自考计算机网络管理笔记.docx

1、自考计算机网络管理笔记第一章 网络管理概论网络管理的基本概念（1）局域网管理与互联网管理区别局域网运行统一的操作系统，只要熟悉网络操作系统的管理功能和操作命令就可以管理好一个局域网。互联网则需要跨平台的网络管理技术。（2）TCP/IP网络管理系统的发展和应用情况由于TCP/IP协议 的开放性，90年以来逐渐得到网络制造商的支持，已经成为事实上的互联网标准。Ping用ping发送探测报文可以确定通信目标的连通性及传输时延两点缺陷：ping返回的信息很少，无法获取被管理设备的详细信息用ping程序对很多设备逐个检查，工作效率太低。Snmp（简单网络管理协议）适用于任何支持TCP/IP的网络CMIS

2、/CMIP（OSI系统网络管理标准）更适合结构复杂规模庞大的异构型网络，代表未来网络管理发展方向（3）网络管理平台的基本概念主机厂家开发的通用网络管理系统开发软件（IBM NetView,HP OpeonView）网络产品制造商推出的与硬件结合的网络管理工具（Cisco Works2000,Cabletron Spectrum（4） 网络管理需求 计算机与网络技术的发展 网络普及 网络组成越来越复杂 多厂家设备不兼容 网络管理目标减少停机时间，改进响应时间，提高设备利用率 减少运行费用，提高效率 减少/消灭网络瓶颈 适应性技术 容易使用 安全2.网络管理体系结构（1）网络管理系统的层次结构 操

3、作系统、协议支持、网络管理框架、网络管理应用其与OSI参考模型的关系参见图1-1（2）网络管理系统的框架结构 1、管理功能分为管理站和代理。2、为存储管理信息提供数据库支持，例如，关系数据库或面向对象的数据库。3、提供用户接口和用户视图功能，例如管理信息浏览器。4、提供基本的管理操。（3）管理站和代理管理站配置软件1、OS 2、通信3、NME(网络管理实体) 4、应用5、NMA(网络管理应用)代理配置软件 1、OS 2、通信3、NME(网络管理实体) 4、应用（4）网络管理系统的配置NME每一个网络结点都包含一组与管理有关的软件，叫网络管理实体( NME )。网络管理实体完成下面的任务收集有关

4、通信和网络活动方面的统计信息对本地设备进行测试，记录其状态信息在本地存储有关信息响应网络控制中心的请求，传送统计升年升毫或设备状态信息根据网络控制中心的指令，设置或改变设备参数NMA网络中至少有一个结点(主机或路由器)担当管理站的角色( Manager)，除过NME之外，管理站中还有一组软件，叫做网络管理应用(NMA)。NMA提供用户接口，根据用户的命令显示管理信息，通过网络向NME发出请求或指令，以便获取有关设备的管理信息，或者改变设备配置。网络中的其他结点在 NME的控制下与管理站通信，交换管理信息。这些结点中的NME模块叫做代理模块，网络中任何被管理的设备(主机、网桥、路由器或集线器等)

5、都必需实现代理模块。所有代理在管理站监视和控制下协同工作实现集成的网络管理。（4）网络管理系统提供的操作（5）网络管理的对象和被管理的资源 被管理的网络资源分为网络硬件资源和网络软件元素1. 被管理的网络硬件资源又分为(1)物理介质和连网设备(2)计算机设备(3)网络互联设备2. 被管理的网络软件元素又分为(1)操作系统软件(2)通信软件(3)应用软件访问被管理资源的方式（6）集中式网络管理和分布式网络管理的区别集中式网络管理策略的好处式管理人员可以有效地控制整个网络资源，根据需要平衡网络负载，优化网络性能。 然而，对于大型网络，集中式地管理往往显得力不从心地理上分布的网络管理客户机于一组网络

6、管理服务器交互作用，共同完成网络管理功能。这种管理策略可以实现分部门管理：即限制每个客户机只能访问和管理笨部门的部分网络资源，而由一个中心管理站实施全局管理。同时中心管理站还对管理功能较弱的客户机发出指令，实现更高级的管理。分布式网络管理优点灵活性(Flexibility)可伸缩性(Scalability)（7）委托代理答：管理站和代理/被管理系统所使用的网络管理协议可能不同，所以使用一种叫委托代理的设备来管理一个或多个非标准协议。管理站和委托代理之间运行标准的网络管理协议，委托代理和非标准设备之间运行运行制造商专用的协议。委托代理起到一个协议转换的作用。（8）管理软件组成P5图1.5网络管理

