[精选]安全网管技术-网络管理系统及SNMP协议2914.pptx
1安全网管技术-网络管理系统及SNMP 协议l 本章主要内容 网络管理概述 TCP/IP 网络管理体系结构 SNMP 网络管理协议 管理信息库(MIB)2参考资料 计算机网络管理系统设计与应用,白英彩等,清华大学出版社 Cisco Networkers 2003 文档 http:/210.45.224.8/james/cw2003/index.xml http:/210.45.224.8/james/cw2003/NMS-1001.pdf3Service Design&Management SolutionsConfiguration&Change Management SolutionsResource&Performance Management SolutionsSystems&Applications Management SolutionsNetwork Management SolutionsBackup&Storage Management SolutionsDesktop&Software Management SolutionsService Level Planning&ManagementDesktop&SoftwareManagementOperations&AvailabilityManagementConfigurationManagementChangManagementIT Service Management43.1 网络管理概述l 网络管理历史 网络管理与电信网络的历史一样长,接线员能进行有限的管理 随着程控交换机的引入,越来越多 计算机网络的管理伴随ARPANET 产生 早期的ARPANET、SNA、DNA、AppleTalk等的管理系统专用,不开放 80年代提出了多种网络管理方案5网络管理历史l 1988年IAB(Internet Activities Board)制定了Internet 管理的发展策略:SGMP 作为短期方案,最终采用CMIS/CMIPl 推出了SNMP(Simple Network Management Protocol)和CMOT(CMIP/CMIS on TCP/IP)l 1990年正式发布SNMP,1993年发布SNMPv2l SNMP 已经成为网络管理事实上的工业标准6网络管理系统的功能特点l 一个网络管理工具,应具备以下特点 发现网络拓扑结构和网络配置l 自动发现和手工修改 智能监控l 理解网络结构的内在依赖管理,报告出现的问题 控制程度l 设置设备重要等级,对不同等级的告警信息采取不同处理 灵活性l 可定制7网络管理系统的功能特点(2)l 多厂商集成 管理不同厂商的设备,包含不遵循SNMP 协议的l 存取控制 不同的用户访问权限可以区分l 用户友好 方便管理员使用l 编程接口 可以灵活扩展功能l 报告生成 按照管理员的要求,生成各种报表8常见网络管理系统l HP OpenView 第一个网络管理系统,最初是一个平台,现在是可以给最终用户的产品,得到第三方的广泛支持 HP Openview Node Management 特点:l 自动发现网络拓扑l 性能分析l 故障告警l 多厂商支持9常见网络管理系统(2)l Cisco Works Cisco 公司开发的网络管理应用,可以集成在网络管理平台上运行 针对Cisco 产品设计,管理这些设备更方便 功能:l 配置管理 保存配置文件历史,可以比较、分析配置文件内容l 10网络管理的意义和发展 随着网络的不断推广和应用,人们对网络的依赖越来越大,网络越来越重要。当前计算机网络发展特点:规模不断扩大 复杂性不断增加 网络异构性(多厂商设备)越来越高 网络管理系统能给网络管理员提供良好的信息来源,减少网络故障,缩短网络失效时间,最大程度发挥网络的作用。11网络管理定义和模型l 网络管理主要是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。l 网络管理模型:功能模型 体系结构模型 信息模型 组织模型12功能模型l ISO 在 ISO/IEC7498-4 中定义了网络管理的五大功能:故障管理l 包括故障检测、隔离和纠正三方面 计费管理l 记录网络资源的使用,控制和检测网络操作的费用和代价,对商用网络尤为重要 配置管理l 配置网络13功能模型l 性能管理 估计系统资源的运行状况及通信效率。l 安全管理 包括对授权机制、访问控制、加密和密钥的管理。14体系结构模型l 体系结构模型描述了实体的一般结构,实体间接口及其通信方法。主要涉及远程通信网的管理。15信息模型l 实现被管虚拟资源、软件及物理设备的逻辑表示。l 多采用面向对象的方法定义网络管理信息。l SNMP 中,网络管理信息是面向属性的,更注重简单性和可扩展性。采用ISO 的抽象语法表示语言(ASN.1)表示。16组织模型l 包括管理者、代理者的概念,管理实体间的通信方法。17管理信息库代理管理信息库代理网络管理系统管理者典型网络管理体系结构组织模型管理信息库代理被管设备18单个设备结构19单个设备结构(2)l In-band 带内管理 管理信息流跟普通网络数据一起传输 受普通网络数据的影响l Out-band 带外管理 独立的管理信息流20单个设备结构(3)l 入口:控制口(串口)l 只能使用CLI,所有情况下可用l 多数提供MODEM 接口l 重要设备需要提供远程控制口管理 单独的管理网络接口l Out-band 管理 普通网络接口l In-band 管理l telnet/ssh/SSL21单个设备结构(4)l 远程控制口 拨号 反向telnet(Cisco 专用)AccessRouter设备设备设备设备管理专用网络RS23222单个设备结构(5)配置信息SNMP代理CLI/WEB配置信息SNMP 代理CLI/WEB23网络管理资源的表示l 用“被管理对象”(Managed