《計(jì)算機(jī)網(wǎng)絡(luò)》PPT電子課件教案-第十三章 網(wǎng)絡(luò)管理.ppt

第十三章網(wǎng)絡(luò)管理 13 1網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理是網(wǎng)絡(luò)發(fā)展中一個(gè)很重要的技術(shù) 對(duì)網(wǎng)絡(luò)的發(fā)展有著很長(zhǎng)的影響 并已成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的問題之一 它的重要性已經(jīng)在許多方面得到體現(xiàn) 并為越來越多的人所共識(shí) 13 1 1網(wǎng)絡(luò)管理方法的演變 人工的分散管理方式 自動(dòng)化的集中管理方式 電信管理網(wǎng)的誕生 13 1 2網(wǎng)絡(luò)管理系統(tǒng)的邏輯結(jié)構(gòu) 一般而言 網(wǎng)絡(luò)管理就是通過收集網(wǎng)絡(luò)中各種資源的工作參數(shù) 狀態(tài)信息 由網(wǎng)絡(luò)管理者 administrator 及時(shí)進(jìn)行分析和處理 并將處理結(jié)果形成各種監(jiān)控指令發(fā)給網(wǎng)絡(luò)資源 保證整個(gè)網(wǎng)絡(luò)能正常高效的運(yùn)行 其目的很明確 就是使網(wǎng)絡(luò)中的資源得到有效的利用 當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)它應(yīng)能及時(shí)報(bào)告和處理 并協(xié)調(diào) 保持網(wǎng)絡(luò)系統(tǒng)的高效運(yùn)行等 網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型通常一個(gè)網(wǎng)絡(luò)管理系統(tǒng)在邏輯上有被管對(duì)象 managedobject 管理進(jìn)程 manager 和管理協(xié)議 managementprotocol 這3部分組成 網(wǎng)絡(luò)管理系統(tǒng)邏輯模型 internet網(wǎng)絡(luò)管理邏輯模型 13 2網(wǎng)絡(luò)管理的主要功能 iso在iso iec7498 4文件中將開放系統(tǒng)的系統(tǒng)管理功能分成5個(gè)基本功能 13 2 1配置管理配置管理是網(wǎng)絡(luò)管理中最早出現(xiàn)的 也是最基本的功能 它對(duì)網(wǎng)絡(luò)中的設(shè)備和設(shè)施組成的變化進(jìn)行管理 配置管理需要進(jìn)行的操作內(nèi)容包括 鑒別所有被管對(duì)象 給每一個(gè)被管對(duì)象分配名字 設(shè)置被管對(duì)象的參數(shù) 改變被管對(duì)象的操作特性 報(bào)告被管對(duì)象的狀態(tài)變化 刪除不需要的被管對(duì)象 處理被管對(duì)象之間的關(guān)系 13 2 2性能管理 網(wǎng)絡(luò)性能包括帶寬利用率 吞吐率的降低程度 通信繁忙的程度 網(wǎng)絡(luò)瓶頸及響應(yīng)時(shí)間等 性能管理以網(wǎng)絡(luò)性能為準(zhǔn)則收集 分析和調(diào)整被管對(duì)象的狀態(tài) 其目的是保證網(wǎng)絡(luò)可以提供可靠 連續(xù)的通信能力并使用最少的網(wǎng)絡(luò)資源和具有最小的時(shí)延 網(wǎng)絡(luò)性能管理的功能包括 從被管對(duì)象中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù) 對(duì)被管對(duì)象的進(jìn)行性能統(tǒng)計(jì) 以及與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生 記錄和維護(hù) 分析當(dāng)前統(tǒng)計(jì)數(shù)據(jù) 以檢測(cè)性能故障 產(chǎn)生性能告警和報(bào)告性能事件 將當(dāng)前統(tǒng)計(jì)數(shù)據(jù)的分析結(jié)果與歷史模型比較以預(yù)測(cè)性能的長(zhǎng)期變化 