网络管理

网络管理

Windows

络故障管理包括故障检测、隔离和纠正三方面，应包括以下典型功能：

网络管理

⑴故障监测：主动探测或被动接收网络上的各种事件信息，并识别出其中与网络和系统故障相关的内容，对其中的关键部分保持跟踪，生成网络故障事件记录。

(1)故障报警：接收故障监测模块传来的报警信息，根据报警策略驱动不同的报警程序，以报警窗口/振铃（通知一线网络管理人员）或电子邮件（通知决策管理人员）发出网络严重故障警报。

(2)故障信息管理：依靠对事件记录的分析，定义网络故障并生成故障卡片，记录排除故障的步骤和与故障相关的值班员日志，构造排错行动记录，将事件-故障-日志构成逻辑上相互关联的整体，以反映故障产生、变化、消除的整个过程的各个方面。

(3)排错支持工具：向管理人员提供一系列的实时检测工具，对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错；根据已有的排错经验和管理员对故障状态的描述给出对排错行动的提示。

(4)检索/分析故障信息：浏阅并且以关键字检索查询故障管理系统中所有的数据库记录，定期收集故障记录数据，在此基础上给出被管网络系统、被管线路设备的可靠性参数。

对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在错误日志中，并不作特别处理；而严重一些的故障则需要通知网络管理器，即所谓的"警报"。一般网络管理器应根据有关信息对警报进行处理，排除故障。当故障比较复杂时，网络管理器应能执行一些诊断测试来辨别故障原因。

⑵计费管理（Accounting Management)

计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理员还可规定用户可使用的最大费用，从而控制用户过多占用和使用网络资源。这也从另一方面提高了网络的效率。另外，当用户为了一个通信目的需要使用多个网络中的资源时，计费管理应可计算总计费用。

⑴计费数据采集：计费数据采集是整个计费系统的基础，但计费数据采集往往受到采集设备硬件与软件的制约，而且也与进行计费的网络资源有关。

⑵数据管理与数据维护：计费管理人工交互性很强，虽然有很多数据维护系统自动完成，但仍然需要人为管理，包括交纳费用的输入、联网单位信息维护，以及账单样式决定等。

⑶计费政策制定；由于计费政策经常灵活变化，因此实现用户自由制定输入计费政策尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。

⑷政策比较与决策支持：计费管理应该提供多套计费政策的数据比较，为政策制订提供决策依据。

象的特定属性，可以针对不同的时间段和性能指标进

CPU芯片

⑶网络管理用户分组管理与访问控制，网络管理系统的用户（即管理员）按任务的不同分成若干用户组，不同的用户组中有不同的权限范围，对用户的操作由访问控制检查，保证用户不能越权使用网络管理系统。

⑷系统日志分析，记录用户所有的操作，使系统的操作和对网络对象的修改有据可查，同时也有助于故障的跟踪与恢复。

网络对象的安全管理有以下功能：

⑴网络资源的访问控制，通过管理路由器的访问控制链表，完成防火墙的管理功能，即从网络层(1P）和传输层(TCP）控制对网络资源的访问，保护网络内部的设备和应用服务，防止外来的攻击。

⑵告警事件分析，接收网络对象所发出的告警事件，分析员安全相关的信息（如路由器登录信息、SNMP认证失败信息），实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。

⑶主机系统的安全漏洞检测，实时的监测主机系统的重要服务（如WWW，DNS 等）的状态，提供安全监测工具，以搜索系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。

⑹上网行为管理

小草网管软件综合智能动态带宽保障，服务器流量分析与保障、虚拟多设备管理等多项突破性技术，涵盖流量分析、带宽管理、上网行为管理、DMZ区服务器管理，专线集中管理、企业级防火墙与路由器、负载均衡等功能，在网络性能、质量、安全等方面为客户提供完整的解决方案。本产品已获得各行业客户的广泛认可，成为企业网关综合管理软件产品第一品牌。

1.企业网关统一管理系统

2. 支持在windows操作系统上安装与部署

3.安装与操作简单易用

4. 流量分析准确

5. 流控效果显著

6.市场上唯一支持对DMZ区与内网服务器管理的产品

7. 市场上唯一支持对多条专线统一集中管理的产品

管理协议

简介

随着网络的不断发展，规模增大，复杂性增加，简单的网络管理技术已不能适应网络迅速发展的要求。以往的网络管理系统往往是厂商在自己的网络系统中开发的专用系统，很难对其他厂商的网络系统、通信设备软件等进行管理，这种状况很不适应网络异构互联的发展趋势。20世纪80年代初期Internet的出现和发展使人们进一步意识到了这一点。研究开发者们迅速展开了对网络管理的研究，并提出了多种网络管理方案，包括HEMS、SGMP、CMIS/CMIP等。下面进行简单介绍。

