网络安全与管理二版网络管理原理PPT课件

网络安全与管理,第11章网络管理原理,本章学习目标,网络管理的概念、目标、功能，网络管理的标准简单网络管理协议的体系结构、安全和实现简单网络管理协议模型的发展，介绍SNMPv1、SNMPv2、SNMPv3、RMON网络管理技术的新发展，分别介绍基于Web技术、CORBA技术、主动网、专家系统的网络管理,11.1网络管理简介,11.1.1网络管理概述11.1.2网络管理的目标11.1.3网络管理的功能11.1.4网络管理的标准11.1.5网络管理的方式,11.1.1网络管理概述,网络管理的意义：随着计算机网络的发展和普及，网络系统规模的日益扩大和网络应用水平的不断提高，一方面对于如何保证网络的安全、组织网络高效地运行提出了迫切的要求；另一方面，计算机网络日益庞大，使管理更加复杂。,11.1.1网络管理概述,网络管理的定义：按照国际标准化组织（ISO）的定义，网络管理是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务。,11.1.1网络管理概述,网络管理的意义：随着计算机网络的发展和普及，网络系统规模的日益扩大和网络应用水平的不断提高，一方面对于如何保证网络的安全、组织网络高效地运行提出了迫切的要求；另一方面，计算机网络日益庞大，使管理更加复杂。,11.1.1网络管理概述,网络管理的对象：从网络设备的角度考虑，网络管理对象一般包括硬件资源和软件资源两部分。硬件管理指的是对构成网络的设备的管理。软件管理指的是对运行于硬件设备上的操作系统、应用程序以及访问权限等的管理。从网络构架的角度考虑，网络管理既要负责管理局域网的网络性能、网络流量、网络冲突和碰撞等，又要负责管理广域网的网络线路、广域网流量等内容。,11.1.2网络管理的目标,网络管理的目标是通过收集、监控网络中各种设备和设施的工作参数、工作状态信息并显示给管理员接受处理，从而最大限度地增加网络的可用时间，提高网络性能、服务质量和安全性，保证网络设备的正常运行，控制网络运行成本以及提供网络长期规划等。网络经营者以及用户对网络的基本要求是：有效性可靠性开放性综合性安全性经济性,11.1.3网络管理的功能,网络管理是控制一个复杂的计算机网络去获取最大效益和生产率的过程，为更好地定义网络管理的范围，国际标准化组织（ISO）定义了网络管理的五大功能。配置管理（ConfigurationManagement）性能管理（PerformanceManagement）故障管理（FaultManagement）计费管理（AccountingManagement）安全管理（SecurityManagement）,11.1.4网络管理的标准,国际上有一些组织机构致力于研究、制定、开发网络管理的服务、协议和结构，其中最重要的三个国际组织是：国际标准化组织（ISO）Internet工程任务组（IETF）国际电信联盟（ITU）,11.1.4网络管理的标准,国际标准化组织（ISO）OSI系统管理标准的制定受到了政府和工业界的支持ISO7498-4文件定义了网络管理的基本概念和总体框架；CMIP：网络管理提供的服务和网络管理协议CMIS：公共管理信息协议规范CMIS定义了为OSI系统管理提供的一系列服务，而CMIP则是实现这些CMIS服务使用的协议。CMIS/CMIP的整体结构是建立在使用ISO网络参考模型的基础上的，网络管理应用进程使用ISO参考模型中的应用层。,11.1.4网络管理的标准,国际标准化组织（ISO）OSI系统的管理结构,11.1.4网络管理的标准,IETF制定了SNMP协议SNMP是目前TCP/IP网络中应用最为广泛的网络管理协议，SNMP最大的特点是简单性，容易实现且成本低。此外，它还有以下特点：可伸缩性：SNMP可管理绝大部分符合Internet标准的设备；扩展性：通过定义新的“被管理对象”，可以非常方便地扩展管理能力；健壮性：即使在被管理设备发生严重错误时，也不会影响管理者的正常工作。,11.1.4网络管理的标准,Internet管理结构,11.1.4网络管理的标准,TMN电信管理标准1985年CCITT提出了TMN的构想，用于实现对异构型互连网络、设备与业务进行有效的管理，提高网络的运行质量和效率，向用户提供良好的通信服务，为电信网络管理目标的实现提供了一套整体解决方案。1988年CCITT形成了M.30建议书，定义了TMN的框架结构、功能模型、信息模型与物理模型。M.30是一总建议书，由它可引出一系列与TMN相关的子建议书。,11.1.4网络管理的标准,TMN和电信网的关系图,11.1.5网络管理的方式,随着网络的发展，网络管理的方式也在发生变化早期网络管理是采用人工方式后来出现了人工与自动相结合的管理方式现在以集中为主变为以分散为主,11.2简单网络管理协议,11.2.1SNMP的管理模型11.2.2SNMPv1的体系结构11.2.3SNMPv1的安全机制11.2.4SNMPv1的实现问题11.2.5SNMPv211.2.6SNMPv311.2.7RMON,11.2.1SNMP的管理模型,SNMP的管理模型包括4个关键元素：管理工作站、网络管理协议、管理代理、管理信息库。