1、第 1 章 网络管理概论 1. 网络管理的定义:按照国际标准化组织(ISO)的定义,网络管理是指规划、监督、设计和控制网络资源的使用和网络的各种活动,以使网络的性能达到最优。2. 网络管理系统体系结构:有关资源的管理信息由代理进程控制,代理进程通过网络管理协议与管理站对话。3. 各种网络管理框架的共同特点:管理功能分为管理站和代理两部分;为存储管理信息提供数据库支持;提供用户接口和用户视图功能;提供基本的管理操作。 4. 网络监控:网络管理功能可分为网络监视和网络控制两大部分,统称网络监控(Network Monitoring)。5. 网络监控系统的通信机制:有两种技术可用于代理和监视器之间的
2、通信。一种叫做轮询(Polling),一种叫做事件报告(Event Reporting)。6. 面向对象的概念:多继承性,是指一个子类有多个超类;多态性源于继承性,子类继承超类操作,同时又对继承的操作做了特别的个性,这样不同的对象类对于同一操作会做出不同的响应;同质异晶性是指它可以是多个对象类的实例。 7. 网络管理的主要功能:一般划分为五个功能域(功能类),每一类分别执行不同的网络管理任务,合称 FCPAS,即配置管理、故障管理、性能管理、计费管理和安全管理。 8. 性能监视:就是指针对网络的工作状态,收集、统计、分析相关的数据,根据性能监测的结果可以改进性能评价的标准,调整性能监测模型,为
3、网络控制提供依据。对网络管理有用的两类性能指标:即面向服务的性能指标(可用性、响应时间、正确性)和面向效率的性能指标(吞吐率、利用率)。9. 例 1.1 计算双链路并联系统的处理能力。假定一个多路器通过两条链路连接到主机。在主机业务的峰值时段,一条链路只能处理总业务量的 80%,因而需要两条链路同时工作,才能处理主机的全部传送请求。非峰值时段大约占整个工作时间的 40%,只需要一条链路工作就可以处理全部业务。假定一条链路的可用性为 A=0.9。整个系统的可用性 Af 可表示如下:Af=(一条链路的处理能力)(一条链路工作的概率)+(两条链路的处理能力)(两条链路工作的概率)两条链路同时工作的概
4、率为 A2=0.81,而恰好有一条链路工作的概率为A(1-A)+(1-A)A=2A-2A2=0.18。则有Af(非峰值时段)=1.00.18+1.00.81=0.99Af(峰值时段) =0.80.18+1.00.81=0.954于是系统的平均可用性为Af =0.6Af(峰值时段)+0.4Af(非峰值时段)=0.9684 10.相对利用率:计算出各个链路的负载占网络总负载的百分率(相对负载),以及各个链路的容量占网络总容量的百分率(相对容量),最后得到相对负载与相对容量的比值。这个比值反映了网络资源的相对利用率。表 1.1 网络负载和容量分析11.故障监视:就是要尽快发现故障,找出故障原因,及时
5、采取补救措施。常见的网络故障管理主要包括以下 3 个功能模块:故障检测和报警、故障预测功能、故障诊断和定位功能。12.计费管理:计费监视主要是跟踪和控制用户网络资源的使用,并把有关信息存储在运行日志数据库中,为收费提供依据。计费管理通常是商用网络才需要的网络管理功能。需要计费的网络资源包括:通信设施、计算机硬件、软件系统、服务。13.配置管理:是指初始化、维护和关闭网络设备或子系统。配置管理应包含下列功能模块:定义配置信息;设置和修改设备属性;定义和修改网络元素间的互联关系;启动和终止网络运行;发行软件(以上为配置控制);检查参数值和互联关系;报告配置现状(以上为配置监视)。14.安全管理:网
6、络管理中的安全管理:是指保护管理站和代理之间的信息交换安全。安全管理使用的操作与其他管理合作的操作相同,差别在于使用的管理信息的特点。 安全管理的对象:包括密钥、认证信息、访问权限信息和有关安全服务和安全机制的操作参数信息。 15.计算机和网络需要 3 方面的安全性:保密性(Secrecy):计算机网络中的信息只能由授予访问权限的用户读取;数据完整性(Integrity):计算机网络中的信息资源只能被授予权限的用户修改;可用性(Availability):具有访问权限的用户在需要时可以利用计算机网络资源。16.对数据的威胁:数据可能被非法访问,破坏了保密性;数据可能被恶意修改或者假冒,破坏了完
