本站小編為你精心準備了網絡故障參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
隨著計算機技術和Internet的發展,企業和政府部門開始大規模的建立網絡來推動電子商務和政務的發展,伴隨著網絡的業務和應用的豐富,對計算機網絡的管理與維護也就變得至關重要。人們普遍認為,網絡管理是計算機網絡的關鍵技術之一,尤其在大型計算機網絡中更是如此。網絡管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續正常運行,并在計算機網絡運行出現異常時能及時響應和排除故障。
網絡故障極為普遍,網絡故障的種類也多種多樣,要在網絡出現故障時及時對出現故障的網絡進行維護,以最快的速度恢復網絡的正常運行,掌握一套行之有效的網絡維護理論、方法和技術是關鍵。就網絡中常見故障進行分類,并對各種常見網絡故障提出相應的解決方法。
隨著計算機的廣泛應用和網絡的日趨流行,功能獨立的多個計算機系統互聯起來,互聯形成日漸龐大的網絡系統。計算機網絡系統的穩定運轉已與功能完善的網絡軟件密不可分。計算機網絡系統,就是利用通訊設備和線路將地理位置不同的、信息交換方式及網絡操作系統等共享,包括硬件資源和軟件資源的共享:因此,如何有效地做好本單位計算機網絡的日常維護工作,確保其安全穩定地運行,這是網絡運行維護人員的一項非常重要的工作。
在排除比較復雜網絡的故障時,我們常常要從多種角度來測試和分析故障的現象,準確確定故障點。
第一章網絡安全技術
1.1概述
網絡安全技術是指致力于解決諸如如何有效進行介入控制,以及如何保證數據傳輸的安全性的技術手段,主要包括物理的安全分析技術,網絡結構安全分析技術,系統安全分析技術,管理安全分析技術,以及其他的安全服務和安全機制策略。
21世紀全世界的計算機都將通過Internet聯到一起,信息安全的內涵也就發生了根本的變化.它不僅從一般性的防衛變成了一種非常普通的防范,而且還從一種專門的領域變成了無處不在.當人類步入21世紀這一信息社會,網絡社會的時候,我國將建立起一套完整的網絡安全體系,特別是從政策上和法律上建立起有中國自己特色的網絡安全體系.
一個國家的信息安全體系實際上包括國家的法規和政策,以及技術與市場的發展平臺.我國在構建信息防衛系統時,應著力發展自己獨特的安全產品,我國要想真正解決網絡安全問題,最終的辦法就是通過發展民族的安全產業,帶動我國網絡安全技術的整體提高.
網絡安全產品有以下幾大特點:第一,網絡安全來源于安全策略與技術的多樣化,如果采用一種統一的技術和策略也就不安全了;第二,網絡的安全機制與技術要不斷地變化;第三,隨著網絡在社會各方面的延伸,進入網絡的手段也越來越多,因此,網絡安全技術是一個十分復雜的系統工程.為此建立有中國特色的網絡安全體系,需要國家政策和法規的支持及集團聯合研究開發.安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產業將來也是一個隨著新技術發展而不斷發展的產業.
信息安全是國家發展所面臨的一個重要問題.對于這個問題,我們還沒有從系統的規劃上去考慮它,從技術上,產業上,政策上來發展它.政府不僅應該看見信息安全的發展是我國高科技產業的一部分,而且應該看到,發展安全產業的政策是信息安全保障系統的一個重要組成部分,甚至應該看到它對我國未來電子化,信息化的發展將起到非常重要的作用
1.2防火墻
網絡防火墻技術是一種用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備.它對兩個或多個網絡之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網絡之間的通信是否被允許,并監視網絡運行狀態.
目前的防火墻產品主要有堡壘主機,包過濾路由器,應用層網關(服務器)以及電路層網關,屏蔽主機防火墻,雙宿主機等類型.
雖然防火墻是目前保護網絡免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數據驅動型的攻擊.
自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統,提出了防火墻概念后,防火墻技術得到了飛速的發展.國內外已有數十家公司推出了功能各不相同的防火墻產品系列.
防火墻處于5層網絡安全體系中的最底層,屬于網絡層安全技術范疇.在這一層上,企業對安全系統提出的問題是:所有的IP是否都能訪問到企業的內部網絡系統如果答案是"是",則說明企業內部網還沒有在網絡層采取相應的防范措施.
