第10章 网络管理技术

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,-,*,-,第,10,章 网络管理技术,达州职业技术学院 信息工程系,网络集成技术,教学课件,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,-,*,-,第,1,章 计算机网络集成技术概述,达州职业技术学院 信息工程系,网络集成技术,教学课件,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,-,*,-,第,1,章 计算机网络集成技术概述,达州职业技术学院 信息工程系,网络集成技术,教学课件,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第,10,章 网络管理技术,10.1,网络管理基础,10,.,2,管理信息结构与,MIB,10.3,简单网络管理协议与远程网络监视,10.4,网络管理系统,10.5,网络管理系统,SNMPc,简介,10.1,网络管理基础,10.1.1,网络管理的概念,ISO,的定义,网络管理,是指规划、监督、控制网络资源的使用和网络的各种活动，以使网络的性能达到最优。,网络管理的,目的,在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段，从而合理地组织和利用系统资源，提供安全、可靠、有效和友好的服务。,网络管理就是指监督、组织和控制计算机网络通信服务以及信息处理所必需的各种活动的总称。,其,目标,是确保计算机网络的持续正常运行，使其能够有效、可靠、安全、经济地提供服务，并在计算机网络系统运行出现异常时能及时响应和排除故障。,10.1.2,网络管理的发展历史,网络管理有一个不断发展的过程，它已从早期的人工方式、分散的管理到现在的集中管理和分布式管理。其管理的方法越来越科学、手段越来越合理、管理技术越来越先进。,计算机网络发展初期并没有一个公认的网络管理方案，不同网络设备厂商往往使用针对自己产品的网络管理专用系统。,早期，要求网络管理人员学习掌握各种品牌设备的管理方法，给网络管理工作带来极大不便。另外，由于管理系统之间的不兼容性，使得不同厂家网络设备的管理数据互访就更加困难，很难对不同厂商的网络系统、通信设备和软件等进行统一管理，从而制约了网络异构互连的发展。,10.1.2,网络管理的发展历史,随着,Internet,的出现和发展，上述矛盾更显突出，制定一个通用的网络管理协议标准就成为网络管理技术发展的必然趋势。,为此，研发人员开始对网络管理这门技术进行研究，并提出了多种网络管理方案。其中，比较有代表性的有两种：,（,1,）国际标准化组织（,ISO,）提出的,OSI/CMIP,管理技术；,（,2,）,Internet,工程任务组（,IETF,）提出的,Internet/SNMP,管理技术。,最早的网络管理标准或框架是从,1979,年由国际标准化组织,ISO,开始研究。它针对,OSI,（开放系统互联）七层协议的传输环境进行设计，,20,世纪,80,年代中提出公共管理信息服务（,CMIS,）和公共管理信息协议（,CMIP,）。,10.1.2,网络管理的发展历史,CMIS,支持管理进程和管理代理之间的通信要求，,CMIP,提供管理信息传输服务的应用层协议。基于,CMIP,的网络管理框架经过精心设计，历经多年改进，形成具有功能庞大和详尽的网络管理应用工具。,虽然,CIMP,在电信领域得到越来越广泛的应用。但由于实现代价高昂，过于复杂等种种原因，使得它在计算机网络管理上的应用实现起来却步履缓慢，推广部署也不理想。,起初，,Internet,活动委员会（,IAB,：,Internet Activities Board,）为了管理,Internet,，计划采用基于,OSI,的,CMIP,作为,Internet,的管理协议，并对它作了修改，修改后的协议被称作,CMOT,（,Common Management Over TCP/IP,），但,CMOT,迟迟未能出台。,10.1.2,网络管理的发展历史,与此同时，,IAB,的,Internet,工程任务组（,IETF,：,Internet Engineering Task Force,）决定把已有的简单网关监控协议（,SGMP,）做进一步修改后作为临时解决方案。,由于该临时解决方案提出了远比,IETF,的,CMOT,更完整和更易实现的方案。,1988,年,5,月，著名的简单网络管理协议（,SNMP,：,Simple Network management Protocol,）最终被定义并及时发布成为一个,Internet,的建议标准。,到,1989,年,4,月，它被接收为草案标准。,1990,年,5,月,IAB,最终接收它为,Internet,标准。,首次公布的,SNMP,规范是,RFC 1067,。后因有一些变动而重新发布为,RFC 1098,。最后确定的标准于,1990,年,5,月作为,RFC 1157,。,10.1.2,网络管理的发展历史,SNMP,主要是为基于,TCP/IP,的互联网而设计的， 其最大的特点是简单性，其可伸缩性、扩展性、健壮性也得到广泛的认可。,因此，尽管,SNMP,存在很多不足，但,SNMP,取得了很大的商业成功，绝大多数网络设备厂家的产品都支持,SNMP,，,SNMP,由此成为了一个事实上的计算机网络的网络管理标准。,近几年，,IETF,为,SNMP,的第二（,SNMPv2,）、三版（,SNMPv3,）做了大量的工作，其中,SNMPv2,针对,SNMPv1,的缺陷进行了一定的改进，比如扩充了管理信息结构，新增了管理站之间的通信能力和协议操作，形成了现在的,SNMPv2,草案标准。