网络管理安全教材.pptVIP

安全协议与标准 第八章 网络管理安全 第七章 网络管理安全 概述 SNMP的基本概念 SNMPv1的共同体机制 SNMPv3 8.1 概述 网络管理主要是关于规划、监督、设计和控制网络资源的使用以及网络的各种活动。 现代网络具有以下显著特征： 地理分散性。 网络体系结构的复杂性。 各类增值网络服务不断出现。 网络通信量的指数级增长。 网络设备的自治性增强。 网络拓扑结构的变动性增大。 8.1 概述 随着网络规模的扩大, 出现两个明显的情况： 网络及分布式应用对于组织已经不可缺少 网络会发生故障，使得部分瘫痪或性能降低 随着网络规模的日益扩大，结构日益复杂，功能越来越强，网络管理系统已成为网络系统的关键部分。 目前为止，应用最广泛的标准是SNMP 1989年公布SNMPv1 ,为满足新的功能需要，接着颁布了SNMPv2和SNMPv3 1991年颁布的远程监控RMON (Remote network monitoring) 更进一步推动了网络管理的发展. 8.1 概述 网络管理的五大功能： 故障管理 计费管理 配置管理 性能管理 安全管理 8.1 概述 常见的网络管理系统 Ａｐｒｉｓｍａ的Ｓｐｅｃｔｒｕｍ６．６ ＳｕｎＮｅｔＭａｎａｇｅｒ ＩＢＭ ＴｉｖｏｌｉＮｅｔＶｉｅｗ７．１系列 ＨＰ ＯｐｅｎＶｉｅｗ６.４系列 Ｃｉｓｃｏ Ｗｏｒｋｓ６.１ 8.1 概述 网络管理的标准化过程： ISO/OSI的CMIP/CMIS IETF/SNMP ITU/TMN DMTF 8.2 SNMP的基本概念 本节概述SNMP的基本框架和基本内容 网络管理体系结构 网络管理协议体系结构 委托代理 SNMPv2 网络管理体系结构 SNMP的网络管理模型由以下五部分构成 ：多个网络 管 理 代 理、网络管理器、网络管理协议、管理信息库（ＭＩＢ）和被管资源。 网络管理体系结构 网络管理器是实施网络管理的处理实体，驻留在管理工作站上。它是整个网络系统的核心，完成复杂网络管理的各项功能，如排除网络故障、配置网络等，一般位于网络中的一个主机节点上。 管理代理是配合网络管理的处理实体，驻留在被管对象上。管理代理监测所在网络部件的工作状况，收集有关网络信息。管理代理一般有多个，分别位于网络中的被管设备上。 网络管理体系结构 被管资源包括网络中所有可被管理的网络设备，如主机、工作站、文件服务器、打印服务器、终端服务器、路由器、交换器、网桥、中继器等。 管理信息库存储在被管对象的存储器中，它是一个动态刷新的数据库，它包括设备的配置信息、数据通信的统计信息、安全性信息和设备特有信息等。 通用网络管理协议则描述了管理器与代理之间的数据通信机制。 网络管理体系结构 MIB 文件的格式 MIB文件的名称空间是一个可管理对象的层次性(树形)数据库。MIB的每种类型都是由国际标准组织(International Standard Organization，ISO)所定义的子树，这种结构使每个可管理对象都被赋予了全球唯一的名称。 RFC 1213定义了一种行业标准的SNMP MIB格式，被称作MIB—II。部分名称空间的授权(MIB对象的全球命名格式)也被赋予了单个组织。一些供应商如Cisco公司，可以定义额外的MIB，以支持能被SNMP管理器所监控和管理的独有硬件或软件。 网络管理体系结构 MIB 对象定义格式 ASN.1是一种用于描述结构化客体的结构和内容的语言，基于编码规则BER（Basic Encoding Rules）是ASN.1标准定义的一种传送文法。每个MIB变量格式是SMI规定的，用ASN.1描述如下： OBJECTNAME BOJECT-TYPE DESCRIPTION:(description) SYNTAX: (syntax) ACCESS: (access) STATUS: (status) ::={(Parent)number} 网络管理体系结构 MIB 树 每个MIB对象都用对象标识符（OID）来唯一的标识 。可以看出MIB-Ⅱ的OID是：1.3.6.1.2.1 网络管理体系结构 MIB 对象及变量 Internet MIB是一树形结构的数据库， MIB-I定义了8个管理信息类别，MIB-Ⅱ是在MIB-I基础上的扩展，增加了SNMP和CMOT两项。MIB类别说明如下： MIB类别 包含有关信息 System 关于实体所在系统的数据 Interface 用于管理的网络接口信息 AT 地址转换信息 IP 网络协议 ICMP 为IP设备携带错误和控制的协议 TCP 传输控制协议 UDP 用户数据报协议 EGP 外部网关协议 CMOT 公共管理信息与服