计算机网络管理：OSI系统管理操作及基本概念

第二章　网络管理

第一节　OSI系统管理的基本概念

OSI系统管理操作在对等的开放系统之间进行，其中一个系统为管理站，另一个系统起代理的作用。管理站实施管理功能，而代理要接受管理站的查询，并且根据管理站的命令设置管理对象的参数。

管理站和代理之间互相通信，主要通过交换应用上下文AC（Application Context）实现。AC是指管理站和代理之间共同使用的应用服务元素及其调用规则。系统管理应用实体的管理知识存储在本地的文件中，在应用联系建立阶段，通过交换应用上下文来形成共享的管理知识。

管理站和代理之间的信息交换通过协议数据单元（PDU）进行。通常是管理站向代理发送请求PDU，代理响应PDU回答，而管理信息包含在PDU参数中。在有些情况下，代理也可能向管理站发送消息，特别地把这种消息叫做时间报告（或通知），管理站可根据报告的内容决定是否作出回答。

为了及时了解管理对象的最新情况，代理必须经常查询对象的各种参数。这种定期查询叫轮询（Polling）。轮询的间隔或频度对于网络管理的性能有很大的影响。轮询过于频繁，会加重网络通信负载；轮询过少，又不能及时掌握管理对象的最新状态。所以轮询的间隔应根据网络配置和管理标准仔细设计。另外，如果管理对象中出现了特殊情况，例如打印机缺纸，管理对象不必等待代理查询，可直接向代理发出通知。如果必要，代理可以把对象的通知以事件报告的形式发往管理站。

有时管理站要想知道代理是否存在，是否可随时与之通信，这时可以利用一种叫做心跳的机制（Heartbeats），即代理每隔一定时间向管理站发出信号，报告自己的状态。同样，心跳的间隔也需要慎重决策。

一、管理域和管理策略

对于分布式管理，管理域是一个重要的概念。管理对象的集合叫管理域。管理域的划分可能是基于地理范围的，也可能是基于管理功能的，或者是由于技术的原因。无论怎样划分，其目的都是对于不同管理域中的对象实行不同的管理策略。

每个管理域都有唯一的名字，包含一组被管理对象，代理和管理对象之间有一套通信规则。属于一个管理域的对象也可能属于另一个管理域，当网络被划分为不同的管理域后，还应该有一个更高级的控制中心，以免引起混乱。因而在以上概念模型的基础上又引入行政域（Administrative Domian）的概念。行政域的作用是划分和改变管理域，协调管理域之间的关系。此外，行政域也对本域中的管理对象和代理实施管理和控制。

二、管理信息结构

管理信息描述管理对象的状态和行为。OSI标准采用面向对象的模型定义管理对象。按照对象类的继承关系，表示管理信息的所有对象类型组成一个继承层次树。继承性反映了软件重用性。设计一个新的对象类时不必全部从头开始，可以根据新数据类型的属性和已有对类的相似关系把新类插入到继承层次树中。相同的属性可以从父类中继承，再在父类的基础上设计新对象类的特性，从而减少设计工作量。这种设计方法已经成为现代程序设计和系统设计的常规方法。

OSI管理的面向对象模型是一个非常复杂的模型，几乎囊括了已知的所有面向对象的概念，例如多继承性、多态性（Polymorphism）和同质异晶性（Allomorphism）等。多继承性是指一个子类有多个超类。多态性源于继承性，子类继承超类的操作，同时又对继承的操作作了特别的修改，使得不同的对象类对同一操作会作出不同的响应，这种特性就叫多态性。我们说一个对象具有同质异晶性是指它可以是多个对象类的实例，例如一个协议有两个兼容的版本，一个协议实体既是老版本的实例，又是新版本的实例。

一个管理对象可以是另一个管理对象的一部分，这就形成了管理对象之间的包含关系。包含关系可以表示成有向树。

包含树与对象名的命名有关，因而包含树对应于对象命名树。对象的名字分为全局名和本地名。全局名从包含树的树根开始，向下级联各个被包含对象的名字，直到指向的对象。而本地名则可以从任意上级包含对象的名字开始向下级联。

