第 8 章 網(wǎng)絡(luò)管理技術(shù)

1、第 8 章 網(wǎng)絡(luò)管理技術(shù)8.1 網(wǎng)絡(luò)管理技術(shù)基礎(chǔ) 8.1.1 網(wǎng)絡(luò)管理的概念和功能 網(wǎng)絡(luò)管理通常主要關(guān)注與硬件相關(guān)問(wèn)題的管理，包括工作站、服務(wù)器、網(wǎng)卡、路由器、網(wǎng)橋和集線器等等。當(dāng)設(shè)計(jì)和構(gòu)造網(wǎng)絡(luò)管理的基礎(chǔ)結(jié)構(gòu)時(shí)，有兩條原則：（1）由于管理信息而帶來(lái)的通信量不應(yīng)明顯的增加網(wǎng)絡(luò)的通信量。（2）被管理設(shè)備上的協(xié)議代理不應(yīng)明顯得增加系統(tǒng)處理的額外開(kāi)銷(xiāo)，不應(yīng)該削弱該設(shè)備的主要功能。 1配置管理配置管理負(fù)責(zé)初始化網(wǎng)絡(luò)并配置網(wǎng)絡(luò)，以使其提供網(wǎng)絡(luò)服務(wù)。配置管理包括：自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，構(gòu)造和維護(hù)網(wǎng)絡(luò)系統(tǒng)的配置。 其主要功能包括：（1）配置信息的自動(dòng)獲取先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動(dòng)獲取功能。（2）自

2、動(dòng)配置、自動(dòng)備份及相關(guān)技術(shù)根據(jù)設(shè)置手段對(duì)網(wǎng)絡(luò)配置信息進(jìn)行分類(lèi)：一類(lèi)是可以通過(guò)網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中定義的方法進(jìn)行設(shè)置的配置信息；二類(lèi)是可以通過(guò)自動(dòng)登錄到設(shè)備進(jìn)行配置的信息；三類(lèi)就是需要修改的管理性配置信息。（3）配置一致性檢查在一個(gè)大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)設(shè)備眾多，而且由于管理的原因，這些設(shè)備很可能不是由同一個(gè)管理人員進(jìn)行配置的。 （4）用戶(hù)操作記錄功能2性能管理性能管理估計(jì)系統(tǒng)資源的運(yùn)行情況及通信效率情況。包括：采集、分析網(wǎng)絡(luò)對(duì)象的性能數(shù)據(jù)，監(jiān)測(cè)網(wǎng)絡(luò)對(duì)象的性能，對(duì)網(wǎng)絡(luò)線路質(zhì)量進(jìn)行分析。 （1）性能監(jiān)控（2）閾值控制（3）性能分析（4）可視化的性能報(bào)告（5）實(shí)時(shí)性能監(jiān)控（6）網(wǎng)絡(luò)對(duì)象性能查詢(xún)3故障管理

3、其主要功能包括：（1）故障監(jiān)測(cè)（2）故障報(bào)警（3）故障信息管理（4）排錯(cuò)支持工具（5）檢索分析故障信息4安全管理網(wǎng)絡(luò)管理本身的安全由以下機(jī)制來(lái)保證： （1）管理員身份認(rèn)證（2）管理信息存儲(chǔ)和傳輸?shù)募用芘c完整性（3）網(wǎng)絡(luò)管理用戶(hù)分組管理與訪問(wèn)控制（4）系統(tǒng)日志分析網(wǎng)絡(luò)對(duì)象的安全管理有以下功能： （1）網(wǎng)絡(luò)資源的訪問(wèn)控制（2）報(bào)警事件分析（3）主機(jī)系統(tǒng)的安全漏洞檢測(cè)5計(jì)費(fèi)管理計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用，目的是控制和檢測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。計(jì)費(fèi)管理包括：對(duì)網(wǎng)際互聯(lián)設(shè)備按IP地址的雙向流量統(tǒng)計(jì)，產(chǎn)生多種信息統(tǒng)計(jì)報(bào)告及流量對(duì)比，并提供網(wǎng)絡(luò)計(jì)費(fèi)工具，以便用戶(hù)根據(jù)自定義的要求實(shí)施網(wǎng)絡(luò)計(jì)費(fèi)。其主要功能包括：