管理工作站：管理工作站是与在不同的被管理节点中的代理通信，并且显示这些代理状态的中心设备。网络管理协议：网络管理协议是管理工作站和代理之间用来交换信息的协议，是一系列协议组和规范。管理代理：代理（Agent）是一种特殊的软件或固件，它包含了关于一个设备或该设备所处环境的信息。管理信息库：管理信息库指明了网络元素所维持的变量，即能够被管理进程查询和设置的信息。,11.2.1SNMP的管理模型,SNMP的配置,11.2.2SNMPv1的体系结构,请求/响应原语SNMPv1规定了5种协议数据单元PDU（也就是SNMP报文），用来在管理进程和代理之间交换信息。这5种协议数据单元也被称为SNMP的请求/响应原语。get-request操作：从代理进程处提取一个或多个参数值；get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值；set-request操作：设置代理进程的一个或多个参数值；get-response操作：返回的一个或多个参数值。这个操作是由代理进程发出的，它是前面三种操作的响应操作；trap操作：即前面提到的自陷，代理进程主动发出的报文，通知管理进程有某些事情发生。,11.2.2SNMPv1的体系结构,5种报文操作,11.2.2SNMPv1的体系结构,SNMP报文格式,11.2.2SNMPv1的体系结构,数据采集：从被管理设备中采集数据有两种方法：一种是轮询（polling）的方法另一种是中断（interrupt）的方法,11.2.2SNMPv1的体系结构,数据采集：从被管理设备中采集数据有两种方法：轮询（polling）：信息的采集总是处于网络管理工作站的控制之下。这种方法的缺陷在于信息的实时性，尤其是错误信息的实时性中断（interrupt）：当有异常事件发生时，如果基于中断的方法（自陷），被管理设备就可以立即通知网络管理工作站。,11.2.3SNMPv1的安全机制,SNMPv1的安全机制比较脆弱，通信不加密，所有共同体字符和数据都以明文形式发送。共同体：相当于访问口令访问策略：通过定义管理对象的访问模式限制管理站的访问。所谓的访问控制有两方面的含义：MIB视图：MIB中对象的子集，对不同的共同体可以定义不同的视图访问模式：SNMP定义了两种访问模式：只读和读写。MIB视图和访问模式合起来被称作SNMP共同体框架。,11.2.4SNMPv1的实现问题,轮询频率：我们需要一种能提高网络管理性能的轮询策略，以决定合适的轮询频率。通常轮询频率与网络的规模和代理的多少有关。而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其他因素。为了使问题简化，假定管理站一次只能与一个代理作用，轮询只是采用get请求/响应这种简单形式，而且管理站全部时间都用来轮询，于是有下面的不等式：NT/,11.2.4SNMPv1的实现问题,轮询频率NT/N：最多可支持设备数（被轮询的代理数）；T：轮询间隔；：单个轮询需要的时间。其中的“”与以下因素有关：管理站生成一个报文的时间；管理站到代理的网络延迟；代理处理一个请求报文的时间；代理生成一个响应报文的时间；代理到管理站的网络延时；管理站处理一个响应报文的时间。也就是说，交换一次请求/响应报文需要4个报文处理时间，2个网络延时。,11.2.4SNMPv1的实现问题,SNMPv1的局限性用户进行网络管理时要清楚SNMPv1本身的局限性。由于轮询的性能限制，它不适合管理很大的网络，轮询产生的大量管理信息传送可能引起网络响应时间的增加；它不适合检索大量的数据，例如检索整个表中的数据；它的自陷报文是没有应答的，管理站是否收到自陷报文，代理不得而知，这样可能丢掉很重要的管理信息；它只提供简单的共同体名认证，这样的安全措施是不够的；它的管理信息库MIB-2支持的管理对象有限，不足以完成复杂的管理功能；它不支持管理站之间的通信，而这一点在分布式网络管理中是很需要的。,11.2.5SNMPv2,最初的SNMPv2最大的特色是增加了安全特性，因此被称为安全版的SNMP。但是经过几年试用，没有得到厂商和用户的积极响应，并且也发现自身还存在一些严重缺陷。因此，在1996年正式发布的SNMPv2中，安全特性被删除。这样，SNMPv2对SNMPv1的改进程度便受到了很大的削弱。总的来说，SNMPv2的改进主要有以下3个方面：支持分布式管理；改进了管理信息结构（SMI）；增强了管理信息通信协议的能力。,11.2.5SNMPv2,SNMPv2提供了一个建立网络管理系统的框架。但网络管理应用，如故障管理、性能监测、计费等不包括在SNMPv2定义的范围内。也就是说SNMPv2提供的是网络管理基础结构。SNMPv2本质上是一个交换管理信息的协议。网络管理系统中的每个角色都维护一个与网络管理有关的MIB。,11.2.5SNMPv2,SNMPv2的配置例子在配置中至少有一个系统负责整个网络的管理，这个系统就是网络管理应用驻留的地方。管理站可以设置多个，以便提供冗余或分担大网络的管理责任。