网络管理与维护-第五版 课件 -项目3 网络管理协议及实训环境搭建

网络管理与维护课程导学-目录网络管理与维护项目教程3项目342项目2项目465项目5项目11项目6网络管理与维护基础传输链路管理与维护网络管理协议及实训环境搭建交换机管理与维护路由器管理与维护网络安全管理与维护项目3网络管理协议及实训环境搭建2.1项目背景SNMP协议是目前最为流行的网络管理协议之一，各个主流设备厂商的产品几乎都支持SNMP协议，因此SNMP协议为异构环境的网络提供了统一监控和管理的标准和接口，使得网络运维管理人员可以通过统一的网络监控管理平台运维整个网络，极大的提升了网络运维的效率。为了让所有读者能都搭建合适的实训环境来完成本书的实训操作，也为了便于积累并分享成功的网络管理与运维经验，同时降低读者实训实验的成本，本项目将集中向读者介绍如何搭建支持SNMP协议的网络管理与运维的模拟环境，开启探索网络运维管理的新旅程。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议1.SNMP基本结构SNMP系统包括网络管理系统NMS（NetworkManagementSystem）、代理进程Agent、被管对象Managementobject和管理信息库MIB（ManagementInformationBase）四部分组成，如图3-1所示。图3-1SNMP系统组成结构项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议(1)网络管理系统NMS。NMS作为整个网络的网管中心，对设备进行管理。(2)代理Agent。每个被管理设备中都包含驻留在设备上的Agent进程，用于维护被管理设备的信息数据并响应来自NMS的请求，把管理数据汇报给发送请求的NMS。(3)管理对象。被管理的设备上包含多个管理对象，如CPU、内存、板卡、路由协议等。(4)管理信息库MIB。MIB是一个数据库，指明了被管理设备所维护的变量（即能够被Agent查询和设置的信息）。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议2.SNMP报文结构(1)SNMPv1和SNMPv2c报文结构SNMP报文结构如图3-2所示。图3-2SNMP报文结构项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议(1)SNMPv1和SNMPv2c报文结构版本号：表示SNMP的版本，如果是SNMPv1报文则对应字段值为0，SNMPv2c则为1。团体名：用于在Agent与NMS之间完成认证，字符串形式，用户可自行定义。团体名包括“可读”和“可写”两种，执行GetRequest、GetNextRequest操作时，采用“可读团体名”进行认证；执行Set操作时，则采用“可写团体名”认证。SNMPPDU：包含PDU类型、请求标识符、变量绑定列表等信息。SNMPPDU包括GetRequestPDU、GetNextRequestPDU、SetRequestPDU、GetResponsePDU和TrapPDU几种类型。SNMP各个PDU对应操作的具体功能见表3-1。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议表3-1SNMPPDU操作及功能描述操作名称功能描述GetGet操作可以从Agent中提取一个或多个参数值。GetNextGetNext操作可以从Agent中按照字典序提取下一个参数值。SetSet操作可以设置Agent的一个或多个参数值。GetResponseResponse操作可以返回一个或多个参数值。这个操作是由Agent发出的，它是GetRequest、GetNextRequest、SetRequest和GetBulkRequest四种操作的响应操作。Agent接收到来自NMS的Get/Set指令后，通过MIB完成相应的查询/修改操作，然后利用Response操作将信息回应给NMS。TrapTrap信息是Agent主动向NMS发出的信息，告知管理进程设备端出现的情况。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议(2)SNMPv3报文结构1998年IETF发布了SNMPv3，SNMPv3最显著的特点就在前面两个版本的基础之上增加了安全性，尤其是采用了用户安全模块USM（UserSecurityModel）和基于视图的访问控制模块VACM（View-basedAccessControlModel），使得SNMP安全性上得到了提升。USM提供身份验证和数据加密服务。实现这个功能要求NMS和Agent必须共享同一密钥。身份验证是指Agent或NMS接到信息时首先必须确认信息是否来自有权限的NMS或Agent并且信息在传输过程中未被改变。HMAC是一种使用安全哈希函数和密钥来产生信息验证码的有效工具，在互联网中得到了广泛的应用。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议VACM：对用户组或者团体名实现基于视图的访问控制。用户必须首先配置一个视图，并指明权限。用户可以在配置用户或者用户组或者团体名的时候，加载这个视图达到限制读写操作或Trap的目的。SNMPv3报文结构如图3-3所示。图3-3SNMPv3报文结构项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议版本：表示SNMP的版本，SNMPv3报文则对应字段值为2。报头数据：主要包含消息发送者所能支持的最大消息尺寸、消息采用的安全模式等描述内容。安全参数：包含SNMP实体引擎的相关信息、用户名、认证参数、加密参数等安全信息。ContextEngineID：SNMP唯一标识符，和PDU类型一起决定应该发往哪个应用程序。ContextName：用于确定ContextEngineID对被管理设备的MIB视图。SNMPv3PDU：包含PDU类型、请求标识符、变量绑定列表等信息。其中SNMPv3PDU包括GetRequestPDU、GetNextRequestPDU、SetRequestPDU、GetResponsePDU、TrapPDU和GetBulkRequestPDU。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议3.SNMP工作机制SNMPv1、SNMPv2c和SNMPv3工作的机制和流程基本一致，唯一的区别是SNMPv3增加了身份验证和加密处理。SNMP工作机制具体如图3-4所示。图3-4SNMP工作机制项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议(1)NMS想要获取被管理设备MIB节点sysContact的值，使用可读团体名为public，过程如下所示：NMS：向Agent发送Get请求报文。报文中各字段的设置如下：版本号为所使用的SNMP版本；团体名为public；PDU中PDU类型为Get类型，绑定变量填入MIB节点名sysContact。Agent：首先对报文中携带版本号和团体名进行认证，认证成功后，Agent根据请求查询MIB中的sysContact节点，得到sysContact的值并将其封装到GetResponse报文中的PDU，向NMS发送响应；如果查询不成功，Agent会向NMS发送出错响应。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议(2)Next操作假定NMS想要获取被管理设备MIB节点sysContact的下一个节点sysName值，使用可读团体名为public，过程如下所示：NMS：向Agent发送GetNext请求报文。报文中各字段的设置如下：版本号为所使用的SNMP版本；团体名为public；PDU中PDU类型为GetNext类型，绑定变量填入MIB节点名sysContact。Agent：首先对报文中携带版本号和团体名进行认证，认证成功后，Agent根据请求查询MIB中的sysContact的下一个节点sysName，得到sysName的值并将其封装到GetResponse报文中的PDU，向NMS发送响应；如果查询不成功，Agent会向NMS发送出错响应。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议(3)Set操作假定NMS想要设置被管理设备MIB节点sysName的值为HUAWEI，使用可写团体名为private，过程如下所示：NMS：向Agent发送Set请求报文。报文中各字段的设置如下：版本号为所使用的SNMP版本；团体名为private；PDU中PDU类型为Set类型，绑定变量填入MIB节点名sysName和需要设置的值HUAWEI。Agent：首先对报文中携带版本号和团体名进行认证，认证成功后，Agent根据请求设置管理变量在管理信息库MIB中对应的节点，设置成功后向NMS发送响应；如果设置不成功，Agent会向NMS发送出错响应。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议(4)Trap不属于NMS对被管理设备的基本操作，它是被管理设备的自发行为。当被管理设备达到告警的触发条件时，会通过Agent向NMS发送Trap消息，告知设备侧出现的异常情况，便于网络管理人员及时处理。例如被管理设备热启动后，Agent会向NMS发送warmStart的Trap。这种Trap信息是受限制的。只有在设备端的模块达到模块预定义的告警触发条件时，Agent才会向管理进程报告。这种方法有其好处是仅在严重事件发生时才发送Trap信息，减少报文交互产生的流量。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议(5)GetBulk操作基于GetNext实现，相当于连续执行多次GetNext操作。在NMS上可以设置被管理设备在一次GetBulk报文交互时，执行GetNext操作的次数。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议4.管理信息库MIB结构SNMP的管理信息库采用和域名系统DNS相似的树型结构，它的根在最上面，根没有名字。如图3-5所示的是管理信息库的一部分，它又称为对象命名树。每个OID（objectidentifier，对象标识符）对应于树中的一个管理对象，如system的OID为.2.1.1，interfaces的OID为.2.1.2，ipInReceives的OID为.。