自考計算機網(wǎng)絡(luò)管理串講筆記

計算機網(wǎng)絡(luò)管理串講筆記

第1章網(wǎng)絡(luò)管理概論

1.1網(wǎng)絡(luò)管理的基本概念

［本節(jié)要點］網(wǎng)絡(luò)管理的基本概念、網(wǎng)絡(luò)管理的需求及網(wǎng)絡(luò)管理的目

標(biāo)。

［選擇］在TCP/IP網(wǎng)絡(luò)中有一個簡單的管理工具，用它來發(fā)送探測

報文，可以確定通信目標(biāo)的聯(lián)通性及傳輸時延。這個管理工具是Ping

程序。

［選擇］國際標(biāo)準(zhǔn)化組織的英文縮寫是ISO。

［選擇］OSI標(biāo)準(zhǔn)采用面向?qū)ο蟮哪Ｐ投x管理對象。

1.2網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)

［本節(jié)要點］網(wǎng)絡(luò)管理系統(tǒng)的體系結(jié)構(gòu)、層次結(jié)構(gòu)、配置和網(wǎng)絡(luò)管理

軟件的結(jié)構(gòu)；管理站和代理的基本概念及其功能與作用；網(wǎng)絡(luò)管理系

統(tǒng)的層次結(jié)構(gòu)與OSI參考模型的關(guān)系；分布式網(wǎng)絡(luò)管理系統(tǒng)的特點；

委托代理的概念。

［填空］用戶通過網(wǎng)絡(luò)管理接口與管理專用軟件交互作用，監(jiān)視和控

制網(wǎng)絡(luò)資源。

［填空］網(wǎng)絡(luò)管理軟件包括用戶接口、管理專用軟件和管理支持軟件。

［簡述］網(wǎng)絡(luò)管理中被管理的硬件資源：

(1)物理介質(zhì)和聯(lián)網(wǎng)設(shè)備：包括物理層和數(shù)據(jù)鏈路層聯(lián)網(wǎng)設(shè)備。很

多LAN產(chǎn)品，如集線器、中繼器等，也包含協(xié)議適配器、交換機等

通信設(shè)備。

(2)計算機設(shè)備：包括處理機、打印機和存儲設(shè)備以及其他計算機

外圍設(shè)備。

(3)網(wǎng)絡(luò)互聯(lián)設(shè)備：如網(wǎng)橋、路由器、網(wǎng)關(guān)等。

［選擇］在網(wǎng)絡(luò)管理站中最下層是操作系統(tǒng)和硬件。

［選擇］非標(biāo)準(zhǔn)設(shè)備需要通過委托代理來管理。

［簡述］各種網(wǎng)絡(luò)管理框架的共同特點：

(1)管理功能分為管理站(Manager)和代理(Agent)兩部分。

(2)為存儲管理信息提供數(shù)據(jù)庫支持，例如關(guān)系數(shù)據(jù)庫或面向?qū)ο?/p>

的數(shù)據(jù)庫。

(3)提供用戶接口和用戶視圖(View)功能，例如GUI和管理信息瀏

o

(4)提供基本的管理操作，例如獲取管理信息。

［簡述］集中式網(wǎng)絡(luò)管理和分布式網(wǎng)絡(luò)管理的區(qū)別及其各自的優(yōu)缺

點：

在集中式網(wǎng)絡(luò)管理中，處于中心位置的是擔(dān)當(dāng)管理站的網(wǎng)絡(luò)控制主

機，它負(fù)責(zé)對整個網(wǎng)絡(luò)進行統(tǒng)一控制和管理，網(wǎng)絡(luò)控制主機定期向網(wǎng)

絡(luò)中其它結(jié)點發(fā)送查詢信息，與之進行相關(guān)信息交換。而分布式網(wǎng)絡(luò)

管理中，分布式管理系統(tǒng)代替了單獨的網(wǎng)絡(luò)控制主機。集中式的優(yōu)點

是網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)較簡單，容易實現(xiàn)，管理人員可以有效地控制整

個網(wǎng)絡(luò)資源，優(yōu)化網(wǎng)絡(luò)性能。缺點是可擴展性差，對于大型網(wǎng)絡(luò)力不

從心。分布式的優(yōu)點是網(wǎng)絡(luò)管理的響應(yīng)時間更快，性能更好。缺點是

管理和維護比較復(fù)雜。

［簡述］委托代理：在集中式和分布式網(wǎng)絡(luò)管理系統(tǒng)中，每個被管理

的設(shè)備都要能運行代理程序，并且所有管理站和代理都支持相同的管

理協(xié)議。當(dāng)有設(shè)備不能滿足以上兩點之一的時候，稱之為非標(biāo)準(zhǔn)設(shè)備。

對非標(biāo)準(zhǔn)設(shè)備，通常是用一個叫委托代理的設(shè)備來管理。委托代理和

管理站之間運行標(biāo)準(zhǔn)的網(wǎng)絡(luò)管理協(xié)議，和被管理設(shè)備之間運行制造商

專用的協(xié)議。

［簡述］網(wǎng)絡(luò)管理系統(tǒng)的層次結(jié)構(gòu)圖：

［選擇］管理支持軟件包括：MIB訪問模塊和通信協(xié)議棧。

［選擇］網(wǎng)絡(luò)管理系統(tǒng)的管理功能分為管理站和代理兩部分。

［填空］在網(wǎng)絡(luò)管理標(biāo)準(zhǔn)中，網(wǎng)絡(luò)層以上的協(xié)議都稱為應(yīng)用層協(xié)議。

［填空］網(wǎng)絡(luò)中至少有一個結(jié)點擔(dān)當(dāng)管理站的角色，除NME之外，

管理站中還有一組軟件，叫做網(wǎng)絡(luò)管理應(yīng)用。

［填空］用于網(wǎng)絡(luò)管理的協(xié)議包括SNMP、CMIP等。

［選擇］大型網(wǎng)絡(luò)中，分布式是管理的趨勢。

1.3網(wǎng)絡(luò)監(jiān)控系統(tǒng)

［本節(jié)要點］網(wǎng)絡(luò)監(jiān)控系統(tǒng)的配置及通信機制，網(wǎng)絡(luò)監(jiān)控系統(tǒng)功能及

構(gòu)成，輪詢和事件報告機制的區(qū)別及其實現(xiàn)方法。

［選擇］網(wǎng)絡(luò)監(jiān)控主要解決的問題是對管理信息的定義、監(jiān)控機制的

設(shè)計、管理信息的應(yīng)用。

［選擇］由代理主動發(fā)送給管理站消息，這種通信機制叫做事件報告。

［選擇］網(wǎng)絡(luò)系統(tǒng)的可靠性與各個網(wǎng)絡(luò)元素的可靠性和網(wǎng)絡(luò)元素的組

織形式有關(guān)。

［填空］根據(jù)ISO網(wǎng)絡(luò)管理標(biāo)準(zhǔn)體系的規(guī)定，配置管理是用來支持網(wǎng)

絡(luò)服務(wù)的連續(xù)性而對管理對象進行的定義、初始化、控制、鑒別和檢

測，以適應(yīng)系統(tǒng)的要求。

［選擇］代理和監(jiān)視器之間有兩種通信機制：一種叫做輪詢；一種叫

做事件報告。

［選擇］管理站收集信息的手段是輪詢。

［簡述］MIB：指管理信息庫，對網(wǎng)絡(luò)監(jiān)控有用的管理信息?？梢苑?/p>

為3類：

（I）靜態(tài)信息：包括系統(tǒng)和網(wǎng)絡(luò)的配置信息。

（2）動態(tài)信息：與網(wǎng)絡(luò)中出現(xiàn)的事件和設(shè)備的工作狀態(tài)有關(guān)。

（3）統(tǒng)計信息：即從動態(tài)信息推導(dǎo)出的信息。

［簡述］輪詢：輪詢是一種請求一響應(yīng)式的交互作用，即由監(jiān)視器向

代理發(fā)出請求，詢問它所需要的信息值，代理響應(yīng)監(jiān)視器的請求，從

它所保存的管理信息庫中取得請求的信息，返回給監(jiān)視器。

事件報告：事件報告是由代理主動發(fā)送給管理站的信息。代理可以根

據(jù)管理站的要求（周期、內(nèi)容等）定時地發(fā)送狀態(tài)報告，也可以在檢

測到某些特定事件〔例如，狀態(tài)改變）或非正常事件時生成事件報告，

發(fā)送給管理站。

［選擇］網(wǎng)絡(luò)管理功能分為網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)控制兩個部分。

