※ 课程计划 ※

  网络管理和维护

     网络管理和维护是一项非常复杂的任务,虽然现在关于网络管理既制订了国际标准,又存在众多网络管理的平台与系统,但要真正做好网络管理的工作不是一件简单的事情。做好这项工作需要广泛的背景知识与大量的实际操作经验,下面我们将介绍网络技术发展下一些新形式的网络管理,以及在长期网络管理实践基础上总结出来的一些网络管理经验。

     一、 VLAN管理

     VLAN(虚拟局域网)就是一个计算机网络,其中的计算机好像是被同一网线连接在一起,而实际上它们可能分处于局域网的不同区域。VLAN更多的是通过软件而非硬件来实现,因此这使得它具有很高的灵活性。VlAN的一个主要特性就是提供了更多的管理控制,减少了相对日常管理开销,提供了更大的配置灵活性。

     VLAN的这些特性包括:①当用户从一个地点移动到另一个地点时,简化了配置操作和过程修改;②当网络阻塞时,可以重新调节流量分布;②提供流量与广播行为的详细报告,同时统计VLAN逻辑区域的规模与组成;④提供根据实际情况在VLAN中增加和减少用户的灵活性。

     上面的这些操作必须透明地执行,同时需要不用具备太多实际网络复杂连接情况的了解,或者不用知道如何重新配置协议。虽然用户可以直接地通过设置或重置VLAN的端口来配置VLAN,但缺乏智能网络管理工具的帮助;而保证VLAN在若干部门之间正常通信是很困难的。

     CISCO公司提供了一组VLAN的管理工具:VLANView和TrafficView,我们通过这两个工具来介绍VLAN管理所应具有的功能。这些工具都基于SNMP,完全支持SNMP的“get”和“set”操作,而且可以无缝地集成常用的网络管理平台,比如openView,NetView和SunNet Manager等。这些工具还用可视化的图形用户界面来简化VLAN的设计、配置和管理,同时还可管理从小型局域网到具有多层交换的复杂大型网络。

     1.VLANView

     VLANView具有图形用户界面,它的核心应用是通过图形界面上的拖放操作模式来为VLAN创建的逻辑组分配端口。在这种功能中,以图形方式自动画出每个交换机在网络中拓扑位置,并提供交换机每个端口的状态显示,然后允许用户拖放一个或多个端口给一个VLAN。这种图形界面下的拖放操作方式减少了配置时间,同时使得操作简单易用。

     VLANView不仅减少了给VLAN配置端口的时问,而且还提供了在主干网不同交换机间配置VLAN的功能。该功能在相连的路由器与交换机之间传递一系列的配置选项以优化VL久N的流量、首先、提供一种简单操作模式、该模式可以色动启动交换机之间的主干线路,而这些交换机都配置有VLAN或处于连接VLAN的链路之上。其次,网络管理员可以通过在冗余线路上分配VLAN,或在一特定区域内分离VLAN,以方便地调优它们。最后,网络管理员可以方便地通过主干网查看VIAN的配置情况,以及每个VLAN的详细连接信息,包括交换机、线路的连接配置以及端口的分配情况。

     VLANView还将具备一些扩展功能,包括通过发现终端主机的MAC/IP地址给VLAN动态分配交换机的端口,给端口添加安全功能以识别非授权用户以及基于应用层和网络层协议对第三层VLAN进行动态分组。

     2.TrafficView

     TrafficView是一个基于RMON的流量监听与分析应用,该应用可以提供给端口和每个局城网段的流量信息。同时,该应用不仅可以为每个局域网的故障诊断与排除提供帮助,而且流量趋势分析以发现主要的网络变化。这些趋势信息在网络规划阶段、网络实施阶段以及计划审批阶段都非常有用,同时利用这些趋势信息还能很快发现网络发生的故障。另一方面,TrafficView的管理代理具有通用性,这些管理代理不仅可以给Traffic View提供数据,还可以给任何具有RMON的应用提供数据。这为网络管理功能的集成提供了保障。

    二、 WAN接入管理

     在网络管理的解决方案中,我们知道一个大型网络,一般是WAN,是通过分层进行管理的。比如在一个全国性的网络中心之下有许多地区性的网络中心,一般全国性的网络中心主要保证这个WAN的主干网正常运转,而地区性网络中心则主要负责各个网络用户的接入管理。

