計算機網絡管理串講筆記

第1章網絡管理概論

1.1網絡管理的基本概念

［本節要點］網絡管理的基本概念、網絡管理的需求及網絡管理的目

標。

［選擇］在TCP/IP網絡中有一個簡單的管理工具，用它來發送探測

報文，可以確定通信目標的聯通性及傳輸時延。這個管理工具是Ping

程序。

［選擇］國際標準化組織的英文縮寫是ISO。

［選擇］OSI標準采用面向對象的模型定義管理對象。

1.2網絡管理系統的體系結構

［本節要點］網絡管理系統的體系結構、層次結構、配置和網絡管理

軟件的結構；管理站和代理的基本概念及其功能與作用；網絡管理系

統的層次結構與OSI參考模型的關系；分布式網絡管理系統的特點；

委托代理的概念。

［填空］用戶通過網絡管理接口與管理專用軟件交互作用，監視和控

制網絡資源。

［填空］網絡管理軟件包括用戶接口、管理專用軟件和管理支持軟件。

［簡述］網絡管理中被管理的硬件資源：

(1)物理介質和聯網設備：包括物理層和數據鏈路層聯網設備。很

多LAN產品，如集線器、中繼器等，也包含協議適配器、交換機等

通信設備。

(2)計算機設備：包括處理機、打印機和存儲設備以及其他計算機

外圍設備。

(3)網絡互聯設備：如網橋、路由器、網關等。

［選擇］在網絡管理站中最下層是操作系統和硬件。

［選擇］非標準設備需要通過委托代理來管理。

［簡述］各種網絡管理框架的共同特點：

(1)管理功能分為管理站(Manager)和代理(Agent)兩部分。

(2)為存儲管理信息提供數據庫支持，例如關系數據庫或面向對象

的數據庫。

(3)提供用戶接口和用戶視圖(View)功能，例如GUI和管理信息瀏

o

(4)提供基本的管理操作，例如獲取管理信息。

［簡述］集中式網絡管理和分布式網絡管理的區別及其各自的優缺

點：

在集中式網絡管理中，處于中心位置的是擔當管理站的網絡控制主

機，它負責對整個網絡進行統一控制和管理，網絡控制主機定期向網

絡中其它結點發送查詢信息，與之進行相關信息交換。而分布式網絡

管理中，分布式管理系統代替了單獨的網絡控制主機。集中式的優點

是網絡管理系統結構較簡單，容易實現，管理人員可以有效地控制整

個網絡資源，優化網絡性能。缺點是可擴展性差，對于大型網絡力不

從心。分布式的優點是網絡管理的響應時間更快，性能更好。缺點是

管理和維護比較復雜。

［簡述］委托代理：在集中式和分布式網絡管理系統中，每個被管理

的設備都要能運行代理程序，并且所有管理站和代理都支持相同的管

理協議。當有設備不能滿足以上兩點之一的時候，稱之為非標準設備。

對非標準設備，通常是用一個叫委托代理的設備來管理。委托代理和

管理站之間運行標準的網絡管理協議，和被管理設備之間運行制造商

專用的協議。

［簡述］網絡管理系統的層次結構圖：

［選擇］管理支持軟件包括：MIB訪問模塊和通信協議棧。

［選擇］網絡管理系統的管理功能分為管理站和代理兩部分。

［填空］在網絡管理標準中，網絡層以上的協議都稱為應用層協議。

［填空］網絡中至少有一個結點擔當管理站的角色，除NME之外，

管理站中還有一組軟件，叫做網絡管理應用。

［填空］用于網絡管理的協議包括SNMP、CMIP等。

［選擇］大型網絡中，分布式是管理的趨勢。

1.3網絡監控系統

［本節要點］網絡監控系統的配置及通信機制，網絡監控系統功能及

構成，輪詢和事件報告機制的區別及其實現方法。

［選擇］網絡監控主要解決的問題是對管理信息的定義、監控機制的

設計、管理信息的應用。

［選擇］由代理主動發送給管理站消息，這種通信機制叫做事件報告。

［選擇］網絡系統的可靠性與各個網絡元素的可靠性和網絡元素的組

織形式有關。

［填空］根據ISO網絡管理標準體系的規定，配置管理是用來支持網

絡服務的連續性而對管理對象進行的定義、初始化、控制、鑒別和檢

測，以適應系統的要求。

［選擇］代理和監視器之間有兩種通信機制：一種叫做輪詢；一種叫

做事件報告。

［選擇］管理站收集信息的手段是輪詢。

［簡述］MIB：指管理信息庫，對網絡監控有用的管理信息。可以分

為3類：

（I）靜態信息：包括系統和網絡的配置信息。

（2）動態信息：與網絡中出現的事件和設備的工作狀態有關。

（3）統計信息：即從動態信息推導出的信息。

［簡述］輪詢：輪詢是一種請求一響應式的交互作用，即由監視器向

代理發出請求，詢問它所需要的信息值，代理響應監視器的請求，從

它所保存的管理信息庫中取得請求的信息，返回給監視器。

事件報告：事件報告是由代理主動發送給管理站的信息。代理可以根

據管理站的要求（周期、內容等）定時地發送狀態報告，也可以在檢

測到某些特定事件〔例如，狀態改變）或非正常事件時生成事件報告，

發送給管理站。

［選擇］網絡管理功能分為網絡監控和網絡控制兩個部分。

［選擇］對網絡監控有用的管理信息包括靜態信息、動態信息、統計

信息、。

［選擇］監控應用程序是監控系統的用戶接口，它主要完成：性能監

視、故障監視、計費監視等任務。

［填空］傳感器是一組軟件，用于實時地讀取被管理設備的有關參數。

［選擇］靜態數據庫包含配置數據庫和傳感數據庫。

1.4網絡監視

［本節要點］網絡監視的組成，網絡服務可利用性的定義和計算方法,

故障管理的功能模塊。

［簡述］網絡性能管理的主要性能指標及其含義：

（1）可用性：指網絡系統、元素、或應用對用戶可利用的時間的百

分比。

（2）響應時間：指從用戶輸入請求到系統在終端上返回計算結果的

時間間隔。

（3）正確性：網絡傳輸的正確性。

（4）吞吐率：面向效率的指標，表現為一段時間內完成的數據處理的

數量，或接受用戶會話的數量，或處理的呼叫數量。

（5）利用率：指網絡資源利用的百分比。

［簡述］網絡管理的功能域：

網絡管理有5大功能域，分別是性能管理、故障管理、計費管理、配

置管理和安全管理。性能管理、故障管理、計費管理屬于網絡監視功

能，而安全管理、配置管理屬于網絡控制功能。

［選擇］對于一個局域網來說，網絡中各個設備的行為和有關的數據

可以由連接在網絡中的一個專用主機來收集和記錄，這個主機是遠程

網絡監視器。

［填空］在網絡管理中，面向效能的一個性能指標，具體表現為一段

時間內完成的數據處理的數量，或接受用戶會話的數量，或處理的呼

叫的數量，這個指標是吞吐率。

［填空］線路的數據傳輸率為32（）0b/s,如果輸入一條含200個字符

的命令，則輸入命令的延遲時間是0.5s。

［填空］計算機網絡管理任務分為用戶管理、配置管理、性能管理、

故障管理、計費管理、安全管理和其他網絡管理功能。

［簡述］故障監視的作用及功能：

所謂故障就是出現大量或者嚴重錯誤需要修復的異常情況，例如由于

終端死機、線路中斷等無法通信的情況。故障監視就是要盡快地發現

故障，找出故障原因，以便及時采取補救措施。

故障管理可分為3個功能模塊：

（1）故障檢測和報警功能。

（2）故障預測功能。

（3）故障診斷和定位功能。

［選擇］當相對負載（負載/容量）增加到一定程度時，會導致響應

時間迅速增長。

［選擇］網絡故障管理功能包括：故障檢測和報警、故障預測、故障

診斷和定位。

［選擇］性能管理中，對網絡管理有用的性能指標包括：面向服務的

性能指標和面向效率的性能指標。

［選擇］需要計費的網絡資源包括計算機硬件、通信設施、軟件系統、

服務。

1.5網絡控制

［本節要點］網絡控制的組成，網絡配置管理的基本概念，配置管理

包含的功能模塊，計算機網絡的安全需求，危害網絡信息流動的安全

威脅。

［填空］對計算機網絡的安全威脅主要有中斷、竊取、竄改、假冒。

［選擇］在計算機網絡中，信息資源只能由授予訪問權限的用戶讀取,

這種安全需求稱為保密性。

［簡述］配置管理的作用及功能：

配置管理的作用包括確定設備的地理位置、名稱和有關細節，記錄并

維護設備參數表；用適當的軟件設置參數值和配置設備功能；初始化、

啟動、關閉網絡或網絡設備；維護、增加、更新網絡設備以及調整網

絡設備之間的關系等。配置管理可分為7個功能模塊:

（1）定義配置信息。

（2）設置和修改設備屬性。

（3）定義和修改網絡元素間的互聯關系。

（4）啟動和終止網絡運行。

（5）發行軟件。

（6）檢查參數值和互聯關系。

（7）報告配置現狀。

［填空］網絡管理中的安全管理是指保護管理站和代理之間信息交換

的安全。

［選擇］計算機網絡受到的安全威脅主要包括對計算機和網絡的保密

性、數據完整性和可用性的破壞。

［填空］網絡控制指的是設置和修改網絡設備的參數，使設備、系統

和子網改變運行狀態、按照需要配置網絡資源，或者重新初始化。

［簡述］計算機和網絡需要的安全性：

（1）保密性：計算機中的信息只能由授予訪問權限的用戶讀取（包括

顯示、打印等，也包含暴露信息存在的事實）。

（2）數據完整性：計算機系統中的信息資源只能被授予權限的用戶

修改。

（3）可用性：具有訪問權限的用戶在需要時可以利用計算機網絡中

的信息資源。

［選擇］對計算機網絡的安全威脅包括：對硬件、軟件、數據、網絡

通信的威脅。

［選擇］網絡管理的安全威脅包括：偽裝的用戶、假冒的管理程序、

侵入管理站和代理間的信息交換過程。

［簡述］信息流被危害的情況：

(1)中斷：通信被中斷，信息變得無用或者無法利用，這是對可用

性的威脅。(2)竊取：未經過授權的入侵者訪問了網絡信息資源，這

是對保密性的威脅:(3)竄改：未經授權的入侵者不僅訪問了信息資

源，而且竄改了信息，這是對數據完整性的威脅。(4)假冒：未經授

權的入侵者在網絡信息中加入了偽造的內容，這也是對數據完整性的

威脅。

［選擇］網絡安全的保密性指的是計算機中的信息只能由授予訪問權

限的用戶讀取。

第2章抽象語法表示ASN.1

2.1網絡數據表示

［本節要點］網絡數據的表示及表示層的功能。

［選擇］表示層的功能是提供統一的網絡數據表示。

［填空］抽象語法用于定義應用數據，它類似于通常程序設計語言定

義的抽象數據類型。

［選擇］傳輸語法是一種編碼規則，作用是把抽象數據變成比特串在

網絡中傳送。

2.2ASN.1的基本概念

［本節要點］ASN.1的基本概念，抽象數據類型。

［填空］在ASN.1的定義里，構造類型有序列和集合兩種。

［填空］在ASN.1中，每個數據類型都有一個標簽。

［選擇］標簽的類型分為通用標簽、應用標簽、上下文標簽、私有標

簽。

［選擇］ASN.1定義的數據類型包括：簡單類型、構造類型、標簽類

型、其他類型。

［簡述］ASN.1：ASN.1是一種形式語言，它提供統一的網絡數據表

示，通常用于定義應用數據的抽象語法和應用層協議數據單元的結

構。在網絡管理中，無論是OSI的管理信息結構，或是SNMP管理

信息庫，都是用ASN.1定義的。

［填空］SEQUENCE(OF)是構造類型。

2.3基本編碼規則

［本節要點］基本編碼規則及編碼方法；基本編碼規則的結構；用

TLV規則表示簡單類型的方法及對標簽值和長度字段擴充的方法。

［填空］基本編碼規則把ASN.1表示的抽象類型值編碼為字節串，

這種字節串的結構為類型-長度-值。例如：基本編碼規則可將字節串

值ACE編碼為0402ACE0。

［填空］ASN.1表示的抽象類型值編碼為字節串時，編碼的第一個字

節表示ASN.1類型或用戶定義類型，第三位用于區分簡單類型和構

造類型。例如：按編碼規則，十進制數256的編碼為02020100,比

特串10111的編碼為()302()3B8,字節串ABC的編碼為0402ABC0。

［簡述］基本編碼規則中需要擴充字段的情況：

一是當標簽值大于30時類型字節需要擴充，二是當值部分大于一個

字節的表示范圍時長度字節需要擴充。對標簽值的擴充方法為：用5

位表示。?30的編碼，當標簽值大于等于31時，這位置全1,作為

轉義符，實際的標簽值編碼表示在后續字節中，后續字節的左邊第一

位表示是否為最后一個擴充字節，只有最后一個擴充字節的左邊第一

位置()，其余擴充字節左邊第一位置1.對長度字節的擴充方法是：小

于127的數用長度字節的右邊7位表示，最左邊的一位置0,大于等

于127的數用后續若干字節表示，原來的長度字節第一位置1,其余

7位指明后續用于表示長度的字節數。

［簡述］ASN.1的基本編碼規則：

基本編成規則是把ASN.1表示的抽象類型值編碼成為字節串，這種

字節串的結構為類型一長度一值，簡稱TLV。編成的第一個字節表示

ASN.1類型或用戶定義的類型，其前兩位用于區分4種標簽，第三位

區分簡單類型和構造類型，其余5位表示標簽的值。如果標簽的值大

于30,則這5位為全1,標簽值表示在后續字節中。

2.4ASN.1宏定義

［木節要點］ASN.1定義模塊及ASN.1宏定義的結構。

［簡述］宏定義的組成部分：

宏定義由3個部分組成：①類型表示(TYPENOTATION):②值表示

(VALUENOTATION);③支持產生式。這3個部分都由Backus-

Naur范式說明。宏定義的主要作用是：宏定義可以看做是類型的類

型，或者說是超類型，也可以把宏定義看做是類型的模板，可以用這

種模板制造出形式相似，語義相關的多種數據類型。

第3章管理信息庫MIB-2

3.1SNMP的基本概念

［本節要點］SNMP的基本概念；TCP/IP網絡管理框架的定義；簡

單網絡管理協議體系結構。

［選擇］SNMP由兩部分組成：一部分是管理信息庫結構的定義，另

一部分是訪問管理信息庫的協議規范。

［填空］TCP指的是端系統之間的協議，其功能是保證端系統之間可

靠地發送和接收數據，并給應用進程提供訪問端口。

［選擇］委托代理和管理站之間按SNMP協議通信，而與被管理設

備之間則按專用的協議通信。

［選擇］與OSI分層的原則不同，TCP/IP協議簇允許同層協議實體

之間相互作用，從而實現復雜的控制功能，也允許上層過程直接調用

不相鄰的下層過程。

［選擇］SNMP定義為應用層協議，它依賴于的服務是UDP。

［選擇］SNMP要求所有的代理設備和管理站都必須實現TCP/IP協

議。

［填空］UDP提供面向無連接的傳輸服務，TCP提供面向連接的傳

輸服務。

［填空］Internet的核心傳輸協議是TCP/IP。

［填空］SNMP屬于的協議簇是TCP/IP。

［填空］SNMP是應用層協議。

［選擇］網關：是一臺用于解釋地址的計算機。

［簡述］SNMP協議支持的服務原語及其作用：

Get檢索數據，Set改變數據，GetNext提供掃描MIB樹和連續檢索

數據的方法，Trap提供從代理進程到管理站的異步報告機制。這些原

語用于管理站和代理之間的通信，以便查詢和改變管理信息庫中的內

容。

［簡述］TCP/IP體系結構中的協議數據單元結構：

［簡述］陷入(Trap)輪詢制導過程:

管理站啟動時，或每隔一定時間，用Get操作輪詢一遍所有代理，以

便得到某些關鍵信息或基本的性能統計參數。一旦得到了這些基本數

據，管理站就停止輪詢，而由代理進程在必要時向管理站報告異常事

件，這些情況都是由陷入操作傳送給管理站的。得到異常事件的報告

后，管理站可以查詢有關代理，以便得到更具體的信息，對事件的原

因做進一步的分析。

3.2MIB結構

［本節要點］MIB結構及M1B中的數據類型；管理信息結構的定義。

［填空］MIB由一系列對象組成，每個對象屬于一定的對象類型，并

且有一個具體的值。

［選擇］對象類型的定義是一種語法描述，對象實例是對象類型的具

體實現。

［選擇］在Internet中，對網絡、設備和主機的管理叫做網絡管理，

網絡管理信息存儲在管理信息庫MIB中。

［簡述］Internet下面4個節點所包含的信息：

directory(1)節點是為OSI的目錄服務使用的。

mgmt⑵包括由IAB批準的所有管理對象。

experimental(3)用來標識在互聯網上實驗的所有管理對象。

private(4)為私人企業管理信息準備。如ABC公司向Internet編碼

機構申請注冊，并得到一個代碼100。該公司為他的令牌環適配器賦

予代碼為25,這樣對象標識符就是1.3.6.1.4.1.100.250

［綜合］SNMP環境中的所有管理對象組織成分層的樹結構的作用：

(1)表示管理和控制關系。上層的中間結點是某些組織機構的名字,

說明這些機構負責它下面的子樹信息的管理和審批。

(2)提供了結構化的信息組織技術。下層的中間結點代表的子樹是

與每個網絡資源或網絡協議相關的信息集合。例如，有關IP協議的

管理信息都放置在ip(4)子樹中。這樣沿著樹層次訪問相關信息就

很方便。

(3)提供了對象命名機制，樹中每個結點都有一個分層的編號。葉

子節點代表實際的管理對象，而從樹根到樹葉的編號串聯起來，用圓

點隔開，就形成了管理對象的全局標識。例如，internet的標識符是

1.3.6.1,或者寫成｛iso(l)org(3)dod(6)l｝。

例如：MIB樹狀結構如圖所示：

則：

(I)由ISO代管的中間結點是org(3)。

(2)UDP接點在mib?2結點下面，UDP對象標識符是1.361.2.7。

(3)若UDP子樹下面某個對象分配的子樹號為3,該對象的標識符

是1.3.6.1.2.7.3o

(4)類似于IBM公司這樣的企業，可以在enterprises結點下得到分

配的一棵子樹。

(5)IBM公司產品的對象標識符的前綴是1.3.6.1.4.1.2o

［選擇］SNMP環境中的所有管理對象組織成分層的樹結構。

［填空］SNMP的對象的定義是用ASN.lo

［選擇］MIB層次樹結構中有3個作用，樹中每個結點都有一個分層

的編號。

［選擇］SNMPMIB的定義最初的說明定義在RFC1155o

［填空］MIB-2只包括那些被認為是必要的對象，在MIB-2的結構

中，Internet下面為OSI目錄服務的結點是directory。），Internet下面

子樹用來標識在互聯網上實驗的所有管理對象的結點是

experimental。），Internet下面包括由IAB批準的所有管理對象的結點

是mgmt（2）o

［選擇］RFC1213定義了管理信息庫的版本號為2。

［選擇］計數器類型是一個非負整數，其值可增加，不可減少。

3.3標量對象和表對象

［本節要點］對象標識符和對象實例標識符的區別，標量對象和表對

象實例的表示方法；對象標識符的詞典順序。

［填空］SMI只存儲標量和二維數組，后者叫做表對象。

［簡述］對象的順序對網絡管理的作用：

對象的順序對網絡管理是很重要的，因為管理可能不知道代理提供的

MIB組成，所以管理站要用某種手段搜索MIB樹，在不知道對象標

識符的情況下，訪問對象的值，例如：為檢索一個表項，管理站可以

連續發出Get操作，按詞典順序得到預定的對象實例。

［簡述］對象：由對象標識符表示；對象標識符是整數序列，這種序

列反映了該對象在MIB中的邏輯位置，同時表示了一種辭典順序。

我們只要按照一定的方式（如，中序）遍歷MIB樹，就可以排出所

有對象及其實例的詞典順序。

［選擇］表中標量對象叫作列對象。

［填空］表和行對象沒有實例標識符，SNMP不能訪問他們，其訪問

特性為not-accessible。

［填空］在MIB數據類型中，對象標識符的數據類型名是OBJECT

IDENTIFIERo

［填空］TCP連接表的索引組成元素個數是4。

3.4MIB-2功能組

［本節要點］MIB.2功能組中的各個分組及各分組在網絡管理中的作

用。

［選擇］MIB-2功能組中，接口組包含主機接口的配置信息和統計信

息。

［選擇］MIB-2功能組中，IP組提供了與IP協議有關的信息。

［選擇］MIB.2功能中，EGP組提供了關于EGP路由器發送、接收

的EGP報文的信息以及關于EGP鄰居的詳細信息等。

［填空］MIB-2功能組的接口組中，如果對象ifAdminStatus的值為

up(1)而ifOperStatus的值為down(2),這表示該接口的狀態是故

障。

［填空1如果對象ifAdminStatus的值為up(1)且ifOperStatus的值

為up(1),這表示該接口的狀態是正常。

［填空］如果對象ifAdminStatus的值為down(2)且ifOperStatus的

值為down(2),這表示該接口的狀態是停機。

［簡述］MIB-2管理對象的組成：

(1)系統組，提供了系統的一般信息。

(2)接口組，包含關于主機接口的配置信息和統計信息。

(3)地址轉換組，包含一個表，該表的一行對應系統的一個物理接

口，表示網絡地址到接口的物理地址的映象關系。

(4)IP組，提供了與IP協議有關的信息。

(5)ICMP組，是IP的伴隨協議，所有實現IP協議的結點都必須實

現ICMP協議。

(6)TCP組，包含于TCP協議的實現和操作有關的信息。

(7)UDP組類似于TCP組。

(8)EGP組，提供了關于EGP路由器發送和接收的EGP報文的信

息，以及關于EGP鄰居的詳細信息等。

(9)傳輸組，對各種傳輸介質提供詳細的管理信息。

第4章簡單網絡管理協議

4.1SNMP的演變

［本節要點］SNMP3個版本的區別及應用情況。

［選擇］SNMP協議的實現是基于人們熟悉的SGMPo

［選擇］子類繼承超類的操作同時又對繼承的操作進行了特別的修

改，這樣不同的對象類對同一操作做出不同的響應，這種特性稱為多

態性。

［選擇］RFC1157給出了SNMPvl的規范。

［選擇］SNMPvl的安全機制是驗證團體名。

［選擇］SNMPv3不僅在SNMPV2的基礎上增加了安全和高層管理

功能，而且能和以前的標準兼容，便于擴充新的模塊。

［選擇］SNMP協議開發和成熟的過程長達1()年，期間產生的版本

數是3。

［填空］為了修補SNMP的安全缺陷，提出了新的標準S-SNMP,采

用MD5保證數據完整性和進行數據源認證。

4.2SNMPV1協議數據單元

［本節要點］SNMPvl支持的操作類型；衣文的發送和接收過程。

［填空］SNMP共有5種管理操作。

［簡述］SNMP支持的操作：

SNMP僅支持對管理對象值的檢索和修改等簡單操作。SNMP實體可

以對MIB-2中的對象執行下列操作：Get,管理站用于檢索管理信息

庫中標量對象的值；Set,管理站用于設置管理信息庫中標量對象的

值；Trap,代理用于向管理站報告管理對象的狀態變化。

［填空］SNMP報文的3個組成部分：版本號、團體名、協議數據單

713?

［選擇］SNMPvl中，管理站不能一次性訪問一個子樹。

［填空］SNMPvl中，nap報文不需要應答。

［填空］SNMP報文在管理站和代理之間傳送，包含GetRequest.