7、软件分为:用户接口软件,管理专用软件和管理支持软件三部分.结合图形理解几点(1)用户通过网络管理接口与管理应用软件交互作用(2)接口软件存在与管理主机上(也可能出现在代理系统中),有一定信息处理能力(3)大方框中为管理专用软件(4)管理支持软件包括 MIB访问模块和通信协议（9）管理应用元素 大量应用元素支持少量管理应用，应用元素实现通用的基本管理功能，可以被多个应用程序调用。 MIB访问模块 代理中的管理信息库包含反映设备配置和设备行为的信息，以及控制设备操作的参数。管理站中的MIB除保留本地节点专用的管理信息外，还保存着管理站控制的所有代理的信息。MIB访问模块具有基本的文件管理功能，使得

8、管理站或代理可以访问MIB，同时该模块还能把本地的MIB格式转换为适于网络管理系统传送的标准格式。 数据传输模块 提供网络管理数据传输服务，用于在管理站和代理之间交换管理信息。3.网络监控系统（1）网络监控系统的基本功能及其构成 网络监视：收集系统和子网的状态信息，分析被管理设备的行为，以及发现网络中存在的问题。 网络控制：修改设备参数或重新配置网络资源，以及改善网络的运行状态。 网络监控需要解决问题对管理信息的定义监控机制的设计管理信息的应用（2）管理信息分类，获取网络管理信息的方法 管理信息可以分成三类 静态信息：包括系统和网络的配置信息，例如路由器的端口数和端口编号，工作站的标识和CPU

9、类型等 动态信息：与网络中出现的事件和设备的工作状态有关，例如网络中传送的分组数，网络连接的状态等统计信息：从动态信息推导出的信息，例如，平均每分钟发送的分组数，传输失败的概率等获取网络管理信息的方法静态信息是由网络元素直接产生的，通常由驻在这些网络元素中的代理进程收集和存储，必要时传给监视器。如果网络中没有代理进程，则可由委托代理收集这些静态信息，并传送给监视器动态信息通常也是由产生有关事件的网络元素收集和存储的，然而对于一个局域网来说，网络中各个设备的行为和有关数据可以由连接在子网中的一个专用主机来收集和记录，这个主机叫做远程网络监视器，它的作用是收集整个子网的通信数据统计信息可以由任何能

10、够访问动态信息的系统产生。当然，统计信息也可以由网络监视器自己产生，这就要求吧所有需要的原始数据传送给监视器，再由监视器进行分析和计算（3）网络监控系统的配置，监控代理模块的功能图P1-4监控应用程序是监控系统的用户接口，它完成性能监视，故障监视和计费监视等功能。管理功能负责与其他网络元素中的代理进程通信，把需要的监控信息提交给监控应用程序。这两个模块都处于管理站中。管理对象表示被监控的网络资源中的管理信息，所有管理对象遵从网络管理标准的规定。管理对象中的信息通过代理功能（4）网络监控系统的通信机制，轮询和事件报告的区别及其实现方法 代理和管理站之间由两种通信机制。 轮询是一种请求-响应式的交

11、互作用，即由监视器向代理发出请求，询问它所需要的信息值，代理相应监视器的请求，从它所保存的管理信息库中取得请求的信息，返回给监视器。 事件报告是由代理主动发送给管理站的信息。代理可以根据管理站的要求定是地发送状态报告，也可能在检测到某些特定事件或非正常事件时生成事件报告，发送给管理站。时间报告对于及时发现网络中的问题是很有用的，特别对于监控状态信息不经常改变的管理对象更有效。（5）通信方式对网络管理系统的影响，OSI系统管理与TCP/IP网络管理在通信方式选择策略上的区别 任何网络监控系统中都设置了轮询和事件报告两种通信机制，但强调的重点有所不同。传统的通信管理网络主要依靠事件报告，而SNMP

12、强调轮询方法，OSI系统管理则采取了两种极端方法的中间道路。4.网络监视（1）网络性能监视的基本概念，面向服务的性能指标和面向效率的性能指标的区别 性能测试就是要准确的测量出对管理有用的性能参数 面向服务的性能指标强调向用户提供满意的服务（2）网络服务可利用性的定义和计算方法 可用性是指网络系统、元素或应用对用户可利用时间的百分比。可用性是网络元素可靠性的表现，可靠性是指网络元素在具体条件下完成特定功能的概率。A=MTBF/(MTBF+MTTR)串联可用性：A=p(a)*p(b)并联可用性：A= p(a)+p(b) -p(a)*p(b)（3）影响网络响应时间的因素，系统响应时间与生产率的关系

