重点十三-网络管理基本概念

1重点十三网络管理基本概念

网络管理的概念、功能、网络管理标准和网络管理模型简单网络管理协议SNMP概述、管理信息库、SNMP操作

到底什么是网络管理网络管理是指对网络的运行状态进行监视和控制，使其能够有效、可靠、安全、经济地提供服务。网络管理的目标根本目标是满足运营者及用户对网络的有效性、可靠性、开放性、综合性、安全性经济性的要求。网络管理的主要内容网络管理体系结构管理信息通信协议管理信息模型网络管理功能业务量控制路由选择网络自愈网络信息安全智能化网络管理SNMP（SimpleNetworkManagementProtocol）SNMP是为了管理TCP/IP网络提出来的模型，它的突出特点是简单、易于实现。几个重要概念:管理站代理管理信息库通信协议SNMPSNMP模型SNMP（SimpleNetworkManagementProtocol）模型包括4个组成部分：管理节点：运行SNMP管理进程，即SNMP代理（agent），维护本节点上的管理信息库（MIB）。管理站：其上运行管理器进程，通过与各管理节点上的SNMP代理的通信来管理管理节点。管理信息：表示代理管理的数据对象，所有的对象都存在一个叫管理信息库MIB（ManagementInformationBase）的数据结构中。管理协议：管理站使用管理协议（SNMP）与代理通信，该协议允许管理站查询代理的本地数据对象的状态，必要时做修改。SNMP管理模型的组成部分管理信息的结构（SMI）采用面向对象的技术，用被管对象的概念来描述被管理的资源。SMI（StructureofManagementInformation）定义了如何描述被管理的对象的规则，以及管理协议如何访问这些对象。被管理对象的描述必须按照抽象语法符号1（ASN.1，AbstractSyntaxNotationOne）进行编码。对象的标识SMI要求所有被管理的信息和数据都要由管理树来标识，将每个对象放在一棵管理树上的一个唯一的位置，管理树的分支和叶子是用数字和名字两种方式表示的。在管理树中从根通向一个节点或叶子的路径序列就构成了一个对象类型唯一的对象标识符（objectidentifier）。{iso(1)identified-organization(3)dod(6)internet(1)mgmt(2)mib-2(1)…}{136121…}{iso(1)3dod(6)121…}iso.ernet.mgmt.mib-2.2.1管理树抽象语法符号1——ASN.1ASN.1（AbstractSyntaxNotationOne）定义了一组用来描述OSI网络上所传输的数据结构规则。SNMP使用它作为管理对象的定义语言和编码规则。管理对象定义中用到的ASN.1的数据类型：通用类型子类型应用类型对象类型定义的5个字段对象：对象类型的文本名称，即对象描述符（objectdescriptor），以及在其后定义的对象标识符。语法：对象类型的抽象语法。可选择简单的语法（Integer、八位字节字符串、对象标识符、Null）或者应用语法（网络地址、计数器、标准（gauge）、TimeTick、Opaque）或者其他应用范围的类型。定义：对象类型语义的文本描述。访问：只读、读写、只写或者不可访问。状态：必须、可选或者过时（obsolete）。一个对象类型定义的例子OBJECT sysDescr{system1}Syntax OCTETSTRINGDescription

