【文章內(nèi)容簡(jiǎn)介】 通信設(shè)備等。 ? 網(wǎng)絡(luò)中還有許多網(wǎng)絡(luò)軟件提供各種服務(wù)。 8 ? 隨著用戶對(duì)網(wǎng)絡(luò)性能要求的提高，建立一個(gè)高效的管 理系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理，是保證網(wǎng)絡(luò)正常運(yùn)行的必要措施。 網(wǎng)絡(luò)管理方案的標(biāo)準(zhǔn) 為了能支持各種網(wǎng)絡(luò)的互連及其管理，網(wǎng)絡(luò)管理必須要遵從國(guó)際性的標(biāo)準(zhǔn)與協(xié)議。國(guó)際上有一些組織機(jī)構(gòu)致力于研究、制定、開(kāi)發(fā)網(wǎng)絡(luò)管理的服務(wù)標(biāo)準(zhǔn)、協(xié)議和體系結(jié)構(gòu)，其中最重要的有： (1) 國(guó)際標(biāo)準(zhǔn)化組織 (ISO) (2) 國(guó)際電信聯(lián)盟電信標(biāo)準(zhǔn)化部 (ITUT) (3) Inter 工程任務(wù)組 (IETF) 這三個(gè)組織制定了一系列的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)，為網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)化進(jìn)程做了大量工作。 現(xiàn)以 ISO 網(wǎng)絡(luò)管理模式 為例進(jìn)行詳細(xì)介 紹： 目前國(guó)際化標(biāo)準(zhǔn)化組織 ISO 制定了大量的有關(guān)網(wǎng)絡(luò)管理的標(biāo)準(zhǔn)，其內(nèi)容統(tǒng)稱(chēng)為 OSI 系統(tǒng)管理。最主要的標(biāo)準(zhǔn)有： ? OSI 管理框架（ IS 74894） ? 公共管理信息服務(wù)（ IS 9595） ? 公共管理信息協(xié)議（ CMIP。IS 9596） ? 管理信息結(jié)構(gòu)（ DIS 10165） ? 系統(tǒng)管理概述（ DIS 10040） ? 系統(tǒng)管理功能域（ DIS 10164） 在實(shí)際網(wǎng)絡(luò)管理過(guò)程中，網(wǎng)絡(luò)管理應(yīng)具有的功能非常廣泛，包括了很多方面。在 OSI 網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中定義了網(wǎng)絡(luò)管理的 5 大功能：配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理，這 5 大 功能是網(wǎng)絡(luò)管理最基本的功能。事實(shí)上，網(wǎng)絡(luò)管理還應(yīng)該包括其他一些功能，比如網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作人員的管理等。不過(guò)除了基本的網(wǎng)絡(luò)管理 5 大功能，其他的網(wǎng)絡(luò)管理功能實(shí)現(xiàn)都與具體的網(wǎng)絡(luò)實(shí)際條件有關(guān)，因此我們只需要關(guān)注 OSI 網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中的 5 大功能 。 下面我們將針對(duì) 5 大功能中每個(gè)部分的功能進(jìn)行具體的描述。 (1) 配置管理 9 a. 配置信息的自動(dòng)獲?。涸谝粋€(gè)大型網(wǎng)絡(luò)中，需要管理的設(shè)備是比較多的，如果每個(gè)設(shè)備的配置信息都完全依靠管理人員的手工輸入，工作量是相當(dāng)大的，而且還存在出錯(cuò)的可能性。