网络管理与优化.ppt

第7章网络管理与优化 2020 2 14 实用网络工程技术 7 1网络管理概述 7 1 1网络管理的作用网络管理技术是伴随着计算机 网络和通信技术的发展而发展的 二者相辅相成 从网络管理范畴来分类 可分为对网 路 的管理 即针对交换机 路由器等主干网络进行管理 对接入设备的管理 即对内部PC 服务器 交换机等进行管理 对行为的管理 即针对用户的使用进行管理 对资产的管理 即统计IT软硬件的信息等 根据国际标准化组织 ISO 定义网络管理有五大功能 故障管理 配置管理 性能管理 安全管理 计费管理 对网络管理软件产品功能的不同 又可细分为五类 即网络故障管理软件 网络配置管理软件 网络性能管理软件 网络服务 安全管理软件 网络计费管理软件 2020 2 14 实用网络工程技术 7 1 2网络管理的内容 1 网络故障管理 2 网络配置管理 3 网络性能管理 4 网络安全管理 5 网络计费管理 2020 2 14 实用网络工程技术 7 1 3网络管理的相关技术 1 以分布管理为基础 设定某个或者某些节点为网络管理节点 指定专人负责 赋予他较高的权限 对网络中其他节点进行监控 2 部分集中 部分分布 在网络中 处理能力较强的计算机节点按分布式管理模式配置 它们相互之间协同配合 保证网络的基本运行 同时又设定专门的网络管理节点 实行对全网的监控和对重要网络设备的管理 3 联邦式管理 经常在一些大型的跨地区 跨部门的要求互不干涉 通过各部门网络管理协调解决全局问题的网络中使用 4 分级管理 适用于内部关系为从属关系的网络 如银行系统 2020 2 14 实用网络工程技术 7 2简单网络管理协议 7 2 1SNMP协议的版本1 SNMPv1SNMPv1是SNMP协议的一个版本 在目前流行的管理代理数据库中 它的应用范围很广 但这个版本的SNMP协议还存在几个问题 首先 该版本缺少坚固的安全机制 限制了它的进一步应用 因此 为了最大限度的减小安全风险 许多厂商限制了设置管理代理的操作项目 其次 SNMPv1无法处理大量信息 这也影响了SNMPv1框架体系的应用 第三 SNMPv1中明确定义了网络管理员和管理代理之间的关系 即管理代理的作用很简单 它只是机械地接受上级管理系统的命令 这一点大大限制了SNMPv1的应用 特别是在需要智能化的管理代理来实现分布方式的网络管理时 总的来说 SNMPv1对外提供如下项目 基本的网络管理框架体系 MIB II数据库标准的定义 协议数据单元 PDU ProtocolDataUnits 的定义 ASN 1编码语言的描述 2020 2 14 实用网络工程技术 2 SNMPv2SNMPv2的管理信息结构 SMI 在几个方面对SNMPv1的SMI进行了扩充 定义对象的宏中包含了一些新的数据类型 最引人注目的变化是提供了对表中的行进行删除或建立操作的规范 新定义的SNMPv2MIB包含有关SNMPv2协议操作的基本流量信息和有关SNMPv2管理者和代理者的配置信息 在通信协议操作方面 最引人注目的变化是增加了两个新的PDU GetBulkRequest和InformRequest 前者使管理者能够有效地提取大块的数据 后者使管理者能够向其他管理者发送trap信息 2020 2 14 实用网络工程技术 3 SNMPv3SNMPv3 简单网络管理协议第3版 与前两种版本相比 SNMPV3中增加了安全管理方式及远程控制 SNMPV3结构引入了基于用户的安全模型用于保证消息安全及基于视图的访问控制模型用于访问控制 USM 这种安全管理方式支持不同安全性 访问控制及消息处理等模式的并发使用 其具体说明如下 安全性认证和隐私授权和访问控制管理框架实体命名人员和政策用户名及密钥管理通知目标文件代理关系SNMP中的远程配置SNMPV3使用SNMPSET命令配置MIB对象 使之能动态配置SNMP代理 这种动态配置方式支持本地或远程地配置实体的添加 删除及修改 2020 2 14 实用网络工程技术 7 2 2SNMP协议命令 Set 它是一个特权命令 因为可以通过它来改动设备的配置或控制设备的运转状态 Get 它是SNMP协议中使用率最高的一个命令 因为该命令是从网络设备中获得管理信息的基本方式 Trap 它的功能就是在网络管理系统没有明确要求的前提下 