全套课件：计算机网络管理与安全技术 李艇

计算机网络管理与安全技术计算机网络管理与安全技术第1章：网络管理概述第2章：SMI和MIB第3章：SNMP通信模型与RMON规范第4章：网络管理系统第5章：网络安全基础第6章：网络安全技术第7章：防火墙第9章网络管理基础实训第10章网络安全基础实训复习参考文献<SNMP网络管理>.WillianStallings著 中国电力出版社(译）.49元.<网络管理—原理与实践>.ManiSubramanian著.高等教育出版社（影印版）.38元.

雷振甲编著.计算机网络管理及系统开发.北京：电子工业出版社，2002<信息网络安全>张红旗著清华大学出版社.24元<网络安全从入门到精通>.ChrisBrenton（译）.第二版.电子工业出版社.45元.http:学习目的一、LAN的管理----NOS的管理功能和操作命令互联网的管理----跨平台的网络管理技术 独立的管理框架 特定的管理信息结构 专门的网络管理协议 网络管理分为两类。第一类是网络应用程序、用户帐号和存取权限的管理，它们都是软件相关的网络管理；第二类是构成网络的硬件所组成，包括工作站、服务器、网卡、路由器、交换机和集线器。通常的网络管理指的是第二类，即网络硬件设备的管理。学习目的互联网的管理主要是对TCP/IP网络管理，其协议是SNMP。OSI的CMIP标准功能全面但无产品。学习目的掌握网络管理的基本概念理解网络管理标准熟悉网络管理应用平台具有实际操作能力网管技术：成熟、实用。专门的研究和开发领域，新兴的应用技术。第1章 网络管理概述引言1.网络管理的重要性用户对网络的依赖程度越来越高用户对网络应用的需求不断提高用户对网络性能、运行状况及安全性越来越重视引言2.网络管理的必要性网络规模不断扩大网络结构越来越复杂简单的管理工具和方法已不适应管理大型和异构网络网络市场新格局

企业网

IPbasedLANTelephonyEthernetLANWireless(802.11/BlueTooth)802.1p/QIntServCPEHeadendHeadendSwitchIWFCPELANPBXLANPBX电信主干网

DWDMIP/SDHIP/GEMPLSOpticalNetworkingServiceProvisioning

VPN

DiffServBackboneTrunk/SwitchSwitchBackboneRouterSwitch家用网关无线接入网

GPRSUMTSWCDMA家用网络网

HPNASWAP802.11BluetoothPLC1394宽带接入网

xDSLCableModemEDSLEthernetLMDS无线基站新挑战网络在急速膨胀网络建设成本在提高网络安全网络体系结构

高速局域网络系统网络安全系统加密机应用安全系统防火墙宽带接入和广域网络系统

无线局域网络系统

网络管理与服务网络的关键需求

功能丰富而全面

可用性和易用性

高效率和低成本

安全中小学/职业学校网络系统拓扑结构图现存问题日常的网络维护和操作的工作量大大增加，网络管理人员匮乏，网络系统需要一个可靠，便捷、功能强大的网络管理系统来充分有效的管理和利用网络资源。现存问题对设备的使用情况、运行状况、网络流量的监控与统计等,以及针对网络安全的漏洞和隐患的检测、故障的定位和信息统计分析的报表缺乏有效的工具。

从业务流程上看，办公网与教学网需要相对独立，所以要对用户权限进行必要的限定，发生过个别员工访问非本部信息的情况。安全性问题不仅来自外部网络，更主要的威胁还是来自内部网络，很多来自学生出于好奇心或其他心理而采取的网络IP地址盗用、网络攻击等方式无疑是网络系统中的一个隐患。网络管理需求分析

系统管理:管理人员要随时掌握网络内任何设备的增减与变动，要管理所有网络设备的参数设置。当故障发生时，管理人员要根据情况，及时进行重设或改变网络设备的参数，以维持网络的正常运行。故障管理网络出现问题时，必须及时察觉问题所在。它包含所有节点的运行状态、故障的记录与追踪检查、平时对各种通信协议的测试等。

性能管理:对网络运行情况进行监控，对历史记录进行分析统计，自动形成报表，并根据历史记录预测网络性能的长期趋势，并根据分析和预测的结果，对网络拓扑结构、某些对象的配置和参数进行调整，逐步达到最佳。

安全管理:为防范不被授权的用户擅自使用网络资源或者用户蓄意破坏网络系统的安全，要随时制定安全措施，如合法的设备存取控制与加密等。TCP/IP网络上的任何一台工作站都需要有一个合法的IP地址才能够正常工作。IP地址管理得当与否，是计算机网络能否保持高效运行的关键。引言3.网络管理涉及的内容Networkserviceprovisioning提供网络服务 向用户提供新的服务类型与增加网络设备、提高网络性能。Networkmaintenance网络维护 网络性能监控、故障报警、故障诊断、故障隔离与恢复Networkadministration网络处理 网络线路、设备利用率数据的采集、分析及提高网络利用率的各种控制。1.1网络管理与网络管理系统网络管理：是控制一个复杂的计算机网络使其具有最高的效率和生产力的过程。网络管理系统：由一组软件组成，帮助网络管理人员完成日常的任务，提高网络运行的效率和服务质量。其有三部分（从逻辑上分）管理对象：是经过抽象的网络元素。管理进程：是负责对网络设备进行全面的管理与控制的软件。管理协议：是负责在管理系统与被管理对象之间传递操作命令和解释管理操作命令。用户接口网络管理信息表示网络管理应用网络管理应用应用元素应用元素应用元素网络管理数据传输服务通信协议栈MIB访问模块管理信息库被管网络网管软件结构网络管理协议示意图

