网络管理第二章

计算机网络管理理论与实践教程第二章简单网络管理协议SNMP目录绪论简单网络管理协议SNMP网络系统规划与工程管理IP地址管理网络配置管理网络故障管理网络性能管理网络安全管理理论与技术网络计费管理网络管理平台与工具网络管理机构组织与运行IT服务管理简单网络管理协议SNMPSNMP概述SNMP管理模型SNMP管理信息结构SNMP管理信息库远程监视RMONSNMPV1分析SNMP安全分析2.1SNMP概述SNMP的发展历程随着TCP/IP协议广泛应用，网络数目与网络内主机的数量不断增多，网络管理问题日益凸显。国际标准化组织（ISO）针对其自己提出的开放系统互连参考模型（OSI）的七层协议框架设计了公共管理信息服务（CMIS）和公共管理信息协议（CMIP）。因特网工程任务组（IETF）为了管理快速增长的Internet，决定修改并采用OSI的CMIP作为Internet的网络管理协议，修改后的协议被称为：建立在TCP/IP之上的公共管理信息服务与协议(CMOT)。2.1SNMP概述SNMP的发展历程CMIS/CMIP的实现由于复杂性和实现代价太高而遇到了许多困难，CMOT迟迟不能正式出台。1990年IETF决定把在NYSERNET和SURANET上开发的简单网关监控协议（SGMP）进行修改后，作为暂时的网络管理解决方案。这个临时解决方案后来发展成为简单网络管理协议（SNMP）的第一个版本SNMPv1。2.1SNMP概述SNMP的发展历程为了弥补在安全方面的不足，IETF开始进行SNMP新版本的开发工作。1992年7月，SNMP的设计者提出了称为SNMPsec的安全SNMP版本。2.1SNMP概述SNMP的发展历程1993年，IETF发布了SNMP的第二版SNMPv2。SNMPv2吸取了SNMPsec以及RMON在安全性能和功能上的经验，同时针对SNMPv1在管理大型网络上的不足，对SNMP进行了一系列的扩充。2.1SNMP概述SNMP的发展历程经过几年的试用发现SNMPv2的安全机制存在严重缺陷。许多设备提供商在SNMPv2的基础上加入自定义的安全特性，逐渐形成了SNMPv2u及SNMPv23两个版本。2.1SNMP概述SNMP的发展历程为统一标准，IETF不得不在1996年对SNMPv2进行修订，发布了SNMPv2c。2.1SNMP概述SNMP的发展历程1999年IETF正式发布了SNMPv3。SNMPv3是在SNMPv2基础之上增加了安全和管理机制的协议，得到了设备生产厂商的支持。2.1SNMP概述SNMP的特点简单可扩展应用广泛2.1SNMP概述SNMP存在的问题不适合大型网络管理。SNMP的trap是无确认的，有可能导致不能确保非常严重的告警发送到管理者。安全性方面考虑不足。不支持如创建、删除、动作等类型的操作。MIB模型不适合复杂的查询。

2、SNMP体系结构（1）SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。（2）SNMP在UDP、IP及有关的特殊网络协议(如Ethernet、FDDI、X.25)之上实现。由于SNMP依赖UDP，而UDP是无连接型协议，所以SNMP也是无连接型协议。在管理站和代理者之间没有在线的连接需要维护，每次交换都是管理站和代理者之间的一个独立的传送。2.1SNMP概述

之所以选择UDP而不是TCP，是因为UDP效率较高，这样实现网络管理不会太多地增加网络负载。但由于UDP不是很可靠，所以SNMP报文容易丢失。为此，对SNMP实现的建议是管理信息要装配成单独的数据报独立发送，而且报文应短些，不超过484B。

2.1SNMP概述（3）在管理站中，

SNMP的管理者进程（SNMP

Manager)对位于管理站中心的MIB的访问进行控制，并提供网络管理员接口。管理者进程通过SNMP完成网络管理。

SNMP的管理者进程向管理应用程序提供服务，它的作用是把管理应用程序的服务调用变成对应的SNMP协议数据单元，并利用UDP数据报发送出去。

2.1SNMP概述（4）每个网元或被管设备也必须实现SNMP、UDP和IP。有一个解释SNMP的消息和控制代理者MIB的代理者进程。从管理站发出3类与管理应用有关的SNMP的消息GetRequest、GetNextRequest、SetRequest。3类消息都由代理者用GetResponse消息应答，该消息被上交给管理应用。另外，代理者可以发出Trap消息，向管理者报告有关MIB及管理资源的事件。2.1SNMP概述图1SNMP的协议环境2.1SNMP概述2.2SNMP管理模型SNMP管理模型的四个基本组成部分管理者管理代理管理协议管理信息库2.2SNMP管理模型SNMP管理组织结构两层组织模式2.2SNMP管理模型SNMP管理组织结构三层组织模式2.2SNMP管理模型SNMP管理组织结构代理服务器组织模式1、管理站的轮询技术

