网络管理笔记

1.1网络管理的概念

1.1.1 网络管理即对网络的监视和控制,并以获得的数据为依据进行相关的增值服务。

1.1.2 网络管理的必要性

网络应用越来越普遍

计算机网络的组成正日益复杂

手工网络管理有其局限性和不足

140325795.jpg

1.2 ISO网络管理功能定义

1.2.1性能管理如:设备的资源使用率

性能管理包括以下三个主要内容:

性能测量(流量、用户、访问的资源等的收集、加工和处理等活动)

性能分析

性能管理控制

性能指标:

面向服务的指标:

可用性响应时间精确度

A = MTBF / ( MTBF + MTTR )

面向效率的指标:

吞吐量利用率


   1.2.2配置管理主要负责监测和控制网络

配置管理包括以下功能:

定义配置信息

设置并修改属性值

定义和修改关系

初始化和关闭网络

软件分发

网络规划和资源管理


   1.2.3 故障管理出现故障时诊断和记录

故障管理(faultmanagement)的作用是迅速发现、定位和排除网络故障,动态维护网络的有效性。

通常进行的故障诊断测试:

连接性测试数据完整性测试协议完整性测试数据饱和性测试连接饱和性测试响应时间测试功能测试


1.2.4安全管理 Security Management

计算机和网络安全的要求:

保密性(Secrecy完整性(Integrity可用性(Availability


1.2.5计费管理说明是按时间计费还是流量计费

计费管理可以分为以下三个子过程:

计费数据收集过程

计费处理过程

帐单管理过程


1.3 网络管理系统组成

网络管理各组成要素的功能:

被管理节点(或设备)

被监视的设备

管理代理

安装在被管设备上用来跟踪被管理设备状态的特殊软件或固件(Firmware

网络管理工作站

与在不同的被管理节点的代理通信,并且显示这些代理状态的中心设备。

网络管理协议

被网络管理工作站和代理用来交换信息的协议。

管理信息数据库

提供有关被管网络设备的信息。


1.4 网络管理协议

        OSI网络管理与CMIS/CMIP

——ISO 9595公共管理信息服务定义CMISCommonManagement Information Service

——ISO 9596公共管理信息协议规范CMIPCommonManagement Information Protocol

        Internet网络管理与SNMP

——SNMPv1SimpleNetwork Management Protocol)和远程网络监视RMONRemote Monitoring     //RMONSNMP的补充协议。

——SNMPv2            //主流版本

——SNMPv3

——CMOTCommonManagement information service and protocol Over TCP/IP


处为常见重要的网络管理协议,实际常用到的也就是SNMPRMON。其他三个已经成为历史。


2.1.1 SNMP的管理模型:

被管理设备

管理工作站

管理代理

网络管理协议

管理信息库

MIB逻辑数据库,不是物理数据库。

       物理数据库:在某个计算机上有数据文件。

       逻辑数据库:没有物理数据文件,也不存在设备上。只是在需要的时候由用户按照特定的视图统计并显示出来。

140354108.jpg


2.1.2 网络管理协议

140235975.jpg


2.1.3 网络管理代理

网络管理代理是驻留在网络设备中的软件模块。

对来自管理站的信息查询和动作执行的请求作出响应。

主动地向管理站提供一些重要的非请求信息。

140438660.jpg

当管理工作站不能直接管理某些被管设备的时候,就需要用到了了“委托代理”,这种情况

一般出现在“委托代理”两边的管理协议不一样的情况下。

140530264.jpg


140610871.jpg

2.1.4 管理信息数据库

管理信息结构与标识(SMI)规范中定义了MIB的四种属性:

对象类型(ObjectType

语法(Syntax

存取(Access

状态(Status

140801716.jpg


       SNMP的管理信息库采用和域名系统DNS相似的树

140852755.jpg

MIB 1

       ——114标准对象

       ——对象被认为是进行故障和配置管理

MIB 2

       ——对MIB进行了扩展

       ——定义了185个对象

其它标准 MIB

       ——RMON, Host,Router…


141023102.jpg

                   每个对象的惟一标识符就是OIDOID的读取是由上到下的。


2.2.1 SNMP的请求/响应原语


141203852.jpg

141204846.jpg

只有trap原语用UDP/162端口,其他都为UDP/161


141307906.jpg

   公共SNMP首部中的共同体:网络工作站和被管设备之前相互认证的一个密码,也叫团体名或社区名。实际就是两端相互认证的一个共享密码。

PDU类型(0-3):指SNMP中除trap之外的四种原语。


2.2.2 SNMP工作站收集数据的方法

轮询(Polling)的方法           //网管工作站按照特定的周期去查询每个设备的状态。

优势:可以获得所有设备的信息。

缺点:实时性太差。

141444151.jpg141445623.jpg


中断(Interrupt)的方法               //网管工作站不去主动的查询被管设备的信息,而是被管设备出现异常事件的时候主动报告。

   优点:能够很快的反应出网络的问题。

   缺点:没办法对网络做出一个全面的评估。还有被管设备上触发事件的的阀值不好确定,太大在触发严重事件的时候没办法做出响应,过小会很容易的触发事件。

141554765.jpg


面向自陷的轮询(trap-directedpolling方法             //轮询 + 中断,这是比较好的方法。

141724112.jpg


2.3 SNMP安全性

    SNMP共同体的作用

       ——认证服务         //使网管工作站和被管设备之前实现相互的身份认证,使得只有正确的网管工作站才可以管理被管设备。

       ——访问策略         //标示出不同的共同体拥有不同的权限。因为有只读共同体、读写共同体和读创建共同体来区分。

       ——代理服务         //在很多时间指一个设备上只有启用的共同体这个代理服务才会被启用。比如绝大多数的路由器和交换机上启用共同体才能够启用代理。


实例:

被管设备设置:

 Windows Server

   1、安装SNMP服务。

   2、编辑SNMP Service服务

代理:指定该服务器的信息,包括要监视的服务类型。

141947107.jpg

陷阱:指定向哪台网管工作站(10.1.2.46)发送trap及发送trap时的密码(公同体也叫团体名称)。

142013171.jpg

安全:指接受哪些团体名的查询(该服务器),以及权限和查询所用的团体名(密码)。

142034823.jpg

3、重启SNMP Service服务。

4、可在CLI下通过netstat –an来验证SNMP端口的情况:

142338204.jpg


    Linux:

         1、检查是否安装了net-snmp包,若没有先安装net-snmpnet-snmp-libs.

142636124.jpg

         2vi/etc/snmp/snmpd.conf

               将#view systemview   included mib2.iso.org.dod.internet.mgmt.mib-2 fc

改为:viewmib2   included  .iso.org.dod.internet.mgmt.mib-2 fc

               然后将access  notConfigGroup ""      any      noauth    exact  systemview none none

改为:access  notConfigGroup ""      any      noauth    exact  mib2 none none

               加入:rocommunity        public                 //添加只读共同体

               加入:rwcommunity       readwrite         //添加读写共同体

               还可以在此文件内添加联系人的信息、trap目标和trap密码等。。。

       3、执行:/etc/init.d/snmpdrestart      //重启snmpd服务。

 执行:/etc/init.d/snmptrapdrestart     //重启snmptrapd服务(trap服务)

       4、使用如下命令,让snmpd和snmptrapd服务开机自动启动:

           chkconfig snmpd on && chkconfig snmptrapd on

           验证是否生效:

           chkconfig --list snmpd && chkconfig --list snmptrapd

       5、执行netstat –an| less来验证UDP161162是不是已处于监听状态。

           142750652.jpg


   CiscoRouter:

         (config)#snmp-serverenable informs               //启用snmp通告.

         (config)#snmp-serverenable traps                 //启用snmp陷阱.

(config)#snmp-server community public ro         //启用只读共同体为public

(config)#snmp-server community readwrite rw      //启用读写共同体为readwrite

(config)#snmp-server contact Chris_Li            //设置snmp联系人为Chris_Li

(config)#snmp-server location L12-1011           //设置该路由器的位置为L12-1011L12-1011为自定义的信息,比如设置路由的位置信息)

一般情况下只需要启用snmp的只读和读写共同体就可以了。


   CiscoASA Firewall:

       BJ-ASA5510(config)#snmp-server listen-port 165                      //可选项,修改Firewall监听的SNMP轮询端口为UDP165, 默认为UDP161

       BJ-ASA5510(config)#snmp-server host inside 10.1.2.37 version 2c     //添加一台位于inside端口的网管工作站,IP10.1.2.37snmp协议版本为2c

       BJ-ASA5510(config)#snmp-server location Beijing.Firewall            //设置该Firewall的位置。

       BJ-ASA5510(config)#snmp-server contact Chris Li                     //设置联系人。

       BJ-ASA5510(config)#snmp-server community public                     //设置SNMP的共同体,注意Firewall不同于RouterASA Firewall只支持只读类型的共同体。

       BJ-ASA5510(config)#snmp-server enable                               //启动snmp-server

       BJ-ASA5510(config)#snmp-server enable traps all                     //snmp-serve下启动所有类型的的trap消息,在默认情况下ASA只会发送有限几种trap消息。注释:要为系统日志消息建立trap消息,必须先判断出哪种严重程度(severity)的系统日志消息需要发送给网络工作站。

       BJG-ASA5510(config)# snmp-server enable traps syslog                //说明安全设备会将系统日志消息作为SNMP traps发送给网管工作站。


网管工作站:

       软件:可用SolarwindsPRTG等。。