网络管理与安全

1、,第七讲,网络管理与网络安全,2004秋 计算机专科班,计算机网络讲义,7.1计算机网络管理技术 网络管理是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。 基本目标是将所有的管理子系统集成在一起，向管理员提供单一的控制方式。对公用交换网，网络管理往往指实时网络监控。 广义的网络管理指的是网络的系统管理。,第七章 网络管理,引言 当前计算机网络的特点： 地理分散性 网络体系结构复杂 网络通信容量大幅度增加 网络变动性增加 于是一些国际化标准组织提出了一系列有关网络管理的标准和建议。有CMIP公共管理信息协议、SNMP简单网络管理协议：成为计算机网络管理领域事实上的工业标准。大多数的网

2、络管理系统和平台都是基于SNMP的。网络管理建立了相应的网络管理模型：功能模型、体系结构模型、信息模型、组织模型。,网络管理的功能 ISO 7498-4，ISO提出的网络管理标准框架。将网络管理分为系统管理（管理整个OSI系统）、层管理（只管理某一个层次）和层操作（只对一个层次中管理通信的一个实例进行管理）。在系统管理中，提出管理的五个功能：,一、配置管理(Configuaration Management) 用来定义、识别、初始化、监控网络中的被管对象，改变被管对象的操作特性，报告被管对象 状态的变化。 是最基本的网络管理功能，负责网络的建立、业务的展开、网络的配置，管理资源信息库（MIB）

3、，为其它网络管理功能所用。 包括： 资源清单管理功能 联机提供当前安装的成分及其配件的纪录。利用标准管理信息结构（SMI）将资源定义为被管理对象。 资源开通功能： 保证所需资源的供应、开发和配置在经济上合理的前提下及时地满足客户的业务需求。 业务开通功能： 从用户要求业务时开始，到网络实际提供业务时结束。 网络拓扑服务功能： 提供显示网络及其成分的各个层次的布局的功能。,二、故障管理(Fault Management) 对网络中被管对象故障的检测、定位和排除。网络中的每个设备都必须有一个预先设定好的故障门限（但此门限必须能够调整）。其主要功能有告警检测、故障定位、测试、业务恢复以及维护故障日志

4、。 三、性能管理(Performance Management) 以网络性能为准则，保证在使用最少网络资源和具有最小时延的前提下，网络能提供可靠、连续的通信能力。维护网络服务质量QOS，和网络运行效率。提供性能检测、分析、管理控制功能。性能数据库的维护和在发现性能故障时启动故障管理系统的功能。 在网络性能指标中，固定了面向服务质量和面向网络效率两大类。面向服务质量的包括：有效性、响应时间、差错率；面向网络效率的有：网络吞吐量和利用率。,四、安全管理(Security Management) 保证网络不被非法利用对授权机制、访问机制、加密和加密关键字的管理。维护和检查安全日志。 五、计费管理(A

5、ccounting Management) 记录用户使用网络资源的情况并核收费用，同时也统计网络利用率和网络的成本效益核算。 简称为FCAPS，基本上覆盖了整个网络管理的范围。但传统的电信网的管理功能一般常使用OAM AAL5支持C类和D类业务突发的LAN，如计算机数据、B-ISDN中用户网络之间的信令信息ATM上的帧中继，数据业务。,ATM 层：完成交换和复用 虚通路（VC）：两个或两个以上终端接入点的逻辑连接。 虚通道（VP）：一组虚通路集合。 VCI和VPI分别用于标识为一个呼叫链路所分配的虚通路和虚通道。 在一个给定的端口，属于两个不同的VP的两个VC可以具有相同的VCI值。（p160

6、 图6-18） 虚通路与虚通道的关系如图所示。 一个呼叫链路由端-端VCI/VPI和ATM交换机的路由表唯一确定，一个呼叫链路上的信元的VPI+VCI在ATM交换过程中会被改变（由路由表决定）。,ATM虚通路和虚通道关系示意图,ATM层的功能： 信元复用与分用 信元的VPI/VCI转换（就是将一个人信元的 VPI/VCI转换成新的数值） 信元首部的产生与提取 一般的流量控制,物理层： 信元流和比特流的转换 在物理媒体上正确传输和接收比特流,ATM交换机和网络站点间的链路可以使用多种速率。,DS1（1.544M）/E1（2.048M），DS3（44.736M）/E3（34.3686M）用在广域网

7、的连接上，使用的通信介质有：UTP、STP、MM（多模光纤）、SM（单模光纤）。 64Mbps SMOC-1/STS-1， 传输介质UTP、MM。 100Mbps 这个连接速度使用了FDDI和PMD连接，ATM信元通过电缆连接传输，传输介质UTP5类、 MM（多模光纤）、SM（单模光纤） 。 139.264Mbps 传输介质为 UTP5、MM、SM、E4建议。 155Mbps 这是真正ATM SONET/SD11速率，传输介质为UTP5、MM、SM，接口称为OC-3C/STM1。 622.08Mbps 主要ATM之间连接，接口称为OC-12C/STM-4，传输介质为SM。,6.6.4 ATM的

