关闭

关闭

关闭

封号提示

内容

首页 自考“计算机网络管理”知识重点

自考“计算机网络管理”知识重点.doc

自考“计算机网络管理”知识重点

droge19850212 2011-10-10 评分 0 浏览量 0 0 0 0 暂无简介 简介 举报

简介:本文档为《自考“计算机网络管理”知识重点doc》,可适用于IT/计算机领域,主题内容包含第一章网络管理概论计算机网络管理知识重点第一章网络管理概论  考试要求  网络管理的基本概念要求达到识记层次  网络管理的需求和网络管理的目标  网符等。

第一章网络管理概论计算机网络管理知识重点第一章网络管理概论  考试要求  网络管理的基本概念要求达到识记层次  网络管理的需求和网络管理的目标  网络管理系统体系结构  被管理的软硬资源的种类和相关信息  主要的网络管理标准的含义和适用范围  OSI系统管理的基本概念要求达到领会层次  OSI的管理框架  请求、响应、轮询、通告和心跳等通信机制它们之间的区别和联系  管理域和管理策略的概念及其在分布式网络管理中的作用  管理信息的层次结构  应用层提供的系统管理支持功能  配置管理、故障管理、性能管理、记账管理和安全管理的含义、功能和作用  网络管理系统要求达到识记层次  知识重点  (一)网络管理的基本概念  网络管理的需求和目标  ()网络管理的需求  计算机网络日益成为个人和企业事业单位日常活动必不可少的工具。许多公司、国家机关和大学每天都要利用网络上的数据业务(例如电子邮件和传真)、视频业务(例如电视会议)和话音业务(例如IP电话)来保证他们的生存和发展。另一方面计算机网络和组成越来越复杂这主要表现在网络互联的规模越来越大而且联网设备多是异构型设备、多制造环境、多协议栈。这样的网络靠手工管理已是无能为力所以研究和开发符合自己情况的、经济适用的网络管理系统就是一项迫切的任务了。  ()网络管理目标  。减少停机时间改进响应时间提高设备利用率  。减少运行费用提高效率  。减少消灭网络瓶颈  。适应新技术(多媒体、多种平台)  。使网络更容易使用  。安全  网络管理系统体系结构  ()网络管理系统的层次结构  各种网络管理框架的共同特点如下:  。管理功能分为管理站(Manager)和代理(Agent)两部分  。为存储管理信息提供数据库支持例如关系数据库或面向对象的数据库  。提供有户接口和用户视频(View)功能例如GUI和管理信息浏览器  。提供基本的管理操作例如获取管理信息配置设备参数等操作过程目标管理应用使用户根据需要开发的软件这种软件运行在具体的网络上实现特定的管理目标例如鼓掌诊断和性能优化或者业务管理和安全控制等。网络管理应用的开发是目前最有活力最具增长性的市场。  ()网络管理系统的配置  每一个网络结点都包含一组与管理有关的软件叫网络管理实体(NME)。网络管理实体完成下面的任务  。收集有关通信和网络活动方面的统计信息  。对本地设备进行测试记录其状态信息  。在本地存储有关信息  。响应网络控制中心的请求传送统计升年升毫或设备状态信息  。根据网络控制中心的指令设置或改变设备参数  网络中至少有一个结点(主机或路由器)担当管理站的角色(Manager)除过NME之外管理站中还有一组软件叫做网络管理年个月度年个(NME)。NME提供用户接口根据用户的命令显示管理信息通过网络向NME发出请求或指令以便获取有关设备的管理信息或者改变设备配置。  网络中的其他结点在NME的控制下与管理站通信交换管理信息。这些结点中的NME模块叫做代理模块网络中任何被管理的设备(主机、网桥、路由器或集线器等)都必需实现代理模块。所有代理在管理站监视和控制下协同工作实现集成的网络管理。这种集中式网络管理策略的好处式管理人员可以有效地控制整个网络资源根据需要平衡网络负载优化网络性能。然而对于大型网络集中式地管理往往显得力不从心正在让位于分布式地管理策略。这种向分布式管理演化地趋势与集中式计算模型由向分布式计算演化的总趋势式一致的。在这种配置中分布式管理系统代替了单独的网络控制主机。地理上分布的网络管理客户机于一组网络管理服务器交互作用共同完成网络管理功能。这种管理策略可以实现分部门管理:即限制每个客户机只能访问和管理笨部门的部分网络资源而由一个中心管理站实施全局管理。同时中心管理站还对管理功能较弱的客户机发出指令实现更高级的管理。分布式网络管理的灵活性(Flexibility)和可伸缩性(Scalability)带来的好处日益为网络管理工作者所青睐这方面的研究和开发式目前网络管理中最活跃的领域。  ()网络管理软件的结构  这里说的软件包括用户接口软件、管理专用软件和管理支持软件用户通过网络管理接口与管理专用软件交互作用监视和控制网络资源。接口软件不但存在于管理主机上而且也可能出现在代理系统中以便对网络资源实施本地配置、测试和排错。有效的网络挂零你系统需要同意的用户接口而不论主机和设备出自何方厂家运行什么操作系统这样才可以方便地对异构型网络进行监控。接口软件还要有一定的信息处理能力对大量的管理信息要进行过滤、统计、甚至求和和化简以免传递的信息量太大而阻塞网络通道。最后理想的用户接口应该是图形用户接口而非命令或表格。  管理的网络资源  计算机网络管理设计到监控和控制网络中的各种硬件固件和软件元素。  ()被管理的网络硬件资源可以列举如下:  。物理介质和连网设备  。计算机设备  。网络互联设备  ()被管理的网络软件元素可以列举如下:  。