网络管理复习题及其答案_2009年春季.doc

网络管理复习题及其参考答案1根据网络管理的基本概念，回答以下问题：（30分，每小题3分）（1）什么是网络管理？答：网络管理，简称网管，简单地说就是为保证网络系统能够持续、稳定、安全、可靠和高效地运行，对网络实施的一系列方法和措施。（2）网络管理的功能是什么？答a故障管理：探测、隔离和修正OSI环境下的不正常的操作功能。b计费管理：建立对被管理对象的使用计费并识别使用被管理对象的功能。c配置管理和名称管理：配置管理和初始化网络以及正常关闭网络或者网络的一部分相关，也和维护、添加、更新组件之间的关系以及组件本身的状态有关。d性能管理：对被管理对象的行为和通信活动的效率进行评价。e安全管理：正确操作网络管理和保护管理对象。比如用户的认证和访问控制。（3）集中式网络管理和分布式网络管理有什么区别?各有什么优缺点?答：区别：集中式网络管理系统中网络中至少有一个结点（主机或路由器）担当管理站的角色（Manager），除过NME之外，管理站中还有一组软件，叫做网络管理应用（NMA）。每一个网络结点都包含一组与管理有关的软件，叫做网络管理实体（NME）。分布式网络管理系统代替了单独的网络控制主机。地理上分布的网络管理客户机与一组网络管理服务器交互作用，共同完成网络管理功能。这种管理策略可以实现分部门管理：即限制每个客户机只能访问和管理本部门的部分网络资源，而由一个中心管理站实施全局管理。同时中心管理站还能对管理功能较弱的客户机发出指令，实现更高级的管理。优缺点：集中式网络管理系统中只有一个管理站点，不能适应大型系统的网络管理。分布式网络管理具有灵活性（Flexibility）和可伸缩性（Scalability），网络管理更加方便。（4）在管理站和代理中应配置那些软件实体?答：用户接口软件、管理专用软件和管理支持软件。（5）什么是委托代理?答：委托代理的设备(Proxy)来管理一个或多个非标准设备。委托代理和非标准设备之间运行制造商专用的协议，而委托代理和管理站之间运行标准的网络管理协议 。这样，管理站就可以用标准的方式通过委托代理得到非标准设备的信息，委托代理起到了协议转换的作用。 （6）在OSI定义的网络管理中，管理对象之间的关系有那些形式？答：管理对象之间的关系有：服务关系，对等关系，备份关系，支援关系，组织关系（7）在OSI定义的网络管理中，什么是CMISE？它提供哪些服务？它与CMIP操作有什么联系？答：CMISE就是公共管理信息服务元素，它所提供的服务就是公共管理信息的通信服务。 CMISE服务最终是要把数据封装到CMIP协议的数据单元，并利用它传送数据。公共管理信息协议（CMIP）是两个对等的开放系统之间交换管理信息的协议。CMISE服务原语被公共管理信息协议机（CMIPM）转换成CMIP操作，包含在CMIP协议数据单元中。基本上CMISE原语到CMIP 操作的转换是一对一的。（8）OSI系统管理中要用到哪些应用服务元素？答：OSI定义的系统管理中要用到的应用服务元素是系统管理系统应用服务元素SMASE,它包括SMISE,ROSE，ACSE等应用服务元素。（9）用基本编码规则对长度字段L编码： L=18，L=180，L=1044答：对于长度字节的扩充方法是：小于127的数用长度字节的右边7位表示，最左边的一位置0。大于等于127的数用后续若干字节表示，原来的长度字节第一位置1，其余7位指明后续用于表示长度的字节数因此：L=18表示成000010010 L=180表示成10000001 10110100 L=1044表示成10000010 00000100 00010100（10）用基本编码规则对下面的数据编码：标签值1011001010，长度255答：对标签值的扩充方法如下：如果用5位表示030的编码，当标签值大于等于31时遮位置全1，作为转义符，实际的标签值编码表示在后续字节中。后续字节的左边第一位表示是否为最后一个扩充字节，只有最后一个扩充字节的左边第一位置0，其余扩充字节的左边第一位置1。 表示为：XXX11111 10000101 01001010 10000001 111111112什么是字典顺序？请以下表所示的tcpConnTable(1.3.6.1.2.1.6.13=x),列出所有对象实例的字典顺序。