安全网管技术网络管理系统及SNMP协议

1、安全网管技术网络管理系统及安全网管技术网络管理系统及SNMP协议协议1参考资料参考资料p计算机网络管理系统设计与应用，白英彩等，清华大学出版社pCisco Networkers 2003文档p/james/cw2003/index.xmlp/james/cw2003/NMS-1001.pdf23Service Design & Management SolutionsConfiguration & Change Management SolutionsResource & Performance Management So

2、lutionsSystems & Applications Management SolutionsNetwork Management SolutionsBackup & Storage Management SolutionsDesktop & Software Management SolutionsService Level Planning & ManagementDesktop & SoftwareManagementOperations & AvailabilityManagementConfigurationManagementChangManagementIT Service

3、 Management3.1 网络管理概述网络管理概述l网络管理历史网络管理历史p网络管理与电信网络的历史一样长，接线员能进行有限的管理p随着程控交换机的引入，越来越多p计算机网络的管理伴随ARPANET产生p早期的ARPANET、SNA、DNA、AppleTalk等的管理系统专用，不开放p80年代提出了多种网络管理方案4网络管理历史网络管理历史l1988年年IAB(Internet Activities Board)制定了制定了Internet管理的发展策略管理的发展策略:pSGMP作为短期方案，最终采用CMIS/CMIPl推出了推出了SNMP(Simple Network Manageme

4、nt Protocol)和和CMOT(CMIP/CMIS on TCP/IP)l1990年正式发布年正式发布SNMP，1993年发布年发布SNMPv2lSNMP已经成为网络管理事实上的工业标准已经成为网络管理事实上的工业标准5网络管理系统的功能特点网络管理系统的功能特点l一个网络管理工具，应具备以下特点一个网络管理工具，应具备以下特点p发现网络拓扑结构和网络配置 自动发现和手工修改p智能监控 理解网络结构的内在依赖管理，报告出现的问题p控制程度 设置设备重要等级，对不同等级的告警信息采取不同处理p灵活性 可定制6网络管理系统的功能特点（网络管理系统的功能特点（2）l多厂商集成多厂商集成p管理不

5、同厂商的设备，包含不遵循SNMP协议的l存取控制存取控制p不同的用户访问权限可以区分l用户友好用户友好p方便管理员使用l编程接口编程接口p可以灵活扩展功能l报告生成报告生成p按照管理员的要求，生成各种报表7常见网络管理系统常见网络管理系统lHP OpenViewp第一个网络管理系统，最初是一个平台，现在是可以给最终用户的产品，得到第三方的广泛支持pHP Openview Node Management特点： 自动发现网络拓扑 性能分析 故障告警 多厂商支持8常见网络管理系统（常见网络管理系统（2）lCisco WorkspCisco 公司开发的网络管理应用，可以集成在网络管理平台上运行p针对C

6、isco产品设计，管理这些设备更方便p功能： 配置管理 保存配置文件历史，可以比较、分析配置文件内容 9网络管理的意义和发展网络管理的意义和发展 随着网络的不断推广和应用，人们对网络的依赖越来随着网络的不断推广和应用，人们对网络的依赖越来越大，网络越来越重要。越大，网络越来越重要。 当前计算机网络发展特点：当前计算机网络发展特点： 规模不断扩大 复杂性不断增加 网络异构性（多厂商设备）越来越高 网络管理系统能给网络管理员提供良好的信息来源，网络管理系统能给网络管理员提供良好的信息来源，减少网络故障，缩短网络失效时间，最大程度发挥网减少网络故障，缩短网络失效时间，最大程度发挥网络的作用。络的作用

7、。10网络管理定义和模型网络管理定义和模型l网络管理主要是关于规划、监督、设计和控制网络资源的使用网络管理主要是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。和网络的各种活动。l网络管理模型：网络管理模型：p功能模型p体系结构模型p信息模型p组织模型11功能模型功能模型lISO 在在 ISO/IEC7498-4中定义了网络管理的五大功能：中定义了网络管理的五大功能：p故障管理 包括故障检测、隔离和纠正三方面p计费管理 记录网络资源的使用，控制和检测网络操作的费用和代价，对商用网络尤为重要p配置管理 配置网络12功能模型功能模型l性能管理性能管理p估计系统资源的运行状况及通信效率。l

8、安全管理安全管理p包括对授权机制、访问控制、加密和密钥的管理。13体系结构模型体系结构模型l体系结构模型描述了实体的一般结构，实体间接口及其通信方体系结构模型描述了实体的一般结构，实体间接口及其通信方法。主要涉及远程通信网的管理。法。主要涉及远程通信网的管理。14信息模型信息模型l实现被管虚拟资源、软件及物理设备的逻辑表示。实现被管虚拟资源、软件及物理设备的逻辑表示。l多采用面向对象的方法定义网络管理信息。多采用面向对象的方法定义网络管理信息。lSNMP中，网络管理信息是面向属性的，更注重简单性和可扩中，网络管理信息是面向属性的，更注重简单性和可扩展性。采用展性。采用ISO的抽象语法表示语言的

