第4章
網絡管理和網絡安全

4.1 網絡管理概述

4.1.1 概述

1．基于客戶機/服務器模式的網絡結構和計算模式

網絡管理員若想有效地對網絡進行全方位的管理，必須熟悉掌握網絡的基本架構和計算模式。目前流行的網絡架構和計算模式有多種，本節主要選取其中比較典型的客戶機/服務器（client/server，簡稱C/S）模式，并且結合目前廣泛使用的Windows 2000 Server網絡操作系統來介紹網絡基本計算模式在網絡管理中的地位和作用。

（1）什么是客戶機/服務器模式

在介紹客戶機/服務器模式的具體概念之前，我們先簡單回顧網絡計算模式的主要發展過程，也就是C/S模式的前身。

計算機網絡技術發展的早期一般采用集中式的計算模式，在這種計算模式下，傳統大型機作為網絡的計算中心，眾多的客戶機共享大型機的中央處理器和數據存儲器等硬件資源，以及操作系統和文件存儲系統等軟件資源。這種共享是通過不同的客戶分時地使用大型機的資源來實現的，使得每一個客戶感覺就像是自己在單獨使用計算機一樣。所以這種模式也被稱為分時共享模式（time-sharing）。這種模式的缺點是當網絡中所要傳輸的數據量非常大時，大型機可能成為瓶頸，從而降低網絡的效率。

20世紀80年代后出現了以服務器為中心的計算模式。這時的個人計算機在處理大型計算任務時往往力不從心，所以產生了個人計算機與服務器相結合的以服務器為中心的計算模式，這種模式的產生得益于現代計算機網絡的高速發展。與大型機計算模式不同的是，在以服務器為中心的計算模式下，每臺客戶機都有自己的操作界面和應用程序，而服務器主要用于共享資源的管理。例如，服務器可以用于外設的擴展，像共享的打印機、硬盤、調制解調器等。所以，這種模式也被稱作是資源共享（resource-sharing）模式。

此后，隨著個人計算機的性能不斷提高，為了最大程度上發揮網絡中客戶機和服務器的資源和性能，出現了所謂客戶機/服務器（C/S）的計算模式（見圖4-1）。在這種模式下，客戶機也被稱作是前端（front-end），服務器也被稱作是后端（back-end）。工作時用戶先在前端發出請求，后端服務器接受到請求之后進行響應和處理，并將結果返回給客戶機。

（2）客戶機/服務器計算模式的特點

這種模式比起之前的計算模式，最大的特點就是把一個應用分配給運行在不同的計算機上的不同的進程，而這些計算機都是通過網絡互聯起來的。客戶機和服務器各自使用自己的資源和能力來共同完成一個任務。目前大多數網絡均采用這種流行的工作模式。

C/S計算模式的另一個主要特點就是強大的資源共享能力，這種資源共享與傳統的資源共享模式中的共享是不一樣的。傳統的以服務器為中心的資源共享模式中，服務器主要是一個擴展的外設，它除了為客戶機提供下載文件和數據之外，沒有獨立的操作和應用。每一個客戶機就像使用本機外設一樣使用服務器及與之相連的外設。而在客戶機/服務器模式下，一項任務是前端的客戶機和后端的服務器合作完成的?？蛻魴C為用戶提供一個交互界面并完成與用戶之間的交互，而當客戶機上的應用無法完成整個任務時，就將這部分任務發送給后端的服務器。后端服務器在接受到來自前端的請求后響應此項請求并完成處理工作，然后將處理的結果再返回給前端。這時服務器不再是一個簡單的擴展外設，而是一個有獨立操作和應用的可以完成客戶機所請求的工作的主機（見圖4-2、圖4-3）。

（3）客戶機與服務器的工作機制和相關配置

客戶機是該計算模式中的重要組成部分，其最主要的功能是在系統和用戶之間提供了一個交互平臺。以數據庫管理系統（database management system, DBMS）為例，用戶對數據庫的所有操作都是在客戶機上進行的，客戶機上的應用程序為用戶提供了一個接口和操作界面。這個操作界面的作用有兩個，一是接收用戶命令，二是返回后臺服務器處理的結果。當然，客戶機還可以提供除了應用程序的操作界面之外的管理控制和系統維護界面。與傳統的以大型機為中心的集中計算模式所不同的是，客戶機/服務器模式中可以有多個不同的客戶機，因而操作界面也可以多種多樣。而在前者中，所有的操作界面都是一樣的。

