第 8 章 网络管理

1. 第8章 网络管理

2. 网络管理的功能 简单网络管理协议（SNMP） 网络管理工具 网络故障分析和监视工具

3. 8.1 网络管理的功能 ISO定义的网管功能 网络管理的其他功能

4. 管理功能 • 在OSI管理体系结构中，定义了五个管理功能： ① 性能管理（Performance Management）； ② 配置管理（Configuration Management）； ③ 记账（计费）管理（Accounting Management）； ④ 故障管理（Fault Management）； ⑤ 安全管理（Security Management）。

5. 1. 性能管理 • 性能管理的目标是衡量和呈现网络性能的各个方面，使人们能在一个可接受的水平上维护网络的性能。 • 对一系列的性能变量实施连续监控来实现的。性能变量的例子有网络吞吐量、用户响应时间和线路利用率。 • 性能管理包含以下几个步骤： • ① 收集网络管理者感兴趣的那些变量的数据； • ② 分析这些数据，以判断是否处于正常水平； • ③ 为每个重要的变量决定一个合适的性能阀值，超过该限值就意味着出现了值得注意的网络故障，管理实体不断地监视性能变量，当某个性能阀值被超过时，就产生一个报警，并将该报警发送到网络管理系统。

6. 2. 配置管理 • 配置管理的目标是监视网络和系统配置信息，以便跟踪和管理不同的软、硬件单元的配置及其变化情况。 • 配置信息对于维持一个稳定运行的网络是十分重要的。 • 每个网络设备均有一系列不同版本的信息，例如，一台工程工作站可能的配置如下有那些？ • 为了便于访问，配置管理子系统将上述信息存储在数据库中，当发生故障时，可从该数据库中查询到解决故障所需的相关信息。 ① Windows操作系统，版本2003 SP1； ② 以太网接口，版本5.4； ③ TCP/IP软件，版本2.0； ④ Netware软件，版本4.1； ⑤ 串行通信控制器，版本1.1； ⑥ X.25软件，版本1.0； ⑦ SNMP软件，版本2.0。

7. 3. 计费管理 因为网络资源可以根据其能力大小而合理地分配， • 计费管理的目标是衡量网络的利用率，以便使一个或一组网络用户可以更有规则地利用网络资源，这样的规则使网络故障率降低到最小，为什么？也可使所有用户对网络的访问更加公平。 • 为了达到计费管理的目的，必须通过性能管理测量出所有重要的网络资源的利用率，对其结果的分析就可以产生计费信息和以及可用于资源利用率优化的信息。

8. 4. 故障管理 • 故障管理的目标是自动地检测、记录网络故障并通知给用户。 • 故障管理是所有网络管理的实施中首先被考虑的管理要素。为什么？ • 故障管理包含几个步骤： • 搜集故障信息 • 判断故障症状； • 修复、隔离该故障； • 记录故障检测信息及其修复结果。 由于故障可以导致系统的瘫痪或不可接受的网络降级。

9. 5.安全管理 • 安全管理的目的是控制对网络资源的安全访问，以保证网络不被侵害（有意识的或无意识的），并保证重要的信息不被未授权的用户访问。 • 例如，管理子系统可以监视用户对网络资源的登录，而对那些具有不正确访问代码的用户加以拒绝。 • 安全管理子系统将网络资源分为授权和未授权两大类。对于某些用户，不允许访问所有的网络资源（这样的用户通常是公司之外的），即使对一些公司内部用户，对某些敏感信息的访问也应该受到限制。例如，人事部门以外的用户对人事资源的文件的访问应是限制级的。 • 安全管理子系统执行以下几种功能： • ① 标识重要的网络资源（包括系统、文件和其他实体）； • ② 确定重要的网络资源和用户集间的映射关系； • ③ 监视对重要网络资源的访问； • ④ 记录对重要网络资源的非法访问。

10. 8.1.2 网络管理的其他功能 多协议操作和多厂商产品的集成 完善的日志管理 网络拓扑结构自动发现和显示 支持客户机/服务器结构 智能监控能力 数据分析和处理 访问控制 应用编程接口（API）

11. 8.2 简单网络管理协议(SNMP) SNMP的发展 SNMP模型 SNMP的体系结构 SNMP的管理信息结构 MIB-II SNMPv1的操作 SNMPv2的扩展 SNMPv3

12. 8.2.1 SNMP的发展 ICMP协议 SGMP（简单网关监控协议） SNMPv1 CMIS/CMIP（Common Management Information Service/Protocol） SNMPv2添加了一些扩展功能 SNMPv3实现了用户期待的安全性

13. 8.2.2 SNMP模型 被管理的代理（Managed Agent） 网络管理器（Network Manager） 网络管理协议 管理信息库（MIB，Management Information Base）