13、因素 入口终端延迟：从终端到网络接口设备的通信线路引起的传输延迟 入口服务时间：从网络接口设备通过传输网络到达主机前端的时间。 CPU处理延迟：前端处理机、主机和磁盘等设备处理用户命令，作出豁达需要的时间。 出口排队时间：在前端处理机端口等待发送到网络上去的排队时间 出口服务时间：通过网络把相应保温传输到网络接口设备的处理时间 出口终端延迟：终端接收相应报文的时间，主要是由通信延迟引起的。响应时间越短，生产率越高。P11图1-9（4）网络误码率对网络传输正确性的影响 监视传输误码率可以发现瞬时的线路故障，以及是否存在噪声源和通信干扰，以便采取措施确保传输的正确性。（5）网络吞吐率的基本概念，吞

14、吐率与网络传输效率的关系 吞吐率是面向效率的性能指标，具体表现为一段时间内完成的数据处理的数量，或接受用户会话的数量，或处理的呼叫数量。（6）网络利用率的定义和分析方法 网络资源利用的百分比，也是面向效率的指标。P12图1-11 分析方法 计算出各个链路的负载占网络总负载的百分率（相对负载），以及各个链路的容量占网络总容量的百分率（相对容量），最后得到相对负载与相对容量的壁纸，及反映了网络资源的相对利用率。P13表（7）掌握性能测试报告的内容和表现形式 主机对通信矩阵：一对源主机和目标主机之间分组传送情况 主机组通信矩阵：一组主机之间通信量的统计 分组类型直方图：各种类型原始分组的统计信息 数

15、据分组长度直方图：不同长度（字节数）数据分组的统计 吞吐率-利用率分布：各个网络节点发送/接收的总字节数和数据字节的统计 分组到达时间直方图：不同时间到达的分组数的统计 信道获取时间直方图：在网络接口单元排队等待发送、经过不同延迟时间的分组数的统计 通道延迟直方图：从发出原始分组到分组到达目标的延迟时间的统计 冲突计数直方图：经受不同冲突次数的分组数的统计 传输计数直方图：经过不同试发次数的分组数的统计（8）故障管理的功能模块 故障监视：尽快的发现故障找出故障原因，以便及时采取补救措施功能模块 故障检测和报警功能：故障监视代理要随时记录系统出错的情况和可能引起故障的时间，并把这些信息存储在运行

16、日志数据库中。故障预测功能：对各种可以引起故障的参数建立门限值，并随时监视参数值变化，一旦超过门限值，就发送警报故障诊断和定位功能：对设备和通信线路进行测试，找出故障原因和故障地点。 （9）各种网络测试的定义，网络测试与故障诊断的关系 连接测试 数据完整性测试 协议完整性测试 数据饱和测试 连接饱和测试 环路测试 功能测试 诊断测试（10）网络计费的基本概念，需要计费的网络资源 计费监视主要是跟踪和控制用户对网络资源的使用，并把有关信息存储在运行日志数据库中，为收费提供依据。 需要计费的网络资源 通信设施：LAN、WAN、租用线路或PBX的使用时间计算机硬件：工作站和服务器机时数软件系统：下载

17、的应用软件和实用程序的费用服务：包括商业通信服务和信息提供服务（11）网络计费日志包含的基本信息 用户标识符 连接目标的标识符 传送的分组数/字节数 安全级别 时间戳 指示网络出错情况的状态码 使用的网络资源5.网络控制（1）网络配置管理，配置管理包含的功能模块 配置管理是指初始化、维护和关闭网络设备或子系统。 功能模块： 定义配置信息 设置和修改设备属性 定义和修改网络元素间的互联关系 启动和终止网络运行 发行软件 检查参数值和互联关系 报告配置现状（2）需要配置信息的物理资源和逻辑资源，配置信息的存储方式访问方法 物理资源：主机、路由器、网桥、通信链路和Modem等 逻辑资源：定时器、计数

18、器、虚电路等 Snmp将简单的配置信息组织成由标量组成的表，每一个标量值表示一种属性值。 在osi系统管理中，管理信息定义为面向对象的数据库，对象的值表示被管理设备的特性，对象的行为代表了管理操作，对象之间的包含关系和继承关系则规范了它们之间的相互作用。 管理信息存储在与被管理设备最接近的代理或委托代理中，管理站通过轮询或事件报告访问这些信息。（3）设置和修改属性 修改操作受到两种限制 只有授权的管理站才可以施行修改操作有些属性值反映了硬件配置的实际情况，是不可以改变的对配置信息修改的三种类型只修改数据库修改数据库，也改变设备的状态修改数据库，同时引起设备的动作（4）定义和修改关系 关系是指网