有了客戶機所提供的操作界面，用戶就可以高效并且方便地與系統進行交互。因為應用程序的操作界面在很大程度上屏蔽了客戶機與服務器端的交互細節。比如在DBMS系統中，用戶在客戶機中輸入的命令不一定是SQL格式，相反，可以是快捷鍵、下拉菜單等命令?？蛻魴C在接受到這些命令以后對其進行檢查，看看是否有錯誤。客戶機可以單獨完成用戶請求時就不與服務器進行交互，而當客戶機無法完成用戶的請求時，就將請求以一定的格式發送到后端的服務器，然后等待服務器的處理結果，接收到服務器的處理結果之后再將這個結果以一定的格式呈現給用戶。也就是說，在客戶機/服務器計算模式中，客戶機是系統與客戶之間必不可少的交流平臺。

C/S模式下的服務器則為用戶提供各種計算服務，服務的類型由系統功能來決定。常見的服務器有數據存儲服務器，數據運算服務器等。與客戶機不同，服務器不會直接地和客戶建立聯系，而是通過響應由客戶機發送過來的請求來間接地與客戶進行交互。

還是以DBMS系統為例。數據庫服務器負責響應來自客戶機的命令，當服務器接受到用戶的命令請求之后，按照其要求對數據庫進行操作，比如查詢、增刪、修改、排序等。完成這些命令之后，服務器把處理結果反饋給客戶機（見圖4-4、圖4-5）。

根據不同的任務的需要，服務器的配置方法也有多種。從總體上而言，有兩種配置方法。一種是單個服務器配置。在DBMS系統中，單個服務器的配置方法就是把數據全部存放在一個服務器上，然后由這一個服務器為多個客戶機提供服務。這種配置方式雖然節省了硬件開銷，但是這個單獨的服務器顯然會成為系統的瓶頸。為了阻止這種情況的發生，可以使用另一種分布式的服務器配置方法。分布式服務器配置能夠使工作負荷分散到多個服務器上面，而不只是讓某一個服務器成為全部負荷的節點。而分布式服務器的配置方法又可以分為兩種。一種是所有的服務器上都有一個數據備份，每一個上面都有一個完整的數據庫，但是只有一個是主服務器。主服務器的內容更新時，其他服務器上面的數據相應地進行更新，從而保證與主服務器上數據的一致性。這種模式的好處就是當某一臺服務器的工作負荷過大時，網絡就會將從客戶機發送過來的請求轉移一部分到另外的服務器上面去。第二種分布式服務器配置方法就是由一臺主服務器保存數據庫內的所有的數據，但同時又將一些常用的數據放置到其他的服務器上面。就像cache里面存放的是內存中被經常訪問的數據一樣。這樣一來，當客戶機發出的請求是需要訪問一些常用的數據時，系統就可以把這些請求轉移到對這些非主服務器的訪問上面，從而減輕了主服務器的負擔。采用分布式服務器還有一個好處就是建立了數據冗余，從而可以防止因為意外情況而丟失數據的情況。

（4）客戶機/服務器模式的優勢

首先，客戶機/服務器模式可以最大程度上利用服務器和客戶機的性能，把一個任務分配給多個主機協同完成，相對于傳統的分時共享模式和資源共享模式在性能上有了很大的改進。

其次，因為有了客戶機中的應用程序操作界面作為系統與用戶交互的接口，該模式可以免去服務器與用戶交互的繁雜工作，從而使服務器可以專一地去處理來自客戶機的請求，提高了服務器的工作效率。

第三，因為客戶機只在遇到自己無法處理和解決的問題的時候才發送請求到后臺服務器，因此可以最大程度上優化服務器的共享資源。這樣也同時減少了網絡的通信流量，提高傳輸的效率。

第四，由于在客戶機/服務器模式下，大量的數據是存放在服務器上面的，而應用程序是存放在客戶機上的，這樣就使得數據和應用程序相互隔離，提高了數據的獨立性。另外，由于客戶機不必存放大量數據，節省了客戶機的空間，也提高了客戶機的效率。

2．域的基本概念和相關管理

下面簡單介紹與局域網管理相關的一些概念和組件：

活動目錄?；顒幽夸浭且环N目錄服務，它存儲有關網絡對象的信息。而對象表示網絡中的某種物理對象，比如用戶、組、打印機、共享文件夾、數據庫、應用程序等。而組織單元用來存放對象，就像文件夾可以用來存放文件一樣。當然，組織單元也可以用來存放組織單元本身。

域（domain）。域就是用戶和計算機的邏輯層面上的一個劃分。一個域是由一個或者多個組織單元組成的。在Windows 2000操作系統中，域被定義為安全的邊界。同時，域是活動目錄的組成單元，一個活動目錄由一個或者多個域組成。而且活動目錄可以對其內的組或者用戶進行管理。

域、組織單元和對象之間形成的一個分層結構就稱為樹。在一棵樹中，樹葉是對象，節點（也叫樹枝）是組織單元。若多個域之間通過某種關系相互聯系并且共享公共的架構和全局配置，這種結構就是域樹。