Network

依赖于网络的协议IPUDPSNMP管理站管理应用程序SNMP管理站依赖于网络的协议IPUDPSNMP管理站被管理对象和资源应用程序管理对象SNMP消息SNMP代理1.1.1 网络管理功能ISO定义了网络管理的关键功能且被标准和非标准的网络管理系统所广泛接受。其功能分类为配置管理：是发现和设置网络关键设备的过程。故障管理：探测、隔离和纠正不正常操作。性能管理：对被管理对象的行为和通信活动的效率进行评价。安全管理：正确操作网络管理和保护管理对象。计费管理：对使用的被管理对象进行识别和使用计费。1.1.1 网络管理功能1、配置管理（Configurationmanagement)功能有：定义配置信息；设置和修改设备属性；定义和修改网络元素间的互联关系；启动和终止网络运行；发行软件；检查参数值和互联关系；报告配置现状1.1.1 网络管理功能2、故障管理(faultManagement)功能有：

a.检测管理对象的故障现象，接收其故障报警

b.利用空余网络对象为故障对象提供临时网络服务；

c.创建与维护差错日志，对差错日志进行分析；

d.进行故障诊断，明确故障性质和解决方案；

e.维修和排除对象故障，恢复正常网络服务。1.1.1 网络管理功能3、性能管理（performancemanagement)功能有：从管理对象中收集与性能有关的数据；对与性能相关的数据进行分析与统计；根据统计分析的数据判断网络性能，报告当前网络性能，产生性能警告；将当前统计数据的分析结果与历史模型进行比较，以便预测网络性能变化趋势；形成并调整性能评价标准与性能参数标准值，根据实测值与标准值的差异去改变操作模式，调整网络管理对象的配置；实现对管理对象的控制，以保证网络的性能达到设计要求。1.1.1 网络管理功能4、安全管理（securitymanagement)功能有：系统数据的保密性，即保护系统数据不被侵入者非法获取；用户账号管理，即建立合法的用户账号；用户授权，即防止非法侵入者在系统上发送错误信息；访问控制，即控制用户对系统资源的访问；对授权机制和关键字的加密/解密作业管理。1.1.1 网络管理功能5、计费管理（accountingmanagement)功能有：通过网络的利用率确定不同时期与时间段的资费标准；根据用户使用资源的情况来分摊费用；支持采用信用记帐方式收取费用方式；当用户在一次服务时使用了多种信息资源时，能够将分别计费的各个资源的费用累加。1.1.2 网络管理系统1、网络管理系统的作用

协助网络管理者完成常规任务。对于大型异构网络,可跟踪大量的关键信息以确定网络的运行状况。总之，网络管理系统帮助网络管理者有效地控制和维护网络设备。在复杂的网络环境中给网络管理者提供更高水平的帮助，使得网络更加适合于用户的需要。1.1.2网络管理系统2、网络管理平台简介对于高度复杂的信息技术基础设施，需要一个强大的系统工具来管理。目前主要的系统管理软件有：HP公司的OpenView、IBM公司的NetView、SUN公司的SunNet、Cisco的CiscoWorks以及华信亿码公司的NetWin2000。网络管理软件主要分三类：专用网络管理软件通用网络管理软件网络应用管理软件。1.2网络管理标准

ISO在1989年颁布了第一个关于网络管理的国际标准性文件，即ISODIS7498-4（X.700）。其定义了网络管理的基本概念和总体框架.1991年发布的两个文件中规定了网络管理提供的服务和网络管理协议，ISO9595公共管理信息服务定义CMIS(CommonManagementInformationService)和ISO9596公共管理信息协议规范CMIP(CommonManagementInformationProtocol)。1992年公布的ISO10164和ISO10165两个文件中分别定义了系统管理功能SMFs(SystemManagementFunctions)和管理信息结构SMI(StructureofManagementInformation)。这些文件共同组成了ISO的网络管理标准。1.2网络管理标准

TCP/IP网络管理最初使用的是1987年11月提出的简单网关监控协议SGMP（SimpleGatewayMonitoringProtocol）。在此基础上改进成简单网络管理协议第一版SNMPv1(SimpleNetworkManagementProtocol)。在90年初又公布了几个RFC（RequestForComments）文件，即RFC1155（SMI）、RFC1157（SNMP）、RFC1212（MIB定义）和RFC1213（MIB-2规范）。由于其简单性和易于实现，SNMPv1得到了许多厂商的支持和广泛的应用。在此基础上改进其功能增加了安全性，产生了SNMPv2。由于SNMPv2没有达到“商业级别”的安全要求，1999年4月发布了最新的网络管理标准SNMPv3。1.2.1通信网络设备的管理

通信网络设备管理阶段的代表是基于SNMP的网络管理体系结构。SNMP已成为网络管理领域中事实上的工业标准，大多数网络管理系统和平台都是基于SNMP的体系结构。通信设备管理阶段的特点是集中式网络管理体系结构，采用SNMP网络管理协议，管理的对象主要是针对网络互连设备，例如：路由器、交换机、打印机、UPS等设备。基于SNMP的网络管理路由器服务器MIB管理信息库MIBSNMP协议SNMP协议管理站管理节点代理软件代理软件1.2.2综合网络系统的管理

综合网络系统的管理特点采用分布式/分层式网络体系结构，网络互连设备与网络应用程序的集成，多种网络管理协议的集成。同时将系统管理和网络统一成一个管理平台，使得管理范围包括服务器、客户端硬件和和操作系统平台的管理、网络管理、数据库管理、Internet/Intranet管理以及其他应用程序的管理。UMGLMG1子网1子网n子网2

分级管理模式LMG2LMGn几种标准网络管理协议有：1.

简单网络管理协议SNMP2.

OSI网络管理协议公共管理信息服务CMIS 和公共管理信息协议CMIP。3.

在TCP/IP协议簇之上实现CMIS服务的公共 管理信息服务与协议CMOT。4.

