网络管理基础知识.pdf

《网络管理基础知识.pdf》由会员分享，可在线阅读，更多相关《网络管理基础知识.pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、(1)什么是网络管理？网络管理，简称网管，简单地说就是为保证网络系统能够持续、稳定、安全、可靠和高效 地运行，对网络实施的一系列方法和措施。网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结 果显示给管理员并进行处理，从而控制网络中的设备、设施、工作参数和工作状态，使其可靠 运行。(2)网络管理的功能是什么？故障管理：计费管理：配置管理和名称管理：性能管理：安全管理：网络流量控制、网络路 由选择策略管理(3)网络管理系统的层次结构。把被管理资源画在单独的框中，表明被管理资源可能与管理站处于不同的系统中；各种网络管理框架的共同特点：管理功能分为管理站和代理两部分；为存

2、储管理信息提供数据库支持；提供用户接口和用户试图(View)功能；提供基本的管理操作。(4)集中式网络管理和分布式网络管理有什么区别?各有什么优缺点？集中式网络管理:网络中至少有一个结点(主机或路由器)担当管理站的角色，除过 NME 之外，管理站中还有一组软件，叫做网络管理应用(NMA),网络中的其他结点在 NME 的 控制下与管理站通信，交换管理信息。这种集中式网络管理策略的好处是：管理人员可 以有效地控制整个网络资源，根据需要平衡网络负载，优化网络性能。分布式网络管理：地理上分布的网络管理客户机与一组网络管理服务器交互作用，共同 完成网络管理功能。中心管理站还能对管理功能较弱的客户机发出指

3、令，实现更高级的 管理。分布式网络管理具有灵活性(Flexibility)和可伸缩性(Scalability),网络管 理更加方便。(5)什么是委托代理？非标准设备：若系统要求每个被管理的设备都能运行代理程序，并且所有管理站和代理 都支持相同的管理协议。这种要求有时是无法实现的。例如：有的老设备可能不支持当前的网络 管理标准；小的系统可能无法完整实现 NME 的全部功能；一些设备(例如 Modem 和多路器等)根 本不能运行附加的软件，把这些设备叫做非标准设备。委托代理的设备(Proxy)来管理一个或多个非标准设备。委托代理和非标准设备之间运行制造商专用的协议,而委托代理和管理站之间运行标准

4、的网络管理协议。这样，管理站就可以用标准的方式通过委托代理得到非标准设备的信息，委 托代理起到了协议转换的作用。(1)ASN.1 的数据类型。ASN.1 定义的数据类型有 20 多种，标签值类型都是 UNIVERSAL,如下表所示。这些数据类型可分为 4 大类：简单类型：由单一成份构成的原子类型 构造类型：由两种以上成分构成的构造类型 标签类型：由已知类型定义的新类型 其他类型：包括 CHOICE 和 ANY 两种类型(2)什么是 SNMP vl 的团体(公共体，Community)?SNMP 网络管理是一种分布式应用。这种应用的特点是管理站和被管理站之间的关系可以是 一对多的关系，也可能是多

5、对一的关系。SNMP 的团体是一个代理和多个管理站之间的认证和访 问控制关系。允许访问的团体名是在被管理系统一侧定义的。SNMP 公共体是指定义验证、访问 控制和代理特征的 SNMP 管理者与 SNMP 代理之间的关系，公共体是一个本地概念。代理系统可以对不同的团体定义不同的访问控制策略，每一个团体被赋予一个唯一的名字。管理站只能以代理认可的团体名行使其访问权。一个管理站可能以不同的名字出现在不同的代理中，即管理站实体可以用不同的名字对不同 的代理实施不同的访问权限。如果两个代理定义了同一团体名，这种名字的相似性也不意味着它们属于同一团体。(3)MIB 的功能和特点是什么？MIB 的结构，MI

6、B 的数据类型。MIB 的职能就是为管理工作站指定代理，而管理工作站通过获取MIB 对象的值来执行监视功能。MIB 是对象的集合，它代表网络中可以管理的资源和设备。每个对象基本上是一个数据变量，它代表被管理的对象的一方面的信息。SNMP 环境中的所有管理对象组织成分层的树结构，即 MIB 结构。这种层次树结构有 3 个作用:表示管理和控制关系；提供了结构化的信息组织技术；提供了对象命名机制 其中用到的 5 种通用类型如下表所示，前 4 种是简单类型，最后一种是构造类型。UB用 酒名 P/C 磁 餘合 4 INTBSER p UNIVERSAL 2 整数 4 OCTET STRING P/C U

