计算机网络管理(第二版)自学教程
第一章 網絡管理概論
1.1 網絡管理的基本概念
- 在TCP/IP網絡中有一個簡單的管理工具———ping程序。用ping發送探測報文可以確定通信目標的連通性及傳送時延。
- 當網絡互連規模很大時不適合用ping命令。因為一方面 ping 返回的信息很少,無法獲取被管理設備的詳細情況;另一方面用 ping 程序對很多設備逐個檢查,工作效率很低。
- TCP/IP網絡管理的標準———簡單網絡管理協議(SNMP)。適用于任何支持TCP/IP的網絡。
- 國際標準化組織也推出了OSI系統管理標準CMIS/CMIP。
1.2 網絡管理系統的體系結構
1.2.1 網絡管理系統的層次結構
???????網絡管理系統的層次結構如下圖所示。在網絡管理站中,最下層是操作系統和硬件。操作系統之上的是支持網絡管理的協議簇,如OSI、TCP/IP等通信協議,以及專用于網絡管理的SNMP、CMIP協議。協議棧上邊是網絡管理框架,這是各種網絡管理應用工作的基礎結構。各種網絡管理框架的共同特點如下。
- 管理功能分為管理站和代理兩部分。
- 為存儲管理信息提供數據庫支持,如關系數據庫或面向對象的數據庫。
- 提供用戶接口和用戶視圖(view)功能,如管理信息瀏覽器。
- 提供基本的管理操作,如獲取管理信息,配置設備參數等操作功能。
????????網絡管理應用是用戶根據需要開發的軟件,這種軟件運行在網絡上,實現特定的管理目標,如故障診斷、性能優化、業務管理和安全控制等。網絡管理應用的開發是目前最活躍的領域。
1.2.2網絡管理系統的配置
????????網絡管理系統配置如圖所示。每一個網絡節點都包含一組與管理有關的軟件,叫作網絡管理實體。網絡管理實體完成一以下任務。
- 收集有關網絡通信的統計信息。
- 對本地設備進行測試,記錄設備狀態信息。
- 在本地存儲有關信息。
- 響應網絡控制中心的請求,發送管理信息。
- 根據網絡控制中心的指令,設置或改變設備參數。
1.2.3 網絡管理軟件的結構
???????用戶通過網絡管理接口與管理專用軟件交互作用,監視和控制網絡資源。
圖
網絡監控系統
???????網絡監控系統主要解決以下三個方面:
1.3.1 管理信息庫
???????有用的網絡監控管理信息可以分為以下3類:
1.3.2 網絡監控系統的配置
1.3.3 網絡監控系統的通信機制
???????對監視器有用的管理信息是由代理收集和存儲的,如何把這些信息傳送給監視器呢?有兩種技術可用于代理與監視器之間的通訊,一種叫作輪詢,另一種叫作事件報告。
- 輪詢:是一種請求-響應式的交互作用,即由監視器向代理器發出請求,詢問它所需要的信息數值,代理響應監視器的請求,從它保存的管理信息庫中取得請求的信息,返回給監視器
- 事件報告:是由代理器主動發給管理站的信息。代理可以根據管理站的要求(周期、內容等)定時發送狀態報告,也可能在檢測到某些特定事件(如狀態改變)或非正常事件(出現故障)時生成事件報告,發送給管理站。
???????在已有的各種網絡監控系統中都設置了輪詢和事件報告兩種通信機制,但強調的重點有所不同。傳統的通信管理網絡主要依賴于事件報告,而SNMP強調輪詢方法,OSI系統管理則采取了與這兩種方法都不同的中間道路。無論是這兩種還是某些專用的管理系統,都允許用戶根據具體情況決定使用何種通信方式。影響通信方式選擇的主要因素如下。
- 傳送監控信息需要的通信量
- 對危機情況的處理能力
- 對網絡管理站的通信延時
- 被管理設備的處理工作量
- 消息傳輸的可靠性
- 網絡管理應用的特殊性
- 在發送信息之前,通信設備失效的可能性
網絡監視