IEEE802.1b局域网个人管理协议LMMP。为 LAN环境提供一个网络管理方案。1.3网络管理协议的发展1.4SNMP管理结构及工作机制1.4.1网络管理模式网络运行中心对网络及其设备的管理有三种方式：本地终端方式远程telnet命令方式基于SMNP的代理/服务器方式。1.4.1网络管理模式本地终端方式本地终端方式是通过被管理设备的RS-232接口与网管机相连接，进行相应的监控、配置、计费、性能和安全等管理的方式。这种方式一般适用于管理单台重要的网络设备，例如路由器等。1.4.1网络管理模式远程telnet命令方式通过计算机网络对已知地址和管理口令的设备进行远程登录，并进行各种命令操作和管理。只适用于对网络中的单台设备进行管理。与本地终端方式管理的区别是远程telnet命令方式可以异地操作，不必亲临现场。

基于Web浏览器的管理方式（监视）1.4.1网络管理模式基于SMNP的代理/服务器方式SNMP体系结构，有三个基本组成部分：管理进程（manager）管理代理（agent）管理信息库（MIB）管理进程主机管理代理MIB网关管理代理MIB终端服务器管理代理MIBSNMP的体系结构图

管理进程manager是一个或一组软件程序。一般运行在网络管理中心的主机上。可以在SNMP的支持下命令管理代理执行各种管理操作。管理代理agent是一种在被管理的网络设备中运行的软件，负责执行管理进程的管理操作。管理代理直接操作本地信息库，可以根据要求改变本地信息库或将数据传送到管理进程。管理信息库MIB

是一个概念上的数据库，它是由管理对象组成的，每个代理所管理的MIB中属于本地的管理对象，各管理代理控制的管理对象共同构成全网的管理信息库。1.4.2SNMP网络管理结构

简单网络管理协议提供了一个标准化的网络管理框架，使得互连网络的监视和控制成为可能。SNMP是一个简单的但可扩展的标准集。SNMP采用管理进程/管理代理模式，管理协议在应用层上运行。SNMP的成功主要在于它的简单性、灵活性和可扩展性。1.4.2SNMP网络管理结构

基于TCP/IP网络管理的网络模型由以下几部分组成：l

管理站l

管理代理l

管理信息库l

网络管理协议1.4.2SNMP网络管理结构

网管工作站

(NMS)

收集网络情报,并做显示SNMP

信息交换协议Agent

根据NMS的要求收集并存储信息,产生陷井TRAPMIB ManagementInformationBase

网络信息对象的数据库SMI StructureofManageInformationNetworkManagementStation(NMS)ManagerSNMPmessageexchangeManagedDeviceAgentMIBManagedDeviceAgentMIB1.4.2SNMP网络管理结构

管理站是典型的独立设备，是网络管理员到网络管理系统的接口。管理站至少应有：l

一系列用于数据分析、故障修复等的管理 应用程序l

网络管理员用来监视和控制网络的接口l

把网络管理员的要求翻译成网络中实际监视或控制的能力l

从网络中所有被管理设备中提取出来的信息库网络管理结构模型

网络设备网络设备

网络管理协议Polling、Trap

NMS

代理进程

协议栈和设备驱动程序协议栈和设备驱动程序互连网络

管理站和代理通过网络管理协议联系起来。用于管理TCP/IP网络的协议SNMP有以下主要的功能：

get:使管理站能够获取代理中对象的值。(TCP端口检测)

set：使管理站能够设定代理中对象的值。(syslocation)

trap：使代理能够向管理站通告重要事件。(监视策略,响应方式)

POLLINGTRAP

ManagerAgent

ManagerAgent实现模式1.4.2SNMP网络管理结构

网络管理工作站流量监视器你看见了多少流量？在下午4点15分有12.5%方法1网络管理工作站轮询被管理设备中的代理以获得信息1.4.2SNMP网络管理结构

在没有轮询的情况下，被管理设备代理向网络管理工作站报告错误网络管理工作站流量监视器警告！在下午4点20分我看见了55%的利用率SNMP网络管理结构RFC1155RFC1212RFC1213RFC1157StructureofManagementInformationManagementInformationBase(MIB-Ⅱ)FormatforMIBModulesSNMPv1网络管理结构

1.4.3SNMP协议体系结构

SNMPUDPIP网络协议代理过程路由器SNMPUDPIP网络协议代理过程主机FTP等TCPIP网络协议用户过程NetworkSNMPUDPIP网络协议管理站过程管理站MIB网络管理站1.4.3SNMP协议体系结构

SNMP代理依赖于网络的协议IPUDPSNMP管理站管理应用程序SNMP管理站依赖于网络的协议IPUDPSNMP管理站被管理对象应用程序管理对象SNMP消息Network1.4.3SNMP协议体系结构

从管理站发送三种SNMP消息：GetRequestGetNextRequestSetRequest由代理以GetResponse消息的形式来应答，并将该消息向上传输到管理应用程序。代理可能发送trap消息来响应影响MIB和底层被管理资源的事件。由于SNMP依赖于UDP，所以SNMP本身也是无连接协议。在管理站和其代理之间不维持连续连接，相反每一次信息交换都是管理站和代理之间的独立行为。1.4.3SNMP协议体系结构SNMP选择UDP协议是因为UDP效率较高，这样实现网络管理不会太多的增加网络负载。由于UDP不是很可靠，所以SNMP报文容易丢失。SNMP实现的建议是对每个管理信息要装配成单独的数据报独立发送，而且报文较短，不超过484个字节。1.4.4SNMP工作机制SNMP管理模式重要特点是能够快速地从MIB中找到所需要的管理对象实例。主要依赖于只有叶节点的对象才有实例，且每个对象或实例的识别符都是从左到右顺序递增的规定。有了这一规定，SNMP管理模式就会具有较高的检索速度。(MIB,system)1.4.4SNMP工作机制SNMP协议实现网络管理系统和代理之间的异步请求和响应。其功能是通过轮流查询操作实现的。SNMP协议的机制是一种由管理站周期性地发送轮询信息给被管设备的管理代理以实时监视和维持网络资源，同时又采用了被管设备在发生特殊问题时采用异常事件报告网管站的工作方式。1.4.4SNMP工作机制采用5种通信原语来完成其工作机制。具体实现如下：1.

GetRequest：从拥有SNMP代理的网络设备中检索信息。2.

GetResponse：是SNMP代理对管理站GetRequest消息的响应。可以交换许多信息，如系统的名字、系统自启动后正常运行的时间和系统中的网络接口数等。(中文MIBsystem,Host)

3.

