第15章 計(jì)算機(jī)網(wǎng)絡(luò)管理

計(jì)算機(jī)網(wǎng)絡(luò)工程王曉燕第15章計(jì)算機(jī)網(wǎng)絡(luò)管理本章重點(diǎn)：（1）網(wǎng)絡(luò)管理功能：包括配置、性能、故障、計(jì)費(fèi)、安全管理（2）網(wǎng)絡(luò)管理系統(tǒng)邏輯模型：包括模型組成、Internet管理邏輯模型（3）SNMP：包括管理模型、鑒別機(jī)制、委托代理、通信過程（4）網(wǎng)絡(luò)管理新發(fā)展：包括集成化、分布式、智能化方向15.1網(wǎng)絡(luò)管理概述15.1.1計(jì)算機(jī)網(wǎng)絡(luò)管理的重要性網(wǎng)絡(luò)管理指調(diào)度和協(xié)調(diào)網(wǎng)絡(luò)資源，以便在任何時(shí)候都能對(duì)網(wǎng)絡(luò)進(jìn)行計(jì)劃、管理、分析、評(píng)估、設(shè)計(jì)和擴(kuò)充等工作，從而能以合理的成本和最佳的性能滿足用戶的需求。注意：這里所說的網(wǎng)絡(luò)管理不是指網(wǎng)絡(luò)應(yīng)用程序、用戶帳號(hào)和存取權(quán)限的管理等這些與軟件有關(guān)的網(wǎng)絡(luò)管理問題。15.1.2計(jì)算機(jī)網(wǎng)絡(luò)管理的目標(biāo)保證端用戶能得到可靠的服務(wù)，進(jìn)而保證系統(tǒng)的有效運(yùn)行。（1）當(dāng)網(wǎng)絡(luò)環(huán)境發(fā)生變化時(shí)，也能確保連續(xù)的端用戶服務(wù)，在有部分網(wǎng)絡(luò)設(shè)備失效時(shí)仍然能提供正常的服務(wù)（借助旁路、備份等手段），并將故障告知管理員。（2）對(duì)整個(gè)網(wǎng)絡(luò)性能的監(jiān)視、分析和評(píng)價(jià)，能用多種形式存儲(chǔ)、統(tǒng)計(jì)數(shù)據(jù)和對(duì)歷史數(shù)據(jù)進(jìn)行分析。（3）網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該提供操作員的直接操作接口，應(yīng)能實(shí)施集中的綜合網(wǎng)絡(luò)管理，并提高網(wǎng)管中心的自動(dòng)化。（4）為支持營(yíng)運(yùn)、處理、分析和規(guī)劃提供強(qiáng)有力的網(wǎng)絡(luò)管理數(shù)據(jù)庫(kù)，迅速、連續(xù)的對(duì)網(wǎng)絡(luò)應(yīng)用、用戶、裝置、收費(fèi)和服務(wù)變化作出響應(yīng)。（5）網(wǎng)絡(luò)管理應(yīng)基于國(guó)際標(biāo)準(zhǔn)，當(dāng)前要求實(shí)現(xiàn)國(guó)際標(biāo)準(zhǔn)及各主流實(shí)施標(biāo)準(zhǔn)共存的解決辦法，對(duì)各個(gè)廠商的各種網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理。15.1.3計(jì)算機(jī)網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化（1）ISO的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化工作（2）國(guó)際電信聯(lián)盟（ITU）的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化工作（3）Internet的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化工作（4）IEEE的標(biāo)準(zhǔn)化工作ISO的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化工作（1）ISO7498標(biāo)準(zhǔn)定義了異質(zhì)系統(tǒng)互聯(lián)的體系結(jié)構(gòu)（七層框架），OSI參考模型（2）ISO7498－4定義了開放系統(tǒng)互連基本參考模型的管理框架（3）ISO10040則描述了系統(tǒng)管理的模型，該模型在信息、功能和通信方面對(duì)系統(tǒng)管理進(jìn)行了細(xì)化。由于ISO標(biāo)準(zhǔn)追求全面，因而十分復(fù)雜，其實(shí)現(xiàn)進(jìn)程較慢。國(guó)際電信聯(lián)盟（ITU）的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化工作（1）SG2網(wǎng)絡(luò)營(yíng)運(yùn)。研究電信網(wǎng)絡(luò)的管理和網(wǎng)絡(luò)的服務(wù)質(zhì)量。（2）SG4網(wǎng)絡(luò)維護(hù)。負(fù)責(zé)網(wǎng)絡(luò)維護(hù)協(xié)議研究工作。（3）SG7數(shù)據(jù)網(wǎng)和開放系統(tǒng)通信。負(fù)責(zé)開放系統(tǒng)互連中的管理標(biāo)準(zhǔn)研究。（4）SG11交換和信令。負(fù)責(zé)電信管理網(wǎng)的研究工作。（5）TMN（電信管理網(wǎng)）是ITU-T為了對(duì)電信網(wǎng)進(jìn)行統(tǒng)一管理，在1988年提出并在1992年形成的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。TMN采用了OSI的網(wǎng)絡(luò)管理框架，但采用另一個(gè)具有自己的體系結(jié)構(gòu)的數(shù)據(jù)網(wǎng)TMN來(lái)管理電信網(wǎng)，TMN包括一個(gè)專用分組交換數(shù)據(jù)網(wǎng)，來(lái)負(fù)責(zé)收集、傳輸和處理網(wǎng)絡(luò)管理數(shù)據(jù)。Internet的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)化工作（1）SNMP是作為運(yùn)行TCP/IP協(xié)議族的Internet的網(wǎng)絡(luò)管理工具而制定的，SNMP被擴(kuò)展為可在各種網(wǎng)絡(luò)環(huán)境中使用，它包含一系列的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。SNMPv1、SNMPv2、SNMPv3（2）Internet還有一個(gè)長(zhǎng)遠(yuǎn)考慮的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)-CMOT（CommonManagementInformation、ServiceandProtocolOverTCP/IP）TCP/IP上的公共管理信息服務(wù)和協(xié)議（3）RMON（RemoteMonitoringofNetwork）遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控，包括RMON-1和RMON-2.這一組標(biāo)準(zhǔn)定義了監(jiān)控網(wǎng)絡(luò)通信的管理信息庫(kù)，是SNMP管理信息庫(kù)的擴(kuò)充，與SNMP協(xié)議配合可以提供更有效的管理性能15.2OSI網(wǎng)絡(luò)管理功能1配置管理2性能管理3故障管理4計(jì)費(fèi)管理5安全管理15.2.1配置管理配置管理就是定義、收集、監(jiān)測(cè)和管理系統(tǒng)的配置參數(shù)，使得網(wǎng)絡(luò)性能達(dá)到最優(yōu)。配置參數(shù)包括（但不局限于）設(shè)備資源、它們的容量和屬性，以及它們之間的關(guān)系。配置管理的功能包括設(shè)置設(shè)備參數(shù)、初始化和關(guān)閉網(wǎng)絡(luò)資源、根據(jù)請(qǐng)求向網(wǎng)管中心反饋特定的數(shù)據(jù)等。配置管理監(jiān)控對(duì)象（１）網(wǎng)絡(luò)資源及其活動(dòng)狀態(tài)；（２）網(wǎng)絡(luò)資源之間的關(guān)系；（３）新資源的引入和舊資源的刪除。配置管理操作（１）鑒別被管對(duì)象，標(biāo)識(shí)被管對(duì)象；（２）設(shè)置被管對(duì)象的參數(shù)；（３）改變被管對(duì)象的操作特性，報(bào)告被管對(duì)象的狀態(tài)變化；（４）

