、細心。網絡管理工作涉及很多繁雜,細小的工作。很多時候,往往一個細小的配置出現了問題,就會使整個網絡癱瘓,無法運行,這就要求網絡管理人在工作時耐心,細心。保證所配置的每一個步驟都是準確的,因為當你配置完成但卻運行不起來,再回過頭去找問題,就比較麻煩。
計算機網絡管理包括很多方面,首先是網絡基礎設施的管理。在網絡運行比較正常的情況下,網絡管理員對網絡基礎設施的管理主要包括確保網絡通信傳輸的暢通、備份各項設備的配置文件、對網絡布線配線架的管理負責、采取技術措施對網絡內經常出現的用戶變更位置和部門的情況進行有效的管理。同時也要對網絡的通信狀況進行監督,一旦有問題出現要及時的聯系相關部門機構,實現對整個局域網和網絡通信流量狀況等方面的實時監控,還要對網絡基礎設施的使用制訂和出相應的管理辦法和監督執行的情況。
在日常網絡維護中,網絡管理員應牢牢掌握網絡操作系統,熟練的運用系統中所提供給的各種軟件管理工具,及時的監督系統故障問題,第一時間進行處理。而且,網絡管理員還要對網絡管理系統操作服務器建立熱備份系統,準備好防災工作。因為網絡操作系統一旦發生致命的故障,整個的網絡服務都會陷入到癱瘓的狀態。
同時網絡管理工作的優秀與否,取決于網絡管理人員所掌握的技術。硬性條件和軟性條件是對網絡管理人員的技能的一種兩大方面劃分。硬性技能方面:整體規劃整個網絡的能力,相當于宏觀的把控能力。而對于這種能力來說,它可以認為是一個必備的技能。在這之外還有一個就是維護網絡設備的能力,比如對路由器、交換機等的配置和后期維護。網絡管理人員要熟練地掌握設備命令語句的調試方法,制定出安全的策略等,能夠實際的根據環境需求來進行相應的配置網絡設備,達到一個1+1>2的良好效果。
總結:
綜上所述,網絡的發展可謂是日新月異的,每時每刻都有不同的理念產生,這對網絡管理工作也提出了更為嚴格的要求。作為企業網絡的網絡管理者來說,所需要完成的工作是繁重又重要的。在這樣的情況下,網絡管理人員需要具備極強的耐心和責任心,較為豐富的網絡知識,在實踐中不斷的總結經驗,力爭成為一名優秀的網絡管理員,為整個企業做好網絡服務。
參考文獻
智能建筑的核心是系統集成 [1] ,而系統集成的基礎則是智能建筑中的通信網絡.隨著計算機技術和通信技術的發展和信息社會的到來,迫使現代建筑觀念不得不更新.在信息化社會中,一個現代化大樓內,除了具有電話、傳真、空調、消防與安全監控系統外,各種計算機網絡、綜合服務數字網等都是不可缺少的.只有具備了這些基礎通信設施,新的信息技術,如電子數據交換、電子郵政、會議電視、視頻點播、多媒體通信等才有可能進入大樓.使它成為一個名符其實的智能建筑.目前,在多數涉及與智能建
筑有關的事物中,不論是物業主還是參加競爭的設計者,都把重點放在樓宇管理自動化系統和結構化布線系統上,許多所謂的智能建筑,其實就是樓宇自動化系統加上結構化布線和程控交換機,根本就忽略了通信網絡的建設.我們認為,在建筑智能化工程中,應該高度重視信息這個要素,而通信網絡正是為建筑的各個部分傳遞信息的道路.隨著分布式智能建筑控制系統技術的日益成熟和應用普及,在BAS中控制將進一步分散,在網絡中傳遞的將更多的是管理信息,系統的集成則越顯得重要 [2] ,另一方面,目前由于人們信息需求的激增,以及計算機技術帶來的多媒體終端等先進的終端技術,一個智能建筑的智能化瓶頸往往在于它的通信網絡.可以說,通信網絡技術水平的高低制約著智能建筑的智能程度.為此,智能建筑中的通信網絡的設計是完成建筑智能化工程的重點所在.本文討論基于最新網絡技術的智能建筑通信網絡的設計.
二、 智能建筑的通信網絡功能
總體上說,智能建筑的通信網絡有兩個功能,第一是支持各種形式的通信業務;第二是能夠集成不同類型的辦公自動化系統和樓宇管理自動化系統,形成統一的網絡并進行統一的管理.智能建筑中的通信業務主要有下列一些形式:
1、電話: 包括內部直撥,通過PBX與樓外公共交換網連接后通話.發展成為以PBX 為中心組網形成2B+D話音和信令通道,使電話用戶線具有綜合功能.
2、傳真: 包括利用電話線進行樓內傳真以及與樓外的傳真,還可以通過發展而成的樓內綜合業務數字網(ISDN)的用戶線進行樓內之間或樓內外的傳真.
3、電子郵件、語音郵件、電子信箱、語音信箱: 這是通過計算機網絡及其交換系統實現點對點(計算機)的文字或語音通信的一種方式.即通過對計算機屏幕的"書寫"或直接通過計算機的音響系統實現雙方的通信或對話.與之相應的電子信箱、語音信箱則是通過計算機的存貯系統實現"留信"或"留言".
4、可視電話: 可視電話是一種小型圖像通信終端,利用電話線路同時傳遞圖像與語音信息.這種系統使用簡單,無需特殊線路,每秒可傳送10幀彩色圖像,并且價格相對低廉,同時,還可通過大樓PBX,進入公用電話網.同外部進行通信.
5、可視電話數據系統: 可視電話數據系統是利用公用電話線路的會話型圖像通信.利用這種通信系統,鍵入所需信息代碼,傳送至數據庫計算機,主機收到該代碼后,即在數據庫中查找所需的信息,并將信息回送屏幕顯示出來,
6. 會議電視: 會議電視系統可支持大樓中各單位,各部門之間通信的要求,通過通信手段把相隔兩地或幾個地點的會議室連接在一起,傳遞圖象和伴音信號,使與會者產生身臨其境的感覺.
7、桌面會議系統: 將計算機引入圖象通信,使得通信各方不僅可以面對面進行交談,還可以根據要求隨時交換資料和文檔,真正實現通信的交互性.桌面會議系統設有電子黑板,使會議各方可在同一塊電子黑板上完成信息交互,并可對電子黑板隨時打印,還可以重播會議片斷和收錄會議過程.
8,多媒體通信: 多媒體通信是通過計算機網絡系統實現同時獲取,處理,編輯,存儲和展示兩個以上不同類型信息媒體(包括文字,語音,圖形,圖象〕的傳送,其最重要的基礎必需要具備寬帶的網絡系統.
9、公用數據庫系統: 與大樓業務有關的資料可通過大樓的數據庫查詢,也可通過WAN查詢,數據類型可以是數據、文字、靜、動態圖象.
10、資料查詢與文檔管理系統: 樓內各種辦公文件的編輯、制作、發送、存貯與檢索,并規定不同用戶對各類文檔的查詢權限.
11、學習培訓系統: 與網絡聯機的多媒體終端及各種聲、象設備,提供各類業務學習與培訓.
12、觸摸屏咨詢及大屏幕顯示系統:安裝在大廳,多個觸摸屏咨詢系統安放在大廳不同位置,以聲,象,圖表等多種方式向用戶介紹大廈業務及其它信息.
13、人事,財務,情報,設備,資產等事務管理:將工作人員的素質,特長,單位,財務收支情況,文件,合同,通知,新技術,新業務,設備資源及其使用情況統統存入數據庫中,以便隨時查詢,實現事務管理科學化.
14、訪問INTERNET網絡:INTERNET 正在發展成為把全球聯系在一起的信息網絡,所以對于用戶來說,具有訪問INTERNET 的手段就顯得十分重要.大樓的智能局域網的主干網具有訪問INTERNET 的信息通道,這就為大樓內的用戶訪問INTERNET提供了條件.
這些業務的實現對通信網絡的需求往往不同,已發展成熟的各種網絡幾乎都是針對特定的網絡業務,而目前基于ATM的寬帶綜合局域網技術日益成熟,使得在局域網內實現相當多的業務的綜合傳輸交換成為可能.
智能建筑中的通信網絡通常分為主干網和部門子網.主干網是連接部門子網、數據傳輸速率較高的網絡.部門子網是為完成各個部門特定目的而組建的局域網,它一般多種多樣.此外,通信網絡還包括以電話通信為主的PBX網絡.智能建筑的通信網絡應能支持上述的通信業務和大樓管理自動化及辦公自動化的要求,并且還要能夠適應今后15年通信業務發展的需要.
通常情況下在智能建筑中作主干網的有以下一些網絡技術:FDDI、100Base-T、100VG-AnyLAN、ATM等.我們認為,從技術及產品日益成熟和通信網絡發展方向來看,使用ATM技術作為主干網是一種優選方案.
作為智能建筑中的部門子網,往往根據部門需求選擇多種多樣的網絡.這可分為普通局域網、高速局域網和PBX網三種.在智能建筑中這三種子網往往共存.
三、 一種智能建筑通信網絡系統
圖1是一種智能建筑通信網絡系統.主干網絡是以ATM交換機為中心的ATM網絡,有以下特點:(1)這是一種高速率網絡,每個端口速率高達25~155Mbps,這種帶寬使各個子網之間的通信暢通無阻,而且各個端口專用帶寬,使用戶的帶寬競爭局限在子網范圍內,因此,子網數目的增加不會影響已存用戶的業務質量.這對智能建筑內通信網絡的擴展來說是其它大多數網絡技術所不具備的.(20)采用局域網仿真技術使已有的局域網技術可以平滑無縫地接入主干網構成互連網.基于原有局域網的應用可以不加修改地在ATM互連網上運行.(3)ATM網絡與傳統局域網的無縫連接,進一步減少了網絡之間的橋、路由器、網關及HUB等協議轉換設備,使網絡延伸、網絡配置、網絡監視變得相當容易,網絡得到平整.這一點是其它主干網技術不可比擬的.(4)采用虛擬局域網技術,可以方便地構成虛擬局域網,不同虛擬局域網之間就像通過網橋連接的局域網.而且,網絡管理員可以將地域不集中、連接在不同集線器上的同一部門之間的設備構成一個局域網,這樣,網段的物理位置不再影響其邏輯子網,它帶來的好處是:每個部門可以擁有自己的虛擬局域網,它不受其它部門的網絡通信影響;通信網絡上任何位置的主機、服務器等從一個虛擬局域網移動到另外一個虛擬局域網不需要任何物理上的變動;同時,物理上變動的網絡設備也可以維持在相同的虛擬局域網上不變.這對智能建筑租用用戶來說是相當優越的.(5)ATM網絡采用永久
虛通路和交換虛通路來管理網絡連接,這樣網絡延伸變得簡單,而且永久虛通路的配置可以保證不同業務的帶寬要求.交換虛通路的采用可以簡化網絡管理員的網絡設置工作.交換虛通路的標準化使不同廠家的ATM產品的互連變得簡單.(6)ATM是B-ISDN的標準轉移模式,因此主干網與廣域網的連接也可以歸結為ATM與ATM的連接,這樣智能建筑通信網可以與廣域網無縫連接.(7)ATM網絡采用分布式網絡結構使它作為主干網有很高的穩定性.
智能建筑的核心是系統集成[1],而系統集成的基礎則是智能建筑中的通信網絡.隨著計算機技術和通信技術的發展和信息社會的到來,迫使現代建筑觀念不得不更新.在信息化社會中,一個現代化大樓內,除了具有電話、傳真、空調、消防與安全監控系統外,各種計算機網絡、綜合服務數字網等都是不可缺少的.只有具備了這些基礎通信設施,新的信息技術,如電子數據交換、電子郵政、會議電視、視頻點播、多媒體通信等才有可能進入大樓.使它成為一個名符其實的智能建筑.目前,在多數涉及與智能建
筑有關的事物中,不論是物業主還是參加競爭的設計者,都把重點放在樓宇管理自動化系統和結構化布線系統上,許多所謂的智能建筑,其實就是樓宇自動化系統加上結構化布線和程控交換機,根本就忽略了通信網絡的建設.我們認為,在建筑智能化工程中,應該高度重視信息這個要素,而通信網絡正是為建筑的各個部分傳遞信息的道路.隨著分布式智能建筑控制系統技術的日益成熟和應用普及,在BAS中控制將進一步分散,在網絡中傳遞的將更多的是管理信息,系統的集成則越顯得重要[2],另一方面,目前由于人們信息需求的激增,以及計算機技術帶來的多媒體終端等先進的終端技術,一個智能建筑的智能化瓶頸往往在于它的通信網絡.可以說,通信網絡技術水平的高低制約著智能建筑的智能程度.為此,智能建筑中的通信網絡的設計是完成建筑智能化工程的重點所在.本文討論基于最新網絡技術的智能建筑通信網絡的設計.
二、智能建筑的通信網絡功能
總體上說,智能建筑的通信網絡有兩個功能,第一是支持各種形式的通信業務;第二是能夠集成不同類型的辦公自動化系統和樓宇管理自動化系統,形成統一的網絡并進行統一的管理.智能建筑中的通信業務主要有下列一些形式:
1、電話:包括內部直撥,通過PBX與樓外公共交換網連接后通話.發展成為以PBX為中心組網形成2B+D話音和信令通道,使電話用戶線具有綜合功能.
