《网络管理的概念.ppt》由会员分享,可在线阅读,更多相关《网络管理的概念.ppt(89页珍藏版)》请在三一办公上搜索。
1、东南大学 1,网络管理系统的体系结构,网络管理系统的概念结构ISO 网络管理体系结构TMN 网络管理体系结构Internet 网络管理体系结构实现方法和实例,东南大学 2,网络管理体系结构,网络管理体系结构计算机体系结构从集中式的基于主机环境到分散式的微机环境一直发展到现在的流行的客户/服务器局域网环境。网络管理系统的体系结构也反映了计算机体系结构的转换历程,它们经历了从基于主机系统到分布式系统到今天的系统。大多数网络管理体系结构都应用了大致相同的基本结构和各种关系集合。被管设备如计算机系统和其它网络设备所运行的软件能够识别设备的问题所在并发出相应的告警信息,例如当某个被管变量超过了用户定义的
2、一个或多个阈值时就产生告警报告。根据接收到的这些告警信息,预先编制的各种管理实体作出具体的响应,执行一个或一组管理操作,包括操作员通知、事件日志登录、系统关闭以及自动进行系统修复等。,东南大学 3,网络管理体系结构,网络,管理实体,Proxy,网络管理协议,网络管理系统(NMS),被管设备,被管设备,被管设备,东南大学 4,网络管理体系结构,各管理实体可以轮询各种终端工作站,检查确定变量的当前值。轮询可以是自动的或由用户发起。被管设备中的代理负责响应这些轮询。代理是一些软件模块,用于收集代理所在的被管设备的有关信息,将这些信息存入有关管理数据库中,并通过某种网络管理协议向网络管理系统(NMS)
3、中的各种管理实体提供相应的数据。常用的网络管理协议包括简单网络管理协议(SNMP)和公共管理信息协议(CMIP)。管理委托(Proxies)是一些能够提供代表其它实体的管理信息的实体。,东南大学 5,网络管理体系结构,功能体系结构 网络管理包括运行、管理、维护和供给(OAM&P)功能,这些功能是保证、监视、转换和控制网络及其传送的服务所需的。网络管理系统具有四个基本功能层次,每层定义了一组任务,为管理各种对象采集、形成和提供所需要的数据。,东南大学 6,网络管理体系结构,网络管理系统的四个基本功能层次,用户接口,管理系统的管理者,元素管理系统,被管对象,MIB,东南大学 7,网络管理体系结构,
4、(1)被管对象(Managed Objects)被管对象是指各种设备、系统以及需要监控和管理的所有功能。依照OSI的观点,被管对象包括系统资源:作为开放系统组成部分的那些资源,例如各种网络设备、处理器、系统进程等;通信资源:互连开放系统之间作为通信环境组成部分的那些资源,如实体、服务访问点等;应用资源:由用户为他们的任务所定义的应用进程等资源。,东南大学 8,网络管理体系结构,(2)元素管理系统(Element Management Systems,EMS)一个元素管理系统管理着网络的特定部分,它可以按照管理的覆盖范围,确定为是一个代理或智能代理,管理一个特定的网络设备或子网;也可以按照管理功
5、能划分而确定为一个管理子系统,如实现配置管理。(3)管理系统的管理者(Manager of Managers System,MoM)MoM系统综合与若干单元管理系统有关的信息,通常在各EMS之间协调相互间关系。在多数情况下,实际数据的收集来自于被管对象。这些由EMS收集的数据被转换成统一的数据格式存入数据库供其它程序处理或使用。,东南大学 9,网络管理体系结构,(4)用户接口如何能使用户有效地使用管理信息是网络管理系统的重要方面。无论是实时警报和告警还是网络趋势分析图和报告,都要求这些信息能够在整个网络管理系统中被各级网络管理员安全方便地获得和充分有效地利用,否则实现网络管理就没有意义了。,东
6、南大学 10,网络管理体系结构,网络管理功能定义网络管理功能的定义分为两类:公共管理功能和系统管理功能。公共管理功能提供各种网络管理应用系统所需的支撑功能,包括管理信息库(MIB)的访问协议和服务、日志的管理、事件的管理等。系统管理功能提供面向应用的管理功能。,东南大学 11,网络管理体系结构,(1)故障管理 故障管理是对系统非正常操作的操作管理。所谓故障就是那些引起系统以非正常方式操作的事件,可分为由损坏的部件或软件故障(bug)引起的(内部)故障,常常是可重复的;由环境影响引起的外部故障,通常是突发的,不可重复。,东南大学 12,网络管理体系结构,故障管理的主要内容有故障检测:维护和检查故
