《计算机网络技术及实训教学课件张蒲生第9章 网络管理和网络安全》由会员分享,可在线阅读,更多相关《计算机网络技术及实训教学课件张蒲生第9章 网络管理和网络安全(81页珍藏版)》请在金锄头文库上搜索。
1、计算机网络技术及实训,计算机网络技术及实训,张蒲生 主编 中国水利水电出版社,3,第9章 网络管理和网络安全,9.1 网络管理概述,9.2 网络的性能管理与优化,9.3 网络安全技术,4,9.1 网络管理概述,随着计算机网络应用的广泛深入,用户对计算机网络的依赖性越来越强,用户对计算机网络的可靠性及其运行管理也提出了越来越高的要求,例如,用户要求管理所有的网络协议,网络能同时容纳不同的网络管理系统、管理不同厂商生产的连网设备等。为了有效地管理大型异构型网络,必须要有一个公共的网络管理协议,通过规划、监视、分析、扩充和控制网络来保证网络服务的有效实现。网络管理对网络发展的重大影响越来越受到人们的
2、重视,计算机网络管理已经成为整个计算机网络系统中不可缺少的重要部分。 ISO认为OSI网络管理是指控制、协调和监督OSI环境下的网络通信服务和信息处理活动。网络管理的目标是确保网络的正常运行,或者当网络运行出现异常时能够及时响应和排除故障。,5,1. 网络管理的标准化,在OSI网络管理框架模型中,基本的网络管理功能被分成五个功能域:故障管理、配置管理、计费管理、性能管理和安全管理。这五个功能域通常按其英文首字母简称为FCAPS(Fault,Configuration,Accounting,Performance and Security)。这五个功能域通过与其它开放系统交换管理信息,分别完成不
3、同的网络管理功能。,6,故障管理(Fault Management),故障管理是最基本的网络管理功能。 故障管理是网络管理功能中与故障检测、故障诊断和故障恢复或排除等工作相关的部分,其目的是保证网络能够提供连续、可靠的服务。 在大型计算机网络发生故障时,往往不能确定故障所在的具体位置,这就需要故障管理提供逐步隔离和最后故障定位的一整套方法和工具;有的时候,故障是随机产生的,需要经过较长时间的跟踪和分析,才能找到故障原因。这就需要有一个故障管理系统,科学地管理网络所发现的所有故障,具体地记录每一个故障的产生,跟踪分析以至最终确定并排除故障。,7,配置管理(Configuration Manage
4、ment),配置管理也是基本的网络管理功能。 一个计算机网络是由多种多样的设备连接而成的,这些被管对象的物理结构和逻辑结构各不相同,结构中的各种参数、状态和名字等信息也需要相互了解和相互适应。这对于一个大型计算机网络的运行是至关重要的。另外,网络的运行环境也是经常变化的,系统本身也要随着用户的增加、减少或设备的维护、添加而经常调整网络的配置,使网络能够更有效地工作。网络管理提供的这些手段构成了网络管理的配置功能域,它是用来定义、识别、初始化、控制和监测通信网中的被管对象的功能集合。,8,计费管理(Accounting Management),在网络通信资源和信息资源有偿使用的情况下,计费管理功
5、能能够统计哪些用户利用哪条通信线路传输了多少数据、访问的是什么资源等信息。因此,计费管理是商业化计算机网络的重要网络管理功能。对于商业化的计算机网络,计费系统要包含很多非常详细的计费信息,例如,每次通信的开始时间、结束时间、通信中使用的服务等级、通信中传输的数据量等信息,并使用户能够查询这些信息。在非商业化的网络上,计费管理也可以用来统计不同线路和不同资源的利用率,帮助网络管理人员分析网络的利用情况。从本质上讲,无论在什么网络上,计费管理的根本依据都是网络用户使用网络资源的情况。一个网络管理系统记录这些信息,并选择一种用户可接受的计费方法。,9,性能管理(Performance Managem
