计算机网络管理 教学课件 作者 雷震甲 第 一 章 网络管理概论.ppt

配置管理是指初始化、维护和关闭网络设备或子系统。 配置管理应包含下列功能模块： 定义配置信息 设置和修改设备属性 定义和修改网络元素间的互联关系 启动和终止网络运行 发行软件 检查参数值和互联关系 报告配置现状 1、定义配置信息 配置信息描述网络资源的特征和属性，这些信息对其他管理功能是有用的。网络资源包括物理资源（例如主机、路由器、网桥、通信链路、Modem等）和逻辑资源(例如定时器、计数器、虚电路等) 2、设置和修改属性 配置管理允许管理站远程设置和修改代理中的管理信息值，但是修改操作要受到两种限制： 只有授权的管理站才可以施行修改操作，这是网络安全所要求的 有些属性值反映了硬件配置的实际情况，是不可改变的 对配置信息的修改可以分为3种类型： 只修改数据库 修改数据库，也改变设备的状态 修改数据库，同时引起设备的动作 3、定义和修改关系 关系是指网络资源之间的联系、连接、以及网络资源之间相互依存的条件，例如拓扑结构、物理连接、逻辑连接、继承层次和管理域等 4、启动和终止网络运行 启动操作包括验证所有可设置的资源属性是否已正确设置，如果有设置不当的资源，则要通知用户；如果所有的设置都正确无误，则向用户发回肯定应答。同时，关闭操作完成之前应允许用户检索设备的统计信息或状态信息。 5、发行软件 配置管理还提供向端系统（主机、服务器和工作站等）和中间系统（交换机、路由器和应用网关等）发行软件的功能，即给系统装载指定的软件，更新软件版本和配置软件参数等功能 1、安全威胁的类型 计算机和网络需要以下3方面的安全性： 保密性(secrecy） 数据完整性(integrity) 可用性(availability) 信息流被危害的各种情况： （a）信息从源到目标传送的正常情况。 （b）中断（interruption ） （c）窃取(interception) （d）篡改(modification) （e）假冒(fabrication) 2、对计算机网络的安全威胁 对硬件的威胁 对软件的威胁 对数据的威胁 对网络通信的威胁 3、对网络管理的安全威胁 对于网络管理特别有3方面的安全威胁值得提出： 伪装的用户 假冒的管理程序 侵入管理站和代理间的信息交换过程 1、安全信息的维护 对于安全信息的维护可以列出以下功能： 记录系统中出现的各类事件（例如用户登录、退出系统，文件拷贝等） 追踪安全审计试验，自动记录有关安全的重要事件，例如非法用户持续试验不同口令字企图登录等 报告和接收侵犯安全的警示信号，在怀疑出现威胁安全的活动时采取防范措施，例如封锁被入侵的用户帐号，或强行停止恶意程序的执行等 经常维护和检查安全记录，进行安全风险分析，编制安全评价报告 备份和保护敏感的文件 研究每个正常用户的活动形象，预先设定敏感资源的使用形象，以便检测授权用户的异常活动和对敏感资源的滥用行为 2、资源访问控制 访问控制服务的目的是保护各种网络资源，这些资源中与网络管理有关的是： 安全编码 源路由和路由记录信息 路由表 目录表 报警门限 计费信息 3、加密过程控制 安全管理能够在必要时对管理站和代理之间交换的报文进行加密。安全管理也能够使用其他网络实体的加密方法。此外，这个功能还可以改变加密算法，具有密钥分配能力。 ISO管理 TCP/IP网络管理 RMON IEEE802.1b LAN/MAN管理 对于不同的网络，管理的要求和难度也不同。局域网的管理是相对简单的 在TCP/IP网络中有一个简单的管理工具—Ping程序 国际标准化组织也推出了OSI系统管理标准CMIS/CMIP 网络管理标准的成熟刺激了制造商的开发活动。市场上已经出现了符合国际标准的商用网络管理系统。 1.2.1网络管理系统的层次结构 然而对于大型网络，集中式管理往往显得力不从心，正在让位于分布式的管理策略。这种向分布式管理演化的趋势与集中式计算模型由向分布式计算模型演化的总趋势是一致的。图1.3提出一种可能的分布式网络管理配置方案。 系统要求每个被管理的设备都能运行代理程序，并且所有管理站和代理都支持相同的管理协议。这种要求有时是无法实现的。 通常的处理方法是用一个叫做委托代理的设备(Proxy)来管理一个或多个非标准设备。 网络监控要解决的问题是： 管理信息的定义：监视哪些管理信息，从哪些被管理资源获得管理信息 监控机制的设计：如何从被管理资源得到需要的信息 管理信息的应用：根据收集到的管理信息实现什么管理功能 对网络监控有用的管理信息可以分为3类： 静态信息：包括系统和网络的配置信息，例如路由器的端口数和端口编号，工作站的标识和CPU类型等，这些信息不经常变化。 动态信息：与网络中出现的事件和设备的工作状态有关，例如网络中传送的分组数，网络连接的状态等。 统计信息：即从动态信息推导出的信息，