计算机网络：第9章 网络安全与网络管理1

9.4网络管理技术9.4.1网络管理的基本概念

网络管理涉及以下三个方面：网络服务是指向用户提供新的服务类型、增加网络设备、提高网络性能；网络维护是指网络性能监控、故障报警、故障诊断、故障隔离与恢复；网络处理是指网络线路、设备利用率数据的采集、分析，以及提高网络利用率的各种控制。

12网络管理,简称为网管:包括对硬件、软件和人力的使用、综合与协调，以便对网络资源进行监视、测试、配置、分析、评价和控制，这样就能以合理的价格满足网络的一些需求，如实时运行性能，服务质量等。网络管理并不是指对网络进行行政上的管理。网络管理系统的基本结构：管理对象

管理对象是经过抽象的网络元素，对应于网络中具体可以操作的数据。管理进程管理进程是负责对网络设备进行全面的管理与控制的软件。3管理协议管理协议负责在管理系统与被管理对象之间传递与负责操作命令。管理信息库管理信息库是一个概念上的数据库，它是由管理对象组成的4.网络管理的目标减少停机时间，改进响应时间，提高设备利用率；减少运行费用，提高效率；减少或消除网络瓶颈；适应新技术；使网络更容易使用；安全。5在OSI管理体系结构中，定义了五个管理功能：①性能管理（PerformanceManagement）；②配置管理（ConfigurationManagement）；③记账（计费）管理（AccountingManagement）；④故障管理（FaultManagement）；⑤安全管理（SecurityManagement）。69.4.2OSI管理功能域1.性能管理性能管理的目标是衡量和呈现网络性能的各个方面，使人们能在一个可接受的水平上维护网络的性能。保证网络能提供可靠、连续的通信能力.对一系列的性能变量实施连续监控来实现的。性能变量:如网络吞吐量、用户响应时间、传输延时和线路利用率等。7性能管理包含以下几个步骤：①收集网络管理者感兴趣的那些变量的数据；②分析这些数据，以判断是否处于正常水平；③为每个重要的变量决定一个合适的性能阀值，超过该限值就意味着出现了值得注意的网络故障，管理实体不断地监视性能变量，当某个性能阀值被超过时，就产生一个报警，并将该报警发送到网络管理系统。8。2.配置管理

配置管理的目标是监视网络和系统配置信息，以便跟踪和管理不同的软、硬件单元的配置及其变化情况。配置信息对于维持一个稳定运行的网络是十分重要的。每个网络设备均有一系列不同版本的信息，例如，一台工程工作站可能的配置有那些？为了便于访问，配置管理子系统将上述信息存储在数据库中，当发生故障时，可从该数据库中查询到解决故障所需的相关信息。①Windows操作系统，版本2003SP1；②以太网接口，版本5.4；③TCP/IP软件，版本2.0；④Netware软件，版本4.1；⑤串行通信控制器，版本1.1；⑥X.25软件，版本1.0；⑦SNMP软件，版本2.0。9用来定义、识别、初始化、监控网络中的被管对象，改变被管对象的操作特性，报告被管对象的状态变化。3.计费管理计费管理的目标是衡量网络的利用率，以便使一个或一组网络用户可以更有规则地利用网络资源为了达到计费管理的目的，必须通过性能管理测量出所有重要的网络资源的利用率，对其结果的分析就可以产生计费信息和以及可用于资源利用率优化的信息。10记录用户使用网络资源的情况并核收费用，统计网络利用率。4.故障管理

故障管理的目标是自动地检测、记录网络故障并通知给用户。故障管理是所有网络管理的实施中首先被考虑的管理要素。为什么？故障管理包含几个步骤：搜集故障信息判断故障症状；修复、隔离该故障；记录故障检测信息及其修复结果。115.安全管理安全管理的目的是控制对网络资源的安全访问，以保证网络不被侵害（有意识的或无意识的），并保证重要的信息不被未授权的用户访问。安全管理子系统将网络资源分为授权和未授权两大类安全管理子系统执行以下几种功能：①标识重要的网络资源（包括系统、文件和其他实体）；②确定重要的网络资源和用户集间的映射关系；③监视对重要网络资源的访问；④记录对重要网络资源的非法访问。129.4.3简单网络管理协议SNMP

