GuidetoTCP/IP,ThirdEditionChapter11:MonitoringandManagingIPNetworks1MonitoringandManagingIPNetworks理解管理現代網絡所包含的基本原理理解SNMP在基于IP網絡中能夠發揮的作用了解SNMP基本結構和功能了解如何安裝、配置與使用SNMP控制臺和工具本章知識要點：2MonitoringandManagingIPNetworks一、網絡管理的定義狹義的網絡管理僅僅指網絡的通信量管理，而廣義的網絡管理指網絡的系統管理。網絡管理是指對網絡的運行狀態進行檢測和控制，使其能夠有效、可靠、安全、經濟的提供服務。網絡管理功能可概括為OAM﹠P，即網絡的運行（Operation）、管理（Administration）、維護（Maintenance）、服務提供（Provisioning）等所需要的各種活動網絡管理涉及的內容：Networkserviceprovisioning提供網絡服務向用戶提供新的服務類型與增加網絡設備、提高網絡性能。Networkmaintenance網絡維護網絡性能監控、故障報警、故障診斷、故障隔離與恢復Networkadministration網絡處理網絡線路、設備利用率數據的采集、分析及提高網絡利用率的各種控制。11.1理解網絡管理實踐和原理3MonitoringandManagingIPNetworks二、網絡管理的必要性網絡規模不斷擴大網絡結構越來越復雜簡單的管理工具和方法已不適應管理大型和異構網絡網絡設備的復雜化使網絡管理變得更加復雜網絡的經濟效益越來越依賴網絡的有效管理先進可靠的網絡管理也是網絡本身發展的必然結果。4MonitoringandManagingIPNetworks三、網絡管理的目標有效性可靠性開放性綜合性安全性經濟性5MonitoringandManagingIPNetworks四、網絡管理對象廣義上包括：網絡的參與者網絡連接設備網絡服務器網絡協議和各種軟件網絡管理人員網絡管理制度等狹義講包括兩大類：硬件資源和軟件資源硬件資源是指物理介質、計算機設備和網絡互聯設備軟件資源主要包括操作系統、應用軟件和通信軟件被管資源的集合稱作管理信息庫MIB6MonitoringandManagingIPNetworks五、網絡管理系統網絡管理系統(NMS)：由一組軟件組成，幫助網絡管理人員完成日常的任務，提高網絡運行的效率和服務質量網絡管理系統的任務是幫助網絡管理者有效地控制和維護網絡設備。在復雜的網絡環境中給網絡管理者提供更高水平的幫助，使得網絡更加適合于用戶的需要7MonitoringandManagingIPNetworks末端站點通常稱為托管設備管理實體提供對管理數據、控制以及行為的訪問當收到警報時，必須生成適宜的響應要求來自托管設備的更新管理代理負責保管管理數據庫（MDB）對于TCP/IP，管理協議是SNMP大型網絡環境中，管理實體可以采用分層方式11.1.1網絡管理架構8MonitoringandManagingIPNetworks11.1.2OSI網絡管理模型ISO定義了網絡管理參考的通用框架，并提供了理解NMS所完成主要功能的優秀架構，且被標準和非標準的網絡管理系統所廣泛接受。其網絡管理模型分為下述五層：故障管理配置管理計費管理性能管理安全管理9MonitoringandManagingIPNetworks最基本的功能之一主要任務：發現和排除網絡故障，保證網絡資源的無故障無錯誤的運營狀態包括：障礙管理、故障恢復和預防保障包括以下典型功能：維護并檢查錯誤日志接受錯誤檢測報告并作出響應跟蹤、辨認錯誤執行診斷測試糾正錯誤一、故障管理10MonitoringandManagingIPNetworks是最基本的網絡管理功能，負責網絡的建立、業務的展開以及配置數據的維護主要功能包括：資源清單管理、資源開通以及業務開通配置管理包括：設置開放系統中有關路由操作參數被管對象和被管對象組名字的管理初始化或關閉被管對象根據要求收集系統當前狀態的有關信息獲取系統重要變化信