2、傳真:包括利用電話線進行樓內傳真以及與樓外的傳真,還可以通過發展而成的樓內綜合業務數字網(ISDN)的用戶線進行樓內之間或樓內外的傳真.
3、電子郵件、語音郵件、電子信箱、語音信箱:這是通過計算機網絡及其交換系統實現點對點(計算機)的文字或語音通信的一種方式.即通過對計算機屏幕的"書寫"或直接通過計算機的音響系統實現雙方的通信或對話.與之相應的電子信箱、語音信箱則是通過計算機的存貯系統實現"留信"或"留言".
4、可視電話:可視電話是一種小型圖像通信終端,利用電話線路同時傳遞圖像與語音信息.這種系統使用簡單,無需特殊線路,每秒可傳送10幀彩色圖像,并且價格相對低廉,同時,還可通過大樓PBX,進入公用電話網.同外部進行通信.
5、可視電話數據系統:可視電話數據系統是利用公用電話線路的會話型圖像通信.利用這種通信系統,鍵入所需信息代碼,傳送至數據庫計算機,主機收到該代碼后,即在數據庫中查找所需的信息,并將信息回送屏幕顯示出來,
6.會議電視:會議電視系統可支持大樓中各單位,各部門之間通信的要求,通過通信手段把相隔兩地或幾個地點的會議室連接在一起,傳遞圖象和伴音信號,使與會者產生身臨其境的感覺.
7、桌面會議系統:將計算機引入圖象通信,使得通信各方不僅可以面對面進行交談,還可以根據要求隨時交換資料和文檔,真正實現通信的交互性.桌面會議系統設有電子黑板,使會議各方可在同一塊電子黑板上完成信息交互,并可對電子黑板隨時打印,還可以重播會議片斷和收錄會議過程.
8,多媒體通信:多媒體通信是通過計算機網絡系統實現同時獲取,處理,編輯,存儲和展示兩個以上不同類型信息媒體(包括文字,語音,圖形,圖象〕的傳送,其最重要的基礎必需要具備寬帶的網絡系統.
9、公用數據庫系統:與大樓業務有關的資料可通過大樓的數據庫查詢,也可通過WAN查詢,數據類型可以是數據、文字、靜、動態圖象.
10、資料查詢與文檔管理系統:樓內各種辦公文件的編輯、制作、發送、存貯與檢索,并規定不同用戶對各類文檔的查詢權限.
11、學習培訓系統:與網絡聯機的多媒體終端及各種聲、象設備,提供各類業務學習與培訓.
12、觸摸屏咨詢及大屏幕顯示系統:安裝在大廳,多個觸摸屏咨詢系統安放在大廳不同位置,以聲,象,圖表等多種方式向用戶介紹大廈業務及其它信息.
13、人事,財務,情報,設備,資產等事務管理:將工作人員的素質,特長,單位,財務收支情況,文件,合同,通知,新技術,新業務,設備資源及其使用情況統統存入數據庫中,以便隨時查詢,實現事務管理科學化.
14、訪問INTERNET網絡:INTERNET正在發展成為把全球聯系在一起的信息網絡,所以對于用戶來說,具有訪問INTERNET的手段就顯得十分重要.大樓的智能局域網的主干網具有訪問INTERNET的信息通道,這就為大樓內的用戶訪問INTERNET提供了條件.
這些業務的實現對通信網絡的需求往往不同,已發展成熟的各種網絡幾乎都是針對特定的網絡業務,而目前基于ATM的寬帶綜合局域網技術日益成熟,使得在局域網內實現相當多的業務的綜合傳輸交換成為可能.
智能建筑中的通信網絡通常分為主干網和部門子網.主干網是連接部門子網、數據傳輸速率較高的網絡.部門子網是為完成各個部門特定目的而組建的局域網,它一般多種多樣.此外,通信網絡還包括以電話通信為主的PBX網絡.智能建筑的通信網絡應能支持上述的通信業務和大樓管理自動化及辦公自動化的要求,并且還要能夠適應今后15年通信業務發展的需要.
通常情況下在智能建筑中作主干網的有以下一些網絡技術:FDDI、100Base-T、100VG-AnyLAN、ATM等.我們認為,從技術及產品日益成熟和通信網絡發展方向來看,使用ATM技術作為主干網是一種優選方案.
作為智能建筑中的部門子網,往往根據部門需求選擇多種多樣的網絡.這可分為普通局域網、高速局域網和PBX網三種.在智能建筑中這三種子網往往共存.
三、一種智能建筑通信網絡系統
圖1是一種智能建筑通信網絡系統.主干網絡是以ATM交換機為中心的ATM網絡,有以下特點:(1)這是一種高速率網絡,每個端口速率高達25~155Mbps,這種帶寬使各個子網之間的通信暢通無阻,而且各個端口專用帶寬,使用戶的帶寬競爭局限在子網范圍內,因此,子網數目的增加不會影響已存用戶的業務質量.這對智能建筑內通信網絡的擴展來說是其它大多數網絡技術所不具備的.(20)采用局域網仿真技術使已有的局域網技術可以平滑無縫地接入主干網構成互連網.基于原有局域網的應用可以不加修改地在ATM互連網上運行.(3)ATM網絡與傳統局域網的無縫連接,進一步減少了網絡之間的橋、路由器、網關及HUB等協議轉換設備,使網絡延伸、網絡配置、網絡監視變得相當容易,網絡得到平整.這一點是其它主干網技術不可比擬的.(4)采用虛擬局域網技術,可以方便地構成虛擬局域網,不同虛擬局域網之間就像通過網橋連接的局域網.而且,網絡管理員可以將地域不集中、連接在不同集線器上的同一部門之間的設備構成一個局域網,這樣,網段的物理位置不再影響其邏輯子網,它帶來的好處是:每個部門可以擁有自己的虛擬局域網,它不受其它部門的網絡通信影響;通信網絡上任何位置的主機、服務器等從一個虛擬局域網移動到另外一個虛擬局域網不需要任何物理上的變動;同時,物理上變動的網絡設備也可以維持在相同的虛擬局域網上不變.這對智能建筑租用用戶來說是相當優越的.(5)ATM網絡采用永久
虛通路和交換虛通路來管理網絡連接,這樣網絡延伸變得簡單,而且永久虛通路的配置可以保證不同業務的帶寬要求.交換虛通路的采用可以簡化網絡管理員的網絡設置工作.交換虛通路的標準化使不同廠家的ATM產品的互連變得簡單.(6)ATM是B-ISDN的標準轉移模式,因此主干網與廣域網的連接也可以歸結為ATM與ATM的連接,這樣智能建筑通信網可以與廣域網無縫連接.(7)ATM網絡采用分布式網絡結構使它作為主干網有很高的穩定性.
圖1一種智能建筑通信網絡系統
它采用完全連接網狀拓撲來避免網絡單點失效,它的網絡控制分布存在于各個網絡節點,端到端多路由連接,網絡可以實現自重構,這些使網絡能應付各種災難情況,在智能建筑出現意外時能確保通信網絡暢通.(8)ATM是一種開放式網絡結構,ITU-T、ATM論壇分別制定了一系列網絡技術標準,這些使ATM網絡能夠兼容連接過去、現在和將來的各種網絡.因此,采用ATM作為主干網可以適應將來網絡技術的發展,使網絡生存周期增長,網絡等效性價比增加.
若干個大容量服務器(多媒體服務器)直接接入ATM網絡,可滿足多客戶機與服務器的多媒體通信對網絡帶寬的要求.部門子網一般設計為交換模塊式局域網,最常用的是10Base-T,它不但是物理上的星型連接,而且使用非屏蔽雙絞線作為傳輸媒質,這非常適合智能建筑綜合布線的情況.對于多用戶部門,可使用多交換模塊組成多網段的部門子網.而對于有高速要求的部門來說,則可組建高速局域網,高速局域網有100Base-T和FDDI和ATM工作組網等,根據我們的經驗,采用100Base-T和ATM工作組網更好.通過局域網交換機可將所有局域網部門子網接入主干網.如果部門子網的高速用戶數量不多,最好將高速寬帶終端用戶直接接入主干網,通過ATM網絡的虛擬局域網功能,將一些高速寬帶終端用戶與一些部門子網組建成虛擬局域網.PBX網是以電路交換方式交換話音為主的網絡.目前配備有N-ISDN功能的PBX交換機綜合了電路交換和分組交換方式,可以綜合交換話音和數據.在智能建筑中,使用N-ISDNPBX作電話網的交換節點具有明顯的優點:可以方便地將遠端和孤立的數據終端通過N-ISDN與主干網的網關接入通信網絡;可以方便地與公用N-ISDN的連接,實現對廣域網的低速訪問;2B+D和30B+D的速率接口可以充分滿足用戶對外部數據資源的訪問,實現用戶電報、高質傳真、高質電話、可視電話等業務;專用線路業務可以滿足特殊用戶保密要求,以及實現緊急報警等.PBX網絡自成一體,又可通過網關與主干網相連.多功能電視會議中心主要包括數字化投影電視和音響系統及同聲傳譯系統,在智能建筑的設計中,通過網絡互連技術,將相應的語音和圖像信息傳送給相關的子網或公共網,實現信息共享,這樣可使智能建筑具有更高的品質.樓宇管理自動化系統網絡在邏輯上是獨立的,中央監控系統監控和管理整個BAS,通過以太網接口,中央監控系統接入主干網絡,可向有關終端傳送監視和報警信息.通過主干網和PBX網絡接入樓外通信系統.
