计算机网络实用技术第8章都网络管理与安全.ppt
《计算机网络实用技术第8章都网络管理与安全.ppt》由会员分享,可在线阅读,更多相关《计算机网络实用技术第8章都网络管理与安全.ppt(158页珍藏版)》请在三一文库上搜索。
1、计算机网络实用技术,第8章 网络管理与安全,计算机网络实用技术,本章将对网络管理的相关概念和简单网络管理协议SNMP进行讲解。并且,还要介绍网络安全方面的基础知识及一些网络安全设备。,计算机网络实用技术,8.1 网络管理的基本概念,网络管理是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。,计算机网络实用技术,8.1 网络管理的基本概念,1网络管理的目标 (1)网络应是有效的,能准确及时地传递信息。 (2)网络应是可靠的,能稳定地运转。 (3)网络要有开放性,
2、能够接收多厂商生产的异种设备。 (4)网络要有综合性,能够提供综合业务。 (5)网络要有很高的安全性。 (6)网络要有经济性,这种经济性不仅是对网络建设者、经营者而言,也是对用户而言的。,计算机网络实用技术,8.1 网络管理的基本概念,2网络管理的任务 (1)状态监测。通过状态监测,可以获得分析网络各种性能的原始数据。 (2)数据收集。要了解网络的状态,还需要将分散监测到的有用数据收集到一起。 (3)状态分析。利用各种模型,根据收集到的监测数据对网络的状态进行分析、判断。 (4)状态控制。根据状态分析的结果对网络采取控制措施。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管理的功能
3、(1)配置管理,定义、识别、初始化、控制和监测被管对象功能的集合,包括以下几项。 定义被管对象,给每个被管对象分配名字。 定义用户组。 删除不需要的被管对象。 设置被管对象的初始值。 处理被管对象间的关系。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管理的功能 (2)故障管理,实时监控网络中的故障,对故障原因做出论断,对故障进行排除,保证网络的正常运行,包括以下几项。 检测被管对象的差错,或接受差错报告。 创建和维护差错日志库,并对其进行分析。 进行诊断,以跟踪和识别差错。 通过恢复措施,恢复正确的网络服务。 网络实时备份。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管
4、理的功能 (3)计费管理,记录用户使用网络的情况并核收费用,包括以下几项。 易于更新且费率可变。 允许使用信用记账收费。 能根据用户组的不同进行不同的收费。 收费依据为“进程”或“服务”。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管理的功能 (4)安全管理,保证网络不被非法使用,包括以下几项。 与安全措施相关的信息分发。 与安全相关的事件通知。 与安全相关的设施建设、控制和删除; 涉及安全服务的网络操作事件的记录、维护和查阅等日志管理工作。,计算机网络实用技术,8.1 网络管理的基本概念,3网络管理的功能 (5)性能管理,保证在最小网络消耗和网络时延下,提供最大的可靠且连续的通信
5、能力,包括以下几项。 从被管对象中收集与网络性能有关的数据。 对收集到的数据进行统计分析,并对历史记录进行维护。 分析数据,以检测性能故障,生成报告。 预测网络的长期趋势。 改进网络的操作模式。,计算机网络实用技术,8.2 简单网络管理协议,简单网络管理协议(Simple Network Manage Protocol,SNMP),是最早提出的网络管理协议之一,计算机网络实用技术,8.2 简单网络管理协议,8.2.1 SNMP模型 SNMP的网络管理模型由3个重要元素组成,图8-1 SNMP网络管理模型,计算机网络实用技术,8.2 简单网络管理协议,1管理信息库(Management Info
6、rmation Base,MIB) Internet的MIB标准把管理对象分为9组,每组对象由各种变量描述。,表8-1 最初节点MIB管理的信息类型,计算机网络实用技术,8.2 简单网络管理协议,1管理信息库(Management Information Base,MIB) MIB中对象的变量类型大体可分为两种:简单变量和表格。简单变量包括整型变量、字符串变量等,也包括一些类似于C语言“结构”的数据集合,表格相当于一维数组。值得注意的是,MIB只给出每个变量的逻辑定义,每个被管的网络设备所使用的内部数据结构可能与MIB的定义不同。当代理进程收到查询请求时,先要把SNMP协议的MIB变量映射到自
