网络管理技术

网络安全与管理网络安全管理主要内容8.1网络管理任务分析8.2网络管理技术概述8.3网络配置管理8.4网络故障管理8.5网络安全管理8.6网络性能管理8.7模拟公司网络管理实现Page28.12网络管理任务分析模拟公司网络管理任务主要包括：（1）在相关网络管理软件协助下，及时了解网络拓扑变化，包括网络内路由器、三层交换机、接入层交换机之间，与其它设备之间的物理连接关系，局域网划分、VLAN划分等。（2）在相关网络管理软件协助下，及时检测广域网线路各条线路的流量，统计过去任何一段时间，任何一条线路的输入输出、总流量以及丢包率、错包率；以实时更新的流量统计方式对网络流量状况进行监测；能统计各线路丢包率、错包率，为线路性能的分析提供科学依据。（3）在相关网络管理软件协助下，及时发现网络故障发生点。记录网络设备、线路、终端、病毒、非法入网、违规操作、相关告警设置等各种严重和一般告警信息。（4）在相关网络管理软件协助下，进行设备的配置管理。（5）在相关网络管理软件协助下，进行日志管理，分门别类记录网络的各种故障；对网络的各类运行情况进行统计，掌握网络动态。（6）在相关网络管理软件协助下，进行安全管理，例如对使用Internet线路的网络连接使用加密技术进行保护，定期对网络进行安全审计等。8.2网络管理技术概述8.2.1网络管理模型8.2.2网络管理体系结构8.2.3SNMP协议8.2.4MIB与SMI8.2.5网络管理工具8.2.1网络管理模型ISO的FCAPS模型-将网络管理分为故障管理（FaultManagement）、配置管理（ConfigurationManagement）、记帐管理（AccountingManagement）、性能管理（PerformanceManagement）、安全管理（SecurityManagement）五个方面。（1）故障管理网络故障对网络中故障进行检测、隔离、报告和修复。故障管理的目标是保证计算机网络组件的稳定性、可用性和可服务性，即Reliability，AvailabilityandServiceability，简称RAS。故障管理包括以下功能：-检测被管对象的差错现象，接收被管对象的差错事件报告（也称故障单，TroubleTicket）；-执行诊断测试、确定故障位置和性质；-当存在备用设备或迂回路由时，提供新的网络资源用于服务；-通过设备的维护或更换等措施进行修复；-维护差错日志文件，记录差错信息，分析故障原因。（2）配置管理配置管理是提供了标识、收集、更改网络配置数据的功能，目的是为了实现网络的最优化服务功能。网络配置管理功能包括：-收集网络配置信息；-修改网络配置信息；-安装软件；-存取配置信息；-发现和显示网络的拓扑结构；-生成配置报告。（3）记帐管理记帐管理用来度量网络资源的使用情况，目的是控制和监测各类网络服务的费用和成本。记帐管理功能一般包括：-记录用户使用网络资源的情况和计算费用；-统计网络利用率等效益数据，为网络运营部门提供制定资费政策的依据。（4）性能管理性能管理的主要功能是以网络性能为准收集、分析和调整被管对象的状态，其目的是保证网络提供可靠、连续的服务。网络性能管理一般包括：-从被管对象中收集、统计与性能有关的数据，并产生相应记录-分析性能信息，检测性能故障，产生性能告警等报告-预测性能的长期变化趋势-控制被管对象，保证网络的性能指标（5）安全管理网络安全管理包括进网安全防护，限制非法入侵者入网；应用软件访问的安全防护，检查用户访问软件的权限；网络传输信息的安全防护，对网络传输信息的加密、防”窃听”、防破坏和篡改等等。网络安全管理完成的功能一般包括：-安全措施信息的管理，如用户口令、密钥、访问权限的管理，并根据安全措施信息判断非法操作，拒绝非法操作。-安全审查，检查网络各种潜在安全漏洞；-安全报告，对影响网络安全事件进行记录、形成报告-网络操作事件的记录，记录用户登录、退出，记录涉及网络安全的网络操作，以便进行安全追查等事后分析。