對(duì) 于不熟悉網(wǎng)絡(luò)結(jié)構(gòu)的人員來(lái)說(shuō)，這項(xiàng)工作甚至無(wú)法完成 ?因此，一個(gè)先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動(dòng)獲取功能。即使在管理人員不是很熟悉網(wǎng)絡(luò)結(jié)構(gòu)和配置狀況的情況下，也能通過(guò)有關(guān)的技術(shù)手段來(lái)完成對(duì)網(wǎng)絡(luò)的配置和管理。在網(wǎng)絡(luò)設(shè)備的配置信息中，根據(jù)獲取手段大致可以分為三類(lèi)：一類(lèi)是網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)的 MIB 中定義的配置信息 (包括 SNMP 和CMIP 協(xié)議 )；二類(lèi)是不在網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中有定義，但是對(duì)設(shè)備運(yùn)行比較重要的配置信息；三類(lèi)就是用于管理的一些輔助信息。 b. 自動(dòng)配置、自動(dòng)備份及相關(guān)技術(shù)：配置信息自動(dòng)獲取功能相 當(dāng)于從網(wǎng)絡(luò)設(shè)備中 “讀 ”信息，相應(yīng)的，在網(wǎng)絡(luò)管理應(yīng)用中還有大量 “寫(xiě) ”信息的需求。同樣根據(jù)設(shè)置手段對(duì)網(wǎng)絡(luò)配置信息進(jìn)行分類(lèi)：一類(lèi)是可以通過(guò)網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中定義的方法 (如 SNMP 中的 set 服務(wù) )進(jìn)行設(shè)置的配置信息；二類(lèi)是可以通過(guò)自動(dòng)登錄到設(shè)備進(jìn)行配置的信息；三類(lèi)就是需要修改的管理性配置信息。 c. 配置一致性檢查：在一個(gè)大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)設(shè)備眾多，而且由于管理的原因，這些設(shè)備很可能不是由同一個(gè)管理人員進(jìn)行配置的。實(shí)際上 ?即使是同一個(gè)管理員對(duì)設(shè)備進(jìn)行的配置，也會(huì)由于各種原因?qū)е屡渲靡恢滦詥?wèn)題。因此，對(duì)整個(gè) 網(wǎng)絡(luò)的配置情況進(jìn)行一致性檢查是必需的。在網(wǎng)絡(luò)的配置中，對(duì)網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由信息配置，因此，要進(jìn)行、致性檢查的也主要是這兩類(lèi)信息。 d. 用戶操作記錄功能：配置系統(tǒng)的安全性是整個(gè)網(wǎng)絡(luò)管理系統(tǒng)安全的核心，因此，必須對(duì)用戶進(jìn)行的每一配置操作進(jìn)行記錄。在配置管理中，需要對(duì)用戶操作進(jìn)行記錄，并保存下來(lái)。管理人員可以隨時(shí)查看特定用戶在特定時(shí)問(wèn)內(nèi)進(jìn)行的特定配置操作。 (2) 性能管理 a. 性能監(jiān)控：由用戶定義被管對(duì)象及其屬性。被管對(duì)象類(lèi)型包括線路和路由器；被管對(duì)象屬性 包括流量、延遲、丟包率、 CPU 利用率、溫度、內(nèi)存余量。對(duì)于每個(gè)被管對(duì)象，定時(shí)采集性能數(shù)據(jù)，自動(dòng)生成性能報(bào)告。 