首页 计算机网络管理笔记

计算机网络管理笔记

举报
开通vip

计算机网络管理笔记计算机网络管理笔记 1、 网络管理需求: 计算机与网络技术的发展 网络普及 网络组成越来越复杂 多厂家设备不兼容 2、 网络管理目的: 减少停机时间,改进响应时间,提高设备利用率 减少运行费用,提高效率 减少/消灭网络瓶颈 适应性技术 容易使用 安全 3、 网络管理体系结构:操作系统、协议支持、网络管理框架、网络管理应用 4、 NME:每个网络节点都包含一组与管理有关的软件 5、 NMA:管理站中的一组软件叫做网络管理应用 6、 代理模块:NME模块叫做代理模块, 7、 集中式与分布式网络管理的定义 8、 为何采用...

计算机网络管理笔记
计算机网络管理笔记 1、 网络管理需求: 计算机与网络技术的发展 网络普及 网络组成越来越复杂 多厂家设备不兼容 2、 网络管理目的: 减少停机时间,改进响应时间,提高设备利用率 减少运行费用,提高效率 减少/消灭网络瓶颈 适应性技术 容易使用 安全 3、 网络管理体系结构:操作系统、协议支持、网络管理框架、网络管理应用 4、 NME:每个网络节点都包含一组与管理有关的软件 5、 NMA:管理站中的一组软件叫做网络管理应用 6、 代理模块:NME模块叫做代理模块, 7、 集中式与分布式网络管理的定义 8、 为何采用委托代理 9、 被管理网络资源 10、 网络管理 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 1.2 1、 OSI管理框架 2、 通信机制 请求 响应 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 轮询 通知 心跳 3、 管理域和管理策略划分在分布式网络管理中的作用 4、 管理信息的层次结构--继承层次树 多继承性:一个子类有多个超类 多态性:不同的对象对于同一操作作出不同的响应 同质异晶性:一个对象可以有多个对象类 一个对象可以是另一对象的一部分,这就形成了对象的包含关系,这种包含关系可以表示为有向树 5、 应用层提供系统管理的支持功能 应用层由应用进程AP和应用实体AE组成。应用进程把信息处理功能和通信功能组合再一 起,通过一个全局的名字可以调用这个功能;应用进程的通信功能由通信实体实现。应 用实体划分为应用服务元素ASE。ASE是具有简单通信能力的功能模块,对等的ASE之间有 专用的服务定义和协议规范。应用实体首先要与对等的应用实体建立应用联系,该过程 主要通过交换应用上下文AC。AC可以用名字应用一组ASE及其调用规则。 应用服务元素分为公用服务元素和专用服务元素。网络中使用的公用服务元素有联系控 制服务元素ACSE和远程操作服务元素ROSE。ACSE用于建立应用联系,ROSE用于实现对等 实体的远程过程调用。专用服务元素叫公共管理信息服务元素CMISE,CMISE共有7种,公 共管理服务元素和公共管理协议操作一一对应。 6、 ISO定义的5个系统管理功能域的含义、功能和作用 n 配置管理:对系统设备参数的设置。包括视图管理、拓扑管理、软件管理及网络规划 和资源管理。其作用包括:确定设备的地理位置、名称和有关细节,记录并维护设备参 数表;用适当的软件设置参数值和配置设备功能;初始化、启动和关闭网络或网络设备 ;维护、增加和更新网络设备及调整网络设备之间的关系。 n 故障管理:所谓故障是出现大量或严重错误需要修复的异常情况。对故障的处理包括 故障检测,故障定位,故障隔离,重新配置,修复或替换失效部分,使系统恢复正常。 包括故障警告功能、事件报告管理功能、运行日志控制功能、测试管理功能。 n 性能管理:网络性能包括:带宽利用率、吞吐量降低程度、通信繁忙程度、网络瓶颈 及响应时间等。性能管理包括:数据收集功能、工作负载监视功能、摘要功能。 n 计帐管理:收集存储用户对各种资源的使用情况的数据,用于计费。三个子过程:使 用率度量过程、计费处理过程、帐单管理过程。 n 安全管理:包括发现全漏洞、设计和该进安全策略、根据管理记录产生安全事件报告 ,以及为护安全业务。可以提供访问控制、安全警告、安全审计试验。 1.3 1、 Netview 适合用于分布式管理,有以下几个主要功能元素:网络通信控制设施NCCF 、网络逻辑数据管理器NLDM、网络问题测定程序NPDA、状态监视器 2、 SunNet Manager功能元素主要有:管理应用程序、代理和委托代理等。委托代理使 用远程过程调用RPC技术,所以可以处理多种协议;它可以管理多个站,形成局部的集中 式管理,适合用于站点密集的局域网应用。 3、 OpenView主要功能模块是网络节点管理器NNM和分布式管理员组成。应用广泛、具有 多平台支持的能力 第二章 MIB 2.1 1、 与OSI分层原则不同,TCP/IP允许同层协议实体之间互相作用实现复杂的通信功能, 也允许上层直接调用不相邻的下层过程。 2、 Internet网络管理框架 网络管理:Internet中,网络、设备和主机的管理叫做网络管理 早期唯一可用的网络管理协议是ICMP,SGMP,SNMP、RMON SNMP由两部分组成:管理信息库的定义和管理信息库的协议规范。 服务原语: Get检索数据,Set改变数据,GetNext提供扫描MIB和连续检索数据的 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 。 Trap提供从代理进程到管理站的异步报告机制。 四个文件定义:RFC1155管理信息结构SMI(管理对象的语义和语法);RFC1212定义MIB 模块的方法;RFC1213定义MIB-2管理对象的核心集合;RFC1157定义SNMPv1协议的规范文件。 3、 SNMP的体系结构:它依托于UDP数据报服务,向管理应用提供服务,作用是把管理应 用程序的服务调用变成对应的SNMP协议数据单元,并利用UDP数据报发送出去。 其体系结构见38页图2.15,管理站运行管理应用程序,代理进程管理诺干管理对象,通 过UDP、IP协议和物理网络建立SNMP协议应用。 