《计算机网络管理考前必背.pdf》由会员分享,可在线阅读,更多相关《计算机网络管理考前必背.pdf(110页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机网络管理考前必背第一章网络管理概论1、网络管理的基本概念(1)局域网管理与互联网管理区别局域网运行统一的操作系统,只要熟悉网络操作系统的管理功能和操作命令就可以管理好一个局域网。互联网则需要跨平台的网络管理技术。(2)TCP/IP网络管理系统的发展和应用情况由于TCP/IP协议 的开放性,9 0 年以来逐渐得到网络制造商的支持,已经成为事实上的互联网标准。Ping用 ping发送探测报文可以确定通信目标的连通性及传输时延两点缺陷:ping返回的信息很少,无法获取被管理设备的详细信息用ping程序对很多设备逐个检查,工作效率太低。Snmp(简单网络管理协议)适用于任何支持TCP/IP的网络
2、CMIS(通用管理信息服务)/CMIP(通用管理信息协议)(OSI系统网络管理标准)更适合结构复杂规模庞大的异构型网络,代表未来网络管理发展方向(3)网络管理平台的基本概念主机厂家开发的通用网络管理系统开发软件(IBM NetView,HPOpeonView)网络产品制造商推出的与硬件结合的网络管理工具(Cisco Works2000,Cabletron Spectrum(4)网络管理需求计算机与网络技术的发展网络普及网络组成越来越复杂多厂家设备不兼容网络管理目标减少停机时间,改进响应时间,提高设备利用率减少运行费用,提高效率减少/消灭网络瓶颈适应性技术容易使用安全2.网络管理体系结构(1)网
3、络管理系统的层次结构操作系统、协议支持、网络管理框架、网络管理应用其与OSI参考模型的关系参见图1-1(2)网络管理系统的框架结构1、管理功能分为管理站和代理。2、为存储管理信息提供数据库支持,例如,关系数据库或面向对象的数据库。3、提供用户接口和用户视图功能,例如管理信息浏览器。4、提供基本的管理操。(3)管理站和代理管理站配置软件1、OS 2、通信3、NME(网络管理实体)4、应用5、NMA(网络管理应用)代理配置软件1、OS 2、通信3、NME(网络管理实体)4、应用(4)网络管理系统的配置N M E网络管理实体每一个网络结点都包含一组与管理有关的软件,叫网络管理实体(NME)o 网络管
4、理实体完成下面的任务 收集有关通信和网络活动方面的统计信息 对本地设备进行测试,记录其状态信息 在本地存储有关信息 响应网络控制中心的请求,传送统计信息或设备状态信息根据网络控制中心的指令,设置或改变设备参数N M A 网络管理应用网络中至少有一个结点(主机或路由器)担当管理站的角色(M anager),除过NME之外,管理站中还有一组软件,叫做网络管理应用(NMA)。NMA提供用户接口,根据用户的命令显示管理信息,通过网络向NME发出请求或指令,以便获取有关设备的管理信息,或者改变设备配置。网络中的其他结点在NME的控制下与管理站通信,交换管理信息。这些结点中的NME模块叫做代理模块,网络中
5、任何被管理的设备(主机、网桥、路由器或集线器等)都必需实现代理模块。所有代理在管理站监视和控制下协同工作实现集成的网络管理。(4)网络管理系统提供的操作(5)网络管理的对象和被管理的资源被管理的网络资源分为网络硬件资源和网络软件元素1.被管理的网络硬件资源又分为(1)物理介质和连网设备(2)计算机设备(3)网络互联设备2.被管理的网络软件元素又分为(1)操作系统软件(2)通信软件(3)应用软件访问被管理资源的方式(6)集中式网络管理和分布式网络管理的区别集中式网络管理策略的好处式管理人员可以有效地控制整个网络资源,根据需要平衡网络负载,优化网络性能。然而,对于大型网络,集中式地管理往往显得力不
6、从心地理上分布的网络管理客户机于一组网络管理服务器交互作用,共同完成网络管理功能。这种管理策略可以实现分部门管理:即限制每个客户机只能访问和管理笨部门的部分网络资源,而由一个中心管理站实施全局管理。同时中心管理站还对管理功能较弱的客户机发出指令,实现更高级的管理。分布式网络管理优点灵活性(Flexibility)可伸缩性(S c a l a b i l i t y)(7)委托代理答:管理站和代理/被管理系统所使用的网络管理协议可能不同,所以使用一种叫委托代理的设备来管理一个或多个非标准协议。管理站和委托代理之间运行标准的网络管理协议,委托代理和非标准设备之间运行运行制造商专用的协议。委托代理起