操作系统软件  。通信软件  。应用软件  网络管理标准  TCPIP网络管理最初使用的是年月提出的简单网关监控协议SGMP(SimpleGatewayMonitoringProtocol)在此基础上改进成简单网络管理协议第一版SNMPv(SimpleNetworkManagementProtocol)陆续公布在和年的几个RFC(RequestForComments)文件中即RFC(SMI)(SNMP)RFC(MIB定义)和RFC(MIB规范)。由于其简单性和易于实现SNMPv得到了许多制造商的支持和广泛应用。几年以后在第一版的基础上改进功能和安全性又产生了第二版SNMPv(RFC)。最新的标准SNMPv(RFCApr)已经完成了。  在同一时期用于监视局域网通信的标准远程网络监视RMON(RemioteMonitoring)也出现了这就是RMON()和RMON()。这一阻标准定义了监视网络通信的管理信息库是SNMP管理信息库的扩充与SNMP协议配合可以提供更有效的管理性能也得到了广泛应用。  另外IEEE定义了局域网的管理标准即IEEEbLANMAN管理。这个标准用于管理物理层和数据链路层的OSI设备因而叫做CMOL(CMIPoverLLC)。为了适应电信网络管理的需要ITUT在年定义了电信网络管理标准TMN(TelecommunicationsManagementNetwork)即M建议(蓝皮书)。可见网络管理是一个广阔的研究领域而却很多东西是相通的。  (二)OSI系统管理的基本概念  OSI管理框架  OSI系统管理操作在对等的开放系统之间进行一个系统为管理站另一个系统起代理的作用即管理站实施管理功能而代理接受管理站的查询并且根据管理站的命令设置管理对象的参数。  管理站和代理要能够互相通信它们之间就要互相了解这可以通过交换应用上下文(ApplicationContextAC)实现。AC是指管理站和代理之间共同使用的应用服务元素及其调用规则。至于具有哪些功能和功能单元支持哪些管理对象类管理功能和管理对象之间有什么关系等也是彼此需要了解的这些叫做共享的管理知识。系统管理应用实体的管理知识存储在本地的文件中在应用联系建立阶段通过交换应用上下文形成共享的管理知识。  通信机制  管理站和代理指的信息交换通过协议数据单元(PDU)进行。通常是管理站向代理发送请求PDU代理以响应PDU回答而管理信息包含在PDU参数中。在有些情况下代理也可能向管理站发送消息特别把这种消息叫做时间报告(或通知)管理站可根据报告的内容决定是否作出回答。  为了及时了解管理对象的最新情况代理必需经常地查询对象地各种参数。这种定期查询叫轮询(Polling)。轮询地间隔或频度对于网络管理地性能有很大的影响。轮询过于频繁会加重网络通信负载轮询稀少又不能及时掌握管理对象的最新状态。所以轮询的间隔应根据网络配置和管理标准仔细设计。另外如果管理对象中出现了特殊情况例如打印机缺纸管理对象不必等待代理查询可直接向代理发出通知。如果必要代理可以把对象的通知以事件报告的形式发往管理站。  有时管理站要想知道代理是否存在是否可随时与之通信。这时可以利用一种叫做心跳的机制(Heartbeats)即代理每隔一定事件想管理站发出信号报告自己的状态。同样心跳的间隔也时需要慎重决策的。  管理域和管理策略  对于分布式管理管理域式一个重要的概念。管理对象的集合叫做管理域。管理域的划分可能是基于地理范围的也可能是基于管理功能的或者是由于技术的原因。无论怎样划分其目的都是对于不同管理域中的对象实行不同的管理策略。  每个管理域有一个唯一的名字包含一组被管理对象代理和管理对象之间有一套通信规则。属于一个管理域的对象也可能属于另一个管理域当网络被划分为不同的管理域后还应该有一个更高级的控制中心以免引起混乱。因而在以上概念模型的基础上又引入行政域(AdministrativeDomian)的概念。行政域的作用是划分和改变管理域协调管理域之间的关系。此外行政域也对本域中的管理对象和代理实施管理和控制。  管理信息结构  管理信息描述管理对象的状态和行为。OSI标准采用面向对象的模型定义管理对象。按照对象类的继承关系表示管理信息的所有对象类型组成一个继承层次树。继承性反映了软加重用性。设计一个新的对象类时不必全部从头开始可以根据新数据类型的属性和已有对类的相似关系把新类插入到继承层次树中。相同的属性可以从父类中继承再在父类的基础上设计新对象类的特性从而减少了设计工作量。这种设计方法已经是现代程序设计和系统设计的常规方法了。  OSI管理的面向对象模型是一个非常复杂的模型几乎囊括了已知的所有面向对象的概念例如多继承性多态性(Polymorphism)和同质异晶性(Allomorphism)等。多继承性是指一个子类有多个超类多念性源于继承性子类继承超类的操作同时又对继承的操作做了特别的修改这样不同的对象类对同一操作会做出不同的响应这种特性就叫多态性。我们说一个对象具有同质异晶性是指它可以是多个对象类的实例例如一个协议又两个兼容的版本一个协议实体既是老版本的实例又是新版本的实例。  一个管理对象可以是另一个管理对象的一部分这就形成了管理对象之间的包含关系。包含关系可以表示成有向树。  包含树与对象名的命名有关因而包含树对应于对象命名树。对象的名字分为全局名和本地名。全局名从包含树的树根开始向下级联各个被包含对象的名字直到指称的对象。而本地名则可以从任意上级包含对象的名字开始向下级联。  