???????網絡管理有五大功能領域,即故障管理、配置管理、計費管理、性能管理和安全管理,簡寫為FCAPS。傳統上,性能、故障和計費屬于網絡監視功能,另外兩種屬于網絡控制功能。
1.4.1 性能監視
???????網絡監視中最終要的事性能監視,然而要準確地測量出對網絡管理有用的性能參數卻是不容易的。
???????對網絡管理有用的兩類性能指標分別是面向服務的性能指標和面向效率的性能指標(具有較高的優先級)。下面簡單介紹三個面向服務的性能指標和兩個面向效率的性能指標。
???????可用性是網絡元素可靠性的表現,而可靠性是指網絡元素在具體條件下完成特定功能的概率。下圖是可用性的串行和并行連接。
響應時間
???????響應時間是指從用戶輸入請求到系統在終端上返回計算結果的時間間隔。從用戶角度看,這個時間要和人們的思考時間(等于兩次輸入之間的最小間隔時間)配合,越是簡單的工作(例如數據錄入)要求響應時間越短。然而從實現角度看,響應時間越短,實現的代價越大。研究表明,系統響應時間對人的生產率影響是很大的。在交互式應用中,響應時間大于15秒,對大多數人是不能容忍的。響應時間大于4秒時,人們的短期記憶會受到影響,工作的連續性會被破壞。尤其是對數據錄入來說,這種情況下擊鍵的速度將會嚴重受挫,只是在輸入完一個段落后,才可以有比較大的延遲(譬如4秒以上)。越是注意力高度集中的工作,要求響應時間越短。
???????特別對于需要記住以前的響應、根據前邊的響應決定下一步的輸入時,延遲時間應該小于2秒。在用鼠標器點擊圖形或進行鍵盤輸入時,要求的響應時間更小,可能在0.1秒以下。這樣人們會感到計算機是同步工作的,幾乎沒有等待時間。圖1.9表示應用CAD進行集成電路設計時生產率(每小時完成的事務處理數)與響應時間的關系。可以看出,當響應時間小于1秒時事務處理的速率明顯加快,這和人的短期記憶以及注意力集中的程度有關。
下圖是系統響應時間與生產率的關系。
網絡系統的響應時間由系統各個部分的處理延遲時間組成,分解系統響應時間的成分對于確定系統瓶頸有用。圖1.10表示出系統響應時間RT由7部分組成:
入口終端延遲:指從終端把查詢命令送到通信線路上的延遲。終端本身的處理時間是很短的,這個延遲主要是由從終端到網絡接口設備(例如PAD設備或網橋)的通信線路引起的傳輸延遲。假若線路數據速率為2400b/s=300字符/s,則每個字符的時延為3.33μs。又假如平均每個命令含100個字符,則輸入命令的延遲時間為0.33 s。
系統響應時間的組成。
l 入口排隊時間:即網絡接口設備的處理時間。接口設備要處理多個終端輸入,還要處理提交給終端的輸出,所以輸入的命令通常要進入緩沖區排隊等待。接口設備越忙,排隊時間越長。
l入口服務時間:指從網絡接口設備通過傳輸網絡到達主機前端的時間,對于不同的網絡,這個傳輸時間的差別是很大的。如果是公共交換網,這個時延是無法控制的;如果是專用網、租用專線或用戶可配置的設備,則這個時延還可以進一步分解,以便按照需要規劃和控制網絡。
· 入口服務時間:指從網絡接口設備通過傳輸網絡到達主機前端的時間,對于不同的網絡,這個傳輸時間的差別是很大的。如果是公共交換網,這個時延是無法控制的;如果是專用網、租用專線或用戶可配置的設備,則這個時延還可以進一步分解,以便按照需要規劃和控制網絡。
· CPU處理延遲:前端處理機、主機和磁盤等設備處理用戶命令、做出回答需要的時間。這個時間通常是管理人員無法控制的。
·出口排隊時間:在前端處理機端口等待發送到網絡上去的排隊時間。這個時間與入口排隊時間類似,其長短取決于前端處理機繁忙的程度。
·出口服務時間:通過網絡把響應報文傳送到網絡接口設備的處理時間。
