網(wǎng)絡(luò)管理協(xié)議的培訓(xùn)教程

1、網(wǎng)絡(luò)管理協(xié)議的培訓(xùn)教程第3章 網(wǎng)絡(luò)管理協(xié)議3.1 簡單網(wǎng)絡(luò)管理協(xié)議*32 公共管理信息效勞和公共管理信息協(xié)議CMIS/CMIP 3.3 基于Web的網(wǎng)絡(luò)管理技術(shù)WBM*3.4 TMN管理 小結(jié) 3.1 簡單網(wǎng)絡(luò)管理協(xié)議 3.1.1 SNMP的開展概述 3.1.2 SNMP網(wǎng)絡(luò)管理體系結(jié)構(gòu) 3.1.3 SNMPv3及其平安機(jī)制 3.1.4 RMON3.1.1 SNMP的開展概述1986年IAB領(lǐng)導(dǎo)IETF分短期和長期任務(wù)開發(fā)管理的Internet框架結(jié)構(gòu)。IETF分成三個(gè)組: 第一組重點(diǎn)開發(fā)了管理信息庫MIB。第二組負(fù)責(zé)開發(fā)了一個(gè)稱為SNMP的前身即SGMP Simple Gateway Mon

2、itoring Protocol 第三組在TCP/IP上開發(fā)了CMOTCommon Management Information Services and Protocol Over TCP/IP 1988年發(fā)布了SNMP1990年，IETF正式公布了Internet網(wǎng)絡(luò)管理標(biāo)準(zhǔn)SNMPRFC 1155，1157 1991年，公布了RFC1212和RFC1213標(biāo)準(zhǔn)。 1990年5月，對SNMP的三個(gè)核心局部被IAB提升為正式標(biāo)準(zhǔn)。1993年正式發(fā)表的SNMP第二版SNMPv2SNMPv2 1996年1月又發(fā)布了SNMPv2的修改RFC1902-1908， 1997年4月，IETF成立了SNM

3、Pv3工作組 3.1.2 SNMP網(wǎng)絡(luò)管理體系結(jié)構(gòu) 1. Internet的網(wǎng)絡(luò)管理模型 用“網(wǎng)絡(luò)元素表示任何一種接受管理的網(wǎng)絡(luò)資源，即具體的通信設(shè)備或邏輯實(shí)體，又稱為網(wǎng)元。Internet的網(wǎng)絡(luò)管理模型如圖3-1所示 管理代理僅僅是網(wǎng)絡(luò)管理系統(tǒng)中管理動(dòng)作的執(zhí)行機(jī)構(gòu)，是網(wǎng)絡(luò)元素的一局部； 外部代理那么是在網(wǎng)絡(luò)元素外附加的，專為那些不符合管理協(xié)議標(biāo)準(zhǔn)的網(wǎng)絡(luò)元素而設(shè)，完成管理協(xié)議轉(zhuǎn)換和管理信息過濾操作。當(dāng)一個(gè)網(wǎng)絡(luò)資源不能與網(wǎng)絡(luò)管理進(jìn)程機(jī)構(gòu)直接交換管理信息時(shí)，就要用到外部代理。外部代理相當(dāng)于一個(gè)“管理橋，一邊用管理協(xié)議與管理機(jī)構(gòu)通信，另一邊那么與被管理的設(shè)備通信。 這種管理模型的優(yōu)點(diǎn)是為管理進(jìn)程機(jī)構(gòu)

4、創(chuàng)造了透明的管理環(huán)境。惟一需要增加的信息是當(dāng)對網(wǎng)絡(luò)資源進(jìn)行管理時(shí)要選擇相應(yīng)的外部代理，但一個(gè)外部代理能夠管理多個(gè)網(wǎng)絡(luò)設(shè)備 2. NMP框架的組成 SNMP的網(wǎng)絡(luò)管理模型包括四個(gè)關(guān)鍵元素：管理進(jìn)程，又稱管理站(Management Station)管理代理agent管理信息庫MIB網(wǎng)絡(luò)管理協(xié)議。如圖示3-2所示。SMI、MIB和SNMP協(xié)議是組成SNMP框架的三個(gè)主要組成局部。 SNMP的網(wǎng)絡(luò)管理模型 包括四個(gè)關(guān)鍵元素：1管理進(jìn)程,又稱管理站 (Management Station)2管理代理agent3管理信息庫MIB4網(wǎng)絡(luò)管理協(xié)議。 如圖示3-2所示 圖3-21管理站：一般是一個(gè)分立的設(shè)備，

