第一章 網(wǎng)絡(luò)管理概論

1.1 網(wǎng)絡(luò)管理的基本概念

• 在TCP/IP網(wǎng)絡(luò)中有一個簡單的管理工具———ping程序。用ping發(fā)送探測報文可以確定通信目標的連通性及傳送時延。
• 當網(wǎng)絡(luò)互連規(guī)模很大時不適合用ping命令。因為一方面 ping 返回的信息很少，無法獲取被管理設(shè)備的詳細情況；另一方面用 ping 程序?qū)芏嘣O(shè)備逐個檢查，工作效率很低。
• TCP/IP網(wǎng)絡(luò)管理的標準———簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）。適用于任何支持TCP/IP的網(wǎng)絡(luò)。
• 國際標準化組織也推出了OSI系統(tǒng)管理標準CMIS/CMIP。

1.2 網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)

1.2.1 網(wǎng)絡(luò)管理系統(tǒng)的層次結(jié)構(gòu)

???????網(wǎng)絡(luò)管理系統(tǒng)的層次結(jié)構(gòu)如下圖所示。在網(wǎng)絡(luò)管理站中，最下層是操作系統(tǒng)和硬件。操作系統(tǒng)之上的是支持網(wǎng)絡(luò)管理的協(xié)議簇，如OSI、TCP/IP等通信協(xié)議，以及專用于網(wǎng)絡(luò)管理的SNMP、CMIP協(xié)議。協(xié)議棧上邊是網(wǎng)絡(luò)管理框架，這是各種網(wǎng)絡(luò)管理應(yīng)用工作的基礎(chǔ)結(jié)構(gòu)。各種網(wǎng)絡(luò)管理框架的共同特點如下。

• 管理功能分為管理站和代理兩部分。
• 為存儲管理信息提供數(shù)據(jù)庫支持，如關(guān)系數(shù)據(jù)庫或面向?qū)ο蟮臄?shù)據(jù)庫。
• 提供用戶接口和用戶視圖（view）功能，如管理信息瀏覽器。
• 提供基本的管理操作，如獲取管理信息，配置設(shè)備參數(shù)等操作功能。

????????網(wǎng)絡(luò)管理應(yīng)用是用戶根據(jù)需要開發(fā)的軟件，這種軟件運行在網(wǎng)絡(luò)上，實現(xiàn)特定的管理目標，如故障診斷、性能優(yōu)化、業(yè)務(wù)管理和安全控制等。網(wǎng)絡(luò)管理應(yīng)用的開發(fā)是目前最活躍的領(lǐng)域。

1.2.2網(wǎng)絡(luò)管理系統(tǒng)的配置

????????網(wǎng)絡(luò)管理系統(tǒng)配置如圖所示。每一個網(wǎng)絡(luò)節(jié)點都包含一組與管理有關(guān)的軟件，叫作網(wǎng)絡(luò)管理實體。網(wǎng)絡(luò)管理實體完成一以下任務(wù)。

• 收集有關(guān)網(wǎng)絡(luò)通信的統(tǒng)計信息。
• 對本地設(shè)備進行測試，記錄設(shè)備狀態(tài)信息。
• 在本地存儲有關(guān)信息。
• 響應(yīng)網(wǎng)絡(luò)控制中心的請求，發(fā)送管理信息。
• 根據(jù)網(wǎng)絡(luò)控制中心的指令，設(shè)置或改變設(shè)備參數(shù)。

1.2.3 網(wǎng)絡(luò)管理軟件的結(jié)構(gòu)

???????用戶通過網(wǎng)絡(luò)管理接口與管理專用軟件交互作用，監(jiān)視和控制網(wǎng)絡(luò)資源。
圖

網(wǎng)絡(luò)監(jiān)控系統(tǒng)

???????網(wǎng)絡(luò)監(jiān)控系統(tǒng)主要解決以下三個方面：

管理信息的定義：監(jiān)視哪些管理信息，從哪些管理資源獲得管理信息。

監(jiān)控機制的設(shè)計：如何從被管理資源中得到需要的信息。

管理信息的應(yīng)用：根據(jù)收集到的管理信息實現(xiàn)什么管理功能。

1.3.1 管理信息庫

???????有用的網(wǎng)絡(luò)監(jiān)控管理信息可以分為以下3類：

靜態(tài)信息：包括系統(tǒng)和網(wǎng)絡(luò)的配置信息，如路由器的端口數(shù)和端口編號、工作的標識和CPU類型等，這些信息不經(jīng)常變化。

動態(tài)信息：與網(wǎng)絡(luò)中出現(xiàn)的射箭和設(shè)備的工作狀態(tài)有關(guān)，如網(wǎng)絡(luò)中傳送的分組數(shù)、網(wǎng)絡(luò)鏈接的狀態(tài)等。

統(tǒng)計信息：即從動態(tài)信息推導(dǎo)出的信息，如平均每分鐘發(fā)送的分組數(shù)、傳送失敗的概率等。

1.3.2 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的配置

1.3.3 網(wǎng)絡(luò)監(jiān)控系統(tǒng)的通信機制

???????對監(jiān)視器有用的管理信息是由代理收集和存儲的，如何把這些信息傳送給監(jiān)視器呢？有兩種技術(shù)可用于代理與監(jiān)視器之間的通訊，一種叫作輪詢，另一種叫作事件報告。