6、ent),性能管理是通过监视和分析被管网络及其所提供服务的性能机制,用来管理和度量网络吞吐量、用户响应时间和线路利用率等系统性能。性能管理收集有关被管网络当前状况的数据信息,并以此为依据分析网络运行效率、及时发现瓶颈,为优化系统性能提供数据。性能分析的结果可以触发某个诊断测试过程或导致重新配置网络,以维持网络性能。总之,性能管理的目的是保证在使用最少的网络资源和具有最小时延的前提下,使得网络能够提供可靠的、连续的通信服务。,10,安全管理(Security Management),网络安全性既是网络管理的重要环节,也是网络管理的薄弱环节。 安全管理是为了保证网络不会被非法侵入、非法使用及资源破
7、坏。安全管理的主要内容包括:与安全措施有关的信息分发(例如,密钥的分发和访问权限的设置等),与安全有关的事件的通知(例如,网络有非法侵入、无权用户对特定信息的访问企图等),安全服务设施的创建、控制和删除,与安全有关的网络操作事件的记录、维护和查阅等日志管理工作等等。一个计算机网络的管理系统必须要有特定的关于网络管理的安全策略,及根据这一策略设计和实现的网络安全管理系统。,11,其他网络管理功能,ISO的网络管理只定义了上述五项管理功能域。因为ISO认为:不需要在各个开放系统之间交换管理信息就可以完成的管理功能都属于本地管理功能,这些功能不必列入标准化工作的内容之中。实际上,许多网络设备的生产厂
8、商和网络集成公司都扩展了网络管理的内容,例如,把网络对用户服务的支持和网络规划等功能作为完整的网络管理的一部分功能。这部分功能是由各厂商自行定义的,互相之间没有统一性。,12,2. 网络管理系统的逻辑模型,一个计算机网络的网络管理系统基本上都是由四部分组成的: 被管代理(Agent); 网络管理者(Management Manager); 管理信息库MIB(Management Information Base); 网络管理协议(Network Management Protocol)。,13,9.1.2 简单网络管理协议SNMP,SNMP是Simple Network Management
9、Protocol英文单词的缩写,它的中文名称为简单网络管理协议。SNMP在1988年8月作为一个网络管理标准RFC1157正式公布于世(RFC是Internet的网络标准)。SNMP一经推出就得到了广泛的应用和支持,包括IBM、HP、Sun等在内的数百家厂商均支持SNMP,SNMP已经成为网络管理领域中事实上的工业标准。目前,为了便于网络管理软件的使用,在大中型网络中通常要求所购置的网络设备支持SNMP协议。SNMP采用了管理者/代理模式,其管理模型如图所示。,14,1. SNMP网络管理协议的工作方式和特点,SNMP协议主要用于OSI 7层模型中较低层次的管理,它采用轮询监控的工作方式:管理
10、者按一定的时间间隔向代理请求管理信息,根据管理信息判断是否有异常事件发生;当管理对象发生紧急情况时,也可以使用称为trap(陷阱)信息的报文主动报告。为此,SNMP提供了五个服务原语。,15,五个服务原语, GetRequest原语:表示管理者发送给被管代理的“查询变量”请求,要求被管代理响应变量的具体值。 GetNextRequest原语:表示管理者发送给被管代理的“查询下一个变量”的请求,要求被管代理响应下一个变量的具体值。此原语的典型应用是管理者遍历某一个被管设备的MIB树中某个对象的一系列参数。 GetResponse原语:表示被管代理对管理者的响应,并回送相应变量的状态信息(差错码、
11、差错状态等)。 SetRequest原语:表示管理者发送给被管代理的“设置变量”请求,要求被管代理在本地MIB库中设置相应的变量值。 Trap原语:当被管代理发现某些预定的网络事件(例如,被管设备出错或关机)时,它会主动向管理者发送信息,报告发生的事件。管理者可以根据Trap原语发送来的信息进行差错诊断和处理。 SNMP是为了方便在TCP/IP上使用而开发的,但是其检测、控制活动却独立于TCP/IP,它采用TCP/IP协议模型提供的无连接数据报传输服务(UDP)。 SNMP的优点是协议简单,易于实现;缺点是管理通信开销大。,16,2. 实际网络管理系统的组成,实际的网络管理系统由4个基本部分组
