计算机网络管理.docx
《计算机网络管理.docx》由会员分享,可在线阅读,更多相关《计算机网络管理.docx(13页珍藏版)》请在冰豆网上搜索。
计算机网络管理
网络管理需求:
应用组成复杂,互联规模大、设备多样,异构型、多协议栈互联、性能要求不同的网络业务增加了管理难度和费用。
目的:
减少停机时间,改进响应时间,提高设备利用率、减少运行费用,提高效率、减少/消灭网络瓶颈、适应新技术、方便修改优化配置、容易使用、网络业务多、保密、控制网络访问资源、安全。
体系结构:
操作系统、协议支持、管理框架、管理应用。
网络管理框架特点:
管理功能分管理站和代理、为存管理信息提供数据库支持、提供用户接口和视图、提供基本的管理操作。
NME:
网络节点包含一组与管理有关软件。
NMA:
管理站中一组软件叫做网络管理应用,提供用户接口、按用户命令显示管理信息、通过网络向NME发请求和指令。
管理实体任务:
收集网络通信统计信息、对本地设备测试记录设备状态信息、本地存有关信息、响应网控中心的请求发送管理信息、根据网控中心指令设置改变设备参数。
集中式:
所有代理在管理站监视控制下协同,实现集成网管,可以有效控制整个网络资源、平衡负载,优化网络。
分布式:
分布式管理系统代替单独的网控主机地理分部的网管客户机和一组网管服务器交付作用,共同完成网管功能。
分部门管理:
限制客户机只能访问管理本部门网络资源,有一个中心管理站全局管理,还能对管理功能弱的客户机发指令实现高级管理,灵活性和可伸缩性。
委托代理和非标准设备:
(不支持网管标准、不能完整实现NME、或无法运行附加软件)间运行制造商专用协议,协议转换。
管理软件结构:
用户接口软件(交互和处理简单信息)、管理专用软件(检索、配置)、管理支持软件(MIB访问模块、通信协议栈)网络监控系统 网管功能(网络监控)网络监视(收集系统和子网状态信息、分析被管设备行为,以便发现问题)和网络控制(修改参数或配置网络资源,改善运行状态)。
解决的问题:
1对管理信息定义:
说明监视哪些管理信息、从哪些被管获得信息2监控机制的设计:
如何从被管资源得到需要的信息3管理信息的应用:
根据收集的信息实现什么功能。
管理信息:
静态信息:
包括系统和网络配置信息、动态信息:
网络中出现的事件和设备的工作状态有关、统计信息:
从动态信息推导的信息。
网监功能:
确定从哪里收集管理信息,确定存在什么地方。
网监配置:
监控应用程序是监控系统的用户接口,完成性能、故障、寄费监视,管理功能完成与其它网络元素代理进城通信,监控代理功能专门对管理信息计算和统计,把结果传管理站。
代理和管理站通信轮询:
一种请求响应式的交付作用,有监视器向代理请求,询问所需信息,代理响应,从其信息库取请求的信息,返监视器。
事件报告:
由代理主动发信息,根据管理站要求定时发送状态报告,或则监测到某些特定事件或非正常事件生成事件报告,发送给管理站。
选择通信方式因素:
传送监控信息的量、危机情况处理能力、网络管理站通信时延、被管设备的处理工作量、消息传输的可靠性、网管应用特殊性、发消息前通讯设备失效的可能性。
故障管理(前三是网络监视)故障检测报警:
故障监视代理随时记录系统出错情况和引起故障的事件,存在运行日志数据库中,对报告数量频率要控制;故障预测:
对各种可引起故障的参数建立门限值,随时监视参数值变化,超过门限报警;故障诊断定位:
对设备通信线路测试,找出原因和地点;还要有效用户接口软件,使故障发现诊断定位排除可交互进行。
性能管理(最重)(性能监视,两类性能指标:
面向服务、面向效率)可用性:
网络系统、元素、或应用对用户可利用的时间百分比,是网络元素可靠性(元素在具体条件下完成特定功能的概率,与各元素可靠性和组织新式有关)的表现。
平均无故障时间MTBF度量元素故障率,则A(可用性)=MTBF/MTBF+MTTR(失效后平均维修时间),串联可用性A2,并联2A-A2。
响应时间:
用户输入请求到系统在终端返回结果的时间间隔,由系统各部分处理延迟时间组成,入口终端延迟(2400b/s=300字符/s,即一字符时延3.33us)、入口排队时间、入口服务时间、CPU处理延迟、出口排队时间、出口服务时间、出口终端延迟。
正确性:
网络传输的正确。
吞吐率:
面向效率的指标,一段时间完成的数据处理的数量或接受用户会话的数量或处理呼叫的数量。
利用率:
网络资源利用的百分率,面向效率,与负载有关。
(性能测试报告包含)主机对通信矩阵:
源、目间传的总分组数、数据分组数、数据字节、及所占百分数;主机组通信矩阵:
一主机间通信量统计,与上类时;分组类型直方图:
各原始分组的统计信息,图形表示;吞吐率-利用率分布:
各节点发送接收总字节数和数据字节数统计;分组到达时间直方图:
不同时间到达分组统计;信道获取时间直方图:
网络接口单元排队等待发送、经过不同延迟时间的分组统计;通信延迟直方图:
从发出原始分组到分组到达目标的延迟时间;冲突计数直方图:
经受不同冲突次数分组统计;传输计数直方图:
经过不同试发送次数的分组数统计;功能全面的性能评价程序;人工负载生成程序。
计帐管理跟踪控制用户对资源使用,把有关信息存在运行日志数据库,为收费提供依据;需计费资源通信设施:
LAN\WAN\租用线路、PBX使用事件;计算机硬件:
S/C机时数;软件系统:
下载应用软件和使用程序费用;服务:
商业通信服务、信息提供服务。
格式用户标志符;连接目标标识符;传送的分组数、字节数;安全级别;时间戳;指示网络出错情况的状态码;使用的网络资源。
网络控制(设置修改网络设备参数,时设备系统或子网改变运行状态、按照需要配置网络资源或重新初始化)-配置管理初始化、维护、关闭网络设备或子系统,被管设备包括物理设备和底层逻辑对象(传输层定时器、计数器、虚点路),功能模块包括:
定义配置信息、设置修改设备属性(允许管理站远程修改代理中管理信息值。
限制是授权的管理站、有些属性反映硬件配置,不可改。
修改信息的三种:
只改数据库,管理站向代理发命令,代理修改配置数据库中数据值;修改数据库和设备状态;修改数据库,同时引起设备动作)、定义修改网络元素间互联关系(继承层次:
管理对象之间继承关系)、启动终止网络运行、发行软件、检查参数值和互联关系、报告配置现状。
安全管理保护管理站和代理间信息交换安全。
保密性:
信息只能由授权用户读取;数据完整性:
信息资源只能被授权用户修改;可用性:
权限用户在需要时可利用网络资源。
对计算机网络的安全威胁:
破坏了这三方面的安全性要求。
中断:
信息无用,可用性;窃取:
未授权用户访问,保密性;串改:
完整性;假冒:
完整性。
对硬件:
破坏系统硬件可用性;软件:
操作系统、实用程序、应用软件被改、损坏、删除,失去可用性,非法拷贝;数据非法访问,破坏保密性,被修改假冒,破坏完整性,被删除,破坏可用性,甚至在无法直接读取时通过分析文件信息推测数据特点;对网络:
被动威胁,不改数据流,而是窃取线路信息,破坏保密,主动威胁改变伪造信息流,破坏完整性可用性,不必知道内容,可改变信息方向,延迟、重放、重排序,还影响网络正常使用。
对网络管理的安全威胁:
伪装的用户:
未授权的一般用户企图访问网管应用和管理信息;假冒的管理程序:
无关的计算机系统伪装成网络管理站实施管理;侵入管理站和代理间的信息交换过程:
入侵者观察网络活动窃取敏感管理信息,串改管理信息,中断管代通信。
(以下是安全设施的管理)安全信息维护:
安全信息维护功能包括:
记录系统出现的各类事件,追踪安全审计试验,自动记录有关安全的重要事件,报告和接收侵犯安全的警示信号,在怀疑出现威胁时防范,维护检查安全记录,分析风险,编址安全评价报告,备份保护敏感文件,研究各用户活动形象预先设定敏感资源使用形象,以便检测授权用户异常活动和对敏感资源的滥用。
资源访问控制:
目的是保护网络资源,与网络有关的是,安全编码、源路由和路由记录信息、路由表、目录表、报警门限、计费信息。
安全管理记录用户活动形象各特殊文件使用形象检查可能出现的异常访问活动。
加密过程控制:
对管理站和代理间交换的报文加密,可改变加密算法,秘钥分配。
