第十三章第十三章 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 13.1網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理概述網(wǎng)絡(luò)管理是網(wǎng)絡(luò)發(fā)展中一個很重要的技術(shù)，對網(wǎng)絡(luò)的發(fā)展有著很長的影響，并已成為現(xiàn)代信息網(wǎng)絡(luò)中最重要的問題之一，它的重要性已經(jīng)在許多方面得到體現(xiàn)，并為越來越多的人所共識。 13.1.1網(wǎng)絡(luò)管理方法的演變網(wǎng)絡(luò)管理方法的演變?nèi)斯さ姆稚⒐芾矸绞阶詣踊募泄芾矸绞诫娦殴芾砭W(wǎng)的誕生13.1.2網(wǎng)絡(luò)管理系統(tǒng)的邏輯結(jié)構(gòu)網(wǎng)絡(luò)管理系統(tǒng)的邏輯結(jié)構(gòu) 一般而言，網(wǎng)絡(luò)管理就是通過收集網(wǎng)絡(luò)中各種資源的工作參數(shù)、狀態(tài)信息，由網(wǎng)絡(luò)管理者（Administrator）及時進行分析和處理，并將處理結(jié)果形成各種監(jiān)控指令發(fā)給網(wǎng)絡(luò)資源，保證整個網(wǎng)絡(luò)能正常高效的運行，其目的很明確，就是使網(wǎng)絡(luò)中的資源得到有效的利用。當網(wǎng)絡(luò)出現(xiàn)故障時它應(yīng)能及時報告和處理，并協(xié)調(diào)、保持網(wǎng)絡(luò)系統(tǒng)的高效運行等。網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型網(wǎng)絡(luò)管理系統(tǒng)的邏輯模型 通常一個網(wǎng)絡(luò)管理系統(tǒng)在邏輯上有被管對象（ManagedObject）、管理進程（Manager）和管理協(xié)議（ManagementProtocol）這3部分組成。網(wǎng)絡(luò)管理系統(tǒng)邏輯模型Internet網(wǎng)絡(luò)管理邏輯模型網(wǎng)絡(luò)管理邏輯模型13.2網(wǎng)絡(luò)管理的主要功能網(wǎng)絡(luò)管理的主要功能 ISO在ISO/IEC7498-4文件中將開放系統(tǒng)的系統(tǒng)管理功能分成5個基本功能：13.2.1配置管理配置管理 配置管理是網(wǎng)絡(luò)管理中最早出現(xiàn)的，也是最基本的功能，它對網(wǎng)絡(luò)中的設(shè)備和設(shè)施組成的變化進行管理。配置管理需要進行的操作內(nèi)容包括: 鑒別所有被管對象，給每一個被管對象分配名字； 設(shè)置被管對象的參數(shù)； 改變被管對象的操作特性，報告被管對象的狀態(tài)變化； 刪除不需要的被管對象； 處理被管對象之間的關(guān)系。13.2.213.2.2性能管理性能管理 網(wǎng)絡(luò)性能包括帶寬利用率、吞吐率的降低程度、通信繁忙的程度、網(wǎng)絡(luò)瓶頸及響應(yīng)時間等。性能管理以網(wǎng)絡(luò)性能為準則收集、分析和調(diào)整被管對象的狀態(tài)，其目的是保證網(wǎng)絡(luò)可以提供可靠、連續(xù)的通信能力并使用最少的網(wǎng)絡(luò)資源和具有最小的時延。 網(wǎng)絡(luò)性能管理的功能包括:從被管對象中收集與網(wǎng)絡(luò)性能有關(guān)的數(shù)據(jù)；對被管對象的進行性能統(tǒng)計，以及與性能有關(guān)的歷史數(shù)據(jù)的產(chǎn)生、記錄和維護；分析當前統(tǒng)計數(shù)據(jù)，以檢測性能故障，產(chǎn)生性能告警和報告性能事件； 將當前統(tǒng)計數(shù)據(jù)的分析結(jié)果與歷史模型比較以預(yù)測性能的長期變化；形成改進性能評價準則和性能門限值；以保證網(wǎng)絡(luò)的性能為目的，對被管對象和被管對象組的控制。 根據(jù)這些功能要求，性能管理功能還可進一步細分成4個子功能。