网络管理协议培训教程课件.ppt

第3章 网络管理协议,本章重点介绍SNMP协议，并简单介绍CMIS/CMIP协议、基于Web网络管理模式和电信管理网TMN。网络管理软件正朝着集成化、分布化、智能化、基于Web管理等方向发展。,第3章 网络管理协议,3.1 简单网络管理协议*32 公共管理信息服务和公共管理信息协议（CMIS/CMIP）3.3 基于Web的网络管理技术WBM*3.4 TMN管理 小结,3.1 简单网络管理协议,3.1.1 SNMP的发展概述 3.1.2 SNMP网络管理体系结构 3.1.3 SNMPv3及其安全机制 3.1.4 RMON,3.1.1 SNMP的发展概述,1986年IAB领导IETF分短期和长期任务开发管理的Internet框架结构。IETF分成三个组:第一组重点开发了管理信息库MIB。第二组负责开发了一个称为SNMP的前身即SGMP（Simple Gateway Monitoring Protocol）第三组在TCP/IP上开发了CMOT（Common Management Information Services and Protocol Over TCP/IP）,1988年发布了SNMP1990年，IETF正式公布了Internet网络管理标准SNMPRFC 1155，1157 1991年，公布了RFC1212和RFC1213标准。1990年5月，对SNMP的三个核心部分被IAB提升为正式标准。1993年正式发表的SNMP第二版SNMPv2SNMPv2 1996年1月又发布了SNMPv2的修改RFC1902-1908，1997年4月，IETF成立了SNMPv3工作组,3.1.2 SNMP网络管理体系结构,1.Internet的网络管理模型 用“网络元素”表示任何一种接受管理的网络资源，即具体的通信设备或逻辑实体，又称为网元。Internet的网络管理模型如图3-1所示,管理代理仅仅是网络管理系统中管理动作的执行机构，是网络元素的一部分；外部代理则是在网络元素外附加的，专为那些不符合管理协议标准的网络元素而设，完成管理协议转换和管理信息过滤操作。当一个网络资源不能与网络管理进程（机构）直接交换管理信息时，就要用到外部代理。外部代理相当于一个“管理桥”，一边用管理协议与管理机构通信，另一边则与被管理的设备通信。这种管理模型的优点是为管理进程（机构）创造了透明的管理环境。惟一需要增加的信息是当对网络资源进行管理时要选择相应的外部代理，但一个外部代理能够管理多个网络设备,2.NMP框架的组成 SNMP的网络管理模型包括四个关键元素：管理进程，又称管理站(Management Station)管理代理（agent）管理信息库（MIB）网络管理协议。如图示3-2所示。SMI、MIB和SNMP协议是组成SNMP框架的三个主要组成部分。,SNMP的网络管理模型,包括四个关键元素：（1）管理进程,又称管理站(Management Station)（2）管理代理（agent）（3）管理信息库（MIB）（4）网络管理协议。如图示3-2所示,图3-2,（1）管理站：一般是一个分立的设备，也可以利用共享系统实现。管理站作为网络管理员与网络管理系统的接口。基本构成为：一组具有分析数据、发现故障等功能的管理程序;一个用于网络管理员监控网络的接口;将网络管理员的要求转变为对远程网络元素的实际监控的能力;一个从所有被管网络实体的MIB中抽取信息的数据库。,（2）管理代理（agent）：是一种特殊的软件（或固件），在被管理的网络设备中运行，它包含了关于一个特殊设备和/或该设备所处环境的信息。管理代理负责执行管理进程的管理操作。每个管理代理都拥有自己的本地信息库(MIB)。管理代理直接操作MIB，如果管理进程需要，它可以根据要求改变本地信息库或提取数据传回到管理进程。当一个代理被安装到一个设备上时，上述的设备就被列为“被管理的”。,（3）管理信息库MIB：是一个概念上的数据库。MIB中定义了可以通过网络管理协议进行访问的管理对象的集合，给出了管理对象的具体定义，但SNMP中的对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类，对象的集合被组织为管理信息库（MIB）。每个管理代理管理MIB中属于本地的管理对象，各管理代理控制的管理对象共同构成全网的管理信息库。MIB作为设在代理者处的管理站访问点的集合，管理站通过读取MIB中对象的值来进行网络监控。管理站可以在代理者处产生动作，也可以通过修改变量值改变代理者处的配置。,（5）SNMP协议 协议主要支持Get、Set和Trap三种功能共五种操作三种能力：Get：管理站读取代理者处对象的值。