［選擇］對網(wǎng)絡(luò)監(jiān)控有用的管理信息包括靜態(tài)信息、動態(tài)信息、統(tǒng)計

信息、。

［選擇］監(jiān)控應(yīng)用程序是監(jiān)控系統(tǒng)的用戶接口，它主要完成：性能監(jiān)

視、故障監(jiān)視、計費監(jiān)視等任務(wù)。

［填空］傳感器是一組軟件，用于實時地讀取被管理設(shè)備的有關(guān)參數(shù)。

［選擇］靜態(tài)數(shù)據(jù)庫包含配置數(shù)據(jù)庫和傳感數(shù)據(jù)庫。

1.4網(wǎng)絡(luò)監(jiān)視

［本節(jié)要點］網(wǎng)絡(luò)監(jiān)視的組成，網(wǎng)絡(luò)服務(wù)可利用性的定義和計算方法,

故障管理的功能模塊。

［簡述］網(wǎng)絡(luò)性能管理的主要性能指標(biāo)及其含義：

（1）可用性：指網(wǎng)絡(luò)系統(tǒng)、元素、或應(yīng)用對用戶可利用的時間的百

分比。

（2）響應(yīng)時間：指從用戶輸入請求到系統(tǒng)在終端上返回計算結(jié)果的

時間間隔。

（3）正確性：網(wǎng)絡(luò)傳輸?shù)恼_性。

（4）吞吐率：面向效率的指標(biāo)，表現(xiàn)為一段時間內(nèi)完成的數(shù)據(jù)處理的

數(shù)量，或接受用戶會話的數(shù)量，或處理的呼叫數(shù)量。

（5）利用率：指網(wǎng)絡(luò)資源利用的百分比。

［簡述］網(wǎng)絡(luò)管理的功能域：

網(wǎng)絡(luò)管理有5大功能域，分別是性能管理、故障管理、計費管理、配

置管理和安全管理。性能管理、故障管理、計費管理屬于網(wǎng)絡(luò)監(jiān)視功

能，而安全管理、配置管理屬于網(wǎng)絡(luò)控制功能。

［選擇］對于一個局域網(wǎng)來說，網(wǎng)絡(luò)中各個設(shè)備的行為和有關(guān)的數(shù)據(jù)

可以由連接在網(wǎng)絡(luò)中的一個專用主機來收集和記錄，這個主機是遠(yuǎn)程

網(wǎng)絡(luò)監(jiān)視器。

［填空］在網(wǎng)絡(luò)管理中，面向效能的一個性能指標(biāo)，具體表現(xiàn)為一段

時間內(nèi)完成的數(shù)據(jù)處理的數(shù)量，或接受用戶會話的數(shù)量，或處理的呼

叫的數(shù)量，這個指標(biāo)是吞吐率。

［填空］線路的數(shù)據(jù)傳輸率為32（）0b/s,如果輸入一條含200個字符

的命令，則輸入命令的延遲時間是0.5s。

［填空］計算機網(wǎng)絡(luò)管理任務(wù)分為用戶管理、配置管理、性能管理、

故障管理、計費管理、安全管理和其他網(wǎng)絡(luò)管理功能。

［簡述］故障監(jiān)視的作用及功能：

所謂故障就是出現(xiàn)大量或者嚴(yán)重錯誤需要修復(fù)的異常情況，例如由于

終端死機、線路中斷等無法通信的情況。故障監(jiān)視就是要盡快地發(fā)現(xiàn)

故障，找出故障原因，以便及時采取補救措施。

故障管理可分為3個功能模塊：

（1）故障檢測和報警功能。

（2）故障預(yù)測功能。

（3）故障診斷和定位功能。

［選擇］當(dāng)相對負(fù)載（負(fù)載/容量）增加到一定程度時，會導(dǎo)致響應(yīng)

時間迅速增長。

［選擇］網(wǎng)絡(luò)故障管理功能包括：故障檢測和報警、故障預(yù)測、故障

診斷和定位。

［選擇］性能管理中，對網(wǎng)絡(luò)管理有用的性能指標(biāo)包括：面向服務(wù)的

性能指標(biāo)和面向效率的性能指標(biāo)。

［選擇］需要計費的網(wǎng)絡(luò)資源包括計算機硬件、通信設(shè)施、軟件系統(tǒng)、

服務(wù)。

1.5網(wǎng)絡(luò)控制

［本節(jié)要點］網(wǎng)絡(luò)控制的組成，網(wǎng)絡(luò)配置管理的基本概念，配置管理

包含的功能模塊，計算機網(wǎng)絡(luò)的安全需求，危害網(wǎng)絡(luò)信息流動的安全

威脅。

［填空］對計算機網(wǎng)絡(luò)的安全威脅主要有中斷、竊取、竄改、假冒。

［選擇］在計算機網(wǎng)絡(luò)中，信息資源只能由授予訪問權(quán)限的用戶讀取,

這種安全需求稱為保密性。

［簡述］配置管理的作用及功能：

配置管理的作用包括確定設(shè)備的地理位置、名稱和有關(guān)細(xì)節(jié)，記錄并

維護設(shè)備參數(shù)表；用適當(dāng)?shù)能浖O(shè)置參數(shù)值和配置設(shè)備功能；初始化、

啟動、關(guān)閉網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備；維護、增加、更新網(wǎng)絡(luò)設(shè)備以及調(diào)整網(wǎng)

絡(luò)設(shè)備之間的關(guān)系等。配置管理可分為7個功能模塊:

（1）定義配置信息。

（2）設(shè)置和修改設(shè)備屬性。

（3）定義和修改網(wǎng)絡(luò)元素間的互聯(lián)關(guān)系。

（4）啟動和終止網(wǎng)絡(luò)運行。

（5）發(fā)行軟件。

（6）檢查參數(shù)值和互聯(lián)關(guān)系。

（7）報告配置現(xiàn)狀。

［填空］網(wǎng)絡(luò)管理中的安全管理是指保護管理站和代理之間信息交換

的安全。

［選擇］計算機網(wǎng)絡(luò)受到的安全威脅主要包括對計算機和網(wǎng)絡(luò)的保密

性、數(shù)據(jù)完整性和可用性的破壞。

［填空］網(wǎng)絡(luò)控制指的是設(shè)置和修改網(wǎng)絡(luò)設(shè)備的參數(shù)，使設(shè)備、系統(tǒng)

和子網(wǎng)改變運行狀態(tài)、按照需要配置網(wǎng)絡(luò)資源，或者重新初始化。

［簡述］計算機和網(wǎng)絡(luò)需要的安全性：

（1）保密性：計算機中的信息只能由授予訪問權(quán)限的用戶讀?。ò?/p>

顯示、打印等，也包含暴露信息存在的事實）。

（2）數(shù)據(jù)完整性：計算機系統(tǒng)中的信息資源只能被授予權(quán)限的用戶

修改。

（3）可用性：具有訪問權(quán)限的用戶在需要時可以利用計算機網(wǎng)絡(luò)中

的信息資源。

［選擇］對計算機網(wǎng)絡(luò)的安全威脅包括：對硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)

通信的威脅。

［選擇］網(wǎng)絡(luò)管理的安全威脅包括：偽裝的用戶、假冒的管理程序、

侵入管理站和代理間的信息交換過程。

［簡述］信息流被危害的情況：

(1)中斷：通信被中斷，信息變得無用或者無法利用，這是對可用

性的威脅。(2)竊?。何唇?jīng)過授權(quán)的入侵者訪問了網(wǎng)絡(luò)信息資源，這

是對保密性的威脅:(3)竄改：未經(jīng)授權(quán)的入侵者不僅訪問了信息資

源，而且竄改了信息，這是對數(shù)據(jù)完整性的威脅。(4)假冒：未經(jīng)授

權(quán)的入侵者在網(wǎng)絡(luò)信息中加入了偽造的內(nèi)容，這也是對數(shù)據(jù)完整性的

威脅。

［選擇］網(wǎng)絡(luò)安全的保密性指的是計算機中的信息只能由授予訪問權(quán)

