廈門大學校園網管理

2019-11-04 22:38:29

字體：大中小

來源：轉載

供稿：網友

　　網絡治理是網絡的靈魂，為保證計算機網絡穩定高效地運行，網絡治理起著非常重要的作用，網絡治理的好壞直接影響到網絡的運行質量，對于像廈門大學這樣一個較大規模的校園網絡來說尤其如此。廈門大學校園網采用核心層、分布層和接入層三層網絡體系結構，分為網管中心、建設、學生、物理、信息、政法六大區域。共有數千個節點，其中幾百臺服務器為全校師生提供文獻檢索、科學計算、遠程教學、輔助辦公、文件服務、電子郵件、多媒體教案等多種服務，在學校的教學和科研中發揮著重要作用，同時，廈大校園網還是中國教育科研網在福建省的出口。為了保證網絡優質高效地運行，廈大選用IBM NetView為網絡治理平臺，對校園網運行情況進行監視、分析和監控，主要從以下幾個方面對網絡進行了較為有效的治理。
　　
　　一.差錯治理
　　
　　差錯治理是判定、查找、排除網絡故障的過程，它是廈大校園網治理中最重要的任務。假如沒有規范的差錯治理模式，網絡治理員將花費大量的時間和精力用于排除故障以保持網絡的正常運行。反之，就可以大大減少處理故障的時間，提高網絡運行效率。為了盡早的發現問題，排除故障，廈大從以下幾個方面加強了差錯治理工作。
　　１. 利用NetView 加強對網絡的監控，NetView 可通過主動輪詢的方式檢查網絡的連接和設備狀態。網管人員可根據需要和具體情況設置間隙時間的長短，NetView 可自動對網上ip 資源的狀態，配置和事件進行監控，甚至一個參數的改變NetView 都可以收到報告。其所采用的圖形方式使網管人員可以更加直觀地實時監測網絡設備的狀況，可根據顯示的顏色判
　　斷網絡設備運行正常與否，對故障迅速定位，減少故障判定過程，提高事故處理速度。
　　2. 在操作系統和數據庫系統中，都有用于治理跟蹤和故障記錄的日志文件，自動記錄了網絡中服務、應用及硬件發生的錯誤、警告或消息標識。網絡治理人員可充分利用這些信息進行網絡運行狀態分析和趨勢猜測，及時發現潛在的隱患。我們知道，網絡負載增加對流量過載的影響是漸進的，數據庫的表空間、服務器的磁盤空間也是逐漸減少的，因此，只要網絡治理員加強監控，在警戒位進行相應處理，就可以預防系統性能的下降。在NetView 中還可以對某些重點監控的對象，如某個網段、某臺服務器的網絡流量設置閥值，一旦達到了所設的閥值時，NetView 會自動報警并執行相應的處理，例如，可用NetView 監控要害網段的數據流量及重要服務器上的硬盤空間利用率，當他們達到80%時，NetView 可自動向網管中心發出報警信息，使網絡治理員及時采用措施避免網絡故障，從而減少網絡故障發生的概率，提高網絡的可靠性。
　　要想迅速排除網絡故障不是一件很輕易的事，網絡無論在物理上還是在概念上都是由具有復雜軟硬件的很多層疊加而成的，大部分的網絡問題比較隱蔽。一個網絡治理員，必須對網絡的層次關系、物理連結、拓撲結構有清楚的了解，才能透過種種表象，做出正確的邏輯判定，分析出引起故障的實質所在，從而迅速定位，提高處理故障速度。
　　
　　
　　二、性能治理
　　
　　性能治理主要指系統調整，整體容量規劃和性能故障查找。目的是維護和改進廈大網絡的速度、響應時間、靈活性和適應性。為此利用NetView 、網絡測試儀以及網絡設備自帶的網管工具，對網絡帶寬的利用率、網絡碰撞狀態、幀級錯誤、廣播數據等參數的瞬間值、平均值、最大值和累計值進行統計分析，實時顯示占用帶寬最多的幾種協議所占比例，監測網絡最繁忙的網段和站點，提供網絡負載分布情況。網絡治理員可對監測結果進行具體分析，力爭從被動治理模式轉換為主動治理方式，根據數據流量分析結果和不同應用的輕重緩急，利用帶寬分配器，以合理的帶寬治理策略，采用負載均衡和帶寬匹配的原則，對網絡帶寬進行分配和控制，對確定存在的網絡瓶頸提出網絡擴展、增加帶寬的解決方案。
