網絡管理系統模型及管理技術

1、清華大學出版社計算機網絡技術基礎計算機網絡技術基礎網絡管理與監(jiān)測（王亮）網絡管理與監(jiān)測（王亮）第二章第二章 網絡管理系統模型及管理技術網絡管理系統模型及管理技術計算機網絡管理與監(jiān)測2 2第二章第二章 網絡管理系統模型及管理技術網絡管理系統模型及管理技術網絡管理系統結構網絡管理系統結構網絡管理系統的基本模型網絡管理系統的基本模型網絡管理基本技術網絡管理基本技術計算機網絡管理與監(jiān)測3 3網絡管理系統結構網絡管理系統結構1、網絡管理系統結構定義：、網絡管理系統結構定義：網絡管理系統結構，定義網絡管理技術和具體的網絡管理系統的結構及系統成員之間相互關系的一套規(guī)則。具體的網絡管理技術和網絡管理系統，必須

2、在相關的系統結構的框架之下來設計和定義。 三者關系：三者關系：網絡管理系統結構-網絡管理技術-具體的網絡管理系統計算機網絡管理與監(jiān)測4 4網絡管理系統結構網絡管理系統結構2、網絡管理系統意義：、網絡管理系統意義：良好的網絡管理系統結構，應該能夠滿足網絡管理技術的不斷變化的需要。具體的技術發(fā)生變化，體系結構應該保持相對的穩(wěn)定。無論網絡的設備、網絡技術和網絡拓撲結構如何變化，最基本網絡管理系統的結構模型是應該不變的，不應當在網絡技術發(fā)生新的變化時，就把原有的網絡管理體系結構推倒重來。計算機網絡管理與監(jiān)測5 5網絡管理系統結構網絡管理系統結構3、網絡管理系統結構分類：、網絡管理系統結構分類：國際上通

3、用的網絡管理體系結構模式可以分為：（1）集中式體系結構：）集中式體系結構：（2）分布式體系結構：）分布式體系結構：（3）分層式體系結構：）分層式體系結構：（4）分層分布式體系結構：）分層分布式體系結構：計算機網絡管理與監(jiān)測6 6集中式體系結構集中式體系結構全網所有需要管理的數據，均存儲在一個集中的數據庫中；設置單一的管理節(jié)點，負責收集和控制整個網絡的信息。1、傳統集中式體系結構：、傳統集中式體系結構：2、基于平臺的集中式體系結構：、基于平臺的集中式體系結構：計算機網絡管理與監(jiān)測7 7傳統集中式體系結構傳統集中式體系結構優(yōu)點：優(yōu)點：簡單、高效，提供了統一管理和統一的決策支持。非常適合于簡單的網絡

4、環(huán)境。缺點：缺點：隨著網絡規(guī)模和復雜性的增加，單一的網絡管理者的工作強度將明顯增加，網絡管理能力和效力將明顯降低。計算機網絡管理與監(jiān)測8 8基于平臺的集中式體系結構基于平臺的集中式體系結構管理者分為管理平臺和管理應用程序管理平臺負責管理數據處理的第一階段，完成簡單任務的處理。包括信息搜集、提供。如監(jiān)控、控制、吞吐量計算等服務，屏蔽下層協議,提供給應用程序抽象的表述。管理應用程序管理應用程序負責在數據的第二階段實施操作，即復雜任務的處理例如，處理決定支持和計算等其它高級功能。管理平臺和管理應用通過公用程序接口API進行通信。計算機網絡管理與監(jiān)測9 9基于平臺的集中式體系結構基于平臺的集中式體系結

5、構1、優(yōu)點：、優(yōu)點：極大地簡化了異構性、多廠家、多協議環(huán)境下的綜合應用程序的開發(fā)、維護和擴展。適合于支持不同廠家所生產的網絡設備。減輕了管理應用程序的工作負擔，提高了網絡管理系統的運行效率。2、缺點：、缺點：本質上還是屬于集中式管理體系結構，限制了網絡管理的規(guī)模和范圍，當網絡規(guī)模和復雜度增加，網絡管理系統的效率將極大地降低。而且，當應用程序很多時，管理平臺就會成為一個嚴重的瓶頸。計算機網絡管理與監(jiān)測1010分布式體系結構分布式體系結構使用一個以上的管理者。一個管理者負責管理一個網絡區(qū)域。若一個網絡的規(guī)模和性能要求提高以后，只需要創(chuàng)建更多的管理者就可以滿足需要。計算機網絡管理與監(jiān)測1111分布式

