《Internet网络管理》复习提纲 2汇总.docx
《《Internet网络管理》复习提纲 2汇总.docx》由会员分享,可在线阅读,更多相关《《Internet网络管理》复习提纲 2汇总.docx(25页珍藏版)》请在冰点文库上搜索。
《Internet网络管理》复习提纲2汇总
第一章、网络管理概述
1、狭义网络管理:
应用SNMP等专用网络管理协议对网络各节点的运作进行监控管理,以维持网络的正常运作;“网络”的概念范围窄。
(可简单理解为网络运作监控管理
广义网络管理:
简单地说就是为保证整个网络系统每个方面都能够持续、稳定、安全、可靠和高效地运行,对网络实施的一系列方法和措施。
2、网络管理目标
网络管理的目标是最大限度地增加网络的可用度,提高网络设备的利用率,提高网络性能、服务质量和安全性,简化网络管理和降低网络运行成本,并提供网络的长期规划。
提高网络效率
提高网络收益
提高网络兼容性
提高网络安全性
3、网络管理的重要性
用户对网络的依赖程度越来越高
用户对网络应用的需求不断提高
用户对网络性能,运行状况及安全性越来越重视
4、网络管理的基本功能
1.网络运作监控管理(ISO制定的标准
(1配置管理
(2性能管理
(3故障管理
(4安全管理
(5计费管理
2.网络信息服务管理
3.网络安全管理
4.网络资源管理
5.网络用户管理
6.网络存储备份管理
7.其他等等
第二章、网络管理的相关技术基础1、网络管理模型图
问:
什么是管理者、代理、协议?
答:
网络管理者:
可以是单一的PC、单一的工作站或按层次结构在共享的接口下与并发运行的管理模块连接的几个工作站。
负责对网络设备进行全面的管理与控制。
根据网络中各个管理对象状态的变化,来决定对不同的管理对象应该采取什么样的操作,例如调整网络设备的工作参数,控制网络设备的工作状态。
代理:
是被管对象或设备上的管理程序,它把来自管理者的命令或信息请求转换为本设备特有的指令,监视设备的运行,完成管理者的指示,或返回它所在设备的信息。
协议:
负责解释在管理系统与被管理对象之间传递的操作命令,管理协议应用保证了管理信息库中的数据与具体网络设备中实际状态、工作参数的一致性。
问:
为什么不直接用管理者管理被管对象?
答:
因为被管对象多。
管理者将管理要求通过管理操作指令传送给被管理系统中的代理,代理则直接管理设备。
第三章、网络监控管理
1、网络监控管理模式
集中式网络管理:
集中式网管体系中由一个管理者对整个网络的运行进行管理,负责处理所有代理上的管理信息,它具有简单、价格低及易维护等优点,因而成为目前使用最为普遍的一种模式。
但随着网络规模和复杂度的迅速增大,集中式结构已暴露出其不可克服的缺点。
网络管理系统
Internet
被管设备被管设备
多域网络管理:
随着网络规模的扩大,采用集中式结构的网络管理系统已经无法满足管理应用的需求。
因此,有必要将管理工作分散到整个系统中进行分布处理,再将处理结果汇总。
在这样的环境中会有多个管理者存在,网络管理工作也应按照一定的管理结构划分给各个管理者。
为了更好地将网络按照管理结
构进行划分,网络管理系统是按域的概念进行管理的。
常见的多域网络管理系统有:
►分布式网络管理系统结构
►分层式网络管理系统结构
►混合结构
2、简单网络管理协议(SNMP
1SNMP概述
简单网络管理协议SNMP是由IETF提出的面向Internet的管理协议,其管理对象包括网桥、路由器、交换机等内存和处理能力有限的网络互联设备。
SNMP协议的优缺点:
1简单性。
因而比较容易在大型网络中实现。
它代表了网络管理系统实现的一个很重要的原则,即网络管理功能的实现对网络正常功能的影响越小越好。
2扩展性。
由于其简单化的设计,用户可以很容易地对其进行修改来满足他们特定的需要。
SNMPv2(version2的推出就是SNMP具有良好扩展性的一个体现。
SNMPv1存在的问题:
(详细:
PPTp104~p108
严重的安全问题
不支持批量数据传输,造成带宽的浪费
管理者与管理者之间部剧本通信能力
SNMPv1没有使用构成技术
没有统一的表格访问机构
协议只提供有限的操作
只有有限的错误代码定义
其他问题:
只有TCP/IP协议上运行,不支持别的网络协
议;只适于监测网络设备,不适于监测网络本身。
2SNMP参考模型
SNMP参考模型由4个主要部分构成:
互联网络,网络协议,网络管理进程和被管网络实体。
其中的核心内容是SNMP管理模型。
3一条SNMP消息的组成?