4、（1）計(jì)費(fèi)數(shù)據(jù)采集（2）數(shù)據(jù)管理與數(shù)據(jù)維護(hù)（3）計(jì)費(fèi)政策制定（4）政策比較與決策支持（5）數(shù)據(jù)分析與費(fèi)用計(jì)算（6）數(shù)據(jù)查詢(xún)8.1.2 網(wǎng)絡(luò)管理系統(tǒng)的構(gòu)成所有被管理的網(wǎng)絡(luò)設(shè)備，包括用戶(hù)站點(diǎn)和網(wǎng)絡(luò)互連設(shè)備等，統(tǒng)稱(chēng)為被管對(duì)象(Managed Object)。一個(gè)典型的網(wǎng)絡(luò)管理系統(tǒng)除了被管對(duì)象之外，包括五個(gè)要素：網(wǎng)絡(luò)管理器、管理代理、管理信息數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)網(wǎng)絡(luò)管理協(xié)議和代理服務(wù)設(shè)備(Proxy)。 1. 網(wǎng)絡(luò)管理基站網(wǎng)絡(luò)管理基站是負(fù)責(zé)對(duì)網(wǎng)絡(luò)中的資源進(jìn)行全面的管理和控制（通過(guò)被管對(duì)象的操作）通常是一個(gè)獨(dú)立的設(shè)備，它用作網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)管理的用戶(hù)接口。 2. 網(wǎng)絡(luò)管理協(xié)議網(wǎng)絡(luò)管理協(xié)議負(fù)責(zé)在管理系統(tǒng)與被管對(duì)

5、象之間傳送操作命令和負(fù)責(zé)解釋管理操作命令。 3. 管理代理 管理代理（Agent）是一種網(wǎng)絡(luò)設(shè)備，如主機(jī)，網(wǎng)橋，路由器和集線器等，這些設(shè)備都必須能夠接收管理基站發(fā)來(lái)的信息，它們的狀態(tài)也必須可以由管理基站監(jiān)視。 4. 管理信息數(shù)據(jù)庫(kù) 管理信息數(shù)據(jù)庫(kù)MIB(Management Information Base)是對(duì)象的集合，它代表網(wǎng)絡(luò)中可以管理的資源和設(shè)備。 5. 代理設(shè)備 代理設(shè)備（Proxy）在標(biāo)準(zhǔn)網(wǎng)絡(luò)管理軟件和不直接支持該標(biāo)準(zhǔn)協(xié)議的系統(tǒng)之間起橋梁作用。 圖8.2 網(wǎng)絡(luò)管理系統(tǒng)邏輯模型 8.1.3 網(wǎng)絡(luò)管理技術(shù)的標(biāo)準(zhǔn)1簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP SNMP協(xié)議有如下幾個(gè)特點(diǎn)： （1）與SNMP相

6、關(guān)的管理信息結(jié)構(gòu)SMI(Structure of Management Information)以及管理信息庫(kù)MIB(Management Information Base)非常簡(jiǎn)單，從而設(shè)計(jì)簡(jiǎn)單、擴(kuò)展靈活、易于實(shí)現(xiàn)、易于使用。 （2）SNMP協(xié)議是開(kāi)放的免費(fèi)產(chǎn)品。 （3）SNMP協(xié)議有很多詳細(xì)的文檔資料 （4）SNMP協(xié)議可用于控制各種設(shè)備，如電話系統(tǒng)、環(huán)境控制設(shè)備以及其它可接入網(wǎng)絡(luò)且需要控制的設(shè)備等，這些非傳統(tǒng)裝備都可以使用SNMP協(xié)議。 2公共管理信息服務(wù)公共管理信息協(xié)議 ISO早在提出OSI/RM的同時(shí)，就提出了網(wǎng)絡(luò)管理標(biāo)準(zhǔn)的框架，并制定了基于開(kāi)放系統(tǒng)互連參考模型的公共管理信息服務(wù)/公

