网络安全管理第11章网络管理原理及实现

第十一章 网络管理原理及实现第十一章网络管理原理及实现本 章 学 习 目 标（1）了解网络管理的定义、目标、发展、标准化进程、主要功能和网络管理的对象 ；（2）了解网络管理的基本模型、管理模式和软件结构； （3）掌握简单网络管理协议、SNMP管理控制框架、SNMP实现和SNMPv2； （4）熟悉网络管理平台、网络管理系统、网络管理系统的选购、开发网络管理系统面临的问题及网络管理系统HP OpenView；（5）掌握Windows 2000下SNMP服务的安装与配置、Windows NT下SNMP服务的安装与配置、Windows 98下SNMP代理的安装与配置、 测试 Windows SNMP服务 ；（6）认清网络管理技术的发展趋势，了解基于Web的网络管理、CORBA用于网络管理、智能化网络管理。 第十一章 网络管理原理及实现第十一章网络管理原理及实现11.1 网 络 管 理 概 述11.2 网 络 管 理 体 系 结 构11.3 简 单 网 络 管 理 协 议11.4 网 络 管 理 系 统11.5 Windows下 SNMP服 务 和 安 装 与 配 置11.6 网 络 管 理 的 发 展 方 向 第十一章 网络管理原理及实现 11.1 网 络 管 理 概 述11.1.1 网 络 管 理 的 定 义 11.1.2 网 络 管 理 的 目 标 11.1.3 网 络 管 理 的 发 展 11.1.4 网 络 管 理 的 标 准 化 进 程 11.1.5 网 络 管 理 的 功 能 11.1.6 网 络 管 理 对 象 返 回 本 章 第十一章 网络管理原理及实现 11.1.1 网 络 管 理 的 定 义 网 络 管 理 是 指 对 网 络 的 运 行 状 态 进 行 监 测和 控 制 ， 使 其 能 够 有 效 、 可 靠 、 安 全 经 济 地 提供 服 务 。 其 优 越 性 主 要 表 现 现 在 ：（ 1） 网 络 设 备 的 复 杂 化 使 网 络 管 理 变 得 更 加 复 杂 。 （ 2） 网 络 的 经 济 效 益 越 来 越 依 赖 网 络 的 有 效 管 理 。 （ 3） 先 进 可 靠 的 网 络 管 理 也 是 网 络 本 身 发 展 的 必 然 结果 。 返 回 本 节 第十一章 网络管理原理及实现 11.1.2 网 络 管 理 的 目 标 网 络 管 理 的 根 本 目 标 就 是 满 足 运 营 者 及 用 户 对 网 络 的 有 效 性 、 可靠 性 、 开 放 性 、 综 合 性 、 安 全 性 和 经 济 性 的 要 求 。 （ 1） 有 效 性 网 络 要 能 准 确 而 及 时 地 传 递 信 息 ， 并 且 网 络 的 服 务 要有 质 量 保 证 。（ 2） 可 靠 性 网 络 必 须 保 证 能 够 稳 定 地 运 转 ， 不 能 时 断 时 续 ， 要 对各 种 故 障 以 及 自 然 灾 害 有 较 强 的 抵 御 能 力 和 有 一 定 的 自 愈 能 力 。（ 3） 开 放 性 网 络 要 能 够 接 受 多 厂 商 生 产 的 异 种 设 备 。（ 4） 综 合 性 网 络 业 务 不 能 单 一 化 。（ 5） 安 全 性 网 络 传 输 信 息 的 要 高 。（ 6） 经 济 性 网 络 管 理 者 而 言 ， 网 络 的 建 设 、 运 营 、 维 护 等 费 用 要求 尽 可 能 少 。 返 回 本 节 第十一章 网络管理原理及实现 11.1.3 网 络 管 理 的 发 展 网 络 的 雏 形 是 伴 随 着 1969年 世 界 上 第 一 台 计 算 机网 络 美 国 国 防 部 高 级 研 究 计 划 署 网 络 阿 帕 网 （ Arpanet）的 产 生 而 产 生 的 。 20世 纪 80年 代 初 期 人 们 提 出 了 多 种网 络 管 理 方 案 ， 包 括 HLEMS、 SGMP、 CMIS/CMIP和NETVIEW， LAN Manager 等 。 到 1987年 底 ， Internet体系 结 构 委 员 会 IAB择 适 合 于 TCP、 IP协 议 的 网 络 管 理 方案 ， 即 采 用 SGMP作 为 短 期 的 Internet的 管 理 解 决 方 案 ，并 在 适 当 的 时 候 转 向 CMIS、 CMIP。 1990年 公 布 的 SNMP得 到 了 长 足 的 发 展 。 返 回 本 节 第十一章 网络管理原理及实现 11.1.4 网 络 管 理 的 标 准 化 进 程 （ 1） ISO网 络 管 理 标 准 （ 2） IETF的 网 络 管 理 标 准 （ 3） 电 信 网 络 管 理 标 准 返 回 本 节 第十一章 网络管理原理及实现 11.1.5 网 络 管 理 的 功 能 （ 1） 故 障 管 理 （ 2） 配 置 管 理 （ 3） 计 费 管 理 （ 4） 性 能 管 理 （ 5） 安 全 管 理 返 回 本 节 第十一章 网络管理原理及实现 1. 故 障 管 理 故 障 管 理 的 主 要 任 务 是 发 现 和 排 除 网 络 故 障 。典 型 功 能 包 括 ：（ 1） 维 护 并 检 查 错 误 日 志（ 2） 接 受 错 误 检 测 报 告 并 做 出 响 应（ 3） 跟 踪 、 辨 认 错 误（ 4） 执 行 诊 断 测 试（ 5） 纠 正 错 误 返 回 本 节 第十一章 网络管理原理及实现 2.配 置 管 理配 置 管 理 包 括 ：（ 1） 设 置 开 放 系 统 中 有 关 路 由 操 作 的 参数（ 2） 被 管 对 象 和 被 管 对 象 组 名 字 的 管 理（ 3） 初 始 化 或 关 闭 被 管 对 象（ 4） 根 据 要 求 收 集 系 统 当 前 状 态 的 有 关信 息（ 5） 获 取 系 统 重 要 变 化 的 信 息（ 6） 更 改 系 统 的 配 置 返 回 本 节 第十一章 网络管理原理及实现 3. 