第11章網(wǎng)絡(luò)管理與維護(hù)課件

本章要點：網(wǎng)絡(luò)管理的功能簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)常用的網(wǎng)絡(luò)管理工具

第11章網(wǎng)絡(luò)管理與維護(hù)

11.1網(wǎng)絡(luò)管理系統(tǒng)

網(wǎng)絡(luò)管理員的任務(wù)是監(jiān)測和控制組成整個Intranet的硬件和軟件系統(tǒng)，監(jiān)測并糾正那些導(dǎo)致網(wǎng)絡(luò)通信低效甚至不能進(jìn)行通信的問題，并且盡量降低這些問題再度發(fā)生的可能性，因為硬件或軟件的錯誤都能導(dǎo)致這些問題，所以，要同時對硬件和軟件進(jìn)行管理。網(wǎng)絡(luò)管理通常是很困難的，因為網(wǎng)絡(luò)大多是層次性的，特別是網(wǎng)絡(luò)系統(tǒng)規(guī)模的日益擴(kuò)大和網(wǎng)絡(luò)應(yīng)用水平的不斷提高，一方面使得網(wǎng)絡(luò)的維護(hù)成為網(wǎng)絡(luò)管理的重要問題之一，例如，排除網(wǎng)絡(luò)故障更加困難、維護(hù)成本上升等。即使在一個很小的局域網(wǎng)內(nèi)，組成這個Intranet的硬件和軟件都有可能是出自不同的廠家。某個廠家的產(chǎn)品的一個小失誤，將會導(dǎo)致它與其他共同組成Intranet的產(chǎn)品存在不兼容。如果Intranet的規(guī)模相當(dāng)大，檢測和糾正這種由不兼容導(dǎo)致的問題是很困難的。11.1.1網(wǎng)絡(luò)管理的意義

要特別注意的是，軟件或硬件的失效引起的錯誤往往是比較容易檢測和糾正的，反而是那些由于軟件或硬件的小BUG引起的間歇性的、不會導(dǎo)致通信中斷但會影響通信效率的問題才是最難檢測和解決的，而且這種問題會隨著時間的推移而逐漸惡化，嚴(yán)重影響網(wǎng)絡(luò)的性能，最終導(dǎo)致網(wǎng)絡(luò)崩潰。另一方面是如何提高網(wǎng)絡(luò)性能，也成為網(wǎng)絡(luò)系統(tǒng)應(yīng)用的主要問題。雖然可以通過增強或改善網(wǎng)絡(luò)的靜態(tài)措施來提高網(wǎng)絡(luò)的性能，例如增強網(wǎng)絡(luò)服務(wù)器的處理能力，采用DWDM/SDH、1000BASE作為網(wǎng)絡(luò)主干，以及采用網(wǎng)絡(luò)交換等新技術(shù)來擴(kuò)展網(wǎng)絡(luò)的帶寬等。此外，在網(wǎng)絡(luò)運行過程中，負(fù)載平衡等動態(tài)措施也是提高網(wǎng)絡(luò)性能的重要方面。通過靜態(tài)或動態(tài)措施提高的網(wǎng)絡(luò)性能分別稱為網(wǎng)絡(luò)的靜態(tài)性能和動態(tài)性能。網(wǎng)絡(luò)動態(tài)性能的提高是通過網(wǎng)絡(luò)管理系統(tǒng)即“網(wǎng)管系統(tǒng)”來加以解決的。11.1網(wǎng)絡(luò)管理系統(tǒng)

11.1.1網(wǎng)絡(luò)管理的意義

網(wǎng)絡(luò)管理系統(tǒng)應(yīng)當(dāng)能對網(wǎng)絡(luò)設(shè)備及其應(yīng)用加以規(guī)劃、監(jiān)控和管理，并跟蹤、記錄、分析網(wǎng)絡(luò)的異常情況，使網(wǎng)管人員能即時處理問題。國際標(biāo)準(zhǔn)化組織(ISO)在ISO/IEC7498-4文檔中定義了網(wǎng)絡(luò)管理的5大功能：配置管理、故障管理、性能管理、安全管理和計費管理，并被廣泛接受。1.配置管理設(shè)置開發(fā)系統(tǒng)中有關(guān)路由操作的參數(shù)。被管對象和被管對象組名字的管理。初始化或關(guān)閉被管對象。根據(jù)需要收集系統(tǒng)當(dāng)前狀態(tài)的有關(guān)信息。獲取系統(tǒng)最重要變化的信息。更改系統(tǒng)的配置。11.1.2網(wǎng)絡(luò)管理的功能