作為內部網絡與外部公共網絡之間的第一道屏障,防火墻是最先受到人們重視的網絡安全產品之一.雖然從理論上看,防火墻處于網絡安全的最底層,負責網絡間的安全認證與傳輸,但隨著網絡安全技術的整體發展和網絡應用的不斷變化,現代防火墻技術已經逐步走向網絡層之外的其他安全層次,不僅要完成傳統防火墻的過濾任務,同時還能為各種網絡應用提供相應的安全服務.另外還有多種防火墻產品正朝著數據安全與用戶認證,防止病毒與黑客侵入等方向發展.
根據防火墻所采用的技術不同,我們可以將它分為四種基本類型:包過濾型,網絡地址轉換—NAT,型和監測型.
1.3防火墻主要技術
包過濾型
包過濾型產品是防火墻的初級產品,其技術依據是網絡中的分包傳輸技術.網絡上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火墻便會將這些數據拒之門外.系統管理員也可以根據實際情況靈活制訂判斷規則.
包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全.
但包過濾技術的缺陷也是明顯的.包過濾技術是一種完全基于網絡層的安全技術,只能根據數據包的來源,目標和端口等網絡信息進行判斷,無法識別基于應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.
網絡地址轉化—NAT
網絡地址轉換是一種用于把IP地址轉換成臨時的,外部的,注冊的IP地址標準.它允許具有私有IP地址的內部網絡訪問因特網.它還意味著用戶不許要為其網絡中每一臺機器取得注冊的IP地址.
在內部網絡通過安全網卡訪問外部網絡時,將產生一個映射記錄.系統將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接,這樣對外就隱藏了真實的內部網絡地址.在外部網絡通過非安全網卡訪問內部網絡時,它并不知道內部網絡的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據預先定義好的映射規則來判斷這個訪問是否安全.當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中.當不符合規則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網絡地址轉換的過程對于用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可.
型
型防火墻也可以被稱為服務器,它的安全性要高于包過濾型產品,并已經開始向應用層發展.服務器位于客戶機與服務器之間,完全阻擋了二者間的數據交流.從客戶機來看,服務器相當于一臺真正的服務器;而從服務器來看,服務器又是一臺真正的客戶機.當客戶機需要使用服務器上的數據時,首先將數據請求發給服務器,服務器再根據這一請求向服務器索取數據,然后再由服務器將數據傳輸給客戶機.由于外部系統與內部服務器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網絡系統.
型防火墻的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基于應用層的侵入和病毒都十分有效.其缺點是對系統的整體性能有較大的影響,而且服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性.
監測型
監測型防火墻是新一代的產品,這一技術實際已經超越了最初的防火墻定義.監測型防火墻能夠對各層的數據進行主動的,實時的監測,在對這些數據加以分析的基礎上,監測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產品一般還帶有分布式探測器,這些探測器安置在各種應用服務器和其他網絡的節點之中,不僅能夠檢測來自網絡外部的攻擊,同時對來自內部的惡意破壞也有極強的防范作用.據權威機構統計,在針對網絡系統的攻擊中,有相當比例的攻擊來自網絡內部.因此,監測型防火墻不僅超越了傳統防火墻的定義,而且在安全性上也超越了前兩代產品
雖然監測型防火墻安全性上已超越了包過濾型和服務器型防火墻,但由于監測型防火墻技術的實現成本較高,也不易管理,所以目前在實用中的防火墻產品仍然以第二代型產品為主,但在某些方面也已經開始使用監測型防火墻.基于對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術.這樣既能夠保證網絡系統的安全性需求,同時也能有效地控制安全系統的總擁有成本.
