網絡管理

網絡管理 英文名稱：Network Management 定義：監測、控制和記錄電信網絡資源的性能和使用情況，以使網絡有效運行，為用户提供一定質量水平的電信業務。應用學科：通信科技（一級學科）；支撐網絡（二級學科）網絡管理概念解析　網絡管理 ^[1]  ，是指網絡管理員通過網絡管理程序對網絡上的資源進行集中化管理的操作，包括配置管理、性能和記賬管理、問題管理、操作管理和變化管理等。一台設備所支持的管理程度反映了該設備的可管理性及可操作性。　而交換機的管理功能是指交換機如何控制用户訪問交換機，以及用户對交換機的可視程度如何。通常，交換機廠商都提供管理軟件或滿足第三方管理軟件遠程管理交換機。一般的交換機滿足SNMPMIBI / MIB II統計管理功能。而複雜一些的交換機會增加通過內置RMON組（mini-RMON）來支持RMON主動監視功能。有的交換機還允許外接RMON探監視可選端口的網絡狀況。常見的網絡管理方式有以下幾種： ^[2] 

⑴SNMP管理技術

⑵RMON管理技術

⑶基於WEB的網絡管理

SNMP是英文“Simple Network Management Protocol”的縮寫，中文意思是“簡單網絡管理協議”。SNMP首先是由Internet工程任務組織（Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。

SNMP是目前最常用的環境管理協議。SNMP被設計成與協議無關，所以它可以在IP，IPX，AppleTalk，OSI以及其他用到的傳輸協議上被使用。SNMP是一系列協議組和規範（見下表），它們提供了一種從網絡上的設備中收集網絡管理信息的方法。SNMP也為設備向網絡管理工作站報告問題和錯誤提供了一種方法。

幾乎所有的網絡設備生產廠家都實現了對SNMP的支持。領導潮流的SNMP是一個從網絡上的設備收集管理信息的公用通信協議。設備的管理者收集這些信息並記錄在管理信息庫（MIB）中。這些信息報告設備的特性、數據吞吐量、通信超載和錯誤等。MIB有公共的格式，所以來自多個廠商的SNMP管理工具可以收集MIB信息，在管理控制枱上呈現給系統管理員。

通過將SNMP嵌入數據通信設備，如交換機或集線器中，就可以從一箇中心站管理這些設備，並以圖形方式查看信息。可獲取的很多管理應用程序通常可在大多數當前使用的操作系統下運行，如Windows3.11.Windows95、Windows NT和不同版本UNIX的等。

一個被管理的設備有一個管理代理，它負責向管理站請求信息和動作，代理還可以藉助於陷阱為管理站提供站動提供的信息，因此，一些關鍵的網絡設備（如集線器、路由器、交換機等）提供這一管理代理，又稱SNMP代理，以便通過SNMP管理站進行管理。

關於網絡管理的定義很多，但都不夠權威。一般來説，網絡管理就是通過某種方式對網絡進行管理，使網絡能正常高效地運行。其目的很明確，就是使網絡中的資源得到更加有效的利用。它應維護網絡的正常運行，當網絡出現故障時能及時報告和處理，並協調、保持網絡系統的高效運行等。國際標準化組織（ISO）在ISO/IEC7498-4中定義並描述了開放系統互連（OSI）管理的術語和概念，提出了一個OSI管理的結構並描述了OSI管理應有的行為。它認為，開放系統互連管理是指這樣一些功能，它們控制、協調、監視OSI環境下的一些資源，這些資源保證OSI環境下的通信。通常對一個網絡管理系統需要定義以下內容：

○ 系統的功能。即一個網絡管理系統應具有哪些功能。

○網絡資源的表示。網絡管理很大一部分是對網絡中資源的管理。網絡中的資源就是指網絡中的硬件、軟件以及所提供的服務等。而一個網絡管理系統必須在系統中將它們表示出來，才能對其進行管理。

○ 網絡管理信息的表示。網絡管理系統對網絡的管理主要靠系統中網絡管理信息的傳遞來實現。網絡管理信息應如何表示、怎樣傳遞、傳送的協議是什麼?這都是一個網絡管理系統必須考慮的問題。

○ 系統的結構。即網絡管理系統的結構是怎樣的。

事實上，網絡管理技術是伴隨着計算機、網絡和通信技術的發展而發展的，二者相輔相成。從網絡管理範疇來分類，可分為對網“路”的管理。即針對交換機、路由器等主幹網絡進行管理；對接入設備的管理，即對內部PC、服務器、交換機等進行管理；對行為的管理。即針對用户的使用進行管理；對資產的管理，即統計IT軟硬件的信息等。根據網管軟件的發展歷史，可以將網管軟件劃分為三代：

第一代網管軟件就是最常用的命令行方式，並結合一些簡單的網絡監測工具，它不僅要求使用者精通網絡的原理及概念，還要求使用者瞭解不同廠商的不同網絡設備的配置方法。

第二代網管軟件有着良好的圖形化界面。用户無須過多瞭解設備的配置方法，就能圖形化地對多台設備同時進行配置和監控。大大提高了工作效率，但仍然存在由於人為因素造成的設備功能使用不全面或不正確的問題數增大，容易引發誤操作。

第三代網管軟件相對來説比較智能，是真正將網絡和管理進行有機結合的軟件系統，具有“自動配置”和“自動調整”功能。對網管人員來説，只要把用户情況、設備情況以及用户與網絡資源之間的分配關係輸入網管系統，系統就能自動地建立圖形化的人員與網絡的配置關係，並自動鑑別用户身份，分配用户所需的資源（如電子郵件、Web、文檔服務等）。

根據國際標準化組織定義網絡管理有五大功能：故障管理、配置管理、性能管理、安全管理、計費管理。對網絡管理軟件產品功能的不同，又可細分為五類，即網絡故障管理軟件，網絡配置管理軟件，網絡性能管理軟件，網絡服務/安全管理軟件，網絡計費管理軟件。

下面我們來簡單介紹一下大家熟悉的網絡故障管理、網絡配置管理、網絡性能管理、網絡計費管理和網絡安全管理五個方面網絡管理功能：

ISO在ISO/IEC 7498-4文檔中定義了網絡管理的五大功能，並被廣泛接受。這五大功能是：

⑴故障管理(Fault Management)

故障管理是網絡管理中最基本的功能之一。用户都希望有一個可靠的計算機網絡。當網絡中某個組成失效時，網絡管理器必須迅速查找到故障並及時排除。通常不大可能迅速隔離某個故障，因為網絡故障的產生原因往往相當複雜，特別是當故障是由多個網絡組成共同引起的。在此情況下，一般先將網絡修復，然後再分析網絡故障的原因。分析故障原因對於防止類似故障的再發生相當重要。網絡故障管理包括故障檢測、隔離和糾正三方面，應包括以下典型功能：⑴故障監測：主動探測或被動接收網絡上的各種事件信息，並識別出其中與網絡和系統故障相關的內容，對其中的關鍵部分保持跟蹤，生成網絡故障事件記錄。

(1)故障報警：接收故障監測模塊傳來的報警信息，根據報警策略驅動不同的報警程序，以報警窗口/振鈴（通知一線網絡管理人員）或電子郵件（通知決策管理人員）發出網絡嚴重故障警報。

(2)故障信息管理：依靠對事件記錄的分析，定義網絡故障並生成故障卡片，記錄排除故障的步驟和與故障相關的值班員日誌，構造排錯行動記錄，將事件-故障-日誌構成邏輯上相互關聯的整體，以反映故障產生、變化、消除的整個過程的各個方面。

(3)排錯支持工具：向管理人員提供一系列的實時檢測工具，對被管設備的狀況進行測試並記錄下測試結果以供技術人員分析和排錯；根據已有的排錯經驗和管理員對故障狀態的描述給出對排錯行動的提示。

(4)檢索/分析故障信息：瀏閲並且以關鍵字檢索查詢故障管理系統中所有的數據庫記錄，定期收集故障記錄數據，在此基礎上給出被管網絡系統、被管線路設備的可靠性參數。

對網絡故障的檢測依據對網絡組成部件狀態的監測。不嚴重的簡單故障通常被記錄在錯誤日誌中，並不作特別處理；而嚴重一些的故障則需要通知網絡管理器，即所謂的"警報"。一般網絡管理器應根據有關信息對警報進行處理，排除故障。當故障比較複雜時，網絡管理器應能執行一些診斷測試來辨別故障原因。

計費管理記錄網絡資源的使用，目的是控制和監測網絡操作的費用和代價。它對一些公共商業網絡尤為重要。它可以估算出用户使用網絡資源可能需要的費用和代價，以及已經使用的資源。網絡管理員還可規定用户可使用的最大費用，從而控制用户過多佔用和使用網絡 資源。這也從另一方面提高了網絡的效率。另外，當用户為了一個通信目的需要使用多個網絡中的資源時，計費管理應可計算總計費用。

⑴計費數據採集：計費數據採集是整個計費系統的基礎，但計費數據採集往往受到採集設備硬件與軟件的制約，而且也與進行計費的網絡資源有關。

⑵數據管理與數據維護：計費管理人工交互性很強，雖然有很多數據維護系統自動完成，但仍然需要人為管理，包括交納費用的輸入、聯網單位信息維護，以及賬單樣式決定等。

⑶計費政策制定；由於計費政策經常靈活變化，因此實現用户自由制定輸入計費政策尤其重要。這樣需要一個制定計費政策的友好人機界面和完善的實現計費政策的數據模型。

⑷政策比較與決策支持：計費管理應該提供多套計費政策的數據比較，為政策制訂提供決策依據。

⑸數據分析與費用計算：利用採集的網絡資源使用數據，聯網用户的詳細信息以及計費政策計算網絡用户資源的使用情況，並計算出應交納的費用。

⑹數據查詢：提供給每個網絡用户關於自身使用網絡資源情況的詳細信息，網絡用户根據這些信息可以計算、核對自己的收費情況。

⑶配置管理（Configuration Management)

配置管理同樣相當重要。它初始化網絡、並配置網絡，以使其提供網絡服務。配置管理是一組對辨別、定義、控制和監視組成一個通信網絡的對象所必要的相關功能，目的是為了 實現某個特定功能或使網絡性能達到最優。

⑴配置信息的自動獲取：在一個大型網絡中，需要管理的設備是比較多的，如果每個設備的配置信息都完全依靠管理人員的手工輸入，工作量是相當大的，而且還存在出錯的可能性。對於不熟悉網絡結構的人員來説，這項工作甚至無法完成‘因此，一個先進的網絡管理系統應該具有配置信息自動獲取功能。即使在管理人員不是很熟悉網絡結構和配置狀況的情況下，也能通過有關的技術手段來完成對網絡的配置和管理。在網絡設備的配置信息中，根據獲取手段大致可以分為三類：一類是網絡管理協議標準的MIB中定義的配置信息（包括SNMP；和CMIP協議）；二類是不在網絡管理協議標準中有定義，但是對設備運行比較重要的配置信息；三類就是用於管理的一些輔助信息。

⑵自動配置、自動備份及相關技術：配置信息自動獲取功能相當於從網絡設備中“讀”信息，相應的，在網絡管理應用中還有大量“寫”信息的需求。同樣根據設置手段對網絡配置信息進行分類：一類是可以通過網絡管理協議標準中定義的方法（如SNMP中的set服務）進行設置的配置信息；二類是可以通過自動登錄到設備進行配置的信息；三類就是需要修改的管理性配置信息。

⑶配置一致性檢查：在一個大型網絡中，由於網絡設備眾多，而且由於管理的原因，這些設備很可能不是由同一個管理人員進行配置的。實際上‘即使是同一個管理員對設備進行的配置，也會由於各種原因導致配置一致性問題。因此，對整個網絡的配置情況進行一致性檢查是必需的。在網絡的配置中，對網絡正常運行影響最大的主要是路由器端口配置和路由信息配置，因此，要進行一致性檢查的也主要是這兩類信息。

⑷用户操作記錄功能：配置系統的安全性是整個網絡管理系統安全的核心，因此，必須對用户進行的每一配置操作進行記錄。在配置管理中，需要對用户操作進行記錄，並保存下來。管理人員可以隨時查看特定用户在特定時間內進行的特定配置操作。

⑷性能管理(Performance Management)

性能管理估價系統資源的運行狀況及通信效率等系統性能。其能力包括監視和分析被管網絡及其所提供服務的性能機制。性能分析的結果可能會觸發某個診斷測試過程或重新配置網絡以維持網絡的性能。性能管理收集分析有關被管網絡當前狀況的數據信息，並維持和分析性能日誌。一些典型的功能包括：

⑴性能監控：由用户定義被管對象及其屬性。被管對象類型包括線路和路由器；被管對象屬性包括流量、延遲、丟包率、CPU利用率、温度、內存餘量。對於每個被管對象，定時採集性能數據，自動生成性能報告。

⑵閾值控制：可對每一個被管對象的每一條屬性設置閾值，對於特定被管對象的特定屬性，可以針對不同的時間段和性能指標進行閾值設置。可通過設置閾值檢查開關控制閡值檢查和告警，提供相應的閾值管理和溢出告警機制。

⑶性能分橋：對歷史數據進行分析，統計和整理，計算性能指標，對性能狀況作出判斷，為網絡規劃提供參考。

⑷可視化的性能報告：對數據進行掃描和處理，生成性能趨勢曲線，以直觀的圖形反映性能分析的結果。

⑸實時性能監控：提供了一系列實時數據採集；分析和可視化工具，用以對流量、負載、丟包、温度、內存、延遲等網絡設備和線路的性能指標進行實時檢測，可任意設置數據採集間隔。

⑹網絡對象性能查詢：可通過列表或按關鍵字檢索被管網絡對象及其屬性的性能記錄。

⑸安全管理(Security Management)

安全性一直是網絡的薄弱環節之一，而用户對網絡安全的要求又相當高，因此網絡安全管理非常重要。網絡中主要有以下幾大安全問題：

網絡數據的私有性（保護網絡數據不被侵 入者非法獲取），

授權（Authentication）（防止侵入者在網絡上發送錯誤信息),

訪問控制（控制訪問控制（控制對網絡資源的訪問）。

相應的，網絡安全管理應包括對授權機制、訪問控制 、加密和加密關鍵字的管理，另外還要維護和檢查安全日誌。包括：

網絡管理過程中，存儲和傳輸的管理和控制信息對網絡的運行和管理至關重要，一旦泄密、被篡改和偽造，將給網絡造成災難性的破壞。網絡管理本身的安全由以下機制來保證：⑴管理員身份認證，採用基於公開密鑰的證書認證機制；為提高系統效率，對於信任域內（如局域網）的用户，可以使用簡單口令認證。

⑵管理信息存儲和傳輸的加密與完整性，Web瀏覽器和網絡管理服務器之間採用安全套接字層（SSL）傳輸協議，對管理信息加密傳輸並保證其完整性；內部存儲的機密信息，如登錄口令等，也是經過加密的。

⑶網絡管理用户分組管理與訪問控制，網絡管理系統的用户（即管理員）按任務的不同分成若干用户組，不同的用户組中有不同的權限範圍，對用户的操作由訪問控制檢查，保證用户不能越權使用網絡管理系統。

⑷系統日誌分析，記錄用户所有的操作，使系統的操作和對網絡對象的修改有據可查，同時也有助於故障的跟蹤與恢復。

網絡對象的安全管理有以下功能：

⑴網絡資源的訪問控制，通過管理路由器的訪問控制鏈表，完成防火牆的管理功能，即從網絡層(1P）和傳輸層(TCP）控制對網絡資源的訪問，保護網絡內部的設備和應用服務，防止外來的攻擊。

⑵告警事件分析，接收網絡對象所發出的告警事件，分析員安全相關的信息（如路由器登錄信息、SNMP認證失敗信息），實時地向管理員告警，並提供歷史安全事件的檢索與分析機制，及時地發現正在進行的攻擊或可疑的攻擊跡象。

⑶主機系統的安全漏洞檢測，實時的監測主機系統的重要服務（如WWW，DNS等）的狀態，提供安全監測工具，以搜索系統可能存在的安全漏洞或安全隱患，並給出彌補的措施。

小草網管軟件綜合智能動態帶寬保障，服務器流量分析與保障、虛擬多設備管理等多項突破性技術，涵蓋流量分析、帶寬管理、上網行為管理、DMZ區服務器管理，專線集中管理、企業級防火牆與路由器、負載均衡等功能，在網絡性能、質量、安全等方面為客户提供完整的解決方案。本產品已獲得各行業客户的廣泛認可，成為企業網關綜合管理軟件產品第一品牌。

1.企業網關統一管理系統

2. 支持在windows操作系統上安裝與部署

3.安裝與操作簡單易用

4. 流量分析準確

5. 流控效果顯著

6.市場上唯一支持對DMZ區與內網服務器管理的產品

7. 市場上唯一支持對多條專線統一集中管理的產品

隨着網絡的不斷髮展，規模增大，複雜性增加，簡單的網絡管理技術已不能適應網絡迅速發展的要求。以往的網絡管理系統往往是廠商在自己的網絡系統中開發的專用系統，很難對其他廠商的網絡系統、通信設備軟件等進行管理，這種狀況很不適應網絡異構互聯的發展趨勢。20世紀80年代初期Internet的出現和發展使人們進一步意識到了這一點。研究開發者們迅速展開了對網絡管理的研究，並提出了多種網絡管理方案，包括HEMS、SGMP、CMIS/CMIP等。下面進行簡單介紹。

簡單網絡管理協議（SNMP）的前身是1987年發佈的簡單網關監控協議（SGMP）。SGMP給出了監控網關（OSI第三層路由器）的直接手段，SNMP則是在其基礎上發展而來。最初，SNMP是作為一種可提供最小網絡管理功能的臨時方法開發的，它具有以下兩個優點：

⑴與SNMP相關的管理信息結構（SMI）以及管理信息庫（MIB）非常簡單，從而能夠迅速、簡便地實現；

⑵SNMP是建立在SGMP基礎上的，而對於SGMP，人們積累了大量的操作經驗。

SNMP經歷了兩次版本升級，現在的最新版本是SNMPv3。在前兩個版本中SNMP功能都得到了極大的增強，而在最新的版本中，SNMP在安全性方面有了很大的改善，SNMP缺乏安全性的弱點正逐漸得到克服。

公共管理信息服務/公共管理信息協議（CMIS/CMIP）是OSI提供的網絡管理協議簇。CMIS定義了每個網絡組成部分提供的網絡管理服務，這些服務在本質上是很普通的，CMIP則是實現CMIS服務的協議。

OSI網絡協議旨在為所有設備在ISO參考模型的每一層提供一個公共網絡結構，而CMIS/CMIP正是這樣一個用於所有網絡設備的完整網絡管理協議簇。

出於通用性的考慮，CMlS/CMIP的功能與結構跟SNMP很不相同，SNMP是按照簡單和易於實現的原則設計的，而CMIS/CMIP則能夠提供支持一個完整網絡管理方案所需的功能。

CMIS/CMIP的整體結構是建立在使用ISO網絡參考模型的基礎上的，網絡管理應用進程使用ISO參考模型中的應用層。也在這層上，公共管理信息服務單元（CMISE）提供了應用程序使用CMIP協議的接口。同時該層還包括了兩個ISO應用協議：聯繫控制服務元素（ACSE）和遠程操作服務元素（RpSE），其中ACSE在應用程序之間建立和關閉聯繫，而ROSE則處理應用之間的請求/響應交互。另外，值得注意的是OSI沒有在應用層之下特別為網絡管理定義協議。