由管理代理通知网络管理系统有一些特别的情况或问题发生了 2020 2 14 实用网络工程技术 一条SNMP报文由三个部分组成 版本域 versionfield 分区域 communityfield SNMP协议数据单元 PDU 域 SNMPprotocoldataunitfield 与TCP IP协议不同 SNMP数据包的长度不是固定的 它由ASN 1决定 图7 1是基本的SNMP结构 Version 版本域 这个域用于说明现在使用的是哪个版本的SNMP协议 目前 version1是使用最广泛的SNMP协议 Communityname 分区域 分区 community 是基本的安全机制 用于实现SNMP网络管理员访问SNMP管理代理时的身份验证 分区名 Communityname 是管理代理的口令 管理员被允许访问数据对象的前提就是网络管理员知道网络代理的口令 如果把配置管理代理成可以执行Trap命令 当网络管理员用一个错误的分区名查询管理代理时 系统就发送一个autenticationFailuretrap报文 ProtocolDataUnit 协议数据单元域 SNMPv1PDU有五种类型 有些是报文请求 Request 有些则是响应 Response 它们包括 GetRequest GetNextRequest SetRequest GetResponse Trap SNMPv2又增加了两种PDU GetBulkRequest InformRequest 2020 2 14 实用网络工程技术 1 GetRequestGetRequestPDU是SNMP管理员软件或应用程序发布的PDU 其作用是获得某个管理代理的MIB数据对象信息 图7 2表示的是GetRequest数据包的格式 它包括以下域 PDUType 说明此PDU的类型是GetRequest Request id 这是专用的标识符 SNMP管理员可以利用它来匹配报文请求PDU和响应PDU 使用非可靠传输服务时 也可借助它来查寻报文复件 Variable Binding 管理员请求报文的MIB数据对象列表 2020 2 14 实用网络工程技术 2 GetNextRequestGetNextRequestPDU和GetRequestPDU类似 其数据包格式和图4 5显示的格式完全相同 不过 GetNextRequestPDU还是有一点不同之处 它主要用于查询未知的MIB结构树中的数据对象 在探索管理代理的MIB结构时 GetNextRequest命令特别有用 为什么连SNMP管理员都不知道某些管理代理的MIB结构呢 这是因为SNMP协议没有提供一种直接的方式来确定哪个MIB是可用的 3 SetRequestSetRequest命令用于修改MIB数据对象的值 它的数据包的格式与GetRequest GetNextRequest完全相同 与后两条命令不同的是 SetRequest命令用于修改MIB数据对象的值 正如前面提到的那样 SetRequest命令的执行需要有安全性方面的特权 目前SNMPv1协议借助分区名来实现安全管理 2020 2 14 实用网络工程技术 4 GetResponseSNMP的各项命令中 除Trap命令外 每条命令都接收管理代理的响应GetResponse 图7 3是GetResponse数据包的格式 它包括以下几个域 图7 5GetResponse报文的格式 PDUType 说明此PDU的类型是GetResponse Request id 这是专用的标识符 可以利用它来匹配报文请求PDU和响应PDU Error status 该项用于说明 在处理报文请求的过程中 有异常情况发生 Error index 该项用于说明 有错误产生时 是Variable Binding列标中的哪一个数据对象引起错误 Variable Bindings 这个域是本次命令操作中涉及到的数据对象列表 2020 2 14 实用网络工程技术 5 TrapTrap是管理代理向网络管理系统主动发送的一种报文 它是重要网络事件或网络状态的异步通知 TrapPDU与SNMP协议定义的其它种类的PDU不同 图7 6是Trap数据包的格式 不同于其它种类的SNMPPDU 它不要求接受信息的网络返回响应信息 Trap数据包包括以下几个域 PDUType 