网路管理 英文名称：Network Management 定义：监测、控制和记录电信网路资源的性能和使用情况，以使网路有效运行，为用户提供一定质量水平的电信业务。套用学科：通信科技（一级学科）；支撑网路（二级学科）网路管理概念解析　网路管理，是指网路管理员通过网路管理程式对网路上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。　而交换机的管理功能是指交换机如何控制用户访问交换机，以及用户对交换机的可视程度如何。通常，交换机厂商都提供管理软体或满足第三方管理软体远程管理交换机。一般的交换机满足SNMPMIBI / MIB II统计管理功能。而複杂一些的交换机会增加通过内置RMON组（mini-RMON）来支持RMON主动监视功能。有的交换机还允许外接RMON探监视可选连线埠的网路状况。常见的网路管理方式有以下几种：

⑴SNMP管理技术

⑵RMON管理技术

⑶基于WEB的网路管理

SNMP是英文“Simple Network Management Protocol”的缩写，中文意思是“简单网路管理协定”。SNMP首先是由Internet工程任务组织（Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。

SNMP是目前最常用的环境管理协定。SNMP被设计成与协定无关，所以它可以在IP，IPX，AppleTalk，OSI以及其他用到的传输协定上被使用。SNMP是一系列协定组和规範（见下表），它们提供了一种从网路上的设备中收集网路管理信息的方法。SNMP也为设备向网路管理工作站报告问题和错误提供了一种方法。

几乎所有的网路设备生产厂家都实现了对SNMP的支持。领导潮流的SNMP是一个从网路上的设备收集管理信息的公用通信协定。设备的管理者收集这些信息并记录在管理信息库（MIB）中。这些信息报告设备的特性、数据吞吐量、通信超载和错误等。MIB有公共的格式，所以来自多个厂商的SNMP管理工具可以收集MIB信息，在管理控制台上呈现给系统管理员。

通过将SNMP嵌入数据通信设备，如交换机或集线器中，就可以从一个中心站管理这些设备，并以图形方式查看信息。可获取的很多管理应用程式通常可在大多数当前使用的作业系统下运行，如Windows3.11.Windows95、Windows NT和不同版本UNIX的等。

Windows

一个被管理的设备有一个管理代理，它负责向管理站请求信息和动作，代理还可以藉助于陷阱为管理站提供站动提供的信息，因此，一些关键的网路设备（如集线器、路由器、交换机等）提供这一管理代理，又称SNMP代理，以便通过SNMP管理站进行管理。

关于网路管理的定义很多，但都不够权威。一般来说，网路管理就是通过某种方式对网路进行管理，使网路能正常高效地运行。其目的很明确，就是使网路中的资源得到更加有效的利用。它应维护网路的正常运行，当网路出现故障时能及时报告和处理，并协调、保持网路系统的高效运行等。国际标準化组织（ISO）在ISO/IEC7498-4中定义并描述了开放系统互连（OSI）管理的术语和概念，提出了一个OSI管理的结构并描述了OSI管理应有的行为。它认为，开放系统互连管理是指这样一些功能，它们控制、协调、监视OSI环境下的一些资源，这些资源保证OSI环境下的通信。通常对一个网路管理系统需要定义以下内容：

○ 系统的功能。即一个网路管理系统应具有哪些功能。

○网路资源的表示。网路管理很大一部分是对网路中资源的管理。网路中的资源就是指网路中的硬体、软体以及所提供的服务等。而一个网路管理系统必须在系统中将它们表示出来，才能对其进行管理。

○ 网路管理信息的表示。网路管理系统对网路的管理主要靠系统中网路管理信息的传递来实现。网路管理信息应如何表示、怎样传递、传送的协定是什幺?这都是一个网路管理系统必须考虑的问题。

○ 系统的结构。即网路管理系统的结构是怎样的。

事实上，网路管理技术是伴随着计算机、网路和通信技术的发展而发展的，二者相辅相成。从网路管理範畴来分类，可分为对网“路”的管理。即针对交换机、路由器等主干网路进行管理；对接入设备的管理，即对内部PC、伺服器、交换机等进行管理；对行为的管理。即针对用户的使用进行管理；对资产的管理，即统计IT软硬体的信息等。根据网管软体的发展历史，可以将网管软体划分为三代：

第一代网管软体就是最常用的命令行方式，并结合一些简单的网路监测工具，它不仅要求使用者精通网路的原理及概念，还要求使用者了解不同厂商的不同网路设备的配置方法。

第二代网管软体有着良好的图形化界面。用户无须过多了解设备的配置方法，就能图形化地对多台设备同时进行配置和监控。大大提高了工作效率，但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题数增大，容易引发误操作。

第三代网管软体相对来说比较智慧型，是真正将网路和管理进行有机结合的软体系统，具有“自动配置”和“自动调整”功能。对网管人员来说，只要把用户情况、设备情况以及用户与网路资源之间的分配关係输入网管系统，系统就能自动地建立图形化的人员与网路的配置关係，并自动鉴别用户身份，分配用户所需的资源（如电子邮件、Web、文档服务等）。

根据国际标準化组织定义网路管理有五大功能：故障管理、配置管理、性能管理、安全管理、计费管理。对网路管理软体产品功能的不同，又可细分为五类，即网路故障管理软体，网路配置管理软体，网路性能管理软体，网路服务/安全管理软体，网路计费管理软体。

下面我们来简单介绍一下大家熟悉的网路故障管理、网路配置管理、网路性能管理、网路计费管理和网路安全管理五个方面网路管理功能：

ISO在ISO/IEC 7498-4文档中定义了网路管理的五大功能，并被广泛接受。这五大功能是：

⑴故障管理(Fault Management)

故障管理是网路管理中最基本的功能之一。用户都希望有一个可靠的计算机网路。当网路中某个组成失效时，网路管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障，因为网路故障的产生原因往往相当複杂，特别是当故障是由多个网路组成共同引起的。在此情况下，一般先将网路修复，然后再分析网路故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网路故障管理包括故障检测、隔离和纠正三方面，应包括以下典型功能：⑴故障监测：主动探测或被动接收网路上的各种事件信息，并识别出其中与网路和系统故障相关的内容，对其中的关键部分保持跟蹤，生成网路故障事件记录。