GetNextRcquest和SetRequest的報文由管理站發出，代理以

GetResponse響應。

［簡述］生成和發送SNMP報文的過程；

首先是按照ASN.1的格式構造PDU,交給認證進程。認證進程檢查

源和目標之間是否可以通信，如果通過這個檢查則把有關信息組裝成

報文。最后經過BER編碼，交傳輸實體發送出去。生成和發送過程

如下圖所示：

［簡述］接收和處理SNMP報文的過程：

首先是按照BER編碼恢復ASN.1報文，然后對報文進行語法分析、

驗證版本號和認證信息等。如果通過分析和驗證，則分離出協議數據

單元，并進行語法分析，必要時經過適當處理后返回應答報文。在認

證檢驗失敗時可以生成一個陷入報文，向發送站報告通信異常情況。

無論何種檢驗失敗，都丟棄報文。接收處理過程如下圖所示：［選擇］

在SNMP管理中，管理站和代理之間交換的管理信息構成了SNMP

報文。

［選擇］SNMPv2對SNMPvl增加了安全方面的功能。

4.3SNMPvl的操作

［本節要點］檢索簡單對象和檢索未知對象的方法，表的更新和刪除

操作，陷入操作。

［簡述］檢索簡單對象時，根據GetResponse操作的原子性，如果所

有請求的對象值可以得到，則給予應答;反之，只要有一個對象的值

得不到，則可能返回下列錯誤條件：

（1）變量綁定表中的一個對象無法與MIB中的任何對象標識符匹配,

或者要檢索的對象是一個數據塊，沒有對象實例生成。在這些情況下,

響應實體返回的GetResponsePDU中錯誤狀態字段置為

noSuchName,錯誤索引設置為一個數，指明有問題的變量。變量綁

定表中不返回任何值。

（2）響應實體可以提供所有要檢索的值，但是變量太多，一個峋應

PDU裝不下，這往往是由下層協議數據單元大小限制的。這時響應

實體返回一個應答PDU,錯誤狀態字段置為tooBig。

（3）由于其他原因（例如，代理不支持）響應實體至少不能提供一

個時象的值，則返回的PDU中錯誤狀態字段置為genError,錯誤索

引置一個數，指明有問題的變量。變量綁定表中不返回任何值。

［選擇］在WindowsNT中,陷入服務程序為snmptrap.exeo

［填空］在SNMP中，對管理方發出的GetRequest命令，代理方以

GetResponse回答。

［選擇］SNMPvl操作中檢索簡單對象所用的命令是GetRequest,

檢索未知對象所用的命令是GetNextRequesto

［填空］在SNMPvl的操作中，如果要刪除表中的行，行的所有者

發出SetRequestPDU,把行的狀態假設有一個LAN,每20min輪詢所

有被管理設備一次，管理報文的處理時間是50ms,網絡延遲為1ms,

單個輪詢需要的時間為0.202s,則管理站最多可支持的設備數是

6000o

［選擇］GetNextRequest與GetRequest只有一個差別，GetRequest

檢索變量名所指的是對象實例，而GetNextRequest檢索變量名所指的

是下一個對象實例。

［綜合］考察知識點：如何檢索簡單對象，如何檢索未知對象及如何

檢索表對象。檢索簡單的標量對象用Get操作，如下圖所示:

udp(inib-27)

-----udplnD怎grams⑴接收的數據報總數100

-----i】dpNcPcrt*(2)無應用端口的數據報數1

-----出錯數據報數2

-----udpOutr)atagranis(4)^出數據報數200

-----udpTable(5)

我們可以在檢索命令中直接指明對象實例的標識符：GetRequest

(udpIndatagrams.O,udpNoPorts.O,udpInErrors.O,udpOutDatagrams.O),

可以預期得到下面的響應：GetResponse

(udpIndatagrams.O=100,udpNoPorts.0=1,udpInErrors.0=2,

udpOutDatagrams.0=200)o而GetNext命令用于檢索變量名指示的下

一個對象實例。如上圖，我們發出命令：GetNextRequest

(udpInDatagrams.2)，得到的響應是：GetResponse(udpNoPorts.O=1),

GetNext可用于有效地搜索表對象。如下圖所示：

interfaces(niid-22)mib-2=1.3.6.121

ifNunibcr(l)

UTable(2)

ifEntry(l)

inndex(l)

ifDescr(2)

訐1*(3)

ilSpeed(5)

我們發出下面的命令，檢索ifNUmber的值：GetRequest

(1.3.6.1.2.121.0),GetResponse(2)。例如：對于MIB-2ip組:

ij)A(k1rTabkK'l.3.6.1.2.1.1.20)

