第 10 章网络管理

第10章网络管理 本章内容网络管理系统的概念结构 ISO 网络管理体系结构 TMN 网络管理体系结构 Internet 网络管理体系结构实现方法和实例

网络管理体系结构 网络管理体系结构 • 计算机体系结构从集中式的基于主机环境到分散式的微机环境一直发展到现在的流行的客户/服务器局域网环境。 • 网络管理系统的体系结构也反映了计算机体系结构的转换历程，它们经历了从基于主机系统到分布式系统到今天的系统。大多数网络管理体系结构都应用了大致相同的基本结构和各种关系集合。 • 被管设备如计算机系统和其它网络设备所运行的软件能够识别设备的问题所在并发出相应的告警信息，例如当某个被管变量超过了用户定义的一个或多个阈值时就产生告警报告。根据接收到的这些告警信息，预先编制的各种管理实体作出具体的响应，执行一个或一组管理操作，包括操作员通知、事件日志登录、系统关闭以及自动进行系统修复等。

代理 代理代理管理数据库管理数据库管理数据库网络管理体系结构网络管理系统（NMS）管理实体网络管理协议网络 Proxy 被管设备被管设备被管设备

网络管理体系结构 • 各管理实体可以轮询各种终端工作站，检查确定变量的当前值。 • 轮询可以是自动的或由用户发起。被管设备中的代理负责响应这些轮询。 • 代理是一些软件模块，用于收集代理所在的被管设备的有关信息，将这些信息存入有关管理数据库中，并通过某种网络管理协议向网络管理系统（NMS）中的各种管理实体提供相应的数据。 • 常用的网络管理协议包括简单网络管理协议（SNMP）和公共管理信息协议（CMIP）。 • 管理委托（Proxies）是一些能够提供代表其它实体的管理信息的实体。

网络管理体系结构 功能体系结构 • 网络管理包括运行、管理、维护和供给（OAM&P）功能，这些功能是保证、监视、转换和控制网络及其传送的服务所需的。 • 网络管理系统具有四个基本功能层次，每层定义了一组任务，为管理各种对象采集、形成和提供所需要的数据。

网络管理体系结构 用户接口 • 网络管理系统的四个基本功能层次 MIB 管理系统的管理者元素管理系统被管对象

网络管理体系结构 (1) 被管对象（Managed Objects） • 被管对象是指各种设备、系统以及需要监控和管理的所有功能。依照OSI的观点，被管对象包括 • 系统资源：作为开放系统组成部分的那些资源，例如各种网络设备、处理器、系统进程等； • 通信资源：互连开放系统之间作为通信环境组成部分的那些资源，如实体、服务访问点等； • 应用资源：由用户为他们的任务所定义的应用进程等资源。

网络管理体系结构 (2) 元素管理系统（Element Management Systems，EMS） • 一个元素管理系统管理着网络的特定部分，它可以按照管理的覆盖范围，确定为是一个代理或智能代理，管理一个特定的网络设备或子网；也可以按照管理功能划分而确定为一个管理子系统，如实现配置管理。 (3)管理系统的管理者（Manager of Managers System, MoM） • MoM系统综合与若干单元管理系统有关的信息，通常在各EMS之间协调相互间关系。在多数情况下，实际数据的收集来自于被管对象。这些由EMS收集的数据被转换成统一的数据格式存入数据库供其它程序处理或使用。

网络管理体系结构 (4) 用户接口 • 如何能使用户有效地使用管理信息是网络管理系统的重要方面。无论是实时警报和告警还是网络趋势分析图和报告，都要求这些信息能够在整个网络管理系统中被各级网络管理员安全方便地获得和充分有效地利用，否则实现网络管理就没有意义了。

网络管理体系结构 网络管理功能定义 • 网络管理功能的定义分为两类：公共管理功能和系统管理功能。 • 公共管理功能提供各种网络管理应用系统所需的支撑功能，包括管理信息库（MIB）的访问协议和服务、日志的管理、事件的管理等。 • 系统管理功能提供面向应用的管理功能。

网络管理体系结构 (1) 故障管理 • 故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系统以非正常方式操作的事件，可分为 • 由损坏的部件或软件故障（bug）引起的（内部）故障，常常是可重复的； • 由环境影响引起的外部故障，通常是突发的，不可重复。

网络管理体系结构 • 故障管理的主要内容有 • 故障检测：维护和检查故障日志，检查事件的发生率看是否已（或将）成为故障；接收故障报告。 • 故障诊断：寻找故障发生的原因，可执行诊断测试，以寻找故障发生的准确位置。 • 故障纠正：将故障点从正常系统中隔离出去，并根据故障原因进行修复。 • 故障管理为操作决策提供依据，以确保网络的可用性。