如果管理站负责大量的代理者，而每个代理者又维护大量的对象，则靠管理站及时地轮询所有代理者维护的所有可读数据是不现实的。因此管理站采取陷阱引导轮询技术对MIB进行控制和管理。2、陷阱引导轮询技术(Trap-directedPolling)在初始化时，管理站轮询某些关键信息(如接口特性、作为基准的一些性能统计值，如发送和接收的分组的平均数)的代理者。一旦建立了基准，管理站将降低轮询频度。相反地，由每个代理者负责向管理站报告异常事件。2.2SNMP管理模型

例如，代理者崩溃和重启动、连接失败、过载等。这些事件用SNMP的Trap消息报告。管理站一旦发现异常情况，可以直接轮询报告事件的代理者或它的相邻代理者，对事件进行诊断或获取关于异常情况的更多的信息。陷阱引导轮询可以有效地节约网络容量和代理者的处理时间。网络基本上不传送管理站不需要的管理信息，代理者也不会无意义地频繁应答信息请求。

2.2SNMP管理模型

1．MicrosoftSNMP服务

2.SNMP服务的执行

3.Windows环境下SNMP服务的安装

4．SNMP网管代理设置

5．SNMPTrapService服务设置

Windows下的SNMP2.2SNMP管理模型

1．MicrosoftSNMP服务

SNMP是TCP／IP协议族的一部分，提供了在系统之间监视并交流状态信息的能力。基于Windows的SNMP使用由管理系统和代理组成的分布式体系结构。

Windows下的SNMP2.2SNMP管理模型

Windows的SNMP服务包括两个应用程序：一个是SNMP代理服务程序SNMP.EXE，另一个是SNMP陷入服务程序SNMPTRAP.EXE。Windows的SNMP代理服务是可扩展的，即允许动态地加入或减少MIB信息，叫做扩展代理。扩展代理处理私有的MIB对象和特定的陷入条件。当SNMP代理服务接收到一个请求报文时，它就把变量绑定表的有关内容送给对应的扩展代理。扩展代理根据SNMP的规则对其私有的变量进行处理，形成响应信息。Windows下的SNMP2.2SNMP管理模型

1．MicrosoftSNMP服务

2.SNMP服务的执行

3.Windows环境下SNMP服务的安装

4．SNMP网管代理设置

5．SNMPTrapService服务设置

Windows下的SNMP2.2SNMP管理模型

2.SNMP服务的执行

1)运行SNMP的准备工作

运行SNMP要做好如下准备：主机名和IP地址、主机名解析、管理系统、代理、定义SNMP共同体。

2)SNMP共同体的定义

SNMP共同体是运行SNMP服务的主机所属的小组，共同体由共同体名识别。

Windows下的SNMP2.2SNMP管理模型

3)SNMP服务的工作过程

SNMP服务对管理系统的请求做出响应的步骤如下：

(1)SNMP管理系统使用一个代理的主机名或IP地址，将请求发送给该代理。该应用程序将请求传递给套接字(UDP端口)161。

(2)建立包含如下信息的SNMP数据包：针对一个或多个对象的Get、GetNext或Set请求；共同体名和其他验证信息；数据包被路由到代理上的套接字(UDP端口)16l。

(3)SNMP代理在其缓冲区中接收该数据包。对共同体名进行验证，如果共同体名无效或数据包格式不正确，则将它丢弃。如果共同体名有效，则代理将验证源主机名或IP地址。

(4)SNMP数据包与所请求的信息一起被返回给SNMP管理器。2.2SNMP管理模型

1．MicrosoftSNMP服务

2.SNMP服务的执行

3.Windows环境下SNMP服务的安装

4．SNMP网管代理设置

5．SNMPTrapService服务设置

Windows下的SNMP2.2SNMP管理模型3.Windows环境下SNMP服务的安装

在Windows环境下面学习SNMP网络管理需要两个先决条件。（1）安装并配置好Windows2000的SNMP服务器，它是我们前面介绍的代理进程；（2）获取一个命令行下面的网管工具：snmptuil.exe，这是微软Windows2000资源工具中的一个软件，它也是网络管理系统中的管理进程。Windows下的SNMP2.2SNMP管理模型

对于被管设备，如路由器、网桥、主机等，出厂时若是可网管的，则厂商已在设备操作系统中加入了网管功能，只需启用SNMP，更改共同体名从默认的public到一个不易被外人猜到的字符串，设置陷阱目标地址(设置为网络管理工作站或所在域的域管理代理的IP地址)，即可接受网络管理站的管理。Windows下的SNMP2.2SNMP管理模型

网络管理站一般部署在服务器上。根据实现功能的强弱，可以有选择性地运行在UNIX及其变体或Windows上，由于目前企业网的服务器通常采用UNIX和Windows系列的服务器，但是网络管理员对Windows环境较为熟悉，故仅面向Windows操作系统加以介绍。Windows下的SNMP2.2SNMP管理模型

SNMP的安装步骤如下。

(1)打开“控制面板”，双击“添加或删除程序”图标，然后在打开的窗口中单击“添加/删除Windows组件”按钮，弹出“Windows组件向导”对话框，Windows下的SNMP2.2SNMP管理模型图3.3

选择安装项目2.2SNMP管理模型（2）选中“管理和监视工具”复选框，然后双击该选项，弹出如图所示的对话框。选中“简单网络管理协议(SNMP)”复选框，单击“确定”按钮。Windows下的SNMP2.2SNMP管理模型