I_______ipAdch'EntiyCD

ipAdELnAddrfn203.100.100.1

ipAdEtnl±lndex(2)10

ipAdEmNetJlask(3)25R.255.2F)5.128

ipAdEmUcastAddr(4)8

ipAdEtn塊sainM疲kSizaR)5

如要發現它的MIB結構，則需要發出請求：GetNextRequest

(ipAddrTable)預期得至U的響應：GetResponse

(ipAdEtnAddr.203.100.100.1=203.100.100.1)；如用get檢索上圖的5

個值，則應發出請求：GetRequest

(ipAdEtnAddr.203.100.100.1,ipAdEtnIfIndex.203.100.100.1jpAdEtnN

etMask.203.10().100.1,ipAdEtnBcastAddr.2O3.1()0.1()0.1JpAdEtnResam

MaskSize.203.100.100.1),預期得到的響應：GetResponse

(ipAdEtnAddr.203,100.100.1=203.100.100.1,ipAdEtnIflndex.203.100.1

00.1=10,ipAdEtnNetMask.2O3.100.100.1=255.255.255.128,ipAdEtnBcas

tAddr.203.100.100.1=8，ipAdEtnResamMaskSize.203.100.100.1=5)；如

用get-next檢索上圖的5個值，則應發出請求：getNextRequest

(ipAdEtnAddr,ipAdEtnIfIndex,ipAdEtnNetMask,ipAdEtnBcastAddr,ip

AdEtnResamMaskSize)預期得至ij的響應：GetResponse

(ipAdEtnAddr.203,100.100.1=203.100.100.1,ipAdEtnIflndex.2O3.100.1

00.1=10,ipAdEtnNetMask.203.100.100.1=255.255.255.128,ipAdEtnBcas

tAddr.203.100.100.1=8,ipAdEtnResamMaskSize.203.100.100.1=5)o

［選擇］陷入是由代理向管理站發出的異步事件報告，不需要應答報

文。

4.4SNMP功能組

［本節要點］SNMP功能組對象的含義及在網絡管理中的作用。

［簡述］排除代理產生的“認證失效”陷入的方法：

SNMP組包含的信息關系到SNMP協議的實現和操作。這一組共有

30個對象。在支持SNMP站管理功能或只支持SNMP代理功能的實

現中，有些對象是沒有值的。除最后一個對象，這一組的其他對象都

是只讀的計數器。對象snmpEnableAuthenTrap可以由管理站設置，

它指示是否允許代理產生“認證失效”陷入，這種設置優先于代理自

己的配置。這樣就提供了一種可以排除所有認證失效陷入的手段。

4.5實現問題

［本節要點］管理站的功能；影響輪詢頻率的因素及計算輪詢頻率的

方法；SNMPvl的局限性。

［綜合］考察知識點：輪詢頻率；為了能掌握網絡的最新動態，需要

一種能提高網絡管理性能的輪詢策略，以決定合適的輪詢頻率。通常

輪詢頻率與網絡的規模和代理的多少有關。表示為不等式：N^T/A,

其中:N=被輪詢的代理數；T二輪詢間隔；△二單個輪詢需要的時間。

其中△又與許多因素有關。例如：假設有一個LAN,每l()min輪詢

所有被管理設備一次，管理報文的處理時間是15ms,網絡延遲為1ms,

沒有產生明顯的擁擠，單個輪詢需要的時間大約是0.202s：根據計算

公式NWT/A=10X60/0.202=2970。管理站最多支持2970個設備。如

果網絡延遲達到0.5min,單個輪詢需要的時間大約是0.202s,根據公

式N^T/A=10X60/1.2=500,管理站最多管理500個設備。

［選擇］SNMP網絡管理中，一個管理站可以管理多個代理。

［簡述］在SNMPvl中管理站主要靠輪詢收集信息。輪詢頻率與網

絡規模和代理的多少有關；為使問題簡化，管理站和代理之間輪詢采

用請求/響應工作形式；若被輪詢的代理數為3000,單個輪詢需要的

時間為0.306秒，則輪詢間隔時間的計算過程為：T=NXA=3000X

0.306=918so

［簡述］SNMPvl的局限性：

(1)由于輪詢的性能限制，SNMP不適合管理很大的網絡，輪詢產

生的大量管理信息，傳送可能引起網絡響應時間的增加。

(2)SNMP不適合檢索大量數據，例如，檢索整個表中的數據。

（3）SNMP的陷入報文是沒有應答的，管理站是否收到陷入報文，

代理不得而知。這樣可能丟失重要的管理信息。

（4）SNMP只提供簡單的團體名認證，這樣的安全措施是不夠的。

（5）SNMP并不支持向被管理設備發送命令。

（6）SNMP的管理信息庫MIB-2支持的管理對象是很有限的，不足

以完成復雜的管理功能。

（7）SNMP不支持管理站之間的通信，而這一點在分布式網絡管理

中是很需要的。

4.6SNMPv2管理信息結構

［本節要點］對象、表的定義，表的相關操作，SNMPv2MIBo

［選擇］SNMPv2把表分為兩類：禁止刪除和生成行的表以及允許刪

除和生成行的表。

［選擇］SNMPv2sMi引入的關鍵概念有對象的定義、概念表、通知

的定義、信息模塊。

［填空］SNMPv2增加的兩種數據類型是Unsigned32、Counter64o

［選擇］在SNMPv2中，包含的對象與管理對象的控制有關的組是

MIB對象組。

［填空］SNMPv2中的接收地址表，包含廣播地址、組播地址、單地

址。

［選擇］SNMPv2的5種訪問級別由大到小排列是

read-create,read-write,read-only,accessible-for-notify,not-accessibleo

［填空］在對表的操作中，管理站生成一個概念行實例，但不會自動

變成active,狀態列應取createAndWaito

4.7SNMPv2協議數據單元

［本節要點］SNMPv2協議數據單元，SNMPv2報文，管理站之間的

通信。

［簡述］SNMPv2的3種檢索操作過程：

(1)GetRequestPDU：檢索時，按照以下規則對變量綁定表中的各

個變量進行處理：若該變量的對象標識符前綴不能與這一請求可訪問

的任何變量的對象標識符前綴匹配，則返回一個錯誤值

noSuchObject；若變量名不能與這一請求可訪問的任何變量名完全匹

配，則返回一個錯誤值noSuchlnstanceo這種情況可能出現在表訪問

中：訪問了不存在的行，或正在生成中的表行等；如果不屬于以上情

況，則在變量綁定表中返回被訪問的值；如果由于任何其他原因而處

理失敗，則返回一個錯誤狀態genErr,對應的錯誤索引指向有問題的

變量；如果生成的響應PDU太大，超過了本地的或請求方的最大報

文限制，則放棄這個PDU,構造一個新的響應PDU；其錯誤狀態為

tooBig,錯誤索引為0,變量綁定表為空。

(2)GetNextRequestPDU：SNMPv2按照下面規則處理getNextPDU

變量綁定表中的每一個變量：對變量綁定表中指定變量在MIB中查

找按照詞典順序的后繼變量，如果找到，返回該變量的名字和值；如

果找不到按照詞典順序的后繼變量，則返回請求PDU中的變量名和

錯誤值endOfMibView；如果出現其他情況使得構造響應PDU失敗，

以與GetRequest類似的方式返回錯誤值。

(3)GetBulkRequestPDU：檢索過程：假設GetBulkRequestPDU變

量綁定表中有L個變量，該PDU的“非重復數”字段的值為N,則

對前N個變量應各返回一個詞典后繼，再設請求PDU的“最大后繼

數”字段的值為M,則對其余的R=L-N個變量應該各返回最多M

個詞典后繼。如果可能，總共返回N+RXM個值，如果在任何一步

查找過程中遇到不存在后繼的情況，則返回錯誤值endOfMibView。

［簡述］SNMPv2訪問管理信息的方法：

(1)管理站和代理之間的請求/響應通信。

(2)管理站和管理站之間的請求/響應通信。

(3)代理系統到管理站的非確認通信，即由代理向管理站發送陷入

報文，報告出現的異常情況。

［選擇］SNMPv2增加的管理站之間的通信機制是分布式網絡管理所

需要的功能特征。

4.8SNMPv3

［本節要點］SNMPv3管理框架，SNMP引擎，SNMP管理站和代理,

USM、VACM模型。

［選擇］SNMPv3中SNMP引擎和SNMP實體之間的關系是一對一。

［選擇］SNMPv3把對網絡協議的安全分為兩類：主要威脅和次要威

脅兩類。主要威脅包括：修改信息和假冒；次要威脅包括：修改報文

流和消息泄露；不必要防護的威脅：拒絕服務和通信分析。

［填空］SNMP引擎提供的服務有：發送和接收報文，認證和加密報

文，控制對管理對象的訪問。

［填空］RFC2574把安全協議分為3個模塊：

（1）時間序列模塊：提供對報文延遲和重放的防護。

（2）認證模塊：提供完整性和數據源認證。

（3）加密模塊：防止報文內容的泄露。

［填空］DES加密標準是在56位密鑰的控制下，將每64位為一個單

元的明文變成64位的密碼文。

［選擇］SNMP引擎提供的服務：發送和接收報文、認證和加密報文、

控制對管理對象的訪問。

［簡述］SNMP引擎結構包括：

（1）一個調度器。功能：（a）向/從網絡中發送/接收SNMP報文。（b）

確定SNMP報文的版本，并交給相應的報文處理模塊處理。（c）為

接收PDU的SNMP應用提供一個抽象的接口。（d）為發送PDU的

SNMP應用提供一個抽象的接口。

（2）一個報文處理子系統。功能：（a）按照預定的格式準備要發送

的報文。（b）從接收的報文中提取數據。（c）安全子系統的功能。

（3）一個安全子系統。功能：提供安全服務。

（4）一個訪問控制子系統。功能：提供授權服務，即確定是否允許

訪問一個管理對象，或者是否可以對某個管理對象實施特殊的管理操

作。

［填空］某些未經授權的實體改變了進來的SNMP報文，企圖實施

未經授權的管理操作，或者提供虛假的管理信息，這稱為修改信息。

［簡述］基于用戶的安全模型可以防護的安全威脅有如下幾種：

（1）修改信息：就是某些未經授權的實體改變了進來的SNMP報文,

企圖實施未經授權的管理操作，或者提供虛假的管理對象。

（2）假冒：即未經授權的用戶冒充授權用戶的標識，企圖實施管理

操作。

（3）修改報文流：由于SNMP協議通常是基于九連接的傳輸服務，

重新排序報文流、延遲或重放報文的威脅都可能出現。這種威脅的危

害性在于通過報文流的修改可能實施非法的管理操作。

（4）消息泄露：SNMP引擎之間交換的信息可能被偷聽。

（5）拒絕服務：在很多情況下拒絕服務和網絡失效是無法區別的。

（6）通信分析：即由第三者分析管理實體之間的通信規律，從而獲

取必要的信息。

第5章遠程網絡監控

5.1RMON的基本概念

［本節要點］RMON的基本概念；遠程網絡監控的目標；多管理站

訪問中出現的問題及其解決辦法。

［選擇］在RMON規范中增加了兩種新的數據類型，它們是

OwnerString和EntryStatuSo其主要的目的是增強規范的可讀性。

［選擇］RMON擴充了SNMP的管理信息庫，可以提供有關互聯網

管理的主要信息，在不改變SNMP協議的條件下增強網絡管理的功

能。

［選擇］遠程網絡監控是對SNMP標準的重要補充，是簡單網絡管

理向互聯網管理過渡的重要步驟。

［選擇］RMON的目標是監視子網范圍內的通信，從而減少管理站

和被管理系統之間的通信負擔。

［選擇］RMON規范在不修改、不違反SNMP管理框架的前提下提

供了明晰而規律的行增加和行刪除操作。

［填空］RMON規范中的表結構由控制表和數據表兩部分組成。

［選擇］在RMON中網絡監視器的作用是監控被管設備。

［填空］通常用于監視整個網絡通信情況的設備叫做網絡監視器或者

網絡分析器、探測器等。

［簡述］RMON控制表中的列對象Owner規定的表行所屬關系，可

以解決下列問題：

（1）管理站能認得自己所屬的資源，也知道自己不再需要的資源。

（2）網絡操作員可以知道管理站占有的資源，并決定是否釋放其他

操作員保有資源。

（3）一個被授權的網絡操作員可以單方面地決定是否釋放其他操作

員保有的資源。

（4）如果管理站經過了重啟動過程，它應該首先釋放不再使用的資

源。

［簡述］當多個管理站并發訪問RMON監視器時，可能出現的問題:

（1）多個管理站對資源的并發訪問可能超過監視器的能力。

（2）一個管理站可能長時間占用監視器資源，使得其他站得不到訪

問。

(3)占用監視器資源的管理站可能崩潰，然而沒有釋放資源。

［簡述］遠程網絡監控的目標：

RMON定義了遠程網絡監控的管理信息庫，以及SNMP管理站與遠

程監視器之間的接口。有下列目標：

(1)離線操作：必要時管理站可以停止對監視器的輪詢，有限的輪

詢可以節省網絡帶寬和通信費用。

(2)主動監視：如果監視器有足夠的資源、通信負載也容許，監視

器可以連續地或周期地運行診斷程序，收集并記錄網絡性能參數。

(3)問題檢測和報告：如果主動檢測消耗網絡資源太多，監視器可

以被動地獲取網絡數據。

(4)提供增值數據：監視器可以分析收集到的子網數據，從而減輕

了管理站的計算任務。

(5)多管理站操作：一個互聯網可能有多個管理站，這樣可以提高

可靠性，或者分布的實現各種不同的管理功能。

［簡述］管理站用Set命令在RMON表中新增加行遵循的規則：

(1)管理站用SetRequesl生成一個新行，如果新行的索引值與表中

其它行的索引值不沖突，則代理產生一個新行，其狀態對象的值為

createRequest(2)。

(2)新行產生后，由代理把狀態對象的值置為underCreation(3)。對

于管理站沒有設置新值的列對象，代理可以置為默認值，或者讓新行

維持這種不完整、不一致狀態，這取決于具體的實現。

(3)新行的狀態值保持為underCreation(3),直到管理站產生了所有

要生成的新行。這時由管理站置每一新行狀態對象的值為valid（Do

（4）如果管理站要生成的新行已經存在，則返回一個錯誤。

5.2RMON的管理信息庫

［本節要點］RMON的管理信息庫；與以太網統計信息收集有關的

功能組及其在網絡管理中的應用；報警對象的作用及警報的工作原

理，包捕獲和事件記錄。

［選擇］統計組提供一個表，該表每一行表示一個子網的統計信息。

其中的大部分對象是計數器，記錄監視器從子網上收集到的各種不同

狀態的分組數。

［選擇］通道的定義是一組過濾器。

［填空］關于RMON的增量警報方式，如果上升門限是30,按雙重

采樣規則，每5秒觀察一次，有：

時間（秒）05101520

觀察的值（）12172033

則產生報警事件的時間是15。

［選擇］在RMON-1中，與以太網統計信息有關的功能組是歷史組

（history）,與以太網統計信息無關的功能組是警報組⑶arm）。

［選擇］RMON警報規則的作用是避免信號在門限附近波動時產生

許多報警。

［選擇］下降警報規則通常形象的稱為hysteresis機制。

［填空］當某個接口上有新的主機加入時，SNMP管理站可以通過查

詢RMON主機組中的hostTimeTable獲得。

［選擇］對于RMON的管理信息庫，以太網的統計信息包括的分組

有：統計組、歷史組、主機組、最高N臺主機組、矩陣組。

［簡述］RMON警報定義中，行生效后產生警報的條件是：

(1)risingAlarm(l):第一個采樣值2上升門限。

(2)fallingAlarm(2)：第一個采樣值W下降門限。

(3)risingOrFallingAlarm(3)：第一個采樣值2上升門限或W下降門

限。

［簡述］警報組定義的報警機制：

(1)如果行生效后的第一個采樣值W上升門限，而后來的一個采樣

值變得2上升門限，則產生一個上升警報。

(2)如果行生效后的第一個采樣值2上升門限，且

alarmStartupAIarm=lor3,則產生一個上升警報。

(3)如果行生效后的第一個采樣值2上升門限，且

alarmStartupAlarm=2,則當采樣值落回上升門限后又變得》上升門限

時產生一個上升警報。

(4)產生一個上升警報后，除非采樣值落回上升門限到達下降門限,

并且又一次到達上升門限，否則將不再產生上升警報。對下降警報的

規則是類似的。這個規則的作用是避免信號在門限附近波動時產生很

多報警，加重網絡負載，形象地叫做hysteresis機制。

［綜合］考察知識點：警報如何產生；

RMON報警組定義了一組網絡性能的門限值，超過門限值時向控制

臺產生報警事件。根據定義的報警機制可確定產生的報警。例如：當

alarmStartupAlarm=lor3,下圖產生報警的時刻用符號"☆"標出如

［選擇］RMON的管理信息庫中，對通道進行操作時,當

channelAcc叩tType的值為1時，分組數據和分組狀態至少要與一個

過濾器匹配，則分組被接受。

［填空］RMON的管理信息庫中，過濾組由兩個控制表組成：過濾

表和通道表。

［填空］RMON管理信息定義中，包捕獲組由控制表和數據表組成。

［詵擇］在RMON的管理信息庫中過濾組定義了兩種過濾器：數據

過濾器和狀態過濾器。

［選擇］RFC1757定義了RMONMIB主要包含以太網的統計數據。

［選擇］RMON警報組定義了一組網絡性能的門限值，超過它時向

控制臺產生警報事件。

［選擇］在RMON2中，事件組分為兩個表即事件表和log表。

［綜合］考察知識點：子網利用率的計算方法。

歷史組存儲以固定周期取樣所獲得的子網數據，歷史組由歷史控制表

和歷史數據表組成。控制表定義被取樣的子網接口編號、取樣間隔大

小、每次取樣數據的多少。數據表用于存儲取樣期間獲得的數據。計

算子網利用率公式Utilization二(PacketsX(96+64)+OctetsX8)4-

IntervalX107oInterval表示取樣間隔,Packets表示收到的分組數,

Octets表示收到的字節數。例如：若以太網的數據傳輸率為10Mbps,

幀間隔為96比特，幀前導字段為64比特，在取樣間隔1800秒間收

到分組數為100、字節數為50KB,則,子網利用率=(100X(96+64)

+(50000X8))4-(1800X10，)。

［綜合］考察知識點：RMON主機組的功能及其在網絡管理中的應

用。例如：RMONMIB的主機組功能是什么？如何工作的，主機數

據表的每一行是由什么索引的，如果已知Ni為控制表第i行

hostControlTableSize的值，k為控制表的行數，N為主機表的行數，i

為控制表索引hostControlIndex,則如何計算主機表hostTable的總行數

(寫出表達式即可)。答：主機組的功能：收集新出現的主機信息。工

作過程：監視器觀察子網上傳送的分組，根據源地址和目標地址了解

網上活動的主機，為每一個新出現的主機建立并維護一組統計數據，

每一個控制行對應一個子網接口，而每一個數據行對應一個子網上的

一個主機。主機數據表的每一行由主機MAC地址hostAddress和接

口號hostindex共同索引。

計算公式為:

其中：Ni二控制表第i行hostControlTableSize的值;

k二控制表的行數；

N=主機表的行數；

i二控制表索引hostControlIndex的值。

5.3RMON2管理信息庫

［本節要點］RM0N2MIB的組成及新增的功能。

［選擇］為了使監視器每次只返回那些自上次查詢以來改變了的值，

RM0N2中引入了時間過濾器索引。

［選擇］RM0N2增加了兩種與對象索引有關的新功能：外部對象索

引和時間對象索引。

［選擇］RMON2不但能存儲MAC層管理信息，還能夠監視MAC

層之上的通信。

［選擇］為了提高效率，希望監視器每次只返回那些上次查詢以來改

變了的值，解決這個問題的是RM0N2。

［選擇］為了把數據表與對應的控制表結合起來，RM0N2增加了外

部對象索引。

［選擇］為了提供表示各種網絡協議的標準化方法，使管理站可以了

解監視器所在子網上運行的協議，RMON2增加了協議目錄表。

［選擇］RMON2監視OSI/RM第3到第7層的通信。

［填空］RM0N2中的網絡層主機組是基于網絡層地址發現主機，這

樣管理員可以超越路由器看到子網之外的IP主機。

［簡述］RMON對表對象索引增加的新功能：

對象索引增加了外部對象索引和時間過濾器索引；作用：使用外部對

象索引數據表，可能把數據表與對應的控制表結合起來，增強了

RMON2的靈活性；使用時間過濾器索引，可以使監視器每次只返回

那些自上次查詢以來改變了的值，提高了輪詢的效率。

5.4RMON2的應用

［本節要點］協議的標識，協議目錄表，監視器的標準配置法。

［填空］在RM0N2中，歷史收集組由3級表組成，第一級是控制表,

第二級是用戶歷史對象表，第三級是歷史數據表。

［選擇］RM0N2用訪問標識符和協議參數共同表示一個協議以及該

協議與其它協議之間的關系。

［填空］在RMON2的協議標識中，UDP為SNMP分配的端口號為

161o

［填空］RM0N2賦予每一個協議層一個協議標識，這個標識的字節

串的位數是32位。

［選擇］在RM0N2協議目錄表中，作為表項的索引的協議標識符是

protocolDirlD和protocolDirParameterso

［選擇］為了增強管理站和監視器之間的互操作性RMON2增加了監

視器的標準配置法。

第6章Windows2003網絡管理

6.1木地用戶和組管理