网络管理与优化.ppt

第7章 网络管理与优化,实用网络工程技术,7.1 网络管理概述,7.1.1 网络管理的作用网络管理技术是伴随着计算机、网络和通信技术的发展而发展的，二者相辅相成。从网络管理范畴来分类，可分为对网“路”的管理。即针对交换机、路由器等主干网络进行管理；对接入设备的管理，即对内部PC、服务器、交换机等进行管理；对行为的管理。即针对用户的使用进行管理；对资产的管理，即统计IT软硬件的信息等。根据国际标准化组织（ISO）定义网络管理有五大功能：故障管理、配置管理、性能管理、安全管理、计费管理。对网络管理软件产品功能的不同，又可细分为五类，即网络故障管理软件，网络配置管理软件，网络性能管理软件，网络服务/安全管理软件，网络计费管理软件。,实用网络工程技术,7.1.2 网络管理的内容,（1）网络故障管理。（2）网络配置管理。（3）网络性能管理。（4）网络安全管理。（5）网络计费管理。,实用网络工程技术,7.1.3 网络管理的相关技术,（1）以分布管理为基础，设定某个或者某些节点为网络管理节点，指定专人负责，赋予他较高的权限，对网络中其他节点进行监控。（2）部分集中，部分分布。在网络中，处理能力较强的计算机节点按分布式管理模式配置，它们相互之间协同配合，保证网络的基本运行。同时又设定专门的网络管理节点，实行对全网的监控和对重要网络设备的管理。（3）联邦式管理。经常在一些大型的跨地区、跨部门的要求互不干涉、通过各部门网络管理协调解决全局问题的网络中使用。（4）分级管理。适用于内部关系为从属关系的网络，如银行系统。,实用网络工程技术,7.2 简单网络管理协议,7.2.1 SNMP协议的版本1.SNMPv1SNMPv1是SNMP协议的一个版本，在目前流行的管理代理数据库中，它的应用范围很广，但这个版本的SNMP协议还存在几个问题。首先，该版本缺少坚固的安全机制，限制了它的进一步应用；因此，为了最大限度的减小安全风险，许多厂商限制了设置管理代理的操作项目。其次，SNMPv1无法处理大量信息，这也影响了SNMPv1框架体系的应用。第三，SNMPv1中明确定义了网络管理员和管理代理之间的关系，即管理代理的作用很简单，它只是机械地接受上级管理系统的命令。这一点大大限制了SNMPv1的应用，特别是在需要智能化的管理代理来实现分布方式的网络管理时。总的来说，SNMPv1对外提供如下项目：基本的网络管理框架体系，MIB-II数据库标准的定义，协议数据单元（PDUProtocol Data Units）的定义，ASN.1编码语言的描述。,实用网络工程技术,2.SNMPv2SNMPv2的管理信息结构（SMI）在几个方面对SNMPv1的SMI进行了扩充。定义对象的宏中包含了一些新的数据类型。最引人注目的变化是提供了对表中的行进行删除或建立操作的规范。新定义的SNMPv2 MIB包含有关SNMPv2协议操作的基本流量信息和有关SNMPv2管理者和代理者的配置信息。在通信协议操作方面，最引人注目的变化是增加了两个新的PDUGetBulkRequest 和 InformRequest。前者使管理者能够有效地提取大块的数据，后者使管理者能够向其他管理者发送trap信息。,实用网络工程技术,3.SNMPv3SNMPv3,简单网络管理协议第3版,与前两种版本相比，SNMPV3 中增加了安全管理方式及远程控制。SNMPV3 结构引入了基于用户的安全模型用于保证消息安全及基于视图的访问控制模型用于访问控制（USM）。这种安全管理方式支持不同安全性，访问控制及消息处理等模式的并发使用，其具体说明如下：安全性 认证和隐私 授权和访问控制 管理框架 实体命名 人员和政策 用户名及密钥管理 通知目标文件 代理关系 SNMP 中的远程配置 SNMPV3 使用 SNMP SET 命令配置 MIB 对象，使之能动态配置 SNMP 代理。这种动态配置方式支持本地或远程地配置实体的添加、删除及修改。,实用网络工程技术,7.2.2 SNMP协议命令,Set：它是一个特权命令，因为可以通过它来改动设备的配置或控制设备的运转状态。Get：它是SNMP协议中使用率最高的一个命令，因为该命令是从网络设备中获得管理信息的基本方式。Trap：它的功能就是在网络管理系统没有明确要求的前提下，由管理代理通知网络管理系统有一些特别的情况或问题发生了。,实用网络工程技术,一条SNMP报文由三个部分组成：版本域（version field），分区域（community field）SNMP协议数据单元（PDU）域（SNMP protocol data unit field）。与TCP/IP协议不同，SNMP数据包的长度不是固定的，它由ASN.1决定。图7-1是基本的SNMP结构。Version（版本域）：这个域用于说明现在使用的是哪个版本的SNMP协议。