Presentation is loading. Please wait.

Presentation is loading. Please wait.

计算机网络 指导教师:杨建国 二零一零年三月.

Similar presentations


Presentation on theme: "计算机网络 指导教师:杨建国 二零一零年三月."— Presentation transcript:

1 计算机网络 指导教师:杨建国 二零一零年三月

2 第十章 网络管理(需更新) 第一节 网络应用 第二节 网络管理

3 Introduction 介绍网络管理 基于网络通信和C/S模型的网管模式 网管协议SNMP

4 管理Internet Internet Management
网络管理员负责监视和控制组成网络的硬件和软件系统 涉及和实现有效、健壮的网络结构 找出并解决问题所在 必须同时监视硬件和软件 为何网管工作很困难? 大多数网络是异构的 大多数网络是大型的

5 问题的类型 Types of problems
灾难性的 光纤骨干断裂 LAN 交换机断电 路由表中出现无效路由 很容易诊断出来 间歇、部分的 一种网络接口设备不定时破坏数据位 一个路由器错误地路由一些包,然后再正确路由大多数包 诊断困难

6 间歇性隐性实效的问题 Problem with hidden failures
隐匿问题 硬件丢弃了错误帧 网络协议可以重传坏帧 尽管网络硬件和协议软件含有自动检测失效并重传数据包的机制,但仍然需要网管检测并改正底层问题,因为重新传输降低了共享网络中所有计算机的性能。 问题:网管如何找到问题并隔离该问题?

7 网管软件 Network management software
检测网络设备的操作和性能: Hosts Routers Bridges, switches 询问、获得网络统计数据 通过修改路由器、配置网络接口等手段控制网络设备

8 网管模型 Network management model
网络管理并不是传输协议或网络协议的一部分 定义应用层协议,基于TCP/IP传输层协议工作 遵循客户-服务器模式工作: 管理机上的应用程序作为客户与网络设备上作为服务器运行的应用程序进行交互 网管机上的客户使用传统的传输协议(TCP、UDP)建立与服务器之间的通信 然后二者按管理协议交换请求和响应信息 为避免产生混淆,使用其它术语 管理员(Manager) == 客户; 运行于网管机上的客户应用 代理(Agent) == 服务器; 运行于网络设备上的应用 管理员向代理提出请求,代理响应

9 网管 为何使用传统网络和传统通信协议? 坏处:协议失效或底层硬件失效均会阻止设备发出或接收数据,从而失去对它的控制。 实际上可以很好工作:
硬件失效并不是问题:可利用仍在运行的设备进行通信,并定位问题所在。 使用传统协议:则网管数据包同样体现了当前网络状况,如果延迟很长,可被立即发现。

10 简单网络管理协议 SNMP 用于网络管理的标准协议称为简单网络管理协议(Simple Network Management Protocol ,SNMP) SNMP协议确切地定义了管理者和代理之间的通信: 请求及应答消息的格式 各种可能的请求和响应的确切含义 数据编码的方法

11 SNMP 数据编码 SNMP 使用 Abstract Syntax Notation.1 (ASN.1) 标准编码 示例-整数的表示
平台无关的数据编码标准 强类型(Strongly-typed ) 兼容任意数据类型 示例-整数的表示 为了能够容纳大型值又不浪费空间,使用每一对象的长度和对应的值进行传输

12 ASN.1对整数编码的例子 每个整数前一个长度字段,用于在编码整数值时指定字节个数

13 获取-存储模式 Fetch-store paradigm
SNMP并未定义一个大型的命令集合,相反,管理者-代理之间基于获取-存储模式工作: 获取(Fetch) 从设备处获得一个值 存储(Store) 在设备中设置一个值 每个对象均可通过唯一的名称进行获取或存储 获取用于监视内部数据值和数据结构,从而判断设备状态 存储用于修改和控制数据值和数据结构,也可用于控制设备的行为,如设置“reboot” 对象。

14 SNMP操作 SNMP operations
Get (fetch) :retrieves value of object Set (store) :stores new values into object Get-next :retrieves next object (for scanning)

15 SNMP的对象命名 Identifying objects with SNMP
但所存取的每个对象必须定义并被唯一命名 而且管理者和代理对同一对象必须使用相同名称, 对于获取和存储操作的含义也必须相同。 通常将SNMP能够存取的所有对象的集合称为管理信息库( Management Information Base,MIB) 每个 MIB 中的对象采用ASN.1 命名模式进行定义 该模式为每个对象分配了一个长的前缀,以确保名称的唯一性 一种层次命名模式 有专门的新名字审核机构 示例 – 计算收到的IP包数: iso.org.dod.internet.mgmt.mib.ip.ipInReceives 为了提高效率,每个名字分配一个数值; e.g. ipInReceives :

16 存储ASN.1数值 Storing ASN.1 numeric values
按字节顺序存储 最后一个字节的最左边的比特为0 Example:

17 存储ASN.1长度值 Storing ASN.1 lengths
最左边比特位为 0 :意味着长度在同一字节中 最左边比特位为 1 :意味长度字段有k字节

18 各种不同的MIB变量 Types of MIBs
SNMP没有定义MIB变量集合,这种设计使MIB是一种灵活的结构: 可随时定义新的MIB变量并进行标准化,而无需修改基本协议。 实质:通信协议和对象定义分离 MIB变量为各种协议、网络设备、网络接口而定义 MIB的最新版本是 MIB II NOT Man In Black !!!!!!!!!!!!!

19

20 对应数组的MIB变量 Arrays in MIBs
某些类型的数据,如路由表,最适合于存储为数组的形式 ASN.1 支持可变长、关联型数组 数组元素个数可随时间增加或减少 每个数组元素可以是结构对象 索引是隐含的 管理者必须知道所操作的对象是一个数组 管理者必须将索引信息附加到对象名称后以正确存取数组的表项

21 ip.ipRoutingTable.ipRouteEntry.ipRouteNextHop.IPdestaddr
数组例子 Array example 路由表是一个数组: ip.ipRoutingTable 路由表入口列表以 IP 地址 为了标识一个表值: ip.ipRoutingTable.ipRouteEntry.ipRouteNextHop.IPdestaddr ipRouteEntry :索引 ipRouteNextHop :路由表入口中的一个字段 IPdestaddr : 32-bit IP address

22 Summary TCP/IP中 包含 SNMP 作为网管协议 SNMP 是一个应用层协议,使用UDP为传输层协议
基于 fetch-store 模式工作 控制操作是存储操作的一个 side-effect Get-next 用于扫描对象 管理信息库(MIB)中定义了对象的结构 采用ASN.1来定义数据的表示和对象命名方式

23 6.6 动态主机配置协议 DHCP 为了将软件协议做成通用的和便于移植,协议软件的编写者把协议软件参数化。这就使得在很多台计算机上使用同一个经过编译的二进制代码成为可能。 一台计算机和另一台计算机的区别,都可通过一些不同的参数来体现。 在软件协议运行之前,必须给每一个参数赋值。

24 协议配置 在协议软件中给这些参数赋值的动作叫做协议配置。 一个软件协议在使用之前必须是已正确配置的。 具体的配置信息有哪些则取决于协议栈。

25 协议配置(续) 需要配置的项目 (1) IP 地址 (2) 子网掩码 (3) 默认路由器的 IP 地址 (4) 域名服务器的 IP 地址
这些信息通常存储在一个配置文件中,计算机在引导过程中可以对这个文件进行存取。

26 动态主机配置协议 DHCP (Dynamic Host Configuration Protocol)
动态主机配置协议 DHCP 提供了即插即用连网(plug-and-play networking)的机制。 这种机制允许一台计算机加入新的网络和获取IP地址而不用手工参与。

27 DHCP 使用客户服务器方式。 需要 IP 地址的主机在启动时就向 DHCP 服务器广播发送发现报文(DHCPDISCOVER),这时该主机就成为 DHCP 客户。 本地网络上所有主机都能收到此广播报文,但只有 DHCP 服务器才回答此广播报文。 DHCP 服务器先在其数据库中查找该计算机的配置信息。若找到,则返回找到的信息。若找不到,则从服务器的 IP 地址池(address pool)中取一个地址分配给该计算机。DHCP 服务器的回答报文叫做提供报文(DHCPOFFER)。

28 DHCP 中继代理(relay agent)
并不是每个网络上都有 DHCP 服务器,这样会使 DHCP 服务器的数量太多。现在是每一个网络至少有一个 DHCP 中继代理,它配置了 DHCP 服务器的 IP 地址信息。 当 DHCP 中继代理收到主机发送的发现报文后,就以单播方式向 DHCP 服务器转发此报文,并等待其回答。收到 DHCP 服务器回答的提供报文后,DHCP 中继代理再将此提供报文发回给主机。

29 DHCP 中继代理 以单播方式转发发现报文 注意:DHCP 报文只是 UDP 用户数据报中的数据。 主机 广播 DHCP 服务器
DHCPDISCOVER 广播 DHCP 服务器 DHCPDISCOVER 单播 其他 网络 DHCP 中继代理 注意:DHCP 报文只是 UDP 用户数据报中的数据。

30 租用期(lease period) DHCP 服务器分配给 DHCP 客户的 IP 地址的临时的,因此 DHCP 客户只能在一段有限的时间内使用这个分配到的 IP 地址。DHCP 协议称这段时间为租用期。 租用期的数值应由 DHCP 服务器自己决定。 DHCP 客户也可在自己发送的报文中(例如,发现报文)提出对租用期的要求。

31 :DHCP 服务器被动打开 UDP 端口 67, … DHCP 协议的工作过程         等待客户端发来的报文。 
68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP :DHCP 服务器被动打开 UDP 端口 67, 等待客户端发来的报文。 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

32 :DHCP 客户从 UDP 端口 68 … DHCP 协议的工作过程         发送 DHCP 发现报文。 
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP :DHCP 客户从 UDP 端口 68 发送 DHCP 发现报文。 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

33 :凡收到 DHCP 发现报文的 DHCP 服务器 …
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP :凡收到 DHCP 发现报文的 DHCP 服务器 都发出 DHCP 提供报文,因此 DHCP 客户 可能收到多个 DHCP 提供报文。 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

34 :DHCP 客户从几个 DHCP 服务器中选择 …
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP :DHCP 客户从几个 DHCP 服务器中选择 其中的一个,并向所选择的 DHCP 服务 器发送 DHCP 请求报文。 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