公共管理信息服務與協議（CMOT）是在TCP/IP協議簇上實現CMIS服務，這是一種過渡性的解決方案，直到OSI網絡管理協議被廣泛採用。CMIS使用的應用協議並沒有根據CMOT而修改，CMOT仍然依賴於CMISE、ACSE和ROSE協議，這和CMIS/CMIP是一樣的。但是，CMOT並沒有直接使用參考模型中表示層實現，而是要求在表示層中使用另外一個協議--輕量表示協議（LPP），該協提供了目前最普通的兩種傳輸層協議--TCP和UDP的接口。

CMOT的一個致命弱點在於它是一個過渡性的方案，而沒有人會把注意力集中在一個短期方案上。相反，許多重要廠商都加入了SNMP潮流並在其中投入了大量資源。事實上，雖然存在CMOT的定義，但該協議已經很長時間沒有得到任何發展了。

局域網個人管理協議（LMMP）試圖為LAN環境提供一個網絡管理方案。LMMP以前被稱為IEEE802邏輯鏈路控制上的公共管理信息服務與協議（CMOL）。由於該協議直接位於IEEE802邏輯鏈路層（LLC）上，它可以不依賴於任何特定的網絡層協議進行網絡傳輸。由於不要求任何網絡層協議，LMMP比CMIS/CMIP或CMOT都易於實現，然而沒有網絡層提供路由信息，LMMP信息不能跨越路由器，從而限制了它只能在局域網中發展。但是，跨越局域網傳輸侷限的LMMP信息轉換代理可能會克服這一問題。

簡單網絡管理協議（SNMP）是最早提出的網絡管理協議之一。SNMP已成為網絡管理領域中事實上的工業標準，並被廣泛支持和應用，大多數網絡管理系統和平台都是基於SNMP的。

一、 SNMP概述

SNMP的前身是簡單網關監控協議（SGMP），用來對通信線路進行管理。隨後，人們對SGMP進行了很大的修改，特別是加入了符合Internet定義的SMI和MIB：體系結構，改進後的協議就是著名的SNMP。SNMP的目標是管理互聯網Internet上眾多廠家生產的軟硬件平台，因此SNMP受Internet標準網絡管理框架的影響也很大。SNMP已經出到第三個版本的協議，其功能較以前已經大大地加強和改進了。

SNMP的體系結構是圍繞着以下四個概念和目標進行設計的：保持管理代理（agent）的軟件成本儘可能低；最大限度地保持遠程管理的功能，以便充分利用Internet的網絡資源；體系結構必須有擴充的餘地；保持SNMP的獨立性，不依賴於具體的計算機、網關和網絡傳輸協議。在最近的改進中，又加入了保證SNMP體系本身安全性的目標。

另外，SNMP中提供了四類管理操作：get操作用來提取特定的網絡管理信息；get-next操作通過遍歷活動來提供強大的管理信息提取能力；set操作用來對管理信息進行控制（修改、設置）；trap操作用來報告重要的事件。

二、 SNMP管理控制框架與實現

1．SNMP管理控制框架

SNMP定義了管理進程（Manager）和管理代理（Agent）之間的關係，這個關係稱為共同體(Community）。描述共同體的語義是非常複雜的，但其句法卻很簡單。位於網絡管理工作站（運行管理進程）上和各網絡元素上利用SNMP相互通信對網絡進行管理的軟件統統稱為SNMP應用實體。若干個應用實體和SNMP組合起來形成一個共同體，不同的共同體之間用名字來區分，共同體的名字則必須符合Internet的層次結構命名規則，由無保留意義的字符串組成。此外，一個SNMP應用實體可以加入多個共同體。

SNMP的應用實體對Internet管理信息庫中的管理對象進行操作。一個SNMP應用實體可操作的管理對象子集稱為SNMP MIB授權範圍。SNMP應用實體對授權範圍內管理對象的訪問仍然還有進一步的訪問控制限制，比如只讀、可讀寫等。SNMP體系結構中要求對每個共同體都規定其授權範圍及其對每個對象的訪問方式。記錄這些定義的文件稱為“共同體定義文件”。

SNMP的報文總是源自每個應用實體，報文中包括該應用實體所在的共同體的名字。這種報文在SNMP中稱為“有身份標誌的報文”，共同體名字是在管理進程和管理代理之間交換管理信息報文時使用的。管理信息報文中包括以下兩部分內容：

⑴共同體名，加上發送方的一些標識信息（附加信息），用以驗證發送方確實是共同體中的成員，共同體實際上就是用來實現管理應用實體之間身份鑑別的；

⑵數據，這是兩個管理應用實體之間真正需要交換的信息。

在第三版本前的SNMP中只是實現了簡單的身份鑑別，接收方僅憑共同體名來判定收發雙方是否在同一個共同體中，而前面提到的附加倍息尚未應用。接收方在驗明發送報文的管理代理或管理進程的身份後要對其訪問權限進行檢查。訪問權限檢查涉及到以下因素：

⑴一個共同體內各成員可以對哪些對象進行讀寫等管理操作，這些可讀寫對象稱為該共同體的“授權對象”（在授權範圍內）；

⑵共同體成員對授權範圍內每個對象定義了訪問模式：只讀或可讀寫；

⑶規定授權範圍內每個管理對象（類）可進行的操作（包括get，get-next，set和trap）；

⑷管理信息庫（MIB）對每個對象的訪問方式限制（如MIB中可以規定哪些對象只能讀而不能寫等）。

管理代理通過上述預先定義的訪問模式和權限來決定共同體中其他成員要求的管理對象訪問（操作）是否允許。共同體概念同樣適用於轉換代理（Proxy Agent），只不過轉換代理中包含的對象主要是其他設備的內容。

2．SNMP實現方式為了提供遍歷管理信息庫的手段，SNMP在其MIB中採用了樹狀命名方法對每個管理對象實例命名。每個對象實例的名字都由對象類名字加上一個後綴構成。對象類的名字是不會相互重複的，因而不同對象類的對象實例之間也少有重名的危險。

