《計算機(jī)網(wǎng)絡(luò)》PPT電子課件教案-第十三章 網(wǎng)絡(luò)管理.ppt

第十三章網(wǎng)絡(luò)管理 13 1網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理是網(wǎng)絡(luò)發(fā)展中一個很重要的技術(shù) 對網(wǎng)絡(luò)的發(fā)展有著很長的影響 并已成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的問題之一 它的重要性已經(jīng)在許多方面得到體現(xiàn) 并為越來越多的人所共識 13 1 1網(wǎng)絡(luò)管理方法的演變 人工的分散管理方式 自動化的集中管理方式 電信管理網(wǎng)的誕生 13 1 2網(wǎng)絡(luò)管理系統(tǒng)的邏輯結(jié)構(gòu) 一般而言 網(wǎng)絡(luò)管理就是通過收集網(wǎng)絡(luò)中各種資源的工作參數(shù) 狀態(tài)信息 由網(wǎng)絡(luò)管理者 administrator 及時進(jìn)行分析和處理 并將處理結(jié)果形成各種監(jiān)控指令發(fā)給網(wǎng)絡(luò)資源 保證整個網(wǎng)絡(luò)能正常高效的運行 其目的很明確 就是使網(wǎng)絡(luò)中的資源得到有效的利用 當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時它應(yīng)能及時報告和處理 并協(xié)調(diào) 保持網(wǎng)絡(luò)系統(tǒng)的高效運行等 網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型通常一個網(wǎng)絡(luò)管理系統(tǒng)在邏輯上有被管對象 managedobject 管理進(jìn)程 manager 和管理協(xié)議 managementprotocol 這3部分組成 網(wǎng)絡(luò)管理系統(tǒng)邏輯模型 internet網(wǎng)絡(luò)管理邏輯模型 13 2網(wǎng)絡(luò)管理的主要功能 iso在iso iec7498 4文件中將開放系統(tǒng)的系統(tǒng)管理功能分成5個基本功能 13 2 1配置管理配置管理是網(wǎng)絡(luò)管理中最早出現(xiàn)的 也是最基本的功能 它對網(wǎng)絡(luò)中的設(shè)備和設(shè)施組成的變化進(jìn)行管理 配置管理需要進(jìn)行的操作內(nèi)容包括 鑒別所有被管對象 給每一個被管對象分配名字 設(shè)置被管對象的參數(shù) 改變被管對象的操作特性 報告被管對象的狀態(tài)變化 刪除不需要的被管對象 處理被管對象之間的關(guān)系 13 2 2性能管理 網(wǎng)絡(luò)性能包括帶寬利用率 吞吐率的降低程度 通信繁忙的程度 網(wǎng)絡(luò)瓶頸及響應(yīng)時間等 性能管理以網(wǎng)絡(luò)性能為準(zhǔn)則收集 分析和調(diào)整被管對象的狀態(tài) 其目的是保證網(wǎng)絡(luò)可以提供可靠 連續(xù)的通信能力并使用最少的網(wǎng)絡(luò)資源和具有最小的時延 網(wǎng)絡(luò)性能管理的功能包括 從被管對象中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù) 對被管對象的進(jìn)行性能統(tǒng)計 以及與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生 記錄和維護(hù) 分析當(dāng)前統(tǒng)計數(shù)據(jù) 以檢測性能故障 產(chǎn)生性能告警和報告性能事件 將當(dāng)前統(tǒng)計數(shù)據(jù)的分析結(jié)果與歷史模型比較以預(yù)測性能的長期變化 形成改進(jìn)性能評價準(zhǔn)則和性能門限值 以保證網(wǎng)絡(luò)的性能為目的 對被管對象和被管對象組的控制 根據(jù)這些功能要求 性能管理功能還可進(jìn)一步細(xì)分成4個子功能 它們是性能事件的監(jiān)測 網(wǎng)絡(luò)或管理對象的性能分析 性能的調(diào)節(jié)和性能的控制 13 2 3故障管理 所謂故障就是出現(xiàn)大量或者嚴(yán)重錯誤需要修復(fù)的異常情況 