實際上,作為當前防火墻產品的主流趨勢,大多數服務器(也稱應用網關)也集成了包過濾技術,這兩種技術的混合應用顯然比單獨使用具有更大的優勢.由于這種產品是基于應用的,應用網關能提供對協議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過應用,應用網關能夠有效地避免內部網絡的信息外泄.正是由于應用網關的這些特點,使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上
1.4防火墻體系結構
篩選路由式體系結構
SHAPE\*MERGEFORMAT
屏蔽子網式結構
雙網主機式體系結構
SHAPE\*MERGEFORMAT
屏蔽主機式體系結構
1.5入侵檢測系統
1概念
當前,平均每20秒就發生一次入侵計算機網絡的事件,超過1/3的互聯網防火墻被攻破!面對接2連3的安全問題,人們不禁要問:到底是安全問題本身太復雜,以至于不可能被徹底解決,還的仍然可以有更大的改善,只不過我們所采取的安全措施中缺少了某些重要的環節。有關數據表明,后一種解釋更說明問題。有權威機構做過入侵行為統計,發現他、有80%來自于網絡內部,也就是說,“堡壘”是從內部被攻破的。另外,在相當一部分黑客攻擊當中,黑客都能輕易地繞過防火墻而攻擊網站服務器。這就使人們認識到:僅靠防火墻仍然遠遠不能將“不速之客”拒之門外,還必須借助于一個“補救”環節------入侵檢測系統。
入侵檢測系統(Intrusiondetectionsystem,簡稱IDS)是指監視(或者在可能的情況下阻止)入侵或者試圖控制你的系統或者網絡資源的行為的系統。作為分層安全中日益被越普遍采用的成份,入侵檢測系統能有效地提升黑客進入網絡系統的門檻。入侵檢測系統能夠通過向管理員發出入侵或者入侵企圖來加強當前存取控制系統,例如防火墻;識別防火墻通常用不能識別的攻擊,如來自企業內部的攻擊;在發現入侵企圖之后提供必要的信息。
入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干個關鍵點收集信息,并分析這些信息,檢測網絡中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監控網絡和計算機系統是否出現被入侵或濫用的征兆。
作為監控和識別攻擊的標準解決方案,IDS系統已經成為安防體系的重要組成部分。
IDS系統以后臺進程的形式運行。發現可疑情況,立即通知有關人員。
防火墻為網絡提供了第一道防線,入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下對網絡進行檢測,從而提供對內部攻擊、外部攻擊和誤解操作的實時保護。由于入侵檢測系統是防火墻后的又一道防線,從二可以極大地減少網絡免受各種攻擊的損害。
假如說防火墻是一幢大樓的門鎖,那入侵檢測系統就是這幢大樓里的監視系統。門鎖可以防止小偷進入大樓,但不能保證小偷100%地被拒之門外,更不能防止大樓內部個別人員的不良企圖。而一旦小偷爬入大樓,或內部人員有越界行為,門鎖就沒有任何作用了,這時,只有實時監視系統才能發現情況并發出警告。入侵檢測系統不僅僅針對外來的入侵者,同時也針對內部的入侵行為。
2侵檢測的主要技術————入侵分析技術
入侵分析技術主要有三大類:簽名、統計和數據完整性。
簽名分析法
名分析法主要用來檢測有無對系統的已知弱點進行的攻擊行為。這類攻擊可以通過監視有無針對特定對象的某種行為而被檢測到。
主要方法:從攻擊模式中歸納出其簽名,編寫到IDS系統的代碼里,再由IDS系統對檢測過程中收集到的信息進行簽名分析。
簽名分析實際上是一個模板匹配操作,匹配的一方是系統設置情況和用戶操作動作,一方是已知攻擊模式的簽名數據庫。
統計分析法
統計分析法是以系統正常使用情況下觀察到的動作為基礎,如果某個操作偏離了正常的軌道,此操作就值得懷疑。
主要方法:首先根據被檢測系統的正常行為定義一個規律性的東西,在此稱為“寫照”,然后檢測有沒有明顯偏離“寫照”的行為。
統計分析法的理論經常是統計學,此方法中,“寫照”的確定至關重要。
數據完整分析法
數據完整分析法主要用來查證文件或對象是否被修改過,它的理論經常是密碼學。
3侵檢測系統的分類:
現有的IDS的分類,大都基于信息源和分析方法。為了體現對IDS從布局、采集、分析、響應等各個層次及系統性研究方面的問題,在這里采用五類標準:控制策略、同步技術、信息源、分析方法、響應方式。
按照控制策略分類
控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個中央節點控制系統中所有的監視、檢測和報告。在部分分布式IDS中,監控和探測是由本地的一個控制點控制,層次似的將報告發向一個或多個中心站。在全分布式IDS中,監控和探測是使用一種叫“”的方法,進行分析并做出響應決策。
按照同步技術分類