7、障日志,检查事件的发生率看是否已(或将)成为故障;接收故障报告。故障诊断:寻找故障发生的原因,可执行诊断测试,以寻找故障发生的准确位置。故障纠正:将故障点从正常系统中隔离出去,并根据故障原因进行修复。故障管理为操作决策提供依据,以确保网络的可用性。,东南大学 13,网络管理体系结构,(2)配置管理配置管理的重点是被管对象的标识和状态。这些信息构成了进一步讨论被管对象能力的基础。配置管理的目的是通过定义、收集、管理、和使用配置信息,以及网络资源配置的控制来最佳地维持网络环境所提供的服务质量。配置管理至少应具有事件报告、状态监测和管理配置信息的功能。,东南大学 14,网络管理体系结构,(3)计费管
8、理计费管理为成本计算和收费提供依据。它对网络资源的使用情况进行收集、解释和处理,提出计费报告,包括计费统计、帐单通知和会计处理等,为网络资源的使用核算成本和提供收费依据。这些资源有:网络服务,负责用户数据的传输(例如数据的传输量);网络应用(例如对服务器的使用)。对用户行为的了解与控制,东南大学 15,网络管理体系结构,(4)性能管理性能管理是优化服务质量的需要。它定义了网络的动态评估方法,以便于检验网络所保持的服务水平,确定实际的和潜在的网络性能瓶颈。根据网络的各项运行指标的趋势,为制定和规划管理决策产生报告。性能管理还包括了为操作控制建立和维护性能数据库和自动操作程序,随机或定时收集由统计
9、数据产生的性能日志。这些日志除了性能管理本身使用外,其它管理功能亦可充分加以利用:故障管理应用性能日志检测故障;配置管理根据性能日志决定何时需要改变配置;计费管理应用性能日志调整计费策略。,东南大学 16,网络管理体系结构,(5)安全管理安全管理用于保证降低运行网络及其网络管理系统的风险。它是一些功能组合,通过分析网络安全漏洞将网络危险最小化。实施网络安全规划,可动态地确保网络安全。主要包括维护防火墙和安全日志、安全指示器的监测、分区隔离、口令管理和提供各种级别的警告或报警。,东南大学 17,网络管理系统的概念结构ISO 网络管理体系结构TMN 网络管理体系结构Internet 网络管理体系结
10、构实现方法和实例,东南大学 18,ISO网络管理体系结构,服务元素OSI参考模型的基本构造技术是分层。利用层次结构把开放系统的信息交换问题分解在一系列较容易控制的软硬件模块即层中。同样,OSI的七层模型也支持与网络管理有关的应用程序。这些应用程序都位于第七层,层一至层六则通过向网络管理提供各种标准服务功能来传输有关网管信息。系统管理应用程序实体(System Management Application Entities SMAE)包括了三个对网络管理至关重要的关键部件应用程序服务元素:,东南大学 19,ISO网络管理体系结构,联接控制服务元素(Association Control Serv
11、ice Elements ACSE),负责为一个应用程序建立和释放其联接;远程操作服务元素(Remote Operation Service Elements ROSE),负责连接的建立和释放;公共管理信息服务元素(Common Management Information Service Elements CMISE),负责网络管理信息通信的逻辑部分。,东南大学 20,ISO网络管理体系结构,CMISE的服务元素包括:MINITIALIZE服务,CMISE服务用户(如某个管理进程)用该服务与对等层的CMISE服务用户(如某个被管理进程)建立联接,MINITIALISE服务形成了管理信息服务活
12、动实例的初始阶段。该服务被定义为一种要确认的服务,仅用于创建一个联接,并不涉及已建立的联接。之后该服务转到ACSE与对等的CMISE服务用户建立联接;MTERMINATE服务 CMISE服务用户用该服务正常释放与对等CMISE服务用户之间的联接,该服务被定义为一种要确认的服务,之后该服务转到ACSE产生与对等CMISE服务用户联接的正常释放操作;,东南大学 21,ISO网络管理体系结构,MABORT服务 CMISE服务用户用该服务异常释放与对等CMISE服务用户之间的联接,该服务被定义为一种非确认的服务,之后该服务转到ACSE产生与对等CMISE服务用户联接的异常释放操作;MEVENTREPO