14. SNMP报文 SNMP使用UDP（用户数据报协议）作为第四层协议（传输协议），进行无连接操作。SNMP消息报文包含两个部分：SNMP报头和协议数据单元PDU。数据报结构如下图 版本识别符（version identifier）：确保SNMP代理使用相同的协议，每个SNMP代理都直接抛弃与自己协议版本不同的数据报。 团体名（Community Name）：用于SNMP从代理对SNMP管理站进行认证；如果网络配置成要求验证时，SNMP从代理将对团体名和管理站的IP地址进行认证，如果失败，SNMP从代理将向管理站发送一个认证失败的Trap消息 协议数据单元（PDU）：其中PDU指明了SNMP的消息类型及其相关参数。

15. 8.2.3 SNMP的体系结构

16. 8.2.4 SNMP的管理信息结构 IETF规定的管理信息库MIB（由中定义了可访问的网络设备及其属性，由对象识别符（OID：Object Identifier）唯一指定。MIB是一个树形结构，SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。下图给出了NMS系统中SNMP可访问网络设备的对象识别树（OID：Object Identifier）结构。 管理信息的规则集 数据类型 SMI的组织形式

19. 对一个DS1线路状态进行查询的OID设置例子。

20. 8.2.5 MIB-II 管理信息组 System Interface At Ip Icmp Tcp Udp Egp snmp

22. 8.2.6 SNMPv1的操作 SNMPv1支持四种操作 get：用于获取指定对象 get-next：用于获取指定对象的后继，常用于遍历MIB树 set：用于修改或创建对象 trap：表示代理发送非请求性通知或报告给一个或多个管理站

23. 8.2.7 SNMPv2的扩展 陷阱 通知 块获取操作 对Get和GetNext请求的语义的改进 SNMPv2传输协议的支持

24. 8.2.8 SNMPv3 网络安全和访问控制规则 改进的体系结构 信息处理和控制模块 本地处理模块 用户安全模块

25. 小结SNMP的操作 1 get-request     2 get-response    3 get-next-request    4 set-request    5 trap    nms 通过get-request、get-next-request 和set-request 消息来对agent 发出查询和设置管理变量的请求，agent 在收到请求后，用get-response 消息来对请求进行回复。在某些特殊情况下，如网络设备端口up/down、网络拓扑变化时候，agent 会主动的向nms发送trap 消息通知nms 发生了异常事件。当然，nms 还可以通过设置rmon 功能，自行对一些异常情况进行警报。当设定的警报事件触发后，agent 将根据设置发送trap 信息或记录在log 中。

26. 8.2.9 RMON 远程监控（RMON）是一个标准监控规范，它可以使各种网络监控器和控制台系统之间交换网络监控数据。RMON 为网络管理员选择符合特殊网络需求的控制台和网络监控探测器提供了更多的自由。 RMON 最初的设计是用来解决从一个中心点管理各局域分网和远程站点的问题。RMON 规范是由 SNMP MIB 扩展而来。RMON 中，网络监视数据包含了一组统计数据和性能指标，它们在不同的监视器（或称探测器）和控制台系统之间相互交换。结果数据可用来监控网络利用率，以用于网络规划，性能优化和协助网络错误诊断。

27. 当前 RMON 有两种版本： RMON v1 和 RMONv2。RMON v1 在目前使用较为广泛的网络硬件中都能发现，它定义了9个 MIB 组服务于基本网络监控；RMON v2 是 RMON 的扩展，专注于 MAC 层以上更高的流量层，它主要强调 IP 流量和应用程序层流量。RMON v2 允许网络管理应用程序监控所有网络层的信息包，这与 RMONv1 不同，后者只允许监控 MAC 及其以下层的信息包。 RMON 监视系統有两部分构成：探测器（代理或监视器）和管理站。RMON 代理在 RMON MIB 中存储网络信息，它们被直接植入网络设备（如路由器、交换机等），代理也可以是 PC 机上运行的一个程序。代理只能看到流经它们的流量，所以在每个被监控的 LAN 段或 WAN 链接点都要设置 RMON 代理，网管工作站用 SNMP 获取 RMON 数据信息。

28. 网络层中 RMON 1和 RMON 2的主要监控中心：

32. 8.3 网络管理工具 状态监视 流量监视 路由监视 网络管理系统

33. Ping、Ipconfig、Tracert、Netstat、Arp是Windows自带的许多网络维护工具，下面以Windows 2000为例作简要介绍。

34. 1．Ping • 用法： • Ping[-t] [a] [-n count] [-I size] [-f] [-I TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout] • 参数： • -t ——用当前主机不断向目的主机发送数据包； • -n count ——指定ping 的次数； • -I size ——指定发送数据包的大小； • -w timeout ——指定超时时间的间隔（单位：ms，缺省为1000）。

35. 例1 • E：\>ping www.263.net • Pinging www.263.net[211.100.31.131]with32 bytes of data： • Reply from 211.100.31.131：bytes=32 time=50ms TTL=243 • Reply from 211.100.31.131：bytes=32 time=60ms TTL=243 • Request timed out. • Reply from 211.100.31.131: bytes=32 time=50ms TTL=243 • Ping statistics for 211.100.31.131: • Packets: Sent=4，Received=3，Lost：1（25%loss）， • Approximate round trip times in mili-seconds： • Minimum=50ms，Maximum=60ms，Average=53ms

