1.简述网络管理的概念。
答:网络管理就是对网络中各种资源,如网络设备、通信线路、网络用户、网络服务、网络信息等进行监测、配置、修改、调控,使得网络能够满足应用的需求。
按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。
2.请叙述网络管理体系结构概念并给出常见的网络管理体系结构。
网络管理体系结构是指网络管理系统、网络管理代理的组织形式。
常见的网络管理体系结构是集中式体系结构、层式体系结构、分布式体系结构3.典型网络管理体系结构有哪些?各自特点是什么?适应什么情况?集中式网络管理体系结构是将网络管理系统建立在一个计算机系统上,由该计算机系统负责所有的网络管理任务。
分层体系结构使用多个计算机系统,其中一个作为网络管理的中央服务器系统,其它作为客户端系统。
网络管理系统的某些功能驻留在服务器系统上,其它功能由客户端系统完成。
分布式体系结构采用多个对等平台,其中一个平台作为一组对等平台的管理者,每个对等平台都有整个网络设备的完整数据库。
4.请叙述SNMP管理模型及支持的组织模式。
答:SNMP的网络管理模型包括管理者、管理代理、管理信息库和管理协议等重要组成部分。
管理者,一般是安装了网络管理系统的独立设备,作为网络管理员与网络管理系统的接口。
管理代理,安装在被管理对象(如主机、路由器和交换机)中,对来自管理者的信息请求和动作请求进行应答,并为管理者报告一些重要的意外事件。
管理信息库,是管理对象信息的集合,管理者通过管理代理读取管理信息库中对象的值来进行监控。
管理站和代理者之间通过SNMP网络管理协议通信。
支持的组织模式:两层、三层组织模式和代理服务器组织模式5.SNMP的主要安全威胁是什么?信息修改:未授权的实体冒充授权实体更改所传输信息的内容。
欺骗:冒充授权用户直接进行网络管理操作。
泄露:在管理站和被管理代理之间进行信息交换时偷听交互信息。
消息流修改:由于SNMP协议是建立于UDP协议基础之上的,而UDP是面向无连接的,那么消息流可能被攻击者进行恶意的重组、延迟和重放。
6.某公司的管理者从网络管理中心获得一个A类IP地址121.0.0.0,该公司至少需要组建1000个子网。
1)如果你是网络设计者,你认为网络号,子网号,主机号应该各占多少位,且给出子网掩码和子网个数。
2)请顺序写出子网号最小和最大的两个子网可用的IP地址起止范围及该子网中的有线广播地址,直接广播地址。
答:1)8位网络号,10位子网号,14位主机号,210-2位子网个数,子网掩码是:255.255.192.0 2)可用最小子网:121.0.64.1----121.0.127.254可用最大子网:121.255.128.1---121.255.191.254这两个子网有限广播地址是:255.255.255.255,最小子网直接广播地址是121.0.127.255,最大子网直接广播地址是121.255.191.2557.SNMP支持的操作有哪些?Get 操作:NMS(网络中的管理者)使用该操作从Agent 获取一个或多个参数值。
GetNext 操作:NMS 使用该操作从Agent 获取一个或多个参数的下一个参数值。
Set 操作:NMS 使用该操作设置Agent 一个或多个参数值。
Response 操作:Agent 返回一个或多个参数值。
该操作是前面三种操作的响应。
Trap 操作:Agent 主动发出的操作,通知NMS 有某些事情发生。
执行前四种操作时使用UDP的161端口发送报文;执行Trap操作时设备使用UDP协议的162端口发送报文。
由于收发采用了不同的端口号,所以一台设备可以同时作为Agent和NMS。
8.SNMPv2实体发送一个报文一般要经过哪些步骤?4个步骤(1) 根据要实现的协议操作构造PDU。
(2) 把PDU、源和目标端口地址以及团体名传送给认证服务认证服务产生认证码或对数据进行加密返回结果。
(3) 加入版本号和团体名构造报文。
(4) 进行BER编码产生0/1比特串发送出去。
9.SNMPv2实体接收到一个报文后要完成什么动作?(1) 对报文进行语法检查丢弃出错的报文。
(2) 把PDU部分、源和目标端口交给认证服务。
认证失败则发送一个陷入丢弃报文。
(3) 如果认证通过则把PDU转换成ASN.1的形式。
(4)协议实体对PDU做句法检查.如果通过,根据团体名和适当的访问策略作相应的处理。
10.SNMP引擎是由哪些部分组成的?SNMP引擎提供哪些服务?4部分:它包含一个调度器、一个报文处理子系统、一个安全子系统以及一个访问控制子系统。
SNMP提供3项服务:1发送和接收报文、2认证和加密报文、3控制对管理对象的访问11.请简述SNMP 的MIB。
答:MIB是被管理对象的集合。
它定义了被管理对象的一系列属性:对象的名称、对象的访问权限和对象的数据类型等。
每个Agent都有自己的MIB。
