第7章 网络管理

１．网络管理的基本内容。

２．网络管理标准与协议：OSI管理标准、TMN管理标准、SNMP管理标准；SNMP协议、CMIS／CMIP协议、RMON协议、SMI／MIB-Ⅱ。

３．常用网络管理命令：ping、ipconfig、nslookup、netstat、tracert、arp、rsh。

４．常用网络管理工具：Sniffer、Analyzer。

５．分布式网络管理基本知识。

【学习内容】

7.1 网络管理基本概念

按照国际标准化组织相关文档的定义，网络管理主要包括5个方面的内容：故障管理、配置管理、性能管理、计费管理和安全管理。

故障管理的目的是快速发现和纠正网络故障，确保网络系统稳定可靠地运行。故障管理有两种策略，即预防策略和事后策略。预防策略的主要方法是配备冗余资源，为网络提供自愈能力，当网络系统可靠性下降或用户业务受到异常影响时，迅速启用备用资源；事后策略则侧重于故障的快速修复。

配置管理是在网络的建立、扩容、改造以及运行过程中，用来收集、管理和控制网络配置信息的功能集合，主要内容包括：自动发现、生成和维护全局的网络拓扑结构；监控网络中所有设备、资源和服务的配置信息；动态维护网络配置数据库。

计费管理的主要任务是记录用户使用网络服务的情况，计算和收取用户使用网络服务的费用，分担网络运营成本，主要内容包括：制定计费方案；收集用户使用网络服务的数据，计算用户应支付的费用；生成收费业务记录；收集网络资源使用数据。

性能管理是以改善和提高网络性能为准则，在使用最少的网络资源的前提下，保证网络有效地运营，主要内容包括：收集与网络性能指标相关的数据；存储、分析和统计历史数据，建立性能分析模型；预测网络性能的长期趋势；根据性能分析结果，对网络拓扑结构、资源配置和和业务参数等进行调整。

安全管理的目的是确保网络的保密性、可用性、完整性和可控性，主要内容包括：发现安全漏洞，设计和改进安全策略；安全服务措施的创建、控制和删除；与安全相关的信息的发布；与安全相关的操作的记录。

网络管理者、管理代理、网络管理协议和管理信息库是组成网络管理基本模型的要素。

网络管理者是指管理进程或实施网络管理的系统实体，主要任务是帮助网管人员完成对网络和被管设备的日常管理任务；网管代理是驻留在被管设备上的对等进程；网络管理协议用于定义网络管理者和网管代理之间的交互方式，规定交换信息的语法结构、操作命令的语义和同步规则；管理信息库代表被管设备内可管理对象的集合。

7.2 网络管理标准与协议

7.2.1 网络管理标准

目前，广为人知的网络管理标准有国际标准化组织的OSI网络管理标准、国际电信联盟电信标准化部的TMN网络管理标准、因特网工作任务组的SNMP网络管理标准等。

OSI网络管理体系结构建立在OSI参考模型的基础上，由系统管理进程、管理信息库，以及公共管理信息服务元素CMISE、远程操作服务元素ROSE、连接控制服务元素ACSE等组成。在OSI网络管理中，信息模型采用了面向对象的设计思想，对于每一个可管理的系统资源，都抽象成对象，通过封装，管理对象屏蔽了与管理无关的资源信息，为管理系统提供了一个用来交换管理信息的标准接口。

TMN网络管理标准是主要面向电信网络管理的解决方案，通过标准的接口（包括通信协议和信息模型）与电信网收发管理信息，从而达到对电信网控制和操作的目的。一般而言，TMN网络管理体系包括4个方面的内容：信息体系结构、功能体系结构、物理体系结构和逻辑体系结构。TMN的信息体系结构基本上采用了OSI系统管理概念和原则，如面向对象思想；TMN的功能体系结构把TMN的功能分布到不同的模块中，功能模块之间使用数据通信功能传递消息，并由功能参考点进行分割，各模块可以独立实现；TMN的物理体系结构由物理实体组成，物理实体之间是TMN的标准接口，TMN基本的物理实体包括操作系统OS、工作站WS、Q适配器QA、网元NE和数据通信网DCN；TMN的逻辑体系结构把管理功能按照需求分解为不同的层次，各个层次相对独立，从低到高依次为网元层、网元管理层、网络管理层、业务管理层和事务管理层。

SNMP网络管理体系结构建立在TCP／IP协议栈的基础上，由管理者、代理、管理信息库、SNMP协议等部分组成。在SNMP网络管理中，管理者是管理指令的发出者，管理者通过各个设备的管理代理对网络内的各种设备和资源实施监控；代理负责管理指令的执行，并且以通知的形式向管理者报告被管对象发生的一些重要事件；管理信息库是被管对象结构化组织的一种抽象，是一个概念上的数据库，由管理对象组成，各个代理管理管理信息库中属于本地的管理对象；SNMP是建立在UDP协议基础之上的简单网络管理协议。

