網(wǎng)絡(luò)管理

一、網(wǎng)絡(luò)管理功能域

1.網(wǎng)絡(luò)管理五大功能域

網(wǎng)絡(luò)管理分五大功能域：

故障管理（ Fault Management）

配置管理（Configuration Management）

計(jì)費(fèi)管理（Accounting Management）

性能管理（Performance Management）

安全管理（Security Management）

性能科阎、故障和計(jì)費(fèi)管理屬于網(wǎng)絡(luò)監(jiān)視功能攻询。

配置和安全管理屬于網(wǎng)絡(luò)控制功能。

（1）性能管理

Performance Management搓幌，在用最少網(wǎng)絡(luò)資源和最小時(shí)延的前提下椎工，網(wǎng)絡(luò)能提供可靠、連續(xù)的通信能力伸蚯。

性能管理的功能有性能檢測、性能分析简烤、性能管理剂邮、性能控制。

① 五個(gè)性能指標(biāo)

可用性横侦、響應(yīng)時(shí)間挥萌、正確性是面向服務(wù)的性能指標(biāo)

吞吐率和利用率是面向效率的性能指標(biāo)

（2）故障管理

Fault Management，對網(wǎng)絡(luò)中被管對象故障的檢測枉侧、定位和排除引瀑。

故障管理功能有故障檢測、故障告警榨馁、故障分析與定位憨栽、故障恢復(fù)與排除、故障預(yù)防翼虫。

① 故障管理分為三個(gè)功能模塊

故障檢測和報(bào)警功能

故障預(yù)測功能

故障診斷和定位功能

（3）計(jì)費(fèi)管理

計(jì)費(fèi)管理（Accounting Management）主要是跟蹤控制用戶對網(wǎng)絡(luò)資源的使用徒像，記錄用戶使用網(wǎng)絡(luò)資源的情況并核收費(fèi)用，同時(shí)也統(tǒng)計(jì)網(wǎng)絡(luò)的利用率蛙讥。

計(jì)費(fèi)管理的功能有賬單記錄锯蛀，賬單驗(yàn)證，計(jì)費(fèi)策略管理次慢。

① 需要計(jì)費(fèi)的網(wǎng)絡(luò)資源

通信設(shè)施

計(jì)算機(jī)硬件

軟件系統(tǒng)

服務(wù)

② 計(jì)費(fèi)日志包含下列信息

用戶標(biāo)識旁涤、連接目標(biāo)的標(biāo)識符、傳送的分組數(shù)或字節(jié)數(shù)迫像、安全級別劈愚、時(shí)間戳、指示網(wǎng)絡(luò)出錯(cuò)情況的狀態(tài)碼闻妓、使用的網(wǎng)絡(luò)資源菌羽。

（4）配置管理

Configuration Management，用來定義由缆、識別注祖、初始化猾蒂、監(jiān)控網(wǎng)絡(luò)中被管對象，改變被管對象的操作特性是晨，報(bào)告被管對象狀態(tài)的變化肚菠。

配置管理的功能有配置信息收集（信息包含設(shè)備地理位置、命名罩缴、記錄和維護(hù)設(shè)備的參數(shù)表蚊逢、能及時(shí)更新和維護(hù)網(wǎng)絡(luò)拓?fù)?、能利用軟件設(shè)置參數(shù)并配置硬件設(shè)備（設(shè)備初始化箫章、啟動(dòng)烙荷、關(guān)閉、自動(dòng)備份硬件配置文件）檬寂。

① 配置管理需要包含的功能

定義配置信息

設(shè)置和修改設(shè)備屬性

定義和修改網(wǎng)絡(luò)元素間的互聯(lián)關(guān)系

啟動(dòng)和終止網(wǎng)絡(luò)運(yùn)行

發(fā)行軟件

檢查參數(shù)值和互聯(lián)關(guān)系

報(bào)告配置現(xiàn)狀

（5）安全管理

系統(tǒng)或網(wǎng)絡(luò)的安全設(shè)施由一系列安全服務(wù)和安全機(jī)制的集合組成终抽。

安全管理（Security Management）保證網(wǎng)絡(luò)不被非法使用。

安全管理的功能有管理員身份認(rèn)證焰薄、管理信息加密與完整性、管理用戶訪問控制扒袖、風(fēng)險(xiǎn)分析塞茅、安全告警、系統(tǒng)日志記錄與分析季率、漏洞檢測野瘦。