形成改進(jìn)性能評(píng)價(jià)準(zhǔn)則和性能門限值 以保證網(wǎng)絡(luò)的性能為目的 對(duì)被管對(duì)象和被管對(duì)象組的控制 根據(jù)這些功能要求 性能管理功能還可進(jìn)一步細(xì)分成4個(gè)子功能 它們是性能事件的監(jiān)測(cè) 網(wǎng)絡(luò)或管理對(duì)象的性能分析 性能的調(diào)節(jié)和性能的控制 13 2 3故障管理 所謂故障就是出現(xiàn)大量或者嚴(yán)重錯(cuò)誤需要修復(fù)的異常情況 例如線路損壞而無法通信的情況 故障管理是網(wǎng)絡(luò)管理功能中與故障檢測(cè) 故障診斷 故障恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能 其目的是保證網(wǎng)絡(luò)能夠提供連續(xù) 可靠的服務(wù) 它主要包括以下幾個(gè)部分 檢測(cè)被管對(duì)象的差錯(cuò) 或接收被管對(duì)象的差錯(cuò)事件通報(bào) 當(dāng)存在空閑設(shè)備或迂回路由時(shí) 提供新的網(wǎng)絡(luò)資源用于服務(wù) 創(chuàng)建和維護(hù)差錯(cuò)日志庫(kù) 并對(duì)差錯(cuò)日志進(jìn)行分析 進(jìn)行診斷和測(cè)試 以追蹤和識(shí)別故障位置 故障性質(zhì) 通過資源的更換或維護(hù)以及其他恢復(fù)措施使其重新開始服務(wù) 13 2 4計(jì)費(fèi)管理 計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用 目的是控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià) 嚴(yán)格的計(jì)費(fèi)管理還可以防止濫用訪問權(quán)限 以免加重網(wǎng)絡(luò)負(fù)擔(dān) 同時(shí)帳務(wù)記錄反映了網(wǎng)絡(luò)負(fù)載的分配情況 也可以為改進(jìn)網(wǎng)絡(luò)效率提供參考 或者為網(wǎng)絡(luò)改進(jìn)計(jì)劃提供依據(jù) 計(jì)費(fèi)管理的功能包括 1 統(tǒng)計(jì)網(wǎng)絡(luò)的利用率等效益數(shù)據(jù) 以使網(wǎng)絡(luò)管理人員確定不同時(shí)期和不同時(shí)間段的費(fèi)率 2 根據(jù)用戶使用的特定業(yè)務(wù)在若干用戶之間公平 合理地分?jǐn)傎M(fèi)用 3 允許采用信用記帳方式收取費(fèi)用 包括資源利用率和帳單審查功能 4 當(dāng)多個(gè)資源同時(shí)用來提供一項(xiàng)服務(wù)時(shí) 能夠把對(duì)各個(gè)資源分別 算出的費(fèi)用累加 13 2 5安全管理 網(wǎng)絡(luò)中主要有以下幾方面的安全問題 網(wǎng)絡(luò)數(shù)據(jù)的私有性 保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取 授權(quán) 防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息 訪問控制 控制對(duì)網(wǎng)絡(luò)資源的訪問 相應(yīng)地 網(wǎng)絡(luò)安全管理應(yīng)包括對(duì)授權(quán)機(jī)制 訪問控制 加密和密鑰的管理 另外還要維護(hù)和檢查安全日志 這包括 創(chuàng)建 刪除 控制安全服務(wù)和機(jī)制 與安全措施有關(guān)信息的分發(fā) 與安全相關(guān)事件的通報(bào) 系統(tǒng)管理域與系統(tǒng)管理功能之間的關(guān)系 11 3網(wǎng)絡(luò)管理信息模型和網(wǎng)絡(luò)管理 11 3 1網(wǎng)絡(luò)管理信息模型描述管理信息 建立管理信息模型通常采用結(jié)構(gòu)化方法 這樣可以降低系統(tǒng)實(shí)現(xiàn)的難度 提高通用性 目前公認(rèn)的最好辦法是利用面向?qū)ο蠹夹g(shù)來建立管理信息模型 