计 费 管 理计 费 管 理 包 括 以 下 几 个 主 要 功 能 ：（ 1） 计 算 网 络 建 设 及 运 营 成 本 ， 主 要 成 本 包 括 网络 设 备 器 材 成 本 、 网 络 服 务 成 本 、 人 工 费 用 等 （ 2）统 计 网 络 及 其 所 包 含 的 资 源 的 利 用 率 。 为 确 定 各种 业 务 在 不 同 时 间 段 的 计 费 标 准 提 供 依 据（ 3） 联 机 收 集 计 费 数 据 。 这 是 向 用 户 收 取 网 络 服务 费 用 的 根 据（ 4） 计 算 用 户 应 支 付 的 网 络 服 务 费 用 （ 5） 账 单 管 理 。 保 存 收 费 账 单 及 必 要 的 原 始 数据 ， 以 备 用 户 查 询 和 置 疑 返 回 本 节 第十一章 网络管理原理及实现 4. 性 能 管 理 性 能 管 理 的 目 的 是 维 护 网 络 服 务 质 量 （ QoS） 和 网 络运 营 效 率 。 典 型 功 能 包 括 ：（ 1） 收 集 统 计 信 息 ；（ 2） 维 护 并 检 查 系 统 状 态 日 志 ；（ 3） 确 定 自 然 和 人 工 状 况 下 系 统 的 性 能（ 4） 改 变 系 统 操 作 模 式 以 进 行 系 统 性 能 管 理 的 操 作 。 返 回 本 节 第十一章 网络管理原理及实现 5. 安 全 管 理 网 络 安 全 管 理 应 包 括 对 授 权 机 制 、 访 问 控 制 、 加 密和 加 密 关 键 字 的 管 理 ， 另 外 还 要 维 护 和 检 查 安 全 日志 。 具 体 包 括 以 下 3项 内 容 ：（ 1） 创 建 、 删 除 、 控 制 安 全 服 务 和 机（ 2） 与 安 全 相 关 信 息 的 分 布（ 3） 与 安 全 相 关 事 件 的 报 告 返 回 本 节 第十一章 网络管理原理及实现 11.1.6 网 络 管 理 对 象 网 络 管 理 包 括 对 网 络 硬 件 资 源和 软 件 资 源 的 管 理 。 返 回 本 节 第十一章 网络管理原理及实现 11.2 网 络 管 理 体 系 结 构 11.2.1 网 络 管 理 的 基 本 模 型 11.2.2 网 络 管 理 模 式 11.2.3 网 络 管 理 软 件 结 构 返 回 本 章 第十一章 网络管理原理及实现 11.2.1 网 络 管 理 的 基 本 模 型 1. 网 络 管 理 者 网 管 代 理 模 型 MIB 管 理 者 manager 代 理 agent 管 理 操 作 通 知 管 理 操 作 响 应 /通 告 管 理 系 统 网 络 管 理 协 议 被 管 系 统 管 理 信 息 库 第十一章 网络管理原理及实现 11.2.1 网 络 管 理 的 基 本 模 型 2 网 络 管 理 者网 络 管 理 者 是 指 实 施 网 络 管 理 的 处 理 实 体 ，网 络 管 理 者 驻 留 在 管 理 工 作 站 上 ， 管 理 工 作站 通 常 是 指 那 些 工 作 站 、 微 机 等 ， 一 般 位 于网 络 系 统 的 主 干 或 接 近 于 主 干 的 位 置 ， 它 负责 发 出 管 理 操 作 的 指 令 ， 并 接 收 来 自 网 管 代理 的 信 息 。 第十一章 网络管理原理及实现 11.2.1 网 络 管 理 的 基 本 模 型 3.网 管 代 理 网 管 代 理 是 一 个 软 件 模 块 ， 它 驻 留 在 被 管 设 备上 它 的 功 能 是 把 来 自 网 络 管 理 者 的 命 令 或 信 息的 请 求 转 换 成 本 设 备 特 有 的 指 令 ， 完 成 网 络 管理 者 的 批 示 或 把 所 在 设 备 的 信 息 返 回 到 网 络 管理 者 。 网 管 代 理 实 际 所 起 的 作 用 就 是 充 当 网 络管 理 者 与 网 管 代 理 所 驻 留 的 设 备 之 间 的 信 息 中介 。 第十一章 网络管理原理及实现 11.2.1 网 络 管 理 的 基 本 模 型4.管 理 站 和 网 管 代 理 者 之 间 通 过 网 络 管 理 协 议通 信 ， 网 络 管 理 者 进 程 通 过 网 络 管 理 协 议 来 完成 网 络 管 理 。 目 前 最 有 影 响 的 网 络 管 理 协 议 是SNMP和 CMIS/CMIP。 其 中 SNMP流 传 最 广 ，获 得 支 持 也 最 广 泛 ， 已 经 成 为 事 实 上 的 工 业 标准 。 第十一章 网络管理原理及实现 11.2.1 网 络 管 理 的 基 本 模 型5.管 理 信 息 库 （ MIB） 是 一 个 信 息 存 储 库 ， 它是 网 络 管 理 系 统 中 的 一 个 非 常 重 要 的 部 分 。MIB定 义 了 一 种 对 象 数 据 库 ， 由 系 统 内 的 许 多被 管 对 象 及 其 属 性 组 成 。 在 MIB中 的 数 据 可 大体 分 为 3类 ： 感 测 数 据 、 结 构 数 据 和 控 制 数 据 。 返 回 本 节 第十一章 网络管理原理及实现 11.2.2 网 络 管 理 模 式 1. 集 中 式 网 络 管 理 模 式2. 分 布 式 网 络 管 理 集 中 3. 集 中 式 与 分 布 式 管 理 模 式 的 结 合 返 回 本 节 第十一章 网络管理原理及实现 1. 集中式网络管理模式集 中 式 网 络 管 理 模 式 是 所 有 的 网 管 代 理 在 管 理 站 的 监视 和 控 制 下 ， 协 同 工 作 实 现 集 成 的 网 络 管 理 。 根 据 配图 理 解 。 服 务 器 (代 理 ) NME 工 作 站 (代 理 ) NME 管 理 站 NMA NME 网 络 设 备 (代 理 ) NME 委 托 代 理 NME 被 管 设 备 被 管 设 备. 标 准 网 管 协 议 专 用 网 管 协 议 请 求 指 令 管 理 信 息 、 改 变 设 备 配 置 NMA 网 络 管 理 应 用 NME 网 络 管 理 实 体返 回 本 节 第十一章 网络管理原理及实现 2. 分 布 式 网 络 管 理 集 中 将 信 息 管 理 和 智 能 判 断 分 布 到 网 络 各 处 ， 将 数 据采 集 、 监 视 以 及 管 理 分 散 开 来 ， 它 可 以 从 网 络 上 的所 有 数 据 源 采 集 数 据 而 不 必 考 虑 网 络 的 拓 扑 结 构 。分 布 式 网 络 管 理 模 式 主 要 有 以 下 一 些 特 点 ： （ 1） 自 适 应 基 于 策 略 的 管 理 （ 2） 分 布 式 的 设 备 查 找 与 监 视（ 3） 智 能 过 滤 （ 4） 分 布 式 阈 值 监 视 （ 5） 轮 询 引 擎（ 6） 分 布 式 管 理 任 务 引 擎 返 回 本 节 第十一章 网络管理原理及实现 3. 集 中 式 与 分 布 式 管 理 模 式 的 结 合 （ 1） 以 分 布 管 理 模 式 为 基 础 ， 指 定 某 个 或 某 些 节 点 为 网 络 管 理 节点 。（ 2） 部 分 集 中 ， 部 分 分 布 。 处 理 能 力 较 强 的 中 、 小 型 计 算 机 节 点 ，仍 按 分 布 式 管 理 模 式 配 置 ， 它 们 相 互 之 间 协 同 配 合 保 证 网 络 的 基本 运 行 。 同 时 在 网 络 中 又 设 置 专 门 的 网 络 管 理 节 点 ， 重 点 管 理 那些 专 用 网 络 设 备 ， 同 时 也 对 全 网 的 运 行 进 行 可 能 的 监 控 。（ 3） 联 邦 制 管 理 模 式 。（ 4） 分 级 网 中 的 分 级 管 理 。 返 回 本 节 第十一章 网络管理原理及实现 11.2.3网 络 管 理 软 件 结 构 网 络 管 理 软 件 包 括 3部 分 ：1.用户接口软件2. 管理专用软件 3. 管理支持软件 返 回 本 节 第十一章 网络管理原理及实现 11.3 简 单 网 络 管 理 协 议 11.3.1 网 络 管 理 协 议 网 络 管 理 系 统 中 最 重 要 的 部 分 就 是 网络 协 议 ， 它 定 义 了 网 络 管 理 者 与 网 管 代 理间 的 通 信 方 法 。 1.SNMP协 议 2.CMIP协 议 返 回 本 章 第十一章 网络管理原理及实现 1. SNMP协 议 SNMP是 由 一 系 列 协 议 组 和 规 范 组 成 的 ， 它 们 提 供 了 一 种 从网 络 上 的 设 备 中 收 集 网 络 管 理 信 息 的 方 法 。 它 的 前 身 是 简 单 网 关管 理 协 议 (SGMP)， 用 来 对 通 信 线 路 进 行 管 理 。 随 后 ， 人 们 对SGMP进 行 了 很 大 的 修 改 ， 特 别 是 加 入 了 符 合 Internet定 义 的 SMI和 MIB体 系 结 构 ， 改 进 后 的 协 议 就 是 著 名 的 SNMP。 SNMP使 用 嵌入 到 网 络 设 施 中 的 代 理 软 件 来 收 集 网 络 的 通 信 信 息 和 有 关 网 络 设备 的 统 计 数 据 。 代 理 软 件 不 断 地 收 集 统 计 数 据 ， 并 把 这 些 数 据 记录 到 一 个 管 理 信 息 库 （ MIB） 中 ， 网 络 管 理 员 （ 简 称 网 管 员 ） 通 过向 代 理 的 MIB发 出 查 询 信 号 可 以 得 到 这 些 信 息 ， 这 个 过 程 就 叫 轮 询（ polling） 。 SNMP是 Internet组 织 来 管 理 TCP/IP互 联 网 和 以太 网 的 ， 由 于 实 现 、 理 解 和 排 错 很 简 单 ， 所 以 受 到 很 多 产 品 的 广泛 支 持 ， 但 是 安 全 性 较 差 。 第十一章 网络管理原理及实现 2. CMIP协 议 ISO制 定 的 公 共 管 理 信 息 协 议 （ CMIP） ， 主 要 是 针 对 OSI七层 协 议 模 型 的 传 输 环 境 而 设 计 的 。 CMIP是 一 个 更 为 有 效 的 网 络 管 理协 议 。 一 方 面 ， CMIP采 用 了 报 告 机 制 ， 具 有 及 时 性 的 特 点 ； 另 一 方面 ， CMIP把 更 多 的 工 作 交 给 管 理 者 去 做 ， 减 轻 了 终 端 用 户 的 工 作 负担 。 CMIP的 所 有 功 能 都 要 映 射 到 应 用 层 的 相 关 协 议 上 才 能 实 现 。管 理 联 系 的 建 立 、 释 放 和 撤 销 是 通 过 联 系 控 制 协 议 ACP（ Association Control Protocol） 实 现 的 ， 操 作 和 事 件 报 告 是 通过 远 程 操 作 协 议 ROP（ Remote Operation Protocol） 实 现 的 。 CMIP所 支 持 的 服 务 是 七 种 CMIS服 务 。 与 其 他 通 信 协 议 一 样 ， CMIP定 义 了一 套 规 则 ， 在 CMIP实 体 之 间 按 照 这 种 规 则 交 换 各 种 协 议 数 据 单 元PDU（ Protocol中 Data Unit） 。 第十一章 网络管理原理及实现 11.3.2 SNMP管 理 控 制 框 架 SNMP定 义 了 管 理 进 程 (manager)和 管 理 代 理 (agent)之 间 的 关 系 ，这 个 关 系 称 为 共 同 体 (community)。 SNMP的 应 用 实 体 对 Internet管 理 信 息 库 中 的 管 理 对 象 进 行 操 作 。 