网络管理基础
网络管理系统体系结构
网络管理系统层次结构
网络管理系统处于应用层 ,使用了硬件,OSI 参考模型,应用层通信协议等技术,网络管理系统的框架如下:1、管理功能分为管理站和代理两部分;2、为存储信息管理提供数据库的支持,例如关系数据库或是面向对象的数据库;3、提供用户接口和用户视图的功能;4、提供用户基本操作,例如获取管理信息,配置设备参数等操作过程。
代理在网络管理实体中完成的任务:1、收集有关网络通信的统计信息;2、对本地设备进行测试,记录设备状态信息;3、在本地存储有关信息;4、相应网络控制中心的请求,发送管理信息;5、根据控制中心的指令设置或者改变设备参数;
传统的网络管理体系结构:网络中有一个节点担当管理站的角色,叫做网络管理应用(NVA)提供用户接口,哥和扭矩用户命令显示管理信息,通过网络向NVE发出请求或指令。以便获取有关设备的相关信息。或者改变设备的配置状态。网络中的其他节点在代理模块(NVE)的协同作用下实现与管理站通信;这种网络管理体系结构通常适用于中小型网络,对于大型网络采用分布式网络管理策略;
如果设备不能运行对应的管理程序,则网络管理体系的需求就无法实现,例如:有的设备不支持运行当前的管理软件,小的系统无法支持NVE的功能,非标准设备不能运行软件等等,通常的处理方法是是用一个叫作委托代理的设备 (Proxy) 来管理一个或多个非标准设备。委托代理和非标准设备之间运行制造商专用的协议,而委托代理和管理站之间运行标准的网络管理协议。这样,管理站就可以用标准的方式通过委托代理得到非标准设备的信息。委托代理起到了 协议转换的作用
网络管理体系功能域
网络管理体系有五大功能域;即故障管理、配置管理、计费管理、性能管理和安全管理。传统上性能、故障、和计费管理属于网络监视功能;另外两种属于网络控制功能
性能管理
可用性
可用性是指网络系统,网络元素或网络应用,对用户可利用时间的百分比;如果用 MTBF表示平均无故障时间。MTTR 表示失效后的平均维修时间,则可用性 A 表示为MTBF的函数:时间单位(s)
串联与并联
由元素串 、 并联组成的系统的可用性与网络元素的可用性之间的关系:串联的可用性 < 并联的可用性;,若两个元素串联, 则可用性减少。 例如,两个 Modem 串联在链路的两端,若单个 Modem 的可用性 A=0.98, 并假定链路其他部分的可用性为 1, 则 整个链路的可用性 A=0.98 X 0.98=0.9604;若两个元素并联,则可用 性增加 。 例如,终端通过两条链路连接到主机,若一条链路失效,另外一条链路自动备份。假定单个链路的可用性 A=0.98, 则双链路的可用性:A=2 X 0.98-0.98 X 0.98=1.96-0.960 4=0.9996
此外性能管理仍然包括:响应时间:响应时间是指从用户输入请求到系统在终端上返回计算结果的时间间隔。正确性:这是指网络传输的正确性。由于网络中有内置的纠错机制,所以通常用户不必考虑数据传输是否正确。但是,监视传输误码率可以发现瞬时的线路故障,以及是否存在噪声源和通信干扰,以便及时采取维护措施。吞吐率:吞吐率是面向效率的性能指标,具体表现为一段时间内完成的数据处理量(Mbps 或分组 数每秒),或者接受用户会话的数量,或者处理呼叫的数量等;利用率:利用率是指网络资源利用的百分率,它也是面向效率的指标。
性能管理的关键是:追求可用性和响应时间的平衡
故障管理(故障管理是网络管理的重要组成部分)
故障监视就是要尽快地发现故障,找出故障原因,以便及时采取补救措施。故障管理分为以下三个功能模块:故障检测和报警功能、故障预测功能、故障诊断和定位功能其中故障检测和报警功能要求故障监视代理要随时记录系统出错的清况和可能引起故障的事件,并把这些信息存储在运行日志数据库中 。 故障预测功能:对各种可以引起故障的参数建立门限值,并随时监视参数值变化, 一 旦超过门限值,就发送密报。故障震度那和定位功能:故障诊断和定位功能。即对设备和通信线路进行测试,找出故障原因和故障地点。故障诊断和定位功能可以进行各种测试:连接测试、数据完整性测试、协议完整性测试、数据饱和测试、连接包和测试、环路测试、功能测试、诊断测试。故障监视还需要有效的用户接口软件,使得故障的发现诊断定位和排除一系列操作都能够交互的进行。
计费管理
计费监视主要是跟踪和控制用户对网络资源的使用,并把有关信息存储在运行日志数据库中,为收费提供依据。其中需要计费的网络资源主要有:通信设施。 LAN、 WAN、租用线路或 PBX 的使用时间。计算机硬件:工作站和服务器机时数。 软件系统:下载的应用软件和实用程序的费用。 服务:包括商业通信服务和信息提供服务(发送/接收的字节数)。计费数据组成计费日志:其记录格式应包括下列信息。 用户标识、连接目标的标识符、 传送的分组数/字节数、 安全级别、时间戳、指示网络出错情况的状态码、使用的网络资源。
配置管理
配置管理是指初始化、维护和关闭网络设备或子系统。被管理的网络资源包括物理设备 (例如服务器、路由器)和底层的逻辑对象(例如传输层定时器)。配置管理功能可以设置网络参数的初始值/默认值,使网络设备初始化时自动形成预定的互联关系。其中网络配置管理包括如下模块:•定义配置信息。 • 设置和修改设备属性。 • 定义和修改网络元素间的互联关系。 • 启动和终止网络运行。 • 发行软件。 • 检查参数值和互联关系。 • 报告配置现状。 定义配置信息:配置描述网络资源的特征和属性(比如路由器名称、描述、标识符、地址状态、操作特点和软件版本等)设置和修改配置属性:只有授权的管理站才可以进行修改,硬件配置不可以修改;修改可以分为以下三种类型:只修改数据库、修改数据库,也改变设备的状态、修改数据库,同时引起设备的动作;发行软件:就是通过远程配置完成的。