限的用戶讀取。

第2章抽象語法表示ASN.1

2.1網(wǎng)絡(luò)數(shù)據(jù)表示

［本節(jié)要點］網(wǎng)絡(luò)數(shù)據(jù)的表示及表示層的功能。

［選擇］表示層的功能是提供統(tǒng)一的網(wǎng)絡(luò)數(shù)據(jù)表示。

［填空］抽象語法用于定義應(yīng)用數(shù)據(jù)，它類似于通常程序設(shè)計語言定

義的抽象數(shù)據(jù)類型。

［選擇］傳輸語法是一種編碼規(guī)則，作用是把抽象數(shù)據(jù)變成比特串在

網(wǎng)絡(luò)中傳送。

2.2ASN.1的基本概念

［本節(jié)要點］ASN.1的基本概念，抽象數(shù)據(jù)類型。

［填空］在ASN.1的定義里，構(gòu)造類型有序列和集合兩種。

［填空］在ASN.1中，每個數(shù)據(jù)類型都有一個標(biāo)簽。

［選擇］標(biāo)簽的類型分為通用標(biāo)簽、應(yīng)用標(biāo)簽、上下文標(biāo)簽、私有標(biāo)

簽。

［選擇］ASN.1定義的數(shù)據(jù)類型包括：簡單類型、構(gòu)造類型、標(biāo)簽類

型、其他類型。

［簡述］ASN.1：ASN.1是一種形式語言，它提供統(tǒng)一的網(wǎng)絡(luò)數(shù)據(jù)表

示，通常用于定義應(yīng)用數(shù)據(jù)的抽象語法和應(yīng)用層協(xié)議數(shù)據(jù)單元的結(jié)

構(gòu)。在網(wǎng)絡(luò)管理中，無論是OSI的管理信息結(jié)構(gòu)，或是SNMP管理

信息庫，都是用ASN.1定義的。

［填空］SEQUENCE(OF)是構(gòu)造類型。

2.3基本編碼規(guī)則

［本節(jié)要點］基本編碼規(guī)則及編碼方法；基本編碼規(guī)則的結(jié)構(gòu)；用

TLV規(guī)則表示簡單類型的方法及對標(biāo)簽值和長度字段擴充的方法。

［填空］基本編碼規(guī)則把ASN.1表示的抽象類型值編碼為字節(jié)串，

這種字節(jié)串的結(jié)構(gòu)為類型-長度-值。例如：基本編碼規(guī)則可將字節(jié)串

值A(chǔ)CE編碼為0402ACE0。

［填空］ASN.1表示的抽象類型值編碼為字節(jié)串時，編碼的第一個字

節(jié)表示ASN.1類型或用戶定義類型，第三位用于區(qū)分簡單類型和構(gòu)

造類型。例如：按編碼規(guī)則，十進制數(shù)256的編碼為02020100,比

特串10111的編碼為()302()3B8,字節(jié)串ABC的編碼為0402ABC0。

［簡述］基本編碼規(guī)則中需要擴充字段的情況：

一是當(dāng)標(biāo)簽值大于30時類型字節(jié)需要擴充，二是當(dāng)值部分大于一個

字節(jié)的表示范圍時長度字節(jié)需要擴充。對標(biāo)簽值的擴充方法為：用5

位表示。?30的編碼，當(dāng)標(biāo)簽值大于等于31時，這位置全1,作為

轉(zhuǎn)義符，實際的標(biāo)簽值編碼表示在后續(xù)字節(jié)中，后續(xù)字節(jié)的左邊第一

位表示是否為最后一個擴充字節(jié)，只有最后一個擴充字節(jié)的左邊第一

位置()，其余擴充字節(jié)左邊第一位置1.對長度字節(jié)的擴充方法是：小

于127的數(shù)用長度字節(jié)的右邊7位表示，最左邊的一位置0,大于等

于127的數(shù)用后續(xù)若干字節(jié)表示，原來的長度字節(jié)第一位置1,其余

7位指明后續(xù)用于表示長度的字節(jié)數(shù)。

［簡述］ASN.1的基本編碼規(guī)則：

基本編成規(guī)則是把ASN.1表示的抽象類型值編碼成為字節(jié)串，這種

字節(jié)串的結(jié)構(gòu)為類型一長度一值，簡稱TLV。編成的第一個字節(jié)表示

ASN.1類型或用戶定義的類型，其前兩位用于區(qū)分4種標(biāo)簽，第三位

區(qū)分簡單類型和構(gòu)造類型，其余5位表示標(biāo)簽的值。如果標(biāo)簽的值大

于30,則這5位為全1,標(biāo)簽值表示在后續(xù)字節(jié)中。

2.4ASN.1宏定義

［木節(jié)要點］ASN.1定義模塊及ASN.1宏定義的結(jié)構(gòu)。

［簡述］宏定義的組成部分：

宏定義由3個部分組成：①類型表示(TYPENOTATION):②值表示

(VALUENOTATION);③支持產(chǎn)生式。這3個部分都由Backus-

Naur范式說明。宏定義的主要作用是：宏定義可以看做是類型的類

型，或者說是超類型，也可以把宏定義看做是類型的模板，可以用這

種模板制造出形式相似，語義相關(guān)的多種數(shù)據(jù)類型。

第3章管理信息庫MIB-2

3.1SNMP的基本概念

［本節(jié)要點］SNMP的基本概念；TCP/IP網(wǎng)絡(luò)管理框架的定義；簡

單網(wǎng)絡(luò)管理協(xié)議體系結(jié)構(gòu)。

［選擇］SNMP由兩部分組成：一部分是管理信息庫結(jié)構(gòu)的定義，另

一部分是訪問管理信息庫的協(xié)議規(guī)范。

［填空］TCP指的是端系統(tǒng)之間的協(xié)議，其功能是保證端系統(tǒng)之間可

靠地發(fā)送和接收數(shù)據(jù)，并給應(yīng)用進程提供訪問端口。

［選擇］委托代理和管理站之間按SNMP協(xié)議通信，而與被管理設(shè)

備之間則按專用的協(xié)議通信。

［選擇］與OSI分層的原則不同，TCP/IP協(xié)議簇允許同層協(xié)議實體

之間相互作用，從而實現(xiàn)復(fù)雜的控制功能，也允許上層過程直接調(diào)用

不相鄰的下層過程。

［選擇］SNMP定義為應(yīng)用層協(xié)議，它依賴于的服務(wù)是UDP。

［選擇］SNMP要求所有的代理設(shè)備和管理站都必須實現(xiàn)TCP/IP協(xié)

議。

［填空］UDP提供面向無連接的傳輸服務(wù)，TCP提供面向連接的傳

輸服務(wù)。

［填空］Internet的核心傳輸協(xié)議是TCP/IP。

［填空］SNMP屬于的協(xié)議簇是TCP/IP。

［填空］SNMP是應(yīng)用層協(xié)議。

［選擇］網(wǎng)關(guān)：是一臺用于解釋地址的計算機。

［簡述］SNMP協(xié)議支持的服務(wù)原語及其作用：

Get檢索數(shù)據(jù)，Set改變數(shù)據(jù)，GetNext提供掃描MIB樹和連續(xù)檢索

數(shù)據(jù)的方法，Trap提供從代理進程到管理站的異步報告機制。這些原

語用于管理站和代理之間的通信，以便查詢和改變管理信息庫中的內(nèi)

容。

［簡述］TCP/IP體系結(jié)構(gòu)中的協(xié)議數(shù)據(jù)單元結(jié)構(gòu)：

［簡述］陷入(Trap)輪詢制導(dǎo)過程:

管理站啟動時，或每隔一定時間，用Get操作輪詢一遍所有代理，以

便得到某些關(guān)鍵信息或基本的性能統(tǒng)計參數(shù)。一旦得到了這些基本數(shù)

據(jù)，管理站就停止輪詢，而由代理進程在必要時向管理站報告異常事

件，這些情況都是由陷入操作傳送給管理站的。得到異常事件的報告

后，管理站可以查詢有關(guān)代理，以便得到更具體的信息，對事件的原

因做進一步的分析。

3.2MIB結(jié)構(gòu)

