网络管理基础知识.doc

1、第 1 页 共 9 页（1） 什么是网络管理？网络管理，简称网管，简单地说就是为保证网络系统能够持续、稳定、安全、可靠和高效地运行，对网络实施的一系列方法和措施。网络管理的任务就是收集、监控网络中各种设备和设施的工作参数、工作状态信息，将结果显示给管理员并进行处理，从而控制网络中的设备、设施、工作参数和工作状态，使其可靠运行。（2） 网络管理的功能是什么？故障管理：计费管理：配置管理和名称管理：性能管理：安全管理：网络流量控制、网络路由选择策略管理（3） 网络管理系统的层次结构。 把被管理资源画在单独的框中，表明被管理资源可能与管理站处于不同的系统中； 各种网络管理框架的共同特点： 管理功能分

2、为管理站和代理两部分； 为存储管理信息提供数据库支持； 提供用户接口和用户试图（View）功能； 提供基本的管理操作。（4） 集中式网络管理和分布式网络管理有什么区别?各有什么优缺点?集中式网络管理:网络中至少有一个结点（主机或路由器）担当管理站的角色，除过NME 之外，管理站中还有一组软件，叫做网络管理应用（NMA）,网络中的其他结点在NME 的控制下与管理站通信，交换管理信息。这种集中式网络管理策略的好处是：管理人员可以有效地控制整个网络资源，根据需要平衡网络负载，优化网络性能。分布式网络管理：地理上分布的网络管理客户机与一组网络管理服务器交互作用，共同完成网络管理功能。中心管理站还能对管

3、理功能较弱的客户机发出指令，实现更高级的第 2 页 共 9 页管理。分布式网络管理具有灵活性（Flexibility）和可伸缩性（Scalability） ，网络管理更加方便。 （5） 什么是委托代理?非标准设备：若系统要求每个被管理的设备都能运行代理程序，并且所有管理站和代理都支持相同的管理协议。这种要求有时是无法实现的。例如：有的老设备可能不支持当前的网络管理标准；小的系统可能无法完整实现 NME 的全部功能；一些设备（例如 Modem 和多路器等）根本不能运行附加的软件，把这些设备叫做非标准设备。委托代理的设备(Proxy)来管理一个或多个非标准设备。委托代理和非标准设备之间运行制造商专

4、用的协议，而委托代理和管理站之间运行标准的网络管理协议 。这样，管理站就可以用标准的方式通过委托代理得到非标准设备的信息，委托代理起到了协议转换的作用。 （1）ASN.1 的数据类型。ASN.1 定义的数据类型有 20 多种，标签值类型都是 UNIVERSAL，如下表所示。这些数据类型可分为 4 大类： 简单类型：由单一成份构成的原子类型 构造类型：由两种以上成分构成的构造类型 标签类型：由已知类型定义的新类型 其他类型：包括 CHOICE 和 ANY 两种类型（2）什么是 SNMP v1 的团体(公共体，Community)？SNMP 网络管理是一种分布式应用。这种应用的特点是管理站和被管理

5、站之间的关系可以是一对多的关系，也可能是多对一的关系。 SNMP 的团体是一个代理和多个管理站之间的认证和访问控制关系。允许访问的团体名是在被管理系统一侧定义的。SNMP 公共体是指定义验证、访问控制和代理特征的 SNMP 管理者与 SNMP 代理之间的关系，公共体是一个本地概念。 代理系统可以对不同的团体定义不同的访问控制策略，每一个团体被赋予一个唯一的名字。管理站只能以代理认可的团体名行使其访问权。 一个管理站可能以不同的名字出现在不同的代理中，即管理站实体可以用不同的名字对不同的代理实施不同的访问权限。 如果两个代理定义了同一团体名，这种名字的相似性也不意味着它们属于同一团体。 （3）M

6、IB 的功能和特点是什么？MIB 的结构，MIB 的数据类型。MIB 的职能就是为管理工作站指定代理，而管理工作站通过获取 MIB 对象的值来执行监视功能。 MIB 是对象的集合，它代表网络中可以管理的资源和设备。每个对象基本上是一个数据变量，第 3 页 共 9 页它代表被管理的对象的一方面的信息。SNMP 环境中的所有管理对象组织成分层的树结构，即 MIB 结构。这种层次树结构有 3 个作用：表示管理和控制关系；提供了结构化的信息组织技术；提供了对象命名机制其中用到的 5 种通用类型如下表所示，前 4 种是简单类型，最后一种是构造类型。（4）MIB 的功能组。1. 系统组(System gr

