第1章網(wǎng)絡(luò)管理概述_

1、計算機網(wǎng)絡(luò)管理高等學校計算機網(wǎng)絡(luò)工程規(guī)劃教材高等學校計算機網(wǎng)絡(luò)工程規(guī)劃教材主講教師：鄒春濤電子郵件：聯(lián)系電話：64356136主講教師信息作業(yè)及其要求l 作業(yè)為電子文檔，以附件的形式發(fā)送到作業(yè)郵箱；l 郵件主題主題格式： 學號 姓名 專業(yè)班級 第第作業(yè)，比如： 20093511146 張?zhí)斐?網(wǎng)絡(luò)工程技術(shù)1班 第3章第2次 作業(yè) 作業(yè)郵箱： 教材目錄 第一章 網(wǎng)絡(luò)管理概論 第二章 抽象語法表示ASN.1 第三章 管理信息庫第四章 簡單網(wǎng)絡(luò)管理協(xié)議 第五章 遠程網(wǎng)絡(luò)監(jiān)視 第六章 SNMPc網(wǎng)絡(luò)管理軟件的應(yīng)用 第七章 Windows網(wǎng)絡(luò)管理 第八章 網(wǎng)絡(luò)管理工具 第九章

2、網(wǎng)絡(luò)管理技術(shù)的發(fā)展 第一章 網(wǎng)絡(luò)管理概論1.1 1.1 網(wǎng)絡(luò)管理的基本概念網(wǎng)絡(luò)管理的基本概念1.2 1.2 網(wǎng)絡(luò)管理系統(tǒng)體系結(jié)構(gòu)網(wǎng)絡(luò)管理系統(tǒng)體系結(jié)構(gòu) 1.3 1.3 網(wǎng)絡(luò)監(jiān)控系統(tǒng)網(wǎng)絡(luò)監(jiān)控系統(tǒng) 1.4 1.4 網(wǎng)絡(luò)監(jiān)視網(wǎng)絡(luò)監(jiān)視 1.5 1.5 網(wǎng)絡(luò)控制網(wǎng)絡(luò)控制 1.6 1.6 網(wǎng)絡(luò)管理標準網(wǎng)絡(luò)管理標準 1.7 1.7 作業(yè)作業(yè) 1.1 網(wǎng)絡(luò)管理的基本概念 l 網(wǎng)絡(luò)管理的意義網(wǎng)絡(luò)管理的意義 隨著網(wǎng)絡(luò)的迅速普及和網(wǎng)絡(luò)應(yīng)用水平的不斷提高，人們對網(wǎng)絡(luò)的依賴依賴越來越大，網(wǎng)絡(luò)越來越重要； 當前計算機網(wǎng)絡(luò)發(fā)展特點：規(guī)模不斷擴大，復(fù)雜性不斷增加，網(wǎng)絡(luò)異構(gòu)性越來越高,網(wǎng)絡(luò)技術(shù)的不斷更新； 商業(yè)活動也日益依賴于互

3、聯(lián)網(wǎng)，人們要求網(wǎng)絡(luò)工作得更安全，對網(wǎng)上傳輸?shù)男畔⒁Ｃ?，對網(wǎng)絡(luò)資源的訪問要有嚴格的控制，以及防止計算機病毒和非法入侵者的破壞等。 對網(wǎng)絡(luò)實有效的管理，就可以確保網(wǎng)絡(luò)高效、穩(wěn)定、快速、可靠的運行，最大最大程度發(fā)揮網(wǎng)絡(luò)的作用，最大最大程度提高網(wǎng)絡(luò)的可信度，最大最大程度提高網(wǎng)絡(luò)用戶滿意度。1.1 網(wǎng)絡(luò)管理的基本概念 l 網(wǎng)絡(luò)管理的具體目標 網(wǎng)絡(luò)管理的目標是使網(wǎng)絡(luò)的性能達到最優(yōu)化： 1、減少停機時間； 2、改進響應(yīng)時間； 3、提高設(shè)備的利用率； 4、減少運行費用； 5、減少網(wǎng)絡(luò)瓶頸； 6、提高運行效率。 最大限度地滿足網(wǎng)絡(luò)用戶對計算機網(wǎng)絡(luò)的有效性、可靠性、開放性、綜合性、安全性和經(jīng)濟性的要求。1.1

4、網(wǎng)絡(luò)管理的基本概念 l 如何實現(xiàn)管理這些管理目標？ F 研究網(wǎng)絡(luò)管理的理論與技術(shù)研究網(wǎng)絡(luò)管理的理論與技術(shù)F 開發(fā)適用的、高效的網(wǎng)絡(luò)管理工具開發(fā)適用的、高效的網(wǎng)絡(luò)管理工具l主要學習下面兩方面的內(nèi)容：F以以SNMPSNMP協(xié)議為基礎(chǔ)的網(wǎng)絡(luò)管理系統(tǒng)，協(xié)議為基礎(chǔ)的網(wǎng)絡(luò)管理系統(tǒng)，包括： 網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)、管理信息庫、協(xié)議操作、遠程網(wǎng)絡(luò)監(jiān)視，以及網(wǎng)絡(luò)管理系統(tǒng)的安全機制。F常用的網(wǎng)絡(luò)管理實用技術(shù)，常用的網(wǎng)絡(luò)管理實用技術(shù)，包括： SNMP管理軟件、操作系統(tǒng)中提供的網(wǎng)絡(luò)管理工具，以及網(wǎng)絡(luò)管理軟件的應(yīng)用方法等。 1.1 網(wǎng)絡(luò)管理的基本概念 l 網(wǎng)絡(luò)管理的對象網(wǎng)絡(luò)管理的對象 主要分為兩類：硬件資源和軟件資源。

5、F 硬件資源硬件資源：物理介質(zhì)、計算機設(shè)備和網(wǎng)絡(luò)互連設(shè)備。 如網(wǎng)卡、雙絞線、同軸電纜、光纖等；計算機、打印機、存儲設(shè)備和其他計算機外圍設(shè)備；中繼器、網(wǎng)橋、交換機、路由器和網(wǎng)關(guān)等。F 軟件資源：軟件資源：操作系統(tǒng)、應(yīng)用軟件和通信軟件。 通信軟件指實現(xiàn)通信協(xié)議的軟件，如TCP/IP等，這些通信軟件保證了網(wǎng)絡(luò)的正常運行與其功能的實施。 另外，軟件資源還包括路由器軟件、交換機軟件等。 1.1 網(wǎng)絡(luò)管理的基本概念 l 網(wǎng)絡(luò)管理的定義網(wǎng)絡(luò)管理的定義F 網(wǎng)絡(luò)管理是指對網(wǎng)絡(luò)的運行狀態(tài)進行監(jiān)測和控制,使網(wǎng)絡(luò)能提供有效、可靠、安全、經(jīng)濟的服務(wù)。F 網(wǎng)絡(luò)管理完成兩個任務(wù)： 一是：對網(wǎng)絡(luò)的運行狀態(tài)進行監(jiān)視對網(wǎng)絡(luò)的運行

