第9章 网络管理与网络安全
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
SNMP共有5种PDU,其中2种用来读取数据,2种用来设置数据,1种用来监视网络上发 生的事件,如网络故障报警等。
请求读取对象信息(Get-Request): 从代理那里取得一个对象的实 例,证实型操作; 请求读取下一个对象信息(Get-Next-Request):从代理那里取得下 一个对象实例,这个操作是与上下文有关的,缺省时指的是 MIB中第 一个对象实例的值,证实型操作; 设置对象的有关参数(Set-Request):在代理中设置指定对象实例的 值,证实型操作; 对读操作作出响应回答(Get-Response):是上述操作的应答信息,也 包含错误和状态信息。 捕捉事件并给出报告(Trap):代理异步地通知 NMS某个事件的发生, 非证实型操作;事件的定义是 NMS预先设置的(如某个门槛值)。
网络服务,负责用户数据的传输(例如数据的传输量); 网络应用(例如对服务器的使用)。 对用户行为的了解与控制
2020/9/23
page 5
➢ 性能管理
性能管理估价系统资源的运行状况及通信效率等系统指标。它定义了网络 的动态评估方法,以便于检验网络所保持的服务水平,确定实际的和潜在的网 络性能瓶颈。根据网络的各项运行指标的趋势,为制定和规划管理决策产生报 告。
CMIP协议相对于SNMP而言,需要大量资源:包括实现时投入的资源(人力、物 力)以及运行时的计算机和网络资源。由于此缺陷,注定了CMIP协议生命周期 的有限性。
2020/9/23
page 8
➢ SNMP协议
1)、概述 简单网络管理协议(SNMP)是一种用于在网络设备之间交换管理信息的应用 层协议,目前被广泛地实现在各种网络设备中,并在 Internet中普遍使用。 SNMP的前身是简单网关管理协议(SGMP),用来对通信线路进行管理。随后, 人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB 体系结构,改进后的协议就是著名的SNMP。 SNMPv1是 1990年 5月正式公布的(RFC 1155和 RFC 1157), SNMPv2是前者 的改进,于 1993年陆续公布(RFC 1441- RFC 1452),后来又发展为SNMP3 (由RFC2271到RFC2275定义),描述了SNMP2中所缺乏的安全和管理方面上的 问题。 SNMP属于网络管理平台,它为网络管理应用系统和被管的网络设备之间的交 互提供了标准的界面。
2020/9/23
page 9
2)、SNMP网络管理模型 由4部分组成:网络管理站、被管设备、管理信息库MIB和
管理协议SNMP。
网络管理系统(NMS)
SNMP
用户接口 管理应用程序
SNMP
SNMP
代理
代理
代理
MIB
被管设备
2020/9/23
MIB 被管设备
MIB 被管设备
page 10
网络管理者是指实施网络管理的处理实体,网络管理者驻留在管 理工作站上,管理工作站通常是指那些工作站、微机等,一般位 于网络系统的主干或接近于主干的位置,它负责发出管理操作的 指令,并接收来自网管代理的信息 。
管理信息库(MIB)是一个信息存储库,它是网络管理系统中的 一个非常重要的部分。MIB定义了一种对象数据库,由系统内的 许多被管对象及其属性组成。在MIB中的数据可大体分为3类:感 测数据、结构数据和控制数据。
2020/9/23
page 11
SNMP网络管理模型的核心是由代理维护而由管理器读写的管理信息。在SNMP文献 中,这些信息称为对象。网络中所有可管对象的集合称为管理信息库MIB。
第九章 网络管理与网络安全
本章内容 ●网络管理的基本概念、发展、功
能 ●网络管理协议:CMIP、SNMP ●网络安全的基本概念 ●加密、认证、防火墙
2020/9/23
page 1
9.1 网络管理基础
网络管理基本概念
网络管理是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。
网络管理的基本目标是将所有的管理子系统集成在一起,向管理员提供单一的 控制方式。