網(wǎng)絡(luò)管理信息主要有兩個(gè)作用 一個(gè)作用是支持管理進(jìn)程的描述 另一個(gè)作用則是描述物理或邏輯的網(wǎng)絡(luò)資源 描述物理和邏輯資源的管理信息所涉及的是各種網(wǎng)絡(luò)實(shí)體的情況 必須用這些信息來描述被管對(duì)象 因此就必須建立起它們的模型 模型中規(guī)定管理系統(tǒng)感興趣的資源特性 參數(shù)及其表示方法 另一方面 模型元件和物理實(shí)體之間必須保持一致 模型的狀態(tài)和參數(shù)是被管理系統(tǒng)和物理實(shí)體共同控制的 管理信息模型的關(guān)系 網(wǎng)絡(luò)管理信息是從兩個(gè)方面來描述的 其一是管理信息結(jié)構(gòu) smi structureofmanagementinformation 其二是管理信息庫(kù) mib 13 3 2被管對(duì)象 被管對(duì)象是對(duì)網(wǎng)絡(luò)管理數(shù)據(jù)的抽象 它們代表管理活動(dòng)中涉及到的資源和信息 對(duì)被管對(duì)象的管理操作由管理進(jìn)程發(fā)起 通過管理進(jìn)程與被管對(duì)象之間的通信來完成 管理信息庫(kù)中有許多具有相同管理操作 屬性 特性組 package 通報(bào)和行為特性的被管對(duì)象是屬于同一個(gè)被管對(duì)象類 標(biāo)準(zhǔn)中規(guī)定管理系統(tǒng)中的每個(gè)被管對(duì)象都具有以下5個(gè)特性量 類 class 表明被管對(duì)象擁有的屬于哪個(gè)對(duì)象類 對(duì)象類規(guī)定了所有該類被管對(duì)象實(shí)例應(yīng)具有的特性 一個(gè)被管對(duì)象實(shí)例在創(chuàng)建時(shí)就說明了它屬于哪個(gè)對(duì)象類 同時(shí)該實(shí)例也應(yīng)有了相應(yīng)對(duì)象類的特性 具有相應(yīng)的屬性 操作 行為和通報(bào)特性 下面是定義被管對(duì)象類的一個(gè)樣板 m object classderivedfrom superclass directorydirectory object class behaviordefinitionsdefinition sourcecharacterizedbyattributesmustcontain attribute qualifier maycontain attribute qualifier groupattributes mustcontain group attribute qualifier maycontain group attribute qualifier operations create delete actions actions name notificatins notification name 屬性 attribute 屬性只是一種稱呼 用來指被管對(duì)象的特性值 屬性可以代表多種有數(shù)值的物理資源特性 在屬性和物理存儲(chǔ)量之間可以沒有直接有聯(lián)系 其他屬性也可以沒有相應(yīng)的存儲(chǔ)量 這時(shí)表示該屬性取默認(rèn)值 屬性組代表若干個(gè)屬性 只要給出屬性組的名字 就意味著給出了該組內(nèi)的所有屬性名 每一被管對(duì)象都有多個(gè)屬性 屬性代表被管對(duì)象的各方面特性和工作狀態(tài) 屬性可以是簡(jiǎn)單變量 也可以是一個(gè)復(fù)雜的數(shù)據(jù)結(jié)構(gòu) 這樣的屬性就有多個(gè)值 對(duì)屬性定義也規(guī)定了樣板 如下所示 attributewithattributesyntaxdata type permitted valuesrange size definition matchesformatchingrules single valued multi valued 屬性定義的具體例子是一個(gè)系統(tǒng)標(biāo)識(shí)符的定義 如下所示 systemidattributewithattributesyntaxforum types namingtypematchesforequalitysubstringssingle valued forum attribute141 管理操作 operation 由于對(duì)象具有封閉特性 對(duì)象的操作只能用通信方式傳遞發(fā)起管理操作的請(qǐng)求和返回操作結(jié)果 管理操作可以分為兩類 一類是對(duì)被管對(duì)象本身的操作 其操作結(jié)果改變整個(gè)被管對(duì)象 另一類是對(duì)被管對(duì)象屬性的操作 面向?qū)傩缘牟僮饔?