网管与安全1.ppt

1、计算机网络管理与安全技术,李 艇 02W1.2.3,计算机网络管理与安全技术,第1章：网络管理概述 第2章：SMI和MIB 第3章：SNMP通信模型与RMON规范 第4章：网络管理系统 第5章：网络安全基础 第6章：网络安全技术 第7章：防火墙,第9章 网络管理基础实训 第10章 网络安全基础实训,复习,参考文献,.Willian Stallings 著 中国电力出版社(译）.49元. .Mani Subramanian著.高等教育出版社（影印版）.38元. 雷振甲编著.计算机网络管理及系统开发.北京：电子工业出版社，2002 张红旗 著 清华大学出版社.24元 .Chris Brenton（

2、译）.第二版.电子工业出版社.45元. http:,学习目的,一、 LAN的管理-NOS的管理功能和操作命令 互联网的管理-跨平台的网络管理技术 独立的管理框架 特定的管理信息结构 专门的网络管理协议,网络管理分为两类。第一类是网络应用程序、用户帐号和存取权限的管理，它们都是软件相关的网络管理；第二类是构成网络的硬件所组成，包括工作站、服务器、网卡、路由器、交换机和集线器。 通常的网络管理指的是第二类，即网络硬件设备的管理。,学习目的,互联网的管理主要是 对TCP/IP网络管理，其协议是SNMP。 OSI的CMIP标准功能全面但无产品。,学习目的,掌握网络管理的基本概念 理解网络管理标准 熟悉

3、网络管理应用平台 具有实际操作能力 网管技术：成熟、实用。专门的研究和开发领域，新兴的应用技术。,第1章网络管理概述,引言 1.网络管理的重要性 用户对网络的依赖程度越来越高 用户对网络应用的需求不断提高 用户对网络性能、运行状况及安全性越来越重视,引言,2.网络管理的必要性 网络规模不断扩大 网络结构越来越复杂 简单的管理工具和方法已不适应管理大型和异构网络,网 络 市 场 新 格 局,企 业 网 IP based LAN Telephony Ethernet LAN Wireless (802.11/BlueTooth) 802.1p/Q IntServ,电 信主 干 网 DWDM IP/

4、SDH IP/GE MPLS Optical Networking,Service Provisioning VPN DiffServ,无 线 接 入 网 GPRS UMTS WCDMA,家 用 网 络 网 HPNA SWAP 802.11 Bluetooth PLC 1394,宽 带 接 入 网 xDSL Cable Modem EDSL Ethernet LMDS,新挑战,网 络 在 急 速 膨 胀 网 络 建 设 成 本 在 提 高 网 络 安 全,网 络 体 系 结 构,网 络 管 理 与 服 务,网络的关键需求,功 能 丰 富 而 全 面 可 用 性 和 易 用 性 高 效 率 和

5、低 成 本 安 全,中小学/职业学校网络系统拓扑结构图,现存问题,日常的网络维护和操作的工作量大大增加，网络管理人员匮乏，网络系统需要一个可靠，便捷、功能强大的网络管理系统来充分有效的管理和利用网络资源。,现存问题,对设备的使用情况、运行状况、网络流量的监控与统计等,以及针对网络安全的漏洞和隐患的检测、故障的定位和信息统计分析的报表缺乏有效的工具。 从业务流程上看，办公网与教学网需要相对独立，所以要对用户权限进行必要的限定，发生过个别员工访问非本部信息的情况。 安全性问题不仅来自外部网络，更主要的威胁还是来自内部网络，很多来自学生出于好奇心或其他心理而采取的网络IP地址盗用、网络攻击等方式无疑

6、是网络系统中的一个隐患。,网络管理需求分析,系统管理 : 管理人员要随时掌握网络内任何设备的增减与变动，要管理所有网络设备的参数设置。当故障发生时，管理人员要根据情况，及时进行重设或改变网络设备的参数，以维持网络的正常运行。 故障管理 网络出现问题时，必须及时察觉问题所在。它包含所有节点的运行状态、故障的记录与追踪检查、平时对各种通信协议的测试等。,性能管理 : 对网络运行情况进行监控，对历史记录进行分析统计，自动形成报表，并根据历史记录预测网络性能的长期趋势，并根据分析和预测的结果，对网络拓扑结构、某些对象的配置和参数进行调整，逐步达到最佳。 安全管理: 为防范不被授权的用户擅自使用网络资源