19、络资源之间的联系、连接，以及网络资源之间相互依存的条件 继承层次是指管理对象之间的继承关系 管理域是指被管理资源的集合，这些网络资源具有共同的管理属性或者受同一管理站管理（5）软件发行，软件发行提供的基本功能 配置管理向系统和中间系统提供发行软件的功能，即给系统装载指定的软件，更新软件版本和配置软件参数，下载驱动设备工作的数据表。（6）计算机网络的安全需求，危害网络信息流的各种安全威胁 安全需求 保密性：计算机网络中的信息资源只能由授予权限的用户修改 数据完整性：计算机网络中的信息资源只能由授予权限的用户修改 可用性：具有访问权限的用户在需要时可以利用计算机网络资源信息流可能受到的威胁 中断（

20、可用性） 窃取（保密性） 窜改（完整性） 假冒（完整性）计算机网络的各种安全威胁 对硬件的威胁：主要是破坏系统硬件的可用性 对软件的威胁：操作系统、实用程序和应用软件可能被改变、被损坏。甚至被恶意删除，从而不能工作，失去可用性。另外还包括软件的非法拷贝 对数据的威胁：四个方面。数据可能被非法访问，破坏了保密性；数据可能被恶意修改或假冒，破坏了完整性；数据文件可能被恶意删除，从而破坏了可用性。甚至在无法读取数据文件的情况下，通过分析文件大小或文件目录中的有关信息推测出数据的特点。 对网络通信的威胁：可分为被动威胁和主动威胁。被动威胁并不改变数据流，而是采用各种手段窃取通信链路上传输的信息，从而破

21、坏了保密性。与其相反，主动威胁则可能改变信息流，从而破坏了数据的完整性和可用性。（5）对网络管理的各种安全威胁 伪装的用户：没有得到授权的一般用户企图访问管理应用和管理信息 假冒的管理程序：无关的计算机系统可能伪装成网络管理站实施管理功能 侵入管理站和代理间的信息交换过程：网络入侵者通过网络观察网络活动窃取了敏感的管理信息，更严重的危害可能是窜改管理信息，或中断管理站和代理之间的通信。（6）安全信息维护、资源访问控制、加密过程控制功能及实现方法 安全管理中的安全管理是指保护管理站和代理之间信息交换的安全。 安全信息维护功能 记录系统中出现的各类事件 追踪安全审计试验，自动记录有关安全的重要事件

22、 报告和接收侵犯安全的警示信号，在怀疑出现威胁安全的活动时采取防范措施 经常维护和检查安全记录，进行安全风险分析，编制安全评价报告 备份和保护敏感的文件 研究每个正常用户的活动形象，预先设定敏感资源的使用形象，以便检测授权用户的异常活动和对敏感资源的滥用行为。资源访问控制:包括认证服务和授权服务，以及对敏感资源访问授权的决策过程。访问控制的目的是保护各种网络资源。与网络管理有关的资源是 安全编码 源路由和路由记录信息 路由表 目录表 报警门限 计费信息加密过程控制对管理站和代理之间交换的报文进行加密，这个功能也可以改变加密算法，具有密钥分配能力。6.网络管理标准（1）OSI管理标准的组成 CM

23、IS:ISO9595公共管理信息服务定义CMIP：ISO9596公共管理信息协议规范SMFS：ISO10164规定了系统的管理功能SMI：ISO10165规定了管理信息结构（2）TCP/IP网络管理标准的发展情况TCP/IP网络管理最初使用的是1987年,简单网关监控协议SGMP(Simple Gateway Monitoring Protocol) 在SGMP的基础上改进成 简单网络管理协议第一版SNMPv1(Simple Network Management Protocol) 1990-1991. RFC1155(SMI), RFC1157(SNMP), RFC1212(MIB定义),R

24、FC1213(MIB-2规范) 远程网络监视RMON(Remote Monitoring). RMON-1(1991) RMON-2(1995)（3）各种网络管理标准的开发现状和适用范围 CMON：局域网管理标准IEEE802.1b LAN/MAN TMN：ITU-T电信网络管理标准，M.30建议书。第二章 抽象语法表示ASN.11.网络数据表示（1）表示层功能是提供统一的网络数据表示。（2）应用实体、表示实体、抽象语法、传输语法 应用实体：应用协议按照预先定义的抽象语法构造协议数据单元，用于和对等系统的应用实体交换信息（FTP、TELNET，SNMP等） 表示实体：表示实体对应用层数据进行编

