计算机网络管理复习资料二.docx
- 文档编号:6443309
- 上传时间:2023-01-06
- 格式:DOCX
- 页数:9
- 大小:27.43KB
计算机网络管理复习资料二.docx
《计算机网络管理复习资料二.docx》由会员分享,可在线阅读,更多相关《计算机网络管理复习资料二.docx(9页珍藏版)》请在冰豆网上搜索。
计算机网络管理复习资料二
《计算机网络管理》复习资料
(二)
作者:
自考频道 来源:
希赛教育 2008年1月5日 发表评论 进入社区
第四章远程网络监视RMON
1.远程网络监视(RMON):
是对SNMP标准的重要补充,是简单管理向互联网管理过渡的重要步骤。
RMON扩充了SNMP的管理信息库MIB—2,可以提供有关互联网管理的主要信息,在不改变SNMP协议的条件下增强了网络管理功的能。
2.RMON的目标:
RMON定义了远程管理监视的管理信息库,以及SNMP管理站与远程监视器之间的接口,其目标就是监视子网范围内通信,从而减少管理站和被管理系统之间的通信负担。
①离线操作。
必要时管理站可以停止对监视器的轮询,有限的轮询可以节省网络带宽和通信费用。
②主动监视。
如果监视器有足够的资源,通信负担也容许,监视器可以连续地或周期地运行诊断程序,获并记录网络性能参数。
③问题检测和报告。
如果主动监视消耗资源太多,监视也可以被动地获取网络数据。
④提供增值数据。
监视器可以分析收集到的子网数据,从而减轻管理站的计算任务。
⑤多管理站操作。
一个互联网可能有多个管理站,这样可以提高可靠性,或分布地实现各种不同的管理功能。
3.表管理原则:
RMON规范包含一组文字约定和过程规则,在不修改、不违反SNMP管理框架的前提下提供了明晰而规律的行增加和行删除操作。
4.RMON规范的表结构:
由控制表和数据表组成。
控制表定义数据表的结构,包含4个列对象,rmlControlIndex,rmlControlParameter,rmlControlOwner,rmlControlStatus;数据表用于存储数据。
由rmlDataControlIndex,rmlDataIndex共同索引。
5.行增加:
管理站用Set命令在RMON表中增加新行,并遵循下列规则,①管理站用SetRequest生成一个新行,如果新行的索引值与表中其他行的索引值不冲突,则代理生成一个新行,其状态对象的值为createRequest
(2),②新行产生后,由代理把状态对象的值置为underCteation(3)。
③新行的状态值保持为underCteation(3),直到管理站产生了所有要生成的新行,这时由管理站置每一个新状态对象值为valid
(1)。
④如果管理站要生成的新生行已经存在,则返回一个错误。
6.删除行:
只有行的所有者才能发出SetRequestPDU,把状态对象的值置为invalid(4),这样就删除了行。
这是否意昧着物理删除,取决于具体的实现。
7.修改行:
首先置行状态对象的值为invalid(4),然后用SetRequestPDU改变行中其他对象的值。
8.管理站并发访问的解决方法:
RMON控制表中的列对象Owner规定了表行的所属关系,所属关系有以下用法,可以解决多个管理并发地访问的问题。
①管理站能认得自己所属的资源,也知道自己不再需要的资源。
②网络操作员可以知道管理站占有的资源,并决定是否释放这些资源。
③一个被授权的网络操作员可以单方面地决定是否释放其他操作员保有的资源。
④如果管理站经过了重新启动过程,它应当首先释放不再使用的资源。
9.RMON规范的建议:
RMON规范建议,所属标志应包括IP地址,管理站名,网络管理员的名字、地点、和电话号码等。
所属标志不能作为口令或访问控制机制使用。
在SNMP管理框架中唯一的访问控制机制是SNMP视阈和团体名。
如果一个可读/写的RMON控制表出现在某些管理站和视阈中,则这些管理站都可以进行读/写访问,但控制表行只能由其所有者改变或删除,其他管理站只能进行读访问。
