（控制理论与控制工程专业论文）基于snmp的网络监控系统研究与实现.pdf

硕士论文基于s n m p 的网络监控系统研究与实现 摘要 网络监控系统能够帮助网络管理人员掌控网络的状态，监测网络故障，维护网络的 正常稳定运行。然而，随着计算机网络的飞速发展和广泛应用，如今的网络规模日趋扩 大，结构日趋复杂，安全形势日益严峻，这些因素都极大地增加了网络监控管理的难度。 基于s n m p ( 简单网络管理协议) 的网络监控系统具有结构简单、扩展性强的特点。 因此，对基于s n m p 的网络监控系统的研究具有重要的实际意义。 本文通过对s n m p 及其管理模型的分析，设计并实现了基于该协议的网络监控系 统。主要内容有： ( 1 ) 根据s n m p 管理模型的特征提出了网络监控系统的基本结构模型，通过对实际 监控系统的硬件结构按照功能进行分层，从而将系统划分为四大功能模块，并且对各模 块的实现方法进行设计。 ( 2 ) 运用j a v a 编程语言，设计并实现了能够向网络管理人员展现各种网络性能指 标的客户端界面。客户端可以将网络异常状况呈现在主界面上，并且可以在接收到网络 恢复正常的信息后自动从界面上删除对应的异常信息。 ( 3 ) 运用c + + 编程语言，设计并实现了能够采集网络设备的各种性能指标的数据采 集模块。该模块被设计成多代理采集的分布式结构，与单一采集代理的实现方式相比， 有效降低了代理端的系统压力，同时也提高了系统的稳定性。该模块是整个系统的关键， 也是本课题的研究重点。 ( 4 ) 根据课题研究过程中所遇到的系统安全性问题，讨论了网络管理中所面临的安 全威胁和相应的解决方法，并引入了安全管理模型的概念，为进一步研究提供了方向。 关键词：网络监控，s n m p ，数据采集 a b s t r a c t 硕士论文 a b s t r a c t n e t w o r km o n i t o r i n gs y s t e mi sa l le f f e c t i v ew a yt oh e l pn e t w o r km a n a g e rc o n t r o lt h e s t a t u so ft h en e t w o r k ，d e t e c tt h ef a u l to ft h en e ta n dm a i n t e n a n c et h en o r m a lo p e r t a i o no ft h e n e t w o r k h o w e v e r , t h e r eh a v eb e e nr a p i d l yd e v e l o p m e n t si nt h ec o m p u t e rn e t w o r ka n dt h e r e h a v eb e e nm a n ye x t e n s i v ea p p l i c a t i o n s a tt h es a m et i m e ，t h en e t w o r k ss c a l eh a sb e c o m e e n h a n c e m e n ta n dl a r g e r , t h es o p h i s t i c a t i o na n dc o m p l e x i t yo fn e t w o r k si sg r o w i n ga sw e l l ，a l l t h e s ef a c t o r st h r e a t e nt h e s a f e t yo fn e t w o r ka n di m p r o v et h ed i f f i c u l t y o fn e t w o r k m a n a g e m e n t t h en e t w o r km o n i t o r i n gs y s t e mb a s e do nt h es i m p l en e t w o r km a n a g e m e n tp r o t o c o l ( s n m p ) h a st h ea d v a n t a g eo fs i m p l es t r u c t u r ea n ds t r o n ge x p a n d a b i l i t y a sac o n s e q u e n c e ， t h i si so fs i g n i f i c a n tm e a n i n g f u li nt h es t u d yo ft h en e t w o r km o n i t o r i n gs y s t e mb a s e do nt h e s n m p t h es n m pa n di t sm a n a g e m e n tm o d e li sa n a l y z e d ，a n dt h en e t w o r km o n i t o r i n gs y s t e m b a s e do nt h es n m pi sr e a l i z e d t h