博文

网络管理系统透视(2009-05-04 17:25:00)

摘要:         网络管理是一个古老的话题了。   回顾网络建设的历史,存在着这样几个阶段:一开始是出现各种独立的设备,每种设备有自己特殊的用途;之后就是要渐渐把这些独立的集成起来,组成一个网络,完成一系列的业务;然后发现光集成起来还不行,这个网络还得是可运营可管理的,因为对运营商来说,建网的目的是用来赚钱的,可运营可管理的网络能够帮助自己完成从网络竞争向服务竞争的转变。   由于发展进程的原因,国内网络普遍存在只重视网络建设投资,而忽视网络管理系统投入的情况,使得很多网络因为缺乏必要的网络管理软件而不得不停留在依靠维护人员的经验进行低效率、低水平的感性管理阶段。据统计,宽带小区的运营收入中,将有二成被维护成本消化掉。因此,使用网络管理系统,已经不只是提高效率的问题,而是涉及到赚更多的钱的问题。   此外,用户对网络管理系统普遍存在着模糊认识或过高预期,这是由于对网络管理系统的功能和作用认识不足造成的。模糊认识主要表现为“为网管而网管”:企业的网络和计算机系统建立起来了,就应该上网络管理系统;而对于网管系统究竟起到什么作用、带来什么好处,却搞不清楚。这样上的网管系统自然很难发挥作用。另一个极端是对网管系统预期过高:管理员不再需要懂得设备的特性、配置和部署,网管系统会自动完成所有这一切;这种用户最典型的提问是:网管软件能配置路由器吗?   本文详细介绍了网络管理系统的功能和实现方法,以及网络管理应该注意的一些方面。同时针对用户的一些认识误区,澄清了计算机网管系统的基本功能和实现方式,帮助用户客观认识网管系统,避免或减少盲目建设。 初窥网络管理系统 冠群电脑(中国)有限公司 隋华锋   许多人都知道网管包括配置管理、故障管理、性能管理、安全管理和计费管理五大部分。    其实,这主要是针对电信运营网络而言的。对于企业计算机网络来说,一般不需要计费管理,安全管理则属于计算机安全建设领域,所以网管基本包括配置、故障和性能管理三个方面。    目前,市场上各种网管产品主要是针对网络故障管理和网络性能管理这两个方面的。网络故障管理主要侧重于实时的监控,而网络性能管理更看重历史分析。他们不能代替管理员分析问题、解决问题,只能协助管理员监视网络、采集数据,及时报告问题,形成统计报表。 配置......

阅读全文(1148) | 评论:0

浅探计算机网络管理系统及其发展趋势(2009-05-04 16:50:00)

摘要:进入90年代以来,随着计算机的普及以及计算机技术和通讯技术的发展,网络也越来越快地走近我们,计算机网络已成为当今信息时代的支柱。计算机与通信的结合产生了计算机网络,信息社会对计算机网络的依赖,又使得计算机网络本身运行的可靠性变得至关重要,向网络的管理运行提出了更高的要求。网络系统的维护与管理日趋繁杂,网络管理人员用人工方法管理网络已无法可靠、迅速地保障网络的正常运行;无法满足当前开放式异种机互联网络环境的需要,人们迫切地需要用计算机来管理网络,提高网络管理水平,使信息安全,快捷地传递。于是计算机网络管理系统便应运而生了。一、计算机网络管理系统的基本知识  (一)计算机网络管理系统的概念计算机网络管理系统就是管理网络的软件系统。计算机网络管理就是收集网络中各个组成部分的静态、动态地运行信息,并在这些信息的基础上进行分析和做出相应的处理,以保证网络安全、可靠、高效地运行,从而合理分配网络资源、动态配置网络负载,优化网络性能、减少网络维护费用。(二)网络管理系统的基本构成 概括地说,一个典型的网络管理系统包括四个要素:管理员、管理代理、管理信息数据库、代理服务设备。 1.管理员。实施网络管理的实体,驻留在管理工作站上。它是整个网络系统的核心,完成复杂网络管理的各项功能。网络管理系统要求管理代理定期收集重要的设备信息,收集到的信息将用于确定单个网络设备、部分网络或整个网络运行的状态是否正常。 2.管理代理。网络管理代理是驻留在网络设备(这里的设备可以是UNIX工作站、网络打印机,也可以是其它的网络设备)中的软件模块,它可以获得本地设备的运转状态、设备特性、系统配置等相关信息。网络管理代理所起的作用是:充当管理系统与管理代理软件驻留设备之间的中介,通过控制设备的管理信息数据库(MIB)中的信息来管理该设备。3.管理信息库。它存储在被管理对象的存储器中,管理库是一个动态刷新的数据库,它包括网络设备的配置信息,数据通信的统计信息,安全性信息和设备特有信息。这些信息、被动态送往管理器,形成网络管理系统的数据来源。4.代理设备和管理协议。代理设备在标准网络管理软件和不直接支持该标准协议的系统之间起桥梁作用。利用代理设备,不需要升级整个网络就可以实现从旧协议到新版本的过渡。对于网络管理系统来说,重要的是管理员和管理代理之间所使用的网络管理协议,如......