25、码，变成二进制的比特串（ASN.1） 抽象语法：提供统一的网络数据表示，通常用于定义应用数据的抽象语法和应用层协议数据单元的结构。 传输语法：把抽象数据变换成比特串的编码叫做传输语法。2.ASN.1的基本概念（1）ASN.1的文本约定 书写的布局是无效的，多个空格和空行等效于空格。 用于表示值和字段的标识符、类型指针（类型名）和模块名由大小写字母、数字和短线组成 标识符以小写字母开头 类型指针和模块名以大写字母开头 ASN.1定义的内部类型全部用大写字母表示 关键字全部用大写字母表示 注释以一对短线（）开始，以一对短线或行尾结束。（2）抽象数据类型的基本概念，简单类型表示结构型数据的一般方法。

26、 在ASN.1中，每一个数据类型都有一个标签（Tag）标签有类型和值，数据类型是由标签的类型和值唯一决定的。（3）通用类型，对象标识符类型的构成 P25图2-1（4）简单类型的定义及其应用 简单类型分为四组。第一组包括BOOLEAN、INTEGER、BIT STRING、OCTETSTRING、REAL和EMUNERATED等。这一组可以叫做基本类型。第二种包括各种字符串类型，标签为UNIVERSAL和UNIVERSAL，这些类型都可以看做是OCTET STRING类型的子集，它们都是采纳其它标准的类型。第三组包括OBJECT和Object Descriptor两种类型。类型的值是一个对象标识

27、符，由一个整数序列组成，它唯一地标识一个对象。对象描述符（Object Descriptor）则以人工可读的形式描述信息对象的语义。第四组包含四种类型。NULL是空类型，它没有值，只占用结构中的一个位置，该位置可能出现或不出现数据。EXTERNAL是外部类型，即标准之外的文档定义的类型。UTCTime和GeneralizedTime是两种有关的时间的类型，其区别是表示时间的形式不同。（5）各种标签的用法 通用标签：用关键字UNIVERSAL表示，带有这种标签的数据类型是由标准定义的适用于任何应用 用关键字APPLICATION表示，是由某个具体应用定义的类型 上下文专用标签：这种标签在本文的一

28、定范围（例如，一个结构）中适用 私有标签：用关键字PRIVATE表示，这是用户定义的标签。（6）集合类型、序列类型SET和SET OF表示不同类型和相同类型元素的集合SEQUENCE和SEQUENCE OF表示不同类型和相同类型元素的序列集合是无序的，序列是有序的（7）构造子类型的方法 单个值：列出子类型可取的各个值。 包含子类型：这里要用到关键字INCLUDES，说明定义的类型包含了已有类型的所有值。 这种方法只能用于整数和实数类型，指出子类型可取值的区间。 这种方法只能用于字符串类型，限制可使用的字符集 对五种类型数据限制其大小，限制比特串、字节串或字符串的长度，限制构成序列或集合的元素个

29、数 可用于序列、集合和CHOICE类型3.基本编码规则（1）基本编码规则的结构，用TLV规则表示简单类型的方法。 P32-34（2）对标签值和长度字段扩充的方法有两种字段需要扩充，一是当标签值大于30时类型字节需要扩充；二是当值部分大于一个字节的表示范围时长度字节需要扩充。对标签值的扩充方法如下：我们用五位表示0-30的编码，当标签值大于等于31时这位置全一，作为转义符，实际的标签值编码表示在后续字节中。后续字节的左边第一位表示是否为最后一个扩充字节，只有最后一个扩充字节的左边第一位置0，其余扩充字节的左边第一位置1.这样每个扩充字节只用了7位表示标签值的编码可表示为下面形式：X X X000

30、0. 表示标签值0-30X X X11110X X X11111 用后续字节表示标签值对长度字节的扩充方法是：小于127的数用长度字节的右边7位表示，最左边的一位置0.大于等于127的数用后续若干字节表示，原来的长度字节第一位置1，其余7位指明后续用于表示长度的字节数。见p344.ASN.1的宏定义（1）定义模块的方法DEFINITIONS:= BEGIN EXPORTS IMPORTS Assignmentlist END其中的modulereference是模块名，可以跟随对应的对象标识符。EXPORTS构造指明该模块可以出口的部分，而IMPORTS构造指明该模块需要引用的其它类型和值。Assignmentlist部分包含模块定义的所有类型、值和宏定义。（2）宏定义的结构 MACRO:= BEGIN TYPE NOTATION:=