6、體系結構分布式體系結構1、優(yōu)點：、優(yōu)點：規(guī)?？蓴U充，不會形成單點瓶頸2、缺點：、缺點：管理者之間是對等的，無主從關系。且缺乏統一有效的管理，管理者之間無法協調和保持一致性。計算機網絡管理與監(jiān)測1212分層式體系結構分層式體系結構 分層式網絡管理模式是由一個網絡管理系統（NMS）的管理者（manager）作為另外幾個網絡管理系統管理者（managers）的總管理者，該總的管理者稱為“總管理者”，也稱為MOM（Manager of Manager）。由各管理者管理各自所管轄的域，而由總管理者總得管轄對其他管理者所應管轄的部分。計算機網絡管理與監(jiān)測1313分層式體系結構分層式體系結構1、優(yōu)點：、優(yōu)點

7、：有效地解決了因網絡跨地域給管理帶來的困難，使得每一層的網絡管理只需要負責有限的網絡對象的管理，大大減輕了網絡管理的負擔。2、缺點：、缺點：分層式體系結構只有一個總的管理者，所有的管理都需要由總的管理者來負責統一協調，工作強度比較大。計算機網絡管理與監(jiān)測1414分層分布式體系結構分層分布式體系結構 將分布式體系結構和分層式體系結構的特點相結合，對于分散性、不規(guī)范的復雜網絡環(huán)境具有更好的功能和適應性。計算機網絡管理與監(jiān)測1515網絡管理系統的基本模型網絡管理系統的基本模型網絡管理系統模型定義了網絡管理系統的組成結構形式當前最流行的模型為“管理-代理”計算機網絡管理與監(jiān)測1616網絡管理系統的基本

8、模型網絡管理系統的基本模型1、網絡管理系統組成部分：、網絡管理系統組成部分：網絡管理系統邏輯上的4個組成要素：管理進程（管理者管理進程（管理者Manager）管理代理（管理代理（Agent）管理信息庫管理信息庫(Management Information Base管理協議（管理協議（Management Protocol）計算機網絡管理與監(jiān)測1717網絡管理系統組成部分網絡管理系統組成部分1、管理進程（管理者、管理進程（管理者Manager）：）：管理進程是對網絡設備和設施進行全面管理和控制的軟件。管理進程一般位于網絡系統的主干或主干位置，運行于網絡管理中心站上，負責發(fā)出所有的控制與管理操作

9、指令，實現對管理代理的操作與控制，并接收來自管理代理的信息。計算機網絡管理與監(jiān)測1818網絡管理系統組成部分網絡管理系統組成部分2.、管理代理（、管理代理（Agent）：）：管理代理是駐留在網絡設備中的軟件模塊，應用進程中負責管理相關的被管理對象的部分。（1）管理代理作用：）管理代理作用：接收管理進程的指令搜集數據：接收管理進程的指令搜集數據：將數據返回給管理進程：將數據返回給管理進程：充當網絡設備與管理進程之間通信的中介：充當網絡設備與管理進程之間通信的中介：計算機網絡管理與監(jiān)測1919網絡管理系統組成部分網絡管理系統組成部分3 、管理信息庫、管理信息庫MIB（Management Info

10、rmation Base）：）：每個管理代理都有自己的本地MIB，存儲與本地設備或設施有關的管理對象。MIB中的變量對應著相應的管理對象。例如，生產廠家、CPU型號、帶寬、內存.每一個網絡管理系統中，也有一個MIB，用于存儲該網絡管理系統所管理的網絡設備對象的相關具體參數信息。代理正是通過對管理信息數據庫MIB的讀和寫來完成對網絡設備信息的搜集以及配置的。計算機網絡管理與監(jiān)測2020網絡管理系統組成部分網絡管理系統組成部分4、管理協議：、管理協議：規(guī)定了管理進程與管理代理之間交互會話時所必須遵循的相關規(guī)則與協定。當前主流網絡管理協議： SNMP（Internet標準）標準） CMIP（ISO標

