自动网络管理系统-第4讲smnp协议课件

1、5.1 SNMP的基本概念5.2 SNMP v25.3 SNMP v3简单网络管理协议 简单网络管理协议SNMP(Simple Network Management Protocol) 是1990年5月问世的，主要是为当时的ARPANET变成了全球范围的Internet，拥有了众多的主干和众多的用户的网络管理而研制的。RFC1157定义了SNMP的第一个版本，简称为SNMP v1，SNMP提供了一种监控和管理计算机网络的系统方法。这个框架和协议被广泛地应用，并成为21世纪网络管理的标准。 SNMP是由IAB（Internet Advertising Bureau: Internet广告局）制订

2、，基于TCP协议的各种互联网络的管理标准。由于它满足了人们长期以来对通用网络管理标准的需求，而且它本身简单明了，实现起来比较容易，占用的系统资源较少，所以得到了众多网络产品厂家的支持，目前已成为事实上的网络管理工业标准，基于它的网络管理产品在市场上占有统治地位。 随着实践的检验，SNMP第1个版本的缺点逐渐暴露出来，于是，人们又提出了一个SNMP的加强版本SNMP v2，并逐渐成为Internet标准。但是SNMP v2在安全协议操作方面没有提供有效的解决方案，针对这一问题，又开发出了SNMP的第3个版本SNMP v3。 本章将在介绍SNMP协议的基础上，分别对SNMPv1，SNMPv2和SN

3、MPv3进行介绍。MIBmanagerMIBagentMIBagentMIBagentMDB网络SNMPSNMPSNMP被管理设备 1被管理设备 2被管理设备 n管理站 网络管理基本模型Network Manager 网络管理体系结构（SNMP模型） ManagerAgent模型（如上图所示）在网络管理中常用，其核心是管理进程与远程系统相互作用，实现对远程资源的控制。 组成四要素：由网络管理系统（网管站manager）、被管网络设备（计算机系统或网络设备agent）、管理信息库（MIB）和网络管理通信协议（如SNMP等）组成。 设计原则：尽量减少网络和被管设备的管理开销。 简单网络管理协议（S

4、NMP） SNMP是基于TCP/IP的一系列协议和规范，提供了一种从网络上的设备中收集网络管理信息的方法，是一种标准的manager-agent体系结构，定义了如下功能模块。 管理站运行管理器软件（manager），通过SNMP通信协议收集代理所记录的信息；提供图形化人机界面，网络管理员通过管理站向MIB发出命令，查看和设置网络中各个被管理设备的运行状态。 被管理设备运行协议嵌入代理软件（agent），负责执行指令，随时将网络设备的各种信息记录到MIB中。 SNMP协议定义manager和agent之间交换管理信息的统一规则，面向因特网及其设备，以统一标准（SMI）来规定MIB存储结构、关键词

5、含义及各种事件处理方法。 MIB 实际上是被管理对象（设备配置、性能等属性）的索引系统。 SNMP的模块功能简单网络管理协议（SNMP） 管理信息库MIB MIB定义了一种对象数据库，网络资源被抽象为对象进行管理，是网络管理系统的核心，管理员只和它交付. MIB中的数据可分为感测数据、结构数据和控制数据. 感测数据表示测量到的网络原始信息，如结点队列长度、重发率、链路状态、呼叫统计等，这些数据是网络计费管理、性能管理和故障管理的基本数据； 结构数据描述网络的物理、逻辑构成，包括网络拓扑结构、交换机和中继线的配置、数据密钥、用户记录等，它们是网络配置管理与安全管理的基础； 控制数据存储网络的操作

6、设置，如中继线的最大流量、交换机输出链路业务分流比、路由表等，是一些可调参数，主要用于网络性能管理。简单网络管理协议（SNMP） SNMP操作（续） MIB由agent维护而由管理者读写。 SNMP模型采用ASN.1对象命名树语法结构描述对象，实现不同系统之间的无缝通信。 SNMP仅支持对管理对象值的检索和修改等简单操作，包括： （1）get：用于管理者发给代理（以下（2）、（3）同），获取特定对象的值，提取指定的网络管理信息； （2）get-next：通过遍历MIB树 获取对象的值，提供扫描MIB树和依次检索数据的方法； （3）set：用于修改对象值，对管理信息进行控制； （4）trap：用

7、于代理向管理者报告对象状态变化。 基于Windows的网络管理 SNMP服务 在基于SNMP managr-agent体系中，SNMP提供了系统之间监视并交流状态信息的能力。 由于有了SNMP服务，Windows计算机就可以向TCP/IP网络上的SNMP管理系统报告其状态； Windows SNMP服务向运行SNMP管理软件的任何TCP/IP主机提供SNMP代理服务，它的作用是监视硬件设备和其它系统进程，提供访问外围设备和操作系统辅助功能的能力。 SNMP服务包括：处理多个主机对状态信息的请求；向多个主机报告重要事件；使用主机名和IP地址来标识对方主机；启用计数器监视TCP/IP性能。 Win

