从实际工作看网管的工作职责
《中华人民共和国职业分类大典》虽然对计算机网络管理员职业有些描述,但太笼统,并不具体,甚至可以说与计算机网络管理工作现状存在较大差距。但正确认识计算机网络管理员的工作职责和技能要求是我们正确认识计算机网络管理员职业本身的重要前提。
根据当前最新的网络技术发展和网络应用需求,目前企业中的计算机网络管理工作主要包括基础设施管理、服务器系统管理、用户管理、文件系统管理、磁盘和数据管理、安全管理、办公设备的维护与管理等几个方面。下面分别予以介绍。
1.基础设施管理
所谓基础设施就是构成计算机网络的设备和线路,如用户计算机、传输介质及附件、Modem、交换机、路由器、防火墙、网关、IDS(入侵检测系统)或IPS(入侵防御系统)设备等,是计算机网络构建的最基本组件,也是企业计算机网络通信的基本骨架。对基础设施的管理就是对这些设备的配置与管理,特别是对那些关键设备的配置与管理,主要体现在机房管理上,因为这些关键设备基本上都集中在机房之中。
计算机网络中的关键设备一般包括网络的核心交换机、路由器、防火墙和各种服务器。为了提高网络的可用性,一些关键设备的冗余配置也是必不可少的。冗余包含两层含义,一层含义是链路的冗余,如对关键设备(如服务器、核心交换机)采取冗余链路连接,这样当其中一个端口出现故障时,另一个冗余链路就可以接替故障链路继续保持正常工作状态,但冗余链路可能会出现网络环路,所以有必要在设备上启用STP或RSTP协议;另一层含义是配置双份的设备或部件,如服务器中的电源、风扇、网卡,甚至内存等,核心交换机和路由器也可以配置两个,甚至多个。正常工作时,这些冗余设备或部件起均衡负载的作用,而当某部分出现故障时,则又起备份的作用。
在基础设施的配置与管理中,核心交换机、路由器和防火墙等关键设备的配置与管理既是重点,又是难点。由于这些关键设备的配置与管理是通过CLI(command line interface,命令行接口)方式进行的,所以给许多网络管理员造成了相当大的困难,而这恰恰是专业的重要体现。目前在关键设备方面,主要以Cisco、Juniper、H3C、华为等品牌为主,掌握这几个主要品牌设备的配置与管理方法是网络管理员所必需的。Cisco和H3C两个主要品牌的交换机和路由器的配置与管理,笔者有专门的图书进行介绍,请参见《Cisco/H3C交换机配置与管理完全手册》、《路由器配置与管理完全手册——Cisco篇》和《路由器配置与管理完全手册——H3C篇》三本近期出版的图书。
在基础设施管理中,往往要用到各种监控和管理工具来优化网络性能,如流量监控工具MRTG,以及监控网络性能和通信的Sniffer、科来分析仪等工具软件,测试网络和监控带宽性能的Qcheck和IxChariot工具等。服务器性能方面的监控与管理还可利用操作系统自带的性能和监控管理工具进行。
2.服务器系统管理
在企业网络中,无论是工作组网络,还是像Windows域这样的网络,各种各样的服务器是最关键的设备之一。总体来说,服务器系统的配置与管理是整个网络管理日常工作的重中之重,特别是在小型企业网络中,因为网络规模比较小,网络设备比较简单,所以除了服务器系统外,其他的基本上都属于无须配置的傻瓜式设备。
这里的服务器系统包括网络服务器系统和应用服务器系统两个方面。服务器系统的配置与管理主要包括对Windows/Linux/Unix服务器系统的安装、配置和管理,对文件服务器、DNS、WINS、DHCP等网络服务器的安装、配置和管理,以及对OA、web、FTP、E-mail、RAS、NAT、Samba和NFS等应用服务器的安装、配置和管理。服务器系统管理的最终目标,一方面要确保服务器各种协议和服务工作正常,满足各种不同用户的应用需求和安全管理需求,确保服务器的各项性能指标正常发挥;另一方面,还要及时地更新服务器系统的版本或补丁程序,这不仅关系到服务器的性能发挥,还关系到整个网络系统的安全。
在大多数中小型企业中,网络管理员应该掌握主流的Windows和Linux网络操作系统的管理。在一些较大企业或特殊行业(如金融、证券和保险等)中,Unix、Linux又是被最普遍采用的系统,所以Unix(目前主要有IBM公司的AIX系统、被Oracle公司收购了的Sun公司的Solaris系统,还有开源公司的FreeBSD系统)和Linux(发行版本比较多,典型的主要有Red Hat、Ubuntu、OpenSuSE和CentOS等)系统管理对于专业网络管理员来说,又是必须要掌握的,而且往往是高薪的象征。
