安全網(wǎng)管技術(shù)-網(wǎng)絡(luò)管理系統(tǒng)及SNMP協(xié)議.ppt

1 安全網(wǎng)管技術(shù) 網(wǎng)絡(luò)管理系統(tǒng)及SNMP協(xié)議 本章主要內(nèi)容網(wǎng)絡(luò)管理概述TCP IP網(wǎng)絡(luò)管理體系結(jié)構(gòu)SNMP網(wǎng)絡(luò)管理協(xié)議管理信息庫(kù) MIB 2 參考資料 計(jì)算機(jī)網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)與應(yīng)用 白英彩等 清華大學(xué)出版社CiscoNetworkers2003文檔http 210 45 224 8 james cw2003 index xmlhttp 210 45 224 8 james cw2003 NMS 1001 pdf 3 ServiceDesign ManagementSolutions Configuration ChangeManagementSolutions Resource PerformanceManagementSolutions Systems ApplicationsManagementSolutions NetworkManagementSolutions Backup StorageManagementSolutions Desktop SoftwareManagementSolutions ServiceLevelPlanning Management Desktop SoftwareManagement Operations AvailabilityManagement ConfigurationManagement ChangManagement ITServiceManagement 4 3 1網(wǎng)絡(luò)管理概述 網(wǎng)絡(luò)管理歷史網(wǎng)絡(luò)管理與電信網(wǎng)絡(luò)的歷史一樣長(zhǎng) 接線員能進(jìn)行有限的管理隨著程控交換機(jī)的引入 越來越多計(jì)算機(jī)網(wǎng)絡(luò)的管理伴隨ARPANET產(chǎn)生早期的ARPANET SNA DNA AppleTalk等的管理系統(tǒng)專用 不開放80年代提出了多種網(wǎng)絡(luò)管理方案 5 網(wǎng)絡(luò)管理歷史 1988年IAB InternetActivitiesBoard 制定了Internet管理的發(fā)展策略 SGMP作為短期方案 最終采用CMIS CMIP推出了SNMP SimpleNetworkManagementProtocol 和CMOT CMIP CMISonTCP IP 1990年正式發(fā)布SNMP 1993年發(fā)布SNMPv2SNMP已經(jīng)成為網(wǎng)絡(luò)管理事實(shí)上的工業(yè)標(biāo)準(zhǔn) 6 網(wǎng)絡(luò)管理系統(tǒng)的功能特點(diǎn) 一個(gè)網(wǎng)絡(luò)管理工具 應(yīng)具備以下特點(diǎn)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)配置自動(dòng)發(fā)現(xiàn)和手工修改智能監(jiān)控理解網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)在依賴管理 報(bào)告出現(xiàn)的問題控制程度設(shè)置設(shè)備重要等級(jí) 對(duì)不同等級(jí)的告警信息采取不同處理靈活性可定制 7 網(wǎng)絡(luò)管理系統(tǒng)的功能特點(diǎn) 2 多廠商集成管理不同廠商的設(shè)備 包含不遵循SNMP協(xié)議的存取控制不同的用戶訪問權(quán)限可以區(qū)分用戶友好方便管理員使用編程接口可以靈活擴(kuò)展功能報(bào)告生成按照管理員的要求 生成各種報(bào)表 8 常見網(wǎng)絡(luò)管理系統(tǒng) HPOpenView第一個(gè)網(wǎng)絡(luò)管理系統(tǒng) 最初是一個(gè)平臺(tái) 現(xiàn)在是可以給最終用戶的產(chǎn)品 得到第三方的廣泛支持HPOpenviewNodeManagement特點(diǎn) 自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)湫阅芊治龉收细婢鄰S商支持 9 常見網(wǎng)絡(luò)管理系統(tǒng) 2 CiscoWorksCisco公司開發(fā)的網(wǎng)絡(luò)管理應(yīng)用 可以集成在網(wǎng)絡(luò)管理平臺(tái)上運(yùn)行針對(duì)Cisco產(chǎn)品設(shè)計(jì) 管理這些設(shè)備更方便功能 配置管理保存配置文件歷史 