网络管理协议培训资料(ppt 36页).ppt

1、第三章 网络管理协议,3.1 简单网络管理协议 SNMP 的发展概述 SNMP 网络管理体系结构 SNMPv3及其安全机制 RMON 远程网络监控 3.2 公共管理信息服务和公共管理信息协议 CMIP/CMIS 概述 公共管理信息通信环境 3.3 基于Web的网络管理技术 WEM 管理方式的实现 WEM 的安全性考虑 3.4 TMN 管理,3.1 简单网络管理协议,3.1.1 SNMP 简介 SNMP 是基于TCP/IP的Internet网络管理标准 是最广泛的一种网络管理协议，它被设计 成一个应用层协议而称为 TCP/IP 协议簇的一 部分。SNMP自身是采用无连接的信息传输方 式，它是通过

2、用户数据报协议（UDP）来操作， 因而带给网络系统的负载很低。 SNMP 特点为面向功能、集中控制、协议简单， 因而支持广泛，但其安全性较差。,SNMP 的发展概述 SNMP 的前身是SGMP （Simple Gateway Monitoring Protocol） SNMP 发布于1988年 （Simple Network Management Protocol） 可伸缩性、扩展性、健壮性（Robust） 管理操作：Get、Get-next、Set 、Trap 1993年发布了SNMP 的第二版 SNMPv2 1998年SNMPv2 升级为第三版 SNMPv3,SNMP 的设计原则 简单性：

3、通过信息类型限制、请求响应或协议而取得。 扩展性：通过将管理信息模型与协议、被管理对象的 详细规定分离而实现的。 SNMP 的设计目标 保持管理代理的软件成本尽可能的低。 最大程度的保持远程管理的能力，以充分利用Internet 的网络资源。 必须为将来的扩充留有余地。 保持SNMP的独立性，不依赖于具体的计算机、网关 和网络传输协议。,3.1.2 SNMP 网络管理体系结构,Internet 的网络管理模型,网络管理进程 （网控中心）,管理代理,管理对象,外部代理,管理代理,外部代理,管理对象,管理对象,管理对象,管理进程：对网络实施集中管理，一个网络有数个 网络元素（网元）：表示任何一种接

4、受管理的网络 资源，即具体的通信设备或逻辑实体 管理代理：在网络元素上负责执行管理任务 外部代理：附加在网络元素外，当网络资源不能与 网络管理进程直接交换信息时使用。专为不符合管理协议标准的网络元素而设，完成管理协议转换和管理信息过滤操作。 相当于“管理桥”，一边用管理协议与管理机构通信 一边与被管理的设备通信。,SNMP 框架的组成,管理代理,管理信息库,管理代理,管理代理,网络管理通信协议,管理进程,管理信息库,管理信息库,（主机）,（网关）,（服务器）,SNMP 网络管理模型的四个关键元素 管理站（Management Station） 即管理进程，作为网络管理员与网络管理系统的接口 管

5、理代理（Agent） 负责执行管理进程的管理操作 管理信息库（MIB） 管理对象（被管资源某一方面的数据变量）的集合 网络管理协议,SNMP 框架的三个重要组成部分 管理信息库（MIB） 管理信息结构（SMI） SNMP 协议,管理站（Management Station） 可以是一个分立设备，也可以利用共享系统实现 作为网络管理员与网络管理系统的接口 基本构成： 一组具有分析数据、发现故障等功能的管理程序。 一个用于网络管理员监控网络的接口。 一个从所有被管网络实体的MIB中抽取信息的数据库。 将网络管理员的要求转变为对远程网络元素的实际 监控能力。,管理代理（Agent） 一种特殊的软件，

6、在被管理的网络设备中运行。 包含了一个关于特定设备和该设备所在环境的信息。 直接操作MIB，如果管理进程需要，它可以根据 要求改变本地信息库或提取数据传回到管理进程。 每个管理代理都有自己的本地信息库（MIB）。 具有两个基本功能： 从MIB中读取各种变量（管理对象）值 在MIB中修改各种变量（管理对象）值,管理信息库（MIB） 一个概念上的数据库 定义了可以通过网络管理协议进行访问的管理 对象的集合。 SNMP中的对象是被管资源某一方面的数据变量 MIB 作为设在管理代理处的管理进程访问点的 集合，管理进程通过读取MIB中对象的值来进行 网络监控。,管理信息结构（SMI） 定义和说明了MIB