10.RMON定义的MIB:
是MIB下的16个子树,共分10组。
存储在每一组的信息都是监视器从一个或几个子网中统计和收集的数据。
10组功能是任选的。
但实现时有下列联带关系。
①实现警报组时必须实现事件组。
②实现最高N台主机时必须实现主机组。
③实现扑获组时必须实现过滤组。
11.以太网的统计信息:
RFC1757(Feb1995)定义的RMONMIB主要包含以太网的各种统计数据,以及有关分组扑获、网络事件报警方面的信息。
①统计组,提供了一个表,该表每一行表示一个子网的统计信息,其中大部分对象是计数器,记录监视器从子网上收集到的各种不同状态的分组数。
②历史组,存储的是以固定间隔取样所获取的子网数据。
由历史控制表和历史数据表组成。
控制表定义被取样的子网接口编号,取样间隔大小,心及每次取样数据的多少,而数据表则用于存储取样期间获得的各种数据。
③主机组,收集新出现的主机信息,其内容与接口组相同。
由主机数据表和主机时间表组成。
④最高N台主机组,记录某种参数最大的N台主机的有关信息,这些信息的来源是主机组。
这个组包含一个控制表和一个数据表。
⑤矩阵组,记录子网中一对主机之间的通信量,信息以矩阵的形式存储。
由3个表组成。
控制表一行指明发现主机对会话的子网接口;数据表分成源到目的(SD)和目的到源(DS)两表。
12.令牌环网的统计信息:
RFC1513扩展了RMONMIB,增加了有关IEEE802.5令牌环网的管理信息。
在统计组增加了两个表tokenRingMLStatsTable和tokenRingPStatsTable,前者统计令睡中各种MAC控制分组,后者统计各种数据分组。
RFC1513在RMONMIB中增加了一个新的tokenRing组,这个组包含4个子组。
①环站组,包含有关每个站的统计数据和状态信息。
该组由控制表(ringStationControlTable)和数据表(ringStationTable)组成。
②环站顺序组,提供站在环上的顺序,该组只有一个表ringStationOrderTable。
③环站配置表,提供控制不站的手段。
由控制表(ringStationConfigControlTable)和数据表(ringStationConfigTable)组成。
④环源路由组,提供源路由信息的使用情况,只有一个表sourceRoutingStatsTable。
13.警报:
定义了一组网络性能的门限值,超过门限值时向控制台产生报警事件。
必须和事件组同时实现。
警报组由一个表组成,该表的一行定义了一种警报:
监视的变量、采样区间和门限值。
14.报警机制;警报组定义了下面的警报机制。
①如果行生效后的第一个采样值≤上升门限,而后来的一个采样值≥上升门限,则产生一个上升警报。
②如果行生效后的第一个采样值≥上升门限,且alarmStartupAlarm=1or3,则产生一个上升警报。
③如果行生效后的第一个采样值≥上升门限,且alarmStartupAlarm=2,则当采样值落回上升门限后,又变得采样值≥上升门限时则产生一个上升警报。
④产生一个上升警报后,除非采样值落回上升门限到达下降门限,并且又一次到达上升门限,将不再产生上升警报。
对于下降警报的规则是类似的。
15.过滤组:
过滤组提供一种手段,使监视器可以观察接口上的分组,通过过滤选择出某种指定的特殊分组。
定义了两种过滤器:
数据过滤器是按位模式匹配,即要求分组的一部分匹配或不匹配指定的位模式;而状态过滤器是按状态匹配,即要求分组具有特定的错误状态(有效,CRC错误等)。
16.通道:
各种过滤器可以用逻辑运算来组合,形成复杂的测试模式。
一组过滤器的组合叫通道。
可以对通过通道测试的分组计数据,也可以配置通道使得通过的分组产生事件(由事件组定义),或者使得通过的分组被扑获(由扑获组定义)。
17.过滤组结构:
过滤组由两个控制表组成。
过滤表filterTable定义了一组过滤器,每一行定义一对数据过滤器和状态过滤变量filterChannelIndex说明该过滤器所属的通道;通道表channelTable定义由若干过滤器组成的通道,每一行定义一个通道。
