第四章-SNMP网络管理模型

网络管理

第四章SNMP网络管理模型张岗山西安电子科技大学信息科学研究所引言SNMP：SimpleNetworkManagementProtocol，简单网络管理协议解决基于TCP/IP协议的网络的管理问题作为CMOT（CMIPoverTcp/ip）的过渡方案，最终成为事实上的工业标准Simple西安电子科技大学信息科学研究所SNMP发展历史TCP/IP网络管理发展历史ICMP(InternetControlMessageProtocol,RFC792)ping:echo/echo-reply（时间戳）1987年，简单网关监控协议（SGMP）发布，用于直接监控网关(Gateway).西安电子科技大学信息科学研究所SNMP发展历史1988年，IAB发布SNMPv1作为近期解决方案，未来过渡到OSI管理模型（CMOT）。初衷：采用与OSI管理模型相同的管理信息结构(SMI)和管理信息库（MIB）结果：SNMP与OSI在对象级无法兼容，因而SNMP最终独立于CMOT发展1993年，发布SNMPv2,扩充了管理信息结构和功能，并增强安全性。1996年，新的SNMPv2又取消安全特性.2002年，发布SNMPv3，提出新的SNMP体系结构，包括：SNMP实体、SNMP引擎、分发器、消息处理子系统、安全子系统和访问控制子系统等；西安电子科技大学信息科学研究所内容SNMP体系结构（组织模型）SNMP管理信息模型（信息模型）SNMP通信模型（通信模型）西安电子科技大学信息科学研究所SNMP体系结构西安电子科技大学信息科学研究所SNMP体系结构SNMP基本模型AgentMIB被管设备或资源Manager网络管理协议（SNMP）基于远程监控的管理模型西安电子科技大学信息科学研究所SNMP基本体系结构SNMP组成元素管理站（Manager）代理者（Agent）管理信息库（MIB）简单网络管理协议（SNMP）西安电子科技大学信息科学研究所SNMP元素管理站（Manager）配置Manager实体和一组管理应用程序，提供网络的配置、性能、故障、计费和安全等管理功能；提供与操作员接口的功能，将操作员的要求转换为对网元的实际监控的能力；配置管理数据库(MDB)，存放从代理获取的管理信息；西安电子科技大学信息科学研究所SNMP元素代理（Agent）配备Agent实体的各类设备(如：路由器、服务器和交换机等)；对来自管理站的信息请求或动作请求进行应答；主动向管理站报告重要的事件（Trap，陷阱），如：ColdStart、WarmStart、LinkDown、LinkUp等；西安电子科技大学信息科学研究所SNMP元素管理信息库（MIB）被管网络资源的抽象的、面向对象的描述（被管对象类）被管对象实例的集合网络管理协议（SNMP）管理站与代理之间的通信协议采用UDP传输协议，端口161和162(Trap)西安电子科技大学信息科学研究所SNMP基本体系结构基本体系结构单个管理者、多个代理的集中式结构管理者通过轮询（polling）代理获取管理信息逐个查询设备：监测周期长、占用过多的通信资源陷阱引导轮询（Trap-directedpolling）初始化时轮询关键信息，降低轮询频度管理者收到Trap通知后，增加轮询频度西安电子科技大学信息科学研究所SNMP基本体系结构非对称二级结构OSI系统管理模型中，Manager和Agent是对等的且可以相互转换SNMP管理模型中，Manager和Agent是分别配置的且角色固定配置Manager的实体称为管理站配置Agent的实体成为代理管理站可访问和控制代理所在的系统，反之则不行西安电子科技大学信息科学研究所SNMP基本体系结构SNMP被管对象SNMPAgent（161）UDPIP链路层和物理层协议GetRequestGetNextRequestSetRequestGetResponseTrap被管资源InternetSNMP消息MIB视图管理站SNMP代理SNMP基于无连接的UDP协议管理应用SNMPManager（162）UDPIP链路层和物理层协议GetRequestGetNextRequestSetRequestGetResponseTrapMDB西安电子科技大学信息科学研究所SNMP体系结构三级体系结构代管（Proxy）体系结构代管对管理站提供标准的SNMP代理功能；代管使用被管设备的专用协议进行管理；Proxy体系结构：管理站<-SNMP->代管<-专用协议->被管设备；TMN体系结构：OS<-Q3->QAF<-Qx->非TMN设备Agent管理站被管设备或资源代管专用通信协议SNMP西安电子科技大学信息科学研究所SNMP体系结构RMON体系结构将原始数据的信息计算分布到RMON中介代理上完成，管理者直接通过RMONMIB获取处理后的数据。类似TMN中智能NE（OSF/MF/NEF）的层叠架构RMON和代管的比较代管负责管理信息格式的转换，但不提供管理功能；RMON主要提供管理功能和标准的MIB，即同时充当管理者和代理；SNMP体系结构多Manager体系结构一个SNMP代理向多个管理者提供服务；多个管理者分别负责不同厂商的设备；西安电子科技大学信息科学研究所西安电子科技大学信息科学研究所SNMP管理信息模型西安电子科技大学信息科学研究所管理信息模型被管对象SNMP被管对象是OSI被管对象的简化版OSI被管对象具有属性、操作、行为和通报等特性；SNMP被管对象仅具有数据类型和访问控制特性；SNMP被管对象=变量西安电子科技大学信息科学研究所管理信息结构(SMI)SMI（StructureofManagementInformation，RFC1155