7、的总体框架、数据类型的表示方法和命名方法 SMI 的宗旨是保持MIB的简单性和可扩展性。,SNMP 协议 是为网络管理服务而定义的应用层协议。 利用SNMP 协议可以查询管理代理实现的MIB中 相应对象的值，以监视网络设备的状态。 管理进程和管理代理之间是通过SNMP 网络管理协 议连接通信的，通过SNMP报文的形式来交换信息 Get：管理站读取代理者处对象的值 Set：管理站设置代理者处对象的值 Trap：代理者向管理站通报重要事件,功能,Get Request：manager从agent取回某些变量的值 Get Next-Request： manager从agent取回变量的下一个变量的值

8、 Set Request： manager设置agent上一个变量的取值 Get Response： agent向manager发送的应答 Trap： agent向manager报告某一异常事件的发生 原子（Atomic）特性：如果一个SNMP 报文中 包括了对多个变量的操作，agent 不是执行所有 操作，就是都不执行。,操作,被管理站对MIB的控制： 认证服务：将对MIB的访问限定在授权的管理站的 范围内。 访问策略：对不同的管理站给予不同的访问权限 代管服务：指的是一个被管理站可以作为其他一些 被管理站（托管站）的代管。 共同体：用来定义一个代理者和一组管理者之间的 认证、访问控制和代管

9、的关系。 代理者可以与多个管理站建立多个共同体，同一个管理站可以出现在不同的共同体中。,共同体（Community）和安全控制,SNMP 的安全控制 管理信息报文的篡改和身份伪装 信息泄漏和报文流篡改,3.1.3 SNMP v3及其安全机制,SNMP v3 协议的组成 协议实体（SNMP entity）：实现SNMP协议功能的整个软件 实体由一个SNMP 引擎（ SNMP engine）和一个或多个有关 的SNMP 应用（ SNMP Application）组成。,报文分拣器,报文处理 子系统,访问控制 子系统,安全处理 子系统,SNMP 引擎 （由SNMP 引擎ID标识）,SNMP v3 协

10、议实体,通告产生器,其它,委托代理 转发器,SNMP应用模块,命令生成器,通告接收器,命令应答器,SNMP 应用模块 命令生成器（Command Generator） 监控和操作管理数据，在管理进程一方实现 命令应答器（Command Responder） 实现对管理数据的访问，在管理代理一方实现 通告产生器（Notification Originator） 发送异步的通知报文，在管理代理一方实现 通告接收器（Notification Receiver） 接收并处理异步的通知报文，在管理进程一方实现 委托代理转发器（Proxy Forwarder） 向不支持SNMP的设备转发报文，在管理代理一

11、方实现,SNMP 引擎 用于发送和接收消息、鉴别消息、对消息进行解密和加密以 及对管理对象的访问控制等服务。 报文分拣器 发送和接收报文，确定报文版本号，将相应报文发送给相应的报文处理模块，为接收和发送PDU的SNMP应用提供一个抽象接口。 报文处理子系统 由若干个报文处理模块组成，按照预定格式准备要发送的报文，或者从接收的报文中提取数据。 安全处理子系统 由安全模型和安全协议组成，提供各种安全服务。 访问控制处理子系统 通过访问控制模块（Access Control Model）提供授权服务 。,SNMPv3 安全机制 安全目标 （1）验证验收到的SNMP 报文的完整性，确认在 传输过程中没

12、有被篡改。 （2）验证源发送者的身份，确认其不是伪装的。 （3）根据报文中的生成时间，确认报文从发送到 接收之间的延迟在限定的时间窗口内。（即 报文流没有被篡改）,SNMPv3 安全机制 鉴别模块 实现数据完整性鉴别和数据源身份鉴别。 时标模块 用于检验报文的传输时延，确认报文时延在规定的时间 窗口内（报文流没有被篡改）。 加密模块 实现对报文内容的加密。,SNMP 小节,SNMP是应用最广泛的一种网络管理协议 应用层协议， TCP/IP协议簇的一部分 管理站与管理代理采用了客户/服务器方式，通过 UDP进行通信，管理站和管理代理都支持SNMP、 UDP和IP协议 SNMP通过共同体来定义一个

