网络管理入门(二)
网络管理的主要方面在前面我们介绍到,网络管理所涉及的日常工作非常之广,到目前为止也没有一个正式、严格的规定。但总的说来,我们的最终目标就是确保所管理的网络系统全天候正常运行,不出现大的问题,不能出现长时间中断,更不能出现长时间的网络瘫痪,当然用户提出的应用问题也不能长时间得不到解决。而从宏观方面来讲,网络管理员的工作主要包括以下几个方面:网络设备管理(NDM)、网络系统管理(NSM)、应用性能管理(APM)、桌面管理(DMI)、员工行为管理(EAM)、安全管理(SM)等。
1.网络设备管理(NDM)
网络设备的管理属于网络硬件方面的管理,是网络管理员日常工作的一项基本任务。因为网络从本质上来讲主要还是通过各种网络设备来连接、转发的,网络设备不能正常工作,网络本身也就不能正常发挥作用了。
在企业局域网中,主要的网络设备包括网卡、交换机、路由器、防火墙和服务器等。现在随着宽带和无线网络应用的普及,宽带和无线接入设备也在各行各业得到广泛应用,如各种宽带MODEM、宽带路由器、无线网卡、无线AP、无线交换机、无线路由器、无线防火墙等已得到了广泛应用。还有一个新兴的行业,那就是数据存储,数据存储技术在近几年得到了极大的发展,各种新兴的存储技术(女~I NAS、SAN-IP、SAN-FC、在线存储、近线存储和虚拟存储等)不断涌现、不断完善。新兴的存储设备(女M NAS服务器、SAN交换机、SAN 磁盘陈列等)也是接二连三,令人眼花缭乱。做好一个合格的网络管理员同样需要对这些新兴的技术和设备有比较全面的了解甚至掌握。
在以上这些网络设备中,我们网络管理员要对各主要类型网络设备的主要品牌做到心中有数,以便在需要选购时做出恰当的选择。
国外主要网卡品牌有:3COM、Intel(英特尔)、NetGEAR(网件)、维思达(VCT)、阿尔法(Alpha)、AVANET(亚华网络)等;国内主要网卡品牌有:D-Link(友讯)、TP-Link (普联)、联想(Lenovo)、宏基(Acer)、清华同方(TongFang)、趋势(TRENDnet)、TCL、 WISE(蓠兆)、Red-Giant(锐捷网络)等。
国外主要交换机品牌有:3COM、Cisco(思科)、NetGEAR、IBM、HP等;国内主要交换机品牌有:D-Link、华为、TP-Link、联想、神州数码(Digital China)、锐捷网络(原“实达网络")、茶山、港湾等。
国外主要的路由器品牌有:Cisco(思科)、3COM、NetGEAR(网件)、SMC、安奈特(Allied)、友康(UCOM);国内主要的路由器品牌有:D-Link(友讯)、华为、TP-Link(普瑞)、华硕、锐捷网络、磊科(Netcore)、博达(BDCOM)等。
国外主要的防火墙品牌有:3COM、Cisco、NETGEAR、SAMSUNG(三星)、Check Point、 Netscreen、安氏和Symantec(赛门铁克)等;国内主要的防火墙品牌有:天融信(TOPSEC)、东软(NEUSOFT)、神州数码、清华紫光比威(UNIS BITWAY)、清华得实(TSINGHUA DASCOM)、东方龙马(OLM)等。
国外主要的服务器品牌有:IBM、HP(惠普)、SUN(升阳)、DELL(戴尔)、日电(NEC) 和Supermicro(超微)等;国内主要的服务器品牌有:Langchao(浪潮)、联想(Lenovo)、 DAWNING(曙光)、FOUNDER(方正)、Acer(宏暮)、TSINGHUA TONGFANG(清华I司方)、ASUS(华硕)、长城(Great Wall)、PowerLeader(宝德)、Aisino(航天联志)、网新易得、MSI(微星)、智翔等。
国外主要的存储设备品牌有:IBM、HP、SUN、DELL、EMC、Cisco、3COM、StoreAge、 Spectra Logic、CA(Computer Associates International)和ADIC等;国内主要的存储设备品牌有:联想、清华同方、明基(Benq)、建兴(LITEON)等少数几家。
