SNMP及日志管理概述

1、SNMP及日志管理概述技术创新，变革未来随着网络规模的不断扩大，自动化网络管理的要求越来越高。SNMP协议提供了一种从网络上的设备中收集网络管理信息的方法，也为设备向网络管理工作站报告问题和错误提供了一种方法。引入了解SNMP协议工作的C/S架构熟悉SNMP的协议基础MIB的实现和分类了解SNMP协议的历史以及历史版本的区别掌握SNMP协议在园区网设备上的配置课程目标学习完本课程，您应该能够：SNMP的基本架构SNMP标准介绍SNMP在交换机上的配置目录网络管理关键功能OSI定义的网络管理关键功能：故障管理 计费管理 配置管理性能管理安全管理网络管理面临的挑战与SNMP网络管理面临的挑战网络规

2、模越来越大网络设备越来越多样性自动化管理成为网络管理的基本需求SNMP提供了一种对多供应商、可协同操作的网络管理工具，成为应用广泛的IP网络管理协议。SNMP协议实现简单，适合IP网络管理要求SNMP能够花费最少的人力、设备、资金提供更智能的网络管理服务 SNMP基本架构网络管理站（NMS）代理器（Agent）SNMP协议管理信息库（ MIB ） 网络管理站NMS进程UDP 161UDP 162Agent进程SNMP RequestSNMP ResponseSNMP TrapIP网络被管理设备MIB管理信息库（MIB）IdentifierSyntaxAccess levelSMIMIBMIB是

3、一个被管理对象的集合定义被管理对象的一系列的属性MIB通过SMI进行组织和定义MIB结构MIB是一种树形结构每个节点有一个名字和一个编号名字不能重复同一层节点的编号不能相同节点可以通过名字或者OID来标识例如F节点可以表示为“1.2.2.1”节点类型分为叶子节点和非叶子节点rootAEBDFC1123121MIB实例root-nodeccitt(0)iso(1)joint(2)org(3)dod(6)Internet(1)directory(1)mgmt(2)experimental(3)private(4)mib-2system(1)interfaces(2)at(3)ip(4)icmp(5

4、)tcp(6)SNMP的基本架构SNMP标准介绍SNMP在交换机上的配置目录SNMP版本常用的SNMP有三个版本SNMPv1： RFC 1157定义SNMPv2c： RFC 1901RFC1908定义SNMPv3：RFC3411RFC3418定义目前正式SNMP标准版本为SNMPv3SNMPv1协议原理网络管理站NMS进程UDP 161UDP 162Agent进程Get-RequestGetNext-RequestSet-RequestGet-ResponseSNMP TrapIP网络被管理设备MIB基于团体名进行认证SNMP团体SNMPv1使用团体来进行安全机制管理团体是由Agent和若干个

5、网络管理站应用程序组成每个团体通过团体名即一个字符串来区别团体名实际上是一个相关权限的密码可以访问哪些节点访问的类型（读/设置）SNMPv1报文格式VersionCommunityPDUPDU TypeRequest-IDESEIVBListname1value1name2value2nameNvalueNPDU TypeenterpriseAgent-addrGeneric-trapSpecific-trapTime-stampVBListRequest/response PDUVBListTrap PDUSNMPv1 Get RequestifDescr.1Ethernet1ifDescr

6、.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetRequest:1.3.6.1.2.1.2.2.2.2,NULLGetResponse:1.3.6.1.2.1.2.2.2.2,ethernet2NMSAgentUDP：161ifDescrifIndexSNMPv1 GetNext RequestifDescr.1Ethernet1ifDescr.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetNextRequest:1.3.6.1.2.1.2.2.2

7、.2,NULLGetResponse:1.3.6.1.2.1.2.2.2.3, Serial1NMSAgentUDP：161ifDescrifIndexSNMPv1 SetRequestifAdminStatus .11ifAdminStatus .22（1）ifAdminStatus.31ifAdminStatus.41ifAdminStatus.51SetRequest:1.3.6.1.2.1.2.2.7.2,2GetResponse:1.3.6.1.2.1.2.2.7.2, 2NMSAgentUDP：161ifAdminStatusifIndexSNMPv1 TrapifAdminSta

8、tus .11ifAdminStatus .22（1）ifAdminStatus.31ifAdminStatus.41ifAdminStatus.51Trap:1.3.6.1.2.1.2.2.1.2, 2NMSAgentUDP：162ifIndexifIndexSNMPv1的不足SNMPv1的所有操作都是原子性的，效率低SNMPv1的错误状态有限不支持NMS到NMS之间的通信SNMPv1的Trap报文格式存在缺陷SNMPv1安全性较弱SNMPv2c vs SNMPv1SNMPv2c也是基于团体名的安全机制SNMPv2c请求报文和响应报文格式与SNMPv1一致SNMPv2c相对SNMPv1改进除

