1、网网络安全与管理安全与管理 第第1111章章 网网络管理原理管理原理1.本章学习目标n 网络管理的概念、目标、功能,网络管理的标准n 简单网络管理协议的体系结构、安全和实现n 简单网络管理协议模型的发展,介绍SNMP v1、SNMP v2、SNMP v3、RMONn 网络管理技术的新发展,分别介绍基于Web技术、CORBA技术、主动网、专家系统的网络管理 2.11.1 网络管理简介n11.1.1 网络管理概述n11.1.2 网络管理的目标n11.1.3 网络管理的功能n11.1.4 网络管理的标准n11.1.5 网络管理的方式3.11.1.1 网络管理概述网络管理的意义:随着计算机网络的发展和
2、普及,网络系统规模的日益扩大和网络应用水平的不断提高,n 一方面对于如何保证网络的安全、组织网络高效地运行提出了迫切的要求;n 另一方面,计算机网络日益庞大,使管理更加复杂。4.11.1.1 网络管理概述网络管理的定义:n 按照国际标准化组织(ISO)的定义,网络管理是指规划、监督、控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。n 网络管理的目的在于提供对计算机网络进行规划、设计、操作运行、管理、监视、分析、控制、评估和扩展的手段,从而合理地组织和利用系统资源,提供安全、可靠、有效和友好的服务。5.11.1.1 网络管理概述网络管理的意义:随着计算机网络的发展和普及,网络系统规模
3、的日益扩大和网络应用水平的不断提高,n 一方面对于如何保证网络的安全、组织网络高效地运行提出了迫切的要求;n 另一方面,计算机网络日益庞大,使管理更加复杂。6.11.1.1 网络管理概述网络管理的对象:n 从网络设备的角度考虑,网络管理对象一般包括硬件资源和软件资源两部分。n硬件管理指的是对构成网络的设备的管理。n软件管理指的是对运行于硬件设备上的操作系统、应用程序以及访问权限等的管理。n 从网络构架的角度考虑,网络管理既要负责管理局域网的网络性能、网络流量、网络冲突和碰撞等,又要负责管理广域网的网络线路、广域网流量等内容。7.11.1.2 网络管理的目标 网络管理的目标是通过收集、监控网络中
4、各种设备和设施的工作参数、工作状态信息并显示给管理员接受处理,从而最大限度地增加网络的可用时间,提高网络性能、服务质量和安全性,保证网络设备的正常运行,控制网络运行成本以及提供网络长期规划等。网络经营者以及用户对网络的基本要求是:n 有效性 n 可靠性 n 开放性 n 综合性 n 安全性 n 经济性 8.11.1.3 网络管理的功能 网络管理是控制一个复杂的计算机网络去获取最大效益和生产率的过程,为更好地定义网络管理的范围,国际标准化组织(ISO)定义了网络管理的五大功能。n 配置管理(Configuration Management)n 性能管理(Performance Management
5、)n 故障管理(Fault Management)n 计费管理(Accounting Management)n 安全管理(Security Management)9.11.1.4 网络管理的标准 国际上有一些组织机构致力于研究、制定、开发网络管理的服务、协议和结构,其中最重要的三个国际组织是:n国际标准化组织(ISO)nInternet工程任务组(IETF)n国际电信联盟(ITU)10.11.1.4 网络管理的标准国际标准化组织(ISO)OSI系统管理标准的制定受到了政府和工业界的支持nISO7498-4文件定义了网络管理的基本概念和总体框架;nCMIP:网络管理提供的服务和网络管理协议nCM
6、IS:公共管理信息协议规范nCMIS定义了为OSI系统管理提供的一系列服务,而CMIP则是实现这些CMIS服务使用的协议。nCMIS/CMIP的整体结构是建立在使用ISO网络参考模型的基础上的,网络管理应用进程使用ISO参考模型中的应用层。11.11.1.4 网络管理的标准国际标准化组织(ISO)OSI系统的管理结构12.11.1.4 网络管理的标准IETF制定了SNMP协议SNMP是目前TCP/IP网络中应用最为广泛的网络管理协议,SNMP最大的特点是简单性,容易实现且成本低。此外,它还有以下特点:n可伸缩性:SNMP可管理绝大部分符合Internet标准的设备;n扩展性:通过定义新的“被管
