【大学课件】计算机网络管理技术.ppt

资源描述

《【大学课件】计算机网络管理技术.ppt》由会员分享，可在线阅读，更多相关《【大学课件】计算机网络管理技术.ppt（79页珍藏版）》请在三一文库上搜索。

1、http:/ 网络管理技术概述第2章 SNMP网络管理架构第3章网络流量监控技术与方法第4章磁盘管理第5章用户管理第6章组策略管理第7章补丁管理第8章 IP地址管理第9章 VLAN管理第10章网络存储管理,http:/ SNMP网络管理架构目前计算机网络中几乎所有的通用设备和网络操作系统都支持SNMP，掌握SNMP的基础知识是从事网络管理工作的必备条件。 SNMP中涉及的知识点比较多，每个知识点都有大量的细节描述。本章将从网络管理员的角度介绍SNMP，着重介绍SNMP的基本架构和功能，以适应现代计算机网络管理的要求。,http:/ SNMP网络管理架构 2.1

2、网络管理协议及功能 2.2 SNMP的功能及典型应用 2.3 SNMP的实现方法、结构和组成 2.4 SNMP系统 2.5 SNMP协议 2.6 SNMP的发展和现状,http:/ 网络管理协议及功能 2.1.1 网络管理协议的发展 2.1.2 从管理设备获取数据的方式,http:/ 网络管理协议的发展在通用的网络管理协议制定之前，在一个网络中虽然有多个不同厂商的相同功能的设备，提供数据收集的方式各不相同。不同厂商提供的通信方式各不相同，无法实现在同一管理平台下对不同厂商设备的统一管理。网络管理协议的功能就是制定一个管理进程与管理代理之间的通信标准，即通用的网络管理协议。,http:/

3、 . 目前，已制定的几种标准的网络管理协议有： SNMP：简单网络管理协议（Simple Network Management Protocol），该协议也是应用最为广泛的网络管理协议（IETF ）。 CMIP/CMIS：公共管理信息协议/公共管理信息服务（Common Management Information Protocol /Common Management Information Services），主要针对OSI结构制定的网络管理协议（ISO）。,http:/ Over TCP）：在TCP/IP网络中实现CMIS服务的公共管理信息协议（IETF ）。 LMMP：局域网个人

4、管理协议（LAN Man Management Protoco1）该协议最早由3COM和IBM公司开发，试图为LAN环境提供一个网络管理方案。 IEEE802逻辑链路控制层上的公共管理信息协议（CMIP Over LLC，CMOL）。不依赖于任何特定的网络层协议进行网络传输。易于实现。但是，不能跨越路由器。,http:/ 网络管理协议及功能 2.1.1 网络管理协议的发展 2.1.2 从管理设备获取数据的方式,http:/ 从管理设备获取数据的3种方式本地终端方式、远程telnet命令方式、基于网络管理协议的方式。 1 本地终端方式 RS-232端口或Console端口。一般适用于管

5、理单台重要的网络设备（如企业网出口处的路由器或防火墙等）。网络发生阻塞以及被管理设备无法通过远程方法进行登录。,http:/ 远程telnet命令方式必须具备两个条件：一是管理机与被管理设备之间通过网络进行连接；二是在被管理设备上设置了管理地址和登录帐号。该方式的好处是可以对设备进行远程管理，每次只能对一台设备进行管理。,http:/ 基于网络管理协议的方式目前各类网络管理系统普遍采用如后图所示的标准模型。,http:/ 管理进程（Manager）管理协议（Management Protocol）管理代理（Agent）管理信息库（Management Information

6、 Base，MIB）,http:/ SNMP网络管理架构 2.1 网络管理协议及功能 2.2 SNMP的功能及典型应用 2.3 SNMP的实现方法、结构和组成 2.4 SNMP系统 2.5 SNMP协议 2.6 SNMP的发展和现状,http:/ SNMP的功能及典型应用是目前应用最为广泛的网络管理协议，主要用于对路由器、交换机、防火墙、服务器等主要设备（网元）的管理。,http:/ SNMP的功能及典型应用 2.2.1 SNMP的功能 2.2.2 SNMP的典型应用,http:/ 读操作：从设备中获取数据，一是管理员向设备发出读数据的指令；二是被管理设备定期向管理员（其实是管理机）发回需要

