網(wǎng)絡(luò)管理基礎(chǔ)知識(shí)

網(wǎng)絡(luò)管理，簡(jiǎn)稱網(wǎng)管，簡(jiǎn)單地說就是為保證網(wǎng)絡(luò)系統(tǒng)能夠持續(xù)、穩(wěn)定、安全、可靠和高效地運(yùn)行，對(duì)網(wǎng)絡(luò)實(shí)施的一系列方法和措施。網(wǎng)絡(luò)管理的任務(wù)就是收集、監(jiān)控網(wǎng)絡(luò)中各種設(shè)備和設(shè)施的工作參數(shù)、工作狀態(tài)信息，將結(jié)果顯示給管理員并進(jìn)行處理，從而控制網(wǎng)絡(luò)中的設(shè)備、設(shè)施、工作參數(shù)和工作狀態(tài)，使其可靠運(yùn)行。故障管理：計(jì)費(fèi)管理：配置管理和名稱管理：性能管理：安全管理：網(wǎng)絡(luò)流量控制、網(wǎng)絡(luò)路由選擇策略管理(3)網(wǎng)絡(luò)管理系統(tǒng)的層次結(jié)構(gòu)。?把被管理資源畫在單獨(dú)的框中，表明被管理資源可能與管理站處于不同的系統(tǒng)中；?各種網(wǎng)絡(luò)管理框架的共同特點(diǎn)：>管理功能分為管理站和代理兩部分；>為存儲(chǔ)管理信息提供數(shù)據(jù)庫支持；>提供用戶接口和用戶試圖(View)功能；>提供基本的管理操作。(4)集中式網(wǎng)絡(luò)管理和分布式網(wǎng)絡(luò)管理有什么區(qū)別?各有什么優(yōu)缺點(diǎn)？集中式網(wǎng)絡(luò)管理:網(wǎng)絡(luò)中至少有一個(gè)結(jié)點(diǎn)(主機(jī)或路由器)擔(dān)當(dāng)管理站的角色，除過NME之外，管理站中還有一組軟件，叫做網(wǎng)絡(luò)管理應(yīng)用(NMA),網(wǎng)絡(luò)中的其他結(jié)點(diǎn)在NME的控制下與管理網(wǎng)絡(luò)管理具有靈活性(Flexibility)和可伸縮性(Scalability),網(wǎng)絡(luò)管理更加方便。非標(biāo)準(zhǔn)設(shè)備：若系統(tǒng)要求每個(gè)被管理的設(shè)備都能運(yùn)行代理程序，并且所有管理站和代理都支小的系統(tǒng)可能無法完整實(shí)現(xiàn)NME的全部功能；一些設(shè)備(例如Modem和多路器等)根本不能運(yùn)行附加的軟件，把這些設(shè)備叫做非標(biāo)準(zhǔn)設(shè)備。委托代理的設(shè)備(Proxy)來管理一個(gè)或多個(gè)非標(biāo)準(zhǔn)設(shè)備。委托代理和非標(biāo)準(zhǔn)設(shè)備之間運(yùn)行制造商專用的協(xié)議,而委托代理和管理站之間運(yùn)行標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議。這樣，管理站就可以用標(biāo)準(zhǔn)的方式通過委托代理得到非標(biāo)準(zhǔn)設(shè)備的信息，委托代理起?簡(jiǎn)單類型：由單一成份構(gòu)成的原子類型?構(gòu)造類型：由兩種以上成分構(gòu)成的構(gòu)造類型?標(biāo)簽類型：由已知類型定義的新類型lCommunitySNMP網(wǎng)絡(luò)管理是一種分布式應(yīng)用。這種應(yīng)用的特點(diǎn)是管理站和被管理站之間的關(guān)系可以是一對(duì)多的關(guān)系，也可能是多對(duì)一的關(guān)系。SNMP的團(tuán)體是一個(gè)代理和多個(gè)管理站之間的認(rèn)證和訪問控制關(guān)系。