7、oup) :提供了系统的一般信息。2. 接口组（Interface group） ：包含主机接口的配置信息和统计信息。3. 地址转换组（Address translation group） ：包含网络地址到接口的物理地址的映像关系。4. IP 组 ：提供了与 IP 协议有关的信息。5. ICMP 组 ：是 IP 的伴随协议。6. TCP 组 ：包含与 TCP 协议的实现和操作有关的信息。7. UDP 组 ：提供了关于 UDP 数据报和本地接收端点的详细信息。8. EGP 组 ：提供了有关 EGP 路由器发送和接收的 EGP 报文的信息，以及关于 EGP邻居的详细信息等。9. 传输组（ Tran

8、smission group） ：设置这一组的目的是针对各种传输介质提供详细的管理信息。事实上这不是一个组，而是一个联系各种端口专用信息的特殊结点。10.MIB-2 的局限性 （5）管理信息结构 SMI 的概念和管理信息结构（SMI）的功能。SMI 确定了可用于 MIB 中的数据类型并说明对象在 MIB 内部怎样表示和命名。管理信息结构（SMI）说明了定义和构造 MIB 的总体框架，以及数据类型的表示和命名方法。SMI的宗旨是保持 MIB 的简单性和可扩展性，只允许存储标量和二维数组，不支持复杂的数据结构。SMI 提供了以下标准化技术表示管理信息：定义了 MIB 的层次结构；提供了定义管理对象

9、的语法结构；规定了对象值的编码方法。 第 4 页 共 9 页（7）SNMP 的通信基础是 UDP 协议，使用 UDP 而不使用 TCP 协议的原因是什么？答：之所以选择 UDP 协议而不是 TCP 协议，是因为 UDP 效率较高，这样实现网络管理不会太多地增加网络负载。但由于 UDP 不是很可靠，因而 SNMP 报文容易丢失。为此，对 SNMP 实现的建议是对每个管理信息要装配成单独的数据报独立发送，而且报文应短些，不超过 484 个字节。（6） SNMPv1 有那些局限性？a) 由于轮询的性能限制，SNMP 不适合管理很大的网络；b) SNMP 不适合检索大量数据；c) SNMP 陷入报文没

10、有应答，代理不知道管理站是否收到报文，这样可能会丢掉某些重要管理信息d) SNMP 只提供简单的团体名认证，安全措施不够；e) SNMP 不直接支持向被管理设备发送命令；f) SNMP 的管理信息库 MIB-2 支持的管理对象是很有限的，不足以完成复杂的管理功能。g) SNMP 不支持管理站之间的通信，而这一点在分布式网络管理中是很需要的。（注：以上局限性有很多在 SNMP 的第 2 版都有所改进。 ）（7） 什么是 SNMP v1 的访问策略？SNMP 团体和 SNMP 团体形成的组合叫做 SNMP 访问策略。访问控制有 MIB 视图 (View，或者叫做视阈)和访问模式两方面的含义。MIB

11、 视图：MIB 中对象的一个子集，对不同的团体可以定义不同的视图（View） 。属于同一视图的对象不必属于同一子树。访问模式：集合read-only，read-write的一个元素。对于一个团体可以定义一种访问模式。有关一个团体的 MIB 视图和访问模式的组合叫做该团体的形象（Profile，或者叫做轮廓） 。（8） 描述 SNMP v1 的安全机制。SNMPv1 的安全机制很简单，只是验证团体名。属于同一团体的管理站和被管理站才能互相作用，发送给不同团体的报文被忽略。（9） SNMP v1 和 SNMP v2 的区别有哪些？SNMPv2 既可以支持完全集中的网络管理，又可以支持分布式网络管理

12、。具体地说 SNMPv2 对 SNMP 的增强主要在以下 3 方面 管理信息结构的扩充第 5 页 共 9 页 管理站和管理站之间的通讯能力 新的协议操作SNMPv2 的管理信息结构是在总结 SNMP 应用经验的基础上对 SNMPv1 SMI 进行了扩充，提供了更精致更严格的规范，规定了新的管理对象和 MIB 的文档,可以说是 SNMPv1 SMI 的超集。SNMPv2 SMI 引入了 4 个关键的概念： 对象的定义 概念表 通知的定义（10） 描述 SNMP v2 中如何生成和删除表中的行。行的生成：生成概念行可以使用两种不同的方法，分成 4 个步骤，下面解释生成过程： 选择实例标识符，针对不