11.1網(wǎng)絡(luò)管理系統(tǒng)

2.故障管理故障管理指的是管理功能中的監(jiān)測設(shè)備故障以及與故障設(shè)備的監(jiān)測、恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供可靠的服務(wù)。故障管理是網(wǎng)絡(luò)管理中最基本的功能之一。用戶都希望有一個可靠的計算機網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)中某個網(wǎng)元出現(xiàn)故障時，網(wǎng)絡(luò)管理系統(tǒng)必須迅速查找到故障并能及時報告網(wǎng)絡(luò)管理員，同時給予排除。不過，通常不大可能迅速隔離某個故障，因為網(wǎng)絡(luò)故障的產(chǎn)生原因往往相當(dāng)復(fù)雜，特別是由多個網(wǎng)絡(luò)共同引起故障的時候。在這種情況下，首先將網(wǎng)絡(luò)進(jìn)行修復(fù)，然后再分析網(wǎng)絡(luò)故障的原因。分析故障原因?qū)τ诜乐诡愃乒收系脑俅伟l(fā)生相當(dāng)重要。網(wǎng)絡(luò)故障管理包括故障檢測、隔離和糾正3個方面，網(wǎng)絡(luò)故障管理主要有以下典型功能：11.1網(wǎng)絡(luò)管理系統(tǒng)

11.1.2網(wǎng)絡(luò)管理的功能

對網(wǎng)絡(luò)故障的檢測，是基于對網(wǎng)絡(luò)組成部件狀態(tài)的檢測，不嚴(yán)重的簡單故障通常被記錄在錯誤日志中，并不作特別處理。而嚴(yán)重的故障則需要通過網(wǎng)絡(luò)管理器，即所謂的“報警”。網(wǎng)絡(luò)管理器應(yīng)當(dāng)根據(jù)有關(guān)信息對報警進(jìn)行處理并排除故障。當(dāng)故障比較復(fù)雜時，網(wǎng)絡(luò)管理器應(yīng)能執(zhí)行一些診斷測試來辨別故障原因。11.1網(wǎng)絡(luò)管理系統(tǒng)

11.1.2網(wǎng)絡(luò)管理的功能

維護(hù)并檢查錯誤日志。接受錯誤檢測報告并作出響應(yīng)。跟蹤、辨認(rèn)錯誤。執(zhí)行診斷測試。糾正錯誤。3.性能管理性能管理用于對系統(tǒng)運行和通信效率等系統(tǒng)性能進(jìn)行評價，包括從被管理設(shè)備中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)，分析和統(tǒng)計歷史數(shù)據(jù)，建立性能分析模型，預(yù)測網(wǎng)絡(luò)性能的長期趨勢，并根據(jù)分析和預(yù)測結(jié)果對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和參數(shù)進(jìn)行調(diào)整。性能管理保證了網(wǎng)絡(luò)資源的最優(yōu)化利用。性能管理所涉及到的參數(shù)通常包括網(wǎng)絡(luò)負(fù)載、吞吐率和網(wǎng)絡(luò)響應(yīng)時間，其過程通常包括性能監(jiān)視、性能控制和性能分析。其分析的結(jié)果可能會觸發(fā)某個診斷測試過程或重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。11.1網(wǎng)絡(luò)管理系統(tǒng)

11.1.2網(wǎng)絡(luò)管理的功能

4.安全管理安全管理涉及的問題包括保證網(wǎng)絡(luò)管理工作可靠進(jìn)行的安全問題，保護(hù)網(wǎng)絡(luò)用戶個人隱私和保護(hù)網(wǎng)絡(luò)管理對象的問題。安全管理一直是網(wǎng)絡(luò)系統(tǒng)的薄弱環(huán)節(jié)之一，而用戶對網(wǎng)絡(luò)安全的要求往往又相當(dāng)高，因此，網(wǎng)絡(luò)安全管理就顯得非常重要。網(wǎng)絡(luò)中主要存在以下幾大安全問題：網(wǎng)絡(luò)數(shù)據(jù)的私有性(保護(hù)網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲取)。授權(quán)(防止侵入者在網(wǎng)絡(luò)上發(fā)送錯誤信息)。訪問控制(控制對網(wǎng)絡(luò)資源的訪問)。相應(yīng)地，網(wǎng)絡(luò)安全管理包括對授權(quán)機制、訪問機制、加密和加密關(guān)鍵字的管理，另外還要維護(hù)和檢查安全日志，包括以下幾個方面：創(chuàng)建、刪除、控制安全服務(wù)和機制。與安全相關(guān)信息的分布。與安全相關(guān)事件的報告。11.1網(wǎng)絡(luò)管理系統(tǒng)