目前，version 1是使用最广泛的SNMP协议。Community name（分区域）：分区（community）是基本的安全机制，用于实现SNMP网络管理员访问SNMP管理代理时的身份验证。分区名（Community name）是管理代理的口令，管理员被允许访问数据对象的前提就是网络管理员知道网络代理的口令。如果把配置管理代理成可以执行Trap命令，当网络管理员用一个错误的分区名查询管理代理时，系统就发送一个autenticationFailure trap报文。Protocol Data Unit（协议数据单元域）：SNMPv1 PDU有五种类型，有些是报文请求（Request），有些则是响应（Response）。它们包括：GetRequest、GetNextRequest、SetRequest、GetResponse、Trap。SNMPv2又增加了两种PDU：GetBulkRequest、InformRequest。,实用网络工程技术,1.GetRequestGetRequest PDU是SNMP管理员软件或应用程序发布的PDU，其作用是获得某个管理代理的MIB数据对象信息。图7-2表示的是GetRequest数据包的格式，它包括以下域：PDU Type：说明此PDU的类型是GetRequest。Request-id：这是专用的标识符，SNMP管理员可以利用它来匹配报文请求PDU和响应PDU。使用非可靠传输服务时，也可借助它来查寻报文复件。Variable-Binding：管理员请求报文的MIB数据对象列表。,实用网络工程技术,2.GetNextRequestGetNextRequest PDU和GetRequest PDU类似，其数据包格式和图4-5显示的格式完全相同。不过，GetNextRequest PDU还是有一点不同之处：它主要用于查询未知的MIB结构树中的数据对象。在探索管理代理的MIB结构时，GetNextRequest命令特别有用。为什么连SNMP管理员都不知道某些管理代理的MIB结构呢？这是因为SNMP协议没有提供一种直接的方式来确定哪个MIB是可用的。3.SetRequestSetRequest命令用于修改MIB数据对象的值。它的数据包的格式与GetRequest、GetNextRequest完全相同。与后两条命令不同的是，SetRequest命令用于修改MIB数据对象的值。正如前面提到的那样，SetRequest命令的执行需要有安全性方面的特权，目前SNMPv1协议借助分区名来实现安全管理。,实用网络工程技术,4.GetResponseSNMP的各项命令中，除Trap命令外，每条命令都接收管理代理的响应GetResponse。图7-3是GetResponse数据包的格式，它包括以下几个域：图7-5 GetResponse报文的格式PDU Type：说明此PDU的类型是GetResponse。Request-id：这是专用的标识符，可以利用它来匹配报文请求PDU和响应PDU。Error-status：该项用于说明，在处理报文请求的过程中，有异常情况发生。Error-index：该项用于说明，有错误产生时，是Variable-Binding列标中的哪一个数据对象引起错误。Variable-Bindings：这个域是本次命令操作中涉及到的数据对象列表。,实用网络工程技术,5.TrapTrap是管理代理向网络管理系统主动发送的一种报文，它是重要网络事件或网络状态的异步通知。Trap PDU与SNMP协议定义的其它种类的PDU不同，图7-6是Trap数据包的格式。不同于其它种类的SNMP PDU，它不要求接受信息的网络返回响应信息。Trap数据包包括以下几个域：PDU Type：说明此PDU的类型是Trap。Enterprise：该项包含发送方管理代理的MIB数据对象sysObjectID。这个数据对象是有关trap发送方管理代理的厂商信息。Agent-address：这项是发送方管理代理的IP地址。Generic-trap：这项是预先设定的trap值，其取值范围是表中列出的各项。Specific-trap：这项是有关该trap的更加详细的信息。除Generic-trap一项为enterpriseSpecific型trap外，这项的内容都是0。Time-stamp：这项是从上一次初始化设备到发送这个trap之间的时间，它的单位是十分之一毫秒。Variable-Binding：这项是与Trap相关的厂商特定信息。,实用网络工程技术,6.GetBulkRequest这种PDU是SNMPv2管理员软件为减少网络交换过程而发布的，它允许管理代理返回大容量（相对于GetNextRequest或GetRequest命令而言）的数据包，因此也就提高了从管理代理处获得大量数据对象信息的效率。