開篇:寫作不僅是一種記錄�,更是一種創造��,它讓我們能夠捕捉那些稍縱即逝的靈感���,將它們永久地定格在紙上�。下面是小編精心整理的12篇網絡設備安全���,希望這些內容能成為您創作過程中的良師益友����,陪伴您不斷探索和進步。
第1篇
關鍵詞:交換機 路由器 安全技術 實施
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1007-9416(2013)11-0185-01
目前大多數的企事業單位接入Internet網�����,通常都是在企業出口部署一臺路由器與ISP連接實現����。這臺路由器就是溝通外部Internet和內部網絡的橋梁,如果這臺路由器能夠合理進行安全設置,那么就可以對內部的網絡提供一定安全性或對已有的安全多了一層屏障�??紤]到路由器的作用和位置���,路由器配置的好壞不僅影響本身的安全也影響整個網絡的安全����。交換機作為局域網信息交換的主要設備����,特別是核心、匯聚交換機承載著極高的數據流量��,在突發異常數據或攻擊時�����,極易造成負載過重或宕機現象�。交換機的安全性能已經成為網絡建設必須考慮的重中之重�����。為了盡可能抑制攻擊帶來的影響�,減輕交換機的負載����,使局域網穩定運行,交換機廠商在交換機上應用了一些安全防范技術����,網絡管理人員應該根據不同的設備型號�,有效地啟用和配置這些技術����,凈化局域網環境。
1 設置強壯的管理口令
口令是交換機用來防止非授權訪問的主要手段���,是交換機本身安全的一部分。必須修改默認的口令���,并避免使用普通的口令,并且使用大小寫字母+數字+特別符號混合的方式作為更強大的口令規則�。盡可能使用Enable Secret特權加密密碼��,而不使用Enable Password創建的密碼。
利用enable secret命令設置密碼���,并選擇一個長的口令字(至少8位),該加密機制是IOS采用了MD5散列算法進行加密����,這條命令用于對存儲在配置文件中的所有口令和類似數據進行加密����。避免當配置文件被不懷好意者看見�,從而獲得這些數據的明文。
2 控制VTY
(1)配置VTY的Telnet訪問控制安全�����,利用ip access-class限制訪問VTY的ip地址范圍�����。
(2)建議用SSH代替Telnet
Telnet是管理員們連接至交換機的主要通道�,但是在Telnet會話中輸入的每個字節都將會被明文發送��,這可以被類似Sniffer這樣的軟件嗅探獲取用戶名�����、密碼等敏感信息。因此�,使用安全性能更高的SSH強加密無疑比使用Telnet更加安全��。
3 防止盜用內部IP地址
攻擊者可以盜用內部IP地址進行非法訪問。利用ARP命令在局域網內將MAC地址與IP地址進行綁定來解決這個問題����。
4 確保SNMP協議的安全
如果沒有用到SNMP功能����,建議禁止SNMP協議服務���。盡量采用Snmp V3�。如果必需采用Snmp V1�����,必須修改默認的community���,如public�����,private等。
5 禁用不必要的服務
由于早期版本的交換機操作系統存在多個嚴重的安全漏洞,使得攻擊者可以遠程越權獲取到交換機的完整配置文件�����,因此建議在路由器上使用命令:no ip http server禁止HTTP服務��。
Cisco公司的設備通過網絡操作系統默認地提供一些小的服務�,如echo(回波)��, chargen(字符發生器協議)和discard(拋棄協議)����。這些服務�,特別是它們的UDP服務,很少用于合法的目的。但是���,這些服務能夠用來實施拒絕服務攻擊和其它攻擊。如禁止CDP、Finger服務����、BOOTP服務、IP Source Routing�、ARP-Proxy服務���、IP Directed Broadcast��、IP Classless����、DNS查找等�。
6 及時升級和修補IOS軟件
IOS(Internetwork Operating System)是Cisco交換機和路由器中的操作系統,以映象文件(.bin格式)的形式保存在交換機的閃存中。同其它的操作系統一樣�,Cisco公司每年都會定期新的IOS操作系統�����,升級IOS的主要目的是:
6.1 修補漏洞,消除BUG
同其它的操作系統和應用軟件一樣,Cisco交換機和路由器的IOS操作系統��,每年都會被發現大約幾十個漏洞��,通常情況下這些漏洞會帶來嚴重的安全風險����。因此�����,需要定期更新Cisco公司的新版IOS����,來修補這些漏洞�����。
6.2 增加新功能
由于交換機和路由器的特殊性,新版IOS的�,除了針對漏洞的修補以外�����,還會增加新的功能。如果交換機的功能無法滿足工作需要�,也可以升級IOS來解決��。比如,早期的交換機不支持SSH���、HTTPS、SNMP V3等安全功能��,可以通過升級為支持加密功能的K9版IOS�,來實現這些功能。
6.3 解決交換機兼容性問題
一個規模較大網絡的交換機或路由器通常都是逐年分批采購的���,不同批次交換機的IOS版本肯定不一樣。通過將IOS全部升級為最新修訂版����,可以減少因IOS版本不同而引發交換機之間不兼容的隱患�����,避免配置管理上的不一致性。
在升級過程中�,需要注意以下幾點:
①盡力保障電力供應�,避免升級過程中斷電或重啟交換機和路由器����,否則會導致升級失敗。②要從正規渠道獲取IOS文件����,如Cisco的官方網站和授權的經銷商,以保證IOS的權威、干凈和完整��。③要注意版權問題�����,不要侵犯版權����。④升級完成之后�����,一定要進行安全性���、可靠性測試�����,密切注視升級后的網絡運行情況�����,如有異常及時處理。
參考文獻
[1]解艷.淺析網絡設備安全[J].科技信息��,2011�����,(25).
[2]覃毅��,王歡.網絡設備與網絡安全[J].計算機安全,2010����,(06).
第2篇
1以地鐵通信網絡設備基礎信息的分析為基礎,確定維護工作重點
為了確保地鐵通信網絡設備維護工作的有效開展、避免設備故障對地鐵列車運行的影響��,在現代地鐵通信網絡設備維護前應強化對通信網絡設備基礎信息的分析�。以地鐵通信系統設備說明書等文件的分析為基礎,結合實際使用過程中環境、使用頻率����、設備運行工況等內容��,確定地鐵通信網絡設備維護工作的重點。根據地鐵通信設備及線路的實際使用情況、設備的基礎信息���,確保地鐵通信網絡設備維護方案的科學性,提高維護工作效率。
2建立健全地鐵通信網絡設備維護管理體系,促進維護工作的開展
現代通信網絡設備維護理論研究指出�,科學的通信網絡設備維護管理體系是提高維護工作效率�����、提高維護工作質量的關鍵。根據地鐵通信網絡設備維護需求、根據地鐵通信網絡設備特點,現代地鐵運行管理中應強化地鐵通信網絡設備維護管理體系的建立����。以地鐵通信網絡設備實際情況為基礎���、以設備維護部門組織架構為重點����,建立符合地鐵通信網絡設備維護需求的管理體系����。以管理體系的建立,規范和監督相關維護人員的具體工作���,促進地鐵通信網絡設備維護工作的開展�、確保設備維護管理工作目標的實現。
3以地鐵通信網絡設備實際情況為基礎�����,確定維護周期及重點
在現代地鐵通信網絡設備維護中��,科學的維護周期及維護重點是保障地鐵通信網絡設備運行的關鍵�����。因此,在現代地鐵通信網絡設備維護工作開展前��,地鐵通信網絡設備維護部門應對通信網絡設備的基礎情況進行分析�����。在了解通信網絡設備基礎情況下��,合理確定設備維護周期�。通過維護周期的科學制定�,保障地鐵通信網絡系統的正常運轉、減少維護周期不科學造成的維護成本增加�����。通過科學的維護周期設置能夠減少維護成本����、減少維護工作對地鐵運行的影響,保障地鐵通信網絡的通暢�。在此基礎上�����,地鐵設備養護部門還應針對通信網設備的實際使用情況確定維護工作重點。針對地鐵通信網絡使用過程中易發故障點確定養護監控重點,避免通信系統故障對地鐵運營的影響�����。
4建立預防性維護機制�����,提高地鐵通信網絡設備維護能力
在現代設備養護管理中,預防性養護管理機制能夠降低設備故障發生率��、保障生產運行活動的開展��。這一理論在地鐵通信網絡設備維護中的應用能夠保障地鐵通信系統的安全與穩定���、降低地鐵通信網絡設備故障率�。根據預防性維護理論應用需求����,現代地鐵運營管理機構應在通信網絡設備基礎情況調研下強化設備常見故障的分析。根據地鐵通信網絡設備運行環境下易損部件的實際應用情況�����,確定預防性維護工作內容���。以實際情況為出發點���、確定預防性維護周期�,避免零部件損壞對通信網絡系統的硬性,保障地鐵通信系統的穩定運行����。
二����、強化維修工作現場技術監督�,保障地鐵通信網絡設備維護質量
在現代地鐵通信網絡設備維護中��,設備維護現場的技術監督是保障地鐵通信網絡設備維護質量的關鍵���。為了確保設備維修養護人員的操作質量�,現代地鐵運行管理部門應建立現場技術監督管理體系����。通過設備維修過程中,現場技術人員、工程師的指導及監督保障維護工作質量�����,避免維護工作中安裝操作等不規范造成的故障隱患����。通過現場技術監督工作,規范地鐵通信網絡設備維護人員的具體操作、保障維護工作質量����、保障地鐵通信網絡設備的安全穩定運行���。
第3篇
關鍵詞:H3C����;網絡設備;監控
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)13-3052-03
Construction of Network Equipment Monitoring System Based on H3C
ZHAO Li-chun,LIANG Yi-ping,LIN Yue,LIANG Jian
(The Affiliated Ruikang Hospital of Guangxi Traditional Chinese Medical College,Nanning 530011,China)
Abstract: The construction of information systems can not be separated from the network equipment, network equipment, performance, security, fault monitoring is very important. Effective network equipment monitoring is important to reduce network failures, improve equipment utilization. H3C equipment, for example, discuss the structure of the monitor of network equipment.
Key words: H3C; network equipment; monitor
隨著信息技術的發展,數據規模和網絡規模均在不斷地擴大,在給各單位的電子業務工作開展帶來便利的同時也隨之帶來安全和管理問題�。建設信息系統離不開網絡設備����,對網絡設備進行性能���、安全�����、故障等方面的監控是非常重要的[1]。行之有效的網絡設備監控對降低網絡故障,提高設備利用率有重要意義。H3C的網絡設備品種齊全,價格適中,性能可靠,配置方便,在我國行業市場具有較高的占有率.本文以H3C設備為例�����,對網絡設備監控的搭建過程的關鍵問題和技術進行討論.