35 :被选择的 DHCP 服务器发送确认报文 … DHCP 协议的工作过程        
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 :被选择的 DHCP 服务器发送确认报文 DHCPACK,进入已绑定状态,并可 开始使用得到的临时 IP 地址了。 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

36 DHCP 协议的工作过程 被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 DHCP 客户现在要根据服务器提供的租用期 T 设置两个计时器 T1 和 T2,它们的超时时间分别是 0.5T 和 0.875T。当超时时间到就要请求更新租用期。 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

37 :租用期过了一半(T1 时间到),DHCP 发送 …
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 :租用期过了一半(T1 时间到),DHCP 发送 请求报文 DHCPREQUEST 要求更新租用期。 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

38 :DHCP 服务器若同意,则发回确认报文
被动打开 67 服务器 :DHCP 服务器若同意,则发回确认报文 DHCPACK。DHCP 客户得到了新的租 用期,重新设置计时器。 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

39 :DHCP 服务器若不同意,则发回否认报文
被动打开 :DHCP 服务器若不同意,则发回否认报文 DHCPNACK。这时 DHCP 客户必须立即 停止使用原来的 IP 地址,而必须重新申 请 IP 地址(回到步骤)。 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

40 DHCP 协议的工作过程 被动打开 67 服务器 若DHCP服务器不响应步骤的请求报文DHCPREQUEST,则在租用期过了 87.5% 时,DHCP 客户必须重新发送请求报文 DHCPREQUEST(重复步骤),然后又继续后面的步骤。 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

41 :DHCP 客户可随时提前终止服务器所提供的
被动打开 67 服务器 :DHCP 客户可随时提前终止服务器所提供的 租用期,这时只需向 DHCP 服务器发送释 放报文 DHCPRELEASE 即可。 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

42 10.1.1网络管理功能 (1)性能管理 (2)故障管理 (3)配置管理 (4)计费管理 (5)安全管理

43 BH_r7 Sml_r5 Sml_r3 Sml_r1 BH_r8 Sml_r6 Sml_r4 Sml_r2 2 M 100M FE
三门峡3 焦作4 南阳4 商丘4 开封3 平顶山3 信阳2 驻马店2 商丘3 焦作3 洛阳3 濮阳3 安阳3 信阳3 新乡4 安阳4 平顶山4 周口4 南阳3 许昌2 周口2 漯河3 新乡3 洛阳4 鹤壁3 BH_r7 Sml_r5 Sml_r3 Sml_r1 SMSC3 SMSC6 2948 2948 2948 2948 2950 2950 2950 2950 SMSC4 BH_r8 Sml_r6 Sml_r4 Sml_r2 SMSC5 SMSC7 商贸路12楼 北环路13楼 安阳3 濮阳3 洛阳4 鹤壁3 焦作3 漯河3 许昌2 洛阳3 新乡3 信阳2 南阳3 平顶山3 周口4 开封3 驻马店2 周口2 商丘3 商丘4 平顶山4 安阳4 南阳4 焦作4 新乡4 三门峡3 信阳3 2 M 100M FE 1000M GE

44 网络管理的需求 1、网络规模快速膨胀 网络节点的大幅度增加、跨地域,网络集中维护 2、网络复杂性的大幅度增加
网络设备种类多、应用种类多、网络协议种类多 3、网络运行的可靠性要求 通过配置冗余的网络硬件、软件、传输介质等 4、网络运行可用性的要求 降低网络出故障的时间,减少网络故障的修复时间。 5、网络稳定性的要求 要求提供一个运行平稳、网络性能有保障的网络 6、降低网络运行维护成本 集中维护模式的采用 7、网络扩容、规划的需要

45 网络管理的由来 1、电话网络管理,20世纪50年代~70年代,长途直拨、程控交换机、网络运行系统,发展了 电信网络管理,形成ITU-T X.710、X.711。 2、1969年 APARNET的诞生,发展了计算机网络管理,形成ISO 9595、9596。

46 网络管理功能-性能管理 衡量和呈现网络特性的各个方面,使网络性能维持在一个可以被接受的水平上。 收集网络管理者感兴趣的那些变量的性能数据;
分析这些数据,以判断是否处于正常(基线)水平并产生相应的报告; 为每个重要的变量确定一个合适的性能阈值,超过该阈值就意味着出现了应该注意的网络故障;

47 网络管理功能-配置管理 监视网络和系统的配置信息,以便跟踪和管理不同的软硬件元素对网络操作的作用。 网络资源的配置及其活动状态的监视;
网络资源之间关系的监视与控制; 新资源的加入,旧资源的删除;定义新的管理对象; 识别管理对象,给每个对象分配名字; 初始化对象,启动、关闭对象; 管理各个对象之间的关系; 改变管理对象的参数。

48 网络管理功能-计费管理 统计网络效益数据,以便确定不同时期和不同时段的费率; 根据用户使用的特定业务和计费方式,确定和计算各个用户的费用。
对用户使用网络资源的情况随时进行记录,并根据预定的计算方法和收费标准来核算用户的通信费用 统计网络效益数据,以便确定不同时期和不同时段的费率; 根据用户使用的特定业务和计费方式,确定和计算各个用户的费用。 帐务管理、分类和稽查功能。

49 网络管理功能-故障管理 检测、记录网络故障并通知给用户,尽可能自动修复网络故障以使网络能有效地运行。
检测被管理对象的差错或接收差错事件报告; 在紧急情况下启用备用资源用于服务; 创建和维护差错日志库并对其进行分析; 对故障进行诊断测试、跟踪、识别和定位; 对有故障资源进行更换、修复或其他恢复措施使其重新投入使用。

50 网络管理功能-安全管理 控制对网络资源的访问,以保证网络不被有意或无意地侵害,并保证敏感信息不被那些未授权的用户访问
标识重要的网络资源(包括系统、文件和其它实体); 确定重要的网络资源和用户集间的映射关系; 监视对重要网络资源的访问; 记录对重要网络资源的非法访问;

51 6.7 简单网络管理协议 SNMP 6.7.1 网络管理的基本概念
网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行性能,服务质量等。网络管理常简称为网管。 网络管理并不是指对网络进行行政上的管理。

52 网络管理基本模型 网络管理体系结构(SNMP模型) 管理站 MIB Network Manager MDB manager 网络 SNMP
agent agent agent MIB MIB MIB 被管理设备 1 被管理设备 2 被管理设备 n Manager-Agent模型(如上图所示)在网络管理中常用,其核心是管理进程与远程系统相互作用,实现对远程资源的控制。 组成四要素:由网络管理系统(网管站-manager)、被管网络设备(计算机系统或网络设备-agent)、管理信息库(MIB)和网络管理通信协议(如SNMP等)组成。 设计原则:尽量减少网络和被管设备的管理开销。

53 网络管理的一般模型 被管设备 被管设备 因特网 被管设备 被管设备 A A A A 网管协议 被管设备 M 网络 管理员 管理站 A M
—— 管理程序(运行 SNMP 客户程序) A —— 代理程序(运行 SNMP 服务器程序)

54 网络管理模型中的主要构件 管理站也常称为网络运行中心 NOC (Network Operations Center),是网络管理系统的核心。
管理程序在运行时就成为管理进程。 管理站(硬件)或管理程序(软件)都可称为管理者(manager)。 Manager 不是指人而是指机器或软件。 网络管理员(administrator) 指的是人。大型网络往往实行多级管理,因而有多个管理者,而一个管理者一般只管理本地网络的设备。

55 被管对象(Managed Object)。
网络的每一个被管设备中可能有多个被管对象。 被管设备有时可称为网络元素或网元。 在被管设备中也会有一些不能被管的对象。

56 代理(agent) 在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信。这些运行着的程序叫做网络管理代理程序,或简称为代理。
代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。

57 网络管理协议 网络管理协议,简称为网管协议。 需要注意的是,并不是网管协议本身来管理网络。网管协议就是管理程序和代理程序之间进行通信的规则。
网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。

58 客户服务器方式 管理程序和代理程序按客户服务器方式工作。
管理程序运行 SNMP 客户程序,向某个代理程序发出请求(或命令),代理程序运行 SNMP 服务器程序,返回响应(或执行某个动作)。 在网管系统中往往是一个(或少数几个)客户程序与很多的服务器程序进行交互。

59 网络管理的基本原理 若要管理某个对象,就必然会给该对象添加一些软件或硬件,但这种“添加”必须对原有对象的影响尽量小些。

60 SNMP 的指导思想 SNMP 最重要的指导思想就是要尽可能简单。 SNMP 的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。
虽然 SNMP 是在 TCP/IP 基础上的网络管理协议,但也可扩展到其他类型的网络设备上。

61 SNMP 的管理站和委托代理 整个系统必须有一个管理站。
管理进程和代理进程利用 SNMP 报文进行通信,而 SNMP 报文又使用 UDP 来传送。 若网络元素使用的不是 SNMP 而是另一种网络管理协议,SNMP 协议就无法控制该网络元素。这时可使用委托代理(proxy agent)。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。

62 SNMP 的网络管理 由三个部分组成 SNMP 本身 管理信息结构 SMI
(Structure of Management Information) 管理信息库 MIB (Management Information Base)。

63 SNMP SNMP 定义了管理站和代理之间所交换的分组格式。所交换的分组包含各代理中的对象(变量)名及其状态(值)。

64 SMI SMI 定义了命名对象和定义对象类型(包括范围和长度)的通用规则,以及把对象和对象的值进行编码的规则。

65 MIB MIB 在被管理的实体中创建了命名对象,并规定了其类型。

66 6.7.2 管理信息结构 SMI SMI 的功能: (1) 被管对象应怎样命名; (2) 用来存储被管对象的数据类型有哪些种;
(3) 在网络上传送的管理数据应如何编码。

67 SMI 规定所有被管对象必须在命名树上 根 itu-t (0) iso (1) iso/itu-t (2) org (3) dod (6)
internet (1) (iso.org.dod.internet) mgmt (2) mib-2 (1) (iso.org.dod.internet.mgmt.mib-2) system(1) interface(2) at(3) ip(4) icmp(5) tcp(6) udp(7) egp(8) ipInReceives(3) (iso.org.dod.internet.mgmt.mib-2.ip.ipinreceives)