13、RT服务 CMISE服务用户用该服务向对等CMISE服务用户报告有关管理信息的事件。该服务或被定义为一种要确认的服务,或被定义为一种非确认的服务;MGET服务 CMISE服务用户用该服务从对等CMISE服务用户获得各种管理信息值。该服务或被定义为一种要确认的服务;,东南大学 22,ISO网络管理体系结构,MSET服务 一个正在使用的CMISE服务用户用该服务请求一个对等CMISE修改管理信息值。该服务被定义为一种要确认的服务和一种非确认的服务;MACTION服务 CMISE服务用户用该服务请求一个对等CMISE服务用户在被管对象中执行某种操作。该服务被定义为一种要确认的服务和一种非确认的服务;
14、MCREATE服务 一个正在使用的CMISE服务用户用该服务请求一个对等CMISE创建一个新的被管对象实例的代表,完成其标识和各种与其相关的管理信息,同时登记其标识。该服务或被定义为一种要确认的服务;,东南大学 23,ISO网络管理体系结构,MDELETE服务 一个正在使用的CMISE服务用户用该服务请求一个对等CMISE删除一个被管对象实例的代表,并删除其登记标识。该服务或被定义为一种要确认的服务。另外还有两种附加服务可望成为服务集合中的一部分,它们是MCANCELGET和MADD/REMOVE。,东南大学 24,ISO网络管理体系结构,系统管理功能利用各种服务元素,可以支持各种各样的系统管
15、理功能(SMF)。网络管理的内容按照其特定的任务和作用划分成五个系统管理功能域(SMFA),ISO把各管理功能域中的共同部分抽取出来,专门定义了一些管理功能服务支持,应用于多个不同的管理功能域。系统管理标准文本ISO 10164中定义的各个系统管理功能就是各个管理功能域中的公共子功能。SMF负责执行管理过程和管理活动,这些过程和活动则是在SMFA中规定的。,东南大学 25,ISO网络管理体系结构,系统管理功能定义在系统管理标准文本ISO 10164中,系统管理功能被详细地分成16个部分。,东南大学 26,ISO网络管理体系结构,管理应用软件,配置管理功能域,性能管理功能域,安全管理功能域,故障
16、管理功能域,计费管理功能域,公共管理信息服务CMIS,系 统 管 理 功 能,系 统 管 理 功 能 域,底层协议支持,东南大学 27,ISO网络管理体系结构,1.对象管理功能规定了管理对象的定义,描述了可以对被管对象进行的操作对被管对象进行操作的规则,比如创建、删除、改名、列出对象清单等操作的规则。定义、删除和改变对象属性的规则在对象管理定义中,允许指定的各种服务向其它开放系统报告有关对象管理的活动情况。例如当一个对象的属性发生改变时,用属性改变事件报告服务向其它开放系统发送一个事件报告。,东南大学 28,ISO网络管理体系结构,2.状态管理功能这部分定义了管理对象的状态模型。状态模型是协调
17、管理者、管理代理和被管对象动作的依据。被管对象接受管理信息以后要按照状态模型进行动作,管理者和管理代理也要按照状态模型解释被管对象的动作。标准中把被管对象的状态分为两大类:管理控制状态和操作状态。在管理控制状态下,被管对象的子状态有“关闭”、“加锁”和“解锁”等,在操作状态下,被管对象可以处于“忙”、“活动”、“可操作”或“不可操作”。文件中定义了状态的转换关系和转换条件,以及状态转换时可能或必须发出的管理信息。,东南大学 29,ISO网络管理体系结构,3关系管理功能这个文件定义了被管对象之间的联系。文件中规定的对象间关系有:直接指向关系:一个对象的某个参数包含的信息直接指定了另一个对象。间接
18、指向关系:由两个或两个以上直接指向关系的级联而导出的指向关系。对称关系:两个对象之间的交互规则是相同的。不对称关系:两个对象之间的交互关系是不同的。该文件中还规定了如何管理对象之间的关系,比如,具有直接指向关系的对象,如果其“父”对象被删除,则被该对象指向的对象也可能要自动删除。反之,被指向的对象如果被删除,则必须修改其“父”对象的指向关系。对关系的操作也有创建、删除、提取等操作。,东南大学 30,ISO网络管理体系结构,4.告警报告功能该功能定义了五个基本故障类型(报告类型),它们组成了核心功能元素。这五类故障是:通信类、服务质量类、处理类、设备类和环境类。除了这五个故障类型外,告警报告功能
19、还提供一些其它信息,如可能的告警原因、告警的严重等级、备份设备的状态(如果有)、各类门限值、建议的修复动作、被管对象的告警状态、已经改变的指示和关于告警的文字解释(可选)。,东南大学 31,ISO网络管理体系结构,5事件报告功能该功能定义了涉及远地事件的报告和本地事件的处理方法。其中定义了若干过滤器,每个过滤器完成与事件报告有关的不同功能。比如事件转发过滤器负责按照指定的准则判断一个事件是否要向管理者或管理代理报告。为了完成这些工作,过滤器采用了一些结构以建立起门限和其它准则,满足这些准则的事件才向上级管理者报告。,东南大学 32,ISO网络管理体系结构,6.日志控制功能这里定义的是网络管理系