）提供定义和构造MIB的通用框架，以支持不同厂商的互操作（类似GDMO）定义MIB的结构、被管对象及对象值的编码的标准技术基本思想：简单性和可扩充性仅支持简单数据类型：标量和标量的二维矩阵（表）SMI是SNMP被管对象的定义“指南”西安电子科技大学信息科学研究所管理信息模型被管对象类命名SNMP被管对象逻辑上被组织为树状的数据库结构（简称MIB树）MIB树采用OSI管理信息模型的注册树（图2.14）所有SNMP被管对象标识符均注册在OSI注册树的internet节点（即InternetMIB）之下西安电子科技大学信息科学研究所InternetMIBRootiso(1)org(3)dod(6)internet(1)….directory(1)mgt(2)experimental(3)private(4)Mib-II(1)system(1)interface(2)snmp(11)sysObjectID(2)enterprise(1)注册树/MIB树SNMP被管对象的前缀是“”(SNMP子树的根节点)对象标识符:.西安电子科技大学信息科学研究所管理信息结构SMIInternetMIBdirectory:ISO目录服务相关应用的保留节点mgmt:标准的SNMP被管对象(mib-1、mib-2)experimental：尚处于实验中的被管对象private：专用的被管对象每个厂商在private(4)enterprises(1)注册一个子节点Cisco:enterprises.9Nokia:enterprises.94管理信息结构被管对象标识符OBJECTIDENTIFIER:全局唯一标识符Descriptor:易于记忆的名称（即label）西安电子科技大学信息科学研究所internetOBJECTIDENTIFIER::={1361}mgmt

OBJECTIDENTIFIER::={internet2}DescriptorObjectIdentifier值西安电子科技大学信息科学研究所管理信息结构与OSI信息模型的比较共同点每个节点对应一个被管对象节点的所属关系即被管对象的包含关系。差异点SNMPMIB中只允许访问叶节点西安电子科技大学信息科学研究所管理信息结构SNMP的数据类型和结构SNMP被管对象语法只包含：名称、数据类型、访问权限和状态等的定义数据类型4个ASN.1基本数据类型：INTEGER,OCTETSTRING,OBJECTIDENTIFIER,NULL6种自定义数据类型:NetworkAddress,IpAddress,Counter,Gauge,TimeTicks,Opaque2种结构机制:SEQUENCE,SEQUENCEOF访问权限read-only,read-write,write-only状态mandatory,optional,obsolete西安电子科技大学信息科学研究所管理信息结构被管对象类的宏（RFC1155，模板）OBJECT-TYPEMACRO::=BEGINTYPENOTATION::=“SYNTAX”type(TYPEObjectSyntax)“ACCESS”Access“STATUS”StatusVALUENOTATION::=value(VALUEObjectName)Access::=“read-only”|“read-write”|“write-only”..Status::=“mandatory”|“optional”|“obsolete”END访问权限和状态取值定义定义体被管对象类型定义对象“值”定义双引号内的字符串应保持原样出现在定义中type/TYPE–取变量的类型；value/VALUE–取变量的值西安电子科技大学信息科学研究所管理信息结构被管对象类的定义（RFC1212）SYNTAX:被管对象的数据类型ACCESS:被管对象的最低访问权限STATUS:实现所定义被管对象的要求DescrPart:被管对象类的描述ReferPart:引用其它模块中定义的对象IndexPart:定义表格DefValPart:被管对象的缺省值西安电子科技大学信息科学研究所管理信息结构sysDescr

OBJECT-TYPE SYNTAX DisplayString(SIZE(0..255)) ACCESS read-only STATUS mandatory DESCRIPTION

