第四章 远程网络监视RMON
考试要求
1.RMON的基本概念,要求达到领会层次
远程网络监视的目标
表管理操作(行增加、行删除和行修改)
多管理站访问中出现的问题及其解决办法
2.RMON管理信息库,要求达到简单应用层次
与以太网统计信息收集有关的功能组
与令牌环网配置和统计信息收集有关的功能组
警报对象的作用,警报方式的工作原理,以及有关的功能组
过滤测试的逻辑规则和通道的定义与操作
包扑获方式和事件记录的工作原理
3.RMON2管理信息库,要求达到简单应用层次RMON2 MIB的组成
RMON2增加的新功能
RMON2 MIB在网络上层(网络层和应用层)管理中的作用
知识重点
(一)RMON的基本概念
1.远程网络监视的目标
离线操作:必要时管理站可以停止对监控器轮询,有限的轮询可以节省网络带宽和通信费用。即使不受管理站查询,监视器也要持续不断地收集子网故障、性能和配置方面地信息。统计和积累数据,以便管理站查询时即使提供管理信息。另外,在网络出现异常情况监视器要及时报告管理站。
主动监视:如果监视器有足够地资源,通信负载也容许,监视器可以连续地或周期地运行诊断程序,获得并记录网络性能参数。在子网出现失效时通知管理站,给管理站提供有用地诊断故障信息。
问题检测和报告:如果主动监视消耗网络资源大多,监视器也可以被动地获取网络数据。可以配置监视器,使其连续观察网络资源的消耗情况,记录随时出现的异常条件(例如网络拥挤),并在出现错误条件时通知管理站。
提供增值数据:监视器可以分析收集到的子网数据,从而减轻了管理站的计算任务。例如监视器可以分析子网的通信情况,计算出哪些主机通信最多,哪些主机出错最多等等。这些数据的收集和计算由监视器来做,比由远处的管理站来做更有效。
多管理站操作:一个互联网可能有多个管理站,这样可以提高可靠性,或者分布地实现各种不同的管理功能。监视器可以配置得能够并发地工作,为不同的管理站提供不同的信息。不是每一个监视器都能实现所有这些目标,但是 RMON规范提供了实现这些目标的基础结构。
2.表管理原理
在 SNMPv1管理框架中,对表操作的规定是很不完善的,至少增加和删除表行的操作是不明确的。这种模糊性常常是读者提问的焦点和用户抱怨的根源。RMON规范包含一组文字约定和过程话规则,在不修改、不违反SNMP管理框架下的前提下提供了明晰而规律的行增加和行删除操作。
3.多管理站访问
RMON监视器应允话多个管理站并发地访问,当多个管理站访问时可以出现问题:
。多个管理站对资源的并发访问可能超过监视器的能力。
。一个管理站可能长时间站用监视器资源,使得其他站得不到访问。
。占用监视器资源得管理站可能崩溃,然而没有释放资源。
RMON控制表中的列对象Owner规定了表行的所属关系,所属关系有以下用法,可以解决多个管理占并发地访问的问题:
。管理站能认得自己所属的资源,也知道自己不再需要的资源。
。网络操作员可以知道管理站占有的资源,并决定是否释放这些资源。
。一个被授权的网络操作员可以单方面地决定是否其他操作员保有地资源。
。如果管理站经过了重启动过程,它应该首先释放不再使用的资源。
RMON规范建议,所属标志应包括IP地址,管理站名,网络管理员的名字、地点和电话号码等。所属标志不能作为口令或访问控制机制使用。在SNMP管理框架中唯一的访问控制机制是SNMP视阈和团体名。如果一个可读/写的RMON控制表出现在某些管理站的视阈中,则这些管理站都可以进行读/写访问。但是控制表行只能由其所有者改变或删除,其他管理站只能进行读访问。这些限制的实施已超出了SNMP和RMON的范围。
为了提供共享的功能,监视器通常配置一定的默认功能。定义这些功能的控制行的所有者是监视器,所属标志的字符串以监视器名打头,管理站只能以读方式利用这些功能。
(二)RMON的管理信息库
RMON 规范定义了管理站信息库 RMON MIB ,它是 MIB-2 下面的 16 个子树。 RMON MIB 分为 10 组,存储在每一组中的信息都是监视器从一个或几个子网中统计和收集数据。这 10 个功能组都是任选的,但实现时有下列联带关系:
。实现警报组时必须实现事件组。
。实现最高N台主机组时必须实现主机组。
。实现扑获组时必须实现过滤组。
(三)RMON2管理信息库
1.RMON2 MIB的组成