·出口終端延遲:終端接收響應報文的時間,主要是由通信延遲引起的。
響應時間是比較容易測量的,是網絡管理中重要的管理信息。
正確性
這是指網絡傳輸的正確性。由于網絡中有內置的糾錯機制,所以通常用戶不必考慮數據傳輸是否正確。但是監視傳輸誤碼率可以發現瞬時的線路故障,以及是否存在噪聲源和通信干擾,以便及時采取維護措施。
吞吐率
吞吐率是面向效率的性能指標,具體表現為一段時間內完成的數據處理的數量,或接受用戶會話的數量,或處理的呼叫的數量等。跟蹤這些指標可以為提高網絡傳輸效率提供依椐。
網絡響應時間與負載的關系—
利用率
利用率是指網絡資源利用的百分率,它也是面向效率的指標。這個參數與網絡負載有關,當負載增加時,資源利用率增大,因而分組排隊時間和網絡響應時間變長,甚至會引起吞吐率降低。當相對負載(負載/容量)增加到一定程度時,響應時間迅速增長,從而引發傳輸瓶頸和網絡擁擠。圖1.11表示響應時間隨相對負載成指數上升的情況。特別值得注意的是實際情況往往與理論計算結果相左,造成失去控制的通信阻塞,這是應該設法避免的,所以需要更精致的分析技術。
我們介紹一種簡單而有效的分析方法,可以正確地評價網絡資源的利用情況。基本的思想是觀察鏈路的實際通信量(負載),并且與規劃的鏈路容量(數據速率)比較,從而發現哪些鏈路使用過度,而哪些鏈路利用不足。分析方法使用了會計工作中常用的成本分析技術,即計算實際的費用占計劃成本的比例,從而發現實際情況與理想情況的偏差。對于網絡分析來說,就是計算出各個鏈路的負載占網絡總負載的百分率(相對負載),以及各個鏈路的容量占網絡總容量的百分率(相對容量),最后得到相對負載與相對容量的比值。這個比值反映了網絡資源的相對利用率。
網絡利用率分析-
假定有圖1.12(a)的簡單網絡,由5段鏈路組成。表1.1中列出了各段鏈路的負載和各段鏈路的容量,并且計算出了各段鏈路的負載百分率和容量百分率,圖1.12(b)是對應的圖形表示。可以看出,網絡規劃的容量(400 Kb/s)比實際的通信量(200 Kb/s)大得多,而且沒有一條鏈路的負載大于它的容量。但是各個鏈路的相對利用率(相對負載/相對容量)不同,有的鏈路使用得太過分(例如鏈路3,25/15=1.67),而有的鏈路利用不足(例如鏈路5,25/45=0.55)。這個差別是有用的管理信息,它可以指導我們如何調整各段鏈路的容量,獲得更合理的負載分布和鏈路利用率,從而減少資源浪費,提高性能價格比。
網絡負載和容量分析
收集到的性能參數組織成性能測試報告,以圖形或表格的形式呈現給網絡管理員。對于局域網來說,性能測試報告應包括以下內容。
● 主機對通信矩陣:一對源主機和目標主機之間傳送的總分組數、數據分組數、數據字節數以及它們所占的百分比;
● 主機組通信矩陣:一組主機之間通信量的統計,內容與上一條類似;
● 分組類型直方圖:各種類型的原始分組(例如廣播分組、組播分組等)的統計信息,用直方圖表示;
● 數據分組長度直方圖:不同長度(字節數)的數據分組的統計;
● 吞吐率-利用率分布:各個網絡結點發送/接收的總字節數和數據字節數的統計;
● 分組到達時間直方圖:不同時間到達的分組數的統計;
● 信道獲取時間直方圖:在網絡接口單元(NIU)排隊等待發送、經過不同延遲時間的分組數的統計;
● 通信延遲直方圖:從發出原始分組到分組到達目標的延遲時間的統計;
● 沖突計數直方圖:經受不同沖突次數的分組數的統計;
● 傳輸計數直方圖:經過不同試發送次數的分組數的統計。
1.4.2 故障監視