20、统日志的控制操作。标准文本中规定了怎样保存事件和被管对象的操作日志,也规定了什么时候要保存日志、什么时候可以恢复日志操作和什么条件下需要将日志挂起。另外还定义了日志记录的提取和删除以及创建日志记录准则的修改等。,东南大学 33,ISO网络管理体系结构,7.安全告警报告功能该标准文件为安全管理规定了在接收到各种被管对象的安全告警后的通报过程。文件中定义了五种安全告警:完整性不符指示:指明信息流中可能有侵入现象,部分信息可能被非法删除、修改,或被插入了其它信息;非法操作指示:指明由于功能异常或错误使用而不能获得请求的服务;物理非法指示:指明检测到物理资源的分流(如线路上被挂接了其它支线);安全服务
21、非法指示:检测到网络中的一些安全设备受到了安全攻击;时间非法指示:指出收到了一些超出时间允许范围的事件。,东南大学 34,ISO网络管理体系结构,除了上述安全告警的类型外,文件中还定义了这些告警的若干种原因,例如:收到了不应该收到的信息;没有收到应该收到的信息;收到的信息已经被非法修改过了;一个信息重复收到多次,告诫用户可能有重复不断的攻击;通信介质已经被挂接上支线了。,东南大学 35,ISO网络管理体系结构,8.安全追查功能这个功能与日志控制功能类似,只不过这里提供的安全追查日志是与安全措施有关的历史事件的记录。它提供了一些审计信息,这些信息是与计费、安全利用率、拆链、建链和其它管理操作有关
22、的。,东南大学 36,ISO网络管理体系结构,9.访问控制的对象和属性该标准的目的是给网络管理机构提供安全保障措施,以防止未经授权的用户访问某些管理对象。它所提供的访问控制机理是以用户预定义文件为基础的,同时定义了如何拒绝访问特定对象对象规则。,东南大学 37,ISO网络管理体系结构,10.计费功能该文件规定了网络中如何确定用户对资源的使用、核算费用以及交费等问题。此外,还提供了一些措施设定费用门限,当某个用户对某些被管对象的使用费用超过门限时禁止使用这些对象。,东南大学 38,ISO网络管理体系结构,11.负载监测功能该标准中定义了对网络的负载的监测模型,建立起一个反馈过程,使用户能够确定被
23、管对象的性能变化趋势,可以度量早期告警的门限值。文件中定义了如何度量资源的利用率、如何清除被管对象的各种告警条件、状态指示等。还提供了定义各种与告警有关的量规、门限和计数器等参量的方法。,东南大学 39,ISO网络管理体系结构,12.测试管理功能该文件中描述了用户对远程测试管理的要求,定义了各种测试服务,建立起一个测试模型,该模型将本功能提供的服务和一些定义联系起来,规定了测试的开始、报告和结束等一系列过程,并且还给出了测试的协议和句法定义。,东南大学 40,ISO网络管理体系结构,13.总结功能总结过程是应用一定的算法对被管对象的属性等信息进行处理以产生概要信息。可以提取信息的被管对象有表示
24、资源情况的对象、日志等可观察的对象。总结过程包括收集信息、处理信息、产生总结信息和发出总结信息等几个步骤。该标准文件中定义了若干总结工具如对象描述工具等,并且也定义了总结功能的一系列服务。,东南大学 41,ISO网络管理体系结构,14.确认和诊断测试确认和诊断测试的作用在于它可以使用户确认某个资源能够完成分配给它的功能,确认通信系统能够在多个开放系统之间建立起连接并可靠地传输数据,可以验证协议是否完备,可以查看提高资源利用率将会带来的副作用,并可提供查找故障原因手段。文件中描述了确认和测试类目的模型,规定如何考察网络。这些测试类目是:内部资源测试;连通性测试;数据完整性测试;闭环测试;回环测试
25、;协议完整性测试。标准中还定义了与上述测试类目相对应的测试类被管对象。该文件规定了每一种测试的目的、测试内容、测试的开始、测试结果的报告和测试的终止。,东南大学 42,ISO网络管理体系结构,15.对象调度功能对象调度功能主要用于协同多个被管对象的活动顺序或一个对象内部各个操作的活动时间,也能用于规划特定对象的特定操作过程。对象调度功能可以由用户设定调度活动的持续时间。文件中规定了对象调度功能的工作模型,其中包括内部调度机理和外部调度机理、用操作实现调度或用活动实现调度和调度的类型。,东南大学 43,ISO网络管理体系结构,16.管理知识的管理功能参与系统管理会话的开放系统需要知道对等开放系统