1基于H3C的網絡設備監控系統的拓撲設計
要對H3C的網絡設備的運行狀況,流量,故障等情況進行監控,就必須選取網絡中重要的位置安裝搭建起監控服務器,并在監控服務器上安裝相應的軟件和硬件設備[2]�����。網絡監控服務器的安裝位置是比較重要的�����,最好安裝在網絡流量比較大的位置,最好和數據服務器同一網段�����,以方便監測數據并輪詢H3C的網絡設備��。在單位局域網中�����,常見的網絡設備是交換機,H3C的網絡設備基本上支持SNMP的管理,為構建網絡監控系統打下了基礎�����。
圖1網絡監控系統示意圖
如圖1所示��,這是某大型醫療單位的骨干網絡示意圖,網絡設備監控服務器應在重要的位置���。在本文的設計中,網絡監控服務器和核心交換機進行連接���。網管工作站可以不和核心交換機直連,可以通過樓層交換機訪問到監控服務器��,從而查詢有關網絡設備的運行狀況����。例如端口流量,端口UP或Down的情況等����。
2基于H3C的網絡設備監控系統的安裝與配置
由于網管人員不可能太仔細對網絡設備進行監控�����,這就必須通過網絡設備監控服務器將網絡設備的運行狀況進行記錄,這樣��,當網絡管理人員需要對有關設備的運行狀況進行查詢時����,只要登錄到監控服務器,查詢有關數據就可以了�。因此���,從理論上就必須在網絡設備監控服務器上安裝相應的操作系統���,數據庫系統和監控軟件��。
在本文的設計中�,根據網絡監控理論上的要求和華三官方的相關文檔記述���,在網絡設備監控服務上安裝的是Windows Server 2003���,為了安全性和可靠性���,最好是帶SP2的�����。數據庫是為了記錄并保存網絡設備運行狀況,在本文的設計中����,安裝的是SQL Server 2005[2]���。網管工作站需要通過WEB的方式來訪問監控服務器�����,因此還必須在監控服務上安裝IIS6。
雖然安裝Windows Server 2003和SQL Server 2005對硬件的要求并不高�����,但由于網絡設備監控服務器需要24小時不間斷地運行��,才能有效地對網絡設備的運行狀況進行記錄�����。因此最好選取專業的服務器,在本文設計中選取部門級的服務器就夠了���。網管工作站主要用于查詢數據���,對硬件要求不高�,一般的PC足夠了。
在大型網絡中,為了有效對網絡進行管理����,避免網絡風暴�,通常在交換上配置了VLAN����。VLAN之間通常是隔離的[4]。為了使網絡監控服務器能有效地對網絡中的交換機和路由器等設備進行監控,需要在各交換機上配置好VLAN�����。VLAN 1是每臺交換機上的默認具有的VLAN����,因此推薦將網絡監控服務器連接在配置了VLAN 1的端口上。例如在本文的設計中。網絡設備監控服務連接在核心交換機的三十六號口,在配置交換機時就需要將三十六號口加入到VLAN 1中����。網管工作站也是一樣需要連接到對應樓層交換機VLAN 1上���,這樣以便于互訪�。當然��,網絡設備監控服務器的IP地址也應該與網管工作站IP地址屬同一個網段�。
為了對網絡中的設備進行識別和監控�,必須對網絡設備設置IP址,通常IP地址是VLAN 1所規劃網段的。例如,將191.168.21.0/24這個網段分配給VLAN 1���。
H3C的網絡設備缺省時并不開啟SNMP協議,需要技術人員在配置交換機或路由器等網絡設備時進行開啟��。以下是相關的配置命令及解釋:
system-view//進入系統視圖
[H3C] snmp-agent//啟用SNMP
[H3C] snmp-agent sys-info version all//讓設備支持能支持的所有版本SNMP協議
[H3C] snmp-agent community read public//設置讀數據團體名為public
H3C] snmp-agent trap enable standard authentication //允許發陷入報文
[H3C] snmp-agent trap enable standard coldstart//允許發冷啟動消息到監控服務器
[H3C] snmp-agent trap enable standard linkup//允許發端口UP的消息到監控服務器
[H3C] snmp-agent trap enable standard linkdown //允許發端口DOWN的消息到監控服務器
監控軟件是選擇是至關重要的,監控軟件的作用是輪詢被監控的設備[5],并記錄相關信息保存在數據庫中,也接受被監控網絡設備發來的陷入信息,也記錄在數據庫中.�。以便于網絡管理工作站進行查詢。在本文的設計中����,采用的是H3C的局域網能網絡設備監控軟件��。安裝完畢之后,設置好IIS��,在網管工作站上打開IE����,輸入監控服務器的IP址及端口,便可打開,例如,191.168.21.2: 8080/��。圖2是登錄到監控服務器所看到的圖形管理界面�。由于該軟件需要JAVA插件支持,如果網管工作站沒有安裝,會跳出下載提示框。
圖2 WEB圖形界面的網絡設備監控軟件
3總結與展望
對于中�����、大型的網絡系統�,及時了解網絡設備狀況,網絡運行狀態是非常重要的,這對于網絡故障的排除提供了便利,對網絡優化提供了依據���。在本文的設計中,以H3C網絡設備為例,分析并討論網絡設備監控系統軟硬件的安裝和配置����,具有積極的意義�����。
如果想具有更靈活的管理手段,也可自主開發出服務器端的監控軟件���。例如使用MRTG來對網絡設備的進行基于SNMP的管理。如果采用MRTG組件的方法����,可以結合.NET等開發工具來開發出服務器端的網絡設備監控軟件。
參考文獻:
[1]李維.醫院網絡監控軟件部署方案探討[J].醫學信息,2009(7):1138-1140.
[2]劉桂峰,陶漪.網絡服務運行狀態監控技術研究[J].計算機與現代化,2011(2):131-134.
[3]劉宏,張曉云.SQL SERVER 2005數據庫應用技術[M].北京:機械工業出版社,2011:5-21.
第4篇
關鍵詞:網絡設備配置實訓�����;課程建設��;項目教學
中圖分類號:G712 文獻標識碼:A 文章編號:1672-5727(2012)11-0166-02
網絡設備配置實訓是信息安全技術專業的一門核心課程���。該課程旨在讓學生了解常用網絡設備的工作原理��、工作方式、技術指標及參數等���,熟悉調試網絡設備的工作環境,掌握各網絡設備的調試方法�����。本文主要介紹該課程建設的做法和體會��,從課程的設置意義����、教學方式與方法的制定����、教學內容的編排與優化、教學環境的建設等方面進行闡述�����。
課程設置的意義
在學習本課程之前��,學生學習了計算機網絡相關基本知識,但對網絡設備還沒有任何學習經歷。我們在信息安全技術專業的課程體系中加入網絡設備配置實訓課程��,希望通過本課程的教學�,使學生能夠系統地掌握網絡設備的配置方法,以及利用網絡設備調試各種網絡服務的方法���。
在教學模式上,傳統模式是教師以系統講授課程的全部知識點為目標,部分動手練習也是驗證性實驗����。這樣培養出來的學生在完成實際技術工作任務時常感到無從下手��,難以將學過的知識點融會貫通��。因此,在教學中應根據學生的認知特點和心理規律��,貫徹“以教師為主導��、以學生為主體����、以實際訓練為主線”的原則�����,模擬真實的工作情境�,讓學生通過實踐操作掌握課程內容�,同時培養學生的團隊協作等社會能力,還培養學生根據實際工作需要獲取知識���、應用所學知識的方法能力,從而達到教學目標�。
教學方式與方法的制定
通過對多家信息安全技術相關企業進行調研��,發現基礎網絡的建設是多個工作崗位所必需的一項基本技能,開設網絡設備的配置與調試相關課程是十分必要的。在吸取Cisco CCNA培訓等課程教學經驗以及在企業調研結果的基礎上���,我們認為網絡設備配置與調試技能的教學��,實訓是最好的方式�,有利于學生學到更多的實際操作技能���。
(一)教學方法
在教學方法上采用項目驅動教學法���。項目驅動教學法是指由教師根據當前教學主題設計并提出項目任務���,針對所提出的項目任務���,采取演示或講解等方式�,給出完成該項目任務的思路和方法,然后引導學生邊學邊做,完成相應的學習任務。本課程根據網絡設備的種類及網絡功能分為四個項目�,根據每個項目的特點又細化為多個學習任務��。學生在學習時需要完成每個項目下的任務。
學生在學習本課程時以工作小組方式重新組合,組長負責小組的網絡設備分配及組員的管理��。在每個學習任務完成后�����,學生需要填寫相應的工作單�����,將完成任務時的工作步驟、心得記錄下來��。組長對組員完成任務的工作態度�����、團隊協作�����、應用的知識等進行評價��,教師對每個學生完成任務的情況進行整體評價���。
(二)考核評價
該課程的考核評價體系突出嚴格��、全面兩方面。嚴格是指有明確的考核機制��,全面是指必須完成基本實訓要求及內容�。考核涉及內容有:每個項目下的學習任務完成情況����,占60%���,主要考查學生對每個學習任務的完成情況����、熟練程度及組員團隊配合等;平時出勤����,占10%�;階段性考核��,占30%����,即在完成每個項目后�����,要對學生進行一次綜合性考核。
教學內容的編排與優化
該課程講授和實訓的內容與基礎網絡建設密切相關�。為對教學內容進行科學規劃與設計����,我們對相關企業進行了調研�,并對網絡工程師、網絡管理員等崗位所需知識與技能進行了詳細剖析��,認為網絡設備的配置與調試是信息安全技術專業畢業生必不可少的一項基本技能�,并且總結出在相關崗位上,哪些網絡設備調試是比較重要的�,哪些網絡服務調試是相關工作人員必須掌握的�。因此�,在網絡設備的選擇上,注意選擇一些在基礎網絡建設中應用比較多的設備�,重點放在交換機����、路由器和三層交換機上�����。對教學內容的制定分為“智能型交換機的配置與調試”��、“智能型路由器的配置與調試”、“網絡功能的實現”以及“綜合實踐訓練”四個項目�����,每個項目再細化為多個任務�����,如圖1所示�����。在教學中��,先針對每種網絡設備進行基本功能的實踐訓練���,然后再利用網絡設備實現相應的網絡功能�,最終將各種設備綜合起來進行綜合應用�����。
(一)智能型交換機的配置與調試
交換機是局域網組建中非常重要的設備��,是建立校園網、企業網的基礎設備。因此,學習交換機的應用是一個重要且基礎的教學環節。在這一項目中��,我們針對交換機的常見與重要的應用進行訓練��。該部分的任務包括智能型交換機的基本配置��、VLAN技術的應用、生成樹協議的應用�����、交換機端口的安全設置等。
在這部分內容中�,VLAN技術的應用是重要訓練內容���。要讓學生理解VLAN技術的基本原理并掌握VLAN技術在實際中的應用�����。重點講解VLAN的建立與管理方法,并在此基礎上借助實際案例講解VLAN技術的應用���。除了講解單交換機上的VLAN劃分外,還要講解跨交換機間的VLAN技術應用���。
此外�,該部分還要對交換機端口的冗余及安全等實踐內容進行講解和訓練。
(二)智能型路由器的配置與調試
路由器是在網絡間傳送數據的關鍵設備,也是在網絡建設中不可缺少的設備����。很多網絡功能是通過路由器來實現的�����,因此路由器的應用在網絡建設中非常重要。目前��,在很多基礎網絡中應用到了三層交換機�,它是在交換機的基礎上增加了路由器的相關功能,使得其功能應用比一般路由器要好很多�。因此�,在本項目中也要介紹三層交換機的配置與調試方法��。
在本項目中包含的任務有智能型路由器的基本配置���、靜態路由的配置���、三層交換機的基本配置���、動態路由協議RIP的應用�、動態路由協議OSPF的配置與應用���、單臂路由的應用以及路由器的安全傳輸等����。
在本項目中除了路由器和三層交換機的基本配置外,路由配置是重中之重。在路由器中�����,路由協議分為兩種:靜態路由和動態路由���。靜態路由的配置是目前基礎網絡建設中的一項基礎技能�����。通過靜態路由的配置訓練,還可以加強學生對路由表概念的理解�,增強學生網絡路由規劃能力�����。動態路由是在復雜網絡情況下應用的路由協議。而RIP協議和OSPF是兩種常見且比較典型的動態路由協議�����,在訓練學生配置兩種協議的同時���,還要讓學生理解這兩種協議的工作原理��。
單臂路由是解決VLAN間信息傳輸的重要方式��,它在一個路由器的物理接口上劃分多個邏輯子接口,為二層交換機上的每個VLAN分配一個子接口作為該VLAN的網關����,以便這些VLAN能夠在網絡中互聯�。通過單臂路由的應用訓練,學生可以真正理解網關的作用以及將VLAN加入到網絡中互聯的方法���。
(三)網絡功能的實現
通過前面兩個項目的學習,學生已經掌握了各網絡設備的基本配置方法�。在此基礎上��,要讓學生對一些常見的網絡功能的配置進行訓練,包括DHCP的應用����、訪問控制列表(ACL)的配置、NAT技術的應用以及VPN技術的應用四個任務�。
這些網絡功能在基礎網絡建設中是比較常見的���,因此學生需要進行針對性訓練���,以掌握這些網絡功能的配置方法���,并在此基礎上理解這些網絡功能的原理�。
(四)綜合實踐訓練
在前面三個項目的基礎上���,我們準備了一些綜合實踐訓練任務�。這些任務都是在學生前面所學內容基礎上組合而成的,并且訓練內容與實際基礎網絡建設緊密聯系���。
教學環境的建設
作為一門實訓課程,該課程教學環境的建設也是教學改革的重要部分����。所需的教學儀器就是交換機��、路由器和三層交換機。學生以小組的方式來完成實訓項目��。每個小組中配備路由器2臺�、二層交換機2臺以及三層交換機1臺,每個小組配備計算機4臺����,如圖2所示�����。這樣,每個小組的設備就可以供4~8人進行訓練��。訓練中學生可根據項目內容對網絡設備進行規劃����,根據拓撲圖來搭建網絡環境�����,進而對每臺設備進行相應的配置����,最終實現任務所要求的功能�。這樣,既可以訓練學生配置網絡設備的技能,也能培養學生的團隊協作能力�����。
在每臺計算機中����,我們安裝了相應的模擬軟件,來方便學生學習。模擬軟件的出現��,不僅為該課程教學提供了一種有效的輔助工具�,也為相關課程的教學提供了一個很好的平臺。軟件可以充分挖掘現有設備的潛力,提高現有系統的利用率���,既緩解設備和場地不足的問題,又提高可操作性,降低設備的管理難度,而且在不添加硬件設備的條件下�����,可以增加學生的實踐動手機會��,加強學生的實踐技能����。
在實訓中���,學生可以在真實的環境中邊學邊做��,較為系統地掌握實踐操作技能�。通過觀察近幾屆學生學習該課程的情況��,發現學生在學習完本課程后����,能夠較為熟練地配置與調試各種網絡設備�����,具備一定的基礎網絡搭建能力����,為學習后面的課程打下了堅實的基礎��。
參考文獻:
[1]鄒賢芳�,肖傳輝.“網絡設備與互聯”課程教學改革與實施[J].福建電腦���,2011(3).
