2011自考“計算機網絡管理”知識重點

　　第一章 網絡管理概論 $lesson$

　　考試要求

　　1.網絡管理的基本概念 ， 要求達到識記層次

　　網絡管理的需求和網絡管理的目標

　　網絡管理系統(tǒng)體系結構

　　被管理的軟硬資源的種類和相關信息轉自環(huán) 球 網 校edu24ol.com

　　主要的網絡管理標準的含義和適用范圍

　　2. OSI 系統(tǒng)管理的基本概念 ， 要求達到領會層次

　　OSI 的管理框架

　　請求、響應、輪詢、通告和心跳等通信機制，它們之間的區(qū)別和聯(lián)系

　　管理域和管理策略的概念，及其在分布式網絡管理中的作用

　　管理信息的層次結構

　　應用層提供的系統(tǒng)管理支持功能

　　配置管理、故障管理、性能管理、記賬管理和安全管理的含義、功能和作用

　　3.網絡管理系統(tǒng) ， 要求達到識記層次

　　知識重點

　　(一)網絡管理的基本概念

　　1.網絡管理的需求和目標

　　(1) 網絡管理的需求

　　計算機網絡日益成為個人和企業(yè) / 事業(yè)單位日?；顒颖夭豢缮俚墓ぞ?。許多公司、國家機關和大學每天都要利用網絡上的數據業(yè)務(例如電子郵件和傳真)、視頻業(yè)務(例如電視會議)和話音業(yè)務(例如 IP 電話)來保證他們的生存和發(fā)展。另一方面計算機網絡和組成越來越復雜，這主要表現在網絡互聯(lián)的規(guī)模越來越大，而且聯(lián)網設備多是異構型設備、多制造環(huán)境、多協(xié)議棧。這樣的網絡靠手工管理已是無能為力，所以研究和開發(fā)符合自己情況的、經濟適用的網絡管理系統(tǒng)就是一項迫切的任務了。

　　(2)網絡管理目標

　　。減少停機時間，改進響應時間，提高設備利用率;

　　。減少運行費用，提高效率;

　　。減少 /消滅網絡瓶頸;

　　。適應新技術(多媒體、多種平臺);

　　。使網絡更容易使用;

　　。安全

　　2. 網絡管理系統(tǒng)體系結構

　　(1) 網絡管理系統(tǒng)的層次結構

　　各種網絡管理框架的共同特點如下：

　　。管理功能分為管理站( Manager)和代理(Agent)兩部分

　　。為存儲管理信息提供數據庫支持，例如關系數據庫或面向對象的數據庫

　　。提供有戶接口和用戶視頻( View)功能，例如GUI和管理信息瀏覽器

　　。提供基本的管理操作，例如獲取管理信息，配置設備參數等操作過程目標管理應用使用戶根據需要開發(fā)的軟件，這種軟件運行在具體的網絡上實現特定的管理目標，例如鼓掌診斷和性能優(yōu)化，或者業(yè)務管理和安全控制等。網絡管理應用的開發(fā)是目前最有活力最具增長性的市場。

　　(2)網絡管理系統(tǒng)的配置

　　每一個網絡結點都包含一組與管理有關的軟件，叫網絡管理實體( NME )。網絡管理實體完成下面的任務

　　。收集有關通信和網絡活動方面的統(tǒng)計信息

　　。對本地設備進行測試，記錄其狀態(tài)信息轉自環(huán) 球 網 校edu24ol.com

　　。在本地存儲有關信息

　　。響應網絡控制中心的請求，傳送統(tǒng)計升年升毫或設備狀態(tài)信息

　　。根據網絡控制中心的指令，設置或改變設備參數

　　網絡中至少有一個結點(主機或路由器)擔當管理站的角色( Manager)，除過NME之外，管理站中還有一組軟件，叫做網絡管理年個月度年個(NME)。NME提供用戶接口，根據用戶的命令顯示管理信息，通過網絡向NME發(fā)出請求或指令，以便獲取有關設備的管理信息，或者改變設備配置。

　　網絡中的其他結點在 NME的控制下與管理站通信，交換管理信息。這些結點中的NME模塊叫做代理模塊，網絡中任何被管理的設備(主機、網橋、路由器或集線器等)都必需實現代理模塊。所有代理在管理站監(jiān)視和控制下協(xié)同工作實現集成的網絡管理。這種集中式網絡管理策略的好處式管理人員可以有效地控制整個網絡資源，根據需要平衡網絡負載，優(yōu)化網絡性能。 然而，對于大型網絡，集中式地管理往往顯得力不從心，正在讓位于分布式地管理策略。這種向分布式管理演化地趨勢與集中式計算模型由向分布式計算演化的總趨勢式一致的。 在這種配置中，分布式管理系統(tǒng)代替了單獨的網絡控制主機。地理上分布的網絡管理客戶機于一組網絡管理服務器交互作用，共同完成網絡管理功能。這種管理策略可以實現分部門管理：即限制每個客戶機只能訪問和管理笨部門的部分網絡資源，而由一個中心管理站實施全局管理。同時中心管理站還對管理功能較弱的客戶機發(fā)出指令，實現更高級的管理。分布式網絡管理的靈活性(Flexibility)和可伸縮性(Scalability)帶來的好處日益為網絡管理工作者所青睞，這方面的研究和開發(fā)式目前網絡管理中最活躍的領域。

　　(3)網絡管理軟件的結構

　　這里說的軟件包括用戶接口軟件、管理專用軟件和管理支持軟件，用戶通過網絡管理接口與管理專用軟件交互作用，監(jiān)視和控制網絡資源。接口軟件不但存在于管理主機上，而且也可能出現在代理系統(tǒng)中，以便對網絡資源實施本地配置、測試和排錯。有效的網絡掛零你系統(tǒng)需要同意的用戶接口，而不論主機和設備出自何方廠家，運行什么操作系統(tǒng)，這樣才可以方便地對異構型網絡進行監(jiān)控。接口軟件還要有一定的信息處理能力，對大量的管理信息要進行過濾、統(tǒng)計、甚至求和和化簡，以免傳遞的信息量太大而阻塞網絡通道。最后，理想的用戶接口應該是圖形用戶接口，而非命令或表格。

　　3.管理的網絡資源

　　計算機網絡管理設計到監(jiān)控和控制網絡中的各種硬件，固件和軟件元素。

　　(1)被管理的網絡硬件資源可以列舉如下：

　　。物理介質和連網設備

　　。計算機設備

　　。網絡互聯(lián)設備

　　(2)被管理的網絡軟件元素可以列舉如下：

　　。操作系統(tǒng)軟件

　　。通信軟件

　　。應用軟件

　　4. 網絡管理標準

　　TCP/IP 網絡管理最初使用的是 1987 年 11 月提出的簡單網關監(jiān)控協(xié)議 SGMP ( Simple Gateway Monitoring Protocol )，在此基礎上改進成簡單網絡管理協(xié)議第一版 SNMPv1 ( Simple Network Management Protocol )，陸續(xù)公布在 1990 和 1991 年的幾個 RFC ( Request For Comments )文件中，即 RFC 1157 ( SMI )， 1157 ( SNMP )， RFC1212 ( MIB 定義)和 RFC1213 ( MIB-2 規(guī)范)。由于其簡單性和易于實現， SNMPv1 得到了許多制造商的支持和廣泛應用。幾年以后在第一版的基礎上改進功能和安全性，又產生了第二版 SNMPv2 ( RFC1902-1908 ， 1996 )。最新的標準 SNMPv3 ( RFC2570-2575 Apr .1999 )已經完成了。

　　在同一時期用于監(jiān)視局域網通信的標準 - 遠程網絡監(jiān)視 RMON ( Remiote Monitoring )也出現了，這就是 RMON-1 ( 1991 )和 RMON-2 ( 1995 )。這一阻標準定義了監(jiān)視網絡通信的管理信息庫，是 SNMP 管理信息庫的擴充，與 SNMP 協(xié)議配合可以提供更有效的管理性能，也得到了廣泛應用。

　　另外， IEEE 定義了局域網的管理標準，即 IEEE802.1b LAN/MAN 管理。這個標準用于管理物理層和數據鏈路層的 OSI 設備，因而叫做 CMOL ( CMIP over LLC )。為了適應電信網絡管理的需要， ITU-T 在 1989 年定義了電信網絡管理標準 TMN ( Telecommunications Management Network )，即 M.30 建議(藍皮書)。可見網絡管理是一個廣闊的研究領域，而卻很多東西是相通的。

