《计算机网络》PPT电子课件教案-第十三章 网络管理.ppt

第十三章网络管理 13 1网络管理概述网络管理是网络发展中一个很重要的技术 对网络的发展有着很长的影响 并已成为现代信息网络中最重要的问题之一 它的重要性已经在许多方面得到体现 并为越来越多的人所共识 13 1 1网络管理方法的演变 人工的分散管理方式 自动化的集中管理方式 电信管理网的诞生 13 1 2网络管理系统的逻辑结构 一般而言 网络管理就是通过收集网络中各种资源的工作参数 状态信息 由网络管理者 administrator 及时进行分析和处理 并将处理结果形成各种监控指令发给网络资源 保证整个网络能正常高效的运行 其目的很明确 就是使网络中的资源得到有效的利用 当网络出现故障时它应能及时报告和处理 并协调 保持网络系统的高效运行等 网络管理系统的逻辑模型通常一个网络管理系统在逻辑上有被管对象 managedobject 管理进程 manager 和管理协议 managementprotocol 这3部分组成 网络管理系统逻辑模型 internet网络管理逻辑模型 13 2网络管理的主要功能 iso在iso iec7498 4文件中将开放系统的系统管理功能分成5个基本功能 13 2 1配置管理配置管理是网络管理中最早出现的 也是最基本的功能 它对网络中的设备和设施组成的变化进行管理 配置管理需要进行的操作内容包括 鉴别所有被管对象 给每一个被管对象分配名字 设置被管对象的参数 改变被管对象的操作特性 报告被管对象的状态变化 删除不需要的被管对象 处理被管对象之间的关系 13 2 2性能管理 网络性能包括带宽利用率 吞吐率的降低程度 通信繁忙的程度 网络瓶颈及响应时间等 性能管理以网络性能为准则收集 分析和调整被管对象的状态 其目的是保证网络可以提供可靠 连续的通信能力并使用最少的网络资源和具有最小的时延 网络性能管理的功能包括 从被管对象中收集与网络性能有关的数据 对被管对象的进行性能统计 以及与性能有关的历史数据的产生 记录和维护 分析当前统计数据 以检测性能故障 产生性能告警和报告性能事件 将当前统计数据的分析结果与历史模型比较以预测性能的长期变化 形成改进性能评价准则和性能门限值 以保证网络的性能为目的 对被管对象和被管对象组的控制 根据这些功能要求 性能管理功能还可进一步细分成4个子功能 它们是性能事件的监测 网络或管理对象的性能分析 性能的调节和性能的控制 13 2 3故障管理 所谓故障就是出现大量或者严重错误需要修复的异常情况 例如线路损坏而无法通信的情况 故障管理是网络管理功能中与故障检测 故障诊断 故障恢复或故障排除等措施有关的网络管理功能 其目的是保证网络能够提供连续 可靠的服务 它主要包括以下几个部分 检测被管对象的差错 或接收被管对象的差错事件通报 当存在空闲设备或迂回路由时 提供新的网络资源用于服务 创建和维护差错日志库 并对差错日志进行分析 进行诊断和测试 以追踪和识别故障位置 故障性质 通过资源的更换或维护以及其他恢复措施使其重新开始服务 13 2 4计费管理 计费管理记录网络资源的使用 目的是控制和监测网络操作的费用和代价 严格的计费管理还可以防止滥用访问权限 以免加重网络负担 同时帐务记录反映了网络负载的分配情况 也可以为改进网络效率提供参考 或者为网络改进计划提供依据 计费管理的功能包括 1 统计网络的利用率等效益数据 以使网络管理人员确定不同时期和不同时间段的费率 2 根据用户使用的特定业务在若干用户之间公平 合理地分摊费用 3 允许采用信用记帐方式收取费用 包括资源利用率和帐单审查功能 4 当多个资源同时用来提供一项服务时 能够把对各个资源分别 算出的费用累加 13 2 5安全管理 网络中主要有以下几方面的安全问题 网络数据的私有性 保护网络数据不被侵入者非法获取 授权 防止侵入者在网络上发送错误信息 访问控制 控制对网络资源的访问 相应地 网络安全管理应包括对授权机制 访问控制 加密和密钥的管理 另外还要维护和检查安全日志 这包括 创建 删除 控制安全服务和机制 与安全措施有关信息的分发 与安全相关事件的通报 系统管理域与系统管理功能之间的关系 11 3网络管理信息模型和网络管理 11 3 1网络管理信息模型描述管理信息 建立管理信息模型通常采用结构化方法 这样可以降低系统实现的难度 提高通用性 目前公认的最好办法是利用面向对象技术来建立管理信息模型 网络管理信息主要有两个作用 一个作用是支持管理进程的描述 另一个作用则是描述物理或逻辑的网络资源 描述物理和逻辑资源的管理信息所涉及的是各种网络实体的情况 必须用这些信息来描述被管对象 因此就必须建立起它们的模型 模型中规定管理系统感兴趣的资源特性 参数及其表示方法 另一方面 模型元件和物理实体之间必须保持一致 模型的状态和参数是被管理系统和物理实体共同控制的 管理信息模型的关系 网络管理信息是从两个方面来描述的 其一是管理信息结构 smi structureofmanagementinformation 其二是管理信息库 mib 13 3 2被管对象 被管对象是对网络管理数据的抽象 它们代表管理活动中涉及到的资源和信息 对被管对象的管理操作由管理进程发起 通过管理进程与被管对象之间的通信来完成 管理信息库中有许多具有相同管理操作 属性 特性组 package 通报和行为特性的被管对象是属于同一个被管对象类 标准中规定管理系统中的每个被管对象都具有以下5个特性量 类 class 表明被管对象拥有的属于哪个对象类 