論計算機網路管理技術初探
計算機網路管理技術就是監督、組織和控制網路通訊服務以及資訊處理所必需的各種技術手段和措施的總稱。其目標是確保計算機網路的持續正常執行,並在計算機網路執行出現異常時能及時響應和排除故障。在當今這個資訊化社會中,一方面,硬體平臺,作業系統平臺,應用軟體等IT系統已變得越來越複雜和難以統一管理;另一方面,現代社會生活對網路的高度依賴,使保障網路的通暢、可靠就顯得尤其重要。這些都使得網路管理技術成為網路技術中人們公認的關鍵技術。
計算機網路管理從功能上講一般包括配置管理、效能管理、安全管理、故障管理等。由於網路安全對網路資訊系統的效能、管理的關聯及影響趨於更復雜、更嚴重,網路安全管理還逐漸成為網路管理技術中的一個重要分支,正受到業界及使用者的日益深切的廣泛關注。可能也正是由於網路安全管理技術要解決的問題的突出性和特殊性,使得網路安全管理系統呈現出了從通常網管系統中分離出來的趨勢。
當前,網路管理技術主要有誕生於Internte家族的SNMP是專門用於對Internet進行管理的,雖然它有簡單適用等特點,已成為當前網路界的實際標準,但由於Internet本身發展的不規範性,使SNMP有先天性的不足,難以用於複雜的網路管理,只適用於TCP/IP網路,在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網路技術及系統的研究與出現,電信網、有線網、寬頻網等的融合,使原來的SNMP已不能滿足新的網路技術的要求;CMIP可對一個完整的網路管理方案提供全面支援,在技術和標準上比較成熟.最大的優勢在於,協議中的變數並不僅僅是與終端相關的一些資訊,而且可以被用於完成某些任務,但正由於它是針對SNMP的不足而設計的,因此過於複雜,實施費用過高,還不能被廣泛接受;分佈物件網路管理技術是將CORBA技術應用於網路管理而產生的,主要採用了分佈物件技術將所有的管理應用和被管元素都看作分佈物件,這些分佈物件之間的互動就構成了網路管理.此方法最大的特點是遮蔽了程式語言、網路協議和作業系統的差異,提供了多種透明性,因此適應面廣,開發容易,應用前景廣闊.SNMP和CMIP這兩種協議由於各自有其擁護者,因而在很長一段時期內不會出現相互替代的情況,而如果由完全基於CORBA的系統來取代,所需要的時間、資金以及人力資源等都過於龐大,也是不能接受的。所以,CORBA,SNMP,CMIP相結合成為基於CORBA的網路管理系統是當前研究的主要方向。在網路應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火牆、、IDS、防病毒、身份認證、資料加密、安全審計等安全防護和管理系統在網路中得到了廣泛應用。雖然這些安全產品能夠在特定方面發揮一定的作用,但是這些產品大部分功能分散,各自為戰,形成了相互沒有關聯的、隔離的“安全孤島”;各種安全產品彼此之間沒有有效的統一管理排程機制,不能互相支撐、協同工作,從而使安全產品的應用效能無法得到充分的發揮。
從網路安全管理員的角度來說,最直接的需求就是在一個統一的介面中監視網路中各種安全裝置的執行狀態,對產生的大量日誌資訊和報警資訊進行統一彙總、分析和審計;同時在一個介面完成安全產品的升級、攻擊事件報警、響應等功能。
但是,一方面,由於現今網路中的裝置、作業系統、應用系統數量眾多、構成複雜,異構性、差異性非常大,而且各自都具有自己的控制管理平臺、計算機網路管理員需要學習、瞭解不同平臺的使用及管理方法,並應用這些管理控制平臺去管理網路中的物件裝置、系統、使用者等,工作複雜度非常之大。另一方面,應用系統是為業務服務的;企業內的員工在整個業務處理過程中處於不同的工作崗位,其對應用系統的使用許可權也不盡相同,計算機網路管理員很難在各個不同的系統中保持使用者許可權和控制策略的全域性一致性。所以網路管理的需求決定網管系統的組成和規模,任何網管系統無論其規模大小如何,基本上都是由支援網管協議的網管軟體平臺、網管支撐軟體、網管工作平臺和支撐網管協議的網路裝置組成。