一 个 SNMP应 用 实 体 可 操 作的 管 理 对 象 子 集 称 为 SNMP MIB授 权 范 围 。 SNMP的 报 文 总 是 源 自 每 个 应 用 实 体 ， 报 文 中 包 括 该 应 用 实 体所 在 的 共 同 体 的 名 字 。 共 同 体 名 字 是 在 管 理 进 程 和 管 理 代 理 之间 交 换 管 理 信 息 报 文 时 使 用 的 。 管 理 信 息 报 文 中 包 括 以 下 两 部分 内 容 ： （ 1） 共 同 体 名 ， 加 上 发 送 方 的 一 些 标 识 信 息 (附 加 信 息 )， 用 以验 证 发 送 方 确 实 是 共 同 体 中 的 成 员 ， 共 同 体 实 际 上 就 是 用 来 实现 管 理 应 用 实 体 之 间 身 份 鉴 别 的 ； （ 2） 数 据 ， 这 是 两 个 管 理 应 用 实 体 之 间 真 正 需 要 交 换 的 信 息 。 第十一章 网络管理原理及实现 11.3.2 SNMP管 理 控 制 框 架 在 第 三 版 本 前 的 SNMP中 只 是 实 现 了 简 单 的 身 份 鉴 别 ， 接 收方 仅 凭 共 同 体 名 来 判 定 收 发 双 方 是 否 在 同 一 个 共 同 体 中 ， 而 前 面提 到 的 附 加 信 息 尚 未 应 用 。 接 收 方 在 验 明 发 送 报 文 的 管 理 代 理 或管 理 进 程 的 身 份 后 要 对 其 访 问 权 限 进 行 检 查 。 访 问 权 限 检 查 涉 及到 以 下 因 素 ： （ 1） 一 个 共 同 体 内 各 成 员 可 以 对 哪 些 对 象 进 行 读 写 等 管 理 操 作 ，这 些 可 读 写 对 象 称 为 该 共 同 体 的 “ 授 权 对 象 ” (在 授 权 范 围 内 )； （ 2） 共 同 体 成 员 对 授 权 范 围 内 每 个 对 象 定 义 了 访 问 模 式 ： 只 读 或可 读 写 ； （ 3） 规 定 授 权 范 围 内 每 个 管 理 对 象 (类 )可 进 行 的 操 作 (包 括 get，get-next， set和 trap)； （ 4） 管 理 信 息 库 (MIB)对 每 个 对 象 的 访 问 方 式 进 行 限 制 (如 MIB中可 以 规 定 哪 些 对 象 只 能 读 而 不 能 写 等 )。 第十一章 网络管理原理及实现 11.3.3 SNMP实 现 SNMP在 其 MIB中 采 用 了 树 状 命 名 方 法 对 每 个管 理 对 象 实 例 命 名 。 每 个 对 象 实 例 的 名 字 都 由 对 象类 名 字 加 上 一 个 后 缀 构 成 且 不 会 相 互 重 复 。 SNMP 在 共 同 体 的 “ 管 辖 范 围 ” 内 使 用 get-next操 作 符 ， 顺序 地 从 一 个 对 象 找 到 下 一 个 对 象 。 在 SNMP的 管 理 概 念 中 ， 信 息 是 以 表 格 形 式 (一种 数 据 结 构 )存 放 的 ， 一 个 表 格 对 应 一 个 对 象 类 ， 每个 元 素 对 应 于 该 类 的 一 个 对 象 实 例 。 那 么 ， 管 理 信息 表 对 象 中 单 个 元 素 (对 象 实 例 )的 操 作 可 以 用 前 面 提到 的 get-next方 法 ， 也 可 以 用 后 面 将 介 绍 的 get set等 操 作 。 如 增 加 一 行 、 删 除 一 行 等 。 第十一章 网络管理原理及实现 ccitt(0) iso(1) joint-iso-ccitt(2) org(3) dod(6) internet(1) directory(1) mgmt(2) expermental(3) private(4) enterprises(1)mib-2(1) SNMP树 形 数 据 库 结 构 示 意 图 ： 第十一章 网络管理原理及实现 11.3.4 SNMP v2 1. SNMPv2的 提 出 2. SNMPv2解 决 的 安 全 性 问 题 第十一章 网络管理原理及实现 当 初 SNMP的 提 出 是 为 了 弥 补 网 络 管 理 协 议 发 展 阶 段 协 议 空 缺的 一 种 临 时 性 措 施 。 但 当 SNMP得 到 广 泛 应 用 后 ， 遇 到 了 很 多 难 以 解决 的 困 难 ： 一 方 面 是 OSI定 义 的 管 理 信 息 库 是 复 杂 的 面 向 对 象 模 型 ，在 此 基 础 上 实 现 SNMP几 乎 是 不 可 能 的 ， SNMP只 能 使 用 简 单 MIB；另 一 方 面 是 SNMP得 到 了 制 造 厂 商 的 广 泛 支 持 ， 但 又 有 明 显 的 缺 点 ：缺 乏 安 全 措 施 ， 无 数 据 源 认 证 ， 不 能 防 止 偷 听 ； SNMP的 团 体 名 在 对付 日 益 猖 獗 的 网 络 入 侵 和 窃 听 方 面 无 能 为 力 。 于 是 为 弥 补 SNMP的 安全 缺 陷 ， 1992年 出 现 了 一 个 新 的 标 准 S-SNMP（ Security SNMP） ， 这个 协 议 增 强 了 几 个 安 全 方 面 的 功 能 ： 用 报 文 摘 要 算 法 对 数 据 完 整 性和 数 据 源 进 行 认 证 ； 用 时 间 戳 对 报 文 排 序 ； 用 DES（ Data Encryption Standard） 算 法 提 供 数 据 加 密 功 能 。 但 对 SNMP在 功 能和 效 率 方 面 的 其 他 缺 点 仍 然 无 能 为 力 。 从 SNMPv1迅 速 过 渡 到 SNMPv2已 经 成 为 迫 切 的 要 求 。 