???? 在實際網絡管理過程中,網絡管理應具有的功能非常廣泛,包括了很多方面。在()SI網絡管理標準中定義了網絡管理的5大功能:配置管理、性能管理、故障管理、安全管理和計費管理,這5大功能是網絡管理最基本的功能。事實上,網絡管理還應該包括其他一些功能,比如網絡規劃、網絡操作人員的管理等。不過除了基本的網絡管理5。大功能,其他的網絡管理功能實現都與具體的網絡實際條件有關,因此我們只需要關注OSI網絡管理標準中的5大功能,其中:
???? (1)配置管理:自動發現網絡拓撲結構,構造和維護網絡系統的配置。監測網絡被管對象的狀態,完成網絡關鍵設備配置的語法檢查,配置自動生成和自動配置備份系統,對于配置的一致性進行嚴格的檢驗。
????(2)故障管理;過濾、歸并網絡事件,有效地發現、定位網絡故障,給出排錯建議與排錯工具,形成整套的故障發現、告警與處理機制。
????(3)性能管理:采集、分析網絡對象的性能數據,監測網絡對象的性能,對網絡線路質量進行分析。同時,統計網絡運行狀態信息,對網絡的使用發展作出評測、估計,為網絡進一步規劃與調整提供依據。
????(4)安全管理:結合使用用戶認證、訪問控制、數據傳輸、存儲的保密與完整性機制,以保障網絡管理系統本身的安全。維護系統日志,使系統的使用和網絡對象的修改有據可查。控制對網絡資源的訪問。
????5)計費管理:對網際互聯設備按IP地址的雙向流量統計,產生多種信息統計報告及流量對比,并提供網絡計費工具,以便用戶根據自定義的要求實施網絡計費。
????下面我們將針對5大功能中每個部分的功能進行具體的描述。
1.配置管理
????(1)配置信息的自動獲取:在一個大型網絡中,需要管理的設備是比較多的,如果每個設備的配置信息都完全依靠管理人員的手工輸入,工作量是相當大的,而且還存在出錯的可能性。對于不熟悉網絡結構的人員來說,這項工作甚至無法完成‘因此,一個先進的網絡管理系統應該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網絡結構和配置狀況的情況下,也能通過有關的技術手段來完成對網絡的配置和管理。在網絡設備的配置信息中,根據獲取手段大致可以分為三類:一類是網絡管理協議標準的MIB中定義的配置信息(包括SNMP;和CMIP協議);二類是不在網絡管理協議標準中有定義,但是對設備運行比較重要的配置信息;三類就是用于管理的一些輔助信息。
????(2)自動配置、自動備份及相關技術:配置信息自動獲取功能相當于從網絡設備中“讀”信息,相應的,在網絡管理應用中還有大量“寫”信息的需求。同樣根據設置手段對網絡配置信息進行分類:一類是可以通過網絡管理協議標準中定義的方法(如SNMP中的set服務)進行設置的配置信息;二類是可以通過自動登錄到設備進行配置的信息;三類就是需要修改的管理性配置信息。
???? (3)配置一致性檢查:在一個大型網絡中,由于網絡設備眾多,而且由于管理的原因,這些設備很可能不是由同一個管理人員進行配置的。實際上‘即使是同一個管理員對設備進行的配置,也會由于各種原因導致配置一致性問題。因此,對整個網絡的配置情況進行一致性檢查是必需的。在網絡的配置中,對網絡正常運行影響最大的主要是路由器端口配置和路由信息配置,因此,要進行、致性檢查的也主要是這兩類信息。
???? (4)用戶操作記錄功能:配置系統的安全性是整個網絡管理系統安全的核心,因此,必須對用戶進行的每一配置操作進行記錄。在配置管理中,需要對用戶操作進行記錄,并保存下來。管理人員可以隨時查看特定用戶在特定時問內進行的特定配置操作。
2.性能管理
????(1)性能監控:由用戶定義被管對象及其屬性。被管對象類型包括線路和路由器;被管對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內存余量。對于每個被管對象,定時采集性能數據,自動生成性能報告。
???? (2)閾值控制:可對每一個被管對象的每一條屬性設置閾值,對于特定被管對象的特定屬性,可以針對不同的時間段和性能指標進行閾值設置。可通過設置閾值檢查開關控制閡值檢查和告警,提供相應的閾值管理和溢出告警機制。
???? (3)性能分橋:對歷史數據進行分析,統計和整理,計算性能指標,對性能狀況作出判斷,為網絡規劃提供參考。
???? (4)可視化的性能報告:對數據進行掃描和處理,生成性能趨勢曲線,以直觀的圖形反映性能分析的結果。