,1997,年,4,月，,IETF,成立了,SNMPv3,工作组。,SNMPv3,的重点是安全、可管理的体系结构和远程配置。,10.1.2,网络管理的发展历史,另外，基于,SNMP,的网络管理技术的一个新的趋势是使用,RMON,（远程网络监控）。,RMON,的目标是为了扩展,SNMP,的,MIB,（管理信息库），使,SNMP,更为有效、更为积极主动地监控远程设备。,RMON MIB,由一组统计数据、分析数据和诊断数据构成，利用许多供应商生产的标准工具都可以显示出这些数据，因而它具有独立于供应商的远程网络分析功能。,RMON,探测器和,RMON,客户机软件结合在一起在网络环境中实施,RMON,。,10.1.3,网络管理功能,1.,配置管理,配置管理（,Configuration Management,）是最基本的网络管理功能，通过设定、收集、监测和管理网络设备配置数据，使得网络性能达到最优。,具体地讲，配置管理就是在网络建立、扩充、改造以及工作的开展过程中，对网络的拓扑结构、资源配置、使用状态等配置信息进行定义、监测和修改。,2.,性能管理,对网络运行情况进行监控，对历史记录进行分析统计，自动形成报表，并根据历史记录预测网络性能的长期趋势，并根据分析和预测的结果，对网络拓扑结构、某些对象的配置和参数进行调整，逐步达到最佳。,10.1.3,网络管理功能,3.,故障管理,故障管理也是网络管理中最基本的功能之一。故障管理的主要内容包括故障检测、故障诊断、故障排除和故障记录。,一般来说，网络故障管理能够实现以下基本功能：,（,1,）故障检测,（,2,）故障报警,（,3,）故障信息过滤与关联,（,4,）检索,/,分析故障信息,（,5,）提供故障诊断工具,（,6,）故障管理配置,（,7,）临时性的网络服务,10.1.3,网络管理功能,4.,安全管理,安全管理是按照一定的策略控制对网络资源的访问，以保证网络不被侵害，并保证重要的信息不被未授权用户的访问。,安全管理的功能包括：,标识重要的网络资源；,确定重要的网络资源和用户集之间的映射关系；,监视对重要网络资源的访问；,记录对重要网络资源的非法访问；,信息加密管理。,10.1.3,网络管理功能,5.,计费管理,计费管理跟踪个人和团队用户对网络资源的使用情况，对其收取合理的费用。这一方面可以促使用户合理地使用网络资源，维持网络正常的运行和发展，另一方面，管理者也可以根据情况更好地为用户提供所需的资源。,网络计费管理功能,（,1,）计费政策的制定；,（,2,）计费数据采集；,（,3,）数据管理与数据维护；,（,4,）数据分析与费用计算；,（,5,）计费信息管理查询。,10.1.3,网络管理功能,6.,网络管理的目标,最大限度地增加网络的可用时间，提高网络设备的利用率、网络性能、服务质量和安全性，简化多厂商混合网络环境下的管理和控制网络运行成本，并提供网络的长期规划。具体地说来，通过对网络的有效管理，应确保网络是有效的、可靠的、开放的、易用的、安全的和经济的。,（,1,）网络应是有效的，改进响应时间，提高设备利用率，减少或消除网络瓶颈。,（,2,）网络应是可靠的，减少停机时间。,（,3,）现代网络应具备开放性，适应新技术，即网络要能够接受多厂商生产的异种设备。,（,4,）现代网络要易于使用。,（,5,）现代网络要有很高的安全性。,（,6,）减少运行费用，提高网络的经济性。,10.1.4,网络管理体系结构与基本模型,网络管理体系结构定义了网络管理系统的结构及系统成员间相互关系的一套规则。它是建立网络管理系统的基础。不同的管理体系结构会带来不同的管理能力、管理效率和经济效益，从而决定网络管理系统的不同的复杂度、灵活度和兼容性。,国际标准化组织（,ISO,）提出的基于远程监控的管理框架是现代网络管理体系结构的核心。,在基于远程监控的管理框架下，,OSI,提出以一对相互通信的系统管理实体（进程）为核心，管理进程与一个远程系统相互作用，去实现对远程资源的控制的网络管理系统的体系结构。,10.1.4,网络管理体系结构与基本模型,在这种体系结构中，一个系统中的管理实体担当管理者（,Manager,）角色，而另一个系统的对等实体担当代理者（,Agent,）角色，,Agent,负责访问被管资源（被管对象）的数据。,Manager,角色与,Agent,角色不是固定的，而是由每次通信的性质所决定的。担当,Manager,角色的进程向担当,Agent,角色的进程发出操作请求，担当,Agent,角色的进程对被管对象进行操作并将被管对象发出的通报传向,Manager,。,目前，这些观点已被普遍接受，并形成了两种主要的网络管理体系结构，即基于,OSI,模型的公共管理信息协议（,CMIP,）体系结构和基于,TCP/IP,模型的简单网络管理协议（,SNMP,）体系结构。,CMIP,体系结构是一个通用的模型，它能够对应各种开放系统之间的管理通信和操作，开放系统之间既可以是平等关系，也可以是主从关系，因此它既能够进行分布式的管理，也能够进行集中式的管理。,10.1.4,网络管理体系结构与基本模型,CMIP,体系结构和,SNMP,体系结构具有各自的优点。,CMIP,的优点是通用和完备，而,SNMP,的优点是简单和实用。在实际中，,CMIP,在电信网管理标准,TMN,中得到了应用，而,SNMP,在计算机网络管理尤其是,Internet,的管理中得到了应用。随著,Internet,的迅猛发展，,SNMP,的影响也日益强大，其自身也得到了较快的改善。,SNMP,体系结构最初是一个集中式模型。,在一个系统中只有一个顶层管理站，管理站下设多个代理，管理站中运行管理进程，代理中运行代理（,Agent,）进程。二者角色不能互换。,从,SNMMv2,开始，分布式模型开始采用。在这种模型中，顶层管理站可以有多个，被称为管理服务器。