　　
　　在性能治理中，我們既通過增強或改善網絡狀況的靜態措施來提高網絡的性能，如增強網絡服務器能力、采用更先進的網絡設備等手段來改善網絡環境。但更為重要的是在網絡治理中采用負載平衡等動態措施充分發揮網絡潛能，提高網絡性能。
　　
　　三、配置治理
　　
　　1. 配置治理任務包括網絡地址分配、子網劃分、維護更新網絡最新拓撲結構圖和設備清單及其參數設置。
　　同大多數網絡一樣，廈大網絡采用的是TCP/IP協議，因此IP地址的合理分配就成了網絡治理員的一項重要工作。廈門大學的計算機網絡按院、系劃分為若干個子網，這樣既可解決IP地址不足的問題，又可減少網絡的數據傳輸量，增加網絡的安全性。
　　其具體步驟如下：
　　按院、系確定所需子網數目；
　　確定每個子網上的節點數；
　　定義整個網絡的子網掩碼；
　　分配子網號和各節點的IP地址。
　　網管人員根據以上步驟建立了規范的IP地址分配表，登記備案。同時，還利用網管軟件和操作系統提供的ARP功能，收集相應信息并形成IP地址與硬件MAC地址的對應表，以加強IP地址治理，保證IP地址的唯一性。
　　
　　2. 對不同的子網，可視具體情況采用不同辦法進行隔離。對獨處一個物理網段上的院、系子網，可采用三層交換機和路由器，也可利用Windows NT、windows 2000、UNIX等操作系統的路由功能實現，根據各子網的具體情況靈活配置。某些專用子網，由于其站點分布在校內不同地方，處于多個物理網段上，只能采用虛擬子網技術克服環境的制約，在不改動網絡物理連接的情況下為其配置各自的虛擬子網，靈活方便地實現跨越全校的專用子網。
　　
　　3. 完整的文檔是網絡配置治理任務中的重要組成部分，是對網絡資源使用情況進行治理的重要過程。具體完整的文檔是網絡配置過程的整體部分之一。網絡配置文檔應包括多種基本內容：硬件配置、軟件配置、用戶及其訪問權限分配記錄。廈大還利用NetView自動發現網上IP資源，生成最新的網絡拓撲圖，并按骨干網絡設備的名稱、IP地址、參數設置、物理位置等相關信息自動生成配置報告。由于廈大網絡進行了科學合理的配置，并有完整準確的文檔記錄，因此大大減少了用于“救火”的時間。實踐表明，網絡配置文檔越完善、更新越及時，則處理網絡故障的時間就越短。
　　
　　四、安全治理
　　
　　隨著計算機應用在廈大的普及和深入，安全治理越來越成為網絡治理的一個重要組成部分。廈大網絡安全治理主要有以下幾項工作：
　　1. 利用防火墻的安全等級和權限設置，有選擇地對源地址、目的地址、TCP端口號、協議類型進行篩選，控制數據包的傳送，禁止外部網絡訪問內部網絡，防止來自外部的惡意攻擊。
　　2. 利用虛擬網技術，將全校分布在不同部門、不同網段上的辦公應用服務器劃分為一個虛擬子網，限制用戶對其訪問。出開放必要的端口外，其他端口和服務安全禁止，以增加安全性。為了避免用戶濫用網絡資源，對不同的虛擬子網賦予不同的對外訪問權限，如只能訪問校內、只能訪問中國教育科研網、可以訪問整個互聯網等，同時按照IP 地址和用戶帳號進行流量控制和統計，力爭是網絡資源得到更為有效的應用。
　　3. 利用軟硬件所提供的功能采取盡可能多的措施提高網絡的安全性，如在各層交換機端口上綁定MAC地址以防止地址盜用；在網橋上設置過濾功能，限制所能通過的網絡協議和工作站；在數據庫配置中設定有效的IP地址來限制能對其訪問的IP地址范圍。應當看到，隨著技術的發展和網絡結構的變化，網絡安全程度必然是動態變化的，必須不斷采用新的安全治理措施，加強系統的安全。

上一篇：輕松配置組播 組播快速配置指南

下一篇：配置風暴控制(storm control)