• 輪詢：是一種請求-響應(yīng)式的交互作用，即由監(jiān)視器向代理器發(fā)出請求，詢問它所需要的信息數(shù)值，代理響應(yīng)監(jiān)視器的請求，從它保存的管理信息庫中取得請求的信息，返回給監(jiān)視器
• 事件報告：是由代理器主動發(fā)給管理站的信息。代理可以根據(jù)管理站的要求（周期、內(nèi)容等）定時發(fā)送狀態(tài)報告，也可能在檢測到某些特定事件（如狀態(tài)改變）或非正常事件（出現(xiàn)故障）時生成事件報告，發(fā)送給管理站。

???????在已有的各種網(wǎng)絡(luò)監(jiān)控系統(tǒng)中都設(shè)置了輪詢和事件報告兩種通信機制，但強調(diào)的重點有所不同。傳統(tǒng)的通信管理網(wǎng)絡(luò)主要依賴于事件報告，而SNMP強調(diào)輪詢方法，OSI系統(tǒng)管理則采取了與這兩種方法都不同的中間道路。無論是這兩種還是某些專用的管理系統(tǒng)，都允許用戶根據(jù)具體情況決定使用何種通信方式。影響通信方式選擇的主要因素如下。

• 傳送監(jiān)控信息需要的通信量
• 對危機情況的處理能力
• 對網(wǎng)絡(luò)管理站的通信延時
• 被管理設(shè)備的處理工作量
• 消息傳輸?shù)目煽啃?/li>
• 網(wǎng)絡(luò)管理應(yīng)用的特殊性
• 在發(fā)送信息之前，通信設(shè)備失效的可能性

網(wǎng)絡(luò)監(jiān)視

???????網(wǎng)絡(luò)管理有五大功能領(lǐng)域，即故障管理、配置管理、計費管理、性能管理和安全管理，簡寫為FCAPS。傳統(tǒng)上，性能、故障和計費屬于網(wǎng)絡(luò)監(jiān)視功能，另外兩種屬于網(wǎng)絡(luò)控制功能。

1.4.1 性能監(jiān)視

???????網(wǎng)絡(luò)監(jiān)視中最終要的事性能監(jiān)視，然而要準確地測量出對網(wǎng)絡(luò)管理有用的性能參數(shù)卻是不容易的。
???????對網(wǎng)絡(luò)管理有用的兩類性能指標分別是面向服務(wù)的性能指標和面向效率的性能指標（具有較高的優(yōu)先級）。下面簡單介紹三個面向服務(wù)的性能指標和兩個面向效率的性能指標。

可用性
???????可用性是網(wǎng)絡(luò)元素可靠性的表現(xiàn)，而可靠性是指網(wǎng)絡(luò)元素在具體條件下完成特定功能的概率。下圖是可用性的串行和并行連接。

A = MTBF/（MTBF+MTTR） //平均無故障時間（MTBF） //失效后的平均維修時間（MTTR）

響應(yīng)時間
???????響應(yīng)時間是指從用戶輸入請求到系統(tǒng)在終端上返回計算結(jié)果的時間間隔。從用戶角度看，這個時間要和人們的思考時間（等于兩次輸入之間的最小間隔時間）配合，越是簡單的工作（例如數(shù)據(jù)錄入）要求響應(yīng)時間越短。然而從實現(xiàn)角度看，響應(yīng)時間越短，實現(xiàn)的代價越大。研究表明，系統(tǒng)響應(yīng)時間對人的生產(chǎn)率影響是很大的。在交互式應(yīng)用中，響應(yīng)時間大于15秒，對大多數(shù)人是不能容忍的。響應(yīng)時間大于4秒時，人們的短期記憶會受到影響，工作的連續(xù)性會被破壞。尤其是對數(shù)據(jù)錄入來說，這種情況下?lián)翩I的速度將會嚴重受挫，只是在輸入完一個段落后，才可以有比較大的延遲（譬如4秒以上）。越是注意力高度集中的工作，要求響應(yīng)時間越短。
???????特別對于需要記住以前的響應(yīng)、根據(jù)前邊的響應(yīng)決定下一步的輸入時，延遲時間應(yīng)該小于2秒。在用鼠標器點擊圖形或進行鍵盤輸入時，要求的響應(yīng)時間更小，可能在0.1秒以下。這樣人們會感到計算機是同步工作的，幾乎沒有等待時間。圖1.9表示應(yīng)用CAD進行集成電路設(shè)計時生產(chǎn)率（每小時完成的事務(wù)處理數(shù)）與響應(yīng)時間的關(guān)系?？梢钥闯?#xff0c;當響應(yīng)時間小于1秒時事務(wù)處理的速率明顯加快，這和人的短期記憶以及注意力集中的程度有關(guān)。
下圖是系統(tǒng)響應(yīng)時間與生產(chǎn)率的關(guān)系。

