下载掌阅APP,畅读海量书库
立即打开
为了标准化网络管理系统的管理功能,ISO在ISO/IEC 7498-4文件中定义了网络管理的5个功能域:故障管理(Fault Management)、配置管理(Configuration Management)、安全管理(Security Management)、性能管理(Performance Management)和计费管理(Accounting Management)。
故障管理是为了尽快发现故障,找出故障的原因,以便及时采取补救措施,即对计算机网络中的问题或故障进行定位的过程。它包含故障检测和报警功能、故障预测功能、故障诊断和定位功能3个模块。
1.故障检测和报警功能
故障监视代理要随时记录网络系统出错的情况和可能引起故障的事件,并把这些信息存储在运行日志数据库中。在采用轮询通信的系统中,管理应用程序定期访问运行日志记录,以便发现故障。为了及时检测重要的故障问题,代理也可以主动向有关管理站发送出错事件报告。另外,对出错报告的数量、频率要进行适当的控制,以免加重网络负载。
2.故障预测功能
对各种可能引起故障的参数建立门限值并随时监视参数值变化,一旦超过门限值,就发送警报。例如,由于出错产生的分组碎片数超过一定值时发出警报,表示线路通信恶化,出错率上升。
3.故障诊断和定位功能
对设备和通信线路进行测试,找出故障原因和地点。例如,可以进行如下的测试:连接测试、数据完整性测试、协议完整性测试、数据饱和测试、连接饱和测试、环路测试、功能测试、诊断测试。
配置管理是指设备初始化、维护和关闭网络设备或子系统等操作。被管理的网络资源包括物理设备(如服务器、工作站、路由器)和底层的逻辑对象。配置管理功能可以设置网络参数的初始值和默认值,使网络设备初始化时自动形成预定的互连关系。当网络运行时,配置管理监视网络设备的工作状态,并根据用户的配置命令或其他管理功能的请求改变网络配置参数。例如,若性能管理检测到响应时间延长,并分析出性能降级的原因是由于负载失衡,则配置管理将通过重新配置(如调整路由表)缩短系统响应时间。
1.网络配置信息
网络配置信息主要包括以下几种。
(1)网络设备的拓扑关系,即存在性和连接关系。
(2)网络设备的域名、IP地址,即寻址信息。
(3)网络设备的运行特性,即运行参数。
(4)网络设备的备份操作参数,即是否备份、备份启用条件。
(5)网络设备的配置更改条件。
2.配置管理的主要功能
配置管理主要包括以下功能。
(1)定义配置信息。配置信息描述网络资源的特征和属性,网络资源包括物理资源(如主机、路由器、网桥、通信链路和Modem等)和逻辑资源(如定时器、计数器和虚电路等)。设备的属性包括名称、标识符、地址、状态、操作特点和软件版本等。简单的配置信息组织成由标量组成的库,每一个标量值表示一种属性值。
管理信息存储在与被管理设备最接近的代理或委托代理中,管理站通过轮询或事件报告获得这些信息。网络管理员可以在管理站提供的用户界面上说明管理信息值的范围和类型,用以设置被管理资源的属性。网络控制功能还允许定义新的管理对象,在指定的代理中生成需要管理的对象或数据元素。
(2)设置和修改设备属性。配置管理允许管理站远程设置和修改代理中的管理信息值,但是修改操作要受到两种限制:一是只有授权的管理站才可以施行修改操作;二是有些属性值反映了硬件配置的实际情况,不可更改,如路由器的端口数。
对配置信息的修改可以分为以下3种类型。
① 只修改数据库。管理站向代理发送修改命令,代理修改配置数据库中的一个或多个数据值。如果修改操作成功,则向管理站返回肯定应答,否则返回否定应答。
② 修改数据库,也改变设备的状态。例如,把路由器端口的状态值设置为“disable”,则所有的网络通信不再访问该端口。
③ 修改数据库,同时引起设备的动作。例如,路由器数据库中有一个初始化参数,取值为TRUE,则路由器开始初始化,过程结束时重置该参数为FALSE。