8、dows已成为SNMP应用和开发的一个重要平台。 SNMP服务运行 准备工作（软件配置）： （1）在安装SNMP服务之前，agent主机应拥有主机名或IP地址； （2）当使用主机名时，要确保将所有相关计算机的主机名到IP地址的映射添加到响应的解析源（如Hosts文件、DNS、WINS文件）中； （3）至少有一个管理系统（管理站）运行TCP/IP协议和第三方SNMP管理器软件（如Cisco Works、 HP Open View、Sun Net Manader等）； （4）agent运行Microsoft SNMP服务，是基于Windows系统的计算机； （5）定义SNMP团体，只有作为同一团体

9、成员的代理和管理器才能相互通信。基于Windows的网络管理 SNMP服务运行基于Windows的网络管理 SNMP服务工作过程（对管理系统请求的响应） 161161从主机A到主机B获得活动会话团体为Public到主机A会话数为 2软件版本硬件空间会话表B团体：Public陷阱目标：主机AIP地址：131.107.3.24团体：PublicIP地址：131.107.7.29 A主机管理系统通过端口161向主机B（IP地址）代理发送状态信息UDP请求； 管理系统创建SNMP数据包，信息包括： 对1n对象的get、get-next或set请求；团体名和其它验证信息；数据包路由到代理UDP端口161

10、； 代理验证团体名、数据包格式和源IP地址；经传递、映射、调用处理后，将SNMP数据包与请求的信息一起返回给管理器。131.107.3.24=Host B A总目录5.1 SNMP的基本概念 5.1.1 SNMP的基本概念 1.基本概念 网络管理结构中的一些基本概念： l 被管设备：又被称为网络元素，是指计算机、路由器、转换器等硬件设备。 l 代理(Agent)：驻留在网络元素中的软件模块，它们收集并存储管理信息，如网络收到的错误包的数量等。 l 管理对象：管理对象是能被管理的所有实体(网络、设备、线路、软件)。例如，在特定的主机之间的一系列现有活动的TCP线路是一个管理对象。管理对象不同于变

11、量，变量只是管理对象的实例。总目录 l 网络管理工作站(NMS)：又称为控制台，这些设施运行管理应用来监视和控制网络元素，在物理上NMS通常是具有高速CPU、大内存、大硬盘等工作站，作为网络管理工作站管理网络的界面，在管理环境中至少需要一台NMS。 l部件：部件是一个逻辑上的SNMP v2实体，它能初始化SNMP v2的通信，并能接收SNMP v2的通信，每个SNMP v2实体包括一个惟一的实体标识。 SNMP v2的信息是在两个实体间实现通信的。一个SNMP v2的实体可以定义多个部件，每个部件具有不同的参数。 l 管理协议：管理协议是用来在代理和NMS之间转换管理信息，提供在网络管理站和被

12、管设备间交互信息的方法。 l 网络管理系统：真正的网络管理功能的实现，它驻留在网络管理工作站中，通过对被管对象中的MIB信息变量的操作实现各种网络管理功能。总目录 2. SNMP的管理对象 SMI采用ASN.1描述形式，定义了Internet的6个主要管理对象类： l 网络地址； l IP地址； l 时间标记； l 计数器； l 计量器； l 非透明数据类型。总目录 （2）变量绑定 变量绑定用于指定要收集或修改的管理对象。更精确地说，变量绑定是一个OBJECT IDENTIFIER值对应的列表。对于get或get-next请求，将忽略该值部分。RFC1157建议在get和get-next协议数

13、据单元中发送实体把变量置为ASN.1的NULL值，接收实体处理时忽略它，在返回的应答协议数据单元中设置为变量的实际值。 由于get-next操作用变量绑定中提供的管理对象执行一次MIB树遍历，所以可以指定MIB 树中的任何对象。总目录 4. SNMP v1报文格式 SNMP v1是SNMP最初的版本，在SNMP v1管理中，管理者和代理之间信息的交换都是通过SNMP报文实现的。管理者和代理之间交换的管理信息构成了SNMP报文，所有SNMPv1操作都嵌入在一个SNMP报文中。 SNMP v1报文由三部分构成，格式如下所示。 参数含义： l 版本号：指定SNMP的版本号(对于SNMPv1，版本号为