同步技術是指被監控的事件以及對這些事件的分析在同一時間進行。按照同步技中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內產生的信息,并在入侵發生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續型IDS中,事件一發生,信息源就傳給分析引擎,并且立刻得到處理和反映。實時IDS是基于網絡IDS首選的方案。
按照信息源分類
按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊。基于主機的IDS是在關鍵的網段或交換部位通過捕獲并分析網絡數據包來檢測攻擊。分布式IDS,能夠同時分析來自主機系統日志和網絡數據流,系統由多個部件組成,采用分布式結構。
按照分析方法分類
按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統缺陷知識的數據庫,當收集到的信息與庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法,因此這樣的系統虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的,即任何一種入侵行為都能由于其偏離正常或者所期望的系統和用戶活動規律而被檢測出來。所以它需要一個記錄合法活動的數據庫,由于庫的有限性使得虛警率比較高。
按照響應方式分類
按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時,主動IDS會采用以下三種響應:收集輔助信息;改變環境以堵住導致入侵發生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法,因為行為有點過激)。被動響應IDS則是將信息提供給系統用戶,依靠管理員在這一信息的基礎上采取進一步的行動。
4IDS的評價標準
目前的入侵檢測技術發展迅速,應用的技術也很廣泛,如何來評價IDS的優缺點
就顯得非常重要。評價IDS的優劣主要有這樣幾個方面[5]:(1)準確性。準確性是指IDS不會標記環境中的一個合法行為為異常或入侵。(2)性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說,必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(faulttolerance)。當被保護系統遭到攻擊和毀壞時,能迅速恢復系統原有的數據和功能。(5)自身抵抗攻擊能力。這一點很重要,尤其是“拒絕服務”攻擊。因為多數對目標系統的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS,再實施對系統的攻擊。(6)及時性(Timeliness)。一個IDS必須盡快地執行和傳送它的分析結果,以便在系統造成嚴重危害之前能及時做出反應,阻止攻擊者破壞審計數據或IDS本身。
除了上述幾個主要方面,還應該考慮以下幾個方面:(1)IDS運行時,額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度;(3)適應性和擴展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。
5IDS的發展趨
隨著入侵檢測技術的發展,成型的產品已陸續應用到實踐中。入侵檢測系統的典型代表是ISS(國際互聯網安全系統公司)公司的RealSecure。目前較為著名的商用入侵檢測產品還有:NAI公司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內的該類產品較少,但發展很快,已有總參北方所、中科網威、啟明星辰等公司推出產品。
人們在完善原有技術的基礎上,又在研究新的檢測方法,如數據融合技術,主動的自主方法,智能技術以及免疫學原理的應用等。其主要的發展方向可概括為:
(1)大規模分布式入侵檢測。傳統的入侵檢測技術一般只局限于單一的主機或網絡框架,顯然不能適應大規模網絡的監測,不同的入侵檢測系統之間也不能協同工作。因此,必須發展大規模的分布式入侵檢測技術。
(2)寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現,各種寬帶接入手段層出不窮,如何實現高速網絡下的實時入侵檢測成為一個現實的問題。
(3)入侵檢測的數據融合技術。目前的IDS還存在著很多缺陷。首先,目前的技術還不能對付訓練有素的黑客的復雜的攻擊。其次,系統的虛警率太高。最后,系統對大量的數據處理,非但無助于解決問題,還降低了處理能力。數據融合技術是解決這一系列問題的好方法。
(4)與網絡安全技術相結合。結合防火墻,病毒防護以及電子商務技術,提供完整的網絡安全保障。
第二章網絡管理
2.1概述
隨著計算機技術和Internet的發展,企業和政府部門開始大規模的建立網絡來推動電子商務和政務的發展,伴隨著網絡的業務和應用的豐富,對計算機網絡的管理與維護也就變得至關重要。人們普遍認為,網絡管理是計算機網絡的關鍵技術之一,尤其在大型計算機網絡中更是如此。網絡管理就是指監督、組織和控制網絡通信服務以及信息處理所必需的各種活動的總稱。其目標是確保計算機網絡的持續正常運行,并在計算機網絡運行出現異常時能及時響應和排除故障。