7、的数据。写操作：管理员在对设备进行配置时，需要由SNMP提供写操作，这样才能够完成对设备的远程管理。 Trap操作：设备在某一时刻发生状态的改变时，需要由SNMP提供trap操作。,http:/ SNMP的功能及典型应用 2.2.1 SNMP的功能 2.2.2 SNMP的典型应用,http:/ SNMP的典型应用对网络中支持SNMP的设备进行管理（可以运行在TCP/IP协议栈上）。,http:/ SNMP网络管理架构 2.1 网络管理协议及功能 2.2 SNMP的功能及典型应用 2.3 SNMP的实现方法、结构和组成 2.4 SNMP系统 2.5 SNMP协议 2.6 SNMP的发展和现状

8、,http:/ SNMP的实现方法、结构和组成 2.3.1 SNMP的实现方法和结构 2.3.2 SNMP的组成,http:/ SNMP的实现方法和结构,http:/ 管理网络系统（NMS）代理（Agent）代理服务器（Proxy）,http:/ SNMP的实现方法、结构和组成 2.3.1 SNMP的实现方法和结构 2.3.2 SNMP的组成,http:/ SNMP的组成 SNMP v1 （1989）、SNMP v2（1992）到SNMP v3（1999），功能在不断加强和完善，但是SNMP的组成一直没有变化。,使用UDP进行数据的传输由SMI、MIB和协议（SNMP）组成 SNMP和M

9、IB 由 ASN.1(Abstract Syntax Notation )描述,http:/ SMI（Structure of Managerment Information，管理信息结构）：规定SNMP使用哪些ASN.1符号与元素，以及如何使用这些ASN.1子集的符号和元素来描述SNMP。SMI由ASN.1的一个子集和一部分自定义的类型、宏等组成。 MIB（Management Information Base，管理信息库）：MIB使用SMI来定义设备和网络协议的数据。管理站和代理都使用相同格式的MIB以实现有效通信。其中代理将设备的数据转换为MIB对象，使设备支持SNMP。协议（SNMP

10、）：SNMP协议定义了SNMP数据包的格式、封装方式以及数据的传输细节。,http:/ SNMP网络管理架构 2.1 网络管理协议及功能 2.2 SNMP的功能及典型应用 2.3 SNMP的实现方法、结构和组成 2.4 SNMP系统 2.5 SNMP协议 2.6 SNMP的发展和现状,http:/ SNMP系统 2.4.1 管理信息库(MIB) 2.4.2 管理信息结构（SMI） 2.4.3 简单网络管理协议（SNMP）,http:/ 管理信息库(MIB) MIB是网络管理协议访问的管理对象数据库，它包括SNMP可以通过网络设备上的代理进行设置的变量。给出了一个网络中所有可能的被管理对象的集

11、合的数据结构。 SNMP的管理信息库采用和域名系统（DNS）相似的树型结构，它的根在最上面，根没有名字。,http:/ MIB树的每个节点被指定为一个数字（非负数），同一层的节点用不同的数字区分。这些节点数字由标准组织指定。MIB树中的任何一个节点由其所处的位置来命名，同一层的节点数字都不相同。这个数字串称为对应于MIB对象的对象标识符（OID，Object Identifier）。例如，ODI，1.3.6.1.2.1.1代表的对象是从命名为“1”的顶级节点开始，后续的下级节点“3”，再下一级是“6”，依此类推。,http:/ 再下面是管理信息库，原先的节点名是mib。1991年定义了新

12、的版本MIB-II。其标识为1.3.6.1.2.1或Internet(1) .2.1 最初的节点mib将其所管理的信息分为8个类别，如表2-1所示。现在的mib-2所包含的信息类别已超过40个。 MIB的定义与具体的网络管理协议无关，这对于设备制造商和用户来说都是有利的。,http:/ 最初的节点mib管理的信息类别,http:/ SNMP系统 2.4.1 管理信息库(MIB) 2.4.2 管理信息结构（SMI） 2.4.3 简单网络管理协议（SNMP）,http:/ 管理信息结构（SMI）管理信息结构（Structure of Management Information，SMI）用于定义