7、理对象”,可以非常方便地扩展管理能力;n健壮性:即使在被管理设备发生严重错误时,也不会影响管理者的正常工作。13.11.1.4 网络管理的标准Internet管理结构14.11.1.4 网络管理的标准TMN电信管理标准n1985年CCITT提出了TMN的构想,用于实现对异构型互连网络、设备与业务进行有效的管理,提高网络的运行质量和效率,向用户提供良好的通信服务,为电信网络管理目标的实现提供了一套整体解决方案。n1988年CCITT形成了M.30建议书,定义了TMN的框架结构、功能模型、信息模型与物理模型。M.30是一总建议书,由它可引出一系列与TMN相关的子建议书。15.11.1.4 网络管理
8、的标准TMN和电信网的关系图16.11.1.5 网络管理的方式随着网络的发展,网络管理的方式也在发生变化n早期网络管理是采用人工方式n后来出现了人工与自动相结合的管理方式n现在以集中为主变为以分散为主17.11.2 简单网络管理协议n11.2.1 SNMP的管理模型n11.2.2 SNMP v1的体系结构n11.2.3 SNMP v1的安全机制n11.2.4 SNMP v1的实现问题n11.2.5 SNMP v2n11.2.6 SNMP v3n11.2.7 RMON18.11.2.1 SNMP的管理模型 SNMP的管理模型包括4个关键元素:管理工作站、网络管理协议、管理代理、管理信息库。n管理
9、工作站:管理工作站是与在不同的被管理节点中的代理通信,并且显示这些代理状态的中心设备。n网络管理协议:网络管理协议是管理工作站和代理之间用来交换信息的协议,是一系列协议组和规范。n管理代理:代理(Agent)是一种特殊的软件或固件,它包含了关于一个设备或该设备所处环境的信息。n管理信息库:管理信息库指明了网络元素所维持的变量,即能够被管理进程查询和设置的信息。19.11.2.1 SNMP的管理模型SNMP的配置20.11.2.2 SNMP v1的体系结构请求/响应原语 SNMP v1规定了5种协议数据单元PDU(也就是SNMP报文),用来在管理进程和代理之间交换信息。这5种协议数据单元也被称为
10、SNMP的请求/响应原语。nget-request操作:从代理进程处提取一个或多个参数值;nget-next-request操作:从代理进程处提取紧跟当前参数值的下一个参数值;nset-request操作:设置代理进程的一个或多个参数值;nget-response操作:返回的一个或多个参数值。这个操作是由代理进程发出的,它是前面三种操作的响应操作;ntrap操作:即前面提到的自陷,代理进程主动发出的报文,通知管理进程有某些事情发生。21.11.2.2 SNMP v1的体系结构5种报文操作22.11.2.2 SNMP v1的体系结构SNMP报文格式23.11.2.2 SNMP v1的体系结构数据
11、采集:从被管理设备中采集数据有两种方法:n一种是轮询(polling)的方法n另一种是中断(interrupt)的方法 24.11.2.2 SNMP v1的体系结构数据采集:从被管理设备中采集数据有两种方法:n轮询(polling):信息的采集总是处于网络管理工作站的控制之下。这种方法的缺陷在于信息的实时性,尤其是错误信息的实时性n中断(interrupt):当有异常事件发生时,如果基于中断的方法(自陷),被管理设备就可以立即通知网络管理工作站。25.11.2.3 SNMP v1的安全机制 SNMP v1的安全机制比较脆弱,通信不加密,所有共同体字符和数据都以明文形式发送。n共同体:相当于访问
12、口令 n访问策略:通过定义管理对象的访问模式限制管理站的访问。所谓的访问控制有两方面的含义:nMIB视图:MIB中对象的子集,对不同的共同体可以定义不同的视图n访问模式:SNMP定义了两种访问模式:只读和读写。MIB视图和访问模式合起来被称作SNMP共同体框架。26.11.2.4 SNMP v1的实现问题轮询频率:n我们需要一种能提高网络管理性能的轮询策略,以决定合适的轮询频率。n通常轮询频率与网络的规模和代理的多少有关。而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其他因素。n为了使问题简化,假定管理站一次只能与一个代理作用,轮询只是采用 get请求/响应这种简单
13、形式,而且管理站全部时间都用来轮询,于是有下面的不等式:NT/27.11.2.4 SNMP v1的实现问题轮询频率 NT/nN:最多可支持设备数(被轮询的代理数);nT:轮询间隔;n:单个轮询需要的时间。其中的“”与以下因素有关:n管理站生成一个报文的时间;n管理站到代理的网络延迟;n代理处理一个请求报文的时间;n代理生成一个响应报文的时间;n代理到管理站的网络延时;n管理站处理一个响应报文的时间。也就是说,交换一次请求/响应报文需要4个报文处理时间,2个网络延时。28.11.2.4 SNMP v1的实现问题SNMPv1的局限性用户进行网络管理时要清楚SNMPv1本身的局限性。n由于轮询的性能