4、 为何使用委托代理:SNMP要求所有代理设备和管理站都实现TCP/IP,对于不支持 TCP/IP的设备,只能通过委托代理设备管理若干台非TCP/IP设备,代表这些设备接受管 理站的查询。实际上委托代理起到了协议转换做用。委托代理和被管理设备间为非 TCP/IP的专用协议。 2.2管理信息结构 1、 管理信息结构SMI定义和构造MIB的总体框架,以及数据类型的表示和命名方法。其 宗旨是保持MIB的简单性和可扩展性。它提供以下标准化技术表示管理信息: 定义MIB的层次结构 提供定义管理对象的语法结构 规定对象值的编码方法 2、 SNMP的管理对象组织成分层的树结构,作用有三: a) 表示管理和控制关系 b) 提供结构化的信息组织技术 c) 提供对象命名机制 3、 ASN.1的数据类型 a) 通用类型:表2.4第41页 b) 子类型 i. 单个值TestResult::=INTEGER(0│1│2) ii. HouseResult::=IA5String(FROM("0"│"1"│"2"│"3"│"4"│"5" │"6"│"7"│"8"│"9")SIZE(1..5) 允许字符,表示可取1到5个数字组成的字符串 iii. EmployeeNumber::=INTEGER(1000..20000) 取值范围1000到20000 iv. WorkstationNumber::=OCTE STRING(SIZE(32)) 该变量值为32个字节的串 c) 文字约定 i. 不识别空格 ii. 注释以--开头,--或行尾结束 iii. 表示符由大小写字母,数字,下划线组成 iv. 内部类型标示符全部大写 v. 用户定义类型名和模块名以大写字母开头 vi. 变量名小写字母开头 d) 应用类型 i. NetworkAddress::=CHOICE{internet IpAddress} CHOICE构造定义 ii. Internet OBJECT IDENTIFER::={iso(1)org(3)dod(6) 1} 采用对象标示符作为对象唯一标识 iii. IpAddress::=[APPLICATION 0] IMPLICIT OCTET STRING(SIZE(4)) 32位IP地址,定义为OCTET STRING类型 iv. Counter::=[APPLICATION 1] IMLICIT INTEGER (0..4294967295) 计数器类型,只增不减,2的32次方后归0 v. Cauge::=[APPLICATION 2] INTEGER(0..4294967295) 计数器类型,可增可减,最大2的32次方,锁定不归0 vi. TimeTicks::=[APPLICATION 3]INTEGER(0..4294967295) 时钟类型,单位微秒 vii. Opague::=[APPLICATION 4]OCTET STRING--arbitrary ASN.1 value 不透明类即未知数据类型 4、 管理信息结构的定义方法 a) 为每一类对象定义一种对象类型 b) 定义一种带参数的通用对象类型 c) 利用ASN.1宏定义表示一个有关类型的集合,然后用这些类型定义管理对象 SNMP采用第三种方法,有如下定义层次: i. 宏定义:定义合法的宏实例,说明有关类型的语法; ii. 宏实例:宏定义通过参数替换产生,一种具体的类型; iii. 宏实例的值:一个特定值的实体 iv. SYNTAX:表示对象类型的抽象语法 v. ACCESS:SNMP协议访问对象方式,只读、读写、只写、不可访问4种 vi. STATUS:状态子句,说明实现是否支持这种对象。 vii. DrsctPart:用文字说明对象类型的含义 viii. ReferPsrt:用文字说明可参考在其他MIB模块中定义的对象 ix. IndexPart:定义表对象的索引项 x. DefValPart:定义对象实例默认值 xi. value NOTATION:指明对象的访问名。 5、 表的概验和语法 SMI只存储标量和二维数组,表对象就是二维数组 表由若干行和列对象组成,表中的标量对象叫做列对象,其中只有一个索引对象 a) 概念表和概念行:表和行对象是没有实例标示符的,它们没有叶子节点,SNMP不能访 问,其访问属性为"not-accessible",这类对象叫做概念表和概念行。 b) 标量对象:标量对象只能取一个值,为与列对象一致,SNMP规定在标量对象标示符后 级连一个0,表示该对象的实例标示符。 6、 对象标示符的词典顺序:对象标示符是整数序列,这种序列反映对象MIB的逻辑位置 ,同时表示一种词典顺序,按照一定顺序遍历MIB树,这样排出所有对象的词典顺序。 2.3 MIB-2功能组 MIB-2包含11个功能组,171个对象。 1、 系统组中的管理对象及其在网络中的应用 P50 系统组提供系统的一般信息。 2、 接口组的管理对象及其在网络中的应用 P51 接口组包含关于主机接口的配置信息和统计信息 a) 接口组对象 P52 b) 接口类型和编码 P53 c) 接口状态 P54 输入错误率=ifInErrors/(ifInUcastPkts+ifInNUcastPkts) 输出错误率=ifOutErrors/(ifOutUcastPkts+ifOutNUcastPkts) 3、 地址转换组:包含一个表,每一行对应系统一个物理接口,表示网络地址到物理地址的映像关系。 4、 IP组的管理对象及其再网络中的应用 P55 提供IP协议有关的信息,可分为四类: a) 有关性能和故障监控的标量对象 b) IP地址表:包含与本地地址有关的信息。 c) IP路由表:包含关于转发路由的一般信息,路由表中的信息可用于配置管理、故障管理,可写。 d) IP地址转换表:物理地址和IP地址的对应关系。 5、 ICMP组的管理对象及其在网络管理中的应用 P59 6、 TCP组的管理对象及其在网络管理中的应用P60 包含与TCP协议实现和操作有关的信息,该组前三项与重传有关。当个TCP实体发送数据 段后等待应答并启动计时。如果超时,认为数据丢失。