四级网络工程师重点ppt课件

第 11章 网络管理 本章要点： 11.1 基本概念 11.2 网络管理模型 11.3 ICMP协议 11.4 故障处理与漏洞扫描 11.1.2 网络管理的功能 1配置管理 配置管理监控网络及其所有设备的配置信息， 其中包括 MIB中定义的配置信息、网络管理标准 中未定义但对设备重要的用于管理的辅助信息等 的自动获取、自动配置与备份，路由器端口和信 息设置的一致性检查以及用户操作日志等。 2故障管理 故障管理将那些可能导致网络出现中断或瘫痪 的因素指出来，并找出必须给予修复的错误。主 要任务包括故障监控、报警、故障信息管理、排 错支持工具以及检索及分析故障信息。 3性能管理 性能管理负责测量和监控网络运行的状态，如 果某些参数的当前值超过了管理员预先设定好的 阈值应及时通知。 4安全管理 安全管理负责保障网络正常工作，它设定若干 的规则用于防止网络遭受有意或无意的破坏，同 时防止对于敏感资源的未经授权访问。 5计费管理 计费管理负责测量与收集所有网络资源的使用 情况。它的主要功能包括计费数据采集、数据管 理与数据维护、计费政策制定、政策比较与决定 比较、数据分析与费用计算以及数据查询。 11.2 网络管理模型 11.2.1 OSI管理模型 图 11-2 OSI管理模型 11.2.2 CMIP管理模型 CMIP（通用管理信息协议， Common Management Information Protocol）是与通用管 理信息服务 CMIS同时使用的一种 ISO 协议，支 持网络管理应用程序和管理代理之间的信息交换 服务。 CMIS 定义了一个网络管理信息服务系统 。 CMIP 提供的一个接口支持 ISO 和用户定义管 理协议。 CMIP使用面向对象的模型来组织所有的管理信 息，它将每个被管理的设备看成一个个对象，每 个被管理的对象又包含若干硬、软件元素。 图 11-3 MIB树的上层结构示意图 重点提示： CMIP采用面向对象的模型来组 织所有和管理信息，每个管理的设置都定义为对 象，每个对象包含若干元素，每个元素包含若干 属性和特征，形成对象包含关系的树型结构。 CMIP还规定了管理站与代理之间的通信机制。 11.2.3 SNMP管理模型 1 SNMP管理模型的基本概念 SNMP由一系列协议组和规范组成，它们提供 了一种从网络上的设备中收集网络管理信息的方 法。 SNMP的体系结构分为 SNMP管理者、 SNMP代理和 MIB，其管理模型是一个管理 /代理 模型 。 每一个支持 SNMP的网络设备中都包含一 个网管代理，网管代理随时记录网络设备的各种 信息，网络管理程序再通过 SNMP通信协议收集 网管代理所记录的信息。从被管理设备中收集数 据有两种方法：轮询方法与基于中断的方法。 图 11-4 SNMP管理模型 2 SNMP的管理进程和管理代理 SNMP定义了管理进程和管理代理之间的关系 ，这个关系称为共同体。位于网络管理工作站上 和各网络元素上并利用 SNMP相互通信，并实现 对网络进行管理的软件统统称为 SNMP应用实体 。若干个应用实体和 SNMP组合起来即形成了一 个共同体，不同的共同体之间可以用名字来区分 ，但这些名字必须符合 Internet的层次结构命名规 则，应该无保留意义的字符串组成。 管理信息报文中包括以下两部分内容： （ 1）共同体名与发送方的一些附加信息 （ 2）数据 版本 特点 增 强 SNMPv1 简单 、容易 实现 、 应 用广泛 SNMPv2 支持完全集中和分布式两种管 理 扩 充了管理信息 结 构、增 强 了管理站 间 的通信能 力，添加了新的 协议 操作 SNMPv3 达到商 业级 的安全要求 提供了数据源 标识 、 报 文完整性 认证 、 报 文机密 性、授 权 和 访问 控制、 远 程配置和高 层 管理 3 SNMP协议的版本 表 11-1 SNMP各版本的比较 4 SNMP管理信息管 MIB 管理信息库 MIB也称为 MIB-2，它指明了网 络元素所维持的变量。 MIB给出了一个网络中 所有可能的被管理对象的集合的数据结构。 