7、NIVERSAL 4 位组串 4 NULL p UNIVERSAL 5 NULL 4 OBJECT IDENTIFIER p UNIVERSAL 6 对彖标识符 4 SEQUENCE(OF)c UNIVERSAL 16 序列 (4)MIB 的功能组。1.系统组(System group):提供了系统的一般信息。2.接口组(Interface group):包含主机接口的配置信息和统计信息。3.地址转换组(Address translation group):包含网络地址到接口的物理地址 的映像关系。4.IP 组：提供了与 IP 协议有关的信息。5.ICMP 组：是 IP 的伴随协议。6.TCP

8、 组：包含与 TCP 协议的实现和操作有关的信息。7.UDP 组：提供了关于 UDP 数据报和本地接收端点的详细信息。&EGP 组：提供了有关 EGP 路由器发送和接收的 EGP 报文的信息，以及关于 EGP 邻居的详细信息等。9.传输组(Transmission group):设置这一组的目的是针对各种传输介质提供 详细的管理信息。事实上这不是一个组，而是一个联系各种端口专用信息的特殊 结点。10.MIB-2 的局限性(5)管理信息结构 SMI 的概念和管理信息结构(SMI)的功能。SMI 确定了可用于 MIB 中的数据类型并说明对象在 MIB 内部怎样表示和命名。管理信息 结构(SMI)说

9、明了定义和构造 MIB 的总体框架，以及数据类型的表示和命名方法。SMI 的宗旨是保持 MIB 的简单性和可扩展性，只允许存储标量和二维数组，不支持复杂的数 据结构。SMI 提供了以下标准化技术表示管理信息：定义了 MIB 的层次结构：提供了定义管理对象的语法结构；规定了对象值的编码方法。(7)SNMP 的通信基础是 UDP 协议，使用 UDP 而不使用 TCP 协议的原因是什么？答：之所以选择 UDP 协议而不是 TCP 协议，是因为 UDP 效率较高，这样实现网络管理不会太 第3页共8页 多地增加网络负载。但由于 UDP 不是很可靠，因而 SNMP 报文容易丢失。为此，对 SNMP实现 的

10、建议是对每个管理信息要装配成单独的数据报独立发送，而且报文应短些，不超过 484 个 字节。(6)SNMPvl 有那些局限性？a)由于轮询的性能限制，SNMP 不适合管理很大的网络；b)SNMP 不适合检索大量数据；c)SNMP 陷入报文没有应答，代理不知道管理站是否收到报文，这样可能会丢掉某些重 要管理信息 d)SNMP 只提供简单的团体名认证，安全措施不够；e)SNMP 不直接支持向被管理设备发送命令；f)SNMP 的管理信息库 MIB-2 支持的管理对象是很有限的，不足以完成复杂的管理功能。g)SNMP 不支持管理站之间的通信，而这一点在分布式网络管理中是很需要的。(注：以上局限性有很多

11、在 SNMP 的第 2 版都有所改进。)(7)什么是 SNMP vl 的访问策略？SNMP 团体和 SNMP 团体形成的组合叫做 SNMP 访问策略。访问控制有 MIB 视图(View,或者叫做视阈)和访问模式两方面的含义。MIB 视图：MIB 中对象的一个子集，对不同的团体可以定义不同的视图(View)。属 于同一视图的对象不必属于同一子树。访问模式：集合read-only,read-write的一个元素。对于一个团体可以定义一种 访问模式。有关一个团体的 MIB 视图和访问模式的组合叫做该团体的形象(Profile,或者叫做 轮廓)。(8)描述 SNMP vl 的安全机制。SNMPvl 的

12、安全机制很简单，只是验证团体名。属于同一团体的管理站和被管理站才能互相作用，发送给不同团体的报文被忽略。(9)SNMP vl 和 SNMP v2 的区别有哪些？SNMPv2 既可以支持完全集中的网络管理，又可以支持分布式网络管理。具体地说 SNMPv2 对 SNMP 的增强主要在以下 3 方面 管理信息结构的扩充。管理站和管理站之间的通讯能力 新的协议操作SNMPv2 的管理信息结构是在总结 SNMP 应用经验的基础上对 SNMPvl SMI 进行了扩充，提供了更精致更严格的规范，规定了新的管理对象和 MIB 的文档，可以说是 SNMPvl SMI 的超集。SNMPv2 SMI 引入了 4 个

