《計算機(jī)網(wǎng)絡(luò)技術(shù)基礎(chǔ)》課件第12章

第十二章計算機(jī)網(wǎng)絡(luò)管理的基本技術(shù)

12.1傳統(tǒng)局域網(wǎng)管理

12.2計算機(jī)網(wǎng)絡(luò)的管理

12.3網(wǎng)絡(luò)管理功能

12.4網(wǎng)絡(luò)管理協(xié)議

12.5網(wǎng)絡(luò)管理系統(tǒng)

12.6網(wǎng)絡(luò)管理和維護(hù)

本章小結(jié)

習(xí)題

12.1傳統(tǒng)局域網(wǎng)管理

傳統(tǒng)的局域網(wǎng)管理主要針對一定范圍的局域網(wǎng)絡(luò)，這種局域網(wǎng)絡(luò)中包括的主要管理對象有：服務(wù)器、客戶機(jī)、各種網(wǎng)絡(luò)線路與集線器以及各種網(wǎng)絡(luò)操作系統(tǒng)。在這樣規(guī)模的局域網(wǎng)中網(wǎng)絡(luò)管理的對象有限，一般包括三個方面：了解網(wǎng)絡(luò)、網(wǎng)絡(luò)運(yùn)行以及網(wǎng)絡(luò)維護(hù)。

1．了解網(wǎng)絡(luò)(1)識別網(wǎng)絡(luò)對象的硬件情況：局域網(wǎng)是由各種節(jié)點(diǎn)組成，節(jié)點(diǎn)主要是服務(wù)器和客戶機(jī)，因此首先需要識別這些節(jié)點(diǎn)的硬件組成。(2)判別局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)：了解了網(wǎng)絡(luò)中的關(guān)鍵部件之后需要進(jìn)一步了解它們是如何連接運(yùn)行的，即網(wǎng)絡(luò)結(jié)構(gòu)下的實(shí)際布線系統(tǒng)。(3)確定網(wǎng)絡(luò)的互聯(lián)：首先需要確定網(wǎng)絡(luò)連接的設(shè)備和接入網(wǎng)絡(luò)的方式。(4)確定用戶負(fù)載和定位：網(wǎng)絡(luò)負(fù)載最重要的方面是用戶的分布，因為每一個網(wǎng)絡(luò)和服務(wù)器上的用戶數(shù)量是影響網(wǎng)絡(luò)性能的關(guān)鍵因素，因此確定網(wǎng)絡(luò)上有多少用戶以及他們各自的定位尤其重要。2．網(wǎng)絡(luò)運(yùn)行(1)配置網(wǎng)絡(luò)。配置網(wǎng)絡(luò)指選擇網(wǎng)絡(luò)操作系統(tǒng)，選擇網(wǎng)絡(luò)協(xié)議。(2)配置網(wǎng)絡(luò)服務(wù)器。在局域網(wǎng)中，服務(wù)器往往具有重要作用，一個配置良好的服務(wù)器可以順利保障網(wǎng)絡(luò)的運(yùn)行。還應(yīng)注意需預(yù)防網(wǎng)絡(luò)意外發(fā)生。(3)網(wǎng)絡(luò)安全控制。網(wǎng)絡(luò)安全控制的首要任務(wù)是管理用戶注冊和訪問權(quán)限。查找并消除病毒也是局域網(wǎng)管理的一項重要任務(wù)。3．網(wǎng)絡(luò)維護(hù)網(wǎng)絡(luò)維護(hù)是保障網(wǎng)絡(luò)正常運(yùn)行的重要方面，主要包括故障檢測與排除、網(wǎng)絡(luò)日常檢查及網(wǎng)絡(luò)升級。(1)常見網(wǎng)絡(luò)的故障和修復(fù)：在局域網(wǎng)中，最重要的故障檢測工作是文件服務(wù)器的維護(hù)。故障處理過程有四個主要步驟：發(fā)現(xiàn)故障跡象，追蹤故障的根源，排除故障，記錄故障的解決方法。常見故障檢測流程如圖12-1所示。圖12-1故障檢測流程圖(2)網(wǎng)絡(luò)檢查：網(wǎng)絡(luò)檢查是在網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)情況下對服務(wù)器狀態(tài)和網(wǎng)絡(luò)運(yùn)行情況的動態(tài)信息收集和分析的過程。有些數(shù)據(jù)最好每天檢查一次，而有些數(shù)據(jù)則較長時間檢查一次即可。表12-1列出一些需要定期檢查的網(wǎng)絡(luò)關(guān)鍵信息。表12-1需定期檢查的網(wǎng)絡(luò)關(guān)鍵信息(3)網(wǎng)絡(luò)升級：網(wǎng)絡(luò)升級是一個持續(xù)的過程，它需要考慮一些財務(wù)和預(yù)算因素。一般在網(wǎng)絡(luò)管理中需要考慮的是必須進(jìn)行的升級，這些升級能夠保證網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)。應(yīng)從成本和效益兩方面總結(jié)新配置的優(yōu)點(diǎn)。12.2計算機(jī)網(wǎng)絡(luò)的管理

保證網(wǎng)絡(luò)能夠持續(xù)、穩(wěn)定、安全可靠并高效地運(yùn)行要依靠網(wǎng)絡(luò)內(nèi)部管理和用戶合理使用兩方面的措施來實(shí)現(xiàn)。網(wǎng)絡(luò)內(nèi)部管理措施一般包括抗擁塞控制措施、自動適應(yīng)網(wǎng)絡(luò)狀態(tài)變化的路由選擇策略、提供安全保護(hù)的措施等。使用者的責(zé)任則包括合理使用、充分利用網(wǎng)絡(luò)提供的管理功能、保護(hù)網(wǎng)絡(luò)設(shè)備不受損害等。1．網(wǎng)絡(luò)管理員的任務(wù)網(wǎng)絡(luò)管理員的基本工作是維持網(wǎng)絡(luò)平穩(wěn)地運(yùn)行。一旦網(wǎng)絡(luò)出現(xiàn)故障，使用計算機(jī)及其網(wǎng)絡(luò)進(jìn)行工作的人將不得不中斷工作。一個小型計算機(jī)網(wǎng)絡(luò)的管理員需要做的工作通常有以下幾項：(1)硬件維護(hù)，如更換受損的電纜，添加新的打印機(jī)，安裝新網(wǎng)絡(luò)工作站，查找并更換有故障的網(wǎng)卡，擴(kuò)充計算機(jī)的內(nèi)存等。(2)軟件維護(hù)，如在網(wǎng)絡(luò)服務(wù)器上安裝新的應(yīng)用軟件，清理過時沒用的舊文件，重新安裝工作站軟件，安裝更高版本的應(yīng)用軟件等。(3)根據(jù)人員變動情況在網(wǎng)絡(luò)上添加或刪除用戶、添加網(wǎng)絡(luò)節(jié)點(diǎn)等。(4)確保網(wǎng)絡(luò)的安全性，如設(shè)置不同用戶的權(quán)限，防止普通用戶訪問重要數(shù)據(jù)，隔離網(wǎng)絡(luò)上的病毒，確保每個用戶只能修改指定(一般是自己的)目錄下的文件等。(5)定期備份網(wǎng)絡(luò)服務(wù)器上的文件，對服務(wù)器上的文件經(jīng)常進(jìn)行備份就可以在用戶偶爾錯刪文件后恢復(fù)重要數(shù)據(jù)，或者可以恢復(fù)由于掉電而被破壞的數(shù)據(jù)庫文件(盡管不是最新的數(shù)據(jù))。這種做法對遭受病毒破壞的系統(tǒng)也是很有幫助的。(6)保存日志和記錄，如保存軟件的許可證和硬件的序列號，記錄各個節(jié)點(diǎn)地址、節(jié)點(diǎn)名等網(wǎng)絡(luò)信息，對網(wǎng)絡(luò)的規(guī)劃提出建議等。(7)排除故障，在使用人員遇到問題時給予及時、明確的解答和幫助，發(fā)生故障時及時進(jìn)行診斷并排除故障，在網(wǎng)絡(luò)出現(xiàn)性能下降時及時予以糾正。前面幾項工作一般在經(jīng)過培訓(xùn)以后并不難掌握，但最后一項是最難預(yù)料，也是最難解決的，不僅需要有網(wǎng)絡(luò)原理的知識，還要具備一定的經(jīng)驗。2．流量控制策略管理計算機(jī)網(wǎng)絡(luò)與電信網(wǎng)一樣，傳輸容量是有限的，一旦網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量超過網(wǎng)絡(luò)容量，網(wǎng)絡(luò)中就會發(fā)生擁塞，嚴(yán)重時網(wǎng)絡(luò)就會癱瘓。所以，抵抗擁塞是網(wǎng)絡(luò)需要首先解決的問題。網(wǎng)絡(luò)中必須采取措施對數(shù)據(jù)流量進(jìn)行控制，限制進(jìn)入網(wǎng)絡(luò)和進(jìn)入一個節(jié)點(diǎn)的分組數(shù)量。當(dāng)然，流量控制措施所起的作用還不僅如此，它實(shí)現(xiàn)的主要功能有：(1)防止網(wǎng)絡(luò)因過載而引起吞吐量下降和時延過大。(2)避免網(wǎng)絡(luò)死鎖。(3)在競爭使用網(wǎng)絡(luò)的用戶之間公平地分配資源。但流量控制所帶來的好處是需要代價的，要在網(wǎng)絡(luò)中增加額外開銷來傳遞有關(guān)流量控制的命令和參數(shù)。實(shí)現(xiàn)流量控制的措施有：

業(yè)務(wù)繁忙時添加若干條鏈路。

擴(kuò)大某些鏈路的容量。

修改路由選擇方法，使過量的數(shù)據(jù)從其他鏈路傳輸，以便分流。

拒絕一些用戶，可以不允許其建立新的連接。

限制某些用戶的傳輸速度，減輕網(wǎng)絡(luò)負(fù)荷。

強(qiáng)制中止某些連接。

丟棄一些排隊時間過長的分組。分組交換數(shù)據(jù)網(wǎng)中對流量進(jìn)行限制的措施一般可以分為三類，是根據(jù)實(shí)施流量控制的著手點(diǎn)來區(qū)分的，它們分別是：

鏈路區(qū)段上的流量控制，即限制兩個節(jié)點(diǎn)之間的鏈路上通過的數(shù)據(jù)流量，使其低于鏈路容量以下的某個門限。

進(jìn)網(wǎng)級流量控制，該措施限制數(shù)據(jù)分組進(jìn)入網(wǎng)絡(luò)的數(shù)量，以便保證網(wǎng)絡(luò)中正在傳輸?shù)姆纸M總數(shù)不會超過規(guī)定的容量。

端到端流量控制，該措施限制數(shù)據(jù)源節(jié)點(diǎn)與目的節(jié)點(diǎn)之間的數(shù)據(jù)流量，保證全網(wǎng)的業(yè)務(wù)量有一定的均衡性。

3．路由選擇策略管理網(wǎng)絡(luò)中的路由選擇決定數(shù)據(jù)分組通過哪條路徑傳輸，直接關(guān)系到網(wǎng)絡(luò)傳輸?shù)拈_銷和數(shù)據(jù)分組的傳輸質(zhì)量，包括傳輸時延。好的路由選擇方法除了要正確、穩(wěn)定、公平、最佳和簡單外，還應(yīng)該能夠適應(yīng)網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)拓?fù)浜途W(wǎng)絡(luò)中數(shù)據(jù)流量的變化。大部分網(wǎng)絡(luò)中都在每個存儲轉(zhuǎn)發(fā)節(jié)點(diǎn)配置路由表，表中記錄著到達(dá)不同節(jié)點(diǎn)的各種可能轉(zhuǎn)發(fā)路線及其優(yōu)劣關(guān)系。節(jié)點(diǎn)在選擇路由時要根據(jù)目的節(jié)點(diǎn)和當(dāng)前路由表來決定經(jīng)過哪條鏈路轉(zhuǎn)發(fā)。修改或變更路由選擇策略一般就是修改或更新有關(guān)節(jié)點(diǎn)的路由表。

4．網(wǎng)絡(luò)故障的診斷和排除網(wǎng)絡(luò)管理員要經(jīng)常地對網(wǎng)絡(luò)進(jìn)行定期例行維護(hù)，但這只能減少網(wǎng)絡(luò)中發(fā)生問題和故障的可能，卻不能保證網(wǎng)絡(luò)中不會發(fā)生故障。如何及時地發(fā)現(xiàn)和排除故障是網(wǎng)絡(luò)管理員將會遇到的最頭疼的問題。下面以小型局域網(wǎng)為例介紹幾條故障診斷的原則。(1)逐步縮小搜索范圍。如檢查是否存在出錯信息?問題是發(fā)生在一臺機(jī)器上還是在多臺機(jī)器上表現(xiàn)出來?

(2)檢查設(shè)備。如果問題發(fā)生在一臺設(shè)備上，如一臺工作站、打印機(jī)或其他外設(shè)上，應(yīng)盡量將機(jī)器置于獨(dú)立方式下。如果在獨(dú)立方式下它運(yùn)行正常，則問題出在它與網(wǎng)絡(luò)的連接上。(3)查閱文檔資料。發(fā)現(xiàn)故障時應(yīng)該設(shè)法查閱網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)軟件廠家提供的設(shè)備或軟件說明書或有關(guān)手冊，—般都有一些關(guān)于常見故障診斷和如何排除的說明。(4)分別嘗試每種解決辦法。在通過前面幾個步驟將可疑的故障范圍縮小到特定的區(qū)域或部件以后，對該區(qū)域內(nèi)的所有可疑部件分別進(jìn)行檢查并試著去恢復(fù)它。(5)利用修復(fù)工具。網(wǎng)絡(luò)的生產(chǎn)廠家往往會提供一定的軟件工具以幫助用戶快速查找問題。(6)請專業(yè)技術(shù)人員解決。作為最后的手段，在無法自己解決問題的時候也只好請求有關(guān)技術(shù)服務(wù)部門的支持。(7)建立故障排除檔案。這一步與解決本次問題無關(guān)，但卻是非常有用的。5．網(wǎng)絡(luò)的安全防護(hù)和管理網(wǎng)絡(luò)中的安全機(jī)制要提供傳輸信息加密的手段，而加密過程通常由用戶自行完成。但一般說來，網(wǎng)絡(luò)中的安全機(jī)制還要給網(wǎng)絡(luò)管理員提供多種手段來保護(hù)網(wǎng)絡(luò)和網(wǎng)絡(luò)上的用戶。實(shí)用的網(wǎng)絡(luò)中都有一組強(qiáng)有力的安全工具，可以控制哪些用戶可以注冊到網(wǎng)絡(luò)上，哪些用戶可以訪問哪些文件以及對這些文件能進(jìn)行什么樣的操作。利用網(wǎng)絡(luò)提供的安全機(jī)制要達(dá)到如下目的：

防止未授權(quán)的用戶注冊到網(wǎng)絡(luò)上使用網(wǎng)絡(luò)資源(利用網(wǎng)絡(luò)傳輸數(shù)據(jù))；

防止非授權(quán)用戶訪問網(wǎng)絡(luò)上的共享資源(應(yīng)用程序等)；

防止用戶查看其他網(wǎng)絡(luò)或用戶的機(jī)密文件；

保護(hù)網(wǎng)絡(luò)應(yīng)用程序不被拷貝、刪除、修改或破壞；

防止用戶有意或無意地刪除網(wǎng)絡(luò)上的重要文件；

防止用戶對網(wǎng)絡(luò)的惡意破壞(軟損傷，如故意制造擁塞等)。為了達(dá)到上述目標(biāo)，網(wǎng)絡(luò)中一般要提供下述幾類安全措施：(1)用戶注冊。每個想使用網(wǎng)絡(luò)的用戶必須由網(wǎng)絡(luò)管理員為其建立帳戶、規(guī)定權(quán)限并設(shè)置一個口令。(2)用戶權(quán)限。每個用戶對網(wǎng)絡(luò)的需要不同，對網(wǎng)絡(luò)的依賴程度也不一樣。網(wǎng)絡(luò)管理員在為用戶建立帳戶的同時，也規(guī)定了用戶的權(quán)限。(3)網(wǎng)絡(luò)資源、網(wǎng)絡(luò)目錄和文件的屬性。網(wǎng)絡(luò)上的資源和文件可以設(shè)置一些特殊屬性，如一個文件可以不允許任何其他用戶訪問，或允許其他用戶閱讀、允許其他用戶修改和刪除等。(4)傳輸數(shù)據(jù)保密和數(shù)據(jù)完整性，包括支持用戶對傳輸數(shù)據(jù)的全部或部分進(jìn)行加密，對用戶之間存在的連接保密，防止從通信過程本身推導(dǎo)出信息等多種措施。完整性則保證接收方收到的信息是沒有被添加、刪除或篡改了部分或全部內(nèi)容的。(5)收發(fā)數(shù)字簽名，網(wǎng)絡(luò)提供的數(shù)字簽名手段用于：

鑒別發(fā)送用戶的身份真?zhèn)?，防止欺騙數(shù)據(jù)；

確保接收方不能否認(rèn)已經(jīng)接收到有關(guān)信息；

確保發(fā)送方不能否認(rèn)發(fā)送過有關(guān)信息。6．網(wǎng)絡(luò)使用的計費(fèi)一個企業(yè)或部門建立的專用網(wǎng)一般不計算費(fèi)用，但公用數(shù)據(jù)網(wǎng)則不然。網(wǎng)絡(luò)中必須根據(jù)用戶對網(wǎng)絡(luò)的使用核算費(fèi)用并提供計費(fèi)清單。數(shù)據(jù)網(wǎng)中的費(fèi)用計算方法與電信網(wǎng)不同，一般是按照傳輸?shù)臄?shù)據(jù)量計算費(fèi)用，但也要按照連接持續(xù)的時間收取一定的附加費(fèi)用。使用網(wǎng)絡(luò)資源的費(fèi)用計算是很復(fù)雜的，尤其是關(guān)于幾個網(wǎng)絡(luò)互連以后如何在幾個網(wǎng)絡(luò)之間核算并分配費(fèi)用的問題。12.3網(wǎng)絡(luò)管理功能

在實(shí)際網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理應(yīng)具有的功能非常廣泛，包括了很多方面。在OSI網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中定義了網(wǎng)絡(luò)管理的五大基本功能：配置管理、性能管理、故障管理、安全管理和計費(fèi)管理，此外，網(wǎng)絡(luò)管理還應(yīng)該包括其他一些功能，如網(wǎng)絡(luò)規(guī)劃、網(wǎng)絡(luò)操作人員的管理等。(1)配置管理：自動發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，構(gòu)造和維護(hù)網(wǎng)絡(luò)系統(tǒng)的配置。監(jiān)測網(wǎng)絡(luò)被管對象的狀態(tài)，完成網(wǎng)絡(luò)關(guān)鍵設(shè)備配置的語法檢查，配置自動生成和自動配置備份系統(tǒng)，對于配置的一致性進(jìn)行嚴(yán)格的檢驗。(2)故障管理：過濾、歸并網(wǎng)絡(luò)事件，有效地發(fā)現(xiàn)、定位網(wǎng)絡(luò)故障，給出排錯建議與排錯工具，形成整套的故障發(fā)現(xiàn)、告警與處理機(jī)制。(3)性能管理：采集、分析網(wǎng)絡(luò)對象的性能數(shù)據(jù)，監(jiān)測網(wǎng)絡(luò)對象的性能，對網(wǎng)絡(luò)線路質(zhì)量進(jìn)行分析。同時，統(tǒng)計網(wǎng)絡(luò)運(yùn)行狀態(tài)信息，對網(wǎng)絡(luò)的使用發(fā)展作出評測、估計，為網(wǎng)絡(luò)進(jìn)一步規(guī)劃與調(diào)整提供依據(jù)。(4)安全管理：結(jié)合使用用戶認(rèn)證、訪問控制、數(shù)據(jù)傳輸、存儲的保密與完整性機(jī)制，以保障網(wǎng)絡(luò)管理系統(tǒng)本身的安全。維護(hù)系統(tǒng)日志，使系統(tǒng)的使用和網(wǎng)絡(luò)對象的修改有據(jù)可查?？刂茖W(wǎng)絡(luò)資源的訪問。(5)計費(fèi)管理：對網(wǎng)際互聯(lián)設(shè)備按IP地址的雙向流量統(tǒng)計，產(chǎn)生多種信息統(tǒng)計報告及流量對比，并提供網(wǎng)絡(luò)計費(fèi)工具，以便用戶根據(jù)自定義的要求實(shí)施網(wǎng)絡(luò)計費(fèi)。下面針對五大功能中每個部分的功能進(jìn)行具體的描述。1．配置管理1)配置信息的自動獲取在一個大型網(wǎng)絡(luò)中，需要管理的設(shè)備較多，如果每個設(shè)備的配置信息都完全依靠管理人員的手工輸入，工作量是相當(dāng)大的，而且還存在出錯的可能性。對于不熟悉網(wǎng)絡(luò)結(jié)構(gòu)的人員來說，這項工作甚至無法完成。因此，一個先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動獲取功能，即使在管理人員不是很熟悉網(wǎng)絡(luò)結(jié)構(gòu)和配置狀況的情況下，也能通過有關(guān)的技術(shù)手段來完成對網(wǎng)絡(luò)的配置和管理。在網(wǎng)絡(luò)設(shè)備的配置信息中，根據(jù)獲取手段大致可以分為三類：一類是網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)的MIB中定義的配置信息(包括SNMP和CMIP協(xié)議)；二類是不在網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中定義，但是對設(shè)備運(yùn)行比較重要的配置信息；三類就是用于管理的一些輔助信息。2)自動配置、自動備份及相關(guān)技術(shù)配置信息自動獲取功能相當(dāng)于從網(wǎng)絡(luò)設(shè)備中“讀”信息，相應(yīng)的，在網(wǎng)絡(luò)管理應(yīng)用中還有大量“寫”信息的需求。同樣根據(jù)設(shè)置手段對網(wǎng)絡(luò)配置信息進(jìn)行分類：一類是可以通過網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中定義的方法(如SNMP中的set服務(wù))進(jìn)行設(shè)置的配置信息；二類是可以通過自動登錄到設(shè)備進(jìn)行配置的信息；三類就是需要修改的管理性配置信息。3)配置一致性檢查在一個大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)設(shè)備眾多，而且由于管理的原因，這些設(shè)備很可能不是由同一個管理人員進(jìn)行配置的。實(shí)際上，即使是同一個管理員對設(shè)備進(jìn)行的配置，也會由于各種原因?qū)е屡渲靡恢滦詥栴}。因此，對整個網(wǎng)絡(luò)的配置情況進(jìn)行一致性檢查是必需的。在網(wǎng)絡(luò)的配置中，對網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由信息配置，因此，要進(jìn)行一致性檢查的也主要是這兩類信息。4)用戶操作記錄功能配置系統(tǒng)的安全性是整個網(wǎng)絡(luò)管理系統(tǒng)安全的核心，因此，必須對用戶進(jìn)行的每一配置操作進(jìn)行記錄。在配置管理中，需要對用戶操作進(jìn)行記錄并保存下來。管理人員可以隨時查看特定用戶在特定時間內(nèi)進(jìn)行的特定配置操作。

2．性能管理

(1)性能監(jiān)控：由用戶定義被管理對象及其屬性。被管理對象類型包括線路和路由器；被管理對象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內(nèi)存余量。對于每個被管理對象，定時采集性能數(shù)據(jù)，自動生成性能報告。(2)閾值控制：可對每一個被管理對象的每一條屬性設(shè)置閾值，對于特定被管理對象的特定屬性，可以針對不同的時間段和性能指標(biāo)進(jìn)行閾值設(shè)置?？赏ㄟ^設(shè)置閾值檢查開關(guān)控制閾值檢查和告警，提供相應(yīng)的閾值管理和溢出告警機(jī)制。(3)性能分析：對歷史數(shù)據(jù)進(jìn)行分析、統(tǒng)計和整理，計算性能指標(biāo)，對性能狀況作出判斷，為網(wǎng)絡(luò)規(guī)劃提供參考。(4)可視化的性能報告：對數(shù)據(jù)進(jìn)行掃描和處理，生成性能趨勢曲線，以直觀的圖形反映性能分析的結(jié)果。(5)實(shí)時性能監(jiān)控：提供了一系列實(shí)時數(shù)據(jù)采集、分析和可視化工具，用以對流量、負(fù)載、丟包、溫度、內(nèi)存、延遲等網(wǎng)絡(luò)設(shè)備和線路的性能指標(biāo)進(jìn)行實(shí)時檢測，可任意設(shè)置數(shù)據(jù)采集間隔。(6)網(wǎng)絡(luò)對象性能查詢：可通過列表或按關(guān)鍵字檢索被管理網(wǎng)絡(luò)對象及其屬性的性能記錄。3．故障管理(1)故障監(jiān)測：主動探測或被動接收網(wǎng)絡(luò)上的各種事件信息，并識別出其中與網(wǎng)絡(luò)和系統(tǒng)故障相關(guān)的內(nèi)容，對其中的關(guān)鍵部分保持跟蹤，生成網(wǎng)絡(luò)故障事件記錄。(2)故障報警：接收故障監(jiān)測模塊傳來的報警信息，根據(jù)報警策略驅(qū)動不同的報警程序，以報警窗口/振鈴(通知一線網(wǎng)絡(luò)管理人員)或電子郵件(通知決策管理人員)發(fā)出網(wǎng)絡(luò)嚴(yán)重故障警報。(3)故障信息管理：依靠對事件記錄的分析，定義網(wǎng)絡(luò)故障并生成故障卡片，記錄排除故障的步驟和與故障相關(guān)的值班員日志，構(gòu)造排錯行動記錄，將事件-故障-日志構(gòu)成邏輯上相互關(guān)聯(lián)的整體，以反映故障產(chǎn)生、變化、消除的整個過程的各個方面。(4)排錯支持工具：向管理人員提供一系列的實(shí)時檢測工具，對被管理設(shè)備的狀況進(jìn)行測試并記錄測試結(jié)果以供技術(shù)人員分析和排錯；根據(jù)已有的排錯經(jīng)驗和管理員對故障狀態(tài)的描述給出對排錯行動的提示。(5)檢索/分析故障信息：瀏覽并且以關(guān)鍵字檢索查詢故障管理系統(tǒng)中所有的數(shù)據(jù)庫記錄，定期收集故障記錄數(shù)據(jù)，在此基礎(chǔ)上給出被管網(wǎng)絡(luò)系統(tǒng)、被管線路設(shè)備的可靠性參數(shù)。

4．安全管理安全管理的功能分為兩部分，首先是網(wǎng)絡(luò)管理本身的安全，其次是被管理網(wǎng)絡(luò)對象的安全。網(wǎng)絡(luò)管理過程中，存儲和傳輸?shù)墓芾砗涂刂菩畔⒅陵P(guān)重要，一旦泄密、被篡改和偽造，將給網(wǎng)絡(luò)造成災(zāi)難性的破壞。網(wǎng)絡(luò)管理本身的安全由以下機(jī)制來保證：

(1)管理員身份認(rèn)證。采用基于公開密鑰的證書認(rèn)證機(jī)制；為提高系統(tǒng)效率，對于信任域內(nèi)(如局域網(wǎng))的用戶，可以使用簡單口令認(rèn)證。(2)管理信息存儲和傳輸?shù)募用芘c完整性。Web瀏覽器和網(wǎng)絡(luò)管理服務(wù)器之間采用安全套接字層(SSL)傳輸協(xié)議，對管理信息加密傳輸并保證其完整性；內(nèi)部存儲的機(jī)密信息，如登錄口令等，也是經(jīng)過加密的。(3)網(wǎng)絡(luò)管理用戶分組管理與訪問控制。網(wǎng)絡(luò)管理系統(tǒng)的用戶(即管理員)按任務(wù)的不同分成若干用戶組，不同的用戶組有不同的權(quán)限范圍，對用戶的操作由訪問控制檢查，保證用戶不能越權(quán)使用網(wǎng)絡(luò)管理系統(tǒng)。(4)系統(tǒng)日志分析。記錄用戶所有的操作，使系統(tǒng)的操作和對網(wǎng)絡(luò)對象的修改有據(jù)可查，同時也有助于故障的跟蹤與恢復(fù)。網(wǎng)絡(luò)對象的安全管理有以下功能：(1)網(wǎng)絡(luò)資源的訪問控制。通過管理路由器的訪問控制鏈表，完成防火墻的管理功能，即從網(wǎng)絡(luò)層(IP)和傳輸層(TCP)控制對網(wǎng)絡(luò)資源的訪問，保護(hù)網(wǎng)絡(luò)內(nèi)部的設(shè)備和應(yīng)用服務(wù)，防止外來的攻擊。(2)告警事件分析。接收網(wǎng)絡(luò)對象所發(fā)出的告警事件，分析與安全相關(guān)的信息(如路由器登錄信息、SNMP認(rèn)證失敗信息)，實(shí)時地向管理員告警，并提供歷史安全事件的檢索與分析機(jī)制，及時地發(fā)現(xiàn)正在進(jìn)行的攻擊或可疑的攻擊跡象。(3)主機(jī)系統(tǒng)的安全漏洞檢測。實(shí)時監(jiān)測主機(jī)系統(tǒng)的重要服務(wù)(如WWW、DNS等)的狀態(tài)，提供安全監(jiān)測工具，以搜索系統(tǒng)可能存在的安全漏洞或安全隱患，并給出彌補(bǔ)的措施?？傊W(wǎng)絡(luò)管理通過網(wǎng)關(guān)(即邊界路由器)控制外來用戶對網(wǎng)絡(luò)資源的訪問，以防止外來的攻擊；通過告警事件的分析處理，以發(fā)現(xiàn)正在進(jìn)行的可能的攻擊；通過安全漏洞檢測來發(fā)現(xiàn)存在的安全隱患，以防患于未然。5．計費(fèi)管理(1)計費(fèi)數(shù)據(jù)采集。計費(fèi)數(shù)據(jù)采集是整個計費(fèi)系統(tǒng)的基礎(chǔ)，但計費(fèi)數(shù)據(jù)采集往往受到采集設(shè)備硬件與軟件的制約，而且也與進(jìn)行計費(fèi)的網(wǎng)絡(luò)資源有關(guān)。(2)數(shù)據(jù)管理與數(shù)據(jù)維護(hù)。計費(fèi)管理人工交互性很強(qiáng)，雖然有很多數(shù)據(jù)維護(hù)系統(tǒng)自動完成，但仍然需要人為管理，包括交納費(fèi)用的輸入、聯(lián)網(wǎng)單位信息維護(hù)以及帳單樣式?jīng)Q定等。(3)計費(fèi)政策制定。由于計費(fèi)政策經(jīng)常靈活變化，因此實(shí)現(xiàn)用戶自由制定輸入計費(fèi)政策尤其重要。這就需要一個制定計費(fèi)政策的友好人機(jī)界面和完善的實(shí)現(xiàn)計費(fèi)政策的數(shù)據(jù)模型。(4)政策比較與決策支持。計費(fèi)管理應(yīng)該提供多套計費(fèi)政策的數(shù)據(jù)比較，為政策制訂提供決策依據(jù)。(5)數(shù)據(jù)分析與費(fèi)用計算。利用采集的網(wǎng)絡(luò)資源使用數(shù)據(jù)，聯(lián)網(wǎng)用戶的詳細(xì)信息以及計費(fèi)政策計算網(wǎng)絡(luò)用戶資源的使用情況，并計算出應(yīng)交納的費(fèi)用。(6)數(shù)據(jù)查詢。提供給每個網(wǎng)絡(luò)用戶關(guān)于自身使用網(wǎng)絡(luò)資源情況的詳細(xì)信息，網(wǎng)絡(luò)用戶根據(jù)這些信息可以計算、核對自己的收費(fèi)情況。12.4網(wǎng)絡(luò)管理協(xié)議

現(xiàn)代網(wǎng)絡(luò)的發(fā)展使得網(wǎng)絡(luò)規(guī)模越來越大，也越來越復(fù)雜，簡單的網(wǎng)絡(luò)管理技術(shù)已不能適應(yīng)網(wǎng)絡(luò)迅速發(fā)展的要求。CMIS/CMIP是20世紀(jì)80年代中期國際標(biāo)準(zhǔn)化組織(ISO)和CCITT聯(lián)合制訂的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。同時，IAB還分別成立了相應(yīng)的工作組，對這些方案進(jìn)行適當(dāng)?shù)男薷?，使它們更適于Internet的管理。這些工作組隨后相應(yīng)推出了SNMP(SimpleNetWorkManagementProtoc011988)和CMOT(CMIP/CMISOverTCP/IPl989)等網(wǎng)絡(luò)管理協(xié)議，下面進(jìn)行簡單介紹。1．簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的前身是1987年發(fā)布的簡單網(wǎng)關(guān)監(jiān)控協(xié)議(SGMP)。SGMP給出了監(jiān)控網(wǎng)關(guān)(OSI第三層路由器)的直接手段，SNMP則是在其基礎(chǔ)上發(fā)展而來。最初，SNMP是作為一種可提供最小網(wǎng)絡(luò)管理功能的臨時方法開發(fā)的，它具有以下兩個優(yōu)點(diǎn)：(1)與SNMP相關(guān)的管理信息結(jié)構(gòu)(SMI)以及管理信息庫(MIB)非常簡單，從而能夠迅速、簡便地實(shí)現(xiàn)。(2)

SNMP是建立在SGMP基礎(chǔ)上的，而對于SGMP，人們積累了大量的操作經(jīng)驗。SNMP經(jīng)歷了兩次版本升級，現(xiàn)在的最新版本是SNMPv3。在前兩個版本中SNMP功能都得到了極大的增強(qiáng)，而在最新的版本中，SNMP在安全性方面有了很大的改善，SNMP缺乏安全性的弱點(diǎn)正逐漸得到克服。2．CMIS/CMIP公共管理信息服務(wù)/公共管理信息協(xié)議(CMIS/CMIP)是OSI提供的網(wǎng)絡(luò)管理協(xié)議簇。CMIS定義了每個網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù)，這些服務(wù)在本質(zhì)上是很普通的，CMIP則是實(shí)現(xiàn)CMIS服務(wù)的協(xié)議。OSI網(wǎng)絡(luò)協(xié)議旨在為所有設(shè)備在ISO參考模型的每一層提供一個公共網(wǎng)絡(luò)結(jié)構(gòu)，而CMIS/CMIP正是這樣一個用于所有網(wǎng)絡(luò)設(shè)備的完整網(wǎng)絡(luò)管理協(xié)議簇。

出于通用性的考慮，CMIS/CMIP的功能與結(jié)構(gòu)跟SNMP很不相同，SNMP是按照簡單和易于實(shí)現(xiàn)的原則設(shè)計的，而CMIS/CMIP能夠提供支持一個完整網(wǎng)絡(luò)管理方案所需的功能。CMIS/CMIP的整體結(jié)構(gòu)是建立在使用ISO網(wǎng)絡(luò)參考模型的基礎(chǔ)上的，網(wǎng)絡(luò)管理應(yīng)用進(jìn)程使用ISO參考模型中的應(yīng)用層。也在這層上，公共管理信息服務(wù)單元(CMISE)提供了應(yīng)用程序使用CMIP協(xié)議的接口。同時該層還包括了兩個ISO應(yīng)用協(xié)議：聯(lián)系控制服務(wù)元素(ACSE)和遠(yuǎn)程操作服務(wù)元素(ROSE)，其中ACSE在應(yīng)用程序之間建立和關(guān)閉聯(lián)系，而ROSE則處理應(yīng)用之間的請求/響應(yīng)交互。另外，值得注意的是OSI沒有在應(yīng)用層之下特別為網(wǎng)絡(luò)管理定義協(xié)議。3．CMOT公共管理信息服務(wù)與協(xié)議(CMOT)是在TCP/IP協(xié)議簇上實(shí)現(xiàn)CMIS服務(wù)，這是一種過渡性的解決方案，直到OSI網(wǎng)絡(luò)管理協(xié)議被廣泛采用。CMIS使用的應(yīng)用協(xié)議并沒有根據(jù)CMOT而修改，CMOT仍然依賴于CMISE、ACSE和ROSE協(xié)議，這和CMIS/CMIP是一樣的。但是，CMOT并沒有直接使用參考模型中表示層實(shí)現(xiàn)，而是要求在表示層中使用另外一個協(xié)議—輕量表示協(xié)議(LPP)，該協(xié)提供了目前最普通的兩種傳輸層協(xié)議—TCP和UDP的接口。CMOT的一個致命弱點(diǎn)在于它是一個過渡性的方案，而沒有人會把注意力集中在一個短期方案上。相反，許多重要廠商都加入了SNMP潮流并在其中投入了大量資源。事實(shí)上，雖然存在CMOT的定義，但該協(xié)議已經(jīng)很長時間沒有得到任何發(fā)展了。4．LMMP局域網(wǎng)個人管理協(xié)議(LMMP)試圖為LAN環(huán)境提供一個網(wǎng)絡(luò)管理方案。LMMP以前被稱為IEEE802邏輯鏈路控制上的公共管理信息服務(wù)與協(xié)議(CMOL)。由于該協(xié)議直接位于IEEE802邏輯鏈路層(LLC)上，它可以不依賴于任何特定的網(wǎng)絡(luò)層協(xié)議進(jìn)行網(wǎng)絡(luò)傳輸。由于不要求任何網(wǎng)絡(luò)層協(xié)議，LMMP比CMIS/CMIP或CMOT都易于實(shí)現(xiàn)，然而沒有網(wǎng)絡(luò)層提供路由信息，LMMP信息不能跨越路由器，從而限制了它只能在局域網(wǎng)中發(fā)展。但是，跨越局域網(wǎng)傳輸局限的LMMP信息轉(zhuǎn)換代理可能會克服這一問題。12.5網(wǎng)絡(luò)管理系統(tǒng)下面將介紹四種網(wǎng)絡(luò)管理系統(tǒng)，并給出它們的優(yōu)缺點(diǎn)比較。這四種網(wǎng)絡(luò)管理系統(tǒng)是：惠普(HP)公司的OpenView，國際商用公司(IBM)的NetView，SUN公司的SunNet以及近年來代表未來智能網(wǎng)絡(luò)管理方向的Cabletron公司的SPECTRUM。1．HP的OpenViewHP的OpenView有爭議地成為了第一個真正兼容的、跨平臺的網(wǎng)絡(luò)管理系統(tǒng)，因此也得到了廣泛的市場應(yīng)用。雖然OpenView被認(rèn)為是一個企業(yè)級的網(wǎng)絡(luò)管理系統(tǒng)，但它跟大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)一樣，不能提供NetWare、SNA、DECnet、x.25，無線通信交換機(jī)以及其他非SNMP設(shè)備的管理功能。OpenView不能處理因為某一網(wǎng)絡(luò)對象故障而誤導(dǎo)致的其他對象的故障。具體說來就是，它不具備理解所有網(wǎng)絡(luò)對象在網(wǎng)絡(luò)中相互關(guān)系的能力，因此一旦這些網(wǎng)絡(luò)對象中的一個發(fā)生故障，導(dǎo)致其他正常的網(wǎng)絡(luò)對象停止響應(yīng)網(wǎng)絡(luò)管理系統(tǒng)，它會把這些正常網(wǎng)絡(luò)對象當(dāng)作故障對象對待。OpenView的MIB變量瀏覽器相對而言是最完善的，而且正常情況下使用該MIB變量瀏覽器只會產(chǎn)生很少的流量開銷。但OpenView仍然需要更多、更簡潔的故障工具以對付各種各樣的故障與問題。OpenView的用戶界面干凈靈活，但在功能引導(dǎo)上顯得笨拙。同時OpenView還在簡單、易用的Motif圖形用戶界面上提供狀態(tài)信息和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖形，雖然這些信息和圖形在大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)中都提供。2．IBM的NetViewIBM的NetView是一個相對比較新，同時又具有兼容性的網(wǎng)絡(luò)管理系統(tǒng)。NetView既可以作為一個跨平臺的、即插即用的系統(tǒng)提供給最終用戶，也可以作為一個開發(fā)平臺，在上面開發(fā)新的網(wǎng)絡(luò)管理應(yīng)用。NetView不能對故障事件進(jìn)行歸并，不能找出相關(guān)故障卡片的內(nèi)在關(guān)系，因此對一個失效設(shè)備，即使是一個重要的路由器，將導(dǎo)致大量的故障卡片和一系列類似的告警，這是難以接受的。IBM極大地簡化了NetView的安裝過程，使得安裝NetView比安裝OpenView簡單許多，它也是大多數(shù)網(wǎng)絡(luò)管理軟件中最容易安裝的。NetView用戶界面干凈靈活，它比OpenView更容易使用。它的Motif圖形用戶界面也像大多數(shù)網(wǎng)絡(luò)管理軟件一樣用圖形方式顯示對象的狀態(tài)和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。3．SUN的SunNetManagerSunNetManager(SNM)是第一個重要的基于UNIX的網(wǎng)絡(luò)管理系統(tǒng)。SNM一直主要作為開發(fā)平臺而存在，它僅僅提供很有限的應(yīng)用功能。

SNM有兩個有趣的特性：Proxy管理代理和集成控制核心。SNM是第一個提供分布式網(wǎng)絡(luò)管理的產(chǎn)品，它的數(shù)據(jù)采集代理可以通過RPC(遠(yuǎn)程過程調(diào)用)與管理進(jìn)程通信。集成控制核心允許多個SNM共享網(wǎng)絡(luò)狀態(tài)信息，這樣一個子網(wǎng)可以擁有自己的SNM以監(jiān)控該子網(wǎng)的狀態(tài)，然后集成控制核心在不同SNM之間共享信息，這樣即使是異構(gòu)的復(fù)雜網(wǎng)絡(luò)也能很好地收集和發(fā)布網(wǎng)絡(luò)信息。SNM更多的是作為一個平臺而不是一個網(wǎng)絡(luò)管理產(chǎn)品出現(xiàn)，它提供了一系列的API可供第三方廠商在其上開發(fā)自己的應(yīng)用，因此如果希望使用針對SNM的友好用戶界面，則必須購買第三方提供的軟件。4．Cabletron的SPECTRUMCabletron的SPECTRUM是一個可擴(kuò)展的、智能的網(wǎng)絡(luò)管理系統(tǒng)，它使用了面向?qū)ο蟮姆椒ê虲1ient/Server體系結(jié)構(gòu)。SPECTRUM是四種網(wǎng)絡(luò)管理軟件中惟一具備處理網(wǎng)絡(luò)對象相關(guān)性能力的系統(tǒng)。SPECTRUM采用的歸納模型可以使它檢查不同的網(wǎng)絡(luò)對象與事件，從而找到其中的共同點(diǎn)，以歸納出同一本質(zhì)的事件或故障。在SPECTRUM中，管理員可以控制網(wǎng)絡(luò)操作人員訪問系統(tǒng)的界面，以控制系統(tǒng)的使用權(quán)限，同時嚴(yán)格控制一個域的操作人員只能控制自己的管理域。通過SPECTRUM的圖形用戶界面，用戶可以定義自己的操作環(huán)境并設(shè)置自己的快捷方式。不過在SPECTRUM中沒有在線幫助。

5．國內(nèi)常見網(wǎng)絡(luò)管理軟件(1)百絡(luò)網(wǎng)警。百絡(luò)網(wǎng)警局域網(wǎng)管理軟件是上海百絡(luò)信息技術(shù)有限公司自主研發(fā)的基于KERCAP抓包內(nèi)核的產(chǎn)品，摒棄了傳統(tǒng)軟件采用的國外開源程序winpcap，速度更快，安全性更好，通過了公安部認(rèn)證，為包括中科院、360安全衛(wèi)士、蒙牛集團(tuán)等全國5000多家企事業(yè)單位、政府機(jī)關(guān)和科研機(jī)構(gòu)的局域網(wǎng)管理作出了不可磨滅的貢獻(xiàn)。(2)網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)管理員是一套可以為廣大機(jī)關(guān)、企事業(yè)單位提供完美管理解決方案的網(wǎng)絡(luò)管理軟件。該軟件主要針對目前國內(nèi)機(jī)關(guān)、企事業(yè)單位的網(wǎng)絡(luò)應(yīng)用現(xiàn)狀，如單位總出口帶寬有限、網(wǎng)絡(luò)濫用、員工無節(jié)制上網(wǎng)、聊天等，提供了簡單、快捷但非常有效的管理功能。網(wǎng)絡(luò)管理員軟件和同類產(chǎn)品相比，性能優(yōu)異，部署方便，功能全面，是一套理想的網(wǎng)管軟件。

(3)金盾CIS5。金盾全面內(nèi)網(wǎng)安全與網(wǎng)絡(luò)行為管理軟件V5.0(JinDunComprehensiveIntranetSecurity&NetworkBehaviorManagementSoft)，簡稱金盾CIS5，是一套融合了最新信息技術(shù)和“全面內(nèi)網(wǎng)安全管理”及“終端統(tǒng)一威脅管理”先進(jìn)管理理念的里程碑式的軟件產(chǎn)品。6．網(wǎng)絡(luò)系統(tǒng)的選擇標(biāo)準(zhǔn)由于網(wǎng)絡(luò)管理已經(jīng)有了一系列的標(biāo)準(zhǔn)，以及OSI定義的網(wǎng)絡(luò)管理五大功能，使得具有配置管理、性能管理、故障管理、安全管理和計費(fèi)管理五大功能的管理系統(tǒng)成為可能。所以選擇網(wǎng)絡(luò)管理平臺(即網(wǎng)絡(luò)管理系統(tǒng)軟件)有諸多因素需要考慮，但總體來說，一般需要滿足下面的一些標(biāo)準(zhǔn)。(1)以應(yīng)用為中心。保證以應(yīng)用為中心是購置網(wǎng)絡(luò)管理軟件最基本的出發(fā)點(diǎn)。網(wǎng)管軟件應(yīng)能夠根據(jù)應(yīng)用環(huán)境及用戶需求提供端到端的全面管理，可以管理從底層網(wǎng)絡(luò)到系統(tǒng)性能、操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件等各種資源(通過基于策略的網(wǎng)絡(luò)管理主動采取行動，如重新啟動或停止進(jìn)程等)。它還應(yīng)該能向有關(guān)人員發(fā)出警報，如通過電子郵件或?qū)ず舻取?2)可用性和性能管理。網(wǎng)絡(luò)設(shè)備僅保證其“可用性”是遠(yuǎn)遠(yuǎn)不夠的，網(wǎng)絡(luò)設(shè)備的可用性、性能測量和管理都是當(dāng)今網(wǎng)絡(luò)管理的重要組成部分。其中，性能測量和管理應(yīng)當(dāng)是網(wǎng)管軟件的一個重要指標(biāo)。(3)可擴(kuò)展性。隨著企業(yè)對自身網(wǎng)絡(luò)可擴(kuò)展性的要求不斷提高，網(wǎng)管軟件能否隨網(wǎng)絡(luò)的擴(kuò)展動態(tài)地實(shí)現(xiàn)管理變得更為重要。(4)易于管理。管理也就意味著控制，管理不當(dāng)?shù)木W(wǎng)絡(luò)會經(jīng)常出現(xiàn)問題。具備配置功能、性能監(jiān)控、故障排除、安全檢查的網(wǎng)管軟件對于網(wǎng)絡(luò)管理來說是必不可少的。完整、強(qiáng)大的解決方案必須簡單、直觀、易于管理，這樣才能提高管理效率。(5)標(biāo)準(zhǔn)支持。SNMP等標(biāo)準(zhǔn)已經(jīng)成熟，所有人都可以使用它們制作產(chǎn)品。真正的網(wǎng)管軟件應(yīng)該支持現(xiàn)有甚至新興的標(biāo)準(zhǔn)，將其納入自己的體系結(jié)構(gòu)。(6)協(xié)議支持。Internet的快速增長使TCP/IP成為當(dāng)今最常用的協(xié)議，但它不是惟一的協(xié)議。SNA和DECnet等其他企業(yè)協(xié)議也能為企業(yè)提供關(guān)鍵任務(wù)服務(wù)。真正的企業(yè)網(wǎng)絡(luò)管理解決方案應(yīng)支持所有網(wǎng)絡(luò)協(xié)議，應(yīng)能在各種類型的硬件和操作系統(tǒng)上運(yùn)行，而不僅僅貼近某個廠商或某種操作系統(tǒng)。(7)集成性。及時解決方案提供最“完整”的一套特性和功能，用戶也可能另外需要針對特殊設(shè)備的管理器，利用第三方廠商或內(nèi)部開發(fā)工具才能滿足需求。網(wǎng)絡(luò)管理解決方案必須能容易、緊密的與這些特殊設(shè)備的管理器和工具相集成。它必須能在自己網(wǎng)絡(luò)環(huán)境下啟動特殊設(shè)備的工具，并提供靈活的與這些工具交換信息的方法。這樣，用戶無需再為同樣信息保留多個文件或數(shù)據(jù)庫。(8)靈活性。各廠商和客戶對“靈活性”的理解各不相同(在最低限度下，任何網(wǎng)絡(luò)管理解決方案都必須能適應(yīng)客戶的特殊需求。這與“管理結(jié)構(gòu)”的構(gòu)造有關(guān)，如按地區(qū)、按業(yè)務(wù)部門、按平臺或按客戶決定構(gòu)造等。它應(yīng)該能適應(yīng)主要業(yè)務(wù)的突然變化。例如，假設(shè)公司并購了一家擁有5000個節(jié)點(diǎn)的公司，應(yīng)該不用重新設(shè)計其網(wǎng)絡(luò)管理體系結(jié)構(gòu)，也不需要去購買其他的節(jié)點(diǎn)管理授權(quán)，而是只需要去管理這些新增設(shè)備。它應(yīng)該能靈活地處理網(wǎng)絡(luò)流量、事件數(shù)量和類型的突增，或者新增的網(wǎng)絡(luò)資源?？傊?，選擇的網(wǎng)管軟件應(yīng)該是“自適應(yīng)的”，這樣在出現(xiàn)新政策后，只需少量延遲或努力就能在網(wǎng)絡(luò)管理框架中實(shí)施。12.6網(wǎng)絡(luò)管理和維護(hù)網(wǎng)絡(luò)管理和維護(hù)是一項非常復(fù)雜的任務(wù)，雖然目前關(guān)于網(wǎng)絡(luò)管理既制訂了國際標(biāo)準(zhǔn)，又存在眾多網(wǎng)絡(luò)管理的平臺與系統(tǒng)，但要真正做好網(wǎng)絡(luò)管理的工作不是一件簡單的事情，需要廣泛的背景知識與大量的實(shí)際操作經(jīng)驗。下面將介紹網(wǎng)絡(luò)技術(shù)發(fā)展下一些新形式的網(wǎng)絡(luò)管理，以及在長期網(wǎng)絡(luò)管理實(shí)踐基礎(chǔ)上總結(jié)出來的一些網(wǎng)絡(luò)管理經(jīng)驗。1．VLAN管理VLAN(虛擬局域網(wǎng))就是一個計算機(jī)網(wǎng)絡(luò)，其中的計算機(jī)好像是被同一網(wǎng)線連接在一起，而實(shí)際上它們可能分處于局域網(wǎng)的不同區(qū)域。VLAN更多的是通過軟件而非硬件來實(shí)現(xiàn)，因此具有很高的靈活性。VlAN的一個主要特性就是提供了更多的管理控制，減少了相對日常管理開銷，提供了更大的配置靈活性。VLAN的這些特性包括：當(dāng)用戶從一個地點(diǎn)移動到另一個地點(diǎn)時，簡化了配置操作和過程修改；當(dāng)網(wǎng)絡(luò)阻塞時，可以重新調(diào)節(jié)流量分布；提供流量與廣播行為的詳細(xì)報告，同時統(tǒng)計VLAN邏輯區(qū)域的規(guī)模與組成；提供根據(jù)實(shí)際情況在VLAN中增加和減少用戶的靈活性。1)

VLANViewVLANView具有圖形用戶界面，它的核心應(yīng)用是通過圖形界面上的拖放操作模式來為VLAN創(chuàng)建的邏輯組分配端口。在這種功能中，以圖形方式自動畫出每個交換機(jī)在網(wǎng)絡(luò)中拓?fù)湮恢茫⑻峁┙粨Q機(jī)每個端口的狀態(tài)顯示，然后允許用戶拖放一個或多個端口給一個VLAN。這種圖形界面下的拖放操作方式減少了配置時間，同時使得操作簡單易用。VLANView不僅減少了給VLAN配置端口的時間，而且還提供了在主干網(wǎng)不同交換機(jī)間配置VLAN的功能。該功能在相連的路由器與交換機(jī)之間傳遞一系列的配置選項以優(yōu)化VLAN的流量。首先，提供一種簡單操作模式，該模式可以自動啟動交換機(jī)之間的主干線路，而這些交換機(jī)都配置有VLAN或處于連接VLAN的鏈路之上。其次，網(wǎng)絡(luò)管理員可以通過在冗余線路上分配VLAN，或在一特定區(qū)域內(nèi)分離VLAN，以方便地調(diào)優(yōu)它們。最后，網(wǎng)絡(luò)管理員可以方便地通過主干網(wǎng)查看VIAN的配置情況，以及每個VLAN的詳細(xì)連接信息，包括交換機(jī)、線路的連接配置以及端口的分配情況。VLANView還將具備一些擴(kuò)展功能，包括通過發(fā)現(xiàn)終端主機(jī)的MAC/IP地址給VLAN動態(tài)分配交換機(jī)的端口，給端口添加安全功能以識別非授權(quán)用戶，以及基于應(yīng)用層和網(wǎng)絡(luò)層協(xié)議對第三層VLAN進(jìn)行動態(tài)分組。2)

TrafficViewTrafficView是一個基于RMON的流量監(jiān)聽與分析應(yīng)用，該應(yīng)用可以提供給端口和每個局城網(wǎng)段的流量信息。同時，該應(yīng)用不僅可以為每個局域網(wǎng)的故障診斷與排除提供幫助，而且提供流量趨勢分析以發(fā)現(xiàn)主要的網(wǎng)絡(luò)變化。這些趨勢信息在網(wǎng)絡(luò)規(guī)劃階段、網(wǎng)絡(luò)實(shí)施階段以及計劃審批階段都非常有用，同時利用這些趨勢信息還能很快發(fā)現(xiàn)網(wǎng)絡(luò)發(fā)生的故障。另一方面，TrafficView的管理代理具有通用性，這些管理代理不僅可以給TrafficView提供數(shù)據(jù)，還可以給任何具有RMON的應(yīng)用提供數(shù)據(jù)，為網(wǎng)絡(luò)管理功能的集成提供了保障。

2．WAN接入管理

在網(wǎng)絡(luò)管理的解決方案中，我們知道一個大型網(wǎng)絡(luò)(一般是WAN)是通過分層方式進(jìn)行管理的。例如一個全國性的網(wǎng)絡(luò)中心之下有許多地區(qū)性的網(wǎng)絡(luò)中心，一般全國性的網(wǎng)絡(luò)中心主要保證這個WAN的主干網(wǎng)正常運(yùn)轉(zhuǎn)，而地區(qū)性網(wǎng)絡(luò)中心則主要負(fù)責(zé)各個網(wǎng)絡(luò)用戶的接入管理。對于每個想入網(wǎng)的用戶而言，首先要考慮如何接入這個網(wǎng)絡(luò)。一般用戶需要找到主管自己這一地區(qū)的地區(qū)性網(wǎng)絡(luò)中心，然后提出申請，最后該地區(qū)性網(wǎng)絡(luò)中心再進(jìn)行用戶的接入操作。這些操作一般包括：(1)聯(lián)網(wǎng)用戶必須租用一條網(wǎng)絡(luò)線路，連接用戶與地區(qū)性網(wǎng)絡(luò)中心。該線路可以是已經(jīng)存在的，屬于某個商業(yè)網(wǎng)絡(luò)公司或電信公司，也可以是單獨(dú)為該用戶鋪設(shè)的一條線路。線路既可能是使用光纖的DDN專線，也可能是使用電話線的DDR線路。聯(lián)網(wǎng)用戶租用了網(wǎng)絡(luò)線路就要向線路的經(jīng)營者交納租金，而線路的經(jīng)營者可能不是提供接入服務(wù)的地區(qū)性網(wǎng)絡(luò)中心。(2)聯(lián)網(wǎng)用戶需要向地區(qū)網(wǎng)絡(luò)中心申請一段屬于自己的IP地址，然后在全國網(wǎng)絡(luò)中心注冊域名。(3)對于接入的聯(lián)網(wǎng)用戶，一般都要向地區(qū)性網(wǎng)絡(luò)中心一次性交納一筆接入費(fèi)用，然后地區(qū)網(wǎng)絡(luò)中心再對該用戶進(jìn)行網(wǎng)絡(luò)接入的相關(guān)配置。(4)在聯(lián)網(wǎng)用戶端也需要進(jìn)行相應(yīng)的配置，然后開通該用戶的網(wǎng)絡(luò)連接，最后聯(lián)網(wǎng)用戶需要根據(jù)其使用網(wǎng)絡(luò)資源的流量交納網(wǎng)絡(luò)費(fèi)用。在上面的操作中可以看到，地區(qū)網(wǎng)絡(luò)中心對新聯(lián)網(wǎng)用戶的接入需要進(jìn)行相應(yīng)的配置，這些配置操作一般包括：(1)在接入路由器上，選擇一個空閑端口，在該端口上進(jìn)行相應(yīng)的配置，然后再根據(jù)接入的拓?fù)潢P(guān)系，配置該端口的路由信息。(2)在接入路由器上，根據(jù)用戶的IP地址范圍建立一個access-1ist組，一旦用戶要求或其他情況(如用戶沒有按規(guī)定交納費(fèi)用等)發(fā)生時，可以立即切斷該用戶的網(wǎng)絡(luò)連接。(3)把該路由器端口和連接聯(lián)網(wǎng)用戶的線路加入網(wǎng)絡(luò)管理監(jiān)視對象集，以保障給用戶提供可靠、穩(wěn)定的網(wǎng)絡(luò)接入服務(wù)。

3．網(wǎng)絡(luò)故障診斷和排除

網(wǎng)絡(luò)中可能出現(xiàn)的故障多種多樣，往往解決一個復(fù)雜的網(wǎng)絡(luò)故障需要廣泛的網(wǎng)絡(luò)知識與豐富的工作經(jīng)驗。這也是為什么一個成熟的網(wǎng)絡(luò)管理機(jī)構(gòu)制訂有一整套完備的故障管理日志記錄機(jī)制，同時人們也率先把專家系統(tǒng)和人工智能技術(shù)引進(jìn)到網(wǎng)絡(luò)故障管理中來的原因。另一方面，由于網(wǎng)絡(luò)故障的多樣性和復(fù)雜性，網(wǎng)絡(luò)故障分類方法也不盡相同。我們可以根據(jù)網(wǎng)絡(luò)故障的性質(zhì)把故障分為物理故障與邏輯故障，也可以根據(jù)網(wǎng)絡(luò)故障的對象把故障分為線路故障、路由器故障和主機(jī)故障。首先介紹按照網(wǎng)絡(luò)故障不同性質(zhì)而劃分的物理故障與邏輯故障。(1)物理故障。物理故障是指設(shè)備或線路損壞、插頭松動、線路受到嚴(yán)重電磁干擾等情況。比如說，網(wǎng)絡(luò)中某條線路突然中斷，這時網(wǎng)絡(luò)管理人員從監(jiān)控界面上發(fā)現(xiàn)該線路流量突然下降或系統(tǒng)彈出報警界面，這時首先用Ping檢查線路在網(wǎng)絡(luò)管理中心一端的端口是否連通，如果不連通，則檢查端口插頭是否松動，如果松動則插緊，再用Ping檢查，如果連通則故障解決，這時須把故障的特征及解決步驟詳細(xì)記錄下來。也有可能是線路遠(yuǎn)離網(wǎng)絡(luò)管理中心的一端插頭松動，這時需要通知對方進(jìn)行解決。另一種常見的物理故障就是網(wǎng)絡(luò)插頭誤接，這種情況經(jīng)常是沒有搞清網(wǎng)絡(luò)插頭規(guī)范或沒有弄清網(wǎng)絡(luò)拓?fù)湟?guī)劃而導(dǎo)致的。網(wǎng)絡(luò)插頭都有一些規(guī)范，只有搞清網(wǎng)線中每根線的顏色和意義，才能做出符合規(guī)范的插頭，否則就會導(dǎo)致網(wǎng)絡(luò)連接出錯。另一種情況，比如兩個路由器直接連接，這時應(yīng)該讓一臺路由器的出口連接另一路由器的入口，而這臺路由器的入口連接另一路由器的出口，這時制作的網(wǎng)線就應(yīng)該滿足這一特性，否則也會導(dǎo)致網(wǎng)絡(luò)誤解。上述這種網(wǎng)絡(luò)連接故障顯得很隱蔽，要診斷它沒有特別好的工具，只有依靠經(jīng)驗豐富的網(wǎng)絡(luò)管理人員了。(2)邏輯故障。邏輯故障中的一種常見情況就是配置錯誤，是指因為網(wǎng)絡(luò)設(shè)備的配置原因而導(dǎo)致的網(wǎng)絡(luò)異?；蚬收?。配置錯誤可能是路由器端口參數(shù)設(shè)定有誤，或路由器路由配置錯誤以致于路由循環(huán)或找不到遠(yuǎn)端地址，或者是網(wǎng)絡(luò)掩碼設(shè)置錯誤等。比如，同樣是網(wǎng)絡(luò)中某條線路故障，發(fā)現(xiàn)該線路沒有流量，但又可以Ping通線路兩端的端口，這時很可能是路由配置錯誤導(dǎo)致循環(huán)。診斷該故障可以用traceroute工具，可以發(fā)現(xiàn)在traceroute的結(jié)果中某一段之后，兩個IP地址循環(huán)出現(xiàn)。這時，一般是線路遠(yuǎn)端把端口路由又指向了線路的近端，導(dǎo)致IP包在該線路上來回反復(fù)傳遞。這時需要更改遠(yuǎn)端路由器端口配置，把路由設(shè)置為正確配置，就能恢復(fù)線路了。當(dāng)然處理該故障的所有動作都要記錄在日志中。邏輯故障中另一類故障是一些重要進(jìn)程或端口關(guān)閉，以及系統(tǒng)的負(fù)載過高。比如，路由器的SNMP進(jìn)程意外終止，這時網(wǎng)絡(luò)管理系統(tǒng)將不能從路由器中采集到任何數(shù)據(jù)，因此網(wǎng)絡(luò)管理系統(tǒng)失去了對該路由器的控制。還有，同樣發(fā)現(xiàn)線路中斷，沒有流量，這時執(zhí)行Ping命令發(fā)現(xiàn)線路近端的端口Ping不通，經(jīng)檢查發(fā)現(xiàn)該端口處于down狀態(tài)，就是說端口已經(jīng)關(guān)閉，因此導(dǎo)致故障。這時只需重新啟動該端口，就可以恢復(fù)線路的連通了。另一種常見情況是路由器的負(fù)載過高，表現(xiàn)為路由器CPU溫度太高，CPU利用率太高，以及內(nèi)存余量太小等，雖然這種故障不直接影響網(wǎng)絡(luò)的連通，但卻影響到網(wǎng)絡(luò)提供服務(wù)的質(zhì)量，而且也容易導(dǎo)致硬件設(shè)備的損害。下面介紹根據(jù)故障的不同對象而劃分的線路故障、路由器故障和主機(jī)故障。(1)線路故障。線路故障最常見的情況就是線路不通，診斷這種故障可用Ping檢查線路遠(yuǎn)端的路由器端口是否還能響應(yīng)，或檢測該線路上的流量是否還存在。一旦發(fā)現(xiàn)遠(yuǎn)端路由器端口不通，或該線路沒有流量，則該線路可能出現(xiàn)了故障。這時有幾種處理方法：首先Ping線路兩端路由器端口，檢查兩端的端口是否關(guān)閉。如果其中一端端口沒有響應(yīng)則可能是路由器端口故障。如果是近端端口關(guān)閉，可檢查端口插頭是否松動，路由器端口是否處于down的狀態(tài)；如果是遠(yuǎn)端端口關(guān)閉，則要通知線路對方進(jìn)行檢查。進(jìn)行這些故障處理之后，線路往往就通暢了。如果線路仍然不通，一種可能是通知線路的提供商檢查線路本身的情況，看是否線路中間被切斷等；另一種可能就是路由器配置出錯，比如路由循環(huán)，即遠(yuǎn)端端口路由又指向了線路的近端，這樣線路遠(yuǎn)端連接的網(wǎng)絡(luò)用戶就不通了，這種故障可以用traceroute來診斷。(2)路由器故障。事實(shí)上，線路故障中很多情況都涉及到路由器，因此也可以把一些線路故障歸結(jié)為路由器故障。但線路涉及到兩端的路由器，因此在考慮線路故障時要涉及到多個路由器。有些路由器故障僅僅涉及到它本身，比較典型的就是路由器CPU溫度過高、CPU利用率過高和路由器內(nèi)存余量太小，其中最危險的是路由器CPU溫度過高，因為這可能導(dǎo)致路由器燒毀，而路由器CPU利用率過高和路由器內(nèi)存余量太小都將直接影響到網(wǎng)絡(luò)服務(wù)的質(zhì)量，如路由器丟包率會隨內(nèi)存余量的下降而上升。檢測這種類型的故障需要利用MIB變量瀏覽器工具，從路由器MIB變量中讀出有關(guān)的數(shù)據(jù)，通常情況下網(wǎng)絡(luò)管理系統(tǒng)有專門的管理