監(jiān)控和管理IP網(wǎng)絡(luò)

GuidetoTCP/IP,ThirdEditionChapter11:MonitoringandManagingIPNetworks1MonitoringandManagingIPNetworks理解管理現(xiàn)代網(wǎng)絡(luò)所包含的基本原理理解SNMP在基于IP網(wǎng)絡(luò)中能夠發(fā)揮的作用了解SNMP基本結(jié)構(gòu)和功能了解如何安裝、配置與使用SNMP控制臺和工具本章知識要點：2MonitoringandManagingIPNetworks一、網(wǎng)絡(luò)管理的定義狹義的網(wǎng)絡(luò)管理僅僅指網(wǎng)絡(luò)的通信量管理，而廣義的網(wǎng)絡(luò)管理指網(wǎng)絡(luò)的系統(tǒng)管理。網(wǎng)絡(luò)管理是指對網(wǎng)絡(luò)的運行狀態(tài)進行檢測和控制，使其能夠有效、可靠、安全、經(jīng)濟的提供服務(wù)。網(wǎng)絡(luò)管理功能可概括為OAM﹠P，即網(wǎng)絡(luò)的運行（Operation）、管理（Administration）、維護（Maintenance）、服務(wù)提供（Provisioning）等所需要的各種活動網(wǎng)絡(luò)管理涉及的內(nèi)容：Networkserviceprovisioning提供網(wǎng)絡(luò)服務(wù)向用戶提供新的服務(wù)類型與增加網(wǎng)絡(luò)設(shè)備、提高網(wǎng)絡(luò)性能。Networkmaintenance網(wǎng)絡(luò)維護網(wǎng)絡(luò)性能監(jiān)控、故障報警、故障診斷、故障隔離與恢復(fù)Networkadministration網(wǎng)絡(luò)處理網(wǎng)絡(luò)線路、設(shè)備利用率數(shù)據(jù)的采集、分析及提高網(wǎng)絡(luò)利用率的各種控制。11.1理解網(wǎng)絡(luò)管理實踐和原理3MonitoringandManagingIPNetworks二、網(wǎng)絡(luò)管理的必要性網(wǎng)絡(luò)規(guī)模不斷擴大網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜簡單的管理工具和方法已不適應(yīng)管理大型和異構(gòu)網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備的復(fù)雜化使網(wǎng)絡(luò)管理變得更加復(fù)雜網(wǎng)絡(luò)的經(jīng)濟效益越來越依賴網(wǎng)絡(luò)的有效管理先進可靠的網(wǎng)絡(luò)管理也是網(wǎng)絡(luò)本身發(fā)展的必然結(jié)果。4MonitoringandManagingIPNetworks三、網(wǎng)絡(luò)管理的目標(biāo)有效性可靠性開放性綜合性安全性經(jīng)濟性5MonitoringandManagingIPNetworks四、網(wǎng)絡(luò)管理對象廣義上包括：網(wǎng)絡(luò)的參與者網(wǎng)絡(luò)連接設(shè)備網(wǎng)絡(luò)服務(wù)器網(wǎng)絡(luò)協(xié)議和各種軟件網(wǎng)絡(luò)管理人員網(wǎng)絡(luò)管理制度等狹義講包括兩大類：硬件資源和軟件資源硬件資源是指物理介質(zhì)、計算機設(shè)備和網(wǎng)絡(luò)互聯(lián)設(shè)備軟件資源主要包括操作系統(tǒng)、應(yīng)用軟件和通信軟件被管資源的集合稱作管理信息庫MIB6MonitoringandManagingIPNetworks五、網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)(NMS)：由一組軟件組成，幫助網(wǎng)絡(luò)管理人員完成日常的任務(wù)，提高網(wǎng)絡(luò)運行的效率和服務(wù)質(zhì)量網(wǎng)絡(luò)管理系統(tǒng)的任務(wù)是幫助網(wǎng)絡(luò)管理者有效地控制和維護網(wǎng)絡(luò)設(shè)備。在復(fù)雜的網(wǎng)絡(luò)環(huán)境中給網(wǎng)絡(luò)管理者提供更高水平的幫助，使得網(wǎng)絡(luò)更加適合于用戶的需要7MonitoringandManagingIPNetworks末端站點通常稱為托管設(shè)備管理實體提供對管理數(shù)據(jù)、控制以及行為的訪問當(dāng)收到警報時，必須生成適宜的響應(yīng)要求來自托管設(shè)備的更新管理代理負責(zé)保管管理數(shù)據(jù)庫（MDB）對于TCP/IP，管理協(xié)議是SNMP大型網(wǎng)絡(luò)環(huán)境中，管理實體可以采用分層方式11.1.1網(wǎng)絡(luò)管理架構(gòu)8MonitoringandManagingIPNetworks11.1.2OSI網(wǎng)絡(luò)管理模型ISO定義了網(wǎng)絡(luò)管理參考的通用框架，并提供了理解NMS所完成主要功能的優(yōu)秀架構(gòu)，且被標(biāo)準(zhǔn)和非標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理系統(tǒng)所廣泛接受。