第一章 网络管理概述(4学时)
教学目的和要求:
理解网络管理的概念和功能;了解网络管理的体系结构,网络管理协议和工具。
教学重点和难点:
重点掌握网络管理的基本概念和功能。
教学内容:
一、网络管理的基本概念
二、网络管理系统的体系结构
三、网络管理的功能
四、网络管理的协议和工具
一、 网络管理的基本概念
网络管理简介
网络管理的目标是为网络用户提供满意的服务, 在性能, 可靠性, 安全性, 成本等方面综合优化网络的状态.
网络管理的对象是网络软硬件资源, 数据传输, 用户对网络的使用.
网络管理人员进行网络管理的活动称为网络运维.
网络管理的方法是监测(monitor)和控制(control).
网络管理标准定义了实现网络管理的机制.
网络管理工具实现对具体网络资源进行管理.
网络管理人员通过网络管理工具, 对网络资源及其活动进行监测和控制, 实现网络管理的目标.
网络管理工具和网络管理的对象需要符合相同的网络管理标准.
网络管理的任务
为实现网络管理的目标, 需要对网络资源及其活动的监测和控制.
- 监测 - 知道现状
- 网络资源的状态
- 网络上有什么资源(设备/软件), 资源的状态
- 网络上资源的连接关系, 及其形成的结构
- 网络运行的状态
- 网络整体上的性能
- 网络传输的内容
- 用户对网络的使用
- 用户对资源的访问
- 用户得到服务及其服务质量
- 网络资源的状态
- 控制 - 改变状态达到目标
- 网络资源状态
- 网络配置管理
- 网络运行状态
- 故障管理, 性能调整
- 用户对网络的使用
- 用户识别和访问控制 - 网络安全管理
- 网络资源状态
网络管理的对象
网络管理的对象是网络资源及其活动, 包括
- 网络资源
- 网络设备和软件(通信软件, 系统软件, 应用软件)
- 网络设备的连接关系
- 软件之间的连接关系(SDN)
- 网络上的活动
- 数据传输
- 用户对网络设备/软件/服务的使用
管理信息库
管理信息库(Management Information Base, MIB)是由网络管理的对象构成的集合. MIB存储网络管理对象的信息可以分为
- 静态信息: 包括系统和网络的配置信息. 例如: 路由器的端口数和端口编号, 工作站的标识和CPU类型等. 这些信息不经常变化.
- 动态信息: 与网络中出现的事件和设备的工作状态有关的信息. 例如: 网络传输分组数, 网络连接状态等.
- 统计信息: 从动态信息推导出的信息. 例如: 平均每分钟发送分组数, 传输失败率等.
网络管理标准
网络管理标准定义了网络管理工具实现网络管理任务的机制. 网络管理工具和网络管理的对象应当符合相同的标准.
- TCP/IP网络管理 – 本课程的重点内容
- 简单网络管理协议(SNMP)和远程网络监视(RMON)
- OSI系统管理标准(CMIS/CMIP)
- IEEE802.1b LAN/MAN管理
二、 网络管理系统的体系结构
网络管理系统
网络管理系统(Network Management System, NMS)是由网络管理工具和被管理的对象构成的系统.
设计网络管理系统, 实现网络管理目标, 需要解决如下的问题:
- 管理信息的定义: 监视哪些网络管理信息, 从哪些被管理资源获得信息.
- 监控机制的设计: 如何从被管理资源得到需要的信息, 如何向被管理资源发送指令.
- 管理信息的应用: 如何分析处理得到的管理信息, 得到什么分析处理结果, 以实现网络管理的目标.
体系结构(Architecture), 也称为架构, 是系统的组成部分及其之间的关系, 系统与环境之间的关系, 系统演化的原则.
[ANSI/IEEE Std 1471-2000.] Architecture is defined by the recommended practice as the fundamental organization of a system, embodied in its components, their relationships to each other and the environment, and the principles governing its design and evolution.