MIB也可以看作是NMS和Agent 之间的一个接口,通过这个接口,NMS可以对Agent中的每一个被管理对象进行读/写操作,从而达到管理和监控设备的目的。
12.什么是MIB的OID 和子树?答:MIB是以树状结构进行存储的。
树的节点表示被管理对象,它可以用从根开始的一条路径唯一地识别,这条路径就称为OID。
管理对象system可以用一串数字唯一标识,这串数字就是system的OID。
子树可以用该子树根节点的OID来标识,比如private的OID——{1.3.6.1.4}。
13.请叙述SNMP技术优点。
答:SNMP具有以下技术优点:1.基于TCP/IP 互联网的标准协议,传输层协议一般采用UDP。
2.自动化网络管理。
网络管理员可以利用SNMP 平台在网络上的节点检索信息、修改信息、发现故障、完成故障诊断、进行容量规划和生成报告。
3.屏蔽不同设备的物理差异,实现对不同厂商产品的自动化管理。
SNMP 只提供最基本的功能集,使得管理任务与被管设备的物理特性和实际网络类型相对独立,从而实现对不同厂商设备的管理。
4.简单的请求—应答方式和主动通告方式相结合,并有超时和重传机制。
报文种类少,报文格式简单,方便解析,易于实现。
5.SNMPv3 版本提供了认证和加密安全机制,以及基于用户和视图的访问控制功能,增强了安全性。
14. 请简述SNMP几种最常用的版本。
答:3个版本SNMPv1,SNMPv2c,SNMPv3SNMPv1:是SNMP协议的最初版本,提供最小限度的网络管理功能。
SNMPv1的SMI和MIB都比较简单,且存在较多安全缺陷。
SNMPv1采用团体名认证。
团体名的作用类似于密码,用来限制NMS对Agent的访问。
如果SNMP报文携带的团体名没有得到NMS/Agent的认可,该报文将被丢弃。
SNMPv2c:也采用团体名认证。
在兼容SNMPv1的同时又扩充了SNMPv1的功能:它提供了更多的操作类型(GetBulk操作等);支持更多的数据类型(Counter32等);提供了更丰富的错误代码,能够更细致地区分错误。
SNMPv3:主要在安全性方面进行了增强,它采用了USM和VACM技术。
USM提供了认证和加密功能,VACM确定用户是否允许访问特定的MIB对象以及访问方式。
15.请简述SNMP子树掩码。
答:子树掩码可以和子树OID共同来确定一个视图的范围。
子树掩码用十六进制格式表示,转化成二进制后,每个比特位对应OID中的一个小节,其中,1 表示精确匹配,即要访问的节点OID 与MIB 对象子树OID 对应小节的值必须相等;0 表示通配,即要访问的节点OID 与MIB 对象子树OID 对应小节的值可以不相等。
例如:子树掩码为0xDB(二进制格式为11011011),子树OID为1.3.6.1.6.1.2.1,则对应关系如图3所示,所确定的视图就包括子树OID为1.3.*.1.6.*.2.1(*表示可为任意数字)的子树下的所有节点。
16.17.SNMP管理代理是什么?(10分)答:SNMP简单网络管理协议是采用了Client/Server9(代理/管理)站模型。对网络的管理与维护是通过管理工作站与SNMP代理间的交互工作完成的。每个SNMP从代理负责回答SNMP 管理工作站(主代理)关于SNMP MIB定义信息的各种查询。SNMP代理和管理站通过SNMP 协议中的标准消息进行通信,每个消息都是一个单独的数据报。SNMP使用UDP(用户数据报协议)作为第四层协议(传输协议),进行无连接操作。17.受SNMP管理的被管理设备可与位于网络某处的SNMP管理设备通信,有两种通信方式:轮询(polling)和中断(interrupt-based)。
请分析这两种通信方式的优缺点。
答:轮询方式:是不断地收集被管设备的管理信息,并把数据记录到MIB中,管理站以一定时间间隔询问各代理当前状态和统计信息,他的缺点是获得信息实时性差,尤其是被管设备出现错误。
另外是轮询时间不好控制,如果时间太长则无法了解一些重大时间,轮训时间太短则容易造成网络拥塞。
中断方式:当被管设备出现问题时代理主动发送消息通知管理站,这种方式实时性强18.每次课的重点理论知识需要掌握概念,如VPN,NAT,ACL等等。
VPN指虚拟专用网络功能是:在公用网络上建立专用网络,进行加密通讯。
在企业网络中有广泛应用。
VPN 网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
VPN可通过服务器、硬件、软件等多种方式实现。
NAT指网络地址转换NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
ACL访问控制列表ACL是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
ACL适用于所有的被路由协议。
ACL可以限制网络流量、提高网络性能,提供网络安全访问的基本手段,在路由器端口处决定哪种类型的通信流量被转发或被阻塞。