網(wǎng)絡(luò)管理技術(shù)與應(yīng)用

1、網(wǎng)絡(luò)管理技術(shù)與應(yīng)用,李 艇,第4章管理信息庫,MIB-2功能組4.1 系統(tǒng)組4.2 接口組4.3 地址轉(zhuǎn)換組4.4 IP組4.5 ICMP組4.6 TCP組4.7 UDP組,MIB-2功能組,在RFC1213定義的MIB-Ⅱ是當(dāng)前應(yīng)用的管理信息庫標(biāo)準(zhǔn)。它是MIB-Ⅰ的擴(kuò)充，增加了一些對(duì)象和組。文件包含11個(gè)功能組和175個(gè)對(duì)象。,mib-Ⅱ的對(duì)象ID為1.3.6.1.2.1。,,表4-1 MIB-2功能組

2、,返回本章首頁,4.1 系統(tǒng)組（System group）,系統(tǒng)組所包含的對(duì)象用來描述被管理網(wǎng)絡(luò)設(shè)備的最高級(jí)特性和通用配置信息。（如系統(tǒng)名，對(duì)象ID等）NMS向?qū)ο蟀l(fā)送get-request報(bào)文。,,NMS應(yīng)用系統(tǒng)組獲得的一個(gè)路由器的系統(tǒng)數(shù)據(jù),,Title: System Information: router1.gxtech.eduName or IP Address ： 172.16.252.1System Name ： :r

3、outer1.gatech.eduSystem Description ：Cisco Internetwork Operating System Software IOS?7000 Software(C7000-JS-M),Version11.2(6), RELEASE OFTWARE(gel) Copyright(c )1986-1997 by Cisco Systems, Inc. Compiled T

4、ue 06-May-97 19:11 by kuongSystem Contact :System Location :SystemObjectID: iso.org.dod.internet.private.enterprises.cisco.ciscoProducts.cisco 7000System Up Time : (315131795) 36 days,11：21：57.95圖4-2

5、System Information on Router,系統(tǒng)組的構(gòu)成,,,1.系統(tǒng)服務(wù)對(duì)象sysServices:是7位二進(jìn)制數(shù)，每一位對(duì)應(yīng)OSI和TCP/IP結(jié)構(gòu)中的一層。 如果系統(tǒng)提供某一層服務(wù)，則對(duì)應(yīng)的位為1，否則為0。例如，一個(gè)節(jié)點(diǎn)的系統(tǒng)提供應(yīng)用層和網(wǎng)絡(luò)層服務(wù)，則sysServices對(duì)象具有值1000100=6810。2.系統(tǒng)啟動(dòng)時(shí)間sysUpTime:管理站周期地查詢某個(gè)計(jì)數(shù)器的值，同時(shí)也查詢系統(tǒng)啟動(dòng)時(shí)間的值，

6、相比之下，管理站就可以知道該計(jì)數(shù)器在多長(zhǎng)時(shí)間中變化了多少值。另外，在故障管理中，管理站可以周期地查詢代理這個(gè)值，如果發(fā)現(xiàn)當(dāng)前得到的值比最近一次得到的值小，則可推斷出代理的系統(tǒng)已經(jīng)重新啟動(dòng)過了。,返回本章首頁,4.2 接口組（Interface group）,用于實(shí)體的物理接口方面的配置信息和發(fā)生在每個(gè)接口的事件的統(tǒng)計(jì)信息。允許接口可以是點(diǎn)對(duì)點(diǎn)的連接，但一個(gè)接 口一般依附于一個(gè)子網(wǎng)。該功能組對(duì)所有的系統(tǒng)都是必須實(shí)現(xiàn)的。由兩個(gè)節(jié)點(diǎn)構(gòu)

7、成,4.2 接口組（Interface group）,變量ifNumber是指網(wǎng)絡(luò)接口數(shù)。每個(gè)接口相關(guān)的信息由表對(duì)象ifTable定義，每個(gè)接口對(duì)應(yīng)一個(gè)表項(xiàng)。該表的索引是ifIndex。取值為1到ifNumber之間的數(shù)。IfType是接口類型的定義，常用的接口類型有54種，每種接口都有一個(gè)標(biāo)準(zhǔn)編碼。如ethernet-csmacd(6), iso88025-tokenRing(9)等。,4.2 接口組（Interface gro

8、up）,關(guān)于接口狀態(tài)的對(duì)象。ifAdminStatus對(duì)象為可讀可寫，使得管理者能為該接口設(shè)定理想的操作參數(shù)。ifOperStatus對(duì)象是只讀的，反映出接口的當(dāng)前實(shí)際工作狀態(tài)。如果兩個(gè)對(duì)象的值都為down(2),則該接口已被管理站關(guān)閉，如果IfAdminStatus的值為up(1)而IfOperStatus的值為down(2)，則表明該接口出現(xiàn)了故障。,4.2 接口組（Interface group）,對(duì)象ifSpeed是一個(gè)只讀

