现代网络通信的监控与管理

·1现代网络通信的监控与管理目录1.引言.......................................................22.SNMP的背景知识.................................33.SNMP的信息.........................................44.SNMP管理系统工作原理.....................55.网络管理系统的发展...........................76.系统的发展背景...................................87.网络管理的应用及意义...............................8·2引言最初的综合网络管理系统（INMS）是一个理想化的网络管理系统。通过该系统，网络管理者可以以一种操作界面和网管系统实现对被管理领域中各种异构网络的全面管理。异构的情况包括：不同的网络管理接口协议、不同的管理信息模型、不同的网络管理需求等。另一方面，综合网络管理系统又是一个抽象的网络管理系统。因为目前网络和网络的管理接口还不能完全达到开放化和标准化的水平，而且综合网络管理系统所覆盖的范围实在太大，所以很难具体地定义综合网络管理系统的实现方法、技术或结构，而只能在有限的范围内完成这项工作，或者从概念上定义理想的综合网络管理系统（如简单网络管理协议（SNMP）和电信管理网（TMN）的综合网络管理的实现方法、接口描述语言（IDL）和SNMP的综合网络管理的实现方法等），或者根据具体的被管理网络定义实现方案。只有这样，综合网络管理问题才可以被具体化、实例化。目前应用最为广泛的一种综合网络管理系统的框架结构。从该图中可以看到目前经常遇到的几种网络管理接口，包括SNMP、通用管理信息协议（CMIP）、公共对象请求代理体系结构（CORBA）以及某些网管系统（如图11-4中的网络管理系统A）提供的应用程序接口（API）。通过适配器，这些网管接口所提供的信息将经过软总线接入到综合网络管理系统。在综合网络管理系统内部，网络管理信息将被进行统一化表现，这也是实现综合网络管理系统的基础，并将有利于·3管理者对各种网络进行统一管理。各个适配器和网络管理者之间通过软总线进行通信，软总线负责传递被翻译过的网络管理信息，其灵活、强大和方便的通信功能为管理者和各个适配器之间进行通信和方法调用提供了重要保障。但是，在现实的通信网络中，还有一些系统（如图11-4中的网络管理系统B）因为不具备开放和标准的接口，同时没有提供任何API，所以无法被接入到综合网络管理系统中，因此对实现综合网络管理系统造成了巨大障碍。对此目前还没有良好的解决方法，只能逐步将它们淘汰出市场。网络管理的问题从提出到现在已经有很长一段时间了，期间也取得了不小的进步，但是从根本上讲，目前还没有出现相对成熟和完整的解决方案，仍需进一步探索和研究。SNMP背景知识SNMP开发于九十年代早期，其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包，如HP的OpenView和NortelNetworks的OptivityNetworkManagementSystem，还有MultiRouterTrafficGrapher（MRTG）之类的免费软件，都用SNMP服务来简化网络的管理和维护。由于SNMP的效果实在太好了，所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种网络设备上都可以看到默认启用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。·4仅仅是分布广泛还不足以造成威胁，问题是许多厂商安装的SNMP都采用了默认的通信字符串（例如密码），这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备，无需经过复杂的配置。通信字符串主要包含两类命令：GET命令，SET命令。GET命令从设备读取数据，这些数据通常是操作参数，例如连接状态、接口名称等。SET命令允许设置设备的某些参数，这类功能一般有限制，例如关闭某个网络接口、修改路由器参数等功能。但很显然，GET、SET命令都可能被用于拒绝服务攻击（DoS）和恶意修改网络参数。最常见的默认通信字符串是public（只读）和private（读/写），除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上，都可以找到某种形式的默认通信字符串。SNMP的信息MIB，ManagementInformationBase：管理信息库，由网络管理协议访问的管理对象数据库，它包括SNMP可以通过网络设备的SNMP管理代理进行设置的变量。SMI，StructureofManagementInformation：管理信息结构，用于定义通过网络管理协议可访问的对象的规则。SMI定义在MIB中使用的数据类型及网络资源在MIB中的名称或表示。使用SNMP进行网络管理需要下面几个重要部分：管理基站，管理代理，管理信息库和网络管理工具。·5管理基站通常是一个独立的设备，它用作网络管理者进行网络管理的用户接口。基站上必须装备有管理软件，管理员可以使用的用户接口和从MIB取得信息的数据库，同时为了进行网络管理它应该具备将管理命令发出基站的能力。管理代理是一种网络设备，如主机，网桥，路由器和集线器等，这些设备都必须能够接收管理基站发来的信息，它们的状态也必须可以由管理基站监视。管理代理响应基站的请求进行相应的操作，也可以在没有请求的情况下向基站发送信息。MIB是对象的集合，它代表网络中可以管理的资源和设备。每个对象基本上是一个数据变量，它代表被管理的对象的一方面的信息。最后一个方面是管理协议，也就是SNMP，SNMP的基本功能是：取得，设置和接收代理发送的意外信息。