网路管理

(1)故障报警：接收故障监测模组传来的报警信息，根据报警策略驱动不同的报警程式，以报警视窗/振铃（通知一线网路管理人员）或电子邮件（通知决策管理人员）发出网路严重故障警报。

(2)故障信息管理：依靠对事件记录的分析，定义网路故障并生成故障卡片，记录排除故障的步骤和与故障相关的值班员日誌，构造排错行动记录，将事件-故障-日誌构成逻辑上相互关联的整体，以反映故障产生、变化、消除的整个过程的各个方面。

(3)排错支持工具：向管理人员提供一系列的实时检测工具，对被管设备的状况进行测试并记录下测试结果以供技术人员分析和排错；根据已有的排错经验和管理员对故障状态的描述给出对排错行动的提示。

(4)检索/分析故障信息：浏阅并且以关键字检索查询故障管理系统中所有的资料库记录，定期收集故障记录数据，在此基础上给出被管网路系统、被管线路设备的可靠性参数。

对网路故障的检测依据对网路组成部件状态的监测。不严重的简单故障通常被记录在错误日誌中，并不作特别处理；而严重一些的故障则需要通知网路管理器，即所谓的"警报"。一般网路管理器应根据有关信息对警报进行处理，排除故障。当故障比较複杂时，网路管理器应能执行一些诊断测试来辨别故障原因。

计费管理记录网路资源的使用，目的是控制和监测网路操作的费用和代价。它对一些公共商业网路尤为重要。它可以估算出用户使用网路资源可能需要的费用和代价，以及已经使用的资源。网路管理员还可规定用户可使用的最大费用，从而控制用户过多占用和使用网路 资源。这也从另一方面提高了网路的效率。另外，当用户为了一个通信目的需要使用多个网路中的资源时，计费管理应可计算总计费用。

⑴计费数据採集：计费数据採集是整个计费系统的基础，但计费数据採集往往受到採集设备硬体与软体的制约，而且也与进行计费的网路资源有关。

⑵数据管理与数据维护：计费管理人工互动性很强，虽然有很多数据维护系统自动完成，但仍然需要人为管理，包括交纳费用的输入、联网单位信息维护，以及账单样式决定等。

⑶计费政策制定；由于计费政策经常灵活变化，因此实现用户自由制定输入计费政策尤其重要。这样需要一个制定计费政策的友好人机界面和完善的实现计费政策的数据模型。

⑷政策比较与决策支持：计费管理应该提供多套计费政策的数据比较，为政策制订提供决策依据。

⑸数据分析与费用计算：利用採集的网路资源使用数据，联网用户的详细信息以及计费政策计算网路用户资源的使用情况，并计算出应交纳的费用。

⑹数据查询：提供给每个网路用户关于自身使用网路资源情况的详细信息，网路用户根据这些信息可以计算、核对自己的收费情况。

⑶配置管理（Configuration Management)

配置管理同样相当重要。它初始化网路、并配置网路，以使其提供网路服务。配置管理是一组对辨别、定义、控制和监视组成一个通信网路的对象所必要的相关功能，目的是为了 实现某个特定功能或使网路性能达到最优。

⑴配置信息的自动获取：在一个大型网路中，需要管理的设备是比较多的，如果每个设备的配置信息都完全依靠管理人员的手工输入，工作量是相当大的，而且还存在出错的可能性。对于不熟悉网路结构的人员来说，这项工作甚至无法完成‘因此，一个先进的网路管理系统应该具有配置信息自动获取功能。即使在管理人员不是很熟悉网路结构和配置状况的情况下，也能通过有关的技术手段来完成对网路的配置和管理。在网路设备的配置信息中，根据获取手段大致可以分为三类：一类是网路管理协定标準的MIB中定义的配置信息（包括SNMP；和CMIP协定）；二类是不在网路管理协定标準中有定义，但是对设备运行比较重要的配置信息；三类就是用于管理的一些辅助信息。

⑵自动配置、自动备份及相关技术：配置信息自动获取功能相当于从网路设备中“读”信息，相应的，在网路管理套用中还有大量“写”信息的需求。同样根据设定手段对网路配置信息进行分类：一类是可以通过网路管理协定标準中定义的方法（如SNMP中的set服务）进行设定的配置信息；二类是可以通过自动登录到设备进行配置的信息；三类就是需要修改的管理性配置信息。

⑶配置一致性检查：在一个大型网路中，由于网路设备众多，而且由于管理的原因，这些设备很可能不是由同一个管理人员进行配置的。实际上‘即使是同一个管理员对设备进行的配置，也会由于各种原因导致配置一致性问题。因此，对整个网路的配置情况进行一致性检查是必需的。在网路的配置中，对网路正常运行影响最大的主要是路由器连线埠配置和路由信息配置，因此，要进行一致性检查的也主要是这两类信息。

⑷用户操作记录功能：配置系统的安全性是整个网路管理系统安全的核心，因此，必须对用户进行的每一配置操作进行记录。在配置管理中，需要对用户操作进行记录，并保存下来。管理人员可以随时查看特定用户在特定时间内进行的特定配置操作。

⑷性能管理(Performance Management)

性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网路及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网路以维持网路的性能。性能管理收集分析有关被管网路当前状况的数据信息，并维持和分析性能日誌。一些典型的功能包括：

⑴性能监控：由用户定义被管对象及其属性。被管对象类型包括线路和路由器；被管对象属性包括流量、延迟、丢包率、CPU利用率、温度、记忆体余量。对于每个被管对象，定时採集性能数据，自动生成性能报告。

⑵阈值控制：可对每一个被管对象的每一条属性设定阈值，对于特定被管对象的特定属性，可以针对不同的时间段和性能指标进行阈值设定。可通过设定阈值检查开关控制阂值检查和告警，提供相应的阈值管理和溢出告警机制。

CPU晶片

⑶性能分桥：对历史数据进行分析，统计和整理，计算性能指标，对性能状况作出判断，为网路规划提供参考。

⑷可视化的性能报告：对数据进行扫描和处理，生成性能趋势曲线，以直观的图形反映性能分析的结果。

⑸实时性能监控：提供了一系列实时数据採集；分析和可视化工具，用以对流量、负载、丢包、温度、记忆体、延迟等网路设备和线路的性能指标进行实时检测，可任意设定数据採集间隔。