b. 閾值控制：可對(duì)每一個(gè)被管對(duì)象的每一條屬性設(shè)置閾值，對(duì)于特定被管對(duì)象的特定屬性，可以針對(duì)不同的時(shí)間段和性能指標(biāo)進(jìn)行閾值設(shè)置?？赏ㄟ^(guò)設(shè)置閾值檢查開(kāi)關(guān)控制閡值檢查和告警，提供相應(yīng)的閾值管理和溢出告警機(jī)制。 c. 性能分橋：對(duì)歷史數(shù)據(jù)進(jìn)行分析，統(tǒng)計(jì)和整理，計(jì)算性能指標(biāo)，對(duì)性能狀況作出判斷，為網(wǎng)絡(luò)規(guī)劃提供參考。 d. 可視化的性能報(bào)告：對(duì)數(shù)據(jù)進(jìn)行掃描和處理，生成性能趨勢(shì)曲線，以 直觀的圖形反映性能分析的結(jié)果。 10 e. 實(shí)時(shí)性能監(jiān)控：提供了一系列實(shí)時(shí)數(shù)據(jù)采集；分析和可視化工具，用以對(duì)流量、負(fù)載、丟包、溫度、內(nèi)存、延遲等網(wǎng)絡(luò)設(shè)備和線路的性能指標(biāo)進(jìn)行實(shí)時(shí)檢測(cè)，可任意設(shè)置數(shù)據(jù)采集間隔。 f. 網(wǎng)絡(luò)對(duì)象性能查詢(xún)：可通過(guò)列表或按關(guān)鍵字檢索被管網(wǎng)絡(luò)對(duì)象及其屬性的性能記錄。 (3) 故障管理 a. 故障監(jiān)測(cè)：主動(dòng)探測(cè)或被動(dòng)接收網(wǎng)絡(luò)上的各種事件信息，并識(shí)別出其中與網(wǎng)絡(luò)和系統(tǒng)故障相關(guān)的內(nèi)容，對(duì)其中的關(guān)鍵部分保持跟蹤，生成網(wǎng)絡(luò)故障事件記錄。 b. 故障報(bào)警：接收故障監(jiān) 測(cè)模塊傳來(lái)的報(bào)警信息，根據(jù)報(bào)警策略驅(qū)動(dòng)不同的報(bào)警程序，以報(bào)警窗口／振鈴 (通知一線網(wǎng)絡(luò)管理人員 )或電子郵件 (通知決策管理人員 )發(fā)出網(wǎng)絡(luò)嚴(yán)重故障警報(bào)。 c. 故障信息管理：依靠對(duì)事件記錄的分析，定義網(wǎng)絡(luò)故障并生成故障卡片，記錄排除故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯(cuò)行動(dòng)記錄，將事件 故障 日志構(gòu)成邏輯上相互關(guān)聯(lián)的整體，以反映故障產(chǎn)生、變化、消除的整個(gè)過(guò)程的各個(gè)方面。 d. 排錯(cuò)支持工具：向管理人員提供一系列的實(shí)時(shí)檢測(cè)工具，對(duì)被管設(shè)備的狀況進(jìn)行測(cè)試并記錄下測(cè)試結(jié)果以供技術(shù)人員分析和排錯(cuò)； 根據(jù)已有的徘錯(cuò)經(jīng)驗(yàn)和管理員對(duì)故障狀態(tài)的描述給出對(duì)徘錯(cuò)行動(dòng)的提示。 e. 檢索／分析故障信息：瀏閱并且以關(guān)鍵字檢索查詢(xún)故障管理系統(tǒng)中所有的數(shù)據(jù)庫(kù)記錄，定期收集故障記錄數(shù)據(jù)，在此基礎(chǔ)上給出被管網(wǎng)絡(luò)系統(tǒng)、被管線路設(shè)備的可靠性參數(shù)。 (4) 安全管理 安全管理的功能分為兩部分，首先是網(wǎng)絡(luò)管理本身的安全，其次是被管網(wǎng)絡(luò)對(duì)象的安全。 