[2]葉延東����,張蒲生,李永東.網絡設備與技術課程實訓教學的改革與探索[J].廣東輕工職業技術學院學報����,2010(3).
[3]馬剛.淺談模擬軟件在計算機實踐教學中的應用[J].科技信息��,2010(11).
[4]吳剛.Cisco Packet Tracer在網絡教學中的特殊應用[J].計算機時代����,2011(4).
[5]宋夢華.基于Packet Tracer的虛擬通信仿真研究[J].天津職業院校聯合學報,2010(3).
[6]楊彬.基于Packet Tracer環境下的網絡課程考核平臺構建[J].計算機教育���,2010(23).
[7]郭亞利.基于Packet Tracer虛擬平臺的校園網構建技術研究[J].信息通信,2011(2).
第5篇
一�、全球網絡設備分類市場概述
(一)無線網絡設備市場
2008年��,全球無線網絡設備市場的規模達到510.97億美元,占全球電信設備投資總額的51.34%�����,比2007年增長了4.2%��。由于受全球金融危機的影響���,2009年的無線網絡設備市場增速下降為0.07%�,市場規模達到511.3l億美元�����。根據Gartner研究報告顯示�,亞太�、中東及非洲地區的網絡設備投資增速明顯,北美����、西歐和日本等發達地區無線網絡設備投資保持穩定���。從市場份額而言�,北電和摩托羅拉的無線網絡業務開始萎縮�����,老牌廠商阿朗和愛立信等企業的市場份額逐漸在減少,而我國的中興和華為的市場保持了增速。
(二)交換網絡設備市場
2008年��,全球交換網絡設備市場的規模達到84.1l億美元,占全球電信設備投資總額的8.4%����,比2007年增長了2.9%�����。傳統電路交換市場規模不斷萎縮,2008年��,電路交換市場規模為24.68億美元�,比2007年減少了22.2%;2009年�����,電路交換市場的規模仍在不斷縮小�。在軟交換設備領域,全球廠商的市場份額差距不大�,中西歐����、北美和日本的發展速度較快��,引領了全球軟交換市場前行����。由于各廠商之間的技術和市場實務基本相當���,未來市場格局不會發生太大變動��,其中華為以12.6%的份額占據第一的位置�,北電以11%緊隨其后�。
(三)接入網絡設備市場
2008年���,全球接入網絡設備市場的規模達到142.92億美元���,占全球電信設備投資總額的14.36%�,比2007年增長了4.6%。目前,全球DSL接入市場發展較為平緩��,發達國家DSL市場已接近飽和��,而亞非拉等發展中國家地區的DSL仍然占據接入網絡設備市場的絕對主導地位����,并且這一態勢在短期內不會發生變化����。2009年,全球接入網絡設備市場規模達到150.05億美元�,總體增長速度與2008年相當��。目前,阿朗和華為占據了超過60%的市場份額�����,阿朗控制了歐州市場�����,華為則在亞太��、中東以及非洲地區占有一定份額。
(四)光傳輸網絡設備市場
2008年,全球光傳輸網絡設備市場的規模達到149.2億美元,占全球電信設備投資總額的14.99%,比2007年增長了4.6%。2009年�����,全球光傳輸網絡設備市場規模達到151.94億美元��,增速僅為1.9%,主要是投資放緩所至����。北美�����、西歐和中東歐投資規?;颈3址€定���,亞太�、非洲和拉美地區發展較快,日本的投資規模略有縮減�����。目前���,在光傳輸網絡設備市場���,阿朗繼續保持光傳輸網絡設備市場霸主地位�,北電和Tellabs公司由于戰略轉變而市場不佳。我國的華為和中興排名靠后,但其發展勢頭強勁�����。
(五)數據通信網絡設備市場
2008年�����,全球數據通信網絡設備市場的規模達108.3億美元�。2009年其規模達到114.48億美元����。目前�,憑借雄厚的技術實力和市場影響力,思科雄踞全球數據通信市場之首��。Juniper以其核心層路由器領域開拓市場�����,以較高增速穩居市場第二位��。阿朗則發展偏緩,而華為以邊緣路由器為突破口���,占據了一定的市場。
二�、我國網絡設備市場發展現狀及存在的差距
近些年我國政府和企事業單位在信息化建設及改造上的投入逐年增加��,電信運營商NGN/IP承載網的建設加快,網絡設備市場呈現快速增長的局面����,其發展蘊藏著巨大的潛力�����。但與發達國家相比,我國網絡設備市場的發展還有較大差距��,主要體現在: 轉貼于
(一) 產品同質化����,價格戰此起彼伏
在網絡設備行業競爭日益激烈的今天,產品已趨于同質化����,價格戰也時有發生,各品牌的促銷大戰也此起彼伏。比如服務外包�、利用廉價勞動力���、全球性供應���、7×24小時不間斷的軟件開發等是設備商應對價格競爭和滿足產品面市時間需求的重要措施���。我國網絡設備的競爭主要集中在中低端產品上����,其技術已基本上標準化����,各廠家的技術差距不大�����,這就更加催生了競爭的白熱化。戴爾(Dell)的相關負責人曾經針對價格戰做了一個精辟的定義�,與其說是價格競爭���,不如說是成本控制能力的競爭���。眾所周知��,國內網絡廠商在核心芯片技術方案上仍然是“拿來主義”方式,但“拿來”后是否具備快速吸收�、轉化的意識和能力就決定了網絡廠商在市場上長期生存和發展的前提����。
(二)國內高端產品市場認同程度偏低
就目前國內網絡設備采購客戶反饋信息來看��,國外大品牌依然是首選,特別是服務器等核心設備,占據了70%以上的比例����。一方面因為國內廠商向網絡設備高端產品市場發展的核心技術力量不夠���;另一方面是客戶對國產品牌的市場信心不足�,同時���,企業或政府采購產品的時候都講究具有技術前瞻性����,對產品的性能要求更加嚴格。一位負責某金融行業信息設備采購的人士表示:“之所以選擇國外的產品��,這緣于本行業是數據流和資金流充斥的場所�����,任何故障將導致無法彌補的損失��,我們選用高端設備考慮的首要因素為設備的安全可靠性,其次在人們心目中國內廠商的產品大都集中在中低層次,在高端設備沒有相應的產品���,即使有產品,由于推出時間短,沒有經過時間的檢驗,我們都很難采用?�!彼阅壳案叨耸袌鋈杂缮贁祹准覈馄放瓢殉?����,缺乏合理競爭�����,相對廉價的“國產服務”被國外品牌擠兌的度日艱難。如此的境遇卻值得我們深刻反思�。
(三)具備國際競爭力的民族品牌較少
目前國內大部分企業級網絡設備市場份額仍被國外廠商把持,高性能的計算機和網絡設備多被國外品牌的產品所壟斷�,在信息集成的增值領域��,國內企業的服務水平也相對較低。比如美國的思科���,是計算機網絡設備的領航者,在技術和行業上都是老大����,目前在支撐Internet運行的路由器中�,有近70%的路由器來自思科公司����。再如后起之秀Juniper公司的高端核心路由器,其銷售收入的市場份額已提高到了30%左右�����,成為思科強有力的競爭者�。而我國除華為和中興這兩大民族企業能夠在技術資金密集度比較高的行業內獲得國際話語權和國際市場份額外,其他公司進軍國際市場的道路似乎顯得比較艱難���。
(四) 知識產權紛爭不斷
目前具有知識產權的核心技術多為國外研發機構或IT廠商所擁有�,軟件產品的關鍵部件或軟件開發的基礎平臺多為國外廠商提供����,技術標準也由國外制定,這讓我國在網絡設備市場上落后于人���、失去主動權。最典型的案例是2003年��,當華為進軍歐美市場�,逐漸占有一定的市場份額,可以和思科分享美國市場的時候�����,思科意識到華為對自己在美國的計算機網絡設備市場構成了威脅�,開始以侵犯專利技術為由制止華為在美國的市場運營���。思科首先是從華為產品的代碼入手����,認為華為盜用了他的源代碼,其理由是華為投入美國市場的產品代碼與思科的產品代碼相似���,經過多次的交涉,華為還是不屈服于思科的挑釁����,最后思科把華為告上了美國的法庭���。最后由3COM公司出面調解�����,3com證明了華為的技術實力,沒有盜用思科的源代碼�����,最后在各種因素的調解之下華為和思科終于和解�����。
三�����、提升我國網絡設備市場競爭力的應對策略
(一)加強自主創新��,攻克核心技術
對于網絡設備企業來說�����,誰掌握了核心技術,誰就掌握了市場競爭的戰略高地,其賴以生存的根本就是技術的先進性和技術特色���。目前我國在電信網絡建設上,國外公司的設備產品占有相當比例,這給國內的互聯網發展帶來了相當多的安全隱患��。一旦網絡設備發生故障���,首先需要和國外的相關設備提供商協商���,等對方檢測后�,才能拿到最后的故障檢測結果,這使得我國在面對網絡安全危機時顯得十分被動。華為3Com政府網絡部相關負責人在談到網絡設備時就講道,擁有自主知識產權的網絡設備,是國家信息安全建設領域重中之重的發展課題。所以���,作為“中國創造”的主體部分,中國企業必須把自主創新提高到企業發展的核心戰略地位,投入核心力量去進行技術研發和技術創新�。正如一位知名企業家所言���,“技術創新并不僅僅是不斷創造新的產品�,采用新的技術手段不斷提高產品的設計質量��、制造質量以及檢測質量也是一項重要內容�����?����!蓖瑫r���,在行業內不斷探索����,逐步尋求技術方面的突破。這樣,中國企業才能夠掙脫國外技術的封鎖與束縛��,擁有行業發展的主動權����。
(二)加大研發投入,加快民族品牌發展
企業加大研發投入,加快自主核心技術和自主品牌創新,是提升網絡設備市場競爭力的關鍵���。比如,中興通訊研發投入力量一直處于國際領先水平,它依靠大量的研發投入使其擁有了五大核心技術:網絡技術��、軟件技術光傳輸技術����、射頻與無線技術,芯片技術��。 為了實現自我創新���,中興通訊每年確保在科研開發上的投入均保持在銷售收入的10%左右�。不僅有效推動了其在多個領域科技成果的取得,并為國家填補了多項技術領域空白���。目前,中興通訊擁有全球專利已超過16000件����,并入圍中國首批創新型企業名單����。華為在這方面也做得十分出色���,華為的交換機的出貨量連續3年全球第一�����,數據通信路由器運營商市場全球排名第三,從技術實力方面來看��,當前部分自主品牌的產品完全可以在政府用戶中替代國外品牌����。 所以政府在實際采購活動中,要加緊落實《實施〈國家中長期科學和技術發展規劃綱要(2006-2020年)〉若干配套政策》的要求�,在評審方法中���,須考慮自主創新因素�,優先采購自主創新國產產品���。
(三)加強市場管理�����,杜絕造假謀利行為