在OSI标准中管理对象类由ASN的对象标识符表示。对象标示符是由圆点个开的整数序列。这一列整数反映了对象注册的顺序即在注册层次树中的位置。我们直到网上的任何信息都可以用ASN定义并根据与其他信息的关系为其指定一个对象标识符。这样所有网络信息就组成了注册层次树。这个树的根指向ASN标准没有编号。  系统管理支持功能  简单地说应用层由应用进程(ApplicationProcessAP)及其使用的应用实体(ApplicationEntityAE)组成应用进程把信息处理功能和通信功能组合在一起通过一个全局的名字可以调用这个功能。例如远程数据库访问可组成一个应用进程这个应用进程与远处的数据库服务进程交互作用(发出检索命令接收响应处理结果)完成数据库检索。应用进程的通信功能是由应用实体实现的。为了实现不同性质的通信一个应用进程可能使用一个或多个应用实体。应用实体还可以再划分为应用服务元素(ApplicationServiceEleentASE)。ASE是具有简单通信能力的功能模块对等的ASE之间有专用的服务定义和协议规范。应用实体首先要与对等的应用实体建立应用联系(ApplicationAssociationAA)然后才能通信。建立应用联系的过程主要是交换应用上下文(ApplicationContextAC)。AC是可以用名字(对象标识符)引用一组ASE及其调用规则。在建立联系期间通过协商确定共同认可的应用上下文并在应用活动期间遵守商定的通信规则。  应用服务元素分为公用服务元素和专用服务元素。在网络管理中使用的公用服务元素有联系控制服务元素ACSE和远程操作服务元素ROSEACSE专门用于建立年个月度年个联系这个元素对任何应用都是必要的。ROSE用于实现对等应用实体之间远程过程调用当管理站启动管理对象中的特殊操作时要利用这个元素。  网络挂历中使用的专用服务元素叫公共管理信息服务元素CMISE这一组服务元素共同组成CMISECMISE共有种其中种时确认的(类型为c)种可以有可以没有确认(类型为cn)。在OSI管理标准中公共管理服务元素和公共管理协议操作一一对应。  系统管理功能域  ISO文件定义了个系统管理功能域(SMFA)即配置管理、故障管理、性能管理、记帐管理和安全管理。  (三)网络管理系统  NetView  IBM公司早在年代末就推出了一系列网络管理工具经过不断的修改和扩充在年正式宣布了NetView起初这个网管工具主要用在SNA网络中经过多年的改进终于演变成能够支持多种协议的、能满足局域网和广域网管理需要的功能强大的网络管理工具。  SunNetManager  SUN公司的网络管理系统SunNetManager运行在XWindows上用于管理TCPIP网络完整地支持SNMP协议。它的功能元素主要有管理应用程序、代理和委托代理程序等管理应用程序收集和挂历网络中各个结点的信息而代理和委托代理则接受挂历应用程序的检索请求报告所管理结点的有关数据。委托代理还有两种特别的功能与代理不同一是它使用远程过程调用(RPC)技术响应管理应用程序的请求因而可以处理多种协议二是它可以管理多个站形成局部的集中式管理很适合站点密集型局域网应用。  管理控制台是用户和管理应用交互作用的工具。这个软件运行在管理站上可以用图形、图表或记录格式显示来自代理的数据报告还可以把数据存储在磁盘文件中供以后分析用。当代理发来用户定义的事件报告(例如设备启动)时管理应用程序接收后以Email报文和声音警告的形式显示在管理控制台上。  管理数据库包含各种信息例如关于结点的定义信息(名字可响应的请求)关于代理的定义信息(属性和配置)等。所有信息存储在缓冲池中。任何时候缓冲池中保存的都是有关网络元素最新的信息集合就像网络元素的“快照”一样。  SunNetManager的管理应用程序接口(API)提供了各种实用程序和库函数可供有用户定做自己的管理应用程序。  OpenView  OpenView是HP公司的网络管理系统。由于HP公司一贯支持UNIX和TCPIP的传统因而OpenView原本是用来管理TCPIP网络的但是今天的OpenView已经演变成为能管理多种网络(无论是局域网或广域网)多种协议的功能强大的软件包。  基于Web的网络管理JMAPI基于Web的网络管理系统是目前网络管理发展的一种趋势。SUN公司提供了一组JAVA编程接口供用户开发基于Web浏览器的网络管理应用。这一组编程借口统称JMAPI。管理信息库MIB  考试要求  SNMP的基本概念要求达到识记层次  TCPIP协议簇中的主要协议  Internet的网络管理框架  简单网络管理协议体系结构  委托代理的概念和作用  管理信息结构要求达到领会层次  ASN中有关的通用类型以及SNMPv中的应用类型对象  定义管理对象的ASN宏定义管理信息结构的定义方法  表的概念和语法以及对象标识符的词典顺序  MIB中的管理对象要求达到简单应用层次  系统组中的管理对象及其在网络管理中的应用  接口组中的管理对象及其在网络管理中的应用  组中的管理对象及其在网络管理中的应用  IP组中的管理对象及其在网络管理中的应用  ICMP组中的管理对象及其在网络管理中的应用  TCP组中的管理对象及其在网络管理中的应用  UDP组中的管理对象及其在网络管理中的应用  EGP组中的管理对象及其在网络管理中的应用  MIB组中的管理对象及其在网络管理中的应用  知识重点  (一)SNMP的基本概念  TCPIP协议簇  在Internet中用主机(Host)一词泛指各种工作站、服务器、PC机、甚至大型计算机。