网络管理标准教程第九章.ppt

1、第9章 OSI网络管理,9.1 OSI管理框架 9.2 OSI系统管理 9.3 OSI系统管理标准 9.4 公共管理信息协议（CMIP） 9.5 其他协议和功能,下一页,第9章 OSI网络管理,9.6 管理信息结构（SMI） 9.7 TCP / IP上的公共管理信息服务和协议（CMOT） 9.8 OSI管理功能域 9.9 管理功能的执行,上一页,9.1 OSI管理框架,1. 系统管理 系统管理负责对OSI管理环境内一切受控对象进行管理。 2. 层次管理 层次管理负责为OSI参考模型的七层（或其他同等物）提供管理机制。 3. 协议管理 协议管理完成对各层次中通信事务的控制功能。为进行一次具体通信

2、及其管理的需要，必须商定一组参数，这是管理功能的任务。,下一页,9.1 OSI管理框架,与其他应用层实体一样，SMAE可以从逻辑上定义为一组重叠的应用服务元素（ASE）。在这里，其中两个元素是为通用于各种不同的应用而开发的，它们是联系控制服务元素（ACSE）和远程操作服务元素（ROSE）。 两种对网络管理具有特定意义的应用服务元素是公共管理信息服务元素（CMISE）和系统管理应用服务元素（SMASE）。 一个系统中的系统管理应用进程（SMAP）可以扮演一个代理的角色，也可以扮演一个管理者的角色。,下一页,上一页,9.1 OSI管理框架,代理采用何种方式存储有关管理信息的数据是本地的事情，而不是

3、标准化的问题。一个本地的映射功能用以将与被管理对象有关的信息映射成为能够本地存储，并能够被本地的管理软件所使用的形式。 使用面向对象的原则定义管理信息是OSI系统管理中最重要的思想之一。一个对象是由它所包含的属性、可以在其上进行的操作、它可发出的通告以及它与其他对象之间的关系等几个方面定义的。,返 回,上一页,9.2 OSI系统管理,9.2.1 OSI系统管理模型 OSI系统管理模型标准描述了以下三个模型： 功能模型； 组织模型； 信息模型。,下一页,9.2 OSI系统管理,9.2.2 功能模型 功能模型定义特定管理功能域（SMFA）的概念。SMFA包括这样一些功能：配置管理、故障管理、性能管

4、理、安全管理和记账管理。 每个SMFA都有一个单独的标准，规定了实现SMFA功能及相关功能过程的数量、所用到的CMIS、SMFA中的对象类以及对应于某些符合类的子功能。,下一页,上一页,9.2 OSI系统管理,9.2.3 组织模型 组织模型（如图9-3所示）描述的概念有域、被管开放系统、管理进程和代理进程。 前面介绍的三个模型为系统管理的下列标准元素建立了一个概念性的和术语上的框架： 公共管理信息服务元素（CMISE）； 特定管理功能域（SMFA）； 管理信息结构（SMI）； 管理信息通用定义（GDMI）。,返 回,上一页,9.3 OSI系统管理标准,9.3.1 公共管理服务和协议（CMIS/

5、CMIP） 1. 公共管理信息服务 在OSI 9595标准中，公共管理信息服务是在ISO标准9595中建立的一个应用服务元素（ASE）。 2. 管理关联服务 管理关联服务的任务是监控各CMIS系统之间的通信并负责建立和切断链路。,下一页,9.3 OSI系统管理标准,3. 管理通知服务 管理通知服务让CMIS代理自治地发生任何超常规的条件和信息。 4. 管理操作服务 5. 管理关联 完成CMIS服务要使用公共管理信息协议。ISO / OSI网络管理协议的目标是，给出一个网络体系结构，使其具有面向一切设备、面向ISO参考模型各层的广泛适用性。,下一页,上一页,9.3 OSI系统管理标准,9.3.2

6、 特定管理功能域（SMFA） 每个特定管理功能域都是在其相应的管理标准中定义的，这些标准说明了SMFA功能的可能数量。 1. 配置管理SMFA 配置管理SMFA的功能是定义配置数据。 2. 故障管理SMFA 故障管理SMFA的作用是检测并标识出OSI环境中的故障。这些故障，可能是暂时的，也可能是永久的。,下一页,上一页,9.3 OSI系统管理标准,3. 性能管理SMFA 性能管理SMFA对往来运行状态进行分析，给出长期评估，可以对一切通信过程做出有效的度量。 4. 安全管理SMFA 安全管理SMFA的功能仅指服务的安全和OSI各级协议机制的安全。 5. 记账管理SMFA 记账管理SMFA定义的