［本節(jié)要點］MIB結(jié)構(gòu)及M1B中的數(shù)據(jù)類型；管理信息結(jié)構(gòu)的定義。

［填空］MIB由一系列對象組成，每個對象屬于一定的對象類型，并

且有一個具體的值。

［選擇］對象類型的定義是一種語法描述，對象實例是對象類型的具

體實現(xiàn)。

［選擇］在Internet中，對網(wǎng)絡(luò)、設(shè)備和主機的管理叫做網(wǎng)絡(luò)管理，

網(wǎng)絡(luò)管理信息存儲在管理信息庫MIB中。

［簡述］Internet下面4個節(jié)點所包含的信息：

directory(1)節(jié)點是為OSI的目錄服務(wù)使用的。

mgmt⑵包括由IAB批準(zhǔn)的所有管理對象。

experimental(3)用來標(biāo)識在互聯(lián)網(wǎng)上實驗的所有管理對象。

private(4)為私人企業(yè)管理信息準(zhǔn)備。如ABC公司向Internet編碼

機構(gòu)申請注冊，并得到一個代碼100。該公司為他的令牌環(huán)適配器賦

予代碼為25,這樣對象標(biāo)識符就是1.3.6.1.4.1.100.250

［綜合］SNMP環(huán)境中的所有管理對象組織成分層的樹結(jié)構(gòu)的作用：

(1)表示管理和控制關(guān)系。上層的中間結(jié)點是某些組織機構(gòu)的名字,

說明這些機構(gòu)負(fù)責(zé)它下面的子樹信息的管理和審批。

(2)提供了結(jié)構(gòu)化的信息組織技術(shù)。下層的中間結(jié)點代表的子樹是

與每個網(wǎng)絡(luò)資源或網(wǎng)絡(luò)協(xié)議相關(guān)的信息集合。例如，有關(guān)IP協(xié)議的

管理信息都放置在ip(4)子樹中。這樣沿著樹層次訪問相關(guān)信息就

很方便。

(3)提供了對象命名機制，樹中每個結(jié)點都有一個分層的編號。葉

子節(jié)點代表實際的管理對象，而從樹根到樹葉的編號串聯(lián)起來，用圓

點隔開，就形成了管理對象的全局標(biāo)識。例如，internet的標(biāo)識符是

1.3.6.1,或者寫成｛iso(l)org(3)dod(6)l｝。

例如：MIB樹狀結(jié)構(gòu)如圖所示：

則：

(I)由ISO代管的中間結(jié)點是org(3)。

(2)UDP接點在mib?2結(jié)點下面，UDP對象標(biāo)識符是1.361.2.7。

(3)若UDP子樹下面某個對象分配的子樹號為3,該對象的標(biāo)識符

是1.3.6.1.2.7.3o

(4)類似于IBM公司這樣的企業(yè)，可以在enterprises結(jié)點下得到分

配的一棵子樹。

(5)IBM公司產(chǎn)品的對象標(biāo)識符的前綴是1.3.6.1.4.1.2o

［選擇］SNMP環(huán)境中的所有管理對象組織成分層的樹結(jié)構(gòu)。

［填空］SNMP的對象的定義是用ASN.lo

［選擇］MIB層次樹結(jié)構(gòu)中有3個作用，樹中每個結(jié)點都有一個分層

的編號。

［選擇］SNMPMIB的定義最初的說明定義在RFC1155o

［填空］MIB-2只包括那些被認(rèn)為是必要的對象，在MIB-2的結(jié)構(gòu)

中，Internet下面為OSI目錄服務(wù)的結(jié)點是directory。），Internet下面

子樹用來標(biāo)識在互聯(lián)網(wǎng)上實驗的所有管理對象的結(jié)點是

experimental。），Internet下面包括由IAB批準(zhǔn)的所有管理對象的結(jié)點

是mgmt（2）o

［選擇］RFC1213定義了管理信息庫的版本號為2。

［選擇］計數(shù)器類型是一個非負(fù)整數(shù)，其值可增加，不可減少。

3.3標(biāo)量對象和表對象

［本節(jié)要點］對象標(biāo)識符和對象實例標(biāo)識符的區(qū)別，標(biāo)量對象和表對

象實例的表示方法；對象標(biāo)識符的詞典順序。

［填空］SMI只存儲標(biāo)量和二維數(shù)組，后者叫做表對象。

［簡述］對象的順序?qū)W(wǎng)絡(luò)管理的作用：

對象的順序?qū)W(wǎng)絡(luò)管理是很重要的，因為管理可能不知道代理提供的

MIB組成，所以管理站要用某種手段搜索MIB樹，在不知道對象標(biāo)

識符的情況下，訪問對象的值，例如：為檢索一個表項，管理站可以

連續(xù)發(fā)出Get操作，按詞典順序得到預(yù)定的對象實例。

［簡述］對象：由對象標(biāo)識符表示；對象標(biāo)識符是整數(shù)序列，這種序

列反映了該對象在MIB中的邏輯位置，同時表示了一種辭典順序。

我們只要按照一定的方式（如，中序）遍歷MIB樹，就可以排出所

有對象及其實例的詞典順序。

［選擇］表中標(biāo)量對象叫作列對象。

［填空］表和行對象沒有實例標(biāo)識符，SNMP不能訪問他們，其訪問

特性為not-accessible。

［填空］在MIB數(shù)據(jù)類型中，對象標(biāo)識符的數(shù)據(jù)類型名是OBJECT

IDENTIFIERo

［填空］TCP連接表的索引組成元素個數(shù)是4。

3.4MIB-2功能組

［本節(jié)要點］MIB.2功能組中的各個分組及各分組在網(wǎng)絡(luò)管理中的作

用。

［選擇］MIB-2功能組中，接口組包含主機接口的配置信息和統(tǒng)計信

息。

［選擇］MIB-2功能組中，IP組提供了與IP協(xié)議有關(guān)的信息。

［選擇］MIB.2功能中，EGP組提供了關(guān)于EGP路由器發(fā)送、接收

的EGP報文的信息以及關(guān)于EGP鄰居的詳細(xì)信息等。

［填空］MIB-2功能組的接口組中，如果對象ifAdminStatus的值為

up(1)而ifOperStatus的值為down(2),這表示該接口的狀態(tài)是故

障。

［填空1如果對象ifAdminStatus的值為up(1)且ifOperStatus的值

為up(1),這表示該接口的狀態(tài)是正常。

［填空］如果對象ifAdminStatus的值為down(2)且ifOperStatus的

值為down(2),這表示該接口的狀態(tài)是停機。

［簡述］MIB-2管理對象的組成：

(1)系統(tǒng)組，提供了系統(tǒng)的一般信息。

(2)接口組，包含關(guān)于主機接口的配置信息和統(tǒng)計信息。

(3)地址轉(zhuǎn)換組，包含一個表，該表的一行對應(yīng)系統(tǒng)的一個物理接

口，表示網(wǎng)絡(luò)地址到接口的物理地址的映象關(guān)系。

(4)IP組，提供了與IP協(xié)議有關(guān)的信息。

(5)ICMP組，是IP的伴隨協(xié)議，所有實現(xiàn)IP協(xié)議的結(jié)點都必須實

現(xiàn)ICMP協(xié)議。

(6)TCP組，包含于TCP協(xié)議的實現(xiàn)和操作有關(guān)的信息。

(7)UDP組類似于TCP組。

(8)EGP組，提供了關(guān)于EGP路由器發(fā)送和接收的EGP報文的信

息，以及關(guān)于EGP鄰居的詳細(xì)信息等。

(9)傳輸組，對各種傳輸介質(zhì)提供詳細(xì)的管理信息。

第4章簡單網(wǎng)絡(luò)管理協(xié)議

4.1SNMP的演變

［本節(jié)要點］SNMP3個版本的區(qū)別及應(yīng)用情況。

［選擇］SNMP協(xié)議的實現(xiàn)是基于人們熟悉的SGMPo

［選擇］子類繼承超類的操作同時又對繼承的操作進行了特別的修

改，這樣不同的對象類對同一操作做出不同的響應(yīng)，這種特性稱為多

態(tài)性。

［選擇］RFC1157給出了SNMPvl的規(guī)范。

［選擇］SNMPvl的安全機制是驗證團體名。

［選擇］SNMPv3不僅在SNMPV2的基礎(chǔ)上增加了安全和高層管理

功能，而且能和以前的標(biāo)準(zhǔn)兼容，便于擴充新的模塊。

［選擇］SNMP協(xié)議開發(fā)和成熟的過程長達(dá)1()年，期間產(chǎn)生的版本

數(shù)是3。

［填空］為了修補SNMP的安全缺陷，提出了新的標(biāo)準(zhǔn)S-SNMP,采

用MD5保證數(shù)據(jù)完整性和進行數(shù)據(jù)源認(rèn)證。

4.2SNMPV1協(xié)議數(shù)據(jù)單元

［本節(jié)要點］SNMPvl支持的操作類型；衣文的發(fā)送和接收過程。

［填空］SNMP共有5種管理操作。

［簡述］SNMP支持的操作：

SNMP僅支持對管理對象值的檢索和修改等簡單操作。SNMP實體可

以對MIB-2中的對象執(zhí)行下列操作：Get,管理站用于檢索管理信息

庫中標(biāo)量對象的值；Set,管理站用于設(shè)置管理信息庫中標(biāo)量對象的

值；Trap,代理用于向管理站報告管理對象的狀態(tài)變化。

［填空］SNMP報文的3個組成部分：版本號、團體名、協(xié)議數(shù)據(jù)單

713?

