网络安全与管理(第二版)第11章网络管理原理

1、网络安全与管理,第,11,章,网络管理原理,本章学习目标,网络管理的概念、目标、功能，网络管理的标准,简单网络管理协议的体系结构、安全和实现,简单网络管理协议模型的发展，介绍,SNMP v1,SNMP v2,SNMP v3,RMON,网络管理技术的新发展，分别介绍基于,Web,技术,CORBA,技术、主动网、专家系统的网络管理,11.1,网络管理简介,11.1.1,11.1.2,11.1.3,11.1.4,11.1.5,网络管理概述,网络管理的目标,网络管理的功能,网络管理的标准,网络管理的方式,11.1.1,网络管理概述,网络管理的意义,随着计算机网络的发展和普及，网络系统规模的日益扩,大和

2、网络应用水平的不断提高,一方面对于如何保证网络的安全、组织网络高效地运行提,出了迫切的要求,另一方面，计算机网络日益庞大，使管理更加复杂,11.1.1,网络管理概述,网络管理的定义,按照国际标准化组织,ISO,的定义，网络管理是指规划,监督、控制网络资源的使用和网络的各种活动，以使网络的,性能达到最优,网络管理的目的在于提供对计算机网络进行规划、设计,操作运行、管理、监视、分析、控制、评估和扩展的手段,从而合理地组织和利用系统资源，提供安全、可靠、有效和,友好的服务,11.1.1,网络管理概述,网络管理的意义,随着计算机网络的发展和普及，网络系统规模的日益扩,大和网络应用水平的不断提高,一方面

3、对于如何保证网络的安全、组织网络高效地运行提,出了迫切的要求,另一方面，计算机网络日益庞大，使管理更加复杂,11.1.1,网络管理概述,网络管理的对象,从网络设备的角度考虑，网络管理对象一般包括硬件资源,和软件资源两部分,硬件管理指的是对构成网络的设备的管理,软件管理指的是对运行于硬件设备上的操作系统、应用程序以及访,问权限等的管理,从网络构架的角度考虑，网络管理既要负责管理局域网的,网络性能、网络流量、网络冲突和碰撞等，又要负责管理广,域网的网络线路、广域网流量等内容,11.1.2,网络管理的目标,网络管理的目标是通过收集、监控网络中各种设备和,设施的工作参数、工作状态信息并显示给管理员接受

4、处理,从而最大限度地增加网络的可用时间，提高网络性能、服,务质量和安全性，保证网络设备的正常运行，控制网络运,行成本以及提供网络长期规划等,网络经营者以及用户对网络的基本要求是,有效性,可靠性,开放性,综合性,安全性,经济性,11.1.3,网络管理的功能,网络管理是控制一个复杂的计算机网络去获取最大效益,和生产率的过程，为更好地定义网络管理的范围，国际标准,化组织,ISO,定义了网络管理的五大功能,配置管理,Configuration Management,性能管理,Performance Management,故障管理,Fault Management,计费管理,Accounting Man

5、agement,安全管理,Security Management,11.1.4,网络管理的标准,国际上有一些组织机构致力于研究、制定、开发网,络管理的服务、协议和结构，其中最重要的三个国际组,织是,国际标准化组织,ISO,Internet,工程任务组,IETF,国际电信联盟,ITU,11.1.4,网络管理的标准,国际标准化组织,ISO,OSI,系统管理标准的制定受到了政府和工业界的支持,ISO,7498-4,文件定义了网络管理的基本概念和总体框架,CMIP,网络管理提供的服务和网络管理协议,CMIS,公共管理信息协议规范,CMIS,定义了为,OSI,系统管理提,供的一系,列服务,而,CMIP,

6、则是实现这些,CMIS,服务使用的协议,CMIS/CMIP,的整体结构是建立在使用,ISO,网络参考模型,的基础上的，网络管理应用进程使用,ISO,参考模型中的,应用层,11.1.4,网络管理的标准,国际标准化组织,ISO,OSI,系统的管理结构,管理者,7层OSI,协议栈,代,理,被管,对象,管理信息库 实际资源,MIB,11.1.4,网络管理的标准,IETF,制定了,SNMP,协议,SNMP,是目前,TCP/IP,网络中应用最为广泛的网络管理协议,SNMP,最大的特点是简单性，容易实现且成本低。此外，它,还有以下特点,可伸缩性,SNMP,可管理绝大部分符合,Internet,标准的设备,扩