RMON2监视OSI/RM第3到第7曾的通信,恩能够对数据链路层以上的分组进行译码。这使得监视器可以管理网络层协议,包括IP协议。因而能了解分组的源和目标地址,能知道路由器负载的来源,使得监视的范围扩大到局域网之外。监视器也能监视应用层协议,例如电子邮件协议、文件传输协议、HTTP协议等,这样监视器就可以记录主机应用活动的数据,可以显示各种应用活动的图表。这些对网络管理人员都是很重要的信息。另外,在网络管理标准中,通常把网络层之上的协议都叫做应用层协议,以后提到的应用层包含OSI的5,6,7层。
2.RMON2增加的功能
RMON2引入了两种与对象索引有关的新功能,增加了RMON2的能力和灵活性。
3.检索表对象
RMON2新功能的应用,主要是网络协议的表示方法,用户历史的定义方法和监视器的标准配置方法等。:
第五章简单网络管理协议 SNMPv2
考试要求
1.SNMP的演变,要求达到识记层次
SNMP的演变过程
2.网络安全问题,要求达到领会层次
计算机网络的安全威胁
网络管理中的安全问题
网络中的安全机制:数据加密技术、数据完整性和数据源认证技术
3.管理信息结构,要求达到领会层次
对象的定义
表的定义、索引和操作
通告的定义和作用
4.管理信息库,要求达到简单应用层次
System组增加的新对象
SNMP组对象与SNMPv2操作的关系
MIB对象组的作用
一致性声明的主要内容
接口组增加的对象及应用
5.SNMPv2的操作,要求达到简单应用层次
SNMPv2的报文结构和交换序列
SNMPv2协议数据单元的功能和操作
SNMPv2管理站之间的通信机制
6.SNMPv2的实现,要求达到领会层次
可利用的种种传输服务
SNMPv2与OSI的兼容性
在 TCP/IP网络中实现OSI系统管理功能的方法
SNMP的局限性
知识重点
(一) SNMP的演变
1.SNMP的发展
当初提出 SNMP 的目的识作为弥补网络管理协议发展阶段之间空缺的一种临时性措施。 SNMP 出现后显示了许多优点。最主要的优点是:简单、容易实现,而且是基于人们熟悉的 SGMP ( Simple Gateway Monitoring Protocol )协议,已有相当多的操作经验。在 1998 年,为了适应当时紧迫的网络管理需要,确定了网络管理标准开发的双轨制策略。
?SNMP可以满足当前的网络管理需要,用语管理配置简单的网络,并且在将来以平稳地过度到新地网络管理标准。
?OSI网络管理(即CMOT)作为长期地解决办法,可以应付未来更复杂地网络的配置,提供更全面的管理功能。但是需要较长的开发过程,以及开发商和用户接受的过程。
为了修补SNMP的安全缺陷,1992年7月出现了一个新标准——安全SNMP(S-SNMP),这个协议增强了安全方面的功能:
。用报文摘要算法 MD5保证数据完整性和进行数据源认证。
。用时间戳对报文排序。
。用 DES算法提供数据加密功能。
但是,S-SNMP没有改进SNMP在功能和效率方面的其他缺点。几乎与此同时,有任又提出了另外一个协议SMP(Simple Management Protocol),这个协议由8个文件组成(非RFC),它对SNMP的扩充表现在下列方面:
。适用范围: SMP可以管理任意资源,不仅是网络资源,还可用于应用管理,系统管理。可实现管理站之间的通信,也提供了更明确更灵活的描述框架,可以描述一致性要求和实现能力。在SMP中管理信息的扩展性得到了增强。
。复杂程度、速度和效率:保持了 SNMP的简单性,更容易实现,并提供了数据块传送能力,因而速度和效率更高。
。安全设施:结合了 S-SNMP提供的安全功能。
。兼容性:可以运行在 TCP/IP网络上,也适合OSI系统和运行其他通信协议的网络。
在对 S-SNMP和SMP讨论的过程中,Internet研究人员达成了如下的共识:必须扩展SNMP的功能,并增强其安全设施,使用户和制造商尽快地从原来的SNMP过渡到第二代SNMP,于是S-SNMP被放弃,决定以SMP为基础开发SNMP第二版,即SNMPv2.IETF组织了两个工作组。一个负责协议功能和管理信息库的扩展,另一个负责SNMP的安全方面,1992年10月正式开始工作。这两个组的工作进展非常之快,功能组的工作在1992年12月完成,安全组在1993年完成。后来又经过几年的实验和论证,新的RFC文件集合在1996年完成。然而就在新的RFC文件发布时有人发现安全方面存在重要缺陷,而改进安全设施的工作又迟迟没有进展。后来决定丢掉安全功能,把增加的其他功能作为新标准颁布,并保留了SNMPv1的报文封装格式,因而叫做基于团体名的SNMP(Community-base SNMP),简称SNMPv2C.
(二)网络安全问题
1.计算机网络的安全威胁
为了理解对计算机网络的安全威胁,我们首先定义安全需求。计算机和网络需要以下 3 方面的安全性:
。保密性( secrecy):计算机中的信息只能由授予访问权限的用户读取(包括显示、打印等,也包含暴露信息存在的事实)。
。数据完整性( integrity):计算机系统中的信息资源只能被授予权限的用户修改。
。可利用性( availability):具有访问权限的用户在需要时可以利用计算机系统中的信息资源。
2.网络管理中的安全问题
由于网络管理时分布在网络商的应用程序和数据库的集合,各种安全威胁都可能影响网络管理系统,造成管理系统失效或发出了错误的管理指令,破坏了计算机网络的正常运行。对于网络管理特别有 3 个安全方面的威胁值得提出:
。伪装的用户:没有得到授权的一般用户企图访问网络管理应用和管理信息。
。假冒的管理程序:无关的计算机系统可能伪装成网络管理站实施管理功能。
。侵入管理站和代理之间的信息交换过程:网络入侵者通过观察网络活动窃取了敏感的管理信息,更严重的危害时可能篡改管理信息,或中断管理站和代理之间的通信。
系统或网络的安全设施由一系列安全服务和安全机制的集合组成。
3. 安全机制
数据加密时防止未经授权的用户访问敏感信息的手段,这就是人们通常理解的安全措施,也是其他安全方法的基础。研究数据加密的科学叫做密码学( Cryptography ),它又分为设计密码体制的密码编码学和破译密码的密码分析学。密码学有着悠久而光辉的历史,古代的军事家已经用密码传递军事情报了,而现代计算机的应用和计算机科学的发展又为这一古老的科学注入了新的活力。现代密码学是经典密码学的进一步发展和完善。由于加密和解密此消彼长的斗争永远不会停止,这门科学还在迅速发展之中。
认证——防止主动攻击的方法
认证又分为实体认证和消息认证两种。实体认证是识别通信双方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传递或存储过程中没有被篡改,通常使用消息摘要的方法。
数字签名——防止否认的方法
与人们手写签名作用一样,数字签名系统向通信双方提供服务,使得 A 向 B 发送签名的消息 P ,以便
I. B 可以验证消息 P 确实来源于 A
II. A 以后步能否认发送过
III. B 不能编造或改变消息 P
(三)管理信息结构
SNMPv2 的管理信息结构是在总结 SNMP 应用经验的基础上对 SNMPv1 SMI 进行了扩充,提供了更精致更严格的规范,规定了新的管理对象和 MIB 的文档,可以说是 SNMPv1 SMI 的超集。 SNMPv2 SMI 引入了 4 个关键的概念。
。对象的定义
。概念表
。通知的定义
。信息模块
(四)管理信息库
SNMPv2 MIB 扩展和细化了 MIB-2 中定义的管理对象,又增加了新的管理对象。
I.系统组
II.SNMP 组
III.MIB 组
IV.适合性声明
V.接口组
(五)SNMPv2协议和操作
SNMPv2提供了3种访问管理信息的方法:
。管理站和代理之间的请求 /响应通信,这种方法与SNMPv1是一样的。
。管理站和管理站之间的请求 /响应通信,这种方法是SNMPv2特有的,可以由一个管理站把有关管理信息告诉另外一个管理站。
。代理系统到管理站的非确认通讯,即由代理向管理站发送陷入报文,报告出现的异常情况。 SNMPv2中也有对应的通信方式。
(六)SNMPv2的实现
1.传输层映像
SNMP是应用层协议,通过传输层服务访问通信网络。SNMPv2规范定义了可以使用5种传输层服务,这5种传输层映射是:
。 UDP:用户数据报协议;
。 CLNS:OSI无连接的传输服务;
。 CONS:OSI面向连接的传输服务;
。 DDP:AppleTalk的DDP传输服务;
。 IPX:Novell公司的网间分组交换协议。
2.与 OSI的兼容性
为发使 SNMPv2能与OSI系统互操作,可以使用RFC1006在TCP/IP网络之上的模拟ISO的TPO传输服务,通过RFC1006,OSI的电子邮件、系统管理等应用程序都可以通过运行在TCP/IP失望落上。RFC1006提供的TPO使最简单的面向连接的传输协议,只提供连接的佳丽和释放等基本操作,不支持错误检测,也不支持传输服务Qos.RFC1006对TPO也有所增强,主要是在连接建立阶段可以交换少量数据,支持加急投送服务,支持特长协议数据单元(默认为65531)等。
3.TCP/IP网络的系统管理
SNMP 的管理信息库 MIB 主要是根据协议分组的,并没有按照 OSI 的系统挂零你功能域分类。虽然实现 SNMP 协议的网络管理产品都有自己的使用方法,但是在应用管理对象功能方面并没有统一的分类标准。
MIB 对象驻在各种代理系统中,这些对象中的数据应报告给有关信息的系统管理功能实体,同时协议或设备专用的管理信息也应该归属于相应的系统管理功能域。如何合理地分布各种管理对象,以有利于系统管理功能的实现,是设计网络管理应用时值得认真决策的重要问题。
一般来说,不是每个代理都要实现所有的 MIB 对象,但是各种联网设备中的代理程序应该提出这种设备需要的管理对象,例如路由器专用的管理信息库。委托代理是一种十分灵活的管理机制,如果可能,以委托代理实现专用网络设备的管理信息收集和系统管理功能应该是最好的选择。:
