1、第9章 OSI網(wǎng)絡(luò)管理,9.1 OSI管理框架 9.2 OSI系統(tǒng)管理 9.3 OSI系統(tǒng)管理標(biāo)準(zhǔn) 9.4 公共管理信息協(xié)議（CMIP） 9.5 其他協(xié)議和功能,下一頁(yè),第9章 OSI網(wǎng)絡(luò)管理,9.6 管理信息結(jié)構(gòu)（SMI） 9.7 TCP / IP上的公共管理信息服務(wù)和協(xié)議（CMOT） 9.8 OSI管理功能域 9.9 管理功能的執(zhí)行,上一頁(yè),9.1 OSI管理框架,1. 系統(tǒng)管理 系統(tǒng)管理負(fù)責(zé)對(duì)OSI管理環(huán)境內(nèi)一切受控對(duì)象進(jìn)行管理。 2. 層次管理 層次管理負(fù)責(zé)為OSI參考模型的七層（或其他同等物）提供管理機(jī)制。 3. 協(xié)議管理 協(xié)議管理完成對(duì)各層次中通信事務(wù)的控制功能。為進(jìn)行一次具體通信

2、及其管理的需要，必須商定一組參數(shù)，這是管理功能的任務(wù)。,下一頁(yè),9.1 OSI管理框架,與其他應(yīng)用層實(shí)體一樣，SMAE可以從邏輯上定義為一組重疊的應(yīng)用服務(wù)元素（ASE）。在這里，其中兩個(gè)元素是為通用于各種不同的應(yīng)用而開(kāi)發(fā)的，它們是聯(lián)系控制服務(wù)元素（ACSE）和遠(yuǎn)程操作服務(wù)元素（ROSE）。 兩種對(duì)網(wǎng)絡(luò)管理具有特定意義的應(yīng)用服務(wù)元素是公共管理信息服務(wù)元素（CMISE）和系統(tǒng)管理應(yīng)用服務(wù)元素（SMASE）。 一個(gè)系統(tǒng)中的系統(tǒng)管理應(yīng)用進(jìn)程（SMAP）可以扮演一個(gè)代理的角色，也可以扮演一個(gè)管理者的角色。,下一頁(yè),上一頁(yè),9.1 OSI管理框架,代理采用何種方式存儲(chǔ)有關(guān)管理信息的數(shù)據(jù)是本地的事情，而不是

3、標(biāo)準(zhǔn)化的問(wèn)題。一個(gè)本地的映射功能用以將與被管理對(duì)象有關(guān)的信息映射成為能夠本地存儲(chǔ)，并能夠被本地的管理軟件所使用的形式。 使用面向?qū)ο蟮脑瓌t定義管理信息是OSI系統(tǒng)管理中最重要的思想之一。一個(gè)對(duì)象是由它所包含的屬性、可以在其上進(jìn)行的操作、它可發(fā)出的通告以及它與其他對(duì)象之間的關(guān)系等幾個(gè)方面定義的。,返 回,上一頁(yè),9.2 OSI系統(tǒng)管理,9.2.1 OSI系統(tǒng)管理模型 OSI系統(tǒng)管理模型標(biāo)準(zhǔn)描述了以下三個(gè)模型： 功能模型； 組織模型； 信息模型。,下一頁(yè),9.2 OSI系統(tǒng)管理,9.2.2 功能模型 功能模型定義特定管理功能域（SMFA）的概念。SMFA包括這樣一些功能：配置管理、故障管理、性能管

4、理、安全管理和記賬管理。 每個(gè)SMFA都有一個(gè)單獨(dú)的標(biāo)準(zhǔn)，規(guī)定了實(shí)現(xiàn)SMFA功能及相關(guān)功能過(guò)程的數(shù)量、所用到的CMIS、SMFA中的對(duì)象類(lèi)以及對(duì)應(yīng)于某些符合類(lèi)的子功能。,下一頁(yè),上一頁(yè),9.2 OSI系統(tǒng)管理,9.2.3 組織模型 組織模型（如圖9-3所示）描述的概念有域、被管開(kāi)放系統(tǒng)、管理進(jìn)程和代理進(jìn)程。 前面介紹的三個(gè)模型為系統(tǒng)管理的下列標(biāo)準(zhǔn)元素建立了一個(gè)概念性的和術(shù)語(yǔ)上的框架： 公共管理信息服務(wù)元素（CMISE）； 特定管理功能域（SMFA）； 管理信息結(jié)構(gòu)（SMI）； 管理信息通用定義（GDMI）。,返 回,上一頁(yè),9.3 OSI系統(tǒng)管理標(biāo)準(zhǔn),9.3.1 公共管理服務(wù)和協(xié)議（CMIS/

