网管重点解析.docx
《网管重点解析.docx》由会员分享,可在线阅读,更多相关《网管重点解析.docx(24页珍藏版)》请在冰豆网上搜索。
网管重点解析
文档中的一些错误
DNMP(SimpleNetworkManagementProtocol)应该是SNMP(SimpleNetworkManagementProtocol)
网管重点解析(八部分)
1.网管重点解析之网络管理
网络管理
网络管理是指以计算机网络等相关技术为手段,对各种网络进行监视、控制、运营以及维护等。
网络管理已成为计算机网络建设中的一个非常重要的部分,它是进行网络维护的重要手段,并且决定着网络资源的利用率和效益的发挥。
网络管理系统综合了通信、计算机软件、网络和信息管理等方面的理论和技术,是一个新兴的高科技研究、开发和应用课题。
网络管理涉及网络资源和活动的规划、组织、监视、计费和控制。
不同组织的着眼点有所区别。
国际标准化组织(ISO)在网络管理的相关标准和建议中定义了故障、配置、性能、计费和安全五大OSI管理功能区域。
一个网络管理系统涉及到系统结构、信息处理以及信息传输等多方面的内容,而这些内容的研究开发都必须在一定的标准和协议指导下进行,避免形成网管系统的制式混乱,妨碍网络管理理论和技术的发展。
其中,DNMP(SimpleNetworkManagementProtocol)是一个简单网络管理协议,是使用户能够通过轮询、设置一些关键字和监视某些网络事件来达到网络管理目的的一种网络协议。
应该说,SNMP不仅是一个应用级的协议,而且是TCP/IP协议的一部分,工作于UDP上。
在SNMP应用实体间通信时不需要事先建立连接,这样降低了系统开销,但不能保证报文的正确到达。
在明白了网络管理的相关理论后,有必要了解一下网络管理的最终目标的实现--网络管理系统,并学习一些成熟的网络管理系统产品。
随着SNMP在网络管理上的广泛应用,以及Windows操作系统的广泛流行,Windows已经成为SNMP应用和开发的一个重要平台。
为此,了解和掌握SNMP在windows中的配置和应用非常必要。
另外,随着IT技术的迅速发展,网络正在向智能化、综合化、标准化发展。
先进的计算机技术、全光网络技术、神经网络技术正在不断地应用到网络中来,这也给网络管理提出了新的挑战。
未来的网络管理应该进一步融入高新技术,建立成熟的网络管理标准,加快促进网络管理的一体化、智能化和标准化进程。
★通过本章的学习。
应该达到如下要求:
(1)掌握网络管理的基本概念。
(2)掌握网络管理的五大功能域和网管的基本模型。
(3)掌握简单网络管理协议SNMP。
(4)了解几种常用的网络管理系统。
(5)掌握基于Windows的网管服务的安装和配置。
(6)了解综合企业管理平台的功能。
(7)了解网络管理的发展方向。
2.1网络管理简介
1.网络管理概述
网络管理是指对网络的运行状态进行监测和控制,使其能够有效、可靠、安全、经济地提供服务。
它包含两个任务:
一是对网络的运行状态进行监测,二是对网络的运行状态进行控制。
随着Internet的出现和发展,为适应网络异构互连的发展趋势,研发者们迅速展开了对网络管理这门技术的研究,并提出了多种网络管理方案,包括HLEMS、SGMP、CMIS/CMIP等。
2.网络管理功能
网络管理包括五大功能:
故障管理、配置管理、计费管理、性能管理、安全管理。
(1)故障管理是网络管理中最基本的功能之一。
网络故障管理包括故障检测、隔离故障和纠正故障三方面,包括以下典型功能:
维护并检查错误日志、接受错误检测报告并做出响应、跟踪、辨认错误、执行诊断测试、纠正错误。
(2)配置管理是最基本的网络管理功能,负责网络的建立、业务的展开以及配置数据的维护,包括资源清单管理、资源开通以及业务开通。
(3)计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价。
计费管理的目的是计算和收取用户使用网络服务的费用,统计网络资源利用率和核算网络的成本效益。
计费管理包括以下功能:
计算网络建设及运营成本、统计网络及其所包含的资源的利用率、联机收集计费数据、计算用户应支付的网络服务费用、账单管理。
(4)性能管理的目的是维护网络服务质量(QoS)和网络运营效率。
因此要提供性能监测功能、性能分析功能、性能管理控制功能、性能数据库的维护功能。
(5)安全管理采用信息安全措施保护网络中的系统、数据以及业务。
安全管理的目的是提供信息的隐私、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。
一般的安全管理系统包含以下四项功能:
①风险分析功能。