图3-5MIBOID树结构项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.1网络管理协议通过OID树，可以高效且方便地管理其中所存储的管理信息，同时也方便了对其中的信息进行批量查询。特别地，当用户在配置Agent时，可以通过MIB视图来限制NMS能够访问的MIB对象。MIB视图实际上是MIB的子集合。在MIB-2的基础上各大设备厂商分别自定义了符合各自设备的私有MIBOID，如华为私有OID为2011。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.2eNSP模拟器1.eNSP模拟器的介绍eNSP(EnterpriseNetworkSimulationPlatform)是一款由华为公司提供的免费的、可扩展的、图形化的网络设备仿真平台，主要对企业网络的路由器、交换机、WLAN、防火墙等设备进行软件仿真，完美呈现真实设备部署场景，支持大型网络模拟，同时平台模拟的设备能较好地支持SNMP协议。eNSP模拟器主要功能特色如下：（1）图形化操作。（2）高仿真度。（3）可与真实设备对接。（4）支持分布式部署。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.2eNSP模拟器eNSP(EnterpriseNetworkSimulationPlatform)是一款由华为公司提供的免费的、可扩展的、图形化的网络设备仿真平台，主要对企业网络的路由器、交换机、WLAN、防火墙等设备进行软件仿真，完美呈现真实设备部署场景，支持大型网络模拟，同时平台模拟的设备能较好地支持SNMP协议。eNSP模拟器主要功能特色如下：（1）图形化操作。（2）高仿真度。（3）可与真实设备对接。（4）支持分布式部署。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.2eNSP模拟器2.eNSP模拟器参考部署环境（1）部署主机物理环境：4核CPU，主频3.2GHz，内存8GB，硬盘不小于100GB。（2）部署主机操作系统环境：Windows764位操作系统（3）eNSP模拟器软件的版本：V100R003C00版本（4）eNSP模拟器部署依赖软件的版本：WinPcap4.1.3，Wireshark3.2.5，

VirtualBox5.2.30特别说明，eNSP安装前需要预先安装WinPcap、Wireshark和VirtualBox三款软件，否则将会影响eNSP部分功能的使用。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.3eSight运维管理平台1.eSight平台的介绍eSight是集华为、华三和思科路由器、交换机、防火墙、WLAN设备、通用服务器、VM和应用等于一体的故障与性能监控管理平台，它通过SNMP协议监控和管理多种设备，可以协助运维管理人员提升运维管理效率，实时检测网络故障，排除故障并防止停机。eSight主要功能特色:(1)具有实时网络监控。(2)物理与虚拟服务器监控。(3)基于阈值的监控。

(4)灵活的无线网络监控。(5)具备智能报表功能。(6)易于安装和设置。项目3网络管理协议及实训环境搭建3.2项目知识准备3.2.3eSight运维管理平台2.eSight平台参考部署环境（1）部署主机物理环境：4核CPU，主频3.2GHz，内存16GB，硬盘不小于100GB。（2）部署主机操作系统环境：Windowsserver2008R2操作系统（3）eSight平台软件版本：V300R003C20版本项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器步骤1从华为官网上下载eNSP模拟器安装软件，双击安装程序开始安装，出现“选择安装语言”对话框，默认安装语言为“中文（简体）”，保持默认值，单击“确定”按钮，如图3-6所示。图3-6启动eNSP安装项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器步骤2在弹出的“许可协议”对话框中，选中“我愿意接受此协议”，单击“下一步”按钮，如图3-7所示。图3-7选择许可协议项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器步骤3在弹出的“选择目标位置”对话框中，单击“浏览”按钮，选择eNSP安装路径，注意安装路径不能有中文字符，选择好安装路径后，单击“下一步”按钮，如图3-8所示。图3-8选择安装路径项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器步骤4如图3-9所示，在弹出的“选择安装其他程序”对话框中，会提示预安装软件信息，如您系统没有安装eNSP所依赖的WinPcap、Wireshark和VirtualBox三款软件，安装程序建议您预先进行安装，点击“下一步”按钮，然后在弹出的“准备安装”对话框中选择“安装”按钮，程序执行安装。