网络管理技术

SNMP

概念：

常用的版本为SNMPv2c。

SNMP模型：
网络管理站NMS（Network Management Station）：NMS通常是一个独立的设备，运行网络管理应用程序。网络管理应用程序至少能够提供一个人机交互界面，网络管理员通过它完成绝大多数网络管理工作。

SNMP代理器（Agent）：Agent是驻留在被管理设备的一个软件模块，主要负责接收和处理来自NMS的请求报文，并形成响应报文，返回给NMS；在一些紧急情况下，它会主动发送Trap报文，通知NMS。

SNMP协议：SNMP协议属于TCP/IP网络的应用层协议，用于在NMS和被管理设备间交互管理信息。

管理信息库MIB（Management Information Base）：MIB是一个被管理对象的集合，是NMS同Agent进行沟通的桥梁，可以使网管软件和设备进行标准对接。每一个Agent都维护这样一个MIB库，NMS可以对MIB库中对象的值进行读取或设置。Agent通过查询MIB，可以获知设备当前的状态信息。Agent通过修改MIB，可以设置设备的状态参数。

SNMP的管理信息库采用和域名系统DNS相似的树型结构，它的根在最上面，根没有名字。如下图所示的是管理信息库的一部分，它又称为对象命名树。每个OID（object identifier，对象标识符）对应于树中的一个管理对象，如system的OID为1.3.6.1.2.1.1，interfaces的OID为1.3.6.1.2.1.2。通过OID树，可以高效且方便地管理其中所存储的管理信息，同时也方便了对其中的信息进行批量查询。特别地，当用户在配置Agent时，可以通过MIB视图来限制NMS能够访问的MIB对象。MIB视图实际上是MIB的子集合。

SNMP工作原理：

基本操作：
get-request：从代理进程处提取一个或多个参数值。

get-next-request：从代理进程处提取紧跟当前参数值的下一个参数值。

set-request：设置代理进程的一个或多个参数值。

response：返回的一个或多个参数值。这个操作是由代理进程发出的，它是对前面3种操作的响应。

trap：代理进程主动发出的报文，通知管理进程有某些事件发生。

SNMPv2c新增操作类：
getbulk-request：实现了NMS对被管理设备的信息群查询。基于GetNext实现，相当于连续执行多次GetNext操作。在NMS上可以设置被管理设备在一次GetBulk报文交互时，执行GetNext操作的次数。

Inform-request：被管理设备向NMS主动发送告警。与Trap告警不同的是，被管理设备发送Inform告警后，需要NMS回复InformResponse来进行确认。

SNMPv3的实现原理与SNMPv1和SNMPv2c基本一致。

SNMPv3工作原理：
NMS向Agent发送不带安全参数的Get请求报文，同时向Agent获取安全参数（SNMP实体引擎的相关信息、用户名、认证参数、加密参数等）。

Agent响应NMS的请求，并向NMS反馈请求的参数。

NMS再次向Agent发送带安全参数（NMS通过配置的算法计算出的用于身份认证的认证参数和用于报文加密的加密参数）的Get请求报文。

Agent首先对消息进行认证，然后解密报文信息；对响应消息进行加密，并向NMS反馈。

安全性总结：
SNMPv1和SNMPv2c的安全性较弱。对于SNMPv1、SNMPv2c、SNMPv3，SNMP有不同的安全策略。SNMPv1、SNMPv2c为不安全协议，支持ACL和VACM（基于视图的访问控制）。通过给团体名关联ACL和MIB视图，将允许访问设备的网管和允许访问的节点限定在一定范围内。从而在一定程度上提供了系统安全的保护。对于SNMPv3，增加了支持USM（基于用户的安全模型）的安全机制，当前支持MD5和SHA鉴权，DES和AES算法加密。通过对通信的数据进行鉴别和加密，解决消息被伪装、篡改、泄密等安全问题。但是消耗资源比较大。

NTP

目的：
同步网络中设备的时间，方便管理。

NTP网络结构：

在NTP的网络结构中，主要存在如下概念：

1. 同步子网：由主时间服务器、二级时间服务器、PC客户端和它们之间互连的传输路径组成同步子网。
2. 主时间服务器：通过线缆或无线电直接同步到标准参考时钟，标准参考时钟通常是Radio Clock或卫星定位系统等。
3. 二级时间服务器：通过网络中的主时间服务器或者其他二级服务器取得同步。二级时间服务器通过NTP将时间信息传送到局域网内部的其它主机。
4. 层数（stratum）：层数是对时钟同步情况的一个分级标准，代表了一个时钟的精确度，取值范围1～16，数值越小，精确度越高。1表示时钟精确度最高，16表示未同步。