9、抽象语法表示语言(ASN.1)表示。表示。15组织模型组织模型l包括管理者、代理者的概念，管理实体间的通信方法。包括管理者、代理者的概念，管理实体间的通信方法。1617管理信息库代理管理信息库代理网络管理系统管理者典型网络管理体系结构组织模型管理信息库代理被管设备单个设备结构单个设备结构l管理方式：管理方式：pCLI 命令行 Command Line 最直接，原始的管理方式，能控制设备的基本状态 各个厂商的格式不同 有的产品，CLI实现了管理的所有功能p专有GUI管理程序 设备专用的管理程序pWEB www方式管理 简单，往往只有部分管理功能pSNMP 基于网络管理系统 往往只有部分管理功能1

10、8单个设备结构（单个设备结构（2）lIn-band带内管理带内管理p管理信息流跟普通网络数据一起传输p受普通网络数据的影响lOut-band带外管理带外管理p独立的管理信息流19单个设备结构单个设备结构(3)l入口：入口：p控制口（串口） 只能使用CLI，所有情况下可用 多数提供MODEM接口 重要设备需要提供远程控制口管理p单独的管理网络接口 Out-band管理p普通网络接口 In-band管理 telnet/ssh/SSL20单个设备结构（单个设备结构（4）l远程控制口远程控制口p拨号p反向telnet(Cisco专用)21AccessRouter设备设备设备设备管理专用网络RS232单

11、个设备结构（单个设备结构（5）lCLI 命令行命令行 Command LinelWEB www方式管理方式管理22配置信息SNMP代理CLI/WEB配置信息SNMP代理CLI/WEB网络管理资源的表示网络管理资源的表示l用用“被管理对象被管理对象”(Managed Object)表示网络中的资源表示网络中的资源lCMIP定义封装了被管理对象定义封装了被管理对象p被管理对象的属性 数据类型，是否可写p被管理对象的行为 可能的操作p被管理对象的通知 特定事件发生时所发出的通知23MIB管理信息库管理信息库l被管理对象概念上的集合称为管理信息库被管理对象概念上的集合称为管理信息库(MIB，Manag

12、ement Information Base)lSNMP的的MIBp1988年MIB (RFC 1156)p1990年MIB II (RFC 1158)pIAB鼓励厂商针对自己的产品定义自己的MIB，然后以RFC文档的方式公布，以便该产品被网络管理系统支持，保证系统的易扩充性p过多的MIB定义加大了网络设备的负担 很多设备可以设定启用哪些MIB24网络管理系统构成网络管理系统构成p一个网络管理系统不一定包含网络管理的所有功能p四个部分组成： 多个被管代理（Managed Agent） 至少一个网络管理者（Network Manager） 一个通用的网络管理协议（Network Manageme

13、nt Protocol） 一个或多个管理信息库(MIB)25网络管理者（网络管理者（Network Manager）l实施网络管理的处理实体，驻留在管理工作站上。实施网络管理的处理实体，驻留在管理工作站上。l是整个网络系统的核心，完成复杂网络管理的各项功能。如排是整个网络系统的核心，完成复杂网络管理的各项功能。如排除网络故障，配置网络等。除网络故障，配置网络等。26被管代理（被管代理（Managed Agent）l驻留在被管设备上，网络管理的处理实体。驻留在被管设备上，网络管理的处理实体。l负责跟网络管理者通信，执行网络管理者的指令，或在特定事负责跟网络管理者通信，执行网络管理者的指令，或在特

14、定事件发生时通知网络管理者。件发生时通知网络管理者。l监视所在网络设备的工作状况，收集有关网络信息。监视所在网络设备的工作状况，收集有关网络信息。l被管代理一般有多个，分别位于网络中的各个设备上。被管代理一般有多个，分别位于网络中的各个设备上。27网络管理协议（网络管理协议（Network Management Protocol）l描述了管理者和被管代理之间数据通信机制。描述了管理者和被管代理之间数据通信机制。l网络管理标准主要制定的内容就是网络管理协议。网络管理标准主要制定的内容就是网络管理协议。l定义管理者和被管代理之间的数据报文种类和格式；定义管理定义管理者和被管代理之间的数据报文种类和