網(wǎng)絡(luò)管理過(guò)程中，存儲(chǔ)和傳輸?shù)墓芾砗涂刂菩畔?duì)網(wǎng)絡(luò)的運(yùn)行和管理至關(guān)重要，一旦泄密、被篡改和偽造，將給網(wǎng)絡(luò)造成災(zāi)難性的破壞。網(wǎng)絡(luò)管理本身的安全由以下機(jī)制來(lái)保證： a. 管理員身份認(rèn)證，采用基于公開(kāi)密鑰的證書(shū)認(rèn)證機(jī)制；為提高系統(tǒng)效率，對(duì)于信任域內(nèi) (如局域網(wǎng) )的用戶，可以使用簡(jiǎn)單口令認(rèn)證。 b. 管理信息存儲(chǔ)和傳輸?shù)募用芘c完整性， Web 瀏覽器和網(wǎng)絡(luò)管理服務(wù)器之間采用安全套接字層 (SSL)傳輸協(xié)議，對(duì)管理信息加密傳輸并保證其完整性；內(nèi)部存儲(chǔ)的機(jī)密信息，如登錄口令等，也是經(jīng)過(guò)加密的。 11 c. 網(wǎng)絡(luò)管理用戶分組管理與訪問(wèn)控制，網(wǎng)絡(luò)管理系統(tǒng)的用戶 (即管理員 )按任務(wù)的不同分成若干用戶組，不同的用戶組中有不同的權(quán)限范圍，對(duì)用戶的操作由訪問(wèn)控制檢查，保證用 戶不能越權(quán)使用網(wǎng)絡(luò)管理系統(tǒng)。 e. 系統(tǒng)日志分析，記錄用戶所有的操作，使系統(tǒng)的操作和對(duì)網(wǎng)絡(luò)對(duì)象的修改有據(jù)可查，同時(shí)也有助于故障的跟蹤與恢復(fù)。 網(wǎng)絡(luò)對(duì)象的安全管理有以下功能： a. 網(wǎng)絡(luò)資源的訪問(wèn)控制，通過(guò)管理路由器的訪問(wèn)控制鏈表，完成防火墻的管理功能，即從網(wǎng)絡(luò)層 (1P)和傳輸層 (TCP)控制對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，保護(hù)網(wǎng)絡(luò)內(nèi)部的設(shè)備和應(yīng)用服務(wù)，防止外來(lái)的攻擊。 b. 告警事件分析，接收網(wǎng)絡(luò)對(duì)象所發(fā)出的告警事件，分析員安全相關(guān)的信息(如路由器登錄信息、 SNMP 認(rèn)證失敗信息 )，實(shí)時(shí)地向管理員 告警，并提供歷史安全事件的檢索與分析機(jī)制，及時(shí)地發(fā)現(xiàn)正在進(jìn)行的攻擊或可疑的攻擊跡象。 c. 主機(jī)系統(tǒng)的安全漏洞檢測(cè)，實(shí)時(shí)的監(jiān)測(cè)主機(jī)系統(tǒng)的重要服務(wù) (如 WWW，DNS 等 )的狀態(tài)，提供安全監(jiān)測(cè)工具，以搜索系統(tǒng)可能存在的安全漏洞或安全隱患，并給出彌補(bǔ)的措施。 總之，網(wǎng)絡(luò)管理通過(guò)網(wǎng)關(guān) (即邊界路由器 )控制外來(lái)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)，以防止外來(lái)的攻擊；通過(guò)告警事件的分析處理，以發(fā)現(xiàn)正在進(jìn)行的可能的攻擊；通過(guò)安全漏洞檢擒來(lái)發(fā)現(xiàn)存在的安全隱患，以防患于未然。 (5) 計(jì)費(fèi)管理 a. 計(jì)費(fèi)數(shù) 據(jù)采集：計(jì)費(fèi)數(shù)據(jù)采集是整個(gè)計(jì)費(fèi)系統(tǒng)的基礎(chǔ)，但計(jì)費(fèi)數(shù)據(jù)采集往往受到采集設(shè)備硬件與軟件的制約，而且也與進(jìn)行計(jì)費(fèi)的網(wǎng)絡(luò)資源有關(guān)。 b. 