可以比較 分析配置文件內(nèi)容 10 網(wǎng)絡(luò)管理的意義和發(fā)展 隨著網(wǎng)絡(luò)的不斷推廣和應(yīng)用 人們對(duì)網(wǎng)絡(luò)的依賴越來越大 網(wǎng)絡(luò)越來越重要 當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展特點(diǎn) 規(guī)模不斷擴(kuò)大復(fù)雜性不斷增加網(wǎng)絡(luò)異構(gòu)性 多廠商設(shè)備 越來越高網(wǎng)絡(luò)管理系統(tǒng)能給網(wǎng)絡(luò)管理員提供良好的信息來源 減少網(wǎng)絡(luò)故障 縮短網(wǎng)絡(luò)失效時(shí)間 最大程度發(fā)揮網(wǎng)絡(luò)的作用 11 網(wǎng)絡(luò)管理定義和模型 網(wǎng)絡(luò)管理主要是關(guān)于規(guī)劃 監(jiān)督 設(shè)計(jì)和控制網(wǎng)絡(luò)資源的使用和網(wǎng)絡(luò)的各種活動(dòng) 網(wǎng)絡(luò)管理模型 功能模型體系結(jié)構(gòu)模型信息模型組織模型 12 功能模型 ISO在ISO IEC7498 4中定義了網(wǎng)絡(luò)管理的五大功能 故障管理包括故障檢測(cè) 隔離和糾正三方面計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用 控制和檢測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià) 對(duì)商用網(wǎng)絡(luò)尤為重要配置管理配置網(wǎng)絡(luò) 13 功能模型 性能管理估計(jì)系統(tǒng)資源的運(yùn)行狀況及通信效率 安全管理包括對(duì)授權(quán)機(jī)制 訪問控制 加密和密鑰的管理 14 體系結(jié)構(gòu)模型 體系結(jié)構(gòu)模型描述了實(shí)體的一般結(jié)構(gòu) 實(shí)體間接口及其通信方法 主要涉及遠(yuǎn)程通信網(wǎng)的管理 15 信息模型 實(shí)現(xiàn)被管虛擬資源 軟件及物理設(shè)備的邏輯表示 多采用面向?qū)ο蟮姆椒ǘx網(wǎng)絡(luò)管理信息 SNMP中 網(wǎng)絡(luò)管理信息是面向?qū)傩缘?更注重簡(jiǎn)單性和可擴(kuò)展性 采用ISO的抽象語(yǔ)法表示語(yǔ)言 ASN 1 表示 16 組織模型 包括管理者 代理者的概念 管理實(shí)體間的通信方法 17 網(wǎng)絡(luò)管理系統(tǒng) 管理者 典型網(wǎng)絡(luò)管理體系結(jié)構(gòu)組織模型 被管設(shè)備 18 單個(gè)設(shè)備結(jié)構(gòu) 管理方式 CLI命令行CommandLine最直接 原始的管理方式 能控制設(shè)備的基本狀態(tài)各個(gè)廠商的格式不同有的產(chǎn)品 CLI實(shí)現(xiàn)了管理的所有功能專有GUI管理程序設(shè)備專用的管理程序WEBwww方式管理簡(jiǎn)單 往往只有部分管理功能SNMP基于網(wǎng)絡(luò)管理系統(tǒng)往往只有部分管理功能 19 單個(gè)設(shè)備結(jié)構(gòu) 2 In band帶內(nèi)管理管理信息流跟普通網(wǎng)絡(luò)數(shù)據(jù)一起傳輸受普通網(wǎng)絡(luò)數(shù)據(jù)的影響Out band帶外管理獨(dú)立的管理信息流 20 單個(gè)設(shè)備結(jié)構(gòu) 3 入口 控制口 串口 只能使用CLI 所有情況下可用多數(shù)提供MODEM接口重要設(shè)備需要提供遠(yuǎn)程控制口管理單獨(dú)的管理網(wǎng)絡(luò)接口Out band管理普通網(wǎng)絡(luò)接口In band管理telnet ssh SSL 21 單個(gè)設(shè)備結(jié)構(gòu) 4 遠(yuǎn)程控制口撥號(hào)反向telnet Cisco專用 AccessRouter 設(shè)備 設(shè)備 設(shè)備 設(shè)備 管理專用網(wǎng)絡(luò) RS232 22 單個(gè)設(shè)備結(jié)構(gòu) 5 CLI WEB CLI命令行CommandLineWEBwww方式管理 23 網(wǎng)絡(luò)管理資源的表示 用 被管理對(duì)象 ManagedObject 表示網(wǎng)絡(luò)中的資源CMIP定義封裝了被管理對(duì)象被管理對(duì)象的屬性數(shù)據(jù)類型 是否可寫被管理對(duì)象的行為可能的操作被管理對(duì)象的通知特定事件發(fā)生時(shí)所發(fā)出的通知 24 MIB管理信息庫(kù) 