7、整性;数据文件可能被恶意删除,从而破坏了可用性。17.安全机制:数据加密,是保密通信的基本手段。是防止未经授权的用户访问敏感信息的手段,是其他安全方法的基础。认证,防止主动攻击的方法。分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中没有被篡改,通常使用消息摘要的方法。数字签名,防止否认的方法。有两种数字签名方法,一种是基于密钥的数字签名;另一种是基于公钥的数字签名。消息摘要,验证消息完整性。用于差错控制的报文检查和根据冗余位检查消息是否受到干扰的影响。消息摘要可以加速数字签名算法。18.网络管理标准: TCP/IP
8、 网络管理最初使用的是 1987 年 11 月提出的简单网关监控协议(SGMP),在此基础上改进成简单网络管理协议第一版 SNMPv1,陆续公布在 RFC 1155(SMI)、RFC 1157(SNMP)、RFC 1212(MIB 定义)和 RFC 1213(MIB-2 规范)。几年以后在第一版的基础上改进其功能和安全性,产生了 SNMPv2(RFC 19021908,1996)和 SNMPv3(RFC 25702575,1999)。在同一时期,用于监控局域网通信的标准远程网络监控 RMON 也出现了,这就是 RMON-1(1991)和 RMON-2(1995)。这一组标准定义了监视网络通信的
9、管理信息库,是 SNMP 管理信息库的扩充,与 SNMP 协议配合可以提供更有效的管理性能,也得到了广泛应用。另外,IEEE 定义了局域网的管理标准,即 IEEE 802.1b LAN/MAN 管理标准。这个标准用于管理物理层和数据链路层的 OSI 设备,因此叫做 CMOL(CMIP Over LLC)。为了适应电信网络的管理需要,ITU-T 在 1989 年定义了电信网络管理标准(Telecommunications Management Network,TMN),即 M.30 建议(蓝皮书)。第 2 章 管理信息库 MIB2 1. TCP/IP 协议簇:Internet 是由美国国防部(D
10、oD)的 ARPANET 演变而来的。在这个网络上运行的通信协议统称为 TCP/IP 协议簇。ARPANET 定义了 4 个协议层,上下向上分为网络访问层(物理层、数据链路层)IP TCMP 层(网络层)TCP UDP 层(传输层)应用层(会话层、表示层、应用层)。协议允许同层协议实体之间相互作用,从而实现复杂的控制功能,也允许上层过程直接调用不相邻的下层过程。 2. TCP/IP 协议:TCP 是端系统之间的协议,其功能保证端系统之间可靠地发送和接收数据,并给应用进程提供访问端口。互联网中的所有端系统和路由器都必需实现 IP 协议。IP 的主要功能是根据全网唯一的地址把数据从源主机搬到目标主
11、机。3. TCP/IP 网络管理框架:在 Internet 中,对网络、设备和主机的管理叫做网络管理,网络管理信息存储在管理信息库 MIB 中。4. SNMP:简单网络管理协议,是应用最为广泛的网络管理协议,主要用于对路由器、交换机、防火墙、服务器等主要设备的管理。SNMP 由两部分组成:一部分是管理信息库结构的定义,另一部分是访问管理信息库的协议规范。5. 陷入(Trap)制导的轮询过程的操作方法:管理站启动时或每隔一定时间用Get 操作轮询一遍所有代理,以便得到某些关键的信息,或基本的性能统计参数。一旦得到这些基本数据,管理站就停止轮询,而代理进程负责在必要时向管理站报告异常事件,由陷入操
12、作传送给管理站。得到异常事件的报告后,管理站可以查询有关的代理,以便得到更具体的信息,对事件的原因做进一步的分析。 6. SNMPv1 组成文件:RFC1155 定义了管理信息结构(SMI)即规定了管理对象和语法和语义。SMI 主要说明了怎样管理对象和怎样访问管理对象。RFC1212 说明了定义 MIB 模块的方法,RFC1213 则定义了 MIB2 管理对象的核心集合。这些管理对象是任何 SNMP 系统必须实现的。RFC1157 是 SNMPv1协议的规范文件。 7. SNMP 协议的体系结构:由于 SNMP 定义为应用层协议,所以它依赖于 UDP 数据报服务。同时 SNMP 实体向管理应用