5、CMIP） 1. 公共管理信息服務(wù) 在OSI 9595標(biāo)準(zhǔn)中，公共管理信息服務(wù)是在ISO標(biāo)準(zhǔn)9595中建立的一個(gè)應(yīng)用服務(wù)元素（ASE）。 2. 管理關(guān)聯(lián)服務(wù) 管理關(guān)聯(lián)服務(wù)的任務(wù)是監(jiān)控各CMIS系統(tǒng)之間的通信并負(fù)責(zé)建立和切斷鏈路。,下一頁(yè),9.3 OSI系統(tǒng)管理標(biāo)準(zhǔn),3. 管理通知服務(wù) 管理通知服務(wù)讓CMIS代理自治地發(fā)生任何超常規(guī)的條件和信息。 4. 管理操作服務(wù) 5. 管理關(guān)聯(lián) 完成CMIS服務(wù)要使用公共管理信息協(xié)議。ISO / OSI網(wǎng)絡(luò)管理協(xié)議的目標(biāo)是，給出一個(gè)網(wǎng)絡(luò)體系結(jié)構(gòu)，使其具有面向一切設(shè)備、面向ISO參考模型各層的廣泛適用性。,下一頁(yè),上一頁(yè),9.3 OSI系統(tǒng)管理標(biāo)準(zhǔn),9.3.2

6、 特定管理功能域（SMFA） 每個(gè)特定管理功能域都是在其相應(yīng)的管理標(biāo)準(zhǔn)中定義的，這些標(biāo)準(zhǔn)說(shuō)明了SMFA功能的可能數(shù)量。 1. 配置管理SMFA 配置管理SMFA的功能是定義配置數(shù)據(jù)。 2. 故障管理SMFA 故障管理SMFA的作用是檢測(cè)并標(biāo)識(shí)出OSI環(huán)境中的故障。這些故障，可能是暫時(shí)的，也可能是永久的。,下一頁(yè),上一頁(yè),9.3 OSI系統(tǒng)管理標(biāo)準(zhǔn),3. 性能管理SMFA 性能管理SMFA對(duì)往來(lái)運(yùn)行狀態(tài)進(jìn)行分析，給出長(zhǎng)期評(píng)估，可以對(duì)一切通信過(guò)程做出有效的度量。 4. 安全管理SMFA 安全管理SMFA的功能僅指服務(wù)的安全和OSI各級(jí)協(xié)議機(jī)制的安全。 5. 記賬管理SMFA 記賬管理SMFA定義的

7、服務(wù)，用以決定一個(gè)最終用戶(hù)能夠使用什么服務(wù)和不允許使用什么服務(wù)，還要決定使用某樣服務(wù)以后要付的費(fèi)用。,返 回,上一頁(yè),9.4 公共管理信息協(xié)議（CMIP）,公共管理信息協(xié)議在OSI標(biāo)準(zhǔn)9596中定義。它為對(duì)等雙方提供了按“請(qǐng)求/回答”方式工作的傳輸機(jī)制。相關(guān)的協(xié)議規(guī)范定義了這一協(xié)議怎樣完成各個(gè)CMIS服務(wù)。CMIP協(xié)議的基礎(chǔ)是CMIP機(jī)，也叫做CMIPM。它提供以下服務(wù)； CMIS服務(wù)用戶(hù)把某些操作經(jīng)過(guò)CMIS服務(wù)交給CMIP機(jī)。 CMIP機(jī)一旦接收到了CMIS服務(wù)請(qǐng)求，就通過(guò)網(wǎng)絡(luò)把消息發(fā)送給CMIS服務(wù)用戶(hù)。,返 回,9.5 其他協(xié)議和功能,9.5.1 關(guān)聯(lián)控制服務(wù)元素（ACSE） 關(guān)聯(lián)控制