13、存储在MIB中的管理信息的语法和语义，对MIB进行定义和构造。 SMI确定了可用于MIB中的数据类型并说明对象在MIB内部的表示和命名。 SMI的宗旨是保持MIB的简单性和可扩展性，从而简化管理，加强互操作性，满足协同操作的要求。,http:/ 其中每一个叶子节点代表一个信息、变量或配置，设备对这棵树中的标量（叶子节点）进行赋值，以反映自己的状态。管理站读取相应的变量以获取网络节点设备的状态信息，管理站也可以通过修改某些值从而实现简单的控制功能。,http:/ SNMP系统 2.4.1 管理信息库(MIB) 2.4.2 管理信息结构（SMI） 2.4.3 简单网络管理协议（SNMP）,ht

14、tp:/ 简单网络管理协议（SNMP） SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。管理站进程通过SNMP完成网络管理。 SNMP在UDP、IP及有关的特殊网络协议（如Ethernet、FDDI、X.25）之上实现。,http:/ 3类消息都由代理用GetResponse消息应答，该消息被上交给管理应用进程。另外，代理可以发出Trap消息，向管理站报告有关MIB及管理资源的事件。,http:/ SNMP网络管理架构 2.1 网络管理协议及功能 2.2 SNMP的功能及典型应用 2.3 SNMP的实现方法、结构和组成 2.4 SNMP系统 2.

15、5 SNMP协议 2.6 SNMP的发展和现状,http:/ SNMP协议 2.5.1 SNMP的体系结构 2.5.2 SNMP的工作机制 2.5.3 SNMP的报文格式 2.5.4 SNMP共同体和安全控制 2.5.5 轮询和中断,http:/ SNMP的体系结构 SNMP采用集中式的管理方案主要由管理站(Manager)、管理代理（Agent）、管理对象（Managed Object）以及描述管理对象状态的MIB组成。,http:/ 管理代理维护一个本地的MIB。管理代理负责收集有关本地的管理对象的信息并具有以下几项基本功能：设置和修改MIB中的各种变量值；读取MIB中的信息并传回管

16、理进程；执行管理进程的管理操作。管理对象是经过抽象的网络元素，它对应于网络中具体可以操作的数据，如记录设备工作状态的变量、设备内的工作参数等，也可指某些具体的设备。,http:/ SNMP协议 2.5.1 SNMP的体系结构 2.5.2 SNMP的工作机制 2.5.3 SNMP的报文格式 2.5.4 SNMP共同体和安全控制 2.5.5 轮询和中断,http:/ SNMP的工作机制 SNMP的操作很简单，主要是对变量的修改和检查，共定义了以下5类管理操作： GetRequest：读对象操作，使管理进程向代理发起读的操作读取管理对象的值，以获取设备或网络的运行数据以及配置信息等。 GetNe

17、xtRequest：读取当前对象的下一个可读取的对象实例值。（因为SNMP不支持一次读取一张表或表中的一行数据，为了解决这一问题便提供了GetNextRequest操作：首先对对象标识（OID）进行GetNextRequest操作，将收到下一个可读取对象的实例标识，接着对这个实例标识执行GetNextRequest，会得到再下一个实例标识，这样不断执行下去就可以读取完整的一张表。）,http:/ SetRequest：管理进程更新代理中对象的值。在网络管理中，当需要对设备的一些参数、配置、状态等进行重新配置时，就需要用到SetRequest操作。 SetRequest可以对MIB中权限为只写

18、（wtite-only）和可读写（read-write）的对象进行操作。 GetResponse：代理对GetRequest/GetNextRequest/SetRequest这3种操作的应答。,http:/ Trap：代理向管理进程发送事件值。 SNMP中的GetRequest/GetNextRequest/SetRequest都由管理进程主动发起，采取轮询的方式。由于轮询时间时隔是固定的，所以导致管理进程无法及时掌握到这一事件信息，使事件失去了实效性。另一方面，考虑到网络带宽的占用，又不可能将轮询的时间间隔设置得太小。所以，就需要一种当设备的数据或状态发生变化时能够主动向管理进程发送