例如線路損壞而無法通信的情況 故障管理是網(wǎng)絡(luò)管理功能中與故障檢測 故障診斷 故障恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能 其目的是保證網(wǎng)絡(luò)能夠提供連續(xù) 可靠的服務(wù) 它主要包括以下幾個部分 檢測被管對象的差錯 或接收被管對象的差錯事件通報 當(dāng)存在空閑設(shè)備或迂回路由時 提供新的網(wǎng)絡(luò)資源用于服務(wù) 創(chuàng)建和維護(hù)差錯日志庫 并對差錯日志進(jìn)行分析 進(jìn)行診斷和測試 以追蹤和識別故障位置 故障性質(zhì) 通過資源的更換或維護(hù)以及其他恢復(fù)措施使其重新開始服務(wù) 13 2 4計費管理 計費管理記錄網(wǎng)絡(luò)資源的使用 目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價 嚴(yán)格的計費管理還可以防止濫用訪問權(quán)限 以免加重網(wǎng)絡(luò)負(fù)擔(dān) 同時帳務(wù)記錄反映了網(wǎng)絡(luò)負(fù)載的分配情況 也可以為改進(jìn)網(wǎng)絡(luò)效率提供參考 或者為網(wǎng)絡(luò)改進(jìn)計劃提供依據(jù) 計費管理的功能包括 1 統(tǒng)計網(wǎng)絡(luò)的利用率等效益數(shù)據(jù) 以使網(wǎng)絡(luò)管理人員確定不同時期和不同時間段的費率 2 根據(jù)用戶使用的特定業(yè)務(wù)在若干用戶之間公平 合理地分?jǐn)傎M用 3 允許采用信用記帳方式收取費用 包括資源利用率和帳單審查功能 4 當(dāng)多個資源同時用來提供一項服務(wù)時 能夠把對各個資源分別 算出的費用累加 13 2 5安全管理 網(wǎng)絡(luò)中主要有以下幾方面的安全問題 網(wǎng)絡(luò)數(shù)據(jù)的私有性 保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取 授權(quán) 防止侵入者在網(wǎng)絡(luò)上發(fā)送錯誤信息 訪問控制 控制對網(wǎng)絡(luò)資源的訪問 相應(yīng)地 網(wǎng)絡(luò)安全管理應(yīng)包括對授權(quán)機(jī)制 訪問控制 加密和密鑰的管理 另外還要維護(hù)和檢查安全日志 這包括 創(chuàng)建 刪除 控制安全服務(wù)和機(jī)制 與安全措施有關(guān)信息的分發(fā) 與安全相關(guān)事件的通報 系統(tǒng)管理域與系統(tǒng)管理功能之間的關(guān)系 11 3網(wǎng)絡(luò)管理信息模型和網(wǎng)絡(luò)管理 11 3 1網(wǎng)絡(luò)管理信息模型描述管理信息 建立管理信息模型通常采用結(jié)構(gòu)化方法 這樣可以降低系統(tǒng)實現(xiàn)的難度 提高通用性 目前公認(rèn)的最好辦法是利用面向?qū)ο蠹夹g(shù)來建立管理信息模型 網(wǎng)絡(luò)管理信息主要有兩個作用 一個作用是支持管理進(jìn)程的描述 另一個作用則是描述物理或邏輯的網(wǎng)絡(luò)資源 描述物理和邏輯資源的管理信息所涉及的是各種網(wǎng)絡(luò)實體的情況 必須用這些信息來描述被管對象 因此就必須建立起它們的模型 模型中規(guī)定管理系統(tǒng)感興趣的資源特性 參數(shù)及其表示方法 另一方面 模型元件和物理實體之間必須保持一致 模型的狀態(tài)和參數(shù)是被管理系統(tǒng)和物理實體共同控制的 管理信息模型的關(guān)系 網(wǎng)絡(luò)管理信息是從兩個方面來描述的 其一是管理信息結(jié)構(gòu) smi structureofmanagementinformation 其二是管理信息庫 mib 13 3 2被管對象 被管對象是對網(wǎng)絡(luò)管理數(shù)據(jù)的抽象 它們代表管理活動中涉及到的資源和信息 對被管對象的管理操作由管理進(jìn)程發(fā)起 通過管理進(jìn)程與被管對象之間的通信來完成 管理信息庫中有許多具有相同管理操作 屬性 特性組 package 通報和行為特性的被管對象是屬于同一個被管對象類 標(biāo)準(zhǔn)中規(guī)定管理系統(tǒng)中的每個被管對象都具有以下5個特性量 