刪除被管對(duì)象。配置管理目的在于隨時(shí)了解系統(tǒng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及所交換的信息，包括連接前靜態(tài)設(shè)定的和連接后動(dòng)態(tài)更新的。配置管理需求：

(1)配置信息的自動(dòng)獲取：在一個(gè)大型網(wǎng)絡(luò)中，需要管理的設(shè)備是比較多的，如果每個(gè)設(shè)備的配置信息都完全依靠管理人員的手工輸入，工作量是相當(dāng)大的，而且還存在出錯(cuò)的可能性。對(duì)于不熟悉網(wǎng)絡(luò)結(jié)構(gòu)的人員來(lái)說，這項(xiàng)工作甚至無(wú)法完成‘因此，一個(gè)先進(jìn)的網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具有配置信息自動(dòng)獲取功能。即使在管理人員不是很熟悉網(wǎng)絡(luò)結(jié)構(gòu)和配置狀況的情況下，也能通過有關(guān)的技術(shù)手段來(lái)完成對(duì)網(wǎng)絡(luò)的配置和管理。在網(wǎng)絡(luò)設(shè)備的配置信息中，根據(jù)獲取手段大致可以分為三類：一類是網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)的MIB中定義的配置信息(包括SNMP；和CMIP協(xié)議)；二類是不在網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中有定義，但是對(duì)設(shè)備運(yùn)行比較重要的配置信息；三類就是用于管理的一些輔助信息。

(2)自動(dòng)配置、自動(dòng)備份及相關(guān)技術(shù)：配置信息自動(dòng)獲取功能相當(dāng)于從網(wǎng)絡(luò)設(shè)備中“讀”信息，相應(yīng)的，在網(wǎng)絡(luò)管理應(yīng)用中還有大量“寫”信息的需求。同樣根據(jù)設(shè)置手段對(duì)網(wǎng)絡(luò)配置信息進(jìn)行分類：一類是可以通過網(wǎng)絡(luò)管理協(xié)議標(biāo)準(zhǔn)中定義的方法(如SNMP中的set服務(wù))進(jìn)行設(shè)置的配置信息；二類是可以通過自動(dòng)登錄到設(shè)備進(jìn)行配置的信息；三類就是需要修改的管理性配置信息。

(3)配置一致性檢查：在一個(gè)大型網(wǎng)絡(luò)中，由于網(wǎng)絡(luò)設(shè)備眾多，而且由于管理的原因，這些設(shè)備很可能不是由同一個(gè)管理人員進(jìn)行配置的。實(shí)際上‘即使是同一個(gè)管理員對(duì)設(shè)備進(jìn)行的配置，也會(huì)由于各種原因?qū)е屡渲靡恢滦詥栴}。因此，對(duì)整個(gè)網(wǎng)絡(luò)的配置情況進(jìn)行一致性檢查是必需的。在網(wǎng)絡(luò)的配置中，對(duì)網(wǎng)絡(luò)正常運(yùn)行影響最大的主要是路由器端口配置和路由信息配置，因此，要進(jìn)行一致性檢查的也主要是這兩類信息。

(4)用戶操作記錄功能：配置系統(tǒng)的安全性是整個(gè)網(wǎng)絡(luò)管理系統(tǒng)安全的核心，因此，必須對(duì)用戶進(jìn)行的每一配置操作進(jìn)行記錄。在配置管理中，需要對(duì)用戶操作進(jìn)行記錄，并保存下來(lái)。管理人員可以隨時(shí)查看特定用戶在特定時(shí)問內(nèi)進(jìn)行的特定配置操作。15.2.2

性能管理

性能管理主要是收集和統(tǒng)計(jì)數(shù)據(jù)（如網(wǎng)絡(luò)的吞吐量、用戶的響應(yīng)時(shí)間和線路的利用率等），以便評(píng)價(jià)網(wǎng)絡(luò)資源的運(yùn)行狀況和通信效率等系統(tǒng)性能，分析各系統(tǒng)之間的通信操作的趨勢(shì)，或者平衡系統(tǒng)之間的負(fù)載。

