简单网络管理协议课件

简单网络管理协议简单网络管理协议11SNMP概述在早期的网络应用中，网络管理问题并未得到重视，也无网络管理协议。直到70年代，仍然是使用ICMP协议做为网络管理工具。ICMP协议：因特网控制报文协议。ICMP主要用于差错信息和控制信息的构造及某些网络信息的获取。ICMP与IP同属IP层，但ICMP报文是经IP封装后，作为IP数据报发送出去的。不把ICMP作为一个独立的协议层次，是因为ICMP不是上层协议的基础，在概念上构不成一个独立的层次。ICMP消息包括以下类型：目的不可达、超时、参数问题、源端抑制、重定向、回声请求、回声应答、时间标记请求、时间标记应答。1SNMP概述在早期的网络应用中，网络管理问题并未得到重视21.1SNMP的发展历史OSI的CMIP迟迟不出，Internet体系结构委员会提出了SNMP，本想作为一个短期的网管框架，作为临时解决方法，等到CMIP成熟再换掉SNMP但SNMP发展很快，并吸引了大量的用户，许多机构、厂家、用户将其应用，成为了事实标准。而SNMP向CMIP的迁移并未发生，从现在来看，已被业界广泛接受。1.1SNMP的发展历史OSI的CMIP迟迟不出，Inte31.2SNMPv1的优点SGMP基础上开发而来SNMPv1最大的特点是简单性，容易实现且成本低。可伸缩性——SNMP可管理绝大部分符合Internet标准的设备；扩展性——通过定义新的“被管理对象”，可以非常方便地扩展管理能力；“健壮性”（Robust）——即使在被管理设备发生严重错误时，也不会影响管理者的正常工作。1.2SNMPv1的优点SGMP基础上开发而来41.2SNMPv1的缺点功能简单、安全性差。使用UDP，不能保证可靠传输网管信息。SNMPv1是基于一种主动轮询的监视机制，轮询间隔短时对网络性能影响很大，不适合大规模的网络管理;

SNMPv1不支持管理站-管理站之间的通信，这样，它不允许一个管理系统去了解由另一个管理系统管理的设备和网络的状况1.2SNMPv1的缺点功能简单、安全性差。51.3SNMPv2IETF在1992年雄心勃勃地开始SNMPv2的开发工作。它当时宣布计划中的第二版将在提高安全性和更有效地传递管理信息方面加以改进，具体包括提供验证、加密和时间同步机制以及GETBULK操作提供一次取回大量数据的能力等。然而不幸的是，涉及的方面依然无法取得一致，从而只形成了现在的SNMPv2草案标准。1.3SNMPv2IETF在1992年雄心勃勃地开始SNM61.3SNMPv2的特点SNMPv2支持分布式/分层式的网络管理结构，在SNMPv2管理模型中有些系统可以同时具有管理器和代理的功能SNMPv2定义了两个MIB库支持分布式网络管理扩展了数据类型可以实现大量数据的同时传输，提高了效率和性能丰富了故障处理能力增加了集合处理功能加强了数据定义语言1.3SNMPv2的特点SNMPv2支持分布式/分层式的网71.4SNMPv31997年4月，IETF成立了SNMPv3工作组。SNMPv3的重点是安全、可管理的体系结构和远程配置。98年协议RFC文档说明出台。1.4SNMPv31997年4月，IETF成立了SNMPv81.4.1SNMPv3的内容SNMPv3主要有三个模块：信息处理和控制模块、本地处理模块和用户安全模块。

1.4.1SNMPv3的内容SNMPv3主要有三个模块：91.4.2信息处理和控制模块信息处理和控制模块在RFC2272中定义，它负责信息的产生和分析，并判断信息在传输过程中是否要经过代理服务器等。在信息产生过程中，该模块接收来自调度器（Dispatcher）的PDU，然后由用户安全模块在信息头中加入安全参数。在分析接收的信息时，先由用户安全模块处理信息头中的安全参数，然后将解包后的PDU送给调度器处理。1.4.2信息处理和控制模块信息处理和控制模块在RFC2101.4.3本地处理模块本地处理模块的功能主要是进行访问控制，处理打包的数据和中断。