7、己的内部数据结构,再执行相应的操作。,计算机网络实用技术,8.2 简单网络管理协议,1管理信息库(Management Information Base,MIB) MIB的设计比较灵活,对象和网络管理通信协议相对独立,只要有需要就可以定义新的MIB变量并标准化,而不需要改变协议。各厂商设计了新的网络设备或新的网络协议时,可以自行定义相应的MIB变量,对这些新的网络设备或新的网络协议进行管理。事实上,目前已定义了许多新的MIB变量。例如,以太网接口的MIB、网桥的MIB、FDDI的MIB、PPP的IP网络控制协议MIB等。 MIB只是定义了管理对象的组织结构,使其他系统可以知道如何访问各个管理对
8、象。对于代理如何收集MIB中管理对象的数据以及怎样使用这些数据,MIB不做规定。,计算机网络实用技术,8.2 简单网络管理协议,2管理信息结构(Structure of Management Information,SMI) 管理信息结构是一套规则,规定如何命名管理对象、如何定义管理对象。所有的管理对象分层次地按树型结构进行组织。某个对象的名称反映它在这个树型结构中的位置,标明了在MIB中通过怎样的路径可以访问到这个对象。,计算机网络实用技术,8.2 简单网络管理协议,2管理信息结构(Structure of Management Information,SMI),图8-2 MIB树的顶部,计
9、算机网络实用技术,8.2 简单网络管理协议,2管理信息结构(Structure of Management Information,SMI) SMI采用OSI的抽象语法表示(Abstract Syntax Notation One,ANS.1)的OBJECT IDENTIFIER类型对MIB的管理对象进行命名。例如,图8-2中的ip对象命名为iso(1)org(3)dod(6)internet(1)mgmt(2)mib-2(1)ip(4)或1.3.6.1.2.1.4。,计算机网络实用技术,8.2 简单网络管理协议,3简单网络管理协议 简单网络管理协议的主要设计思想是协议应尽可能简单,基本功能是
10、监视网络性能、检测分析网络差错和配置网络设备。由于SNMP的设计是基于互联网协议的用户数据报协议UDP之上的,所以SNMP提供的是一种无连接的服务,它不能确保其他实体一定能收到管理信息流。,计算机网络实用技术,8.2 简单网络管理协议,8.2.2 SNMP协议 SNMP是TCP/IP网络的网络管理协议,现在已被广大厂商接受,成为一种事实上的标准。随着SNMP的广泛使用,已经从SNMPv1(第1版)发展到SNMPv2(第2版)和SNMPv3(第3版)。,计算机网络实用技术,8.2 简单网络管理协议,SNMP规定了5种协议数据单元(PDU),即SNMP报文,用来在管理进程和代理之间进行交换,其中包
11、括以下几项 : (1)get-request操作:从代理进程处提取一个或多个进程值。 (2)get-next-request操作:从代理进程处提取紧跟当前参数值的下一个参数值。 (3)set-request操作:设置代理进程一个或多个参数值。 (4)get-response操作:返回一个或多个参数值。此操作是由代理进程发出的,是前面3种操作的响应操作。 (5)trap操作:代理进程主动发出的报文,通知管理进程有某些事情发生。,计算机网络实用技术,8.2 简单网络管理协议,前3种操作是由管理进程向代理进程发出的,后两个操作是代理进程向管理进程发出的。SNMP这5种报文的操作如图8-3所示。在代理
12、进程端使用161端口来接收get或set报文,在管理进程端使用162端口来结束trap报文。,图8-3 SNMP的5种报文操作,计算机网络实用技术,8.2 简单网络管理协议,封装成UDP数据报的SNMP报文格式如图8-4所示。从中可以看出,一个SNMP报文共分成3个部分:公共SNMP头部、get/set头部、trap变量和变量绑定。 (1)公共SNMP头部共有3个字段。 版本,写入本字段的值是版本号减1。对于SNMPv1,则应写入0。 共同体,是一个字符串,作为管理进程和代理进程之间的明文口令,通常使用的6个字符是“public”。 PDU类型,可填入04中的一个数字,其对应名称如表8-2所示
