网络治理是网络的灵魂,为保证计算机网络稳定高效地运行,网络治理起着非常重要的作用,网络治理的好坏直接影响到网络的运行质量,对于像厦门大学这样一个较大规模的校园网络来说尤其如此。厦门大学校园网采用核心层、分布层和接入层三层网络体系结构,分为网管中心、建设、学生、物理、信息、政法六大区域。共有数千个节点,其中几百台服务器为全校师生提供文献检索、科学计算、远程教学、辅助办公、文件服务、电子邮件、多媒体教案等多种服务,在学校的教学和科研中发挥着重要作用,同时,厦大校园网还是中国教育科研网在福建省的出口。为了保证网络优质高效地运行,厦大选用IBM NetView为网络治理平台,对校园网运行情况进行监视、分析和监控,主要从以下几个方面对网络进行了较为有效的治理。
一.差错治理
差错治理是判定、查找、排除网络故障的过程,它是厦大校园网治理中最重要的任务。假如没有规范的差错治理模式,网络治理员将花费大量的时间和精力用于排除故障以保持网络的正常运行。反之,就可以大大减少处理故障的时间,提高网络运行效率。为了尽早的发现问题,排除故障,厦大从以下几个方面加强了差错治理工作。
1. 利用NetView 加强对网络的监控,NetView 可通过主动轮询的方式检查网络的连接和设备状态。网管人员可根据需要和具体情况设置间隙时间的长短,NetView 可自动对网上IP 资源的状态,配置和事件进行监控,甚至一个参数的改变NetView 都可以收到报告。其所采用的图形方式使网管人员可以更加直观地实时监测网络设备的状况,可根据显示的颜色判
断网络设备运行正常与否,对故障迅速定位,减少故障判定过程,提高事故处理速度。
2. 在操作系统和数据库系统中,都有用于治理跟踪和故障记录的日志文件,自动记录了网络中服务、应用及硬件发生的错误、警告或消息标识。网络治理人员可充分利用这些信息进行网络运行状态分析和趋势猜测,及时发现潜在的隐患。我们知道,网络负载增加对流量过载的影响是渐进的,数据库的表空间、服务器的磁盘空间也是逐渐减少的,因此,只要网络治理员加强监控,在警戒位进行相应处理,就可以预防系统性能的下降。在NetView 中还可以对某些重点监控的对象,如某个网段、某台服务器的网络流量设置阀值,一旦达到了所设的阀值时,NetView 会自动报警并执行相应的处理,例如,可用NetView 监控要害网段的数据流量及重要服务器上的硬盘空间利用率,当他们达到80%时,NetView 可自动向网管中心发出报警信息,使网络治理员及时采用措施避免网络故障,从而减少网络故障发生的概率,提高网络的可靠性。
要想迅速排除网络故障不是一件很轻易的事,网络无论在物理上还是在概念上都是由具有复杂软硬件的很多层叠加而成的,大部分的网络问题比较隐蔽。一个网络治理员,必须对网络的层次关系、物理连结、拓扑结构有清楚的了解,才能透过种种表象,做出正确的逻辑判定,分析出引起故障的实质所在,从而迅速定位,提高处理故障速度。
二、性能治理
性能治理主要指系统调整,整体容量规划和性能故障查找。目的是维护和改进厦大网络的速度、响应时间、灵活性和适应性。为此利用NetView 、网络测试仪以及网络设备自带的网管工具,对网络带宽的利用率、网络碰撞状态、帧级错误、广播数据等参数的瞬间值、平均值、最大值和累计值进行统计分析,实时显示占用带宽最多的几种协议所占比例,监测网络最繁忙的网段和站点,提供网络负载分布情况。网络治理员可对监测结果进行具体分析,力争从被动治理模式转换为主动治理方式,根据数据流量分析结果和不同应用的轻重缓急,利用带宽分配器,以合理的带宽治理策略,采用负载均衡和带宽匹配的原则,对网络带宽进行分配和控制,对确定存在的网络瓶颈提出网络扩展、增加带宽的解决方案。
在性能治理中,我们既通过增强或改善网络状况的静态措施来提高网络的性能,如增强网络服务器能力、采用更先进的网络设备等手段来改善网络环境。但更为重要的是在网络治理中采用负载平衡等动态措施充分发挥网络潜能,提高网络性能。
三、配置治理
1. 配置治理任务包括网络地址分配、子网划分、维护更新网络最新拓扑结构图和设备清单及其参数设置。
同大多数网络一样,厦大网络采用的是TCP/IP协议,因此IP地址的合理分配就成了网络治理员的一项重要工作。厦门大学的计算机网络按院、系划分为若干个子网,这样既可解决IP地址不足的问题,又可减少网络的数据传输量,增加网络的安全性。
其具体步骤如下:
按院、系确定所需子网数目;
确定每个子网上的节点数;
定义整个网络的子网掩码;
分配子网号和各节点的IP地址。
网管人员根据以上步骤建立了规范的IP地址分配表,登记备案。同时,还利用网管软件和操作系统提供的ARP功能,收集相应信息并形成IP地址与硬件MAC地址的对应表,以加强IP地址治理,保证IP地址的唯一性。
2. 对不同的子网,可视具体情况采用不同办法进行隔离。对独处一个物理网段上的院、系子网,可采用三层交换机和路由器,也可利用Windows NT、windows 2000、UNIX等操作系统的路由功能实现,根据各子网的具体情况灵活配置。某些专用子网,由于其站点分布在校内不同地方,处于多个物理网段上,只能采用虚拟子网技术克服环境的制约,在不改动网络物理连接的情况下为其配置各自的虚拟子网,灵活方便地实现跨越全校的专用子网。
3. 完整的文档是网络配置治理任务中的重要组成部分,是对网络资源使用情况进行治理的重要过程。具体完整的文档是网络配置过程的整体部分之一。网络配置文档应包括多种基本内容:硬件配置、软件配置、用户及其访问权限分配记录。厦大还利用NetView自动发现网上IP资源,生成最新的网络拓扑图,并按骨干网络设备的名称、IP地址、参数设置、物理位置等相关信息自动生成配置报告。由于厦大网络进行了科学合理的配置,并有完整准确的文档记录,因此大大减少了用于“救火”的时间。实践表明,网络配置文档越完善、更新越及时,则处理网络故障的时间就越短。
四、安全治理
随着计算机应用在厦大的普及和深入,安全治理越来越成为网络治理的一个重要组成部分。厦大网络安全治理主要有以下几项工作:
1. 利用防火墙的安全等级和权限设置,有选择地对源地址、目的地址、TCP端口号、协议类型进行筛选,控制数据包的传送,禁止外部网络访问内部网络,防止来自外部的恶意攻击。
2. 利用虚拟网技术,将全校分布在不同部门、不同网段上的办公应用服务器划分为一个虚拟子网,限制用户对其访问。出开放必要的端口外,其他端口和服务安全禁止,以增加安全性。为了避免用户滥用网络资源,对不同的虚拟子网赋予不同的对外访问权限,如只能访问校内、只能访问中国教育科研网、可以访问整个互联网等,同时按照IP 地址和用户帐号进行流量控制和统计,力争是网络资源得到更为有效的应用。
3. 利用软硬件所提供的功能采取尽可能多的措施提高网络的安全性,如在各层交换机端口上绑定MAC地址以防止地址盗用;在网桥上设置过滤功能,限制所能通过的网络协议和工作站;在数据库配置中设定有效的IP地址来限制能对其访问的IP地址范围。应当看到,随着技术的发展和网络结构的变化,网络安全程度必然是动态变化的,必须不断采用新的安全治理措施,加强系统的安全。