68 SMI 使用 ASN.1 SMI 标准指明了所有的 MIB 变量必须使用抽象语法记法 1(ASN.1)来定义。
SMI 既是 ASN.1 的子集,又是 ASN.1 的超集。 ASN.1 的记法很严格,它使得数据的含义不存在任何可能的二义性。 SMI 把数据类型分为两大类:简单类型和结构化类型。

69 基本编码规则 BER (Basic Encoding Rule)
ISO 在制订 ASN.1 语言的同时也为它定义了一种标准的编码方案,即基本编码规则 BER。 BER 指明了每种数据类型中每个数据的值的表示。 发送端用 BER 编码,可将用 ASN.1 所表述的报文转换成唯一的比特序列。接收端用 BER 进行解码,得到该比特序列所表示的 ASN.1 报文。

70 用 TLV 方法进行编码 把各种数据元素表示为以下三个字段组成的八位位组序列:
(1) T 字段,即标识符八位位组(identifier octet),用于标识标记。 (2) L 字段,即长度用八位位组(length octet),用于标识后面 V 字段的长度。 (3) V 字段,即内容八位位组(content octet),用于标识数据元素的值。

71 TLV 中的 T 字段 定义数据的类型 字节 可变 可变 数据元素 标记 T 长度 L 值 V 类 别 格 式 编 号

72 TLV 中的 L 字段 定义 V 字段的长度 1 1 1 1 1 1 指出 V 字段长度 = 2 字节 单字节的 L 字段
1 指出后续字节数 = 2 指出 V 字段长度 = 262 字节 多字节的 L 字段 1 1 1 1 1 后续字节数 = 2

73 TLV 中的 V 字段 定义数据的值 例如,INTEGER 15,其 T 字段是02, INTEGER 类型要用 4 字节编码。最后得出 TLV 编码为 F。 又如 IPAddress ,其 T 字段是 40,V 字段需要 4 字节表示,因此得出 IPAddress 的 TLV 编码是 C 。

74 6.7.3 管理信息库 MIB (Management Information Base)

75 6.7.4 SNMP 的 协议数据单元和报文 SNMP的操作只有两种基本的管理功能,即:
“读”操作,用 get 报文来检测各被管对象的状况; “写”操作,用 set 报文来改变各被管对象的状况。

76 SNMP 的探询操作 轮询操作——SNMP 管理进程定时向被管理设备周期性地发送探询信息。 轮询的好处是:
可使系统相对简单。 能限制通过网络所产生的管理信息的通信量。 但轮询管理协议不够灵活,而且所能管理的设备数目不能太多。探询系统的开销也较大。如轮询频繁而并未得到有用的报告,则通信线路和计算机的 CPU 周期就被浪费了。

77 陷阱(trap) SNMP 不是完全的探询协议,它允许不经过询问就能发送某些信息。这种信息称为陷阱,表示它能够捕捉“事件”。
这种陷阱信息的参数是受限制的。 当被管对象的代理检测到有事件发生时,就检查其门限值。代理只向管理进程报告达到某些门限值的事件(即过滤)。过滤的好处是: 仅在严重事件发生时才发送陷阱; 陷阱信息很简单且所需字节数很少。

78 SNMP 是有效的网络管理协议 使用轮询(至少是周期性地)以维持对网络资源的实时监视,同时也采用陷阱机制报告特殊事件,使得 SNMP 成为一种有效的网络管理协议。

79 SNMP 使用无连接的 UDP SNMP 使用无连接的 UDP,因此在网络上传送 SNMP 报文的开销较小。但 UDP 不保证可靠交付。
在运行代理程序的服务器端用熟知端口 161 来接收 get 或 set 报文和发送响应报文(与熟知端口通信的客户端使用临时端口)。 运行管理程序的客户端则使用熟知端口 162 来接收来自各代理的 trap 报文。

80 SNMPv1 定义的 协议数据单元类型(无编号 4)
PDU PDU名称 用途 编号 GetRequest 用来查询一个或一组变量的值 GetNextRequest 允许在 MIB 树上读取下一个变量, 此操作可反复进行 Reponse 代理向管理者或管理者向管理者发送 响应 SetRequest 对一个或多个变量值进行设置 GetBulkRequest 管理者从代理读取大数据块的值 InformRequest 管理者从另一管理者读取代理的变量 SNMPv2Trap 代理向管理者报告异常事件 8 Report 管理者之间报告某些差错

81 SNMP 的报文格式 IP 数据报 UDP 数据报 SNMP 报文 SNMP 报文的数据部分 … 首部 变量绑定 有关加密信息 的字段
20 字节 8 字节 IP 首部 UDP 首部 安全 参数 版本 首部 SNMP 报文的数据部分 上下文引擎 ID 上下文名 PDU 类型 请求 ID 差错状态 差错索引 名 值 名 值 首部 变量绑定 有关加密信息 的字段 SNMP PDU

82 Get-request 报文 ASN.1 编码 GetRequest-PDU request-ID T A0 1F GetRequest
L 1F GetRequest -PDU request-id error-status error-index variable-bindings T INTEGER L 04 V 05 AE 56 02 T INTEGER L 01 V 00 T INTEGER L 01 V 00 T SEQUENCE OF L 0E VarBind request-ID T SEQUENCE L 0C name value T OBJECT IDENTIFIER L 09 V T NULL L 00

83 SNMP V1的特点 优点: (1)协议简单,容易实现 (2)对资源的占用少 缺点:
(1)没有提供成批存取机制,对大块数据进行存取效率很低; (2)没有提供足够的安全机制,安全性很差; (3)只在TCP/IP协议上运行,不支持别的网络; (4)没有提供manager与manager之间通信的机制,只适合集中式,而不利于进行分布管理式; (5)只适于监测网络设备,不适于监测网络本身,如检测局域网和互联网上的数据流量。

84 SNMP V2 针对SNMP V1的不足,1993年初,推出了SNMP Version2即SNMP v2,在SNMP V2中增加了以下功能:
(1)提供了验证机制、加密机制、时间同步机制等,安全性大大提高; (2)增加了get-bulk-request命令,提供了一次取回大量数据的能力,效率大大提高; (3)增加了manager和manager之间的信息交换机制,从而支持分布式管理结构。由中间(intermediate)manager来分担主manager的任务,增加了远地站点的局部自主性,扩大了网络管理规模。 (4)可在多种网络协议上运行,如OSI、Appletalk和IPX等,适用多协议网络环境(但它的缺省网络协议仍是UDP)。 (5)监测网络,增加RMON(Remote Network Monitoring)MIB 。 缺点:协议过于复杂,实现比较困难,资源消耗比较多,并没有得到大规模的推广。

85 SNMP V2-结构

86 SNMP v3 SNMP v3改进了SNMP V2的安全特性,通过简明的方式实现了鉴别、保密和存取控制功能。

87 基于WEB的网络管理     一、WBM技术的出现背景     (1)随着Intranet的流行和发展,其本身的结构也变得越来越复杂,这大大增加了网络管理的工作量,也给网络管理员真正管理好Intranet带来了很大的困难。传统的网络管理方式已经不适应当前网络发展的趋势。     (2)Intranet用户可以在任何一个网络节点或是网络平台上使用友好的、易操作的Web浏览器与服务器通信。     (3)Web浏览器对计算机的硬件要求很低,因而管理员可以把很多的计算和存储任务转移到Web服务器上去完成,而允许用户依靠简单、廉价的计算平台去访问它们。这种"瘦客户机 /胖服务器"模式降低了硬件要求并且提供给用户更大的灵活性。

88 基于WEB的网络管理(续) 二、WBM管理方式的实现     第一种是代理的解决方案,即将一个基于Web的服务器加载到网络管理站上,网络管理员使用Web的超文本传输协议(HTTP)通过Web浏览器和网络管理站通信,而网络管理站使用SNMP协议和被管理设备通信。     第二种是嵌入的方法,Web服务器事实上已经嵌入到被管理设备内部。每一个设备都有自己的Web地址,这样网络管理员就可以通过用Web浏览器访问设备的地址来管理这些设备。

89 基于WEB的网络管理(续) 三、WBM中的安全性考虑 管理员可以对Web服务器加以设置以使用户必须用口令来登录。

90 基于WEB的网络管理(续) 四、WBM标准的形成
目前有两个WBM的标准,一个是基于Web的企业管理(Web-Based Enterprise Mang ement,简称WBEM)标准,已于1996年7月公布。WBEM是由微软公司最初提议的。另一个WBM标准是Java管理应用程序接口(Java-Management Application Prg ramming Interface,简称JMAPI),是Sun公司作为它的Java标准扩展API结构而提出的。

91 常用的网络命令和工具 在日常的网络管理工作中,常用的一些网络命令在故障诊断和排除时,有时往往会发挥意想不到的作用。在命令下,可用“?”获得带各参数的功能。 ping ping命令是一个测试程序. netstat 一般用于检验本机各端口的网络链路情况和显示连接 统计。常用选项有:-s, -e, -r, -a, -n等。 ipconfig 用于显示当前的TCP/IP配置的设置,检验手工配置的 正确性。常用选项有:-all, -release, -renew等。 tracert 用于跟踪数据报经过的路由。-ip, -URL等。

92 用Ping命令判断TCP/IP网络故障 Ping是Windows系统上用来验证与远程计算机的连接状况的命令程序,功能很强, 以下为命令 Ping 的常用方法的归纳,简称“由近及远四步Ping法” . 在运行栏输入 “CMD” 打开系统命令状态, 按序操作如下: (1)Ping 是本地循环(回送)地址。每台主机对应于它有一个回送口,数据报只直接送给主机,不上网。此命令可用来测试本地机的网络协议和网络软件是否正常,本地机进程之间是否通信。 (2)Ping 本地机IP地址(可用ipconfig 命令查看到) 如Ping通,表明本地机网卡或Modem工作正常;否则不正常。 (3)Ping 网段计算机IP地址 Ping一台与本地机同网段计算机的IP地址,如Ping通,说明该网段链路工作正常;否则,表明线路有故障;如果网段中包含路由器,则应先Ping路由器在本网段的端口IP地址,如不通,则此段线路有故障;否则,Ping路由器在目标计算机所在网段的端口IP地址,不通则表明路由器有故障。 (4)Ping网址(带DNS服务的网络名) 如 正常情况下,会指向该网络名所指向的IP地址,表明DNS工作正常;反之为DNS服务器故障;同样,可通过Ping计算机名检测WINS(将计算机名解析到IP地址的服务)解析故障。