⑹网路对象性能查询：可通过列表或按关键字检索被管网路对象及其属性的性能记录。

⑸安全管理(Security Management)

安全性一直是网路的薄弱环节之一，而用户对网路安全的要求又相当高，因此网路安全管理非常重要。网路中主要有以下几大安全问题：

网路数据的私有性（保护网路数据不被侵 入者非法获取），

授权（Authentication）（防止侵入者在网路上传送错误信息),

访问控制（控制访问控制（控制对网路资源的访问）。

相应的，网路安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理，另外还要维护和检查安全日誌。包括：

网路管理过程中，存储和传输的管理和控制信息对网路的运行和管理至关重要，一旦泄密、被篡改和伪造，将给网路造成灾难性的破坏。网路管理本身的安全由以下机制来保证：⑴管理员身份认证，採用基于公开密钥的证书认证机制；为提高系统效率，对于信任域内（如区域网路）的用户，可以使用简单口令认证。

⑵管理信息存储和传输的加密与完整性，Web浏览器和网路管理伺服器之间採用安全套接字层（SSL）传输协定，对管理信息加密传输并保证其完整性；内部存储的机密信息，如登录口令等，也是经过加密的。

⑶网路管理用户分组管理与访问控制，网路管理系统的用户（即管理员）按任务的不同分成若干用户组，不同的用户组中有不同的许可权範围，对用户的操作由访问控制检查，保证用户不能越权使用网路管理系统。

⑷系统日誌分析，记录用户所有的操作，使系统的操作和对网路对象的修改有据可查，同时也有助于故障的跟蹤与恢复。

网路对象的安全管理有以下功能：

⑴网路资源的访问控制，通过管理路由器的访问控制鍊表，完成防火墙的管理功能，即从网路层(1P）和传输层(TCP）控制对网路资源的访问，保护网路内部的设备和套用服务，防止外来的攻击。

⑵告警事件分析，接收网路对象所发出的告警事件，分析员安全相关的信息（如路由器登录信息、SNMP认证失败信息），实时地向管理员告警，并提供历史安全事件的检索与分析机制，及时地发现正在进行的攻击或可疑的攻击迹象。

⑶主机系统的安全漏洞检测，实时的监测主机系统的重要服务（如WWW，DNS等）的状态，提供安全监测工具，以搜寻系统可能存在的安全漏洞或安全隐患，并给出弥补的措施。

⑹上网行为管理

小草网管软体综合智慧型动态频宽保障，伺服器流量分析与保障、虚拟多设备管理等多项突破性技术，涵盖流量分析、频宽管理、上网行为管理、DMZ区伺服器管理，专线集中管理、企业级防火墙与路由器、负载均衡等功能，在网路性能、质量、安全等方面为客户提供完整的解决方案。本产品已获得各行业客户的广泛认可，成为企业网关综合管理软体产品第一品牌。

1.企业网关统一管理系统

2. 支持在windows作业系统上安装与部署

3.安装与操作简单易用

4. 流量分析準确

5. 流控效果显着

6.市场上唯一支持对DMZ区与区域网路伺服器管理的产品

7. 市场上唯一支持对多条专线统一集中管理的产品

随着网路的不断发展，规模增大，複杂性增加，简单的网路管理技术已不能适应网路迅速发展的要求。以往的网路管理系统往往是厂商在自己的网路系统中开发的专用系统，很难对其他厂商的网路系统、通信设备软体等进行管理，这种状况很不适应网路异构互联的发展趋势。20世纪80年代初期Internet的出现和发展使人们进一步意识到了这一点。研究开发者们迅速展开了对网路管理的研究，并提出了多种网路管理方案，包括HEMS、SGMP、CMIS/CMIP等。下面进行简单介绍。

简单网路管理协定（SNMP）的前身是1987年发布的简单网关监控协定（SGMP）。SGMP给出了监控网关（OSI第三层路由器）的直接手段，SNMP则是在其基础上发展而来。最初，SNMP是作为一种可提供最小网路管理功能的临时方法开发的，它具有以下两个优点：

⑴与SNMP相关的管理信息结构（SMI）以及管理信息库（MIB）非常简单，从而能够迅速、简便地实现；

⑵SNMP是建立在SGMP基础上的，而对于SGMP，人们积累了大量的操作经验。

SNMP经历了两次版本升级，现在的最新版本是SNMPv3。在前两个版本中SNMP功能都得到了极大的增强，而在最新的版本中，SNMP在安全性方面有了很大的改善，SNMP缺乏安全性的弱点正逐渐得到克服。

公共管理信息服务/公共管理信息协定（CMIS/CMIP）是OSI提供的网路管理协定簇。CMIS定义了每个网路组成部分提供的网路管理服务，这些服务在本质上是很普通的，CMIP则是实现CMIS服务的协定。

OSI网路协定旨在为所有设备在ISO参考模型的每一层提供一个公共网路结构，而CMIS/CMIP正是这样一个用于所有网路设备的完整网路管理协定簇。

出于通用性的考虑，CMlS/CMIP的功能与结构跟SNMP很不相同，SNMP是按照简单和易于实现的原则设计的，而CMIS/CMIP则能够提供支持一个完整网路管理方案所需的功能。

CMIS/CMIP的整体结构是建立在使用ISO网路参考模型的基础上的，网路管理套用进程使用ISO参考模型中的套用层。也在这层上，公共管理信息服务单元（CMISE）提供了套用程式使用CMIP协定的接口。同时该层还包括了两个ISO套用协定：联繫控制服务元素（ACSE）和远程操作服务元素（RpSE），其中ACSE在套用程式之间建立和关闭联繫，而ROSE则处理套用之间的请求/回响互动。另外，值得注意的是OSI没有在套用层之下特别为网路管理定义协定。