13、。,计算机网络实用技术,8.2 简单网络管理协议,图8-3 SNMP的5种报文操作,计算机网络实用技术,8.2 简单网络管理协议,(2)get/set头部共有3个字段。 请求标识符(Request ID),是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文,这些报文都使用UDP传送,先发送的有可能后到达。请求标识符可使管理进程识别返回的响应报文对应于哪一个请求报文。,计算机网络实用技术,8.2 简单网络管理协议,图8-4 SNMP报文格式,计算机网络实用技术,8.2 简单网络管理协议,(2)get/set头部共
14、有3个字段。 差错状态(Error Status),由代理进程应答时填写05中的一个数,如表8-3所示。,表8-3 差错状态描述,计算机网络实用技术,8.2 简单网络管理协议,(2)get/set头部共有3个字段。 差错索引(Error Index),当出现noSuchName、badValue或readOnly差错时,由代理进程在应答时设置一个整数,指明有差错的变量在变量列表中的偏移。,计算机网络实用技术,8.2 简单网络管理协议,(3)trap头部有以下几项。 企业(Enterprise),填入trap报文的网络设备的对象标识符。此对象标识符在如图8-2所示的对象命名树上的enterpri
15、se节点下面的一棵子树上。 trap类型,此字段的名称是generic-trap,共分为7种类型,如表8-4所示。当使用上述类型2、3和5时,在报文后面变量部分的第一个变量应标识响应的接口。 特定代码(Specific-Code),如果trap类型为6,指明代理自定义的时间,否则为0。 变量绑定(Variable-Bindings),指明一个或多个变量的名和对应的值。在get和get-next报文中,变量的值应忽略。,计算机网络实用技术,8.2 简单网络管理协议,(3)trap头部有以下几项。,表8-4 trap的7种类型,计算机网络实用技术,8.3 常用网络安全技术,8.3.1 防火墙技术
16、当用户与Internet连接时,可在用户与Internet之间插入一个或几个中间系统的控制关联,防止通过网络进行攻击,并提供单一的安全和审计控制点,这些中间系统就是防火墙。 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制出入网络的信息流,而且本身具有较强的抗攻击能力。,计算机网络实用技术,8.3 常用网络安全技术,在逻辑上,防火墙是一个分离器,有效地监控内部网和Internet之间的任何活动,保证了内部网络的安全。防火墙技术是一种获取安全性的方法,有助于实施一个比较广泛的安全性策略,用以确定允许提供的访问和服务
17、。 防火墙可以是路由器,也可以是个人主机、主系统或多个主系统,专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关,如Internet连接的网关,也可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。,计算机网络实用技术,8.3 常用网络安全技术,1防火墙的类型 防火墙从原理上可分为包过滤(Packet Filtering)型和代理服务(Proxy Server)型。 (1)包过滤型防火墙根据数据分组中头部的某些标志性的字段对数据分组进行过滤。当数据分组到达防火墙时,防火墙根据分组头部对源地址、目的地址、协议类型、端口号、ICMP类型等
18、进行判断,决定是否接收该数据分组。 通过设置包过滤规则,可以阻塞来自或发送到特定地址的连接;从安全方面考虑,某组织的内部网可能需要阻塞所有来自外部站点的连接。但是包过滤防火墙的弱点在于其规则的复杂性,同时过于复杂的规则不容易进行测试。,计算机网络实用技术,8.3 常用网络安全技术,1防火墙的类型 (2)代理服务器型防火墙可以解决包过滤防火墙的规则复杂问题。 所谓代理服务,是指在防火墙上运行某种软件或程序。如果内部网需要与外部网通信,首先要建立与防火墙上代理程序的连接,然后把内部网的请求通过新连接发送到外部网相应的主机,反之亦然。内部网和外部网之间不能建立直接连接,而要通过代理服务进行转发。 一
