《《网络安全与管理(第二版)》-戚文静-电子教案与试题库 电子教案 第11章 网络管理原理》由会员分享,可在线阅读,更多相关《《网络安全与管理(第二版)》-戚文静-电子教案与试题库 电子教案 第11章 网络管理原理(51页珍藏版)》请在金锄头文库上搜索。
1、网络安全与管理,第11章 网络管理原理,本章学习目标,网络管理的概念、目标、功能,网络管理的标准 简单网络管理协议的体系结构、安全和实现 简单网络管理协议模型的发展,介绍SNMP v1、SNMP v2、SNMP v3、RMON 网络管理技术的新发展,分别介绍基于Web技术、CORBA技术、主动网、专家系统的网络管理,11.1 网络管理简介,11.1.1 网络管理概述 11.1.2 网络管理的目标 11.1.3 网络管理的功能 11.1.4 网络管理的标准 11.1.5 网络管理的方式,11.1.1 网络管理概述,网络管理的意义: 随着计算机网络的发展和普及,网络系统规模的日益扩大和网络应用水平
2、的不断提高, 一方面对于如何保证网络的安全、组织网络高效地运行提出了迫切的要求; 另一方面,计算机网络日益庞大,使管理更加复杂。,11.1.1 网络管理概述,网络管理的定义: 按照国际标准化组织(ISO)的定义,网络管理是指规划、监督、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。 网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段,从而合理地组织和利用系统资源,提供安全、可靠、有效和友好的服务。,11.1.1 网络管理概述,网络管理的意义: 随着计算机网络的发展和普及,网络系统规模的日益扩大和网络应用水平的不断提高, 一方面对于
3、如何保证网络的安全、组织网络高效地运行提出了迫切的要求; 另一方面,计算机网络日益庞大,使管理更加复杂。,11.1.1 网络管理概述,网络管理的对象: 从网络设备的角度考虑,网络管理对象一般包括硬件资源和软件资源两部分。 硬件管理指的是对构成网络的设备的管理。 软件管理指的是对运行于硬件设备上的操作系统、应用程序以及访问权限等的管理。 从网络构架的角度考虑,网络管理既要负责管理局域网的网络性能、网络流量、网络冲突和碰撞等,又要负责管理广域网的网络线路、广域网流量等内容。,11.1.2 网络管理的目标,网络管理的目标是通过收集、监控网络中各种设备和设施的工作参数、工作状态信息并显示给管理员接受处
4、理,从而最大限度地增加网络的可用时间,提高网络性能、服务质量和安全性,保证网络设备的正常运行,控制网络运行成本以及提供网络长期规划等。 网络经营者以及用户对网络的基本要求是: 有效性 可靠性 开放性 综合性 安全性 经济性,11.1.3 网络管理的功能,网络管理是控制一个复杂的计算机网络去获取最大效益和生产率的过程,为更好地定义网络管理的范围,国际标准化组织(ISO)定义了网络管理的五大功能。 配置管理(Configuration Management) 性能管理(Performance Management) 故障管理(Fault Management) 计费管理(Accounting Ma
5、nagement) 安全管理(Security Management),11.1.4 网络管理的标准,国际上有一些组织机构致力于研究、制定、开发网络管理的服务、协议和结构,其中最重要的三个国际组织是: 国际标准化组织(ISO) Internet工程任务组(IETF) 国际电信联盟(ITU),11.1.4 网络管理的标准,国际标准化组织(ISO) OSI系统管理标准的制定受到了政府和工业界的支持 ISO 7498-4文件定义了网络管理的基本概念和总体框架; CMIP:网络管理提供的服务和网络管理协议 CMIS:公共管理信息协议规范 CMIS定义了为OSI系统管理提供的一系列服务,而CMIP则是实