在國內市場中網絡設備的造假和售假現象比較嚴重�����,假貨的超額利潤、集成商的生存困境和法制的不完善是假貨橫行的三大主要原因���。通過“軟件技術升級”來造假的網絡設備,即使是在低于原價二三千元的情況下銷售�,其超額利潤也依然讓人瞠目結舌��。據某品牌的技術工程師介紹,該品牌的某個交換機的低級別版本的市場價格在3000多元����,銷售商的純利大約在200多元��,高級別版本市場價為8000多元,如果商通過軟件升級���,將低級別的產品升為高級別的產品,以5000多元的價格出售�����,利潤率一下子就會漲到5-10倍�����。這給國內網絡設備的發展帶來了極大的傷害����,所以規范市場管理��,加強行業監督是國際化進程中的迫切任務��。
(四)加強國際合作,制定國際發展戰略
我國的高科技企業在決定國際化戰略時,需全面考察目標市場的政治環境和文化環境���,通過風險預警機制有效防止在國外水土不服的情況出現。華為在國際與國內建立了諸多研究所:美國硅谷研究所、美國達拉斯研究所、瑞典研究所�����、印度研究所�、俄羅斯研究所等海外機構,華為技術(總部深圳)����、北京研究所���、上海研究所、西安研究所、成都研究所、杭州研究所�、南京研究所等國內機構�。華為最終成為中國網絡設備技術的研發高地��,以華為為代表的中國新興網絡設備企業在國際上正在快速崛起�����,其國際市場的爭奪不可避免。如2010年4月30日,印度政府以國家安全為由����,禁止從中國進口部分網絡電信設備�����;2010年5月,華為和中興參與印度北區和東區項目的競標權被剝奪����。從起初的“禁令”��,到后來的“安全審查”和“黑名單”,中國電信企業在幾個月內連遭重創,2010年上半年在印度市場幾乎顆粒無收����。國際市場競爭主要是靠實力說話���,擁有競爭實力的中國網絡電信企業只要有自己的長遠國際發展戰略����,必然會不斷地拓展國際空間���。
:
[1] 覃毅�,王歡.網絡設備與網絡安全[J].計算機安全�����,2010���,6.
王育琨.華為武器:研發���、聯盟�、制度整合化[J].管理與財富,2007�����,10.
孫杰賢. SOHO 級網絡設備市場競爭格局面臨變局[J].通訊世界�, 2009,6 總173期.
第6篇
【關鍵詞】高職 網絡實訓室 管理 建設
【中圖分類號】G 【文獻標識碼】A
【文章編號】0450-9889(2016)05C-0179-03
一�、高職網絡實訓室現狀
從目前高職院校專業布點來看�,計算機網絡技術專業是布點比較集中的專業����,基本上每個高職院校均開設了計算機網絡技術專業。為了保障專業實訓的需要,各院校紛紛建立了計算機網絡實訓室��。但通過調查了解���,各院校網絡實訓室存在著四個方面的問題�����。
(一)實訓設備數量較少���,設備損壞多,影響學生實訓
由于職業院校資金緊張��,學生擴招數量大��,網絡實訓室無法配置每個學生單獨一組實訓設備����。實訓過程中�����,每個學生按照自己的方式�����、方法進行調試設備,學生直接插拔設備���,造成網絡設備損壞現象很多,如CONSLE口�����,路由器的以太網口燒壞等��,嚴重影響了學生實訓的順利開展��。
(二)實訓設備管理不到位,造成實訓場面混亂��,老師無法有效指導學生
一般學校網絡實訓室采取4-8個學生一組開展實訓����,由于沒有統一管理設備,每組學生實訓過程必須去插��、拔自己的網線來更換到不同設備進行調試��,這樣不僅加快了網絡設備端口的損壞速度,同時也影響學生的正常實訓。而且每個班級學生實訓完成后�,還需要安排專門時間進行設備配置清除����,占用了教師大量時間�����,老師指導實訓時間很緊���,無法有效地指導學生實訓����。
(三)實訓設備無法趕上新技術發展,影響學生就業競爭力的提高
目前學校的網絡實訓室只能為學生提供基本的路由��、交換的網絡實驗�,當前網絡技術在飛速發展,像安全��、無線�����、語音等通訊技術的廣泛應用�,在就業競爭日益加劇的情況下��,學生沒有掌握到當今網絡的主流技術��,勢必會影響到學生的就業競爭力。
(四)實訓室的開放性不好�����,無法為學生的實習提供良好的平臺
由于實訓室的設備管理不到位��,只能勉強保障專業實訓要求,無法在課余時間向學生開放使用�。實訓室的構架固定��,無法滿足學生自己進行設計網絡架構,模擬大型的網絡環境來進行網絡實訓的需要���。學生必須花費更多時間到校外去實訓,花費大量的人力物力��,還影響了學生實踐能力的提升���。
由此可見�����,要滿足計算機網絡專業學生的職業能力培養����,必須改造現有網絡實訓室�,引入新技術,構建一個開放性良好,可高效管理的網絡實訓室。
二�、高職網絡實訓室建設目標
為了滿足高職院校計算機網絡技術專業實訓要求�,網絡實訓室總體設計應實現五個方面的完備���,即實訓類型的完備��、實訓模擬情境的完備����、實訓功能的完備��、實訓布局的完備�����、使用效益的完備���。
實訓類型的完備是指實訓室可完成網絡科研實驗���、網絡教學實訓和網絡培訓三種類型網絡實訓實驗��。實訓模擬情境的完備是要求在網絡實訓室的構建中��,要能夠模擬局域網、校園網�、大中型園區網及廣域網等組網方式�����,并可構建相關的網絡應用。實訓功能的完備是要求實訓室能構建網絡設計���、網絡管理、網絡應用�����、網絡安全等實訓環境,使學生通過一系列的專業實訓操作���,達到網絡工程師職業崗位的技能要求。實訓布局的完備是要求在實訓室中構建包括接入層�、匯聚層�����、核心層及廣域網絡接入的完整網絡體系,并給學生提供完整的實訓環境��。使用效益的完備是要求實訓室設計時充分考慮教學����、培訓�、技能鑒定、科研四位一體的功能�,實現實訓資源的最大化利用�。
通過五個方面的建設����,可以把網絡實訓室建成為實訓功能完善、組網方式多樣化�、使用效益良好的網絡實訓室����,既滿足校內計算機網絡技術專業實訓教學����,也可面向全校學生及社會開放培訓使用,成為學校計算機網絡人才培養與培訓基地���。
三、網絡實訓室建設方案
(一)網絡實訓室拓撲圖
為構建一個開放性良好���、可高效管理的網絡實訓室,引入了國內星網銳捷網絡公司的RACK實驗臺���,并以此作為組建網絡實訓室的實訓單元,從而實現對網絡實訓室的設備統一管理����。筆者所在的廣西職業技術學院原已建有網絡實訓室�,但設備技術水平無法很好滿足當前網絡實訓教學要求�,最為關鍵的是由于無法對實訓室的設備進行統一管理,嚴重影響了實訓教學的效率�����。為此���,學校決定在原有網絡實訓室的基礎之上����,引入RACK及對新型網絡設備進行了升級改造�����,改造后的實訓室網絡拓撲圖如圖1所示���。
整個實訓室布局由教師機區域�����、學生機區域和實驗臺區域三個部分組成,各區域設備通過實訓室內部局域網相互連接。教師機區域主要供教師教學使用設備��,可借助PC直接訪問控制實驗臺區域的任一組設備��;學生機區域則由多組學生實訓PC組成�,每組由4-6臺PC組成�,學生通過PC可訪問指定實驗臺區域的網絡設備;實驗臺區域以RACK實驗臺為核心組建多組網絡實訓單元,每個區域設備均接入訪問控制服務器(RCMS)���,實現網絡拓撲動態調整和實驗室設備統一管理。同時實訓室還擴展了三層交換機����、路由器��、安全設備��、無線網絡設備、語音控制設備等,使實訓室升級為功能強大����、實訓內容豐富的綜合性網絡實訓室��。
(二)網絡實訓單元的功能
網絡實訓室的每一個網絡實訓單元都是由RACK(實驗臺)構成���,每個RACK又是以一臺訪問控制管理服務器(RCMS)為核心連接相應的網絡設備組成的��,因此RACK實施管理主要就是依靠RCMS來完成的����。根據網絡實訓單元的不同實訓功能要求�����,可以RCMS為中心連接不同網絡設備���,形成不同的設備組合����,從而實現不同設備組網方式����。網絡實訓單元要完成不同的網絡實訓,就是依靠RCMS控制相關的網絡實訓設備來完成指導的實訓功能的�����。一般來說��,一個實訓單元可供4-10人同時實訓���,一個實訓室可由4-10個實訓單元組成���,因此組建的實訓室可滿足40人實訓教學與培訓的要求�����。
網絡實訓單元的標準配置由2臺二層安全接入交換機�、2臺三層交換機、4臺模塊化的路由器以及一臺RCMS組成�����。在網絡實訓單元應用中����,只要準確連接好各網絡設備并正確配置RCMS,學生就可以通過WEB方式登陸RCMS���,然后十分方便地配置接定的任何一臺網絡設備,而不需要插拔控制線和網絡線��。這種管理方式��,既提高使用效率�����,也可以減少因線纜插拔而引起的損壞。網絡實訓單元在標準配置的基礎之上����,還可以增加無線網�、安全和語音實驗模塊����,從而使實訓室可完成交換機����、路由器�����、無線網、安全和語音的綜合實訓內容��,為學生實訓構建良好的環境�����。
(三)RCMS的實訓管理應用
RCMS具有遠程登陸管理��、“一鍵清除”、多種登陸權限管理的三大功能�����,從而有效地解決學生實訓插拔網線帶來的設備損壞����,教師清除實訓設備配置花費時間多等常見難題,使實訓室具有良好開放性和高可管理性。
1.RCMS的遠程登陸管理功能
原有的網絡實訓過程中,學生必須通過串口線直接連接網絡設備才能配置設備,因此就無法避免網絡設備線纜的插拔����。有了RCMS后��,所有配置線纜及網絡線均不需要插拔,學生可直接通過WEB方式方便登陸到RCMS設備上�����,就可以看到如圖2所示網絡設備的遠程配置管理界面���。該界面上顯示了RCMS連接的所有網絡設備�,要使用某一個設備就直接點擊設備相應圖標,就可以登錄到相應設備上�。如果某一設備已被其他用戶登錄使用,則該設備圖標就成為灰色,并且不能點擊使用。由此可見�����,借助RCMS不僅能方便地組建各式各樣的網絡���,還可以輕松配置網絡�����。
2. RCMS的“一鍵清除”功能
原有網絡實訓室因缺乏統一的網絡設備管理系統�,因此實訓設備配置的清除成為教師一個費時費力的工作�,直接影響到實訓室的開出率和教師的教學投入時間。實訓室配置RCMS以后�����,所有網絡設備可以做到統一管理����。教師登錄RCMS后,只需要執行一條專用指令就可以清除所有連接在RCMS上的網絡設備的配置信息。RCMS的“一鍵清除”功能極大地減輕了教師維護網絡實訓的工作量,學生做完網絡實訓后��,便可以快速地清除學生在網絡設備上的配置信息�,為下一組學生提供一個干凈的環境。
3.RCMS的多種登陸權限管理功能
由于網絡實訓室具有良好的開放性,為了保障網絡實訓教學�、管理的正常進行�,必須對網絡設備操作進行權限控制�����。RCMS提供了不同的用戶訪問權限�����,設置了學生和教師管理兩種用戶權限�,只有教師管理員才可對RCMS進行配置管理,可以避免學生對網絡設備亂操作�。RCMS還可為連接的所有設備接口設置不同口令��,使用者只有輸入正確的口令��,才可以連接使用相應網絡設備,這樣可對不同分組學生訪問設備進行有效控制��。RCMS還可為使用者的PC分配不同權限��,只有通過認證的PC才可以登錄使用設備����,也對RCMS上的每個接口進行單獨授權管理�。
