[互联网]第14章 Internet的管理.ppt

资源描述

《[互联网]第14章 Internet的管理.ppt》由会员分享，可在线阅读，更多相关《[互联网]第14章 Internet的管理.ppt（51页珍藏版）》请在三一文库上搜索。

1、200909,韩雪琴,1,第14章 Internet的管理,14.1 网络管理的基本概念 14.2 简单网络管理协议 SNMP 概述 14.3 管理信息库 MIB 14.4 SNMPv1 的五种协议数据单元 14.5 管理信息结构 SMI 14.6 SNMPv2 和 SNMPv3,2019/1/29,韩雪琴,2,2019/1/29,韩雪琴,3,14.1 网络管理的基本概念,网络管理包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络的一些需求，如实时运行性能，服务质量等。网络管理常简称为网管。我们可以看到，网络管理并不是

2、指对网络进行行政上的管理。,2019/1/29,韩雪琴,4,网络管理的一般模型,管理站,因特网,网络管理员,被管设备, 管理程序（运行 SNMP 客户程序）, 代理程序（运行 SNMP 服务器程序）,A,A,A,A,M,被管设备,被管设备,被管设备,M,A,A,被管设备,网管协议,2019/1/29,韩雪琴,5,网络管理模型中的主要构件,管理站也常称为网络运行中心 NOC (Network Operations Center)，是网络管理系统的核心。管理程序在运行时就成为管理进程。管理站（硬件）或管理程序（软件）都可称为管理者(manager)。 Manager 不是指人而是指机器或软件

3、。网络管理员(administrator) 指的是人。大型网络往往实行多级管理，因而有多个管理者，而一个管理者一般只管理本地网络的设备。,2019/1/29,韩雪琴,6,被管对象(Managed Object),网络的每一个被管设备中可能有多个被管对象。被管设备有时可称为网络元素或网元。在被管设备中也会有一些不能被管的对象。,2019/1/29,韩雪琴,7,管理信息库 MIB (Management Information Base),被管对象必须维持可供管理程序读写的若干控制和状态信息。这些信息总称为管理信息库 MIB 。管理程序使用 MIB 中这些信息的值对网络进行管理（如读取或重

4、新设置这些值）。,2019/1/29,韩雪琴,8,代理(agent),在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信。这些运行着的程序叫做网络管理代理程序，或简称为代理。代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。,2019/1/29,韩雪琴,9,网络管理协议,网络管理协议，简称为网管协议。需要注意的是，并不是网管协议本身来管理网络。网管协议就是管理程序和代理程序之间进行通信的规则。网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。,2019/1/29,韩雪琴,10,客户服务器方式,管理程序和代理程序按客户服务器方式工作。管理程序运行 SN

5、MP 客户程序，向某个代理程序发出请求（或命令），代理程序运行 SNMP 服务器程序，返回响应（或执行某个动作）。在网管系统中往往是一个（或少数几个）客户程序与很多的服务器程序进行交互。,2019/1/29,韩雪琴,11,OSI 的五个管理功能域,(1) 故障管理对网络中被管对象故障的检测、定位和排除。 (2) 配置管理用来定义、识别、初始化、监控网络中的被管对象，改变被管对象的操作特性，报告被管对象状态的变化。 (3) 计费管理记录用户使用网络资源的情况并核收费用，同时也统计网络的利用率。 (4) 性能管理用最少网络资源和最小时延的前提下，网络能提供可靠、连续的通信能力。 (5) 安全管

6、理保证网络不被非法使用。,2019/1/29,韩雪琴,12,14.2 简单网络管理协议 SNMP 概述,网络管理的基本原理：若要管理某个对象，就必然会给该对象添加一些软件或硬件，但这种“添加”必须对原有对象的影响尽量小些。 SNMP 发布于 1988 年。IETF 在 1990 年制订的网管标准 SNMP 是因特网的正式标准。以后有了新版本 SNMPv2 和 SNMPv3，因此原来的 SNMP 又称为 SNMPv1。,2019/1/29,韩雪琴,13,SNMP 的指导思想,SNMP 最重要的指导思想就是要尽可能简单。 SNMP 的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。

