網(wǎng) 絡(luò) 安 全 管 理 協(xié) 議主 講 教 師 ： 曹 秀 蓮計 算 機(jī) 信 息 系 網(wǎng) 絡(luò) 教 研 室 主 要 內(nèi) 容o 網(wǎng) 絡(luò) 管 理 的 定 義 和 基 本 內(nèi) 容o 網(wǎng) 絡(luò) 管 理 模 式o ISO網(wǎng) 絡(luò) 管 理 體 系 結(jié) 構(gòu)o 通 用 管 理 信 息 協(xié) 議 CMIPo SNMP網(wǎng) 絡(luò) 管 理 協(xié) 議o SNMP的 安 全 性 網(wǎng) 絡(luò) 管 理 是 什 么 ？o 網(wǎng) 絡(luò) 管 理 的 定 義 ： 對 網(wǎng) 絡(luò) 的 運 行 狀 態(tài) 進(jìn) 行 監(jiān)測 和 控 制 ， 使 其 能 夠 有 效 、 可 靠 、 安 全 、 經(jīng)濟(jì) 地 提 供 服 務(wù) 。o 具 體 來 說 ， 網(wǎng) 絡(luò) 管 理 就 是 對 網(wǎng) 絡(luò) 進(jìn) 行 監(jiān) 測 和控 制 。 網(wǎng) 絡(luò) 管 理 的 目 標(biāo) ：n 維 護(hù) 網(wǎng) 絡(luò) 的 有 效 性 （ 可 用 性 ）n 維 護(hù) 網(wǎng) 絡(luò) 的 可 靠 性n 維 護(hù) 網(wǎng) 絡(luò) 的 開 放 性n 維 護(hù) 網(wǎng) 絡(luò) 的 綜 合 性n 維 護(hù) 網(wǎng) 絡(luò) 的 安 全 性n 維 護(hù) 網(wǎng) 絡(luò) 的 經(jīng) 濟(jì) 性 為 什 么 要 進(jìn) 行 網(wǎng) 絡(luò) 管 理 ？網(wǎng) 絡(luò) 管 理 的 重 要 性 ：n 用 戶 對 網(wǎng) 絡(luò) 的 依 賴 程 度 越 來 越 高n 用 戶 對 網(wǎng) 絡(luò) 應(yīng) 用 的 需 求 不 斷 提 高n 用 戶 對 網(wǎng) 絡(luò) 性 能 、 運 行 狀 況 及 安 全 性 越 來 越 重視 為 什 么 要 進(jìn) 行 網(wǎng) 絡(luò) 管 理 ？網(wǎng) 絡(luò) 管 理 的 必 要 性o網(wǎng) 絡(luò) 規(guī) 模 不 斷 擴(kuò) 大o網(wǎng) 絡(luò) 越 來 越 復(fù) 雜 （ 設(shè) 備 、 結(jié) 構(gòu) 等 ）o簡 單 的 管 理 工 具 和 方 法 已 不 適 應(yīng) 管 理 大 型和 異 構(gòu) 網(wǎng) 絡(luò) 網(wǎng) 絡(luò) 管 理 的 基 本 內(nèi) 容o 網(wǎng) 絡(luò) 管 理 的 基 本 內(nèi) 容 如 下 ：o (1)網(wǎng) 絡(luò) 設(shè) 施 本 身 的 管 理 。 包 括 單 元 設(shè)備 、 物 理 線 路 、 拓 撲 結(jié) 構(gòu) 、 路 由 策 略 、安 全 機(jī) 制 、 地 址 分 配 、 域 名 注 冊 等 。o (2)網(wǎng) 絡(luò) 運 行 的 管 理 。 包 括 故 障 監(jiān) 控 、性 能 監(jiān) 控 、 安 全 監(jiān) 控 、 計 費 、 路 由 、 配置 變 化 等 。o (3)統(tǒng) 計 分 析 和 規(guī) 劃 。 包 括 歷 史 信 息 的記 錄 和 分 析 ， 網(wǎng) 絡(luò) 建 設(shè) 、 升 級 的 規(guī) 劃 。 怎 樣 進(jìn) 行 網(wǎng) 絡(luò) 管 理 ？ 網(wǎng) 絡(luò) 管 理 技 術(shù) 的 發(fā) 展 及 現(xiàn) 狀典 型 的 網(wǎng) 絡(luò) 管 理 技 術(shù) ：o 國 際 標(biāo) 準(zhǔn) 化 組 織 ISO提 出 的 OSI/CMIP管理 技 術(shù)o 國 際 電 信 聯(lián) 盟 ITU-T提 出 的 TMN管 理 模 型o IETF提 出 的 Internet/SNMP管 理 技 術(shù) 國 際 標(biāo) 準(zhǔn) 化 組 織 （ ISO: The International Organization for Standardization） 成 立 于 1947年 ， 它 是 一 個 由 147個 成 員 國 參 加 的 國 際 組 織 。 ISO的 使 命 是 在 全 世 界 范 圍 內(nèi) 為 促 進(jìn) 人 們 在 文 化 、 科 學(xué) 、技 術(shù) 和 經(jīng) 濟(jì) 領(lǐng) 域 內(nèi) 的 交 流 而 制 定 各 種 標(biāo) 準(zhǔn) 。 ISO在其 推 出 的 開 放 系 統(tǒng) 互 聯(lián) (OSI : Open Systems Inter-connection） 計 劃 中 ， 將 網(wǎng) 絡(luò) 管 理 體 系 結(jié) 構(gòu)的 研 究 納 入 整 體 計 劃 的 一 部 分 。ISO與 OSI/CMIP的 網(wǎng) 絡(luò) 管 理 技 術(shù) 1980年 ， ISO組 織 內(nèi) 部 成 立 了 一 個 特 殊 工 作 組（ ISO/TC 97/SC 21/WG4, WG: Working Group）研 究 OSI管 理 。 