13、同的索引对象可考虑用不同方法选择实例标识符： 管理站通过事务处理产生和激活概念行，或管理站与代理协商生成概念行； 初始化非默认值对象； 激活概念行 概念行的删除：管理站发出 set 命令，把状态列置为 destroy,如果这个操作成功，概念行立即被删除。（11） 请描述 SNMP v1 和 SNMP v2 的安全机制和它们安全机制的主要差别是什么。SNMPv1 的安全机制很简单，只是验证团体名。属于同一团体的管理站和被管理站才能互相作用，发送给不同团体的报文被忽略。考虑了各种安全功能以后， SNMPv2 PDU 有了更复杂的结构，建议的安全协议如图4.2.45 所示。可以看出在原来的 PDU

14、前面加上了加密和认证信息（12） 描述 SNMPv2 加密报文的发送和接收过程。需要加密和认证的 SNMPv2 报文的发送过程： 发送实体首先构造管理通信消息 SnmpMgmtCom，这需要查找本地数据库，发现合法的参加者和上下文。 然后，如果需要认证协议，则在 SnmpMgmtCom 前面加上认证信息 authInfo，构成认证报文 SnmpAuthMsg，否则把 authInfo 置为长度为 0 的字节串（OCTET STRING） 。若参加者的认证协议为 v2md5AuthProtocol，则由本地实体按照 MD5 算法计算产生 16 个字节的消息摘要，作为认证信息中的第 6 页 共 9

15、 页authDigest。 第三步是检查目标参加者的私有协议，如果需要加密，则采用指定的加密协议对 SnmpAuthMsg 加密，生成 privData(SnmpAuthMsg)。 最后置 privDst=dstParty，组成完整的 SNMPv2 报文，并经过 BER 编码发送出去。SNMPv2 安全报文的接收过程：目标方实体接收到 SnmpPrivMsg 后首先检查报文格式。如果这一检查通过，则查找本地数据库，发现需要的验证信息。根据本地数据库的记录，可能需要使用私有协议对报文解密，对认证码进行验证，检查源方参加者的访问特权和上下文是否符合要求等。一旦这些检查全部通过，就可以执行协议请求的

16、操作了。 （13） SNMPv2 对 SNMPv1 做了那些修改。具体地说 SNMPv2 对 SNMPv1 的增强主要在以下 3 方面 管理信息结构的扩充 管理站和管理站之间的通讯能力 新的协议操作（14） SNMP v3 与 SNMP v2 相比主要增加了哪些方面的功能?SNMPv2 在其最终形式中也没有包括安全性，这种缺陷在 SNMPv3 中得到了补救。SNMPv3 工作组发布的文档定义了一套安全功能和框架，使它们能够与 SNMPv2 或者SNMPv1 中的功能一起使用，该框架也适合于新功能的使用，并包含安全性的增强和修改。SNMPv3 实现包括 RFC2271RFC2275 中定义的安全

17、和结构特征，以及在SNMPv2 文档中定义的 PDU 格式和功能“SNMPv3 等于 SNMPv2 加上安全和管理” （15） 描述 SNMP v3 的结构（实体、引擎的概念） 。SNMP 结构由分布式、交互 SNMP 实体的集合组成，每个实体都实现一部 SNMP 功能。每个 SNMP 实体都有模块的集合组成，模块之间相互作用来提供服务。 SNMP 实体 每个 SNMP 实体都包括一个 SNMP 引擎。 SNMP 引擎和它所支持的应用都定义为离散模块的集合。 这种结构的优点：1）我们将看到 SNMP 实体的角色由在该实体内实现的模块所决定；2）规范化的模块化结构可以让它本身定义每一个模块的不同

18、版本。（16） 描述 SNMP v3 抽象服务接口。SNMP 中模块之间的服务以基元（primitive）和参数（parameter）在 RFC 中定义，第 7 页 共 9 页基元规定了要执行的功能，而参数用于传送数据和控制信息。用基元和参数定义的接口称之为抽象服务接口。（17） 简述 SNMPv3 的消息处理过程：？在 SNMPv3 中，消息在 SNMPv3 实体之间以消息的形式进行交换。每一个消息都包括一个消息报头和 PDU，由消息处理子系统创建并处理。指令发生器消息处理过程中涉及的关键性步骤：（18） SNMPv3 的两个安全模型（USM，VACM）及其特点。VACM 模型有两个重要的特