網管軟體平臺提供網路系統的配置、故障、效能以及網路使用者分佈方面的基本管理。目前決大多數網管軟體平臺都是在UNIX和DOS/WINDOWS平臺上實現的。目前公認的三大網管軟體平臺是:HPView、IBMNetview和SUNNetmanager。雖然它們的產品形態有不同的作業系統的版本,但都遵循SNMP協議和提供類似的網管功能。
不過,儘管上述網管軟體平臺具有類似的網管功能,但是它們在網管支撐軟體的支援、系統的可靠性、使用者介面、操作功能、管理方式和應用程式介面,以及資料庫的支援等方面都存在差別。可能在其它作業系統之上實現的Netview、Openview、Netmanager網管軟體平臺版本僅是標準Netview、Openview、Netmanager的子集。例如,在MSWindows作業系統上實現的Netview網管軟體平臺版本NetviewforWindows便僅僅只是Netview的子集。
網管支撐軟體是運行於網管軟體平臺之上,支援面向特定網路功能、網路裝置和作業系統管理的支撐軟體系統。
網路裝置生產廠商往往為其生產的網路裝置開發專門的網路管理軟體。這類軟體建立在網路管理平臺之上,針對特定的網路管理裝置,通過應用程式介面與平臺互動,並利用平臺提供的資料庫和資源,實現對網路裝置的管理,比如CiscoWorks就是這種型別的網路管理軟體,它可建立在HPOpen View和IBM Netview等管理平臺之上,管理廣域網際網路絡中的Cisco路由器及其它裝置。通過它,可以實現對Cisco的各種網路互聯裝置(如路由器、交換機等)進行復雜網路管理
另外,對大型網路而言,管理與安全相關的事件變得越來越複雜;網路管理員必須將各個裝置、系統產生的事件、資訊關聯起來進行分析,才能發現新的或更深層次的安全問題。 因此,使用者的計算機網路管理需要建立一種新型的整體網路安全管理解決方案——統一安全管理平臺來總體配置、調控整個網路多層面、分散式的安全系統,實現對各種網路安全資源的集中監控、統一策略管理、智慧審計及多種安全功能模組之間的互動,從而有效簡化網路安全管理工作,提升網路的安全水平和可控制性、可管理性,降低使用者的整體安全管理開銷。
計算機網路的應用正處於一個爆炸性增長的時期,並且網路規模迅速擴大,網路的複雜程度也日益加劇。為適應網路大發展的這一時代需要,在構建計算機網路時必須高度重視網路管理的重要性,重點從網管技術和網管策略設計兩個大的方面全面規劃和設計好網路管理的方方面面,以保障網路系統高效、安全地執行。
計算機網路管理從功能上講一般包括配置管理、效能管理、安全管理、故障管理等。由於網路安全對網路資訊系統的效能、管理的關聯及影響趨於更復雜、更嚴重,網路安全管理還逐漸成為網路管理技術中的一個重要分支,正受到業界及使用者的日益深切的廣泛關注。可能也正是由於網路安全管理技術要解決的問題的突出性和特殊性,使得網路安全管理系統呈現出了從通常網管系統中分離出來的趨勢。
當前,網路管理技術主要有誕生於Internte家族的SNMP是專門用於對Internet進行管理的,雖然它有簡單適用等特點,已成為當前網路界的實際標準,但由於Internet本身發展的不規範性,使SNMP有先天性的不足,難以用於複雜的網路管理,只適用於TCP/IP網路,在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網路技術及系統的研究與出現,電信網、有線網、寬頻網等的融合,使原來的SNMP已不能滿足新的網路技術的要求;CMIP可對一個完整的網路管理方案提供全面支援,在技術和標準上比較成熟.最大的優勢在於,協議中的變數並不僅僅是與終端相關的一些資訊,而且可以被用於完成某些任務,但正由於它是針對SNMP的不足而設計的,因此過於複雜,實施費用過高,還不能被廣泛接受;分佈物件網路管理技術是將CORBA技術應用於網路管理而產生的,主要採用了分佈物件技術將所有的管理應用和被管元素都看作分佈物件,這些分佈物件之間的互動就構成了網路管理.