(3)定义和修改网络元素间的互连关系。关系是指网络资源之间的联系、连接以及网络资源之间相互依存的条件,如拓扑结构、物理连接、逻辑连接、继承层次和管理域等。继承层次是管理对象之间的继承关系,而管理域是被管理资源的集合,这些网络资源具有共同的管理属性或者受同一管理站控制。
配置管理应该提供联机修改关系的操作,即用户在不关闭网络的情况下可以增加、删除或修改网络资源之间的关系。
(4)启动和终止网络运行。配置管理给用户提供启动与关闭网络和子网的操作。启动操作包括验证所有可设置的资源属性是否已正确设置。如果有设置不当的资源,则要通知用户;如果所有的设置都正确无误,则向用户发回肯定应答。同时,关闭操作完成之前应允许用户检索设备的统计信息或状态信息。
(5)发行软件。配置管理还提供向端系统(主机、服务器和工作站等)和中间系统(网桥、路由器和应用网关等)发行软件的功能,即给系统装载指定的软件、更新软件版本和配置软件参数等功能,除了装载可执行的软件之外,这个功能还包括下载驱动设备工作的数据表,如路由器和网桥中使用的路由表。如果出于计费、安全或性能管理的需要,则路由决策中的某些特殊情况不能仅根据数学计算的结果处理,可能需要人工干预,因此还应提供人工修改路由表的用户接口。
(6)检查参数值、互连关系和报告配置现状。管理站通过轮询随时访问代理保存的配置信息,或者代理通过事件报告及时向管理站通知配置参数改变的情况。
安全管理的目的是确保网络资源不被非法使用,防止网络资源由于入侵者攻击而遭受破坏。安全管理主要内容包括,与安全措施有关的信息分发(如密钥的分发和访问权设置等),与安全有关的通知(如网络有非法侵入、无权用户对特定信息的访问个图等),安全服务措施的创建、控制和删除,与安全有关的网络操作事件的记录、维护和查询日志管理工作等。
一个完善的计算机网络管理系统必须制定网络管理的安全策略,并根据这一策略设计实现网络安全管理系统。安全管理采用信息安全措施来保护网络中的系统、数据和业务。一般的网络安全管理系统包含风险分析功能,安全告警,日志管理功能,安全审计跟踪功能管理,安全访问控制,网络管理系统保护功能等。下面主要分3个方面讨论安全管理的问题。
1.安全信息维护
网络管理中的安全管理是指保护管理站和代理之间信息交换的安全。安全管理使用操作与其他管理使用的操作相同,差别在于使用的管理信息的特点不同。有关安全的管理对象包括密钥、认证信息、访问权限信息以及有关安全服务和安全机制的操作参数信息等。安全管理要跟踪进行中的网络活动和试图发动的网络活动,以便检测未遂或成功的攻击,并挫败这些攻击,恢复网络的正常运行。对安全信息的维护主要包括以下功能。
(1)记录系统中出现的各类事件(如用户登录、退出系统、文件复制等)。
(2)追踪安全设计试验,自动记录有关安全的重要事件,例如,非法用户持续试验不同口令文字企图登录等。
(3)报告和接收侵犯安全的警示信号,在怀疑出现威胁安全的活动时采取防范措施,例如,封锁被入侵的用户账号或强行停止恶意程序的执行等。
(4)经常维护和检查安全记录,进行安全风险分析,编制安全评价报告。
(5)备份和保护敏感的文件。
(6)研究每个正常用户的活动形象,预先设定敏感资源的使用形象,以便检测授权用户的异常活动和对敏感资源的滥用行为。
2.资源访问控制
资源访问控制包括认证服务和授权服务,以及对敏感资源访问授权的决策过程。访问控制服务的目的是保护各种网络资源,这些资源中与网络管理有关的主要内容包括:安全编码、源路由和路由记录信息、路由表、目录表、报警门限、计费信息。
3.网络安全技术
目前,网络安全管理使用的网络安全技术主要包括以下5种。
(1)数据加密技术。数据加密技术是最基本的网络安全技术,最初用于保证数据在存储和传输过程中的保密性。它通过变换和置换等各种方法将被保护信息置换成密文,然后再进行信息的存储或传输,即使加密信息在存储或传输过程为非授权人所获得,也可以保证信息不泄密,从而达到保护信息的目的。该方法的保密性直接取决于所采用的密码算法和密钥长度。
