网络管理与维护PPT课件

.,1,第2章计算机网络管理系统,2.1计算机网络管理的功能2.2网络管理模型2.3远程网络监控2.4基于web的网络管理技术,END,.,2,2.1计算机网络管理的功能,2.1.1配置管理2.1.2性能管理2.1.3故障管理2.1.4安全管理2.1.5计费管理,返回,.,3,2.2网络管理模型,2.2.1网络管理的体系结构2.2.2网络管理的基本模型2.2.3网络管理的信息模型,返回,.,4,2.3远程网络监控,2.3.1远程网络监控的需求2.3.2远程网络监控MIB2.3.3远程网络监控的目标2.3.4远程网络监控功能的增强,返回,.,5,2.4基于web的网络管理技术,2.4.1WBM管理模式2.4.2目前实现WBM的常见技术,返回,.,6,2.1.1配置管理,一、配置管理的对象二、配置管理的目的三、网络配置信息四、配置管理主要功能五、配置信息的获取、设置和管理六、拓扑发现与拓扑重构七、网络的自动配置,返回,.,7,一、配置管理的对象,配置管理(ConfigurationManagement)是最基本的网络管理功能。配置管理的对象是一个逻辑概念,可以是网络系统中的硬件,也可以是网络系统中的软件。即配置管理的对象,既可以是网络结点的设备,也可以是网络服务的进程。,返回,.,8,二、配置管理的目的,配置管理的目的：在于维护、优化网络性能，恰当地配置设备参数能够更好地发挥设备的功能作用,提高网络系统的性能。,返回,.,9,三、网络配置信息,网络配置信息包括:(1)网络设备的拓扑关系,即存在性和连接关系。(2)网络设备的域名、IP地址,即寻址信息(标识一个设备)。(3)网络设备的运行特性,即运行参数。(4)网络设备的备份操作条件,即是否备份、备份启用条件。(5)网络设备的配置更改条件。,返回,10,.,配置管理将定义、收集、监视和修改这些配置数据不仅提供给配置功能使用,而且还被网络管理的其他功能(如性能管理、故障管理、安全管理、计费管理)广泛使用。配置管理通过修改被管对象的属性(参数)来控制被管对象。配置管理系统整体构成如图2-1所示。,返回,11,.,四、配置管理主要功能,配置管理负责监控网络的配置信息,使网络管理人员可以查询网络运行参数和配置状况,生成、查询和修改软硬件的运行参数及条件,根据网络管理其他功能生成的事件和网络管理人员的命令自动调整网络设备配置,保证整个网络的正常操作。,返回,12,.,具体地讲,就是在网络建立、扩充、改造以及工作的开展过程中,对网络的拓扑结构、资源配置、使用状态等配置信息进行定义、监测和修改。具体的功能有:(1)定义配置信息。(2)设置和修改管理对象的属性。(3)定义和更改管理域。(4)通过网络发布新软件。(5)监视属性值和关系的变化。(6)生成配置状态报告。(7)网络资源的自动查找和图示化表示。(8)网络资源清单管理信息。,返回,13,.,(7)网络资源的自动查找和图示化表示。,视图是直观地向管理人员显示网络配置的接口。管理人员需要通过适当的接口软件,才能够显示各种网络元素和网络拓扑结构,同时还应具有现实和修改设备参数的界面,可以通过界面启动和关闭网络中的各种设备,采用何种视图接口软件决定于所使用的操作系统。当前主流的网络管理系统基本上采用图形用户接口(GUl)软件。图形用户接口一般具有导航和放大功能。引导用户进入需要的显示和操作模板,并能够放大到分层次的显示网络配置的每个细节。视图设计的关键技术是把所有的网络资源定义为管理对象,并适当地确定和表示这些管理对象之间的关系。,返回,14,.,(8)网络资源清单管理信息。,资源清单管理也是配置管理的基本功能,它联机提供当前安装信息机器配置的记录。需要列入资源清单中的资源主要包括:,设备:传输线路:网络:提供服务:客户:厂商:地点:软件:联系人:,主机、交换机、客户机、路由器、复用器、调制解调器、控制单元、关键设备等。,设备之间的物理连接线路及逻辑连接线路,可能包含多条物理线路。,局域网、广域网、本地网。,业务提供者向某个或多个客户提供的特定的网络功能。,接受服务的用户,提供设备的厂商。