思维导图
网络监控
网络管理功能可分为网络监视和网络控制两大部分,统称网络监控。网络监视是指收集系统和子网的状态信息,分析被管理设备的行为,以便发现网络运行中存在的问题。网络控制是指修改设备参数或重新配置网络资源,以便改善网络的运行状态。
网络监控要解决的问题如下:
- 管理信息的定义:监视哪些管理信息,从哪些被管理资源获得管理信息;
- 监控机制的设计:如何从被管理资源得到需要的信息;
- 管理信息的应用:根据收集到的管理信息实现什么管理功能。
网络监控系统
管理信息
对网络监控有用的管理信息可以分为 3 类:
| 信息类型 | 说明 |
|---|---|
| 静态信息 | 系统和网络的配置信息,如路由器的端口数和端口编号,工作站的标识和 CPU 类型等,这些信息不常变化 |
| 动态信息 | 与网络中出现的事件和设备的工作状态有关,如网络中传送的分组数,网络连接的状态等 |
| 统计信息 | 即从动态信息推导出的信息,例如平均每分钟发送的分组数,传输失败的概率等 |
管理信息库
管理信息库的结构如下图所示,其中传感器是一组软件,用于实时地读取被管理设备的有关参数。传感器数据库和配置数据库组成静态数据库,静态数据库由网络元素直接产生。动态信息通常也是由产生有关事件的网络元素收集和存储的,统计信息可以由任何能够访问动态信息的系统产生。
监控系统的配置
监控系统的配置如图所示,其中各个模块功能如下。其中监视器的状态和行为对整个网络监控系统的性能起决定作用,因而监视器也应该时刻监视自身的通信情况。
| 模块 | 功能 |
|---|---|
| 监控应用程序 | 运行于管理站,用户接口,提供性能监视、故障监视和计费监视等功能 |
| 管理功能 | 运行于管理站,与代理进程通信,向监控应用程序提供监控信息 |
| 代理功能 | 将管理对象的信息提供给管理站 |
| 管理对象 | 存在于代理,被监控的网络资源中的管理信息 |
可以在体系结构中加入监控代理功能,这个模块可以对集中对管理信息进行计算和统计分析,将结果提供给管理站。
通信机制
对监视器有用的管理信息是由代理收集和存储的,代理和监视器之间的通信方式有 2 种,分别是轮询和事件报告。
轮询
轮询是一种请求-响应式的交互作用,即由监视器向代理发出请求询问它所需要的信息数值,代理响应监视器的请求从管理信息库中返回请求的信息给监视器。
事件报告
事件报告是由代理主动发送给管理站的消息,代理可以根据管理站的要求定时地发送状态报告,也可能在检测到某些特定事件或非正常事件时生成事件报告。
网络监视
性能监视
性能监视指对网络管理有用的性能参数进行监视,但是不容易准确测量,主要的原因有以下 3 点:
- 性能指标多,有些难测量,有些计算量大;
- 有些未得到制造商的支持,无法从现有的设备上检测到;
- 有些性能指标互相关联,要互相参照才能说明问题。
面向服务的性能指标
面向服务的性能指标指优先保障面向服务的性能指标,主要有有效性、响应时间和可用性。
可用性
可用性指网络系统、元素或应用对用户可用时间的百分比,是网络元素可靠性的表现。可用性 A 可表示为 MTBF 的函数:
| 变量 | 解释 |
|---|---|
| MTBF | 平均无故障时间 |
| MTTR | 平均维修时间 |
可靠性除了与各个元素的可靠性有关,还与网络元素的组织形式有关。假设有两台很烂的交换机串联,它们的可用性均为 0.5,链路中其他部分的可用性均为 1。在串联的情况下,只有 2 台交换机都可用整条链路才是通的,可以算出可用性 A = 0.5 × 0.5 = 0.25。在并联的情况下,仅在两台都断整条链路才断,可以算出可用性 A = 2 × 0.5 - 0.5 × 0.5 = 1 - 0.25 = 0.75。
响应时间
响应时间指从用户输入请求到系统在终端上返回结果的时间间隔,响应时间越短,实现代价越大。从用户角度看,这个时间要和人们的思考时间(等于两次输入之间的最小间隔时间)配合,越是简单的工作(例如数据录入)要求响应时间越短。网络中的总时延由发送时延、传播时延、处理时延和排队时延 4 种时延相加计算得出,在总时延中究竟是哪一种时延占主导地位,必须具体分析才能得知。
正确性
正确性指网络传输的正确性,由于网络中有内置的纠错机制,所以通常用户不必考虑数据传输是否正确。但是监视传输误码率可以发现瞬时的线路故障,以及是否存在噪声源和通信干扰,以便及时采取维护措施。
面向效率的性能指标
