吉宁博士观点
现代社会中,越来越多的企业和事业单位认识到,企业生产经营中越来越多的工作要依赖于网络来完成。网络来进了企业与客户之间的距离。也而加速了企业间信息的交换。
计算机网络,是指由多台计算机互联而组成的网络。因为单台计算机受到各配置容量及使用范围的限制,难以在较大的范围内发挥其最佳的作用,而多台计算机通过一定的媒介互联起来,互相共享资源,则可以在大范围内发挥巨大的作用。近年来,计算机网络在许多企事业部门得到广泛的使用,而如何管理好计算机网络,使它持续、高效、可靠、稳定地运行,则是每个计算机网络管理员所面临的问题。特别是对于电信、金融等部门的大型计算机网络,如大、中型城市电信部门的计算机运营管理网、银行的计算机运营管理网等大型城域网,网络的任何故障,都可能对工作造成灾难性的后果。
一、计算机网络管理的重要性
几乎所有的企业和机关在建设网络后都有一个共同的体会:日常的生产、工作和业务越来越依赖于网络。如果网络维护不好,管理不善,出了故障不能很快查出故障原因并予以解决,或者是遭到病毒入侵导致网络瘫痪等,都会造成生产和管理无法正常进行。这一方面说明网络管理员的工作得到了认可;另一方面也说明网络一旦出现故障,所造成的损失是无法用金钱来计算的,即使不出故障,网络用户每天对网络性能低下的抱怨,也使网络管理员感到焦头烂额。而对于救火队式的计算机网络管理,就更为人们所摒弃。
因此,计算机网络管理的重要性无论怎样强调都不过分,计算机网络管理做得好,企业至少可以得到如下回报:
1.确保生产和业务不致中断,这对于严重依赖网络的企业(如电信部门、金融部门)是至关重要的。
2.高性能的网络有助于提升工作效率和企业的竞争力,特别是诸如视频会议这样新的网络应用,将极大地改变我们的生产和生活方式。计算机网络管理员必须确保这些网络应用能顺利运行。
3.可以确保网络的规模和性能随业务的扩展而增长,不至于拖业务的后腿。
4.可以确保企业数据的安全和一致性。
5.降低网络维护的成本。
二、计算机网络管理的基本原则
计算机网络管理维护与网络的大小及复杂程度有很大的关系,本人参与武汉市电信局计算机综合业务运营管理网(即“九七”工程)建设的管理工作,现就工作实践中的体会提出以下一些基本原则和方法。
1.资料管理
需要掌握全网的逻辑结构图和物理结构图。如网络过大可以分层次作图,例如:可按中心网、主干网、分支网来分段。逻辑结构图应表示出各网络设备的连接关系,物理结构图则应表示出各网络设备的物理位置及网络连接线的物理走向。
需要掌握全部的配置数据,包括路由器、服务器等的配置及地址。
计算机网络管理人员要充分理解各计算机及网络设备的功能和相互之间的关系,了解各设备的正常工作状态及一些可能的错误状态,由此根据逻辑结构图来定位一些可能的网络故障源,并通过物理结构图找到具体的故障位置。举1个简单的例子。现在突然无法访问1个远程子网上的1台服务器,从逻辑结构图上,可以看出该远程子网是通过1条DDN专线由两台路由器连接起来,路由器是用于网络互联的设备。如果不能访问该子网服务器,有可能是网间路由中断了,或是该服务器本身出了故障,还有可能是该子网网段发生故障。可先检查路由器工作情况,如路由器指示网间正常且可登录到对方路由器,则进一步检查该子网本地情况,此时发现无法访问该子网所有其他设备,再到子网服务器处检查,发现服务器本身运行良好,则可判断子网内部的网络连接出故障,这样可根据物理结构图再结合一些测试设备,则可查到网络连接上的故障点。
2.布线系统的日常维护
做好布线系统的日常维护工作,确保底层网络连接的完好,是计算机网络管理正常、高效运行的基础。目前,城域网和广域网之间的互连,除了微波、卫星通道等无线连接方式外,室外光缆敷设仍然是唯一的有线连接途径。而室内布线一般采用UTP或STP布线系统。STP布线系统适用于电磁辐射干扰比较强烈的布线环境,STP线缆的屏蔽层可以将接收到的电磁干扰信号转变成电流信号,与双绞线中所形成的干扰电流方向相反,从而抵消噪声,以提升信噪比。但STP布线系统也有高频传输衰减大的缺点。目前在国内的应用环境中,室内布线采用UTP的居多。网络布线系统的日常维护,包括对楼内UTP(或是STP)综合布线系统的维护管理、室外光纤通道的日常维护、微波信道的可靠性管理等。对布线系统的测试和维护一般借助于双绞线测试仪和规程分析仪、信道测试仪等,智能化分析仪器的使用,提升了布线系统的管理水平和管理效率,可以更好地保证计算机网络的正常运行。