Object)表示网络中的资源l CMIP 定义封装了被管理对象 被管理对象的属性l 数据类型,是否可写 被管理对象的行为l 可能的操作 被管理对象的通知l 特定事件发生时所发出的通知24MIB 管理信息库l 被管理对象概念上的集合称为管理信息库(MIB,Management Information Base)l SNMP 的MIB 1988年MIB(RFC 1156)1990年MIB II(RFC 1158)IAB 鼓励厂商针对自己的产品定义自己的MIB,然后以RFC 文档的方式公布,以便该产品被网络管理系统支持,保证系统的易扩充性 过多的MIB 定义加大了网络设备的负担l 很多设备可以设定启用哪些MIB25网络管理系统构成 一个网络管理系统不一定包含网络管理的所有功能 四个部分组成:l 多个被管代理(Managed Agent)l 至少一个网络管理者(Network Manager)l 一个通用的网络管理协议(Network Management Protocol)l 一个或多个管理信息库(MIB)26网络管理者(Network Manager)l 实施网络管理的处理实体,驻留在管理工作站上。l 是整个网络系统的核心,完成复杂网络管理的各项功能。如排除网络故障,配置网络等。27被管代理(Managed Agent)l 驻留在被管设备上,网络管理的处理实体。l 负责跟网络管理者通信,执行网络管理者的指令,或在特定事件发生时通知网络管理者。l 监视所在网络设备的工作状况,收集有关网络信息。l 被管代理一般有多个,分别位于网络中的各个设备上。28网络管理协议(Network Management Protocol)l 描述了管理者和被管代理之间数据通信机制。l 网络管理标准主要制定的内容就是网络管理协议。l 定义管理者和被管代理之间的数据报文种类和格式;定义管理信息库的数据库格式。29管理信息库(MIB)l 存储在被管理设备的存储器中。l 一个动态刷新的数据库,包括设备的配置信息、数据通信的统计信息、安全性信息和设备特有信息。30集中与分布式的网络管理系统l 集中式:简单,易于实现 不适应大规模网络管理l 分布式:复杂 多层管理者 某些管理者会被高一层的管理者所管理 适应大规模网络管理313.2 TCP/IP 网络管理体系结构l IAB 制订了TCP/IP 网络管理体系结构l 三部分内组成 基于TCP/IP 的管理信息结构(SMI)基于TCP/IP 的管理信息库(MIB)SNMP 网络协议3233343536基于TCP/IP 的管理信息结构(SMI)l 网络管理应用通过对MIB 中网络管理对象的读取和设置来实现对网络设备的管理和监控。l MIB 对象的定义符合ISO ASN.1 语言。l 对象类型的定义有对象名称、对象语法和对象编码。37对象名称l 标示一个对象。l ASN.1 按照对象的注册关系定义对象的标示符,它是一个整行数序列。l 在注册关系树的Internet 子树下有四个节点:l Directory OBJECT IDENTIFIER:=internet 1l Mgmt OBJECT IDENTIFIER:=internet 2 l Experimental OBJECT IDENTIFIER:=internet 3l Private OBJECT IDENTIFIER:=internet 43839对象名称l Directory(1.3.6.1.1)子树为Internet 中的OSI体系结构保留l Mgmt(1.3.6.1.2)子树用于标示正式批准的RFC 中定义的对象l Experimental(1.3.6.1.3)子树用于标示正在进行试验的对象l Private(1.3.6.1.4)子树用于标示各个网络设备厂商定义的对象40对象语法l 定义对象的结构l ASN.1定义了四种基本对象语法类型:INTEGER 整数(ASN.1 不限制,但是MIB 定义为0-4G)OCTET STRING 字符串 OBJECT IDENTIFIER 对象标示符 NULL41对象语法(2)l 构造语法类型 SEQUENCE(序列)SEQUENCE,为4种基本类型l 支持应用语法类型(Application-wide syntax type)定义 IPADDRESS 长度为4的OCTET STRING COUNTER 计数器,非负INTEGER GAUGE 累加器,非负INTEGER TIMETICKS 厘秒计时器,非负INTEGER42对象编码l 采用ASN.1基本编码规则43TCP/IP 的MIBl IAB 定义了2个SNMP MIB:MIB I(RFC1156)MIB II(RFC1213)44对象定义格式l 对象类的定义包括以下域:对象域l 文本形式的对象描述符合对象标示符组成 对象语法域l ASN.1 定义的对象类的抽象语法 对象定义l 对象语义的说明 对象访问权限l Read-only,read-write,write-only,not-accessable 状态域l 强制(mandatory)当前(current)过期(deprecated)45例子/接口接收数据l ifInOctets OBJECT-TYPEl SYNTAX Counter32l MAX-ACCESS read-onlyl STATUS currentl DESCRIPTION The total number of octets received on the interface,including framing characters.Discontinuities in the value of this counter can occur at re-initialization of the management system,and at other times as indicated by the value of