网络管理系统的基本组成
网络管理系统(NMS)由管理站, 代理和被管理设备构成.
- 网络管理者(manager): 发出管理指令. 通常运行在单独的主机上.
- 网络管理代理(agent): 接收来自管理者的指令, 转换为被管理设备的指令, 由被管理设备执行.
- 代理通常运行在被管理设备上.
- 网络管理协议(protocol): 网络管理者和网络管理代理之间的通信标准.
- 管理信息库(MIB): 存储网络管理对象的信息. 体现网络管理对象的组织结构.
管理站
管理站的软件实现是网络管理应用(network management application, NMA). 主要功能包括
- 用户接口(User interface, UI)
- 向代理(网络管理实体NME)发送网络管理请求或指令
- 展示管理信息及其分析结果
- 分析处理网络管理信息
- 存储网络管理信息
- 关系数据库
- NoSQL数据库
代理
代理的软件实现是网络管理实体(network management entity, NME). 主要功能包括
- 采集网络通信的统计信息
- 测试本地设备, 记录设备状态
- 存储网络管理信息 - 局部的网络管理信息库(MIB)
- 响应网络管理应用(NME)的请求, 发送被管理设备的网络管理信息
- 根据网络管理应用(NME)的指令, 设置或改变被管理设备参数
网络管理系统的组织方式
- 集中式网络管理系统
- 一个管理站直接管理多个代理
- 每个代理管理一个或多个设备
- 对于不能运行代理的设备, 采用运行在其它设备上的代理 - 委托代理(proxy)管理
- 集中式的优点:结构简单, 低价格以及易维护
- 集中式的缺点:规模难以扩展性, 功能难以扩充, 单点故障和性能瓶颈
- 适合小型网络
- 分布式网络管理系统
- 多个管理站之间相互合作形成用于管理网络的网络
- 每个基层管理站管理多个代理
- 每个代理管理一个或多个设备
- 对于不能运行代理的设备, 采用运行在其它设备上的代理 - 委托代理(proxy)管理
- 分布式的优先: 规模易于扩展性, 功能易于扩充, 可用性高
- 分布式的缺点: 结构复杂, 成本高, 运维难度大
- 适合大中型网络
网络管理系统的通信机制
-
管理站之间的通信协议
-
管理站与代理之间的通信协议
-
委托代理与非标准设备之间的专用协议
管理站与代理之间的通信可以采用管理站主动轮询(Polling)或者代理主动发起事件报告(Event Reporting).
影响通信方式选择的主要因素包括:
- 传送监控信息需要的通信量
- 对危急情况的处理能力
- 对网络管理站的通信时延
- 被管理设备的处理工作量
- 消息传输的可靠性
- 网络管理应用的特殊性
- 在发送消息之前通信设备失效的可能性
三、 网络管理的功能
网络管理有5大功能域, 简写为FCAPS
-
故障管理(Fault Management)
-
配置管理(Configuration Management)
-
计费管理(Accounting Management)
-
性能管理(Performance Management)
-
安全管理(Security Management)
故障管理
故障管理(fault management), 主要任务是发现网络故障, 找出故障原因, 以便及时采取补救措施.
- 故障检测和报警
- 故障预测
- 故障诊断和定位
配置管理
配置管理(configuration management), 主要任务是初始化, 维护和关闭网络设备或子系统(改变运行状态). 配置信息描述网络资源的特征和属性.
-
定义配置信息
配置信息描述网络资源的特征和属性. 网络资源包括:
- 物理资源. 例如: 主机, 路由器, 网桥, 通信链路, Modem等
- 逻辑资源. 例如: 定时器, 计数器, 虚电路等
-
设置和修改设备属性
管理站远程设置和修改代理中的管理信息值. 但是修改操作要受到两种限制:
- 只有授权的管理站才可以施行修改操作
- 有些属性值反映了硬件配置的实际情况, 是不可改变的
对配置信息的修改可以分为3种类型:
- 只修改数据库
- 修改数据库, 也改变设备的状态
- 修改数据库, 同时引起设备的动作
-
定义和修改网络元素之间的关系
关系是指网络资源之间的联系, 连接, 以及网络资源之间相互依存的条件. 例如: 拓扑结构, 物理连接, 逻辑连接, 继承层次和管理域等
-
启动和终止网络运行
启动操作包括验证所有可设置的资源属性是否已正确设置. 如果有设置不当的资源, 则要通知用户; 如果所有的设置都正确无误, 则向用户发回肯定应答. 关闭操作完成之前允许用户检索设备的统计信息或状态信息.