“Atextualdescriptionofthe entity…..”::={system1}定义SNMP被管对象类即给出宏中各部分的参数西安电子科技大学信息科学研究所管理信息结构复杂被管对象定义-表格SEQUENCE/SEQUENCEOF+IndexPart1）定义表格对象由相同类型的条目(Entry)序列构成e.g.grokTable类型是SYNTAXSEQUENCEOF

GrokEntry2）定义条目由不同类型的对象的序列(表格的行)构成，并指定条目的索引e.g.grokEntry类型是GrokEntry且每行的索引是grokIndex3）定义条目中的每个对象(表格的列)e.g.grokCount::={grokEntryx

}西安电子科技大学信息科学研究所SNMP管理信息结构表格的包含关系tableentryindexcolumn2columnN…..SYNTAXSEQUENCEOFEntrySYNTAXEntryINDEX{index}::={entry?}::={table1}只有叶子节点对象可以访问西安电子科技大学信息科学研究所管理信息结构被管对象（MIB树）被管对象实例列对象实例西安电子科技大学信息科学研究所BER编码SNMP管理信息的编码：基本编码规则（BasicEncodingRule）将可读的ASCII文本数据（整数、小数、IP地址、物理地址等）转换为适于传输的二进制数据BER编码结构：TLV（Type,Length,Value）Type(8)Length(8*n)Value(8*n)西安电子科技大学信息科学研究所编码TLVType(8bits):数据类型（场景+Tag）Length(n×8bits):数据长度（8位组数目）Class(8-7)P/C(6)Tag(5-1)应用场景简单或结构化的数据类型数据类型的Tag值延续位(8)值(7-1)0表示结束,1表示未结束西安电子科技大学信息科学研究所编码Value(n×8bits):数据值的编码INTEGER类型采用补码编码，且最高位为符号位；OCTETSTRING类型中的每个8位组对应Value中的8位组OBJECTIDENTIFIER类型中的每个数字按n个8位组编码(最高位为延续位)，并按原来的顺序串接起来特例：前两个数字（1.3）按数字43进行编码IpAddress按8位组串编码Counter,Gauge,TimeTick按整数编码西安电子科技大学信息科学研究所MIB-IIMIB-II(RFC1213)针对基于TCP/IP协议的Internet的管理对象标识符以“.2.1”为前缀(InternetMIB)每个子节点对应一个组（红色必须实现）systeminterfaceatip、icmp、tcp、udp、egp、snmpcmotdot3西安电子科技大学信息科学研究所MIB-IIsystem组包含关于系统的总体信息的对象，包括：设备名称、地点、联系人、描述等(表4.5)sysObjectID:系统中包含的网络管理子系统的厂商标识sysUpTime：系统的网络管理部分本次启动以来的时间sysService：该节点提供的服务集合(OSI7层服务)…应用场景：配置管理MIB-IIsystem组对象实例（MG-SoftMIBBrowser,/download.html）西安电子科技大学信息科学研究所标量对象的实例号为“0”西安电子科技大学信息科学研究所MIB-IIinterface组包含与系统中的网络接口有关的被管对象（一般参数）。ifNumber：网络接口的数目ifTable：网络接口属性表(表4.6)ifIndex：接口索引ifType：接口类型ifPhysAddress：MAC层或物理层的接口地址ifAdminStatus/ifOperStatus：期望的或当前的接口状态接口性能：传输分组数、错误分组数、丢包数…应用场景：故障管理、性能管理MIB-IIinterface组对象实例西安电子科技大学信息科学研究所表格对象的实例号由索引值表示MIBBrowser西安电子科技大学信息科学研究所MIB-IIat(AddressTranslation)包含接口物理地址与网络地址的映射表atTable:地址映射表atPhysAddress：物理地址atNetAddress：网络地址应用场景：不鼓励实现（兼容MIB-I）复习SNMP管理信息模型被管对象（简化版）数据类型访问权限InternetMIB{}：被管对象命名directorymgmtexperimentalprivate西安电子科技大学信息科学研究所复习被管对象定义（SMI）OBJECT–TYPE宏（模板说明）类型说明（TYPE-NOTATION）取值说明（VALUE-NOTATION）对象标识符和描述符表格对象定义表对象：条目数据类型的矩阵定义条目对象：条目数据类型定义列对象SNMP管理信息的编码（BER:基本编码规则）TLV格式：Type、Length和Value西安电子科技大学信息科学研究所西安电子科技大学信息科学研究所MIB-IIip组包含IP协议中的各种参数信息(表4.8)ipAddrTable:分配给该实体的IP地址表ipRouteTable:IP路由表(路由监测和控制)ipNetToMediaTable:IP地址和物理地址之间的转换表（atTable的替代者）性能和故障监测的被管对象：接收报文数、错误报文数、丢包数…应用场景：