允許訪問的團(tuán)體名是在被管理系統(tǒng)一側(cè)定義的。SNMP公共體是指定義驗(yàn)證、訪問控制和代理特代理系統(tǒng)可以對(duì)不同的團(tuán)體定義不同的訪問控制策略，每一個(gè)團(tuán)體被賦予一個(gè)唯一的名字。管理站只能以代理認(rèn)可的團(tuán)體名行使其訪問權(quán)。一個(gè)管理站可能以不同的名字出現(xiàn)在不同的代理中，即管理站實(shí)體可以用不同的名字對(duì)不同的代理實(shí)施不同的訪問權(quán)限。如果兩個(gè)代理定義了同一團(tuán)體名，這種名字的相似性也不意味著它們屬于同一團(tuán)體。MIB的職能就是為管理工作站指定代理，而管理工作站通過獲取MIB對(duì)象的值來執(zhí)行監(jiān)視功能。B表被管理的對(duì)象的一方面的信息。OCTETSTRINGOBJECTIDENTIFIERSEQUENCE(OF)磁UNIVERSAL2UNIVERSAL4UNIVERSAL5UNIVERSAL6UNIVERSAL16整數(shù)位組串對(duì)彖標(biāo)識(shí)符44444pppc1.系統(tǒng)組(Systemgroup):提供了系統(tǒng)的一般信息。2.接口組(Interfacegroup):包含主機(jī)接口的配置信息和統(tǒng)計(jì)信息。3.地址轉(zhuǎn)換組(Addresstranslationgroup):包含網(wǎng)絡(luò)地址到接口的物理地址的映像P7.UDP組：提供了關(guān)于UDP數(shù)據(jù)報(bào)和本地接收端點(diǎn)的詳細(xì)信息。9.傳輸組(Transmissiongroup):設(shè)置這一組的目的是針對(duì)各種傳輸介質(zhì)提供詳細(xì)的管理信息。事實(shí)上這不是一個(gè)組，而是一個(gè)聯(lián)系各種端口專用信息的特殊結(jié)點(diǎn)。ISMI(SMI)說明了定義和構(gòu)造MIB的總體框架，以及數(shù)據(jù)類型的表示和命名方法。SMI的宗旨是保定義了MIB的層次結(jié)構(gòu)：提供了定義管理對(duì)象的語法結(jié)構(gòu)；規(guī)定了對(duì)象值的編碼方法。實(shí)現(xiàn)的建議是對(duì)每個(gè)管理信息要裝配成單獨(dú)的數(shù)據(jù)報(bào)獨(dú)立發(fā)送，而且報(bào)文應(yīng)短些，不超過484個(gè)字a)由于輪詢的性能限制，SNMP不適合管理很大的網(wǎng)絡(luò)；b)SNMP不適合檢索大量數(shù)據(jù)；c)SNMP陷入報(bào)文沒有應(yīng)答，代理不知道管理站是否收到報(bào)文，這樣可能會(huì)丟掉某些重要管理信息d)SNMP只提供簡(jiǎn)單的團(tuán)體名認(rèn)證，安全措施不夠；e)SNMP不直接支持向被管理設(shè)備發(fā)送命令；f)SNMP的管理信息庫MIB-2支持的管理對(duì)象是很有限的，不足以完成復(fù)雜的管理功能。g)SNMP不支持管理站之間的通信，而這一點(diǎn)在分布式網(wǎng)絡(luò)管理中是很需要的。訪問控制有MIB視圖(View,或者叫做視閾)和訪問模式兩方面的含義。MIBMIBView于同一視圖的對(duì)象不必屬于同一子樹。訪問模式：集合{read-only,read-write}的一個(gè)元素。對(duì)于一個(gè)團(tuán)體可以定義一種訪有關(guān)一個(gè)團(tuán)體的MIB視圖和訪問模式的組合叫做該團(tuán)體的形象(Profile,或者叫做輪廓)。