13、关键的概念：。对象的定义。概念表 通知的定义(10)描述 SNMP v2 中如何生成和删除表中的行。第5页共8页 行的生成：生成概念行可以使用两种不同的方法，分成 4 个步骤，下面解释生成过程：选择实例标识符，针对不同的索引对象可考虑用不同方法选择实例标识符：管理站通过事务处理产生和激活概念行，或管理站与代理协商生成概念行；初始化非默认值对象；激活概念行 概念行的删除：管理站发出 set 命令，把状态列置为 destroy,如果这个操作成功，概念行立即被删除。(11)请描述 SNMP vl 和 SNMP v2 的安全机制和它们安全机制的主要差别是什么。SNMPvl 的安全机制很简单，只是验证团

14、体名。属于同一团体的管理站和被管理站才 能互相作用，发送给不同团体的报文被忽略。考虑了各种安全功能以后,SNMPv2 PDU有了更复杂的结构,建议的安全协议如图 4.2.45所示。可以看出在原来的PDU前面加上了加密和认证信息(12)描述 SNMPv2 加密报文的发送和接收过程。需要加密和认证的 SNMPv2 报文的发送过程：发送实体首先构造管理通信消息 SnmpMgmtCom,这需要査找本地数据库，发现 合法的参加者和上下文。然后，如果需要认证协议，则在 SnmpMgmtCom 前面加上认证信息 authlnfo,构成认证报文 SnmpAuthMsg,否则把 authlnfo 置为长度为 0

15、 的字节串(OCTET STRING)o 若参加者的认证协议为 v2md5AuthProtocol,则由本地实体按照 MD5 算法计算产生 16 个字节的消息摘要，作为认证信息中的authDigesto 第三步是检査目标参加者的私有协议，如果需要加密，则采用指定的加密协 议对 SnwAuthMsg 加密，生成 privData(SnmpAuthMsg)。最后置 privDst=dstParty,组成完整的 SNMPv2 报文，并经过 BER 编码发送出 去。SNMPv2 安全报文的接收过程：目标方实体接收到 SnmpPrivMsg 后首先检査报文格式。如果这一检査通过，则査 找本地数据库，发现

16、需要的验证信息。根据本地数据库的记录，可能需要使用私 有协议对报文解密，对认证码进行验证，检査源方参加者的访问特权和上下文是 否符合要求等。一旦这些检査全部通过，就可以执行协议请求的操作了。(13)SNMPv2 对 SNMPvl 做了那些修改。具体地说 SNMPv2 对 SNMPvl 的增强主要在以下 3 方面 管理信息结构的扩充 管理站和管理站之间的通讯能力 新的协议操作 (14)SNMP v3 与 SNMPv2 相比主要增加了哪些方面的功能？SNMPv2 在其最终形式中也没有包括安全性，这种缺陷在 SNMPv3 中得到了补救。SNMPv3 工作组发布的文档定义了一套安全功能和框架，使它们能

17、够与 SNMPv2 或者 SNMPvl中的功能一起使用，该框架也适合于新功能的使用，并包含安全性的增强和 修改。SNMPv3实现包括 RFC227 广 RFC2275 中定义的安全和结构特征，以及在 SNMPv2 文档中定义的 PDU格式和功能“SNMPv3 等于 SNMPv2 加上安全和管理”(15)描述 SNMP v3 的结构(实体、引擎的概念)。SNMP 结构由分布式、交互 SNMP 实体的集合组成，每个实体都实现一部 SNMP 功能。每个SNMP 实体都有模块的集合组成，模块之间相互作用来提供服务。SNMP 实体 每个 SNMP 实体都包括一个 SNMP 引擎。SNMP 引擎和它所支持

18、的应用都定义为离散模块的集合。这种结构的优点：1)我们将看到 SNMP 实体的角色由在该实体内实现的模 块所决定；2)规范化的模块化结构可以让它本身定义每一个模块的不同版本。(16)描述 SNMP v3 抽象服务接口。SNMP 中模块之间的服务以基元(primitive)和参数(parameter)在 RFC 中定义，基元规定了要执行的功能，而参数用于传送数据和控制信息。用基元和参数定义的接口称之为抽象服务接口。(17)简述 SNMPv3 的消息处理过程：？在 SNMPv3 中，消息在 SNMPv3 实体之间以消息的形式进行交换。每一个消息都包括一 个消息报头和 PDU,由消息处理子系统创建并