在正常情况下，同步子网中的主时间服务器和二级时间服务器呈现出一种分层主从结构。在这种分层结构中，主时间服务器位于根部，二级时间服务器向叶子节点靠近，层数递增，准确性递减，降低的程度取决于网络路径和本地时钟的稳定性。

工作原理：

NTP的同步流程

1. R1发送一个NTP报文给R2，该报文中带有它离开R1时的时间戳10:00:00a.m.（T1）。
2. 此NTP报文到达R2时，R2加上到达时间戳11:00:01a.m.（T2）。
3. 此NTP报文离开R2时，R2再加上离开时间戳11:00:02a.m.（T3）。
4. R1接收到该响应报文时，加上新的时间戳10:00:03a.m.（T4）。至此，RouterA获得了足够信息来计算以下两个重要参数：
5. NTP报文来回一个周期的时延：Delay= ( T4 - T1 ) - ( T3 – T2 )。
6. R1相对R2的时间差：Offset= ( ( T2- T1 ) + ( T3 – T4 ) ) / 2。
7. R1根据计算得到Delay为2秒，Offset为1小时。R1根据这些信息来设定自己的时钟，实现与R2的时钟同步。

华为设备相关配置：
在数据中心网络中设置NTP时钟源，为全网提供NTP时钟源服务。数据中心所有网络设备的时钟与此NTP时钟源同步。

将全网的NTP工作模式设置为单播服务器/客户端模式，配置CS1为主时间服务器，且CS1的时间已经同步到权威时钟（卫星定位系统）。配置CS2、DS和AS为客户端。为了保证安全性，建议使能NTP认证功能。

在CS1上配置NTP主时钟并启动NTP认证功能，使能CS1的NTP服务器功能。
[~CS1] ntp refclock-master 1
[*CS1] ntp authentication enable
[*CS1] ntp authentication-keyid 42 authentication-mode hmac-sha256 Hello@123456
[*CS1] ntp trusted authentication-keyid 42
[*CS1] undo ntp server disable
[*CS1] commit

在DS1上指定CS1为NTP服务器。（其他的配置类似）
[~DS1] ntp authentication enable
[*DS1] ntp authentication-keyid 42 authentication-mode hmac-sha256 Hello@123456
[*DS1] ntp trusted authentication-keyid 42
[*DS1] ntp unicast-server 10.100.1.1 authentication-keyid 42
[*DS1] commit

NTP的工作模式：
四种工作模式：

1. 客户端/服务器模式
2. 对等体模式
3. 广播模式
4. 组播模式

用户可以根据需要选择合适的工作模式。在不能确定服务器或对等体IP地址、网络中需要同步的设备很多等情况下，可以通过广播或组播模式实现时钟同步；服务器和对等体模式中，设备从指定的服务器或对等体获得时钟同步，增加了时钟的可靠性。

客户端/服务器模式

在客户端/服务器模式中，客户端向服务器发送时钟同步报文，报文中的Mode字段设置为3（客户模式）。服务器端收到报文后会自动工作在服务器模式，并发送应答报文，报文中的Mode字段设置为4（服务器模式）。客户端收到应答报文后，进行时钟过滤和选择，并同步到优选的服务器。在该模式下，客户端能同步到服务器，而服务器无法同步到客户端。

在客户端/服务器模式运行在同步子网中层数较高层上。这种模式下，需要预先知道服务器的IP地址。

对等体模式

在对等体模式中，主动对等体和被动对等体之间首先交互Mode字段为3（客户端模式）和4（服务器模式）的NTP报文。之后，主动对等体向被动对等体发送时钟同步报文，报文中的Mode字段设置为1（主动对等体），被动对等体收到报文后自动工作在被动对等体模式，并发送应答报文，报文中的Mode字段设置为2（被动对等体）。经过报文的交互，对等体模式建立起来。主动对等体和被动对等体可以互相同步。如果双方的时钟都已经同步，则以层数小的时钟为准。

对等体模式运行在同步子网中层数较低出。在这种模式下，主动对等题和被动对等体可以互相同步，等级低（层数打）的对等体向等级高（层数小）的对等体同步。

广播模式

在广播模式中，服务器端周期性地向广播地址255.255.255.255发送时钟同步报文，报文中的Mode字段设置为5（广播模式）。客户端侦听来自服务器的广播报文。当客户端接收到第一个广播报文后，客户端与服务器交互Mode字段为3（客户模式）和4（服务器模式）的NTP报文，以获得客户端与服务器间的网络延迟。之后，客户端就进入广播客户端模式，继续侦听广播报文的到来，根据到来的广播报文对系统时钟进行同步。

