计算机网络管理和安全

1数据通信与计算机网络（第4版）杨心强陈国友编著电子工业出版社2012年5月2课件制作人声明本课件是《数据通信与计算机网络》(第4版)的教辅材料，共12个Powerpoint文件(每章一个)。任课教师可根据教学的实际需要，自行修改或增删其内容，但不能自行出版销售。对于课件中存在的缺点和错误，欢迎读者提出宝贵意见，以便及时修订。课件制作人杨心强2012年5月3数据通信与计算机网络第12章计算机网络的管理和安全4第12章计算机网络的管理和安全教学目的了解计算机网络管理的一般概念(定义、模型、体系结构、网管功能，以及SNMP协议)了解计算机网络安全的一般概念(威胁和需求)了解数据加密技术(加密模型和两种密钥密码体制)掌握常用的网络安全策略了解因特网的安全协议机制学习内容计算机网络的管理简单网络管理协议SNMP计算机网络的安全数据加密技术网络安全策略虚拟专用网因特网的安全协议5第12章内容提纲12.1计算机网络的管理12.2简单网络管理协议SNMP12.3计算机网络的安全12.4数字加密技术12.5网络安全策略12.6虚拟专用网12.7因特网的安全协议12.1计算机网络的管理随着计算机网络的发展与普及，计算机网络的管理和安全问题越来越愈受到人们的关注和重视。其原因是：①网络必须正常、高效地运行；②网络资源被广泛应用于政治、经济、科学以及军事等各个领域；③网络的用户来自社会各个阶层和部门；④计算机网络中的数据信息在存储和传输过程中，被窃取、复制、泄露或篡改的可能性不断增加；⑤威胁计算机网络管理和安全的因素来自多个方面。6712.1.1网络管理概述计算机网络的发展趋势是：网络规模不断扩大，复杂性不断增加，网络异构性越来越高。计算机网络必须有一个高效的网络管理系统，才能为用户提供令人满意的服务。网络管理(简称网管)已被列为“未来网络结构”的三大关键技术(高速交换技术、虚拟网络技术、网络管理技术)之一。812.1.1网络管理概述(续1)网络管理的概念由来已久。话务员就是整个电话网络系统的管理者。20世纪50～70年代期间，先后出现了三个事件：长途直拨、程控交换机和网络运营系统，对网络管理起着重大的变革作用。网络管理逐渐由人工管理过渡到机器管理。计算机网络的管理，则始于1969年ARPANET。网络管理所追求的目标是集成化、开放型、分布式的网络管理。912.1.1网络管理概述(续2)网络管理有狭义和广义之分。狭义网络管理是指对网络通信量(traffic)等网络性能管理，广义网络管理是指对网络应用系统的管理。但至今尚无一个精确的定义。一般认为：网络管理不是指对网络进行行政上的管理，而是以提高整个网络系统的效率、管理和维护水平为目标，主要涉及对一个网络系统的资源和活动，进行监视、测试、配置、分析、协调、评估和控制，并以合理的价格满足网络的一些需求。1012.1.2网络管理的一般模型网络管理的一般模型网络管理员因特网A网管协议被管设备被管设备被管设备被管设备管理站AAAM——管理程序（运行SNMP客户程序）——代理程序（运行SNMP服务器程序）MA1112.1.2网络管理的一般模型(续1)网络管理模型中的主要构件管理站常称为网络运行中心NOC(NetworkOperationsCenter)，是整个网络管理系统的核心。由网络管理员直接操作和控制。管理站的关键构件是管理程序。管理站(硬件)或管理程序(软件)都可称为管理者(manager)。管理程序在运行时成为管理进程。Manager不是指人而是指机器或软件。网络管理员(administrator)指的是人。大型网络往往实行多级管理，因而有多个管理者，而一个管理者一般只管理本地网络的设备。12.1.2网络管理的一般模型(续2)网络管理模型中的主要构件(续1)被管设备如主机、路由器等(含软件)。被管设备有时可称网络元素(或网元)。网络的每一个被管设备中可能有个多被管对象(ManagedObject)。