TcpRtoAigorithem说明计算重传 时间算法,其值可以是: 7、 UDP组的管理对象及其在网络管理中的应用 UDP数据报和本地接收端点的详细信息,只有本地地址和本地端口两项。 8、 EGP组的管理对象及其在网络管理中的应用 提供关于EGP路由器发送和接收的EGP报文信息,以及关于EGP邻居的详细信息。邻居状态 egpNeighState可取值idle(1),acquisition(2),down(3),up(4),cease(5 )轮询模式egpNeighMode可取值active(1),passive(2) 9、 传输组的管理对象及其在网络管理中的应用 设置这一组的目的是针对各种传输介质提供详细的管理信息 10、 MIB-2的局限性:设计MIB-2的主要目标是方便管理实体的实现,它只包含基本的网 络管理需要,因而限制了许多管理功能的实现。如:对于通信流量分布问题,不能由 MIB-2解决;利用MIB-2只能知道TCP实体建立的连接数量,无法知道该连接的通信;远程 网络管理问题无法由MIB-2实现。 管理系统的功能取决于两方面因素:一是网络管理协议的能力,二是管理信息库提供的信息。 第三章 SNMPv1  简单网络管理协议透视—从SNMPv1到 SNMPv3 :    3.1 SNMPv1协议数据单元 1、 SNMPv1支持的操作 仅支持对象值的检索和修改 a) Get:检索管理信息库中标量对象的值 b) Set:管理站用于设置管理信息库中标量对象的值 c) Trap:代理用于向管理站报告管理对象的状态变化 SNMP不支持管理站改变管理信息库中的叶子节点,不能增加和删除MIB中的管理对象实例 。管理站也不能向管理对象发出执行一个动作的命令。管理站只能逐个访问管理信息库 中的叶子节点,不能一次性访问一个子数。 2、 SNMPv1PDU格式 管理站和代理站之间交换的管理信息构成SNMP报文,由三部分组成:版本号、团体名、 协议数据单元(PDU)。 SNMP有5种管理操作,只有4种PDU,管理站发出三种请求报文GetRequest, GetNextRequest和SetRequest采用的格式是一样的。代理的应答报文只有一种: GetResponse。除Trap外,4种pdu格式相同,共有5个字段: a) PDU类型:共5种类型 b) 请求标识:赋予每个请求报文唯一的整数,用于区别不同请求 c) 错误状态:共有5种错误状态:noerror(1),tooBig(1),noSuchName(2),badOnly (4),genError(5) d) 错误索引当错误状态非0时指出出错的变量 e) 变量绑定表:变量名和对应值的表 Trap包含: 制造商ID 代理地址 一般陷入:SNMP定义6类: 特殊陷入:与设备有关的特殊陷入代码 时间戳:代理发出陷入的时间 3、 报文应答序列 a) GetRequest b) GetNextRequest c) SetRequest d) GetResponse e) Trap,不需要应答 4、 报文的发送和接收过程 当一个SNMP协议实体(PE)发送一个报文时执行以下过程 P71 a) 按照ASN1的格式构造PDU,交给认证进程 b) 认证进程检查源和目标之间是否可以通信 c) 通过检查,相关的版本号、团体名、PDU组装成报文 d) 经过BER编码,绞传输实体发送出去 当一个SNMP协议实体(PE)接收一个报文时执行以下过程: 按照BER编码恢复ASN1报文 1、 对报文验证版本号和认证信息 2、 通过分析和验证,分离出协议数据单元,进行语法分析 3、 必要时经过适当处理返回应答报文 4、 如果认证检验失败,生成一个陷入报文,向发送站报告通信异常情况。 如希望检索多个管理对象,则要把多个管理对象装入一个PDU,这就用到变量绑定表 3.2 SNMPv1的安全机制 SNMP的安全机制很简单,只验证团体名。 1、 团体的概念:SNMP网络管理是一种分布式应用,这种应用的特点是管理站和被管理 站之间的关系可以是一对多的关系,即一个管理站可以管理多个代理,从而管理多个被 管理设备。只有属于同一团体的管理站和被管理站才能互相作用,发送给不同团体的报 文被忽略。 SNMP的团体是一个代理和多个管理站之间的认证和访问控制关系 2、 SNMPv1的简单认证过程:RFC1157提供的只是简单的认证 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 :从管理站发送到代理 的报文(Get,Set)都有一个团体名,就像口令字一样。 3、 SNMPv1可采用的访问策略:访问控制有两方面含义: a) MIB视阈:MIB中对象的一个子集,对不同的团体可以定义不视阈(View)。 b) 访问模式:集合{read-only,read-write}的一个元素。 团体的形象(Profile):有关一个团体的MIB视阈和访问模式的组合叫做该团体的~,团体 的形象由代理中MIB对象的一个子集和这些对象的访问模式组成。 SNMP团体和SNMP团体形象的组合叫做访问策略。 4、 转换代理在SNMP中的作用:委托代理是代表不支持SNMP的设备工作的。其作用是减 少被代理的设备与管理站之间的交互过程。 3.3 SNMPv1的操作(综合应用) 1、 检索简单标量对象值的方法:使用Get操作,如果变量绑定表中包含多个变量,一次 可以检索多个标量对象的值。 GetResponse操作的原子性:如果请求对象的值可以得到,则给与应答;反之,返回下列 错误之一: 1) 变量绑定表中的一个对象无法与MIB中的任何对象标示符匹配,或要检索的对象是一 个数据块(子树和表),没有对象实例生成。返回的GetResponsePDU中错误状态字段为 noSuchName 2) 由于上下层协议限制,响应实体可以提供所要检索的值,但变量太多,一个相应PDU 装不下,tooBig 3) 由于其它原因响应实体至少不能提供一个对象的值,返回genError 例:3.1 P74、75 2、 检索未知对象的方法 P76:使用GetNext命令检索变量名指示的下一个对象实例。如 果交叉标示符没有有效性,直接查找下一个有效的标示符,并返回对象实例。