網絡管理論文范文
前言:我們精心挑選了數篇優質網絡管理論文文章,供您閱讀參考。期待這些文章能為您帶來啟發,助您在寫作的道路上更上一層樓。
第1篇
由于SNMP網絡管理的學習并不像普通的系統維護那么簡單,它不但要求我們的網絡管理員要深入了解網絡中的交換和路由設備,還要求我們能夠透徹認識SNMP協議原理,所以這種管理方式在大部分中小規模局域網中的運用并不多見。但因為SNMP是目前在計算機網絡中用得最廣泛的網絡管理協議,所以我們可以肯定的說:一個連SNMP都不清楚的網絡管理員就絕對不是一個好的網絡管理員。本文中筆者將帶領大家一步一步地去學習SNMP網絡管理,盡量減少枯燥的理論知識、加大實踐力度,將原本仿佛遙不可及的SNMP拉到大家的身邊,讓大家切身體會到SNMP網絡管理在日常工作中的重要意義。
初識SNMP網絡管理
SNMP的英文全稱是SimpleNetworkManagementProtocol,中文名為簡單網絡管理協議,是一個基于TCP/IP協議的網絡管理標準。SNMP網絡管理包含兩個部分:網絡管理站(也叫管理進程,manager)和被管的網絡單元(也叫被管設備)。網絡管理站通常是一臺安裝了網絡管理軟件的計算機,可以顯示所有被管設備的狀態,我們一般稱之為網管工作站;而被管設備則種類繁多,包括交換機、路由器、防火墻、服務器以及打印機等等,被管設備上的管理軟件我們稱之為進程,用于回答管理進程(網管工作站)的查詢。圖1顯示了一個使用兩臺SNMP網管工作站進行網絡管理的拓撲結構。
在圖1中,兩臺網管工作站上面分別安裝了SNMP網絡管理軟件,以對局域網中的所有的被管設備(交換機、路由器、防火墻和服務器)進行管理和監控,而被管設備上面則運行著進程,因此整個網絡的管理就可以集中在這兩臺網管工作站上面來進行了。
SNMP網絡管理包括三個組成部分:管理信息庫MIB、管理信息結構SMI和SNMP網絡管理協議。管理信息庫(MIB)中存放的是被管設備的所有信息,比方說被管設備的名稱、運行時間、接口速度、接口進來/發出的報文等等,當前的管理信息庫版本為MIB-II;管理信息結構SMI用于定義管理信息庫MIB的結構和表示符號,限制在MIB變量中允許的變量類型,指定對這些變量命名的規則以及創建定義變量類型的規則;而SNMP網絡管理協議則是管理進程(位于網管工作站上)和進程(位于被管設備上)之間的通信協議。
SNMP網絡管理定義了5種報文操作:
GetRequest操作:用于管理進程從進程上面提取一個或者多個MIB參數值,這些參數值均在管理信息庫中被定義;
GetNextRequest操作:從進程上面提取一個或多個參數的下一個參數值;
SetRequest操作:設置進程的一個或多個MIB參數值;
GetResponse操作:進程返回一個或多個MIB參數值,它是前面三種操作中的響應操作;
Trap操作:這是進程主動向管理進程發出的報文,它標記出一個可能需要特殊注意的事件的發生,比方說重新啟動可能就會觸發一個Trap陷阱。
第2篇
1我校計費系統網絡管理整體情況
對網絡的使用的度量方式有按照時間和流量兩種方式。按照時間作為度量易于實現和檢測。但由于網絡訪問不是一個勻速的過程,使用時間并不能準確描述用戶對網絡的使用量,因而使用訪問產生的流量作為網絡使用的度量是一個合理的選擇。我校就是采用對入流量進行計費的計費策略。在我校使用根據流量進行計費的計費策略以來,網絡流量成為了有價值的資源,因而出現了一些問題,主要有以下三點:①計費系統流量計量的準確性問題②IP地址搶奪方式的流量盜用問題③帳號被盜后的IP地址定位問題這些問題本身不是依靠計費系統所能解決的,需要通過網絡管理的角度尋找解決方案。下面分別說明。
2網絡管理計費系統流量計量的準確性
