|
外网用户数较多,现在使用不可网管的交换存在众多问题。下面首先比较一下可网管交换机与不可网管交换机的不同。如果按交换机是否支持网络管理功能,我们可以将交换机又可大分为“网管型”和“非网管理型”两大类。这两种交换机的区别在哪里呢?不可网管的交换机是不能被管理的,这里的管理是指通过管理端口执行监控交换机端口、划分
VLAN、设置
Trunk端口等管理功能。而可网管交换机则可以被管理,它具有端口监控、划分
VLAN等许多普通交换机不具备的特性。
网管型交换机的任务就是使所有的网络资源处于良好的状态。网管型交换机产品提供了基于终端控制口(
Console)、基于
Web页面以及支持
Telnet远程登录网络等多种网络管理方式。因此网络管理人员可以对该交换机的工作状态、网络运行状况进行本地或远程的实时监控,纵观全局地管理所有交换端口的工作状态和工作模式。网管型交换机支持
SNMP协议,
SNMP协议由一整套简单的网络通信规范组成,可以完成所有基本的网络管理任务,对网络资源的需求量少,具备一些安全机制。
网管型交换机提供基于策略的
QoS(
Quality of service)。策略是指控制交换机行为的规则,网络管理员利用策略为应用流分配带宽、优先级以及控制网络访问,其重点是满足服务水平协议所需的带宽管理策略及向交换机发布策略的方式。在交换机的每个端口处用来表示端口状态、半双工/全双工和
10BaseT/
100BaseT的多功能发光二极管(
LED)以及表示系统、冗余电源(
RPS)和带宽利用率的交换级状态
LED形成了全面、方便的可视管理系统。目前大多数部门级以下的交换机多数都是非网管型的,只有企业级及少数部门级的交换机支持网管功能。
2.1
网络中存在的问题
网络为人们提供了极大的便利。但由于构成
Internet的
TCP/IP协议本身缺乏安全性,网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式,例如:
窃听报文 —— 攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名
/口令或者是敏感的数据信息。
IP
地址欺骗 —— 攻击者通过改变自己的
IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送
ICMP的特定报文)来更改路由信息,以窃取信息。
源路由攻击 —— 报文发送方通过在
IP报文的
Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
地址端口扫描 — 通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道主机的系统软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对主机进行攻击,使得主机整个
DOWN掉或无法正常运行。
拒绝服务攻击 (
Deny of service)—— 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。由于拒绝式服务攻击,现在的方式越来越简单,已经成为网络上公害之一。
应用层攻击 —— 有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。
蠕虫病毒的传播 —— 随着电子邮件、
Internet的普及,蠕虫病毒的传播已经逐步成为了
Internet上的最大的公害之一。因为网络的普及,蠕虫病毒的传播速度非常之快,通过网络可以迅速的传播的世界的各个角落。蠕虫病毒传播的时候会消耗大量的网络带宽,造成整个网络的繁忙以及各种网络设备的不堪负重。
另外,网络本身的可靠性与线路安全也是值得关注的问题。
随着网络应用的日益普及,尤其是在一些敏感场合(如电子商务)的应用,网络安全成为日益迫切的需求。同时网络安全也是一个复杂的课题,网络安全包含了网络通信的各个层面,涉及到主机系统安全、线路安全、协议安全、通信安全等各个领域。同时,安全就意味着“不开放”,而互联网的设计初衷就是造就一个开放的通信环境,因此网络安全技术还需要在安全防范和网络开放之间找到一个平衡点。针对每种层次,需要采用不同的安全技术和方式加强系统的保护。例如:针对主机系统安全可以采用安装个人版
PC防火墙、防病毒软件等主机专业软件来提高主机系统的安全性,同时需要针对操作系统的漏洞经常对操作系统打补丁及时解决操作系统的漏洞;针对线路安全可以考虑对重要的网络设备提供一个安全可靠的运行环境,防止网络设备被盗用,同时采用可靠、安全的通信线路等;针对协议安全可以多关注各种协议可能出现的漏洞,启用各种协议的安全防范措施,采用认证等方式保证协议运行的可靠,尽量避免使用安全性较差的通信协议等。
从上面的讨论可以看出,网络安全包括各种技术、管理方式、安全法规、人的安全意识等各个方面。这里集中讨论了防火墙设备的安全特性,防火墙主要是用在网络中集中解决安全问题的一个设备。防火墙对解决安全问题具有一些很强的优势,是网络安全整体解决方案中非常重要的一个部件。
河北省水文水资源勘测局网络管理面临问题:
l
网络拓扑不够清晰,有的网络经过多次改造后,网管员对一些设备的使用和连接等情况也不是十分清楚,以至出现故障后不能及时准确地分析定位。
l
交换机、路由器、计算机等设备的数量和配置是动态变化的,不便于进行管理和统计。
l
网络管理员无法随时关注网络中主要设备的工作情况,不能及时发现网络中存在的问题,导致一些设备长期超负荷运行或带故障运行,得不到及时的解决。
l
在网络设备出现故障时,因为没有非常直观准确的设备连接关系,很难实现故障定位,经常需要通过插拔网线的方式判断,既辛苦又繁琐,工作效率不高。
l
网络中普通用户的违规操作是导致网络故障的主要因素之一。一些单位虽然有相应的管理制度,但由于不便于监管,使这些制度形同虚设。一些因为用户违规操作带来的网络问题都由技术部门承担责任。
l
IP
地址管理混乱,一些用户私自修改
IP地址,造成地址冲突。
l
在网络规模较大时,网管人员维护网络设备(包括计算机)正常运行的工作量较大。各单位在地理位置上比较分散,现场维护的工作量和成本都比较大。
l
网络可能遭到非法入侵者的攻击,而网管员不能有效确认入侵者的位置和详细信息。
l
网络中某台计算机感染病毒后,如果没有及时处理,可能会造成病毒在网络中传播。
随着信息化进程的发展,网络规模日益扩大,用户对网络应用的服务质量要求越来越高。因此,网络管理员必须要找到一个“
IP网络运行质量状况的监视器”,以帮助管理员方便地监测
IP网络资源利用情况、网络运行性能,及时发现网络上可能存在的问题,为市场策划、网络优化、网络运维提供数据支撑。
数据面临的威胁
在数据是整个系统运作的核心。人为的操作错误,软件缺陷,硬件故障,电脑病毒,黑客攻击,自然灾难等诸多因素,均有可能造成数据的丢失,从而给整个系统造成无法估量的损失。
解决办法
目前技术水平讲数据备份是最好的办法去保护数据安全。数据备份的载体大体上有两种一种是备份到磁盘阵列上,另一种是备份到磁盘机上。磁盘阵列成本较高,管理方便。磁带机成本较低,数据安生性稍差一些,但数据保存方便。根据河北省水文水资源勘测局目前的情况使用磁带机备份是最佳的方案。
| 