说明此PDU的类型是Trap Enterprise 该项包含发送方管理代理的MIB数据对象sysObjectID 这个数据对象是有关trap发送方管理代理的厂商信息 Agent address 这项是发送方管理代理的IP地址 Generic trap 这项是预先设定的trap值 其取值范围是表中列出的各项 Specific trap 这项是有关该trap的更加详细的信息 除Generic trap一项为enterpriseSpecific型trap外 这项的内容都是0 Time stamp 这项是从上一次初始化设备到发送这个trap之间的时间 它的单位是十分之一毫秒 Variable Binding 这项是与Trap相关的厂商特定信息 2020 2 14 实用网络工程技术 6 GetBulkRequest这种PDU是SNMPv2管理员软件为减少网络交换过程而发布的 它允许管理代理返回大容量 相对于GetNextRequest或GetRequest命令而言 的数据包 因此也就提高了从管理代理处获得大量数据对象信息的效率 这种PDU的数据包格式与大多数SNMPv1命令的PDU相同 唯一不同之处是它把Error status域和Error index域 指ResponsePDU 重新命名 新域名分别是non repeaters和max repetitions这两个域 Non repeaters 每次能访问的MIB数据对象的最大数目 Max repetitions 其它MIB数据对象能够被访问的最大次数 7 InformRequestInformRequestPDU是由起管理员作用的SNMPv2组件向其它同样作用的SNMPv2组件发布的 它用于提供网络管理信息 这种PDU的主要功能在于它可以提供分布式的SNMP管理功能 因此 管理代理能够通过这种PDU提供管理类的服务和功能 这种PDU的数据包格式与GetRequest及其它相关的PDU相同 2020 2 14 实用网络工程技术 8 SNMP协议的响应代码SNMPv1管理代理返回的错误代码非常有限 例如 如果SNMP管理员发出设置MIB数据对象的报文请求 但管理代理却不能执行这条命令 于是管理代理返回错误代码noSuchName 而SNMPv2协议提供了更多的错误代码 在上面那种情况下 管理代理返回错误代码notWritable 表7 1 7 2列出了SNMPV1 V2协议所有的响应代码 表7 2SNMPv1协议的响应代码 2020 2 14 实用网络工程技术 案例1WindowsServer2003环境下SNMP的配置 略 案例2Cisco网络设备的SNMP配置参考 1 配置IP地址交换机要能够被网管 必须给它标识一个管理IP地址 默认情况下CISCO交换机的VLAN1为管理VLAN 为该VLAN配上IP地址 交换机就可以被网管了 命令如下 1 进入全局模式 Switch configureterminal 2 进入VLAN1接口模式 Switch config interfacevlan1 3 配置管理IP地址 Switch config if ipaddress210 43 32 8255 255 255 02 打开SNMP协议 1 进入全局模式 Switch configureterminal 2 配置只读的Community 产品默认的只读Community名为publicSwitch config snmp servercommunitypublicro 3 配置可写的Community 产品默认的可写Community名为privateSwitch config snmp servercommunityprivaterw3 更改SNMP的Community密码 1 将设备分组 并使能支持的各种SNMP版本Switch config snmp servergroupwjpnetv1Switch config snmp servergroupwjpnetv2cSwitch config snmp servergroupwjpnetv3noauth 2 分别配置只读和可写community如 Switch config snmp servercommunitywjpnetroSwitch config snmp