时间:2023-03-29 09:25:02
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇网络管理论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
由于SNMP网络管理的学习并不像普通的系统维护那么简单,它不但要求我们的网络管理员要深入了解网络中的交换和路由设备,还要求我们能够透彻认识SNMP协议原理,所以这种管理方式在大部分中小规模局域网中的运用并不多见。但因为SNMP是目前在计算机网络中用得最广泛的网络管理协议,所以我们可以肯定的说:一个连SNMP都不清楚的网络管理员就绝对不是一个好的网络管理员。本文中笔者将带领大家一步一步地去学习SNMP网络管理,尽量减少枯燥的理论知识、加大实践力度,将原本仿佛遥不可及的SNMP拉到大家的身边,让大家切身体会到SNMP网络管理在日常工作中的重要意义。
初识SNMP网络管理
SNMP的英文全称是SimpleNetworkManagementProtocol,中文名为简单网络管理协议,是一个基于TCP/IP协议的网络管理标准。SNMP网络管理包含两个部分:网络管理站(也叫管理进程,manager)和被管的网络单元(也叫被管设备)。网络管理站通常是一台安装了网络管理软件的计算机,可以显示所有被管设备的状态,我们一般称之为网管工作站;而被管设备则种类繁多,包括交换机、路由器、防火墙、服务器以及打印机等等,被管设备上的管理软件我们称之为进程,用于回答管理进程(网管工作站)的查询。图1显示了一个使用两台SNMP网管工作站进行网络管理的拓扑结构。
在图1中,两台网管工作站上面分别安装了SNMP网络管理软件,以对局域网中的所有的被管设备(交换机、路由器、防火墙和服务器)进行管理和监控,而被管设备上面则运行着进程,因此整个网络的管理就可以集中在这两台网管工作站上面来进行了。
SNMP网络管理包括三个组成部分:管理信息库MIB、管理信息结构SMI和SNMP网络管理协议。管理信息库(MIB)中存放的是被管设备的所有信息,比方说被管设备的名称、运行时间、接口速度、接口进来/发出的报文等等,当前的管理信息库版本为MIB-II;管理信息结构SMI用于定义管理信息库MIB的结构和表示符号,限制在MIB变量中允许的变量类型,指定对这些变量命名的规则以及创建定义变量类型的规则;而SNMP网络管理协议则是管理进程(位于网管工作站上)和进程(位于被管设备上)之间的通信协议。
SNMP网络管理定义了5种报文操作:
GetRequest操作:用于管理进程从进程上面提取一个或者多个MIB参数值,这些参数值均在管理信息库中被定义;
GetNextRequest操作:从进程上面提取一个或多个参数的下一个参数值;
SetRequest操作:设置进程的一个或多个MIB参数值;
GetResponse操作:进程返回一个或多个MIB参数值,它是前面三种操作中的响应操作;
Trap操作:这是进程主动向管理进程发出的报文,它标记出一个可能需要特殊注意的事件的发生,比方说重新启动可能就会触发一个Trap陷阱。
1电子档案使用途径
目前,电子档案已经得到了十分广泛的应用,相比于传统的纸质档案而言,具有快捷、方便的特点,其主要的利用途径为以下几种:拷贝、传输以及查询。
1.1拷贝
拷贝是利用电子档案的第一途径,其主要是向使用者提供档案原始状态。保证其使用过程中的权威性。当向使用者提供载体拷贝时,必须将文件转换成为通用标准文档存储格式,由使用者自行解决恢复与显示的软、硬件平台;若是使用者不具有利用电子文件的软、硬件平台,也可向其提供打印件或是缩微品。
1.2传输
传输主要是用于解决使用者无法到达档案所在地的这一难题,其能够大幅度地节省时间与财力。所谓通信传输,也就是利用网络传输电子档案,实现档案资源的互相交流,或是向相对固定的查档单位提供档案资料,可通过点对点转换数字通信或是互联网络实现。
1.3查询
查询即为利用档案部门或是另一检索机构的电脑,在档案部门网络上直接进行查询,其特点是能够为使用者提供技术支持,也可以使更多的使用者同时使用同一份电子档案。这一方法的可能性,主要是取决于档案馆网络系统中可供直接利用的信息资源的多少。
2电子档案网络管理利弊分析
2.1电子档案管理的优势
2.1.1实现部门立卷部门的立卷是常见的问题,但是到了今天为止档案室替代部门立卷的现象依然很普遍,由于档案管理员对于该部门工作的不完全了解,所以没有办法断定材料的完整性,而在变换为电子档案网络化管理之后,档案部的工作人员能将文件材料输入于网络系统,由电子档案管理员负责统一卷编码进行保存,从根本上保证了档案的收齐和完整性。
2.1.2提高办公效率在传统的管理模式下,无论从管理还是利用都只是能安排在上班的时间内来进行,而工作环境是由管理人员、利用者以及办公用具在特定场合构成。而在实现电子档案的管理后,传统办公用具消失了,取而代之的是计算机系统、电脑工作台成为办公的主要用具。在企业部门中,大量的电子文件通过编码及解码的过程以存储在电子档案的硬盘里,还可以复制和存储不同的介质当中。而档案管理的效率也有了很大提高,立卷部门只要将文件材料输入于计算机中,然后送至档案室,档案的管理员则通过网络能够自动立卷,整个的过程既简单又快捷。
2.1.3促进档案管理的发展在传统管理模式中,只能对档案来进行分类的顺序整理及保证档案完整安全的保管和利用。而在进行电子档案管理之后,能将各类的档案中的电子文件都集中于计算机硬盘里,还能搜索同一问题的若干联系的电子文件,来帮助使用者深入的了解,并进行深层次的查询,能够有效提高档案管理的发展。
2.2电子档案管理的弊端
