網(wǎng)絡管理基礎知識

網(wǎng)絡管理，簡稱網(wǎng)管，簡單地說就是為保證網(wǎng)絡系統(tǒng)能夠持續(xù)、穩(wěn)定、安全、可靠和高效地運行，對網(wǎng)絡實施的一系列方法和措施。網(wǎng)絡管理的任務就是收集、監(jiān)控網(wǎng)絡中各種設備和設施的工作參數(shù)、工作狀態(tài)信息，將結果顯示給管理員并進行處理，從而控制網(wǎng)絡中的設備、設施、工作參數(shù)和工作狀態(tài)，使其可靠運行。故障管理：計費管理：配置管理和名稱管理：性能管理：安全管理：網(wǎng)絡流量控制、網(wǎng)絡路由選擇策略管理(3)網(wǎng)絡管理系統(tǒng)的層次結構。?把被管理資源畫在單獨的框中，表明被管理資源可能與管理站處于不同的系統(tǒng)中；?各種網(wǎng)絡管理框架的共同特點：>管理功能分為管理站和代理兩部分；>為存儲管理信息提供數(shù)據(jù)庫支持；>提供用戶接口和用戶試圖(View)功能；>提供基本的管理操作。(4)集中式網(wǎng)絡管理和分布式網(wǎng)絡管理有什么區(qū)別?各有什么優(yōu)缺點？集中式網(wǎng)絡管理:網(wǎng)絡中至少有一個結點(主機或路由器)擔當管理站的角色，除過NME之外，管理站中還有一組軟件，叫做網(wǎng)絡管理應用(NMA),網(wǎng)絡中的其他結點在NME的控制下與管理網(wǎng)絡管理具有靈活性(Flexibility)和可伸縮性(Scalability),網(wǎng)絡管理更加方便。非標準設備：若系統(tǒng)要求每個被管理的設備都能運行代理程序，并且所有管理站和代理都支小的系統(tǒng)可能無法完整實現(xiàn)NME的全部功能；一些設備(例如Modem和多路器等)根本不能運行附加的軟件，把這些設備叫做非標準設備。委托代理的設備(Proxy)來管理一個或多個非標準設備。委托代理和非標準設備之間運行制造商專用的協(xié)議,而委托代理和管理站之間運行標準的網(wǎng)絡管理協(xié)議。這樣，管理站就可以用標準的方式通過委托代理得到非標準設備的信息，委托代理起?簡單類型：由單一成份構成的原子類型?構造類型：由兩種以上成分構成的構造類型?標簽類型：由已知類型定義的新類型lCommunitySNMP網(wǎng)絡管理是一種分布式應用。這種應用的特點是管理站和被管理站之間的關系可以是一對多的關系，也可能是多對一的關系。SNMP的團體是一個代理和多個管理站之間的認證和訪問控制關系。允許訪問的團體名是在被管理系統(tǒng)一側定義的。SNMP公共體是指定義驗證、訪問控制和代理特代理系統(tǒng)可以對不同的團體定義不同的訪問控制策略，每一個團體被賦予一個唯一的名字。管理站只能以代理認可的團體名行使其訪問權。一個管理站可能以不同的名字出現(xiàn)在不同的代理中，即管理站實體可以用不同的名字對不同的代理實施不同的訪問權限。如果兩個代理定義了同一團體名，這種名字的相似性也不意味著它們屬于同一團體。MIB的職能就是為管理工作站指定代理，而管理工作站通過獲取MIB對象的值來執(zhí)行監(jiān)視功能。B表被管理的對象的一方面的信息。OCTETSTRINGOBJECTIDENTIFIERSEQUENCE(OF)磁UNIVERSAL2UNIVERSAL4UNIVERSAL5UNIVERSAL6UNIVERSAL16整數(shù)位組串對彖標識符44444pppc1.系統(tǒng)組(Systemgroup):提供了系統(tǒng)的一般信息。2.接口組(Interfacegroup):包含主機接口的配置信息和統(tǒng)計信息。3.