1、2018/9/22,史忠植 高级计算机网络,1,高级计算机网络,2018/9/22,史忠植 高级计算机网络,2,内容提要,8.1网络管理的由来8.2 网络管理的功能8.3 网络管理的实现 8.4 网络管理协议8.5几种流行网络协议 8.6 简单网络管理协议SNMP 8.7公共管理信息服务和公共管理信息协议(CMIS/CMIP),2018/9/22,史忠植 高级计算机网络,3,内容提要,8.8 SNMP、CMIP和CMOT的比较 8.9 网络管理系统8.10 网络管理系统的结构8.11 设计网络管理系统的原则 8.12 现有网络管理平台,2018/9/22,史忠植 高级计算机网络,4,8.1网络
2、管理的由来,网络管理是控制一个复杂的计算机网络使得它具有最高的效率和生产力的过程。,2018/9/22,史忠植 高级计算机网络,5,8.1网络管理的由来,早期的网络管理是指电信网上的监控,包括监视和控制两个方面。当计算机网络出现以后,网络管理的内容扩大到了网络日常维护和运营的各个方面,网络管理的概念也渐趋完善。随着网络管理技术的发展和网络管理工作的加强,为了适应电信技术的飞速发展,国际电联的原CCITT出版了电信管理网TMN建议书。而国际标准化组织ISO则早就开始了开放系统互连的网络管理标准化工作。这两个组织的网络管理标准虽然面对不同的网络,但它们定义了几乎相同的管理功能。其中计算机网络既是网
3、络管理的对象,同时又是电信管理网的基础。,2018/9/22,史忠植 高级计算机网络,6,8.2 网络管理的功能,l建设; l维护; l扩展; l 优化; l 故障检测。,2018/9/22,史忠植 高级计算机网络,7,8.2 网络管理的功能,l 故障管理 l 配置管理 l 安全管理 l 性能管理 l 计费管理,2018/9/22,史忠植 高级计算机网络,8,故障管理,故障管理的目的,是检测,记录日志,通知用户,和(尽可能的)自动修复网络故障,维持网络的有效运行。因为故障会导致瘫痪或者无法接受的网络性能,故障管理也许是应用最广泛地的ISO网络管理功能。 故障检测 故障诊断 故障修复 故障记录,
4、2018/9/22,史忠植 高级计算机网络,9,安全管理,识别敏感的网络资源(包含系统、文件和别的一些实体),数据链路加密;决定敏感的网络资源和用户之间的关系集合。控制和维护授权设施;控制和维护访问权限;密匙分配和管理;监视对敏感的网络资源的访问,防止非法用户访问;安全日志维护和检查,在日志中记录对敏感网络资源不适当访问的情况;审计和跟踪;防止病毒;支持身份鉴别,规定身份鉴别的过程。,2018/9/22,史忠植 高级计算机网络,10,性能管理,性能参数包括整体吞吐率,利用率,错误率,响应时间。监控网络设备和连接的当前使用情况对性能管理是至关重要的。,2018/9/22,史忠植 高级计算机网络,
5、11,配置管理,操作系统,版本 3.2 以太网接口,版本 5.4TCP/IP软件,版本 2.0NetWare软件,版本 4.1NFS软件,版本 5.1串行通信控制器,版本 1.1X.25软件,版本 1.0SNMP软件,版本 3.1,2018/9/22,史忠植 高级计算机网络,12,配置管理,获得关于当前网络的配置的信息;设置开放系统或管理对象的参数,提供远程修改设备配置的手段;储存数据、维护一个最新的设备清单并根据数据产生报告。,2018/9/22,史忠植 高级计算机网络,13,计费管理,计费管理负责监视和记录用户对网络资源的使用,并分配网络运行成本。其主要功能有:收集计费记录、计算用户账单、
