安全網(wǎng)管技術-網(wǎng)絡管理系統(tǒng)及SNMP協(xié)議.ppt

1 安全網(wǎng)管技術 網(wǎng)絡管理系統(tǒng)及SNMP協(xié)議 本章主要內(nèi)容網(wǎng)絡管理概述TCP IP網(wǎng)絡管理體系結(jié)構(gòu)SNMP網(wǎng)絡管理協(xié)議管理信息庫 MIB 2 參考資料 計算機網(wǎng)絡管理系統(tǒng)設計與應用 白英彩等 清華大學出版社CiscoNetworkers2003文檔http 210 45 224 8 james cw2003 index xmlhttp 210 45 224 8 james cw2003 NMS 1001 pdf 3 ServiceDesign ManagementSolutions Configuration ChangeManagementSolutions Resource PerformanceManagementSolutions Systems ApplicationsManagementSolutions NetworkManagementSolutions Backup StorageManagementSolutions Desktop SoftwareManagementSolutions ServiceLevelPlanning Management Desktop SoftwareManagement Operations AvailabilityManagement ConfigurationManagement ChangManagement ITServiceManagement 4 3 1網(wǎng)絡管理概述 網(wǎng)絡管理歷史網(wǎng)絡管理與電信網(wǎng)絡的歷史一樣長 接線員能進行有限的管理隨著程控交換機的引入 越來越多計算機網(wǎng)絡的管理伴隨ARPANET產(chǎn)生早期的ARPANET SNA DNA AppleTalk等的管理系統(tǒng)專用 不開放80年代提出了多種網(wǎng)絡管理方案 5 網(wǎng)絡管理歷史 1988年IAB InternetActivitiesBoard 制定了Internet管理的發(fā)展策略 SGMP作為短期方案 最終采用CMIS CMIP推出了SNMP SimpleNetworkManagementProtocol 和CMOT CMIP CMISonTCP IP 1990年正式發(fā)布SNMP 1993年發(fā)布SNMPv2SNMP已經(jīng)成為網(wǎng)絡管理事實上的工業(yè)標準 6 網(wǎng)絡管理系統(tǒng)的功能特點 一個網(wǎng)絡管理工具 應具備以下特點發(fā)現(xiàn)網(wǎng)絡拓撲結(jié)構(gòu)和網(wǎng)絡配置自動發(fā)現(xiàn)和手工修改智能監(jiān)控理解網(wǎng)絡結(jié)構(gòu)的內(nèi)在依賴管理 報告出現(xiàn)的問題控制程度設置設備重要等級 對不同等級的告警信息采取不同處理靈活性可定制 7 網(wǎng)絡管理系統(tǒng)的功能特點 2 多廠商集成管理不同廠商的設備 包含不遵循SNMP協(xié)議的存取控制不同的用戶訪問權(quán)限可以區(qū)分用戶友好方便管理員使用編程接口可以靈活擴展功能報告生成按照管理員的要求 生成各種報表 8 常見網(wǎng)絡管理系統(tǒng) HPOpenView第一個網(wǎng)絡管理系統(tǒng) 最初是一個平臺 現(xiàn)在是可以給最終用戶的產(chǎn)品 得到第三方的廣泛支持HPOpenviewNodeManagement特點 自動發(fā)現(xiàn)網(wǎng)絡拓撲性能分析故障告警多廠商支持 9 常見網(wǎng)絡管理系統(tǒng) 2 CiscoWorksCisco公司開發(fā)的網(wǎng)絡管理應用 可以集成在網(wǎng)絡管理平臺上運行針對Cisco產(chǎn)品設計 管理這些設備更方便功能 配置管理保存配置文件歷史 可以比較 分析配置文件內(nèi)容 10 網(wǎng)絡管理的意義和發(fā)展 隨著網(wǎng)絡的不斷推廣和應用 人們對網(wǎng)絡的依賴越來越大 網(wǎng)絡越來越重要 當前計算機網(wǎng)絡發(fā)展特點 規(guī)模不斷擴大復雜性不斷增加網(wǎng)絡異構(gòu)性 多廠商設備 越來越高網(wǎng)絡管理系統(tǒng)能給網(wǎng)絡管理員提供良好的信息來源 減少網(wǎng)絡故障 縮短網(wǎng)絡失效時間 最大程度發(fā)揮網(wǎng)絡的作用 11 網(wǎng)絡管理定義和模型 網(wǎng)絡管理主要是關于規(guī)劃 監(jiān)督 設計和控制網(wǎng)絡資源的使用和網(wǎng)絡的各種活動 網(wǎng)絡管理模型 功能模型體系結(jié)構(gòu)模型信息模型組織模型 12 功能模型 ISO在ISO IEC7498 4中定義了網(wǎng)絡管理的五大功能 故障管理包括故障檢測 隔離和糾正三方面計費管理記錄網(wǎng)絡資源的使用 控制和檢測網(wǎng)絡操作的費用和代價 對商用網(wǎng)絡尤為重要配置管理配置網(wǎng)絡 13 功能模型 性能管理估計系統(tǒng)資源的運行狀況及通信效率 安全管理包括對授權(quán)機制 訪問控制 加密和密鑰的管理 14 體系結(jié)構(gòu)模型 體系結(jié)構(gòu)模型描述了實體的一般結(jié)構(gòu) 實體間接口及其通信方法 主要涉及遠程通信網(wǎng)的管理 15 信息模型 實現(xiàn)被管虛擬資源 軟件及物理設備的邏輯表示 多采用面向?qū)ο蟮姆椒ǘx網(wǎng)絡管理信息 SNMP中 網(wǎng)絡管理信息是面向?qū)傩缘?