［選擇］SNMPvl中，管理站不能一次性訪問一個子樹。

［填空］SNMPvl中，nap報文不需要應(yīng)答。

［填空］SNMP報文在管理站和代理之間傳送，包含GetRequest.

GetNextRcquest和SetRequest的報文由管理站發(fā)出，代理以

GetResponse響應(yīng)。

［簡述］生成和發(fā)送SNMP報文的過程；

首先是按照ASN.1的格式構(gòu)造PDU,交給認(rèn)證進程。認(rèn)證進程檢查

源和目標(biāo)之間是否可以通信，如果通過這個檢查則把有關(guān)信息組裝成

報文。最后經(jīng)過BER編碼，交傳輸實體發(fā)送出去。生成和發(fā)送過程

如下圖所示：

［簡述］接收和處理SNMP報文的過程：

首先是按照BER編碼恢復(fù)ASN.1報文，然后對報文進行語法分析、

驗證版本號和認(rèn)證信息等。如果通過分析和驗證，則分離出協(xié)議數(shù)據(jù)

單元，并進行語法分析，必要時經(jīng)過適當(dāng)處理后返回應(yīng)答報文。在認(rèn)

證檢驗失敗時可以生成一個陷入報文，向發(fā)送站報告通信異常情況。

無論何種檢驗失敗，都丟棄報文。接收處理過程如下圖所示：［選擇］

在SNMP管理中，管理站和代理之間交換的管理信息構(gòu)成了SNMP

報文。

［選擇］SNMPv2對SNMPvl增加了安全方面的功能。

4.3SNMPvl的操作

［本節(jié)要點］檢索簡單對象和檢索未知對象的方法，表的更新和刪除

操作，陷入操作。

［簡述］檢索簡單對象時，根據(jù)GetResponse操作的原子性，如果所

有請求的對象值可以得到，則給予應(yīng)答;反之，只要有一個對象的值

得不到，則可能返回下列錯誤條件：

（1）變量綁定表中的一個對象無法與MIB中的任何對象標(biāo)識符匹配,

或者要檢索的對象是一個數(shù)據(jù)塊，沒有對象實例生成。在這些情況下,

響應(yīng)實體返回的GetResponsePDU中錯誤狀態(tài)字段置為

noSuchName,錯誤索引設(shè)置為一個數(shù)，指明有問題的變量。變量綁

定表中不返回任何值。

（2）響應(yīng)實體可以提供所有要檢索的值，但是變量太多，一個峋應(yīng)

PDU裝不下，這往往是由下層協(xié)議數(shù)據(jù)單元大小限制的。這時響應(yīng)

實體返回一個應(yīng)答PDU,錯誤狀態(tài)字段置為tooBig。

（3）由于其他原因（例如，代理不支持）響應(yīng)實體至少不能提供一

個時象的值，則返回的PDU中錯誤狀態(tài)字段置為genError,錯誤索

引置一個數(shù)，指明有問題的變量。變量綁定表中不返回任何值。

［選擇］在WindowsNT中,陷入服務(wù)程序為snmptrap.exeo

［填空］在SNMP中，對管理方發(fā)出的GetRequest命令，代理方以

GetResponse回答。

［選擇］SNMPvl操作中檢索簡單對象所用的命令是GetRequest,

檢索未知對象所用的命令是GetNextRequesto

［填空］在SNMPvl的操作中，如果要刪除表中的行，行的所有者

發(fā)出SetRequestPDU,把行的狀態(tài)假設(shè)有一個LAN,每20min輪詢所

有被管理設(shè)備一次，管理報文的處理時間是50ms,網(wǎng)絡(luò)延遲為1ms,

單個輪詢需要的時間為0.202s,則管理站最多可支持的設(shè)備數(shù)是

6000o

［選擇］GetNextRequest與GetRequest只有一個差別，GetRequest

檢索變量名所指的是對象實例，而GetNextRequest檢索變量名所指的

是下一個對象實例。

［綜合］考察知識點：如何檢索簡單對象，如何檢索未知對象及如何

檢索表對象。檢索簡單的標(biāo)量對象用Get操作，如下圖所示:

udp(inib-27)

-----udplnD怎grams⑴接收的數(shù)據(jù)報總數(shù)100

-----i】dpNcPcrt*(2)無應(yīng)用端口的數(shù)據(jù)報數(shù)1

-----出錯數(shù)據(jù)報數(shù)2

-----udpOutr)atagranis(4)^出數(shù)據(jù)報數(shù)200

-----udpTable(5)

我們可以在檢索命令中直接指明對象實例的標(biāo)識符：GetRequest

(udpIndatagrams.O,udpNoPorts.O,udpInErrors.O,udpOutDatagrams.O),

可以預(yù)期得到下面的響應(yīng)：GetResponse

(udpIndatagrams.O=100,udpNoPorts.0=1,udpInErrors.0=2,

udpOutDatagrams.0=200)o而GetNext命令用于檢索變量名指示的下

一個對象實例。如上圖，我們發(fā)出命令：GetNextRequest

(udpInDatagrams.2)，得到的響應(yīng)是：GetResponse(udpNoPorts.O=1),

GetNext可用于有效地搜索表對象。如下圖所示：

interfaces(niid-22)mib-2=1.3.6.121

ifNunibcr(l)

UTable(2)

ifEntry(l)

inndex(l)

ifDescr(2)

訐1*(3)

ilSpeed(5)

我們發(fā)出下面的命令，檢索ifNUmber的值：GetRequest

(1.3.6.1.2.121.0),GetResponse(2)。例如：對于MIB-2ip組:

ij)A(k1rTabkK'l.3.6.1.2.1.1.20)