6、狀態(tài)進行監(jiān)視； 二是：對網(wǎng)絡(luò)的運行進行控制。對網(wǎng)絡(luò)的運行進行控制。F 通過監(jiān)測監(jiān)測了解網(wǎng)絡(luò)當前狀態(tài)是否正常；通過控制控制對網(wǎng)絡(luò)資源進行合理分配，優(yōu)化網(wǎng)絡(luò)性能，保證網(wǎng)絡(luò)服務(wù)質(zhì)量。因此， 網(wǎng)絡(luò)管理就是對網(wǎng)絡(luò)的監(jiān)測和控制。網(wǎng)絡(luò)管理就是對網(wǎng)絡(luò)的監(jiān)測和控制。1.2 網(wǎng)絡(luò)管理系統(tǒng)體系結(jié)構(gòu) 1.2.1網(wǎng)絡(luò)管理系統(tǒng)的層次結(jié)構(gòu) l 網(wǎng)絡(luò)管理系統(tǒng)分為： 管理站；管理站； 代理代理兩部分。其組 成如圖1.1所示。l 網(wǎng)絡(luò)管理站由四層結(jié)構(gòu)組成最下層是操作系統(tǒng)和硬件操作系統(tǒng)和硬件。操作系統(tǒng)之上是支持網(wǎng)絡(luò)管理的網(wǎng)絡(luò)管理的協(xié)議協(xié)議棧棧，例如OSI， TCP/IP等通信協(xié)議，以及專用于網(wǎng)絡(luò)管理的SNMP、 CMIP協(xié)議等。協(xié)

7、議棧上面是網(wǎng)絡(luò)管理框架網(wǎng)絡(luò)管理框架（Network Management Framework）。最上層是網(wǎng)絡(luò)管理應(yīng)用網(wǎng)絡(luò)管理應(yīng)用圖1.1 網(wǎng)絡(luò)管理系統(tǒng)的層次結(jié)構(gòu) l 網(wǎng)絡(luò)管理框架網(wǎng)絡(luò)管理框架一般都提供下面的功能： 為存儲管理信息提供數(shù)據(jù)庫支持提供數(shù)據(jù)庫支持，例如關(guān)系數(shù)據(jù)庫或面 向?qū)ο蟮臄?shù)據(jù)庫； 提供用戶接口和用戶視圖(View)功能，例如管理信息瀏 覽器； 提供基本的管理操作，例如獲取管理信息、配置設(shè)備參 數(shù)等操作過程。l 網(wǎng)絡(luò)管理應(yīng)用網(wǎng)絡(luò)管理應(yīng)用是用戶根據(jù)需要開發(fā)的管理軟件管理軟件，這種軟件運 行在具體的網(wǎng)絡(luò)上，實現(xiàn)特定的管理目標，例如故障診斷和 性能優(yōu)化，或者業(yè)務(wù)管理和安全控制等。比如，比

8、如，SNMPCSNMPC、 SolarWinds SolarWinds 網(wǎng)絡(luò)管理應(yīng)用的開發(fā)是目前最活躍的領(lǐng)域。網(wǎng)絡(luò)管理應(yīng)用的開發(fā)是目前最活躍的領(lǐng)域。1.2 網(wǎng)絡(luò)管理系統(tǒng)體系結(jié)構(gòu) l網(wǎng)絡(luò)管理的基本模型網(wǎng)絡(luò)管理的基本模型 “網(wǎng)絡(luò)網(wǎng)絡(luò)管理者管理者- -管理代理管理代理” ” 模型模型 網(wǎng)絡(luò)管理者網(wǎng)絡(luò)管理者與與管理代理管理代理是一對一對相互通信的系統(tǒng)管理實體，是進行網(wǎng)絡(luò)管理的核心。 網(wǎng)絡(luò)管理者網(wǎng)絡(luò)管理者：將管理要求管理要求通過管理操作指令傳送傳送給位于被管理系統(tǒng)中的管理代理，對網(wǎng)絡(luò)內(nèi)的各種設(shè)備、設(shè)施和資源實施監(jiān)視和控制監(jiān)視和控制；管理代理管理代理：負責管理指令的執(zhí)行，并且以通知的形式通知的形式向網(wǎng)絡(luò)管

9、理者報告被管對象發(fā)生的一些重要事件。1.2 網(wǎng)絡(luò)管理系統(tǒng)體系結(jié)構(gòu) 管理者-管理代理的模型返回 網(wǎng)絡(luò)管理者網(wǎng)絡(luò)管理者(network manager)(network manager)（網(wǎng)絡(luò)管理站）l 網(wǎng)絡(luò)管理者實際上就是運行于管理工作站上的管理程序（管理進程） 。l 整個網(wǎng)絡(luò)管理系統(tǒng)的核心，完成網(wǎng)絡(luò)管理的各項功能，是實施網(wǎng)絡(luò)管理的處理實體：排除網(wǎng)絡(luò)故障，配置網(wǎng)絡(luò)等 管理代理管理代理(managed agent)(managed agent)（代理進程）（代理進程）l 管理代理也是一個軟件模塊，它駐留在被管設(shè)備上。l 負責跟網(wǎng)絡(luò)管理者通信，執(zhí)行網(wǎng)絡(luò)管理者的指令，或在 特定事件發(fā)生時通知網(wǎng)絡(luò)管理者

10、。l 監(jiān)視所管網(wǎng)絡(luò)設(shè)備的工作狀況，收集有關(guān)網(wǎng)絡(luò)信息。l 管理代理一般有多個，分別位于網(wǎng)絡(luò)中的各個設(shè)備上。網(wǎng)絡(luò)管理系統(tǒng)是由以下4個要素組成： 管理信息庫管理信息庫MIB(Management Information Base)MIB(Management Information Base)l 被管對象相關(guān)信息的集合被稱作管理信息庫（MIB）。 存儲在被管設(shè)備被管設(shè)備的存儲器中。l 一個動態(tài)刷新的數(shù)據(jù)庫，包括設(shè)備的配置信息、數(shù) 據(jù)通信的統(tǒng)計信息、安全性信息和設(shè)備特有信息。 網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議SNMP(Network Management Protocol)SNMP(Network Manag

