第八章网管

NJUPT207第八章IP网络的管理NJUPT207第八章IP网络的管理网络管理概念：网络管理就是监视和控制一个复杂的计算机网络，以确保其尽可能长时间的正常运行，或者当网络出现故障时尽可能快地发现故障并排除故障，以便最大限度的发挥网络应有效益的过程。也就是说，网络管理包括对网络运行状态的监测和控制2个方面。NJUPT207网络管理的任务：收集网络中各种设备和系统的工作参数、运行状态信息；处理收集到的各种信息，并以各种各样的、可视化的方式呈现给网络管理人员；接受网络管理人员的指令，即实施网络控制功能，同时监视指令执行的结果；保证网络设备按照网络管理系统的要求工作。第八章IP网络的管理NJUPT207IP网络管理的发展ICMP（网络控制信息协议）echo/echoreply:测试实体间能否通信timestamp/timestampreply:测试网络延迟特性Ping程序1987年，简单网关监控协议（SGMP）通用网络管理方法：高层实体管理系统（HEMS）简单网络管理协议（SNMP）:SGMP的升级版TCP/IP上的CMIP(CMOT:CMIPOverIP）1993年安全版SNMPv21999年IETF提出了RFC2571-RFC2576，形成了SNMPv3的建议NJUPT207CMIP,SNMP和CORBASNMP-SimpleNetworkManagementProtocol简单网络管理协议:目前计算机网络中使用最广的网管协议，是事实上的工业标准；SNMP用于网络管理站和网络元素上代理间的管理信息通信。与SNMP密切相关的是网络管理数据的标准－－管理信息库（MIB）和管理信息结构规范（SMI）。MIB定义了特定的网络管理变量和它的含义，而SMI规定了用于定义和识别MIB变量原则。NJUPT207CMIP,SNMP和CORBACMIP（公共管理信息协议）是OSI制定的较全面的网管协议，但因其体系庞大、复杂、协议开销大，使用范围只局限于电信网的网管；CMIP采用报告机制，具有许多特殊设施和能力，需要能力强的处理机和容量大的存储器，反应较慢，成本高，并需要有证实的数据传送层。目前产品很少，但是未来广域网的管理标准。ISO公布的公共管理信息服务（CMIS）和公共管理信息协议（CMIP）是应用层的服务和协议，其目的是在管理员和代理间传送管理操作和结果，以实现网络的监视和控制。NJUPT207CMIP,SNMP和CORBACORBA(公用对象请求代理)是一种新兴起的分布式对象技术，在网管领域被看作是一种最有发展潜力的网管方式。基于ISO网络管理框架，而SNMP是基于TCI/IP的。NJUPT207网络管理配置管理性能管理故障管理计费管理安全管理NJUPT207配置管理该功能需要监视和控制的内容包括：网络资源及其活动状态；网络资源之间的关系；新资源的引入和旧资源的删除配置管理需要进行的操作内容包括：鉴别被管对象，标识被管对象；设置被管对象的参数；改变被管对象的操作特性，报告被管对象的状态变化；删除被管对象。NJUPT207配置管理的目的实现某个特定功能或使网络性能达到最佳。NJUPT207性能管理典型的网络性能管理分成性能监测和网络控制两部分。性能管理以网络性能为准则收集、分析和调整被管对象的状态，其目的是保证网络可以提供可靠、连续的通信能力并使用最少的网络资源和具有最少的时延。NJUPT207网络性能管理的功能从被管对象中收集与性能有关的数据；被管对象的性能统计，与性能有关的历史数据的产生、记录和维护；分析当前统计数据以检测性能故障，产生性能告警、报告性能事件；将当前统计数据的分析结果与历史模型比较以预测性能的长期变化；形成改进性能评价准则和性能门限；以保证网络的性能为目的，对被管对象和被管对象组的控制。NJUPT207故障管理故障管理是网络管理功能中与检测设备故障、故障设备的诊断、故障设备的恢复或故障排除等措施有关的网络管理功能。目的是保证网络能够提供连续、可靠的服务。NJUPT207故障管理功能检测被管对象的差错，或接收被管对象的差错事件通报；当存在空闲设备或迂回路由时，提供新的网络资源用于服务；创建和维护差错日志库，并对差错日志进行分析；进行诊断和测试，以追踪和确定故障位置、故障性质；通过资源更换或维护，以及其他恢复措施使其重新开始服务。NJUPT207计费管理计费管理记录网络资源的使用。目的是控制和监测网络操作的费用和代价。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理者还可以规定用户可使用的最大费用，从而控制用户过多占用和使用网络资源。NJUPT207计费管理功能统计网络的利用率等效益数据，以使网络管理人员确定不同时期和时间段的费率；根据用户使用的特定业务在若干用户之间公平、合理地分摊费用；允许采用信用记帐方式收取费用，包括提拱有关资源使用的帐单审查；当多个资源同时用来提供一项服务时，能计算各个资源的费用。NJUPT207安全管理网络中主要有以下几方面的安全问题：网络数据的私有性；授权；访问控制。网络安全管理应包括对授权机制、访问控制、加密和密钥的管理。另外还要维护和检查安全日志，包括：创建、删除，控制安全服务和机制；与安全相关信息的分发；与安全相关事件的通报。NJUPT2075大功能的关系上述五个不同的的管理功能需要的服务有许多是重复的。如：日志的建立、维护和控制。ISO把各管理功能域中共同的东西抽取出来，专门定义了一些管理功能服务来支持应用于不同的管理功能域。这些管理功能服务称为系统管理功能（SMF）。NJUPT207网络管理系统逻辑模型(ISO)管理信息数据库MIB管理进程管理系统被管系统管理协议被管对象:网络资源的抽象，由抽象语法记法ASN.1描述。对象的定义和封装包括属性、行为和通知。代理进程：管理相应被管对象的应用进程。管理进程：通过代理进程对被管对象实施管理。