公共管理信息服务与协定（CMOT）是在TCP/IP协定簇上实现CMIS服务，这是一种过渡性的解决方案，直到OSI网路管理协定被广泛採用。CMIS使用的套用协定并没有根据CMOT而修改，CMOT仍然依赖于CMISE、ACSE和ROSE协定，这和CMIS/CMIP是一样的。但是，CMOT并没有直接使用参考模型中表示层实现，而是要求在表示层中使用另外一个协定--轻量表示协定（LPP），该协提供了目前最普通的两种传输层协定--TCP和UDP的接口。

TCP/IP协定

CMOT的一个致命弱点在于它是一个过渡性的方案，而没有人会把注意力集中在一个短期方案上。相反，许多重要厂商都加入了SNMP潮流并在其中投入了大量资源。事实上，虽然存在CMOT的定义，但该协定已经很长时间没有得到任何发展了。

区域网路个人管理协定（LMMP）试图为LAN环境提供一个网路管理方案。LMMP以前被称为IEEE802逻辑链路控制上的公共管理信息服务与协定（CMOL）。由于该协定直接位于IEEE802逻辑链路层（LLC）上，它可以不依赖于任何特定的网路层协定进行网路传输。由于不要求任何网路层协定，LMMP比CMIS/CMIP或CMOT都易于实现，然而没有网路层提供路由信息，LMMP信息不能跨越路由器，从而限制了它只能在区域网路中发展。但是，跨越区域网路传输局限的LMMP信息转换代理可能会克服这一问题。

网路管理

简单网路管理协定（SNMP）是最早提出的网路管理协定之一。SNMP已成为网路管理领域中事实上的工业标準，并被广泛支持和套用，大多数网路管理系统和平台都是基于SNMP的。

一、 SNMP概述

SNMP的前身是简单网关监控协定（SGMP），用来对通信线路进行管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB：体系结构，改进后的协定就是着名的SNMP。SNMP的目标是管理网际网路Internet上众多厂家生产的软硬体平台，因此SNMP受Internet标準网路管理框架的影响也很大。SNMP已经出到第三个版本的协定，其功能较以前已经大大地加强和改进了。

SNMP的体系结构是围绕着以下四个概念和目标进行设计的：保持管理代理（agent）的软体成本儘可能低；最大限度地保持远程管理的功能，以便充分利用Internet的网路资源；体系结构必须有扩充的余地；保持SNMP的独立性，不依赖于具体的计算机、网关和网路传输协定。在最近的改进中，又加入了保证SNMP体系本身安全性的目标。

另外，SNMP中提供了四类管理操作：get操作用来提取特定的网路管理信息；get-next操作通过遍历活动来提供强大的管理信息提取能力；set操作用来对管理信息进行控制（修改、设定）；trap操作用来报告重要的事件。

二、 SNMP管理控制框架与实现

1．SNMP管理控制框架

SNMP定义了管理进程（Manager）和管理代理（Agent）之间的关係，这个关係称为共同体(Community）。描述共同体的语义是非常複杂的，但其句法却很简单。位于网路管理工作站（运行管理进程）上和各网路元素上利用SNMP相互通信对网路进行管理的软体统统称为SNMP套用实体。若干个套用实体和SNMP组合起来形成一个共同体，不同的共同体之间用名字来区分，共同体的名字则必须符合Internet的层次结构命名规则，由无保留意义的字元串组成。此外，一个SNMP套用实体可以加入多个共同体。

SNMP模型

SNMP的套用实体对Internet管理信息库中的管理对象进行操作。一个SNMP套用实体可操作的管理对象子集称为SNMP MIB授权範围。SNMP套用实体对授权範围内管理对象的访问仍然还有进一步的访问控制限制，比如唯读、可读写等。SNMP体系结构中要求对每个共同体都规定其授权範围及其对每个对象的访问方式。记录这些定义的档案称为“共同体定义档案”。

SNMP的报文总是源自每个套用实体，报文中包括该套用实体所在的共同体的名字。这种报文在SNMP中称为“有身份标誌的报文”，共同体名字是在管理进程和管理代理之间交换管理信息报文时使用的。管理信息报文中包括以下两部分内容：

⑴共同体名，加上传送方的一些标识信息（附加信息），用以验证传送方确实是共同体中的成员，共同体实际上就是用来实现管理套用实体之间身份鉴别的；

⑵数据，这是两个管理套用实体之间真正需要交换的信息。

在第三版本前的SNMP中只是实现了简单的身份鉴别，接收方仅凭共同体名来判定收发双方是否在同一个共同体中，而前面提到的附加倍息尚未套用。接收方在验明传送报文的管理代理或管理进程的身份后要对其访问许可权进行检查。访问许可权检查涉及到以下因素：

⑴一个共同体内各成员可以对哪些对象进行读写等管理操作，这些可读写对象称为该共同体的“授权对象”（在授权範围内）；

⑵共同体成员对授权範围内每个对象定义了访问模式：唯读或可读写；

⑶规定授权範围内每个管理对象（类）可进行的操作（包括get，get-next，set和trap）；

⑷管理信息库（MIB）对每个对象的访问方式限制（如MIB中可以规定哪些对象只能读而不能写等）。

管理代理通过上述预先定义的访问模式和许可权来决定共同体中其他成员要求的管理对象访问（操作）是否允许。共同体概念同样适用于转换代理（Proxy Agent），只不过转换代理中包含的对象主要是其他设备的内容。

2．SNMP实现方式为了提供遍历管理信息库的手段，SNMP在其MIB中採用了树状命名方法对每个管理对象实例命名。每个对象实例的名字都由对象类名字加上一个后缀构成。对象类的名字是不会相互重複的，因而不同对象类的对象实例之间也少有重名的危险。

在共同体的定义中一般要规定该共同体授权的管理对象範围，相应地也就规定了哪些对象实例是该共同体的“管辖範围”，据此，共同体的定义可以想像为一个多叉树，以词典序提供了遍历所有管理对象实例的手段。有了这个手段，SNMP就可以使用Get-next操作符，顺序地从一个对象找到下一个对象。Get-next(Object-instance)操作返回的结果是一个对象实例标识符及其相关信息，该对象实例在上面的多叉树中紧排在指定标识符；Bject-instance对象的后面。这种手段的优点在于，即使不知道管理对象实例的具体名字，管理系统也能逐个地找到它，并提取到它的有关信息。遍历所有管理对象的过程可以从第一个对象实例开始（这个实例一定要给出），然后逐次使用Get-next，直到返回一个差错（表示不存在的管理对象实例）结束（完成遍历）。