7、服务，用以决定一个最终用户能够使用什么服务和不允许使用什么服务，还要决定使用某样服务以后要付的费用。,返 回,上一页,9.4 公共管理信息协议（CMIP）,公共管理信息协议在OSI标准9596中定义。它为对等双方提供了按“请求/回答”方式工作的传输机制。相关的协议规范定义了这一协议怎样完成各个CMIS服务。CMIP协议的基础是CMIP机，也叫做CMIPM。它提供以下服务； CMIS服务用户把某些操作经过CMIS服务交给CMIP机。 CMIP机一旦接收到了CMIS服务请求，就通过网络把消息发送给CMIS服务用户。,返 回,9.5 其他协议和功能,9.5.1 关联控制服务元素（ACSE） 关联控制

8、服务元素在OSI标准8649和8650中定义。它说明了建立链路时所需要的服务元素，这是使用CMIS原语的前提。,下一页,9.5 其他协议和功能,9.5.2 远程操作服务元素（ROSE） OSI标准9072给出远程操作服务元素的规范。ROSE以远程服务选项支持CMIS，如调用、结果、错误和拒绝等操作。然后，ROSE再使用OSI表示层的服务选项。,下一页,上一页,9.5 其他协议和功能,9.5.3 CMIS/CMIP标准 CMIS / CMIP的定义给出了可完成功能的范围。但是CMIS / CMIP标准的庞大也给它们的实际实现带来了困难。例如，出现下列问题： CMIS / CMIP需要巨大的存储器

9、和CPU能力； 协议开销量太大； 程序员觉得规范难以理解，结果也就不情愿去实现它。,返 回,上一页,9.6 管理信息结构（SMI）,OSI管理信息结构中包含的是出现在其他OSI标准中的一切元素的非常抽象的定义。这些元素是由OSI管理活动使用的，它们定义了能够进行OSI管理通信的所有信息的逻辑结构。SMI已经建立的构成元素有以下几项： 被管理对象； 属性； 对对象的操作； 有关这些对象的信息。,返 回,9.7 TCP / IP上的公共管理信息服务和协议（CMOT）,在TCP / IP协议栈上使用公共管理信息服务和协议，通常叫做CMOT。这一标准是1990年10月在RFC 1189中公布的，其标题

10、是用于因特网的公共管理信息服务和协议（CMOT和 CMIP）。 像其他ISO / OSI规范一样，也很少见在实际产品中采用它。考虑CMOT的时候，工作组的意图是想有助于实现向OSI管理的平稳过渡。,返 回,9.8 OSI管理功能域,9.8.1 特定管理功能域 特定管理功能域（SMFA）是ISO在单独的OSI管理标准中定义的。预料这些定义从1994年开始作为国际标准被普遍采用。下面讨论的是OSI定义的每个SMFA的基本情况。 1. 故障特定管理功能域 2. 配置特定管理功能域 配置管理的作用是标识、监视和控制管理对象。,下一页,9.8 OSI管理功能域,3. 性能特定管理功能域 如同名字所表明的

11、，性能管理要定义统计功能以便依靠集成进来的分析工具产生一定的数据，用以评估对象的性能。 4. 记账特定管理功能域 计账管理功能为网络管理者提供了分配网络资源使用费用的依据。 5. 安全特定管理功能域 OSI的安全管理设施使得系统管理者能够为通信资源提供访问保护。,下一页,上一页,9.8 OSI管理功能域,9.8.2 故障管理 自从富含技术的硬件发明以来，故障的出现总是相互影响。查找故障的速度如何，很大程度上决定于查找故障的人的素质和经验。不管硬件怎么样，查找故障总是需要传统的三阶段过程： 查找故障； 隔离故障； 排除故障。,下一页,上一页,9.8 OSI管理功能域,1. 阈值机制 整个网上的一

12、切数据交通量都是自动分析的。网络管理员设置一些阈值（例如，出错率、数据量超过带宽的80%、设备在1小时内被重新启动20次）。 2. 轮询机制 除了阈值机制以外，还有轮询机制可以对传输路径及各连接设备进行连续监视。 以太网和IEEE 802.X在物理层上的测试有所不同，但共同的是它们都不能跨过路由器进行。,下一页,上一页,9.8 OSI管理功能域,考虑到阈值和轮询两种机制各自的缺点，目前在故障管理中常同时使用这两种机制。在局域网中，使用轮询过程，但是以偶尔出现的阈值做补充；而在收集远程网数据时，则更多地依靠阈值机制。 故障和告警的优先级，在某种程度上是根据网络的规模确定的。在只有几个局域网的较小