在管理服务器和代理之间，加入中间服务器。管理服务器运行管理进程，代理运行,Agent,进程，中间服务器在与管理服务器通信时运行,Agent,进程，在与代理通信时运行,Manager,进程。,管理者,Manager,代理,Agent,管理操作,响应,/,通知,管理操作,通知,MIB,管理系统,网络管理协议,被管理系统,图,10-1,网络管理的基本模型示意图,被管资源,管理系统,管理数据库,10.1.4,网络管理体系结构与基本模型,网络管理模型可分为,4,个要素组成，,管理者（,Manager,）、管理代理（,Agent,）、网络管理协议（,Network Management Protocol,）、管理信息库（,MIB,，,Management Information Base,）。,网络管理者是指实施网络管理的处理实体，网络管理者驻留在管理工作站上，实际上就是运行于管理工作站上的管理程序（进程）。,网管代理是一个软件模块，它驻留在被管设备上。,被管对象的集合被称作管理信息库（,MIB,）。,管理者和网管代理者之间通过网络管理协议通信，如：,CIMP,和,SNMP,。,10.1.5,网络管理协议,在网络管理模型中，网络管理者与代理之间需要交换大量的管理信息。这一过程必须遵守统一的通信规范，我们把这个通信规范称为网络管理协议。,网络管理协议是高层网络应用协议，它建立在具体物理网络及其基础通信协议之上，为网络管理平台服务。,网络管理协议提供了访问任何生产厂商生产的任何网络设备，并获得一系列标准值的一致性方式。,目前使用的标准网络管理协议包括：,简单网络管理协议（,SNMP,）、公共管理信息服务,/,协议（,CMIS/CMIP,）、局域网个人管理协议（,LMMP,）等。,10.1.6,网络管理新技术,目前，新一代网络管理技术已有多个研究和应用发展方向，其中比较有代表性的是基于,CORBA,技术的网络管理技术和基于,Web,的网络管理技术。,基于,Web,的网络管理模式有代理方式和嵌入方式两种。,（,1,）代理方式,（,2,）嵌入方式,10.2,管理信息结构与,MIB,包含有关被管理资源以及元素信息的数据库是网络管理系统的基础。,在基于,TCP/IP,系统管理中，这个数据库被称为管理信息库（,MIB,）。它定义和构建了,MIB,的通用性框架结构，被称为管理信息结构,SMI,（,Structure of Management Information,）。,管理信息结构（,SMI,）指定了能够在,MIB,中使用的数据类型以及怎样表示和命名,MIB,中的资源。,10.2.1,概述,在网络系统管理模型中，对网络资源信息的描述是非常重要的。管理信息库不是简单的数据的堆积，为了满足多个用户共享数据的需要，要将相关数据按照合理的数据模型进行组织和存储，以提供方便、高效、可靠、一致的信息服务。,采用基于远程监控的网络管理框架，必须对多厂商的网络设备以及异构网络的信息进行统一、一致和规范的描述。否则管理者就无法读取、设置和理解远程的管理信息。,为此，,OSI,提出了公共信息模型作为标准管理信息模型。公共信息模型采用面向对象技术，提出了被管对象的概念来对被管资源进行描述。,被管对象是被管资源及其属性的抽象描述，它独立于各个厂商的设备等具体被管资源，具有统一、一致和规范的定义。,10.2.1,概述,OSI,被管对象将行为、属性、操作和通报封装在对象边界上，,Manager,（或,Agent,）只能看到被封装在对象边界上的被管对象的特性，对象边界以内的特性是不可见的。,通过被管对象类说明，封装的行为、属性、操作、通报和该类实例的完整性和一致性得到定义。,OSI,系统管理采用被管对象类的概念。每个对象实例是一个类的成员。,OSI,被管对象类都被赋予了一个全局唯一的标识符，实际上可以看作是对象的名称，这个名称是按照一定的规则命名的。同时，属性、动作和通报这些类成分的说明都被赋予独立的标识符，使它们能够在多个对象类的定义中被重复利用。,新的被管对象类可以通过继承现有被管对象类来定义。在新的被管对象类中，被继承的被管对象类的特性（属性、动作、通报和行为）得以利用，同时也可以扩充新的特性。这种继承机制利用被管资源的共性，使程序代码被重复利用，加强了用户接口的一致性。,10.2.1,概述,在,SNMP,标准中采用了与,OSI,不太相同的管理信息模型。无论是管理站还是管理代理，都维护一个本地的管理信息库（,MIB,）。,MIB,的信息结构和数据类型在,SNMP,的标准之一的管理信息结构（,SMI,）中定义。,为了保证,SNMP,的简单性，,MIB,只存储简单的数据：标量和标量表，其数据类型也只有简单的几种。虽然,SNMP,也采用被管对象的概念，但在,SMI,中，被管对象只是一个原子数据元素，并不具备封装和继承等特征。因此，,SNMP,的被管对象定义及程序代码的可重复利用性很低。,SNMP,的信息模型采用的不是真正意义上的面向对象技术。,10.2.2,管理信息结构,SMI,为了规范管理信息模型，,SNMP,发布了管理信息结构,SMI,。,SMI,定义了,SNMP,框架所用信息的组织、组成和标识，规定了,MIB,中被管对象的数据类型及其表示和命名方法。,SMI,的基本思想是追求,MIB,的简单性和可扩充性。它还为描述,MIB,对象和协议怎样交换信息奠定了基础。,SNMPv1,的,SMI,被定义在,RFC1155,中，而,SNMPv2,的管理信息结构是在,RFC 1442,中规定的。,按照,SMI,定义的,SNMP,管理对象都具有,3,个属性：,名字、语法和编码。