2020/9/23
page 2
网络管理的发展
计算机网络的管理可以说是伴随着ARPANET的产生而产生的。由于当时网络规模小, 复杂性不高,一个简单的专用网络管理系统就可满足网络正常工作的需要。但随着网 络的发展,使人们意识到以前的网络管理技术已经不能适应计算机网络的迅速发展。
一些标准化组织及产业集团,如ISO、ITU、IAB因特网活动委员会等积极开展研究活 动,提出了多种网络管理方案:HEMS(High Level Entity Management )、SGMP (the Simple Gateway Monitoring Protocol)、CMIS/CMIP(the Common Management Information Service/Protocol)、NETVIEW、SNMP( Simple Network Management Protocol)、 LAN Manager等。其中比较有名的是:CMIP和SNMP。
➢ 安全管理
·安全管理用于保证降低运行网络及其网络管理 系统的风险。它是一些功能组合, 通过分析网络 安全漏洞将网络危险最小化。
·实施网络安全规划,可动态地确保网络安全。
·主要包括维护防火墙和安全日志、安全指示器 的监测、分区隔离、口令管理和提供各种级别的警 告或报警。
2020/9/23
page 7
这样系统需要一个管理者的角色和被管理对象。要实现对被管理程序(代理) 的管理,管理者需要知道被管理程序中的信息模型(实际上就是代理包含的被 管理对象的信息模型)。为了这些信息的传送,人们就必须在管理者和被管理 者之间规定一个网络管理协议。
由于网络规模的不断增大,复杂性日益增加,网络管理技术也在不断发展。
➢故障管理
·故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系 统以非正常方式操作的事件,可分为:
由损坏的部件或软件故障(bug)引起的(内部)故障,常常是可重复的; 由环境影响引起的外部故障,通常是突发的,不可重复。
2020/9/23
page 4
·故障管理的主要内容有: 故障检测:维护和检查故障日志,检查事件的发生率看是否已
CMIS/CMIP是OSI提供的网络管理协议簇。SNMP目前已成为网络管理领域中事实上的 工业标准。
2020/9/23
page 3
网络管理的功能
在ISO网络管理标准(ISO/IEC7498-4)中定义了网络管理的五大功能,并被 广泛接受。这五大功能是:
➢配置管理
·配置管理是最基本的网络管理功能。 ·配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨 论被管对象能力的基础。 ·配置管理的目的是通过定义、收集、管理、和使用配置信息,以及网 络资源配置的控制来最佳地维持网络环境所提供的服务质量。 ·配置管理至少应具有事件报告、状态监测和管理配置信息的功能。
如,一特定主机中当前活动的TCP范围表就是一个被管对象。
在传输各类数据时,SNMP协议首先要把内部数据转换成ASN.1语法表示,然后发 送出去;另一端收到此ASN.1语法表示的数据后也必须首先变成内部数据表示后, 然后才执行其他的操作。
2020/9/23
page 12
MIB与对象标识符:
所有的被管对象都包含在管理信息库(MIB)中,它是对象所必须的数据库。一个 MIB可以描述为一棵抽象树(MIB树),树的根没有名字,各个数据项组成了树的 叶节点。对象标识符(OID)唯一地标识或命名了树中的各种MIB对象。对象标识 符类似于电话号码,不同的组织和机构有层次地分配了特定的数字组成了这些对象 标识符。
性能管理还包括了为操作控制建立和维护性能数据库和自动操作程序,随 机或定时收集由统计数据产生的性能日志。
这些日志除了性能管理本身使用外,其它管理功能亦可充分加以利用: 故障管理应用性能日志检测故障; 配置管理根据性能日志决定何时需要改变配置; 计费管理应用性能日志调整计费策略
2020/9/23
page 6
网络管理协议
➢ CMIP协议