WG4提 出 的 第 一 個 研 究 成 果 是 “ OSI管 理 框 架 （ OSI Management Framework） ” ， 其后 又 提 出 了 “ 系 統(tǒng) 管 理 綜 述 （ System Management Overview)” ， 以 上 幾 個 標(biāo) 準(zhǔn) 構(gòu) 成 了 OSI管 理 的 基石 。 第 一 ， 提 出 了 故 障 管 理 、 配 置 管 理 、 計 費 管 理 、 性 能管 理 和 安 全 管 理 的 五 個 管 理 功 能 域 的 概 念 ， 并 明 確 了各 管 理 功 能 域 的 管 理 功 能 ；第 二 ， 提 出 了 三 種 交 換 管 理 信 息 的 方 式 ， 分 別 是 系 統(tǒng)管 理 （ systems management） 、 應(yīng) 用 管 理（ application management） 和 層 管 理 （ layer management） ；第 三 ， 提 出 了 被 管 對 象 (managed object)、 管 理 信 息（ management information)和 管 理 信 息 庫 （ MIB：Management Information Base） 。 “ OSI管 理 框 架 ” 主 要 有 如 下 幾 個 貢 獻(xiàn) ： “ OSI系 統(tǒng) 管 理 綜 述 ” 主 要 是 在 OSI管 理 框 架 的 基 礎(chǔ) 之上 ， 針 對 系 統(tǒng) 管 理 的 概 念 進(jìn) 行 進(jìn) 一 步 深 入 的 研 究 。 OSI系 統(tǒng) 管 理 綜 述 的 主 要 貢 獻(xiàn) 可 以 從 四 個 方 面 進(jìn) 行 描 述 ，它 們 分 別 是 ：系 統(tǒng) 管 理 信 息 模 型 、組 織 結(jié) 構(gòu) 、功 能通 信 。 OSI系 統(tǒng) 管 理 綜 述 OSI/CMlP管 理 體 系 結(jié) 構(gòu) 是 以 更 通 用 、 更 全 面 的 觀 點 來 組 織一 個 網(wǎng) 絡(luò) 的 管 理 系 統(tǒng) ， 它 的 開 放 性 著 眼 于 網(wǎng) 絡(luò) 未 來 發(fā) 展 的 設(shè)計 思 想 ， 使 得 它 有 很 強(qiáng) 的 適 應(yīng) 性 ， 能 夠 處 理 任 何 復(fù) 雜 系 統(tǒng) 的綜 合 管 理 。 然 而 正 是 OSI系 統(tǒng) 管 理 這 種 大 而 全 的 思 想 ， 導(dǎo) 致其 有 如 下 缺 點 ：OSI參 考 模 型 規(guī) 定 N層 的 實 體 只 能 引 用 N 1層 實 體 提 供 的 服務(wù) ， 而 不 需 知 道 N 1以 下 各 層 的 情 況 ， 但 由 于 OSI系 統(tǒng) 管 理需 要 管 理 OSI七 層 的 實 體 ， 使 得 位 于 應(yīng) 用 層 的 管 理 實 體 有 時必 須 知 道 OSI各 層 實 體 的 內(nèi) 部 結(jié) 構(gòu) ， 從 而 使 OSI系 統(tǒng) 管 理 反 而違 反 了 OSI參 考 模 型 的 基 本 思 想 ；評 價 ： OSI系 統(tǒng) 管 理 使 用 OSI各 層 的 服 務(wù) 傳 送 管 理 信 息 ， 使 得 OSI系統(tǒng) 管 理 不 能 管 理 通 信 系 統(tǒng) 自 己 內(nèi) 部 的 故 障 ；OSI系 統(tǒng) 管 理 標(biāo) 準(zhǔn) 僅 僅 定 義 了 一 個 個 獨 立 管 理 操 作 ， 如 M-GET和 M-SET， 但 并 沒 有 定 義 這 些 操 作 的 序 列 ， 以 完 成 管 理 者 要 解決 的 特 定 問 題 ， 因 而 缺 乏 管 理 者 特 定 的 功 能 描 述 ；OSI系 統(tǒng) 管 理 太 復(fù) 雜 ， 相 關(guān) 標(biāo) 準(zhǔn) 的 數(shù) 量 和 內(nèi) 容 太 多 ；OSI管 理 體 系 結(jié) 構(gòu) 太 復(fù) 雜 ， 代 價 太 大 ；CMIP的 功 能 極 其 靈 活 強(qiáng) 大 ， 使 得 OSI系 統(tǒng) 管 理 方 法 太 復(fù) 雜 ，從 而 OSI系 統(tǒng) 管 理 與 實 際 的 應(yīng) 用 有 距 離 ， OSI在 實 際 應(yīng) 用 中 不成 功 等 。 ITU-T（ International Telecommunication Union-Telecommunication Standardization Sector） 成 立 于 1993年 3月 1日 ， 其 前 身 是 1865年 成 立 的 國 際 電 報 電 話 咨 詢 委 員 會 （ CCITT：International Telegraph and Telephone Consultative Committee） ， 它 是 國 際 電 聯(lián) ITU三 大 研 究 機(jī) 構(gòu) 之 一 ， 其 主 要 使 命 是 研 究 制 定 涵 蓋電 信 各 領(lǐng) 域 的 標(biāo) 準(zhǔn) 建 議 ， 相 關(guān) 的 標(biāo) 準(zhǔn) 化 工 作 是 由ITU-T不 同 的 研 究 組 完 成 。2. ITU-T與 TMN網(wǎng) 絡(luò) 管 理 技 術(shù) 從 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 可 持 續(xù) 建 設(shè) 的 角 度 ， TMN提 出 了 方 法 論一 體 系 結(jié) 構(gòu) 一 重 用 技 術(shù) 一 管 理 業(yè) 務(wù) 一 管 理 應(yīng) 用 等 多 個 層次 的 解 決 方 法 ， 可 以 供 人 們 根 據(jù) 實 際 情 況 ， 選 擇 一 個 或幾 個 方 法 來 支 撐 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 的 可 持 續(xù) 建 設(shè) ， 同 時 方 法本 身 是 可 以 平 滑 過 渡 的 。