8、服務(wù)元素在OSI標(biāo)準(zhǔn)8649和8650中定義。它說(shuō)明了建立鏈路時(shí)所需要的服務(wù)元素，這是使用CMIS原語(yǔ)的前提。,下一頁(yè),9.5 其他協(xié)議和功能,9.5.2 遠(yuǎn)程操作服務(wù)元素（ROSE） OSI標(biāo)準(zhǔn)9072給出遠(yuǎn)程操作服務(wù)元素的規(guī)范。ROSE以遠(yuǎn)程服務(wù)選項(xiàng)支持CMIS，如調(diào)用、結(jié)果、錯(cuò)誤和拒絕等操作。然后，ROSE再使用OSI表示層的服務(wù)選項(xiàng)。,下一頁(yè),上一頁(yè),9.5 其他協(xié)議和功能,9.5.3 CMIS/CMIP標(biāo)準(zhǔn) CMIS / CMIP的定義給出了可完成功能的范圍。但是CMIS / CMIP標(biāo)準(zhǔn)的龐大也給它們的實(shí)際實(shí)現(xiàn)帶來(lái)了困難。例如，出現(xiàn)下列問(wèn)題： CMIS / CMIP需要巨大的存儲(chǔ)器

9、和CPU能力； 協(xié)議開(kāi)銷(xiāo)量太大； 程序員覺(jué)得規(guī)范難以理解，結(jié)果也就不情愿去實(shí)現(xiàn)它。,返 回,上一頁(yè),9.6 管理信息結(jié)構(gòu)（SMI）,OSI管理信息結(jié)構(gòu)中包含的是出現(xiàn)在其他OSI標(biāo)準(zhǔn)中的一切元素的非常抽象的定義。這些元素是由OSI管理活動(dòng)使用的，它們定義了能夠進(jìn)行OSI管理通信的所有信息的邏輯結(jié)構(gòu)。SMI已經(jīng)建立的構(gòu)成元素有以下幾項(xiàng)： 被管理對(duì)象； 屬性； 對(duì)對(duì)象的操作； 有關(guān)這些對(duì)象的信息。,返 回,9.7 TCP / IP上的公共管理信息服務(wù)和協(xié)議（CMOT）,在TCP / IP協(xié)議棧上使用公共管理信息服務(wù)和協(xié)議，通常叫做CMOT。這一標(biāo)準(zhǔn)是1990年10月在RFC 1189中公布的，其標(biāo)題

10、是用于因特網(wǎng)的公共管理信息服務(wù)和協(xié)議（CMOT和 CMIP）。 像其他ISO / OSI規(guī)范一樣，也很少見(jiàn)在實(shí)際產(chǎn)品中采用它?？紤]CMOT的時(shí)候，工作組的意圖是想有助于實(shí)現(xiàn)向OSI管理的平穩(wěn)過(guò)渡。,返 回,9.8 OSI管理功能域,9.8.1 特定管理功能域 特定管理功能域（SMFA）是ISO在單獨(dú)的OSI管理標(biāo)準(zhǔn)中定義的。預(yù)料這些定義從1994年開(kāi)始作為國(guó)際標(biāo)準(zhǔn)被普遍采用。下面討論的是OSI定義的每個(gè)SMFA的基本情況。 1. 故障特定管理功能域 2. 配置特定管理功能域 配置管理的作用是標(biāo)識(shí)、監(jiān)視和控制管理對(duì)象。,下一頁(yè),9.8 OSI管理功能域,3. 性能特定管理功能域 如同名字所表明的