　　(二)OSI 系統(tǒng)管理的基本概念

　　1.OSI 管理框架

　　OSI 系統(tǒng)管理操作在對等的開放系統(tǒng)之間進行，一個系統(tǒng)為管理站，另一個系統(tǒng)起代理的作用，即管理站實施管理功能，而代理接受管理站的查詢，并且根據管理站的命令設置管理對象的參數。

　　管理站和代理要能夠互相通信，它們之間就要互相了解，這可以通過交換應用上下文( Application Context，AC )實現。 AC 是指管理站和代理之間共同使用的應用服務元素及其調用規(guī)則。至于具有哪些功能和功能單元，支持哪些管理對象類，管理功能和管理對象之間有什么關系等，也是彼此需要了解的，這些叫做共享的管理知識。系統(tǒng)管理應用實體的管理知識存儲在本地的文件中，在應用聯(lián)系建立階段，通過交換應用上下文，形成共享的管理知識。

　　2.通信機制

　　管理站和代理指的信息交換通過協(xié)議數據單元( PDU )進行。通常是管理站向代理發(fā)送請求 PDU ，代理以響應 PDU 回答，而管理信息包含在 PDU 參數中。在有些情況下，代理也可能向管理站發(fā)送消息，特別把這種消息叫做時間報告(或通知)，管理站可根據報告的內容決定是否作出回答。

　　為了及時了解管理對象的最新情況，代理必需經常地查詢對象地各種參數。這種定期查詢叫輪詢( Polling )。輪詢地間隔或頻度對于網絡管理地性能有很大的影響。輪詢過于頻繁，會加重網絡通信負載;輪詢稀少，又不能及時掌握管理對象的最新狀態(tài)。所以輪詢的間隔應根據網絡配置和管理標準仔細設計。另外如果管理對象中出現了特殊情況，例如打印機缺紙，管理對象不必等待代理查詢，可直接向代理發(fā)出通知。如果必要，代理可以把對象的通知以事件報告的形式發(fā)往管理站。

　　有時管理站要想知道代理是否存在，是否可隨時與之通信。這時可以利用一種叫做心跳的機制( Heartbeats )，即代理每隔一定事件想管理站發(fā)出信號，報告自己的狀態(tài)。同樣，心跳的間隔也時需要慎重決策的。

　　3.管理域和管理策略

　　對于分布式管理，管理域式一個重要的概念。管理對象的集合叫做管理域。管理域的劃分可能是基于地理范圍的，也可能是基于管理功能的，或者是由于技術的原因。無論怎樣劃分，其目的都是對于不同管理域中的對象實行不同的管理策略。

　　每個管理域有一個唯一的名字，包含一組被管理對象，代理和管理對象之間有一套通信規(guī)則。屬于一個管理域的對象也可能屬于另一個管理域，當網絡被劃分為不同的管理域后，還應該有一個更高級的控制中心，以免引起混亂。因而在以上概念模型的基礎上又引入行政域( Administrative Domian )的概念。行政域的作用是劃分和改變管理域，協(xié)調管理域之間的關系。此外，行政域也對本域中的管理對象和代理實施管理和控制。

　　4.管理信息結構

　　管理信息描述管理對象的狀態(tài)和行為。 OSI 標準采用面向對象的模型定義管理對象。按照對象類的繼承關系，表示管理信息的所有對象類型組成一個繼承層次樹。繼承性反映了軟加重用性。設計一個新的對象類時不必全部從頭開始，可以根據新數據類型的屬性和已有對類的相似關系把新類插入到繼承層次樹中。相同的屬性可以從父類中繼承，再在父類的基礎上設計新對象類的特性，從而減少了設計工作量。這種設計方法已經是現代程序設計和系統(tǒng)設計的常規(guī)方法了。

　　OSI 管理的面向對象模型是一個非常復雜的模型，幾乎囊括了已知的所有面向對象的概念，例如多繼承性，多態(tài)性( Polymorphism )和同質異晶性( Allomorphism )等。多繼承性是指一個子類有多個超類，多念性源于繼承性，子類繼承超類的操作，同時又對繼承的操作做了特別的修改，這樣不同的對象類對同一操作會做出不同的響應，這種特性就叫多態(tài)性。我們說一個對象具有同質異晶性是指它可以是多個對象類的實例，例如一個協(xié)議又兩個兼容的版本，一個協(xié)議實體既是老版本的實例，又是新版本的實例。

　　一個管理對象可以是另一個管理對象的一部分，這就形成了管理對象之間的包含關系。包含關系可以表示成有向樹。

　　包含樹與對象名的命名有關，因而包含樹對應于對象命名樹。對象的名字分為全局名和本地名。全局名從包含樹的樹根開始，向下級聯(lián)各個被包含對象的名字，直到指稱的對象。而本地名則可以從任意上級包含對象的名字開始向下級聯(lián)。

　　在 OSI 標準中管理對象類由 ASN.1 的對象標識符表示。對象標示符是由圓點個開的整數序列。這一列整數反映了對象注冊的順序，即在注冊層次樹中的位置。我們直到網上的任何信息都可以用 ASN.1 定義，并根據與其他信息的關系為其指定一個對象標識符。這樣所有網絡信息就組成了注冊層次樹。這個樹的根指向 ASN.1 標準，沒有編號。

　　5.系統(tǒng)管理支持功能

　　簡單地說，應用層由應用進程( Application Process ， AP )及其使用的應用實體( Application Entity ， AE )組成，應用進程把信息處理功能和通信功能組合在一起，通過一個全局的名字可以調用這個功能。例如遠程數據庫訪問可組成一個應用進程，這個應用進程與遠處的數據庫服務進程交互作用(發(fā)出檢索命令，接收響應，處理結果)，完成數據庫檢索。應用進程的通信功能是由應用實體實現的。為了實現不同性質的通信，一個應用進程可能使用一個或多個應用實體。應用實體還可以再劃分為應用服務元素( Application Service Eleent ， ASE )。 ASE 是具有簡單通信能力的功能模塊，對等的 ASE 之間有專用的服務定義和協(xié)議規(guī)范。應用實體首先要與對等的應用實體建立應用聯(lián)系( Application Association ， AA )，然后才能通信。建立應用聯(lián)系的過程主要是交換應用上下文( Application Context ， AC )。 AC 是可以用名字(對象標識符)引用一組 ASE 及其調用規(guī)則。在建立聯(lián)系期間通過協(xié)商確定共同認可的應用上下文，并在應用活動期間遵守商定的通信規(guī)則。

　　應用服務元素分為公用服務元素和專用服務元素。在網絡管理中使用的公用服務元素有聯(lián)系控制服務元素 ACSE 和遠程操作服務元素 ROSE . ACSE 專門用于建立年個月度年個 聯(lián)系，這個元素對任何應用都是必要的。 ROSE 用于實現對等應用實體之間遠程過程調用，當管理站啟動管理對象中的特殊操作時要利用這個元素。

　　網絡掛歷中使用的專用服務元素叫公共管理信息服務元素 CMISE ，這一組服務元素共同組成 CMISE . CMISE 共有 7 種，其中 4 種時確認的(類型為 c )， 3 種可以有可以沒有確認(類型為 c/n )。在 OSI 管理標準中，公共管理服務元素和公共管理協(xié)議操作一一對應。

　　6.系統(tǒng)管理功能域

　　ISO7498-4 文件定義了 5 個系統(tǒng)管理功能域( SMFA )，即配置管理、故障管理、性能管理、記帳管理和安全管理。

　　(三)網絡管理系統(tǒng)

　　1.NetView

　　IBM 公司早在 70 年代末就推出了一系列網絡管理工具，經過不斷的修改和擴充，在 1986 年正式宣布了 NetView .起初這個網管工具主要用在 SNA 網絡中，經過 10 多年的改進，終于演變成能夠支持多種協(xié)議的、能滿足局域網和廣域網管理需要的功能強大的網絡管理工具。

　　2.SunNet Manager

　　SUN 公司的網絡管理系統(tǒng) SunNet Manager 運行在 X Windows 上，用于管理 TCP/IP 網絡，完整地支持 SNMP 協(xié)議。它的功能元素主要有管理應用程序、代理和委托代理程序等，管理應用程序收集和掛歷網絡中各個結點的信息;而代理和委托代理則接受掛歷應用程序的檢索請求，報告所管理結點的有關數據。委托代理還有兩種特別的功能與代理不同，一是它使用遠程過程調用( RPC )技術響應管理應用程序的請求，因而可以處理多種協(xié)議;二是它可以管理多個站，形成局部的集中式管理，很適合站點密集型局域網應用。