被管对象可以是被管设备中的某些硬件或软件的配置参数的集合。在被管设备中也会有一些不能被管的对象。代理指运行在被管设备中的一个网络管理代理程序程序(简称代理)，以便和管理站中的管理程序进行通信。代理程序在管理程序的命令和控制下在被管设备上采取本地的行动。1212.1.2网络管理的一般模型(续3)网络管理模型中的主要构件(续2)网络管理协议，简称为网管协议。必须注意，并不是网管协议本身来管理网络。网管协议只是管理程序和代理程序之间进行通信的规则。网络管理员利用网管协议通过管理站对网络中的被管设备进行管理。1312.1.2网络管理的一般模型(续4)客户/服务器方式管理程序和代理程序按客户/服务器方式工作。管理程序运行SNMP客户程序，向某个代理程序发出请求（或命令），代理程序运行SNMP服务器程序，返回响应（或执行某个动作）。在网管系统中往往是一个（或少数几个）客户程序与很多的服务器程序进行交互。141512.1.3网络管理的体系结构网络管理体系结构指网络管理系统的逻辑结构，包括网络管理模型、网络管理模式(管理者–代理模式)、网络管理协议及管理信息库MIB(ManagementInformationBase)。从应用角度，网管体系结构的两种类型：①公用网管体系结构由管理者、代理和MIB等三部分组成。这是一种集中式网管结构。OSI和因特网的网管均属于此类。②专用网管体系结构针对特定网络环境提出的网络管理体系结构。如OpenView。1612.1.3网络管理的体系结构(续1)1990年初，开放软件基金会OSF提出分布式管理环境DME的网络管理方案，将是未来计算机网络管理的发展方向。DME的基本思想是：网管系统独立于具体的硬件与操作系统；提供标准的结构、服务和开发环境；开发简单易学的网管应用软件。1985年，ITU-T提出电信管理网TMN的构想，1988年又发表了M.30建议书。TMN作为对电信网进行统一管理的方案，现已成为现代网络管理的发展方向。1712.1.4ISO的网络管理功能ISO7498-4标准定义了网络管理的五项基本功能，简称FCAPS。1、故障管理当网络中某个组成失效时，网络管理器应能迅速检测出故障，将其定位，并采取适当措施及时排除。包括故障检测、诊断和恢复三个方面。2、配置管理对被管对象相关功能集合进行定义、识别、控制和监视。目的是为了实现某个特定功能或使网络性能达到最优的等级。3、计费管理依据各种电信资费标准，以及管理用户对网络资源的使用情况，对用户核收费用。1812.1.4ISO的网络管理功能(续1)4、性能管理通过监视和分析被管网络及其所提供服务的性能机制，来评估系统的运行状况及通信效率等系统性能。使网络能够提供可靠、连续的通信服务。5、安全管理建立加密及密钥管理、授权和访问机制，以及建立、维护和检查安全日志。ISO就网络管理只定义了上述五项基本功能。许多厂商都扩展了网络管理的内容，作为网络管理系统功能的一部份。19第12章内容提纲12.1计算机网络的管理12.2简单网络管理协议SNMP12.3计算机网络的安全12.4数字加密技术12.5网络安全策略12.6虚拟专用网12.7因特网的安全协议12.2简单网络管理协议SNMP20世纪80年代初期，因特网的发展使人们意识到网络管理的重要性。为此，人们对网络管理的开发研究十分重视，并提出了多种网络管理方案。SNMP发布于1988年，于1990年成为因特网的正式标准(RFC1157)。之后又修订为SNMPv2，1999年4月又提出了SNMPv3。SNMPv3最大的修改是定义了比较完善的安全模式，提供了基于视图的访问机制和基于用户的安全模型等安全机制。2012.2简单网络管理协议SNMP(续1)网络管理的基本思想若要管理某个对象，就必然会给该对象添加一些软件或硬件，但这种“添加”必须对原有对象的影响尽量小些。SNMP就遒循这种设计思想。SNMP的基本功能是监视网络性能、检测分析网络差错和配置网络设备等。