I_______ipAdch'EntiyCD

ipAdELnAddrfn203.100.100.1

ipAdEtnl±lndex(2)10

ipAdEmNetJlask(3)25R.255.2F)5.128

ipAdEmUcastAddr(4)8

ipAdEtn塊sainM疲kSizaR)5

如要發(fā)現(xiàn)它的MIB結(jié)構(gòu)，則需要發(fā)出請求：GetNextRequest

(ipAddrTable)預(yù)期得至U的響應(yīng)：GetResponse

(ipAdEtnAddr.203.100.100.1=203.100.100.1)；如用get檢索上圖的5

個值，則應(yīng)發(fā)出請求：GetRequest

(ipAdEtnAddr.203.100.100.1,ipAdEtnIfIndex.203.100.100.1jpAdEtnN

etMask.203.10().100.1,ipAdEtnBcastAddr.2O3.1()0.1()0.1JpAdEtnResam

MaskSize.203.100.100.1),預(yù)期得到的響應(yīng)：GetResponse

(ipAdEtnAddr.203,100.100.1=203.100.100.1,ipAdEtnIflndex.203.100.1

00.1=10,ipAdEtnNetMask.2O3.100.100.1=255.255.255.128,ipAdEtnBcas

tAddr.203.100.100.1=8，ipAdEtnResamMaskSize.203.100.100.1=5)；如

用get-next檢索上圖的5個值，則應(yīng)發(fā)出請求：getNextRequest

(ipAdEtnAddr,ipAdEtnIfIndex,ipAdEtnNetMask,ipAdEtnBcastAddr,ip

AdEtnResamMaskSize)預(yù)期得至ij的響應(yīng)：GetResponse

(ipAdEtnAddr.203,100.100.1=203.100.100.1,ipAdEtnIflndex.2O3.100.1

00.1=10,ipAdEtnNetMask.203.100.100.1=255.255.255.128,ipAdEtnBcas

tAddr.203.100.100.1=8,ipAdEtnResamMaskSize.203.100.100.1=5)o

［選擇］陷入是由代理向管理站發(fā)出的異步事件報告，不需要應(yīng)答報

文。

4.4SNMP功能組

［本節(jié)要點］SNMP功能組對象的含義及在網(wǎng)絡(luò)管理中的作用。

［簡述］排除代理產(chǎn)生的“認(rèn)證失效”陷入的方法：

SNMP組包含的信息關(guān)系到SNMP協(xié)議的實現(xiàn)和操作。這一組共有

30個對象。在支持SNMP站管理功能或只支持SNMP代理功能的實

現(xiàn)中，有些對象是沒有值的。除最后一個對象，這一組的其他對象都

是只讀的計數(shù)器。對象snmpEnableAuthenTrap可以由管理站設(shè)置，

它指示是否允許代理產(chǎn)生“認(rèn)證失效”陷入，這種設(shè)置優(yōu)先于代理自

己的配置。這樣就提供了一種可以排除所有認(rèn)證失效陷入的手段。

4.5實現(xiàn)問題

［本節(jié)要點］管理站的功能；影響輪詢頻率的因素及計算輪詢頻率的

方法；SNMPvl的局限性。

［綜合］考察知識點：輪詢頻率；為了能掌握網(wǎng)絡(luò)的最新動態(tài)，需要

一種能提高網(wǎng)絡(luò)管理性能的輪詢策略，以決定合適的輪詢頻率。通常

輪詢頻率與網(wǎng)絡(luò)的規(guī)模和代理的多少有關(guān)。表示為不等式：N^T/A,

其中:N=被輪詢的代理數(shù)；T二輪詢間隔；△二單個輪詢需要的時間。

其中△又與許多因素有關(guān)。例如：假設(shè)有一個LAN,每l()min輪詢

所有被管理設(shè)備一次，管理報文的處理時間是15ms,網(wǎng)絡(luò)延遲為1ms,

沒有產(chǎn)生明顯的擁擠，單個輪詢需要的時間大約是0.202s：根據(jù)計算

公式NWT/A=10X60/0.202=2970。管理站最多支持2970個設(shè)備。如

果網(wǎng)絡(luò)延遲達(dá)到0.5min,單個輪詢需要的時間大約是0.202s,根據(jù)公

式N^T/A=10X60/1.2=500,管理站最多管理500個設(shè)備。

［選擇］SNMP網(wǎng)絡(luò)管理中，一個管理站可以管理多個代理。

［簡述］在SNMPvl中管理站主要靠輪詢收集信息。輪詢頻率與網(wǎng)

絡(luò)規(guī)模和代理的多少有關(guān)；為使問題簡化，管理站和代理之間輪詢采

用請求/響應(yīng)工作形式；若被輪詢的代理數(shù)為3000,單個輪詢需要的

時間為0.306秒，則輪詢間隔時間的計算過程為：T=NXA=3000X

0.306=918so

［簡述］SNMPvl的局限性：

(1)由于輪詢的性能限制，SNMP不適合管理很大的網(wǎng)絡(luò)，輪詢產(chǎn)

生的大量管理信息，傳送可能引起網(wǎng)絡(luò)響應(yīng)時間的增加。

(2)SNMP不適合檢索大量數(shù)據(jù)，例如，檢索整個表中的數(shù)據(jù)。

（3）SNMP的陷入報文是沒有應(yīng)答的，管理站是否收到陷入報文，

代理不得而知。這樣可能丟失重要的管理信息。

（4）SNMP只提供簡單的團體名認(rèn)證，這樣的安全措施是不夠的。

（5）SNMP并不支持向被管理設(shè)備發(fā)送命令。

（6）SNMP的管理信息庫MIB-2支持的管理對象是很有限的，不足

以完成復(fù)雜的管理功能。

（7）SNMP不支持管理站之間的通信，而這一點在分布式網(wǎng)絡(luò)管理

中是很需要的。

4.6SNMPv2管理信息結(jié)構(gòu)