　　管理控制臺是用戶和管理應用交互作用的工具。這個軟件運行在管理站上，可以用圖形、圖表或記錄格式顯示來自代理的數據報告，還可以把數據存儲在磁盤文件中，供以后分析用。當代理發(fā)來用戶定義的事件報告(例如設備啟動)時，管理應用程序接收后以 E-mail 報文和聲音警告的形式顯示在管理控制臺上。

　　管理數據庫包含各種信息，例如關于結點的定義信息(名字可響應的請求)，關于代理的定義信息(屬性和配置)等。所有信息存儲在緩沖池中。任何時候緩沖池中保存的都是有關網絡元素最新的信息集合，就像網絡元素的“快照”一樣。

　　SunNet Manager 的管理應用程序接口( API )提供了各種實用程序和庫函數，可供有用戶定做自己的管理應用程序。

　　3. Open View

　　Open View 是 HP 公司的網絡管理系統(tǒng)。由于 HP 公司一貫支持 UNIX 和 TCP/IP 的傳統(tǒng)，因而 Open View 原本是用來管理 TCP/IP 網絡的，但是今天的 Open View 已經演變成為能管理多種網絡(無論是局域網或廣域網)多種協(xié)議的功能強大的軟件包。

　　4.基于 Web 的網絡管理―― JMAPI

　　基于 Web 的網絡管理系統(tǒng)是目前網絡管理發(fā)展的一種趨勢。 SUN 公司提供了一組 JAVA 編程接口，供用戶開發(fā)基于 Web 瀏覽器的網絡管理應用。這一組編程借口統(tǒng)稱 JMAPI 。

　　第二章 管理信息庫 MIB-2

　　考試要求

　　1.SNMP的基本概念，要求達到識記層次

　　TCP/IP協(xié)議簇中的主要協(xié)議

　　Internet的網絡管理框架

　　簡單網絡管理協(xié)議體系結構

　　委托代理的概念和作用

　　2.管理信息結構，要求達到領會層次

　　ASN.1中有關的通用類型，以及SNMPv1中的應用類型對象

　　定義管理對象的 ASN.1宏定義，管理信息結構的定義方法

　　表的概念和語法，以及對象標識符的詞典順序

　　3.MIB-2中的管理對象，要求達到簡單應用層次

　　系統(tǒng)組中的管理對象及其在網絡管理中的應用

　　接口組中的管理對象及其在網絡管理中的應用

　　組中的管理對象及其在網絡管理中的應用

　　IP組中的管理對象及其在網絡管理中的應用

　　ICMP組中的管理對象及其在網絡管理中的應用

　　TCP組中的管理對象及其在網絡管理中的應用

　　UDP組中的管理對象及其在網絡管理中的應用

　　EGP組中的管理對象及其在網絡管理中的應用

　　MIB組中的管理對象及其在網絡管理中的應用

　　知識重點

　　(一)SNMP的基本概念

　　1.TCP/IP協(xié)議簇

　　在 Internet中，用主機(Host)一詞泛指各種工作站、服務器、PC機、甚至大型計算機。用于連接網絡的設備叫網關，或IP路由器。組成互聯(lián)網的各個網絡可能是IEEE802.3，802.5或其他任何局域網，甚至廣域網。

　　TCP是端系統(tǒng)之間的協(xié)議，其功能是保證系統(tǒng)之間可靠地發(fā)送和接收數據，并給應用進程提供訪問端口。互聯(lián)網中所有端系統(tǒng)和路由器都必需實現IP協(xié)議。IP地主要功能是根據全網唯一的地址把數據從源主機搬運到目標主機。當一個主機中的應用進程選擇傳輸服務(例如TCP)為其傳送數據時，以下各層實體分別加上該層協(xié)議的控制信息，形成協(xié)議數據單元。當IP分組到達目標網絡目標主機后由下層協(xié)議實體逐層向上提交，沿著相反的方向一層一層剝掉協(xié)議控制信息，最后把數據交給應用層接收進程。

　　2.Internet的網絡管理框架

　　在 Internet中，網絡、設備和主機的管理叫做網絡管理，這里的術語與OSI是不同的。早期的Internet中沒有專門的網絡管理協(xié)議，唯一可用于網絡管理協(xié)議是ICMP.在網絡管理中，ICMP有用的部分是回聲(請求/響應)和時間戳(請求/響應)報文，再加上IP頭的某些選項(例如源路由和路由記錄等)，就可以開發(fā)簡單的管理工具。其中最著名的就是PING(Packet InterNet Groper)程序。

　　3.簡單網絡管理協(xié)議的體系結構

　　由于 SNMP定義為應用層協(xié)議，所以它依賴于UDP數據報服務。同時SNMP實體向管理應用程序提供服務，它的作用是把管理應用程序的服務調用變成對應的SNMP協(xié)議數據單元，并利用UDP數據報發(fā)送出去。

　　其所以選擇 UDP協(xié)議而不是TCP協(xié)議，這是因為UDP效率較高，這樣實現網絡管理不會太多地增加網絡負載。但由于UDP不是很可靠，所以SNMP報文容易丟失。為此，對SNMP實現的建議是對每個管理信息要裝配成單獨的數據報獨立發(fā)送，而且報文應短些，不超過484個字節(jié)。

　　每個代理進程管理若干管理對象，并且與某些管理站建立團體( community)關系，團體名作為團體的全局標識符，是一種簡單的身份認證手段。一般來說代理進程不接受沒有通過團體名驗證的報文，這樣可以防止假冒的管理命令。同時在團體每部也可以實行專用的管理策略。

　　(二)管理信息結構

　　管理信息結構( SMI)說明了定義和構造MIB的總體框架，以及數據類型的表示和命名方法。SMI的宗旨是保持MIB的簡單型和可擴展性，只允許存儲標量和二維數組，不支持復雜的數據結構。從而簡化了實現，加強了互操作性。

　　SMI 提供了以下標準技術表示管理信息：

　　。定義了 MIB的層次結構

　　。提供了定義管理對象的語法結構

　　。規(guī)定了對象值的編碼方法

　　(三)MIB-2功能組(RFC1213)

　　RFC1213 定義了管理信息庫第 2 版，即 MIB-2 .這個文件包含 11 個功能組，共 171 個對象。 RFC1213 說明了選擇這些對象的標準。

　　(1)包括了故障管理和配置管理需要的對象。

　　(2)只包含“弱”控制對象。所謂“弱”控制對象就是一旦出錯對系統(tǒng)不會造成嚴重危害的對象。這反映了當前的管理協(xié)議不很安全，不能對網絡實施太強的控制。

　　(3)選擇經常使用的對象，并且友好證明當前的網絡管理中正在使用。

　　(4)為了容易實現，開發(fā) MIB-1 時限制對象數為 100 個左右，在 MIB-2 中，這個限制稍由突破( 117 個)。

　　(5)不包含具體實現(例如 BSD UNIX )專用的對象。

　　(6)為了避免冗余，不包括那些可以從已有對象導出的對象。

　　(7)每個協(xié)議層的每個關鍵部分分配一個計數器，這樣可以避免復雜的編碼。

　　MIB-2 只包括那些被認為是必要的對象，不包括任選的對象。對象的分組方便了管理實體的實現。一般來說，制造商如果認為某個功能組是有用的，則必須實現該組的所有對象。例如一個設備實現 TCP 協(xié)議，則它必須實現 tcp 組所有對象，當然網橋或路由器就不必實現 tcp 組。