11.1.2網(wǎng)絡(luò)管理的功能

5.計費管理計費管理過程主要用于完成與費用有關(guān)的一些信息的收集、處理并給出報告，包括用戶對網(wǎng)絡(luò)資源的使用等，計費管理功能提供了對用戶收費的依據(jù)。對于Intranet來說，大多不存在收費問題，但是仍需要計費管理功能。因為計費管理功能提供了用戶使用網(wǎng)絡(luò)資源情況的詳細(xì)記錄。分析這些記錄對優(yōu)化網(wǎng)絡(luò)性能、促使用戶合理使用網(wǎng)絡(luò)資源具有重大的意義。計費網(wǎng)絡(luò)資源使用、核算使用、限制使用以及費用記錄庫的維護(hù)和通信也是計費管理工作內(nèi)容之一。。11.1網(wǎng)絡(luò)管理系統(tǒng)

11.1.2網(wǎng)絡(luò)管理的功能

為了理解一個網(wǎng)絡(luò)管理系統(tǒng)是如何運行的，首先要了解組成這個系統(tǒng)的各個主要要素。一個網(wǎng)絡(luò)管理系統(tǒng)包括以下幾個要素：管理軟件、管理代理、管理信息庫、代理設(shè)備和數(shù)據(jù)庫服務(wù)器。1.管理軟件2.管理代理3.代理設(shè)備4.管理信息庫5.數(shù)據(jù)庫服務(wù)器11.1.3網(wǎng)絡(luò)管理系統(tǒng)的組成

11.1網(wǎng)絡(luò)管理系統(tǒng)

1.集中式網(wǎng)絡(luò)管理在集中式網(wǎng)管體系中，由一個管理者對整個網(wǎng)絡(luò)的運行進(jìn)行管理，負(fù)責(zé)處理所有代理上的管理信息。集中式網(wǎng)管的體系結(jié)構(gòu)如圖10-3所示，它具有簡單、價格低和易維護(hù)等優(yōu)點，因而成為目前使用最為普遍的一種模式。但是隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜度的迅速增大，集中式結(jié)構(gòu)已暴露出其不可克服的缺點，主要表現(xiàn)在以下幾個方面：管理中心需要處理所有的管理信息，導(dǎo)致大量的數(shù)據(jù)可能來不及處理。所有的信息都涌向中央管理者，網(wǎng)絡(luò)傳輸量大，容易引起阻塞，并且對網(wǎng)絡(luò)傳輸速率和管理平臺CPU要求很高。整個網(wǎng)絡(luò)管理系統(tǒng)的運轉(zhuǎn)都依賴于管理中心，一旦管理中心發(fā)生故障，整個系統(tǒng)將崩潰，可靠性太差。固有的輪詢機制導(dǎo)致了大量的網(wǎng)絡(luò)傳輸和時間延遲，影響了網(wǎng)管的效率甚至是正確性，也限制了網(wǎng)絡(luò)規(guī)模的擴(kuò)大。網(wǎng)管功能固定，難于修改和擴(kuò)充，并且管理者只能對設(shè)備進(jìn)行簡單的管理操作，網(wǎng)絡(luò)管理信息不能共享。11.1.4網(wǎng)絡(luò)管理體系結(jié)構(gòu)

11.1網(wǎng)絡(luò)管理系統(tǒng)

2.分布式網(wǎng)絡(luò)管理

分布式網(wǎng)絡(luò)管理采用一種對等式的結(jié)構(gòu)，網(wǎng)絡(luò)管理功能被分布到多個管理者上，管理者完成各自域內(nèi)的網(wǎng)絡(luò)邏輯管理(綜合管理)，而每個被管設(shè)備都是具有一定自我管理能力的自治單元。分布式網(wǎng)絡(luò)管理的根本特性就是能容納整個網(wǎng)絡(luò)的擴(kuò)展、可靠、管理性能高，但是，由于缺乏完善的協(xié)議和通信機制的支持，目前還沒有實質(zhì)性的發(fā)展。11.1網(wǎng)絡(luò)管理系統(tǒng)

11.1.4網(wǎng)絡(luò)管理體系結(jié)構(gòu)

