导图社区 【网络工程师】第11章 网络管理
网络管理主要从 网络管理系统体系结构、网络监控系统的组成、网络管理功能域、简单网络管理协议、管理数据库MIB-2、RMON、网络诊断和配置命令等几个方面描述
编辑于2022-07-27 15:28:48【网络工程师】第11章 网络管理
网络管理系统体系结构
网络管理系统的层次结构
在网络管理站中最下层是操作系统和硬件
操作系统之上是支持网络管理的协议簇,例如OSI、TCP/IP等通信协议,以及专用于网络管理的SNMP、CMIP协议等
网络管理系统的层次结构
各种网络管理框架的共同特点
管理功能分为管理站(Manager)和代理(Agent)两部分
为存储管理信息提供数据库支持,例如关系数据库或面向对象的数据库
提供用户接口和用户视图(View)功能,例如管理信息浏览器
提供基本的管理操作,例如获取管理信息、配置设备参数等操作过程
网络管理系统的配置
每个网络结点都包含一组与管理有关的软件,叫做网络管理实体(NME)
网络管理系统配置
网络管理实体完成的任务
收集有关网络通信的统计信息
对本地设备进行测试,记录设备状态信息
在本地存储有关信息
响应网络控制中心的请求,发送管理信息
根据网络控制中心的指令设置或改变设备参数
网络管理软件的结构
用户接口软件、管理专用软件和管理支持软件
网络管理软件的结构
网络监控系统的组成
网络管理功能可分为网络监视和网络控制两大部分,统称为网络监控
网络监视是指收集系统和子网的状态信息,分析被管理设备的行为,,以便发现网络运行中存在的问题
网络控制是指修改设备参数或重新配置网络资源,以便改善网络的运行状态
网络监控要解决的问题
管理信息的定义。监视哪些管理信息,从哪些被管理资源获得管理信息
监控机制的设计。如何从被管理资源得到需要的信息
管理信息的应用。根据收集到的管理信息实现什么管理功能
管理信息的组成
静态信息
包括系统和网络的配置信息,例如路由器的端口数和端口编号
动态信息
与网络中出现的事件和设备的工作状态有关,例如网络中传送的分组数、网络连接的状态等
统计信息
即从动态信息推导出的信息,例如平均每分钟发送的分组数、传输失败的概率等
管理信息库的组成
网络监控系统的配置
监控应用程序使监控系统的用户接口,它完成性能监视、故障监视和计费监视等功能
管理功能负责与其他网络元素中的代理进程通信,把需要的监控信息提供给监控应用程序
这两个模块都处于管理站中
管理对象表示被监控的网络资源中的管理信息,所有管理对象遵从网络管理标准的规定
管理对象中的信息通过代理功能提供给管理站
代理功能的作用是专门对管理信息进行计算和统计分析,并且把计算的结果提供给管理站
网络监控系统的体系结构
网络监控系统的通信机制
对监视器有用的管理信息是由代理收集和存储的,代理和监视器之间的通信是通过轮询(Polling)和事件报告(Event Reporting)
轮询是一种请求--响应式的交互作用,即由监视器向代理发出请求,询问它所需要的信息数值,代理响应监视器的请求,从它所保存的管理信息库中取得请求的信息,返回给监视器
事件报告是由代理主动发送给管理站的消息
传统的通信管理网络主要依赖事件报告,SNMP强调轮询方法,OSI系统管理则采取了这两种极端方法的中间道路
影响通信方式选择的主要因素
传送监控信息需要的通信量
对危急情况的处理能力
对网络管理站的通信时延
被管理设备的处理工作量
消息传输的可靠性
网络管理应用的特殊性
在发送消息之前通信设备失效的可能性
网络管理功能域
故障管理
故障检测和报警功能
故障监视代理要随时记录系统出错的情况和可能引起故障的事件,并把这些信息存储在运行日志数据库中
故障预测功能
对各种可以引起故障的参数建立门限值,并随时监视参数值变化,一旦超过门限值,就发送警报
故障诊断和定位功能
即对设备和通信线路进行测试,找出故障原因和故障地点
可以进行的测试
连接测试
数据完整性测试
协议完整性测试
数据饱和测试
连接饱和测试
环路测试
功能测试
诊断测试
配置管理
配置管理是指初始化、维护和关闭网络设备或子系统
被管理的网络资源包括物理设备(例如服务器、路由器)和底层的逻辑对象(例如传输层定时器)
配置管理功能可以设置网络参数的初始值/默认值,使网络设备初始化时自动形成预定的互联关系
配置管理应包含的功能模块
定义配置信息
网络资源包括物理资源(例如主机、路由器、网桥、通信链路和Modem等)和逻辑资源(例如定时器、计数器和虚电路等)