这种PDU的数据包格式与大多数SNMPv1命令的PDU相同。唯一不同之处是它把Error-status域和Error-index域（指Response PDU）重新命名，新域名分别是non-repeaters和max-repetitions这两个域：Non-repeaters：每次能访问的MIB数据对象的最大数目。Max-repetitions：其它MIB数据对象能够被访问的最大次数。7.InformRequestInformRequest PDU是由起管理员作用的SNMPv2组件向其它同样作用的SNMPv2组件发布的，它用于提供网络管理信息。这种PDU的主要功能在于它可以提供分布式的SNMP管理功能。因此，管理代理能够通过这种PDU提供管理类的服务和功能。这种PDU的数据包格式与GetRequest 及其它相关的PDU相同。,实用网络工程技术,8.SNMP协议的响应代码SNMPv1管理代理返回的错误代码非常有限。例如，如果SNMP管理员发出设置MIB数据对象的报文请求，但管理代理却不能执行这条命令，于是管理代理返回错误代码noSuchName。而SNMPv2协议提供了更多的错误代码，在上面那种情况下，管理代理返回错误代码notWritable。表7-1,7-2列出了SNMP V1,V2协议所有的响应代码。,表7-2 SNMP v1协议的响应代码,实用网络工程技术,案例1 Windows Server 2003环境下SNMP的配置（略）案例2 Cisco网络设备的SNMP配置参考,1.配置IP地址交换机要能够被网管，必须给它标识一个管理IP地址，默认情况下CISCO交换机的VLAN 1为管理VLAN，为该VLAN配上IP 地址，交换机就可以被网管了。命令如下：(1)进入全局模式:Switch#configure terminal(2)进入VLAN 1接口模式:Switch(config)#interface vlan 1(3)配置管理IP地址:Switch(config-if)#ip2.打开SNMP协议(1)进入全局模式:Switch#configure terminal(2)配置只读的Community，产品默认的只读Community名为public Switch(config)#snmp-server community public ro(3)配置可写的Community，产品默认的可写Community名为private Switch(config)#snmp-server community private rw3.更改SNMP的Community密码(1)将设备分组，并使能支持的各种SNMP版本 Switch(config)#snmp-server group wjpnet v1Switch(config)#snmp-server group wjpnet v2c Switch(config)#snmp-server group wjpnet v3 noauth(2)分别配置只读和可写community 如：Switch(config)#snmp-server community wjpnet ro Switch(config)#snmp-server community wjpnet rw4.保存交换机配置 Switch#copy run start,实用网络工程技术,7.3 集群技术,服务器群集技术的特点如下：（1）高度的可用性：群集被设计具有避免单点故障发生的能力。应用程序能够跨计算机进行分配，以实现并行运算与故障恢复，并提供更高的可用性。（2）可伸缩性：服务器群集技术可以通过在现有系统上增加服务器来进行扩展，增加的服务器将与原有的服务器紧密地集成在一起，为客户端提供高性能的应用服务。（3）易管理性：群集以单一系统映射的形式来面向最终用户、应用程序及网络，同时，也为管理员提供单一的控制点，而这种单一控制点则可能是远程的。Microsoft 服务器提供了三种支持群集的技术：网络负载平衡(NLB)、组件负载平衡(CLB)和 Microsoft 群集服务(MSCS)。,实用网络工程技术,1.网络负载平衡(NLB)网络负载平衡(NLB)充当前端群集，用于在整个服务器群集中分配传入的IP流量，它是为Web站点实现增量可伸缩性和出色可用性的理想选择。NLB通过在群集内的多个服务器之间分配其客户端请求来增强可伸缩性。随着流量的增加，可以向群集添加更多的服务器，任何一个群集最多可容纳 32 个服务器。NLB最多可以将 32 个运行 Windows Server 2003 系列产品的计算机连接在一起共享一个虚拟 IP 地址。NLB 在为用户提供连续服务的同时还提供了高可用性，即自动检测服务器故障，并在 10 秒内在其余服务器中重新分配客户端流量。