阅读全文(992) | 评论:0

迅雷、超级旋风、网际快车的协议分析(2009-04-27 15:22:00)

摘要:  协议概述迅雷是深圳市迅雷网络技术有限公司推出的一种基于多资源超线程技术的下载软件,能够连接多点资源同时下载,并支持BT 下载。 迅雷,快车,超级旋风多点下载通讯协议及端口范围迅雷支持HTTP 连接、FTP 连接、MMS 连接、RTSP 连接以及其他代理模式。迅雷查询和下载资源默认利用HTTP 进行多点资源(即候选资源)地连接,通讯端口不固定。迅雷的雷区注册和登录使用的是TCP 5200 和6200 端口。  超级嗅探狗对局域网内迅雷,快车,超级旋风多点下载的管理方案记录迅雷下载的文件名称,并对其流量进行统计出报表。 封堵迅雷下载。(节约局域网内带宽资源和电脑使用资源) 禁止迅雷多点下载,此禁止并不能完全禁止迅雷下载,但是运用此功能后,迅雷下载讲由原来的P2P下载变成普通的WEB下载,它耗用的带宽和机器资源和普通WEB下载一样。 完全禁止,在实现禁止迅雷多点下载的同时,设置超级嗅探狗的"文件下载黑白名单"这样可以完全禁止迅雷的任何形式的下载。 了解更多  支持的产品快车 (   最新支持版本:“3.0beta1”   ) WEB迅雷 (   最新支持版本:“1.13.1.224”   ) 超级旋风 (   最新支持版本:“1.9.260”   ) 迅雷 (   最新支持版本:“5.8.2.515”   ) 通过聚生网管系统,点点鼠标就可以禁止迅雷、禁止超级旋风、禁止网际快车的下载,极为方便!......

阅读全文(1776) | 评论:0

聚生网管控制P2P的原理和方案(2009-04-27 15:19:00)

摘要:在BT协议中有多个不同的角色:        Web服务器:用于发布静态元信息文件�D�D“.torrent        ■终端浏览器:用于查询和获取静态元信息文件        ■静态元信息文件:使用bencoding编码来保存数据,包含发布文件和Tracker信息        ■BT Tracker:对等节点信息的维护者和传输过程的调度者        ■下载者:希望下载文件的需求者,在下载过程中同时上传已经下载的部分        ■原始下载者:文件的最初拥有者,对本文件只上传不下载,在其他下载者共同拥有文件的全部内容后,它可能退出活动。        有BT有几个工作过程:        ■查询过程:        查询过程的参与者是:Web服务器、终端浏览器和静态元信息文件。        原始下载者拥有一个文件,愿意与大家共享;他自己或让其它相关者制作一个静态元信息文件,发布在Web服务器上;下载者所在终端通过浏览器查询到这个静态元信息文件,并通过HTTP协议GET到这个文件;从文件中解析出Tracker信息和文件信息。        ■控制过程:        控制过程的参与者是Tracker、下载者(包括原始下载者)。        BitTorrent拥有一个中心控制程序Tracker。它和下载者(包括原始下载者)通过HTTP协议来交换信息......