11、，性能管理要定義統(tǒng)計(jì)功能以便依靠集成進(jìn)來(lái)的分析工具產(chǎn)生一定的數(shù)據(jù)，用以評(píng)估對(duì)象的性能。 4. 記賬特定管理功能域 計(jì)賬管理功能為網(wǎng)絡(luò)管理者提供了分配網(wǎng)絡(luò)資源使用費(fèi)用的依據(jù)。 5. 安全特定管理功能域 OSI的安全管理設(shè)施使得系統(tǒng)管理者能夠?yàn)橥ㄐ刨Y源提供訪(fǎng)問(wèn)保護(hù)。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,9.8.2 故障管理 自從富含技術(shù)的硬件發(fā)明以來(lái)，故障的出現(xiàn)總是相互影響。查找故障的速度如何，很大程度上決定于查找故障的人的素質(zhì)和經(jīng)驗(yàn)。不管硬件怎么樣，查找故障總是需要傳統(tǒng)的三階段過(guò)程： 查找故障； 隔離故障； 排除故障。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,1. 閾值機(jī)制 整個(gè)網(wǎng)上的一

12、切數(shù)據(jù)交通量都是自動(dòng)分析的。網(wǎng)絡(luò)管理員設(shè)置一些閾值（例如，出錯(cuò)率、數(shù)據(jù)量超過(guò)帶寬的80%、設(shè)備在1小時(shí)內(nèi)被重新啟動(dòng)20次）。 2. 輪詢(xún)機(jī)制 除了閾值機(jī)制以外，還有輪詢(xún)機(jī)制可以對(duì)傳輸路徑及各連接設(shè)備進(jìn)行連續(xù)監(jiān)視。 以太網(wǎng)和IEEE 802.X在物理層上的測(cè)試有所不同，但共同的是它們都不能跨過(guò)路由器進(jìn)行。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,考慮到閾值和輪詢(xún)兩種機(jī)制各自的缺點(diǎn)，目前在故障管理中常同時(shí)使用這兩種機(jī)制。在局域網(wǎng)中，使用輪詢(xún)過(guò)程，但是以偶爾出現(xiàn)的閾值做補(bǔ)充；而在收集遠(yuǎn)程網(wǎng)數(shù)據(jù)時(shí)，則更多地依靠閾值機(jī)制。 故障和告警的優(yōu)先級(jí)，在某種程度上是根據(jù)網(wǎng)絡(luò)的規(guī)模確定的。在只有幾個(gè)局域網(wǎng)的較小

13、網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理員可以對(duì)閾值超限和任何故障做出反應(yīng)，查找直至排除故障。 故障管理收集到的所有告警信息及一切相關(guān)數(shù)據(jù)，都應(yīng)當(dāng)存儲(chǔ)在數(shù)據(jù)庫(kù)中。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,9.8.3 配置管理 計(jì)算機(jī)及其中所安裝的軟件，都需要配置。缺了這一調(diào)整工作，則這些設(shè)備只不過(guò)是一堆電子物品而已。完成基本配置之后，進(jìn)行日常監(jiān)控時(shí)，還可能要修改原來(lái)輸入的設(shè)置參數(shù)（如閾值、過(guò)濾器、路由表等）。同樣，也必須監(jiān)控軟件及其版本號(hào)，并在文檔資料中記錄。在網(wǎng)絡(luò)管理中，這些工作都是由配置管理完成的。它有如下功能： 監(jiān)控全部設(shè)備的當(dāng)前配置；,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,根據(jù)需要修改各單獨(dú)設(shè)備的配置；

14、 存儲(chǔ)當(dāng)前配置； 編制所用設(shè)備的清單。 在首次配置網(wǎng)絡(luò)設(shè)備時(shí)，必須要裝入某些參數(shù)（如地址、服務(wù)、名表）。這一基本配置過(guò)程通常是由網(wǎng)絡(luò)管理員或負(fù)責(zé)的技術(shù)員手工完成。 如果設(shè)備是便攜式的（取決于它的大小和重量），則初始配置可以在辦公室里進(jìn)行，然后再連接到它的正式位置。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,每一次修改基本配置信息都會(huì)自動(dòng)地在網(wǎng)絡(luò)管理站引起一個(gè)告警。網(wǎng)絡(luò)管理員可以把這一修改視為故障，也可以認(rèn)可這一修改。 在網(wǎng)絡(luò)管理站管轄的設(shè)備上，當(dāng)系統(tǒng)失敗或反復(fù)進(jìn)行啟動(dòng)時(shí)，會(huì)產(chǎn)生一個(gè)重新進(jìn)行初始化的告警。 為了進(jìn)行配置管理，一個(gè)重要問(wèn)題就是要為你的所有設(shè)備編制清單。在一個(gè)大單位里，保持一個(gè)清晰、