选择SNMP组件

(3)系统开始复制文件，如图所示。在复制文件过程中，会提示插入系统安装光盘。将光盘插入后，等待文件复制完成即可。Windows下的SNMP2.2SNMP管理模型

配置组件

1．MicrosoftSNMP服务

2.SNMP服务的执行

3.Windows环境下SNMP服务的安装

4．SNMP网管代理设置

5．SNMPTrapService服务设置

Windows下的SNMP2.2SNMP管理模型

4．SNMP网管代理设置

(1)在“控制面板”中打开“管理工具”窗口，双击“服务”图标，可以看到本机已启动的各种服务程序。找到SNMPService项，如图所示，它就是网管代理服务程序，查看此服务是否已启动。

Windows下的SNMP2.2SNMP管理模型

SNMPService服务

(2)如果SNMPService未启动，则双击此项，在打开的“SNMPService的属性（本地计算机）”对话框中进行配置，在该对话框中可以设置启动类型(如图3.7所示)、登录用户名与密码、共同体Community名称。

Windows下的SNMP2.2SNMP管理模型

启动类型设置

另外，在“SNMPService的属性（本地计算机）”对话框中配置可以控制访问本机的SNMP代理的主机IP地址，加入一些允许访问本机代理的网络服务站，如图所示。

Windows下的SNMP2.2SNMP管理模型

SNMPService允许访问设置

1．MicrosoftSNMP服务

2.SNMP服务的执行

3.Windows环境下SNMP服务的安装

4．SNMP网管代理设置

5．SNMPTrapService服务设置

Windows下的SNMP2.2SNMP管理模型

5．SNMPTrapService服务设置

SNMPTrapService有时称为SNMP事件陷阱，通过设置Trap，进行陷阱时间捕捉。当网管代理发现设置的值超出设定范围后，就立即启动自动Trap命令，向网络管理员报告。Trap不必等到网络管理员发出查询命令，它往往用于一些紧急事件。

Windows下的SNMP2.2SNMP管理模型

SNMPTrapService的配置过程是：首先打开“控制面板”中“管理工具”的“服务”窗口，查看有无SNMPTrapService项目，如果没有，则需要安装相关的协议与服务软件。如果安装了相关的服务和协议，则可以对SNMPTrap进行设置。设置的参数主要有启动类型(如图3.9所示)，登录用户名与密码、故障恢复参数、Trap的依存关系等。

Windows下的SNMPWindows下的SNMP2.2SNMP管理模型图3.9

SNMPTrap启动类型设置

一旦安装并启动了简单网络管理协议SNMP，系统将打开UDP161snmp和UDP162snmptrap两个端口。需要注意的是，这里使用的是UDP端口，而不是TCP端口。Windows下的SNMP2.2SNMP管理模型1、被管理的资源的表示－－被管对象在SNMP中，采用面向对象的技术，用被管对象的概念来描述被管理的资源。2、管理信息结构管理信息结构（StructerofManagementInformation，SMI）定义了描述被管对象的规则，以及管理协议如何访问这些对象。

1）定义和构造MIB的基本框架。

2）确定了能够用于MIB中的数据类型。

3）说明对象在MIB内部怎样表示和命名。管理信息结构的定义和功能2.3SNMP管理信息结构3、SMI的基本指导思想

SMI的基本指导思想是追求MIB的简单性和可扩充性。因此，MIB只能存储简单的数据类型：标量和标量的二维矩阵。我们将看到SNMP只能提取标量，包括表中的单独的记录。为什么SMI不使用复杂的数据类型

SMI避开复杂的数据类型是为了降低实现的难度和提高互操作性。管理信息结构的定义和功能2.3SNMP管理信息结构4、抽象语法表示被管对象的描述必须按照抽象语法表示（AbstractSyntaxNotationOne，ASN.1）进行编码。

ASN.1是一种用于描述结构化客体的结构和内容的语言.5、被管对象具有的三个属性对象名字、对象语法、对象编码。

管理信息结构的定义和功能2.3SNMP管理信息结构

对象类型的命名（对象名字）

SNMP的管理信息库采用和域名系统DNS相似的树状结构，它的根在最上面，根没有名字。它又称为对象命名树（objectnamingtree）。

MIB是包含管理设备及其管理对象的树状结构的信息库。树状结构中叶节点对象就是实际被管理对象。也就是说，每个被管对象对应树状结构的一个叶子节点，称为一个对象（Object）。

2.3SNMP管理信息结构2.3SNMP管理信息结构树根是引用ASN.1标准的对象。从树根开始，第一级有3个节点:iso、ccitt、joint-iso-ccitt。在iso节点下面有一个为“其他组织”使用的子树。其中有一个美国国防部的子树(dod)。SNMP在dod之下设置一个子树用于Internet的管理。国际标准化组织(ISO)1组织(ORG)3美国国防部(DOD)6Internet1目录1管理2实验3专用4企业1MicrosoftCorp