計費系統是根據每個IP包的包長進行累加的方法進行流量統計的。這個過程對用戶來說是很難進行檢驗的,用戶通常根據以前的經驗值來估計每次訪問所產生的流量。當用戶的計算機上運行了非用戶主動發起的程序(如各種系統打補丁程序或其他木馬程序)而產生了非預期的網絡時,計費系統所統計出的流量就會大大超過用戶的經驗值,用戶就會產生計費系統流量統計不準的疑問,并向系統管理員提出質疑。管理員如果不能對用戶的疑問進行解答,用戶就會認為計費系統的流量計量有誤,則使用計費系統進行流量計費的合理性就會得到校園網用戶的質疑。計費系統會記錄用戶訪問的日志,一方面這些日志不是很完備,另一方面如果僅使用計費系統自己的日志信息來驗證自己流量統計的正確性,這就是通常所說的“既當運動員又當裁判員”,不具備客觀性,因此需要通過獨立于計費系統的方法來解決這個問題。網絡上能夠獨立的捕獲用戶流量的最常見的設備就是交換機。我們通過從交換機獲取的用戶流信息來對計費系統流量統計的準確性進行驗證。在處理此類問題的實際工作中,用戶還需我們幫助分析產生流量的原因,比如是訪問哪些IP地址產生的,這就需要網絡層和傳輸層的信息。要達到這個目標,需要詳細記錄數據流的這些信息。
2.1流信息的獲取來源
網絡流天然的最小的單元就是數據包,每個數據包包含了其所屬流的傳輸層和網絡層的完整的信息,如果能將這些信息收集并存儲下來,理論上就可以完成我們所需的功能。我們在計費系統的測試階段就是按照這個方法去進行的,數據報的獲取通過交換機的端口鏡像功能來實現。使用這種方法在實踐中幫助我們初步解決了這個問題,但是我們也發現了這種方法存在的問題:鏡像口的流量需要和實際數據端口的流量一樣大,當實際的數據端口超過千兆后,將很難找到合適的鏡像端口。因此需要尋找其他的流量測量手段。以流為單位的流量測量正以其低測量開銷的方式取代以分組為單位的流量測量[1]。我校出口網絡是使用Cisco公司的網絡設備,因而采用Cisco公司開發的用于采集IP數據流量的網絡協議Netflow。我們在連接計費系統的網絡設備上啟用了netflow的相關配置,并且在三層接口下使用“ipflowingress”配置使交換機吐出的netflow數據與我校只對入流量進行計費的策略相一致。Netflow數據被發送到指定的服務器上,該服務器運行我們自己編制的程序獲取netflow數據,提取所需的信息然后生成訪問日志文件。該程序使用winpacp獲取網絡數據。
2.2日志文件組成
我們采用固定大小的文本文件來存儲獲取到的netflow數據。Netflow協議中包含流的定義和流的信息。流的定義使用五元組(源地址、目標地址、源端口、目標端口、協議類型),流的信息包含數據包數、流量數和時間。流的定義字段對分析流量的來源都是幫助的,要保留。流的信息中的數據包數和流量數是統計流量的重要數據,必須保留。流量測量中一個很重要的輸入條件是時間,因而時間信息是需要保留的。但是過多的時間信息會占用大量的存儲空間,而流量測量對時間的精確性沒有很高的要求,只要能夠將來自同一個IP的不同終端的網絡流區分開就可以了。我校用戶的IP地址采用DHCP方式獲取,地址的租期是24小時。當計算機的IP的使用達到租期的一半時,計算機會自動重新進行地址的獲取。這說明在IP地址停止使用后的至少12個小時內,該IP地址是不會分配給其他計算機的。也就是說來自同一個IP的不同終端的網絡流從時間上至少相差12個小時。只要日志文件首尾兩個網絡流的時間間隔小于12小時,我們就可以使用首尾兩個流的時間來滿足上述區分網絡流的要求。實踐表明,當采用10M大小的文件時即使在訪問量最小的凌晨每小時最少也要生成2個文件,完全可以滿足上述要求。由于末尾網絡流的時間和下一個文件的起始網絡的時間幾乎一樣,因而我們只記錄起始流的時間,并以此時間(準確到秒)作為文件名。Netflow日志文件中包含每條流的信息。流的信息中IP地址信息會大量重復的出現,是冗余度很高的信息。如果能夠減少這些冗余信息將會減小日志文件的大小。流數據在文件的位置不影響流量測量和分析工作,因而我們采用將目標地址和源地址相同的流連續輸出,如果和上一條流記錄的目標IP地址相同,則不輸出本條記錄的目標IP。如果源IP地址也一樣,則本條記錄的源IP地址也不輸出。通過這種方式日志文件的大小減少了近50%。
2.3從日志文件中查詢流量詳細信息
為了方便日志的查詢工作,編寫了流量統計的程序。輸入條件是校內IP和查詢的起止時間。讀取當天的每個日志文件,根據文件名判斷是否在查詢的時間段內。如果在則查找對應的校內IP的流量記錄,將來自相同校外IP的流的流量進行累加。由于netflow中的流量單位是字節,長整形的長度是32位,因而如果統計時采用1個長整形,最大的流量是4G字節。為了處理總量大于4G的流量查詢,我們采用兩個長整形來記錄流量統計結果。一個的單位是字節,一個的單位是兆字節。