從 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 互 操 作 性 的 角 度 ， TMN提 供 了 一 系 列 支持 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 互 操 作 的 標(biāo) 準(zhǔn) 接 口 ， 這 一 系 列 接 口 可 以支 持 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 的 多 種 類 型 的 操 作 。 從 網(wǎng) 絡(luò) 管 理 技 術(shù)綜 合 的 角 度 ， TMN提 出 了 一 個 開 放 的 、 支 持 綜 合 各 種 技術(shù) 的 體 系 結(jié) 構(gòu) 。 從 提 高 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 質(zhì) 量 的 角 度 ， TMN采 用 面 向 對 象 的方 法 和 技 術(shù) ， 使 用 了 一 系 列 用 于 提 高 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 質(zhì) 量的 管 理 對 象 ， 可 以 支 持 各 種 動 態(tài) 的 管 理 操 作 。從 標(biāo) 準(zhǔn) 和 體 制 的 角 度 ， TMN可 以 是 一 系 列 的 標(biāo) 準(zhǔn) ， 該 系列 標(biāo) 準(zhǔn) 覆 蓋 了 基 本 概 念 、 管 理 功 能 、 管 理 模 式 、 管 理 接口 、 體 系 結(jié) 構(gòu) 、 管 理 業(yè) 務(wù) 、 使 用 方 式 、 方 法 論 、 支 撐 工具 等 規(guī) 劃 、 開 發(fā) 、 使 用 、 維 護(hù) 各 個 角 度 所 需 要 的 各 種 標(biāo)準(zhǔn) 。 從 管 理 業(yè) 務(wù) 的 角 度 ， TMN是 一 種 研 究 和 開 發(fā) 網(wǎng) 絡(luò) 管 理 系統(tǒng) 的 技 術(shù) ， 該 技 術(shù) 提 供 了 多 層 次 、 多 粒 度 的 軟 件 重 用 方法 ， 提 供 了 解 決 非 標(biāo) 準(zhǔn) 系 統(tǒng) 過 渡 到 標(biāo) 準(zhǔn) 的 TMN系 統(tǒng) 的 平滑 過 渡 方 法 。 從 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 結(jié) 構(gòu) 的 角 度 廠 TMN是 一 種開 放 的 網(wǎng) 絡(luò) 結(jié) 構(gòu) ， 該 種 網(wǎng) 絡(luò) 結(jié) 構(gòu) 可 以 支 持 網(wǎng) 絡(luò) 管 理 系 統(tǒng)的 各 種 使 用 方 式 。 從 ITU-T的 研 究 與 ISO組 織 的 研 究 關(guān) 系 看 ， ITU-T在 制 定TMN建 議 時 采 納 了 很 多 OSI管 理 的 思 想 和 方 法 ， 包 括 ： 采 納 了 OSI管 理 的 “ 管 理 者 -代 理 ” 模 式 ， 該 思 想 在ITU-T 制 定 的 X.701建 議 中 給 予 了 詳 細(xì) 描 述 ； 采 用 了 OSI管 理 的 “ 面 向 對 象 ” 方 法 ； 采 納 了 OSI管 理 的 管 理 功 能 域 的 相 關(guān) 成 果 。與 OSI管 理 不 同 的 是 ， TMN管 理 信 息 的 傳 送 采 用 的 是 帶 外傳 送 方 式 ， TMN采 用 獨 立 的 數(shù) 據(jù) 通 信 網(wǎng) 交 換 管 理 信 息 盡 管 TMN網(wǎng) 絡(luò) 管 理 體 系 結(jié) 構(gòu) 采 納 了 OSI系 統(tǒng) 管 理 的 一 些 方法 和 思 想 ， 但 二 者 仍 有 如 下 區(qū) 別 ： OSI系 統(tǒng) 管 理 體 系 結(jié) 構(gòu) 僅 定 義 了 單 個 網(wǎng) 絡(luò) 管 理 體 系 結(jié)構(gòu) ， 而 TMN體 系 結(jié) 構(gòu) 則 定 義 了 功 能 體 系 結(jié) 構(gòu) 、 物 理 體 系結(jié) 構(gòu) 、 信 息 體 系 結(jié) 構(gòu) 等 多 個 體 系 結(jié) 構(gòu) ； TMN提 出 了 邏 輯 分 層 管 理 的 思 想 ， OSI系 統(tǒng) 管 理 則 沒 有 ； TMN采 用 了 獨 立 的 數(shù) 據(jù) 通 信 網(wǎng) DCN傳 遞 管 理 信 息 ， DCN與 被 管 網(wǎng) 絡(luò) 獨 立 ， 避 免 了 OSI系 統(tǒng) 管 理 中 故 障 管 理 不 能管 理 通 信 系 統(tǒng) 內(nèi) 部 故 障 的 缺 點 。 20世 紀(jì) 80年 代 隨 著 互 聯(lián) 網(wǎng) 的 高 速 發(fā) 展 ， 對 互 聯(lián) 網(wǎng) 絡(luò) 進(jìn) 行有 效 管 理 的 需 求 越 來 越 高 。 