Thisvalueshouldincludethefullname andversionidentificationofthe system’shardwaretype,software operatingsystem,andnetworking software.Itismandatorythatthis containonlyprintableASCIIcharacters.Access read-onlyStatus MandatorySNMPv2对SNMPv1的改进支持分布式管理，SNMPv1采用的是集中式网络管理改进了管理信息结构，定义对象的宏中包含了一些新的数据类型。最重要的变化是提供了对表中行进行删除或建立操作的规范。增强了管理信息通信协议的能力，最重要的变化是增加了两个新的PDU(协议数据单元)。管理信息库MIBMIB定义了TCP/IP协议中每层管理的对象。MIB-II由11个组，共171个对象组成。组别对象号描述system(1)7名字、位置和设备描述interface(2)23网络接口和它们的测定通信量at(3)3地址转换（已废弃）ip(4)42IP分组统计icmp(5)26已收到ICMP消息的统计tcp(6)19TCP算法、参数和统计udp(7)6UDP通信量统计egp(8)20外部网关协议通信量统计（不再使用）cmot(9)CommonManagementOverTCP/IP（流产）transmission(10)0保留为与介质有关的MIBsnmp(11)29SNMP通信量统计SNMP协议管理站和代理进行对话的协议：管理站向代理发一个请求，向它索要（get）信息或命令（set）它以特定方式修改其状态。代理发回所要的信息或证实它已按要求修改了自己的状态。代理也可能发回错误报告。当管理节点发生重要事件时（很少），代理会主动向管理站发送称之为SNMP陷阱（trap）的报告。所有消息完整而独立地使用一个单独的UDP传输数据报。团体（community）是一个代理和多个管理站之间的一种认证、代理和访问控制关系。每个团体被赋予一个惟一的名字，管理站只能以代理认可的团体名行使其访问权。大多数设备都支持两个团体名：读团体名和写团体名。SNMP的报文格式包括三个部分：版本号：有三个有效版本，v1、v2、v3。团体名：用于身份认证。PDU有五种类型：GetRequest-PDU：请求获取一个特定对象的值。GetNextRequest-PDU：请求获取MIB的各个部分。SetRequest-PDU：请求修改或创建管理对象。GetResponse-PDU：对前三条操作的响应。Trap-PDU：代理向预置的管理站发送陷阱消息。SNMPv2和SNMPv3SNMPv2相对SNMPv1着重在管理信息结构、管理者之间的通信能力和协议操作3个方面进行了改进。保留了SNMPv1的报文封装格式，该版本被命名为基于团体名的SNMP（Community-basedSNMP），即SNMPv2c。SNMPv3是在SNMPv2基础上增加了安全和管理机制。远程网络监视RMONRMON（RemoteMonitoring）是对SNMP标准的重要补充，是简单网络管理向互联网管理过渡的重要步骤。RMON主要扩展了SNMP的管理信息库MIB-II，采用了一种主动式（或称预防式）的网络管理机制。网络管理系统NMSNMS（NetworkManagementSystem）是用来管理网络，保障网络正常运行的软件和硬件的有机组合，是在网络管理平台的基础上实现的各种网络管理功能的集合。功能：网络拓扑结构的自动发现；网络故障报告和处理；性能数据采集和可视分析工具；计费数据采集和基本安全管理工具。OSI定义的5个网络管理功能配置管理：目的是管理网络的建立、扩充、改造和提供性能管理：目的是维护网络服务质量和网络运营效率故障管理：目的是迅速发现和纠正网络故障，动态维护网络的有效性。安全管理：目的是提供信息的保密、认证和完整性保护机制。计费管理：目的是正确地计算和收取用户使用网络服务的费用，同时，计费管理还要进行网络资源利用率的统计和网络的成本效益核算。网络管理模型主要包括哪些内容OSI系统管理体系结构

公共管理信息协议

管理信息模型

被管理对象定义法

对象描述语言

被管对象定义例路由选择在网络管理中的作用在网络过负荷时，组织和选择迂回路由也是疏散业务量的有效手段对于分组转接网络来说，路由选择直接关系到全网的平均时延，合理选择路由也是避免网络时延过大进入死锁的关键路由选择控制，使网络具有对业务量及需求变化的适应性，可以有效到利用网络资源当业务量需求与网络资源间发生短时间不平衡时，路由选择控制可以进行临机处理网络管理专家系统的类型与主要作用有维护类、提供类和管理类提供网络监控、障碍修复、故障诊断，以保证网络的效率和可靠性辅助制定和实现灵活的网络发展规划辅助管理网络业务，当发生意外情况时辅助制定和执行可性的策略常用工具Windows2000/XP中的图形界面的工具snmputilg.exe，安装路径：support/tools/setup.exeLinux中的工具：snmpwalk：使用SNMP的GetNextRequest获取网络管理实体的管理信息。例：snmpwalk-v1

52public|more26重点十四网络安全基础知识可信计算机系统评估准则网络安全漏洞网络安全控制技术防火墙基本原理入侵检测系统的功能和基本原理漏洞扫描系统的功能和基本原理网络防病毒系统的功能和基本原理