,被管对象和管理人员所在地。,所使用的系统软件和应用软件。,厂商负责特定地点、功能或设备的人员。,返回,15,.,通过标准管理信息结构(SMI，StructureofManagementInformation)的方法,将这些资源定义为被管对象,重点描述其属性、连接以及状态。通过建立资源管理信息库(MIB),提供对资源清单的提取、增加、删除和修改等功能。,返回,16,.,五、配置信息的获取、设置和管理,（1）通过网络管理标准获取（SNMP、CMIP）在MIB中定义的配置信息(2)对设备运行获取重要的信息(3)网络管理应用所需要的辅助性信息,返回,17,.,（1）通过网络管理标准获取（SNMP、CMIP）在MIB中定义的配置信息,采用SNMP协议中定义的有关服务来获取，利用SNMP工具可得到设备的配置信息，如使用该工具获取路由器端口数参数的范例如下:S100a%anmpget-v1202.112.1.66Pubiic.1.3.6.1.2.1.2.10interfaces.ifNumber.0=24可以得出202.112.1.66总共有24个端口。在该方法中,获取配置信息时必须知道网络设备的SNMPcommunity名字。,返回,18,.,(2)对设备运行获取重要的信息,采用Expect技术通过telnet和截取终端信息来获取。Expect是一种基于Tc1语言而实现的交互式程序自动执行工具,它可以自动执行UNIX命令,并按事先编制的程序和规则自动完成交互执行过程。利用它,可以按事先设定的交互过程执行telnet远程登录到要管理的网络设备上,获取有关的配置信息。这种信息获取方法依赖于特定的设备。,返回,19,.,(3)网络管理应用所需要的辅助性信息,通过缺省赋值和修改数据库来实现。,返回,20,.,六、拓扑发现和拓扑重构,一、拓扑发现的目的二、拓扑发现的原理三、拓扑重构四、网络拓扑构建的要点,返回,21,.,一、拓扑发现目的：,拓扑发现的主要目的是获取和维护网络设备的存在性和它们之间的连接关系信息,并在此基础上给出整个网络连接状态的图示,帮助网络管理人员对整个网络的拓扑结构有整体上的了解。,返回,22,.,二、拓扑发现的原理：,目前的拓扑发现主要有三种:(1)基于SNMP协议(路由表)的拓扑发现(2)基于ARP(ARP,AddressResolutionProtocol)协议的拓扑发现(3)基于ICMP(ICMP,InternetControlMessageProtocol)协议的拓扑发现,返回,网络层拓扑发现的原理是结合ICMP和ARP以及SNMP，对指定的网络进行活动设备的检查，得到所有的活动设备，然后通过SNMP取得设备的基本信息，根据基本信息确定设备的类型，再根据设备的类型取得相应设备的详细信息。,23,.,(1)基于SNMP协议(路由表)的拓扑发现,在路由器(网关)等主要网络设备中,保存有路由表。路由表的基本表项包括路由的目的网络地址、目的网络地址的掩码、该路由的下一站的IP地址、对应的端口、路由协议等信息。其中下一站的IP地址(nexthop)信息可用于网络的拓扑发现。由于路由表中的下一站地址项所标识的必然是具有路由功能的网络结点,因此从管理工作站的缺省路由器开始,通过读取路由器的路由表,可以逐渐向下发现网络中所有基于路由功能的网络结点,再通过路由表的对应端口标识(ifindex)项,就可以构建出整个网络的拓扑关系图。,返回,24,.,(2)基于ARP协议的拓扑发现,任何以太网接口的网络设备都支持地址解析协议ARP,并在本机维护着一张ARP表,用于IP地址和以太网地址间的地址解析和转换。由于在同一以太网网段内所有活动主机都在ARP表中,因此也可以利用ARP表来进行拓扑发现。根据任何一台路由器或交换机的ARP表,可以发现与其他以太端口相连的以太局域网中的所有网络设备。继续根据ARP表进行发现,可以得出整个以太网拓扑结构关系。,返回,25,.,(3)基于ICMP协议的拓扑发现,基于ICMP协议的最多应用就是“ping”。通过ping发送ICMP报文,可以测试网络设备的活动状态和可达性。