(四)網絡實訓教學內容設計
計算機網絡組網應用具有多樣性和復雜性,為了讓學生在網絡實訓室中模擬真實的網絡組網應用���,必須針對性地設計一系列網絡實訓教學內容。筆者根據星網銳捷網絡公司網絡工程師認證培訓標準��,結合學校實際�����,設計了11種類型��、50多種實訓項目。整個實訓教學內容主要分為五大模塊,即基礎實訓����、組網實訓�、出口配置實訓����、專項拓展實訓、綜合實訓��?���;A實訓主要包括設備連接�、交換機配置、路由器配置���;組網實訓包括局域網組網、園區網組網���、廣域網組網、無線網組網實訓��;出口配置實訓包括VPN配置���、NAT配置等���;專項拓展包括VOIP語音實訓��、網絡安全實訓��、IPV6技術等;綜合實訓包括中小型企業網����、大型網絡����、廣域網�、VPN拔號組網等項目實訓。
【參考文獻】
第7篇
[關鍵詞]計算機�����;網絡管理員��;信息技術
doi:10.3969/j.issn.1673 - 0194.2016.14.107
[中圖分類號]TP393 [文獻標識碼]A [文章編號]1673-0194(2016)14-0-01
1 網絡管理員承擔的主要工作
網絡管理人員主要承擔網絡的構建�����、維護及服務3個方面的工作�。其中網絡構建包括建設網絡、規劃網絡、組建局域網��、新增網絡設備��、升級網絡設備等��;網絡的維護包括檢測網絡故障����、維修計算機軟硬件����、確保網絡環境安全等;網絡服務包括遠程登錄����,文件傳輸��,電子郵件,資源共享���,數據庫服務器、路由器和交換機的設置��、即時通訊(IM)軟件的設置���。網絡管理員在工作過程中必須注意以下幾點�����。
1.1 網絡設備的管理
這主要是指對路由器���、交換機、硬件防火墻及其網絡線路的管理����,對設備的配置數據信息以書面或者電子文檔的形式進行歸檔存儲��。局域網正常運行的前提是網絡設備的正常工作,因此網絡管理員需要掌握網絡設備的基本知識�,了解設備之間的數據傳輸機制��,例如:產生網絡故障,能快速解決網絡故障問題。
1.2 服務器的配置
服務器配置是指根據實際需求���,對安裝有服務器操作系統的設備進行軟件或者硬件的相應設置、操作,從而滿足業務活動的需求�����。服務器為網絡用戶提供重要數據存儲��、信息����、訪問及數據管理等服務��。而這些服務功能是通過Web服務器�����、FTP服務器、Samba服務器�����、DNS服務器��、EMAIL郵件服務器�、數據庫服務器來實現的����,因此����,網絡管理員必須掌握這些服務器的安裝和配置方法。
1.3 網絡資源及其用戶名的管理
網絡資源主要包含IP地址�、域名�����、硬盤等資源,管理員需要對病毒庫及時進行更新升級�,以保證網絡安全���;用戶管理實際上就是添加用戶或者刪除用戶��,并授予用戶相應的訪問權����,對他們分配級別不同的資源�,并保障網絡安全。
1.4 數據的備份
網絡一旦有故障發生��,往往會導致整個網絡系統崩潰�����、信息數據丟失等��,所以,對路由器����、交換機�����、服務器資源進行數據備份是必不可少的一個步驟����。網絡一旦發生故障,可以通過備份數據方式及時恢復信息數據����,在最大程度上降低損失��,這也是防止主動型信息攻擊的最后一道防線。
2 網絡管理員應具備的素質
保管網絡設備�����,安裝����、配置和調試網絡設備,確保局域網在安全���、穩定的網絡環境中運行,合理運用網絡管理軟件�,這些是考驗網絡管理員綜合素質的重要方面�����。
2.1 硬件知識
網絡管理員必須了解網絡設備硬件的相關知識,例如:計算機的硬件、打印機、網絡適配器��、網線���、網卡�����、路由器、交換機、硬件防火墻等網絡設備的使用技術和調試管理知識����。此外��,還要了解網絡設備的管理機制,保證網絡正常的運行狀態,根據故障的現象找到故障設備�����,及時進行修理或更換���。除此之外��,網絡管理員也要掌握網絡硬件設備在調試過程中需要用到一些命令語句���,以便配置好網絡設備��。
2.2 軟件知識
第一�,管理員需要了解服務器操作系統�、數據庫系統的安裝方法以及配置方法,數據備份與災難恢復技術,應用軟件�����、防火墻����、殺毒軟件的安裝和配置方法。第二�,掌握專門網絡管理軟件來排查故障����、管理用戶賬戶及權限�、監控整個網絡的運行情況等����。第三,安裝殺毒軟件和入侵檢測系統并開啟系統的Update自動更新功能,限制服務器的端口開放����,這是確保數據安全方面有效措施之一����。
2.3 動手實踐操作和工作方法
動手操作是網絡管理員必備的技能��,如組建網絡時���,網絡設備的連接���、網絡的搭建�、主機和路由器的設置��、綜合布線等都需要動手操作����。請記住����,在動手操作之前,事先應認真閱讀說明手冊,明確操作步驟要領,力爭做到準確無誤�。在處理故障時�����,先分析故障的大概原因并寫出解決方案后,再進行維護�,這樣會提高維護的質量,使工作更有條理����。
3 提高網絡管理員個人基本能力的方法
網絡技術的迅速發展�,對網絡管理員的知識更新提出了更高的要求��。網絡管理員必須注意個人基本能力的提高���。
第一���,堅持閱讀學習���,更新網絡知識��。只有掌握大量的計算機專業詞匯,才能流暢地閱讀原版的白皮書和技術資料�。同時���,有些網絡設備的說明書也涉及英文����,掌握基礎的計算機專業詞匯�����,對網絡設備的使用有很大幫助�。
第二,要有良好的語言表達能力���。網絡管理員不僅僅限于技術方面的工作,作為服務人員平時與領導��、同事及廠商的溝通交流是常事����,具備有良好的語言表達能力��,可以提高自己的工作效率���。
第三�,要有吃苦耐勞的精神����。網絡管理的崗位工作,是隨時要加班加點的���,因此,管理員必須具備有奉獻的精神��,能夠吃苦�,時刻保障網絡的正常運轉。
第四,要有團體協作精神��。團隊協作能力是做好工作的基本素質���,網絡管理員應與其他員工形成團隊的力量����,具有基本的協作能力,在工作中能夠做到及時協調溝通����。
4 結 語
網絡管理員的基本技能要求就是大而全�����,不一定要精通,但要全面掌握�。一個合格的網絡管理員要在網絡構建�、網絡故障維修��、網絡信息服務等方面具備扎實的理論知識和實際操作能力,才能在工作中得心應手,游刃有余����。
第8篇
【關鍵詞】 SDN 網絡架構 可靠性 可用性 策略
一����、背景
隨著互聯網和移動互聯網的高速發展����,網絡的靈活性和敏捷性要求更高,現有的傳統分布式IP網絡的局限性日益突顯�����,主要表現為:
1.網絡剛性��。網絡設備大量由單一功能的專用設備構成����,造成網絡復雜����、無法協同、缺乏靈活性等弊端。
2.網元封閉����。硬件和軟件一體化的封閉結構�,導致設備擴展性差����、價格昂貴���、不同廠家的網元互通困難。
3.業務僵硬�����。不同廠家的網元設備功能單一封閉����,新業務開發周期長、成本高�,難以滿足快速靈活提供業務的要求���。
4.運營復雜�。大量廠家的各類專用設備以及相關的協議眾多�,網絡規劃復雜,整合難度高,運營復雜��,造成運營成本居高不下���。
多年來積累的問題已經使得今天的IP網絡患有“動脈硬化癥”����,網絡架構重構迫在眉睫。2006年�,SDN概念于是應運而生��。
SDN(Software Defined Network)即軟件定義網絡,是一種開放靈活和可持續演進的新型網絡架構����,采用軟件化�、虛擬化的“分離”方法��,將現有傳統的分布式網絡架構進行重構���,讓網絡中的控制面和數據轉發面進行分離���,由傳統分布控制向集中控制的網絡轉變。
關于SDN網絡架構�,不同的組織有不同的定義���,當前較為主流的是開放網絡基金會ONF(Open Networking Foundation)對SDN分層架構的定義����,如圖1所示�。
該分層架構模型得到了產業界的廣泛認可和推廣使用。
SDN的核心是“S”即軟件�����,也就是網絡不再是“硬”的�����,固化封閉的��,難以擴展的,而是可以通過軟件程序實現靈活的新I務開發和部署����,網絡資源可以靈活調度����,使得網絡作為一個管道變得更加智能和彈性可用����,較好地解決運營商現有網絡運營的痛點,因此�,SDN概念一經提出����,就受到了運營商的青睞和積極響應�����。2014年以來��,隨著SDN技術的逐步成熟,國內運營商開始進行局部試點商用。
二、傳統分布式IP網絡和SDN網絡架構分析
SDN是對運營商現有網絡架構進行重構����,重構后的網絡是否能夠穩定運行��,是否出了故障能及時恢復,是否能達到或接近傳統分布式IP網絡的可靠性可用性要求���,是運營商關注的重點之一。
2.1可靠性��、可用性
網絡的可靠性使用網絡運行階段平均業務失效故障間隔時間來描述����,用無故障運行時間來衡量。網絡的可用性使用網絡穩定不出現故障的時間與總的時間的百分比來表示�。
從通俗的角度來理解���,可靠性高是指網絡持續一段較長時間(如一年或兩年)運行穩定��,不出現業務失效的故障;可用性高是指網絡穩定運行不易出現故障�,并且一旦出現故障能夠快速恢復�����。
要提升網絡的可靠性和可用性,通常采用冗錯技術來實現,也就是在網絡設計中增加冗余資源,避免單點故障造成業務失效�。
2.2傳統分布式IP網絡基本架構分析
傳統分布式IP網絡的基本架構如圖2所示�����,分為管理平面�����、控制平面和數據平面��。管理平面為網管系統,負責網絡監控和業務配置,當業務配置下發后即使脫網也不影響網絡的正常運轉?��?刂破矫婧蛿祿矫嬗陕酚善鞯仍O備組成,路由器負責按路由表轉發數據包,采用IGP和BGP兩種核心分布式動態路由協議,當網管把業務配置上傳到路由器后�����,如果網絡狀態發生變化����,控制平面即路由器會在網絡中自動擴散這些變化,各自根據新的狀態自動重新計算路由���,全網采用冗余路由技術和路由快速收斂技術,當故障發生時能夠在秒級時間內使受到影響的業務得以恢復��,網絡具有故障快速自愈能力�。
2.3 SDN網絡基本架構分析
SDN網絡的基本架構如下圖3所示,分為應用層���、控制層、基礎設施層��。應用層由各類商業應用軟件程序組成��,通過北向接口向控制器提交各種網絡應用�����;控制層由SDN控制器組成,它是整個網絡的控制中心和指揮中心���,是整個網絡的“大腦”����,擁有全局網絡視圖,負責實時采集全網設備狀態��、網絡拓撲和各鏈路流量�����,生成流表并通過南向接口下發給網絡設備���,同時根據網絡狀態變化或應用層提交的功能更改重新生成流表并下發����;基礎設施層由網絡設備和線路組成,一方面負責接收控制器下發的流表并按之進行數據包轉發�,另一方面負責將網絡資源信息和狀態上報給SDN控制器�,是執行單元����,本身不做決策。