在OSI标准中管理对象类由ASN.1的对象标识符表示。对象标识符是由圆点隔开的整数序列。这一列整数反映了对象注册的顺序，即在注册层次树中的位置。我们知道网络上的任何信息都可以用ASN.1定义，并根据与其他信息的关系为其指定一个对象标识符，这样所有网络信息就组成了注册层次树，这个树的根指向ASN.1标准，但没有编号。

三、系统管理支持功能

简单地说，应用层由应用进程（Application Process，AP）及其使用的应用实体（Application Entity，AE）组成，应用进程把信息处理功能和通信功能组合在一起，通过一个全局的名字可以调用这个功能。例如远程数据库访问可组成一个应用进程，这个应用进程与远处的数据库服务进程交互作用（发出检索命令→接收响应→处理结果），完成数据库检索。应用进程的通信功能是由应用实体实现的，为了实现不同性质的通信，一个应用进程可能使用一个或多个应用实体。应用实体还可以再划分为应用服务元素（Application Service Element，ASE）。ASE是具有简单通信能力的功能模块，对等的ASE之间有专用的服务定义和协议规范，应用实体首先要与对等的应用实体建立应用联系（Application Association，AA），然后才能通信。建立应用联系的过程主要是交换应用上下文（Application Context，AC），AC可以用名字（对象标识符）引用一组ASE及其调用规则。在建立联系期间通过协商确定共同认可的应用上下文，并在应用活动期间遵守商定的通信规则。

应用服务元素分为公用服务元素和专用服务元素。在网络管理中使用的公用服务元素有联系控制服务元素ACSE和远程操作服务元素ROSE。ACSE主要用于建立和释放两个AEI间的应用关联并决定关联应用环境，这个元素对任何应用都是必要的。ROSE用于实现对等应用实体之间的远程过程调用，当管理站启动管理对象中的特殊操作时要利用这个元素。

网络管理中使用的专用服务元素叫公共管理信息服务元素（CMISE），这一组服务元素共同组成CMISE。CMISE共有七种，其中四种是确认的（类型为c），三种可以有或没有确认（类型为c/n）。在OSI管理标准中，公共管理服务元素和公共管理协议操作一一对应。

第二节　网络管理系统体系结构

一、网络管理框架

网络管理系统的界面虽然存在多样化，但具有相似的网络管理框架（图2－1），其共同特点如下。

（1）管理功能分为管理站（Manager）和代理（Agent）两部分。

（2）为存储管理信息提供数据库支持，例如关系数据库或面向对象的数据库。

（3）提供用户接口和用户视频（View）功能，例如GUI和管理信息浏览器。

（4）提供基本的管理操作，例如获取管理信息、配置设备参数等操作。

过程中目标管理应用是用户根据需要开发的软件，这种软件运行在具体的网络上，实现特定的管理目标，例如故障诊断和性能优化，或者业务管理和安全控制等。网络管理应用的开发是目前最有活力、最具增长性的市场。

图2－1　网络管理体系结构

每一个网络节点都包含一组与管理有关的软件，叫网络管理实体（NME）。网络管理实体完成下面的任务。

（1）收集有关通信和网络活动方面的统计信息。

（2）对本地设备进行测试，记录其状态信息。

（3）在本地存储有关信息。

（4）响应网络控制中心的请求，传送统计信息或设备状态信息。

（5）根据网络控制中心的指令，设置或改变设备参数。

网络中至少有一个节点（主机或路由器）担当管理站的角色（Manager），除了NME之外，管理站中还有一组软件，叫做网络管理实体（NME）。NME提供用户接口，根据用户的命令显示管理信息，通过网络向NME发出请求或指令，以便获取有关设备的管理信息，或者改变设备配置。

