网管与安全4.ppt

1、计算机网络管理与安全技术,第4章：网络管理系统与RMON规范,网络管理系统（NMS）： 提供一组能够帮助网络有效运行的自动化网络管理系统工具。 网络管理员对网络的管理水平在很大程度上依赖于这组工具的能力。 网络管理软件可能位于主机内，也可以位于传输设备内。 一个网络管理系统可以提供五种网络管理功能，并提供图形化的用户界面。 简单的网络管理系统则可以完成一部分或某一方面的网络管理功能。,4.1 网络管理系统的结构,从服务功能构成：硬件、操作系统、内核应用服务、通用SNMP服务和厂商专用NMS服务。 从实现模式上：单机管理模式、分级管理模式、主从管理模式、客户机管理模式以及浏览器管理模式。,4.1

2、.1 服务功能结构,4.1.1 服务功能结构,网络管理系统5个层次的功能结构表明：网络管理系统是建立在计算机硬件和操作系统平台之上，同时要有像GUI和数据库管理系统这样的应用服务模型。 第四层为通用SNMP服务，它包括翻译和产生SNMP MIB及报文的管理进程。完成各种网络管理功能的请求。 第五层是专用网络管理服务。每一个通信设备的制造商都有其专门的硬件和软件用以对其设备进行配置。因此，厂商有其自己的NMS,管理模式可以用于根据管理网络的规模和管理业务的流程组成灵活的管理系统 单机管理模式,4.1.2 管理模式结构,2. 分级管理模式 是将大规模的网络分割成数个管理区域，进行分别管理的方式。

3、为了管理各局部区域，需要设置若干下位管理机（LMG）。 为了集中管理整个网络，需要设置上位管理机（UMG）。 UMG可以得到来自各个LMG提供的管理信息，每个LMG的管理视图可以实时显示在UMG上。 因而UMG可以控制网络的全局状态。,4.1.2 管理模式结构,4.1.2 管理模式结构,UMG,LMG1,子网1,子网n,子网2,分级管理模式,LMG2,LMGn,4.1.2 管理模式结构,利用该模式可分流管理负载，降低网络开销，提高管理效率。 适合于各种规模的网络管理。上下管理机之间只需要开放一个地址(IP)、一种协议(HTTP)、一个端口(PORT)，将网段之间的管理通信限制在最小范围，从而确

4、保不同网段之间的安全隔离。,4.1.2 管理模式结构,3. 主/从管理模式 由执行管理任务的主管理机(MMG)和通过主管理机取得管理信息并与用户进行交互的从管理机(SMG)构成。 在从管理机(SMG)上进行的管理操作都是在主管理机得到执行的。 主/从结构可以是多台SMG对应一台MMG；也可以实现一台SMG与多台MMG之间的任意切换。 任意一台管理机既可以当作MMG使用，也可以充当SMG的角色。,4.1.2 管理模式结构,4.1.2 管理模式结构,利用主从模式可以很方便地实现共同管理、托付管理、协助管理、远程管理、移动管理、实时指导等多种管理方式 当主管理机发生故障或进行维修时，通过主从切换操作

5、，从管理可代替主管理机继续进行管理。,4.1.2 管理模式结构,4. 客户机管理模式 由客户机与管理机协同进行的。 客户机负责将用户的管理命令传送到管理机；管理机执行管理操作并向客户机返回结果。 由于客户机不具有管理功能，所以它不能像主/从结构中的从管理机那样具有独立的管理功能。 客户机模式可以让用户不受限制地将Windows95/98之类的PC机变成网络管理的利器。,4.1.2 管理模式结构,4.1.2 管理模式结构,5. 浏览器管理模式 浏览器管理模式是通过WEB浏览器对网络实施管理的方式。 在管理机上安装专用HTTP服务器，用户只需打开WEB浏览器, 就可以监视经由互联网或者内联网连接的

6、网络设备状态。使用浏览器模式可以方便地实现远程监控。,4.1.2 管理模式结构,4.2 网络管理平台及应用,4.2.1 Sun 网络管理系统 Solstice Site Manager是一个为管理100个节点以下而设计的低端平台。 Solstice Domain Manager 被设计成管理大规模的网络（1000到10000节点）. 第一种配置是对独立的大规模管理的配置。 第二种是管理者的管理者（MoM）的配置，即 Solstice Site Manager将数据反馈给Solstice Domain Manager。 第三种配置是将Solstice Domain Manager连接成对等式（p