13、代理者和一组管理者 之间的认证、访问控制和代管的关系，是网络管理 具有安全性,例题 1,SNMP被设计于哪种协议体系之上，可以在别的协议体系之上 实现吗？ A. TCP/IP，不可以 B. UDP/IP，可以 C. OSI 7层协议，不可以 D. OSI 7层协议，可以,分析 SNMP的设计是基于IP之上的无连接的用户数据报协议UDP，但它仍然可以在其他的传输层协议之上实现。,3.1.4 RMON（Remote Network Monitoring）,为什么需要RMON 使用RMON 扩充了SNMP的管理信息库MIB-2，一种高效、低成本的网络监测方案，特别适用于监测和管理交换或局域网。 轮询

14、（Polling） 网络管理员通过向代理的MIB发出查询信号，得到网络 通信信息和有关网络设备的统计数据的过程。 SNMP 轮询的两个弱点： （1）它没有伸缩性。 （2）它将收集数据的负担加在网络管理控制台上。,RMON MIB 由一组统计数据、分析数据和诊断数据构成。 网络监视器 用于监视整个网络通信情况的设备。 是一个独立的设备或运行监视器软件的工作站、服务器。 每个子网配置一个监视器，并且于中央管理站通信。 第一版RMON主要用于以太网（9个函数组）和令牌环网 （1个函数组）的管理。 一般的交换机至少支持4组RMON。,RMON 的目标 离线操作 必要时由网络管理站来限制或停止对监视器的

15、查询。 主动监视 监视器可以连续不断地运行诊断程序，对网络进行诊断并记录网络性能状况。 问题检测和报告 监视器根据观测到的流量被动的识别并记录某些错误及其他情况，在出现错误时通知管理站。 提供增值数据 监视器可以分析收集到的子网中的数据。 多管理站操作 监视器可以同时和多个管理站并发工作，提供不同信息。,RMON II RMON的补充技术，提供更高层次的诊断和检测功能。,RMON与RMON II的网络管理着眼点,3.2 CMIP/CMIS,3.2.1 CMIP/CMIS概述 CMIP/CMIS是基于ISO/OSI七层模型的网络管理标准。 OSI网络体系结构由四个主要部分组成： 信息模型、组织模

16、型、通信模型、功能模型。 CMIS 支持管理进程和管理代理之间的通信要求。 CMIP 提供管理信息传输服务的应用层协议。 面向对象、分布控制、安全性高。 协议复杂，实施费用较高，支持较少。,三个OSI应用层协议实体（服务元素） 公共管理信息服务元素（CMISE） （Common Management Information Service Element） 使用户能够访问CMIS服务。 关联控制服务元素（ACSE） （Association Control Service Element） 实现打开和关闭管理进程与代理之间的通信联系。 远程操作服务元素（ROSE） （Remote Operat

17、ion Service Element） 用于在联系建立起来后传送和响应。,3.2.2 公共管理信息通信环境,CMIP/CMIS 管理体系结构的缺点 OSI系统管理违反了OSI参考模型的基本思想。 OSI系统管理不能管理通信系统自己内部的故障。 缺乏管理者特定的功能描述。 OSI系统管理太复杂，使得OSI的实际应用产品较少。 缺乏相应的开发工具，代理系统成本太高。 协议复杂，实施费用较高，支持较少。 OSI系统管理不是纯面向对象的。,3.3 基于Web的网络管理技术,3.3.1 WBM 管理方式的实现 代理方式 将一个基于Web的服务器加载到中间工作站（代理服务器），而终端设备轮流和终端网络设

18、备通讯。 网络管理软件负责将收到的网络信息传送到浏览器，并将传统管理协议转换成Web协议。 可以和只支持SNMP协议的设备协同工作。 嵌入方式 将Web功能嵌入到网络设备中，每个设备有自己的Web地址，管理员可通过直接访问并管理该设备。 网络管理软件无须完成协议转换，所有管理信息都是通过超文本传输协议HTTP传送。,实现 WBM 的常见技术 超文本标记语言（HTML） 用于创建表达信息以及提供到达另外一个页面的超级链接。 通用网关接口（CGI） 基于Web的存取数据库中信息的技术。 JAVA语言 WBM 的两个标准 基于Web的企业管理标准（WBEM） 是一个面向对象的工具，将兼容和扩展当前标准。 JAVA管理应用程序接口（JMAPI） SU