访问控制是指通过设置代理的有关信息使不同的管理站的管理进程在访问代理时具有不同的权限，它在PDU这一级完成。常用的控制策略有两种：限定管理站可以向代理发出的命令或确定管理站可以访问代理的MIB的具体部分。访问控制的策略必须预先设定。SNMPv3通过使用带有不同参数的原语使用来灵活地确定访问控制方式。1.4.3本地处理模块本地处理模块的功能主要是进行访问控制111.4.4用户安全模块与SNMPv1和SNMPv2相比，SNMPv3增加了三个新的安全机制：身份验证，加密和访问控制。其中，本地处理模块完成访问控制功能，而用户安全模块（UserSecurityModel）则提供身份验证和数据保密服务。身份验证是指代理（管理站）接到信息时首先必须确认信息是否来自有权的管理站（代理）并且信息在传输过程中未被改变的过程。1.4.4用户安全模块与SNMPv1和SNMPv2相比，122基本体系结构1、SNMP管理模型在OSI管理体系结构中，开放系统存在对等的管理关系。在SNMP中则是非对称的。管理站和代理均为应用层实体2基本体系结构1、SNMP管理模型132.2SNMP中的元素管理站：由专用设备构成，通过配置管理实体和一组应用程序，提供五大管理代理：配备了Agent实体的各类设备，如主机、Hub等。在Agent实体的支持下响应管理站的操作请求，对系统中各类资源的被管对象进行访问MIB：给出管理站和代理之间共享的管理信息，位于代理系统中。各个代理系统中被管对象的集合则构成了该系统的MIB，2.2SNMP中的元素管理站：由专用设备构成，通过配置管理142.2.1管理应用程序的MIB在运行了管理应用程序的管理站要配置一个管理数据库，用来存储从各个代理处获取的管理信息的值，以便于管理应用程序的使用这个管理数据库和MIB是有区别的，MIB是被管对象名的集合，是虚拟的数据库管理站的数据库则是被管对象值的集合，是实际存在的数据库2.2.1管理应用程序的MIB在运行了管理应用程序的管理站要152.3SNMP的操作共五个操作GetRequest：161端口用来提取一个或多个MIB对象的参数值GetNextRequest：161用来提取一个或多个MIB对象的参数的下一个参数值SetRequest：161设置代理进程的一个或多个MIB对象的参数值GetResponse：161端口通过代理进程返回一个或多个MIB对象的参数值，是前三个的响应操作Trap：162端口代理进程主动向管理进程发出报文，标记一个可能需要特殊注意的事件2.3SNMP的操作共五个操作162.4SNMP的工作机制基于中断的事件驱动轮询驱动2.4SNMP的工作机制基于中断的事件驱动172.4.1基于中断由于网络中的各个设备监测设施在发现被监测设备或设施的状态和参数发生变化后，及时以中断的方式向管理进程报告。这种报告称为事件报告事件报告的原因有多样，如：流量到达阀值、设备重启等管理进程中一般都对事件分类，可分成致命事件、严重事件、轻微事件、一般告警等。存在一定不足：如断电、报告事件的渠道发生故障时管理进程无法得到此类事件的报告。2.4.1基于中断由于网络中的各个设备监测设施在发现被监测设182.4.2基于轮询管理进程主动轮流查询各个网络设备或设施的工作状态和参数。如果返回的结果说明有错误，甚至没有任何结果返回，则说明设备存在严重故障，需要管理进程采取措施才能恢复。轮询检测到故障的时延是较长的。但掌握了网络状态和参数全面而事件反映的网络状态变化不完全，但比较及时（在网络线路是连通的情况下）2.4.2基于轮询管理进程主动轮流查询各个网络设备或设施的192.5SNMP的对象访问策略管理站和代理之间可以是一对多、多对一、多对多的关系。由于一个代理可以收到不同管理站对被管对象的操作命令，因此需要进行被管对象的访问控制。以实现对MIB的访问限定在授权的管理站范围（认证服务）、对不同的管理站给予不同的访问权限（访问策略）及在委托代理系统中实现托管站的认证服务（委托代理服务）等访问控制要求2.5SNMP的对象访问策略管理站和代理之间可以是一对多、203RMON远程网络监视RMON将一些专用设备配置在各个节点上，并将这些设备称为网络监测器监测器对网络中各种类型的分组进行观察，从而得到网络的总体信息，还可将一些分组存储下来，以备事后分析一般每个子网都需要配置一个监测器，且是独立的。