7、eer-to-peer）以成为彼此发送和接收信息的协同管理平台。 Solstice Enterprise Manager是为更大规模的企业网络管理而设计的且具有管理计算机与通信网络的能力。适合于面向对象的服务并支持多协议。,4.2.2 HP公司的Open View,HP是最早开发网络管理产品的厂商之一，其著名的HP OpenView已经得到了广泛的应用。 OpenView集成了网络管理和系统管理各自的优点，形成一个单一而完整的管理系统。 Open View解决方案实现了网络动作从被动无序到主动控制的过度，使IT部门及时了解整个网络当前的真实状况，实现主动控制。 Open View解决方案的预防

8、式管理工具，即临界值设定与趋势分析报表，可以让IT部门采取更具预防性的措施来管理网络的整体状态。 Open View系列产品包括统一管理平台，资产管理、故障自动监测和处理、设备搜索、网络存储、智能代理和Internet环境的开放式服务等丰富的功能特性。,OpenView网管平台通过对应用程序接口（API）的访问提供公共管理服务,4.2.2 HP公司的Open View,Open View的平台结构是一个开放式、模块化、分布式的并具有能管理通信网络的面向对象的设计。 管理应用包括代理和管理站进程并带有经过一个API进行显示服务的界面和下面的API的公共管理服务的界面。 Open View是第一个

9、支持多厂商设备的网络管理系统，而且公布了开放的API。网络设备厂商可以利用这些编程接口使自己的产口能让Open View进行管理。 通信结构提供了集成所有公共服务的基础并具有建立分布式管理平台的能力。 分布式平台的中心是postmaster，其集成了所有管理服务，可以处理多协议套接口。 路由服务管理分布式报文的路由。事件服务控制事件报文和警告报文。通过API管理服务与不同的应用进程相联系。,4.2.3 IBM公司的网管平台,TME（Tivoli Management Enviroment） TME是一套分布式客户机/服务器环境管理的解决方案，提供对服务器、LAN、PC机的统一且简捷的管理。 l

10、 具有统一的管理平台。 l 具有网络管理软件、分布式系统监控功能、事件 处理和自动化管理功能。 l 具有跨平台的用户管理功能和全面的企业安全管 理功能。 l 具有软件分发管理和自动信息仓储管理功能 l 具有远程用户支持与控制功能。 l 全面的各种大型数据库系统的管理。 l 可把LAN与TME企业管理系统连接起来。,4.2.3 IBM公司的网管平台,2. IBM NetView/6000 IBM NetView/6000是一个较新的综合网络管理系统。用户可以用其作为开发新的网络管理应用平台，其本身也是实用系统。 IBM在HP OpenView3.1的基础上开发的NetView/6000，此后IB

11、M大大扩展了OpenView3.1，并综合了其他一些软件形成了NetView/6000产品系列。目前只运行在IBM RS/6000工作站上。,4.2.4 Cisco公司的CiscoWorks,CiscoWork 是Cisco 公司为网络系统管理提供的一个基于SNMP的管理软件系列. 可集成在多个现行的网络管理系统上，如SunNet Manager 、 HP OpenView 以及IBM NetView 等。 为路由器管理提供了强有力的支持工具。其主要为网络管理员提供以下几个方面的应用： 1、可执行自动安装任务，简化手工配置。 2、提供调试、配置和拓朴等信息，并生成相应的profile文 件。

12、3、提供动态的统计、状态和综合配置信息以及基本故障监 测功能。 4、搜集网络数据并生成相应图表和流量趋势以提供性能分析。 5、具有安全管理和设备软件管理功能。,4.2.5 华信亿码公司的NetWin2000综合网络管理系统,eManage NetWin2000是针对中国网络管理的实际需要而开发的综合网络管理系统。 NetWin2000遵循SNMP协议，采用分布式管理技术，可用来管理任何规模的网络以及各种网上资源。,4.3 网络配置管理,配置管理系统包括视图管理、拓朴管理、软件管理和资源管理等功能。 4.3.1 配置管理的基本概念 配置管理是从网络获取数据，并使用这些数据对所有网络设备的配置进行

13、管理的过程。 现代网络设备是由硬件和设备驱动程序组成的。适当配置设备参数可以更好地发挥设备的作用，获得优良的整体性能。,4.3.1 配置管理的基本概念,配置管理的作用一般为： l 确定设备的地理位置。 l 初始化、启动和关闭网络或网络设备。 l 维护、增加和更新网络设备以及调整网络设备之间的关系等。,4.3.2 视图管理,当前的网络管理系统都采用GUI软件，向用户显示网络配置的接口、各种网络元素、网络拓朴结构，并可通过界面修改设备参数、启动和关闭网络中的各种设备。 视图的划分可根据子网、管理域以及地理范围等进行。可根据不同的LAN网段、主干网和广域网来划分 视图设计的关键技术是将所有的网络设备

