SNMP与MIB网络协议概述

1、SNMP与MIB网络协议概述技术创新，变革未来目录网络管理介绍SNMP协议介绍MIB介绍iMC对SNMP的封装2网络管理介绍网络管理（Network Management）是对网络硬件（包括网络设备、服务器、办公机、打印 机、语音电话等）、应用软件（如操作系统、数据库、邮件系统等）的综合使用与协调的整 体过程，以达到网络运行最优，并最大限度地降低网络维护成本。通常，网络管理以网络管理软件（Network Management Software, NMS）的形式出现，即通过网络管理软件对网络进行管理，网络管理软件简称为网管。业界知名网管包括H3CiMC、HP NNMi、 Huawei U2000

2、 、CiscoWorks、Juniper NSM等。3网络管理的发展过程网络管理的发展经历了三个阶段：命令行。这是网络管理的最原始阶段，网络管理员通过串口、远程telnent登录到设备上，使用命令行对设备进行管理。简单的图形界面。这个阶段的网络管理对设备的常用操作进行图形封装，网络管理员可以通过网管 软件实现对网络设备部分功能进行配置和监控。设备面板、Web网管是这个阶段的代表。成熟的商用软件。这个阶段的网络管理覆盖了网络管理的五大功能（详细介绍见后），并提供一些智能化的处理帮助网络管理员计划日常维护操作，比如告警根源分析、异常接入联动、自动化部署等。4网络管理的主要功能5ISO在ISO/IE

3、C 7498-4中，网络管理定义了五大功能：网管功能功能描述性能管理性能管理使网络管理员能够监视网络运行的参数，如吞吐率、响应 时间、网络的可用性等。故障管理当网络出现故障时，故障管理能够及时通知网络管理员故障发生点 及故障发生原因，并尽可能地排除这些故障。配置管理配置管理通过逻辑拓扑的方式展示网络层次结构，并提供图形方式的网络配置功能，简化网管网络管理员的日常维护操作计费管理记录网络用户和应用程序对网络资源的使用情况，并据此计算相应 的网络费用安全管理安全挂历是对网络资源及其重要信息访问的约束和控制，包括验证 网络用户的访问权限和优先级、检测和记录未授权用户企图进行的 不应有的操作。网络管理

4、常用协议6网络管理可以使用的协议非常多，只要能够实现网管软件服务器和被管 理网络设备之间通信，都可以作为网络管理协议。比如telnet，网络 管理软件通过解析telnet命令行，可以获取、设置网络设备的任何参 数，因此telnet就是一种网络管理协议。常用的网络管理协议包括：SNMP、telnet、SSH、Restful、SOAP等。SNMP是网络管理最常用的协议，IETF制定了大量的技术标准。基于SNMP实现网络管理是诸多管理协议中最规范、最简单、且使用范围 最广泛的协议。目录网络管理介绍SNMP协议介绍MIB介绍iMC对SNMP的封装7SNMP协议介绍8SNMP协议9SNMP（Simple

5、 Network Management Protocol），简单网络管理协 议 。 SNMP 的 前 身 是 SGMP（ Simple Gateway Monitoring Protocol，简单网关监控协议，RFC1028），用来对通信线路进行 管理。随后，人们对SGMP进行了很大的修改，特别是加入了符合Internet定义的SMI和MIB体系结构，改进后的协议就是著名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台， 因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。（摘自百

6、度百科）SNMPv1101988年8月发布的RFC1067和1989年4月发布的RFC1098为早期的SNMP提供了最初的蓝本。1990年5月发布的RFC1157对SNMP进行了完整定义，并完全替代RFC1067和RFC1098。SNMPv1定义了MIB（Management Information Base，管理信息库） 和SMI（Structure of Management Information，管理信息结构）， 提供一些基础类型（如Integer、Octet String、Ip Address等）和基 本操作（get、get next、set、get response、trap），S

7、NMPv1的缺点是数据类型可扩展性很差，通信过程的安全性得不到保 证。尽管后续发布的RFC1351、RFC1352和RFC1353对安全性问题 进行了补充，但基本没有厂商支持后三种rfc标准。SNMPv211SNMPv2对SNMPv1存在的问题进行了修正，增强了安全性。SNMPv2p对SNMPv1的SMI进行扩充，提供了一些新的数据类型，比如Counter64、Bits等，同时也增加了两个基本操作get bulk、inform。SNMPv2c也称为基于community的SNMPv2，它继承了SNMPv1的通 信方式和SNMPv2p的数据类型。SNMPv2u对安全性进行补充，即支持基于用户的视