類 class 表明被管對象擁有的屬于哪個對象類 對象類規(guī)定了所有該類被管對象實例應(yīng)具有的特性 一個被管對象實例在創(chuàng)建時就說明了它屬于哪個對象類 同時該實例也應(yīng)有了相應(yīng)對象類的特性 具有相應(yīng)的屬性 操作 行為和通報特性 下面是定義被管對象類的一個樣板 m object classderivedfrom superclass directorydirectory object class behaviordefinitionsdefinition sourcecharacterizedbyattributesmustcontain attribute qualifier maycontain attribute qualifier groupattributes mustcontain group attribute qualifier maycontain group attribute qualifier operations create delete actions actions name notificatins notification name 屬性 attribute 屬性只是一種稱呼 用來指被管對象的特性值 屬性可以代表多種有數(shù)值的物理資源特性 在屬性和物理存儲量之間可以沒有直接有聯(lián)系 其他屬性也可以沒有相應(yīng)的存儲量 這時表示該屬性取默認(rèn)值 屬性組代表若干個屬性 只要給出屬性組的名字 就意味著給出了該組內(nèi)的所有屬性名 每一被管對象都有多個屬性 屬性代表被管對象的各方面特性和工作狀態(tài) 屬性可以是簡單變量 也可以是一個復(fù)雜的數(shù)據(jù)結(jié)構(gòu) 這樣的屬性就有多個值 對屬性定義也規(guī)定了樣板 如下所示 attributewithattributesyntaxdata type permitted valuesrange size definition matchesformatchingrules single valued multi valued 屬性定義的具體例子是一個系統(tǒng)標(biāo)識符的定義 如下所示 systemidattributewithattributesyntaxforum types namingtypematchesforequalitysubstringssingle valued forum attribute141 管理操作 operation 由于對象具有封閉特性 對象的操作只能用通信方式傳遞發(fā)起管理操作的請求和返回操作結(jié)果 管理操作可以分為兩類 一類是對被管對象本身的操作 其操作結(jié)果改變整個被管對象 另一類是對被管對象屬性的操作 面向?qū)傩缘牟僮饔?種 它們分別是 getvalue 取屬性值 replacevalue 替換屬性值 addvalue 增加屬性值 removevalue 刪除屬性值 setvalue 設(shè)置默認(rèn)值 對被管對象的操作主要有3種 其含義分別是 create 創(chuàng)建 創(chuàng)建一個新的被管對象 delete 刪除 刪除一個被管對象 action 執(zhí)行動作 執(zhí)行指定的動作 整個動作在對象類的定義中已經(jīng)說明 行為 behavior 被管對象的行為描述了對象及其屬性 通報和動作的動態(tài)特性 被管對象的行為特性定義中的條件內(nèi)容可以包括 對被管對象進(jìn)行操作的結(jié)果 對屬性或?qū)ο蟛僮鞯亩喾N限制條件 尤其是對創(chuàng)建和刪除被管對象操作的限制 屬性之間的各種內(nèi)在關(guān)系 被管對象之間和各種內(nèi)在關(guān)系 發(fā)出通報的條件 被管對象行為的其他方面完整性定義 通報 notification 網(wǎng)絡(luò)資源中發(fā)生的事件大多是管理進(jìn)程需要知道的 因而被管對象以主動發(fā)出通報的形式將發(fā)生的事件通知外部的管理進(jìn)程 被管對象首先將通報發(fā)給本地管理進(jìn)程 是否要通知其他管理進(jìn)程則取決于整個系統(tǒng)的配置和管理服務(wù)提供的手段 通報分為一般通報和特殊通報兩類 每類通報有若干種具體通報定義 被管對象在什么時候發(fā)出通報決定于它的 轉(zhuǎn)發(fā)分揀器 這是一個組合條件 只要滿足了條件就要發(fā)出通報 13 3 