資源描述:
《可管理性網(wǎng)絡(luò)設(shè)計(jì)探討》由會員上傳分享����,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1���、可管理性網(wǎng)絡(luò)設(shè)計(jì)探討劉為張長順新疆石油管理局鉆井公司信息服務(wù)中心摘要:網(wǎng)絡(luò)可管理性已經(jīng)受到網(wǎng)絡(luò)管理人員的高度重視�����,在今后的網(wǎng)絡(luò)建設(shè)中���,如何設(shè)計(jì)一個(gè)可管理性網(wǎng)絡(luò)成為網(wǎng)絡(luò)建設(shè)中一個(gè)不可不考慮的問題����。本文分別從用戶管理�,網(wǎng)絡(luò)設(shè)備管理,服務(wù)器管理��,電力管理��,機(jī)房環(huán)境管理����,遠(yuǎn)程可控管理,移動(dòng)管理以及資產(chǎn)管理等方面�,詳細(xì)探討了如何設(shè)計(jì)一個(gè)可管理性網(wǎng)絡(luò)以及其存在的重要性和必然性。關(guān)鍵詞:用戶管理���;設(shè)備管理��;SNMP�����;集群�����;可控管理�;IEEE802.1x;Radius���;VPN隧道1.前言作為大型石油企業(yè)其網(wǎng)絡(luò)建設(shè)開始于上世紀(jì)九十年代��,由于當(dāng)時(shí)技
2��、術(shù)條件以及設(shè)備性能的限制�����,網(wǎng)絡(luò)的可管性還沒有被大家認(rèn)識到。但隨著網(wǎng)絡(luò)建設(shè)逐步擴(kuò)大���,聯(lián)接到網(wǎng)絡(luò)上的用戶���、設(shè)備以及下級局域網(wǎng)越來越多����。網(wǎng)絡(luò)中設(shè)備的管理�,維護(hù)以及網(wǎng)絡(luò)性能的監(jiān)控就變得尤為重要。那么如何去設(shè)計(jì)一個(gè)可管理性網(wǎng)絡(luò)就成為網(wǎng)絡(luò)建設(shè)一個(gè)不可不考慮的問題�。2.可管理性網(wǎng)絡(luò)所謂可管理性網(wǎng)絡(luò)是指能夠?qū)崿F(xiàn)對網(wǎng)絡(luò)資產(chǎn)和資源統(tǒng)一管理,將技術(shù)人員從繁重的網(wǎng)絡(luò)設(shè)置和維護(hù)工作中解放出來����,同時(shí)能將網(wǎng)絡(luò)整體狀況及時(shí)上報(bào)管理人員的一個(gè)穩(wěn)定、安全�、高效的網(wǎng)絡(luò)系統(tǒng)?��;旧蠎?yīng)該包括:用戶的可管理性���、網(wǎng)絡(luò)交換設(shè)備的可管理性、服務(wù)器的可管理性����、電力系統(tǒng)的可管理性、
3�����、機(jī)房環(huán)境的可管理性、存儲系統(tǒng)的可管理性以���、網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程可控管理����、移動(dòng)管理以及資產(chǎn)管理�����。3.用戶可管理性用戶可管理性是網(wǎng)絡(luò)可管理性一個(gè)重要標(biāo)志�,也是網(wǎng)絡(luò)管理中一項(xiàng)繁瑣、復(fù)雜的工作���。其中包括針對用戶的認(rèn)證管理和服務(wù)管理��。3.1.用戶認(rèn)證管理過去的網(wǎng)絡(luò)是無法對用戶進(jìn)行有效管理的���,網(wǎng)絡(luò)用戶對于網(wǎng)絡(luò)管理人員來說基本上是處于一種半游離的狀態(tài)。管理人員所涉及到的也僅僅是用戶IP地址����,用戶MAC地址等一些基本信息管理。而對于用戶的認(rèn)證管理��,角色管理�,安全管理等,可以說是無能為力�����。用戶的可管理即是要求我們能夠?qū)ι鲜鏊杏脩粜畔⑦M(jìn)行有效管理���。用戶
