计算机网络管理与安全技术
李 艇
02W1.2.3
计算机网络管理与安全技术
第 1章:网络管理概述
第 2章,SMI和 MIB
第 3章,SNMP通信模型与 RMON规范
第 4章:网络管理系统
第 5章:网络安全基础
第 6章:网络安全技术
第 7章:防火墙
第 9章 网络管理基础实训
第 10章 网络安全基础实训
复习
参考文献
1,<SNMP网络管理 >.Willian Stallings 著
中国电力出版社 (译),49元,
2,<网络管理 — 原理与实践 >.Mani Subramanian著,高等
教育出版社(影印版),38元,
3,雷振甲编著,计算机网络管理及系统开发,北京:电子工
业出版社,2002
4,<信息网络安全 >张红旗 著 清华大学出版社,24

5,<网络安全从入门到精通 >.Chris Brenton
(译),第二版,电子工业出版社,45元,
6,http:www.webmaster.com.cn
学习目的
一、
LAN的管理 ----NOS的管理功能和操作命令
互联网的管理 ----跨平台的网络管理技术
独立的管理框架
特定的管理信息结构
专门的网络管理协议
? 网络管理分为两类。第一类是网络应用
程序、用户帐号和存取权限的管理,它
们都是软件相关的网络管理;第二类是
构成网络的硬件所组成,包括工作站、
服务器、网卡、路由器、交换机和集线
器。
? 通常的网络管理指的是第二类,即网络
硬件设备的管理。
学习目的
互联网的管理主要是
? 对 TCP/IP网络管理,其协议是 SNMP。
? OSI的 CMIP标准功能全面但无产品。
学习目的
? 掌握网络管理的基本概念
? 理解网络管理标准
? 熟悉网络管理应用平台
? 具有实际操作能力
网管技术:成熟、实用。专门的研究和开发
领域,新兴的应用技术。
第 1章 网络管理概述
引言
1.网络管理的重要性
? 用户对网络的依赖程度越来越高
? 用户对网络应用的需求不断提高
? 用户对网络性能、运行状况及安全性越来
越重视
引言
2.网络管理的必要性
? 网络规模不断扩大
? 网络结构越来越复杂
? 简单的管理工具和方法已不适应管理大型
和异构网络
网 络 市 场 新 格 局
企 业 网
?IP based LAN Telephony
? Ethernet LAN
? Wireless (802.11/BlueTooth)
? 802.1p/Q
? IntServ
CPE Headend
Headend
Switch
IWF
CPE
LAN PBX
LAN PBX
电 信主 干 网
? DWDM
? IP/SDH
? IP/GE
? MPLS
?Optical Networking
Service Provisioning
? VPN
? DiffServ
Backbone
Trunk/Switch
Switch
Backbone Router
Switch
家 用 网 关
无 线 接 入 网
? GPRS
? UMTS
? WCDMA
家 用 网 络 网
? HPNA
? SWAP
? 802.11
? Bluetooth
? PLC
? 1394
宽 带 接 入 网
? xDSL
? Cable Modem
? EDSL
? Ethernet
? LMDS
无 线 基 站
新挑战
? 网 络 在 急 速 膨 胀
? 网 络 建 设 成 本 在 提 高
? 网 络 安 全
网 络 体 系 结 构
高 速 局 域 网 络 系 统
网 络 安全 系 统
加密机
应用安全系统
防火墙
宽 带 接 入 和 广 域 网 络 系 统
无 线 局 域 网 络 系 统
网 络 管 理 与 服 务
网络的关键需求
? 功 能 丰 富 而 全 面
? 可 用 性 和 易 用 性
? 高 效 率 和 低 成 本
? 安 全
中小学 /职业学校网络系统拓扑结构图
现存问题
? 日常的网络维护和操作的工作量大大增加,
网络管理人员匮乏, 网络系统需要一个可
靠, 便捷, 功能强大的网络管理系统来充
分有效的管理和利用网络资源 。
现存问题
