一、網(wǎng)絡(luò)管理功能域

1.網(wǎng)絡(luò)管理五大功能域

網(wǎng)絡(luò)管理分五大功能域：

• 故障管理（ Fault Management）

• 配置管理（Configuration Management）

• 計(jì)費(fèi)管理（Accounting Management）

• 性能管理（Performance Management）

• 安全管理（Security Management）

性能、故障和計(jì)費(fèi)管理屬于網(wǎng)絡(luò)監(jiān)視功能。

配置和安全管理屬于網(wǎng)絡(luò)控制功能。

（1）性能管理

Performance Management，在用最少網(wǎng)絡(luò)資源和最小時(shí)延的前提下，網(wǎng)絡(luò)能提供可靠、連續(xù)的通信能力。

性能管理的功能有性能檢測(cè)、性能分析、性能管理、性能控制。

① 五個(gè)性能指標(biāo)

可用性、響應(yīng)時(shí)間、正確性是面向服務(wù)的性能指標(biāo)

吞吐率和利用率是面向效率的性能指標(biāo)

（2）故障管理

Fault Management，對(duì)網(wǎng)絡(luò)中被管對(duì)象故障的檢測(cè)、定位和排除。

故障管理功能有故障檢測(cè)、故障告警、故障分析與定位、故障恢復(fù)與排除、故障預(yù)防。

① 故障管理分為三個(gè)功能模塊

• 故障檢測(cè)和報(bào)警功能

• 故障預(yù)測(cè)功能

• 故障診斷和定位功能

（3）計(jì)費(fèi)管理

計(jì)費(fèi)管理（Accounting Management）主要是跟蹤控制用戶對(duì)網(wǎng)絡(luò)資源的使用，記錄用戶使用網(wǎng)絡(luò)資源的情況并核收費(fèi)用，同時(shí)也統(tǒng)計(jì)網(wǎng)絡(luò)的利用率。

計(jì)費(fèi)管理的功能有賬單記錄，賬單驗(yàn)證，計(jì)費(fèi)策略管理。

① 需要計(jì)費(fèi)的網(wǎng)絡(luò)資源

• 通信設(shè)施

• 計(jì)算機(jī)硬件

• 軟件系統(tǒng)

• 服務(wù)

② 計(jì)費(fèi)日志包含下列信息

用戶標(biāo)識(shí)、連接目標(biāo)的標(biāo)識(shí)符、傳送的分組數(shù)或字節(jié)數(shù)、安全級(jí)別、時(shí)間戳、指示網(wǎng)絡(luò)出錯(cuò)情況的狀態(tài)碼、使用的網(wǎng)絡(luò)資源。

（4）配置管理

Configuration Management，用來定義、識(shí)別、初始化、監(jiān)控網(wǎng)絡(luò)中被管對(duì)象，改變被管對(duì)象的操作特性，報(bào)告被管對(duì)象狀態(tài)的變化。

配置管理的功能有配置信息收集（信息包含設(shè)備地理位置、命名、記錄和維護(hù)設(shè)備的參數(shù)表、能及時(shí)更新和維護(hù)網(wǎng)絡(luò)拓?fù)?、能利用軟件設(shè)置參數(shù)并配置硬件設(shè)備（設(shè)備初始化、啟動(dòng)、關(guān)閉、自動(dòng)備份硬件配置文件）。

① 配置管理需要包含的功能

• 定義配置信息

• 設(shè)置和修改設(shè)備屬性

• 定義和修改網(wǎng)絡(luò)元素間的互聯(lián)關(guān)系

• 啟動(dòng)和終止網(wǎng)絡(luò)運(yùn)行

• 發(fā)行軟件

• 檢查參數(shù)值和互聯(lián)關(guān)系

• 報(bào)告配置現(xiàn)狀

（5）安全管理

系統(tǒng)或網(wǎng)絡(luò)的安全設(shè)施由一系列安全服務(wù)和安全機(jī)制的集合組成。

安全管理（Security Management）保證網(wǎng)絡(luò)不被非法使用。

安全管理的功能有管理員身份認(rèn)證、管理信息加密與完整性、管理用戶訪問控制、風(fēng)險(xiǎn)分析、安全告警、系統(tǒng)日志記錄與分析、漏洞檢測(cè)。