Set：管理站设置代理者处对象的值。Trap：代理者向管理站通报重要事件。五种管理操作：Get-Request;Get-Next-Request;Set-Request;Get-Response;Trap。,3SNMP协议环境。如图3-3所示,4共同体和安全控制,认证服务将对MIB的访问限定在授权的管理站的范围内；访问策略对不同的管理站给予不同的访问权限；代管服务指的是一个被管理站可以作为其他一些被管理站(托管站)的代管，这就要求在这个代管系统中实现为托管站服务的认证服务和访问权限。,5SNMP的安全机制,SNMP中需要保护的首要安全威胁是管理信息报文的篡改和身份伪装；需要防护的次要威胁包括信息泄漏和报文流篡改。,3.1.3 SNMPv3及其安全机制,使用SNMPv1、SNMPv2 进行网络管理时，由于安全功能有限，面临着假冒、信息篡改、报文序列和定时机制的修改、信息暴露等几种安全威胁。所以SNMPv1、SNMPv2的安全性总是不能满足人们的期望，1998年1月，Internet工作组正式发布了SNMPv3协议标准文档：RFC2271RFC2275。,1SNMPv3协议的组成,SNMPv3应用模块主要有：命令生成器（Command Generator）命令应答器（Command Responder）通告产生器（Notification Originator）通告接受器（Notification Receiver）委托代理转发器（Proxy Forwarder）其他的应用。,图3-4,2SNMPv3安全机制,SNMP中需要保护的首要安全威胁是管理信息报文的篡改和身份伪装；需要防护的次要威胁包括信息泄漏和报文流篡改。,SNMPv3需要实现以下安全目标：验证接受到的SNMP报文的完整性，确认在传输过程中没有被篡改。验证源发送者的身份，确认其不是伪装的。根据报文中的生成时间，确认报文从发送到接收之间的延迟在限定的窗口内（报文流没有被篡改）。,SNMPv3的安全机制由三个模块组织：鉴别模块：实现数据完整性鉴别和数据源身份鉴别；时标模块：用于检验报文的传输时延，确认报文时延在规定的时间窗口内；加密模块：实现对报文内容的加密。,3.1.4 RMON（Remote Network Monitoring）,RMON扩充了SNMP的管理信息库MIB-2，MIB-2向网络管理人员提供了有关互连网络关键信息。网络管理技术的一个新的趋势是使用RMON。,1为什么需要RMON,因为SNMP是一种使用嵌入到网络设施中的代理软件来收集网络通信信息和有关网络设备的统计数据。虽然MIB计数器将统计数据的总和记录下来了，但它无法对日常通信量进行历史分析。为了能全面地查看一天的通信流量和变化率，管理人员必须不断地轮询SNMP代理，每分钟就轮询一次。这样，网管员可以使用SNMP来评价网络的运行状况，并揭示出通信的趋势，但SNMP轮询有两个明显的弱点：没有伸缩性及将收集数据的负担加在网络管理控制台上（管理进程端）。管理站所在计算机的处理能力总是有限的，也许能轻松地收集几个网段的信息，当它们监控数十个网段时，CPU就无法应付。因此，就提出了一种高效、低成本的网络监视方案，这就是RMON。,2RMON MIB,以太网定义了9个函数组统计（Statistics），累积的局域网通信和故障统计数据；历史（History），进行趋势分析的区间抽样统计数据；报警（Alarm），确定阈值；主机统计数（Hosts），由介质访问控制地址（MAC）组成的统计数据；主机统计最大值（Host Top N），按MAC地址排序的统计数据；矩阵（Matrix），所追踪的两个设备之间的对话；过滤存储（Filter）；数据包选择机制；包捕获（Packet Capture），数据包收集和上载机制；事件（Event），对报警信号所引起的操作进行控制的机制；令牌环（token Ring），针对令牌环设备的特殊参数，包括环站、环站次序、环站配置、源路由统计数据（只用于令牌环）。,3RMON的目标,离线操作 主动监视 问题检测和报告 提供增值数据 多管理站操作,4RMON II,RMON II并不是取代RMON，而是它的补充技术的补充：提供更高层次的诊断和监测功能 表3-1 RMON与RMON II的网络管理着眼点,*32 公共管理信息服务和公共管理信息协议（CMIS/CMIP）,CMIP：Common Management Information Protocol公共管理信息协议CMIS：Common Management Information Service公共管理信息服务CMIP是基于ISO/OSI七层模型，是一个更为有效的网络管理协议。