《計算機網(wǎng)絡》PPT電子課件教案-第十三章 網(wǎng)絡管理.ppt

第十三章網(wǎng)絡管理 13 1網(wǎng)絡管理概述網(wǎng)絡管理是網(wǎng)絡發(fā)展中一個很重要的技術 對網(wǎng)絡的發(fā)展有著很長的影響 并已成為現(xiàn)代信息網(wǎng)絡中最重要的問題之一 它的重要性已經在許多方面得到體現(xiàn) 并為越來越多的人所共識 13 1 1網(wǎng)絡管理方法的演變 人工的分散管理方式 自動化的集中管理方式 電信管理網(wǎng)的誕生 13 1 2網(wǎng)絡管理系統(tǒng)的邏輯結構 一般而言 網(wǎng)絡管理就是通過收集網(wǎng)絡中各種資源的工作參數(shù) 狀態(tài)信息 由網(wǎng)絡管理者 administrator 及時進行分析和處理 并將處理結果形成各種監(jiān)控指令發(fā)給網(wǎng)絡資源 保證整個網(wǎng)絡能正常高效的運行 其目的很明確 就是使網(wǎng)絡中的資源得到有效的利用 當網(wǎng)絡出現(xiàn)故障時它應能及時報告和處理 并協(xié)調 保持網(wǎng)絡系統(tǒng)的高效運行等 網(wǎng)絡管理系統(tǒng)的邏輯模型通常一個網(wǎng)絡管理系統(tǒng)在邏輯上有被管對象 managedobject 管理進程 manager 和管理協(xié)議 managementprotocol 這3部分組成 網(wǎng)絡管理系統(tǒng)邏輯模型 internet網(wǎng)絡管理邏輯模型 13 2網(wǎng)絡管理的主要功能 iso在iso iec7498 4文件中將開放系統(tǒng)的系統(tǒng)管理功能分成5個基本功能 13 2 1配置管理配置管理是網(wǎng)絡管理中最早出現(xiàn)的 也是最基本的功能 它對網(wǎng)絡中的設備和設施組成的變化進行管理 配置管理需要進行的操作內容包括 鑒別所有被管對象 給每一個被管對象分配名字 設置被管對象的參數(shù) 改變被管對象的操作特性 報告被管對象的狀態(tài)變化 刪除不需要的被管對象 處理被管對象之間的關系 13 2 2性能管理 網(wǎng)絡性能包括帶寬利用率 吞吐率的降低程度 通信繁忙的程度 網(wǎng)絡瓶頸及響應時間等 性能管理以網(wǎng)絡性能為準則收集 分析和調整被管對象的狀態(tài) 其目的是保證網(wǎng)絡可以提供可靠 連續(xù)的通信能力并使用最少的網(wǎng)絡資源和具有最小的時延 網(wǎng)絡性能管理的功能包括 從被管對象中收集與網(wǎng)絡性能有關的數(shù)據(jù) 對被管對象的進行性能統(tǒng)計 以及與性能有關的歷史數(shù)據(jù)的產生 記錄和維護 分析當前統(tǒng)計數(shù)據(jù) 以檢測性能故障 產生性能告警和報告性能事件 將當前統(tǒng)計數(shù)據(jù)的分析結果與歷史模型比較以預測性能的長期變化 形成改進性能評價準則和性能門限值 以保證網(wǎng)絡的性能為目的 對被管對象和被管對象組的控制 根據(jù)這些功能要求 性能管理功能還可進一步細分成4個子功能 它們是性能事件的監(jiān)測 網(wǎng)絡或管理對象的性能分析 性能的調節(jié)和性能的控制 13 2 3故障管理 所謂故障就是出現(xiàn)大量或者嚴重錯誤需要修復的異常情況 例如線路損壞而無法通信的情況 故障管理是網(wǎng)絡管理功能中與故障檢測 故障診斷 故障恢復或故障排除等措施有關的網(wǎng)絡管理功能 其目的是保證網(wǎng)絡能夠提供連續(xù) 可靠的服務 它主要包括以下幾個部分 檢測被管對象的差錯 或接收被管對象的差錯事件通報 當存在空閑設備或迂回路由時 提供新的網(wǎng)絡資源用于服務 創(chuàng)建和維護差錯日志庫 并對差錯日志進行分析 進行診斷和測試 以追蹤和識別故障位置 故障性質 通過資源的更換或維護以及其他恢復措施使其重新開始服務 13 2 4計費管理 計費管理記錄網(wǎng)絡資源的使用 目的是控制和監(jiān)測網(wǎng)絡操作的費用和代價 嚴格的計費管理還可以防止濫用訪問權限 以免加重網(wǎng)絡負擔 同時帳務記錄反映了網(wǎng)絡負載的分配情況 也可以為改進網(wǎng)絡效率提供參考 或者為網(wǎng)絡改進計劃提供依據(jù) 計費管理的功能包括 1 統(tǒng)計網(wǎng)絡的利用率等效益數(shù)據(jù) 以使網(wǎng)絡管理人員確定不同時期和不同時間段的費率 2 根據(jù)用戶使用的特定業(yè)務在若干用戶之間公平 合理地分攤費用 3 允許采用信用記帳方式收取費用 