更注重簡單性和可擴展性 采用ISO的抽象語法表示語言 ASN 1 表示 16 組織模型 包括管理者 代理者的概念 管理實體間的通信方法 17 網(wǎng)絡管理系統(tǒng) 管理者 典型網(wǎng)絡管理體系結(jié)構(gòu)組織模型 被管設備 18 單個設備結(jié)構(gòu) 管理方式 CLI命令行CommandLine最直接 原始的管理方式 能控制設備的基本狀態(tài)各個廠商的格式不同有的產(chǎn)品 CLI實現(xiàn)了管理的所有功能專有GUI管理程序設備專用的管理程序WEBwww方式管理簡單 往往只有部分管理功能SNMP基于網(wǎng)絡管理系統(tǒng)往往只有部分管理功能 19 單個設備結(jié)構(gòu) 2 In band帶內(nèi)管理管理信息流跟普通網(wǎng)絡數(shù)據(jù)一起傳輸受普通網(wǎng)絡數(shù)據(jù)的影響Out band帶外管理獨立的管理信息流 20 單個設備結(jié)構(gòu) 3 入口 控制口 串口 只能使用CLI 所有情況下可用多數(shù)提供MODEM接口重要設備需要提供遠程控制口管理單獨的管理網(wǎng)絡接口Out band管理普通網(wǎng)絡接口In band管理telnet ssh SSL 21 單個設備結(jié)構(gòu) 4 遠程控制口撥號反向telnet Cisco專用 AccessRouter 設備 設備 設備 設備 管理專用網(wǎng)絡 RS232 22 單個設備結(jié)構(gòu) 5 CLI WEB CLI命令行CommandLineWEBwww方式管理 23 網(wǎng)絡管理資源的表示 用 被管理對象 ManagedObject 表示網(wǎng)絡中的資源CMIP定義封裝了被管理對象被管理對象的屬性數(shù)據(jù)類型 是否可寫被管理對象的行為可能的操作被管理對象的通知特定事件發(fā)生時所發(fā)出的通知 24 MIB管理信息庫 被管理對象概念上的集合稱為管理信息庫 MIB ManagementInformationBase SNMP的MIB1988年MIB RFC1156 1990年MIBII RFC1158 IAB鼓勵廠商針對自己的產(chǎn)品定義自己的MIB 然后以RFC文檔的方式公布 以便該產(chǎn)品被網(wǎng)絡管理系統(tǒng)支持 保證系統(tǒng)的易擴充性過多的MIB定義加大了網(wǎng)絡設備的負擔很多設備可以設定啟用哪些MIB 25 網(wǎng)絡管理系統(tǒng)構(gòu)成 一個網(wǎng)絡管理系統(tǒng)不一定包含網(wǎng)絡管理的所有功能四個部分組成 多個被管代理 ManagedAgent 至少一個網(wǎng)絡管理者 NetworkManager 一個通用的網(wǎng)絡管理協(xié)議 NetworkManagementProtocol 一個或多個管理信息庫 MIB 26 網(wǎng)絡管理者 NetworkManager 實施網(wǎng)絡管理的處理實體 駐留在管理工作站上 是整個網(wǎng)絡系統(tǒng)的核心 完成復雜網(wǎng)絡管理的各項功能 如排除網(wǎng)絡故障 配置網(wǎng)絡等 27 被管代理 ManagedAgent 駐留在被管設備上 網(wǎng)絡管理的處理實體 負責跟網(wǎng)絡管理者通信 執(zhí)行網(wǎng)絡管理者的指令 或在特定事件發(fā)生時通知網(wǎng)絡管理者 監(jiān)視所在網(wǎng)絡設備的工作狀況 收集有關網(wǎng)絡信息 被管代理一般有多個 分別位于網(wǎng)絡中的各個設備上 28 網(wǎng)絡管理協(xié)議 NetworkManagementProtocol 描述了管理者和被管代理之間數(shù)據(jù)通信機制 網(wǎng)絡管理標準主要制定的內(nèi)容就是網(wǎng)絡管理協(xié)議 定義管理者和被管代理之間的數(shù)據(jù)報文種類和格式 定義管理信息庫的數(shù)據(jù)庫格式 29 管理信息庫 MIB 存儲在被管理設備的存儲器中 一個動態(tài)刷新的數(shù)據(jù)庫 包括設備的配置信息 數(shù)據(jù)通信的統(tǒng)計信息 安全性信息和設備特有信息 30 集中與分布式的網(wǎng)絡管理系統(tǒng) 集中式 簡單 易于實現(xiàn)不適應大規(guī)模網(wǎng)絡管理分布式 復雜多層管理者某些管理者會被高一層的管理者所管理適應大規(guī)模網(wǎng)絡管理 31 3 2TCP IP網(wǎng)絡管理體系結(jié)構(gòu) IAB制訂了TCP IP網(wǎng)絡管理體系結(jié)構(gòu)三部分內(nèi)組成基于TCP IP的管理信息結(jié)構(gòu) SMI 基于TCP IP的管理信息庫 MIB SNMP網(wǎng)絡協(xié)議 32 33 34 35 36 基于TCP IP的管理信息結(jié)構(gòu) SMI 網(wǎng)絡管理應用通過對MIB中網(wǎng)絡管理對象的讀取和設置來實現(xiàn)對網(wǎng)絡設備的管理和監(jiān)控 MIB對象的定義符合ISOASN 1語言 對象類型的定義有對象名稱 對象語法和對象編碼 37 對象名稱 標示一個對象 ASN 1按照對象的注冊關系定義對象的標示符 它是一個整行數(shù)序列 在注冊關系樹的Internet子樹下有四個節(jié)點 DirectoryOBJECTIDENTIFIER internet1 MgmtOBJECTIDENTIFIER internet2 ExperimentalOBJECTIDENTIFIER internet3 PrivateOBJECTIDENTIFIER internet4 38 39 對象名稱 Directory 1 3 6 1 1 子樹為Internet中的OSI體系結(jié)構(gòu)保留Mgmt 1 3 6 1 2 子樹用于標示正式批準的RFC中定義的對象Experimental 1 3 6 1 3 子樹用于標示正在進行試驗的對象Private 1 3 6 1 4 子樹用于標示各個網(wǎng)絡設備廠商定義的對象 40 對象語法 定義對象的結(jié)構(gòu)ASN 1定義了四種基本對象語法類型 INTEGER整數(shù) ASN 1不限制 但是MIB定義為0 4G OCTETSTRING字符串OBJECTIDENTIFIER對象標示符NULL 41 對象語法 2 構(gòu)造語法類型SEQUENCE 序列 SEQUENCE 為4種基本類型支持應用語法類型 Application widesyntaxtype 定義IPADDRESS長度為4的OCTETSTRINGCOUNTER計數(shù)器 非負INTEGERGAUGE累加器 非負INTEGERTIMETICKS厘秒計時器 非負INTEGER 42 對象編碼 采用ASN 1基本編碼規(guī)則 43 TCP IP的MIB IAB定義了2個SNMPMIB MIBI RFC1156 MIBII RFC1213 44 對象定義格式 對象類的定義包括以下域 對象域文本形式的對象描述符合對象標示符組成對象語法域ASN 1定義的對象類的抽象語法對象定義對象語義的說明對象訪問權(quán)限Read only read write write only not accessable狀態(tài)域強制 mandatory 當前 current 過期 deprecated 45 例子 接口接收數(shù)據(jù) ifInOctetsOBJECT TYPESYNTAXCounter32MAX ACCESSread onlySTATUScurrentDESCRIPTION Thetotalnumberofoctetsreceivedontheinterface includingframingcharacters Discontinuitiesinthevalueofthiscountercanoccuratre initializationofthemanagementsystem andatothertimesasindicatedbythevalueofifCounterDiscontinuityTime ifEntry10 46 47 對象組 System組定義網(wǎng)絡設備系統(tǒng)描述和硬件 軟件類型Interface組定義設備網(wǎng)絡端口描述 運行情況和通信量AddressTranslation定義網(wǎng)絡地址到物理地址的映射表 即ARP表 IP組描述了與設備IP層有關的信息ICMP組描述了ICMP輸入輸出統(tǒng)計信息TCP UDP EGP SNMP組分別描述了TCP UDP EGP SNMP連接有關的信息 48 3 3SNMP協(xié)議體系結(jié)構(gòu) 49 SNMP網(wǎng)絡管理信息的范圍 包括Internet標準MIB和符合InternetSMI規(guī)范的MIB中所定義的對象類SNMP使用的信息編碼方式是ISO定義的ASN 1語言的一個子集 50 SNMPMIB對象實例標識 對象實例標識符是對象所屬對象類的對象標識符加上實例標識符構(gòu)成 如SysDescr對象標識符為1 3 6 1 2 1 1 1 設備的系統(tǒng)描述只有一個 實例標識符為0 因此設備的系統(tǒng)描述對象實例標識符為1 3 6 1 2 1 1 1 0 51 SNMP認證機制和訪問策略 對于SNMPv1 僅僅支持community認證Communi