2.组件负载平衡组件负载平衡（CLB）可以在多个运行站点业务逻辑的服务器之间分配负载。它在最多包含八个等同服务器的服务器群集中实现了COM+组件的动态平衡。在CLB中，COM+组件位于单独的、COM+群集中的服务器上。激活COM+组件的调用是平衡到COM+群集中的不同服务器的负载。CLB通过作用于多层群集网络的中间层与NLB和群集服务配合工作。CLB是作为Application Center 2000的特性提供的，可与Microsoft 群集服务在同一组计算机上运行。3.群集服务群集服务(MSCS)充当后端群集，可为数据库、消息传递以及文件和打印服务等应用程序提供高可用性。当任一节点（群集中的服务器）发生故障或脱机时，MSCS 将尝试最大程度地减少故障对系统的影响。,实用网络工程技术,案例3 基于Windows Server 2003的集群服务器配置,1.安装前准备2服务安装3创建集群,实用网络工程技术,7.4 负载均衡技术,（1）软/硬件负载均衡。软件负载均衡解决方案，是指在一台或多台服务器相应的操作系统上，安装一个或多个附加软件来实现负载均衡，如DNS 负载均衡等。它的优点是基于特定环境、配置简单、使用灵活、成本低廉，可以满足一般的负载均衡需求。硬件负载均衡解决方案，是直接在服务器和外部网络间安装负载均衡设备，这种设备我们通常称之为负载均衡器。由于专门的设备完成专门的任务，独立于操作系统，整体性能得到大量提高，加上多样化的负载均衡策略，智能化的流量管理，可达到最佳的负载均衡需求。一般而言，硬件负载均衡在功能、性能上优于软件方式，不过成本昂贵。（2）本地/全局负载均衡。负载均衡从其应用的地理结构上，分为本地负载均衡和全局负载均衡。本地负载均衡是指对本地的服务器群做负载均衡，全局负载均衡是指在不同地理位置、有不同网络结构的服务器群间做负载均衡。本地负载均衡能有效地解决数据流量过大、网络负荷过重的问题，可充分利用现有设备，避免服务器单点故障造成数据流量的损失。有灵活多样的均衡策略，可把数据流量合理地分配给服务器群内的服务器，来共同负担。全局负载均衡，主要用于在一个多区域拥有自己服务器的站点，为了使全球用户只以一个IP地址或域名就能访问到离自己最近的服务器，从而获得最快的访问速度，也可用于子公司分散站点分布广的大公司通过Intranet来达到资源统一合理分配的目的。,实用网络工程技术,网络负载均衡的优点:（1）网络负载均衡允许你将传入的请求传播到最多达32台的服务器上。网络负载均衡技术保证即使是在负载很重的情况下它们也能作出快速响应。（2）网络负载均衡对外只须提供一个IP地址（或域名）。（3）如果网络负载均衡中的一台或几台服务器不可用时，服务不会中断。网络负载均衡自动检测到服务器不可用时，能够迅速在剩余的服务器中重新指派客户机通讯。此保护措施能够帮助你为关键的业务程序提供不中断的服务。可以根据网络访问量的增多来增加网络负载均衡服务器的数量。（4）网络负载均衡可在普通的计算机上实现。案例4 Windows2003负载平衡的配置（略）,实用网络工程技术,7.5 常见网络管理软件,1.网络设备管理系统网络设备管理系统主要是针对网络设备进行监测、配置和故障诊断开发的网络管理软件。网管系统的主要功能有自动拓扑发现、远程配置、性能参数监测、故障诊断等。网管系统可以由通用软件供应商开发，一般的硬件设备厂商都开发自己产品的管理软件。目前通用软件供应商开发的网络设备管理系统，比较流行的有Openview、Micromuse、Concord等。比较流行的设备厂商网管软件有Ciscoworks2000、Netsight，国内的有Linkmanage、Imanager等。2.应用性能管理系统应用性能管理系统是一个比较新的网络管理方向，它主要指对企业的关键业务应用进行监测、优化，提高企业应用的可靠性和质量的网络管理系统。应用性能管理主要用于监测企业关键应用性能，快速定位应用系统性能故障，优化系统性能。目前市场上比较流行的应用性能管理产品有BMC、Tivoli Application Performance Management、Veritas(Precise)的i3系列产品、Quest系列产品、Topaz。国内主要是Siteview产品。,实用网络工程技术,3.桌面管理系统桌面管理系统是对计算机及其组件管理的网络管理软件。通过桌面管理系统,一方面减少了网管员的劳动强度，另一方面增加系统维护的准确性、及时性。这类系统通常由管理端和客户端两部分构成。目前市场上比较流行的桌面管理系统有Caunicenter、Landesk，国内的由Netinhand、Landesk Management Suite 7等。4.