此模式应用在有多台工作站、不需要很高的准确度的高速网络。典型的情况是网络中的一台或多台时间服务器定期向工作站发送广播报文。广播报文在毫秒级的延迟基础上确定时间。

组播模式

在组播模式中，服务器端周期性地向组播地址发送时钟同步报文，报文中的Mode字段设置为5（组播模式）。客户端侦听来自服务器的组播报文。当客户端接收到第一个组播报文后，客户端与服务器交互Mode字段为3（客户模式）和4（服务器模式）的NTP报文，以获得客户端与服务器间的网络延迟。之后，客户端就进入组播客户模式，继续侦听组播报文的到来，根据到来的组播报文对系统时钟进行同步。

组播模式适应于有大量客户端分部在网络中的情况。通过在网络中使用NTP组播模式，NTP服务器发送的组播消息包可以到达网络中所有客户端。从而降低由于NTP报文过多而给网络照成压力。

认证功能
发送过程：
首先判断在此工作模式下是否需要认证。如果不需要则直接发送报文:如果需要则根据相应密钥ID和加密算法对报文进行加密，然后发送报文。

接受过程：
在接受报文时，首先判断是否要对报文进行认证处理。如果不需要认证，则直接对报文进行后续处理：如果需要认证，则根据对应密钥ID和解密算法来认证。如果认证失败，则直接丢弃报文：如果认证通过，则对接收到的报文进行处理。

NetSteam

概述：

NetStream技术应用背景Internet的高速发展为用户提供了更高的带宽，支持的业务和应用日渐增多，传统流量统计如SNMP、端口镜像等，由于统计流量方式不灵活或是需要投资专用服务器成本高等原因，无法满足对网络进行更细致的管理，需要一种新技术来更好的支持网络流量统计。

NetStream技术是一种基于网络流信息的统计技术，可以对网络中的业务流量情况进行统计和分析。在网络的接入层、汇聚层、核心层上，都可以通过部署NetStream。

1. 计费：NetStream为基于资源（如线路、带宽、时段等）占用情况的计费提供了精细的数据。Internet服务提供商可以利用这些信息来实行灵活的计费策略，如基于时间、带宽、应用、服务质量等。企业客户可以使用这些信息计算部门费用或分配成本，以便有效利用资源。
2. 网络规划：NetStream可以为网络管理工具提供关键信息，比如各个AS域之间的网络流量情况，以便优化网络设计和规划，实现以最小的网络运营成本达到最佳的网络性能和可靠性。
3. 网络监控：通过在出口部署NetStream，对连接Internet网络的接口进行实时的流量监控，可以分析各种业务占用出口带宽的情况。网管人员可以根据这些信息判断网络的运行情况，尽早发现不合理的网络结构或是网络中的性能瓶颈，方便网管人员规划和分配网络资源。
4. 用户监控和分析：通过NetStream技术可以使网络管理者轻松获取用户使用网络和应用资源的详细情况，进而用于高效地规划以及分配网络资源，并保障网络的安全运行。

系统组成：
一个典型的NetStream系统由NDE、NSC和NDA三部分组成。

1. NDE（NetStream Data Exporter）
   NDE负责对网络流进行分析处理，提取符合条件的流进行统计，并将统计信息输出给NDA（NetStream Data Analyzer）设备。输出前也可对数据进行一些处理，比如聚合。配置了NetStream功能的设备在NetStream系统中担当NDE角色。
2. NSC（NetStream Collector）
   NSC通常为运行于Unix或者Windows上的一个应用程序，负责解析来自NDE的报文，把统计数据收集到数据库中，可供NDA进行解析。NSC可以采集多个NDE设备输出的数据，对数据进行进一步的过滤和聚合。
3. NDA（NetStream Data Analyzer）
   NDA是一个网络流量分析工具，它从NSC中提取统计数据，进行进一步的加工处理，生成报表，为各种业务提供依据（比如流量计费、网络规划，攻击监测）。通常，NDA具有图形化用户界面，使用户可以方便地获取、显示和分析收集到的数据。

注：在实际的应用中，NSC和NDA一般集成在一台NetStream 服务器上。

NetStream流定义
NetStream是一项基于“流”来提供报文统计的技术。NetStream支持二层报文、IP报文（UDP、TCP、ICMP报文）和MPLS报文的统计。

1. 对于IPv4报文，IPv4 NetStream会根据IPv4报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、ToS（Type of Service，服务类型）、输入接口或输出接口来定义流，相同的七元组标识为同一条流。
2. 对于IPv6报文，IPv6 NetStream会根据IPv6报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、流量分类、流标签、输入接口或输出接口来定义流，相同的七元组标识为同一条流。
3. 对于MPLS报文，可以统计MPLS报文内的IPv4/IPv6（6PE情况下）信息。如果统计IP信息，此时会根据MPLS标签栈和IP信息共同确定一条流。