用于连接网络的设备叫网关或IP路由器。组成互联网的各个网络可能是IEEE或其他任何局域网甚至广域网。  TCP是端系统之间的协议其功能是保证系统之间可靠地发送和接收数据并给应用进程提供访问端口。互联网中所有端系统和路由器都必需实现IP协议。IP地主要功能是根据全网唯一的地址把数据从源主机搬运到目标主机。当一个主机中的应用进程选择传输服务(例如TCP)为其传送数据时以下各层实体分别加上该层协议的控制信息形成协议数据单元。当IP分组到达目标网络目标主机后由下层协议实体逐层向上提交沿着相反的方向一层一层剥掉协议控制信息最后把数据交给应用层接收进程。  Internet的网络管理框架  在Internet中网络、设备和主机的管理叫做网络管理这里的术语与OSI是不同的。早期的Internet中没有专门的网络管理协议唯一可用于网络管理协议是ICMP在网络管理中ICMP有用的部分是回声(请求响应)和时间戳(请求响应)报文再加上IP头的某些选项(例如源路由和路由记录等)就可以开发简单的管理工具。其中最著名的就是PING(PacketInterNetGroper)程序。  简单网络管理协议的体系结构  由于SNMP定义为应用层协议所以它依赖于UDP数据报服务。同时SNMP实体向管理应用程序提供服务它的作用是把管理应用程序的服务调用变成对应的SNMP协议数据单元并利用UDP数据报发送出去。  其所以选择UDP协议而不是TCP协议这是因为UDP效率较高这样实现网络管理不会太多地增加网络负载。但由于UDP不是很可靠所以SNMP报文容易丢失。为此对SNMP实现的建议是对每个管理信息要装配成单独的数据报独立发送而且报文应短些不超过个字节。  每个代理进程管理若干管理对象并且与某些管理站建立团体(community)关系团体名作为团体的全局标识符是一种简单的身份认证手段。一般来说代理进程不接受没有通过团体名验证的报文这样可以防止假冒的管理命令。同时在团体每部也可以实行专用的管理策略。  (二)管理信息结构  管理信息结构(SMI)说明了定义和构造MIB的总体框架以及数据类型的表示和命名方法。SMI的宗旨是保持MIB的简单型和可扩展性只允许存储标量和二维数组不支持复杂的数据结构。从而简化了实现加强了互操作性。  SMI提供了以下标准技术表示管理信息:  。定义了MIB的层次结构  。提供了定义管理对象的语法结构  。规定了对象值的编码方法  (三)MIB功能组(RFC)  RFC定义了管理信息库第版即MIB这个文件包含个功能组共个对象。RFC说明了选择这些对象的标准。  ()包括了故障管理和配置管理需要的对象。  ()只包含“弱”控制对象。所谓“弱”控制对象就是一旦出错对系统不会造成严重危害的对象。这反映了当前的管理协议不很安全不能对网络实施太强的控制。  ()选择经常使用的对象并且友好证明当前的网络管理中正在使用。  ()为了容易实现开发MIB时限制对象数为个左右在MIB中这个限制稍由突破(个)。  ()不包含具体实现(例如BSDUNIX)专用的对象。  ()为了避免冗余不包括那些可以从已有对象导出的对象。  ()每个协议层的每个关键部分分配一个计数器这样可以避免复杂的编码。MIB只包括那些被认为是必要的对象不包括任选的对象。对象的分组方便了管理实体的实现。一般来说制造商如果认为某个功能组是有用的则必须实现该组的所有对象。例如一个设备实现TCP协议则它必须实现tcp组所有对象当然网桥或路由器就不必实现tcp组。简单网络管理协议SNMPv  考试要求  SNMPv支持的操作要求达到识记层次  SNMPvPDU的格式  SNMPv报文的应答序列  报文的发送和接收过程  SNMPv的安全机制要求达到识记层次  团体的概念  SNMPv的简单认证过程  SNMPv可采用的访问策略  SNMPv的操作要求达到综合应用层次  检索简单对象的方法  检索未知对象的方法  检索表对象的方法  表的更新和删除操作  陷入操作的原理和陷入的种类  SNMP功能组要求达到领会层次  SNMPv功能组对象的含义和作用  实现问题要求达到领会层次  对网络管理站的功能要求  轮询频率对网络管理性能的影响  SNMPv的局限性  知识重点  (一)SNMPv协议数据单元  SNMPv支持的操作  SNMP仅支持对管理对象值的检索和修改等简单操作。具体地说SNMP实体可以对MIB中的对象支持执行下列操作:  。Get:管理站用于检索管理信息库中标量对象的值。  。Set:管理站用于设置管理信息库中标量对象的值。  。Trap:代理用于向管理站报告管理对象的状态变化。  SNMPPDU格式  RFC给出了SNMPv协议的定义这个定义是用ASN表示的在SNMP管理中管理站和代理之间交换的管理信息构成了SNMP报文。报文由部分组成即版本号、团体名和协议数据单元(PDU)。报文头中的版本号是指SNMP的版本RFC为第一版。团体名用于身份认证我们将在下一节介绍SNMP的安全机制时谈到团体名的作用。SNMP共有种管理操作但只有种PDU格式。管理站发出的种请求报文GetRequest、GetNextRequest和SetRequest采用的格式是一样的代理的应答报文格式只有一种:GetResponsePDU从而减少了PDU的种类。  