公共管理信息服务/公共管理信息协议(CMIS/CMIP)是OSI提供的网络管理协 议簇,主要是针对OSI七层协议模型的传输环境而设计的。
CMIS定义了每个网络组成部分提供的网络管理服务,CMIwenku.baidu.com则是实现CMIS服务的 协议。
CMIS/CMIP的整体结构是建立在ISO网络参考模型的基础上的,网络管理应用进 程使用ISO参考模型的应用层。
接口 (2)
IP (4)
地址转换 (3)
ICNP (5)
SNMP (11)
EGP (8) OMI (9) TCP (6) UDP (7)
传输 (10)
2020/9/23
page 14
Internet子树有四个分枝:Directory(1)、Mgmt(2)、Experimental(3) 和Private(4)。Directory计划用于OSI目录;Mgmt用于网际活动委员会 (IAB)承认的文本对象的定义;Experimental用于Internet网络实验; Private用于专用MIB的定义。 目前在RFC1213中定义的Internet标准MIB和MIB-II包含了171个对象。这些对 象按照协议(包括TCP,IP,UDP,SNMP和其它)和其它类项(包括“系统”和 “接口”)进行分组。 MIB树可以扩展为实验和专用分枝。没有标准化的那些MIB往往被放置在实验分 枝。厂商可以定义自己的专用分枝来包括其产品的各种实例。例如,Cisco的 专用MIB的对象标识符是1.3.6.1.4.1.9,该标识符包括了许多对象,如用OID 1.3.6.1.4.1.9.2.2.1.51来标识对象“HostConfigAddr”。对象 HostConfigAddr说明了为一台具体的Cisco设备提供主机配置文件的主机的地 址。
网管代理是一个软件模块,它驻留在被管设备上它的功能是把来 自网络管理者的命令或信息的请求转换成本设备特有的指令,完 成网络管理者的批示或把所在设备的信息返回到网络管理者 。 网管代理实际所起的作用就是充当网络管理者与网管代理所驻留 的设备之间的信息中介。
管理站和网管代理者之间通过网络管理协议SNMP通信,网络管理 者进程通过网络管理协议SNMP来完成网络管理。
(或将)成为故障;接收故障报告。 故障诊断:寻找故障发生的原因,可执行诊断测试,以寻找故
障发生的准确位置。 故障纠正:将故障点从正常系统中隔离出去,并根据故障原因
进行修复。 ·故障管理为操作决策提供依据,以确保网络的可用性。
➢计费管理
·计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和 代价。这些资源有:
被管网络中的信息交换会因为被管设备所采用的数据表示技术的不同而产生麻烦,
因此要设法在这些异构设备通信时消除这些不兼容性,统一使用一种语法表示法 可以使不同种类的计算机共享管理信息。
SNMP应用了ISO的开放系统互连抽象语法表示法1(ASN.1)的一个子集,它是用 于以与机器无关的形式对MIB的被管对象进行描述的一种语言。用ASN.1定义管理 协议所交换的各种报文格式和被管对象,将被管对象简化为可管理的事物的特征。
2020/9/23
page 15
管理信息结构(SMI):因为Internet网络可能很庞大而且要保存维护每个设 备的大量的信息,网络管理员需要一种组织和管理这些信息的方法。SMI定 义了MIB的结构以及定义MIB的规则。SMI允许使用标准ASN.1的数据类型。
3)、SNMP协议定义了五种类型的操作
SNMP MIB的对象标识符结构定义了三个主要分枝:CCITT负责分枝0,ISO管理分枝1, CCITT和ISO联合管理分枝2。
目前多数MIB的活动发生在ISO分枝部分,ISO将它的分枝分给了几个组织,其中将 子树1给了美国国防部(DOD),DOD用它作为Internet对象表示。这样在Internet 子树中,对象标识符以1.3.6.1开头,意思是它们属于ISO,ORG,DOD,Internet子 树,专门用于Internet范围。
2020/9/23
page 13
MIB树
CCITT (0)
ROOT ISO (1)
JOINT-ISO-CCITT (2)
ORG (3) DOD (6) INTERNET (1)