因此,如果对于一个网段中所有可能的网络IP地址发送ICMP广播报文的话,根据应答就可以发现该网段内的所有当前活动的网络设备。,返回,26,.,三、拓扑重构,拓扑重构是指根据数据库中保存的网络设备的信息重新构建或更新网络拓扑关系。由于在很多情况下网络拓扑图示与配置数据库中的信息并不一致（例如在手工增加网络设备或删除网络设备时,就有可能产生不一致性），所以必须要实现该项功能。在网络拓扑结构中,最主要的是路由器之间的连接关系和子网(Subnet)的划分情况,因此拓扑重构主要考虑路由器的增删以及路由器配置产生变化而导致的拓扑变化。,返回,27,.,四、网络拓扑构建的要点:,在网络拓扑关系中,主要的组成元素包括网络结点设备(路由器、交换机等)、子网、网络连接、网络中的主机和编辑形成的子图。子网对象和网络连接对象与路由器和交换机的端口配置密切相关,有着很好的对应关系。应确保拓扑关系数据库中数据的完整性(所有的图标标识对应的设备ID都应在数据库中实际存在)、一致性(所有的设备都有其相应的标识)和唯一性(所有的路由和子网在同一子网中只出现一次)。（对各数据表格间的关系进行分析,可得出拓扑关系数据与配置数据之间的关系,如图2-2所示）,返回,28,.,其中,路由器表是整个拓扑关系构件的基础,首先根据它获取路由端口的配置信息,生成和更新路由器端口表。再根据路由器端口的IP配置和子网掩码配置生成子网表。子图表用于编辑,在不同的子图中包含有不同的网络对象,用来显示不同级别、不同地区的网络拓扑情况。在系统初始化完成后,子图表中包含ID为0和1的两个缺省子图。所有的网络对象(子网、子图、路由器、主机、端口、交换机、连接等)都在对象标识表的对象标识中有一个或多个相应的标识。在拓扑重构时,对象标识表根据其他对象表来实际生成。,返回,29,.,七、网络的自动配置,（1）自动配置含义（2）自动配置的重点,返回,30,.,（1）自动配置的含义：,拓扑发现和配置信息的获取及维护是配置管理的基础,实现网络的自动配置则是配置管理一直追求的目标。自动配置意味着网络管理系统可以根据整个网络运行状况的变化及时自动地对整个网络和具体网络设备的配置进行调整,以确保网络工作在最佳状态。自动配置的驱动事件来源于性能分析和故障管理。其主要任务是根据网络性能变化的趋势及时调整网络配置,以及在网络发生故障时可以及时自动修复或者弥补故障造成的影响。,返回,31,.,自动配置的重点是配置条件的判断和操作的自动选择。由于计算机并不知道应该如何根据网络事件调整网络配置,因此需要管理人员事先设定响应的操作条件和操作步骤。在条件判断中,对于必须处理的紧急事件,则可以根据管理经验设定规则。可以进行的配置操作包括调整配置参数、设备替换等；这些操作可通过SNMP、CMIP服务完成,也可通过其他方法实现。,（2）自动配置的重点：,返回,32,.,2.1.2性能管理,1.性能管理2.性能管理的目的3.网络性能管理的实现4.性能管理的基本功能5.性能管理系统结构6.网络性能的评测方法7.常用网络性能的评测指标,返回,33,.,1.性能管理,性能管理(PerformanceManagement)指对网络上的通信信息(流量、用户、所访问的资源）等进行收集、加工和处理等一系列活动。,返回,34,.,2.性能管理的目的,性能管理的目的是保证在使用最少的网络资源和具有最小延迟的前提下,网络提供可靠和连续的通信能力,并使得网络资源的使用达到最优化的程度。通常,故障管理侧重于故障发生后的诊断和处理,而性能管理则侧重于预防故障的发生,防患于未然。,返回,35,.,3.网络性能管理的实现,网络性能管理通常通过两类方法来实现管理目标：方法1、实时监控网络设备和相应的所有连接,监视设备和线路的使用率和出错率及相应的阀值(有的教材或技术资料也称之为阈值),并进行超越阀值报警机制。方法2、定期进行历史数据分析,及时提示管理者和决策者做出设备或线路的升级计划和更改,保证设备和线路的容量不会因过度使用而出现网络性能急剧下降的情况。,返回,36,.,4.