（10分）tcpConnTable(1.3.6.1.2.1.6.1.3=x)tcpConnStatex.1.1tcpConnLocalAddressx.1.2tcpConnLocalPortx.1.3tcpConnRemAddressx.1.4tcpConnRemPortx.1.5465.1.1.131441.2.2.718310.88.1.13865.1.1.152039.1.10.64432.0.0.440答：是树的先序遍历。x.1.1.65.1.1.13.14.41.2.2.7.18x.1.1.10.88.1.1.38.65.1.1.15.20x.1.1.9.1.10.6.44.32.0.0.4.40x.1.2.65.1.1.13.14.41.2.2.7.18x.1.2.10.88.1.1.38.65.1.1.15.20x.1.2.9.1.10.6.44.32.0.0.4.40x.1.3.65.1.1.13.14.41.2.2.7.18x.1.3.10.88.1.1.38.65.1.1.15.20x.1.3.9.1.10.6.44.32.0.0.4.40x.1.4.65.1.1.13.14.41.2.2.7.18x.1.4.10.88.1.1.38.65.1.1.15.20x.1.4.9.1.10.6.44.32.0.0.4.40x.1.5.65.1.1.13.14.41.2.2.7.18x.1.5.10.88.1.1.38.65.1.1.15.20x.1.5.9.1.10.6.44.32.0.0.4.403根据SNMP的基本概念，回答以下问题：（共40分，每小题4分）（1）SNMP的通信基础是UDP协议，使用UDP而不使用TCP协议的原因是什么？答：因为TCP是面向连接的，需要花费很长的时间，如果SNMP使用TCP的话，将会严重展占用系统的带宽。（2）管理信息结构（SMI）的功能是什么？答：定义了MIB的层次结构；提供了定义管理对象的语法结构；规定了对象值的编码方法；（3）什么是管理信息库MIB？MIB的功能和特点是什么？答：MIB是对象的集合，它代表网络中可以管理的资源和设备。每个对象基本上是一个数据变量，它代表被管理的对象的一方面的信息。MIB的职能就是为管理工作站指定代理，而管理工作站通过获取MIB对象的值来执行监视功能。MIB由一系列对象组成。每个对象属于一定的对象类型，并且有一个具体的值。对象类型的定义是一种语法描述，对象实例是对象类型的具体实现，只有实例才可以绑定到特定的值。（4）描述SNMP v1的报文格式、PDU格式和管理操作。答：在SNMP管理中，管理站和代理之间交换的管理信息构成了SNMP报文。SNMP 报文格式如下： （5）SNMPv1有那些局限性？答：l 由于轮询的性能限制，SNMP不适合管理很大的网络。轮询产生的大量管理信息传送可能引起网络响应时间的增加。l SNMP不适合检索大量数据，例如检索整个表中的数据。l SNMP的陷入报文是没有应答的，管理站是否收到陷入报文，代理不得而知。这样可能丢掉重要的管理信息。l SNMP只提供简单的团体名认证，这样的安全措施是很不够的。l SNMP并不直接支持向被管理设备发送命令。l SNMP的管理信息库MIB-2支持的管理对象是很有限的，不足以完成复杂的管理功能。l SNMP不支持管理站之间的通信，而这一点在分布式网络管理中是很需要的。（6）什么是SNMP v1的访问策略？答：SNMP团体和SNMP团体形成的组合叫做SNMP访问策略。（7）什么是SNMP v1的团体(公共体，Community)？答：SNMP网络管理是一种分布式应用。这种应用的特点是管理站和被管理站之间的关系可以是一对多的关系，也可能是多对一的关系。 SNMP的团体是一个代理和多个管理站之间的认证和访问控制关系。允许访问的团体名是在被管理系统一侧定义的。Community的定义： SNMP公共体是指定义验证、访问控制和代理特征的SNMP管理者与SNMP代理之间的关系，公共体是一个本地概念。（8）描述SNMP v1 的安全机制。答：SNMPv1的安全机制很简单，只是验证团体名。属于同一团体的管理站和被管理站才能互相作用，发送给不同团体的报文被忽略。由于把SNMP网络管理看作是被管理站和管理站之间的一对多的关系，每个被管理站控制自己的本地MIB，并且必须能控制若干对MIB的使用。这种控制有三个方面：l 鉴别服务：被管理站可能希望限制对授权被管理站的访问。l 访问策略：被管理站可能希望给不同的管理站以不同的访问权限。l 代理服务器服务：被管理站可能用做其他的被管理站的代理服务器。这涉及到再代理系统中为其他被管理系统实现验证服务和访问策略。（10）SNMP v1和SNMP v2的区别有哪些？