6、现这些CMIS服务使用的协议。 CMIS/CMIP的整体结构是建立在使用ISO网络参考模型的基础上的,网络管理应用进程使用ISO参考模型中的应用层。,11.1.4 网络管理的标准,国际标准化组织(ISO) OSI系统的管理结构,11.1.4 网络管理的标准,IETF制定了SNMP协议 SNMP是目前TCP/IP网络中应用最为广泛的网络管理协议,SNMP最大的特点是简单性,容易实现且成本低。此外,它还有以下特点: 可伸缩性:SNMP可管理绝大部分符合Internet标准的设备; 扩展性:通过定义新的“被管理对象”,可以非常方便地扩展管理能力; 健壮性:即使在被管理设备发生严重错误时,也不会影响管
7、理者的正常工作。,11.1.4 网络管理的标准,Internet管理结构,11.1.4 网络管理的标准,TMN电信管理标准 1985年CCITT提出了TMN的构想,用于实现对异构型互连网络、设备与业务进行有效的管理,提高网络的运行质量和效率,向用户提供良好的通信服务,为电信网络管理目标的实现提供了一套整体解决方案。 1988年CCITT形成了M.30建议书,定义了TMN的框架结构、功能模型、信息模型与物理模型。M.30是一总建议书,由它可引出一系列与TMN相关的子建议书。,11.1.4 网络管理的标准,TMN和电信网的关系图,11.1.5 网络管理的方式,随着网络的发展,网络管理的方式也在发生
8、变化 早期网络管理是采用人工方式 后来出现了人工与自动相结合的管理方式 现在以集中为主变为以分散为主,11.2 简单网络管理协议,11.2.1 SNMP的管理模型 11.2.2 SNMP v1的体系结构 11.2.3 SNMP v1的安全机制 11.2.4 SNMP v1的实现问题 11.2.5 SNMP v2 11.2.6 SNMP v3 11.2.7 RMON,11.2.1 SNMP的管理模型,SNMP的管理模型包括4个关键元素:管理工作站、网络管理协议、管理代理、管理信息库。 管理工作站:管理工作站是与在不同的被管理节点中的代理通信,并且显示这些代理状态的中心设备。 网络管理协议:网络管
9、理协议是管理工作站和代理之间用来交换信息的协议,是一系列协议组和规范。 管理代理:代理(Agent)是一种特殊的软件或固件,它包含了关于一个设备或该设备所处环境的信息。 管理信息库:管理信息库指明了网络元素所维持的变量,即能够被管理进程查询和设置的信息。,11.2.1 SNMP的管理模型,SNMP的配置,11.2.2 SNMP v1的体系结构,请求/响应原语 SNMP v1规定了5种协议数据单元PDU(也就是SNMP报文),用来在管理进程和代理之间交换信息。这5种协议数据单元也被称为SNMP的请求/响应原语。 get-request操作:从代理进程处提取一个或多个参数值; get-next-r
10、equest操作:从代理进程处提取紧跟当前参数值的下一个参数值; set-request操作:设置代理进程的一个或多个参数值; get-response操作:返回的一个或多个参数值。这个操作是由代理进程发出的,它是前面三种操作的响应操作; trap操作:即前面提到的自陷,代理进程主动发出的报文,通知管理进程有某些事情发生。,11.2.2 SNMP v1的体系结构,5种报文操作,11.2.2 SNMP v1的体系结构,SNMP报文格式,11.2.2 SNMP v1的体系结构,数据采集: 从被管理设备中采集数据有两种方法: 一种是轮询(polling)的方法 另一种是中断(interrupt)的方
11、法,11.2.2 SNMP v1的体系结构,数据采集: 从被管理设备中采集数据有两种方法: 轮询(polling):信息的采集总是处于网络管理工作站的控制之下。这种方法的缺陷在于信息的实时性,尤其是错误信息的实时性 中断(interrupt):当有异常事件发生时,如果基于中断的方法(自陷),被管理设备就可以立即通知网络管理工作站。,11.2.3 SNMP v1的安全机制,SNMP v1的安全机制比较脆弱,通信不加密,所有共同体字符和数据都以明文形式发送。 共同体:相当于访问口令 访问策略:通过定义管理对象的访问模式限制管理站的访问。所谓的访问控制有两方面的含义: MIB视图:MIB中对象的子集