配置管理、故障管理、性能管理IP组对象实例西安电子科技大学信息科学研究所MIB-IIicmp组包含接收和发送各种ICMP消息的计数器（表4.10）icmpInX：收到的各种ICMP消息统计icmpOutX：发送的各种ICMP消息统计所有实现TCP/IP协议的系统都支持ICMP应用场景：

性能管理西安电子科技大学信息科学研究所MIB-IItcp组包含面向连接的传输控制协议有关的被管对象（表4.11）重传时间TCP连接数上限TCP连接信息表（tcpConTable）TCP传输协议的各种性能统计应用场景：性能管理、配置管理、安全管理西安电子科技大学信息科学研究所MIB-IIudp组包含与无连接传输协议有关的被管对象（表4.12）端点用户的IP地址和UDP端口表（udpTable）UDP传输协议的性能统计应用场景：性能管理、安全管理西安电子科技大学信息科学研究所MIB-IIegp组包含与EGP协议（外部网关协议）的实现和操作有关的被管对象EGP协议的性能统计相邻网关信息表（egpNeighTable）应用场景：性能管理、配置管理西安电子科技大学信息科学研究所SNMP通信模型西安电子科技大学信息科学研究所SNMP通信模型简单网络管理协议（SNMP）SNMP服务功能SNMP对象访问策略SNMP消息和操作SNMPMIB西安电子科技大学信息科学研究所SNMP服务功能与CMIS/CMIP相比SNMP只能交换简单的被管对象(叶节点)，表和条目对象不能直接访问；SNMP包含3种基本消息：get、set和trap管理站:get-request、set-request和get-next-request代理:trap和get-responseSNMP消息采用无连接的UDP协议传递；西安电子科技大学信息科学研究所SNMP安全机制SNMP访问控制问题认证服务：将对MIB的访问限定在授权的管理站范围内。访问策略：对不同的管理站给予不同的访问权限。代管服务：在代管系统中实现托管站的认证服务和访问策略。西安电子科技大学信息科学研究所对象访问策略SNMP访问控制方案Community（团体名称）团体是在代理中定义的本地的概念；每个团体具有内部唯一的名字；每个团体对应一组认证、访问控制和代管特性；一个代理可与多个管理站建立多个团体；一个管理站可以出现在不同的团体；西安电子科技大学信息科学研究所对象访问策略Community的应用认证服务（通信的可信性）简单认证：所有由管理站发送到代理的消息中均包含一个团体名（相当于口令）访问策略MIB视图：每个团体可以访问不同的MIB子集访问模式：每个团体可以定义不同的读或读写权限SNMPCommunityProfile与Community相结合构成SNMP访问策略被管对象类访问权限与访问模式的协调规则（表4.14）SNMPCommunityProfile西安电子科技大学信息科学研究所对象访问策略代管服务代管系统负责维护托管设备的访问策略托管设备的MIB视图托管设备的访问模式西安电子科技大学信息科学研究所实例标识被管对象实例标识符OSI系统管理模型：根据包含树（≠注册树）构成相对区分名的局部或全局形名称SNMP管理模型：根据MIB树(=注册树)实现对象类型和实例统一标识被管对象类型和被管对象实例可为一对多关系SNMP被管对象分类简单对象表格对象、条目对象、纵列对象西安电子科技大学信息科学研究所简单对象所有的简单对象都只有一个对象实例简单对象的类型与实例“一一对应”简单对象实例标识符由其对象标识符加“0”组成sysObjectID.0