在共同體的定義中一般要規定該共同體授權的管理對象範圍，相應地也就規定了哪些對象實例是該共同體的“管轄範圍”，據此，共同體的定義可以想象為一個多叉樹，以詞典序提供了遍歷所有管理對象實例的手段。有了這個手段，SNMP就可以使用Get-next操作符，順序地從一個對象找到下一個對象。Get-next(Object-instance)操作返回的結果是一個對象實例標識符及其相關信息，該對象實例在上面的多叉樹中緊排在指定標識符；Bject-instance對象的後面。這種手段的優點在於，即使不知道管理對象實例的具體名字，管理系統也能逐個地找到它，並提取到它的有關信息。遍歷所有管理對象的過程可以從第一個對象實例開始（這個實例一定要給出），然後逐次使用Get-next，直到返回一個差錯（表示不存在的管理對象實例）結束（完成遍歷）。

由於信息是以表格形式（一種數據結構）存放的，在SNMP的管理概念中，把所有表格都視為子樹，其中一張表格（及其名字）是相應子樹的根節點，每個列是根下面的子節點，一列中的每個行則是該列節點下面的子節點，並且是子樹的葉節點，如下圖所示。因此，按照前面的子樹遍歷思路，對表格的遍歷是先訪問第一列的所有元素，再訪問第二列的所有元素……，直到最後一個元素。若試圖得到最後一個元素的“下一個”元素，則返回差錯標記。

網絡迅速發展，導致網絡結構更為複雜；網絡應用的日新月異，讓網絡管理員每天都要面對新的問題。很多企事業單位，在遇到網絡問題不知道應該如何去解決，看流量，拔網線等手段，排查週期長，也很難真正找出問題。

網絡發展到一定階段，必然要考慮到網絡性能、網絡故障與網絡安全性問題。只有通過運用網絡分析技術對網絡流通數據的清晰認識，才能為故障的排查，性能的提升，以及網絡安全的解決提供可靠的數據依據。

網絡最大的價值，是在於信息化的應用。當出現故障不能及時解決，即使有再好的電子商務、電子政務，也只是一個擺設。無論是安全、性能還是故障性問題，不能快速解決，給企業帶來的是難以衡量的損失。

治理並不是簡單的網絡管理，它需要管理者對網絡中所有設備完全掌握，包括每個網卡地址，以及所處的位置。通過對網絡傳輸中的數據進行全面監控分析，才能從網絡底層數據獲取各種網絡應用行為造成的網絡問題，並快速的定位到網卡的位置。從而在安全策略上更好的防範，對故障和性能更合理的管理。

從管理角度的考慮，往往期望絡故障和安全性問題可以自動解決。但歷經多年，沒有任何產品能做到。雖然許多企業部署了非常好的安全防護產品，但仍然會受到網絡攻擊和病毒危害。根本原因在於，網絡應用本身就在不斷的發展，新的病毒以及病毒變種，都很難被基於特徵庫或病毒庫的產品所識別。要解決這些問題，則要求網絡管理員隨時都能查看到網絡中真實的數據，最快的發現引起問題的原因。

網絡拓撲圖VS矩陣圖

網絡拓撲圖要求這些交換設備都必須支持SNMP（簡單網絡管理協議），它能直觀能看到網絡結構，但看不到終端主機；它能看到設備斷網情況和粗略流量，但對網絡問題的解決能力並不實用。從技術趨勢來看，矩陣圖（Matrix）將更適合網絡管理的需要。矩陣圖也被稱為主機連接圖，可以監控每台主機（包括交換設備）之間的通訊連接，極大的提高了監控範圍，監控範圍深入到每台主機之間的各種應用，包括通訊、資源佔用、活躍程度、服務應用等，管理者可以監控到每台主機的一舉一動，各種網絡問題都會在矩陣中表現出異常。如：BT下載、DDOS攻擊、ARP攻擊、木馬掃描等。

網絡分析不僅提供網絡依據，更重要的是幫助管理者提高問題的解決能力。"診斷專家"則是一個從問題原因到問題結果的完整解釋。好的網絡分析產品，可以自動提取問題的相關數據，並告訴管理者網絡中存在有哪些問題，可能產生的原因，有什麼辦法可以解決，ARP攻擊的快速定位則是一個很好的證明。

好的網絡分析產品，都具有網絡數據的回放能力，將網絡數據進行7x24小時記錄，可以按每天或每小時來記錄。如果要分析昨天某個時段出現的網絡故障，只需要將當時保存的數據包進行播放，同時通過網絡分析來追溯故障是如何發生的，使網絡管理對歷史問題追查能力得到明顯提高。

局域網網絡流量控制與管理辦法 ^[3] 

網絡流量監控的主要目的是對網絡進行管理，其過程一般是：一、實時、不間斷地採集網絡數據。二、統計、分析所得數據。三、確認網絡的主要性能指標。四、對網絡進行分析管理。網絡流量監控的方法主要有兩種，一種是使用網絡監控設備，另一種是使用網絡流量監控軟件。當前的局域網網絡設備對於P2P這種模式沒有很好的管理效果，導致P2P軟件大行其道，佔用了極多的帶寬資源。當前，以下幾種網絡流量最為常見：

（1）P2P流量：P2P文件共享在網絡帶寬消耗方面是大户，夜間，有95%的網絡帶寬被P2P佔用。

（2）FTP流量：FTP這項服務的應用比較早，且重要程度只比HTTP和SMTP稍低。P2P的出現，FTP的重要性再次降低，但其重要性仍然不可忽視。

...

2.1 通過路由控制流量

2.2 禁止P2P下載

2.3 進行時間段管理

2.4 限定局域網主機速度

3.1 找出流量過大的電腦

3.2 對異常主機發出警告

傳統的局域網管理主要針對一定範圍的局域網絡，在這樣的局域網絡中包括的主要管理對象有：服務器、客户機、客户端PC機各種網絡線路與集線器以及各種網絡操作系統。由於在這樣規模的局域網中，網絡管理的對象有限，網絡管理一般包括三個方面：瞭解網絡，網絡運行以及網絡維護。1．瞭解網絡

要管好一個局域網，就必須對該局域網有清楚的瞭解。對該網絡的清晰瞭解以及對各種網絡信息的資料化管理記錄，是保證網絡正常運轉以及進行各種網絡維護的前提與基礎。⑴識別網絡對象的硬件情況：局域網是由各種節點組成，這樣的節點主要是服務器和客户機，因此首先需要識別這些節點的硬件組成。硬件識別包括瞭解服務器和客户機的品牌、它們的芯片速率、網卡品牌與配置情況，以及集線器的型號與品牌，這樣就可以瞭解局域網中硬件設備的提供商並對硬件設備所能達到的性能有大體的瞭解。另外，對服務器的硬件還必須有進一步的瞭解，包括服務器的外設配置情況、硬盤驅動器的容量以及內存大小等。