14、0)。 l 团体名：用于身份认证的一个字符串。 l PDU：是协议数据单元（Protocol Data Unit）的缩写。版本号团体名SNMP PDU总目录 5.1.2 SNMP v1的基本操作 SNMP v1主要涉及通信报文的操作处理，协议规定Management如何与Agent通信，定义了它们之间交换报文的格式和含义，以及每种报文该怎样处理等。关于管理进程和代理进程之间的交互信息，SNMP v1定义了以下5种报文，分别对应5种基本操作： l GetRequest操作：被manager进程用来从代理进程处提取一个或多个参数值。 l GetNextRequest操作：从代理进程处提取一个或多个

15、参数的下一个参数值。 lSetRequest操作：设置(或改变)代理进程的一个或多个参数值。 l GetResponse操作：返回的一个或多个参数值。这个操作是由代理进程发出的。它是前面3种操作的响应操作。 l Trap操作：代理进程主动发出的报文，通知管理进程有某些异常事件的发生。总目录 1. get 操作 get，get-next或set PDU有相同的格式，其格式如下所示。其中PDU类型是16进制数，0 xAO表示get，0 xA1表示get-next，0 xA3表示set。 2. get-next操作 get-next比get功能更强，不但允许你遍历MIB树，并能判断哪些对象存在，哪些

16、行在表中存在。get-next是如何工作的呢？对于变量绑定中指定的每一个对象标识符，都将执行一次MIB树遍历，并按字典次序获取下一个叶子对象。 总目录 3. set操作 set请求用于修改或创建管理对象。在set请求中提供的变量绑定定义了要设置的变量以及要设置的值。set操作是整体性的，要么全部变量设置成功，要么没有变量设置成功。因此，如果有一个变量不能设置或提供了一个错误值，则将不设置任何变量，并发送差错状态和差错索引的指示。 若设置成功，则在响应消息中将包含与请求中相同的变量绑定。 如何在表中添加或删除行呢？这取决于表中对象的定义方式。如果使用的是RowStatus对象，则可以用标准方式添

17、加或删除行。 4. traps操作 代理可以查找特定的事件并检测它们，发送一个陷阱消息给预先配置好的管理工作站。与SNMP Request和Response消息不同的是，trap消息被发送到UDP端口162上。Trap PDU的格式如下所示。总目录 2. SNMP的管理对象 SMI采用ASN.1描述形式，定义了Internet的6个主要管理对象类： l 网络地址； l IP地址； l 时间标记； l 计数器； l 计量器； l 非透明数据类型。总目录 2.管理进程和代理进程之间的通信方式 管理进程和代理进程之间的通信方式有两种：一种是管理进程向代理进程发出请求，询问一个具体的参数值，例如，产生

18、了多少个不可达的ICMP(Internet控制报文协议)端口等。另外一种方式是代理进程主动向管理进程报告发生的事件，例如，一个连接口掉线了。当然，管理进程除了可以向代理进程询问某些参数值以外，还可以按要求改变代理进程的参数值，例如，把默认的TP TTL(生存周期)值改为64。 总目录 3.SNMP标准 SNMP标准主要由3部分组成：简单网络管理协议(SNMP)，管理信息结构(SMI)和管理信息库(MIB)。 l 管理信息库(MIB)：管理信息库包括所有代理进程的所有可被查询和修改的参数。RFC1213定义了第二版的MIB，叫做MIB-。 l 关于MIB的一套公用的结构和表示符号，叫做管理信息结

19、构(SMI)。SMI在RFC 1155中定义。例如：SMI定义的计数器是一个非负整数，它的计数是O4294967295，当达到最大值时，又从0开始计数。 l 管理进程和代理进程之间的通信协议叫做简单网络管理协议(SNMP)，在RFC 1157中定义。SNMP包括数据报交换的格式等。尽管可以在传输层采用各种各样的协议，但是在SNMP中，用得最多的协议还是UDP。RFC所定义的SNMP叫做SNMP v1，或者叫SNMP。总目录 4.网络管理协议体系结构 SNMP是基于管理器/代理服务器模型之上的。大多数的处理能力和数据存数器都驻留于管理系统，只有相当少的功能驻留在被管理系统中。SNMP体系结构如下

20、图所示。应用层表示层会话层传输层网络层数据链路层物理层管理应用层管理信息结构层编码真实层用户数据报协议网络层协议局域网或广域网接口协议总目录 5.1.4 SNMP管理信息库表5-1 10个对象种类组别 对象 描述System系统 7名字、位置和设备描述Interface接口 23网络接口及其标称通信量AT 3地址转换IP 42IP分组统计IP分组统计ICMP 26已收到ICMP消息的统计TCP 19TCP算法、参数和统计UDP 6通信量统计EGP 20外部网关协议通信量统计Transmission(传输) 0保留为与介质有关的MIBSNMP 29通信量统计总目录 5 MIB的变量 MIB变量的