阅读全文(1514) | 评论:0

层层设防 全面拦截企业网络病毒(2009-04-24 15:51:00)

摘要:病毒是一个与计算机相伴而生的“恶狼”,它的危害随着网络的出现达到了顶点。网络的纵深发展,更使病毒得到了长足的发展, 使其传播更加便利,传播速度也变的越来越快。目前,绝大部分单位都建有局域网,并通过局域网连入互联网。由病毒造成的网络故 障及损失更是非常严重。作为网管员,如何才能够保障网络计算机不受病毒侵犯,为网络的正常运转提供保障呢?在这里,就我们的 一些做法与大家一起交流。   一、病毒层层解读   病毒如洪水猛兽,但并不是毫无规律可言。在这里我们首先分析一下网络的安全防护层次。通常情况下,网络的安全可分为客户 主机的防范、服务器的防范和网关的防范三部分。   客户主机就是网络中用户使用的电脑,他们对网络的知识知之甚少,对病毒的防范意识不强,而且一旦一台主机感染了病毒,就 会形成连锁反应,使整个网络的计算机都感染病毒。同样对于服务器,基本每个单位都有,以满足对外网站发布、文件共享、邮件服 务等需求。而这些服务都是与每个用户都密切相关。如文件共享服务,如果用户上传的文件本身就带毒,而且上传后不能有效拦截, 这样在共享下载的过程中,病毒就会被携带传播出去。说到网关,它是每个网络的门户,面临着内部和外部网络的双重攻击,其重要 性不言而喻。   二、病毒防防防范   上面我们对网络内病毒进行了分层解读,只要我们网管员能够针对所涉及的三个层面进行有效防范,对症下药,分层部署,那么 还是能够非常便利的保障整个网络健康有序运行的。   1、客户主机病毒防范   对于一个网络来说,客户主机的病毒防范工作量最大,如果能够采取切实有效的方法,那么将会起到事半功倍的效果。   (1)杀毒软件不可错过   针对客户主机的病毒查杀,目前只有杀毒软件这一种方案可供选择。针对一个单位来说,杀毒软件除了在品牌的选择之外,更重 要的是选择单机版还是网络版。   就杀毒能力来说,单机版和网络版都是使用一套反病毒引擎,病毒库的升级都是一样的,也就是说它们的病毒查杀能力也是一样 的。但是网络版杀毒软件管理方便,可以统一安装、升级、查杀病毒,价格也非常贵。八哥网(http://www.it8g.com)建议较大规 模的单位可布署。相对于只有十几台、几十台电脑的一般建议使用单机版的杀毒软件就能够满足应用的需要了,而且性价比非常好。   (2)及时升级   升级非......

阅读全文(960) | 评论:0

网络管理软件:接入因特网方式的几种特点(2009-04-21 11:52:00)