地址轉(zhuǎn)換組(Addresstranslationgroup):包含網(wǎng)絡地址到接口的物理地址的映像P7.UDP組：提供了關于UDP數(shù)據(jù)報和本地接收端點的詳細信息。9.傳輸組(Transmissiongroup):設置這一組的目的是針對各種傳輸介質(zhì)提供詳細的管理信息。事實上這不是一個組，而是一個聯(lián)系各種端口專用信息的特殊結點。ISMI(SMI)說明了定義和構造MIB的總體框架，以及數(shù)據(jù)類型的表示和命名方法。SMI的宗旨是保定義了MIB的層次結構：提供了定義管理對象的語法結構；規(guī)定了對象值的編碼方法。實現(xiàn)的建議是對每個管理信息要裝配成單獨的數(shù)據(jù)報獨立發(fā)送，而且報文應短些，不超過484個字a)由于輪詢的性能限制，SNMP不適合管理很大的網(wǎng)絡；b)SNMP不適合檢索大量數(shù)據(jù)；c)SNMP陷入報文沒有應答，代理不知道管理站是否收到報文，這樣可能會丟掉某些重要管理信息d)SNMP只提供簡單的團體名認證，安全措施不夠；e)SNMP不直接支持向被管理設備發(fā)送命令；f)SNMP的管理信息庫MIB-2支持的管理對象是很有限的，不足以完成復雜的管理功能。g)SNMP不支持管理站之間的通信，而這一點在分布式網(wǎng)絡管理中是很需要的。訪問控制有MIB視圖(View,或者叫做視閾)和訪問模式兩方面的含義。MIBMIBView于同一視圖的對象不必屬于同一子樹。訪問模式：集合{read-only,read-write}的一個元素。對于一個團體可以定義一種訪有關一個團體的MIB視圖和訪問模式的組合叫做該團體的形象(Profile,或者叫做輪廓)。SNMPvl的安全機制很簡單，只是驗證團體名。屬于同一團體的管理站和被管理站才能互相作用，發(fā)送給不同團體的報文被忽略。?管理信息結構的擴充。管理站和管理站之間的通訊能力°新的協(xié)議操作了更精致更嚴格的規(guī)范，規(guī)定了新的管理對象和MIB的文檔，可以說是SNMPvlSMI的超?通知的定義v過事務處理產(chǎn)生和激活概念行，或管理站與代理協(xié)商生成概念行；?③初始化非默認值對?④激活概念行SNMPvl的安全機制很簡單，只是驗證團體名。屬于同一團體的管理站和被管理站才能互相作用，發(fā)送給不同團體的報文被忽略。＞發(fā)送實體首先構造管理通信消息SnmpMgmtCom,這需要査找本地數(shù)據(jù)庫，發(fā)現(xiàn)合法的參加者和上下文。＞然后，如果需要認證協(xié)議，則在SnmpMgmtCom前面加上認證信息authlnfo,構成認證節(jié)的消息摘要，作為認證信息中的authDigesto＞第三步是檢査目標參加者的私有協(xié)議，如果需要加密，則采用指定的加密協(xié)議對SnwAuthMsg加密，生成privData(SnmpAuthMsg)。數(shù)據(jù)庫，發(fā)現(xiàn)需要的驗證信息。根據(jù)本地數(shù)據(jù)庫的記錄，可能需要使用私有協(xié)議對報文解密，對認證碼進行驗證，檢査源方參加者的訪問特權和上下文是否符合要求等。一旦作了。＜管理信息結構的擴充?管理站和管理站之間的通訊能力＜新的協(xié)議操作SNMPv3工作組發(fā)布的文檔定義了一套安全功能和框架，使它們能夠與SNMPv2或者SNMPvl中的功能一起使用，該框架也適合于新功能的使用，并包含安全性的增強和修改。SNMPv3U格式和功能“SNMPv3等于SNMPv2加上安全和管理”SNMP實體都有模塊的集合組成，模塊之間相互作用來提供服務。?SNMP引擎和它所支持的應用都定義為離散模塊的集合。?