3internet的管理信息庫 1 internet的mibinternet的mib managerinformationbase 是圍繞被管對象組進(jìn)行組織的 采用了結(jié)構(gòu)化的管理信息定義 稱為管理信息結(jié)構(gòu) smi standardofmanagementinformation 規(guī)定了如何識別被管對象以及如何組織被管對象的信息結(jié)構(gòu) internet的mib有兩個版本 mib i中總共只定義了114種被管對象 在mib 中定義了185種被管對象 mib 與mib i有3處較大的區(qū)別 地址翻譯at組的變化 增加了傳送組 增加了snmp組 mib i被管對象的分組和種數(shù) 被管對象命名internet組織通過mib提供了一個注冊方法 所有網(wǎng)絡(luò)資源都在注冊時由mib管理機(jī)構(gòu)定義相應(yīng)的對象 在層次結(jié)構(gòu)的注冊目錄中分配被管對象名字 對象名字是按照smi中的命名規(guī)范分配的 internet注冊樹的實例 internet句法和類型在internet的mib標(biāo)準(zhǔn)中采用asn 1結(jié)構(gòu)來描述管理對象類 但不是完全遵循asn 1全集 而只采用了下列 個原語類型 integer 整數(shù) octet 任意字節(jié)串 string asc 碼字符串 objectidentifier 對象標(biāo)識符 和null 空 再加上兩個構(gòu)詞類型 seauence和sequenceof 其中整數(shù)可以是枚舉類 在internet的smi中定義了6個主要的被管對象類 它們分別是 networkaddress 網(wǎng)絡(luò)地址 ipaddress ip地址 timeticks 時間變量 gauge 計量器 counter 計數(shù)器 opaque 模糊 上述的對象類定義只是一種類型定義 還不是真正的被管對象 真正的被管對象是按照這些對象類定義創(chuàng)建的對象實例 管理系統(tǒng)實際操作的也是對象實例 除了對象類有名字 標(biāo)識符 外 對象實例也必須有其惟一的標(biāo)識符 被管對象的定義internet中的被管對象都是用一些關(guān)鍵字 保留字 來說明的 為了描述被管對象的說明格式 snmp中使用了5個記號 它們分別是 object 對象描述符 syntax 句法 definition 定義 access 訪問 status 狀況 internetmib中的所有被管對象都要求按照asn 1編碼標(biāo)準(zhǔn)和一個樣板 宏 進(jìn)行定義 而這個宏是internet管理機(jī)構(gòu)在smi文本中定義的 如下所示 object typemacro begintypenotation syntax type typeobjectsyntax access access status status valuenotation value v5alueobjectname access read only read write write only not accessible status mandatory optional obsolete end 13 4簡單網(wǎng)絡(luò)管理協(xié)議snmp 13 4 1概述 snmp的體系結(jié)構(gòu) snmp的3個基本元素是 管理者 管理進(jìn)程 代理 mib snmp是基于tcp ip的網(wǎng)絡(luò)管理協(xié)議 它是采用查詢管理策略在snmpv1中定義5種協(xié)議數(shù)據(jù)單元 pdu get request管理者從代理中檢索信息 get next request與get request配合實現(xiàn)對表對象的操作 get response代理對管理者get request的響應(yīng) set request對設(shè)備中的參數(shù)據(jù)進(jìn)行遠(yuǎn)程設(shè)置 trap代理發(fā)給管理者的非請求信息 用于某些特定事件 每一個代理包含一個mib 是一個樹形結(jié)構(gòu)的數(shù)據(jù)庫 是被管對象的集合 對象由若干變量定義 變量主要由變量名 變量的數(shù)據(jù)類型和變量的屬性組成 在snmpv1中定義了114種對象 snmpv2中對安全性進(jìn)行了加強(qiáng) 它增加了2種pdu