18.包扑获组:
建立一组缓冲区,用于存储从通道中扑获的分组。
由控制表和数据表组成。
19.事件组:
作用是管理事件。
事件是由MIB中其他地方的条件触发的,事件也能触发其他地方的作用。
产生事件的条件在RMON其他组定义。
事件不能使得这个功能组存储有关信息,甚至引起代理进程发送陷入消息。
分为两个表,事件表,定义事件的作用;log表记录事件出现的顺序和时间。
20.RMON2MIB的作用:
RMON2监视OSI/RM第3层至第7层的通信,能对数据链路层以上分组进行译码。
这使得监视器可以管理网络层协议,包括IP协议。
因而能了解分组的源和目的地址,能知道路由器负载的来源,使得监视的范围扩大到局域网以外。
监视器也能监视应用层协议,这样监视器就可以记录主机应用活动的数据,可以显示各种应用活动的图表。
21.RMON新增功能组:
①协议目录组,提供表示各种网络协议的标准化方法,使得管理站可以了解监视器所在的子网上运行什么协议。
②协议分布组,提供每个协议产生的通信统计数据。
③地址映像组,建立网络层地址(IP地址)与MAC地址的映像关系。
可以为监视器在每一个接口上观察到的每一种协议建立一个表项,说明其网络地址和物理地址之间的对应关系。
④网络层主机组,类似于RMON1和主机组,收集网络上主机的信息。
但与RMON1不同的是不是基于MAC地址,而是基于网络层地址发现主机。
⑤网络层矩阵组,记录主机对(源/目标)之间的通信情况收集的信息类似于RMON1的矩阵组,但是按网络层地址识别主机。
⑥应用层主机,对应每个主机的每个应用协议(指第三层以上协议)在alHost表中有一个表项,记录有关主机发送/接收的分组/字节数等。
可以使用户了解每个主机上的每个应用协议的使用情况。
⑦应用层矩阵,统计一对应用层协议之间的各种通信情况,以及某种选定的参数最大的一对应用层协议之间的通信情况。
⑧用户历史组,按照用户定义的参数,周期的收集统计数据。
这使用权得用户可以研究系统中的任何计数器。
⑨监视器配置组,定义了监视器和标准参数集合,这样可以提高管理站和监视器之间的互操作性,使得管理站可以远程配置不同制造商的监视器。
22.RMON2新生增功能:
RMON2引入了两种与对象索引的有关的新功能,增强了RMON2的能力和灵活性。
①外部对象索引,RMON2采用了新的表结构,经常使用外部对象索引数据表,以便把数据表与对应的控制表结合起来。
②时间过滤器索引,网络管理应用需要周期的轮询监视器,以便得到被管理对象的最新状态信息。
为了提高效率,使用时间过滤器索引,使监视器每次只返回那些自上次查询以来改变了的值。
23.RMON2在网络管理中的应用:
①协议的标识,RMON2用协议标识符和协议参数共同表示一个协议以及该协议与其它协议之间的关系。
协议标识符是由字节串组成的分层的树结构,类似于MIB对象组成的树。
RMON赋予每个协议层32位的字节串,编码为4个十进数,表示为[a.b.c.d.]的形式,这是协议标识符树的结点。
链路层协议字节串是协议标识符树的根,下面每个直接相连的结点是链路层协议直接支持的上层协议,或者说是直接包装在数据链路帧中的协议。
整个协议标识符树就是这样逐步构造的。
②协议目录表,协议标识符和协议参数作为表项的索引,另外还为表项指定了一个唯一的索引,可由RMON2的其它组引用该表项。
③用户定义的数据收集机制,关于历史数据收集在RMON1中是预选定义的,在RMON2中可以由用户定义。
④监视器的标准配置法,为了增强管理站台票监视器之间的互操作性,RMON2在监视器配置组中定义了远程配置监视器的标准化方法。
由一些标题对象和4个表组成。
4个表是串行配置表、网络配置表;陷入定义表和串行连接表。
5章简单网络管理协议SNMPv2
1.SNMPv2的新功能:
SNMPv2既可以支持完全集中的网络管理,又可以支持分布式网络管理。
在后一种情况下,有些系统既是管理站又是代理。