包括資源利用率和帳單審查功能 4 當多個資源同時用來提供一項服務時 能夠把對各個資源分別 算出的費用累加 13 2 5安全管理 網(wǎng)絡中主要有以下幾方面的安全問題 網(wǎng)絡數(shù)據(jù)的私有性 保護網(wǎng)絡數(shù)據(jù)不被侵入者非法獲取 授權 防止侵入者在網(wǎng)絡上發(fā)送錯誤信息 訪問控制 控制對網(wǎng)絡資源的訪問 相應地 網(wǎng)絡安全管理應包括對授權機制 訪問控制 加密和密鑰的管理 另外還要維護和檢查安全日志 這包括 創(chuàng)建 刪除 控制安全服務和機制 與安全措施有關信息的分發(fā) 與安全相關事件的通報 系統(tǒng)管理域與系統(tǒng)管理功能之間的關系 11 3網(wǎng)絡管理信息模型和網(wǎng)絡管理 11 3 1網(wǎng)絡管理信息模型描述管理信息 建立管理信息模型通常采用結構化方法 這樣可以降低系統(tǒng)實現(xiàn)的難度 提高通用性 目前公認的最好辦法是利用面向對象技術來建立管理信息模型 網(wǎng)絡管理信息主要有兩個作用 一個作用是支持管理進程的描述 另一個作用則是描述物理或邏輯的網(wǎng)絡資源 描述物理和邏輯資源的管理信息所涉及的是各種網(wǎng)絡實體的情況 必須用這些信息來描述被管對象 因此就必須建立起它們的模型 模型中規(guī)定管理系統(tǒng)感興趣的資源特性 參數(shù)及其表示方法 另一方面 模型元件和物理實體之間必須保持一致 模型的狀態(tài)和參數(shù)是被管理系統(tǒng)和物理實體共同控制的 管理信息模型的關系 網(wǎng)絡管理信息是從兩個方面來描述的 其一是管理信息結構 smi structureofmanagementinformation 其二是管理信息庫 mib 13 3 2被管對象 被管對象是對網(wǎng)絡管理數(shù)據(jù)的抽象 它們代表管理活動中涉及到的資源和信息 對被管對象的管理操作由管理進程發(fā)起 通過管理進程與被管對象之間的通信來完成 管理信息庫中有許多具有相同管理操作 屬性 特性組 package 通報和行為特性的被管對象是屬于同一個被管對象類 標準中規(guī)定管理系統(tǒng)中的每個被管對象都具有以下5個特性量 類 class 表明被管對象擁有的屬于哪個對象類 對象類規(guī)定了所有該類被管對象實例應具有的特性 一個被管對象實例在創(chuàng)建時就說明了它屬于哪個對象類 同時該實例也應有了相應對象類的特性 具有相應的屬性 操作 行為和通報特性 下面是定義被管對象類的一個樣板 m object classderivedfrom superclass directorydirectory object class behaviordefinitionsdefinition sourcecharacterizedbyattributesmustcontain attribute qualifier maycontain attribute qualifier groupattributes mustcontain group attribute qualifier maycontain group attribute qualifier operations create delete actions actions name notificatins notification name 屬性 attribute 屬性只是一種稱呼 用來指被管對象的特性值 屬性可以代表多種有數(shù)值的物理資源特性 在屬性和物理存儲量之間可以沒有直接有聯(lián)系 其他屬性也可以沒有相應的存儲量 這時表示該屬性取默認值 屬性組代表若干個屬性 只要給出屬性組的名字 就意味著給出了該組內的所有屬性名 每一被管對象都有多個屬性 屬性代表被管對象的各方面特性和工作狀態(tài) 屬性可以是簡單變量 也可以是一個復雜的數(shù)據(jù)結構 這樣的屬性就有多個值 對屬性定義也規(guī)定了樣板 如下所示 attributewithattributesyntaxdata type permitted valuesrange size definition matchesformatchingrules single valued multi valued 屬性定義的具體例子是一個系統(tǒng)標識符的定義 如下所示 systemidattributewithattributesyntaxforum types namingtypematchesforequalitysubstringssingle valued forum attribute141 管理操作 operation 