安全管理
安全威胁的类型:保密性、数据完整性、可用性;保密性:通过加密算法实现;数据完整性:通过MD5 SHA1等数据检测算法实现;可用性:有权限的用户可以在需要时访问网络资源。对网络安全的威胁包括:终端、窃取、篡改、假冒;
安全设施管理的方向:安全信息的维护、资源访问的控制、加密过程的控制安全信息维护:记录安全信息、检查日志和检验、资源访问控制:设置不同的用户权限、加密过程控制:通过将加密算法加密互联网信息
简单网络管理协议 SNMP
SNMP 协议负责管理站和代理之间的通信;是一个应用层协议(传输层使用 UDP的161端口)因为UDP传输效率更高(没有检错消耗的资源少)SNMP 报文由 3 个部分组成,即版本号、团体名和协议数据单元 (PDU) SNMP 要求每个代理管理若干被管理对象,代理需要与被管理对象建立团体(community)关系,使用团体名作为身份认证:
SNMP V1 实现问题
SNMP 网络是一种分布式应用;管理站和代理之间可以是一对多的关系,即一个管理站可以管理多个代理,从而管理多个设备;另一方面管理站与代理之间存在多对一的关系,代理控制自己的管理信息库;也控制着多个管理站对信息库的访问;这种机制的缺陷在于认证的方式是团体名(容易被破解)
管理站管理的代理站数量
管理站与代理站的通信有一定的时间间隔(需要相应时间)决定管理站管理的代理站的数量;通常管理站与代理站的通信由轮询负责;需要一种能提高网络管理性能的轮询策略,以决定合适的轮询频率。 通常轮询频率 与网络的规模和代理的多少有关,而网络管理性能还取决于管理站的处理速度、子网数据速率、 网络拥塞程度等众多的因素,假定管理站一次只能与一个代理作用,轮询只是采用 get 请求/响应这种简单形式,而且管理站的全部时间都 用来轮询,于是有下面的不等式时间单位(s)
其中: N:被轮询的代理数; T:轮询间隔; ^:单个轮询需要的时间 。
SNMP V2
在 v1 的基础上增加了协议单元(共有六种)具体地说, SNMPv2c 对 SNMP 的增强主要在以下 3 个方面。 1、管理信息结构的扩充。 2、管理站之间的通信能力。 3、新的协议操作。 SNMPv2 共有 6 种协议数据单元,分为 3 种 PDU 格式注意, GetRequest、 GetNextRequest、 SetRequest、 InforrnRequest 和 Trap 这 5 种 PDU 与 Response PDU 具有相同的 格式, 只是它们的错误状态和错误索引字段被置为 o, 这样就减少了 PDU 格式的种类。 GetRequest:得到实例对象信息;GetNextRequest:得到下一对象信息、SetRequest:管理站改变代理配置、Trap :代理主动和管理站交流信息(只能是陷入报文);InforrnRequest :管理站与管理站通信(V2独有)
SNMP V3
相对于前两版,重新定义了管理框架和管理机制:在前两版中叫作管理站和代理的东西在 SNMPv3 中统一叫作 SNMP 实体
其中:V1 ; V2 ; V3 都是解决管理器与代理通信的;v2增加了新的数据通信格式;v3重新定义了通信的安全架构与机制(更加安全)
管理数据库 MIB-2
与SNMP 的关系:已知管理站与代理站使用 SNMP 协议进行通信,MIB-2 管理通信的信息:表示管理和控制关系(上层的中间节点是某些组织机构的名字, 说明这些机构负责它下面子树的管理。有些中间节点虽然不是组织机构名,但已委托给某个组织机构代管)、提供了结构化的信息组织技术(下层的中间节点代表的子树是与每个网络资源或网络协议相关的信息集合。)提供了对象命名机制。树中的每个节点都有一个分层的编号
用协议序号代表当前的协议(管理的方法是每个节点都有一个序号,从 root 出发 记录经过的节点序号直到到达协议对应的节点)比如 TCP协议:1,3,6,1,2,1,6;如上图 管理数据库 MIB-2 提供了结构化的信息组织技术,也用序号提供了对应对象的命名机制;给每个对象赋予具体的值(序号)使用 ASN.1 进行描述,对象实例是对象类型的具体实现,只有实例才可以绑定到特定的值
| 类型名 | 值集合 | 解释 |
|---|---|---|
| INTEGER | 整数 | 包括正、负整数和0 |
| OCTET STRING | 位组串 | 由 8 位组成的字符串,比如ip地址四个八位组成的字符串 |
| NULL | NULL | 空类型只是占有一个位置,不代表任何类型 |
| OBJECT IDENTIFIER | 对象标识符 | MIB 树中的节点可以用分层编号表示,如上文提到的TCP协议 |
| SEQUENCE(OF) | 序列 | 可以是任何类型组成的序列,如果由OF则是同类型的序列,如果没有OF则是不同类型的序列 |
MIB-2的功能组
MIB-2, 包含 11 个功能组,共 171 个对象,其中重点功能组是:
系统组:提供了 系统的一般信息,一般系统组对象以(sys)开头
Interface组:接口组包含关于主机接口的配置信息和统计信息 ,一般接口组以(if)开头