如果不知 道UDP组内有哪些变量可以直接发送GetNextRequest(udp),将得到响应是UDP组内的第一 个对象。 3、 检索表对象的方法 P76:使用GetNext命令可以有效的检索表 4、 表的更新和删除操作P78: 1) Set命令用于设置或更新变量的值,其PDU格式与Get相同。 2) 变量绑定表(variablebindings)中必须包含要设置的变量名和变量值。 3) Set命令的应答也是GetResponse,同样是原子性的。 4) 如果所有的变量都可以设置,则更新所有变量的值,返回GetResponse中确认新值; 5) 如果至少有一个变量的值不能设置,所有变量值都保持不变,并在错误状态中指出出 错原因。SET出错原因和GET类似(tooBigno,SuchName,GenError),若有一个变量的 名字和要设置的值在类型、长度或实际值方面不匹配,返回badValid。 例3.8 P78:设置一个完整行,返回可以是noSuchName、badvalue、或者生成新行 例3.9 P78:设置一行,不完整,返回可能是增加新行或拒绝这个操作; 1. 删除一行只需把一个对象的值设为invalid,返回响应确认之 MIB-2中只有2中标可以删除ipRouteTable包含ipRouteType可取值为invalid; ipNetMediaTable包含ipNetToMediaType可取值为invalid 2. SNMP没有提供向管理对象发出动作的命令,但可以利用SET命令对以专用对象设置值 。错误状态readonly没有在任何回应报文中出现。 5、 陷入操作的原理和陷入的种类:陷入是由代理向管理站发出的异步事件报告,不需 要应答报文。SNMPv1规定了7种陷入条件: 1) coldStart:发送实体重新初始化,代理配置已改变,通常由于系统失效引起; 2) warmStart:发送实体重新初始化,代理配置没有改变,正常重新启动引起; 3) linkDown:链路失效通知,变量绑定表的第一项指明对应接口表的索引变量及其值; 4) linkUp:链路启动通知变量绑定表的第一项指明对应接口表的索引变量及其值; 5) authenticationFailure:发送实体收到一个没有通过认证的报文; 6) egpNeighborLoss:相邻的外部路由器失效或关机; 7) enterpriseSpecific:设备制造商定义的陷入条件,在特殊陷入字段指明具体的陷入类型。 3.4 SNMP功能组对象含义和作用(领会): SNMP组包含的信息关系到SNMP协议的实现操 作。这一组共30个对象,在只支持SNMP站管理或只支持SNMP代理功能的实现中有些对象 是没有值的。除了snmpEnableAuthenTrap可由管理站设置,只是它是否允许代理产生" 认证失效"陷入外,其它对象都是只读的计数器。(P80) 3.5实现问题(领会) 1、 网络管理站的功能要求:选择站管理产品时首先要关心它与标准的一致程度,与代 理的互操作性。以及用户界面、功能齐全、方便使用,具体有以下选择标准: a) 支持扩展的MIB b) 图形用户接口: c) 自动发现机制: d) 可编程事件: e) 高级网络控制功能: f) 面向对象的管理模型 g) 用户定义的图标 2、 轮询频率对网络管理性能的影响:网络轮询频率域网络的规模和代理的多少有关。 网络管理的性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等因素。P81 最多可支持设备数(轮询代理数N)小于等于< △与以下因素有关(交换一次请求/响应报文需要4个处理时间,2个网络延时): ? 管理站生成一个报文时间 ? 管理站到代理的网络延迟 ? 代理处理一个请求报文时间 ? 代理生成一个响应报文时间 ? 代理到管理站的网络延时 ? 管理站处理一个响应报文的时间 ? 未得到足够的管理信息,交换请求/响应报文的数量 3、 SNMPv1的局限性 a) 由于轮询的性能限制,SNMP不适合管理很大的网络 b) SNMP不适合检索大量数据 c) SNMP的陷入报文时没有应答的,管理站是否收到陷入报文,代理不能确认 d) SNMP只提供简单的团体名认证,安全措施不够 e) SNMP并不直接支持向被管理设备发送命令 f) SNMP的管理信息库MIB-2支持的管理对象有限,不能完成复杂的管理功能 g) SNMP不支持管理站之间的通信,这一点在分布式网络中是很需要的。 第四章 远程网络监视RMON RMON扩充了MIB-2,提供互联网络管理的主要信息 1.1 RMON的基本概念(领会) MIB-2只提供单个设备的管理信息 网络监视器:通常用于监视整个网络通信请宽的设备较网络监视器或网络分析器、探测器; 远程监视器:每个子网中配置一个监视器,监视子网中的通信情况,并且与中央管理站通信。 1. 远程网络监视的目标: RMON定义了远程监视的管理信息库,以及SNMP管理站和远程监 视器之间的接口,一般RMON的目标只是监视子网范围内的通信,从而减少管理站和被管 理站系统间的通信负担。具体RMON具有下列目标: 1. 离线操作:必要时管理站可以停止对监视器的轮询,从而减少通信提高带宽利用率。 即使不受管理站查询,监视器也能不断收集子网故障、性能和配置方面信息,统计和积 累数据,以便管理站查询时及时提供管理信息。另外,在网络出现异常时间使其能及时 向管理站报告。 2. 主动监视:如监视器有足够资源,通信负载允许,监视器可以连续地或周期的运行诊 断程序,获得并记录网络性能参数。 3. 问题检测和报告:监视器也可被动地获得网络数据,并在出现异常时向管理站报告。 4. 提供增值数据:监视器可以分析收集到的子网数据。 5. 多管理站操作:一个网络可以由多个管理站,或者分布的实现不同的网络管理功能。 2. 表管理操作原理: 在RMON规范中增加了两种新的数据类型:  1. OwnerString ::=DisplayString  2. EntryStatus ::=INTRGER{valid(1),createRequest(2),underCreation(3),invalid(4)} 在每一个可读写的RMON表中都有一个对象,其类型为OwnerString,气滞为标行所有人或创建者; RMON表中还一对象,类型为EntryStatue,其值表示行的状态,对象名义Statue结尾。 