21、层次命名 P150-152 6 远程监控MIB P158总目录5.2 SNMP v2 5.2.1 SNMP v2的产生背景 SNMPv2消除了SNMPvl的多种缺陷，扩充了适用范围。 最初，SNMP技术是为了弥补网络管理协议发展阶段之间空缺的一种临时性措施而引入和提出的。SNMP问世后，迅速得到了广泛的应用，主要是因为它简单、容易实现。1988年，为适应当时网络管理的紧迫需要，确定了一个双轨策略：一个是基于SNMP的网络管理，SNMP可以满足当时网络管理的所有需要，并将它作为一个过渡方案；另一个是基于CMOT（CMIS/CMIP Over TCP/IP：基于TCP/IP上的公共管理服务/协议）

22、的网络管理，将OSI的网络管理标准CMOT作为一个长期的解决办法，用于管理复杂的网络，并提供更加全面的管理功能。 然而，这种双轨制没能实施多久，主要原因它存在着一些难以克服的困难和矛盾：一方面是OSI定义的管理信息库是复杂的面向对象模型，在此基础上实现SNMP几乎是不可能的，因为SNMP只能使用简单MIB；另一方面是SNMP得到了制造厂商的广泛支持。虽然SNMP得到了广泛的应用，但是它也存在着明显的缺点：缺乏安全措施、无数据源认证、不能防止偷听，另外，SNMP的团体名在对付日益猖獗的网络入侵和窃听技术方面也是无能为力的。总目录 为弥补SNMP上述的安全缺陷，1992年出现了一个新的标准S-SN

23、MP(Security SNMP：安全SNMP)，这个协议增强的安全功能如下： l 用报文摘要算法对数据完整性和数据源进行认证； l 用时间戳对报文排序； l 用DES(Data Encryption Standard：数据加密标准)算法提供数据加密功能。 但是S-SNMP的改进也只是局限于对SNMP安全方面的改进，对SNMP在功能和效率方面的其他缺点仍然无能为力。为满足网络管理的要求，从SNMPvl迅速过渡到SNMPv2已经成为迫切的要求，于是废弃S-SNMP，开发SNMP第二版被提到日程上来。 总目录 在开发SNMPv2的过程中，首先采用了一个过渡性的协议：SMP (Simple Mana

24、gement Protocol：简单管理协议)，SMP在SNMP的功能和效率方面进行了改进，包括下面几个方面：扩充了适用范围，可管理任意资源(网络、应用、系统)，可实现管理者之间的通信；继续保持了SNMP的简单性并提供了的数据传送能力，因而速度和效率更高；在安全方面结合了S-SNMP的措施；在兼容性方面，适用于TCP/IP协议和遵循OSI的其他通信协议。以SMP为基础的SNMPv2，经过了数年的试验和论证，新的RFC文档集合在1996年完成，如表5-2所示。该版本保留了SNMPv1的报文封装格式，称为基于团体名的SNMP(Community-based SNMP)，即SNMPv2c。 SNMP

25、v2u SNMPv2u是SNMP v2c的一个改进版本。SNMPv2u采取了不同的实现方法，为SNMP引入了基于用户的安全模型。SNMPv2u在RFC1910文档中说明，定义了基于SNMP系统的访问控制方法。SNMPv2u的目标是提供一种方法用于验证用户以防止对信息的非授权访问。由于种种原因，SNMPv2u开发出来后并没有推广应用，但SNMPv3中许多增强功能却是基于SNMPv2u的。总目录 5.2.2 SNMP v2的功能 SNMP v2在SNMP的基础上，增加了下述功能： l 管理信息结构（SMI）； l 协议操作； l 管理站与管理站之间的通信能力； l 安全性。SMNP v2主要在以下

26、4个方面进行了改进和更新： l 对象的定义； l 概念表； l 通知的定义； l 信息模块。总目录5.3 SNMP v3 虽然SNMPv2c增强许多功能，但安全性能仍没有得到很好的改善。IETF于1997年3月着手研究SNMP v2的升级版本SNMP v3，于1998年1月提出了互联网建议RFC 2271-2275，正式颁布了SNMPv3，如表5-3所示。这一系列文件定义了包含SNMPv1，SNMPv2所有功能在内的体系框架和包含验证服务、加密服务在内的全新的安全机制，同时还规定了一套专门的网络安全和访问控制规则。可以说，SNMPv3是在SNMPv2基础之上增加了安全和管理机制。表5-3 SNMPv3的RFC文档 RFC 文档说明