13、程序提供服务,它的作用是把管理应用程序的服务调用变成对应的 SNMP 协议数据单元,并利用 UDP 数据发送出去。 8. TCP 和 UDP:都是互联网的传输协议,区别是,TCP 提供面向连接的传输服务,其建立和释放采用了 3 次握手协议,其实质就是连接两端都要声明自己的连接端标识,并回答对方的连接端标识以确保不出错。而 UDP 提供无连接的传输服务。面向连接的服务意味着可靠顺序的提交,缺点是效率低。UDP 不建立连接,不保证可靠和顺序,效率高。 9. 层次树结构:SNMP 环境中的所有对象组成分层的树结构,其有 3 个作用,表示管理和控制关系,提供了结构化的信息组织技术,提供了对象命名机制。
14、在 Internet 下面的节点中为 OSI 的目录服务(X.500)使用的节点是 directory(1);mib-2 是 mgmt(2)的第一个孩子结点。10.ASN.1 的数据类型:SNMP 的对象是用 ASN.1 定义的,这种定义说明管理对象的类型,它的组成值的范围,以及与其它对象的关系。为了保持简单性,仅使用一个子集。其数据类型为通用类型,有 20 多种,在 SNMP 管理对象的定义中只用到 5 种。子类型,文字约定,是区分大小写的,另有一些文字约定。应用类型。与特定的应用于有关。 其中:计数器 Counter 类型是一个非负整数,其值可增加但不能减少,达到最大值 232-1 后回零
15、,再从头开始增加;计量器 Gauge 类型是一个非负整数,其值可增加也可减少。计量器的最大值也是 232-1。与计数器不同的地方是计量器达到最大值后不回零,而是锁定在 232-1。11.MIB 的定义方法:有 3 种定义方法,为每一类对象定义一种对象类型。定义一种带参数的通用对象类型。利用宏定义表示一个类型的集合,然后用这些类型定义管理对象。SNMP 采用了最后一种方法,这样我们就有下面的定义层次: 宏定义:定义了一组合法的宏实例,说明了有关类型的语法; 宏实例:由宏定义通过参数替换产生的实例,说明一种具体类型; 宏实例的值:表示一个具有特定值的实体。12.表对象和标量对象:SMI 存储的二维
16、数组叫表对象。表的定义要用到 ASN.1的序列类型和对象类型宏定义的索引部分。标题对象只有取一个值,不能区别对象类型和对象实例,然而为了与列对象一致,SNMP 规定在标题对象标识符之后级联一个 0,表示该对象的实例标识符。13.对象实例的值转换成子标识符的转换规则:如果索引对象实例取值为整数值,则把整数值作为一个标识符。固定长度的字符串值,则把每一个字节(OCTET)编码为一个子标识符。可变长的字符串值,先把串的实际长度n 编码为第一个子标识符,然后把每一个字节编码为一个子标识符,总共有n+1 子标识符。对象标识符,如果长度为 n,则先把 n 编者按码为第一个标识符,后续对象标识符的各个子标识
17、符,总共 n+1 个标识符。IP 地址,则变为 4 个子标识符。 14.概念表和概念行:表和行对象是没有实例标识符的。因为它们不是叶子结点,SNMP 不能访问,其特性为“not-accessible”。这类对象叫做概念表和概念行。 15.词典顺序:对象标识符是整数序列,这种序列反映了该对象 MIB 中的逻辑位置,同时表示了一种词典顺序,我们只要按照一定的方式遍历 MIB 树,就可以排出所有对象及实例的词典顺序。对象的顺序在网络管理中是非常重要的。因为管理站可能不知道代理的 MIB 组成,所以管理站要用某种手段搜索 MIB树,在不知道对象标识符的情况下访问对象的值。 16.MIB2:RFC121
18、3 定义了 MIB2,这个文件包含了解 11 个功能组,171 个对象。RFC1213 说明了选择这些对象的标准。包括了故障管理和配置管理需要的对象。只包含弱对象。选择经常使用的对象,并且要证明当前的网络管理中正在使用。为了容易实现,开放 MIB1 限制对象数为 100 个左右,在 MIB2 中限制稍有突破(117 个)不包含具体实现专用的对象。为了避免冗余,不包括那些可以从已有的对象中导出的对象。每个协议层的每个关键部分分配一个计数器,这样可以避免复杂的编码。 17.MIB2 功能组(RFC1213):系统组,提供系统的一般信息。其中:系统服务对象 sysServices 每一位对应 OSI
19、/RM 7 层协议中的一层,如果系统提供某一层服务则对应的位为 1。例如系统提供应用层和传输层服务,则该系统的 sysServices 对象具有值 1001000=72;系统启动时间 sysUpTime 可用于故障管理。接口组,包含关于主机接口的配置信息和统计信息。变量ifNumber 是指网络接口数。表对象 ifTable 的索引是 ifIndex,取值为 1到 ifNumber 之间的数。ifType 是指接口的类型。本组有两个关于接口状态的对象:ifAdminStatus 表示操作员说明的管理状态,而 ifOperStatus 表示接口的实际工作状态。这两个变量状态组合的含义:11-正常
