您的位置: 网界网 > 周报全文 > 正文

[周报全文]网管员也能在家办公

2003年07月07日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:网管员也能在家办公

标签

    一场突如其来的SARS疫情改变了人们的生活和工作方式。许多公司员工瞬间成为SOHO一族。员工能否在家正常办公,网管员起到关键作用。在非常时期,网管员是否也可以在家SOHO呢?答案是肯定的。

    网管员也能在家办公
    ■ 林栋

    事实上许多网管员通过远程方式来维护企业网络在非典期间的正常运行。一些电信运营商的网管部门采取了史无前例的办公方式,将网管人员分开在不同的地方上班。在正常时期,网管员需要完成网络监控、系统维护、安全防范等诸多工作,在非常时期网管员利用各种先进手段远程完成正常时期的工作。下面我们就来与大家分享网管员远程网管的先进手段。

    ●远程监控

    准确监控是及时发现网络异常和系统故障的主要手段,因此建立完善的远程监控系统是远程网管的先决条件。网管监控的范围主要包括网络监控和系统监控两个方面,网络监控必须完成流通性监控、流量监控、丢包率监控以及网络设备性能监控等功能,系统监控主要是服务端口监控、系统CPU/MEM、硬盘空间使用监控。目前市场上的很多网管监控软件都可以完成以上提及的所有或部分监控功能,但是这些软件的价格不菲,对于一些资金不充裕的用户来说,购买商业网管软件是不现实的。不过,网管人员可以通过组合使用一些免费软件来完成综合监控目标,例如使用知名数据采集软件MRTG就可以完成网络监控的大部分功能,而且可以自动生成直观的图形报表,如图1所示,如果网管人员稍加二次开发,还可以完成实时报警功能。另外,Whatsup Gold具有完备的连通性测试和服务端口监控功能,是一个不可多得的工具。


图1

    ●远程操作

    当网络结构需要改变,或者应用系统需要修改用户数据时,网管员需要登录相应的网络设备或者应用系统进行维护操作。目前比较成熟的远程操作手段主要有Telnet、Secure Shell(SSH)和SNMP(简单网络管理协议)三种。Telnet是最普遍的远程操作方法,几乎所有网络设备和操作系统都支持,但是它的缺点是安全性差,登录账号、密码以及操作指令都是明文传输,存在被窃听的风险。SSH弥补了Telnet的安全缺陷,但是支持SSH的网络设备厂家较少,Unix操作系统支持SSH,Windows应用支持SSH较少,而且安装步骤麻烦,尽管如此,建议大家还是使用SSH,毕竟保证网管数据安全是十分重要的。

    在远程操作之前,网管员一般需要使用Telnet或者SSH登录被操作的设备,这里就存在很大的安全威胁,用户的网络设备和应用系统是否允许公网上任何IP进行远程登录?如果是可以的话,那么黑客很可能通过暴力破解获得网管员的账号、密码。基于安全考虑,网管员需要建立一个远程操作跳板服务器,并在所有网络设备和应用系统上做好Telnet/SSH限制:只允许从跳板服务器的IP登录,将跳板服务器设置为公司网络的安全入口。网管员如果需要进行远程操作,那么就必须首先登录跳板机器,然后登录Telnet/SSH目标设备,如图2所示。有人会问:当跳板服务器出现故障岂不是登录不了公司的应用系统?所以,为防止跳板服务器的单点故障,建议大家使用拨号网络为公司网络建立另外一个入口,当作备用。拨号接入服务器可以使用Windows 2000实现,配置十分简单,而且可以设置回拨等功能。

    一般厂家的网络设备都具有Telnet/SSH 源IP地址限制功能,Unix系统的登录IP地址限制可以使用第三方软件完成,例如TCP WRAPPER,这里就不一一赘述了。

    ● 远程备份

    应用系统的数据备份方法一般有磁带库、磁带机和硬盘备份等方法,网管员可以使用指令进行备份,目前很多备份管理软件可以定制备份任务,并且可以设定备份的周期,当网管员不在公司时,这些软件就十分实用了。另外(+微信关注网络世界),网管员可以编制Shell程序(Unix系统)和批处理命令(Windows系统)进行备份任务,并使用Crontab进行定期备份。

    网络设备的配置备份一般使用TFTP或者FTP完成,网管员可以在家里的电脑上安装TFTP服务器端软件。远程登录网络设备,使用指令,即可进行实时将配置远程备份到自己的电脑上。

    ●远程安全防范

    不要让黑客在非常期间有可乘之机,做好安全防范是前提。做到防范于未然,网管员需要定期使用远程安全扫描软件对本公司的网络进行漏洞扫描,并及时进行补丁安装。目前得到广泛使用扫描软件有ISS Scanner、Nmap和ShadowScanner等软件,建议网管员综合使用。

    一旦网管员发现公司网络正在遭受黑客攻击,就应该通过分析应用系统的访问日志软件,查找出攻击源IP,然后在网络设备上使用访问控制列表禁止这些IP发起的攻击流量通过。如果攻击现象很难分析,那么网管员还是需要赶赴公司现场,使用Sniffer等包分析软件进行流量解析,尽早查找出攻击源。网上的DoS拒绝服务攻击比较泛滥,相应攻击工具也较多,为了尽量避免公司网络遭受伪造源IP地址的DoS攻击,网管员应预先在公司网络入口路由器上封闭源IP。

    ●远程资料共享

    经过日积月累,网管员肯定保存了很多与工作有关的文档和资料,特别对于运营商的网管人员,这些资料的数量很多,包括拓扑资料、IP地址资料和客户资料等等。网管员在家办公期间肯定需要使用到这些资料,网管员很难保证在家办公之前会将所有资料都拷贝回家中电脑,而且这些资料要保持实时更新。因此,为了保证公司多个网管员的资料数据一致,建立一套远程资料共享系统是很必要的。网管员可以选择使用FTP来实现简单的资料远程上载和下载功能,但是建议用户自行开发Web应用来建立该系统,因为这种方式资料更新方便,而且直观,查询也十分方便,缺点当然是开发工作量大。网管员可以根据实际情况来选择适合自己的远程资料共享系统。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]