网络管理体系结构 (2) 配置管理 • 配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨论被管对象能力的基础。 • 配置管理的目的是通过定义、收集、管理、和使用配置信息，以及网络资源配置的控制来最佳地维持网络环境所提供的服务质量。 • 配置管理至少应具有事件报告、状态监测和管理配置信息的功能。

网络管理体系结构 (3) 计费管理 • 计费管理为成本计算和收费提供依据。它对网络资源的使用情况进行收集、解释和处理，提出计费报告，包括计费统计、帐单通知和会计处理等，为网络资源的使用核算成本和提供收费依据。这些资源有： • 网络服务，负责用户数据的传输（例如数据的传输量）； • 网络应用（例如对服务器的使用）。 • 对用户行为的了解与控制

网络管理体系结构 (4) 性能管理 • 性能管理是优化服务质量的需要。它定义了网络的动态评估方法，以便于检验网络所保持的服务水平，确定实际的和潜在的网络性能瓶颈。根据网络的各项运行指标的趋势，为制定和规划管理决策产生报告。性能管理还包括了为操作控制建立和维护性能数据库和自动操作程序，随机或定时收集由统计数据产生的性能日志。 • 这些日志除了性能管理本身使用外，其它管理功能亦可充分加以利用： • 故障管理应用性能日志检测故障； • 配置管理根据性能日志决定何时需要改变配置； • 计费管理应用性能日志调整计费策略。

网络管理体系结构 (5) 安全管理 • 安全管理用于保证降低运行网络及其网络管理系统的风险。它是一些功能组合，通过分析网络安全漏洞将网络危险最小化。 • 实施网络安全规划，可动态地确保网络安全。 • 主要包括维护防火墙和安全日志、安全指示器的监测、分区隔离、口令管理和提供各种级别的警告或报警。

网络管理系统的概念结构 ISO 网络管理体系结构 TMN 网络管理体系结构 Internet 网络管理体系结构实现方法和实例

Internet网络管理体系结构 SNMP • 简单网络管理协议（SNMP）是一种用于在网络设备之间交换管理信息的应用层协议，目前被广泛地实现在各种网络设备中，并在 Internet中普遍使用。 • SNMPv1是 1990年 5月正式公布的（RFC 1155和 RFC 1157）， SNMPv2是前者的改进，于 1993年陆续公布（RFC 1441－ RFC 1452）。 • SNMP属于网络管理平台，它为网络管理应用系统和被管的网络设备之间的交互提供了标准的界面。

网络管理系统（NMS） 用户接口管理应用程序 SNMP SNMP SNMP 代理代理 MIB MIB 代理 MIB 被管设备被管设备被管设备 Internet网络管理体系结构 SNMPv1管理模型

Internet网络管理体系结构 • SNMP的作用范围称为域（Community），只有域内的 NMS和管理代理之间才能进行 SNMP协议交互，从而控制网络管理信息的流动范围。 • 为了使用 SNMP具有通用性，除了要求使用标准的网管协议进行信息交互外，还要求交换的信息具有标准的语义，因此 SNMP对 MIB的定义有一个公共集合，即对被管对象定义标准的状态变量集，同时也允许实现者定义附加的状态变量。从这个意义上说， SNMP既有一致性测试问题，也有互操作性测试问题。

Internet网络管理体系结构 1．命令类型 • 如果NMS要控制某个被管设备，可以发送一个命令要求被管设备改变其某个或多个变量的数值。NMS与被管设备之间的交互命令有以下四种： • 读命令－NMS通过读取由被管设备维护的各种变量来监视被管设备 • 写命令－NMS通过写存贮在被管设备中的各种变量来控制被管设备 • 遍历操作－NMS用该操作确定一被管设备支持哪些变量以便在被管设备的变量表中（如IP路由表）收集信息 • Traps－被管设备利用Traps异步地向NMS报告各种确定的事件

Internet网络管理体系结构 2．不同的数据表示法 • 被管网络中的信息交换会因为被管设备所采用的数据表示技术的不同而产生麻烦，因此要设法在这些异构设备通信时消除这些不兼容性，统一使用一种语法表示法可以使不同种类的计算机共享管理信息。 • SNMPv1应用了ISO的开放系统互连抽象语法表示法1（ASN.1）的一个子集，它是用于以与机器无关的形式对MIB的被管对象进行描述的一种语言。用ASN.1定义管理协议所交换的各种报文格式和被管对象，将被管对象简化为可管理的事物的特征。例如，一特定主机中当前活动的TCP范围表就是一个被管对象。 • 被管对象不同于变量，变量是被管对象的一个实例。一个对象实例就是在一特定主机中的一单个活动的TCP范围。被管对象可以是分级的（定义一单个对象实例），也可以是表格（定义多关联的实例）。