9、計(jì)量器，表示接口的速率。例如ifSpeed取值10000000表示10Mbps.有些接口速率可根據(jù)參數(shù)變化，ifSpeed的值反映了接口當(dāng)前的數(shù)據(jù)速率。接口組中的對(duì)象可用于故障管理和性能管理。,4.2 接口組（Interface group）,例如可以通過檢查進(jìn)出接口的字節(jié)數(shù)(ifInUcastPkts和ifOutUcastPkts)或隊(duì)列長(zhǎng)度(ifOutQLen)檢測(cè)擁擠；可以通過接口狀態(tài)獲知工作情況.統(tǒng)計(jì)出輸入/輸出的錯(cuò)誤率：

10、 輸入錯(cuò)誤率=ifInErrors/(ifInUcastPkts+ifInNUcastPkts) 輸出錯(cuò)誤率=ifOutErrors/(ifOutUcastPkts+ifOutNUcastPkts)提供接口發(fā)送的字節(jié)數(shù)和分組數(shù)以作為計(jì)費(fèi)的一種數(shù)據(jù)依據(jù)。,返回本章首頁,4.3 地址轉(zhuǎn)換組（Address translation group）,地址轉(zhuǎn)換組包含一個(gè)表,每一行對(duì)應(yīng)系統(tǒng)的一個(gè)物理接口，提供從網(wǎng)絡(luò)地址到物理地址的映射關(guān)

11、系。網(wǎng)絡(luò)地址是指系統(tǒng)在該接口的IP地址，物理地址取決于子網(wǎng)的種類。如果接口連接一個(gè)局域網(wǎng)，則物理地址是對(duì)該接口的MAC地址。,4.3 地址轉(zhuǎn)換組（Address translation group）,4.3 地址轉(zhuǎn)換組（Address translation group）,,返回本章首頁,4.4 IP組,IP組提供與IP協(xié)議有關(guān)的信息。在網(wǎng)絡(luò)中路由器周期性的執(zhí)行路由算法并更新路由表。IP組定義執(zhí)行網(wǎng)絡(luò)層協(xié)議（如主機(jī)和

12、路由器）的節(jié)點(diǎn)的所有需要的參數(shù)。其功能組是必須實(shí)現(xiàn)的。IP組包含三個(gè)表對(duì)象：IP地址表、IP路由表和IP地址轉(zhuǎn)換表。,4.4 IP組,通過IP MIB我們可以獲得IP層的任何輔助信息。如對(duì)象ipForwarding的值表示節(jié)點(diǎn)（路由器或網(wǎng)關(guān)）在兩個(gè)自主的網(wǎng)絡(luò)之間是否在起作用。IpInAddrErrors能使我們檢測(cè)到因IP地址出錯(cuò)而丟棄的數(shù)據(jù)報(bào)的總數(shù)。,IP地址表,IP地址表的結(jié)構(gòu)和對(duì)象描述:,IP地址表,IpAddrTab

13、le包含與本地IP地址有關(guān)的信息。每一行對(duì)應(yīng)一個(gè)IP地址，其值與接口表的ifIndex一致。表中的對(duì)象值可以用get-request或get-next-request消息得到。在配置管理中，可以利用這個(gè)表中的信息檢查網(wǎng)絡(luò)接口的配置情況。表中的對(duì)象屬性都是只讀的，所以SNMP不能改變主機(jī)的IP地址。IpAdEntAddr為表的索引項(xiàng)。 (,IP路由表,,,IP路由表,IP路由表：ipRouteTable包含關(guān)于轉(zhuǎn)換路由的一般信息

14、。表中的一行對(duì)應(yīng)于一個(gè)已知的路由，由目的IP地址ipRouteDest作為該表的索引項(xiàng)。對(duì)于每一個(gè)路由，通向下一個(gè)結(jié)點(diǎn)的本地接口由ipRouteIfIndex表示，其值與接口表中的ifIndex一致。,IP路由表,IpRouteTable中的所有對(duì)象對(duì)故障管理都是有用的。通過ipRouteType和ipRouteProto可得知路由信息是如何得到的。每個(gè)路由對(duì)應(yīng)的路由協(xié)議由變量ipRouteProto指明 其中 RIP、HE

15、LLO、OSPF為內(nèi)部路由協(xié)議。BGP為外部路由協(xié)議。 有些是制造商專用的協(xié)議，如ciscoIgrp為CISCO專用。 如果路由是人工配置，則ipRouteProto表示為local.,IP路由表,IpRouteTable中的信息可用于配置管理。表中的對(duì)象是可讀寫的，可用SNMP設(shè)置路由信息。IpRouteTable也可用于故障管理。如果用戶不能與遠(yuǎn)程主機(jī)建立連接，可檢查路由表中的信息是否有錯(cuò)。,IP地址轉(zhuǎn)換表,IP地址轉(zhuǎn)換表:i