摘要:我们大家可能对一些接入因特网的技术并不陌生,比如通过Modem和电话线路进行的电话拨号上网;ISDN适配器和ISDN线路连接ISDN网,除这些外,我们还可以通过电缆调制解调器,数字用户线路(DSL)或DDN或X.25网络连接到Internet服务提供商ISP。  Internet服务提供商ISP是提供Internet连接的公司,世界各地都有Internet服务提供商ISP。用户通过Internet服务提供商ISP接入因特网,ISP的作用一是为用户接入Internet提供服务,二是为用户提供各种类型的信息服务,如电子邮件服务,信息发布代理服务和广告服务等。  一 通过Modem拨号接入Internet  计算机用户通过Modem接公用电话网络,再通过公用电话网络连接到ISP,通过ISP的主机接入Internet,在建立拨号连接以前,向ISP(我国一般是当地电信部门)申请拨号连接的使用权,获得使用帐号和密码,每次上网前需要通过帐号和密码拨号。拨号上网方式又称为拨号IP方式,因为采用拨号上网方式,在上网之后会被动态地分配一个合法的IP地址。在用户和ISP之间要用专门的通信协议SLIP或PPP。  拨号上网的投资不大,但功能比拨号仿真终端方法联入要强得多,适合一般家庭及个人用户使用;速度慢,因为其受电话线及相关接入设备的硬件条件限制,一般在56K左右。  二 通过ISDN接入Internet  ISDN是综合业务数字网骡的缩写,是提供端到端的数字连接网络,除了支持电话业务外,还能支持网络中传输传真,数字和图象等业务。ISDN专线接入又称为一线通,因为它通过一条电话线就可以实现集语音、数据和图像通信于一体的综合业务。ISDN连接通过网络终端NT,用户终端和ISDN终端适配器TA等一些通过电话网络连接到ISP,不过需要强调的是这与拨号上网不同的是这里在电话线上传输的数字信号。  由于ISDN使用数字传输技术,因此ISDN线路抗干扰能力强,传输质量高且支持同时打电话和上网,速度快且方便,能支持多种不同设备,最高网速可达到128K/S。  三 通过DDN专线接入Internet  DDN是数字数据网络的缩写,它是利用铜缆、光纤、数字微波或卫星等数字传输通道,提供永久或半永久连接电路,以传输数字信号为主的数字传输网络,在连到Internet时,是通过DDN专线连接到ISP,在通过IS......

阅读全文(1496) | 评论:0

从“山寨”角度看国内上网行为管理软件(2009-04-21 11:42:00)

摘要:  这两年,随着上网行为管理市场的不断兴盛,提供这方面产品的厂商也不断增多。尤其是上网行为管理的软件产品,一如雨后春笋,遍地生根。其实这些产品所宣传的功能很多是相似的,如记录访问网站、控制上网行为、网络留言审计、邮件监控、聊天内容的监控以及流量监控等等。如何区分这些产品的优劣似乎是一个很大的问题。其实,如果你对山寨手机有较多了解,这个问题看起来就容易了。 台湾芯片厂商联发科于2006年后开发出了一个手机芯片,把需要几十个人合作工作一年多才能完成的手机主板、软件集成到一起,研制出了廉价的MTK手机芯片,一下让手机的生产没有了核心技术,从而导致不正规的手机厂商如雨后春笋般冒出,把正规手机市场全部冲乱——生产商只要将联发科芯片买来,配上手机外壳和电池,就可以组装出一款手机。尽管其质量没有太多的保证,很多产品也没有多少售后服务,但因为其价格极其低廉,加上外形时尚等原因,市场非常火爆。可以肯定的是,没有联发科的手机芯片,就不可能有山寨手机的兴起。 回到上网行为管理产品的话题,这里我们要说的倒不是现在的大部分产品一定是“山寨”的产品。但是这方面厂商的兴起,却有与山寨手机兴起相似的地方。那就是属于上网行为管理软件核心技术的产品底层也不需要这些厂商自己去开发——由于开源的WinPcap的存在。有了它,开发上网行为管理的软件也就有了捷径。 WinPcap是一个基于Win32平台的,用于捕获网络数据包并进行分析的开源库。大多数网络应用程序通过被广泛使用的操作系统元件来访问网络,比如sockets。这是一种简单的实现方式,因为操作系统已经妥善处理了底层具体实现细节(比如协议处理,封装数据包等等),并且提供了一个与读写文件类似的,令人熟悉的接口。 然而,有些时候,这种“简单的”方式并不能满足任务的需求,因为有些应用程序需要直接访问网络中的数据包。也就是说,那些应用程序需要访问原始数据包,即没有被操作系统利用网络协议处理过的数据包。 WinPcap产生的目的,就是为Win32应用程序提供这种访问方式。WinPcap提供了以下功能:捕获原始数据包,无论它是发往某台机器的,还是在其他设备(共享媒介)上进行交换的;在数据包发送给某应用程序前,根据用户指定的规则过滤数据包;将原始数据包通过网络发送出去;收集并统计网络流量信息。 目前,国内90%以上的上网行为管理软件厂商是基于......