其他系统担任代理者角色。代理者收集本地信息并保存，以备管理者提取。,11.2.5SNMPv2,在SNMPv2消息中可以传送7类PDU：GetRequest：管理者通过代理获得对象的值；GetNextRequest：管理者通过代理获得对象的下一个值GetBulkRequest：管理者通过代理获得对象的N个值；SetRequest：管理者通过代理为对象设置值；Trap：代理向管理者传送自陷信息；InformRequest：管理者向代理传送通报信息；Response：代理对管理者的请求进行应答。,11.2.5SNMPv2,图SNMPv2PDU格式,11.2.6SNMPv3,IETFSNMPv3工作组于1998年1月提出了互联网建议RFC22712275，正式形成SNMPv3。这一系列文件定义了包含SNMPv1、SNMPv2所有功能在内的体系框架，包含验证服务和加密服务在内的全新的安全机制，同时还规定了一套专门的网络安全和访问控制规则。可以说，SNMPv3是在SNMPv2基础之上增加了安全和管理机制。,11.2.6SNMPv3,SNMP实体SNMP实体是体系结构的一个实现。每个SNMP实体都包含一个SNMP引擎、一个或多个应用。SNMP引擎为发送和接收消息、认证和加密消息、控制对被管对象的访问等提供服务。SNMP引擎与包含它的SNMP实体一一对应。引擎中包括分发器、消息处理子系统、安全子系统、访问控制子系统。,11.2.6SNMPv3,SNMPv3的安全机制与SNMPv1和SNMPv2相比，SNMPv3增加了三个新的安全机制：身份验证，加密和访问控制。访问控制模型完成访问控制功能，而安全模型则提供身份验证和数据保密服务。身份验证是指代理和管理站通信时，接到信息后首先必须确认对方是否有权，并且保证信息在传输过程中未被改变。加密的过程与身份验证类似，需要管理站和代理共享同一密钥来实现信息的加密和解密。,11.2.6SNMPv3,SNMPv3保持了SNMPv1和SNMPv2易于理解和实现的特性，同时还增强了网络管理的安全性能，提供了前两个版本欠缺的保密、验证和访问控制等安全管理特性。SNMPv3正在逐渐发展，新的MIB不断增加，应用范围也在继续扩大。SNMPv3是建立网络管理系统的有力工具，并将推动互联网不断发展。,11.2.7RMON,新的分布式结构、更高性能的应用和逐步发展的网络规模，都对网络管理解决方案的有效性产生了巨大的影响，有一种有效的低成本网络管理解决方案得到了广泛的接受，那就是远程网络监控（RemoteNetworkMonitoring，RMON）标准。IETF于1991年11月公布了RMONMIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。RMONMIB的目的在于使SNMP更为有效、更为积极主动地监控远程设备，提高传送管理信息的有效性、减轻管理站的负担、满足网络管理员监控网络性能的需求。从某种意义上说，RMON的出现为网络的分布式管理第一次提供了现实的可能性。,11.2.7RMON,RMON的目标RFC1271规范给出了下列针对RMON的设计目标：离线操作主动监视问题检测和报告提供增值数据多管理站操作,11.2.7RMON,RMON允许有多个监控者，它可以使用两种方法收集数据。第一种方法是通过专门的RMONProbe探测仪。网管站直接从RMON探测仪获取管理信息并控制网络资源，这种方式可以获取RMONMIB的全部信息，但实现成本较高；第二种方法是将RMONAgent植入网络设备（路由器、交换机、Hub等），使它们成为带RMONProbe功能的网络设施。网管站利用SNMP的基本命令与设备进行数据信息交换，收集网络管理信息。但这种方式受设备资源限制，一般不能获取RMONMIB的所有数据。该方法实现成本较低。,11.3网络管理技术的新发展,11.3.1网络管理技术的发展趋势11.3.2基于Web的网络管理11.3.3基于CORBA技术的网络管理11.3.4基于主动网的网络管理11.3.5基于专家系统的网络管理,11.3.1网络管理技术的发展趋势,传统网络管理技术的缺陷SNMP管理模式过于简单的鉴别和数据加密方法使得这种模式自身存在着严重的安全缺陷。SNMP协议是基于无连接的，从而有可能造成信息丢失，或需要较长时间才能锁定故障设备。MIB库种类繁多，MIB变量更是成千上万现有的网络管理系统都依赖于操作系统,11.3.1网络管理技术的发展趋势,随着计算机网络的发展，用户对网络管理的要求更加广泛、深入和智能化。网络管理的综合化网络管理的智能化网络管理的标准化,11.3.2基于Web的网络管理,基于Web的网络管理（WBM）模型是在内部网不断普及的背景下产生的。Intranet主要用于一个组织内部的信息共享，主要由Web服务器组建而成。Intranet用户通过简单、通用的操作界面Web浏览器可以在任何地点的任何网络平台上与服务器进行通信。WBM模型就是将Intranet技术与现有的网络管理技术相融合，为网络管理人员提供更具有分布性和实时性、操作更方便、能力更强的网络管理方法。,11.3.2基于Web的网络