7、或者用户蓄意破坏网络系统的安全，要随时制定安全措施，如合法的设备存取控制与加密等。TCP/IP网络上的任何一台工作站都需要有一个合法的IP地址才能够正常工作。IP地址管理得当与否，是计算机网络能否保持高效运行的关键。,引言,3.网络管理涉及的内容 Network service provisioning 提供网络服务 向用户提供新的服务类型与增加网络设备、提高网络性能。 Network maintenance 网络维护 网络性能监控、故障报警、故障诊断、故障隔离与恢复 Network administration 网络处理 网络线路、设备利用率数据的采集、分析及提高网络利用率的各种控制。,1.

8、1网络管理与网络管理系统,网络管理：是控制一个复杂的计算机网络使其具有最高的效率和生产力的过程。 网络管理系统：由一组软件组成，帮助网络管理人员完成日常的任务，提高网络运行的效率和服务质量。其有三部分（从逻辑上分） 管理对象：是经过抽象的网络元素。 管理进程：是负责对网络设备进行全面的管理与控制的软件。 管理协议：是负责在管理系统与被管理对象之间传递操作命令和解释管理操作命令。,网络管理协议示意图,1.1.1网络管理功能,ISO定义了网络管理的关键功能且被标准和非标准的网络管理系统所广泛接受。其功能分类为 配置管理：是发现和设置网络关键设备的过程。 故障管理：探测、隔离和纠正不正常操作。 性能

9、管理：对被管理对象的行为和通信活动的效率进行评价。 安全管理：正确操作网络管理和保护管理对象。 计费管理：对使用的被管理对象进行识别和使用计费。,1.1.1网络管理功能,1、配置管理（Configuration management) 功能有： 定义配置信息； 设置和修改设备属性； 定义和修改网络元素间的互联关系； 启动和终止网络运行； 发行软件； 检查参数值和互联关系； 报告配置现状,1.1.1网络管理功能,2、故障管理(fault Management) 功能有： a.检测管理对象的故障现象，接收其故障报警 b.利用空余网络对象为故障对象提供临时网络服务； c.创建与维护差错日志，对差错日

10、志进行分析； d.进行故障诊断，明确故障性质和解决方案； e.维修和排除对象故障，恢复正常网络服务。,1.1.1网络管理功能,3、性能管理（performance management) 功能有： 从管理对象中收集与性能有关的数据； 对与性能相关的数据进行分析与统计； 根据统计分析的数据判断网络性能，报告当前网络性能，产生性能警告； 将当前统计数据的分析结果与历史模型进行比较，以便预测网络性能变化趋势； 形成并调整性能评价标准与性能参数标准值，根据实测值与标准值的差异去改变操作模式，调整网络管理对象的配置； 实现对管理对象的控制，以保证网络的性能达到设计要求。,1.1.1网络管理功能,4、安全

11、管理（security management) 功能有： 系统数据的保密性，即保护系统数据不被侵入者非法获取； 用户账号管理，即建立合法的用户账号； 用户授权，即防止非法侵入者在系统上发送错误信息； 访问控制，即控制用户对系统资源的访问； 对授权机制和关键字的加密/解密作业管理。,1.1.1网络管理功能,5、计费管理（accounting management) 功能有： 通过网络的利用率确定不同时期与时间段的资费标准； 根据用户使用资源的情况来分摊费用； 支持采用信用记帐方式收取费用方式； 当用户在一次服务时使用了多种信息资源时，能够将分别计费的各个资源的费用累加。,1.1.2网络管理系统,

12、1、网络管理系统的作用 协助网络管理者完成常规任务。 对于大型异构网络,可跟踪大量的关键信息以确定网络的运行状况。 总之，网络管理系统帮助网络管理者有效地控制和维护网络设备。在复杂的网络环境中给网络管理者提供更高水平的帮助，使得网络更加适合于用户的需要。,1.1.2 网络管理系统,2、网络管理平台简介 对于高度复杂的信息技术基础设施，需要一个强大的系统工具来管理。目前主要的系统管理软件有：HP公司的OpenView、IBM公司的NetView、SUN公司的SunNet、Cisco的CiscoWorks以及华信亿码公司的NetWin2000。 网络管理软件主要分三类： 专用网络管理软件 通用网络