网络管理员的日常网络设备管理工作不仅要懂得这些网络设备是如何进行连接的,还要懂得如何配置这些网络设备,为企业的网络应用配置相应的应用方案。在网络设备的配置中,主要体现在交换机、路由器和防火墙的配置上,还有最新的无线网卡、无线AP、无线路由器的配置。主要是针对各种具体网络应用进行的。如果要达到高级水平,则还应掌握基于服务器和数据存储设备的各项应用配置,如硬件服务器配置、服务器容错方案、服务器群集方案、数据异地存储方案、虚拟存储技术等。网络设备主要还是通过网元类网络管理软件进行管理,如安奈特AT-View Plus、华为的Quidview等。
2.网络系统管理(NSM)
网络系统管理包括两方面的基本管理任务:一方面是针对网络本身和网络应用所进行的管理;另一方面是针对网络中用户系统的管理,是日常网络管理工作中的重要而又基本的管理任务。针对网络本身和网络应用的管理通常是采用专用的软件系统进行的,俗称为“网络管理系统(NMS)"。其主要是针对网络设备进行监测、配置和故障诊断,主要功能有自动拓扑发现、远程配置、性能参数监测、故障诊断。网络管理系统主要由两类公司开发:一类是通用软件供应商;另一类是各个设备厂商。
通用软件供应商开发的NMS是针对各个厂商网络设备的通用网络系统进行管理。目前比较流行的有OpenView、Micromuse、Concord等网络系统管理。
几年前,网络设施厂商们并没有把管理放在很重要的位置,尤其是国内网络设备厂商,提供的网管软件功能也相当有限。而今天,几乎每个网络设备厂商都有配套功能比较完善的网管软件。设备厂商为自己产品设计的专用NMS对自己产品的监测、配置功能非常全面,并且监测一些通用网络系统管理无法监测的重要性能指标,还有一些独特的配置功能,但是对其他公司生产的设备基本上就无能为力了。目前比较流行的设备厂商网管软件有 CiscoWorks 2000、Enterasys NetSight、Micromuse Netcool;国内的如华为一3corn的QuidView、港湾网络的Hammerview、D-Link的D-VisionNMS及锐捷网络的Starview等。而且不同行业有不同的网络管理系统,它们都是针对各自行业应用的不同特点而开发的,所以网络管理系统不仅是网络本身的管理,更重要的是企业网络应用的管理。
选择网络管理系统时,通常需要考虑以下因素:
网络拓扑搜索的准确率
目前许多网络管理系统都提供自动拓扑搜索功能,但是不同产品的网络拓扑搜索结果差别很大。目前还很难有网络管理系统产品可以完全准确地搜索出所有网络设备。特别是在网络比较复杂的情况下,如跨网段、包含VLAN时,许多自动搜索工具就失效了。
配置功能是否完善
通常设备厂商的网络管理系统配置功能比较完善,但只针对特定设备;通用产品配置功能相对弱一些,但通用性比较高。如果网络设备数量较少或种类较多,各个设备厂商的产品都有,对配置功能的要求比较低,能完成通用、简单配置就可以了。目前还没有哪家网络管理系统产品可以完成多个厂商的网络设备的复杂设置。如果网络设备多而且网络设备基本上都是同一个厂商的,则可以考虑购买该厂商自己的网络管理产品,一个批量修改网络设备配置的功能就可以大大减轻网络管理人员的工作量。
系统的开放性
是指所选购的网络管理系统是否能和其他网络管理系统集成。目前网络管理系统解决的问题各不相同,一个企业很可能会购买多种网络管理系统,这样导致一个企业内部网中也会有多套网络管理系统共存;如果没有开放接口,管理人员就不得不通过不同的操作平台来管理不同的系统了。
特定功能是否能满足
一些特定网络系统,对网络管理系统有特殊要求。如某病毒发作时,会产生大量的小于 64bytes的数据包,造成设备系统崩溃,因此该网络管理系统要具有监测小于64bytes数据包转发率的功能,并且一旦发现小于64bytes的数据包转发率异常增高,就要立刻关闭网络设备。