7、共管理信息協(xié)議族 (Common Management Information Sever/Common Maagement Information Protocol，CMIS/CMIP)。CMIS定義了每個(gè)網(wǎng)絡(luò)組成部分提供通用的網(wǎng)絡(luò)管理服務(wù)，CMIP則是實(shí)現(xiàn)CMIS服務(wù)的協(xié)議。 3公共管理信息服務(wù)與協(xié)議 公共管理信息服務(wù)與協(xié)議CMOT(CMIP Over TCP/IP)是在TCP/IP協(xié)議族上實(shí)現(xiàn)的CMIS服務(wù)，這是一種直到OSI網(wǎng)絡(luò)管理協(xié)議被廣泛采用之前的過(guò)渡性的解決方案。 4局域網(wǎng)個(gè)人管理協(xié)議 局域網(wǎng)個(gè)人管理協(xié)議試圖為L(zhǎng)AN環(huán)境提供一個(gè)網(wǎng)絡(luò)管理方案。 8.1.4 SNMP的體系結(jié)構(gòu)和工作

8、機(jī)理 1. SNMP協(xié)議概述 SNMP不是單一的協(xié)議，而是由3個(gè)協(xié)議組成的協(xié)議族，名字說(shuō)明MIB管理信息庫(kù)SMI管理信息的結(jié)構(gòu)和標(biāo)識(shí)SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議表8.1 由3個(gè)協(xié)議組成的SNMP協(xié)議族2. SNMP的體系結(jié)構(gòu)和管理模型 SNMP的體系結(jié)構(gòu)是圍繞著以下四個(gè)概念和目標(biāo)進(jìn)行設(shè)計(jì)的：保持管理代理(agent)的軟件成本盡可能低；最大限度地保持遠(yuǎn)程管理的功能，以便充分利用Internet的網(wǎng)絡(luò)資源；體系結(jié)構(gòu)必須有擴(kuò)充的余地；保持SNMP的獨(dú)立性，不依賴(lài)于具體的計(jì)算機(jī)、網(wǎng)關(guān)和網(wǎng)絡(luò)傳輸協(xié)議。圖8.4 SNMP管理模型3. SNMP操作從被管理設(shè)備中收集數(shù)據(jù)可以有兩種方法：一種是只輪詢(xún)（polli

9、ng-only）的方法，另一種是基于中斷（interrupt-based）的方法。SNMP中提供了四類(lèi)管理操作：get操作用來(lái)提取特定的網(wǎng)絡(luò)管理信息；get-next操作通過(guò)遍歷活動(dòng)來(lái)提供強(qiáng)大的管理信息提取能力；set操作用來(lái)對(duì)管理信息進(jìn)行控制(修改、設(shè)置)；trap操作用來(lái)報(bào)告重要的事件。 8.2 網(wǎng)絡(luò)管理系統(tǒng)平臺(tái)8.2.1 網(wǎng)絡(luò)管理系統(tǒng)的分類(lèi) 第一代網(wǎng)絡(luò)管理系統(tǒng)（例如網(wǎng)絡(luò)探測(cè)工具NetXray）工作在網(wǎng)絡(luò)環(huán)境的底層，可以運(yùn)行在多種協(xié)議之下，包括TCP/IP，SPX/IPX等，攔截所有正在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)并進(jìn)行篩選處理，實(shí)時(shí)分析網(wǎng)絡(luò)狀態(tài)和設(shè)備布局。 第二代網(wǎng)絡(luò)管理系統(tǒng)有著良好的圖形化界面，用

10、戶(hù)無(wú)須過(guò)多了解設(shè)備的配置方法，就能圖形化地對(duì)多臺(tái)設(shè)備同時(shí)進(jìn)行配置和監(jiān)控，大大提高了工作效率，如CiscoView可以圖形的方式顯示Cisco的物理視圖。 第三代網(wǎng)絡(luò)管理系統(tǒng)具有“自動(dòng)配置”和“自動(dòng)調(diào)整”功能。 2. 主流網(wǎng)絡(luò)管理系統(tǒng)平臺(tái)及特點(diǎn)主要特點(diǎn)是： （1）能指明故障的存在部位（2）以圖形方式提供設(shè)備連接情況（3）安全管理（4）桌面管理3. 網(wǎng)絡(luò)管理系統(tǒng)的發(fā)展趨勢(shì)（1）網(wǎng)絡(luò)管理系統(tǒng)層次化 （2）網(wǎng)絡(luò)管理系統(tǒng)集成化 （3）網(wǎng)絡(luò)管理系統(tǒng)Web化 （4）網(wǎng)絡(luò)管理系統(tǒng)智能化智能化網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有如下特殊能力： 處理不確定性的能力 協(xié)作能力 適應(yīng)系統(tǒng)變化的能力 解釋和推理能力8.2.2 常見(jiàn)的網(wǎng)絡(luò)

11、管理平臺(tái)常見(jiàn)的網(wǎng)絡(luò)管理軟件有HP的HP OpenView，IBM的New View/6000， Cisco的Cisco Works，3COM的Transcend以及Bay Networks的Optivity等。1. HP OpenView 2. Ca的Unicenter 3. IBM的Tivoli 4. CiscoWorks小型網(wǎng)絡(luò)管理解決方案5. 3Com網(wǎng)絡(luò)管理軟件TNS 8.3 網(wǎng)絡(luò)管理系統(tǒng)的方案設(shè)計(jì) 8.3.1 網(wǎng)絡(luò)管理系統(tǒng)選型隨著網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大,復(fù)雜性不斷增加，為確保向用戶(hù)提供滿(mǎn)意的服務(wù)，迫切需要一個(gè)高效的網(wǎng)絡(luò)管理系統(tǒng)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行自動(dòng)化的管理工作。網(wǎng)絡(luò)管理是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展中的關(guān)

12、鍵技術(shù)，對(duì)網(wǎng)絡(luò)的正常運(yùn)行起著極其重要的作用。網(wǎng)絡(luò)管理系統(tǒng)選型一般需要滿(mǎn)足下面的一些需求。 1. 以業(yè)務(wù)為中心2. 為應(yīng)用軟件和服務(wù)提供環(huán)境3. 可用性和性能管理4. 端到端管理能力5. 可擴(kuò)展性6. 性能價(jià)格比7. 易用性和接口一致性8. 標(biāo)準(zhǔn)支持 9. 傳統(tǒng)支持10. 協(xié)議獨(dú)立性11. 集成性12. 靈活性8.3.2 網(wǎng)絡(luò)管理系統(tǒng)的設(shè)計(jì)原則1. 小型專(zhuān)用網(wǎng)絡(luò)的網(wǎng)絡(luò)管理方案小型專(zhuān)用網(wǎng)絡(luò)是指網(wǎng)絡(luò)規(guī)模相對(duì)較?。ㄒ话阍?00個(gè)點(diǎn)以下），網(wǎng)絡(luò)拓?fù)涫趾?jiǎn)單，網(wǎng)絡(luò)應(yīng)用比較單一的網(wǎng)絡(luò)環(huán)境。小型專(zhuān)用網(wǎng)絡(luò)的管理需求（1）計(jì)時(shí)計(jì)費(fèi)管理 （2）網(wǎng)絡(luò)防病毒管理 （3）遠(yuǎn)程控制管理 2. 中型網(wǎng)絡(luò)管理的方案中型網(wǎng)絡(luò)相對(duì)

13、于小型專(zhuān)用網(wǎng)結(jié)構(gòu)要復(fù)雜了許多（涉及多臺(tái)交換機(jī)和眾多的網(wǎng)絡(luò)設(shè)備），網(wǎng)絡(luò)規(guī)模也相對(duì)較大（一般為200至1000個(gè)點(diǎn)）。中型網(wǎng)絡(luò)的管理一般注重以下幾個(gè)方面：（1）故障管理 （2）安全管理 一個(gè)良好的安全管理系統(tǒng)應(yīng)能夠提供以下的安全措施： 體系完備的外部防火墻 良好的內(nèi)部用戶(hù)權(quán)限認(rèn)證和管理 功能強(qiáng)大的網(wǎng)絡(luò)防病毒體系（3）桌面管理 好的桌面管理軟件應(yīng)包含以下主要功能： 自動(dòng)系統(tǒng)更新和應(yīng)用程序安裝 數(shù)據(jù)存儲(chǔ)在服務(wù)器上和數(shù)據(jù)存儲(chǔ)在本地3. 大型網(wǎng)絡(luò)的網(wǎng)絡(luò)管理方案大型網(wǎng)絡(luò)是指網(wǎng)絡(luò)規(guī)模較大或很大（一般在1000個(gè)點(diǎn)以上），網(wǎng)絡(luò)結(jié)構(gòu)非常復(fù)雜的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)通常含有大量的不同種類(lèi)的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)應(yīng)用也是多種多樣。大