20、、12-故障、对 象 对 象 标 识 符 下 一 个 对 象 实 例 ipRouteTable 1.3.6.1.2.1.4.21 1.3.6.1.2.1.4.211.9.1.2.3 ipRouteEntry 1.3.6.1.2.1.4.21. 1.3.6.1.2.1.4.211.9.1.2.3 ipRouteDest 1.3.6.1.2.1.4.211 1.3.6.1.2.1.4.211.9.1.2.3 ipRouteest.9.1.2.3 1.3.6.1.2.1.4.211.9.1.2.3 1.3.6.1.2.1.4.211.00.51 ipRouteDest.100.51 1.3.6.1.
21、2.1.4.211.00.51 1.3.6.1.2.1.4.211.00.9 ipRouteest.100.9 1.3.6.1.2.1.4.211.00.9 1.3.6.1.2.1.4.213.9.1.2.3 ipRouteMetric1 1.3.6.1.2.1.4.213 1.3.6.1.2.1.4.213.9.1.2.3 ipRouteetric1.9.1.2.3 1.3.6.1.2.1.4.213.9.1.2.3 1.3.6.1.2.1.4.213.100.51 ipRouteMetric1.00.51 1.3.6.1.2.1.4.213.100.51 1.3.6.1.2.1.4.213
22、.100.9 ipRouteetric1.00.9 1.3.6.1.2.1.4.213.100.9 1.3.6.1.2.1.4.217.9.1.2.3 ipRouteNextHop 1.3.6.1.2.1.4.217 1.3.6.1.2.1.4.217.9.1.2.3 ipRouteextop.9.1.2.3 1.3.6.1.2.1.4.217.9.1.2.3 1.3.6.1.2.1.4.217100.51 ipRouteNextHop.100.51 1.3.6.1.2.1.4.217.100.51 1.3.6.1.2.1.4.217100.9 ipRouteextop.100.9 1.3.6
23、.1.2.1.4.217.100.9 1.3.6.1.2.1.4.211.x ipRouteTable1.3.6.1.2.1.4.21ipRouteEntry1.3.6.1.2.1.4.21.1=xipRouteDestx.1ipRouteDestx.1.9.1.2.3ipRouteDestx.1.10.0.0.51x.1.10.0.0.99ipRouteDestipRouteNextHopx.7ipRouteMetriclx.3ipRouteMetriclx.3.9.1.2.3ipRouteMetriclx.3.10.0.0.51x.3.10.0.0.99ipRouteMetriclipRo
24、uteNextHopx.7.9.1.2.3ipRouteNextHopx.7.10.0.0.51x.7.10.0.0.99ipRouteNextHop22-停机、33-测试。地址转换组,包含一个表,该表的一行对应系统的一个物理接口,表示网络地址到接口的物理地址的映象关系。IP 组,提供了与 IP 协议有关的信息。包含 3 个表对象:IP 地址表、IP 路由表和 IP 地址转换表。ICMP 组,是 IP 的伴随协议,所有实现 IP 协议的结点都有必须实现 ICMP 协议。TCP 组,包含与 TCP 协议的实现和操作有关的信息。UDP 组,类似于 TCP 组,包含的对象都是必要的。提供了关于 UD
25、P 数据报和本地接收端点的详细信息。EGP 组,提供了关于路由器发送和接收的EGP 报文的信息,以及关于邻居的详细信息。传输组,目的是针对各种传输介质提供详细的管理信息,是一个联系各种接口专用信息的特殊结点。 第 3 章 简单网络管理协议 SNMPv1 1. SNMP 支持的操作:SNMP 的操作仅是对变量的修改和检查,共定义了以下 5类管理操作:(1)GetRequest:读对象操作。(2)GetNextRequest:读取当前对象的下一个可读取的对象实例值。(3)SetRequest:管理进程更新代理中对象的值。(4)GetResponse:代理对管理进程的应答。(5)Trap:代理向管理