servercommunitywjpnetrw4 保存交换机配置Switch copyrunstart 2020 2 14 实用网络工程技术 7 3集群技术 服务器群集技术的特点如下 1 高度的可用性 群集被设计具有避免单点故障发生的能力 应用程序能够跨计算机进行分配 以实现并行运算与故障恢复 并提供更高的可用性 2 可伸缩性 服务器群集技术可以通过在现有系统上增加服务器来进行扩展 增加的服务器将与原有的服务器紧密地集成在一起 为客户端提供高性能的应用服务 3 易管理性 群集以单一系统映射的形式来面向最终用户 应用程序及网络 同时 也为管理员提供单一的控制点 而这种单一控制点则可能是远程的 Microsoft服务器提供了三种支持群集的技术 网络负载平衡 NLB 组件负载平衡 CLB 和Microsoft群集服务 MSCS 2020 2 14 实用网络工程技术 1 网络负载平衡 NLB 网络负载平衡 NLB 充当前端群集 用于在整个服务器群集中分配传入的IP流量 它是为Web站点实现增量可伸缩性和出色可用性的理想选择 NLB通过在群集内的多个服务器之间分配其客户端请求来增强可伸缩性 随着流量的增加 可以向群集添加更多的服务器 任何一个群集最多可容纳32个服务器 NLB最多可以将32个运行WindowsServer2003系列产品的计算机连接在一起共享一个虚拟IP地址 NLB在为用户提供连续服务的同时还提供了高可用性 即自动检测服务器故障 并在10秒内在其余服务器中重新分配客户端流量 2 组件负载平衡组件负载平衡 CLB 可以在多个运行站点业务逻辑的服务器之间分配负载 它在最多包含八个等同服务器的服务器群集中实现了COM 组件的动态平衡 在CLB中 COM 组件位于单独的 COM 群集中的服务器上 激活COM 组件的调用是平衡到COM 群集中的不同服务器的负载 CLB通过作用于多层群集网络的中间层与NLB和群集服务配合工作 CLB是作为ApplicationCenter2000的特性提供的 可与Microsoft群集服务在同一组计算机上运行 3 群集服务群集服务 MSCS 充当后端群集 可为数据库 消息传递以及文件和打印服务等应用程序提供高可用性 当任一节点 群集中的服务器 发生故障或脱机时 MSCS将尝试最大程度地减少故障对系统的影响 2020 2 14 实用网络工程技术 案例3基于WindowsServer2003的集群服务器配置 1 安装前准备2 服务安装3 创建集群 2020 2 14 实用网络工程技术 7 4负载均衡技术 1 软 硬件负载均衡 软件负载均衡解决方案 是指在一台或多台服务器相应的操作系统上 安装一个或多个附加软件来实现负载均衡 如DNS负载均衡等 它的优点是基于特定环境 配置简单 使用灵活 成本低廉 可以满足一般的负载均衡需求 硬件负载均衡解决方案 是直接在服务器和外部网络间安装负载均衡设备 这种设备我们通常称之为负载均衡器 由于专门的设备完成专门的任务 独立于操作系统 整体性能得到大量提高 加上多样化的负载均衡策略 智能化的流量管理 可达到最佳的负载均衡需求 一般而言 硬件负载均衡在功能 性能上优于软件方式 不过成本昂贵 2 本地 全局负载均衡 负载均衡从其应用的地理结构上 分为本地负载均衡和全局负载均衡 本地负载均衡是指对本地的服务器群做负载均衡 全局负载均衡是指在不同地理位置 有不同网络结构的服务器群间做负载均衡 本地负载均衡能有效地解决数据流量过大 网络负荷过重的问题 可充分利用现有设备 避免服务器单点故障造成数据流量的损失 有灵活多样的均衡策略 可把数据流量合理地分配给服务器群内的服务器 来共同负担 全局负载均衡 主要用于在一个多区域拥有自己服务器的站点 为了使全球用户只以一个IP地址或域名就能访问到离自己最近的服务器 从而获得最快的访问速度 也可用于子公司分散站点分布广的大公司通过Intranet来达到资源统一合理分配的目的 2020 2 14 实用网络工程技术 网络负载均衡的优点 1 网络负载均衡允许你将传入的请求传播到最多达32台的服务器上 网络负载均衡技术保证即使是在负载很重的情况下它们也能作出快速响应 2 网络负载均衡对外只须提供一个IP地址 或域名 3 如果网络负载均衡中的一台或几台服务器不可用时 服务不会中断 网络负载均衡自动检测到服务器不可用时 