7、到一个协议转换的作用。(8)管理软件组成网络管理软件分为:用户接口软件,管理专用软件和管理支持软件三部分.结合图形理解几点(1)用户通过网络管理接口与管理应用软件交互作用(2)接口软件存在与管理主机上(也可能出现在代理系统中),有一定信息处理能力(3)大方框中为管理专用软件(4)管理支持软件包括M I B(管理信息库)访问模块和通信协议(9)管理应用元素大量应用元素支持少量管理应用,应用元素实现通用的基本管理功能,可以被多个应用程序调用。M 1 B 访问模块代理中的管理信息库包含反映设备配置和设备行为的信息,以及控制设备操作的参数。管理站中的M I B 除保留本地节点专用的管理信息外,还保存着
8、管理站控制的所有代理的信息。M IB 访问模块具有基本的文件管理功能,使得管理站或代理可以访问M I B,同时该模块还能把本地的M I B 格式转换为适于网络管理系统传送的标准格式。数据传输模块提供网络管理数据传输服务,用于在管理站和代理之间交换管理信息。3.网络监控系统(1)网络监控系统的基本功能及其构成网络监视:收集系统和子网的状态信息,分析被管理设备的行为,以及发现网络中存在的问题。网络控制:修改设备参数或重新配置网络资源,以及改善网络的运行状态。网络监控需要解决问题对管理信息的定义监控机制的设计管理信息的应用(2)管理信息分类,获取网络管理信息的方法管理信息可以分成三类静态信息:包括系
9、统和网络的配置信息,例如路由器的端口数和端口编号,工作站的标识和C P U 类型等动态信息:与网络中出现的事件和设备的工作状态有关,例如网络中传送的分组数,网络连接的状态等统计信息:从动态信息推导出的信息,例如,平均每分钟发送的分组数,传输失败的概率等获取网络管理信息的方法静态信息是由网络元素直接产生的,通常由驻在这些网络元素中的代理进程收集和存储,必要时传给监视器。如果网络中没有代理进程,则可由委托代理收集这些静态信息,并传送给监视器动态信息通常也是由产生有关事件的网络元素收集和存储的,然而对于一个局域网来说,网络中各个设备的行为和有关数据可以由连接在子网中的一个专用主机来收集和记录,这个主
10、机叫做远程网络监视器,它的作用是收集整个子网的通信数据统计信息可以由任何能够访问动态信息的系统产生。当然,统计信息也可以由网络监视器自己产生,这就要求吧所有需要的原始数据传送给监视器,再由监视器进行分析和计算(3)网络监控系统的配置,监控代理模块的功能图 P1-4监控应用程序是监控系统的用户接口,它完成性能监视,故障监视和计费监视等功能。管理功能负责与其他网络元素中的代理进程通信,把需要的监控信息提交给监控应用程序。这两个模块都处于管理站中。管理对象表示被监控的网络资源中的管理信息,所有管理对象遵从网络管理标准的规定。管理对象中的信息通过代理功能(4)网络监控系统的通信机制,轮询和事件报告的区
11、别及其实现方法代理和管理站之间由两种通信机制。轮询是一种请求-响应式的交互作用,即由监视器向代理发出请求,询问它所需要的信息值,代理相应监视器的请求,从它所保存的管理信息库中取得请求的信息,返回给监视器。事件报告是由代理主动发送给管理站的信息。代理可以根据管理站的要求定是地发送状态报告,也可能在检测到某些特定事件或非正常事件时生成事件报告,发送给管理站。时间报告对于及时发现网络中的问题是很有用的,特别对于监控状态信息不经常改变的管理对象更有效。(5)通信方式对网络管理系统的影响,OSI系统管理与TCP/IP网络管理在通信方式选择策略上的区别任何网络监控系统中都设置了轮询和事件报告两种通信机制,
12、但强调的重点有所不同。传统的通信管理网络主要依靠事件报告,而 SNMP强调轮询方法,O S I系统管理则采取了两种极端方法的中间道路。4.网络监视(1)网络性能监视的基本概念,面向服务的性能指标和面向效率的性能指标的区别性能测试就是要准确的测量出对管理有用的性能参数面向服务的性能指标强调向用户提供满意的服务(2)网络服务可利用性的定义和计算方法可用性是指网络系统、元素或应用对用户可利用时间的百分比。可用性是网络元素可靠性的表现,可靠性是指网络元素在具体条件下完成特定功能的概率。A=MTBF/(MTBF+MTTR)串联可用性:A=p(a)*p(b)并联可用性:A=p(a)+p(b)-p(a)*p