性能管理包括以下幾個(gè)步驟：

.收集網(wǎng)絡(luò)管理者感興趣的那些變量的性能參數(shù)；

.分析這些統(tǒng)計(jì)數(shù)據(jù)，以判斷是否處于正常水平；

.為每個(gè)重要的變量決定一個(gè)適合的性能門檻值，超過該檻值就意味著網(wǎng)絡(luò)的故障。

性能分析的結(jié)果可能會(huì)觸發(fā)某個(gè)診斷測(cè)試過程，或者引起網(wǎng)絡(luò)重新配置以維持網(wǎng)絡(luò)預(yù)定的性能。性能管理的組成

典型的網(wǎng)絡(luò)性能管理分成性能監(jiān)測(cè)和網(wǎng)絡(luò)控制兩部分。性能管理以網(wǎng)絡(luò)性能為準(zhǔn)則收集、分析和調(diào)整被管對(duì)象的狀態(tài)，其目的是保證網(wǎng)絡(luò)可以提供可靠、連續(xù)的通信能力并使用最少的網(wǎng)絡(luò)資源和具有最少的時(shí)延。性能管理的功能（１）從被管對(duì)象中收集與性能有關(guān)的數(shù)據(jù)；（２）被管對(duì)象的性能統(tǒng)計(jì)，與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生、記錄和維護(hù)；（３）分析當(dāng)前統(tǒng)計(jì)數(shù)據(jù)以檢測(cè)性能故障，產(chǎn)生性能告警、報(bào)告性能事件；（４）將當(dāng)前統(tǒng)計(jì)數(shù)據(jù)的分析結(jié)果與歷史模型比較以預(yù)測(cè)性能的長(zhǎng)期變化；（5）形成改進(jìn)性能評(píng)價(jià)準(zhǔn)則和性能門限；（6）以保證網(wǎng)絡(luò)的性能為目的，對(duì)被管對(duì)象和被管對(duì)象組的控制。

(1)性能監(jiān)控：由用戶定義被管對(duì)象及其屬性。被管對(duì)象類型包括線路和路由器；被管對(duì)象屬性包括流量、延遲、丟包率、CPU利用率、溫度、內(nèi)存余量。對(duì)于每個(gè)被管對(duì)象，定時(shí)采集性能數(shù)據(jù)，自動(dòng)生成性能報(bào)告。

(2)閾值控制：可對(duì)每一個(gè)被管對(duì)象的每一條屬性設(shè)置閾值，對(duì)于特定被管對(duì)象的特定屬性，可以針對(duì)不同的時(shí)間段和性能指標(biāo)進(jìn)行閾值設(shè)置。可通過設(shè)置閾值檢查開關(guān)控制閡值檢查和告警，提供相應(yīng)的閾值管理和溢出告警機(jī)制。

(3)性能分橋：對(duì)歷史數(shù)據(jù)進(jìn)行分析，統(tǒng)計(jì)和整理，計(jì)算性能指標(biāo)，對(duì)性能狀況作出判斷，為網(wǎng)絡(luò)規(guī)劃提供參考。

(4)可視化的性能報(bào)告：對(duì)數(shù)據(jù)進(jìn)行掃描和處理，生成性能趨勢(shì)曲線，以直觀的圖形反映性能分析的結(jié)果。

(5)實(shí)時(shí)性能監(jiān)控：提供了一系列實(shí)時(shí)數(shù)據(jù)采集；分析和可視化工具，用以對(duì)流量、負(fù)載、丟包、溫度、內(nèi)存、延遲等網(wǎng)絡(luò)設(shè)備和線路的性能指標(biāo)進(jìn)行實(shí)時(shí)檢測(cè)，可任意設(shè)置數(shù)據(jù)采集間隔。

(6)網(wǎng)絡(luò)對(duì)象性能查詢：可通過列表或按關(guān)鍵字檢索被管網(wǎng)絡(luò)對(duì)象及其屬性的性能記錄。

15.2.3故障管理故障管理是網(wǎng)絡(luò)管理最基本的功能，指系統(tǒng)出現(xiàn)異常情況下的管理操作，簡(jiǎn)單地說，就是找出故障的位置并進(jìn)行恢復(fù)。其目標(biāo)是自動(dòng)監(jiān)測(cè)、記錄網(wǎng)絡(luò)故障并通知用戶，以便網(wǎng)絡(luò)有效地運(yùn)行。

在實(shí)際運(yùn)用中，網(wǎng)絡(luò)故障管理包括以下幾個(gè)步驟：

.檢測(cè)故障、判斷故障癥狀：依賴于對(duì)網(wǎng)絡(luò)設(shè)備的狀態(tài)監(jiān)測(cè)；

.隔離故障：通過診斷、測(cè)試辨別故障根源，對(duì)根源故障進(jìn)行隔離；

.故障修復(fù)：不嚴(yán)重的簡(jiǎn)單故障通常由網(wǎng)絡(luò)設(shè)備通過本身具有的故障檢測(cè)、診斷和恢復(fù)措施予以解決；

.記錄故障的監(jiān)測(cè)及其結(jié)果故障管理的目的故障管理是網(wǎng)絡(luò)管理功能中與檢測(cè)設(shè)備故障、故障設(shè)備的診斷、故障設(shè)備的恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供連續(xù)、可靠的服務(wù)。故障管理的功能（１）檢測(cè)被管對(duì)象的差錯(cuò)，或接收被管對(duì)象的差錯(cuò)事件通報(bào)；（２）當(dāng)存在空閑設(shè)備或迂回路由時(shí)，提供新的網(wǎng)絡(luò)資源用于服務(wù)；（３）創(chuàng)建和維護(hù)差錯(cuò)日志庫(kù)，并對(duì)差錯(cuò)日志進(jìn)行分析；（４）進(jìn)行診斷和測(cè)試，以追蹤和確定故障位置、故障性質(zhì)；（５）通過資源更換或維護(hù)，以及其他恢復(fù)措施使其重新開始服務(wù)。15.2.4計(jì)費(fèi)管理計(jì)費(fèi)管理的目的