3.配备功能齐全的计算机网络管理软件
为了有效地管理计算机网络中的交换机、集线器、路由器、服务器等网络设备和资源,提升计算机网络运行的可靠性,要为网络配备一些功能齐全的计算机网络管理软件。在计算机网络管理中心设置网络管理机。通过网管软件的设置,可实现全网设备的中心配置、定期做网络运行报告、故障预警、故障测试等。当前,许多计算机厂商和网络设备厂商都能提供基于SNMP协议标准的网络管理系统软件。网管软件一般分网管平台和针对该平台设计的某厂家产品的管理软件。目前市面上的主流网管平台包括HP公司的OPENVIEW和IBM公司的NETVIEW等。然后针对这些平台有Cisco公司的CISCOWORKS等管理软件。对上述例子的网络故障,可用CISCOWORKS软件配置两端的Cisco路由器,并确认路由器工作正常,可用某一个管理平台确认该子网网段的故障。
4.关键设备的管理
无论对于何种规模的计算机网络,关键设备的管理是一项相当重要的工作。因为网络中关键设备的任何故障,都有可能造成网络的瘫痪,给机关和企业带来无法弥补的损失。企业计算机网络中的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些关键网络设备的管理,除了通过网管软件实时监测它们的工作状态以外,更要做好它们的备份工作。现在许多厂商都推出了关键服务器备份解决方案,备份服务器能够保持与主服务器之间的操作和运行同步,这样就保证了关键数据库的数据一致性和可靠性,以备将来主服务器出现故障时,备份服务器能及时替代主服务器工作。而对于现今路由器之间可靠性要求比较高的广域连接,我们一般通过在其他广域端口上配置V.35bit/s接口来做高可靠性广域连接的拨号备份,当主链路因故断开时,备份链路就能够及时拨号建立,继续完成主链路上的数据传输。对主干交换机的备份,目前似乎很少有厂商能提供比较系统的解决方案,因而要靠计算机网络管理员在日常管理中,加强对主干交换机的性能和工作状态监测,以维护网络主干交换机的正常工作。
5.IP地址的管理
在TCP/IP协议已经成为事实上的工业标准的今天,TCP/IP网络上的任何一台工作站都需要有一个合法的IP地址才能够正常工作。在构建规划计算机网络时,我们便应该做好机构内部各处室对上网业务的需求调查和统计,确定计算机网络规模。在目前的中小型计算网络中,采用C类IP地址的占大多数,这样,每个IP子网可以拥有200多台计算机(或者网络设备),待日后计算机网络扩展,1个C类IP子网地址不够用时,可以通过路由器连接本地局域网的LAN口设置多个IP地址的方法来解决。IP地址的分配一般有两种途径:一种是给工作站分配特定的IP地址;另一种是对某些计算机的IP地址进行动态分配。IP地址的管理得当与否,是计算机网络管理能否保证高效运行的关键因素。如果IP地址的管理手段不完善,网络上很容易出现IP地址冲突,这将导致合法的IP地址用户不能正常享用网络资源,影响网络上正常业务的开展,甚至会对某些关键数据造成损坏除路由器之外的网络设备。一般给予1个固定的IP地址,对于各类服务器和经常上网的主机,我们也作相同的处理,而对于那些不是经常上网或是移动性比较强的计算机,可以采用DHCP协议来动态配置IP地址,以节约IP地址资源,也更便于计算机网络管理员对这些计算机的管理。而DHCP服务器软件基于WindowsNT和各种UNIX的版本都比较容易找到。
6.配备网络分析及测试仪器
对更大型、更复杂的网络应配备网络分析及测试仪器。复杂的仪器有专用的网络分析仪,能对网络上通过的数据进行解码和统计分析,帮助解决一些协议、地址上的设备问题。简单的有手持式的电缆测试仪,可以帮助查找一些电缆介质的连接及质量问题。