14、（节点）或资源定义为管理对象，并在管理图上用标记来表示管理对象之间的关系。,4.3.2 视图管理,4.3.2 视图管理,节点是泛指网络设备，如HUB、网桥、路由器、交换机、网关、WS、PC、UPS、打印机、调制解调器、RMON 等。 对象是指节点的数据化管理单位。与节点是一对一的关系，管理的设定是以对象为单位的。 标记是指在管理视图上表示节点、子图等的图标。对于任意一个管理对象，都可以设置多个标记与之对应。对象与标记可是一对多的关系。,4.3.2 视图管理,对于综合网络管理系统，视图管理往往通过对象化管理将所有网络节点分门别类地显示其管理对象、标记和连线的相关信息。 可将选择树、对象、标记、连

15、线分置于四个视窗内，使四者之间的对应关系一目了然，通过对象管理器可以实现对象、标记和连线的统一删除。,4.3.2 视图管理,4.3.3 拓朴管理,拓朴管理的目的是实时地监视网络通信资源的工作状态和互连模式，并且能够控制和修改通信资源的工作状态，改变它们之间的关系。 拓朴管理在任何情况下都要能够正确地定位网络设备，把所有网络设备整合到统一的表示模式中，并呈现在用户的工作界面上。,4.3.3 拓朴管理,在拓朴管理实现中的一个重要的管理工具就是自动发现工具。它包括自动发现网络节点、自动生成管理网络图、灵活的自动发现策略和虚拟管理视图。 自动发现工具可以在用户规定的范围内搜索和识别所发现的网络节点，并

16、自动创建相对应的子网和节点对象标记。 可利用对象识别方式定制功能预先设定网络设备的识别条件，以及相应的管理配置。从而提高系统的对象识别能力，以满足个性化网络管理的需求。,4.3.3 拓朴管理,4.3.3 拓朴管理,选择识别方式 按照支持SNMP协议划分：SNMP设备和非SNMP设备。 对于SNMP设备： 1、按照OSI七层参考模型来识别设备的类型，在SNMP的 MIB中mib2.system.sysServices定义了设备的这种属性 2、通过mib2.system.sysObjectID来识别设备的产品型 号。 设置识别特征值 1、根据所选择的识别方式，输入正确的参数。 2、可以选择多项，系

17、统自动合成相应的数值。 3、所设特征不能与其他识别特征相重复。否则将会导致误识,4.3.3 拓朴管理,多个对象识别特征之间很可能存在包含关系，自动发现时，按照一定的顺序进行特征匹配。 例如：如果存在以下三个识别特征 sysObjectID=ciscoProducts.42 sysObjectID=ciscoProducts sysServices6 按照精度优先的原则，识别顺序如下： 判断是否符合sysObjectIDciscoProducts.42的条件，如果符合，则识别成功，否则继续下一步。 判断是否符合sysObjectIDciscoProducts的条件，如果符合，则识别成功，否则继续

18、下一步。 判断是否符合sysServices6的条件，如果符合，则识别结束，否则识别失败。 无论按哪种特征识别，都遵循先精确后模糊的原则，为的是尽可能提高识别精度。,4.4 网络故障管理,故障管理的主要任务是发现和排除网络故障 。 4.4.1 故障监视与响应 管理程序要经常测试和记录网络的工作状态，通过统计和分析形成故障报告以帮助管理人员进行故障定位和故障隔离。 网管系统对网络设备和收集故障信息通常有两种基本管理策略。 (1) 轮询管理策略（Polling-based Management） (2) 陷入管理策略（Trap-based Management）,4.4.1 故障监视与响应,在基于

19、POLLING和TRAP为管理策略的机制下，其管理功能主要包括：定制监视策略、设计响应方式和综合轮询报警。 一、制定监视策略 用户可以对管理对象的关心程度和不同的管理方面制定不同的监视策略。以eManage NetWin2000为例，其监视策略库中包含有十二个方面的内容。,4.4.1 故障监视与响应,4.4.1 故障监视与响应,监视策略定义了事件的判别条件，当满足条件的事件发生后，对象的状态将为异常，反之则为正常状态。 每一种监视方式都有两种状态转换时的响应方式。一般设定从正常变为异常时为故障且具有响应方式。 下面介绍几个重要的监视策略：,4.4.1 故障监视与响应,1、PING作为一种POL