為 了 有 效 地 實 施 對 互 聯(lián) 網(wǎng) 的管 理 ， 互 聯(lián) 網(wǎng) 活 動 委 員 會 （ IAB： Internet Activities Board） 負(fù) 責(zé) 選 擇 標(biāo) 準(zhǔn) 網(wǎng) 絡(luò) 協(xié) 議 的 工 作 。 IAB由 兩 個 小 組組 成 ， 一 個 是 互 聯(lián) 網(wǎng) 工 程 任 務(wù) 組 （ IETF： Internet Engineering Task Force） ； 另 一 個 是 互 聯(lián) 網(wǎng) 科 研 任 務(wù)組 （ IRTF: Internet Research Task Force） 。 IETF負(fù)責(zé) Internet管 理 、 建 造 和 操 作 中 的 問 題 并 協(xié) 調(diào) 問 題 的 解決 ， IRTF負(fù) 責(zé) 研 究 和 TCP/IP網(wǎng) 絡(luò) 及 與 Internet相 關(guān) 的 問題 。3. IETF與 Internet/SNMP網(wǎng) 絡(luò) 管 理 技 術(shù) 最 初 IAB希 望 使 用 OSI系 統(tǒng) 管 理 方 法 管 理 互 聯(lián) 網(wǎng) ， 但 由 于 OSI網(wǎng) 絡(luò) 管 理 研 究組 忙 于 討 論 OSI系 統(tǒng) 管 理 體 系 結(jié) 構(gòu) ， 為 了 滿 足 管 理 的 需 要 ， IAB推 薦 了 簡單 網(wǎng) 絡(luò) 管 理 協(xié) 議 （ SNMP： Simple Network Management Protocol)作 為權(quán) 宜 之 計 ， 并 責(zé) 成 IETF負(fù) 責(zé) SNMP相 關(guān) 方 面 的 實 現(xiàn) 工 作 。 與 此 同 時 ， IAB考 慮 采 納 OSI的 CMIS/CMIP方 案 并 準(zhǔn) 備 在 傳 輸 控 制 協(xié) 議 TCP上 實 現(xiàn) 對 互 聯(lián)網(wǎng) 的 管 理 ， 這 種 實 現(xiàn) 方 式 被 稱 為 CMOT（ CMIS/CMIPOver TCP/IP） 。 采 用CMOT是 IAB的 長 遠(yuǎn) 打 算 ， 但 在 實 際 工 作 中 ， CMOT規(guī) 范 無 法 按 期 完 成 ， 這導(dǎo) 致 了 對 CMOT的 支 持 日 益 減 少 ， 這 種 情 況 持 續(xù) 到 1992年 CMOT方 面 的 研 究工 作 完 全 停 止 。 而 SNMP盡 管 存 在 很 多 不 足 ， 但 作 為 一 個 在 恰 當(dāng) 時 間 出 現(xiàn)的 、 恰 當(dāng) 的 解 決 方 案 、 SNMP取 得 了 很 大 的 商 業(yè) 成 功 ， 絕 大 多 數(shù) 廠 商 支 持SNMP， SNMP由 此 成 為 了 一 個 事 實 上 的 數(shù) 據(jù) 網(wǎng) 絡(luò) 的 網(wǎng) 絡(luò) 管 理 標(biāo) 準(zhǔn) 。 一 般 來 說 ， 理 解 SNMP網(wǎng) 絡(luò) 管 理 體 系 結(jié) 構(gòu) 可 以 從以 下 幾 個 方 面 進(jìn) 行 ： 組 織 模 型 管 理 者 一 代 理 者 模 型 ； SNMP管 理 協(xié) 議 ； 管 理 信 息 結(jié) 構(gòu) (SMI)； 管 理 信 息 庫 （ MIB)。SNMP網(wǎng) 絡(luò) 管 理 體 系 結(jié) 構(gòu) 網(wǎng) 絡(luò) 管 理 模 式 8.2.1集 中 式 網(wǎng) 絡(luò) 管 理 集 中 式 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 可 以 統(tǒng) 管 全 網(wǎng) ， 全 網(wǎng) 所 有 需 要 管理 的 數(shù) 據(jù) 均 存 儲 在 一 個 集 中 的 數(shù) 據(jù) 庫 中 。 優(yōu) 點 ： 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 處 于 高 度 集 中 、 易 于 全 面 做 出 決斷 的 最 佳 位 置 ， 網(wǎng) 絡(luò) 升 級 時 僅 需 要 處 理 集 中 點 。 缺 點 ： 中 央 數(shù) 據(jù) 庫 一 旦 出 現(xiàn) 故 障 ， 將 導(dǎo) 致 全 網(wǎng) 癱 瘓 ；此 外 ， 建 設(shè) 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 鏈 路 承 載 的 業(yè) 務(wù) 量 很 大 ， 有 時 將超 出 負(fù) 荷 能 力 。 8.2.2 分 級 式 網(wǎng) 絡(luò) 管 理 分 級 式 網(wǎng) 絡(luò) 管 理 模 式 是 由 一 個 網(wǎng) 絡(luò) 管 理 系 統(tǒng) (NMs)作 為另 外 幾 個 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 經(jīng) 理 人 (managers)的 總 經(jīng) 理 人 ， 由 各經(jīng) 理 人 管 理 各 自 所 管 轄 (managed entity)的 網(wǎng) 絡(luò) 領(lǐng) 域 的 管 理方 式 。 