getbulkrequest用于表操作 informrequest用于管理者之間交換管理信息 并將對象種數(shù)擴(kuò)大185種 snmpv3 rfc2570 2575 1999年5月 是建立在snmpv1和snmpv2的基礎(chǔ)上的最新發(fā)展成果 它實現(xiàn)了snmpv2未能實現(xiàn)的幾個目標(biāo) 其中包括稱為 商業(yè)級 的安全性 認(rèn)證 源標(biāo)識符 報文的完整性等 隱私 授權(quán)和存取控制 遠(yuǎn)程配置與管理 13 4 2snmpv1 snmp是一個異步的請求 響應(yīng)協(xié)議 snmp只提供兩種管理功能 管理進(jìn)程從管理代理獲取管理對象 變量 的信息 管理進(jìn)程對管理代理的管理對象 變量 進(jìn)行設(shè)置和修改 第一條功能則有管理進(jìn)程查詢和管理代理主動報告兩種方式 分別稱為查詢驅(qū)動和事件驅(qū)動方式 第二條功能當(dāng)然需要管理進(jìn)程首先發(fā)送操作命令進(jìn)行設(shè)置 snmp中引入了稱為 自陷 trap 的事件報告機(jī)制 當(dāng)管理代理發(fā)現(xiàn)本地發(fā)生變化 事件 時就主動向管理進(jìn)程報告 并且不需要響應(yīng) 這也是請求 響應(yīng)響應(yīng)的另外 snmp中設(shè)計了四種基本協(xié)議的交互過程 管理進(jìn)程從管理代理處讀取管理管理信息 管理進(jìn)程在管理代理的可見范圍內(nèi)遍歷一部分管理對象實例 管理進(jìn)程在管理代理中存儲信息 也即對管理體制代理的mib實例進(jìn)行寫操作 包括設(shè)置工作參數(shù) 管理進(jìn)行發(fā)送一個set request給管理代理 由管理代理完成set操作 然后用set response返回操作結(jié)果 管理代理主動向管理進(jìn)程報告事件 snmp協(xié)議是一個對稱協(xié)議 沒有主從關(guān)系 snmp之上的管理進(jìn)程和管理代理都可以得到snmp完全相同的服務(wù) 管理進(jìn)程是管理活動的主動參與者 管理進(jìn)程軟件在構(gòu)造snmp報文時 要填寫適當(dāng)?shù)膱笪氖撞?然后將snmp報文交付給udp層進(jìn)行傳輸 初始化完成后 管理代理就在udp協(xié)議的161端口等待接收snmp報文 當(dāng)管理代理成功地接收到一個報文后 它調(diào)用語法分析程序?qū)ns 1格式解碼成更容易利用的內(nèi)部格式 在管理代理對ans 1格式的報文進(jìn)行解碼的同時 它可以同時開始構(gòu)造用做響應(yīng)的getresponse pdu 管理代理填寫好getresponse pdu后 用基本編碼規(guī)則ber將報文編碼為ans 1格式 交付給udp協(xié)議將其傳送給發(fā)出請求的管理進(jìn)程 13 4 3snmpv2 第二版的snmp協(xié)議是建立在第一版基礎(chǔ)上的 snmpv2中除了對報文的格式進(jìn)行了改進(jìn)以外 還增加了一種新的管理信息報文 該報文在各管理進(jìn)程之間傳送信息 實際上由rfc1902 1908定義的snmpv2并沒有新的管理控制框架 因此該版snmp也常被稱為snmpv2c 基于團(tuán)體的第二版snmp 在改進(jìn)安全性方面 后來又出現(xiàn)了snmpv2usec 是基于用戶的安全模型 但與snmpv2c一樣都未能達(dá)到令人滿意的結(jié)果 盡管snmpv2c的安全性仍然沒有本質(zhì)的改進(jìn) 但還是得到了普遍接受和應(yīng)用 因此snmpv2對smi mib和協(xié)議也都進(jìn)行了比較大的改進(jìn) 第二版中對表格處理進(jìn)行了標(biāo)準(zhǔn)化 表格行的創(chuàng)建 刪除和修改可以按標(biāo)準(zhǔn)化的對象進(jìn)行處理 這些標(biāo)準(zhǔn)對象描述了每行的狀態(tài) 是用文本結(jié)構(gòu)約定中的宏來定義的 snmpv2對管理信息報文格式的主要改進(jìn)是 所有的pdu格式都是一致的 但個別pdu中的字段含義有變化 統(tǒng)一的pdu格式簡化了發(fā)送和接收snmp報文的處理 snmpv2定義了7個snmp操作 因而也就相應(yīng)地有7個不同的pdu標(biāo)簽代碼 13 4 4snmpv3 1 sn