网络管理复习资料 9页

第一章网络的基本功能计算机网络的功能很多，其中最重要的三个功能是：数据通信、资源共享、分布处理。(1)数据通信数据通信是用来快速传送计算机与终端、计算机与计算机之间的各种信息，包括文字信息、新闻消息、咨询信息、图片资料、报纸版而等。(2)资源共享“资源”指的是网络中所有的软件资源、硬件资源、数据资源和通信信道资源。“共享”指的是网络中的用户都能够部分或全部地亨受这些资源。(3)分布处理当某台计算机负担过重，或该计算机正在处理某个进程乂接到用户的进程申请，网络可将新的进程任务转交给网上空闲的计算机来完成，这样处理能均衡各计算机的负载，提高处理问题的实时性；对大型综合性问题，可将问题各部分交给不同的计算机并行处理，充分利川网络资源，扩大计算机的综合处理能力，增强实用性。网络的分类局域网(LAN)：10公里以内。城域网(MAN)：100公里以内，又称城市网络。广域网(WAN)：上千公里。国际互联网(Internet)：网络覆盖范围为全世界。什么是网络拓扑结构计算机网络的连接方式叫做“网络拓扑结构(topology)\抛开网络中的具体设备，把像工作站、服务器等网络单元抽象为“点”，把网络屮的电缆等通信介质(含有线介质和无线介质)抽象为“线”，这样从拓扑学的观点看计算机和网络系统，就形成了点和线组成的平而几何图型，从而抽彖出了网络系统的具体结构。我们称这种采用拓扑学方法抽象出来的结构为计算机网络的拓扑结构。计算机网络系统的拓扑结构主要有总线型、星型、环型、树型、全互联型和不规则型等儿种。网络拓扑结构对梏个网络的设计、功能、可靠性、费用等方面有着重要的影响。计算机网络基本拓扑结构有哪几种总线状(细线网络、粗线网络)、环状、星状、总线■星状、环状•星状、树状、半网状、全网状☆判断IP地址的类别★见书上P19第二章网络管理的基本内容：故障管理、配置管理、性能管理、安全管理和计费管理2.2.4性能管理性能管理用于对管理对象的行为和通信活动的有效性进行管理。性能管理通过收集冇关统计数据，对收集的数据运用一定的算法进行分析以获得系统的性能参数，以保证网络的可靠、连续通信的能力°性能管理山用于対网络工作状态信息的收集及整理的性能检测和用于改善网络设备的性能而采取的动作及操作的网络控制两部分纽成。性能管理提供的主要功能包括:\nI工作负荷监测、收集和统计数据；I判断、报告和报警网络性能；I预测网络性能的变化趋势；I评价和调整性能指标、操作模式和网络管理对彖的配置网络性能分析与研究的主要方法对计算机网络系统性能的分析和研究少对其他系统一样，常常采用模拟方法:一是数学模拟，二是物理模拟。当今，在计算机上对实际系统进行数学模拟的方法已被许多人采用。所谓数学模拟，就是将实际系统的运行规律，用数学形式表达出來，构成一个数学模型。然后，在计算机上用程序去实现这个模型并要求解主要的性能参数。数学模拟法，一般工作罐小、周期短，实现起来较为方便。但由于一个现实中的网络系统是十分复杂的，在处理时要忽略一些参数，再运用概率论、随机过程和排队论等数学工具去求解问题。因此，耍构造一个优秀的数学模型是不容易的。笫三章3-2现代计算机网络管理系统是由以下4个要素组成的：I网络管理者(networkmanager)；I网管代理(managedagent)；I网络管理协议NMP(NetworkManagementProtocol)：I管理信息库MIB(ManagementInformationBase)。34网络管理者、网管代理作用网络管理者是指实施网络管理的处理实体，网络管理者驻留在管理工作站上，管理工作站通常是指终端，一般位于网络系统的主T或接近于主干的位置，它负责发出管理操作的指令，并接收来口网管代理的信息。网络管理者耍求网管代理定期收集重耍的设备信息。网络管理者定期杏询网管代理收集到的有关主机运行状态、配置及性能数据等信息，这些信息将被用來确定独立的网络设备、部分网络或整个网络运行的状态是否正常。网管代理是一个软件模块，它驻留在被管设备上。这里的设备可以是工作站、网络打印机，也可以是其他网络设备。通常将主机和网络互连设备等所冇被管理的网络设备统称被管设备。它的功能是把來白网络管理者的命令或信息的请求转换成本设备特有的指令，完成网络管理者的指示或把所有设备的信息返回到网络管理者，包括有关运行状态、设备特性、系统配置和其他相关信息。另外，网管代理也可以将自身系统中发生的事件主动通知给网络管理者。