優(yōu) 點 ： 分 散 了 網(wǎng) 絡(luò) 資 源 (network resource)的 負(fù) 荷， 使 得 各 個 網(wǎng) 絡(luò) 管 理 可 更 接 近 被 管 單 元 ， 降 低 了 總 網(wǎng) 絡(luò) 管 理系 統(tǒng) 需 收 集 傳 送 的 業(yè) 務(wù) 量 ， 該 系 統(tǒng) 比 集 中 式 網(wǎng) 管 系 統(tǒng) 可 靠 。 缺 點 ： 比 集 中 式 系 統(tǒng) 復(fù) 雜 ， 系 統(tǒng) 設(shè) 備 價 格 也 相 應(yīng) 有 所提 高 。 8.2.3 分 布 式 網(wǎng) 絡(luò) 管 理 分 布 式 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 是 一 種 與 管 理 系 統(tǒng) 設(shè) 備 位 置 無 關(guān) 的 網(wǎng)管 系 統(tǒng) 。 雖 然 它 與 位 置 無 關(guān) ， 但 是 從 收 集 網(wǎng) 管 的 數(shù) 據(jù) 等 功 能 來看 ， 還 是 可 以 集 中 的 。 優(yōu) 點 ： 完 全 分 散 了 網(wǎng) 絡(luò) 資 源 (network resource)的 負(fù)荷 ， 網(wǎng) 絡(luò) 管 理 系 統(tǒng) 的 規(guī) 模 大 小 可 按 需 要 任 意 調(diào) 整 ， 這 種 網(wǎng) 絡(luò) 管理 模 式 具 有 很 高 的 可 靠 性 (無 單 點 障 礙 ) 。 缺 點 ： 系 統(tǒng) 設(shè) 備 更 復(fù) 雜 一 些 (需 要 有 分 布 應(yīng) 用 的 架 構(gòu) )。 SNMP基 本 概 念o SNMP（ Simple Network Management Protocol） 即 簡 單 網(wǎng) 絡(luò) 管 理 協(xié) 議 。o 目 標(biāo) 是 保 證 管 理 信 息 在 任 意 兩 點 中 傳 送 ， 便于 網(wǎng) 絡(luò) 管 理 員 在 網(wǎng) 絡(luò) 上 的 任 何 節(jié) 點 檢 索 信 息 ，進(jìn) 行 修 改 ， 尋 找 故 障 ； 完 成 故 障 診 斷 ， 容 量規(guī) 劃 和 報 告 生 成 。 o 獨 立 于 被 管 設(shè) 備 ， 采 用 輪 詢 機(jī) 制 ， 提 供 最 基本 的 功 能 集 。o 目 前 使 用 最 多 的 是 SNMP V1。 代理被管對象SNMP執(zhí)行操作通知MIB網(wǎng) 管 系 統(tǒng) 模 型 NMS UDP port 162UDP port 161 AGENT Request Response TrapSNMP協(xié) 議 模 型oSNMP就 是 用 來 規(guī) 定 NMS和Agent之 間 是 如 何 傳 遞 管 理信 息 的 應(yīng) 用 層 協(xié) 議 。 o 網(wǎng) 管 站 （ NMS） 對 網(wǎng) 絡(luò) 設(shè) 備 發(fā) 送各 種 查 詢 報 文 ， 并 接 收 來 自 被 管設(shè) 備 的 響 應(yīng) 及 陷 阱 （ trap） 報 文 ，將 結(jié) 果 顯 示 出 來 。o 代 理 （ agent） 是 駐 留 在 被 管 設(shè)備 上 的 一 個 進(jìn) 程 ， 負(fù) 責(zé) 接 受 、 處理 來 自 網(wǎng) 管 站 的 請 求 報 文 ， 然 后從 設(shè) 備 上 其 他 協(xié) 議 模 塊 中 取 得 管理 變 量 的 數(shù) 值 ， 形 成 響 應(yīng) 報 文 ，反 送 給 NMS。o 在 一 些 緊 急 情 況 下 ， 如 接 口 狀 態(tài)發(fā) 生 改 變 等 時 候 ， 主 動 通 知 NMS（ 發(fā) 送 陷 阱 TRAP報 文 ） 。 SNMP代 理 和 管 理 站 通 過 SNMP中 的 標(biāo) 準(zhǔn) 消 息 進(jìn) 行 通 信 ， 每 個消 息 都 是 一 個 單 獨 的 數(shù) 報 . SNMP消 息 報 文 包 含 兩 個 部 分 ： SNMP報 頭 和 協(xié) 議 數(shù) 據(jù) 單 元PDU。 SNMP數(shù) 據(jù) 報 結(jié) 構(gòu) 如 圖 所 示 。 SNMP協(xié) 議 數(shù) 據(jù) 報 格 式 2 SNMP協(xié) 議 的 3個 部 分 （ 1） SMI（ 管 理 信 息 結(jié) 構(gòu) ） 定 義 每 一 個 被 管 對 象 的 信 息 ， 并 確定 如 何 用 ASN 1(抽 象 語 法 記 法 1)在 管 理 信 息 庫 中 描 述 這 些 信息 。 (2) MIB（ 管 理 信 息 數(shù) 據(jù) 庫 ） 是 一 個 樹 形 結(jié) 構(gòu) ， SNMP協(xié) 議 消 息通 過 遍 歷 MIB樹 形 目 錄 中 的 節(jié) 點 來 訪 問 網(wǎng) 絡(luò) 中 的 設(shè) 備 。 (3) SNMP協(xié) 議 （ 管 理 信 息 協(xié) 議 ） 使 用 戶 能 夠 通 過 輪 詢 、 設(shè) 置 一些 關(guān) 鍵 字 和 監(jiān) 視 一 些 網(wǎng) 絡(luò) 事 件 來 達(dá) 到 網(wǎng) 絡(luò) 管 理 的 目 的 。 