网络中的其他节点在NME的控制下与管理站通信，交换管理信息。这些节点中的NME模块叫做代理模块，网络中任何被管理的设备（主机、网桥、路由器或集线器等）都必须实现代理模块。所有代理在管理站监视和控制下协同工作实现集成的网络管理。这种集中式网络管理策略的好处是管理人员可以有效地控制整个网络资源，根据需要平衡网络负载，优化网络性能。然而，对于大型网络，集中式的管理往往显得力不从心，正在让位于分布式的管理策略，这种向分布式管理演化的趋势与集中式计算模型向分布式计算演化的总趋势是一致的。在这种配置中，分布式管理系统代替了单独的网络控制主机。地理上分布的网络管理客户机与一组网络管理服务器交互作用，共同完成网络管理功能。这种管理策略可以实现分部门管理：即限制每个客户机只能访问和管理本部门的部分网络资源，而由一个中心管理站实施全局管理。同时中心管理站还对管理功能较弱的客户机发出指令，实现更高级的管理。分布式网络管理的灵活性（Flexibility）和可伸缩性（Scalability）带来的好处日益为网络管理工作者所青睐，这方面的研究和开发是目前网络管理中最活跃的领域。

二、网络管理软件的结构

网络管理软件包括用户接口软件、管理专用软件和管理支持软件，用户通过网络管理接口与管理专用软件交互作用，监视和控制网络资源。接口软件不但存在于管理主机上，而且也可能出现在代理系统中，以便对网络资源实施本地配置、测试和排错。有效的网络管理系统需要统一的用户接口，而不论主机和设备出自何方厂家、运行什么操作系统，这样才可以方便地对异构型网络进行监控。接口软件还要有一定的信息处理能力，对大量的管理信息要进行过滤、统计，甚至求和与化简，以免传递的信息量太大而阻塞网络通道。另外，理想的用户接口应该是图形用户接口，而非命令或表格等形式。

第三节　简单网络管理协议SNMP

TCP/IP网络管理最初使用的是1987年11月提出的简单网关监控协议SGMP（Simple Gateway Monitoring Protocol），在此基础上改进成简单网络管理协议第一版SNMPv1（Simple Network Management Protocol），该协议陆续公布在1990年和1991年的几个RFC（Request For Comments）文件中，即RFC 1157（SMI）、1157（SNMP）、RFC1212（MIB定义）和RFC1213（MIB－2规范）。由于其具有简单性和易实现性，SNMPv1得到了许多制造商的支持和广泛应用。几年以后，在第一版的基础上改进了部分功能，提高了安全性，又发布了第二版SNMPv2（RFC1902—1908，1996）。现在，最新的标准SNMPv3（RFC2570—2575，Apr.1999）也已经完成了。

在同一时期用于监视局域网通信的标准——远程网络监视RMON（Remote Monitoring）也出现了，这就是RMON－1（1991）和RMON－2（1995）。这一组标准定义了监视网络通信的管理信息库，是SNMP管理信息库的扩充，与SNMP协议配合可以提供更加有效的管理性能，也得到了广泛应用。

另外，IEEE还定义了局域网的管理标准，即IEEE802.1bLAN/MAN管理。这个标准用于管理物理层和数据链路层的OSI设备，因而也叫做CMOL（CMIP over LLC）。为了适应电信网络管理的需要，ITU－T在1989年定义了电信网络管理标准TMN（Telecommunications Management Network），即M.30建议（蓝皮书）。

近年来，随着无界与智能两个概念的广泛发展与应用，网络管理的体系结构中也加入了这些扩展性与智能元素。使得网络管理系统更具有效性、智能性和鲁棒性。

一、SNMP管理结构及工作机制

1.SNMP管理结构

网络运行中心对网络及其设备的管理有三种方式：本地终端方式、远程Telnet命令方式、基于SMNP的代理/服务器方式。

1）本地终端方式

本地终端方式是通过被管理设备的RS－232接口，与网管机相连接，进行相应的监控、配置、计费、性能和安全等管理的方式。这种方式一般适用于管理单台重要的网络设备，例如路由器等。