DIRECTORY (1)
MGMT (2)
EXPERIMENTAL (3)
PRIVATE (4)
MIB (1)
系统 (1)
请求读取对象信息(Get-Request): 从代理那里取得一个对象的实 例,证实型操作; 请求读取下一个对象信息(Get-Next-Request):从代理那里取得下 一个对象实例,这个操作是与上下文有关的,缺省时指的是 MIB中第 一个对象实例的值,证实型操作; 设置对象的有关参数(Set-Request):在代理中设置指定对象实例的 值,证实型操作; 对读操作作出响应回答(Get-Response):是上述操作的应答信息,也 包含错误和状态信息。 捕捉事件并给出报告(Trap):代理异步地通知 NMS某个事件的发生, 非证实型操作;事件的定义是 NMS预先设置的(如某个门槛值)。
网络服务,负责用户数据的传输(例如数据的传输量); 网络应用(例如对服务器的使用)。 对用户行为的了解与控制
2020/9/23
page 5
➢ 性能管理
性能管理估价系统资源的运行状况及通信效率等系统指标。它定义了网络 的动态评估方法,以便于检验网络所保持的服务水平,确定实际的和潜在的网 络性能瓶颈。根据网络的各项运行指标的趋势,为制定和规划管理决策产生报 告。
CMIP协议相对于SNMP而言,需要大量资源:包括实现时投入的资源(人力、物 力)以及运行时的计算机和网络资源。由于此缺陷,注定了CMIP协议生命周期 的有限性。
2020/9/23
page 8
➢ SNMP协议
1)、概述 简单网络管理协议(SNMP)是一种用于在网络设备之间交换管理信息的应用 层协议,目前被广泛地实现在各种网络设备中,并在 Internet中普遍使用。 SNMP的前身是简单网关管理协议(SGMP),用来对通信线路进行管理。随后, 人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB 体系结构,改进后的协议就是著名的SNMP。 SNMPv1是 1990年 5月正式公布的(RFC 1155和 RFC 1157), SNMPv2是前者 的改进,于 1993年陆续公布(RFC 1441- RFC 1452),后来又发展为SNMP3 (由RFC2271到RFC2275定义),描述了SNMP2中所缺乏的安全和管理方面上的 问题。 SNMP属于网络管理平台,它为网络管理应用系统和被管的网络设备之间的交 互提供了标准的界面。
2020/9/23
page 9
2)、SNMP网络管理模型 由4部分组成:网络管理站、被管设备、管理信息库MIB和
管理协议SNMP。
网络管理系统(NMS)
SNMP
用户接口 管理应用程序
SNMP
SNMP
代理
代理
代理
MIB
被管设备
2020/9/23
MIB 被管设备
MIB 被管设备
page 10
网络管理者是指实施网络管理的处理实体,网络管理者驻留在管 理工作站上,管理工作站通常是指那些工作站、微机等,一般位 于网络系统的主干或接近于主干的位置,它负责发出管理操作的 指令,并接收来自网管代理的信息 。
管理信息库(MIB)是一个信息存储库,它是网络管理系统中的 一个非常重要的部分。MIB定义了一种对象数据库,由系统内的 许多被管对象及其属性组成。在MIB中的数据可大体分为3类:感 测数据、结构数据和控制数据。
2020/9/23
page 11
SNMP网络管理模型的核心是由代理维护而由管理器读写的管理信息。在SNMP文献 中,这些信息称为对象。网络中所有可管对象的集合称为管理信息库MIB。
第九章 网络管理与网络安全
本章内容 ●网络管理的基本概念、发展、功
能 ●网络管理协议:CMIP、SNMP ●网络安全的基本概念 ●加密、认证、防火墙
2020/9/23
page 1
9.1 网络管理基础
网络管理基本概念
网络管理是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。
网络管理的基本目标是将所有的管理子系统集成在一起,向管理员提供单一的 控制方式。
2020/9/23
page 2
网络管理的发展