答：（1）SNMP v2中增加了安全机制，引入了Party的概念。（2）取消了Get操作的原子性（3）允许管理站和管理站之间的通信（4）修改了MIB和SMI（5）对表的增加和删除作了改进（11）描述SNMP v2中如何生成和删除表中的行。答：生成概念行可以使用两种不同的方法，分成4个步骤，下面解释生成的过程。 选择实例标识符 针对不同的索引对象可考虑用不同方法选择实例标识符 a管理站通过事务处理产生和激活概念行 b管理站与代理协商生成概念行 初始化非默认值对象 激活概念行。概念行的删除：管理站发出set命令，把状态列置为destroy,如果这个操作成功，概念行立即被删除。（12）在SNMP管理中，管理站和被管理站之间、管理站和管理站之间交换的信息单位分别是什么？答：管理站和被管理站之间交换的信息单位是：PDU管理站和管理站之间交换的信息单位是：inform PDU（13）请描述 SNMP v1和SNMP v2的安全机制和它们安全机制的主要差别是什么。答：（1）把基于Community的安全模型改为加密和认证。（2）引入了加密报文的格式。（3）对发送和接收报文都可以进行加密或者认证。（14）描述SNMPv2加密报文的发送和接收过程。答：需要加密和认证的SNMPv2报文的发送过程如图6.46所示。A发送实体首先构造管理通信消息SnmpMgmtCom，这需要查找本地数据库，发现合法的参加者和上下文。B如果需要认证协议，则在SnmpMgmtCom前面加上认证信息authInfo，构成认证报文SnmpAuthMsg，否则把authInfo置为长度为0的字节串（OCTET STRING）。若参加者的认证协议为v2md5AuthProtocol，则由本地实体按照MD5算法计算产生16个字节的消息摘要，作为认证信息中的authDigest。C检查目标参加者的私有协议，如果需要加密，则采用指定的加密协议对SnmpAuthMsg加密，生成privData(SnmpAuthMsg)。D置privDst=dstParty，组成完整的SNMPv2报文，并经过BER编码发送出去。SNMPv2安全报文的接收过程如图6.44所示。目标方实体接收到SnmpPrivMsg后首先检查报文格式。如果这一检查通过，则查找本地数据库，发现需要的验证信息。根据本地数据库的记录，可能需要使用私有协议对报文解密，对认证码进行验证，检查源方参加者的访问特权和上下文是否符合要求等。一旦这些检查全部通过，就可以执行协议请求的操作了。 （15）SNMPv2协议和操作答：GetRequest、GetNextRequest、GetBulkRequestPDU、SetRequest、InformRequest和Trap（16）SNMPv2的操作管理框架（Administrative Framework）答：SNMPv2的操作管理框架（Administrative Framework）主要涉及4个基本概念：参加者、上下文、MIB视图和访问控制策略，而这些概念都与认证和保密等安全功能有关。l 参加者看作是一个概念上的执行环境，一个SNMPv2实体能够完成的协议操作子集可以在这个环境中执行。l SNMPv2的上下文（Context）是指SNMPv2实体可以访问的管理对象的资源的集合，又分为本地上下文和远程上下文。本地上下文是指本地MIB对象的一个子集，也叫做MIB视图。远程上下文是指SNMPv2实体通过委托代理可检索到的管理信息。l MIB视图（View）是SNMPv2实体可访问的MIB对象组成的子集，子集中的变量可以属于一个子树，也可能属于几个不同的子树。l 访问控制策略：当SNMPv2实体要发送一个协议数据单元或接收到一个协议数据单元后首先要检查协议操作的合法性，即通信双方是否为协议操作的合法参加者、操作的上下文是否有效，指定的操作是否允许等。（17）SNMPv2对SNMPv1做了那些修改。答：SNMPv2既可以支持完全集中的网络管理，又可以支持分布式网络管理。在后一种情况下，有些系统既是管理站又是代理。作为代理系统，它可以接受上级管理系统的查询命令，提供本地存储的管理信息；作为管理站它也可以要求下级代理系统提供有关被管理设备的汇总信息。此外，中间管理系统可以向它的上级系统发出陷入报告。 具体地说SNMPv2对SNMP的增强主要在以下3方面 l 管理信息结构的扩充l 管理站和管理站之间的通讯能力l 新的协议操作SNMPv2对定义对象类型的宏进行了扩充，引入了新的数据类型，增强了对象的表达能力。