? 对设备的使用情况, 运行状况, 网络流量的监控
与统计等,以及针对网络安全的漏洞和隐患的检测,
故障的定位和信息统计分析的报表缺乏有效的工
具 。
? 从业务流程上看, 办公网与教学网需要相对独立,
所以要对用户权限进行必要的限定, 发生过个别
员工访问非本部信息的情况 。
? 安全性问题不仅来自外部网络, 更主要的威胁还
是来自内部网络, 很多来自学生出于好奇心或其
他心理而采取的网络 IP地址盗用, 网络攻击等方
式无疑是网络系统中的一个隐患 。
网络管理需求分析
? 系统管理, 管理人员要随时掌握网络内任何设备
的增减与变动, 要管理所有网络设备的参数设置 。
当故障发生时, 管理人员要根据情况, 及时进行
重设或改变网络设备的参数, 以维持网络的正常
运行 。
? 故障管理 网络出现问题时, 必须及时察觉问题
所在 。 它包含所有节点的运行状态, 故障的记录
与追踪检查, 平时对各种通信协议的测试等 。
? 性能管理, 对网络运行情况进行监控,
对历史记录进行分析统计, 自动形成报表,
并根据历史记录预测网络性能的长期趋势,
并根据分析和预测的结果, 对网络拓扑结
构, 某些对象的配置和参数进行调整, 逐
步达到最佳 。
? 安全管理, 为防范不被授权的用户擅自
使用网络资源或者用户蓄意破坏网络系统
的安全, 要随时制定安全措施, 如合法的
设备存取控制与加密等 。 TCP/IP网络上的
任何一台工作站都需要有一个合法的 IP地
址才能够正常工作 。 IP地址管理得当与否,
是计算机网络能否保持高效运行的关键 。
引言
3.网络管理涉及的内容
? Network service provisioning 提供网络服务
向用户提供新的服务类型与增加网络设备、提高网络性能。
? Network maintenance 网络维护
网络性能监控、故障报警、故障诊断、故障隔离与恢复
? Network administration 网络处理
网络线路、设备利用率数据的采集、分析及提高网络利用
率的各种控制。
1.1网络管理与网络管理系统
? 网络管理:是控制一个复杂的计算机网络使其具
有最高的效率和生产力的过程。
? 网络管理系统:由一组软件组成,帮助网络管理
人员完成日常的任务,提高网络运行的效率和服
务质量。其有三部分(从逻辑上分)
? 管理对象:是经过抽象的网络元素。
? 管理进程:是负责对网络设备进行全面的管理与
控制的 软件 。
? 管理 协议,是负责在管理系统与被管理对象之间
传递操作命令和解释管理操作命令。
用户接口
网络管理信息表示
网络管理应用网络管理应用
应用元素应用元素应用元素
网络管理数据传输服务
通信协议栈MIB访问模块
管理信息库
被管网络
网管软件结构
网络管理协议示意图
Network
依赖于网络的协议
IP
UDP
SNMP管理站
管理应用程序
SNMP管理站
依赖于网络的协议
IP
UDP
SNMP管理站
被管理对象和资源
应用程序管理对象
SNMP消息
SNMP代理
1.1.1 网络管理功能
ISO定义了网络管理的关键功能且被标准和非标准的网
络管理系统所广泛接受 。 其功能分类为
? 配置管理:是发现和设置网络关键设备的过程 。
? 故障管理:探测, 隔离和纠正不正常操作 。
? 性能管理:对被管理对象的行为和通信活动的效率
进行评价 。
? 安全管理:正确操作网络管理和保护管理对象 。
? 计费管理:对使用的被管理对象进行识别和使用计
费 。
1.1.1 网络管理功能
1、配置管理( Configuration management)
功能有:
1) 定义配置信息;
2) 设置和修改设备属性;
3) 定义和修改网络元素间的互联关系;
4) 启动和终止网络运行;
5) 发行软件;
6) 检查参数值和互联关系;
7) 报告配置现状
1.1.1 网络管理功能
2,故障管理 (fault Management)
功能有:
a.检测管理对象的故障现象, 接收其故障报警
b.利用空余网络对象为故障对象提供临时网络服务;
c.创建与维护差错日志, 对差错日志进行分析;
d.进行故障诊断, 明确故障性质和解决方案;
e.维修和排除对象故障, 恢复正常网络服务 。
1.1.1 网络管理功能
3、性能管理( performance management)
功能有:
1) 从管理对象中收集与性能有关的数据;
2) 对与性能相关的数据进行分析与统计;
3) 根据统计分析的数据判断网络性能,报告当前网络性能,
产生性能警告;
4) 将当前统计数据的分析结果与历史模型进行比较,以便
预测网络性能变化趋势;
5) 形成并调整性能评价标准与性能参数标准值,根据实测
值与标准值的差异去改变操作模式,调整网络管理对象
的配置;
6) 实现对管理对象的控制,以保证网络的性能达到设计要
求。
1.1.1 网络管理功能
4、安全管理( security management)
功能有:
1) 系统数据的保密性,即保护系统数据不被侵入
者非法获取;
2) 用户账号管理,即建立合法的用户账号;
3) 用户授权,即防止非法侵入者在系统上发送错
误信息;
4) 访问控制,即控制用户对系统资源的访问;
5) 对授权机制和关键字的加密 /解密作业管理。
1.1.1 网络管理功能
5、计费管理( accounting management)
功能有:
1) 通过网络的利用率确定不同时期与时间段的资
费标准;
2) 根据用户使用资源的情况来分摊费用;
3) 支持采用信用记帐方式收取费用方式;
4) 当用户在一次服务时使用了多种信息资源时,
能够将分别计费的各个资源的费用累加。
1.1.2 网络管理系统
1,网络管理系统的作用
? 协助网络管理者完成常规任务。
? 对于大型异构网络,可跟踪大量的关键信
息以确定网络的运行状况。
总之,网络管理系统帮助网络管理者有效地
控制和维护网络设备。在复杂的网络环境
中给网络管理者提供更高水平的帮助,使
得网络更加适合于用户的需要。
1.1.2 网络管理系统
2,网络管理平台简介
对于高度复杂的信息技术基础设施,需要一个强大
的系统工具来管理。目前主要的系统管理软件有:
HP公司的 OpenView,IBM公司的 NetView,SUN公
司的 SunNet,Cisco的 CiscoWorks以及华信亿码
公司的 NetWin2000。
网络管理软件主要分三类:
专用网络管理软件
通用网络管理软件
网络应用管理软件。
1.2 网络管理标准
? ISO在 1989年颁布了第一个关于网络管理的国际
标准性文件,即 ISO DIS 7498-4( X.700)。其
定义了网络管理的基本概念和总体框架,
? 1991年发布的两个文件中规定了网络管理提供的
服务和网络管理协议,ISO 9595 公共管理信息
服务定义 CMIS(Common Management Information
Service ) 和 ISO 9596公共管理信息协议规范
CMIP(Common Management Information
Protocol)。
? 1992年公布的 ISO10164和 ISO10165两个文件中分
别定义了系统管理功能 SMFs(System Management
Functions)和管理信息结构 SMI(Structure of
Management Information)。这些文件共同组成
了 ISO的网络管理标准。
1.2 网络管理标准
? TCP/IP网络管理最初使用的是 1987年 11月提出
的简单网关监控协议 SGMP( Simple Gateway
Monitoring Protocol)。
? 在此基础上改进成简单网络管理协议第一版
SNMPv1(Simple Network Management Protocol)。
? 在 90年初又公布了几个 RFC( Request For
Comments)文件,即 RFC1155( SMI),RFC1157
( SNMP),RFC1212( MIB定义)和 RFC1213
( MIB-2 规范)。由于其简单性和易于实现,
SNMPv1得到了许多厂商的支持和广泛的应用。
? 在此基础上改进其功能增加了安全性,产生了
SNMPv2。