计算机网络的管理可以说是伴随着ARPANET的产生而产生的。由于当时网络规模小, 复杂性不高,一个简单的专用网络管理系统就可满足网络正常工作的需要。但随着网 络的发展,使人们意识到以前的网络管理技术已经不能适应计算机网络的迅速发展。
一些标准化组织及产业集团,如ISO、ITU、IAB因特网活动委员会等积极开展研究活 动,提出了多种网络管理方案:HEMS(High Level Entity Management )、SGMP (the Simple Gateway Monitoring Protocol)、CMIS/CMIP(the Common Management Information Service/Protocol)、NETVIEW、SNMP( Simple Network Management Protocol)、 LAN Manager等。其中比较有名的是:CMIP和SNMP。
➢ 安全管理
·安全管理用于保证降低运行网络及其网络管理 系统的风险。它是一些功能组合, 通过分析网络 安全漏洞将网络危险最小化。
·实施网络安全规划,可动态地确保网络安全。
·主要包括维护防火墙和安全日志、安全指示器 的监测、分区隔离、口令管理和提供各种级别的警 告或报警。
2020/9/23
page 7
这样系统需要一个管理者的角色和被管理对象。要实现对被管理程序(代理) 的管理,管理者需要知道被管理程序中的信息模型(实际上就是代理包含的被 管理对象的信息模型)。为了这些信息的传送,人们就必须在管理者和被管理 者之间规定一个网络管理协议。
由于网络规模的不断增大,复杂性日益增加,网络管理技术也在不断发展。
➢故障管理
·故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系 统以非正常方式操作的事件,可分为:
由损坏的部件或软件故障(bug)引起的(内部)故障,常常是可重复的; 由环境影响引起的外部故障,通常是突发的,不可重复。
2020/9/23
page 4
·故障管理的主要内容有: 故障检测:维护和检查故障日志,检查事件的发生率看是否已
CMIS/CMIP是OSI提供的网络管理协议簇。SNMP目前已成为网络管理领域中事实上的 工业标准。
2020/9/23
page 3
网络管理的功能
在ISO网络管理标准(ISO/IEC7498-4)中定义了网络管理的五大功能,并被 广泛接受。这五大功能是:
➢配置管理
·配置管理是最基本的网络管理功能。 ·配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨 论被管对象能力的基础。 ·配置管理的目的是通过定义、收集、管理、和使用配置信息,以及网 络资源配置的控制来最佳地维持网络环境所提供的服务质量。 ·配置管理至少应具有事件报告、状态监测和管理配置信息的功能。
如,一特定主机中当前活动的TCP范围表就是一个被管对象。
在传输各类数据时,SNMP协议首先要把内部数据转换成ASN.1语法表示,然后发 送出去;另一端收到此ASN.1语法表示的数据后也必须首先变成内部数据表示后, 然后才执行其他的操作。
2020/9/23
page 12
MIB与对象标识符:
所有的被管对象都包含在管理信息库(MIB)中,它是对象所必须的数据库。一个 MIB可以描述为一棵抽象树(MIB树),树的根没有名字,各个数据项组成了树的 叶节点。对象标识符(OID)唯一地标识或命名了树中的各种MIB对象。对象标识 符类似于电话号码,不同的组织和机构有层次地分配了特定的数字组成了这些对象 标识符。
性能管理还包括了为操作控制建立和维护性能数据库和自动操作程序,随 机或定时收集由统计数据产生的性能日志。
这些日志除了性能管理本身使用外,其它管理功能亦可充分加以利用: 故障管理应用性能日志检测故障; 配置管理根据性能日志决定何时需要改变配置; 计费管理应用性能日志调整计费策略
2020/9/23
page 6
网络管理协议
➢ CMIP协议
公共管理信息服务/公共管理信息协议(CMIS/CMIP)是OSI提供的网络管理协 议簇,主要是针对OSI七层协议模型的传输环境而设计的。