網(wǎng)絡(luò)管理系統(tǒng)的概念模型主要由管理者、管理代理和被管對象等實體及其相互作用組成，根據(jù)這些實體的功能和相互作用方式的不同，主要可分為基于SNMP的網(wǎng)絡(luò)管理系統(tǒng)和基于CMIP的網(wǎng)絡(luò)管理系統(tǒng)兩種。11.1.5網(wǎng)絡(luò)管理體系的協(xié)議

11.1網(wǎng)絡(luò)管理系統(tǒng)

基于SNMP的網(wǎng)絡(luò)管理系統(tǒng)是由IETF提出，并廣泛應(yīng)用于Internet，它的主要標(biāo)準(zhǔn)由一系列RFC組成，其特點是面向功能、集中控制、協(xié)議簡單和支持廣泛。這是目前應(yīng)用最廣泛的一種網(wǎng)絡(luò)管理系統(tǒng)?；贑MIP的網(wǎng)絡(luò)管理系統(tǒng)由ISO提出并被ITU-T的TMN所采用。通用管理信息協(xié)議(CommonManagementInformationProtocol，CMIP)是構(gòu)建于開放系統(tǒng)互聯(lián)(OSI)通信模型之上的網(wǎng)絡(luò)管理協(xié)議，與之相關(guān)的通用管理信息服務(wù)(CommonManagementInformationServices，CMIS)定義了獲取、控制和接收有關(guān)網(wǎng)絡(luò)對象、設(shè)備信息和狀態(tài)的服務(wù)。它的主要標(biāo)準(zhǔn)由ISO9595/9596及ITU-TM.3000系列建議組成，其特點是面向?qū)ο蟆⒎植伎刂?、協(xié)議復(fù)雜和支持較少。CMIP主要是為OSI7層協(xié)議模型的傳輸環(huán)境而設(shè)計，CMIP采用報告機制，并具有許多特殊的設(shè)施和能力，需要能力強的處理機和大容量的存儲器，因此目前支持它的產(chǎn)品較少。

網(wǎng)絡(luò)管理系統(tǒng)的發(fā)展趨勢是在TMN框架下結(jié)合SNMP和CMIP的優(yōu)點向?qū)哟位?、集成化、Web化和智能化發(fā)展。11.1.5網(wǎng)絡(luò)管理體系的協(xié)議

11.1網(wǎng)絡(luò)管理系統(tǒng)

11.2簡單網(wǎng)管協(xié)議(SNMP)

簡單網(wǎng)絡(luò)管理協(xié)議屬于應(yīng)用協(xié)議，用于在網(wǎng)絡(luò)設(shè)備之間交換管理信息。它是TCP/IP協(xié)議套件的一部分。SNMP使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題，進(jìn)而規(guī)劃網(wǎng)絡(luò)的發(fā)展。SNMP協(xié)議的研制工作始于1987年。當(dāng)開始研究時，TCP聯(lián)盟采取的是一種全新的網(wǎng)絡(luò)管理方式。開發(fā)基礎(chǔ)是簡單網(wǎng)關(guān)監(jiān)視協(xié)議(SGMP)。SGMP協(xié)議實際完成的任務(wù)是由純粹的監(jiān)控功能組成，這些監(jiān)控功能是在廣域網(wǎng)關(guān)(路由器)上實現(xiàn)的。Internet聯(lián)盟指示由負(fù)責(zé)實現(xiàn)SGMP協(xié)議的Internet小組去編制功能更廣泛的后續(xù)協(xié)議，此項開發(fā)的任務(wù)導(dǎo)致了SNMP的問世。因為Internet聯(lián)盟總是盡力提供一個可供開發(fā)的框架，于是，SNMP協(xié)議的規(guī)范很自然地被建立在抽象文法表示(ASN.1)的基礎(chǔ)上。SNMP是一個對廣域網(wǎng)和局域網(wǎng)都普遍適用的協(xié)議。管理信息庫和管理信息結(jié)構(gòu)也被合并到SNMP管理標(biāo)準(zhǔn)之中。從協(xié)議被實際檢驗到作為一個官方的SNMP標(biāo)準(zhǔn)被IAB驗證為止。1990年，SNMP協(xié)議被提升到與TCP/IP協(xié)議同等的地位，從而引起了網(wǎng)絡(luò)管理領(lǐng)域意義重大的積極變化。11.2.1簡單網(wǎng)管協(xié)議(SNMP)簡介