311MIBII1MicrosoftCorp.4.1.311ernet.private.enterprise.microsoft微软有权在其下分配名字2.3SNMP管理信息结构

internet子树由因特网架构委员会（IAB）管理，之下定义了4个节点：directory为与OSI的directory相关的将来的应用保留的节点。mgmt用于标识所有被IAB批准的子节点和对象。experimental用于标识在IETF试验下的对象。private用于标识单方面定义的对象。

注：第二个节点是mgmt（管理）。其下面是管理信息库，mgmt子树包含IAB已经批准的管理信息库的定义。2.3SNMP管理信息结构2．对象类型的命名（对象名字）

MIB中的每个对象类型都被赋予一个对象标识符(objectidentifier)，以此来命名对象。每一个对象都代表一些资源、活动或其它要管理的相关信息。

（1）对象标识符

每个MIB对象都使用对象标识符（OID）来唯一标识，

2.3SNMP管理信息结构（2）数字标识和名字标识

SMI为MIB树上的每个节点分配了一个数字标识，同时为了便于记忆和理解，又为每个节点提供了一个文本方式的对象描述符。每个节点都可以使用数字或字符两种方式显示。（3）完整的对象标识符一个完整的对象标识符是从MIB库的根开始到此被管对象所对应的节点沿途上所有节点的数字标识或名字标识，中间以“.”间隔而成。2.3SNMP管理信息结构这种访问方式和文件系统的组织方式一致。主要区别：

1）文件系统中的路径名可以以绝对方式也可以以相对方式表示2）MIB数据对象只能以绝对方式表示，不能使用相对方式。2.3SNMP管理信息结构

案例：一个被管对象的对象标识符表示。

要访问数据对象sysDescr（1），该对象在system(1)下，而sysDescr（1）处在叶子节点的位置。现在看不到树根root（.），其余所有的分支都是从这里扩展而来的。通常用带点的符号来表示数据对象的标识符。假定，其完整的标识符应该是这样的：

ernet.mgmt.mib.system.sysDescr

（这个标识符应该从左向右读）。2.3SNMP管理信息结构

案例：一个被管对象的对象标识符表示。

被管对象也可以以另一种更短的格式表示，即用数字形式标识符代替分支名形式的表示形式。上面的那种形式的标识符

ernet.mgmt.mib.system.sysDescr

还可以用

.来表示。2.3SNMP管理信息结构

这两种表达格式的作用是一致的，都表示同一个MIB数据对象，可以根据个人偏好选择表达格式。许多MIB浏览器可以以两者中任何一种格式来表示数据对象，这使得两种格式间的相互转化非常容易。

2.3SNMP管理信息结构由上可见，对象标识符满足:

1)每个被管对象都必须有一个全局对象标识符;

2)所有对象标识符在全局上构成一棵对象标识符树;

3)所有SNMP被管对象的标识符以ernet.mgmt.mib开始,

即.2.1。2.3SNMP管理信息结构

在只讨论internet中的对象时，可只画出internet以下的子树，并在internet节点旁边标注上{}即可。对于SNMP来说，树状结构的命名方式最大的好处是便于加入新的网络管理对象，具有良好的可扩展性，新加入的被管对象只是其父节点子树的延伸，对其他节点不会产生影响。

2.3SNMP管理信息结构

1．抽象语法表示法ASN.1

2．SMI对象语法对象类型的语法2.3SNMP管理信息结构

1．抽象语法表示法ASN.1

ASN.1抽象语法标记提供了一种表示数据的标准方法，是一种高级的对象类型定义语言，它描述了网络管理进程和代理进程之间传输的SNMP报文的格式。ASN.1定义了一组用来描述OSI网络传输的数据结构规则，SNMP使用它作为管理对象的定义语言和编码规则。对象类型的语法2.3SNMP管理信息结构

SNMPMIB中的每个对象都由一个形式化的方法定义，说明对象的数据类型、取值范围以及与MIB中的其他对象的关系。

SMI规定SNMP中的被管对象必须使用抽象语法表示法ASN.1。各个对象以及MIB的整体结构都由ASN.1描述法定义。为了保持简单，只利用了ASN.1的元素和特征的一个有限的子集。对象类型的语法2.3SNMP管理信息结构

2．SMI对象类型的语法

SMI对象类型的语法规定了每一个MIB对象的数据类型、允许的形式、取值范围以及与其它MIB对象之间的关系。各个对象以及MIB的整体结构都由ASN.1描述法定义。

对象类型的语法2.3SNMP管理信息结构

MIB库由一系列对象组成，每一个对象都有它的类型和取值。

对象类型定义了被管对象的特定种类，对象类型的定义是语法描述。

对象实例是对象一定要有具体取值的特定实例。这些对象的定义由5个字段组成。对象类型的语法2.3SNMP管理信息结构2.3SNMP管理信息结构对象类型的语法每个MIB变量格式是SMI规定的，用ASN.1描述如下：(objectname)OBJECT-TYPEDESCRIPTION:(description)SYNTAX:(syntax)ACCESS:(access)STATUS:(status)::={(Parent)number}

1）定义对象

(1)对象OBJECT:

一个文本名称，叫做对象描述。

Objectname是被管对象的名字，ASN.1要求对所有对象的名字在MIB中必须是唯一的；OBJECT-TYPE是每一个节点对象所必需的关键字；对象类型的语法2.3SNMP管理信息结构