2）远程Telnet命令方式

通过计算机网络对已知地址和管理口令的设备进行远程登录，并进行各种命令操作和管理。只适用于对网络中的单台设备进行管理。

远程Telnet命令方式与本地终端方式管理的区别是其可以异地操作，网络管理员不必亲自在现场进行管理。

3）基于SNMP的代理/服务器方式

SNMP体系结构有三个基本组成部分，包括：管理进程（Manager）、管理代理（Agent）和管理信息库（MIB）。

2.SNMPv1的工作机制

SNMPv1协议的工作机制具有以下特点，我们依次进行解释。

1）SNMPv1支持的操作

SNMP仅支持对管理对象值的检索和修改等简单操作。具体地说，SNMP实体可以对

MIB－2中的对象支持执行下列操作。

（1）Get：管理站用于检索管理信息库中标量对象的值。

（2）Set：管理站用于设置管理信息库中标量对象的值。

（3）Trap：代理用于向管理站报告管理对象的状态变化。

2）SNMP PDU格式

RFC1157给出了SNMPv1协议的定义，这个定义是用ASN.1表示的，在SNMP管理中，管理站和代理之间交换的管理信息构成了SNMP报文。报文由三部分组成，即版本号、团体名和协议数据单元（PDU）。报文头中的版本号是指SNMP的版本，RFC1157为第一版。团体名用于身份认证，我们将在下一节介绍SNMP的安全机制时谈到团体名的作用。SNMP共有五种管理操作，但只有四种PDU格式。管理站发出的三种请求报文GetRequest、GetNextRequest和SetRequest采用的格式是一样的，代理的应答报文格式只有一种——GetResponsePDU，从而减少了PDU的种类。

3）报文应答序列

SNMP报文在管理站和代理之间传送，包含GetRequest、GetNextRequest和SetRequest的报文由管理站发出，代理以GetRequest响应。Trap报文由代理发给管理站，不需要应答。一般来说，管理站可连续发出多个请求报文，然后等待代理返回应答报文。如果在规定的时间内收到应答，则按照请求标识进行配对，即应答报文必须与请求报文有相同的请求标识。

4）报文发送和接收

当一个SNMP协议实体（PE）发送报文时执行下面的过程：首先是按照ASN.1的格式构造PDU，交给认证进程；认证进程检查源和目标之间是否可以通信，如果通过这个检查则把有关信息（版本号、团体名、PDU）组装成报文；最后经过BER编码，交传输实体发送出去。

当一个SNMP协议实体（PE）接收到报文时执行的过程：首先是按照BER编码恢复ASN.1报文，然后对报文进行语法分析、验证版本号和认证信息等；如果通过分析和验证，则分离出协议数据单元，并进行语法分析，必要时经过适当处理后返回应答报文；在认证检验失败时可以生成一个陷入报文，向发送站报告通信异常情况；无论何种检验失败，都丢弃报文。

SNMP操作访问对象实例，而且只能访问对象标识符树的叶子节点。然而为了减少通信负载，我们希望一次检索多个管理对象，把多个变量的值装入一个PDU，这时要用到变量绑定表。RFC1157建议在Get和GetNext协议数据单元中发送实体把变量置为ASN.1的NULL值，接收实体处理时忽略它，在返回的应答协议数据单元中设置为变量的实际值。

二、SNMPv1的安全机制

1.团体的概念

SNMP网络管理是一种分布式应用。这种应用的特点是管理站和被管理站之间的关系可以是一对多关系，即一个管理站可以管理多个代理，从而管理多个被管理设备。此外，管理站和代理之间还可能存在多对一的关系。代理控制自己的管理信息库，也控制多个管理站对管理信息库的访问，例如，只有授权的管理站才允许访问管理信息库，或者限制不同的管理站可以访问管理信息库的不同部分。另外，委托代理也可能按照预定的访问策略控制对其代理的设备的访问。RFC1157为此提供的认证和控制机制就是这种最初等、最基本的团体名验证功能。