故障監視就是要盡快地發現故障,找出故障原因,以便及時采取補救措施。在復雜的系統中,發現和診斷故障是不容易的。首先是有些故障很難觀察到,例如分布處理中出現的死鎖就很難發現。其次是有些故障現象不足以表明故障原因,例如發現遠程結點沒有響應,但是否為低層通信協議失效不得而知。更有些故障現象具有不確定性和不一致性,引起故障的原因很多,使得故障定位復雜化。例如終端死機、線路中斷、網絡擁塞或主機故障都會引起同樣的故障現象,到底問題出在哪兒,需要復雜的故障定位手段。故障管理可分為以下3個功能模塊。
1) 故障檢測和報警功能
故障監視代理要隨時記錄系統出錯的情況和可能引起故障的事件,并把這些信息存儲在運行日志數據庫中。在采用輪詢通信的系統中,管理應用程序定期訪問運行日志記錄,以便發現故障;為了及時檢測重要的故障問題,代理也可以主動向有關管理站發送出錯事件報告。另外,對出錯報告的數量、頻率要進行適當的控制,以免加重網絡負載。
2) 故障預測功能
對各種可以引起故障的參數建立門限值,并隨時監視參數值變化,一旦超過門限值,就發送警報。例如由于出錯產生的分組碎片數超過一定值時發出警報,表示線路通信惡化,出錯率上升。
3) 故障診斷和定位功能
對設備和通信線路進行測試,找出故障原因和故障地點。例如可以進行下列測試:
● 連接測試;
● 數據完整性測試;
● 協議完整性測試;
● 數據飽和測試;
● 連接飽和測試;
● 環路測試;
● 功能測試;
● 診斷測試。
1.4.3 計費監視
計費監視主要是跟蹤和控制用戶對網絡資源的使用,并把有關信息存儲在運行日志數據庫中,為收費提供依據。不同的系統,對計費功能要求的詳盡程度也不一樣。在有些提供公共服務的網絡中,要求收集的計費信息很詳細、很準確,例如要求對每一種網絡資源、每一分鐘的使用、傳送的每一個字節數都要計費,或者要求把費用分攤給每一個賬號、每一個項目甚至每一個用戶。而有的內部網絡就不一定要求這么詳細,只要求把總的運行費用按一定比例分配給各個部門就可以了。需要計費的網絡資源包括:
● 通信設施:LAN、WAN、租用線路或PBX的使用時間;
● 計算機硬件:工作站和服務器機時數;
● 軟件系統:下載的應用軟件和實用程序的費用;
● 服務:包括商業通信服務和信息提供服務(發送/接收的字節數)。
計費數據組成計費日志,其記錄格式應包括下列信息:
● 用戶標識;
● 連接目標的標識符;
● 傳送的分組數/字節數;
● 安全級別;
● 時間戳;
● 指示網絡出錯情況的狀態碼;
● 使用的網絡資源。
1.5網絡控制
1.5.1 配置控制
配置管理是指初始化、維護和關閉網絡設備或子系統。被管理的網絡資源包括物理設備(例如服務器、路由器)和底層的邏輯對象(例如傳輸層定時器)。配置管理功能可以設置網絡參數的初始值或默認值,使網絡設備初始化時自動形成預定的互聯關系。當網絡運行時,配置管理監視設備的工作狀態,并根據用戶的配置命令或其他管理功能的請求改變網絡配置參數。例如,若性能管理檢測到響應時間延長,并分析出性能降級的原因是由于負載失衡,則配置管理將通過重新配置(例如改變路由表)改善系統響應時間。又例如故障管理檢測到一個故障,并確定了故障點,則配置管理可以改變配置參數,把故障點隔離,恢復網絡的正常工作。配置管理應包含下列功能模塊:
● 定義配置信息;
● 設置和修改設備屬性;
● 定義和修改網絡元素間的互聯關系;
● 啟動和終止網絡運行;
● 發行軟件;
● 檢查參數值和互聯關系;
● 報告配置現狀。
1. 定義配置信息
配置信息描述網絡資源的特征和屬性,這些信息對其他管理功能是有用的。網絡資源包括物理資源(例如主機、路由器、網橋、通信鏈路和Modem等)和邏輯資源(例如定時器、計數器和虛電路等)。設備的屬性包括名稱、標識符、地址、狀態、操作特點和軟件版本。配置信息可以有多種組織方式。簡單的配置信息組織成由標量組成的表,每一個標量值表示一種屬性值,SNMP采用這種方法。在OSI系統管理中,管理信息定義為面向對象的數據庫。對象的值表示被管理設備的特性,對象的行為(例如通知)代表了管理操作,對象之間的包含關系和繼承關系則規范了它們之間的互相作用。另外,還有一些系統用關系數據庫表示管理信息。