SNMP

简单网络管理协议（SNMP）的前身是1987年发布的简单网关监控协议（SGMP）。SGMP给出了监控网关（OSI第三层路由器）的直接手段，SNMP则是在其基础上

发展而来。最初，SNMP是作为一种可提供最小网络管理功能的临时方法开发的，它具有以下两个优点：

⑴与SNMP相关的管理信息结构（SMI）以及管理信息库（MIB）非常简单，从而能够迅速、简便地实现；

⑵SNMP是建立在SGMP基础上的，而对于SGMP，人们积累了大量的操作经验。

SNMP经历了两次版本升级，现在的最新版本是SNMPv3。在前两个版本中SNMP 功能都得到了极大的增强，而在最新的版本中，SNMP在安全性方面有了很大的

改善，SNMP缺乏安全性的弱点正逐渐得到克服。

CMIS/CMIP

公共管理信息服务/公共管理信息协议（CMIS/CMIP）是OSI提供的网络管理协议簇。CMIS定义了每个网络组成部分提供的网络管理服务，这些服务在本质

上是很普通的，CMIP则是实现CMIS服务的协议。

OSI网络协议旨在为所有设备在ISO参考模型的每一层提供一个公共网络结构，而CMIS/CMIP正是这样一个用于所有网络设备的完整网络管理协议簇。

出于通用性的考虑，CMlS/CMIP的功能与结构跟SNMP很不相同，SNMP是按照简单和易于实现的原则设计的，而CMIS/CMIP则能够提供支持一个完整网络管理方案所需的功能。

CMIS/CMIP的整体结构是建立在使用ISO网络参考模型的基础上的，网络管理应用进程使用ISO参考模型中的应用层。也在这层上，公共管理信息服务单元（CMISE）提供了应用程序使用CMIP协议的接口。同时该层还包括了两个ISO

应用协议：联系控制服务元素（ACSE）和远程操作服务元素（RpSE），其中ACSE 在应用程序之间建立和关闭联系，而ROSE则处理应用之间的请求/响应交互。另外，值得注意的是OSI没有在应用层之下特别为网络管理定义协议。

CMOT

公共管理信息服务与协议（CMOT）是在TCP/IP协议簇上实现CMIS服务，这是一种过渡性的解决方案，直到OSI网络管理协议被广泛采用。

TCP/IP协议

CMIS使用的应用协议并没有根据CMOT而修改，CMOT仍然依赖于CMISE、ACSE 和ROSE协议，这和CMIS/CMIP是一样的。但是，CMOT并没有直接使用参考模型中表示层实现，而是要求在表示层中使用另外一个协议--轻量表示协议（LPP），该协提供了目前最普通的两种传输层协议--TCP和UDP的接口。

CMOT的一个致命弱点在于它是一个过渡性的方案，而没有人会把注意力集中在一个短期方案上。相反，许多重要厂商都加入了SNMP潮流并在其中投入了大量资源。事实上，虽然存在CMOT的定义，但该协议已经很长时间没有得到任何发展了。

LMMP

局域网个人管理协议（LMMP）试图为LAN环境提供一个网络管理方案。LMMP 以前被称为IEEE802逻辑链路控制上的公共管理信息服务与协议（CMOL）。由于该协议直接位于IEEE802逻辑链路层（LLC）上，它可以不依赖于任何特定的网络层协议进行网络传输。

网络管理

由于不要求任何网络层协议，LMMP比CMIS/CMIP或CMOT都易于实现，然而没有网络层提供路由信息，LMMP信息不能跨越路由器，从而限制了它只能在局域网中发展。但是，跨越局域网传输局限的LMMP信息转换代理可能会克服这一问题。

简单协议

简单网络管理协议（SNMP）是最早提出的网络管理协议之一。SNMP已成为网络管理领域中事实上的工业标准，并被广泛支持和应用，大多数网络管理系统和平台都是基于SNMP的。

一、 SNMP概述

SNMP的前身是简单网关监控协议（SGMP），用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI 和MIB：体系结构，改进后的协议就是著名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台，因此SNMP受Internet标准网络管理框架的影响也很大。SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。