【關鍵詞】通信網絡;網絡攻擊;通信安全
信息安全的內涵,隨著計算機網絡的發展發生一些變化,從普通的防范到專門領域的防范。在我國政策和法律的基礎上,建立完整的網絡安全體系有著重要的作用。不僅帶來重大的經濟價值和社會效應,也能避免安全事故產生的無法估計的損失,推動了信息化與經濟的發展。網絡安全體系的建立保證通信網絡的安全,針對現狀進行以下分析并提出一些具體措施。
一、常見的網絡攻擊方式
1、網絡監聽攻擊
網絡監聽是一種監視網絡狀態、數據流以及網上傳輸信息的管理工具,它可以將網絡接口設置在監聽模式,并且可以截獲網上傳輸的信息,取得目標主機的超級用戶權限。作為一種發展比較成熟的技術,監聽在協助網絡管理員監測網絡傳輸數據,排除網絡故障等方面具有不可替代的作用。然而,網絡監聽也給網絡安全帶來了極大的隱患,當信息傳播的時候,可以利用工具將網絡接口設置在監聽的模式,便可截獲或者捕獲到網絡中正在傳播的信息,從而進行攻擊。網絡監聽在網絡中的任何一個位置模式下都可實施進行,而黑客一般都是利用網絡監聽來截取用戶口令,如當有人占領了一臺主機之后, 要想占領這個主機所在的整個局域網的話,監聽往往是他們選擇的捷徑。
2、信息炸彈攻擊
信息炸彈攻擊又稱緩沖區溢出,就是程序對接受的輸入數據沒有進行有效的檢測導致錯誤,造成程序崩潰或者是執行攻擊者的命令。UNIX和Windows及其上的許多應用程序都是用C語言編寫的, 而C、C++語言對數組下標訪問越界不做檢查,是引起緩沖區溢出的根本原因。在某些情況下,如果用戶輸入的數據長度超過應用程序給定的緩沖區,就會覆蓋其他數據區,即緩沖區溢出。
3、木馬程序攻擊
該攻擊是程序員設計一些功能復雜的程序時,將木馬程序秘密安裝在目標主機當中,開放某個端口,然后就可以遠程操作了。特洛伊木馬是一種非常危險的惡性程序,它無休止地竊取用戶的信息,給用戶造成了巨大的損失。完整的木馬程序一般由兩部分組成,分別是服務器程序和控制器程序。若一臺電腦被安裝了服務器程序,則擁有控制器程序的人就可以通過網絡控制該電腦,這臺電腦上的各種文件、程序,以及在電腦上使用的賬號、密碼就無安全保障了。
4、拒絕服務攻擊
拒絕服務攻擊(DoS攻擊)即攻擊者想辦法讓目標機器停止提供服務或資源訪問,這些資源包括磁盤空間、內存、進程甚至網絡帶寬,從而阻止正常用戶的訪問。最常見的DoS攻擊有包括計算機網絡帶寬攻擊和連通性攻擊,其中:①帶寬攻擊指以極大的通信量沖擊網絡,使得所有可用網絡資源都被消耗殆盡,最終導致合法的用戶請求無法通過;②連通性攻擊是指用大量的連接請求沖擊計算機,使所有可用的操作系統資源都被消耗殆盡,最終使計算機無法處理合法用戶的請求。拒絕服務攻擊是利用網絡協議本身的安全缺陷造成的, 從而成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊,實際上讓服務器實現以下兩種效果:①迫使服務器的緩沖區滿,不接收新的請求;②使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。
5、郵件服務器攻擊
目前互聯網上的郵件服務器攻擊包括以下兩類:①中繼利用(Relay),即遠程機器通過被攻擊服務器來發信,這樣任何人都可以利用被攻擊的服務器向任何地址發郵件;②垃圾郵件,即人們常說的郵件炸彈。這兩種攻擊都可能使郵件服務器無法正常工作。
6、DNS服務器攻擊
由于DNS服務使用UDP協議,因此對于攻擊者而言,更容易把攻擊焦點集中在DNS服務上。DNS服務面臨的威脅包括以下兩種:(1) 緩存區中毒:這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的信息,一旦成功,攻擊者可以改變發向合法站點的傳輸流方向,使它傳送到攻擊者控制的站點。該攻擊通常被用于網絡釣魚犯罪,攻擊的目標站點通常為金融機構,用來騙取金融機構客戶信息。(2)域劫持:通過利用客戶升級自己的域注冊信息來使用的不安全機制,攻擊者可以接管域注冊過程來控制合法的域。
二、通信網絡安全維護措施及技術
當前通信網絡功能越來越強大,在日常生活中占據了越來越重要的地位,我們必須采用有效的措施,把網絡風險降到最低限度。于是,保護通信網絡中的硬件、軟件及其數據不受偶然或惡意原因而遭到破壞、更改、泄露,保障系統連續可靠地運行,網絡服務不中斷,就成為通信網絡安全的主要內容。
為了實現實現上述的種種安全措施,必須有技術做保證,采用多種安全技術,構筑防御系統,主要有:
防火墻技術。在網絡的對外接口采用防火墻技術,在網絡層進行訪問控制。通過鑒別,限制,更改跨越防火墻的數據流,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
入侵檢測技術。防火墻保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善,IDS(入侵檢測系統)是防火墻的合理補充,它積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,提高了信息安全性。
網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取,是網絡安全的核心。采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性,它可解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
身份認證技術。提供基于身份的認證,在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。
虛擬專用網(VPN)技術。通過一個公用網(一般是因特網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。
關鍵詞:通信網絡 安全 技術 維護
1 前言
經國務院批準,在信息產業部的指導下,由IEEE主辦,中國電子學會、清華大學、中國通信學會和北京郵電大學四家單位共同承辦的“2008世界通信大會中國論壇--網絡和信息安全分論壇”于2008年5月在北京隆重召開。大會主要研討國際通信技術和行業領域的熱點問題,促進全球學術界和工業界的交流與合作,其中,關于通信網絡的安全技術正是其中的一個討論焦點。
2 通信網絡安全的定義及其重要性
從不同角度對網絡安全作出不同的解釋。一般意義上,網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”;控制安全則指身份認證、不可否認性、授權和訪問控制。
當今社會,通信網絡的普及和演進讓人們改變了信息溝通的方式,通信網絡作為信息傳遞的一種主要載體,在推進信息化的過程中與多種社會經濟生活有著十分緊密的關聯。這種關聯一方面帶來了巨大的社會價值和經濟價值,另一方面也意味著巨大的潛在危險。
3 通信網絡安全現狀
互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間,網絡技術的迅速發展和廣泛應用,為人類社會的進步提供了巨大推動力。
計算機系統及網絡固有的開放性、易損性等特點使其受攻擊不可避免。計算機病毒的層出不窮及其大范圍的惡意傳播,對當今日愈發展的社會網絡通信安全產生威脅。
現在企業單位各部門信息傳輸的的物理媒介,大部分是依靠普通通信線路來完成的,雖然也有一定的防護措施和技術,但還是容易被竊取。
通信系統大量使用的是商用軟件,由于商用軟件的源代碼,源程序完全或部分公開化,使得這些軟件存在安全問題。
4 通信網絡安全分析
針對計算機系統及網絡固有的開放性等特點,加強網絡管理人員的安全觀念和技術水平,將固有條件下存在的安全隱患降到最低。
軟硬件設施存在安全隱患。為方便管理,部分軟硬件系統在設計時留有遠程終端的登錄控制通道,同時在軟件設計時不可避免的也存在著許多不完善的或是未發現的漏洞,加上商用軟件源程序完全或部分公開化,使得在使用通信網絡的過程中,如果沒有必要的安全等級鑒別和防護措施,攻擊者可以利用上述軟硬件的漏洞直接侵入網絡系統,破壞或竊取通信信息。
傳輸信道上的安全隱患。如果傳輸信道沒有相應的電磁屏蔽措施,那么在信息傳輸過程中將會向外產生電磁輻射,從而使得某些不法分子可以利用專門設備接收竊取機密信息。
另外,在通信網建設和管理上,目前還普遍存在著計劃性差。審批不嚴格,標準不統一,建設質量低,維護管理差,網絡效率不高,人為因素干擾等問題。因此,網絡安全性應引起我們的高度重視。
5 通信網絡安全維護措施及技術
為實現對非法入侵的監測、防偽、審查和追蹤,從通信線路的建立到進行信息傳輸我們可以運用到以下防衛措施:“身份鑒別”可以通過用戶口令和密碼等鑒別方式達到網絡系統權限分級,權限受限用戶在連接過程中就會被終止或是部分訪問地址被屏蔽,從而達到網絡分級機制的效果;“網絡授權”通過向終端發放訪問許可證書防止非授權用戶訪問網絡和網絡資源;“數據保護”利用數據加密后的數據包發送與訪問的指向性,即便被截獲也會由于在不同協議層中加入了不同的加密機制,將密碼變得幾乎不可破解;“收發確認”用發送確認信息的方式表示對發送數據和收方接收數據的承認,以避免不承認發送過的數據和不承認接受過數據等而引起的爭執;“保證數據的完整性”,一般是通過數據檢查核對的方式達成的,數據檢查核對方式通常有兩種,一種是邊發送接收邊核對檢查,一種是接收完后進行核對檢查;“業務流分析保護”阻止垃圾信息大量出現造成的擁塞,同時也使得惡意的網絡終端無法從網絡業務流的分析中獲得有關用戶的信息。
為實現實現上述的種種安全措施,必須有技術做保證,采用多種安全技術,構筑防御系統,主要有:防火墻技術。在網絡的對外接口采用防火墻技術,在網絡層進行訪問控制。通過鑒別,限制,更改跨越防火墻的數據流,來實現對網絡的安全保護,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
入侵檢測技術。防火墻保護內部網絡不受外部網絡的攻擊,但它對內部網絡的一些非法活動的監控不夠完善,IDS是防火墻的合理補充,積極主動地提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵,提高了信息安全性。
網絡加密技術。加密技術的作用就是防止公用或私有化信息在網絡上被攔截和竊取,是網絡安全的核心。采用網絡加密技術,對公網中傳輸的IP包進行加密和封裝實現數據傳輸的保密性、完整性,解決網絡在公網上數據傳輸的安全性問題也可解決遠程用戶訪問內網的安全問題。
身份認證技術。提供基于身份的認證,在各種認證機制中可選擇使用。通過身份認證技術可以保障信息的機密性、完整性、不可否認性及可控性等功能特性。
虛擬專用網技術。通過一個公用網建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務伙伴等跟公司的內網連接起來,構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網絡的存在,仿佛所有的機器都處于一個網絡之中。
漏洞掃描技術。面對網絡的復雜性和不斷變化的情況,僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不夠的,我們必須通過網絡安全掃描工具,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。
6 結語
目前解決網絡安全問題的大部分技術是存在的,但是隨著社會的發展,人們對網絡功能的要求愈加苛刻,這就決定了通信網絡安全維護是一個長遠持久的課題。我們必須適應社會,不斷提高技術水平,以保證網絡安全維護的順利進行。
參考文獻:
[1] 張詠梅.計算機通信網絡安全概述.中國科技信息,2006.
[2] 楊華.網絡安全技術的研究與應用.計算機與網絡,2008.
[3] 馮苗苗.網絡安全技術的探討.科技信息,2008.
[4] 姜濱,于湛.通信網絡安全與防護.甘肅科技,2006.
[5] 艾抗,李建華,唐華.網絡安全技術及應用.濟南職業學院學報,2005.
1.1人機接口軟件
采用基于WINDOWS98/NT/2000的窗口技術,提供以下支持功能:(1)可根據所執行的任務,顯示相應的網絡拓撲;(2)傳統的圖形化的網絡控制和管理顯示操作用戶界面;(3)具備中文的編輯、輸入、輸出處理能力;(4)多媒體輔助界面:充分利用多媒體技術,采用聲、光、電等多種媒體為網管操作員提供實施控制管理的途徑。
1.2管理應用軟件
管理應用軟件是綜合網管功能實現的主體部分,參照電信管理網(TMN)的功能結構,將管理應用軟件劃分為配置管理、故障管理、性能管理和安全管理四大功能域。
1.3通信處理軟件
通信處理軟件提供對網管信息互通的支持,完成與子網管理中心及另一套綜合網管中心的通信。通信處理軟件采用模塊化設計,可靈活配置各種通用的SNMP協議機或專用協議機。
1.4管理信息庫
管理信息庫是綜合網管子系統的信息儲藏所。在管理信息庫中,被管網絡和其管理信息用被管對象來表示。管理信息庫提供了信息查詢、對被管對象的操作、管理事件處理及被管對象間關聯的能力。
2人機接口軟件設計
2.1人機接口軟件概述
人機接口是網管操作員對網絡管理應用的“感官”,它給網絡操作員的第一印象在很大程度上決定網管操作員對網管系統的評價。同時,它也影響著網管系統的使用方便性和操作的效率。網絡管理中心采用Windows98/NT/2000窗口技術。提供以下支持功能:傳統的圖形化的網絡管理、顯示和操作用戶界面。如提供傳統的下拉式菜單、各種曲線、圖片、表格、文字以及圖形地圖,以提供操作人員直觀實時地操作網絡和管理目標的信息。用位圖、圖標、顏色、圖象生動形象地表示網絡的運行狀態。窗口系統還提供背景地圖和用戶拓撲網絡的制作工具,可以使用BMP位圖或矢量方式圖形作為地圖背景:(1)具備中文的編輯、輸入、輸出處理能力;(2)多媒體輔助界面:突破傳統的以圖形、文本為主要顯示的界面設計,充分利用多媒體技術,采用聲、光、電等多種媒體(需要多媒體的數據庫支持)通過可視化技術以圖形、圖象、文本、聲音、動畫等多種方式為網管操作員提供實施控制管理的途徑。
2.2人機接口軟件(HMIS)設計
HMIS完成的主要功能:綜合網管子系統兩套設備在功能上具有兼容性,在設計上軟件采用模塊化結構。HMIS主要完成各類網絡狀態信息的顯示功能。同時為網管操作員提供有效的控制手段,主要包括以下幾個方面:(1)顯示網絡的運行狀態、性能指標;(2)按照所配置的預案顯示當前任務的網絡拓撲;(3)在任務執行區域地圖上可分層顯示各通信子網網絡配置以及相互網絡疊加情況;(4)可顯示各通信節點、通信車內通信設備配置及連接關系圖;(5)顯示網絡的故障告警;(6)顯示網絡性能、資源利用等各種形式的統計圖和分析報表;(7)顯示網管的自身狀態信息;(8)為網管操作員提供參與控制的各類人機界面。由上述可知,HMIS的顯示形式包括文本、表格、圖表等多種形式,顯示信息包括配置信息、安全信息、性能信息和故障信息等,控制界面上包括操作員對網絡的重配置,安全信息產生等。因此,如何有效地、及時地顯示不同的信息是HMIS的關鍵。