,名字即对象标识符，唯一标识一个,MIB,对象；,语法即如何描述对象的信息，它用抽象语法记法,1,（,ASN.1,）来定义对象的数据结构（采用的是抽象语法表示的子集），同时也针对,SNMP,的需要作了一定的补充；,编码描述了一个管理对象的相关信息如何被格式化为适合网络传送的数据段，这是因为管理代理和管理站之间进行通信必须对对象信息统一编码，,SMI,规定了对象信息的编码采用基本编码规则（,Basic Encoding Rule,）。,10.2.2,管理信息结构,SMI,与,OSI,系统管理模型相同，,SNMP,也借助被管对象的概念对管理信息模型进行定义。但是，,SNMP,中的被管对象除了数据类型和访问控制特性之外，几乎再没有其他特性，因此不是真正意义上的对象。这种特点给,SNMP,的实现带来了便利，人们可以简单地将,SNMP,中的被管对象等效为数据变量。它们的组织和传递因而变得很简单，系统中所有的被管对象逻辑上被组织为一棵树，即,MIB,树。对被管对象的访问可以采用简单结构的,PDU,进行。树结构叶节点对象就是实际的被管理对象，每一个对象都代表一些资源、活动或其它要管理的相关信息。层次树结构有如下,3,个作用：表示管理和控制关系；提供了结构化的信息组织技术；提供了对象命名机制。,MIB,树的架构与,OSI,系统管理模型所采用的方法相同，如图,10-2,所示为,OSI,的管理信息库树（,MIB,树）示意图。,SNMP,的被管对象也被组织在这棵由对象标识符组成的管理信息库树下。,ITU(0),ISO(1),Org(3),ISO-ITU(2),Dod(6),Internet(1),Mgmt(2),mib-2(1),Experimental(3),Private(4),Directory(1),IBM(2),Interfaces(2),System(1),Snmp(11),enterprise(1),10.2.3 MIB,树结构简介,MIB,树的根节点并没有名字或编号，但是它有下面,3,个子树：,ITU(0),子树，由,ITU,（即过去的,CCITT,）管理。,ISO(1),子树，由,ISO,管理。,ISO-ITU(2),子树，由,ISO,和,CCITT,共同管理。,在,ISO(1),节点下有一些其它的子树，其中包括,ISO,为其他组织定义的子树,Org(3),。,在,Org(3),子树下，一个值得关注的特殊节点是被美国国防部（,Department Of Defense,）使用的节点：,Dod(6),，所有通过,Dod,的协议，如，,Internet,中基于,TCP/IP,通信的有关对象都位于该子树下。,在,Intenet(1),节点下又包括,4,个子树：,directory(1),子树：作为保留，在将来使用。,mgmt(2),子树：,mgmt(2),子树用于在,IAB,批准的文档中定义的对象，目前该子树中对象在网络管理中的使用最为广泛。如：,mib-2,。,10.2.3 MIB,树结构简介,experimental(3),子树：用于识别在互联网实验中使用的所有管理对象。,Private(4),子树：用于识别单方面定义的对象。或者说为各个企业管理信息准备的。该子树中网络管理系统访问最多的部分是,enterprises(1),节点。该节点下的每个子树分配给一个企业，而企业必须先向,IAB,登记注册它们自已的厂商代码，然后就可以在该代码下创建他们自己的对象。如：,IBM,公司节点。,MIB,树上的每个节点对应一个被管对象，节点的所属关系也就是被管对象的包含关系，是一种管理和控制的关系，层次型的管理对象便于对对象进行管理。,一个高级被管对象会包含多个层次的众多的被管对象。,上层的中间节点往往代表某些组织机构的名字，说明这些机构负责其下面的子树信息的管理和审批。,下层的中间节点代表的子树是与每个网络资源或网络协议相关的信息集合。如：有关接口的管理信息都放置在,interfaces(2),子树中。,10.2.3 MIB,树结构简介,值得注意的是，在,SNMP,模型中，只有处于叶子位置上的对象才有实例值可以被直接访问，我们称这些对象为基本被管对象。,构造树型结构的做法为,MIB,的发展提供了很好的基础。,MIB,树中既包含标准和统一的被管对象，也容纳实验中的和专用的被管对象，使得它既有规范性，又不乏灵活性。,另外，树状结构的组织方式可以很容易地加入新的网络管理对象，具有良好的扩充性。新加入的对象只是对其所连接父节点子树的延伸，对其他节点不会产生影响。,10.2.4,对象标识符,对于被管对象的名字，即对象的标识，,SMI,提供了对象命名机制，它采用的是层次型的对象命名规则，所有对象构成一棵命名树，,MIB,树上的每个节点都有一个字符串名称（如：,internet,）和一个数字编号（如：在,internet,节点上的数字编号为,1,），同一层次的对象编号从左到右逐渐递增。,每个对象的对象标识符就是把连接树根节点至对象所在节点路径上所有节点标识（字符串或编号）进行罗列而成。如：,internet,的数字标识符可写为：,1.3.6.1,，或者写成字符型标识符：,iso(1)org(3)Dod(6)1,。,10.2.5,对象数据类型,由,SMI,定义的,SNMP,管理信息库中对象的数据类型主要有三种：,简单类型（,simple,）,简单结构类型（,simple-constructed,）,应用类型（,application-wide,）,10.2.6,被管对象的描述,为了明确和规范地描述管理信息模型，需要形式化描述语言。对管理信息模型的描述，主要任务是定义被管对象。因此，管理模型所采用的描述语言必须能够有效地描述对象。著名的,ASN.1,（,Abstract Syntax Notation One,，抽象语法描述,1,）就符合这一要求，因而在管理信息定义中被广泛应用。本节主要介绍利用,ASN.1,描述被管对象的基本规则和方法。