GetNextRequest:访问网管代理，并从MIB树上检索指定对象的下一个对象实例。4.

SetRequest：对一个设备中的参数进行远程配置。可以设置设备的名字，在管理上关掉一个端口或清除一个地址解析表中的项。(systemname,panel,)5.

Trap：是SNMP代理发送给管理站的非请求消息。这些消息通知服务器发生了一个特定的事件。(监视策略,个别响应)end第2章管理信息结构与管理信息库2.1管理信息结构管理信息结构SMI（StructureofManagementInformation）。SMI用于定义存储在MIB中的管理信息的语法和语义。对MIB进行定义和构造。SMI只允许存储标量和二维数组(表对象)，不支持复杂的数据结构，简化了实现，加强了互操作性。2.1管理信息结构为满足协同操作的要求，SMI提供了以下标准化技术表示管理信息：l

定义了MIB的层次结构；l

提供了定义管理对象的语法结构；l

规定了对象值的编码方法。2.1.1管理信息库结构SNMP环境中的所有被管理对象都按层次性的结构或树型结构来排列。树结构端结点对象就是实际的被管理对象，每一个对象都代表一些资源、活动或其他要管理的相关信息。树型结构本身定义了如何把对象组合成逻辑相关的集合。并且层次树结构有三个作用。1、表示管理和控制关系2、提供了结构化的信息组织技术3、提供了对象命名机制OSI管理信息树root102ituiso-ituiso2301standardregistrationauthoritymemberbodyorg621134dodinternetdirectorymgmt16mib-2tcpexperimentalprivate12enterpriseIBM四个Internet(1)directory(1)mgmt(2)mib-2(1)iso(1)org(3)dod(6)system(1)interfaces(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)transmission(10)snmp(11)experimental(3)private(4)enterprises(1)MIB-Ⅱ的分组结构例2.1.1管理信息库结构通过这种特殊结构的树来唯一的确定一个管理对象是OSI的管理模式而Internet也应用了这种管理信息结构。ITU(InternationalTelecommunicationsUnion)为国际电信联盟即过去的CCITT。ISO-ITU上的节点其管理对象既符合ISO的标准又符合ITU的标准。在ISO节点下面，一个子树用于其他组织，其中一个是DoD（美国国防部）。RFC1155确定一个DoD下的子树将由IAB（Internet活动董事会）管理。2.1.1管理信息库结构SMI在Internet节点下面定义了四个节点：

directory:为将来使用OSI目录保留。

mgmt:用于由IAB批准的所有管理对象。而mib-2 是mgmt的第一个子节点。experimental：用来识别在互联网上实验中使用 的所有管理对象。

private：用于识别单方面定义的对象。或者说 为私人企业管理信息准备的。2.1.1管理信息库结构例如一个私人企业LT公司，向Internet编码机构申请注册，并得到一个代码100（Cisco公司为9、HP公司为11、3Com公司为43）。该公司为它的令牌环适配器赋予代码为25，则令牌环适配器的对象标识为.5。2.1.1管理信息库结构管理对象是由对象类型和对象实例构成，而SMI仅仅定义了对象类型而没有定义对象实例ObjectObjectTypeName:OBJECTIDENTIFIERSyntax:ASN.1EncodingBERSMI的构成ObjectInstance2ObjectInstance1SMI2.1.1管理信息库结构对象类型是由对象标识符确定而对象实例则是对具有标识的对象具体的多种的表示。例如：有两个3Com公司的Hub，其对象标识符（ObjectID）为ernet.private.enterprises.，而Hub1和Hub2的IP地址分别为和。我们说Hub1和Hub2为两个对象实例。管理对象不一定是网络元素（或网络设备），如Internet作为一个组织就有一个对象名“internet”，其对象ID为。它只有一个实例。管理对象仅仅意味着一个有标识的对象，不管其是物理的还是抽象的。在MIB中对象标识符可以用多种形式表示。如internetID：l

internetOBJECTIDENTIFIER::={isoorg(3)dod(6)1}l

internetOBJECTIDENTIFIER::={1361}2.1.2数据类型MIB由一系列对象组成。每个对象属于一定的对象类型，并且有一个具体的值。对象类型的定义是一种语法描述，对象实例是对象类型的具体实现，只有实例才可以绑定到特定的值。SNMP的对象是用抽象语法ASN.1定义的。ASN.1是一种形式语言，它提供统一的网络数据表示，定义对象的数据类型、允许的形式、取值范围以及与其他MIB内部对象之间的关系。通常用于定义应用数据的抽象语法和应用层协议数据单元的结构。用ASN.1定义的应用数据在传送过程中要按照一定的规则变换成比特流，这种规则就是基本编码规则BER。SNMPASN.1DataTypeSimpleorPrimitiveDefinedOrApplicationConstructorOrStructuredSNMPASN.1数据类型TagStructureNumberPrivateContext-SpecificApplicationUniversalClass2.1.2数据类型在ASN.1中，每一个数据类型都有一个标签，标签有类型和值。数据类型是由标签的类型和值唯一决定的。标签的类型有4种：1、通用标签：用关键字UNIVERSAL表示。带有这种标签的数据类型是由标准定义的，适用于任何应用；2、