11、準）標準）其不同之處在于各自定義被管對象和對被管對象進行分類的原則與標準不同。計算機網絡管理與監(jiān)測2121網絡管理基本技術網絡管理基本技術基于基于TMN面向電信網的網絡管理技術：面向電信網的網絡管理技術：基于基于CORBA面向網管系統互連的網絡管理面向網管系統互連的網絡管理技術：技術：基于基于SNMP面向數據網和計算機網的網絡管面向數據網和計算機網的網絡管理技術：理技術：基于基于OSI七層網絡模型的公共管理信息協議七層網絡模型的公共管理信息協議的網絡管理技術（的網絡管理技術（CMIP）：）：基于基于WEB的網絡管理技術：的網絡管理技術：基于基于XML的網絡管理技術：的網絡管理技術：基于基于AS

12、ON的網絡管理技術：的網絡管理技術：計算機網絡管理與監(jiān)測2222SNNP網絡管理技術網絡管理技術1、SNMP簡介：簡介：Simple Network Management Protocol,SNMP,即簡單網絡管理協議。是由互聯網工程任務組IETF定義的一套基于Internet管理的網絡管理協議。該協議最初是由IETF為解決Internet上的路由器管理而提出來的，現在已經用于遠程管理所有支持這種協議的網絡設備。是典型的應用層協議作為TCP/IP協議族的一部分。簡單、成本低廉、高效，是當前計算機網絡管理的事實標準。計算機網絡管理與監(jiān)測2323SNNP網絡管理技術網絡管理技術2、SNMP協議棧：

13、協議棧：計算機網絡管理與監(jiān)測2424SNNP網絡管理技術網絡管理技術3、SNMP特點：特點：SNMP的應用范圍非常廣泛，許多網絡設備、軟件和系統都采用SNMP協議。主要是由SNMP協議的相關特點決定的。（1）基于無連接的通信方式：）基于無連接的通信方式：（2）與協議無關：）與協議無關：（3）簡單，易于實現：）簡單，易于實現：（4）SNMP是開放的免費產品：是開放的免費產品：（5）SNMP有許多詳細的文檔資料：有許多詳細的文檔資料：（6）SNMP可用于控制各種設備：可用于控制各種設備：基于UDP協議實現，采用無連接通信方式，簡單、高效。但可靠性不高SNMP協議被設計成與協議無關，不受具體協議的影

14、響?？梢赃\行在當前各種網絡協議之上。例如，IP、IPX、Apple Talk.網絡傳輸協議之上。SNMP結構非常簡單，SNMP代理組件在運行時，不需要占用太多的內存空間，也不需要太強的處理能力。SNMP可以在目標系統中快速開發(fā)出來，很容易在市面的新產品或升級的老產品中得到應用。很好地迎合了早期硬件性能比較低的要求SNMP協議是完全開放和免費的。任何廠家、組織都可以免費使用SNMP協議。對于SNMP協議的更改，有明確的規(guī)定，必須經過IETF授權，才能更改SNMP協議。私自更改SNMP協議，往往是得不償失。SNMP協議的開放性與免費性，主流廠商都支持，發(fā)展十分迅速，相關的文檔資料也是非常豐富。人們

15、要想學習SNMP協議，可以很輕松地得到這些資料。除了常規(guī)意義上的網絡設備而外，一些非傳統的設備也支持SNMP協議。例如，電話系統、環(huán)境控制設備、可接入網絡且需要控制的設備等。都支持SNMP協議。計算機網絡管理與監(jiān)測2525SNNP網絡管理技術網絡管理技術4、SNMP實現原理：實現原理：（1）SNMP實現概述：實現概述：SNMP應用示意圖計算機網絡管理與監(jiān)測2626SNMP實現原理實現原理SNMP實現原理計算機網絡管理與監(jiān)測2727SNMP實現原理實現原理2、SNMP搜集數據的方式：搜集數據的方式：對于網絡管理來講，要進行網絡管理，最基本的是要掌握當前網絡設備的運行情況，即必須從被管網絡設備中獲

16、取到相關運行的數據信息。（1）輪詢方式（）輪詢方式（Polling-only） ：（2）中斷方式：）中斷方式：計算機網絡管理與監(jiān)測2828輪詢方式輪詢方式管理者按照既定的順序和時間間隔，周期性查詢并搜集被管理設備的相關數據。1、SNMP輪詢實現：輪詢實現：SNMP使用嵌入到網絡設備中的代理軟件來搜集網絡的通信信息和相關網絡設備的統計信息。代理軟件并把這些數據記錄到管理信息庫MIB中，網絡管理進程不斷向代理的MIB發(fā)出查詢信號，便可以獲得這些信息。計算機網絡管理與監(jiān)測2929輪詢方式輪詢方式2、輪詢方式優(yōu)點：、輪詢方式優(yōu)點：實現了數據搜集實現了數據搜集簡單易于實現簡單易于實現網絡管理進程只需要按