网管代理实际所起的作用就是充当网络管理者少网管代理所驻留的设备Z间的信息中介。网管代理通过控制设备的管理信息库(MIB)中的信息來实现管理网络设备功能。3-6集中式网络管理模式优缺点？适合什么网络环境？优点：管理集中，冇专人负责，冇利于整个网路系统的全局对网络实施较为冇效的管理缺点：管理信息如果集中汇总到网络管理结点上，导致网络管理信息流比较拥挤，管理不够灵活，管理结点如果发生故障可能影响全网正常工作。集中式网络管理模式比较适合于以下几种网络：I小型局域网络：这种网络的节点不多，覆盖范围有限，集屮管理比綾容易。I部门专用网络：特别是对于一些行政管理上比较集中的部门，如军事指挥机关、公安系统等，集中式网络管理模式少行政管理模式匹配，便于实施。I统一经营的公共服务网：这种网络从经营、经济核算方面考虑，用集中式网络管理模式\n比较适宜。I专用c/s结构网：这种结构，客户机和服务器专用化，客户机的结构已经简化，与服务器呈主从关系，网络管理功能往往集中于网络服务器。I企业互联网络：在这种网络中，越來越多地引入各种专用网络互联设备，如路由器、桥接器、交换机、集线器等，它们本身已不是一个完整的计算机节点，但又在计算机网络中有着重要的地位，应有集屮的网络管理节点对它们进行统一管理。3・7分布式网络管理模式优缺点？适合什么网络环境？I提供了网络的可扩展性，以适应全新的、不断扩大的网络应用。分布式管理的根本属性就是能容纳整个网络的增长和变化，这是因为随着网络的扩展，智能监视及任务职责会同时不断地被分布开來。I降低了网络管理的复杂性。随着网络节点在数量上的增多，网络结构变得更加复杂，如果在惟一的一台工作站上监视数以万计的节点显然是行不通的。木地管理控制台能够针对相应网段出现的问题，迅速有效地采取修正行动，能够有效地避免因问题由小变大，最后导致大面积网络瘫痪的状况。I网络管理的响应时间更快，性能更好。分布式管理还极人地减少了由网络管理牛成的流量开销，其结果是网络的总体性能变得更好了。I提供网络管理信息共李能力。分布式管理最重要的特性z—就是它提供共享“状态、临视及抓扑映像"信息的能力。这种智能的分布式网络管理信息共享极人地减轻了屮心管理网站对内存及CPU资源的需求，同样重要的是，它还使得管理信息系统人员能够在企业网的任何地方，显示特定的状态、监视以及拓扑映像信息。分布式网络管理模式的适应范围I通用商用网络。国际上流行很广的一些商用计算机网络，如DECnet网、TCP/IP网、SNA网等，就其管理模式而言，都属于上述分布式网络管理模式，因为它们并不设置专门网络管理节点，但仍可保证网络的正常运行，因而可以比较方便地适应各种网络环境的配置和应用。I对等C/S结构网络。对等C/S结构意味着网络中各节点基本上是平等、口治的，因而也便于实施分布式网管体制。I跨地区、跨部门的互联网络。这种网络不仅覆盖范围广、节点数量人，且跨部门其至跨国界，难以实现集中管理。因此，分布式网络管理模式是互联网络的基础。3-9SNMP的基本组成SNMP管理模型屮有三个基本纽成部分：管理代理(agent).管理进程(manager)和管理信息库(MIB)。如图3・4所示。---4・入Z✓、••Aw**■…9KX/z、«1、一"一、儿〜—E亠—工*・<、CJta.亠'k一、z、、ZX.zKZ\n/-+-+n\(l«l¥、笫四章4-1保留IP地址有什么用途在设计IP地址分配方案之前，应综合考虑以下几个问题：是否将局域网络连入Internet：是否将局域网络划分为若T网段以方便网络管理；是采用静态IP地址分配述是动态IP地址分配。如果不准备将局域网络连到Internet上，则可用RFC1918中定义的非Internet连接的网络地址,称为"专用Internet地址分配"。RFC1918规定了不想连入Internet的IP地址分配指导原则。在Internet地址授权机构（IANA）控制IP地址分配方案屮，留出了三类网络号，给不连到Internet±的专用网用，分别用于A,B和C类网络：A类保留地址:10.0.0.0〜10.255.255.255B类保留地址:172.16.0.0〜172.31.255.255C类保留地址：192.168.0.0〜192.168.255.255IANA保证这些IP地址不分配给任何用户,可以说这些IP地址是公共地址，网上的任何人都可以自由的选择这些网络地址作为自己的网络地址。