o 描 述 被 管 理 設(shè) 備 的 細(xì) 節(jié) ；o 定 義 被 管 理 的 設(shè) 備 必 須 保 存 的 數(shù) 據(jù) 項 、 允 許對 每 個 數(shù) 據(jù) 項 進(jìn) 行 的 操 作 及 其 含 義 ；8.4.2 管 理 信 息 數(shù) 據(jù) 庫 MIB（ management information base) MIB將 管 理 信 息 劃 分 為 許 多 類MIB類 別systeminterfaceatipicmptcpudpospfbgp rmonrip-2dns 包 含 的 相 關(guān) 信 息主 機(jī) 或 路 由 器 的 操 作 系 統(tǒng)各 個 網(wǎng) 絡(luò) 接 口地 址 轉(zhuǎn) 換Internet協(xié) 議 軟 件Internet控 制 報 文 協(xié) 議 軟 件傳 輸 控 制 協(xié) 議 軟 件用 戶 數(shù) 據(jù) 報 協(xié) 議 軟 件開 放 最 短 路 徑 優(yōu) 先 軟 件邊 界 網(wǎng) 關(guān) 協(xié) 議 軟 件遠(yuǎn) 程 網(wǎng) 絡(luò) 監(jiān) 視路 由 信 息 協(xié) 議 軟 件域 名 系 統(tǒng) 軟 件 8.4.3 SNMP的 5種 消 息 類 型 SNMP中 定 義 了 5種 消 息 類 型 ： Get-Request， Get-Response， Get-Next-Request， Set-Re-quest和 Trap。 SNMP代 理 使 用 Trap向 SNMP管 理 站 發(fā) 送 非 請 求 消 息 ， 一 般 用 于 描 述 某 一 事 件 的 發(fā)生 。 SNMP的 編 號 和 用 途 見 表 8 2。 8.4.3 SNMP的 5種 消 息 類 型 SNMP的 操 作 只 有 兩 種 基 本 的 管 理 功 能 ： 一 種 是 “ 讀 ” 操 作 ， 用 get： 報 文來 檢 測 各 被 管 對 象 的 狀 況 ； 另 一 種 是 “ 寫 ” 操 作 ， 用 set報 文 來 控 制 各 被 管對 象 的 狀 況 。 SNMP的 5種 報 文 操 作 如 圖 所 示 。 8.4.4 SNMP的 版 本 目 前 SNMP有 SNMPvl、 SNMPv2、 SNMPv3三 種 版 本 。 SNMP還 包括 一 組 由 RMoN、 RMON2、 MTB、 MTB2、 OCDS及 OCDS定 義 的 擴(kuò) 展 協(xié)議 。 1 SNMPvl協(xié) 議 SNMPvl采 用 集 中 式 管 理 模 式 ， 不 支 持 網(wǎng) 管 系 統(tǒng) 和 網(wǎng)管 系 統(tǒng) 之 間 的 通 信 ， 所 以 一 個 網(wǎng) 絡(luò) 環(huán) 境 中 只 能 部 署 一 個 管 理 系統(tǒng) ， 在 大 型 網(wǎng) 絡(luò) 中 不 太 適 合 部 署 。 SNMPvl協(xié) 議 簡 單 、 靈 活 ， 得到 了 廣 泛 應(yīng) 用 。 8.4.4 SNMP的 版 本 2 SNMPv2協(xié) 議 SNMPv2由 SNMPvl演 化 而 來 。 SNMPvl中 的 GET、 GET NEXT及 SET操 作 同 樣 適用 于 SNMPv2， 只 是 SNMPv2添 加 和 增 強(qiáng) 了 有 關(guān) 協(xié) 議 操 作 。 SNMPv2的 格 式 如 圖 所 示 。 8.4.4 SNMP的 版 本 3 SNMPv3協(xié) 議 SNMPv3中 增 加 了 安 全 管 理 方 式 及 遠(yuǎn) 程 控 制 。 SNMPv3結(jié) 構(gòu) 引 入 了 基于 用 戶 的 安 全 模 型 ， 用 于 保 證 消 息 安 全 及 基 于 視 圖 的 訪 問 控 制 模型 ， 用 于 訪 問 控 制 (USM)。SNMPv3使 用 SNMP SET命 令 配 置 MIB對 象 ， 使 之 能 動 態(tài) 配 置 SNMP代 理。 這 種 動 態(tài) 配 置 方 式 支 持 本 地 或 遠(yuǎn) 程 配 置 實 體 的 添 加 、 刪 除 及 修SNMPv3的 信 息 格 式 如 圖 所 示 。 8.5 SNMP 的 安 全 性8.5.1 安 全 性 概 述 簡 單 網(wǎng) 絡(luò) 管 理 協(xié) 議 分 兩 種 角 色 ： SNMP管 理 站 和 SNMP代 理 。 代 理 是實 際 網(wǎng) 絡(luò) 設(shè) 備 用 來 實 施 SNMP功 能 的 部 分 。 SNMP代 理 是 一 個 軟 件 ， 它能 夠 回 答 SNMP管 理 站 關(guān) 于 MIB中 定 義 信 息 的 各 種 查 詢 。 每 一 個 為 管 理 站提 供 MIB信 息 的 網(wǎng) 絡(luò) 設(shè) 備 都 有 一 個 SNMP代 理 ， 每 個 代 理 不 但 要 控 制 自 己本 地 的 MIB， 而 且 必 須 控 制 多 個 管 理 站 對 該 MIB的 使 用 。 這 種 控 制 包 含 以下 3個 方 面 ： (1)認(rèn) 證 服 務(wù) 。 (2)訪 問 策 略 。 (3)轉(zhuǎn) 換 代 理 。 以 上 這 3個 方 面 都 和 安 全 有 關(guān) ， 代 理 須 要 保 護(hù) 自 身 及 其 MIB， 使 MIB能夠 拒 絕 非 法 訪 問 。 8.5.1 安 全 性 概 述 1 SNMPvl的 安 全 機(jī) 制 SNMPvl僅 僅 提 供 了 有 限 的 安 全 性 ， 即 團(tuán) 體 的 概 念 。 團(tuán) 體 是 一 個在 代 理 上 定 義 的 局 部 概 念 。 