26、进程发送事件值。2. SNMP PDU 格式的定义:RFC1157 给出了 SNMPv1 协议的定义,这个定义是用ASN.1 表示的。在 SNMP 管理中,管理站和代理之间交换的管理信息构成了SNMP 报文。3. SNMP 报文组成:由 3 部分组成即版本号、团体号和协议数据单元 PDU。团体号用于身份认证。4. PDU 中各字段的含义:PDU 类型,共有 5 种类型的 PDU。0:get-request;1:get-next-request;2:get-response;3:set-request;4:trap。请求标识,赋予每个请求报文唯一的整数,用于区分不同的请求。错误状态,表示代理在处
27、理管理站的请求时可能出现的各种错误,共有 5 种错误状态,noError(0),tooBig(1),noSuchNam(2),badvalue(3),readOnly(4)和 genError。错误索引,当错误状态非 0 时指向出错的变量。变量绑定表,变量名和对应值的表,说明要检索或设置的所有变量及其值,在检索请求报文中,变量值为 0。(以上为非 Trap 报文,一下为 Trap 报文字段)制造商 ID,表示制造商的标识,与 MIB2对象 sysObjectID 的值相同。代理地址,产生陷入的代理的 IP 地址。五陷入,SNMP 定义的陷入类型,共 6 类,coldStart(0),warmS
28、tart(1),linkDowm(2),linkup(3),authenticationFailure(4),egpNeighborLoss(5),和 enterpriseSpecific(6)。特殊陷入,与设备有关的特殊陷入代码。时间戳,代理发出陷入的时间,与 MIB2 中的对象sysUpTime 的值相同。 5. 报文应答序列:SNMP 报文在管理站和代理之间传送,包含GetRequest、GetNextRequest 和 SetRequest 的报文由管理站发出,代理以GetRepones 响应。Trap 报文由代理发给管理站,不需要应答。 6. SNMP 团体:SNMP 的团体是一个代
29、理和多个管理站之间的认证的访问控制关系。7. 检索简单对象:检索简单的标量对象可以用 Get 操作,如果变量绑定表中包含多个变量,一次还可以检索多个标题对象的值。GetNextRequest 检索变量名所指的是“下一个”对象实例。根据对象标识树的词典顺序,对于标量对象,对象标识符所指的下一实例就是对象的值。例 3.1 例 3.2 例 3.3 8. 检索未知对象:GetNext 命令检索变量名指示的下一个对象实例,但并不要求变量名是对象标识符或者是实例标识符。例 3.4 9. 检索表对象:GetNext 可用于有效检索表对象。例 3.5 3.6 10.表的更新与删除:Set 命令用于设置可更新变
30、量的值,它是 PDU 格式与 Get是相同的,它在变量绑定表中必须包含要设置的变量名和变量值。如果要删除表中的行,则可以把一个对象的值置为 invalid。例 3.7 3.8 3.9 3.10 11.陷入操作:陷入是由代理向管理站发出的异步事件报告,不需要应答报文。SNMPv1 规定了 6 种陷入条件。coldStart 发送实体重新初始化,代理的配置已改变,通常是由系统失效引起的。warmStart 发送实体重新初始化,但代理的配置没有改变,这是这是正常的重新启动。linkDown 链路失效通知,变量绑定表的第一项指明对应接口表的索引变量及其值。linkUp 链路启动通知,变量绑定表的第一项
31、指明对应接口表的索引变量及其值。authenticationFailure 发送实体收到一个没有通过认证的报文。egpNeighborLoss 相邻的外部路由器失效或关机。enterpriseSpecific 由设备制造商定义的陷入条件,在特殊陷入字段指明具体的陷入类型。 12.SNMP 功能组:包含的信息关系到 SNMP 协议的实现和操作。这一组共有 30个对象。在只支持 SNMP 站管理功能或只支持 SNMP 代理功能的实现中,有些对象没有值。除了最后一个对象,这一组的其它对象都是只读计数器。13.对象 snmpEnableAuthenTrap:可以由管理站设置,它指示是否允许代理产生“认
