5、网络控制
网络配置管理:是指初始化、维护和关闭网络设备或子系统。
配置管理的作用:设置网络参数的初始值/默认值,使网络设备初始化时自动形成预定的互联关系。当网络运行时,配置管理监视设备的工作状态,并根据用户的配置命令或其他管理功能的请求改变网络配置参数。
配置管理包含的功能模块:定义配置信息、设置和修改设备属性、定义和修改网络元素间的互联关系、启动和终止网络运行、发行软件、检查参数值和互联关系、报告配置现状。 定义配置信息:配置信息描述描述网络资源的特征和属性。网络资源包括物理资源和逻辑资源。物理资源有主机、路由器、网桥、通信链路和Modem等;逻辑资源有定时器、计数器和虚电路等。 配置信息的存储方式访问方法:管理信息存储在被管理设备最接近的代理或委托代理中,管理站通过轮询或时间报告访问这些信息。 设置和修改设备属性:
定义和修改网络元素间的互联关系: 启动和终止网络运行:
发行软件:给系统装载制定软件、更新软件版本和配置软件参数等; 可以提供的功能:1、装载可执行软件 2、下载驱动设备工作数据表 3、提供人工修改路由表的用户接口 计算机网络的安全需求:保密性、数据完整性和可用性;
危害网络信息流的各种安全威胁:中断、窃取、窜改和假冒;
中断:通信被中断,信息变得无用或无法利用,对可用性的威胁;
窃取:未经授权的入侵者访问了网络信息,对保密性的威胁;
窜改:未经授权的入侵者不仅访问了信息资源,而且窜改了信息,对数据完整性的威胁; 假冒:未经授权的入侵者在网络信息中加入了伪造的内容,对数据完整性的威胁;
对计算机网络安全威胁:对硬件威胁、对软件威胁、对数据威胁和对网络通信威胁; 对网络管理安全威胁:伪装的用户、假冒的管理程序、侵入管理站和代理间的信息交换过程。 安全信息维护:(功能及实现方法:)
资源访问控制:一种重要的安全服务就是访问控制服务,包括认证服务和授权服务,以及对敏感资源访问授权的决策过程。 目的是保护各种网络资源。这些资源与网络管理有关的是:安全编码、源路由和路由记录信息、路由表、目录表、报警门限和计费信息。 加密过程控制:安全管理能够在必要时对管理站和代理之间交换的报文进行加密。这个功能可以改变加密算法,具有密钥分配能力。 6、网络管理标准
国际标准化组织制定的OSI系统管理标准的组成:
TCP/IP网络管理标准的发展情况:
各种网络管理标准的开发现状和适用范围:、
第二章 抽象语法表示 ASN.1
1、 网络数据表示
表示层功能:提供统一的网络数据表示。(在互相通信的端系统中至少有一个应用实体,如FTP、TELNET、SNMP,和一个表示实体,如ASN。1) 应用实体:
(应用协议按照预先定义的抽象语法构造协议数据单元,用于和对等系统的应用实体交换信息。) 表示实体:定义了应用数据的抽象语法
抽象语法:类似于通常程序设计语言定义的抽象数据类型。(一种抽象语法可以选择不止一种传输语法。)
传输语法:把抽象语法变换成比特串的编码规则叫做传输语法。 2、 ASN.1基本概念
ASN.1文本约定:及ASN.1书写规则
1、 书写布局是无效的,多个空格和空行等效于一个空格;
2、 用于表示值和字段的标识符、类型指针和模块名由大小写字母、数字和短线组成。 3、 标识符以小写字母开头;
4、 类型指针和模块名以大写字母开头;
5、 ASN.1定义的内部类型全部用大写字母表示; 6、 关键字全部用大写字母表示;
7、 注释以一对短线(——)开始,以一对短线或行尾结束; 抽象数据类型:简单类型、构造类型、标签类型和其他类型;
简单类型:由单一成分构成的原子类型; 构造类型:两种以上成分构成的构造类型; 标签类型:由已知类型定义的新类型;
其它类型:CHOICE和ANY两种类型;两种没有标签的类型,值是未定的,类型也是未定
的,当这种类型的变量被赋值时,才确定;
CHOICE是可选类型的一个表,仅其中一个类型可以被采用,产生一个值; ANY类型表示任意类型的任意值;
标签类型:通用类型universal——适用于任何类型;
应用标签application——由某个具体应用定义的类型;
上下文专用标签——在文本的一定范围中适用; 私有标签private——用户定义的标签; 用简单类型表示结构性数据的一般方法:
ASN.1定义的各种通用类型:
对象标识符类型(OBJECT IDENTIFIER)的构成形式:
ASN.1定义各种简单类型的定义及其应用:
各种标签的用法:APPLICATION、IMPLICIT、EXPLICIT、上下文专用标签
集合类型与序列类型的区别及实际应用:
子类型:子类型是由限制父类型的值集合而导出的类型,所有子类型的值集合时父类型的子集。(子类型还可以再产生子类型。)
构造子类型的各种方法:1、单个值:列出子类型可取的各个值;2、包含子类型:关键词includes,说明被定义的类型包含了已有类型的所有值;3、值区间:只能应用于整数和实数类型,指出子类型可取值的区间,区间可以使闭区间或开区间,开区间加<符号;4、可用字符:只能用于字符串类型,限制可使用的字符集;5、限制大小:可以对5种类型限制其规模大小;6、内部子类型:可用于序列、集合和CHOICE类型
3、 基本编码规则
基本编码规则结构:基本编码规则把ASN.1表示的抽象类型值编码为字节串,这种字节串的结构为类型—长度---值,(TLV)。
★用TLV规则表示简单类型方法:P32——P34
★对标签值和长度字段扩充方法:P34
4、 ASN.1宏定义
ASN.1定义模块方法:
Exports ——指明该模块可以出口的部分
Imports ——指明该模块需要引用的其它类型和值 assignmentList ——包含模块定义的所有类型、值和宏定义 end
宏表示:ASN.1提供的一种表示机制,用于定义宏;
宏定义:用宏表示定义的一个宏,代表一个宏实例的集合;
宏实例:用具体的值代替宏定义中的变量而产生的实例,代表一种具体的类型; ASN.1的宏定义结构:
Begin
Type notation ::=
Macroname是宏名字,并须全部大写。宏定义由类型表示、值表示和支持产生式3部分组成。最后一部分是任选的。
由宏定义得到宏实例的方法:用具体的值代替宏定义中的变量而产生。P37
第三章 管理信息库MIB-2
1、 SNMP的基本概念
TCP/IP协议簇中主要协议:传输层TCP、UDP和互联层IP、 ICMP; (四层:应用层、传输层、互联层和网络接口层)
TCP/IP协议层次与OSI分层原则的不同:
a、 TCP/IP协议簇允许同层协议实体之间相互作用,从而实现复杂的控制功能; b、 允许上层过程直接调用不相邻的下层过程; c、 有些高层协议中,控制信息和数据分别传输,而不是共享同一协议数据单元;
TCP协议:TCP是端系统之间的协议,功能是保证端系统之间可靠的发送和接收数据,并给应用进程提供访问端口。
IP协议:互联网的所有端系统和路由器都必须实现IP协议,主要功能是根据全网唯一的地址把数据从源主机搬运到目的主机。
TCP/IP协议簇中PDU参数:PDU——协议数据单元;
帧头 IP数据报
当一个主机中的应用程序选择传输服务为其传输数据时,以下各层实体分别加上该层协议的控制信息,形成协议数据单元。反之,当IP地址到达目标网络目标主机后由下层协议实体逐层向上提交,沿着相反的方向一层一层剥掉协议控制信息,最后把数据交给应用层接收进程。
SNMP配置框架:internet中,对网络、设备和主机的管理叫做网络管理,网络管理信息存储在管理信息库MIB中。 SNMP由两部分组成:一部分是管理信息库结构的定义,另一部分是访问管理信息库的协议规范; 陷入制导:
作用:为了使管理站能够及时而有效的对被管理设备进行监控,同时又不过分增加网络的通信负载。
轮询过程:a、启动时,或每隔一定时间用Get操作轮询一遍所有代理,以便得到某些关键的信息,或基本的性能统计参数。
b、,管理站就停止轮询,而由代理进程负责在必要时向管理站报告异常事件。
c、得到异常事件报告后,管理站可以查询有关代理,以便得到更具体的信息,对事件的原因做进一步分析。
TCP/IP网络管理框架定义和规范文件:最初的网络管理框架由4个文件定义。
RFC1155定义了管理信息结构(SMI),SMI说明怎样定义管理对象和怎样访问管理对象; RFC1212说明了定义MIB模块的方法; RFC1213定义MIB-2管理对象的核心集合,这些管理对象是任何SNMP系统必须实现的; RFC1157是SNMPv1协议的规范性文件。
IP报头 TCP/UDP头 应用程序数据 应用程序数据 TCP段/UDP数据报