em a i nc o n t r i b u t i o no ft h i sp a p e ri s ： ( 1 ) b a s e do nc h a r a c t e r i s t i c so ft h es n m pm a n a g e m e n tm o d e l ，t h eb a s i cs t r u c t u r em o d e l o ft h en e t w o r km o n i t o r i n gs y s t e mi sp r o p o s e d ，t h r o u g ht h es t r a t i f yt h ef u n c t i o no ft h e h a r d w a r es t r u c t u r e ，t h es y s t e mi sd i v i d e di n t of o u rf u n o t i o nm o d u l e s ，a n dt h ei m p l e m e n t a t i o n m e t h o do fe a c hf u n c t i o nm o d u l ei sd e s i g n e d ( 2 ) t h ec l i e n t 缸e r f a c es a t i s f i e dt h ea l lk i n d so fp e r f o r m a n c ei n d i c e si sd e s i g n e da n d r e a l i z e db yj a v a u s e rc a l lm o n i t o rt h es t a t eo fn e t w o r kab yr e c e i v i n gt h ew a r n i n gm e s s a g e f r o mt h em a i ni n t e r f a c e ( 3 ) t h ed a t aa c q u i s i t i o nm o d u l ec o l l e c t e dt h ed a t af o rd i f f e r e n tk i n d so fp e r f o r m a n c e i n d i c e sf r o mt h en e t w o r ke q u i p m e n ti sd e s i g n e da n dr e a l i z e db yc + + t h es y s t e mi sd e s i g n e d a sd i s t r i b u t e ds y s t e m m e a n w h i l e ，c o m p a r e dw i t ht h ew a yo fs i n g l ea c q u i s i t i o na g e n t ，t h e p r o p o s e dm e t h o di sa l l e v i a t e df l a ep r e s s u r eo ft h ea g e n ta n di n c r e a s et h er e l i a b i l i t yo ft h e s y s t e m t h i sm o d u l ei st h ek e yp a r t so f t h es y s t e m ，a n d i sr e s e a r c he m p h a s i so ft h i sp a p e r ( 4 ) b a s e do nt h ep r o b l e mo ft h es a f e t yi nt h ec o u r s eo fs t u d y i n g ，t h es e c u r i t yo fs n m p a n dt h ec o r r e s p o n d i n gs o l u t i o n si sd i s c u s s e d f u r t h e r m o r e ，t h i sp a p e ri n t r o d u c e st h ed e f i n i t i o n o ft h es e c u r i t ym a n a g e m e n tm o d e l ，w h i c hi so u rf u r t h e rs u b j e c tt os t u d y k e y w o r d s ：n e t w o r km o n i t o r i n g , s n m p , d a t aa c q u i s i t i o n n 声明尸明 本学位论文是我在导师的指导下取得的研究成果，尽我所知一在本学 位论文中，除了加以标注和致谢的部分外，不包含其他人已经发表或公布 过的研究成果，也不包含我为获得任何教育机构的学位或学历而使用过的 材料。与我一同工作的同事对本学位论文做出的贡献均己在论文中作了明 确的说明。 研究生签名：2 矽譬年月，y 日 学位论文使用授权声明 南京理工大学有权保存本学位论文的电子和纸质文档，可以借阅或上 网公布本学位论文的部分或全部内容，可以向有关部门或机构送交并授权 其保存、借阅或上网公布本学位论文的部分或全部内容。