智能化网络管理系统为网络安全把脉

网络管理是计算机网络发展的必然产物，它随着计算机网络的发展而发展。早期的网络主要是局域网，而Internet的出现打破了网络的地域限制，跨地域的广域网络得到飞速发展，这时的网络管理不再局限于保证文件的传输，而是保障连接网络的网络对象(路由器、交换机、线路等)的正常运转，同时监测网络的运行性能，优化网络的拓扑结构。网络管理系统也因此越来越独立，越来越复杂，功能也越来越完备。

　　随着IT业务变得越来越富有挑战性，信息技术领域的工作也变得越来越复杂。要管理由各种LAN、Intranet和Extranet构成的混合网络，网络管理员如何优化设备和网络配置，使网络系统充分发挥优势，是今天网络管理员们正面临的一项艰巨任务。

　　人们迫切地希望通过网管系统为网络把脉，查看全网的网络连接关系，实时监控各种网络设备可能出现的问题，检测网络性能瓶颈出在何处，并进行自动处理或远程修复。而实现这一切的一条很重要的途径，是网络管理系统的智能化发展，通过智能化的网管平台实现高效的网络管理，促进网络的高效运转。

　　网络管理发展四阶段

　　随着Internet在世界范围的普及,计算机网络逐渐成为人们获取信息、发布信息的重要途径。与此同时，基于网络的应用也越来越多,许多人们生活中的重要环节都可以利用网络方便、快捷地实现。因此，网络运行的稳定性、可靠性就显得至关重要,网络管理于是应运而生。

　　回顾网络建设的历史，存在着这样几个阶段：

　　1.独立BU阶段：开始出现各种独立的设备，每种设备有自己特殊的用途;

　　2.集成网络阶段：渐渐把这些独立的BU单元集成起来,组成一个网络,完成一系列的业务;

　　3.整合统一管理阶段：人们开始认识到建网的目的是加快信息化建设的步伐、提高效率、提高核心竞争力，因此可运营、可管理的网络应运而生，能够帮助人们完成从网络竞争向服务竞争的转变;

　　4.智能网络管理阶段：随着网络的日益庞大，停留在依靠维护人员的经验进行低效率、低水平的感性管理阶段的网管理念已经跟不上网络发展的需求，智能、高效的网络管理系统越来越受到人们的重视。

　　网络管理五大功能

　　为了更好地管理不同厂家的网络设备,支持不同的网络管理平台,就需要制定网络管理标准。国际标准化组织(ISO)制定了一系列的网络管理标准，在OSI网络管理模型中,基本的网络管理功能被划分成五大功能:

　　●故障管理(FAILURES):检测、隔离、更正网络问题，并从这些问题中恢复;

　　●性能管理(PERFORMANCE):分析和控制整个网络的数据吞吐，为终端用户提供连续的、可靠的服务;

　　●配置管理(CONFIGURATION):从网络中获取信息、并根据这些信息对设备进行配置，通过它，可以实现对网络设备配置的集中管理;

　　●计费管理(ACCOUNTING):测度网络上资源的利用情况，设置计量单位、确定开销、向用户收费;

　　●安全管理(SECURITY):控制对网络资源和敏感信息的访问，这种控制包括对网络设备的访问限制、对给定设备上某种应用的访问控制，以及对网络协议的访问控制。

　　通常，一个具体的网络管理系统并不一定都包含网络管理的五大功能，不同的系统可能会选取其中几个功能加以实现，但几乎每个网管系统都会包括故障管理、配置管理和性能管理这三个功能。

　　从网络管理系统的组成来说，现代网络的网络管理系统基本上由四部分组成:多个被管对象代理(ManagedObjectAgents);至少一个网络管理器(NetworkManager)或称网管工作站;一种通用的网络管理协议(NetworkManagementProtocol);一个或多个管理信息库(MIB,ManagementInformationBase)。

　　用户主机和网络互联设备等所有被管理的网络设备都称为被管对象(ManagedObject)，驻留在这些被管对象上、配合网络管理的处理实体被称为被管对象代理。实施管理的处理实体被称为管理器(Manager)，管理器驻留在网管工作站上。管理器和代理通过交换管理信息进行工作,这种信息交换通过一种网络管理协议来实现，管理信息分别存储在被管对象和管理工作站上的管理信息库中。

　　网络管理协议与管理信息库中的管理信息描述了所有被管对象及其属性值，使得网络管理的全部工作就是读取(get，对应于监视)或设置(set，对应于控制)这些对象信息及其属性值变量。