從SDN網絡的架構來看�,SDN控制器作為網絡的“大腦”是關鍵部位�,成為單點故障引發全網故障的風險點���。
2.4兩種架構的可靠性可用性比較
從傳統分布式IP網絡和SDN網絡的基本架構來看�,傳統分布式IP網絡的控制功能是分布式的,任何一個單點故障發生時網絡具有快速自愈能力�,而SDN網絡的控制功能全部集中在SDN控制器��,有單點故障引發所有業務失效風險,因此��,傳統分布式IP網絡的可靠性和可用性較高���,但是�,SDN具有簡化網絡�����、快速業務開發和部署���、低成本等核心價值�,值得研究對策�����,讓SDN網絡可用�����。
三、提升SDN網絡可靠性可用性的策略
可靠性和可用性是基于網絡故障來考慮的�����,如果能夠識別出各層可能發生的故障及對網絡的影響程度�,拿出應對策略,避免網絡因單點故障而癱瘓。
從SDN網絡架構來看,各層可能出現的故障如下:
應用層
設備方面:服務器故障����、應用程序故障����、服務器所在機房出現斷電等故障����。
鏈路方面:服務器與SDN控制器的通信鏈路故障�。
安全方面:非法侵入等。
控制層
設備方面:服務器故障、SDN控制器軟件故障、服務器所在機樓出現坍塌等故障��。
鏈路方面:SDN控制器和網絡設備之間的鏈路故障���。
安全方面:非法接入或受DDOS攻擊等�。
基礎設施層
設備方面:網絡設備故障。
鏈路方面:網絡設備之間的鏈路故障。
安全方面:非法侵入等�。
針對以上各層可能出現的故障�,以及各層在網絡中的重要程度���,權衡成本投入以及可接受的可靠性���、可用性等因素采取以下的應對策略:
3.1應用層的應對策略
應用層的設備方面故障對網絡的運行影響并不大���,當應用需求通過北向接口提交給控制器�����,由控制器生成相關的業務邏輯變成相關流表下發給網絡設備執行�����,此后����,應用程序的服務器即使出現脫網等故障也暫時不會影響網絡的運行���。因此�,用層的服務器、應用程序采用冷備份冗余設計����,考慮到機房安全問題,在異地機樓部署冷備份系統。當主用系統出現異常時切換到冷備份系統上運行。
防范鏈路方面的故障�,可采用一條主鏈路和一條備用鏈路�。由于與應用程序通信的外部設備是可知的�����,因此�����,防范安全方面造成的故障,采取對連接的設備進行白名單設置并進行嚴格的身份認證�����。
3.2控制層的應對策略
SDN控制器是網絡的控制中心和指揮中心�����,一旦SDN控制器無法提供服務����,假設基礎設施層的網絡沒有發生變化��,網絡設備仍按原有的流表進行轉發�,不影響網絡運行���,但是此時基礎設施層的網絡拓撲如果發生變化�����,沒有SDN控制器重新計算路由生成新的轉發流表����,對網絡的運行就會造成重大影響���。因此���,控制層健壯性設計非常關鍵�。
防范設備方面的故障��,采取SDN控制器異地機樓的熱備份設計顯得尤為重要���,承載SDN控制器軟件的服務器采用云化虛擬機集群�����,這些虛擬機獨占物理設備不與其他用戶分享,軟件采用分布式部署���,主用控制器和備份控制器同時運行,都在處理業務,是負載均擔關系�����,因此具有超強的自愈能力來應對單臺或多臺服務器故障,冗余保護措施在故障情況下自動生效��,對外服務不中斷���,故障服務器修復后重新上線���,系統自動平衡工作負載�。
控制器和網絡設備之間的通信鏈路如果中斷導致控制器無法控制網絡,會造成重大影響����,為了防范鏈路故障的影響,應采用控制器通過多條鏈路連接到網絡設備�����,采取帶外專門的鏈路通道�,輔以帶內控制通道作為冗余鏈路,使得任何一條鏈路故障���,都不影響控制器與網絡設備的通信。
為防范非法接入或受DDOS攻擊��,應采取在SDN控制器和網絡邊界處部署防火墻�、入侵檢測設備以及流量清洗系統。通過防火墻和入侵檢測設備進行訪問控制、病毒木馬防治����、非法入侵檢測�����、安全漏洞掃描等,采取只對特定的IP地址提供服務并按需開放端口原則�����,阻斷非法IP接入或攻擊���;通過清洗系統對進出控制器的流量進行分析���,一旦發現非法攻擊流量����,立即引導非法流量到清洗部件。
3.3基礎設施層的應對策略
基礎設施層的網絡設備或鏈路故障�,會造成部分業務中斷���,故障發生后,SDN控制器會根據網絡變化情況�����,重新進行路由計算并生成新的流表下發給在線運行的網絡設備��,實現網絡收斂�����。在設計網絡節點時采用傳統的設備冗余、鏈路冗余技術�����,部署IP FRR快速重路由�,一旦節點故障發生,網絡設備在沒有控制器控制下也能自動完成路徑切換。適當加大資源冗余度,以輕載為主�,鏈路帶寬利用率控制在50%以下����。防范非法侵入網絡設備產生的故障�,采取管理控制網絡與公網隔離,對遠程登錄進行嚴格設置和身份認證。
四、SDN可靠性可用性策略在實際網絡部署中的應用
中國電信廣西公司從2014年以來,積極推進SDN網絡的試點工作,在實際SDN試點網絡部署中綜合考慮以上可靠性可用性策略�,采用如圖4的方式部署:
應用層和控制層的軟件使用云資源池分配的虛擬機來承載�,同時在異地機樓云資源池上部署備用系統�����。應用層和控制層的虛擬機各自獨占一個VLAN與云資源池中的其它網絡進行隔離���。這些虛擬機獨占物理設備不與其他用戶分享��。SDN控制器采用熱備份部署���。
SDN控制器與網絡設備的通信鏈路,采用帶外管理控制網絡和帶內控制通道相結合的方式���。
基礎設施層采用設備、鏈路冗余配置�����。
在控制層部署防火墻�����、入侵檢測設備和流量清洗系統����,保障SDN控制器的安全��。
通過在SDN試點網絡進行了專線業務開通��、業務流量優化、新業務開發和部署���、模擬攻擊、設備主備倒換等一系列實驗����,各項業務功能達到了預期效果��,網絡可靠性可用性也達到商用的要求。
五���、結束語
SDN網絡架構具有傳統網絡無可比擬的優勢,雖然SDN網絡的可靠性可用性相對于傳統分布式IP網絡而言�����,還有一些差距��,但是可以通過以上的策略來提升SDN網絡的可靠性可用性,從而使SDN網絡達到可商用的目的���。
參 考 文 獻
[1]閆長江,吳東君��,熊怡 .SDN原理解析―轉控分離的SDN架構[M].北京:人民郵電出版社����,2016
[2]劉文懋,裘曉峰��,王翔 .軟件定義安全:SDN/NFV新型網絡的安全揭秘[M].北京:機械工業出版社����,2016
第9篇
關鍵詞:可靠性;計算機網絡�;安全性���;方法
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-7712 (2012) 14-0059-01
計算機網絡的可靠性概念最早是在上世紀70年代出現����,它具體是指計算機在給定的時間以及特定的環境內�,保證所有業務可靠完成。計算機網絡可靠性的決定因素有給定時間�、特定環境以及業務完成能力����,計算機網絡可靠性可以對網絡運行能力作有效反應���,在此基礎上實現網絡的安全運行�����。當今人們生產生活對于網絡依賴的程度進一步加高���,網絡的可靠性尤為重要�����。
一、計算機網絡可靠性的影響因素
(一)計算機網絡設備的因素��。網絡設備是直接面向用戶的設備��,是影響網絡可靠性的最主要因素���。對網絡設備的日常維護就是對客戶終端可靠性的保證��,網絡設備的交互連接能力越好,計算機網絡的可靠性就越高�。此外����,傳輸設備是計算機信息的重要工具����,承擔著數據信號的接收和傳輸,在一定程度上保證著網絡的暢通,對網絡可靠性影響也比較大�。
(二)網絡管理因素�。雖然計算機網絡在近年得到了快速的發展�����,但是黑客的入侵手段也在不斷的進行著更新�,新的安全問題不斷涌現��,嚴重影響著計算機網絡的可靠性���。與此同時,計算機網路系統多缺乏有效的監視措施�����,不能對網絡的安全性進行及時的分析和評估���,黑客通過系統漏洞很容易侵入計算機內部�,影響著網絡的安全與可靠性。
(三)網絡結構因素。計算機網絡中的各部件連接通常都是拓撲結構�����,拓撲結構是網絡內各個站點之間連接的形式���,也就是指工作站��、文件服務器和電纜的連接形式�����。拓撲結構是分析網絡各種故障的前提,還是保證網絡安全和可靠性的重要基礎�。
二����、網絡可靠性的設計原則
計算機網絡是計算機之間進行信息聯系的平臺和基礎���,計算機網絡的設計關系著網絡的可靠性運行和網絡故障的恢復��,網絡安全運行必須要解決的問題就是網絡的可靠性問題����,計算機網絡在進行設計的時候必須要堅持以下的原則��。
(一)容錯技術和余度設計。容錯設計是指允許操作者產生一定程度的失誤行為�����,容錯系統可以容忍或吸收失誤的存在�,幫助操作者在已發生的錯誤中獲取信息���。而余度設計是保證安全的設計手段�,余度可以分為靜態余度和動態余度���。采用這兩種設計原則的計算機網絡可以保證網絡在出現故障以后不出現網絡癱瘓���,提高網絡可靠性�����。
(二)新技術應用����。如上所述�����,黑客時刻都在進行著入侵技術的升級��,計算機網絡要想保障用戶數據的安全性和可靠性,就要不斷采用新技術�,確保網絡能夠滿足業務的要求�,使網絡具有較長使用周期�。同時,計算機網絡還要對系統的造價進行考慮����,實現投資的最優性價比。
(三)網絡設備的使用�。計算機網絡設備是計算機工作的基礎��,性能良好和質量信譽較高的產品才能滿足用戶的要求和網絡可靠性的各項指標。計算機網絡設備最好還能實現自動或人工的維護檢查工作����,方便數據的維護和灰度����,進而提高網絡可靠性�����。因此��,計算機網絡可靠性設計既要選用性能良好的設備,還要對系統進行容錯和余度的設計��,保證計算機網絡無論是出現故障與否��,都具有良好的運行能力���。
三��、計算機網絡可靠性的設計
計算機網絡可靠性的評價指標有很多,包括了用戶對服務質量的滿意度、網絡故障率�、網絡交換設備和傳輸設備的可靠度���、網絡連通率以及故障的修復時間等���。計算機網絡無論是在何地何時出現了故障����,其損失都十分巨大����,因此��,對于計算機網絡的可靠性要進行以下的設計�����。
(一)雙網絡的結構設計。計算機雙網絡的結構設計是在現有的網絡基礎上增加一些備用網絡模式,通過冗余計算方式提高網絡的相關容錯性能。在雙網絡的結構中,一個節點連接另外兩個中心節點�����,節點在傳輸數據的時候只通過一個網絡,另一個網絡作為備份。這樣的雙網絡結構不僅可以實現數據的同時傳輸����,還可以為主網絡提供備份���。在主網絡出現故障或者是不可用的時候��,備份網絡可以保證數據的傳輸,減少了計算機網絡故障對網絡穩定性和可靠性的影響。