,10.2.6,被管对象的描述,1.ASN.1,抽象语法技法（,ASN.1,）由,CCITT,（现,ITU-T,）和,ISO,联合开发，在管理模型中，,ASN.1,一方面用于描述和定义存储对象规则，即对象的类型和数据值；另一方面也用于描述和定义传递对象的规则，例如,PDU,格式。,2.SNMP,的数据类型和结构描述,SNMP,被管对象的句法中只包括名称、数据类型、访问权限、状态等项目的定义。,3.,被管对象的定义,为了简化和规范定义方法，,SMI,提供了一个被管对象的,MACRO,（宏）,OBJECT-TYPE MACRO,。,所谓,MACRO,，就是一些类似事物的集合。而,OBJECT-TYPE MACRO,就是被管对象的集合，而一个具体的被管对象类就是这个,MACRO,的实例。即，定义了这个,MACRO,后，只要为它提供适当的参数，就可以定义具体的被管对象，从而使这一工作得到简化和规范。,10.2.7 MIB-,在,RFC1213,中定义的,MIB-,是当前应用的管理信息库标准。它是,MIB-,的扩充，增加了一些对象和组。系统组所包含的对象用来描述被管理网络设备的最高级特性和通用配置信息。接口组定义网络组成和网络参数中的每一个接口。地址转换组是,IP,地址与物理地址的映射表。,IP,、,ICMP,、,TCP,、,UDP,、,EGP,组是与各自系统协议相关的对象的组。,CMOT,为了将来用于,OSI,协议，即“,CMOT over TCP/IP”,，但目前还无定义。传输组设置的目的是为各种传输介质提供详细的管理信息。,SNMP,组是与,SNMP,管理有关的通信协议组。,1.MIB-,的功能组,MIB-II,中包含,11,个功能组和,175,个对象。其中，定义的,11,个组如图,10-3,所示。可以看出它是,mgmt(2),节点下的第一个节点，,MIB-,（,mib-2,）的对象标识符（,OID,）为,1.3.6.1.2.1,。在它下面分为,11,个节点，每个节点对应一个功能组。,Internet,1.3.6.1,directory,(1),mgmt,(2),experimental,(3),private,(4),mib-2,(1),system(1),interfaces(2),ad(3),ip(4),icmp(5),snmp(11),transmission(10),cmot(9),egp(8),udp(7),tcp(6),下表列出,mib-2,功能组名、对象标识符（,OID,）（这里用,mib-2,代表,1.3.6.1.2.1,，即,mib-2,的对象标识符）和每个组的主要描述。,功能组,对象标识符,主要描述,system,mib-2 1,系统的总体信息，如系统说明和管理信息,interfaces,mib-2 2,实例的接口和辅助信息,at,mib-2 3,IP,地址与物理地址的转换,ip,mib-2 4,IP,的信息,icmp,mib-2 5,ICMP,的信息,tcp,mib-2 6,TCP,的信息,udp,mib-2 7,UDP,的信息,egp,mib-2 8,EGP,的信息,cmot,mib-2 9,为,CMOT,协议保留,transmission,mib-2 10,传输介质的管理信息，为传输信息保留,snmp,mib-2 11,SNMP,的信息,10.2.7 MIB-,2.MIB-II,功能组简介,（,1,）系统组（,System Group,）,系统组是,Internet,标准,MIB,中最基本的一个组，包含一些最常用的被管对象。网络管理系统（,NMS,）一旦发现新的系统被加到网络中，首先需要访问该系统的这个组，来获取系统的名称、物理地点、联系人等信息。,（,2,）接口组（,Interfaces Group,）,接口组包含与系统中的接口有关的被管对象。是关于该实体的物理接口方面的配置信息和发生在每个接口的事件的统计信息。,（,3,）地址转换组（,Address Translation Group,）,地址转换（,at,）组由一个表构成，表中的每一行完成系统中的一个物理接口地址向网络地址的映射。,（,4,）,IP,组,Internet,将,IP,协议作为组网协议。,IP,组定义执行网络层协议（如主机和路由器）的节点所有需要的各种参数信息。,10.2.7 MIB-,（,5,）,ICMP,组,ICMP,（,Internet Control Message Protocol,）是,TCP/IP,协议族中的一个组成部分，是,IP,的伴随协议。所有实现,IP,协议的系统都必须实现,ICMP,。,ICMP,组包含节点上关于,ICMP,实现和操作的信息。,（,6,）,TCP,组,TCP,组包含与面向连接的传输控制协议（,TCP,）有关的被管对象。包含与,TCP,的实现和操作有关的信息。,（,7,）,UDP,组,UDP,组包含与无连接传输协议（,UDP,）有关的被管对象。包含有关节点上,UDP,实现和操作的信息。,10.3,简单网络管理协议（,SNMP,）与远程网络监视（,RMON,）,简单网络管理协议（,SNMP,）是,Internet,中基于,TCP/IP,的网络管理协议。,SNMP,的推出，由于其简单性、实施容易和应用成本低廉等特点，而受到业界许多厂家的广泛支持，现已成为事实上的标准。,10.3.1 SNMP,的发展历史,简单网络管理协议（,SNMP,，,Simple Network Management Protocol,）诞生于,1988,，那时由于,CMIP,迟迟不能成熟并应用于网络管理，,Internet,体系结构委员会（,IAB,）在原有简单网关监控协议（,SGMP,）的基础上进一步修改后提出了,SNMP,。,SNMP,的最初版本是,SNMPv1,，,SNMPv1,存在两方面的问题：,一是安全，,SNMP,只定义了安全性极为有限的基于共同体名授权使用的安全模型；,二是管理信息的可靠传输问题，由于,SNMP vl,是在,UDP,上实现的，而,UDP,并不保证所有报文都能够正确传送。