種 它們分別是 getvalue 取屬性值 replacevalue 替換屬性值 addvalue 增加屬性值 removevalue 刪除屬性值 setvalue 設(shè)置默認(rèn)值 對(duì)被管對(duì)象的操作主要有3種 其含義分別是 create 創(chuàng)建 創(chuàng)建一個(gè)新的被管對(duì)象 delete 刪除 刪除一個(gè)被管對(duì)象 action 執(zhí)行動(dòng)作 執(zhí)行指定的動(dòng)作 整個(gè)動(dòng)作在對(duì)象類的定義中已經(jīng)說明 行為 behavior 被管對(duì)象的行為描述了對(duì)象及其屬性 通報(bào)和動(dòng)作的動(dòng)態(tài)特性 被管對(duì)象的行為特性定義中的條件內(nèi)容可以包括 對(duì)被管對(duì)象進(jìn)行操作的結(jié)果 對(duì)屬性或?qū)ο蟛僮鞯亩喾N限制條件 尤其是對(duì)創(chuàng)建和刪除被管對(duì)象操作的限制 屬性之間的各種內(nèi)在關(guān)系 被管對(duì)象之間和各種內(nèi)在關(guān)系 發(fā)出通報(bào)的條件 被管對(duì)象行為的其他方面完整性定義 通報(bào) notification 網(wǎng)絡(luò)資源中發(fā)生的事件大多是管理進(jìn)程需要知道的 因而被管對(duì)象以主動(dòng)發(fā)出通報(bào)的形式將發(fā)生的事件通知外部的管理進(jìn)程 被管對(duì)象首先將通報(bào)發(fā)給本地管理進(jìn)程 是否要通知其他管理進(jìn)程則取決于整個(gè)系統(tǒng)的配置和管理服務(wù)提供的手段 通報(bào)分為一般通報(bào)和特殊通報(bào)兩類 每類通報(bào)有若干種具體通報(bào)定義 被管對(duì)象在什么時(shí)候發(fā)出通報(bào)決定于它的 轉(zhuǎn)發(fā)分揀器 這是一個(gè)組合條件 只要滿足了條件就要發(fā)出通報(bào) 13 3 3internet的管理信息庫(kù) 1 internet的mibinternet的mib managerinformationbase 是圍繞被管對(duì)象組進(jìn)行組織的 采用了結(jié)構(gòu)化的管理信息定義 稱為管理信息結(jié)構(gòu) smi standardofmanagementinformation 規(guī)定了如何識(shí)別被管對(duì)象以及如何組織被管對(duì)象的信息結(jié)構(gòu) internet的mib有兩個(gè)版本 mib i中總共只定義了114種被管對(duì)象 在mib 中定義了185種被管對(duì)象 mib 與mib i有3處較大的區(qū)別 地址翻譯at組的變化 增加了傳送組 增加了snmp組 mib i被管對(duì)象的分組和種數(shù) 被管對(duì)象命名internet組織通過mib提供了一個(gè)注冊(cè)方法 所有網(wǎng)絡(luò)資源都在注冊(cè)時(shí)由mib管理機(jī)構(gòu)定義相應(yīng)的對(duì)象 在層次結(jié)構(gòu)的注冊(cè)目錄中分配被管對(duì)象名字 對(duì)象名字是按照smi中的命名規(guī)范分配的 internet注冊(cè)樹的實(shí)例 internet句法和類型在internet的mib標(biāo)準(zhǔn)中采用asn 1結(jié)構(gòu)來描述管理對(duì)象類 但不是完全遵循asn 1全集 而只采用了下列 個(gè)原語類型 integer 整數(shù) octet 任意字節(jié)串 string asc 碼字符串 objectidentifier 對(duì)象標(biāo)識(shí)符 