13、(b)(3)影响网络响应时间的因素,系统响应时间与生产率的关系因素 入口终端延迟:从终端到网络接口设备的通信线路引起的传输延迟 入口服务时间:从网络接口设备通过传输网络到达主机前端的时间。CPU处理延迟:前端处理机、主机和磁盘等设备处理用户命令,作出豁达需要的时间。出口排队时间:在前端处理机端口等待发送到网络上去的排队时间 出口服务时间:通过网络把相应保温传输到网络接口设备的处理时间 出口终端延迟:终端接收相应报文的时间,主要是由通信延迟引起的。响应时间越短,生产率越高。P11图 1-9(4)网络误码率对网络传输正确性的影响监视传输误码率可以发现瞬时的线路故障,以及是否存在噪声源和通信干扰,以
14、便采取措施确保传输的正确性。(5)网络吞吐率的基本概念,吞吐率与网络传输效率的关系吞吐率是面向效率的性能指标,具体表现为一段时间内完成的数据处理的数量,或接受用户会话的数量,或处理的呼叫数量。(6)网络利用率的定义和分析方法网络资源利用的百分比,也是面向效率的指标。P12图 1-11分析方法计算出各个链路的负载占网络总负载的百分率(相对负载),以及各个链路的容量占网络总容量的百分率(相对容量),最后得到相对负载与相对容量的壁纸,及反映了网络资源的相对利用率。P13表(7)掌握性能测试报告的内容和表现形式 主机对通信矩阵:一对源主机和目标主机之间分组传送情况 主机组通信矩阵:一组主机之间通信量的
15、统计 分组类型直方图:各种类型原始分组的统计信息 数据分组长度直方图:不同长度(字节数)数据分组的统计 吞吐率-利用率分布:各个网络节点发送/接收的总字节数和数据字节的统计分组到达时间直方图:不同时间到达的分组数的统计 信道获取时间直方图:在网络接口单元排队等待发送、经过不同延迟时间的分组数的统计 通道延迟直方图:从发出原始分组到分组到达目标的延迟时间的统计 冲突计数直方图:经受不同冲突次数的分组数的统计 传输计数直方图:经过不同试发次数的分组数的统计(8)故障管理的功能模块故障监视:尽快的发现故障找出故障原因,以便及时采取补救措施功能模块故障检测和报警功能:故障监视代理要随时记录系统出错的情
16、况和可能引起故障的时间,并把这些信息存储在运行日志数据库中。故障预测功能:对各种可以引起故障的参数建立门限值,并随时监视参数值变化,一旦超过门限值,就发送警报故障诊断和定位功能:对设备和通信线路进行测试,找出故障原因和故障地点。(9)各种网络测试的定义,网络测试与故障诊断的关系连接测试数据完整性测试协议完整性测试数据饱和测试连接饱和测试环路测试功能测试诊断测试(10)网络计费的基本概念,需要计费的网络资源计费监视主要是跟踪和控制用户对网络资源的使用,并把有关信息存储在运行日志数据库中,为收费提供依据。需要计费的网络资源通 信 设施:LAN、WAN、租用线路或PBX的使用时间计算机硬件:工作站和
17、服务器机时数软 件 系统:下载的应用软件和实用程序的费用服务:包括商业通信服务和信息提供服务(1 1)网络计费日志包含的基本信息 用户标识符 连接目标的标识符 传送的分组数/字节数 安全级别 时间戳 指示网络出错情况的状态码 使用的网络资源5.网络控制(1)网络配置管理,配置管理包含的功能模块配置管理是指初始化、维护和关闭网络设备或子系统。功能模块:定义配置信息 设置和修改设备属性 定义和修改网络元素间的互联关系 启动和终止网络运行 发行软件 检查参数值和互联关系 报告配置现状(2)需要配置信息的物理资源和逻辑资源,配置信息的存储方式访问方法物理资源:主机、路由器、网桥、通信链路和Modem等
18、逻辑资源:定时器、计数器、虚电路等Snmp将简单的配置信息组织成由标量组成的表,每一个标量值表示一种属性值。在 o s i系统管理中,管理信息定义为面向对象的数据库,对象的值表示被管理设备的特性,对象的行为代表了管理操作,对象之间的包含关系和继承关系则规范了它们之间的相互作用。管理信息存储在与被管理设备最接近的代理或委托代理中,管理站通过轮询或事件报告访问这些信息。(3)设置和修改属性修改操作受到两种限制只有授权的管理站才可以施行修改操作 有些属性值反映了硬件配置的实际情况,是不可以改变的对配置信息修改的三种类型 只修改数据库 修改数据库,也改变设备的状态 修改数据库,同时引起设备的动作(4)
19、定义和修改关系关系是指网络资源之间的联系、连接,以及网络资源之间相互依存的条件继承层次是指管理对象之间的继承关系管理域是指被管理资源的集合,这些网络资源具有共同的管理属性或者受同一管理站管理(5)软件发行,软件发行提供的基本功能配置管理向系统和中间系统提供发行软件的功能,即给系统装载指定的软件,更新软件版本和配置软件参数,下载驱动设备工作的数据表。(6)计算机网络的安全需求,危害网络信息流的各种安全威胁安全需求保密性:计算机网络中的信息资源只能由授予权限的用户修改 数据完整性:计算机网络中的信息资源只能由授予权限的用户修改 可用性:具有访问权限的用户在需要时可以利用计算机网络资源信息流可能受到