     对于每个想入网的用户而言,首先要考虑在网络连接上怎么接人这个网络。一般用户需要找到主管自己这片地区的地区性网络中心,然后提出申请,最后该地区性网络中心再进行用户的接入操作。这些操作一般包括:

     (1)联网用户必须租用一条网络线路,连接用户与地区性网络中心。该线路可以是已经存在的,属于某个商业网络公司或电信公司,也可以是单独为该用户铺设的一条线路。 线路既可能是使用光纤的DDN专线,也可能是使用电话线的DDR线路。联网用户租用了网络线路就要向线路的经营者交纳租金,而线路的经营者可能不是提供接入服务的地 区性网络中心。

     (2)联网用户需要向地区网络中心申请一段属于自己的IP地址,然后在全国网络中心注册域名。

     (3)对于接入的联网用户,一般都要向地区性网络中心一次性交纳一笔接入费用,然后地区网络中心再对该用户进行网络接入的相关配置。

     (4)在联网用户端也需要进行相应的配置,然后开通该用户的网络连接,最后联网用户需要根据其使用网络资源的流量交纳网络费用。

     在上面的操作中可以看到,地区网络中心对新联网用户的接人需要进行相应的配置, 这些配置操作一般包括:

     (1)在接入路由器上,选择一个空闲端口,在该端口上进行相应的配置,然后再根据接人的拓扑关系,配置该端口的路由信息。

     (2)在接入路由器上,根据用户的IP地址范围建立一个access-1ist组,一旦用户要求或其他情况(如用户没有按规定交纳费用等)发生时,可以立即断掉该用户的网络连接。

     (3)把该路由器端口和连接联网用户的线路加入网络管理监视对象集,以保障提供给用户可靠、稳定的网络接人服务。

     三、 网络故障诊断和排除

     网络中可能出现的故障多种多样,往往解决一个复杂的网络故障需要广泛的网络知识与丰富的工作经验。这也是为什么一个成熟的网络管理机构制订有一整套完备的故障管理日志记录机制,同时人们也率先把专家系统和人工智能技术引进到网络故障管理中来的原因。另一方面,由于网络故障的多样性和复杂性,网络故陈分类方法也不尽相同。我们可以根据网络故障的性质把故障分为物理故障与逻辑故障,也可以根据网络故障的对象把故障分为线路故障、路由器故障和主机故障。

     我们首先介绍按:照网络故障不同性质而划分的物理故障与逻辑故障。

     1.物理故障

     物理故障,是指设备或线路损坏、插头松动、线路受到严重电磁干扰等情况。比如说,网络中某条线路突然中断,这时网络管理人员从监控界面上发现该线路流量突然掉下来或系统弹出报警界面,这时首先用ping检查线路在网络管理中心这端的端口是否连通,如果不连通,则检查端口插头是否松动,如果松动则插紧,再用ping检查,如果连通如故障解决。这时须把故障的特征及其解决步骤详细记录下来。也有可能是线路远离网络管理中心的那端插头松动,则需要通知对方进行解决。另一种常见的物理故障就是网络插头误接。这种情况经常是没有搞清网络插头规范或没有弄清网络拓扑规划的情况下导致的。比如说网络插头都有一些规范,只有搞清网线中每根线的颜色和意义,才能做出符合规范的插头,否则就会导致网络连接出错。另一种情况,比如两个路由器直接连接,这时应该让一台路由器的出口连接另一路由器的入口,而这台路由器的入口连接另一路由器的出口才行,这时制作的网线就应该满足这一特性,否则也会导致网络误解。不过像这种网络连接故障显得很隐蔽,要诊断这种故障没有什么特别好的工具,只有依靠经验丰富的网络管理人员了。