① 安全威脅的類型

安全威脅的類型.png

② 三方面討論安全管理的問題

安全信息的維護(hù)

資源訪問控制

加密過程控制

2.網(wǎng)絡(luò)管理的基本計(jì)算（重點(diǎn)）

（1）支持的設(shè)備數(shù)

$支持的設(shè)備數(shù)X = 輪詢周期N / 單個(gè)設(shè)備輪詢時(shí)間T$

（2）總信息傳輸速率

$總信息傳輸速率 = 平均事務(wù)量大小 * 每字節(jié)位數(shù) * 每個(gè)會話事務(wù)數(shù) * 平均用戶數(shù)/平均會話時(shí)長$

二、網(wǎng)絡(luò)管理協(xié)議

1.SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）

SNMP飒泻，簡單網(wǎng)絡(luò)管理協(xié)議鞭光。工作在應(yīng)用層的協(xié)議；利用UDP協(xié)議提供的數(shù)據(jù)報(bào)服務(wù)傳輸信息泞遗，這是因?yàn)?strong>UDP傳輸數(shù)據(jù)效率高惰许、不增加網(wǎng)絡(luò)負(fù)擔(dān)。

（1）SNMPv1

有哪些報(bào)文得記住史辙。

① SNMP報(bào)文分類及端口號

Ⅰ.報(bào)文分類

SNMP報(bào)文可以分為：

從管理站到代理的SNMP報(bào)文

從代理到管理站的SNMP報(bào)文

Ⅱ.端口號

SNMP協(xié)議實(shí)體發(fā)送請求和應(yīng)答報(bào)文的默認(rèn)端口是161汹买；

SNMP代理發(fā)送陷入報(bào)文（Trap）的默認(rèn)端口是162。

② 常見的SNMP報(bào)文

Get-Request

Get-Next-Request

Set-Request

Trap（進(jìn)行檢測）

Get-Response

Ⅰ.Get-Request

屬于從管理站到代理的SNMP報(bào)文聊倔。

從代理進(jìn)程處提取一個(gè)或多個(gè)數(shù)據(jù)項(xiàng)晦毙。

Ⅱ.Get-Next-Request

屬于從管理站到代理的SNMP報(bào)文。

從代理進(jìn)程處提取一個(gè)或多個(gè)數(shù)據(jù)項(xiàng)的下一個(gè)數(shù)據(jù)項(xiàng)耙蔑。

Ⅲ. Set-Request

屬于從管理站到代理的SNMP報(bào)文见妒。

設(shè)置代理進(jìn)程的一個(gè)或多個(gè)數(shù)據(jù)項(xiàng)。

Ⅳ. Get-Response

屬于從代理到管理站的SNMP報(bào)文甸陌。

此操作是代理進(jìn)程作為對Get-Request须揣、Get-Next-Request盐股、Set-Request的響應(yīng)。

Ⅴ.Trap

屬于從代理到管理站的SNMP報(bào)文返敬。

代理進(jìn)程主動(dòng)發(fā)出的報(bào)文遂庄，通知管理進(jìn)程有某些事件發(fā)生。

（2）SNMPv2

支持集中式管理劲赠，也支持分布式管理涛目。

① 對于v1改進(jìn)了三點(diǎn)（考點(diǎn)）

管理信息結(jié)構(gòu)的擴(kuò)充

管理站之間的通信能力

新的協(xié)議操作

Ⅰ.管理信息結(jié)構(gòu)的擴(kuò)充

新增了2種數(shù)據(jù)類型：

Unsigned32

Counter64

Ⅱ.管理站之間的通信能力

Ⅲ.新的協(xié)議操作

GetBulkRequest操作，能夠有效地檢索大塊的數(shù)據(jù)凛澎，特別是能夠有效地檢索大塊的數(shù)據(jù),適合在表中檢索多行數(shù)據(jù)霹肝，其為管理站提供了從被管設(shè)備中一次取回一批數(shù)據(jù)的能力。

② 3種訪問管理信息的方法

SNMPv2提供了3種訪問管理信息的方法：

管理站和代理之間的請求/響應(yīng)通信：這種方法與 SNMPv1是一樣的塑煎。

管理站和管理站之間的請求/響應(yīng)通信沫换，這種方法是 SNMPV2特有的，可以由一個(gè)管理站把有關(guān)管理信息告訴另外一個(gè)管理站最铁。