性能管理的基本功能,网络性能管理的功能包括:(1)实时采集与网络性能相关的数据(2)分析和统计数据(3)维护并检查系统运行日志(4)性能的预警(5)生成性能分析报告,返回,37,.,(1)实时采集与网络性能相关的数据,跟踪系统、网络或业务情况,为判别性能收集合适的数据,以便及时发现网络拥塞或性能不断恶化的状况。,返回,38,.,(2)分析和统计数据,对实时数据进行分析:判断是否处于正常水平;对当前的网络状况做出评估,并自动形成管理报表,以图形方式直观的显示出实时的网络性能状况;分析和统计历史数据,绘出网络历史数据的图形;建立性能分析模型,用一定的模型来评价一个系统是否满足吞吐量的要求,是否满足有足够的网络响应时间,是否过载或系统是否得到有效的使用,预测网络性能的变化趋势,并根据分析和预测的结果,找出性能的瓶颈,优化和调整网络拓扑结构及各种设备的配置和参数,逐步达到最佳性能。,返回,39,.,(4)性能的预警,为每个重要的指标决定是否设定一个适当的阀值,当性能指标超过该阀值时,就表明出现了值得质疑的网络故障。管理实体在不断监视性能指标,当超过某阀值时,就产生告警,并将该告警发送到网络管理系统。,返回,40,.,(5)生成性能分析报告,性能管理最直观的表现形式是性能分析报告。性能报告包括性能趋势曲线和性能统计分析,它可按时间段区分,也可按管理域组织。性能报告包括:路由器性能。.管理域性能。.实时性能监控。统计分析。,主要有端口流量、温度、CPU利用率、内存余量。,管理域的定义是指“特定被管对象的集合”。因此,主要有线路的流量、路由器温度、内存余量、CPU利用率等,主要有流量、丢包率、延迟、温度、内存余量和CPU利用率等。,扫描数据文件,绘制性能分布图。,返回,41,.,5.性能管理系统结构,返回,整个系统组成按功能分为:(1)日常性能分析和管理工具(2)数据库系统MIB(3)性能分析及阀值计算(4)数据采集和管理(5)配置工具,42,.,(1)日常性能分析和管理工具,图2-3性能管理系统结构示意图,它由监视网络运行状态的值班系统(值班界面)、网络设备性能管理工具、线路性能管理工具、信息查询工具、实时性能检测工具和阀值监测和告警系统组成,通过Web界面访问。,返回,43,.,(2)数据库系统MIB,图2-3性能管理系统结构示意图,对较大规模的网络系统来说,通常网络管理的范围较大、对象较多,网络管理所需要的数据庞大,数据之间关系复杂,一般要采用数据库系统来保存大量的实时数据和历史数据,并处理好数据间的复杂逻辑关系。采用数据库方式保存和处理数据有利于数据的一致性,使得系统各模块对数据的操作都基于一个数据库,数据传递方便、准确。,返回,44,.,(3)性能分析及阀值计算,图2-3性能管理系统结构示意图,性能分析的过程是:数据查询和标示、性能指标计算、性能报告生成。性能检测报告程序通常位于服务器端,需要时也可在客户端运行(JavaApplet的形式)。阀值计算是对性能指标计算结果,进行阀值对比检查,通常阀值通过系统配置工具进行设定。,返回,45,.,(4)数据采集和管理,图2-3性能管理系统结构示意图,数据采集有三个来源:被管设备、公共数据库、共享数据文件。被管设备的数据采集需要调用通信协议支持模块来与被管设备直接通信。数据管理模块负责对性能检测数据的有效组织,包括数据在内存中的缓存、二进制数据文件的维护和压缩、数据库维护和管理以及与其他网络管理子系统间的数据共享。,返回,46,.,(5)配置工具,图2-3性能管理系统结构示意图,配置工具包含制定值班系统,设置阀值监控,管理被管对象,配置采集任务等。,返回,47,.,6.网络性能的评测方法,局域网操作系统平台多种多样,网络设备、传输媒介及网络拓扑结构都有很大的区别,因此网络性能评测是非常复杂的,一般采用的评测方法包括:,返回,(1)直接测量法(2)模拟法(3)分析法,48,.,(1)直接测量法,对己建成的网络上的信道利用率、碰撞分布和吞吐率等参数进行动态数据统计分布,以得到评测结果。,返回,49,.,(2)模拟法,对己建立的网络建立数学模型,运用仿真程序,通过数学计算得出网络有关参数指标。