它們是性能事件的監(jiān)測、網(wǎng)絡(luò)或管理對象的性能分析、性能的調(diào)節(jié)和性能的控制。13.2.313.2.3故障管理故障管理 所謂故障就是出現(xiàn)大量或者嚴重錯誤需要修復(fù)的異常情況，例如線路損壞而無法通信的情況。故障管理是網(wǎng)絡(luò)管理功能中與故障檢測、故障診斷、故障恢復(fù)或故障排除等措施有關(guān)的網(wǎng)絡(luò)管理功能，其目的是保證網(wǎng)絡(luò)能夠提供連續(xù)、可靠的服務(wù)。它主要包括以下幾個部分: 檢測被管對象的差錯，或接收被管對象的差錯事件通報； 當存在空閑設(shè)備或迂回路由時，提供新的網(wǎng)絡(luò)資源用于服務(wù)； 創(chuàng)建和維護差錯日志庫，并對差錯日志進行分析； 進行診斷和測試，以追蹤和識別故障位置、故障性質(zhì)； 通過資源的更換或維護以及其他恢復(fù)措施使其重新開始服務(wù)。13.2.4計費管理計費管理 計費管理記錄網(wǎng)絡(luò)資源的使用，目的是控制和監(jiān)測網(wǎng)絡(luò)操作的費用和代價。嚴格的計費管理還可以防止濫用訪問權(quán)限，以免加重網(wǎng)絡(luò)負擔。同時帳務(wù)記錄反映了網(wǎng)絡(luò)負載的分配情況，也可以為改進網(wǎng)絡(luò)效率提供參考，或者為網(wǎng)絡(luò)改進計劃提供依據(jù)。計費管理的功能包括:（1）統(tǒng)計網(wǎng)絡(luò)的利用率等效益數(shù)據(jù)，以使網(wǎng)絡(luò)管理人員確定不同時期和不同時間段的費率； （2）根據(jù)用戶使用的特定業(yè)務(wù)在若干用戶之間公平、合理地分攤費用；（3）允許采用信用記帳方式收取費用，包括資源利用率和帳單審查功能；（4）當多個資源同時用來提供一項服務(wù)時，能夠把對各個資源分別算出的費用累加。13.2.5安全管理安全管理 網(wǎng)絡(luò)中主要有以下幾方面的安全問題: 網(wǎng)絡(luò)數(shù)據(jù)的私有性（保護網(wǎng)絡(luò)數(shù)據(jù)不被侵入者非法獲?。?； 授權(quán)（防止侵入者在網(wǎng)絡(luò)上發(fā)送錯誤信息）； 訪問控制（控制對網(wǎng)絡(luò)資源的訪問）。 相應(yīng)地，網(wǎng)絡(luò)安全管理應(yīng)包括對授權(quán)機制，訪問控制，加密和密鑰的管理，另外還要維護和檢查安全日志。這包括: 創(chuàng)建、刪除，控制安全服務(wù)和機制； 與安全措施有關(guān)信息的分發(fā)； 與安全相關(guān)事件的通報。系統(tǒng)管理域與系統(tǒng)管理功能之間的關(guān)系11.3網(wǎng)絡(luò)管理信息模型和網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理信息模型和網(wǎng)絡(luò)管理 11.3.1網(wǎng)絡(luò)管理信息模型網(wǎng)絡(luò)管理信息模型描述管理信息，建立管理信息模型通常采用結(jié)構(gòu)化方法，這樣可以降低系統(tǒng)實現(xiàn)的難度，提高通用性。目前公認的最好辦法是利用面向?qū)ο蠹夹g(shù)來建立管理信息模型。 網(wǎng)絡(luò)管理信息主要有兩個作用。一個作用是支持管理進程的描述；另一個作用則是描述物理或邏輯的網(wǎng)絡(luò)資源。 描述物理和邏輯資源的管理信息所涉及的是各種網(wǎng)絡(luò)實體的情況，必須用這些信息來描述被管對象，因此就必須建立起它們的模型，模型中規(guī)定管理系統(tǒng)感興趣的資源特性、參數(shù)及其表示方法。另一方面，模型元件和物理實體之間必須保持一致，模型的狀態(tài)和參數(shù)是被管理系統(tǒng)和物理實體共同控制的。 管理信息模型的關(guān)系 網(wǎng)絡(luò)管理信息是從兩個方面來描述的，其一是管理信息結(jié)構(gòu)（SMI，Structure of Management Information），其二是管理信息庫（MIB）。 