關于網絡管理的定義目前很多,但都不夠權威。一般來說,網絡管理就是通過某種方式對網絡進行管理,使網絡能正常高效地運行。其目的很明確,就是使網絡中的資源得到更加有效的利用。它應維護網絡的正常運行,當網絡出現故障時能及時報告和處理,并協調、保持網絡系統的高效運行等。國際標準化組織(ISO)在ISO/IEC7498-4中定義并描述了開放系統互連(OSI)管理的術語和概念,提出了一個OSI管理的結構并描述了OSI管理應有的行為。它認為,開放系統互連管理是指這樣一些功能,它們控制、協調、監視OSI環境下的一些資源,這些資源保證OSI環境下的通信。通常對一個網絡管理系統需要定義以下內容:
○系統的功能。即一個網絡管理系統應具有哪些功能。
○網絡資源的表示。網絡管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。而一個網絡管理系統必須在系統中將它們表示出來,才能對其進行管理。
網絡管理信息的表示。網絡管理系統對網絡的管理主要靠系統中網絡管理信息的傳遞來實現。網絡管理信息應如何表示、怎樣傳遞、傳送的協議是什么?這都是一個網絡管理系統必須考慮的問題。
○系統的結構。即網絡管理系統的結構是怎樣的。
網絡管理這一學科領域自20世紀80年代起逐漸受到重視,許多國際標準化組織、論壇和科研機構都先后開發了各類標準、協議來指導網絡管理與設計,但各種網絡系統在結構上存在著或大或小的差異,至今還沒有一個大家都能接受的標準。當前,網絡管理技術主要有以下三種:誕生于Internte家族的SNMP是專門用于對Internet進行管理的,雖然它有簡單適用等特點,已成為當前網絡界的實際標準,但由于Internet本身發展的不規范性,使SNMP有先天性的不足,難以用于復雜的網絡管理,只適用于TCP/IP網絡,在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網絡技術及系統的研究與出現,電信網、有線網、寬帶網等的融合,使原來的SNMP已不能滿足新的網絡技術的要求;CMIP可對一個完整的網絡管理方案提供全面支持,在技術和標準上比較成熟.最大的優勢在于,協議中的變量并不僅僅是與終端相關的一些信息,而且可以被用于完成某些任務,但正由于它是針對SNMP的不足而設計的,因此過于復雜,實施費用過高,還不能被廣泛接受;分布對象網絡管理技術是將CORBA技術應用于網絡管理而產生的,主要采用了分布對象技術將所有的管理應用和被管元素都看作分布對象,這些分布對象之間的交互就構成了網絡管理.此方法最大的特點是屏蔽了編程語言、網絡協議和操作系統的差異,提供了多種透明性,因此適應面廣,開發容易,應用前景廣闊.SNMP和CMIP這兩種協議由于各自有其擁護者,因而在很長一段時期內不會出現相互替代的情況,而如果由完全基于CORBA的系統來取代,所需要的時間、資金以及人力資源等都過于龐大,也是不能接受的.所以,CORBA,SNMP,CMIP相結合成為基于CORBA的網絡管理系統是當前研究的主要方向。
網絡管理協議
網絡管理協議一般為應用層級協議,它定義了網絡管理信息的類別及其相應的確切格式,并且提供了網絡管理站和網絡管理節點間進行通訊的標準或規則。
網絡管理系統通常由管理者(Manager)和(Agent)組成,管理者從各那兒采集管理信息,進行加工處理,從而提供相應的網絡管理功能,達到對管理之目的。即管理者與之間孺要利用網絡實現管理信息交換,以完成各種管理功能,交換管理信息必須遵循統一的通信規約,我們稱這個通信規約為網絡管理協議。
目前有兩大網管協議,一個是由IETF提出來的簡單網絡管理協議SNMP,它是基于TCP/IP和Internet的。因為TCP/IP協議是當今網絡互連的工業標準,得到了眾多廠商的支持,因此SNMP是一個既成事實的網絡管理標準協議。SNMP的特點主要是采用輪詢監控,管理者按一定時間間隔向者請求管理信息,根據管理信息判斷是否有異常事件發生。輪詢監控的主要優點是對的要求不高;缺點是在廣域網的情形下,輪詢不僅帶來較大的通信開銷,而且輪詢所獲得的結果無法反映最新的狀態。
另一個是ISO定義的公共管理信息協議CMIP。CMIP是以OSI的七層協議棧作為基礎,它可以對開放系統互連環境下的所有網絡資源進行監測和控制,被認為是未來網絡管理的標準協議。CMIP的特點是采用委托監控,當對網絡進行監控時,管理者只需向發出一個監控請求,會自動監視指定的管理對象,并且只是在異常事件(如設備、線路故障)發生時才向管理者發出告警,而且給出一段較完整的故障報告,包括故障現象、故障原因。委托監控的主要優點是網絡管理通信的開銷小、反應及時,缺點是對的軟硬件資源要求高,要求被管站上開發許多相應的程序,因此短期內尚不能得到廣泛的支持。
網絡管理系統的組成
網絡管理的需求決定網管系統的組成和規模,任何網管系統無論其規模大小如何,基本上都是由支持網管協議的網管軟件平臺、網管支撐軟件、網管工作平臺和支撐網管協議的網絡設備組成。