17、照既定的順序和時間間隔對網絡中的設備進行輪詢，就可以搜集到網絡設備的相關數據信息。不需要復雜的計算，實現起來非常容易。計算機網絡管理與監(jiān)測3030輪詢方式輪詢方式3、輪詢方式缺點：、輪詢方式缺點：實時性比較差：實時性比較差：輪詢機制效率低：輪詢機制效率低：只適合于中小型網絡，隨著網絡規(guī)模的擴大，網絡設備的增加，輪詢機制將造成嚴重的網絡負擔，大量消耗網絡資源。輪詢的順序不好確定：輪詢的順序不好確定：輪詢的時間間隔不好確定：輪詢的時間間隔不好確定：間隔過長，將使搜集到的數據比較粗放，不能很好地反映出網絡設備的運行情況，更不能及時發(fā)現一些災難性的錯誤；間隔時間過短，將產生太多不必要的通信量，消耗網絡

18、資源。計算機網絡管理與監(jiān)測3131中斷方式中斷方式當網絡設備在運行過程中，出現了 嚴重的錯誤或故障時，立即停止現有作業(yè)的執(zhí)行，此時，由代理軟件主動向管理進程報告這一情況。1、中斷方式優(yōu)點：、中斷方式優(yōu)點：實時性好，管理進程可以在第一時間掌握此故障情況。2、中斷方式缺點：、中斷方式缺點：產生不必要的通信量打亂正常的輪詢順序計算機網絡管理與監(jiān)測3232SNMP搜集數據的方式搜集數據的方式SNMP中斷和輪詢機制同時使用（1）輪詢方式的使用：）輪詢方式的使用：對于普通的，非緊急的數據搜集，采用輪詢方式。（2）中斷方式的使用：）中斷方式的使用：對于緊急的數據搜集，例如，網絡設備的故障、網絡設備的錯誤使用

19、中斷方式來進行搜集。計算機網絡管理與監(jiān)測3333SNMP實現原理實現原理3、SNMP協議體系組成：協議體系組成：（1）管理信息數據庫）管理信息數據庫MIB：可以通過網絡管理協議進行訪問的管理對象及對象屬性的集合。即用于存儲當前網絡中相關網絡設備的運行信息的數據。（2）管理信息結構）管理信息結構SMI：定義和說明了MIB的總體框架、數據類型的表示方法和命名方法。 SMI 的宗旨是保持MIB的簡單性和可擴展性。保證不同廠商開發(fā)的MIB能相互兼容。（3）簡單網絡管理協議）簡單網絡管理協議SNMP：定義了管理進程與代理軟件之間相互通信，相互交換信息時，所必須要遵守的相關規(guī)定、規(guī)則與約定。計算機網絡管理

20、與監(jiān)測3434SNMP實現原理實現原理4、SNMP管理信息數據庫管理信息數據庫MIB結構：結構：一個概念上的數據庫定義了可以通過網絡管理協議進行訪問的管理對象的集合。SNMP中的對象是被管資源某一方面的數據變量MIB 作為設在管理代理處的管理進程訪問點的集合，管理進程通過讀取MIB中對象的值來進行網絡監(jiān)控。每個被管對象對應樹型結構的一個葉子節(jié)點，稱為一個object或一個MIB采用倒樹型結構計算機網絡管理與監(jiān)測3535MIB結構結構計算機網絡管理與監(jiān)測3636MIB結構結構計算機網絡管理與監(jiān)測3737SNMP實現原理實現原理5、SNMP提供的三種基本操作功能：提供的三種基本操作功能：（1）GE

21、T：管理站讀取代理者處對象的值（2）SET：是一個特權命令，管理站設置代理者處對象的值（3）TRAP：代理者向管理站通報重要事件，一般基于中斷方式實現。計算機網絡管理與監(jiān)測3838SNMP實現原理實現原理SNMP協議使用SET、GET、TRAP基本操作派生出五種操作語句：計算機網絡管理與監(jiān)測3939SNMP實現原理實現原理6、SNMP代理代理Agent類型：類型：（1）單一代理：）單一代理：（2）委托代理：）委托代理：（3）可擴展代理：）可擴展代理：計算機網絡管理與監(jiān)測4040單一代理單一代理被管理的網絡設備中只有一個代理進程。它既要與管理進程進行相互通信，完成管理進程下達的各項操作指令。又要