20、的威胁 中 断(可用性)窃 取(保密性)窜 改(完整性)假 冒(完整性)计算机网络的各种安全威胁 对硬件的威胁:主要是破坏系统硬件的可用性 对软件的威胁:操作系统、实用程序和应用软件可能被改变、被损坏。甚至被恶意删除,从而不能工作,失去可用性。另外还包括软件的非法拷贝 对数据的威胁:四个方面。数据可能被非法访问,破坏了保密性;数据可能被恶意修改或假冒,破坏了完整性;数据文件可能被恶意删除,从而破坏了可用性。甚至在无法读取数据文件的情况下,通过分析文件大小或文件目录中的有关信息推测出数据的特点。对网络通信的威胁:可分为被动威胁和主动城胁。被动威胁并不改变数据流,而是采用各种手段窃取通信链路上传输
21、的信息,从而破坏了保密性。与其相反,主动威胁则可能改变信息流,从而破坏了数据的完整性和可用性。(5)对网络管理的各种安全威胁 伪装的用户:没有得到授权的一般用户企图访问管理应用和管理信息 假冒的管理程序:无关的计算机系统可能伪装成网络管理站实施管理功能 侵入管理站和代理间的信息交换过程:网络入侵者通过网络观察网络活动窃取了敏感的管理信息,更严重的危害可能是窜改管理信息,或中断管理站和代理之间的通信。(6)安全信息维护、资源访问控制、加密过程控制功能及实现方法安全管理中的安全管理是指保护管理站和代理之间信息交换的安全。安全信息维护功能记录系统中出现的各类事件 追踪安全审计试验,自动记录有关安全的
22、重要事件 报告和接收侵犯安全的警示信号,在怀疑出现威胁安全的活动时采取防范措施 经常维护和检查安全记录,进行安全风险分析,编制安全评价报告 备份和保护敏感的文件 研究每个正常用户的活动形象,预先设定敏感资源的使用形象,以便检测授权用户的异常活动和对敏感资源的滥用行为。资源访问控制:包括认证服务和授权服务,以及对敏感资源访问授权的决策过程。访问控制的目的是保护各种网络资源。与网络管理有关的资源是 安全编码 源路由和路由记录信息 路由表 目录表 报警门限 计费信息加密过程控制对管理站和代理之间交换的报文进行加密,这个功能也可以改变加密算法,具有密钥分配能力。6.网络管理标准(1)OSI管理标准的组
23、成CMIS:ISO9595公共管理信息服务定义CMIP:ISO9596公共管理信息协议规范SMFS:ISO10164规定了系统的管理功能SMI:ISO10165规定了管理信息结构(2)TCP/IP网络管理标准的发展情况TC P/IP网 络 管 理 最 初 使 用 的 是 1987年,简 单 网 关 监 控 协 议 SGMP(Simple GatewayMonitoring Protocol)在 SG M P的基础上改进成简单网络管理协议第一版SNMPvl(Simple NetworkManagement Protocol)1990-1991.RFC1155(SMI),RFC1157(SNMP)
24、,RFC1212(MIB 定义),RFC1213(MIB-2规范)远程网络监视 RMON(Remote Monitoring).RMON-1(1991)RMON-2(1995)(3)各种网络管理标准的开发现状和适用范围CMON:局域网管理标准 IEEE802.1bLAN/MANTMN:ITU-T电信网络管理标准,M.30建议书。第二章抽象语法表示ASN.11 .网络数据表示(1)表示层功能是提供统一的网络数据表示。(2)应用实体、表示实体、抽象语法、传输语法应用实体:应用协议按照预先定义的抽象语法构造协议数据单元,用于和对等系统的应用实体交换信息(FTP、TELNET,SNMP等)表示实体:表
25、示实体对应用层数据进行编码,变成二进制的比特串(ASN.1)抽象语法:提供统一的网络数据表示,通常用于定义应用数据的抽象语法和应用层协议数据单元的结构。传输语法:把抽象数据变换成比特串的编码叫做传输语法。2.ASN,1的基本概念(1)ASN.1的文本约定 书写的布局是无效的,多个空格和空行等效于空格。用于表示值和字段的标识符、类型指针(类型名)和模块名由大小写字母、数字和短线组成 标识符以小写字母开头 类型指针和模块名以大写字母开头 ASN.1定义的内部类型全部用大写字母表示 关键字全部用大写字母表示 注释以一对短线(一一)开始,以一对短线或行尾结束。(2)抽象数据类型的基本概念,简单类型表示