1、Internet网络管理模型13

管理进程是一个或一组软件程序，一般运行在网络管理中心的主机上，由管理代理来执行各种管理操作，实现对网络内的各种设备、设施和资源的控制。操作人员通过管理进程对全网进行管理。管理进程通过图形用户接口，以容易操作的方式显示各种网络信息、网络中各管理代理的配置图等。14管理代理是一种在管理的网络设备中运行的软件，它负责执行管理进程的管理操作。管理代理直接操作本地信息库，可以根据要求改变本地信息库，或者是将数据传送到管理进程。管理代理具有两个基本管理功能：读取管理信息库中各种变量值，修改管理信息库中各种变量值。15管理者—代理的网络管理模型2、简单网络管理协议SNMP（SimpleNetworkManagementProtocol，简单网络管理协议）最初是为符合TCP/IP的网络管理而开发的一个应用层的协议。主导思想是尽可能简洁、清晰，因此比OSI网络管理体系要简单的多。SNMP建立在TCP/IP传输层的UDP协议之上，提供的是不可靠的无连接服务，以保证信息的快速传递和减少对带宽的消耗。SNMP协议到目前为止已有三个版本：SNMP1.0版本是初始版本；SNMP2.0版本增加了安全性方面的功能，并在操作性和管理体系结构方面作了较大改进。目前最新的版本是SNMP3.0。16课件制作人：谢希仁SNAM网络管理的一般模型管理站因特网网络管理员

被管设备——管理程序（运行SNMP客户程序）——代理程序（运行SNMP服务器程序）AAAAM

被管设备

被管设备

被管设备MAA

被管设备网管协议18SNMP的层次关系被管理系统（管理对象）被管理系统是被管理的所有网络上的设备，包括主机、集线器、交换器、网桥、通信服务器、路由器等，它们广泛分布在不同的地理位置。在各个可管理的网络设备中都有一个特殊的软件，称为Agent（代理）。Agent能监测所在网络设备及其周围的局部网络的工作状况，收集网络运行的有关信息。Agent响应网络管理系统（NMS）中来自管理者（Manager）的定期轮询、接受管理者设置某个变量的指令以及在某些紧急事件发生时（例如设定的阈值超出时）主动向NMS发起Trap（陷阱）报警。MIB（管理信息库）通常位于相应的Agent上，所有相关的被管对象的网络信息都放在MIB上。19SNMP网管协议网络管理协议规定在管理者和代理之间使用协议数据单元（PDU）进行通信以实现被管设备与NMS间的协同管理操作。基于因特网标准的网络管理结构假定了一种远程检测的范例，在该范例中，被管设备应NMS要求，维护着一系列变量和报告。例如，一个被管设备可能跟踪以下内容：虚电路的状态和数量、接收到特定类型的错误信息的数量、出入设备的报文个数和字节数、最大的输出队列长度（对于路由器和其他网络互联设备）、发送和接收的广播信息以及活动的和不活动的网络接口等等。20SNMP协议操作命令类型如果NMS想要控制一个被管理设备，它可以向被管理设备发出一个信息，并通过改变被管理设备的一个或多个变量的值来实现对被管设备的控制。被管理设备发起或响应四种类型的命令:读：NMS利用该命令来监视被管理设备，NMS从被管设备中读取变量。写：NMS利用该命令来控制被管理设备，NMS将变量写入被管设备中。移动操作：NMS利用该命令判定被管理设备支持哪些变量，并将信息收集到变量表中。陷阱（trap）：被管理设备用该命令来向NMS异步报告某种事件的发生。21管理信息库（MIB）管理信息库（MIB）是管理进程的一部分，用于记录网络中被管理对象的状态参数值；一个网络的管理系统只能有一个管理信息库，但管理信息库可以是集中存储的，也可以由各个网络设备记录本地工作参数；网络管理员只要查询有关的管理信息库，就可获得有关网络设备的工作状态和工作参数；在网络管理过程中，使网络管理信息库中数据与实际网络设备的状态、参数保持一致的方法主要有两种：事件驱动与轮询驱动方法。