l 吸收了RMON中有关表行增加和删除的约定，提供了更完善的表操作功能。l SNMPv2还定义了新的MIB功能组，包含关于协议操作的通信消息，以及有关管理站和代理系统配置的信息。l 在协议操作方面，引入了两种新的PDU（GetBulkRequest和InformRequest），分别用于大块数据的传送和管理站之间的通讯。l SNMPv2定义了两个MIB库- SNMPv2 MIB和 M2M-MIB(Manager-to-Manager MIB)。前者对基本的MIB的支持，后者提供了对分布式管理结构的支持。l SNMPv2的管理信息结构是在总结SNMP应用经验的基础上对SNMPv1 SMI进行了扩充，提供了更精致更严格的规范，规定了新的管理对象和MIB的文档,可以说是SNMPv1 SMI的超集。SNMPv2 SMI引入了4个关键的概念：A对象的定义 B概念表 C通知的定义 D信息模块SNMPv2对SNMPv1的一个大的改进,就是增强了安全机制。针对安全性问题,SNMPv2中增加了验证(Authentication)机制、加密(Privacy)机 制,以及时间同步机制来保证通信的安全。 （18）SNMP v3与SNMP v2相比主要增加了哪些方面的功能?答：SNMPv3等于SNMPv2加上安全和管理。SNMP结构由分布式、交互SNMP实体的集合组成，每个实体都实现一部SNMP功能。 每个SNMP实体都有模块的集合组成，模块之间相互作用来提供服务。增加了安全模型:USM和VACM。（19）描述SNMP v3的结构。答： RFC 2271定义的SNMPv3体系结构，体现了模块化的设计思想，可以简单地实现功能的增加和修改。其特点：适应性强：适用于多种操作环境，既可以管理最简单的网络，实现基本的管理功能，又能够提供强大的网络管理功能，满足复杂网络的管理需求。扩充性好：可以根据需要增加模块。安全性好：具有多种安全处理模块。SNMPv3主要有三个模块：信息处理和控制模块、本地处理模块和用户安全模块。（1）信息处理和控制模块（Message Processing And Control Model）在RFC 2272中定义，它负责信息的产生和分析，并判断信息在传输过程中是否要经过代理服务器等。在信息产生过程中，该模块接收来自调度器（Dispatcher）的PDU，然后由用户安全模块在信息头中加入安全参数。在分析接收的信息时，先由用户安全模块处理信息头中的安全参数，然后将解包后的PDU送给调度器处理。（2）本地处理模块（Local Processing Model）的功能主要是进行访问控制，处理打包的数据和中断。访问控制是指通过设置代理的有关信息使不同的管理站的管理进程在访问代理时具有不同的权限，它在PDU这一级完成。常用的控制策略有两种：限定管理站可以向代理发出的命令或确定管理站可以访问代理的MIB的具体部分。访问控制的策略必须预先设定。SNMPv3通过使用带有不同参数的原语使用来灵活地确定访问控制方式。（3）用户安全模块：与SNMPv1和SNMPv2相比，SNMPv3增加了三个新的安全机制：身份验证，加密和访问控制。其中，本地处理模块完成访问控制功能，而用户安全模块（User Security Model）则提供身份验证和数据保密服务。身份验证是指代理（管理站）接到信息时首先必须确认信息是否来自有权的管理站（代理）并且信息在传输过程中未被改变的过程。实现这个功能要求管理站和代理必须共享同一密钥。管理站使用密钥计算验证码（它是信息的函数），然后将其加入信息中，而代理则使用同一密钥从接收的信息中提取出验证码，从而得到信息。加密的过程与身份验证类似，也需要管理站和代理共享同一密钥来实现信息的加密和解密。（20）描述SNMP v3抽象服务接口。答：SNMP中模块之间的服务以原语（primitive）和参数（parameter）在RFC中定义，基元规定了要执行的功能，而参数用于传送数据和控制信息。用原语和参数定义的接口称之为抽象服务接口。SNMP文档区分三种不同类型的取值：输入取值、输出取值和基元取值。这三者分别用IN、OUT和PV表示。l 输入取值作为基元中的参数从调用实体传送到被调用实体中；l 输出取值作为基元中的参数从被调用实体传送到调用实体中；l 基元取值在返回时作为一个整体赋给基元的值。（21）简述SNMPv3的消息处理过程和它的两个安全模型及其特点。答： SNMPv3的消息处理过程如下：在SNMPv3中，信息在SNMPv3实体之间以消息的形式进行交换。