网络管理基础知识.doc

1、（1） 什么是网络管理？网络管理，简称网管，简单地说就是为保证网络系统能够持续、稳定、安全、可靠和高效地运行，对网络实施的一系列方法和措施。网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结果显示给管理员并进行处理，从而控制网络中的设备、设施、工作参数和工作状态，使其可靠运行。（2） 网络管理的功能是什么？故障管理：计费管理：配置管理和名称管理：性能管理：安全管理：网络流量控制、网络路由选择策略管理（3） 网络管理系统的层次结构。l 把被管理资源画在单独的框中，表明被管理资源可能与管理站处于不同的系统中；l 各种网络管理框架的共同特点： 管理功能分为管理站和代理两部

2、分； 为存储管理信息提供数据库支持； 提供用户接口和用户试图（View）功能； 提供基本的管理操作。（4） 集中式网络管理和分布式网络管理有什么区别?各有什么优缺点?集中式网络管理:网络中至少有一个结点（主机或路由器）担当管理站的角色，除过NME之外，管理站中还有一组软件，叫做网络管理应用（NMA）,网络中的其他结点在NME的控制下与管理站通信，交换管理信息。这种集中式网络管理策略的好处是：管理人员可以有效地控制整个网络资源，根据需要平衡网络负载，优化网络性能。分布式网络管理：地理上分布的网络管理客户机与一组网络管理服务器交互作用，共同完成网络管理功能。中心管理站还能对管理功能较弱的客户机发出

3、指令，实现更高级的管理。分布式网络管理具有灵活性（Flexibility）和可伸缩性（Scalability），网络管理更加方便。 （5） 什么是委托代理?非标准设备：若系统要求每个被管理的设备都能运行代理程序，并且所有管理站和代理都支持相同的管理协议。这种要求有时是无法实现的。例如：有的老设备可能不支持当前的网络管理标准；小的系统可能无法完整实现NME的全部功能；一些设备（例如Modem和多路器等）根本不能运行附加的软件，把这些设备叫做非标准设备。委托代理的设备(Proxy)来管理一个或多个非标准设备。委托代理和非标准设备之间运行制造商专用的协议，而委托代理和管理站之间运行标准的网络管理协议

4、 。这样，管理站就可以用标准的方式通过委托代理得到非标准设备的信息，委托代理起到了协议转换的作用。 （1）ASN.1的数据类型。ASN.1定义的数据类型有20多种，标签值类型都是UNIVERSAL，如下表所示。这些数据类型可分为4大类：l 简单类型：由单一成份构成的原子类型l 构造类型：由两种以上成分构成的构造类型l 标签类型：由已知类型定义的新类型l 其他类型：包括CHOICE和ANY两种类型（2）什么是SNMP v1的团体(公共体，Community)？SNMP网络管理是一种分布式应用。这种应用的特点是管理站和被管理站之间的关系可以是一对多的关系，也可能是多对一的关系。 SNMP的团体是一

5、个代理和多个管理站之间的认证和访问控制关系。允许访问的团体名是在被管理系统一侧定义的。SNMP公共体是指定义验证、访问控制和代理特征的SNMP管理者与SNMP代理之间的关系，公共体是一个本地概念。 代理系统可以对不同的团体定义不同的访问控制策略，每一个团体被赋予一个唯一的名字。管理站只能以代理认可的团体名行使其访问权。 一个管理站可能以不同的名字出现在不同的代理中，即管理站实体可以用不同的名字对不同的代理实施不同的访问权限。 如果两个代理定义了同一团体名，这种名字的相似性也不意味着它们属于同一团体。 （3）MIB的功能和特点是什么？MIB的结构，MIB的数据类型。MIB的职能就是为管理工作站指

6、定代理，而管理工作站通过获取MIB对象的值来执行监视功能。 MIB是对象的集合，它代表网络中可以管理的资源和设备。每个对象基本上是一个数据变量，它代表被管理的对象的一方面的信息。SNMP环境中的所有管理对象组织成分层的树结构，即MIB结构。这种层次树结构有3个作用：表示管理和控制关系；提供了结构化的信息组织技术；提供了对象命名机制其中用到的5种通用类型如下表所示，前4种是简单类型，最后一种是构造类型。（4）MIB的功能组。1. 系统组(System group) :提供了系统的一般信息。2. 接口组（Interface group） ：包含主机接口的配置信息和统计信息。3. 地址转换组（Add