SNMPv2的 提 出 第十一章 网络管理原理及实现 SNMPv2相 对 SNMPv1着 重 在 管 理 信 息 结 构 、 管 理 者 之间 的 通 信 能 力 和 协 议 操 作 3个 方 面 进 行 了 改 进 。（ 1） 数 据 的 保 密 性 ， 可 以 防 止 网 络 入 侵 者 获 取 网 络 信息 ；（ 2） 验 证 ， 可 以 防 止 网 络 入 侵 者 通 过 网 络 发 送 虚 假 数据 ；（ 3） 访 问 控 制 ， 限 制 不 同 用 户 可 以 使 用 的 变 量 类 型 ，从 而 避 免 由 于 单 个 用 户 的 错 误 操 作 所 引 发 的 网 络 崩 溃 。 SNMPv2解 决 的 安 全 性 问 题 第十一章 网络管理原理及实现 11.4 网 络 管 理 系 统网 络 管 理 的 最 终 目 标 是 通 过 什 么 实 现 的 呢 ？是 通 过 网 络 管 理 系 统 ， 也 就 是 要 通 过 一 个 实施 网 络 管 理 功 能 的 应 用 系 统 来 实 现 。 返 回 本 章 第十一章 网络管理原理及实现 网 络 管 理 平 台 通 常 由 协 议 通 信 软 件 包 、 MIB编 译 器 、网 络 管 理 应 用 编 程 接 口 和 图 形 化 的 用 户 界 面 组 成 。 它是管理站 的 功 能 基 础 ， 在 网 络 管 理 平 台 的 基 础 上 可 以进 一 步 实 现 各 种 管 理 功 能 和 开 发 各 种 管 理 应 用 。网 络 管 理 系 统 (NMS， Network Management System)是用 来 管 理 网 络 ， 保 障 网 络 正 常 运 行 的 软 件 和 硬 件 的 有机 组 合 ， 是 在 网 络 管 理 平 台 的 基 础 上 实 现 的 各 种 网 络管 理 功 能 的 集 合 ， 包 括 故 障 管 理 、 性 能 管 理 、 配 置 管理 、 安 全 管 理 和 计 费 管 理 等 功 能 。 11.4.1 网 络 管 理 平 台 与 网 络 管 理系 统 第十一章 网络管理原理及实现 11.4.2网 络 管 理 系 统 的 选 购 原 则 （ 1） 以 业 务 为 中 心 。 （ 2） 为 应 用 软 件 和 服 务 提 供 可 靠 的 环 境 。（ 3） 可 用 性 、 可 扩 展 性 、 易 用 性 的 紧 密 结 合 。（ 4） 具 有 最 优 秀 的 性 能 价 格 比 。 （ 5） 标 准 的 广 泛 支 持 和 协 议 的 独 立 性 。 （ 6） 集 成 性 和 灵 活 性 相 结 合 。 第十一章 网络管理原理及实现 11.4.3开 发 网 络 管 理 系 统 面 临 的 主要 问 题 （ 1） 网 络 管 理 的 跨 平 台 性 。（ 2） 网 络 管 理 的 分 布 式 特 性 。（ 3） 网 络 管 理 的 安 全 特 性 。 （ 4） 新 兴 网 络 模 式 的 管 理 。 （ 5） 异 种 网 络 设 备 的 管 理 。 （ 6） 基 于 Web的 网 络 管 理 。 最 后 进 行 网 络 管 理 系 统 的 开 发 、 规 划 和 建 设 时 ， 还 要 保 证 单位 的 行 政 管 理 体 制 能 够 有 效 配 合 网 络 管 理 系 统 的 实 施 和 运 行 。 第十一章 网络管理原理及实现 11.4.4 网络管理系统HP OpenView HP公 司 是 最 早 开 发 网 络 管 理 产 品 的 厂 商 之 一 。 Open View是HP公 司 的 旗 舰 软 件 产 品 ， 已 成 为 网 络 管 理 平 台 的 典 范 。 HP OpenView系 列 产 品 包 括 了 统 一 管 理 平 台 、 全 面 的 服 务 和 资 产 管理 、 网 络 安 全 、 服 务 质 量 保 障 、 故 障 自 动 监 测 和 处 理 、 设 备 搜索 、 网 络 存 储 、 智 能 代 理 、 Internet环 境 的 开 放 式 服 务 等 丰 富的 功 能 特 性 。1. HP OpenView概 述 2. HP Open View NNM 第十一章 网络管理原理及实现 HP OpenView的 功 能 和 特 点 HP OpenView电 子 商 业 解 决 方 案 是 一 种 端 到 端 多 平 台 软 件 套 件 ， 它 包 含 了 新 的 现 有 的HP OpenView软 件 、 服 务 和 支 持 。 它 采 用 了 灵 活 的 管 理 体 系 结 构 ， 能 在 不 同 电 子 商 业生 态 系 统 的 各 种 IT环 境 中 运 行 。 OpenView支 持 SNMP和 CMIP两 大 网 络 管 理 标 准 ， 提 供 OSI定 义 的 5大 网 络 管 理 功 能 。 OpenView为 分 布 式 的 网 络 管 理 结 构 提 供 了 强 大 支 持 ， 特 别 适 合 于 大 型 网 络 的 管 理 。 OpenView在 数 据 的 存 储 和 管 理 上 ， 为 多 种 数 据 库 提 供 了 接 口 ， 包 括 Oracle、 Sybase和 Informix等 主 要 数 据 库 产 品 。 OpenView不 仅 支 持 对 计 算 机 网 络 的 管 理 ， 还 提 供 了 对 电 信 网 络 的 管 理 支 持 ， 包 括 对电 话 交 换 机 、 SDH线 路 和 其 他 电 信 设 备 的 管 理 。 OpenView不 仅 支 持 对 计 算 机 网 络 的 管 理 ， 还 提 供 了 对 电 信 网 络 的 管 理 支 持 ， 包 括 对 电 话 交 换 机 、 SDH线 路 和 其 他 电 信 设 备 的 管 理 。 OpenView采 用 了 模 块 化 的 设 计 方 法 。 在 统 一 数 据 管 理 格 式 和 平 台 的 基 础 上 ， 对 不 同的 管 理 功 能 采 用 不 同 的 管 理 模 块 来 实 现 ， 具 有 良 好 的 可 扩 展 性 。 