表 11-2 mib最初管理信息的类别 类别 标 号 包含的信息 system （ 1） 主机或路由器的操作系 统 interface （ 2） 各种网 络 接口及它 们 的 测 定通信量 Address translation （ 3） 地址 转换 ip （ 4） Internet软 件（ IP分 组统计 ） icmp （ 5） ICMP软 件（已收到 ICMP消息的 统计 ） tcp （ 6） TCP软 件（算法、参数和 统计 ） udp （ 7） UDP软 件（ UDP通信量 统计 ） egp （ 8） EGP软 件（外部网关 协议 通信量 统计 ） 4 SNMP支持的操作 （ 1） get：用于获取特定对象的值，提取指定的网 络管理信息。 （ 2） get-next：通过遍历 MIB树获取对象的值，提 供扫描 MIB树和依次检索数据的方法。 （ 3） set：用于修改对象的值，对管理信息进行控 制。 （ 4） trap：用于通报重要事件的发生，代理使用它 发送非请求性通知给一个或多个预配置的管理工 作站，用于向管理者报告管理对象的状态变化。 图 11-5 管理信息库的树型结构 5 SNMP的工作 （ 1） Get Request （ 2） Get Next Request （ 3） Set Response （ 4） Get Response （ 5） Trap 重点提示： SNMP的体系结构分为 SNMP管 理者、 SNMP代理和 MIB，它是一个管理 /代理模 型。 SNMP现在已有三个版本。 MIB-2采用和域 名系统 DNS相似的树型结构， SNMP所支持的操 作包括 Get Request、 Get Next Request、 Set Responset、 Get Response和 Trap。 11.2.4 CMIP与 SNMP管理模型的比较 1网络管理的体系结构 2管理信息结构 SMI 3网管协议 4管理功能域与管理功能 11.3 ICMP协议 11.3.1 ICMP的基本概念 ICMP （ Internet Control Message Protocol,， Internet控制消息协议）是 TCP/IP协议集中的一个 子协议，它是一个工作于网络层的协议，主要用 于在主机与路由器之间传递报告错误、交换受限 控制和状态信息等控制信息。 11.3.2 ICMP的报文格式 ICMP报文包含在 IP数据报中，属于 IP的一个用 户， IP头部就在 ICMP报文的前面，所以一个 ICMP报文包括 IP头部、 ICMP头部和 ICMP报文 。 表 11-3 ICMP报文格式 类 型代 码 类 型描述 类 型代 码 类 型描述 0 回送 应 答 12 参数失灵 3 目 标 不可到达 13 时间 戳 请 求 4 源抑制 14 时间 戳 应 答 5 重定向 15 信息 请 求（已作 废 ） 8 回送 请 求 16 信息 应 答（已作 废 ） 9 路由器 请 求 17 地址掩 码请 求 10 路由器 恳 求 18 地址掩 码应 答 11 超 时 11.3.3 ICMP的功能与重要性 （ 1）通告目的不可到达 （ 2）通告网络堵塞 （ 3）帮助查找网络故障 （ 4）通告超时 （ 5）路由重定向 （ 6）检查 IP协议错误 （ 7）获取子网掩码 重点提示： ICMP是一种工作在网络层的管理协议，它用于在 IP主机和路由器之间进行控制消 息与差错报告的传递。 ICMP的主要功能有：通告 目的不可到达、通告网络拥塞、帮助查找网络故障、通告超时、路由重定向、检查 IP协议错误以 及获取子网掩码。 11.4 故障处理与漏洞扫描 11.4.1 常见网络故障 1硬件故障 （ 1）设备故障 设备故障是指网络设备本身出现问题。 （ 2）设备冲突 电脑的设备都是要占用某些系统资源的，如中断 请求、 I/O地址等 （ 3）设备驱动问题 设备有时会出现不兼容的情况，如驱动程序、驱 动程序与操作系统、驱动程序与主板 BIOS之间不 兼容。 2软件设置故障 （ 1）协议配置问题 （ 2）服务的安装问题 （ 3）网络标识的设置问题 （ 4）网络应用中的其他故障 11.4.2 网络故障的检测与处理 （ 1） 对故障进行分离和排序 （ 2）收集故障信息 （ 3）分析原因 （ 4）故障测试与分析 （ 5）故障排除 （ 6） 记录和总结 11.4.3 漏洞扫描技术 漏洞即是指存在于计算机系统的硬件、软件、 协议设计以及系统安全等方面的缺陷和不足，漏 洞扫描技术即是检测系统安全脆弱性的一种安全 技术。 （ 1）在端口扫描后得知目标主机开启的端口以及 端口上的网络服务，将这些相关信息与网络漏洞 扫描系统提供的漏洞库进行匹配，查看是否有满 足匹配条件的漏洞存在 （ 2）通过模拟黑客的攻击手法，对目标主机系统 进行攻击性的安全漏洞扫描，如测试