20、LING监视策略是通过ICMP协议的ECHO命令，测试设备的联通情况和线路的繁忙程度，如果在规定的时间内没有收到PING的回送数据包，则将产生一个故障事件。PING监视方式属于基本监视策略，通常不能被删除且具有较高的故障级别。 2、 SNMP是一项基本监视策略，目的是检测被管理设备的SNMP代理是否正常工作，SNMP监视方式通过定期读取反映系统重启时间的MIB对象sysUpTime的值，判断SNMP代理的工作状态。如果SNMP代理不能正常工作，所有管理功能都将受到影响，所以SNMP的故障级别较高且不允许将SNMP从监视策略库中删除。,4.4.1 故障监视与响应,3、IF主要用来监测网络设备的接

21、口状态。IF只对那些配置了IP地址的接口实施POLLING，如果需要监视没有IP的二层交换接口，可以采用MIBGET监视方式。IF监视策略通过定期读取网络设备的接口状态，判断其是否正常工作。某个接口异常或许会是一个重大的网络故障，但是一般情况下只是一个局部问题，所以故障级别设定为中级即可。一般也不允许从监视库中删除。 4、 MIBGET是一种通用的监视策略定制方式。无论是网络设备还是主机，无论是操作系统还是数据库，只要支持SNMP管理协议，都可以从相应的MIB中获得丰富的管理信息，通过这些管理信息，可以全面了解管理对象的配置、故障和性能等方面的状况且很多数据可以用来设计特定的监视策略。,4.4

22、.1 故障监视与响应,5、 TRAP是由SNMP代理检测特定的事件，并将捕获到的事件以消息的的方式发送给预先配置好的网络管理机。在NW2000中，TRAP作为一种监视方式类型，除了监视策略库中默认的六种一般TRAP，用户可以根据不同管理对象的SNMP代理所能捕获的TRAP事件，定制相应的TRAP监视策略。 6、 HTTP是专门为管理机设计的监视策略，当与作为被管对象的管理机不能进行正常的HTTP通信时，则认为是管理机或该管理机所管辖范围内的设备发生了故障。一般不允许将HTTP从监视策略库中删除。,4.4.1 故障监视与响应,7、 IpBind是为了协助网管员监控IP地址的使用，IpBind是将

23、IP地址与MAC地址的对应关系绑定在一起，一旦发现其中有变，就会发出IP地址被盗用的警告，并将盗用者机器的MAC地址记录在案，如果盗用者的PC运行了SNMP代理，则可以切断它与网络的连接。另外，IpBind是通过读取并记录ifPhysAddress的值，并定期进行。 二、 设计响应方式 通常从管理的角度将设备分为高中低三种监视级别，将故障按有无和轻重程度划分为若干等级，对于同一级故障，可以根据设备的优先级（监视级别）设计不同的响应策略。,4.4.1 故障监视与响应,每个交叉矩形框中有一组图标，分别代表相应策略的相应设置。,4.4.1 故障监视与响应,在很多场合需要具体情况具体对待。为此又设计了

24、个别响应方式设置功能。 个别响应方式可以针对某种监视方式来设定，也可以针对某个具体管理对象来调整。 根据个性大于共性的原则，故障响应策略的优先级别为： 对象个别响应方式监视策略个别响应方式缺省响应方式,4.4.1 故障监视与响应,对于同一种监视策略来说，当管理对象存在故障个别（固有）响应方式时，则按照该方式对故障作出反应。 如果不存在对象固有响应方式，则要看是否存在与这个监视策略相关的个别响应方式，如果存在，则按照监视策略固有响应方式对故障进行处理. 如果这两种个别响应方式均不存在，则按监视策略库中的缺省方式对待。,4.4.1 故障监视与响应,三、综合轮询报警 综合轮询报警是从监视策略库中选择

25、适当的POLLING监视方式，并将其关联到管理对象的监视策略中。 每一个被监视对象都有各自的管理方式，其体现在对象监视策略上。当网络节点被发现之后，网络管理系统会根据网络节点的类型，生成相应的管理对象和标记，并且自动配置该设备的监视策略。每个管理对象的监视策略可以进行浏览与编辑。,4.4.1 故障监视与响应,4.4.1 故障监视与响应,为了进行深入的管理，可以对指定的管理对象增加其他监视方式，从而建立起新的POLLING关联。 当新的POLLING关联便被建立时。系统立即用新建的监视方式对管理对象进行第一次POLLING，并将POLLING结果实时地反映到【对象监视策略】对话框的【监视策略】列