13.3.213.3.2被管對象被管對象 被管對象是對網(wǎng)絡(luò)管理數(shù)據(jù)的抽象，它們代表管理活動中涉及到的資源和信息。對被管對象的管理操作由管理進程發(fā)起，通過管理進程與被管對象之間的通信來完成。管理信息庫中有許多具有相同管理操作、屬性、特性組（Package）、通報和行為特性的被管對象是屬于同一個被管對象類。 標準中規(guī)定管理系統(tǒng)中的每個被管對象都具有以下5個特性量: 類（Class） 表明被管對象擁有的屬于哪個對象類，對象類規(guī)定了所有該類被管對象實例應(yīng)具有的特性，一個被管對象實例在創(chuàng)建時就說明了它屬于哪個對象類，同時該實例也應(yīng)有了相應(yīng)對象類的特性，具有相應(yīng)的屬性、操作、行為和通報特性。 下面是定義被管對象類的一個樣板： M_OBJECT_CLASS DERIVED FROM superclass DIRECTORY directory_object_class BEHAVIOR DEFINITIONS definition_source CHARACTERIZED BY ATTRIBUTES MUST CONTAINattributequalifier， MAY CONTAINattributequalifier， GROUP ATTRIBUTES MUST CONTAINgroup_attributequalifier， MAY CONTAINgroup_attributequalifier， OPERATIONS CREATE DELETE ACTIONSactions_name， NOTIFICATINSnotification_name， 屬性（Attribute） 屬性只是一種稱呼，用來指被管對象的特性值。屬性可以代表多種有數(shù)值的物理資源特性，在屬性和物理存儲量之間可以沒有直接有聯(lián)系，其他屬性也可以沒有相應(yīng)的存儲量，這時表示該屬性取默認值。 屬性組代表若干個屬性，只要給出屬性組的名字，就意味著給出了該組內(nèi)的所有屬性名。 每一被管對象都有多個屬性，屬性代表被管對象的各方面特性和工作狀態(tài)。 屬性可以是簡單變量，也可以是一個復(fù)雜的數(shù)據(jù)結(jié)構(gòu)，這樣的屬性就有多個值。 對屬性定義也規(guī)定了樣板，如下所示: ATTRIBUTE WITH ATTRIBUTE SYNTAX data_type PERMITTED_VALUES range_size_definition MATCHES FOR matching rules SINGLE_VALUED|MULTI_VALUED 屬性定義的具體例子是一個系統(tǒng)標識符的定義，如下所示: SystemID ATTRIBUTE WITH ATTRIBUTE SYNTAX FORUM_TYPES-|naming Type MATCHES FOR EQUALITY SUBSTRINGS SINGLE_VALUED := forum_attribute 141 管理操作（Operation） 由于對象具有封閉特性，對象的操作只能用通信方式傳遞發(fā)起管理操作的請求和返回操作結(jié)果。管理操作可以分為兩類，一類是對被管對象本身的操作，其操作結(jié)果改變整個被管對象；另一類是對被管對象屬性的操作。 面向?qū)傩缘牟僮饔?種，它們分別是: get value（取屬性值 replace value（替換屬性值） add value（增加屬性值）remove value（刪除屬性值）set value（設(shè)置默認值）對被管對象的操作主要有3種，其含義分別是:create（創(chuàng)建）創(chuàng)建一個新的被管對象delete（刪除）刪除一個被管對象action（執(zhí)行動作）執(zhí)行指定的動作，整個動作在對象類的定義中已經(jīng)說明 行為（Behavior） 被管對象的行為描述了對象及其屬性，通報和動作的動態(tài)特性。被管對象的行為特性定義中的條件內(nèi)容可以包括: 對被管對象進行操作的結(jié)果； 對屬性或?qū)ο蟛僮鞯亩喾N限制條件，尤其是對創(chuàng)建和刪除被管對象操作的限制； 屬性之間的各種內(nèi)在關(guān)系； 被管對象之間和各種內(nèi)在關(guān)系； 發(fā)出通報的條件； 被管對象行為的其他方面完整性定義。 