7.2.2 网络管理协议

目前，常见的网络管理协议有CMIS／CMIP协议、SNMP协议和RMON协议。

CMIS／CMIP是建立在OSI应用层之上的协议簇，提供一个完整的OSI网络系统管理框架，支持网络管理者和网管代理之间的交互通信服务。在OSI网络管理中，公共管理信息服务CMIS是面向连接的，原语提供的服务可分为管理通知服务和管理操作服务；公共管理信息协议CMIP是OSI系统管理应用实体之间交换管理信息的协议，当上层管理应用实体调用CMIS服务原语时，公共管理信息服务元素CMISE将构造特定的CMIP协议数据单元，并调用下层提供的连接控制服务元素ACSE和远程操作服务元素ROSE提供的服务传递这些协议数据单元，到达对等的CMIP协议实体，再传送到用户进程。CMIP拥有验证、访问控制和安全日志等一整套安全管理方法，共定义了11种协议数据单元。

简单网络管理协议SNMP定义了几种基本管理操作：Set、Get、GetNext、Trap、GetBulk和Inform。利用这些基本管理操作，SNMP管理者可以请求代理查询或修改被管理对象的值，代理也可以向管理者发送事件通知。在SNMP管理体系中，管理者和代理之间交换的管理信息构成了SNMP报文。SNMP报文由首部字段和协议数据单元组成。首部字段包括版本号、共同体名、管理协议数据单元类型，协议数据单元又有协议数据单元首部和变量绑定表两个部分组成。不同SNMP版本提供的安全机制强度各有侧重。SNMP的v1版本和v2版本提供了基于共同体的认证和访问控制机制，但消息头中的共同体没有加密；SNMP的v3版本提高了安全性，提供了基于用户的安全模型和基于视图的访问控制模型。

远程网络监控RMON规范解决了SNMP轮询的弊端，让各个子网可以独立地完成通信量的统计和分析。为了有效监控网络，需要在每个网段上设置一个独立的RMON监视器。RMON规范定义了标准的网络监视器、远程监控的管理信息库，以及SNMP管理者与远程监视器之间的接口，其目标就是监视子网范围内通信，从而减少管理者和被管理系统之间的通信负担。RMON监视器可以并发为多个SNMP管理者提供服务。

7.3 网络管理工具

7.3.1 常用管理命令

下面介绍的常用网络管理命令源自Windows系统。

Ping：用于测试端到端的网络连通性或网络连接速度。

Ipconfig：用于显示主机的TCP／IP配置信息。

Nslookup：用于测试DNS服务器能否正常工作以及查找域名对应的IP地址。

Netstat：用于显示网络连接、网络协议、路由表和网络接口的统计信息。

Tracert：用于确定IP分组访问目标所采取的路径。

Arp：用于显示和修改地址解析协议使用的IP地址与物理地址转换表，即ARP映射表。

7.3.2 Sniffer

嗅探器Sniffer是一种利用网络适配器的混杂模式，实现网络协议数据包捕获与分析的工具。

一般网络适配器有两种工作模式：普通模式和混杂模式。在普通模式下，网络适配器只能接收和处理发送给自己的数据帧或广播帧；而在混杂模式下，网络适配器可以监听和接收广播式局域网上所有的数据帧。处于混杂模式下的主机及其相关软件构成了一个Sniffer工具。Sniffer拦截到广播式网络上传输的所有数据帧，就可以实时分析。

通常，基于以太网接口的Sniffer只能抓取其所在物理网段上的数据包。若希望Sniffer也能够监听和接收其它物理网段上的数据包，需要采取一些特殊措施：ARP Spoof，通过路由器发送伪造的IP地址和正确的MAC地址；MAC Flooding，通过发送大量错误的地址信息使交换机的MAC地址表溢出；Fake the MAC address，与ARP Spoof类似；ICMP Router Advertisement，利用ICMP路由器发现协议宣称自己是路由器；ICMP重定向，高速主机将它的数据帧发送到另一台路由器上。

Sniffer工具分为软件和硬件两种。Sniffer软件工具有Sniffer Pro、Network Monitor、PacketBone等；硬件的Sniffer工具通常称为协议分析仪。

7.3.3 Analyzer

在网络管理中，网络管理人员可以利用各种网络分析工具Analyzer来监视网络流量、分析数据包和日志、监视网络资源的利用、报告网络安全漏洞、评估网络应用性能，以及诊断和修复网络问题。常用的网络分析工具有网络流量分析工具、防火墙日志分析工具、网站分布分析工具等。

7.4 分布式网络管理

通常，分布式网络管理分为两种类型：基于Web的分布式网络管理和基于移动代理的分布式网络管理。

基于Web的分布式网络管理是将Web功能和网络管理系统融合在一起，使得网络管理人员能够通过任何Web浏览器、在任何地点监控和管理企业网络，主要有两种实现方式：委托管理者方式和嵌入式方式。委托管理者实际上就是一个集成了Web服务的SNMP代理转发程序；嵌入式方式是指将Web服务直接嵌入到网络设备中，每个网络设备有自己的Web地址。