93 网络故障的诊断与排除 网络故障 网络故障就是网络不能提供服务,局部的或全局 的网络功能不能实现。 用户感知的只是应用层的服务不能实现,但应用
层的服务要依赖下几层的正确配置和连接;不仅仅 是依靠服务器,同样也需要客户端的正确配置。 诊断网络故障的一般过程 1 识别故障现象 通过观察,快速收集信息,确切了解故障现象。 2 列举可能的原因 3 故障定位和排除 使用必要的软硬件工具,从最大可能的原因开始, 通过测试和观察,迅速定位,采用替换设备、修改 设置参数等方法修复故障点。 4 总结分析:制订对策,避免类似故障发生。

94 常见网络故障的诊断与排除 常见用代理服务器上网故障的解除方法。 如何全面消除局域网互访障碍?(2006、下P292) 实例1:
故障现象:计算机无法正常登录学院OA办公系统,状态行右下角网络连接图标被标识黄色感叹号,提示无连接。 故障原因:初步判断是客户机未分配到IP地址。IP地址为何无法自动获取?处理过程如下: 用ipconfig获得“ ”(在范围.0.1~ 内);在判断网线完好后,是DHCP服务?检查相关设置(登录服务器, 进入 “地址租约”删除故障机记录并刷新) ;用ipconfig/release/ renew释放/刷新IP,提示:rpc服务不可用。在“服务”下双击RPC,设为“自动”,点击“启动”,仍无效,提示DHCP Client服务“已停止”;网卡故障?/DHCP服务?重新输入“ipconfig/renew”,故障消除(实为同事为提速下载了“超级兔子”停止了部分服务所致)。 实例2:病毒查杀不干净怎么办?(拔掉网线 按F8进入安全模式杀毒(最好用杀毒光盘或软盘) 无效,重装系统)。

95 6.6 动态主机配置协议 DHCP 为了将软件协议做成通用的和便于移植,协议软件的编写者把协议软件参数化。这就使得在很多台计算机上使用同一个经过编译的二进制代码成为可能。 一台计算机和另一台计算机的区别,都可通过一些不同的参数来体现。 在软件协议运行之前,必须给每一个参数赋值。

96 协议配置 在协议软件中给这些参数赋值的动作叫做协议配置。 一个软件协议在使用之前必须是已正确配置的。 具体的配置信息有哪些则取决于协议栈。

97 协议配置(续) 需要配置的项目 (1) IP 地址 (2) 子网掩码 (3) 默认路由器的 IP 地址 (4) 域名服务器的 IP 地址
这些信息通常存储在一个配置文件中,计算机在引导过程中可以对这个文件进行存取。

98 动态主机配置协议 DHCP (Dynamic Host Configuration Protocol)
动态主机配置协议 DHCP 提供了即插即用连网(plug-and-play networking)的机制。 这种机制允许一台计算机加入新的网络和获取IP地址而不用手工参与。

99 DHCP 使用客户服务器方式。 需要 IP 地址的主机在启动时就向 DHCP 服务器广播发送发现报文(DHCPDISCOVER),这时该主机就成为 DHCP 客户。 本地网络上所有主机都能收到此广播报文,但只有 DHCP 服务器才回答此广播报文。 DHCP 服务器先在其数据库中查找该计算机的配置信息。若找到,则返回找到的信息。若找不到,则从服务器的 IP 地址池(address pool)中取一个地址分配给该计算机。DHCP 服务器的回答报文叫做提供报文(DHCPOFFER)。

100 DHCP 中继代理(relay agent)
并不是每个网络上都有 DHCP 服务器,这样会使 DHCP 服务器的数量太多。现在是每一个网络至少有一个 DHCP 中继代理,它配置了 DHCP 服务器的 IP 地址信息。 当 DHCP 中继代理收到主机发送的发现报文后,就以单播方式向 DHCP 服务器转发此报文,并等待其回答。收到 DHCP 服务器回答的提供报文后,DHCP 中继代理再将此提供报文发回给主机。

101 DHCP 中继代理 以单播方式转发发现报文 注意:DHCP 报文只是 UDP 用户数据报中的数据。 主机 广播 DHCP 服务器
DHCPDISCOVER 广播 DHCP 服务器 DHCPDISCOVER 单播 其他 网络 DHCP 中继代理 注意:DHCP 报文只是 UDP 用户数据报中的数据。

102 租用期(lease period) DHCP 服务器分配给 DHCP 客户的 IP 地址的临时的,因此 DHCP 客户只能在一段有限的时间内使用这个分配到的 IP 地址。DHCP 协议称这段时间为租用期。 租用期的数值应由 DHCP 服务器自己决定。 DHCP 客户也可在自己发送的报文中(例如,发现报文)提出对租用期的要求。

103 :DHCP 服务器被动打开 UDP 端口 67, … DHCP 协议的工作过程         等待客户端发来的报文。 
68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP :DHCP 服务器被动打开 UDP 端口 67, 等待客户端发来的报文。 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

104 :DHCP 客户从 UDP 端口 68 … DHCP 协议的工作过程         发送 DHCP 发现报文。 
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP :DHCP 客户从 UDP 端口 68 发送 DHCP 发现报文。 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

105 :凡收到 DHCP 发现报文的 DHCP 服务器 …
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP :凡收到 DHCP 发现报文的 DHCP 服务器 都发出 DHCP 提供报文,因此 DHCP 客户 可能收到多个 DHCP 提供报文。 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

106 :DHCP 客户从几个 DHCP 服务器中选择 …
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP :DHCP 客户从几个 DHCP 服务器中选择 其中的一个,并向所选择的 DHCP 服务 器发送 DHCP 请求报文。 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

107 :被选择的 DHCP 服务器发送确认报文 … DHCP 协议的工作过程        
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 :被选择的 DHCP 服务器发送确认报文 DHCPACK,进入已绑定状态,并可 开始使用得到的临时 IP 地址了。 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

108 DHCP 协议的工作过程 被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 DHCP 客户现在要根据服务器提供的租用期 T 设置两个计时器 T1 和 T2,它们的超时时间分别是 0.5T 和 0.875T。当超时时间到就要请求更新租用期。 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

109 :租用期过了一半(T1 时间到),DHCP 发送 …
被动打开 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 :租用期过了一半(T1 时间到),DHCP 发送 请求报文 DHCPREQUEST 要求更新租用期。 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

110 :DHCP 服务器若同意,则发回确认报文
被动打开 67 服务器 :DHCP 服务器若同意,则发回确认报文 DHCPACK。DHCP 客户得到了新的租 用期,重新设置计时器。 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

111 :DHCP 服务器若不同意,则发回否认报文
被动打开 :DHCP 服务器若不同意,则发回否认报文 DHCPNACK。这时 DHCP 客户必须立即 停止使用原来的 IP 地址,而必须重新申 请 IP 地址(回到步骤)。 67 服务器 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

112 DHCP 协议的工作过程 被动打开 67 服务器 若DHCP服务器不响应步骤的请求报文DHCPREQUEST,则在租用期过了 87.5% 时,DHCP 客户必须重新发送请求报文 DHCPREQUEST(重复步骤),然后又继续后面的步骤。 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

113 :DHCP 客户可随时提前终止服务器所提供的
被动打开 67 服务器 :DHCP 客户可随时提前终止服务器所提供的 租用期,这时只需向 DHCP 服务器发送释 放报文 DHCPRELEASE 即可。 UDP 客户 68 DHCPDISCOVER 67 服务器 UDP UDP 客户 68 DHCPOFFER 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPREQUEST 67 服务器 UDP UDP 客户 68 DHCPNACK 67 服务器 UDP UDP 客户 68 DHCPACK 67 服务器 UDP UDP 客户 68 DHCPRELEASE 67 服务器 UDP UDP

114 10.1.1网络管理功能 (1)性能管理 (2)故障管理 (3)配置管理 (4)计费管理 (5)安全管理

115 BH_r7 Sml_r5 Sml_r3 Sml_r1 BH_r8 Sml_r6 Sml_r4 Sml_r2 2 M 100M FE
三门峡3 焦作4 南阳4 商丘4 开封3 平顶山3 信阳2 驻马店2 商丘3 焦作3 洛阳3 濮阳3 安阳3 信阳3 新乡4 安阳4 平顶山4 周口4 南阳3 许昌2 周口2 漯河3 新乡3 洛阳4 鹤壁3 BH_r7 Sml_r5 Sml_r3 Sml_r1 SMSC3 SMSC6 2948 2948 2948 2948 2950 2950 2950 2950 SMSC4 BH_r8 Sml_r6 Sml_r4 Sml_r2 SMSC5 SMSC7 商贸路12楼 北环路13楼 安阳3 濮阳3 洛阳4 鹤壁3 焦作3 漯河3 许昌2 洛阳3 新乡3 信阳2 南阳3 平顶山3 周口4 开封3 驻马店2 周口2 商丘3 商丘4 平顶山4 安阳4 南阳4 焦作4 新乡4 三门峡3 信阳3 2 M 100M FE 1000M GE

116 网络管理的需求 1、网络规模快速膨胀 网络节点的大幅度增加、跨地域,网络集中维护 2、网络复杂性的大幅度增加
网络设备种类多、应用种类多、网络协议种类多 3、网络运行的可靠性要求 通过配置冗余的网络硬件、软件、传输介质等 4、网络运行可用性的要求 降低网络出故障的时间,减少网络故障的修复时间。 5、网络稳定性的要求 要求提供一个运行平稳、网络性能有保障的网络 6、降低网络运行维护成本 集中维护模式的采用 7、网络扩容、规划的需要

117 网络管理的由来 1、电话网络管理,20世纪50年代~70年代,长途直拨、程控交换机、网络运行系统,发展了 电信网络管理,形成ITU-T X.710、X.711。 2、1969年 APARNET的诞生,发展了计算机网络管理,形成ISO 9595、9596。

118 网络管理功能-性能管理 衡量和呈现网络特性的各个方面,使网络性能维持在一个可以被接受的水平上。 收集网络管理者感兴趣的那些变量的性能数据;
分析这些数据,以判断是否处于正常(基线)水平并产生相应的报告; 为每个重要的变量确定一个合适的性能阈值,超过该阈值就意味着出现了应该注意的网络故障;

119 网络管理功能-配置管理 监视网络和系统的配置信息,以便跟踪和管理不同的软硬件元素对网络操作的作用。 网络资源的配置及其活动状态的监视;
网络资源之间关系的监视与控制; 新资源的加入,旧资源的删除;定义新的管理对象; 识别管理对象,给每个对象分配名字; 初始化对象,启动、关闭对象; 管理各个对象之间的关系; 改变管理对象的参数。

120 网络管理功能-计费管理 统计网络效益数据,以便确定不同时期和不同时段的费率; 根据用户使用的特定业务和计费方式,确定和计算各个用户的费用。
对用户使用网络资源的情况随时进行记录,并根据预定的计算方法和收费标准来核算用户的通信费用 统计网络效益数据,以便确定不同时期和不同时段的费率; 根据用户使用的特定业务和计费方式,确定和计算各个用户的费用。 帐务管理、分类和稽查功能。

121 网络管理功能-故障管理 检测、记录网络故障并通知给用户,尽可能自动修复网络故障以使网络能有效地运行。
检测被管理对象的差错或接收差错事件报告; 在紧急情况下启用备用资源用于服务; 创建和维护差错日志库并对其进行分析; 对故障进行诊断测试、跟踪、识别和定位; 对有故障资源进行更换、修复或其他恢复措施使其重新投入使用。

122 网络管理功能-安全管理 控制对网络资源的访问,以保证网络不被有意或无意地侵害,并保证敏感信息不被那些未授权的用户访问
标识重要的网络资源(包括系统、文件和其它实体); 确定重要的网络资源和用户集间的映射关系; 监视对重要网络资源的访问; 记录对重要网络资源的非法访问;

123 6.7 简单网络管理协议 SNMP 6.7.1 网络管理的基本概念
网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行性能,服务质量等。网络管理常简称为网管。 网络管理并不是指对网络进行行政上的管理。

124 网络管理基本模型 网络管理体系结构(SNMP模型) 管理站 MIB Network Manager MDB manager 网络 SNMP
agent agent agent MIB MIB MIB 被管理设备 1 被管理设备 2 被管理设备 n Manager-Agent模型(如上图所示)在网络管理中常用,其核心是管理进程与远程系统相互作用,实现对远程资源的控制。 组成四要素:由网络管理系统(网管站-manager)、被管网络设备(计算机系统或网络设备-agent)、管理信息库(MIB)和网络管理通信协议(如SNMP等)组成。 设计原则:尽量减少网络和被管设备的管理开销。

125 网络管理的一般模型 被管设备 被管设备 因特网 被管设备 被管设备 A A A A 网管协议 被管设备 M 网络 管理员 管理站 A M
—— 管理程序(运行 SNMP 客户程序) A —— 代理程序(运行 SNMP 服务器程序)

126 网络管理模型中的主要构件 管理站也常称为网络运行中心 NOC (Network Operations Center),是网络管理系统的核心。
管理程序在运行时就成为管理进程。 管理站(硬件)或管理程序(软件)都可称为管理者(manager)。 Manager 不是指人而是指机器或软件。 网络管理员(administrator) 指的是人。大型网络往往实行多级管理,因而有多个管理者,而一个管理者一般只管理本地网络的设备。

127 被管对象(Managed Object)。
网络的每一个被管设备中可能有多个被管对象。 被管设备有时可称为网络元素或网元。 在被管设备中也会有一些不能被管的对象。

128 代理(agent) 在每一个被管设备中都要运行一个程序以便和管理站中的管理程序进行通信。这些运行着的程序叫做网络管理代理程序,或简称为代理。
代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。

129 网络管理协议 网络管理协议,简称为网管协议。 需要注意的是,并不是网管协议本身来管理网络。网管协议就是管理程序和代理程序之间进行通信的规则。
网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。

130 客户服务器方式 管理程序和代理程序按客户服务器方式工作。
管理程序运行 SNMP 客户程序,向某个代理程序发出请求(或命令),代理程序运行 SNMP 服务器程序,返回响应(或执行某个动作)。 在网管系统中往往是一个(或少数几个)客户程序与很多的服务器程序进行交互。

131 网络管理的基本原理 若要管理某个对象,就必然会给该对象添加一些软件或硬件,但这种“添加”必须对原有对象的影响尽量小些。

132 SNMP 的指导思想 SNMP 最重要的指导思想就是要尽可能简单。 SNMP 的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。
虽然 SNMP 是在 TCP/IP 基础上的网络管理协议,但也可扩展到其他类型的网络设备上。

133 SNMP 的管理站和委托代理 整个系统必须有一个管理站。
管理进程和代理进程利用 SNMP 报文进行通信,而 SNMP 报文又使用 UDP 来传送。 若网络元素使用的不是 SNMP 而是另一种网络管理协议,SNMP 协议就无法控制该网络元素。这时可使用委托代理(proxy agent)。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。

134 SNMP 的网络管理 由三个部分组成 SNMP 本身 管理信息结构 SMI
(Structure of Management Information) 管理信息库 MIB (Management Information Base)。

135 SNMP SNMP 定义了管理站和代理之间所交换的分组格式。所交换的分组包含各代理中的对象(变量)名及其状态(值)。

136 SMI SMI 定义了命名对象和定义对象类型(包括范围和长度)的通用规则,以及把对象和对象的值进行编码的规则。

137 MIB MIB 在被管理的实体中创建了命名对象,并规定了其类型。

138 6.7.2 管理信息结构 SMI SMI 的功能: (1) 被管对象应怎样命名; (2) 用来存储被管对象的数据类型有哪些种;
(3) 在网络上传送的管理数据应如何编码。

139 SMI 规定所有被管对象必须在命名树上 根 itu-t (0) iso (1) iso/itu-t (2) org (3) dod (6)
internet (1) (iso.org.dod.internet) mgmt (2) mib-2 (1) (iso.org.dod.internet.mgmt.mib-2) system(1) interface(2) at(3) ip(4) icmp(5) tcp(6) udp(7) egp(8) ipInReceives(3) (iso.org.dod.internet.mgmt.mib-2.ip.ipinreceives)

140 SMI 使用 ASN.1 SMI 标准指明了所有的 MIB 变量必须使用抽象语法记法 1(ASN.1)来定义。
SMI 既是 ASN.1 的子集,又是 ASN.1 的超集。 ASN.1 的记法很严格,它使得数据的含义不存在任何可能的二义性。 SMI 把数据类型分为两大类:简单类型和结构化类型。

141 基本编码规则 BER (Basic Encoding Rule)
ISO 在制订 ASN.1 语言的同时也为它定义了一种标准的编码方案,即基本编码规则 BER。 BER 指明了每种数据类型中每个数据的值的表示。 发送端用 BER 编码,可将用 ASN.1 所表述的报文转换成唯一的比特序列。接收端用 BER 进行解码,得到该比特序列所表示的 ASN.1 报文。

142 用 TLV 方法进行编码 把各种数据元素表示为以下三个字段组成的八位位组序列:
(1) T 字段,即标识符八位位组(identifier octet),用于标识标记。 (2) L 字段,即长度用八位位组(length octet),用于标识后面 V 字段的长度。 (3) V 字段,即内容八位位组(content octet),用于标识数据元素的值。

143 TLV 中的 T 字段 定义数据的类型 字节 可变 可变 数据元素 标记 T 长度 L 值 V 类 别 格 式 编 号

144 TLV 中的 L 字段 定义 V 字段的长度 1 1 1 1 1 1 指出 V 字段长度 = 2 字节 单字节的 L 字段
1 指出后续字节数 = 2 指出 V 字段长度 = 262 字节 多字节的 L 字段 1 1 1 1 1 后续字节数 = 2

145 TLV 中的 V 字段 定义数据的值 例如,INTEGER 15,其 T 字段是02, INTEGER 类型要用 4 字节编码。最后得出 TLV 编码为 F。 又如 IPAddress ,其 T 字段是 40,V 字段需要 4 字节表示,因此得出 IPAddress 的 TLV 编码是 C 。

146 6.7.3 管理信息库 MIB (Management Information Base)

147 6.7.4 SNMP 的 协议数据单元和报文 SNMP的操作只有两种基本的管理功能,即:
“读”操作,用 get 报文来检测各被管对象的状况; “写”操作,用 set 报文来改变各被管对象的状况。

148 SNMP 的探询操作 轮询操作——SNMP 管理进程定时向被管理设备周期性地发送探询信息。 轮询的好处是:
可使系统相对简单。 能限制通过网络所产生的管理信息的通信量。 但轮询管理协议不够灵活,而且所能管理的设备数目不能太多。探询系统的开销也较大。如轮询频繁而并未得到有用的报告,则通信线路和计算机的 CPU 周期就被浪费了。

149 陷阱(trap) SNMP 不是完全的探询协议,它允许不经过询问就能发送某些信息。这种信息称为陷阱,表示它能够捕捉“事件”。
这种陷阱信息的参数是受限制的。 当被管对象的代理检测到有事件发生时,就检查其门限值。代理只向管理进程报告达到某些门限值的事件(即过滤)。过滤的好处是: 仅在严重事件发生时才发送陷阱; 陷阱信息很简单且所需字节数很少。

150 SNMP 是有效的网络管理协议 使用轮询(至少是周期性地)以维持对网络资源的实时监视,同时也采用陷阱机制报告特殊事件,使得 SNMP 成为一种有效的网络管理协议。

151 SNMP 使用无连接的 UDP SNMP 使用无连接的 UDP,因此在网络上传送 SNMP 报文的开销较小。但 UDP 不保证可靠交付。
在运行代理程序的服务器端用熟知端口 161 来接收 get 或 set 报文和发送响应报文(与熟知端口通信的客户端使用临时端口)。 运行管理程序的客户端则使用熟知端口 162 来接收来自各代理的 trap 报文。

152 SNMPv1 定义的 协议数据单元类型(无编号 4)
PDU PDU名称 用途 编号 GetRequest 用来查询一个或一组变量的值 GetNextRequest 允许在 MIB 树上读取下一个变量, 此操作可反复进行 Reponse 代理向管理者或管理者向管理者发送 响应 SetRequest 对一个或多个变量值进行设置 GetBulkRequest 管理者从代理读取大数据块的值 InformRequest 管理者从另一管理者读取代理的变量 SNMPv2Trap 代理向管理者报告异常事件 8 Report 管理者之间报告某些差错