3管理應用軟件設計
綜合網管子系統從功能角度來規劃管理應用軟件的模塊集,這種規劃采用統一的設計結構,即將相同的管理功能軟件依據網管的管轄對象、管轄范圍的不同,將不同的子功能模塊裝配形成網管中心的管理應用軟件。這樣可確保網管功能上的有效性、一致性、連續性和可移植性。管理應用軟件參照ISO標準,劃分為配置管理模塊、故障管理模塊、性能管理模塊和安全管理模塊。配置管理模塊主要負責監控所轄范圍內的所有專業網管及其被管對象,使網管操作員可以查詢和修改硬件/軟件的運行參數,以保持網絡的正常操作。配置管理通過修改專業網管及其被管對象的存在性、屬性、狀態和關系來控制被管對象。配置管理模塊主要完成的功能有:(1)定義網絡和網元;(2)收集、整理當前網絡狀態信息;(3)獲取網絡重大變化的信息;(4)識別網絡拓撲;(5)繪制網絡拓撲圖;(6)建立和維護配置數據庫;(7)設定和調整網絡和網元配置參數。從實現以上功能的角度出發,將配置管理分為四個子模塊:(1)狀態監視:連續在線地監視網絡的變化,并能夠將被管對象狀態數據存入配置數據庫。(2)狀態控制:設置被管對象狀態變化匯報門限,及時報告網絡的被管對象狀態的變化,并通過GUI及時通知操作員。(3)命令:將網絡操作員或其它管理應用程序發出的各種狀態控制命令轉換成具體的代碼,以實現控制過程。(4)配置控制:支持網絡管理員對被管對象的定義、參數的設置、被管對象名字的管理、整個網絡的狀態控制和控制序列的定義以及生成管理對象、管理報表。
4管理信息庫(MIB)設計
管理信息庫應具備一個可擴充的數據庫和整套相關的操作工具,它一般包括三個部分。
4.1管理信息庫的構造服務
提供將應用中受管資源表示成被管對象的定義手段,數據庫管理系統均提供實現這一服務的技術途徑。
4.2管理信息庫的訪問服務
提供訪問管理信息庫中受管對象信息的編程接口。用戶對管理信息庫的訪問可能涉及管理信息庫用戶與管理信息庫服務器間建立連接,用戶發出詢問請求并接收響應。
4.3管理信息庫的支持服務
提供管理信息庫的永久存儲資源的管理。提供這種長期存儲能力的方法目前主要采用基于結構化詢問語言(SQL)的關系數據庫管理系統。
5結束語
關鍵詞:網絡管理 拓撲結構 網絡故障 診斷
1.網絡管理的分類
網絡管理的目的,就是使網絡高效、正確地運行,其目的就是使網絡中的資源得到更加有效的利用,當網絡出現故障時能及時報告和處理,并協調、保持網絡系統的高效運行。
網絡管理技術是伴隨著計算機、網絡和通信技術的發展而發展的。從網絡管理的范疇可分為網“路”的管理、接入設備的管理和行為的管理。對網“路”的管理,即針對交換機、路由器等主干網絡進行管理;對接入設備的管理,即對內部PC、服務器、交換機等進行管理;對行為的管理,即針對用戶的使用進行管理;對資產的管理,即統計IT軟硬件的信息等。
2.網絡構建策略的選擇和優化
2.1 網絡拓撲圖的選擇策略
在計算機網絡中,把計算機、終端、通信處理機等設備抽象成點,把連接這些設備的通信線路抽象成線,并將由這些點和線所構成的拓撲,稱為網絡拓撲結構。網絡拓撲結構反映出網絡的結構關系,它對于網絡的性能、可靠性以及建設管理成本等都有著重要的影響。因此,在網絡構建時,網絡拓撲結構往往是首先要考慮的因素之一。
局域網在傳輸介質的物理連接方式、介質訪問控制方法上形成了自己的特點,在網絡拓撲上主要有以下幾種結構,其中最常用的網絡拓撲是總線型拓撲(Bus Topology)、星狀拓撲(Star-Topology)和環狀拓撲(Ring Topology)和樹形拓撲(Tree Topology)。但是針對不同情況要選擇不同的網絡拓撲結構。比如說對于站點不多(10個站點以下)的網絡或各個站點相距不是很遠的網絡,采用總線型拓撲還是比較適合的;網絡中智能集中于中央結點的場合采用星狀拓撲更適合;寬帶高速網絡的結構多采用環狀拓撲等。
2.2 網絡設備互為備份策略
選擇組網時,一定要注意網絡設備互為備份的原則,這種設計原則常常應用于實際的工作工程中,此處以交換機為例。比如說一個簡單的網絡主要用樹形工作,正常工作時只有一條環鏈路通信,當此工作環的某一點發生故障時,采用手動或自動把改點所在的通信連路切換到與該點對應的備用鏈路上。這就是網絡設備互為備份的一種體現以及所帶來的通信質量安全的保障性能。
2.3 網絡設備的選擇
局域網是由各種節點組成,因此,在確定組網策略后,要針對構建網絡的相關需求,來選擇相關的網絡硬件設備,以期達到更高的性價比。例如,在構建一個網絡之前,實現網絡交換功能的交換機可以選擇兩層或者三層,如果網絡的吞吐量不大,選擇二層交換機即能滿足網絡建設需求,也能節省資金,從而達到最佳的性價比。
3.網絡管理中的相關軟件管理
3.1 計費管理
計費管理記錄網絡資源的使用,目的是控制和監測網絡操作的費用及代價。對一些公共商業網絡尤為重要。它可以估算出用戶使用網絡資源,可能需要的費用和代價以及已經使用的資源。網絡管理員還可規定用戶可使用的最大費用,從而控制用戶過多占用和使用網絡資源,這也從另一方面提高了網絡的效率。另外,當用戶為了一個通信目的需要使用多個網絡中的資源時,計費管理應可計算總計費用。
3.2 選用正確的網絡配置
網絡配置管理很重要,它初始化網絡、并配置網絡,以使其提供網絡服務。配置管理是一組對辨別、定義、控制和監視組成一個通信網絡的對象所必要的相關功能,目的是為了實現某個特定功能或使網絡性能達到最優。
(1)配置信息的自動獲取。在一個大型網絡中,需要管理的設備是比較多的,如果每個設備的配置信息都完全依靠管理人員的手工輸入,工作量是相當大的,而且還存在出錯的可能性。對于不熟悉網絡結構的人員來說,這項工作甚至無法完成。因此,一個先進的網絡管理系統應該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網絡結構和配置狀況的情況下,也能通過有關的技術手段來完成對網絡的配置和管理。在網絡設備的配置信息中,根據獲取手段大致可以分為三類:一類是網絡管理協議標準的MIB中定義的配置信息(包括SNMP和CMIP協議);二類是不在網絡管理協議標準中有定義,但是對設備運行比較重要的配置信息;三類就是用于管理的一些輔助信息。
(2)自動配置、自動備份及相關技術。配置信息自動獲取功能相當于從網絡設備中“讀”信息,在網絡管理應用中還有大量“寫”信息的需求。根據設置手段對網絡配置信息進行分類:一類是可以通過網絡管理協議標準中定義的方法進行設置的配置信息;二類是可以通過自動登錄到設備進行配置的信息;三類就是需要修改的管理性配置信息。
(3)配置一致性檢查:在一個大型網絡中,由于網絡設備眾多,而且由于管理的原因,這些設備很可能不是由同一個管理人員進行配置的。實際上即使是同一個管理員對設備進行的配置,也會由于各種原因導致配置不一致的問題。因此,對整個網絡的配置情況進行一致性檢查是必需的。在網絡的配置中,對網絡正常運行影響最大的主要是路由器端口配置和路由信息配置,因此,要進行一致性檢查的也主要是這兩類信息。
(4)用戶操作記錄功能。配置系統的安全性是整個網絡管理系統安全的核心。因此,在配置管理中,必須對用戶進行的每一配置操作進行記錄,并保存下來。管理人員可以隨時查看特定用戶在特定時間內進行的特定配置操作。
3.3 網絡的日常管理
網絡發展到一定階段,必然要考慮到網絡性能、網絡故障與網絡安全性問題。只有通過運用網絡分析技術對網絡流通數據的清晰認識,才能為故障的排查、性能的提升以及網絡安全的解決,提供可靠的數據依據。
(1)網絡數據信息收集。要很好的管理網絡的性能,就要緊密結合平時的網絡監控與長期的資料。主要通過各種網管軟件與硬件,經常性的監控流量,使流量分布高峰與低峰時間及負載量、偵測網絡瓶頸點、各網絡應用程序占用流量比例、網絡區段的錯誤率與可靠度等,將收集的資料及各種數據進行統計與分析,及時做成各種數據庫,并做出圖表,以備出現問題時作為診斷判定的依據。這對于解決突況、對未來的網絡規劃與資源配置是十分有利的。分析完數據后,根據需求重新分配資源或作為下次網絡規劃的參考,同時要制定適當的管理規則,既要滿足用戶的連接速度要求,又不至于浪費帶寬。
(2)網路故障的排除。將網絡管理好,通常是一個網絡運行生存的必要條件,而在網絡的運行過程中,網絡故障的及時排除顯得尤為重要。
網絡故障產生的原因是多方面的,如何去診斷、排除這些問題呢?舉個簡單的例子,有時在網頁瀏覽器工作不正常時,人們常常要浪費很多時間去解決問題,結果卻發現是計算機與網絡未正確連接!一般來講,應從最基本的問題考慮,網絡的OIS模擬共分為七層,可以逐層分析一下,雖然比較麻煩,但要想真正地洞悉網絡的故障并在有效時間內排除,這是初期的一個好辦法。首先,應該考慮的是物理層的故障,在這一層可導致故障的原因有:攬線過長或過短、終端阻斷器、網上故障、中繼器故障、設備不兼容等等因素。這些故障的解決要在工程的初期就考慮到。而攬線長短的這些人為因素所造成的故障,完全可以通過適當的技術培訓得到改善,如果連線時對環境能做到按規定章程處理,各個干擾就可避免。在其他層出現的問題也很多,例如,在數據鏈路層中出現的故障,最好的解決方法是使用好的交換機和網卡,好的交換機可以有效的緩解寬帶使用率過高的問題;好的網卡不但可以降低延遲時間,也可以避免一些不良問題,如網絡層中常發生未啟動路由協議、用錯路由協議和寫錯IP等這樣的一些錯誤,所以在設置路由器的路由協議或是進行微調時,應加強設置調配記錄,以備將來的管理中參考和修復。
還有其它故障,如電壓的劇增、劇減、尖峰脈沖和振蕩等等典型的電壓干擾。解決電壓劇增和尖峰脈沖問題的常用方式,是使用穩壓器。穩壓器通常安裝在網絡設備連接的墻面電源插座,穩壓器內的線路可以防止網絡設備遭電壓劇增和尖峰脈沖損壞。雖然穩壓器可以解決電壓劇增和尖峰脈沖引起的問題,但它們不能防止電壓劇減和部分停電的發生。因此,為了避免AC電源劇減毀壞計算機的現象,要在所有的網絡上加裝不間斷電源供應系統,即使用“不間斷電源供應系統”,這在實際的工程設計中是必須要考慮的。
(3)網絡安全控制。網絡安全控制的首要任務,是管理用戶注冊和訪問權限。在局域網上,網絡操作系統一般都提供用戶管理和權限分配的工具。對于局域網內部用戶,利用這些工具可以檢查和設置用戶信息、進行賬號限制,例如改變賬號密碼、設置組、確定組中的賬號、修改組或賬號的權限、設定賬號有效時間等。定時對網絡當前訪問情況進行檢查并做好記錄,及時發現異常情況。另外,管理局域網外部權限和連接也很重要,一般局域網外部用戶可能會訪問該局域網,如查看已有文件、傳遞他們的文件或使用其他網絡資源。因此,對這些用戶也需要建立賬號,但應根據其使用網絡的目的詳細控制其訪問權限,然后定期檢查哪些用戶最近沒有注冊,對一些不再需要的賬號及時注銷。
關鍵詞:計算機網絡通信;計算機;計算機網絡通信系統
1 計算機網絡通信的概況
計算機網絡通信,也就是用計算機作為信息的接收終端,把網絡技術用作載體的一種通信方式。保證計算機網絡通信正常運行的前提是進行網絡建設,網絡建設對推動計算機的普及應用有現實性意義作用,同時也是實現社會經濟發展的措施之一。目前提到的計算機通信涉及兩個大領域,分別是指衛星通信以及光纖通信。目前我國的計算機網絡通信以光纖通信為主的,光纖技術的使用能使多臺計算機進行資源共享以及交流信息。目前,隨著科學技術的高速發展,光纖網絡的技術也越來越趨向成熟了,它的優點是可靠性很強,傳輸速率非常高,達100Mbps。與光纖通信不同的是,衛星通信主要使用于軍事、遙感、軍事以及偏遠地區,比光纖通信更加的先進,總之,衛星通信和光纖通信,都能夠服務人們不同的需求。
2 計算網絡通信存在的隱患
2.1 網絡硬件配置不合理
文件服務器是網絡的中樞,其運行的穩定性和功能的完善性對網絡系統的質量和網絡的可靠性、擴充性以及升級換代受設計和選型有直接影響,如果網絡應用的需求得不到人們足夠的重視,造成的后果就是對網絡功能發揮有限制。另外,網卡選配不當或者安全策略漏洞也有可能引起網絡不穩定。
2.2 來自內部網絡通信安全一些危險的因素
某些計算機網絡通信的管理制度不完善,應用服務系統在安全通信和訪問控制方面考慮不夠全面。若系統設置錯誤的話,就會造成一定得損失。當然,破壞網絡安全的因素還可以是擁有相應權限的網絡管理員和網絡用戶。
2.3 病毒的入侵
病毒也就是指編制者在計算機程序中插入的破壞計算機功能或數據的一組計算機指令或程序代碼,他們能夠能夠自我復制,并且影響計算機硬件和軟件的正常運行。
數據安全的重大安全威脅就是計算機的病毒,病毒是一種具有破壞性的計算機程序。病毒可以對任意文件進行拷貝和刪除,而且病毒的繁殖力很強大。
2.4 計算機網絡通信的電磁屏蔽會威脅信息的安全
專門設備可能會接收到缺少相應電磁屏蔽的網絡通信產生的電磁輻射。
3 促進計算機網絡通信發展的方法
首先,對于網絡通信方面存在的問題用戶可以通過服務器控制臺,然后對系統模塊進行加載和卸載,來促進計算機網絡通信的發展。對于軟件可以進行安裝和刪除,在網絡服務器方面,可以通過設置口令,再利用服務器控制來進行鎖定,對于網絡信息方面,系統可以利用一些諸如限制服務器登錄的方法,這樣以來就多一層安全防范。其次,更要重視主機的安全。主要表現在網絡節點計算機的安全。其中包括了對補丁的升級、修復漏洞以及更新防火墻等。最后,要重視防火墻。防火墻能夠掃描和防范網絡信息,能夠保障網絡通信的安全。
4 計算機網絡通信未來的發展
4.1 向智能化和高性能方向發展
首先,智能化要求計算機網絡通信能夠向用戶提供更加方便和友好的、智能的應用接口,在面對路由的選擇和擁塞的控制以及網絡的管理等問題時,能夠具有更強的主動性。特別是對主動網絡的研究上,使得網絡內執行的計算能動態地變成應用指定”或者“用戶指定”。其次,計算機網絡通信未來將能夠向用戶提供更加高性能、高品質的網絡服務。表現在高速地傳輸、高效的協議處理等。具有高性能的計算機網絡,可以支持大量的、各種類型的用戶應用。還有可以縮放的功能,即使用戶數目增長了,網絡的性能也不會降低。
4.2 向多重網絡整合發展
多重網絡通信整合發展必須是以光纖通信作為載體,網絡硬件向無線網絡通信發展為主的多網絡整合發展。目前,計算機網絡通信已經出現了“三網融合”的發展思路。“三網融合”也就是將計算機通信網、廣播電視網以及電信網三網實現相互兼容和滲透,結果是將其整合發展成為一種全球統一的信息通信網絡。“三網融合”是一個具有實用廣、維護方便、運行費用低等多種優點的高速帶寬的多媒體技術平臺。它的優點還包括預防一些低水平的網絡通信設施遭到重復的建設,造成資源的浪費,能夠減少維護費用,實現網絡資源信息共享的最終目標。如今,隨著信息技術的迅猛發展,計算機網絡通信的未來的發展理念將會得到更進一步深化。相信這些經過深化的發展理念將會打破計算機網絡通信的框架和界限,突破網絡通信單一的計算機終端設計,最終實現多渠道的介入和網絡共享。
5 結語
計算機網絡通信技術目前已經能夠廣泛的用于現代人們的生活之中,計算機網絡技術以及通信技術的融合與發展給大家的工作生活也帶來了很多的便利,相信隨著計算機網絡通信技術的進一步完善和發展會更好地服務于社會。
[參考文獻]
[1]楊家興.新時期計算機網絡通信現狀及發展趨勢研究[J].信息安全與技術,2013(3).