SNMP的體系結(jié)構(gòu)也沿用了Internet中普遍適用的Client/Server結(jié)構(gòu)。為了和通常意義上的應(yīng)用軟件/應(yīng)用服務(wù)器(網(wǎng)絡(luò)術(shù)語用Client/Server來描述這種結(jié)構(gòu))相區(qū)別，網(wǎng)絡(luò)管理系統(tǒng)用術(shù)語Manager/Agent來描述這種結(jié)構(gòu)。在實際應(yīng)用中，Manager和Agent完全遵循傳統(tǒng)的Client/Server模式，只是用了一個更清晰的術(shù)語而已。SNMP以簡單的詢問/回答模式為基礎(chǔ)。發(fā)送詢問的客戶，通常作為管理者進(jìn)行描述，即Manager；SNMP的服務(wù)器(回答詢問的設(shè)備)則被視為代理，即Agent。SNMP協(xié)議賦予網(wǎng)管站按照SNMP規(guī)則去讀取和修改代理參數(shù)的權(quán)利。SNMP也允許代理在某些條件(例如報警)下，向管理站點發(fā)送非請求的消息。11.2.2SNMP的體系結(jié)構(gòu)

11.2簡單網(wǎng)管協(xié)議(SNMP)

SNMP管理的網(wǎng)絡(luò)包括被管理設(shè)備、代理和網(wǎng)絡(luò)管理系統(tǒng)(NMS)3個主要組成部分。被管理設(shè)備包括一個SNMP代理并且駐留在一個被管理網(wǎng)絡(luò)中，它收集并存儲管理信息，并使這些信息對于使用SNMP的NMS是可用的。被管理設(shè)備有時也被稱為網(wǎng)絡(luò)元素，它可以是路由器、交換機、主機等。代理是一個網(wǎng)絡(luò)管理軟件模塊，它駐留在一個被管理設(shè)備中，代理具有管理信息的本地知識，并把這些信息翻譯成與SNMP兼容的形式。NMS監(jiān)測并控制被管理設(shè)備，它提供網(wǎng)絡(luò)管理所需的大部分進(jìn)程和內(nèi)存資源，NMS只存在于被管理網(wǎng)絡(luò)中。11.2.3SNMP的基本組件

11.2簡單網(wǎng)管協(xié)議(SNMP)

SNMP沒有定義一套覆蓋網(wǎng)絡(luò)管理的各個方面的命令集合。相反，SNMP采用了一種極其簡單的fetch-store模式，使用兩種基本操作來讀取和設(shè)置被管理對象的參數(shù)。SNMP實現(xiàn)中的基本命令有3個：Get、Set和Trap。Get：管理系統(tǒng)可以讀取管理代理包含的對象信息的值。Get命令是SNMP協(xié)議中使用率最高的一個命令，因為它是從網(wǎng)絡(luò)設(shè)備中獲取管理信息的基本方法。Set：管理系統(tǒng)可以修改管理代理包含的對象信息的值。Set命令是一個特權(quán)命令，因為通過它可以改變設(shè)備的配置或控制設(shè)備的運行狀態(tài)。Trap(陷阱)：管理代理可以向網(wǎng)絡(luò)管理軟件主動發(fā)送一些信息。Trap命令的功能是在網(wǎng)絡(luò)管理系統(tǒng)沒有明確的要求下，管理代理主動通知網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)上有一些特別的情況或特別的問題發(fā)生了。11.2.4SNMP的基本命令

11.2簡單網(wǎng)管協(xié)議(SNMP)

MIB(ManagedInformationBase)是一個信息的集合，它分層組織，接受網(wǎng)絡(luò)管理協(xié)議(如SNMP)的訪問。MIB由被管理對象組成，并且由對象標(biāo)識符進(jìn)行標(biāo)識，每個對象必須有一個惟一的標(biāo)識符。被管理對象是被管理設(shè)備的一個特殊特性，它由一個或多個對象實例組成，是重要的變量。SNMP協(xié)議規(guī)范主要包括管理信息結(jié)構(gòu)SMI(StructureofManagementInformation)、管理信息庫MIB(ManagementInformationBase)和SNMP協(xié)議(SimpleNetworkManagementProtocol)3部分，其中，SMI用于描述信息的格式；MIB包括具體的管理信息內(nèi)容；SNMP規(guī)定了信息交互方式。11.2.5SNMPMIB

11.2簡單網(wǎng)管協(xié)議(SNMP)