取得指的是基站发送请求，代理根据这个请求回送相应的数据，设置是基站设置管理对象(也就是代理)的值，接收代理发送的意外信息是指代理可以在基站未请求的状态下向基站报告发生的意外情况。SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。在分立的管理站中，管理者进程对位于管理站中心的MIB的访问进行控制，并提供网络管理员接口。管理者进程通过SNMP完成网络管理。SNMP在UDP、IP及有关的特殊网络协议(如，Ethernet,FDDI,X.25)之上实现。SNMP管理系统工作原理·6在典型的SNMP用法中，有许多系统被管理，而且是有一或多个系统在管理它们。每一个被管理的系统上又运行一个叫做代理者（agent）的软件元件，且通过SNMP对管理系统报告资讯。基本上，SNMP代理者以变量呈现管理资料。管理系统透过GET，GETNEXT和GETBULK协定指令取回资讯，或是代理者在没有被询问的情况下，使用TRAP或INFORM传送资料。管理系统也可以传送配置更新或控制的请求，透过SET协定指令达到主动管理系统的目的。配置和控制指令只有当网络基本结构需要改变的时候使用，而监控指令则通常是常态性的工作。可透过SNMP存取的变量以阶层的方式结合。这些分层和其他元数据（例如变量的类型和描述）以管理信息库（MIBs）的方式描述。应用模型SNMP是基于TCP/IP协议族的网络管理标准，是一种在IP网络中管理网络节点（如服务器、工作站、路由器、交换机等）的标准协议。SNMP能够使网络管理员提高网络管理效能，及时发现并解决网络问题以及规划网络的增长。网络管理员还可以通过SNMP接收网络节点的通知消息以及告警事件报告等来获知网络出现的问题。SNMP管理的网络主要由三部分组成：被管理的设备SNMP代理网络管理系统（NMS）·7网络中被管理的每一个设备都存在一个管理信息库（MIB）用于收集并储存管理信息。通过SNMP协议，NMS能获取这些信息。被管理设备，又称为网络单元或网络节点，可以是支持SNMP协议的路由器、交换机、服务器或者主机等等。SNMP代理是被管理设备上的一个网络管理软件模块，拥有本地设备的相关管理信息，并用于将它们转换成与SNMP兼容的格式，传递给NMS。NMS运行应用程序来实现监控被管理设备的功能。另外，NMS还为网络管理提供大量的处理程序及必须的储存资源。网络管理系统的发展第一版SNMP第一版和SMI规格的资料型态SNMP第一版SMI指定许多SMI规格的资料型态，它们被分为两大类：简单资料型态泛应用资料型态SNMPv1使用基于团体名进行报文认证第二版SNMP第二版和管理资讯结构SNMP第二版SMI在RFC2578之中描述，它在SNMP第一版的SMI规格资料型态上进行增加和强化，例如位元串（bitstrings）、网络地址（networkaddresses）和计数器（counters）。SNMP协定在OSI模型的应用层（第七层）运作，在第一版中指定五种核心PDU：GETREQUESTGETNEXTREQUESTGETRESPONSESETREQUESTTRAP其他PDU在SNMP第二版加入，包含：·8GETBULKREQUESTINFORMSNMP第二版SMI资讯模块SNMP第二版SMI也指定了资讯模块来详细说明一群相关连的定义。有三种SMI资讯模块：MIB模块、回应状态、能力状态。第三版SNMP第三版SNMP第三版由RFC3411-RFC3418定义，主要增加SNMP在安全性和远端配置方面的强化。SNMP第三版提供重要的安全性功能：信息完整性：保证封包在传送中没有被篡改。认证：检验信息来自正确的来源。封包加密：避免被未授权的来源窥探。SNMPv3定义了基于用户的安全模型，使用共享密钥进行报文认证。SNMPv3中引入了下列三个安全级别。noAuthNoPriv：不需要认证，不提供隐私性（加密）。authNoPriv：基于HMAC-MD5或HMAC-SHA的认证，不提供加密。authPriv：除了认证之外，还将CBC-DES加密算法用作隐私性协议。[管理信息系统的发展背景20世纪，随着全球经济的蓬勃发展，众多经济学家纷纷提出了新的管理理论。20世纪50年代，西蒙提出管理依赖于信息和决策的思想。同时期的维纳发表了控制论，他认为管理是一个过程。1958年，盖尔写到：“管理将以较低的成本得到及时准确的信息，做到较好的控制。”这个时期，计算机开始用于会计工作，出现数据处理一词。[2]1970年，WalterT.Kennevan给刚刚出现的管理信息系统一词下了一个定义：“以口头或书面的形式，在合适的时间向经理、职员以及外界人员提供过去的、现在的、预测未来的有关企业内部及其环境的信息，以帮助他们进行决策。”在这个定义里强调了用信息支持决策，但并没有强调应用模型，没有提到计算机的应用。[2]1985年，管理信息系统的创始人，明尼苏达大学的管理学教授GordonB.Davis给了管理信息系统一个较完整的定义，即“管理信息系统是一个利用计算机软硬件资源，手工作业，分析、计划、控制和决策模型以及数据库人－机系统。它能提供信息支持企业或组织的运行管理和决策功能。”这个定义全面地说明了管理信息系统的目标、功能和组成，而且反映了管理信息系统在当时达到的水平。[2]网络管理的应用及意义·9例一PHILIPS光源事业部要求各分销商建立统一的综合采购计划，规范各分销商的财务、业务信息系统，并且从各个层面考核分销商的管理水平、经营业绩，以保持总公司的经营业绩和企业形象。[3]PHILIPS光源事业部使用了用友ERP/U8网络分销系统，通过采用互联网技术，从根本上解决了企业跨地域分销用友ERP/U8网络分销系统分布而带来的异地业务协同和管理监控的难题。用友ERP/U8网络分销系统是一个完全基于Web的数据库应用程序（技术特点），不是一个简单的页面，而是可以处理复杂商业逻辑，强而有力的管理和强大的数据分析、挖掘能力的应用程序，而且具有传统应用程序使用上的一切优点。[3]PHILIPS公司的分销管理系统包括了总账、应收应付、UFO表等财务系统模块