26、结构型数据的一般方法。在 ASN.1中,每一个数据类型都有一个标签(Tag)标签有类型和值,数据类型是由标签的类型和值唯一决定的。(3)通用类型,对象标识符类型的构成P25 图 2-1(4)简单类型的定义及其应用简单类型分为四组。第 一 组 包 括 BOOLEANINTEGER.BIT STRING、OCTETSTRING、REAL和 EMUNERATED等。这一组可以叫做基本类型。第二种包括各种字符串类型,标签为UNIVERSAL 1 8-2 2 和 UNIVERSAL 2 5-2 7,这些类型都可以看做是OCTET STRING类型的子集,它们都是采纳其它标准的类型。第三组包括 OBJEC
27、T I D E N T I F I E R 和 Object Descriptor 两种类型。O B J E C TI D E N T 1 F I E R 类型的值是一个对象标识符,由一个整数序列组成,它唯一地标识一个对象。对象描述符(ObjectDescriptor)则以人工可读的形式描述信息对象的语义。第四组包含四种类型。NULL是空类型,它没有值,只占用结构中的一个位置,该位置可能出现或不出现数据。EXTERNAL是外部类型,即标准之外的文档定义的类型。UTCTime和GeneralizedTime是两种有关的时间的类型,其区别是表示时间的形式不同。(5)各种标签的用法 通用标签:用关键
28、字UNIVERSAL表示,带有这种标签的数据类型是由标准定义的适用于任何应用 用关键字APPLICATION表示,是由某个具体应用定义的类型 上下文专用标签:这种标签在本文的一定范围(例如,一个结构)中适用 私有标签:用关键字PRIVATE表示,这是用户定义的标签。(6)集合类型、序列类型SET和 SET OF表示不同类型和相同类型元素的集合SEQUENCE和 SEQUENCE O F表示不同类型和相同类型元素的序列集合是无序的,序列是有序的(7)构造子类型的方法 单个值:列出子类型可取的各个值。包含子类型:这里要用到关键字INCLUDES,说明定义的类型包含了已有类型的所有值。这种方法只能用
29、于整数和实数类型,指出子类型可取值的区间。这种方法只能用于字符串类型,限制可使用的字符集 对五种类型数据限制其大小,限制比特串、字节串或字符串的长度,限制构成序列或集合的元素个数 可用于序列、集合和CHOICE类型3.基本编码规则(1)基本编码规则的结构,用 TLV规则表示简单类型的方法。P32-34(2)对标签值和长度字段扩充的方法有两种字段需要扩充,一是当标签值大于30时类型字节需要扩充;二是当值部分大于一个字节的表示范围时长度字节需要扩充。对标签值的扩充方法如下:我们用五位表示0-30的编码,当标签值大于等于31 时这位置全一,作为转义符,实际的标签值编码表示在后续字节中。后续字节的左边
30、第一位表示是否为最后一个扩充字节,只有最后一个扩充字节的左边第一位置0,其余扩充字节的左边第一位置1.这样每个扩充字节只用了 7 位表示标签值的编码可表示为下面形式:X X X0000.表示标签值0-30XXX11110XXX11111 用后续字节表示标签值对长度字节的扩充方法是:小 于 127的数用长度字节的右边7 位表示,最左边的一位置0.大于等于127的数用后续若干字节表示,原来的长度字节第一位置1,其余7 位指明后续用于表示长度的字节数。见 p344.ASN.1的宏定义(1)定义模块的方法DEFINITIONS:=BEGINEXPORTSIMPORTSAssignmentlistEND
31、其中的modulereference是模块名,可以跟随对应的对象标识符。EXPORTS构造指明该模块可以出口的部分,而 IMPORTS构造指明该模块需要引用的其它类型和值。Assignmentlist部分包含模块定义的所有类型、值和宏定义。(2)宏定义的结构M ACRO:=BEGINTYPE NOTATION:=VALUE NOTATION:=END其中的macroname是宏名,必须全部大写。宏定义由类型表示(TYPE NOTATION)、值表 示(VALUENOTATION)和支持产生式(supporting-productions)3 部分组成,而最后一部分是任选的。(3)由宏定义得到宏