5、也可以利用共享系統(tǒng)實(shí)現(xiàn)。管理站作為網(wǎng)絡(luò)管理員與網(wǎng)絡(luò)管理系統(tǒng)的接口。根本構(gòu)成為：一組具有分析數(shù)據(jù)、發(fā)現(xiàn)故障等功能的管理程序; 一個(gè)用于網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)的接口; 將網(wǎng)絡(luò)管理員的要求轉(zhuǎn)變?yōu)閷h(yuǎn)程網(wǎng)絡(luò)元素的實(shí)際監(jiān)控的能力; 一個(gè)從所有被管網(wǎng)絡(luò)實(shí)體的MIB中抽取信息的數(shù)據(jù)庫。 2管理代理agent：是一種特殊的軟件或固件，在被管理的網(wǎng)絡(luò)設(shè)備中運(yùn)行，它包含了關(guān)于一個(gè)特殊設(shè)備和/或該設(shè)備所處環(huán)境的信息。管理代理負(fù)責(zé)執(zhí)行管理進(jìn)程的管理操作。每個(gè)管理代理都擁有自己的本地信息庫(MIB)。管理代理直接操作MIB，如果管理進(jìn)程需要，它可以根據(jù)要求改變本地信息庫或提取數(shù)據(jù)傳回到管理進(jìn)程。當(dāng)一個(gè)代理被安裝到一個(gè)設(shè)備上

6、時(shí)，上述的設(shè)備就被列為“被管理的。3管理信息庫MIB：是一個(gè)概念上的數(shù)據(jù)庫。MIB中定義了可以通過網(wǎng)絡(luò)管理協(xié)議進(jìn)行訪問的管理對象的集合，給出了管理對象的具體定義，但SNMP中的對象是表示被管資源某一方面的數(shù)據(jù)變量。對象被標(biāo)準(zhǔn)化為跨系統(tǒng)的類，對象的集合被組織為管理信息庫MIB。每個(gè)管理代理管理MIB中屬于本地的管理對象，各管理代理控制的管理對象共同構(gòu)成全網(wǎng)的管理信息庫。 MIB作為設(shè)在代理者處的管理站訪問點(diǎn)的集合，管理站通過讀取MIB中對象的值來進(jìn)行網(wǎng)絡(luò)監(jiān)控。管理站可以在代理者處產(chǎn)生動(dòng)作，也可以通過修改變量值改變代理者處的配置。 5SNMP協(xié)議 協(xié)議主要支持Get、Set和Trap三種功能共五種

7、操作三種能力： Get：管理站讀取代理者處對象的值。 Set：管理站設(shè)置代理者處對象的值。Trap：代理者向管理站通報(bào)重要事件。 五種管理操作：Get-Request;Get-Next-Request;Set-Request;Get-Response;Trap。3SNMP協(xié)議環(huán)境 。如圖3-3所示 4共同體和平安控制 認(rèn)證效勞將對MIB的訪問限定在授權(quán)的管理站的范圍內(nèi)；訪問策略對不同的管理站給予不同的訪問權(quán)限；代管效勞指的是一個(gè)被管理站可以作為其他一些被管理站(托管站)的代管，這就要求在這個(gè)代管系統(tǒng)中實(shí)現(xiàn)為托管站效勞的認(rèn)證效勞和訪問權(quán)限。 5SNMP的平安機(jī)制SNMP中需要保護(hù)的首要平安威脅是

8、管理信息報(bào)文的篡改和身份偽裝；需要防護(hù)的次要威脅包括信息泄漏和報(bào)文流篡改。 3.1.3 SNMPv3及其平安機(jī)制使用SNMPv1、SNMPv2 進(jìn)行網(wǎng)絡(luò)管理時(shí)，由于平安功能有限，面臨著假冒、信息篡改、報(bào)文序列和定時(shí)機(jī)制的修改、信息暴露等幾種平安威脅。所以SNMPv1、SNMPv2的平安性總是不能滿足人們的期望，1998年1月，Internet工作組正式發(fā)布了SNMPv3協(xié)議標(biāo)準(zhǔn)文檔：RFC2271RFC2275。 1SNMPv3協(xié)議的組成 SNMPv3應(yīng)用模塊主要有：命令生成器Command Generator命令應(yīng)答器Command Responder通告產(chǎn)生器Notification Or

9、iginator通告接受器Notification Receiver委托代理轉(zhuǎn)發(fā)器Proxy Forwarder其他的應(yīng)用。 圖3-4 2SNMPv3平安機(jī)制 SNMP中需要保護(hù)的首要平安威脅是管理信息報(bào)文的篡改和身份偽裝；需要防護(hù)的次要威脅包括信息泄漏和報(bào)文流篡改。SNMPv3需要實(shí)現(xiàn)以下平安目標(biāo)：驗(yàn)證接受到的SNMP報(bào)文的完整性，確認(rèn)在傳輸過程中沒有被篡改。驗(yàn)證源發(fā)送者的身份，確認(rèn)其不是偽裝的。根據(jù)報(bào)文中的生成時(shí)間，確認(rèn)報(bào)文從發(fā)送到接收之間的延遲在限定的窗口內(nèi)報(bào)文流沒有被篡改。SNMPv3的平安機(jī)制由三個(gè)模塊組織：鑒別模塊：實(shí)現(xiàn)數(shù)據(jù)完整性鑒別和數(shù)據(jù)源身份鑒別；時(shí)標(biāo)模塊：用于檢驗(yàn)報(bào)文的傳輸時(shí)