　　网管模型的智能化要求

　　智能管理平台要求实现网络资源、用户和业务的融合管理，提供基本的网络资源管理、拓扑管理、故障管理、性能管理、用户管理及系统安全管理，具体要求体现为以下六点：

　　1.系统安全管理

　　系统安全管理功能主要包括：操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。

　　所包含的主要功能有：

　　◆操作员登录管理

　　管理员通过制定登录安全策略约束操作员的登录鉴权，实现操作员登录的安全性;

　　◆操作员密码管理

　　管理员为操作员制定密码控制策略，操作员仅能按照制定的策略定期修改密码;

　　◆分组分级权限管理

　　管理员通过设备分组、用户分组的设置,可以为操作员指定可以管理的设备分组和用户分组,并指定其管理权限和角色;

　　◆操作日志管理

　　对于操作员的所有操作，包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作，都会记录详细的日志;

　　◆操作员在线监控和管理

　　系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息,包括登录的主机IP地址、登录时间等。

　　2.资源管理

　　通过资源管理要求可以实现:

　　◆网络自动发现

　　可以通过设置种子的简易方式、路由方式、ARP方式、IPSecVPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑,自动识别包括路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备;

　　◆网络手工管理

　　手工添加、删除网络设备，可以批量导入、导出网络设备，批量配置Telnet、SNMP参数，以及批量校验Telnet参数等辅助功能;

　　◆网络视图管理

　　支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图,用户可以从不同角度实现整个网络的管理;

　　◆网络设备管理

　　从任何一种网络视图入口，都可以实现对网络设备的管理，用户可以方便地实现所有设备的管理;

　　◆设备分组权限管理

　　通过对设备资源进行分组管理,系统管理员方便地分配其他管理员的管理权限,便于职责分离。

　　3.拓扑管理

　　要求可以从网络拓扑的解决，直观地提供给用户对整个网络及网络设备资源的管理：

　　◆拓扑自动发现

　　通过自动发现可以发现网络中的所有设备及网络结构，并且可以将非SNMP设备发现出来,只要设备可以ping通即可;

　　◆自动识别各种网络设备和主机的类型

　　要求可以自动识别Cisco、Juniper、H3C、中兴等厂商的设备,以及Windows、Solaris的PC和工作站、其他SNMP设备和ping设备,并且以树形方式组织，以不同的图标显示区分;在拓扑图上更可进一步对设备的类型进行区分,如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC等;

　　◆设备状态、连接状态、告警状态等信息在拓扑图上的直观显示

　　要求在拓扑图上能够清晰地看到企业IT资源的状态,包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。

　　4.故障(告警/事件)管理

　　故障管理，即告警/事件管理，是体现智能网络管理平台的重要部分：

　　◆告警发现和上报

　　接收各种告警源的告警事件，包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等;

　　◆告警深度关联分析与统计

　　对接收到的告警事件进行深度关联分析，系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警，并能在故障恢复时自动确认相关告警;同时用户可以根据自己的需要确定事件的告警规则，以适应网络管理需要;

　　◆实时告警

　　提供分类、声光告警板，按故障类别及等级实时告警，让管理员通过告警板不但及时知道告警产生，同时可以了解产生的告警的类别和等级;

　　◆故障解决

　　智能网管要求对故障告警均提供“修复建议”,管理员可以参考修复建议对故障进行处理。在故障得到解决后，通过对告警的确认完成故障的恢复确认。

　　5.性能管理

　　折线图、方图、饼图等多种显示方式，通过生成相应的报表，可以给管理员带来诸多的快捷。通过性能任务的配置，可自动获得网络的各种当前性能数据，并且可以设置性能的阈值，当性能超过阈值时，网络以告警的方式通知告警中心。

　　6.设备管理组件

　　智能网络管理概念的一个较为重要的环节是:原始的网络管理人员往往只能通过“徒手”进行设备管理,管理人员往往只能通过远程登录查看设备工作状态，了解设备运行情况。而智能网络管理平台可以对全系列IP产品进行设备管理，提供丰富的管理功能。通过面板管理，网络管理人员可以直观地看到设备、板卡、端口的工作状态，通过设备信息浏览监视，管理人员可以了解设备的运行情况，实时监视CPU利用率、端口利用率等重要信息。同时，提供图形化的配置方式,使设备功能配置不再复杂。