CH 6 五大網路管理功能
五大網路管理功能 ISO 7498.4 中將網路管理的功能區分成五大種類 組態管理(Configuration Management) 效能管理(Performance Management) 障礙管理(Fault Management) 安全管理(Security Management) 帳務管理(Accounting Management)
網路管理功能與資料流通關係
組態管理(Configuration Management) 五大網路管理功能中最基本也是最核心的功能,負責網路拓樸資訊管理、自動搜尋網路設備、路由資訊管理與組態資訊管理等。
組態管理功能 自動繪製出網路地圖外,還須具備自動搜尋網路設備的機能 。 提供集中儲存所有網路資訊的能力。 可以使用資料庫管理系統來輔助管理網路資料。 具有資訊搜尋之功能。 可以從邏輯或實體的圖形化觀點來顯示網路設備。 可以自動比對最近獲得與已儲存的組態資料。 產生與瀏覽目前執行狀態的組態圖表及網路設備資產清單報表。 自動獲取網路設備的相關資料,允許組態設定之變更。 提供網路設備組態模擬之功能。 具備組態事件設定與告警功能。
網路管理系統自動產生的網路地圖 獲得網路拓樸資訊是網路管理的第一步。 為了明確掌握網路範圍,並進一步加以管理與監控,必須先清楚了解現有的網路拓樸。 除了能夠自動繪製出網路地圖外,還須具備自動搜尋網路設備的機能。
網路圖示狀態與顏色告警功能
組態管理實施步驟 步驟1:搜集目前網路組態相關資訊 人工方式 自動化方式 當網路管理人員欲讀取某個網路設備的相關資訊,並將之記錄到文件、檔案或資料庫中,則可以利用遠端登入方式來登入該網路設備。 此種蒐集方式因為維護不易,所以不適合大量網路設備數量的資訊蒐集。 自動化方式 利用Ping及網路管理通信協定。 利用網路管理通信協定。
步驟2:利用所搜集組態資訊來調整或改變網 路設備之組態 步驟2:利用所搜集組態資訊來調整或改變網 路設備之組態 一般會使用自動化方式來加以調整或變更。 這些自動化的組態調整或變更必須有所紀錄。 網路管理系統可以驗證這些組態資訊的調整或變更。
步驟3:儲存組態資訊且隨時更新維護其正確 性,並可隨時產生各式報表 步驟3:儲存組態資訊且隨時更新維護其正確 性,並可隨時產生各式報表 維持所有組態資料之一致性與可用性是相當重要的。 可將這些組態資料儲存成美國資訊交換標準碼(ASCII)文件檔案,或儲存在資料庫管理系統中。
組態管理相關管理活動 本地(Local)組態設定 遠端(Remote)組態設定 自動化(Automated)組態設定 資產的人工管理 資產的自動化管理
障礙管理 (Fault Management) 負責包含告警監視、故障定位和錯誤處理等工作。 除了能立即偵測到故障對象外,同時還得即時地判斷發生故障的設備是否存在著某種關聯性的關係,可能引發其他故障情況發生,進而將發生故障的設備從網路中予以隔離。
障礙管理功能 能夠維護與檢查錯誤紀錄。 具有追蹤及正確標示出故障點的能力。 可以執行錯誤偵測的功能。 具有事件關聯性分析(Event Correlation)能力。 具備事件/動作(Event/Action)機制。 具備事件解譯(Interpret Event)能力。
障礙管理實施步驟 步驟1:發現障礙 發現的方式:事件報告、週期性輪詢 通知的方式:文字、圖示、聲音、簡訊、電子郵件等
步驟2:隔絕發生障礙的原因 當識別出發生障礙的網路故障點後,網路管理人員須先判斷該故障原因是否為關聯性的事件,以及影響的程度,進而決定是否採取隔絕障礙點的方式,來避免對網路造成持續性的影響。 步驟3:排除障礙 針對網路故障點不論管理者採取的是立即隔絕、持續追蹤,或是暫時的忽略,為了能真正完全恢復所有網路設備資源的正常運作,維持良好的網路服務品質,對於發生障礙的網路故障點仍必須設法修復其故障或錯誤,讓網路恢復正常狀態。
障礙管理相關管理活動 設定處理優先順序 及時要求 實體連接測試 軟體連接測試 設備組態 SNMP輪詢 障礙報告 交通量監視 趨勢預測
安全管理 (Security Management) 為了保護網路資源及網路使用者的資訊不會遭受盜用等情況,提供網路管理人員對網路資源存取的保護能力,以防範未經合法授權使用者入侵網路資源與破壞系統運作。 一般安全管理,主要在提供 認證 (Authentication) 授權 (Authorization) 帳號管理 (accounting)
安全管理功能與主要目的 安全管理功能 安全管理主要目的 可以有效建置、控制與移除具有安全性的網路服務資源與設備 能夠傳遞與安全相關之資訊 具有產出安全性相關事件報告之能力 安全管理主要目的 存取控制 (Access control) 真實性 (Authentication) 不可否認性 (Non-repudiation) 機密性 (Confidentiality) 完整性 (Integrity) 可用性 (Availability)
安全管理實施步驟 步驟1:標示出需要受保護的敏感性資訊 首先必須清楚地知道所要保護的對象為何。 提供各類網路服務的管道非常多,若要針對所有的網路資訊均加以全面性的保護,除了成本過大、可能嚴重影響網路效能外,對於網路管理人員而言也是一項沉重負擔。 並非所有的資訊均具有安全保護的價值,所以進行安全管理的首要步驟就是必須明確的定義出所要保護的資訊對象。 網路管理人員必須仔細篩選、過濾需要受保護的資訊。