32、实例的方法当用一个具体的值代替宏定义中的变量或参数时就产生了宏实例,它表示一个实际的ASN.1类型第 三 章 MIB-21.SNMP的基本概念(1)TCP/IP协议簇在 Internet中,用主机(Host)一词泛指各种工作站、服务器、PC机、甚至大型计算机。用于连接网络的设备叫网关,或 IP路由器。组成互联网的各个网络可能是IEEE802.3,802.5或其他任何局域网,甚至广域网。T C P是端系统之间的协议,其功能是保证系统之间可靠地发送和接收数据,并给应用进程提供访问端口。互联网中所有端系统和路由器都必需实现IP协议。IP 地主要功能是根据全网唯一的地址把数据从源主机搬运到目标主机。当
33、一个主机中的应用进程选择传输服务(例如TCP)为其传送数据时,以下各层实体分别加上该层协议的控制信息,形成协议数据单元。当 IP 分组到达目标网络目标主机后由下层协议实体逐层向上提交,沿着相反的方向一层一层剥掉协议控制信息,最后把数据交给应用层接收进程。(2)Internet的网络管理框架在 Internet中,网络、设备和主机的管理叫做网络管理,这里的术语与OSI是不同的。早期的 Internet中没有专门的网络管理协议,唯一可用于网络管理协议是ICMP。在网络管理中,ICMP有用的部分是回声(请求/响应)和时间戳(请求/响应)报文,再加上IP 头的某些选项(例如源路由和路由记录等),就可以
34、开发简单的管理工具。其中最著名的就是PING(PacketInterNet Groper)程序。(3).简单网络管理协议的体系结构由 于 SNMP定义为应用层协议,所以它依赖于UDP数据报服务。同时SNMP实体向管理应用程序提供服务,它的作用是把管理应用程序的服务调用变成对应的SNM P协议数据单元,并利用UDP数据报发送出去。其所以选择UDP协议而不是TCP协议,这是因为UDP效率较高,这样实现网络管理不会太多地增加网络负载。但由于UDP不是很可靠,所以SNMP报文容易丢失。为此,对SNMP实现的建议是对每个管理信息要装配成单独的数据报独立发送,而且报文应短些,不超过484个字节。每个代理进
35、程管理若干管理对象,并且与某些管理站建立团体(community)关系,团体名作为团体的全局标识符,是一种简单的身份认证手段。一般来说代理进程不接受没有通过团体名验证的报文,这样可以防止假冒的管理命令。同时在团体每部也可以实行专用的管理策略。(4)、为何使用委托代理:SNMP要求所有代理设备和管理站都实现TCP/IP,对于不支持TCP/IP的设备,只能通过委托代理设备管理若干台非TCP/IP设备,代表这些设备接受管理站的查询。实际上委托代理起到了协议转换做用。委托代理和被管理设备间为非TCP/IP的专用协议。2.MIB结构(1)被管理对象的分层机构,以及对象标识符的组成。SNMP环境中的所有管
36、理对象组织成分层的树结构。层次机构三个作用表示管理和控制关系(org由 OSI代管,internet由 IAB代管)提供了结构化的信息组织形式提供了对象命名机制。书中每个节点都有一个分层的编号。叶子节点代表实际的管理对象,从树根到树叶的编号串联起来,用圆点分开,就形成了管理对象的全局标识。Internet的标识符是136.1(2)internet下面四个节点Directory。)是为OSI的目录服务使用的。Mgmt(2)包括由IAB批准的所有管理对象,而 mib-2是 mgmt(2)的第一个孩子节点。Experimental(3)子树用来标识在互联网上实验的所有管理对象。Private(4)子
37、树是为私人企业管理信息准备的,目前这个子树只有一个孩子节点 Enterprise(1)(3)RFC1I55定义的应用类型,计数器与计量器的区别i.Network Address:=CHOICE internet Ip Address)CHOICE构造定义ii.Internet OBJECT IDENTIFER:=iso(l)org(3)dod(6)1采用对象标示符作为对象唯一标识iii.IpAddress:=APPLICATION 0 IMPLICIT OCTET STRING(SIZE(4)32位 IP地址,定义为OCTET STRING类型iv.Counter:=APPLICATION 1