(2)对象说明DESCRIPTION：对象的说明是对此对象的意义的一般性文字描述。DESCRIPTION是对被管对象的功能、特征等进行描述的关键字。description是被管对象的文本描述。对象类型的语法2.3SNMP管理信息结构

(2)语法SYNTAX:

对象类型的抽象句法。它必须解析成一种基本数据类型(如INTEGER、OCTETSTRING、OBJECTIDENTIFIER或NULL)。SYNTAX是被管对象类型的关键字syntax是被管对象的类型。对象类型的语法2.3SNMP管理信息结构

(4)存取方式ACCESS：

ACCESS是被管对象的访问方式关键字。access是被管对象的访问方式。

其值可以是read-only(只读)、read-write(读写)、write-only(只写)或not-accessible(不可访问)。

对象类型的语法2.3SNMP管理信息结构

(5)状态STATUS：

STATUS是被管对象的关键字。status是被管对象的状态。

对象的状态有3种即必备的mandatory、可选的optional或废弃的obsoleteo。对象类型的语法2.3SNMP管理信息结构

对象类型的语法2.3SNMP管理信息结构::={(Parent)number}Parent表示位于MIB树中的父节点，number表示本节点是父节点下的第几个子节点

案例:下面是MIB-2中TCP功能组的对象tcpMaxConn的完整描述:tcpMaxConnOBJECT-TYPESYSTAXINTEGERACCESSread-onlySTATUSmandatoryDESCRIPTION“ThelimitonthetotalnumberofTCPconnectionstheentitycansupport.Inentitieswherethemaximumnumberofconnectionsisdynamic,thisobjectshouldcontainthevalue一1.”::{tcp5}

SNMP使用BER作为编码方案，

BER用0、1字符来表示这样的对象的规则集合叫做基本编码规则(BasicEncodingRules，BER)。

BER描述了如何将ASN.1类型表示和编码成八位字节串。它描述了具体的ASN.1对象如何编码成比特流在网络上进行传输。数据首先经过BER编码，再经由传输层协议（一般是UDP）发送往接收方。接收方在SNMP端口收到PDU，经过BER解码后，得到具体的SNMP操作数据。

对象信息编码BER2.3SNMP管理信息结构

管理信息库是整个SNMP协议体系框架的基础，在这个数据库包中含着被管理实体的管理信息。MIB使用SMI中定义的类型和ASN.1中的基本类型进行对象描述，是一个使用SMI描述的管理信息库。MIB分为标准MIB和企业自定义MIB。2.4SNMP管理信息库存储在管理信息库中的管理信息以树形结构进行组织，树形结构中的每一个叶子节点都代表一个信息、变量、配置，管理。

管理信息库由被管理实体自已维护，被管理实体通过对这树中相应的叶子结点赋值，反映自已的状态。

管理者通过管理代理读取相应的变量以获得被管理实体的状态信息，也可以通过管理代理修改某些值来实现控制被管理实体的功能。2.4SNMP管理信息库2.4SNMP管理信息库MIB-II的组对象对象标识符说明system.2.1.1提供设备或系统的信息。interfaces.2.1.2包含网络接口的信息。at.2.1.3用于InternetIP地址到数据链路地址的地址转换表。ip.2.1.4包含关于该设备的网际协议（IP）的统计信息。icmp.2.1.5包含Internet控制消息协议（ICMP）的统计信息。tcp.2.1.6包含传输控制协议（TCP）的统计信息。udp.2.1.7包含用户数据报协议（UDP）的统计信息。egp.2.1.8包含外部网关协议（EGP）的统计信息。cmot.2.1.9CMOT协议的信息。transmission.2.1.10提供系统接口之下的特定媒体的信息。snmp.2.1.11包含简单网络管理协议（SNMP）的统计信息。2.5远程监视RMONRMON简介RMON是用于远程监控的标准规范，它是由SNMPMIB扩展而来。RMON由探测器和管理者两部分构成。

1．RMON背景与提出

SNMPv1有一些明显的不足，主要有以下几点。

（1)由于SNMP使用轮询采集数据，在大型网络中轮询会产生巨大的网络管理通讯报文导致网络交通拥挤甚至阻塞，故不适合管理大型网络；

不适合回收大信息量的数据，如一个完整的路由表；基于SNMP的标准仅提供一般的验证，不能提供可靠的安全保证；

2.5远程监视RMON

（2）标准管理信息库MIB-II和各厂家的专有MIB库主要提供有关设备的数据，如设备端口状态、流量、错误包数等。网络管理员只能从这些管理信息库中获得单个设备的局部信息。要想获得一个子网网段的信息是非常困难的，而在规模越来越大的互联网环境中，人们更需要监控的是一个网段的性能，因此仅仅使用标准MIB获取设备的管理信息已经不能满足管理大型互联网的需要。

2.5远程监视RMON（3）为了提高传送管理信息的有效性、减少管理站的负担、满足网络管理员监控网段性能的需求，IETF开发了RMON（RemoteMonitoring，远程网络监视），以解决SNMP在日益扩大的分布式互联中所面临的局限性。2.5远程监视RMON