对于保密论文， 按保密的有关规定和程序处理。 研究生签名：亟麴妒8 年f 月日 硕士论文基于s n m p 的网络监控系统研究与实现 1 绪论 1 1 课题的研究意义 随着网络技术的不断发展，网络复杂性和异构性不断增加，特别是分布式计算的出 现，使得网络管理己经成为计算机网络的一项关键技术。 现在网络技术和应用水平不断提高，对网络管理也提出越来越高的要求，也使越来 越多的企业认识到，除了要依靠网络设备本身和网络架构的可靠性之外，网络管理是一 个关键环节，结构越来越复杂和规模越来越大的网络系统需要网络管理软件来保证系统 的正常运作。网络管理的质量会直接影响网络的运行质量，管理好一个网络与网络的建 设同等重要。网络管理已经是保证计算机网络，特别是大型计算机网络正常运行的关键 因素。监控管理网络需要设计一个合适的网络监控系统软件，实时查看全网的状态，检 测网络性能可能出现的瓶颈，并具有自动产生告警和告警显示功能，以保证网络高效、 可靠地运转。网络管理软件已成为网络必不可少的一部分，这也是网络管理软件需求的 直接动力。 目前，简单网络管理协议( s n m p ) 在网络管理方面已得到广泛应用【l j ，赢得了广 大用户和网络厂家的认可和支持。实现s n m p 协议的网络设备有各种大型主机、u n i x 工作站、p c 机、网桥、路由器等。目前世界各大网络公司都推出了各自的商品化的网 络管理平台，如s u n 公司的s u n n e tm a n a g e r ，h p 公司的o p e n v i e w ，i b m 的n e t v i e w 等。但这些网管软件只能针对某些特定的网络运行的历史数据的采集、管理、分析方面 提供的功能并不能满足网络管理中复杂的实际需要。在当今的信息化社会里，计算机网 络的稳定和可靠己经成为人们生活的一个基本保障。一个完善的网络监控管理系统是计 算机网络能够可靠和稳定运行的保证，也是进行网络性能分析、网络配置和安全管理等 的依据。由于城域网规模越来越大，管理难度不断增加，急需有针对性地开发满足实际 工作需要和产品业务特点的网络管理系统来减轻网络管理复杂性，降低网络管理费用。 网络管理软件的设计和实现涉及到网络技术的方方面面，从底层的硬件到上层的应 用软件，从简单的网卡到复杂的路由器，都是网管系统的管理范围。因此，网络监控作 为实施网络管理的前提和基础，利用s n m p 简单灵活、可扩展性强的特点，设计出优秀 的网络监控软件已成为当前一个值得深入研究和探讨的问题。 1 2 网络管理系统的发展现状 网络管理系统是网络监视和控制工具的集合，也可以叫做网络监控系统。监视是网 络管理的基础，目的是通过收集被管网络设备的状态和行为信息，使网络管理人员了解 1 绪论 硕士论文 整个网络的实时状态。，随着计算机网络的发展和普及，网络管理在人类社会的各个领域 发挥着越来越重要的作用。目前，用于网络监控管理的商业网络管理软件大多都是从国 外引进的，如：i b m 公司的n e t v i e w , h p 公司的o p e n v i e w , s u n 公司的s u n n e tm a n a g e r 等。 o p e n v i e w 是第一个真正兼容的、跨平台的网管系统，得到了最广泛的市场应用。 它监视和控制s n m p 代理进程，具有节点自动发现、拓扑图管理、应用程序开发工具和 各种类型的数据采集软件等一系列应用程序【2 】。o p e n v i e w 使用了商业化的关系数据库， 使得第三方应用开发商利用o p e n v i e w 采集来的数据进行开发扩展变得相对容易：而且 o p e n v i e w 的m i b 变量浏览器相对而言是最完整的，正常情况下使用该m m 变量浏览 器仅产生很少的流量开销。o p e n v i e w 主要的弱点在于：( 1 ) 当某一对象发生故障，导 致其它正常的网络对象停止响应网管系统时，误把这些正常对象当作故障对象；( 2 ) 不 能区分服务的故障和设备的故障；( 3 ) 不能对客户的特殊应用监测要求进行定制开发。 s u n n e tm a n a g e r 是第一个重要的基于u n i x 的网络管理系统，只能运行在s u n 系统 平台上。s u n n e tm a n a g e r 有两个重要特性：p r o x y 管理代理和集成控制核心。s u n n e t m a n a g e r 是第一个提供分布式网络管理的产品，它的数据采集代理可以通过r p c ( 远程 过程调用) 与管理进程通信。这样，p r o x y 管理代理就可以像管理进程的子进程一样分 布在整个网络。而集成控制核心可以在不同的s u n n e tm a n a g e r 的管理进程之间分享网 络状态信息，这种特性在异构网络中显得特别有效。 然而，以上这些管理软件通常并不能满足我国实际的网络需求，而进行定制的话价 格又比较昂贵，并不是国内网络管理的最佳选择。由于国内自主开发的网络管理软件很 少，急需根据我国互联网的实际应用，结合国内企业网、园区网的自身需求，因地制宜， 自主设计与开发一个成本低、效率高的通用型网络管理系统来满足国内网管软件市场的 需要。