14、型網(wǎng)絡(luò)系統(tǒng)的管理需求主要有：（1）軟件的自動(dòng)分發(fā) （2）提出修復(fù)建議 （3）對(duì)設(shè)備配置管理 8.3.3 中小型用戶(hù)的網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)1. 用戶(hù)環(huán)境2. 環(huán)境分析8.4 網(wǎng)絡(luò)故障診斷和排除 網(wǎng)絡(luò)中可能出現(xiàn)的故障多種多樣，往往解決一個(gè)復(fù)雜的網(wǎng)絡(luò)故障需要廣泛的網(wǎng)絡(luò)知識(shí)與豐富的工作經(jīng)驗(yàn)。一個(gè)成熟的網(wǎng)絡(luò)管理機(jī)構(gòu)都制訂有一整套完備的故障管理日志記錄機(jī)制，并把專(zhuān)家系統(tǒng)和人工智能技術(shù)引進(jìn)到網(wǎng)絡(luò)故障管理中。8.4.1 網(wǎng)絡(luò)故障的判斷 故障處理過(guò)程可分為四個(gè)主要步驟：發(fā)現(xiàn)故障跡象，追蹤故障的根源，排除故障，記錄故障的解決方法。 圖8.3 故障檢測(cè)流程圖8.4.2 使用網(wǎng)絡(luò)管理工具排除故障 簡(jiǎn)單、實(shí)用的網(wǎng)絡(luò)管理包括

15、：連通性測(cè)試程序(ping)、路由跟蹤程序(traceroute)和MIB變量瀏覽器。 1. 連通性測(cè)試程序 Ping從源端向目的端發(fā)出一定數(shù)量的網(wǎng)絡(luò)包，然后從目的端返回這些包的響應(yīng)，如果在一定的時(shí)間內(nèi)收到響應(yīng)，則程序返回從包發(fā)出到收到的時(shí)間間隔，這樣根據(jù)時(shí)間間隔就可以統(tǒng)計(jì)網(wǎng)絡(luò)的延遲。 Ping一次只能檢測(cè)一端到另一端的連通性，而不能一次檢測(cè)一端到多端的連通性。 2. 路由跟蹤程序 路由跟蹤程序就是traceroute，在WIN9X中是tracert命令。traceroute與ping的最大區(qū)別在于traceroute是把端到端的線路按線路所經(jīng)過(guò)的路由器分成多段，然后以每段返回響應(yīng)與延遲。 3

16、. MIB變量瀏覽器 MIB變量瀏覽器是另一種重要的網(wǎng)絡(luò)管理工具。在SNMP中，MIB變量包含了路由器的幾乎所有重要參數(shù)，對(duì)路由器進(jìn)行管理很大程度上是利用MIB變量來(lái)實(shí)現(xiàn)的。 網(wǎng)絡(luò)管理人員可以利用MIB變量瀏覽器取出路由器當(dāng)前的配置信息、 性能參數(shù)以及統(tǒng)計(jì)數(shù)據(jù)等，對(duì)網(wǎng)絡(luò)情況進(jìn)行監(jiān)視。 4. 有效地管理網(wǎng)絡(luò) 網(wǎng)絡(luò)管理的兩種方法是積極主動(dòng)（pro-active）的方法和被動(dòng)反應(yīng)（re-active）的方法。所謂積極主動(dòng)的方式，就是充分利用所有現(xiàn)存的資源。 通過(guò)監(jiān)視被管理設(shè)備中的網(wǎng)絡(luò)閾值設(shè)置，并且尋找故障的征兆，就可以擁有一個(gè)提前報(bào)警的系統(tǒng)了。思考與練習(xí)8.1 什么是網(wǎng)絡(luò)管理？網(wǎng)絡(luò)管理的主要功能有哪些？8.2 網(wǎng)絡(luò)管理協(xié)議中最常用的是什么？ 8.3 網(wǎng)管人員的職責(zé)是什么？8.4 簡(jiǎn)述基于TCP/IP模型的網(wǎng)絡(luò)管理體系結(jié)構(gòu)。8.5 網(wǎng)絡(luò)管理系統(tǒng)可以完成那些工作?8.6 什么是SNMP網(wǎng)絡(luò)管理模型？SNMP中哪幾類(lèi)管理操作，其作用分別是什么？8.7 什么是管理信息庫(kù)MIB？什么是ASN.1？8.8 什么是CMIP和CMIS？它們與SNMP