2．RMON的基本思想

RMON的基本思想是：把一部分原来在网管方面实现的功能放到设备上去实现。

2.5远程监视RMON

3．RMON介绍

远程网络监视（RMON）首先实现了对异构环境进行一致的远程管理，它为通过端口远程监视网段提供了解决方案。

RMON是IETF定义的MIB（RFC1757），是对SNMP标准的扩展，它定义了标准功能以及在基于SNMP管理站和远程监控者之间的接口，主要实现对一个网段乃至整个网络的数据流量的监视功能，目前已成为成功的网络管理标准之一。2.5远程监视RMON

RMONMIB的实现可以记录某些网络事件，即使在网络管理站没有与监控设备主动进行连接（脱机）的情况下，也是一样的。因此网络管理员可以按以下要求配置监控：能够对网络进行诊断，连续地收集统计数据，以备日后网络管理员进行分析。如果某个阈值超出或某个事件发生，监视器就会试图通知负责这些事件的网络管理站，从而使网络管理员避免了面对不可控制的泛滥信息。2.5远程监视RMONRMONMIB也用于记录网络性能数据和故障历史，可以在任何时候访问故障历史数据，以有利于进行有效地故障诊断。使用这种方法减少了管理者同代理间的通信流量，使简单而有力地管理大型互联网络成为可能。

2.5远程监视RMON

RMON监视器可用两种方法收集数据。一种是通过专用的RMON探测仪（probe），网管站直接从探测仪获取管理信息并控制网络资源，这种方式可以获取RMONMIB的全部信息。另一种方法是将RMON代理直接植入网络设备（路由器、交换机、Hub等），使它们成为带RMONProbe功能的网络设施，网管站用SNMP的基本命令与其交换数据信息，收集网络管理信息，但这种方式受设备资源限制，一般不能获取RMONMIB的所有数据，大多数只收集4个组的信息。

2.5远程监视RMON

RMONMIB对网段数据的采集和控制通过控制表（controltable）和数据表（datatabel）完成。

RMONMIB按功能分成9个组。每个组有自己的控制表和数据表（有些组二者合一，如统计组）。其中，控制表可读写，数据表只读，控制表用于描述数据表所存放数据的格式。配置的时候，由管理站设置数据收集的要求，存入控制表。

开始工作后，RMONMonitor根据控制表的配置，把收集到的数据存放到数据表。2.5远程监视RMON

4．RMONMIB组

1）统计组统计组（statistics）统计被监控的每个子网的基本统计信息。网络管理员可以从RMON探针监测的设备端口获取一个网段的各种统计信息。目前只能对网络设备的以太网接口进行监控、统计。它能统计一个网段的流量（如：交通流量的总包数和总字节数），统计各种类型包的分布（如广播包、多点广播包、不同大小包的数量），还能统计各种类型错误包数、碰撞次数等。

2.5远程监视RMON

2）历史组

历史组（history）定期地收集统计网络值的记录并为日后的处理把统计存储起来。它包含两个小组：

HistoryControl组主要用来设置采样间隔时间等控制信息；

EthernetHistory组为网络管理员提供有关网段流量、错误包、广播包、利用率以及碰撞次数等其他统计信息的历史数据。

2.5远程监视RMON

3）告警组告警组（alarm）允许网管站为网络性能（可以是监视器本地MIB的任意整数类型的对象）定义一组报警阈值。如果阈值在相应的方向上被越过，监视器就会产生警报并把警报发往网管站。告警组需要事件组的实现。

2.5远程监视RMON

4）主机组主机组（host）包含对连接在一个子网上所有主机的各种类型交通流量的记数值。它能够发现网上的新主机，对每个主机的MAC地址保持一组统计数据，如主机发送或接收的数据包总数、广播包数、流量字节数、错误包数等。它有一个控制表和两个数据表，这两个数据表的内容相同，只是组织排列顺序不同。

2.5远程监视RMON

5）事件组事件组（event）提供关于RMON代理所产生的所有事件的表。当某事件发生时可以记录日志和（或）发送TRAP到网管站。

2.5远程监视RMON

5.RMON应用

RMONMIB的使用意味着首次把网络管理扩展到物理层，使独立地收集设备数据成为可能，内置的监控工具提供了不占用宝贵网络资源（带宽）而对整个流量进行有限度的分析能力，RMON产品已经可以使用，而且其数量在今后会平稳增长。

2.5远程监视RMON

管理者和管理代理之间以传送SNMP消息的形式交换信息。在SNMP管理中，管理者和管理代理之间交换的管理信息构成了SNMP报文。简单网络管理协议为管理者和代理定义了3类操作：

1）Set操作用于管理者对被管理实体的管理信息进行设置，被管理实体的管理信息由对象标识符指定，Set操作通过设置对象标识符的值来实现对被管理实体的控制，它可以用来改变被管理实体的配置或控制被管理实体的运转状态。2.6SNMPv1分析2）Get操作用于管理者从被管理实体的管理信息库中读取管理信息。