SNMP使用管理器和代理的概念。由管理器(通常是主机)控制和监视一组代理(通常是路由器)。管理器运行SNMP客户程序，代理运行SNMP服务程序。管理是通过管理器和代理之间的简单交互来实现的。2112.2简单网络管理协议SNMP(续2)整个网络系统必须有一个管理站。管理进程和代理进程利用SNMP报文进行通信，而SNMP报文又使用UDP来传送。若网络元素使用的不是SNMP而是另一种网络管理协议，SNMP协议就无法控制该网络元素。这时可使用委托代理(proxyagent)。委托代理能提供如协议转换和过滤操作等功能对被管对象进行管理。2212.2简单网络管理协议SNMP(续3)网络管理的主要构件SNMP定义了管理器和代理之间交换的分组格式，内含对象(变量)及其状态(值)。SNMP还负责读取和改变这些数值。管理信息结构SMI定义了对象命名和对象类型(包括范围和长度)，以及如何把对象和对象的值进行编码的的一些通用规则。但SMI并不定义一个实体管理的对象数目，以及被管对象的名字以及对象与其值之间的关联。管理信息库MIB在被管对象的实体中创建命名对象，并规定其类型。2312.2.1管理信息结构管理信息结构SMI是SNMP的重要构件，现在使用的版本是SMIv2。SMI有三个功能①被管对象进行命名；②定义对象中存储的数据类型；③对网络上传输的数据给出编码方法。2412.2.1管理信息结构(续1)1、对象命名SMI规定，每个被管对象都要有一个唯一命名的对象标识符，它处于基于分层次的树结构上。每个对象可用点隔开的整数序列表示，而在树结构用点分隔开的文本名字序列来定义对象。整数点的表示法用在SNMP，而名字点记法是人使用的。2512.2.1管理信息结构(续2)部分对象标识树26sys(1)if(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)trans(11)snmp(12)org(3)dod(6)internet(1)1.3.6.1(iso.org.dod.internet)mib-2(1)1.3.6.1.2.1(iso.org.dod.internet.mgmt.mib-2)iso(1)iso-itu-u(2)根itu-t(0)mgmt(2)12.2.1管理信息结构(续3)2、对象的数据类型SMI使用抽象语法记法1(ASN.1)来定义数据类型，却又增加了新的定义。SMI使用的数据有两大类：①简单类型，这是最基本的。其中一部分直接取自ASN.1，另一部分是SMI增加的(见表12-1)。②结构化类型。此类型有两种：一种是Sequence，是一些简单数据类型的组合。它类似于C语言中的struct或record。另一种是Sequenceof，是所有相同类型的简单数据类型的组合，或同类型的Sequence数据类型的组合，类似于C语言中的array。2712.2.1管理信息结构(续4)3、编码方法SMI使用ASN.1制定的基本编码规则BER对数据进行编码。SMI对数据的编码格式28编号类别格式位215标记长度可变可变1字节值标记T(1字节)该字段用来定义数据类型，由三个子字段组成：①类别(2位)。用来定义数据的作用域。分为通用类(00)，应用类(01)，上下文类(10)和专用类(11)。通用类取自于ANS.1，应用类是SMI增加的，而上下文类有5种是为了适应不同的协议。②格式(1位)。指明数据类型种类，简单数据类型(0)，结构化数据类型(1)。③编号(5位)。用来将简单的或结构化的数据进一步划分为子组。12.2.1管理信息结构(续5)29编号类别格式位215标记长度可变可变1字节值长度L(1或多字节)。当该字段最高位为0，其余7位定义数据长度。当该字段最高位为1，其余7位定义后续字节的字节数，所有后续字节串接起来的二进制数定义该字段的长度。SMI对数据的编码格式(续1)指出值字段长度=2字节00000010100000