SNMP的体系结构是围绕着以下四个概念和目标进行设计的：保持管理代理（agent）的软件成本尽可能低；最大限度地保持远程管理的功能，以便充分利用Internet的网络资源；体系结构必须有扩充的余地；保持SNMP的独立性，不

依赖于具体的计算机、网关和网络传输协议。在最近的改进中，又加入了保证SNMP体系本身安全性的目标。

另外，SNMP中提供了四类管理操作：get操作用来提取特定的网络管理信息；get-next操作通过遍历活动来提供强大的管理信息提取能力；set操作用来对管理信息进行控制（修改、设置）；trap操作用来报告重要的事件。

二、 SNMP管理控制框架与实现

1．SNMP管理控制框架

SNMP定义了管理进程（Manager）和管理代理（Agent）之间的关系，这个

关系称为共同体(Community）。描述共同体的语义是非常复杂的，但其句法却很简单。位于网络管理工作站（运行管理进程）上和各网络元素上利用SNMP相互通信对网络进行管理的软件统统称为SNMP应用实体。若干个应用实体和SNMP

组合起来形成一个共同体，不同的共同体之间用名字来区分，共同体的名字则必须符合Internet的层次结构命名规则，由无保留意义的字符串组成。此外，一个SNMP应用实体可以加入多个共同体

SNMP模型

。

SNMP的应用实体对Internet管理信息库中的管理对象进行操作。一个SNMP 应用实体可操作的管理对象子集称为SNMP MIB授权范围。SNMP应用实体对授权范围内管理对象的访问仍然还有进一步的访问控制限制，比如只读、可读写等。SNMP体系结构中要求对每个共同体都规定其授权范围及其对每个对象的访问方式。记录这些定义的文件称为“共同体定义文件”。

SNMP的报文总是源自每个应用实体，报文中包括该应用实体所在的共同体

的名字。这种报文在SNMP中称为“有身份标志的报文”，共同体名字是在管理进程和管理代理之间交换管理信息报文时使用的。管理信息报文中包括以下两部分内容：

⑴共同体名，加上发送方的一些标识信息（附加信息），用以验证发送方确实是共同体中的成员，共同体实际上就是用来实现管理应用实体之间身份鉴别的；

⑵数据，这是两个管理应用实体之间真正需要交换的信息。

在第三版本前的SNMP中只是实现了简单的身份鉴别，接收方仅凭共同体名来判定收发双方是否在同一个共同体中，而前面提到的附加倍息尚未应用。接收

方在验明发送报文的管理代理或管理进程的身份后要对其访问权限进行检查。访问权限检查涉及到以下因素：

⑴一个共同体内各成员可以对哪些对象进行读写等管理操作，这些可读写对象称为该共同体的“授权对象”（在授权范围内）；

⑵共同体成员对授权范围内每个对象定义了访问模式：只读或可读写；

⑶规定授权范围内每个管理对象（类）可进行的操作（包括get，get-next，set和trap）；

⑷管理信息库（MIB）对每个对象的访问方式限制（如MIB中可以规定哪些对象只能读而不能写等）。

管理代理通过上述预先定义的访问模式和权限来决定共同体中其他成员要求的管理对象访问（操作）是否允许。共同体概念同样适用于转换代理（Proxy Agent），只不过转换代理中包含的对象主要是其他设备的内容。

2．SNMP实现方式为了提供遍历管理信息库的手段，SNMP在其MIB中采用了树状命名方法对每个管理对象实例命名。每个对象实例的名字都由对象类名字加上一个后缀构成。对象类的名字是不会相互重复的，因而不同对象类的对象实例之间也少有重名的危险。

在共同体的定义中一般要规定该共同体授权的管理对象范围，相应地也就规定了哪些对象实例是该共同体的“管辖范围”，据此，共同体的定义可以想象为一个多叉树，以词典序提供了遍历所有管理对象实例的手段。有了这个手段，SNMP 就可以使用Get-next操作符，顺序地从一个对象找到下一个对象。

Get-next(Object-instance)操作返回的结果是一个对象实例标识符及其相关信息，该对象实例在上面的多叉树中紧排在指定标识符；Bject-instance对象的后面。这种手段的优点在于，即使不知道管理对象实例的具体名字，管理系统也能逐个地找到它，并提取到它的有关信息。遍历所有管理对象的过程可以从第一个对象实例开始（这个实例一定要给出），然后逐次使用Get-next，直到返回一个差错（表示不存在的管理对象实例）结束（完成遍历）。