每一个消息都包括一个消息报头和PDU，如图所示，阴影区域是由消息处理子系统创建并处理的部分。指令发生器消息处理：指令发生器准备一个PDU用来传输，则出现下面的步骤：l 指令发生器发送一个sendPdu原语到调度器；l 调度器发送一个prepareOutgoingMessage原语给消息处理子系统。l 消息处理器从Cname和PDU信息中准备一个scopedPdu；l 消息处理器使用generateRequestMessage传递准备好的消息给安全模型；l 消息处理器缓冲下列关于流出消息的信息：l sendPduHandle（prepareOutgoingMessage原语参数）l msgID（有消息处理器产生）l securityModel（prepareOutgoingMessage原语参数）l securityName（prepareOutgoingMessage原语参数）l securityLevel（prepareOutgoingMessage原语参数）l contextEngineID（prepareOutgoingMessage原语参数）l contextName（prepareOutgoingMessage原语参数）l 调度器从sendPdu返回到指令发生器，原语取值为sendPduHandle。l 消息处理器带着准备好的消息作为参数从prepareOutgoingMessage返回到调度器接收一个流入响应消息：在传递一个SNMP实体的请求消息之后，应该接收一个与之匹配的响应消息。当收到该消息时，有下步骤： l 传输层把接收到的消息和Taddr信息一起传递给调度器l 调度器发送一个prepareDataElements原语给包含有Taddr和消息作为参数的消息处理器l 消息处理器从消息中提取出字段l 消息处理器使用processIncomingMessage把接收到的消息传递给安全模型，l 入骨安全模型处理成功，则消息处理器从scopedPdu中提取出Cname和PDUl 调度器确定哪一个应用在等待与该sendPduHandle相关的response PDUUSM：该规范包括：l 鉴别: 提供数据整体性和数据发送源鉴别。l 及时性：保护消息不被延时或重播。l 保密性：保护消息有效负载不被泄密。l 消息格式：定义一个msgSecurityParameters字段。l 发现：定义一个SNMP引擎获得关于另一个SNMP引擎的消息的过程。l 密匙管理：定义了密匙产生、更新和使用的过程。 VACM模型：l VACM模型有两个重要的特点：l VACM模型确定是否应该允许一个远程要素访问本地MIB中的被管理对象。l VACM使用为该代理定义了访问控制策略的MIB，并使用远程配置成为可能。4根据RMON的基本概念，回答下列问题：（20分，每小题4分）（1）RMON的主要功能是什么？答：l 离线操作：必要时管理站可以停止对监视器的轮询，有限的轮询可以节省网络带宽和通信费用。 l 主动监视：如果监视器有足够的资源，通信负载也容许，监视器可以连续地或周期地运行诊断程序，收集并记录网络性能参数。l 问题检测和报告：如果主动监视消耗网络资源太多，监视器也可以被动地获取网络数据。可以配置监视器 。l 提供增值数据：监控器可以分析收集到的子网数据，从而减轻了管理站的计算任务。 l 多管理站操作：一个互联网可能有多个管理站，这样可以提高可靠性，或者分布地实现各种不同的管理功能。（2）RMON对表对象的管理作出了什么改进?答：RMON规范中增加了两种新的数据类型： OwnerString :=DisplayString，EntryStatus:=INTEGER valid(1),createRequest(2),underCreation(3),invalid(4) 类型OwnerString：其值为表行所有人或创建者的名字，对象名以Owner结尾 。类型EntryStatus：其值表示行的状态，对象名以Status结尾。该对象用于行的生成修改和删除。RMON规范中的表结构由控制表和数据表两部分组成，控制表定义数据表的结构，数据表用于存储数据。该控制表包含下面的列对象：rmlControlIndex：唯一地标识rmlControlTable中的一个控制行，该控制行定义了rmlDataTable中一个数据行集合。集合中的数据行由rmlControlTable的相应行控制。 rmlControlParameter：这个控制参数应用于控制行控制的所有数据行。通常有多个