⑵判別局域網的拓撲結構：瞭解了網絡中的關鍵部件之後需要進一步瞭解它們是如何連接運行的，即網絡結構下的實際佈線系統。常見的三種佈線的拓撲結構是星形、總線和環型拓撲結構，另外也有無線和點對點的拓撲結構，但不常用。在瞭解局域網的佈線結構後，針對每種結構各自的優缺點，應注意其將導致的性能與故障差異。然後需要了解的是實現網絡傳輸的方式。常用的網絡傳輸方式是Ethernet，它是一種支持廣泛的傳輸協議以及多種佈線形式的成熟標準。Ethernet是非確定型的，網絡傳送任務越重，越有可能發生衝突，而衝突將導致影響響應時間。所以網絡上有大量活動節點時性能就會大大降低，如果Ethernet集線器上總是出現衝突信號的話，在熟悉網絡佈局後可能就得重新考慮分佈網絡上的用户。Ethernet的纜線包括：粗纜Ethernet，或叫10Base5 Ethernet，使用大號的同軸電纜；細纜Ethernet，也叫10Base2Ethernet，使用小口徑的RG-58同軸電纜；10BaseTEthernet，在星形結構中使用非屏蔽雙絞線。對於採用Ethernet方式的局域網，網絡管理員不僅要清楚Ethernet的原理，還必須瞭解組網所用的Ethernet纜線和插頭以及它們的特點，這樣在網絡出現故障時可以幫助故障點的尋找與排除。除了Ethernet之外，其他的網絡傳輸方式還有標記環（Token Ring）、光纖分佈數據接口（FDDl）以及ARCNet等。瞭解局域網使用的傳輸方式是局域網管理的基本條件之一。

⑶確定網絡的互聯：首先需要確定網絡連接的設備和接入網絡的方式。這些設備與接入方式包括：使用調制解調器(Modem），使用網絡插座，使用CSU/DSU連接，使用網橋工作，使用路由器，使用網關。這些接入設備對於保證網絡節點的連通以及該局域網與主幹網連通有着重要作用，同時也是網絡故障多發的故障點和影響網絡性能的可能瓶頸所在。另一方面，還需要在網絡服務器或其他網絡設備上確定該局域網的所有子網和各客户機都能連通，並記錄下網絡中各子網以及客户機的IP地址分配。

⑷確定用户負載和定位：網絡負載最重要的方面是用户的分佈，因為每一網絡和服務器上的用户數量是影響網絡性能的關鍵因素，因此確定網絡上有多少用户以及他們各自的定位尤其重要。首先，查看文件服務器上的負載，瞭解文件服務器正常運行的時間，查看服務器CPU的使用率，以及服務器上網絡連接的數目，這些數據提供了網絡負載的直接數據；然後，利用這些數據分析眾多服務器中哪個使用率最高，哪些網絡的負擔最重，最後對網絡用户以及負載分佈情況有個大致的瞭解。

2．網絡運行

要使一個局域網順利運轉必須完成很多工作，這些工作包括：配置網絡，即選擇網絡操作系統，選擇網絡連接協議，並根據選擇的網絡協議配置客户機的網絡軟件；然後配置網絡服務器及網絡的外圍設備，做好網絡意外預防處理；最後還有網絡安全管理、網絡用户權限分配以及病毒的預防與處理。

⑴配置網絡；配置網絡就要選擇網絡操作系統。傳統的網絡操作系統包括UNIX，Windows NT，NetWare，VINES，Windows for Workgroups，LANtastic，PersonaI Net-Ware等，這些網絡操作系統有各自的特點，相對而言，在局域兩中WindowsNT和Net-Ware比較普遍。NT最大的優勢在於價格和支撐其發展的巨頭Microsoft。NT支持IPX和TCP/IP，因此在大多數網絡環境中受到歡迎，另外，其安全性和網絡管理功能也不錯在硬件完全兼容時安裝也比較方便。在現有網絡中，大約70%的網絡操作系統採用了Novell公司的NetWare系列。NetWare是一種快速而可靠的操作系統，十分類似於DOS，它對多種網絡協議和多種客户機操作系統有着完善的支持，其兼容性和模塊化設計也使它領先於其它系統。

選擇網絡協議也是配置網絡的重要組成部分。現在流行的局域網網絡協議包括IPX/SPX、TCP/IP、NETBIOS、NetBEUI和AppleTalk等。比較普遍的協議是IPX/SPX和TCP/IP，其中IPX/SPX是NetWare所採用的數據傳輸方式，在局域網中使用非常普遍；TCP/IP是面向Internet所使用的網絡協議，具有廣泛的影響力。

在確定了網絡操作系統和網絡協議之後，需要配置該網絡中每台客户機的網絡軟件。在DOS平台上，一般是安裝相應網絡協議的網絡驅動軟件，然後修改一些配置文件中的參數；在GUI的操作系統（例如Windows系列、Macintosh和OS2)中，則選擇相應的對話框窗口配置網絡參數；在UNIX系統中，主要靠修改系統配置文件來配置網絡。

⑵配置網絡服務器：在局域網中，服務器往往具有重要作用，一個配置良好的服務器可以順利保障網絡的運行。首先是在服務器上用磁盤和卷根據內容的性質與空間大小分配來劃分工作，這樣可以把不同的程序和數據按照一種順序存放在磁盤中，而卷的使用不僅可以按一定的層次存放數據，而且可以控制用户的訪問權，然後在服務器上啓動網絡服務進程，監測網絡用户的訪問。還有一些外圍設備，比如共享打印機、共享外接磁盤或驅動器等，這些設備在服務器上都應正確配置。

最後還應該注意的是預防網絡意外發生，首先是保證電源（特別是網絡服務器的電源），一般的方式是配置UPS應急電源；然後是保證服務器的環境狀況（比如維持機房的温度與濕度在一定的範圍）；最後是做好重要數據和系統的備份工作。備份的硬件設備包括硬盤陣列和磁帶、光盤驅動器等，備份的方法很多，常用的是磁盤鏡像、磁盤雙工或磁盤陣列等。在進行備份時一定要做好詳細記錄，對備份內容進行分類並做標記。

⑶網絡安全控制：網絡安全控制的首要任務是管理用户註冊和訪問權限。在局域網上，網絡操作系統一般都提供用户管理和權限分配的工具。對於局域網內，部用户，利用這些工具可以檢查和設置用户信息、進行賬號限制，例如改變賬號密碼、設置組、確定組中的賬號、修改組或賬號的權限、設定賬號有效時間等等。定時對網絡當前訪問情況進行檢查並做好記錄，及時發現異常情況。另外，管理局域網外部權限和連接也很重要，一般局域網外部用户可能會訪問該局域網，如查看已有文件、傳遞他們的文件或使用其他網絡資源，因此對這種用户也需要建立賬號，但應根據其使用網絡的目的詳細控制其訪問權限，然後定期檢查哪些用户沒有註冊，對一些不再需要的賬號及時註銷。