被管理對(duì)象概念上的集合稱為管理信息庫(kù) MIB ManagementInformationBase SNMP的MIB1988年MIB RFC1156 1990年MIBII RFC1158 IAB鼓勵(lì)廠商針對(duì)自己的產(chǎn)品定義自己的MIB 然后以RFC文檔的方式公布 以便該產(chǎn)品被網(wǎng)絡(luò)管理系統(tǒng)支持 保證系統(tǒng)的易擴(kuò)充性過多的MIB定義加大了網(wǎng)絡(luò)設(shè)備的負(fù)擔(dān)很多設(shè)備可以設(shè)定啟用哪些MIB 25 網(wǎng)絡(luò)管理系統(tǒng)構(gòu)成 一個(gè)網(wǎng)絡(luò)管理系統(tǒng)不一定包含網(wǎng)絡(luò)管理的所有功能四個(gè)部分組成 多個(gè)被管代理 ManagedAgent 至少一個(gè)網(wǎng)絡(luò)管理者 NetworkManager 一個(gè)通用的網(wǎng)絡(luò)管理協(xié)議 NetworkManagementProtocol 一個(gè)或多個(gè)管理信息庫(kù) MIB 26 網(wǎng)絡(luò)管理者 NetworkManager 實(shí)施網(wǎng)絡(luò)管理的處理實(shí)體 駐留在管理工作站上 是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心 完成復(fù)雜網(wǎng)絡(luò)管理的各項(xiàng)功能 如排除網(wǎng)絡(luò)故障 配置網(wǎng)絡(luò)等 27 被管代理 ManagedAgent 駐留在被管設(shè)備上 網(wǎng)絡(luò)管理的處理實(shí)體 負(fù)責(zé)跟網(wǎng)絡(luò)管理者通信 執(zhí)行網(wǎng)絡(luò)管理者的指令 或在特定事件發(fā)生時(shí)通知網(wǎng)絡(luò)管理者 監(jiān)視所在網(wǎng)絡(luò)設(shè)備的工作狀況 收集有關(guān)網(wǎng)絡(luò)信息 被管代理一般有多個(gè) 分別位于網(wǎng)絡(luò)中的各個(gè)設(shè)備上 28 網(wǎng)絡(luò)管理協(xié)議 NetworkManagementProtocol 描述了管理者和被管代理之間數(shù)據(jù)通信機(jī)制 網(wǎng)絡(luò)管理標(biāo)準(zhǔn)主要制定的內(nèi)容就是網(wǎng)絡(luò)管理協(xié)議 定義管理者和被管代理之間的數(shù)據(jù)報(bào)文種類和格式 定義管理信息庫(kù)的數(shù)據(jù)庫(kù)格式 29 管理信息庫(kù) MIB 存儲(chǔ)在被管理設(shè)備的存儲(chǔ)器中 一個(gè)動(dòng)態(tài)刷新的數(shù)據(jù)庫(kù) 包括設(shè)備的配置信息 數(shù)據(jù)通信的統(tǒng)計(jì)信息 安全性信息和設(shè)備特有信息 30 集中與分布式的網(wǎng)絡(luò)管理系統(tǒng) 集中式 簡(jiǎn)單 易于實(shí)現(xiàn)不適應(yīng)大規(guī)模網(wǎng)絡(luò)管理分布式 復(fù)雜多層管理者某些管理者會(huì)被高一層的管理者所管理適應(yīng)大規(guī)模網(wǎng)絡(luò)管理 31 3 2TCP IP網(wǎng)絡(luò)管理體系結(jié)構(gòu) IAB制訂了TCP IP網(wǎng)絡(luò)管理體系結(jié)構(gòu)三部分內(nèi)組成基于TCP IP的管理信息結(jié)構(gòu) SMI 基于TCP IP的管理信息庫(kù) MIB SNMP網(wǎng)絡(luò)協(xié)議 32 33 34 35 36 基于TCP IP的管理信息結(jié)構(gòu) SMI 網(wǎng)絡(luò)管理應(yīng)用通過對(duì)MIB中網(wǎng)絡(luò)管理對(duì)象的讀取和設(shè)置來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的管理和監(jiān)控 MIB對(duì)象的定義符合ISOASN 1語(yǔ)言 對(duì)象類型的定義有對(duì)象名稱 對(duì)象語(yǔ)法和對(duì)象編碼 37 對(duì)象名稱 標(biāo)示一個(gè)對(duì)象 ASN 1按照對(duì)象的注冊(cè)關(guān)系定義對(duì)象的標(biāo)示符 它是一個(gè)整行數(shù)序列 在注冊(cè)關(guān)系樹的Internet子樹下有四個(gè)節(jié)點(diǎn) DirectoryOBJECTIDENTIFIER internet1 MgmtOBJECTIDENTIFIER internet2 ExperimentalOBJECTIDENTIFIER