网络管理

作者: 見贤思齊_ | 来源:发表于2020-10-16 14:47 被阅读0次

一、网络管理功能域

1.网络管理五大功能域

网络管理分五大功能域：

故障管理（ Fault Management）

配置管理（Configuration Management）

计费管理（Accounting Management）

性能管理（Performance Management）

安全管理（Security Management）

性能、故障和计费管理属于网络监视功能。

配置和安全管理属于网络控制功能。

（1）性能管理

Performance Management，在用最少网络资源和最小时延的前提下，网络能提供可靠、连续的通信能力。

性能管理的功能有性能检测、性能分析、性能管理、性能控制。

① 五个性能指标

可用性、响应时间、正确性是面向服务的性能指标

吞吐率和利用率是面向效率的性能指标

（2）故障管理

Fault Management，对网络中被管对象故障的检测、定位和排除。

故障管理功能有故障检测、故障告警、故障分析与定位、故障恢复与排除、故障预防。

① 故障管理分为三个功能模块

故障检测和报警功能

故障预测功能

故障诊断和定位功能

（3）计费管理

计费管理（Accounting Management）主要是跟踪控制用户对网络资源的使用，记录用户使用网络资源的情况并核收费用，同时也统计网络的利用率。

计费管理的功能有账单记录，账单验证，计费策略管理。

① 需要计费的网络资源

通信设施

计算机硬件

软件系统

服务

② 计费日志包含下列信息

用户标识、连接目标的标识符、传送的分组数或字节数、安全级别、时间戳、指示网络出错情况的状态码、使用的网络资源。

（4）配置管理

Configuration Management，用来定义、识别、初始化、监控网络中被管对象，改变被管对象的操作特性，报告被管对象状态的变化。

配置管理的功能有配置信息收集（信息包含设备地理位置、命名、记录和维护设备的参数表、能及时更新和维护网络拓扑)、能利用软件设置参数并配置硬件设备（设备初始化、启动、关闭、自动备份硬件配置文件）。

① 配置管理需要包含的功能

定义配置信息

设置和修改设备属性

定义和修改网络元素间的互联关系

启动和终止网络运行

发行软件

检查参数值和互联关系

报告配置现状

（5）安全管理

系统或网络的安全设施由一系列安全服务和安全机制的集合组成。

安全管理（Security Management）保证网络不被非法使用。

安全管理的功能有管理员身份认证、管理信息加密与完整性、管理用户访问控制、风险分析、安全告警、系统日志记录与分析、漏洞检测。

① 安全威胁的类型

安全威胁的类型.png

② 三方面讨论安全管理的问题

安全信息的维护

资源访问控制

加密过程控制

2.网络管理的基本计算（重点）

（1）支持的设备数

$支持的设备数X = 轮询周期N / 单个设备轮询时间T$

（2）总信息传输速率

$总信息传输速率 = 平均事务量大小 * 每字节位数 * 每个会话事务数 * 平均用户数/平均会话时长$

二、网络管理协议

1.SNMP（简单网络管理协议）

SNMP，简单网络管理协议。工作在应用层的协议；利用UDP协议提供的数据报服务传输信息，这是因为UDP传输数据效率高、不增加网络负担。

（1）SNMPv1

有哪些报文得记住。

① SNMP报文分类及端口号

Ⅰ.报文分类

SNMP报文可以分为：

从管理站到代理的SNMP报文

从代理到管理站的SNMP报文

Ⅱ.端口号

SNMP协议实体发送请求和应答报文的默认端口是161；

SNMP代理发送陷入报文（Trap）的默认端口是162。

② 常见的SNMP报文

Get-Request

Get-Next-Request

Set-Request

Trap（进行检测）

Get-Response

Ⅰ.Get-Request

属于从管理站到代理的SNMP报文。

从代理进程处提取一个或多个数据项。

Ⅱ.Get-Next-Request

属于从管理站到代理的SNMP报文。

从代理进程处提取一个或多个数据项的下一个数据项。

Ⅲ. Set-Request

属于从管理站到代理的SNMP报文。

设置代理进程的一个或多个数据项。

Ⅳ. Get-Response

属于从代理到管理站的SNMP报文。

此操作是代理进程作为对Get-Request、Get-Next-Request、Set-Request的响应。

Ⅴ.Trap

属于从代理到管理站的SNMP报文。

代理进程主动发出的报文，通知管理进程有某些事件发生。

（2）SNMPv2

支持集中式管理，也支持分布式管理。

① 对于v1改进了三点（考点）

管理信息结构的扩充

管理站之间的通信能力

新的协议操作

Ⅰ.管理信息结构的扩充

新增了2种数据类型：

Unsigned32

Counter64

Ⅱ.管理站之间的通信能力

Ⅲ.新的协议操作

GetBulkRequest操作，能够有效地检索大块的数据，特别是能够有效地检索大块的数据,适合在表中检索多行数据，其为管理站提供了从被管设备中一次取回一批数据的能力。