MIB是SMI定義的具體數(shù)據(jù)結(jié)構(gòu)，即管理目標(biāo)集，具體的MIB數(shù)據(jù)可以參考RFC1213以及相關(guān)的RFC。SMI用于定義SNMP中的數(shù)據(jù)結(jié)構(gòu)和編碼，在RFC1155中，SMI給出了用于網(wǎng)絡(luò)管理的對象模型、對象類型和對象信息的表示方法。在SMI中，名字用來指示被管理對象，SNMP不僅用oid來標(biāo)識一個數(shù)據(jù)對象，還可以用oid來標(biāo)識其他對象，例如一種國際標(biāo)準(zhǔn)或者一個協(xié)議族。實際上，SNMP并沒有定義一個MIB，而是定義了信息的格式和信息的編碼方案。另一個單獨的標(biāo)準(zhǔn)(ASN.1)定義了MIB變量和對這些變量進(jìn)行讀/寫操作的實際含義。11.2簡單網(wǎng)管協(xié)議(SNMP)

11.2.5SNMPMIB

近年來，IETF為SNMP的發(fā)展做了大量的工作。迄今為止已經(jīng)發(fā)布了SNMPv1、SNMPv2c、SNMPv3三個版本。1.SNMPv1SNMPv1是SNMP協(xié)議的最初版本，它在RFC1157中有詳細(xì)描述，并在管理信息結(jié)構(gòu)規(guī)范(SMI)中實現(xiàn)。SNMPv1在諸如UDP、IP、DDP等協(xié)議之上操作。由于SNMPv1在Internet中得到了廣泛地應(yīng)用，已成為事實上的網(wǎng)管協(xié)議。SNMP是一個簡單的請求響應(yīng)協(xié)議。網(wǎng)絡(luò)管理系統(tǒng)發(fā)出請求，被管理設(shè)備返回響應(yīng)。這一個過程可以通過Get、GetNext、Set和Trap4個協(xié)議操作之一來實現(xiàn)。其中Get操作用來獲取來自代理的一個或多個對象實例值，如果響應(yīng)Get操作的代理不能提供一個列表中的所有對象實例值，那么它不提供任何值。NMS用GetNext操作獲取一個表中的下一個對象實例或列表中的下一個對象實例值。NMS利用Set操作設(shè)置一個代理中的對象實例值，而NMS用Trap異步通知NMS重要事件。11.2.6SNMP版本

11.2簡單網(wǎng)管協(xié)議(SNMP)

一條SNMP消息由版本號、SNMP共同體名和協(xié)議數(shù)據(jù)單元(PDU)組成。SNMP消息全部通過UDP端口161接收，只有Trap信息采用UDP端口162接收。SNMPv1基本上沒有什么安全性可言，在安全方面SNMPv1存在以下主要的安全問題：SNMP數(shù)據(jù)包的修改：指的是一個未經(jīng)驗證的用戶捕獲到SNMP數(shù)據(jù)包后，修改其信息，又把數(shù)據(jù)包發(fā)送到目的站點。而接收設(shè)備不能得知數(shù)據(jù)的改變，于是就響應(yīng)包里的信息，導(dǎo)致安全問題。時序的正確性：一般而言，NMS與代理之間的全部數(shù)據(jù)，都是采用未加密的用戶數(shù)據(jù)報協(xié)議(UDP)服務(wù)進(jìn)行發(fā)送。由于不保證數(shù)據(jù)順序的正確性，SNMP數(shù)據(jù)到達(dá)主機的時間和順序都可能被改變。共同體的假冒：僅僅通過共同體串的重新定義，NMS的擁有者即可隨時訪問與該網(wǎng)絡(luò)相關(guān)聯(lián)的每一個代理。這種偽裝使得一個未經(jīng)驗證的用戶可以冒充驗證用戶去讀所有得信息并實施所有的管理操作。代理無從區(qū)分正確的實體和假冒者。11.2簡單網(wǎng)管協(xié)議(SNMP)

11.2.6SNMP版本

信息的無驗證讀?。何唇?jīng)驗證的用戶在局域網(wǎng)內(nèi)使用偵聽程序讀取網(wǎng)絡(luò)數(shù)據(jù)，由于SNMP數(shù)據(jù)在網(wǎng)絡(luò)上是明碼傳輸?shù)模脩艨梢宰x取所有數(shù)據(jù)和口令信息。11.2簡單網(wǎng)管協(xié)議(SNMP)