6、分配网络运行成本、网络经营预算、考察资费变更的影响。,2018/9/22,史忠植 高级计算机网络,14,8.3 网络管理的实现,2018/9/22,史忠植 高级计算机网络,15,8.3 网络管理的实现,2018/9/22,史忠植 高级计算机网络,16,8.3 网络管理的实现,2018/9/22,史忠植 高级计算机网络,17,Internet的网管模型,2018/9/22,史忠植 高级计算机网络,18,SNMP,起始点是1987年11月发布的简单网关监视协议(SGMP)。SGMP给出了监视网关(OSI第三层路由器)的直接手段。当需要定义一个更为通用的网络管理工具时,SGMP就被当作基准,通过对S
7、GMP的改造,于1988年3月首次发布了简单网络管理协议(SNMP)。SNMP使用的管理信息结构(SMI)、管理信息库(MIB)提供了监控网络元素的一组最小的,但功能强大的工具。简单网络管理协议最初是作为一种可提供最小的网络管理功能的临时方法开发的.,2018/9/22,史忠植 高级计算机网络,19,SNMP,1. SNMP相关的管理信息结构(SMI)以及管理信息库(MIB)十分简单,从而能够简便快速的实现。 SNMP是建立在简单网关监视协议(SGMP)的基础上的,而对于SGMP,人们已有了大量的操作经验。,2018/9/22,史忠植 高级计算机网络,20,CMIS/CMIP,2018/9/2
8、2,史忠植 高级计算机网络,21,CMOT,遵从CMOT规范的系统必须具有和开放系统建立一种已被承认的联系即事件、事件/监视、监视/控制或完全的管理者/代理的功能。该系统还必须只支持适合于该系统的那种联系类型。例如,对于控制MODEM架构的软件实现完全的管理者/代理联系是毫无意义的。但是,对于该软件来说,用M-EVENT-REPORT消息汇报事件,并回答来自M-GET消息的查询可能是合适的。可能该系统将只实现事件/监视联系。相反,一个完整的网络管理系统实现完全的管理者/代理联系则是可能的。,2018/9/22,史忠植 高级计算机网络,22,CMOT,2018/9/22,史忠植 高级计算机网络,
9、23,LMMP,2018/9/22,史忠植 高级计算机网络,24,管理信息库MIB,1. 一个对象表示符2. 一个简短的文本描述对象表示符OID(object identifier)是由句点隔开的一组整数。它命名节点并指示它在ASN.1树中的准确位置。简短的文本描述对带标号的节点进行描述。一个带标号节点可以拥有包含其他带标号节点的子树。如果带标号节点没有子树,就是叶子节点,它包含一个值并被称为对象。,2018/9/22,史忠植 高级计算机网络,25,简单网络管理协议SNMP,2018/9/22,史忠植 高级计算机网络,26,SNMP 5种消息类型,l Get-Requestl Get-Resp
10、onsel Get-Next-Requestl Set-Requestl Trap,2018/9/22,史忠植 高级计算机网络,27,SNMP的安全机制,1. 认证服务:代理可以把对MIB的访问限制在授权的管理站。2. 访问策略:代理可以给不同的管理站不同的访问特权。3. 转换代理服务:一个代理可以作为其他被管理站的转换代理。这可能包括在转换代理系统中,为其它的被管理系统实现认证服务和/或访问策略。,2018/9/22,史忠植 高级计算机网络,28,传输层的支持,无连接面向连接,2018/9/22,史忠植 高级计算机网络,29,SNMP的局限性,l 因为查询的操作限制SNMP不适合真正的大型网