16、pNetToMediaTable提供了物理地址和IP地址的對(duì)應(yīng)關(guān)系。每個(gè)接口對(duì)應(yīng)表中的一項(xiàng)。這個(gè)表與地址轉(zhuǎn)換組語義相同。,IP地址轉(zhuǎn)換表,例2.1：有一用戶無法使自己的機(jī)器連接到網(wǎng)絡(luò)中心的一臺(tái)服務(wù)器上。其網(wǎng)絡(luò)設(shè)置如圖所示。問如何診斷出故障原因？,,,分析過程如下：Ø   首先檢查管理系統(tǒng)中的網(wǎng)絡(luò)地圖，通過ifOperStatus和ifAdminStatus讀取網(wǎng)絡(luò)各設(shè)備的接口當(dāng)前的工作狀態(tài)，若MIB值均為

17、up則可以確信所有的網(wǎng)絡(luò)設(shè)備都運(yùn)行正常。 Ø  找出用戶機(jī)器與服務(wù)器之間正在使用的路由。通過ipRouteDest, ipRouteNextHop和ipRouteIfIndex來查詢用戶機(jī)器，請(qǐng)求到服務(wù)器的下一站。（如通過用戶機(jī)器的一接口到達(dá)路由器A）,u 使用ipRouteDest對(duì)象來找出到達(dá)服務(wù)器的路由項(xiàng)u   使用ipRouteNextHop得到下一站的IP地址

18、u  使用ipRouteIfIndex得到實(shí)體的外出接口,Ø   向路由器A請(qǐng)求同樣的信息，得出路由器A是通過接口 “Ethernet3”經(jīng)由路由器B向服務(wù)器轉(zhuǎn)發(fā)數(shù)據(jù)的。Ø   向路由器B請(qǐng)求同樣的信息，得出路由器B是通過接口“TokenRing”直接發(fā)送數(shù)據(jù)給服務(wù)器。從而確認(rèn)是否有一條有效路徑。Ø  

19、 通過ipNetToMedia表中的對(duì)象得到IP地址到MAC地址的映射。使用表中的ipNetToMediaIfIndex, ipNetToMediaPhysAddress, ipNetToMediaNetAddress Ø   若在接口“TokenRing”含有關(guān)于服務(wù)器的一項(xiàng)則可確認(rèn)路由器B 已和服務(wù)器通信了。,返回本章首頁,4.5 ICMP組,該組僅由發(fā)送或接收到的各種ICMP信息的計(jì)數(shù)器組成

20、。通過ICMP組的對(duì)象可以對(duì)網(wǎng)絡(luò)的性能管理功能進(jìn)行分析。,,,例如:一個(gè)用戶在與遠(yuǎn)程登錄的主機(jī)會(huì)話時(shí)性能非常慢，我們可以使用性能管理工具和性能管理對(duì)象對(duì)網(wǎng)絡(luò)進(jìn)行分析。  首先，用性能管理對(duì)象檢查主機(jī)CPU的負(fù)載情 況，可用圖形方式顯示。若CPU利用率很高70%-90%?？膳懦脩艉屯ㄐ啪€路的問題.      檢查主機(jī)的用戶數(shù)和進(jìn)程數(shù)。若兩個(gè)數(shù)值都很小，說明C

21、PU負(fù)載為非正常的使用。 通過查看ICMP組對(duì)象icmpInEchos、icmpOutEchos、icmpInEchoReps和 icmpOutEchoReps的數(shù)量，若數(shù)量很大則說明某個(gè)或某些ICMP分組消耗了太多的系統(tǒng)資源，引起了主機(jī)性能的下降。,4.5 ICMP組,一個(gè)實(shí)體若接收到大量的icmpInSreQuenchs可能意味著是網(wǎng)絡(luò)上的擁擠。若其發(fā)送大量的icmpOutSreQuenchs則可能意味著該實(shí)體用盡

22、了資源。當(dāng)有IP錯(cuò)誤時(shí)，則可通過查看icmpInErrors和icmpOutErrors的數(shù)量來確定是否是ICMP分組導(dǎo)致的問題。,返回本章首頁,4.6 TCP組,l      tcp組包含與TCP協(xié)議的實(shí)現(xiàn)和操作有關(guān)的信息,4.6 TCP組,4.6 TCP組,表中的前3項(xiàng)與重傳有關(guān)。當(dāng)TCP實(shí)體發(fā)送數(shù)據(jù)段后就等待應(yīng)答，并開始計(jì)時(shí)。如果超時(shí)后沒有得到應(yīng)答，就認(rèn)為數(shù)據(jù)段丟