7、展性：通过定义新的“被管理对象”，可以非常方便地扩展管理能,力,健壮性：即使在被管理设备发生严重错误时，也不会影响管理者的正,常工作,11.1.4,网络管理的标准,Internet,管理结构,管理者,代 理,特定的管理者功能,特定的代理功能,MIB,SNMP协议操作,SNMP协议操作,BER(基本编码规则,BER(基本编码规则,UDP,SNMP,11.1.4,网络管理的标准,TMN,电信管理标准,1985,年,CCITT,提出了,TMN,的构想，用于实现对异,构型互连网络、设备与业务进行有效的管理，提高,网络的运行质量和效率，向用户提供良好的通信服,务，为电信网络管理目标的实现提供了一套整体解

8、,决方案,1988,年,CCITT,形成了,M.30,建议书，定义了,TMN,的,框架结构、功能模型、信息模型与物理模型,M.30,是一总建议书，由它可引出一系列与,TMN,相关的子,建议书,11.1.4,网络管理的标准,TMN,和电信网的关系图,TMN,运营,系统,运营,系统,运营,系统,数 据 通 信 网,工作站,交换系统,传输系统,电 信 网,交换系统,11.1.5,网络管理的方式,随着网络的发展，网络管理的方式也在发生变化,早期网络管理是采用人工方式,后来出现了人工与自动相结合的管理方式,现在以集中为主变为以分散为主,11.2,简单网络管理协议,11.2.1 SNMP,11.2.2 S

9、NMP v1,11.2.3 SNMP v1,11.2.4 SNMP v1,11.2.5 SNMP v2,11.2.6 SNMP v3,11.2.7 RMON,的管理模型,的体系结构,的安全机制,的实现问题,11.2.1 SNMP,的管理模型,SNMP,的管理模型包括,4,个关键元素：管理工作站,网络管理协议、管理代理、管理信息库,管理工作站：管理工作站是与在不同的被管理节点中的代理通信,并且显示这些代理状态的中心设备,网络管理协议：网络管理协议是管理工作站和代理之间用来交换,信息的协议，是一系列协议组和规范,管理代理：代理,Agent,是一种特殊的软件或固件，它包含了关,于一个设备或该设备所处

10、环境的信息,管理信息库：管理信息库指明了网络元素所维持的变量，即能够,被管理进程查询和设置的信息,11.2.1 SNMP,的管理模型,SNMP,的配置,管理站,管理进程,SNMP,UDP,IP,网络接口,主机,代理进程,SNMP,UDP,IP,网络接口,用户进程,FTP,等,TCP,Internet,主机,代理进程,SNMP,UDP,IP,网络接口,用户进程,FTP,等,TCP,路由器,代理进程,SNMP,UDP,IP,网络接口,11.2.2 SNMP v1,的体系结构,请求,响应原语,SNMP v1,规定了,5,种协议数据单元,PDU,也就是,SNMP,报文,用来在管理进程和代理之间交换信息

11、。这,5,种协议数据单元也被称,为,SNMP,的请求,响应原语,get-request,操作：从代理进程处提取一个或多个参数值,get-next-request,操作：从代理进程处提取紧跟当前参数值的下,一个参数值,set-request,操作：设置代理进程的一个或多个参数值,get-response,操作：返回的一个或多个参数值。这个操作是由代,理进程发出的，它是前面三种操作的响应操作,trap,操作：即前面提到的自陷，代理进程主动发出的报文，通知,管理进程有某些事情发生,11.2.2 SNMP v1,的体系结构,5,种报文操作,SNMP,管理程序,UDP,端口,161,UDP,端口,161

12、,UDP,端口,161,UDP,端口,162,get-next-request,get-response,set-request,get-response,trap,get-request,get-response,UDP,端口,161,UDP,端口,161,UDP,端口,161,SNMP,代理程序,11.2.2 SNMP v1,的体系结构,SNMP,报文格式,IP,数据报,UDP,数据报,20,字节,8,字节,SNMP,报文,公共,SNMP,首部,get/set,首部,变量绑定,IP,首部,UDP,首部,版本,共同,PDU,类型,请求标识,差错状态,差错,名,值,名,值,0,体,0,3,符,

13、0,5,索引,PDU,类型,企业,代理的,trap,类型,特定,时间,名,值,名,值,4,IP,地址,0,6,代码,戳,trap,首部,变量绑定,11.2.2 SNMP v1,的体系结构,数据采集,从被管理设备中采集数据有两种方法,一种是轮询,polling,的方法,另一种是中断,interrupt,的方法,11.2.2 SNMP v1,的体系结构,数据采集,从被管理设备中采集数据有两种方法,轮询,polling,：信息的采集总是处于网络管理工作,站的控制之下。这种方法的缺陷在于信息的实时性,尤其是错误信息的实时性,中断,interrupt,：当有异常事件发生时，如果基于,中断的方法（自陷），