13、网络中，网络管理员可以对阈值超限和任何故障做出反应，查找直至排除故障。 故障管理收集到的所有告警信息及一切相关数据，都应当存储在数据库中。,下一页,上一页,9.8 OSI管理功能域,9.8.3 配置管理 计算机及其中所安装的软件，都需要配置。缺了这一调整工作，则这些设备只不过是一堆电子物品而已。完成基本配置之后，进行日常监控时，还可能要修改原来输入的设置参数（如阈值、过滤器、路由表等）。同样，也必须监控软件及其版本号，并在文档资料中记录。在网络管理中，这些工作都是由配置管理完成的。它有如下功能： 监控全部设备的当前配置；,下一页,上一页,9.8 OSI管理功能域,根据需要修改各单独设备的配置；

14、 存储当前配置； 编制所用设备的清单。 在首次配置网络设备时，必须要装入某些参数（如地址、服务、名表）。这一基本配置过程通常是由网络管理员或负责的技术员手工完成。 如果设备是便携式的（取决于它的大小和重量），则初始配置可以在办公室里进行，然后再连接到它的正式位置。,下一页,上一页,9.8 OSI管理功能域,每一次修改基本配置信息都会自动地在网络管理站引起一个告警。网络管理员可以把这一修改视为故障，也可以认可这一修改。 在网络管理站管辖的设备上，当系统失败或反复进行启动时，会产生一个重新进行初始化的告警。 为了进行配置管理，一个重要问题就是要为你的所有设备编制清单。在一个大单位里，保持一个清晰、

15、准确、随时可用的硬件清单，恐怕是特别难于做好的事情。 对异构数据网的调查表明，在30天之内，就有大约8%的PC改变了位置。,下一页,上一页,9.8 OSI管理功能域,9.8.4 性能管理 让我们拿网络与通行汽车的大桥（如旧金山的金门桥或海湾桥）做个比较。在繁忙时段，桥上的交通量极有可能达到高峰值。 有鉴于此，在旧金山地区就安装了一个交通控制系统。在临近事故现场或道路维修现场之前，交通量就被部分或全部转移到其他道路。 在数据网络（LAN和WAN）中的交通量，其行为特征与过桥的汽车并没有什么区别。,下一页,上一页,9.8 OSI管理功能域,1. 收集数据 数据收集和统计的主要目的是对当前的网络状态

16、做出评估。在收集统计数据时，面临着数不清的选择对象，而其中最重要的是网络负载和出错率。 2. 监控 监控数据交通情况是查找和排除故障的一个重要手段。 3. 模拟 要清楚陈述网络中的性能数据，是一件困难的事。,下一页,上一页,9.8 OSI管理功能域,9.8.5 记账管理 网络管理者们梦想着能向使用网络资源的用户收钱。可以把这一愿望跟征收高速公路费做个比较。车辆在通往高速公路的普通道路上行驶是免费的。当用户到达高速公路人口时，必须表明自己的身份，即把他的身份卡插到一个识别箱之中，随后横竿便会升起表示允许他进入。 如果把高速公路的这种做法转移到网络上，其实已经很接近于网络管理者的要求了。,下一页,

17、上一页,9.8 OSI管理功能域,1. 固定费用 实现一个记账过程最容易的方法就是对每一个终端收取一次性的连接费用。 2. 按地址记账 如果以硬件（第二层）或网络（第三层）地址为根据来记账，就可以减轻以终端为根据进行月/年记账的不合理程度。 3. 通用的第二层地址 LAN控制器硬件有一个存在芯片中的唯一地址。,下一页,上一页,9.8 OSI管理功能域,4. 本地的第二层地址 LAN控制器的通用硬件地址可以在本地重写。重写后的地址称为“本地管理地址”。 5. 第三层地址 在一个局域网中，很可能有来自多家制造商的计算机，因此就往往有几个通信协议同时存在。 6. 第三层地址的格式 7. ICMP包