［本節(jié)要點］對象、表的定義，表的相關(guān)操作，SNMPv2MIBo

［選擇］SNMPv2把表分為兩類：禁止刪除和生成行的表以及允許刪

除和生成行的表。

［選擇］SNMPv2sMi引入的關(guān)鍵概念有對象的定義、概念表、通知

的定義、信息模塊。

［填空］SNMPv2增加的兩種數(shù)據(jù)類型是Unsigned32、Counter64o

［選擇］在SNMPv2中，包含的對象與管理對象的控制有關(guān)的組是

MIB對象組。

［填空］SNMPv2中的接收地址表，包含廣播地址、組播地址、單地

址。

［選擇］SNMPv2的5種訪問級別由大到小排列是

read-create,read-write,read-only,accessible-for-notify,not-accessibleo

［填空］在對表的操作中，管理站生成一個概念行實例，但不會自動

變成active,狀態(tài)列應(yīng)取createAndWaito

4.7SNMPv2協(xié)議數(shù)據(jù)單元

［本節(jié)要點］SNMPv2協(xié)議數(shù)據(jù)單元，SNMPv2報文，管理站之間的

通信。

［簡述］SNMPv2的3種檢索操作過程：

(1)GetRequestPDU：檢索時，按照以下規(guī)則對變量綁定表中的各

個變量進行處理：若該變量的對象標(biāo)識符前綴不能與這一請求可訪問

的任何變量的對象標(biāo)識符前綴匹配，則返回一個錯誤值

noSuchObject；若變量名不能與這一請求可訪問的任何變量名完全匹

配，則返回一個錯誤值noSuchlnstanceo這種情況可能出現(xiàn)在表訪問

中：訪問了不存在的行，或正在生成中的表行等；如果不屬于以上情

況，則在變量綁定表中返回被訪問的值；如果由于任何其他原因而處

理失敗，則返回一個錯誤狀態(tài)genErr,對應(yīng)的錯誤索引指向有問題的

變量；如果生成的響應(yīng)PDU太大，超過了本地的或請求方的最大報

文限制，則放棄這個PDU,構(gòu)造一個新的響應(yīng)PDU；其錯誤狀態(tài)為

tooBig,錯誤索引為0,變量綁定表為空。

(2)GetNextRequestPDU：SNMPv2按照下面規(guī)則處理getNextPDU

變量綁定表中的每一個變量：對變量綁定表中指定變量在MIB中查

找按照詞典順序的后繼變量，如果找到，返回該變量的名字和值；如

果找不到按照詞典順序的后繼變量，則返回請求PDU中的變量名和

錯誤值endOfMibView；如果出現(xiàn)其他情況使得構(gòu)造響應(yīng)PDU失敗，

以與GetRequest類似的方式返回錯誤值。

(3)GetBulkRequestPDU：檢索過程：假設(shè)GetBulkRequestPDU變

量綁定表中有L個變量，該PDU的“非重復(fù)數(shù)”字段的值為N,則

對前N個變量應(yīng)各返回一個詞典后繼，再設(shè)請求PDU的“最大后繼

數(shù)”字段的值為M,則對其余的R=L-N個變量應(yīng)該各返回最多M

個詞典后繼。如果可能，總共返回N+RXM個值，如果在任何一步

查找過程中遇到不存在后繼的情況，則返回錯誤值endOfMibView。

［簡述］SNMPv2訪問管理信息的方法：

(1)管理站和代理之間的請求/響應(yīng)通信。

(2)管理站和管理站之間的請求/響應(yīng)通信。

(3)代理系統(tǒng)到管理站的非確認(rèn)通信，即由代理向管理站發(fā)送陷入

報文，報告出現(xiàn)的異常情況。

［選擇］SNMPv2增加的管理站之間的通信機制是分布式網(wǎng)絡(luò)管理所

需要的功能特征。

4.8SNMPv3

［本節(jié)要點］SNMPv3管理框架，SNMP引擎，SNMP管理站和代理,

USM、VACM模型。

［選擇］SNMPv3中SNMP引擎和SNMP實體之間的關(guān)系是一對一。

［選擇］SNMPv3把對網(wǎng)絡(luò)協(xié)議的安全分為兩類：主要威脅和次要威

脅兩類。主要威脅包括：修改信息和假冒；次要威脅包括：修改報文

流和消息泄露；不必要防護的威脅：拒絕服務(wù)和通信分析。

［填空］SNMP引擎提供的服務(wù)有：發(fā)送和接收報文，認(rèn)證和加密報

文，控制對管理對象的訪問。

［填空］RFC2574把安全協(xié)議分為3個模塊：

（1）時間序列模塊：提供對報文延遲和重放的防護。

（2）認(rèn)證模塊：提供完整性和數(shù)據(jù)源認(rèn)證。

（3）加密模塊：防止報文內(nèi)容的泄露。

［填空］DES加密標(biāo)準(zhǔn)是在56位密鑰的控制下，將每64位為一個單

元的明文變成64位的密碼文。

［選擇］SNMP引擎提供的服務(wù)：發(fā)送和接收報文、認(rèn)證和加密報文、

控制對管理對象的訪問。

［簡述］SNMP引擎結(jié)構(gòu)包括：

（1）一個調(diào)度器。功能：（a）向/從網(wǎng)絡(luò)中發(fā)送/接收SNMP報文。（b）

確定SNMP報文的版本，并交給相應(yīng)的報文處理模塊處理。（c）為

接收PDU的SNMP應(yīng)用提供一個抽象的接口。（d）為發(fā)送PDU的

SNMP應(yīng)用提供一個抽象的接口。

（2）一個報文處理子系統(tǒng)。功能：（a）按照預(yù)定的格式準(zhǔn)備要發(fā)送

的報文。（b）從接收的報文中提取數(shù)據(jù)。（c）安全子系統(tǒng)的功能。

（3）一個安全子系統(tǒng)。功能：提供安全服務(wù)。

（4）一個訪問控制子系統(tǒng)。功能：提供授權(quán)服務(wù)，即確定是否允許

訪問一個管理對象，或者是否可以對某個管理對象實施特殊的管理操

作。

［填空］某些未經(jīng)授權(quán)的實體改變了進來的SNMP報文，企圖實施

未經(jīng)授權(quán)的管理操作，或者提供虛假的管理信息，這稱為修改信息。

［簡述］基于用戶的安全模型可以防護的安全威脅有如下幾種：

（1）修改信息：就是某些未經(jīng)授權(quán)的實體改變了進來的SNMP報文,

企圖實施未經(jīng)授權(quán)的管理操作，或者提供虛假的管理對象。

（2）假冒：即未經(jīng)授權(quán)的用戶冒充授權(quán)用戶的標(biāo)識，企圖實施管理

操作。

（3）修改報文流：由于SNMP協(xié)議通常是基于九連接的傳輸服務(wù)，

重新排序報文流、延遲或重放報文的威脅都可能出現(xiàn)。這種威脅的危

害性在于通過報文流的修改可能實施非法的管理操作。

（4）消息泄露：SNMP引擎之間交換的信息可能被偷聽。

（5）拒絕服務(wù)：在很多情況下拒絕服務(wù)和網(wǎng)絡(luò)失效是無法區(qū)別的。

（6）通信分析：即由第三者分析管理實體之間的通信規(guī)律，從而獲

取必要的信息。

第5章遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控

5.1RMON的基本概念

［本節(jié)要點］RMON的基本概念；遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控的目標(biāo)；多管理站

訪問中出現(xiàn)的問題及其解決辦法。

［選擇］在RMON規(guī)范中增加了兩種新的數(shù)據(jù)類型，它們是

OwnerString和EntryStatuSo其主要的目的是增強規(guī)范的可讀性。

［選擇］RMON擴充了SNMP的管理信息庫，可以提供有關(guān)互聯(lián)網(wǎng)

管理的主要信息，在不改變SNMP協(xié)議的條件下增強網(wǎng)絡(luò)管理的功

能。

［選擇］遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控是對SNMP標(biāo)準(zhǔn)的重要補充，是簡單網(wǎng)絡(luò)管

理向互聯(lián)網(wǎng)管理過渡的重要步驟。

［選擇］RMON的目標(biāo)是監(jiān)視子網(wǎng)范圍內(nèi)的通信，從而減少管理站

和被管理系統(tǒng)之間的通信負(fù)擔(dān)。

［選擇］RMON規(guī)范在不修改、不違反SNMP管理框架的前提下提

供了明晰而規(guī)律的行增加和行刪除操作。

［填空］RMON規(guī)范中的表結(jié)構(gòu)由控制表和數(shù)據(jù)表兩部分組成。

［選擇］在RMON中網(wǎng)絡(luò)監(jiān)視器的作用是監(jiān)控被管設(shè)備。

［填空］通常用于監(jiān)視整個網(wǎng)絡(luò)通信情況的設(shè)備叫做網(wǎng)絡(luò)監(jiān)視器或者

網(wǎng)絡(luò)分析器、探測器等。

［簡述］RMON控制表中的列對象Owner規(guī)定的表行所屬關(guān)系，可

以解決下列問題：

（1）管理站能認(rèn)得自己所屬的資源，也知道自己不再需要的資源。

（2）網(wǎng)絡(luò)操作員可以知道管理站占有的資源，并決定是否釋放其他

操作員保有資源。

（3）一個被授權(quán)的網(wǎng)絡(luò)操作員可以單方面地決定是否釋放其他操作

員保有的資源。

（4）如果管理站經(jīng)過了重啟動過程，它應(yīng)該首先釋放不再使用的資

源。

［簡述］當(dāng)多個管理站并發(fā)訪問RMON監(jiān)視器時，可能出現(xiàn)的問題:

（1）多個管理站對資源的并發(fā)訪問可能超過監(jiān)視器的能力。

（2）一個管理站可能長時間占用監(jiān)視器資源，使得其他站得不到訪

問。

(3)占用監(jiān)視器資源的管理站可能崩潰，然而沒有釋放資源。

［簡述］遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控的目標(biāo)：

RMON定義了遠(yuǎn)程網(wǎng)絡(luò)監(jiān)控的管理信息庫，以及SNMP管理站與遠(yuǎn)