2.2.1电子档案具有不安全性档案是每个单位的宝贵财富,档案的真实性和保密性是档案管理工作的重中之重。由于办公自动化采用的都是统一的字体和标记,字迹不再因人而异,人们从字迹上已经无法分辨档案的原始性。同时,由于电子文件采用的是电子编码的技术,可编辑和不留痕迹,而鉴别文件原始凭证的重要信息也能更改,这就使电子文件原始凭证的辨别性变得困难起来。还有一些电子文件在传输的过程中会带来病毒,这就严重破坏了计算机的操作系统,也会文件残留不全。
2.2.2电子档案存储受载体制约档案的电子化管理主要依靠计算机来操作完成,从硬件方面来讲,计算机需要较高的配置;从网络方面来讲,需要网线、交换机、服务器等来支撑;从软件方面来讲要经过对档案工作进行深入细致的调研,开发出档案电子化管理软件系统,按照档案管理的要求完成档案的录入、生成、上传、查看、注销等一系列工作。这一工作只有非常专业的计算机软件开发人员才能完成。同时,我国对档案电子化管理还没有制定统一规则,无章可循。
2.2.3电子档案不具有法律效力众所周知,我们的纸质档案是经过单位领导签字、单位盖章的,从而具有合法的法律效力。而电子档案在签署技术尚未普及的情况下,不具有法律效力,不被人们认可。
3做好电子档案网络管理的措施
3.1完善电子档案管理体系
①建立健全电子档案管理体制。从电子文件的形成到电子档案的归档和管理,由专门的档案管理部门或档案管理人员负责,明确工作职责和工作权限。②建立电子档案管理业务系统。建立集中或集中与分布相结合的电子档案业务管理系统,对电子档案进行统一管理,确保其不散失、不损毁、不失真、不失密,从而保证电子档案的完整性、真实性和有效性。③建立档案管理人员培训制度。定期对档案管理人员进行培训,使之熟练地使用计算机系统和各种检索工具,遵守职业道德,积极主动提供服务。
3.2规范电子档案管理流程
①在电子档案的收集过程中,明确电子档案收集的范围和要求。例如在收集各部门年度工作总结时,要求在上报纸质文件签字确认的同时上报电子文档,格式统一先WORD文档。在传递过程中,采取安全措施,以防非正常改动,在收集过程中要及时制作电子文件备份,建立电子文件索引目录。②在电子档案的整理过程时,要对收集上来的各种电子文档进行整理、分类和检索。a.可先按照电子档案的种类进行分类,即按文本文件、图片文件、影音文件等进行一级分类,在文本文件里按照文种进行二级分类;b.按照本部门事件进行一级分类,再按照文本文件、图片文件、影音文件等进行二级分类;c.按照部门业务分类,如财务、生产等;d.综合运用以上多种分类方式。图1即为电子档案的存储结构示意图。(3)在电子档案的归档工作中,对收集、整理好的文档进行有效性和完整性鉴定。由电子档案形成部门进行审核签字,参照纸质档案保管期限,确定电子档案的保管期限。在归档时,填写登记表,将文件复制到耐久性的载体上,一式三份,一份用来查阅,一份用来封存,另一份异地备份,在载体的包装盒上贴标签,填写编号、保管期限、硬件及软件环境等。
3.3加强电子档案的安全维护
①保证电子档案载体物理上的安全。建立一个适合磁、光介质保存的环境,温度控制要适当,存放载体的柜、架及库房达到有关标准的要求,载体直立排放,满足避光、防尘、防变形的要求,远离强磁场和有害气体等。②要做到电子文件和纸质文件双套归档,因为目前电子档案的存储无法再高温、潮湿的环境下永久保存,而且在证据性、管理技术、网络安全控制等方面存在的问题还尚未解决的情况下,应把纸质档案和电子档案结合起来并存保管,在电子档案丢失或损毁的情况下可以进行电子档案的修复。③要保持计算机专机专用,通过设置指纹识别、身份认证、数字签名等方式来加以防范和控制档案存储设备,防止电子档案被更改、盗用,保证核心文件的安全。④要定期安全维护,充分运用可靠、先进的安全技术对计算机、网络进行维护,保障计算机及网络安全运行。坚持定期更新杀毒软件,进行全面病毒检测,有效阻止非法用户入侵、病毒破坏、黑客攻击,同时要对所有数据进行有效备份,确保信息安全。
3.4确认电子档案法律地位
各行各业要加强对对电子技术的认识,改变对电子档案的认识,立法部门要参考国外先进的经验,对我国电子档案的法律性给予明确,促进人们对电子档案的认可,最终实现档案管理的信息化、技术化、便利化。
4结语
SNMP以UserDatagramProtocol作为管理者与者之间传递信息的传输协议,之所以会选择UDP而不使用TCP的原因在于,UDP采用非连接方式的传输,也就是管理者与代管物件并未建立连接,因此判断datagram是否遗失以及在必要时重传成为了SNMP协议的责任,通常是以超时作为重传的依据,可以设定等待的时间以及重新传递的次数。但是对于TrapMessage来说情况就不同了,如果代管物件传送了一个TrapMessage给管理端,但是管理端并没有收到,这时代管物件甚至不知道是否该重新传递TrapMessage,因为管理端收到TrapMessage之后是不用告知待管物件的,虽然UDP不可靠但是它的负担低,因此可降低对网络性能的影响。SNMP使用端口编号为161的UDPport来传送与接收请求信息,以及使用编号16213的UDPport来接收来自待管物件的TrapMessage,每个安装了SNMP协议的设备必须以这些端口值作为预设值,不过它是可以被更改的。
2本文主要工作
本文所构建的基于SNMP协议的网络管理与拓扑分析系统主要包括两个核心功能,分别是网段搜寻、网络拓扑分析。网段搜寻功能是以使用者输入的IP地址作为基准,并搜寻此网段中所有的网络设备,并对搜寻到的设备查询相关信息以提供给网管人员使用;网络拓扑分析则是以一台路由器或是交换器的IP地址作为起点,搜索网络拓扑的状况,并利用分析得到的拓扑信息来描绘出将整个网络拓扑的树状图。
