监控和管理IP网络

GuidetoTCP/IP,ThirdEditionChapter11:MonitoringandManagingIPNetworks1MonitoringandManagingIPNetworks理解管理现代网络所包含的基本原理理解SNMP在基于IP网络中能够发挥的作用了解SNMP基本结构和功能了解如何安装、配置与使用SNMP控制台和工具本章知识要点：2MonitoringandManagingIPNetworks一、网络管理的定义狭义的网络管理仅仅指网络的通信量管理，而广义的网络管理指网络的系统管理。网络管理是指对网络的运行状态进行检测和控制，使其能够有效、可靠、安全、经济的提供服务。网络管理功能可概括为OAM﹠P，即网络的运行（Operation）、管理（Administration）、维护（Maintenance）、服务提供（Provisioning）等所需要的各种活动网络管理涉及的内容：Networkserviceprovisioning提供网络服务向用户提供新的服务类型与增加网络设备、提高网络性能。Networkmaintenance网络维护网络性能监控、故障报警、故障诊断、故障隔离与恢复Networkadministration网络处理网络线路、设备利用率数据的采集、分析及提高网络利用率的各种控制。11.1理解网络管理实践和原理3MonitoringandManagingIPNetworks二、网络管理的必要性网络规模不断扩大网络结构越来越复杂简单的管理工具和方法已不适应管理大型和异构网络网络设备的复杂化使网络管理变得更加复杂网络的经济效益越来越依赖网络的有效管理先进可靠的网络管理也是网络本身发展的必然结果。4MonitoringandManagingIPNetworks三、网络管理的目标有效性可靠性开放性综合性安全性经济性5MonitoringandManagingIPNetworks四、网络管理对象广义上包括：网络的参与者网络连接设备网络服务器网络协议和各种软件网络管理人员网络管理制度等狭义讲包括两大类：硬件资源和软件资源硬件资源是指物理介质、计算机设备和网络互联设备软件资源主要包括操作系统、应用软件和通信软件被管资源的集合称作管理信息库MIB6MonitoringandManagingIPNetworks五、网络管理系统网络管理系统(NMS)：由一组软件组成，帮助网络管理人员完成日常的任务，提高网络运行的效率和服务质量网络管理系统的任务是帮助网络管理者有效地控制和维护网络设备。在复杂的网络环境中给网络管理者提供更高水平的帮助，使得网络更加适合于用户的需要7MonitoringandManagingIPNetworks末端站点通常称为托管设备管理实体提供对管理数据、控制以及行为的访问当收到警报时，必须生成适宜的响应要求来自托管设备的更新管理代理负责保管管理数据库（MDB）对于TCP/IP，管理协议是SNMP大型网络环境中，管理实体可以采用分层方式11.1.1网络管理架构8MonitoringandManagingIPNetworks11.1.2OSI网络管理模型ISO定义了网络管理参考的通用框架，并提供了理解NMS所完成主要功能的优秀架构，且被标准和非标准的网络管理系统所广泛接受。其网络管理模型分为下述五层：故障管理配置管理计费管理性能管理安全管理9MonitoringandManagingIPNetworks最基本的功能之一主要任务：发现和排除网络故障，保证网络资源的无故障无错误的运营状态包括：障碍管理、故障恢复和预防保障包括以下典型功能：维护并检查错误日志接受错误检测报告并作出响应跟踪、辨认错误执行诊断测试纠正错误一、故障管理10MonitoringandManagingIPNetworks是最基本的网络管理功能，负责网络的建立、业务的展开以及配置数据的维护主要功能包括：资源清单管理、资源开通以及业务开通配置管理包括：设置开放系统中有关路由操作参数被管对象和被管对象组名字的管理初始化或关闭被管对象根据要求收集系统当前状态的有关信息获取系统