在服务器系统的配置与管理工作中,网络操作系统配置完成并投入正常运行后,为了确保网络操作系统正常工作,网络管理员首先应该能够熟练利用系统提供的各种管理工具软件,实时监督系统的运转情况,及时发现故障征兆并进行处理;其次,确保各种网络应用服务运行的不间断和工作性能的良好,出现故障时应将故障造成的损失和影响控制在最小范围内;最后,正确分配、配置和管理各服务器(包括网络服务器和应用服务器)的用户权限,严格控制用户的本地/远程网络和资源访问权限,以确保网络数据的安全。当然,用户管理是一个很大的范畴,涉及许多方面,具体将在下面介绍。
在网络运行过程中,网络管理员应随时掌握网络系统配置情况及配置参数的变更情况,对配置参数进行备份。网络管理员还应该做到随着系统环境的变化、业务发展的需要和用户需求,动态调整系统的配置参数,优化系统性能,还应为关键的网络操作系统服务器建立热备份系统,做好防灾准备。对于要求不可中断的关键性网络应用系统,除了在软件手段上要掌握、备份系统参数和定期备份系统业务数据外,必要时在硬件手段上还要建立和配置系统的热备份。对于用户访问频率高、系统负荷大的网络应用服务器,必要时网络管理员还应该采取负载分担的技术设计各种有效解决方案。
3.用户管理
用户管理也是网络管理中的一个重点和难点,毕竟一切网络应用都是基于用户进行的。这里用户管理涉及许多方面,如用户账户、密码、文件和网络访问权限、用户权利(注意用户权限与用户权利是不同的)、用户配置文件、用户安全策略、用户资源配额管理等。既要保证各用户的正常工作不受影响,又要避免权限分配过高而给网络安全和管理带来不必要的安全隐患。
在保证网络安全、可靠运行的前提下,网络管理员要根据单位人员的工作职权和人员变动情况,在网络服务器系统或者应用服务器系统中为每个用户设置账户、密码和分配不同的网络访问权限;设置web服务器、VPN等远程访问服务器中用户的访问权限等;限制web服务器可登录的账号数量,及时注销过期用户和已挂断的拨号用户,关闭不用的网络服务等。但要注意的是,在Linux和Unix系统中,用户管理不是集中的,因为它们所组建的网络是基于P2P(对等)模式的,除非用其他工具来实现模拟的域管理;在Windows系统的域模式中,可以组建基于C/S(客户端/服务器)模式的域网络,也可以进行集中用户管理,这就是Windows域网络的一个重要优势。有关Windows域网络管理,可以参见笔者最新的《金牌网管师》系列丛书。
4.文件系统管理
与网络用户管理密切相关的是网络中的文件系统管理。文件系统管理同样是整个网络管理中最重要的部分之一,不仅涉及各用户的正常工作和网络应用,还关系到整个网络系统的安全性能。在文件系统管理中,主要涉及磁盘文件格式、文件系统部署(如分布式文件系统(DFS)、文件服务器等),以及用户的文件访问权限控制这三方面的内容。
在进行文件系统管理时,首先要选择适当的磁盘文件格式。如Windows平台下的NTFS格式是目前使用最普遍,也是最优先考虑的文件格式。NTFS格式不仅可以支持更大容量的磁盘,还可以提供更高的安全性。而在Linux系统平台下,目前主要使用ext3和ext4这两种格式。最新的ext4文件格式是对以前ext3文件格式的扩展,主要优势体现在它可以支持高达1EB容量的磁盘(ext3文件格式最多支持16TB大小),而且每个目录下包含的子目录可以无限制(1EB=210 PB=220 TB=230 GB,ext3文件格式中一个目录最多包含32 000个子目录)。
在文件系统管理中,还要为各用户设置必要的文件夹共享权限,以及文件和文件夹的安全访问权限。当然,不同类型格式的文件和文件夹所能配置的权限不一样。在文件格式上,Windows NT平台有FAT和NTFS两种文件系统。在NTFS文件系统中不仅可以配置用户的共享访问权限,还可以配置各用户的本地和网络访问权限。如果NTFS文件夹是一个共享文件夹,则其中的文件和子文件夹的最终用户权限取共享权限和NTFS安全访问权限的交集。而Linux中的ext3、ext4和Unix系统中的UFS、HSFS等格式文件系统的用户文件访问权限是通过命令方式来进行配置的,相对来说比较难掌握。