計(jì)費(fèi)管理記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測(cè)網(wǎng)絡(luò)操作的費(fèi)用和代價(jià)。它可以估算出用戶使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價(jià)，以及已經(jīng)使用的資源。網(wǎng)絡(luò)管理者還可以規(guī)定用戶可使用的最大費(fèi)用，從而控制用戶過多占用和使用網(wǎng)絡(luò)資源。計(jì)費(fèi)管理的功能（１）統(tǒng)計(jì)網(wǎng)絡(luò)的利用率等效益數(shù)據(jù)，以使網(wǎng)絡(luò)管理人員確定不同時(shí)期和時(shí)間段的費(fèi)率；（２）根據(jù)用戶使用的特定業(yè)務(wù)在若干用戶之間公平、合理地分?jǐn)傎M(fèi)用；（３）允許采用信用記帳方式收取費(fèi)用，包括提拱有關(guān)資源使用的帳單審查；（４）當(dāng)多個(gè)資源同時(shí)用來(lái)提供一項(xiàng)服務(wù)時(shí)，能計(jì)算各個(gè)資源的費(fèi)用。

(1)計(jì)費(fèi)數(shù)據(jù)采集：計(jì)費(fèi)數(shù)據(jù)采集是整個(gè)計(jì)費(fèi)系統(tǒng)的基礎(chǔ)，但計(jì)費(fèi)數(shù)據(jù)采集往往受到采集設(shè)備硬件與軟件的制約，而且也與進(jìn)行計(jì)費(fèi)的網(wǎng)絡(luò)資源有關(guān)。

(2)數(shù)據(jù)管理與數(shù)據(jù)維護(hù)：計(jì)費(fèi)管理人工交互性很強(qiáng)，雖然有很多數(shù)據(jù)維護(hù)系統(tǒng)自動(dòng)完成，但仍然需要人為管理，包括交納費(fèi)用的輸入、聯(lián)網(wǎng)單位信息維護(hù)，以及賬單樣式?jīng)Q定等。

(3)計(jì)費(fèi)政策制定；由于計(jì)費(fèi)政策經(jīng)常靈活變化，因此實(shí)現(xiàn)用戶自由制定輸入計(jì)費(fèi)政策尤其重要。這樣需要一個(gè)制定計(jì)費(fèi)政策的友好人機(jī)界面和完善的實(shí)現(xiàn)計(jì)費(fèi)政策的數(shù)據(jù)模型。

(4)政策比較與決策支持：計(jì)費(fèi)管理應(yīng)該提供多套計(jì)費(fèi)政策的數(shù)據(jù)比較，為政策制訂提供決策依據(jù)。

(5)數(shù)據(jù)分析與費(fèi)用計(jì)算：利用采集的網(wǎng)絡(luò)資源使用數(shù)據(jù)，聯(lián)網(wǎng)用戶的詳細(xì)信息以及計(jì)費(fèi)政策計(jì)算網(wǎng)絡(luò)用戶資源的使用情況，并計(jì)算出應(yīng)交納的費(fèi)用。

(6)數(shù)據(jù)查詢：提供給每個(gè)網(wǎng)絡(luò)用戶關(guān)于自身使用網(wǎng)絡(luò)資源情況的詳細(xì)信息，網(wǎng)絡(luò)用戶根據(jù)這些信息可以計(jì)算、核對(duì)自己的收費(fèi)情況。15.2.5安全管理安全管理是指按照本地的指導(dǎo)來(lái)控制對(duì)網(wǎng)絡(luò)資源的訪問，以保證網(wǎng)絡(luò)不被侵害（有意識(shí)的或無(wú)意識(shí)的），并保證重要信息不被未授權(quán)的用戶訪問。例如，管理子系統(tǒng)可以監(jiān)視用戶對(duì)網(wǎng)絡(luò)資源的登錄，從而對(duì)那些具有不正確訪問代碼的用戶加以拒絕。安全管理的功能分為兩部分，首先是網(wǎng)絡(luò)管理本身的安全，其次是被管網(wǎng)絡(luò)對(duì)象的安全。

安全管理的目的（１）網(wǎng)絡(luò)數(shù)據(jù)的私有性（保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取）；（２）授權(quán)（防止侵入者在網(wǎng)絡(luò)上發(fā)送錯(cuò)誤信息）；（３）訪問控制（控制對(duì)網(wǎng)絡(luò)資源的訪問）。安全管理的功能

網(wǎng)絡(luò)管理過程中，存儲(chǔ)和傳輸?shù)墓芾砗涂刂菩畔?duì)網(wǎng)絡(luò)的運(yùn)行和管理至關(guān)重要，一旦泄密、被篡改和偽造，將給網(wǎng)絡(luò)造成災(zāi)難性的破壞。網(wǎng)絡(luò)管理本身的安全由以下機(jī)制來(lái)保證：

(1)管理員身份認(rèn)證，采用基于公開密鑰的證書認(rèn)證機(jī)制；為提高系統(tǒng)效率，對(duì)于信任域內(nèi)(如局域網(wǎng))的用戶，可以使用簡(jiǎn)單口令認(rèn)證。

(2)管理信息存儲(chǔ)和傳輸?shù)募用芘c完整性，Web瀏覽器和網(wǎng)絡(luò)管理服務(wù)器之間采用安全套接字層(SSL)傳輸協(xié)議，對(duì)管理信息加密傳輸并保證其完整性；內(nèi)部存儲(chǔ)的機(jī)密信息，如登錄口令等，也是經(jīng)過加密的。

(3)網(wǎng)絡(luò)管理用戶分組管理與訪問控制，網(wǎng)絡(luò)管理系統(tǒng)的用戶(即管理員)按任務(wù)的不同分成若干用戶組，不同的用戶組中有不同的權(quán)限范圍，對(duì)用戶的操作由訪問控制檢查，保證用戶不能越權(quán)使用網(wǎng)絡(luò)管理系統(tǒng)。