14、限制,它不适合管理很大的网络,轮询产生的大量管理信息传送可能引起网络响应时间的增加;n它不适合检索大量的数据,例如检索整个表中的数据;n它的自陷报文是没有应答的,管理站是否收到自陷报文,代理不得而知,这样可能丢掉很重要的管理信息;n它只提供简单的共同体名认证,这样的安全措施是不够的;n它的管理信息库MIB-2支持的管理对象有限,不足以完成复杂的管理功能;n它不支持管理站之间的通信,而这一点在分布式网络管理中是很需要的。29.11.2.5 SNMP v2 最初的SNMP v2最大的特色是增加了安全特性,因此被称为安全版的SNMP。但是经过几年试用,没有得到厂商和用户的积极响应,并且也发现自身还存
15、在一些严重缺陷。因此,在1996年正式发布的SNMP v2中,安全特性被删除。这样,SNMP v2对SNMP v1的改进程度便受到了很大的削弱。总的来说,SNMP v2的改进主要有以下3个方面:n支持分布式管理;n改进了管理信息结构(SMI);n增强了管理信息通信协议的能力。30.11.2.5 SNMP v2nSNMP v2提供了一个建立网络管理系统的框架。但网络管理应用,如故障管理、性能监测、计费等不包括在SNMP v2定义的范围内。也就是说SNMP v2提供的是网络管理基础结构。nSNMP v2本质上是一个交换管理信息的协议。网络管理系统中的每个角色都维护一个与网络管理有关的MIB。31.
16、11.2.5 SNMP v2SNMP v2的配置例子 n在配置中至少有一个系统负责整个网络的管理,这个系统就是网络管理应用驻留的地方。n管理站可以设置多个,以便提供冗余或分担大网络的管理责任。其他系统担任代理者角色。n代理者收集本地信息并保存,以备管理者提取。32.11.2.5 SNMP v2在SNMP v2消息中可以传送7类PDU:nGetRequest:管理者通过代理获得对象的值;nGetNextRequest:管理者通过代理获得对象的下一个值nGetBulkRequest:管理者通过代理获得对象的N个值;nSetRequest:管理者通过代理为对象设置值;nTrap:代理向管理者传送自陷
17、信息;nInformRequest:管理者向代理传送通报信息;nResponse:代理对管理者的请求进行应答。33.11.2.5 SNMP v2图 SNMP v2 PDU格式 34.11.2.6 SNMP v3nIETF SNMP v3工作组于1998年1月提出了互联网建议RFC 22712275,正式形成SNMP v3。n这一系列文件定义了包含SNMP v1、SNMP v2所有功能在内的体系框架,包含验证服务和加密服务在内的全新的安全机制,同时还规定了一套专门的网络安全和访问控制规则。n可以说,SNMP v3是在SNMP v2基础之上增加了安全和管理机制。35.11.2.6 SNMP v3S
18、NMP实体nSNMP实体是体系结构的一个实现。n每个SNMP实体都包含一个SNMP引擎、一个或多个应用。nSNMP引擎为发送和接收消息、认证和加密消息、控制对被管对象的访问等提供服务。nSNMP引擎与包含它的SNMP实体一一对应。n引擎中包括分发器、消息处理子系统、安全子系统、访问控制子系统。36.11.2.6 SNMP v3SNMP v3的安全机制 与SNMP v1和SNMP v2相比,SNMP v3增加了三个新的安全机制:身份验证,加密和访问控制。n访问控制模型完成访问控制功能,而安全模型则提供身份验证和数据保密服务。n身份验证是指代理和管理站通信时,接到信息后首先必须确认对方是否有权,并
19、且保证信息在传输过程中未被改变。n加密的过程与身份验证类似,需要管理站和代理共享同一密钥来实现信息的加密和解密。37.11.2.6 SNMP v3nSNMP v3保持了SNMP v1和SNMP v2易于理解和实现的特性,同时还增强了网络管理的安全性能,提供了前两个版本欠缺的保密、验证和访问控制等安全管理特性。nSNMP v3正在逐渐发展,新的MIB不断增加,应用范围也在继续扩大。SNMP v3是建立网络管理系统的有力工具,并将推动互联网不断发展。38.11.2.7 RMONn新的分布式结构、更高性能的应用和逐步发展的网络规模,都对网络管理解决方案的有效性产生了巨大的影响,有一种有效的低成本网络