在文件系统管理中,还要根据企业网络应用的需要选择适当的网络操作系统,部署相应的文件服务器系统,如Windows平台下的DFS(distributed file system,分布式文件系统)或者Linux/Unix平台下的NFS(network file system,网络文件系统)。通过配置这些文件服务器系统,可以实现对许多高级文件系统的管理和应用,如通过文件服务器系统的安装与配置,就可时刻监视文件服务器或网络中其他主机上的文件共享与会话连接;通过DFS的部署,可以在全网络中部署统一的共享资源访问点,方便共享资源的使用与管理;通过NFS的部署,可以实现与其他系统(如Linux和Unix系统)类型网络文件的相互访问机制。这些都是与文件系统管理有关的服务器系统,必须熟练掌握。(www.xing528.com)
5.磁盘和数据管理
磁盘和数据管理同样是整个网络管理工作中非常重要的方面,特别是对于大型、外资企业,这一点尤为突出。磁盘管理主要包括磁盘系统的基本操作与管理,如磁盘格式化,磁盘的分区、盘符的分配与调整,文件系统转换,基本/动态磁盘类型的转换,RAID的配置,用户磁盘配额的配置与管理等;数据管理则主要包括企业数据的备份、恢复及分类管理等。
数据管理目前在整个网络管理中的重要性更加突出,因为现代企业网络中保存了大量的企业数据,包括日常的办公文档、电子表格、产品资料、产品数据库、财务数据库和营销数据库等。这些数据一定程度上可能关系到企业的生存与发展。为了确保企业数据的安全,除了必须配备强大而又安全的杀病毒软件系统外,RAID也是非常必要的,一方面它可以起到加速磁盘读/写速率、提高磁盘读/写效率的作用;另一方面,也是更重要的,它可以起到保护数据安全的作用,因为有些RAID类型具有镜像或奇偶校验功能,通过它可以恢复故障磁盘上的数据。在企业网络中,还要防止因电源故障而出现文件丢失,这时就要用到UPS,还可能需要为关键的服务器配备冗余电源、电源风扇等部件。
确保数据安全的最后一道防线就是制定一套行之有效的容灾方案。在预防灾难的计划中,网络管理员不应将自己的思维局限在普通的问题上,而应该考虑得更广泛一些。设想发生了自然灾害,如遇到地震、火灾等摧毁整个网络的自然灾难,这时网络管理员该如何恢复,要花费多少时间,采取何种步骤进行恢复?在容灾方案中一定要详细,并通过模拟实验对方案的可行性和有效性进行验证。在容灾方案中,最重要的就是数据备份计划,它是关键中的关键。备份计划应该包括如下信息:备份什么,在哪里备份,何时备份,多长时间备份一次,谁负责备份,备份载体应放在哪里,多长时间检查一次备份,以及一旦数据丢失应采取哪些措施。
网络管理员事先要制订灾难恢复计划,在计划执行过程中要每天坚持数据备份,事后要及时恢复系统,尽可能地避免数据丢失。如果是大型企业,或者有分支机构的企业,对一些关键数据(如企业数据库、市场营销数据、人事数据和财务数据等),为了确保网络系统中文件和文件夹的有效性和安全性,还应采用异地远程数据备份和远程数据镜像存储措施,实施异地容灾,这样企业承受灾难的能力远比只在本地进行数据备份强。
对于专业的网络管理员,还要掌握一些主流厂商(如IBM、HP、EMC、浪潮、博科、Cisco、DELL等)的NAS和SAN存储方案的设计与使用,以及现在流行的各主要厂商的虚拟存储技术和方案。这是大中型企业中最需要的,也是网络管理员专业性的一个重要体现。
6.安全管理
在安全管理上,现在企业的要求比几年前高了许多,不仅要求网络管理员能部署防火墙、杀毒软件系统,还要求能对整个网络部署一套有效的安全策略,以全面保证网络的安全。网络管理员根据实践经验得出,安全管理最重要的部分在于用户权利的配置、文件和文件夹共享权限和安全访问权限的配置,可使用的管理方法有系统管理报警选项设置、事件日志分析和安全策略审核等。这些配置不仅体现在网络服务器系统中,还体现在网络设备,特别是在关键网络设备中,如利用交换机、路由器或者防火墙的各种ACL来限制用户的通信或网站访问,还可使用像IPSec这样的安全技术来加密,以保护通信过程中的数据。当然,做好网络安全管理不是件容易的事,因为在OSI/RM的各个层次都可能涉及相应的安全隐患,所以必须有对应的安全解决方案。具体内容大家可以参见笔者编写的《金牌网管师(中级)——网络工程方案规划与设计》一书。
良好的安全策略对于企业的数据、软件和硬件来说都是绝对重要的。在网络安全行业内流行这样一条80/20法则,也就是80%的安全威胁来自网络内部(内部威胁分为操作失误、存心捣乱及用户无知三类),大家最担心的外部威胁其实只占20%。要想保证网络的安全,在做好边界防护的同时,还要做好内部网络的管理。网络管理员的职责之一就是定义、实施、管理和加强网络的安全性。如果无关的人可以登录服务器,非授权的人可以窃取或破坏信息,那么,即使最好的硬件、软件和培训都变得毫无价值。