7.详尽的网络维护日志
计算机网络管理在各网络设备所处的现场,应记录详尽有效的网络维护日志,包括增减网络设备、修改网络配置、故障处理记录、网络中的一些重要数据记录及统计、异常现象记录等,这些内容可帮助有经验的维护人员迅速定位故障并予以解决。
总之,要维护好一个计算机网络,首先必须掌握好所有相关的技术资料,然后要熟悉网络连接关系,熟悉各网络设备的功能及一些重要的性能指标。对较大型的网络,特别是实时性要求较高、不允许长时故障的网络,则要求配备有效的网络管理软件;而对网络结构较复杂的情况,应配备网络分析和测试工具,帮助分析和查找故障点。另外,详尽的网络维护日志对网络维护也有重要作用。
当然,对于不同的网络环境,还有很多管理工作要做。随着各内联网和Internet的相互连通,网络管理员除了要维护各种业务数据的可靠性外,还要保证机密数据的安全。因此,计算机网络管理中的安全管理(如防火墙的设置),又成为网络管理中一个非常重要的方面。
三、计算机病毒的综合防治
网络安全性的高低一般指网络抵御外界侵入而不被破坏的能力大小。在目前企事业计算机网络中,这方面的问题主要是抵御病毒入侵。在此主要谈一下计算机网络管理中如何抵抗病毒。
1.控制网络入口
首先要从网络的各个入口点(各计算机终端的软盘驱动器等)进行控制,禁止一切可疑软盘的使用,防止病毒通过软盘侵入网络。一般重要的生产网络不宜同公众网例如Internet相连,以防病毒或恶意分子从任一个角落即可通过Internet进攻网络。如确需相连,则应设置好相应的防火墙。
2.控制网络访问权限
应该从网络访问权限上进行控制,利用网络系统软件本身的安全功能设置好各类用户的访问权限。特别要注意对网上公用的可执行文件,以Novell网络为例,PUBLIC、LOGIN、STSTEM目录不可轻易赋“写”权限给用户。最好是一般用户只对一些数据库文件有“写”权限,而对任何可执行文件无“写”权限,因为一般病毒只能通过可执行文件进行传播,而且一般病毒也很少能突破网络系统软件的安全保卫功能。网络系统管理员可借网络系统软件的安全保卫功能保卫网络上的文件。这样,即使某一台终端染上病毒,它以一般用户身份上网后也无法感染网络上的可执行文件(因没有“写”权限),无法感染网络上的文件,也就无法通过网络传播。正因如此,网络维护人员在没有确定某台终端是否足够安全时切记不要以有较高权限的用户身份上网。由此可以确定一个已感染病毒网络环境进行“清洁”的工作顺序:
(1)所有工作终端退网关机,并且与其他相连网络断开;
(2)开1台工作终端,并用有效的杀毒软件将该终端病毒清除干净;
(3)在该终端上用超级用户上网,并用有效的杀毒软件清除所有网上的病毒;
(4)在该终端上设置好所有用户访问权限,对一般工作用户仅设置对网上公用可执行文件的“读”权限;
(5)此时其他终端才可以以一般用户身份上网工作,这些终端上的病毒已无法感染网络,维护人员即可逐一清除这些终端上的病毒。
3.在服务器上加载一些检测和消灭病毒的软件或硬件
以Novell的文件服务器为例,可通过加载Intel公司出品的“病毒疫苗”软件,检测所有进出服务器的数据,及时发现和控制病毒。
4.安装防火墙
在防止网络遭受非法入侵方面,最重要的是计算机网络管理要做好所有网络技术及配置资料,特别是各个口令和地址。一般不建议生产网络与公众网相连,如确需相连,就必需在出口设置有效的防火墙,限制访问地址,防止从未经允许的地址进入生产网络。
四、结束语
计算机网络管理的维护管理是一个涉及面非常广的课题。随着计算机技术的飞速发展和不断更新,这个课题会越来越复杂。以上提到一些具体技术和管理方法,肯定会越来越不适用,但新的技术手段也一定不会脱离这些原则。要想维护管理好计算机网络,一定要掌握好所有相关的技术和配置资料,并跟上最新的技术发展,同时还需记录维护日志。另外,还有非常重要的一点就是备份,不管你做得多么好,网络仍然有可能在你没有准备的时候突然崩溃。所以对网络上的重要数据(包括一些重要设备),做好备份工作是非常必要的,它可保证在网络突然崩溃时,能很快恢复网络并将损失降到最小限度。