26、的特定信息(知识)才能与其建立会话,完成分布式管理的功能。该文件定义了如何管理开放系统的管理知识,规定了管理知识的管理模型。文件中将管理知识分成三类:被管对象实例信息:给出当前存在于管理信息库MIB中的信息;功能信息:有关对被管对象能够进行操作的操作能力的信息;定义信息:即各种定义的样例。,东南大学 44,ISO网络管理体系结构,分析1.OSI的网管体系结构的一个重要问题是它不能以一种合适的方式应用OSI参考模型的建模原理。例如OSI管理违反了分层原理,也就是说在一个特定层的用户不必知道其下层服务提供者的内部结构。按照分层原理,实体只能通过服务原语与相邻层进行交互,实体不可能用其它方式随便地访
27、问各层中的部件,然而通过下面的说明可以看到,这在OSI系统管理结构中显然难以做到。,东南大学 45,ISO网络管理体系结构,假设有两个系统,一个作为管理者,另一个作为代理。作为代理的系统是正在被管理的系统,它包含了一些代表可管理资源的被管对象。这些被管对象可以被一个系统管理应用程序实体(SMAE)所访问,该SMAE经由系统管理协议(CMIP)与位于管理者系统中的一个SMAE进行通信。,ISO网络管理体系结构,OSI参考模型的每一层都可能需要管理,因此在OSI参考模型的所有层都可以找到各种被管对象。按照定义,SMAE位于应用层,然而根据OSI管理,SMAE能够对被管对象进行操作,不管这些被管对象
28、处在哪一层。这就意味着该SMAE应当了解底层服务提供者的内部结构才能完成这样的操作,并能够通过一些交互机制访问该提供者的各个部分。这是与OSI参考模型所定义的建模原理相违背的。,东南大学 47,ISO网络管理体系结构,2故障管理的问题层协议的双重任务的例子,SMAE,计数器,应用层,运输层,OSI管理假定SMAE能够设法访问该对象,东南大学 48,ISO网络管理体系结构,设在运输层有一个计数器为被管对象,它反映了发生CRC错误的数量。应用层的SMAE能够读取该CRC计数器。如前所述,OSI没有描述SMAE如何访问运输层的被管对象,然而OSI管理有可能采用某种形式的交互。当SMAE读取该计数器后
29、,它可能会将CRC信息发送到其它系统。为此,SMAE把该信息作为用户数据呈现给下层访问提供者。然而运输层协议是该服务提供者的组成部分,因此运输层协议也用于管理信息的交换。所以被管的各层协议也被用于交换管理信息,与此相关的问题在于故障管理会变得不可能。例如,假设一系统的运输层实体意外中断,而其它实体仍保持运行,则SMAE将检测到该故障,并因此产生一告警报告,但该告警报告由于本地运输层实体故障而不能被传送。,东南大学 49,ISO网络管理体系结构,3.其它问题OSI管理说明了如何完成各种单个管理操作,如GET和SET。但目前的管理标准并没有描述如何实现连续的管理操作来解决一些特殊的管理问题。到目前
30、为止,几乎还没有成熟的用于实际管理问题的解决方案。OSI管理过于复杂。SC21/WG4已经提出了一些新概念,但有时理解起来有难度。另外,大量的管理标准以及这些标准的篇幅也是困难因素。在标准化进程中,OSI管理的主要概念发生了一些相当大的变化,例如“被管对象”的重新定义,撤销“应用管理”以及“层操作”的引入。OSI管理的标准化花费了太长的时间,因此在此期间出现了如SNMP等其它管理协议。尽管大多数厂商宣称支持OSI管理,但很少有付诸实施。基于OSI体系结构的管理系统比基于Internet管理体系结构(SNMP)的管理系统要昂贵得多。,东南大学 50,网络管理系统的概念结构ISO 网络管理体系结构
31、TMN 网络管理体系结构Internet 网络管理体系结构实现方法和实例,东南大学 51,TMN网络管理体系结构,电信管理网(TMN)概念是国际电信联盟电信部(ITUT,前CCITT)在1988年正式定义的作为其标准环境中的一个部分。在19891992年的研究期间,ITUT初步完成了一套可实现的TMN接口建议(即标准)的集合。该集合的其余部分正在制定当中。ITUT在最近的研究中,也采用了OSI管理标准作为TMN的框架。OSI管理原起源于ISO,现在与ITUT共同发展了X.700系列建议,与ISO/IEC共同发展了它的国际标准,提供了面向事件的能力来支持TMN的操作、管理、维护和供给(OAM&P
