安全网管技术
This presentation is the property of its rightful owner.
Sponsored Links
1 / 54

安全网管技术 PowerPoint PPT Presentation


  • 108 Views
  • Uploaded on
  • Presentation posted in: General

安全网管技术. 张焕杰 中国科学技术大学网络信息中心 [email protected] http://202.38.64.40/~james/nms Tel: 3601897(O). 第2章 网络管理系统及 SNMP 协议. 本章主要内容 网络管理概述 TCP/IP 网络管理体系结构 SNMP 网络管理协议 管理信息库( MIB). 参考资料. 计算机网络管理系统设计与应用,白英彩等,清华大学出版社 Cisco Networkers 2003 文档 http://210.45.224.8/~james/cw2003/index.xml

Download Presentation

安全网管技术

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


3990742

安全网管技术

张焕杰

中国科学技术大学网络信息中心

[email protected]

http://202.38.64.40/~james/nms

Tel: 3601897(O)


2 snmp

第2章 网络管理系统及SNMP协议

  • 本章主要内容

    • 网络管理概述

    • TCP/IP网络管理体系结构

    • SNMP网络管理协议

    • 管理信息库(MIB)


3990742

参考资料

  • 计算机网络管理系统设计与应用,白英彩等,清华大学出版社

  • Cisco Networkers 2003文档

  • http://210.45.224.8/~james/cw2003/index.xml

  • http://210.45.224.8/~james/cw2003/NMS-1001.pdf


3990742

Resource & Performance Management Solutions

Network Management Solutions

Service Design & Management Solutions

Systems & Applications Management Solutions

Service Level Planning & Management

Operations & Availability

Management

Configuration

Management

Backup & Storage Management Solutions

Chang

Management

Desktop & Software

Management

Configuration & Change Management Solutions

Desktop & Software Management Solutions

IT Service Management


3990742

2.1 网络管理概述

  • 网络管理历史

    • 网络管理与电信网络的历史一样长,接线员能进行有限的管理

    • 随着程控交换机的引入,越来越多

    • 计算机网络的管理伴随ARPANET产生

    • 早期的ARPANET、SNA、DNA、AppleTalk等的管理系统专用,不开放

    • 80年代提出了多种网络管理方案


3990742

网络管理历史

  • 1988年IAB(Internet Activities Board)制定了Internet管理的发展策略:

    • SGMP作为短期方案,最终采用CMIS/CMIP

  • 推出了SNMP(Simple Network Management Protocol)和CMOT(CMIP/CMIS on TCP/IP)

  • 1990年正式发布SNMP,1993年发布SNMPv2

  • SNMP已经成为网络管理事实上的工业标准


3990742

网络管理系统的功能特点

  • 一个网络管理工具,应具备以下特点

    • 发现网络拓扑结构和网络配置

      • 自动发现和手工修改

    • 智能监控

      • 理解网络结构的内在依赖管理,报告出现的问题

    • 控制程度

      • 设置设备重要等级,对不同等级的告警信息采取不同处理

    • 灵活性

      • 可定制


3990742

网络管理系统的功能特点(2)

  • 多厂商集成

    • 管理不同厂商的设备,包含不遵循SNMP协议的

  • 存取控制

    • 不同的用户访问权限可以区分

  • 用户友好

    • 方便管理员使用

  • 编程接口

    • 可以灵活扩展功能

  • 报告生成

    • 按照管理员的要求,生成各种报表


3990742

常见网络管理系统

  • HP OpenView

    • 第一个网络管理系统,最初是一个平台,现在是可以给最终用户的产品,得到第三方的广泛支持

    • HP Openview Node Management特点:

      • 自动发现网络拓扑

      • 性能分析

      • 故障告警

      • 多厂商支持


3990742

常见网络管理系统(2)

  • Cisco Works

    • Cisco 公司开发的网络管理应用,可以集成在网络管理平台上运行

    • 针对Cisco产品设计,管理这些设备更方便

    • 功能:

      • 配置管理

        • 保存配置文件历史,可以比较、分析配置文件内容

      • ……


3990742

网络管理的意义和发展

  • 随着网络的不断推广和应用,人们对网络的依赖越来越大,网络越来越重要。

  • 当前计算机网络发展特点:

    • 规模不断扩大

    • 复杂性不断增加

    • 网络异构性(多厂商设备)越来越高

  • 网络管理系统能给网络管理员提供良好的信息来源,减少网络故障,缩短网络失效时间,最大程度发挥网络的作用。


3990742

网络管理定义和模型

  • 网络管理主要是关于规划、监督、设计和控制网络资源的使用和网络的各种活动。

  • 网络管理模型:

    • 功能模型

    • 体系结构模型

    • 信息模型

    • 组织模型


3990742

功能模型

  • ISO 在 ISO/IEC7498-4中定义了网络管理的五大功能:

    • 故障管理

      • 包括故障检测、隔离和纠正三方面

    • 计费管理

      • 记录网络资源的使用,控制和检测网络操作的费用和代价,对商用网络尤为重要

    • 配置管理

      • 配置网络


3990742

功能模型

  • 性能管理

    • 估计系统资源的运行状况及通信效率。

  • 安全管理

    • 包括对授权机制、访问控制、加密和密钥的管理。


3990742

体系结构模型

  • 体系结构模型描述了实体的一般结构,实体间接口极其通信方法。主要涉及远程通信网的管理。


3990742

信息模型

  • 实现被管虚拟资源、软件及物理设备的逻辑表示。

  • 多采用面向对象的方法定义网络管理信息。

  • SNMP中,网络管理信息是面向属性的,更注重简单性和可扩展性。采用ISO的抽象语法表示语言(ASN.1)表示。


3990742

组织模型

  • 包括管理者、代理者的概念,管理实体间的通信方法。


3990742

代理

代理

代理

管理信息库

管理信息库

管理信息库

网络管理系统

管理者

被管设备

典型网络管理体系结构组织模型


3990742

单个设备结构

  • 管理方式:

    • CLI 命令行 Command Line

      • 最直接,原始的管理方式,能控制设备的基本状态

      • 各个厂商的格式不同

      • 有的产品,CLI实现了管理的所有功能

    • 专有GUI管理程序

      • 设备专用的管理程序

    • WEB www方式管理

      • 简单,往往只有部分管理功能

    • SNMP

      • 基于网络管理系统

      • 往往只有部分管理功能


3990742

单个设备结构(2)

  • In-band带内管理

    • 管理信息流跟普通网络数据一起传输

    • 受普通网络数据的影响

  • Out-band带外管理

    • 独立的管理信息流


3990742

单个设备结构(3)

  • 入口:

    • 控制口(串口)

      • 只能使用CLI,所有情况下可用

      • 多数提供MODEM接口

      • 重要设备需要提供远程控制口管理

    • 单独的管理网络接口

      • Out-band管理

    • 普通网络接口

      • In-band管理

      • telnet/ssh/SSL


3990742

单个设备结构(4)

  • 远程控制口

    • 拨号

    • 反向telnet(Cisco专用)

设备

设备

AccessRouter

设备

管理专用网络

RS232

设备


3990742

SNMP

代理

CLI/WEB

SNMP代理

配置信息

配置信息

单个设备结构(5)

  • CLI 命令行 Command Line

  • WEB www方式管理

CLI/

WEB


3990742

网络管理资源的表示

  • 用“被管理对象”(Managed Object)表示网络中的资源

  • CMIP定义封装了被管理对象

    • 被管理对象的属性

      • 数据类型,是否可写

    • 被管理对象的行为

      • 可能的操作

    • 被管理对象的通知

      • 特定事件发生时所发出的通知


3990742

MIB管理信息库

  • 被管理对象概念上的集合称为管理信息库(MIB,Management Information Base)

  • SNMP的MIB

    • 1988年MIB (RFC 1156)

    • 1990年MIB II (RFC 1158)

    • IAB鼓励厂商针对自己的产品定义自己的MIB,然后以RFC文档的方式公布,以便该产品被网络管理系统支持,保证系统的易扩充性

    • 过多的MIB定义加大了网络系统的负担


3990742

网络管理系统构成

  • 一个网络管理系统不一定包含网络管理的所有功能

  • 四个部分组成:

    • 多个被管代理(Managed Agent)

    • 至少一个网络管理者(Network Manager)

    • 一个通用的网络管理协议(Network Management Protocol)

    • 一个或多个管理信息库(MIB)


Network manager

网络管理者(Network Manager)

  • 实施网络管理的处理实体,驻留在管理工作站上。

  • 是整个网络系统的核心,完成复杂网络管理的各项功能。如排除网络故障,配置网络等。


Managed agent

被管代理(Managed Agent)

  • 驻留在被管设备上,网络管理的处理实体。

  • 负责跟网络管理者通信,执行网络管理者的指令,或在特定事件发生时通知网络管理者。

  • 监视所在网络设备的工作状况,收集有关网络信息。

  • 被管代理一般有多个,分别位于网络中的各个设备上。


Network management protocol

网络管理协议(Network Management Protocol)

  • 描述了管理者和被管代理之间数据通信机制。

  • 网络管理标准主要制订的内容就是网络管理协议。

  • 定义管理者和被管代理之间的数据报文种类和格式;定义管理信息库的数据库格式。


3990742

管理信息库(MIB)

  • 存储在被管理设备的存储器中。

  • 一个动态刷新的数据库,包括设备的配置信息、数据通信的统计信息、安全性信息和设备特有信息。


3990742

集中与分布式的网络管理系统

  • 集中式:

    • 简单,易于实现

    • 不适应大规模网络管理

  • 分布式:

    • 复杂

    • 多层管理者

    • 某些管理者会被高一层的管理者所管理

    • 适应大规模网络管理


Tcp ip

TCP/IP网络管理体系结构

  • IAB制订了TCP/IP网络管理体系结构

  • 三部分内组成

    • 基于TCP/IP的管理信息结构(SMI)

    • 基于TCP/IP的管理信息库(MIB)

    • SNMP网络协议


Tcp ip smi

基于TCP/IP的管理信息结构(SMI)

  • 网络管理应用通过对MIB中网络管理对象的读取和设置来实现对网络设备的管理和监控。

  • MIB对象的定义符合ISO ASN.1语言。

  • 对象类型的定义有对象名称、对象语法和对象编码。


3990742

对象名称

  • 标示一个对象。

  • ASN.1按照对象的注册关系定义对象的标示符,它是一个整行数序列。

  • 在注册关系树的Internet子树下有四个节点:

  • Directory OBJECT IDENTIFIER ::= {internet 1}

  • Mgmt OBJECT IDENTIFIER::={internet 2 }

  • Experimental OBJECT IDENTIFIER::={internet 3}

  • Private OBJECT IDENTIFIER::={internet 4}


3990742

对象名称

  • Directory(1.3.6.1.1)子树为Internet中的OSI体系结构保留

  • Mgmt(1.3.6.1.2)子树用于标示正式批准的RFC中定义的对象

  • Experimental(1.3.6.1.3)子树用于标示正在进行试验的对象

  • Private(1.3.6.1.4)子树用于标示各个网络设备厂商定义的对象


3990742

对象语法

  • 定义对象的结构

  • ASN.1定义了四种基本对象语法类型:

    • INTEGER 整数(ASN.1不限制,但是MIB定义为0-4G)

    • OCTET STRING 字符串

    • OBJECT IDENTIFIER 对象标示符

    • NULL


3990742

对象语法(2)

  • 构造语法类型 SEQUENCE (序列)

    • SEQUENCE { <type1>, <type2>, … <typeN>}

    • <type?>为4种基本类型

  • 支持应用语法类型(Application-wide syntax type)定义

    • IPADDRESS 长度为4的OCTET STRING

    • COUNTER 计数器,非负INTEGER

    • GAUGE 累加器,非负INTEGER

    • TIMETICKS 厘秒计时器,非负INTEGER


3990742

对象编码

  • 采用ASN.1基本编码规则


Tcp ip mib

TCP/IP的MIB

  • IAB定义了2个SNMP MIB:

    • MIB I(RFC1156)

    • MIB II (RFC1213)


3990742

对象定义格式

  • 对象类的定义包括以下域:

    • 对象域

      • 文本形式的对象描述符合对象标示符组成

    • 对象语法域

      • ASN.1定义的对象类的抽象语法

    • 对象定义

      • 对象语义的说明

    • 对象访问权限

      • Read-only, read-write, write-only, not-accessable

    • 状态域

      • 强制(mandatory) 当前(current) 过期(deprecated)


3990742

例子/接口接收数据

  • ifInOctets OBJECT-TYPE

  • SYNTAX Counter32

  • MAX-ACCESS read-only

  • STATUS current

  • DESCRIPTION "The total number of octets received on the interface, including framing characters. Discontinuities in the value of this counter can occur at re-initialization of the management system, and at other times as indicated by the value of ifCounterDiscontinuityTime."

  • ::= { ifEntry 10 }


3990742

对象组

  • System 组定义网络设备系统描述和硬件、软件类型

  • Interface 组定义设备网络端口描述、运行情况和通信量

  • Address Translation定义网络地址到物理地址的映射表(即ARP表)

  • IP组描述了与设备IP层有关的信息

  • ICMP组描述了ICMP输入输出统计信息

  • TCP/UDP/EGP/SNMP组分别描述了TCP/UDP/EGP/SNMP连接有关的信息


3990742

SNMP协议体系结构


3990742

SNMP网络管理信息的范围

  • 包括Internet标准MIB和符合Internet SMI规范的MIB中所定义的对象类

  • SNMP使用的信息编码方式是ISO定义的ASN.1语言的一个子集


Snmp mib

SNMP MIB对象实例标识

  • 对象实例标识符是对象所属对象类的对象标识符加上实例标识符构成。

  • 如SysDescr对象标识符为1.3.6.1.2.1.1.1,设备的系统描述只有一个,实例标识符为0,因此设备的系统描述对象实例标识符为1.3.6.1.2.1.1.1.0


3990742

SNMP认证机制和访问策略

  • 对于SNMPv1,仅仅支持community认证

    • Community string类似于密码

    • 明文传输,非常不安全

    • 后续的SNMPv2、SNMPv3有所改进


3990742

SNMP通信过程

  • 发送方按照ASN.1构造一个请求PDU

  • 发送方将该PDU包含community string发送给接收方(UDP 161)

  • 接收方核对版本号,community string,操作类型,对象标识符

  • 如果所有都正确,处理该请求

  • 必要时发回应答数据包


3990742

SNMP支持的操作

  • SNMP定义了5种PDU

    • GetRequest-PDU

    • GetNextRequest-PDU

    • GetResponse-PDU

      • 是以上2个操作的应答

    • SetRequest-PDU

    • Trap-PDU


  • Login