阅读全文(1254) | 评论:0

企业网络管理应该具备的功能(2009-04-21 09:35:00)

摘要:  一机安装,监控整个网络,网页过滤,P2P控制,BT控制,聊天控制,游戏控制,流量控制,内容记录(收发邮件包括WEB发送的邮件,上传下载文件包括QQ和MSN等外发的文件),记录QQ聊天内容,SKYPE聊天内容,MSN聊天内容等等,网上特工不论是功能控制,网络监视还是综合图形报表都具有同行业中其他软件无法比拟的优势。网络图形监控显示每台机器的流速发包数和接收包数、字节数;全面信息分析所有通信和查询统计功能;完整记录所有收发文件、下载文件、聊天、邮件内容;还提供操作非常简单的强大的‘网上特工控制策略库’,可以随意增加协议类型;大量的流量统计、报表和报警功能;超强的备份机制,可以保存一年或更长的时间;系统还提供了多语言功能可以自由的切换,支持远程管理控制,跨网段,跨路由器,跨三层交换机等等。 一、网络图形监控   1、只须在一台机器上安装网上特工,整个网络的运行状态就会直观地呈现在您眼前; 2、显示每台机器的流速,当天外发和接收的网络包数,字节数和系统记录的日志数,还有上网时间,都会图形化地直观显示; 3、图形化显示整个网络的流速,和当天整个网络外发和接收的网络包数,字节数; 二、全面信息分析   1、记录HTTP,SMTP,TELNET,FTP,POP3,NETBIOS,ICMP,QICQ,MSN,ICQ,YAHOO,UC,PP等等所有通信; 2、可以按天,按小时,按分钟查看任一台机器,不同协议的通信网络包数、字节流量和上网时间; 3、可以自己按照网络通信服务内容,分成不同的类型,再按类型查询统计; 三、完整内容记录   1、记录MSN 外发文件内容; 2、记录MSN,YAHOO,ICQ等的聊天内容,QQ的聊天过程; 3、记录WEB外发文件内容,WEB下载文件内容,WEB论坛等外发贴子内容; 4、记录FTP外发文件内容,FTP下载文件内容; 5、记录WEB外发邮件,SMTP外发邮件,POP3收邮件,包括发件人,收件人,抄送,秘送,主题,邮件内容,邮件附件等都能完整记录; 6、记录WEB、FTP、TELNET、SMTP、POP3、NETBIOS、ICMP等的上网日志; 四、强大策略控制   1、网上特工创造性地提供了操作非常简单的强大的’网上特工控制策略库‘,使对网络控制做到随心所欲; 2、用户可以随意增加协议类型,再在该类型下增加不同的网络应用,通过对......

阅读全文(987) | 评论:0

注重上网行为管理 实施软件限制策略(2009-04-21 09:31:00)

