网络管理复习资料.docx
《网络管理复习资料.docx》由会员分享,可在线阅读,更多相关《网络管理复习资料.docx(23页珍藏版)》请在冰豆网上搜索。
网络管理复习资料
第1章网络管理概论
1.网络管理的定义:
按照国际标准化组织(ISO)的定义,网络管理是指规划、监督、设计和控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。
2.网络管理系统体系结构:
有关资源的管理信息由代理进程控制,代理进程通过网络管理协议与管理站对话。
3.各种网络管理框架的共同特点:
①管理功能分为管理站和代理两部分;②为存储管理信息提供数据库支持;③提供用户接口和用户视图功能;④提供基本的管理操作。
4.网络监控:
网络管理功能可分为网络监视和网络控制两大部分,统称网络监控(NetworkMonitoring)。
5.网络监控系统的通信机制:
有两种技术可用于代理和监视器之间的通信。
一种叫做轮询(Polling),一种叫做事件报告(EventReporting)。
6.面向对象的概念:
多继承性,是指一个子类有多个超类;多态性源于继承性,子类继承超类操作,同时又对继承的操作做了特别的个性,这样不同的对象类对于同一操作会做出不同的响应;同质异晶性是指它可以是多个对象类的实例。
7.网络管理的主要功能:
一般划分为五个功能域(功能类),每一类分别执行不同的网络管理任务,合称FCPAS,即配置管理、故障管理、性能管理、计费管理和安全管理。
8.性能监视:
就是指针对网络的工作状态,收集、统计、分析相关的数据,根据性能监测的结果可以改进性能评价的标准,调整性能监测模型,为网络控制提供依据。
对网络管理有用的两类性能指标:
即面向服务的性能指标(可用性、响应时间、正确性)和面向效率的性能指标(吞吐率、利用率)。
9.例1.1计算双链路并联系统的处理能力。
假定一个多路器通过两条链路连接到主机。
在主机业务的峰值时段,一条链路只能处理总业务量的80%,因而需要两条链路同时工作,才能处理主机的全部传送请求。
非峰值时段大约占整个工作时间的40%,只需要一条链路工作就可以处理全部业务。
假定一条链路的可用性为A=0.9。
整个系统的可用性Af可表示如下:
Af=(一条链路的处理能力)×(一条链路工作的概率)+(两条链路的处理能力)×(两条链路工作的概率)
两条链路同时工作的概率为A2=0.81,而恰好有一条链路工作的概率为A(1-A)+(1-A)A=2A-2A2=0.18。
则有
Af(非峰值时段)=1.0×0.18+1.0×0.81=0.99
Af(峰值时段)=0.8×0.18+1.0×0.81=0.954
于是系统的平均可用性为
Af=0.6×Af(峰值时段)+0.4×Af(非峰值时段)=0.9684
10.相对利用率:
计算出各个链路的负载占网络总负载的百分率(相对负载),以及各个链路的容量占网络总容量的百分率(相对容量),最后得到相对负载与相对容量的比值。
这个比值反映了网络资源的相对利用率。
表1.1网络负载和容量分析
11.故障监视:
就是要尽快发现故障,找出故障原因,及时采取补救措施。
常见的网络故障管理主要包括以下3个功能模块:
故障检测和报警、故障预测功能、故障诊断和定位功能。
12.计费管理:
计费监视主要是跟踪和控制用户网络资源的使用,并把有关信息存储在运行日志数据库中,为收费提供依据。
计费管理通常是商用网络才需要的网络管理功能。
需要计费的网络资源包括:
通信设施、计算机硬件、软件系统、服务。
13.配置管理:
是指初始化、维护和关闭网络设备或子系统。
配置管理应包含下列功能模块:
定义配置信息;设置和修改设备属性;定义和修改网络元素间的互联关系;启动和终止网络运行;发行软件(以上为配置控制);检查参数值和互联关系;报告配置现状(以上为配置监视)。
14.安全管理:
网络管理中的安全管理:
是指保护管理站和代理之间的信息交换安全。