153 SNMP 的报文格式 IP 数据报 UDP 数据报 SNMP 报文 SNMP 报文的数据部分 … 首部 变量绑定 有关加密信息 的字段
20 字节 8 字节 IP 首部 UDP 首部 安全 参数 版本 首部 SNMP 报文的数据部分 上下文引擎 ID 上下文名 PDU 类型 请求 ID 差错状态 差错索引 名 值 名 值 首部 变量绑定 有关加密信息 的字段 SNMP PDU

154 Get-request 报文 ASN.1 编码 GetRequest-PDU request-ID T A0 1F GetRequest
L 1F GetRequest -PDU request-id error-status error-index variable-bindings T INTEGER L 04 V 05 AE 56 02 T INTEGER L 01 V 00 T INTEGER L 01 V 00 T SEQUENCE OF L 0E VarBind request-ID T SEQUENCE L 0C name value T OBJECT IDENTIFIER L 09 V T NULL L 00

155 SNMP V1的特点 优点: (1)协议简单,容易实现 (2)对资源的占用少 缺点:
(1)没有提供成批存取机制,对大块数据进行存取效率很低; (2)没有提供足够的安全机制,安全性很差; (3)只在TCP/IP协议上运行,不支持别的网络; (4)没有提供manager与manager之间通信的机制,只适合集中式,而不利于进行分布管理式; (5)只适于监测网络设备,不适于监测网络本身,如检测局域网和互联网上的数据流量。

156 SNMP V2 针对SNMP V1的不足,1993年初,推出了SNMP Version2即SNMP v2,在SNMP V2中增加了以下功能:
(1)提供了验证机制、加密机制、时间同步机制等,安全性大大提高; (2)增加了get-bulk-request命令,提供了一次取回大量数据的能力,效率大大提高; (3)增加了manager和manager之间的信息交换机制,从而支持分布式管理结构。由中间(intermediate)manager来分担主manager的任务,增加了远地站点的局部自主性,扩大了网络管理规模。 (4)可在多种网络协议上运行,如OSI、Appletalk和IPX等,适用多协议网络环境(但它的缺省网络协议仍是UDP)。 (5)监测网络,增加RMON(Remote Network Monitoring)MIB 。 缺点:协议过于复杂,实现比较困难,资源消耗比较多,并没有得到大规模的推广。

157 SNMP V2-结构

158 SNMP v3 SNMP v3改进了SNMP V2的安全特性,通过简明的方式实现了鉴别、保密和存取控制功能。

159 基于WEB的网络管理     一、WBM技术的出现背景     (1)随着Intranet的流行和发展,其本身的结构也变得越来越复杂,这大大增加了网络管理的工作量,也给网络管理员真正管理好Intranet带来了很大的困难。传统的网络管理方式已经不适应当前网络发展的趋势。     (2)Intranet用户可以在任何一个网络节点或是网络平台上使用友好的、易操作的Web浏览器与服务器通信。     (3)Web浏览器对计算机的硬件要求很低,因而管理员可以把很多的计算和存储任务转移到Web服务器上去完成,而允许用户依靠简单、廉价的计算平台去访问它们。这种"瘦客户机 /胖服务器"模式降低了硬件要求并且提供给用户更大的灵活性。

160 基于WEB的网络管理(续) 二、WBM管理方式的实现     第一种是代理的解决方案,即将一个基于Web的服务器加载到网络管理站上,网络管理员使用Web的超文本传输协议(HTTP)通过Web浏览器和网络管理站通信,而网络管理站使用SNMP协议和被管理设备通信。     第二种是嵌入的方法,Web服务器事实上已经嵌入到被管理设备内部。每一个设备都有自己的Web地址,这样网络管理员就可以通过用Web浏览器访问设备的地址来管理这些设备。

161 基于WEB的网络管理(续) 三、WBM中的安全性考虑 管理员可以对Web服务器加以设置以使用户必须用口令来登录。

162 基于WEB的网络管理(续) 四、WBM标准的形成
目前有两个WBM的标准,一个是基于Web的企业管理(Web-Based Enterprise Mang ement,简称WBEM)标准,已于1996年7月公布。WBEM是由微软公司最初提议的。另一个WBM标准是Java管理应用程序接口(Java-Management Application Prg ramming Interface,简称JMAPI),是Sun公司作为它的Java标准扩展API结构而提出的。

163 常用的网络命令和工具 在日常的网络管理工作中,常用的一些网络命令在故障诊断和排除时,有时往往会发挥意想不到的作用。在命令下,可用“?”获得带各参数的功能。 ping ping命令是一个测试程序. netstat 一般用于检验本机各端口的网络链路情况和显示连接 统计。常用选项有:-s, -e, -r, -a, -n等。 ipconfig 用于显示当前的TCP/IP配置的设置,检验手工配置的 正确性。常用选项有:-all, -release, -renew等。 tracert 用于跟踪数据报经过的路由。-ip, -URL等。

164 用Ping命令判断TCP/IP网络故障 Ping是Windows系统上用来验证与远程计算机的连接状况的命令程序,功能很强, 以下为命令 Ping 的常用方法的归纳,简称“由近及远四步Ping法” . 在运行栏输入 “CMD” 打开系统命令状态, 按序操作如下: (1)Ping 是本地循环(回送)地址。每台主机对应于它有一个回送口,数据报只直接送给主机,不上网。此命令可用来测试本地机的网络协议和网络软件是否正常,本地机进程之间是否通信。 (2)Ping 本地机IP地址(可用ipconfig 命令查看到) 如Ping通,表明本地机网卡或Modem工作正常;否则不正常。 (3)Ping 网段计算机IP地址 Ping一台与本地机同网段计算机的IP地址,如Ping通,说明该网段链路工作正常;否则,表明线路有故障;如果网段中包含路由器,则应先Ping路由器在本网段的端口IP地址,如不通,则此段线路有故障;否则,Ping路由器在目标计算机所在网段的端口IP地址,不通则表明路由器有故障。 (4)Ping网址(带DNS服务的网络名) 如 正常情况下,会指向该网络名所指向的IP地址,表明DNS工作正常;反之为DNS服务器故障;同样,可通过Ping计算机名检测WINS(将计算机名解析到IP地址的服务)解析故障。

165 网络故障的诊断与排除 网络故障 网络故障就是网络不能提供服务,局部的或全局 的网络功能不能实现。 用户感知的只是应用层的服务不能实现,但应用
层的服务要依赖下几层的正确配置和连接;不仅仅 是依靠服务器,同样也需要客户端的正确配置。 诊断网络故障的一般过程 1 识别故障现象 通过观察,快速收集信息,确切了解故障现象。 2 列举可能的原因 3 故障定位和排除 使用必要的软硬件工具,从最大可能的原因开始, 通过测试和观察,迅速定位,采用替换设备、修改 设置参数等方法修复故障点。 4 总结分析:制订对策,避免类似故障发生。

166 常见网络故障的诊断与排除 常见用代理服务器上网故障的解除方法。 如何全面消除局域网互访障碍?(2006、下P292) 实例1:
故障现象:计算机无法正常登录学院OA办公系统,状态行右下角网络连接图标被标识黄色感叹号,提示无连接。 故障原因:初步判断是客户机未分配到IP地址。IP地址为何无法自动获取?处理过程如下: 用ipconfig获得“ ”(在范围.0.1~ 内);在判断网线完好后,是DHCP服务?检查相关设置(登录服务器, 进入 “地址租约”删除故障机记录并刷新) ;用ipconfig/release/ renew释放/刷新IP,提示:rpc服务不可用。在“服务”下双击RPC,设为“自动”,点击“启动”,仍无效,提示DHCP Client服务“已停止”;网卡故障?/DHCP服务?重新输入“ipconfig/renew”,故障消除(实为同事为提速下载了“超级兔子”停止了部分服务所致)。 实例2:病毒查杀不干净怎么办?(拔掉网线 按F8进入安全模式杀毒(最好用杀毒光盘或软盘) 无效,重装系统)。

167 7.1 网络管理与网站建设 7.2 SNMP管理模型 7.3 域名注册标准 7.4 系统服务管理 7.5 网络管理技术与工具
第七章 网络管理 7.1 网络管理与网站建设 7.2 SNMP管理模型 7.3 域名注册标准 7.4 系统服务管理 7.5 网络管理技术与工具

168 早期的处理方法:当网络运行不正常时,管理员通过使用工具软件Ping对可能有问题的网络设备发ICMP报文,根据返回的报文时戳,一般可以确定问题的性质和方位。
适合于网络设备少,网络规模小的情况。

169 7.1.1 网络管理功能 故障管理 配置管理 计费管理 性能管理 安全管理
7.1 网络管理与网站建设 7.1.1 网络管理功能 故障管理 配置管理 计费管理 性能管理 安全管理

170 包括故障检测、故障定位和故障改正。 1 发现问题 2 分离问题 3 修复问题
故障管理 包括故障检测、故障定位和故障改正。 1 发现问题 2 分离问题 3 修复问题

171 网络管理中的重要功能。 对于网络的管理是建立在配置权的基础上。 例如更改所有HUB的升级版本等。
配置管理 网络管理中的重要功能。 对于网络的管理是建立在配置权的基础上。 例如更改所有HUB的升级版本等。

172 计费管理 一般认为应由专用的软件实现。

173 包括网络性能和系统性能。 包括整体的吞吐量、利用率、错误率 或相应时间等。
性能管理 包括网络性能和系统性能。 包括整体的吞吐量、利用率、错误率 或相应时间等。

174 网络管理的热门话题。 包括管理用户登录 在特定的路由器或网桥上进行各种操作 检测、警报和提示功能等
安全管理 网络管理的热门话题。 包括管理用户登录 在特定的路由器或网桥上进行各种操作 检测、警报和提示功能等

175 网络资源管理 域名注册 网络地址分配 代理服务器

176 SNMP成为网络管理领域中事实上的工业标准。在企业网络中得到广泛的支持和应用。
7.1.2 网络管理标准 SNMP成为网络管理领域中事实上的工业标准。在企业网络中得到广泛的支持和应用。

177 1 大量企业网支持和应用 2 网管平台基于SNMP体系结构 3 支持不同设备的互连 4 实现简单、较易标准化

178 网络管理的特点是 1 采用分布式/分层式网络体系结构, 2 网络互联设备和网络应用程序第二集成, 3 多种网络管理协议的集成。 在管理好通信网络的基础上,管理好数据库、操作系统、应用程序等。 解决由于使用不同厂家产品出现的问题。