ifCounterDiscontinuityTime.l:=ifEntry 10 4647对象组l System 组定义网络设备系统描述和硬件、软件类型l Interface 组定义设备网络端口描述、运行情况和通信量l Address Translation 定义网络地址到物理地址的映射表(即ARP 表)l IP 组描述了与设备IP 层有关的信息l ICMP 组描述了ICMP 输入输出统计信息l TCP/UDP/EGP/SNMP 组分别描述了TCP/UDP/EGP/SNMP 连接有关的信息483.3 SNMP 协议体系结构49SNMP 网络管理信息的范围l 包括Internet 标准MIB 和符合Internet SMI规范的MIB 中所定义的对象类l SNMP 使用的信息编码方式是ISO 定义的ASN.1语言的一个子集50SNMP MIB 对象实例标识l 对象实例标识符是对象所属对象类的对象标识符加上实例标识符构成。l 如SysDescr 对象标识符为1.3.6.1.2.1.1.1,设备的系统描述只有一个,实例标识符为0,因此设备的系统描述对象实例标识符为1.3.6.1.2.1.1.1.051SNMP 认证机制和访问策略l 对于SNMPv1,仅仅支持community 认证 Community string 类似于密码 明文传输,非常不安全 后续的SNMPv2、SNMPv3 有所改进52SNMP 通信过程l 发送方按照ASN.1构造一个请求PDUl 发送方将该PDU包含community string 发送给接收方(UDP 161)l 接收方核对版本号,community string,操作类型,对象标识符l 如果所有都正确,处理该请求l 必要时发回应答数据包53SNMP 支持的操作l SNMP 定义了5种PDU GetRequest-PDU GetNextRequest-PDU GetResponse-PDUl 是以上2个操作的应答 SetRequest-PDU Trap-PDUl 9、静夜四无邻,荒居旧业贫。5月-235月-23Tuesday,May 16,2023l 10、雨中黄叶树,灯下白头人。11:41:5611:41:5611:415/16/2023 11:41:56 AMl 11、以我独沈久,愧君相见频。5月-2311:41:5611:41May-2316-May-23l 12、故人江海别,几度隔山川。11:41:5611:41:5611:41Tuesday,May 16,2023l 13、乍见翻疑梦,相悲各问年。5月-235月-2311:41:5611:41:56May 16,2023l 14、他乡生白发,旧国见青山。16 五月 202311:41:56 上午11:41:565月-23l 15、比不了得就不比,得不到的就不要。五月 2311:41 上午5月-2311:41May 16,2023l 16、行动出成果,工作出财富。2023/5/16 11:41:5611:41:5616 May 2023l 17、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。11:41:56 上午11:41 上午11:41:565月-23l 9、没有失败,只有暂时停止成功!。5月-235月-23Tuesday,May 16,2023l 10、很多事情努力了未必有结果,但是不努力却什么改变也没有。11:41:5611:41:5611:415/16/2023 11:41:56 AMl 11、成功就是日复一日那一点点小小努力的积累。5月-2311:41:5611:41May-2316-May-23l 12、世间成事,不求其绝对圆满,留一份不足,可得无限完美。11:41:5611:41:5611:41Tuesday,May 16,2023l 13、不知香积寺,数里入云峰。5月-235月-2311:41:5611:41:56May 16,2023l 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16 五月 202311:41:56 上午11:41:565月-23l 15、楚塞三湘接,荆门九派通。五月 2311:41 上午5月-2311:41May 16,2023l 16、少年十五二十时,步行夺得胡马骑。2023/5/16 11:41:5611:41:5616 May 2023l 17、空山新雨后,天气晚来秋。11:41:56 上午11:41 上午11:41:565月-23l 9、杨柳散和风,青山澹吾虑。5月-235月-23Tuesday,May 16,2023l 10、阅读一切好书如同和过去最杰出的人谈话。11:41:5611:41:5611:415/16/2023 11:41:56 AMl 11、越是没有本领的就越加自命不凡。5月-2311:41:5611:41May-2316-May-23l 12、越是无能的人,越喜欢挑剔别人的错儿。11:41:5611:41:5611:41Tuesday,May 16,2023l 13、知人者智,自知者明。胜人者有力,自胜者强。5月-235月-2311:41:5611:41:56May 16,2023l 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。16 五月 202311:41:56 上午11:41:565月-23l 15、最具挑战性的挑战莫过于提升自我。五月 2311:41 上午5月-2311:41May 16,2023l 16、业余生活要有意义,不要越轨。2023/5/16 11:41:5611:41:5616 May 2023l 17、一个人即使已登上顶峰,也仍要自强不息。11:41:56 上午11:41 上午11:41:565月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感 谢 您 的 下 载 观 看专家告诉