管理信息存儲在與被管理設備最接近的代理或委托代理中,管理站通過輪詢或事件報告訪問這些信息。網絡管理員可以在管理站提供的用戶界面上說明管理信息值的范圍和類型,用以設置被管理資源的屬性。網絡控制功能還允許定義新的管理對象,在指定的代理中生成需要的管理對象或數據元素。產生新數據的過程可以是聯機的、動態的,或是脫機的、靜態的。
2. 設置和修改屬性
配置管理允許管理站遠程設置和修改代理中的管理信息值,但是修改操作要受到兩種限制:
● 只有授權的管理站才可以施行修改操作,這是網絡安全所要求的;
● 有些屬性值反映了硬件配置的實際情況,是不可改變的,例如主機CPU類型、路由器的端口數等。
對配置信息的修改可以分為以下3種類型:
● 只修改數據庫:管理站向代理發送修改命令,代理修改配置數據庫中的一個或多個數據值。如果修改操作成功,則向管理站返回肯定應答,否則返回否定應答,這個交互過程中不發生其它作用。例如管理站通過修改命令改變網絡設備的負責人(姓名、地址、電話等)。
● 修改數據庫,也改變設備的狀態:除了修改數據值之外,還改變了設備的運行狀態。例如把路由器端口的狀態值置為“disabled”,則所有網絡通信不再訪問該端口。
● 修改數據庫,同時引起設備的動作:由于現行網絡管理標準中沒有直接指揮設備動作的命令,因而通常用管理數據庫中的變量值控制被管理設備的動作。當這些變量被設置成不同的值時,設備隨即執行對應的操作過程。例如路由器數據庫中有一個初始化參數,可取值為TRUE或FALSE。若設置此參數值為TRUE,則路由器開始初始化,過程結束時重置該參數為FALSE。
3. 定義和修改關系
關系是指網絡資源之間的聯系、連接以及網絡資源之間相互依存的條件,例如拓撲結構、物理連接、邏輯連接、繼承層次和管理域等。繼承層次是管理對象之間的繼承關系,而管理域是被管理資源的集合,這些網絡資源具有共同的管理屬性或者受同一管理站控制。
配置管理應該提供聯機修改關系的操作,即用戶在不關閉網絡的情況下可以增加、刪除或修改網絡資源之間的關系。例如在LAN中,結點之間邏輯鏈路控制子層(LLC)的連接可以由管理站來修改。一種LLC連接叫做交換連接,即結點的LLC實體接受上層軟件的請求或者響應終端用戶的命令與其他結點建立的SAP之間的連接;另外管理站還可以建立固定(或永久)連接,管理軟件也可以按照管理命令的要求釋放已建立的固定連接或交換連接,或者為一個已有的連接指定備份連接,以便在主連接失效時替換它。
4. 啟動和終止網絡運行
配置管理給用戶提供啟動/關閉網絡和子網的操作。啟動操作包括驗證所有可設置的資源屬性是否已正確設置。如果有設置不當的資源,則要通知用戶;如果所有的設置都正確無誤,則向用戶發回肯定應答。同時,關閉操作完成之前應允許用戶檢索設備的統計信息或狀態信息。
5. 發行軟件
配置管理還提供向端系統(主機、服務器和工作站等)和中間系統(網橋、路由器和應用網關等)發行軟件的功能,即給系統裝載指定的軟件、更新軟件版本和配置軟件參數等功能。除了裝載可執行的軟件之外,這個功能還包括下載驅動設備工作的數據表,例如路由器和網橋中使用的路由表。如果出于計費、安全或性能管理的需要,則路由決策中的某些特殊情況不能僅根據數學計算的結果處理,可能需要人工干預,因此還應提供人工修改路由表的用戶接口。
1.5.2 安全控制
1. 安全威脅的類型