报文应答序列  SNMP报文在管理站和代理之间传送包含GetRequest、GetNextRequest和SetRequest的报文由管理站发出代理以GetRequest响应。Trap报文由代理发给管理站不需要应答。一般来说管理站可连续发出多个请求报文然后等待代理返回的应答报文。如果在规定的时间内收到应答则按照请求标识进行配对亦即应答报文必须与请求报文有相同的请求标识。  报文发送和接收  当一个SNMP协议实体(PE)发送报文执行下面的过程:首先是按照ASN的格式构造PDU交给认证进程。认证进程检查源和目标之间是否可以通信如果通过这个检查则把有关信息(版本号、团体名、PDU)组装成报文。最后经过BER编码交传输实体发送出去。  当一个SNMP协议实体(PE)接收到报文时执行的过程:首先是按照BER编码恢复ASN报文然后对报文进行语法分析、验证版本号和认证信息等。如果通过分析和验证则分离出协议数据单元并进行语法分析必要、时经过适当处理后返回应答报文。在认证检验失败时可以生成一个陷入报文向发送站报告通信异常情况。无论何种检验失败都丢弃报文。  SNMP操作访问对象实例而且只能访问对象标识符树的叶子结点。然而为了减少通信负载我们希望一次检索多个管理对象把多个变量的值装入一个PDU这时要用到变量绑定表。RFC建议在Get和GetNext协议数据单元中发送实体把变量置为ASN的值接收实体处理时忽略它在返回的应答协议数据单元中设置为变量的实际值。  (二)SNMPv的安全机制  团体的概念  SNMP网络管理是一种分布式应用。这种应用的特点是管理站和被管理站之间的关系可以是一对多关系即一个管理站可以管理多个代理从而管理多个被管理设备。另一方面管理站和代理之间还可能存在多对一的关系。代理控制自己的管理信息库也控制多哥管理站对管理信息库的访问例如只有授权的管理站才允许访问管理信息库或者限制不同的管理站可以访问管理信息库的不同部分。另外委托代理也可能按照预定的访问策略控制对其代理的设备的访问。RFC为此提供的认证和控制机制就是这种最初等最基本的团体名验证功能。  简单的认证服务  一般来说认证服务的目的是保证通信是经过授权的。具体到SNMP环境中认证服务主要是保证接收的报文来自它所声称的源。RFC提供的只是最简单的认证方案:从管理站发送到代理的报文(GetSet等)都有一个团体名就像是口令字一样。通过团体名验证的报文才是最有效的。  访问策略  前面说过代理系统可以通过设置团体选择访问MIB的管理站或者通过定义管理对象的访问模式限制管理站对MIB的访问。这样所谓的访问控制就有两方面的含义:  。MIB视阈:MIB中对象一个子集对不同的团体可以定义不同的视阈(View)。属于同一视阈的对象不必属于同一子树。  。访问模式:集合{readonlyreadwrite}的一个元素。对于一个团体可以定义一种访问模式。  委托代理服务  团体形象的概念同样适用于委托代理服务。通常委托代理是代表不支持SNMP的设备工作的。但是在有些情况下被代理的设备也可能支持TCPIP和SNMP而委托代理的作用是减少被代理的设备与管理站之间的交互过程。对于被代理的设备委托代理定义并且维护一种SNMP访问策略。委托代理知道那些MIB对象代表被管理的设备也知道这些设备的访问模式。  (三)SNMPv操作  检索简单对象  检索简单的标量对象值可以用Get操作如果变量绑定表中包含多个标量一次还可以检索多个标量对象的值。接收GetRequest的SNMP实体以请求标识相同的GetRequest响应。特别要注意的识GetRequest操作的原子性:如果所有请求的对象值可以得到则给予应答反之只要有一个对象的值得不到则可能返回下列错误条件之一:  。变量绑定表中得一个对象无法与MIB中的任何对象标识符匹配或者要检索得对象是一个数据块(子树或表)没有对象实例生成。在这些情况下响应实体返回得GetRequestPDU中错误状态字段置为noSuchName错误索引设置为一个数指明有问题变量。变量绑定表中不返回任何值。  。响应实体可以提供所有要检索的值但是变量太多一个响应PDU装不下这往往是由下曾协议数据单元大小限制的。这时响应实体返回一个应答PDU错误状态字段置为tooBig。  。由于其他原因(例如代理不支持)响应实体至少不能提供一个对象的值则返回的PDU中错误字段置为genError错误索引置一个数指明有问题的变量。变量绑定表中不返回任何值。  检索未知对象  GetNext命令检索变量名指示下一个对象实例但是并不要求变量名是对象标识符或者是实例标识符。  检索表对象  GetNext可用于有效地搜索表对象。  表的更新和删除  Set命令用于设置或更新变量的值。它的PDU格式与Get是相同的但是在变量绑定表中必须包含要设置的变量名和变量值。对于Set命令的应答也是GetResponse同样是原子性的。如果所有的变量都可以设置则更新所有变量的值并在应答GetResponse中确认变量的新值如果至少有一个变量的值不能设置则所有变量的值都保持不变并在错误状态中指明出错的原因。Set出错的原因与Get是类似的(tooBignoSuchName和genError)然后若有一个变量的名字和要设置的值在类型、长度或实际方面不匹配则返回错误条件badValue  陷入操作  陷入是由代理向管理站发出的异步事件报告不需要应答报文。SNMP规定了种陷入条件:  。coldStart发送实体重新初始化代理的配置已改变能常是由系统失效引起的。  。