RMON规范中的表结构由表控制和数据表两部分组成,控制表定义数据表的结构,数据表 用于存储数据。控制表包含:rmlControlIndex、rmlControlParameter、 rmlControlOwner, rmlControlStatue。数据表由rmlDataControlIndex和rmlDataIndex共同索引。 增加行:管理占用Set命令在RMON表中增加行,并遵循下列规则:3. 管理站用SetRequest生成一个新行,如果新行的索引值不冲突,则代理产生一个新行 ,其状态值为creatRequest(2);4. 新行产生后,由代理把状态对象值置为underCreation(3)。对与管理站没有设置新值 得列对象,代理可以置为默认值,或者让新行维持这种不完整、不一致的状态。5. 新行的状态值保持为underCreation(3),直到管理站产生了所要生成的新行。这时由 管理站置每一信行状态的值为valid(1)6. 如果管理站要生成的新行已经存在,则返回一个错误值。 删除行:只有行的所有者才能发出SetRequest PDU,把行状态值置为invalid(4)。 修改行:首先置行状态对象的值为invalid(4),然后用SetRequest PDU改变行中其它对 象的值。 3. 多管理站访问中出现的问题及解决办法: RMON监视器允许多个管理站并发的访问,当多个管理站访问时可能出现下列问题: ? 多个管理站对资源的并发访问可能超过监视器的能力; ? 一个管理站可能长时间占用监视器资源,使得其它站得不到访问; ? 占用监视器资源的管理站可能出现崩溃,而没有释放资源。RMON控制表中列对象Owner 规定了表的所属关系; ? 管理站能认得自己所属的资源,也知道自己不再需要的资源; ? 网络操作员可以直到管理站占有的资源,并决定是否释放这些资源; ? 一个被授权的网络操作员可以单方面决定是否释放其它操作员的资源; ? 如果管理站重新启动它应该是方不再使用的资源。 4.2 RMON 的管理信息库 RMON MIB是MIB-2下的第16个子树 1、以太网的统计信息: 有关分组的捕获、网络事件报警 ? 统计组:提供一个表,遗憾标志一个子网的统计信息,大部分是计数器。 ? 历史组:存储的是一固定间隔取样所获得的子网数据姆有历史控指标和历史数据表组 成。利用率(Utilization)={packets*(96+64)+Octets*8}/Interval*107 ? 主机组:收集新出现的主机信息,内容与接口组同。 ? 最高N台主机组:记录某组参数最大的N台主机的有关信息,信息来源于主机组。 ? 矩阵组:记录子网中已对主机之间的通信量,信息以矩阵形式存储。 2、 令牌网的统计信息: 增加了两个表tokenRingMLStatsTable和tokenRingPStatsTable ,前者统计令牌环中各种MAC控制分组,后者统计各种数据分组。 ? 环站组:包含各站的统计数据和状态信息,由控制表和数据表组成。P99 ? 环站顺序组:提供环上的顺序,只有一个表ringStationOrderTable ? 环站配置组:提供控制环的手段。RMON监视器可以把站从环上移去,或者向下站下载 配置信息。由控制表和数据表组成。 ? 环源路由组:只有一个表sourceRoutingStatsTable,提供源路由信息使用情况。 3、 报警对象的作用、工作原理功能组: RMON定义了一组性能的门限值,超过门限值相 控制台产生报警事件。这一组和事件组同时出现。报警组有一个表组成,该表定义一种 报警:监视的变量、采样区间和门限值。报警类型有两种:absolutevalue(1),表示直 接与门限比较;datavalue(2)表式相减后比较,校正量报警。Hysteresis机制:P102增量机制 4、 过滤测试的逻辑规则和通道的定义与操作 过滤祖师的监视器观察接口上的分组,通过过滤选择出某种指定的特殊分组。这个组定 义了两个过滤器:数据过滤器是按位模式匹配;状态过滤器按状态匹配。 一组过滤器的组合叫做通道,可以通过通道测试的分组技术,也可以配置通道使得通过 的分组产生事件,或者使得通过的分组被扑获。 过滤逻辑 P103: input:被过滤的输入分组; filterPktData:用于测试的位模式;0x00000000A500000000BB filterPktDataMask:要测试的有关位的掩码;0xFFFFFFFFFFFFFFFF filterPktDataNotMAsk:指示匹配或不匹配测试;0x00000000FFFFFFFF 通道操作:通道由一组过滤器定义,被测试的分组要通过通道中的有关过滤器的检查。 分组是否被通道接受,取决于通道配置中的一个变量: channelAcceptType::=INTEGER{acceptMatched(1) ,acceptFailed(2)} 如果该变量值为1,则分组数据和分组状态至少要与一个过滤器匹配,则分组被接受;如 果该变量值为2,则分组数据和分组状态与每一个过滤器都不匹配,则分组被接受。 5、 包扑获方式和事件记录的工作原理 包扑获组:建立一组缓冲区,用于存储从通道中扑获的分组。由控制表和数据表组成。 事件组:其作用是管理事件。事件是由MIB中其他地方的条件触发的,事件也能触发其他 地方的作用。产生事件的条件在RMON中其他组定义,如报警组和过滤组都可以指向事件 组的索引项。时间还能使得这个功能组存储有关信息,甚至引起代理进程发送陷入消息 。事件组由事件表和log表组成,前者定义事件的作用,后者记录时间出现的顺序和时间。 4.3 RMON2 管理信息库 RMON MIB只能存储MAC层管理信息,RMON2可以监视MAC层之上的通信。 1、 RMON2 MIB的组成:RMON2监视3到7层的通信,能对数据链路层以上的分组进行译码 。