? 由于 SNMPv2没有达到, 商业级别, 的安全要求,
1999年 4月发布了最新的网络管理标准 SNMPv3。
1.2.1通信网络设备的管理
通信网络设备管理阶段的代表是基于 SNMP的网络管理
体系结构。
? SNMP已成为网络管理领域中事实上的工业标准,大
多数网络管理系统和平台都是基于 SNMP的体系结构。
? 通信设备管理阶段的特点是集中式网络管理体系结
构,采用 SNMP网络管理协议,管理的对象主要是针
对网络互连设备,例如:路由器、交换机、打印机、
UPS等设备。
基于 SNMP的网络管理
Tower box
路由器
服务器
MIB管理信息库
MIB
SNMP协议
管理站
管理节点
代理软件
代理软件
1.2.2综合网络系统的管理
综合网络系统的管理特点
? 采用 分布式 /分层式 网络体系结构,网络互
连设备与网络应用程序的集成,多种网络管
理协议的集成。
? 同时将系统管理和网络统一成一个管理平台,
使得管理范围包括服务器、客户端硬件和和
操作系统平台的管理、网络管理、数据库管
理,Internet/Intranet管理以及其他应用
程序的管理。
UMG
LMG1
子网 1 子网 n子网 2
分级管理模式
LMG2 LMGn
几种标准网络管理协议有:
1,简单网络管理协议 SNMP
2,OSI网络管理协议公共管理信息服务 CMIS
和公共管理信息协议 CMIP。
3,在 TCP/IP协议簇之上实现 CMIS服务的公共
管理信息服务与协议 CMOT。
4,IEEE802.1b局域网个人管理协议 LMMP。为
LAN环境提供一个网络管理方案。
1.3 网络管理协议的发展
1.4 SNMP管理结构及工作机制
1.4.1 网络管理模式
网络运行中心对网络及其设备的管理有三种
方式:
? 本地终端方式
? 远程 telnet命令方式
? 基于 SMNP的代理 /服务器方式。
1.4.1 网络管理模式
1,本地终端方式
本地终端方式是通过被管理设备的 RS-232接
口与网管机相连接,进行相应的监控、配
置、计费、性能和安全等管理的方式。这
种方式一般适用于管理单台重要的网络设
备,例如路由器等。
1.4.1 网络管理模式
2,远程 telnet命令方式
? 通过计算机网络对已知地址和管理口令的
设备进行远程登录,并进行各种命令操作
和管理。
? 只适用于对网络中的单台设备进行管理。
? 与本地终端方式管理的区别是远程 telnet
命令方式可以异地操作,不必亲临现场。
? 基于 Web浏览器的管理方式(监视)
1.4.1 网络管理模式
1,基于 SMNP的代理 /服务器方式
SNMP体系结构,有三个基本组成部分:
? 管理进程( manager)
? 管理代理( agent)
? 管理信息库( MIB)
管理进程
主机
管理代理
MIB
网关
管理代理
MIB
终端 服务器
管理代理
MIB
SNMP的体系结构图
管理进程 manager
? 是一个或一组软件程序。
? 一般运行在网络管理中心的主机上。
? 可以在 SNMP的支持下命令管理代理执行各
种管理操作。
管理代理 agent
? 是一种在被管理的网络设备中运行的软件,
负责执行管理进程的管理操作。
? 管理代理直接操作本地信息库,可以根据
要求改变本地信息库或将数据传送到管理
进程。
管理信息库 MIB
? 是一个概念上的数据库,它是由管理对
象组成的,每个代理所管理的 MIB中属于本
地的管理对象,各管理代理控制的管理对
象共同构成全网的管理信息库。
1.4.2 SNMP网络管理结构
简单网络管理协议提供了一个标准化的网络
管理框架,使得互连网络的监视和控制成为可能。
SNMP是一个简单的但可扩展的标准集。 SNMP采用
管理进程 /管理代理模式,管理协议在应用层上运
行。 SNMP的成功主要在于它的简单性、灵活性和
可扩展性。
1.4.2 SNMP网络管理结构
基于 TCP/IP网络管理的网络模型由以下几部分组成:
l 管理站
l 管理代理
l 管理信息库
l 网络管理协议
1.4.2 SNMP网络管理结构
? 网管 工作站 (NMS)
收集网络情报,并做显示
? SNMP
信息交换协议
? Agent
根据 NMS的要求收集并存储信
息,产生陷井 TRAP
? MIB
Management Information
Base
网络信息对象的数据库
? SMI
Structure of Manage
Information
Network
Management
Station
(NMS)
Manager
SNMP message
exchange
Managed
Device
Agen
tMIB
Managed
Device
Agen
tMIB
1.4.2 SNMP网络管理结构
管理站是典型的独立设备,是网络管理员到网络
管理系统的接口。管理站至少应有:
l 一系列用于数据分析、故障修复等的管理
应用程序
l 网络管理员用来监视和控制网络的接口
l 把网络管理员的要求翻译成网络中实际监视或
控制的能力
l 从网络中所有被管理设备中提取出来的信息库
网络管理结构模型
网络设备 网络设备
网络管理协议
Polling,TrapNMS 代理
进程
协议栈和设
备驱动程序
协议栈和设
备驱动程序
互连网络
管理站和代理通过网络管理协议联系起来。用于管理 TCP/IP网
络的协议 SNMP有以下主要的功能:
? get:使管理站能够获取代理中对象的值。 (TCP端口检测 )
? set:使管理站能够设定代理中对象的值。 (syslocation)
? trap:使代理能够向管理站通告重要事件。 (监视策略,响应方式 )
POLLING TRAP
Manager Agent Manager Agent
实现模式
1.4.2 SNMP网络管理结构
网络管理
工作站
流量监视器你看见了多 少流量?
在下午 4 点 15
分有 12.5%
方法 1 网络管理工作站轮询被管理设备中的代理以获得信息
1.4.2 SNMP网络管理结构
在没有轮询的情况下,被管理设备代理向网络管理工作站报告错误
网络管理
工作站
流量监视器
警告!在下午 4 点
20分我看见了
55% 的利用率
SNMP网络管理结构
RFC
1155
RFC
1212
RFC
1213
RFC
1157
Structure of Management
Information
Management Information
Base (MIB-Ⅱ )
Format for MIB
Modules
SNMPv1
网络管理结构
1.4.3 SNMP协议体系结构
SNMP
UDP
IP
网络协议
代理过程
路由器
SNMP
UDP
IP
网络协议
代理过程
主机
FTP等
TCP
IP
网络协议
用户过程
Network
SNMP
UDP
IP
网络协议
管理站过程管理站 MIB
网络管理站
1.4.3 SNMP协议体系结构
SNMP代理
依赖于网络的协议
IP
UDP
SNMP管理站
管理应用程序
SNMP管理站
依赖于网络的协议
IP
UDP
SNMP管理站
被管理对象
应用程序管理对象
SNMP消息
Networ
k
1.4.3 SNMP协议体系结构
从管理站发送三种 SNMP消息:
? GetRequest
? GetNextRequest
? SetRequest
? 由代理以 GetResponse消息的形式来应答,并将该消息
向上传输到管理应用程序。
? 代理可能发送 trap消息来响应影响 MIB和底层被管理资
源的事件。
由于 SNMP依赖于 UDP,所以 SNMP本身也是无连接协议。在管
理站和其代理之间不维持连续连接,相反每一次信息交
换都是管理站和代理之间的独立行为。
1.4.3 SNMP协议体系结构
? SNMP选择 UDP协议是因为 UDP效率较高,这样实
现网络管理不会太多的增加网络负载。
? 由于 UDP不是很可靠,所以 SNMP报文容易丢失。
? SNMP实现的建议是对每个管理信息要装配成单
独的数据报独立发送,而且报文较短,不超过
484个字节。
1.4.4 SNMP工作机制
? SNMP管理模式重要特点是能够快速地从 MIB中找
到所需要的管理对象实例。主要依赖于只有叶
节点的对象才有实例,且每个对象或实例的识
别符都是从左到右顺序递增的规定。有了这一
规定,SNMP管理模式就会具有较高的检索速度。
(MIB,system)
1.4.4 SNMP工作机制
? SNMP协议实现网络管理系统和代理之间的异步请求
和响应。其功能是通过轮流查询操作实现的。
? SNMP协议的机制是一种由管理站周期性地发送轮询
信息给被管设备的管理代理以实时监视和维持网络
资源,同时又采用了被管设备在发生特殊问题时采
用异常事件报告网管站的工作方式。
1.4.4 SNMP工作机制
采用 5种通信原语来完成其工作机制。具体实现如下:
1,GetRequest:从拥有 SNMP代理的网络设备中检索信息。
2,GetResponse:是 SNMP代理对管理站 GetRequest消息的响应。
可以交换许多信息,如系统的名字、系统自启动后正常运行
的时间和系统中的网络接口数等。 (中文 MIB system,Host)
3,GetNextRequest:访问网管代理,并从 MIB树上检索指定对
象的下一个对象实例。
4,SetRequest:对一个设备中的参数进行远程配置。可以设
置设备的名字,在管理上关掉一个端口或清除一个地址解析
表中的项。 (system name,panel,)
5,Trap:是 SNMP代理发送给管理站的非请求消息。这些消息
通知服务器发生了一个特定的事件。 (监视策略,个别响应 )
end
用 GetNextRequest原语对 MIB进行操作过程的例子 (get中文 mib-2)
A
T.E.2.1
B
T
E
T.E.3.1T.E.1.1
T.E.2.2
Z
GetRequest(A)
Manager Process Agent Process
GetResponse(A)
GetNextRequest(T.E.3.1)
GetNextRequest(A)
GetResponse(B)
GetNextRequest(B)
GetResponse(T.E.1.1)
GetNextRequest(T.E.1.1)
GetResponse(T.E.2.1)
GetResponse(T.E.2.2)
GetResponse(T.E.3.1)
Response(Z)
GetNextRequest(Z)
Response(noSuchName)
A GetNextRequest Operation for the MIB
GetNextRequest(T.E.2.1)
GetNextRequest(T.E.2.2)
习题:上网查询有关网络管理方面的网站,并下载或编辑
关于网络管理功能、网络管理系统、网络管理标准等摘
要或网络管理方面的信息。要求:
1,1000字左右 2,二周后交稿
3,电子文档 4,写清所访问过的 URL
参考 URL:
华信亿码 http://www.emgsoft.com.cn
万博 IT技术培训 http://training.wnt.com.cn
青鸟网络安全 http://www.jbu.com.cn
http://www.cisco.com
公共信息模型 http://www.dmtf.org
基于 Web网络监视 http://www.maclawran.ca
技术文档 http://www.tivoli.com
网络监视工具 http://www.microsite.co.uk
参考 URL:
http://www.checkpoint.com.cn
http://www.talentit.com.cn
http://www.rising.com.cn
http://www.ccw.com.cn
http://www.lslnet.com
http://www.webmaster.com.cn
http://www.sessionwall.com.cn
http://www.netbus.com.cn
http://www.netscreen.com
http://www.siteview.com
http://www.netstd.com