11、ement Protocol)l 用于網(wǎng)絡(luò)管理者和管理代理之間數(shù)據(jù)的傳遞，操作。l 描述了管理者和被管代理之間數(shù)據(jù)通信機制。l 定義管理者和被管代理之間的數(shù)據(jù)報文種類和格式； 定義管理信息庫的數(shù)據(jù)庫格式。網(wǎng)絡(luò)管理系統(tǒng)是由以下4個要素組成： 網(wǎng)絡(luò)管理系統(tǒng)的配置如圖網(wǎng)絡(luò)管理系統(tǒng)的配置如圖1.21.2所示。所示。l 網(wǎng)絡(luò)結(jié)點網(wǎng)絡(luò)結(jié)點與與網(wǎng)絡(luò)管理實體網(wǎng)絡(luò)管理實體（Network Management Entity，NME）：網(wǎng)絡(luò)結(jié)點網(wǎng)絡(luò)結(jié)點中中包含的與管理有關(guān)的一組軟件。l 網(wǎng)絡(luò)管理實體完成下面的任務(wù)：收集有關(guān)網(wǎng)絡(luò)通信的統(tǒng)計信息；對本地設(shè)備進行測試，記錄設(shè)備狀態(tài)信息； 在本地存儲有關(guān)信息； 響應(yīng)網(wǎng)絡(luò)控

12、制中心的請求，發(fā)送管理信息；根據(jù)網(wǎng)絡(luò)控制中心的指令，設(shè)置或改變設(shè)備參數(shù)。1.2.2 網(wǎng)絡(luò)管理系統(tǒng)的配置l 網(wǎng)絡(luò)中網(wǎng)絡(luò)中至少有一個結(jié)點至少有一個結(jié)點擔當管理站的角色（擔當管理站的角色（ManagerManager）F管理站中還有一組軟件，叫做網(wǎng)絡(luò)管理應(yīng)用（Network Management Application，NMA）。NMA提供用戶接口，根據(jù)用戶的命令顯示管理信息，通過網(wǎng)絡(luò)向NME發(fā)出請求或指令，獲取有關(guān)設(shè)備的管理信息，或者改變設(shè)備配置；l 網(wǎng)絡(luò)中任何被管理的設(shè)備都必需實現(xiàn)代理模塊網(wǎng)絡(luò)中任何被管理的設(shè)備都必需實現(xiàn)代理模塊F網(wǎng)絡(luò)中的其他結(jié)點在NME的控制下與管理站通信，交換管理信息。這些結(jié)

13、點中的NME模塊叫做代理模塊，網(wǎng)絡(luò)中任何被管理的設(shè)備（主機、網(wǎng)橋、路由器或集線器等）都必需實現(xiàn)代理模塊。F所有代理在管理站監(jiān)視和控制下協(xié)同工作，實現(xiàn)網(wǎng)絡(luò)管理。 圖1.2 網(wǎng)絡(luò)管理系統(tǒng)配置 網(wǎng)絡(luò)管理基本模式l集中式網(wǎng)絡(luò)管理模式集中式網(wǎng)絡(luò)管理模式F 集中式網(wǎng)絡(luò)管理模式是目前使用最為普遍的一種模式F 特點：特點：*由一個網(wǎng)絡(luò)管理者對整個網(wǎng)絡(luò)的進行管理；*網(wǎng)絡(luò)管理者處理所有來自管理代理的通信信息；*為全網(wǎng)提供集中的決策支持；*控制和維護管理工作站上的信息存儲。l 分布式分布式網(wǎng)絡(luò)管理模式網(wǎng)絡(luò)管理模式l 集中式網(wǎng)絡(luò)管理模式l 分布式網(wǎng)絡(luò)管理模式分布式網(wǎng)絡(luò)管理模式F對于大型網(wǎng)絡(luò)，集中式的管理往往顯得力不從

14、心，正在讓位于分布式的網(wǎng)絡(luò)管理，見圖1.3 。F特點：*網(wǎng)絡(luò)管理系統(tǒng)中有多個用于管理的管理站*網(wǎng)絡(luò)的管理功能分布到每一個被管設(shè)備，即將局部的管理任務(wù)、存儲能力和部分數(shù)據(jù)庫轉(zhuǎn)移到被管設(shè)備中，使被管設(shè)備成為具有一定自我管理能力的自治單元。*可以實現(xiàn)按區(qū)域、按部門、按功能進行管理網(wǎng) 絡(luò)網(wǎng) 絡(luò)管理站管理站MIB管理應(yīng)用MIB管理應(yīng)用網(wǎng)絡(luò)管理客戶機（PC或工作站）運行代理進程的網(wǎng)絡(luò)資源（服務(wù)器、路由器、工作站）網(wǎng)絡(luò)管理服務(wù)器網(wǎng)絡(luò)管理服務(wù)器返回圖1.3 分布式網(wǎng)絡(luò)管理系統(tǒng)F標準設(shè)備標準設(shè)備圖1.2和圖1.3的網(wǎng)絡(luò)管理系統(tǒng)中： 每個被管設(shè)備每個被管設(shè)備都要運行代理程序； 所有所有管理站和代理都管理站和代理都

15、必須必須支持相同支持相同的管理協(xié)議。的管理協(xié)議。F非標準設(shè)備非標準設(shè)備 一些老設(shè)備；一些小的系統(tǒng)；一些老設(shè)備；一些小的系統(tǒng)； 一些新設(shè)備一些新設(shè)備F委托代理委托代理(Proxy)(Proxy)設(shè)備設(shè)備 F委托代理和非標準設(shè)備之間運行制造商專用的協(xié)議，而委 托代理和管理站之間運行標準的網(wǎng)絡(luò)管理協(xié)議。F委托代理起到了協(xié)議轉(zhuǎn)換的作用。 （見圖 1.4）l委托代理圖1.4 委托代理 被管理設(shè)備標準網(wǎng)絡(luò)管理協(xié)議被管理設(shè)備委托代理專用管理協(xié)議管理站1.2.3網(wǎng)絡(luò)管理軟件的結(jié)構(gòu) l網(wǎng)絡(luò)管理軟件包括網(wǎng)絡(luò)管理軟件包括：F用戶接口軟件；F管理專用軟件；F管理支持軟件。見圖1.5l用戶接口軟件用戶接口軟件F 用戶通

16、過網(wǎng)絡(luò)管理接口軟件與管理專用軟件交互作用， 監(jiān)視和控制網(wǎng)絡(luò)資源。F 接口軟件不但存在于管理站上，而且也可能出現(xiàn)在代理 系統(tǒng)中，以便對網(wǎng)絡(luò)資源實施本地配置、測試和排錯。圖1.5 網(wǎng)絡(luò)管理軟件的結(jié)構(gòu) l管理支持軟件：MIB訪問模塊和通信協(xié)議棧。F MIB MIB訪問模塊：訪問模塊： MIB MIB（Management Information BaseManagement Information Base）（管理信息庫）：被管設(shè)備配置和設(shè)備行為的信息，以及控制設(shè)備操作的參數(shù)存儲在管理信息庫。 MIBMIB訪問模塊訪問模塊: :* 使得管理站或代理可以訪問MIB;* 把本地的MIB格式轉(zhuǎn)換為適于網(wǎng)絡(luò)