3IP地址搶奪方式的流量盜用問題
計費系統部署在校園網的出口,將相同目標IP的數據包的長度進行累計,作為該IP對應的帳號的訪問流量。如果搶奪已經注冊了帳號的IP地址,就等于盜取了別人的流量。目前我校校園網使用以太網。以太網是一種多路訪問的廣播網,同一個網段內的多個網絡可終端共享同一個網絡介質。這樣一個IP地址可以被同網段的任何終端所共享,只要能夠成功“欺騙”網絡設備,搶奪他人的IP是可能的。我們需要采用其他的網絡安全策略來防止IP地址的搶奪。根據IP搶奪的方式不同介紹兩種安全策略。3.1修改IP的搶奪方式這種方法利用默認情況下網路設備對ARP的應答不進行檢查,完全信任的問題。針對這個問題,多數網絡設備已經開發出了ARP檢查的功能,即用一種可信的IP和物理地址對應表來ARP的數據包進行檢測,丟棄與可信對應表不一致的ARP數據包。由于DHCP是在學校得到廣泛使用的IP地址分配方式,而且通過配置可以控制DHCP應答數據包僅來自可信的服務器,因而DHCP應答數據包中包含了可信的IP和物理地址對應關系,只要能夠捕獲并存儲這些數據,就能夠得到一張可信的IP和物理地址對應表,這就是DHCP嗅探功能,也已經成為主流交換機的基本功能。將DHCP嗅探功能和ARP檢測功能配合起來就可以防止修改IP的搶奪方式的攻擊。3.2修改MAC的搶奪方式攻擊人還可以通過修改自己終端的物理地址的方式來獲取他人的IP地址。網絡層的參數如IP地址和網卡地址都可以仿冒,但是難以仿冒的是交換機接口。一旦用戶的上網位置確定了,交換機的接口是固定的。因而只要將物理地址和交換機端口的對應關系存儲下來,就可以有效的防止此類攻擊。交換機的端口安全策略可以實現這種功能。交換機上的端口和MAC地址的對應表應該有老化時間。我校計費系統的賬號的自行下線的條件是從發送最后一個數據包后一定時間之后。當IP地址對應的賬號的已經下線了,IP地址搶奪過去也就沒有意義了,MAC地址就應該可以不被綁定了。因而MAC地址的老化時間也應該按照此方式處理:(1)老化時間的起點以發出最后一個數據包開始;(2)老化時間的時長等于計費系統自行下線的時長。實際應用中,我們采用的網絡設備多數已滿足這個需求。添加了這些配置后用戶終端的移動性受到了些影響,但是由于提高了安全性還是得到了校園網用戶的認可。
4IP地址的定位問題
網絡賬號被盜用總是難以避免的,當盜用的案件發生時,賬號注冊的IP的位置信息對于破案是有極大的幫助的,這就需要網絡能夠進行IP定位。IP地址定位的需求是根據IP和時間可以確定IP對應的終端所在的位置,通常情況下位置能準確到房間就可以大大縮小嫌疑人排查的范圍。目前我校的校園網綜合布線的密度為每個自然間1-2個信息點,每個信息點對應一個接入層交換機的接口。因而使用接入層交換機的接口就足以描述IP地址的位置信息。IP地址的接入信息可以使用時間、IP、MAC和接口這個四元組進行描述。IP和MAC的關系存儲在匯聚層交換機的ARP地址表中,MAC和接口的對應關系存儲在接入層交換機的MAC地址表中。這兩個數據表可以通過SNMP協議從網絡設備中讀取。通過對交換機上啟用SNMP協議的相關配置,可定期從網絡設備中讀取所需的數據表信息,然后將互聯接口的信息從MAC地址接入表中過濾掉,通過MAC地址將兩個表格聯合起來再加上執行讀取操作時的時間戳就可以得到IP地址的接入信息。將這些信息存儲起來就可以作為IP地址定位所需的日志。
5結論
第3篇
節點的網絡管理報文將和PGN、數據長度一起發送。網絡管理報文的類型都可以通過標志位來識別,此標志位是網絡管理CAN數據幀數據場的一部分。表3定義了網絡管理報文的基本參數。表4定義了網絡管理CAN數據幀的數據場的格式。以PD2014車型儀表為例,其網絡管理報文格式見表5。
2直接網絡管理策略