11、络管理。使用SNMP,你必须发出一个包以取回一个信息包。这种类型的查询导致大量的路由消息,并产生可能是不能接受的问题响应时间。l SNMP不适合获取大量的数据,例如一个完整的路由表。l SNMP的陷阱是没有认证的。在UDP/IP被用来发送陷阱消息的典型情况下,代理不能确保一个关键消息已经到达管理站。基本的SNMP标准只提供简单的认证。因此,基本的SNMP更适合于监视而不是控制的。,2018/9/22,史忠植 高级计算机网络,30,SNMP的局限性,ll SNMP不直接支持强制的命令。在代理中激发一个事件的唯一方法是间接地通过设置一个对象值。这比那种允许某种带有参数、条件、状态的远程过程调用,并
12、报告结果的方法是缺少灵活性和乏力的。l SNMP的MIB模式是有限的,并不真正支持那些基于对象值或者类型进行复杂的管理查询的应用程序。l SNMP不支持管理器到管理器的通信。例如,没有什么方法允许一个管理系统了解另一个管理系统管理的设备和网络。它只是在用于IP网络中被正式标准化,RFC标准只定义了在IP网络上的SNMP实现。IP是一个普遍使用的数据报协议,几乎可以在目前的任何计算机上找到。但是,并不是所有的网络都依赖于IP进行传递。这就是为什么网络届的一些人认定SNMP是由于标准网络管理协议的需要而产生的一个临时解决方案的一个原因。,2018/9/22,史忠植 高级计算机网络,31,远程网络监
13、视,RMON(远程网络监视)MIB是对于SNMP的一个重要增强。RMON定义了一组很有用的支持远程监视功能的管理对象,通过这些对象,RMON MIB规范定义了一组远程监视功能。RMON最大优点就在于它与现存的SNMP框架相兼容,不需对此协议进行任何修改。,2018/9/22,史忠植 高级计算机网络,32,远程网络监视,远程监视器的实现有两种方式:1. 使用一个专用设备来实现远程监视器,其唯一目的就是捕获并分析流量;2. 由具有其它任务的设备如工作站、服务器或路由器来执行。把它作为系统功能的一部分,该系统有专用于监视功能的处理器和内存资源,有了这些专用资源,远程监视器可以执行比一个只支持MIB-
14、的代理更复杂、更广泛的功能。为了有效地进行网络管理,这些监视器需要与一种中央网络管理站通信。,2018/9/22,史忠植 高级计算机网络,33,安全SNMP,安全SNMP(S-SNMP)被发布,其目的就是解决这些安全性问题。不幸的是,S-SNMP与SNMP并不兼容,两者消息头的格式不一样,而且很明显,许多过程被修改了。然而,SNMP PDU(协议数据单元)的格式保持不变,并且没有增加新的PDU,因此,从SNMP转变为S-SNMP可行的。,2018/9/22,史忠植 高级计算机网络,34,安全SNMP,l 伪装:一些未被授权的实体可以通过假装具有一授权实体的身份,去执行只有授权实体才可以执行的某
15、些管理操作。l 信息更改:一个实体可以更改由另一授权实体产生的正在传送的消息,导致越权的管理操作,包括对象值的设定。这种威胁的实质在于未经授权的实体可以改变任一管理参数,包括那些与配置、操作和记费有关的参数。l 消息序列的更改:SNMP被设计成在无连接传输协议上运行。由一种威胁可以是SNMP消息被重排、延迟或重放(复制),从而导致越权的管理操作。例如,一个重新启动设备的消息可被拷贝,并于将来某一时刻重放。,2018/9/22,史忠植 高级计算机网络,35,SNMPv3,l 尽量利用现有的成果,尤其是v2*和v2u; l 达到SET安全标准的要求; l 尽可能简单; l 支持大规模的网络; l
16、定义一个可以长久使用的框架; l 尽量使之沿着标准化的大道前进。,2018/9/22,史忠植 高级计算机网络,36,SNMPv3,l 保证每个接受的报文在网络的传送中不被修改,提供验证; l 提供接受报文用户的身份证明; l 防止泄密; l保证所接受的SNMP报文的当前性。,2018/9/22,史忠植 高级计算机网络,37,8.7公共管理信息服务和公共管理信息协议(CMIS/CMIP),CMISE的定义分为两部分:1. 接口:指定提供的服务,这就是公共管理信息服务(CMIS)。2. 协议:指定协议数据单元(PDU)的格式和相关过程,这就是公共管理信息协议(CMIP)。 业务模型,2018/9/