17、管理系統(tǒng)傳送的標 準格式。F通信協(xié)議棧通信協(xié)議棧：支持結(jié)點之間的通信。 通信協(xié)議棧用于支持結(jié)點之間的通信。l 網(wǎng)絡(luò)管理功能可分兩大部分：F網(wǎng)絡(luò)監(jiān)視F網(wǎng)絡(luò)控制統(tǒng)稱網(wǎng)絡(luò)監(jiān)控網(wǎng)絡(luò)監(jiān)控（Network Monitoring）。l 網(wǎng)絡(luò)監(jiān)視網(wǎng)絡(luò)監(jiān)視是指收集系統(tǒng)和子網(wǎng)的狀態(tài)信息，分析被管理設(shè)備的行為，以便發(fā)現(xiàn)網(wǎng)絡(luò)運行中存在的問題以便發(fā)現(xiàn)網(wǎng)絡(luò)運行中存在的問題。l 網(wǎng)絡(luò)控制網(wǎng)絡(luò)控制是指修改設(shè)備參數(shù)或重新配置網(wǎng)絡(luò)資源，以便改善網(wǎng)絡(luò)的以便改善網(wǎng)絡(luò)的運行狀態(tài)運行狀態(tài)。1.3 網(wǎng)絡(luò)監(jiān)控系統(tǒng) l 網(wǎng)絡(luò)監(jiān)控要解決的網(wǎng)絡(luò)監(jiān)控要解決的問題包括問題包括：F 管理信息的定義：管理信息的定義： 監(jiān)視哪些管理信息，從哪些被管理資源獲

18、得管理信息F 監(jiān)控機制的設(shè)計：監(jiān)控機制的設(shè)計： 如何從被管理資源得到需要的信息F 管理信息的應(yīng)用：管理信息的應(yīng)用： 根據(jù)收集到的管理信息實現(xiàn)什么管理功能。1.3 網(wǎng)絡(luò)監(jiān)控系統(tǒng)1.3 網(wǎng)絡(luò)監(jiān)控系統(tǒng)1.3.1 管理信息庫 對網(wǎng)絡(luò)監(jiān)控有用的管理信息可以分為3類：1、 靜態(tài)信息：包括系統(tǒng)和網(wǎng)絡(luò)的配置信息，例如路由器的端口數(shù)和端口編號，工作站的標識和CPU類型等，這些信息不經(jīng)常變化。是由網(wǎng)絡(luò)元素直接產(chǎn)生的，通常由駐留在網(wǎng)絡(luò)設(shè)備（例如路由器）中的代理進程收集和存儲2、動態(tài)信息：與網(wǎng)絡(luò)中出現(xiàn)的事件和設(shè)備的工作狀態(tài)有關(guān)，例如網(wǎng)絡(luò)中傳送的分組數(shù)，網(wǎng)絡(luò)連接的狀態(tài)等。通常是由產(chǎn)生有關(guān)事件的網(wǎng)絡(luò)設(shè)備收集和存儲的。3、

19、統(tǒng)計信息：即從動態(tài)信息推導出的信息，例如平均每分鐘發(fā)送的分組數(shù)，傳輸失敗的概率等。這些信息組成管理信息庫MIB：靜態(tài)數(shù)據(jù)庫，動態(tài)數(shù)據(jù)庫，統(tǒng)計數(shù)據(jù)庫。如圖1.6所示1、靜態(tài)數(shù)據(jù)庫：由配置數(shù)據(jù)庫與傳感器數(shù)據(jù)庫組成 配置數(shù)據(jù)庫中存儲著計算機和網(wǎng)絡(luò)的基本配置信息； 傳感器數(shù)據(jù)庫中存儲著傳感器的設(shè)置信息；傳感器是一組軟件，用于實時地讀取被管理設(shè)備的有關(guān)參數(shù)。 2、動態(tài)數(shù)據(jù)庫存儲著由傳感器收集的各種網(wǎng)絡(luò)元素和網(wǎng)絡(luò)事件的實時數(shù)據(jù)。3、統(tǒng)計數(shù)據(jù)庫中的管理信息是由動態(tài)信息計算出來的。圖1.6表示出這3種數(shù)據(jù)庫的關(guān)系。圖1.6 管理信息庫的組成 返回1.3.2 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的配置 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的配置如圖1.7（a

20、）、1.7（b） 所示l 監(jiān)控應(yīng)用程序：是監(jiān)控系統(tǒng)的用戶接口，它完成性能監(jiān) 視、故障監(jiān)視和計費監(jiān)視等功能；l 管理功能：負責與其他網(wǎng)絡(luò)中的代理進程通信，把需 要的監(jiān)控信息提供給監(jiān)控應(yīng)用程序；l 管理對象：所有管理對象遵從網(wǎng)絡(luò)管理標準的規(guī)定。管 理對象中的信息通過代理進程提供給管理站。1.3.2 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的配置 圖1.7（b）中增加了監(jiān)控代理功能l 這個模塊的作用是專門對管理信息進行計算和統(tǒng)計分析，并且把計算的結(jié)果提供給管理站。在管理站看來，監(jiān)控代理的作用和一般代理是一樣的，然而實際上它管理著多個代理系統(tǒng)。 監(jiān)控應(yīng)用程序管理功能監(jiān)控應(yīng)用程序管理功能代理功能管理對象監(jiān)控代理功能代理功能管理對象

21、代理功能管理對象(a)(b)圖1.7 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的配置 1.3.3 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的通信機制對監(jiān)視器有用的管理信息是由代理收集和存儲的，那么代理怎樣把這些信息傳送給監(jiān)視器呢？有兩種技術(shù)可用于代理和監(jiān)視器之間的通信。 1、輪詢（Polling） 2、事件報告（Event Reporting）l 輪詢（Polling）：輪詢是一種“請求響應(yīng)”式的交互作用，即由監(jiān)視器向代理發(fā)出請求，詢問它所需要的信息，代理響應(yīng)監(jiān)視器的請求，從管理信息庫（MIB）中取得請求的信息，返回給監(jiān)視器。l 事件報告（Event Reporting）：事件報告是由代理主動發(fā)送給管理站的消息。代理可以根據(jù)管理站的要求（周期，內(nèi)容

22、等）定時地發(fā)送狀態(tài)報告，也可能在檢測到某些特定事件（例如狀態(tài)改變）或非正常事件（例如出現(xiàn)故障）時生成事件報告，發(fā)送給管理站。事件報告對于及時發(fā)現(xiàn)網(wǎng)絡(luò)中的問題是非常有用的，非常有效。 在已有的各種網(wǎng)絡(luò)監(jiān)控系統(tǒng)中都設(shè)置了輪詢和事件報告兩種通信機制，但強調(diào)的重點有所不同。傳統(tǒng)的通信管理網(wǎng)絡(luò)主要依賴事件報告，而SNMP強調(diào)輪詢方法，OSI系統(tǒng)管理則采取了這兩種極端方法的中間道路。用戶根據(jù)具體情況決定使用何種通信方式。 影響通信方式選擇的主要因素如下： l 傳送監(jiān)控信息引起的通信量l 對危急情況的處理能力l 對網(wǎng)絡(luò)管理站的通信時延l 被管理設(shè)備的處理工作量l 消息傳輸?shù)目煽啃詌 網(wǎng)絡(luò)管理應(yīng)用的特殊性l