32、证失效”陷入。 14.轮询频率:通常轮询频率与网络的规模和代理的多少有关,而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其它因素。假定管理站一次只能与一个代理作用,轮询只是采用 get 请求/响应这GetRqustPDU GetRsponePDUSetqustSetRsponePDUGetNxRquestPDUGetRsponePDUTrapPGetResponse PDU种简单形式,而且管理站全部时间都用来轮询,则 NT/ N被轮询的代理数; T轮询间隔; 单个轮询需要的时间。 与以下因素有关,管理站生成一个请求报文的时间,从管理站到代理的网络延迟,代理处理一个请
33、求报文的时间,代理产生一个应答报文的时间,从代理到管理站的网络延迟,管理站处理一个响应报文的时间,为了得到需要的管理信息,交换请求/响应报文的数量。(4 个报文处理,2 个网络延迟)例 3.11 3.12 15.SNMPv1 的局限性:由于轮询的性能限制,SNMP 不适合管理很大的网络。SNMP 不适合检索大量数据。SNMP 的陷入报文是没有应答的,管理站是否收到陷入报文,代理不得而知。这样可能丢失重要的管理信息。SNMP只提供简单的团体名认证,这样的安全措施是很不够的。SNMP 并不直接支持向被管理设备发送命令。SNMP 的管理信息库 MIB2 支持的管理对象是很有限的,不足以完成复杂的管理
34、功能,SNMP 不支持管理站之间的通信,而这一点在分布式网络管理中是很需要的。16.SNMPv2 的新功能:具体的增强了以下 3 个方面,管理信息结构的扩充,管理站和管理站之间的通信能力,新的协议操作。17.SNMPV2 SMI 引入了 4 个关键概念: 对象的定义、概念表、通知的定义、信息模块。18.SNMPv2 数据类型:(1)两种新数据类型:Unsigned32 和Counter64。Unsigned32 与 Gauge32 在 ASN.1 中是无区别的,都是 32 位的整数,但语义不一样。Counter64 与 Counter32 一样,都表示计数器,只能增加不能减少,当增加到 264
35、-1 或 232-1 时回零,从头再增加。而且 SNMPv2规定,计数器没有定义的初始值,因此计数器的单个值是没有意义的,只有连续两次读计数器得到的增加值才有意义。(2)计量器定义的明确:SNMPv2 中规定 Gauge32 的最大值可以设置为小于 232的任意正数 MAX,而在SNMPv1 中 Gauge32 的最大值总是 232-1。显然这样规定更细致了,使用更方便了。其次是 SNMPv2 明确了当计量器达到最大值时可自动减少。19.STATUS 子句:这个子句是必要的,也就是说必须指明对象的状态。新标准去掉了 SNMPv1 中的 optional 和 mandatory,只有 3 种可选
36、的状态。Current-在当前的标准中是有效; obsolete-不必实现这种对象;deprecated-对象已经过时了,但是为了与老的实现互操作,实现时还要支持这种对象。20.SNMPv2 表的分类: SNMPv2 的操作只能作用于标量对象。表是行的序列,而行是列对象的序列。其表分为两类:禁止删除和生成的表。其最高访问级别是 read-write。在很多情况下这种表由代理控制,表中只包含 read-only型对象。允许删除和生成的表。表开始时可能没有行,由管理站生成和删除行。行数由管理站可代理改变。 21.概念行的生成:生成概念行分 4 个步骤。选择实例标识符。 管理站通过事务处理产生和激活
37、行。初始化非默认值对象。激活概念行。 22.概念行的挂起:当概念行处于 active 状态时,如果管理站希望概念行脱离服务,以便修改,则发出 set 命令,把状态列由 active 置为notInService。这时有两种可能,若代理不执行该操作,则返回wrongvalue;若代理可执行该操作,则返回 noError。 23.概念行的删除:管理站发出 set 命令,把状态列置为 destroy,如果这个操作成功,概念行立即被删除。24.通知类型的宏定义:NOTFICATION-TYPR 用于定义异常条件出现时 SNMPv2 实体发送的信息。任选 OBJECT 子句定义了包含在通知实例中的 MI