其網(wǎng)絡(luò)管理模型分為下述五層：故障管理配置管理計費管理性能管理安全管理9MonitoringandManagingIPNetworks最基本的功能之一主要任務(wù)：發(fā)現(xiàn)和排除網(wǎng)絡(luò)故障，保證網(wǎng)絡(luò)資源的無故障無錯誤的運營狀態(tài)包括：障礙管理、故障恢復(fù)和預(yù)防保障包括以下典型功能：維護并檢查錯誤日志接受錯誤檢測報告并作出響應(yīng)跟蹤、辨認錯誤執(zhí)行診斷測試糾正錯誤一、故障管理10MonitoringandManagingIPNetworks是最基本的網(wǎng)絡(luò)管理功能，負責(zé)網(wǎng)絡(luò)的建立、業(yè)務(wù)的展開以及配置數(shù)據(jù)的維護主要功能包括：資源清單管理、資源開通以及業(yè)務(wù)開通配置管理包括：設(shè)置開放系統(tǒng)中有關(guān)路由操作參數(shù)被管對象和被管對象組名字的管理初始化或關(guān)閉被管對象根據(jù)要求收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息獲取系統(tǒng)重要變化信息更改系統(tǒng)配置二、配置管理11MonitoringandManagingIPNetworks計費管理是記錄網(wǎng)絡(luò)資源的使用，目的是控制的監(jiān)測網(wǎng)絡(luò)操作的費用和代價主要功能：計算機網(wǎng)絡(luò)建設(shè)及運營成本統(tǒng)計網(wǎng)絡(luò)及其所包含的資源的利用率聯(lián)機收集計費數(shù)據(jù)計算用戶應(yīng)支付的網(wǎng)絡(luò)服務(wù)費用賬單管理三、計費管理12MonitoringandManagingIPNetworks性能管理的目的是維護網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)運營效率具有性能檢測功能、性能分析功能和性能管理控制功能典型功能包括：收集統(tǒng)計性息維護并檢查系統(tǒng)狀態(tài)日志確定自然和人工狀況下系統(tǒng)的性能改變系統(tǒng)操作模式以進行系統(tǒng)性能管理的操作四、性能管理13MonitoringandManagingIPNetworks安全是網(wǎng)絡(luò)的薄弱環(huán)節(jié)之一網(wǎng)絡(luò)主要安全問題：網(wǎng)絡(luò)數(shù)據(jù)的私有性授權(quán)訪問控制安全管理目的是提供信息的隱私、認證和完整性保護機制，使網(wǎng)絡(luò)中的服務(wù)、數(shù)據(jù)以及系統(tǒng)免受侵擾和破壞包括：風(fēng)險分析功能安全服務(wù)功能告警日志和報告功能網(wǎng)絡(luò)管理系統(tǒng)保護功能五、安全管理14MonitoringandManagingIPNetworks不同廠商有不同的NMS網(wǎng)絡(luò)管理員必須優(yōu)先采用系統(tǒng)化的網(wǎng)絡(luò)管理，并得到能夠用于規(guī)范、可調(diào)度網(wǎng)絡(luò)維護和監(jiān)護程序一部分的軟件部件和工具的正確組合11.1.3實際網(wǎng)絡(luò)管理15MonitoringandManagingIPNetworks帶內(nèi)管理流量沿著正常的網(wǎng)絡(luò)數(shù)據(jù)路徑傳輸帶外管理流量報警在獨立的、非數(shù)據(jù)路徑上傳輸支持管理代理和管理設(shè)備之間的通信，而不管數(shù)據(jù)網(wǎng)絡(luò)的狀態(tài)如何11.1.4帶內(nèi)管理與帶外管理的比較16MonitoringandManagingIPNetworksIETF的成果SNMPSNMP(SimpleNetworkManagementProtocol)是一個基于請求/響應(yīng)的協(xié)議，用于傳輸在SNMP代理和SNMP管理器之間的管理消息SNMP已成為網(wǎng)絡(luò)管理領(lǐng)域中事實上的工業(yè)標(biāo)準(zhǔn)，大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)和平臺都是基于SNMP的體系結(jié)構(gòu)通信設(shè)備管理階段的特點是集中式網(wǎng)絡(luò)管理體系結(jié)構(gòu)，采用SNMP網(wǎng)絡(luò)管理協(xié)議，管理的對象主要是針對網(wǎng)絡(luò)互連設(shè)備，例如：路由器、交換機、打印機、UPS等設(shè)備11.2理解SNMP17MonitoringandManagingIPNetworks基于SNMP的網(wǎng)絡(luò)管理路由器服務(wù)器MIB管理信息庫MIBSNMP協(xié)議SNMP協(xié)議管理站管理節(jié)點代理軟件代理軟件18MonitoringandManagingIPNetworksSNMPv1SNMP的最初版本簡單實用，但缺乏安全性SNMPv2增強版本協(xié)議增強安全增強SNMPv3最新版本安全方面的增強認證（確保用戶的有效性）私密（保持機密性）授權(quán)（限制訪問）遠程配置和管理能力19MonitoringandManagingIPNetworks管理信息庫（MIB）是一個用于設(shè)備的可管理對象數(shù)據(jù)庫例如：可管理路由器支持填充了路由器類型對象的MIB，包括網(wǎng)卡、已轉(zhuǎn)發(fā)數(shù)據(jù)包、已過濾數(shù)據(jù)包等11.2.1管理信息庫對象20MonitoringandManagingIPNetworks一、管理信息結(jié)構(gòu)管理信息結(jié)構(gòu)SMI（StructureofManagementInformation）用于定義存儲在MIB中的管理信息的語法和語義對MIB進行定義和構(gòu)造SMI只允許存儲標(biāo)量和二維數(shù)組，不支持復(fù)雜的數(shù)據(jù)結(jié)構(gòu)，簡化了實現(xiàn)，加強了互操作性為滿足協(xié)同操作的要求，SMI提供了以下標(biāo)準(zhǔn)化技術(shù)表示管理信息：定義了MIB的層次結(jié)構(gòu)；提供了定義管理對象的語法結(jié)構(gòu)；規(guī)定了對象值的編碼方法。21MonitoringandManagingIPNetworks二、管理信息庫結(jié)構(gòu)SNMP環(huán)境中的所有被管理對象都按層次性的結(jié)構(gòu)或樹型結(jié)構(gòu)來排列。樹結(jié)構(gòu)端結(jié)點對象就是實際的被管理對象，每一個對象都代表一些資源、活動或其他要管理的相關(guān)信息。樹型結(jié)構(gòu)本身定義了如何把對象組合成邏輯相關(guān)的集合。層次樹結(jié)構(gòu)有三個作用表示管理和控制關(guān)系提供了結(jié)構(gòu)化的信息組織技術(shù)提供了對象命名機制22MonitoringandManagingIPNetworks