11.2.6SNMP版本

2.SNMPv2c1993年，SNMPv2c作為一系列RFC發(fā)表，SNMPv2c在管理信息結(jié)構(gòu)(SMI)的規(guī)范中實現(xiàn)其功能。SNMPv2c在功能上較SNMPv1有所提高，也增加了一些協(xié)議操作。SNMPv2c在原有的Get、GetNext、Set等操作之外增加了SNMPv2cTrap操作，并定義了GetBulk和Inform兩個新的協(xié)議操作。其中GetBulk操作用于快速獲取大塊數(shù)據(jù)，例如，一個表中的多行，GetBulk用于填充一個響應(yīng)消息，使其與請求消息長度一致。Inform操作允許一個NMS向另一個NMS發(fā)送Trap信息，并接收一個響應(yīng)消息。SNMPv2c安全標(biāo)準(zhǔn)對數(shù)據(jù)修改、假冒和數(shù)據(jù)包順序改變等安全問題提出了比較滿意的解決方案，進(jìn)一步為安全標(biāo)準(zhǔn)提出了一系列的目標(biāo)，提出了分級的安全機制、驗證機制和使用DES標(biāo)準(zhǔn)加密算法。11.2簡單網(wǎng)管協(xié)議(SNMP)

11.2.6SNMP版本

3.SNMPv3SNMPv3定義了安全方面的擴(kuò)展能力，用來和SNMPv1及SNMPv2c相連接。在SNMPv3工作組定義的5個RFC中，RFC2271描述了現(xiàn)行的SNMP使用的體系結(jié)構(gòu)，RFC2275描述了一種接入控制的方法，它和SNMPv3的核心功能是獨立分開的，只有RFC2272-2274的3個RFC才有關(guān)于安全方面的建議。SNMPv3不僅對所有的傳輸進(jìn)行加密，而且還允許響應(yīng)器(一般是一個SNMP代理)確認(rèn)是否屬于用戶發(fā)出的請求，利用數(shù)字簽名保證消息的完整性，并且對每個請求使用復(fù)雜的分布式訪問控制規(guī)則。管理員可以指定保護(hù)的級別為不安全的、認(rèn)證的或加密認(rèn)證的。此外，SNMP代理或者管理者可以附加任意多的訪問控制規(guī)則。11.2簡單網(wǎng)管協(xié)議(SNMP)

11.2.6SNMP版本

SNMPv3規(guī)范提倡模塊化認(rèn)證和訪問控制模型，RFC2274和RFC2275建議使用USM(User-basedSecurityModel，基于用戶的安全模型)和VACM(Views-basedAccessControlModel，基于視圖的訪問控制模型)作為安全系統(tǒng)的參考。這使得供應(yīng)商現(xiàn)在就可以支持安全協(xié)議，并且將來的新的安全性改進(jìn)(比如公鑰認(rèn)證或者目錄綜合等)也可以陸續(xù)添加進(jìn)來，而不用擔(dān)心會和現(xiàn)在的協(xié)議規(guī)范發(fā)生沖突。11.2簡單網(wǎng)管協(xié)議(SNMP)

11.2.6SNMP版本

遠(yuǎn)程監(jiān)控是一個標(biāo)準(zhǔn)監(jiān)控規(guī)范，它使得各種網(wǎng)絡(luò)監(jiān)控器和控制臺系統(tǒng)之間可以交換網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)。RMON為網(wǎng)絡(luò)管理員選擇符合特殊網(wǎng)絡(luò)需求的控制臺和網(wǎng)絡(luò)監(jiān)控探測器提供了更多的自由。RMON規(guī)范定義了能在RMON障礙控制臺管理員與網(wǎng)絡(luò)探測器之間的統(tǒng)計量和函數(shù)，例如，RMON為管理員提供復(fù)雜的網(wǎng)絡(luò)錯誤診斷、計劃和性能調(diào)整。RMON和RMONII2.RMON和RMONII標(biāo)準(zhǔn)的比較11.2.7RMON

11.2簡單網(wǎng)管協(xié)議(SNMP)