网络安全管理能够在必要时对管理站和代理之间交换的报文进行加密。安全管理也能够使用其他网络实体的加密方法。加密过程控制也可以改变加密算法,具有密钥分配能力。
(2)防火墙技术。防火墙是在被保护的Intranet与Internet 之间竖起的一道安全屏障,用于增强Intranet的安全性。Internet/Intranet防火墙用以确定哪些服务可以被Internet上的用户访问,外部的哪些人可以访问内部的哪些服务以及外部服务是否可以被内部人员访问。防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可以是硬件和软件相结合的形式。
典型的防火墙系统可以由一个或多个构件组成,其主要部分有:包过滤路由器(也称分组过滤路由器)、应用层网关和电路层网关。
包过滤路由器对IP地址,TCP或UDP分组头信息进行检查与过滤,以确定是否与设备的过滤规则匹配继而决定此数据包按照路由表中的信息被转发或被丢弃。包过滤方式的主要优点是仅一个关键位置设置一个包过滤路由器就可以保护整个网络,而且包过滤对用户是透明的,不必在用户机上再安装特定的软件。包过滤也有它的缺点和局限性,例如:包过滤规则配置比较复杂,而且几乎没有什么工具能对过滤规则的正确性进行测试;包过滤也没法查出具有数据驱动攻击这一类潜在危险的数据包;另外,随着过滤数目的增加,路由器的吞吐量会下降,从而影响网络性能。
应用层网关也就是通常所说的代理服务器。代理服务器运行在 Internet 和 Intranet 之间,当收到用户对某站点的访问请求后,会检查请求是否符合规则。若规则允许用户访问该站的服务,代理服务器便会以用户身份去那个站点取回所需的信息再发回给用户。因此代理服务器会像一堵墙一样挡在内部用户和外界之间,从外部只能看到该代理服务器而无法获知任何内部资料,如用户的IP地址等。应用层网关比单一的包过滤更为可靠,而且会详细记录所有的访问状态。但是应用层网关也存在一些不足之外:首先因为它不允许用户直接访问网络,会使访问速度变慢;而且应用层网关需要对每一个特定的 Internet 服务器安装相应的代理服务软件,用户不能使用未被代理服务器支持的服务,对每一类服务要使用特殊的客户端软件;更严重的是,并不是所有的Internet应用软件都可以使用代理服务理。
电路层网关是一种特殊的功能,它也可以由应用层网关来完成。电路层网关只依赖于TCP 连接,并不进行任何的包处理或过滤。在Telnet 的连接中,电路层网关简单地进行了中继,并不做任何审查、过滤或协议管理。它只在内部连接和外部连接之间复制字节,但隐藏受保护网络的有关信息。电路层网关常用于对外连接,此时假设网络管理员对其内部用户是信任的。它的优点是主机可以被设置成混合网关,对于内连接它支持应用层或代理服务,而对于外连接支持电路层功能。这样,使得防火墙系统对于要访问 Internet 服务的内部用户来说使用起来很方便,同时又能提供保护内部网络免于外部攻击的防火墙功能。
(3)网络安全扫描技术。网络安全扫描技术是为了使系统管理员能够及时了解系统中存在的安全漏洞,并采取相应防范措施,从而降低系统的安全风险。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,系统管理员可以了解在运行的网络系统中是否存在不安全的网络服务,在操作系统上是否存在可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序,防火墙系统是否存在安全漏洞和配置错误。
(4)网络入侵监测技术。网络入侵检测技术也称为网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作反应,如报警、切断网络连接、通知防火墙系统对访问控制策略进行调整或将入侵的数据包过滤掉等。