CMIS定义了每个网络组成部分提供的网络管理服务,CMIwenku.baidu.com则是实现CMIS服务的 协议。
CMIS/CMIP的整体结构是建立在ISO网络参考模型的基础上的,网络管理应用进 程使用ISO参考模型的应用层。
接口 (2)
IP (4)
地址转换 (3)
ICNP (5)
SNMP (11)
EGP (8) OMI (9) TCP (6) UDP (7)
传输 (10)
2020/9/23
page 14
Internet子树有四个分枝:Directory(1)、Mgmt(2)、Experimental(3) 和Private(4)。Directory计划用于OSI目录;Mgmt用于网际活动委员会 (IAB)承认的文本对象的定义;Experimental用于Internet网络实验; Private用于专用MIB的定义。 目前在RFC1213中定义的Internet标准MIB和MIB-II包含了171个对象。这些对 象按照协议(包括TCP,IP,UDP,SNMP和其它)和其它类项(包括“系统”和 “接口”)进行分组。 MIB树可以扩展为实验和专用分枝。没有标准化的那些MIB往往被放置在实验分 枝。厂商可以定义自己的专用分枝来包括其产品的各种实例。例如,Cisco的 专用MIB的对象标识符是1.3.6.1.4.1.9,该标识符包括了许多对象,如用OID 1.3.6.1.4.1.9.2.2.1.51来标识对象“HostConfigAddr”。对象 HostConfigAddr说明了为一台具体的Cisco设备提供主机配置文件的主机的地 址。
网管代理是一个软件模块,它驻留在被管设备上它的功能是把来 自网络管理者的命令或信息的请求转换成本设备特有的指令,完 成网络管理者的批示或把所在设备的信息返回到网络管理者 。 网管代理实际所起的作用就是充当网络管理者与网管代理所驻留 的设备之间的信息中介。
管理站和网管代理者之间通过网络管理协议SNMP通信,网络管理 者进程通过网络管理协议SNMP来完成网络管理。
(或将)成为故障;接收故障报告。 故障诊断:寻找故障发生的原因,可执行诊断测试,以寻找故
障发生的准确位置。 故障纠正:将故障点从正常系统中隔离出去,并根据故障原因
进行修复。 ·故障管理为操作决策提供依据,以确保网络的可用性。
➢计费管理
·计费管理记录网络资源的使用,目的是控制和监测网络操作的费用和 代价。这些资源有:
被管网络中的信息交换会因为被管设备所采用的数据表示技术的不同而产生麻烦,
因此要设法在这些异构设备通信时消除这些不兼容性,统一使用一种语法表示法 可以使不同种类的计算机共享管理信息。
SNMP应用了ISO的开放系统互连抽象语法表示法1(ASN.1)的一个子集,它是用 于以与机器无关的形式对MIB的被管对象进行描述的一种语言。用ASN.1定义管理 协议所交换的各种报文格式和被管对象,将被管对象简化为可管理的事物的特征。
2020/9/23
page 15
管理信息结构(SMI):因为Internet网络可能很庞大而且要保存维护每个设 备的大量的信息,网络管理员需要一种组织和管理这些信息的方法。SMI定 义了MIB的结构以及定义MIB的规则。SMI允许使用标准ASN.1的数据类型。
3)、SNMP协议定义了五种类型的操作
SNMP MIB的对象标识符结构定义了三个主要分枝:CCITT负责分枝0,ISO管理分枝1, CCITT和ISO联合管理分枝2。
目前多数MIB的活动发生在ISO分枝部分,ISO将它的分枝分给了几个组织,其中将 子树1给了美国国防部(DOD),DOD用它作为Internet对象表示。这样在Internet 子树中,对象标识符以1.3.6.1开头,意思是它们属于ISO,ORG,DOD,Internet子 树,专门用于Internet范围。
2020/9/23
page 13
MIB树
CCITT (0)
ROOT ISO (1)
JOINT-ISO-CCITT (2)
ORG (3) DOD (6) INTERNET (1)
DIRECTORY (1)
MGMT (2)
EXPERIMENTAL (3)
PRIVATE (4)
MIB (1)
系统 (1)