9、了Set操作是原子性的，其他操作都是非原子性的；增加了GetBulk操作，操作效率更高；具有更丰富的错误状态和错误码；支持更丰富的数据类型Trap报文格式与其他操作类型的报文格式进行了统一。GetBulk操作getNext的延伸，一个getBulk操作等价于多次执行getNext操作尽可能返回更多的值，提高网络性能getBulk请求报文对ES和EI两个参数进行了重用PDU typeRequest IDNM VBListN:non-repeaters:从VBList字段中的第一个变量算起，只要求返回一个字典后继的变量，相当于对前N个变量进行一次GetNext操作M：max-repeaters:V

10、BList中除了N个变量外剩余变量要求返回M个字典后继变量，相当于对剩余的每一个变量执行M次GetNext操作GetBulk举例ifDescr.1Ethernet1ifDescr.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetBulkRequest(N=1,M=2,VBList=ifDescr, ifInOctets)GetResponse(ifDescr.1: Ethernet1ifInOctets.1: 193301, ifInOctets.2: 592330,)NMSAgentifInOctets.1193301i

11、fInOctets.2592330ifInOctets.336235ifInOctets.40ifInOctets.50SNMPv2c提供更丰富的错误码SNMPv1SNMPv2cbadvaluewrongValuebadvaluewrongEncodingbadvaluewrongTypebadvaluewrongLengthbadvalueinconsistentValuenoSuchNamenoAccessnoSuchNamenotWritablenoSuchNamenoCreationnoSuchNameinconsistentNamegenErrresourceUnavailableg

12、enErrgenErrgenErrcommitFailedgenErrundoFailedSNMPv1和SNMPv2c的安全性挑战SNMPv1和SNMPv2c安全性基于团体名(community name)的有限的安全机制团体名是明文传输，入侵者很容易通过抓包工具来获取报文不支持加密限制了SNMP在非完全信任的网络中的使用SNMPv3在继承了SNMPv2c的基础上，提供认证加密访问控制SNMPv3框架SNMP分发器SNMP消息处理器安全子系统消息处理子系统命令产生器命令相应器告警接收器告警产生器代理转发器其他应用SNMP实体SNMP引擎SNMP应用SNMPv3报文格式msgVersionmsg

13、IDmsgMaxSizemsgFlagsmsgSecurityModelmsgAuthoritativeEngineIDmsgAuthoritativeEngineTimemsgPrivacyParametersmsgAuthenticationParametersmsgUserNamemsgAuthoritativeEngineBootscontexEngineIDcontexnNamePDU加密域鉴别域数据部分消息头安全参数SNMPv3安全性USM消息的完整性消息的合法性消息是否被延迟消息是否被重放消息是否防窃听用户访问权限是否合法VACM消息鉴别合时性检查消息加密USMSNMPv3 VA

14、CMsecurityModelsecurityNamegroupNamecontextNamesecurityModelsecurityLevelView-typeobject-typeobject-instancevariableNameviewNameDecision(Y/N)SNMP v1/v2C/v3对比PDU支持情况安全级别认证加密SNMPv1Get、GetNext、Set、Trap、GetResponsenoAuthNoPrivcommunityNOSNMPv2cGet、GetNext、Set、Trap、Inform、GetResponse、GetBulknoAuthNoPrivc

15、ommunityNOSNMPv3Get、GetNext、Set、Trap、Inform、GetResponse、GetBulknoAuthNoPrivAuthNoPrivAuthPrivMD5SHADES3DESAESSNMP的基本架构SNMP标准介绍SNMP在交换机上的配置目录SNMP配置任务启动SNMP Agent服务配置SNMP运行版本创建MIB视图内容sysname snmp-agentsysname snmp-agent sys-info contact sys-contact | location sys-location | version v1 | v2c | v3 * | a

16、ll sysname snmp-agent mib-view excluded | included view-name oid-tree mask mask-value SNMP配置任务（续）创建SNMPv1 & SNMPv2c团体创建SNMPv3组创建SNMPv3用户sysname snmp-agent community read | write community-name acl acl-number | mib-view view-name *sysname snmp-agent group v3 group-name authentication | privacy read-v

17、iew read-view write-view write-view notify-view notify-view acl acl-number sysname snmp-agent usm-user v3 user-name group-name cipher authentication-mode md5 | sha auth-password privacy-mode 3des | aes128 | des56 priv-password acl acl-number SNMP配置示例要求网管使用SNMPv3管理设备，用户名为bob，该用户的访问要求认证加密，并且该用户对MIB-2中的非atTable内的节点有读或写权限sysname snmp-agent mib-view included bobview mib-2sysname snmp-agent mib-view excluded bobview atTablesysname snmp-agent group v3 bobgroup privacy