②安全服务功能。
③告警、日志和报告功能。
④网络管理系统保护功能。
3.网络管理的基本模型
网络管理中,采用网络管理者--网管代理模型。
现代计算机网络管理系统基本上由以下四个要素组成:
网络管理者(NetworkManager)、网管代理(ManagedAgent)、网络管理协议(NetworkManagementProtoc01)和管理信息库MIB(ManagementInformationBase)。
(1)网络管理者(管理进程)是管理指令的发出者。
网络管理者通过各网管代理对网络内的各种设备、设施和资源实施监视和控制。
(2)网管代理负责管理指令的执行,并且以通知的形式向网络管理者报告被管对象发生的一些重要事件。
网管代理具有两个基本功能:
一是从MIB中读取各种变量值;二是在MIB中修改各种变量值。
(3)网络管理协议是最重要的部分,它定义了网络管理者与网管代理间的通信方法,规定了管理信息库的存储结构、信息库中关键词的含义以及各种事件的处理方法。
(4)MIB是被管对象结构化组织的一种抽象。
它是一个概念上的数据库,由管理对象组成,各个网管代理管理MIB中属于本地的管理对象,各管理网管代理控制的管理对象共同构成全网的管理信息库。
2.2简单网络管理协议
1.SNMP概述
SNMP由一系列协议组和规范组成,它们提供了一种从网络上的设备中收集网络管理信息的方法。
SNMP的体系结构分为SNMP管理者和SNMP代理,每一个支持SNMP的网络设备中都包含一个网管代理,网管代理随时记录网络设备的各种信息,网络管理程序再通过SNMP通信协议收集网管代理所记录的信息。
从被管理设备中收集数据有两种方法:
一种是轮询方法,另一种是基于中断的方法。
2.管理信息库
被管对象的集合被称作MIB,即管理信息库,所有相关的网络被管对象信息都放在其中,MIB是网络管理系统中的一个非常重要的部分。
MIB作为设在网管代理者处的管理站访问点的集合,管理站通过读取MIB中对象的值来进行网络监控。
管理站可以在网管代理处产生动作,也可以通过修改变量值改变网管代理处的配置。
MIB中的数据可大体分为三类:
感测数据、结构数据和控制数据。
使用最广泛、最通用的MIB是MIB-Ⅱ。
3.SNMP操作
SNMP分为SNMP管理者(SNMPManager)、SNMP代理(SNMPAgent)和管理信息库(MIB)三部分。
SNMP管理体系结构的核心是MIB,MIB由网管代理维护,由管理者读写。
SNMP实体不需要在发出请求后等待响应到来,是一个异步的请求/响应协议。
SNMP仅支持对管理对象值的检索和修改等简单操作,具体来讲,SNMPv1支持四种操作:
(1)get:
用于获取特定对象的值,提取指定的网络管理信息。
(2)get-next:
通过遍历MIB树获取对象的值,提供扫描MIB树和依次检索数据的方法。
(3)set:
用于修改对象的值,对管理信息进行控制。
(4)trap:
用于通报重要事件的发生,代理使用它发送非请求性通知给一个或多个预配置的管理工作站,用于向管理者报告管理对象的状态变化。
以上四个操作中,前三个是由管理者发给代理请求,需要代理发出响应给管理者,最后一个则是由代理发给管理者请求,但并不需要管理者响应。
2.3网络管理系统
1.网络管理系统概述
网络管理系统NMS(NetworkManagementSystem)是用来管理网络、保障网络正常运行的软件和硬件的有机组合,是在网络管理平台的基础上实现的各种网络管理功能的集合,包括故障管理、性能管理、配置管理、安全管理和计费管理等功能。
网络管理系统提供的基本功能通常包括:
网络拓扑结构的自动发现、网络故障报告和处理、性能数据采集和可视化分析工具、计费数据采集和基本安全管理工具。
网络管理系统要处理的问题及其内容包括:
网络管理的跨平台性、网络管理的分布式特性、网络管理的安全特性、新兴网络模式的管理、异种网络设备的管理、基于Web的网络管理。
2.HPOpenView
OpenView是HP公司的旗舰软件产品,已成为网络管理平台的典范。
OpenView系列产品包括了统一管理平台、全面的服务和资产管理、网络安全、服务质量保障、故障自动监测和处理、设备搜索、网络存储、智能代理、Internet环境的开放式服务等丰富的功能特性。
HPOpenView管理框架包括以下四个部件:
(1)用于网络管理的网络结点管理器。
(2)用于操作和故障管理的IT/Operation。
(3)用于配置和变化管理的IT/Administration。
(4)用于资源和性能管理的HPPerfView/MeasureWare和HPNetMerix。
