第 一 章 网络管理概论

网络监视中最重要的是性能监视 ，网络最主要的目标是向用户提供满意的服务，因 而面向服务的性能指标应具有较高的优先级。下面 前3个是面向服务的性能指标，后2个是面向效率的 性能指标。


1、可用性 可用性是指网络系统、网络元素或网络应用对用户 可利用的时间的百分比 用平均无故障时间MTBF（Mean Time Between Failure）来度量网络元素的故障率，则可用性A可 表示为MTBF的函数： 其中MTTR（Mean Time To Repair）为发生失效 后的平均维修时间。

3、对网络管理的安全威胁 对于网络管理特别有3方面的安全威胁值得提出： 伪装的用户 假冒的管理程序 侵入管理站和代理间的信息交换过程




1、安全信息的维护 对于安全信息的维护可以列出以下功能： 记录系统中出现的各类事件（例如用户登录、退出系统，文 件拷贝等） 追踪安全审计试验，自动记录有关安全的重要事件，例如非 法用户持续试验不同口令字企图登录等 报告和接收侵犯安全的警示信号，在怀疑出现威胁安全的活 动时采取防范措施，例如封锁被入侵的用户帐号，或强行停 止恶意程序的执行等 经常维护和检查安全记录，进行安全风险分析，编制安全评 价报告 备份和保护敏感的文件 研究每个正常用户的活动形象，预先设定敏感资源的使用形 象，以便检测授权用户的异常活动和对敏感资源的滥用行为

ISO管理 TCP/IP网络管理 RMON IEEE802.1b LAN/MAN管理

信息流被危害的各种情况： （a）信息从源到目标传送的正常情况。 （b）中断（interruption ） （c）窃取(interception) （d）篡改(modification) （e）假冒(fabrication)

2、对计算机网络的安全威胁 对硬件的威胁 对软件的威胁 对数据的威胁 对网络通信的威胁

然而对于大型网络，集中式管理往往显得力不从心， 正在让位于分布式的管理策略。这种向分布式管理 演化的趋势与集中式计算模型由向分布式计算模型 演化的总趋势是一致的。图1.3提出一种可能的分 布式网络管理配置方案。


系统要求每个被管理的设备都能运行代理程序，并 且所有管理站和代理都支持相同的管理协议。这种 要求有时是无法实现的。 通常的处理方法是用一个叫做委托代理的设备 (Proxy)来管理一个或多个非标准设备。



2、资源访问控制 访问控制服务的目的是保护各种网络资源，这些资 源中与网络管理有关的是： 安全编码 源路由和路由记录信息 路由表 目录表 报警门限 计费信息

3、加密过程控制 安全管理能够在必要时对管理站和代理之间交换的 报文进行加密。安全管理也能够使用其他网络实体 的加密方法。此外，这个功能还可以改变加密算法， 具有密钥分配能力。



吞吐率—利用率分布：各个网络结点发送/接收的总字 节数和数据字节数的统计 分组到达时间直方图：不同时间到达的分组数的统计 信道获取时间直方图：在网络接口单元（NIU）排队等 待发送、经过不同延迟时间的分组数的统计 通信延迟直方图：从发出原始分组到分组到达目标的延 迟时间的统计 冲突计数直方图：经受不同冲突次数的分组数的统计 传输计数直方图：经过不同试发送次数的分组数的统计 另外，还应包括功能全面的性能评价程序（对网络当前 的运行状态进行分析）和人工负载生成程序（产生性能 测试数据），帮助管理人员进行管理决策。




2、响应时间 响应时间是指从用户输入请求到系统在终端上返回 计算结果的时间间隔。 网络的响应时间由系统各个部分的处理延迟时间组 成，分解系统响应时间的成分对于确定系统瓶颈有 用。
TO SO WO
网络 网络接口设备（网桥） 工作站
WI TI
SI
服务器
CPU



3、正确性 这是指网络传输的正确性。 4、吞吐率 吞吐率是面向效率的性能指标，具体表现为一段时 间内完成的数据处理量，或接受用户会话的数量， 或处理呼叫的数量等。 5、利用率 利用率是指网络资源利用的百分率，它也是面向效 率的指标。

故障管理可分为3个功能模块： 故障检测和报警功能 故障预测功能 故障诊断和定位功能





计费监视主要是跟踪和控制用户对网络资源的使用， 并把有关信息存储在运行日志数据库中，为收费提 供依据。 需要计费的网络资源包括： 通信设施：LAN、WAN、租用线路或PBX的使用时 间 计算机硬件：工作站和服务器机时数 软件系统：下载的应用软件和实用程序的费用 服务：包括商业通信服务和信息提供服务（发送/ 接收的字节数）




