第十三章網絡管理 13 1網絡管理概述網絡管理是網絡發展中一個很重要的技術 對網絡的發展有著很長的影響 并已成為現代信息網絡中最重要的問題之一 它的重要性已經在許多方面得到體現 并為越來越多的人所共識 13 1 1網絡管理方法的演變 人工的分散管理方式 自動化的集中管理方式 電信管理網的誕生 13 1 2網絡管理系統的邏輯結構 一般而言 網絡管理就是通過收集網絡中各種資源的工作參數 狀態信息 由網絡管理者 administrator 及時進行分析和處理 并將處理結果形成各種監控指令發給網絡資源 保證整個網絡能正常高效的運行 其目的很明確 就是使網絡中的資源得到有效的利用 當網絡出現故障時它應能及時報告和處理 并協調 保持網絡系統的高效運行等 網絡管理系統的邏輯模型通常一個網絡管理系統在邏輯上有被管對象 managedobject 管理進程 manager 和管理協議 managementprotocol 這3部分組成 網絡管理系統邏輯模型 internet網絡管理邏輯模型 13 2網絡管理的主要功能 iso在iso iec7498 4文件中將開放系統的系統管理功能分成5個基本功能 13 2 1配置管理配置管理是網絡管理中最早出現的 也是最基本的功能 它對網絡中的設備和設施組成的變化進行管理 配置管理需要進行的操作內容包括 鑒別所有被管對象 給每一個被管對象分配名字 設置被管對象的參數 改變被管對象的操作特性 報告被管對象的狀態變化 刪除不需要的被管對象 處理被管對象之間的關系 13 2 2性能管理 網絡性能包括帶寬利用率 吞吐率的降低程度 通信繁忙的程度 網絡瓶頸及響應時間等 性能管理以網絡性能為準則收集 分析和調整被管對象的狀態 其目的是保證網絡可以提供可靠 連續的通信能力并使用最少的網絡資源和具有最小的時延 網絡性能管理的功能包括 從被管對象中收集與網絡性能有關的數據 對被管對象的進行性能統計 以及與性能有關的歷史數據的產生 記錄和維護 分析當前統計數據 以檢測性能故障 產生性能告警和報告性能事件 將當前統計數據的分析結果與歷史模型比較以預測性能的長期變化 形成改進性能評價準則和性能門限值 以保證網絡的性能為目的 對被管對象和被管對象組的控制 根據這些功能要求 性能管理功能還可進一步細分成4個子功能 它們是性能事件的監測 網絡或管理對象的性能分析 性能的調節和性能的控制 13 2 3故障管理 所謂故障就是出現大量或者嚴重錯誤需要修復的異常情況 例如線路損壞而無法通信的情況 故障管理是網絡管理功能中與故障檢測 故障診斷 故障恢復或故障排除等措施有關的網絡管理功能 其目的是保證網絡能夠提供連續 可靠的服務 它主要包括以下幾個部分 檢測被管對象的差錯 或接收被管對象的差錯事件通報 當存在空閑設備或迂回路由時 提供新的網絡資源用于服務 創建和維護差錯日志庫 并對差錯日志進行分析 進行診斷和測試 以追蹤和識別故障位置 故障性質 通過資源的更換或維護以及其他恢復措施使其重新開始服務 13 2 4計費管理 計費管理記錄網絡資源的使用 目的是控制和監測網絡操作的費用和代價 嚴格的計費管理還可以防止濫用訪問權限 以免加重網絡負擔 同時帳務記錄反映了網絡負載的分配情況 也可以為改進網絡效率提供參考 或者為網絡改進計劃提供依據 計費管理的功能包括 1 統計網絡的利用率等效益數據 以使網絡管理人員確定不同時期和不同時間段的費率 2 根據用戶使用的特定業務在若干用戶之間公平 合理地分攤費用 3 允許采用信用記帳方式收取費用 包括資源利用率和帳單審查功能 4 當多個資源同時用來提供一項服務時 能夠把對各個資源分別 算出的費用累加 13 2 5安全管理 網絡中主要有以下幾方面的安全問題 網絡數據的私有性 保護網絡數據不被侵入者非法獲取 授權 防止侵入者在網絡上發送錯誤信息 訪問控制 控制對網絡資源的訪問 相應地 網絡安全管理應包括對授權機制 訪問控制 加密和密鑰的管理 另外還要維護和檢查安全日志 這包括 創建 刪除 控制安全服務和機制 與安全措施有關信息的分發 與安全相關事件的通報 系統管理域與系統管理功能之間的關系 11 3網絡管理信息模型和網絡管理 11 3 1網絡管理信息模型描述管理信息 建立管理信息模型通常采用結構化方法 這樣可以降低系統實現的難度 提高通用性 目前公認的最好辦法是利用面向對象技術來建立管理信息模型 網絡管理信息主要有兩個作用 一個作用是支持管理進程的描述 另一個作用則是描述物理或邏輯的網絡資源 描述物理和邏輯資源的管理信息所涉及的是各種網絡實體的情況 必須用這些信息來描述被管對象 因此就必須建立起它們的模型 模型中規定管理系統感興趣的資源特性 參數及其表示方法 另一方面 模型元件和物理實體之間必須保持一致 模型的狀態和參數是被管理系統和物理實體共同控制的 管理信息模型的關系 網絡管理信息是從兩個方面來描述的 其一是管理信息結構 smi structureofmanagementinformation 其二是管理信息庫 mib 13 3 2被管對象 被管對象是對網絡管理數據的抽象 它們代表管理活動中涉及到的資源和信息 對被管對象的管理操作由管理進程發起 通過管理進程與被管對象之間的通信來完成 管理信息庫中有許多具有相同管理操作 屬性 特性組 package 通報和行為特性的被管對象是屬于同一個被管對象類 標準中規定管理系統中的每個被管對象都具有以下5個特性量 類 class 表明被管對象擁有的屬于哪個對象類 對象類規定了所有該類被管對象實例應具有的特性 