2.1网段搜寻
对网络管理人员来说,面对复杂的网络环境下,例如一间公司里有上百台的网络设备的情况下,如何有效的去区分不同网段上的网络设备并加以管理是很重要的,通过本系统所构建的网段搜寻功能,可以轻松的搜寻某一网段中所有的网络设备,并且对搜寻到的设备再进一步的查询其信息,包括设备的IP地址、设备的描述信息以及位置等,网络管理人员可以通过这些信息来了解网络设备的配置与状况,此外还可以针对个别的设备进行查询与设定。本系统所构建的网段搜寻功能是通过SNMP的操作,再搭配MIB-II中的system群组的信息所构建的,利用SNMP的get操作来探测某个IP地址是否有网络设备的存在,而不是以ping的方式来检测,因为ping的方式较为费时,对于侦测到设备也无法得知其相关信息。网段搜寻功能是以使用者所输入的一个IP地址为起点,再通过程序分析出其所属网段,接下来使用SNMPgetoperation来探测出所有IP地址中是否有网络设备的存在,最后再对设备进一步地取得更多信息,执行流程的步骤如下:步骤1:取得IPAddress与community以使用者所输入的IP地址为程序执行的起点,再搭配community才可执行SNMP所提供的getoperation,在取得IP地址之后,由程序来实现所属的网段的判断。步骤2:探测网络设备;通过步骤1所得到的所有IP地址进行侦测,对每个IP地址执行getoperation,并指定OID为sysName(1.3.6.1.2.1.1.5),对于不存在网络设备的IP地址进行get操作会得到timeup的响应,反之则会得到sysDescr的正确信息,以此探测网络设备是否存在,并记录有设备存在的IP地址。步骤3:取得设备的sysDescr与sysLocation信息针对在步骤2中所探测到的网络设备再进行更进一步的查询,通过getoperation并指定OID为1.3.6.1.2.1.1.1(sysDescr)来取得设备的详细信息,包括硬件信息等,再将OID指定为1.3.6.1.2.1.1.6(sysLocation)来获得设备所在的位置信息。
2.2网络拓扑分析
本系统所提供的网络拓扑分析功能是利用SNMP所构建而成的,通过MIB-II内的群组能够轻松的了解网络的连接状况,此外MIB-II是一种标准的MIB,也就是说只要是支持SNMP协议的网络设备绝大部分都会内含MIB-II,然而使用SNMP的好处在于它可以轻松的了解路由状况,并且能够获得设备的种类、名称以及其他重要的管理信息。本系统所构建的网络拓扑系统是以一个路由器的IP地址作为起点,进行对路由路径的查询,通过递归的方式找出路径上所有的路由器,再对各个路由器查询其连接状况,可找到其它新的网络节点,如此一来便可以分析出网络拓扑的概况,最后对所有节点逐个进行遍历以获得更详细的信息,本文所提出的网络拓扑分析方法可分为以下三个步骤:步骤1:利用ipRouteNextHop来获得路由的路径;针对路由器的IP地址进行getnext的操作,并且将其OID设定为1.3.6.1.2.1.4.21.1.7(ipRouteNextHop),以取得相邻路由器的IP地址,取得IP地址之后再查询其ipRouteType(1.3.6.1.2.1.4.21.1.8),如果其值为indirect,则表示其路径上的其它路由器,并将其记录至未访问的路由器表格之中,并将此次访问过的路由器记录于第一层路由路径表中。从未访问的路由器表格之中取出路由器IP地址,并执行上述动作,直到无其它路由器为止。步骤2:利用ipNetToMediaPhysAddress与ipNetToMediaNetAddress来侦测网络中新的节点;从路由路径表中取出一个路由器的IP地址,将OID设定为1.3.6.1.2.1.4.22.1.2(ipNetToMediaPhysAddress)与1.3.6.1.2.1.4.22.1.3(ipNetToMediaNetAddress),并执行getnextoperation,以此探测出此路由器上所有介面的连接情况,内容包括连接至此路由器的网络设备的MAC地址以及IP地址,并记录至第二层装置表格中,重复以上操作直到所有路由器皆被遍历过。步骤3:从步骤1到步骤2的过程中,记录已经侦测出所有的网络节点,在这个步骤中,对每个网络节点进行三次的get操作,OID分别设置为1.3.6.1.2.1.1.1、1.3.6.1.2.1.1.5与1.3.6.1.2.1.1.6以取得每个节点的详细信息。
3结论
1.1设备抽象层设计
考虑到需要提供一个高效统一的管理工具,那么就需要将过去分散孤立的脚本和软件提供的功能整合在一起。整合并不是简单地将原有功能罗列在一起,而应该是有机结合,结构清晰,设计风格统一,能够便于复用。根据对当前数据中心内网络设备管理的需求分析,设备抽象层的类大体可以分为主机、交换机、存储三大类[5-6]。再具体细分,主机类又可以根据其操作系统的不同,分为Windows,Redhat,Suse,Unix等等;交换机类根据厂商产品系列的不同可以分为Brocade,Cisco,Qlogic等等;存储也可分为EMC的Symetrics,vMax,vPlex,IBM的DS8000,XIV,SVC等[7-8]。无论封装实现的是什么设备,无论底层有多么大的不同,为了便于上层集成调用,应当对上层提供一致的接口。从上层来看,无论底层封装的是什么设备,对上层无外乎两个操作,信息收集与数据录入。因此,所有的设备类都需要实现两个方法,collect与import_to_data-base[9-10]。collect方法实现从设备收集信息的逻辑,而import_to_database实现向数据库录入的逻辑。