3-2所谓静态IP地址分配策略，指的是给每一个连入网络的用户固定分配一个IP地址，该用户每次上网都是使用这一地址，系统在给该用户分配IP地址的同时，还可给该用户分配一个域名。使用静态IP地址分配策略分配的IP地址，是一台终端计算机专用的IP地址，无论该用户是否上网，分配给其的IP地址是不能再分配给其他用户使用的。动态ip地址分配策略的基木思想是，事先不给上网的用户分配ip地址，这类用户上网时H动给英分配一个ip地址，该用户下网时，所用的ip地址自动释放，可再次分配给其他用户使用。使用动态ip地址分配策略的用户只有临吋ip地址而无域名。通常来说，使用电话拨号上网的用户大都是使用动态ip地址分配策略分配的ip地址。第五章4-2：SNMP管理体系结构：管理进程、网管代理和MIB,其核心为MIB,MIB由网管代理维护而由管理者读写。管理进程是管理指令的发出者，并通过各设备的网管代理对网络内的设备进行监视和控制。网管代理负责管理指令的执行，并向管理者报告被悖对象发生的一些重要事件。SMI（管理信息结构）定义了Internet的6个主要管理对象类：I网络地址IIP地址I时间标记I计数器；I计量器；I非透明数据类型。5-4名词解释SNMP团体名变量绑定简单网络管理协议SNMP（SimpleNetworkManagementProtocol1990）是为当时的ARPANET变成了全球范围的Internet,拥有了众多的主干和众多的用户的网络管理而研制的。RFC1157定义了SNMP的第一个版本，简称为SNMPvl,SNMP提供了一种监控和管理计算机网络的系统方法。这个框架和协议被广泛地应用，成为网络管理的标准。SNMP是由IAB（InternetT告局）制订，基于TCP协议的各种互联网络的管理标准。SNMP支持普通的鉴别，使用一种类似于密码的东西团体名（communityname）0使用get或get-next操作来读团体名，获取对彖；使用set操作来厲团体名，修改对彖。大多数设备部将支持两个团体名：一个读团体名和一个写团体名。更精确地说，使用团体名来访\n问该团体内的对象。通常一个网管代理定义两个团体：一个用于可以读取的管理对象（具冇只读或读写权限的对象），另一个用于可改的管理对象（具有读写权限的对彖）。团体可以是一个设备的MIB内的任何对象的集合。变量绑定用于指定要收集或修改的管理对象。更精确地说，变量绑定是一个对象标识值对应的列表。对于get或get-next请求,将忽略该值部分。RFC1157建议在get和get-next协议数据单元屮发送实体把变最置为NULL,接收实体处理时忽略它，在返I川的应答协议数据单元中设置为变量的实际值。关于管理进程和代理进程之间的交互信息，SNMPvl定义了以下5种报文，分别对应5种基本操作：IGetRequest操作：管理进程用来从代理进程处提取一个或多个参数值。IGetNextRequest操作：从代理进程处提取-个或多个参数的下一个参数值。ISetRequest操作：设置(或改变)代理进程的一个或多个参数值。IGetResponse操作：返回的一个或多个参数值。这个操作是由代理进程发出的。它是前面3种操作的响应操作。ITrap操作：代理进程主动发出的报文，通知管理进程有某些界常事件的发生。SNMPv2在SNMP的基础上，增加了下述功能：I管理信息结构(SMI)；I协议操作；I管理站与管理站之间的通信能力；I安全性。SMNPv2主要在以下4个方面进行了改进和更新：I对象的定义；I概念表；I通知的定义；I信息模块。可以认为SNMPV3是具有附加的安全和管理能力的SNMPv2o它主要定义了SNMPv2里缺少的网络安全方面的4个关键域。I验证(原始身份、信息的完整性和传输保护)；I保密；I授权和进程控制；I以上3种功能所需的远程配置和管理能力。弟八草网络安全服务的基本内容⑴认证服务；⑵访问控制；⑶数据机密性服务；(1)数据完整性服务;⑸不可否认服务。系统攻击的三个阶段\n(1)收集信息：收集要攻击的目标系统的信息，包括目标系统的位置、路由、目标系统的结构及技术细节等。(2)探测系统安全弱点：入侵者根据收集到的冃标网络有关信息，对目标网络上主机进行探测，以发现系统的弱点和安全漏洞。①利用“补丁"找到突破口;②利用扫描器发现安全漏洞。（3）实施攻击：攻击者通过上述方法找到系统的弱点后，就可以对系统进行攻击。