重要变化信息更改系统配置二、配置管理11MonitoringandManagingIPNetworks计费管理是记录网络资源的使用，目的是控制的监测网络操作的费用和代价主要功能：计算机网络建设及运营成本统计网络及其所包含的资源的利用率联机收集计费数据计算用户应支付的网络服务费用账单管理三、计费管理12MonitoringandManagingIPNetworks性能管理的目的是维护网络服务质量和网络运营效率具有性能检测功能、性能分析功能和性能管理控制功能典型功能包括：收集统计性息维护并检查系统状态日志确定自然和人工状况下系统的性能改变系统操作模式以进行系统性能管理的操作四、性能管理13MonitoringandManagingIPNetworks安全是网络的薄弱环节之一网络主要安全问题：网络数据的私有性授权访问控制安全管理目的是提供信息的隐私、认证和完整性保护机制，使网络中的服务、数据以及系统免受侵扰和破坏包括：风险分析功能安全服务功能告警日志和报告功能网络管理系统保护功能五、安全管理14MonitoringandManagingIPNetworks不同厂商有不同的NMS网络管理员必须优先采用系统化的网络管理，并得到能够用于规范、可调度网络维护和监护程序一部分的软件部件和工具的正确组合11.1.3实际网络管理15MonitoringandManagingIPNetworks带内管理流量沿着正常的网络数据路径传输带外管理流量报警在独立的、非数据路径上传输支持管理代理和管理设备之间的通信，而不管数据网络的状态如何11.1.4带内管理与带外管理的比较16MonitoringandManagingIPNetworksIETF的成果SNMPSNMP(SimpleNetworkManagementProtocol)是一个基于请求/响应的协议，用于传输在SNMP代理和SNMP管理器之间的管理消息SNMP已成为网络管理领域中事实上的工业标准，大多数网络管理系统和平台都是基于SNMP的体系结构通信设备管理阶段的特点是集中式网络管理体系结构，采用SNMP网络管理协议，管理的对象主要是针对网络互连设备，例如：路由器、交换机、打印机、UPS等设备11.2理解SNMP17MonitoringandManagingIPNetworks基于SNMP的网络管理路由器服务器MIB管理信息库MIBSNMP协议SNMP协议管理站管理节点代理软件代理软件18MonitoringandManagingIPNetworksSNMPv1SNMP的最初版本简单实用，但缺乏安全性SNMPv2增强版本协议增强安全增强SNMPv3最新版本安全方面的增强认证（确保用户的有效性）私密（保持机密性）授权（限制访问）远程配置和管理能力19MonitoringandManagingIPNetworks管理信息库（MIB）是一个用于设备的可管理对象数据库例如：可管理路由器支持填充了路由器类型对象的MIB，包括网卡、已转发数据包、已过滤数据包等11.2.1管理信息库对象20MonitoringandManagingIPNetworks一、管理信息结构管理信息结构SMI（StructureofManagementInformation）用于定义存储在MIB中的管理信息的语法和语义对MIB进行定义和构造SMI只允许存储标量和二维数组，不支持复杂的数据结构，简化了实现，加强了互操作性为满足协同操作的要求，SMI提供了以下标准化技术表示管理信息：定义了MIB的层次结构；提供了定义管理对象的语法结构；规定了对象值的编码方法。21MonitoringandManagingIPNetworks二、管理信息库结构SNMP环境中的所有被管理对象都按层次性的结构或树型结构来排列。树结构端结点对象就是实际的被管理对象，每一个对象都代表一些资源、活动或其他要管理的相关信息。树型结构本身定义了如何把对象组合成逻辑相关的集合。层次树结构有三个作用表示管理和控制关系提供了结构化的信息组织技术提供了对象命名机制22MonitoringandManagingIPNetworks