20、管理解决方案得到了广泛的接受,那就是远程网络监控(Remote Network Monitoring,RMON)标准。nIETF于1991年11月公布了RMON MIB来解决SNMP在日益扩大的分布式网络中所面临的局限性。nRMON MIB的目的在于使SNMP更为有效、更为积极主动地监控远程设备,提高传送管理信息的有效性、减轻管理站的负担、满足网络管理员监控网络性能的需求。n从某种意义上说,RMON的出现为网络的分布式管理第一次提供了现实的可能性。39.11.2.7 RMONRMON的目标RFC 1271规范给出了下列针对RMON的设计目标:n离线操作n主动监视n问题检测和报告n提供增值数据n
21、多管理站操作40.11.2.7 RMONRMON允许有多个监控者,它可以使用两种方法收集数据。n第一种方法是通过专门的RMON Probe探测仪。网管站直接从RMON 探测仪获取管理信息并控制网络资源,这种方式可以获取RMON MIB的全部信息,但实现成本较高;n第二种方法是将RMON Agent植入网络设备(路由器、交换机、Hub等),使它们成为带RMON Probe功能的网络设施。网管站利用SNMP的基本命令与设备进行数据信息交换,收集网络管理信息。但这种方式受设备资源限制,一般不能获取RMON MIB的所有数据。该方法实现成本较低。41.11.3 网络管理技术的新发展n11.3.1 网络
22、管理技术的发展趋势n11.3.2 基于Web的网络管理n11.3.3 基于CORBA技术的网络管理n11.3.4 基于主动网的网络管理n11.3.5 基于专家系统的网络管理42.11.3.1 网络管理技术的发展趋势传统网络管理技术的缺陷nSNMP管理模式过于简单的鉴别和数据加密方法使得这种模式自身存在着严重的安全缺陷。nSNMP协议是基于无连接的,从而有可能造成信息丢失,或需要较长时间才能锁定故障设备。nMIB库种类繁多,MIB变量更是成千上万n现有的网络管理系统都依赖于操作系统43.11.3.1 网络管理技术的发展趋势 随着计算机网络的发展,用户对网络管理的要求更加广泛、深入和智能化。n网络
23、管理的综合化n网络管理的智能化n网络管理的标准化44.11.3.2 基于Web的网络管理n基于Web的网络管理(WBM)模型是在内部网不断普及的背景下产生的。nIntranet主要用于一个组织内部的信息共享,主要由Web服务器组建而成。nIntranet用户通过简单、通用的操作界面Web浏览器可以在任何地点的任何网络平台上与服务器进行通信。nWBM模型就是将Intranet技术与现有的网络管理技术相融合,为网络管理人员提供更具有分布性和实时性、操作更方便、能力更强的网络管理方法。45.11.3.2 基于Web的网络管理实现WBM的技术:n最常用的是HTML,HTML可以构建页面的显示和播放信息
24、,并可以提供对其他页面的超级链接,图形和动态元素也可以嵌到HTML页面中。n另一项在WBM中应用的技术是CGI,它提供基于Web的数据库访问能力。nWBM的两种方案:基于代理的方案和嵌入式方案 46.11.3.2 基于Web的网络管理基于代理的方案47.11.3.2 基于Web的网络管理嵌入式方案 48.11.3.3 基于CORBA技术的网络管理n CORBA:公共对象请求代理体系结构,它是对象管理组织为解决分布式处理环境下硬件和软件系统的互联互通而提出的一种解决方案。n 这种模型还具有以下优点:n可以实现高度的分布式处理;n通用的管理操作界面,不依赖于被管对象的实现、主机操作系统和编程语言;
25、n提供的功能比SNMP强大,比CMIP简单;n支持C+、Java等多种被广泛应用的编程语言,易于被开发人员接受。49.11.3.4 基于主动网的网络管理n主动网技术就是让网络的功能成分更加主动地发挥作用。n为此,它允许用户和各交换节点将自己订制的程序注入网络,在网络中主动寻找发挥作用的场所。n为了能够执行用户注入的程序,要求交换节点具有对流经的数据内容进行检查和执行其中所包含的代码的能力。n应用主动网技术进行网络管理已经引起了人们的重视。n现在已经提出了几种基于主动网技术的分布式网络管理模型,其中,比较有代表性的是委派管理模型和移动代理模型。50.11.3.5 基于专家系统的网络管理n专家系统技术是最早被应用于网络管理的智能技术,并且已经取得了很大的成功。n专家系统能够利用专家的经验和知识,对问题进行分析,并给出专家级的解决方案。n在网络管理中运用的专家系统按功能大致分为三类:n维护类n提供类n管理类51.谢谢观看!