8.2.2网络管理体系结构网络管理体系结构，主要包括四部分：网络管理实体、网络管理协议、管理代理、管理信息库。8.2.2网络管理体系结构网络管理实体（Entity）即网络管理系统（NetworkManagementSystem）进程，它向运行在各网络设备上的网络管理代理（Agent）程序发出指令，对各种网络设备、网络资源进行监控和控制。网络管理协议是网络管理实体与网络管理代理程序间进行通信所遵守的规则和约定。7.1.2网络管理体系结构管理信息库（ManagementInformationBase，MIB）是被管理对象的信息集合。网络管理代理是驻留在网络设备、网络资源等网络实体上的，被网络管理实体控制的进程，它接收网络管理实体发来的指令，从管理信息库中读取或修改被管理对象的各种配置信息，并能以通知的形式向网络管理实体报告被管理对象上发生的重要事件。7.1.3SNMP协议SNMP网络管理协议的基本工作原理是-使管理者通过轮询被管代理，和被管代理自动发给管理者的陷阱（trap）信息，来设置一些被管对象的属性和监控一些网络事件的发生，从而达到网络管理目的。SNMP是基于TCP/IP协议的应用层协议，采用无连接的传输层协议UDP传送网络管理报文SNMP的结构分为SNMP管理者（SNMPManager）和SNMP代理（SNMPAgent）。每一个支持SNMP的网络设备中包含一个SNMP代理，它随时记录网络设备的各种情况。网络管理进程通过SNMP协议查询或修改代理所记录的信息。SNMP的工作原理非常简单，在SNMP的管理者（运行网络管理系统的计算机）和SNMP代理（被管设备、实体）之间实时传递网络管理信息（PDU）。SNMP只提供的管理操作有：-管理进程从代理处获取被管对象的信息；-管理进程通过代理设置或修改被管对象的属性。8.2.4MIB与SMIMIB-是被管对象信息的集合，表示网络中各种网络设备、网络资源的状态管理信息结构（StructureofManagementInformation，SMI-规范MIB中网络管理信息的表示方式-各种被管对象表示、命名的方法8.2.5网络管理工具网络管理平台部分管理功能的网络管理工具检测一项网络状态的命令行工具8.3网络配置管理1.收集网络配置信息2.修改网络配置信息3.发现和显示网络的拓扑结构1.收集网络配置信息网络配置信息收集方式配置文件使用ftp、tftp工具传送配置文件。网络节点配置、状态信息使用telnet、ssh远程登录网络设备查看配置、状态信息MIB使用网络管理软件通过SNMP代理收集配置信息。序号操作相关命令必要步骤1指定可以访问防火墙的主机telnet是步骤2指定telnet访问使用的口令passwd是步骤3指定telnet会话空闲时间telnettimeout可选步骤4检查Telnet配置showrunning-config可选步骤5管理Telnet会话whokill可选2.修改网络配置信息修改网络配置信息的方式-一种是通过远程访问，例如Telnet、ssh；-另一种是通过网络管理软件3.发现和显示网络的拓扑结构8.4网络故障管理8.4.1网络故障监测网络管理中监测网络故障的方式有两种：-异步告警-主动轮询异步告警是指网络设备在发生故障后，主动向网络管理系统发出警报；主动轮询是指由网络管理软件定期查询网络节点状态。8.4.2网络故障分析定位1.分层排查网络故障2.分段排查网络故障3.替换法排查网络故障4.比较法排查网络故障1.分层排查网络故障2.分段排查网络故障分段排查网络故障是指以网络拓扑为参考，沿网络连接，逐段检查网络故障点的故障排除方法。分段排查时，可使用“二分法”提高检查效率。3.替换法排查网络故障替换法是指用另外的网络组件替换当前网络组件，以检测当前网络组件是否存在问题的故障排查方法。4.比较法排查网络故障比较法是指将故障点与其它相似的网络环境进行比较，以帮助分析故障发生原因。例如，当网络中某个节点无法连接到网络时，可检查网络中其他节点情况，如果仅该节点存在网络连通性问题，则可以认为问题出在该节点上。8.5网络安全管理8.5.1网络安全管理概述8.5.1网络安全审查8.5.2入侵检测与入侵防御8.5.3防病毒技术8.5.4记录安全日志8.5.1网络安全管理概述1.网络安全管理目标和对象2.网络安全管理工作流程3.网络安全管理技术4.网络安全管理需遵循的标准与制度1.网络安全管理目标和对象网络安全管理目标可归纳为如下5个方面：-机密性：网络上传输的信息受到保护，只能被指定用户读取。-完整性：网络能保证信息通过网络传输时不被破坏、篡改。-可用性：网络能够提供稳定、持续的网络服务，得到授权的用户可以按照指定的途径访问网络资源。-抗抵赖性：网络提供事件记录、身份认证等功能，使网络实体无法抵赖已经发生的网络行为。-可控性：网络具有可管理性，能够被监测和控制。1.网络安全管理目标和对象网络安全管理涉及网络系统各个方面，包括：-物理环境安全、人员安全、访问控制、备份与恢复等。网络安全管理的对象包括-网络系统中的主机、网络设备、网络链路线路、使用网络的个体、网络赖以存在的物理环境、网络配置信息、软件、数据等各个方面。2.网络安全管理工作流程3.网络安全管理技术目前常用的网络安全管理技术如下所示：-加密技术-认证技术-防火墙、访问过滤技术-VPN技术-入侵检测与防御技术-防病毒技术-备份与恢复技术-安全风险扫描技术4.网络安全管理需遵循的标准与制度网络系统安全级别进行定义-GB17859-1999《计算机信息系统安全保护等级划分准则》对信息安全技术安全性进行定义-GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》对网络物理安全进行定义-GB9361-1988《计算机站场地安全要求》、GB2887-2000《电子计算机场地通用规范》、GB50174-1993《电子计算机机房设计规范》等8.6网络性能管理8.6.1网络性能管理概述1.网络性能管理流程2.网络性能指标3.采集网络性能数据的方法1.网络性能管理流程2.网络性能指标（1）网络总体性能指标：网络连通性、网络吞吐量、网络资源利用率、响应时间等。（2）网络节点性能指标：吞吐量、转发率、丢包率、节点处理时延等。（3）链路性能指标：带宽、信道利用率、带宽利用率等（4）网络服务的性能指标：服务响应时间、最大并发连接数等。3.采集网络性能数据的方法（1）利用驻留在网络节点上的网络管理代理程序，采集网络性能数据。（2）观察网络现有流量。（3）制造测试流量，并观察网络处理测试流量的情况。8.6.2利用网络节点上的网管代理监测网络性能1.网络设备SNMP代理配置2.网络性能监控软件的安装配置1.网络设备SNMP代理配置序号操作相关命令必要步骤1定义SNMP共同体snmp-servercommunity是步骤2指定SNMP管理实体地址snmp-serverhost是步骤3启用SNMP代理通知snmp-serverenabletraps是步骤4检查SNMP代理配置showrunning-configureshowsnmp可选（1）定义SNMP共同体在CiscoIOS路由器或交换机上创建SNMP共同体的操作为，在全局配置模式下输入：snmp-servercommunitysnmp共同体名[snmp访问权限]（2）指定SNMP管理实体地址在CiscoIOS路由器或交换机上指定SNMP管理实体地址的操作为，在全局配置模式下输入：snmp-serverhostsnmp管理实体IP地址snmp共同体名（3）启用SNMP代理通知在CiscoIOS路由器或交换机上启用SNMP代理向网络管理实体发送通知的操作为，在全局配置模式下输入：snmp-serverenabletr