關鍵詞:計算機;智能管理;措施
中圖分類號: 文獻標識碼:A文章編號:1007-9599(2012)05-0000-02
計算機網絡智能的故障,主要分為三大類,本文對其進行分析,為排除這些故障提供了科學的依據,有利于計算機智能管理中對硬件和軟件處理,如何解決好網絡故障的計算機智能管理與處理措施本文就這個話題進行了闡述,更有利于計算機智能化的發展,為計算機智能化管理提供了有利的措施。計算機智能化管理系統的研究開發將對國防、經濟、教育、文化等各方面產生深遠影響。
一、計算機網絡智能的故障
(一)邏輯類故障
邏輯類故障主要有路由器邏輯故障和主機邏輯故障。邏輯故障是通過熟悉數據底層結構的工程師進行邏輯分析,并以一定的軟件輔助進行數據修復的,整個過程并不涉及介質的維修或更換配件。而由于軟故障導致數據丟失的原因往往是誤格式化、誤分區、誤克隆、誤刪除、病毒感染、黑客入侵、操作斷電等。主機邏輯故障是關于網卡驅動設施的裝置沒有合理安裝,會出現網卡無法被驅動,不能進行工作的狀態,其次是對主機網址參數設置錯誤,IP地址的主機配置不能滿足網路的需求,在一定的范圍內無法聯網。
(二)網絡設備故障
網絡設備故障主要是交換機發生故障以及服務器系統等發生異常的現象。計算機在正常工作的狀態下,會發生軟件崩潰的現象,計算機停止工作。另外,網絡的外部設備故障也時常發生,它間接的影響著網絡系統的運行。顯示器的散熱問題,無時無刻地制約著計算機的啟動情況,沒有及時的通風和散熱,會將顯示主板燒壞了,有時候也會因為顯示器沒有合理的保管,潮濕的環境中,顯示器就會受損。鼠標和鍵盤問題是使用者沒有合理的保管造成的,ups故障會給計算機帶來的問題是不能滿足計算機的供電,電壓會及其不穩定。
(三)物理類故障
物理類故障主要是指計算機網絡智能中存在的物理類狀況。物理類故障主要有四種:線路故障、端口故障、集線器或路由器故障、主機物理故障等。針對不同的物理故障,我們開始進行不同的判斷,線路故障是發生率最高的障礙之一,特別是線路的損害,不利于計算機智能的各個零件的正常運轉,如果線路短路,可能是網線的質量常年在外受到風吹日曬,造成網線破損,應該及時進行排查工作,這樣才能更有利于線路完好。有些過長的線路往往會發生中斷現象,只有及時的檢查才能得到發現,而且在線路障礙中也存在著電磁干擾,影響著計算機智能管理的正常工作;端口故障主要是插座、插頭的松動狀況居多,它會制約著計算機的網絡信號,最終會導致信號燈不亮,使其他的端口無法正常連接;集線器故障會使綠的信號燈熄滅,不能正常通信,中斷通信網絡;主機物理故障最明顯的是網卡插槽不牢靠,松動的卡座,會使計算機在運行中突然停止,計算機自動關閉是司空見慣的事實。
二、處理計算機智能故障的措施
(一)病毒的預防
病毒的預防是處理計算機智能故障的一個程序,一段可執行碼。就像生物病毒一樣,計算機智能病毒有獨特的復制能力。計算機智能病毒可以很快地蔓延,又常常難以根除。它們能把自身附著在各種類型的文上。當文件被復制或從一個用戶傳送到另一個用戶時,它們就隨同文件一起蔓延開來。除復制能力外,某些計算機病毒還有其它一些共同特性:一個被污染的程序能夠傳送病毒載體。當你看到病毒載體似乎僅僅表現在文字和圖象上時,它們可能也已毀壞了文件、再格式化了你的硬盤驅動或引發了其它類型的災害。若是病毒并不寄生于一個污染程序,它仍然能通過占據存貯空間給你帶來麻煩,并降低你的計算機智能的全部性能。做好病毒預防工作:首先,不要使用來路不明的磁盤或使用前。應先檢查有無病毒并及時查殺。其次,不要打開來路不明的電子郵件。第三,不要登錄非法,不良網站。第四,安裝殺毒軟件,并及時更新病毒庫,隨時監測,經常查殺病毒,及惡意插件等。第五、在做計算機維護的時候,值得強調的是,在任何時候都應將網絡安全教育放在整個安全體系的首位,努力提高所有網絡用戶的安全意識和基本維護技術。這對提高整個網絡的安全和整個網絡正常運行有著十分重要的意義。
(二)加強計算機智能權限
處理計算機智能故障就必須加強計算機智能權限。服務器的管理由網絡管理員和服務器管理人員共同負責,根據服務器的用途及相關用戶的工作職責及權限制定相應的安全策略,嚴格控制普通用戶對服務器的透明操作。路由器、局域網交換機、防火墻的管理只能由網絡管理員和經授權的人員進行,嚴禁其他人員進行。統計信息網絡和國家公眾互聯網的訪問管理由網絡管理員根據相關文件制定相應的策略。嚴禁下載無用文件,以防感染病毒。網絡加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網絡節點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網絡情況酌情選擇上述加密方式。信息加密過程它以很小的代價提供很大的安全保護,在多數情況下,信息加密是保證信息機密性的唯一方法。
(三)提高計算機智能系統安全運行
處理計算機智能故障的主要措施是提高計算機智能系統安全運行,它的任務是保證網絡資源不被非法用戶使用和訪問,是網絡智能系統安全最重要的核心策略之一。網絡管理員應該可以控制和限制普通用戶的賬號使用、訪問網絡的時間、方式。用戶名或用戶賬號是所有計算機系統中最基本的安全形式,用戶賬號應只有系統管理員才能建立。用戶口令應是用戶訪問網絡所必須提交的“證件”、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。
(四)人工神經網系統運行
人工神經網系統運行可以有效地排除網絡故障,構造智能機的另一途徑根源于人工神經網系統的研究成果,在醫保運行中,它的抵抗風險能力特別弱,人工神經網系統可以對其進行大規模并行、分布式的表示與處理、非線性的動力學系統行為、加強醫保運行系統的訓練與學習以及模擬量的處理等等。盡管目前提出的人工神經網模型及已研制的各種人工神經網系統與人腦的神經網結構相距甚遠,但這種以整體的統計行為取代邏輯推理,對解決醫保運行危險來說,已經有了很大的進步。
(五)加強智力化網絡處理
加強智力化網絡處理是解決網絡故障有效方式。錯綜復雜的人類社會是由許多個人和不同層次的團體組成。與此類似,智能行為也可看成是許多在不同層次上的相互影響的并行操作的進程。層次越低,其智力越差,最底層的處理應是非智能的行為。建立一支過硬的智能化系統管理隊伍。智能建筑建成后,一般都是移交給物業管理部門進行管理,傳統的物業管理已不能滿足現代智能建筑建設的需要,智能化系統涉及多種技術、多門學科,需要各類專業技術人員,因此需要建立一支高素質的智能化系統管理伍。這支隊伍應了解系統的工作原理、設備分布,掌握系統的操作方法和一般故障排除。
(六)處理計算機智能日常故障
加強計算機日常使用,是有效處理網絡障礙的策略之一。定期檢查運行中的計算機軟件的完整、可靠性,以保證軟件正常工作。藍屏死機為何故,死機使令操作者頗為煩惱的事情,常常使勞動成果付之東流。死機使的表現多為藍屏,無法啟動系統,畫面“定格”吳反映,鼠標、鍵盤無法輸入,軟件運行非正常中斷等。近管造成死機的原因是多方面的,但是萬變不離其宗,其原因永遠也離不了硬件與軟件兩方面。應該及時關閉暫時不用的程序,一些程序及時過后要用,也可先關閉以節省資源。打開“開始”菜單中的“程序\附件\系統工具\資源狀況”,就會在系統托盤區出現資源狀況圖標。右鍵單擊該圖標,選擇“詳細資料”一欄,就能看到系統當前各項資源占用情況,及時拆下新安裝的硬件設備,例如:RAM、適配卡、硬盤、調制解調器等等。
三、計算機智能管理的意義
計算機智能化管理是21世紀信息產業的重要發展方向。發展智能計算機管理將加速以信息產業為標志的新的工業革命。智能計算機管理的應用將放大人的智力,減少對自然資源的利用。它只需要極少的能量和材料,其價值主要在于知識。另一方面,研制智能計算機可以幫助人們更深入地理解人類自己的智能,最終揭示智能的本質與奧秘。計算機智能化管理在輔助決策、故障診斷、產品設計、教育咨詢等方面廣泛應用。文字、語音、圖形圖像的識別與理解以及機器翻譯等領域也取得了重大進展。
結束語:
本文主要圍繞網絡故障的計算機智能管理與處理措施進行說明,就其解決計算機網絡故障的措施進行了重點的闡述,進一步地加強了人們對計算機智能管理的認識,不斷提高人們對計算機智能管理的能力,主要采取了病毒的預防 、加強計算機網絡權限管理、提高計算機網絡系統安全運行、應用人工神經網絡、層次化的智力管理模型、加強計算機日常使用管理等五個方面,促進計算機智能管理的健康發展。
參考文獻:
[1]陳樹勇,宋書芳,李蘭欣.智能電網技術綜述[J].國家電網,2008,(2):55-57
[2]謝開,劉永奇,朱治中.面向未來的智能電網[J].中國電力,2008,41(6):19-22
[3]王品.淺析計算機網絡故障及維護[J].信息與電腦,2009,11
[4]王巍.淺析計算機網絡故障診斷及排除[J].福建電腦,2010,2
[5]劉明忠.計算機網絡故障的解決措施[J].企業技術開發,2010,29(6)
[6]趙迅.計算機網絡故障的解決措施分析[J].科技創新導報,2010,02
論文摘要:當前計算機網絡的發展特點規模不斷夸大,復雜性不斷增加,異構性越來越高。如果不能高效的對網絡系統進行管理,就很難保證提供一個令人滿意的服務。網絡管理是網絡發展中一個很重要的內容,其重要性已在各個方面得到體現。首先是對網絡管理就發展現狀、網絡協議等方面進行簡單介紹,后又淺述了目前常見的兩種網絡管理模式、存在問題及前景發展趨勢。
1網絡管理技術概述
1.1網絡管理技術的發展
追溯網絡管理的歷史,已經相當久遠,自從有了電話交換網,就有了對通信網絡的管理,只不過與現在相比,當時網絡設備的種類不多,而且網絡管理技術自動化程度不高。計算機網絡管理技術的發展是與Internet發展同步的,從20世紀80年代開始,隨著一系列網絡管理標準的出臺,出現了大量的商用網絡管理系統,但各種網絡系統在結構上存在著或大或小的差異,至今還沒有一個大家都能接受的標準。當前,網絡管理技術主要有以下三種:誕生于Internte家族的SNMP是專門用于對Internet進行管理的,雖然它有簡單適用等特點,已成為當前網絡界的實際標準,但由于Internet本身發展的不規范性,使SNMP有先天性的不足,難以用于復雜的網絡管理,只適用于TCP/IP網絡,在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網絡技術及系統的研究與出現,電信網、有線網、寬帶網等的融合,使原來的SNMP已不能滿足新的網絡技術的要求;CMIP可對一個完整的網絡管理方案提供全面支持,在技術和標準上比較成熟.最大的優勢在于,協議中的變量并不僅僅是與終端相關的一些信息,而且可以被用于完成某些任務,但正由于它是針對SNMP的不足而設計的,因此過于復雜,實施費用過高,還不能被廣泛接受;分布對象網絡管理技術是將CORBA技術應用于網絡管理而產生的,主要采用了分布對象技術將所有的管理應用和被管元素都看作分布對象,這些分布對象之間的交互就構成了網絡管理.此方法最大的特點是屏蔽了編程語言、網絡協議和操作系統的差異,提供了多種透明性,因此適應面廣,開發容易,應用前景廣闊.SNMP和CMIP這兩種協議由于各自有其擁護者,因而在很長一段時期內不會出現相互替代的情況,而如果由完全基于CORBA的系統來取代,所需要的時間、資金以及人力資源等都過于龐大,也是不能接受的.所以,CORBA,SNMP,CMIP相結合成為基于CORBA的網絡管理系統是當前研究的主要方向。