為了理解對計算機網絡的安全威脅,我們首先定義安全需求。計算機和網絡需要以下3方面的安全性。
● 保密性(Secrecy):計算機網絡中的信息只能由授予訪問權限的用戶讀取(包括顯示、打印等,也包含暴露“信息存在”這樣的事實);
● 數據完整性(Integrity):計算機網絡中的信息資源只能被授予權限的用戶修改;
● 可用性(Availability):具有訪問權限的用戶在需要時可以利用計算機網絡資源。
所謂對計算機網絡的安全威脅,就是破壞了這3方面的安全性要求。下面從計算機網絡提供信息的途徑來分析安全威脅的類型。通常從源到目標的信息流動的各個階段都可能受到威脅,圖1.13畫出了信息流被危害的各種情況。
圖1.13 對網絡通信的安全威脅
2. 對計算機網絡的安全威脅
圖1.14畫出了對計算機網絡的各種安全威脅,分別解釋如下。
● 對硬件的威脅:主要是破壞系統硬件的可用性,例如有意或無意地損壞甚至盜竊網絡器材等。小型的PC、工作站和局域網的廣泛使用增加了這種威脅的可能性。
● 對軟件的威脅:操作系統、實用程序和應用軟件可能被改變、損壞甚至被惡意刪除,從而不能工作,失去可用性。特別是有些修改使得程序看起來似乎可用,但其實是在進行其他工作,這正是各種計算機病毒的特長。另外,軟件的非法拷貝是一個至今沒有解決的問題,因此軟件本身也不安全。
圖1.14 對計算機網絡資源的安全威脅
● 對數據的威脅:數據可能被非法訪問,破壞了保密性;數據可能被惡意修改或者假冒,破壞了完整性;數據文件可能被惡意刪除,從而破壞了可用性。甚至在無法直接讀取數據文件的情況下(例如文件被加密),還可以通過分析文件大小或者文件目錄中的有關信息推測出數據的特點,這種分析技術是一種更隱蔽的計算機犯罪手段,被網絡黑客們樂而為之。
● 對網絡通信的威脅:可分為被動威脅和主動威脅兩類,如圖1.15所示。被動威脅并不改變數據流,而是采用各種手段竊取通信線路上傳輸的信息,從而破壞了保密性。例如偷聽或監視網絡通信,從而獲知電話談話、電子郵件和文件的內容;還可以通過分析網絡通信的特點(通信的頻率、報文的長度等)猜測出傳輸的信息。由于被動威脅不改變信息的內容,因而是很難檢測的,數據加密是防止這種威脅的主要手段。與其相反,主動威脅則可能改變信息流或者生成偽造的信息流,從而破壞了數據的完整性和可用性。主動攻擊者不必知道信息的內容,但可以改變信息流的方向,或者使傳輸的信息被延遲、重放、重新排序,可能產生不同的效果,這些都是對網絡通信的竄改。
主動攻擊還可能影響網絡的正常使用,例如改變信息流傳輸的目標,關閉或破壞通信設施,或者以垃圾報文阻塞信道,這種手段叫做拒絕服務。假冒(或偽造)者則可能利用前兩種攻擊手段之一,冒充合法用戶以博取非法利益。例如攻擊者捕獲了合法用戶的認證報文,不必知道認證碼的內容,只需重放認證報文就可以冒充合法用戶使用計算機資源。要完全防止主動攻擊是不可能的,只能及時地檢測它,在它還沒有造成危害或沒有造成大的危害時挫敗它。
圖1.15 計算機網絡的被動威脅和主動威脅
3. 對網絡管理的安全威脅
由于網絡管理是分布在網絡上的應用程序和數據庫的集合,因而以上討論的各種威脅都可能影響網絡管理系統,造成管理系統失靈,甚至發出錯誤的管理指令,破壞計算機網絡的正常運行。對于網絡管理,特別有以下3方面的安全威脅值得提出。
● 偽裝的用戶:沒有得到授權的一般用戶企圖訪問網絡管理應用和管理信息;
● 假冒的管理程序:無關的計算機系統可能偽裝成網絡管理站實施管理功能;
● 侵入管理站和代理間的信息交換過程:網絡入侵者通過觀察網絡活動竊取了敏感的管理信息,更嚴重的危害是可能竄改管理信息,或中斷管理站和代理之間的通信。
1) 安全信息維護