32、)功能。在OSI管理中亦即TMN中,使用了面向对象的技术来定义这些功能。在上述研究期间,一些地区和国家的标准化组织,例如欧洲技术标准研究所(ETSL),美国的电信委员会1(T1)以及两个日本小组等,都认识到了TMN的重要性。目前,TMN被公认为当今和将来的电信网络管理的基础。,东南大学 52,TMN网络管理体系结构,TMN管理功能TMN可以是一个把操作系统(OS)与一个简单的网络单元(NE)连接起来的简单网,也可以是连接许多不同的OS、NE和工作站(WS)的非常大的网。就功能而言,TMN是一个独立的能够管理电信网的网络,可是它也可能利用部分电信网进行TMN通信,因此TMN的某些部分可以是嵌入在
33、电信网中的逻辑网。TMN的功能要求是多种多样的。ITU-T M.3200首次描述了TMN管理服务的集合。特殊的TMN管理服务将在M.32xx系列中描述。一个TMN管理服务可以视为整个管理域的一个方面的描述,如交换管理。而每个TMN管理服务则可递归地分解为更小的请求单元,直至最小化的TMN管理功能。,东南大学 53,TMN网络管理体系结构,TMN与电信网的关系,OS,OS,OS,OS,数 据 通 信 网,交换机,交换机,交换机,传输系统,传输系统,TMN,WS:工作站OS:操作系统,东南大学 54,TMN网络管理体系结构,目前计划中或正在实施的TMN管理服务包括以下方面:M.3201流量管理M.
34、3202公共信道信令系统管理M.3203用户控制的服务管理M.3204ISDN管理M.3205BISDN管理M.32in智能网络管理,东南大学 55,TMN网络管理体系结构,定义:一个TMN管理功能是电信资源管理的管理系统和被管系统的应用进程之间的一种协作交互过程。它是一个TMN管理服务的最小部分。各种管理功能反映了描述相应管理要求的最终步骤。然后由这些要求驱动信息模型。根据协议实现的信息模型产生信息集合,供TMN系统之间的相互通信。同属一类的TMN管理功能组成了TMN管理功能集,再组成大组以支撑管理信息模型。TMN功能集是通常供不同的TMN管理服务重用的最小单位。用不依赖协议的方式描述各个管
35、理功能,之后按照需要在具体的协议之上实现这些功能。,东南大学 56,TMN网络管理体系结构,TMN未来的发展目前,TMN技术还在不断发展之中,对如何解决网络层和业务层之间、业务层不同组件之间以及各专业网管之间的交互,还有大量的问题需要解决。采用开放分布式处理(ODP)思想来解决目前TMN发展中遇到的问题,是目前TMN发展的趋势。,东南大学 57,网络管理系统的概念结构ISO 网络管理体系结构TMN 网络管理体系结构Internet 网络管理体系结构实现方法和实例,东南大学 58,Internet网络管理体系结构,SNMP简单网络管理协议(SNMP)是一种用于在网络设备之间交换管理信息的应用层协
36、议,目前被广泛地实现在各种网络设备中,并在 Internet中普遍使用。SNMPv1是 1990年 5月正式公布的(RFC 1155和 RFC 1157),SNMPv2是前者的改进,于 1993年陆续公布(RFC 1441 RFC 1452)。SNMP属于网络管理平台,它为网络管理应用系统和被管的网络设备之间的交互提供了标准的界面。,东南大学 59,Internet网络管理体系结构,SNMPv1管理模型,东南大学 60,Internet网络管理体系结构,SNMP的作用范围称为域(Community),只有域内的 NMS和管理代理之间才能进行 SNMP协议交互,从而控制网络管理信息的流动范围。为
37、了使用 SNMP具有通用性,除了要求使用标准的网管协议进行信息交互外,还要求交换的信息具有标准的语义,因此 SNMP对 MIB的定义有一个公共集合,即对被管对象定义标准的状态变量集,同时也允许实现者定义附加的状态变量。从这个意义上说,SNMP既有一致性测试问题,也有互操作性测试问题。,东南大学 61,Internet网络管理体系结构,1命令类型如果NMS要控制某个被管设备,可以发送一个命令要求被管设备改变其某个或多个变量的数值。NMS与被管设备之间的交互命令有以下四种:读命令NMS通过读取由被管设备维护的各种变量来监视被管设备 写命令NMS通过写存贮在被管设备中的各种变量来控制被管设备 遍历操
