1.OSI定义的网络管理
OSI定义的网络管理功能有以下5大类
(1)性能管理(PerformanceManagement)
在最少的网络资源和最小时延的前提下,网络能提供可靠、连续的通信能力。性能管理的功能有性能检测、性能分析、性能管理、性能控制。
(2)配置管理(ConfigurationManagement)
用来定义、识别、初始化、监控网络中的被管对象,改变被管对象的操作特性,报告被管对象状态的变化。配置管理的功能有配置信息收集(信息包含设备地理位置、命名、记录,维护设备的参数表、及时更新,维护网络拓扑)和利用软件设置参数并配置硬件设备(设备初始化、启动、关闭、自动备份硬件配置文件)。
(3)故障管理(Fault Management)
对网络中被管对象故障的检测、定位和排除。故障管理的功能有故障检测、故障告警、故障分析与定位、故障恢复与排除、故障预防。
(4)安全管理(SecurityManagement)
保证网络不被非法使用。安全管理的功能有管理员身份认证、管理信息加密与完整性、管理用户访问控制、风险分析、安全告警、系统日志记录与分析、漏洞检测。
(5)计费管理(AccountingManagement)
记录用户使用网络资源的情况并核收费用,同时也统计网络的利用率。计费管理的功能有账单记录、账单验证、计费策略管理。
2.CMIS/CMIP
公共管理信息服务/协议(Common Management Information Service/Protocol,CMIS/CMIP)是OSI提供的网络管理协议簇。CMIS定义了每个网络组成部件提供的网络管理服务,CMIP 则是实现CIMS 服务的协议。
3.网络管理系统组成
网络管理系统由以下4个要素组成:
(1)管理站(Network Manager)
管理站是位于网络系统主干或者靠近主干的工作站,是网络管理系统的核心,负责管理代理和管理信息库,定期查询代理信息,确定独立的网络设备和网络状态是否正常。
(2)代理(Agent)
代理又称为管理代理,位于被管理设备内部。负责收集被管理设备的各种信息和响应管理站的命令或请求,并将其传输到MIB数据库中。代理所在地设备可以是网管交换机、服务器、网桥、路由器、网关及任何合法节点的计算机。
(3)管理信息库(Management Information Base,MIB)
相当于一个虚拟数据库,提供有关被管理网络各类系统和设备的信息,属于分布式数据库。
(4)网络管理协议
用于管理站和代理之间传递、交互信息。常见的网管协议有SNMP和CMIS/CMIP
网管站通过SNMP向被管设备的网络管理代理发出各种请求报文,代理则接收这些请求后完成相应的操作,可以把自身信息主动通知给网管站。网络管理各要素的组成结构:
在SNMPv3中把管理站和代理统一叫做SNMP实体。SNMP实体由一个SNMP引擎和一个或
多个 SNMP 应用程序组成。
4.SNMP
简单网络管理协议(Simple Network Management Protocol,SNMP)是在应用层上进行网络设备间通信的管理协议,可以进行网络状态监视、网络参数设定、网络流量统计与分析、发现网络故障等。SNMP基于UDP协议,是一组标准,由SNMP协议、管理信息库(MIB)和管理信息结构(SMI)组成。
(1)SNMP规定了5个重要的协议数据单元PDU,也称为SNMP报文。SNMP报文可以分为从管理站到代理的SNMP报文和从代理到管理站的SNMP报文(SNMP报文建议不超过484个字节)。
常见的 SNMP 报文
SNMP协议实体发送请求和应答报文的默认端口号是161,SNMP代理发送陷阱报文(Trap)的默认端口号是162。
目前SNMP有SNMPv1, SNMPv2,SNMPv3
(2)SNMPv2接收报文和发送报文
在SNMPv2中,一个实体接收到一个报文一般经过以下四个步骤:
●对报文进行语法检查,丢弃出错的报文。
●把SNMP报文部分、源端口号和目标端口号交给认证服务。如果认证失败,发送一个陷阱,丢弃报文。
●如果认证通过,则把SNMP报文转换成ASN1的形式。
●协议实体对SNMP报文做语法检查。如果通过检查,则根据团体名和适当的访问策略作相应的处理。
在SNMPv2中,一个实体发送一个报文一般经过以下四个步骤:
●根据要实现的协议操作构造SNMP报文。
●把SNMP报文、源端口地址、和目标端口地址及要加入的团体名传送给认证服务,认证服
务产生认证码或对数据进行加密,返回结果。
●加入版本号和团体名构造报文。
●进行BER编码,产生0/1比特串并发送出去。
(3)SNMPv3安全分类
在SNMPv3中共有两类安全威胁是一定要提供防护的:主要安全威胁和次要安全威胁。
●主要安全威胁
主要安全威胁有两种:修改信息和假冒。修改信息是指擅自修改SNMP报文,篡改管理操作,伪造管理对象;假冒就是冒充用户标识。
●次要安全威胁
次要安全威胁有两种:修改报文流和消息泄露。修改报文流可能出现乱序、延长、重放的威胁:消息泄露则可能造成SNMP之间的信息被窃听。
另外有两种服务不被保护或者无法保护:拒绝服务和通信分析
(4)SNMP轮询监控
SNMP采用轮询监控方式,管理者按一定时间间隔向代理获取管理信息,并根据管理信息判断是否有异常事件发生。当管理对象发生紧急情况时,可以使用名为Trap信息的报文主动报告。轮询监控的主要优点是对代理资源要求不高,缺点是管理通信开销大。SNMP的基本功能包括网络性能监控、网络差错检测和网络配置。
假定在SNMP 网络管理中,轮询周期为N,单个设备轮询时间为T,网络没有拥塞,则
支持的设备树X=轮询周期N/单个设备轮询时间T
例如,某局域网采用SNMP进行网络管理,所有被管设备在每15分钟内轮询一次,网络没有明显拥塞,单个轮询时间为0.4s,则该管理站最多可支持X=N/T=(15*60)÷0.4=2250个设备。
5.管理信息库(ManagementInformationBase,MIB)
MIB指定机和路器等被管设备需要保存的数据项和可以对这些数据项进行的操作。换句
话说,就是只有在MIB中的对象才能被SNMP 管理。目前使用的是MIB-2
常见的MIB-2信息
每个MIB-2信息下面包含若干个MIB变量,如system组下的sysuptime表示距上次启动的时间,ip组下的ipDefaultTTL表示IP在生存时间字段的值。SNMP MIB中被管对象的访问方式有只读、读写、只写和不可访问四种,不包括可执行。
6.管理信息结构(Structure of Management Information ,SMI)
SMI定义了命名管理对象和定义对象类型(包括范围和长度)的通用规则,以及把对象和对象的值进行编码的规则。SMI的功能:命名被管理对象、存储被管对象的数据类型、编码管理数据。
SMI规定,所有被管对象必须在对象命名树(Object NamingTree)上,如图所示为对象命名树的一部分。图中节点IP 下名为ipInReceives的MIB变量名字全称为iso.org.dod.internet. mgmt.mib.ip.ipInReceives,对应数值为1.3.6.1.2.1.4.3