warmStart发送实体重新初始化但代理的配置没有改变这是正常的重启动过程。  。linkDown链路失效通知变量绑定表的第一项指明对应接口表的索引变量及其变值。  。linkUp链路启动通知变量绑定表的第一项指明对应接口表的索引变量及其值。  。authenticationFailure发送实体收到一个没有通过认证的报文。  。egpNeighborLoss相邻的外部路由器失效或关机。  。enterpriseSpecific由设备制造商定义的陷入条件在特殊陷入(specifctrap)字段指明具体的陷入类型。  (四)SNMP功能组  SNMP组包含的西关系到SNMP协议的实现和操作。这一组共有个对象在只支持SNMP站管理功能或只支持SNMP代理功能的实现中有些对象是没有值的。除了最后一个对象这一组的其他对象都是只读的计数器。对象snmpEnableAutheuTrap可以由管理站设置它指示是否允许代理产生“认证失效”陷入这种设置优先于代理自己的配置。这样就提供了一种可以排除所有认证失效陷入的手段。  (五)实现问题  网络管理站的功能  。支持扩展的MIB:强有力的SNMP对管理信息库的支持必须是开放的。特别对于管理站来说应该能够装入其他制造商定义的扩展MIB  。图形用户接口:好的用户接口可以使网络管理工作更容易更有效。通常要求具有图形用户接口而且对网络管理的不同部分有不同的窗口。例如能够显示网络拓扑接口、显示设备的地理位置和状态信息可以计算并显示通信统计数据图表具有各种辅助计算工具等。  。自动发现机制:要求管理站能够自动发现代理系统能够自动建立图标并绘制出连接图形。  。可编程的事件:支持用户定义事件以及出现这些事件时执行的动作。例如路由器失效时应闪动图标或改变图标的颜色显示错误状态信息向管理员发送电子邮件并启动故障检测程序等。  。高级网络控制功能:例如配置管理站使其可以自动地关闭有问题的集线器、自动地分离出活动过度频繁地网段等。这样地功能要使用set操作。由于SNMP欠缺安全性很多产品不支持set操作所以这种要求很难满足。  。面向对象地管理模型:SNMP其实不是面向对象的系统。但很多产品是面向对象的系统也能支持SNMP  。用户定义的图标:方便用户为自己的网络设备定义有表现力的图标。  轮询频率  我们需要一种能提高网络管理性能的轮询策略以决定合适的轮询频率。通常轮询频率与网络的规模和代理的多少有关。而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其他因素所以很难给出准确的判断规则。为了使问题简化我们假定管理站以次只能与一个代理作用轮询只是采用get请求响应这种简单形式而且管理站全部时间都用来轮询于是我们有下面的不等式:  SNMPv的局限性  用户利用SNMP进行网络管理时一定要清楚SNMPv本身的局限性:  。由于轮询的性能限制SNMP不适合管理很大的网络。轮询产生的大量管理信息传送可能引起网络响应时间的增加。  。SNMP不适合检索大量的数据例如检索整个表中的数据。  。SNMP的陷入报文时没有应答的管理站是否收到陷入报文代理不得而知。这样可能丢掉很重要得管理信息。  。SNMP只提供简单的团体名认证这样的安全措施时很不够的。  。SNMP并不直接支持向被管理设备发送命令。  。SNMP的管理信息库MIB支持的管理对象是有限的不足以完成复杂的管理功能。  。SNMP不支持管理站之间的通信而这一点在分布式网络管理中是很需要的。以上局限性有很多在SNMP的第版都有所改进。远程网络监视RMON  考试要求  RMON的基本概念要求达到领会层次  远程网络监视的目标  表管理操作(行增加、行删除和行修改)  多管理站访问中出现的问题及其解决办法  RMON管理信息库要求达到简单应用层次  与以太网统计信息收集有关的功能组  与令牌环网配置和统计信息收集有关的功能组  警报对象的作用警报方式的工作原理以及有关的功能组  过滤测试的逻辑规则和通道的定义与操作  包扑获方式和事件记录的工作原理  RMON管理信息库要求达到简单应用层次RMONMIB的组成  RMON增加的新功能  RMONMIB在网络上层(网络层和应用层)管理中的作用  知识重点  (一)RMON的基本概念  远程网络监视的目标  离线操作:必要时管理站可以停止对监控器轮询有限的轮询可以节省网络带宽和通信费用。即使不受管理站查询监视器也要持续不断地收集子网故障、性能和配置方面地信息。统计和积累数据以便管理站查询时即使提供管理信息。另外在网络出现异常情况监视器要及时报告管理站。  主动监视:如果监视器有足够地资源通信负载也容许监视器可以连续地或周期地运行诊断程序获得并记录网络性能参数。在子网出现失效时通知管理站给管理站提供有用地诊断故障信息。  问题检测和报告:如果主动监视消耗网络资源大多监视器也可以被动地获取网络数据。可以配置监视器使其连续观察网络资源的消耗情况记录随时出现的异常条件(例如网络拥挤)并在出现错误条件时通知管理站。  提供增值数据:监视器可以分析收集到的子网数据从而减轻了管理站的计算任务。例如监视器可以分析子网的通信情况计算出哪些主机通信最多哪些主机出错最多等等。这些数据的收集和计算由监视器来做比由远处的管理站来做更有效。  多管理站操作:一个互联网可能有多个管理站这样可以提高可靠性或者分布地实现各种不同的管理功能。监视器可以配置得能够并发地工作为不同的管理站提供不同的信息。