作为代理系统,它可以接受上级管理系统的查询命令,提供本地存储的管理信息;作为管理站,它也可以要求下级代理系统提供有关被管理设备的汇总信息,此外,中间管理系统可以向它的上级系统发出陷入报告。
具体的增强了以下3个方面,①管理信息结构的扩充,②管理站和管理站之间的通信能力,③新的协议操作。
2.计算机和网络的安全需要:
保密性;数据完整性;可利用性。
3.网络管理中的安全威胁:
伪装的用户;假冒的管理程序;侵入管理站和代理之间的信息交换过程。
4.网络管理中的安全管理:
是指保护管理站和代理之间的信息交换安全。
安全管理使用的操作与其他管理合作的操作相同,差别在于使用的管理信息的特点。
5.安全管的理对象:
包括密钥、认证信息、访问权限信息和有关安全服务和安全机制的操作参数信息。
6.对安全信息的维护的功能:
①记录系统中出现的各类事件。
②追踪安全审计试验,自动记录有关的重要事件。
③报告和接收侵犯安全的警示信号,在怀疑出现威胁安全的活动时采取防范措施。
④经常维护和检查安全记录,进行安全风险分析,编制安全评价报告。
⑤备份和保护敏感的文件。
⑥研究每个正常用户的活动形象,预选设定敏感资源的使用形象,以便检测授权用户的异常活动和对敏感资源的滥用行为。
7.资源的访问控制:
一种重要的安全服务是访问控制服务,包括认证服务和授权服务,以及对敏感资源访问授权的决策过程。
其目的是保护各种网络资源,这些资源与网络管理有关的是①安全编码,②源路由记录信息,③路由表,④目录表,⑤报警门限,⑥记帐信息。
8.报文的加密:
安全管理能够在必要时对管理站和代理之间交换的报文进行加密。
安全管理也能够使用其他网络实体的加密方法。
此外,这个功能也可以改变加密算法,具有密钥分配能力。
9.安全机制:
①数据加密,是保密通信的基本手段。
是防止XX的用户访问敏感信息的手段,是其他安全方法的基础。
②认证,防止主动攻击的方法。
分为实体认证和消息认证两种。
实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。
消息认证是验证消息在传送或存储过程中没有被篡改,通常使用消息摘要的方法。
③数字签名,防止否认的方法。
有两种数字签名方法,一种是基于密钥的数字签名;另一种是基于公钥的数字签名。
④消息摘要,验证消息完整性。
用于差错控制的报文检查和根据冗余位检查消息是否受到干扰的影响。
消息摘要可以加速数字签名算法。
10.SNMPv2SMI的关键概念:
①对象的定义,②概念表,③通知的定义,④信息模块。
11.SNMPv2表的分类:
SNMPv2的操作只能作用于标量对象。
表是行的序列,而行是列对象的序列。
其表分为两类:
①禁止删除和生成的表。
其最高访问级别是read-write。
在很多情况下这种表由代理控制,表中只包含read-only型对象。
②允许删除和生成的表。
表开始时可能没有行,由管理站生成和删除行。
行数由管理站可代理改变。
12.辅助对象:
作为索引的列对象叫做辅助对象。
是不可访问的。
这个限制意味着:
①读,SNMPv2规定,读任何列对象的实例,都必须知道该对象实例所丰的行的索引对象的值,然而在已经知道辅助对象变量值的情况读辅助变量的值就是多余的。
②写,如果管理程序改变了辅助对象实例的值,则行的标识符也改变了,然而这是不容许的。
③生成,行实例生成时必须同时给一个列对象实例赋值,在SNMPv2中这个操作是由代理而不是由管理站完成的。
13.概念行的生成:
生成概念行可以使用两种不同方法分成4个步骤。
①选择实例标识符。
②a管理站通过事务处理产生和激活行。
②b管理站和代理协商生成概念行。
③初始化非默认值对象。
④激活概念行。
15.概念行的挂起:
当概念行处于active状态时,如果管理站希望概念行脱离服务,以便修改,则发出set命令,把状态列由active置为notInService。
这时有两种可能,若代理不执行该操作,则返回wrongvalue;若代理可执行该操作,则返回noError。
16.概念的删除:
管理站发出set命令,把状态列置为destroy,如果这个操作成功,概念行立即被删除。
17.通知类型的宏定义:
NOTFICATION-TYPR用于定义异常条件出现时SNMPv2实体发送的信息。
任选OBJECT子句定义了包含在通知实例中的MIB对象序列。
当SNMPv2实体发送通知时这些对象的值被传送给管理站。
DESCRIPTION子句说明了通知的语义。
任选的REFERENCE子句包含对其它MIB模块的引用。
18.SNMPv2信息模块:
用于说明一组有关的定义。
共有3种信息模块。
①MIB模块,包含一给有关管理对象的定义。
②MIB的依从性声明模块,使用MODULE-COMPLIANCE和OBJECT-GROUP宏说明有关管理对象实现方面的最小要求。
③代理能力说明模块,用AGENT-CAPABLITIES宏说明代理实体应该实现的能力。
19.SNMPv2系统组新增功能:
新增了与对象资源有关的标量对象sysORLastChange和一个表对象sysORTable,它仍然属于MIB—2的层次结构。
所谓对象资源是由代理实体使用和控制的,可以由管理站动态配置的系统资源。
标量对象sysORLastChang记录着对象资源表中描述的对象实例改变状态(或值)的时间。
对象资源表是一个只读的表,每一个动态配置的对象资源占用一个表项。
20.MIB对象组:
包含的对象与管理对象的控制有关,分为两个子组。
第一个子组snmpTrap由两个对象组成,①snmpTrapOID,是正在发送的陷入或通知的对象标识符,这个变量出现地陷入PDU或通知请求PDU的变量绑定表中的第二项。
②snmpTrapEnterprise,是与正在发送的陷入有关的制造商的对象标误用符,当SNMPv2的委托代理把一个RFC1157陷入PDU映象到SNMPv2陷入PDU时,这个变量出现在变量绑定表的最后。
第二个子组snmpSet仅有一个对象snmpSerialNo,这个对象用于解决set操作中可能出现的两个问题,①一个管理站可能向同一MIB对象发送多个set操作,保证这些操作按照发送的顺序在MIB中执行是必要的,即使在传送过程中次序发生了错乱。
②多个管理站对MIB的并发操作可能破坏了数据库的一致性和精确性。
解决方法如下。
SnmpSerialNo的语法是TestAndIncr(文字约定为0—2147483647之间的一个整数),假定它的当前值是K,①如果代理收到的set操作SnmpSerialNo的值为K,则这个操作成功,响应PDU中返回K值,这个对象的新值增加为K+1(mod2^31);②如果代理收到一个set操作,置这个对象的值不等于K,则这个操作失败,返回错误值inconsistenvalue。
21.适合性声明:
适合性是对具体实现的限制,是具体实现必须达到的最小级别。
说明适合性要用到4个宏定义,①OBJECT—GROUP(对象组宏),说明一组有关的对象,如果制造商实现了某些对象,可以用对象组宏说明之。
②NOTIFICATION—GROUP(通知宏组),说明书一组已经实现的通知。
③MODULE—COMPLIANCE(模块依从性宏),说明对MIB模块实现的最小要求。
④AGENTCAPABILITIES(代理能力宏),定义了一个代理实现能力。
22.对象宏组:
一组管理对象是适合性的基本单元。
对象宏组提供了一种说明已经实现的管理对象的系统化方法。
23.通知宏组:
与对象组类似,这个宏的NOTIFICATION子句列出必须实现的所有通知对象,每一个通知对象由给出的NOTIFICATION—TYPE宏来定义。
24.模块依从性宏:
所谓MIB模块的依从性是对实现MIB模块的最低要求。
其中包含一个或多个模块子句,每个模块子钏指明一个包含在依从性要求中的模块。
25.代理能力宏:
代理能力宏用于定义SNMPv2代理系统的能力,亦即代理对MIB功能支持的程度。
形式化的代理能力定义可以促进和优化管理站与代理之间的互操作性。
如果管理站有了对代理系统能力的要求,那么它就可以据此优化使用自己的资源,以及代理和网络的资源。