1.2协议适配层设计
由于文中设计的是一个集中统一网络管理的工具,必须通过一些网络协议来远程操控设备。常见的网络管理协议有SSH,Telnet,Winexe等。现实中,不同设备可能共用同一种协议,同一种设备可能在不同协议之间切换的现状,也就是说,特定协议与特定类型的设备之间是没有必然联系的[11]。这就决定了网络协议的逻辑不能在设备抽象层内实现,而应该独立出来,单独设计一个协议适配层。设计良好的协议适配层类能够在不同设备之间轻松调换使用,提供了极大的开发灵活性[12]。对于一个网络协议,常见的用户场景就是,建立连接,发送命令并接收返回的文本,关闭连接。所以,一个协议适配层类应当实现三个方法,open,cmd,close。open方法用于建立连接;cmd方法用于发送命令并接收文本;close方法用于关闭连接。在设备抽象类的对象实例化的时候,只需要通过目标设备的对象的属性将协议对象动态传递进去即可。由于协议适配层的类具有相同的接口,更换协议对设备抽象层的类来说是完全透明的。
1.3自动识别模块设计
管理众多的设备的静态登记信息,如果只是依赖管理员的记忆力,或者是Excel表格,费时费力,结果也并不可靠[13]。首先要设计一个能够从网络当中自动抓取的活动IP,并识别出运行在该IP地址上的设备类型的模块。当活动IP地址被从一个子网中扫描出来以后,进一步识别设备的类型可以分为网络扫描和远程命令试探两个阶段。第一阶段的网络扫描主要是为了下一步的命令试探缩小范围。无论是主机、交换机,还是存储设备,都会对外打开一些固定的网络服务,这些网络服务通常都监听特定的端口,通过扫描端口可以大致了解设备打开了哪些网络服务,进一步可以猜测设备可能对应的类型[14]。在扫描端口之后,进入第二阶段,发送前期锁定的几种可能的设备类型上支持的命令,再通过Perl语言内置的正则表达式搜索特征关键字。如果成功捕获到了响应的关键字,就成功地识别了设备类型。类型识别成功后,才能调用响应类型的设备抽象类,对设备进行信息收集与管理。
2自动识别模块的具体实现
2.1网络扫描部分
在第一阶段的网络扫描中,首先由Subnet类负责活动IP的获取,之后将活动的IP地址实例化为IP类的实例,之后IP类会扫描该IP地址上的哪些端口已经被监听了。这两个类依赖于Nmap提供底层功能的支持。Nmap是一款用于网络安全审计的工具,可以列举主机,监控网络服务运行情况。Nmap不仅可以扫描单个IP地址,还可以对整个网络进行大规模扫描。同时,Nmap也是一款遵守GNU通用公共许可协议的软件,可以免费地在文中要设计的工具中集成使用。Subnet类在获取活动IP地址的过程中需要使用Nmap提供的Ping扫描,需要执行命令如下:nmap–sn192.168.1.1/24其含义是,扫描网络IP为192.168.1.1,而子网掩码为255.255.255.0的网络中有哪些可以Ping通的IP地址。IP类在扫描单个IP地址上被监听端口过程中需使用Nmap提供的Intense扫描,需要执行命令如下:nmap–Pn192.168.2.1其含义为,扫描IP地址192.168.2.1上所有已经被监听的端口号。命令执行完后返回结果:PORTSTATESERVICE80/tcpopenhttp1900/tcpopenupnpMACAddress:14:E6:E4:8D:2B:E2(Unknown)
2.2远程命令试探部分
这部分逻辑通过一组工厂类被实现。当设备类型被检测完成后就会实例化响应类型的对象来完成后面的信息收集与数据录入工作。考虑到设备类型较多,都在一个工厂类内实现太过繁杂,可以将具体工作分解到若干个类中完成,每个工厂负责某一大类设备的识别与实例化工作,形成一个三层的工厂树。处理具体大类的工厂类可分为处理服务器的ServerFactory,处理交换机的SwitchFactory,处理存储的StorageFactory等等。首先由顶层的基本工厂类接收一个IP地址作为参数,然后将IP地址像放上流水线一样,依次交给每一个负责具体大类的工厂类处理,当流水线上的某一个工厂类成功地处理了这个IP地址时,就用识别得到的类型为该IP地址实例化一个设备对象出来;如果当前工厂类无法处理,则交给流水线上的下一个工厂类继续处理。要发送远程命令首先涉及到选用什么网络协议的问题。网络协议一般都会监听固定的端口号,这就是所谓知名端口(见表1)。通过查找知名端口表就可以知道网络设备打开了哪些网络协议的服务。通常,打开22号端口意味着设备打开了SSH协议的服务器,这是一台Linux或者Unix系列操作系统的服务器的常见配置。这种情况下,工厂类就会调用SSH协议,发送Linux或者Unix系统上的命令,然后尝试从返回的文本捕获预期的关键字。可以看到,ServerFactory在处理的时候,首先检查22端口是否已被监听。发现22端口已被监听之后,则通过SSH协议连接目标IP地址,发送Linux和Unix系列操作系统上的uname命令,如果从返回的文本里捕获到“Linux”,表明目标服务器是一个Linux服务器,如果捕获到“AIX”,表明目标服务器已经安装了IBM的AIX操作系统。
3网络管理工具的完整运行流程
整个工具运行时的完整流程如图3所示。scan_network是整个程序的入口点,通过-n选项传递一个网络地址及其子网掩码,Subnet类会找出这个网段里的所有可用的活动的IP地址,然后为每一个IP地址调用scan_ip。在scan_ip中,BaseFactory会被调用,它会依次尝试使用StorageFactory,SwitchFactory,Server-Factory来处理这个IP地址。每个工厂类都会检查该地址上有哪些端口被打开了,然后使用命令尝试识别设备的类型。类型识别完成后,就会为该地址实例化一个设备对象,调用它的collect方法收集信息,然后调用import_into_database完成数据录入。