這種結構的優(yōu)點：1)我們將看到SNMP實體的角色由在該實體內(nèi)實現(xiàn)的模塊所決定；2)規(guī)范化的模塊化結構可以讓它本身定義每一個模塊的不同版本。用基元和參數(shù)定義的接口稱之為抽象服務接口。報頭和PDU,由消息處理子系統(tǒng)創(chuàng)建并處理。指令發(fā)生器消息處理過程中涉及的關鍵性步驟：(18)SNMPv3的兩個安全模型(USM,VACM)及其特點。 被管理對象；VACM使用為該代理定義了訪問控制策略的MIB,并使用遠程配置成為可能。RMON定義了遠程網(wǎng)絡監(jiān)視的管理信息庫以及SNMP管理站與遠程監(jiān)視器之間的接口。一般來說，RMON的功能就是監(jiān)視子網(wǎng)范圍內(nèi)的通信，從而減少管理站和被管理系統(tǒng)之間的通信負擔。更具離線操作。主動監(jiān)視。問題檢測和報告：提供増值數(shù)據(jù)：多管理站操作：RMON對表對象的管理作出了什么改進？RMON規(guī)范中增加了兩種新的數(shù)據(jù)類型：OwnerString和EntryStatus,RMON規(guī)范中的表結只有行的所有者才能發(fā)出SetRequestPDU,把行狀態(tài)對彖的值置為invalid⑷，這樣就刪除了行。這是否意味著物理刪除，取決于具體的實現(xiàn)：首先置行狀態(tài)對象的值為invalid⑷，然后用SetRequestPDU改變行中其他對象的值.(4)試描述警報組、過濾組、事件組和包捕獲組的關系。1.實現(xiàn)報警組時必須實現(xiàn)事件組；2.實現(xiàn)最高N臺主機組時必須實現(xiàn)主機組；3.實現(xiàn)捕獲組時必須實現(xiàn)過濾組。RMON警報組定義了一組網(wǎng)絡性能的門限值，超過門限值時向控制臺產(chǎn)生報警事件。過濾組提供一種手段，使得監(jiān)視器可以觀察接口上的分組，通過過濾選擇出某種指定的特殊分組。一組過濾器的組合叫做通道。可以對通過通道測試的分組計數(shù)，也可以配置通道使得通過的分組產(chǎn)生事件(由事件組定義)，或者使得通過的分組被捕獲(由捕獲組定義)。事件組的作用是管理事件。事件是由MIB中其他地方的條件觸發(fā)的，事件也能觸發(fā)其他地方的作用。產(chǎn)生事件的條件在RMON其他組定義，例如警報組和過濾組都有指向事件組的索引包捕獲組建立一組緩沖區(qū)，用于存儲從通道中捕獲的分組。協(xié)議目錄組(protocolDir):這一組提供了表示各種網(wǎng)絡協(xié)議的標準化方法，使得管理站可以了解監(jiān)視器所在的子網(wǎng)上運行什么協(xié)議。這一點很重要，特別對于管理站和監(jiān)視器來自不同制造商時是完全必要的。協(xié)議分布組(protocolDist)：提供每個協(xié)議產(chǎn)生的通訊統(tǒng)計數(shù)據(jù)。現(xiàn)網(wǎng)絡設備、建立網(wǎng)絡拓撲結構時有用。這一組可以為監(jiān)視器在每一個接口上觀察到的每一種協(xié)議建立一個表項，說明其網(wǎng)絡地址和物理地址之間的對應關系。網(wǎng)絡層地址發(fā)現(xiàn)主機。這樣管理人員可以超越路由器看到子網(wǎng)之外的IP主機。網(wǎng)絡層矩陣組(nlMatrix):記錄主機對(源/目標)之間的通訊情況，收集的信息類似于RM0N1應用層主機組(alHost):對應每個主機的每個應用協(xié)議(指第三層之上的協(xié)議)在alHost表中有一個表項，記錄有關主機發(fā)送/接收的分組/字節(jié)數(shù)等。這一組使用戶可以了解每個主機上的每個應用協(xié)議的通訊情況。應用層矩陣組(alM