安全管理使用的操作与其他管理合作的操作相同,差别在于使用的管理信息的特点。
安全管理的对象:
包括密钥、认证信息、访问权限信息和有关安全服务和安全机制的操作参数信息。
15.计算机和网络需要3方面的安全性:
●保密性(Secrecy):
计算机网络中的信息只能由授予访问权限的用户读取;●数据完整性(Integrity):
计算机网络中的信息资源只能被授予权限的用户修改;●可用性(Availability):
具有访问权限的用户在需要时可以利用计算机网络资源。
16.对数据的威胁:
数据可能被非法访问,破坏了保密性;数据可能被恶意修改或者假冒,破坏了完整性;数据文件可能被恶意删除,从而破坏了可用性。
17.安全机制:
①数据加密,是保密通信的基本手段。
是防止XX的用户访问敏感信息的手段,是其他安全方法的基础。
②认证,防止主动攻击的方法。
分为实体认证和消息认证两种。
实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。
消息认证是验证消息在传送或存储过程中没有被篡改,通常使用消息摘要的方法。
③数字签名,防止否认的方法。
有两种数字签名方法,一种是基于密钥的数字签名;另一种是基于公钥的数字签名。
④消息摘要,验证消息完整性。
用于差错控制的报文检查和根据冗余位检查消息是否受到干扰的影响。
消息摘要可以加速数字签名算法。
18.网络管理标准:
TCP/IP网络管理最初使用的是1987年11月提出的简单网关监控协议(SGMP),在此基础上改进成简单网络管理协议第一版SNMPv1,陆续公布在RFC1155(SMI)、RFC1157(SNMP)、RFC1212(MIB定义)和RFC1213(MIB-2规范)。
几年以后在第一版的基础上改进其功能和安全性,产生了SNMPv2(RFC1902~1908,1996)和SNMPv3(RFC2570~2575,1999)。
在同一时期,用于监控局域网通信的标准——远程网络监控RMON也出现了,这就是RMON-1(1991)和RMON-2(1995)。
这一组标准定义了监视网络通信的管理信息库,是SNMP管理信息库的扩充,与SNMP协议配合可以提供更有效的管理性能,也得到了广泛应用。
另外,IEEE定义了局域网的管理标准,即IEEE802.1bLAN/MAN管理标准。
这个标准用于管理物理层和数据链路层的OSI设备,因此叫做CMOL(CMIPOverLLC)。
为了适应电信网络的管理需要,ITU-T在1989年定义了电信网络管理标准(TelecommunicationsManagementNetwork,TMN),即M.30建议(蓝皮书)。
第2章管理信息库MIB—2
1.TCP/IP协议簇:
Internet是由美国国防部(DoD)的ARPANET演变而来的。
在这个网络上运行的通信协议统称为TCP/IP协议簇。
ARPANET定义了4个协议层,上下向上分为①网络访问层(物理层、数据链路层)②IPTCMP层(网络层)③TCPUDP层(传输层)④应用层(会话层、表示层、应用层)。
协议允许同层协议实体之间相互作用,从而实现复杂的控制功能,也允许上层过程直接调用不相邻的下层过程。
2.TCP/IP协议:
TCP是端系统之间的协议,其功能保证端系统之间可靠地发送和接收数据,并给应用进程提供访问端口。
互联网中的所有端系统和路由器都必需实现IP协议。
IP的主要功能是根据全网唯一的地址把数据从源主机搬到目标主机。
3.TCP/IP网络管理框架:
在Internet中,对网络、设备和主机的管理叫做网络管理,网络管理信息存储在管理信息库MIB中。
4.SNMP:
简单网络管理协议,是应用最为广泛的网络管理协议,主要用于对路由器、交换机、防火墙、服务器等主要设备的管理。
SNMP由两部分组成:
一部分是管理信息库结构的定义,另一部分是访问管理信息库的协议规范。
5.陷入(Trap)制导的轮询过程的操作方法:
管理站启动时或每隔一定时间用Get操作轮询一遍所有代理,以便得到某些关键的信息,或基本的性能统计参数。