Get操作具有Get和GetNext两种形式。

Get操作指示直接读取指定的OID所表示的被管理实体的管理信息值。GetNext操作指示读取指定的OID所表示的被管理实体在MIB树中，按照字典顺序的下一个被管理实体的管理信息值。3）Trap操作用于管理代理向管理者报告被管理实体的状态变化。

在管理者没有明确要求的前提下，由管理代理通知管理者，被管理实体发生了一些特殊的情况或问题。通常该操作用于向管理者报告被管理实体上出现的异常事件。2.6SNMPv1分析2.6SNMPv1分析SNMPv1报文格式SNMP报文被封装在用户数据报协议（UDP）报文的数据项中，并通过UDP协议进行传输。2.6SNMPv1分析SNMPv1报文格式SNMP报文由首部和协议数据单元2部分组成。每个公共SNMP首部包含一个指示SNMP版本号的版本标识符、一个用于本次交换的共同体名和一个指出5种协议数据单元之一的消息类型。共3个字段。1.SNMP首部

（1）版本：

报文头中的版本标识符是指SNMP的版本，0代表SNMPvl,1代表SNMPv2;

写入版本字段的是版本号减1，对于SNMP（即SNMPv1）则应写入0。

2.6SNMPv1分析（2）共同体名（community）：

SNMP用共同体来定义一个代理者和一组管理者之间的认证、访问控制和代管的关系。共同体名用于身份认证;

这里的共同体名就是一个字符串，作为管理进程和代理进程之间的明文口令，常用的是6个字符public。利用SNMP共同体可以将管理和代理分组，同一共同体的管理和代理才能互相通信；代理不接受共同体之外的管理系统的请求；一个SNMP可以是多个共同体的成员。2.6SNMPv1分析（3）PDU类型：根据PDU的类型，填入0～4中的一个数字，其对应关系如表3.19所示。SNMPv1中有5种PDU类型，但只有3种PDU格式。PDU类型名称0GetRequest1GetNextRequest2GetResponse3SetRequest4Trap2.6SNMPv1分析GetReques操作：从代理进程处提取一个或多个参数值。GetNextRequest操作：从代理进程处提取紧跟当前参数值的下一个参数值。GetResponse操作：返回的一个或多个参数值。这个操作是由代理进程发出的，它是前面三种操作的响应操作。SetRequest操作：设置代理进程的一个或多个参数值。Trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。SNMP的5种报文操作注意：在代理进程端是用熟知端口161接收Get或Set报文。而在管理进程端是用熟知端口162来接收GetResponse报文和Trap报文。2.6SNMPv1分析SNMPv1报文格式SNMPv1报文传输，经过传输层、互联层、网络存取层以及物理层的网络。2.6SNMPv1分析SNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分。Get/Set类型报文与Trap类型报文的协议数据单元首部格式不同。

2．Get/Set首部

（1）请求标识符(RequestID)：这是由管理进程设置的一个整数值。代理进程在发送GetResponse报文时也要返回此请求标识符。管理进程可同时向许多代理发出Get报文，这些报文都使用UDP传送，先发送的有可能后到达。设置了请求标识符可使管理进程识别返回的响应报文是对应于哪一个请求的报文。

2.6SNMPv1分析（2）差错状态（ErrorStatus）：由管理代理进程在使用GetResponse报文将查询结果返回管理进程时填写。回答时填入0～5中的一个数字。差错状态名字说明0noError一切正常1tooBig代理无法将查询结果装入到一个SNMP报文之中2noSuchName操作指明了一个不存在的变量3badValue一个Set操作指明了一个无效值或无效语法4readOnly管理进程试图修改一个只读变量5genErr某些其他的差错2.6SNMPv1分析差错索引如果发生了noSuchName，badValue或readOnly等错误，则管理代理进程在使用GetResponse报文将查询的结果返回管理进程时，需要将一个整数值填入差错索引字段，用以指明发生差错的变量在变量绑定列表中的偏移位置。2.6SNMPv1分析2.6SNMPv1分析SNMPv1报文格式SNMPv1报文协议数据单元分为协议数据单元首部和变量绑定两个部分。Get/Set类型报文与Trap类型报文的协议数据单元首部格式不同。SNMP报文格式3.Trap首部

（1）企业（Enterprise）：填入Trap报文的网络设备的对象标识符。此对象标识符肯定是在对象命名树上的enterprise节点{.4.1}下面的一棵子树上。用以说明是哪家企业生产的产品。

（2）常规陷阱（GenericTrap）分为coldStart、warmStart、linkDown、linkUpauthenticationFailure、egpNeighborLoss和enterpriseSpecific等七种情况。每种情况都有对应的代码。Trap类型名字说明0coldStart代理进行了初始化1warmStart代理进行了重新初始化2linkDown一个接口从工作状态变为故障状态3linkUp一个接口从故障状态变为工作状态4authenticationFailure从SNMP管理进程接收到具有一个无效共同体的报文5egpNeighborLoss一个EGP相邻路由器变为故障状态6enterpriseSpecific代理自定义的事件，需要用后面的“特定代码”来指明SNMP报文格式（3）特殊陷阱（SpecificTrap）