13、管理软件 网络应用管理软件。,1.2 网络管理标准,ISO在1989年颁布了第一个关于网络管理的国际标准性文件，即ISO DIS 7498-4（X.700）。其定义了网络管理的基本概念和总体框架. 1991年发布的两个文件中规定了网络管理提供的服务和网络管理协议，ISO 9595 公共管理信息服务定义CMIS(Common Management Information Service ) 和ISO 9596公共管理信息协议规范CMIP(Common Management Information Protocol)。 1992年公布的ISO10164和ISO10165两个文件中分别定义了系统管理

14、功能SMFs(System Management Functions)和管理信息结构SMI(Structure of Management Information)。这些文件共同组成了ISO的网络管理标准。,1.2 网络管理标准,TCP/IP网络管理最初使用的是1987年11月提出的简单网关监控协议SGMP（Simple Gateway Monitoring Protocol）。 在此基础上改进成简单网络管理协议第一版SNMPv1(Simple Network Management Protocol)。 在90年初又公布了几个RFC（Request For Comments）文件，即RFC11

15、55（SMI）、RFC1157（SNMP）、RFC1212（MIB定义）和RFC1213（MIB-2 规范）。由于其简单性和易于实现，SNMPv1得到了许多厂商的支持和广泛的应用。 在此基础上改进其功能增加了安全性，产生了SNMPv2。 由于SNMPv2没有达到“商业级别”的安全要求，1999年4月发布了最新的网络管理标准SNMPv3。,1.2.1通信网络设备的管理,通信网络设备管理阶段的代表是基于SNMP的网络管理体系结构。 SNMP已成为网络管理领域中事实上的工业标准，大多数网络管理系统和平台都是基于SNMP的体系结构。 通信设备管理阶段的特点是集中式网络管理体系结构，采用SNMP网络管理

16、协议，管理的对象主要是针对网络互连设备，例如：路由器、交换机、打印机、UPS等设备。,基于SNMP的网络管理,路由器,服务器,MIB管理信息库,MIB,SNMP协议,SNMP协议,管理站,管理节点,代理软件,代理软件,1.2.2综合网络系统的管理,综合网络系统的管理特点 采用分布式/分层式网络体系结构，网络互连设备与网络应用程序的集成，多种网络管理协议的集成。 同时将系统管理和网络统一成一个管理平台，使得管理范围包括服务器、客户端硬件和和操作系统平台的管理、网络管理、数据库管理、Internet/Intranet管理以及其他应用程序的管理。,UMG,LMG1,子网1,子网n,子网2,分级管理模

17、式,LMG2,LMGn,几种标准网络管理协议有： 1.简单网络管理协议SNMP 2.OSI网络管理协议公共管理信息服务CMIS 和公共管理信息协议CMIP。 3.在TCP/IP协议簇之上实现CMIS服务的公共 管理信息服务与协议CMOT。 4. IEEE802.1b局域网个人管理协议LMMP。为 LAN环境提供一个网络管理方案。,1.3 网络管理协议的发展,1.4 SNMP管理结构及工作机制,1.4.1 网络管理模式 网络运行中心对网络及其设备的管理有三种方式： 本地终端方式 远程telnet命令方式 基于SMNP的代理/服务器方式。,1.4.1 网络管理模式,本地终端方式 本地终端方式是通过

18、被管理设备的RS-232接口与网管机相连接，进行相应的监控、配置、计费、性能和安全等管理的方式。这种方式一般适用于管理单台重要的网络设备，例如路由器等。,1.4.1 网络管理模式,远程telnet命令方式 通过计算机网络对已知地址和管理口令的设备进行远程登录，并进行各种命令操作和管理。 只适用于对网络中的单台设备进行管理。 与本地终端方式管理的区别是远程telnet命令方式可以异地操作，不必亲临现场。 基于Web浏览器的管理方式（监视）,1.4.1 网络管理模式,基于SMNP的代理/服务器方式 SNMP体系结构，有三个基本组成部分： 管理进程（manager） 管理代理（agent） 管理信息