收集到的性能参数组织成性能测试报告，以图形或表格 的形式呈现给网络管理员。对于局域网来说，性能测试 报告应包括： 主机对通信矩阵：一对源主机和目标主机之间传送的总 分组数、数据分组数、数据字节数以及它们所占的百分 比 主机组通信矩阵：一组主机之间通信量的统计，内容与 上一条类似 分组类型直方图：各种类型的原始分组（例如广播分组、 组播分组等）的统计信息，用直方图表示 数据分组长度直方图：不同长度（字节数）的数据分组 的统计



配置管理是指初始化、维护和关闭网络设备或子系 统。 配置管理应包含下列功能模块： 定义配置信息 设置和修改设备属性 定义和修改网络元素间的互联关系 启动和终止网络运行 发行软件 检查参数值和互联关系 报告配置现状

1、定义配置信息 配置信息描述网络资源的特征和属性，这些信息对 其他管理功能是有用的。网络资源包括物理资源 （例如主机、路由器、网桥、通信链路、Modem 等）和逻辑资源(例如定时器、计数器、虚电路等)



计费数据组成计费日志，其记录格式应包括下列信 息： 用户标识 连接目标的标识符 传送的分组数/字节数 安全级别 时间戳 指示网络出错情况的状态码 使用的网络资源

网络控制是指设置和修改网络设备的参数，使设备、 系统或子网改变运行状态、按照需要配置网络资源、 或者重新初始化等
管理信息库
被阻塞的呼叫数 丢失的分组数 传播时延 吞吐率 提取状态和事件变量
统计数据库
动态数据库
状态变量 事件变量 通过传感器收集数据
静态数据库 配置数据库 交换服务器缓冲区信息 工作站配置信息 路由器配置信息 传感器数据库 状态传感器 导出的状态传感器 事件传感器



对网络监控有用的管理信息可以分为3类： 静态信息：包括系统和网络的配置信息，例如路由 器的端口数和端口编号，工作站的标识和CPU类型 等，这些信息不经常变化。 动态信息：与网络中出现的事件和设备的工作状态 有关，例如网络中传送的分组数，网络连接的状态 等。 统计信息：即从动态信息推导出的信息，例如平均 每分钟发送的分组数，传输失败的概率等。


对于不同的网络，管理的要求和难度也不同。局域 网的管理是相对简单的 在TCP/IP网络中有一个简单的管理工具—Ping程序 国际标准化组织也推出了OSI系统管理标准 CMIS/CMIP 网络管理标准的成熟刺激了制造商的开发活动。市 场上已经出现了符合国际标准的商用网络管理系统。


1.2.1网络管理系统的层次结构

3、定义和修改关系 关系是指网络资源之间的联系、连接、以及网络资 源之间相互依存的条件，例如拓扑结构、物理连接、 逻辑连接、继承层次和管理域等

4、启动和终止网络运行 启动操作包括验证所有可设置的资源属性是否已正 确设置，如果有设置不当的资源，则要通知用户； 如果所有的设置都正确无误，则向用户发回肯定应 答。同时，关闭操作完成之前应允许用户检索设备 的统计信息或状态信息。


网络管理有5大功能域：即故障管理（Fault Management）、配置管理（Configuration Management）、计费管理（Accounting Management）、性能管理（Performance Management）和安全管理（Security Management），简写为F-CAPS 传统上性能、故障和计费管理属于网络监视功能， 另外两种属于网络控制功能。

有两种技术可用于代理和监视器之间的通信。一种 叫做轮询（Polling），一种叫做事件报告（Event Reporting）。

影响通信方式选择的主要因素如下： 传送监控信息需要的通信量 对危急情况的处理能力 对网络管理站的通信时延 被管理设备的处理工作量 消息传输的可靠性 网络管理应用的特殊性 在发送消息之前通信设备失效的可能性



2、设置和修改属性 配置管理允许管理站远程设置和修改代理中的管理 信息值，但是修改操作要受到两种限制： 只有授权的管理站才可以施行修改操作，这是网络 安全所要求的 有些属性值反映了硬件配置的实际情况，是不可改 变的

对配置信息的修改可以分为3种类型： 只修改数据库 修改数据库，也改变设备的状态 修改数据库，同时引起设备的动作
管理站 OSI/RM 应用层 网络管理应用 表示层 会话层 传输层 代理系统 被管理的资源 协议支持 操作系统 硬 件 网络层 数据链路层 物理层
网络管理框架
网络管理站
服务器 （代理）
NMA NME 应用 通信 OS
NME 应用
通信 OS
网络
NME 应用
NME
通信 OS 工作站 （代理）
通信 OS 网络设备 （代理）

5、发行软件 配置管理还提供向端系统（主机、服务器和工作站 等）和中间系统（交换机、路由器和应用网关等） 发行软件的功能，即给系统装载指定的软件，更新 软件版本和配置软件参数等功能