(OBJECTIDENTIFIER):enterprises.3.1.1sysUpTime.0

(TimeTicks):0days13h:19m:44s.73th(4798473)sysContact.0

(DisplayString):(zero-length)…西安电子科技大学信息科学研究所表格和条目对象表格、条目是不可访问的对象，因此没有实例标识西安电子科技大学信息科学研究所纵列对象纵列对象的定义表中的基本被管对象表中每一行中均有一个纵列对象的实例纵列对象实例的标识利用索引对象来区分表格中的各行的纵列对象将索引对象值连接在纵列对象标识符之后来标识纵列对象的实例纵列对象的访问随机访问和顺序访问温故知新西安电子科技大学信息科学研究所纵列对象随机访问技术使用索引对象值直接访问纵列对象ifIndex.1(INTEGER)1ifIndex.2(INTEGER)2ifIndex.3(INTEGER)3ifType.1(INTEGER)softwareLoopback(24)ifType.2(INTEGER)ethernet-csmacd(6)ifType.3(INTEGER)ethernet-csmacd(6)ifMtu.1(INTEGER)1520ifMtu.2(INTEGER)1500ifMtu.3(INTEGER)1500ifSpeed.1(Gauge)10000000ifSpeed.2(Gauge)100000000ifSpeed.3(Gauge)54000000索引对象值如何读取索引对象值-蛋鸡悖论？西安电子科技大学信息科学研究所纵列对象顺序访问技术MIB中的所有对象或实例标识符具有唯一的顺序（图书目录排序）ifIndexifIndex.1(INTEGER)1ifIndex.2(INTEGER)2ifIndex.3(INTEGER)3ifTypeifType.1(INTEGER)softwareLoopback(24)ifType.2(INTEGER)ethernet-csmacd(6)ifType.3(INTEGER)ethernet-csmacd(6)ifMtuifMtu.1(INTEGER)1520..1.1..1.1.1..1.1.2..1.1.3..1.2..1.2.1..1.2.2..1.2.3..1.3..1.3.1纵列对象顺序访问技术根据MIB中任意一点的对象实例的标识符，可以通过get-next-request对其后继对象实例进行访问读取索引对象值遍历MIB视图西安电子科技大学信息科学研究所①get-next-request(ifIndex)->ifIndex.1=value②get-next-request(ifIndex.1)->ifIndex.2=value③get-next-request(ifIndex.2)->ifIndex.3=value…西安电子科技大学信息科学研究所SNMP消息管理站和代理之间以SNMP消息的形式交换管理信息SNMP消息格式版本号Community名字消息类型SNMP消息负荷西安电子科技大学信息科学研究所SNMPv1消息VersionCommunityPDUtypePDUPayloadrequest-id00Variable-Bindings请求消息request-iderror-statuserror-indexVariable-Bindings响应消息陷阱消息enterpriseagent-addrgeneric-trapVariable-Bindingsspecific-traptimestamp西安电子科技大学信息科学研究所SNMP消息SNMP消息的发送和接收构造PDUASN.1对象源和目的地址、Community认证服务加密或认证的ASN.1对象Version和CommunitySNMP消息BER编码网络传输语法检查版本检查认证服务源和目的地址、CommunityPDU句法检查根据访问策略处理PDU西安电子科技大学信息科学研究所SNMP消息变量绑定（Variable-Bindings）将多个同类操作放在一个SNMP消息中，以提高传输的效率和减少网络负担（批处理）由对象实例标识符和对象值构成，即NVPair（Name/Value对）get请求：name1,name2,…set请求或get响应：（name1，value1）,（name2，value2）,（）…西安电子科技大学信息科学研究所SNMP操作GetRequestGetNextRequestSetRequestTrap西安电子科技大学信息科学研究所SNMP操作GetRequestPDUrequest-id字段（相当于CMIPinvokeid）匹配SNMP应用发送的请求和响应检查重复的PDUvariable-bindings字段被读取的对象实例标识符列表只能是MIB树中的叶子对象请求接收者必须用包含相同request-id的GetResponsePDU进行响应GetRequest操作是原子操作，返回的错误原因包括noSuchName，tooBig和genErr西安电子科技大学信息科学研究所SNMP操作GetNextRequestPDU几乎与GetRequest请求相同，差别仅在于GetNextRequestPDU中的变量绑定是“前一个”对象实例的标识符注：“前一个”对象不一定是存在的或可访问的GetNextRequest操作也是原子操作应用场景简单对象值的提取提取未知对象(例如表格的索引对象)西安电子科技大学信息科学研究所SNMP操作简单对象值提取GetRequest和GetNextRequest的比较GetRequest(udpInDatagrams.0,udpNoPorts.0,udpInError.0,udpOutDatagrams.0)；GetResponse((udpInDatagrams.0=100),(udpPorts.0=1),(udpInErrors.0=2),(udpOutDataGrams.0=200))；GetNextRequest(udpInDatagrams,udpNoPorts,udpInError,udpOutDatagrams)；GetResponse((udpInDatagrams.0=100),(udpPorts.0=1),(udpInErrors.0=2),(udpOutDataGrams.0=200))假设Agent不支持udpNoPortsGetResponse(noSuchName)GetResponse((udpInDatagrams.0=100),(udpInErrors.0=2),(udpIn