38、作NMS用该操作确定一被管设备支持哪些变量以便在被管设备的变量表中(如IP路由表)收集信息 Traps被管设备利用Traps异步地向NMS报告各种确定的事件,东南大学 62,Internet网络管理体系结构,2不同的数据表示法被管网络中的信息交换会因为被管设备所采用的数据表示技术的不同而产生麻烦,因此要设法在这些异构设备通信时消除这些不兼容性,统一使用一种语法表示法可以使不同种类的计算机共享管理信息。SNMPv1应用了ISO的开放系统互连抽象语法表示法1(ASN.1)的一个子集,它是用于以与机器无关的形式对MIB的被管对象进行描述的一种语言。用ASN.1定义管理协议所交换的各种报文格式和被管对
39、象,将被管对象简化为可管理的事物的特征。例如,一特定主机中当前活动的TCP范围表就是一个被管对象。被管对象不同于变量,变量是被管对象的一个实例。一个对象实例就是在一特定主机中的一单个活动的TCP范围。被管对象可以是分级的(定义一单个对象实例),也可以是表格(定义多关联的实例)。,东南大学 63,Internet网络管理体系结构,3.MIB与对象标识符所有的被管对象都包含在管理信息库(MIB)中,它是对象所必须的数据库。一个MIB可以描述为一棵抽象树,树的根没有名字,各个数据项组成了树的叶节点。对象标识符(OID)唯一地标识或命名了树中的各种MIB对象。对象标识符类似于电话号码,不同的组织和机构
40、有层次地分配了特定的数字组成了这些对象标识符。,东南大学 64,Internet网络管理体系结构,MIB树,ROOT,CCITT(0),ISO(1),JOINT-ISO-CCITT(2),ORG(3),DOD(6),INTERNET(1),PRIVATE(4),EXPERIMENTAL(3),MGMT(2),DIRECTORY(1),MIB(1),IP(4),地址转换(3),接口(2),TCP(6),ICNP(5),UDP(7),EGP(8),OMI(9),传输(10),SNMP(11),系统(1),东南大学 65,Internet网络管理体系结构,SNMP MIB的对象标识符结构定义了三个主
41、要分枝:CCITT负责分枝0,ISO管理分枝1,CCITT和ISO联合管理分枝2。目前多数MIB的活动发生在ISO分枝部分,ISO将它的分枝分给了几个组织,其中将子树1给了美国国防部(DOD),DOD用它作为Internet对象表示。这样在Internet子树中,对象标识符以1.3.6.1开头,意思是它们属于ISO,ORG,DOD,Internet子树,专门用于Internet范围。Internet子树有四个分枝:Directory(1)、Mgmt(2)、Experimental(3)和Private(4)。Directory计划用于OSI目录;Mgmt用于网际活动委员会(IAB)承认的文本对
42、象的定义;Experimental用于Internet网络实验;Private用于专用MIB的定义。,东南大学 66,Internet网络管理体系结构,目前在RFC1213中定义的Internet标准MIB和MIBII包含了171个对象。这些对象按照协议(包括TCP,IP,UDP,SNMP和其它)和其它类项(包括“系统”和“接口”)进行分组。MIB树可以扩展为实验和专用分枝。没有标准化的那些MIB往往被放置在实验分枝。厂商可以定义自己的专用分枝来包括其产品的各种实例。例如,Cisco的专用MIB的对象标识符是1.3.6.1.4.1.9,该标识符包括了许多对象,如用来标识对象“HostConfi
43、gAddr”。对象HostConfigAddr说明了为一台具体的Cisco设备提供主机配置文件的主机的地址。,东南大学 67,Internet网络管理体系结构,4管理信息结构(SMI)因为Internet网络可能很庞大而且要保存维护每个设备的大量的信息,网络管理员需要一种组织和管理这些信息的方法。SMI定义了MIB的结构以及定义MIB的规则。SMI允许使用标准ASN.1的数据类型:网络地址表示一特定协议族的地址。SNMPv1只支持32位的IP地址。计数器无符号整数。当计数值增至最大时,返回到零值。例如一个端口接收字节计数器,记录收到字节的总数。计量器无符号整数。其值可以增加或减少,但保留所达到
44、的最大值。例如输出报文队列的长度。时间记号事件发生的时间,精度为百分之一秒。例如端口变成当前状态以来的时间。二义编码不能用SMI所定义的数据类型编码的任意信息串。,东南大学 68,Internet网络管理体系结构,在SNMPv1协议中定义了五种类型的操作取(Get)从代理那里取得一个对象的实例,证实型操作;取下一个(Get next)从代理那里取得下一个对象实例,这个操作是与上下文有关的,缺省时指的是 MIB中第一个对象实例的值,证实型操作;设置(Set)在代理中设置指定对象实例的值,证实型操作;GetResponse是上述操作的应答信息,也包含错误和状态信息。报警(Trap)代理异步地通知