網管軟件平臺提供網絡系統的配置、故障、性能以及網絡用戶分布方面的基本管理。目前決大多數網管軟件平臺都是在UNIX和DOS/WINDOWS平臺上實現的。目前公認的三大網管軟件平臺是:HPView、IBMNetview和SUNNetmanager。雖然它們的產品形態有不同的操作系統的版本,但都遵循SNMP協議和提供類似的網管功能。
不過,盡管上述網管軟件平臺具有類似的網管功能,但是它們在網管支撐軟件的支持、系統的可靠性、用戶界面、操作功能、管理方式和應用程序接口,以及數據庫的支持等方面都存在差別。可能在其它操作系統之上實現的Netview、Openview、Netmanager網管軟件平臺版本僅是標準Netview、Openview、Netmanager的子集。例如,在MSWindows操作系統上實現的Netview網管軟件平臺版本NetviewforWindows便僅僅只是Netview的子集。
網管支撐軟件是運行于網管軟件平臺之上,支持面向特定網絡功能、網絡設備和操作系統管理的支撐軟件系統。
網絡設備生產廠商往往為其生產的網絡設備開發專門的網絡管理軟件。這類軟件建立在網絡管理平臺之上,針對特定的網絡管理設備,通過應用程序接口與平臺交互,并利用平臺提供的數據庫和資源,實現對網絡設備的管理,比如CiscoWorks就是這種類型的網絡管理軟件,它可建立在HPOpenView和IBMNetview等管理平臺之上,管理廣域互聯網絡中的Cisco路由器及其它設備。通過它,可以實現對Cisco的各種網絡互聯設備(如路由器、交換機等)進行復雜網絡管理。
網絡管理的體系結構
網絡管理系統的體系結構(簡稱網絡拓撲)是決定網絡管理性能的重要因素之一。通常可以分為集中式和非集中式兩類體系結構。
目前,集中式網管體系結構通常采用以平臺為中心的工作模式,該工作模式把單一的管理者分成兩部分:管理平臺和管理應用。管理平臺主要關心收集的信息并進行簡單的計算,而管理應用則利用管理平臺提供的信息進行決策和執行更高級的功能。
非集中方式的網絡管理體系結構包括層次方式和分布式。層次方式采用管理者的管理者MOM(Managerofmanager)的概念,以域為單位,每個域有一個管理者,它們之間的通訊通過上層的MOM,而不直接通訊。層次方式相對來說具有一定的伸縮性:通過增加一級MOM,層次可進一步加深。分布式是端對端(peertopeer)的體系結構,整個系統有多個管理方,幾個對等的管理者同時運行于網絡中,每個管理者負責管理系統中一個特定部分“域”,管理者之間可以相互通訊或通過高級管理者進行協調。
對于選擇集中式還是非集中式,這要根據實際場合的需要來決定。而介于兩者之間的部分分布式網管體系結構,則是近期發展起來的兼顧兩者優點的一種新型網管體系結構
2.2常見的幾種網絡管理技術
基于WEB的網絡管理模式
隨著Internet技術的廣泛應用,Intranet也正在悄然取代原有的企業內部局域網,由于異種平臺的存在及網絡管理方法和模型的多樣性,使得網絡管理軟件開發和維護的費用很高,培訓管理人員的時間很長,因此人們迫切需要尋求高效、方便的網絡管理模式來適應網絡高速發展的新形勢。隨著Intranet和WEB及其開發工具的迅速發展,基于WEB的網絡管理技術也因此應運而生。基于WEB的網管解決方案主要有以下幾方面的優點:(1)地理上和系統間的可移動性:系統管理員可以在Intranet上的任何站點或Internet的遠程站點上利用WEB瀏覽器透明存取網絡管理信息;(2)統一的WEB瀏覽器界面方便了用戶的使用和學習,從而可節省培訓費用和管理開銷;(3)管理應用程序間的平滑鏈接:由于管理應用程序獨立于平臺,可以通過標準的HTTP協議將多個基于WEB的管理應用程序集成在一起,實現管理應用程序間的透明移動和訪問;(4)利用JAVA技術能夠迅速對軟件進行升級。為了規范和促進基于WEB的網管系統開發,目前已相繼公布了兩個主要推薦標準:WEBM和JMAPI。兩個推薦標準各有其特色,并基于不同的原理提出。
WEBM方案仍然支持現存的管理標準和協議,它通過WEB技術對不同管理平臺所提供的分布式管理服務進行集成,并且不會影響現有的網絡基礎結構。JMAPI是一種輕型的管理基礎結構,采用JMAPI來開發集成管理工具存在以下優點:平臺無關、高度集成化、消除程序版本分發問題、安全性和協議無關性。
2.分布對象網絡管理技術
目前廣泛采用的網絡管理系統模式是一種基于Client/Server技術的集中式平臺模式。由于組織結構簡單,自應用以來,已經得到廣泛推廣,但同時也存在著許多缺陷:一個或幾個站點負責收集分析所有網絡節點信息,并進行相應管理,造成中心網絡管理站點負載過重;所有信息送往中心站點處理,造成此處通信瓶頸;每個站點上的程序是預先定義的,具有固定功能,不利于擴展。隨著網絡技術和網絡規模尤其是因特網的發展,集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限,已不能適應發展的需要.