设备的属性包括名称、标识符、地址、状态、操作特点和软件版本
配置信息可以有多种组织方式,简单的配置信息组成由标量组成的表,每一个标量值 表示一种属性,SNMP采用这种方法
设置和修改设备属性
配置管理允许管理站远程设置和修改代理中的管理信息值,操作修改受到两种限制
只有授权的管理站才可以实行修改操作,这是网络安全所要求的
有些属性值反映了硬件配置的实际情况,是不可以改变的,例如主机CPU类型、路由器的端口等
对配置信息的修改可以分3种类型
只修改数据库
修改数据库,也改变设备的状态
修改数据库,同时引起设备的动作
定义和修改网络元素间的互联关系
配置管理应该提供联机修改关系的操作即用户在不关闭网络的情况下可以增加、删除或修改网络资源之间的关系
启动和终止网络运行
配置管理给用户提供启动和关闭网络和子网的操作
启动操作包括验证所有可设置的资源属性是否已正确设置,如果有设置不当的资源,则要通知用户
如果所有的设置都是正确无误,则向用户发回肯定回答
发行软件
配置管理还提供向端系统(主机、服务器和工作站等)和中间系统(交换机、路由器和应用网关等)发行软件的功能
检查参数值和互联关系
报告配置现状
计费管理
计费监视主要是跟踪和控制用户对网络资源的使用,并把有关信息存储在运行日志数据库中,为收费提供依据
需要计费的网络资源
通信设施
LAN、WAN、租用线路或PBX的使用时间
计算机硬件
工作站和服务器机时数
软件系统
下载的应用软件和实用程序的费用
服务
包括商业通信服务和信息提供服务(发送/接收的字节数)
计费数据组成计费日志,记录格式应包括
用户标识
连接目标的标识符
传送的分组数/字节数
安全级别
时间戳
指示网络出错情况的状态码
使用的网络资源
性能管理
网络监视中最重要的是性能监视
网络管理有用的两类性能指标:面向服务的性能和面向效率的性能指标
网络最主要的目标是向用户提供满意的服务,因而面向服务的性能指标应具有较高的优先级
可用性
可用性是指网络系统、网络元素或网络应用对用户可利用的时间的百分比
可用性是网络元素可靠性的表现,而可靠性是指网络元素在具体条件下完成特定功能的概率
响应时间
响应时间是指从用户输入请求到系统在终端上返回计算结果的时间间隔
网络的响应时间由系统各个部分的处理延迟时间组成,分解系统响应时间的成分对于确定系统瓶颈有用
系统响应时间的组成
入口终端延迟
指从终端把查询命令送到通信线路上的延迟
终端本身的处理时间是很短的,这个延迟主要是由从终端到网络接口设备的通信线路引起的传输延迟
入口排队时间
即网络接口设备的处理时间
接口设备要处理多个终端输入,还要处理提交给终端的输出,所以输入的命令通常要进入缓冲区排队等待
接口设备越忙,排队时间越长
入口服务时间
指从网络接口设备通过传输网络到达主机前端的时间对于不同的网络,这个传输时间的差别是很大的
CPU处理延迟
前端处理机、主机和磁盘等设备处理用户命令、做出回答需要的实际
这个时间通常是管理人员无法控制的
出口排队时间
在前端处理机端口等待发送到网络上去的排队时间
这个时间与入口排队时间类似,其长短取决于前端处理机繁忙的程度
出口服务时间
通过网络把响应报文传送到网络接口设备的处理时间
出口终端延迟
终端接收响应报文的时间,主要是由通信延迟引起的
正确性
这是指网络传输的正确性,由于网络中有内置的纠错机制,所以通常用户不必考虑数据传输是否正确
监视传输误码率可以发现瞬时的线路故障,以及是否存在噪声源和通信干扰,以便及时采取维护措施
吞吐率
吞吐率是面向效率的性能指标,具体表现为一段时间内完成的数据处理量(Mbps或分组数每秒),或者接受用户会话的数量,或者处理呼叫的数量等
跟踪这些指标可以为提高网络传输效率提供依据
利用率
利用率是指网络资源利用的百分率,是面向效率的指标
与网络负载有关,当负载增加时,资源利用率增大,而分组排队时间和网络响应时间变长,会引起吞吐率降低
分析网络资源利用率的方法
基本思想是观察链路的实际通信量(负载),并且与规划的链路容量(数据速率)比较,从而发现哪些链路使用过渡,哪些链路利用不足
分析方法:计算实际的费用占计划成本的比例
对网络分析就是计算出各个链路的负载占网络总负载的百分率(相对负载),以及各个链路的容量占网络总容量的百分率(相对容量),最后得到相对负载与相对容量的比值,这个比值就反映了网络资源的相对利用率
对于局域网,性能测试报告应包括