22、對本設備進行管理，搜集該設備的相關信息數據。1、優(yōu)點：、優(yōu)點：簡單，容易實現，是早期代理的主要模式。2、缺點：、缺點：可擴展性差，MIB對代理的依賴比較嚴重，當被管理設備的MIB進行改變時，需要對該被管理設備的管理進程進行重新的開發(fā)和設計。計算機網絡管理與監(jiān)測4141委托代理委托代理委托代理也稱為外部代理模式，是一個中介，它使標準網絡管理系統能夠管理本來不能管理的網絡元素。委托代理是不從屬于被管理對象的，是單獨存在的。優(yōu)點：優(yōu)點：為管理進程創(chuàng)造了透明的管理環(huán)境。實現了對不受標準SNMP代理進程直接控制或不直接支持UDP/IP協議棧的網絡對象的管理。計算機網絡管理與監(jiān)測4242可擴展代理可擴展代

23、理1、單一代理和委托代理的缺點：、單一代理和委托代理的缺點：可擴展性比較差，一般一個代理只能支持一個MIB視圖，或多個MIB視圖共用一個代理。使用效率低，增加了代理的工作強度。2、可擴展代理：、可擴展代理：包含了一個主代理和多個子代理。多個子代理可以駐留在同一個網絡設備，或是相互連接的不同網絡設備中，主代理和子代理之間通過標準的接口進行通信。主代理負責處理來自管理進程的指令。每個子代理負責一個特定的MIB視圖。計算機網絡管理與監(jiān)測4343SNMP實現原理實現原理7、SNMP版本：版本：SNMPV1SNMPV2SNMPV3其中SNMPV1和SNMPV2使用最為普遍。計算機網絡管理與監(jiān)測4444S

24、NMPV11988年互聯網工程任務組IETF，對簡單網關監(jiān)控協議(SGMP)進行了修改和功能的擴充，重點加入了符合Internet定義的SMI和MIB 并發(fā)布。為SNMPV1。1、優(yōu)點：、優(yōu)點：簡單、易于實現，成本低廉。很好迎合硬件性能比較低的現狀?？缮炜s性強?？梢怨芾韼缀跛械姆螴NTERNET標準的網絡設備。健壯性強。耗費資源少，即使網絡設備發(fā)生嚴重錯誤時，也不會影響管理者的正常工作。計算機網絡管理與監(jiān)測4545SNMPV12、缺點：、缺點：數據結構非常簡單，數據類型非常單一。難以實現大批量數據的傳輸。安全性差，SNMPV1缺少身份驗證和加密機制。計算機網絡管理與監(jiān)測4646SNMPV2

25、IETF在1993年，對SNMPV1進行了改進（主要是安全性方面），發(fā)布了SNMPV2。1、優(yōu)點：、優(yōu)點：支持分布式網絡管理，拓展了管理范圍。增強了數據結構，豐富了數據類型，實現了大批量數據的傳輸，且豐富了管理功能。豐富了故障處理能力，對一些故障進行分析，為網絡管理員管理網絡提供決策支持。2、缺點：、缺點：SNMPV2并么有完全實現預期的目標，尤其是在安全性方面沒有得到提高。如身份驗證、加密、授權和訪問控制、適當的遠程安全配置和管理能力都沒有實現。SNMPV2對于身份的驗證是基于明文方式實現的。計算機網絡管理與監(jiān)測4747SNMPV23、SNMPV2C：IETF在1996年推出了SNMPV2的

26、改進型-SNMPV2C。將改進的重點放在了安全性方面。但由于SNMP簡單性的原則，造成了SNMPV2C的安全性仍然沒有實質的提高。繼續(xù)使用了SNMPV2基于明文的身份驗證方式。計算機網絡管理與監(jiān)測4848SNMPV31997年4月，IETF成立了SNMPV3工作組，開始著手SNMPV3的設計。SNMPV3的研究重點是安全性、可管理的體系結構和遠程配置等方面。1、SNMPV3引入的安全機制：引入的安全機制：鑒別模塊：鑒別模塊：實現數據完整性鑒別和數據源身份鑒別。時標模塊：時標模塊：用于檢驗報文的傳輸時延，確認報文時延在規(guī)定的時間窗口內。加密模塊加密模塊:實現對報文內容的加密，即管理進程與管理代理之間的通信引入了加密機制。防止數據泄露。計算機網絡管理與監(jiān)測4949SNMPV32、SNMPV3