CORBA技術
CORBA技術是對象管理組織OMG推出的工業標準,主要思想是將分布計算模式和面向對象思想結合在一起,構建分布式應用。CORBA的主要目標是解決面向對象的異構應用之間的互操作問題,并提供分布式計算所需要的一些其它服務。OMG是CORBA平臺的核心,
它用于屏蔽與底層平臺有關的細節,使開發者可以集中精力去解決與應用相關的問題,而不必自己去創建分布式計算基礎平臺。CORBA將建立在ORB之上的所有分布式應用看作分布計算對象,每個計算對象向外提供接口,任何別的對象都可以通過這個接口調用該對象提供的服務。CORBA同時提供一些公共服務設施,例如名字服務、事務服務等,借助于這些服務,CORBA可以提供位置透明性、移動透明性等分布透明性。
CORBA的一般結構
基于CORBA的網絡管理系統通常按照Client/Server的結構進行構造。其中,服務方是指針對網絡元素和數據庫組成的被管對象進行的一些基本網絡服務,例如配置管理、性能管理等.客戶方則是面向用戶的一些界面,或者提供給用戶進一步開發的管理接口等。其中,從網絡元素中獲取的網絡管理信息通常需要經過CORBA/SNMP網關或CORBA/CMIP網關進行轉換,這一部分在有的網絡管理系統中被抽象成CORBA的概念.從以上分析可以看出,運用CORBA技術完全能夠實現標準的網絡管理系統。不僅如此,由于CORBA是一種分布對象技術,基于CORBA的網絡管理系統能夠克服傳統網絡管理技術的不足,在網絡管理的分布性、可靠性和易開發性方面達到一個新的高度。
2.3統一不同的網絡管理系統面臨的問題
統一的不同層面
網絡管理的統一存在三個層次。
站點級的統計,這是最低級的統一,不同的網絡管理系統在同一服務器上運行,相互獨立,是不同的NMS。
GUI級的統一,指不同的網絡管理系統操作界面風格統一,運用的術語相同,管理員面對的是一種操作語言,這是一種表面上的統一,具有友好的一次性學習的界面。
管理應用級的統一,這是最高級別的統一。在這個級別上,不但實現了GUI的統一,各種網絡管理系統的管理應用程序按照統一標準設計,應用程序間可進行信息共享和關聯操作。在這一層面上的統一實現了對異構網的綜合分析與管理,進行關聯操作,網管系統可具有推理判斷能力。
統一的內容
網絡管理系統統一可從三個方面依次去實現,即操作界面的統
一、網管協議的統網管功能的統一。
界面的統一
網絡管理系統是管理的工具,但歸根到底是要人去操作管理,操作界面的優劣會對管理員產生很大影響。不同網管系統具有不同的操作界面,要求管理員分別學習,或增加管理員人數,形成人力浪費。現在沒有統一的網管用戶界面的統一標準。現有的網管系統幾乎都實現了圖形界面,但既有基于UNIX操作系統的又有基于WINDOWS操作系統,且界面的格式千差萬別,給管理員的工作增加困難。
網管協議的統一
管理協議是NMS核心和管理之間進行信息交換遵循的標準,是網管系統統一的關鍵所在。目前流行的兩種網管協議為SNMP(SimpleNetworkManagementProtocal)和CMIS/CMIP(CommonMangementInformationProtocal).SNMP是由互聯網活動委員會IAB提出的基于TCP/IP網管協議,CMIP是由國際標準化組織ISO開發的基于網絡互聯的網管協議。網管協議的統一就是指這兩種協議的統一
網管功能的統一
在ISO標準中定義了配置管理、故障管理、性能管理、安全管理、計費管理等領域。現有的網管系統在網管規范尚未成熟就進行了開發,大都是實現了部分模塊的部分功能。這些網管系統功能單一,相互獨立,不能實現信息的共享。不能從宏觀上實現管理,不利于網絡的綜合管理。