38、 IMLICIT INTEGER(0.4294967295)计数器类型,只增不减,2 的 32次方后归0V.Cauge:=APPLICATION 2 INTEGER(O.4294967295)计数器类型,可增可减,最大2 的 32次方,锁定不归0vi.TimeTicks:=APPLICATION 3 INTEGER(0.4294967295)时钟类型,单位微秒vii.Opague:=APPLICATION 4JOCTET STRINGarbitrary ASN.l value不透明类即未知数据类型(4)RFC1212定义的管理对象结构、各个部分的含义及其应用.SYNTAX:表示对象类型的抽象语
39、法.ACCESS:SNMP协议访问对象方式,只读、读写、只写、不可访问4 种.STATUS:状态子句,说明实现是否支持这种对象。.DrsclPart:用文字说明对象类型的含义.ReferPsrt:用文字说明可参考在其他MIB模块中定义的对象.IndexPart:定义表对象的索引项.DefValPart:定义对象实例默认值.value NOTATION:指明对象的访问名。3.标量对象和表对象(1)定义表对象的方法SM I只存储标量和二维数组,表对象就是二维数组,表的定义要用到ASN.1的序列类型和对象类型宏定义的索引部分。表由若干行和列对象组成,表中的标量对象叫做列对象,其中只有一个索引对象a)
40、概念表和概念行:表和行对象是没有实例标示符的,它们没有叶子节点,SNM P不能访问,其访问属性为“not-accessible”,这类对象叫做概念表和概念行。b)标量对象:标量对象只能取一个值,为与列对象一致,SNM P规定在标量对象标示符后级连一个0,表示该对象的实例标示符。(2)对象标识符和对象实例标识符的区别P50(3)索引对象的作用,把索引对象实例转换成子标示符的方法对象实例的值转换成子标识符的转换规则:如果索引对象实例取值为整数值,则把整数值作为一个标识符。固定长度的字符串值,则把每一个字节(OCTET)编码为一个子标识符。可变长的字符串值,先把串的实际长度n 编码为第一个子标识符,
41、然后把每一个字节编码为一个子标识符,总共有n+i子标识符。对象标识符,如果长度为n,则先把n 编者按码为第一个标识符,后续对象标识符的各个子标识符,总共n+1个标识符。IP地址,则变为4 个子标识符。(4)表对象标识符的词典顺序对象标识符是整数序列,这种序列瓜了该对象M IB中的逻辑位置,同时表示了一种词典顺序,我们只要按照一定的方式遍历M IB树,就可以排出所有对象及实例的词典顺序。对象的顺序在网络管理中是非常重要的。因为管理站可能不知道代理的M IB组成,所以管理站要用某种手段搜索MIB树,在不知道对象标识符的情况下访问对象的值。4.MIB-2功能组MIB-2包 含 11个功能组,171个
42、对象。(1)、系统组中的管理对象及其在网络中的应用P50系统组提供系统的一般信息。(2)、接口组的管理对象及其在网络中的应用P51接口组包含关于主机接口的配置信息和统计信息a)接口组对象P52b)接口类型和编码P53c)接口状态P54输入错误率=if!nErrors/(if!nUcastPkts+ifInNUcastPkts)输出错误率=ifOutErrors/(ifOutUcastPkts+ifOutNUcastPkts)(3)、地址转换组:包含一个表,每一行对应系统一个物理接口,表示网络地址到物理地址的映像关系。(4)、IP 组的管理对象及其再网络中的应用P55提供IP 协议有关的信息,可
43、分为四类:a)有关性能和故障监控的标量对象b)IP地址表:包含与本地地址有关的信息。c)IP 路由表:包含关于转发路由的一般信息,路由表中的信息可用于配置管理、故障管理,可写。d)IP地址转换表:物理地址和IP地址的对应关系。(5)、ICMP组的管理对象及其在网络管理中的应用P59(6)、TCP组的管理对象及其在网络管理中的应用P60包含与TCP协议实现和操作有关的信息,该组前三项与重传有关。当个TCP实体发送数据段后等待应答并启动计时。如果超时,认为数据丢失。TcpRtoAigorithem说明计算重传时间算法,其值可以是:(7)、UDP组的管理对象及其在网络管理中的应用UDP数据报和本地接
44、收端点的详细信息,只有本地地址和本地端口两项。(8)、EGP组的管理对象及其在网络管理中的应用提供关于EGP路由器发送和接收的EGP报文信息,以及关于EGP邻居的详细信息。邻居状态 egpNeighState 可取值 idle(l),acquisition(2),down(3),up(4).cease轮询模式egpNeighMode 可取值 active(l),passive(2)(9),传输组的管理对象及其在网络管理中的应用设置这一组的目的是针对各种传输介质提供详细的管理信息(10)、M1B-2的局限性:设 计 M IB-2的主要目标是方便管理实体的实现,它只包含基本的网络管理需要,因而限制