23、在發(fā)送消息之前通信設(shè)備失效的可能性 1.4 網(wǎng)絡(luò)監(jiān)視網(wǎng)絡(luò)監(jiān)視 在ISO 74984文檔中定義了網(wǎng)絡(luò)管理的5大功能: l故障管理 （Fault Management）l配置管理（Configuration Management）l計費管理（Accounting Management）l性能管理（Performance Management）l安全管理（Security Management）簡寫為：F-CAPS按監(jiān)視與控制兩方面來劃分：l 網(wǎng)絡(luò)監(jiān)視功能：性能管理、故障管理、計費管理l 網(wǎng)絡(luò)控制功能：配置管理， 安全管理1.4 1.4 網(wǎng)絡(luò)監(jiān)視網(wǎng)絡(luò)監(jiān)視 （管理）（管理）1.4.1 性能監(jiān)視(管理）

24、 l網(wǎng)絡(luò)監(jiān)視中最重要的是性能監(jiān)視，性能監(jiān)視就是要能夠準確地、持續(xù)地測量出網(wǎng)絡(luò)運行中的硬件、軟件、媒體的性能指標，以檢驗網(wǎng)絡(luò)服務(wù)是否達到了預(yù)定的水平，找出已經(jīng)發(fā)生或潛在的網(wǎng)絡(luò)瓶頸，為網(wǎng)絡(luò)管理決策提供依據(jù)。l網(wǎng)絡(luò)性能主要測評指標：面向服務(wù)的性能指標：可用性、響應(yīng)時間、正確性面向效率的性能指標：吞吐率、利用率l 網(wǎng)絡(luò)管理是以確保網(wǎng)絡(luò)正常運行，向用戶提供滿意的服務(wù)為目標。因而面向服務(wù)的性能指標應(yīng)具有較高的優(yōu)先級。1 1、可用性、可用性l 可用性是指網(wǎng)絡(luò)系統(tǒng)、網(wǎng)絡(luò)元素或網(wǎng)絡(luò)應(yīng)用對用戶可利用的時間的百分比。l 用平均無故障時間MTBF（Mean Time Between Failure）來度量網(wǎng)絡(luò)元素的故

25、障率，則可用性A可表示為MTBF的函數(shù)：MTTRMTBFMTBFA其中MTTR（Mean Time To Repair）為發(fā)生失效后的平均維修時間。 有些系統(tǒng)對可用性非常靈敏：航空訂票、股票交易等l可用性是網(wǎng)絡(luò)元素可靠性的表現(xiàn) 網(wǎng)絡(luò)系統(tǒng)是由許多網(wǎng)絡(luò)元素組成的，要提高網(wǎng)絡(luò)的可用性，就要提高網(wǎng)絡(luò)元素的可靠性。 網(wǎng)絡(luò)系統(tǒng)的可靠性不但與各個元素的可靠性有關(guān)，而且還與網(wǎng)絡(luò)元素的組織形式有關(guān)。根據(jù)可靠性理論，元素并聯(lián)組成的系統(tǒng)的可靠性高于串聯(lián)。網(wǎng)絡(luò)系統(tǒng)的可靠性提高了，則其的可用性就增強了。如圖1.8所示。由圖1.8（a）可以看出，若兩個元素串聯(lián)，則可用性減少。由圖1.8（b）可以看出，若兩個元素并聯(lián)，則可

26、用性增加。圖1.8 串行和并行連接的可用性 AAA2AA(a)(b)2AA22 2、響應(yīng)時間、響應(yīng)時間l響應(yīng)時間是指從用戶輸入請求到系統(tǒng)在終端上返回計算結(jié)果的時間間隔。研究表明，系統(tǒng)響應(yīng)時間對人的生產(chǎn)率影響是很大的。在交互式應(yīng)用中，響應(yīng)時間大于4秒時，人們的短期記憶會受到影響，工作的連續(xù)性會被破壞；響應(yīng)時間大于15秒，對大多數(shù)人是不能容忍的；響應(yīng)時間在0.1秒以下，人們會感到計算機是在同步工作的，幾乎沒有等待時間。 圖1.9表示用CAD進行集成電路設(shè)計時生產(chǎn)率（每小時完成的事務(wù)處理數(shù)）與響應(yīng)時間的關(guān)系。圖1.9 用CAD進行集成電路設(shè)計時生產(chǎn)率與響應(yīng)時間的關(guān)系。0.500.250.751.00

27、1.251.50響應(yīng)時間/s05001500200025003000350040001000事務(wù)處理/h專家曲線初學者曲線平均曲線l影響網(wǎng)絡(luò)系統(tǒng)的響應(yīng)時間的因素網(wǎng)絡(luò)系統(tǒng)的響應(yīng)時間由系統(tǒng)各個部分的處理延遲時間組成。圖1.10表示出系統(tǒng)響應(yīng)時間RT（Response TimeResponse Time）由7部分組成：入口終端延遲；入口排隊時間；入口服務(wù)時間；CPU處理延遲；出口排隊時間；出口服務(wù)時間；出口終端延遲。 分解系統(tǒng)響應(yīng)時間對于確定系統(tǒng)的瓶頸非常有用1.10 系統(tǒng)響應(yīng)時間的組成 RT=TI+WI+SI+CPU+WO+SO+TORTTIWISICPUWOSOTO工作站網(wǎng)絡(luò)接口設(shè)備(網(wǎng)橋)TO

28、WISO網(wǎng)絡(luò)SIWO服務(wù)器CPUTI響應(yīng)時間入口終端延遲入口排隊時間入口服務(wù)時間CPU處理延遲出口排隊時間出口服務(wù)時間出口終端延遲l 入口終端延遲：指從終端把查詢命令送到通信線路上的延遲。終端本身的處理時間是很短的，這個延遲主要是由從終端到網(wǎng)絡(luò)接口設(shè)備的通信線路引起的傳輸延遲。l 入口排隊時間：即網(wǎng)絡(luò)接口設(shè)備的處理時間。接口設(shè)備要處理多個終端輸入，還要處理提交給終端的輸出，所以輸入的命令通常要進入緩沖區(qū)排隊等待。接口設(shè)備越忙，排隊時間越長。l 入口服務(wù)時間：指從網(wǎng)絡(luò)接口設(shè)備通過傳輸網(wǎng)絡(luò)到達主機前端的時間。l CPU處理延遲：前端處理機、主機和磁盤等設(shè)備處理用戶命令、做出回答需要的時間。l 出口