HPOpenView网管软件的网络节点管理器NNM,以其强大的功能、先进的技术、多平台适应性等特点,在全球网络管理领域得到了广泛的应用。
3.SunNetManager
Sun公司的NetManager是Sun平台上杰出的网络管理软件。
SunNetManager的特点包括:
分布式管理、协同管理、全面支持SNMP、具有较强的安全性、具有强大的应用接口和丰富的用户工具。
2.4基于windows的网络管理
1.MicrosoftSNMP服务
SNMP是TCP/IP协议组的一部分,提供了在系统之间监视并交流状态信息的能力。
基于Windows的SNMP使用由管理系统和代理组成的分布式体系结构。
Windows的SNMP服务包括两个应用程序,一个是SNMP代理服务程序SNMP.EXE,另一个是SNMP陷入服务程序SNMPTRAP.EXE。
Windows的SNMP代理服务是可扩展的,即允许动态地加入或减少MIB信息,叫做扩展代理。
扩展代理处理私有的MIB对象和特定的陷入条件。
当SNMP代理服务接收到一个请求报文时,它就把变量绑定表的有关内容送给对应的扩展代理。
扩展代理根据SNMP的规则对其私有的变量进行处理,形成响应信息。
SNMPAPI是Microsoft为SNMP协议开发的应用程序接口,是一组用于构造SNMP服务、扩展代理和SNMP管理系统的库函数。
2.SNMP服务执行
1)运行SNMP的准备工作
要做好如下准备:
主机名和IP地址、主机名解析、管理系统、代理、定义SNMP团体。
2)SNMP团体的定义
团体是运行SNMP服务的主机所属的小组。
团体由团体名识别。
3)SNMP服务的工作过程
SNMP服务对管理系统的请求做出响应的步骤如下:
(1)SNMP管理系统使用一个代理的主机名或IP地址,将请求发送给该代理。
该应用程序将请求传递给套接字(UDP端口)161。
(2)建立包含如下信息的SNMP数据包:
针对一个或多个对象的get、get-next或set请求;团体名和其他验证信息;数据包被路由到代理上的套接字(UDP端口)16l。
(3)SNMP代理在其缓冲区中接收该数据包。
对团体名进行验证,如果团体名无效或数据包格式不正确,则将它丢弃。
如果团体名有效,则代理将验证源主机名或IP地址。
(4)SNMP数据包与所请求的信息一起被返回给SNMP管理器。
3.Windows下SNMP服务的安装与配置
(1)读者应了解如何安装SNMP服务。
(2)读者应了解如何配置SNMP服务。
4.WindowsSNMP服务的测试
Microsoft提供了一个实用程序SNMPUTIL,可以用于测试SNMP服务,也可以测试用户开发的扩展代理。
SNMPUTIL的用法是:
snmputil[get|getnext|walk]agentaddresscommunityoid[oid...]snmputiltrap
可以使用SNMPUTIL发送GetRequest或GetNextRequest报文,也可以用SNMPUTIL遍历整个MIB子树。
一种较好的测试方法是同时打开两个DOS窗口,在一个窗口中用SNMPUTIL发送请求,在另一个窗口中用SNMPUTIL接收陷入。
2.5综合企业管理平台UnicenterTNG
1.UnicenterTNG简介
CA公司的UnicenterTNG是一个Windows环境的企业系统管理软件。
UnicenterTNG通过面向对象的技术、友好的管理界面、可扩充的体系结构提供了强大的集成管理。
UnicenterTNG的特点有:
集中管理、强大的管理功能、强大的安全功能、开放性和可扩展性、从任何地方管理一切、易于学习和使用。
2.UnicenterTNG的基本管理功能的内容
UnicenterTNG的基本管理功能包括:
事件管理(EventManagement)、工作量管理(WorkloadManagement)、作业跟踪(JobTracking)、自动存储管理(AutomaticStorageManagement)、安全管理(SecurityManagement)、问题管理(ProblemManagement)和性能管理(PerformanceManagement)。
读者还应了解UnicenterTNGDiscovery的作用和界面特点。
3.网络性能管理
UnicenterTNG中有两个性能管理工具:
ObjectView和RMO。
ObjectView是实时测量单个网络部件性能的最佳工具。
RMO(ResponseManagementOption)可实现真正的端到端网络性能监控和对历史数据进行分析。
4.网络安全管理
SecurityManagement部件是企业管理部件的一部分,实时安全监测功能可防止攻击并且避免它们引起的损失。