应用标签：用关键字APPLICATION表示，是由某个具体应用定义的类型；

3、

上下文专用标签：与特定的应用程序相关，在文本的一定范围中适用；

4、私有标签：用关键字PRIVATE表示，是用户定义的类型，任何标准中都设有涉及到。2.1.2数据类型从图中可看出基于TCP/IP的ASN.1的数据类型有三种：

简单类型：由单一成份构成的基本类型；

构造类型：由两种以上成份构成的组合类型 组成，用来构建表；

应用类型：从其他类型中衍生出来的新类型；2.1.2数据类型类型名标签值集合INTEGERUNIVERSAL2整数OCTETSTRINGUNIVERSAL4零或多个字节的序列NULLUNIVERSAL5NULLOBJECTIDENTIFIERUNIVERSAL6对象标识符SEQUENCEOFUNIVERSAL16序列ASN.1不仅可以定义每个对象，还可以用来定义整个MIB的结构。为了保持对象的简单性，仅用了ASN.1元素和特性的一个子集。其中用到的5种通用类型可用于定义MIB对象。如表所示，前4种是简单类型，最后一种是构造类型。基于SNMP的ASN.1数据类型结构(interfacemib说明)结构数据类型说明PrimitivetypesINTEGEROCTETSTRINGOBJECTIDENTIFIERNULL整数零或多个字节的序列对象在MIB中的位置NULLDefinedtypesNetworkAddressIpAddressCounterGaugeTimeTicksOpaqueNotused点分十进制计数器，非负整数，单增计量器，非负整数，可增减计时器，非负整数支持任意数据类型ConstructortypesSEQUENCESEQUENCEOF建立标量对象建立表对象2.1.2数据类型在SNMP管理中，INETGER数据类型要带有标明 的整数值。而规定中零值不允许用于响应消 息，这样只能填入NULL。OCTETSTRING数据类型用于以8比特的长度说 明二进制和文本信息。

OBJECTIDENTIFIER表示对象在MIB中的位置。

SEQUENCE和SEQUENCEOF分别用于建立标量对 象和表对象,从概念上讲标量对象相当于表对 象一行上的值。标量对象的语法是：SEQUENCE{〈type1>, 〈type2>,…〈typeN〉}其中每个〈type>为 ASN.1的基本类型之一。2.1.2数据类型l

表对象的语法是：SEQUCNCEOF〈entry>其中〈entry>是一标量对象的结构。通过下面的图来说明标量对象和表对象之间的关系。

ObjectNameOBJECTIDENTIFIERObjectSyntax1ipAdEntAddr{ipAddrEntry1}IpAddress2ipAdEntIfIndex{ipAddrEntry2}INTEGER3ipAdEntNetMask{ipAddrEntry3}IpAddress4ipAdEntBcastAddr{ipAddrEntry4}INTEGER5ipAdEntReasmMaxSize{ipAddrEntry5}INTEGER6ipAddrEntry{ipAddrTable1}SEQUENCE(mib操作)2.1.2数据类型List:IpAddrEntry::= SEQUENCE{ IpAdEntAddr IpAddress

IpAdEntIfIndex INTEGER

IpAdEntNetMask IpAddress

IpAdEntBcastAddr INTEGER

IpAdEntReasmMaxSizeINTEGER(0..65535)}

ManagedObjectIpAddrEntryasaList2.1.2数据类型

ObjectNameOBJECTIDENTIFIERObjectSyntax7ipAddrTable{ip20}SEQUENCEOFTable:IpAddrTable::= SEQUENCEOFipAddrEntryManagedObjectIpAddrTableasaTable2.1.3SMI的定义

管理信息库中包含各种类型的管理对象，如计数器、计量器、标量对象和表对象等。定义MIB中的对象有3种方法。1、为每一类对象定义一种对象类型2、定义一种带参数的通用对象类型3、利用ASN.1宏定义表示一个有关类型的集合，然后用这些类型定义管理对象。(确定一个人）SNMP采用了第3种方法，有下面不同层次的定义：2.1.3SMI的定义宏定义：定义了合法的宏实例，规定一系列相关 类型的语法；宏实例：通过给宏定义分配参数，从具体的宏定 义产生实例，说明一种具体类型。宏实例的值：表示一个具有特定值的实体。OBJECT-TYPEMACRO::=BEGINTYPENOTATION::=“SYNTAX”type(TYPEObjectSyntax)“ACCESS”Access“STATUS”StatusDescrPartReferPartIndexPartDefValPartVALUENOTATION::=value(VALUEObjectName)Access::=“read-only”|“Write-only”|“not-accessible”Status::=“mandatory”|“optional”|“obsolete”|“deprecated”DescrPart::=“DESCRIPTION”value(descriptionDisplayString)|emptyReferPart::=“REFERENCE”value(referenceDisplayString)|emptyIndexPart::=“INDEX”“{”IndexTypes“}”IndexTypes::=IndexType|IndexTypes“,”IndexTypeIndexType::=value(indexobjectObjectName)type(indextype)DefValpart::=“DEFVAL”“{”value(defvalueObjectSyntax)“}”|emptyDisplayString::=OCTETSTRINGSIZE(0..255)END管理对象的宏定义（RFC1212）2.1.3SMI的定义SYNTAX：表示对象类型的抽象语法，在宏实例中关键字type应由RFC1155中定义的ObjectSyntax代替，即通用类型和应用类型。ObjectSyntax::=CHOICE{simpleSimpleSyntax,application-wideApplicationSyntax}SimpleSyntax是指通用类型，ApplicationSyntax是指应用类型

2.1.3SMI的定义l

ACCESS：定义SNMP协议访问对象的方式。在具体实现中可 以增加或限制访问，选项有只读、读写、只写和 不可访问。l

STATUS：说明管理对象是当前的还是过时的。状态子句中 定义了必要的（mandatory）或可选的 （optional），对象也可规定为过时的 （obsolete）但新标准不支持该类型。 （deprecated）,表示当前必须支持这种对 象，但在将来的标准中可能被取消。l

DesctPart:对象类型语义的文本描述。该子句是可选的。2.1.3SMI的定义l

ReferPart:用文字描述可参考在其他MIB模块中 定义的对象。该子句是可选的。l

IndexPart:用于定义表对象的索引项。l

DefValPart:定义对象实例的默认值，代理在创 建实例时使用。该子句是可选的。l

VALUENOTATION：规定用于通过SNMP访问该对象 时所用的名称。2.1.3SMI的定义

当用一个具体的值代替宏定义中的变量（或参量）时就产生了宏实例，它表示一个实际的ASN.1类型（返回的类型），该类型可取的值的集合（返回的值）。宏实例的表示是先写出类型名，后跟宏定义的名字，再后是宏定义规定的宏体部分。2.1.3SMI的定义SysDescrOBJECT-TYPE语法：DisplayString(SIZE(0..255))存取：只读要求：必须说明：实体的文字描述。该项目包括系统硬件类型、操作系统和网络软件的全称和版本号。它只含有ASCII字符。：：={system1}对象定义实例（操作MIB说明）2.1.4标量对象和表对象

SNMP对一个MIB进行访问时，所想访问的是对象的一个特定的实例，而不是对象类型。SMI用简单的二维标量表的数据结构来解决对象实例的识别问题。1.