一旦得到这些基本数据,管理站就停止轮询,而代理进程负责在必要时向管理站报告异常事件,由陷入操作传送给管理站。
得到异常事件的报告后,管理站可以查询有关的代理,以便得到更具体的信息,对事件的原因做进一步的分析。
6.SNMPv1组成文件:
RFC1155定义了管理信息结构(SMI)即规定了管理对象和语法和语义。
SMI主要说明了怎样管理对象和怎样访问管理对象。
RFC1212说明了定义MIB模块的方法,RFC1213则定义了MIB—2管理对象的核心集合。
这些管理对象是任何SNMP系统必须实现的。
RFC1157是SNMPv1协议的规范文件。
7.SNMP协议的体系结构:
由于SNMP定义为应用层协议,所以它依赖于UDP数据报服务。
同时SNMP实体向管理应用程序提供服务,它的作用是把管理应用程序的服务调用变成对应的SNMP协议数据单元,并利用UDP数据发送出去。
8.TCP和UDP:
都是互联网的传输协议,区别是,TCP提供面向连接的传输服务,其建立和释放采用了3次握手协议,其实质就是连接两端都要声明自己的连接端标识,并回答对方的连接端标识以确保不出错。
而UDP提供无连接的传输服务。
面向连接的服务意味着可靠顺序的提交,缺点是效率低。
UDP不建立连接,不保证可靠和顺序,效率高。
9.层次树结构:
SNMP环境中的所有对象组成分层的树结构,其有3个作用,①表示管理和控制关系,②提供了结构化的信息组织技术,③提供了对象命名机制。
在Internet下面的节点中为OSI的目录服务(X.500)使用的节点是directory
(1);mib-2是mgmt
(2)的第一个孩子结点。
10.ASN.1的数据类型:
SNMP的对象是用ASN.1定义的,这种定义说明管理对象的类型,它的组成值的范围,以及与其它对象的关系。
为了保持简单性,仅使用一个子集。
其数据类型为①通用类型,有20多种,在SNMP管理对象的定义中只用到5种。
②子类型,③文字约定,是区分大小写的,另有一些文字约定。
④应用类型。
与特定的应用于有关。
其中:
计数器Counter类型是一个非负整数,其值可增加但不能减少,达到最大值232-1后回零,再从头开始增加;计量器Gauge类型是一个非负整数,其值可增加也可减少。
计量器的最大值也是232-1。
与计数器不同的地方是计量器达到最大值后不回零,而是锁定在232-1。
11.MIB的定义方法:
有3种定义方法,①为每一类对象定义一种对象类型。
②定义一种带参数的通用对象类型。
③利用宏定义表示一个类型的集合,然后用这些类型定义管理对象。
SNMP采用了最后一种方法,这样我们就有下面的定义层次:
●宏定义:
定义了一组合法的宏实例,说明了有关类型的语法;●宏实例:
由宏定义通过参数替换产生的实例,说明一种具体类型;●宏实例的值:
表示一个具有特定值的实体。
12.表对象和标量对象:
SMI存储的二维数组叫表对象。
表的定义要用到ASN.1的序列类型和对象类型宏定义的索引部分。
标题对象只有取一个值,不能区别对象类型和对象实例,然而为了与列对象一致,SNMP规定在标题对象标识符之后级联一个0,表示该对象的实例标识符。
13.对象实例的值转换成子标识符的转换规则:
如果索引对象实例取值为①整数值,则把整数值作为一个标识符。
②固定长度的字符串值,则把每一个字节(OCTET)编码为一个子标识符。
③可变长的字符串值,先把串的实际长度n编码为第一个子标识符,然后把每一个字节编码为一个子标识符,总共有n+1子标识符。
④对象标识符,如果长度为n,则先把n编者按码为第一个标识符,后续对象标识符的各个子标识符,总共n+1个标识符。
⑤IP地址,则变为4个子标识符。
14.概念表和概念行:
表和行对象是没有实例标识符的。
因为它们不是叶子结点,SNMP不能访问,其特性为“not-accessible”。
这类对象叫做概念表和概念行。
15.词典顺序:
对象标识符是整数序列,这种序列反映了该对象MIB中的逻辑位置,同时表示了一种词典顺序,我们只要按照一定的方式遍历MIB树,就可以排出所有对象及实例的词典顺序。
对象的顺序在网络管理中是非常重要的。
因为管理站可能不知道代理的MIB组成,所以管理站要用某种手段搜索MIB树,在不知道对象标识符的情况下访问对象的值。
16.MIB—2:
RFC1213定义了MIB—2,这个文件包含了解11个功能组,171个对象。
RFC1213说明了选择这些对象的标准。
①包括了故障管理和配置管理需要的对象。
②只包含弱对象。
③选择经常使用的对象,并且要证明当前的网络管理中正在使用。
④为了容易实现,开放MIB—1限制对象数为100个左右,在MIB—2中限制稍有突破(117个)⑤不包含具体实现专用的对象。
⑥为了避免冗余,不包括那些可以从已有的对象中导出的对象。
⑦每个协议层的每个关键部分分配一个计数器,这样可以避免复杂的编码。
17.MIB—2功能组(RFC1213):
①系统组,提供系统的一般信息。
其中:
系统服务对象sysServices每一位对应OSI/RM7层协议中的一层,如果系统提供某一层服务则对应的位为1。
例如系统提供应用层和传输层服务,则该系统的sysServices对象具有值1001000=72;系统启动时间sysUpTime可用于故障管理。
②接口组,包含关于主机接口的配置信息和统计信息。
变量ifNumber是指网络接口数。
表对象ifTable的索引是ifIndex,取值为1到ifNumber之间的数。
ifType是指接口的类型。
本组有两个关于接口状态的对象:
ifAdminStatus表示操作员说明的管理状态,而ifOperStatus表示接口的实际工作状态。
这两个变量状态组合的含义:
11-正常、12-故障、22-停机、33-测试。
③地址转换组,包含一个表,该表的一行对应系统的一个物理接口,表示网络地址到接口的物理地址的映象关系。
④IP组,提供了与IP协议有关的信息。
包含3个表对象:
IP地址表、IP路由表和IP地址转换表。
⑤ICMP组,是IP的伴随协议,所有实现IP协议的结点都有必须实现ICMP协议。
⑥TCP组,包含与TCP协议的实现和操作有关的信息。
⑦UDP组,类似于TCP组,包含的对象都是必要的。
提供了关于UDP数据报和本地接收端点的详细信息。
⑧EGP组,提供了关于路由器发送和接收的EGP报文的信息,以及关于邻居的详细信息。
⑨传输组,目的是针对各种传输介质提供详细的管理信息,是一个联系各种接口专用信息的特殊结点。
第3章简单网络管理协议SNMPv1
1.SNMP支持的操作:
SNMP的操作仅是对变量的修改和检查,共定义了以下5类管理操作:
(1)GetRequest:
读对象操作。
(2)GetNextRequest:
读取当前对象的下一个可读取的对象实例值。
(3)SetRequest:
管理进程更新代理中对象的值。
(4)GetResponse:
代理对管理进程的应答。
(5)Trap:
代理向管理进程发送事件值。
2.SNMPPDU格式的定义:
RFC1157给出了SNMPv1协议的定义,这个定义是用ASN.1表示的。
在SNMP管理中,管理站和代理之间交换的管理信息构成了SNMP报文。
3.SNMP报文组成:
由3部分组成即版本号、团体号和协议数据单元PDU。
团体号用于身份认证。
4.PDU中各字段的含义:
①PDU类型,共有5种类型的PDU。
0:
get-request;1:
get-next-request;2:
get-response;3:
set-request;4:
trap。
②请求标识,赋予每个请求报文唯一的整数,用于区分不同的请求。
③错误状态,表示代理在处理管理站的请求时可能出现的各种错误,共有5种错误状态,noError(0),tooBig
(1),noSuchNam
(2),badvalue(3),readOnly(4)和genError。
④错误索引,当错误状态非0时指向出错的变量。