主机对通信矩阵
主机组通信矩阵
分组类型直方图
吞吐率---利用率分布
分组到达时间直方图
信道获取时间直方图
通信延迟直方图
冲突计数直方图
传输计数直方图
安全威胁
安全威胁的类型
保密性
计算机网络中的信息只能由授予访问权限的用户读取(包括显示、打印等)
数据完整性
计算机网络中的信息资源只能被授予权限的用户修改
可用性
具有访问权限的用户在需要时可以利用网络资源
对计算机网络的安全威胁
对硬件的威胁
对软件的威胁
对数据的威胁
对网络通信的威胁
对网络管理的安全威胁
伪装的用户
没有得到授权的用户企图访问网络管理应用和管理信息
假冒的管理程序
无关的计算机系统可能伪装成网络管理站实施管理功能
侵入管理站和代理间的信息交换过程
安全管理
安全信息的维护
记录系统中出现的各类事件(例如用户登录、退出系统和文件复制等)
追踪安全审计试验,自动记录有关安全的重要事件
报告和接收安全的警示信号,在怀疑出现威胁安全的活动时采取防范措施
经常维护和检查安全记录,进行安全风险分析,编制安全评价报告
备份和保护敏感的文件
研究每个正常用户的活动形象,预先设定敏感资源的使用形象,以便检测授权用户的异常活动和对敏感资源的滥用行为
资源访问控制
安全编码
源路由和路由记录信息
路由表
目录表
报警门限
计费信息
加密过程控制
安全管理能够在必要时对管理站和代理之间交换的报文进行加密
简单网络管理协议
SNMPv1
SNMP体系结构
由于SNMP定义为应用层协议,所以它依赖于UDP数据服务
SNMP实体向管理应用程序提供服务,它的作用是把管理应用程序的服务调用变成对应的SNMP协议数据单元,并利用UDP数据报发送出去
SNMP协议数据单元
在SNMP管理中,管理站和代理之间交换的管理信息构成了SNMP报文
报文由3个部分组成,即版本号、团体名和协议数据单元(PDU)
报文头中的版本号是指SNMP的版本,RFC1157为第一版
团体名用于身份认证
SNMP共有5种管理操作,但只有4中PDU格式
管理站发出的3种请求报文GetRequest、GetNextRequest和SetRequest采用的格式是一样的,代理的应答报文格式只有一种GetResponsePDU
SNMP报文格式
5个字段
PDU类型:共5种类型的PDU
请求标识(request-id)
赋予每个请求报文唯一的整数,用于区分不同的请求
错误状态(error-status)
表示代理在处理管理站的请求时可能出现的各种错误
错误索引(error-index)
当错误状态非0时指向出错的变量
变量绑定表(variable-binding)
变量名和对应值的表,说明要检索或设置的所有变量及其值
在检索请求报文中,变量的值应为0
SNMP协议操作
SNMP报文在管理站和代理之间传送,包含GetRequest、GetNextRequest和SetRequest的报文由管理站发出,代理以GetResponse响应
SNMP协议实体发送报文的过程
首先安装ASN.1的格式构造PDU,交给认证进程
认证进程检查源和目标之间是否可以通信,如果通过这个检查,则把有关信息(版本号、团体名和PDU)组装成报文
最后经过BER编码,交传输实体发送出去
SNMP协议实体接收报文的过程
首先按照BER编码恢复ASN.1报文,然后对报文进行语法分析、验证版本号和认证信息等
如果通过分析和验证,则分离出协议数据单元,并进行语法分析,必要时经过适当处理后返回应答报文
在认证检验失败时可以生成一个陷入报文,向发送站报告通信异常情况
无论何种检验失败,都丢弃报文
接收和处理SNMP报文
SNMPv1的实现问题
SNMP定义的陷入类型是很少的
SNMP的安全机制是很不安全的,仅仅用团体名验证来控制访问权限是不够的
SNMPv2
SNMPv2既可以支持完全集中的网络管理,又可以支持分布式网络管理
管理信息结构的扩充
管理站之间的通信能力
新的协议操作
SNMPv2c对SNMP的增强主要体现的3个方面
SNMPv2共有6种协议数据单元,分为3种PDU格式
GetRequest、GetNextRequest、SetRequest、InformRequest和Trap这5种PDU与Response PDU具有相同的格式,只是它们的错误状态和错误索引字段被置为0,这样就减少了PDU格式的种类
GetRequestPDU
Get操作用于检索管理信息库中的变量,一次可以检索多个变量的值