通報（Notification） 網(wǎng)絡(luò)資源中發(fā)生的事件大多是管理進程需要知道的，因而被管對象以主動發(fā)出通報的形式將發(fā)生的事件通知外部的管理進程。被管對象首先將通報發(fā)給本地管理進程，是否要通知其他管理進程則取決于整個系統(tǒng)的配置和管理服務(wù)提供的手段。 通報分為一般通報和特殊通報兩類，每類通報有若干種具體通報定義。被管對象在什么時候發(fā)出通報決定于它的“轉(zhuǎn)發(fā)分揀器”。這是一個組合條件，只要滿足了條件就要發(fā)出通報。13.3.3 13.3.3 InternetInternet的管理信息庫的管理信息庫 1 1InternetInternet的的MIBMIBInternet的 MIB（Manager Information Base） 是圍繞被管對象組進行組織的，采用了結(jié)構(gòu)化的管理信息定義，稱為管理信息結(jié)構(gòu)（SMI，Standard of Management Information），規(guī)定了如何識別被管對象以及如何組織被管對象的信息結(jié)構(gòu)。 Internet的 MIB有兩個版本，MIB-I中總共只定義了114種被管對象，在MIB-中定義了185種被管對象。MIB-與MIB-I有3 處較大的區(qū)別:（）地址翻譯AT組的變化（）增加了傳送組（）增加了SNMP組組名被管對象對應(yīng)的資源對象種數(shù)系統(tǒng)（SYSTEM）被管理的整個結(jié)點1接口（INTERFACE）網(wǎng)絡(luò)連接接口22地址變換（AT）IP地址翻譯實體3IP協(xié)議（IP）Internet協(xié)議33控制報文（ICMP）Internet的控制報文協(xié)議26傳輸協(xié)議（TCP）傳送控制協(xié)議17數(shù)據(jù)報協(xié)議（UDP）用戶數(shù)據(jù)報協(xié)議4外部網(wǎng)關(guān)協(xié)議（EGP）外部網(wǎng)關(guān)協(xié)議6MIBI被管對象的分組和種數(shù)被管對象命名被管對象命名 InternetInternet組織通過組織通過MIBMIB提供了一個注冊方法，所有網(wǎng)絡(luò)資提供了一個注冊方法，所有網(wǎng)絡(luò)資源都在注冊時由源都在注冊時由MIBMIB管理機構(gòu)定義相應(yīng)的對象，在層次結(jié)構(gòu)管理機構(gòu)定義相應(yīng)的對象，在層次結(jié)構(gòu)的注冊目錄中分配被管對象名字。對象名字是按照的注冊目錄中分配被管對象名字。對象名字是按照SMISMI中的中的命名規(guī)范分配的。命名規(guī)范分配的。 Internet注冊樹的實例InternetInternet句法和類型句法和類型 在Internet的MIB標準中采用ASN.1結(jié)構(gòu)來描述管理對象類，但不是完全遵循ASN.1全集，而只采用了下列個原語類型:INTEGER（整數(shù)），OCTET（任意字節(jié)串），STRING（ASC碼字符串），OBJECT IDENTIFIER（對象標識符）和NULL（空），再加上兩個構(gòu)詞類型:SEAUENCE和SEQUENCE OF。其中整數(shù)可以是枚舉類。 在Internet的SMI中定義了6個主要的被管對象類，它們分別是: Network Address（網(wǎng)絡(luò)地址） IP Address （IP地址）Time Ticks（時間變量）Gauge（計量器）Counter（計數(shù)器）Opaque（模糊） 上述的對象類定義只是一種類型定義，還不是真正的被管對象，真正的被管對象是按照這些對象類定義創(chuàng)建的對象實例。管理系統(tǒng)實際操作的也是對象實例。除了對象類有名字（標識符）外，對象實例也必須有其惟一的標識符。