17、22,史忠植 高级计算机网络,38,服务原语,M-EVENT-REPORT,M-GET,M-SET,M-ACTION,M-CREATE,M-DELETE,M-CANCEL-GET,2018/9/22,史忠植 高级计算机网络,39,公共管理信息协议(CMIP),公共管理信息协议(CMIP)则是实现CMIS的协议,该协议的规范详细解释了协议执行每个CMIS服务应采取的方式。公共管理信息协议是以CMIP协议数据单元的形式定义的,对等的公共管理信息服务元素(CMISE)之间交换CMIP协议数据单元,以完成CMIS服务。 CMIP协议要求一个CMIP虚拟机,即CMIPM,按照已定义的规范工作。CMIPM
18、是执行两个功能的软件:首先它接受CMISE服务用户通过CMIS服务发送给它的操作并启动合适的过程来完成相应的操作;第二,CMIPM以CMIS服务请求的形式发送合法的CMIP消息,该消息从网络上接收到并送到CMISE服务用户,2018/9/22,史忠植 高级计算机网络,40,比较,2018/9/22,史忠植 高级计算机网络,41,SNMP,优点 简单性 广泛的使用和支持 扩展性 缺点 如果网络上有很多资源,那么SNMP有一个一个地检查,因而,会增加网络流量问题,降低网络效率。,2018/9/22,史忠植 高级计算机网络,42,CMIP,优点:它的每一个变量不仅传递消息,而且还完成一定的网络管理任
19、务,这是CMIP协议的最大特点,在SNMP中这是不可能的,这样可以减少管理者的负担并减少网络负载。安全完全性,它拥有验证、访问控制和安全日志等一整套安全管理方法。缺点:它是一个大而全的协议,使用时占用资源非常多,它对硬件设备的要求比人们所能提供的要高很多。由于在网络代理上要运行相当数量的进程,所以大大的增加了网络代理的负担。它的MIB库过于复杂,难于实现。,2018/9/22,史忠植 高级计算机网络,43,CMOT,CMOT提供的服务就是CMIS,CMOT与CMIP不同在于它们的下层网络支持。其中CMIP是在OSI七层协议模型中使用的,而CMOT则是在TCP/IP之上提供CMIS服务。,201
20、8/9/22,史忠植 高级计算机网络,44,传输服务支持,SNMP和CMIP对网络传输服务的要求差别较大,前者只要求最基本的无连接服务,而OSI中的CMIP作为应用层协议实体之一则要求其下层提供面向连接的服务。 简单网络管理协议SNMP只需无连接服务的支持(在Internet中也叫无连接数据报)。无连接服务中不需要在传输信息前后设置握手过程,有每个管理应用实体自己来控制管理信息传输的可靠性。,2018/9/22,史忠植 高级计算机网络,45,协议操作方式,SNMP和CMIP都采用了“请求-响应”型的操作方式,但其中SNMP的操作种类要比CMIP的少一些。在CMIP中有动作(action)、创建
21、(create)和删除(delete)操作,而在SNMP中则只用一个set操作就包括了上述这三种操作128,各种必要的管理动作(如增加和删除对象的操作)都用set来完成。这些操作种类上的不同反映了两种管理信息协议定义操作符时采取的不同策略。SNMP选择了“精简指令”策略,而CMIP则是“复杂指令”策略。,2018/9/22,史忠植 高级计算机网络,46,管理信息的标识,在网络管理对象的命名和识别方法的选择问题上,SNMP和CMIP也采用了简单和复杂两种策略,但两者有一点是共同的,即都采用“对象表示符”作为管理对象的名字,并且它们都采用了树形结构给管理对象命名,可以用子树进行任意扩充。 SNMP