29、排隊時間：在前端處理機端口等待發(fā)送到網(wǎng)絡(luò)上去的排隊時間。這個時間與入口排隊時間類似，其長短取決于前端處理機繁忙的程度l 出口服務(wù)時間：通過網(wǎng)絡(luò)把響應(yīng)報文傳送到網(wǎng)絡(luò)接口設(shè)備的處理時間l 出口終端延遲：終端接收響應(yīng)報文的時間，主要是由通信延遲引起的 響應(yīng)時間是網(wǎng)絡(luò)管理中重要的管理信息。 3、正確性 這是指網(wǎng)絡(luò)傳輸?shù)恼_性。由于網(wǎng)絡(luò)中有內(nèi)置的糾錯機制，所以通常用戶不必考慮數(shù)據(jù)傳輸是否正確。但是監(jiān)視傳輸誤碼率可以發(fā)現(xiàn)瞬時的線路故障，以及是否存在噪聲源和通信干擾，以便及時采取維護措施。4 4、吞吐率、吞吐率吞吐率是一段時間內(nèi)完成的數(shù)據(jù)處理的數(shù)量（比如單位時間內(nèi)通過某個網(wǎng)絡(luò)設(shè)備的平均比特數(shù)，單位是bit/

30、s），或接受用戶會話的數(shù)量，或處理的呼叫的數(shù)量等。吞吐率是面向效率的性能指標，跟蹤這些指標可以為提高網(wǎng)絡(luò)傳輸效率提供依椐。5、利用率l利用率是指網(wǎng)絡(luò)資源利用的百分率。l網(wǎng)絡(luò)資源是否充分利用，直接關(guān)系到投資效益，提高網(wǎng)絡(luò)資源利用率，等于相對降低了網(wǎng)絡(luò)建設(shè)投入成本。l網(wǎng)絡(luò)管理系統(tǒng)通常給出各種網(wǎng)絡(luò)部件的利用率，如線路、節(jié)點、節(jié)點處理機的利用率。l 利用率與網(wǎng)絡(luò)負載有關(guān)，網(wǎng)絡(luò)負載直接影響響應(yīng)時間。正常情況下，網(wǎng)絡(luò)資源被使用的越多，負載增加；當負載增加時，說明資源利用率增大。但當負載增加時，分組排隊時間和網(wǎng)絡(luò)響應(yīng)時間變長。當負載增加到一定程度時，響應(yīng)時間迅速增長，從而引發(fā)傳輸瓶頸和網(wǎng)絡(luò)擁擠。圖1.11表

31、示響應(yīng)時間隨相對負載成指數(shù)上升的情況。圖1.11 網(wǎng)絡(luò)響應(yīng)時間與負載的關(guān)系 預(yù)計響應(yīng)時間實際響應(yīng)時間網(wǎng)絡(luò)相對負載1210864200.0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1.0響應(yīng)時間/s如何評價網(wǎng)絡(luò)資源的利用情況l監(jiān)視網(wǎng)絡(luò)資源的利用情況的就是要觀察鏈路的實際通信量（負載），并且與規(guī)劃的鏈路容量（數(shù)據(jù)速率）比較，從而發(fā)現(xiàn)哪些鏈路使用過度，而哪些鏈路利用不足。l對于網(wǎng)絡(luò)分析來說，就是計算出各個鏈路的負載占網(wǎng)絡(luò)總負載的百分率（相對負載），以及各個鏈路的容量占網(wǎng)絡(luò)總?cè)萘康陌俜致剩ㄏ鄬θ萘浚?，最后得到相對負載與相對容量的比值。這個比值反映了網(wǎng)絡(luò)資源的相對利用率。

32、 故障管理（Fault Management）對網(wǎng)絡(luò)中問題或故障進行檢測、定位、診斷、排除的過程。一般來說，網(wǎng)絡(luò)故障管理應(yīng)包含以下個模塊：l 故障檢測和報警功能l 故障預(yù)測功能l 故障診斷和定位功能1.4.2 故障監(jiān)視（管理）l 故障檢測和報警功能管理代理或監(jiān)視代理對被管理設(shè)備的異常主動的向管理站實時報告l 故障預(yù)測功能對各種可以引起故障的設(shè)備參數(shù)建立門限值并隨時監(jiān)視參數(shù)值的變化，一旦發(fā)現(xiàn)參數(shù)超過門限值就報警。l 故障診斷和定位功能定位故障就是要迅速的確定出故障的位置，故障診斷就是分析故障，找出故障的原因1.4.2故障監(jiān)視（管理）計費管理（Accounting Management）的功能是跟

33、蹤和度量各個網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的使用情況，并保存相關(guān)信息到數(shù)據(jù)庫中，為收費提供依據(jù)。l 網(wǎng)絡(luò)計費管理功能（1）計費政策的制定；（2）計費數(shù)據(jù)采集；（3）數(shù)據(jù)管理與數(shù)據(jù)維護；（4）數(shù)據(jù)分析與費用計算；（5）計費信息管理查詢。l 收集的信息要詳細、準確：. 計費監(jiān)視（管理）計費的依據(jù)是運行日志，其記錄格式應(yīng)包括下列信息：l 用戶標識符；l 連接目標的標識符；l 傳送的分組/字節(jié)數(shù)；l 安全級別；l 時間戳；l 指示網(wǎng)絡(luò)出錯情況的狀態(tài)碼；l 使用的網(wǎng)絡(luò)資源。 . 計費監(jiān)視（管理）1.5 網(wǎng) 絡(luò) 控 制 1.5.1 配置控制（管理） （Configuration Management） 配置控制（管理

34、）是通過設(shè)定、收集、監(jiān)測和管理網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù)，使得網(wǎng)絡(luò)性能達到最優(yōu)。比如：l 設(shè)置網(wǎng)絡(luò)參數(shù)的初始值/默認值，使網(wǎng)絡(luò)設(shè)備初始化時自動形成預(yù)定狀態(tài)；l 網(wǎng)絡(luò)運行時，監(jiān)視設(shè)備的工作狀態(tài)，并根據(jù)用戶的配置命令或其他管理功能的請求改變網(wǎng)絡(luò)配置參數(shù)。例如響應(yīng)時間延長，負載失衡，則配置管理將通過重新配置(例如改變路由表)改善系統(tǒng)響應(yīng)時間。又如檢測到一個故障并確定了故障點，則配置管理可以改變配置參數(shù)，把故障點隔離，恢復(fù)網(wǎng)絡(luò)的正常工作。配置管理應(yīng)包含下列功能模塊： 配置管理應(yīng)包含下列功能模塊：l 定義配置信息；l 設(shè)置和修改設(shè)備屬性；l 定義和修改網(wǎng)絡(luò)元素間的互聯(lián)關(guān)系；l 啟動和終止網(wǎng)絡(luò)運行；l 發(fā)行軟件；

35、l 檢查參數(shù)值和互聯(lián)關(guān)系；l 報告配置現(xiàn)狀。 1. 定義配置信息l配置信息描述了網(wǎng)絡(luò)資源的特征和屬性。l網(wǎng)絡(luò)資源包括物理資源(例如主機、路由器、網(wǎng)橋、通信 鏈路和Modem等)和邏輯資源(例如定時器、計數(shù)器和虛電 路等)。l設(shè)備的屬性包括名稱、標識符、地址、狀態(tài)、操作特點 和軟件版本。l這些信息對其他管理功能是有用的。2. 設(shè)置和修改屬性配置管理允許管理站遠程設(shè)置和修改代理中的管理信息值：名稱、標識符、地址、狀態(tài)、操作特點和軟件版本。 但是修改操作要受到兩種限制：l只有授權(quán)的管理站才可以施行修改操作，這是網(wǎng)絡(luò)安 全所要求的；l有些屬性值反映了硬件配置的實際情況，是不可改變 的，例如主機CPU類

36、型、路由器的端口數(shù)等。 對配置信息的修改可以分為以下3種類型：l只修改數(shù)據(jù)庫：管理站向代理發(fā)送修改命令，代理修改配置數(shù)據(jù)庫中的一個或多個數(shù)據(jù)值。例如管理站通過修改命令改變網(wǎng)絡(luò)設(shè)備的負責人(姓名、地址、電話等)。l修改數(shù)據(jù)庫，也改變設(shè)備的狀態(tài)：除了修改數(shù)據(jù)值之外，還改變了設(shè)備的運行狀態(tài)。例如把路由器端口的狀態(tài)值由“up”置為“down”，則所有網(wǎng)絡(luò)通信不再訪問該端口。l 修改數(shù)據(jù)庫，同時引起設(shè)備的動作：當管理數(shù)據(jù)庫中的變量值被設(shè)置成不同的值時，設(shè)備隨即執(zhí)行對應(yīng)的操作過程。例如路由器數(shù)據(jù)庫中有一個初始化參數(shù)，可取值為TRUE或FALSE。若設(shè)置此參數(shù)值為TRUE，則路由器開始初始化，過程結(jié)束時重置

37、該參數(shù)為FALSE。3. 定義和修改關(guān)系關(guān)系是指網(wǎng)絡(luò)資源之間的聯(lián)系、連接以及網(wǎng)絡(luò)資源之間相互依存的條件，例如拓撲結(jié)構(gòu)、物理連接、邏輯連接、繼承層次和管理域等。配置管理應(yīng)該提供聯(lián)機修改關(guān)系的操作，即用戶在不關(guān)閉網(wǎng)絡(luò)的情況下可以增加、刪除或修改網(wǎng)絡(luò)資源之間的關(guān)系。4. 4. 啟動和終止網(wǎng)絡(luò)運行啟動和終止網(wǎng)絡(luò)運行配置管理給用戶提供啟動/關(guān)閉網(wǎng)絡(luò)和子網(wǎng)的操作。啟動操作包括驗證所有可設(shè)置的資源屬性是否已正確設(shè)置。如果有設(shè)置不當?shù)馁Y源，則要通知用戶；如果所有的設(shè)置都正確無誤，則向用戶發(fā)回肯定應(yīng)答。同時，關(guān)閉操作完成之前應(yīng)允許用戶檢索設(shè)備的統(tǒng)計信息或狀態(tài)信息。 5. 5. 發(fā)行軟件發(fā)行軟件配置管理還提供向端

38、系統(tǒng)(主機、服務(wù)器和工作站等)和中間系統(tǒng)(網(wǎng)橋、路由器和應(yīng)用網(wǎng)關(guān)等)發(fā)行軟件的功能，即給系統(tǒng)裝載指定的軟件、更新軟件版本和配置軟件參數(shù)等功能。1.5.2 1.5.2 安全控制安全控制 （管理）（管理）安全管理的目的是確保網(wǎng)絡(luò)資源不被非法使用，防止網(wǎng)絡(luò)資源由于入侵者攻擊而遭受破壞,安全管理直接影響用戶對網(wǎng)絡(luò)系統(tǒng)的可信程度和網(wǎng)絡(luò)應(yīng)用的發(fā)展趨勢。1. 1. 安全威脅的類型安全威脅的類型計算機和網(wǎng)絡(luò)需要以下3方面的安全性:l保密性(Secrecy)：計算機網(wǎng)絡(luò)中的信息只能由授予訪 問權(quán)限的用戶讀取；l數(shù)據(jù)完整性(Integrity)：計算機網(wǎng)絡(luò)中的信息資源只 能被授予權(quán)限的用戶修改；l可用性(Avai

39、lability)：具有訪問權(quán)限的用戶在需要時 可以利用計算機網(wǎng)絡(luò)資源。 所謂對計算機網(wǎng)絡(luò)的安全威脅，就是破壞了這3方面的安全性要求。下面是數(shù)據(jù)從源到目標的流動過程中，常見安全威脅：（a）正常：信息安全的從源傳送到目標（b）中斷（interruption ）：通信被中斷，危害可用性（c）竊取(interception)：未授權(quán)入侵，危害保密性（d）篡改(modification)：未授權(quán)入侵且篡改數(shù)據(jù)，危害完整性（e）假冒(fabrication)：未授權(quán)入侵且加入偽造信息，危害完整性 圖1.13畫出了信息流被危害的各種情況。 (a) (b)源目標源目標 (c) (d) (e)圖1.13 對網(wǎng)

40、絡(luò)通信的安全威脅 2. 2. 對計算機網(wǎng)絡(luò)的安全威脅對計算機網(wǎng)絡(luò)的安全威脅對計算機網(wǎng)絡(luò)的各種安全威脅主要有：l對硬件的威脅l對軟件的威脅l對數(shù)據(jù)的威脅l對網(wǎng)絡(luò)通信的威脅圖1.14畫出了對計算機網(wǎng)絡(luò)的各種安全威脅。軟件硬件數(shù)據(jù)通信(偷竊、拒絕服務(wù))中斷(丟失)中斷(捕獲、分析)竊取竄改假冒假冒竄改竊取(分析、捕獲)中斷(丟失)中斷(刪除)竊取竄改圖1.14 對計算機網(wǎng)絡(luò)資源的安全威脅 2. 2. 對計算機網(wǎng)絡(luò)的安全威脅對計算機網(wǎng)絡(luò)的安全威脅圖1.14畫出了對計算機網(wǎng)絡(luò)的各種安全威脅。l 對硬件的威脅：主要是破壞系統(tǒng)硬件的可用性，例如有意或無意地損壞甚至盜竊網(wǎng)絡(luò)器材等。l 對軟件的威脅：操作系統(tǒng)、