被管對象的定義被管對象的定義 Internet中的被管對象都是用一些關(guān)鍵字（保留字）來說明的，為了描述被管對象的說明格式，SNMP中使用了5個記號，它們分別是: Object（對象描述符） Syntax（句法） Definition（定義） Access（訪問） Status（狀況）Internet MIB中的所有被管對象都要求按照ASN.1編碼標準和一個樣板（宏）進行定義，而這個宏是Internet管理機構(gòu)在SMI文本中定義的，如下所示: OBJECT-TYPE MACRO:= BEGIN TYPE NOTATION:=“SYNTAX”type （TYPE Object Syntax） “ACCESS” Access “STATUS” Status VALUE NOTATION:=Value（V5ALUE ObjectName） ACCESS:=“read_only” |“ read_write”| “ write_only” |“not_accessible” STATUS:=“mandatory” |“optional” |“obsolete” END13.413.4簡單網(wǎng)絡(luò)管理協(xié)議簡單網(wǎng)絡(luò)管理協(xié)議SNMPSNMP 13.4.113.4.1概述概述SNMP的體系結(jié)構(gòu)SNMP的3個基本元素是:管理者（管理進程）、代理、MIB。SNMP是基于TCP/IP的網(wǎng)絡(luò)管理協(xié)議，它是采用查詢管理策略在SNMPv1中定義5種協(xié)議數(shù)據(jù)單元（PDU）:Get-Request 管理者從代理中檢索信息；Get-Next-Request 與Get-Request配合實現(xiàn)對表對象的操作；Get-Response代理對管理者Get-Request的響應(yīng)；Set-Request對設(shè)備中的參數(shù)據(jù)進行遠程設(shè)置；Trap代理發(fā)給管理者的非請求信息，用于某些特定事件。 每一個代理包含一個MIB，是一個樹形結(jié)構(gòu)的數(shù)據(jù)庫，是被管對象的集合。對象由若干變量定義，變量主要由變量名、變量的數(shù)據(jù)類型和變量的屬性組成。 在SNMPv1中定義了114種對象，SNMPv2中對安全性進行了加強，它增加了2種 PDU（GetBulkRequest用于表操作；InformRequest用于管理者之間交換管理信息），并將對象種數(shù)擴大185 種。 SNMPv3（RFC2570-2575，1999年5月）是建立在SNMPv1和SNMPv2的基礎(chǔ)上的最新發(fā)展成果，它實現(xiàn)了SNMPv2未能實現(xiàn)的幾個目標，其中包括稱為“商業(yè)級”的安全性:認證、源標識符、報文的完整性等；隱私、授權(quán)和存取控制；遠程配置與管理。13.4.2 13.4.2 SNMPv1SNMPv1 SNMP是一個異步的請求/響應(yīng)協(xié)議。SNMP只提供兩種管理功能：（）管理進程從管理代理獲取管理對象（變量）的信息。（）管理進程對管理代理的管理對象（變量）進行設(shè)置和修改。第一條功能則有管理進程查詢和管理代理主動報告兩種方式，分別稱為查詢驅(qū)動和事件驅(qū)動方式，第二條功能當然需要管理進程首先發(fā)送操作命令進行設(shè)置。SNMP中引入了稱為“自陷（trap）”的事件報告機制。當管理代理發(fā)現(xiàn)本地發(fā)生變化（事件）時就主動向管理進程報告，并且不需要響應(yīng)。這也是請求/響應(yīng)響應(yīng)的另外。SNMP中設(shè)計了四種基本協(xié)議的交互過程：（）管理進程從管理代理處讀取管理管理信息（）管理進程在管理代理的可見范圍內(nèi)遍歷一部分管理對象實例（）管理進程在管理代理中存儲信息，也即對管理體制代理的MIB實例進行寫操作（包括設(shè)置工作參數(shù)）；管理進行發(fā)送一個set-request給管理代理，由管理代理完成set操作，然后用set-response返回操作結(jié)果。（）管理代理主動向管理進程報告事件SNMP協(xié)議是一個對稱協(xié)議，沒有主從關(guān)系，SNMP之上的管理進程和管理代理都可以得到SNMP完全相同的服務(wù)。 管理進程是管理活動的主動參與者，管理進程軟件在構(gòu)造SNMP報文時，要填寫適當?shù)膱笪氖撞?。