代理进程被管对象NJUPT207网络管理逻辑模型(Internet)网络管理进程(网控中心)被管对象管理代理被管对象管理代理被管对象管理代理被管对象管理代理NJUPT207网络管理的一般模型管理站因特网网络管理员被管设备——管理程序（运行SNMP客户程序）——代理程序（运行SNMP服务器程序）AAAAM被管设备被管设备被管设备MAA被管设备NJUPT207网管系统NJUPT207网络管理协议－SNMPTCP/IP网络MIB管理进程SNMPUDPIP网络接口代理进程SNMPUDPIP应用进程应用协议UDP/TCPIP网络接口代理进程SNMPUDPIP网络接口应用进程应用协议UDP/TCPIP代理进程SNMPUDPIP网络接口管理站主机主机路由器NJUPT207SNMP网管系统的组成管理信息库MIB(managementinformationbase)管理信息结构SMI(structureofmanagementinformation)SNMP协议(simplenetworkmanagementprotocol)NJUPT207MIB被管对象所维持的变量：能够被管理进程查询和设置的信息。被管对象以树状结构组织。MIB的定义与具体网络管理协议无关。SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。IETF规定的管理信息库MIB定义了可访问的网络设备及其属性，由对象识别符（OID：ObjectIdentifier）唯一指定。MIB是一个树形结构，SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。MIB-II是MIB-I的超集，为Internet的网络管理而开发。MIB-I和MIB-II都是是IAB已经批准的管理信息库的定义，包含在mgmt子树中。二者的对象标识符是相同的，因此在任何系统中，MIB-I和MIB-II只能配置一个。MIB对象命名树identifiedorganization(3)joint-iso-itu-t(2)iso(1)itu-t(0)根dod(6)internet(1)directory(1)management(2)expenrimental(3)private(4)mib-2(1)interface(2)...standard(0)registrationauthority(1)memberbody(2)...security(5)snmpv2enterprises(1)system(1)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)........................1.3.6.11.3.6.1.2.11.3.6.1.4.1关于系统的总体信息系统到子网接口的信息描述internet到subnet的地址映射关于系统中IP的实现和运行信息关于系统中ICMP的实现和运行信息关于系统中TCP的实现和运行信息关于系统中UDP的实现和运行信息关于系统中EGP的实现和运行信息NJUPT207MIB变量MIB变量所属类型含义sysUpTimesystem距上次重启动的时间ifNumberinterface网络接口数ipRouting/TableipIP路由表icmpInEchosicmp收到的ICMP回送请求数目tcpInSegsTCP已收到的TCP报文段数目udpInDatagarmsUDP已收到的UDP数据报数目egpInMsgsegp已收到的EGP报文数目NJUPT207SMI-StructureofManagementInformation管理信息结构SMI被定义为被管对象的规范说明和组织部分，为定义和构造管理信息库(MIB)提供了通用的框架。规定MIB变量由ASN.1抽象语言记法(abstractsyntaxnotationone)定义。NJUPT207SNMP协议TCP/IP网络管理系统管理应用进程SNMP管理程序UDPIP数据链路层getget-nextsetget-responsetrap被管系统被管对象SNMP代理程序UDPIP数据链路层getget-nextsetget-responsetrapSNMP报文NJUPT207SNMP的基本框架网络管理协议管理者和代理之间通过SNMP网络管理协议连接，它主要有以下操作：Get操作：管理者读取代理MIB中对象的值；Set操作：管理者设置代理MIB中对象的值；Trap操作：代理向管理者通报重要消息。NJUPT207SNMP报文编号名称用途0get-request查询1个或多个变量的值1get-next-request允许在一个MIB树上检索下一个变量（可反复进行）2get-response响应get/set报文，并提供差错码、差错状态等信息3set-request对1个或多个变量进行设置4trap向管理进程报告代理中发生的事件NJUPT207SNMP报文格式Manager和Agent之间以传送SNMP消息的形式交换信息，而SNMP代理和管理站通过SNMP协议中的标准消息进行通信，每个消息都是一个单独的数据报。SNMP使用UDP（用户数据报协议）作为第四层协议（传输协议），进行无连接操作。版本识别符（versionidentifier）：确保SNMP代理使用相同的协议，每个SNMP代理都直接抛弃与自己协议版本不同的数据报。团体名（CommunityName）：用于SNMP从代理对SNMP管理站进行认证；如果网络配置成要求验证时，SNMP从代理将对团体名和管理站的IP地址进行认证，如果失败，SNMP从代理将向管理站发送一个认证失败的Trap消息；其中PDU指明了SNMP的消息类型及其相关参数PDUtyperequest-idvariable-bindingsNJUPT207SNMP消息处理过程SNMP消息的发送过程如下：①构成PDU；②将构成的PDU、源和目的传送地址以及一个community名传给认证服务；③SNMP协议实体将版本字段、