統一的策略
將多個網絡管理系統統一在一起的方法有三種,一種是格式轉換法,即各個子網管理系統通過程序進行格式的轉換,以便相互識別和共享資源,是一種分散式管理方式。另一種使用分層網管平臺,即建立更高級的管理系統,高級網管系統和低級網管系統間進行通信,分層管理,是一種分布式管理方式。第三種是標準化方法,是遵循標準的規范和協議,建立的綜合網絡管理系統。
使用分層的網管平臺是當前較為流行的方法,如現在廣泛研究和討論的基于CORBA的TMN(TelecomunicationManagementNetwork)就是將TMN中的管理者通過ORB(ObjectRequestBroker)連接起來,實現不同管理系統的統一。
格式轉換法是目前使用較多的方法,如運營商要求網管系統對外提供統一的數據收集、告警信息。
協議標準化方法是統一網絡管理系統的趨勢和方向,電信管理網TMN就是在電信領域內的一種標準協議,使得不同的廠商、不同的軟硬件網管產品的統一管理成為可能。標準化實現統一的網管功能,包括網管協議的標準化、管理信息集模型的標準化和高層管理應用程序功能的統一規劃。
格式轉換和應用網管平臺的策略是基于現有網管系統的基礎上統一網管系統,而標準法策略則不考慮現有網管系統而重新設計一套新的標準,或是對現有網絡管理系統進行較大改進,考慮到我們當前的網絡管理發展的現狀,還是以格式轉換和應用網管平臺方式統一網絡系統。
網絡管理系統實現統一的方法
當前網絡管理的統一主要涉及兩個方面,一是網管協議的統一。另一種是分布系統的統一,即在CORBA環境下的統一。它是基于面向對象的網管平臺和格式轉換的策略。
2.4網絡管理協議SNMP和CMIP的統一
SNMP和CMIP在它們的范圍、復雜性、以及解決網絡管理問題的方法方面有很大的不同。SNMP被設計的很簡單,使它非常易于在TCP/IP系統中普及。目前這已經成為事實。可是這一特點也不太適合大型的、復雜的、多企業的網絡。相對應的,CMIP被設計的比較通用和靈活。但這也同時提高了復雜性。SNMP和CMIP的統一是指分別支持這兩種協議的網絡管理系統信息互通,互相兼容。
SNMP和CMIP統一有兩種思想,一種是兩種協議共存,一種是兩種協議的互作用。
協議共存可有三種方法實現,一是建立雙協議棧,二是建立混合協議棧,三是通用應用程序接口(APIs)。雙協議棧的方法要求被管設備同時支持兩種體系結構,但這要求被管設備要有很高的處理能力和存儲能力,開銷大,不實用。混合協議棧就是建立一種底層協議棧同時支持這兩種協議,這樣運行在該協議棧上的管理系統可同時管理支持SNMP的設備和支持CMIP的設備,為了使CMIP能在內存有限的設備上運行,IBM和3COM聯合為IEEE802.1b開發了一個特殊的邏輯鏈路控制上的CMIP(CMOL),因為它取消了很多高層協議開銷,減少了對設備處理能力和內存的需求,并且不需要考慮底層的協議,但同時由于缺少網絡層,失去了跨越互聯網絡的能力。多廠商管理平臺定義了一套開放的應用程序接口(APIs),允許開發商開發管理軟件而不用關心管理協議的一些細節描述、數據定義、和特殊的用戶接口。如圖2所示為HPOpenView利用XMP(X/OpenManagementProtocol)API來實現多協議管理平臺的結構。其中Postmaster用來管理在網絡對象間的通信,如管理者和之間的請求和相應,而ORS(ObjectRegistrationServices)為每個產生一個目錄,紀錄它們的位置和采用的協議。