15、準(zhǔn)確、隨時(shí)可用的硬件清單，恐怕是特別難于做好的事情。 對(duì)異構(gòu)數(shù)據(jù)網(wǎng)的調(diào)查表明，在30天之內(nèi)，就有大約8%的PC改變了位置。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,9.8.4 性能管理 讓我們拿網(wǎng)絡(luò)與通行汽車(chē)的大橋（如舊金山的金門(mén)橋或海灣橋）做個(gè)比較。在繁忙時(shí)段，橋上的交通量極有可能達(dá)到高峰值。 有鑒于此，在舊金山地區(qū)就安裝了一個(gè)交通控制系統(tǒng)。在臨近事故現(xiàn)場(chǎng)或道路維修現(xiàn)場(chǎng)之前，交通量就被部分或全部轉(zhuǎn)移到其他道路。 在數(shù)據(jù)網(wǎng)絡(luò)（LAN和WAN）中的交通量，其行為特征與過(guò)橋的汽車(chē)并沒(méi)有什么區(qū)別。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,1. 收集數(shù)據(jù) 數(shù)據(jù)收集和統(tǒng)計(jì)的主要目的是對(duì)當(dāng)前的網(wǎng)絡(luò)狀態(tài)

16、做出評(píng)估。在收集統(tǒng)計(jì)數(shù)據(jù)時(shí)，面臨著數(shù)不清的選擇對(duì)象，而其中最重要的是網(wǎng)絡(luò)負(fù)載和出錯(cuò)率。 2. 監(jiān)控 監(jiān)控?cái)?shù)據(jù)交通情況是查找和排除故障的一個(gè)重要手段。 3. 模擬 要清楚陳述網(wǎng)絡(luò)中的性能數(shù)據(jù)，是一件困難的事。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,9.8.5 記賬管理 網(wǎng)絡(luò)管理者們夢(mèng)想著能向使用網(wǎng)絡(luò)資源的用戶(hù)收錢(qián)?？梢园堰@一愿望跟征收高速公路費(fèi)做個(gè)比較。車(chē)輛在通往高速公路的普通道路上行駛是免費(fèi)的。當(dāng)用戶(hù)到達(dá)高速公路人口時(shí)，必須表明自己的身份，即把他的身份卡插到一個(gè)識(shí)別箱之中，隨后橫竿便會(huì)升起表示允許他進(jìn)入。 如果把高速公路的這種做法轉(zhuǎn)移到網(wǎng)絡(luò)上，其實(shí)已經(jīng)很接近于網(wǎng)絡(luò)管理者的要求了。,下一頁(yè),

17、上一頁(yè),9.8 OSI管理功能域,1. 固定費(fèi)用 實(shí)現(xiàn)一個(gè)記賬過(guò)程最容易的方法就是對(duì)每一個(gè)終端收取一次性的連接費(fèi)用。 2. 按地址記賬 如果以硬件（第二層）或網(wǎng)絡(luò)（第三層）地址為根據(jù)來(lái)記賬，就可以減輕以終端為根據(jù)進(jìn)行月/年記賬的不合理程度。 3. 通用的第二層地址 LAN控制器硬件有一個(gè)存在芯片中的唯一地址。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,4. 本地的第二層地址 LAN控制器的通用硬件地址可以在本地重寫(xiě)。重寫(xiě)后的地址稱(chēng)為“本地管理地址”。 5. 第三層地址 在一個(gè)局域網(wǎng)中，很可能有來(lái)自多家制造商的計(jì)算機(jī)，因此就往往有幾個(gè)通信協(xié)議同時(shí)存在。 6. 第三層地址的格式 7. ICMP包