OSI网络管理框架是ISO在1979年开始制定的，也是国际上最早制定的网络管理标准。管理协议是CMIP，所提供的服务是CMIS,3.2.1 CMIP/CMIS概述,CMIP/CMIS体系结构：信息模型组织模型通信模型功能模型,3.2.2 公共管理信息通信环境,公共管理信息服务元素（CMISE）：通过协议在两个实体（管理者和代理）之间进行管理信息的交换是ISO提出的网络管理的基本功能。CMISE的定义分为两部分：（1）CMIS，描述提供给用户的服务；（2）CMIP，描述完成CMIS服务的协议数据单元（PDU）的格式及其相关联的过程。,为了实现CMIS/CMIP，有三个OSI应用层协议实体（也称为服务元素）：公共管理信息服务元素（CMISE，Common Management Information Service Element）,用于提供CMIS服务。关联控制服务元素（ACSE，Association Control Service Element）,用于建立和拆除两个系统之间应用层的通信联系。远程操作服务元素（ROSE，Remote Operation Service Element）,用于建立和释放应用层的链接。,OSI/CMIP管理体系结构的缺点:OSI系统管理违反了OSI参考模型的基本思想；故障管理的问题，由于OSI系统管理用到了OSI各层的服务传送管理信息，使得OSI系统管理不能管理通信系统自己内部的故障；缺乏管理者特定的功能描述。OSI系统管理标准仅仅定义了每个独立的管理操作，但并没有定义这些操作的序列，以完成管理者要解决的特定问题；OSI系统管理太复杂，CMIP的功能极其灵活强大，使得OSI系统管理方法过于复杂，从而OSI系统管理与实际的应用存在差距，OSI的实际应用产品较少；缺乏相应的开发工具，代理系统成本太高；OSI系统管理虽然管理信息模型是面向对象的，但管理信息传送却不是面向对象的，OSI系统管理不是纯面向对象的。,3.3 基于Web的网络管理技术WBM(Web-Based Management),基于Web的网络管理模式是一种全新的网络管理模式，它以其特有的灵活性、易操作性等特点赢得了许多技术专家和用户的青睐，被誉为是“将改变用户网络管理方式的革命性网络管理解决方案”。WBM将Web功能与网络管理技术融为一体，从而为网络人员提供了比传统网络工具更强的能力。WBM是发布网络操作信息的理想方法。,3.3.1 WBM管理方式的实现,代理方式是在一个内部工作站上运行Web服务器（代理），如图3-8所示。嵌入式:嵌入式是将Web功能嵌入到网络设备中，每个设备有自己的Web地址，管理员可通过浏览器直接访问并管理该设备，如图3-9所示,图3-8,图3-9,目前实现WBM的常见技术：,超文本标记语言HTML。HTML语言用于创建表达信息以及提供到达另外一个页面的超级链接。通用网关接口（CGI）。相对于CGI的其它功能，它更是一项基于Web的存取数据库中信息的技术。Java语言。,3.3.2 WBM中的安全性考虑,WBM中的安全性对于一个企业网络的安全是非常重要的。网络管理员可以对有些重要的、敏感的网络数据采取加密措施，如授权机制、访问机制、加密机制和防火墙机制，以及维护和检查安全日志等机制来加强WBM系统的安全。一个安全的网络需要有防火墙将其与Internet隔离开,以保护企业内部网络的资源,例如防止外部非法访问运行的Web服务器。另外,为了安全,对服务器的访问可以通过口令和地址过滤来控制。,3.4 TMN管理(Telecommunication Management Network),TMN的体系结构如图3-10所示,本章小结,本章主要介绍了SNMP的发展概况、Internet的网络管理模型、SNMP框架组成、网络管理协议环境、SNMP安全机制和RMON。SNMP设计主要是基于TCP/IP，其特点为面向功能、集中控制、协议简单、安全性较差和支持广泛。CMIP是基于ISO/OSI七层模型，其特点为：面向对象、分布控制、安全性高，但是由于CMIP是由ISO指定的国际标准。电信管理网（TMN）的管理信息模型是建立在OSI系统管理基础之上，TMN的主要网管协议是CMIP。SNMP的网络管理模型包括：管理进程，又称管理站、管理代理、管理信息库和网络管理协议四个元素。SNMPv3协议主要对SNMP的安全性进行了增强。远程网络监控RMON是对SNMP MIB-的扩展，在不改变SNMP协议的条件下增强了网络管理的功能，使SNMP更为有效、更为积极主动地监控远程设备。,