员工行为管理系统员工行为管理系统包括两部份，一部分是员工网上行为管理EIM，另一部分是员工桌面行为监测。员工行为管理系统一般在internet应用层、网络层对信息控制，对数据根据EIM数据库进行过滤；定制因特网访问策略，根据用户、团组、部门、工作站或网络设置不同的因特网访问策略。目前市场上比较流行的员工行为管理系统产品有Websense，国内的Netmanage、聚生网管等。5.网络安全管理系统网络安全管理系统指保障合法用户对资源安全访问，防止并杜绝黑客蓄意攻击和破坏的网络管理系统软件。它包括授权设施、访问控制、加密及密钥管理、认证和安全日志记录等功能。目前市场上比较流行的网络安全管理系统包括入侵监测系统IDS和防火墙。比较流行的防火墙有Check Point、Netscreem、Cisco Pix等。入侵监测系统有ISS公司的Realsecure、AXENT的ITA、ESM，以及NAI的Cybercopmonitor等。,实用网络工程技术,7.5.1 Ciscoworks 2000网管软件,1.局域网管理系统LMS局域网管理系统（LMS）是CiscoWorks 2000网络管理系列产品之一。它为局域网提供了配置、管理、监控、故障检测与维修工具，同时还包括了用于管理局域网交换和路由环境的应用软件。LAN管理解决方案可用于管理关键服务和链路的日常运行。2.路由广域网管理系统RWANCisco路由WAN（RWAN）管理解决方案对CiscoWorks2000产品系列进行了扩展，能够提供一组功能强大的管理应用，对一个路由广域网（WAN）进行配置、管理、监视和故障诊断。RWAN管理解决方案增加了网络行为的可视性，能够帮助用户快速确定性能瓶颈以及性能的长期趋势，并提供早期检测功能，以优化带宽及其在网络中多个费用高昂而又关键的链路之间的分配。CiscoWorks2000提供的RWAN管理系统是有效监视WAN链路并度量设备、用户和服务之间响应时间的能力的重要工具。路由广域网管理系统RWAN包括访问控制列表（ACL）管理器、互联网性能监视器（IPM）、nGenius实时监视器（RTM）、资源管理器要件（RME）、CiscoView、CiscoWorks2000管理服务器六大模块。,实用网络工程技术,案例5 CISCOWORKS 2000网管软件的安装和使用,1.Cisco Works 2000的安装环境设置2.安装Cisco Works 20003.Cisco Works 2000的使用,实用网络工程技术,7.5.2 Solar winds 2002网管软件,SolarWinds 2002 Engineers Edition 是由SolarWinds公司开发的一款功能强大的网络管理工具。SolarWinds 2002主要包括如下几个模块：（1）思科工具（Cisco Tools）（2）IP地址管理（IP Address Management Tools）：（3）管理信息库浏览（MIB Browser Tools）：（4）混合(杂合)工具（Miscellaneous Tools）：（5）网络发现（Network Discovery Tools）：（6）网络监视（Network Monitoring Tools）：（7）网络性能监视（Network Performance Management Tools）：（8）PING和诊断工具（Ping&Diagnostic Tools）：（9）安全性工具（Security Tools）：,实用网络工程技术,案例6 Solar winds 2002网管软件的使用,1.PING和TRACEROUTE扫描2.网络监视配置3.Router CPU的配置和管理4.ROUTER的带宽管理 5.设备MIB扫描6.安全检查案例7 聚生网管软件的安装和基本配置（略）,实用网络工程技术,7.5.4 美萍网管大师,美萍网管大师是郑州美萍网络技术有限公司出品的面向网吧基本计费管理的网络管理软件，要进行该软件管理的客户机器需要安装美萍电脑安全卫士，通过在一台服务器上安装美萍网管大师即可实现对所有安装了美萍电脑安全卫士的客户机的计费维护和管理作用。案例8 美萍网管大师的使用（略）,实用网络工程技术,本章小结,本章首先介绍了网络管理的作用、内容及其相关技术；其次，着重介绍了SNMP协议，并详细列举了在Windows 2003 Server下SNMP的配置及Cisco网络设备的SNMP配置方法；再次，简要介绍了集群技术和负载均衡技术，详细说明了基于Windows Server 2003的集群器配置方法以及Windows 2003负载平衡的配置；最后介绍了常见的网络管理软件，如CISCOWORKS 2000 网管软件、Solar winds 2002网管软件、聚生网管软件和美萍网管大师等的安装、配置和使用方法等。,