第9章《局域網組建與管理》電子教案

網絡管理學習目標了解網絡管理的概念、意義、目標、功能和基本模型了解基本的網絡管理協議及網絡管理平臺理解端口掃描、漏洞掃描及網絡監聽的基本原理了解網絡數據分析的基本思路掌握端口掃描與網絡監聽的基本方法掌握網絡數據分析的基本方法9.1網絡管理概述9.1.1網絡管理概念、意義與目標9.1.2網絡管理功能網絡管理是指對網絡的運行狀態進行監測和控制，使其能夠有效、可靠、安全、經濟地提供服務。網絡管理包含兩個任務，一是對網絡的運行狀態進行監測，通過監測了解當前狀態是否正常，是否存在瓶頸問題和潛在的危機；二是對網絡的運行狀態進行控制，通過控制對網絡狀態進行合理調節，提高性能，保證服務。監測是控制的前提，控制是監測的結果。從這個定義可以看出，網絡管理具體地說就是網絡的監測和控制。網絡管理常簡稱網管。9.1.1網絡管理概念、意義與目標隨著網絡技術的高速發展，網絡管理的重要性越來越突出：(1)網絡設備的復雜化使網絡管理變得復雜。這種復雜性使得網絡管理無法用傳統的手工方式完成，必須采用先進有效的手段。(2)網絡的經濟效益越來越依賴網絡的有效管理。(3)先進可靠的網絡管理也是用戶所要求的。9.1.1網絡管理概念、意義與目標為了保證網絡的正常運行和滿足用戶的需要，必須使網絡滿足以下要求：(1)網絡應是有效的。(2)網絡應是可靠的。(3)現代網絡要有開放性。(4)現代網絡要有綜合性。(5)現代網絡要有很高的安全性。(6)網絡要有經濟性。9.1.1網絡管理概念、意義與目標網絡管理的根本目標就是滿足運營者及用戶對網絡的上述有效性、可靠性、開放性、綜合性、安全性和經濟性的要求。

9.1.1網絡管理概念、意義與目標國際標準化組織(ISO)將網絡管理的功能劃分為配置管理、性能管理、故障管理、安全管理和計費管理5個領域。

性能管理安全管理故障管理計費管理配置管理管理者MIB9.1.2網絡管理功能配置管理

配置管理是最基本的網絡管理功能，它負責網絡的建立、業務的展開、以及配置數據的維護。配置管理功能主要包括資源清單管理、資源開通、業務開通以及網絡拓撲服務功能。配置管理的目的是為了實現特定功能或使網絡性能達到最優。配置管理具體包括：(1)設置開放系統中有關路由操作的參數(2)被管對象和被管對象組名字的管理(3)初始化或關閉被管對象(4)根據要求收集系統當前狀態的有關信息(5)獲取系統重要變化的信息(6)更改系統的配置9.1.2網絡管理功能性能管理

性能管理目的是維護網絡服務質量(QoS)和網絡運營效率。性能管理提供了性能監測、性能分析和性能管理控制功能，同時還提供了性能數據庫的維護以及在發現性能嚴重下降時啟動故障管理系統的功能。網絡服務質量和網絡運營效率有時相互制約的。因此在制定性能目標時要在服務質量和運營效率之間進行權衡。性能管理的典型功能包括：(1)收集統計信息(2)維護并檢查系統狀態日志(3)確定自然和人工狀況下系統的性能(4)改變系統操作模式以進行系統性能管理的操作9.1.2網絡管理功能故障管理故障管理的主要任務是迅速發現和糾正網絡故障，動態維護網絡的有效性。網絡故障管理包括故障檢測、隔離和糾正三方面，應包括以下典型功能：(1)維護并檢查錯誤日志(2)接受錯誤檢測報告并作出響應(3)跟蹤、辨認錯誤(4)執行診斷測試(5)糾正錯誤9.1.2網絡管理功能安全管理

安全管理采用信息安全措施保護網絡中的系統、數據以及業務。安全管理與其它管理功能有著密切的關系。安全管理的目的是提供信息的保密、認證和完整性保護機制，使網絡中的服務、數據和系統免受侵擾和破壞。一般的安全管理系統包含以下四項功能：(1)風險分析功能(2)安全服務功能(3)告警、日志和報告功能(4)網絡管理系統保護功能9.1.2網絡管理功能計費管理