???? (5)實時性能監控:提供了一系列實時數據采集;分析和可視化工具,用以對流量、負載、丟包、溫度、內存、延遲等網絡設備和線路的性能指標進行實時檢測,可任意設置數據采集間隔。
????(6)網絡對象性能查詢:可通過列表或按關鍵字檢索被管網絡對象及其屬性的性能記錄。
3.故障管理
???? (1)故障監測:主動探測或被動接收網絡上的各種事件信息,并識別出其中與網絡和系統故障相關的內容,對其中的關鍵部分保持跟蹤,生成網絡故障事件記錄。
???? (2)故障報警:接收故障監測模塊傳來的報警信息,根據報警策略驅動不同的報警程序,以報警窗口/振鈴(通知一線網絡管理人員)或電子郵件(通知決策管理人員)發出網絡嚴重故障警報。
???? (3)故障信息管理:依靠對事件記錄的分析,定義網絡故障并生成故障卡片,記錄排除故障的步驟和與故障相關的值班員日志,構造排錯行動記錄,將事件-故障-日志構成邏輯上相互關聯的整體,以反映故障產生、變化、消除的整個過程的各個方面。
???? (4)排錯支持工具:向管理人員提供一系列的實時檢測工具,對被管設備的狀況進行測試并記錄下測試結果以供技術人員分析和排錯;根據已有的徘錯經驗和管理員對故障狀態的描述給出對徘錯行動的提示。
???? (5)檢索/分析故障信息:瀏閱并且以關鍵字檢索查詢故障管理系統中所有的數據庫記錄,定期收集故障記錄數據,在此基礎上給出被管網絡系統、被管線路設備的可靠性參數。
4.安全管理
???? 安全管理的功能分為兩部分,首先是網絡管理本身的安全,其次是被管網絡對象的安全。
????網絡管理過程中,存儲和傳輸的管理和控制信息對網絡的運行和管理至關重要,一旦泄密、被篡改和偽造,將給網絡造成災難性的破壞。網絡管理本身的安全由以下機制來保證:
???? (1)管理員身份認證,采用基于公開密鑰的證書認證機制;為提高系統效率,對于信任域內(如局域網)的用戶,可以使用簡單口令認證。
???? (2)管理信息存儲和傳輸的加密與完整性,Web瀏覽器和網絡管理服務器之間采用安全套接字層(SSL)傳輸協議,對管理信息加密傳輸并保證其完整性;內部存儲的機密信息,如登錄口令等,也是經過加密的。
???? (3)網絡管理用戶分組管理與訪問控制,網絡管理系統的用戶(即管理員)按任務的不同分成若干用戶組,不同的用戶組中有不同的權限范圍,對用戶的操作由訪問控制檢查,保證用戶不能越權使用網絡管理系統。
???? (4)系統日志分析,記錄用戶所有的操作,使系統的操作和對網絡對象的修改有據可查,同時也有助于故障的跟蹤與恢復。
???? 網絡對象的安全管理有以下功能:
???? (1)網絡資源的訪問控制,通過管理路由器的訪問控制鏈表,完成防火墻的管理功能,即從網絡層(1P)和傳輸層(TCP)控制對網絡資源的訪問,保護網絡內部的設備和應用服務,防止外來的攻擊。
???? (2)告警事件分析,接收網絡對象所發出的告警事件,分析員安全相關的信息(如路由器登錄信息、SNMP認證失敗信息),實時地向管理員告警,并提供歷史安全事件的檢索與分析機制,及時地發現正在進行的攻擊或可疑的攻擊跡象。
???? (3)主機系統的安全漏洞檢測,實時的監測主機系統的重要服務(如WWW,DNS等)的狀態,提供安全監測工具,以搜索系統可能存在的安全漏洞或安全隱患,并給出彌補的措施。
???? 總之,網絡管理通過網關(即邊界路由器)控制外來用戶對網絡資源的訪問,以防止外來的攻擊;通過告警事件的分析處理,以發現正在進行的可能的攻擊;通過安全漏洞檢擒來發現存在的安全隱患,以防患于未然。
5.計費管理
???? (1)計費數據采集:計費數據采集是整個計費系統的基礎,但計費數據采集往往受到采集設備硬件與軟件的制約,而且也與進行計費的網絡資源有關。
???? (2)數據管理與數據維護:計費管理人工交互性很強,雖然有很多數據維護系統自動完成,但仍然需要人為管理,包括交納費用的輸入、聯網單位信息維護,以及賬單樣式決定等。
???? (3)計費政策制定;由于計費政策經常靈活變化,因此實現用戶自由制定輸入計費政策尤其重要。這樣需要一個制定計費政策的友好人機界面和完善的實現計費政策的數據模型。
???? (4)政策比較與決策支持:計費管理應該提供多套計費政策的數據比較,為政策制訂提供決策依據。
???? (5)數據分析與費用計算:利用采集的網絡資源使用數據,聯網用戶的詳細信息以及計費政策計算網絡用戶資源的使用情況,并計算出應交納的費用。
???? (6)數據查詢:提供給每個網絡用戶關于自身使用網絡資源情況的詳細信息,網絡用戶根據這些信息可以計算、核對自己的收費情況。