8、逻辑连接机制,在ATM中使用的虚电路是一种逻辑连接。 虚通路是ATM 网络中的一个基本交换单元。 建立虚通路连接后的端到端的连接上以固定信元长度和可变速率进行全双工的通信。 信令报文 若ATM交换机收到一个信元但其VCI与该交换机所知道的任何虚通路均无联系，则ATM交换就丢弃信元。 在建立虚通路后，ATM交换机内建立了信元VCI转换表，对收到信元的根据VCI值进行转发。 为了保证VCI值的唯一性，ATM交换机改写它转发的每个信元的VCI值。标签改写（Label Rewriting) 或标签交换（Label Switching),VCI=12 A 12 B 12 D C 12,使所有的VCI只在

9、每一段物理链路上具有 唯一的值。因此在每个交换机中应当有一 个VCI转换表。,主机,主机,17,35,26,55,出现问题：几千条 采用公用电话网的方法，相类似，ATM采 用了虚通道，规定：一个虚通道包括多个 虚通路，VPI，交换机只需将VPI值进行转 换（VPI转换表）。,ATM的信元结构,分组太长，时延增大；太小，开销太大。 ATM信元实际上就是分组，为区分X.25分组（Packet）改称为信元（Cell）。 ATM信元具有固定的长度，总长为53字节。其中前5个字节为信头（Header），包含各种控制信息，包括信元目的（逻辑）地址、纠错码、业务控制和维护信息等；后面48字节为信息字段（Pa

10、yload），又称净荷，其中包含了业务的数据，它们将被透明地传输。,在ATM层，有两个接口，即用户-网络接口UNI（user-network interface）和网络-网络接口NNI（network-network interface）。前者定义了主机和ATM网络之间的边界，后者应用于两台ATM交换机（ATM意义上的路由器）之间,ATM信元结构,ATM的信元首部结构,ATM信元首部个字段作用 GFC（Generic Flow Control）：类属流量控制。GFC仅在UNI信头存在，因为ATM只在端设备与用户设备处进行流控制，以减少网络过载的可能性。 VPI/VCI：VCI占16bit；VP

11、I在UNI中为8bit,NNI中为12bit。由此计算可建立VP和VC的数。 PTI（Payload Type Identifier）：净荷类型。用于指示信息字段的信息是用户信息还是网络信息。 CLP（Cell Loss Priority）：信元丢失优先级。当CLP为“1”时，表示当网络拥塞时可以丢失该信元；相反，不能丢失CLP为“0”的信元。 HEC（Header Error Control）：首部差错控制。为了提高处理效率，ATM仅进行首部 差错控制，以防VPI/VCI差错，即呼叫间“串话”。,在ATM字段中 GFC字段涉及到MAC子层，VPI和VCI、 PT字段以及CLP字段涉及到ATM

12、层，HEC 字段涉及到物理层，净负荷字段涉及到 AAL层。,ATM通信量管理 在ATM网络中有许多的通信量并适于进行 流量控制。 信元饿传输时延远远小于信元在网络中的 传播时延。进行拥塞控制的反馈就显的太 慢。 传统的拥塞控制技术难以处理这样多种的 通信量模式。,大量比特在物理媒体中；信元时延偏差 所以ATM中，使用一种新的通信量管理 当用户建立连接时都必须与网络达成一个 合约：用户受合约规定的通信量特性的约 束，而网络满足用户的服务质量要求。 通过一些重要参数来控制。,ATM与IP结合,覆盖模型： 支持高速综合业务；保证服务质量QoS ATM价格昂贵 ATM网络和上层的应用结合很不好 在AT

13、M主干网的边缘有一些IP路由器 将ATM看成是数据链路层并在其上面运行 IP协议。在具体实现时，又有传统的IPOA， 局域网仿真LANE和MPOA等几种方案,过程： 当IP数据报通过入口路由器进入ATM主干 网时： 根据路由表，找到出口路由器IP地址 将ATM主干网看成是IP层下面的数据链路， 从ATM的ARP表中查找出出口路由器的 ATM地址。 将出口路由器ATM地址与IP数据报一起交 给ATM主干网,ATM主干网： 确定通向该ATM目的地址的虚通路的虚通路标志符VCI，（在发送端维持了一个从ATM地址到VCI的映射表） 入口路由器将数据报分割并装配成53字节 的ATM信元。 很难协调IP和ATM网络的巨大差异 20世纪90年代中期以前，唯一选择 ATM地址到VCI映射表 信元税,多协议标记交换MPLS 将第三层的路由选择功能与第二层的交换 功能综合在一起。如Cisco公司的标记交换 TAG，Ipsilon公司的IP交换。 传统路由器： 选路、交换。在突发性通信时，查找路由 表耗时，出现缓存溢出。 MPLS分离“控制”和“转发”。标记边缘路由 器LSR,MPLS的多协议是指网络层可以使用多种协 议，同时IP层下面也可以使用多种协议的 链路层，如ATM、帧中继、或PPP链路， 以及几种不同链路层的互连网络。 当I