4����、基本信息管理相對簡單�����,但對于認(rèn)證管理��,角色管理和安全管理卻存在一定難度�����。雖然用戶認(rèn)證管理技術(shù)在電信寬帶用戶中已經(jīng)比較成熟����,但對于大型企業(yè)網(wǎng)還很少運(yùn)用����。借鑒電信的用戶信息管理技術(shù)�,我們可以采用PPPoE、802.1x或者是WindowsAD����、RADIUS等現(xiàn)有的寬帶用戶認(rèn)證管理技術(shù)進(jìn)行用戶的識別和認(rèn)證。239WindowsAD(ActiveDirectory)是Windows2000操作平臺中的核心組件之一���,存儲了有關(guān)網(wǎng)絡(luò)對象的信息��,供管理員���、用戶和應(yīng)用程序使用。它使得組織機(jī)構(gòu)可以有效地共享和管理網(wǎng)絡(luò)資源和用戶信息��?��;顒?dòng)目錄可在簡
5�����、化管理���、增加安全性、擴(kuò)展互操作性等方面為用戶提供極大便利���。但是WindowsAD服務(wù)承載能力有限���,系統(tǒng)資源消耗很大,這些都導(dǎo)致WindowsAD在企業(yè)中不能大規(guī)模地運(yùn)用��。RADIUS是一種C/S結(jié)構(gòu)協(xié)議�,它的客戶端最初就是NAS(NetAccessServer)服務(wù)器,現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端���。RADIUS協(xié)議認(rèn)證機(jī)制靈活�,可以采用PAP���、CHAP或者Unix登錄認(rèn)證等多種方式���。RADIUS是一種可擴(kuò)展的協(xié)議,它進(jìn)行的全部工作都是基于Attribute-Length-Value的向
6�����、量進(jìn)行。RADIUS的基本工作原理是:用戶接入NAS����,NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息,包括用戶名�、密碼等相關(guān)信息,其中用戶密碼是經(jīng)過MD5加密的�����,雙方使用共享密鑰���,這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播��。RADIUS是目前最常用的認(rèn)證計(jì)費(fèi)協(xié)議之一�,它簡單安全�����,易于管理���,擴(kuò)展性好���,所以得到廣泛應(yīng)用�。但是由于協(xié)議本身的缺陷����,比如基于UDP的傳輸�����、簡單的丟包機(jī)制�����、沒有關(guān)于重傳的規(guī)定和集中式計(jì)費(fèi)服務(wù)�,都使得它不太適應(yīng)當(dāng)前網(wǎng)絡(luò)的發(fā)展,需要進(jìn)一步改進(jìn)���。PPPoE(PPPoverEthernet)是在以太網(wǎng)上建立
7����、PPP連接的認(rèn)證技術(shù)��,由于以太網(wǎng)技術(shù)十分成熟且使用廣泛����,而PPP協(xié)議在傳統(tǒng)的撥號上網(wǎng)應(yīng)用中顯示出良好的可擴(kuò)展性和優(yōu)質(zhì)的管理控制機(jī)制����,二者結(jié)合而成的PPPoE協(xié)議得到了寬帶接入運(yùn)營商的認(rèn)可并廣為采用�。但可以看出,PPPOE并不是為寬帶以太網(wǎng)量身定做的認(rèn)證技術(shù)�,將其應(yīng)用于寬帶以太網(wǎng),必然會有其局限性�,尤其是它的封裝方式也造成了寬帶以太網(wǎng)發(fā)展中的種種問題。IEEE802.1x是一個(gè)基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn)�����。最早它是無線以太網(wǎng)遵循的一種應(yīng)用協(xié)議�。802.1x的實(shí)質(zhì)是對以太網(wǎng)端口進(jìn)行鑒權(quán),采用了“可控端口”和“不可控端口”的邏輯功能��,有
8�����、效實(shí)現(xiàn)了業(yè)務(wù)與認(rèn)證的分離�����。在802.1x的認(rèn)證體系結(jié)構(gòu)中,業(yè)務(wù)與認(rèn)證分離����,業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上通過可控端口進(jìn)行交換;通過認(rèn)證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包�����。而且由于802.1x認(rèn)證包采用了在不可控通道中的獨(dú)立處理的方式�,因此認(rèn)證處理容量可以很大�,