Iso,1987.11sgmp简单网管监控协议1989颁布isodis7498-4(x.700)定义网络管理基本概念和总体框架,1991发布so9595公共管理信息服务定义cmis和iso9596公共管理信息协议规范cmip,1992公布iso10165定义管理信息结构smi,以上组成iso管理标准1987.11sgmp演snmpv11990.1991,rfc1155(smi),rfc1157(snmp),rfc1212(mib定义),rfc1213(mib-2规范),snmpv2(rfc1902-1908,1996),snmpv3(rfc2570-2575apr,1999);Netview适用分布式管理;SunNetManagerOpenView;Ciscowork2000
概念:
ASN.1的书写规则叫文本约定:
书写的布局无效的。
多空格空行等效一个、表示值和字段的标识符类型指针模块名由大小写字母数字短线组成、标识符以小写字母开头、ASN.1定义的内部类型全部用大写、关键字用大写、注释以短线――开始以短线或行尾结束。
表示层实体(ASN.1)符合标准ccittx.208和iso8824,提供统一网络数据表示,用于定义应用数据抽象语法和应用层协议数据单元结构,对应用实体编码,变成二进制比特。
应用实体(ftp)构造协议数据单元。
抽象语法独立于编码技术,仅与应用有关,可选多种传输语法。
传输语法把抽象数据变成比特串的规则。
抽象数据类型标签类型通用标签:
由标准定义,适用任何应用,分四类:
简单类型(由单一成分构成的原子类,除universal16、17外都是简单,特点是可直接定义值的集合,可将其作为原子类构造其它类,分四组:
基本类:
boolean、integer、bitstring、octetstring、real、enumerated;各种字符串类:
18-22,25-27;objectidentifier和objectdescriptor;null空类、external外部类、utctime和generalizedtime);构造类新(序列sequence、sequenceof;集合set、setof);标签类型(应用或用户加在某类型上的标签,使用原因:
一类型可有多类型名、结构类型中可用上下文专用标签区分类型相同的元素;implicit、explicit分别表示隐含和明示的标签类新,隐含标签语意是新换老,编码仅编新标签,明示标签语意是基本类新作为位移元素构造类型,新老都编);其它类型(choice和any)应用标签:
某个具体应用定义的类型;上下文专用标签:
在文本一定范围适用;私有标签:
用户定义的。
子类型由限制父类型的值集合而导出的类型,产生子类的方法单个值、包含子类型、值区间(用于整数实数,指出取值区间)、可用字符串(限制可用字符集)、限制大小、内部子类型。
基本编码:
将asn表示的抽象类型值编为字符串。
字段扩充:
标签值大于30的类型字节要扩、值部分大于一个字节的表示范围时长度字节要扩。
宏表示:
ASN.1提供的表示机制,用于定义宏。
宏定义:
用宏表示定义的一个宏,是宏实列的集合,组成:
类型表示、值表示、支持产生式;可看成式类型模版,可用此模版制造形式相似语意相关的数据类型,简化类型定义,用具体的值代替宏定义中的参数或变量就产生。
宏实例:
具体的值代替的宏定义中的变量产生的实例,代表一类型
MIB:
Tcp是端系统间的协议,保证可靠发送接收数据并给应用层提供访问端口。
ip根据全网位移地址把数据从源搬到目的。
网络管理:
网络、设备和主机的管理。
SNMP组成:
管理信息库的定义和管理信息库的协议规范,内容是mib树和服务原语(Get检索数据,Set改变数据,GetNext提供扫描MIB和连续检索数据的方法。
Trap提供从代理进程到管理站的异步报告机制。
管代间通信以便查询修改数据库)。
陷入制导轮询:
有效监控被管设备,又不增加负载。
站启动时或每隔定时用get轮询代理,得到关键信息或基本性能统计参数,得到后停止轮询,代理负责在必要时向站报告异常。