19、这一事件信息的机制 Trap是由代理主动发起，向管理进程通报设备信息的重要改变的操作。,http:/ 为了简化起见，前面3个操作称为get、get-next和set操作。端口：161，162,http:/ SNMP协议 2.5.1 SNMP的体系结构 2.5.2 SNMP的工作机制 2.5.3 SNMP的报文格式 2.5.4 SNMP共同体和安全控制 2.5.5 轮询和中断,http:/ SNMP的报文格式 SNMP定义了5种协议数据单元PDU（也就是SNMP报文。下图是封装成UDP数据报的5种操作的SNMP报文格式。一个SNMP报文共有三个部分组成：公共SNMP首部、get/set首部

20、和变量绑定。,http:/ 公共SNMP首部公共SNMP首部共占用3个字段：版本：标识SNMP的版本号，具体写入时为SNMP版本号减1，例如SNMPv1则应写入0。共同体（community）：共同体就是一个字符串，作为管理进程和代理进程之间的明文口令，目前许多系统缺省的共同体名为“public”。有关共同体在本章后面将进行专门介绍。 PDU类型：根据PDU的类型，填入04中的一个数字，其对应关系如表2-2所示。,http:/ get/set首部 get/set首部共占用3个字段：请求标识符（request ID）：这是由管理进程设置的一个整数值。代理进程在发送get-response

21、报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对应于哪一个请求报文。差错状态（error status）：由代理进程应答时填入05中的一个数字，具体描述如后表所示。差错索引（error index）：当出现noSuchName、badValue或readOnly的差错时，由代理进程在应答时设置的一个整数，它指明有差错的变量在变量列表中的偏移。,http:/ trap首部 Trap首部占用了5个字段：企业（enterprise）：填入trap报文的网络设备的对象标识符。此

22、对象标识符一定是对象命名树上的enterprise节点1.3.6.1.4.1下面的一棵子树上。该字段也称为“制造商ID”。代理地址（agent-addr）：产生trap的SNMP代理或代理服务器（proxy）的地址。 trap类型：该字段正式的名称是generic-trap，共分为右表中的7种。,http:/ 特定代码（specific-code）：指明代理自定义的事件（如果trap类型为6），否则为0。时间戳（timestamp）：指明自代理进程初始化到trap报告的事件发生所经历的时间，单位为10ms。,http:/ 变量绑定（variable-bindings）指明一个或多个变量的

23、名称和对应的值。在get或get-next报文中，变量的值被忽略。,http:/ SNMP协议 2.5.1 SNMP的体系结构 2.5.2 SNMP的工作机制 2.5.3 SNMP的报文格式 2.5.4 SNMP共同体和安全控制 2.5.5 轮询和中断,http:/ SNMP共同体和安全控制目前的网络管理是一种分布式的应用。与其他分布式的应用相同，网络管理中包含有一个应用协议支持的多个应用实体的相互作用。在SNMP系统中，这些应用实体就是采用SNMP的管理站应用实体和被管理设备的应用实体。,http:/ 它包含一个管理站和多个被管理设备之间一对多的关系。反过来，在SNMP系统中还包含另外

24、一种一对多的关系，即一个被管理设备和多个管理站之间的关系。每个被管理设备控制着自己的本地MIB，同时必须能够控制多个管理站对这个本地MIB的访问。这里所说的控制具体包含两个方面的含义：一是认证服务将对MIB的访问限定在授权的管理站的范围内；二是访问策略对不同的管理站给予不同的访问权限。如果系统中存在代理服务器（Proxy），还要求在这个代理服务器中实现对托管设备的认证服务和访问权限。,http:/ 通过共同体（community）提供了基本的和有限的安全保护。用共同体来定义一个代理（agent）和一组管理进程（manager）之间的认证、访问控制和代管的关系。共同体是一个在被管理