图3-9依赖软件检测及安装执行项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器步骤5安装程序执行完毕，桌面将出现eNSP图标，双击图标运行eNSP模拟器，模拟器界面如图3-10所示。图3-10eNSP界面项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器eNSP界面主要功能区域及功能组件见表3-9。表3-9eNSP界面主要功能序号区域名简要描述1主菜单提供“文件”、“编辑”、“视图”、“工具”、“考试”、“帮助”菜单。2工具栏提供常用的工具，如新建拓扑、打印等。3网络设备区提供设备、终端、桥接工具和线缆，供选择到工作区。4工作区在此区域创建网络拓扑。5设备接口区显示拓扑中的设备和设备已连接的接口。项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器3、运行eNSP并创建网络设备(1)创建并启动路由器、交换机和WLAN设备①创建路由器设备如图3-11所示，从“1”所示网络设备区单击选中路由器图标，“2”所示设备展示区将展示eNSP当前版本支持的所有路由器设备，单击选中一款路由器设备，“3”所示区域列出所选的设备物理特性，如支持的接口类型和数量。按住鼠标左键将选中设备拖拽至工作，松开鼠标左键则设备创建完毕。图3-11运行路由器项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器3、运行eNSP并创建网络设备②启动路由器设备如图3-12所示，右击设备选择“启动”，然后双击设备打开设备命令行界面，可以看到设备启动过程，出现“<Huawei>”命令行提示符，说明设备启动成功。图3-12路由器启动项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器3、运行eNSP并创建网络设备(2)运行USG6000V防火墙防火墙USG6000V设备创建过程与通用的网络设备创建过程基本一致，但是USG6000V启动过程略有不同。右击创建好的USG6000V选择“启动”，弹出“导入设备包”对话框，单击对话框“浏览”按钮，导航到USG6000V镜像文件所在目录并选择与当前eNSP版本同步发布的USG6000V镜像文件（镜像文件名称vfw_usg.vdi），如图3-13所示。图3-13USG6000V启动项目3网络管理协议及实训环境搭建3.3项目实施任务3-1部署eNSP模拟器3、运行eNSP并创建网络设备再次右击USG6000V设备选择“启动”，然后双击USG6000V设备，在弹出的命令行界面可以看到设备启动过程，如图3-14所示，启动成功则出现英文提示符要求用户输入用户名和密码。USG6000V默认用户名admin，密码Admin@123。图3-14USG6000V命令行登录界面图3-14USG6000V命令行登录界面项目3网络管理协议及实训环境搭建3.3项目实施任务3-2部署eSight运维管理平台步骤1双击打开eSight安装软件，启动安装程序，弹出“选择安装语言”对话框，默认安装语言为“中文”，保持默认值，单击“确定”按钮，如图3-15所示。图3-15启动eSight安装项目3网络管理协议及实训环境搭建3.3项目实施任务3-2部署eSight运维管理平台步骤2安装程序将进行eSight安装前的系统兼容性检查，弹出对话框中显示“检查通过”，则单击“下一步”按钮，如图3-16所示。图3-16eSight环境兼容性检查项目3网络管理协议及实训环境搭建3.3项目实施任务3-2部署eSight运维管理平台步骤3在弹出的“版权声明”对话框中，勾选“我同意”单选按钮，然后单击“下一步”按钮，如图3-17所示。图3-17选择许可协议项目3网络管理协议及实训环境搭建3.3项目实施任务3-2部署eSight运维管理平台步骤4在弹出的“安装参数”对话框中，输入eSight网管IPv4地址、网管端口，选择安装路径和加密算法，如果选择的安装目录不存在，软件将自动创建并提示，然后单击“下一步”按钮，如图3-18所示。图3-18设置eSight参数项目3网络管理协议及实训环境搭建3.3项目实施任务3-2部署eSight运维管理平台步骤5在弹出的“请选择需要安装的组件”对话框中，选中需要安装的组件。生产环境下根据购买的授权选择安装的组件，演示中选择全部组件进行安装，然后单击“下一步”按钮，如图3-19所示。图3-19选择安装的组件项目3网络管理协议及实训环境搭建3.3项目实施任务3-2部署eSight运维管理平台步骤6在弹出的“数据库服务配置”对话框中，“数据库类型：”选择“MySQL”，，输入数据库系统管理员和数据库网管用户密码，默认密码为：Changeme123；“数据库文件路径：”保持默认值，然后单击“下一步”按钮，如图3-20所示。图3-20数据库服务配置项目3网络管理协议及实训环境搭建3.3项目实施任务3-2部署eSight运维管理平台步骤7在弹出的“安装信息确认”对话框中，读者再次核对软件安装信息，无误后，单击“下一步”按钮，如图3-21所示，然后安装程序自动执行安装。图3-21安装信息确认项目3网络管理协议及实训环境搭建3.3项目实施任务3-2部署eSight运维管理平台步骤8在弹出的“安装完毕”对话框中，选中“启动eSight服务”复选框，然后单击“完成”按钮，启动eSight后台服务，如图3-22所