和null 空 再加上兩個(gè)構(gòu)詞類型 seauence和sequenceof 其中整數(shù)可以是枚舉類 在internet的smi中定義了6個(gè)主要的被管對(duì)象類 它們分別是 networkaddress 網(wǎng)絡(luò)地址 ipaddress ip地址 timeticks 時(shí)間變量 gauge 計(jì)量器 counter 計(jì)數(shù)器 opaque 模糊 上述的對(duì)象類定義只是一種類型定義 還不是真正的被管對(duì)象 真正的被管對(duì)象是按照這些對(duì)象類定義創(chuàng)建的對(duì)象實(shí)例 管理系統(tǒng)實(shí)際操作的也是對(duì)象實(shí)例 除了對(duì)象類有名字 標(biāo)識(shí)符 外 對(duì)象實(shí)例也必須有其惟一的標(biāo)識(shí)符 被管對(duì)象的定義internet中的被管對(duì)象都是用一些關(guān)鍵字 保留字 來說明的 為了描述被管對(duì)象的說明格式 snmp中使用了5個(gè)記號(hào) 它們分別是 object 對(duì)象描述符 syntax 句法 definition 定義 access 訪問 status 狀況 internetmib中的所有被管對(duì)象都要求按照asn 1編碼標(biāo)準(zhǔn)和一個(gè)樣板 宏 進(jìn)行定義 而這個(gè)宏是internet管理機(jī)構(gòu)在smi文本中定義的 如下所示 object typemacro begintypenotation syntax type typeobjectsyntax access access status status valuenotation value v5alueobjectname access read only read write write only not accessible status mandatory optional obsolete end 13 4簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議snmp 13 4 1概述 snmp的體系結(jié)構(gòu) snmp的3個(gè)基本元素是 管理者 管理進(jìn)程 代理 mib snmp是基于tcp ip的網(wǎng)絡(luò)管理協(xié)議 它是采用查詢管理策略在snmpv1中定義5種協(xié)議數(shù)據(jù)單元 pdu get request管理者從代理中檢索信息 get next request與get request配合實(shí)現(xiàn)對(duì)表對(duì)象的操作 get response代理對(duì)管理者get request的響應(yīng) set request對(duì)設(shè)備中的參數(shù)據(jù)進(jìn)行遠(yuǎn)程設(shè)置 trap代理發(fā)給管理者的非請(qǐng)求信息 用于某些特定事件 每一個(gè)代理包含一個(gè)mib 是一個(gè)樹形結(jié)構(gòu)的數(shù)據(jù)庫(kù) 是被管對(duì)象的集合 對(duì)象由若干變量定義 變量主要由變量名 變量的數(shù)據(jù)類型和變量的屬性組成 在snmpv1中定義了114種對(duì)象 snmpv2中對(duì)安全性進(jìn)行了加強(qiáng) 它增加了2種pdu getbulkrequest用于表操作 informrequest用于管理者之間交換管理信息 并將對(duì)象種數(shù)擴(kuò)大185種 snmpv3 rfc2570 2575 1999年5月 是建立在snmpv1和snmpv2的基礎(chǔ)上的最新發(fā)展成果 它實(shí)現(xiàn)了snmpv2未能實(shí)現(xiàn)的幾個(gè)目標(biāo) 其中包括稱為 商業(yè)級(jí) 的安全性 認(rèn)證 源標(biāo)識(shí)符 報(bào)文的完整性等 隱私 授權(quán)和存取控制 遠(yuǎn)程配置與管理 13 4 2snmpv1 snmp是一個(gè)異步的請(qǐng)求 響應(yīng)協(xié)議 snmp只提供兩種管理功能 管理進(jìn)程從管理代理獲取管理對(duì)象 