·版本号
·SNMP共同体名(community
·协议数据单元(PDU
SNMP消息全部通过UDP端口161接受,只有Trap信息采用UDP端口162。
1SNMP协议概述
SNMP是为网络管理服务而定义的应用协议。
SNMP是NMS(网络管理系统和代理之间的异步请求和响应协议。
SNMP协议建立在UDP层协议之上。
SNMP是一系列协议组成和规范组成,他们提供了一种从网络上的设备中收集网络管理信息的方法。
从被管理设备中收集数据有两种方法:
轮询方法;基于中断的方法。
问:
为什么SNMP协议要建立在UDP协议之上?
答:
由于它是一个异步的请求/响应协议,其请求和响应之间没有必然的时间顺序关系。
这样,SNMP实体无
需在发出请求后等待响应的到来。
由于传输服务存在
着残留差错,请求或响应可能会丢失,需由发送方负
责纠正或恢复。
10、SNMP的演变
1SNMPv1
SNMPv1是SNMP协议的最初版本,它在RFC1157中有详细描述,并在管理信息结构规范(SMI中实现。
SNMPv1在诸如UDP、IP等协议之上操作。
由于SNMPv1在Internet中得到了广泛的使用,已成为事实上的网管协议。
SNMPv1基本上没有什么安全性可言,在其他方面SNMPv1也存在较大问题。
2SNMPv2
SNMPv2在管理信息结构(SMI的规范中实现其功能。
SNMPv2在功能上较SNMPv1有所提高,也增加了一些协议操作。
对于SNMPv1的改进:
在原有的Get、GetNext、Set等操作外增加了SNMPv2Trap操作;
定义了GetBulk和Inform两个新的协议操作;
其中GetBulk操作快速获取大块数据;Inform操作允许
一个NMS向另一个NMS发送Trap信息,并接收一个响应消息。
SNMPv2安全标准对数据修改、假冒和数据包顺序改变等安全问题提出了比较满意的解决方案,进一步为安全标准提出了一系列的目标,提出了分级的安全机制以及验证机制和使用DES标准加密算法。
3SNMPv3
SNMPv3是SNMPv2的扩展,它主要解决了网络管理的有效性和安全性两个方面的问题。
SNMPv3的主要目标是支持一种可以很容易扩充的模块化体系结构。
可以认为SNMPv3是具有附加的安全和管理能力的SNMPv2。
SNMPv3主要定义了SNMPv2缺少的网络安全的4个关键域:
验证;
保密;
授权和进程控制;
以上功能所需的远程配置和管理能力。
SNMP轮询方式的两个明显的弱点
(1没有伸缩性。
在大型的网络中,轮询会产生巨大的网络管理通信量,因而导致通信拥挤情况的发生。
(2将收集数据的负担加在网络管理控制台上。
管理站也许能轻松地收集8个网段的信息,当它们监控48个网段时,恐怕就应付不下来。
4SNMP的3个组成部分:
SMI、MIB、协议
5管理信息库(MIB
MIB(ManagementInformationBase定义了可以通过网络管理协议进行访问的管理对象的集合。
MIB是一个管理信息的存储库,里面包括了数千个可管理数据对象,通过读取MIB中的数据对象标准,可以控制、配置或监测对应的网络设备。
网络管理系统通过网管代理软件来控制MIB中数据对象指向的被管对象。
不管有多少个MIB数据对象,管理代理都需要维持它们的一致性(MIB与实际设备的一致性,这也是管理代理软件的任务之一。
MIB经常被当作管理对象的虚拟的数据库,它包含了管理代理中的有关配置和性能的对象数据标准,有一个组织体系和公共结构,其中包含分属不同组的许多个数据对象。
MIB数据对象以一种树状分层结构进行组织,这个树状结构中的每个分枝都有一个专用的名字和一个数字形式的标识符。
上图表示的是标准MIB的组织体系,列出了从MIB结
构树的树根到各层树枝的全部内容。
结构树的分枝实际表示的是数据对象的逻辑分组。
而树叶,有时候也叫节点,代表了各个数据对象。
每个MIB对象都有一个唯一的对象标识符(OID来标识和命名,这个标识符取决于MIB对象在树中的位置,而对象的实例也有标识符,由对象类的对象标识符加上实例标识符构成的。
MIB分为标准MIB和私有MIB两种,标准MIB指的是MIB-II,任何支持SNMP的设备必须支持MIB-II。
3、在网络管理系统中被管对象的数据与其当前运作的实际状态、参数保持一致的方法主要有两种:
事件驱动方法与轮询驱动方法。
1事件驱动方法:
是由网络中各个网络监测设备在发现被监测对象的状态、参数发生变化后,及时地像管理进程报告。