代理系統(tǒng)到管理站的非確認(rèn)通信讯赏，即由代理向管理站發(fā)送陷入報(bào)文（Trap）報(bào)告出現(xiàn)的異常情況。SNMPv1也有對應(yīng)的通信方式冷尉。

③ 錯(cuò)誤類型

在SNMPv2錯(cuò)誤類型中：

noNaccess：表示管理對象不可訪問漱挎。

genErr：表示某些其他的差錯(cuò)。

wrongValueo：表示代理不執(zhí)行該操作雀哨。

noCreation：表示對象不存在且無法建立磕谅。

（3）SNMPv3

在SNMPv3實(shí)現(xiàn)了實(shí)體的概念，把管理站（Manager）和代理（Agent）統(tǒng)一叫做實(shí)體雾棺，實(shí)體包含引擎和應(yīng)用膊夹，提供基于用戶的安全模型，使用基于視圖的訪問控制模型捌浩。

新增了認(rèn)證和加密功能放刨。

① 應(yīng)用

SNMPv3的應(yīng)用程序分為：

命令生成器

命令響應(yīng)器

通知發(fā)送器

通知接收器

代理轉(zhuǎn)發(fā)器

② 安全威脅

SNMPv3把對網(wǎng)絡(luò)協(xié)議的安全威脅分為主要的和次要的兩類。

標(biāo)準(zhǔn)規(guī)定安全模塊必須提供防護(hù)的兩種主要威脅是修改信息尸饺、假冒宏榕；

還規(guī)定安全模塊必須提供防護(hù)的兩種次要威脅是修改報(bào)文流、信息泄露侵佃；

有兩種威脅是安全體系結(jié)構(gòu)不必防護(hù)的麻昼，因?yàn)樗鼈儾皇呛苤匾蛘?strong>這2種防護(hù)沒有多大作用：拒絕服務(wù)馋辈、通信分析抚芦。

Ⅰ.兩種主要威脅

修改信息( Modification of Information):就是某些未經(jīng)授權(quán)的實(shí)體改變了進(jìn)來的SNMP報(bào)文,企圖實(shí)施未經(jīng)授權(quán)的管理操作,或者提供虛假的管理對象。

假冒( Masquerade):即未經(jīng)授權(quán)的用戶冒充授權(quán)用戶的標(biāo)識，企圖實(shí)施管理操作叉抡。

Ⅱ.兩種次要威脅

修改報(bào)文流( Message Stream Modification)由于SNMP協(xié)議通常是基于無連接的傳輸服務(wù)尔崔，重新排序報(bào)文流、延遲或重放報(bào)文的成脅都可能出現(xiàn)褥民。這種威脅的危害性在于通過報(bào)文流的修改可能實(shí)施非給營理基礎(chǔ)法的管理操作季春。

消息泄露( Disclosure)：SNMP引擎之間交換的信息可能被偷聽，對這種威脅的防護(hù)應(yīng)采取局部的策略消返。

Ⅲ.不防護(hù)威脅

拒絕服務(wù)( Denial of service)因?yàn)樵诤芏嗲闆r下拒絕服務(wù)和網(wǎng)絡(luò)失效是無法區(qū)別的载弄，所以可以由網(wǎng)絡(luò)管理協(xié)議來處理，安全子系統(tǒng)不必采取措施撵颊。

通信分析( Traffic Analysis)宇攻，即由第三者分析管理實(shí)體之間的通信規(guī)律，從而獲取需要的信息倡勇。由于通常都是由少數(shù)管理站來管理整個(gè)網(wǎng)絡(luò)的逞刷，所以管理系統(tǒng)的通信模式是可預(yù)見的，防護(hù)通信分析就沒有多大作用了妻熊。