10、延，確認(rèn)報(bào)文時(shí)延在規(guī)定的時(shí)間窗口內(nèi) ；加密模塊：實(shí)現(xiàn)對報(bào)文內(nèi)容的加密。 3.1.4 RMON Remote Network MonitoringRMON擴(kuò)充了SNMP的管理信息庫MIB-2，MIB-2向網(wǎng)絡(luò)管理人員提供了有關(guān)互連網(wǎng)絡(luò)關(guān)鍵信息。網(wǎng)絡(luò)管理技術(shù)的一個(gè)新的趨勢是使用RMON。 1為什么需要RMON 因?yàn)镾NMP是一種使用嵌入到網(wǎng)絡(luò)設(shè)施中的代理軟件來收集網(wǎng)絡(luò)通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)。雖然MIB計(jì)數(shù)器將統(tǒng)計(jì)數(shù)據(jù)的總和記錄下來了，但它無法對日常通信量進(jìn)行歷史分析。為了能全面地查看一天的通信流量和變化率，管理人員必須不斷地輪詢SNMP代理，每分鐘就輪詢一次。這樣，網(wǎng)管員可以使用SNMP

11、來評價(jià)網(wǎng)絡(luò)的運(yùn)行狀況，并揭示出通信的趨勢，但SNMP輪詢有兩個(gè)明顯的弱點(diǎn)：沒有伸縮性及將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺上管理進(jìn)程端。管理站所在計(jì)算機(jī)的處理能力總是有限的，也許能輕松地收集幾個(gè)網(wǎng)段的信息，當(dāng)它們監(jiān)控?cái)?shù)十個(gè)網(wǎng)段時(shí)，CPU就無法應(yīng)付。因此，就提出了一種高效、低本錢的網(wǎng)絡(luò)監(jiān)視方案，這就是RMON。2RMON MIB 以太網(wǎng)定義了9個(gè)函數(shù)組統(tǒng)計(jì)Statistics，累積的局域網(wǎng)通信和故障統(tǒng)計(jì)數(shù)據(jù)；歷史History，進(jìn)行趨勢分析的區(qū)間抽樣統(tǒng)計(jì)數(shù)據(jù)；報(bào)警Alarm，確定閾值；主機(jī)統(tǒng)計(jì)數(shù)Hosts，由介質(zhì)訪問控制地址MAC組成的統(tǒng)計(jì)數(shù)據(jù)；主機(jī)統(tǒng)計(jì)最大值Host Top N，按MAC地址排序

12、的統(tǒng)計(jì)數(shù)據(jù)；矩陣Matrix，所追蹤的兩個(gè)設(shè)備之間的對話；過濾存儲Filter；數(shù)據(jù)包選擇機(jī)制；包捕獲Packet Capture，數(shù)據(jù)包收集和上載機(jī)制；事件Event，對報(bào)警信號所引起的操作進(jìn)行控制的機(jī)制；令牌環(huán)token Ring，針對令牌環(huán)設(shè)備的特殊參數(shù)，包括環(huán)站、環(huán)站次序、環(huán)站配置、源路由統(tǒng)計(jì)數(shù)據(jù)只用于令牌環(huán)。 3RMON的目標(biāo) 離線操作 主動(dòng)監(jiān)視 問題檢測和報(bào)告 提供增值數(shù)據(jù) 多管理站操作 4RMON II RMON II并不是取代RMON ，而是它的補(bǔ)充技術(shù)的補(bǔ)充：提供更高層次的診斷和監(jiān)測功能 表3-1 RMON與RMON II的網(wǎng)絡(luò)管理著眼點(diǎn)網(wǎng)絡(luò)管理問題 相關(guān)OSI層管理標(biāo)準(zhǔn)物理