-
发行软件
配置管理还提供向端系统(主机, 服务器和工作站等)和中间系统(交换机, 路由器和应用网关等)发行软件的功能. 即给系统装载指定的软件, 更新软件版本和配置软件参数等功能.
计费管理
计费管理(accounting management), 主要任务是跟踪和控制用户对网络资源的使用, 并把有关的信息存储在运行日志数据库中, 作为计费依据.
- 网络资源
- 通信设施
- 计算机硬件
- 软件系统
- 服务
- 计费日志
- 用户标识
- 连接目标标识
- 传送的分组数/字节数
- 安全级别
- 时间戳
- 网络状态码(指示网络出错状态)
- 使用的网络资源
性能管理
性能管理(performance management), 主要的任务是监视网络性能.
测量出对网络管理有用的性能参数.
网络最主要的目标是向用户提供满意的服务, 因而面向服务的性能指标应具有较高的优先级. 下面前3个是面向服务的性能指标, 后2个是面向效率的性能指标.
- 可用性. 网络系统, 网络元素或网络应用对用户可以的事件的百分比.
- 平均无故障时间(Mean Time Between Failure, MTBF)
- 平均维修时间(Mean Time To Repair, MTTR)
- 可用性
- 串联系统可用性
- 双链路并联相互备份的可用性
- 响应时间. 用户输入请求到系统在终端上返回计算结果的时间间隔.
- 交互系统
- 大于15秒, 不能容忍
- 大于4秒, 人的短期记忆会受到影响, 工作的连续性被破坏
- 交互式输入应当小于2秒
- 在0.1秒以下时, 人们会感到计算机时同步工作的
- 响应时间的组成
- 入口终端延迟(TI)
- 入口排队时间(WI)
- 入口服务时间(SI)
- CPU处理延迟(CPU)
- 出口排队时间(WO)
- 出口服务时间(SO)
- 出口终端延迟(TO)
- 交互系统
- 正确性. 网络传输的准确率.
- 吞吐率. 一段时间内完成的数据处理量, 接收用户回话的数量和处理呼叫的数量等. 面向效率的指标.
- 利用率. 网络资源利用的百分比. 面向效率的指标.
收集到的性能参数, 以图形或表格的形式组织成性能测试报告, 呈现给网络管理员.
局域网性能测试报告通常包括:
-
主机对通信矩阵: 一对源主机和目标主机之间传送的总分组数, 数据分组数, 数据字节数以及它们所占的百分比
- 主机组通信矩阵: 一组主机之间通信量的统计
- 分组类型直方图: 各种类型的原始分组(例如广播分组, 组播分组等)的统计信息
- 数据分组长度直方图: 不同长度(字节数)的数据分组的统计
-
吞吐率-利用率分布: 各个网络结点发送/接收的总字节数和数据字节数的统计
-
分组到达时间直方图: 不同时间到达的分组数的统计
-
信道获取时间直方图: 在网络接口单元(NIU)排队等待发送, 经过不同延迟时间的分组数的统计
-
通信延迟直方图: 从发出原始分组到分组到达目标的延迟时间的统计
-
冲突计数直方图: 经受不同冲突次数的分组数的统计
-
传输计数直方图: 经过不同试发送次数的分组数的统计
还应包括功能全面的性能评价程序(对网络当前的运行状态进行分析)和人工负载生成程序(产生性能测试数据), 帮助管理人员进行管理决策.