定义表表的定义涉及到ASN.1的序列类型sequence和sequence-of的使用及对象类型宏定义中索引部分Indexpart的使用。RFC1213规范的TCP连接表的定义tcpConnTableOBJECT-TYPESYNTAXSEQUENCEOFTcpConnEntryACCESSnot-accessibleSTATUSmandatoryDESCRIPTION“AtablecontainingTCPconnection-specificinformation”::={tcp13}tcpConnEntryOBJECT-TYPESYNTAXTcpConnEntryACCESSnot-accessibleSTATUSmandatoryDESCRIPTION“InformationaboutaparticularcurrentTCPconnection.Anobjectofthistypeistransient,inthatitceasestoexistwhen(orsoonafter)theconnectionmakesthetransitiontotheCLOSEDstate.”

TCP连接表的定义（RFC1213）INDEX{tcpConnLocalAddress,tcpConnLocalPort,tcpConnRemAddress,tcpConnRemPort}::={tcpConnTable1}TcpConnEntry::=SEQUENCE{tcpConnStateINTEGER,tcpConnLocalAddress,tcpConnLocalPortINERGER(0..65535),tcpConnRemAddressIpAddress,tcpConnRemPortINTEGER(0..65535)}tcpConnStateOBJECT-TYPESYNTAXINTEGER{closed(1),listen(2),SynSent(3),synreceived(4),established(5),finWait1(6),finWait2(7),closeWait(8),lastAck(9),closing(10),timeWait(11),deleteTCB(12)}ACCESSread-writeSTATUSmandatoryDESCRIPTION“ThestateofthisTCPconnection”::={tcpConnEntry1}TCP连接表的定义（RFC1213）2.1.4标量对象和表对象l

整个TCP连接表（tcpConnTable）是TCP连接项（tcpConnEntry）组成的同类型序列（SEQUENCEOF），而每个TCP连接项是TCP连接表的一行。可以看出一张表由0行或多行组成。l

TCP连接项是由5个不同类型的标量元素组成的序列。这5个标量的类型分别是INTEGER,IpAddress,INTEGER(0..65535),IpAddress和INTEGER(0..65535)。l

TCP连接表的索引由4个元素组成，它们分别为本地地址、本地端口、远程地址和远程端口。l

整个表是对象类型TcpConnTable的实例。表的每一行是对象类型TcpConnEntry的实例，而且5个标量各有3个实例(3行）。在RFC1212中，这种对象称为列对象，其产生表中的一个实例。

12tcpConnTabl（.3）TcpConnState（.3.1.1）TcpConnLocalAddres（.3.1.2）TcpConnLocalPort（.3.1.3）TcpConnRemAddress（.3.1.4）TcpConnRemPort(1.3.（..13.1.5）591529903914284INDEXINDEXINDEXINDEX2.1.4标量对象和表对象2

对象实例的标识表中的标量对象称为列对象，其有唯一的对象标识符，如前表中列对象TcpConnLocalAddress有3个实例，而这3个实例的对象标识符都是（.3.1.2）。要想区分表中的行则把列对象的对象标识符与索引对象的值组合起来就可以指定表中列对象的一个实例。并规定标量对象的标识后附上索引对象的值，索引对象按照其出现在表的定义中的顺序列出。图3-12说明了TcpConnTable的所有实例标识符。TcpConnState.3.1.1TcpConnLocalAddress.3.1.2TcpConnLocalPort.3.1.3TcpConnRemAddress.3.1.4TcpConnRemPort.3.1.5x..99..3.15x..99..3.15x..99..3.15x..99..3.15x..99..3.15x...0.0.0x...0.0.0x...0.0.0x...0.0.0x...0.0.0x..99..42.84x..99..42.84x..99..42.84x..99..42.84x..99..42.84x=.3.1=tcpConnEntry的对象标识符，tcpConnEntry是tcpConnTable的行标识

对象的实例标识符2.1.4标量对象和表对象

3.

概念表和行对象对于表对象（如tcpConnTable和tcpConnEntry）没有实例标识符。因为它们是子节点，SNMP不能访问，在这些对象的MIB定义中，其访问特性为“not-accessible”。4.

标量对象 由于标量对象只能取一个值，所以从原则上讲不必区分对象类型的对象实例。然而为了与列对象一致，SNMP规定在标量对象标识符之后级联一个0，表示该对象的实例标识符。复习2.1.4标量对象和表对象

5.

按字典排序随机访问技术：按照对象的实例标识符进行取值。顺序访问技术：基于MIB中的对象按字典排序进行取值。对象标识符是一个整数序列，是对象在MIB中的逻辑位置。只要遍历MIB树，就可以排出所有对象及其实例的字典顺序。字典排序的作用：管理站通过字典排序搜索MIB树，在不知道对象标识符的情况下访问对象的值。例如，为检索一个表项，管理站可以用GetNext操作，按字典顺序得到预定的对象实例。2.2 MIB-Ⅱ功能组在RFC1213定义的MIB-Ⅱ是当前应用的管理信息库标准。它是MIB-Ⅰ的扩充，增加了一些对象和组。文件包含11个功能组和175个对象。MIB-2功能组mib-Ⅱ的对象ID为.2.1。

InternetMIB-ⅡGroupinternet{}directory(1)mgmt(2)experimental(3)private(4)mib-2(1)system(1)interfaces(2)at(3)ip(4)icmp(5)snmp(11)transmission(10)cmot(9)egp(8)udp(7)tcp(6)复习功能组OID主要描述systemmib-21系统说明和管理信息interfacesmib-22实例的接口和辅助信息atmib-23IP地址与物理地址的转换ipmib-24关于IP的信息icmpmib-25关于ICMP的信息tcpmib-26关于TCP的信息udpmib-27关于UDP的信息egpmib-28关于EGP的信息cmotmib-29为CMIPoverTCP/IPtransmissionmib-210关于传输介质的管理信息snmpmib-211关于SNMP的信息MIB-2功能组2.2.1系统组（Systemgroup）