　　網(wǎng)絡(luò)系統(tǒng)的響應(yīng)時間由系統(tǒng)各個部分的處理延遲時間組成，分解系統(tǒng)響應(yīng)時間的成分對于確定系統(tǒng)瓶頸有用。圖1.10表示出系統(tǒng)響應(yīng)時間RT由7部分組成：
　　入口終端延遲：指從終端把查詢命令送到通信線路上的延遲。終端本身的處理時間是很短的，這個延遲主要是由從終端到網(wǎng)絡(luò)接口設(shè)備（例如PAD設(shè)備或網(wǎng)橋）的通信線路引起的傳輸延遲。假若線路數(shù)據(jù)速率為2400b/s=300字符/s，則每個字符的時延為3.33μs。又假如平均每個命令含100個字符，則輸入命令的延遲時間為0.33 s。
　　系統(tǒng)響應(yīng)時間的組成。
　　l 入口排隊時間：即網(wǎng)絡(luò)接口設(shè)備的處理時間。接口設(shè)備要處理多個終端輸入，還要處理提交給終端的輸出，所以輸入的命令通常要進入緩沖區(qū)排隊等待。接口設(shè)備越忙，排隊時間越長。
　　l入口服務(wù)時間：指從網(wǎng)絡(luò)接口設(shè)備通過傳輸網(wǎng)絡(luò)到達主機前端的時間，對于不同的網(wǎng)絡(luò)，這個傳輸時間的差別是很大的。如果是公共交換網(wǎng)，這個時延是無法控制的；如果是專用網(wǎng)、租用專線或用戶可配置的設(shè)備，則這個時延還可以進一步分解，以便按照需要規(guī)劃和控制網(wǎng)絡(luò)。
　　· 入口服務(wù)時間：指從網(wǎng)絡(luò)接口設(shè)備通過傳輸網(wǎng)絡(luò)到達主機前端的時間，對于不同的網(wǎng)絡(luò)，這個傳輸時間的差別是很大的。如果是公共交換網(wǎng)，這個時延是無法控制的；如果是專用網(wǎng)、租用專線或用戶可配置的設(shè)備，則這個時延還可以進一步分解，以便按照需要規(guī)劃和控制網(wǎng)絡(luò)。
　 · CPU處理延遲：前端處理機、主機和磁盤等設(shè)備處理用戶命令、做出回答需要的時間。這個時間通常是管理人員無法控制的。
　 ·出口排隊時間：在前端處理機端口等待發(fā)送到網(wǎng)絡(luò)上去的排隊時間。這個時間與入口排隊時間類似，其長短取決于前端處理機繁忙的程度。
　　·出口服務(wù)時間：通過網(wǎng)絡(luò)把響應(yīng)報文傳送到網(wǎng)絡(luò)接口設(shè)備的處理時間。
　　·出口終端延遲：終端接收響應(yīng)報文的時間，主要是由通信延遲引起的。
　　響應(yīng)時間是比較容易測量的，是網(wǎng)絡(luò)管理中重要的管理信息。

正確性
　 這是指網(wǎng)絡(luò)傳輸?shù)恼_性。由于網(wǎng)絡(luò)中有內(nèi)置的糾錯機制，所以通常用戶不必考慮數(shù)據(jù)傳輸是否正確。但是監(jiān)視傳輸誤碼率可以發(fā)現(xiàn)瞬時的線路故障，以及是否存在噪聲源和通信干擾，以便及時采取維護措施。

吞吐率
　 吞吐率是面向效率的性能指標，具體表現(xiàn)為一段時間內(nèi)完成的數(shù)據(jù)處理的數(shù)量，或接受用戶會話的數(shù)量，或處理的呼叫的數(shù)量等。跟蹤這些指標可以為提高網(wǎng)絡(luò)傳輸效率提供依椐。
　 網(wǎng)絡(luò)響應(yīng)時間與負載的關(guān)系—　