目前，我国自主开发的网络管理软件主要有：上海金桥网络工程中心开发了在 w i n d o w sp c 平台上使用的网络管理软件g o l d v i e w ，该软件基于简单网络管理协议 s n m p 实现了对t c p i p 网络的拓扑发现。然而，由于各种原因，该软件在国内未能推 广使用；南京飞博的i p v i e w ，是一款在l i n u x 平台下使用j a v a 自主开发的专业网管软 件，采用b s 结构：北京游龙科技的s i t e v i e w ，对服务器进行监测的功能十分强大；i p v i e w 和s i t e v i e w ，都具有一定的通用性，但仍未能满足国内市场对网络管理软件的庞大需求。 网络管理也是国内高校网络研究的热点，目前取得了一些阶段性的成果【3 4 】。如清华 大学的c i m s 网络监控管理系统，北京航空航天大学开发的网络管理系统，东南大学的 网络管理系统w a t c h e r ，以及上海交通大学与日本合作开发的w a l k e r 中文版网络管理系 统。 近年来随着网络技术的迅猛发展，在网络管理方面也取得了多项突破性技术进展， 网络管理系统正朝着智能化、可编程管理和简单化的趋势发展。 2 硕士论文基于$ n m p 的网络监控系统研究与实现 当今世界有两大主流网络管理体系：i s o 的c m i s c m i p ( 公共管理信息服务协议) ， i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ，i n t e r n e t 工程任务组) 的s n m p ( 简单网络管理协 议) 【5 1 。 c m i p 是一个大而全的协议，所以使用时，其资源占用量是s n m p 的数十倍。它对 硬件设备的要求比人们所能提供的要高得多。由于它在网络代理上要运行相当数量的进 程，所以大大增加了网络代理的负担，而且其m i b 库过分复杂且难于实现。迄今为止， 还没有任何一个符合c m i p 的网络管理系统。而s n m p 是一款灵活高效率的网络管理协 议，己经被大多数厂商接受，成为网络管理技术的事实标准硷】。 1 3 论文内容与结构 本文以为电信运营商开发通用性网络管理软件为背景，结合对所研究课题的相关知 识的学习，设计实现了一个具有友好的网络监控客户端界面的跨平台网络监控系统。主 要的工作内容有：对网络监控进行整体设计，并对告警监控客户端、s n m p 数据采集模 块及其相关接口进行设计和实现，最终实现一个可以适用于各种品牌的u n i x 操作系统 服务器，能够对网络性能数据进行采集与分析，并且在网络异常时产生对应的告警信息 并同步呈现到网络监控客户端界面的网络监控系统软件。本文所研究的重点在于s n m p 数据采集模块的设计与实现。 本文共六章，各章安排如下： 第一章对课题的内容和意义进行了系统的概述，引出网络监控系统的定义以及国内 外发展现状。 第二章简要地阐述了s n m p 的原理及其相关知识，这是本系统开发的基础和必须遵 循的协议标准。 第三章论述系统的总体设计，并简要阐述了各个功能模块的划分以及对各个模块的 框架设计。 第四章是在第三章的基础上详细阐述告警监控客户端和s n m p 数据采集模块的具 体实现方法。 第五章讨论s n m p 网络管理中的安全性问题，并对常见的安全隐患提出应对措施。 第六章是本文的总结和对未来研究工作的展望，归纳和总结了本文的工作以及取得 的主要成果，并提出了有待进一步研究的方向。 3 2 预备知识硕士论文 2 预备知识 作为一个网络监控管理系统，它的主要任务是：收集网络中各种设备和系统的工作 参数，运行状态信息，处理收集到的各种信息，并以各种各样的、可视化的方式呈现给 网络管理人员；接收网络管理人员的指令或根据对上述信息的处理结构向网络中的设备 发出控制指令，既实现网络控制功能，同时又监视指令执行的结果；保证网络设备按照 网络管理系统的要求工作。 本章根据论文所讨论的基于s n m p 的网络监控系统的设计与实现，简要介绍了 s n m p 的基本知识及其特点，以及网络管理所包含的一些基本概念，为后面几章的内容 进行铺垫。 2 1 简单网络管理协议( s 肿) 简介 2 1 1s n m p 基本概念 s n m p ( s i m p l en e t w o r km a n a g e m e r i tp r o t o c 0 1 ) ，即简单网络管理协议，同它定义的 m i b ( m a n a g e m e n ti n f o r m a t i o nb a s e ，管理信息库) 一道提供了一种系统地监控和管理 计算机网络的方法。随着因特网的迅速发展，作为因特网的主要管理模型，s n m p 已经 成为网络管理技术的事实标准。它管理局域网和广域网中的各种网络设备，包括路由器、 u n i x 工作站和p c 机。 s n m p 网络管理模型由四部分组成： 1 、网络管理站 2 、被管设备 3 、管理信息库( m i b ) 4 、管理协议( s n m f ) s n m p 管理模型具有典型的c s ( 客户端朋艮务器) 体系结构。