12、成,即管理软件、管理代理、管理信息库和代理设备。在大部分的实际网络管理系统中,只有前3个部分,因此这3个部分是基本和必需的,而并非所有的网络都有“代理设备”,因此,第4个部分是可选的。下面将分别介绍这几个基本部分的功能和工作联系。,17, 网络管理软件,网络管理软件简称“网管软件”,它是协助网络管理员对整个网络或网络中的设备进行日常管理工作的软件。网络管理软件除了要求网络设备的“管理代理”定期采集用于管理的各种信息之外,还要定期查询管理代理采集到的主机有关信息,如系统配置信息、运行状态信息和网络性能信息等。网管软件正是利用这些信息来确定和判断整个网络、网络中的独立设备或者局部网络的运行状态是否
13、正常。 对于大型网络来说,网络规模较大,网络结构复杂,一旦网络出现故障,查找与维护都很困难,因此,网络管理软件是不可缺少的助手;而对于小型网络或个人用户来说,他们的技术水平较低,聘请专业技术人员的费用又太高,因此网络管理软件可以帮助解决一些棘手的问题。由此可见,网络管理软件已经成为各种网络中必不可少的组成部分。,18, 网络设备的管理代理,“管理代理” 是驻留在网络设备中的一个软件模块。其中的网络设备可以是系统中的网络计算机、网络打印设备和交换机等。网络设备的管理代理软件能够获得每个网络设备的各种信息,如设备运行状况、系统配置、设备特性和性能等信息。因此,每个管理代理上的软件就像被管理设备的代
14、理人,它可以完成网管软件所布置的信息采集任务。管理代理通过被控制设备中的管理信息库(MIB)来实现管理网络设备的功能。 在实际应用中,由于SNMP协议确立了不同设备、软件和系统之间通信的基础框架。因此,人们通常选用支持SNMP协议的网络设备,如选择支持SNMP协议的服务器、路由器、交换机和集线器等。这样驻留在其中的管理代理软件就具有了共同语言。正因为有了这个标准语言,网络设备的管理代理软件才可将网络管理软件发出的命令按照统一的网络格式进行转化,再收集需要的信息,最后返回正确的响应信息,从而实现了网管软件在网络管理系统中的统一网络管理。,19, 管理信息库,管理信息库(MIB)定义了一种有关对象
15、的数据库,它由网络管理系统所控制。整个MIB中存储了多个(可多达上千个)对象的各种信息数据。网管软件(在SNMP模型中又称管理进程)正是通过控制每个对象的MIB来实现对该网络设备的配置、控制和监视的。而网络管理员使用的网络管理系统可以通过网络管理的代理软件(管理代理)来控制每个MIB对象。,20, 代理设备,在网络管理系统中,代理设备是标准的网络协议软件和不支持标准协议的软件之间的一座桥梁。利用代理设备,无需升级整个网络管理系统即可实现旧版本网管软件到新版本的升级。例如,某网络正在使用的是支持旧版本SNMP协议的网管软件,当新版本SNMP协议开发出来之后,如果直接升级,则整个网络中所有的现存设
16、备都会受到影响,使用代理设备则可以方便地解决此类问题。注意,正是由于代理设备的上述特殊功能,所以不是所有的网络管理系统中都有这种设备,也就是说,代理设备在网络管理系统中是可选的。,21,9.1.3 常用的网络管理软件介绍,常用的网络管理系统有HP公司的OpenView,Sun公司的NetManager,IBM公司的NetView,Cisco公司的Cisco Works和Cabletron公司的Spectrum等。 1. HP OpenView 2. Cisco Works 3. CA的Network IT 4. IBM Tivoli 5. Novell网络管理方案,22,9.2 网络的性能管理与优化,网络的性能管理与优化的目的是减少网络系统的瓶颈、设法提高网络系统的运行效率。对于不同的硬件环境和软件环境,可以存在不同的优化方法和内容。例如,在一个配置比较落后而又需要提供各种新服务的网络中,管理员往往需要对网络中计算机的内存、CPU、磁盘,以及网络接口和服务器等分别进行优化处理,以便适应新的网络运行要求。但是,在一个网络