19、库（MIB）,SNMP的体系结构图,管理进程manager 是一个或一组软件程序。 一般运行在网络管理中心的主机上。 可以在SNMP的支持下命令管理代理执行各种管理操作。,管理代理agent 是一种在被管理的网络设备中运行的软件，负责执行管理进程的管理操作。 管理代理直接操作本地信息库，可以根据要求改变本地信息库或将数据传送到管理进程。,管理信息库MIB 是一个概念上的数据库，它是由管理对象组成的，每个代理所管理的MIB中属于本地的管理对象，各管理代理控制的管理对象共同构成全网的管理信息库。,1.4.2 SNMP网络管理结构,简单网络管理协议提供了一个标准化的网络管理框架，使得互连网络的监视和

20、控制成为可能。SNMP是一个简单的但可扩展的标准集。SNMP采用管理进程/管理代理模式，管理协议在应用层上运行。SNMP的成功主要在于它的简单性、灵活性和可扩展性。,1.4.2 SNMP网络管理结构,基于TCP/IP网络管理的网络模型由以下几部分组成： l 管理站 l 管理代理 l 管理信息库 l 网络管理协议,1.4.2 SNMP网络管理结构,网管工作站 (NMS) 收集网络情报, 并做显示 SNMP 信息交换协议 Agent 根据NMS的要求收集并存储信 息, 产生陷井TRAP MIB Management Information Base 网络信息对象的数据库 SMI Structure

21、 of Manage Information,Network Management Station (NMS),Manager,SNMP message exchange,Managed Device,Agent,MIB,Managed Device,Agent,MIB,1.4.2 SNMP网络管理结构,管理站是典型的独立设备，是网络管理员到网络管理系统的接口。管理站至少应有： l 一系列用于数据分析、故障修复等的管理 应用程序 l网络管理员用来监视和控制网络的接口 l把网络管理员的要求翻译成网络中实际监视或控制的能力 l 从网络中所有被管理设备中提取出来的信息库,网络管理结构模型,网络设备

22、网络设备,管理站和代理通过网络管理协议联系起来。用于管理TCP/IP网络的协议SNMP有以下主要的功能： get:使管理站能够获取代理中对象的值。(TCP端口检测) set：使管理站能够设定代理中对象的值。(syslocation) trap：使代理能够向管理站通告重要事件。 (监视策略,响应方式),POLLING TRAP,实现模式,1.4.2 SNMP网络管理结构,网络管理,工作站,流量监视器,你看见了多,少流量？,在下午,4,点,15,分有,12.5%,1.4.2 SNMP网络管理结构,在没有轮询的情况下，被管理设备代理向网络管理工作站报告错误,网络管理,工作站,流量监视器,警告！在下午

23、,4,点,20,分我看见了,55%,的利用率,1.4.3 SNMP协议体系结构,1.4.3 SNMP协议体系结构,SNMP代理,依赖于网络的协议,IP,UDP,SNMP管理站,被管理对象,应用程序管理对象,SNMP消息,Network,1.4.3 SNMP协议体系结构,从管理站发送三种SNMP消息： GetRequest GetNextRequest SetRequest 由代理以GetResponse消息的形式来应答，并将该消息向上传输到管理应用程序。 代理可能发送trap消息来响应影响MIB和底层被管理资源的事件。 由于SNMP依赖于UDP，所以SNMP本身也是无连接协议。在管理站和其代理

24、之间不维持连续连接，相反每一次信息交换都是管理站和代理之间的独立行为。,1.4.3 SNMP协议体系结构,SNMP选择UDP协议是因为UDP效率较高，这样实现网络管理不会太多的增加网络负载。 由于UDP不是很可靠，所以SNMP报文容易丢失。 SNMP实现的建议是对每个管理信息要装配成单独的数据报独立发送，而且报文较短，不超过484个字节。,1.4.4 SNMP工作机制,SNMP管理模式重要特点是能够快速地从MIB中找到所需要的管理对象实例。主要依赖于只有叶节点的对象才有实例，且每个对象或实例的识别符都是从左到右顺序递增的规定。有了这一规定，SNMP管理模式就会具有较高的检索速度。 (MIB ,system),1.4.4 SNMP工作机制,SNMP协议实现网络管理系统和代理