SNMPvl的安全機(jī)制很簡(jiǎn)單，只是驗(yàn)證團(tuán)體名。屬于同一團(tuán)體的管理站和被管理站才能互相作用，發(fā)送給不同團(tuán)體的報(bào)文被忽略。?管理信息結(jié)構(gòu)的擴(kuò)充。管理站和管理站之間的通訊能力°新的協(xié)議操作了更精致更嚴(yán)格的規(guī)范，規(guī)定了新的管理對(duì)象和MIB的文檔，可以說是SNMPvlSMI的超?通知的定義v過事務(wù)處理產(chǎn)生和激活概念行，或管理站與代理協(xié)商生成概念行；?③初始化非默認(rèn)值對(duì)?④激活概念行SNMPvl的安全機(jī)制很簡(jiǎn)單，只是驗(yàn)證團(tuán)體名。屬于同一團(tuán)體的管理站和被管理站才能互相作用，發(fā)送給不同團(tuán)體的報(bào)文被忽略。＞發(fā)送實(shí)體首先構(gòu)造管理通信消息SnmpMgmtCom,這需要査找本地?cái)?shù)據(jù)庫，發(fā)現(xiàn)合法的參加者和上下文。＞然后，如果需要認(rèn)證協(xié)議，則在SnmpMgmtCom前面加上認(rèn)證信息authlnfo,構(gòu)成認(rèn)證節(jié)的消息摘要，作為認(rèn)證信息中的authDigesto＞第三步是檢査目標(biāo)參加者的私有協(xié)議，如果需要加密，則采用指定的加密協(xié)議對(duì)SnwAuthMsg加密，生成privData(SnmpAuthMsg)。數(shù)據(jù)庫，發(fā)現(xiàn)需要的驗(yàn)證信息。根據(jù)本地?cái)?shù)據(jù)庫的記錄，可能需要使用私有協(xié)議對(duì)報(bào)文解密，對(duì)認(rèn)證碼進(jìn)行驗(yàn)證，檢査源方參加者的訪問特權(quán)和上下文是否符合要求等。一旦作了。＜管理信息結(jié)構(gòu)的擴(kuò)充?管理站和管理站之間的通訊能力＜新的協(xié)議操作SNMPv3工作組發(fā)布的文檔定義了一套安全功能和框架，使它們能夠與SNMPv2或者SNMPvl中的功能一起使用，該框架也適合于新功能的使用，并包含安全性的增強(qiáng)和修改。SNMPv3U格式和功能“SNMPv3等于SNMPv2加上安全和管理”SNMP實(shí)體都有模塊的集合組成，模塊之間相互作用來提供服務(wù)。?SNMP引擎和它所支持的應(yīng)用都定義為離散模塊的集合。?這種結(jié)構(gòu)的優(yōu)點(diǎn)：1)我們將看到SNMP實(shí)體的角色由在該實(shí)體內(nèi)實(shí)現(xiàn)的模塊所決定；2)規(guī)范化的模塊化結(jié)構(gòu)可以讓它本身定義每一個(gè)模塊的不同版本。用基元和參數(shù)定義的接口稱之為抽象服務(wù)接口。報(bào)頭和PDU,由消息處理子系統(tǒng)創(chuàng)建并處理。指令發(fā)生器消息處理過程中涉及的關(guān)鍵性步驟：(18)SNMPv3的兩個(gè)安全模型(USM,VACM)及其特點(diǎn)。 被管理對(duì)象；VACM使用為該代理定義了訪問控制策略的MIB,并使用遠(yuǎn)程配置成為可能。RMON定義了遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的管理信息庫以及SNMP管理站與遠(yuǎn)程監(jiān)視器之間的接口。一般來說，RMON的功能就是監(jiān)視子網(wǎng)范圍內(nèi)的通信，從而減少管理站和被管理系統(tǒng)之間的通信負(fù)擔(dān)。更具離線操作。主動(dòng)監(jiān)視。