(4)系統(tǒng)日志分析，記錄用戶所有的操作，使系統(tǒng)的操作和對(duì)網(wǎng)絡(luò)對(duì)象的修改有據(jù)可查，同時(shí)也有助于故障的跟蹤與恢復(fù)。網(wǎng)絡(luò)對(duì)象的安全管理有以下功能：

(1)網(wǎng)絡(luò)資源的訪問控制，通過管理路由器的訪問控制鏈表，完成防火墻的管理功能，即從網(wǎng)絡(luò)層(1P)和傳輸層(TCP)控制對(duì)網(wǎng)絡(luò)資源的訪問，保護(hù)網(wǎng)絡(luò)內(nèi)部的設(shè)備和應(yīng)用服務(wù)，防止外來(lái)的攻擊。

(2)告警事件分析，接收網(wǎng)絡(luò)對(duì)象所發(fā)出的告警事件，分析員安全相關(guān)的信息(如路由器登錄信息、SNMP認(rèn)證失敗信息)，實(shí)時(shí)地向管理員告警，并提供歷史安全事件的檢索與分析機(jī)制，及時(shí)地發(fā)現(xiàn)正在進(jìn)行的攻擊或可疑的攻擊跡象。

(3)主機(jī)系統(tǒng)的安全漏洞檢測(cè)，實(shí)時(shí)的監(jiān)測(cè)主機(jī)系統(tǒng)的重要服務(wù)(如WWW，DNS等)的狀態(tài)，提供安全監(jiān)測(cè)工具，以搜索系統(tǒng)可能存在的安全漏洞或安全隱患，并給出彌補(bǔ)的措施。

15.3OSI網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型15.3.1模型組成OSI網(wǎng)絡(luò)管理為控制、協(xié)調(diào)、監(jiān)督網(wǎng)絡(luò)各種資源提供了手段和方法。通常一個(gè)網(wǎng)絡(luò)管理在邏輯上有被管對(duì)象（managed

object）、管理進(jìn)程（manger）和管理協(xié)議（managementprotocol）這三部分組成。

(1)被管對(duì)象是抽象的網(wǎng)絡(luò)資源。被管對(duì)象是從OSI角度所看到的OSI環(huán)境下的資源。這些資源可以通過使用OSI管理協(xié)議而被管理。

(2)管理進(jìn)程是負(fù)責(zé)對(duì)組織中的資源進(jìn)行全面的管理和控制(通過對(duì)被管對(duì)象的操作)的軟件。它根據(jù)網(wǎng)絡(luò)中各個(gè)被管對(duì)象的參數(shù)和狀態(tài)變化來(lái)決定對(duì)不同的被管對(duì)象進(jìn)行不同的操作。

(3)管理協(xié)議則負(fù)責(zé)在管理系統(tǒng)與被管對(duì)象之間傳送操作命令和負(fù)責(zé)解釋管理操作命令。實(shí)際上，管理協(xié)議也就是保證管理進(jìn)程中的數(shù)據(jù)與具體被管對(duì)象中的參數(shù)和狀態(tài)的一致性。典型的網(wǎng)絡(luò)管理系統(tǒng)邏輯模型如圖15-2所示。15-2網(wǎng)絡(luò)管理系統(tǒng)邏輯模型

15.3.2Internet網(wǎng)絡(luò)管理邏輯模型Internet的網(wǎng)絡(luò)管理模型如圖15-3所示。圖15-3Internet的網(wǎng)絡(luò)管理邏輯模型

在Internet的管理模型中，“網(wǎng)絡(luò)元素”用來(lái)表示網(wǎng)絡(luò)資源，與OSI的被管對(duì)象的概念是相對(duì)應(yīng)的，每個(gè)網(wǎng)絡(luò)元素都有一個(gè)負(fù)責(zé)執(zhí)行管理任務(wù)的管理代理，整個(gè)網(wǎng)絡(luò)有一至多個(gè)對(duì)網(wǎng)絡(luò)實(shí)施集中式管理的管理進(jìn)程(網(wǎng)絡(luò)控制中心)，此外引入了外部代理(proxyagent)的概念。它與管理代理的區(qū)別在于：管理代理僅是管理操作的執(zhí)行機(jī)構(gòu)，是網(wǎng)絡(luò)元素一部分，而外部代理則是在網(wǎng)絡(luò)元素外附加的，專為那些不符合管理協(xié)議標(biāo)準(zhǔn)的網(wǎng)絡(luò)元素而設(shè)，完成管理協(xié)議轉(zhuǎn)換和管理信息過濾操作。當(dāng)一個(gè)網(wǎng)絡(luò)資源不能與網(wǎng)絡(luò)管理進(jìn)程直接交互時(shí)，需要用到外部代理。外部代理相當(dāng)于一個(gè)“管理橋”，一邊用管理協(xié)議與管理進(jìn)程通信，另一邊則與所管的網(wǎng)絡(luò)資源通信。這種管理機(jī)構(gòu)的好處是為管理進(jìn)程提供了透明的管理環(huán)境，唯一需要增加的信息是當(dāng)對(duì)網(wǎng)絡(luò)資源進(jìn)行管理時(shí)，要選擇相應(yīng)的外部代理，但一個(gè)外部代理能夠管理多個(gè)網(wǎng)絡(luò)資源。15.4簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP15.4.1SNMP的目標(biāo)和功能設(shè)計(jì)目標(biāo)（1）盡可能簡(jiǎn)單，以縮短開發(fā)周期并使Agent的軟件成本盡可能低（2）要最大程度的保持遠(yuǎn)程管理功能，以便充分利用Internet的資源（3）希望其體系結(jié)構(gòu)能夠在將來(lái)需要時(shí)有擴(kuò)充的余地，保持系統(tǒng)的兼容性（4）希望保持SNMP的獨(dú)立性，不依賴于具體的計(jì)算機(jī)、路由器以及網(wǎng)絡(luò)的傳輸層協(xié)議主要功能：監(jiān)視網(wǎng)絡(luò)性能、監(jiān)測(cè)分析網(wǎng)絡(luò)差錯(cuò)、配置網(wǎng)絡(luò)設(shè)備15.4.2SNMP設(shè)計(jì)原則SNMP的設(shè)計(jì)原則是簡(jiǎn)單性(Simplicity)和擴(kuò)展性(Extensibility)。擴(kuò)展性主要是通過將管理信息模型與協(xié)議、被管理對(duì)象的詳細(xì)規(guī)定(MIB)分離實(shí)現(xiàn)；簡(jiǎn)單性則是通過信息類型的限制、請(qǐng)求/響應(yīng)機(jī)制而取得。15.4.3SNMP協(xié)議系列