系统组所包含的对象用来描述被管理网络设备的最高级特性和通用配置信息。（如系统名，对象ID等）NMS向对象发送get-request报文。

NMS应用系统组获得的一个路由器的系统数据Title:SystemInformation:NameorIPAddress：SystemName：:SystemDescription：

CiscoInternetworkOperatingSystemSoftwareIOS™7000 Software(C7000-JS-M), Version11.2(6),RELEASEOFTWARE(gel) Copyright(c)1986-1997byCiscoSystems,Inc. CompiledTue06-May-9719:11bykuongSystemContact:SystemLocation:SystemObjectID: ernet.private.enterprises.cisco.ciscoProducts.cisco7000SystemUpTime:(315131795ms)36days,11：21：57.95SystemInformationonRouter复习系统组的构成

系统组对象对象访问方式语法功能描述用途sysDescr(1)RODisplayString(SIZE(0..255))关于硬件和操作系统的信息配置管理sysObjectID(2)ROOBJECTIDENTIFIER系统制造商标识故障管理sysUpTime(3)ROTimeticks系统运行时间故障管理sysContact(4)RWDisplayString(SIZE(0..255))系统管理人员描述配置管理sysName(5)RWDisplayString(SIZE(0..255))系统名配置管理sysLocation(6)RWDisplayString(SIZE(0..255))系统的物理位置配置管理sysServices(7)ROINTEGER(0..127)系统服务故障管理1.系统服务对象sysServices:是7位二进制数，每一位对应OSI和TCP/IP结构中的一层。（制定对象识别方式-新建）如果系统提供某一层服务，则对应的位为1，否则为0。例如，一个节点的系统提供应用层和网络层服务，则sysServices对象具有值1000100=6810。2.系统启动时间sysUpTime:管理站周期地查询某个计数器的值，同时也查询系统启动时间的值，相比之下，管理站就可以知道该计数器在多长时间中变化了多少值。另外，在故障管理中，管理站可以周期地查询代理这个值，如果发现当前得到的值比最近一次得到的值小，则可推断出代理的系统已经重新启动过了。2.2.2接口组（Interfacegroup）

用于实体的物理接口方面的配置信息和发生在每个接口的事件的统计信息。允许接口可以是点对点的连接，但一个接 口一般依附于一个子网。该功能组对所有的系统都是必须实现的。由两个节点构成ifNumber(1)ifTable(2)interfaces{mib-22}IfEntry(1)ifSpecific(22)ifOutQLen(21)ifOutErrors(20)ifOutDiscards(19)ifOutNUcastPkts(18)ifOutUcastPkts(17)ifOutOctets(16)ifUndnownProtos(15)ifInErrors(14)ifInDiscards(13)ifInNUcastPkts(12)IfIndex(1)ifDescr(2)ifType(3)ifMtu(4)ifSpeed(5)ifPhysAddress(6)ifAdminstatus(7)ifOperStatus(8)ifLastChange(9)ifInOctets(10)ifInUcastPkts(11)接口组接口组对象对象访问方式语法功能描述ifNumberROINTEGER网络接口的数量ifTableNASEQUENCEOFifEntry接口表ifEntryNASEQUENCE接口表项ifIndexROINTEGER每个接口的唯一编号ifDescrRODisplayString(SIZE(0..255))接口的文本描述产品名和版本ifTypeROINTEGER接口类型，按PHL/DLL协议区分ifMtuROINTEGER接口的最大协议数据单元ifSpeedROGauge接口数据速率ifPhysAddressROPhysAddress接口物理地址ifAdminStatusRWINTEGER接口状态up(1)down(2)testing(3)ifOperStatusROINTEGER操作状态up(1)down(2)testing(3)ifLastChangeROTimeTicks在当前操作状态下sysTime的值ifInOctetsROCounter接口收到的总字节数ifInUcastPktsROCounter发送给上层协议的子网单点通信的报文数ifInNUcastPktsROCounter发送给上层协议的子网多点通信的报文数ifInDiscardsROCounter接收方已丢弃的分组数ifInErrorsROCounter接收的错误分组数ifInUnknownPorotosROCounter因协议不支持而丢弃的分组数ifOutOctetsROCounter通过接口输出的分组数ifOutUcastPktsROCounter上层协议请求发向子网的单点通信的分组数ifOutNUcastPktsROCounter上层协议请求发向子网的多点通信的分组数ifOutDiscardsROCounter要丢弃的输出分组数ifOutErrorsROCounter因出错未发的输出分组数ifOutQLenROGauge输出报文队列长度ifSpecficROOBJECTIDENTIFIER用于实现接口特定介质的与MIB相关的定义2.2.2接口组（Interfacegroup）变量ifNumber是指网络接口数。每个接口相关的信息由表对象ifTable定义，每个接口对应一个表项。该表的索引是ifIndex。取值为1到ifNumber之间的数。IfType是接口类型的定义，常用的接口类型有54种，每种接口都有一个标准编码。如ethernet-csmacd(6),iso88025-tokenRing(9)等。(节点MIB操作)

2.2.2接口组（Interfacegroup）关于接口状态的对象。ifAdminStatus对象为可读可写，使得管理者能为该接口设定理想的操作参数。ifOperStatus对象是只读的，反映出接口的当前实际工作状态。如果两个对象的值都为down(2),则该接口已被管理站关闭，如果IfAdminStatus的值为up(1)而IfOperStatus的值为down(2)，则表明该接口出现了故障。(panel-右键–状态表示)复习2.2.2接口组（Interfacegroup）对象ifSpeed是一个只读计量器，表示接口的速率。例如ifSpeed取值10000000表示10Mbps.有些接口速率可根据参数变化，ifSpeed的值反映了接口当前的数据速率。接口组中的对象可用于故障管理和性能管理。END2.2.2接口组（Interfacegroup）例如可以通过检查进出接口的字节数(ifInUcastPkts和ifOutUcastPkts)或队列长度(ifOutQLen)检测拥挤；可以通过接口状态获知工作情况.统计出输入/输出的错误率：输入错误率=ifInErrors/(ifInUcastPkts+ifInNUcastPkts)