數(shù)據(jù)管理與數(shù)據(jù)維護(hù)：計(jì)費(fèi)管理人工交互性很強(qiáng)，雖然有很多數(shù)據(jù)維護(hù)系統(tǒng)自動(dòng)完成，但仍然需要人為管理，包括交納費(fèi)用的輸入、聯(lián)網(wǎng)單位信息維護(hù)，以及賬單樣式?jīng)Q定等。 c. 計(jì)費(fèi)政策制定；由于計(jì)費(fèi)政策經(jīng)常靈活變化，因此實(shí)現(xiàn)用戶自由制定輸入計(jì)費(fèi)政策尤其重要。這樣需要一個(gè)制定計(jì)費(fèi)政策的友好人機(jī)界面和完善的實(shí)現(xiàn)計(jì)費(fèi)政策的數(shù)據(jù)模型。 d. 政策比較與決策支持：計(jì)費(fèi) 管理應(yīng)該提供多套計(jì)費(fèi)政策的數(shù)據(jù)比較，為政策制訂提供決策依據(jù)。 e. 數(shù)據(jù)分析與費(fèi)用計(jì)算：利用采集的網(wǎng)絡(luò)資源使用數(shù)據(jù)，聯(lián)網(wǎng)用戶的詳細(xì)信息以及計(jì)費(fèi)政策計(jì)算網(wǎng)絡(luò)用戶資源的使用情況，并計(jì)算出應(yīng)交納的費(fèi)用。 f. 數(shù)據(jù)查詢(xún)：提供給每個(gè)網(wǎng)絡(luò)用戶關(guān)于自身使用網(wǎng)絡(luò)資源情況的詳細(xì)信息，網(wǎng)絡(luò)用戶根據(jù)這些信息可以計(jì)算、核對(duì)自己的收費(fèi)情況。 12 網(wǎng)絡(luò)管理系統(tǒng) 由于網(wǎng)絡(luò)管理已經(jīng)有了一系列的標(biāo)準(zhǔn)，以及 OSI 定義的網(wǎng)絡(luò)管理五大功能，使得具有配置管理、性能管理、故障管理、安全管理和計(jì)費(fèi)管理五大功能的管理系統(tǒng) 成為可能。同時(shí)，也正是得益于這樣的網(wǎng)絡(luò)管理系統(tǒng)，我們才能對(duì)網(wǎng)絡(luò)進(jìn)行充分、完備和有序的管理。但是由于涉及到眾多的網(wǎng)絡(luò)管理協(xié)議和五個(gè)方面所要求的功能以及不同網(wǎng)絡(luò)的實(shí)際情況，使得網(wǎng)絡(luò)管理系統(tǒng)在技術(shù)上具有很強(qiáng)的挑戰(zhàn)性。現(xiàn)在市場(chǎng)上號(hào)稱(chēng)是網(wǎng)絡(luò)管理系統(tǒng)的軟件不少，但真正具有網(wǎng)絡(luò)管理五大功能的網(wǎng)絡(luò)管理系統(tǒng)卻不多。我們下面將介紹四種網(wǎng)絡(luò)管理系統(tǒng)，并給出它們的優(yōu)缺點(diǎn)比較。這四種網(wǎng)絡(luò)管理系統(tǒng)是：惠普 (HP)公司的 0penView，國(guó)際商用公司 (IBM)的 NetView， SUN 公司的 SunNet 以及近年來(lái)代表未來(lái)智能網(wǎng)絡(luò)管理方向 的Cabletron 公司的 SPECTRUM。 (1) HP 的 0penView HP的 OpenView 有爭(zhēng)議地成為了第一個(gè)真正兼容的、跨平臺(tái)的網(wǎng)絡(luò)管理系統(tǒng)，因此也得到了廣泛的市場(chǎng)應(yīng)用。但是，雖然 0penView 被認(rèn)為是一個(gè)企業(yè)級(jí)的網(wǎng)絡(luò)管理系統(tǒng)，但它跟大多數(shù)別的網(wǎng)絡(luò)管理系統(tǒng)一樣，不能提供 NetWare， SNA，DEC， ，無(wú)線通信交換機(jī)以及其他非 SNMP 設(shè)備的管理功能。