面向效率的性能指标指向用户提供满意的服务,主要有吞吐率和利用率。吞吐率是面向效率的性能指标,具体表现为一段时间内完成的数据处理量,或接受用户会话的数量,或处理呼叫的数量等。
利用率是网络资源利用的百分率,当负载增加时资源利用率提高,但是当负载太大时利用率下降。
故障监视
故障监视就是要尽快地发现故障,找出故障原因,以便及时采取补救措施。在复杂的系统中,发现和诊断故障是不容易的。故障管理可分为以下 3 个功能模块:
- 故障检测和报警:故障监视代理要随时记录系统岀错的情况和可能引起故障的事件,并把这些信息存储在运行日志数据库中,并用轮询或者事件报告反馈给管理站;
- 故障预测:对各种可以引起故障的参数建立门限值并随时监视参数值变化,一旦超过门限值就发送警报;
- 故障诊断和定位:对设备和通信线路进行测试,找出故障原因和故障地点。
计费监视
计费监视是跟踪和控制用户对网络资源的使用,记录相关信息于日志数据库中,为收费提供依据。根据计费策略不同,需要采集的信息也不同。
网络控制
配置控制
网络控制是指配置和修改网络设备的参数,使设备、系统或子网改变运行状态,按照需要配置网络资源或者重新初始化等。配置管理应包含下列功能模块:
| 功能模块 | 功能 |
|---|---|
| 定义配置信息 | 描述网络资源的特征和属性 |
| 设置和修改属性 | 允许管理站远程设置和修改代理中的管理信息值 |
| 定义和修改关系 | 定义和修改网络资源之间的联系 |
| 启动和终止网络运行 | 启动和关闭网路和子网的操作 |
| 发行软件 | 给系统装载软件、更新软件和配置软件参数的功能 |
| 检查参数值和互联关系 | 配置监视功能 |
| 报告配置现状 | 配置监视功能 |
最后两项属于配置监视功能,即管理站通过轮询随时访问代理保存的配置信息,或者代理通过事件报告及时向管理站通知配置参数改变的情况。
安全控制
安全威胁的类型
计算机和网络需要以下 3 方面的安全性:
- 保密性:计算机网络中的信息只能由授予访问权限的用户读取;
- 数据完整性:计算机网络中的信息资源只能被授予权限的用户修改;
- 可用性:具有访问权限的用户在需要时可以利用网络资源。
所谓对计算机网络的安全威胁,就是破坏了这3方面的安全性要求。通常从源到目标的信息流动的各个阶段都可能受到威胁,大致有如下情况:
| 安全威胁 | 说明 |
|---|---|
| 正常流动 | 信息从源到目标传送的正常情况 |
| 中断 | 通信被中断,信息变得无用或者无法利用 |
| 窃取 | 未经授权的入侵者访问了网络信息 |
| 篡改 | 未经授权的入侵者不仅访问了信息资源,而且篡改了信息 |
| 假冒 | 未经授权的入侵者在网络信息中加入了伪造的内容 |
对计算机网络的安全威胁
对计算机网络的安全威胁主要有四种,分别是对硬件的威胁、对软件的威胁、对数据的威胁、对网络通信的威胁:
- 对硬件的威胁:主要是破坏系统硬件的可用性,例如有意或无意地损坏、甚至盜窃网络器材等;
- 对软件的威胁:操作系统、实用程序和应用软件可能被改变、被损坏、甚至被恶意删除,从而不能工作失去可用性;
- 对数据的威胁:数据可能被非法访问,破坏了保密性,数据可能被恶意修改或者假冒,破坏了完整性;数据文件可能被恶意删除,破坏了可用性;
- 对网络通信的威胁:被动威胁窃取传输信息,破坏保密性。主动威胁改变/伪造信息流、拒绝服务攻击等,破坏完整性和可用性。
对网络管理的安全威胁
对于网络管理主要有 3 方面的安全威胁:
- 伪装用户:没有得到授权的用户企图访问网络管理应用和管理信息;
- 假冒的管理程序:无关的计算机系统可能伪装成网络管理站实施管理功能;
- 侵入管理站和代理间的信息交换过程:网络入侵者通过观察网络活动窃取了敏感的管理信息、篡改管理信息或中断管理站和代理之间的通信。
安全控制的管理
网络的安全控制由一系列安全服务和安全机制的集合组成:
- 安全信息的维护:网络管理中的安全管理**是指保护管理站和代理之间信息交换的安全。有关安全的管理对象包括密钥、认证信息、访问权限信息以及有关安全服务和安全机制的操作参数的信息等安全。管理要跟踪进行中的网络活动和试图发动的网络活动,以便检测未遂的或成功的攻击并挫败这些攻击,恢复网络的正常运行。
- 资源访问控制:访问控制服务包括认证服务和授权服务,以及对敏感资源访问授权的决策过程,目的是保护各种网络资源;
- 加密过程控制:安全管理能够在必要时对管理站和代理之间交换的报文进行加密。
参考资料
《计算机网络管理(第三版)》雷震甲 编著,西安电子科技大学出版社