（4）SNMP與RMON

① 區(qū)別

SNMP的管理信息庫（MIB）只包含本地設(shè)備的管理信息夸浅；RMON提供了整個(gè)子網(wǎng)的管理信息。

② RMON的管理信息庫

通常用于監(jiān)視整個(gè)網(wǎng)絡(luò)通信情況的設(shè)備叫做網(wǎng)絡(luò)監(jiān)視器( Monitor)或探測器( Probe)扔役，這種設(shè)備觀察LAN上出現(xiàn)的每個(gè)分組帆喇，并進(jìn)行統(tǒng)計(jì)和匯總，例如提供出錯(cuò)統(tǒng)計(jì)數(shù)據(jù)（殘缺分組數(shù)厅目、沖突次數(shù)）番枚、性能統(tǒng)計(jì)數(shù)據(jù)（每秒鐘提交的分組數(shù)法严、分組大小的分布情況）等损敷。監(jiān)視器還能存儲部分分組，供以后分析用深啤。監(jiān)視器也根據(jù)分組類型進(jìn)行過濾并捕獲特殊的分組拗馒。通常是每個(gè)子網(wǎng)配置一個(gè)監(jiān)視器，并且與中央管理站通信溯街，因此叫遠(yuǎn)程監(jiān)視器诱桂。

RMON定義了遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的管理信息庫（屬于MIB-2的一部分）以及SNMP管理站與遠(yuǎn)程監(jiān)視器之間的接口。

（5）管理進(jìn)程與代理之間聯(lián)系

在SNMP中呈昔，管理進(jìn)程與與代理之間的聯(lián)系并沒有約束數(shù)量挥等，僅僅是通過團(tuán)體名來驗(yàn)證。

一個(gè)管理進(jìn)程可以聯(lián)系多個(gè)代理堤尾，一個(gè)代理也可給多個(gè)管理進(jìn)程提供信息肝劲。

① 團(tuán)體名

團(tuán)體名相同的才可以訪問。

（6）SNMP檢索簡單對象

當(dāng)代理收到一個(gè)GET請求時(shí)，若有一個(gè)值不能提供辞槐，則返回該實(shí)例的下個(gè)值掷漱；若能檢索到所有對象的實(shí)例，則返回請求的每個(gè)值榄檬。

2.管理信息庫MIB-2

SNMP MIB中被管對象的Access屬性包括只讀卜范、只寫、可讀寫鹿榜，但不包括可執(zhí)行海雪。

（1）包含11個(gè)功能組

system系統(tǒng)組 interface接口組 at地址轉(zhuǎn)換組 ip組 ICMP組 TCP組 UDP組 EGP組 transmission傳輸組 SNMP組

① 功能組對象的數(shù)據(jù)類型

在MIB-2中，IP組對象iplnReceives為接受的IP數(shù)據(jù)報(bào)總數(shù)犬缨，其數(shù)據(jù)類型為計(jì)數(shù)器類型喳魏。

系統(tǒng)服務(wù)對象sysServices是7位二進(jìn)制數(shù)，每一位對應(yīng)OSI/RM7層協(xié)議中的一層怀薛，若系統(tǒng)提供某一層服務(wù)刺彩，則對應(yīng)的位為1，否則為0枝恋。

（2）管理對象樹結(jié)構(gòu)

注冊層次.png

3.零部件可靠性計(jì)算

相同零部件

（1）串聯(lián)

串聯(lián)-零部件可靠性計(jì)算.png

（2）并聯(lián)

并聯(lián)-零部件可靠性計(jì)算.png

三创倔、網(wǎng)絡(luò)管理命令（重點(diǎn)）

ipconfig：可以顯示所有網(wǎng)卡的TCP/IP配置參

ping：通過發(fā)送ICMP回聲請求報(bào)文來檢驗(yàn)與另一設(shè)備的連接。

arp：用于顯示和修改地址解析協(xié)議緩存表的內(nèi)容

netstat：用于顯示TCP連接焚碌、端口號畦攘、IP等網(wǎng)絡(luò)活動(dòng)狀態(tài)

tracert：確定數(shù)據(jù)包到達(dá)目標(biāo)的路徑，并顯示通路上的中間IP地址和到達(dá)時(shí)間十电。

pathping：結(jié)合ping和tracert的功能知押。

nbtstat：顯示NetBT協(xié)議的統(tǒng)計(jì)信息

route：顯示和修改本地的IP路由表

netsh：命令行腳本程序，用于修改計(jì)算機(jī)的網(wǎng)絡(luò)配置

nslookup：顯示DNS查詢信息鹃骂，診斷和排除DNS故障

net：管理網(wǎng)絡(luò)服務(wù)的命令

四台盯、網(wǎng)絡(luò)管理工具

網(wǎng)絡(luò)嗅探器

sniffer

網(wǎng)絡(luò)管理工具 HP Open View 、IBM Tivoli NetView 畏线、Cisco Works