系统攻击有哪四种类型（1）访问攻击访问攻击是攻击者试图获得没有访问权限的信息。这种攻击也可能在信息传输过程屮出现。这种类型的攻击是对信息保密性的攻击。（2）修改攻击修改攻击是攻击者试图修改具没有修改权限的信息。这种类型的攻击是对信息完整性的攻击。（3）拒绝服务攻击拒绝服务攻击是指拒绝网络的合法用八使用网络系统，是对信息或功能等资源的攻击。拒绝服务攻击也是一种故意破坏行为。（4）否认攻击否认攻击是一种针对信息记录实施的攻击。换言之，否认攻击试图给出错i吴的信息或者否认曾经发生过真实事件或事务。根据数据来源进行分类，入侵检测技术可分为基于主机（保护主机）、基于网络（保护数据包）和混合三种类型。构建网络防火墙的主要目的I控制访问者进入一个被严格控制的点；I防止进攻者接近防御设备；I控制内部人员从一个特别控制点离开；I检杏、筛选、过滤和屏蔽信息流屮的有害信息，防止对计算机和计算机网络进行恶意破坏。网络防火墙的主要作用防火墙是一种非常有效的网络安全模型，通过它町以隔离内外网络，以达到网络屮安全区域的连接，同吋不妨碍人们对风险区域的访问。监控出入网络的信息，仅让安全的、符合规则的信息进入内部网络，为网络用户提供一个安全的网络环境。I有效收集和记录Internet上活动和网络误用情况；I能有效隔离网络中的多个网段，能有效地过滤、筛选和屏蔽-切有害的信息和服务；I防火墙就像一个能发现不良现象的警察，能执行和强化网络的安全策略。6.5.2防火墙的类型⑴包过滤型防火墙（PacketFilterFirewall）包过滤空防火墙的包过滤器安装在路山器上，工作在网络层（IP）,因此也称为网络层防火墙。它基于单个包实丿施网络控制，根据所收到数据包的源地址、冃的地址、源端口号及冃的端口号、包出入接口、协议类型和数据包屮的各种标志位等参数，与用户预定的访问控制表\n进行比较，判定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息的过滤。它实际上是控制内部网络上的主机可直接访问外部网络，而外部网络上的主机对内部网络的访问则要受到限制。⑵代理服务器防火墙（ProxyServiceFirewall）代理服务器防火墙通过在主机上运行代理服务程序，直接对特定的应用层进行服务，因此也称为应用层防火墙。其核心是运用防火墙主机上的代理服务器进程。代理网络用户完成TCP/IP功能，实际上是为特定网络应用而连接两个网络的网关。对每种不同的应用层服务(如E-mail.FTP、Telnet、WWW等)都应用一个相应的代理。代理服务可以实施用户认证、详细II志、审计跟踪、数据加密等功能和对具体协议及应用的过滤，如阻止Java或JavaScript程序的运行。⑶电路层网关(CircuitGateway)电路层网关在网络的传输层上实施访问策略，是在内、外网络主机之间建立一个虚拟电路进行通信，相当于在防火墙上直接开了个口子进行传输，不象应川层防火墙那样能严密控制应用层的信息。(4)混合型防火墙(HybridFirewall)混合型防火墙，把过滤和代理服务等功能结合起来，形成新的防火墙，所用主机称为堡垒主机，负责代理服务。(5)应用级网关(ApplicationGateway)应用级网关使用专用软件来转发和过滤特定的应用服务，如telnet、FTP等服务连接。这是一种代理服务。代理服务技术适应于应用层，它由一个高层的应用网关作为代理器，通常由专门的硬件来承担。代理服务器接受外来的应用连接请求，进行安全检杳后，在与被保护的网络应用服务器建立连接，使得外部服务器在受控制的前提下使用内部网络提供的服务。应川级网关具有登记、FI志、统计和报告等功能，并有良好的审计功能和严格的川户认证功能，应用级网关的安全性高，但它要为每种应用提供专门的代理服务程序。(6)自适应代理技术口适应代理技术是一种最新的防火墙技术，在一定程度上反映了防火墙口前的发展动态。该技术可以根据用户定义的安全策略，动态适应传送中的分组流量。如果安全要求较高，则安全检查应在应用层完成，以保证代理防火墙的最大安全性;一旦代理明确了会话的所有细节,其示的数据包就可以肓接经速度快得多的网络层传送。表包过滤策略方向«!