对象类规定了所有该类被管对象实例应具有的特性 一个被管对象实例在创建时就说明了它属于哪个对象类 同时该实例也应有了相应对象类的特性 具有相应的属性 操作 行为和通报特性 下面是定义被管对象类的一个样板 m object classderivedfrom superclass directorydirectory object class behaviordefinitionsdefinition sourcecharacterizedbyattributesmustcontain attribute qualifier maycontain attribute qualifier groupattributes mustcontain group attribute qualifier maycontain group attribute qualifier operations create delete actions actions name notificatins notification name 属性 attribute 属性只是一种称呼 用来指被管对象的特性值 属性可以代表多种有数值的物理资源特性 在属性和物理存储量之间可以没有直接有联系 其他属性也可以没有相应的存储量 这时表示该属性取默认值 属性组代表若干个属性 只要给出属性组的名字 就意味着给出了该组内的所有属性名 每一被管对象都有多个属性 属性代表被管对象的各方面特性和工作状态 属性可以是简单变量 也可以是一个复杂的数据结构 这样的属性就有多个值 对属性定义也规定了样板 如下所示 attributewithattributesyntaxdata type permitted valuesrange size definition matchesformatchingrules single valued multi valued 属性定义的具体例子是一个系统标识符的定义 如下所示 systemidattributewithattributesyntaxforum types namingtypematchesforequalitysubstringssingle valued forum attribute141 管理操作 operation 由于对象具有封闭特性 对象的操作只能用通信方式传递发起管理操作的请求和返回操作结果 管理操作可以分为两类 一类是对被管对象本身的操作 其操作结果改变整个被管对象 另一类是对被管对象属性的操作 面向属性的操作有5种 它们分别是 getvalue 取属性值 replacevalue 替换属性值 addvalue 增加属性值 removevalue 删除属性值 setvalue 设置默认值 对被管对象的操作主要有3种 其含义分别是 create 创建 创建一个新的被管对象 delete 删除 删除一个被管对象 action 执行动作 执行指定的动作 整个动作在对象类的定义中已经说明 行为 behavior 被管对象的行为描述了对象及其属性 通报和动作的动态特性 被管对象的行为特性定义中的条件内容可以包括 对被管对象进行操作的结果 对属性或对象操作的多种限制条件 尤其是对创建和删除被管对象操作的限制 属性之间的各种内在关系 被管对象之间和各种内在关系 发出通报的条件 被管对象行为的其他方面完整性定义 通报 notification 网络资源中发生的事件大多是管理进程需要知道的 因而被管对象以主动发出通报的形式将发生的事件通知外部的管理进程 被管对象首先将通报发给本地管理进程 是否要通知其他管理进程则取决于整个系统的配置和管理服务提供的手段 通报分为一般通报和特殊通报两类 每类通报有若干种具体通报定义 被管对象在什么时候发出通报决定于它的 转发分拣器 这是一个组合条件 只要满足了条件就要发出通报 13 3 3internet的管理信息库 1 internet的mibinternet的mib managerinformationbase 是围绕被管对象组进行组织的 采用了结构化的管理信息定义 称为管理信息结构 smi standardofmanagementinformation 规定了如何识别被管对象以及如何组织被管对象的信息结构 internet的mib有两个版本 mib i中总共只定义了114种被管对象 在mib 中定义了185种被管对象 mib 与mib i有3处较大的区别 地址翻译at组的变化 增加了传送组 增加了snmp组 mib i被管对象的分组和种数 被管对象命名internet组织通过mib提供了一个注册方法 所有网络资源都在注册时由mib管理机构定义相应的对象 在层次结构的注册目录中分配被管对象名字 对象名字是按照smi中的命名规范分配的 internet注册树的实例 internet句法和类型在internet的mib标准中采用asn 1结构来描述管理对象类 但不是完全遵循asn 1全集 而只采用了下列 个原语类型 integer 整数 octet 任意字节串 string asc 码字符串 objectidentifier 对象标识符 和null 空 再加上两个构词类型 seauence和sequenceof 其中整数可以是枚举类 在internet的smi中定义了6个主要的被管对象类 它们分别是 networkaddress 网络地址 ipaddress ip地址 timeticks 时间变量 gauge 计量器 counter 计数器 opaque 模糊 上述的对象类定义只是一种类型定义 