26.接口组新增表:
①接口扩展表ifXTable
(1),②接口堆栈表ifStackTable
(2),说明接口表中属于同一物理接口的各个行之间的关系,指明哪些子层运行于哪些子层上。
③接口测试表ifTestTable(3),作用是由管理站指示代理系统测试接口的故障。
该表的一个行代表一个接口测试。
④接收地址表ifRcvAddressTable(4),包含每个接口对应的各种地址(广播地址、组地址和单地址)。
27.SNMPv2访问管理信息的方法:
①管理站和代理之间的请求/赂应通信。
与SNMPv1是一样的。
②管理站和管理站之间的请求/响应通信。
是SNMPv2特有的。
③代理系统到管理站的非确认通讯,即由代理向管理站发送陷入报文,报知出现的异常情况。
SNMPv1中也有对应的通信方式。
28.SNMPv2报文的结构:
分为3个部分:
版本号、团体名和作为数据传送的PDU。
29.SNMPv2实体发送报文的步骤:
①根据要实现的协议操作构造PDU;②把PDU、源和目标端口地址以及团体名传送给认证服务,认证服务产生认证码或对数据进行加密,返回结果;③加入版本号和团体号,构造报文;④进行BER编码,产生0/1比特串,发送出去。
30.SNMPv2实体接收报文的步骤:
①对报文进行语法检查,丢弃出错的报文;②把PDU部分、源和目标端口号交给认证服务。
如果认证失败,发送一个陷入,丢弃报文;③如果认证通过,则把PDU转换成ASN.1的形式;④协议实体对PDU做句法检查,如果通过,根据团体名和适当的访问策略做相应的处理。
31.SNMPv2PDU格式:
SNMPv2共有6种协议数据单元,分为3种PDU格式。
这些协议数据单元在管理站和代理系统之间或者是两个管理站之间交换,以完成需要的协议操作。
①GetRequestPDU:
SNMPv2对这种操作的响应方式与SNMPv1不同,SNMPv1的响应是原子性的,即只要有一个变量的值检索不到,就不返回任何值。
SNMPv2的响应不是原子性的,允许部分响应。
②GetNextRequestPDU,在SNMPv2中,这种检索请求的格式和语义与SNMPv1基本相同,唯一的差别是改变了响应的原子性。
③GetBlukRequestPDU这是SNMPv2对原标准的主要增强,目的是以最少的交换次数检索大量的管理信息,或者说管理站要求尽可能大的响应报文。
对这个操作的响应,在选择MIB变量时采用与GetNextRequest同样的原理,即按照词典顺序选择后继对象实例,但是这个操作可以说明多种不同的后继。
④SetRequestPDU这个请求的格式和语义与SNMPv1的相同,差别是处理响应的方式不同。
SNMPv2实体分为两个阶段处理这个请求的就是绑定表,首先是检验操作的合法性,然后再更新变量。
如果至少一个变量绑定对的合法性检验没有通过,则不进行下一阶段的更新操作。
⑤TrapPDU,陷入是由代理发给管理站的非确认性消息。
SNMPv2的陷入采用与Get等操作相同的PDU格式,这一点与原标准不同。
⑥InformRequestPDU,这是管理站改善给管理站的消息,PDU格式与Get等操作相同,变量绑定表的内容与陷入报文的一样。
但是与陷入不同,这个消息是需要应答的。
所以管理站收到通知请求后首先要解决应答报文的大小,如果应答报文大小超过本地可对方的限制,则返回错误状态tooBig。
如果接收的请求报文不是太大,则把有关信息传送给本地的应用实体,返回一个错误状态为noErr的响应报文,其变量绑定表与收到的请求PDU相同。
32.SNMPv2的操作管理框架:
主要涉及4个基本概念:
参加者、上下文、MIB视图和访问控制策略。
而这些概念与认证和保密等安全功能有关。
①参加者。
在任何协议操作过程中,都有一些SNMPv2实体参加,为此引入参加者的概念。
把参加者看作是一个概念上的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 管理 复习资料