息更改系統配置二、配置管理11MonitoringandManagingIPNetworks計費管理是記錄網絡資源的使用，目的是控制的監測網絡操作的費用和代價主要功能：計算機網絡建設及運營成本統計網絡及其所包含的資源的利用率聯機收集計費數據計算用戶應支付的網絡服務費用賬單管理三、計費管理12MonitoringandManagingIPNetworks性能管理的目的是維護網絡服務質量和網絡運營效率具有性能檢測功能、性能分析功能和性能管理控制功能典型功能包括：收集統計性息維護并檢查系統狀態日志確定自然和人工狀況下系統的性能改變系統操作模式以進行系統性能管理的操作四、性能管理13MonitoringandManagingIPNetworks安全是網絡的薄弱環節之一網絡主要安全問題：網絡數據的私有性授權訪問控制安全管理目的是提供信息的隱私、認證和完整性保護機制，使網絡中的服務、數據以及系統免受侵擾和破壞包括：風險分析功能安全服務功能告警日志和報告功能網絡管理系統保護功能五、安全管理14MonitoringandManagingIPNetworks不同廠商有不同的NMS網絡管理員必須優先采用系統化的網絡管理，并得到能夠用于規范、可調度網絡維護和監護程序一部分的軟件部件和工具的正確組合11.1.3實際網絡管理15MonitoringandManagingIPNetworks帶內管理流量沿著正常的網絡數據路徑傳輸帶外管理流量報警在獨立的、非數據路徑上傳輸支持管理代理和管理設備之間的通信，而不管數據網絡的狀態如何11.1.4帶內管理與帶外管理的比較16MonitoringandManagingIPNetworksIETF的成果SNMPSNMP(SimpleNetworkManagementProtocol)是一個基于請求/響應的協議，用于傳輸在SNMP代理和SNMP管理器之間的管理消息SNMP已成為網絡管理領域中事實上的工業標準，大多數網絡管理系統和平臺都是基于SNMP的體系結構通信設備管理階段的特點是集中式網絡管理體系結構，采用SNMP網絡管理協議，管理的對象主要是針對網絡互連設備，例如：路由器、交換機、打印機、UPS等設備11.2理解SNMP17MonitoringandManagingIPNetworks基于SNMP的網絡管理路由器服務器MIB管理信息庫MIBSNMP協議SNMP協議管理站管理節點代理軟件代理軟件18MonitoringandManagingIPNetworksSNMPv1SNMP的最初版本簡單實用，但缺乏安全性SNMPv2增強版本協議增強安全增強SNMPv3最新版本安全方面的增強認證（確保用戶的有效性）私密（保持機密性）授權（限制訪問）遠程配置和管理能力19MonitoringandManagingIPNetworks管理信息庫（MIB）是一個用于設備的可管理對象數據庫例如：可管理路由器支持填充了路由器類型對象的MIB，包括網卡、已轉發數據包、已過濾數據包等11.2.1管理信息庫對象20MonitoringandManagingIPNetworks一、管理信息結構管理信息結構SMI（StructureofManagementInformation）用于定義存儲在MIB中的管理信息的語法和語義對MIB進行定義和構造SMI只允許存儲標量和二維數組，不支持復雜的數據結構，簡化了實現，加強了互操作性為滿足協同操作的要求，SMI提供了以下標準化技術表示管理信息：定義了MIB的層次結構；提供了定義管理對象的語法結構；規定了對象值的編碼方法。21MonitoringandManagingIPNetworks二、管理信息庫結構SNMP環境中的所有被管理對象都按層次性的結構或樹型結構來排列。樹結構端結點對象就是實際的被管理對象，每一個對象都代表一些資源、活動或其他要管理的相關信息。樹型結構本身定義了如何把對象組合成邏輯相關的集合。層次樹結構有三個作用表示管理和控制關系提供了結構化的信息組織技術提供了對象命名機制22MonitoringandManagingIPNetworks