45、NMS某个事件的发生,非证实型操作;事件的定义是 NMS预先设置的(如某个门槛值)。,东南大学 69,Internet网络管理体系结构,SNMPv21.概述与 SNMPv1相比,SNMPv2在SMI、协议操作、管理体系结构、以及安全性等方面均有较大的改进。SNMPv2支持多域的分布式管理结构。一些系统既可以用管理员的身份操作,也可以用代理的身份操作。当以代理身份操作时,它执行上一级管理系统的命令,这些命令可能是要求访问存储在本地的 MIB,或者是要求该系统以中间管理者的身份提供有关下一级代理的概要信息。另外,中间管理者还可向上一级管理者发送报警信息。,东南大学 70,Internet网络管理体
46、系结构,SNMPv2引入了一种信息模型的概念,它描述了一组相关的定义。主要有三种信息模型:MIB模型包含了相互关联的被管对象的各种定义。MIB模型的一致性描述为一致性描述提供了一个系统性方法描述必须实现的被管对象组。代理实现的性能描述定义了代理要求的相关MIB分枝所提供信息的精确程度。这些描述表明了有些对象具有语法约束或扩充以及访问控制级别。对代理性能作规范性描述有助于改善和优化各设备之间的互操作性,如果管理系统能够描述与每个代理之间相互关系,则该系统就能够调整其动作来优化自身资源,并且能合理使用代理和网络的资源。,东南大学 71,Internet网络管理体系结构,2.协议操作SNMPv2定义
47、了两种新的操作:Inform允许一管理者向另一管理者发送trap类信息并要求其返回一个响应。Get-bulk允许管理者有效地获取大块数据,例如一次可读取一张表的多行数据项,而不是将表分成多个小块数据再进行传输。SNMPv2除了响应get、get-next、set和 trap操作外,SNMPv2的这些操作与SNMPv1相同。在v1中,如果发出响应的代理不能提供表中变量的值,那么它就提供不了任何其它值。在SNMPv2中,即使不能为所有变量提供所需数值,也预备了一张变量赋值表。如果变量与一个意外条件相关联,则该变量包括了该意外条件的名称。,东南大学 72,Internet网络管理体系结构,3.安全性
48、SNMPv2提供了防止下列破坏行为的安全设施:假冒 一个未经授权的实体假冒授权实体来执行管理操作;信息的改变 一个实体可能改变由授权实体所产生的信息,该信息可导致某些未授权的管理操作,如改变配置或计费信息等;信息顺序和时间的改变 由于 SNMPv1是在无连接传输上进行操作的,因此实体可以重排序、延时或拷贝,然后重新执行某个报文,如导致重启某台设备;泄密 实体可以通过窃听被管对象和管理员中间的信息交换来学习被管对象的值和通知事件的发生。,东南大学 73,Internet网络管理体系结构,为实现这些安全性,SNMPv2提供了三种报文:非安全的 未采用任何 SNMPv2提供的安全功能;鉴别但未加密
49、采用某种密钥体制计算报文的信息摘录,以此实现对报文的鉴别,但密钥体制的确定,以及密钥的分配和管理不在本协议中;鉴别且加密 采用某种密钥体制对报文进行鉴别和加密。时标是管理员和代理之间时钟松散同步(loosely synchronized)的维护机制,使信息的接收方可发现被重新执行的报文,并能够对收到的报文进行定序。,东南大学 74,Internet网络管理体系结构,4.互操作性新的信息格式、协议操作和安全特性使 SNMPv2 与 SNMPv1不一致,但由于 SNMPv1已被大量使用,因此必须需求这两个协议版本(主要是 SNMPv2的管理员、SNMPv2的代理、和 SNMPv1代理)之间的共存和
50、过渡方法。互操作性问题主要涉及以下两个方面:管理信息 SNMPv2的 SMI可看作是 SNMPv1的 SMI的一个超集,因此对一个代理而言,它可将 SNMPv1的 MIB保持不变,并共存于 SNMPv2的环境。协议操作 两个协议的 PDU大部分兼容,但 SNMPv2扩展了新操作。,东南大学 75,Internet网络管理体系结构,协议共存的方法有两种。一种是通过委托代理来实现两个协议版本不同操作之间的转换;,委托代理,SNMPv2 trap,Response,Get-response,SNMPv1 trap,Get,Get,Get-next,Get-next,Set,Set,Get-next,