14、被管理设备就可以立即通知网,络管理工作站,11.2.3 SNMP v1,的安全机制,SNMP v1,的安全机制比较脆弱，通信不加密，所有,共同体字符和数据都以明文形式发送,共同体：相当于访问口令,访问策略：通过定义管理对象的访问模式限制管理站,的访问。所谓的访问控制有两方面的含义,MIB,视图,MIB,中对象的子集，对不同的共同体可以定义不同,的视图,访问模式,SNMP,定义了两种访问模式：只读和读写,MIB,视图和访问模式合起来被称作,SNMP,共同体框架,11.2.4 SNMP v1,的实现问题,轮询频率,我们需要一种能提高网络管理性能的轮询策略，以决定合适,的轮询频率,通常轮询频率与网络

15、的规模和代理的多少有关。而网络管理,性能还取决于管理站的处理速度、子网数据速率、网络拥挤,程度等众多的其他因素,为了使问题简化，假定管理站一次只能与一个代理作用，轮,询只是采用,get,请求,响应这种简单形式，而且管理站全部,时间都用来轮询，于是有下面的不等式,NT,11.2.4 SNMP v1,的实现问题,NT,N,最多可支持设备数（被轮询的代理数,T,轮询间隔,单个轮询需要的时间,与以下因素有关,管理站生成一个报文的时间,管理站到代理的网络延迟,代理处理一个请求报文的时间,代理生成一个响应报文的时间,代理到管理站的网络延时,管理站处理一个响应报文的时间,响应报文需要,4,个报文处理时间,个

16、网络延时,轮询频率,其中的,也就是说，交换一次请求,2,11.2.4 SNMP v1,的实现问题,SNMP v1,的局限性,用户进行网络管理时要清楚,SNMP v1,本身的局限性,由于轮询的性能限制，它不适合管理很大的网络，轮询产生的大量管,理信息传送可能引起网络响应时间的增加,它不适合检索大量的数据，例如检索整个表中的数据,它的自陷报文是没有应答的，管理站是否收到自陷报文，代理不得而,知，这样可能丢掉很重要的管理信息,它只提供简单的共同体名认证，这样的安全措施是不够的,它的管理信息库,MIB-2,支持的管理对象有限，不足以完成复杂的管理功,能,它不支持管理站之间的通信，而这一点在分布式网络管

17、理中是很需要,的,11.2.5 SNMP v2,最初的,SNMP v2,最大的特色是增加了安全特性，因,此被称为安全版的,SNMP,但是经过几年试用，没有得到,厂商和用户的积极响应，并且也发现自身还存在一些严,重缺陷。因此，在,1996,年正式发布的,SNMP v2,中，安全,特性被删除。这样,SNMP v2,对,SNMP v1,的改进程度便受,到了很大的削弱,总的来说,SNMP v2,的改进主要有以下,3,个方面,支持分布式管理,改进了管理信息结构,SMI,增强了管理信息通信协议的能力,11.2.5 SNMP v2,SNMP v2,提供了一个建立网络管理系统的框架。但网络,管理应用，如故障管

18、理、性能监测、计费等不包括在,SNMP v2,定义的范围内。也就是说,SNMP v2,提供的是网络,管理基础结构,SNMP v2,本质上是一个交换管理信息的协议。网络管理,系统中的每个角色都维护一个与网络管理有关的,MIB,11.2.5 SNMP v2,的配置例子,在配置中至少有一个系统,负责整个网络的管理，这,个系统就是网络管理应用,驻留的地方,管理站可以设置多个，以,便提供冗余或分担大网络,的管理责任。其他系统担,任代理者角色,代理者收集本地信息并保,存，以备管理者提取,管理服务器,管理应用,SNMPv2 管理者,MIB,中间管理者,SNMPv2,SNMPv2,管理者/代理者,管理者/代理

19、者,MIB,MIB,代理者,SNMPv2 代理者,SNMPv2 代理者,SNMPv2 代理者,MIB,MIB,MIB,SNMP v2,11.2.5 SNMP v2,在,SNMP v2,消息中可以传送,7,类,PDU,GetRequest,管理者通过代理获得对象的值,GetNextRequest,管理者通过代理获得对象的下一个值,GetBulkRequest,管理者通过代理获得对象的,N,个值,SetRequest,管理者通过代理为对象设置值,Trap,代理向管理者传送自陷信息,InformRequest,管理者向代理传送通报信息,Response,代理对管理者的请求进行应答,11.2.5 SN