一 條 已 通 過 認(rèn) 證 的 信 息 對 MIB有 何 訪 問 權(quán) 限 主 要 通 過 訪 問 控 制來 實 現(xiàn) 。 代 理 為 每 一 個 團(tuán) 體 定 義 了 一 個 SNMPvl團(tuán) 體 框 架 文 件 ， 該框 架 文 件 包 括 以 下 兩 個 部 分 ： (1)MIB視 域 。 MIB的 一 個 對 象 子 集 ， 每 個 團(tuán) 體 可 以 定 義 不 同 的MIB視 域 ， 一 個 視 域 中 的 對 象 集 不 必 屬 于 MIB的 單 個 子 樹 。 (2)SNMP訪 問 模 式 。 集 合 (只 讀 、 讀 寫 )的 一 個 元 素 ， 每 個 團(tuán) 體只 定 義 一 個 訪 問 模 式 。 8.5.1 安 全 性 概 述 2 SNMPv2的 安 全 機(jī) 制 SNMPv2支 持 分 布 式 網(wǎng) 絡(luò) 管 理 及 擴(kuò) 展 數(shù) 據(jù) 類 型 ， 可 以 實 現(xiàn) 大 量數(shù) 據(jù) 的 同 時 傳 輸 ， 具 有 豐 富 的 故 障 處 理 能 力 ， 增 加 了 集 合 處 理 功能 ， 加 強(qiáng) 了 數(shù) 據(jù) 定 義 語 言 。 此 外 ， SNMPv2還 引 入 了 “ 上 下 文 (context)” 的 概 念 。 本 地上 下 文 被 標(biāo) 識 為 一 個 M1B視 域 ， 遠(yuǎn) 程 上 下 文 被 標(biāo) 識 為 一 個 轉(zhuǎn) 換 代理 關(guān) 系 。 使 用 了 上 下 文 的 訪 問 控 制 策 略 由 以 下 4個 元 素 組 成 。 (1)目 標(biāo) 。 SNMP參 加 者 ， 它 按 主 體 方 的 請 求 執(zhí) 行 管 理 操 作 。 (2)主 體 。 SNMP參 加 者 ， 它 請 求 目 標(biāo) 方 執(zhí) 行 管 理 操 作 。 (3)資 源 。 (4)權(quán) 限 。 8.5.1 安 全 性 概 述 3 SNMPv3的 安 全 機(jī) 制 SNMPv3包 含 SNMPvl、 SNMPv2所 有 功 能 在 內(nèi) 的 體 系 框 架 ， 包 含 驗證 服 務(wù) 和 加 密 服 務(wù) 在 內(nèi) 的 全 新 的 安 全 機(jī) 制 ， 同 時 還 規(guī) 定 了 一 套 專 門的 網(wǎng) 絡(luò) 安 全 和 訪 問 控 制 規(guī) 則 。 SNMPv3在 SNMPv2基 礎(chǔ) 之 上 增 加 了 安 全和 管 理 機(jī) 制 。 RFC 2271定 義 的 SNMPv3體 系 結(jié) 構(gòu) 體 現(xiàn) 了 模 塊 化 的 設(shè) 計思 想 ， 可 以 簡 單 地 實 現(xiàn) 功 能 的 增 加 和 修 改 ， 其 特 點 如 下 ： (1)適 應(yīng) 性 強(qiáng) 。 (2)擴(kuò) 充 性 好 。 (3)安 全 性 好 。 SNMPv3主 要 有 3個 模 塊 ： 信 息 處 理 和 控 制 模 塊 、 本 地 處 理 模 塊 和用 戶 安 全 模 塊 。 8.3 ISO網(wǎng) 絡(luò) 管 理 體 系 結(jié) 構(gòu)8.3.1 OSI 管 理 標(biāo) 準(zhǔn) 概 述 OSI管 理 標(biāo) 準(zhǔn) 應(yīng) 用 了 面 向 對 象 的 信 息 模 型 構(gòu) 造 技術(shù) 。 在 管 理 信 息 標(biāo) 準(zhǔn) (ISO IEC 10165)中 描 述 了 模型 的 全 部 信 息 ， 主 要 由 以 下 幾 部 分 信 息 組 成 。 (1)管 理 信 息 模 型 。 (2)管 理 信 息 定 義 。 (3)受 管 對 象 定 義 指 南 。 (4)一 般 管 理 信 息 。 8.3.2 通 用 管 理 信 息 協(xié) 議 通 用 管 理 信 息 協(xié) 議 (Common Management Informlation Protoco1， CMIP)是 建 立 在 開 放 系 統(tǒng) 互 連 模式 上 的 網(wǎng) 絡(luò) 管 理 協(xié) 議 。 相 關(guān) 的 通 用 管 理 信 息 服 務(wù) (CMIs)定 義了 訪 問 和 控 制 網(wǎng) 絡(luò) 對 象 設(shè) 備 和 從 對 象 設(shè) 備 接 收 狀 態(tài) 信 息 的 方法 。 CMIP是 一 種 基 于 ASN 1的 協(xié) 議 ， 其 PDU(協(xié) 議 數(shù) 據(jù) 單元 )基 于 ROSE， 每 個 服 務(wù) 元 素 都 包 含 各 自 的 PDU， 它 是ROSE用 戶 數(shù) 據(jù) 的 一 部 分 。 8.3.2 通 用 管 理 信 息 協(xié) 議 CMIP并 沒 有 指 定 網(wǎng) 絡(luò) 管 理 應(yīng) 用 程 序 的 功 能 ， 只 定 義 了 管理 對 象 的 信 息 交 換 機(jī) 制 ， 而 沒 有 定 義 信 息 的 使 用 和 說 明 。 1 CMIP提 供 的 兩 種 服 務(wù) CMIP提 供 的 兩 種 服 務(wù) 分 別 是 傳 輸 由 管 理 系 統(tǒng) 發(fā) 起 并 面 向受 管 對 象 的 操 作 和 傳 輸 由 受 管 對 象 產(chǎn) 生 的 事 件 通 知 。 8.3.2 通 用 管 理 信 息 協(xié) 議 2 面 向 受 管 對 象 的 操 作 (1)獲 得 關(guān) 于 一 個 受 管 對 象 或 其 集 合 的 屬 性 值 。 (2)更 改 一 個 或 多 個 受 管 對 象 的 一 個 或 多 個 屬 性 值 。 (3)發(fā) 起 并 產(chǎn) 生 一 個 受 管 對 象 。 (4)從 環(huán) 境 中 取 消 一 個 或 多 個 受 管 對 象 。 (5)激 發(fā) 一 個 作 為 受 管 對 象 一 部 分 的 預(yù) 定 義 行 為 過 程 。 (6)停 止 一 個 GET操 作 。 3 CMIP的 主 要 優(yōu) 勢 (1)CMIP變 量 不 僅 用 于 轉(zhuǎn) 發(fā) 信 息 ， 還 可 以 完 成 各 種 作 業(yè) ，而 SNMP不 具 備 這 種 功 能 。 (2)CMIP更 加 安 全 ， 它 內(nèi) 置 安 全 機(jī) 制 ， 功 能 包 括 訪 問 控 制 、認(rèn) 證 和 安 全 日 志 (security Iog)。 (3)CMIP功 能 強(qiáng) 大 ， 在 單 個 請 求 下 可 以 實 現(xiàn) 多 種 動 能 。 (4)CMIP在 異 常 網(wǎng) 絡(luò) 條 件 下 具 有 更 好 的 報 告 功 能 。8.3.2 通 用 管 理 信 息 協(xié) 議 8.3.3 OSI 網(wǎng) 絡(luò) 管 理 功 能 1 故 障 管 理 故 障 管 理 指 系 統(tǒng) 出 現(xiàn) 異 常 情 況 下 的 管 理 操 作 。簡 單 地 說 ， 故 障 管 理 就 是 過 濾 、 歸 并 網(wǎng) 絡(luò) 事 件 ， 有 效 地 發(fā) 現(xiàn) 、確 定 故 障 的 位 置 ， 給 出 排 錯 建 議 與 排 錯 工 具 ， 形 成 整 套 的 故 障發(fā) 現(xiàn) 、 報 警 與 處 理 機(jī) 制 。 8.3 ISO網(wǎng) 絡(luò) 管 理 體 系 結(jié) 構(gòu) 2 計 費 管 理計 算 機(jī) 網(wǎng) 絡(luò) 系 統(tǒng) 通 過 計 費 系 統(tǒng) 來 統(tǒng) 計 用 戶 和 通 信 線 路 的 數(shù) 據(jù)傳 輸 量 ， 并 記 錄 操 作 動 作 ， 以 此 來 監(jiān) 視 線 路 工 作 的 繁 閑 情 況和 不 同 資 源 的 利 用 情 況 ， 以 供 決 策 參 考 。 通 常 的 計 費 方 式 分 為 如 下 兩 種 ： (1)基 于 地 址 的 計 費 。 以 網(wǎng) 絡(luò) 節(jié) 點 從 網(wǎng) 絡(luò) 管 理 部 門 所 獲 取的 IP地 址 為 依 據(jù) ， 通 過 對 IP地 址 的 監(jiān) 控 來 進(jìn) 行 計 費 。 (2)基 于 用 戶 的 計 費 。 利 用 計 費 軟 件 系 統(tǒng) ， 對 現(xiàn) 存 的 用 戶名 (賬 號 )進(jìn) 行 計 費 管 理 。 8.3.3 OSI 網(wǎng) 絡(luò) 管 理 功 能 3 配 置 管 理 配 置 管 理 就 是 定 義 、 收 集 、 監(jiān) 測 和 管 理 系 統(tǒng) 的 配 置 參 數(shù) ，使 網(wǎng) 絡(luò) 性 能 達(dá) 到 最 優(yōu) 。 配 置 管 理 負(fù) 責(zé) 監(jiān) 測 和 控 制 網(wǎng) 絡(luò) 的 配 置 狀態(tài) ， 自 動 發(fā) 現(xiàn) 網(wǎng) 絡(luò) 拓 撲 結(jié) 構(gòu) ， 構(gòu) 造 和 維 護(hù) 網(wǎng) 絡(luò) 系 統(tǒng) 的 配 置 ， 監(jiān)測 網(wǎng) 絡(luò) 被 管 理 對 象 的 狀 態(tài) ， 完 成 網(wǎng) 絡(luò) 關(guān) 鍵 設(shè) 備 配 置 的 語 法 檢 查 ，配 置 自 動 生 成 和 自 動 配 置 備 份 系 統(tǒng) ， 對 于 配 置 的 一 致 性 進(jìn) 行 嚴(yán)格 的 檢 驗 。 8.3.3 OSI 網(wǎng) 絡(luò) 管 理 功 能 4 性 能 管 理 性 能 管 理 主 要 是 采 集 、 分 析 網(wǎng) 絡(luò) 對 象 的 性 能 數(shù) 據(jù) 及 各 系統(tǒng) 之 問 的 通 信 操 作 趨 勢 ， 或 者 平 衡 系 統(tǒng) 之 間 的 負(fù) 載 。 同 時 ，統(tǒng) 計 網(wǎng) 絡(luò) 運 行 狀 態(tài) 信 息 ， 對 網(wǎng) 絡(luò) 的 使 用 發(fā) 展 做 出 評 測 、 估計 ， 以 便 對 網(wǎng) 絡(luò) 資 源 的 運 行 狀 況 和 通 信 效 率 等 系 統(tǒng) 性 能 做出 評 價 和 分 析 。 8.3.3 OSI 網(wǎng) 絡(luò) 管 理 功 能 8.3.3 OSI 網(wǎng) 絡(luò) 管 理 功 能 5 安 全 管 理 安 全 管 理 是 提 供 信 息 的 保 密 、 認(rèn) 證 和 完 整 性 保 護(hù) 機(jī) 制 ，是 網(wǎng) 絡(luò) 中 服 務(wù) 數(shù) 據(jù) 和 系 統(tǒng) 免 受 入 侵 和 破 壞 的 保 證 機(jī) 制 。 簡 單 網(wǎng) 絡(luò) 管 理 協(xié) 議 (Simple Network Management Protocol， SNMP)是 由 Internet體 系 結(jié) 構(gòu) 委 員 會 公 布 的 基 于TCP IP網(wǎng) 絡(luò) 的 管 理 協(xié) 議 。