特殊陷阱用于厂商扩展的陷阱代码，当常规陷阱的类型为6时，特殊陷阱字段指明由代理自定义的事件。

（4）时间戳(timestamp)：指明自代理进程初始化到trap报告的事件发生所经历的时间，单位为10ms。例如时间戳为1908，表明在代理初始化后1908ms发生了该事件。SNMP报文格式4．变量绑定变量绑定指明一个或多个变量的名和对应的值。在Get或GetNext报文中，变量的值应忽略。

在SNMP中，可以将多个同类操作(Get、Set、Trap)放在一个消息中。如果管理站希望得到一个代理者处的一组标量对象的值，它可以发送一个消息请求所有的值，并通过获取一个应答得到所有的值。这样可以大大减少网络管理的通信负担。

SNMP报文格式为了实现多对象交换，所有的SNMP的PDU都包含了一个变量绑定字段。这个字段由对象实例的一个参考序列及这些对象的值构成。某些PDU只需给出对象实例的名字，如Get操作。对于这样的PDU，接收协议实体将忽略变量绑定字段中的值。SNMP报文发送与接收图3SNMP报文发送SNMP报文发送与接收图4SNMP报文接收SNMP安全分析SNMP安全威胁伪造攻击者假冒授权用户对被管设备进行未授权管理操作，导致网络管理混乱或失控。消息流修改攻击者利用SNMP协议传输的脆弱性，以授权用户的身份修改SNMP消息，生成虚假的管理消息。SNMP安全分析SNMP安全威胁消息窃听攻击者通过安装特殊软件或设备，窃听明文传递的SNMP消息，特别是管理设备的访问口令。拒绝服务攻击攻击者利用SNMP系统的脆弱性，发送大量的管理信息或者虚假管理配置信息，导致网络中断。流量分析

攻击者通过分析SNMP消息传递，挖掘出一些敏感信息。SNMP安全分析SNMP安全需求提供消息的完整性验证机制提供消息的源验证机制提供消息的时间戳标识提供防止消息内容泄漏和非法读写的保护机制管理者和管理代理之间相互认证SNMP安全分析SNMP共同体认证/共同体访问控制

RFC1157给出了SNMP中管理站和被管理的一种认证访问控制机制，这种机制由两部分组成：

（1）基于团体名认证机制（2）基于共同体名访问授权机制共同体名认证机制：保证管理站和代理之间的通信是经过授权的，从管理站发送到代理的消息都有一个共同体名，类似口令一样，通过共同体名验证的消息才是有效的。访问授权机制：解决代理如何控制自已的管理信息库的问题，以防止管理站非授权访问管理信息库。SNMPV2的改进支持分布式管理改进了管理信息结构增强了管理信息通信协议的能力与前两种版本相比，SNMPV3中增加了安全管理方式及远程控制。SNMPV3结构引入了基于用户的安全模型用于保证消息安全及基于视图的访问控制模型用于访问控制（USM）。这种安全管理方式支持不同安全性，访问控制及消息处理等模式的并发使用。SNMP中的远程配置

SNMPV3使用SNMPSET命令配置MIB对象，使之能动态配置SNMP代理。这种动态配置方式支持本地或远程地配置实体的添加、删除及修改。SNMPV3的改进

1．MIB浏览器简介

MIB变量浏览器是一种重要的网络管理工具。

MIB浏览器也称为MIB编辑器，它使得用户能够以不同的方式遍历特定的MIB树，获得不同的对象“视图”。它的输出通常是图形化的，而且会给出所有MIB变量的简要信息，并标出其在树中的位置。

MIB浏览器使得对于MIB变量的浏览变得更加方便和容易。网络管理人员可以利用MIB变量浏览器取出网元的前端配置信息、性能参数以及统计数据等，对网络情况进行监视。2.7MIB浏览器

2．snmputilSNMP信息查询实用工具--MIB浏览器。ResourceKit里面的工具snmputil，通过该工具可以方便地获得非常多的信息。下载地址：/abu/tools/win/snmputil.exe。Snmputil.exe提供最基本的、低级的SNMP功能。通过使用不同的参数和变量，可以显示设备情况以及和管理设备。

snmputil是一个命令行下的软件，使用语法如下：snmputil[get|getnext|walk]agentcommunityoid[oid…]第一个参数为[get|getnext|walk]。

get操作获得所请求的对象标识符的值。

getnext操作获得指定对象标识符的下一个对象的值。因为一个设备的所有SNMP变量都是规则排列的，所以使用getnext命令参数就可以获取一个设备中的所有变量值及OID，而不需要事先知道它们的准确OID值。

walk操作可以遍历对象标识符所指定的管理信息库(MIB)分支信息（所有数据库子树/子目录的信息）。

第二个参数agent表示指定将SNMP请求发送给哪个设备的代理进程。在这里可以是代理进程的IP地址或者localhost（本地主机）。

第三个参数community指定使用哪个共同体（即验证字符串或口令），共同体名加上发送方的一些标识信息(附加信息)，用以验证发送方确实是共同体中的成员。共同体实际上就是用来管理应用实体之间身份鉴别的，在这里是public。在每个发送到被管理设备的SNMPUDP信息包中，这个口令是以纯文本形式传输的。当一个Win2K设备安装上SNM