同时也可以与实测结果比较对照,经过多次校正以获得真实的测评结果。,返回,50,.,(3)分析法,通过采用概率论、过程论和排队论等数学工具对各种网络进行模拟,其分析结果可以对未来的网络进行优化设计。,返回,51,.,7.常用网络性能的评测指标,性能监视包括的指标:(1)可用性A=MTBF/（MTBF+MTTR）MTBF为平均无故障时间,MTTR为发生失效后的平均维修时间。串联时整个链路的可用性为A2,并联时整个链路的可用性为2A-A2。(2)响应时间;(3)正确性;(4)吞吐率;(5)利用率:计算出各个链路的负载占网络总负载的百分率(相对负载),以及各个链路的容量占网络总容量的百分率(相对容量),最后得到相对负载与相对容量的比值。这个比值反映了网络资源的相对利用率。,返回,例例例,52,.,例：,一个简单网络,由5段链路组成。在下列表格中的空白处填上合适的值。,返回,53,.,例2：,应用题1.假定一个多路器通过两条链路连接到主机,见2,每条链路的可用性为：A=0.9。在主机业务的峰值时段,一条链路只能处理总业务量的80%,因而需要两条链路同时工作。非峰值时段大约占整个工作时间的30%,只需要一条链路就可以处理全部业务。求整个系统的可用性Af。1.解:两条链路同时工作的概率为A2=0.81只有一条链路工作的概率为A(1-A)+(1-A)A=0.18则Af(非峰值时段)=1.00.18+1.00.81=0.99Af(峰值时段)=0.80.18+1.00.81=0.954系统的平均可用性为:Af=0.3Af(非峰值时段)+0.7Af(峰值时段)=0.9648,返回,54,.,例3,如两个Modem串联在链路中,若单个Modem的可用性为A=0.97,并假设链路其他部分的可用性为1,求整个链路的可用性A。解：A=0.970.97=0.9409【分析】:本题考查的知识点是可用性的计算,它属于网络监视中的性能监视,两个相同设备串联链路的可用性为A2,并联链路可用性为2A-A2。,返回,55,.,(1)吞吐量,它是指单位时间内通过网络设备的平均比特数,单位是比特/秒(b/s)。由于数据分组可能出错,所以当测量吞吐量时,一般只包括无差错的数据分组的比特数。对整个或局部正常稳态的网络来说,其输入和输出速率是相等的,因此吞吐量为进入或离开一个网络时每秒的平均比特数。吞吐量又可定义为网络设备在不丢失任何一个数据帧的情况下的最大转发速率。以太网吞吐量最大理论值称为线速,即指网络设备有足够的能力以全速处理最小的数据封包转发。吞吐量是反映交换机性能的最重要的指标之一。由于交换机在不同的工作模式下其吞吐量也会不同,所以需要分别测试。对10M/100M交换机,需要分别测试10M/100M.100M/1000M吞吐量。,返回,56,.,(2)包（帧）延迟(Latency),包(帧)延迟是指数据分组(帧)的最后一位到达输入端口和输出数据分组的第一位出现在输出端口的时间间隔,即LIFO(LastInFirstOut)延迟。快速转发模式下延迟定义为:输入数据分组的第一位已到达输入端口和输出数据分组的第一位出现在输出端口的时间间隔。无论是网络延迟还是由用户/工作站链路所引起的比特数或数据分组数的平均值,很多网络都用延迟-吞吐量的关系曲线来描述网络性能。目前因为网络的复杂应用,许多应用对延迟十分敏感,如音视频。对于交换机来说,延迟是衡量交换机性能的主要指标,延迟越大说明交换机处理帧的速度越慢。另外,网管型交换机和非网管型交换机由于系统负载不同、处理方式不同,在帧转发延迟上会存在较大差异。,返回,57,.,(3)丢包(帧)率(FrameLostRatio),丢包(帧)率是指正常稳定网络状态下,因为资源不够应该转发而没有转发的数据包(帧)所占的百分比。丢包率的大小表示了网络的稳定性及可靠性。丢包(帧)率可以用来描述过载状态下交换机的性能,这也是衡量防火墙性能指标的一个重要参数。虽然以太网协议中规定的丢失重发机制保证了丢包后不会影响数据的正确性,但大量的数据丢失也会降低网络利用率和实用性能。