45、了许多管理功能的实现。如:对于通信流量分布问题,不能由 MIB-2解决;利用MIB-2只能知道TCP实体建立的连接数量,无法知道该连接的通信;远程网络管理问题无法由MIB-2实现。管理系统的功能取决于两方面因素:一是网络管理协议的能力,二是管理信息库提供的信息。第四章简单网络管理协议1.SNMP的演变(1)SNMP演变轨迹P68-71及下面(2)snmp三个版本的区别及应用Snmp没有实质的安全措施,无数据源认证功能,不能防止偷听,面对这样不可靠的管理环境,许多制造商不得不废除了 set命令,以免网络配置被入侵者恶意窜改。S-snmp增强了安全方面的功能.用报文摘要算法MD5保证数据完整性和进
46、行数据源认证.用时间戳对报文排序.用DES算法提供数据加密功能SMP对 SNMP扩充表现在以下几方面:适用范围复杂程度、速度和效率安全设施兼容性在 SM P的基础上开发出了 SNMPV2,SNMPV2基于参加者的高层管理框架和安全机制实现起来太复杂,对代理的配置很困难,限制了网络发现能力,失去了 SNM P的简单性,后来决定丢掉安全功能,把增加的新标准颁布,并保留了 SNMPV1的报文封装格式,因而叫做基于团体的SN M P,简称SNMPV2c由于SNMPV2没有达到“商业级别”的安全需求,所以SNmp 一直致力于新标准的研制。SNMPV3不仅在SNMPV2C的基础上增加了安全和高层管理功能,
47、而且还可以和以前的标准兼容,以便于以后扩充新的模块。(3)定义snmp的 RFC文档P68-712.SNMPv 1协议数据单元(1)、SNMPv 1 支持的操作仅支持对象值的检索和修改a)Get:检索管理信息库中标量对象的值b)Set:管理站用于设置管理信息库中标量对象的值c)Tr叩:代理用于向管理站报告管理对象的状态变化SNMP不支持管理站改变管理信息库中的叶子节点,不能增加和删除M IB中的管理对象实例。管理站也不能向管理对象发出执行一个动作的命令。管理站只能逐个访问管理信息库中的叶子节点,不能一次性访问一个子数。(2)、SNMPvlPDU 格式管理站和代理站之间交换的管理信息构成SNMP
48、报文,由三部分组成:版本号、团体名、协议数据单元(PDU)。SNM P有 5 种管理操作,只 有 4 种 P D U,管理站发出三种请求报文GelRequest,GetNextRequest和 SetRequest采用的格式是一样的。代理的应答报文只有一种:GetResponse。除 Tr叩 外,4 种 pdu格式相同,共有5 个字段:a)PDU类 型:共 5 种类型b)请求标识:赋予每个请求报文唯一的整数,用于区别不同请求c)错误状态:共有 5 种错误状态:noerror(l),tooBig(l),noSuchName(2),badOnly(4),genError(5)d)错误索引当错误状态
49、非0 时指出出错的变量e)变量绑定表:变量名和对应值的表Trap包含:制造商ID代理地址一般陷入:SNMP定义6 类:特殊陷入:与设备有关的特殊陷入代码时间戳:代理发出陷入的时间(3)、报文应答序列a)GetRequestb)GetNextRequestc)SetRequestd)GetResponsee)T rap,不需要应答(4)、报文的发送和接收过程当一个SNMP协议实体(PE)发送一个报文时执行以下过程P71a)按照ASN1的格式构造P D U,交给认证进程b)认证进程检查源和目标之间是否可以通信c)通过检查,相关的版本号、团体名、PDU组装成报文d)经过BER编码,绞传输实体发送出去
50、当一个SNMP协议实体(PE)接收一个报文时执行以下过程:按照BER编码恢复ASN1报文1、对报文验证版本号和认证信息2、通过分析和验证,分离出协议数据单元,进行语法分析3、必要时经过适当处理返回应答报文4、如果认证检验失败,生成一个陷入报文,向发送站报告通信异常情况。如希望检索多个管理对象,则要把多个管理对象装入一个P D U,这就用到变量绑定表3.SNMPvl的操作(综合应用)(1)、检索简单标量对象值的方法:使用Get操作,如果变量绑定表中包含多个变量,一次可以检索多个标量对象的值。GetResponse操作的原子性:如果请求对象的值可以得到,则给与应答;反之,返回下列错误之一:1)变量