摘要:在企业网络管理中,我们很重要的一块工作,就是对企业员工的网络行为的管理。如不允许他们使用QQ、MSN等聊天工具,或者不允许他们在上班时间看电影等等。要实现这些方面的控制,现在已经有不少好的工具。利用域控制器,来实现对某些软件的限制,也是其中一种比较流行的方式之一。   域环境中的软件限制策略,也就是说,当用户利用域帐户登陆到本机电脑的时候,系统会根据这个域帐户的访问权限,来判断其是否有某个应用软件的使用权限。当其没有相关权限的时候,则操作系统就会拒绝用户访问某个应用软件,从而来管理企业员工的操作行为。   在这篇文章中,笔者将对软件限制策略的一些常识进行一些简短的介绍,然后在后续的文章中,笔者会结合自己公司的设置,来讲解一些具体的应用。希望这一系列的文章能够对各位读者有所帮助。   一、 应用软件与数据文件独立  在应用软件限制策略的时候,需要明白的第一个原则就是"应用软件与数据文件"独立原则。也就是说,你即使具有数据文件的访问权限,但是,若其没有其关联软件的访问权限的话,则仍然不能够打开这个文件。如现在某个用户从网上私自下载了一部电影,其作为所有者人,当然具有对这个数据文件进行访问的权限。但是,我们在软件限制策略设置的时候,这个用户帐户无法访问任何的视频播放软件。如此的话,这个用户仍然无法播放这部电影。  这就是应用软件与数据文件独立的原则。这个原则在实际应用中非常有用。因为我们很难控制用户从网络上下载文件。如用户若从网络上下载歌曲,甚至通过U盘等工具从企业外部把文件拷贝到电脑上去。这些行为我们很难控制。但是,我们对于用户电脑上应用程序的控制来说,则相对简单许多。我们只需要把这些应用程序控制好,则即使用户私自下载受限制的文件,则用户最终也没有软件可以打开它。这也就可以控制他们的相关不正当行为。   二、 软件限制策略的冲突处理原则  软件限制策略跟其他组策略一样,可以在多个级别上进行设置。或者说,软件限制策略是组策略中的一个特殊分支也未尝不可。所以,软件限制策略可以在本地计算机、站点、域与组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。而就是因为如此,所以也就产生了冲突的可能性。当在各个设置级别上的软件限制策略发生冲突的时候,其优先性如何呢?  一般来说,其优先性的级别从高到低如下:  第一,组织单元策略;第二,域策略;第三,站点策略......

阅读全文(1144) | 评论:0

巧限网速 让企业网络带宽不被占用(2009-04-21 09:29:00)

摘要:  小王是一家单位的网络管理员,该单位最近租用了本地电信部门的一条独享10MB的宽带光纤线路,使单位局域网实现了直接连接Internet网络的目的。刚开始,无论在局域网的哪一台工作站中访问网页内容或下载信息时,速度都非常快;不过,伴随着单位规模的逐步扩大,各个部门中的工作站数量越来越多,再加上一些不自觉的员工在上班期间随意使用BT之类的专业工具下载电影或视频信息,使得整个单位局域网的上网速度非常缓慢,常常会出现打开一个简单网页都需要等上好几分钟的尴尬现象。单位领导对这种现象非常重视,要求身为网络管理员的小王能够迅速采取措施,解决单位局域网上网速度缓慢的现象。 一、方案选择 一般来说,提高宽带网络访问速度的主要办法只有两个,一种办法就是提高局域网网络出口带宽的大小,让上网通道能够应对更大流量的工作访问需求,另外一种办法就是保持已有网络带宽大小,从局域网网络内部优化设置着手,提高网络的出口访问效率。由于扩大出口带宽的容量大小需要单位支付更高的通信费用,很显然这种方法没有多大的实际意义,因此小王决定采用第二种方案,来对单位局域网网络进行合适优化设置。考虑到局域网上网速度下降,主要是由于员工不自觉使用BT之类的专业工具下载大容量信息引起的,而且P2P类型的下载应用往往很难直接进行限制封锁,于是网络管理员小王经过到网上搜索相关资料,并经过反复琢磨后,决定对局域网中每一台工作站用户采取限制带宽大小的方法,来保障单位局域网有限的出口带宽资源不被消耗殆尽。 正常情况下,对局域网工作站的上网带宽大小进行限制时,专家给出两种选择,一种选择就是在局域网的代理服务器中安装专业网络管理工具——SyGate,借助该专业工具的帮忙,来对局域网中不同子网的最大传输速度进行限制或规定,也可以针对特定IP地址的工作站进行限速设置;另外一种选择就是在可管理的交换机中,直接对特定交换端口的传输速度进行限制。考虑到单位局域网中的工作站分散安装在许多不同部门的不同位置处,小王认为要是直接配置一台代理服务器来限制工作站上网带宽的话,不但成本比较高,而且局域网中所有工作站通过代理服务器进行中转上网,代理服务器将面临不小的流量压力,弄不好局域网上网速度没有实质性改观;经过再三权衡考虑,网络管理员小王决定利用单位局域网交换机的可管理功能,来对交换机连接端口的速度进行限制,从而实现限制员工随意使用BT......

阅读全文(960) | 评论:0