OSI管理信息樹root102ituiso-ituiso2301standardregistrationauthoritymemberbodyorg621134dodinternetdirectorymgmt16mib-2tcpexperimentalprivate12enterpriseIBM23MonitoringandManagingIPNetworks通過這種特殊結(jié)構(gòu)的樹來唯一的確定一個管理對象是OSI的管理模式Internet也應(yīng)用了這種管理信息結(jié)構(gòu)，SMI在Internet節(jié)點下面定義了四個節(jié)點：directory:

為將來使用OSI目錄保留mgmt:

用于由IAB批準(zhǔn)的所有管理對象，而mib-2是mgmt的第一個子節(jié)點experimental：用來識別在互聯(lián)網(wǎng)上實驗中使用的所有管理對象

private：用于識別單方面定義的對象?；蛘哒f為私人企業(yè)管理信息準(zhǔn)備的例如:

一個私人企業(yè)LT公司，向Internet編碼機構(gòu)申請注冊，并得到一個代碼100（Cisco公司為9、HP公司為11、3Com公司為43）。該公司為它的令牌環(huán)適配器賦予代碼為25，則令牌環(huán)適配器的對象標(biāo)識為.5。24MonitoringandManagingIPNetworks

MIB-Ⅱ功能組在RFC1213定義的MIB-Ⅱ是當(dāng)前應(yīng)用的管理信息庫標(biāo)準(zhǔn)。它是MIB-Ⅰ的擴充，增加了一些對象和組。文件包含11個功能組和175個對象。25MonitoringandManagingIPNetworksInternet(1)directory(1)mgmt(2)mib-2(1)iso(1)org(3)dod(6)system(1)interfaces(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)transmission(10)snmp(11)experimental(3)private(4)enterprises(1)