SNMP由一系列協(xié)議組成，這些協(xié)議提供了從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法，也提供了設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問題和錯(cuò)誤的方法。SNMP網(wǎng)絡(luò)管理框架RFC1212RFC1155RFC1213RFC1157圖SNMPv1網(wǎng)絡(luò)管理框架的定義SMIMIB-2MIBSNMPv1SNMP的結(jié)構(gòu)和操作SNMP的網(wǎng)絡(luò)管理模型包含以下實(shí)體（1）網(wǎng)絡(luò)元素，其中主要部分是被管對(duì)象；（2）網(wǎng)絡(luò)管理站（NMS），就是網(wǎng)管中心（3）代理（Agent），是在網(wǎng)絡(luò)元素中代表管理應(yīng)用、利用SNMP通信的實(shí)體（4）委托代理（ProxyAgent），代表那些不能用SNMP于Manager通信的網(wǎng)絡(luò)資源的尸體，委托代理在SNMP與別的網(wǎng)絡(luò)管理協(xié)議間進(jìn)行轉(zhuǎn)換SNMP結(jié)構(gòu)模型如圖15-4所示。圖15-4SNMP管理模型SNMP提供了四類管理操作（1）GET：提取特定的網(wǎng)絡(luò)管理信息（2）GET-NEXT：通過遍歷活動(dòng)來(lái)提供更強(qiáng)的管理信息提取能力（3）SET：對(duì)管理信息進(jìn)行控制（修改、設(shè)置）（4）TRAP：陷阱操作，用于報(bào)告異常情況。由被管對(duì)象的代理執(zhí)行門限檢查，報(bào)告到達(dá)門限的事件，網(wǎng)絡(luò)管理中心可采取相應(yīng)的行動(dòng)。GETGetRequest由NMS發(fā)給Agent的請(qǐng)求命令，請(qǐng)求一個(gè)MIB變量值GET-NextGetNextRequest由NMS發(fā)給Agent的請(qǐng)求命令，要求將被說明目標(biāo)的下一個(gè)目標(biāo)MIB值返回NMSGetResponse是Agent對(duì)于受到請(qǐng)求的一個(gè)應(yīng)答，此請(qǐng)求是要求制定數(shù)據(jù)送到NMSSETsetRequest由NMS發(fā)出，命令A(yù)gent去改變一個(gè)MIB值TrapTrapAgent檢測(cè)到某種預(yù)先說明的狀態(tài)值時(shí)，向NMS發(fā)送的一個(gè)非請(qǐng)求消息SNMP是一個(gè)異步的請(qǐng)求/響應(yīng)協(xié)議，SNMP實(shí)體不需要在發(fā)出請(qǐng)求后等待響應(yīng)的帶來(lái)。SNMP是一個(gè)對(duì)稱的協(xié)議，沒有主從關(guān)系。SNMP之上的Manager和Agent都可以得到完全相同的SNMP服務(wù)。MIB管理信息庫(kù)（MIB）指明了網(wǎng)絡(luò)元素所維持的變量，即能夠被Manager查詢和設(shè)置的信息。這些變量是MIB中的對(duì)象。MIB給出了網(wǎng)絡(luò)中所有可能的被管對(duì)象的集合的數(shù)據(jù)結(jié)構(gòu)，稱為對(duì)象命名樹。對(duì)象命名樹由一個(gè)根及與之相連的許多被標(biāo)記的節(jié)點(diǎn)組成，每一個(gè)節(jié)點(diǎn)由一個(gè)非負(fù)整數(shù)值和盡可能簡(jiǎn)明的文字說明所標(biāo)識(shí)。MIB的對(duì)象命名樹局部對(duì)象命名樹的頂級(jí)對(duì)象有三個(gè)，即ISO、ITU-T和這兩個(gè)組織的聯(lián)合體。在ISO的下面有4個(gè)結(jié)點(diǎn)，其中的一個(gè)（標(biāo)號(hào)3）是被標(biāo)識(shí)的組織。在其下面有一個(gè)美國(guó)國(guó)防部（DepartmentofDefense）的子樹（標(biāo)號(hào)是6），再下面就是Internet（標(biāo)號(hào)是1）。在只討論Internet中的對(duì)象時(shí)，可只畫出Internet以下的子樹（圖中帶陰影的虛線方框），并在Internet結(jié)點(diǎn)旁邊標(biāo)注上{}即可。

在Internet結(jié)點(diǎn)下面的第二個(gè)結(jié)點(diǎn)是mgmt（管理），標(biāo)號(hào)是2。再下面是管理信息庫(kù)，原先的結(jié)點(diǎn)名是mib。1991年定義了新的版本MIB-II，故結(jié)點(diǎn)名現(xiàn)改為mib-2，其標(biāo)識(shí)為{.2.1}，或{Internet(1).2.1}。這種標(biāo)識(shí)為對(duì)象標(biāo)識(shí)符。