① 安全威脅的類型

安全威脅的類型.png

② 三方面討論安全管理的問題

• 安全信息的維護(hù)

• 資源訪問控制

• 加密過程控制

2.網(wǎng)絡(luò)管理的基本計(jì)算（重點(diǎn)）

（1）支持的設(shè)備數(shù)

（2）總信息傳輸速率

二、網(wǎng)絡(luò)管理協(xié)議

1.SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）

SNMP，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議。工作在應(yīng)用層的協(xié)議；利用UDP協(xié)議提供的數(shù)據(jù)報(bào)服務(wù)傳輸信息，這是因?yàn)?strong>UDP傳輸數(shù)據(jù)效率高、不增加網(wǎng)絡(luò)負(fù)擔(dān)。

（1）SNMPv1

有哪些報(bào)文得記住。

① SNMP報(bào)文分類及端口號(hào)

Ⅰ.報(bào)文分類

SNMP報(bào)文可以分為：

• 從管理站到代理的SNMP報(bào)文

• 從代理到管理站的SNMP報(bào)文

Ⅱ.端口號(hào)

SNMP協(xié)議實(shí)體發(fā)送請(qǐng)求和應(yīng)答報(bào)文的默認(rèn)端口是161；

SNMP代理發(fā)送陷入報(bào)文（Trap）的默認(rèn)端口是162。

② 常見的SNMP報(bào)文

• Get-Request

• Get-Next-Request

• Set-Request

• Trap（進(jìn)行檢測(cè)）

• Get-Response

Ⅰ.Get-Request

屬于從管理站到代理的SNMP報(bào)文。

從代理進(jìn)程處提取一個(gè)或多個(gè)數(shù)據(jù)項(xiàng)。

Ⅱ.Get-Next-Request

屬于從管理站到代理的SNMP報(bào)文。

從代理進(jìn)程處提取一個(gè)或多個(gè)數(shù)據(jù)項(xiàng)的下一個(gè)數(shù)據(jù)項(xiàng)。

Ⅲ. Set-Request

屬于從管理站到代理的SNMP報(bào)文。

設(shè)置代理進(jìn)程的一個(gè)或多個(gè)數(shù)據(jù)項(xiàng)。

Ⅳ. Get-Response

屬于從代理到管理站的SNMP報(bào)文。

此操作是代理進(jìn)程作為對(duì)Get-Request、Get-Next-Request、Set-Request的響應(yīng)。

Ⅴ.Trap

屬于從代理到管理站的SNMP報(bào)文。

代理進(jìn)程主動(dòng)發(fā)出的報(bào)文，通知管理進(jìn)程有某些事件發(fā)生。

（2）SNMPv2

支持集中式管理，也支持分布式管理。

① 對(duì)于v1改進(jìn)了三點(diǎn)（考點(diǎn)）

1. 管理信息結(jié)構(gòu)的擴(kuò)充

2. 管理站之間的通信能力

3. 新的協(xié)議操作

Ⅰ.管理信息結(jié)構(gòu)的擴(kuò)充

新增了2種數(shù)據(jù)類型：

• Unsigned32

• Counter64

Ⅱ.管理站之間的通信能力

Ⅲ.新的協(xié)議操作

GetBulkRequest操作，能夠有效地檢索大塊的數(shù)據(jù)，特別是能夠有效地檢索大塊的數(shù)據(jù),適合在表中檢索多行數(shù)據(jù)，其為管理站提供了從被管設(shè)備中一次取回一批數(shù)據(jù)的能力。

② 3種訪問管理信息的方法

SNMPv2提供了3種訪問管理信息的方法：

• 管理站和代理之間的請(qǐng)求/響應(yīng)通信：這種方法與 SNMPv1是一樣的。

• 管理站和管理站之間的請(qǐng)求/響應(yīng)通信，這種方法是 SNMPV2特有的，可以由一個(gè)管理站把有關(guān)管理信息告訴另外一個(gè)管理站。