(5)黑客诱骗技术。黑客诱骗技术通过一个由网络安全专家精心设置的特殊系统来引诱黑客,并对黑客进行跟踪和记录。这种黑客诱骗系统通常也称为“蜜罐”(honey pot)系统。蜜罐系统最为重要的功能是对系统中所有操作和行为进行监视和记录,通过网络安全专家精心的伪装,使得攻击者在进入到目标系统后仍不知道自己所有的行为已经处于系统的监视下。为了吸引攻击者,通常在蜜罐系统上留下一些安全后门以吸引攻击者上钩,或者放置一些网络攻击者希望得到的敏感信息,当然这些信息都是虚假的信息。另外一些蜜罐系统对攻击者的聊天内容进行记录,管理员通过研究和分析这些记录,可以得到攻击者采用的攻击工具、攻击手段、攻击目的和攻击水平等信息,还能对攻击者的活动范围以及下一个攻击目标进行了解。同时在某种程度上,这些信息将会成为对攻击者进行起诉的证据。
网络性能管理活动是持续地测评网络运行中的主要性能指标,以检验网络服务是否达到了预定的水平,找出已经发生或潜在的网络瓶颈,报告网络性能的变化趋势,为网络管理决策提供依据。为了达到这些目的,网络性能管理功能需要维护性能数据库、网络模型,需要与性能管理功能域保持连接,并完成自动的网络管理。
典型的网络性能管理可以分为两部分:性能监测与网络控制。性能监测指网络工作状态信息的收集和整理;而网络控制则是为改善网络设备的性能而采取的动作和措施。
在OSI性能管理标准中,明确定义了网络或用户对性能管理的需求,以及度量网络或开放系统资源性能的标准,定义了用于度量网络负荷、吞吐量、资源等待时间、响应时间、传播延时、资源可用性与表示服务质量变化的参数。性能管理包括一系列管理对象状态的收集、分析与调整,保证网络可靠、连续通信的能力。
1.性能管理的基本功能
(1)实时采集与网络性能相关的数据。跟踪系统、网络或业务情况,为判别性能收集合适的数据,及时发现网络拥塞或性能不断恶化的状况。提供一系列的数据采集工具,以便对网络设备和线路的流量、负载、丢包、温度、内存、延迟等性能进行实时监测并可随意设置数据的采集间隔。
(2)分析和统计数据。对实时数据进行分析,判断是否处于正常水平,从而对当前的网络状况作出评估,并自动形成管理报表,以图形方式直观地显示网络的性能状况。分析和统计历史数据,绘出历史数据的图形。
(3)维护并检查系统的运行日志。
(4)性能的预警。决定是否为每个重要的指标设定一个适当的阈值,当性能指标超过该阈值时,就表明出现了值得怀疑的网络故障。管理实体会不断监视性能指标,当超过某阈值时就会报警,并将警告发送到网络管理系统中。
(5)生成性能分析报告。性能分析报告包括性能趋势曲线和性能统计分析报表,性能分析报告主要包括以下几类。
① 路由器性能,主要包括端口流量、温度、CPU利用率和内存余量等。
② 实时性能监控,主要包括流量、丢包率、延迟、温度、内存余量和CPU利用率等。
③ 统计分析,扫描数据文件,绘制性能分布图。
2.常用的网络性能测评指标
(1)吞吐量。它是指单位时间内通过网络设备的平均比特数,单位是bit/s(比特/秒)。
(2)包(帧)延迟。它是指数据分组(帧)的最后一位到达输入端口或输出数据分组的第一位出现在端口的时间间隔,即LIFO(Last In First Out)延迟。对于交换机来说,延迟是衡量交换机性能的主要指标,延迟越大说明交换机处理帧的速度越慢。
(3)丢包(帧)率。它是指在正常稳定的网络状态下,本来应该转发而没有转发的数据包(帧)所占的百分比。丢包率的大小表示网络的稳定性及可靠性。丢包(帧)率可以用来描述过载状态下交换机的性能,也是衡量防火墙性能的一个重要参数。
(4)可用性。表征通信网作为一个整体的性能,它意味着一个用户在总的时间内,可以取得对网络访问将成为可用服务时间的百分数。