,返回,58,.,(4)背对背(BacktoBack):,这个概念是指对于给定的媒体,从空闲状态开始,以最小合法的时间间隔发送连续的固定长度的帧。背对背是用于显示网络设备缓冲数据包能力的一个指标,反映了交换机处理突发帧的能力。网络上经常有一些应用会产生大量的突发数据包(如NFS、备份和路由更新等),而且这样的数据包丢失可能会产生更多的数据包,足量的缓冲能力可以减少这种突发现象对网络造成的影响。,返回,59,.,2.1.3故障管理,一、故障管理二、网络故障的产生原因三、故障管理的主要内容四、故障管理的任务五、故障管理实现的基本功能,返回,60,.,一、故障管理,故障管理(FaultManagement)也是网络管理中最基本的功能之一。故障管理是用来动态地维持网络正常运行并达到一定服务水平的一系列活动,这些活动保证了网络具有高度的可用性。,返回,故障管理可分为三个功能模块故障检测和报警功能、故障预测功能、故障诊断和定位功能,61,.,二、网络故障的产生原因,网络故障的产生原因有时十分复杂,特别是由多个网络共同引起故障的时候。在此情况下,一般先将网络修复,然后再分析网络故障的原因。分析故障原因对于防止类似故障的再次发生十分重要。,返回,62,.,三、故障管理的主要内容,故障管理的主要内容包括：故障检测、故障诊断、故障排除故障记录。,返回,63,.,四、故障管理的任务,故障管理的任务有四条:在出现故障的情况下尽快恢复业务。查找、分析和分离故障原因。及时有效地排除、修复故障或给管理者提供排除故障的帮助。收集和分析故障管理的有效性。即业务中断时间、修复成本和分析的结果用于指导网络资源的优化分配,以达到业务与成本的最佳平衡。,返回,64,.,五、故障管理实现的基本功能,一般来说,网络故障管理能够实现的基本功能包括:(1)故障检测(2)故障报警(3)故障信息过滤与关联(4)检索/分析故障信息(5)排错支持工具(6)故障管理配置(7)临时性网络服务,返回,65,.,(1)故障检测,检测管理对象的故障现象。自动探测和被动接收网络上的各种事件信息,并识别出其中与网络和系统故障相关的内容,并对其中的关键部分进行跟踪,生成故障事件的记录。,返回,66,.,(2)故障报警,接收管理对象传来的故障报警信息,根据报警策略驱动相应的报警程序,以报警窗口(或响铃)通知值班人员或以电子邮件通知网管员,发出网络严重故障报警。,返回,67,.,(3)故障信息过滤与关联,依靠对事件记录的分析,定义网络故障并创建故障和维护日志记录。记录排除故障的步骤和故障相关的值班员日志,构造排错过程记录,将事件、故障、日志构成逻辑上相关联的整体,以反映故障产生、变化、排除的整个过程的各个方面。,返回,68,.,(4)检索/分析故障信息,浏览并以关键字检索查询故障管理系统中所有的数据库记录,定期收集故障记录数据,在此基础上给出被管系统、被管线路设备的可靠性参数。,返回,69,.,(5)排错支持工具,向网管人员提供一系列检测工具,对被管设备的状况进行检测并记录检测结果,给出供排错过程动作的提示,以供网管人员分析故障原因,确定故障性质,明确排错的解决方案。,返回,70,.,(6)故障管理配置,接收网管人员输入的其他配置信息,对故障管理进行配置。配置内容包括不同故障的优先级、对网络设备的查询周期等。,返回,71,.,(7)临时性网络服务,当存在冗余设备和网络连接备份时,提供新的网络资源用于服务,如替代故障对象,提供临时性网络服务。,返回,72,.,2.1.4安全管理,一、安全管理二、安全管理的功能:三、网络安全层次:四、安全管理步骤,返回,73,.,一、安全管理,网络安全管理(SecurityManagement)就是在保证包括保护网络设备在内的各种网络资源不被非法入侵、不被非法使用和破坏,确保网络管理系统本身也不被非法使用，来进行系统日志的维护以及对加密机构的密钥管理等活动的过程。责任一是网络管理系统本身的安全,二是被管理的网络对象的安全。,返回,74,.,二、安全管理的功能:,(1)识别重要的网络资源的数据加密。通常包括系统、文件和其他一些实体等。