2.简单的认证服务

一般来说，认证服务的目的是保证通信是经过授权的。具体到SNMP环境中，认证服务主要是保证接收的报文来自它所声称的源。RFC1157提供的只是最简单的认证方案：从管理站发送到代理的报文（Get、Set等）都有一个团体名，就像是口令字一样，通过团体名验证的报文才是最有效的。

3.访问策略

前面说过，代理系统可以通过设置团体选择访问MIB的管理站，或者通过定义管理对象的访问模式限制管理站对MIB的访问。这样，所谓的访问控制就有以下两方面的含义。

（1）MIB视阈：MIB中对象的一个子集，对不同的团体可以定义不同的视阈（View）。属于同一视阈的对象不必属于同一子树。

（2）访问模式：集合｛read－only，read－write｝的一个元素。对于一个团体可以定义一种访问模式。

4.委托代理服务

团体形象的概念同样适用于委托代理服务。通常，委托代理是代表不支持SNMP的设备工作的。但是在有些情况下，被代理的设备也可能支持TCP/IP和SNMP，而委托代理的作用是减少被代理的设备与管理站之间的交互过程。对于被代理的设备，委托代理定义并且维护一种SNMP访问策略。委托代理知道哪些MIB对象代表被管理的设备，也知道这些设备的访问模式。

三、SNMPv1操作

1.检索简单对象

检索简单的标量对象值可以用Get操作，如果变量绑定表中包含多个标量，一次还可以检索多个标量对象的值。接收GetRequest的SNMP实体应请求标识相同的GetRequest响应。特别要注意的是GetRequest操作的原子性：如果所有请求的对象值可以得到，则给予应答；反之，只要有一个对象的值得不到，则可能返回下列错误条件之一。

（1）变量绑定表中的一个对象无法与MIB中的任何对象标识符匹配，或者要检索的对象是一个数据块（子树或表），没有对象实例生成。在这些情况下，响应实体返回的GetRequest－PDU中错误状态字段置为noSuch Name，错误索引设置为一个数，指明有问题变量。变量绑定表中不返回任何值。

（2）响应实体可以提供所有要检索的值，但是变量太多，一个响应PDU装不下，这往往是由下层协议数据单元大小限制的。这时响应实体返回一个应答PDU，错误状态字段置为tooBig。

（3）由于其他原因（例如代理不支持）响应实体至少不能提供一个对象的值，则返回的PDU中错误字段置为genError，错误索引置一个数，指明有问题的变量。变量绑定表中不返回任何值。

2.检索未知对象

GetNext命令检索变量名指示下一个对象实例，但是并不要求变量名是对象标识符，或者是实例标识符。

3.检索表对象

GetNext可用于有效地搜索表对象。

4.表的更新和删除

Set命令用于设置或更新变量的值。它的PDU格式与Get是相同的，但是在变量绑定表中必须包含要设置的变量名和变量值。对于Set命令的应答也是GetResponse，同样是原子性的。如果所有的变量都可以设置，则更新所有变量的值，并在应答GetResponse中确认变量的新值；如果至少有一个变量的值不能设置，则所有变量的值都保持不变，并在错误状态中指明出错的原因。Set出错的原因与Get是类似的（tooBig，noSuchName和genError），然后若有一个变量的名字和要设置的值在类型、长度或实际方面不匹配，则返回错误条件badValue。

5.陷入操作

陷入是由代理向管理站发出的异步事件报告，不需要应答报文。SNMP规定了以下七种陷入条件。

（1）coldStart：发送实体重新初始化，代理的配置已改变，通常是由系统失效引起的。

（2）warmStart：发送实体重新初始化，但代理的配置没有改变，这是正常的重启动过程。

（3）linkDown：链路失效通知，变量绑定表的第一项指明对应接口表的索引变量及其变值。

（4）linkUp：链路启动通知，变量绑定表的第一项指明对应接口表的索引变量及其值。(www.xing528.com)