3.应用性能管理(APM)
目前对很多行业来说,IT技术正在支持着关键的业务应用,如制造业的ERP系统、电信BOSS系统、银行的核心业务系统、卡业务系统以及基于电子商务的业务等。关键业务应用对性能有较高要求,性能下降往往对业务造成巨大损失。面对这些问题,需要有一系列工具和方法,能够对IT系统的性能进行监控和管理,并对可能出现的性能问题进行及时、准确的分析和处理。从而改善服务品质,减小操作失败和灾难发生的风险,减少维护运营的整体成本,提高系统的可用性、缩短响应时间,提高最终客户的满意度。
应用性能管理是一个比较新的网络管理方向,主要指对企业的关键业务应用进行监测、优化,提高企业应用的可靠性和质量,保证用户得到良好的服务,降低IT总拥有成本(TCO)。我们知道,大多数问题是可以从基本的操作系统、网络的层面中反映出来的,例如内存过度消耗、CPU的高使用率、进程的频繁启动或数量过多等。所以常见的监控对象通常是CPU、磁盘I/O、网络、文件系统、进程、用户、MIBII、系统日志和Web服务器等。但对于一些应用较为复杂的企业来说,仅有以上基本的监控措施还是远远不够的。为了发现与特定应用系统有关的问题,需要有针对性地建立规则,对于SAP、PeopleSoft、Oralce、WebLogic等软件系统建立特定的报警规则。一个企业的关键业务应用性能强大,可以提高竞争力,并取得商业成功,因此,加强应用性能管理(APM)可以产生巨大的商业利益。
应用性能管理主要功能如下:
监测企业关键应用性能
过去,企业的IT部门在测量系统性能时,一般重点测量为最终用户提供服务的硬件组件的利用率,如CPU利用率及通过网络传输的字节数。虽然这种方法也提供了一些宝贵的信息,但却忽视了最重要的因素——最终用户的响应时间。现在通过事务处理过程监测、模拟等手段可真实测量用户响应时间,此外还可以报告谁正在使用某一应用、该应用的使用频率及用户所进行的事务处理过程是否成功完成。
快速定位应用系统性能故障
通过对应用系统各种组件(数据库、中间件)的监测,迅速定位系统故障,如发生Oracle 数据库死锁等问题。
优化系统性能
精确分析系统各个组件占用系统资源的情况,中间件、数据库执行效率,根据应用系统性能要求提出专家建议,保证应用在整个寿命周期内使用的系统资源要求最少,节约TCO。
目前市场上比较流行的应用性能管理产品有BMC、Tivoli Application Performance Management、VERITAS (precise)的i3系列产品、Quest系列产品、Topaz。 国内主要是 SiteView产品。第三方软件厂商也纷纷针对应用管理推出新产品,如BMC、CA、Compuware、 Concord等老牌厂商都提供了多种满足应用管理需要的产品。这类软件通常跨多种基础设施部件,出现性能下降时确定最可能的问题原因的所在。Collation、Enmity、ProactiveNet等新厂商,也提供跟踪响应时间指标、潜在应用代码错误等数据工具,并常常与HP OpenView这样的网络管理工具进行集成,以便将那些网络故障和事件引入到应用性能分析中。Expand Networks、NetScaler、Packeteer等WAN优化公司,利用自己加快数据包在WAN上传输速度的高可用性设备来解决应用性能问题。尽管他们的关注点放在广域网上,但传输流监测工具也可以监控LAN上的应用流,查找性能问题。
选择应用系统管理性能需要考虑以下因素:
应用系统可监测性
Tivoli Application Performance Management采用APM技术监测应用性能,这要求被监测系统必须支持APM API。目前Oracle、SAP、WebLogic等国外公司的产品都支持APM API,但国内企业开发系统可能就不支持该API。
可扩展性