由于信息是以表格形式（一种数据结构）存放的，在SNMP的管理概念中，把所有表格都视为子树，其中一张表格（及其名字）是相应子树的根节点，每个列是根下面的子节点，一列中的每个行则是该列节点下面的子节点，并且是子树的叶节点，如下图所示。因此，按照前面的子树遍历思路，对表格的遍历是先访问第一列的所有元素，再访问第二列的所有元素……，直到最后一个元素。若试图得到最后一个元素的“下一个”元素，则返回差错标记。

网路迅速发展，导致网路结构更为複杂；网路套用的日新月异，让网路管理员每天都要面对新的问题。很多企事业单位，在遇到网路问题不知道应该如何去解决，看流量，拔网线等手段，排查周期长，也很难真正找出问题。

网路发展到一定阶段，必然要考虑到网路性能、网路故障与网路安全性问题。只有通过运用网路分析技术对网路流通数据的清晰认识，才能为故障的排查，性能的提升，以及网路安全的解决提供可靠的数据依据。

网路最大的价值，是在于信息化的套用。当出现故障不能及时解决，即使有再好的电子商务、电子政务，也只是一个摆设。无论是安全、性能还是故障性问题，不能快速解决，给企业带来的是难以衡量的损失。

治理并不是简单的网路管理，它需要管理者对网路中所有设备完全掌握，包括每个网卡地址，以及所处的位置。通过对网路传输中的数据进行全面监控分析，才能从网路底层数据获取各种网路套用行为造成的网路问题，并快速的定位到网卡的位置。从而在安全策略上更好的防範，对故障和性能更合理的管理。

从管理角度的考虑，往往期望络故障和安全性问题可以自动解决。但历经多年，没有任何产品能做到。虽然许多企业部署了非常好的安全防护产品，但仍然会受到网路攻击和病毒危害。根本原因在于，网路套用本身就在不断的发展，新的病毒以及病毒变种，都很难被基于特徵库或病毒库的产品所识别。要解决这些问题，则要求网路管理员随时都能查看到网路中真实的数据，最快的发现引起问题的原因。

网路拓扑图VS矩阵图

网路拓扑图要求这些交换设备都必须支持SNMP（简单网路管理协定），它能直观能看到网路结构，但看不到终端主机；它能看到设备断网情况和粗略流量，但对网路问题的解决能力并不实用。从技术趋势来看，矩阵图（Matrix）将更适合网路管理的需要。矩阵图也被称为主机连线图，可以监控每台主机（包括交换设备）之间的通讯连线，极大的提高了监控範围，监控範围深入到每台主机之间的各种套用，包括通讯、资源占用、活跃程度、服务套用等，管理者可以监控到每台主机的一举一动，各种网路问题都会在矩阵中表现出异常。如：BT下载、DDOS攻击、ARP攻击、木马扫描等。

网路拓扑图

网路分析不仅提供网路依据，更重要的是帮助管理者提高问题的解决能力。"诊断专家"则是一个从问题原因到问题结果的完整解释。好的网路分析产品，可以自动提取问题的相关数据，并告诉管理者网路中存在有哪些问题，可能产生的原因，有什幺办法可以解决，ARP攻击的快速定位则是一个很好的证明。

好的网路分析产品，都具有网路数据的回放能力，将网路数据进行7x24小时记录，可以按每天或每小时来记录。如果要分析昨天某个时段出现的网路故障，只需要将当时保存的数据包进行播放，同时通过网路分析来追溯故障是如何发生的，使网路管理对历史问题追查能力得到明显提高。

网路流量监控的主要目的是对网路进行管理，其过程一般是：一、实时、不间断地採集网路数据。二、统计、分析所得数据。三、确认网路的主要性能指标。四、对网路进行分析管理。网路流量监控的方法主要有两种，一种是使用网路监控设备，另一种是使用网路流量监控软体。当前的区域网路网路设备对于P2P这种模式没有很好的管理效果，导致P2P软体大行其道，占用了极多的频宽资源。当前，以下几种网路流量最为常见：

（1）P2P流量：P2P档案共享在网路频宽消耗方面是大户，夜间，有95%的网路频宽被P2P占用。

（2）FTP流量：FTP这项服务的套用比较早，且重要程度只比HTTP和SMTP稍低。P2P的出现，FTP的重要性再次降低，但其重要性仍然不可忽视。

...

2.1 通过路由控制流量

2.2 禁止P2P下载

2.3 进行时间段管理

2.4 限定区域网路主机速度

3.1 找出流量过大的电脑

3.2 对异常主机发出警告

传统的区域网路管理主要针对一定範围的区域网路，在这样的区域网路中包括的主要管理对象有：伺服器、客户机、客户端PC机各种网路线路与集线器以及各种网路作业系统。由于在这样规模的区域网路中，网路管理的对象有限，网路管理一般包括三个方面：了解网路，网路运行以及网路维护。1．了解网路

要管好一个区域网路，就必须对该区域网路有清楚的了解。对该网路的清晰了解以及对各种网路信息的资料化管理记录，是保证网路正常运转以及进行各种网路维护的前提与基础。⑴识别网路对象的硬体情况：区域网路是由各种节点组成，这样的节点主要是伺服器和客户机，因此首先需要识别这些节点的硬体组成。硬体识别包括了解伺服器和客户机的品牌、它们的晶片速率、网卡品牌与配置情况，以及集线器的型号与品牌，这样就可以了解区域网路中硬体设备的提供商并对硬体设备所能达到的性能有大体的了解。另外，对伺服器的硬体还必须有进一步的了解，包括伺服器的外设配置情况、硬碟驱动器的容量以及记忆体大小等。