19、个代理程序一般只能为某种协议提供代理服务,其他所有协议的数据分组都不能通过代理服务程序,这样就相当于进行了一次过滤,代理程序还有自己的配置文件,其中对数据分组的一些特征进行了过滤,这种过滤能力比纯粹的包过滤防火墙的功能要大得多。,计算机网络实用技术,8.3 常用网络安全技术,1防火墙的类型 (2)代理服务器型防火墙可以解决包过滤防火墙的规则复杂问题。 包过滤和代理服务防火墙结合使用可以有效地解决规则复杂问题。包过滤防火墙只需要让那些来自或发送到代理服务器的分组通过,其他分组简单丢弃。其他过滤由代理服务防火墙来完成。,计算机网络实用技术,8.3 常用网络安全技术,2防火墙的体系结构 (1)双穴网
20、关。它是包过滤防火墙的一种替代。与普通的包过滤防火墙一样,双穴网关也位于Internet与内部网之间,并通过两个网络接口分别与它们相连。但是,只有特定类型的协议才能被代理服务处理。于是,双穴网关实现了“默认拒绝”策略,可以得到很高的安全性。,计算机网络实用技术,8.3 常用网络安全技术,2防火墙的体系结构 (2)屏蔽主机型防火墙。这种防火墙其实是包过滤和代理服务功能的结合,其中代理服务器位于包过滤网关靠近内部网的一侧。代理服务器只安装一个网络接口,通过代理功能把一些服务传送到主机内部,通过包过滤功能把那些天生危险的协议过滤掉,不让其到达代理服务器。屏蔽主机型防火墙如图8-5所示。,计算机网络实
21、用技术,8.3 常用网络安全技术,2防火墙的体系结构,图8-5 屏蔽主机型防火墙,计算机网络实用技术,8.3 常用网络安全技术,2防火墙的体系结构 (3)屏蔽子网型防火墙。它是双穴网关和屏蔽主机型防火墙的变形。如图8-6所示,该系统中使用包过滤防火墙在内部网络和Internet之间隔离出一个屏蔽的子网,通常称为“非军事区(DMZ)”。代理服务器、邮件服务器、各种信息服务器、Modem池及其他需要进行访问控制的系统都放在DMZ区中。 与Internet连接的是“外部路由器”,只让与DMZ中的各服务器相关的数据分组通过,其他所有类型的数据分组都被丢弃,从而将Internet对DMZ的访问权限限定在
22、特定的服务器范围内。内部路由器的情况也是这样。,计算机网络实用技术,8.3 常用网络安全技术,2防火墙的体系结构,图8-6 屏蔽子网型防火墙,计算机网络实用技术,8.3 常用网络安全技术,8.3.2 VPN技术 虚拟专用网(VPN)是指在公用网络上建立专用网络的技术。使用该技术建立的虚拟网络在安全、管理及功能方面拥有与专用网络相似的特点,是原有专线式企业专用广域网的替代品。,计算机网络实用技术,8.3 常用网络安全技术,1VPN提供的功能 (1)数据加密,保证在公用网上传输信息不会被截取或识破。 (2)信息认证和身份认证,保证信息的完整、合法,并能鉴别用户的身份。 (3)提供访问控制,保证不同
23、用户有不同访问权限。,计算机网络实用技术,8.3 常用网络安全技术,2VPN的分类 (1)内部网VPN,在公司总部和它的分支机构间建立VPN。这是通过公用网将一个组织的各分支机构通过VPN连接而成的网络,是公司网络的扩展。当一个数据传输通道的两个端点认为是可信的时候,公司可以选择“内部网VPN”解决方案,其安全性主要在于加强加密和认证方法,如图8-7所示。大量数据经常需要通过VPN在局域网之间传递,可以把中心数据库或其他资源连接起来的各个局域网看成是内部网的一部分。,计算机网络实用技术,8.3 常用网络安全技术,2VPN的分类,图8-7 内部网VPN,计算机网络实用技术,8.3 常用网络安全技
24、术,2VPN的分类 (2)远程访问VPN,公司职员在外地或旅途中要和公司总部之间建立的VPN。如果一个职员在家里或旅途中要和公司的内部网建立一个安全连接,可以用“远程访问VPN”来实现,如图8-8所示。这个职员通过拨号连接ISP的网络访问服务器(Network Access Server,NAS),发出PPP连接请求,NAS收到请求后,在职员与NAS之间建立PPP链路。然后NAS对职员的身份进行验证,确定为合法用户后,启动远程访问的功能,与公司总部内部连接。,计算机网络实用技术,8.3 常用网络安全技术,2VPN的分类,图8-8 远程访问VPN,计算机网络实用技术,8.3 常用网络安全技术,2
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 实用技术 网络 管理 安全
链接地址:https://www.31doc.com/p-2992033.html