4结束语
1.1框架设计
将仪器按使用小队分组,分别由仪器负责人维护,填写修改仪器的各个属性、状态,每天的状态存储于数据库。将测井仪器的名称、型号、编号、生产厂家、长度、直径等信息存储于数据库中,前台可以按照各个属性将仪器分门别类的检索出来,以便查看各个仪器的状态及详细信息。实现仪器基本信息,仪器单日状态,仪器多日维修统计,单支仪器维修记录,刻度、打捞、大修记录等信息的浏览查询。方便管理者了解仪器动态,仪器使用者掌握仪器特性。
1.2权限设计
根据信息的功能分为几大类:仪器信息的浏览;仪器基本信息;仪器单日状态,仪器维修记录;刻度、打捞、大修记录,刻度提醒等功能。据次将用户权限分为如下4类:普通使用者,只有浏览系统的权限,无法修改。浏览内容包括:仪器的基本属性、仪器的状态、仪器的刻度日期、仪器的大修打捞等信息。普通管理员,可使用用户名登陆系统,管理权限内的仪器,针对自己所负责的仪器进行维护,包括仪器的借还、仪器的故障维修录入修改、刻度的维护等。不可以对其它用户所管理的仪器进行修改。所需录入的主要内容包括仪器维修记录、仪器事件记录。班组长权限,在普通管理员功能的基础上加入管理本班组仪器的权限。管理员权限,对所有仪器的管理,包括仪器的基本信息的录入、仪器的报废与恢复、仪器的所属变更等。
2主要成果
网站目前已经建立起来并投入使用。包括前台浏览页面的设计、功能实现,后台管理页面的设计、功能实现,刻度、打捞、大修等信息的录入浏览。已经完成预先设计的各项功能,并加入了维修记录事件记录的总览、域外设备的浏览等多项新功能。
2.1前台
实现仪器基本信息,仪器单日状态,仪器多日维修统计,单支仪器维修记录,刻度、打捞、大修记录等信息的浏览查询。方便管理者了解仪器动态,仪器使用者掌握仪器特性。
2.2后台
实现仪器基本信息的录入、修改,仪器单日状态修改,单支仪器维修情况录入、修改,刻度、打捞、大修记录的录入、修改,刻度提醒等功能的实现。
2.3应用效果
本系统的研发运行,既提高了工作时效,便于仪器维修情况的统计,还为新仪器的购置提供数据分析依据。
3结论
基于SNMP网管系统是由管理平台与两部分组成,组成结构如图1所示。管理平台中,前台界面负责提供图形用户接口,帮助用户顺利进行网络管理操作。需要Windows中的图形用户界面辅助完成此项技术,界面菜单进行设计环节时,其管理功能需要合理分类。后台负责及时控制程序,使得通信协议、数据口接口、管理功能进程等都得到其有效控制。管理功能进程主要职责是收集与处理数据。主控进程的主要工作职责是:负责进程调度、处理来自的各种异常事件报告、动作守护进程要对已发出的SNMP请求进行管理。网络协议由IP、UDP、SNMP组成,系统通信的通道除了它们,还由通信模板组成。应用进程的运行过程是:在嵌入式实时多任务操作系统VRTX之上,采用主进程启动多个线程同时运行的方法,体现网管功能的多样化。
2SDH网络管理系统的实现
2.1通信模块组成结构与实现过程
网络接口与路由协议是通信模块的主要组成部分。通信模块功能包含:网元与其它网元通过DCC通道通信、网元通过本地串口与网络平台通信、告警监视单元通信、网元通过串口与告警监视单元通信。实现此模板需要对系统通信控制模块采取初始化配置;以太网、多通道串口等驱动器,完成IP协议栈的挂接;路由协议与协议栈的衔接工作完成,用SNMP的方式呈现路由信息,方便查询。路由协议是通信模板的组成部分之一,其用途很大。一般路由协议都是通过广播机制先显示出来,需要不断发现或者更新路由,共享路由表信息。它保障了网络平台通道,在网关网元和途径网元路由的帮助下,使得目标网元的网管操作顺利实现。
2.2SNMP协议流程与转移
SNMP的进程有一个过程,一般是先在完成初始化配置数据,然后了解接口参数,观察管理信息库变量,完成这些系统的初始化工作之后,程序会自动进入一个循环过程中[2]。在某端口,等待接收数据,接收的SNMP报文,系统会进行检查并作出分析报告,根据报文命令执行任务,调用其它系统操作,使得例程顺利完成,最后获得SNMP报文,将报文以UDP的形式封装好,最终通过SNMP端口发送出去。把SNMP协议代码转移到硬件平台中去,将代号MPC860的处理器与VRTX实行嵌入式系统操作,SNMP的职责是嵌入。具体操作时必须做好以下工作:熟知管理内容,将MIB变量定义清楚;翻译工作由MIB完成,自动生成本地数据结构与程序结构,帮助系统调用及编程;在MIB编译器中,直接输出程序文件,文件会与UDP等协议衔接,只需要将相应参数稍加修改,SNMP协议层到UDP协议层的胶联工作即可完成;完成MIB变量操作,支持例程代码编写;将进程进行测试。
2.3操作支持例程的实现步骤
对象一般是操作请求、存在性检查、操作类型检查、执行操作一整套操作步骤。整个过程的目的只有一个,准确判定请求对象是否在进程的MIB中,判定完毕之后,进一步验证对象访问方式,再根据对象所在位置,在规定范围内设置对象值。操作支持例程与应用进程的接口类型有三种:一种是函数,其作用是支持例程调用应用进程,利用这样的函数需要在配置管理需要较高时效性的时候;一种接口用于支持例程和应用进程两者处于相对独立状态时的情况,两者之间对时效性要求不高,主要作用是网络进行初始化配置及性能管理;最后一种是利用进程调用支持例程的函数,需要告警方面的管理时,才会采用此种方式。
2.4应用进程实现步骤