(2)确定重要的网络资源和用户之间的关系集合,控制和维护授权设施。(3)授权机制,控制对网络资源的访问权限。(4)加密机制,密钥分配与管理,确保数据的私有性,防止数据被非法获取。(5)防火墙机制,阻止外界入侵。(6)监视对重要网络资源的访问,防止非法用户的访问。(7)维护和检查安全日志,在日志中记录对重要资源不适当的访问情况。(8)审计和跟踪。(9)计算机病毒的防治。(10)支持身份鉴别,规定鉴别的过程。,返回,75,.,三、网络安全层次:,安全管理一直都是网络系统的薄弱环节，但网络用户对网络安全的要求是很高的，所以网络安全管理就显得十分重要。网络管理者必须充分意识到潜在的安全性威胁，并采用一定的防范措施，尽可能减少这些威胁带来的损失和不良结果，将网络内部和外部对数据和设备所引起的危险降低到最低程度。通常,将网络安全分为四个层次:物理安全,逻辑安全,操作系统安全联网安全。,返回,76,.,物理安全:,主要包括防盗、放火、防静电、防雷击和防电磁泄漏。,返回,77,.,逻辑安全:,需要用口令、文件许可等方法来实现。通过限制登录次数或对试探操作加上时间限制;可以用软件保护存储在计算机文件中的信息;还可以通过硬件完成。在接收到存取要求后,先询问并校核口令,然后访问列于目录中的授权用户标志号以及其他操作。此外,较完善的安全软件系统还可以跟踪可疑的、未授权的存取企图。例如,某个用户企图多次登录或访问未授权的文件等。,返回,78,.,操作系统安全:,操作系统是计算机中最基本、最重要的软件。同一台计算机中可以安装不同的操作系统。若计算机系统提供多人使用,操作系统必须能区分用户,以便防止相互干扰。操作系统安全提供对用户使用计算机的安全、网络的安全及其对自身系统的安全机制。,返回,79,.,联网安全:,通过两方面的安全服务来实现,首先是访问控制服务,保护计算机和联网资源不被非授权使用;其次是通信安全服务,认证数据机要性与完整性及其通信的可信赖性。,返回,80,.,四、安全管理步骤,一般来说,网络安全管理包括四个步骤:确定所要保护的敏感信息。寻找网络的访问点。对有关设备和主机进行相应的安全配置。对涉及网络安全的访问点进行定期检查,维护网络安全性。,返回,81,.,2.1.5计费管理,计费管理所涉及的网络资源包括网络软件资源和硬件资源、网络服务及网络设施的额外开销,如运行、维护费用。计费管理可以估算出用户使用网络资源需要付出的费用和代价以及已经使用的状况。网络管理者可以规定用户使用的最多费用,从而控制用户使用所许可的资源数量或范围。计费管理从某种程度上提高了网络使用的效率,通过网络计费系统能够统计网络利用率和网络资源的使用情况,这对于网络的运行管理十分有效。一、计费管理二、计费管理功能三、计费管理类型四、流量计费的实现,返回,82,.,一、计费管理,计费管理(AccountingManagement)是负责监视和记录用户对网络资源的使用情况并核收费用,目的是控制与监测网络操作的费用和代价。计费管理针对公共开放的商业网络尤为重要。,返回,83,.,二、计费管理功能,1.基本功能（ISO网络管理功能）:2.辅助功能（非ISO网络管理功能）,返回,84,.,1.基本功能:,(1)网络资源数据采集,如网络流量等。(2)维护用户基本信息。(3)输入计费政策。(4)计算机网络资源数据,并根据用户基本信息和计费政策计算用户账单。(5)财务数据维护,包括计算用户费用结算等。(6)计费信息查询。,ISO网络管理定义的网络管理最基本的功能,返回,85,.,2.辅助功能,上面所列ISO网络管理定义的功能只是网络管理最基本的功能,这些功能不是互相孤立的,完成某项管理功能往往需要其他管理功能的配合,比如故障管理要从性能管理得到当前的运行分析结果,从配置数据库得到设备的配置信息。一旦确定发生故障,通过配置管理修复配置参数,修复、替换或隔离故障设备或部件。由此可见,网络管理可看作是一组过程和任务的集成。除了这些功能外,还有一些非ISO网络管理功能,如面向用户的服务支持、网络规划和分析、网络工程支持、账单管理功能、支持系统综合功能、资产管理和人员管理等。