NetStream进行数据采集和分析的过程

如图所示，NetStream进行数据采集和分析的过程如下：

1. 配置了NetStream功能的设备（即NDE）把采集到的关于流的详细信息定期发送给NSC。
2. 信息由NSC初步处理后发送给NDA。
3. NDA对数据进行分析，以用于计费、网络规划等应用。

一. NetStream采样

1. 随机报文间隔采样：
   在此模式下，报文在配置数目间隔内被随机采样。即，如果报文间隔数配置为100，则每100个报文随机来样1个报文。适用于有规律的流量。
2. 固定报文间隔采样：
   在此模式下，报文在配置数目间隔内被周期采样。即，如果报文间隔配置数为190，假设在第5个报文被采样后，则每隔100个报文都会再次采样，如第105个报文会再采集一次， 以此类推采样下去。适用于网络流量统计计费。
3. 随机时间间隔采样:
   在此模式下，报文在配置时间间隔内被随机采样。即，如果报文间隔时间配置为100，则每100亳秒随机采样1个报文。适用于有规律的流量。
4. 固定时间间隔采样:
   在此模式下，报文在配置时间间隔内被周期采样。即，如果报文间隔时间配置为100，

二.NetStream流老化
NetStream流老化是设备向NSC输出流统计信息的一种手段。当设备启用NetStream功能后，流统计信息首先会被存储在设备的NetStream缓冲区中。当存储在设备上的NetStream流信息老化后，设备会把缓冲区中的流统计信息通过指定版本的NetStream输出报文发送给NSC。

NetStream流老化有以下三种机制：

1. 按时老化
   • 不活跃的流老化：从最后一个报文开始，该流在指定的不活跃流老化时间内没有被采集到（即在设定的不活跃流老化时间内统计到的流数目没有增加），那么设备会向NSC输出该流的统计信息，这种老化称为不活跃的流老化。通过这种老化，可以清除设备上NetStream缓冲区中的无用表项，充分利用统计表项资源。
   • 活跃的流老化：从第一个报文开始，该流在指定的活跃流老化时间内一直能被采集到。活跃时间超过设定的活跃流老化时长后，需要输出该流的统计信息，这种老化称为活跃的流老化。因为该流实际上还存在，所以在设备上NetStream缓冲区关于该流的统计表项本身仍然存在。这种老化方式是设备为了向NSC输出活跃流统计信息的一种机制。

2. 强制老化
   执行强制老化命令，用户可以将NetStream缓冲区中所有流老化，并清除NetStream缓冲区信息。

3. TCP的FIN和RST报文触发老化
   对于TCP连接，当有标志为FIN或RST的报文发送时，表示一次会话结束。因此当一条已经存在的TCP协议NetStream流中流过一条标志为FIN或RST的报文时，可以立即老化相应的NetStream流。但是假如一条流的第一个报文就是TCP的FIN或RST报文，则会按正常的流程创建一条新流，不进行老化。

三.流输出
NetStream流输出是指储存缓存区里面的流老化后把流统计信息输出到指定的NSC，以便进行后续更为详尽的分析。NetStream流输出具有原始流、聚合流和灵活流的三种流输出方式。

1. 普通流输出
   普通流输出是指所有流的统计信息都要被统计，并且每条流的统计信息都要输出到NSC设备。普通流的优点是：NSC可以得到每条流的详细统计信息。但是缺点也是很明显的，这种方式增加了网络带宽和设备的CPU占有率，而且为了存储这些信息，需要大量的存储介质空间。并且很多情况下，用户并不需要获取所有流的统计信息。

2. 聚合流输出
   聚合流输出是指采用聚合流输出功能后，设备对与聚合关键项完全相同的流统计信息进行汇总，从而得到对应的聚合流统计信息，并且将该聚合统计信息发送到相应的接收聚合统计信息的NSC设备。聚合的最大好处是可以减少对网络带宽的占用。

3. 灵活流输出方式
   对于灵活流输出，其流的建立条件是按照自定义的条件设置根据自身需要，用户可以对报文按照协议类型、DSCP 优先级、源IP地址、目的P地址、源端口号、目的端口号或流标签进行分类统计，从而将分类统计信息发送给TNetsStream服务器。灵活流方式，相比原始流方式可减少流量的占用。可以为用户提供一种自由的NetStream 流量统计方式。

整理资料来源：HCIE R&S学习指南、华为hedex文档