SDH网管系统实现的核心取决于应用进程,主要靠其实现SDH所需的网管功能。主要程序运作过程具体表现在以下几个方面:开机初始化配置过程为:系统会自动读取设备清单,单元格需要根据设备具体情况进行配置,同时,整个过程还要将其缺省值初始化MIB以及相关数据结构进行参照[3,4]。性能管理的过程为:进行定期数据刷新时,一般都会利用参数收集模块,然后再从单元盘中收集性能参数,完成收集工作之后,就可直接在NIB中记录下来。保护切换与恢复的过程为:理解APS协议的基础之上,编应与之相关的代码。告警管理的过程为:利用应用层直接响应单元盘的中断要求,将其中的告警信息读出,利用支持例程的函数,把告警信息传达给网管。
3结束语
本文针对小型商贸企业网络流量管理技术进行探讨,以云南省大理通源别克4S店为研究案例,利用案例公司现有的网络设备进行基于流量的网络管理构建,对网络流量异常进行检测,采用集中式管理,将各个PC的数据上传到网络管理服务器进行监测控制,掌握网络整体运行状况,实现全网流量分析,对异常流量进行流量监控,根据业务应用控制不同带宽,极大的提高了企业网络的使用效率,提高企业办公效率,节省企业办公成本。
2小型商贸公司基于流量的网络管理技术
SNMP协议能够支持网络管理系统,由一组网络管理标准构成,其中包括应用层协议(applicationlayerprotocol)、数据库模型(databaseschema)和一组资料物件。SNMP与管理信息结构(SMI)、管理信息库(MIB)组成了TCP/IP网络管理标准。SNMP主要通过轮询或中断模式从被管理设备中收集数据[3]。
3小型商贸公司案例背景及需求分析
为研究和探讨基于流量的网络管理策略和方法,以大理通源别克4S店为具体对象。该企业是一家小型的商贸公司,为“四位一体”的汽车特许经营模式,涵盖了整车销售、零配件、售后服务、信息反馈等。公司员工约50人,有15台计算机进行各种业务处理,2台服务器存储数据。公司通过核心路由器接入Internet网络,通过2台三层交换机连接计算机和服务器实现网络应用。随着社会信息化和公司规模的发展,公司信息化的需求不断增加。业务逐渐繁忙需采用多台PC进行处理,信息量剧增要求处理响应速度快,公司多项经营依赖计算机网络与客户之间建立密切联系。因此安全稳定的网络环境对公司尤为重要,对网络的有效管理能保证服务质量提高客户满意度;为保障4S店服务的质量与品质,客户反馈的信息与问题都需及时传递,只有可靠稳定的网络才能处理繁多的信息量,减少不必要的数据量,营造良好的网络环境并减少出错几率。公司目前以核心路由器接入Internet网络,利用网络管理服务器进行简单的网络管理,主要为接入网的管理,没有涉及网络流量控制。由公司的网络拓扑图得知公司的网络主要分内网的服务器群,主要管理公司内部信息,还有外网的商务活动区,通过交换机使各个业务区的计算机连接网络进行正常的业务处理。
4基于流量的网络管理技术实现
基于对案例的调查分析,目前大理通源别克4S店主要的网络管理依靠一台网络管理服务器,由于网络管理范围过于广泛,对控制网络流量的作用不突出,出现网络数据流量异常的情况是不可避免的。因此规划公司首先增加网络管理服务器的数量以分担主网络管理服务器业务,实现信息的及时性和安全性。其次设置监控点,对员工使用网络资源进行一定的监测和管理[5]。最后还要考虑随着公司不断发展的网络拓展需求。为合理分配和管理网络流量以减少网络拥塞,分担主网络管理服务器的业务以提高网络管理的性能,在原有网络中的三层交换机处增加2台网络管理服务器进行基于流量的网络管理,核心路由器的网络管理服务器主要负责宽带接入管理及网络流量分配管理。形成网络的层次管理,提高网络管理质量,实现有效的网络流量分配及控制。为适应公司信息化需求的剧增,设置85个信息点,考虑今后业务拓展及客户需求,在公司原有15个信息点的基础上新增70个信息点。为实现对网络资源的监测和管理,在网络管理服务器、三层交换机和核心路由器之间设置5个网络信息监测点。
5小型商贸公司网络仿真测试数据及其分析
5.1网络延时对比分析
基于原有公司网络结构如图1所示,对比实施基于流量的网络构建后网络如图2所示,在此基础上做出仿真测试,通过前后两次的仿真,得到网络延时曲线图,如图3所示。为实现流量管理对网络结构增加了设备,故网络时延有所上升。可以看出,整个网络的延时高峰均为0.4微秒,改造前在收尾时为0.32微秒的时延,改造后网络延时在收尾低于0.4微秒,经过多次取值比较,得出改造后的网络延时波动不如改造前抖动大,稳定性得到提升,整个网络的延时虽然有所上升,但在设备容忍范围。由于网络节点数和工作业务的增加,网络改造后时延增加,但网络延时保持在了稳定的数值,没有太大起伏。所以,进行改造后的网络拓展性能保持良好。
5.2网络丢包率对比分析
网络改造前后的丢包率对比分析如图4所示。增加两台交换机的管理后,网络运行平稳,网络数据包拥挤情况减少,改造后的网络对拥挤数据包的接受处理明显提升。改造前网络的处理要经过一定的过渡阶段,约为0.11秒后才能恢复,处理的间隔会造成公司高峰期的网络拥塞。改造后的网络处理拥挤数据包的效率明显提升,处理间隔时间几乎为零,使网络运行更平稳。所以进行改造后的网络提高了网络的稳定性。
5.3网络负载对比分析
网络改造前后的网络负载率对比分析如图5所示。可以看出,图B中的子网最大负载为5200bit/s,而图A中的子网最大负载为8400bit/s,相差3200bit/s图B稳定后负载为2100bit/s,而图A稳定后负载为2900bit/s,相差800bit/s,在最高负载量和稳定负载量上都有了明显提高,说明改造后的网络提升了公司的网络业务应用能力。
5.4服务器响应时间对比分析