区域网路

⑵判别区域网路的拓扑结构：了解了网路中的关键部件之后需要进一步了解它们是如何连线运行的，即网路结构下的实际布线系统。常见的三种布线的拓扑结构是星形、汇流排和环型拓扑结构，另外也有无线和点对点的拓扑结构，但不常用。在了解区域网路的布线结构后，针对每种结构各自的优缺点，应注意其将导致的性能与故障差异。然后需要了解的是实现网路传输的方式。常用的网路传输方式是Ethernet，它是一种支持广泛的传输协定以及多种布线形式的成熟标準。Ethernet是非确定型的，网路传送任务越重，越有可能发生冲突，而冲突将导致影响回响时间。所以网路上有大量活动节点时性能就会大大降低，如果Ethernet集线器上总是出现冲突信号的话，在熟悉网路布局后可能就得重新考虑分布网路上的用户。Ethernet的缆线包括：粗缆Ethernet，或叫10Base5 Ethernet，使用大号的同轴电缆；细缆Ethernet，也叫10Base2Ethernet，使用小口径的RG-58同轴电缆；10BaseTEthernet，在星形结构中使用非禁止双绞线。对于採用Ethernet方式的区域网路，网路管理员不仅要清楚Ethernet的原理，还必须了解组网所用的Ethernet缆线和插头以及它们的特点，这样在网路出现故障时可以帮助故障点的寻找与排除。除了Ethernet之外，其他的网路传输方式还有标记环（Token Ring）、光纤分布数据接口（FDDl）以及ARCNet等。了解区域网路使用的传输方式是区域网路管理的基本条件之一。

⑶确定网路的互联：首先需要确定网路连线的设备和接入网路的方式。这些设备与接入方式包括：使用数据机(Modem），使用网路插座，使用CSU/DSU连线，使用网桥工作，使用路由器，使用网关。这些接入设备对于保证网路节点的连通以及该区域网路与主干网连通有着重要作用，同时也是网路故障多发的故障点和影响网路性能的可能瓶颈所在。另一方面，还需要在网路伺服器或其他网路设备上确定该区域网路的所有子网和各客户机都能连通，并记录下网路中各子网以及客户机的IP位址分配。

⑷确定用户负载和定位：网路负载最重要的方面是用户的分布，因为每一网路和伺服器上的用户数量是影响网路性能的关键因素，因此确定网路上有多少用户以及他们各自的定位尤其重要。首先，查看档案伺服器上的负载，了解档案伺服器正常运行的时间，查看伺服器CPU的使用率，以及伺服器上网路连线的数目，这些数据提供了网路负载的直接数据；然后，利用这些数据分析众多伺服器中哪个使用率最高，哪些网路的负担最重，最后对网路用户以及负载分布情况有个大致的了解。

2．网路运行

要使一个区域网路顺利运转必须完成很多工作，这些工作包括：配置网路，即选择网路作业系统，选择网路连线协定，并根据选择的网路协定配置客户机的网路软体；然后配置网路服务器及网路的外围设备，做好网路意外预防处理；最后还有网路安全管理、网路用户许可权分配以及病毒的预防与处理。

⑴配置网路；配置网路就要选择网路作业系统。传统的网路作业系统包括UNIX，Windows NT，NetWare，VINES，Windows for Workgroups，LANtastic，PersonaI Net-Ware等，这些网路作业系统有各自的特点，相对而言，在局域两中WindowsNT和Net-Ware比较普遍。NT最大的优势在于价格和支撑其发展的巨头Microsoft。NT支持IPX和TCP/IP，因此在大多数网路环境中受到欢迎，另外，其安全性和网路管理功能也不错在硬体完全兼容时安装也比较方便。在现有网路中，大约70%的网路作业系统採用了Novell公司的NetWare系列。NetWare是一种快速而可靠的作业系统，十分类似于DOS，它对多种网路协定和多种客户机作业系统有着完善的支持，其兼容性和模组化设计也使它领先于其它系统。

选择网路协定也是配置网路的重要组成部分。现在流行的区域网路网路协定包括IPX/SPX、TCP/IP、NETBIOS、NetBEUI和AppleTalk等。比较普遍的协定是IPX/SPX和TCP/IP，其中IPX/SPX是NetWare所採用的数据传输方式，在区域网路中使用非常普遍；TCP/IP是面向Internet所使用的网路协定，具有广泛的影响力。

在确定了网路作业系统和网路协定之后，需要配置该网路中每台客户机的网路软体。在DOS平台上，一般是安装相应网路协定的网路驱动软体，然后修改一些配置档案中的参数；在GUI的作业系统（例如Windows系列、Macintosh和OS2)中，则选择相应的对话框视窗配置网路参数；在UNIX系统中，主要靠修改系统配置档案来配置网路。

⑵配置网路服务器：在区域网路中，伺服器往往具有重要作用，一个配置良好的伺服器可以顺利保障网路的运行。首先是在伺服器上用磁碟和卷根据内容的性质与空间大小分配来划分工作，这样可以把不同的程式和数据按照一种顺序存放在磁碟中，而卷的使用不仅可以按一定的层次存放数据，而且可以控制用户的访问权，然后在伺服器上启动网路服务进程，监测网路用户的访问。还有一些外围设备，比如共享印表机、共享外接磁碟或驱动器等，这些设备在伺服器上都应正确配置。

最后还应该注意的是预防网路意外发生，首先是保证电源（特别是网路服务器的电源），一般的方式是配置UPS应急电源；然后是保证伺服器的环境状况（比如维持机房的温度与湿度在一定的範围）；最后是做好重要数据和系统的备份工作。备份的硬体设备包括硬碟阵列和磁带、光碟驱动器等，备份的方法很多，常用的是磁碟镜像、磁碟双工或磁碟阵列等。在进行备份时一定要做好详细记录，对备份内容进行分类并做标记。

⑶网路安全控制：网路安全控制的首要任务是管理用户注册和访问许可权。在区域网路上，网路作业系统一般都提供用户管理和许可权分配的工具。对于区域网路内，部用户，利用这些工具可以检查和设定用户信息、进行账号限制，例如改变账号密码、设定组、确定组中的账号、修改组或账号的许可权、设定账号有效时间等等。定时对网路当前访问情况进行检查并做好记录，及时发现异常情况。另外，管理区域网路外部许可权和连线也很重要，一般区域网路外部用户可能会访问该区域网路，如查看已有档案、传递他们的档案或使用其他网路资源，因此对这种用户也需要建立账号，但应根据其使用网路的目的详细控制其访问许可权，然后定期检查哪些用户没有注册，对一些不再需要的账号及时注销。