另一方面，HP 努力使 OpenView 由最初的提供給第三方應(yīng)用廠商的開(kāi)發(fā)系統(tǒng)，轉(zhuǎn)變?yōu)橐粋€(gè)跨平臺(tái)的最終用戶產(chǎn)品 。它的最大特點(diǎn)是被第三方應(yīng)用開(kāi)發(fā)廠商所廣泛接受。比如 IBM 就把 OpenView 增強(qiáng)功能并擴(kuò)展成為自己的 NetView 產(chǎn)品系列，從而與OpenView 展開(kāi)競(jìng)爭(zhēng)。特別在最近幾年， OpenView 已經(jīng)成為網(wǎng)絡(luò)管理市場(chǎng)的領(lǐng)導(dǎo)者，與其他網(wǎng)絡(luò)管理系統(tǒng)相比， OPenView 擁有更多的第三方應(yīng)用開(kāi)發(fā)廠商。在近期， OpenView 看上去更像一個(gè)工業(yè)標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理系統(tǒng)。 (2) IBM 的 NetView IBM 的 NetView 是一個(gè)相對(duì)比較新，同時(shí)又具有兼容性的網(wǎng)絡(luò)管理系統(tǒng)。NetView 既可以作為一個(gè)跨平臺(tái) 的、即插即用的系統(tǒng)提供給最終用戶，也可以作為一個(gè)開(kāi)發(fā)平臺(tái)，在上面開(kāi)發(fā)新的網(wǎng)絡(luò)管理應(yīng)用。 IBM 從 HP 得到 的許可證，并在此基礎(chǔ)上大大擴(kuò)展了它的功能，并將與其他軟件產(chǎn)品集成起來(lái)，從而形成了自己的 NetV5ew 產(chǎn)品系列。跟 OpenView 一樣， NetView 作為企業(yè)級(jí)的網(wǎng)絡(luò)管理系統(tǒng)，但它也不能提供 NetWare， SNA， DEC， ，無(wú)線通信交換機(jī)以及其他非 SNMF 設(shè)備的管理功能。在網(wǎng)絡(luò)管理產(chǎn)品市場(chǎng)上， NetView 在過(guò)去幾年得到廣泛的關(guān)注。 NetView 的市場(chǎng)人員宣稱(chēng)盡管 IBM 是 從 HP 那里得到了 OpenView 的最初許可證，但 IBM 在此基礎(chǔ)上自己增加了 70％的代碼，并修正了很多 OpenView 的 bugs,因此 NewView 應(yīng)該被認(rèn)為是一種新的產(chǎn)品。 NetView產(chǎn)品系列包括一個(gè)故障卡片系統(tǒng)，一些新的故障診斷工具，以及一些 OpenView所不具備的其他特性。雖然目前 NewView 在吸引第三方應(yīng)用開(kāi)發(fā)廠商方面還不如 openView，但這種差距正在縮小。 (3) SUN 的 SUNNet Manager 13 SunNet Manager(SNM)是第一個(gè)重要的基于 Unix 的網(wǎng)絡(luò)管理系統(tǒng)。 SNM 一直主要作為開(kāi)發(fā)平臺(tái)而存在，它僅僅提供很有限的應(yīng)用功能。為了實(shí)用化，還必須附加很多第三方開(kāi)發(fā)的針對(duì)具體硬件平臺(tái)的網(wǎng)絡(luò)管理應(yīng)用。 SNM 的開(kāi)發(fā)似乎已經(jīng)減慢甚至停止，不過(guò) SUN 已經(jīng)簽署一份許可證給 NetLabs DiMONS 3G 公司，授權(quán)該公司以 SNM 為基礎(chǔ)開(kāi)發(fā)一個(gè)名叫 Enpass 的新網(wǎng)絡(luò)管理系統(tǒng)。對(duì)于SNM，該系統(tǒng)跟其他大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)一樣，它也不能提供 NetWare， SNA，