最初的結(jié)點(diǎn)mib將其所管理的信息分為8個(gè)類別，見下表?，F(xiàn)在的

mib-2所包含的信息類別已超過40個(gè)。

『注意』，MIB的定義與具體的網(wǎng)絡(luò)管理協(xié)議無(wú)關(guān)，這對(duì)于廠商和用戶都有利。廠商可以在產(chǎn)品（如路由器）中包含SNMP代理軟件，并保證在定義新的MIB項(xiàng)目后該軟件仍遵守標(biāo)準(zhǔn)。用戶可以使用同一網(wǎng)絡(luò)管理客戶軟件來(lái)管理具有不同版本的MIB的多個(gè)路由器。當(dāng)然，一個(gè)沒有新的MIB項(xiàng)目的路由器不能提供這些項(xiàng)目的信息。

這里要提一下MIB中的對(duì)象{.4.1}，即enterprises（企業(yè)），其所屬結(jié)點(diǎn)數(shù)已超過3000。例如IBM為.4.1.2}，Cisco為{.4.1.9}，Novell為{.4.1.23}等。世界上任何一個(gè)公司、學(xué)校只要用電子郵件發(fā)往iana-mib@進(jìn)行申請(qǐng)即可獲得一個(gè)結(jié)點(diǎn)名。這樣各廠家就可以定義自己的產(chǎn)品的被管理對(duì)象名，使它能用SNMP進(jìn)行管理。

類別標(biāo)號(hào)所包含的信息systeminterfacesaddresstranslationipicmptcpudpegp(1)(2)(3)(4)(5)(6)(7)(8)主機(jī)或路由器的操作系統(tǒng)各種網(wǎng)絡(luò)接口及它們的測(cè)定通信量地址轉(zhuǎn)換（例如ARP映射）Internet軟件（IP分組統(tǒng)計(jì)）ICMP軟件（已收到ICMP消息的統(tǒng)計(jì)）TCP軟件（算法、參數(shù)和統(tǒng)計(jì)）UDP軟件（UDP通信量統(tǒng)計(jì)）EGP軟件（外部網(wǎng)關(guān)協(xié)議通信量統(tǒng)計(jì)）

管理信息結(jié)構(gòu)SMISMI是SNMP的重要組成部分。SMI對(duì)MIB可使用的變量做了許多限制，因而產(chǎn)生了定義MIB變量類型的規(guī)則。每個(gè)對(duì)象有5個(gè)屬性Descriptor:唯一的文本（可打印字符串名）

ObjectId:ISO對(duì)象標(biāo)識(shí)符

Syntax:語(yǔ)法

Definition:文本定義

Access:只讀、只寫、讀寫或不可存取

Status:狀態(tài)（mandatory,optional,orobsolete）SNMP所支持的網(wǎng)絡(luò)管理信息包括Internet標(biāo)準(zhǔn)MIB或其它符合InternetSMI(StructureofManagementInformation)規(guī)范的MIB中所定義的非集合對(duì)象類。SNMP所使用的信息編碼方式為ISO定義的ASN．1語(yǔ)言的子集。隨著Intemet的發(fā)展，制定了MIB-II，它規(guī)定了網(wǎng)絡(luò)代理設(shè)備必須保存的數(shù)據(jù)項(xiàng)目、數(shù)據(jù)類型以及允許在每個(gè)數(shù)據(jù)項(xiàng)目中的操作。通過對(duì)這些數(shù)據(jù)項(xiàng)目的存取訪問，就可以得到該網(wǎng)關(guān)的所有統(tǒng)計(jì)內(nèi)容，再通過對(duì)多個(gè)網(wǎng)關(guān)統(tǒng)計(jì)內(nèi)容的綜合分析即可實(shí)現(xiàn)基本的網(wǎng)絡(luò)管理15.4.4SNMP報(bào)文如圖15-5所示。版本號(hào)共同體名PDU類型請(qǐng)求標(biāo)識(shí)符圖15-5SNMP報(bào)文主要字段

15.4.5SNMP共同體使用SNMP進(jìn)行通信的實(shí)體被稱作SNMP應(yīng)用實(shí)體。SNMP代理與一系列SNMP應(yīng)用實(shí)體的集合被稱作SNMP共同體(SNMPCommunity)。標(biāo)識(shí)每一個(gè)SNMP共同體的字符串被稱為SNMP共同體名15.4.6SNMP鑒別機(jī)制鑒別報(bào)文在SNMP共同體中是否可靠的規(guī)則集合被稱為鑒別機(jī)制(AuthenticationScheme)。利用一種或幾種鑒別機(jī)制鑒別一個(gè)SNMP報(bào)文是否可靠的訪問被稱為鑒別訪問(AuthenticationService)。15.4.8SNMP通信過程

(1)發(fā)出請(qǐng)求的協(xié)議實(shí)體按包含管理請(qǐng)求的PDU構(gòu)造一個(gè)ASN．1對(duì)象。

(2)把該對(duì)象連同SNMP共同體名、源UDP傳送地址(IP地址加UDP端口號(hào))、目的UDP轉(zhuǎn)送地址一起發(fā)送給鑒別服務(wù)實(shí)體，該實(shí)體將加密后的對(duì)象返回。