15、格式；定义管理信息库的数据库格式。信息库的数据库格式。28管理信息库（管理信息库（MIB）l存储在被管理设备的存储器中。存储在被管理设备的存储器中。l一个动态刷新的数据库，包括设备的配置信息、数据通信的统一个动态刷新的数据库，包括设备的配置信息、数据通信的统计信息、安全性信息和设备特有信息。计信息、安全性信息和设备特有信息。29集中与分布式的网络管理系统集中与分布式的网络管理系统l集中式：集中式：p简单，易于实现p不适应大规模网络管理l分布式：分布式：p复杂p多层管理者p某些管理者会被高一层的管理者所管理p适应大规模网络管理303.2 TCP/IP网络管理体系结构网络管理体系结构lIAB制订了

16、制订了TCP/IP网络管理体系结构网络管理体系结构l三部分内组成三部分内组成p基于TCP/IP的管理信息结构(SMI)p基于TCP/IP的管理信息库(MIB)pSNMP网络协议3132333435基于基于TCP/IP的管理信息结构的管理信息结构(SMI)l网络管理应用通过对网络管理应用通过对MIB中网络管理对象的读取和设置来实现中网络管理对象的读取和设置来实现对网络设备的管理和监控。对网络设备的管理和监控。lMIB对象的定义符合对象的定义符合ISO ASN.1语言。语言。l对象类型的定义有对象名称、对象语法和对象编码。对象类型的定义有对象名称、对象语法和对象编码。36对象名称对象名称l标示一个

17、对象。标示一个对象。lASN.1按照对象的注册关系定义对象的标示符，它是按照对象的注册关系定义对象的标示符，它是一个整行数序列。一个整行数序列。l在注册关系树的在注册关系树的Internet子树下有四个节点：子树下有四个节点：lDirectory OBJECT IDENTIFIER := internet 1lMgmt OBJECT IDENTIFIER:=internet 2 lExperimental OBJECT IDENTIFIER:=internet 3lPrivate OBJECT IDENTIFIER:=internet 43738对象名称对象名称lDirectory(1.3.6

18、.1.1)子树为子树为Internet中的中的OSI体系结构保留体系结构保留lMgmt(.2)子树用于标示正式批准的子树用于标示正式批准的RFC中定义的对象中定义的对象lExperimental(.3)子树用于标示正在进行试验的对象子树用于标示正在进行试验的对象lPrivate(.4)子树用于标示各个网络设备厂商定义的对象子树用于标示各个网络设备厂商定义的对象39对象语法对象语法l定义对象的结构定义对象的结构lASN.1定义了四种基本对象语法类型：定义了四种基本对象语法类型：pINTEGER 整数（ASN.1不限制，但是MIB定义为0-4G)pOCTE

19、T STRING 字符串pOBJECT IDENTIFIER 对象标示符pNULL40对象语法（对象语法（2）l构造语法类型构造语法类型 SEQUENCE (序列序列)pSEQUENCE , , p为4种基本类型l支持应用语法类型（支持应用语法类型（Application-wide syntax type）定义定义pIPADDRESS 长度为4的OCTET STRINGpCOUNTER 计数器，非负INTEGERpGAUGE 累加器，非负INTEGERpTIMETICKS 厘秒计时器，非负INTEGER41对象编码对象编码l采用采用ASN.1基本编码规则基本编码规则42TCP/IP的的MIBl

20、IAB定义了定义了2个个SNMP MIB：pMIB I(RFC1156)pMIB II (RFC1213)43对象定义格式对象定义格式l对象类的定义包括以下域：对象类的定义包括以下域：p对象域 文本形式的对象描述符合对象标示符组成p对象语法域 ASN.1定义的对象类的抽象语法p对象定义 对象语义的说明p对象访问权限 Read-only, read-write, write-only, not-accessablep状态域 强制(mandatory) 当前(current) 过期（deprecated）44例子例子/接口接收数据接口接收数据lifInOctets OBJECT-TYPEl SYN

21、TAX Counter32l MAX-ACCESS read-onlyl STATUS currentl DESCRIPTION The total number of octets received on the interface, including framing characters. Discontinuities in the value of this counter can occur at re-initialization of the management system, and at other times as indicated by the value of ifCounterDiscontinuityTime.l := ifEntry 10 4546对象组对象组lSystem 组定义网络设备系统描述和硬件、软件类型组定义网络设备系统描述和硬件、软件类型lInterface 组定义设备网络端口描述、运行情况和通组定义设备网络端口描述、运行情况和通信量信量lAddress Translation定义网络地址到物理地址的映定义网络地址到物理地址的映射表（即射表（即ARP表）表）lIP组描述了与设备组描述了与设备IP层有关的信息层有关的信息lICMP组描述了组描述了ICMP输入输出统计信息输入输出统计信息lTCP/UDP/EGP/SNMP组分别描