网络管理框架RFC1155管理信息结构SMI(管理对象的语义和语法,mib1,仅存标量和二维数组-表对象);RFC1212定MIB模块的方法;RFC1213定MIB-2管理对象的核心集合;RFC1157定SNMPv1协议的规范文件。
体系结构:
(应用层、tcpudpipicmp、网络访问层)。
Snmp:
依托于UDP数据报,向管理应用提供服务,作用是把管理应用程序的服务调用变成对应的SNMP协议数据单元,并利用UDP数据报发送出去。
委托代理:
SNMP要求所有代理和站实现TCP/IP,不支持TCP/IP的,只能通过委托代理管理若干非TCP/IP设备,代表这些接受管理站查询。
实际上委托代理起到了协议转换做用。
委托代理和被管理设备间为非TCP/IP的专用协议。
snmp环境管理对象组织方式Mib结构层次树作用:
表示管理和控制关系(org3由iso管、internet1由iab)、提供结构划信息组织技术、提供对象命名机制。
internet节点的四个节点directoty为iso的目录服务(x.500)使用的mgmt包括iab批准的所有管理对象experimenttal标识在互联网上试验的所有管理对象private时为私人企业管理信息准备只有enterprisestcp。
连接表定义特点:
整表时tcp连接项组成的同类序列、连接项由5个不同类型标量元素组成的序列(integer、ipaddress、integer0..65535、ipaddress和integer0..65535)、连接表索引由4元素(本地地址、本地端口、远程地址、远程端口)的组合惟一区分表中一行。
概念表行:
表和行对象没有实例标识符,snmp不能访问,访问特性是not-accessible。
词典顺序:
站不知道代理提供的mib的组成,所以站要搜索mib树,在不知道对象标识符的情况下访问对象值。
mib2功能组:
11个功能组171个对象,选择管理对象的标准:
包括故障管理和配置管理的对象;只包含弱控制对象(错误对系统不会造成严重危害);选择经常使用的对象,并且证明当前网络管理中正在使用;为了易实现,开发mib1限制对象100左右,mib2有117;不包含具体专用对象;为免冗余,不包括可从已有对象导出的对象;每协议层的每关键部分分配一计数器,避免复杂编码。
系统组:
提供系统一般信息。
接口组:
包含主机接口配置信息和统计信息。
地址转换组:
仅为和min1兼容,其它对象已收到其它网络协议组,理由:
为支持多协议节点;为表示双向映射关系(地址转换表只许网络地址到物理地址的映射)。
ip组:
提供与ip协议有关的信息。
ip地址表:
包含与本地ip有关的信息,表中对象属性只读,snmp不能改变主机地址;ip路由表:
包含转发路由的一般信息,可读写,snmp可以设置;ip地址转换表提供物理地址和ip地址对应关系;rfc1354(1992.7)提出ip转发表代替ip路由表增加了ipforwardpolicy(路由选择策略)ipforwardnexthopas(下一自治系统地址)。
icmp组:
是ip的伴随协议,包含有关ivmp实现和操作的有关信息。
tcp组:
包含与tcp协议的实现和操作有关的信息。
udp组:
提供关于udp数据报和本地接收端点的详细信息。
egp组:
提供关于egp路由器发送接收egp报文的信息以及egp邻居的详细信息。
传输组:
针对各种传输介质提供详细的管理信息,是联系各接口的特殊节点,cmot组snmp组输入错误率=ifInErrors/(ifInUcastPkts+ifInNUcastPkts)输出错误率=ifOutErrors/(ifOutUcastPkts+ifOutNUcastPkts)
Snmpv1:
优点简单、容易实现、基于人们有操作经验的sgmp;缺点:
没有实质性安全措施,无数据源认证、不能防偷听。
商家因此废除了set命令。
双轨策略:
snmp可满足当前网管需要、配置简单网络、将来可过渡到新网管标准;osi(即cmot)网管作为长期解决办法,可应付未来复杂网络配置,提供更全面管理功能。