8、图访问，同时支持SNMPv2p的数据类型。SNMPv2*集合SNMPv2u和SNMPv2p的所有优点。SNMPv2尽管在安全方面做了一些改进，但仍然不够，比如报文通信依 然采用明文通信，数据容易被窃取。SNMPv312SNMPv3由RFC 3411-RFC 3418定义，主要增加SNMP在安全性和远端配置方面的强化，包括对访问用户的安全认证和加密通信数据。SNMPv3提供重要的安全性功能：信息完整性。保证封包在传送中没有被窜改。认证：检验信息来自正确的来源。封包加密：避免被未授权的来源窥探。SNMP通信模型网管工作站通过SNMP协议（协议端口为UDP 161）访问网络设备的SNMP Agent

9、，要求操作MIB数据。网络设备通过SNMP协议将TRAP数据上报给网络管理工作站，协议端口号为162。13SNMP报文介绍14SNMP报文类型网络设备绑定UDP端口161，接收网管软件发送的get、get next、set、get bulk报文，然后根 据自身的执行结果，返回response报文。网管软件绑定UDP端口162，等待网络设备发送的inform和trap，对于inform报文，需要发送response报文。网管软件网络设备get-requestget-responseget-next-requestget-responseset-requestget-responseget-bul

10、k-requestget-responsereport informget-responsetrap网络设备绑定UDP通信端口16115网管软件绑定UDP通信端口162SNMP Get报文SNMP Response ()SNMP get (address)SNMP get操作由网管软件发起，查询指定对象的数据。网络设备收到请求后，需要发送响应报文，如果目标数据存在，则返回目标数据，否则在响应报文中指出对应变量不存在（no-such-name or no-such-object）。16SNMP Get-Next报文SNMP get-next (address)SNMP Re

11、sponse(printer-1)SNMP get-next操作由网管软件发起，查询指定对象的下一项数据（返回MIB字典序的下一项数 据，MIB在后面介绍）。网络设备收到请求后，需要发送响应报文，如果目标对象存在下一项数据，则返回下一项数据，否则在响应报文中指出MIB读取结束（end -of-mib-view）。17SNMP Get-Bulk报文SNMP get-bulk (next, repeat: 3)SNMP Response (2, 3, 2)SNMP get-bulk操作由网管软件发起，查询指定对象的下n项数据（返回MIB字典序的下n项数据，n有get-bulk参数repeat指定）

12、。网络设备收到请求后，需要发送响应报文，如果目标对象的下n项数据，则返回下n项数据，否则在响应报文中指出MIB读取结束（end -of-mib-view）。18SNMP Set报文SNMP set (name,” printer-2”)SNMPResponse (printer-2)SNMP set操作由网管软件发起，修改指定对象的数据。网络设备收到请求后，需要发送响应报文，如果目标对象存在且具有写权限，则修改目标对象数 据，返回成功；否则在响应报文中返回错误（no-such-name , no-such-object , genericerror） 。19SNMP Report报文SNMP

13、Report只会在SNMPv3通信环境中才会出现，如果网管软件发送的SNMPv3报文认证失败，网络设备就会给网管软件发送Report报文。Report报文总共包含六种错误usmStatsUnsupportedSecLevels（不支持的安 全级别）、usmStatsNotInTimeWindows（时间窗口参数不正确）、usmStatsUnknownUserNames（未知用户名）、usmStatsUnknownEngineIDs（未知engineID）、usmStatsWrongDigests（错误摘要）、usmStatsDecryptionErrors（解 密失败）。SNMPv3 Mess

14、age (get, get-next, set.)SNMPv3 Report20SNMP TRAP & InformSNMP TRAP和Inform本质都是网络设备在产生故障，或特定事件产生时，给网 管软件发送的通知消息。如果网络设备产生TRAP报文，该报文仅仅是一个通知消息。TRAP报文发送后， 网络设备不管网管软件是否收到了该TRAP，都不会重复发送该TRAP，这可 能会导致TRAP丢失。Inform是对TRAP的改进，网管软件收到Infrom报文后，必须给网络设备发送响 应消息，确认报文已经收到；如果网络设备未收到Inform的响应报文，则会 持续发送该Inform报文。SNMP TRA

15、P/InformInform ? SNMP Response21SNMPv1 & SNMPv2报文格式IP首部UDP首部版本团体名PDU类型 0-3, 5请求 标识差错 状态差错 索引名称值名称值公共SNMP首部get/set首部get/set变量部分SNMP报文UDP数据报IP数据报PDU类型 4, 6, 7企业ID代理 地址通用trap类型私有Trap类型时间戳名称值Trap / Inform首部22变量SNMPv3报文格式m sgVersion23HeaderData msgSecurityParameters scopedPDU(encryptedPDU)m sgIDm sgMaxSi

16、ze m sgFlags m sgSecurityModelDem sgAthoritativ msgAthoritativeE nginIDEnginBootsmsgAthoritative EnginTimemsgUserName msgAuthenticationParametersmsgPrivacy ParameterscontextE ngineIcontextNam ePDUSNMPv3报文和SNMPv1、SNMPv2报文差异较大，详细的参数描述参见专门的SNMPv3培训教材。scopedPdu的PDU部分解密以后，其结构和SNMPv1、SNMPv2完全一样，具 体格式参见“SN