179 系统管理的现状 传统的系统管理工具和网络管理工具之间缺乏紧密的集成。如果使用多家公司的网络产品,管理员承受的压力很大。
高度复杂的信息技术需要强大的系统工具来管理。

180 1、CA公司的Unicenter TNG 2、IBM公司的TME10 3、HP公司的Open-view
三种主要的系统管理软件 1、CA公司的Unicenter TNG 2、IBM公司的TME10 3、HP公司的Open-view

181 三种产品的特点 将系统管理和网络管理通过统一的管理平台集成为一体,使得管理范围包括服务器、客户端硬件和操作系统平台的管理、网络管理、数据库管理、Internet/Intranet管理以及其他应用程序的管理,为系统管理员提供功能强大的、高效的、集成的管理工具。

182 系统管理技术的研究热点 管理体系结构的转换 多种操作系统和管理协议的统一 管理应用程序标准的定义 管理目标的实施 管理方式的突破
Internet/Intranet技术的融合 自动智能网络系统管理

183 目前,计算机网络管理系统的研究处于网络管理和系统管理的更替阶段。

184 传统网络管理系统的局限 1、基于集中式/平台式管理体系结构的局限 2、简单管理机制的局限 3、开放管理者与封闭代理者之间的矛盾
4、不能跨越平台特性的局限 5、管理范围及智能自动化的限制

185 1、基于集中式/平台式管理体系结构的局限 代理监控系统并收集数据,管理器通过管理协议访问代理。
不可扩展性:当网络规模、复杂性和信息流量增加时,管理平台本身可能就成为瓶颈。 微管理性:不适宜处理大量的任务,也不适宜管理高速网络。 语义的异质性:管理协议仅统一语法,不统一语义。

186 2、简单管理机制的局限 允许管理者之间进行通信。SNMP v1管理者之间不能通信。 SNMP v2允许管理者之间通过服务原语inform进行通信。但是不能形成真正的分布式管理。 代理的数量和类型不断扩展。 代理中管理信息库的迅猛扩展。

187 SNMP v1在灵活性、简单性、扩展性 等方面具有相当的优势, 在协议中有5个请求/相应原语: Get-request Set-request Get-next-request Get-response trap

188 网络管理应用系统是典型的开放系统,但是网络代理则由于厂家的各自为政成为封闭的系统。
3、开放管理者与封闭代理者之间的矛盾 网络管理应用系统是典型的开放系统,但是网络代理则由于厂家的各自为政成为封闭的系统。

189 现有的网络管理系统不能独立于操作系统。这种相关性,导致操作系统的变化可能造成网管系统软件运行的失败。
4、不能跨越平台特性的局限 现有的网络管理系统不能独立于操作系统。这种相关性,导致操作系统的变化可能造成网管系统软件运行的失败。

190 现在对各种类型的计算机、外设、软件等的管理需求已经越来越迫切。
5、管理范围及智能自动化的限制 现在对各种类型的计算机、外设、软件等的管理需求已经越来越迫切。

191 7.1.3 建立电子商务网站 电子商务的本质是商务。

192 方法 自己申请独立域名合围空间,建立完全属于自己的网站。 借助现有的商务网站提供的无偿的或付费的服务,建立一个依托他人的网站。
只制作简单的介绍性网页,挂在免费的空间上。

193 建站费用 硬件投入 通信费用 软件和日常维护费用

194 常见方案 节省方案:租用ISP提供的虚拟主机,企业端只用1-2台计算机拨号上网。
豪华方案:建立自己的网络中心。

195 实施过程 域名申请 电子商务平台 站点制作

196 类似商标或品牌。 先检索计划的域名是否被占用 预注册 注册确认
域名申请 类似商标或品牌。 先检索计划的域名是否被占用 预注册 注册确认

197 电子商务平台 硬件平台:虚拟主机或服务器托管。 出口带宽:接入Internet或上级ISP的速度。
接入带宽:决定网站的接入状态、速度、稳定性。 服务器的寄放位置:国内、外镜像服务器。

198 操作系统:UNIX或Windows NT 服务器空间: E_mail数量: 安全性:由于电子商务涉及货币和商品交易,安全性尤其重要。 数据库开发能力:选择合适的数据库。

199 制作工具:FrontPage、Personnal、Web Server、Dreamweaver、Cuteftp、JavaScript等工具。
站点制作 制作工具:FrontPage、Personnal、Web Server、Dreamweaver、Cuteftp、JavaScript等工具。

200 网站定位:目标明确、突出特色。 整体设计:企业的整体形象。 简洁方便:3次点击原则。 联系方式: 交互功能:互动才能吸引客户。 测试调整:充分测试,再行使用。

201 NOC(网络运行中心)对网络的管理有三种方式: 本地终端方式 远程telnet命令方式 基于SNMP的代理/服务器方式

202 通过被管理设备的RS-232接口与管理用计算机相连接,进行相应的监控、配置、计费以及性能和安全等管理。 例如对路由器的管理。
本地终端方式 通过被管理设备的RS-232接口与管理用计算机相连接,进行相应的监控、配置、计费以及性能和安全等管理。 例如对路由器的管理。

203 通过网络对已知地址和管理口令的设备进行远程登录,并进行各种命令操作和管理。 针对单台设备。
远程telnet命令方式 通过网络对已知地址和管理口令的设备进行远程登录,并进行各种命令操作和管理。 针对单台设备。

204 基于SNMP的代理/服务器方式 由网络管理站、被管网络设备、被管网络信息库MIB以及SNMP协议组成。 被管网络设备:可以是多个。
网络管理站:至少一台。 MIB:每个被管理设备中代理所维持的状态信息的集合。 SNMP协议:用于网络管理站与被管设备的网管代理之间交互管理信息。

205 存在于如下设备中: 主机 网络交换设备:路由器、ATM交换机、高速以太网交换机。 外部设备 调制解调器 前三类设备装有TCP/IP协议。
网管代理 存在于如下设备中: 主机 网络交换设备:路由器、ATM交换机、高速以太网交换机。 外部设备 调制解调器 前三类设备装有TCP/IP协议。

206 网络管理站通过SNMP协议与被管设备进行交互。按照SNMP协议向被管设备发出请求,被管设备执行完指定的操作之后,向管理站返回相应的回答。

207 SNMP异常 当被管设备上的网管代理检测到紧急事件发生时,立即向网络管理站的报告。 网络管理站对于从被管设备发来的SNMP异常不会给予确认。
可使用异常直接查询方式。

208 老式以太网中交换机的计算能力弱,内存小,无法安装TCP/IP协议与网管代理,将其安装在proxy(代理服务器上)。
第四类设备的作用 老式以太网中交换机的计算能力弱,内存小,无法安装TCP/IP协议与网管代理,将其安装在proxy(代理服务器上)。

209 管理站的功能强大,可以将被管理设备关机,因此,对于查询命令的合法性检查,即安全检查就显得很重要。

210 安全检查包括: 非法修改命令的内容 假借管理站的身份发出查询命令 非法察看查询命令或响应的内容 中途截留查询命令,过一段时间再重发。

211 网络管理站 具有下列功能的主机 运行简单网管协议SNMP:提供网络管理的控制与通信机制。
运行网管支持工具和网管应用软件:提供相应的管理策略、方法和用户界面。

212 简单网管协议SNMP 对对象进行读写和操作,监控被关设备。 连续读写操作:了解各被管设备的变量状况。
异常操作:把突发事件通知网管工作站,网络软件可对异常进行处理。

213 抽象句法符号。 用于表示对象的数据结构。 网管信息要用ASN.1描述和传输。

214 SNMP与ASN.1的转换 接收到来 的SNMP 请求 分析ASN.1 语法转换成 内部格式 把MIB变量 映射到本地 相应变量 向管理器
发送响应 把响应从内部 格式转换成 ASN.1语法 完成指定的 存取操作

215 SNMP的4种操作 Get:请求搜索、获取指定的对象。 Get-next:请求获取指定对象的下一个对象。 Set:操作指定的对象。
Trap:发出异常处理请求指令。

216 SNMP管理模式的特点是能够快速的从MIB中找到所需要的管理对象实例。
被管设备发生特殊问题时,采用异常事件报告网管工作站。

217 5种通信原语 Get-request:用来访问网管代理,并从MIB表上得到指定的对象实例值。
Get-response:用于从网管工作站送来的要求预以响应,包含相应的标识,响应状态信息。

218 Get-next-request:访问网管代理,从MIB树上检索指定对象的下一个对象实例。
Set-request:描述在一个对象实例上的执行操作。 Trap:向管理工作站发送异常事件。

219 IETF(因特网工程任务组)着手研究互联网域名国际化的工作,即将中文、日文、俄文、阿拉伯语等字符加入字符集中。
7.3 域名注册标准 IETF(因特网工程任务组)着手研究互联网域名国际化的工作,即将中文、日文、俄文、阿拉伯语等字符加入字符集中。

220 域名注册的国际标准 体现在: 技术 服务 价格

221 中国因特网域名注册

222 DNS服务 定制URL转发 定制e_mail转发 无限e_mail别名 欢迎首页
域名服务 DNS服务 定制URL转发 定制e_mail转发 无限e_mail别名 欢迎首页

223 服务类型 普通服务 星级服务

224 7.4 系统服务管理 7.4.1 设计IP地址方案 7.4.2 目录服务管理

225 网络规划中,需要绘制两张重要的图: 被管理企业的组织结构联系图 网络布线拓扑结构图
7.4.1 设计IP地址方案 网络规划中,需要绘制两张重要的图: 被管理企业的组织结构联系图 网络布线拓扑结构图

226 网络图包括各种信息: 路由器 网桥 网关的位置 IP地址 必要的标注

227 设计IP地址前应该考虑的问题: 是否将网络接入因特网 是否将网络划分成若干网段以方便网络管理 采用静态IP地址分配还是动态IP地址分配。

228 不计划接入Internet 采用RFC 1918的规定。 IANA在IP地址分配方案中流出3类网络号:

229 向ISP申请网络地址 是否采用子网 确定子网掩码 确定IP地址分配方案
接入Internet 向ISP申请网络地址 是否采用子网 确定子网掩码 确定IP地址分配方案

230 工作组:在网上邻居/属性/标识中定义,是在同一个局域网内进行分组。
掩码和工作组 工作组:在网上邻居/属性/标识中定义,是在同一个局域网内进行分组。

231 A类地址给大型单位使用 B类地址支持16394个网络,每个网络最多65536台主机 C类地址支持400万个网络,每个网络最多254台主机。

232 当一个网络中主机数大量增加时,可以采用: 共享一个地址; IP地址动态分配; 地址公用 等方法。

233 处理高度集中控制的、有流动用户的、经常变动的或短时使用地址的网络,使用软件地址分配的方法。
IP地址分配的两种方法 处理高度集中控制的、有流动用户的、经常变动的或短时使用地址的网络,使用软件地址分配的方法。

234 带有基于工作站的TCP/IP栈和固定地址的客户提供集中管理与存储。 例如:BOOTP或DHCP。
1、管理与存储 带有基于工作站的TCP/IP栈和固定地址的客户提供集中管理与存储。 例如:BOOTP或DHCP。

235 为在TCP/IP上运行的设备提供配置信息。但是一旦地址被分配,将一直与硬件地址保持联系,直至管理者明确取消。
BOOTP 为在TCP/IP上运行的设备提供配置信息。但是一旦地址被分配,将一直与硬件地址保持联系,直至管理者明确取消。

236 动态主机配置协议。 DHCP是BOOTP的扩充,管理程序可以分配和撤销地址,使动态地址分配成为可能。 使用DHCP为工作站自动分配一组地址。

237 DHCP可以分配地址,还可以回收地址。在重新配置的间隙检查地址是否还在被使用。如果地址不在使用,则将其收回。

238 DHCP采用广播式通信,没有安全保证,路由器工作状态不佳。 DHCP适合专用网络,不适合公用网络。
存在的问题 DHCP采用广播式通信,没有安全保证,路由器工作状态不佳。 DHCP适合专用网络,不适合公用网络。

239 2、基于服务器网关 网关采用集中式管理、自动地址分配、动态地址公用和地址共享。
网关共享单个的TCP/IP协议栈,该协议栈只在中央网关上运行。例如文件服务器上运行。

240 局域网工作站经过网关与TCP/IP设比进行通信,网关将数据包翻译给TCP/IP。
网关可提供大量的地址分配方案,为管理者提供很大的方便。 公用地址或共享单个地址可大大简化LAN上IP地址的管理,减少地址的数量,可以自适应网络及用户的变化。

241 例如:一个移动用户在网络中移动,不需要配置信息,没有固定的地址,

242 网络管理者必须在IP地址方案、公用或共享地址、控制程度、安全性和容错性等方面作出决定。

243 7.4.2 目录服务管理 未来的企业中,IT系统将从集中式环境过渡到分布式环境,由散布在各处的复杂的网络结构、不同的计算机硬件、操作系统、数据库系统、以及各种应用组成。 这需要一个全过程的、多领域、功能强大的综合网络管理系统来解决。

244 综合网络系统管理技术是针对大型分布式计算环境IT系统的,采用策略管理机制实施多领域、跨平台管理的高度集成化、一体化的解决方案。
系统管理定义 综合网络系统管理技术是针对大型分布式计算环境IT系统的,采用策略管理机制实施多领域、跨平台管理的高度集成化、一体化的解决方案。

245 1 管理对象针对大型分布式计算环境的IT系统。 2 管理的范围突破传统网络设备的范围,将服务器和客户端平台的管理和应用管理多种技术结合。
基本特征 1 管理对象针对大型分布式计算环境的IT系统。 2 管理的范围突破传统网络设备的范围,将服务器和客户端平台的管理和应用管理多种技术结合。

246 3 管理的结构突破了传统集中式的管理体系结构,采用跨平台、支持多平台的分布式/分层式管理体系结构,实现异构应用平台、网络环境、数据库系统和应用程序的统一管理。

247 4 管理的策略针对大型分布式计算环境下的IT系统,管理的策略不会采用简单的存取模式,基于策略的管理方法日益得到采用和重视。
5 在综合网络系统管理阶段,管理软件庞大、复杂,各部件间交互和通信频繁,要求紧密的集成。

248 由用户定义的、能够自动执行所有网络功能的一套规则,是一种在网络上使QoS设备自动化的方法。
基于策略 由用户定义的、能够自动执行所有网络功能的一套规则,是一种在网络上使QoS设备自动化的方法。

249 目录服务 DEN:directory enabled networks
通过定义问题域、信息模型、使用方法和详细的目录计划,把网络和目录服务集成在一起。这样管理工具不仅能够使用目录数据来决定策略和定位资源,还能够在目录里发布自己的信息。

250 LDAP 轻型目录访问协议。 能够读取与策略相关的处于任何一般目录中的数据。
一个基于LDAP协议的设备有与任何目录会话的能力,可以是与NDS、活动目录或其他目录。 存在的问题:提供了一个直接访问目录数据的方法,但没有提供通用的计划。 由于分属不同的厂家,使一种平台上的策略不能被其他平台理解。

251 基于策略的管理技术的工作原理 核心是COPS协议(通用公开策略服务) 。
策略执行端PEP向策略决策端PDP发出请求,更新和删除信息,然后PDP将决策结果返回PEP端。 COPS使用Ipsec在PDP与PEP之间进行身份和安全信道检测。

252 系统管理的基本特征 多领域管理:服务器和客户端平台的管理、网络管理、数据库管理、Web和Internet/Intranet管理、应用管理。

253 性能管理 故障管理 资产管理 安全管理 Internet管理 计费管理 数据库管理 软件分发 策略管理 问题管理
系统管理功能模型的10个功能域 性能管理 故障管理 资产管理 安全管理 Internet管理 计费管理 数据库管理 软件分发 策略管理 问题管理

254 1、性能管理 综合的性能管理。 估计系统资源的运行状况及通信效率等系统性能。
包括监视和分析被管网络、数据库、机器硬件、操作系统、应用程序机器提供服务的性能机制。

255 典型的功能包括收集统计信息,维护并检查系统状态日志,确定自然和人工状态下系统的性能,改变系统操作模式以进行系统性能管理的操作。

256 包括故障预防、检测、隔离和纠正三个方面。 故障预防的主要内容是关键数据的存储管理。 检测方面: 纠正方面:
2、故障管理 包括故障预防、检测、隔离和纠正三个方面。 故障预防的主要内容是关键数据的存储管理。 检测方面: 纠正方面:

257 整个系统资产信息的收集、分类、汇总、比较和配置。
3、资产管理 整个系统资产信息的收集、分类、汇总、比较和配置。

258 为了保证正在运行的系统安全而采取的管理措施,能够监视系统的危险情况,一旦出现险情立即隔离,把险情控制在最小范围。
4、安全管理 为了保证正在运行的系统安全而采取的管理措施,能够监视系统的危险情况,一旦出现险情立即隔离,把险情控制在最小范围。

259 安全管理具体包括: 系统数据的私有性,保护系统数据不被侵入者非法获取。 用户帐号管理,建立合法的用户帐号。 用户授权,防止非法侵入者在系统上发送错误信息。 访问控制,控制用户对系统资源的访问。 对授权机制和关键字的加密/解密作业管理。

260 侧重于与网络设备、网络通信、Internet信息服务相关的问题。

261 记录信息资源的使用,控制和检测操作的费用和代价。 用户作业计费 成本分析 资源利用报告 资源监控 容量规划
6、计费管理 记录信息资源的使用,控制和检测操作的费用和代价。 用户作业计费 成本分析 资源利用报告 资源监控 容量规划

262 7、数据库管理 数据库日常管理 性能分析 表空间碎块的清除

263 8、软件分发 提供在整个企业范围内灵活地集中控制软件和文件的分发。通过网络自动地安装新软件、补丁或升级版本,并记录各种软件的版本。能够发送和执行系统管理命令。

264 9、策略管理 职责管理 权限管理

265 10、问题管理 自动学习模块负责自动回答用户的问题。

266 7.5.1 复杂网络环境管理中的应用技术 1 VLAN技术 2 网络同步 7.5.2 网管全面化工具
7.5 网络管理技术与工具 7.5.1 复杂网络环境管理中的应用技术 1 VLAN技术 2 网络同步 7.5.2 网管全面化工具

267 网络的发展方向是以交换为中心的虚拟交换网络。 VLAN能够解决网络发展中的问题: 控制网络上的广播风暴 增加网络的安全性 集中化的管理控制

268 从网络管理的角度讲,VLAN是一组可以互换的、单一播送数据包的局域网交换机上的端口。 一些局域网还允许一个VLAN跨越到多台交换机的端口上。

269 1 交换机端口分组 2 交换机端口分组加ISLs 3 基于加标签的VLANs
建立虚拟网络的方案 1 交换机端口分组 2 交换机端口分组加ISLs 3 基于加标签的VLANs

270 1 交换机端口分组 把同一个交换机的端口分成若干组,每组构成一个VLAN,每组相当于一个独立的交换机。

271 2 交换机端口分组加ISLs 虚拟的第二层桥接网络建立在每个交换机上。通过交换机互联链路,实现跨交换机的VLAN技术。每一个ISL把一个VLAN扩展到另一个交换机上。

272 3 基于加标签的VLANs 允许VLANs逻辑地通过交换机互连链路跨越所有的交换机。它的划分可以基于任何一种常见的条件:端口、MAC地址、协议。

273 实现网络同步的方法 1 当两台路由器经传输网或Modem互连时,路由器互连的两端口均应设置为外同步,由DDN节点或Modem提供时钟信号。
2 当两台路由器直接互连时,上级路由器的互连端口应设置为内时钟,下级路由器的互连端口应设置为外时钟。

274 Sniffer:网络分析仪 监视网络的状况 追踪网络故障 捕捉载波 显示网络流量
网管全面化工具 Sniffer:网络分析仪 监视网络的状况 追踪网络故障 捕捉载波 显示网络流量

275 作业题 1.作业题 2. 3.


Download ppt "计算机网络 指导教师:杨建国 二零一零年三月."

Similar presentations


Ads by Google