网络管理考试资料

网络工程：根据网络用户的需求和投资规模，进行网络需求分析、网络设计、优化选择各种网络软硬件设备、网络组网实施、网络性能测试、网络验收和维护，通过网络系统集成的方法，建设成性价比合理、满足用户需要的计算机网络的过程。

网络管理：规划、监督、设计和控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。

网络工程的目的：主要是以建设为主，建设成性价比合理、满足用户需要的计算机网络。网络管理的目的：减少停机时间，改进响应时间，提高设备利用率，减少运行费用。

一个网络管理系统一般包含几个元素：

①若干个需要被管理的网络设备节点，如路由器、服务器等，每个节点上运行一个称为设备代理(agent)的应用进程，实现对被管理设备的各种被管理对象的信息如流量等的搜集和对这些被管对象的访问支持；

②至少一个管理工作站，该管理站运行着管理平台应用系统，实现为管理员提供对被管设备的可视化的图形界面，使管理员可以方便管理；

③一个管理协议，用来定义设备代理和管理工作站之间管理信息传送的规程。其中管理协议的操作是在管理框架下进行的，管理框架定义了和安全相关的认证,授权,访问控制和加密策略等各种安全防护框架。

在运行TCP/IP协议的互联网环境中，管理协议标准是SNMP，定义了传送管理信息的协议消息格式及管理站和设备代理间进行消息传送的规程。

SNMP的操作很简单，主要是对变量的修改和检查，共定义了以下5类管理操作：·GetRequest：读对象操作，使管理进程向代理发起读的操作读取管理对象的值，以获取设备或网络的运行数据以及配置信息等。

·GetNextRequest：读取当前对象的下一个可读取的对象实例值。（因为SNMP不支持一次读取一张表或表中的一行数据，为了解决这一问题便提供了GetNextRequest操作：首先对对象标识（OID）进行GetNextRequest操作，将收到下一个可读取对象的实例标识，接着对这个实例标识执行GetNextRequest，会得到再下一个实例标识，不断执行下去就可以读取完整的一张表。）

·SetRequest：管理进程更新代理中对象的值。

当需要对设备的一些参数、配置、状态等进行重新配置时，就需要用到SetRequest操作。SetRequest可以对MIB中权限为只写（wtite-only）和可读写（read-write）的对象进行操作。·GetResponse：代理对GetRequest/GetNextRequest/SetRequest这3种操作的应答。·Trap：代理向管理进程发送事件值。

SNMP中的GetRequest/GetNextRequest/SetRequest都由管理进程主动发起，采取轮询的方式。由于轮询时间时隔是固定的，所以导致管理进程无法及时掌握到这一事件信息，使事件失去了实效性。

另一方面，考虑到网络带宽的占用，又不可能将轮询的时间间隔设置得太小。

所以，就需要一种当设备的数据或状态发生变化时能够主动向管理进程发送这一事件信息的机制

Trap是由代理主动发起，向管理进程通报设备信息的重要改变的操作。

SNMP是运行在UDP协议上，利用是UDP协议的161/162端口。其中161端口被设备代理监听，等待接受管理进程发送的管理信息查询请求消息；162端口由管理者进程监听设备代理进程发送的异常事件报告消息。由于收发采用不同端口，所以一个系统可以同时为管理进

程和代理进程

MIB 是一个按照层次结构组织的树状结构（定义方式类似于域名系统），管理对象定义为树中的相应叶子节点。网络管理可以通过MIB监视系统资源，也可以通过修改这些值来控制系统资源。

接口组：提供关于网络设备上每个特定接口的数据，这些数据对于失效、配置和计费管理很有用。以下为可用于配置管理的部分接口对象：

IfDescr 接口的名字IfType 接口的类型IfSpeed 接口带宽

IfAdminStatus 接口状态（up、down、test），通过发送set Request命令可以远程设置。

以下为可用于性能管理或计费管理的部分接口对象：

IfInDiscards 接口丢弃的输入包数IfInErrors 错误的输入包数

IfInOctets 接口发送的字节数IfInUcastPkts 输入的单播包数

IfInNUcastPkts 输入的非单播包数

根据这几个数据，可以计算出：

接口接收到的包的总数＝IfInUcastPkts＋IfInNUcastPkts

接口的输入错误百分率＝IfInErrors/(IfInUcastPkts＋IfInNUcastPkts)

接口在时刻x和y之间发送的总字节数等于两次不同时刻的IfInOctets相减。

每秒利用率＝（接收或发送总字节数/(时间长度)×8）/IfSpeed

SNMP协议简单、易操作，但也有局限性。主要表现在：

（1）不适于大型网络的管理。因为，SNMP是一个基于主动轮询的监视机制，当轮询间隔短时，对网络本身的性能影响很大。而且，SNMP是基于一种请求——响应的模式，必须通过发送一个分组来获得一个分组，这种模式导致大量的管理信息，占用过多的带宽资源，并有可能造成难以接受的响应延迟。

（2）基本的SNMP只提供简单的认证，因此更适合监视而不是管理和控制。

（3）不支持直接发布命令，激发一个事件的唯一方法是通过设置一个对象值，缺少灵活性。（4）不支持管理器到管理器的通信，因此从一个管理系统不能了解另一个管理系统的设备和网络状况。

（5）只能用于IP网络，具有局限性。

使用SNMP的注意事项：

·尽量将SNMP服务升级到v3版本。（硬件设备的服务补丁需要向制造商联系获得，而操作系统（如Linux、Windows 2000/2003等）可从网上直接下载安装。）

·保护SNMP共同体名称：许多设备缺省的SNMP共同体名称为“public”，这是很不安全的。建议管理人员修改该缺省值，并增加字符串的复杂性。

·在网络出口设备上过滤SNMP：目前，SNMP主要用于企业内部网络的管理，对于外部用户来说一般没有必要使用SNMP。为此，可以在企业网络的出口设备（主要为路由器或防火墙）上过滤掉SNMP通信和请求，从而保护内部网络。

标准的SNMP服务使用UDP 161和UDP 162两个端口，某些设备厂商也使用其他的一些端口，如UDP 199、391、705、1993等。禁用这些端口通信后，外部网络访问企业内部网络的能力就受到了限制。

在路由器和防火墙上可以使用ACL来过滤SNMP。

启动和使用MRTG