信任關系。信任關系是指在域樹中添加域時，相鄰域之間自動建立起的一種關系。信任關系具有傳遞性。

組可以包含用戶、聯系人、計算機和其他的組。組的功能主要有：管理用戶和計算機對活動目錄對象、文件、目錄等其他相關資源的訪問，創建電子郵件通訊組等。

域控制器。是在其上安裝了活動目錄的計算機。它的主要功能是負責管理用戶對網絡的各種訪問，包括權限的管理、用戶登錄、身份驗證、訪問目錄、資源共享等。

4.1.2 網絡管理基本內容

計算機網絡的誕生和發展使得數以千萬計的計算機可以相互連接，互相通訊或者共同完成一項工作成為可能。計算機網絡規模的不斷擴大一方面帶給人們一種全新的計算理念，改變著計算機領域的發展方向乃至全人類的生活，一方面又帶來了很多問題。畢竟，管理一個計算機網絡已經遠遠不是管理一臺計算機那么簡單了。

另外一方面，隨著網絡規模的突飛猛進，網絡結構的日益復雜，早期那種主要依靠人工輔以簡單的軟件來管理網絡的方式已經不再能滿足人們的需要。一個網絡若想流暢高效地運行，從用戶權限的設置到網絡安全策略的設置，從網絡通信狀況監視和控制到網絡應用軟件的調試等諸多方面都需要高效科學的管理方法和計算機軟件的支持。

從總體上面劃分，計算機網絡的管理可以分為兩大類：一是與軟件相關的，比如網絡安全方面的管理、用戶存取權限的管理、共享資源的管理等。另外就是與硬件相關的，比如對網絡硬件設施的管理，像服務器、路由器、集線器、調制解調器等。

本節將從性能管理、配置管理、計費管理、故障管理和安全管理5個方面來介紹網絡管理的主要內容。

1．網絡性能管理

網絡性能是衡量網絡好壞的一個重要的標準。網絡性能的指標包括系統資源的狀態、系統的響應時間、數據傳遞的速度和方向、數據傳遞的誤碼率、各種物理設備的時延等。而網絡性能管理軟件不僅可以及時地監測到這些信息，還能對其進行分析，并且提出優化和調節的建議。

盡管現在計算機硬件的發展日新月異，網絡帶寬也在不斷地擴大。但是僅僅依靠硬件的提升來改進網絡的性能顯然不是最好的辦法。為了能最大程度地提高網絡的工作性能和用戶的工作效率，網絡管理員有義務借助成熟的網絡性能管理系統來從軟件上面進一步地提升網絡的性能。

2．網絡配置管理

網絡配置管理主要針對的對象是網絡中多種多樣的計算機主機設備，還有與它們相連的網絡通信設備。這些設備是網絡物理結構和邏輯結構的基礎。因為每一個設備的狀態、相對位置甚至結構都可能不斷地發生變化，所以必須要有一個專門的系統去記錄這些設備的相關信息，從而可以統一、科學地管理這些設備的靜態信息和動態變化的情況。

現在的網絡配置管理軟件已經可以自動地發現網絡中的設備，自動地生成網絡拓撲結構等。基于這種系統，網絡管理員可以及時地知道網絡資源的數量、網絡各種物理設備的具體位置、網絡設備的變更情況等。這些數據為及時地排除系統故障、準確地定位系統錯誤提供了第一手的數據。

3．網絡計費管理

網絡的維護需要資金的支持。因此，在很多情況下，網絡管理員需要對用戶使用網絡的情況進行記錄，包括使用的時間、數據流量，依此來收取合理的費用。

當然，計費管理的目的不僅僅局限于收取一定的費用。它的一個很重要的應用就是實現網絡使用者對網絡操作的全局監視，可以用來監控非法入侵、對非法地址的訪問以及非法數據的傳播。

4．網絡故障管理

網絡故障管理可以及時并且準確地發現并且有效地排除網絡中出現的故障。這對整個網絡能否高效地運行至關重要。

故障管理的主要方面包括：故障檢測，隔離定位，故障糾錯，事件記錄，故障報告以及故障恢復等。檢測的對象具體包括主機設備和連接設備等。

5．網絡安全管理

安全管理是網絡管理的最重要的方面之一。網絡安全管理的必要性在于網絡中存在的很多不安全的因素，比如網絡“黑客”的惡意入侵，IP地址的盜用，用戶跨權限訪問等。

當網絡中存在敏感數據時，網絡安全管理就愈發顯得重要。安全管理的主要手段有：對訪問權限進行設置，設置防火墻，對數據進行加密等。關于安全管理的詳細內容我們會在下面進行介紹。