25、设备中定义的本地概念。被管理设备为每组可选的认证、访问控制和代理（代管）特性建立一个共同体。每个共同体被赋予一个在被管理设备内部唯一的共同体名，该共同体名要提供给SNMP系统内的所有管理进程，以便它们在get和set操作中应用。由于共同体是在代理中本地定义的，因此不同的代理中可能会定义相同的共同体名。共同体名相同并不意味者共同体相同，因此管理进程必须将共同体名与代理联系起来加以应用。,http:/ SNMP协议 2.5.1 SNMP的体系结构 2.5.2 SNMP的工作机制 2.5.3 SNMP的报文格式 2.5.4 SNMP共同体和安全控制 2.5.5 轮询和中断,http:/ 轮询和中

26、断 SNMP代理从被管设备中收集数据有三种方法：轮询、中断和面向自陷的轮询。 1 轮询（polling-only）代理软件不断地收集统计数据，并把这些数据记录到一个管理信息库（MIB）中。管理进程通过向代理的MIB发出查询信号可以得到这些信息，这个过程就叫轮询（polling）。为了能够全面地查看一段时间的通信流量和变化率，管理进程必须不断地轮询设备中的代理。管理站可以使用SNMP来评价网络的运行状况，并发现通信的趋势，如哪一个网段接近通信负载的最大能力或正使通信出错等。先进的SNMP网管系统甚至可以通过编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。,http:/ 中断（i

27、nterrupt-based）当有异常事件发生时，使用中断的方法可以立即通知网管系统，实时性很强。但这种方法也有缺陷：产生错误或自陷需要系统资源。如果自陷必须转发大量的信息，那么被管理设备可能不得不消耗更多的事件和系统资源来产生自陷，这将会影响到网络管理的主要功能。在中断方式中，如果几个同类型的自陷事件接连发生，那么大量网络带宽可能将被相同的信息所占用。尤其是自陷如果是由于网络阻塞引起时，事情就会变得特别糟糕。,http:/ 面向自陷的轮询（trap-directed polling）面向自陷的轮询是轮询和中断两种方式的结合，是目前执行网络管理最有效的方法。一般来说，网络管理工作

28、站轮询被管理设备中的代理收集的数据，并且在控制台上用数字或图形方法来显示这些数据，以便于网络管理员分析和管理网络中的设备及网络的通信量。被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况，避免了轮询中存在的不足。在这种方法中，当一个设备产生了一个自陷时，可以在网络管理工作站上查询该设备（前提是该设备仍然能够连接上），以获得更多的信息。,http:/ SNMP网络管理架构 2.1 网络管理协议及功能 2.2 SNMP的功能及典型应用 2.3 SNMP的实现方法、结构和组成 2.4 SNMP系统 2.5 SNMP协议 2.6 SNMP的发展和现状,http:/ SNMP的发展和现状

29、2.6.1 SNMP的发展历史 2.6.2 SNMPv2的特点 2.6.3 SNMPv3的特点 2.6.4 使用SNMP时的注意事项,http:/ SNMP的发展历史 SNMP发展到现在，共推出了三个版本和两个扩展，具体如下： 1989年，SNMPv1发布（CMOT推出失败，基于SGMP(简单网管管理协议)设计SNMP）。 1991年，针对SNMPv1的扩展RMON（Remote Monitoring，远程监视）发布。RMON扩展了SNMPv1的功能，主要加强了对局域网及设备的管理。 1995年，SNMPv2正式发布（SNMPv1的升级版在1993年提出），SNMPv2在SNMPv1的基础上增

30、加了部分功能，并制定了在OSI网络中使用SNMP的具体方法。同年，RMON升级为RMON2。 1998年，SNMPv3发布草案。 2002年，SNMPv3的标准正式出台，重点加强了SNMP的安全性，并为将来的发展设计了总体的架构。,http:/ SNMP的发展和现状 2.6.1 SNMP的发展历史 2.6.2 SNMPv2的特点 2.6.3 SNMPv3的特点 2.6.4 使用SNMP时的注意事项,http:/ SNMPv2的特点简单化是SNMP标准取得成功的主要原因。正是因为SNMP的实现较为简单，所以在SNMPv1发布后得到了大量应用，也正是因为SNMPv1的广泛使用，SNMPv1存在的