36. 从上面的返回结果可以知道，我们向www.263.net（其IP为211.100.31.131）发送的4个大小为32Bytes的测试数据包中，有3个得到了服务器的正常响应（Reply from…），另一个响应超时（Request timed out）。平均每个数据包自发送到收到服务器响应的时间间隔为56ms（最小为50ms，最大为60ms）。 • 这一结果显示，本机到www.263.net的网速较快（平均响应时间短），但是网络可能不大稳定（丢失了一个数据包）。

37. 例2 • E：\>ping 202.11.89.118 • Pinging 202.112.89.118 with 32 bytes of data： • Request timed out. • Request timed out. • Request timed out. • Request timed out. • Ping statistics for 202.112.89.118： • Packets: Sent=4，Received=0，Lost=4（100%loss）， • Approximate round trip times in milli-seconds： • Minimum=0ms，Maximum=0ms，Average=0ms

38. 上例中4个测试数据包均超时，说明本机很可能无法与202.112.89.118通信。上例中4个测试数据包均超时，说明本机很可能无法与202.112.89.118通信。 • 但是也存在例外情况，即Ping“不通”但实际网络是连通的。这是因为Ping是用来检测最基本的网络连接情况的，Ping程序所使用的数据包为TCP/IP协议族最基本的ICMP包。不幸的是，某些操作系统（尤其是Windows）存在缺陷，面对对方发送过来的大的ICMP包，或者数量巨大的碎小的ICMP包，无法正常处理，可能导致网络堵塞、瘫痪，甚至整个系统崩溃、死机。目前的网络防火墙所采用的一种简便方法是，对方发来的ICMP包不做任何处理，直接抛弃。在Ping装有这样的防火墙的主机时，将被告知“Request time out”，其实这并不是网络不通。

39. 例3 • E：\>ping noabcd.com • Unknown host noabcd .com. • 这一结果显示域名noabcd .com不存在。

40. 2．Ipconfig • 顾名思义，Ipconfig用于显示和修改IP协议的配置信息。它适用于Win9x、WinNT和Win2000，但命令格式稍有不同。下面以Win2000为例做简要介绍。 • 用法： • ipconfig [/all |/release [adapter] |/renew [adapter]] • 参数： • /all——显示所有的配置信息； • /release——释放指定适配器的IP • /renew——更新指定适配器的IP

41. 例4 • 用“ipconfig / renew 0”命令可以更新0号适配器的IP。 • 例5 • 用“ipconfig / all”命令可以显示有关本地IP配置的详细信息。显示结果如下： • E：\> ipconfig / all

42. 3．Tracert • 用法： • tracert[-d] [-h maximumhops] [-j hostlist] [-w timeout] • 参数： • -d——不解析主机名； • -w timeout——设置超时时间（单位：ms） • Tracert 用于跟踪“路径”，即可纪录从本地至目的主机所经过的路径，以及到达时间。利用它，可以确切地知道究竟在本地到目的地之间的哪一环节上发生了故障。

43. 例6 • E：\> tracert www.Yahoo.com • Tracing route to www.yahoo.akadns.net[216.115.102.75] • Over a maximum of 30 hops： • 1<10ms <10ms <10ms 166.111.174.1 • 2<10ms <10ms <10ms 166.111.1.73 • 3 * * * Request timed out. • 4 * * * Request timed out. • 5 * * * Request timed out. • 6 * * * Request timed out. • 7 * * ^C • E：\> • 由上面的返回可以知道，本地路由器为166.111.174.1，转发给路由器为166.111.1.73，166.111.1.73拦截了本地到www.yahoo.com的国际流量。

44. 4．Netstat • 用法： • nestat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval] • 参数： • -a——显示主机的所有连接和监听端口信息； • -e——显示以太网统计信息； • -n——以数据表格显示地址端口； • -p proto——显示特定的协议的具体使用信息； • -r——显示本机路由表的内容； • -s——显示每个协议的使用状态（包括TCP，ＵDP，IP）； • interval——刷新显示的时间间隔（单位：ms）。 • Netstat程序可以帮助我们了解网络的整体使用情况。

45. 例7 • netstat—p TCP表示查看TCP连接。 • netstat—a表示查看所有信息。

46. 小结 ifconfig，UNIX内用于设置、查询网络接口的参数或状态 ipconfig和winipcfg ping及其替换工具 nslookup、dig和host ，域名的解析

50. 8.3.2 流量监视工具（1） Ping，观察网络的丢包率、延迟，了解网络流量 Bing，点到点的带宽测量 snoop、etherfind、tcpdump和ethereal，通过捕捉网络上的分组，然后按照不同的形式显示或输出这些分组