計費管理記錄網絡資源的使用，以便控制和監測網絡操作的費用和代價。計費管理的主要目的是正確地計算和收取用戶使用網絡服務的費用，進行網絡資源利用率的統計和網絡的成本效益核算。計費管理通常包括以下幾個主要功能：(1)計算網絡建設及運營成本(2)統計網絡及其所包含的資源的利用率(3)聯機收集計費數據(4)計算用戶應支付的網絡服務費用(5)賬單管理9.1.2網絡管理功能網絡管理模型定義了網絡管理的框架、方式和方法。在網絡管理中，一般采用管理者——網管代理模型。9.2網絡管理的基本模型網絡管理模型的核心是一對相互通信的系統管理實體。即網絡管理者和(網管)代理。網絡管理系統基本上由4個要素組成：(1)網絡管理者(NetworkManager)(2)網管代理(ManagedAgent)(3)網絡管理協議(NetworkManagementProtocol)(4)管理信息庫(ManagementInformationBase，MIB)9.2網絡管理的基本模型網絡管理者是指實施網絡管理的處理實體，通常駐留在管理工作站上。網管代理是一個軟件模塊，駐留在被管設備上。它的功能是把來自網絡管理者的命令或信息的請求轉換成本設備特有的指令，完成網絡管理者的批示或把所在設備的信息返回到網絡管理者。管理工作站和網管代理者之間通過網絡管理協議通信，網絡管理者進程便是通過網絡管理協議來完成網絡管理。管理信息庫(MIB)是一個信息存儲庫，由系統內的許多被管對象及其屬性組成。9.2網絡管理的基本模型9.3網管協議9.3.1SNMP9.3.2CMIS/CMIP1988年，IAB提出了基于TCP/IP的簡單網絡管理協議SNMP。SNMP是專門設計用于在IP網絡管理網絡節點(服務器、工作站、路由器、交換機及集線器等)的一種標準協議，它是一種應用層協議。SNMP的體系結構分為SNMP管理者和SNMP代理者。SNMP是由一系列協議組和規范組成的，它們提供了一種從網絡上的設備中收集網絡管理信息的方法。9.3.1SNMP從被管理設備中收集數據有兩種方法：一種是輪詢(Polling-Only)的方法，另一種是基于中斷(Interrupt-Based)的方法。輪詢就是網絡管理員通過向代理的管理信息庫發出查詢信號來獲取網絡的通信信息和有關網絡設備的統計信息。這種方法的缺陷在于信息的實時性差，尤其是錯誤的實時性。當有異常事件發生時，基于中斷的方法可以立即通知網絡管理工作站，實時性很強，但這種方法的缺陷在于產生錯誤或者自陷需要系統資源。9.3.1SNMP通常的網絡管理是以上兩種方法的結合——面向自陷的輪詢方法(Trap-DirectedPolling)。一般來說，網絡管理工作站輪詢在被管理設備中的代理來收集數據，并且在控制臺上用數字或者圖形的表示方法來顯示這些數據。被管理設備中的代理可以在任何時候向網絡管理工作站報告錯誤情況，而并不需要等到管理工作站為獲得這些錯誤情況而輪詢它的時候才會報告。SNMP被設計成與協議無關，可以多種傳輸協議上使用，已經成為事實上的標準網絡管理協議。9.3.1SNMPCMIS/CMIP是OSI提供的網絡管理協議簇。CMIS定義了每個網絡組成部分提供的網絡管理服務，這些服務在本質上是很普通的；CMIP則是實現CMIS服務的協議。CMlS/CMIP的功能結構與SNMP很不相同，SNMP是按照簡單和易于實現的原則設計的，而CMIS/CMIP則能夠提供支持一個完整網絡管理方案所需的功能。9.3.2CMIS/CMIPCMIS/CMIP的整體結構是建立在使用ISO網絡參考模型基礎上的，網絡管理應用進程使用ISO參考模型中的應用層。值得注意的是，OSI沒有在應用層之下特別為網絡管理定義協議。9.3.2CMIS/CMIP兩種管理協議的比較：SNMP是Internet組織用來管理TCP/IP互聯網和以太網的，被設計成與協議無關，且實現、理解和排錯簡單，所以受到很多產品的廣泛支持，但安全性較差。CMIP是一個更為有效的網絡管理協議，把更多的工作交給管理者去做，減輕了終端用戶的工作負擔。此外，CMIP建立了安全管理機制，提供授權、訪問控制及安全日志等功能。由于CMIP是由國際標準組織指定的國際標準，因此涉及面很廣，實施起來比較復雜，并且花費較高。9.3.2CMIS/CMIP9.4網絡管理平臺及產品9.4.1HP公司的OpenView9.4.2IBM公司的NetView9.4.3Sun公司的SolsticeEMHPOpenView簡介

OpenView是HP公司的旗艦軟件產品，已成為網絡管理平臺的典范。它集成了網絡管理和系統管理雙方的優點，并把它們有機地結合在一起，形成一個單一而完整的管理系統。OpenView解決方案實現了網絡運作從被動無序到主動有序控制的過渡，使網絡管理部門及時了解整個網絡當前的真實狀況，實現主動控制。OpenView是管理多廠商網絡設備和系統的戰略平臺，通過集成多廠商網絡設備和系統管理產品，為用戶的網絡、系統、應用程序和數據庫管理提供了統一的解決方案。

9.4.1HP公司的OpenViewHPOpenView管理框架HPOpenView管理框架包括以下4個部件：用于網絡管理的網絡結點管理器用于操作和故障管理的IT/Operation用于配置和變化管理的IT/Administration用于資源和性能管理的HPPerfView/MeasureWare和HPNetMerix9.4.1HP公司的OpenViewNetworkNodeManager網絡節點管理器（NNM）是HPOpenView管理框架的基石，是目前開發和發布網絡管理應用的工業標準的網管平臺，也是最終用戶發現、監控和管理TCP/lP網絡的解決方案。NNM可以管理通過IP地址、IPX地址和鏈路層地址發現的網絡設備，能夠運行SNMP、HTTP協議的網絡設備或者Web服務器，并提供顯示網絡實際狀況的視圖。NNM提供了兩種用戶界面：(1)HPOpenViewWindows圖形用戶界面(2)基于Web的界面9.4.1HP公司的OpenViewTME10NetView能夠支持大規模、多廠商網絡環境以及第三方開發的集成應用。TME10NetView能夠發現TCP/IP網絡，顯示網絡拓撲結構，收集與管理事件及SNMP告警信息，監控網絡的運行狀況，收集性能數據。TME10NetView通過對任務關鍵性環境提供擴展性和靈活性以適應大規模網絡管理的需要。9.4.2IBM公司的NetViewNetView具有以下特性：(1)管理異構的、多廠商網絡環境(2)網絡的配置、故障和性能管理(3)動態的設備發現(4)易于使用的用戶界面(5)與關系數據庫系統集成(6)支持眾多第三方應用(7)真正的分布式管理(8)IP監控和SNMP管理(9)多協議監控和管理(10)提供MIB管理工具(11)提供應用開發接口API(12)易于安裝與維護9.4.2IBM公司的NetView和其它同類產品比較，SolsticeEM有一些關鍵的優勢，主要包括：(1)擴展的可伸縮性，以支持對不斷增長的網絡的管理(2)實現基于標準的訪問控制(3)支持可分發的應用程序、服務器及管理協議適配器(4)強大而通用的API，以支持應用程序的二次開發(5)多用戶同時管理的能力(6)被管理資源的位置對應用透明(7)管理協議對應用透明(8)支持事務操作以確保管理數據的完整性，也可支持其它相關的協議標準9.4.3Sun公司的SolsticeEMSolsticeEM管理環境有一個事件驅動的，面向事務的、分布式的、多進程體系結構。它由4個自成體系的部件組成：(1)管理應用(MA)(2)可移植的管理接口(PMI)(3)管理信息服務器(MIS)(4)管理協議適配器(MPA)。每個部件都有一個特定的功能，部件之間通過定義良好的接口來交互9.4.3Sun公司的SolsticeEM9.5網絡掃描與監控9.5.1網絡掃描9.5.2網絡監控網絡安全掃描技術是一種基于Internet遠程檢測目標網絡或者本地主機安全性脆弱點的技術。一次完整的網絡安全掃描可以分為3個階段：第1階段發現目標主機或者網絡。第2階段在發現目標后進一步搜集目標信息，包括操作系統類型、運行的服務以及服務軟件的版本等，如果目標是一個網絡，還可以進一步發現該網絡的拓撲結構、路由設備以及各主機的信息。第3階段則根據搜集到的信息判斷或者進一步測試系統是否存在安全漏洞。9.5.1網絡掃描網絡安全掃描技術包括有:Ping掃射（PingSweep）操作系統探測（OperatingSystemIdentification）如何探測訪問控制規則（Firewalking）端口掃描（PortScan）漏洞掃描（VulnerabilityScan）等這些技術在網絡安全掃描的3個階段中各有體現。Ping掃射用于網絡安全掃描的第1階段，可以幫助我們識別系統是否處于活動狀態。9.5.1網絡掃描操作系統探測、如何探測訪問控制規則和端口掃描用于網絡安全掃描的第2階段，其中：操作系統探測顧名思義就是對目標主機運行的操作系統進行識別；如何探測訪問控制規則用于獲取被防火墻保護的遠端網絡的資料；端口掃描是通過與目標系統的TCP/IP端口連接，并查看該系統是否處于監聽或者運行狀態的服務。網絡安全掃描第3階段采用的漏洞掃描通常是在端口掃描的基礎上，對得到的信息進行相關處理，進而檢測出目標系統存在的安全漏洞。9.5.1網絡掃描端口掃描技術和漏洞掃描技術是網絡安全掃描技術中的兩種核心技術，并且廣泛運用于當前較成熟的網絡掃描器中，如著名的Nmap和Nessus。9.5.1網絡掃描端口掃描的原理

端口掃描向目標主機的TCP/IP服務端口發送探測數據包，并記錄目標主機的響應。通過分析響應來判斷服務端口是打開還是關閉，就可以得知端口提供的服務或者信息。端口掃描也可以通過捕獲本地主機或者服務器的流入流出IP數據包來監視本地主機的運行情況，它僅能對接收到的數據進行分析，幫助我們發現目標主機的某些內在的弱點，而不會提供進入一個系統的詳細步驟。9.5.1網絡掃描常用的端口掃描技術:

(1)全連接掃描(2)半連接掃描(3)其它掃描9.5.1網絡掃描漏洞掃描的原理

漏洞掃描主要通過以下兩種方法來檢查目標主機是否存在漏洞：(1)在端口掃描后得知目標主機開啟的端口以及端口上的網絡服務，將這些相關信息與網絡漏洞掃描系統提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；(2)通過模擬黑客的攻擊手法，對目標主機系統進行攻擊性的安全漏洞掃描，如測試弱勢口令等。若模擬攻擊成功，則表明目標主機系統存在安全漏洞。9.5.1網絡掃描漏洞掃描技術的分類根據其實現方法是否基于漏洞庫可將其大致分為兩大類：(1)基于漏洞庫的漏洞掃描，其漏洞信息是由掃描結果與漏洞庫相關數據匹配比較得到的；(2)沒有相應漏洞庫的各種掃描，比如Unicode遍歷目錄漏洞探測、FTP弱勢密碼探測、OpenRelay郵件轉發漏洞探測等，這些掃描通過使用插件（功能模塊技術）進行模擬攻擊，測試出目標主機的漏洞信息。9.5.1網絡掃描漏洞掃描技術的實現方法

漏洞庫匹配方法是最常見的漏洞掃描實現方法。基于網絡系統漏洞庫的漏洞掃描的關鍵部分就是它所使用的漏洞庫。插件(功能模塊技術)技術是對漏洞庫匹配方法的一個補充。插件是由腳本語言編寫的子程序，掃描程序可以通過調用它來執行漏洞掃描，檢測出系統中存在的一個或者多個漏洞。9.5.1網絡掃描網絡監聽概述網絡監聽工具是網絡安全管理人員進行管理的常用工具，可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。網絡監聽通常在網絡接口處截獲計算機之間通信的數據流。它具有以下特點：(1)隱蔽性強。(2)手段靈活。9.5.2網絡監控網絡監聽原理

對于目前很流行的以太網協議，其工作方式是：將要發送的數據包發往連接在一起的所有主機，包中包含著應該接收數據包主機的正確地址(在局域網中為網卡的物理地址)，只有與數據包中目標地址一致的那臺主機才能接收。但是，當主機工作在監聽模式下，無論數據包中的目標地址是什么，主機都將接收(當然只能監聽經過自己網絡接口的那