第十一章 网络管理原理及实现 HP OpenView管 理 框 架 HP OpenView管 理 框 架 包 括 以 下 4个 部 件 1、 用 于 网 络 管 理 的 网 络 节 点 管 理 器 2、 用 于 操 作 和 故 障 管 理 的 IT/Operation 3、 于 配 置 和 变 化 管 理 的 IT/Administration 4 、 于 资 源 和 性 能 管 理 的 H P PerfView/MeasureWare和 HP Net Merix。 返 回 本 节 第十一章 网络管理原理及实现 HP OpenView系 列 是 一 个 大 家 族 ， 成 员 很 多 ， 分 工 各 异 ， 从 信 息技 术 服 务 管 理 的 角 度 来 看 ， 可 以 分 为 网 络 管 理 、 开 发 管 理 、 服 务和 应 用 管 理 、 存 储 管 理 、 电 信 网 管 理 及 安 全 管 理 等 几 个 方 面 。第 一 ， 网 络 管 理 网 络 节 点 管 理 器 （ NNM， Network Node Manager） 网 络 监 控 管 理 器 NetMetrix/UX 可 扩 展 的 SNMP代 理 第二，开发管理 信 息 管 理 中 心 IT/Administration 信 息 操 作 中 心 开 发 工 具 箱 IT/Operations Developers Toolkit NNM开 发 者 工 具 集 NNM Developers Toolkit 软 件 分 发 器 Software Distributor 代 理 程 序 测 试 工 具 集 Agent Tester Toolkit HP OpenView家 族 成 员 第十一章 网络管理原理及实现 第 三 ， 服 务 器 和 应 用 管 理 信 息 操 作 中 心 IT/Operations 性 能 管 理 模 块 HP PerfView 多 厂 商 分 布 式 环 境 中 管 理 OpenView OpenSpool 第 四 ， 存 储 管 理 自 动 存 储 管 理 OmniStorage 自 动 备 份 及 恢 复 管 理 OmniBack II 第 五 ， 电 信 网 管 理 被 管 对 象 工 具 集 （ Managed Object Toolkit） 事 件 关 联 服 务 ECS（ Event Correlation Service） 分 布 式 管 理 产 品 （ Distributed Management Products） 返 回 本 节 第十一章 网络管理原理及实现 2. HP Open View NNM NNM 是 一 个 强 大 的 HP Open View的 网 络 管 理 工具 网 络 节 点 管 理 器 （ NNM） 。 可 以 通 过 IP地 址 、IPX地 址 和 MAC地 址 发 现 网 络 设 备 ， 能 够 运 行 SNMP、HTTP协 议 的 网 络 设 备 或 WEB服 务 器 。（ 1） NNM的 功 能 特 性 自 动 更 新 网 络 状 态 记 录 及 时 提 供 重 要 网 管 信 息 提 供 了 易 于 查 看 的 信 息 格 式 支 持 分 布 式 体 系 结 构 管 理 规 模 具 有 可 伸 缩 性 第十一章 网络管理原理及实现 （ 2） 用 HP OpenView NNM实 现 并 行 化 网 络 管 理 注 意 系 统 配 置 要 求 实 现 方 法 第 一 ， 服 务 器 端 （ HP-UX） 须 配 置 成 NFS服 务 器 ， 各 前 端 须 配 置成 NFS客 户 机 。第 二 ， 配 置 过 程 需 要 Unix的 root权 限 及 NT上 的 administrator权 限 ； 第 三 ， 各 前 端 共 享 的 文 件 需 有 读 写 权 限 ； 第 四 ， 运 行 HP-UX工 作 站 作 为 控 制 台 的 用 户 ， 必 须 保 证 与 服 务 器端 有 相 同 的 UserID和 GroupID； 第 五 ， 服 务 器 端 执 行 ovstart程 序 启 动 NNM的 后 台 进 程 ， 各 前 端 工作 站 上 执 行 ovw程 序 显 示 NNM的 图 形 界 面 进 行 网 络 管 理 ， 在 特 殊情 况 下 ， 前 端 也 可 启 动 NNM的 后 台 进 程 。 第十一章 网络管理原理及实现 配 置 步 骤 第 一 ， 服 务 器 端 配 置A. 安 装 NNM， 向 HP公 司 申 请 License并 装 入 。B. 配 置 并 启 动 nfs及 pcnfsd服 务 进 程 （ pcnfsd供 NT客 户 端 使 用 ） 。#vi/etc/pcnfsd.conf建 立 以 下 内 容 ：uidrange 0-60002#vi/etc/rc.config.d/nfsconf确 保 以 下 配 置 ：PCNFS_SERVER=1 NFS_SERVER=1#/sbin/init.d/nfs.server startC. 设 置 共 享 目 录 及 权 限 。#vi/etc/exports建 立 以 下 内 容 ：/var/opt/OV/share -root=cli1:cli2:cli3(这 里 cli1,cli2,cli3为 各 控 制 台 的 主 机 名 ) /etc/opt/ov/share-root=cli1:cli2:cli3#exportfs -ua#exportfs a 第十一章 网络管理原理及实现 第 二 ， 建 立 HP-UX前 端 控 制 台 A. 安 装 与 服 务 器 端 相 同 版 本 的 NNM软 件 包 ， 但 无 需 装 入 license。B. 设 置 并 启 动 NFS客 户 机 。