問題檢測(cè)和報(bào)告：提供増值數(shù)據(jù)：多管理站操作：RMON對(duì)表對(duì)象的管理作出了什么改進(jìn)？RMON規(guī)范中增加了兩種新的數(shù)據(jù)類型：OwnerString和EntryStatus,RMON規(guī)范中的表結(jié)只有行的所有者才能發(fā)出SetRequestPDU,把行狀態(tài)對(duì)彖的值置為invalid⑷，這樣就刪除了行。這是否意味著物理刪除，取決于具體的實(shí)現(xiàn)：首先置行狀態(tài)對(duì)象的值為invalid⑷，然后用SetRequestPDU改變行中其他對(duì)象的值.(4)試描述警報(bào)組、過濾組、事件組和包捕獲組的關(guān)系。1.實(shí)現(xiàn)報(bào)警組時(shí)必須實(shí)現(xiàn)事件組；2.實(shí)現(xiàn)最高N臺(tái)主機(jī)組時(shí)必須實(shí)現(xiàn)主機(jī)組；3.實(shí)現(xiàn)捕獲組時(shí)必須實(shí)現(xiàn)過濾組。RMON警報(bào)組定義了一組網(wǎng)絡(luò)性能的門限值，超過門限值時(shí)向控制臺(tái)產(chǎn)生報(bào)警事件。過濾組提供一種手段，使得監(jiān)視器可以觀察接口上的分組，通過過濾選擇出某種指定的特殊分組。一組過濾器的組合叫做通道。可以對(duì)通過通道測(cè)試的分組計(jì)數(shù)，也可以配置通道使得通過的分組產(chǎn)生事件(由事件組定義)，或者使得通過的分組被捕獲(由捕獲組定義)。事件組的作用是管理事件。事件是由MIB中其他地方的條件觸發(fā)的，事件也能觸發(fā)其他地方的作用。產(chǎn)生事件的條件在RMON其他組定義，例如警報(bào)組和過濾組都有指向事件組的索引包捕獲組建立一組緩沖區(qū)，用于存儲(chǔ)從通道中捕獲的分組。協(xié)議目錄組(protocolDir):這一組提供了表示各種網(wǎng)絡(luò)協(xié)議的標(biāo)準(zhǔn)化方法，使得管理站可以了解監(jiān)視器所在的子網(wǎng)上運(yùn)行什么協(xié)議。這一點(diǎn)很重要，特別對(duì)于管理站和監(jiān)視器來自不同制造商時(shí)是完全必要的。協(xié)議分布組(protocolDist)：提供每個(gè)協(xié)議產(chǎn)生的通訊統(tǒng)計(jì)數(shù)據(jù)?，F(xiàn)網(wǎng)絡(luò)設(shè)備、建立網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)有用。這一組可以為監(jiān)視器在每一個(gè)接口上觀察到的每一種協(xié)議建立一個(gè)表項(xiàng)，說明其網(wǎng)絡(luò)地址和物理地址之間的對(duì)應(yīng)關(guān)系。網(wǎng)絡(luò)層地址發(fā)現(xiàn)主機(jī)。這樣管理人員可以超越路由器看到子網(wǎng)之外的IP主機(jī)。網(wǎng)絡(luò)層矩陣組(nlMatrix):記錄主機(jī)對(duì)(源/目標(biāo))之間的通訊情況，收集的信息類似于RM0N1應(yīng)用層主機(jī)組(alHost):對(duì)應(yīng)每個(gè)主機(jī)的每個(gè)應(yīng)用協(xié)議(指第三層之上的協(xié)議)在alHost表中有一個(gè)表項(xiàng)，記錄有關(guān)主機(jī)發(fā)送/接收的分組/字節(jié)數(shù)等。這一組使用戶可以了解每個(gè)主機(jī)上的每個(gè)應(yīng)用協(xié)議的通訊情況。應(yīng)用層矩陣組(alM