（5）authenticationFailure：发送实体收到一个没有通过认证的报文。

（6）egpNeighborLoss：相邻的外部路由器失效或关机。

（7）enterpriseSpecific：由设备制造商定义的陷入条件，在特殊陷入（specific－trap）字段指明具体的陷入类型。

四、SNMP功能组

SNMP组包含的是关系到SNMP协议的实现和操作。这一组共有30个对象，在只支持SNMP站管理功能或只支持SNMP代理功能的实现中，有些对象是没有值的。除了最后一个对象，这一组的其他对象都是只读的计数器。对象snmpEnableAutheuTrap可以由管理站设置，它指示是否允许代理产生“认证失效”陷入，这种设置优先于代理自己的配置，这样就提供了一种可以排除所有认证失效陷入的手段。

五、实现问题

1.网络管理站的功能

（1）支持扩展的MIB：强有力的SNMP对管理信息库的支持必须是开放的。特别对于管理站来说，应该能够装入其他制造商定义的扩展MIB。

（2）图形用户接口：好的用户接口可以使网络管理工作更容易、更有效。通常要求具有图形用户接口，而且对网络管理的不同部分有不同的窗口。例如能够显示网络拓扑接口、显示设备的地理位置和状态信息，可以计算并显示通信统计数据图表，具有各种辅助计算工具等。

（3）自动发现机制：要求管理站能够自动发现代理系统，能够自动建立图标并绘制出连接图形。

（4）可编程的事件：支持用户定义事件，以及出现这些事件时执行的动作。例如路由器失效时应闪动图标或改变图标的颜色，显示错误状态信息，向管理员发送电子邮件，并启动故障检测程序等。

（5）高级网络控制功能：例如配置管理站使其可以自动地关闭有问题的集线器，自动地分离出活动过度频繁的网段等。这样的功能要使用set操作。由于SNMP欠缺安全性，很多产品不支持set操作，所以这种要求很难满足。

（6）面向对象的管理模型：SNMP其实不是面向对象的系统。但很多产品是面向对象的系统，也能支持SNMP。

（7）用户定义的图标：方便用户为自己的网络设备定义有表现力的图标。

2.轮询频率

我们需要一种能提高网络管理性能的轮询策略，以决定合适的轮询频率。通常轮询频率与网络的规模和代理的多少有关，而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其他因素，所以很难给出准确的判断规则。为了使问题简化，我们假定管理站一次只能与一个代理作用，轮询只是采用get请求/响应这种简单形式，而且管理站全部时间都用来轮询，于是我们有下面的不等式：

　　　　　N≤T/Δ

其中：N——被轮询的代理数；

　T——轮询间隔；

　Δ——单个轮询需要的时间。

Δ与下列因素有关：①管理站生成一个请求报文的时间；②从管理站到代理的网络延迟；③代理处理一个请求报文的时间；④代理产生一个响应报文的时间；⑤从代理到管理站的网络延迟；⑥为了得到需要的管理信息，交换请求/响应报文的数量。

3.SNMPv1的局限性

用户利用SNMP进行网络管理时一定要清楚SNMPv1本身的局限性。

（1）由于轮询的性能限制，SNMP不适合管理很大的网络。轮询产生的大量管理信息传送可能引起网络响应时间的增加。

（2）SNMP不适合检索大量的数据，例如检索整个表中的数据。

（3）SNMP的陷入报文没有应答的，管理站是否收到陷入报文，代理不得而知。这样可能丢掉很重要的管理信息。

（4）SNMP只提供简单的团体名认证，这样的安全措施是很不够的。

（5）SNMP并不直接支持向被管理设备发送命令。

（6）SNMP的管理信息库MIB－2支持的管理对象是有限的，不足以完成复杂的管理功能。

（7）SNMP不支持管理站之间的通信，而这一点在分布式网络管理中是很需要的。

以上局限性有很多在SNMP的第二版中都有所改进。

第四节　管理信息库（MIB）

一、管理信息结构（SMI）

管理信息结构SMI（Structure of Management Information）用于定义存储在MIB中管理信息的语法和语义，对MIB进行定义和构造。

为满足协同操作的要求，SMI提供了以下标准化技术表示管理信息：定义了MIB的层次结构；提供了定义管理对象的语法结构；规定了对象值的编码方法。

管理信息结构（SMI）说明了定义和构造MIB的总体框架，以及数据类型的表示和命名方法。SMI的宗旨是保持MIB的简单型和可扩展性，只允许存储标量和二维数组，不支持复杂的数据结构，从而简化了实现，加强了互操作性。