能管理网络层协议,了解分组的源和目标地址。也能监视应用层协议,如电子邮件协 议、文件传输协议、HTTP协议等。在RMON MIB基础上增加了9个功能组: 协议目录组:提供各种网络协议的标准化方法,时的管理站可以了解监视器所在子网上运行什么协议。 协议分布组:提供每个协议产生的通信统计数据; 地址映象组:IP与MAC的映射; 网络层主机组:收集网上主机信息; 网络层矩阵组:源和目标的通信情况; 应用层主机组:收集每个应用的通信情况 应用层矩阵组:统计一对应用协议之间的通信情况; 用户历史组:周期的收集统计数据; 监视器配置组:定义了监视器的标准参数的集合。 2、 RMON 2增加的新功能:RMON2引入了两种与对象索引有关的新功能。 ? 外部对象索引:在SNMPv1管理信息结构的宏定义中没有说明外部对象是否索引对象必 须是被索引表的列对象。在SNMPv2中明确指出可以使用不是概念表成员的对象作为索引 项。这种情况必须在概念行DESCRIPTION子句中给出文字说明,说明如何使用这样的外部 对象唯一地表示概念夯实例。RMON2采用了这种新的表结构,经常使用外部对象索引数据 表,以便把数据表与对应的控制表结合起来。 ? 时间过滤器索引:网络管理应用需要周期的轮询监视器,以便得到管理对象的最新状 态信息。而我们希望只返回上次检查以来改变的那部分信息。这个索引使得管理站可以 从监视器取得自从某个时间来改变过的变量。P 113 3、 RMON2 MIB在网络上层(网络层和应用层)管理的作用 ? 协议的标识:协议标识协议参数串组成。P115 ? 协议目录表: ? 用户定义的数据收集机制:第一级为控制表,第二级为用户历史对象表,第三级为数据表。 ? 用户定义的标准配置法:增强管理站和监视器之间的互操作 第五章 简单网络管理协议SNMPv2 5.1 SNMP的演变(识记): SNMP基与SGMP,由简单容易实现的优点。SNMP的缺点也是明 显的:没有实质性的安全措施,无数据源认证功能,不能防止偷听。为此SNMP又增加了 报文摘要算法MD5保证数据的完整性和进行数据源认证,以及用时间戳对报文排序,采用 DES算法提供数据加密功能等实现安全的S-SNMP。在S-SNMP的基础上开发出了SNMP的第二 版,即SNMPv2。SNMPv2丢掉安全功能,把增加的其他功能作为新标准颁布,并采用 SNMPv1的报文格式,叫做基于团体名的SNMP。SNMPv2既可以支持完全集中的网络管理, 又可以支持分布式网络管理。即采用代理方式的管理。 总体SNMPv2对SNMP增加了以下3个 方面的内容: ? 管理信息结构的扩充 ? 管理站和管理展示间的通信能力 ? 新的协议操作。 SNMPv2对定义对象类型的红进行了扩充,引入了新的数据类型,增强了对象的表达能力 ;吸收了RMON中有关表行增加和删除的约定,提供了更完善的表操作功能;SNMPv2还定 义新的MIB组,包含协议操作的通信消息,以及有关管理站和代理系统配置的信息;在协 议操作方面引入了两种PDU,分别用于大数据块的传送和管理站之间的通讯。 5.2 网络安全问题 1、 计算机网络安全的威胁 计算机网络需要以下3个方面的安全 ? 保密性:计算机中的信息只能由授权了访问权限的用户读取 ? 数据完整性:计算机中的信息资源只能被授权用户修改 ? 可利用性:具有访问权限的用户在需要时可以利用计算机系统中的信息资源 中断:通信被中断,对可用性威胁 窃取:未经授权访问,对保密性威胁 篡改:未经授权访问并篡改了信息,对数据完整性威胁 假冒:未经授权加入伪造内容,对数据完整性威胁 2、 网络管理的安全威胁 3个方面威胁: ? 伪装的用户:没有得到授权的一般用户企图访问网络管理应用和管理信息 ? 假冒管理程序:无关的计算机伪装成网络管理站实施管理功能 ? 侵入管理站和代理站之间的信息交换过程:网络入侵者通过观察网络活动窃取了敏感 的管理信息,更严重的危害是可能穿该管理信息或中断管理站和代理站的通信。 系统或网络的安全设施由一系列安全服务和安全机制的集合组成: ? 安全信息的服务:网络管理中的安全管理之保护管理站和代理之间信息交换的安全。 有关安全的管理对象包括密钥、认证信息、访问权限信息以及有关安全服务和安全机制 的操作参数信息。安全管理要跟踪网络活动和试图发起的网络哦活动,以便检测未遂或 成功的安全攻击,并从这一攻击中恢复网络的正常运行。 安全维护信息包括: n 记录系统中出现的各类事件 n 跟踪安全审计试验,自动记录有关安全的重要事件。 n 报告和接受侵犯安全的警示信号 n 维护和检查那全记录 n 备份和保护敏感文件 n 研究每个正常用户的活动形象,预先设定敏感资源的使用形象,以便检测异常活动 ? 资源的访问控制:包括认证服务和授权服务 n 安全编码 n 源路由和路由记录信息 n 路由表 n 目录表 n 报警门限 n 记帐信息 ? 报文的加密:对管理站和代理之间交换的报文进行加密 3、 安全机制: 一般从保密、认证、非认证和数据完整性4方面 ? 数据加密:是防止未经授权的用户访问敏感信息的手段。研究数据加密的科学叫密码 学,它分为设计密码体制的密码编码学和破译密码的密码分析学。 ? 认证--防止主动攻击的方法 认证分为实体认证和消息认证。实体认证是识别通信对方的身份,防止假冒,可以采用数字签 名的方法。消息认证是验证消息在传送或存储过程中没有被篡改通常采用消息摘要法。 n 数字签名--防止否认的方法,基于密钥的数字签名 n 消息摘要--验证消息的完整性,用差错控制,冗余位 5.3 管理信息结构(领会) 1、 对象的定义 P131 2、 表的定义、索引和操作 P136 行的生成4步骤 P136 行的挂起:用set命令把状态列由active改为notInService 行的删除:set命令把状态列改为destroy 4、 通告的定义和作用:用于异常条件出现时SNMPv2实体发送的信息。 5.4 管理信息库(简单应用) 1、 系统组SNMPv2的系统组是MIB-2系统组的扩展。之增加了与对象资源(Object Resource)有关的一个标量对象sysORLastChange和一个表对象sysORTable。 