能够迅速在剩余的服务器中重新指派客户机通讯 此保护措施能够帮助你为关键的业务程序提供不中断的服务 可以根据网络访问量的增多来增加网络负载均衡服务器的数量 4 网络负载均衡可在普通的计算机上实现 案例4Windows2003负载平衡的配置 略 2020 2 14 实用网络工程技术 7 5常见网络管理软件 1 网络设备管理系统网络设备管理系统主要是针对网络设备进行监测 配置和故障诊断开发的网络管理软件 网管系统的主要功能有自动拓扑发现 远程配置 性能参数监测 故障诊断等 网管系统可以由通用软件供应商开发 一般的硬件设备厂商都开发自己产品的管理软件 目前通用软件供应商开发的网络设备管理系统 比较流行的有Openview Micromuse Concord等 比较流行的设备厂商网管软件有Ciscoworks2000 Netsight 国内的有Linkmanage Imanager等 2 应用性能管理系统应用性能管理系统是一个比较新的网络管理方向 它主要指对企业的关键业务应用进行监测 优化 提高企业应用的可靠性和质量的网络管理系统 应用性能管理主要用于监测企业关键应用性能 快速定位应用系统性能故障 优化系统性能 目前市场上比较流行的应用性能管理产品有BMC TivoliApplicationPerformanceManagement Veritas Precise 的i3系列产品 Quest系列产品 Topaz 国内主要是Siteview产品 2020 2 14 实用网络工程技术 3 桌面管理系统桌面管理系统是对计算机及其组件管理的网络管理软件 通过桌面管理系统 一方面减少了网管员的劳动强度 另一方面增加系统维护的准确性 及时性 这类系统通常由管理端和客户端两部分构成 目前市场上比较流行的桌面管理系统有Caunicenter Landesk 国内的由Netinhand LandeskManagementSuite7等 4 员工行为管理系统员工行为管理系统包括两部份 一部分是员工网上行为管理EIM 另一部分是员工桌面行为监测 员工行为管理系统一般在internet应用层 网络层对信息控制 对数据根据EIM数据库进行过滤 定制因特网访问策略 根据用户 团组 部门 工作站或网络设置不同的因特网访问策略 目前市场上比较流行的员工行为管理系统产品有Websense 国内的Netmanage 聚生网管等 5 网络安全管理系统网络安全管理系统指保障合法用户对资源安全访问 防止并杜绝黑客蓄意攻击和破坏的网络管理系统软件 它包括授权设施 访问控制 加密及密钥管理 认证和安全日志记录等功能 目前市场上比较流行的网络安全管理系统包括入侵监测系统IDS和防火墙 比较流行的防火墙有CheckPoint Netscreem CiscoPix等 入侵监测系统有ISS公司的Realsecure AXENT的ITA ESM 以及NAI的Cybercopmonitor等 2020 2 14 实用网络工程技术 7 5 1Ciscoworks2000网管软件 1 局域网管理系统LMS局域网管理系统 LMS 是CiscoWorks2000网络管理系列产品之一 它为局域网提供了配置 管理 监控 故障检测与维修工具 同时还包括了用于管理局域网交换和路由环境的应用软件 LAN管理解决方案可用于管理关键服务和链路的日常运行 2 路由广域网管理系统RWANCisco路由WAN RWAN 管理解决方案对CiscoWorks2000产品系列进行了扩展 能够提供一组功能强大的管理应用 对一个路由广域网 WAN 进行配置 管理 监视和故障诊断 RWAN管理解决方案增加了网络行为的可视性 能够帮助用户快速确定性能瓶颈以及性能的长期趋势 并提供早期检测功能 以优化带宽及其在网络中多个费用高昂而又关键的链路之间的分配 CiscoWorks2000提供的RWAN管理系统是有效监视WAN链路并度量设备 用户和服务之间响应时间的能力的重要工具 路由广域网管理系统RWAN包括访问控制列表 ACL 管理器 互联网性能监视器 IPM nGenius实时监视器 RTM 资源管理器要件 RME CiscoView CiscoWorks2000管理服务器六大模块 2020 2 14 实用网络工程技术 案例5CISCOWORKS2000网管软件的安装和使用 1 CiscoWor