31、缺陷很快暴露了出来。 1 SNMPv1的主要缺陷是安全问题没有提供读取大块数据的有效机制，对大块数据进行存取的效率很低；没有提供足够的安全机制，安全性很差，对管理消息不能进行鉴别，也不能防止监听；没有提供管理进程与管理进程之间的通信机制，只适合集中式管理，而不利于进行分布式管理；只适用于监测网络设备，不适用于监测网络本身；由于trap数据报采用面向非连接的UDP协议传输，没有应答。,http:/ SNMPv2的主要功能改进提供了一次读取大块数据的能力（GetBulkRequest）；增加了管理进程（manager）与管理进程之间的信息交换机制（InformRequest），从而支

32、持分布式管理结构。（由中间manager来分担主manager的任务，增加了远程站点的局部自主性）；可在多种网络协议上运行，如OSI、Appletalk和IPX等，适用多协议网络环境（但它的缺省网络协议仍是UDP）； SMI为被管理对象和MIB提供了更详尽的规范和文档； SNMPv2的MIB定义在MIB-基础上，并对MIB-进行了修改和扩充（节点MIB 8-40）；提供了安全管理规范（时间问题导致其放弃安全管理部分）。,http:/ SNMP的发展和现状 2.6.1 SNMP的发展历史 2.6.2 SNMPv2的特点 2.6.3 SNMPv3的特点 2.6.4 使用SNMP时的注意事项,h

33、ttp:/ SNMPv3的特点 SNMPv3的最突出特点是其安全性。具体来说，SNMPv3使用了SNMPv1和SNMPv2的消息、操作及传输层映射，并在前面两个版本的基础上增加了用于安全的模型和访问控制。 SNMPv1和SNMPv2的所有通信字符串和数据都以明文形式发送。为了解决安全问题，SNMPv3通过对数据进行加密和鉴别加强了数据的安全性。加密：加密的目的是保证数据不被窃取。DES算法。鉴别：鉴别的目的是保证数据的完整性和发送者的正确性，防止别人伪造或篡改数据。MD5，SHA。,http:/ 具体来讲，USM定义了下面的目标：通过数据完整性检查，保护数据在传输过程中没有被篡改或毁坏，

34、传输顺序也没有被有意改变；通过数据来源鉴别能够验证数据和发送源的一致性；数据保密能够使数据在传输过程中不被窃听，也未发生泄露；通过消息时序性限制，如果消息在一个指定的时间范围外产生，则拒绝接收。 SNMPv3没有定义其他的新的SNMP功能，只是为SNMP提供了安全方面的功能。,http:/ SNMP的发展和现状 2.6.1 SNMP的发展历史 2.6.2 SNMPv2的特点 2.6.3 SNMPv3的特点 2.6.4 使用SNMP时的注意事项,http:/ 使用SNMP时的注意事项尽量将SNMP服务升级到v3版本。（其中，硬件设备的服务补丁需要向制造商联系获得，而操作系统（如Linux

35、、Windows 2000/2003等）可从网上直接下载安装。）保护SNMP共同体名称：许多设备缺省的SNMP共同体名称为“public”，这是很不安全的。建议管理人员修改该缺省值，并增加字符串的复杂性。在网络出口设备上过滤SNMP：目前，SNMP主要用于企业内部网络的管理，对于外部用户来说一般没有必要使用SNMP。为此，可以在企业网络的出口设备（主要为路由器或防火墙）上过滤掉SNMP通信和请求，从而保护内部网络。标准的SNMP服务使用UDP 161和UDP 162两个端口，某些设备厂商也使用其他的一些端口，如UDP 199、391、705、1993等。禁用这些端口通信后，外部网络访问企业内部网络的能力就受到了限制。在路由器和防火墙上可以使用ACL（访问控制列表）来过滤SNMP。,http:/ SNMP是对网络进行高效管理的重要技术。然而，SNMP的早期版本SNMPv1和SNMPv2天生缺乏安全性，即使最新版本SNMPv3通过加密和鉴别加强了安全性，但也有可能由于用户使用不当导致应用上的安全隐患。为此，用户应从协议选择（在条件允许时尽可能地选择SNMPv3）、系统配置等方面加强对SNMP的应用和管理。,http:/ end,

展开阅读全文