     2. 逻辑故障

     逻辑故障中的一种常见情况就是配置错误,就是指因为网络设备的配置原因而导致的网络异常或故障。配置错误可能是路由器端口参数设定有误,或路由器路由配置错误以致于路由循环或找不到远端地址,或者是网络掩码设置错误等。比如,同样是网络中某条线路故障,发现该线路没有流量,但又可以Ping通线路两端的端口,这时很可能就是路由配置错误导致循环了。诊断该故障可以用traceroute工具,可以发现在traceroute的结果中某一段之后,两个IP地址循环出现。这时,一般就是线路远端把端口路由又指向了线路的近端,导致IP包在该线路上来回反复传递。这时需要更改远端路由器端口配置,把路由设置为正确配置,就能恢复线路了。当然处理该故障的所有动作都要记录在日志中。逻辑故障中另一类故障就是一些重要进程或端口关闭,以及系统的负载过高。比如,路由器的SNMP进程意外关闭或死掉,这时网络管理系统将不能从路由器中采集到任何数据,因此网络管理系统失去了对该路由器的控制。还有,也是线路中断,没有流量,这时用ping发现线路近端的端口ping不通,这时检查发现该端口处于down的状态,就是说该端口已经给关闭了,因此导致故障。这时只需重新启动该端口,就可以恢复线路的连通了。另一种常见情况是路由器的负载过高,表现为路由器CPU温度太高、CPU利用率太高,以及内存余量太小等,虽然这种故障不能直接影响网络的连通,但却影响到网络提供服务的质量,而且也容易导致硬件设备的损害。

     网络故障根据故、障的不同对象也可划分为:线路故障、路由器故障和主机故障。

     1.线路故障

     线路故障最常见的情况就是线路不通,诊断这种故障可用ping检查线路远端的路由器端口是否还能响应,或检测该线路上的流量是否还存在。一旦发现远端路由器端口不通,或该线路没有流量,则该线路可能出现了故障。这时有几种处理方法。首先是ping线路两端路由器端口,检查两端的端口是否关闭了。如果其中一端端口没有响应则可能是路由器端口故障。如果是近端端口关闭,则可检查端口插头是否松动,路由器端口是否处于down的状态;如果是远端端口关闭,则要通知线路对方进行检查。进行这些故障处理之后,线路往往就通畅了。如果线路仍然不通,一种可能就得通知线路的提供商检查线路本身的情况,看是否线路中间被切断,等等;另一种可能就是路由器配置出错,比如路由循环了。就是远端端口路由又指向了线路的近端,这样线路远端连接的网络用户就不通了,这种故障可以用traceroute来诊断。解决路由循环的方法就是重新配置路由器端口的静态路由或动态路由。

     2.路由器故障

     事实上,线路故障中很多情况都涉及到路由器,因此也可以把一些线路故障归结为路由器故障。但线路涉及到两端的路由器,因此在考虑线路故障是要涉及到多个路由器。厢有些路由器故障仅仅涉及到它本身,这些故障比较典型的就是路由器CPU温度过高、CPU利用率过高和路由器内存余量太小。其中最危险的是路由器CPU温度过高,因为这可能导致路由器烧毁。而路由器CPU利用率过高和路由器内存余量太小都将直接影响到网络服务的质量,比如路由器上丢包率就会随内存余量的下降而上升。检测这种类型的故障,需要利用MIB变量浏览器这种工具,从路由器MIB变量中读出有关的数据,通常情况下网络管理系统有专门的管理进程不断地检测路由器的关键数据,并及时给出报警。而解决这种故障,只有对路由器进行升级、扩内存等,或者重新规划网络的拓扑结构。另一种路由器故障就是自身的配置错误。比如配置的协议类型不对,配置的端口不对等。这种故障比较少见,但没有什么特别的发现方法,排除故障就与网络管理人员的经验有关了。

     3.主机故障

     主机故障常见的现象就是主机的配置不当。比如,主机配置的IP地址与其他主机冲突,或IP地址根本就不,在子网范围内,这将导致该主机不能连通。还有一些服务的设置故障。比如E-Mail服务器设置不当导致不能收发E-Mail,或者域名服务器设置不当将导致不能解析域名。主机故障的另一种可能是主机安全故障。比如,主机没有控制其上的finger,rpc,rlogin等多余服务。而恶意攻击者可以通过这些多余进程的正常服务或bug攻击该主机,甚至得到该主机的超级用户权限等。另外,还有一些主机的其他故障,比如不当共享本机硬盘等,将导致恶意攻击者非法利用该主机的资源。发现主机故障是一件困难的事情,特别是别人恶意的攻击。一般可以通过监视主机的流量、或扫描主机端口和服务来防止可能的漏洞。当发现主机受到攻击之后,应立即分析可能的漏洞,并加以预防,同时通知网络管理人员注意。