internet3 PrivateOBJECTIDENTIFIER internet4 38 39 對(duì)象名稱 Directory 1 3 6 1 1 子樹為Internet中的OSI體系結(jié)構(gòu)保留Mgmt 1 3 6 1 2 子樹用于標(biāo)示正式批準(zhǔn)的RFC中定義的對(duì)象Experimental 1 3 6 1 3 子樹用于標(biāo)示正在進(jìn)行試驗(yàn)的對(duì)象Private 1 3 6 1 4 子樹用于標(biāo)示各個(gè)網(wǎng)絡(luò)設(shè)備廠商定義的對(duì)象 40 對(duì)象語(yǔ)法 定義對(duì)象的結(jié)構(gòu)ASN 1定義了四種基本對(duì)象語(yǔ)法類型 INTEGER整數(shù) ASN 1不限制 但是MIB定義為0 4G OCTETSTRING字符串OBJECTIDENTIFIER對(duì)象標(biāo)示符NULL 41 對(duì)象語(yǔ)法 2 構(gòu)造語(yǔ)法類型SEQUENCE 序列 SEQUENCE 為4種基本類型支持應(yīng)用語(yǔ)法類型 Application widesyntaxtype 定義IPADDRESS長(zhǎng)度為4的OCTETSTRINGCOUNTER計(jì)數(shù)器 非負(fù)INTEGERGAUGE累加器 非負(fù)INTEGERTIMETICKS厘秒計(jì)時(shí)器 非負(fù)INTEGER 42 對(duì)象編碼 采用ASN 1基本編碼規(guī)則 43 TCP IP的MIB IAB定義了2個(gè)SNMPMIB MIBI RFC1156 MIBII RFC1213 44 對(duì)象定義格式 對(duì)象類的定義包括以下域 對(duì)象域文本形式的對(duì)象描述符合對(duì)象標(biāo)示符組成對(duì)象語(yǔ)法域ASN 1定義的對(duì)象類的抽象語(yǔ)法對(duì)象定義對(duì)象語(yǔ)義的說明對(duì)象訪問權(quán)限Read only read write write only not accessable狀態(tài)域強(qiáng)制 mandatory 當(dāng)前 current 過期 deprecated 45 例子 接口接收數(shù)據(jù) ifInOctetsOBJECT TYPESYNTAXCounter32MAX ACCESSread onlySTATUScurrentDESCRIPTION Thetotalnumberofoctetsreceivedontheinterface includingframingcharacters Discontinuitiesinthevalueofthiscountercanoccuratre initializationofthemanagementsystem andatothertimesasindicatedbythevalueofifCounterDiscontinuityTime ifEntry10 46 47 對(duì)象組 System組定義網(wǎng)絡(luò)設(shè)備系統(tǒng)描述和硬件 軟件類型Interface組定義設(shè)備網(wǎng)絡(luò)端口描述 運(yùn)行情況和通信量AddressTranslation定義網(wǎng)絡(luò)地址到物理地址的映射表 即ARP表 IP組描述了與設(shè)備IP層有關(guān)的信息ICMP組描述了ICMP輸入輸出統(tǒng)計(jì)信息TCP UDP EGP SNMP組分別描述了TCP UDP EGP SNMP連接有關(guān)的信息 48 3 3SNMP協(xié)議體系結(jié)構(gòu) 49 SNMP網(wǎng)絡(luò)管理信息的范圍 包括Internet標(biāo)準(zhǔn)MIB和符合InternetSMI規(guī)范的MIB中所定義的對(duì)象類SNMP使用的信息編碼方式是ISO定義的ASN 1語(yǔ)言的一個(gè)子集 50 SNMPMIB對(duì)象實(shí)例標(biāo)識(shí) 對(duì)象實(shí)例標(biāo)識(shí)符是對(duì)象所屬對(duì)象類的對(duì)象標(biāo)識(shí)符加上實(shí)例標(biāo)識(shí)符構(gòu)成 如SysDescr對(duì)象標(biāo)識(shí)符為1 3 6 1 2 1 1 1 設(shè)備的系統(tǒng)描述只有一個(gè) 實(shí)例標(biāo)識(shí)符為0 因此設(shè)備的系統(tǒng)描述對(duì)象實(shí)例標(biāo)識(shí)符為1 3 6 1 2 1 1 1 0 51 SNMP認(rèn)證機(jī)制和訪問策略 對(duì)于SNMPv1 僅僅支持community認(rèn)證Communi