安全网管技术-网络管理系统及SNMP协议

1安全网管技术-网络管理系统及SNMP协议本章主要内容–网络管理概述–TCP/IP网络管理体系结构–SNMP网络管理协议–管理信息库(MIB)2参考资料–计算机网络管理系统设计与应用，白英彩等，清华大学出版社–CiscoNetworkers2003文档–~james/cw2003/index.xml–~james/cw2003/NMS-1001.pdf3ServiceDesign&ManagementSolutionsConfiguration&ChangeManagementSolutionsResource&PerformanceManagementSolutionsSystems&ApplicationsManagementSolutionsNetworkManagementSolutionsBackup&StorageManagementSolutionsDesktop&SoftwareManagementSolutionsServiceLevelPlanning&ManagementDesktop&SoftwareManagementOperations&AvailabilityManagementConfigurationManagementChangManagementITServiceManagement43.1网络管理概述网络管理历史–网络管理与电信网络的历史一样长，接线员能进行有限的管理–随着程控交换机的引入，越来越多–计算机网络的管理伴随ARPANET产生–早期的ARPANET、SNA、DNA、AppleTalk等的管理系统专用，不开放–80年代提出了多种网络管理方案5网络管理历史1988年IAB(InternetActivitiesBoard)制定了Internet管理的发展策略:–SGMP作为短期方案，最终采用CMIS/CMIP推出了SNMP(SimpleNetworkManagementProtocol)和CMOT(CMIP/CMISonTCP/IP)1990年正式发布SNMP，1993年发布SNMPv2SNMP已经成为网络管理事实上的工业标准6网络管理系统的功能特点一个网络管理工具，应具备以下特点–发现网络拓扑结构和网络配置自动发现和手工修改–智能监控理解网络结构的内在依赖管理，报告出现的问题–控制程度设置设备重要等级，对不同等级的告警信息采取不同处理–灵活性可定制7网络管理系统的功能特点（2）多厂商集成–管理不同厂商的设备，包含不遵循SNMP协议的存取控制–不同的用户访问权限可以区分用户友好–方便管理员使用编程接口–可以灵活扩展功能报告生成–按照管理员的要求，生成各种报表8常见网络管理系统HPOpenView–第一个网络管理系统，最初是一个平台，现在是可以给最终用户的产品，得到第三方的广泛支持–HPOpenviewNodeManagement特点：自动发现网络拓扑性能分析故障告警多厂商支持9常见网络管理系统（2）CiscoWorks–Cisco公司开发的网络管理应用，可以集成在网络管理平台上运行–针对Cisco产品设计，管理这些设备更方便–功能：配置管理–保存配置文件历史，可以比较、分析配置文件内容……10网络管理的意义和发展•随着网络的不断推广和应用，人们对网络的依赖越来越大，网络越来越重要。•当前计算机网络发展特点：•规模不断扩大•复杂性不断增加•网络异构性（多厂商设备）越来越高•网络管理系统能给网络管理员提供良好的信息来源，减少网络故障，缩短网络失效时间，最大程度发挥网络的作用。11网络管理定义和模型网络管理主要是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。网络管理模型：–功能模型–体系结构模型–信息模型–组织模型12功能模型ISO在ISO/IEC7498-4中定义了网络管理的五大功能：–故障管理包括故障检测、隔离和纠正三方面–计费管理记录网络资源的使用，控制和检测网络操作的费用和代价，对商用网络尤为重要–配置管理配置网络13功能模型性能管理–估计系统资源的运行状况及通信效率。安全管理–包括对授权机制、访问控制、加密和密钥的管理。14体系结构模型体系结构模型描述了实体的一般结构，实体间接口及其通信方法。主要涉及远程通信网的管理。15信息模型实现被管虚拟资源、软件及物理设备的逻辑表示。多采用面向对象的方法定义网络管理信息。SNMP中，网络管理信息是面向属性的，更注重简单性和可扩展性。采用ISO的抽象语法表示语言(ASN.1)表示。16组织模型包括管理者、代理者的概念，管理实体间的通信方法。17管理信息库代理管理信息库代理网络管理系统管理者典型网络管理体系结构组织模型管理信息库代理被管设备18单个设备结构管理方式：–CLI命令行CommandLine最直接，原始的管理方式，能控制设备的基本状态各个厂商的格式不同有的产品，CLI实现了管理的所有功能–专有GUI管理程序设备专用的管理程序–WEB方式管理简单，往往只有部分管理功能–SNMP基于网络管理系统往往只有部分管理功能19单个设备结构（2）In-band带内管理–管理信息流跟普通网络数据一起传输–受普通网络数据的影响Out-band带外管理–独立的管理信息流20单个设备结构(3)入口：–控制口（串口）只能使用CLI，所有情况下可用多数提供MODEM接口重要设备需要提供远程控制口管理–单独的管理网络接口Out-band管理–普通网络接口In-band管理telnet/ssh/SSL21单个设备结构（4）远程控制口–拨号–反向telnet(Cisco专用)AccessRouter设备设备设备设备管理专用网络RS23222单个设备结构（5）配置信息SNMP代理CLI/WEB配置信息SNMP代理CLI/WEBCLI命令行CommandLineWEB网络管理资源的表示用“被管理对象”(ManagedObject)表示网络中的资源CMIP定义封装了被管理对象–被管理对象的属性数据类型，是否可写–被管理对象的行为可能的操作–被管理对象的通知特定事件发生时所发出的通知24MIB管理信息库被管理对象概念上的集合称为管理信息库(MIB，ManagementInformationBase)SNMP的MIB–1988年MIB(RFC1156)–1990年MIBII(RFC1158)–IAB鼓励厂商针对自己的产品定义自己的MIB，然后以RFC文档的方式公布，以便该产品被网络管理系统支持，保证系统的易扩充性–过多的MIB定义加大了网络设备的负担很多设备可以设定启用哪些MIB25网络管理系统构成–一个网络管理系统不一定包含网络管理的所有功能–四个部分组成：多个被管代理（ManagedAgent）至少一个网络管理者（NetworkManager）一个通用的网络管理协议（NetworkManagementProtocol）一个或多个管理信息库(MIB)26网络管理者（NetworkManager）实施网络管理的处理实体，驻留在管理工作站上。是整个网络系统的核心，完成复杂网络管理的各项功能。如排除网络故障，配置网络等。27被管代理（ManagedAgent）驻留在被管设备上，网络管理的处理实体。负责跟网络管理者通信，执行网络管理者的指令，或在特定事件发生时通知网络管理者。监视所在网络设备的工作状况，收集有关网络信息。被管代理一般有多个，分别位于网络中的各个设备上。28网络管理协议（NetworkManagementProtocol）描述了管理者和被管代理之间数据通信机制。网络管理标准主要制定的内容就是网络管理协议。定义管理者和被管代理之间的数据报文种类和格式；定义管理信息库的数据库格式。29管理信息库（MIB）存储在被管理设备的存储器中。一个动态刷新的数据库，包括设备的配置信息、数据通信的统计信息、安全性信息和设备特有信息。30集中与分布式的网络管理系统集中式：–简单，易于实现–不适应大规模网络管理分布式：–复杂–多层管理者–某些管理者会被高一层的管理者所管理–适应大规模网络管理313.2TCP/IP网络管理体系结构IAB制订了TCP/IP网络管理体系结构三部分内组成–基于TCP/IP的管理信息结构(SMI)–基于TCP/IP的管理信息库(MIB)–SNMP网络协议3233343536基于TCP/IP的管理信息结构(SMI)网络管理应用通过对MIB中网络管理对象的读取和设置来实现对网络设备的管理和监控。MIB对象的定义符合ISOASN.1语言。对象类型的定义有对象名称、对象语法和对象编码。37对象名称标示一个对象。ASN.1按照对象的注册关系定义对象的标示符，它是一个整行数序列。在注册关系树的Internet子树下有四个节点：DirectoryOBJECTIDENTIFIER::={internet1}MgmtOBJECTIDENTIFIER::={internet2}ExperimentalOBJECTIDENTIFIER::={internet3}PrivateOBJECTIDENTIFIER::={internet4}3839对象名称Directory(1.3.6.1.1)子树为Internet中的OSI体系结构保留Mgmt(1.3.6.1.2)子树用于标示正式批准的RFC中定义的对象Experimental(1.3.6.1.3)子树用于标示正在进行试验的对象Private(1.3.6.1.4)子树用于标示各个网络设备厂商定义的对象40对象语法定义对象的结构ASN.1定义了四种基本对象语法类型：–INTEGER整数（ASN.1不限制，但是MIB定义为0-4G)–OCTETSTRING字符串–OBJECTIDENTIFIER对象标示符–NULL41对象语法（2）构造语法类型SEQUENCE(序列)–SEQUENCE{type1,type2,…typeN}–type?为4种基本类型支持应用语法类型（Application-widesyntaxtype）定义–IPADDRESS长度为4的OCTETSTRING–COUNTER计数器，非负INTEGER–GAUGE累加器，非负INTEGER–TIMETICKS厘秒计时器，非负INTEGER42对象编码采用ASN.1基本编码规则43TCP/IP的MIBIAB定义了2个SNMPMIB：–MIBI(RFC1156)–MIBII(RFC1213)44对象定义格式对象类的定义包括以下域：–对象域文本形式的对象描述符合对象标示符组成–对象语法域ASN.1定义的对象类的抽象语法–对象定义对象语义的说明–对象访问权限Read-only,read-write,write-only,not-accessable–状态域强制(mandatory)当前(current)过期（deprecated）45例子/接口接收数据ifInOctetsOBJECT-TYPESYNTAXCounter32MAX-ACCESSread-onlySTATUScurrentDESCRIPTIONThetotalnumberofoctetsreceivedontheinterface,includingframingcharacters.Discontinuitiesinthevalueofthiscountercanoccuratre-initializationofthemanagementsystem,andatothertimesasindicatedbythevalueofifCounterDiscontinuityTime.::={ifEntry10}4647对象组System组定义网络