现今互联网络的应用已经成为各大公司提高劳动生产率和利润率的革命性因素,它们通过电子商务和广域网获得了新的商机。与此同时,越来越多的雇员通过互联网络的标准协议TCP/IP连接到一起,这就导致了一个严重的问题,即成倍增长的IP地址超出了公司IT部门所能控制的范围。下面将
招数放送(二)
■整合公司的网络设施
目前,网络发展的一个趋势是将DNS、DHCP等网络服务分散到网络的下层子网中去,新的管理方式必须做到以下几点:
1.对分布的网络服务进行管理
在没有一个集中管理模式的情况下,网络管理员必须用telnet通过多重DNS和DHCP来获取远程网络的运行情况。为了提高这一工作的效率,他们需要一个能显示所有分布式网络服务的单一界面,而无需知道它们所在何处。
2.集中管理和本地网络管理相结合
对于一个集中网络管理系统,它将在分配、管理整个网络范围内的IP地址和名字空间的同时,授权给本地网络的管理员管理本地网络的日常工作,当然对本地网络管理员进行权限控制以确保只能管理他所负责的网络资源也是非常重要的。
■为网络问题建立应急机制
网络控制跟不上网络发展后经常出现的一个问题就是IP地址重复。用手工方式为新计算机和网络设备分配IP地址不但费时而且容易发生错误。
在动态分配IP地址的解决方案中为了保证高可用性一般采取将可分配的IP地址放在两个DHCP中分配,当主用DHCP失效时,另一个备份DHCP可以接替主用DHCP继续分配IP地址,当然这种方式要求保留冗余的IP地址给备份的DHCP。另外,网络管理员对网络的控制必须具有高可用性,不管网络管理员在什么地方,他都能够随时对网络进行管理控制。
■用户权限管理
TCP/IP协议的广泛采用导致了IP相关应用程序的极大增长,用户通过分布式网络访问各种网络服务和应用程序。大多数应用程序的权限管理是基于IP地址而不是基于用户的。在动态分配IP地址的网络环境中,或在多个雇员合用一台计算机的情况下,采用基于IP地址的权限管理是不合适的,因为用户和IP地址之间并没有稳定的联系,这使我们陷入两难的境地:或者牺牲效率,采用复杂的多重身份鉴定方式;或者为了保证效率,牺牲安全性。
对于某些网络应用,例如浏览Web主页,可能会想设定使用权限但又不想采用复杂的多重身份鉴定。把网络安全程序与对用户透明的动态IP分配方式相结合就可以完成这一任务,通过这一结合,防火墙可以实现基于策略的网络管理,从而可以把网络安全设施集中使用在最需要保护的网络资源上。
网友评论