⑤变量绑定表,变量名和对应值的表,说明要检索或设置的所有变量及其值,在检索请求报文中,变量值为0。
(以上为非Trap报文,一下为Trap报文字段)⑥制造商ID,表示制造商的标识,与MIB—2对象sysObjectID的值相同。
⑦代理地址,产生陷入的代理的IP地址。
⑧五陷入,SNMP定义的陷入类型,共6类,coldStart(0),warmStart
(1),linkDowm
(2),linkup(3),authenticationFailure(4),egpNeighborLoss(5),和enterpriseSpecific(6)。
⑨特殊陷入,与设备有关的特殊陷入代码。
⑩时间戳,代理发出陷入的时间,与MIB—2中的对象sysUpTime的值相同。
5.报文应答序列:
SNMP报文在管理站和代理之间传送,包含GetRequest、GetNextRequest和SetRequest的报文由管理站发出,代理以GetRepones响应。
Trap报文由代理发给管理站,不需要应答。
6.SNMP团体:
SNMP的团体是一个代理和多个管理站之间的认证的访问控制关系。
7.检索简单对象:
检索简单的标量对象可以用Get操作,如果变量绑定表中包含多个变量,一次还可以检索多个标题对象的值。
GetNextRequest检索变量名所指的是“下一个”对象实例。
根据对象标识树的词典顺序,对于标量对象,对象标识符所指的下一实例就是对象的值。
例3.1例3.2例3.3
8.检索未知对象:
GetNext命令检索变量名指示的下一个对象实例,但并不要求变量名是对象标识符或者是实例标识符。
例3.4
9.检索表对象:
GetNext可用于有效检索表对象。
例3.53.6
10.表的更新与删除:
Set命令用于设置可更新变量的值,它是PDU格式与Get是相同的,它在变量绑定表中必须包含要设置的变量名和变量值。
如果要删除表中的行,则可以把一个对象的值置为invalid。
例3.73.83.93.10
11.陷入操作:
陷入是由代理向管理站发出的异步事件报告,不需要应答报文。
SNMPv1规定了6种陷入条件。
①coldStart发送实体重新初始化,代理的配置已改变,通常是由系统失效引起的。
②warmStart发送实体重新初始化,但代理的配置没有改变,这是这是正常的重新启动。
③linkDown链路失效通知,变量绑定表的第一项指明对应接口表的索引变量及其值。
④linkUp链路启动通知,变量绑定表的第一项指明对应接口表的索引变量及其值。
⑤authenticationFailure发送实体收到一个没有通过认证的报文。
⑥egpNeighborLoss相邻的外部路由器失效或关机。
⑦enterpriseSpecific由设备制造商定义的陷入条件,在特殊陷入字段指明具体的陷入类型。
12.SNMP功能组:
包含的信息关系到SNMP协议的实现和操作。
这一组共有30个对象。
在只支持SNMP站管理功能或只支持SNMP代理功能的实现中,有些对象没有值。
除了最后一个对象,这一组的其它对象都是只读计数器。
13.对象snmpEnableAuthenTrap:
可以由管理站设置,它指示是否允许代理产生“认证失效”陷入。
14.轮询频率:
通常轮询频率与网络的规模和代理的多少有关,而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其它因素。
假定管理站一次只能与一个代理作用,轮询只是采用get请求/响应这种简单形式,而且管理站全部时间都用来轮询,则N≤T/Δ
N——被轮询的代理数;
T——轮询间隔;
Δ——单个轮询需要的时间。
Δ与以下因素有关,①管理站生成一个请求报文的时间,②从管理站到代理的网络延迟,③代理处理一个请求报文的时间,④代理产生一个应答报文的时间,⑤从代理到管理站的网络延迟,⑥管理站处理一个响应报文的时间,⑦为了得到需要的管理信息,交换请求/响应报文的数量。