19、点：VACM 模型确定是否应该允许一个远程要素访问本地MIB 中的被管理对象；VACM 使用为该代理定义了访问控制策略的 MIB，并使用远程配置成为可能。（1）RMON 的主要功能是什么？RMON 定义了远程网络监视的管理信息库以及 SNMP 管理站与远程监视器之间的接口。一般来说，RMON 的功能就是监视子网范围内的通信，从而减少管理站和被管理系统之间的通信负担。更具体地说，RMON 有下列功能：离线操作。 主动监视。 问题检测和报告： 提供增值数据： 多管理站操作： （2） RMON 对表对象的管理作出了什么改进?RMON 规范中增加了两种新的数据类型：OwnerString 和 Entr

20、yStatus ，RMON 规范中的表结构由控制表和数据表两部分组成，控制表定义数据表的结构，数据表用于存储数据；管理站用 set 命令在 RMON 表中增加新行；只有行的所有者才能发出 SetRequest PDU，把行状态对象的值置为 invalid(4)，这样就删除了行。这是否意味着物理删除，取决于具体的实现；首先置行状态对象的值为 invalid(4)，然后用 SetRequest PDU 改变行中其他对象的值.（3） RMON MIB 与 MIB-2 的区别是什么？RMON 规范定义了管理信息库 RMON MIB 它是 MIB-2 下面的第 16 个子树。（4） 试描述警报组、过滤组

21、、事件组和包捕获组的关系。RMON MIB 分为 10 组，这 10 个功能组都是任选的，但实现时有下列连带关系：1. 实现报警组时必须实现事件组；2. 实现最高 N 台主机组时必须实现主机组；3. 实现捕获组时必须实现过滤组。RMON 警报组定义了一组网络性能的门限值，超过门限值时向控制台产生报警事件。第 8 页 共 9 页RMON 报警组必须和事件组同时实现。过滤组提供一种手段，使得监视器可以观察接口上的分组，通过过滤选择出某种指定的特殊分组。一组过滤器的组合叫做通道。可以对通过通道测试的分组计数，也可以配置通道使得通过的分组产生事件（由事件组定义） ，或者使得通过的分组被捕获（由捕获组定

22、义） 。事件组的作用是管理事件。事件是由 MIB 中其他地方的条件触发的，事件也能触发其他地方的作用。产生事件的条件在 RMON 其他组定义，例如警报组和过滤组都有指向事件组的索引项。包捕获组建立一组缓冲区，用于存储从通道中捕获的分组。（5） RMON2 扩充了那些功能组，它们的作用是什么？增加了 9 个新的功能组如下:协议目录组(protocolDir)：这一组提供了表示各种网络协议的标准化方法，使得管理站可以了解监视器所在的子网上运行什么协议。这一点很重要，特别对于管理站和监视器来自不同制造商时是完全必要的。协议分布组（protocolDist）：提供每个协议产生的通讯统计数据。 地址映像

23、组（addressMap)：建立网络层地址（IP 地址）与 MAC 地址的映像关系。这些信息在发现网络设备、建立网络拓扑结构时有用。这一组可以为监视器在每一个接口上观察到的每一种协议建立一个表项，说明其网络地址和物理地址之间的对应关系。 网络层主机组(nlHost)：这一组类似于 RMON1 的主机组，收集网上主机的信息，例如主机地址、发送/接收的分组/字节数等。但是与 RMON1 不同，这一组不是基于 MAC地址，而是基于网络层地址发现主机。这样管理人员可以超越路由器看到子网之外的 IP 主机。网络层矩阵组(nlMatrix)：记录主机对（源/目标）之间的通讯情况，收集的信息类似于 RMON

24、1 的矩阵组，但是按网络层地址标识主机。其中的数据表分为 SD 表、DS 表和 TopN 表，与 RMON1 的对应表也是相似的。应用层主机组(alHost)：对应每个主机的每个应用协议（指第三层之上的协议）在alHost 表中有一个表项，记录有关主机发送/接收的分组/字节数等。这一组使用户可以了解每个主机上的每个应用协议的通讯情况。应用层矩阵组(alMatrix)：统计一对应用层协议之间的各种通讯情况，以及某种选定的参数最大的（TopN）一对应用层协议之间的通讯情况。 用户历史组(usrHistory)：按照用户定义的参数，周期地收集统计数据。这使得用第 9 页 共 9 页户可以研究系统中的任何计数器，例如关于路由器路由器之间的连接情况的计数器。监视器配置组(probeConfig)：定义了监视器的标准参数集合，这样可以提高管理站和监视器之间的互操作性，使得管理站可以远程配置不同制造商的监视器。