病毒對局域網的危害非常嚴重，一種網絡病毒可以通過網絡迅速地傳染到局域網的每一台客户機，因此及時發現並殺死病毒至關重要。有多種不同的方法可以識別病毒：在文件級上，用CRC技術可以將預期的文件大小或其他特徵與文件被打開之前所看到的實際特徵進行比較；最常用的方法是對文件進行掃描，發現已知病毒的標誌、代碼，從而辨認出每一種病毒的變形。一旦發現病毒，當然就要清除它。利用一些殺毒軟件可以殺死病毒恢復原來的文件。另一種方法是刪除有病毒的文件，然後用備份的無病毒文件替代。另外還必須對受病毒感染的服務器上的各捲進行掃描，如果在網絡服務器之間或客户機之間存在通信聯絡，還必須去掃描其他系統。確定適當的持續的病毒防護是避免病毒侵害的最有效方法，這樣的防護包括：建立和增強反病毒規則和程序；在客户機上安裝和更新反病毒軟件；安裝基於網絡的反病毒軟件。

3．網絡維護

網絡維護是保障網絡正常運行的重要方面，主要包括故障檢測與排除、網絡日常檢查及網絡升級。

⑴常見網絡的故障和修復：在局域網中，最重要的故障檢測工作是文件服務器的維護。只要服務器正常工作，集中存儲的數據就是安全的，用户可以在需要時訪問這些數據。當然，網絡連接設備應保證用户能持續工作，而客户機本身也應能正常工作。

故障處理過程有四個主要部分：發現故障跡象，追蹤故障的根源，排除故障，記錄故障的解決方法。網絡故障處理經常需要進行大量的調查研究，但相對而言只有很少的問題是真正比較複雜的。常見的情況是，故障的解決方法是很簡單的，只不過被其他問題或不完全的信息掩蓋了。在處理故障期間，可以參考圖1中的流程圖，以確保能對網絡故障進行邏輯的和有條理的分析。

當網絡管理人員收到故障報告時，首先應該檢查別的用户是否也遇到同一問題，如果有多個用户報告了同類問題，那麼很可能是出現了服務器或纜線故障，而不是用户客户機所引起的故障。

排除文件服務器上的錯誤非常關鍵，因為它通常會影響到很多用户，因此首先要對服務器進行認真檢查：服務器是否在運行?監視器是否顯示信息?服務器是否響應鍵盤輸入? 服務器控制枱是否顯示異常終止或其他信息?服務器NIC（網絡適配器）是否發送和接收數據? 服務器的卷是否己安裝?

文件服務器通常是十分穩定的，但它們也特別容易出現三種類型的故障：第一類故障並不是網絡操作系統本身的錯誤，而是由於配置的更改造成的，因此無論何時改變網絡操作系統的配置都必須備份以前的配置並記錄更改日期；第二類故障是部件失效，雖然NIC和磁盤失效是最為常見的，但從鍵盤端口到SIMM的任何部件都可能會發生故障，甚至在高品質服務器上也無法避免；第三類故障是服務器的軟件模塊引發的系統衝突故障，比如磁盤驅動程序或LAN驅動程序引發的內存故障等。

當服務器故障檢查各方面都沒有問題時，引起大量用户訪問故障的問題很可能出現在網絡纜線系統上。如果故障網絡採用的是總線拓撲結構，那麼故障檢測工作可能會比較繁重；對於星形結構，則應檢查集線器或MAU是否通電並能正常運行。如果連接設備本身運行良好，可檢查它們與服務器的物理連接。一般而言，對於物理網絡，電纜和按插件老化、電磁干擾、電纜長度限制是最常見的物理網絡故障源；連接設備，如接插板、集線器和路由器也是故障多發點。

⑵網絡檢查：網絡檢查是在網絡正常運轉情況下對服務器狀態和網絡運行情況的動態信息收集和分析的過程。有些數據最好每天檢查一次，而有些數據則較長時間檢查一次即可。下面列出一些需要定期檢查的網絡關鍵信息：

⑶網絡升級：網絡升級是一個持續的過程，它需要考慮一些財務和預算因素。一般在網絡管理中需要考慮的是必須進行的升級，這些升級能夠保證網絡正常運轉。雖然網絡操作系統的升級通常是最迫切的，但硬件和軟件也可能需要升級。

服務器升級是最重要的。必須的服務器升級有三種：最簡單的是用户許可證升級，如果網絡服務器的能力已達到最大限度，並需要容納更多的用户，就需要進行許可證升級；另二種服務器升級是網絡操作系統的升級，如果使用的是過時的或有故障的網絡操作系統，就應該升級為最新的版本；第三種服務器升級所指的範圍相對來説要廣泛一些，主要指硬件升級，硬件升級可能包括增加磁盤空間、改進容錯措施或系統升級。另外，客户軟件的升級有時也是很必要的，因為舊客户軟件對於網絡操作系統可能是一種沉重的負擔。

在確定了最重要的升級之後，應決定需要購買的產品，並對升級費用進行評估，然後制定實施升級的工作步驟，最後應從成本和效益兩方面總結新配置的優點。 ^[4] 

提升國內網絡管理的整體水平

相比海外而言，國內的網絡管理起步較晚，用户的管理水平也不及海外。科來積極的將此項技術應用於網絡 故障解決、網絡性能提升與網絡安全防護，旨在提升國內的網絡管理水平，縮短與國外的差距，幫助用户實 現對其網絡的全可視化，透過網絡現象看到本質，真正的駕馭自己的網絡。

幫助網絡管理者精細化網絡管理

網絡分析技術是網絡管理的關鍵，是網絡進入深層次管理的必備技術，網絡分析技術的普及也是必然趨勢， 科來積極幫助用户建立在此項技術上的深入認知！在官網推出免費版本的軟件供廣大技術愛好者交流使用， 同時有針對性的提供大量的技術學習文檔和視頻資料，並組織力量在相關論壇解答用户的疑問及分享資源， 旨在推動該項技術在國內的普及程度，讓用户切實的接觸到先進的網絡管理技術。

網絡管理員主要針對目前國內機關，企事業單位的網絡應用現狀，如單位總出口帶寬有限、網絡濫用、員工無節制上網、聊天等等，提供了簡單、有效的管理功能。

網盾netsos是一款模塊化架構的局域網管理軟件，共包含12項強大的功能。根據實際需求，按需取用保證IT投資回報率。

網絡管理和維護是一項非常複雜的任務，雖然關於網絡管理既制訂了國際標準，又存在眾多網絡管理的平台與系統，但要真正做好網絡管理的工作不是一件簡單的事情。下面我們將介紹網絡技術發展下一些新形式的網絡管理，以及在長期網絡管理實踐基礎上總結出來的一些網絡管理經驗。

VLAN(虛擬局域網）就是一個計算機網絡，其中的計算機好像是被同一網線連接在一起，而實際上它們可能分處於局域網的不同區域。VLAN更多的是通過軟件而非硬件來實現，因此這使得它具有很高的靈活性。VlAN的一個主要特性就是提供了更多的管理控制，減少了相對日常管理開銷，提供了更大的配置靈活性。

VLAN的這些特性包括：①當用户從一個地點移動到另一個地點時，簡化了配置操作和過程修改；②當網絡阻塞時，可以重新調節流量分佈；②提供流量與廣播行為的詳細報告，同時統計VLAN邏輯區域的規模與組成；④提供根據實際情況在VLAN中增加和減少用户的靈活性。上面的這些操作必須透明地執行，同時需要不用具備太多實際網絡複雜連接情況的瞭解，或者不用知道如何重新配置協議。雖然用户可以直接地通過設置或重置VLAN的端口來配置VLAN，但缺乏智能網絡管理工具的幫助；而保證VLAN在若干部門之間正常通信是很困難的。

VLAN的配置如果根據交換機端口定義VLAN，通常很容易用某種拖放軟件把一個或多個用户分配到特定的VLAN。在非交換環境裏，移動、添加或更改操作很麻煩，有可能要改動接線板上的跳線充一個集線器端口移動到另一個端口。然而，改動VLAN分配仍然要靠人工進行：在大型網絡裏，這樣做很費時，因而很多聯網供應商鼓吹採用VLAN可以簡化移動、添加和更改操作。

基於MAC地址的VLAN分配方案確實可使某些移動、添加和更改操作自動化。如果用户根據MAC地址被分配到一個VLAN或多個VLAN，他們的計算機可以連接交換網絡的任何一個端口，所有通信量均能正確無誤地到達目的地。顯然，管理員要進行VLAN初始分配，但用户移動到不同的物理連接不需要在管理控制枱進行人工干預；例如有很多移動用户的站，他們並非總是連接同一端口――或許因為辦公室都是臨時性的，採用基於MAC地址的VLAN可避免很多麻煩。

傳統的Layer3技術怎麼樣呢？這裏離開VLAN最近的是IP子網：每個子網需要一個路由器端口，因為通信量只能通過一個路由器從一個子網移動到另一個子網。由於IP32位地址提供的地址空間很有限，所以很難分配子網地址，還有看你是否熟悉二進制算法。因此，在IP網絡裏執行移動、添加和更改操作很困難，速度慢，容易出錯，而且費用大。另外，在公司更換I 或者採用新安全策略時，可能有必要重新編號網絡，這對於大型網絡來説是無法想像的。

實際上，如果有人採用現有的有子網的路由IP網絡，並根據IP地址訪問任意VLAN成員，路由器就可能會被不必要的通信量淹沒。

如果很多子網裏都有VALN成員，常用的VLAN廣播必須通過路由器才能達到所有成員。此外，糟糕的是廣域鏈路會生成額外廣播通信量；有WAN連接服務的VLAN成員數通常應該保持在最低水平。實際上， 基於Layer3地址的VLAN成員值有可能在增強和修改現有子網分佈方面很有用，例如可通過一個全子網給VLAN添加兩個新節點，或者可用兩個子網組成一個VLAN而無須重新編號。

Cabletron的SecureFast Virtual Networking Layer3交換技術採用路由服務器模型而不是傳統的路由選擇模型。第一個信息包傳送到路由服務器進行常規路由計算，但交換機能記憶路徑，因而後續信息包可在Layer2交換，而無須查對路由表。由於有了基於純Layer3地址的VLAN，所以IP地址可以作為通用網絡ID，允許任何人連接任何數據鏈路，從而獲得全網絡訪問，大大簡化移動、添加和更改任務。

但是，還有其他方法解決IP子網引起的管理問題。DHCP（動態主機配置協議）已經在連接時給用户分配地址的其他技術，都可用於解決上述問題。

在網絡管理的解決方案中，我們知道一個大型網絡，一般是WAN，是通過分層進行管理的。比如在一個全國性的網絡中心之下有許多地區性的網絡中心，一般全國性的網絡中心主要保證這個WAN的主幹網正常運轉，而地區性網絡中心則主要負責各個網絡用户的接入管理。對於每個想入網的用户而言，首先要考慮在網絡連接上怎麼接人這個網絡。一般用户需要找到主管自己這片地區的地區性網絡中心，然後提出申請，最後該地區性網絡中心再進行用户的接入操作。這些操作一般包括：⑴聯網用户必須租用一條網絡線路，連接用户與地區性網絡中心。該線路可以是已經存在的，屬於某個商業網絡公司或電信公司，也可以是單獨為該用户鋪設的一條線路。線路既可能是使用光纖的DDN專線，也可能是使用電話線的DDR線路。聯網用户租用了網絡線路就要向線路的經營者交納租金，而線路的經營者可能不是提供接入服務的地 區性網絡中心。

⑵聯網用户需要向地區網絡中心申請一段屬於自己的IP地址，然後在全國網絡中心註冊域名。

⑶對於接入的聯網用户，一般都要向地區性網絡中心一次性交納一筆接入費用，然後地區網絡中心再對該用户進行網絡接入的相關配置。

⑷在聯網用户端也需要進行相應的配置，然後開通該用户的網絡連接，最後聯網用户需要根據其使用網絡資源的流量交納網絡費用。

在上面的操作中可以看到，地區網絡中心對新聯網用户的接人需要進行相應的配置， 這些配置操作一般包括：

⑴在接入路由器上，選擇一個空閒端口，在該端口上進行相應的配置，然後再根據接人的拓撲關係，配置該端口的路由信息。

⑵在接入路由器上，根據用户的IP地址範圍建立一個Access-1ist組，一旦用户要求或其他情況（如用户沒有按規定交納費用等）發生時，可以立即斷掉該用户的網絡連接。

⑶把該路由器端口和連接聯網用户的線路加入網絡管理監視對象集，以保障提供給用户可靠、穩定的網絡接人服務。