,10.3.1 SNMP,的发展历史,增强的,SNMPv2,使该协议更加高效，同时还保持了它容易实现和成本低廉的特点，,SNMPv2,可以与,SNMPv1,透明地共存，它在性能、管理进程与管理进程通信方面对,SNMP,进行了改进，如减少了,SNMP,业务流、允许大块数据的传送、添加了一个用于高速网络环境下的,64,位计数器；对基于,Novell IPX,，,Apple Talk DDP,和,OSI,的,SNMP,作了映射；但在安全性方面仍未能达到令人满意的结果。,1998,年,1,月产生了,SNMPv3,管理控制框架，它由,RFC2271,2275,等几个文档共同说明，形成了,SNMPv3,的建议。,SNMPv3,在保持,SNMPv2,基本管理功能的基础上，增加了安全性和管理性描述。,另外，,SNMP,最重要的进展是远程监控（,RMON,）能力的开发。,RMON,为网络管理者提供了监控整个子网而不是各个单独设备的能力。,RMON,还对基本,SNMP MIB,进行了扩充。,10.3.2,基本体系结构,SNMP,体系结构包括：,SNMP,结构、管理模型、,SNMP,和,SNMP MIB,。,1.SNMP,结构,SNMP,结构是管理系统和管理代理之间的管理报文的规范。安全机制是由定义团体（,community,）来进行管理的，并且只有相同团体成员之间才能进行通信。一个管理站能够属于多个团体且可管理多个域，其通信结构由网络管理站和被管理的网络元素或对象组成。而,SNMP,用于它们之间的信息传送。,SNMP,只用于简单对象的通信并用,ASN.1,和,BER,进行数据传输。,SNMP,共有,5,种管理操作，网络信息主要通过管理站向代理进行轮询（,polling,）而得到。,GetRequest,和,GetNextRequest,是可以通过代理向管理站返回网络设备数据的报文。,SetRequest,是对网络设备参数的设置和编辑。,GetResponse,是来自代理对,get,和,set,的应答。为了使结构简单和通信量少，,trap,是不需请求由代理向管理站发送的报文。,10.3.2,基本体系结构,2.,管理模型,在,RFC1157,中属于管理站和网络元素的实体称为,SNMP,应用实体。支持,SNMP,应用实体的程序称为协议实体。属于管理站的应用实体（如,SNMP,管理者）和属于网络元素的应用实体（如,SNMP,代理）这一对实体被称为,SNMP,团体。,SNMP,团体名为,community,，是一个字符串的形式。,（,1,）团体的概念,SNMP,网络管理是一种分布式应用。其特点是管理站和代理之间的关系可以是一对多的关系或多对一关系。代理控制自己的管理信息库，也控制多个管理站对管理信息库的访问。只有授权的管理站才允许访问管理信息库。,RFC1157,的基本思想是：代理系统可以对不同的团体定义不同的访问控制策略，每个团体被赋予一个唯一的名字；管理站只能以认可的团体名行使访问权；管理站实体可以用不同的名字对不同的代理实施不同的访问权限。,10.3.2,基本体系结构,（,2,）认证服务,认证服务的目的是要保证通信是被授权的。认证服务的功能是保证接收报文来自于这个消息所声称的源。从一个管理站到一个代理的每一个报文（如,get,，,set,等）都包括一个团体名字。这个名字起到密码的作用。可以看出，,SNMP,的安全机制是不安全的。团体名以明文的形式传输，容易被窃取。为此很多,SNMP,的实现只允许,get,和,trap,操作，而,set,的操作被严格限制。为了加强,SNMP,的安全性，在后来的,SNMP,版本中改进了认证服务。,（,3,）访问策略,通过定义团体，代理系统限制只有一些选定的管理站才能访问它的管理信息库。通过使用多个团体，代理可为不同的管理站提供不同的管理信息库访问类别。访问控制有以下两方面。,SNMP MIB,视域（,view,）：管理信息库中对象的一个子集，对不同的团体可以定义不同的视域。,访问模式：集合,read-only,，,read-write,的一个元素。对于一个团体可以定义一种访问模式。,10.3.2,基本体系结构,一个团体的管理信息库视域和访问模式的组合称为,SNMP,团体形象（,profile,）。它包含代理中对象的一个子集和有关这些对象的访问模式。,SNMP,访问模式适用于管理信息库视域中的所有对象。例如，如果访问模式是,read-only,，则具有同一团体形象的管理站对视域中的所有对象只能以只读方式访问。,团体形象是由代理为各个团体定义的。而,SNMP,团体和,SNMP,团体形象的组合称为,SNMP,访问策略。这也是我们讨论的管理模型。,SNMP,代理,SNMP,管理站集合,SNMP MIB,视域,SNMP,访问模式,SNMP,团体,SNMP,团体形象,SNMP,访问策略,10.3.2,基本体系结构,（,4,）委托代理服务,团体形象的概念同样适用于委托代理服务。通常委托代理是为不支持,SNMP,的设备工作的。但是在有些情况下，被代理的设备也可能支持,TCP/IP,和,SNMP,，而这时委托代理的作用是为了减少代理的设备与管理站之间的交互过程。对于被代理的设备，委托代理定义并且维护一种,SNMP,访问策略。委托代理知道哪些管理信息库对象代表被管理的设备，也知道这些设备的访问模式。,SNMP,管理站,SNMP,代理,委托代理,SNMP,团体,非,SNMP,团体,10.3.3 SNMP,操作,管理信息的交换通过,GetRequest,、,GetNextRequest,、,SetRequest,、,GetResponse,、,Trap,共,5,个,SNMP,协议操作进行。,其中前三个消息由管理站发给代理用于请求读取或修改管理信息，后两个消息由代理发给管理站。