停止原因:
snmpmib应是osimib子集,以便顺利过渡到cmot,但osi定义的管理信息库是复杂的面向对象模型,此上实现snmp几乎不可能;osi系统管理标准和符合osi标准的网管产品开发进展慢,期间snmp得到厂家支持,出现很多snmp产品,得到用户接收。
SNMPv2:
为修补snmp安全,1992.7出现安全snmp(s-snmp,增强的功能:
用报文算法md5保证数据完整和数据源认证;用时间戳对报文排序;用des算法提供数据加密功能)但没有改变功能和效率方面的其它缺点,于是出现smp(8文件组成,扩充表现在:
适用范围:
smp可管任意资源,即网络资源、应用管理、系统管理,可实现站间通信,提供灵活描述框架可描述一致性要求和实现能力;复杂程度、速度、效率:
保持snmp简单性,易实现、提供数据传送能力,速度效率高;安全设施:
结合s-snmp提供的安全功能;兼容性:
可运行在tcpip网上,也适合osi系统和运行其它通信协议的网络),最后放弃s-snmp,以smp为基础开发snmpv2snmpv3由于snmpv2没有达到商业级别安全要求(提供数据源标识、报文完整性认证、防止重放、报文机密性、授权和访问控制、远程配置、高层管理能力),1999.4发布snmpv3,其工作组目标:
产生一组必要文档作为下一代snmp核心功能的单一标准,要求尽量使用已有文档,使得新标准能适应不同管理需求的各种操作环境、便于已有的系统项v3过渡、可方便建立和维护管理系统。
单一标准:
在v2研制中有几个不同建议(snmpsecurity,91-92,rfc1351-rfc1353;smp,92-92;基于party的v2,93-95,rfc1441-1452),以上对v2的发展有贡献,但各所描述的管理框架不一致,从而形成几个不同的v2标准(基于团体的v2(snmpv2c{rfx1901});snmp2u{rfc1909-rfc1910};snmp2*),v2c得到ietf认可,但缺安全和高层管理,所以,1998.1发表文件(rfc2271描述管理框架体系结构、2272简单网管协议报文处理和调度、2273v3应用程序、2274v3基于用户的安全模型、2275基于视图的访问控制模型)作为安全和高层管理建议,1999.4公布v3的新标准草案(rfc2570internet标准网络管理框架第三版引论、2571snmp管理框架体系结构描述(代rfc2271)、2572简单网管协议报文处理调度(代2272)、2573v3应用程序(代2273)、2574v3基于用户安全模型usm(代2274)、2575v3基于视图访问控制模型vacm(2275)、2576snmp第1、2、3版共存问题(代2089,march2000)),另外对v2的smiv2也修改(rfc2578管理信息结构2版(代1902)、2579对smiv2的文本约定(1903)、2580对v2的一致性说明(1904)),v3不仅在v2上增加了安全和高管,还和以前v1v2兼容v1支持的操作仅支持对象值的检索和修改,Get:
检索管理信息库中标量对象的值,Set:
站设置管理信息库中标量对象值,Trap:
代理向管理站报告管理对象状态变化SNMP不支持管理站改变管理信息库中结构,不能增加删除MIB中的管理对象实例。
站不能向管理对象发出执行一个动作的命令。
管理站只逐个访信息库中的叶子节点,不能一次性访问一个子树。
PDU格式站和代理间交换的管理信息构成SNMP报文,组成:
版本号、团体名、协议数据单元(PDU)。
SNMP有5种管理操作,只4种PDU,管理站发出三种请求报文GetRequest,GetNextRequest和SetRequest采用的格式是一样的。
代理的应答报文只有一种:
GetResponse.除Trap外,4种pdu格式相同,共有5个字段:
a)PDU类型:
共5种类型b)请求标识:
赋予每个请求报文唯一的整数,用于区别不同请求c)错误状态:
有5种错误状态:
(1)noerror,