2223轮询驱动方法：SNMP管理进程定时向被管理设备周期性地发送探询信息以维持对网络资源的实时监视,事件驱动：即当被管对象的代理检测到有事件发生时，就检查其门限值。代理只向管理进程报告达到某些门限值的事件3.网络管理平台引出了开放的统一的网络管理平台的原因网络管理平台向上为各类专用网管应用程序提供了统一的标准应用程序接口（API），各厂商的专用网管应用程序经API及平台可直接管理各自的设备，而不同网管应用程序可利用网管平台的资源横向得到集成和统一，并获得更高层次的统一管理方案。此外，平台厂商和用户亦可用API接口扩展网管功能。应用1应用2应用3平台厂商提供的网管软件用户开发的网管应用网络管理平台网络管理平台网络管理平台本身是一个支持SNMP的提供网管基本服务的软件，目前比较著名的平台有：HP的OpenView，Sun的SunNetManager，IBM的NetView，3COM的Transcend，Novell的NMS和Cisco的CiscoWorks2000等。提供的图形用户界面（GUI）。基于Unix的环境基于Windows的环境网管平台功能可以通过对SNMP各代理的轮询以及接受代理发来的事件报文创建和维护各种类型的数据库。其内容可包括网络设备的设置、状态、对象标志符、对象名称、IP地址、网络拓扑构形图等，还包括注册事件在内的各种事件、网络通信状态及历史网络通信量等记录。还能利用网管平台具有的图形工具为用户界面显示网络扑拓构形图。网管平台对事件有过滤处理能力，对事件能以事件日志记入数据库并经过滤后对其中一些事件能经API传送给相应的网络管理应用。9.4.4网络管理系统的各种实现结构集中式网络管理结构集中式结构的变形分布式结构分层结构2728集中式网络管理结构集中式网络管理结构集中式体系结构是最常用的一种网络管理模式，它由一个单独的管理者负责整个网络的管理工作。该管理者处理与被管网络单元的代理之间的通信，提供集中式的决策支持和控制，并维护管理者的管理数据库。这种方式的主要不足是当被管网络规模扩大或者结构复杂性增大时自身的管理能力不能随之进行相应的扩充。但是在多数情况下首选的都是集中式控制。集中式结构的变形集中式结构的变形31集中式体系结构的一种变形是平台方案将管理者划分成两部分：管理平台和各种管理应用程序。管理平台作为处理管理数据的第一级，主要涉及信息收集，提供诸如监控、流量计算等关键管理服务，同时向应用程序提供数据处理报告摘要。应用程序运行在数据处理的第二级，提供各种系统管理功能、处理决策支持等比信息收集和简单计算更高级的功能。两部分通过公共应用程序接口（API）进行通信。该体系结构具有较方便的系统维护性和扩展性，并简化了在异种主机、多厂商、多管理协议环境中综合程序的开发工作。异构性和协议复杂性只在平台级处理一次，不必在每个应用程序中考虑。扩展能力的有限性是集中式结构所固有的。此外，实践证明当应用程序的数量增加时，平台是一个严重的瓶颈。分布式结构分布式结构33分布式结构与管理域（按照地域、组织和其他方式定义的域）的概念相关，并且系统中使用了一个以上同等级别的管理者。因为它为每个域设置一个管理者，因此很适合于多域的大型网络结构。当需要另一个域的管理信息时，管理者通过与同级的系统通信来获取。这种结构的主要优点是扩展性好，通过建立更多的管理域以及增加相应数量的管理者可以满足更高的性能要求和扩充性。分层结构分层结构35分层结构也应用了在每个管理域中配置管理者的模式。每个域管理者只负责本域的管理，不关心网络内的其他域的情况。所有管理者的管理系统（MoM）位于更高的层次，从各域管理者获取管理信息。与分布式结构不同，域管理者之间并不通信。这种结构能很容易地扩展，并且可以增加一个以上的