1.2網絡管理協議
網絡管理協議一般為應用層級協議,它定義了網絡管理信息的類別及其相應的確切格式,并且提供了網絡管理站和網絡管理節點間進行通訊的標準或規則。
網絡管理系統通常由管理者(Manager)和( Agent)組成,管理者從各那兒采集管理信息,進行加工處理,從而提供相應的網絡管理功能,達到對管理之目的。即管理者與之間孺要利用網絡實現管理信息交換,以完成各種管理功能,交換管理信息必須遵循統一的通信規約,我們稱這個通信規約為網絡管理協議。
目前有兩大網管協議,一個是由IETF提出來的簡單網絡管理協議SNMP,它是基于TCP / IP和Internet的。因為TCP/IP協議是當今網絡互連的工業標準,得到了眾多廠商的支持,因此SNMP是一個既成事實的網絡管理標準協議。SNMP的特點主要是采用輪詢監控,管理者按一定時間間隔向者請求管理信息,根據管理信息判斷是否有異常事件發生。輪詢監控的主要優點是對的要求不高;缺點是在廣域網的情形下,輪詢不僅帶來較大的通信開銷,而且輪詢所獲得的結果無法反映最新的狀態。
另一個是ISO定義的公共管理信息協議CMIP。CMIP是以OSI的七層協議棧作為基礎的,它可以對開放系統互連環境下的所有網絡資源進行監測和控制,被認為是未來網絡管理的標準協議。CMIP的特點是采用委托監控,當對網絡進行監控時,管理者只需向發出一個監控請求,會自動監視指定的管理對象,并且只是在異常事件(如設備、線路故障)發生時才向管理者發出告警,而且給出一段較完整的故障報告,包括故障現象、故障原因。委托監控的主要優點是網絡管理通信的開銷小、反應及時,缺點是對的軟硬件資源要求高,要求被管站上開發許多相應的程序,因此短期內尚不能得到廣泛的支持。
1.3網絡管理系統的組成
網絡管理的需求決定了網管系統的組成和規模,任何網管系統無論其規模大小如何,基本上都是由支持網管協議的網管軟件平臺、網管支撐軟件、網管工作平臺和支撐網管協議的網絡設備組成。
網管軟件平臺提供網絡系統的配置、故障、性能以及網絡用戶分布方面的基本管理。目前大多數網管軟件平臺都是在UNIX和DOS/WINDOWS平臺上實現的。目前公認的三大網管軟件平臺是:HP View、IBM Netview和SUN Netmanager。雖然它們的產品形態有不同的操作系統的版本,但都遵循SNMP協議和提供類似的網管功能。
不過,盡管上述網管軟件平臺具有類似的網管功能,但是它們在網管支撐軟件的支持、系統的可靠性、用戶界面、操作功能、管理方式和應用程序接口,以及數據庫的支持等方面都存在差別。可能在其它操作系統之上實現的Netview、Openview、Netmanager網管軟件平臺版本僅是標準Netview、Openview、Netmanager的子集。例如,在MS Windows操作系統上實現的Netview 網管軟件平臺版本Netview for Windows 便僅僅只是Netview的子集。
網管支撐軟件是運行于網管軟件平臺之上的,支持面向特定網絡功能、網絡設備和操作系統管理的支撐軟件系統。
網絡設備生產廠商往往為其生產的網絡設備開發專門的網絡管理軟件。這類軟件建立在網絡管理平臺之上,針對特定的網絡管理設備,通過應用程序接口與平臺交互,并利用平臺提供的數據庫和資源,實現對網絡設備的管理,比如Cisco Works就是這種類型的網絡管理軟件,它可建立在HP Open View和IBM Netview等管理平臺之上,管理廣域互聯網絡中的Cisco路由器及其它設備。通過它,可以實現對Cisco的各種網絡互聯設備(如路由器、交換機、集線器等)進行復雜網絡管理。
1.4網絡管理的體系結構
網絡管理系統的體系結構(通常簡稱網絡拓撲結構)是決定網絡管理性能的重要因素之一。通常可以把其分為集中式和非集中式兩類體系結構。
目前,集中式網管體系結構通常采用以平臺為中心的工作模式,該工作模式把單一的管理者分成兩部分:管理平臺和管理應用。管理平臺主要關心收集的信息并進行簡單的計算,而管理應用則利用管理平臺提供的信息進行決策和執行更高級的功能。
非集中方式的網絡管理體系結構包括層次方式和分布式。層次方式采用管理者的管理者MOM(Manager of manager)的概念,以域為單位,每個域有一個管理者,它們之間的通訊通過上層的MOM,而不直接通訊。層次方式相對來說具有一定的伸縮性:通過增加一級MOM,層次可進一步加深。分布式是端對端(peer to peer)的體系結構,整個系統有多個管理方,幾個對等的管理者同時運行于網絡中,每個管理者負責管理系統中一個特定部分“域”,管理者之間可以相互通訊或通過高級管理者進行協調。
對于選擇集中式還是非集中式,這要根據實際場合的需要來決定。而介于兩者之間的部分分布式網管體系結構,則是近期發展起來的兼顧兩者優點的一種新型網管體系結構。
2網絡管理技術的種類
2.1分布對象網絡管理技術
目前廣泛采用的網絡管理系統模式是一種基于Client/Server技術的集中式平臺模式。由于組織結構簡單,自應用以來,已經得到廣泛推廣,但同時也存在著許多缺陷:一個或幾個站點負責收集分析所有網絡節點信息,并進行相應管理,造成中心網絡管理站點負載過重;所有信息送往中心站點處理,造成此處通信瓶頸;每個站點上的程序是預先定義的,具有固定功能,不利于擴展。隨著網絡技術和網絡規模尤其是因特網的發展,集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限,已不能適應發展的需要.
2.2基于WEB的網絡管理模式
隨著 Internet技術的廣泛應用,Intranet也正在悄然取代原有的企業內部局域網,由于異種平臺的存在及網絡管理方法和模型的多樣性,使得網絡管理軟件開發和維護的費用很高, 培訓管理人員的時間很長, 因此人們迫切需要尋求高效、方便的網絡管理模式來適應網絡高速發展的新形勢。隨著Intranet和WEB 及其開發工具的迅速發展,基于WEB的網絡管理技術也因此應運而生。基于WEB的網管解決方案主要有以下幾方面的優點:(1)地理上和系統間的可移動性:系統管理員可以在Intranet 上的任何站點或Internet的遠程站點上利用 WEB 瀏覽器透明存取網絡管理信息;(2)統一的WEB瀏覽器界面方便了用戶的使用和學習,從而可節省培訓費用和管理開銷;(3)管理應用程序間的平滑鏈接:由于管理應用程序獨立于平臺,可以通過標準的HTTP協議將多個基于WEB的管理應用程序集成在一起,實現管理應用程序間的透明移動和訪問;(4)利用 JAVA技術能夠迅速對軟件進行升級。 為了規范和促進基于WEB的網管系統開發,目前已相繼公布了兩個主要推薦標準:WEBM和JMAPI。兩個推薦標準各有其特色,并基于不同的原理提出。
WEBM方案仍然支持現存的管理標準和協議,它通過WEB技術對不同管理平臺所提供的分布式管理服務進行集成,并且不會影響現有的網絡基礎結構。JMAPI 是一種輕型的管理基礎結構,采用JMAPI來開發集成管理工具存在以下優點:平臺無關、高度集成化、消除程序版本分發問題、安全性和協議無關性。
2.3 CORBA技術
CORBA技術是對象管理組織OMG推出的工業標準,主要思想是將分布計算模式和面向對象思想結合在一起,構建分布式應用。CORBA的主要目標是解決面向對象的異構應用之間的互操作問題,并提供分布式計算所需要的一些其它服務。OMG是CORBA平臺的核心,它用于屏蔽與底層平臺有關的細節,使開發者可以集中精力去解決與應用相關的問題,而不必自己去創建分布式計算基礎平臺。CORBA將建立在ORB之上的所有分布式應用看作分布計算對象,每個計算對象向外提供接口,任何別的對象都可以通過這個接口調用該對象提供的服務。CORBA同時提供一些公共服務設施,例如名字服務、事務服務等,借助于這些服務,CORBA可以提供位置透明性、移動透明性等分布透明性。
基于CORBA的網絡管理系統通常按照Client/Server的結構進行構造。其中,服務方是指針對網絡元素和數據庫組成的被管對象進行的一些基本網絡服務,例如配置管理、性能管理等.客戶方則是面向用戶的一些界面,或者提供給用戶進一步開發的管理接口等。其中,從網絡元素中獲取的網絡管理信息通常需要經過CORBA/SNMP網關或CORBA/CMIP網關進行轉換,這一部分在有的網絡管理系統中被抽象成CORBA的概念.從以上分析可以看出,運用CORBA技術完全能夠實現標準的網絡管理系統。不僅如此,由于CORBA是一種分布對象技術,基于CORBA的網絡管理系統能夠克服傳統網絡管理技術的不足,在網絡管理的分布性、可靠性和易開發性方面達到一個新的高度。
3網絡管理技術發展中存在的問題
目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火墻、VPN、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在網絡中得到了廣泛應用。雖然這些安全產品能夠在特定方面發揮一定的作用,但是這些產品大部分功能分散,各自為戰,形成了相互沒有關聯的、隔離的“安全孤島”;各種安全產品彼此之間沒有有效的統一管理調度機制,不能互相支撐、協同工作,從而使安全產品的應用效能無法得到充分的發揮-。
從網絡安全管理員的角度來說,最直接的需求就是在一個統一的界面中監視網絡中各種安全設備的運行狀態,對產生的大量日志信息和報警信息進行統一匯總、分析和審計;同時在一個界面完成安全產品的升級、攻擊事件報警、響應等功能。
但是,一方面,由于現今網絡中的設備、操作系統、應用系統數量眾多、構成復雜,異構性、差異性非常大,而且各自都具有自己的控制管理平臺、網絡管理員需要學習、了解不同平臺的使用及管理方法,并應用這些管理控制平臺去管理網絡中的對象(設備、系統、用戶等),工作復雜度非常之大。
另一方面,應用系統是為業務服務的;企業內的員工在整個業務處理過程中處于不同的工作崗位,其對應用系統的使用權限也不盡相同,網絡管理員很難在各個不同的系統中保持用戶權限和控制策略的全局一致性。
另外,對大型網絡而言,管理與安全相關的事件變得越來越復雜;網絡管理員必須將各個設備、系統產生的事件、信息關聯起來進行分析,才能發現新的或更深層次的安全問題。
4網絡管理技術發展的前景展望
隨著現代企業和網絡、通訊技術的不斷發展,企業網管軟件也不斷推陳出新,網絡管理技術的發展前景無疑是廣闊的。計算機網絡規模的擴大和復雜性的增加,網絡管理在計算機網絡系統中的地位越來越重要。