这种报告称为事件报告。
事件报告并不总是意味着发生了严重的问题。
管理进程将对事件进行分类,根据发生的事件对网络服务影响的大小来划分事件的等级。
事件等级一般可以分成以下四个等级:
致命事件、严重事件、轻微事件、一般告警。
2轮询驱动方法:
是指管理进程主动轮流查询整个网络中
设备的工作状态、参数。
管理进程轮流查询后,如果返回的结果正常,则不做处理;如果返回的结果表明网络设备已经出现故障,或者根本就没有任何结果返回,则说明网络设备存在难以克服的故障,需要管理进程采取措施才能够恢复。
优点:
对代理资源的要求不高。
缺点:
管理通信的开销大。
轮询驱动方法虽然能够保证设备在发生故障以后的一定时间内,网络管理进程能够检测到故障,但检测的时间延迟一般较长。
如果一个网络有几百个、甚至有几千个网络设备,那么故障检测的时间延迟可能很长。
3两者比较:
事件驱动方式的故障检测的实时性会更好一些。
4、MIB-2
1MIB-2树:
分支节点禁止访问;叶子节点的实例,可读可写。
2MIB-2标准分支(见下图
备注:
对象命名树的顶级对象有三个,即ISO、ITU-T(前身是
CCITT和这两个组织的联合体。
在ISO的下面有4个结点,其中的一个(标号3是被
标识的组织。
在其下面有一个美国国防部(DepartmentofDefense
的子树(标号是6,再下面就是Internet(标号是1。
在只讨论Internet中的对象时,可只画出Internet以下
的子树(图中带阴影的虚线方框,并在Internet结点
旁边标注上{1.3.6.1}即可。
在Internet结点下面的第二个
结点是mgmt(管理,标号是2。
再下面是管理信息库,原先的结点名是mib。
1991年定义了新的版本MIB-II,故结点名现改为mib-2,其标识为{1.3.6.1.2.1},或{Internet(1.2.1}。
这种标识为
对象标识符。
最初的结点mib将其所管理的信息分为8个类别,现在
的mib-2所包含的信息类别已超过40个。
见下页表。
5、访问MIB数据对象方式
在定义MIB数据对象时,访问控制信息确定了可作用于该数据对象的操作种类。
SNMP协议定义了3种MIB数据对象访问方式:
只读
可读可写
禁止访问
网络管理系统无法改动只读方式的MIB数据对象,但可以通过Get或Trap命令读取数据对象的值。
SNMP作为数据传输方法,和数据的组织形式MIB结合,为网络管理系统提供了底层的保障。
一个真正的网络管理系统可以建立在SNMP之上,也可以建立在其他的网络管理协议上,如CMIP等等。
MIB有一个组织体系和公共结构,由SMI定义。
问:
为什么确定数据对象为只读?
答:
1在一件产品的使用期内,某些MIB的信息从不会改变。
如,MIB数据对象sysDescr,它代表SystemDescription,包含了管理代理软件所需要的厂商信息。
2确保有关性能的信息及其他统计数据正确,不至
于因误操作而改动他们。
6、管理信息结构(SMI
管理信息结构是MIB管理信息库中对象定义和编码的基础。
SMI是使用详细的ASN.1规则来定义MIB的;
SMI定义了在MIB中使用的数据类型及网络资源在MIB
中的名称或表示;
SMI使用ASN.1定义MIB定义中使用的一套公用的数据
类型、MIB节点和表示符号;
SMI定义了通过网络管理协议可访问的对象的规则。
SMI是对公共结构和一般类型的描述,和标识方法在一起,在现实中都要用到。
SMI经常被比作数据库的模式,它描述MIB中的对象,定义MIB中的数据类型。
SMI中最关键的原则是管理对象的形式化定义要用抽象语法定义(ASN.1来描述。
管理对象在现实中都是作为特定的MIB严格定义的,在SMI称为对象类型。
SNMP的对象类型有3个用来描述其特征的最基本属性:
名
语法
编码
7、抽象语法定义(ASN.1
产生原因:
随着网络技术的发展,人们发现处理异种系统之间的通信是一件很麻烦的事情。
不仅程序语言之间数据类型不同,不同机器平台之间的存储方式也不相同。
如果要进行信息交换,必须先协商一致,即确定使用哪种语言的数据标准进行交换,另一种语言在收发前后要先进行数据转换。
多种不同的系统之间的交换则更为繁琐。
ASN.1是描述在网络上传输信息格式的标准方法。
它有两部分:
1一部分描述信息内数据,数据类型及序列格式;
2另一部分描述如何将各部分组成消息。