接收GetRequest的SNMP实体以请求标识符相同的GetResponse报文响应
GetNextRequestPDU
GetNext命令检索变量名指示的下一个对象实例,用在对表对象的搜索中
GetBulkRequestPDU
这是SNMPv2对原标准的主要增强,目的是以最少的交换次数检索最大的管理信息
SetRequestPDU
这个请求PDU的格式和语义与SNMPv1的基本相同,其语义是设置或改变MOB变量的值,其差别是处理响应的方式不同
TrapPDU
陷入是由代理发给管理站的非确认性消息
InformRequestPDU
Inform是管理站之间发送的消息,PDU格式与Get等操作相同
SNMPv3
管理站和代理在SNMPv3中统一叫作SNMP实体。
实体是体系结构的一种实现,由一个或多个SNP引擎和一个或多个SNMP应用组成
SNMP实体
SNMP引擎
SNMP引擎提供的服务
发送和接收报文
认证和加密报文
控制对管理对象的访问
SNMP引擎的结构
一个调度器(Dispatcher),其作用是发送/接收SNMP报文
一个报文处理子系统,其功能是按照预定的格式准备要发送的报文,或者从接收的报文中提取数据
一个安全子系统,提供安全服务
一个访问控制子系统,提供授权服务,即确定是否允许访问一个管理对象,或者是否可以对某个管理对象实施特殊的管理操作
应用程序
命令生成器
建立SNMP Read/Write请求,并且处理这些请求的响应
命令响应器
接收SNMP Read/Write请求,对管理数据进行访问,并按照协议规定的操作产生响应报文,返回给读/写命令的发送者
通知发送器
监控系统中出现的特殊时间,产生通知类报文,并且要有一种机制,以决定向何处发送报文,使用什么SNMP版本和安全参数等
通知接收器
监听通知报文,并对确认型通知产生响应
代理转发器
在SNMP实体之间转发报文
基于用户的安全模型(USM)
SNMPv3把对网络协议的安全威胁分为主要的和次要的两类
安全模块提供的主要威胁
修改信息
就是某些未经授权的实体改变了进来的SNMP报文,企图实施未经授权的管理操作,或者提供虚假的管理对象
假冒
即未经授权的用户冒充授权用户的标识,企图实施管理操作
修改报文流
由于SNMP协议通常是基于无连接的传输服务,重新排序报文流、延迟或重放报文的威胁都可能出现
消息泄漏
SNMP引擎之间交换的信息可能被偷听,这种威胁的防护应采取局部的策略
基于视图的访问控制模型(VACM)
管理数据库MIB-2
被管理对象的定义
表示管理和控制关系
提供了结构化的信息组织技术
提供了对象命名机制
RMON
RMON定义了远程网络监视的管理信息库,以及SNMP管理站与远程监视器之间的接口
RMON的目标就是监视子网范围内的通信,减少管理站和被管理系统之间的通信负担
RMON的目标
离线操作
主动监视
问题检测和报告
提供增值数据
多管理站操作
网络诊断和配置命令
ipconfig
可以显示所有网卡下TCP/IP配置参数,可以刷新动态主机配置协议(DHCP)和域名系统的设置
ping
ping命令通过发送ICMP回声请求报文来检验与另外一个计算机的连接
arp
arp命令用于显示和修改地址解析协议缓存表的内容,缓存表项是IP地址与网卡地址对
netstat
netstat命令用于显示TCP连接、计算机正在监听的端口、以太网统计信息、IP路由表、IPv4统计信息和IPv6统计信息等
tracert
taacert命令的功能是确定到达目标的路径,并显示通路上每一个中间路由器的IP地址
pathping
pathping结合了ping和tracert两个命令的功能,可以显示通信线路上每个子网的延迟和丢包率
pathping在一段时间内向通路中的各个路由器发送多个回声请求报文,然后根据每个路由器返回的数据包计算统计结果
nbtstat
这个命令显示NetBT(NetBIOS over TCP/IP)协议的统计信息,包括本地计算机和远程计算机的NetBIOS名字表,以及NetBIOS名字缓存
route
这个命令的功能是显示和修改本地的IP路由表
netsh
netsh是一个命令行脚本实用程序,可用于修改计算机的网络配置
netsh上下文
netsh利用动态链接库(DLL)与操作系统的其他组件交互作用
使用多个上下文
nslookup
nslookup命令用于显示DNS查询信息,诊断和排除DNS故障
net