步驟2:發現所有可能的存取點(Access Point) 實體的傳輸線路與媒體,除了須注意連接的有線線路外,不要忽略了無線的傳輸媒體管道。 查看網路設備資源到底開放了哪些網路服務,例如檔案傳輸(File Transfer)、電子郵件(E-mail)、目錄服務(Directory Service)、遠端執行(Remote Execution)、遠端登入(Remote Login)等。 查看是否尚有其他通訊協定的管道可以存取敏感性資訊。
步驟3:針對存取點加以安全性之保護 利用密碼學將資料加密(Encryption)、防火牆(Firewall)、認證鑑別程序、防毒軟體、資料備份、入侵偵測系統等。 利用認證(Authentication)程序來確認真實身分。 在訊息摘要(Message-Digest)以確定訊息在傳送過程中未被修改。 電腦病毒很容易在網路中大量散播,所以有效的防毒(Anti-Virus)措施是相當必要的。 利用設備備援(Redundancy)的考量來維持設備的正常運作。
通訊設備或線路的備援
步驟4:持續維護存取點的安全性 實施基本技術 公用資料網路存取限制 維持運作 確認存取方式 使用存取控制方法 自動化安全管理
安全管理相關管理活動 實施基本技術 公用資料網路存取限制 維持運作 確認存取方式 使用存取控制方法 自動化安全管理
效能管理 (Performance Management) 量測與評估網路介質、硬體、軟體之效能,以促進有效的網路通訊,並藉由系統參數的調整以期達成較佳運作狀況。 大致可分為監視及控制兩大部份。 監視是指監視網路上資料的傳送情形。 控制則是指調整網路資料的傳送以提高網路的傳輸品質。
效能管理功能 具有網路效能資料的收集與儲存功能。 具有統計分析並產生各類的管理報表功能。 必須具備效能告警、網路性能及可靠度之預測與提升的功能。 可視需要來動態分配可用之頻寬,並能夠設定各類通訊協定的優先權與可以使用的頻寬百分比,並具有網路模擬之功能。
效能管理實施步驟 步驟1:搜集目前各類網路設備資源之使用效能相 關資訊 步驟1:搜集目前各類網路設備資源之使用效能相 關資訊 針對不同的網路設備資源,所關心的使用效能相關資訊就會有所差異,所需收集的相關資訊就會有所不同。 透過網路監測,自動且持續地收集所需要的相關效能數據,並加以記錄。
步驟2:分析所搜集之效能相關資訊 計算與分析所收集與儲存的相關效能資料,以獲得相對的效能指標資訊來做為控制與調整網路效能之依據。 針對服務層次之效能加以量測,則通常最關心的效能指標為總回應時間(Total Response Time)、拒絕率(Rejection Rate)、可用性(Availability)等。 以圖形化表現方式來呈現統計分析後的效能資訊,以方便網路管理人員做為控制與調整網路效能之參考。
圖形化方式呈現統計分析的效能資訊
步驟3:設定使用率或相關效能參數之臨界值 (Threshold) 當所監測的效能指標參數超過所設定的臨界值時,就會立即觸發預警事件以通知網路管理人員。 如果臨界值設定不恰當,可能產生的預警事件通知過於緩慢而無法有效地達到事先防範之目的。
以改善機制避免過於頻繁的臨界值事件
步驟4:進行網路模擬與預測來改善網路效能 當網路已發生足以嚴重影響網路效能,甚至服務中斷的情況才警覺到時,往往會付出相當慘痛的代價,所以如能防患於未然,並正確地預測未來的網路效能趨勢,就可在事態未嚴重前,甚至尚未發生前即加以改善。 網路管理系統的效能管理可以運用統計原理來預測未來趨勢。 網路的效能管理與網路的使用百分率、錯誤率及反應時間等息息相關。
效能預測
效能管理相關管理活動 收集目前使用狀況資料 收集歷史狀況資料 容量規劃 設定通報臨界值 建構資料庫 執行網路模擬
帳務管理 (Accounting Management) 追蹤各使用者、應用程式以及各單位對系統資源和網路的使用情形,來達到防止濫用資源、收取使用費、維持適當的效能、統計資料可做為將來網路成長規劃參考目的。 允許網路管理人員分配資源使用並收取合理使用費,可以追蹤服務及資源使用狀況、資源配額設定、計算服務成本、稽核、支援不同計費模式等。
帳務管理功能 可建立合理的額度及量測方式。 能夠監視任何資源使用是否超過配額設定。 可儲存資源使用狀況於網路管理系統資料庫中。 具有資源使用的計費功能。 能夠產生相關的會計報表。
帳務管理實施步驟 步驟1:收集網路資源使用狀況的相關資訊 步驟2:針對使用者的實際使用狀況收費 針對不同形態的網路資源分別設定個別使用者或群組使用者實際可以使用的額度。 可以參考所收集的網路資源使用狀況之相關資訊來加以設定額度。 額度之量測基準則會影響到將來收取使用費之實際金額。
步驟3:利用量測基準來幫助設定使用額度 繳納固定金額的月租費(網路專線、固定月繳制的ADSL…等服務)。 依據實際使用網路資源的數量來收費。 依據實際使用網路資源的時間來收費(以秒計費、以分計費…等) 。
帳務管理相關管理活動 收集網路設備使用狀況資料。 網路資源使用者計價。 使用帳務管理工具。 產生報表。
<<實作練習>> 安裝與使用Kaspersky Internet Security
二、執行與查詢各類防護功能與狀態。
三、執行與查詢各類掃描功能與狀態。
選取掃描類別項目與目標後,即會開始進行掃瞄工作。
可以針對各類功能做相關之細部設定。