Internet网络管理体系结构 3. MIB与对象标识符 • 所有的被管对象都包含在管理信息库（MIB）中，它是对象所必须的数据库。一个MIB可以描述为一棵抽象树，树的根没有名字，各个数据项组成了树的叶节点。对象标识符（OID）唯一地标识或命名了树中的各种MIB对象。对象标识符类似于电话号码，不同的组织和机构有层次地分配了特定的数字组成了这些对象标识符。

Internet网络管理体系结构 ROOT CCITT (0) ISO (1) JOINT-ISO-CCITT (2) MIB树 ORG (3) DOD (6) INTERNET (1) DIRECTORY (1) MGMT (2) EXPERIMENTAL (3) PRIVATE (4) MIB (1) SNMP (11) 系统 (1) EGP (8) OMI (9) 传输 (10) 接口 (2) IP (4) UDP (7) 地址转换 (3) ICNP (5) TCP (6)

Internet网络管理体系结构 • SNMP MIB的对象标识符结构定义了三个主要分枝：CCITT负责分枝0，ISO管理分枝1，CCITT和ISO联合管理分枝2。 • 目前多数MIB的活动发生在ISO分枝部分，ISO将它的分枝分给了几个组织，其中将子树1给了美国国防部（DOD），DOD用它作为Internet对象表示。这样在Internet子树中，对象标识符以1.3.6.1开头,意思是它们属于ISO，ORG，DOD，Internet子树，专门用于Internet范围。 • Internet子树有四个分枝：Directory（1）、Mgmt（2）、Experimental（3）和Private（4）。Directory计划用于OSI目录；Mgmt用于网际活动委员会（IAB）承认的文本对象的定义；Experimental用于Internet网络实验；Private用于专用MIB的定义。

Internet网络管理体系结构 • 目前在RFC1213中定义的Internet标准MIB和MIB－II包含了171个对象。这些对象按照协议（包括TCP，IP，UDP，SNMP和其它）和其它类项（包括“系统”和“接口”）进行分组。 • MIB树可以扩展为实验和专用分枝。没有标准化的那些MIB往往被放置在实验分枝。厂商可以定义自己的专用分枝来包括其产品的各种实例。例如，Cisco的专用MIB的对象标识符是1.3.6.1.4.1.9，该标识符包括了许多对象，如用OID 1.3.6.1.4.1.9.2.2.1.51来标识对象“HostConfigAddr”。对象HostConfigAddr说明了为一台具体的Cisco设备提供主机配置文件的主机的地址。

Internet网络管理体系结构 4．管理信息结构（SMI） • 因为Internet网络可能很庞大而且要保存维护每个设备的大量的信息，网络管理员需要一种组织和管理这些信息的方法。SMI定义了MIB的结构以及定义MIB的规则。SMI允许使用标准ASN.1的数据类型： • 网络地址－表示一特定协议族的地址。SNMPv1只支持32位的IP地址。 • 计数器－无符号整数。当计数值增至最大时，返回到零值。例如一个端口接收字节计数器，记录收到字节的总数。 • 计量器－无符号整数。其值可以增加或减少，但保留所达到的最大值。例如输出报文队列的长度。 • 时间记号－事件发生的时间，精度为百分之一秒。例如端口变成当前状态以来的时间。 • 二义编码－不能用SMI所定义的数据类型编码的任意信息串。

Internet网络管理体系结构 • 在SNMPv1协议中定义了五种类型的操作 • 取（Get）－从代理那里取得一个对象的实例，证实型操作； • 取下一个（Get next）－从代理那里取得下一个对象实例，这个操作是与上下文有关的，缺省时指的是 MIB中第一个对象实例的值，证实型操作； • 设置（Set）－在代理中设置指定对象实例的值，证实型操作； • GetResponse－是上述操作的应答信息，也包含错误和状态信息。 • 报警（Trap）－代理异步地通知 NMS某个事件的发生，非证实型操作；事件的定义是 NMS预先设置的（如某个门槛值）。

Internet网络管理体系结构 SNMPv2 1. 概述 • 与 SNMPv1相比，SNMPv2在SMI、协议操作、管理体系结构、以及安全性等方面均有较大的改进。 • SNMPv2支持多域的分布式管理结构。一些系统既可以用管理员的身份操作，也可以用代理的身份操作。当以代理身份操作时，它执行上一级管理系统的命令，这些命令可能是要求访问存储在本地的 MIB，或者是要求该系统以中间管理者的身份提供有关下一级代理的概要信息。另外，中间管理者还可向上一级管理者发送报警信息。