,GetResponse,用于对各种读取和修改管理信息的请求进行应答；,Trap,用来主动向管理站报告代理系统中发生的事件，如节点机分组队列长度超过阈值，接口链路,up,或,down,等。,Get Next Request,Trap,e,网络访问协议,IP,UDP,SNMP Manager,管理应用,管理站,Get Request,Set Request,Trap,Get Response,网络访问协议,IP,UDP,SNMP Manager,管理对象,代理站,Get Request,Set Request,Get Response,MIB,库,Get Next Request,Get Next Request,SNMP,消息,管理应用对象,通信网络,Trap,SNMP,系统结构,10.3.4 SNMP,的工作机制,在通信网管理过程中，用来使管理信息库与实际设备或设施的状态和参数保持一致的方法主要有两个。,一个是基于中断的事件驱动方法,另一个是轮询驱动方法,10.3.5,基于,SNMP,的通信,1.,对象访问策略,在基于,SNMP,的网络管理中，,SNMP,通过共同体（,Community,，也有地方称为团体）的概念来解决访问策略问题。,共同体是,SNMP,体系中的一中安全机制，它是一个在代理中定义的本地的概念。通过定义共同体，代理系统就可以限制只有一些选定的管理站才能访问它的,MIB,对象。同时，通过使用多个共同体，代理可以为不同的管理站提供不同的,MIB,访问类别。,每个共同体被赋予一个在代理内部唯一的共同体名（也叫团体名），该共同体名要提供给共同体内的所有的管理站，以便它们在,get,和,set,操作中应用。,10.3.5,基于,SNMP,的通信,一个代理可以与多个管理站建立多个共同体，同一个管理站也可以出现在不同的共同体中。,在,SNMP,中实行共同体机制可以达到一下目的：,（,1,）认证服务,（,2,）委托代理服务,（,3,）访问策略,SNMP MIB,视图,SNMP,访问模式（方式）,MIB,视图和访问模式的结合被称为,SNMP,共同体轮廓（,profile,）。,事实上，在一个共同体轮廓之内，存在两个独立的访问限制，其一是,MIB,对象定义中的访问限制和,SNMP,访问模式。这两个访问限制在实际应用中必须相互协调。,MIB,访问方式与,SNMP,访问模式的关系,MIB,对象中定义的访问方式（模式）限制,SNMP,访问模式,Read-Only,Read-Write,Read-Only,可用于,get,和,trap,操作,Read-Write,可用于,get,和,trap,操作,可用于,get,，,set,和,trap,操作,Write-Only,可用于,get,和,trap,操作，但操作值与具体实现有关,可用于,get,，,set,和,trap,操作，但操作值与具体实现有关,Not-Accessible,不能使用,10.3.5,基于,SNMP,的通信,2.,实例标识符,在,MIB,中的每个被管对象都有一个唯一的对象标识符，以区分不同的被管对象，其命名规则都是按照其所在,MIB,树上的层次和位置来决定。,在对,SNMP MIB,的访问中，实际上是对被管对象（叶子节点对象）实例的访问，而当在一个对象有多个实例时，例如表格，对象的标识符就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一标识方法，也就是实例标识符的命名方法。,实例标识符就是把列对象的对象标识符与索引对象的值组合起来而构成的。,10.3.5,基于,SNMP,的通信,3.,报文的发送与接收,（,1,）,SNMP,报文的发送,构成,PDU,；,将构成的,PDU,、源和目的传送地址（,IP,地址及端口号）以及共同体名作为一个,ASN.1,的对象移交给认证服务。认证服务完成所要求的变换，例如进行加密或加入认证码，然后返回一个经过加密或认证的,ASN.1,对象；,将版本字段、共同体名以及上一步的结果组合成为一个报文；,用基本编码规则（,BER,）对这个新的,ASN.1,的对象编码，然后传给传输服务。,3.,报文的发送与接收,（,2,）,SNMP,报文的接收,进行消息的基本句法检查，丢弃非法消息。,检查版本号，丢弃版本号不匹配的消息。,认证检查。如果认证失败，认证服务通知,SNMP,实体，由它产生一个,trap,并丢弃这个报文；如果认证成功，认证服务返回,SNMP,格式的,PDU,。,进行,PDU,的基本句法检查，如果非法，丢弃该,PDU,，否则根据共同体名选择,SNMP,访问策咯，对,PDU,进行相应处理。,（,3,）变量绑定,在,SNMP,中，可以将多个同类操作（,get,、,set,、,trap,）放在一个报文中。如果管理站希望得到一个代理的一组简单对象的值，它可以发送一个报文请求所有的值，并通过获取一个应答得到所有的值。这样可以大大减少网络管理的通信负担。,4.SNMP,报文格式,在,SNMP,管理中，管理站和代理之间交换的管理信息构成了报文。报文由,3,部分组成，即版本号、团体名和协议数据单元（,PDU,）。,SNMP,共有,5,种管理操作，但只有,3,种,PDU,格式。,SNMP,报文,Version,Community,SNMP PDU,GetRequestPDU,，,GetNextRequestPDU,和,SetRequestPDU,PDU,类型,Request-id,0,0,变量绑定表,GetResponsePDU,PDU,类型,请求标识,错误状态,错误索引,变量绑定表,TrapPDU,PDU,类型,制造商,ID,代理地址,一般自陷,特殊自陷,时间戳,变量绑定表,变量绑定表,Name1,Value1,Name2,Value2,Namen,valuen,5.SNMP MIB,组,MIB-II,中的,SNMP,组，其对象标识符为,mib-2 11,。