網絡管理策略規定了節點網絡管理報文的時序流程,其目的是建立和維護節點之間的聯系。網絡管理策略只是提供網絡的狀態信息,而不同狀態的控制方法由應用程序負責。網絡中各個節點狀態見表7,狀態之間的轉換關系見圖5。1)睡眠狀態當睡眠條件滿足時,節點需要進入睡眠狀態。通過對Ring報文中的:“Sleepindi-cation=1”和“Sleepacknowledge=1”來切換到睡眠狀態。睡眠協商通過以下步驟完成(圖6):①睡眠條件滿足后,下一個要發送的Ring報文中的位Sleepindication置1;②當Ring報文在邏輯環中傳遞一周,并且所有接收Ring報文中的位Sleepindication都被置1,那么最先發出Sleepindication=1Ring報文的節點發送Ring報文,并將位Sleepacknowledge置1;③所有接收到Sleepacknowledge=1的Ring報文的節點停止發送任何應用報文,所有節點進入到睡眠狀態,啟動定時器TWaitBusSleep,在TWaitBusSleep期間,沒有網絡啟動條件發生,當TWaitBusSleep后總線進入非激活狀態。2)網絡啟動每個節點的啟動順序都一樣,見圖7。圖7表示了節點A發生了本地喚醒之后的網絡啟動順序。①在tNwStartupLocal,A時間,節點A能夠接收數據。為了喚醒網絡上的其它節點,節點A發送激活報文。此喚醒報文開始了節點B和節點C的初始化。只要節點A沒有接收到其它節點的CAN協議應答,節點A的CAN控制器將重復發送激活報文(總線負載為100%),直到被別的節點應答。②在節點A第一次發送激活報文之后的tNwStartupRemote,B時間,節點B能接收應用報文。節點B接收激活報文,同時CAN控制器進行應答。節點A的CAN控制器停止重復發送激活報文。③節點C比節點B的啟動過程要慢。它沒有接收到節點A的激活報文,在節點A第一次發送的激活報文之后的tNwStartupRemote,C時間,節點C也可以接收應用報文。④節點B在tNwStartupRemote,B時間,節點C在tNwStartupRemote,C時間分別發送各自的激活報文,但是這些報文不影響網絡的啟動行為。⑤tNwActive,A時間之后,節點A從網絡啟動狀態轉移到網絡激活狀態。這是節點A最早可以發送應用報文的時間,因為至少在此時,所有的節點能夠接收應用報文。此時,節點A允許發送包含導致網絡喚醒的信號信息的應用報文。3)激活狀態在激活狀態下,節點主要在“邏輯環”中進行Ring報文的接收和發送。4)跛行狀態跛行狀態表明網絡通信存在故障。進入跛行狀態的前提條件:NM報文發送失敗;在TMax時間內沒有收到有效的Ring報文。當以上情況的發生使得網絡管理計數器NMRx-count、NMTxcount的數值超過各自的閾值NNm-RxLimit、NNmTxLimit時,節點進入跛行狀態。跛行狀態下,節點以Terror周期地發送LimpHome報文,使得網絡上的所有節點仍然能夠監聽到它。接收到LimpHome報文的節點應更新自身網絡的LimpHome配置。當總線進入睡眠或接收到任意一條NM報文后,LimpHome狀態結束。
3PD2014車型CAN網絡管理測試
PD2014網絡管理測試主要包括:3輪臺架測試,2輪labcar集成測試,2輪在車測試,1輪EMC測試,4輪道路試驗。每輪測試包括間接網絡管理測試和直接網絡管理測試。間接網絡管理測試包括網絡啟動性能測試、網絡停止性能測試。直接網絡管理測試包括正常網絡管理通信測試、網絡喚醒和睡眠測試、電源電壓情況測試、網絡啟動測試、網絡關閉測試、跛行狀態下節點收發能力測試、網絡管理配置測試。下面以直接網絡管理中的睡眠測試為例,介紹網絡管理臺架測試的方法。1)測試設備筆記本電腦PC,CANcardXL(包含CANcab),插接件若干(DB9轉接頭、OBD-DB9轉接頭等),120Ω終端電阻(2個),可調電源。2)測試環境①如果待測節點未集成終端電阻,則電路需要連接圖8中“1”和“2”終端網絡;②如果待測節點集成了120Ω的終端電阻,則電路只需要連接圖8中“1”終端網絡。3)測試步驟①CANoe建立3個具備網絡管理功能的虛擬節點;②啟動CANoe,使虛擬節點在線;③本地事件觸發DUT通信;④CANoe監測總線報文,查看DUT是否和虛擬節點建立穩定邏輯環;⑤滿足DUT睡眠條件;⑥等待2000ms;⑦CANoe監測總線上的報文,查看DUT是否發送網絡管理報文將“SleepIndication”位置“1”。4)評價指標DUT發送SI置1的Ring報文。
4結論