18、因特網(wǎng)控制消息協(xié)議（ICMP）是位于第三層的一個(gè)輔助程序。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,8. RIP 路由信息協(xié)議（RIP）的基礎(chǔ)是XNS協(xié)議的一個(gè)版本。 9. 包/字節(jié)數(shù)量 如果測(cè)量是基于包數(shù)或字節(jié)數(shù)，那么就應(yīng)當(dāng)既包含發(fā)到網(wǎng)絡(luò)上的信息量，也包含從網(wǎng)絡(luò)上接收的信息量。 10. 交易數(shù)量 如果記賬是基于每個(gè)用戶(hù)的交易數(shù)量，那么就要收集關(guān)于用戶(hù)行為的各種信息。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,9.8.6 安全管理 對(duì)數(shù)據(jù)網(wǎng)及其資源和服務(wù)的使用情況進(jìn)行監(jiān)控，是網(wǎng)絡(luò)管理的任務(wù)之一。為此需要一定的監(jiān)控機(jī)制和規(guī)則，如口令、訪(fǎng)問(wèn)代碼等。 網(wǎng)絡(luò)管理的安全功能經(jīng)常與操作系統(tǒng)的安全功能及對(duì)

19、網(wǎng)絡(luò)使用的物理保護(hù)手段相混。需要對(duì)網(wǎng)絡(luò)上所連接資源進(jìn)行特別配置并對(duì)一切網(wǎng)絡(luò)活動(dòng)進(jìn)行監(jiān)視，才能建立網(wǎng)絡(luò)上的安全機(jī)制。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,1. 操作系統(tǒng)保護(hù) 每個(gè)操作系統(tǒng)都具備一定數(shù)量的、最起碼的安全功能，如限制某些用戶(hù)對(duì)某些文件、目錄或程序的訪(fǎng)問(wèn)。 2. 物理保護(hù) 物理保護(hù)包括許多方面，例如，采用特殊的鑰匙或者利用電子的人員識(shí)別系統(tǒng)保護(hù)計(jì)算機(jī)房或電氣機(jī)箱。 3. 協(xié)議保護(hù) 在任何網(wǎng)絡(luò)中，最應(yīng)當(dāng)重視的都是協(xié)議上的安全事務(wù)。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,4. 標(biāo)識(shí)值得保護(hù)的網(wǎng)絡(luò)資源 為了對(duì)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中某些資源進(jìn)行保護(hù)，首先必須把它們標(biāo)識(shí)出來(lái)。 5. 建立訪(fǎng)

20、問(wèn)機(jī)制 一般來(lái)說(shuō)，希望經(jīng)計(jì)算機(jī)訪(fǎng)問(wèn)網(wǎng)絡(luò)的用戶(hù)必須利用口令向他的目標(biāo)計(jì)算機(jī)表明自己的身份。 6. 物理保護(hù) 另外一種易于實(shí)現(xiàn)的安全機(jī)制就是在每次網(wǎng)絡(luò)訪(fǎng)問(wèn)之前通過(guò)一處崗哨。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,7. 加密 對(duì)某些高度敏感的數(shù)據(jù)進(jìn)行加密，是衡量網(wǎng)絡(luò)安全程度的一個(gè)重要標(biāo)尺。 8. 特定網(wǎng)絡(luò)加密 特定網(wǎng)絡(luò)加密指的是經(jīng)由網(wǎng)絡(luò)傳送的一切數(shù)據(jù)都由網(wǎng)絡(luò)控制器芯片所提供的加密機(jī)制進(jìn)行加密。 9. 特定計(jì)算機(jī)加密 在特定計(jì)算機(jī)加密中，事關(guān)安全的一切應(yīng)用數(shù)據(jù)都用計(jì)算機(jī)中的一個(gè)特殊程序加密。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,10. 與安全相關(guān)的幾個(gè)問(wèn)題 （1）動(dòng)態(tài)訪(fǎng)問(wèn)密鑰 進(jìn)一步有助于受