#vi/etc/rc.config.d/nfsconf确 保 以 下 配 置 ：NFS_CLIENT=1#/sbin/init.d/nfs.client startC. 挂 接 服 务 器 端 （ 设 主 机 名 为 ： server） 共 享 的 目 录 。#mount server:/var/opt/ov/share/var/opt/ov/share#mount server:/etc/opt/ov/share/etc/opt/ov/shareD. 初 始 化 控 制 台 。#ovwsetupclientE. 检 查 正 确 性 。#ovw server 此 时 应 显 示 服 务 器 端 主 机 名 。 F. 在 VUE或 CDE环 境 下 ， 以 普 通 用 户 运 行 ovw程 序 ， 启 动 NNM管 理 界 面 。$ovw map mapname 第十一章 网络管理原理及实现 第 三 ， 建 立 Windows NT前 端 控 制 台 A. 管 理 员 administrator注 册 B. 安 装 pcnfs或 Reflection NFS软 件 包 。C. 建 立 资 源 映 射 。 通 过 “ 网 络 邻 居 ” 可 显 示 服 务 器 端 的 共 享 目 录 ：/var/opt/ov/share和 /etc/opt/ov/share， 将 其 分 别 映 射 为 NT下 的 驱 动 器 ， 例 如 ：/etc/opt/ov/share-G:/var/opt/ov/share-H:D. 安 装 HP OpenView NNM 6.1 for Windows NT软 件 包 ， 安 装 过 程 中 选 择 “ Remote Console” ， 并 按 提 示 输 入 以 上 映 射 的 驱 动 器 盘 符 。E. 以 普 通 用 户 注 册 运 行 ovw程 序 ， 并 启 动 NNM管 理 界 面 。 第十一章 网络管理原理及实现 安 全 管 理 第 一 ， 一 旦 设 置 完 毕 ， 控 制 台 上 应 尽 可 能 使 用 与 服 务 器 端 同 名 的 普 通 用户 执 行 NNM程 序 ， 避 免 因 误 操 作 造 成 对 系 统 文 件 的 破 坏 。第 二 ， 服 务 器 端 可 配 置 $OV_CONF/ovw.auth及 $OV_CONF/ovwdb.auth文 件来 授 权 哪 些 客 户 机 及 哪 些 用 户 可 以 使 用 NNM后 台 数 据 库 ， 而 /etc/exports可 授 权 哪 些 客 户 机 可 以 访 问 NNM后 台 共 享 资 源 。 第 三 ， 管 理 员 可 配 置 后 台 NNM运 行 在 HP MC/SeviceGuard Cluster上 ， 以提 高 网 络 管 理 的 高 可 靠 性 及 高 可 用 性 。 第 四 ， 管 理 员 可 利 用 NNM的 视 图 过 滤 机 制 针 对 不 同 的 用 户 实 现 在 每 一 个 控制 台 上 不 同 的 监 控 界 面 。 如 在 系 统 管 理 控 制 台 上 只 显 示 各 种 主 机 设 备 ，在 网 络 管 制 控 制 台 上 只 显 示 各 种 网 络 设 备 （ 如 路 由 器 、 交 换 机 等 ） ， 从而 实 现 安 全 、 精 确 、 高 效 的 网 络 管 理 。 返 回 本 节 第十一章 网络管理原理及实现 11.5 Windows下 SNMP服 务 和 安 装 与配 置 11.5.1 Windows 2000下 SNMP服 务 的 安 装与 配 置 11.5.2 Windows NT下 SNMP服 务 的 安 装 与配 置 11.5.3 Windows 98下 SNMP代 理 的 安 装 与配 置 11.5.4 测 试 Windows SNMP服 务 返 回 本 章 第十一章 网络管理原理及实现 1. 安装首 先 以 管 理 员 的 身 份 登 录 ， 在 “ 控 制 面 板 ” 中 选 择 “ 网 络 和 拨 号 连 接 ” 并 双 击 它 ， 选择 “ 高 级 ” 菜 单 下 的 “ 可 选 网 络 组 件 ” ， 单 击 该 菜 单 后 ， 弹 出 “ 可 选 网 络 组 件 向 导 ”窗 口 。在 “ 可 选 网 络 组 件 向 导 ” 窗 口 中 的 组 件 列 表 中 选 择 “ 管 理 和 监 视 工 具 ” ， 单 击 “ 详 细信 息 ” 按 钮 ， 查 看 管 理 和 错 误 ！ 链 接 无 效 。 工 具 的 详 细 列 表 ， 从 中 选 择 “ 简 单 网 络 管理 协 议 ” 选 项 ， 然 后 单 击 “ 确 定 ” 按 钮 ， 系 统 自 动 从 Windows 2000安 装 光 盘 中 添 加SNMP服 务 ， 完 成 SNMP服 务 的 安 装 。2. SNMP服务配置首 先 在 “ 控 制 面 板 ” 中 选 择 “ 服 务 ” 图 标 双 击 ， 弹 出 “ 服 务 ” 窗 口 ， 在 服 务 窗 口 中 选择 “ SNMP Service”选 项 ， 并 双 击 它 ， 弹 出 “ SNMP服 务 属 性 ” 窗 口 ， SNMP服 务 使用 的 主 要 信 息 都 在 这 个 窗 口 中 进 行 配 置 。（ 1） 代 理 配 置 ： 在 属 性 窗 口 中 选 择 “ 代 理 ” 选 项 ， 其 中 的 联 系 人 、 位 置 和 服 务 分 别 对应 系 统 组 中 的 3个 对 象 ： sysContact、 sysLocation和 sysServices。（ 2） 陷 阱 配 置 ： 在 属 性 窗 口 中 选 择 “ 陷 阱 ” 选 项 ， 需 要 配 置 的 内 容 包 括 团 体 名 和 陷 阱目 标 。 其 中 团 体 名 的 输 入 要 注 意 大 小 写 ， 陷 阱 目 标 可 以 是 IP/IPX地 址 或 DNS主 机 名 。 （ 3） 安 全 配 置 ： 在 属 性 窗 口 中 选 择 “ 安 全 ” 选 项 ， 该 部 分 内 容 是 为 发 送 需 要 认 证 的 陷入 报 文 而 设 置 的 。 如 果 不 选 择 “ 发 送 身 份 认 证 陷 阱 ” 选 取 项 ， 则 任 何 团 体 名 都 是 有 效的 ， 另 外 可 以 在 该 选 项 中 配 置 代 理 接 受 任 何 主 机 或 只 接 受 特 定 主 机 的 SNMP包 。（ 4） 完 成 配 置 ： 上 述 内 容 设 置 完 毕 后 ， 单 击 “ 确 定 ” 按 钮 ， 退 出 SNMP属 性 配 置 窗 口 ，新 的 配 置 就 起 作 用 了 。 1. Windows 2000下 SNMP服 务 的 安 装 与 配 置 返 回 本 节 第十一章 网络管理原理及实现 1. 安装（ 1） 首 先 以 管 理 员 的 身 份 登 录 ， 在 “ 控 制 面 板 ” 中 选 择 “ 网 络 ” ， 并 双 击它 ， 弹 出 网 络 窗 口 。（ 2） 在 网 络 窗 口 中 选 择 “ 服 务 ” 选 项 ， 然 后 单 击 “ 添 加 ” 按 钮 ， 弹 出 “ 选定 网 络 服 务 ” 窗 口 。（ 3） 在 “ 选 定 网 络 服 务 ” 窗 口 中 的 服 务 列 表 中 选 择 “ SNMP服 务 ” ， 然 后 单击 “ 确 定 ” 按 钮 ， 完 成 安 装 。2. 配置SNMP服务SNMP服 务 安 装 完 毕 后 ， 会 发 现 网 络 窗 口 中 的 网 络 服 务 列 表 中 增 加 了 SNMP服 务 一 项 。 选 中 “ SNMP服 务 ” 项 ， 然 后 单 击 “ 属 性 ” 按 钮 ， 进 行 SNMP服务 配 置 ， 配 置 的 方 法 同 windows 2000， 这 里 不 再 赘 述 2 Windows NT下 SNMP服 务 的 安 装 与 配 置返 回 本 节 第十一章 网络管理原理及实现 1. 安装（ 1） 在 控 制 面 板 中 选 择 “ 网 络 ” 图 标 ， 并 双 击 它 ， 弹 出 网 络 窗 口 。（ 2） 在 “ 配 置 ” 选 项 卡 中 单 击 “ 添 加 ” 按 钮 ， 弹 出 网 络 组 件 类 型 窗 口 。（ 3） 在 “ 请 选 择 要 安 装 的 网 络 组 件 ” 选 项 区 域 中 选 择 “ 服 务 ” 选 项 ， 然 后 单 击 “ 添 加 ” 按 钮 ， 弹 出 网 络 服 务 窗口 。（ 4） 在 网 络 服 务 列 表 中 选 择 SNMP代 理 程 序 ， 然 后 单 击 “ 从 磁 盘 安 装 ” 按 钮 ， 在 Windows 98的 安 装 盘 上 找 到 安 装程 序 路 径 toolsreskitnetadminsnmp（ 5） 然 后 单 击 “ 确 定 ” 按 钮 ， 完 成 代 理 的 安 装 。 完 装 完 毕 后 ， 会 发 现 网 络 组 件 列 表 中 增 加 了 一 项 “ SNMP代 理程 序 ” 。 2. 配 置 （ 1） 在 控 制 面 板 中 选 择 “ 添 加 删 除 程 序 ” 图 标 ， 然 后 双 击 它 。（ 2） 在 添 加 删 除 程 序 窗 口 中 选 择 “ Windows安 装 程 序 ” 选 项 卡 。（ 3） 然 后 ， 单 击 “ 从 磁 盘 安 装 ” 按 钮 ， 再 单 击 “ 浏 览 ” 按 钮 ， 在 Windows 98的 安 装 盘 上 找 到 安 装 路 径 ：toolsreskitnetadminpoledit。（ 4） 单 击 “ 确 定 ” 按 钮 ， 弹 出 如 图 10-32所 示 窗 口 ， 选 择 “ 系 统 策 略 编 辑 器 ” 项 ， 然 后 单 击 “ 安 装 ” 按 钮 ， 完 成 策 略 编 辑 器 安 装 。（ 5） 策 略 编 辑 器 安 装 完 毕 后 ， 可 以 利 用 它 进 行 SNMP代 理 配 置 ， 在 “ 附 件 ” 的 “ 系 统 工 具 ” 中 选 择 “ 系 统 策 略 编辑 器 ” 。（ 6） 从 系 统 策 略 编 辑 器 的 “ 文 件 ” 菜 单 上 选 择 “ 打 开 注 册 表 ” 。（ 7） 选 择 “ 本 地 计 算 机 ” ， 双 击 它 。（ 8） 在 “ 本 地 计 算 机 属 性 ” 对 话 框 中 ， 选 择 “ 网 络 ” 下 的 SNMP组 。 在 此 可 以 配 置 组 、 授 权 的 管 理 者 、 “ 公 共 ”组 的 陷 阱 和 Internet MIB四 个 选 项 。（ 9） 选 择 “ 授 权 的 管 理 者 ” 选 项 ， 单 击 “ 显 示 ” 按 钮 ， 进 行 配 置 。 然 后 选 择 “ Internet MIB(RFC1156)” 选 项 ，可 进 行 相 应 配 置 。 3 Windows 98下 SNMP代 理 的 安 装 与 配 置 返 回 本 节 第十一章 网络管理原理及实现 下 面 是 使 用 SNMPUTIL测 试 SNMP服 务 的 例 子 ， 假 设 代 理 的 IP地 址 是 200.10.30.123， 有 效 的 团 体名 是 public， 则 可 以 完 成 以 下 测 试 ：（ 1） 用 GetRequest 查 询 变 量 sysDesc(注 :可 省 去 MIB-2的 标 识 符 前 缀 1.3.6.1.2.1)SNMPUTIL get 200.10.30.123 public 1.1.0（ 2） 用 GetNextRequest查 询 变 量 sysDescSNMPUTIL get 200.10.30.123 public 1.1（ 3） 用 GetNextRequest查 询 一 个 非 MIB-2变 量 （ 注 :