程監(jiān)視器之間的接口。有下列目標(biāo)：

(1)離線操作：必要時管理站可以停止對監(jiān)視器的輪詢，有限的輪

詢可以節(jié)省網(wǎng)絡(luò)帶寬和通信費用。

(2)主動監(jiān)視：如果監(jiān)視器有足夠的資源、通信負(fù)載也容許，監(jiān)視

器可以連續(xù)地或周期地運行診斷程序，收集并記錄網(wǎng)絡(luò)性能參數(shù)。

(3)問題檢測和報告：如果主動檢測消耗網(wǎng)絡(luò)資源太多，監(jiān)視器可

以被動地獲取網(wǎng)絡(luò)數(shù)據(jù)。

(4)提供增值數(shù)據(jù)：監(jiān)視器可以分析收集到的子網(wǎng)數(shù)據(jù)，從而減輕

了管理站的計算任務(wù)。

(5)多管理站操作：一個互聯(lián)網(wǎng)可能有多個管理站，這樣可以提高

可靠性，或者分布的實現(xiàn)各種不同的管理功能。

［簡述］管理站用Set命令在RMON表中新增加行遵循的規(guī)則：

(1)管理站用SetRequesl生成一個新行，如果新行的索引值與表中

其它行的索引值不沖突，則代理產(chǎn)生一個新行，其狀態(tài)對象的值為

createRequest(2)。

(2)新行產(chǎn)生后，由代理把狀態(tài)對象的值置為underCreation(3)。對

于管理站沒有設(shè)置新值的列對象，代理可以置為默認(rèn)值，或者讓新行

維持這種不完整、不一致狀態(tài)，這取決于具體的實現(xiàn)。

(3)新行的狀態(tài)值保持為underCreation(3),直到管理站產(chǎn)生了所有

要生成的新行。這時由管理站置每一新行狀態(tài)對象的值為valid（Do

（4）如果管理站要生成的新行已經(jīng)存在，則返回一個錯誤。

5.2RMON的管理信息庫

［本節(jié)要點］RMON的管理信息庫；與以太網(wǎng)統(tǒng)計信息收集有關(guān)的

功能組及其在網(wǎng)絡(luò)管理中的應(yīng)用；報警對象的作用及警報的工作原

理，包捕獲和事件記錄。

［選擇］統(tǒng)計組提供一個表，該表每一行表示一個子網(wǎng)的統(tǒng)計信息。

其中的大部分對象是計數(shù)器，記錄監(jiān)視器從子網(wǎng)上收集到的各種不同

狀態(tài)的分組數(shù)。

［選擇］通道的定義是一組過濾器。

［填空］關(guān)于RMON的增量警報方式，如果上升門限是30,按雙重

采樣規(guī)則，每5秒觀察一次，有：

時間（秒）05101520

觀察的值（）12172033

則產(chǎn)生報警事件的時間是15。

［選擇］在RMON-1中，與以太網(wǎng)統(tǒng)計信息有關(guān)的功能組是歷史組

（history）,與以太網(wǎng)統(tǒng)計信息無關(guān)的功能組是警報組⑶arm）。

［選擇］RMON警報規(guī)則的作用是避免信號在門限附近波動時產(chǎn)生

許多報警。

［選擇］下降警報規(guī)則通常形象的稱為hysteresis機制。

［填空］當(dāng)某個接口上有新的主機加入時，SNMP管理站可以通過查

詢RMON主機組中的hostTimeTable獲得。

［選擇］對于RMON的管理信息庫，以太網(wǎng)的統(tǒng)計信息包括的分組

有：統(tǒng)計組、歷史組、主機組、最高N臺主機組、矩陣組。

［簡述］RMON警報定義中，行生效后產(chǎn)生警報的條件是：

(1)risingAlarm(l):第一個采樣值2上升門限。

(2)fallingAlarm(2)：第一個采樣值W下降門限。

(3)risingOrFallingAlarm(3)：第一個采樣值2上升門限或W下降門

限。

［簡述］警報組定義的報警機制：

(1)如果行生效后的第一個采樣值W上升門限，而后來的一個采樣

值變得2上升門限，則產(chǎn)生一個上升警報。

(2)如果行生效后的第一個采樣值2上升門限，且

alarmStartupAIarm=lor3,則產(chǎn)生一個上升警報。

(3)如果行生效后的第一個采樣值2上升門限，且

alarmStartupAlarm=2,則當(dāng)采樣值落回上升門限后又變得》上升門限

時產(chǎn)生一個上升警報。

(4)產(chǎn)生一個上升警報后，除非采樣值落回上升門限到達(dá)下降門限,

并且又一次到達(dá)上升門限，否則將不再產(chǎn)生上升警報。對下降警報的

規(guī)則是類似的。這個規(guī)則的作用是避免信號在門限附近波動時產(chǎn)生很

多報警，加重網(wǎng)絡(luò)負(fù)載，形象地叫做hysteresis機制。

［綜合］考察知識點：警報如何產(chǎn)生；

RMON報警組定義了一組網(wǎng)絡(luò)性能的門限值，超過門限值時向控制

臺產(chǎn)生報警事件。根據(jù)定義的報警機制可確定產(chǎn)生的報警。例如：當(dāng)

alarmStartupAlarm=lor3,下圖產(chǎn)生報警的時刻用符號"☆"標(biāo)出如

［選擇］RMON的管理信息庫中，對通道進行操作時,當(dāng)

channelAcc叩tType的值為1時，分組數(shù)據(jù)和分組狀態(tài)至少要與一個

過濾器匹配，則分組被接受。

［填空］RMON的管理信息庫中，過濾組由兩個控制表組成：過濾

表和通道表。

［填空］RMON管理信息定義中，包捕獲組由控制表和數(shù)據(jù)表組成。

［詵擇］在RMON的管理信息庫中過濾組定義了兩種過濾器：數(shù)據(jù)

過濾器和狀態(tài)過濾器。

［選擇］RFC1757定義了RMONMIB主要包含以太網(wǎng)的統(tǒng)計數(shù)據(jù)。

［選擇］RMON警報組定義了一組網(wǎng)絡(luò)性能的門限值，超過它時向

控制臺產(chǎn)生警報事件。

［選擇］在RMON2中，事件組分為兩個表即事件表和log表。

［綜合］考察知識點：子網(wǎng)利用率的計算方法。

歷史組存儲以固定周期取樣所獲得的子網(wǎng)數(shù)據(jù)，歷史組由歷史控制表

和歷史數(shù)據(jù)表組成?？刂票矶x被取樣的子網(wǎng)接口編號、取樣間隔大

小、每次取樣數(shù)據(jù)的多少。數(shù)據(jù)表用于存儲取樣期間獲得的數(shù)據(jù)。計

算子網(wǎng)利用率公式Utilization二(PacketsX(96+64)+OctetsX8)4-

IntervalX107oInterval表示取樣間隔,Packets表示收到的分組數(shù),

Octets表示收到的字節(jié)數(shù)。例如：若以太網(wǎng)的數(shù)據(jù)傳輸率為10Mbps,

幀間隔為96比特，幀前導(dǎo)字段為64比特，在取樣間隔1800秒間收

到分組數(shù)為100、字節(jié)數(shù)為50KB,則,子網(wǎng)利用率=(100X(96+64)

+(50000X8))4-(1800X10，)。

［綜合］考察知識點：RMON主機組的功能及其在網(wǎng)絡(luò)管理中的應(yīng)

用。例如：RMONMIB的主機組功能是什么？如何工作的，主機數(shù)

據(jù)表的每一行是由什么索引的，如果已知Ni為控制表第i行

hostControlTableSize的值，k為控制表的行數(shù)，N為主機表的行數(shù)，i

為控制表索引hostControlIndex,則如何計算主機表hostTable的總行數(shù)

(寫出表達(dá)式即可)。答：主機組的功能：收集新出現(xiàn)的主機信息。工

作過程：監(jiān)視器觀察子網(wǎng)上傳送的分組，根據(jù)源地址和目標(biāo)地址了解

網(wǎng)上活動的主機，為每一個新出現(xiàn)的主機建立并維護一組統(tǒng)計數(shù)據(jù)，

每一個控制行對應(yīng)一個子網(wǎng)接口，而每一個數(shù)據(jù)行對應(yīng)一個子網(wǎng)上的

一個主機。主機數(shù)據(jù)表的每一行由主機MAC地址hostAddress和接

口號hostindex共同索引。

計算公式為:

其中：Ni二控制表第i行hostControlTableSize的值;

k二控制表的行數(shù)；

N=主機表的行數(shù)；

i二控制表索引hostControlIndex的值。

5.3RMON2管理信息庫

［本節(jié)要點］RM0N2MIB的組成及新增的功能。

［選擇］為了使監(jiān)視器每次只返回那些自上次查詢以來改變了的值，

RM0N2中引入了時間過濾器索引。

［選擇］RM0N2增加了兩種與對象索引有關(guān)的新功能：外部對象索

引和時間對象索引。

［選擇］RMON2不但能存儲MAC層管理信息，還能夠監(jiān)視MAC

層之上的通信。

［選擇］為了提高效率，希望監(jiān)視器每次只返回那些上次查詢以來改

變了的值，解決這個問題的是RM0N2。

［選擇］為了把數(shù)據(jù)表與對應(yīng)的控制表結(jié)合起來，RM0N2增加了外

部對象索引。

［選擇］為了提供表示各種網(wǎng)絡(luò)協(xié)議的標(biāo)準(zhǔn)化方法，使管理站可以了

解監(jiān)視器所在子網(wǎng)上運行的協(xié)議，RMON2增加了協(xié)議目錄表。

［選擇］RMON2監(jiān)視OSI/RM第3到第7層的通信。

［填空］RM0N2中的網(wǎng)絡(luò)層主機組是基于網(wǎng)絡(luò)層地址發(fā)現(xiàn)主機，這

樣管理員可以超越路由器看到子網(wǎng)之外的IP主機。

［簡述］RMON對表對象索引增加的新功能：

對象索引增加了外部對象索引和時間過濾器索引；作用：使用外部對

象索引數(shù)據(jù)表，可能把數(shù)據(jù)表與對應(yīng)的控制表結(jié)合起來，增強了

RMON2的靈活性；使用時間過濾器索引，可以使監(jiān)視器每次只返回

那些自上次查詢以來改變了的值，提高了輪詢的效率。

5.4RMON2的應(yīng)用

［本節(jié)要點］協(xié)議的標(biāo)識，協(xié)議目錄表，監(jiān)視器的標(biāo)準(zhǔn)配置法。

［填空］在RM0N2中，歷史收集組由3級表組成，第一級是控制表,

第二級是用戶歷史對象表，第三級是歷史數(shù)據(jù)表。

［選擇］RM0N2用訪問標(biāo)識符和協(xié)議參數(shù)共同表示一個協(xié)議以及該

協(xié)議與其它協(xié)議之間的關(guān)系。

［填空］在RMON2的協(xié)議標(biāo)識中，UDP為SNMP分配的端口號為

161o

［填空］RM0N2賦予每一個協(xié)議層一個協(xié)議標(biāo)識，這個標(biāo)識的字節(jié)

串的位數(shù)是32位。

［選擇］在RM0N2協(xié)議目錄表中，作為表項的索引的協(xié)議標(biāo)識符是

protocolDirlD和protocolDirParameterso

［選擇］為了增強管理站和監(jiān)視器之間的互操作性RMON2增加了監(jiān)

視器的標(biāo)準(zhǔn)配置法。

第6章Windows2003網(wǎng)絡(luò)管理

6.1木地用戶和組管理