38、B 对象序列。当 SNMPv2 实体发送通知时这些对象的值被传送给管理站。 25.SNMPv2 信息模块:用于说明一组有关的定义。共有 3 种信息模块。MIB 模块,包含一给有关管理对象的定义。MIB 的依从性声明模块,使用MODULE-COMPLIANCE 和 OBJECT-GROUP 宏说明有关管理对象实现方面的最小要求。代理能力说明模块,用 AGENT-CAPABLITIES 宏说明代理实体应该实现的能力。 26.SNMPv2 系统组新增功能:新增了与对象资源有关的标量对象sysORLastChange 和一个表对象 sysORTable,它仍然属于 MIB2 的层次结构。所谓对象资源是
39、由代理实体使用和控制的,可以由管理站动态配置的系统资源。标量对象 sysORLastChang 记录着对象资源表中描述的对象实例改变状态(或值)的时间。对象资源表是一个只读的表,每一个动态配置的对象资源占用一个表项。 27.MIB 对象组:包含的对象与管理对象的控制有关,分为两个子组。第一个子组 snmpTrap 由两个对象组成,snmpTrapOID,是正在发送的陷入或通知的对象标识符。snmpTrapEnterprise,是与正在发送的陷入有关的制造商的对象标识符。第二个子组 snmpSet 仅有一个对象 snmpSerialNo,这个对象用于解决 set 操作中可能出现的两个问题,一个管
40、理站可能向同一 MIB 对象发送多个 set 操作,保证这些操作按照发送的顺序在 MIB 中执行是必要的,即使在传送过程中次序发生了错乱。多个管理站对 MIB 的并发操作可能破坏了数据库的一致性和精确性。解决方法如下。SnmpSerialNo 的语法是TestAndIncr(文字约定为 02147483647 之间的一个整数),假定它的当前值是 K,如果代理收到的 set 操作 SnmpSerialNo 的值为 K,则这个操作成功,响应 PDU 中返回 K 值,这个对象的新值增加为 K+1(mod 231);如果代理收到一个 set 操作,置这个对象的值不等于 K,则这个操作失败,返回错误值
41、inconsistenvalue。28.接口组新增表:接口扩展表 ifXTable(1),接口堆栈表 ifStackTable(2),说明接口表中属于同一物理接口的各个行之间的关系,指明哪些子层运行于哪些子层上。接口测试表 ifTestTable(3),作用是由管理站指示代理系统测试接口的故障。该表的一个行代表一个接口测试。接收地址表ifRcvAddressTable(4),包含每个接口对应的各种地址(广播地址、组地址和单地址)。29.SNMPv2 访问管理信息的方法:管理站和代理之间的请求/响应通信。与SNMPv1 是一样的。管理站和管理站之间的请求/响应通信。是 SNMPv2 特有的。代理
42、系统到管理站的非确认通讯,即由代理向管理站发送陷入报文,报知出现的异常情况。SNMPv1 中也有对应的通信方式。 30.SNMPv2 报文的结构:分为 3 个部分:版本号、团体名和作为数据传送的PDU。31.SNMPv2 PDU 格式:SNMPv2 共有 6 种协议数据单元,分为 3 种 PDU 格式。这些协议数据单元在管理站和代理系统之间或者是两个管理站之间交换,以完成需要的协议操作。GetRequestPDU:SNMPv2 对这种操作的响应方式与SNMPv1 不同,SNMPv1 的响应是原子性的,即只要有一个变量的值检索不到,就不返回任何值。SNMPv2 的响应不是原子性的,允许部分响应。
43、GetNextRequestPDU,在 SNMPv2 中,这种检索请求的格式和语义与SNMPv1 基本相同,唯一的差别是改变了响应的原子性。GetBulkRequestPDU 这是 SNMPv2 对原标准的主要增强,目的是以最少的交换次数检索大量的管理信息,或者说管理站要求尽可能大的响应报文。对这个操作的响应,在选择 MIB 变量时采用与 GetNextRequest 同样的原理,即按照词典顺序选择后继对象实例,但是这个操作可以说明多种不同的后继。SetRequestPDU 这个请求的格式和语义与 SNMPv1 的相同,差别是处理响应的方式不同。SNMPv2 实体分为两个阶段处理这个请求的就是