网络管理站运行s n m p 管理软件的客户端程序( 通常称为m a n a g e r 或c l i e n t ，管理站或管理者) ，而被管的网络 设备运行软件的服务器端程序( 通常称为a g e n t ，代理或代理服务) 。网络管理站启动管 理器进程，监视并控制被管设备的运行，而被管设备上运行着代理进程，对管理器进程 发出的各种请求做出响应。管理对象的信息存放在被管设备的m i b 库中。管理器进程 将各种操作维护命令组装成s n m p 报文，发送到代理进程，代理进程通过操作m i b 库 响应这些请求，并且把结果送回给管理站进程，从而完成管理功能【7 8 】。 每个被管理的s n m p 设备均维护一个包含统计信息及其他数据的数据库，称之为管 理信息库或m i b t 9 1 1 】。m i b 的每一项包含一种信息：对象类型、语法、访问及状态等。 4 硕士论文基于s n m p 的网络监控系统研究与实现 m m 的项通常由协议规定，并且严格遵守a s n 1 ( a b s t r a c ts y n t a xn o t a t i o no n e ) 的语法格 式。m i b 中的数据对象以一种树状分层结构进行组织，每个对象类型被分配一个整数形 式的对象标识符，对象标识符和对象实例标识符都按照字典式排序。m m 中的被管理对 象是被管理设备的一个特定性征，它由二个或多个对象实例组成，对象实例实际上就是 变量。 2 1 2s n m p 的发展历程 s n m p 网络管理【1 2 】最早开始于2 0 世纪7 0 年代，在最早的t c p i p 网络a r p a n e t ( 美 国国防部高级工程研究局网络) 的研究实验过程中，人们开发了极为简单而且实用的互 联网信息控制协议( i c m p ) 对其进行简单有效地管理。随着a r p a n e t 的民用化以及 i n t e m e t 的迅猛发展，对网络的主要组成元素网关的远程监视和配置功能变得越来 越重要，因此，1 9 8 7 年1 1 月发布了简单网关监视协议( s g m p ) ，用以提供一种直接监 控网关的方法。这成为提供专用网络管理工具的起点。 随着对网络管理工具需求的增长，1 9 8 8 年，i n t e r a c t 体系结构委员会( t a b ) 决定开发 s n m p 作为s g m p 的增强版本，并确定o s i 模型的c m i p c m i s 作为网络管理的最终解 决方案。1 9 9 0 年5 月，i n t e m e t 工程任务组( i e t f ) 发布了s n m p 系列协议( 现在称之为 s n m p v l ) 。由于s n m p 简单实用的优点，s n m p 很快就成为i n t e r n e t 事实上的网络管理 协议标准【l3 1 。 由于c m i s c m i p 自身的一些缺点，s n m p 逐渐放弃了将其作为最终目标的想法， 从而摆脱了过渡者的角色及与o s i 模型相兼容的束缚并取得了迅速的发展。s n m p 最重 要的进展是远程网络监控( r m o n ) 能力的开发与安全功能的完善。 1 9 9 1 年1 1 月发布的远程网络监视协议( r m o n ) 为网络管理者提供了监控整个子 网而不仅是单独设备的能力。r m o n 定义了一组支持远程监视功能的管理对象，利用这 些对象使s n m p 的代理不仅能提供代理设备的有关信息，同时还可以收集关于代理设备 所在广播网络的流量统计，使管理站获得单个子网整体活动的情况，在r m o n 的设计 中允许网络管理站限制和停止一个监视器的轮询操作，在一定程度上减少了s n m p 轮询 机制带来的网络拥塞。 当s n m p 被用于复杂的大型网络时，它在安全方面的缺点就极为明显。为了弥补这 些不足，1 9 9 2 年7 月，提出了称为s n m p s e c 的安全s n m p 版本。s n m p s e c 主要提供了 数据完整性检验、数据起源认证、数据保密性等安全机制。但是s n m p s e c 与s n m p v l 不兼容，因而应用不多，最终s n m p s e c 被接受为第二代简单网络管理协议s n m p v 2 的 基础 14 1 。 1 9 9 3 年，i e t f 发布了s n m p v 2 系列，即r f c1 4 x x 系列，此时有多个研究小组开 始建造s n m p v 2 原型系统。但在实施过程中，1 他们发现s n m p v 2 比原先预想的要复杂 5 2 预各知识 硕士论文 得多，失去了“简单”的特点。待开发计划结束时，i e t f 把几乎所有与安全相关的内容又 从s n m p v 2 中删除，从而形成了现在看到的s n m p v 2 草案标准，即r f c l 9 x x 系y de 1 5 】。 1 9 9 7 年4 月，i e t f 成立了s n m p v 3 工作组。s n m p v 3 的重点是安全、可管理的体 系结构和远程配置【。