17、MPv1 & SNMPv2报文格式”“PDU类型”及其后续字段。SNMPv1抓包报文24SNMPv3抓包报文25SNMP安全机制26SNMPv1 & SNMPv2安全机制27基于明文的读团体字和写团体字进行认证在SNMPv1和SNMPv2报文中，直接携带明文的SNMP的读团体字或写团体字，接收方收到报文后，直接基于SNMP的读团体字和写团体字进行认证。SNMP读团体字执行读取操作时，SNMP报文必须携带读取团体字，接收方收到报文后，基于读取团体 字进行校验，如果校验成功，则执行相应的查询操作；如果校验失败，则不作任何处 理，也不回响应。SNMP写团体字执行写操作时，SNMP报文必须携带写团体字

18、，接收方收到报文后，基于写团体字进行 校验，如果校验成功，则执行相应的写操作；如果校验失败，则不作任何处理，也不 回响应。 SNMP写团体字具有SNMP读团体字的能力，即执行读取操作时，可以将SNMP写团体字当做SNMP读团体字使用。由于SNMPv1和SNMPv2都是基于明文，因此安全性较差。SNMPv3的安全机制28SNMPv3在继承了SNMPv2c的基础上，提供：认证基于USM（ User-Based Security Model ，用户安全模型）对报文进行认证， 只有在USM认证通过的情况下，才能执行后续操作。USM采用非对称密钥的 方式传递私钥信息，最大限度地降低了私钥被破解的可能性。

19、加密SNMPv3支持对报文进行加密，加密算法包括DES、AES128、AES192、AES256。访问控制基于安全用户对访问的MIB进行授权，安全用户只能访问被授权的MIB视图。基于用户的安全模型(User-Based SecurityModel)提供了认证(Authentication)和加密(Privacy)的功能定义了3个安全级别无认证无加密 (noAuthNoPriv）有认证无加密 (authNoPriv)有认证有加密 (authPriv)（注意：不存在无认证有加密(noauthPriv),因为加密所使用的密码必须与用户相关联）29SNMPv3的安全机制（续）目录网络管理介绍SNMP协

20、议介绍MIB介绍iMC对SNMP的封装30MIB31MIB（ Management Information Base，管理信息库）定义了网络设备所有能够被管理 的网络元素，网络元素类型及网络元素能够执行的操作。MIB采用和域名系统DNS相 似的树型结构，它的根在最上面，根没有名字。MIB树的顶级对象有三个，即ISO、ITU-T和这两个组织的联合体。在ISO的下面有4个结点，其中的org （标号3）是被标识的组织。在其下面有一个美国国防部（Department ofDefense）的子树（标号是6），再下面就是Internet（标号是1）。在Internet结点下 面的第二个结点是mgmt（管理

21、），标号是2。再下面是管理信息库，原先的结点名是mib。1991年定义了新的版本 MIB-II，故结点名现改为mib-2，其标识为.2.1， 或Internet(1) .2.1。这种标识为对象标识符。（摘自百度百科）MIB定义理论上与具体的网络管理协议无关，即MIB即可以在SNMP协议中实现，也可以在 其它协议中实现。MIB树结构根ccitt(0)iso(1)joint-iso-ccitt(2)standard(0)registration authority(1)member body(2)identified organization(3)dod(6)internet(1)1

22、.3.6.1directory(1)mgmt(2)experimental(3)private(4)mib-2(1).2.1security(5)snmpv2(6).4.1system(1)interface(2)at(3)ip(4)udp(7)egp(8) enterprises(1)icmp(5)tcp(6)32MIB的格式MIB格式由RFC1212定义，和Asn.1类似，格式比较整齐，易于理解。由于MIB采用树状结构保存变量，因此定义变量时，除了需要定义变量的类型、访问权限。状态和描述外，必须定义变量的父节点。33公有MIB & 私有MIB公有MIB公有MIB

23、是指一些标准组织定义的MIB，比如IETF、IEEE等。常见的公有MIB包括 RFC1213-MIB、IP-MIB、BRIDGE-MIB等。公有MIB对于网管软件统一管理网络设 备而言，具有非常重要的意义，因为它定义了网络设备的统一对外接口。私有MIB由于公有MIB不能完全覆盖所有的业务特性，企业可以根据自己的需要定义自己的MIB， 这些MIB 必须挂在ernet.private.enterprises（.4.1）下。34MIB对象在SNMP报文中的存储格式Asn1序列&Asn.1结构Asn.1序列的总长度（变量总长度）变量类型为OID（6）变量长度为10此后10个字节为Oid长度为13个字节 变量类型为Octets（4）变量数值35目录网络管理介绍SNMP协议介绍MIB介绍iMC对SNMP的封装36iMC的SNMP访问的层