此方法最大的特點是遮蔽了程式語言、網路協議和作業系統的差異,提供了多種透明性,因此適應面廣,開發容易,應用前景廣闊.SNMP和CMIP這兩種協議由於各自有其擁護者,因而在很長一段時期內不會出現相互替代的情況,而如果由完全基於CORBA的系統來取代,所需要的時間、資金以及人力資源等都過於龐大,也是不能接受的。所以,CORBA,SNMP,CMIP相結合成為基於CORBA的網路管理系統是當前研究的主要方向。在網路應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新,愈演愈烈。防火牆、、IDS、防病毒、身份認證、資料加密、安全審計等安全防護和管理系統在網路中得到了廣泛應用。雖然這些安全產品能夠在特定方面發揮一定的作用,但是這些產品大部分功能分散,各自為戰,形成了相互沒有關聯的、隔離的“安全孤島”;各種安全產品彼此之間沒有有效的統一管理排程機制,不能互相支撐、協同工作,從而使安全產品的應用效能無法得到充分的發揮。
但是,一方面,由於現今網路中的裝置、作業系統、應用系統數量眾多、構成複雜,異構性、差異性非常大,而且各自都具有自己的控制管理平臺、計算機網路管理員需要學習、瞭解不同平臺的使用及管理方法,並應用這些管理控制平臺去管理網路中的物件裝置、系統、使用者等,工作複雜度非常之大。另一方面,應用系統是為業務服務的;企業內的員工在整個業務處理過程中處於不同的工作崗位,其對應用系統的使用許可權也不盡相同,計算機網路管理員很難在各個不同的系統中保持使用者許可權和控制策略的全域性一致性。所以網路管理的需求決定網管系統的組成和規模,任何網管系統無論其規模大小如何,基本上都是由支援網管協議的網管軟體平臺、網管支撐軟體、網管工作平臺和支撐網管協議的網路裝置組成。
不過,儘管上述網管軟體平臺具有類似的網管功能,但是它們在網管支撐軟體的支援、系統的可靠性、使用者介面、操作功能、管理方式和應用程式介面,以及資料庫的支援等方面都存在差別。可能在其它作業系統之上實現的Netview、Openview、Netmanager網管軟體平臺版本僅是標準Netview、Openview、Netmanager的子集。例如,在MSWindows作業系統上實現的Netview網管軟體平臺版本NetviewforWindows便僅僅只是Netview的子集。
網管支撐軟體是運行於網管軟體平臺之上,支援面向特定網路功能、網路裝置和作業系統管理的支撐軟體系統。
網路裝置生產廠商往往為其生產的網路裝置開發專門的網路管理軟體。這類軟體建立在網路管理平臺之上,針對特定的網路管理裝置,通過應用程式介面與平臺互動,並利用平臺提供的資料庫和資源,實現對網路裝置的管理,比如CiscoWorks就是這種型別的網路管理軟體,它可建立在HPOpen View和IBM Netview等管理平臺之上,管理廣域網際網路絡中的Cisco路由器及其它裝置。通過它,可以實現對Cisco的各種網路互聯裝置(如路由器、交換機等)進行復雜網路管理
另外,對大型網路而言,管理與安全相關的事件變得越來越複雜;網路管理員必須將各個裝置、系統產生的事件、資訊關聯起來進行分析,才能發現新的或更深層次的安全問題。 因此,使用者的計算機網路管理需要建立一種新型的整體網路安全管理解決方案——統一安全管理平臺來總體配置、調控整個網路多層面、分散式的安全系統,實現對各種網路安全資源的集中監控、統一策略管理、智慧審計及多種安全功能模組之間的互動,從而有效簡化網路安全管理工作,提升網路的安全水平和可控制性、可管理性,降低使用者的整體安全管理開銷。
計算機網路的應用正處於一個爆炸性增長的時期,並且網路規模迅速擴大,網路的複雜程度也日益加劇。為適應網路大發展的這一時代需要,在構建計算機網路時必須高度重視網路管理的重要性,重點從網管技術和網管策略設計兩個大的方面全面規劃和設計好網路管理的方方面面,以保障網路系統高效、安全地執行。