利用率
　　利用率是指網(wǎng)絡(luò)資源利用的百分率，它也是面向效率的指標。這個參數(shù)與網(wǎng)絡(luò)負載有關(guān)，當負載增加時，資源利用率增大，因而分組排隊時間和網(wǎng)絡(luò)響應(yīng)時間變長，甚至會引起吞吐率降低。當相對負載（負載/容量）增加到一定程度時，響應(yīng)時間迅速增長，從而引發(fā)傳輸瓶頸和網(wǎng)絡(luò)擁擠。圖1.11表示響應(yīng)時間隨相對負載成指數(shù)上升的情況。特別值得注意的是實際情況往往與理論計算結(jié)果相左，造成失去控制的通信阻塞，這是應(yīng)該設(shè)法避免的，所以需要更精致的分析技術(shù)。
　　我們介紹一種簡單而有效的分析方法，可以正確地評價網(wǎng)絡(luò)資源的利用情況?；镜乃枷胧怯^察鏈路的實際通信量（負載），并且與規(guī)劃的鏈路容量（數(shù)據(jù)速率）比較，從而發(fā)現(xiàn)哪些鏈路使用過度，而哪些鏈路利用不足。分析方法使用了會計工作中常用的成本分析技術(shù)，即計算實際的費用占計劃成本的比例，從而發(fā)現(xiàn)實際情況與理想情況的偏差。對于網(wǎng)絡(luò)分析來說，就是計算出各個鏈路的負載占網(wǎng)絡(luò)總負載的百分率（相對負載），以及各個鏈路的容量占網(wǎng)絡(luò)總?cè)萘康陌俜致?#xff08;相對容量），最后得到相對負載與相對容量的比值。這個比值反映了網(wǎng)絡(luò)資源的相對利用率。
　　網(wǎng)絡(luò)利用率分析-　　
　　假定有圖1.12（a）的簡單網(wǎng)絡(luò)，由5段鏈路組成。表1.1中列出了各段鏈路的負載和各段鏈路的容量，并且計算出了各段鏈路的負載百分率和容量百分率，圖1.12（b）是對應(yīng)的圖形表示?？梢钥闯?#xff0c;網(wǎng)絡(luò)規(guī)劃的容量（400 Kb/s）比實際的通信量（200 Kb/s）大得多，而且沒有一條鏈路的負載大于它的容量。但是各個鏈路的相對利用率（相對負載/相對容量）不同，有的鏈路使用得太過分（例如鏈路3，25/15=1.67）,而有的鏈路利用不足（例如鏈路5，25/45=0.55）。這個差別是有用的管理信息，它可以指導(dǎo)我們?nèi)绾握{(diào)整各段鏈路的容量，獲得更合理的負載分布和鏈路利用率，從而減少資源浪費，提高性能價格比。
　　網(wǎng)絡(luò)負載和容量分析　　
　　 收集到的性能參數(shù)組織成性能測試報告，以圖形或表格的形式呈現(xiàn)給網(wǎng)絡(luò)管理員。對于局域網(wǎng)來說，性能測試報告應(yīng)包括以下內(nèi)容。
　　● 主機對通信矩陣：一對源主機和目標主機之間傳送的總分組數(shù)、數(shù)據(jù)分組數(shù)、數(shù)據(jù)字節(jié)數(shù)以及它們所占的百分比；
　　● 主機組通信矩陣：一組主機之間通信量的統(tǒng)計，內(nèi)容與上一條類似；
　　● 分組類型直方圖：各種類型的原始分組(例如廣播分組、組播分組等)的統(tǒng)計信息，用直方圖表示；
　　● 數(shù)據(jù)分組長度直方圖：不同長度(字節(jié)數(shù))的數(shù)據(jù)分組的統(tǒng)計；
　　● 吞吐率-利用率分布：各個網(wǎng)絡(luò)結(jié)點發(fā)送/接收的總字節(jié)數(shù)和數(shù)據(jù)字節(jié)數(shù)的統(tǒng)計；
　　● 分組到達時間直方圖：不同時間到達的分組數(shù)的統(tǒng)計；
　　● 信道獲取時間直方圖：在網(wǎng)絡(luò)接口單元(NIU)排隊等待發(fā)送、經(jīng)過不同延遲時間的分組數(shù)的統(tǒng)計；
　　● 通信延遲直方圖：從發(fā)出原始分組到分組到達目標的延遲時間的統(tǒng)計；
　　● 沖突計數(shù)直方圖：經(jīng)受不同沖突次數(shù)的分組數(shù)的統(tǒng)計；
　　● 傳輸計數(shù)直方圖：經(jīng)過不同試發(fā)送次數(shù)的分組數(shù)的統(tǒng)計。

1.4.2 故障監(jiān)視
　　故障監(jiān)視就是要盡快地發(fā)現(xiàn)故障，找出故障原因，以便及時采取補救措施。在復(fù)雜的系統(tǒng)中，發(fā)現(xiàn)和診斷故障是不容易的。首先是有些故障很難觀察到，例如分布處理中出現(xiàn)的死鎖就很難發(fā)現(xiàn)。其次是有些故障現(xiàn)象不足以表明故障原因，例如發(fā)現(xiàn)遠程結(jié)點沒有響應(yīng)，但是否為低層通信協(xié)議失效不得而知。更有些故障現(xiàn)象具有不確定性和不一致性，引起故障的原因很多，使得故障定位復(fù)雜化。例如終端死機、線路中斷、網(wǎng)絡(luò)擁塞或主機故障都會引起同樣的故障現(xiàn)象，到底問題出在哪兒，需要復(fù)雜的故障定位手段。故障管理可分為以下3個功能模塊。
　　1) 故障檢測和報警功能
　　故障監(jiān)視代理要隨時記錄系統(tǒng)出錯的情況和可能引起故障的事件，并把這些信息存儲在運行日志數(shù)據(jù)庫中。在采用輪詢通信的系統(tǒng)中，管理應(yīng)用程序定期訪問運行日志記錄，以便發(fā)現(xiàn)故障；為了及時檢測重要的故障問題，代理也可以主動向有關(guān)管理站發(fā)送出錯事件報告。另外，對出錯報告的數(shù)量、頻率要進行適當?shù)目刂?#xff0c;以免加重網(wǎng)絡(luò)負載。
　　2) 故障預(yù)測功能
　　對各種可以引起故障的參數(shù)建立門限值，并隨時監(jiān)視參數(shù)值變化，一旦超過門限值，就發(fā)送警報。例如由于出錯產(chǎn)生的分組碎片數(shù)超過一定值時發(fā)出警報，表示線路通信惡化，出錯率上升。
　　3) 故障診斷和定位功能
　　對設(shè)備和通信線路進行測試，找出故障原因和故障地點。例如可以進行下列測試：
　　● 連接測試；
　　● 數(shù)據(jù)完整性測試；
　　● 協(xié)議完整性測試；
　　● 數(shù)據(jù)飽和測試；
　　● 連接飽和測試；
　　● 環(huán)路測試；
　　● 功能測試；
　　● 診斷測試。
1.4.3 計費監(jiān)視
　　計費監(jiān)視主要是跟蹤和控制用戶對網(wǎng)絡(luò)資源的使用，并把有關(guān)信息存儲在運行日志數(shù)據(jù)庫中，為收費提供依據(jù)。不同的系統(tǒng)，對計費功能要求的詳盡程度也不一樣。在有些提供公共服務(wù)的網(wǎng)絡(luò)中，要求收集的計費信息很詳細、很準確，例如要求對每一種網(wǎng)絡(luò)資源、每一分鐘的使用、傳送的每一個字節(jié)數(shù)都要計費，或者要求把費用分攤給每一個賬號、每一個項目甚至每一個用戶。而有的內(nèi)部網(wǎng)絡(luò)就不一定要求這么詳細，只要求把總的運行費用按一定比例分配給各個部門就可以了。需要計費的網(wǎng)絡(luò)資源包括：
　　● 通信設(shè)施：LAN、WAN、租用線路或PBX的使用時間；
　　● 計算機硬件：工作站和服務(wù)器機時數(shù)；
　　● 軟件系統(tǒng)：下載的應(yīng)用軟件和實用程序的費用；
　　● 服務(wù)：包括商業(yè)通信服務(wù)和信息提供服務(wù)(發(fā)送/接收的字節(jié)數(shù))。
　　計費數(shù)據(jù)組成計費日志，其記錄格式應(yīng)包括下列信息：
　　● 用戶標識；
　　● 連接目標的標識符；
　　● 傳送的分組數(shù)/字節(jié)數(shù)；
　　● 安全級別；
　　● 時間戳；
　　● 指示網(wǎng)絡(luò)出錯情況的狀態(tài)碼；
　　● 使用的網(wǎng)絡(luò)資源。

1.5網(wǎng)絡(luò)控制

1.5.1 配置控制
　　配置管理是指初始化、維護和關(guān)閉網(wǎng)絡(luò)設(shè)備或子系統(tǒng)。被管理的網(wǎng)絡(luò)資源包括物理設(shè)備(例如服務(wù)器、路由器)和底層的邏輯對象(例如傳輸層定時器)。配置管理功能可以設(shè)置網(wǎng)絡(luò)參數(shù)的初始值或默認值，使網(wǎng)絡(luò)設(shè)備初始化時自動形成預(yù)定的互聯(lián)關(guān)系。當網(wǎng)絡(luò)運行時，配置管理監(jiān)視設(shè)備的工作狀態(tài)，并根據(jù)用戶的配置命令或其他管理功能的請求改變網(wǎng)絡(luò)配置參數(shù)。例如，若性能管理檢測到響應(yīng)時間延長，并分析出性能降級的原因是由于負載失衡，則配置管理將通過重新配置(例如改變路由表)改善系統(tǒng)響應(yīng)時間。又例如故障管理檢測到一個故障，并確定了故障點，則配置管理可以改變配置參數(shù)，把故障點隔離，恢復(fù)網(wǎng)絡(luò)的正常工作。配置管理應(yīng)包含下列功能模塊：
　　 ● 定義配置信息；
● 設(shè)置和修改設(shè)備屬性；
● 定義和修改網(wǎng)絡(luò)元素間的互聯(lián)關(guān)系；
● 啟動和終止網(wǎng)絡(luò)運行；
● 發(fā)行軟件；
● 檢查參數(shù)值和互聯(lián)關(guān)系；
● 報告配置現(xiàn)狀。

1. 定義配置信息
　　配置信息描述網(wǎng)絡(luò)資源的特征和屬性，這些信息對其他管理功能是有用的。網(wǎng)絡(luò)資源包括物理資源(例如主機、路由器、網(wǎng)橋、通信鏈路和Modem等)和邏輯資源(例如定時器、計數(shù)器和虛電路等)。設(shè)備的屬性包括名稱、標識符、地址、狀態(tài)、操作特點和軟件版本。配置信息可以有多種組織方式。簡單的配置信息組織成由標量組成的表，每一個標量值表示一種屬性值，SNMP采用這種方法。在OSI系統(tǒng)管理中，管理信息定義為面向?qū)ο蟮臄?shù)據(jù)庫。對象的值表示被管理設(shè)備的特性，對象的行為(例如通知)代表了管理操作，對象之間的包含關(guān)系和繼承關(guān)系則規(guī)范了它們之間的互相作用。另外，還有一些系統(tǒng)用關(guān)系數(shù)據(jù)庫表示管理信息。
　　管理信息存儲在與被管理設(shè)備最接近的代理或委托代理中，管理站通過輪詢或事件報告訪問這些信息。網(wǎng)絡(luò)管理員可以在管理站提供的用戶界面上說明管理信息值的范圍和類型，用以設(shè)置被管理資源的屬性。網(wǎng)絡(luò)控制功能還允許定義新的管理對象，在指定的代理中生成需要的管理對象或數(shù)據(jù)元素。產(chǎn)生新數(shù)據(jù)的過程可以是聯(lián)機的、動態(tài)的，或是脫機的、靜態(tài)的。
　　2. 設(shè)置和修改屬性
　　配置管理允許管理站遠程設(shè)置和修改代理中的管理信息值，但是修改操作要受到兩種限制：
　　● 只有授權(quán)的管理站才可以施行修改操作，這是網(wǎng)絡(luò)安全所要求的；
　　● 有些屬性值反映了硬件配置的實際情況，是不可改變的，例如主機CPU類型、路由器的端口數(shù)等。
　　對配置信息的修改可以分為以下3種類型：
　　● 只修改數(shù)據(jù)庫：管理站向代理發(fā)送修改命令，代理修改配置數(shù)據(jù)庫中的一個或多個數(shù)據(jù)值。如果修改操作成功，則向管理站返回肯定應(yīng)答，否則返回否定應(yīng)答，這個交互過程中不發(fā)生其它作用。例如管理站通過修改命令改變網(wǎng)絡(luò)設(shè)備的負責人(姓名、地址、電話等)。
　　● 修改數(shù)據(jù)庫，也改變設(shè)備的狀態(tài)：除了修改數(shù)據(jù)值之外，還改變了設(shè)備的運行狀態(tài)。例如把路由器端口的狀態(tài)值置為“disabled”，則所有網(wǎng)絡(luò)通信不再訪問該端口。
　　● 修改數(shù)據(jù)庫，同時引起設(shè)備的動作：由于現(xiàn)行網(wǎng)絡(luò)管理標準中沒有直接指揮設(shè)備動作的命令，因而通常用管理數(shù)據(jù)庫中的變量值控制被管理設(shè)備的動作。當這些變量被設(shè)置成不同的值時，設(shè)備隨即執(zhí)行對應(yīng)的操作過程。例如路由器數(shù)據(jù)庫中有一個初始化參數(shù)，可取值為TRUE或FALSE。若設(shè)置此參數(shù)值為TRUE，則路由器開始初始化，過程結(jié)束時重置該參數(shù)為FALSE。
　　3. 定義和修改關(guān)系
　　關(guān)系是指網(wǎng)絡(luò)資源之間的聯(lián)系、連接以及網(wǎng)絡(luò)資源之間相互依存的條件，例如拓撲結(jié)構(gòu)、物理連接、邏輯連接、繼承層次和管理域等。繼承層次是管理對象之間的繼承關(guān)系，而管理域是被管理資源的集合，這些網(wǎng)絡(luò)資源具有共同的管理屬性或者受同一管理站控制。
　　配置管理應(yīng)該提供聯(lián)機修改關(guān)系的操作，即用戶在不關(guān)閉網(wǎng)絡(luò)的情況下可以增加、刪除或修改網(wǎng)絡(luò)資源之間的關(guān)系。例如在LAN中，結(jié)點之間邏輯鏈路控制子層(LLC)的連接可以由管理站來修改。一種LLC連接叫做交換連接，即結(jié)點的LLC實體接受上層軟件的請求或者響應(yīng)終端用戶的命令與其他結(jié)點建立的SAP之間的連接；另外管理站還可以建立固定(或永久)連接，管理軟件也可以按照管理命令的要求釋放已建立的固定連接或交換連接，或者為一個已有的連接指定備份連接，以便在主連接失效時替換它。
　　4. 啟動和終止網(wǎng)絡(luò)運行
　　配置管理給用戶提供啟動/關(guān)閉網(wǎng)絡(luò)和子網(wǎng)的操作。啟動操作包括驗證所有可設(shè)置的資源屬性是否已正確設(shè)置。如果有設(shè)置不當?shù)馁Y源，則要通知用戶；如果所有的設(shè)置都正確無誤，則向用戶發(fā)回肯定應(yīng)答。同時，關(guān)閉操作完成之前應(yīng)允許用戶檢索設(shè)備的統(tǒng)計信息或狀態(tài)信息。
　　5. 發(fā)行軟件
　　配置管理還提供向端系統(tǒng)(主機、服務(wù)器和工作站等)和中間系統(tǒng)(網(wǎng)橋、路由器和應(yīng)用網(wǎng)關(guān)等)發(fā)行軟件的功能，即給系統(tǒng)裝載指定的軟件、更新軟件版本和配置軟件參數(shù)等功能。除了裝載可執(zhí)行的軟件之外，這個功能還包括下載驅(qū)動設(shè)備工作的數(shù)據(jù)表，例如路由器和網(wǎng)橋中使用的路由表。如果出于計費、安全或性能管理的需要，則路由決策中的某些特殊情況不能僅根據(jù)數(shù)學計算的結(jié)果處理，可能需要人工干預(yù)，因此還應(yīng)提供人工修改路由表的用戶接口。