7、在网络正常工作时，SNMP 可实现统计、配置、和测试等功能。当网络出故障时，可实现各种差错检测和恢复功能。虽然 SNMP 是在 TCP/IP 基础上的网络管理协议，但也可扩展到其他类型的网络设备上。,2019/1/29,韩雪琴,14,SNMP 的典型配置,SNMP,UDP,IP,管理进程,网络接口,网络管理员,MIB,管理站,路由器,SNMP,UDP,IP,代理进程,网络接口,TCP,FTP 等,用户进程,主机,因特网,SNMP,UDP,IP,代理进程,网络接口,TCP,FTP 等,用户进程,主机,SNMP,UDP,IP,代理进程,网络接口,2019/1/29,韩雪琴,15,SNMP 的

8、管理站和委托代理,整个系统必须有一个管理站。管理进程和代理进程利用 SNMP 报文进行通信，而 SNMP 报文又使用 UDP 来传送。若网络元素使用的不是 SNMP 而是另一种网络管理协议，SNMP 协议就无法控制该网络元素。这时可使用委托代理(proxy agent)。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。,2019/1/29,韩雪琴,16,14.3 管理信息库 MIB,管理信息库 MIB 是一个网络中所有可能的被管对象的集合的数据结构。只有在 MIB 中的对象才是 SNMP 所能够管理的。 SNMP 的管理信息库采用和域名系统 DNS 相似的树形结构，它的根在最

9、上面，根没有名字。,2019/1/29,韩雪琴,17,根,iso (1),ccitt (0),joint-iso-ccitt (2),member body (2),dod (6),internet (1) 1.3.6.1,mgmt (2),directory (1),experimental (3),private (4),enterprises(1) 1.3.6.1.4.1,mib-2 (1) 1.3.6.1.2.1,system(1),interface(2),at(3),ip(4),icmp(5),tcp(6),udp(7),egp(8),standard (0),registrati

10、on authority (1),identified organization (3),snmpv2 (6),security (5),管理信息库的对象命名树举例,2019/1/29,韩雪琴,18,MIB信息分类,MIB category Includes Information About system The host or router operating system interfaces Individual network interfaces at Address translation (e.g., ARP mappings) ip Internet Protocol sof

11、tware icmp Internet Control Message Protocol software tcp Transmission Control Protocol software udp User Datagram Protocol software ospf Open Shortest Path First software bgp Border Gateway Protocol software rmon Remote network monitoring rip-2 Routing Information Protocol software dns Domain name

12、system software,2019/1/29,韩雪琴,19,MIB变量及其类别示例,MIB Variable Category Meaning 变量类别含义 sysUpTime system Time since last reboot ifNumber interfaces Number of network interfaces ifMtu interfaces MTU for a particular interface ipDefaultTTL ip Value IP uses in time-to-live field ipInReceives ip Number of d

13、atagrams received ipForwDatagrams ip Number of datagrams forwarded ipOutNoRoutes ip Number of routing failures ipReasmOKs ip Number of datagrams reassembled ipFragOKs ip Number of datagrams fragmented ipRoutingTable ip IP Routing table icmpInEchos icmp Number of ICMP Echo Requests received tcpRtoMin

14、 tcp Minimum retransmission time TCP allows tcpMaxConn tcp Maximum TCP connections allowed tcpInSegs tcp Number of segments TCP has received udpInDatagrams udp Number of UDP datagrams received,2019/1/29,韩雪琴,20,14.4 SNMPv1 的五种协议数据单元,SNMPv1 规定了五种协议数据单元 PDU（即 SNMP 报文），用来在管理进程和代理之间的交换。 SNMP的操作只有两种基本的管理

15、功能，即： (1)“读”操作，用get报文来检测各被管对象的状况； (2)“写”操作，用set报文来改变各被管对象的状况。,2019/1/29,韩雪琴,21,SNMP 的探询操作,探询操作SNMP 管理进程定时向被管理设备周期性地发送探询信息。探询的好处是：可使系统相对简单。能限制通过网络所产生的管理信息的通信量。但探询管理协议不够灵活，而且所能管理的设备数目不能太多。探询系统的开销也较大。如探询频繁而并未得到有用的报告，则通信线路和计算机的 CPU 周期就被浪费了。,2019/1/29,韩雪琴,22,陷阱(trap),SNMP 不是完全的探询协议，它允许不经过询问就能发送某些信息。这