ASN.1是一种数据定义语言,主要用来定义通信协议单元和一种称为“抽象语法”的数据类型。
“抽象语法”指的是与具体的机器平台无关的数据类型,它们从不在一台具体的机器上实现,一般用于两个系统(特别是异类系统,包括硬件和软件的相异之间的信息交换。
8、基本编码规则(BER
BER是一种编码规格,描述如何将ASN.1类型的值编码成字节串的方法。
是ASN.1标准的一部分。
SNMP使用BER方法将SNMP的操作请求和应答编码进行传输,并于接收端进行解码。
BER编码将数据分类T/L/V部分:
T为Tag缩写,是类型标识;
L为Length缩写,表示类型长度;
V为Value缩写,表示数据内容。
按照“T-L-V”的顺序对数据进行编码,生成字节流。
BER——传输语法图:
PDU格式:
11、RMON协议
1概述:
RMON的目标是为了扩展SNMP的MIB-2(管理信息库,使SNMP更为有效、更为积极主动地监控远程设备。
RMON实现了对异构环境进行一致的远程管理,它为通
过端口远程监视网段提供了合适的解决方案。
RMON自主性的操作和分布式的管理体系可以大幅提
高网络管理效率。
RMON监视下两层即数据链路和物理层的信息
RMON工作方式:
RMON监视器可用两种方法收集数据:
一种是通过专用的RMON探测器(Probe,网管工作站直接从探测器获取管理信息并控制网络资源,这种方式可以获取RMONMIB的全部
信息;另一种方法是将RMON代理直接植入网络设备(路由器、交换机、HUB等使它们成为带RMONProbe功能的网络设施,网管工作站用SNMP的基本命令与其交换数据信息,收集网络管理信息,但这种方式受设备资源限制,一般不能获取RMONMIB的所有数据,大多数只收集四个组(统计、历史、告警、事件的信息。
2产生背景:
(RMON与SNMP的比较
由于SNMP只由网管工作站负责采集数据和分析数据,所以网管工作站的处理能力可能成为瓶颈。
为了提高传送管理报文的有效性、减少网管工作站的负载、满足网络管理员监控网段性能的需求,IETF开发了RMON用以解决SNMP在日益扩大的分布式互联中所面临的局限性。
3RMONMIB
RMONMIB由一组统计数据、分析数据和诊断数据组成,不象标准MIB仅提供被管对象大量的关于端口的原始数据,它提供的是一个网段的统计数据和计算结果。
RMONMIB按功能分成九个组。
如下图:
1CMIP
优点是安全性高,功能强大
采用管理者/代理模型
这种管理监控方式称为委托监控
理的资源要求高
2LMMP
所管理的设备包括网桥、集线器、中继器和主机
比CMIS/CMIP更易于实现
第四章、网络信息服务管理
1、DNS协议
基于UDP;(特殊情况下,某些操作基于TCP
常用端口:
(53。
2、WWW服务
1HTTP协议
一种请求/响应类型的协议,一种无状态协议;
由客户机发送请求,服务器对该请求作出应答;
不同版本的处理稍有不同:
1.0及以前的版本,不同的
请求通常使用不同的连接,1.1引入持续连接作为默认行为,但服务器在不同请求之间不保留任何信息。
请求响应链存在中间节点。
2HTML
不严格要求格式的正确,结果由浏览器进行诠释;
格式通常只对显示效果有影响。
3WWW服务管理核心
服务的稳定性;
服务的安全性;
服务的效率。
三、邮件服务
1.邮件服务的基本概念
(1各种协议
SMTP(SimpleMailTransferProtocol
POP3(PostOfficeProtocol3
MIME(MultipurposeInternetMailExtension
UUCP(UnixtoUnixCopyProtocol
IMAP(InternetMailAccessProtocol
HTTP(HyperTextTransferProtocol
MUA:
MailUserAgent,即邮件用户代理,或一般称为邮件客户端软件。
MUA安装于用户客户端机器上,提供邮件编辑以及管理界面,帮助用户读写、管理邮件;常用的MUA软件有OutlookExpress、Foxmail等。
MUA软件通过SMTP协议与SMTP服务器进行发送邮件的通信。
目前,常用的MUA软件还集成收取邮件的功能,作为POP3服务的客户端软件,帮助用户从POP3服务器获得邮件信息或从POP3服务器收取邮件。
MTA:
MailTransportAgent,即邮件传输代理,负责把邮件