     四、 网络管理工具

     目前网络管理的工具很多,但很多网络管理工具都集成到网络管理系统中,单独的网络管理工具不多。但仍然存在一些简单、实用的网络管理工具,这些工具包括:连通性测试程序(ping)、路由跟踪程序(traceroute)和MIB变量浏览器。

     1.连通性测试程序

     连通性测试程序就是ping,是一种员常见的网络工具。用这种工具可以测试端到端的连通性,即检查源端到目的端网络是否通畅。ping的原理很简单,就是从源端向目的端发出一定数量的网络包,然后从目的端返回这些包的响应,如果在一定的时间内收到响应,则程序返回从包发出到收到的时间间隔,这样根据时间间隔就可以统计网络的延迟。如果网络包的响应在一定时间间隔内没有收到,则程序认为包丢失,返回请求超时的结果。这样如果让ping一次发一定数量的包,然后检查收到相应的包的数量,则可统计出端到端网络的丢包率,而丢包率是检验网络质量的重要参数。

     在广域网中,线路一般是网络的重要对象,因此监测线路的通断,统计线路的延迟与丢包率是发现网络故障、检查网络质量的重要手段。而网络中线路两端一般是路由器的两个端口,所以通常的监测手段就是登录到线路一端的路由器端口上ping线路另一端路由器的端口地址,从而掌握该线路的通断情况和网络延迟等参数。同时,由于登录是可以远程进行的,所以即使网络管理者在北京,如果他有足够的权限,他甚至能监测广州到上海线路的情况。

     ping这种工具有一个局限性,它一般一次只能检测一端到另二端的连通性,而不能一次检测一端到多端的连通性。因此ping有一种衍生工具就是fping,fping与ping基本类似,唯一的差别就是fping一次可以ping多个IP地址,比如C类的整个网段地址等。网络管理员经常发现有人依次扫描本网的大量IP地址,其实就是fping做到的。

     2,路由跟踪程序

     路由跟踪程序就是traceroute,在WIN95中是tracert命令。由于ping工具存在一些固有的缺陷,比如从网络的一台主机ping另一台主机,我们可以知道端到端之间的通断和延迟,但这个端到端之间可能有多条网络线路组成,中间经过多个路由器。用ping检查端到端的连通情况,如果不通则无法知道是网络中哪一条线路不通,即使端到端通畅也无法了解线路中四条线路延迟大,哪条线路质量不好,因此这就需要traceroute工具了。traceroute在某种方面与ping类似,它也是向目的端发出一些网络包,返回这些包的响应结果,如果有响应也返回响应的延迟。但traceroute与ping的员大区别在于traceroute是把端到端的线路按线路所经过的路由器分成多段,然后以每段返回响应与延迟。如果端到端不通,则用该工具可以检查到哪个路由器之前都能正常鸡应,到哪个路由器就不能响应了,这样就很容易知道如果线路出现故障,则故障源可能出在哪里。另一方面,如果在线路中某个路由器的路由配置不当,导致路由循环,用traceroute工具可以方便地发现问题。即traceroute一端到另一端时,发现到某一路由器之后,出现的下一个路由器正是上一个路由器,结果出现循环,两个路由器返回的结果中间来回交替出现,这时往往是那个路由器的路由配置指向了前一个路由器导致路由循环了。

     3.MIB变量浏览器

     MIB变量浏览器是另一种重要的网络管理工具。在SNMP中,MIB变量包含了路由器的几乎所有重要参数,对路由器进行管理很大程度上是利用MIB变量来实现的。比如,路由器的路由表、路由器的端口流量数据、路由器中的计费数据、路由器CPU的温度、负载以及路由器的内存余量等,所有这些数据都是从路由器的MIB变量中采集到的。虽然对MIB变量的定时采集与分析大部分都是程序进行的,但一种图形界面下的MIB变量浏览器也是需要的。一般MIB变量浏览器,都按照MIB变量的树形命名结构进行设计, 这样就可以自顶向下,根据所要浏览的MIB变量的类别逐步找到该变量,而无需记住该变量复杂的名字。网络管理人员可以利用MIB变量韧览器取出路由器当前的配置信息、 性能参数以及统计数据等,对网络情况进行监视。

00_anext.gif (3125 bytes)

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++