它的目标是： 尽量利用现有的成果： 达到s e t 安全标准的要求； 尽可能简单； 支持大规模网络； 定义一个可以长久使用的框架； 尽量使之沿着标准化的目标前进。 至此，s n m p 一共发展有3 个主版本，分别为s n m p v l ，s n m p v 2 和s n m p v 3 。其 中s n m p v 2 又分为若干个子版本，其中s n m p v 2 c 应用最为广泛： 1 ) s n m p v h 是第一个正式协议版本，在r f c l l 5 5 r f c l l 5 8 中定义，该版本采用 了基于共同体名的安全机制； 2 ) s n m p v 2 c ：这个版本被称为基于共同体名的s n m p v 2 ，使用基于共同体名的安 全机制和s n m p v 2 p 做出的协议操作方面的扩充，由r f c1 9 0 1 rf c l 9 0 6 定义； 3 ) s n m p v 3 ：该协议版本采用基于用户的安全机制，其安全机制是在s n m p v 2 u 和s n m p v 2 * 基础上进行大量的评议以后进行了更新，并且对协议的逻辑功能模块的进 行了划分而保证了良好的可扩充性。由r f c 2 2 7 1 。r f c 2 2 7 5 所定义【1 6 】。 2 1 3s n m p 数据单元 s n m p 规定了5 种协议数据单元p d u ( 也就是s n m p 报文) ，用来在管理进程和代 理之间的交换 1 7 , 1 8 】。 g e t - r e q u e s t 操作：从代理进程处提取一个或多个参数值 g e t n e x t r e q u e s t 操作：从代理进程处提取当前参数值的下个参数值 s e t r e q u e s t 操作：设置代理进程的一个或多个参数值 g e t - r e s p o n s e 操作：返回的一个或多个参数值。这个操作是由代理进程发出的， 它是对前面三种操作的响应操作。 t r a p 操作：代理进程主动发出的报文，通知管理进程有事件发生。 6 硕士论文 基于s n m p 的网络监控系统研究与实现 前面的3 种操作是由管理进程向代理进程发出的，后面的2 个操作是代理进程发给 管理进程的，为了简化起见，前面3 个操作今后叫做g e t 、g e t n e x t 和s e t 操作。图2 1 描述了s n m p 的这5 种报文操作。请注意，在代理进程端是用标准端口1 6 1 来接收g e t 或s e t 报文，而在管理进程端是用标准端口1 6 2 来接收t r a p 报文。 s n m p 管理程序s n m p 代理程序 g e t r e q u e s t g e t r e s p o n s e u d p 端口1 6 1 g e t - n e x t - r e q u e s t u d p 端口1 6 1 g e t 。r e s p o n s e s e t 。r e q u e s t u d p 端口1 6 1 g e t r e s p o n s e trap u d p 端口1 6 2 图2 1s n m p 的5 种报文操作 图2 2 是封装成u d p 数据报文的5 种操作的s n m p 报文格式。可见一个s n m p 报 文由三个部分组成，即公共s n m p 首部、g e t s e t 首部、变量绑定。 um i ：lj n 7 u u r 鳅j 晒丁r 2 字节8 字节s 脚报文 - i p 首部u d p 首部公共s n m p 首部 g e t s e t 首部 变量绑定 j 版本 共同p d u 类型请求标识差错状态差错名值名值 ( o )体( 0 - - 3 ) 符 ( 0 5 ) 索引 p d u 类型企业代理的 t r a p 类型 特定时间名值名值 ( 4 ) 职地与i ： ( o 6 ) 代码戳 图2 2s n m p 报文格式 ( 1 ) 公共s n m p 首部共三个字段： 版本：写入版本字段的是版本号减1 ，对于s n m p ( 即s n m p v l ) 则应写入0 。 7 2 预备知识硕士论文 共同体( c o m m u n i t y ) ：共同体就是一个字符串，作为管理进程和代理进程之间 的明文口令，常用的是6 个字符 p u b l i c ”。 p d u 类型：根据p d u 的类型，填入0 - - 4 中的一个数字，其对应关系如表2 1 所示意图。 表2 1p d u 类型 p d u 类型名称 g e t - r e q u e s t g e t - n e x t - r e q u e s t g e t r e s p o n s e s e t - r e q u e s t t r a p ( 2 ) g e f f s e t 首部 请求标识符( r e q u e s ti d ) 这是由管理进程设置的一个整数值。代理进程在发送g e t - r e s p o n s e 报文时也要返回 此请求标识符。管理进程可同时向许多代理发出g e t 报丈，这些报文都使用u d p 传送， 先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对于 哪一个请求报文。 