(4个报文处理,2个网络延迟)例3.113.12
15.SNMPv1的局限性:
①由于轮询的性能限制,SNMP不适合管理很大的网络。
②SNMP不适合检索大量数据。
③SNMP的陷入报文是没有应答的,管理站是否收到陷入报文,代理不得而知。
这样可能丢失重要的管理信息。
④SNMP只提供简单的团体名认证,这样的安全措施是很不够的。
⑤SNMP并不直接支持向被管理设备发送命令。
⑥SNMP的管理信息库MIB—2支持的管理对象是很有限的,不足以完成复杂的管理功能,⑦SNMP不支持管理站之间的通信,而这一点在分布式网络管理中是很需要的。
16.SNMPv2的新功能:
具体的增强了以下3个方面,①管理信息结构的扩充,②管理站和管理站之间的通信能力,③新的协议操作。
17.SNMPV2SMI引入了4个关键概念:
对象的定义、概念表、通知的定义、信息模块。
18.SNMPv2数据类型:
(1)两种新数据类型:
Unsigned32和Counter64。
Unsigned32与Gauge32在ASN.1中是无区别的,都是32位的整数,但语义不一样。
Counter64与Counter32一样,都表示计数器,只能增加不能减少,当增加到264-1或232-1时回零,从头再增加。
而且SNMPv2规定,计数器没有定义的初始值,因此计数器的单个值是没有意义的,只有连续两次读计数器得到的增加值才有意义。
(2)计量器定义的明确:
SNMPv2中规定Gauge32的最大值可以设置为小于232的任意正数MAX,而在SNMPv1中Gauge32的最大值总是232-1。
显然这样规定更细致了,使用更方便了。
其次是SNMPv2明确了当计量器达到最大值时可自动减少。
19.STATUS子句:
这个子句是必要的,也就是说必须指明对象的状态。
新标准去掉了SNMPv1中的optional和mandatory,只有3种可选的状态。
Current-在当前的标准中是有效;obsolete-不必实现这种对象;deprecated-对象已经过时了,但是为了与老的实现互操作,实现时还要支持这种对象。
20.SNMPv2表的分类:
SNMPv2的操作只能作用于标量对象。
表是行的序列,而行是列对象的序列。
其表分为两类:
①禁止删除和生成的表。
其最高访问级别是read-write。
在很多情况下这种表由代理控制,表中只包含read-only型对象。
②允许删除和生成的表。
表开始时可能没有行,由管理站生成和删除行。
行数由管理站可代理改变。
21.概念行的生成:
生成概念行分4个步骤。
①选择实例标识符。
②管理站通过事务处理产生和激活行。
③初始化非默认值对象。
④激活概念行。
22.概念行的挂起:
当概念行处于active状态时,如果管理站希望概念行脱离服务,以便修改,则发出set命令,把状态列由active置为notInService。
这时有两种可能,若代理不执行该操作,则返回wrongvalue;若代理可执行该操作,则返回noError。
23.概念行的删除:
管理站发出set命令,把状态列置为destroy,如果这个操作成功,概念行立即被删除。
24.通知类型的宏定义:
NOTFICATION-TYPR用于定义异常条件出现时SNMPv2实体发送的信息。
任选OBJECT子句定义了包含在通知实例中的MIB对象序列。
当SNMPv2实体发送通知时这些对象的值被传送给管理站。
25.SNMPv2信息模块:
用于说明一组有关的定义。
共有3种信息模块。
①MIB模块,包含一给有关管理对象的定义。
②MIB的依从性声明模块,使用MODULE-COMPLIANCE和OBJECT-GROUP宏说明有关管理对象实现方面的最小要求。
③代理能力说明模块,用AGENT-CAPABLITIES宏说明代理实体应该实现的能力。
26.SNMPv2系统组新增功能:
新增了与对象资源有关的标量对象sysORLastChange和一个表对象sysORTable,它仍然属于MIB—2
升级会员 