所谓对象资源:是由代理实体使用和控制的,可以由管理站动态配置的系统资源。 标量对象sysORLastChange记录着对象资源表中描述对象实例改变状态的时间。 2、 SNMP组与SNMPv2操作的关系:这个组是由MIB-2的对应组改造而成,增加了一些新的 对象,但新的SNMP组对象少了,他删除了对排错作用不大的许多变量。 3、 MIB对象组的作用:这个组的对象与管理对象的控制有关,分为两个子组。的一个子 组snmpTrap由snmpTrapOID和snmpTrapEnterprise组成。前者是正在发送的陷入或统治的 对象标识符。后者是正在发送的陷入有关的制造商标识符。第二个子组snmpSet只有 snmpSerialNo一个对象,用于解决Set操作中可能出现的问题:一个管理站向同一MIB对 象发送多个,需保证顺序执行;多个管理站对MIB的并发操作可能破坏数据库的一致性和 精确性。 5、 适应性声明主要内容的:适应性是对具体实现的限制,是具体实现必须达到的最小 级别。说明适应性要用到四个文件: ? OBJECT-GROUP(对象组宏):一组有关的对象 ? NOTIFICATION-GROUP(通知组宏)一组已经实现的通知 ? MODULE-COMPLIANCE(模块依从性宏):说明对MIB实现的最小要求 ? AGENT-CAPABILITIES(代理能力宏):定义了一个代理系统的能力,及代理对MIB的支持程度。 6、 接口组增加的对象及应用 原来的接口组的功能和不足之处: ? 接口编号 ? 接口子层 ? 虚电路问题 ? 不同传输特性的接口 ? 计数长度 ? 接口速度 ? 组播/广播分组的计数 ? ifSpecific问题 增加了4个新表: ? 接口扩展表:各种接口对象 ? 接口堆栈表:说明接口表中属于同一物理接口的各个行之间的关系,指明哪些子层运 行于那些子层之上。 ? 接口测试表:作用是由管理站知识代理系统测试接口故障 ? 接收地址表:包含每个接口对应的各种地址。 5.5 SNMPv2协议和操作(简单应用) 1、 SNMPv2提供了3种访问管理信息的方法 ? 管理站和代理之间的请求/响应通信 ? 管理站和管理站之间的请求/响应通信 ? 代理系统到管理站的非确认通信 2、 SNMPv2报文结构和交换序列 SNMPv2报文的结构分为3部分:版本号、团体名和作为数据传送的PDU。SNMPv2版本号为1 SNMPv1版本号为0 ? SNMPv2发送序列: n 根据协议需要构造PDU n 把PDU、源和目标端口地址以及团体名传送给认证服务,认证服务产生认证码或对象数 据进行加密。 n 加入版本号、团体名构造报文。 n 进行BER编码,产生0/1比特流,发送出去 ? 接收序列 n 对报文进行语法检查,丢弃出错报文 n 把PDU部分、源和目标端口教给认证服务。如果失效,发送一个陷入,丢弃报文。 n 认证通过,把PDU转换成asn.1的形式 n 协议实体对PDU作句法检查,如果通过,根据团体名和适当的访问策略作相应的处理。 3、 SNMPv2 PDU格式 功能和操作P152: 6种协议数据单元,3种格式。 GetRequest,GetNextRequest,SetRequest,InformRequest 和Trap PDU PDU类型 请求标识 0 0 变量绑定表 Response PDU PDU类型 请求标识 错误状态 错误索引 变量绑定表 GetBulkRequest PDU PDU类型 请求标识 非重复数N 最大后继数 变量绑定表 变量绑定表 变量名1 值1 变量名2 值2 GetRequest:SNMPv2对这种操作的响应方式与SNMPv1不同。SNMPv1响应是原子性的,即 只要有一个变量检索不到,就不返回任何值。SNMPv2不是原子性,允许部分响应。规则 如下: ? 如果改变量的对象标识符前缀不能与这一请求可访问的任何变量的对象标识符匹配, 返回错误值noSuchObject。 ? 如果变量名不能与这一请求可访问的任何变量名完全匹配,则返回一个错误值noSuchInstance。 ? 不属于以上情况,在变量绑定表中返回被访问的值。 ? 其他原因导致处理失败,返回错误状态genErr。 ? 如果生成的响应PDU过大,则放弃这个PDU,构造新的相应PDU,错误状态tooBig GetNextRequest PDU的响应: ? 对变量绑定表中指定的变量在MIB中查找按字典顺序的后继变量,如果找到,返回改变 量的名字和值。 ? 如果找不到字典顺序的后继变量,返回endOfMibView。 ? 其他情况导致相应PDU构造失败,以与GetRequest类似的方式返回错误值 GetBulkRequestPDU:是SNMPv2对原标准的主要增强,目的是以最少的交换次数检索大量 的管理信息,或者要求管理站尽可能大的响应报文。原理与GetNextRequest PDU的响应 例题:P 155 GetRequestPDU:的请求与SNMPv1相同,具有原子性。差别是处理相应的方式不同。分两 个阶段处理这个请求:检验操作的合法性;更新变量。检验合法性包括: ? 如果有一个变量不可访问,返回noAccess ? 如果与绑定表中变脸共享对象标识符的任MIB变量多不能生成、不能修改。也不解后制 定的值,返回错误状态notWritable ? 设置类型不是和,WrongType ? 设置值的长度限制不同,WrongLength ? 要设置的ASN.1编码不是合变量的ASN.1标签,wrongEncoding ? 指定值在任何情况下都不能赋予变量,wrongvalue ? 变量不存在,也不能生成,noCreation ? 变量存在,当前情况不能生成,inconsistaneName ? 变量存在,但不能修改,notWritable ? 当前情况下不能为变量赋与制定的值,inconsistanevalue ? 缺乏资源,resourceUnavailable ? 其他原因导致处理变量绑定对失败,genErr TrapPDU:陷入是代理发给管理站的非确认信息,包含sysUpTime.0(发出陷入时间), snmpTrapOID.0(陷入对象标识符),有关通知宏定义中的各变量名及其值,代理系统选 择的其它变量的值。 