网络改造前后的服务器响应时间对比分析如图6所示。为扩展前服务器的运行性能,为扩展后数据库服务器的运行性能。可以看出,在网络负载增加后,其数据库服务器响应时间基本没受到太大影响。中响应时间有时会出现延长的情况,则是以一种平稳的方式一直保持,数据库服务器的稳定性得到了保障。
6总结
当今社会互联网成为人们生活中越来越不可缺少的部分,也被广大患者作为获取信息的一种途径。互联网的快速发展和其中丰富的信息资源使得向社区糖尿病患者提供一种简单、方便、直接,短期即可容易实现这种想法得以实现。国外最早关于网络医疗网站的报到始于1996年,患者可有偿地进行网络医疗咨询和开具处方。据报道,加拿大在已实施了10年的高血压教育计划(CHEP)基础上推出了CHEP资源共享的电子平台[5]。电子平台为医护人员与患者之间建立了有效的沟通和交流桥梁,患者能利用平台提高自我管理行为的能力,医师通过平台对患者进行包括随访、评估、健康教育等一系列诊疗内容。相比传统的诊疗方式,网络远程医疗系统费用低、不受时间、空间、地域限制,易于被患者接受。
2“社区糖尿病网络管理平台”的开发及设计依据
网络远程医疗系统管理模式同样可应用于社区糖尿病的管理。目前国内外使用的糖尿病网络管理,主要还是通过网络上传检验数值,停留在信息及数据采集阶段,缺少医师与患者之间的互动,难以达到为病人提供随时、方便的诊疗要求,较难体现糖尿病病人应进行自我管理,从而达到自主、自助、互助的要求。2013年针对这些不足,结合社区糖尿病患者的特点,我们自行研发了"社区糖尿病网络管理平台"。通过平台的运作,一方面,社区糖尿病患者可随时输入血糖及相关信息,即时了解糖尿病病情及健康教育等信息,随后得到来自全科医师的病情评估与诊疗建议;另一方面,同时全科医师也可利用平台对有需求的社区糖尿病患者进行指导和随访管理,从网络层面实现了医务人员与患者之间的交流、沟通,是对社区糖尿病患者尤其是中青年患者的依从性提升方面进行了积极的尝试。
3“社区糖尿病网络管理平台”系统概述
“社区糖尿病网络管理平台”系统采用微软VisualStudio为开发平台,以SQLServer为数据库管理平台,以IE浏览器为前端运行环境,在Windowsxp及以上系统均可应用,设计简明,易于操作,便于掌握及推广。系统由糖尿病门诊系统、网络管理平台和医患互动板块三部分组成,分别设立全科医师和病患两个进入端口,具有诊断、治疗方案推荐、分类分级管理、疗效评估、预约提醒、查询统计打印六大功能。
3.1糖尿病门诊系统
“糖尿病门诊系统”是为后续的“糖尿病网络管理平台”服务的,其模拟社区糖尿病门诊流程,只需按照常规门诊流程将患者的个人基本信息、主诉、糖尿病危险因素、实验室检查结果等录入系统(如年龄、性别、空腹血糖、餐后2h血糖、糖化血红蛋白、血压、心率、身高、体重、腰臀围等),系统可直接判断该名患者的糖尿病管理类别、等级,并向全科医师提供多项辅助治疗方案。患者就诊一次系统即可自动更新为一条新的记录,并根据其相应的管理级别定期向患者短信或邮件发送复诊提醒。同时系统兼具病史打印功能,可将记录直接打印到就医手册,不影响患者日常就诊的使用。
3.2糖尿病网络管理平台
该平台涵盖了目前社区糖尿病管理的全部内容:包括建立患者档案、定期随访、年度评估转组和质量控制几个方面,可以借助软件轻松完成对患者的日常随访,也可计算建卡率、管理率、规范管理率、血糖控制率等评价指标,对常规工作进行质量评价,完成相关统计报表,减轻社区糖尿病管理工作的负担,通过数据形象地进行管理评估。
3.3糖尿病医患互动板块
医患互动版块是前述两大模块服务的进一步延续,也是该平台的大胆尝试。一方面,可以利用平台的“宣教活动”开展网络健康教育:内容涵盖糖尿病的病因、发病机制、临床表现、治疗原则、常见并发症、诊治新进展及常用糖尿病药物的作用、可能出现的副反应以及用药注意事项等糖尿病防治知识。另一方面,医患交流平台的开设,意在建立以患者需求为主导的防治病意识,通过答疑解惑的方式,让社区糖尿病患者更积极地参与到疾病的防治当中。
4社区糖尿病网络管理平台的应用与思考
一、当前局域网网络安全现状
主要的网络安全威胁有以下几方面:自然灾害、意外事故;计算机犯罪;人为行为,比如使用不当,安全意识差等;“黑客”行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
对于一个企业来说网络安全问题具体表现在以下的一些方面。一是网络共享与恶意代码防控。网络共享方便了不同用户、不同部门、不同单位等之间的信息交换,但是,恶意代码利用信息共享、网络环境扩散等漏洞,影响越来越大。二是信息化建设超速与安全规范不协调。网络安全建设缺乏规范操作,常常采取“亡羊补牢”之策,导致信息安全共享难度递增,也留下安全隐患。三是信息产品国外引进与安全自主控制。国内信息化技术严重依赖国外,从硬件到软件都不同程度地受制于人。这是我国的一种普遍现象。四是IT产品单一性和大规模攻击问题。信息系统中软硬件产品单一性,如同一版本的操作系统、同一版本的数据库软件等,这样一来攻击者可以通过软件编程,实现攻击过程的自动化,从而常导致大规模网络安全事件的发生。五是IT系统复杂性和漏洞管理。多协议、多系统、多应用、多用户组成的网络环境,复杂性高,存在难以避免的安全漏洞。六是网络攻击突发性和防范响应滞后。网络攻击者常常掌握主动权,而防守者被动应付。攻击者处于暗处,而攻击目标则处于明处。这就导致网络攻击很难被防范。七是内外网络隔离安全和数据交换方便性的矛盾。这两者之间是必然会存在矛盾的。由于网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。网络入侵者可以涉透到内部网络系统,窃取数据或恶意破坏数据。八是安全岗位设置和安全管理策略实施难题。在企业中即使网络管理人员有再好的建议,也不一定能够得到上级部门的响应。
