《网络工程规划与设计案例教程配套教学课件ppt李健谭爱平网络工程规划与设计案例教程 教学课件 ppt 作者 李健谭爱平 文档项目一任务1网络管理与网络安全》由会员分享,可在线阅读,更多相关《网络工程规划与设计案例教程配套教学课件ppt李健谭爱平网络工程规划与设计案例教程 教学课件 ppt 作者 李健谭爱平 文档项目一任务1网络管理与网络安全(71页珍藏版)》请在金锄头文库上搜索。
1、网络管理与网络安全,2,1 网络管理,1.1 网络管理的发展历史 1网络管理的发展 19世纪末的电信网络就已有相应的管理“系统”电话话务员,他就是整个电话网络系统的管理员,尽管他能管理的内容非常有限。而计算机网络的管理,是伴随着1969年世界上第一个计算机网络ARPANET的诞生而产生的,当时,ARPANET就有一个相应的管理系统。,2网络管理的不足和进一步的发展 过去的网络管理系统常常是厂商开发的专用系统,很难对其他厂商的网络系统、通信设备等进行管理,这种状况很不适应网络异构互连的发展趋势。 19世纪80年代初期Internet的出现和发展更使人们意识到了这一点的重要性,研究者迅速展开了对网
2、络管理的研究,并提出了多种网络管理方案。 最终,SNMP成为了网络管理领域中的工业标准,并得到了广泛支持和应用,目前大多数的网络管理系统和网络管理平台都基于SNMP。,3,1 网络管理,1.2 SNMP网络管理模型 1简单网络协议及其组成 简单网络管理协议(Simple Network Management Protocol,SNMP),同它定义的管理信息库(Management Information Base,MIB)一同提供了一种系统地监控和管理计算机网络的方案。它管理局域网和广域网中的各种网络设备,包括路由器、工作站和PC。SNMP提供了较为完善的差错管理和配置管理功能,同时在一定程度
3、上也支持其他功能。SNMP网络管理模型由4部分组成。 网络管理站 被管设备 管理信息库(MIB) 管理协议(SNMP),4,1 网络管理,2SNMP的设计原则 SNMP的设计原则是把所有智能和复杂性放在管理器(客户端)上,使代理(服务器端)尽可能简单,以尽量减少对被管设备的影响,也就是说,不要让被管设备因为执行网络管理功能而影响它完成本职工作.,3SNMP模型的传输过程 SNMP模型采用ASN.1(1号抽象句法表示)描述对象的语法结构以及进行信息传输。 在传输各类数据时,SNMP首先要把内部数据转换成ASN.1语法表示,然后发送出去,另一端收到此ASN.1语法表示的数据后也必须首先变成内部数据
4、表示,然后才执行其他的操作。这样就实现了不同系统之间的无缝通信。,5,1 网络管理,4ASN.1对MIB对象名称的规定 ASN.1对MIB对象名称规定了一种“字典排序方法”。在对象名称均用数字序列表示时,如果两个对象名称有相同的序列表示,即对应树中同一个节点,则这两个名称按字典顺序相等;如果一个名称是另一个名称的前部,或一个名称比另一个名称中第一个不同的节点具有较低的数字值,则称这个名称按字典顺序小于另一个名。 注意:SNMP最终操作的不是对象,而是对象的实例(Instance),以下称为变量。对象表示一种数据类型,而不代表具体的网管信息。SNMP协议规定了如何从对象的名称得到实例的名称方法。
5、,6,1 网络管理,5SNMP的主要报文类型的规定 (1)get(请求):取得当前存储于指定变量内的数值。 (2)get_next(请求):指定一个名称并要求服务器以字典顺序中下一个变量 的名称和数值作为响应。 (3)set(请求):把一个数值赋给指定的变量。 (4)get_response(响应):返回操作的结果。 (5)trap(异常):向管理站报告突发事件,如停机。,7,1 网络管理,1.3 其他网络管理协议 1目前主流的网络管理协议还有如下几种 (1)CMIS/CMIP 公共管理信息服务/公共管理信息协议(CMIS/CMIP)是OSI提供的网络管理协议簇。CMIS定义了每个网络组成部分
6、提供的网络管理服务,CMIP则是实现CMIS服务的协议。 (2)RMON协议 RMON是远程监控的简称,是用于分布式监视网络通信的工业标准。RMON协议广泛应用于如路由器、网管型交换机这类设备中。,8,1 网络管理,(3)AgentX(扩展代理)协议 AgentX协议是由Internet工程任务组(IETF)在1998年提出的标准。AgentX协议允许多个子代理来负责处理MIB信息,该过程对于SNMP管理应用程序是透明的。AgentX协议为代理的扩展提供了一个标准的解决方法,使得各子代理将它们的职责信息通告给主代理。每个符合AgentX的子代理运行在各自的进程空间里,因此比采用单个完整的SNM
7、P代理具有更好的稳定性。另外,通过AgentX协议能够访问它们的内部状态,进而管理站随后也能通过SNMP访问到它们。随着服务器进程和应用程序处理的日益复杂,最后一点尤其重要。通过AgentX技术,可以利用标准的SNMP管理工具来管理大型软件系统。,9,1 网络管理,1.4 网路管理的主要功能 1 ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能。这五大功能内容具体如下 (1)故障管理(fault management) 故障管理是网络管理中最基本的功能之一。 网络故障管理包括故障检测、隔离和纠正三方面,应包括以下典型功能: 维护并检查错误日志; 接受错误检测报告并做出响应;
8、跟踪、辨认错误; 执行诊断测试; 纠正错误。,10,1 网络管理,(2)计费管理(accounting management) 计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和代价,可以估算出用户使用网络资源可能需要的费用和代价,以及已经使用的资源。网络管理员还可规定用户可使用的最大费用,从而控制用户过多占用和使用网络资源。这也从另一方面提高了网络的效率。另外,当用户为了一个通信目的需要使用多个网络中的资源时,计费管理应可计算总计费用。,11,1 网络管理,(3)配置管理(configuration management) 配置管理同样相当重要,它初始化网络并对网络进行配置,以使其