23、失了，因而要重新發(fā)送。 對(duì)象tcpRtoAlgorithem說明計(jì)算重傳時(shí)間的算法，其取值為：l       other(1): 不是以下的任何取值。l       constant(2): 重傳的超時(shí)值為常數(shù)。l   rsre(3): 該算法根據(jù)通信流量情況動(dòng)態(tài)地計(jì)算超時(shí)值。l&#

24、160;  vanj(4): 是由Van Jacobson發(fā)明的一種動(dòng)態(tài)算法。在網(wǎng)絡(luò)往返時(shí)間變化較大時(shí)比前一種算法要更適合一些。,4.6 TCP組,Tcp組只包含一個(gè)連接表,4.6 TCP組,TCP組對(duì)象可以用配置管理、性能管理和計(jì)費(fèi)管理 。 TCP重傳策略和相關(guān)的時(shí)間配置會(huì)對(duì)該協(xié)議的傳輸性能有很大的影響。通過查詢對(duì)象tcpRtoAlgorithm, tcpRtoMax和tcpRtoMin可以獲得TCP當(dāng)前的

25、配置。 通過tcpMaxConn可以配置一個(gè)網(wǎng)絡(luò)使其能夠處理所需數(shù)目的遠(yuǎn)程TCP連接。tcpCurrEstab中的當(dāng)前連接數(shù)包含在TCP連接總數(shù)之內(nèi)。而TCP連接數(shù)越多，系統(tǒng)性能會(huì)越差。 建立連接被拒絕的次數(shù)可以用來衡量網(wǎng)絡(luò)的可靠性。通過對(duì)象tcpAttemptFails和tcpEstabResets取值的大小來判斷網(wǎng)絡(luò)的拒絕率。,4.6 TCP組,通過tcpRetrasSegs的值可以得到系統(tǒng)重新發(fā)送TCP段的個(gè)數(shù)。重傳次數(shù)

26、的增加可以分析實(shí)體為了保證可靠性是否不得不發(fā)送數(shù)據(jù)的多個(gè)副本 tcpInErrs對(duì)象值的增加是因?yàn)橄到y(tǒng)接收到了錯(cuò)誤的TCP段。在一般情況下，該值的增加是由于系統(tǒng)中一些其它錯(cuò)誤引起的結(jié)果。 對(duì)象tcpOutRsts值的增加有多方面的原因，可能是用戶請(qǐng)求重置一個(gè)連接或網(wǎng)絡(luò)資源問題引起的，也有可能是因網(wǎng)絡(luò)的不穩(wěn)定所至。 在不同的時(shí)間查詢tcpInSegs和tcpOutSegs的值，可以檢測(cè)TCP接收和發(fā)送實(shí)體的速率。以得到其傳輸

27、性能。,4.6 TCP組,對(duì)于計(jì)費(fèi)管理，可以分別查詢連接次數(shù)tcpActeveOpens，tcpPassiveOpens和TCP段計(jì)數(shù)tcpInSegs，tcpOutSegs的值。這些信息對(duì)計(jì)費(fèi)管理是非常重要的。       通過計(jì)費(fèi)管理應(yīng)用查詢對(duì)象tcpConRemAddress可以確定一個(gè)TCP連接的當(dāng)前遠(yuǎn)程系統(tǒng)地址。每隔一段時(shí)間對(duì)一個(gè)實(shí)體查詢一次該值，系統(tǒng)

28、管理者可以確定哪個(gè)遠(yuǎn)程系統(tǒng)使用了本地的資源和使用的時(shí)間并產(chǎn)生使用本地實(shí)體的帳單。     另外，tcpConnTable中的信息也可以用在安全管理，如跟蹤某遠(yuǎn)程系統(tǒng)通過TCP訪問本地資源，獲得入侵的所有記錄。,返回本章首頁,4.7 UDP組,udp組包含有關(guān)結(jié)點(diǎn)上UDP實(shí)現(xiàn)和操作的信息。,4.7 UDP組,關(guān)于UDP組對(duì)象可以用于配置管理、安全管理和計(jì)費(fèi)管理。l &#

29、160;   通過檢測(cè)udpTable可以確定實(shí)體的應(yīng)用設(shè)置是否正確，即可用于監(jiān)視網(wǎng)絡(luò)服務(wù)。l  安全管理也可以使用udpTable中的信息。通過tcpConnTable 檢測(cè)到末授權(quán)的訪問者之后，可檢查所有系統(tǒng)的udpTable以便查出該本地端口是否有敏感信息被訪問。l      通過使用udpInDatagrams和udpOutDatagr