MIB-Ⅱ的分組結(jié)構(gòu)26MonitoringandManagingIPNetworksmib-Ⅱ的對象ID為.2.1。

InternetMIB-ⅡGroupinternet{}directory(1)mgmt(2)experimental(3)private(4)mib-2(1)system(1)interfaces(2)at(3)ip(4)icmp(5)snmp(11)transmission(10)cmot(9)egp(8)udp(7)tcp(6)27MonitoringandManagingIPNetworks功能組OID主要描述systemmib-21系統(tǒng)說明和管理信息interfacesmib-22實例的接口和輔助信息atmib-23IP地址與物理地址的轉(zhuǎn)換ipmib-24關(guān)于IP的信息icmpmib-25關(guān)于ICMP的信息tcpmib-26關(guān)于TCP的信息udpmib-27關(guān)于UDP的信息egpmib-28關(guān)于EGP的信息cmotmib-29為CMIPoverTCP/IPtransmissionmib-210關(guān)于傳輸介質(zhì)的管理信息snmpmib-211關(guān)于SNMP的信息MIB-2功能組28MonitoringandManagingIPNetworksIP組IP組提供與IP協(xié)議有關(guān)的信息。在網(wǎng)絡(luò)中路由器周期性的執(zhí)行路由算法并更新路由表IP組定義執(zhí)行網(wǎng)絡(luò)層協(xié)議（如主機和路由器）的節(jié)點的所有需要的參數(shù)。其功能組是必須實現(xiàn)的IP組包含三個表對象：IP地址表、IP路由表和IP地址轉(zhuǎn)換表Ip(mib-24)ipRoutingDiscards(23)ipNetToMediaTable(22)2)ipRouteTable(21)ipAddrTable(20)ipFragCreates(19)ipFragFails(18)ipFragOKs(17)ipReasmFails(16)IpReasmOKs(15)IpReasmReqds(14)IpReasmTimeout(13)ipForwarding(1)ipDefaultTTL(2)ipInReceives(3)IpInHdrErrors(4)IpInAddrErrors(5)IpForwDatagrams(6)ipInUnknownProtos(7)

ipInDiscards(8)IpInDelivers(9)IpOutRequests(10)IpOutDiscards(11)ipOutNoRoutes(12)IP組ICMP組該組僅由發(fā)送或接收到的各種ICMP信息的計數(shù)器組成通過ICMP組的對象可以對網(wǎng)絡(luò)的性能管理功能進行分析TCP組TCP組包含與TCP協(xié)議的實現(xiàn)和操作有關(guān)的信息UDP組UDP組包含有關(guān)結(jié)點上UDP實現(xiàn)和操作的信息29MonitoringandManagingIPNetworks是一種在被管理的網(wǎng)絡(luò)設(shè)備中運行的軟件，負責(zé)執(zhí)行管理進程的管理操作。包含了用于被管理設(shè)備的MIB管理代理直接操作本地信息庫，可以根據(jù)要求改變本地信息庫或?qū)?shù)據(jù)傳送到管理進程。11.2.2SNMP代理30MonitoringandManagingIPNetworks是一個或一組軟件程序一般運行在網(wǎng)絡(luò)管理中心的主機上可以在SNMP的支持下命令管理代理執(zhí)行各種管理操作11.2.3SNMP管理器31MonitoringandManagingIPNetworksSNMP提供了一個標(biāo)準(zhǔn)化的網(wǎng)絡(luò)管理框架，使得互連網(wǎng)絡(luò)的監(jiān)視和控制成為可能SNMP是一個簡單的但可擴展的標(biāo)準(zhǔn)集，采用管理進程/管理代理模式，管理協(xié)議在應(yīng)用層上運行SNMP的成功主要在于它的簡單性、靈活性和可擴展性SNMP網(wǎng)絡(luò)管理結(jié)構(gòu)32MonitoringandManagingIPNetworks基于TCP/IP網(wǎng)絡(luò)管理的網(wǎng)絡(luò)模型由以下幾部分組成：管理器管理代理管理信息庫網(wǎng)絡(luò)管理協(xié)議33MonitoringandManagingIPNetworks網(wǎng)管工作站(NMS)—收集網(wǎng)絡(luò)情報,并做顯示SNMP—信息交換協(xié)議Agent—根據(jù)NMS的要求收集并存儲信息,產(chǎn)生陷井TRAPMIB—ManagementInformationBase網(wǎng)絡(luò)信息對象的數(shù)據(jù)庫SMI—StructureofManageInformationNetworkManagementStation(NMS)ManagerSNMPmessageexchangeManagedDeviceAgentMIBManagedDeviceAgentMIB34MonitoringandManagingIPNetworks網(wǎng)絡(luò)管理結(jié)構(gòu)模型