安全管理
网络面临的安全问题
-
安全需求
- 保密性(security)
- 完整性(integrity)
- 可用性(availability)
-
网络信息流的安全威胁
- 中断(interrupt)
- 窃取(interception)
- 篡改(modification)
- 假冒(fabrication)
-
对计算机网络的安全威胁
- 对硬件的威胁
- 对软件的威胁
- 对数据的威胁
- 对网络通信的威胁
-
对网络管理的安全威胁
- 伪装用户
- 假冒管理程序
- 侵入管理站和代理间的信息交换过程
安全管理(security management), 主要的任务是安全服务和安全机制的管理.
- 安全信息维护
- 记录系统中出现的各类事件(例如用户登录、退出系统,文件拷贝等)
- 追踪安全审计试验,自动记录有关安全的重要事件,例如非法用户持续试验不同口令字企图登录等
- 报告和接收侵犯安全的警示信号,在怀疑出现威胁安全的活动时采取防范措施,例如封锁被入侵的用户帐号,或强行停止恶意程序的执行等
- 经常维护和检查安全记录,进行安全风险分析,编制安全评价报告
- 备份和保护敏感的文件
- 研究每个正常用户的活动形象,预先设定敏感资源的使用形象,以便检测授权用户的异常活动和对敏感资源的滥用行为
- 资源访问控制
- 访问控制服务的目的是保护各种网络资源,这些资源中与网络管理有关的是:
- 安全编码
- 源路由和路由记录信息
- 路由表
- 目录表
- 报警门限
- 计费信息
- 访问控制服务的目的是保护各种网络资源,这些资源中与网络管理有关的是:
- 加密过程控制
- 对管理站和代理之间交换的报文加密
- 变更加密算法
- 分配密钥
四、 网络管理的协议和工具
网络管理协议
- ISO
- ISO DIS 7498-4(X.700), 1989, 定义了网络管理的基本概念和总体框架
- ISO 9595, 1991, 公共管理信息服务定义(Common Management Information Service, CMIS)
- ISO 9596, 1991, 公共管理信息协议规范(Common Management Information Protocol, CMIP)
- ISO 10164, 1992, 系统管理功能(System Management Functions, SMFs)
- ISO 10165, 1992, 管理信息结构(Structure of Management Information, SMI)
- 采用面向对象模型组织网络管理信息
- TCP/IP网络
- 简单网关监控协议(Simple Gateway Monitoring Protocol, SGMP) , 1987
- 简单网络管理协议(Simple Network Management Protocol, SNMP)
- SNMPv1, 1990
- RFC1155(SMI), RFC1157(SNMP), RFC1212(Concise MIB Definitions), RFC1213(MIB-2)
- SNMPv2, 1996
- RFC1902~RFC1908
- SNMPv3, 1999
- RFC2570~RFC2575
- SNMPv1, 1990
- 远程网络监视(remote monitoring, RMON)
- RMON-1, 1991
- RMON-2, 1995
- 定义了监控网络通信的管理信息库, 扩充了SNMP的管理信息库(MIB)
- IEEE局域网管理标准
- IEEE 802.1b LAN/MAN
- ITU-T电信网络管理标准(Telecommunications Management Network, TMN)
- M.30建议
网络管理工具
- ping为代表的命令行工具
- net-tools
- iproute2
- 网络管理系统(平台)
- IBM NetView, HP OpenView
- Cisco Works 2000, Cabletron Spectrum
- 网络管理应用软件
- 在厂商提供的基础上, 根据需要开发
- 目前很活跃的领域
教材: 雷震甲, 计算机网络管理(第二版), 人民邮电出版社, 2016.9
云红艳等, 计算机网络管理(第二版), 人民邮电出版社, 2014.2
RFC: https://www.ietf.org/rfc/
RFC查询: http://www.rfc-editor.org/search/rfc_search.php
来源:CSDN
作者:dlutcat
链接:https://blog.csdn.net/dlutcat/article/details/104416471