输出错误率=ifOutErrors/(ifOutUcastPkts+ifOutNUcastPkts)提供接口发送的字节数和分组数以作为计费的一种数据依据。2.2.3地址转换组（Addresstranslationgroup）

地址转换组包含一个表,每一行对应系统的一个物理接口，提供从网络地址到物理地址的映射关系。网络地址是指系统在该接口的IP地址，物理地址取决于子网的种类。如果接口连接一个局域网，则物理地址是对该接口的MAC地址。(（诊断／地址映射)2.2.2地址转换组（Addresstranslationgroup）at(mib-23)atTable(1)atEntry(1)atPhysAddress(2)atNetAddress(3)atIfIndex(1)

地址转换组地址转换组对象对象语法访问方式功能描述atTable(1)SEQUENCEOFAtEntryNA与物理地址和子网地址相对应的网络地址atEntry(1)SEQUENCENA网络地址向物理地址转换的信息atIfIndex(1)INTEGERRW该转换条目对应的接口atPhysAddress(2)PhysAddressRW与介质相关的物理地址atNetAddress(3)NetworkAddressRW与介质相关的物理地址对应的网络地址2.2.4IP组

IP组提供与IP协议有关的信息。在网络中路由器周期性的执行路由算法并更新路由表。IP组定义执行网络层协议（如主机和路由器）的节点的所有需要的参数。其功能组是必须实现的。IP组包含三个表对象：IP地址表、IP路由表和IP地址转换表。Ip(mib-24)ipRoutingDiscards(23)ipNetToMediaTable(22)2)ipRouteTable(21)ipAddrTable(20)ipFragCreates(19)ipFragFails(18)ipFragOKs(17)ipReasmFails(16)IpReasmOKs(15)IpReasmReqds(14)IpReasmTimeout(13)ipForwarding(1)ipDefaultTTL(2)ipInReceives(3)IpInHdrErrors(4)IpInAddrErrors(5)IpForwDatagrams(6)ipInUnknownProtos(7)ipInDiscards(8)IpInDelivers(9)IpOutRequests(10)IpOutDiscards(11)ipOutNoRoutes(12)IP组通过IPMIB我们可以获得IP层的任何辅助信息。如对象ipForwarding的值表示节点（路由器或网关）在两个自主的网络之间是否在起作用。IpInAddrErrors能使我们检测到因IP地址出错而丢弃的数据报的总数。(操作)2.2.4IP组

IP组对象对象语法访问方式功能描述ipForwarding(1)INTEGERRW用作IP网关（1），IP主机（2）ipDefaultTTL(2)INTEGERRWIP报头中的Time-to-Live字段中的默认值ipInReceives(3)CounterRO从接口收到的数据报的总数ipInHdrErrors(4)CounterRO由于报文头出错而丢弃的数据报数量ipInAddrErrors(5)CounterRO由于地址出错而丢弃的数据报数量ipForwDatagrams(6)CounterRO转发数据报的数量ipInUnknownProtos(7)CounterRO本地寻址成功的因不支持协议而丢弃的输入数据报数量ipInDiscards(8)CounterRO因缺乏缓冲资源而丢弃的数据报的数量ipInDelivers(9)CounterRO成功递交到IP用户协议的输入数据报的总数ipOutRequests(10)CounterRO本地IP用户协议提供给IP层的数据报总数ipOutDiscards(11)CounterRO因缺乏缓冲资源而被丢弃的数据报总数ipOutNoRoutes(12)CounterRO因没有路由而被丢弃的IP数据报的数量ipReasmTimeout(13)INTEGERRO数据报等待重装配帧的最长时间（s）ipReasmReqds(14)CounterRO需要重新装配的数据报的数量ipReasmOKs(15)CounterRO成功重装配的数据报的数量ipReasmFails(16)CounterRO由IP重装配算法探测到的故障数量ipFragOKs(17)CounterRO成功分段的IP数据报的数量ipFragFails(18)CounterRO因设置了不能分段而被丢弃的IP数据报数ipFragCreates(19)CounterRO产生的IP数据报分段数量ipAddrTable(20)SEQUENCEOFNAIP地址表ipRouteTable(21)SEQUENCEOFNAIP路由表ipNetToMediaTable(22)SEQUENCEOFNAIP地址转换表ipRoutingDiscards(23)CounterRO因释放缓冲空间而丢弃的路由实体数IP地址表IP地址表的结构和对象描述:ipAddrTable(ip20)ipAddrEntry(1)ipAdEntAddr(1)ipAdEntBcastAddr(4)ipAdEntIfIndex(2)IP地址表ipAdEntNetMask(3)ipAdEntReasmMaxSize(5)IP地址表对象语法访问方式功能描述ipAddrTable(ip20)SEQUENCEOFNA与该实体IP地址相关的寻址信息ipAddrEntry(1)SEQUENCENA在IP地址表中的实体之一ipAdEntAddr(1)IpAddressRO本地主机IP地址ipAdEntIfIndex(2)INTEGERRO对应接口的索引值ipAdEntNetMask(3)IpAddressRO与IP地址对应的子网掩码ipAdEntBcastAddr(4)INTEGERRO广播地址最低位IpAdEntReasmMaxSize(5)INTEGERRO可重装配的最大数据报IP地址表IpAddrTable包含与本地IP地址有关的信息。每一行对应一个IP地址，其值与接口表的ifIndex一致。表中的对象值可以用get-request或get-next-request消息得到。在配置管理中，可以利用这个表中的信息检查网络接口的配置情况。表中的对象属性都是只读的，所以SNMP不能改变主机的IP地址。IpAdEntAddr为表的索引项。

(操作)

I