26、表中的各项参数上。若满足监视策略中的判定条件时，则产生报警。,4.4.1 故障监视与响应,4.4.2 故障诊断与通知,故障诊断是用以测试两个资源之间实际或虚拟的连接是否支持定义的功能；是否可以建立连接、准确地交换数据；是否有连接的可操作性等。 故障通知是对管理对象发出的通知进行先期的过滤处理，并加以控制，从而使管理对象发出的各种通知中有选择地转化为事件报告并用不同的通知方式发送给目标管理主机。,4.4.2 故障诊断与通知,1. 故障诊断 NMS通常采用以下的诊断工具对故障进行分析与定位： PING：测试IP通信是否正常，线路是否拥塞。 通信状态：测试IP和SNMP通信是否正常。 MIB浏览：通

27、过读取与设置MIB信息，对故障设备进 行诊断和配置。 接口信息：读取并显示接口最新状态和详细信息 路由探测：探测任意两个节点间的路由关系。 TCP端口检测：检测各种TCP服务端口是否正常 工作。,4.4.2 故障诊断与通知,故障通知 报告网络故障可通过标记颜色变化、声音提示、日志记录、消息触发等不同的形式对网络故障做出多种反应。 “通知”是这些多种反应的消息的传送机制，它包括编辑消息、定制通知、引用通知、发送通知、禁发通知等环节构成。 发送通知的过程可以预先安排。通知的发送由通知日程加以调度。,4.4.2 故障诊断与通知,4.4.2 故障诊断与通知, 制定通知 通知由被通知方地址信息和通知内容

28、两部分组成，每个通知都有其确定的通知名来表示。通知管理可以定制新的通知并可对已有通知进行修改或删除。,通知对象 故障通知的传送方式可以将节点发生故障的消息通过寻呼机、手机或电子邮件的形式自动发送给相关人员。,4.4.2 故障诊断与通知,4.4.2 故障诊断与通知,通知发送控制 在发送通知的期间可以根据需要变换通知对象，或者在一段时间内禁发通知。 通知发送控制可通过周内通知预定、年内通知预定和特定日通知预定等时间表来实现。,4.4.2 故障诊断与通知,4.5 网络性能管理,网络性能管理是对网络运行中的带宽利用率、网络吞吐率降低的程度、网络通信繁忙的程度、网络瓶颈及响应时间等参数的控制和优化。 这

29、是系统管理人员的日常性工作，网络性能管理包括数据采集功能、统计分析功能和性能预警功能。 4.5.1数据采集功能 数据采集可分为对网络各节点的通信量进行 实时采集、定时采集或周期性的采集及测定功能。 测定通讯量主要是收集节点相关的MIB信息， 收集的内容可根据用户的需要进行定制. 信息收集的形式可以实时地去采集，也可以作为一种后台采集的方式定时或周期性的采集，采集来的数据如果是后台采集方式则存入数据库中。,4.5.1数据采集功能,4.5.1数据采集功能,实时采集设定。,4.5.1数据采集功能,采集后的数据可以立刻进行性能显示,4.5 网络性能管理,4.5.2 统计分析功能 统计分析是将采集到的设

30、备端口的通信性能数据首先以三维图形和表格的形式表示，再将管理程序所收集的原始数据取出作二次加工。 加工的方法是根据用户定义的公式进行分析计算并生成统计汇总报告。,4.5.2 统计分析功能,4.5.2 统计分析功能,4.5.3系统性能监视预警,系统性能监视预警是为了实时的监视网络系统的性能。 根据用户设置的阈值发出性能预警并根据系统性能指标的统计数据做出相应对策。 系统性能监视是指数据采集的过程中与用户定义阈值进行比较，例如链路带宽利用率超过90、百兆交换机某个端口流量超过50等。根据比较的结果决定是否发出警告。,4.6 网络安全管理,安全管理功能是用来保护网络资源的安全。 安全管理活动能够利用

31、各种层次的安全防卫机制，使非法入侵事件尽可能少发生；能够快速检测未授权的资源使用，并查出侵入点. 对非法活动进行审查与追踪；能够使网络管理人员恢复受破坏的文件。,4.6.1安全管理的基本概念,安全管理是指服务的安全和OSI各级协议机制的安全,安全管理策略有： l 面向安全的对象管理 l面向安全的事件管理和故障线索管理 网络管理员凭借安全管理能够保护网络资源： l控制对计算机和其他终端的用户级访问 l当发现对受保护资源进行非授权访问的企图时通知给网络管理员,4.6.2 网络管理日志,管理日志是把故障和操作作为事件加以记录，主要用于网络管理的安全审计、故障分析、网络规划以及资源管理等方面。 对网络管理日志的操作包括观察日志窗口、跟踪事件日志、显示日志列表、输出日志和删除日志等。 日志列表是将数据库中的