　　第三章 簡單網絡管理協(xié)議 SNMPv1

　　考試要求

　　1.SNMPv1支持的操作，要求達到識記層次

　　SNMPv1 PDU的格式

　　SNMPv1報文的應答序列

　　報文的發(fā)送和接收過程

　　2.SNMPv1的安全機制，要求達到識記層次

　　團體的概念

　　SNMPv1的簡單認證過程

　　SNMPv1可采用的訪問策略

　　3.SNMPv1的操作，要求達到綜合應用層次

　　檢索簡單對象的方法

　　檢索未知對象的方法

　　檢索表對象的方法

　　表的更新和刪除操作

　　陷入操作的原理和陷入的種類

　　4.SNMP功能組，要求達到領會層次

　　SNMPv1功能組對象的含義和作用

　　5.實現問題，要求達到領會層次

　　對網絡管理站的功能要求

　　輪詢頻率對網絡管理性能的影響

　　SNMPv1的局限性

　　知識重點

　　(一)SNMPv1 協(xié)議數據單元

　　1.SNMPv1支持的操作

　　SNMP僅支持對管理對象值的檢索和修改等簡單操作。具體地說， SNMP實體可以對MIB-2中的對象支持執(zhí)行下列操作：

　　。 Get：管理站用于檢索管理信息庫中標量對象的值。

　　。 Set：管理站用于設置管理信息庫中標量對象的值。

　　。 Trap：代理用于向管理站報告管理對象的狀態(tài)變化。

　　2.SNMP PDU格式

　　RFC1157給出了SNMPv1協(xié)議的定義，這個定義是用ASN.1表示的，在SNMP管理中，管理站和代理之間交換的管理信息構成了SNMP報文。報文由3部分組成，即版本號、團體名和協(xié)議數據單元(PDU)。報文頭中的版本號是指SNMP的版本，RFC1157為第一版。團體名用于身份認證，我們將在下一節(jié)介紹SNMP的安全機制時談到團體名的作用。SNMP共有5種管理操作，但只有4種PDU格式。管理站發(fā)出的3種請求報文GetRequest、 GetNextRequest和SetRequest采用的格式是一樣的，代理的應答報文格式只有一種：GetResponsePDU，從而減少了PDU的種類。

　　3.報文應答序列

　　SNMP報文在管理站和代理之間傳送，包含GetRequest、GetNextRequest和SetRequest的報文由管理站發(fā)出，代理以GetRequest響應。Trap報文由代理發(fā)給管理站，不需要應答。一般來說，管理站可連續(xù)發(fā)出多個請求報文，然后等待代理返回的應答報文。如果在規(guī)定的時間內收到應答，則按照請求標識進行配對，亦即應答報文必須與請求報文有相同的請求標識。

　　4.報文發(fā)送和接收

　　當一個 SNMP協(xié)議實體(PE)發(fā)送報文執(zhí)行下面的過程：首先是按照ASN.1的格式構造PDU，交給認證進程。認證進程檢查源和目標之間是否可以通信，如果通過這個檢查則把有關信息(版本號、團體名、PDU)組裝成報文。最后經過BER編碼，交傳輸實體發(fā)送出去。

　　當一個 SNMP協(xié)議實體(PE)接收到報文時執(zhí)行的過程：首先是按照BER編碼恢復ASN.1報文，然后對報文進行語法分析、驗證版本號和認證信息等。如果通過分析和驗證，則分離出協(xié)議數據單元，并進行語法分析，必要、時經過適當處理后返回應答報文。在認證檢驗失敗時可以生成一個陷入報文，向發(fā)送站報告通信異常情況。無論何種檢驗失敗，都丟棄報文。

　　SNMP操作訪問對象實例，而且只能訪問對象標識符樹的葉子結點。然而為了減少通信負載，我們希望一次檢索多個管理對象，把多個變量的值裝入一個PDU.這時要用到變量綁定表。RFC1157建議在Get和GetNext協(xié)議數據單元中發(fā)送實體把變量置為ASN.1的NULL值，接收實體處理時忽略它，在返回的應答協(xié)議數據單元中設置為變量的實際值。

　　(二)SNMPv1的安全機制

　　1.團體的概念

　　SNMP網絡管理是一種分布式應用。這種應用的特點是管理站和被管理站之間的關系可以是一對多關系，即一個管理站可以管理多個代理，從而管理多個被管理設備。另一方面，管理站和代理之間還可能存在多對一的關系。代理控制自己的管理信息庫，也控制多哥管理站對管理信息庫的訪問，例如，只有授權的管理站才允許訪問管理信息庫，或者限制不同的管理站可以訪問管理信息庫的不同部分。另外，委托代理也可能按照預定的訪問策略控制對其代理的設備的訪問。RFC1157為此提供的認證和控制機制就是這種最初等最基本的團體名驗證功能。

　　2.簡單的認證服務

　　一般來說，認證服務的目的是保證通信是經過授權的。具體到 SNMP環(huán)境中，認證服務主要是保證接收的報文來自它所聲稱的源。RFC1157提供的只是最簡單的認證方案：從管理站發(fā)送到代理的報文(Get，Set等)都有一個團體名，就像是口令字一樣。通過團體名驗證的報文才是最有效的。

　　3.訪問策略

　　前面說過，代理系統(tǒng)可以通過設置團體選擇訪問 MIB的管理站，或者通過定義管理對象的訪問模式限制管理站對MIB的訪問。這樣，所謂的訪問控制就有兩方面的含義：

　　。 MIB視閾：MIB中對象一個子集，對不同的團體可以定義不同的視閾(View)。屬于同一視閾的對象不必屬于同一子樹。

　　。訪問模式：集合 {read-only，read-write}的一個元素。對于一個團體可以定義一種訪問模式。

　　4.委托代理服務

　　團體形象的概念同樣適用于委托代理服務。通常，委托代理是代表不支持 SNMP的設備工作的。但是在有些情況下，被代理的設備也可能支持TCP/IP和SNMP，而委托代理的作用是減少被代理的設備與管理站之間的交互過程。對于被代理的設備，委托代理定義并且維護一種SNMP訪問策略。委托代理知道那些MIB對象代表被管理的設備，也知道這些設備的訪問模式。

　　(三)SNMPv1操作

　　1.檢索簡單對象

　　檢索簡單的標量對象值可以用 Get操作，如果變量綁定表中包含多個標量，一次還可以檢索多個標量對象的值。接收GetRequest的SNMP實體以請求標識相同的GetRequest響應。特別要注意的識GetRequest操作的原子性：如果所有請求的對象值可以得到，則給予應答;反之，只要有一個對象的值得不到，則可能返回下列錯誤條件之一：

　　。變量綁定表中得一個對象無法與 MIB中的任何對象標識符匹配，或者要檢索得對象是一個數據塊(子樹或表)，沒有對象實例生成。在這些情況下，響應實體返回得GetRequestPDU中錯誤狀態(tài)字段置為noSuch Name，錯誤索引設置為一個數，指明有問題變量。變量綁定表中不返回任何值。

　　。響應實體可以提供所有要檢索的值，但是變量太多，一個響應 PDU裝不下，這往往是由下曾協(xié)議數據單元大小限制的。這時響應實體返回一個應答PDU，錯誤狀態(tài)字段置為tooBig。

　　。由于其他原因(例如代理不支持)響應實體至少不能提供一個對象的值，則返回的 PDU中錯誤字段置為genError，錯誤索引置一個數，指明有問題的變量。變量綁定表中不返回任何值。

　　2.檢索未知對象

　　Get Next命令檢索變量名指示下一個對象實例，但是并不要求變量名是對象標識符，或者是實例標識符。

　　3.檢索表對象

　　GetNext可用于有效地搜索表對象。

　　4.表的更新和刪除

　　Set 命令用于設置或更新變量的值。它的 PDU 格式與 Get 是相同的，但是在變量綁定表中必須包含要設置的變量名和變量值。對于 Set 命令的應答也是 GetResponse ，同樣是原子性的。如果所有的變量都可以設置，則更新所有變量的值，并在應答 GetResponse 中確認變量的新值;如果至少有一個變量的值不能設置，則所有變量的值都保持不變，并在錯誤狀態(tài)中指明出錯的原因。 Set 出錯的原因與 Get 是類似的( tooBig，noSuchName 和 genError )，然后若有一個變量的名字和要設置的值在類型、長度或實際方面不匹配，則返回錯誤條件 badValue .

　　5. 陷入操作

　　陷入是由代理向管理站發(fā)出的異步事件報告，不需要應答報文。 SNMP規(guī)定了6種陷入條件：

　　。 coldStart 發(fā)送實體重新初始化，代理的配置已改變，能常是由系統(tǒng)失效引起的。

　　。 warmStart 發(fā)送實體重新初始化，但代理的配置沒有改變，這是正常的重啟動過程。

　　。 linkDown 鏈路失效通知，變量綁定表的第一項指明對應接口表的索引變量及其變值。

　　。 linkUp 鏈路啟動通知，變量綁定表的第一項指明對應接口表的索引變量及其值。

　　。 authenticationFailure 發(fā)送實體收到一個沒有通過認證的報文。

　　。 egpNeighborLoss 相鄰的外部路由器失效或關機。

　　。 enterpriseSpecific 由設備制造商定義的陷入條件，在特殊陷入(specifc-trap)字段指明具體的陷入類型。

　　(四)SNMP功能組

　　SNMP組包含的西關系到SNMP協(xié)議的實現和操作。這一組共有30個對象，在只支持SNMP站管理功能或只支持SNMP代理功能的實現中，有些對象是沒有值的。除了最后一個對象，這一組的其他對象都是只讀的計數器。對象snmpEnableAutheuTrap可以由管理站設置，它指示是否允許代理產生“認證失效”陷入，這種設置優(yōu)先于代理自己的配置。這樣就提供了一種可以排除所有認證失效陷入的手段。

　　(五)實現問題

　　1.網絡管理站的功能

　　。支持擴展的 MIB：強有力的SNMP對管理信息庫的支持必須是開放的。特別對于管理站來說，應該能夠裝入其他制造商定義的擴展MIB.

　　。圖形用戶接口：好的用戶接口可以使網絡管理工作更容易更有效。通常要求具有圖形用戶接口，而且對網絡管理的不同部分有不同的窗口。例如能夠顯示網絡拓撲接口、顯示設備的地理位置和狀態(tài)信息，可以計算并顯示通信統(tǒng)計數據圖表，具有各種輔助計算工具等。

　　。自動發(fā)現機制：要求管理站能夠自動發(fā)現代理系統(tǒng)，能夠自動建立圖標并繪制出連接圖形。

　　?？删幊痰氖录褐С钟脩舳x事件，以及出現這些事件時執(zhí)行的動作。例如路由器失效時應閃動圖標或改變圖標的顏色，顯示錯誤狀態(tài)信息，向管理員發(fā)送電子郵件，并啟動故障檢測程序等。

　　。高級網絡控制功能：例如配置管理站使其可以自動地關閉有問題的集線器、自動地分離出活動過度頻繁地網段等。這樣地功能要使用 set操作。由于SNMP欠缺安全性，很多產品不支持set操作，所以這種要求很難滿足。

　　。面向對象地管理模型： SNMP其實不是面向對象的系統(tǒng)。但很多產品是面向對象的系統(tǒng)，也能支持SNMP.

　　。用戶定義的圖標：方便用戶為自己的網絡設備定義有表現力的圖標。

　　2.輪詢頻率

　　我們需要一種能提高網絡管理性能的輪詢策略，以決定合適的輪詢頻率。通常輪詢頻率與網絡的規(guī)模和代理的多少有關。而網絡管理性能還取決于管理站的處理速度、子網數據速率、網絡擁擠程度等眾多的其他因素，所以很難給出準確的判斷規(guī)則。為了使問題簡化，我們假定管理站以次只能與一個代理作用，輪詢只是采用 get請求/響應這種簡單形式，而且管理站全部時間都用來輪詢，于是我們有下面的不等式：

　　3.SNMPv1的局限性

　　用戶利用 SNMP進行網絡管理時一定要清楚SNMPv1本身的局限性：

　　。由于輪詢的性能限制， SNMP不適合管理很大的網絡。輪詢產生的大量管理信息傳送可能引起網絡響應時間的增加。

　　。 SNMP不適合檢索大量的數據，例如檢索整個表中的數據。

　　。 SNMP的陷入報文時沒有應答的，管理站是否收到陷入報文，代理不得而知。這樣可能丟掉很重要得管理信息。

　　。 SNMP只提供簡單的團體名認證，這樣的安全措施時很不夠的。

　　。 SNMP并不直接支持向被管理設備發(fā)送命令。

　　。 SNMP的管理信息庫MIB-2支持的管理對象是有限的，不足以完成復雜的管理功能。

　　。 SNMP不支持管理站之間的通信，而這一點在分布式網絡管理中是很需要的。

　　以上局限性有很多在 SNMP的第2版都有所改進。

　　第四章 遠程網絡監(jiān)視RMON

　　考試要求

　　1.RMON的基本概念，要求達到領會層次

　　遠程網絡監(jiān)視的目標

　　表管理操作(行增加、行刪除和行修改)

　　多管理站訪問中出現的問題及其解決辦法

　　2.RMON管理信息庫，要求達到簡單應用層次

　　與以太網統(tǒng)計信息收集有關的功能組

　　與令牌環(huán)網配置和統(tǒng)計信息收集有關的功能組

　　警報對象的作用，警報方式的工作原理，以及有關的功能組

　　過濾測試的邏輯規(guī)則和通道的定義與操作

　　包撲獲方式和事件記錄的工作原理

　　3.RMON2管理信息庫，要求達到簡單應用層次RMON2 MIB的組成

　　RMON2增加的新功能

　　RMON2 MIB在網絡上層(網絡層和應用層)管理中的作用

　　知識重點

　　(一)RMON的基本概念

　　1.遠程網絡監(jiān)視的目標

　　離線操作：必要時管理站可以停止對監(jiān)控器輪詢，有限的輪詢可以節(jié)省網絡帶寬和通信費用。即使不受管理站查詢，監(jiān)視器也要持續(xù)不斷地收集子網故障、性能和配置方面地信息。統(tǒng)計和積累數據，以便管理站查詢時即使提供管理信息。另外，在網絡出現異常情況監(jiān)視器要及時報告管理站。

　　主動監(jiān)視：如果監(jiān)視器有足夠地資源，通信負載也容許，監(jiān)視器可以連續(xù)地或周期地運行診斷程序，獲得并記錄網絡性能參數。在子網出現失效時通知管理站，給管理站提供有用地診斷故障信息。

　　問題檢測和報告：如果主動監(jiān)視消耗網絡資源大多，監(jiān)視器也可以被動地獲取網絡數據。可以配置監(jiān)視器，使其連續(xù)觀察網絡資源的消耗情況，記錄隨時出現的異常條件(例如網絡擁擠)，并在出現錯誤條件時通知管理站。

　　提供增值數據：監(jiān)視器可以分析收集到的子網數據，從而減輕了管理站的計算任務。例如監(jiān)視器可以分析子網的通信情況，計算出哪些主機通信最多，哪些主機出錯最多等等。這些數據的收集和計算由監(jiān)視器來做，比由遠處的管理站來做更有效。

　　多管理站操作：一個互聯(lián)網可能有多個管理站，這樣可以提高可靠性，或者分布地實現各種不同的管理功能。監(jiān)視器可以配置得能夠并發(fā)地工作，為不同的管理站提供不同的信息。不是每一個監(jiān)視器都能實現所有這些目標，但是 RMON規(guī)范提供了實現這些目標的基礎結構。

　　2.表管理原理

　　在 SNMPv1管理框架中，對表操作的規(guī)定是很不完善的，至少增加和刪除表行的操作是不明確的。這種模糊性常常是讀者提問的焦點和用戶抱怨的根源。RMON規(guī)范包含一組文字約定和過程話規(guī)則，在不修改、不違反SNMP管理框架下的前提下提供了明晰而規(guī)律的行增加和行刪除操作。

　　3.多管理站訪問

　　RMON監(jiān)視器應允話多個管理站并發(fā)地訪問，當多個管理站訪問時可以出現問題：

　　。多個管理站對資源的并發(fā)訪問可能超過監(jiān)視器的能力。

　　。一個管理站可能長時間站用監(jiān)視器資源，使得其他站得不到訪問。

　　。占用監(jiān)視器資源得管理站可能崩潰，然而沒有釋放資源。

　　RMON控制表中的列對象Owner規(guī)定了表行的所屬關系，所屬關系有以下用法，可以解決多個管理占并發(fā)地訪問的問題：

　　。管理站能認得自己所屬的資源，也知道自己不再需要的資源。

　　。網絡操作員可以知道管理站占有的資源，并決定是否釋放這些資源。

　　。一個被授權的網絡操作員可以單方面地決定是否其他操作員保有地資源。

　　。如果管理站經過了重啟動過程，它應該首先釋放不再使用的資源。

　　RMON規(guī)范建議，所屬標志應包括IP地址，管理站名，網絡管理員的名字、地點和電話號碼等。所屬標志不能作為口令或訪問控制機制使用。在SNMP管理框架中唯一的訪問控制機制是SNMP視閾和團體名。如果一個可讀/寫的RMON控制表出現在某些管理站的視閾中，則這些管理站都可以進行讀/寫訪問。但是控制表行只能由其所有者改變或刪除，其他管理站只能進行讀訪問。這些限制的實施已超出了SNMP和RMON的范圍。

　　為了提供共享的功能，監(jiān)視器通常配置一定的默認功能。定義這些功能的控制行的所有者是監(jiān)視器，所屬標志的字符串以監(jiān)視器名打頭，管理站只能以讀方式利用這些功能。

　　(二)RMON的管理信息庫

　　RMON 規(guī)范定義了管理站信息庫 RMON MIB ，它是 MIB-2 下面的 16 個子樹。 RMON MIB 分為 10 組，存儲在每一組中的信息都是監(jiān)視器從一個或幾個子網中統(tǒng)計和收集數據。這 10 個功能組都是任選的，但實現時有下列聯(lián)帶關系：

　　。實現警報組時必須實現事件組。

　　。實現最高N臺主機組時必須實現主機組。

　　。實現撲獲組時必須實現過濾組。

　　(三)RMON2管理信息庫

　　1.RMON2 MIB的組成

　　RMON2監(jiān)視OSI/RM第3到第7曾的通信，恩能夠對數據鏈路層以上的分組進行譯碼。這使得監(jiān)視器可以管理網絡層協(xié)議，包括IP協(xié)議。因而能了解分組的源和目標地址，能知道路由器負載的來源，使得監(jiān)視的范圍擴大到局域網之外。監(jiān)視器也能監(jiān)視應用層協(xié)議，例如電子郵件協(xié)議、文件傳輸協(xié)議、HTTP協(xié)議等，這樣監(jiān)視器就可以記錄主機應用活動的數據，可以顯示各種應用活動的圖表。這些對網絡管理人員都是很重要的信息。另外，在網絡管理標準中，通常把網絡層之上的協(xié)議都叫做應用層協(xié)議，以后提到的應用層包含OSI的5，6，7層。

　　2.RMON2增加的功能

　　RMON2引入了兩種與對象索引有關的新功能，增加了RMON2的能力和靈活性。

　　3.檢索表對象

　　RMON2新功能的應用，主要是網絡協(xié)議的表示方法，用戶歷史的定義方法和監(jiān)視器的標準配置方法等。

　　第五章簡單網絡管理協(xié)議 SNMPv2

　　考試要求

　　1.SNMP的演變，要求達到識記層次

　　SNMP的演變過程

　　2.網絡安全問題，要求達到領會層次

　　計算機網絡的安全威脅

　　網絡管理中的安全問題

　　網絡中的安全機制：數據加密技術、數據完整性和數據源認證技術

　　3.管理信息結構，要求達到領會層次

　　對象的定義

　　表的定義、索引和操作

　　通告的定義和作用

　　4.管理信息庫，要求達到簡單應用層次

　　System組增加的新對象

　　SNMP組對象與SNMPv2操作的關系

　　MIB對象組的作用

　　一致性聲明的主要內容

　　接口組增加的對象及應用

　　5.SNMPv2的操作，要求達到簡單應用層次

　　SNMPv2的報文結構和交換序列

　　SNMPv2協(xié)議數據單元的功能和操作

　　SNMPv2管理站之間的通信機制

　　6.SNMPv2的實現，要求達到領會層次

　　可利用的種種傳輸服務

　　SNMPv2與OSI的兼容性

　　在 TCP/IP網絡中實現OSI系統(tǒng)管理功能的方法

　　SNMP的局限性

　　知識重點

　　(一) SNMP的演變

　　1.SNMP的發(fā)展

　　當初提出 SNMP 的目的識作為彌補網絡管理協(xié)議發(fā)展階段之間空缺的一種臨時性措施。 SNMP 出現后顯示了許多優(yōu)點。最主要的優(yōu)點是：簡單、容易實現，而且是基于人們熟悉的 SGMP ( Simple Gateway Monitoring Protocol )協(xié)議，已有相當多的操作經驗。在 1998 年，為了適應當時緊迫的網絡管理需要，確定了網絡管理標準開發(fā)的雙軌制策略。

　　?SNMP可以滿足當前的網絡管理需要，用語管理配置簡單的網絡，并且在將來以平穩(wěn)地過度到新地網絡管理標準。

　　?OSI網絡管理(即CMOT)作為長期地解決辦法，可以應付未來更復雜地網絡的配置，提供更全面的管理功能。但是需要較長的開發(fā)過程，以及開發(fā)商和用戶接受的過程。

　　為了修補SNMP的安全缺陷，1992年7月出現了一個新標準――安全SNMP(S-SNMP)，這個協(xié)議增強了安全方面的功能：

　　。用報文摘要算法 MD5保證數據完整性和進行數據源認證。

　　。用時間戳對報文排序。

　　。用 DES算法提供數據加密功能。

　　但是，S-SNMP沒有改進SNMP在功能和效率方面的其他缺點。幾乎與此同時，有任又提出了另外一個協(xié)議SMP(Simple Management Protocol)，這個協(xié)議由8個文件組成(非RFC)，它對SNMP的擴充表現在下列方面：

　　。適用范圍： SMP可以管理任意資源，不僅是網絡資源，還可用于應用管理，系統(tǒng)管理?？蓪崿F管理站之間的通信，也提供了更明確更靈活的描述框架，可以描述一致性要求和實現能力。在SMP中管理信息的擴展性得到了增強。

　　。復雜程度、速度和效率：保持了 SNMP的簡單性，更容易實現，并提供了數據塊傳送能力，因而速度和效率更高。

　　。安全設施：結合了 S-SNMP提供的安全功能。

　　。兼容性：可以運行在 TCP/IP網絡上，也適合OSI系統(tǒng)和運行其他通信協(xié)議的網絡。

　　在對 S-SNMP和SMP討論的過程中，Internet研究人員達成了如下的共識：必須擴展SNMP的功能，并增強其安全設施，使用戶和制造商盡快地從原來的SNMP過渡到第二代SNMP，于是S-SNMP被放棄，決定以SMP為基礎開發(fā)SNMP第二版，即SNMPv2.IETF組織了兩個工作組。一個負責協(xié)議功能和管理信息庫的擴展，另一個負責SNMP的安全方面，1992年10月正式開始工作。這兩個組的工作進展非常之快，功能組的工作在1992年12月完成，安全組在1993年完成。后來又經過幾年的實驗和論證，新的RFC文件集合在1996年完成。然而就在新的RFC文件發(fā)布時有人發(fā)現安全方面存在重要缺陷，而改進安全設施的工作又遲遲沒有進展。后來決定丟掉安全功能，把增加的其他功能作為新標準頒布，并保留了SNMPv1的報文封裝格式，因而叫做基于團體名的SNMP(Community-base SNMP)，簡稱SNMPv2C.

　　(二)網絡安全問題

　　1.計算機網絡的安全威脅

　　為了理解對計算機網絡的安全威脅，我們首先定義安全需求。計算機和網絡需要以下 3 方面的安全性：

　　。保密性( secrecy)：計算機中的信息只能由授予訪問權限的用戶讀取(包括顯示、打印等，也包含暴露信息存在的事實)。

　　。數據完整性( integrity)：計算機系統(tǒng)中的信息資源只能被授予權限的用戶修改。

　　?？衫眯? availability)：具有訪問權限的用戶在需要時可以利用計算機系統(tǒng)中的信息資源。

　　2.網絡管理中的安全問題

　　由于網絡管理時分布在網絡商的應用程序和數據庫的集合，各種安全威脅都可能影響網絡管理系統(tǒng)，造成管理系統(tǒng)失效或發(fā)出了錯誤的管理指令，破壞了計算機網絡的正常運行。對于網絡管理特別有 3 個安全方面的威脅值得提出：

　　。偽裝的用戶：沒有得到授權的一般用戶企圖訪問網絡管理應用和管理信息。

　　。假冒的管理程序：無關的計算機系統(tǒng)可能偽裝成網絡管理站實施管理功能。

　　。侵入管理站和代理之間的信息交換過程：網絡入侵者通過觀察網絡活動竊取了敏感的管理信息，更嚴重的危害時可能篡改管理信息，或中斷管理站和代理之間的通信。

　　系統(tǒng)或網絡的安全設施由一系列安全服務和安全機制的集合組成。

　　3. 安全機制

　　數據加密時防止未經授權的用戶訪問敏感信息的手段，這就是人們通常理解的安全措施，也是其他安全方法的基礎。研究數據加密的科學叫做密碼學( Cryptography )，它又分為設計密碼體制的密碼編碼學和破譯密碼的密碼分析學。密碼學有著悠久而光輝的歷史，古代的軍事家已經用密碼傳遞軍事情報了，而現代計算機的應用和計算機科學的發(fā)展又為這一古老的科學注入了新的活力?，F代密碼學是經典密碼學的進一步發(fā)展和完善。由于加密和解密此消彼長的斗爭永遠不會停止，這門科學還在迅速發(fā)展之中。

　　認證――防止主動攻擊的方法

　　認證又分為實體認證和消息認證兩種。實體認證是識別通信雙方的身份，防止假冒，可以使用數字簽名的方法。消息認證是驗證消息在傳遞或存儲過程中沒有被篡改，通常使用消息摘要的方法。

　　數字簽名――防止否認的方法

　　與人們手寫簽名作用一樣，數字簽名系統(tǒng)向通信雙方提供服務，使得 A 向 B 發(fā)送簽名的消息 P ，以便

　　I. B 可以驗證消息 P 確實來源于 A

　　II. A 以后步能否認發(fā)送過

　　III. B 不能編造或改變消息 P

　　(三)管理信息結構

　　SNMPv2 的管理信息結構是在總結 SNMP 應用經驗的基礎上對 SNMPv1 SMI 進行了擴充，提供了更精致更嚴格的規(guī)范，規(guī)定了新的管理對象和 MIB 的文檔，可以說是 SNMPv1 SMI 的超集。 SNMPv2 SMI 引入了 4 個關鍵的概念。

　　。對象的定義

　　。概念表

　　。通知的定義

　　。信息模塊

　　(四)管理信息庫

　　SNMPv2 MIB 擴展和細化了 MIB-2 中定義的管理對象，又增加了新的管理對象。

　　I.系統(tǒng)組

　　II.SNMP 組

　　III.MIB 組

　　IV.適合性聲明

　　V.接口組

　　(五)SNMPv2協(xié)議和操作

　　SNMPv2提供了3種訪問管理信息的方法：

　　。管理站和代理之間的請求 /響應通信，這種方法與SNMPv1是一樣的。

　　。管理站和管理站之間的請求 /響應通信，這種方法是SNMPv2特有的，可以由一個管理站把有關管理信息告訴另外一個管理站。

　　。代理系統(tǒng)到管理站的非確認通訊，即由代理向管理站發(fā)送陷入報文，報告出現的異常情況。 SNMPv2中也有對應的通信方式。

　　(六)SNMPv2的實現

　　1.傳輸層映像

　　SNMP是應用層協(xié)議，通過傳輸層服務訪問通信網絡。SNMPv2規(guī)范定義了可以使用5種傳輸層服務，這5種傳輸層映射是：

　　。 UDP：用戶數據報協(xié)議;

　　。 CLNS：OSI無連接的傳輸服務;

　　。 CONS：OSI面向連接的傳輸服務;

　　。 DDP：AppleTalk的DDP傳輸服務;

　　。 IPX：Novell公司的網間分組交換協(xié)議。

　　2.與 OSI的兼容性

　　為發(fā)使 SNMPv2能與OSI系統(tǒng)互操作，可以使用RFC1006在TCP/IP網絡之上的模擬ISO的TPO傳輸服務，通過RFC1006，OSI的電子郵件、系統(tǒng)管理等應用程序都可以通過運行在TCP/IP失望落上。RFC1006提供的TPO使最簡單的面向連接的傳輸協(xié)議，只提供連接的佳麗和釋放等基本操作，不支持錯誤檢測，也不支持傳輸服務Qos.RFC1006對TPO也有所增強，主要是在連接建立階段可以交換少量數據，支持加急投送服務，支持特長協(xié)議數據單元(默認為65531)等。

　　3.TCP/IP網絡的系統(tǒng)管理

　　SNMP 的管理信息庫 MIB 主要是根據協(xié)議分組的，并沒有按照 OSI 的系統(tǒng)掛零你功能域分類。雖然實現 SNMP 協(xié)議的網絡管理產品都有自己的使用方法，但是在應用管理對象功能方面并沒有統(tǒng)一的分類標準。

　　MIB 對象駐在各種代理系統(tǒng)中，這些對象中的數據應報告給有關信息的系統(tǒng)管理功能實體，同時協(xié)議或設備專用的管理信息也應該歸屬于相應的系統(tǒng)管理功能域。如何合理地分布各種管理對象，以有利于系統(tǒng)管理功能的實現，是設計網絡管理應用時值得認真決策的重要問題。

　　一般來說，不是每個代理都要實現所有的 MIB 對象，但是各種聯(lián)網設備中的代理程序應該提出這種設備需要的管理對象，例如路由器專用的管理信息庫。委托代理是一種十分靈活的管理機制，如果可能，以委托代理實現專用網絡設備的管理信息收集和系統(tǒng)管理功能應該是最好的選擇。

　　第六章 Windows 和 NMP

　　考試要求

　　1.Windows SNMP服務的基本概念，要求達到識記層次

　　SNMP代理服務和SNMP陷入服務的概念

　　SNMP服務的安裝、配置和測試方法

　　2.SNMP應用程序接口，要求達到領會層次

　　擴展API的概念

　　管理API的概念題

　　實用程序API的概念

　　服務 API的概念

　　3.擴展代理的實現，要求達到綜合應用層次

　　建立擴展代理動態(tài)鏈接庫的方法

　　安裝、啟動、測試擴展代理的方法

　　MIB數據庫的實現方法

　　4.陷入的實現，要求達到領會層次

　　陷入的設計方法

　　由擴展代理支持陷入的方法

　　陷入的觸發(fā)條件

　　5.SNMP管理應用程序接口，要求達到綜合應用層次

　　Microsoft MIB編譯器的作用

　　管理API頭文件的內容和作用

　　管理API的功能

　　6.網絡管理應用程序設計，要求達到綜合應用層次

　　管理應用程序的類型

　　Windows環(huán)境下管理應用程序的實現方法

　　知識重點

　　(一) Windows SNMP服務的基本概念

　　Windows NT支持SNMPv1管理站和代理功能，包括發(fā)送和接收陷入的能力。SNMP服務完全集成在Windows NT系統(tǒng)中，是發(fā)行的NT軟件包的一部分。在安裝Windows NT時，可以有選擇地安裝SNMP服務，尖劈成需要得新年搞活司。Windows95只支持SNMP代理功能，不支持管理站功能。顯然Microsoft把Windows95看作時被管理的系統(tǒng)，它不能管理別的系統(tǒng)。

　　所謂服務實際上是一種特殊的 Win32應用軟件，它通過Win32 API與Windows NT服務控制管理器(SCM)接口，一般在后臺運行。它的作用是監(jiān)視硬件設備和其他系統(tǒng)進程，提供訪問外圍設備和操作系統(tǒng)輔助功能的能力。系統(tǒng)服務在系統(tǒng)啟動時或用戶登錄時自動開始運行，當用戶退出或系統(tǒng)關機時停止運行。SNMP服務就是一種Win32應用軟件。

　　Windows NT的SNMP的服務包括兩各應用程序。一個是SNMP代哦服務程序snmp.exe，另一個是SNMP陷入服務程序SNMPTRAP.EXE.snmp.exe接收SNMP請求報文，根據要求發(fā)送響應報文，能對SNMP報文進行語法分析，ASN.1和BER編碼/譯碼，也能發(fā)送陷入報文，并處理WinSock API的接口。Windows95也含有這個文件;SNMPTRAP.EXE監(jiān)聽發(fā)送給NT主機的陷入報文，然后把其中的數據傳送給SNMP管理API.Windows95沒有陷入服務文件。

　　Windows NT的SNMP代理服務是可擴展的，即允許動態(tài)地加入或減少MIB信息。這意味著程序員不必修改和重新編譯代理程序，只需加入或刪除一個能處理指定信息的子代理就可以了。Microsoft把著子代理叫做擴展代理，它處理私有的MIB對象和特定陷入條件。當SNMP代理服務接收到一個請求報文時，它就把變量綁定表的有關內容送給對應的擴展代理。擴展代理根據SNMP的規(guī)則對其私有的變量進行處理，形成響應信息。編寫擴展代理程序是開發(fā)網絡管理系統(tǒng)的程序員的責任，程序員可根據需要隨時增加或刪除系統(tǒng)中的擴展代理程序。

　　SNMP API是Microsoft為SNMP協(xié)議開發(fā)的應用程序接口，是一組用于構造SNMP服務、擴展代理和SNMP管理系統(tǒng)的庫函數。SNMP報文通過UDP/IP服務經WinSock API傳送到SNMP代理(SNMP.EXE)。SNMP代理對報文譯碼，并進行認證檢查，這個過程是通過與SNMP API(SNMP.DLL)交互作用完成的。然后把變量綁定表的內容傳送給有關的擴展代理，經擴展代理處理形成響應信息后又送回SNMP代理，再由SNMP代理裝配成GetResponse報文，交給WinSock API送回發(fā)出請求的管理站。如果請求的MIB信息沒有得到任何擴展代理的支持，則返回noSnchName錯誤。

　　陷入服務監(jiān)視從 WinSock API傳來的陷入報文，然后把陷入數據通過命令的管理傳送給SNMP的管理API(MGNTAPI.DLL)。管理API是Microsoft為開發(fā)SNMP管理應用提供的動態(tài)鏈接庫，是SNMP API的一部分。管理應用程序從管理API接收數據，向管理API發(fā)送管理信息，并通過管理API與WinSock通信，實現網絡管理功能。

　　2.SNMP服務的安裝、配置和測試

　　安裝 SNMP服務像安裝其他的Windows NT網絡服務一樣，唯一的差別是必須先安裝TCP/IP32協(xié)議棧。如果已經安裝并開始運行了TCP/IP協(xié)議，那么就可以安裝SNMP服務了。Microsoft的其他網絡產品也支持SNMP，其中的MIB模塊也可以安裝再Windows NT中。

　　在 Windows NT4.0中安裝SNMP服務的過程如下：

　　。登錄到具有管理特權的帳戶上;

　　。雙擊控制面板的網絡圖標;

　　。點擊服務條;

　　。點擊添加按紐;

　　。點擊網絡服務列表中的 SNMP服務選項;

　　。點擊確定按紐。

　　SNMP服務安裝后就會出現一個屬性窗口，也可以從控制面板進入SNMP屬性窗口。SNMP服務使用的主要信息都出現在這個窗口中，可以進行修改，配置成需要的形式。配置信息存儲在Windows注冊表中，改變屬性窗口的內容就是改變了注冊表中的注冊鍵。屬性窗口中有3各按鍵，其中的代理鍵包含變量sysContact(聯(lián)系人)、sysLocation(位置)和sysServices(服務)的值，可以由用戶設置和修改。陷入鍵可以設置最多5個網絡地址(IP或IPA)或DNS主機名，這些是陷入報文的目標地址，陷入博愛文中的團體名也在這個鍵下置這個鍵下的團體名，則任何團體名都是有效的。如果要使代理只接受某些特殊的管理主機發(fā)來的陷入，則可以在這個鍵下輸入這些主機的名字或網絡地址。設置完成后點擊確定按紐退出控制面板，新的配置就起作用了。

　　在 Windows95中安裝SNMP服務比較復雜。在Windows95安裝光盤的目錄下、ADMIN\NETOOLS\SNMP下面有一個自解壓文件SNMPZP.EXE.執(zhí)行這個文件，可以產生以下解壓后的文件：

　　。 INETMIB1.DLL：SNMP代理文件

　　。 SNMP.EXE：SNMP的安裝信息文件

　　。 SNMP.TXT

　　。 README.TXT

　　。 LICENSE.TXT

　　安裝過程如下：

　　⑴進入控制面板;

　?、七x擇網絡圖標;

　?、沁x擇配置;

　　⑷選擇添加;

　?、蛇x擇網絡組件，服務;

　　⑹選擇從磁盤安裝，找到文件 snmp.inf，進行安裝;

　?、税惭b結束后重新啟動計算機。

　　安裝完成后 SNMP.EXE出現在Windows根目錄下;SNMP.INF在Windows\INF目錄下;INETMIB1.DLL在Windows\SYSTEM，如果此目錄下沒有INETMIB1.DLL，可把該文件拷貝到這個目錄下。當Windows95啟動時SNMP服務自動開始工作，Windows95停止時SNMP也停止了。還可以用DOS命令“snmp”和“snmp close”啟動和停止SNMP服務。

　　在 Windows95中，SNMP服務的配置要通過系統(tǒng)策略編輯器進行設置，或者直接修改注冊表。

　　(二)SNMP應用程序接口

　　SNMP的應用程序接口SNMP API由4部分組成，即擴展API、管理API、實用程序API和服務API.編寫擴展代理和SNMP管理應用程序都要使用這些庫函數。

　　1.擴展API的概念

　　擴展 API是4個函數的集合，SNMP服務和擴展代理DLL使用這些函數交換數據。這些函數的原型出現在頭文件SNMP.H中，函數的代碼用在每一個擴展代理中。

　　2. 管理API

　　管理API(MGMTAPI.DLL)由7個函數組成，管理應用程序調出這些函數發(fā)送請求，接收響應和陷入。

　　3.實用程序 API

　　實用程序 API共包含14個函數，分為存儲器分配和數據管理兩組。函數原型在SNMP.H中，函數代碼在SNMP.DLL和SNMP和SNMPAPI.LIB中。

　　4.服務 API

　　服務 API(ASNMPAPI.DLL)包含19個函數，這些函數用在SNMP.EXE中，但是Mircosoft在推出Windows NT5時才會正式公布這些函數的原型。

　　(三)擴展代理的實現

　　擴展 API的4個函數用在擴展代理中。其中3個函數SnmpExtensionInit，SnmpExtensionQuery和SnmpExtension Trap應該出現在每一個擴展代理中，另外一個函數SnmpExtensionInitEx是任選的，根據擴展代理的需要而定。每個擴展代理都是使用這些函數與SNMP服務通信，一般不需要其他可執(zhí)行的線程。

　　(四)陷入的實現

　　1. 陷入的設計

　　陷入的設計關系到兩個決策問題：一個是要決定哪些事件可以引起陷入;另一個是陷入報文中應該包含哪些數據。如果陷入是基于已有的 MIB，則可陷入的事件(或變量)就已經確定了，甚至已寫在規(guī)范文件中了。但是對于企業(yè)專用的MIB，則要根據企業(yè)的標準或者設備的特點決定哪些事件可以引起陷入。陷入一般要分為不同的優(yōu)先級別，這樣可以使管理系統(tǒng)能夠區(qū)分通知性的陷入和災害性的陷入。例如，電源掉電引起的陷入應該比系統(tǒng)啟動引起的陷入更優(yōu)先。代理對不同優(yōu)先級的陷入可能要發(fā)送給不同的管理瞻，或者統(tǒng)一由一個管理系統(tǒng)區(qū)別處理。一般來說，對于通知性和警告性的陷入，管理系統(tǒng)只是把有關信息寫入事件記錄;對于嚴重的或災害性的陷入，管理站要立即發(fā)出報警信號，例如控制臺閃亮警告燈、發(fā)出聲響、打印出事故報告等。

　　2. 擴展代理支持的陷入

　　用擴展代理實現陷入關系到兩個函數 SnmpExtensionInit 和 SnmpExtensionTrap 。

　　3.陷入的檢測

　　陷入機制的設計還與兩個問題有關：一個是用什么檢測陷入;另一個是怎樣檢測陷入。

　　(五)SNMP管理應用程序接口

　　Microsoft的管理應用程序借口MGMTAPI.DLL包含7個函數。

　　1.Microsoft MIB編譯器

　　Microsoft的MIB編譯器MIBCC.EXE是一個支持掛零你應用的附屬工具，它的作用是把人工可讀MIB模塊轉換程程序刻度的數據格式，產生的二進制文件MIB.BIN由管理應用程序使用。

　　2.管理 API頭文件

　　管理 API 使用的常數和數據類型包含在頭文件 MGMTAPI .H中。

　　3.管理 API 的功能

　　管理 API 用來管理應用程序，它由 7 個函數組成。

　　(六)網絡管理應用程序設計

　　通用的管理應用程序通常叫做管理平臺，它提供一組通用的網絡管理功能，也提供實現專用管理程序的工具。例如 HP的Open View for Windows是SNMP網管平臺，支持基本的管理功能：網絡自動發(fā)現、拓撲映像生成、MIB編譯器、陷入記錄、管理輪詢等。還提供開發(fā)API(OVAPI)，可以用C，C++，Visual Basic編寫用戶專用的管理程序(叫做Open View集成應用)

　　無論有什么管理平臺，設計自己的網絡管理應用程序時都要做好下列準備工作：

　　。確定被管理結點的網絡地址( IP地址，IPX啊地址，DNS主機名);

　　。確定遠程目標的端口號( UDP161，專用端口號大于1024);

　　。確定接收陷入的端口號( UDP162，專用端口號大于1024);

　　。 確定團體名(通常為 public，如果用兩個團體名，則read-only團體名為public，read-write團體名為private);

　　。確定響應定時器等待時間間隔;

　　。確定重復請求次數;

　　。確定輪詢時間間隔。

?2011年4月自學考試成績查詢時間及方式匯總

?2011年下半年各地自學考試報名匯總

更多信息請訪問：自學考試頻道    自學考試論壇    自學考試博客