,返回,86,.,三、计费管理类型,根据用户所使用的网络资源的种类,可以将目前的计费管理大致分为三类:(1)基于网络流量的计费(2)基于使用时间计费(3)基于网络服务计费,返回,87,.,(1)基于网络流量的计费,网络流量计费是根据用户的网络或者用户的主机在一段时间内所使用的网络流量统计数据来收取用户费用的一种计费方式。目前主要适用于专线(DDN、E1、x.25线路等)接入用户。计费原理如图2-4所示。,图2-4基于流量的计费模型,返回,88,.,(2)基于使用时间计费,使用时间计费是根据用户使用网络的时间长短来收取用户费用的一种计费方式。该方式主要适用于电话线、ISDN或ADSL接入网络的用户。计费原理如图2-5所示。,图2-5基于时间的计费模型,返回,89,.,(3)基于网络服务计费,网络服务计费是根据用户使用所提供的网络服务的次数或时间来收取用户费用的一种计费方式。收取服务的费用包括:电子邮件、数据库信息查询、光盘检索、网络游戏等。计费原理如图2-6所示。,图2-6基于服务的计费模型,返回,90,.,四、流量计费的实现,根据网络类型的不同,其流量信息的采集方式也不同.1计费采集的含义2基于TCP/IP协议体系的流量计费3基于拨号服务的计费原理,返回,91,.,1.计费信息采集:,计费信息采集主要是获取网络上所有IP协议数据包,分析其包头数据,提取源IP地址、目的IP地址、数据包大小、数据协议类型等有关数据,并将这些数据装入数据库中。用户信息和计费策略输入则是由网络管理人员根据实际情况和单位的计费策略将有关信息输入到数据库或配置文件中。计费应用可根据数据库中的信息,向网络管理人员和网络用户提供各种统计应用,包括查询网络使用情况、用户交费信息等。,返回,92,.,2.基于TCP/IP协议体系的流量计费,(1)基于TCP/IP协议体系的流量计费模型(2)TCP/IP网络流量的采集,返回,93,.,（1）基于TCP/IP协议体系的流量计费模型,基于TCP/IP协议体系的流量计费模型如图2-7所示。,图2-7TCP/IP网络流量计费模型,返回,94,.,(2)TCP/IP网络流量的采集,基于以太局域网监听技术的流量数据采集方法基于路由器IP数据包统计的流量数据采集方法基于双网卡主机的流量数据采集方法,TCP/IP网络流量的采集方式包括网络监听(截获)方法和流量过滤方法。,返回,95,.,基于以太局域网监听技术的流量数据采集方法,I原理II过程,返回,96,.,I原理,监听和计费工作站与其他在以太网上的所有结点都处于平等地位,因此可以通过监听网络中数据包来统计网络流量。,返回,97,.,II过程,数据采集的过程是:通过监听进程自动截取以太网上的数据包;分解数据包,并对数据包的包头进行相应的分析;将有关流量数据、源地址信息和目的地址信息以及数据包类型信息保存到数据库中;在数据库的基础上开发各种计费应用。,返回,98,.,基于路由器IP数据包统计的流量数据采集方法,I原理II过程,返回,99,.,I原理,路由器是实现网络互连的关键设备,它完成根据数据包目的地址选择相应路由的任务,网络间的通信都必须通过路由器实现。对一个内部网来说,与外界网络进行通信的所有数据包必须经由边界路由器进行路由,因此,利用路由器对数据包进行统计分析,能够方便地实现网络流量的监测。,返回,.,100,II过程,基于路由器IP数据包统计的流量数据采集过程是:对路由器进行相应的配置:利用SNMP工具获取和更新路由器的IP流量统计数据;将流量信息加入到数据库中;数据确信已加入数据库;计费应用。,返回,101,.,基于双网卡主机的流量数据采集方法,I原理II过程,返回,102,.,I原理,基于双网卡主机的流量数据采集方法,是以一台配置了两块网卡的主机为关键设备,两块网卡分别连接内部网络和外部网络,所有内外部网络之间的通信都必须经过该主机。通过在该主机上的数据包截获分析工具,即可实现网络流量数据采集功能。这种方法的优点是不占用网络带宽,不占用路由器的开销,高效、安全、可靠。此外,由于所有网络通信的数据包都必须在物理上经过该主机,因此,