(二)網絡容錯性設計�。主干并行和雙網絡中心是網絡容錯性的設計原則�����,容錯性設計的步驟是通過冗余計算的方法和并行設計的方式來實現用戶終端和兩個計算機網絡的中心點的連接,實現雙網絡的連接方式�,提高計算機網絡容錯性���。路由器和計算機網絡相連�����,計算機網絡線路的設計采用多路由和多線路的互通模式�����,由此保證了用戶終端故障不影響其他網絡用戶的使用安全���,在此基礎上提高計算機網絡可靠性����。
(三)計算機網絡體系設計�。網絡的可靠性首先應該由擁有良好結構的體系結構和網絡層次以及先進的網絡設備組成,只有運行良好的網絡才能有良好的計算機網絡可靠性��。隨著網絡需求量的增加和信息技術的發展���,集中式計算機網絡逐漸被分布式網絡取代�����,分層設計的網絡體系模式更能適應高速網絡的要求和現代網絡的發展�����。計算機網絡系統可以分為應用層、服務層�、操作系統層以及物理硬件層�,服務層主要是提供網絡的服務��,應用層是滿足用戶的需求�,操作系統層是各種網絡軟件�,而物理硬件層則是拓撲結構。這樣的分層布局設計可以明確個層析作用�,實現網絡的磁通��,提高網絡可靠性。
四��、結語
計算機技術的發展和進步使終端網絡用戶對計算機網絡的可靠性提出了進一步的要求��,提高計算機網絡可靠性,增強網絡對于故障的恢復能力和處理能力�,保障數據的傳輸已經顯得尤為重要��。為了減少或者是避免網絡故障帶來的損失,有必要在網絡運行中使用先進的設計方案和網絡設備�����,提高計算機網絡的整體安全性��。只有進一步的發揮計算機網絡的優勢�����,避免其故障對可靠性的影響,計算機網絡的應用才能得到進一步的發展�����。
參考文獻:
[1]趙文娟,李波.計算機網絡可靠性優化對策[J].科技資訊���,2008,21.
[2]高景明.計算機網絡可靠性的提升策略分析[J].數字技術與應用���,2012,2.
第10篇
1 建設第三方網絡設備監控和管理的必
要性
河南電信從2008年開始建設移動軟交換網絡�,采用中興先進的ZXC10系統構建移動網����,通過中國電信CN2網絡的承載來實現省內網絡的互連和業務的轉發功能����。河南電信一期的網絡結構如圖1。
中興移動網絡設備包括MSCe����、HLRe、EMS等���,而每套設備均由前臺系統和后臺系統組成。其中前臺系統為中興自己生產的標準機架設備����,通過插入各種功能單板來實現接入業務的處理功能�����,而后臺系統則是以HP服務器、Sun服務器、Cisco交換機�、Cisco路由器等設備組成�����,后臺系統負責完成系統、業務和用戶數據的處理和存儲�,擔當著重要的核心功能�����。以MSCe前后臺的組網為例,其前后臺通信均通過兩臺Cisco 3400交換機相連�,交換機中配置不同VLAN����,區別不同的業務����,其中MSCe_OMP、MSCe_CIB為前臺與后臺通信板卡��,傳送網管和計費信息���;MSCe網管服務器��、MSCe計費服務器等為后臺服務器,負責前臺設備數據管理�、計費數據存儲等�。Cisco交換機與Cisco 2811路由器相連����,通過CN2(IP承載網)與其它地市設備實現互連,網管網組網結構如圖2�����。
目前不管是中興的專業網管系統還是綜合網管系統�����,都只能對中興前臺系統(也就是中興自己的產品)和后臺服務器上自身的軟件進行監控����;而對于后臺組網的服務器����、路由器和以太網交換機等設備,由于是采用第三方廠家的設備����,中興公司并沒有提供對這些設備的硬件���、性能等有效和全面的監控和管理手段����,這就給日常維護埋下了較大的安全隱患。對于一個電信級業務運營商來說,網絡監控手段的缺失是致命的,一旦這些盲區內的設備出現故障���,很可能會因為無法及時發現而導致故障處理不及時��,將會對運營商在全省的口碑�����、市場發展帶來很大影響。因此,掃除網絡盲區�����,完善網絡管理����,建設第三方網絡設備監控和管理系統(以下簡稱第三方網管系統)就迫在眉睫。
2 第三方設備網管建設分析
2.1 網絡特點
由于河南電信移動軟交換網絡運行在中國電信CN2網絡上���,CN2網絡是一個公共的網絡,它不但給CDMA軟交換網絡提供承載業務����,同時也給電信公司其它業務網絡(固網軟交換�����、PDSN、DCN�����、計費等)提供承載業務�����,還面向用戶提供接入服務。CN2網絡通過VPN將各個業務進行隔離�����,以保證其安全性��、專有性���。對于移動軟交換網絡本身而言����,也是通過建立專門的VPN與外網隔離�����,同時在網絡內部通過子網劃分���、設置VLAN的方式���,來實現網絡內部信令�、語音�、網管、計費等網絡的相互隔離����,達到電信級運營網絡的高可靠�、高安全級別的網絡運行����。
由于移動網絡的IP化�����,設備直接出IP口�����,擺脫了網管地域化��、線纜專用化的束縛,傳統通過專用管理口進行網絡管理的方式已經不再使用��,只要網絡通達的地方�����,都可以隨時隨地實現對網絡的管理���。作為電信級運營商�,網管網絡必須與公用互聯網及其他專用網絡隔離��,確保網絡安全性��,因此,要搭建第三方網管系統,就必須了解河南電信移動網網管網絡的架構�。中興網管使用的IP地址包含3類:一類為CN2地址��,這些地址是中興內部組網的路由器、OMMServer網管系統使用的,通過在PE路由器上配置路由���,實現全省CN2網內的互通;一類為DCN地址,這些地址是計費網絡設備使用的,由于計費網絡的高安全性要求��,在CN2網內不能與其它網絡互通����;還有一類為中興內部網絡設備地址,這些地址是HP服務器、以太網交換機等使用的,是為了中興內部組網�、網絡管理��,不需要與外部互通���。
2.2 第三方網管建設需求
要實現第三方網絡設備的監控和管理��,就需要建設一套網管系統�����,通過對河南電信移動網絡的網絡結構的分析和了解,可以得出建設網管需要滿足的一些條件:
(1)設立一套第三方網絡設備信息采集設備�����,通過該設備可以采集到所需的各種信息(告警����、性能、配置等)����;
(2)第三方網絡設備信息采集系統可以訪問到各個需要管理和信息采集的第三方網絡系統����;
(3)針對被監控設備類型的不同����,需要打開各種設備的被管協議,以便第三方網絡設備信息采集設備的正常采集信息�;
(4)提出第三方網管系統需要實現和滿足的各類功能與需求����;
(5)由于移動核心網部分被管第三方設備與外界不能互通�,需要解決信息采集問題。
2.3 第三方網管建設可行性分析
針對以上條件,建設一套符合電信網絡維護要求的第三方設備網管系統,下面為可行性分析��。
(1)網絡設備信息采集系統
由于被采集設備包括HP服務器�、Sun服務器�、以太網交換機、路由器��,這些設備均為網絡設備,支持信息采集功能���,只要選擇合適的采集系統即可,建議采用專用的服務器�,譬如Sun�、HP��、IBM等生產的服務器�����。
(2)采集機與被采設備的網絡互通
前面已經說過,中興網絡設備包含3類地址�����,CN2網管地址省內已經實現互通��,但計費地址(計費服務器)和中興內部網絡設備地址(HP刀片機����、以太網交換機等)不與外部網絡互通����,只能在本地局域網內訪問。根據這種現狀���,可以將采集機放在CN2網管網內,在省中心集中放置一套數據采集機��,用于采集全省移動網第三方設備信息���。
對于如何實現采集機和各個地市計費設備��、中興內部網絡設備互通問題,可以有兩種方法:一種是采集機到各個專有網絡建立物理連接����,實現采集機到專有網絡的直接互通���。由于需要與17個地市的網絡互通�,這種方式投資量很大���,需要在采集機上增加多網卡�,增加所需的路由器、以太網交換機設備�����,還要占用省內傳輸資源等���,不可?����?;另外一種方法就是布置�����,由于中興網管服務器上配置有多網卡���,同時配置有CN2地址�����、計費地址和DCN地址��,這就可以在中興網管機上布置�����,通過網管機跳轉來訪問這些專有網絡設備,采集到所需的信息��。
(3)不同類型設備需打開的被管協議
對于服務器使用Windows操作系統的,可采用WMI服務取得監控信息;對于服務器使用Solaris操作系統的����,可采用SSH/Telnet獲取監控信息���;對于中興網的專有網絡設備��,通過在中興網管服務器OMMServer上安裝DMS(工具),對處于中興網內的網絡設備(采用SNMP協議取值)和服務器(采用WMI或SSH/Telnet取值)進行監控信息的采集與處理,處理后的數據匯總到采集服務器進行集中監控管理���。
(4)網管系統需要實現的功能和需求
第三方網管應能滿足的基本功能和需求包括:
1)實現設備的實時告警信息采集和呈現;
2)實現對設備內存���、CPU、硬盤空間的動態采集�;
3)實現分權分域管理��;
4)實現各類事件的匯總、報告��。
通過以上分析�����,可以得出結論:在河南電信移動網內建設一套第三方網管系統是可行的���。
圖3是第三方網管系統在移動網絡中的部署架構�。
3 網管建設及應用
根據監控設備的數量(全網大約有160臺設備)和網管功能需求���,采購了IBM System X3850 X5服務器作為數據采集和處理設備�,基本配置:RAM 16G��,硬盤600G�����,CPU雙核Intel Xeon E7520。
數據處理服務器放置于移動核心網機房��,通過網線接入移動核心網的CN2網管網中���,實現與移動網管服務器的互通���。
在17個地市的中興網管服務器上布置軟件��,數據處理服務器可以通過中興網管服務器訪問DCN網內計費服務器�����、中興網絡內部局域網的服務器、Cisco以太網交換機�����、HP以太網交換機等���,實現全部網元的監控����。
在實施階段,通過在網絡設備(路由器���、交換機)上開啟SNMP服務���,并設置共同體名及訪問權限����;在運行Windows系統的服務器啟動WMI服務,并設置防火墻允許WMI訪問(默認135�、445端口)和ping操作����。在運行Solaris的服務器上開啟防火墻�,需要允許SSH(端口號:22)、telnet(端口號:23)的訪問���,確保數據采集機能夠獲取到各種類型網絡設備�、服務器的數據���。
在建設和試用階段�����,又對網管各項功能提出改善要求與建議���,建設的第三方網管系統逐漸成為維護中的一個重要維護工具�����,發揮著越來越重要的作用。
參考文獻:
[1] 中國電信股份有限公司河南分公司. 河南電信C網第三方設備網管系統技術規范書[Z].
