念行立即被删除。
8.简述SNMPv3体系结构的特点。 [解答]
SNMPv3通过简明的方式实现了加密和验证功能。SNMPv3结构是由分布的、相互连接的SNMP实体组成。每一个实体可以作为一个代理节点、管理器节点或代理和管理器的混合节点。
SNMPv3实体通常由一SNMP引擎和一个或多个相关联的应用组成。应用主要有:命令产生器、通知接收器、代理转发器、命令响应器、通知始发器和一些其他的应用。 RFC 2271定义的SNMPv3体系结构,体现了模块化的设计思想,SNMP引擎和它支持的应用被定义为一系列独立的模块。SNMP实体的功能由所在实体的多个模块决定,每个实体仅仅是模块的不同组合,每个模块具有相对独立性,当改进或替换某一模块时,不会影响整个结构,这样可以简单地实现功能的增加和修改。
作为SNMP实体核心的SNMP引擎用于发送和接受消息、鉴别消息、对消息进行解密和加密以及控制对被管对象的访问等功能。
SNMPv3可运用于多种操作环境,可根据需要增加、替换模块和算法,具有多种安全处理模块,有极好的安全性和管理功能,既弥补了前两个版本在安全方面的不足,同时又保持了SNMPv1和SNMPv2易于理解、易于实现的特点。
9.SNMPv3引擎有什么功能,包括哪几部分? [解答]
SNMPv3中将管理站和代理的实体称做SNMP实体(SNMP Entity)。实体是体系结构的一种实现,由一个SNMP引擎(SNMP Engine)和一个或多个有关的SNMP应用(SNMP Application)组成。
SNMP引擎提供三项服务:发送和接收报文;认证和加密报文;控制对管理对象的访问。 SNMP引擎有唯一的标识snmpEngineID,这个标识在一个上层管理域中是无二义性的。由于SNMP引擎和SNMP实体具有一一对应的关系,因而snmpEngineID 也是对应的SNMP 实体的唯一标识。
SNMP 引擎具有复杂的结构,它包含一个调度器、一个报文处理子系统、一个安全子系统以及一个访问控制子系统。一个SNMP引擎只有一个调度器,它可以并发地处理多个版本的SNMP 报文。报文处理子系统由一个或多个报文处理模块组成,每一个报文处理模块定义了一种特殊的SNMP报文格式,它的功能是按照预定的格式准备要发送的报文,或者从接收的报文中提取数据。安全子系统提供安全服务,一个安全子系统可以有多个安全模块,以便提供各种不同的安全服务。安全子系统由安全模型和安全协议组成。每一个安全模块定义了一种具体的安全模型,说明它可以防护的安全威胁、它提供安全服务的目标和使用的安全协议。而安全协议则说明了用于提供安全服务的机制、过程以及MIB对象。目前的标准提供了基于用户的安全模型。访问控制子系统通过访问控制模块提供授权服务,即确定是否允许访问一个管理对象,或者是否可以对某个管理对象实施特殊的管理操作。每个访问控制模块定义了一个具体的访问决策功能,用以支持对访问权限的决策。在应用程序的处理过程中,访问控制模块还可以通过已定义的MIB模块进行远程配置访问控制策略。SNMPv3定义了基于视图的访问控制模型。
10.SNMPv3在安全方面做了哪些改进? [解答]
SNMPv3针对SNMPv2的最大改进主要在安全性和管理能力两个方面。SNMPv3采用User-based安全模型和View-based访问控制模型提供SNMP网络管理的安全性,并利用加密的方式来避免信息的泄漏。
SNMPv3在安全性方面的改进主要有3点:
1、SNMP的数据报文将被使用DES加密来避免信息的非法泄漏; 2、SNMP管理端与SNMP Agent通讯时必须要通过认证(authenticated)来保证身份的正确性、信息的完整性合信息的合时性(timeliness); 3、SNMP Agent实现了User-base和View-base访问控制模型,访问控制可以精确到数据级别,并且更加灵活利于控制。
习 题 6
1.简述RMON的概念。RMON是如何工作的? [解答]
通常用于监视整个网络通信情况的设备叫做网络监视器、网络分析器或探测器。监视器观察LAN上出现的每个分组,并进行统计和总结,给管理人员提供重要的管理信息。监视器还能存储部分分组,供以后分析用。监视器也根据分组类型进行过滤并捕获特殊的分组。通常每个子网配置一个监视器并与中央管理站通信,因此也称其为远程监视器。监视器可以是一个独立设备,也可以是运行监视器软件的工作站或服务器等。RMON监视器或探测器实现RMON管理信息库。这种系统与通常的SNMP代理一样包含一般的MIB。另外还有一个探测器进程,提供与RMON有关的功能。探测器进程能够读写本地的RMON数据库,并响应管理站的查询请求,所以也把RMON探测器称为RMON代理。
2.简述RMON1各个组的功能和结构。 [解答]
RMON MIB定义了10个组,存储在每一组中的信息都是监视器从一个或几个子网中统计和收集的数据。
(1) 统计组。针对以太网,该组提供一个表,该表每一行表示一个子网的统计信息。其中的大部分对象是计数器,记录监视器从子网上收集到的各种不同状态的分组数。针对令牌环网,在统计组增加了两个表:tokenRingMLStatsTable和tokenRingPstatsTable。前者统计令牌环中各种MAC控制分组,后者统计各种数据分组。
(2) 历史组。针对以太网,存储的是以固定间隔取样所获得的子网数据。该组由历史控制表和历史数据表组成。控制表定义被取样的子网接口编号、取样间隔大小以及每次取样数据的多少,而数据表则用于存储取样期间获得的各种数据。针对令牌环网,扩展了历史组,定义了两个新的历史表:tokenRingMLHistoryTable和tokenRingPHistoryTable。