由于對象具有封閉特性 對象的操作只能用通信方式傳遞發(fā)起管理操作的請求和返回操作結果 管理操作可以分為兩類 一類是對被管對象本身的操作 其操作結果改變整個被管對象 另一類是對被管對象屬性的操作 面向屬性的操作有5種 它們分別是 getvalue 取屬性值 replacevalue 替換屬性值 addvalue 增加屬性值 removevalue 刪除屬性值 setvalue 設置默認值 對被管對象的操作主要有3種 其含義分別是 create 創(chuàng)建 創(chuàng)建一個新的被管對象 delete 刪除 刪除一個被管對象 action 執(zhí)行動作 執(zhí)行指定的動作 整個動作在對象類的定義中已經說明 行為 behavior 被管對象的行為描述了對象及其屬性 通報和動作的動態(tài)特性 被管對象的行為特性定義中的條件內容可以包括 對被管對象進行操作的結果 對屬性或對象操作的多種限制條件 尤其是對創(chuàng)建和刪除被管對象操作的限制 屬性之間的各種內在關系 被管對象之間和各種內在關系 發(fā)出通報的條件 被管對象行為的其他方面完整性定義 通報 notification 網(wǎng)絡資源中發(fā)生的事件大多是管理進程需要知道的 因而被管對象以主動發(fā)出通報的形式將發(fā)生的事件通知外部的管理進程 被管對象首先將通報發(fā)給本地管理進程 是否要通知其他管理進程則取決于整個系統(tǒng)的配置和管理服務提供的手段 通報分為一般通報和特殊通報兩類 每類通報有若干種具體通報定義 被管對象在什么時候發(fā)出通報決定于它的 轉發(fā)分揀器 這是一個組合條件 只要滿足了條件就要發(fā)出通報 13 3 3internet的管理信息庫 1 internet的mibinternet的mib managerinformationbase 是圍繞被管對象組進行組織的 采用了結構化的管理信息定義 稱為管理信息結構 smi standardofmanagementinformation 規(guī)定了如何識別被管對象以及如何組織被管對象的信息結構 internet的mib有兩個版本 mib i中總共只定義了114種被管對象 在mib 中定義了185種被管對象 mib 與mib i有3處較大的區(qū)別 地址翻譯at組的變化 增加了傳送組 增加了snmp組 mib i被管對象的分組和種數(shù) 被管對象命名internet組織通過mib提供了一個注冊方法 所有網(wǎng)絡資源都在注冊時由mib管理機構定義相應的對象 在層次結構的注冊目錄中分配被管對象名字 對象名字是按照smi中的命名規(guī)范分配的 internet注冊樹的實例 internet句法和類型在internet的mib標準中采用asn 1結構來描述管理對象類 但不是完全遵循asn 1全集 而只采用了下列 個原語類型 integer 整數(shù) octet 任意字節(jié)串 string asc 碼字符串 objectidentifier 對象標識符 和null 空 再加上兩個構詞類型 seauence和sequenceof 其中整數(shù)可以是枚舉類 在internet的smi中定義了6個主要的被管對象類 它們分別是 networkaddress 網(wǎng)絡地址 ipaddress ip地址 timeticks 時間變量 gauge 計量器 counter 計數(shù)器 opaque 模糊 上述的對象類定義只是一種類型定義 還不是真正的被管對象 真正的被管對象是按照這些對象類定義創(chuàng)建的對象實例 管理系統(tǒng)實際操作的也是對象實例 除了對象類有名字 標識符 外 對象實例也必須有其惟一的標識符 被管對象的定義internet中的被管對象都是用一些關鍵字 保留字 來說明的 為了描述被管對象的說明格式 snmp中使用了5個記號 它們分別是 object 對象描述符 syntax 句法 definition 定義 access 訪問 status 狀況 internetmib中的所有被管對象都要求按照asn 1編碼標準和一個樣板 宏 進行定義 而這個宏是internet管理機構在smi文本中定義的 如下所示 object typemacro begintypenotation syntax type typeobjectsyntax access access status status valuenotation value v5alueobjectname access read only read write write only not accessible status mandatory optional obsolete