OSI管理信息樹root102ituiso-ituiso2301standardregistrationauthoritymemberbodyorg621134dodinternetdirectorymgmt16mib-2tcpexperimentalprivate12enterpriseIBM23MonitoringandManagingIPNetworks通過這種特殊結構的樹來唯一的確定一個管理對象是OSI的管理模式Internet也應用了這種管理信息結構，SMI在Internet節點下面定義了四個節點：directory:

為將來使用OSI目錄保留mgmt:

用于由IAB批準的所有管理對象，而mib-2是mgmt的第一個子節點experimental：用來識別在互聯網上實驗中使用的所有管理對象

private：用于識別單方面定義的對象。或者說為私人企業管理信息準備的例如:

一個私人企業LT公司，向Internet編碼機構申請注冊，并得到一個代碼100（Cisco公司為9、HP公司為11、3Com公司為43）。該公司為它的令牌環適配器賦予代碼為25，則令牌環適配器的對象標識為.5。24MonitoringandManagingIPNetworks

MIB-Ⅱ功能組在RFC1213定義的MIB-Ⅱ是當前應用的管理信息庫標準。它是MIB-Ⅰ的擴充，增加了一些對象和組。文件包含11個功能組和175個對象。25MonitoringandManagingIPNetworksInternet(1)directory(1)mgmt(2)mib-2(1)iso(1)org(3)dod(6)system(1)interfaces(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)transmission(10)snmp(11)experimental(3)private(4)enterprises(1)

MIB-Ⅱ的分組結構26MonitoringandManagingIPNetworksmib-Ⅱ的對象ID為.2.1。

InternetMIB-ⅡGroupinternet{}directory(1)mgmt(2)experimental(3)private(4)mib-2(1)system(1)interfaces(2)at(3)ip(4)icmp(5)snmp(11)transmission(10)cmot(9)egp(8)udp(7)tcp(6)27MonitoringandManagingIPNetworks功能組OID主要描述systemmib-21系統說明和管理信息interfacesmib-22實例的接口和輔助信息atmib-23IP地址與物理地址的轉換ipmib-24關于IP的信息icmpmib-25關于ICMP的信息tcpmib-26關于TCP的信息udpmib-27關于UDP的信息egpmib-28關于EGP的信息cmotmib-29為CMIPoverTCP/IPtransmissionmib-210關于傳輸介質的管理信息snmpmib-211關于SNMP的信息MIB-2功能組28MonitoringandManagingIPNetworksIP組IP組提供與IP協議有關的信息。在網絡中路由器周期性的執行路由算法并更新路由表IP組定義執行網絡層協議（如主機和路由器）的節點的所有需要的參數。其功能組是必須實現的IP組包含三個表對象：IP地址表、IP路由表和IP地址轉換表Ip(mib-24)ipRoutingDiscards(23)ipNetToMediaTable(22)2)ipRouteTable(21)ipAddrTable(20)ipFragCreates(19)ipFragFails(18)ipFragOKs(17)ipReasmFails(16)IpReasmOKs(15)IpReasmReqds(14)IpReasmTimeout(13)ipForwarding(1)ipDefaultTTL(2)ipInReceives(3)IpInHdrErrors(4)IpInAddrErrors(5)IpForwDatagrams(6)ipInUnknownProtos(7)

ipInDiscards(8)IpInDelivers(9)IpOutRequests(10)IpOutDiscards(11)ipOutNoRoutes(12)IP組ICMP組該組僅由發送或接收到的各種ICMP信息的計數器組成通過ICMP組的對象可以對網絡的性能管理功能進行分析TCP組TCP組包含與TCP協議的實現和操作有關的信息UDP組UDP組包含有關結點上UDP實現和操作的信息29MonitoringandManagingIPNetworks是一種在被管理的網絡設備中運行的軟件，負責執行管理進程的管理操作。包含了用于被管理設備的MIB管理代理直接操作本地信息庫，可以根據要求改變本地信息庫或將數據傳送到管理進程。11.2.2SNMP代理30MonitoringandManagingIPNetworks是一個或一組軟件程序一般運行在網絡管理中心的主機上可以在SNMP的支持下命令管理代理執行各種管理操作11.2.3SNMP管理器31MonitoringandManagingIPNetworksSNMP提供了一個標準化的網絡管理框架，使得互連網絡的監視和控制成為可能SNMP是一個簡單的但可擴展的標準集，采用管理進程/管理代理模式，管理協議在應用層上運行SNMP的成功主要在于它的簡單性、靈活性和可擴展性SNMP網絡管理結構32MonitoringandManagingIPNetworks基于TCP/IP網絡管理的網絡模型由以下幾部分組成：管理器管理代理管理信息庫網絡管理協議33MonitoringandManagingIPNetworks網管工作站(NMS)—收集網絡情報,并做顯示SNMP—信息交換協議Agent—根據NMS的要求收集并存儲信息,產生陷井TRAPMIB—ManagementInformationBase網絡信息對象的數據庫SMI—StructureofManageInformationNetworkManagementStation(NMS)ManagerSNMPmessageexchangeManagedDeviceAgentMIBManagedDeviceAgentMIB34MonitoringandManagingIPNetworks網絡管理結構模型

網絡設備網絡設備

網絡管理協議Polling、Trap

NMS

代理進程

協議棧和設備驅動程序協議棧和設備驅動程序互連網絡35MonitoringandManagingIPNetworks

管理站和代理通過網絡管理協議聯系起來用于管理TCP/IP網絡的協議SNMP有以下主要的功能：get:使管理站能夠獲取代理中對象的值。set：使管理站能夠設定代理中對象的值。trap：使代理能夠向管理站通告重要事件。POLLINGTRAP

ManagerAgent

ManagerAgent實現模式36MonitoringandManagingIPNetworks網絡管理工作站流量監視器你看見了多少流量？在下午4點15分有12.5%方法1網絡管理工作站輪詢被管理設備中的代理以獲得信息37MonitoringandManagingIPNetworks在沒有輪詢的情況下，被管理設備代理向網絡管理工作站報告錯誤網絡管理工作站流量監視器警告！在下午4點20分我看見了55%的利用率38MonitoringandManagingIPNetworksSNMP協議體系結構

SNMPUDPIP網絡協議代理過程路由器SNMPUDPIP網絡協議代理過程主機FTP等TCPIP網絡協議用戶過程NetworkSNMPUDPIP網絡協議管理站過程管理站MIB網絡管理站39MonitoringandManagingIPNetworks從管理站發送三種SNMP消息：GetRequestGetNextRequestSetRequest由代理以GetResponse消息的形式來應答，并將該消息向上傳輸到管理應用程序。代理可能發送trap消息來響應影響MIB和底層被管理資源的事件。由于SNMP依賴于UDP，所以SNMP本身也是無連接協議。在管理站和其代理之間不維持連續連接，相反每一次信息交換都是管理站和代理之間的獨立行為。

SNMP實現的建議是對每個管理信息要裝配成單獨的數據報獨立發送，而且報文較短，不超過484個字節。40MonitoringandManagingIPNetworksSNMP工作機制SNMP管理模式重要特點是能夠快速地從MIB中找到所需要的管理對象實例。主要依賴于只有葉節點的對象才有實例，且每個對象或實例的識別符都是從左到右順序遞增的規定。有了這一規定，SNMP管理模式就會具有較高的檢索速度SNMP協議實現網絡管理系統和代理之間的異步請求和響應。其功能是通過輪流查詢操作實現的。SNMP協議的機制是一種由管理站周期性地發送輪詢信息給被管設備的管理代理以實時監視和維持網絡資源，同時又采用了被管設備在發生特殊問題時采用異常事件報告網管站的工作方式。41MonitoringandManagingIPNetworks1.

GetRequest：從擁有SNMP代理的網絡設備中檢索信息2.

GetResponse：是SNMP代理對管理站GetRequest消息的響應。可以交換許多信息，如系統的名字、系統自啟動后正常運行的時間和系統中的網絡接口數等3.

GetNextRequest:訪問網管代理，并從MIB樹上檢索指定對象的下一個對象實例4.

SetRequest：對一個設備中的參數進行遠程配置。可以設置設備的名字，在管理上關掉一個端口或清除一個地址解析表中的項5.

Trap：是SNMP代理發送給管理站的非請求消息。這些