二、对网络问题进行防范的管理措施
(一)构建完善的安全防范体系
域网络的安全防范是一个系统的工程,这个该工程并不是仅仅依赖使用各种技术先进的安全设备就能够实现的,它更加注重的是通过正确合理的网络结构设计、规划和组织的整体性。同时还需要制定出严密完善的安全技术规范、管理制度,并且配备高水平且有高度的工作责任心的安全技术人才队伍。
要建立起一个完善的安全防范体系需要做好以下几个方面:建立一个由防火墙、入侵检测系统、防病毒软件、网管软件及其他如过滤系统、桌面管理系统等组成的全方位安全防范系统。
1防火墙系统
防火墙系统是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,它是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。在网络的入口部署防火墙是防范来自外部网络攻击最常用的方法。
2入侵检测系统
它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。IDS在网络中的位置一般选择在:(1)尽可能靠近攻击源;(2)尽可能靠近受保护资源。这些位置通常在服务器区域的交换机上,Internet接入路由器之后的第一台交换机上,重点保护网段的局域网交换机上。
3过滤系统
现在网络安全产品越来越成熟,部署这些系统时,在INTERET网关上配置硬件的病毒过滤网关,实现全网分布式的病毒防护。但是必须建立起各系统之间的联动,配合使用,这样当一个系统发现问题时其他系统能够立刻响应进行相关的防范。
(二)加强日常维护
进行局域网日常维护时,主要要做好以下几项工作。
确定安全策略。网络安全策略需要事先就制定好,不能够等到发生入侵之后才想起来制定那个策略。
检测防火墙的配置是否正确合理。虽然局域网硬件配置了硬件防火墙,各客户端也配制了软件防火墙。但是其中任何一种防火墙都有可能被攻破,甚至是失去效用。因此,必须要定期进行检查,让防火墙能够正常工作。
及时更防病毒系统。虽然在网关里建立起防病毒机制能够解决一部分问题。但是在企业的整个防病毒战线中,只能够将网关防病毒当作是一种附加的防线,不能够将其作为一个防病毒的主要工具。所以必须要及时的升级防病毒库,以保证其是最新的。
加强服务器建设。服务器是整个局域网的核心,所以必须要加强服务器的安全设置。要及时的删除或者禁用不需要的东西,将服务器安装到最精简的程度(不能够放过必要的安全设置)。删除或者修改设备和软件通常配置的默认用户名密码访问、来宾和匿名账户以及默认共享。
三、提高局域网网络管理效率
在进行网络维护的过程中,我们要从多方面出发,提高局域网网络维护的工作效率。
(一)学会利用“本地连接”,提高网络维护效率
在平时的网络维护过程中,我们会经常与“本地连接”打交道。如此一来网络维护的效率,就与“本地连接”息息相关了。
利用本地连接解决网络访问隐性故障。某局域网中有一台计算机不能正常访问内网中的文件服务器,笔者进入该计算机的“本地连接”属性设置对话框,发现该计算机不但可以正常向外面发送数据信息,而且也能正常从外面接受数据信息,可是该计算机却始终不能访问内网中的文件服务器。经过仔细观察,笔者看到故障计算机的网卡设备信号灯状态有点不正常,这说明网卡的工作状态也是不正常的。笔者通过各种方法都没有检测到问题,最后是通过重新创建了一个网络访问连接解决问题。
利用“本地连接”通透本地网络流量状态。我们可以使用第三方专业工具,来让计算机系统的“本地连接”图标显示更加详细的本地网络流量状态内容,比方说我们可以从网上下载使用“DUMeter”这样的专业工具,来让系统托盘区域处的“本地连接”图标显示更多的网络流量状态信息,成功安装好该专业工具后,“本地连接”图标既可以直观地显示出在任意一个时间段内的本地网络流量大小信息,又能显示出每天、每周或者每月的本地网络流量大小。
利用“本地连接”追踪潜在网络访问错误。当我们选中了“本地连接”图标的“连接后在通知区域显示图标”属性选项后,日后就可以从系统任务栏右下角处的“本地连接”图标上看到各种网络访问状态信息,依照这些信息能够快速追踪到本地系统的网络错误。
(二)即时监控让网络管理效率更高效
在规模较大的局域网环境中,单纯依靠网络管理员手工力量管理、维护网络时,那工作量无疑是相当巨大的,而且网络管理效率也不会高到哪里。因此,我们可以利用工具来对网络进行即时监控,从而减少工作量,例如NetControl工具。网络维护人员可以将自己单位局域网中的所有工作站以及其他重要网络设备全部加入到一个电子拓扑图中,之后NetControl工具会对电子拓扑图中的每一台工作站网络连通状态进行即时、动态监控,并且还会自动将动态监控出来的结果显示出来,从电子拓扑图中就能一眼看出此时局域网网络究竟什么位置发生了连通性故障,这样一来网络维护人员就能快速、高效地解决网络故障了。
(三)利用局域网管理辅助软件提高网络维护效率
要想提高网络维护效率,必然就会必须借助各种辅助软件,例如“网络执法官”、上面所介绍的NetControl。“网络执法官”是一款局域网管理辅助软件,采用网络底层协议,能穿透各客户端防火墙对网络中的每一台主机(本文中主机指各种计算机、交换机等配有IP的网络设备)进行监控;采用网卡号(MAC)识别用户,可靠性高;软件本身占用网络资源少,对网络没有不良影响。软件不需运行于指定的服务器,在网内任一台主机上运行即可有效监控所有本机连接到的网络(支持多网段监控)。