然后將SNMP報文交付給UDP層進行傳輸。初始化完成后，管理代理就在UDP協(xié)議的161端口等待接收SNMP報文。當管理代理成功地接收到一個報文后，它調(diào)用語法分析程序?qū)NS.1格式解碼成更容易利用的內(nèi)部格式。 在管理代理對ANS.1格式的報文進行解碼的同時，它可以同時開始構(gòu)造用做響應(yīng)的GetResponse-PDU。管理代理填寫好GetResponse-PDU后，用基本編碼規(guī)則BER將報文編碼為ANS.1格式，交付給UDP協(xié)議將其傳送給發(fā)出請求的管理進程。 13.4.3 13.4.3 SNMPv2SNMPv2 第二版的SNMP協(xié)議是建立在第一版基礎(chǔ)上的，SNMPv2中除了對報文的格式進行了改進以外，還增加了一種新的管理信息報文，該報文在各管理進程之間傳送信息。 實際上由RFC1902-1908定義的SNMPv2并沒有新的管理控制框架，因此該版SNMP也常被稱為SNMPv2c；基于團體的第二版SNMP。在改進安全性方面，后來又出現(xiàn)了SNMPv2usec，是基于用戶的安全模型，但與SNMPv2c一樣都未能達到令人滿意的結(jié)果。 盡管SNMPv2c的安全性仍然沒有本質(zhì)的改進，但還是得到了普遍接受和應(yīng)用，因此SNMPv2對SMI、MIB和協(xié)議也都進行了比較大的改進：（）第二版中對表格處理進行了標準化，表格行的創(chuàng)建、刪除和修改可以按標準化的對象進行處理，這些標準對象描述了每行的狀態(tài)，是用文本結(jié)構(gòu)約定中的宏來定義的。（）SNMPv2對管理信息報文格式的主要改進是，所有的PDU格式都是一致的，但個別PDU中的字段含義有變化。統(tǒng)一的PDU格式簡化了發(fā)送和接收SNMP報文的處理。（）SNMPv2定義了7個SNMP操作，因而也就相應(yīng)地有7個不同的PDU標簽代碼。13.4.4 13.4.4 SNMPv3SNMPv3 1SNMPv3的結(jié)構(gòu)的結(jié)構(gòu)SNMPv3被設(shè)計為模塊化的結(jié)構(gòu)，這樣使得協(xié)議易于改進和更新。結(jié)構(gòu)的主要部分是一個SNMP引擎（Engine），它包括: 分配器（dispatcher） 報文處理子系統(tǒng)（MessageProcessingSubsystem）安全子系統(tǒng)（SecuritySubsystem）訪問控制子系統(tǒng)（AccessControlSubsystem）2SNMPv3的安全系統(tǒng)的安全系統(tǒng)它把安全性分為兩個部分，其中傳輸/接收報文的報文級安全稱為“安全”，包括認證、加密和適時性檢查等；而用“訪問控制”來表示協(xié)議操作的安全應(yīng)用?；谟脩舻陌踩Ｊ剑║SM）除了SNMPv2提供的3種安全服務(wù)外，SNMPv3還提供了報文適時性（Timeliness）和限制重放的保護。它定義了3種不同的安全模塊結(jié)構(gòu): 適時性檢查模塊 認證模塊 隱私模塊基于視圖的訪問控制模式（VACM）SNMP的報文封裝在PDU中，PDU定義了接收的引擎執(zhí)行何種操作，為了便于對協(xié)議操作的安全管理，將PDU分為以下幾類（每個PDU可屬于一個或多個類）: 讀類如Get-Request； 寫類如Set-Request； 響應(yīng)類如Get-Response，Report； 通報類可以主動發(fā)送通報，如Trap，Inform-Request； 內(nèi)部類在SNMP引擎內(nèi)部交換信息的協(xié)議操作，如Report； 確認類所有能引起引擎響應(yīng)的PDU，如Get-Request，Get-Next-Request； 非確認類不需響應(yīng)的PDU，如Get-Response，Report，Trap。VACM定義了組的概念。一個組是一個集合，由零到多個安全模式，安全名對組成，以組名表示。組定義了屬于該組的所有安全名的訪問權(quán)限。VACM的訪問控制策略就是對一個特定的組的特定的上下文使用特定的安全模式和安全級別，再指定其視圖類型，以一個視圖名表示。