病毒对区域网路的危害非常严重，一种网路病毒可以通过网路迅速地传染到区域网路的每一台客户机，因此及时发现并杀死病毒至关重要。有多种不同的方法可以识别病毒：在档案级上，用CRC技术可以将预期的档案大小或其他特徵与档案被打开之前所看到的实际特徵进行比较；最常用的方法是对档案进行扫描，发现已知病毒的标誌、代码，从而辨认出每一种病毒的变形。一旦发现病毒，当然就要清除它。利用一些防毒软体可以杀死病毒恢复原来的档案。另一种方法是删除有病毒的档案，然后用备份的无病毒档案替代。另外还必须对受病毒感染的伺服器上的各卷进行扫描，如果在网路服务器之间或客户机之间存在通信联络，还必须去扫描其他系统。确定适当的持续的病毒防护是避免病毒侵害的最有效方法，这样的防护包括：建立和增强反病毒规则和程式；在客户机上安装和更新反病毒软体；安装基于网路的反病毒软体。

3．网路维护

网路维护是保障网路正常运行的重要方面，主要包括故障检测与排除、网路日常检查及网路升级。

⑴常见网路的故障和修复：在区域网路中，最重要的故障检测工作是档案伺服器的维护。只要伺服器正常工作，集中存储的数据就是安全的，用户可以在需要时访问这些数据。当然，网路连线设备应保证用户能持续工作，而客户机本身也应能正常工作。

故障处理过程有四个主要部分：发现故障迹象，追蹤故障的根源，排除故障，记录故障的解决方法。网路故障处理经常需要进行大量的调查研究，但相对而言只有很少的问题是真正比较複杂的。常见的情况是，故障的解决方法是很简单的，只不过被其他问题或不完全的信息掩盖了。在处理故障期间，可以参考图1中的流程图，以确保能对网路故障进行逻辑的和有条理的分析。

当网路管理人员收到故障报告时，首先应该检查别的用户是否也遇到同一问题，如果有多个用户报告了同类问题，那幺很可能是出现了伺服器或缆线故障，而不是用户客户机所引起的故障。

排除档案伺服器上的错误非常关键，因为它通常会影响到很多用户，因此首先要对伺服器进行认真检查：伺服器是否在运行?监视器是否显示信息?伺服器是否回响键盘输入? 伺服器控制台是否显示异常终止或其他信息?伺服器NIC（网路适配器）是否传送和接收数据? 伺服器的卷是否己安装?

档案伺服器通常是十分稳定的，但它们也特别容易出现三种类型的故障：第一类故障并不是网路作业系统本身的错误，而是由于配置的更改造成的，因此无论何时改变网路作业系统的配置都必须备份以前的配置并记录更改日期；第二类故障是部件失效，虽然NIC和磁碟失效是最为常见的，但从键盘连线埠到SIMM的任何部件都可能会发生故障，甚至在高品质伺服器上也无法避免；第三类故障是伺服器的软体模组引发的系统冲突故障，比如磁碟驱动程式或LAN驱动程式引发的记忆体故障等。

当伺服器故障检查各方面都没有问题时，引起大量用户访问故障的问题很可能出现在网路缆线系统上。如果故障网路採用的是汇流排拓扑结构，那幺故障检测工作可能会比较繁重；对于星形结构，则应检查集线器或MAU是否通电并能正常运行。如果连线设备本身运行良好，可检查它们与伺服器的物理连线。一般而言，对于物理网路，电缆和按外挂程式老化、电磁干扰、电缆长度限制是最常见的物理网路故障源；连线设备，如接插板、集线器和路由器也是故障多发点。

⑵网路检查：网路检查是在网路正常运转情况下对伺服器状态和网路运行情况的动态信息收集和分析的过程。有些数据最好每天检查一次，而有些数据则较长时间检查一次即可。下面列出一些需要定期检查的网路关键信息：

⑶网路升级：网路升级是一个持续的过程，它需要考虑一些财务和预算因素。一般在网路管理中需要考虑的是必须进行的升级，这些升级能够保证网路正常运转。虽然网路作业系统的升级通常是最迫切的，但硬体和软体也可能需要升级。

伺服器升级是最重要的。必须的伺服器升级有三种：最简单的是用户许可证升级，如果网路服务器的能力已达到最大限度，并需要容纳更多的用户，就需要进行许可证升级；另二种伺服器升级是网路作业系统的升级，如果使用的是过时的或有故障的网路作业系统，就应该升级为最新的版本；第三种伺服器升级所指的範围相对来说要广泛一些，主要指硬体升级，硬体升级可能包括增加磁碟空间、改进容错措施或系统升级。另外，客户软体的升级有时也是很必要的，因为旧客户软体对于网路作业系统可能是一种沉重的负担。

在确定了最重要的升级之后，应决定需要购买的产品，并对升级费用进行评估，然后制定实施升级的工作步骤，最后应从成本和效益两方面总结新配置的优点。

提升国区域网路络管理的整体水平

相比海外而言，国内的网路管理起步较晚，用户的管理水平也不及海外。科来积极的将此项技术套用于网路 故障解决、网路性能提升与网路安全防护，旨在提升国内的网路管理水平，缩短与国外的差距，帮助用户实 现对其网路的全可视化，透过网路现象看到本质，真正的驾驭自己的网路。

帮助网路管理者精细化网路管理

网路分析技术是网路管理的关键，是网路进入深层次管理的必备技术，网路分析技术的普及也是必然趋势， 科来积极帮助用户建立在此项技术上的深入认知！在官网推出免费版本的软体供广大技术爱好者交流使用， 同时有针对性的提供大量的技术学习文档和视频资料，并组织力量在相关论坛解答用户的疑问及分享资源， 旨在推动该项技术在国内的普及程度，让用户切实的接触到先进的网路管理技术。