InformRequestPDU:管理站发给代理站的消息 4、 SNMPv2操作管理: SNMPv2的操作管理框架主要涉及4个基本概念:参加者、上下文、MIB视图、访问控制策略。 5、 SNMPv2实体:所谓实体就是执行网络管理操作的多线程进程。 6、 SNMPv2上下文:SNMPv2实体可以访问的管理对象的资源的集合,分为本地上下文和远程上下文。 7、 本地上下文是本地MIB对象的一个子集,也叫做MIB视阈 8、 访问控制策略:SNMPv2实体发送一个PDU后首先检查协议操作的合法性,及双方参加 者、操作的上下文是否有效,指定的操作是否允许等。 9、 SNMPv2的发送和接收 P161、P162 10、 管理站之间的通信:SNMPv2增加管理站之间的通信机制是分布式网络管理所需要的 功能特征。为此引入了通知报文InformRequest和管理站数据库(manger-to-manger MIB)。 管理站数据库有3个表组成: snmpAlarmTable:报警表提供被监视的变量的有关情况。 snmpEventNotifyTable:事件表记录SNMPv2实体产生的重要事件,或者是报警事件、或 者是通知类型宏定义事件。 snmpEventNotifyTable:事件通知表定义了发送通知的目标和类型。 5.6 SNMPv2的实现 1、 可利用的各种传输服务: a) UDP:用户数据报协议 b) CLNS:OSI面线非连接的传输服务 c) CONS:OSI面线连接的传输服务 d) DDP:AppleTalk 的DDP传输服务 e) IPX:Novell公司的网间网分组交换协议 2、 与OSI的兼容性:使用RFC1006在TCP/IP网络之上模拟ISO的TP0传输服务。通过 RFC1006,OSI的电子邮件、系统管理等应用程序都可以运行在TCP/IP网络上。TP0是最简 单的面向连接的传输协议,只提供连接的建立和释放,不支持错误检测,也不支持QoS。 RFC1006对TP0有所增强,主要是在连接建立阶段交换少量数据,支持加急投送服务,特 长协议数据单元。 3、 在TCP/IP网络中实现OSI系统管理功能的方法:SNMP的管理信息库MIB主要是根据协 议分组的,并没有按照OSI的系统管理功能域分类。 4、 SNMP的局限性: 没有按OSII系统管理功能域分类 管理对象功能方面并没有统一的分类标准。 MIB对象驻在各种代理系统中,如何合理地分布各种管理对象。 不是每个代理实现所有的MIB对象 第六章 Windows和SNMP NT指定了远程过程调用和系统管理服务(SMS)标准,作公司专用网络管理平台。后来微 软推出TCP/IP 32协议族是包含了一个SNMP服务选件,可以安装在NT服务器或工作站上, 接收和发送SNMP请求、响应和陷入。 6.1 Windows SNMP服务的基本概念 1、 SNMP代理和陷入服务的概念:SNMP管理站和代理功能,包括发送和接收陷入的能力。 2、 Win 95只支持SNMP代理功能。 3、 所谓服务是一种特殊的WIN32应用软件,他通过Win32 API与NT服务控制管理器(SCM )接口,一般在后台运行。作用是监视硬件设备和其他系统进程,提供访问外围设备和 操作系统辅助功能。系统服务在系统启动时或用户登录时自动开始,用户退出或系统关 机时停止运行。SNMP服务就是Win32应用软件。 4、 SNMP服务包括两个应用程序:SNMP代理服务程序Snmp.exe和SNMP陷入服务程序 SNMPPTRAP.EXE。 5、 代理服务程序Snmp.exe 接收SNMP请求报文,根据要求发送响应报文,能对SNMP报文 进行语法分析,ASN.1和BER编码/译码,也能发送陷入报文,并处理与WinSock API的接口。 6、 SNMPPTRAP.EXE监听发送给主机的陷入报文,然后把其中的数据传送给SNMP管理API 。Win 95没有陷入服务文件。 7、 NT的SNMP代理服务是可扩展的,允许动态的加入或减少MIB信息。这就意味着程序员 不必修改和重新编译代理程序,只需要加入或删除一个能处理指定信息的子代理就可以 。微软把这种子代理叫做扩展代理,它处理私有的MIB对象和特定的陷入条件。 8、 SNMP API是微软为SNMP协议开发的应用程序接口,是一组用于构造SNMP服务、扩展 代理和SNMP管理系统的库 函数 excel方差函数excelsd函数已知函数     2 f x m x mx m      2 1 4 2拉格朗日函数pdf函数公式下载 。 9、 SNMP服务的安装、配置和测试:SNMP服务向其他NT网络服务一样,唯一差别是必须 先安装TCP/IP32协议栈。 10、 SNMP服务的安装配置和测试方法 NT安装:登录超级用户,控制面板、服务条、添加、列表中选择SNMP服务选项、确定95安装:95安装光盘中ADMINNETTOOLSSNMP下有一个自解压文件SNMPZP.EXE,执行,产生 一些文件,控制面板,网络,配置,添加,选择网络组件、服务,磁盘安装snmp.inf 配置:修改属性 测试:SNMPUTIL:snmputil[get│getnext│walk]agent-address community oid[oid… ]snmputil trap 用GetRequest查询变量sysDest:SNMPUTIL get189.112.208.25 public 1.1.0 用GetNextRequest查询变量sysDest:SNMPUTIL getnext189.112.208.25 public 1.1 用GetNextRequest查询非MIB-2变量:SNMPUTIL getnext189.112.208.
本文档为【计算机网络管理笔记】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_455509
暂无简介~
格式:doc
大小:111KB
软件:Word
页数:19
分类:生产制造
上传时间:2010-11-16
浏览量:21