OSI管理信息树root102ituiso-ituiso2301standardregistrationauthoritymemberbodyorg621134dodinternetdirectorymgmt16mib-2tcpexperimentalprivate12enterpriseIBM23MonitoringandManagingIPNetworks通过这种特殊结构的树来唯一的确定一个管理对象是OSI的管理模式Internet也应用了这种管理信息结构，SMI在Internet节点下面定义了四个节点：directory:

为将来使用OSI目录保留mgmt:

用于由IAB批准的所有管理对象，而mib-2是mgmt的第一个子节点experimental：用来识别在互联网上实验中使用的所有管理对象

private：用于识别单方面定义的对象。或者说为私人企业管理信息准备的例如:

一个私人企业LT公司，向Internet编码机构申请注册，并得到一个代码100（Cisco公司为9、HP公司为11、3Com公司为43）。该公司为它的令牌环适配器赋予代码为25，则令牌环适配器的对象标识为.5。24MonitoringandManagingIPNetworks

MIB-Ⅱ功能组在RFC1213定义的MIB-Ⅱ是当前应用的管理信息库标准。它是MIB-Ⅰ的扩充，增加了一些对象和组。文件包含11个功能组和175个对象。25MonitoringandManagingIPNetworksInternet(1)directory(1)mgmt(2)mib-2(1)iso(1)org(3)dod(6)system(1)interfaces(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)transmission(10)snmp(11)experimental(3)private(4)enterprises(1)

MIB-Ⅱ的分组结构26MonitoringandManagingIPNetworksmib-Ⅱ的对象ID为.2.1。

InternetMIB-ⅡGroupinternet{}directory(1)mgmt(2)experimental(3)private(4)mib-2(1)system(1)interfaces(2)at(3)ip(4)icmp(5)snmp(11)transmission(10)cmot(9)egp(8)udp(7)tcp(6)27MonitoringandManagingIPNetworks功能组OID主要描述systemmib-21系统说明和管理信息interfacesmib-22实例的接口和辅助信息atmib-23IP地址与物理地址的转换ipmib-24关于IP的信息icmpmib-25关于ICMP的信息tcpmib-26关于TCP的信息udpmib-27关于UDP的信息egpmib-28关于EGP的信息cmotmib-29为CMIPoverTCP/IPtransmissionmib-210关于传输介质的管理信息snmpmib-211关于SNMP的信息MIB-2功能组28MonitoringandManagingIPNetworksIP组IP组提供与IP协议有关的信息。在网络中路由器周期性的执行路由算法并更新路由表IP组定义执行网络层协议（如主机和路由器）的节点的所有需要的参数。其功能组是必须实现的IP组包含三个表对象：IP地址表、IP路由表和IP地址转换表Ip(mib-24)ipRoutingDiscards(23)ipNetToMediaTable(22)2)ipRouteTable(21)ipAddrTable(20)ipFragCreates(19)ipFragFails(18)ipFragOKs(17)ipReasmFails(16)IpReasmOKs(15)IpReasmReqds(14)IpReasmTimeout(13)ipForwarding(1)ipDefaultTTL(2)ipInReceives(3)IpInHdrErrors(4)IpInAddrErrors(5)IpForwDatagrams(6)ipInUnknownProtos(7)

ipInDiscards(8)IpInDelivers(9)IpOutRequests(10)IpOutDiscards(11)ipOutNoRoutes(12)IP组ICMP组该组仅由发送或接收到的各种ICMP信息的计数器组成通过ICMP组的对象可以对网络的性能管理功能进行分析TCP组TCP组包含与TCP协议的实现和操作有关的信息UDP组UDP组包含有关结点上UDP实现和操作的信息29MonitoringandManagingIPNetworks是一种在被管理的网络设备中运行的软件，负责执行管理进程的管理操作。包含了用于被管理设备的MIB管理代理直接操作本地信息库，可以根据要求改变本地信息库或将数据传送到管理进程。11.2.2SNMP代理30MonitoringandManagingIPNetworks是一个或一组软件程序一般运行在网络管理中心的主机上可以在SNMP的支持下命令管理代理执行各种管理操作11.2.3SNMP管理器31MonitoringandManagingIPNetworksSNMP提供了一个标准化的网络管理框架，使得互连网络的监视和控制成为可能SNMP是一个简单的但可扩展的标准集，采用管理进程/管理代理模式，管理协议在应用层上运行SNMP的成功主要在于它的简单性、灵活性和可扩展性SNMP网络管理结构32MonitoringandManagingIPNetworks基于TCP/IP网络管理的网络模型由以下几部分组成：管理器管理代理管理信息库网络管理协议33MonitoringandManagingIPNetworks网管工作站(NMS)—收集网络情报,并做显示SNMP—信息交换协议Agent—根据NMS的要求收集并存储信息,产生陷井TRAPMIB—ManagementInformationBase网络信息对象的数据库SMI—StructureofManageInformationNetworkManagementStation(NMS)ManagerSNMPmessageexchangeManagedDeviceAgentMIBManagedDeviceAgentMIB34MonitoringandManagingIPNetworks网络管理结构模型

网络设备网络设备

网络管理协议Polling、Trap

NMS

代理进程

协议栈和设备驱动程序协议栈和设备驱动程序互连网络35MonitoringandManagingIPNetworks

管理站和代理通过网络管理协议联系起来用于管理TCP/IP网络的协议SNMP有以下主要的功能：get:使管理站能够获取代理中对象的值。set：使管理站能够设定代理中对象的值。trap：使代理能够向管理站通告重要事件。POLLINGTRAP

ManagerAgent

ManagerAgent实现模式36MonitoringandManagingIPNetworks网络管理工作站流量监视器你看见了多少流量？在下午4点15分有12.5%方法1网络管理工作站轮询被管理设备中的代理以获得信息37MonitoringandManagingIPNetworks在没有轮询的情况下，被管理设备代理向网络管理工作站报告错误网络管理工作站流量监视器警告！在下午4点20分我看见了55%的利用率38MonitoringandManagingIPNetworksSNMP协议体系结构

SNMPUDPIP网络协议代理过程路由器SNMPUDPIP网络协议代理过程主机FTP等TCPIP网络协议用户过程NetworkSNMPUDPIP网络协议管理站过程管理站MIB网络管理站39MonitoringandManagingIPNetworks从管理站发送三种SNMP消息：GetRequestGetNextRequestSetRequest由代理以GetResponse消息的形式来应答，并将该消息向上传输到管理应用程序。代理可能发送trap消息来响应影响MIB和底层被管理资源的事件。由于SNMP依赖于UDP，所以SNMP本身也是无连接协议。在管理站和其代理之间不维持连续连接，相反每一次信息交换都是管理站和代理之间的独立行为。

SNMP实现的建议是对每个管理信息要装配成单独的数据报独立发送，而且报文较短，不超过484个字节。40MonitoringandManagingIPNetworksSNMP工作机制SNMP管理模式重要特点是能够快速地从MIB中找到所需要的管理对象实例。主要依赖于只有叶节点的对象才有实例，且每个对象或实例的识别符都是从左到右顺序递增的规定。有了这一规定，SNMP管理模式就会具有较高的检索速度SNMP协议实现网络管理系统和代理之间的异步请求和响应。其功能是通过轮流查询操作实现的。SNMP协议的机制是一种由管理站周期性地发送轮询信息给被管设备的管理代理以实时监视和维持网络资源，同时又采用了被管设备在发生特殊问题时采用异常事件报告网管站的工作方式。41MonitoringandManagingIPNetworks1.

GetRequest：从拥有SNMP代理的网络设备中检索信息2.

GetResponse：是SNMP代理对管理站GetRequest消息的响应。可以交换许多信息，如系统的名字、系统自启动后正常运行的时间和系统中的网络接口数等3.

GetNextRequest:访问网管代理，并从MIB树上检索指定对象的下一个对象实例4.

SetRequest：对一个设备中的参数进行远程配置。可以设置设备的名字，在管理上关掉一个端口或清除一个地址解析表中的项5.

Trap：是SNMP代理发送给管理站的非请求消息。这些