不是每一个监视器都能实现所有这些目标但是RMON规范提供了实现这些目标的基础结构。  表管理原理  在SNMPv管理框架中对表操作的规定是很不完善的至少增加和删除表行的操作是不明确的。这种模糊性常常是读者提问的焦点和用户抱怨的根源。RMON规范包含一组文字约定和过程话规则在不修改、不违反SNMP管理框架下的前提下提供了明晰而规律的行增加和行删除操作。  多管理站访问  RMON监视器应允话多个管理站并发地访问当多个管理站访问时可以出现问题:  。多个管理站对资源的并发访问可能超过监视器的能力。  。一个管理站可能长时间站用监视器资源使得其他站得不到访问。  。占用监视器资源得管理站可能崩溃然而没有释放资源。  RMON控制表中的列对象Owner规定了表行的所属关系所属关系有以下用法可以解决多个管理占并发地访问的问题:  。管理站能认得自己所属的资源也知道自己不再需要的资源。  。网络操作员可以知道管理站占有的资源并决定是否释放这些资源。  。一个被授权的网络操作员可以单方面地决定是否其他操作员保有地资源。  。如果管理站经过了重启动过程它应该首先释放不再使用的资源。  RMON规范建议所属标志应包括IP地址管理站名网络管理员的名字、地点和电话号码等。所属标志不能作为口令或访问控制机制使用。在SNMP管理框架中唯一的访问控制机制是SNMP视阈和团体名。如果一个可读写的RMON控制表出现在某些管理站的视阈中则这些管理站都可以进行读写访问。但是控制表行只能由其所有者改变或删除其他管理站只能进行读访问。这些限制的实施已超出了SNMP和RMON的范围。  为了提供共享的功能监视器通常配置一定的默认功能。定义这些功能的控制行的所有者是监视器所属标志的字符串以监视器名打头管理站只能以读方式利用这些功能。  (二)RMON的管理信息库  RMON规范定义了管理站信息库RMONMIB它是MIB下面的个子树。RMONMIB分为组存储在每一组中的信息都是监视器从一个或几个子网中统计和收集数据。这个功能组都是任选的但实现时有下列联带关系:  。实现警报组时必须实现事件组。  。实现最高N台主机组时必须实现主机组。  。实现扑获组时必须实现过滤组。  (三)RMON管理信息库  RMONMIB的组成  RMON监视OSIRM第到第曾的通信恩能够对数据链路层以上的分组进行译码。这使得监视器可以管理网络层协议包括IP协议。因而能了解分组的源和目标地址能知道路由器负载的来源使得监视的范围扩大到局域网之外。监视器也能监视应用层协议例如电子邮件协议、文件传输协议、HTTP协议等这样监视器就可以记录主机应用活动的数据可以显示各种应用活动的图表。这些对网络管理人员都是很重要的信息。另外在网络管理标准中通常把网络层之上的协议都叫做应用层协议以后提到的应用层包含OSI的层。  RMON增加的功能  RMON引入了两种与对象索引有关的新功能增加了RMON的能力和灵活性。  检索表对象RMON新功能的应用主要是网络协议的表示方法用户历史的定义方法和监视器的标准配置方法等。第五章简单网络管理协议SNMPv  考试要求  SNMP的演变要求达到识记层次  SNMP的演变过程  网络安全问题要求达到领会层次  计算机网络的安全威胁  网络管理中的安全问题  网络中的安全机制:数据加密技术、数据完整性和数据源认证技术  管理信息结构要求达到领会层次  对象的定义  表的定义、索引和操作  通告的定义和作用  管理信息库要求达到简单应用层次  System组增加的新对象  SNMP组对象与SNMPv操作的关系  MIB对象组的作用  一致性声明的主要内容  接口组增加的对象及应用  SNMPv的操作要求达到简单应用层次  SNMPv的报文结构和交换序列  SNMPv协议数据单元的功能和操作  SNMPv管理站之间的通信机制  SNMPv的实现要求达到领会层次  可利用的种种传输服务  SNMPv与OSI的兼容性  在TCPIP网络中实现OSI系统管理功能的方法  SNMP的局限性  知识重点  (一)SNMP的演变  SNMP的发展  当初提出SNMP的目的识作为弥补网络管理协议发展阶段之间空缺的一种临时性措施。SNMP出现后显示了许多优点。最主要的优点是:简单、容易实现而且是基于人们熟悉的SGMP(SimpleGatewayMonitoringProtocol)协议已有相当多的操作经验。在年为了适应当时紧迫的网络管理需要确定了网络管理标准开发的双轨制策略。  ?SNMP可以满足当前的网络管理需要用语管理配置简单的网络并且在将来以平稳地过度到新地网络管理标准。  ?OSI网络管理(即CMOT)作为长期地解决办法可以应付未来更复杂地网络的配置提供更全面的管理功能。但是需要较长的开发过程以及开发商和用户接受的过程。  为了修补SNMP的安全缺陷年月出现了一个新标准安全SNMP(SSNMP)这个协议增强了安全方面的功能:  。用报文摘要算法MD保证数据完整性和进行数据源认证。  。用时间戳对报文排序。  。用DES算法提供数据加密功能。  但是SSNMP没有改进SNMP在功能和效率方面的其他缺点。几乎与此同时有任又提出了另外一个协议SMP(SimpleManagementProtocol)这个协议由个文件组成(非RFC)它对SNMP的扩充表现在下列方面:  。适用范围:SMP可以管理任意资源不仅是网络资源还可用于应用管理系统管理。可实现管理站之间的通信也提供了更明确更灵活的描述框架可以描述一致性要求和实现能力。