7、ress translation group） ：包含网络地址到接口的物理地址的映像关系。4. IP组 ：提供了与IP协议有关的信息。5. ICMP组 ：是IP的伴随协议。6. TCP组 ：包含与TCP协议的实现和操作有关的信息。7. UDP组 ：提供了关于UDP数据报和本地接收端点的详细信息。8. EGP组 ：提供了有关EGP路由器发送和接收的EGP报文的信息，以及关于EGP邻居的详细信息等。9. 传输组（ Transmission group） ：设置这一组的目的是针对各种传输介质提供详细的管理信息。事实上这不是一个组，而是一个联系各种端口专用信息的特殊结点。10. MIB-2的局限性 （

8、5）管理信息结构SMI的概念和管理信息结构（SMI）的功能。SMI确定了可用于MIB中的数据类型并说明对象在MIB内部怎样表示和命名。管理信息结构（SMI）说明了定义和构造MIB的总体框架，以及数据类型的表示和命名方法。SMI的宗旨是保持MIB的简单性和可扩展性，只允许存储标量和二维数组，不支持复杂的数据结构。SMI提供了以下标准化技术表示管理信息：定义了MIB的层次结构；提供了定义管理对象的语法结构；规定了对象值的编码方法。 （7）SNMP的通信基础是UDP协议，使用UDP而不使用TCP协议的原因是什么？答：之所以选择UDP协议而不是TCP协议，是因为UDP效率较高，这样实现网络管理不会太多

9、地增加网络负载。但由于UDP不是很可靠，因而SNMP报文容易丢失。为此，对SNMP实现的建议是对每个管理信息要装配成单独的数据报独立发送，而且报文应短些，不超过484个字节。（6） SNMPv1有那些局限性？a) 由于轮询的性能限制，SNMP不适合管理很大的网络；b) SNMP不适合检索大量数据；c) SNMP陷入报文没有应答，代理不知道管理站是否收到报文，这样可能会丢掉某些重要管理信息d) SNMP只提供简单的团体名认证，安全措施不够；e) SNMP不直接支持向被管理设备发送命令；f) SNMP的管理信息库MIB-2支持的管理对象是很有限的，不足以完成复杂的管理功能。g) SNMP不支持管理

10、站之间的通信，而这一点在分布式网络管理中是很需要的。（注：以上局限性有很多在SNMP的第2版都有所改进。）（7） 什么是SNMP v1的访问策略？SNMP团体和SNMP团体形成的组合叫做SNMP访问策略。访问控制有MIB视图 (View，或者叫做视阈)和访问模式两方面的含义。MIB视图：MIB中对象的一个子集，对不同的团体可以定义不同的视图（View）。属于同一视图的对象不必属于同一子树。访问模式：集合read-only，read-write的一个元素。对于一个团体可以定义一种访问模式。有关一个团体的MIB视图和访问模式的组合叫做该团体的形象（Profile，或者叫做轮廓）。（8） 描述SNM

11、P v1 的安全机制。SNMPv1的安全机制很简单，只是验证团体名。属于同一团体的管理站和被管理站才能互相作用，发送给不同团体的报文被忽略。（9） SNMP v1和SNMP v2的区别有哪些？ SNMPv2既可以支持完全集中的网络管理，又可以支持分布式网络管理。 具体地说SNMPv2对SNMP的增强主要在以下3方面 管理信息结构的扩充 管理站和管理站之间的通讯能力 新的协议操作SNMPv2的管理信息结构是在总结SNMP应用经验的基础上对SNMPv1 SMI进行了扩充，提供了更精致更严格的规范，规定了新的管理对象和MIB的文档,可以说是SNMPv1 SMI的超集。SNMPv2 SMI引入了4个关

12、键的概念： 对象的定义 概念表 通知的定义（10） 描述SNMP v2中如何生成和删除表中的行。行的生成：生成概念行可以使用两种不同的方法，分成4个步骤，下面解释生成过程：l 选择实例标识符，针对不同的索引对象可考虑用不同方法选择实例标识符：l 管理站通过事务处理产生和激活概念行，或管理站与代理协商生成概念行； l 初始化非默认值对象； l 激活概念行 概念行的删除：管理站发出set命令，把状态列置为destroy,如果这个操作成功，概念行立即被删除。（11） 请描述 SNMP v1和SNMP v2的安全机制和它们安全机制的主要差别是什么。SNMPv1的安全机制很简单，只是验证团体名。属于同一

13、团体的管理站和被管理站才能互相作用，发送给不同团体的报文被忽略。考虑了各种安全功能以后，SNMPv2 PDU有了更复杂的结构，建议的安全协议如图4.2.45所示。可以看出在原来的PDU前面加上了加密和认证信息（12） 描述SNMPv2加密报文的发送和接收过程。需要加密和认证的SNMPv2报文的发送过程： 发送实体首先构造管理通信消息SnmpMgmtCom，这需要查找本地数据库，发现合法的参加者和上下文。 然后，如果需要认证协议，则在SnmpMgmtCom前面加上认证信息authInfo，构成认证报文SnmpAuthMsg，否则把authInfo置为长度为0的字节串（OCTET STRING）。

14、若参加者的认证协议为v2md5AuthProtocol，则由本地实体按照MD5算法计算产生16个字节的消息摘要，作为认证信息中的authDigest。 第三步是检查目标参加者的私有协议，如果需要加密，则采用指定的加密协议对SnmpAuthMsg加密，生成privData(SnmpAuthMsg)。 最后置privDst=dstParty，组成完整的SNMPv2报文，并经过BER编码发送出去。SNMPv2安全报文的接收过程：目标方实体接收到SnmpPrivMsg后首先检查报文格式。如果这一检查通过，则查找本地数据库，发现需要的验证信息。根据本地数据库的记录，可能需要使用私有协议对报文解密，对认证

15、码进行验证，检查源方参加者的访问特权和上下文是否符合要求等。一旦这些检查全部通过，就可以执行协议请求的操作了。 （13） SNMPv2对SNMPv1做了那些修改。具体地说SNMPv2对SNMPv1的增强主要在以下3方面 管理信息结构的扩充 管理站和管理站之间的通讯能力 新的协议操作（14） SNMP v3与SNMP v2相比主要增加了哪些方面的功能? SNMPv2在其最终形式中也没有包括安全性，这种缺陷在SNMPv3中得到了补救。SNMPv3工作组发布的文档定义了一套安全功能和框架，使它们能够与SNMPv2或者SNMPv1中的功能一起使用，该框架也适合于新功能的使用，并包含安全性的增强和修改。

16、SNMPv3实现包括RFC2271RFC2275中定义的安全和结构特征，以及在SNMPv2文档中定义的PDU格式和功能“SNMPv3等于SNMPv2加上安全和管理” （15） 描述SNMP v3的结构（实体、引擎的概念）。SNMP结构由分布式、交互SNMP实体的集合组成，每个实体都实现一部SNMP功能。每个SNMP实体都有模块的集合组成，模块之间相互作用来提供服务。 SNMP 实体l 每个SNMP实体都包括一个SNMP引擎。l SNMP引擎和它所支持的应用都定义为离散模块的集合。l 这种结构的优点：1）我们将看到SNMP实体的角色由在该实体内实现的模块所决定；2）规范化的模块化结构可以让它本身

17、定义每一个模块的不同版本。（16） 描述SNMP v3抽象服务接口。SNMP中模块之间的服务以基元（primitive）和参数（parameter）在RFC中定义，基元规定了要执行的功能，而参数用于传送数据和控制信息。用基元和参数定义的接口称之为抽象服务接口。（17） 简述SNMPv3的消息处理过程：？在SNMPv3中，消息在SNMPv3实体之间以消息的形式进行交换。每一个消息都包括一个消息报头和PDU，由消息处理子系统创建并处理。指令发生器消息处理过程中涉及的关键性步骤：（18） SNMPv3的两个安全模型（USM，VACM）及其特点。VACM模型有两个重要的特点：VACM模型确定是否应该允