还不是真正的被管对象 真正的被管对象是按照这些对象类定义创建的对象实例 管理系统实际操作的也是对象实例 除了对象类有名字 标识符 外 对象实例也必须有其惟一的标识符 被管对象的定义internet中的被管对象都是用一些关键字 保留字 来说明的 为了描述被管对象的说明格式 snmp中使用了5个记号 它们分别是 object 对象描述符 syntax 句法 definition 定义 access 访问 status 状况 internetmib中的所有被管对象都要求按照asn 1编码标准和一个样板 宏 进行定义 而这个宏是internet管理机构在smi文本中定义的 如下所示 object typemacro begintypenotation syntax type typeobjectsyntax access access status status valuenotation value v5alueobjectname access read only read write write only not accessible status mandatory optional obsolete end 13 4简单网络管理协议snmp 13 4 1概述 snmp的体系结构 snmp的3个基本元素是 管理者 管理进程 代理 mib snmp是基于tcp ip的网络管理协议 它是采用查询管理策略在snmpv1中定义5种协议数据单元 pdu get request管理者从代理中检索信息 get next request与get request配合实现对表对象的操作 get response代理对管理者get request的响应 set request对设备中的参数据进行远程设置 trap代理发给管理者的非请求信息 用于某些特定事件 每一个代理包含一个mib 是一个树形结构的数据库 是被管对象的集合 对象由若干变量定义 变量主要由变量名 变量的数据类型和变量的属性组成 在snmpv1中定义了114种对象 snmpv2中对安全性进行了加强 它增加了2种pdu getbulkrequest用于表操作 informrequest用于管理者之间交换管理信息 并将对象种数扩大185种 snmpv3 rfc2570 2575 1999年5月 是建立在snmpv1和snmpv2的基础上的最新发展成果 它实现了snmpv2未能实现的几个目标 其中包括称为 商业级 的安全性 认证 源标识符 报文的完整性等 隐私 授权和存取控制 远程配置与管理 13 4 2snmpv1 snmp是一个异步的请求 响应协议 snmp只提供两种管理功能 管理进程从管理代理获取管理对象 变量 的信息 管理进程对管理代理的管理对象 变量 进行设置和修改 第一条功能则有管理进程查询和管理代理主动报告两种方式 分别称为查询驱动和事件驱动方式 第二条功能当然需要管理进程首先发送操作命令进行设置 snmp中引入了称为 自陷 trap 的事件报告机制 当管理代理发现本地发生变化 事件 时就主动向管理进程报告 并且不需要响应 这也是请求 响应响应的另外 snmp中设计了四种基本协议的交互过程 管理进程从管理代理处读取管理管理信息 管理进程在管理代理的可见范围内遍历一部分管理对象实例 管理进程在管理代理中存储信息 也即对管理体制代理的mib实例进行写操作 包括设置工作参数 管理进行发送一个set request给管理代理 由管理代理完成set操作 然后用set response返回操作结果 管理代理主动向管理进程报告事件 snmp协议是一个对称协议 没有主从关系 snmp之上的管理进程和管理代理都可以得到snmp完全相同的服务 管理进程是管理活动的主动参与者 管理进程软件在构造snmp报文时 要填写适当的报文首部 然后将snmp报文交付给udp层进行传输 初始化完成后 管理代理就在udp协议的161端口等待接收snmp报文 当管理代理成功地接收到一个报文后 它调用语法分析程序将ans 1格式解码成更容易利用的内部格式 在管理代理对ans 1格式的报文进行解码的同时 它可以同时开始构造用做响应的getresponse pdu 管理代理填写好getresponse pdu后 用基本编码规则ber将报文编码为ans 1格式 交付给udp协议将其传送给发出请求的管理进程 13 4 3snmpv2 第二版的snmp协议是建立在第一版基础上的 snmpv2中除了对报文的格式进行了改进以外 还增加了一种新的管理信息报文 该报文在各管理进程之间传送信息 实际上由rfc1902 1908定义的snmpv2并没有新的管理控制框架 因此该版snmp也常被称为snmpv2c 基于团体的第二版snmp 在改进安全性方面 后来又出现了snmpv2usec 是基于用户的安全模型 但与snmpv2c一样都未能达到令人满意的结果 尽管snmpv2c的安全性仍然没有本质的改进 但还是得到了普遍接受和应用 因此snmpv2对smi mib和协议也都进行了比较大的改进 第二版中对表格处理进行了标准化 表格行的创建 删除和修改可以按标准化的对象进行处理 这些标准对象描述了每行的状态 是用文本结构约定中的宏来定义的 snmpv2对管理信息报文格式的主要改进是 所有的pdu格式都是一致的 但个别pdu中的字段含义有变化 统一的pdu格式简化了发送和接收snmp报文的处理 snmpv2定义了7个snmp操作 因而也就相应地有7个不同的pdu标签代码 13 4 4snmpv3 1 sn