網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備

網(wǎng)絡(luò)管理協(xié)議Polling、Trap

NMS

代理進程

協(xié)議棧和設(shè)備驅(qū)動程序協(xié)議棧和設(shè)備驅(qū)動程序互連網(wǎng)絡(luò)35MonitoringandManagingIPNetworks

管理站和代理通過網(wǎng)絡(luò)管理協(xié)議聯(lián)系起來用于管理TCP/IP網(wǎng)絡(luò)的協(xié)議SNMP有以下主要的功能：get:使管理站能夠獲取代理中對象的值。set：使管理站能夠設(shè)定代理中對象的值。trap：使代理能夠向管理站通告重要事件。POLLINGTRAP

ManagerAgent

ManagerAgent實現(xiàn)模式36MonitoringandManagingIPNetworks網(wǎng)絡(luò)管理工作站流量監(jiān)視器你看見了多少流量？在下午4點15分有12.5%方法1網(wǎng)絡(luò)管理工作站輪詢被管理設(shè)備中的代理以獲得信息37MonitoringandManagingIPNetworks在沒有輪詢的情況下，被管理設(shè)備代理向網(wǎng)絡(luò)管理工作站報告錯誤網(wǎng)絡(luò)管理工作站流量監(jiān)視器警告！在下午4點20分我看見了55%的利用率38MonitoringandManagingIPNetworksSNMP協(xié)議體系結(jié)構(gòu)

SNMPUDPIP網(wǎng)絡(luò)協(xié)議代理過程路由器SNMPUDPIP網(wǎng)絡(luò)協(xié)議代理過程主機FTP等TCPIP網(wǎng)絡(luò)協(xié)議用戶過程NetworkSNMPUDPIP網(wǎng)絡(luò)協(xié)議管理站過程管理站MIB網(wǎng)絡(luò)管理站39MonitoringandManagingIPNetworks從管理站發(fā)送三種SNMP消息：GetRequestGetNextRequestSetRequest由代理以GetResponse消息的形式來應(yīng)答，并將該消息向上傳輸?shù)焦芾響?yīng)用程序。代理可能發(fā)送trap消息來響應(yīng)影響MIB和底層被管理資源的事件。由于SNMP依賴于UDP，所以SNMP本身也是無連接協(xié)議。在管理站和其代理之間不維持連續(xù)連接，相反每一次信息交換都是管理站和代理之間的獨立行為。

SNMP實現(xiàn)的建議是對每個管理信息要裝配成單獨的數(shù)據(jù)報獨立發(fā)送，而且報文較短，不超過484個字節(jié)。40MonitoringandManagingIPNetworksSNMP工作機制SNMP管理模式重要特點是能夠快速地從MIB中找到所需要的管理對象實例。主要依賴于只有葉節(jié)點的對象才有實例，且每個對象或?qū)嵗淖R別符都是從左到右順序遞增的規(guī)定。有了這一規(guī)定，SNMP管理模式就會具有較高的檢索速度SNMP協(xié)議實現(xiàn)網(wǎng)絡(luò)管理系統(tǒng)和代理之間的異步請求和響應(yīng)。其功能是通過輪流查詢操作實現(xiàn)的。SNMP協(xié)議的機制是一種由管理站周期性地發(fā)送輪詢信息給被管設(shè)備的管理代理以實時監(jiān)視和維持網(wǎng)絡(luò)資源，同時又采用了被管設(shè)備在發(fā)生特殊問題時采用異常事件報告網(wǎng)管站的工作方式。41MonitoringandManagingIPNetworks1.

GetRequest：從擁有SNMP代理的網(wǎng)絡(luò)設(shè)備中檢索信息2.

GetResponse：是SNMP代理對管理站GetRequest消息的響應(yīng)。可以交換許多信息，如系統(tǒng)的名字、系統(tǒng)自啟動后正常運行的時間和系統(tǒng)中的網(wǎng)絡(luò)接口數(shù)等3.

GetNextRequest:訪問網(wǎng)管代理，并從MIB樹上檢索指定對象的下一個對象實例4.

SetRequest：對一個設(shè)備中的參數(shù)進行遠程配置。可以設(shè)置設(shè)備的名字，在管理上關(guān)掉一個端口或清除一個地址解析表中的項5.

Trap：是SNMP代理發(fā)送給管理站的非請求消息。這些