差错状态( e r r o rs t a t u s ) 由代理进程回答时填入0 - - - , 5 中的个数字，见表2 2 的描述。 表2 2 差错状态描述 差错索引( e r r o ri n d e x ) 当出现n o s u c h n a m e 、b a d v a l u e 或r e a d o n l y 的差错时，由代理进程在回答时设置的 一个整数，它指明有差错的变量在变量列表中的偏移。 硕士论文 基于s n m p 的网络监控系统研究与实现 ( 3 ) t r a p 首部 企业( e n t e r p r i s e ) 填入t r a p 报文的网络设备的对象标识符。此对象标识符肯定是在对象命名树上的 e n t e r p r i s e 结点下面的一棵子树上。 t r a p 类型 此字段正式的名称是g e n e r i c t r a p ，共分为表4 中的7 种，如表2 3 所示。 表2 3t r a p 类型描述 当使用上述类型2 、3 、5 时，在报文后面变量部分的第一个变量应标识响应的接口。 特定代码( s p e c i f i c c o d e ) 指明代理自定义的时间( 若t r a p 类型为6 ) ，否则为o 。 时间戳( t i m e s t a m p ) 指明自代理进程初始化到t r a p 报告的事件发生所经历的时间，单位为1 0 m s 。例如 时间戳为1 9 0 8 表明在代理初始化后1 9 0 8 m s 发生了该时间。 ( 4 ) 变量绑定( v a r i a b l e b i n d i n g s ) 指明一个或多个变量的名和对应的值。在g e t 或g e t n e x t 报文中，变量的值应忽略。 2 1 4s n m p 的管理模型 s n m p 的网络管理模型作为网络管理模型的一种，也包括四个关键元素：管理工作 站、管理代理、管理信息库m i b 、网络管理协议。图2 3 显示了这四个元素之间的关系。 管理站是一个分立的单机设备或共享网络中的一员。网络管理站作为网络管理员与网络 管理系统的接口。网络管理站至少应满足下面几个条件：1 ) 拥有一套数据分析、故障 发现等的管理应用软件；2 ) 提供网络管理员监视和控制网络的接口；3 ) 能够将网络管 理员的命令转换成对远程网络元素的监视和控制：4 ) 能够从网上所有被管实体的m i b 9 2 预备知识硕= 论文 中提取出信息数据库 1 7 , 1 8 】。 s n m p 管理站s n m p 管理代理 图2 3s n m p 的管理模型 在网络管理系统中，除管理站外的其它活动元素都是代理。管理代理对来自管理站 的信息查询和动作执行的请求做出响应，同时还可以异步地向管理站发送一些重要的意 外事件信息。管理网络的网络资源也被抽象为对对象进行管理。每一个s n m p 对象， 就是一个代表网络资源特性的数据变量。这些对象有组织的集合构成s n m p 的m i b 。 管理站通过读取m i b 对象的值来对网络设备进行监控；管理站通过修改m i b 的值， 可以在管理代理上触发一个操作或修改代理的配置。网络管理站与网络管理代理之间是 通过s n m p 网络管理协议连接实现通信的，它包括以下几个主要操作： g e t ：管理站读取代理的m i b 对象值； s e t ：管理站设置代理的m i b 对象值； 硕士论文基于s n m p 的网络监控系统研究与实现 t r a p ：代理向管理站通告重要事件。 g e t 功能是通过发送g e t r e q u e s t 、g e t r e s p o n s e 和g e t - n e x t 。r e s p o n s e 三种消息来实 现的；s e t 功能是通过发送s e t r e q u e s t 消息来实现的。管理站通过发送g e t r e q u e s t 报 文从拥有s n m p 管理代理的网络设备中获取指定对象的信息，而管理代理用 s e t r e s p o n s e 报文来响应g e t r e q u e s t 报文。g e t - n e x t - r e q u e s t 与g e t r e q u e s t 的不同之 处在于：g e t - n e x t r e q u e s t 是获取一个表中指定对象的下一个对象。因此，通过反复地 进行g e t - n e x t r e q u e s t 就可达到对表的遍历，常用它来获取一个表中的所有对象信息。 s e t r e q u e s t 对一个网络设备进行远程参数配置，一般与g e t 配合使用。t r a p 是网络管理 代理发给管理站的非请求消息，这些消息通知管理站发生了特定事件。 管理工作站 c o m m u n i t y ：g o o d 管理代理 s n m p g e t ( c o m m u n i t y ：g o o d ) 验证通过，j 区回g e t - r e s p o n s e ( a ) 含有正确共同体名的g e t 操作 管理工作站 一 c o m m u n i t y ：g o o d 管理代理 s n m p g e t ( c o m m u n i t y ：p u b l i c ) 验证失败，产生s n m pt r a p ( b ) 含有错误共同体名的g e t 操作 图2 4s n m p 代理接收共同体名 s n m p 协议并不是在没有任何安全保证的情况下提供网络信息，或者允许对网络设 备的配置任意进行修改。