网路管理员

网路管理员主要针对目前国内机关，企事业单位的网路套用现状，如单位总出口频宽有限、网路滥用、员工无节制上网、聊天等等，提供了简单、有效的管理功能。

网盾netsos是一款模组化架构的区域网路管理软体，共包含12项强大的功能。根据实际需求，按需取用保证IT投资回报率。

网路管理和维护是一项非常複杂的任务，虽然关于网路管理既制订了国际标準，又存在众多网路管理的平台与系统，但要真正做好网路管理的工作不是一件简单的事情。下面我们将介绍网路技术发展下一些新形式的网路管理，以及在长期网路管理实践基础上总结出来的一些网路管理经验。

VLAN(虚拟区域网路）就是一个计算机网路，其中的计算机好像是被同一网线连线在一起，而实际上它们可能分处于区域网路的不同区域。VLAN更多的是通过软体而非硬体来实现，因此这使得它具有很高的灵活性。VlAN的一个主要特性就是提供了更多的管理控制，减少了相对日常管理开销，提供了更大的配置灵活性。

VLAN的这些特性包括：①当用户从一个地点移动到另一个地点时，简化了配置操作和过程修改；②当网路阻塞时，可以重新调节流量分布；②提供流量与广播行为的详细报告，同时统计VLAN逻辑区域的规模与组成；④提供根据实际情况在VLAN中增加和减少用户的灵活性。上面的这些操作必须透明地执行，同时需要不用具备太多实际网路複杂连线情况的了解，或者不用知道如何重新配置协定。虽然用户可以直接地通过设定或重置VLAN的连线埠来配置VLAN，但缺乏智慧型网路管理工具的帮助；而保证VLAN在若干部门之间正常通信是很困难的。

VLAN管理

VLAN的配置如果根据交换机连线埠定义VLAN，通常很容易用某种拖放软体把一个或多个用户分配到特定的VLAN。在非交换环境里，移动、添加或更改操作很麻烦，有可能要改动接线板上的跳线充一个集线器连线埠移动到另一个连线埠。然而，改动VLAN分配仍然要靠人工进行：在大型网路里，这样做很费时，因而很多联网供应商鼓吹採用VLAN可以简化移动、添加和更改操作。

基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。如果用户根据MAC地址被分配到一个VLAN或多个VLAN，他们的计算机可以连线交换网路的任何一个连线埠，所有通信量均能正确无误地到达目的地。显然，管理员要进行VLAN初始分配，但用户移动到不同的物理连线不需要在管理控制台进行人工干预；例如有很多移动用户的站，他们并非总是连线同一连线埠――或许因为办公室都是临时性的，採用基于MAC地址的VLAN可避免很多麻烦。

传统的Layer3技术怎幺样呢？这里离开VLAN最近的是IP子网：每个子网需要一个路由器连线埠，因为通信量只能通过一个路由器从一个子网移动到另一个子网。由于IP32位地址提供的地址空间很有限，所以很难分配子网地址，还有看你是否熟悉二进制算法。因此，在IP网路里执行移动、添加和更改操作很困难，速度慢，容易出错，而且费用大。另外，在公司更换I 或者採用新安全策略时，可能有必要重新编号网路，这对于大型网路来说是无法想像的。

实际上，如果有人採用现有的有子网的路由IP网路，并根据IP位址访问任意VLAN成员，路由器就可能会被不必要的通信量淹没。

如果很多子网里都有VALN成员，常用的VLAN广播必须通过路由器才能达到所有成员。此外，糟糕的是广域链路会生成额外广播通信量；有WAN连线服务的VLAN成员数通常应该保持在最低水平。实际上， 基于Layer3地址的VLAN成员值有可能在增强和修改现有子网分布方面很有用，例如可通过一个全子网给VLAN添加两个新节点，或者可用两个子网组成一个VLAN而无须重新编号。

Cabletron的SecureFast Virtual Networking Layer3交换技术採用路由伺服器模型而不是传统的路由选择模型。第一个信息包传送到路由伺服器进行常规路由计算，但交换机能记忆路径，因而后续信息包可在Layer2交换，而无须查对路由表。由于有了基于纯Layer3地址的VLAN，所以IP位址可以作为通用网路ID，允许任何人连线任何数据链路，从而获得全网路访问，大大简化移动、添加和更改任务。

但是，还有其他方法解决IP子网引起的管理问题。DHCP（动态主机配置协定）已经在连线时给用户分配地址的其他技术，都可用于解决上述问题。

在网路管理的解决方案中，我们知道一个大型网路，一般是WAN，是通过分层进行管理的。比如在一个全国性的网路中心之下有许多地区性的网路中心，一般全国性的网路中心主要保证这个WAN的主干网正常运转，而地区性网路中心则主要负责各个网路用户的接入管理。对于每个想入网的用户而言，首先要考虑在网路连线上怎幺接人这个网路。一般用户需要找到主管自己这片地区的地区性网路中心，然后提出申请，最后该地区性网路中心再进行用户的接入操作。这些操作一般包括：⑴联网用户必须租用一条网路线路，连线用户与地区性网路中心。该线路可以是已经存在的，属于某个商业网路公司或电信公司，也可以是单独为该用户铺设的一条线路。线路既可能是使用光纤的DDN专线，也可能是使用电话线的DDR线路。联网用户租用了网路线路就要向线路的经营者交纳租金，而线路的经营者可能不是提供接入服务的地 区性网路中心。

WAN接入管理

⑵联网用户需要向地区网路中心申请一段属于自己的IP位址，然后在全国网路中心注册域名。

⑶对于接入的联网用户，一般都要向地区性网路中心一次性交纳一笔接入费用，然后地区网路中心再对该用户进行网路接入的相关配置。

⑷在联网用户端也需要进行相应的配置，然后开通该用户的网路连线，最后联网用户需要根据其使用网路资源的流量交纳网路费用。

在上面的操作中可以看到，地区网路中心对新联网用户的接人需要进行相应的配置， 这些配置操作一般包括：

⑴在接入路由器上，选择一个空闲连线埠，在该连线埠上进行相应的配置，然后再根据接人的拓扑关係，配置该连线埠的路由信息。

⑵在接入路由器上，根据用户的IP位址範围建立一个Access-1ist组，一旦用户要求或其他情况（如用户没有按规定交纳费用等）发生时，可以立即断掉该用户的网路连线。

⑶把该路由器连线埠和连线联网用户的线路加入网路管理监视对象集，以保障提供给用户可靠、稳定的网路接人服务。