41、實用程序和應(yīng)用軟件可能被改變、損壞甚至被惡意刪除，從而不能工作，失去可用性。l 對數(shù)據(jù)的威脅：數(shù)據(jù)可能被非法訪問，破壞了保密性；數(shù)據(jù)可能被惡意修改或者假冒，破壞了完整性；數(shù)據(jù)文件可能被惡意刪除，從而破壞了可用性。 l 對網(wǎng)絡(luò)通信的威脅：可分為被動威脅和主動威脅兩類，如圖1.15所示。被動威脅并不改變數(shù)據(jù)流，而是采用各種手段竊取通信線路上傳輸?shù)男畔ⅲ瑥亩茐牧吮Ｃ苄?。例如偷聽或監(jiān)視網(wǎng)絡(luò)通信，從而獲知電話談話、電子郵件和文件的內(nèi)容；還可以通過分析網(wǎng)絡(luò)通信的頻率、報文的長度等猜測出傳輸?shù)男畔?。由于被動威脅不改變信息的內(nèi)容，因而是很難檢測的，數(shù)據(jù)加密是防止這種威脅的主要手段。 主動威脅則可能改變信息流

42、或者生成偽造的信息流，從而破壞了數(shù)據(jù)的完整性和可用性。主動攻擊者不必知道信息的內(nèi)容，但可以改變信息流的方向，或者使傳輸?shù)男畔⒈谎舆t、重放、重新排序，可能產(chǎn)生不同的效果。 被動威脅竊取發(fā)現(xiàn)通信內(nèi)容通信分析主動威脅竄改中斷假冒圖1.15 計算機網(wǎng)絡(luò)的被動威脅和主動威脅 3. 對網(wǎng)絡(luò)管理的安全威脅以上討論的各種威脅都可能影響網(wǎng)絡(luò)管理系統(tǒng)，造成管理系統(tǒng)失靈，甚至發(fā)出錯誤的管理指令。對于網(wǎng)絡(luò)管理，特別有以下3方面的安全威脅值得提出。l偽裝的用戶：沒有得到授權(quán)的一般用戶企圖訪問網(wǎng)絡(luò)管理 應(yīng)用和管理信息；l假冒的管理程序：無關(guān)的計算機系統(tǒng)可能偽裝成網(wǎng)絡(luò)管理 站對網(wǎng)絡(luò)實施管理功能；l侵入管理站和代理間的信息交

43、換過程：網(wǎng)絡(luò)入侵者通過觀察網(wǎng)絡(luò)活動竊取了敏感的管理信息，更嚴重的危害是可能竄改管理信息，或中斷管理站和代理之間的通信。 4. 安全設(shè)施的管理1) 安全信息維護網(wǎng)絡(luò)管理中的安全管理是指保護管理站和代理之間信息交換的安全。對于安全信息的維護可以列出以下功能： l 記錄系統(tǒng)中出現(xiàn)的各類事件(例如用戶登錄、退出系統(tǒng)，文件拷貝等)；l 自動記錄有關(guān)安全的重要事件，例如非法用戶持續(xù)不同口令，企圖登錄等；l 報告和接收侵犯安全的警示信號，在懷疑出現(xiàn)威脅安全的活動時采取防范措施，例如封鎖被入侵的用戶賬號或強行停止惡意程序的執(zhí)行等；l 經(jīng)常維護和檢查安全記錄，進行安全風險分析，編制安全評價報告；l 備份和保護敏

44、感的文件； 2) 資源訪問控制一種重要的安全服務(wù)就是訪問控制服務(wù)，這包括認證服務(wù)和授權(quán)服務(wù)。訪問控制服務(wù)的目的是保護各種網(wǎng)絡(luò)資源。這些資源中與網(wǎng)絡(luò)管理有關(guān)的是：l安全編碼；l源路由和路由記錄信息；l路由表；l目錄表；l報警門限；l計費信息。3) 3) 加密過程控制加密過程控制安全管理能夠在必要時對管理站和代理之間交換的報文進行加密。1.6 網(wǎng)絡(luò)管理標準網(wǎng)絡(luò)管理標準 當前流行的兩個網(wǎng)絡(luò)管理標準：l 由OSI研發(fā)制定的管理標準：稱為CMIS/CMIP 體系結(jié)構(gòu)。 CMIS/CMIP的實現(xiàn)是以O(shè)SI七層協(xié)議棧作為基礎(chǔ)，使用的協(xié)議是CMIP，所提供的服務(wù)是CMIS，被認為是網(wǎng)絡(luò)管理的發(fā)展趨勢。l 由I

45、ETF是Internet工程任務(wù)組（Internet Engineering Task Force）研發(fā)制定的管理標準：稱為SNMP體系結(jié)構(gòu)。由IETF研發(fā)并以 RFC(Request For Comments 征求意見)文件發(fā)布。SNMP的實現(xiàn)是以TCP/IP四層協(xié)議棧作為基礎(chǔ)。使用的是SNMP協(xié)議，主要用于TCP/IP網(wǎng)絡(luò)的管理。 1.6 網(wǎng)絡(luò)管理標準網(wǎng)絡(luò)管理標準 一、CMIP/CMIS體系結(jié)構(gòu)的網(wǎng)絡(luò)管理標準1、組成文件 ISO 7498-4 ，定義了開放系統(tǒng)互連管理的體系結(jié)構(gòu)； ISO 9595， 定義了網(wǎng)絡(luò)組成部分提供的網(wǎng)絡(luò)管理服務(wù)(CMIS) ISO 9596， 定義了公共管理信息協(xié)

46、議規(guī)范(CMIP) ISO 10164： 定義了系統(tǒng)管理功能 ISO 10165： 定義了管理信息結(jié)構(gòu)2、特點 定義規(guī)范，功能強大,結(jié)構(gòu)復(fù)雜。是網(wǎng)絡(luò)管理和發(fā)展趨勢。1.6 網(wǎng)絡(luò)管理標準網(wǎng)絡(luò)管理標準 二、SNMP體系結(jié)構(gòu)的網(wǎng)絡(luò)管理標準 TCP/IP網(wǎng)絡(luò)管理最初使用的是1987年11月提出的簡單網(wǎng)關(guān)監(jiān)控協(xié)議(Simple Gateway Monitoring Protocol，SGMP)，在此基礎(chǔ)上改進成簡單網(wǎng)絡(luò)管理協(xié)議SNMP(Simple Network Management Protocol)。1、組成文件 RFC 1155(SMI)、 RFC 1157(SNMP)、 RFC 1212(MIB定義) RFC 1213(MIB-2規(guī)范)。 由于其簡單性和易于實現(xiàn)，SNMPv1得到了許多制造商的支持和廣泛應(yīng)用，成為了工業(yè)標準。2、特點它具有以下兩個優(yōu)點： (1)結(jié)構(gòu)簡單，實現(xiàn)容易； (2)SNMP是建立在SGMP基礎(chǔ)上的，而對于SGMP，人們積累了大量的操作經(jīng)