13、故障與應(yīng)用 介質(zhì)訪問控制層(MAC) RMON局域網(wǎng)網(wǎng)段 數(shù)據(jù)鏈路層 RMON 網(wǎng)絡(luò)互連網(wǎng)絡(luò)層 RMON II應(yīng)用程序的使用應(yīng)用層RMON II*32 公共管理信息效勞和公共管理信息協(xié)議CMIS/CMIPCMIP：Common Management Information Protocol公共管理信息協(xié)議CMIS：Common Management Information Service公共管理信息效勞CMIP是基于ISO/OSI七層模型，是一個(gè)更為有效的網(wǎng)絡(luò)管理協(xié)議。OSI網(wǎng)絡(luò)管理框架是ISO在1979年開始制定的，也是國際上最早制定的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。管理協(xié)議是CMIP，所提供的效勞是CMIS

14、 3.2.1 CMIP/CMIS概述 CMIP/CMIS體系結(jié)構(gòu)：信息模型組織模型通信模型功能模型 3.2.2 公共管理信息通信環(huán)境 公共管理信息效勞元素CMISE：通過協(xié)議在兩個(gè)實(shí)體管理者和代理之間進(jìn)行管理信息的交換是ISO提出的網(wǎng)絡(luò)管理的根本功能。CMISE的定義分為兩局部： 1CMIS，描述提供給用戶的效勞；2CMIP，描述完成CMIS效勞的協(xié)議數(shù)據(jù)單元PDU的格式及其相關(guān)聯(lián)的過程。 為了實(shí)現(xiàn)CMIS/CMIP，有三個(gè)OSI應(yīng)用層協(xié)議實(shí)體也稱為效勞元素： 公共管理信息效勞元素CMISE，Common Management Information Service Element,用于提供C

15、MIS效勞。 關(guān)聯(lián)控制效勞元素ACSE，Association Control Service Element,用于建立和撤除兩個(gè)系統(tǒng)之間應(yīng)用層的通信聯(lián)系。遠(yuǎn)程操作效勞元素ROSE，Remote Operation Service Element,用于建立和釋放應(yīng)用層的鏈接。OSI/CMIP管理體系結(jié)構(gòu)的缺點(diǎn) :OSI系統(tǒng)管理違反了OSI參考模型的根本思想；故障管理的問題，由于OSI系統(tǒng)管理用到了OSI各層的效勞傳送管理信息，使得OSI系統(tǒng)管理不能管理通信系統(tǒng)自己內(nèi)部的故障；缺乏管理者特定的功能描述。OSI系統(tǒng)管理標(biāo)準(zhǔn)僅僅定義了每個(gè)獨(dú)立的管理操作，但并沒有定義這些操作的序列，以完成管理者要解決

16、的特定問題； OSI系統(tǒng)管理太復(fù)雜，CMIP的功能極其靈活強(qiáng)大，使得OSI系統(tǒng)管理方法過于復(fù)雜，從而OSI系統(tǒng)管理與實(shí)際的應(yīng)用存在差距，OSI的實(shí)際應(yīng)用產(chǎn)品較少；缺乏相應(yīng)的開發(fā)工具，代理系統(tǒng)本錢太高； OSI系統(tǒng)管理雖然管理信息模型是面向?qū)ο蟮?，但管理信息傳送卻不是面向?qū)ο蟮?，OSI系統(tǒng)管理不是純面向?qū)ο蟮摹?3.3 基于Web的網(wǎng)絡(luò)管理技術(shù)WBM (Web-Based Management) 基于Web的網(wǎng)絡(luò)管理模式是一種全新的網(wǎng)絡(luò)管理模式，它以其特有的靈活性、易操作性等特點(diǎn)贏得了許多技術(shù)專家和用戶的青睞，被譽(yù)為是“將改變用戶網(wǎng)絡(luò)管理方式的革命性網(wǎng)絡(luò)管理解決方案。 WBM將Web功能與網(wǎng)絡(luò)管理技術(shù)融為一體，從而為網(wǎng)絡(luò)人員提供了比傳統(tǒng)網(wǎng)絡(luò)工具更強(qiáng)的能力。 WBM是發(fā)布網(wǎng)絡(luò)操作信息的理想方法。 3.3.1 WBM管理方式的實(shí)現(xiàn) 代理方式是在一個(gè)內(nèi)部工作站上運(yùn)行Web效勞器代理，如圖3-8所示。 嵌入式 :嵌入式是將Web功能嵌入到網(wǎng)絡(luò)設(shè)備中，每個(gè)設(shè)備有自己的Web地址，管理員可通過瀏覽器直接訪問并管理該設(shè)備，如圖3-9所示 圖3-8 圖3-9 目前實(shí)現(xiàn)WBM的常見技術(shù)： 超文本標(biāo)記語言HTML。HTML語言用于創(chuàng)立表達(dá)信息以及提供到達(dá)另外一個(gè)頁面的超級鏈接。通用網(wǎng)關(guān)接口CGI。相對于CGI的其它功能，它更是一項(xiàng)基于Web的存取數(shù)據(jù)庫中信息的技術(shù)。Java語言。 3.3.2 W