Internet网络管理体系结构 • SNMPv2引入了一种信息模型的概念，它描述了一组相关的定义。主要有三种信息模型： • MIB模型－包含了相互关联的被管对象的各种定义。 • MIB模型的一致性描述－为一致性描述提供了一个系统性方法描述必须实现的被管对象组。 • 代理实现的性能描述－定义了代理要求的相关MIB分枝所提供信息的精确程度。这些描述表明了有些对象具有语法约束或扩充以及访问控制级别。对代理性能作规范性描述有助于改善和优化各设备之间的互操作性，如果管理系统能够描述与每个代理之间相互关系，则该系统就能够调整其动作来优化自身资源，并且能合理使用代理和网络的资源。

Internet网络管理体系结构 2. 协议操作 • SNMPv2定义了两种新的操作： • Inform－允许一管理者向另一管理者发送trap类信息并要求其返回一个响应。 • Get-bulk－允许管理者有效地获取大块数据，例如一次可读取一张表的多行数据项，而不是将表分成多个小块数据再进行传输。 • SNMPv2除了响应get、get-next、set和 trap操作外，SNMPv2的这些操作与SNMPv1相同。在v1中，如果发出响应的代理不能提供表中变量的值，那么它就提供不了任何其它值。在SNMPv2中，即使不能为所有变量提供所需数值，也预备了一张变量赋值表。如果变量与一个意外条件相关联，则该变量包括了该意外条件的名称。

Internet网络管理体系结构 3. 安全性 • SNMPv2提供了防止下列破坏行为的安全设施： • 假冒－一个未经授权的实体假冒授权实体来执行管理操作； • 信息的改变－一个实体可能改变由授权实体所产生的信息，该信息可导致某些未授权的管理操作，如改变配置或计费信息等； • 信息顺序和时间的改变－由于 SNMPv1是在无连接传输上进行操作的，因此实体可以重排序、延时或拷贝，然后重新执行某个报文，如导致重启某台设备； • 泄密－实体可以通过窃听被管对象和管理员中间的信息交换来学习被管对象的值和通知事件的发生。

Internet网络管理体系结构 • 为实现这些安全性，SNMPv2提供了三种报文： • 非安全的－未采用任何 SNMPv2提供的安全功能； • 鉴别但未加密－采用某种密钥体制计算报文的信息摘录，以此实现对报文的鉴别，但密钥体制的确定，以及密钥的分配和管理不在本协议中； • 鉴别且加密－采用某种密钥体制对报文进行鉴别和加密。 • 时标是管理员和代理之间时钟松散同步（loosely synchronized）的维护机制，使信息的接收方可发现被重新执行的报文，并能够对收到的报文进行定序。

Internet网络管理体系结构 4. 互操作性 • 新的信息格式、协议操作和安全特性使 SNMPv2 与 SNMPv1不一致，但由于 SNMPv1已被大量使用，因此必须需求这两个协议版本（主要是 SNMPv2的管理员、SNMPv2的代理、和 SNMPv1代理）之间的共存和过渡方法。互操作性问题主要涉及以下两个方面： • 管理信息－ SNMPv2的 SMI可看作是 SNMPv1的 SMI的一个超集，因此对一个代理而言，它可将 SNMPv1的 MIB保持不变，并共存于 SNMPv2的环境。 • 协议操作－两个协议的 PDU大部分兼容，但 SNMPv2扩展了新操作。

SNMPv2 SNMPv1 管理者代理 Internet网络管理体系结构 • 协议共存的方法有两种。 • 一种是通过委托代理来实现两个协议版本不同操作之间的转换；委托代理 Get Get Get-next Get-next Set Set Get-bulk Get-next SNMPv2管理者至代理PDU SNMPv1管理者至代理PDU Response Get-response SNMPv2 trap SNMPv1 trap

SNMPv2 SNMPv2 双协议 SNMPv1 代理管理者代理管理者 Get, get-next Get-response Get, get-next trap set get-bulk, set Internet网络管理体系结构 • 另一种是通过一个能同时支持这两个协议版本的双语管理员来与不同版本的代理交互。 Inform Response SNMPv2 trap, response

Internet网络管理体系结构 分析 • SNMP的设计思想是尽量减少关联信息库、信息访问协议以及代理的实现等方面的复杂性。在资源受限的设备环境内处理实时管理任务时，简单性是非常重要的。 • 设计的简单性也使得实现过程、互用性、一致性和市场承认更为容易。毫无疑问，SNMP在这些方面已经取得了显著成功。 • 可是简单性也引起了某些局限性。

Internet网络管理体系结构 1．MIB结构 • MIB结构不包括表示被管实体间复杂关系的规定。在实际管理中，某些管理项需要综合各种相关联的数据（如故障率变化），必须检索这些数据所在的表格。由于表格每次检索一行，因此这种对相关联数据的检索往往会引起大量的轮询操作。从传统数据库理论的观点出发，SNMP的查询机制并不有利于通过各个关系来综合实体的相关性，这种相关性必须在管理平台上实现。因此，要求所有要综合的相关联数据首先被轮询。被管数据的转换时常要求有效地处理数据的相关性，而在平台中的对相关数据的要求可能导致出现因被轮询的数据量太大而不能实现的情况。

Internet网络管理体系结构 2．管理变量过多 • 虽然SNMP目前已经定义了上千种管理变量，但存在的问题是缺少一种有效的功能结构对这些变量进行分类。由于没有这种分类功能，管理人员将面临着大量的管理变量表，并且必须理解各种变量的准确意义后才能确定要观察哪些变量以及作出哪些修改动作。 • 另一方面，由于管理是由操作人员来完成的，但多数管理员不可能都具有足够的预备知识，可以想象操作人员需要大量的时间了掌握管理的意义才能作出具体的管理决定。因此，网络管理会变成费时和高成本的活动。

Internet网络管理体系结构 3．未定义管理者的具体功能 • Internet管理标准解释了任何执行单个的管理操作，如Get和Set。但这些标准没有指定各种操作的顺序来解决实际管理问题。这些顺序构成了网络管理应用程序”的组成部分，IETF至今还没有定义类似的功能。

Internet网络管理体系结构 • Internet管理网络所采用的方法与管理计算机程序所用的程序调试工具的方法类似。通常调试工具使程序员能够观察和修改程序变量，但它不能帮助人们确定要观察和修改哪些程序变量。这些决定必须由程序员作出，调试工具仅起帮助访问变量的作用。 • 在Internet管理标准中定义了各种分布式“调试工具”，这些“调试工具”允许管理者观察和修改各种管理变量，但并不能指出要观察哪些变量以及要修改哪些变量。所用这些决定必须由“网络管理应用程序”（即操作者）作出，Internet管理标准仅规定了如何去访问这些管理变量。

网络管理系统的概念结构 ISO 网络管理体系结构 TMN 网络管理体系结构 Internet 网络管理体系结构实现方法和实例

实现方法和实例 网络管理系统的各种实现结构 • 随着技术的不断进步，出现了许多使用不同实现方案和结构的网络管理系统，流行的有四种方式： • 集中式； • 分布式（peer system） • 分层结构式 • 基于Web技术 • 这些系统的不同点主要在于它们所设置的管理者（manager）的数量、相互交互深度以及各自的独立程度。

网络管理系统实现方法 集中式结构管理者代理代理代理网络 MIB 节点节点 MIB MIB 节点节点节点节点

分布式结构 管理者1 管理者n 管理域 1 管理域 n 网络 MIB 代理代理 MIB 节点节点节点节点代理 MIB 节点节点网络管理系统实现方法

分层结构式 管理者n 代理代理代理网络管理系统实现方法管理系统的管理者管理者1 管理域 1 管理域 n 网络 MIB MIB 节点节点节点节点 MIB 节点节点

基于Internet技术的结构 SNMP HTTP PC 浏览器网络管理服务器查询 / 响应响应查询 SNMP 服务器 SQL 数据库 CGI HTTP 网络操作系统网络管理系统实现方法

实现方法和实例 Mudman是一个面向内部网模式的网络管理系统。 Mudman采用了基于自行设计开发的 SNMP平台为核心的体系结构，集成了计算机信息网络运行管理所需的各种网络管理功能和信息服务器管理功能，具有良好的可集成性和可扩展性。这个系统采用基于Browser/Server的结构工作，基于JAVA技术的全中文用户界面为用户提供了随时随地的管理。该系统已经在CERNET华东北地区网和数个校园网中使用，表明了该系统具有良好的应用前景，可取得良好的经济和社会效益。 MUDMAN

实现方法和实例 有关站点 • http://www.caida.org • http://netman.cit.buffalo.edu/ • http://www.cforc.com/cwk/net-manage.cgi • http://tampico.cso.uiuc.edu/ • http://techweb.cmp.com/nc/713/713revSNMP.html

第 10 章 网络管理