应用系统的变化是非常快的,因此应用性能管理系统的扩展性非常重要,如随着数据量增加,数据库由SQL Server换到Oracle,应用性能管理系统要可以动态增加监测Oracle数据库组件,而不需要升级整个应用性能管理系统。
易用、可自学的故障诊断工具
应用系统的故障诊断比NSM系统的诊断更加复杂,它不仅要分析网络性能、系统资源,而且要分析系统设置、应用程序效率。一个良好的系统诊断工具是非常重要的,故障诊断工具并不一定是一个全自动的智能系统,因为一个全自动的智能故障推理系统开发难度极高,会造成软件价格急剧攀升,它可以是一个半自动系统,但是要有自学功能。
4.桌面管理系统(DMI)
桌面管理环境由最终用户的电脑组成,这些电脑运行Windows、MAC等系统。桌面管理是对计算机及其组件的管理,内容比较多。目前主要关注于资产管理、软件派送和远程控制。桌面管理系统通过以上功能,一方面减小了网络管理员的劳动强度;另一方面提高了系统维护的准确性、及时性。这类系统通常分为两部分——管理端和客户端。
目前市场上比较流行的国外桌面管理系统有CA Unicenter、Landesk,国内的有Netlnhand LANDesk Management Suite 7。
选择桌面管理系统产品时需要考虑以下因素:
用户自身管理模式
桌面管理系统需要在每台被管理的客户机上安装Agent,网络管理人员可以远程控制被监测的客户机,这涉及到一些客户的隐私问题。因此用户在购买产品之前最好首先考虑自身的管理模式是否能支持网管软件的使用。
支持的操作系统的种类
桌面管理系统的Agent要求能够支持企业中所有的操作系统。当某种操作系统设备数量较少时,出于节约软件购买成本的目的,也可以考虑购买只支持企业主流操作系统的桌面管理系统。
网络带宽占用情况
远程控制、软件派送等网络功能传递的数据量大,很可能造成数据传输的阻塞,因此桌面管理系统必须有数据压缩功能,减少带宽占用。
5.员工彳丁为管理(EAM)
员工行为管理包括两部分,一部分是员工网上行为管理(EIM),另一部分是员工桌面行为监测。它一般在Internet应用层、网络层对信息进行控制,对数据根据EIM数据库进行过滤;定制因特网访问策略,根据用户、团组、部门、工作站或网络设置不同的因特网访问策略。目前专门的员工行为管理软件还不多见,常见的是针对员工上网行为进行管理的软件,如Websense EIM Reporting Tools(主要在大中型企业中使用),在中小型企业中通常是采用代理服务器管理软件和宽带路由器(包括有线和无线宽带路由器)产品来实现员工上网行为监控的,如CCPROXY、Wingate等。
选择员工行为管理系统产品时需要考虑以下几个方面:
管理规模、软件效率
EMI系统需要对所有Internet数据进行分析,随着网络规模增大,数据量显著增加,EMI 系统的软件效率可能会下降,变成网络瓶颈。
报告质量
EMI系统的报告采集了海量数据,如何让管理者从海量数据中了解总体员工上网情况、迅速发现员工异常行为十分关键。
设置灵活性
所选系统是否可以根据企业需求对员工上网从个人、部门等角度灵活设置上网策略。用户在购买产品之前最好独立或与厂家合作设计一套管理策略,然后监测产品是否能够满足需求。
6.安全管理
网络安全管理是整个网络管理的重点,它涉及到各个方面,而不是像一般读者朋友认为仅是指防火墙和杀毒软件的安装、配置,更重要的是网络安全策略的部署,特别是网络服务器的域安全策略部署,它涉及到整个内部网络的安全性能。总的来说,网络安全管理包括为了阻止外网的入侵所采取的防火墙和杀毒软件的安装与配置,还包括网络系统内部的安全策略部署、用户权限配置、身份认证机制、计算机证书的安装与发布、密钥管理、用户访问控制等许多方面。目前这一领域仍属于一个比较新兴的领域,还有许多技术有待发展。
目前市场上的防火墙产品和IDS产品很多,防火墙有Check Point、NetScreem、Cisco PIX 等;IDS有ISS公司的RealSecure、Axent的ITA、ESM,NAI的CyberCopMonitor等。