(3) 主机组收集新出现的主机信息,其内容与接口组相同。
(4) 最高N台主机组记录某种参数最大的N台主机的有关信息,这些信息的来源是主机组。在一个取样间隔中收集到的一个子网上的一个主机组变量数据集合叫做一个报告。可见,报告是针对某个主机组变量的,是该变量在取样间隔中的变化率。最高N台主机组提供的是一个子网上某种变量变化率最大的N台主机的信息,这个组包含一个控制表和一个数据表。
(5) 矩阵组记录子网中一对主机之间的通信量,信息以矩阵的形式存储。
(6) 警报组定义了一组网络性能的门限值,超过门限值时向控制台产生报警事件。 (7) 过滤组提供一种手段,使得监视器可以观察接口上的分组,通过过滤选择出某种指定的特殊分组。过滤组由filterTable和channelTable两个控制表组成。
(8) 包捕获组建立一组缓冲区,用于存储从通道中捕获的分组。这个组由控制表和数据表组成。
(9) 事件组的作用是管理事件。事件是由MIB中其他地方的条件触发的,事件也有触发其他地方的作用。该组分为两个表:事件表和log表。
(10) 针对令牌环网,增加了一个新的tokenRing组,这个组包含环站组、环站顺序组、环站配置组、环源路由组4个子组。
3.RMON1和RMON2的区别和联系是什么? [解答]
(1) 二者MIB不同。RMON1 MIB只能存储MAC层管理信息。RMON2监视OSI/RM第3~7层的通信,能对数据链路层以上的分组进行译码。这使得监视器可以管理网络层协议,包括IP,因此能了解分组的源和目标地址,能知道路由器负载的来源,使得监视的范围扩大到局域网之外。RMON2扩充了原来的 RMON MIB,增加了9个新的功能组,分别是协议目录组、协议分布组、地址映像组、网络层主机组、网络层矩阵组、应用层主机组、应用层矩阵组、用户历史组、监视器配置组。
(2) 在功能方面,RMON2引入了外部对象索引、时间过滤器索引两种与对象索引有关的新功能,增强了 RMON2的能力和灵活性。
4.RMON2新增了哪些功能?它们的作用是什么? [解答]
RMON2新增了两个索引,分别是: 1.外部对象索引
在SNMPvl管理信息结构的宏定义中,没有说明索引对象是否必须是被索引表的列对象。在SNMPv2的SMI中,已明确指出可以使用不是概念表成员的对象作为索引项。在这种情况下,必须在概念行的 DESCRIPTION子句中给出文字解释,说明如何使用这样的外部对象唯一地标识概念行实例。RMON2采用了这种新的表结构,经常使用外部对象索引数据表,以便把数据表与对应的控制表结合起来。
2.时间过滤器索引
网络管理应用需要周期地轮询监视器,以便得到被管理对象的最新状态信息。为了提高效率,用户希望监视器每次只返回那些自上次查询以来改变了的值。SNMPv1和 SNMPv2 中都没有直接解决这个问题的方法。然而RMON2的设计者却给出了一种新颖的方法,在 MIB的定义中实现了这个功能,这就是用时间过滤器进行索引。
5.试根据矩阵组定义的管理对象设计一个显示网络会话的工具。 [解答] (略)
习 题 7
1.什么是网络管理系统? [解答]
网络管理系统是用来管理网络、保障网络正常运行的软、硬件组合,是在网络管理平台基础上实现的各种网络管理功能的集合,功能包括配置管理、性能管理、故障管理、安全管理和计费管理等。任何网络管理系统无论其规模大小,基本上都由支持网络管理协议的网络管理系统软件(平台)和网络设备组成。网络管理系统是以提高网络服务质量为目标,以保证网络安全运行为前提,以管理网络事件为中心的网络服务质量管理体系。
2.结合第1章内容,描述常见的网络管理系统结构。
[解答]
在网络管理中,一般采用管理者-管理代理的模型,网络管理模型的核心是一对相互通信的系统管理实体。它采用一个独特的方式使两个管理进程之间相互作用,即管理进程与一个远程系统相互作用,来实现对远程资源的控制。
现代网络管理系统是由以下4个要素组成:网络管理者(也称网络管理站,管理进程)、管理代理、网络管理协议、管理信息库。网络管理者是管理指令的发出者,它可以自动或按用户规定去轮询被管理设备中某些变量的值,被管设备中的管理代理对这些轮询进行响应,或在接收到被管理设备的告警信息后采取一定的措施。管理代理负责管理指令的执行,并且以通知的形式向网络管理者报告被管对象发生的一些重要事件。管理代理具有两个基本功能:一是从MIB中读取各种变量值;二是在MIB中修改各种变量值。MIB是被管对象结构化组织的一种抽象,它是一个概念上的数据库,由管理对象组成,各个管理代理管理MIB中属于本地的管理对象,各管理代理控制的管理对象共同构成全网的管理信息库。网络管理协议是最重要的部分,它定义了网络管理者和管理代理间的通信方法,规定了管理信息库的存储结构、信息库中关键词的含义以及各种事件的处理方法。
3.网络管理系统具有哪些主要特点? [解答]
网络管理系统具备以下特点:
(1)具有全面监控网络性能的能力。 (2)具有主动和预警管理的功能。 (3)支持全网联动。
(4)具有对资源进行有效管理的能力。 (5)服务质量管理。
4.通过访问Internet,了解目前网络管理软件(平台)的发展动态。
[解答] (请读者使用搜索引擎自行检索,关键字可使用“网络管理系统”、“网络管理软件”、“网络管理平台”等,也可自行检索7.2节中各网管平台的信息,关键字为该(软件)平台的名字)