3RMON远程网络监视RMON将一些专用设备配置在各个节点213.1RMON的先进性对本地网段进行监测和分析，即可被动也可主动向网络管理系统传递信息由于是在本地进行的，分析结果是非常可靠的大大降低了SNMP的流量3.1RMON的先进性对本地网段进行监测和分析，即可被动也223.2RMON的目标离线操作即使监视器没有被网管站查询，也时刻准备着主动监视若有资源，通信负载也允许问题监测和报告也可被动的监视网络的某些错误及其他情况提供增值数据提供分析功能，从而减轻管理站的计算任务多管理站操作可以同时和多个管理站并发工作，为不同的管理站提供不同的信息。3.2RMON的目标离线操作23简单网络管理协议简单网络管理协议241SNMP概述在早期的网络应用中，网络管理问题并未得到重视，也无网络管理协议。直到70年代，仍然是使用ICMP协议做为网络管理工具。ICMP协议：因特网控制报文协议。ICMP主要用于差错信息和控制信息的构造及某些网络信息的获取。ICMP与IP同属IP层，但ICMP报文是经IP封装后，作为IP数据报发送出去的。不把ICMP作为一个独立的协议层次，是因为ICMP不是上层协议的基础，在概念上构不成一个独立的层次。ICMP消息包括以下类型：目的不可达、超时、参数问题、源端抑制、重定向、回声请求、回声应答、时间标记请求、时间标记应答。1SNMP概述在早期的网络应用中，网络管理问题并未得到重视251.1SNMP的发展历史OSI的CMIP迟迟不出，Internet体系结构委员会提出了SNMP，本想作为一个短期的网管框架，作为临时解决方法，等到CMIP成熟再换掉SNMP但SNMP发展很快，并吸引了大量的用户，许多机构、厂家、用户将其应用，成为了事实标准。而SNMP向CMIP的迁移并未发生，从现在来看，已被业界广泛接受。1.1SNMP的发展历史OSI的CMIP迟迟不出，Inte261.2SNMPv1的优点SGMP基础上开发而来SNMPv1最大的特点是简单性，容易实现且成本低。可伸缩性——SNMP可管理绝大部分符合Internet标准的设备；扩展性——通过定义新的“被管理对象”，可以非常方便地扩展管理能力；“健壮性”（Robust）——即使在被管理设备发生严重错误时，也不会影响管理者的正常工作。1.2SNMPv1的优点SGMP基础上开发而来271.2SNMPv1的缺点功能简单、安全性差。使用UDP，不能保证可靠传输网管信息。SNMPv1是基于一种主动轮询的监视机制，轮询间隔短时对网络性能影响很大，不适合大规模的网络管理;

SNMPv1不支持管理站-管理站之间的通信，这样，它不允许一个管理系统去了解由另一个管理系统管理的设备和网络的状况1.2SNMPv1的缺点功能简单、安全性差。281.3SNMPv2IETF在1992年雄心勃勃地开始SNMPv2的开发工作。它当时宣布计划中的第二版将在提高安全性和更有效地传递管理信息方面加以改进，具体包括提供验证、加密和时间同步机制以及GETBULK操作提供一次取回大量数据的能力等。然而不幸的是，涉及的方面依然无法取得一致，从而只形成了现在的SNMPv2草案标准。1.3SNMPv2IETF在1992年雄心勃勃地开始SNM291.3SNMPv2的特点SNMPv2支持分布式/分层式的网络管理结构，在SNMPv2管理模型中有些系统可以同时具有管理器和代理的功能SNMPv2定义了两个MIB库支持分布式网络管理扩展了数据类型可以实现大量数据的同时传输，提高了效率和性能丰富了故障处理能力增加了集合处理功能加强了数据定义语言1.3SNMPv2的特点SNMPv2支持分布式/分层式的网301.4SNMPv31997年4月，IETF成立了SNMPv3工作组。SNMPv3的重点是安全、可管理的体系结构和远程配置。98年协议RFC文档说明出台。1.4SNMPv31997年4月，IETF成立了SNMPv311.4.1SNMPv3的内容SNMPv3主要有三个模块：信息处理和控制模块、本地处理模块和用户安全模块。