地址目标地址协议口目标増口动作A11!116.111.4.0202,108.5.6TCP>102323任住拒绝B入202.10fi.5.6116.111.4.0TCP23>1023是任意CUJ任倉TCP>102323任盘允许D入OR116.111.4.0TCP23>1023足允许ELU1111H.4L任盘TCP>102325任盘允许F入116.111.4.1TCP25>1023允许G入任怠116.111.4.1TCP>102325任总允许a出U&HLC1任童TCP25>1023任jS允许i幽116.111.40任養TCP>102380任盘允许JA116.111.4.0TCP80>1023足允许K入98.120.7.0116.111.4.5TCP>102380任总允许L1131U<11L4598.120.7.0TCP80>1023任童允许\nM双向任童任童任童任任意任总拒绝笫七章同步传输与异步传输(1)同步传输同步传输采用的是按位同步的同步技术进行信息传输，在同步传输过程屮，每个数据位之间都有一个固定的时间间隔，这个时间间隔山通信系统中心的数字时钟确定。在同步传输过程中，不要求每一个字符都有起始位和结束位，而是若干个字符共用一个起始位和一个结束位,即在一个起始位和一个结束位之间可传输若干个字符。在通信过程中，要求接收端和发送端的数据序列在时I'可上必须取得同步。(2)界步传输界步传输乂叫开步通信，采用的是群同步技术进行信息传输。异步传输的原理是：将信息分成若干等长的小组(“群〃)，每次传输一个〃群〃的信息码，具体过程是，每一"群〃为8个或5个信息位，每个“群〃前面放一个起始码，后面放一个停止码，一般来说，起始码为一个比特，通常为“0〃，而停止码为1〜2比特，通常用丫表示，当无数据发送时，就连续地发送“1〃码，收端收到笫1个"0〃后，就开始接收数据。同步传输要求时间同步,界步传输要求时间同步。静态路由策略静态路由是最简单形式的路由。静态路由就是对路由器直接控制通信的路径用手工进行配置。换一种说法就是，静态路由表只能是网络管理员手工进行配置的，无论何时网络拓扑发牛变化需要改变路由表时，网络管理员必须手动更新静态路由表。动态路由策略动态路由的主要技术是其路由表是动态的，在动态路由协议下工作。动态路由在网络运行过程中能口动生成和更新，除了涉及少量的手工干预外，动态路由协议能提供更好的性能，因为数据可经过最佳路径进行传输。动态路由协议启动后，路由表会通过路由进程自动更新，这种更新发牛在从网络上收到新的消息的时候。在路山器间相互交换动态路山表的变更，这也是路山器更新路山的一•部份。解释“收敛”路由选择协议用于决定从特定源到特定目的地的最佳路由，这人多是动态路由协议。无论何时由于路由扩大、网络重组或网络故障造成网络拓扑发牛变化时，网络认识也必须发生相应的变化。网络认识必须反映精确的、持续的新拓扑视图。生成这种精确的、持续的新拓扑图称为“收敛”。当网络屮的所有路由器都操作同一网络认识时，我们则说这个网络是收敛的。快速收敛是可取的网络特征，因为它节省了时间。如果路由器使用过时的网络认识来做那些不正确的或无用的路由决定，则会大量的浪费时间。数据交换技术现代网络的通信是一种分组交换技术的通信。分纽交换技术有两种：\n(2)电路交换技术：I空分线路交换I吋分线路交换⑵存储转发技术：I报文交换I分组交换垂直奇偶校验法垂直奇偶校验是以字符为单位进行校验的方法。以ASCII码为编码的字符为例，一个字符由8位组成，其中低7位是信息位，最高位是校验位。奇校验的规则:确保发出的一组信息码中含“1〃的个数为奇数；偶校验的规则:确保发出的一组信息码中含"1〃的个数为偶数。例：如果一个字符的7位信息码为1001101,采用奇校验编码，求其校验位的值。由于这个字符的7位代码中有T的个数为偶数（4个），所以其校验位的值为“T。即整个8位发送编码为：11001101（最高位为校验位）。（2）水平奇偶校验法水平奇偶校验是以字符组为单位的一种校验方法。对一组字符中的相同位进行奇他校验。水平奇偶校验法通常以7个字节（即7个字符）为一组，外加一个字节的校验码进行校验。数据传输以字符为单位进行传输，传输按字符一个个地进行，最后传输一个字节的校验码。（3）水平垂直奇偶校验法水平垂直奇偶校验同时进行水平和垂直奇偶校验的校验。其具体实现过程是：I组成一个字符组（8字节一个组）；I对每一个字符增加一个校验位（7个数据位，1个校验位）；I对每组字符相同的位增加一个校验位（即多传输一个字节的校验信息）。具体传输过程是，先按水平奇偶校验法进行数码传输和校验，待一组字符（8个字节）全部传输完毕后，再进行垂直校验。自动纠错技术P210