由一个SMTP服务器发送到另一个SMTP服务器,可能是直接从源服务器传送到目标邮件服务器,或在获得允许的情况下通过邮件中转服务器(MailRelay再传送到目标服务器,也可能是通过邮件邮件投递代理(MDA。
在服务器间的邮件传送使用SMTP协议;
MDA:
MailDeliveryAgent,即邮件投递代理,把已发送到目标服务器的邮件存放到用户的邮箱空间里(即服务器的用户文件区,当用户(MUA提出收取邮件请求时,由POP服务器或IMAP服务器检查用户邮件空间,若存在邮件,则直接取出并发送至MUA所在的客户端机器,其后清理服务器上的用户邮件空间。
2.邮件服务的管理核心
(1各种配置
服务范围控制
邮件来源、发送权限控制
邮件存储空间管理
邮件大小控制
用户数据库管理
用户空间分配
邮件转发管理
邮件自动化管理
(2邮件安全管理
邮件过滤
防病毒管理
(3邮件服务与其它服务之间的关系
3、Webmail
1Webmail系统原理图:
2通用因特网邮件扩充(MIME
(1SMTP的缺点:
SMTP不能传送可执行文件或其他的二进制对象。
SMTP限于传送7位的ASCII码。
许多其他非英语国
家的文字(如中文、俄文,甚至带重音符号的法文或德文就无法传送。
SMTP服务器会拒绝超过一定长度的邮件。
某些SMTP的实现并没有完全按照[RFC821]的SMTP标准。
(2MIME的特点
MIME并没有改动SMTP或取代它。
MIME的意图是继续使用目前的[RFC822]格式,但增加了邮件主体的结构,并定义了传送非ASCII码的编码规则。
(3MIME和SMTP的关系
(4MIME主要包括三个部分
5个新的邮件首部字段,它们可包含在[RFC822]首部
中。
这些字段提供了有关邮件主体的信息。
定义了许多邮件内容的格式,对多媒体电子邮件的表示方法进行了标准化。
定义了传送编码,可对任何内容格式进行转换,而不会被邮件系统改变。
(5MIME增加5个新的邮件首部
MIME-Version:
标志MIME的版本。
现在的版本号是
1.0。
若无此行,则为英文文本。
Content-Description:
这是可读字符串,说明此邮件是什么。
和邮件的主题相似。
Content-Id:
邮件的惟一标识符。
Content-Transfer-Encoding:
在传送时邮件的主体是如何编码的。
Content-Type:
说明邮件的性质。
(6内容传送编码(Content-Transfer-Encoding
最简单的编码就是7位ASCII码,而每行不能超过1000个字符。
MIME对这种由ASCII码构成的邮件主体不进行任何转换。
另一种编码称为quoted-printable,这种编码方法适用于当所传送的数据中只有少量的非ASCII码。
对于任意的二进制文件,可用base64编码。
(7内容类型
MIME着标准规定Content-Type说明必须含有两个标
识符,即内容类型(type和子类型(subtype,中间
用“/”分开。
MIME标准定义了7个基本内容类型和15种子类
型。
四、FTP服务
相关基本概念
(1两种传输模式问题;
(2特殊性:
采用2个TCP连接(控制连接、数据连接(202个连接之间的关系:
存在部分的必然联系,但可以不互相影响。
(3操作基本权限
2.FTP服务管理核心:
安全性
(1访问控制
(2支持匿名连接权限问题
(3病毒问题
第五章、网络安全管理
1、网络安全可划分为:
处于网络上的计算机系统的安全
网络服务使用的安全(稳定、可用
网络上信息传播的安全
2、防火墙
1概述:
防火墙起源于一种古老的安全防护措施。
防火墙技术就是一种保护计算机网络安全的技术性措施,是在内部网络和外部网络之间实现控制策略的系统,主要是为了用来保护内部的网络不易受到来自Internet的侵害。
防火墙是由软件、硬件构成的系统,用来在两个网络之
间实施接入控制策略。
接入控制策略是由使用防火墙的
单位自行制订的,为的是可以最适合本单位的需要。
防火墙内的网络称为“可信赖的网络”(trustednetwork,而将外部的因特网称为“不可信赖的网络”(untrustednetwork。
防火墙可用来解决内联网的安全问题。
2主要功能:
过滤不安全服务和非法用户
控制对特殊站点的访问
提供监视Internet安全和预警的方便端点
防火墙并非万能
3包过滤型防火墙
包过滤型防火墙工作在OSI网络参考模型的网络层和传输层,它根据数据包头源地址,目的地址、端口号和