(5)响应时间。对用户来讲,响应时间包括思考时间和输入时间,各部分的时间长短依赖于要完成的任务。对于网络来说,响应时间包括内部、外部和处理时间。
(6)利用率。它是网络资源使用频度的动态参数,它提供的是现实运行环境下吞吐量的实际限制。网络管理系统通常给出各种网络部件的利用率,如线路、节点、节点处理机的利用率。
3.网络性能的测评方法
获得网络性能参数值的方法主要是对网络中的设备和设施进行测量和测试,但由于局域网操作系统平台的多样性,网络设备、传输介质及网络拓扑结构都有很大的区别,因此网络性能的测评非常复杂,一般有以下几种测评方法。
(1)直接测量法。对网络的信道利用率、碰撞分布和吞吐率等参数进行动态数据统计,以得到测评结果。
(2)模拟法。给网络建立数学模型,运用仿真程序通过数学计算得出网络相关参数指标。同时也可以与实测结果进行比较,经过多次校正得到真实的测评结果。
(3)分析法。通过采用概率论、过程论和排队论等对各种网络进行模拟,其分析结果可用于对未来的网络进行优化设计。
对于公用分组交换网与各种网络信息服务系统来说,用户必须为使用网络的服务而交费。计费管理是所有网络通信服务公司与ISP所要选择的重要功能模块,网络管理系统则需要对用户使用网络资源的情况进行记录并核算费用。计费管理的主要任务是根据网络管理部门指定的计费策略,按用户对网络资源的使用情况收取费用。计费管理的目的是正确地计算和收取用户使用网络资源及服务的费用。另外,计费管理还要进行网络资源利用率的统计和网络的成本效益核算。
计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价。网络管理员还可以规定用户可使用的最大费用,从而控制用户过多地占用和使用网络资源,从而也可提高网络的效率。
网络服务计费信息主要指用户对以下4种网络资源的使用情况进行计算,包括:硬件资源类、软件和系统资源类、网络服务与网络设施的额外开销。
1.计费管理功能
通常计费管理应该包括以下几个功能。
(1)计算网络建设及运营成本,包括设备、网络服务、人工费用等成本。
(2)统计网络及其所包含的资源的利用率,确定计费标准。
(3)将应该缴纳的费用通知用户。
(4)支持用户费用上限的设置。
(5)在必须用多个通信实体才能完成通信时,能够把使用多个管理对象的费用结合起来。
(6)保存收费账单及必要的原始数据,以备用户查询和质疑。
2.计费管理的类型
根据网络资源的种类可以将目前的计费管理分为3类。
(1)基于网络流量计费。网络流量计费是根据用户的网络或者用户的主机在一段时间内使用的网络流量收取用户费用的一种计费方式,主要用于专线(如 DDN、E1、X.25 线路等)接入用户。
(2)基于使用时间计费。使用时间计费是根据用户使用网络的时间长短来收取用户费用的一种计费方式。该方法主要用于用电话线或ISDN、ADSL接入网络的用户。
(3)基于网络服务计费。网络服务计费是根据用户使用网络服务的次数或时间来收取用户费用的一种计费方式。收取费用的服务包括电子邮件、数据库信息查询、光盘检索、网络游戏等。
3.计费管理的子过程
如果进一步划分,计费管理可以分为以下3个子过程。
(1)使用率度量过程。
(2)计费处理过程。
(3)账单管理过程。
4.计费管理的管理对象
计费管理的对象主要包括以下几个方面。
(1)使用率度量控制对象。该对象控制计费数据的收集过程,决定对哪些管理对象收费,以及怎样收费(收费策略)。该对象还控制计费过程的开始、挂起、恢复和停止,定义触发计费过程的事件。
(2)使用率度量数据对象。该对象记录资源的使用率数据,并且可以发出计费通知,每个使用率度量数据对象监视一个可计费对象。
(3)使用率记录。该管理对象是事件日志记录的子类,除具有事件日志记录对象的属性外,还具有一些与使用率度量数据对象有关的属性。这种记录的内容是从使用率度量数据对象发出的通知中得到的,存储在运行日志中,由运行日志控制功能管理。