end 13 4簡單網(wǎng)絡管理協(xié)議snmp 13 4 1概述 snmp的體系結構 snmp的3個基本元素是 管理者 管理進程 代理 mib snmp是基于tcp ip的網(wǎng)絡管理協(xié)議 它是采用查詢管理策略在snmpv1中定義5種協(xié)議數(shù)據(jù)單元 pdu get request管理者從代理中檢索信息 get next request與get request配合實現(xiàn)對表對象的操作 get response代理對管理者get request的響應 set request對設備中的參數(shù)據(jù)進行遠程設置 trap代理發(fā)給管理者的非請求信息 用于某些特定事件 每一個代理包含一個mib 是一個樹形結構的數(shù)據(jù)庫 是被管對象的集合 對象由若干變量定義 變量主要由變量名 變量的數(shù)據(jù)類型和變量的屬性組成 在snmpv1中定義了114種對象 snmpv2中對安全性進行了加強 它增加了2種pdu getbulkrequest用于表操作 informrequest用于管理者之間交換管理信息 并將對象種數(shù)擴大185種 snmpv3 rfc2570 2575 1999年5月 是建立在snmpv1和snmpv2的基礎上的最新發(fā)展成果 它實現(xiàn)了snmpv2未能實現(xiàn)的幾個目標 其中包括稱為 商業(yè)級 的安全性 認證 源標識符 報文的完整性等 隱私 授權和存取控制 遠程配置與管理 13 4 2snmpv1 snmp是一個異步的請求 響應協(xié)議 snmp只提供兩種管理功能 管理進程從管理代理獲取管理對象 變量 的信息 管理進程對管理代理的管理對象 變量 進行設置和修改 第一條功能則有管理進程查詢和管理代理主動報告兩種方式 分別稱為查詢驅動和事件驅動方式 第二條功能當然需要管理進程首先發(fā)送操作命令進行設置 snmp中引入了稱為 自陷 trap 的事件報告機制 當管理代理發(fā)現(xiàn)本地發(fā)生變化 事件 時就主動向管理進程報告 并且不需要響應 這也是請求 響應響應的另外 snmp中設計了四種基本協(xié)議的交互過程 管理進程從管理代理處讀取管理管理信息 管理進程在管理代理的可見范圍內遍歷一部分管理對象實例 管理進程在管理代理中存儲信息 也即對管理體制代理的mib實例進行寫操作 包括設置工作參數(shù) 管理進行發(fā)送一個set request給管理代理 由管理代理完成set操作 然后用set response返回操作結果 管理代理主動向管理進程報告事件 snmp協(xié)議是一個對稱協(xié)議 沒有主從關系 snmp之上的管理進程和管理代理都可以得到snmp完全相同的服務 管理進程是管理活動的主動參與者 管理進程軟件在構造snmp報文時 要填寫適當?shù)膱笪氖撞?然后將snmp報文交付給udp層進行傳輸 初始化完成后 管理代理就在udp協(xié)議的161端口等待接收snmp報文 當管理代理成功地接收到一個報文后 它調用語法分析程序將ans 1格式解碼成更容易利用的內部格式 在管理代理對ans 1格式的報文進行解碼的同時 它可以同時開始構造用做響應的getresponse pdu 管理代理填寫好getresponse pdu后 用基本編碼規(guī)則ber將報文編碼為ans 1格式 交付給udp協(xié)議將其傳送給發(fā)出請求的管理進程 13 4 3snmpv2 第二版的snmp協(xié)議是建立在第一版基礎上的 snmpv2中除了對報文的格式進行了改進以外 還增加了一種新的管理信息報文 該報文在各管理進程之間傳送信息 實際上由rfc1902 1908定義的snmpv2并沒有新的管理控制框架 因此該版snmp也常被稱為snmpv2c 基于團體的第二版snmp 在改進安全性方面 后來又出現(xiàn)了snmpv2usec 是基于用戶的安全模型 但與snmpv2c一樣都未能達到令人滿意的結果 盡管snmpv2c的安全性仍然沒有本質的改進 但還是得到了普遍接受和應用 因此snmpv2對smi mib和協(xié)議也都進行了比較大的改進 第二版中對表格處理進行了標準化 表格行的創(chuàng)建 刪除和修改可以按標準化的對象進行處理 這些標準對象描述了每行的狀態(tài) 是用文本結構約定中的宏來定義的 snmpv2對管理信息報文格式的主要改進是 所有的pdu格式都是一致的 但個別pdu中的字段含義有變化 統(tǒng)一的pdu格式簡化了發(fā)送和接收snmp報文的處理 snmpv2定義了7個snmp操作 因而也就相應地有7個不同的pdu標簽代碼 13 4 4snmpv3 1 sn