一個被管對象實例在創建時就說明了它屬于哪個對象類 同時該實例也應有了相應對象類的特性 具有相應的屬性 操作 行為和通報特性 下面是定義被管對象類的一個樣板 m object classderivedfrom superclass directorydirectory object class behaviordefinitionsdefinition sourcecharacterizedbyattributesmustcontain attribute qualifier maycontain attribute qualifier groupattributes mustcontain group attribute qualifier maycontain group attribute qualifier operations create delete actions actions name notificatins notification name 屬性 attribute 屬性只是一種稱呼 用來指被管對象的特性值 屬性可以代表多種有數值的物理資源特性 在屬性和物理存儲量之間可以沒有直接有聯系 其他屬性也可以沒有相應的存儲量 這時表示該屬性取默認值 屬性組代表若干個屬性 只要給出屬性組的名字 就意味著給出了該組內的所有屬性名 每一被管對象都有多個屬性 屬性代表被管對象的各方面特性和工作狀態 屬性可以是簡單變量 也可以是一個復雜的數據結構 這樣的屬性就有多個值 對屬性定義也規定了樣板 如下所示 attributewithattributesyntaxdata type permitted valuesrange size definition matchesformatchingrules single valued multi valued 屬性定義的具體例子是一個系統標識符的定義 如下所示 systemidattributewithattributesyntaxforum types namingtypematchesforequalitysubstringssingle valued forum attribute141 管理操作 operation 由于對象具有封閉特性 對象的操作只能用通信方式傳遞發起管理操作的請求和返回操作結果 管理操作可以分為兩類 一類是對被管對象本身的操作 其操作結果改變整個被管對象 另一類是對被管對象屬性的操作 面向屬性的操作有5種 它們分別是 getvalue 取屬性值 replacevalue 替換屬性值 addvalue 增加屬性值 removevalue 刪除屬性值 setvalue 設置默認值 對被管對象的操作主要有3種 其含義分別是 create 創建 創建一個新的被管對象 delete 刪除 刪除一個被管對象 action 執行動作 執行指定的動作 整個動作在對象類的定義中已經說明 行為 behavior 被管對象的行為描述了對象及其屬性 通報和動作的動態特性 被管對象的行為特性定義中的條件內容可以包括 對被管對象進行操作的結果 對屬性或對象操作的多種限制條件 尤其是對創建和刪除被管對象操作的限制 屬性之間的各種內在關系 被管對象之間和各種內在關系 發出通報的條件 被管對象行為的其他方面完整性定義 通報 notification 網絡資源中發生的事件大多是管理進程需要知道的 因而被管對象以主動發出通報的形式將發生的事件通知外部的管理進程 被管對象首先將通報發給本地管理進程 是否要通知其他管理進程則取決于整個系統的配置和管理服務提供的手段 通報分為一般通報和特殊通報兩類 每類通報有若干種具體通報定義 被管對象在什么時候發出通報決定于它的 轉發分揀器 這是一個組合條件 只要滿足了條件就要發出通報 13 3 3internet的管理信息庫 1 internet的mibinternet的mib managerinformationbase 是圍繞被管對象組進行組織的 采用了結構化的管理信息定義 稱為管理信息結構 smi standardofmanagementinformation 規定了如何識別被管對象以及如何組織被管對象的信息結構 internet的mib有兩個版本 mib i中總共只定義了114種被管對象 在mib 中定義了185種被管對象 mib 與mib i有3處較大的區別 地址翻譯at組的變化 增加了傳送組 增加了snmp組 mib i被管對象的分組和種數 被管對象命名internet組織通過mib提供了一個注冊方法 所有網絡資源都在注冊時由mib管理機構定義相應的對象 在層次結構的注冊目錄中分配被管對象名字 對象名字是按照smi中的命名規范分配的 internet注冊樹的實例 internet句法和類型在internet的mib標準中采用asn 1結構來描述管理對象類 但不是完全遵循asn 1全集 而只采用了下列 個原語類型 integer 整數 octet 任意字節串 string asc 碼字符串 objectidentifier 對象標識符 和null 空 再加上兩個構詞類型 seauence和sequenceof 其中整數可以是枚舉類 在internet的smi中定義了6個主要的被管對象類 它們分別是 networkaddress 網絡地址 ipaddress ip地址 timeticks 時間變量 gauge 計量器 counter 計數器 opaque 模糊 上述的對象類定義只是一種類型定義 還不是真正的被管對象 