19、处理。指令发生器消息处理过程中涉及的关键性步骤：(18)SNMPv3 的两个安全模型(USM,VACM)及其特点。VACM 模型有两个重要的特点：VACM 模型确定是否应该允许一个远程要素访问本地 MIB 中的被管理对象；VACM 使用为该代理定义了访问控制策略的 MIB,并使用远程 配置成为可能。(1)RMON 的主要功能是什么？RMON 定义了远程网络监视的管理信息库以及 SNMP 管理站与远程监视器之间的接口。一般 来说，RMON 的功能就是监视子网范围内的通信，从而减少管理站和被管理系统之间的通 信负担。更具体地说，RMON 有下列功能：离线操作。主动监视。问题检测和报告：提供増值数据

20、：多管理站操作：(2)RMON 对表对象的管理作出了什么改进？RMON 规范中增加了两种新的数据类型：OwnerString 和 EntryStatus,RMON 规范中 的表结构由控制表和数据表两部分组成，控制表定义数据表的结构，数据表用于存储 数据；第5页共8页 管理站用 set 命令在 RMON 表中增加新行；只有行的所有者才能发出 SetRequest PDU,把行状态对彖的值置为 invalid，这 样就删除了行。这是否意味着物理删除，取决于具体的实现：首先置行状态对象的值为 invalid，然后用 SetRequest PDU 改变行中其他对象的 值.(3)RMON MIB 与 M

21、IB-2 的区别是什么？RMON 规范定义了管理信息库 RMON MIB 它是 MIB-2 下面的第 16 个子树。(4)试描述警报组、过滤组、事件组和包捕获组的关系。RMON MIB 分为 10 组，这 10 个功能组都是任选的，但实现时有下列连带关系：1.实现报警组时必须实现事件组；2.实现最高 N 台主机组时必须实现主机组；3.实现捕获组时必须实现过滤组。RMON 警报组定义了一组网络性能的门限值，超过门限值时向控制台产生报警事件。RMON 报警组必须和事件组同时实现。过滤组提供一种手段，使得监视器可以观察接口上的分组，通过过滤选择出某种指定 的特殊分组。一组过滤器的组合叫做通道。可以对

22、通过通道测试的分组计数，也可以 配置通道使得通过的分组产生事件(由事件组定义)，或者使得通过的分组被捕获(由 捕获组定义)。事件组的作用是管理事件。事件是由 MIB 中其他地方的条件触发的，事件也能触发其 他地方的作用。产生事件的条件在 RMON 其他组定义，例如警报组和过滤组都有指向 事件组的索引项。包捕获组建立一组缓冲区，用于存储从通道中捕获的分组。(5)RM0N2 扩充了那些功能组，它们的作用是什么？增加了 9 个新的功能组如下：协议目录组(protocolDir):这一组提供了表示各种网络协议的标准化方法，使得管 理站可以了解监视器所在的子网上运行什么协议。这一点很重要，特别对于管理站

23、和 监视器来自不同制造商时是完全必要的。协议分布组(protocolDist)：提供每个协议产生的通讯统计数据。地址映像组(addressMap)：建立网络层地址(IP 地址)与 MAC 地址的映像关系。这 些信息在发现网络设备、建立网络拓扑结构时有用。这一组可以为监视器在每一个接 口上观察到的每一种协议建立一个表项，说明其网络地址和物理地址之间的对应关 系。网络层主机组(nlHost):这一组类似于 RM0N1 的主机组，收集网上主机的信息，例如 主机地址、发送/接收的分组/字节数等。但是与 RM0N1 不同，这一组不是基于 MAC 地 址，而是基于网络层地址发现主机。这样管理人员可以超越路

24、由器看到子网之外的 IP 主机。网络层矩阵组(nlMatrix):记录主机对(源/目标)之间的通讯情况，收集的信息类 似于 RM0N1 的矩阵组，但是按网络层地址标识主机。其中的数据表分为 SD 表、DS 表 和 TopN 表，与 RM0N1的对应表也是相似的。应用层主机组(alHost):对应每个主机的每个应用协议(指第三层之上的协议)在 alHost 表中有一个表项，记录有关主机发送/接收的分组/字节数等。这一组使用户 可以了解每个主机上的每个应用协议的通讯情况。应用层矩阵组(alMatrix):统计一对应用层协议之间的各种通讯情况，以及某种选定 的参数最大的(TopN)一对应用层协议之间的通讯情况。用户历史组(usrHistory):按照用户定义的参数，周期地收集统计数据。这使得用户 可以研究系统中的任何计数器，例如关于路由器一路由器之间的连接情况的计数器。监视器配置组(probeConfig):定义了监视器的标准参数集合，这样可以提高管理站 和监视器之间的互操作性，使得管理站可以远程配置不同制造商的监视器。