SMI提供了以下标准技术表示管理信息。

（1）定义了MIB的层次结构。

（2）提供了定义管理对象的语法结构。

（3）规定了对象值的编码方法。

SNMP环境中的所有被管理对象都是按层次性的结构或树型结构来排列的，如图2－2所示。树结构端节点对象就是实际的被管理对象，每一个对象都代表一些资源、活动或其他要管理的相关信息。

树型结构本身定义了如何把对象组合成逻辑相关的集合。并且层次树结构有以下三个作用。

（1）表示管理和控制关系。

（2）提供了结构化的信息组织技术。

（3）提供了对象命名机制。

图2－2　被管理对象的树结构

SMI在Internet节点下面定义了四个节点。

（1）Directory：为将来使用OSI目录保留。

（2）Mgmt：用于由IAB批准的所有管理对象，而mib－2是Mgmt的第一个子节点。

（3）Experimental：用来识别在互联网上实验时使用的所有管理对象。

（4）Private：用于识别单方面定义的对象，或者说是为私人企业管理信息准备的。

例如，一个私人企业LT公司，向Internet编码机构申请注册，并得到一个代码100（Cisco公司为9、HP公司为11、3Com公司为43）。该公司为它的令牌环适配器赋予代码为25，则令牌环适配器的对象标识为1.3.6.1.4.1.100.25。

二、MIB－2功能组（RFC1213）

RFC1213定义了管理信息库第二版，即MIB－2。这个文件包含11个功能组，如表2－1所示，共171个对象。RFC1213说明了选择这些对象的标准。

（1）包括了故障管理和配置管理需要的对象。

（2）只包含“弱”控制对象。所谓“弱”控制对象就是一旦出错对系统不会造成严重危害的对象。这反映了当前的管理协议不很安全，不能对网络实施太强的控制。

（3）选择经常使用的对象，并且友好证明当前的网络管理中正在使用。

（4）为了容易实现，开发MIB－1时限制对象数为100个左右，在MIB－2中，这个限制稍有突破（117个）。

（5）不包含具体实现（例如BSD UNIX）专用的对象。

（6）为了避免冗余，不包括那些可以从已有对象导出的对象。

（7）每个协议层的每个关键部分分配一个计数器，这样可以避免复杂的编码。

MIB－2只包括那些被认为是必要的对象，不包括任选的对象。对象的分组方便了管理实体的实现。一般来说，制造商如果认为某个功能组是有用的，则必须实现该组的所有对象。例如一个设备实现TCP协议，则它必须实现tcp组所有对象，当然网桥或路由器就不必实现tcp组。

表2－1　MIB－2功能组

第五节　远程网络监视RMON

一、RMON的基本概念

1.远程网络监视的目标

离线操作：必要时管理站可以停止对监控器轮询，有限的轮询可以节省网络带宽和通信费用。即使不受管理站查询，监视器也要持续不断地收集子网故障、性能和配置方面的信息。统计和积累数据，以便管理站查询时及时提供管理信息。另外，在网络出现异常情况时监视器要及时报告管理站。

主动监视：如果监视器有足够的资源，通信负载也允许，监视器可以连续地或周期地运行诊断程序，获得并记录网络性能参数。在子网出现失效时通知管理站，给管理站提供有用的诊断故障信息。

问题检测和报告：如果主动监视消耗网络资源太多，监视器也可以被动地获取网络数据。可以配置监视器，使其连续观察网络资源的消耗情况，记录随时出现的异常条件（例如网络拥挤），并在出现错误条件时通知管理站。