在SMP中管理信息的扩展性得到了增强。  。复杂程度、速度和效率:保持了SNMP的简单性更容易实现并提供了数据块传送能力因而速度和效率更高。  。安全设施:结合了SSNMP提供的安全功能。  。兼容性:可以运行在TCPIP网络上也适合OSI系统和运行其他通信协议的网络。  在对SSNMP和SMP讨论的过程中Internet研究人员达成了如下的共识:必须扩展SNMP的功能并增强其安全设施使用户和制造商尽快地从原来的SNMP过渡到第二代SNMP于是SSNMP被放弃决定以SMP为基础开发SNMP第二版即SNMPvIETF组织了两个工作组。一个负责协议功能和管理信息库的扩展另一个负责SNMP的安全方面年月正式开始工作。这两个组的工作进展非常之快功能组的工作在年月完成安全组在年完成。后来又经过几年的实验和论证新的RFC文件集合在年完成。然而就在新的RFC文件发布时有人发现安全方面存在重要缺陷而改进安全设施的工作又迟迟没有进展。后来决定丢掉安全功能把增加的其他功能作为新标准颁布并保留了SNMPv的报文封装格式因而叫做基于团体名的SNMP(CommunitybaseSNMP)简称SNMPvC  (二)网络安全问题  计算机网络的安全威胁  为了理解对计算机网络的安全威胁我们首先定义安全需求。计算机和网络需要以下方面的安全性:  。保密性(secrecy):计算机中的信息只能由授予访问权限的用户读取(包括显示、打印等也包含暴露信息存在的事实)。  。数据完整性(integrity):计算机系统中的信息资源只能被授予权限的用户修改。  。可利用性(availability):具有访问权限的用户在需要时可以利用计算机系统中的信息资源。  网络管理中的安全问题  由于网络管理时分布在网络商的应用程序和数据库的集合各种安全威胁都可能影响网络管理系统造成管理系统失效或发出了错误的管理指令破坏了计算机网络的正常运行。对于网络管理特别有个安全方面的威胁值得提出:  。伪装的用户:没有得到授权的一般用户企图访问网络管理应用和管理信息。  。假冒的管理程序:无关的计算机系统可能伪装成网络管理站实施管理功能。  。侵入管理站和代理之间的信息交换过程:网络入侵者通过观察网络活动窃取了敏感的管理信息更严重的危害时可能篡改管理信息或中断管理站和代理之间的通信。  系统或网络的安全设施由一系列安全服务和安全机制的集合组成。  安全机制  数据加密时防止未经授权的用户访问敏感信息的手段这就是人们通常理解的安全措施也是其他安全方法的基础。研究数据加密的科学叫做密码学(Cryptography)它又分为设计密码体制的密码编码学和破译密码的密码分析学。密码学有着悠久而光辉的历史古代的军事家已经用密码传递军事情报了而现代计算机的应用和计算机科学的发展又为这一古老的科学注入了新的活力。现代密码学是经典密码学的进一步发展和完善。由于加密和解密此消彼长的斗争永远不会停止这门科学还在迅速发展之中。  认证防止主动攻击的方法  认证又分为实体认证和消息认证两种。实体认证是识别通信双方的身份防止假冒可以使用数字签名的方法。消息认证是验证消息在传递或存储过程中没有被篡改通常使用消息摘要的方法。  数字签名防止否认的方法  与人们手写签名作用一样数字签名系统向通信双方提供服务使得A向B发送签名的消息P以便  IB可以验证消息P确实来源于A  IIA以后步能否认发送过  IIIB不能编造或改变消息P  (三)管理信息结构  SNMPv的管理信息结构是在总结SNMP应用经验的基础上对SNMPvSMI进行了扩充提供了更精致更严格的规范规定了新的管理对象和MIB的文档可以说是SNMPvSMI的超集。SNMPvSMI引入了个关键的概念。  。对象的定义  。概念表  。通知的定义  。信息模块  (四)管理信息库  SNMPvMIB扩展和细化了MIB中定义的管理对象又增加了新的管理对象。  I系统组  IISNMP组  IIIMIB组  IV适合性声明  V接口组  (五)SNMPv协议和操作  SNMPv提供了种访问管理信息的方法:  。管理站和代理之间的请求响应通信这种方法与SNMPv是一样的。  。管理站和管理站之间的请求响应通信这种方法是SNMPv特有的可以由一个管理站把有关管理信息告诉另外一个管理站。  。代理系统到管理站的非确认通讯即由代理向管理站发送陷入报文报告出现的异常情况。SNMPv中也有对应的通信方式。  (六)SNMPv的实现  传输层映像  SNMP是应用层协议通过传输层服务访问通信网络。SNMPv规范定义了可以使用种传输层服务这种传输层映射是:  。UDP:用户数据报协议  。CLNS:OSI无连接的传输服务  。CONS:OSI面向连接的传输服务  。DDP:AppleTalk的DDP传输服务  。IPX:Novell公司的网间分组交换协议。  与OSI的兼容性  为发使SNMPv能与OSI系统互操作可以使用RFC在TCPIP网络之上的模拟ISO的TPO传输服务通过RFCOSI的电子邮件、系统管理等应用程序都可以通过运行在TCPIP失望落上。RFC提供的TPO使最简单的面向连接的传输协议只提供连接的佳丽和释放等基本操作不支持错误检测也不支持传输服务Qos

用户评论(0)

0/200

精彩专题

上传我的资料

每篇奖励 +1积分

资料评分:

/21
1下载券 下载 加入VIP, 送下载券

意见
反馈

立即扫码关注

爱问共享资料微信公众号

返回
顶部

举报
资料