(3)發(fā)送請(qǐng)求的協(xié)議實(shí)體按上述AsN．1對(duì)象和SNMP共同體名構(gòu)造一個(gè)AsN.l報(bào)文對(duì)象,將這一對(duì)象按ASN．1基本編碼規(guī)則編碼后發(fā)送給傳輸層。（4）接收方協(xié)議實(shí)體從其傳輸層接收到請(qǐng)求數(shù)據(jù)報(bào)文后，對(duì)其作基本語(yǔ)法分析，按照ASN.l對(duì)象格式，構(gòu)造出相應(yīng)的AsN.l對(duì)象。若分忻失敗，則丟棄該數(shù)據(jù)報(bào)文，不做進(jìn)一步處理。（5）接收方協(xié)議實(shí)體核對(duì)SNMP的版本號(hào)，若不對(duì)，則丟棄報(bào)文。(6)將AsN.l報(bào)文對(duì)象中的用戶數(shù)據(jù)和SNMP共同體名以及數(shù)據(jù)報(bào)文的源、目的UDP傳送地址發(fā)給鑒別服務(wù)實(shí)體。若成功，則服務(wù)實(shí)體返回解密后的AsN.l對(duì)象，否則返回鑒別失敗信號(hào)，產(chǎn)生一個(gè)AuthenticationFailureTrap，然后再丟棄數(shù)據(jù)報(bào)文。(7)協(xié)議實(shí)體對(duì)鑒別實(shí)體返回的AsN.lPDU對(duì)象作進(jìn)一步的分析，產(chǎn)生新的AsN．1對(duì)象，若分析失敗，則丟棄數(shù)據(jù)報(bào)文，放棄處理。若成功、則根據(jù)數(shù)據(jù)報(bào)文中的SNMP共同體名選擇州應(yīng)的SNMP共同體描述表，按照其所規(guī)定的MIB視圖訪問方式處理PDU，對(duì)MIB進(jìn)行相應(yīng)的存取操作。15.4.12SNMPv2為了擴(kuò)展SNMP的功能，增強(qiáng)其安全設(shè)施，并使用戶和制造商能盡快從原來(lái)的SNMP過渡到第二代SNMP。1992.10～1993.5IETF開發(fā)了作為草案標(biāo)準(zhǔn)的SNMPv2的12個(gè)RFC（1441－1452）SNMPv2c基于團(tuán)體的SNMP，去除安全功能特點(diǎn)：（1）支持完全集中的網(wǎng)絡(luò)管理，也可以支持分布式網(wǎng)絡(luò)管理。（2）對(duì)SNMP1v1增強(qiáng)性

A：管理站和管理站之間的通信能力

B：管理信息結(jié)構(gòu)的擴(kuò)充

C：新的協(xié)議操作15.4.13SNMPv3由于SNMPv2沒有達(dá)到“商業(yè)級(jí)別”的安全要求（提供數(shù)據(jù)源標(biāo)識(shí)、報(bào)文完整性認(rèn)證、防止重放、報(bào)文機(jī)密性、授權(quán)和訪問控制等），為此設(shè)立SNMPv3工作組從事新標(biāo)準(zhǔn)的研制工作。1999年發(fā)布了SNMPv315.5網(wǎng)絡(luò)管理新發(fā)展集成化分布式智能化與系統(tǒng)管理一體化15.6.1集成化集成化的內(nèi)容（1）網(wǎng)絡(luò)管理功能的集成（2）網(wǎng)絡(luò)管理的應(yīng)用的集成集成化的方法（1）層次化集成方法：如圖15-8所示。（2）集成化網(wǎng)絡(luò)管理平臺(tái)：如圖15-9所示。圖15-8層次化集成網(wǎng)絡(luò)管理系統(tǒng)

圖15-9集成化網(wǎng)絡(luò)管理平臺(tái)體系結(jié)構(gòu)

15.6.2分布式分布式管理環(huán)境（DME）DME也是一種面向目標(biāo)的技術(shù)DME的目標(biāo)是“提供一個(gè)NM獨(dú)立者”，并能為不同的銷售商的產(chǎn)品提供一個(gè)堅(jiān)固平臺(tái)。HPOpenviewIBMNetviewforAIX15.6.3智能化網(wǎng)絡(luò)管理專家系統(tǒng)能彌補(bǔ)人類專家的不足，實(shí)現(xiàn)網(wǎng)絡(luò)管理的智能化和自動(dòng)化15.6.4與系統(tǒng)管理一體化15.7網(wǎng)絡(luò)管理產(chǎn)品簡(jiǎn)介主管系統(tǒng)是管理活動(dòng)的主要發(fā)源地，一般來(lái)說就是網(wǎng)管中心。被管系統(tǒng)是網(wǎng)絡(luò)向用戶提供服務(wù)的主體，具體來(lái)說就是在網(wǎng)絡(luò)中所有需要被管理的俄設(shè)備和資源。管理者實(shí)在主管系統(tǒng)中行使管理功能的特定的功能實(shí)體。所有的網(wǎng)管命令均出自它，而告警和通知以及響應(yīng)則由她接收。Manager提供各種管理功能，這些管理功能由Manager衷包含的各個(gè)管理應(yīng)用承擔(dān)。當(dāng)出現(xiàn)新的管理需求是，僅僅需要對(duì)Manager做一定的擴(kuò)充或修改，而無(wú)需設(shè)計(jì)網(wǎng)管系統(tǒng)的其他部分。管理者管理應(yīng)用管理應(yīng)用MIB代理Agent管理信息協(xié)議基礎(chǔ)通信協(xié)議管理信息協(xié)議基礎(chǔ)通信協(xié)議管理信息數(shù)據(jù)通信本地被管資源命令/響應(yīng)主管系統(tǒng)（網(wǎng)管平臺(tái)）被管系統(tǒng)一個(gè)包含相應(yīng)網(wǎng)絡(luò)的基本管理應(yīng)用、管理信息協(xié)議（例如SNMP）、MIB和基礎(chǔ)通信協(xié)議的主管系統(tǒng)稱為相應(yīng)網(wǎng)絡(luò)的“管理平臺(tái)”或“網(wǎng)管平臺(tái)”網(wǎng)管平臺(tái)是滿足最低管理要求的主管系統(tǒng)。主要的網(wǎng)管平臺(tái)產(chǎn)品分類：（1）Manager：HPOpenview，IBMNetView，SUNSunNet

（2）Agent：3COMTanscend，CiscoWorks15.8HPOpenView功能與結(jié)構(gòu)HPOpenViewWorkgro