CA中心建设的概念和基本原理容灾系统应急处理常用方法和技术

《DoD可信计算机系统评估准则》（即TrustedComputerSystemEvaluationCriteria，简称TCSEC，又称桔皮书）是由美国国防部（DoD）推出的安全标准;将计算机系统安全等级从低到高分为D，C（C1，C2），B（B1，B2，B3），A等七个安全级别，共27条评估准则。其中，D级是最低级别，称为“最小保护级别”，保留D级的目的是为了将一切不符合更高标准的系统，统统归于D级；27《DoD可信计算机系统评估准则》C1级代表着该系统只提供了非常初级的自主安全保护，称作“自主安全保护级别”；C2级则是安全产品的最低档次，提供受控的存储保护，即C1级的DAC进一步细化，以个人身份注册负责，并实施审计和资源隔离，称之为“受控的存储保护级别”；DAC:自主访问控制;MAC:强制访问控制《DoD可信计算机系统评估准则》《DoD可信计算机系统评估准则》B2级称为结构化保护，即建立形式化的安全策略模型并对系统内的所有主体和客体实施DAC和MAC；B3级称为安全域，该级必须满足访问监控器的要求，审计跟踪能力更强，并提供系统恢复过程；《DoD可信计算机系统评估准则》A1级称为验证设计，即提供B3级保护的同时给出系统的形式化设计说明和验证以确信各安全保护真正实现。网络安全漏洞是指由于网络本身的开放型和先天性等原因导致的网络系统中存在的某种形式的安全方面的脆弱性。这种脆弱性存在的直接后果是允许非法用户为经过授权获得访问和擅自改变自己的访问权限等。32常见的安全漏洞（1）网络传输和协议设计中存在的漏洞；（2）系统本身的bug或配置上的漏洞；（3）管理漏洞等。安全漏洞可以分为不同的级别，如可分为高、中、低等三个级别。常用网络漏洞扫描技术主机探测技术（HostDiscoveryTechniques）、资源探测技术（ResourceDiscoveryTechniques）、服务探测技术等。35网络安全访问控制借助Lampson提出的访问矩阵（AccessMatrix）（或其另两种形式，即访问控制表ACL或访问能力表CL）和路由器来配合完成的。在访问控制矩阵中，行表示被访问对象，即客体；列表示访问者，即主体。访问者对访问对象的权限就是存放在矩阵中对应的交叉点上。网络安全访问控制根据客体粒度的大小不同，访问控制可分为粗粒度（CoarseGrained）和中粒度（MediumGrained）访问控制两种，其中所谓的粒度的粗细都是相对而言的。路由器是一种访问控制点，它负责处理内部子网中每个流入和流出的包。在内部子网环境下，可以有效的使用ACL来限制某些通信流，例如只允许某些主机（地址）访问该内部网络子网。但是如果在规模大的网络中，过虑普通流量，路由器不如防火墙管用。防火墙是指在受保护网（一般指“内部网”）与不太可信的网（一般指“外网”）之间对所有通信进行过虑的技术。路由器的主要功能是寻址或路由选择，而防火墙的主要功能是过虑。37一个好的防火墙应具备以下特征：（1）能够保证内部和外部网之间的所有网络数据流必须经过这个防火墙。（2）只有符合安全策略的数据流才能通过这个防火墙。（3）防火墙自身应对渗透免疫。38防火墙的类型包过虑网关或屏蔽路由器状态审查防火墙应用代理个人防火墙等。40入侵检测系统网络管理员可以借助入侵检测系统（intrusionDetectionSystem，简称IDS）来发现攻击，发现的时机可以是在攻击的开始、进行过程中或者攻击发生以后对攻击进行检测。入侵检测系统是指一种安置在受保护网络内部的设备，用来监视内部网络中的活动来识别恶意的或可疑的事件。入侵检测系统的功能监视用和和系统活动；审计系统配置中存在的弱点和错误配置；评估关键系统和数据文件的完整性；识别系统活动中存在的已知攻击模式；通过统计分析识别不正常活动；管理审计跟踪，当用户违反策略或正常活动时，给出警示；纠正系统配置错误等。）。入侵检测系统的类型基于签名的IDS启发式IDS。入侵检测系统的问题一种是误报（指对非真正攻击报警），另一种是漏报（指对真正的攻击不报警CA中心（即数字证书认证中心CertificateAuthority）是网络上的一种权威公正的第三方机构，主要负责数字证书的颁发、更新、查询、作废和归档等任务。

44CA中心（即数字证书认证中心CertificateAuthority）体系结构CA中心常采用一种多层次的分级树型结构，即（1）根CA中心具有一个自签名的证书；（2）根CA中心依次对它下面的CA中心进行签名；（3）层次结构中的叶子节点上的CA中心用于对个体进行签名；（4）对于个体而言，它需要信任根CA中心就行了，中间的CA可以不必关心（透明的），同时它的数字证书是由底层的CA中心签发的。45CA中心（即数字证书认证中心CertificateAuthority）的核心技术数字证书的核心技术就是公钥体制在通信过程中，信息接受方利用私钥进行解密和签名；信息发送方运用公钥来进行加密和验证签名。通过数字证书的手段保证了加密过程的不可逆型，即只有用私钥才能解密，例如常见RSA体制。数字签名是指用户采用自己私钥对信息加以处理的过程。

4647容灾系统“灾难