16、种信息称为陷阱，表示它能够捕捉“事件”。这种陷阱信息的参数是受限制的。当被管对象的代理检测到有事件发生时，就检查其门限值。代理只向管理进程报告达到某些门限值的事件（即过滤）。过滤的好处是：仅在严重事件发生时才发送陷阱；陷阱信息很简单且所需字节数很少。,2019/1/29,韩雪琴,23,SNMP 是有效的网络管理协议,使用探询（至少是周期性地）以维持对网络资源的实时监视，同时也采用陷阱机制报告特殊事件，使得 SNMP 成为一种有效的网络管理协议。,2019/1/29,韩雪琴,24,SNMP 使用的端口,SNMP 使用无连接的 UDP，因此在网络上传送 SNMP 报文的开销较小。但 UDP

17、不保证可靠交付。在运行代理程序的服务器端用熟知端口 161 来接收 get 或 set 报文和发送响应报文（与熟知端口通信的客户端使用临时端口）。运行管理程序的客户端则使用熟知端口 162 来接收来自各代理的 trap 报文。,2019/1/29,韩雪琴,25,SNMPv1 定义的协议数据单元类型,PDU PDU名称用途编号 0 get-request 用来查询一个或多个变量的值 1 get-next-request 允许在 MIB 树上检索下一个变量，此操作可反复进行 2 reponse 对 get/set 报文作出响应，并提供差错码、差错状态等信息 3 set-reques

18、t 对一个或多个变量值进行设置 4 Trap 向管理进程报告代理中发生的事件,2019/1/29,韩雪琴,26,SNMPv1 的报文格式,get/set 报文,IP 首部,UDP 首部,SNMP PDU,版本,共同体,PDU 类型 (03),差错索引,差错状态 (05),请求标识符,名,名,值,值,trap 首部,变量绑定,20字节,8字节,PDU 类型 (4),名,值,企业,代理的 IP 地址,trap类型 (0 6),特定代码,时间戳,值,名,get/set 首部,变量绑定,trap 报文,2019/1/29,韩雪琴,27,SNMP 报文的组成,版本共同体(community) SN

19、MP PDU由三个部分组成 PDU 类型 get/set 首部或 trap 首部变量绑定(variable-bindings)（变量绑定指明一个或多个变量的名和对应的值）。,2019/1/29,韩雪琴,28,get/set 首部的字段,请求标识符(request ID) 差错状态(error status) 差错索引(error index),2019/1/29,韩雪琴,29,trap 首部的字段,企业(enterprise) 陷阱类型特定代码(specific-code) 时间戳(timestamp),2019/1/29,韩雪琴,30,8.7.5 管理信息结构 SMI (Structur

20、e of Management Information),SMI 标准指明了所有的 MIB 变量必须使用抽象语法记法 1（ASN.1）来定义。 ASN.1 有两个主要特点：一个是人们阅读的文档中使用的记法，另一个是同一信息在通信协议中使用的紧凑编码表示。这种记法使得数据的含义不存在任何可能的二义性。,2019/1/29,韩雪琴,31,1. 局部语法、传送语法与抽象语法,“语法”实际上就是“符号串解释方法”。局部语法用于数据在端系统中的存储。传送语法用于数据在线路上的传输。抽象语法是协议设计者所使用的工具，用于将设计者的思想记录下来，便于交流和讨论。计算机通信的最终目的是传递数据的语义

21、。因此一个数据无论采用何种表示方式，其语义不应改变。,2019/1/29,韩雪琴,32,两次转换语法,OSI 采用两次转换语法的方法，即由发送方和接收方共同协作完成语法转换。为此，定义了 “传送语法”(transfer syntax)。发送方把符合自己局部语法的比特串转换为符合传送语法的比特串，接收方再把此比特串转换为符合自己局部语法的比特串。在采用这种标准的传送语法时，不仅要传送数据对象的“值信息”，还需要传送关于该对象的“类型信息”。,2019/1/29,韩雪琴,33,ASN.1 (Abstract Syntax Notation One),ASN.1 是一种数据类型描述语言，具有类似