SecurityManagement的集成功能使得它能与企业管理部件功能协调工作。
当检测到攻击时,触发事件,将事件发送到事件控制台的日志中去,并通知管理者。
2.6网络管理技术的新发展
网络技术发展日新月异,同时也给网络管理技术的进步带来极大的挑战。
未来的网络管理将进一步融入各种新技术,建立成熟的网络管理标准,加快促进网络管理的一体化、智能化和标准化进程。
主要发展方向有以下几个方面。
1.基于Web的网络管理
基于Web的网络管理的主要优点有:
提供了地理上和系统上的可移动性,具有统一的网络管理程序界面,网络管理平台具有独立性,网络管理系统之间可无缝连接。
基于Web的网络管理的两个标准是WBEM(Web-BasedEnterpriseManagement)标准和JMAPI(Java-ManagementApplicationProgramInterface)标准。
实现Web的技术有多种,最常用的是使用描述WWW页面的语言HTML,另一个关键技术是通过Web浏览器访问数据库,还有一个重要的技术,即Java语言。
2.基于CORBA技术的网络管理
CORBA(CommonObjectRequestBrokerArchitecture)的中文意思是公共对象请求代理体系结构,是对象管理组织OMG(ObjectManagementGroup)为解决分布式处理环境下硬件和软件系统的互连互通而提出的一种解决方案。
通常为了发挥现有网络管理模型在管理信息定义以及管理信息通信协议方面的优势,一般是利用CORBA实现管理系统,使其获得分布式和编程简单的特性,而被管系统仍采用现有的模型实现。
因此,目前基于CORBA的网络管理,主要是解决如何利用CORBA客户来实现管理应用程序,以及如何访问被管资源,而不是如何利用CORBA描述被管资源。
目前的问题是研究SNMP/CORBA网关和CMIP/CORBA网关,以支持CORBA客户对SNMP或CMIP的被管对象进行管理操作。
3.基于主动网的网络管理
主动网技术就是让网络的功能成分更加主动地发挥作用。
它允许用户和各交换节点将自己订制的程序注入网络,在网络中主动寻找发挥作用的场所。
应用主动网技术进行网络管理已经引起了人们的重视,并正在逐步地应用于网络管理系统之中。
现在已经提出了两种典型的基于主动网技术的分布式网络管理模型,即
(1)委派管理MBD(ManagementByDelegation)模型。
(2)移动代理MA(MobileAgent)模型。
4.TMN网络管理体系的发展
TMN的基本概念是提供一个有组织的网络结构,以取得各种类型的运行系统之间、运行系统与电信设备之间的互连,是采用商定的具有标准协议和信息的接口进行管理信息交换的体系结构。
TMN的几个发展趋势包括:
从网络管理向业务管理过渡、对异构系统进行综合管理、TMN实现技术的不断发展、电子传单(ElectronicBonding)逐步应用。
5.智能化的网络管理
智能计算技术用于网络管理主要有以下三种:
(1)基于专家系统的网络管理。
(2)基于智能Agent的网络管理。
(3)基于计算智能的宽带网络管理。
2.网管重点解析之网络安全
网络安全
计算机网络提供了资源的共享性,提高了系统的可靠性,通过分散工作负荷提高了工作效率,并且还具有可扩充性,这些特点使得计算机广泛应用于各个领域,但也给网络安全提出了挑战。
在共享强大的网络资源的同时,网络上的许多敏感信息和保密数据难免受到各种主动的或被动的人为攻击,例如信息泄露、信息窃取、数据篡改、数据增删、计算机病毒感染等。
当网络规模越来越大和越来越开放时,其安全性将随之变差或变得难以控制。
本章从以下几个方面论述了网络安全的基本原理和实用技术。
(1)网络防火墙是加强网络系统安全性的一个行之有效的措施。
(2)随着网络入侵事件的不断增加和黑客攻击水平的不断提高,入侵检测技术得到越来越多的应用。
(3)随着企业网络感染病毒、遭受攻击的事件日益增多,而企业网络受到攻击做出响应的时间却越来越滞后,传统的防火墙或入侵检测技术(IDS)已显得力不从心,这就需要引入入侵防护系统。
(4)计算机界与病毒的斗争还方兴未艾,特别是随着计算机网络的快速发展,计算机病毒的传播有了更为有利的环境,现在作为网络系统安全的重要任务之一,就是避免服务器和联网微机遭受病毒侵袭。
如何有效地在网络环境下防治病毒是一个比较新的课题,各种方案、技术很多,最重要的是应当先研究网络防治病毒的基本原则和策略,在这方面业内人士已基本达成共识。
由于网络系统平台多种多样,因此,网络防病毒系统组织形式也多种多样。
★通过本章的学习。
应该达到如下要求:
(1)掌握网络安全的基础知识。
(2)掌握防火墙的概念和基本技术。
(3)掌握入侵检测的概念和相关技术。
(4)了解漏洞扫描的相关知识。
(5)了解计算机病毒的基本知识。
(6)掌握网络病毒防护的主要技术。
(7)了解其他的网络安全措施。
2.1网络安全基础
l.网络安全基本概念
网络安全的五个基本要素:
机密性、完整性、可用性、可控性与可审查性。
网络主要存在的五个方面威胁:
非授权访问、信息泄漏或丢失、破坏数据完整性、拒绝服务攻击、利用网络传播病毒。
网络安全控制技术有防火墙技术、加密技术、用户识别技术、访问控制技术、网络反病毒技术、网络安全漏洞扫描技术、入侵检测技术等。
2.黑客的攻击手段
黑客往往具有很高的计算机天赋,已成为计算机安全的严重威胁。
黑客常用的几种攻击手段有:
(1)口令人侵。
口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。
通常黑客会利用一些系统使用习惯性的账号的特点,采用字典穷举法来破解用户的密码,中途截击的方法也是获取用户账户和密码的一条有效途径。
(2)放置特洛伊木马程序。
特洛伊木马程序是非法驻留在目标计算机里,并可自动运行以在目标计算机上执行一些事先约定的操作的程序。
特洛伊木马程序一般分为服务器端和客户端。
服务器端是攻击者传到目标机器上的部分,用来在目标机上监听,等待客户端连接过来。
客户端是用来控制目标机器的部分,放在攻击者的机器上。
(3)DoS攻击。
DoS攻击亦称拒绝服务,其目的是使计算机或网络无法提供正常的服务。
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。
(4)端口扫描。
端口扫描程序侦听目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等信息。
扫描器一般有三项功能:
发现一个主机或网络;发现主机上运行的服务;通过测试这些服务发现漏洞。
(5)网络监听。
网络监听是主机的一种工作模式,在这种模式下,主机侦听网络物理通道以接收本网段在同一条物理通道上传输的所有信息。
监听在监测网络传输数据、排除网络故障等方面具有重要的作用,但另一方面也给网络的安全带来了极大的隐患。
Sniffer是一个得到广泛使用的监听工具,它可以监听到网上传输的所有信息。
(6)欺骗攻击。
攻击者通过创造易于误解的上下文环境,来诱使受攻击者进人并且做出缺乏安全考虑的决策。
(7)电子邮件攻击。
电子邮件攻击手段的主要表现是向目标信箱发送电子邮件炸弹,将邮箱挤爆。
3.可信计算机系统评估标准
TCSEC将计算机系统的安全划分为四个等级、七个级别。
分别为:
D类安全等级,包括D1一个级别;C类安全等级,包括C1和C2两个级别;B类安全等级,包括B1、B2和B3三个级别;A类安全等级,包括A1一个安全级别。
了解各等级、级别的内容及相互关系。
公安部组织制订了《计算机信息系统安全保护等级划分准则》,该准则的发布为我国计算机信息系统安全法规和配套标准制定的执法部门的监督检查提供了依据,为安全产品的研制提供了技术支持,为安全系统的建设和管理提供了技术指导,是我国计算机信息系统安全保护等级工作的基础。
它规定了计算机系统安全保护能力的五个等级,应了解这五个等级及其内容。
这五个等级是:
第一级,用户自主保护级(对应TCSEC的C1级);第二级,系统审计保护级(对应TCSEC的C2级);第三级,安全标记保护级(对应TCSEC的B1级);第四级,结构化保护级(对应TCSEC的B2级);第五级,访问验证保护级(对应TCSEC的B3级)。
2.2防火墙
防火墙作为隔离可靠网络与不可靠网络的重要设备,在计算机网络安全领域的地位举足轻重。
1.防火墙的定义、功能和特点
防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合,它对两个或多个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。
防火墙具有对进出的数据包进行过滤,监视Internet安全,记录通过防火墙的信息内容和活动,控制对特殊站点的访问等功能。
防火墙相关的基本概念包括非信任网络(公共网络)、信任网络(内部网络)、DMZ(非军事化区)、可信主机、非可信主机、公网IP地址、保留IP地址、包过滤、地址转换等。
防火墙具有强化安全策略,有效地记录互联网上的活动,能够拒绝可疑的连接或者访问等优点,同时它还有不能防范不经由防火墙的攻击,不能防止感染了病毒的软件或文件的传输,不能防止数据驱动式攻击等缺点。
2.防火墙基本分类及实现原理
防火墙分为包过滤防火墙、应用层