18、因特网控制消息协议（ICMP）是位于第三层的一个辅助程序。,下一页,上一页,9.8 OSI管理功能域,8. RIP 路由信息协议（RIP）的基础是XNS协议的一个版本。 9. 包/字节数量 如果测量是基于包数或字节数，那么就应当既包含发到网络上的信息量，也包含从网络上接收的信息量。 10. 交易数量 如果记账是基于每个用户的交易数量，那么就要收集关于用户行为的各种信息。,下一页,上一页,9.8 OSI管理功能域,9.8.6 安全管理 对数据网及其资源和服务的使用情况进行监控，是网络管理的任务之一。为此需要一定的监控机制和规则，如口令、访问代码等。 网络管理的安全功能经常与操作系统的安全功能及对

19、网络使用的物理保护手段相混。需要对网络上所连接资源进行特别配置并对一切网络活动进行监视，才能建立网络上的安全机制。,下一页,上一页,9.8 OSI管理功能域,1. 操作系统保护 每个操作系统都具备一定数量的、最起码的安全功能，如限制某些用户对某些文件、目录或程序的访问。 2. 物理保护 物理保护包括许多方面，例如，采用特殊的钥匙或者利用电子的人员识别系统保护计算机房或电气机箱。 3. 协议保护 在任何网络中，最应当重视的都是协议上的安全事务。,下一页,上一页,9.8 OSI管理功能域,4. 标识值得保护的网络资源 为了对网络和计算机系统中某些资源进行保护，首先必须把它们标识出来。 5. 建立访

20、问机制 一般来说，希望经计算机访问网络的用户必须利用口令向他的目标计算机表明自己的身份。 6. 物理保护 另外一种易于实现的安全机制就是在每次网络访问之前通过一处岗哨。,下一页,上一页,9.8 OSI管理功能域,7. 加密 对某些高度敏感的数据进行加密，是衡量网络安全程度的一个重要标尺。 8. 特定网络加密 特定网络加密指的是经由网络传送的一切数据都由网络控制器芯片所提供的加密机制进行加密。 9. 特定计算机加密 在特定计算机加密中，事关安全的一切应用数据都用计算机中的一个特殊程序加密。,下一页,上一页,9.8 OSI管理功能域,10. 与安全相关的几个问题 （1）动态访问密钥 进一步有助于受

21、保护信息安全的机制依赖于动态分发访问密钥。 （2）访问机制的管理和保护 在当代的数据网络中，被保护的网络资源应当由一个集中的管理系统加以管理和维护。,下一页,上一页,9.8 OSI管理功能域,（3）安全参数 为了实现数据网络的安全管理，需要在与安全相关的重要资源（对象）中设置参数以便建立由中央资源控制的安全机制（过滤器、密钥、用户标识/口令）。 （4）安全管理协议 LAN安全概念的又一个特点是管理协议极为重要。 （5）数据库 安全参数可能迅速膨胀而密布于网上，妨碍网络管理员进行维护和管理工作。,下一页,上一页,9.8 OSI管理功能域,（6）应用 所有的网络管理系统都有一个必要成分，就是图形用

22、户界面，利用它可以更容易地处理所管理的数据和信息。 （7）保护机制 在安全管理系统中经常被忽视的一点是管理系统自身的保护。运行管理系统的计算机必须受到保护，防止非授权访问，例如，可以采用可加锁的键盘和盘驱动器。,下一页,上一页,9.8 OSI管理功能域,9.8.7 展望 在本章中所介绍的许多功能，在当今各种设备和系统中已经实现了。像记账管理和安全管理这样重要功能的标准化，现在是相关组织头等重要的问题。 越来越多的公司和新产品都把它们的长期战略建立在网络管理上。在计算机网络界，现在对于全局网络管理的宗旨是没有争议的，但是要在一切产品中都具有全部安全功能，则还需要时间。,返 回,上一页,9.9 管

23、理功能的执行,9.9.1 带内管理 带内管理是指网络管理站和终端之间在各自数据网上经由直接访问（网络接口）进行通信。利用带内数据通路，可以对一切 SNMP代理进行直接访问和配置（设置阈值、交换连接链路和端口）。 虽然这一功能在查找故障时是非常有用的，但危险也随之而来：把需要的管理功能也关掉了。,下一页,9.9 管理功能的执行,9.9.2 带外管理 带外管理指的是网络管理站可以利用串行数据链路上的V.24端口或者多路调制解调器与被管设备对话。带外管理方式所完成的功能与带内管理是一样的，只是由于所用链路的能力限制，其数据传送速度要慢得多。 在规划一个可管理的数据网时，总应当把带外连接问题考虑进去，因为在事后追加安装线路是既费时又费钱的。,下一页,上一页,9.9 管理功能的执行,9.9.3 SLIP协议 人们需要把来自不同制