22、是在Internet标准网络管理框架指导下定义的,而CMIP则是基于OSI开放系统构想设计的一个通用协议。SNMP是简单而有足够的功能。而CMIP则比较复杂,但其功能也更强大,可适合国际上众多网络的管理,2018/9/22,史忠植 高级计算机网络,47,8.8 网络管理系统,网络管理系统的重要任务是收集网络中各种设备和设施的工作参数、工作状态信息,显示给操作员并接受操作员对它们的处理,根据操作员的指令获根据对上述数据的处理结果像网络种的设备、设施发出控制指令(改变工作状态或工作参数),监视指令的执行结果,保证网络设备、设施按照网络管理系统的要求进行工作。,2018/9/22,史忠植 高级计算机
23、网络,48,8.9 网络管理系统的结构,关于如何建立有效的网络管理结构,目前有三种主要的方法:第一种是建立一个管理整个网络的集中系统;第二种是建立一个分布在网络中的系统;第三种方法是前两种方法结合在一个层次型系统中。,2018/9/22,史忠植 高级计算机网络,49,集中式结构,集中式结构是由一个大系统去运行大部分所需应用程序,运行在管理系统中的每个应用程序都将把信息存储在位于网络中心的同一数据库中。,2018/9/22,史忠植 高级计算机网络,50,集中式结构,中央网络管理系统,2018/9/22,史忠植 高级计算机网络,51,分布式结构,在分布式结构中,几个对等网络管理系统同时运行在计算机
24、网络中,每一个系统可以管理网络的一个特定部分。而且,可以由不同的系统管理不同的网络设备,并不一定要求其结构在地理上是分布的。但是值得注意的是,尽管在这种方法中系统的处理是分布化的,但通常需要一个中心数据库进行信息存储。如果对所有k,满足,2018/9/22,史忠植 高级计算机网络,52,层次形的系统,层次形的系统中,集中方案中的中心主系统仍然存在于层次的根部,它用来收集所有的必要信息并且允许来自网络各处的访问。然后,通过从分布式结构中建立对等系统,中心系统授权网络管理子系统作为代表,这些子系统完成层次中子节点的功能。这种方法为构造一个网络管理系统结构提供了许多灵活选择,2018/9/22,史忠
25、植 高级计算机网络,53,8.10 设计网络管理系统的原则,l系统必须提供一个图形界面,它可生成网络的层次性视图,允许在不同层次之间的逻辑连接,它必须能够理解在层次结构中的连接,以及它们与网络的性能和功能之间的网络拓扑结构。l 最好提供一个关系数据库接口,它可以存储和检索应用所需要的信息。许多网络管理应用都需要是使用这类数据库,如果没有它,系统就不能有效地实现配置管理和计费管理,这些信息可被集中保存,并提供历史数据和当前数据。 系统必须提供从提供从所有相关网络设备中收集数据的手段,最好通过使用单一的网络管理协议实现。,2018/9/22,史忠植 高级计算机网络,54,8.10 设计网络管理系统
26、的原则,l 系统必须易于扩充和客户化。因为没有一个网络管理系统能够建立成包括所有的网络,因此系统必须便于增加网络管理者所需的应用和特点。 l 系统必须提供跟踪问题和时间的方法和手段。随着网络规模和复杂性的提高,这种应用功能是非常有价值的。 l 提供图形化的分析工具,这样管理者可以直观地观察到数据的变化情况。,2018/9/22,史忠植 高级计算机网络,55,8.11 现有网络管理平台,产品名称HP OpenViewSunNet ManagerSPECTRUM产品特点得到第三方应用开发商的广泛接受和支持面向网络管理员网络管理和系统管理结合在一起可处理设备间依赖关系,2018/9/22,史忠植 高