② 3种访问管理信息的方法

SNMPv2提供了3种访问管理信息的方法：

管理站和代理之间的请求/响应通信：这种方法与 SNMPv1是一样的。

管理站和管理站之间的请求/响应通信，这种方法是 SNMPV2特有的，可以由一个管理站把有关管理信息告诉另外一个管理站。

代理系统到管理站的非确认通信，即由代理向管理站发送陷入报文（Trap）报告出现的异常情况。SNMPv1也有对应的通信方式。

③ 错误类型

在SNMPv2错误类型中：

noNaccess：表示管理对象不可访问。

genErr：表示某些其他的差错。

wrongValueo：表示代理不执行该操作。

noCreation：表示对象不存在且无法建立。

（3）SNMPv3

在SNMPv3实现了实体的概念，把管理站（Manager）和代理（Agent）统一叫做实体，实体包含引擎和应用，提供基于用户的安全模型，使用基于视图的访问控制模型。

新增了认证和加密功能。

① 应用

SNMPv3的应用程序分为：

命令生成器

命令响应器

通知发送器

通知接收器

代理转发器

② 安全威胁

SNMPv3把对网络协议的安全威胁分为主要的和次要的两类。

标准规定安全模块必须提供防护的两种主要威胁是修改信息、假冒；

还规定安全模块必须提供防护的两种次要威胁是修改报文流、信息泄露；

有两种威胁是安全体系结构不必防护的，因为它们不是很重要，或者这2种防护没有多大作用：拒绝服务、通信分析。

Ⅰ.两种主要威胁

修改信息( Modification of Information):就是某些未经授权的实体改变了进来的SNMP报文,企图实施未经授权的管理操作,或者提供虚假的管理对象。

假冒( Masquerade):即未经授权的用户冒充授权用户的标识，企图实施管理操作。

Ⅱ.两种次要威胁

修改报文流( Message Stream Modification)由于SNMP协议通常是基于无连接的传输服务，重新排序报文流、延迟或重放报文的成胁都可能出现。这种威胁的危害性在于通过报文流的修改可能实施非给营理基础法的管理操作。

消息泄露( Disclosure)：SNMP引擎之间交换的信息可能被偷听，对这种威胁的防护应采取局部的策略。

Ⅲ.不防护威胁

拒绝服务( Denial of service)因为在很多情况下拒绝服务和网络失效是无法区别的，所以可以由网络管理协议来处理，安全子系统不必采取措施。

通信分析( Traffic Analysis)，即由第三者分析管理实体之间的通信规律，从而获取需要的信息。由于通常都是由少数管理站来管理整个网络的，所以管理系统的通信模式是可预见的，防护通信分析就没有多大作用了。

（4）SNMP与RMON

① 区别

SNMP的管理信息库（MIB）只包含本地设备的管理信息；RMON提供了整个子网的管理信息。

② RMON的管理信息库

通常用于监视整个网络通信情况的设备叫做网络监视器( Monitor)或探测器( Probe)，这种设备观察LAN上出现的每个分组，并进行统计和汇总，例如提供出错统计数据（残缺分组数、冲突次数）、性能统计数据（每秒钟提交的分组数、分组大小的分布情况）等。监视器还能存储部分分组，供以后分析用。监视器也根据分组类型进行过滤并捕获特殊的分组。通常是每个子网配置一个监视器，并且与中央管理站通信，因此叫远程监视器。

RMON定义了远程网络监视的管理信息库（属于MIB-2的一部分）以及SNMP管理站与远程监视器之间的接口。

（5）管理进程与代理之间联系

在SNMP中，管理进程与与代理之间的联系并没有约束数量，仅仅是通过团体名来验证。

一个管理进程可以联系多个代理，一个代理也可给多个管理进程提供信息。

① 团体名

团体名相同的才可以访问。

（6）SNMP检索简单对象

当代理收到一个GET请求时，若有一个值不能提供，则返回该实例的下个值；若能检索到所有对象的实例，则返回请求的每个值。

2.管理信息库MIB-2

SNMP MIB中被管对象的Access属性包括只读、只写、可读写，但不包括可执行。

（1）包含11个功能组

system系统组 interface接口组 at地址转换组 ip组 ICMP组 TCP组 UDP组 EGP组 transmission传输组 SNMP组

① 功能组对象的数据类型

在MIB-2中，IP组对象iplnReceives为接受的IP数据报总数，其数据类型为计数器类型。

系统服务对象sysServices是7位二进制数，每一位对应OSI/RM7层协议中的一层，若系统提供某一层服务，则对应的位为1，否则为0。

（2）管理对象树结构

注册层次.png

3.零部件可靠性计算

相同零部件

（1）串联

串联-零部件可靠性计算.png

（2）并联

并联-零部件可靠性计算.png

三、网络管理命令（重点）

ipconfig：可以显示所有网卡的TCP/IP配置参

ping：通过发送ICMP回声请求报文来检验与另一设备的连接。

arp：用于显示和修改地址解析协议缓存表的内容

netstat：用于显示TCP连接、端口号、IP等网络活动状态

tracert：确定数据包到达目标的路径，并显示通路上的中间IP地址和到达时间。

pathping：结合ping和tracert的功能。

nbtstat：显示NetBT协议的统计信息

route：显示和修改本地的IP路由表

netsh：命令行脚本程序，用于修改计算机的网络配置

nslookup：显示DNS查询信息，诊断和排除DNS故障

net：管理网络服务的命令

四、网络管理工具

网络嗅探器

sniffer

网络管理工具 HP Open View 、IBM Tivoli NetView 、Cisco Works