1.4.1SNMPv3的内容SNMPv3主要有三个模块：321.4.2信息处理和控制模块信息处理和控制模块在RFC2272中定义，它负责信息的产生和分析，并判断信息在传输过程中是否要经过代理服务器等。在信息产生过程中，该模块接收来自调度器（Dispatcher）的PDU，然后由用户安全模块在信息头中加入安全参数。在分析接收的信息时，先由用户安全模块处理信息头中的安全参数，然后将解包后的PDU送给调度器处理。1.4.2信息处理和控制模块信息处理和控制模块在RFC2331.4.3本地处理模块本地处理模块的功能主要是进行访问控制，处理打包的数据和中断。访问控制是指通过设置代理的有关信息使不同的管理站的管理进程在访问代理时具有不同的权限，它在PDU这一级完成。常用的控制策略有两种：限定管理站可以向代理发出的命令或确定管理站可以访问代理的MIB的具体部分。访问控制的策略必须预先设定。SNMPv3通过使用带有不同参数的原语使用来灵活地确定访问控制方式。1.4.3本地处理模块本地处理模块的功能主要是进行访问控制341.4.4用户安全模块与SNMPv1和SNMPv2相比，SNMPv3增加了三个新的安全机制：身份验证，加密和访问控制。其中，本地处理模块完成访问控制功能，而用户安全模块（UserSecurityModel）则提供身份验证和数据保密服务。身份验证是指代理（管理站）接到信息时首先必须确认信息是否来自有权的管理站（代理）并且信息在传输过程中未被改变的过程。1.4.4用户安全模块与SNMPv1和SNMPv2相比，352基本体系结构1、SNMP管理模型在OSI管理体系结构中，开放系统存在对等的管理关系。在SNMP中则是非对称的。管理站和代理均为应用层实体2基本体系结构1、SNMP管理模型362.2SNMP中的元素管理站：由专用设备构成，通过配置管理实体和一组应用程序，提供五大管理代理：配备了Agent实体的各类设备，如主机、Hub等。在Agent实体的支持下响应管理站的操作请求，对系统中各类资源的被管对象进行访问MIB：给出管理站和代理之间共享的管理信息，位于代理系统中。各个代理系统中被管对象的集合则构成了该系统的MIB，2.2SNMP中的元素管理站：由专用设备构成，通过配置管理372.2.1管理应用程序的MIB在运行了管理应用程序的管理站要配置一个管理数据库，用来存储从各个代理处获取的管理信息的值，以便于管理应用程序的使用这个管理数据库和MIB是有区别的，MIB是被管对象名的集合，是虚拟的数据库管理站的数据库则是被管对象值的集合，是实际存在的数据库2.2.1管理应用程序的MIB在运行了管理应用程序的管理站要382.3SNMP的操作共五个操作GetRequest：161端口用来提取一个或多个MIB对象的参数值GetNextRequest：161用来提取一个或多个MIB对象的参数的下一个参数值SetRequest：161设置代理进程的一个或多个MIB对象的参数值GetResponse：161端口通过代理进程返回一个或多个MIB对象的参数值，是前三个的响应操作Trap：162端口代理进程主动向管理进程发出报文，标记一个可能需要特殊注意的事件2.3SNMP的操作共五个操作392.4SNMP的工作机制基于中断的事件驱动轮询驱动2.4SNMP的工作机制基于中断的事件驱动402.4.1基于中断由于网络中的各个设备监测设施在发现被监测设备或设施的状态和参数发生变化后，及时以中断的方式向管理进程报告。这种报告称为事件报告事件报告的原因有多样，如：流量到达阀值、设备重启等管理进程中一般都对事件分类，可分成致命事件、严重事件、轻微事件、一般告警等。存在一定不足：如断电、报告事件的渠道发生故障时管理进程无法得到此类事件的报告。2.4.1基于中断由于网络中的各个设备监测设施在发现被监测设412.4.2基于轮询