12、,对不同的共同体可以定义不同的视图 访问模式:SNMP定义了两种访问模式:只读和读写。 MIB视图和访问模式合起来被称作SNMP共同体框架。,11.2.4 SNMP v1的实现问题,轮询频率: 我们需要一种能提高网络管理性能的轮询策略,以决定合适的轮询频率。 通常轮询频率与网络的规模和代理的多少有关。而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其他因素。 为了使问题简化,假定管理站一次只能与一个代理作用,轮询只是采用 get请求/响应这种简单形式,而且管理站全部时间都用来轮询,于是有下面的不等式: NT/,11.2.4 SNMP v1的实现问题,轮询频率 NT/
13、N:最多可支持设备数(轮询的代理数); T:轮询间隔; :单个轮询需要的时间。 其中的“”与以下因素有关: 管理站生成一个报文的时间; 管理站到代理的网络延迟; 代理处理一个请求报文的时间; 代理生成一个响应报文的时间; 代理到管理站的网络延时; 管理站处理一个响应报文的时间。 也就是说,交换一次请求/响应报文需要4个报文处理时间,2个网络延时。,11.2.4 SNMP v1的实现问题,SNMP v1的局限性 用户进行网络管理时要清楚SNMP v1本身的局限性。 由于轮询的性能限制,它不适合管理很大的网络,轮询产生的大量管理信息传送可能引起网络响应时间的增加; 它不适合检索大量的数据,例如检索
14、整个表中的数据; 它的自陷报文是没有应答的,管理站是否收到自陷报文,代理不得而知,这样可能丢掉很重要的管理信息; 它只提供简单的共同体名认证,这样的安全措施是不够的; 它的管理信息库MIB-2支持的管理对象有限,不足以完成复杂的管理功能; 它不支持管理站之间的通信,而这一点在分布式网络管理中是很需要的。,11.2.5 SNMP v2,最初的SNMP v2最大的特色是增加了安全特性,因此被称为安全版的SNMP。但是经过几年试用,没有得到厂商和用户的积极响应,并且也发现自身还存在一些严重缺陷。因此,在1996年正式发布的SNMP v2中,安全特性被删除。这样,SNMP v2对SNMP v1的改进程
15、度便受到了很大的削弱。 总的来说,SNMP v2的改进主要有以下3个方面: 支持分布式管理; 改进了管理信息结构(SMI); 增强了管理信息通信协议的能力。,11.2.5 SNMP v2,SNMP v2提供了一个建立网络管理系统的框架。但网络管理应用,如故障管理、性能监测、计费等不包括在SNMP v2定义的范围内。也就是说SNMP v2提供的是网络管理基础结构。 SNMP v2本质上是一个交换管理信息的协议。网络管理系统中的每个角色都维护一个与网络管理有关的MIB。,11.2.5 SNMP v2,SNMP v2的配置例子 在配置中至少有一个系统负责整个网络的管理,这个系统就是网络管理应用驻留的
16、地方。 管理站可以设置多个,以便提供冗余或分担大网络的管理责任。其他系统担任代理者角色。 代理者收集本地信息并保存,以备管理者提取。,11.2.5 SNMP v2,在SNMP v2消息中可以传送7类PDU: GetRequest:管理者通过代理获得对象的值; GetNextRequest:管理者通过代理获得对象的下一个值 GetBulkRequest:管理者通过代理获得对象的N个值; SetRequest:管理者通过代理为对象设置值; Trap:代理向管理者传送自陷信息; InformRequest:管理者向代理传送通报信息; Response:代理对管理者的请求进行应答。,11.2.5 SNMP v2,图 SNMP v2 PDU格式,11.2.6 SNMP v3,IETF SNMP v3工作组于1998年1月提出了互联网建议RFC 22712275,正式形成SNMP v3。 这一系列文件定义了包含SNMP v1、SNMP v2所有功能在内的体系框架,包含验证服务和加密服务在内的全新的安全机制,同时还规定了一套专门的