,6.SNMP,的改进,SNMPv2,增加了,Manager-to-Manager,通信，对,SMI,进行了更新和扩充，提出了行的概念，支持表的行建立和删除操作。,还增加了,get-bulk-request,和,inform-request,两个非常有用的,PDU,，对,trap,进行格式改造，使其具有与其他,PDU,相同的格式。,SNMPv2,还对,MIB,进行很大扩充，特别是在,Internet,节点下增加了,snmpv2,模块。,6.SNMP,的改进,SNMPv3,提出了一个面向各个版本的,SNMP,通用的体系结构。,每个实体包含一个引擎和若干应用，并由所包含的引擎的,ID,命名。,引擎由分发器、消息处理子系统、安全子系统和访问控制子系统构成。,实体内部子系统之间采用抽象服务接口来定义相互之间的服务关系。,SNMP,服务的请求者被称为,Principle,，即用户，它由具有安全性的名称标识。,SNMPv3,建议采用基于用户的安全模型（,USM,）来实现安全服务，采用基于视图的访问控制模型（,VACM,）进行访问控制。,SNMPv3,的一大进步是大大提高了管理信息访问的安全性。,10.3.6,远程网络监视,RMON,网络管理技术的一个新趋势是采用远程网络监视（,RMON, Remote Network Monitoring,），它是对,SNMP,功能的扩充，对监测和管理交换或局域网特别适用，是简单网络管理向互联网管理过渡的重要步骤。,1.,远程网络监视的需求,虽然,MIB,将数据的总和记录下来，但它无法对日常通信量进行历史分析。为了查看每天的通信流量和变化率，管理人员必须不断的轮询,SNMP,代理，可能每分钟就轮询一次。,网络管理员可以使用,SNMP,来评价网络运行状况，并预测通信的趋势，决定采取某种措施。,理论上讲，管理站可以通过不断地轮询各个节点的,MIB,来计算网络流量，但在实际上这是不太可行的。,1.,远程网络监视的需求,一方面会导致网络中传递大量的管理信息，使网络不堪负荷；,二方面，将收集数据的负担加在网络管理控制台上（管理进程端）。管理站所在计算机的处理能力总是有限的，当监控十多个网段时，可能,CPU,就无法应付。另外，也会由于承载管理操作命令和操作结果的分组的丢失而使得统计结果不准确。,基于上述原因，人们提出了一种高效、低成本的网络监视方案，即,RMON,。,RMON,就是将一些专用设备配置在各个节点，并将这些设备称为网络监测器（,network monitor,或,probe,），由此便产生了,RMON,的概念。,一般，监测器对网络中各种类型的分组进行观察，从而得到网络的总体信息，监测器还可将一些分组存储下来，以备事后分析。在互联网环境下，为了达到监测网络流量的目的，一般每个子网需要一个监测器。监测器通常是一个独立的设备，专用于捕获和分析流量。,RMON,有许多先进之处：,（,1,）每个,RMON,设备都对本地网段进行监测和分析，既可被动也可主动地向网络管理系统传递信息。例如，当它发现严重的分组丢失和过高的冲突率时，可以主动地报警。由于监测是在本地进行的，所以得出的分析结果是非常可靠的。,（,2,）这种工作方式大大降低了,SNMP,的流量。,（,3,）,RMON,降低了网络管理系统时时能“见”到所有,Agent,的必要性。,Agent,常常会因为网络过载等原因而联系不上，如果没有,RMON,设备，此时,Agent,到底发生了什么情况事后是难以调查的，因此，往往,Agent,越是联系不上，网络管理系统越要与它联系。,（,4,）,RMON,设备对本地子网的监测几乎可以做到连续不断，这会显著提高统计和控制的精度，使得故障能够及时被发现、报告和诊断。,2.,远程网络监视的目标,为了对,RMON,技术提供标准，,IETF,发布了,RFC1757,和,RFC1513,，分别对,Ethernet LAN,和,token ring LAN,的,RMON,进行了规范，形成了第一个版本的,RMON,。,RMON,的设计目标：,（,1,）离线操作,在必要时由网络管理站来限制或停止对监视器的轮询，有限查询可以节约通信开支。如查询通信失败或管理站发生错误，查询会终止。一般情况下，即使监视器没有被网管站查询，也会继续不停的收集使性能和配置信息。监视器不断积累统计信息，以便管理站将来查询时提供管理信息。,（,2,）主动监视,若监视器有足够的资源，通信负载也允许，监视器可以连续不断地运行诊断程序，对网络进行诊断并记录网络性能状况。在子网出现故障时通知管理站，向管理站提供诊断故障的有用信息。,（,3,）问题监测和报告,主动监视探测网络将消耗较多的网络资源去检测错误和异常情况。监视器也可以根据它所观测到的流量被动地识别并记录某些错误及其他情况，例如网络拥塞，并在出现错误时通知管理站。,（,4,）提供增值数据,监视器可以分析采集到的子网中的数据，从而减轻管理站的计算任务的负担。例如，监视器可以分析子网流量来确定哪台主机在子网上产生的流量或错误最多等等。,（,5,）多管理站操作,一个网可以配置多个管理站，以提高可靠性，也可分步实施不同的管理功能。监视器可以配置为同时和多个管理站并发工作，为不同的管理站提供不同的信息。,并不是每个远程监视器都能够实现所有这些目标，但是,RMON,的规范提供了实现所有目标的支持。,3.RMON MIB,（,1,）概述,在一个管理域中，各个节点上配备的,RMON,设备可能来自不同的厂商，因此需要为与,RMON,通信建立公共的句法和语义标准。,RMON,的句法也利用,ASN.1,描述，其管理信息结构与,SMI,定义被管对象类所采用的结构类似。,RMON,规范定义了管理信息库，,RMON M