第11篇
【關鍵詞】企業內網 安全風險 防范措施
1 企業內網安全的重要性
互聯網全面滲透到經濟社會的各個領域��,對企業生產經營活動產生了舉足輕重的作用����。企業網絡常采用路由器�、防火墻、VPN、IDS���、等眾多設備布置在網絡入口,在管控網絡邊界方面的工作比較重視,在內網安全方面的重視度往往做的不如前者。
隨著企業發展的需求�,內部網絡越來越復雜��,系統應用越來越多,一旦內網有不可控設備故障、病毒�����、����、破壞以及斷網等事件的發生,將會對企業的生產經營造成嚴重的后果����。正是如此���,企業內網安全的重要性也尤顯突出�����。
2 企業內網目前存在的安全風險與防范措施
針對典型的企業內網結構現狀,將從網絡設備�、機房設施�、管理制度��、系統應用及桌面終端五個方面分析內網安全風險與防范措施���。
2.1 網絡設備安全風險與防范措施
(1)常用網絡設備包括:服務器�����、防火墻����、路由器、交換機��;存儲����、行為管理、入侵檢測設備等。眾多的網絡設備都需要設置管理員用戶與口令�。而現實中管理員為了方便管理���,存在使用簡單密碼����、多個設備使用相同密碼及長期不修改密碼的現象�����,使服務器及其它網絡設備處在不安全狀態��。
防范措施:制定網絡安全員口令管理制度����,嚴禁使用弱口令��,要求口令長度不小于8位����,且必須由大寫���、小寫字母與數字共同組成����,嚴禁使用重復或連續的字母與數字����;不同的設備設立不同的密碼,對密碼加以時效性���。
(2)網絡設備硬件故障安全風險。防范措施:資金條件寬裕�,盡量配備冗余設備����;若無法配備冗余設備時��,要制定相關緊急預案����,并定期按照預案內容進行演練����,以提高應對突發事件時的工作效率,保障網絡設備快速恢復正常運行�。
2.2 機房設施的安全風險與防范措施
網絡機房是企業網絡的核心部位��,達標機房的建設也是一項龐大的系統工程,其中UPS供電�、空調��、自動防滅火報警、防靜電及應急照明系統是最基本的組成部分���。這里簡要說一下這幾個系統普遍存在的安全風險。
2.2.1 UPS供電系統安全風險
機房市電供電長期穩定�����,UPS系統存在不能單獨放電現象�;電池組長期使用���,部分電池接線柱出現腐蝕不容易被發現或忽視此現象�。
防范措施:定期斷開UPS系統的市電,讓UPS單獨處在放電狀態�����,同時記錄系統放電時間情況����,做到心中有數;定期對電池組接線柱及外觀進行檢查并形成記錄日志���,發現問題及時處理或上報。
2.2.2 空調系統安全風險
機房空調為專用空調����,需7X24小時不間斷工作�����,一旦空調中斷,網絡設備產生的熱量在短時間足以使其工作性能降低或宕機;或有部分小型機房使用普通空調�����,無法做到斷電自啟功能,若有短時斷電現象出現��,網絡設備將因機房溫度過高存在宕機風險�����。
防范措施:定期對機房空調做好保養工作,尤其在夏季來臨前做好室外機散熱器與室內過濾網除塵工作�����,保障空調設備正常工作���;對普通空調加裝斷電自動啟動模塊���,確保來電后空調自動啟動��。
2.2.3 自動防滅火報警系統安全風險
機房自動防滅火報警系統很少啟用����,隨著使用時間增長�����,部分設備達到或接近失效期���,如滅火壓力裝置�����、報警感應裝置等,一旦啟用時發現失效則為時已晚。
防范措施:按設備說明書定期進行檢測�、檢驗與保養����,做好設備檢測記錄�����,發現失效部件及時更換,不留后患。
2.2.4 防靜電系統安全風險
防靜電系統中金屬接線部位隨時間變化會產生氧化現象�����,電阻值會升高���,再加以機房濕度過低�,導致防靜電系統成一擺設。
防范措施:使用搖表定期對地線阻值進行達標測量��,形成記錄文件����。在北方冬季期間加強監測頻次,減少靜電導致設備故障的風險����。
2.2.5 應急照明系統安全風險
機房應急照明系統由于市電線路正常���,也會存在過充電現象�����。
防范措施:定期進行人為放電,測試并記錄照明時長����,以滿足市電中斷時機房照明亮度與照明時長的要求�����。
2.3 管理制度存在安全風險與整改措施
常說 “三分技術���,七分管理”,由于管理制度上的不完善���、人員責任心差而導致的網絡安全事件層出不窮。另一方面執行意識差���,造成“有章不循”,流于形式��、成為擺設�����。
防范措施:企業信息管理部配備上網行為管理設備���,規范員工網上行����;同時制定適合本企業的網絡安全制度�����,對執行力度采取獎罰措施�,使“技術+管理”的方案得到全面落實��。
2.4 系統應用存在安全風險與整改措施
應用服務器中超級管理員及應用系統用戶存在弱口令現象���、操作人員誤操作�、計算機病毒及網絡黑客入侵��、系統應用數據的不安全因素都會對內網安全產生較大影響�����。
防范措施:從系統應用中設置禁止使用弱口令��,加強專業技能培訓���、應用服務器安裝防病毒程序��、關閉無用的服務與端口、關閉不必要的共享����,重要數據采取進行定期備份與異地備份的措施����。
2.5 桌面終端存在安全風險與防范措施
終端操作系統安全配置不健全�、存在系統漏洞,或計算機受病毒感染導致數據泄露以及局域網受arp攻擊;終端用戶對數據安全意識不足�,部分桌面終端“帶毒”����、“帶馬”運行����;不良好的操作習慣,如重要數據文件長時間存放桌面�、C盤或只用U盤保存��;共享重要數據文件或目錄等現象。
防范措施:對終端用戶計算機設備安裝病毒木馬防護軟件��,定期修補系統漏洞�;通過培訓或講解提高終端用戶計算機操作水平與技能,進而提高安全防范意識����,對于系統出現異常情況要及時反饋給信息管理部門���;建立良了好的計算機使用習慣,重要數據要有備份,關閉計算機不必要的共享目錄或對共享目錄按讀寫權限設定復雜密碼�����。
第12篇
1.1企業信息安全管理的隱患
信息安全管理涉及油田生產、數據保存、辦公區域保護等多個層面�����,在信息化時代����,油田企業需要加強信息化網絡安全管理。現階段,油田企業信息安全管理的漏洞包括:①信息安全管理制度不健全,缺乏細化��、具體化的網絡安全措施�����,針對員工不合理使用信息設備�、網絡的懲罰機制不健全�。②部分管理人員和員工信息素養較低,如他們不能全面掌握部分軟件的功能�,不重視企業網絡使用規范�,且存在隨意訪問網站��,隨意下載文件的現象��,增加企業網絡負擔,影響網絡安全�。③信息系統管理員缺乏嚴格的管理理念�。石油企業信息網絡系統都設有管理員崗位���,負責企業內部網絡軟硬件的配備與管理�,但現階段,該職位員工缺乏嚴格的管理理念,不能及時發現和解決信息安全隱患。④為方便員工使用移動終端設備辦公上網,石油企業辦公區域也設置了無線路由器。但是����,員工自身的手機等設備存在很多不安全因素,會影響企業網絡安全性�����。
1.2病毒入侵與軟件漏洞
網絡病毒入侵通常是通過訪問網站�、下載文件和使用等途徑傳播,員工如果訪問不法鏈接或下載來源不明的文件�����,可能會導致病毒入侵��,危害信息安全����。病毒入侵的原因主要有兩方面�����,一方面�,員工的不良行為帶來病毒��;另一方面����,系統自身的漏洞導致病毒入侵�。由此看來,油田企業信息化軟件自身存在的漏洞也具有安全隱患�。其中��,主要包括基礎軟件操作系統,也包括基于操作系統運行的應用軟件����,如Office辦公軟件�����、CAD制圖軟件��、社交軟件��、油田監控信息系統、油田企業內部郵箱����、財務管理軟件��、人事管理軟件等�����。
1.3網絡設備的安全隱患
現階段,油田企業網絡設備也存在不安全因素����,主要表現在兩方面:第一�����,油田企業無論是辦公區還是作業區,環境都較為惡劣�,部分重要企業信息網絡設備放置環境的溫度�����、濕度不合理,嚴重影響硬件的使用壽命和性能����,存在信息數據丟失的危險�;第二�����,企業內部網絡的一些關鍵環節尚未引入備份機制,如服務器硬盤,若單個硬盤損壞缺乏備份機制��,會導致數據永久性丟失���。
2提高油田企業網絡安全策略
2.1加強信息安全管理
基于現階段油田企業信息網絡安全管理現狀���,首先��,油田企業要重新制定管理機制��,對各個安全隱患進行具體化、細化規范�,包括員工對信息應用的日常操作規范�����,禁止訪問不明網站和打開不明鏈接。其次�����,油田企業要強化執行力��,摒除企業管理弊端�����,對違規操作的個人進行嚴厲處罰,使員工意識到信息安全的重要性,提高其防范意識和能力�。再次�����,油田企業要招聘能力強���、素質高的信息系統管理員��,使其能及時發現和整改系統安全隱患�。最后�����,對員工使用智能終端上網的現象�����,則建議辦公區配備無線路由器的寬帶與企業信息網絡要完全隔離,以避免對其產生負面影響��。
2.2加強對軟件安全隱患和病毒的防范
(1)利用好防火墻防范技術。現階段,油田企業的網絡建設雖然引入防火墻設備����,但沒有合理利用�。因此�,油田企業要全面監管和控制外部數據,防止不法攻擊,防止病毒入侵。同時���,定期更新防火墻安全策略。(2)對企業數據進行有效加密與備份。對油田企業來說,大部分數據具有保密性,不可對外泄密。因此����,企業不僅要做好內部權限管理����,還應要求掌握關鍵數據的員工對數據做好加密和備份工作�。在傳輸和保存中利用加密工具進行加密,數據的保存則需要通過物理硬盤等工具進行備份。有條件的企業��,可在不同地區進行備份����,以防止不可抗拒外力作用下的數據丟失�����。(3)合理使用殺毒軟件����。企業要對內部計算機和移動終端安裝殺毒軟件�����,并高效運行�����,以加強對病毒的防范。
2.3提升網絡設備安全
(1)由于油田企業內部信息網絡規模較大�,設備較多且部署復雜����。因此����,要及時解決硬件面臨的問題,定期檢查維修�,提高硬件設備安全性�。定期檢修能準確掌握網絡設備的運行狀況���,并能及時發現潛在隱患����。(2)對處于惡劣環境中的網絡設備����,包括防火墻、服務器����、交換機����、路由器等����,盡量為其提供獨立封閉的空間,以確保溫濕度合理�。
3結語