22、于面向对象程序设计语言中所提供的类型机制。 ASN.1 可定义任意复杂结构的数据类型，而不同的数据类型之间还可以有继承关系。实际上到目前为止并没有第二个抽象语法记法出现。因此 ASN.1 似应写为 ASN。抽象语法只描述数据的结构形式且与具体的编码格式无关，同时也不涉及这些数据结构在计算机内如何存放。,2019/1/29,韩雪琴,34,基本编码规则 BER (Basic Encoding Rule),ISO 在制订 ASN.1 语言的同时也为它定义了一种标准的编码方案，即基本编码规则 BER。 BER 指明了每种数据类型中每个数据的值的表示。发送端用 BER 编码，可将用 ASN.1 所

23、表述的报文转换成惟一的比特序列。接收端用 BER 进行解码，得到该比特序列所表示的 ASN.1 报文。,2019/1/29,韩雪琴,35,ASN.1 的两个标准,(1) 抽象语法记法 1 (ASN.1) ISO 8824 ITU-T X.208 (2) ASN.1的基本编码规则 BER ISO 8825 ITU-T X.209 ASN.1 和 ASN.1 基本编码规则的区别就是：ASN.1 是用来定义各种应用协议数据单元的数据类型的工具，是描述抽象语法的一种语言。ASN.1 基本编码规则用于描述各应用协议数据单元类型所代表的数据值。,2019/1/29,韩雪琴,36,2. 抽象语法记法 ASN

24、.1 的要点,(1) 标识符（即值的名或字段名）、数据类型名和模块名由大写或小写字母、数字、以及连字符组成。 (2) ASN.1 固有的数据类型全部由大写字母组成。 (3) 用户自定义的数据类型名和模块名的第一个字母用大写，后面至少要有一个非大写字母。,2019/1/29,韩雪琴,37,2. 抽象语法记法 ASN.1 的要点,(4) 标识符(identifier)的第一个字母用小写，后面可用数字、连字符以及一些大写字母以增加可读性。 (5) 多个空格或空行都被认为是一个空格。 (6) 注释由两个连字符(-)表示开始，由另外两个连字符或行结束符表示结束。 ASN.1 把数据类型分为简单类型和构造

25、类型两种。,2019/1/29,韩雪琴,38,ASN.1 的部分类型,分类标记类型名称主要特点简 UNIVERSAL 2 INTEGER 取整数值单 UNIVERSAL 4 OCTET STRING 取八位位组序列值类 UNIVERSAL 5 NULL 只取空值的型 UNIVERSAL 6 OBJECT IDENTIFIER 与信息对象相关联的值的集合构 UNIVERSAL 16 SEQUENCE 取值为多个数据类型的按序组成的值造 UNIVERSAL 16 SEQUENCE-OF 取值为同一数据类型的按序组成的值类无标记 CHOICE 可选择多个数据类型中的某一

26、个数据类型型无标记 ANY 可描述事先还不知道的任何类型的任何值,2019/1/29,韩雪琴,39,标记(tab),ASN.1 规定每一个数据类型应当有一个能够惟一被识别的标记，以便能无二义性地标识各种数据类型。标记有两个分量，一个分量是标记的类(class)，另一个分量是非负整数。,2019/1/29,韩雪琴,40,标记共划分为以下的四类(class),(1) 通用类(Universal)由 ASN.1 分配给所定义的最常用的一些数据类型，它与具体的应用无关。 (2) 应用类(Application-wide)与某个特定应用相关联的类型（被其他标准所定义）。 (3) 上下文类(Con

27、text-specific)上下文所定义的类型，它属于一个应用的子集。 (4) 专用类(Private)保留为一些厂家所定义的类型，在 ASN.1 标准中未定义。,2019/1/29,韩雪琴,41,3. ASN.1 的基本编码规则,TLV 方法进行编码把各种数据元素表示为以下三个字段组成的八位位组序列： (1) T 字段，即标识符八位位组(identifier octet)，用于标识标记。 (2) L 字段，即长度用八位位组(length octet)，用于标识后面 V 字段的长度。 (3) V 字段，即内容八位位组(content octet)，用于标识数据元素的值。,2019/1/29,韩

28、雪琴,42,用 TLV 方法进行编码,T（标记）标识符八位位组,L（长度）长度八位位组,V（值）内容八位位组,比特 8 7 6 5 4 3 2 1,通用类 0 0 0 简单类型,应用类 0 1 1 构造类型,上下文类 1 0,专用类 1 1,类别 P/C 标记编号,2019/1/29,韩雪琴,43,SNMP 的 Get-request 报文 ASN.1 编码,V 2B 06 01 02 01 01 01 00,L 08,T OBJECT IDENTIFIER,T NULL,L 00,L 01,T SEQUENCE,L 0C,name value,T OCTET STR