实际上，网络设备上的s n m p 代理要求s n m p 管理站在发送 每一个消息时都附带一条特殊的口令。这样，s n m p 代理就可以验证管理站是否有权访 2 预备知识硕士论文 问m m 信息。这个口令被称作s n m p 共同体名。图2 4 显示了一个s n m p 代理在接 收到有效和无效的共同体名时的不同反应。有些s n m p 代理在实现时，允许使用不同安 全级别的共同体名。例如：管理代理可以定义一个共同体名，管理站只能使用它发送 g e t r e q u e s t 和g e t - n e x t r e q u e s t 消息去访问一些只读的m m 信息。同时，管理代理另 外定义一个共同体名，管理站可以使用它发送g e t r e q u e s t 、g e t - n e x t r e q u e s t 和 s e t r e q u e s t 消息去访问需要读写权限的m i b 信息。这种定义s n m p 共同体名的方式 可以进一步增加s n m p 操作的安全性。 2 2 管理信息库m i b 2 2 1m i b 概述 管理信息数据库( m i b ) 是一个信息存储库，是在不同层次上对被管资源的抽象信息 描述的集合。在管理者代理模型中，管理者通过代理来读取m m ，从而了解网络，而 代理则响应管理者的请求并维护本地m i b ，使它的信息准确、实时。在传统网络管理模 型中，对网络资源的信息描述是非常重要的。在系统管理层次上，物理资源本身只被作 为抽象在m 璐中的信息源来对待。对通过通信接口交换信息的应用，对所交换的信息 必须有相同的解释。因此，提供公共信息模型是实现网络管理的关键。 1 9 8 8 年，i a b 确定将s n m p 作为近期解决方案开发，而把c m i p 作为远期解决方 案，并且希望最大限度地与o s i 标准的c m i p 、服务以及数据库结构保持致。为了强 化这一策略，l a b 要求s n m p 和c m i p 使用相同的被管理对象数据库，即在任何主机、 路由器、交换机以及其他管理设备中，两个协议都以相同的格式使用相同的监控变量。 因此两个协议有一个公共的管理信息结构和个管理信息库m i b 1 。7 1 。 o s i 管理信息模型遵循一套管理信息结构标准，它明确了管理信息模型的基本概念， 为定义被管对象提供了指南，并对一般通用的管理信息进行了定义。、 s n m p 的规范管理信息结构为定义和构造m i b 提供了一个通用框架。同时也规定 了可以在m i b 中使用的数据类型，说明了资源在m i b 中怎样表示和命名。s n m p 规范 管理信息结构的基本指导思想是追求m i b 简单性和可扩充性，因此它只能存储简单的 数据类型【l 。 为了提供一个标准的方法来表示管理信息，管理信息结构必须提供： ( 1 ) 定义m i b 的具体结构的标准技术； ( 2 ) 定义各个对象，包括句法和对象值的标准技术； ( 3 ) 提供对对象进行编码的标准技术一 在定义m i b 数据对象时，访问控制信息确定了可作用于该数据对象的操作种类。 s n m p 协议有如下的m i b 数据一对象访问方式： 1 2 硕士论文 基于s n m p 的网络监控系统研究与实现 ( 1 ) 只读方式( r e a d o n l y ) ( 2 ) 可读可写( r e a d w r i t e ) ( 3 ) 禁止访问( n o t a c c e s s i b l e ) s n m p 作为数据传输方法，和数据的组织形式m i b 结合，为网络管理系统提供了 底层的保障。 在t c p i p 网络管理的建议标准中，提出了多个相互独立的m i b ，其中包含为i n t e r n e t 网络管理而开发的m i b i i 。m i b i i 是在m i b i 的基础之上开发的，是m i b i 的一个扩 展。 2 2 2m i b 结构 m i b 指明了网络元素所维持的变量( 即能够被管理进程查询和设置的信息) 。并且 提供了一个网络中所有可能的被管理对象的集合的数据结构。s n m p 的管理信息库采用 和域名系统d n s 相似的树型结构，它的根在最上面，根没有名字。图2 5 描述的是管理 信息库的一部分，它又称为对象命名树( o b j e c tn a m i n gt r e e ) d , 9 】。 根 cc；竹。，_，_。-。，：、bcc；位。2， 。厕磊= 蒜孑嘉赢卜蕊蕊鲫 图2 5 管理信息库的对象命名举例 对象命名树的顶级对象有三个，即i s o 、i t u t 和这两个组织的联合体。在i s o 的 下面有4 个节点，其中的最后一个( 标号3 ) 是被标识的组织。在其下面有一个d o d 的 子树( 标号是6 ) ，再下面就是i n t e