18、许一个远程要素访问本地MIB中的被管理对象；VACM使用为该代理定义了访问控制策略的MIB，并使用远程配置成为可能。（1）RMON的主要功能是什么？RMON定义了远程网络监视的管理信息库以及SNMP管理站与远程监视器之间的接口。一般来说，RMON的功能就是监视子网范围内的通信，从而减少管理站和被管理系统之间的通信负担。更具体地说，RMON有下列功能：离线操作。 主动监视。 问题检测和报告： 提供增值数据： 多管理站操作： （2） RMON对表对象的管理作出了什么改进?RMON规范中增加了两种新的数据类型：OwnerString和EntryStatus ，RMON规范中的表结构由控制表和数据表两

19、部分组成，控制表定义数据表的结构，数据表用于存储数据；管理站用set命令在RMON表中增加新行；只有行的所有者才能发出SetRequest PDU，把行状态对象的值置为invalid(4)，这样就删除了行。这是否意味着物理删除，取决于具体的实现；首先置行状态对象的值为invalid(4)，然后用SetRequest PDU改变行中其他对象的值.（3） RMON MIB与MIB-2的区别是什么？RMON规范定义了管理信息库RMON MIB它是MIB-2下面的第16个子树。（4） 试描述警报组、过滤组、事件组和包捕获组的关系。RMON MIB分为10组，这10个功能组都是任选的，但实现时有下列连带

20、关系：1. 实现报警组时必须实现事件组；2. 实现最高N台主机组时必须实现主机组；3. 实现捕获组时必须实现过滤组。RMON警报组定义了一组网络性能的门限值，超过门限值时向控制台产生报警事件。RMON报警组必须和事件组同时实现。过滤组提供一种手段，使得监视器可以观察接口上的分组，通过过滤选择出某种指定的特殊分组。一组过滤器的组合叫做通道。可以对通过通道测试的分组计数，也可以配置通道使得通过的分组产生事件（由事件组定义），或者使得通过的分组被捕获（由捕获组定义）。事件组的作用是管理事件。事件是由MIB中其他地方的条件触发的，事件也能触发其他地方的作用。产生事件的条件在RMON其他组定义，例如警报

21、组和过滤组都有指向事件组的索引项。包捕获组建立一组缓冲区，用于存储从通道中捕获的分组。（5） RMON2扩充了那些功能组，它们的作用是什么？增加了9个新的功能组如下:协议目录组(protocolDir)：这一组提供了表示各种网络协议的标准化方法，使得管理站可以了解监视器所在的子网上运行什么协议。这一点很重要，特别对于管理站和监视器来自不同制造商时是完全必要的。协议分布组（protocolDist）：提供每个协议产生的通讯统计数据。 地址映像组（addressMap)：建立网络层地址（IP地址）与MAC地址的映像关系。这些信息在发现网络设备、建立网络拓扑结构时有用。这一组可以为监视器在每一个接口

22、上观察到的每一种协议建立一个表项，说明其网络地址和物理地址之间的对应关系。 网络层主机组(nlHost)：这一组类似于RMON1的主机组，收集网上主机的信息，例如主机地址、发送/接收的分组/字节数等。但是与RMON1不同，这一组不是基于MAC地址，而是基于网络层地址发现主机。这样管理人员可以超越路由器看到子网之外的IP主机。网络层矩阵组(nlMatrix)：记录主机对（源/目标）之间的通讯情况，收集的信息类似于RMON1的矩阵组，但是按网络层地址标识主机。其中的数据表分为SD表、DS表和TopN表，与RMON1的对应表也是相似的。应用层主机组(alHost)：对应每个主机的每个应用协议（指第三

23、层之上的协议）在alHost表中有一个表项，记录有关主机发送/接收的分组/字节数等。这一组使用户可以了解每个主机上的每个应用协议的通讯情况。应用层矩阵组(alMatrix)：统计一对应用层协议之间的各种通讯情况，以及某种选定的参数最大的（TopN）一对应用层协议之间的通讯情况。 用户历史组(usrHistory)：按照用户定义的参数，周期地收集统计数据。这使得用户可以研究系统中的任何计数器，例如关于路由器路由器之间的连接情况的计数器。监视器配置组(probeConfig)：定义了监视器的标准参数集合，这样可以提高管理站和监视器之间的互操作性，使得管理站可以远程配置不同制造商的监视器。第 8 页 共 8 页