29、ING,T INTEGER,L 01,V 00,V 70 75 62 6C 69 63,T A0,L 1C,Get-request-PDU-V,L 06,L 0E,L 04,T INTEGER,L 01,Message-T SEQUENCE,Message-L 29,Message-V,Version,Community,Get-request-PDU,request-id,error-status,error-index,variable-bindings,T INTEGER,V 05 AE 56 02,V 00,T SEQUENCE OF,T INTEGER,V 00,VarBind,re

30、quest-ID,“public”,1.3. 6. 1. 2. 1. 1. 1. 0,sysDescr,2019/1/29,韩雪琴,44,SNMP get-request 报文的编码,30 29 类型SEQUENCE，长度2916 = 4110 02 01 00 类型INTEGER，长度0116，版本 = 0 04 06 70 75 62 6C 69 63 类型OCTET STRING，长度616，“public” A0 1C 类型“上下文结构类型”，长度1C16 02 04 05 AE 56 02 类型INTEGER，长度0416，request-id = 05 AE 56 02 02 01

31、 00 类型INTEGER，长度0116，error status = 0016 02 01 00 类型INTEGER，长度0116，error index = 0016 30 0E 类型SEQUENCE OF，长度0E16 30 0C 类型SEQUENCE，长度0C16 06 08 2B 06 01 02 01 01 01 00 类型OBJECT IDENTIFIER，长度0816，sysDescr 05 00 类型NULL，长度0016,2019/1/29,韩雪琴,45,几点说明,(1) 编码一律用十六进制数来表示。 (2) 要特别注意在 V 字段中出现的嵌套。 (3) 顶级和二级结点合

32、并成子标识符。算法是：若顶级结点和二级结点的值分别为 X 和 Y，子网得出的子标识符的值为 40X Y。这样就得出sysDescr 在进行编码时的对象标识符为43.6.1.2.1.1.1.0 （即占两个字符的 1.3 压缩为占一个字符的 43），节省了一个字符的空间。,2019/1/29,韩雪琴,46,几点说明,(4) 最后得到的用十六进制表示的编码如下所示： 30 29 02 01 00 04 06 70 75 62 6C 69 63 A0 1C 02 04 05 AE 56 02 02 01 00 02 01 00 30 0E 30 0C 06 08 2B 06 01 02 01 01

33、01 00 05 00 这就是作为 UDP 用户数据报的数据部分的一个完整的 SNMP 报文。,2019/1/29,韩雪琴,47,8.7.6 SNMPv2 和 SNMPv3,SNMP 的主要缺点是： (1) 不能有效地传送大块的数据 (2) 不能将网络管理的功能分散化 (3) 安全性不够好,2019/1/29,韩雪琴,48,SNMPv2,1996 年发布 IETF 发布了 8 个 SNMPv2 文档RFC 19011908。但 SNMPv2 在安全方面的设计过分复杂，使得有些人不愿意接受它。 SNMPv2 增加了 get-bulk-request 命令，可一次从路由器的路由表中读取许多行的信息

34、。 SNMPv2 的get 命令允许返回部分的变量值，这就提高了效率，减少了网络上的通信量。 SNMPv2 采用了分散化的管理方法。在一个网络中可以有多个顶级管理站，叫做管理服务器。,2019/1/29,韩雪琴,49,SNMPv2,增加了一个 inform 命令和一个管理进程到管理进程的 MIB (manager-to-manager MIB)。使用这种 inform 命令可以使管理进程之间互相传送有关的事件信息而不需要经过请求。这样的信息则定义在管理进程到管理进程的 MIB中。,2019/1/29,韩雪琴,50,SNMPv3,1998 年 1 月 IETF 发表了 SNMPv3 的有关文档RFC 2271-2275。仅隔 15 个月后就更新为RFC 2571-2575。 SNMPv3 最大的改进就是安全特性。也就是说，只有被授权的人员才有资格执行网络管理的功能（如关闭某一条链路）和读取有关网络管理的信息（如读取一个配置文件的内容）。,2019/1/29,韩雪琴,51,作业 30.2、30.5,

展开阅读全文