• 代理系統(tǒng)到管理站的非確認(rèn)通信，即由代理向管理站發(fā)送陷入報(bào)文（Trap）報(bào)告出現(xiàn)的異常情況。SNMPv1也有對(duì)應(yīng)的通信方式。

③ 錯(cuò)誤類型

在SNMPv2錯(cuò)誤類型中：

• noNaccess：表示管理對(duì)象不可訪問。

• genErr：表示某些其他的差錯(cuò)。

• wrongValueo：表示代理不執(zhí)行該操作。

• noCreation：表示對(duì)象不存在且無法建立。

（3）SNMPv3

在SNMPv3實(shí)現(xiàn)了實(shí)體的概念，把管理站（Manager）和代理（Agent）統(tǒng)一叫做實(shí)體，實(shí)體包含引擎和應(yīng)用，提供基于用戶的安全模型，使用基于視圖的訪問控制模型。

新增了認(rèn)證和加密功能。

① 應(yīng)用

SNMPv3的應(yīng)用程序分為：

• 命令生成器

• 命令響應(yīng)器

• 通知發(fā)送器

• 通知接收器

• 代理轉(zhuǎn)發(fā)器

② 安全威脅

SNMPv3把對(duì)網(wǎng)絡(luò)協(xié)議的安全威脅分為主要的和次要的兩類。

標(biāo)準(zhǔn)規(guī)定安全模塊必須提供防護(hù)的兩種主要威脅是修改信息、假冒；

還規(guī)定安全模塊必須提供防護(hù)的兩種次要威脅是修改報(bào)文流、信息泄露；

有兩種威脅是安全體系結(jié)構(gòu)不必防護(hù)的，因?yàn)樗鼈儾皇呛苤匾蛘?strong>這2種防護(hù)沒有多大作用：拒絕服務(wù)、通信分析。

Ⅰ.兩種主要威脅

修改信息( Modification of Information):就是某些未經(jīng)授權(quán)的實(shí)體改變了進(jìn)來的SNMP報(bào)文,企圖實(shí)施未經(jīng)授權(quán)的管理操作,或者提供虛假的管理對(duì)象。

假冒( Masquerade):即未經(jīng)授權(quán)的用戶冒充授權(quán)用戶的標(biāo)識(shí)，企圖實(shí)施管理操作。

Ⅱ.兩種次要威脅

修改報(bào)文流( Message Stream Modification)由于SNMP協(xié)議通常是基于無連接的傳輸服務(wù)，重新排序報(bào)文流、延遲或重放報(bào)文的成脅都可能出現(xiàn)。這種威脅的危害性在于通過報(bào)文流的修改可能實(shí)施非給營(yíng)理基礎(chǔ)法的管理操作。

消息泄露( Disclosure)：SNMP引擎之間交換的信息可能被偷聽，對(duì)這種威脅的防護(hù)應(yīng)采取局部的策略。

Ⅲ.不防護(hù)威脅

拒絕服務(wù)( Denial of service)因?yàn)樵诤芏嗲闆r下拒絕服務(wù)和網(wǎng)絡(luò)失效是無法區(qū)別的，所以可以由網(wǎng)絡(luò)管理協(xié)議來處理，安全子系統(tǒng)不必采取措施。

通信分析( Traffic Analysis)，即由第三者分析管理實(shí)體之間的通信規(guī)律，從而獲取需要的信息。由于通常都是由少數(shù)管理站來管理整個(gè)網(wǎng)絡(luò)的，所以管理系統(tǒng)的通信模式是可預(yù)見的，防護(hù)通信分析就沒有多大作用了。

（4）SNMP與RMON

① 區(qū)別

SNMP的管理信息庫（MIB）只包含本地設(shè)備的管理信息；RMON提供了整個(gè)子網(wǎng)的管理信息。

② RMON的管理信息庫

通常用于監(jiān)視整個(gè)網(wǎng)絡(luò)通信情況的設(shè)備叫做網(wǎng)絡(luò)監(jiān)視器( Monitor)或探測(cè)器( Probe)，這種設(shè)備觀察LAN上出現(xiàn)的每個(gè)分組，并進(jìn)行統(tǒng)計(jì)和匯總，例如提供出錯(cuò)統(tǒng)計(jì)數(shù)據(jù)（殘缺分組數(shù)、沖突次數(shù)）、性能統(tǒng)計(jì)數(shù)據(jù)（每秒鐘提交的分組數(shù)、分組大小的分布情況）等。監(jiān)視器還能存儲(chǔ)部分分組，供以后分析用。監(jiān)視器也根據(jù)分組類型進(jìn)行過濾并捕獲特殊的分組。通常是每個(gè)子網(wǎng)配置一個(gè)監(jiān)視器，并且與中央管理站通信，因此叫遠(yuǎn)程監(jiān)視器。

RMON定義了遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的管理信息庫（屬于MIB-2的一部分）以及SNMP管理站與遠(yuǎn)程監(jiān)視器之間的接口。

（5）管理進(jìn)程與代理之間聯(lián)系

在SNMP中，管理進(jìn)程與與代理之間的聯(lián)系并沒有約束數(shù)量，僅僅是通過團(tuán)體名來驗(yàn)證。

一個(gè)管理進(jìn)程可以聯(lián)系多個(gè)代理，一個(gè)代理也可給多個(gè)管理進(jìn)程提供信息。

① 團(tuán)體名

團(tuán)體名相同的才可以訪問。

（6）SNMP檢索簡(jiǎn)單對(duì)象

當(dāng)代理收到一個(gè)GET請(qǐng)求時(shí)，若有一個(gè)值不能提供，則返回該實(shí)例的下個(gè)值；若能檢索到所有對(duì)象的實(shí)例，則返回請(qǐng)求的每個(gè)值。

2.管理信息庫MIB-2

SNMP MIB中被管對(duì)象的Access屬性包括只讀、只寫、可讀寫，但不包括可執(zhí)行。

（1）包含11個(gè)功能組

system系統(tǒng)組 interface接口組 at地址轉(zhuǎn)換組 ip組 ICMP組 TCP組 UDP組 EGP組 transmission傳輸組 SNMP組

① 功能組對(duì)象的數(shù)據(jù)類型

在MIB-2中，IP組對(duì)象iplnReceives為接受的IP數(shù)據(jù)報(bào)總數(shù)，其數(shù)據(jù)類型為計(jì)數(shù)器類型。

系統(tǒng)服務(wù)對(duì)象sysServices是7位二進(jìn)制數(shù)，每一位對(duì)應(yīng)OSI/RM7層協(xié)議中的一層，若系統(tǒng)提供某一層服務(wù)，則對(duì)應(yīng)的位為1，否則為0。

（2）管理對(duì)象樹結(jié)構(gòu)

注冊(cè)層次.png

3.零部件可靠性計(jì)算

相同零部件

（1）串聯(lián)

串聯(lián)-零部件可靠性計(jì)算.png

（2）并聯(lián)

并聯(lián)-零部件可靠性計(jì)算.png

三、網(wǎng)絡(luò)管理命令（重點(diǎn)）

• ipconfig：可以顯示所有網(wǎng)卡的TCP/IP配置參

• ping：通過發(fā)送ICMP回聲請(qǐng)求報(bào)文來檢驗(yàn)與另一設(shè)備的連接。

• arp：用于顯示和修改地址解析協(xié)議緩存表的內(nèi)容

• netstat：用于顯示TCP連接、端口號(hào)、IP等網(wǎng)絡(luò)活動(dòng)狀態(tài)

• tracert：確定數(shù)據(jù)包到達(dá)目標(biāo)的路徑，并顯示通路上的中間IP地址和到達(dá)時(shí)間。

• pathping：結(jié)合ping和tracert的功能。

• nbtstat：顯示NetBT協(xié)議的統(tǒng)計(jì)信息

• route：顯示和修改本地的IP路由表

• netsh：命令行腳本程序，用于修改計(jì)算機(jī)的網(wǎng)絡(luò)配置

• nslookup：顯示DNS查詢信息，診斷和排除DNS故障

• net：管理網(wǎng)絡(luò)服務(wù)的命令

四、網(wǎng)絡(luò)管理工具

網(wǎng)絡(luò)嗅探器

sniffer

網(wǎng)絡(luò)管理工具 HP Open View 、IBM Tivoli NetView 、Cisco Works