44、绑定表,首先是检验操作的合法性,然后再更新变量。如果至少一个变量绑定对的合法性检验没有通过,则不进行下一阶段的更新操作。TrapPDU,陷入是由代理发给管理站的非确认性消息。SNMPv2 的陷入采用与 Get 等操作相同的 PDU格式,这一点与原标准不同。InformRequestPDU,这是管理站发送给管理站的消息,PDU 格式与 Get 等操作相同,变量绑定表的内容与陷入报文的一样。但是与陷入不同,这个消息是需要应答的。所以管理站收到通知请求后首先要决定应答报文的大小,如果应答报文大小超过本地可对方的限制,则返回错误状态 tooBig。如果接收的请求报文不是太大,则把有关信息传送给本地的应
45、用实体,返回一个错误状态为 noErr 的响应报文,其变量绑定表与收到的请求 PDU 相同。 32.管理站之间的通信机制:是分布式网络管理所需要的功能特征,为此引入了通知报文 InformRequest 和管理站数据库 manager-to-manager MIB。管理站数据库主要由 3 个表组成。snmpAlarmTable,报警表提供被监视的变量的有关情况,类似于 RMON 警报组的功能,但这个表记录的是管理站之间的报警信息。snmpEventTable,事件表记录 SNMPv2 实体产生的重要事件,或者是报警事件,或者是通知类型宏定义的事件。snmpEventNotifyTable,事件
46、通知表定义了发送通知的目标和通知的类型。由以上 3 个表及其它有关标量对象共同组成了 snmpM2M 模块,该模块表示了管理站之间交换的主要信息。 33.SNMPv3 管理框架:在 RFC 2571 描述的管理框架中,以前叫做管理站和代理的东西现在统一叫做 SNMP 实体(SNMP Entity)。实体是体系结构的一种实现,由一个 SNMP 引擎(SNMP Engine)和一个或多个有关的 SNMP 应用(SNMP Application)组成。34.SNMP 引擎:提供下列服务:发送和接收报文。认证和加密报文。控制对管理对象的访问。SNMP 引擎有唯一的标识 snmpEngineID,这个标
47、识在一个上层管理域中是无二义性的。由于 SNMP 引擎和 SNMP 实体具有一一对应的关系,因而 snmpEngineID 也是对应的 SNMP 实体的唯一标识。SNMP 引擎具有复杂的结构,它包含:一个调度器(Dispatcher)、一个报文处理子系统(Message Processing Subsystem)、一个安全子系统(Security Subsystem)以及一个访问控制子系统(Access Control Subsystem)。35.SNMPv3 的应用程序:分为 5 种:命令生成器(Command Generator);命令响应器(Command Responder);通知发送
48、器(Notification Originator);通知接收器(Notification Receiver);代理转发器(Proxy Forwarder)。36.SNMP 管理站和代理:一个 SNMP 实体包含一个或多个命令生成器以及通知接收器,这种实体传统上叫做 SNMP 管理站;一个 SNMP 实体包含一个或多个命令响应器以及通知发送器这种实体传统上叫做 SNMP 代理。37.基于用户的安全模型(USM):(1)SNMPv3 把对网络协议的安全威胁分为主要的和次要的两类。标准规定安全模块必须提供防护的两种主要威胁是:修改信息、假冒;两种次要威胁:修改报文流、消息泄露。有两种威胁不必防护:
49、拒绝服务、通信分析。(2)RFC 2574 把安全协议分为以下 3 个模块:时间序列模块:提供对报文延迟和重放的防护;认证模块:提供完整性和数据源认证;加密模块:防止报文内容的泄露。38.SNMP 上下文(Context):简称上下文,是 SNMP 实体可以访问的管理信息的集合。在一个管理域中,SNMP 上下文由唯一的名字 contextName 标识。39.MIB 视图:为了安全,需要把某些组的访问权限制在一个管理信息的子集中,提供这种能力的机制就是 MIB 视图。第 4 章 远程网络监视 RMON 1. RMON:远程网络监视,是对 SNMPv1 标准的重要补充和扩展,是简单管理向互联网管理过渡的重要步骤。在不改变 SNMP 协议的条件下增强了网络管理的功能。主要是针对 SNMP 中管理进程与管理代理之间的通信缺少实时性以及轮询开销太大这一缺陷而提出来的一组 MIB 变量,这组 MI