(2)tooBig,(3)noSuchName,(4)badOnly,(5)genError d)错误索引当错误状态非0时指出出错的变量e)变量绑定表:
变量名和对应值的表;Trap包含:
制造商ID、代理地址(产生陷入的代理ip地址)、一般陷入:
SNMP定义7类、特殊陷入:
与设备有关的特殊陷入代码、时间戳:
代理发出陷入的时间。
报文应答序列管理站发出GetRequest、GetNextRequest、SetRequest代理返回GetResponse;Trap是代理给站的,不需要应答,如果规定时间收到应答,则按请求标识符配对,即应答与请求的标识相同。
发送和接收过程SNMP协议实体(PE)发送报文执行:
a)按ASN1格式构造PDU,交给认证进程b)认证进程检查源和目标间是否可通信c)通过检查,相关的版本号、团体名、PDU组装成报文d)经过BER编码,绞传输实体发送出去;接收报文执行:
按BER编码恢复ASN1报文、对报文验证版本和认证信息,通过分析和验证,分离出协议数据单元,进行语法分析,必要时经过适当处理返回应答报文、如果认证检验失败,生成一个陷入报文,向发送站报告通信异常情况。
如希望检索多个管理对象,则要把多个管理对象装入一个PDU,这就用到变量绑定表。
v1的操作:
检索简单标量对象值的方法:
使用Get,如变量绑定表包含多变量,一次可检多个标量对象值。
GetResponse操作的原子性:
如果请求对象的值都可得,则应答;反之,返回下列错误(绑定表中一对象无法与MIB中任何对象标示符匹配,或要检索的对象是一个数据块(子树和表),没有对象实例生成。
返回的错误状态字noSuchName;因上下层协议限制,响应实体可以提供所要检索的值,但变量太多,一个相应PDU装不下,tooBig;由于其它原因响应实体至少不能提供一个对象的值,返回genError)2、检索未知对象的方法:
使用GetNext命令检索变量名指示的下一个对象实例。
如果交叉标示符没有有效性,直接查找下一个有效的标示符,并返回对象实例。
如果不知道UDP组内有哪些变量可以直接发送GetNextRequest(udp),将得到响应是UDP组内的第一个对象表的更新和删除Set用于设置更新变量值,PDU格式与Get相同;变量绑定表(variablebindings)中须包含要设置的变量名和值;Set的应答也是GetResponse,是原子性;如所有的变量都可设,则更新所有变量值,返回GetResponse中确认新值;如有一变量值不能设,所有变量值都保持不变,并在错误状态中指出原因。
SET出错原因和GET类似(tooBigno,SuchName,GenError),若有一个变量的名字和要设置的值在类型、长度或实际值方面不匹配,返回badValid.;增加行(发出命令与表的行数一样)代理可拒绝,因为iproute.11.3.3.1不存在,返回noSuchName;可接收并企图生成,但发现赋值不当,返回badvalue;可接收,生成新行,得到响应。
(发出命令比表的行数少)代理增加一行,其余赋默认值;代理拒绝,必须提供所有变量值.删除行把一个对象的值设为invalid,返回响应确认;MIB-2中只有2种表可删除ipRouteTable包含ipRouteType可取值为invalid;ipNetMediaTable包含ipNetToMediaType可取值为invalid陷入由代理向站发出的异步事件报告,不需应答。
7种陷入条件:
coldStart:
发送实体重初始化,代理配置已改,系统失效引起;warmStart:
发送实体重新初始化,代理配置没有改变,正常重启引起;linkDown:
链路失效,变量绑定表的第一项指明对应接口表的索引变量及其值;linkUp:
链路启动通知变量绑定表的第一项指明对应接口表的索引变量及其值;uthenticationFailure:
发送实体收到一个没有通过认证的报文;egpNeighborLoss:
相邻的外部路由器失效或关机;enterpriseSpecific:
升级会员 