27、级计算机网络,56,现有网络管理平台比较,运行环境HP-UXSun SolarisIBM AIXSNI SINIXWindows NTSPARC 工作站IBM RS/6000HP 9000Solaris 2.5.1 and 2.6Microsoft Windows NT 4.0Service Pack 3,2018/9/22,史忠植 高级计算机网络,57,现有网络管理平台比较,1. 适合于单个网络设备,对多各设备,不能理解设备间依赖关系,故障记录很多。性能查询和状态查询完全独立存在对配置为多于一个网络图的设备作冗余监视的缺点。2. 不支持理解依赖性能力分布式委托代理使网络结构并行化委托代理可以
28、通过RPC例程,委托代理可以分布在全网范围之内协议控制可以与其他的SUN网络管理系统共享网络状态信息。3. 可处理设备间依赖关系,IMT技术允许SPECTRUM检查多个网络事件,并可以确定多个并发的实效事件实际上都是与由某一个路由器失败引起的。这种能力可以减少无关故障记录的数量。SPECTRUM服务器允许两种类型的查询:自动查询,手工查询。与其他NMS相比,系统管理员可以指定什么样的时间间隔查询那个设备,收集那个MIB变量的值。当多个客户机监控不同画面的相同设备时,不存在设备的冗余监控。,2018/9/22,史忠植 高级计算机网络,58,现有网络管理平台比较,自动发现能力1. 有自动发现能力,
29、可生成网络拓扑图2. 有灵活的自动发现能力,可生成网络拓扑图3. 灵活,允许发现选定的子网、IP地址段或属于特定协议的设备,但是速度相对比比较慢。支持同层发现和分层发现。冗余监控。,2018/9/22,史忠植 高级计算机网络,59,现有网络管理平台比较,数据存储1. 使用商用数据库,Oracle、Sybase、DB2等,直接支持SQL的访问,外部应用程序很容易获得OpenView的收集的数据第三方应用程序各自负责存储自己的信息2. 使用内置的文本格式数据库3. 使用一种整体的关系数据库,不直接支持SQL的访问。数据网关中加入SAS报告能力,通过SAS脚本提供DBMS的SQL接口(Oracle,
30、Ingres、DB2),2018/9/22,史忠植 高级计算机网络,60,现有网络管理平台比较,开发模式1. 提供一组应用程序接口API来访问OpenView的服务。2. 提供大量的应用程序接口API3. 两种层次:Level 1非程序员使用,Level 2 程序员使用,2018/9/22,史忠植 高级计算机网络,61,现有网络管理平台比较,用户接口1. 比较清楚和灵活,但导航能力较差2. GUI图形界面,网络拓扑图可跟据用户配置显示被管理的网络结构3. GUI图形界面,用户可裁剪工作环境,导航性较好.没有联机帮助,2018/9/22,史忠植 高级计算机网络,62,选择一个网络平台,1. 首先
31、了解自己的网络和它的发展。网管系统的选择就是找到自己的系统的特点和自己所需要的特性。2. 衡量基本网管平台,加上第三方开发者增加的特点的全部特征集,所能提供的功能。3. 网管系统和现有的应用管理软件能否一起工作。4. 网管软件的价格,2018/9/22,史忠植 高级计算机网络,63,网络管理系统的发展趋势, 智能化 基于Web,利用WWW的技术和手段 加强对Intranet的管理,2018/9/22,史忠植 高级计算机网络,64,基于WEB的网络管理有很多优点, 管理者的操作不受地理位置的限制,更适合进行分布的网络管理; 可以在任何平台下访问,只要改平台下装有合适的WEB浏览器; 以WEB SERVER 为中心,降低维护费用,对系统的修改只需在WEB SERVER上进行,无需在客户段作任何修改; 利用WEB页可以很方便的把各类应用程序集成在一起; 便于提供用户信息。,2018/9/22,史忠植 高级计算机网络,65,谢谢! THANK YOU,