21、保護(hù)信息安全的機(jī)制依賴(lài)于動(dòng)態(tài)分發(fā)訪(fǎng)問(wèn)密鑰。 （2）訪(fǎng)問(wèn)機(jī)制的管理和保護(hù) 在當(dāng)代的數(shù)據(jù)網(wǎng)絡(luò)中，被保護(hù)的網(wǎng)絡(luò)資源應(yīng)當(dāng)由一個(gè)集中的管理系統(tǒng)加以管理和維護(hù)。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,（3）安全參數(shù) 為了實(shí)現(xiàn)數(shù)據(jù)網(wǎng)絡(luò)的安全管理，需要在與安全相關(guān)的重要資源（對(duì)象）中設(shè)置參數(shù)以便建立由中央資源控制的安全機(jī)制（過(guò)濾器、密鑰、用戶(hù)標(biāo)識(shí)/口令）。 （4）安全管理協(xié)議 LAN安全概念的又一個(gè)特點(diǎn)是管理協(xié)議極為重要。 （5）數(shù)據(jù)庫(kù) 安全參數(shù)可能迅速膨脹而密布于網(wǎng)上，妨礙網(wǎng)絡(luò)管理員進(jìn)行維護(hù)和管理工作。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,（6）應(yīng)用 所有的網(wǎng)絡(luò)管理系統(tǒng)都有一個(gè)必要成分，就是圖形用

22、戶(hù)界面，利用它可以更容易地處理所管理的數(shù)據(jù)和信息。 （7）保護(hù)機(jī)制 在安全管理系統(tǒng)中經(jīng)常被忽視的一點(diǎn)是管理系統(tǒng)自身的保護(hù)。運(yùn)行管理系統(tǒng)的計(jì)算機(jī)必須受到保護(hù)，防止非授權(quán)訪(fǎng)問(wèn)，例如，可以采用可加鎖的鍵盤(pán)和盤(pán)驅(qū)動(dòng)器。,下一頁(yè),上一頁(yè),9.8 OSI管理功能域,9.8.7 展望 在本章中所介紹的許多功能，在當(dāng)今各種設(shè)備和系統(tǒng)中已經(jīng)實(shí)現(xiàn)了。像記賬管理和安全管理這樣重要功能的標(biāo)準(zhǔn)化，現(xiàn)在是相關(guān)組織頭等重要的問(wèn)題。 越來(lái)越多的公司和新產(chǎn)品都把它們的長(zhǎng)期戰(zhàn)略建立在網(wǎng)絡(luò)管理上。在計(jì)算機(jī)網(wǎng)絡(luò)界，現(xiàn)在對(duì)于全局網(wǎng)絡(luò)管理的宗旨是沒(méi)有爭(zhēng)議的，但是要在一切產(chǎn)品中都具有全部安全功能，則還需要時(shí)間。,返 回,上一頁(yè),9.9 管

23、理功能的執(zhí)行,9.9.1 帶內(nèi)管理 帶內(nèi)管理是指網(wǎng)絡(luò)管理站和終端之間在各自數(shù)據(jù)網(wǎng)上經(jīng)由直接訪(fǎng)問(wèn)（網(wǎng)絡(luò)接口）進(jìn)行通信。利用帶內(nèi)數(shù)據(jù)通路，可以對(duì)一切 SNMP代理進(jìn)行直接訪(fǎng)問(wèn)和配置（設(shè)置閾值、交換連接鏈路和端口）。 雖然這一功能在查找故障時(shí)是非常有用的，但危險(xiǎn)也隨之而來(lái)：把需要的管理功能也關(guān)掉了。,下一頁(yè),9.9 管理功能的執(zhí)行,9.9.2 帶外管理 帶外管理指的是網(wǎng)絡(luò)管理站可以利用串行數(shù)據(jù)鏈路上的V.24端口或者多路調(diào)制解調(diào)器與被管設(shè)備對(duì)話(huà)。帶外管理方式所完成的功能與帶內(nèi)管理是一樣的，只是由于所用鏈路的能力限制，其數(shù)據(jù)傳送速度要慢得多。 在規(guī)劃一個(gè)可管理的數(shù)據(jù)網(wǎng)時(shí)，總應(yīng)當(dāng)把帶外連接問(wèn)題考慮進(jìn)去，因?yàn)樵谑潞笞芳影惭b線(xiàn)路是既費(fèi)時(shí)又費(fèi)錢(qián)的。,下一頁(yè),上一頁(yè),9.9 管理功能的執(zhí)行,9.9.3 SLIP協(xié)議 人們需要把來(lái)自不同制