NMS就是對網(wǎng)絡(luò)裝置所提供的典型功能進(jìn)行統(tǒng)一管理。在規(guī)劃NMS時應(yīng)遵循以下準(zhǔn)則：基于現(xiàn)有的網(wǎng)絡(luò)，并且必要時能方便地升級額外的功能。符合工業(yè)標(biāo)準(zhǔn)，NMS最好是基于SNMP的管理系統(tǒng)。具有支持第三方插件的能力，即允許應(yīng)用開發(fā)人員編寫其他的模塊，以支持其他公司的產(chǎn)品。支持專用數(shù)據(jù)庫。數(shù)據(jù)庫的統(tǒng)一使得網(wǎng)絡(luò)管理員能在不同的NMS控制臺進(jìn)行管理，而不必建立不同的映像和相應(yīng)的數(shù)據(jù)庫。著名的管理軟件平臺，現(xiàn)在最流行的NMS是HPOpenview、IBMNetView和CabletronSpectrum。著名的NMS具有可靠的技術(shù)保障，長期的實踐驗證和良好的售后服務(wù)。11.3.1網(wǎng)絡(luò)管理系統(tǒng)概述

11.3網(wǎng)絡(luò)管理系統(tǒng)

現(xiàn)在的NMS是群雄逐鹿，可以根據(jù)它們各自的面向?qū)ο蠛凸芾硇阅軐⑺鼈兎譃橐韵?類：第一類是簡單系統(tǒng)。這些系統(tǒng)是針對具體問題的解決方案，包括一些較為簡單的產(chǎn)品，例如pcAnywhere，也可能是一些管理用戶或特定資產(chǎn)的系統(tǒng)，例如Oracle數(shù)據(jù)庫。就單個系統(tǒng)來說，它們都很有價值，完全可以用于解決具體問題，且成本不高。第二類是LAN管理系統(tǒng)。這些系統(tǒng)提供范圍較廣的功能性，它包括網(wǎng)絡(luò)管理系統(tǒng)和系統(tǒng)管理系統(tǒng)兩部分。這類管理系統(tǒng)的產(chǎn)品包括HPOpenView、NovellManagewise和MicrosoftSystemsManagementSuits(SMS)。對于擁有小型網(wǎng)絡(luò)的公司所需的LAN管理方面，HPOpenView在大多數(shù)方面超過SMS和NovellManagewise，特別是在集成性、可擴(kuò)展性、問題管理和自動檢測方面得到了用戶的肯定。第三類是企業(yè)管理系統(tǒng)，這類系統(tǒng)的典型代表是IBMNetView和CabletronSpectrum。這些管理系統(tǒng)能夠在統(tǒng)一管理平臺上實現(xiàn)包括企業(yè)應(yīng)用管理在內(nèi)的網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫等多方面的管理。11.3網(wǎng)絡(luò)管理系統(tǒng)11.3.1網(wǎng)絡(luò)管理系統(tǒng)概述

網(wǎng)管軟件必須能夠給客戶帶來好處，對于企業(yè)網(wǎng)絡(luò)管理來說，網(wǎng)管軟件的作用體現(xiàn)在以下幾個方面：準(zhǔn)確地反應(yīng)網(wǎng)絡(luò)故障整合系統(tǒng)管理支持Web網(wǎng)管面向業(yè)務(wù)的網(wǎng)管11.3.2網(wǎng)絡(luò)管理軟件

11.3網(wǎng)絡(luò)管理系統(tǒng)

當(dāng)網(wǎng)絡(luò)規(guī)模越來越大時，許多單位不得不付出極大的人力、物力對網(wǎng)絡(luò)進(jìn)行管理。如果采用傳統(tǒng)的人工分散管理方式，發(fā)現(xiàn)一個問題就解決一個問題，這樣，不僅成本高，而且處理故障的周期特別長，因此，網(wǎng)管軟件應(yīng)運而生，隨著中小型企業(yè)的網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，這必將給網(wǎng)管軟件帶來巨大的需求。

目前，從性能和市場占有率來看，HP的OpenView、IBM的NetView、CA的UnicenterTNG等占據(jù)了絕大部分市場，Cisco和3Com等公司也有競爭力很強的網(wǎng)管軟件。另外，中國本土的一些廠商也開發(fā)了網(wǎng)管軟件，例如華為的manager系列、神州數(shù)碼網(wǎng)絡(luò)的LinkManager等，而且有后來者居上的趨勢。下面將介紹幾種常用的網(wǎng)管軟件。HPOpenView(1)網(wǎng)絡(luò)節(jié)點管理器(2)網(wǎng)絡(luò)監(jiān)控管理器(3)可擴(kuò)展的SNMP代理2.IBM的Tivolinetview(1)配置管理功能(2)故障管理功能(3)性能管理(4)兩級管理模式11.3網(wǎng)絡(luò)管理系統(tǒng)11.3.2網(wǎng)絡(luò)管理軟件

(5)支持多種數(shù)據(jù)庫，促進(jìn)業(yè)務(wù)智能