變量 的信息 管理進(jìn)程對(duì)管理代理的管理對(duì)象 變量 進(jìn)行設(shè)置和修改 第一條功能則有管理進(jìn)程查詢和管理代理主動(dòng)報(bào)告兩種方式 分別稱為查詢驅(qū)動(dòng)和事件驅(qū)動(dòng)方式 第二條功能當(dāng)然需要管理進(jìn)程首先發(fā)送操作命令進(jìn)行設(shè)置 snmp中引入了稱為 自陷 trap 的事件報(bào)告機(jī)制 當(dāng)管理代理發(fā)現(xiàn)本地發(fā)生變化 事件 時(shí)就主動(dòng)向管理進(jìn)程報(bào)告 并且不需要響應(yīng) 這也是請(qǐng)求 響應(yīng)響應(yīng)的另外 snmp中設(shè)計(jì)了四種基本協(xié)議的交互過程 管理進(jìn)程從管理代理處讀取管理管理信息 管理進(jìn)程在管理代理的可見范圍內(nèi)遍歷一部分管理對(duì)象實(shí)例 管理進(jìn)程在管理代理中存儲(chǔ)信息 也即對(duì)管理體制代理的mib實(shí)例進(jìn)行寫操作 包括設(shè)置工作參數(shù) 管理進(jìn)行發(fā)送一個(gè)set request給管理代理 由管理代理完成set操作 然后用set response返回操作結(jié)果 管理代理主動(dòng)向管理進(jìn)程報(bào)告事件 snmp協(xié)議是一個(gè)對(duì)稱協(xié)議 沒有主從關(guān)系 snmp之上的管理進(jìn)程和管理代理都可以得到snmp完全相同的服務(wù) 管理進(jìn)程是管理活動(dòng)的主動(dòng)參與者 管理進(jìn)程軟件在構(gòu)造snmp報(bào)文時(shí) 要填寫適當(dāng)?shù)膱?bào)文首部 然后將snmp報(bào)文交付給udp層進(jìn)行傳輸 初始化完成后 管理代理就在udp協(xié)議的161端口等待接收snmp報(bào)文 當(dāng)管理代理成功地接收到一個(gè)報(bào)文后 它調(diào)用語法分析程序?qū)ns 1格式解碼成更容易利用的內(nèi)部格式 在管理代理對(duì)ans 1格式的報(bào)文進(jìn)行解碼的同時(shí) 它可以同時(shí)開始構(gòu)造用做響應(yīng)的getresponse pdu 管理代理填寫好getresponse pdu后 用基本編碼規(guī)則ber將報(bào)文編碼為ans 1格式 交付給udp協(xié)議將其傳送給發(fā)出請(qǐng)求的管理進(jìn)程 13 4 3snmpv2 第二版的snmp協(xié)議是建立在第一版基礎(chǔ)上的 snmpv2中除了對(duì)報(bào)文的格式進(jìn)行了改進(jìn)以外 還增加了一種新的管理信息報(bào)文 該報(bào)文在各管理進(jìn)程之間傳送信息 實(shí)際上由rfc1902 1908定義的snmpv2并沒有新的管理控制框架 因此該版snmp也常被稱為snmpv2c 基于團(tuán)體的第二版snmp 在改進(jìn)安全性方面 后來又出現(xiàn)了snmpv2usec 是基于用戶的安全模型 但與snmpv2c一樣都未能達(dá)到令人滿意的結(jié)果 盡管snmpv2c的安全性仍然沒有本質(zhì)的改進(jìn) 但還是得到了普遍接受和應(yīng)用 因此snmpv2對(duì)smi mib和協(xié)議也都進(jìn)行了比較大的改進(jìn) 第二版中對(duì)表格處理進(jìn)行了標(biāo)準(zhǔn)化 表格行的創(chuàng)建 刪除和修改可以按標(biāo)準(zhǔn)化的對(duì)象進(jìn)行處理 這些標(biāo)準(zhǔn)對(duì)象描述了每行的狀態(tài) 是用文本結(jié)構(gòu)約定中的宏來定義的 snmpv2對(duì)管理信息報(bào)文格式的主要改進(jìn)是 所有的pdu格式都是一致的 但個(gè)別pdu中的字段含義有變化 統(tǒng)一的pdu格式簡(jiǎn)化了發(fā)送和接收snmp報(bào)文的處理 snmpv2定義了7個(gè)snmp操作 因而也就相應(yīng)地有7個(gè)不同的pdu標(biāo)簽代碼 13 4 4snmpv3 1 sn