9、提供网络服务。配置管理是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能,目的是为了实现某个特定功能或使网络性能达到最优。配置管理包括以下内容: 设置开放系统中有关路由操作的参数; 被管对象和被管对象组名字的管理; 初始化或关闭被管对象; 根据要求收集系统当前状态的有关信息; 获取系统重要变化的信息; 更改系统的配置。,12,1 网络管理,(4)性能管理(performance management) 性能管理,估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性
10、能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。 性能管理一些典型的功能包括以下几方面: 收集统计信息; 维护并检查系统状态日志; 确定自然和人工状况下系统的性能; 改变系统操作模式以进行系统性能管理的操作。,13,1 网络管理,(5)安全管理(security management) 安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题: 网络数据的私有性(保护网络数据不被侵入者非法获取); 授权(authentication)(防止入侵者进入在网络并发送错误信 息); 访问控制(控制对网络资源的访问
11、)。 网络安全管理应包括对授权机制、访问控制和加密机制的 管理,另外还要维护和检查安全日志。,14,1 网络管理,1.5计算机网络日常管理与维护 1.网络管理中的几项重要的工作 (1)VLAN管理 VLAN是一种将局域网设备从逻辑上划分成一个个网段(或者说是更小的局域网),从而实现虚拟工作组(单元)的数据交换技术。VLAN的一个主要特性就是提供了更多的管理控制,减少了相对日常管理开销,提供了更大的配置灵活性,15,1 网络管理,VLAN的特性 当用户从一个地点移动到另一个地点时,简化了配置操作和过程修改。 当网络阻塞时,可以重新调节流量分布。 供流量与广播行为的详细报告,同时统计VLAN逻辑区
12、域的规模与组成。 提供根据实际情况在VLAN中增加和减少用户的灵活性。,2WAN接入管理 网络管理的解决方案中,一个大型网络(WAN)是通过分层进行管理的。 每个想入网的用户,首先要考虑在网络连接上怎样接入这个网络。一般用户需要找到主管自己这片地区的地区性网络中心,然后提出申请,最后该地区性网络中心再进行用户的接入操作。,16,1 网络管理,WAN接入管理一般包括以下主要内容: (1)连网用户必须租用一条网络线路,连接用户与地区性网络中心。 (2)连网用户需要向地区网络中心申请一段属于自己的IP地址,然后在全国网络中心注册域名。 (3)对于接入的连网用户,一般都要向地区性网络中心一次性交纳一笔
13、接入费用,然后地区网络中心再对该用户进行网络接入的相关配置。 (4)在连网用户端也需要进行相应的配置,然后开通该用户的网络连接,最后连网用户需要根据其使用网络资源的流量交纳网络费用。,17,1 网络管理,3网络故障的诊断与排除 按照网络故障不同性质划分: (1)物理故障:是指设备或线路损坏、插头松动、线路受到严重电磁干扰等情况。 (2)逻辑故障:一种常见情况就是配置错误,就是指因为网络设备的配置原因而导致的网络异常或故障。,根据故障的不同对象划分 : (1)线路故障:线路故障最常见的情况就是线路不通 。 (2)路由器故障 :事实上,线路故障中很多情况都涉及路由器,因此也可以把一些线路故障归结为
14、路由器故障。 (3)主机故障:主机故障常见的现象就是主机的配置不当。,18,2 网络安全概述,2.1 网络安全防范体系结构 ITU-TX.800标准将常说的“网络安全(network security)”进行逻辑上的分别定义,即 安全攻击(security attack)是指损害机构所拥有信息的安全的任何行为; 安全机制(security mechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制; 安全服务(security service)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。,19,图 1 三维安全防范技术体系框架结构,2 网
15、络安全概述,20,2 网络安全概述,框架结构中的每一个系统单元都对应于某一个协议层次,需要采取若干种安全服务才能保证该系统单元的安全。 网络平台需要有网络节点之间的认证、访问控制,应用平台需要有针对用户的认证、访问控制,需要保证数据传输的完整性、保密性,需要有抗抵赖和审计的功能,需要保证应用系统的可用性和可靠性。针对一个信息网络系统,如果在各个系统单元都有相应的安全措施来满足其安全需求,则认为该信息网络是安全的。,21,安全管理,网络层安全,网络层安全,系统层安全,物理层安全,2 网络安全概述,2.2 网络安全防范体系层次 作为全方位的、整体的网络安全防范体系也是分层次的,不同层次反映了不同的
16、安全问题,根据网络的应用情况和网络的结构,将安全防范体系的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理几部分。,22,2 网络安全概述,1物理环境的安全性(物理层安全) 该层次的安全包括通信线路的安全,物理设备的安全,机房的安全等。 2操作系统的安全性(系统层安全) 该层次的安全问题来自网络内使用的操作系统的安全,如Windows 2000,Windows 2003等。主要表现在以下3方面。 (1)操作系统本身的缺陷带来的不安全因素,主要包括身份认证、访问控制、系统漏洞等。 (2)对操作系统的安全配置问题。 (3)病毒对操作系统的威胁。,23,2 网络安全概述,3网络的安全性(网络层安全) 该层次的安全问题主要体现在网络方面的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性,远程接入的安全,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防病毒等。 4应用的安全性(应用层安全