1.5.2 安全控制
　　1. 安全威脅的類型
　　為了理解對計算機網(wǎng)絡(luò)的安全威脅，我們首先定義安全需求。計算機和網(wǎng)絡(luò)需要以下3方面的安全性。
　　● 保密性(Secrecy)：計算機網(wǎng)絡(luò)中的信息只能由授予訪問權(quán)限的用戶讀取(包括顯示、打印等，也包含暴露“信息存在”這樣的事實)；
　　● 數(shù)據(jù)完整性(Integrity)：計算機網(wǎng)絡(luò)中的信息資源只能被授予權(quán)限的用戶修改；
　　● 可用性(Availability)：具有訪問權(quán)限的用戶在需要時可以利用計算機網(wǎng)絡(luò)資源。
　　所謂對計算機網(wǎng)絡(luò)的安全威脅，就是破壞了這3方面的安全性要求。下面從計算機網(wǎng)絡(luò)提供信息的途徑來分析安全威脅的類型。通常從源到目標的信息流動的各個階段都可能受到威脅，圖1.13畫出了信息流被危害的各種情況。
　　
　　
圖1.13 對網(wǎng)絡(luò)通信的安全威脅
　　2. 對計算機網(wǎng)絡(luò)的安全威脅
　　圖1.14畫出了對計算機網(wǎng)絡(luò)的各種安全威脅，分別解釋如下。
　　● 對硬件的威脅：主要是破壞系統(tǒng)硬件的可用性，例如有意或無意地損壞甚至盜竊網(wǎng)絡(luò)器材等。小型的PC、工作站和局域網(wǎng)的廣泛使用增加了這種威脅的可能性。
　　● 對軟件的威脅：操作系統(tǒng)、實用程序和應(yīng)用軟件可能被改變、損壞甚至被惡意刪除，從而不能工作，失去可用性。特別是有些修改使得程序看起來似乎可用，但其實是在進行其他工作，這正是各種計算機病毒的特長。另外，軟件的非法拷貝是一個至今沒有解決的問題，因此軟件本身也不安全。

圖1.14 對計算機網(wǎng)絡(luò)資源的安全威脅
　　● 對數(shù)據(jù)的威脅：數(shù)據(jù)可能被非法訪問，破壞了保密性；數(shù)據(jù)可能被惡意修改或者假冒，破壞了完整性；數(shù)據(jù)文件可能被惡意刪除，從而破壞了可用性。甚至在無法直接讀取數(shù)據(jù)文件的情況下(例如文件被加密)，還可以通過分析文件大小或者文件目錄中的有關(guān)信息推測出數(shù)據(jù)的特點，這種分析技術(shù)是一種更隱蔽的計算機犯罪手段，被網(wǎng)絡(luò)黑客們樂而為之。
　　● 對網(wǎng)絡(luò)通信的威脅：可分為被動威脅和主動威脅兩類，如圖1.15所示。被動威脅并不改變數(shù)據(jù)流，而是采用各種手段竊取通信線路上傳輸?shù)男畔?#xff0c;從而破壞了保密性。例如偷聽或監(jiān)視網(wǎng)絡(luò)通信，從而獲知電話談話、電子郵件和文件的內(nèi)容；還可以通過分析網(wǎng)絡(luò)通信的特點(通信的頻率、報文的長度等)猜測出傳輸?shù)男畔ⅰＳ捎诒粍油{不改變信息的內(nèi)容，因而是很難檢測的，數(shù)據(jù)加密是防止這種威脅的主要手段。與其相反，主動威脅則可能改變信息流或者生成偽造的信息流，從而破壞了數(shù)據(jù)的完整性和可用性。主動攻擊者不必知道信息的內(nèi)容，但可以改變信息流的方向，或者使傳輸?shù)男畔⒈谎舆t、重放、重新排序，可能產(chǎn)生不同的效果，這些都是對網(wǎng)絡(luò)通信的竄改。
　　主動攻擊還可能影響網(wǎng)絡(luò)的正常使用，例如改變信息流傳輸?shù)哪繕?#xff0c;關(guān)閉或破壞通信設(shè)施，或者以垃圾報文阻塞信道，這種手段叫做拒絕服務(wù)。假冒(或偽造)者則可能利用前兩種攻擊手段之一，冒充合法用戶以博取非法利益。例如攻擊者捕獲了合法用戶的認證報文，不必知道認證碼的內(nèi)容，只需重放認證報文就可以冒充合法用戶使用計算機資源。要完全防止主動攻擊是不可能的，只能及時地檢測它，在它還沒有造成危害或沒有造成大的危害時挫敗它。

圖1.15 計算機網(wǎng)絡(luò)的被動威脅和主動威脅
　　3. 對網(wǎng)絡(luò)管理的安全威脅
　　由于網(wǎng)絡(luò)管理是分布在網(wǎng)絡(luò)上的應(yīng)用程序和數(shù)據(jù)庫的集合，因而以上討論的各種威脅都可能影響網(wǎng)絡(luò)管理系統(tǒng)，造成管理系統(tǒng)失靈，甚至發(fā)出錯誤的管理指令，破壞計算機網(wǎng)絡(luò)的正常運行。對于網(wǎng)絡(luò)管理，特別有以下3方面的安全威脅值得提出。
　　● 偽裝的用戶：沒有得到授權(quán)的一般用戶企圖訪問網(wǎng)絡(luò)管理應(yīng)用和管理信息；
　　● 假冒的管理程序：無關(guān)的計算機系統(tǒng)可能偽裝成網(wǎng)絡(luò)管理站實施管理功能；
　　● 侵入管理站和代理間的信息交換過程：網(wǎng)絡(luò)入侵者通過觀察網(wǎng)絡(luò)活動竊取了敏感的管理信息，更嚴重的危害是可能竄改管理信息，或中斷管理站和代理之間的通信。