未來的網絡管理呈現如下發展趨向。第一,多廠家、多技術的融合。隨著計算機技術、網絡技術和通訊技術的融合,統一的、綜合的網管正日益顯示出重要性。因為沒有哪個單獨的產品能滿足網管方方面面的需要,所以在購買回來的網管軟件的基礎上,往往需要進行二次開發或和別的網管產品進行集成。以前進行網管產品的集成是一件很痛苦的事情。比如,廠商A 的產品要求運行在Unix 平臺上,而廠商B 的產品必須運行在WindowsNT 環境中;再有, 必須是廠商A 的某一指定版本和廠商B 的其一指定版本才能進行集成,任意一方單獨升級都會破壞這種集成。例如在電信環境中,以前在傳輸網、本地網、IP 數據網、電話網等分別由不同的部門維護,信息也不能共享。而用戶和運營商都要求通過一個控制臺能對多個互聯的網絡進行管理, 只有建立起多廠商的、多技術領域的綜合網管體系,才能符合需要。第二,基于Web 的網管。隨著基于Web 的網絡管理的出現,集成新問題在一定程度上得到解決。用戶只需點擊URL 鏈接,就可以從一個系統轉到另一個系統,而無需考慮他們運行在何種平臺上。基于Web 的網絡管理的實現有兩種方式。第一種方式是方式,即在一個內部工作站上運行Web 服務器() 。在這種方式下,網絡管理軟件作為操作系統上的一個應用,它介于瀏覽器和網絡設備之間。在管理過程中,網絡管理軟件負責將收集到的網絡信息傳送到瀏覽器(Web 服務器),并將傳統管理協議(如SNMP) 轉換成Web 協議(如HTTP)。第二種實現方式是嵌入式,它將Web 功能嵌入到網絡設備中,管理員可通過瀏覽器直接訪問并管理該設備。在這種方式下,網絡管理軟件和網絡設備集成在一起。網絡管理軟件無須完成協議轉換,所有的管理信息都可以通過HTTP 協議傳送。第三,面向業務的網管。新一代的網絡管理系統,已開始從面向網絡設備的管理向面向網絡業務的管理過渡。這種網管思想把網絡服務、業務作為網管對象,通過實時監測和網絡業務相關的設備、應用, 通過模擬客戶實時測量網絡業務的服務質量,通過收集網絡業務的業務數據,實現全方位、多視角監測網絡業務運行情況的目的,從而實現網絡業務的故障管理、性能管理和配置管理。第四,基于CORBA 技術的網管。CORBA 最初的提出是為了滿足異構平臺上分布式計算的需要。它有以下優點摘要:可在一個分布式應用中混用多種語言、支持分布對象、提供高度的互通性等。OMG已經提出了基于CORBA 的網管系統的體系結構,使用CORBA 的方法來實現基于OSI 開放接口和OSI 系統管理概念。TMF 和X/ OPen 聯合開展的J IDM 任務組己經開發出SNMP/CMIP/ CORBA 的互通靜態規范描述和動態交互式轉化方法。可以預見,CORBA 將在網絡管理和系統管理中占有越來越重要的地位。
現代化的網絡管理技術集通信技術、Internet服務技術和信息處理技術于一身。隨著網絡規模迅速擴大,網絡的復雜程度也日益加劇。為適應網絡大發展的這一時代需要,在構建計算機網絡時必須高度重視網絡管理的重要性,重點從網管技術和網管策略設計兩個大的方面全面規劃和設計好網絡管理的方方面面,以保障網絡系統高效、安全地運行。
參考文獻
[1]胡錚,《網絡與信息管理》,電子工業出版社,2008
[2]尚小航,郭正昊,《網絡管理基礎》,清華大學出版社,2008.1
[3]趙慧、蔡希堯,“網絡管理體系結構綜述”,《計算機科學》,1999
關鍵詞:計算機網絡管理問題前景和趨勢
1網絡管理技術概述
1.1網絡管理技術的發展
追溯網絡管理的歷史,已經相當久遠,自從有了電話交換網,就有了對通信網絡的管理,只不過與現在相比,當時網絡設備的種類不多,而且網絡管理技術自動化程度不高。計算機網絡管理技術的發展是與Internet發展同步的,從20世紀80年代開始,隨著一系列網絡管理標準的出臺,出現了大量的商用網絡管理系統,但各種網絡系統在結構上存在著或大或小的差異,至今還沒有一個大家都能接受的標準。當前,網絡管理技術主要有以下三種:誕生于Internte家族的SNMP是專門用于對Internet進行管理的,雖然它有簡單適用等特點,已成為當前網絡界的實際標準,但由于Internet本身發展的不規范性,使SNMP有先天性的不足,難以用于復雜的網絡管理,只適用于TCP/IP網絡,在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網絡技術及系統的研究與出現,電信網、有線網、寬帶網等的融合,使原來的SNMP已不能滿足新的網絡技術的要求;CMIP可對一個完整的網絡管理方案提供全面支持,在技術和標準上比較成熟.最大的優勢在于,協議中的變量并不僅僅是與終端相關的一些信息,而且可以被用于完成某些任務,但正由于它是針對SNMP的不足而設計的,因此過于復雜,實施費用過高,還不能被廣泛接受;分布對象網絡管理技術是將CORBA技術應用于網絡管理而產生的,主要采用了分布對象技術將所有的管理應用和被管元素都看作分布對象,這些分布對象之間的交互就構成了網絡管理.此方法最大的特點是屏蔽了編程語言、網絡協議和操作系統的差異,提供了多種透明性,因此適應面廣,開發容易,應用前景廣闊.SNMP和CMIP這兩種協議由于各自有其擁護者,因而在很長一段時期內不會出現相互替代的情況,而如果由完全基于CORBA的系統來取代,所需要的時間、資金以及人力資源等都過于龐大,也是不能接受的.所以,CORBA,SNMP,CMIP相結合成為基于CORBA的網絡管理系統是當前研究的主要方向。
1.2網絡管理協議
網絡管理協議一般為應用層級協議,它定義了網絡管理信息的類別及其相應的確切格式,并且提供了網絡管理站和網絡管理節點間進行通訊的標準或規則。
網絡管理系統通常由管理者(Manager)和(Agent)組成,管理者從各那兒采集管理信息,進行加工處理,從而提供相應的網絡管理功能,達到對管理之目的。即管理者與之間孺要利用網絡實現管理信息交換,以完成各種管理功能,交換管理信息必須遵循統一的通信規約,我們稱這個通信規約為網絡管理協議。
目前有兩大網管協議,一個是由IETF提出來的簡單網絡管理協議SNMP,它是基于TCP/IP和Internet的。因為TCP/IP協議是當今網絡互連的工業標準,得到了眾多廠商的支持,因此SNMP是一個既成事實的網絡管理標準協議。SNMP的特點主要是采用輪詢監控,管理者按一定時間間隔向者請求管理信息,根據管理信息判斷是否有異常事件發生。輪詢監控的主要優點是對的要求不高;缺點是在廣域網的情形下,輪詢不僅帶來較大的通信開銷,而且輪詢所獲得的結果無法反映最新的狀態。
另一個是ISO定義的公共管理信息協議CMIP。CMIP是以OSI的七層協議棧作為基礎的,它可以對開放系統互連環境下的所有網絡資源進行監測和控制,被認為是未來網絡管理的標準協議。CMIP的特點是采用委托監控,當對網絡進行監控時,管理者只需向發出一個監控請求,會自動監視指定的管理對象,并且只是在異常事件(如設備、線路故障)發生時才向管理者發出告警,而且給出一段較完整的故障報告,包括故障現象、故障原因。委托監控的主要優點是網絡管理通信的開銷小、反應及時,缺點是對的軟硬件資源要求高,要求被管站上開發許多相應的程序,因此短期內尚不能得到廣泛的支持。
1.3網絡管理系統的組成
網絡管理的需求決定了網管系統的組成和規模,任何網管系統無論其規模大小如何,基本上都是由支持網管協議的網管軟件平臺、網管支撐軟件、網管工作平臺和支撐網管協議的網絡設備組成。
網管軟件平臺提供網絡系統的配置、故障、性能以及網絡用戶分布方面的基本管理。目前大多數網管軟件平臺都是在UNIX和DOS/WINDOWS平臺上實現的。目前公認的三大網管軟件平臺是:HPView、IBMNetview和SUNNetmanager。雖然它們的產品形態有不同的操作系統的版本,但都遵循SNMP協議和提供類似的網管功能。
不過,盡管上述網管軟件平臺具有類似的網管功能,但是它們在網管支撐軟件的支持、系統的可靠性、用戶界面、操作功能、管理方式和應用程序接口,以及數據庫的支持等方面都存在差別。可能在其它操作系統之上實現的Netview、Openview、Netmanager網管軟件平臺版本僅是標準Netview、Openview、Netmanager的子集。例如,在MSWindows操作系統上實現的Netview網管軟件平臺版本NetviewforWindows便僅僅只是Netview的子集。
網管支撐軟件是運行于網管軟件平臺之上的,支持面向特定網絡功能、網絡設備和操作系統管理的支撐軟件系統。
網絡設備生產廠商往往為其生產的網絡設備開發專門的網絡管理軟件。這類軟件建立在網絡管理平臺之上,針對特定的網絡管理設備,通過應用程序接口與平臺交互,并利用平臺提供的數據庫和資源,實現對網絡設備的管理,比如CiscoWorks就是這種類型的網絡管理軟件,它可建立在HPOpenView和IBMNetview等管理平臺之上,管理廣域互聯網絡中的Cisco路由器及其它設備。通過它,可以實現對Cisco的各種網絡互聯設備(如路由器、交換機、集線器等)進行復雜網絡管理。
1.4網絡管理的體系結構
網絡管理系統的體系結構(通常簡稱網絡拓撲結構)是決定網絡管理性能的重要因素之一。通常可以把其分為集中式和非集中式兩類體系結構。
目前,集中式網管體系結構通常采用以平臺為中心的工作模式,該工作模式把單一的管理者分成兩部分:管理平臺和管理應用。管理平臺主要關心收集的信息并進行簡單的計算,而管理應用則利用管理平臺提供的信息進行決策和執行更高級的功能。
非集中方式的網絡管理體系結構包括層次方式和分布式。層次方式采用管理者的管理者MOM(Managerofmanager)的概念,以域為單位,每個域有一個管理者,它們之間的通訊通過上層的MOM,而不直接通訊。層次方式相對來說具有一定的伸縮性:通過增加一級MOM,層次可進一步加深。分布式是端對端(peertopeer)的體系結構,整個系統有多個管理方,幾個對等的管理者同時運行于網絡中,每個管理者負責管理系統中一個特定部分“域”,管理者之間可以相互通訊或通過高級管理者進行協調。
對于選擇集中式還是非集中式,這要根據實際場合的需要來決定。而介于兩者之間的部分分布式網管體系結構,則是近期發展起來的兼顧兩者優點的一種新型網管體系結構。
2網絡管理技術的種類
2.1分布對象網絡管理技術
目前廣泛采用的網絡管理系統模式是一種基于Client/Server技術的集中式平臺模式。由于組織結構簡單,自應用以來,已經得到廣泛推廣,但同時也存在著許多缺陷:一個或幾個站點負責收集分析所有網絡節點信息,并進行相應管理,造成中心網絡管理站點負載過重;所有信息送往中心站點處理,造成此處通信瓶頸;每個站點上的程序是預先定義的,具有固定功能,不利于擴展。隨著網絡技術和網絡規模尤其是因特網的發展,集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限,已不能適應發展的需要.
2.2基于WEB的網絡管理模式
隨著Internet技術的廣泛應用,Intranet也正在悄然取代原有的企業內部局域網,由于異種平臺的存在及網絡管理方法和模型的多樣性,使得網絡管理軟件開發和維護的費用很高,培訓管理人員的時間很長,因此人們迫切需要尋求高效、方便的網絡管理模式來適應網絡高速發展的新形勢。隨著Intranet和WEB及其開發工具的迅速發展,基于WEB的網絡管理技術也因此應運而生。基于WEB的網管解決方案主要有以下幾方面的優點:(1)地理上和系統間的可移動性:系統管理員可以在Intranet上的任何站點或Internet的遠程站點上利用WEB瀏覽器透明存取網絡管理信息;(2)統一的WEB瀏覽器界面方便了用戶的使用和學習,從而可節省培訓費用和管理開銷;(3)管理應用程序間的平滑鏈接:由于管理應用程序獨立于平臺,可以通過標準的HTTP協議將多個基于WEB的管理應用程序集成在一起,實現管理應用程序間的透明移動和訪問;(4)利用JAVA技術能夠迅速對軟件進行升級。為了規范和促進基于WEB的網管系統開發,目前已相繼公布了兩個主要推薦標準:WEBM和JMAPI。兩個推薦標準各有其特色,并基于不同的原理提出。
WEBM方案仍然支持現存的管理標準和協議,它通過WEB技術對不同管理平臺所提供的分布式管理服務進行集成,并且不會影響現有的網絡基礎結構。JMAPI是一種輕型的管理基礎結構,采用JMAPI來開發集成管理工具存在以下優點:平臺無關、高度集成化、消除程序版本分發問題、安全性和協議無關性。
2.3CORBA技術
CORBA技術是對象管理組織OMG推出的工業標準,主要思想是將分布計算模式和面向對象思想結合在一起,構建分布式應用。CORBA的主要目標是解決面向對象的異構應用之間的互操作問題,并提供分布式計算所需要的一些其它服務。OMG是CORBA平臺的核心,它用于屏蔽與底層平臺有關的細節,使開發者可以集中精力去解決與應用相關的問題,而不必自己去創建分布式計算基礎平臺。CORBA將建立在ORB之上的所有分布式應用看作分布計算對象,每個計算對象向外提供接口,任何別的對象都可以通過這個接口調用該對象提供的服務。CORBA同時提供一些公共服務設施,例如名字服務、事務服務等,借助于這些服務,CORBA可以提供位置透明性、移動透明性等分布透明性。
基于CORBA的網絡管理系統通常按照Client/Server的結構進行構造。其中,服務方是指針對網絡元素和數據庫組成的被管對象進行的一些基本網絡服務,例如配置管理、性能管理等.客戶方則是面向用戶的一些界面,或者提供給用戶進一步開發的管理接口等。其中,從網絡元素中獲取的網絡管理信息通常需要經過CORBA/SNMP網關或CORBA/CMIP網關進行轉換,這一部分在有的網絡管理系統中被抽象成CORBA的概念.從以上分析可以看出,運用CORBA技術完全能夠實現標準的網絡管理系統。不僅如此,由于CORBA是一種分布對象技術,基于CORBA的網絡管理系統能夠克服傳統網絡管理技術的不足,在網絡管理的分布性、可靠性和易開發性方面達到一個新的高度。
3網絡管理技術發展中存在的問題
目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火墻、VPN、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在網絡中得到了廣泛應用。雖然這些安全產品能夠在特定方面發揮一定的作用,但是這些產品大部分功能分散,各自為戰,形成了相互沒有關聯的、隔離的“安全孤島”;各種安全產品彼此之間沒有有效的統一管理調度機制,不能互相支撐、協同工作,從而使安全產品的應用效能無法得到充分的發揮。
從網絡安全管理員的角度來說,最直接的需求就是在一個統一的界面中監視網絡中各種安全設備的運行狀態,對產生的大量日志信息和報警信息進行統一匯總、分析和審計;同時在一個界面完成安全產品的升級、攻擊事件報警、響應等功能。
但是,一方面,由于現今網絡中的設備、操作系統、應用系統數量眾多、構成復雜,異構性、差異性非常大,而且各自都具有自己的控制管理平臺、網絡管理員需要學習、了解不同平臺的使用及管理方法,并應用這些管理控制平臺去管理網絡中的對象(設備、系統、用戶等),工作復雜度非常之大。
另一方面,應用系統是為業務服務的;企業內的員工在整個業務處理過程中處于不同的工作崗位,其對應用系統的使用權限也不盡相同,網絡管理員很難在各個不同的系統中保持用戶權限和控制策略的全局一致性。
另外,對大型網絡而言,管理與安全相關的事件變得越來越復雜;網絡管理員必須將各個設備、系統產生的事件、信息關聯起來進行分析,才能發現新的或更深層次的安全問題。
4網絡管理技術發展的前景展望
隨著現代企業和網絡、通訊技術的不斷發展,企業網管軟件也不斷推陳出新,網絡管理技術的發展前景無疑是廣闊的。計算機網絡規模的擴大和復雜性的增加,網絡管理在計算機網絡系統中的地位越來越重要。
建設和接入管理規范等幾方面內容進行簡要的概括和規劃,對各級單位的規范、有序、安全接入廣域網,促進行業信息化資源整合和信息共享的快速發展,具有一
定的指導作用和重要的現實意義。
關鍵詞:廣域網;接入;SDH;VLSM;安全
中圖分類號:TN915.6 文獻標識碼:A 文章編號:1671—7597(2012)0120057-02
0 引言
廣域網建成初期,各接入單位基本都是單機接入廣域網,訪問廣域網
內共享資源的計算機數量有所限制,為使全系統的所有計算機都能便捷地
訪問廣域網內共享資源,需把各接入單位的局域網都接入到廣域網,但由
于歷史原因,各單位的網絡建設情況各不相同,安全和規范程度參差不
齊。因此,在接入前進行設計并提出接入要求已成為廣域網接入工作的迫
切需要。
廣域網接入要求可以從接入技術規范和接入管理規范兩方面去定制。
接入技術規范主要對網絡接入過程中可能涉及到的網絡架構、主要網絡設
備等作出規劃,提出規范性要求。接入管理規范主要從管理的角度出發,
在規章制度、管理規范方面對網絡接入過程中可能涉及到的某些問題作出
原則性要求。
1 接入技術規范
1.1 接入架構要求
良好的網絡架構設計是使網絡具備可擴展能力的關鍵。網絡架構的建
立要考慮環境、設備配置、遠程聯網方式、通信量的大小、網絡應用與業
務定位等多種因素。合理的網絡架構應該有結構化的設計,并遵循分層模
型。分層模型的實現核心是將網絡架構設計中的復雜問題分解為較小的、
易于管理的問題。分層體系中的每一層解決不同的問題,有助于實現模塊
化,容易添加、替換和取消網絡中的獨立部件,具有很高的可擴展性
。
1.2 接入設備技術要求
構建廣域網由于受各種條件的限制,必須借助公共傳輸網絡,用戶只
需了解公共傳輸網絡提供的接口以及如何實現與公共傳輸網絡之間的連接
即可。
1.2.1 接入技術分析及選擇
ISP提供了多種同步和異步廣域網連接服務,常用的有以下3類:
1)ATM
ATM是建立在電路交換和分組交換的基礎上的一種面向連接的快速分
組交換技術,它采用定長分組作為傳輸和交換的單位。本身具有良好
的流量控制均衡能力以及故障恢復能力,但對IP路由的支持一般,在復制
多路廣播方面缺乏高效率,管理復雜。
2)SDH
SDH對IP路由的支持能力強,具有很高的IP傳輸效率;符合
Internet業務的特點,有利于實施多路廣播方式;能利用SDH技術本身的
環路,故可利用自愈合能力達到鏈路糾錯,同時又利用OSPF協議防止設各
和鍵路故障造成的網絡停頓,提高網絡的穩定性;省略了不必要的ATM
層,簡化了網絡結構,降低了運行費用。但其僅對IP業務提供好的支持,
不適于多業務平臺;不能像IP over ATM技術那樣提供較好的服務質量保
障。
3)WDM
WDM是一個真正的鏈路層數據網,它充分利用光纖的帶寬資源,極大
地提高了帶寬和相對的傳輸速率。但目前,對于波長標準化還沒有實現;
WDM系統的網絡管理應與其傳輸的信號的網管分離。但在光域上加上開銷
和光信號的處理礎還不完善,從而導致WDM系統的網絡管理還不成熟。
綜合比較,廣域網可選國家公用通信網的SDH技術來組建廣域網絡的
骨干鏈路。SDH網絡的引入和使用,為信息高速公路提供了一個高智能
的、高效的、操作運行廉價的實施方案。
1.2.2 接入設備要求
接入設備主要涉及路由器和交換機,現分別予以介紹并做出要求:
1)路由器
路由器是一種多端口的網絡設備,它能夠連接多個不同的網段和網
絡,并能將不同網段或網絡之間的數據信息進行傳輸。路由器應當被
放置于最頻繁訪問廣域網的位置,盡量直接連接在核心交換機上。在組網
結構比較簡單的網絡中,通過認真設置和使用靜態路由不僅可以改進網絡
的性能,還能為重要應用保證帶寬。路由器擔當著保護內部網絡和數據安
全的重要責任,在具體的實施過程中可以借助地址轉換和訪問列表來實
現。
2)交換機
作為網絡傳輸樞紐的交換機,在網絡接入規范中的重要地位也是無可
取代的。無論是控制廣播風暴的產生、拒絕用戶之間非授權訪問、限制用
戶的網絡服務與應用、禁止未授權計算機接入網絡,還是拒絕非法用戶訪
問網絡,都離不開對交換機的深入配置。交換機應具有以下五項功能:風
暴控制、保護端口、端口安全、創建VLAN、IEEE 802.1X認證協議。
1.2.3 接入地址規劃
合理的IP地址規劃與分配,在整個網絡的維護和擴展過程中占據了舉
足輕重的地位,其結果將直接影響到后期的維護管理、擴容升級及系統運
作的效率。IP地址空間分配,要與網絡拓撲層次結構相適應,既要有效地
利用地址空間,又要體現出網絡的可擴展性和靈活性,同時能滿足路由協
議的要求,以便于網絡中的路由匯聚,減少路由器中路由表的長度,減少
對路由器CPU、內存的消耗,加快路由變化的收斂速度,同時還要考慮到
網絡地址的可管理性。
1.2.4 接入安全要求
根據廣域網絡的整體運行情況,本著因地制宜、實事求是的原則,對
廣域網網絡接入安全要求分別說明:中心網絡接入安全要求和接入單位網
絡接入安全要求。
1)中心網絡接入安全要求
中心網絡接入的安全建設應分為以下三個階段來逐步完善:網絡安全
體系的建立、網絡安全體系的提升和網絡安全體系的完善。
①網絡安全體系的建立
建立廣域網主節點的信息安全基礎體系,形成一個從無到有的基本防
護框架,確保各二級單位在接入廣域網后主節點業務系統的穩定性和安全
性。這是中心安全建設第一階段的主要目標。在這一階段中需要建立的安
全防護體系主要有:計算機防雷系統、防火墻系統、網絡訪問控制系統、
網絡防病毒系統和安全訪問域的劃分。
②網絡安全體系的提升
第二階段的主要任務是在建立健全中心網絡安全基本防護系統的基礎
上,利用多種監控技術和防御手段,建成一個從內到外、從被動防御到主
動預防的更高層次的安全架構。這一階段中需要建立的安全監控與防御體
系主要有:入侵防御系統和安全漏洞掃描系統。
③網絡安全體系的完善
第三階段的主要任務是從應用層方面入手,在防護體系和監控體系不
斷完善的基礎上,通過多種加密技術和用戶認證手段,建立一個穩定、高
效、健壯的立體安全防護架構。這一階段中需要建立的安全體系主要有:
SSL VPN移動辦公系統和補丁分發管理系統。
2)接入單位網絡接入安全要求
接入單位網絡接入安全規劃與中心的接入安全規劃在進度上大體一
致,但具體到內容方面有所區別。各接入單位的網絡安全建設內容主要涉
及到以下四個方面:
①安全規劃,確定系統的安全框架與建設步驟,包括為系統定級
等;
②重點資源的保護及各項安全技術的應用;
③安全管理平臺的建設,及時準確地把握整個系統的安全運行狀
況;
④日常的運行維護,充分發揮好作為廣域網二級節點的堡壘作用。
2 接入管理規范
管理規范是所有技術措施發揮功效的能動因素,是實現整個廣域網網
絡接入有序化的重要保證。廣域網接入管理規范可以從兩個方面進行規
劃。一是從純粹的管理上及管理制度上來實現,二是從技術上建立高效的
管理平臺,包括網絡管理和安全管理。
2.1 管理制度
為了提高整個網絡系統的健壯性,除了在網絡結構上合理規劃,系統
設計上增加安全服務功能外,還必須花大力氣加強網絡系統管理制度的建
立。
2.1.1 管理制度內容
管理制度是信息系統內部依據系統必要的國家、團體的安全需求制定
的一系列內部規章制度,在廣域網接入規劃和建設的過程中,應切實做好
以下管理制度的建設和完善:機房與設施管理規范制度、設備管理規范制
度、操作安全管理規范制度、計算機網絡安全管理規范制度、計算機病毒
防治管理規范制度、系統管理員崗位責任管理規范制度、安全管理員崗位
責任管理規范制度、網站管理員崗位責任管理規范制度、網絡信息安全審
計管理規范制度、應用軟件安全管理規范制度、技術文檔管理規范制度、
數據安全管理規范制度、密碼安全管理規范制度、計算機網絡系統重大安
全事件預警及應急恢復管理規范制度以及系統備份及災難恢復管理規范制
度。
2.1.2 管理制度實現
各單位信息系統的管理部門應根據管理制度建立原則和該系統處理數
據的實際需求,制定相應的管理制度。具體工作包括:
1)根據工作的重要程度,確定該系統的安全等級;
2)根據確定的安全等級,確定管理實施的范圍;
3)對于安全等級要求較高的系統,要實行分區控制;
4)制定嚴格的操作規程;
5)制定完備的系統維護制度;
6)制定應急措施。
2.2 管理平臺
建立管理平臺的主要內容包括:定義完善的網絡管理模型;貫徹規范
的網絡管理措施;建立恰當的安全審計機制,并且進行經常性的規則審
核。
2.2.1 網絡管理
網絡管理是指對網絡的運行狀態進行監測和控制,并能提供有效、可
靠、安全、經濟的服務。一個好的網管系統能夠確定故障發生在哪
里,能夠對網絡管理員提出進一步優化網絡的建議。網絡管理系統還可以
在數據庫中查詢電纜和網絡設備有關的資料從而確定故障的性質。
2.2.2 安全審計
安全審計主要是對網絡系統中的安全設備和網絡設備,應用系統和運
行狀況進行全面的監測、分析、評估。廣域網絡中各種安全設備(防
火墻、過濾網關等)、操作系統(包括Windows和Linux)、應用服務(E—
mail、WEB、FTP、DNS)等都可產生大量的日志數據。這些日志數據翔實
地記錄了系統和網絡的運行事件,是安全審計的重要數據。這些日志信息
對于記錄、檢測、分析、識別各種安全事件和威脅有著非常重要的作用。
通過在各接入單位辦公局域網內的關鍵節點處部署安全審計產品,可
以監視并記錄網絡中的各類操作,實時地分析出網絡中發生的安全相關事
件。
3 結束語
隨著信息化的進一步發展,將會有越來越多的單位建成其自身局域
網,也會有把其局域網接入廣域網的需求,本論文可以指導各接入單位把
其局域網安全有序的接入廣域網,屆時將會真正建成一個覆蓋全系統的廣
域網絡,各級部門之間能夠方便、快捷的共享各種信息資源,進而推動本
系統信息化進入一個新的時期。
參考文獻:
[1]易建勛著,計算機網絡設計,北京:人民郵電出版社,2007.
[2]王冀魯著,計算機網絡應用技術,北京:清華大學出版社,北京交通
大學出版社,2006.
[3]郝志恒著,組網用網基礎與提高,北京:電子工業出版社,2007.
[4]楊英鵬著,計算機網絡原理與實踐,北京:電子工業出版社,2007.
[5]Patrick Regan著,廣域網,北京:清華大學出版社,2006.
[6]云紅艷、杜祥軍、趙志剛著,計算機網絡管理,北京:人民郵電出版
社,2008.
[7]楊遠紅、劉飛著,通信網絡安全技術,北京:機械工業出版社,2006.
作者簡介:
