网络管理范文
时间:2023-03-27 21:05:21
导语:如何才能写好一篇网络管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:网络管理功能;帐户管理;计算机网络管理技术;防火墙
一、网络管理的五大功能
1.配置管理是最基本的网络管理功能,它负责网络的建立、业务的展开,以及配置数据的维护。2.故障管理保证网络资源的无障碍、无错误的运营状态。3.性能管理保证有效地运营网络和提供约定的服务质量。4.安全管理采用信息安全措施保护网络中的系统、数据及业务。5.计费管理根据业务及资源的使用记录制作用户收费报告确定网络业务和资源的使用费用,计算成本。
二、帐户管理
拥有计算机帐户是计算机接入Windows网络的基础,拥有用户帐户是用户登录到网络并使用网络资源的前提,因此,管理用户帐户和计算机帐户是Windows网络管理中最重要的工作。用户帐户能够让用户以被授权的身份登录到计算机和域,并访问域中资源。在Windows 2000/XP/2003版本的操作系统中,工作站或独立服务器中的用户帐户一般称为本机用户帐户,只能在本机上登录,而在域控制器上的用户帐户则称为域用户帐户,也称为活动目录用户帐户,可以在整个域中登录。在Windows 2000 Professional 和独立服务器中的用户帐户,都是为管理本地计算机而使用的,不同的用户帐户登录Windows系统具有不同的权限。为了更好地管理本地计算机,需要为不同的用户创建用户帐号,同时赋予不同的权限。一个客户机要想加入到域中,必须在域控制器上有计算机帐户,否则将无法加入到域中。在网络登录和资源访问时,计算机帐户与用户帐户都需要进行网络验证和权限审核,但它们之间还是有很大区别。组是Windows 2000从WindowsNT系统继承下来的安全管理模式,用户组的管理思想是这样的:当管理员用户赋予用户帐户权限时,如果和用户帐户权限不相同时,必须分别为它们设置权限,但是如果它们的权限相同时,也要分别进行设置,这就做了许多重复的工作。有了组的概念后,就可以将这些具有相同权限的用户规划到一个组中,使这些用户成为该组的成员,然后通过赋予该组权限来使这些用户具有相同的权限,这就大大减轻了用户帐户的管理工作。在Windows 2000Server中,动态目录服务把域又详细分成组织单位。组织单位是一个逻辑单位,它是域中一些用户、计算机和组、文件与打印机等的资源对象,组织单位中还可以再划分下级组织单位。组织单位具有继承性,子单位能够继承父单位的访问许可权。每一个组织单位可以有自己单独的管理员并可指定其管理权限,它们管理着不同的任务,从而实现了对资源和用户的分级管理。
三、网络管理技术概述
1.网络管理协议。网络管理协议一般为应用层级协议,它定义了网络管理信息的类别及其相应的确切格式,并且提供了网络管理站和网络管理节点间进行通讯的标准或规则。网络管理系统通常由管理者(Manager)和( Agent)组成,他们间利用网络实现管理信息交换,以完成各种管理功能,交换管理信息必须遵循统一的通信规约,我们称这个通信规约为网络管理协议。目前有两大网管协议,一个是由IETF提出来的简单网络管理协议SNMP,它是基于TCP / IP和Internet的。SNMP的特点主要是采用轮询监控。另一个是ISO定义的公共管理信息协议CMIP。CMIP是以OSI的七层协议栈作为基础的,它可以对开放系统互连环境下的所有网络资源进行监测和控制,被认为是未来网络管理的标准协议。CMIP的特点是采用委托监控。委托监控的主要优点是网络管理通信的开销小、反应及时,缺点是对的软硬件资源要求高,要求被管站上开发许多相应的程序,因此短期内尚不能得到广泛的支持。2.网络管理系统的组成。网络管理的需求决定了网管系统的组成和规模,任何网管系统无论其规模大小如何,基本上都是由支持网管协议的网管软件平台、网管支撑软件、网管工作平台和支撑网管协议的网络设备组成。3.网络管理的体系结构。网络管理系统的体系结构(通常简称网络拓扑结构)是决定网络管理性能的重要因素之一。通常可以把其分为集中式和非集中式两类体系结构。
目前,集中式网管体系结构通常采用以平台为中心的工作模式,该工作模式把单一的管理者分成两部分:管理平台和管理应用。管理平台主要关心收集的信息并进行简单的计算,而管理应用则利用管理平台提供的信息进行决策和执行更高级的功能。非集中方式的网络管理体系结构包括层次方式和分布式。层次方式采用管理者的管理者MOM(Manager of manager)的概念,以域为单位,每个域有一个管理者,它们之间的通讯通过上层的MOM,而不直接通讯。分布式是端对端(peer to peer)的体系结构,管理者之间可以相互通讯或通过高级管理者进行协调。
四、防火墙
黑客实际就是在Internet中,利用一些软件或通过操作系统本身的漏洞达到远程破坏各种计算机系统的人。对于这种破坏,小到一些无聊的恶作剧或偷窥一下电脑中的隐私,大到完全控制你的电脑,并以你的电脑为跳板,做一些非法的事情,窃取电脑中的一些机密信息,比如QQ帐户、银行帐户、机密文件等,甚至破坏电脑中的数据。所以,如果不对他们加以防范,后果将会非常严重。对付这些来自黑客的攻击及破坏,最好的方法就是使用专业的防火墙系统。它可以在你的系统边缘构建一道“安全之墙”,防止外面的各种攻击破坏你的系统。防火墙可对网络通信进行监控,它只会让那些安全、核准了的信息进出,同时阻止那些可能会构成威胁的信息。通常防火墙的功能主要有:限制他人进入内部网络,过滤掉不安全的服务和非法用户,限定用户访问特殊站点,监视Internet安全。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Internet等各类相对集中的网络。
随着网络规模迅速扩大,网络的复杂程度也日益加剧。但是计算机网络与人们的生活密切相关,因此网络上出现的一些问题需要合理解决,也就需要越来越多的网络管理人才。网络管理系统提供了网络管理工具,成为了网络管理员的重要帮手,还有一些专门用于管理的软件都起到了重要的作用。为适应网络大发展的这一时代需要,在构建计算机网络时必须高度重视网络管理的重要性,重点从网管技术和网管策略设计两个大的方面全面规划和设计好网络管理的方方面面,以保障网络系统高效、安全地运行。
参考文献:
[1]周明天,汪文勇网络管理与技术.北京: 清华大学出版社, 1993.
[2]郭军. 网络管理. 北京:北京邮电大学出版社,2003.
[3]夏海涛,詹志强等. 新一代网络管理技术. 北京:北京邮电大学出版社,2003.
[4]胡铮,《网络与信息管理》,电子工业出版社,2008.
篇2
【关键词】3G 网络 管理
本文根据对3G网管和2G网管的需求比较及3G网络的技术特点,提出了3G网管的一系列管理体系的解决方案,并对3G网管的技术趋势和参考模型进行了分析。然后,进行了基于3G网管的应用研究,提出了一般组网方式和典型组网方式的系统组网模型。当前,3G网络即将大规模全面商用,因此,本文提出的3G网管系统解决方案具有较高的参考价值。
一、概述
按照TMN管理框架,WCDMA系统网络管理分为网元管理层、网络管理层、业务管理层和商务管理层。不管是综合考虑网管解决方案,还是分管理层考虑网管解决方案,首先,要研究清楚各管理层的管理功能、信息模型和上下互通接口的标准化,并逐渐将研究中心向上层移动。研究中心的上移,会影响研究方式的改变。TMN管理框架一般采用从下向上的设计思想,所以TMN在网元管理层和网络管理层有一套非常稳定的规范。TMF组织提供从上向下的设计思想,对高层管理层提出了一套比较有效的规范建议。
在高层管理层中,网管系统为运营商和最终用户提供客户化的管理,网络管理不再是简单的网络设备操作维护,广义上还要包括在新的商业模式下的网络优化规划决策管理、业务服务支撑管理、客户服务中心以及客户关系管理。
二、3G网管与2G网管的思路的不同点
1.对于2G和3G系统的网络管理和需求是没有显著不同的,在以下问题对2G和3G网管系统都同样面临:
(1)具有管理同一系统中不同厂家设备的能力;
(2)能够减小UMTS(Universal Mobile Telecommunications System)管理的复杂性;
(3)能够在UMTS网元与网管之间,以及网管系统自身之间通过标准接口进行通讯;
(4)能够降低UMTS网络管理的费用,以减少其在网络运营成本中的比重;
(5)提供灵活配置能力,允许新业务迅速开展;
(6)提供综合故障管理功能;
(7)通过远程维护减轻维护负担;
(8)能够在费用较低的情况下平滑扩容;
(9)能够最大限度利用现有资源;
(10)提供良好的安全管理功能;
(11)提供灵活的计费管理功能;
(12)能够提供好的性能管理功能使运营者能够很好地规划网络。
2.在以下方面2G和3G网管不尽相同:
(1)3G网管与2G网管基于的参考模型不同;
(2)3G网管增加了对ATM宽带交换的管理功能,以及对3G网络的性能分析;
(3)由于3G设备比2G设备能够提供更大的带宽,所以3G网管更加丰富的业务管理能力;
(4)3G网管增加了对数据业务的计费功能;
(5)3G网管与2G网管对外接口不同,2G主要是Q3接口,3G比较认可CORBA接口。
三、3G电信网络管理特点
网管部分作为与用户接口,完成网络管理和设备维护功能,整个系统包括了配置管理、故障管理、性能管理、计费管理、安全性管理和用户管理等几大部分。
根据32101-311协议UMTS网络管理的核心框架包括:
为用户提供服务;必要的基础设施确保以上服务;保证设施正常运转,包括提供:操作、服务质量评估、故障处理与报告等;计费。
四、目前网管解决方案
就目前网管解决方案来看,以下趋势值得我们关注:
1.集成管理
多数厂商提供的网管系统提供了很强的集成能力,表现在域内不同层次网管的集成,如网元管理、网络管理、业务管理和事务管理在解决方案上的集成,方便用户使用;跨域集成,通过界面或平台的统一达到集成的目的。总的来说,网管将从“多座位”转到“单座位”。
2.以业务管理为中心
以前的网管系统有从设备管理到业务管理的方向性,主要是TMN 的思想,现在一个明确的趋势是以业务管理为核心的构造,突出网管在业务管理的核心作用。
3.策略管理
传统的网管是“配置型”的,这种机制的缺点有时不够直观,在伸缩性上不够,在粒度控制上非常死板。现在的方向是策略(规则)管理,与目录机制相配合有望解决这些问题。
4.Web网管
使用Web 浏览器作为客户端的管理模式越来越受到重视,各厂商多推出基于Web 的网管系统。
5.客户化网络管理(CNM)
随着业务批发和业务外包运营模式的兴起,客户需要能管理他们自己的设备、网络和业务。
6.OSS 集成
为提高运营效率,运营商普遍采用自动的运营支持系统,以提高定单响应速度,减少开销。
7.多厂商集成方案
各个厂商对多厂商集成管理都有自己的方案,虽然具体能否互通还是有疑问的,但是方案一定要有。
8.总体网管界面风格基本成型
(1)左树右图、列表;
(2)切分窗口,集成的概念;
(3)整个视图使用选项卡;
(4)大量采用IE风格的Toolbar,Outlook风格的主界面,基本采用以Windows 9x代表的界面方案(UNIX平台)。
五、网管技术趋势
就目前网管技术来看,有以下趋势:
(1)基于WEB/JAVA的客户端应用已经较为普遍;
(2)基于CORBA实现的系统被认同;
(3)基于UNIX操作系统的网管系统仍然是主流。在业务管理维护领域,则更多的是在PC机/Windows平台上完成,基于LINUX的系统没有看到。
网管应用多极化,产品形态多元化。在网络管理高层展示出的广阔的市场空间,已经有若干厂商涉足并推出实际系统。在宽带领域,厂商的设备基本采用通信协议多为SNMP V1、V2,这充分体现在SNMP协议在IP、数据通信网络管理中的确“一枝独秀”。同时结合各厂家在城域网所宣传和展示的产品,也可以说在城域网领域,SNMP是城域网网管的占绝对优势的协议。
六、3G网管的参考模型和接口
WCDMA 3G网络又称为通用移动通信系统(UMTS),一个UMTS由下列组件构成:
(1)一个或多个接入网络,可能使用不同的接入技术(GSM、UTRA、DECT、PSTN、ISDN……)
(2)一个或多个核心网络,服务类型不定(GSM、UMTS、ISDN、IP、ATM……)
(3)一个或多个智能节点网络,用于逻辑和移动性管理(IN、GSM……)
(4)一个或多个传输网络(PDH、SDH等),使用不同的拓扑结构(点对点、环、点到多点……)及不同的物理介质(电磁波、光纤、铜线……)
(5)在这些UMTS组件之间存在着信令连接机制(V5、A、DSSI、INAP、MAP、#7、RSVP……)从业务的角度来看,UMTS被定义为:在具体环境中,提供在承载(bearer)能力范围之内的与位置、接入技术和核心网络无关的服务支撑;
(1)提供和支撑所需服务实体无关的用户与终端、用户与网络之间的接口;(2)提供支持多媒体的能力。
七、UMTS管理参考模型及接口
如图1所示为UMTS管理参考模型,同时显示了UMTS操作系统与其它系统之间的接口。图1中标识出了一系列UMTS网络管理接口,分别是:
1.单个UMTS运营商内部的NE与操作系统间的接口,包括网元与网元管理层之间的接口、网元管理与网络管理层之间的接口;
2.在单个UMTS运营商内部的操作系统与企业系统之间的接口;
3.在不同UMTS运营商操作系统之间的接口;
4.单个UMTS运营商内部的操作系统的内部接口。
八、3G电信网络管理的应用
1.一般组网方式,如图2所示;
2.典型组网方式如图3所示。
篇3
关键词:网络管理;实践;服务器系统
中图分类号:TP393 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
一、前言
随着社会的发展,科技的进步,计算机网络日益普及,其影响力广泛渗透到社会生活的方方面面,逐渐成为人们工作、学习和生活的重要组成部分。网络在给我们带来极大便利性的同时,其与生俱来的不足也不容忽视,要格外关注网络管理问题。但在实践中应该怎样管理网络?网络管理主要涉及哪些方面的内容?本文将结合实践经验,对此做出解答。
二、网络管理实践
(一)重点设备的管理与维护
在实践中,网络管理的一项重要内容就是做好重点设备的管理与维护工作,尤其是对于具有一定规模,并且所采用的网络设备档次较高的单位而言,由于其各方面工作的正常运行主要依赖于这些关键性网络设备,因此做好网络关键设备的管理与维护工作具有十分重大的意义。
通常所谈及到的计算机网络重点设备主要指的是作为网络节点的核心交换机、核心路由器以及服务器。关于重点设备的管理与维护,一方面需要注重积累和总结日常经验教训,另一方面,要借助专业化网络管理系统对其工作状况予以实时监控,确保可以及时发现问题、解决问题。
同时,为了进一步挖掘网络的可用性,还有必要针对部分关键性的网络设备进行冗余配置。冗余主要涉及两方面含义:一方面,立足于端口方面,对诸如核心交换机或服务器等重点网络设备进行冗余链路连接,即时某一端口发生问题,另外的冗余链路可以及时取代其工作,从而维持原有的工作状态不受故障的影响;另一方面,对于关键性网络部件或设备,例如服务器当中的风扇、网卡或者电源等,可以采取双份配置方案,不仅如此,核心交换机及路由器也能双份配置。在正常状态下,冗余部件或设备可以发挥一定的均衡作用;一旦某部分发生问题,还可以及时发挥备份功能。
在管理、维护网络重点设备的过程当中,从技术方面来讲,所面临的一大难点同时也是重点就是管理及监控服务器及网络的整体性能。服务器及网络的整体性能的监控及管理需要借助一系列工具,例如监控网络信息及通信的Sniffer类工具等,除此之外,操作系统本身的性能及监管工具同样有效。
(二)服务器系统的管理
服务器系统的管理是网络管理公认的重点内容,这对于规模相对较小,并且网络设备相对简单的网络而言尤为重要。此处所谈及的服务器系统主要涉及到网络服务器以及应用服务器系统两大块内容,在网络管理工作中,由于服务器系统充当着整个网络系统的中心,所以要对服务器系统的管理予以足够的关注和重视。
具体而言,服务器系统的管理工作内容主要就是指对网络操作系统、文件服务器、网络服务器以及应用服务器等进行安装、调配以及管理。维持服务器相关协议及服务工作的正常开展、服务器相关性能充分发挥是服务器系统管理工作的终极目标;不仅如此,服务器系统要及时更新版本,对于所发发现的操作系统中的漏洞,要及时安装补丁程序,只有这样,才能确保服务器发挥其性能,并维持网络系统的整体安全性。
由于JAVA语言具有简单、面向对象、体系结构中立、完全以及便于移植等优势,它已经被广大开发人员所接受并用来开发网络管理系统。因此,基于JAVA网络管理系统具有实现随时随地的管理和低成本部署等优势,它为网络管理提供了更好的灵活性。例如服务供应商可以很经济地向用户的网络管理发出实时窗口,对用户随时随地进行管理;JAVA Station可以大大减少部署特定的管理工作站的费用,增加部署管理控制台时可用的选项等等。基于JAVA的网络管理系统是基于CIIENT/SERVER模式的分布式系统,它完全是利用JAVA语言来编写的。基于JAVA网络管理系统可以分为浏览器、网管服务器和三个方面。其中采用的是过去被管理设备中的SNMO Agent,其作用是保护已有的投资;浏览器端通过运行Java Applet向用户提供友好的图形化网管界面,Applet通过建立Socket与服务器上得网管通信,JSNM平台应用Java语言来封装SNMP的各种信息,同时应用这种JAVA SNMP来与通信。JAVA语言具有跨平台和扩展性好等优势,在JSNM平台上实现的网管系统仅仅只需要JAVA虚拟机的支持就可以了,它与操作系统和硬件平台没有直接联系,这是由于这一点,就很好地解决了异构网络的管理问题,同时使网管应用还具有优良的移植性。在基于JAVA的网络管理系统中,最关键的部分是网管平台的开发,网管开发人员可以基于此平台开发出跨平台和具有优良扩展性的网管应用程序,实现一次开发,永久使用的目标。总之,基于JAVA的网络管理系统解决了传统网络管理中低于限制以及跨平台等相关问题,使得网络管理变得更加方便、有效,它的独特魅力已经成为网络管理未来发展的一种趋势。总而言之,基于WEB和JAVA的网络管理系统的开发成功,对万林克多种产品的推广起到了一定的促进作用。为了更好地满足用户的需求,就目前的情况而言,网络管理系统还需要完善一些问题,例如应该把认证和计费部分集成到系统中;被管设备的数量由于受到限制,当存在大量被管设备时,还需要进行进一步的压力测试等等。随着以后网络技术和信息技术的不断发展,基于WEB和JAVA的网络管理系统将会实现更大的实际应用价值,更好地为用户提供帮助。
(三)用户管理
篇4
1.1对象模型的设计Perl语言本身并没有面向对象的特性,为了设计出比较结构清晰的对象模型,本管理工具采用CPAN(Perl综合程序库)提供的第三方程序模块Object::InsideOut作为支持面向对象特性的框架。1.1.1设备抽象层设计考虑到需要提供一个高效统一的管理工具,那么就需要将过去分散孤立的脚本和软件提供的功能整合在一起。整合并不是简单的将原有功能罗列在一起,而应该是有机结合,结构清晰,设计风格统一,能够便于复用。根据对当前数据中心内网络设备管理的需求分析,设备抽象层的类大体可以分为主机,交换机,存储等三大类[5,6]。在具体细分,主机类又可以根据其操作系统的不同,分为Windows,Redhat,Suse,Unix等等,交换机类根据厂商产品系列的不同可以分为Brocade,Cisco,Qlogic等等,存储也可分为EMC的Symetrics,vMax,vPlex,IBM的DS8000,XIV,SVC等[7,8]。无论封装实现的是什么设备,无论底层有多么大的不同,为了便于上层集成调用,应当对上层提供一致的接口。从上层来看,无论底层封装的是什么设备,对上层无外乎两个操作,信息收集与数据录入。因此,所有的设备类都需要实现两个方法,collect与import_to_database[9,10]。collect方法实现从设备收集信息的逻辑,而import_to_database实现向数据库录入的逻辑。1.1.2协议适配层设计由于本文中设计的是一个集中统一网络管理的工具,必须通过一些网络协议来远程操控设备。常见的网络管理协议有SSH,Telnet,Winexe等。现实中,不同设备可能共用同一种协议,同一种设备可能在不同协议之间切换的现状,也就是说,特定协议与特定类型的设备之间是没有必然联系的[11]。这就决定了网络协议的逻辑不能在设备抽象层内实现,而应该独立出来,单独设计一个协议适配层。设计良好的协议适配层类能够在不同设备之间轻松调换使用,提供了极大的开发灵活性[12]。对于一个网络协议,常见的用户场景就是,建立连接,发送命令并接收返回的文本,关闭连接。所以,一个协议适配层类应当实现三个方法,open,cmd,close。open方法用于建立连接,cmd方法用于发送命令并接收文本,close方法用于关闭连接。在设备抽象类的对象实例化的时候,只需要通过目标设备的对象的属性将协议对象动态传递进去即可。由于协议适配层的类具有相同的接口,更换协议对设备抽象层的类来说是完全透明的。1.1.3自动识别模块设计管理众多的设备的静态登记信息,如果只是依赖管理员的记忆力,或者是Excel表格,费时费力,结果也并不可靠[13]。首先要设计一个能够从网络当中自动抓取活动IP,并识别出运行在该IP地址上的设备类型的模块。当活动IP地址被从一个子网中扫描出来以后,进一步识别设备的类型可以分为网络扫描和远程命令试探两个阶段。第一阶段的网络扫描主要是为了下一步的命令试探缩小范围。无论是主机,交换机,还是存储设备,都会对外打开一些固定的网络服务,这些网络服务通常都监听特定的端口,通过扫描端口可以大致了解设备打开了哪些网络服务,进一步可以猜测设备可能对应的类型[14]。在扫描端口之后,进入第二阶段,发送前期锁定的几种可能的设备类型上支持的命令,再通过Perl语言内置的正则表达式搜索特征关键字。如果成功捕获到了响应的关键字,就成功地识别了设备类型。类型识别成功后,才能调用响应类型的设备抽象类,对设备进行信息收集与管理。
2自动识别模块的具体实现
2.1网络扫描部分在第一阶段的网络扫描中,首先由Subnet类负责活动IP的获取,之后将活动的IP地址实例化为IP类的实例。之后IP类会扫描该IP地址上的哪些端口已经被监听了。这两个类依赖于Nmap提供底层功能的支持。Nmap是一款用于网络安全审计的工具,可以列举主机,监控网络服务运行情况。Nmap不仅可以扫描单个IP地址,还可以对整个网络进行大规模扫描。同时,Nmap也是一款遵守GNU通用公共许可协议的软件,可以免费地在本文要设计的工具中集成使用。2.2远程命令试探部分这部分逻辑通过一组工厂类被实现。当设备类型被检测完成后就会实例化响应类型的对象来完成后面的信息收集与数据录入工作。考虑到设备类型较多,都在一个工厂类内实现太过繁杂,可以将具体工作分解到若干个类中完成,每个工厂负责某一大类设备的识别与实例化工作,形成一个三层的工厂树。处理具体大类的工厂类可分为处理服务器的ServerFactory,处理交换机的SwitchFactory,处理存储的StorageFactory等等。首先由顶层的基本工厂类接收一个IP地址作为参数,然后将IP地址像放上流水线一样,依次交给每一个负责具体大类的工厂类处理,当流水线上的某一个工厂类成功的处理了这个IP地址,就用识别的到的类型为该IP地址实例化一个设备对象出来,如果当前工厂类无法处理,则交给流水线上的下一个工厂类继续处理。要发送远程命令首先涉及到选用什么网络协议的问题。网络协议一般都会监听固定的端口号,这就是所谓知名端口。通过查找知名端口表就可以知道网络设备打开了哪些网络协议的服务。通常,打开22号端口意味着设备打开了SSH协议的服务器,这是一台Linux或者Unix系列操作系统的服务器的常见配置。这种情况下,工厂类就会调用SSH协议,发送Linux或者Unix系统上的命令,然后尝试从返回的文本捕获预期的关键字。可以看到,ServerFactory在处理的时候,首先检查22端口是否已被监听。发现22端口已被监听之后,则通过SSH协议连接目标IP地址,发送Linux和Unix系列操作系统上的uname命令,如果从返回的文本里捕获到“Linux”,表明目标服务器是一个Linux服务器,如果捕获到“AIX”,表明目标服务器已经安装了IBM的AIX操作系统。
3网络管理工具的完整运行流程
整个工具运行时的完整流程如图3所示。scan_network是整个程序的入口点,通过-n选项传递一个网络地址及其子网掩码,Subnet类会找出这个网段里的所有可用的活动的IP地址,然后为每一个IP地址调用scan_ip。在scan_ip中,BaseFactory会被调用,它会依次尝试使用StorageFactory,SwitchFactory,ServerFactory来处理这个IP地址。每个工厂类都会检查该地址上有哪些端口被打开了,然后使用命令尝试识别设备的类型。类型识别完成后,就会为该地址实例化一个设备对象,调用它的collect方法收集信息,然后调用import_into_database完成数据录入。
4结束语
篇5
医院管理者依据客观现实实施医院管理,对医院客观现实的认识主要靠信息的分析,正确的决策来源于科学的依据。在信息爆炸的今天,仍沿用传统的手工作业方法所提供的信息,难以保证及时性和科学性。如果医院管理者不能及时掌握可靠情报、准确数据,在组织管理过程中就难免发生主观片面性。而计算机具有快速、敏捷、智能分析的特点,应用它来管理信息,可保证信息的及时性、准确性。
应用计算机后,有些数据可每天在自己的工作站屏幕上随时查询。以往统计数据是根据门诊、住院处、科室几个部门人工登记报表和病案来进行汇总的,由于中间环节多,误差大,统计时间长,有时影响到工作。应用计算机网络后,统计数据是按标准程序逐级录入第一手资料,由计算机自动汇总完成,每月末自动生成各种统计报表,提供的数据既及时又准确,增强了决策的科学性,节省了统计时间,提高了工作效率,从整体上还提高了科室管理水平。在财务部门进行经济核算时应用微机网络管理后,就将全院各科室收入及时核算出来,为经济管理提供了准确的数据,从而提高了职能科室办公效率。
2计算机在医院管理中的效益
计算机在医院管理中应用可提高管理水平,必然产生效益,这种效益既有经济效益又有社会效益;既有近期效益又有长期效益。如应用计算机进行医疗收费管理,可以做到严格执行收费标准,按录入医嘱计价,可防止人为漏费;减少核算环节,避免人工核算所产生的误差,增加病人与家属对医院的信任,提高医院的声誉。这都说明了计算机管理既可直接增加医院收入,又可提高社会效益。我们应用计算机进行医疗收费管理以来,收费人员按时结账后交款,并计财处核对结账信息做记账,从未出现任何现金差错和贪污现象。药品、器械通过微机管理后,避免盲目采购而造成库存积压,可节约开支,这既有直接经济效益,又有间接经济效益。
篇6
关键词:网络管理;Sniffer;数据包捕获
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)27-7613-02
Sniffer Technology and LAN Administration
HUANG Yan-lei
(Information & Educational Technology Center, Foshan University, Foshan 528000, China)
Abstract: This paper analyses the principle of the sniffer technology, discusses the effective application of this technology in LAN administration, and presents some methods of network security and management based on this technology.
Key words: LAN administration; sniffer; packet capture
随着校园网络规模的不断扩大,网络设备和网络用户的不断增加,网络的安全性和管理的及时有效性成为影响网络效能和保障网络安全运行的重要问题,使得网络在增加应用自由度的同时,对安全和管理提出了更高要求。网络管理的目的在于监视和控制一个复杂的计算机网络,通过某种方式对网络状态进行调整,使网络中的各种资源得到高效的利用,当网络出现故障时能及时作出报告和处理,并协调、保持网络的高效运行等。网络管理的功能主要包括:1) 配置管理:掌握和控制网络的状态,包括网络内各个设备的状态及其连接关系。2) 性能管理:主要考察网络运行的好坏。性能管理使网络系统管理员能够监视网络运行的参数,如吞吐率、响应时间、网络的可用性等,随时了解网络状况,分析可能产生瓶颈的因素,及时调整网络的负载结构。3) 安全管理:是对网络资源及其重要信息访问的约束和控制,包括验证网络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的操作。4) 故障管理:检测、定位和排除网络硬件和软件中的故障。当出现故障时,能确认故障,并记录故障,找出故障的位置并尽可能排除这些故障。同时,分析故障产生的原因,防止今后发生类似的问题。5) 信息统计:收集、分析网络的历史资料,识别网络工作的长期趋势,为网络的扩展提供参考。
我校校园网建网较早,经历过几次升级改造,网络颇具规模,网络管理的任务较重。我们在日常的工作中,使用了网络分析软件Sniffer pro来帮助进行网络管理和维护,并取得了较理想的效果。
1 Sniffer的工作原理
Sniffer(嗅探器)技术在网络安全领域具有双重的作用,一方面常被黑客作为网络攻击工具,从而造成密码被盗、敏感数据被窃等安全事件;另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。Sniffer技术是校园网必不可少的网络管理工具。
计算机网络是由众多局域网组成的,这些局域网一般是以太网的结构,即共享式的连接。这种共享式的连接有一个很明显的特点:发送数据时物理上采用的是广播方式。当主机根据MAC地址发送数据包时,尽管发送端主机告知目标主机的地址,但并不意味着一个网络内的其它主机不能监听到发送端和接收端之间传递的数据。因此从理论上说,当采用共享式连接时,位于同一网段的每台主机都可以截获在网络中传输的所有数据。
正常情况下,局域网内同一网段的所有网卡虽然都具有访问在物理媒体上传输的所有数据的能力,但通常一个网卡只响应以下两种数据帧:
1) 数据帧的目标MAC地址与网卡自身的MAC地址一致;2) 数据帧的目标MAC地址为广播地址。
只有当接收到上面两种类型的数据帧时,网卡才会通过CPU产生一个硬件中断,然后再由操作系统负责处理该中断,对帧中所包含的数据做进一步处理。也就是说,虽然网络上所有主机都可以“监听”到所有的数据,但对不属于自己的报文不予响应,只是简单地忽略掉这些数据。
但是,如果网络中的某台主机不愿意忽略掉不属于自己的数据帧,只需将网卡设置为混杂(Promiscuous)模式,对接收到的每一个帧都产生一个硬件中断,以提醒操作系统处理经过该网卡的每一个数据包,这样网卡就可以捕获网络上所有的数据了。如果一台主机的网卡被配置为混杂模式,那么该主机及其相关的软件就构成了一个嗅探器。
Sniffer工作在网络环境中的底层,它会拦截所有正在网络上传送的数据,通过借助相应的软件进行处理。Sniffer可以实时分析这些数据的内容,进而可以帮助网络管理员分析整个网络的状态、性能或故障。正因如此,在检测网络故障时,Sniffer对管理员来说是一种不可或缺的强力工具。
2 Sniffer技术在网络管理中的应用
Sniffer软件为用户提供了功能完备的网络管理工具,凭借先进的性能,Sniffer可以帮助用户主动监测网络,在瓶颈造成故障之前,将其完满解决。它能够自动帮助网络专业人员维护网络,查找故障,协助扩展多拓扑结构,多协议网络,极大地简化发现、解决网络问题的过程。
2.1 Sniffer技术在网络管理中的应用位置
根据Sniffer技术的原理,它在网络底层工作运行,监听同一物理子网的数据报文信息。可以将Sniffer放置在网络的各处,形成一个入侵警报系统;也可以在网络中一些重要和关键的节点上运行Sniffer,以随时掌握网络的状态,及时发现入侵信息和网络故障。Sniffer一般放在网关、路由器、防火墙等关键设备上,使监听效果最好。
通常情况下,Sniffer只适合于在广播型的局域网中工作,但Sniffer无法嗅探到跨路由或交换机以外的数据包,即Sniffer不能直接嗅探到所在网络之外其他计算机的数据包。
2.2 Sniffer技术在网络管理中完成的功能
我们在检测网络故障及维护网络正常通信的过程中,经常需要借助Sniffer提供的某些功能。利用这些功能,可以实时监控网络流量,分析网络故障,分析网络协议的工作原理及过程,捕获非法数据、入侵检测等。
1) 专家分析系统
Sniffer能够监视并捕获所有网络上的信息数据包,同时建立一个特有网络环境下的目标知识库,经过将问题分离、分析和归类,Sniffer可以实时自动地发出警告,解释问题的性质并提出解决方案。Sniffer与其他网络分析软件的最大不同就在于它的专家分析系统。
2) 网络实时监控和告警
Sniffer以表格、图形等形式,从各个方面动态显示网络通信和网络运行状况,如协议分布、流量分布、带宽利用率、错误率等,快速确定网络的运行情况以及有效协议和工作站的统计数据。Sniffer提供多种数据报告,以便将来的查询和分析,并可根据预先设定的阀值发出警报,并以多种方式通知网络管理员。
利用这个特性可以分析网络中的许多异常情况。例如:当一台计算机正受到其它计算机的攻击时,进入该计算机的数据流量会异常的高;当网络中某一台计算机因为网络设置引起通信的不稳定,那么该计算机的不可达报文会非常多;当一台计算机对其它计算机发起攻击时,从它发出的数据报文会非常多,其网络流量也会异常。
3) 实时网络包捕获
实时网络包捕获是Sniffer 的另一重要功能,它捕捉真实的数据包并“解码”,以便作进一步的分析。捕捉的范围既可以是网段中的所有数据包,也可以是某两对节点间的通信数据包,或者是某个特定协议的数据包。Sniffer能通过设置过滤条件来缩小捕获或观测的数据的范围,实时捕获用户定义的网络数据包,并给出一个详细的逐包的统计信息。通过对这些动态数据报文的捕获和分析,可以诊断出网络中大量的模糊问题,有效地监视网络活动,完善网络管理功能。
由于Sniffer工作在网络环境中的数据链路层,它捕获的数据包严格地讲应称为“帧”,它在结构上符合数据链路层的相关标准。在以太网上,捕获的数据包符合IEEE802.3标准,如图1所示。
4) 对协议进行解析
Sniffer可以对捕获到的数据包进行详细分析,将截获的数据包转换成易于识别的格式,对数据进一步分析可以了解该类协议的工作过程及协议内容。网络协议是网络的基础,是网络的语言,但网络协议太抽象了,很难深入和真正掌握。Sniffer可以在全部七层协议上进行解码分析,采用类似剥洋葱的方式,从最低层开始,一直到七层,甚至对数据库都可以进行协议分析,每一层使用不同的颜色加以区别。Sniffer的这种功能,提供了一种直观的手段,有助于网络管理员加深对网络知识的掌握,提高自身水平。教师在进行计算机网络课程的教学与实验中,也可以充分利用Sniffer的这个功能给学生提供比较直观的印象,有助于加深学生对网络知识的掌握。图2为用Sniffer软件捕获的ARP帧的直观形式。
5) 网络安全
网络安全是一个系统的概念,有效的安全策略和方案的制定,是网络信息安全的首要目标。传统上一般采用防火墙作为安全的第一道防线,而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全的需要,在这种情况下,入侵检测系统(Intrusion Detection System,简称IDS)成为了安全市场上新的热点,不仅愈来愈多地受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。
入侵检测即通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统由探测器、分析器、用户接口等部分组成,其中探测器负责采集数据,分析器则主要是设定一系列规则,对探测器送来的数据进行分析,用户接口负责与用户的交互。显然,用Sniffer捕获数据包可以作为入侵检测系统信息的重要来源。
6) 报文发送
通过设置目的地址、发送次数、发送延迟和报文大小,形成报文并发送,可实现网络流量模拟。利用这个功能,我们可以探察网络,进行通信仿真,测量响应时间,并有助于路由器及各种网络设备仿真软件的开发。
当网络出现故障,不能立即排除时,可以捕获、存储网络故障时的数据包,并在之后进行回放,模拟当时的网络状态,以便对故障进行定位和排除。
7) 报告生成
Sniffer可以帮助创建图形报告,该报告建立在Sniffer所收集的RMON和类似RMON2的数据基础之上。这些易于生成的报告可以提供快速显示受监视网段的全部统计数据以及网络层主机、矩阵和协议分配。这些报告还可以提供针对用户网络通讯趋势的重要信息,对网络整体运行情况作出长期的健康分析与发展趋势报告,分析系统目前的使用情况,以及对新系统的规划作出精确报告。
3 结束语
Sniffer技术在网络管理中具有高效解决网络问题的能力,能够从网络的各个层面进行网络故障分析。但其应用要求对网络协议有清楚的了解,使用上有一定难度。
网络系统的正常运行和安全防范是一项联系很广泛的任务,随着网络规模的发展和扩大,它将对网络管理员提出更高的要求。而利用Sniffer技术,网络管理人员可以深入到网络内部,可以实现对网络数据及流量的分析,能够开发出与其相关的网络安全和系统管理软件,从而大大减少网络管理员的工作量,提高网络的性能以及服务质量。
参考文献:
[1] 王石,局域网安全与攻防[M].北京:电子工业出版社,2007.
[2] 陈逸,谢婷.Sniffer Pro 网络优化与故障检修手册[M].北京:电子工业出版社,2005.
篇7
关键词:企业网 网络搭建 网络管理
企业对网络的要求性越来越强,为了保证网络的高可用性,有时希望在网络中提供设备、模块和链路的冗余。但是在二层网络中,冗余链路可能会导致交换环路,使得广播包在交换环路中无休止地循环,进而破坏网络中设备的工作性能,甚至导致整个网络瘫痪。生成树技术能够解决交换环路的问题,同时为网络提供冗余。
以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,企业网网络需要从网络的搭建及网络管理方面着手。
一、 基本网络的搭建
由于企业网网络特性(数据流量大、稳定性强、经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:
1.网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。
2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FTDH、千兆以太网(1000Mbps),快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FTDH ;是光纤直接到客户,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很高;目前千兆以太网已成为一种成熟的组网技术, 因此个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。
二、网络管理
1.物理安全设计。为保证企业网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实了这种截取距离在几百米甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.网络共享资源和数据信息设计。针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。
VLAN是在一个物理网络上划分出来的逻辑网络。这个网络对应于OSI模型的第二层。通过将企业网络划分为虚拟网络VLAN,可以强化网络管理和网络安全,控制不必要的数据广播。VLAN将网络划分为多个广播域,从而有效地控制广播风暴的发生,还可以用于控制网络中不同部门、不同站点之间的互相访问。 人们对网络的依赖性越来越强,为了保证网络的高可用性,有时希望在网络中提供设备、模块和链路的冗余。但是在二层网络中,冗余链路可能会导致交换环路,使得广播包在交换环路中无休止地循环,进而破坏网络中设备的工作性能,甚至导致整个网络瘫痪。生成树技术能够解决交换环路的问题,同时为网络提供冗余。 天驿公司有销售部和技术部,技术部的计算机系统分散连接在两台交换机上,它们之间需要相互通信,销售部和技术部也需要进行相互通信,为了满足公司的需求,则要在网络设备上实现这一目标。 使在同一VLAN中的计算机系统能够跨交换机进行相互通信,需要在两个交换机中间建立中继,而在不同VLAN中的计算机系统也要实现相互通信,实现VLAN之间的互通
使在同一VLAN中的计算机系统能够跨交换机进行相互通信,需要在两个交换机中间建立中继,而在不同VLAN中的计算机系统也要实现相互通信,实现VLAN之间的通信需要三层技术来实现,即通过路由器或三层交换机来实现。建议使用三层交换机来实现,因为使用路由器容易造成瓶颈。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中,实现网络管理。
企业内部网络的问题,不仅是设备,技术的问题,更是管理的问题。对于企业网络的管理人员来讲,一定要提高网络管理识,加强网络管理技术的掌握, 才能把企业网络管理好。
参考文献:
[1]Andrew S. Tanenbaum. 计算机网络(第4版)[M].北京:清华大学出版社,2008.8
篇8
关键词:网络安全 网络管理
中国拥有四千万中小企业,据权威部门调研发现,90%以上的中小企业至少都已经建立了内部网络。但是,随之而来的,就是企业内部网络的安全性问题。多核、万兆安全、云安全这些新技术对于他们而言或许过于高端,中小企业应该如何进行网络安全管理?又该从哪入手呢?
1 企业内部网络建设的三原则
在企业网络安全管理中,为员工提供完成其本职工作所需要的信息访问权限、避免未经授权的人改变公司的关键文档、平衡访问速度与安全控制三方面分别有以下三大原则。
原则一:最小权限原则
最小权限原则要求我们在企业网络安全管理中,为员工仅仅提供完成其本职工作所需要的信息访问权限,而不提供其他额外的权限。
如企业现在有一个文件服务器系统,为了安全的考虑,我们财务部门的文件会做一些特殊的权限控制。财务部门会设置两个文件夹,其中一个文件夹用来放置一些可以公开的文件,如空白的报销凭证等等,方便其他员工填写费用报销凭证。还有一个文件放置一些机密文件,只有企业高层管理人员才能查看,如企业的现金流量表等等。此时我们在设置权限的时候,就要根据最小权限的原则,对于普通员工与高层管理人员进行发开设置,若是普通员工的话,则其职能对其可以访问的文件夹进行查询,对于其没有访问权限的文件夹,则服务器要拒绝其访问。
原则二:完整性原则
完整性原则指我们在企业网络安全管理中,要确保未经授权的个人不能改变或者删除信息,尤其要避免未经授权的人改变公司的关键文档,如企业的财务信息、客户联系方式等等。
完整性原则在企业网络安全应用中,主要体现在两个方面。一是未经授权的人,不能更改信息记录。二是指若有人修改时,必须要保存修改的历史记录,以便后续查询。
原则三:速度与控制之间平衡的原则
我们在对信息作了种种限制的时候,必然会对信息的访问速度产生影响。为了达到这个平衡的目的,我们可以如此做。一是把文件信息进行根据安全性进行分级。对一些不怎么重要的信息,我们可以把安全控制的级别降低,从而来提高用户的工作效率。二是尽量在组的级别上进行管理,而不是在用户的级别上进行权限控制。三是要慎用临时权限。
2 企业内部网络暴露的主要问题
2.1 密码单一
2.1.1 邮件用统一密码或者有一定规律的密码
对于邮件系统、文件服务器、管理系统等等账户的密码,设置要稍微复杂一点,至少规律不要这么明显,否则的话,会有很大的安全隐患。
2.1.2 重要文档密码复杂性差,容易破解
纵观企业用户,其实,他们对于密码的认识性很差。有不少用户,知道对一些重要文档要设置密码,但是,他们往往出于方便等需要,而把密码设置的过于简单。故我们对用户进行网络安全培训时,要在这方面给他们重点提示才行。
2.2 网络拥堵、冲突
2.2.1 下电影、游戏,大量占用带宽资源
现在不少企业用的都是光纤接入,带宽比较大。但是,这也给一些酷爱电影的人,提供了契机。他们在家里下电影,下载速度可能只有10K,但是,在公司里下电影的话,速度可以达到1M,甚至更多。这对于喜欢看电影的员工来说,有很大的吸引力。
2.2.2 IP地址随意更改,导致地址冲突
有些企业会根据IP设置一些规则,如限制某一段的IP地址不能上QQ等等一些简单的设置。这些设置的初衷是好的,但是也可能会给我们网络维护带来一些麻烦。
2.3 门户把关不严
2.3.1 便携性移动设备控制不严
虽然我们公司现在对于移动存储设备,如U盘、移动硬盘、MP3播放器等的使用有严格的要求,如要先审批后使用,等等。但是,很多用户还是私自在使用移动存储设备。
私自采用便携性移动存储设备,会给企业的内部网络带来两大隐患。
一是企业文件的安全。因为企业的有些重要文件,属于企业的资源,如客户信息、产品物料清单等等,企业规定是不能够外传的。二是,若利用移动存储设备,则病毒就会漏过我们的设在的病毒防火墙,而直接从企业的内部侵入。
2.3.2 邮件附件具有安全隐患
邮件附件的危害也在慢慢增大。现在随着电子文档的普及,越来越多的人喜欢利用邮件附件来传递电子文档。而很多电子文档都是OFFICE文档、图片格式文件或者RAR压缩文件,但是,这些格式的文件恰巧是病毒很好的载体。
据相关网站调查,现在邮件附件携带病毒的案例在逐年攀升。若企业在日常管理中,不加以控制的话,这迟早会影响企业的网络安全。
3 企业内部网络的日常行为管理
由于组织内部员工的上网行为复杂多变,没有哪一付灵药包治百病,针对不同的上网行为业界都已有成熟的解决方案。现以上网行为管理领域领导厂商深信服科技的技术为基础,来简单介绍一下基本的应对策略。
3.1 外发Email的过滤和延迟审计。
防范Email泄密需要从事前和事后两方面考虑。首先外发前基于多种条件对Email进行拦截和过滤,但被拦截的邮件未必含有对组织有害的内容,如何避免机器识别的局限性?深信服提供的邮件延迟审计技术可以拦截匹配上指定条件的外发Email,人工审核后在外发,确保万无一失。
事后审计也不容忽视。将所有外发Email全部记录,包括正文及附件。另外由于Webmail使用的普遍,对Webmail外发Email也应该能做到过滤、记录与审计。
3.2 URL库+关键字过滤+SSL加密网页识别。
通过静态预分类URL库实现明文网页的部分管控是基础,但同时必须能够对搜索引擎输入的关键字进行过滤,从而实现对静态URL库更新慢、容量小的补充。而对于SSL加密网页的识别与过滤,业界存在通过SSL加密流量、解密SSL加密流量的方式实现,但对于组织财务部、普通员工操作网上银行账户的数据也被解密显然是存在极大安全隐患的。深信服上网行为管理设备通过对SSL加密网站的数字证书的进行识别、检测与过滤,既能满足用户过滤 SSL加密网址的要求,同时也不会引入新的安全隐患。
3.3 网络上传信息过滤。
论坛灌水、网络发贴、文件上传下载都需要基于多种关键字进行过滤,并应该能对所有成功上传的内容进行详细记录以便事后查验。但这是不够的,如藏污纳垢的主要场所之一的互联网WEB聊天室绝大多数都是采用随机动态端口访问,识别、封堵此类动态端口网址成为当下上网行为管理难题之一,只有部分厂商能妥善解决该问题,这是用户在选择上网行为管理网关时需要着重考虑的问题。
3.4 P2P的精准识别与灵活管理。
互联网上的P2P软件层出不穷,如果只能封堵“昨天的BT”显然是不足的。在P2P的识别方面深信服科技的P2P智能识别专利技术――基于行为统计学的分析的确有其独到之处。基于行为特征而非基于P2P软件本身精准识别了各种P2P,包括加密的、不常见的、版本泛滥的等。有了精准识别,这样的设备对P2P的流控效果格外出众。
3.5 管控各种非工作无关网络行为。
篇9
【关键词】主动网络管理技术 探讨 网络管理策略
1 引言
现在计算机主流模式的网络管理是以C/S(client/server)集中式管理,计算机网络管理系统子在SNMP协议的基础上,网络整个集体控制点是网络工作站NMS,它想要读取管理目标MIB中的全体变量值要经过轮流被管理设备,因此整体的获得当前的网络设备状态,并明确其控制行为,SNMP协议构成的网络管理适合处理网络流量不足的状况[1]。本问对网络技术和管理策略技术进行结合,制定出了基于网络管理的分布式网络管理体系结构。
2 与其相关技术研究
2.1 主动网络技术
主动网络(AN:Active Network)是可以计算的一种网络模型。它区别与传统网络的特点主要是:它带领了数据和可行动的主动代码,具有计算能力的主动节点,用户可以依据管理运用的要求对网络进行程序编写,网络运用迅速增的需求在这里得到了实现,人们最开始对主动网运用的目的是使新的协议得到很好的派发,只是最近,主动网的概念才被运用到了网络管理的相应领域,它在实现网络分布式管理的同时又灵活、便捷的分部了新的网络管理功能[2]。
主动网落工作组总结出主动网络节点的主要由三部分构成其逻辑体系:对AA(Active Application)的主动应用,环境EE(Execution Environment)的实行和对节点系统NodeOS的操作,三部分具有相应的联系,具有自身的独特性。他们具有的作用分别是:
一个自行主动运用(AA)由一系列程序代码(主动代码)和主动代码有关的数据、状况参数等组合二成。AA经过EE的调节和实行来实现用户制定的网络服务,它是具有流动性主动网络,在网络运用中,它就可一成为有具体管理功能服务。
执行网络环境(EEs)确定了一个可调节的编程接入口来定义虚拟机和主动网络用户,用户发送编码指示是通过数据包向节点EE,用此来对虚拟机进行控制,大体来讲,指令的实施会致使EE更新和主动节点的信息状态,也有可能会使EE即可传送其他的数据包。体系框架的结构容许众多EE共同存在每个单个节点之中。
节点Node为执行环境所依靠的生存环境提供其基本功能,它对主动节点的资源进行管理,而且在传输、计算、存储等资源间进行了协调。所以,节点NodeOS把EE从资源管理的细节管理中分离出来,EE则与末端用户的互相影响的节奏中独立出来。
EE(MEE)管理负责提供一个可编程的接口作为众多EE、AA的硬件与软件资源,用户应用MEE对其主动节点的众多状态信息进行集体的收集和管理实施。
2.2 对策略的网络管理
人工首先制定了传统网络管理系统中的所有管理策略,依据收集的网络管理信息进行判断和执行来对网络管理的功能进行实施,因为设施的众多繁杂性的交错,经常只能对某种设施的局部进行专门性的实现。从而管理策略的困难性随之复杂。依据管理策略系统实现面向服务质量安全的QoS的目标,自动化的系统管理任务。它经过策略的规定、评定和实行对网络只能化进行管理。
如图1所示,策略执行点(PEP)和策略决定点(PDP),处于节点上的PEP主要是对执行管理策略进行负责,针对网络进行实质的管理;PDQ则大都被存在服务器上,主要对仲裁方案进行检查,即进一步确定应用那项方案,其中两个组成部分的相互链接过程主要是:PEP在接受到管理任务的致使消息时将其消息进行相应的策略仲裁,PDP通过相应信息的检查和评价,从对应的服务器中获得相应方案返还到PEP;PEP对接受到的方案进行回应并制定出相应的管理任务,每个网络节点上都可以配置一个和其相对应的PEP和当地的策略决定点LPDP,于此同时,有关大局的策略决策点GPDP要在策略服务器上加以配置,针对PEP发出的请求要先经过LPDP进行处理,如果不能得到足够的信息,就要由GPDP来进行处理。
策略请求
策略应答
图1 策略服务的结构示意图
3 策略管理的主动式网管
根据上述内容可知,现如今计算机的解决方案是由策略管理它提供的,为更好地解决QoS和其安全的、系统管理职责的自动化提供了强有了的条件,但其中存在的问题还需要进一步解决:
(1)此结构重点在PSVP协议的路由器的实行网络管理的状况上做了考虑,但,在对服务器Diff-serv类型的服务技术质量检测时,不涉及PEP的调节实现功能。(2)从结构图上观看,在PEP实施管理的时候,都要求PDP从策略库中提取风适合的策略信息,这对具有众多共同性质的网络功能管理来谈,众多的时间和网络宽带资源在屡次的获得信息策略中浪费掉了。(3)可以突出的实现管理控制策略冲突,怎样评判策略和解决策略的突出,该结构没有具体的说明。
从主动的节点体系不难看出,主动网络技术是可以针对网络中的节点实施对应程序编写、计算机相应技术。而具有主动解析代码、主动执行代码和对管理完成控制的功能都由EE来解决,并且EE协议相关的只是封装的主动代码、而具体状况下的主动代码主要支持服务器Diff-Serv的区分,这就是主动网络技术的其中优点的体现。
从具体的意义上来说,一段应用程序就包含一些主动代码,根据管理的角度看,一系列主代码和其有关的数据状态参数为一种管理方略,因此,存储众多主动代码的服务器事实上是策略管理结构中的策略服务器,它是策略的主要来源。主动代码通过分发机制进行管理输送来的网络节点,因此实现用户网络服务机制,支持网管在新的应用快速扩大。
4 仿真模拟实验结果
我们应用仿真的模拟实验对上述的论述进行响应,实验中利用内部局域网作为网络环境,被观节点用PC机模拟。在实验进行中,我们网络上传输遵循ANEP封装格式的主动包,如图2所示,“ANEP包头”是按照ANEP协议进行封装的。
ANEP报头 主动代码指针 数据
图2 主动信包格式
“主动代码指针”总是显示需要调整的主动代码,其中“数据”包含了主动代码调用所需的数据和返还给NMS数据结果,因此,我们应用主动包发送“Ping”,所有节点的IP地址和Ping的状态标志都会在返回结果中显示。
首先我们进行节点和NMS间均匀跳动数M进行分析,别管节点的具体个数N对整个系统的影响,分别设置M为1、5、10的情况分析,结果如图3所示。
图3 跳数和节点个数对相应时间的影响
本实验证明,模拟有30个最大的节点数N,X0为78byes是NMS输出的最原始的主动包的大小,X为6bytes是节点在别处理后的结果,10Mbps为网络的传送速率。
从图3中显示,当跳动次数M一定时,节点数N有较大的时间影响,当N达到一定的数目时,对应时间增加形式加速。
5 结语
本文总结出一种主动网技术和策略管理有机结合的网络管理体系,使其高效的分布式网络管理得到更好的实现。
参考文献:
篇10
一、网络管理技术概述
网络管理已经成为计算机网络和电信网研究中最重要的内容之一。网络中采用的先进技术越多,规模越大,网络的维护和管理工作也就越复杂。计算机网络和电信网的管理技术是分别形成的,但到后来渐趋同化,差不多具有相同的管理功能和管理原理,只是在网络管理上的具体对象上有些差异。
通常,一个网络由许多不同厂家的产品构成,要有效地管理这样一个网络系统,就要求各个网络产品提供统一的管理接口,即遵循标准的网络管理协议。这样,一个厂家的网络管理产品就能方便地管理其他厂家的产品,不同厂家的网络管理产品之间还能交换管理信息。
在简单网络管理协议SNMP(Simple Network Management Protocol)设计时,就定位在是一种易于实施的基本网络管理工具。在网管领域中,它扮演了先锋的角色,因OSI的CMIP发展缓慢同时在Internet的迅猛发展和多厂商环境下的网络管理解决方案的驱动下,而很快成为了事实上的标准。
SNMP的管理结构如图1所示。它的核心思想是在每个网络节点上存放一个管理信息库MIB(Management Information Base),由节点上60(agent)负责维护,管理者通过应用层协议对这些进行轮询进而对管理信息库进行管理。SNMP最大的特点就是其简单性。它的设计原则是尽量减少网络管理所带来的对系统资源的需求,尽量减少agent的复杂性。它的整个管理策略和体系结构的设计都体现了这一原则。
SNMP的主要优点是:
·易于实施;
·成熟的标准;
· C/S模式对资源要求较低;
·广泛适用,代价低廉。
简单性是SNMP标准取得成功的主要原因。因为在大型的、多厂商产品构成的复杂网络中,管理协议的明晰是至关重要的;但同时这又是SNMP的缺陷所在——为了使协议简单易行,SNMP简化了不少功能,如:
·没有提供成批存取机制,对大块数据进行存取效率很低;
·没有提供足够的安全机制,安全性很差;
·只在TCP/IP协议上运行,不支持别的网络协议;
·没有提供管理者与管理者之间通信的机制,只适合集中式管理,而不利于进行分布式管理;
·只适于监测网络设备,不适于监测网络本身。
针对这些问题,对它的改进工作一直在进行。如1991年11月,推出了RMON(Rernote Network Monitor)MIB,加强SNMP对网络本身的管理能力。它使得SNMP不仅可管理网络设备,还能监测局域网和互联网上的数据流量等信息,1992年7月,针对SNMP缺乏安全性的弱点,又公布了S-SNMP(Secure SNMP)草案。到1993年初,又推出了SNMP Version 2即SNMPv2(推出了SNMPv2以后,SNMP就被称为SNMPv1)。SNM-Pv2包容了以前对SNMP的各项改进工作,并在保持了SNMP清晰性和易于实现的特点以外,吸取了CMIP的部分优点,功能更强,安全性更好,具体表现为:
·提供了验证机制,加密机制,时间同步机制等,安全性大大提高;
·提供了一次取回大量数据的能力,效率大大提高;
·增加了管理者和管理者之间的信息交换机制,从而支持分布式管理结构,由位于中间层次(intermediate)的管理者来分担主管理者的任务,增加了远地站点的局部自主性。
·可在多种网络协议上运行,如OSI、AppleTalk和IPX等,适用多协议网络环境(但它的缺省网络协议仍是UDP)。
·扩展了管理信息结构的很多方面。特别是对象类型的定义引入了几种新的类型。另外还规范了一种新的约定用来创建和删除管理表(management tables)中的“行”(rows)。
·定义了两种新的协议数据单元PDU(Protocol Data Unit)。Get-Bulk-Request协议数据单元允许检索大数据块(large data blocks),不必象SNMP那样逐项(item by item)检索; Inform-Request协议数据单元允许在管理者之间交换陷阱(tran)信息。
CMIP协议是在OSI制订的网络管理框架中提出的网络管理协议。CMIP与SNMP一样,也是由管理者、、管理协议与管理信息库组成。
CMIP是基于面向对象的管理模型的。这个管理模型表示了封装的资源并标准化了它们所提供的接口。如图2所示了四个主要的元素:
·系统管理应用进程是在担负管理功能的设备(服务器或路由器等〕中运行的软件:
·管理信息库MIB是一组从各个接点收集来的与网络管理有关的数据;
·系统管理应用实体(system management application entities)负责网络管理工作站间的管理信息的交换,以及与网络中其它接点之间的信息交换;
·层管理实体(layer management entities)表示在OSI体系结构设计中必要的逻辑。
CMIP模型也是基于C/S结构的。客户端是管理系统,也称管理者,发起操作并接收通知;服务器是被管系统,也称,接收管理指令,执行命令并上报事件通知。一个CMIP操作台(console)可以和一个设备建立一个会话,并用一个命令就可以下载许多不同的信息。例如,可以得到一个设备在一段特定时间内所有差错统计信息。
CMIP采用基于事件而不是基于轮询的方法来获得网络组件的相关数据。
CMIP已经得到主要厂商,包括IBM、HP及AT&T的支持。用户和厂商已经认识到CMIP在企业级网络管理领域是一个比较好的选择。它能够满足企业级网管对横跨多个管理域的对等相互作用(peer to peer interactions)的要求。CMIP特别适合对要求提供集中式管理的树状系统,尤其是对电信网(telecommunications network)的管理。这就是下面提到的电信管理网。
二、电信管理网TMN
电信管理网TMN是国际电联ITU-T借鉴0SI中有关系统管理的思想及技术,为管理电信业务而定义的结构化网络体系结构,TMN基于OSI系统管理(ITU-U X.700/ISO 7498-4)的概念,并在电信领域的应用中有所发展.它使得网络管理系统与电信网在标准的体系结构下,按照标准的接口和标准的信息格式交换管理信息,从而实现网络管理功能。TMN的基本原理之一就是使管理功能与电信功能分离。网络管理者可以从有限的几个管理节点管理电信网络中分布的电信设备。
国际电信联盟(ITU)在M.3010建议中指出,电信管理网的基本概念是提供一个有组织的网络结构,以取得各种类型的操作系统(OSs)之间、操作系统与电信设备之间的互连。它采用商定的具有标准协议和信息的接口进行管理信息交换的体系结构。提出TMN体系结构的目的是支撑电信网和电信业务的规划、配置、安装、操作及组织。
电信管理网TMN的目的是提供一组标准接口,使得对网络的操作、管理和维护及对网络单元的管理变得容易实现,所以,TMN的提出很大程度上是为了满足网管各部分之间的互连性的要求。集中式的管理和分布式的处理是TMN的突出特点。
ITU-T从三个方面定义了TMN的体系结构(Architecture),即功能体系结构(Functional Architecture),信息体系结构(Information Architecture)和物理体系结构(Physical Architecture)。它们分别体现在管理功能块的划分、信息交互的方式和网管的物理实现。我们按TMN的标准从这三个方面出发,对TMN系统的结构进行设计。
功能体系结构是从逻辑上描述TMN内部的功能分布。引入了一组标准的功能块(Functional block)和可能发生信息交换的参考点(reference points)。整个TMN系统即是各种功能块的组合。
信息体系结构包括两个方面:管理信息模型和管理信息交换。管理信息模型是对网络资源及其所支持的管理活动的抽象表示,网络管理功能即是在信息模型的基础上实现的。管理信息交换主要涉及到TMN的数据通信功能和消息传递功能,即各物理实体和功能实体之间的通信。
物理体系结构是为实现TMN的功能所需的各种物理实体的组织结构。TMN功能的实现依赖于具体的物理体系结构,从功能体系结构到物理体系结构存在着映射关系。物理体系结构随具体情况的不同而千差万别。在物理体系结构和功能体系结构之间有一定的映射关系。物理体系结构中的一个物理块实现了功能体系结构中的一个或多个功能块,一个接口实现了功能体系结构中的一组参考点。
仿照OSI网络分层模型,ITU-T进一步在TMN中引入了逻辑分层。如图3所示:
TMN的逻辑分层是将管理功能针对不同的管理对象映射到事务管理层BML(Business Management Layer),业务管理层SML(Service Management Layer),网络管理层NML(Network Management Layer)和网元管理层EML(Element Management Layer)。再加上物理存在的网元层NEL(Network Element Layer),就构成了TMN的逻辑分层体系结构。从图2-6可以看到,TMN定义的五大管理功能在每一层上都存在,但各层的侧重点不同。这与各层定义的管理范围和对象有关。
三、TMN开发平台和开发工具
1.利用TMN的开发工具开发TMN的必要性
TMN的信息体系结构应用OSI系统管理的原则,引入了管理者和的概念,强调在面向事物处理的信息交换中采用面向对象的技术。如前所述,TMN是高度强调标准化的网络,故基于TMN标准的产品开发,其标准规范要求严格复杂,使得TMN的实施成为一项具有难度和挑战性的工作;再加上OSI系统管理专业人员的相对缺乏,因此,工具的引入有助于简化TMN的开发,提高开发效率。目前比较流行的基于TMN标准的开发平台有HPOV DM、SUN SEM、IBM TMN平台和DSET的DSG及其系列工具。这些平台可以用于开发全方位的TMN管理者和应用,大大降低TMN/Q3应用系统的编程复杂性,并且使之符合开放系统互连(OSI)网络管理标准,这些标准包括高级信息模型定义语言GDM0,OSI标准信息传输协议CMIP,以及抽象数据类型定义语言ASN.1。其中DSET的DSG及工具系列除了具备以上功能外,还具有独立于硬件平台的优点。下面将比较详细论述DSET的TMN开发工具及其在TMN开发中的作用。
2.DSET的TMN开发工具的基本组成
DSET的TMN开发工具从功能上来讲可以构成一个平台和两大工具箱。一个平台:分布式系统生成器DSG(Distributed System Generator);两个工具箱:管理者工具箱和工具箱。
分布式系统生成器DSG
DSG是用于顶层TCP/IP、OSI和其它协议上构筑分布式并发系统的高级对象请求0RB。 DSG将复杂的通信基础设施和面向对象技术相结合,提供构筑分布式计算的软件平台。通信基础设施支持分布式计算中通信域的通信要求。如图4所示,它提供了四种主要的服务:透明远程操作、远程过程调用和消息传递、抽象数据服务及命名服务。借助于并发的面向对象框架,一个复杂的应用可以分解成一组相互通信的并发对象worker,除了支持例如类和多重继承等重要的传统面向对象特征外,为了构筑新的worker类,DSG也支持分布式对象。在一个开放系统中,一个worker可以和其它worker进行通信,而不必去关心它们所处的物理位置。
DSG提供给用户用以开发应用的构造块(building block)称为worker。一个worker可以有自己的控制线程,也可以和别的线程共享一个控制线程,每个Worker都有自己的服务访问点SAP(Service Access Point),通过SAP与其它worker通信。Worker是事件驱动的。在Worker内部,由有限状态机FSM(Finite State Machine〕定义各种动作及处理例程,DSG接受外部事件并分发到相应的动作处理例程进行处理。如图5所示,独占线程的此worker有三个状态,两个SAPs,并且每个SAP的消息队列中都有两个事件。DSG环境通过将这些事件送到相应的事件处理程序中来驱动worker的有限状态机。
Worker是分布式的并发对象,DSG用它来支持面向对象的特点,如:类,继承等等。Worker由worker class定义。Worker可以根据需要由应用程序动态创建。在一个UNIX进程中可以创建的Worker个数仅受内存的限制。
管理者工具箱由ASN.C/C++编译器、CMIP/ROSE协议和管理者代码生成器MCG构成,如图6所示。
其中的CMIP/ROSE协议提供全套符合Q3接口选用的OSI七层协议栈实施。由于TMN在典型的电信环境中以面向对象的信息模型控制和管理物理资源,所有被管理的资源均被抽象为被管对象(M0),被管理系统中的帮助管理者通过MO访问被管理资源,又根据ITU-T M.3010建议:管理者与之间通过Q3接口通信。为此管理者必须产生与通信的CMIP请求。管理者代码生成器读取信息模型(GDMO文件和ASN.1文件),创立代码模板来为每个被定义的MO类产生CMIP请求和CMIP响应。由于所有CMIP数据均由ASN.1符号定义,而上层管理应用可能采用C/C++,故管理者应用需要包含ASN.1数据处理代码,管理者工具箱中的ASN C/ C++编译器提供ASN.1数据到C/C++语言的映射,并采用“预处理技术“生成ASN.1数据的低级代码,可见利用DSET工具用户只需编写网管系统的信息模型和相关的抽象数据类型定义文件,然后利用DSET的ASN C/C++编译器,管理者代码生成器即可生成管理者部分代码框架。
工具箱包括可砚化生成器VAB、CMIP翻译器、ASN.C/C++ Toolkit,其结构见图7。用来开发符合管理目标定义指南GDMO和通用管理信息协议CMIP规定的应用.使用DSET独具特色的工具箱的最大的好处就是更快、更容易地进行应用的开发。DSET在应用的开发上为用户做了大量的工作。
一个典型的GDMO/CM1P应用包括三个代码模块:
·、MIT、MIB的实施
·被管理资源的接口代码
·后端被管理资源代码
第一个模块用于处理与MO实施。工具箱通过对过滤、特性处理、MO实例的通用支持,自动构作这一个模块。DSET的这一部分做得相当完善,用户只需作少量工作即可完成本模块的创建。对于mcreate、m-delete、m-get、m-cancel-get、m-set、m-set-confirmed、m-action、m-action-confirmed这些CMIP请求,第一个模块中包含有缺省的处理代码框架。这些缺省代码都假定管理者的CMIP请求只与MO打交道。为了适应不同用户的需求,DSET工具箱又提供在缺省处理前后调用用户程序的接入点(称为User hooks)。当某CMIP请求需与实际被管资源或数据库打交道时,用户可在相应的PRE-或POST-函数中加入自己的处理代码。例如,当你需要在二层管理应用中发CMIP请求,需望获取实际被管资源的某属性,而该属性又不在相应MO中时你只需在GDMO预定义模板中为此属性定义一PRE-GET函数,并在你自己的定制文件中为此函数编写从实际被管设备取到该属性值的代码即可。DSET的Agent代码在执行每个CMIP请求前都要先检查用户是否在GDMO预定义文件中为此清求定义了PRE-函数,若是,则光执行PRE-函数,并根据返回值决定是否执行缺省处理(PRE-函数返回D-OK则需执行缺省处理,否则Agent向管理者返回正确或错误响应)。同样当Agent执行完缺省处理函数时,也会检查用户是否为该请求定义了POST-函数,若是则继续执行POST-函数。至于Agent与MO之间具体是如何实现通信的,用户不必关心,因为DSET已为我们实现了。用户只需关心需要与设备交互的那一部分CMIP请求,为其定制PRE-/POST函数即可。
第二个模块实现MO与实际被管资源的通信。它的实现依赖于分布式系统生成器DSG所提供“网关处理单元”(gateway)、远程过程调用(RPC)与消息传递机制及MSL语言编译器。通信双方的接口定义由用户在简化的ROSE应用中定义,在DSG中也叫环境,该环境定义了双方的所有操作和相关参数。DSG的CTX编译器编译CTX格式的接口定义并生成接口表。DSG的MSL语言编译器用以编译分布式对象类的定义并生成事件调度表。采用DSG的网关作为MO与实际被管资源间的通信桥梁,网关与MO之间通过定义接口定义文件及各自的MSL文件即可实现通信,网关与被管设备之间采用设备所支持的通信协议来进行通信,例如采用TCP/IP协议及Socket机制实现通信。
第三个模块对被管理资源进行实际处理。这一模块根据第二个模块中定义的网关与被管设备间的通信机制来实现,与工具没有多大联系。
四、TMN开发的关键技术
电信管理网技术蕴含了当今电信、计算机、网络通信和软件开发的最新技术,如OSI开放系统互连技术、OSI系统管理技术、计算机网络技术及分布式处理、面向对象的软件工程方法以及高速数据通信技术等。电信管理网应用系统的开发具有巨大的挑战性。
工具的引入很大程度上减轻了TMN的开发难度。留给开发人员的最艰巨工作就是接口(interface)的信息建模。尤其是Q3接日的信息建模问题。
Q3接口是TMN接口的“旗舰”,Q3接口包括通信模型和信息模型两个部分,通信模型(0SI系统管理)的规范制定的十分完善,并且工具在这方面所作的工作较多,因此,当我们设计和开发各种不同管理业务的TMN系统时,主要是采用一定的方法学,遵循一定的指导原则,针对不同电信领域的信息建模问题。
为什么说建模是TMN开发中的关键技术呢?从管理的角度而言,在那些先有国际标准(或事实上的标准),后有设备的情况下,是有可能存在一致性的信息模型的,例如目前SDH和七号信令网的TMN系统存在这样的信息模型标准。但即使这样,在这些TMN系统的实施过程,有可能由于管理需求的不同而对这些模型进行进一步的细化。在那些先有设备而后才有国际标准(或事实上的标准)的设备,而且有的电信设备就无标准而言,由于不同厂家的设备千差万别,这种一致性的信息模型的制定是非常困难的。
例如,近年来标准化组织国际电信联盟(ITU-T)、欧洲电信标准组织(ETSI)、网络管理论坛(NMF)和ATM论坛等相继颁布了一些Q3信息模型。但至今没有一个完整的稳定的交换机网元层的Q3信息模型。交换机的Q3信息模型提供了交换机网元的一个抽象的、一般的视图,它应当包含交换机的管理的各个方面。但这是不可能的。因为随着电信技术的不断发展,交换机技术也在不断的发展,交换机的类型不断增加,电信业务不断的引入。我们很难设计一个能够兼容未来交换机的信息模型。如今的交换机已不再是仅仅提供电话的窄带业务,而且也提供象ISDN这样的宽带业务。交换机趋向宽带窄带一体化发展,因此交换机的Q3信息模型是很复杂的,交换机Q3信息建模任务是很艰巨的。
五、TMN管理者和的开发
下面结合我们的开发工作,探讨一下TMN管理者和的开发。
1.管理者的开发
基于OSI管理框架的管理者的实施通常被认为是很困难的事,通常,管理者可以划分为三个部分。第一部分是位于人机之间的图形用户接口GUI(Graphical User Interfaces),接收操作人员的命令和输入并按照一种统一的格式传送到第二部分——管理功能。管理功能提供管理功能服务,例如故障管理,性能管理、配置管理、记费管理,安全管理及其它特定的管理功能。接收到来GUI的操作命令,管理功能必须调用第三部分——CMSI API来发送CMIP请求到。CMIS API为管理者提供公共管理信息服务支持。
大多数的网管应用是基于UNIX平台的,如Solaris,AIX and HP-UX。若GUI是用X-Window来开发的,那么GUI和管理功能之间的接口就不存在了,从实际编程的的角度看,GUI和管理功能都在同一个进程中。
上面的管理者实施方案尽管有许多优点,但也存在着不足。首先是费用昂贵。所有的管理工作站都必须是X终端,服务器必须是小型机或大型机。这种方案比采用PC机作客户端加上UNIX服务器的方案要昂贵得多。其次,扩展性不是很好,不同的管理系统的范围是不同的,用户的要求也是不一样的,不是所有的用户都希望在X终端上来行使管理职责。因此,PC机和调终端都应该向用户提供。最后由于X-Window的开发工具比在PC机上的开发工具要少得多。因此最终在我们的开发中,选择了PC机作为管理工作站,SUN Ultral作为服务器。
在实际工作中我们将管理者划分为两个部分——管理应用(management application)和管理者网关(manager gateway)。如图8所示。
管理应用向用户提供图形用户接口GUI并接受用户的命令和输入,按照定义好的消息格式送往管理者网关,由其封装成CMIP请求,调用CMIS API发往。同时,管理者网关还要接收来自的响应消息和事件报告并按照一定的消息格式送往管理应用模块。
但是这种方案也有缺点。由于管理应用和管理者网关的分离,前者位于PC机上,后者位于Ultral工作站上。它们之间的相互作用须通过网络通信来完成。它们之间的接口不再是一个参考点(Reference Point),而是一个物理上的接口,在电信管理网TMN中称为F接口。迄今为止ITU-T一直没能制定出有关F接口的标准,这一部分工作留给了TMN的开发者。鉴于此,我们制定了管理应用和管理者网关之间通信的协议。
在开发中,我们选择了PC机作为管理工作站,SUN Ultral作为我们的管理者网关。所有的管理应用都在PC机上。开发人员可以根据各自的喜好来选择不同开发工具,如Java,VC++,VB,PB等。管理者网关执行部分的管理功能并调用CMIS API来发送CMIP请求,接收来自的响应消息和事件报告并送往相应的管理应用。
管理者网关的数据结构是通过编译信息模型(GDMO文件和ASN.1文件)获得的。它基于DSG环境的。管理者网关必须完成下列转换:
数据类型转换:GUI中的数据类型与ASN.1描述的数据类型之间的相互转换;
消息格式转换:GUI和管理者网关之间的消息格式与CMIP格式之间的相互转换;
协议转换:TCP/IP协议与OSI协议之间的相互转换。
这意味着管理者网关接收来自管理应用的消息。将其转换为ASN.1的数据格式,并构造出CMIS的参数,调用CMIS API发送CMIP请求。反过来,管理者收到来自的消息,解读CMIS参数,构造消息格式,然后送往GUI。GUI和管理者网关之间的消息格式是由我们自己定义的。由于管理应用的复杂性,消息格式的制定参考了CMIS的参数定义和ASN.1的数据类型。
管理者网关是采用多线程(multi-thread)编程来实现的。
2.的开发
的结构如图9所示。
为了使部分的设计和实现模块化、系统化和简单化,将agent分成两大模块——通用模块和MO模块——进行设计和实现。如图所示,通用agent向下只与MO部分直接通信,而不能与被管资源MR直接进行通信及操作,即通用agent将manager发来的CMIP请求解析后投递给相应的M0,并从MO接收相应的应答信息及其它的事件报告消息。
的作用是代表管理者管理MO。利用工具的支持,采用面向对象的技术,分为八个步骤进行agent的设计和实现,这八个步骤是:
第一步:对信息模型既GDMO文件和ASN.1文件的理解,信息模型是TMN系统开发的基础和关键。特别是对信息模型中对象类和其中各种属性清晰的认识和理解,对于实际的TMN系统来说,其信息模型可能很复杂,其中对象类在数量上可能很多。也就是说,在设计和实现agent之前,必须作到对MO心中有数。
第二步:被管对象MO的定制。这一部分是agent设计和实现中的关键部分,工具对这方面的支持也不是很多,特别是涉及到MO与MR之间的通信,更为复杂,故将MO专门作为一个模块进行设计和实现MO和MR之间的通信以及数据和消息格式的转换问题,利用网关原理设计一个网关来解决。
第三步:创建内置的M0。所谓内置MO就是指在系统运行时,已经存在的物理实体的抽象。为了保证能对这些物理实体进行管理,必须将这些被管对象的各种固有的属性值和操作预先加以定义。
第四步:创建外部服务访问点SAP。如前所述,TMN系统中各个基于分布式处理的worker之间通过SAP进行通信,所以要为agent与管理者manager之间、agent与网关之间创建SAP。
第五步:SAP同内置MO的捆绑注册。由于在TMN系统中,agent的所有操作是针对MO的,即所有的CMIP请求经解析后必须送到相应的M0,而基于DSG平台的worker之间的通信是通过SAP来实现的。因而,在系统处理过程中,当进行信息的传输时,必须知道相应MO的SAP,所以,在agent的设计过程中,必须为内置MO注册某一个SAP。
第六步:agent配置。对agent中有些参数必须加以配置和说明。如队列长度、流量控制门限值、agent处理单元组中worker的最大/最小数目。报告的处理方式、同步通信方式中超时门限等。
第七步:agent用户函数的编写,如agent worker初始化函数、子函数等的编写。
第八步:将所有函数编译,连接生成可运行的agent。
MO模块是agent设计中的一个重要而又复杂的部分。这是由于,一方面工具对该部分的支持不是很多:另一方面,用户的大部分处理函数位于这一部分;最主要的还在于它与被管资源要跨平台,在不同的环境下进行通信。MO模块的设计思想是在MO和MR之间设计一个网关(gateway),来实现两者之间的消息、数据、协议等转换。
MO部分的主要功能是解析,执行来自管理者的CMIP请求,维持各MO的属性值同被管资源的一致性,生成CMIP请求结果,并上报通用agent模块,同时与MR通信,接收和处理来自MR的事件报告信息,并转发给通用agent。
MO部分有大量的用户定制工作。工具只能完成其中一半的工作,而另一半工作都需要用户自己去定制。用户定制分为两大类;
第一类是PRE-/POST-函数。PRE-/POST-函数的主要功能是在agent正式处理CMIP请求之前/之后与被管资源打交道,传送数据到MR或从MR获取数据并做一些简单的处理。通过对这些PRE-/POST-函数的执行,可以确保能够真实地反映出被管资源的运行状态。PRE-/POST-函数分为两个层次:MO级别和属性级别。MO级别层次较高,所有对该对象类的CMIP操作都会调用MO级别的PRE-/POST-函数。属性级别层次低,只有对该属性的CMIP操作才会调用这些函数。DSET工具只提供了PRE-/POST-函数的人口参数和返回值,具体的代码需要完全由用户自己编写。由于agent与被管资源有两种不同的通信方式,不同的方式会导致不同的编程结构和运行效率,如果是同步方式,编程较为简单,但会阻塞被管资源,适合于由大量数据返回的情况。异步方式不会阻塞被管资源,但编程需要作特殊处理,根据不同的返回值做不同的处理,适合于数据不多的情况,在选择通信方式时还要根据MO的实现方式来确定。比如,MO若采用Doer来实现,则只能用同步方式。
第二类是动作、事件报告和通知的处理,动作的处理相对比较容易,只需考虑其通信方式采用同步还是异步方式。对事件报告和通知的处理比较复杂。首先,需要对事件进行分类,对不同类别的事件采用不同的处理方法,由哪一个事件前向鉴别器EFD(Event Forwarding Discriminator)来处理等等。比如,告警事件的处理就可以单独成为一类。其次,对每一类事件需要确定相应的EFD的条件是什么,哪些需要上报管理应用,哪些不需要。是否需要记入日志,这些日志记录的维护策略等等。
除了这两类定制外,MO也存在着优化问题。比如MO用worker还是Doer来实现,通信方式采用同步还是异步,面向连接还是无连接等等,都会影响整个的性能。
如果MO要永久存储,我们采用文件方式。因为目前DSET的工具只支持Versant、ODI这两种面向对象数据库管理系统OODBMS,对于0racle,Sybase等数据库的接口还需要用户自己实现。MO定制的工作量完全由信息模型的规模和复杂程度决定,一个信息模型的对象类越多,对象之间的关系越复杂(比如一个对象类中的属性改变会影响别的类),会导致定制工作的工作量和复杂程度大大增加。
者agent在执行管理者发来的CMIP请求时必须保持与被管资源MR进行通信,将manager传送来的消息和数据转发给MR,并要从MR获取必要的数据来完成其操作,同时,它还要接收来自MR的事件报告,并将这些事件上报给manager。
由上述可知,与被管资源MR之间的通信接口实际上是指MO与MR之间的通信接口。大部分MO是对实际被管资源的模拟,这些MO要与被管资源通信。若让这些MO直接与被管资源通信,则存在以下几个方面的弊端:
·由于MO模块本身不具备错误信息检测功能(当然也可在此设计该项功能,但增加了MO模块的复杂性),如果将上向发来的所有信息(包括某些不恰当的信息)全部转发给MR,不仅无此必要,而且增加了数据通信量;同理MR上发的信息也无必要全部发送给MO。
·当被管资源向MO发消息时,由于MIT对于被管资源来说是不可知的,被管资源不能确定其相应MO在MIT中所处的具置,从而也就无法将其信息直接送到相应的MO,因而只能采用广播方式发送信息。这样一来,每当有消息进入MO模块时,每个MO都要先接收它,然后对此消息加以判断,看是否是发给自己的。这样一方面使编程复杂化,使软件系统繁杂化,不易控制,调试困难;另一方面也使通信开销增大。
·MO直接与被管资源通信,使得系统在安全性方面得不到保障,在性能方面也有所下降,为此,采用计算机网络中中网关(gateway)的思想,在MO与被管资源建立一个网关,即用一个gateway worker作为MO与被管资源通信的媒介。网关在的进程处理中起到联系被管资源与MO之间的“桥梁”作用。
六、总结与展望
Q3接口信息建模是TMN开发中的关键技术。目前,各标准化组织针对不同的管理业务制定和了许多信息模型。这些模型大部分是针对网元层和网络层,业务层和事务层的模型几乎没有,还有相当的标准化工作正在继续研究。业务层和事务层的模型是将来研究的重点。
相关期刊
精品范文
10网络监督管理办法