1) 安全信息維護
　　網(wǎng)絡(luò)管理中的安全管理是指保護管理站和代理之間信息交換的安全。安全管理使用的操作與其他管理使用的操作相同，差別在于使用的管理信息的特點不同。有關(guān)安全的管理對象包括密鑰、認證信息、訪問權(quán)限信息以及有關(guān)安全服務(wù)和安全機制的操作參數(shù)信息等。安全管理要跟蹤進行中的網(wǎng)絡(luò)活動和試圖發(fā)動的網(wǎng)絡(luò)活動，以便檢測未遂的或成功的攻擊，并挫敗這些攻擊，恢復(fù)網(wǎng)絡(luò)的正常運行。細分一下，對于安全信息的維護可以列出以下功能：
　　● 記錄系統(tǒng)中出現(xiàn)的各類事件(例如用戶登錄、退出系統(tǒng)，文件拷貝等)；
　　● 追蹤安全審計試驗，自動記錄有關(guān)安全的重要事件，例如非法用戶持續(xù)試驗不同口令字企圖登錄等；
　　● 報告和接收侵犯安全的警示信號，在懷疑出現(xiàn)威脅安全的活動時采取防范措施，例如封鎖被入侵的用戶賬號或強行停止惡意程序的執(zhí)行等；
　　● 經(jīng)常維護和檢查安全記錄，進行安全風險分析，編制安全評價報告；
　　● 備份和保護敏感的文件；
　　● 研究每個正常用戶的活動形象，預(yù)先設(shè)定敏感資源的使用形象，以便檢測授權(quán)用戶的異常活動和對敏感資源的濫用行為。

2) 資源訪問控制
　　一種重要的安全服務(wù)就是訪問控制服務(wù)，這包括認證服務(wù)和授權(quán)服務(wù)，以及對敏感資源訪問授權(quán)的決策過程。訪問控制服務(wù)的目的是保護各種網(wǎng)絡(luò)資源，這些資源中與網(wǎng)絡(luò)管理有關(guān)的是：
　　● 安全編碼；
　　● 源路由和路由記錄信息；
　　● 路由表；
　　● 目錄表；
　　● 報警門限；
　　● 計費信息。
　　
　　3) 加密過程控制
　　安全管理能夠在必要時對管理站和代理之間交換的報文進行加密。安全管理也能夠使用其他網(wǎng)絡(luò)實體的加密方法。此外，加密過程控制也可以改變加密算法，具有密鑰分配能力。

1.6 網(wǎng)絡(luò)管理標準

TCP/IP網(wǎng)絡(luò)管理最初使用的是1987年11月提出的簡單網(wǎng)關(guān)監(jiān)控協(xié)議(Simple Gateway Monitoring Protocol，SGMP)，在此基礎(chǔ)上改進成簡單網(wǎng)絡(luò)管理協(xié)議第一版(Simple Network Management Protocol，SNMPv1)，陸續(xù)公布在1990和1991年的幾個RFC(Request For Comments)文件中，即RFC 1155(SMI)、RFC 1157(SNMP)、RFC 1212(MIB定義)和RFC 1213(MIB-2規(guī)范)。由于其簡單性和易于實現(xiàn)，SNMPv1得到了許多制造商的支持和廣泛應(yīng)用，幾年以后在第一版的基礎(chǔ)上改進其功能和安全性，又產(chǎn)生了SNMPv2(RFC 1902～1908，1996)和SNMPv3(RFC 2570～2575，1999)。
　　在同一時期，用于監(jiān)控局域網(wǎng)通信的標準——遠程網(wǎng)絡(luò)監(jiān)控RMON(Remote Monitoring)也出現(xiàn)了，這就是RMON-1(1991)和RMON-2(1995)。這一組標準定義了監(jiān)視網(wǎng)絡(luò)通信的管理信息庫，是SNMP管理信息庫的擴充，與SNMP協(xié)議配合可以提供更有效的管理性能，也得到了廣泛應(yīng)用。
　　另外，IEEE定義了局域網(wǎng)的管理標準，即IEEE 802.1b LAN/MAN管理。這個標準用于管理物理層和數(shù)據(jù)鏈路層的OSI設(shè)備，因而叫做CMOL(CMIP over LLC)。
　　為了適應(yīng)電信網(wǎng)絡(luò)的管理需要，ITU-T在1989年發(fā)布了電信管理網(wǎng)絡(luò)(Telecommunications Management Network，TMN)的M.30建議(藍皮書)，定義了電信管理網(wǎng)的總體結(jié)構(gòu)、管理功能和管理業(yè)務(wù)等標準，用于支持電信網(wǎng)和電信業(yè)務(wù)的規(guī)劃、配置、安裝、操作及組織工作。

總結(jié)

以上是生活随笔為你收集整理的计算机网络管理（第二版）自学教程的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。