真正的被管對象是按照這些對象類定義創建的對象實例 管理系統實際操作的也是對象實例 除了對象類有名字 標識符 外 對象實例也必須有其惟一的標識符 被管對象的定義internet中的被管對象都是用一些關鍵字 保留字 來說明的 為了描述被管對象的說明格式 snmp中使用了5個記號 它們分別是 object 對象描述符 syntax 句法 definition 定義 access 訪問 status 狀況 internetmib中的所有被管對象都要求按照asn 1編碼標準和一個樣板 宏 進行定義 而這個宏是internet管理機構在smi文本中定義的 如下所示 object typemacro begintypenotation syntax type typeobjectsyntax access access status status valuenotation value v5alueobjectname access read only read write write only not accessible status mandatory optional obsolete end 13 4簡單網絡管理協議snmp 13 4 1概述 snmp的體系結構 snmp的3個基本元素是 管理者 管理進程 代理 mib snmp是基于tcp ip的網絡管理協議 它是采用查詢管理策略在snmpv1中定義5種協議數據單元 pdu get request管理者從代理中檢索信息 get next request與get request配合實現對表對象的操作 get response代理對管理者get request的響應 set request對設備中的參數據進行遠程設置 trap代理發給管理者的非請求信息 用于某些特定事件 每一個代理包含一個mib 是一個樹形結構的數據庫 是被管對象的集合 對象由若干變量定義 變量主要由變量名 變量的數據類型和變量的屬性組成 在snmpv1中定義了114種對象 snmpv2中對安全性進行了加強 它增加了2種pdu getbulkrequest用于表操作 informrequest用于管理者之間交換管理信息 并將對象種數擴大185種 snmpv3 rfc2570 2575 1999年5月 是建立在snmpv1和snmpv2的基礎上的最新發展成果 它實現了snmpv2未能實現的幾個目標 其中包括稱為 商業級 的安全性 認證 源標識符 報文的完整性等 隱私 授權和存取控制 遠程配置與管理 13 4 2snmpv1 snmp是一個異步的請求 響應協議 snmp只提供兩種管理功能 管理進程從管理代理獲取管理對象 變量 的信息 管理進程對管理代理的管理對象 變量 進行設置和修改 第一條功能則有管理進程查詢和管理代理主動報告兩種方式 分別稱為查詢驅動和事件驅動方式 第二條功能當然需要管理進程首先發送操作命令進行設置 snmp中引入了稱為 自陷 trap 的事件報告機制 當管理代理發現本地發生變化 事件 時就主動向管理進程報告 并且不需要響應 這也是請求 響應響應的另外 snmp中設計了四種基本協議的交互過程 管理進程從管理代理處讀取管理管理信息 管理進程在管理代理的可見范圍內遍歷一部分管理對象實例 管理進程在管理代理中存儲信息 也即對管理體制代理的mib實例進行寫操作 包括設置工作參數 管理進行發送一個set request給管理代理 由管理代理完成set操作 然后用set response返回操作結果 管理代理主動向管理進程報告事件 snmp協議是一個對稱協議 沒有主從關系 snmp之上的管理進程和管理代理都可以得到snmp完全相同的服務 管理進程是管理活動的主動參與者 管理進程軟件在構造snmp報文時 要填寫適當的報文首部 然后將snmp報文交付給udp層進行傳輸 初始化完成后 管理代理就在udp協議的161端口等待接收snmp報文 當管理代理成功地接收到一個報文后 它調用語法分析程序將ans 1格式解碼成更容易利用的內部格式 在管理代理對ans 1格式的報文進行解碼的同時 它可以同時開始構造用做響應的getresponse pdu 管理代理填寫好getresponse pdu后 用基本編碼規則ber將報文編碼為ans 1格式 交付給udp協議將其傳送給發出請求的管理進程 13 4 3snmpv2 第二版的snmp協議是建立在第一版基礎上的 snmpv2中除了對報文的格式進行了改進以外 還增加了一種新的管理信息報文 該報文在各管理進程之間傳送信息 實際上由rfc1902 1908定義的snmpv2并沒有新的管理控制框架 因此該版snmp也常被稱為snmpv2c 基于團體的第二版snmp 在改進安全性方面 后來又出現了snmpv2usec 是基于用戶的安全模型 但與snmpv2c一樣都未能達到令人滿意的結果 盡管snmpv2c的安全性仍然沒有本質的改進 但還是得到了普遍接受和應用 因此snmpv2對smi mib和協議也都進行了比較大的改進 第二版中對表格處理進行了標準化 表格行的創建 刪除和修改可以按標準化的對象進行處理 這些標準對象描述了每行的狀態 是用文本結構約定中的宏來定義的 snmpv2對管理信息報文格式的主要改進是 所有的pdu格式都是一致的 但個別pdu中的字段含義有變化 統一的pdu格式簡化了發送和接收snmp報文的處理 snmpv2定義了7個snmp操作 因而也就相應地有7個不同的pdu標簽代碼 13 4 4snmpv3 1 sn