网络安全策略的目标主要包括以下几方面内容。
(1)保证只有授权的用户才可以访问、使用特定的网络资源,预防给予过高的权限,定时检查用户权限和用户组账户有无变更。
(2)减小数据、服务器和网络设备等由于受到疏忽的操作或恶意的破坏而造成的损失。对服务器而言,错误操作是最大的隐患。这要求网络管理员自身不仅要加强理论方面的学习,还要加强实际操作方面的培训。
(3)防止网络中非授权的外部网络访问和应用,如访问互联网网站、分支机构网络、合作伙伴的网络,或者向外发送电子邮件等。要限制用户的非法外部网络访问和应用,一方面可以通过用户授权;另一方面可以通过一些专用网络管理软件或硬件来实现,如一些代理服务器和宽带路由器就有访问控制的功能,要好好利用。
(4)对用户进行管理。当单位来了新员工时,网络管理员需要为其创建新的用户账号;当有员工调动工作岗位时,网络管理员要为其重新分配用户权限;当有员工离去时,网络管理员应该立刻删除其账号与密码。
在网络安全管理方面,还要注意安全管理中的“木桶理论”,整个网络的安全管理都是相互关联和影响的,其最终安全性取决于安全要求最低的部分,而不是安全要求最严格的部分,所以在设计安全方案时一定要从全局考虑,最好按照OSI/RM七层模型一层层分析,具体可以参见笔者的《金牌网管师(中级)——网络工程方案规划与设计》一书。
7.办公设备的维护与管理
在企业网络管理中,网络管理员通常还要担负起日常办公设备的维护与管理,如用户计算机、打印机、传真机、扫描仪等的维护与管理。对这些设备的管理相对比较简单,主要包括将这些设备登记在册、编号管理、落实使用责任人,并进行日常的巡查等,关键在于维护。
在这些设备出现硬件故障后,网络管理员还必须承担一定的故障排除和基本硬件维修的责任。如在企业中,打印机是最常用的办公设备,也是故障出现频率最高的一类设备。这要求网络管理员不仅要懂得如何安装、设置共享打印机和网络打印服务器,还要熟悉网络打印机管理软件的使用,设置网络打印机的策略、共享属性和安全规则。对一些简单的打印机维护,如出现卡纸、漏行、色淡等故障时,网络管理员应该有比较丰富的故障排除经验;当然,对于软件类的故障排除更应该是网络管理员职业范围内的事。
对于用户计算机的维护,大家都知道这是网络管理员应尽的职责。网络管理员要知道装机、拆机和一般硬件故障排除的方法,还要了解计算机中各组件的相关技术,以选择恰当的升级方案。在办公设备的维护与管理方面,要注意的一点就是能自己做的尽量自己做,不要动不动就申请拿到外面去维修,给公司造成不必要的开支,这不仅是任何老总不愿意看到的,也不能充分体现网络管理员的专业性。因为在大多数办公设备故障中,至少有70%的故障无须专业的电子维修技术就可以维修好,只要稍懂一些基本的电子知识就行。这方面,笔者以前是学无线电专业的,修理了许多计算机和办公设备,深有体会。如果送修,维修费少则好几十元,多则好几百元,甚至上千元。这明显是对公司资金的浪费。一定要像对待自己家里的计算机一样对待公司的办公设备,能自己排除的故障尽量自己排除。
以上只是从宏观方面介绍了网络管理员的七项工作职责,实际的网络管理工作远比以上所介绍的细、就像网络设备配置与管理,其中所包括的工作就相当多,如网络设备的操作系统、配置文件管理、各种接口的配置与管理、交换机堆叠/集群配置与管理、VLAN配置与管理、STP/RSTP配置与管理、DHC/DNS服务器的配置与管理、ACL配置与管理、NAT配置与管理、QoS配置与管理、静态/动态路由器的配置与管理、网络设备的安全管理等。而且不同品牌,甚至不同系列、不同型号的相同功能配置与管理方法都有所不同。有些中小型企业往往还需要网络管理员懂得网站的维护和管理、数据库系统的管理,甚至电话交换系统的管理。当然,对于这类企业来说,一般要求都比较简单,所用的系统软件往往也比较简单,如在网站管理方面,一般仅需要网络管理员懂得简单的网页制作、网站后台管理就行;在数据库方面,通常用Excel、Access这类Office办公软件来实现,这些通过短期的自学都可以胜任,没什么可怕。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。