提供增值数据：监视器可以分析收集到的子网数据，从而减轻管理站的计算任务。例如监视器可以分析子网的通信情况，计算出哪些主机通信最多，哪些主机出错最多等。这些数据的收集和计算由监视器来做，比由远处的管理站来做更有效。

多管理站操作：一个互联网可能有多个管理站，这样可以提高可靠性，或者实现各种不同的管理功能。监视器可以配置为能够并发地工作，为不同的管理站提供不同的信息。不是每一个监视器都能实现所有这些目标，但是RMON规范提供了实现这些目标的基础结构。

2.表管理原理

在SNMPv1管理框架中，对表操作的规定是很不完善的，至少增加和删除表行的操作是不明确的。这种模糊性常常是读者提问的焦点和用户抱怨的根源。RMON规范包含一组文字约定和过程化规则，在不修改、不违反SNMP管理框架的前提下提供了明晰而规律的行增加和行删除操作。

3.多管理站访问

RMON监视器应允许多个管理站并发地访问，当多个管理站访问时可能出现以下问题。

（1）多个管理站对资源的并发访问可能超过监视器的能力。

（2）一个管理站可能长时间占用监视器资源，使得其他站得不到访问。

（3）占用监视器资源的管理站可能崩溃，却没有释放资源。

RMON控制表中的列对象Owner规定了表行的所属关系，所属关系有以下用法，可以解决多个管理站并发地访问的问题。

（1）管理站能识别自己所属的资源，也知道自己不再需要的资源。

（2）网络操作员可以知道管理站占有的资源，并决定是否释放这些资源。

（3）一个被授权的网络操作员可以单方面地决定其他操作员是否保有资源。

（4）如果管理站经过了重启动过程，它应该首先释放不再使用的资源。

RMON规范建议，所属标志应包括IP地址，管理站名，网络管理员的名字、地点和电话号码等。所属标志不能作为口令或访问控制机制使用。在SNMP管理框架中唯一的访问控制机制是SNMP视阈和团体名。如果一个可读/写的RMON控制表出现在某些管理站的视阈中，则这些管理站都可以进行读/写访问。但是控制表行只能由其所有者改变或删除，其他管理站只能进行读访问。这些限制的实施已超出了SNMP和RMON的范围。

为了提供共享的功能，监视器通常配置一定的默认功能。定义这些功能的控制行的所有者是监视器，所属标志的字符串以监视器名打头，管理站只能以只读方式利用这些功能。

二、RMON的管理信息库

RMON规范定义了管理站信息库RMON MIB，它是MIB－2下面的16个子树。RMON MIB分为10组，存储在每一组中的信息都是监视器从一个或几个子网中统计和收集的。这10个功能组都是任选的，但实现时有下列连带关系。

（1）实现警报组时必须实现事件组。

（2）实现最高N台主机组时必须实现主机组。

（3）实现捕获组时必须实现过滤组。

三、RMON2的管理信息库

1.RMON2MIB的组成

RMON2监视OSI/RM第三到第七层的通信，并且能够对数据链路层以上的分组进行译码。这使得监视器可以管理网络层协议，包括IP协议，因而能了解分组的源和目标地址，能知道路由器负载的来源，使得监视的范围扩大到局域网之外。监视器也能监视应用层协议，例如电子邮件协议、文件传输协议、HTTP协议等，这样监视器就可以记录主机应用活动的数据，可以显示各种应用活动的图表。这些对网络管理人员都是很重要的信息。另外，在网络管理标准中，通常把网络层之上的协议都叫做应用层协议，以后提到的应用层包含OSI的五、六、七层。

2.RMON2增加的功能

RMON2引入了两种与对象索引有关的新功能，增加了RMON2的能力和灵活性。

3.检索表对象

RMON2新功能的应用，主要是网络协议的表示方法，用户历史的定义方法和监视器的标准配置方法等。