由于信息是以表格形式（一种数据结构）存放的，在SNMP的管理概念中，把所有表格都视为子树，其中一张表格（及其名字）是相应子树的根节点，每个列是根下面的子节点，一列中的每个行则是该列节点下面的子节点，并且是子树的叶节点，如下图所示。因此，按照前面的子树遍历思路，对表格的遍历是先访问第一列的所有元素，再访问第二列的所有元素……，直到最后一个元素。若试图得到最后一个元素的“下一个”元素，则返回差错标记。

管理关键

网络迅速发展，导致网络结构更为复杂；网络应用的日新月异，让网络管理员每天都要面对新的问题。很多企事业单位，在遇到网络问题不知道应该如何去解决，看流量，拔网线等手段，排查周期长，也很难真正找出问题。

但对网络问题的解决能力并不实用。

网络拓扑图

网络分析不仅提供网络依据，更重要的是帮助管理者提高问题的解决能力。"诊断专家"则是一个从问题原因到问题结果的完整解释。好的网络分析产品，可以自动提取问题的相关数据，并告诉管理者网络中存在有哪些问题，可能产生的原因，有什么办法可以解决，ARP攻击的快速定位则是一个很好的证明。

网络数据的回放能力

好的网络分析产品，都具有网络数据的回放能力，将网络数据进行7x24小时记录，可以按每天或每小时来记录。如果要分析昨天某个时段出现的网络故障，只需要将当时保存的数据包进行播放，同时通过网络分析来追溯故障是如何发生的，使网络管理对历史问题追查能力得到明显提高。

局域网网络流量控制与管理办法[3]

1、局域网网络流量监控方法

网络流量监控的主要目的是对网络进行管理，其过程一般是：一、实时、不间断地采集网络数据。二、统计、分析所得数据。三、确认网络的主要性能指标。

四、对网络进行分析管理。网络流量监控的方法主要有两种，一种是使用网络监控设备，另一种是使用网络流量监控软件。当前的局域网网络设备对于P2P这种模式没有很好的管理效果，导致P2P软件大行其道，占用了极多的带宽资源。当前，以下几种网络流量最为常见：

（1）P2P流量：P2P文件共享在网络带宽消耗方面是大户，夜间，有95%的网络带宽被P2P占用。

（2）FTP流量：FTP这项服务的应用比较早，且重要程度只比HTTP和SMTP 稍低。P2P的出现，FTP的重要性再次降低，但其重要性仍然不可忽视。

...

2、局域网流量控制与管理策略

2.1 通过路由控制流量

2.2 禁止P2P下载

2.3 进行时间段管理

2.4 限定局域网主机速度

3、局域网流量异常发现与处理

3.1 找出流量过大的电脑

3.2 对异常主机发出警告

局域网络管理

传统的局域网管理主要针对一定范围的局域网络，在这样的局域网络中包括的主要管理对象有：服务器、客户机、客户端PC机各种网络线路与集线器以及各种网络操作系统。由于在这样规模的局域网中，网络管理的对象有限，网络管理一般包括三个方面：了解网络，网络运行以及网络维护。1．了解网络要管好一个局域网，就必须对该局域网有清楚的了解。对该网络的清晰了解以及对各种网络信息的资料化管理记录，是保证网络正常运转以及进行各种网络维护的前提与基础。

局域网

管理维护

简介

网络管理和维护是一项非常复杂的任务，虽然关于网络管理既制订了国际标准，又存在众多网络管理的平台与系统，但要真正做好网络管理的工作不是一件简单的事情。下面我们将介绍网络技术发展下一些新形式的网络管理，以及在长期网络管理实践基础上总结出来的一些网络管理经验。

VLAN管理

VLAN(虚拟局域网）就是一个计算机网络，其中的计算机好像是被同一网线连接在一起，而实际上它们可能分处于局域网的不同区域。VLAN更多的是通过软件而非硬件来实现，因此这使得它具有很高的灵活性。VlAN的一个主要特性就是提供了更多的管理控制，减少了相对日常管理开销，提供了更大的配置灵活性。

VLAN的这些特性包括：①当用户从一个地点移动到另一个地点时，简化了配置操作和过程修改；②当网络阻塞时，可以重新调节流量分布；②提供流量与广播行为的详细报告，同时统计VLAN逻辑区域的规模与组成；④提供根据实际情况在VLAN中增加和减少用户的灵活性。

VLAN管理

上面的这些操作必须透明地执行，同时需要不用具备太多实际网络复杂连接情况的了解，或者不用知道如何重新配置协议。虽然用户可以直接地通过设置或