20、MP v2,图,SNMP v2 PDU,格式,11.2.6 SNMP v3,IETF SNMP v3,工作组于,1998,年,1,月提出了互联网建议,RFC,2271,2275,正式形成,SNMP v3,这一系列文件定义了包含,SNMP v1,SNMP v2,所有功能在,内的体系框架，包含验证服务和加密服务在内的全新的,安全机制，同时还规定了一套专门的网络安全和访问控,制规则,可以说,SNMP v3,是在,SNMP v2,基础之上增加了安全和管,理机制,11.2.6 SNMP v3,SNMP,实体,SNMP,实体是体系结构的一个实现,每个,SNMP,实体都包含一个,SNMP,引擎、一个或多个应

21、用,SNMP,引擎为发送和接收消息、认证和加密消息、控制对,被管对象的访问等提供服务,SNMP,引擎与包含它的,SNMP,实体一一对应,引擎中包括分发器、消息处理子系统、安全子系统、访,问控制子系统,11.2.6 SNMP v3,SNMP v3,的安全机制,与,SNMP v1,和,SNMP v2,相比,SNMP v3,增加了三个新的,安全机制：身份验证，加密和访问控制,访问控制模型完成访问控制功能，而安全模型则提供身,份验证和数据保密服务,身份验证是指代理和管理站通信时，接到信息后首先必,须确认对方是否有权，并且保证信息在传输过程中未被,改变,加密的过程与身份验证类似，需要管理站和代理共享同,

22、一密钥来实现信息的加密和解密,11.2.6 SNMP v3,SNMP v3,保持了,SNMP v1,和,SNMP v2,易于理解和实现的特,性，同时还增强了网络管理的安全性能，提供了前两个,版本欠缺的保密、验证和访问控制等安全管理特性,SNMP v3,正在逐渐发展，新的,MIB,不断增加，应用范围也,在继续扩大,SNMP v3,是建立网络管理系统的有力工具,并将推动互联网不断发展,11.2.7 RMON,新的分布式结构、更高性能的应用和逐步发展的网络规模，都对,网络管理解决方案的有效性产生了巨大的影响，有一种有效的低,成本网络管理解决方案得到了广泛的接受，那就是远程网络监控,Remote Ne

23、twork Monitoring,RMON,标准,IETF,于,1991,年,11,月公布了,RMON MIB,来解决,SNMP,在日益扩大的分布,式网络中所面临的局限性,RMON MIB,的目的在于使,SNMP,更为有效、更为积极主动地监控远程,设备，提高传送管理信息的有效性、减轻管理站的负担、满足网,络管理员监控网络性能的需求,从某种意义上说,RMON,的出现为网络的分布式管理第一次提供了,现实的可能性,11.2.7 RMON,RMON,的目标,RFC 1271,规范给出了下列针对,RMON,的设计目标,离线操作,主动监视,问题检测和报告,提供增值数据,多管理站操作,11.2.7 RMON

24、,RMON,允许有多个监控者，它可以使用两种方法收集数据,第一种方法是通过专门的,RMON Probe,探测仪。网管站直,接从,RMON,探测仪获取管理信息并控制网络资源，这种,方式可以获取,RMON MIB,的全部信息，但实现成本较高,第二种方法是将,RMON Agent,植入网络设备（路由器、交,换机,Hub,等），使它们成为带,RMON Probe,功能的网络,设施。网管站利用,SNMP,的基本命令与设备进行数据信息,交换，收集网络管理信息。但这种方式受设备资源限制,一般不能获取,RMON MIB,的所有数据。该方法实现成本较,低,11.3,网络管理技术的新发展,11.3.1,11.3.

25、2,11.3.3,11.3.4,11.3.5,网络管理技术的发展趋势,基于,Web,的网络管理,基于,CORBA,技术的网络管理,基于主动网的网络管理,基于专家系统的网络管理,11.3.1,网络管理技术的发展趋势,传统网络管理技术的缺陷,SNMP,管理模式过于简单的鉴别和数据加密方法使得这,种模式自身存在着严重的安全缺陷,SNMP,协议是基于无连接的，从而有可能造成信息丢失,或需要较长时间才能锁定故障设备,MIB,库种类繁多,MIB,变量更是成千上万,现有的网络管理系统都依赖于操作系统,11.3.1,网络管理技术的发展趋势,随着计算机网络的发展，用户对网,络管理的要求更加广泛、深入和智能化,网络管理的综合化,网络管理的智能化,网络管理的标准化,11.3.2,基于,Web,的网络管理,基于,Web,的网络管理,WBM,模型是在内部网不断普,及的背景下产生的,Intranet,主要用于一个组织内部的信息共享，主要,由,Web,服务器组建而成,Intranet,用户通过简单、通用的操作界面,Web,浏览,器可以在任何地点的任何网络平台上与服务器进行,通信,WBM,模型就是将,Intranet,技术与现有的网络管理技,术相融合，为网络管理人员提供更具有分布性和实,时性、操作更方便、能力更强的网络管理方法,11.3.2,基于,Web,的网络管