網絡管理中的安全管理是指保護管理站和代理之間信息交換的安全。安全管理使用的操作與其他管理使用的操作相同,差別在于使用的管理信息的特點不同。有關安全的管理對象包括密鑰、認證信息、訪問權限信息以及有關安全服務和安全機制的操作參數信息等。安全管理要跟蹤進行中的網絡活動和試圖發動的網絡活動,以便檢測未遂的或成功的攻擊,并挫敗這些攻擊,恢復網絡的正常運行。細分一下,對于安全信息的維護可以列出以下功能:
● 記錄系統中出現的各類事件(例如用戶登錄、退出系統,文件拷貝等);
● 追蹤安全審計試驗,自動記錄有關安全的重要事件,例如非法用戶持續試驗不同口令字企圖登錄等;
● 報告和接收侵犯安全的警示信號,在懷疑出現威脅安全的活動時采取防范措施,例如封鎖被入侵的用戶賬號或強行停止惡意程序的執行等;
● 經常維護和檢查安全記錄,進行安全風險分析,編制安全評價報告;
● 備份和保護敏感的文件;
● 研究每個正常用戶的活動形象,預先設定敏感資源的使用形象,以便檢測授權用戶的異常活動和對敏感資源的濫用行為。
2) 資源訪問控制
一種重要的安全服務就是訪問控制服務,這包括認證服務和授權服務,以及對敏感資源訪問授權的決策過程。訪問控制服務的目的是保護各種網絡資源,這些資源中與網絡管理有關的是:
● 安全編碼;
● 源路由和路由記錄信息;
● 路由表;
● 目錄表;
● 報警門限;
● 計費信息。
3) 加密過程控制
安全管理能夠在必要時對管理站和代理之間交換的報文進行加密。安全管理也能夠使用其他網絡實體的加密方法。此外,加密過程控制也可以改變加密算法,具有密鑰分配能力。
1.6 網絡管理標準
TCP/IP網絡管理最初使用的是1987年11月提出的簡單網關監控協議(Simple Gateway Monitoring Protocol,SGMP),在此基礎上改進成簡單網絡管理協議第一版(Simple Network Management Protocol,SNMPv1),陸續公布在1990和1991年的幾個RFC(Request For Comments)文件中,即RFC 1155(SMI)、RFC 1157(SNMP)、RFC 1212(MIB定義)和RFC 1213(MIB-2規范)。由于其簡單性和易于實現,SNMPv1得到了許多制造商的支持和廣泛應用,幾年以后在第一版的基礎上改進其功能和安全性,又產生了SNMPv2(RFC 1902~1908,1996)和SNMPv3(RFC 2570~2575,1999)。
在同一時期,用于監控局域網通信的標準——遠程網絡監控RMON(Remote Monitoring)也出現了,這就是RMON-1(1991)和RMON-2(1995)。這一組標準定義了監視網絡通信的管理信息庫,是SNMP管理信息庫的擴充,與SNMP協議配合可以提供更有效的管理性能,也得到了廣泛應用。
另外,IEEE定義了局域網的管理標準,即IEEE 802.1b LAN/MAN管理。這個標準用于管理物理層和數據鏈路層的OSI設備,因而叫做CMOL(CMIP over LLC)。
為了適應電信網絡的管理需要,ITU-T在1989年發布了電信管理網絡(Telecommunications Management Network,TMN)的M.30建議(藍皮書),定義了電信管理網的總體結構、管理功能和管理業務等標準,用于支持電信網和電信業務的規劃、配置、安裝、操作及組織工作。
總結
以上是生活随笔為你收集整理的计算机网络管理(第二版)自学教程的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: iphone 手势编程---值得回忆的A
- 下一篇: JPEG格式详解