SNMP网络管理技术

第2章SNMP网络管理架构主要内容：

1）SNMP的功能；

2）SNMP的结构；

3）SNMP系统；

4）SNMP协议。2.1网络管理协议和功能

1.网络管理协议的发展

1）基本概念网络管理进程：对具体的网络设备进行管理的软件。每个厂家的设备都有自己的设备管理软件（像驱动程序一样）。网络管理代理：连接管理者与被管理设备之间的系统，把管理者下达的命令转换成被管理设备的管理命令，同时将设备的信息上传给管理者。网络管理协议：管理进程与管理代理之间的通信标准。

2）ICMPICMP的全称是InternetControlMessageProtocol。从技术角度来说，ICMP就是一个“错误侦测与回报机制”，其目的就是能够检测网路的连线状况﹐也能确保连线的准确性﹐其功能主要有：

·侦测远端主机是否存在。

·建立及维护路由资料。

·重导资料传送路径（ICMP重定向）。

·资料流量控制。

ICMP是TCP/IP协议族的一个子协议，属于网络层协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。。当遇到IP数据无法访问目标、IP路由器无法按当前的传输速率转发数据包等情况时，会自动发送ICMP消息。

ICMP提供一致易懂的出错报告信息。发送的出错报文返回到发送原数据的设备，因为只有发送设备才是出错报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误的类型，并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而不是纠正错误，纠正错误的任务由发送方完成。在网络中经常会使用到ICMP协议，如经常使用的用于检查网络通不通的Ping命令（Linux和Windows中均有），这个“Ping”的过程实际上就是ICMP协议工作的过程。还有其他的网络命令如跟踪路由的Tracert命令也是基于ICMP协议的。

ICMP报文格式有3种格式：ICMP地址掩码请求与应答

ICMP时间戳请求与应答

ICMP端口不可达差错

ICMP报文在IP包中的位置：以太包首部IP首部ICMP首部ICMP报文数据（可变）14字节20字节8字节类型代码检验和长度可变部分取决于ICMP的类型位081631ICMP报文首部数据类型值ICMP报文的类型0回送（echo）回答3目的站不可达4源站抑制5改变路由8回送（echo）请求11数据报的时间超过12数据报的参数有问题13时间戳请求14时间戳回答17地址掩码请求18地址掩码回答IP数据报

ICMP格式及报文类型

ICMP报文格式:ICMP地址掩码请求与应答:031715类型校验代码标识符序列号掩码ICMP时间戳请求与应答：031715类型校验代码标识符序列号发起时间戳接收时间戳传送时间戳ICMP端口不可达差错：ICMP首部8字节出现差错的数据包IP首部20字节UDP首部8字节

3)SNMP

SNMP(SimpleNetworkManagementProtocol)简单网络管理协议，由一组网络管理的标准组成，包含一个应用层协议（applicationlayerprotocol）、数据库模型（databaseschema）和一组资源对象。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组（IETF，InternetEngineeringTaskForce）定义的internet协议簇的一部分。

SNMP开发于九十年代早期，其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包，如HP的OpenView和NortelNetworks的OptivityNetworkManagementSystem，还有MultiRouterTrafficGrapher（mrtg）之类的免费软件，都用SNMP服务来简化网络的管理和维护。由于SNMP的效果好，所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天，各种网络设备上都可以看到默认启用的SNMP服务，从交换机到路由器，从防火墙到网络打印机，无一例外。

4)CMIP/CMISCMIP(CommonManagementInformationProtocol)通用管理信息协议国际标准化组织（ISO）为了解决不同厂商、不同机种的网络之间互通而创建的开放系统互联网络管理协议。被认为是网络管理模型的电信管理网（TMN），就是在这个CMIP的基础上建立起来的。通用管理信息协议（CMIP）是构建于开放系统互连（OSI）通信模型上的网络管理协议。与之相关的通用管理信息服务（CMIS）定义了获取、控制和接收有关网络对象和设备信息和状态的服务。

CMIP是在OSI制定的网络管理框架基础上提出的网络管理协议。在网络管理过程中，CMIP是通过事件报告进行工作的。

4)CMOT(CMIPOVERTCP/IP)CMOT公共管理信息服务与协议（CMOT）是在TCP/IP协议簇上实现CMIS服务，这是一种过渡性的解决方案，直到OSI网络管理协议被广泛采用。CMIS使用的应用协议并没有根据CMOT而修改，CMOT仍然依赖于CMISE、ACSE和ROSE协议，这和CMIS/CMIP是一样的。但是，CMOT并没有直接使用参考模型中表示层实现，而是要求在表示层中使用另外一个协议--轻量表示协议（LPP），该协提供了目前最普通的两种传输层协议--TCP和UDP的接口。CMOT的一个致命弱点在于它是一个过渡性的方案，而没有人会把注意力集中在一个短期方案上。相反，许多重要厂商都加入了SNMP潮流并在其中投入了大量资源。事实上，虽然存在CMOT的定义，但该协议已经很长时间没有得到任何发展了。

5)LMMP

局域网个人管理协议（LANManManagementProtocol）,为LAN环境提供一个网络管理方案。LMMP以前被称为IEEE802逻辑链路控制上的公共管理信息服务与协议（CMOL）。由于该协议直接位于IEEE802逻辑链路层（LLC）上，它可以不依赖于任何特定的网络层协议进行网络传输。由于不要求任何网络层协议，LMMP比CMIS/CMIP或CMOT都易于实现，然而没有网络层提供路由信息，LMMP信息不能跨越路由器，从而限制了它只能在局域网中发展。

2.从管理设备上获取数据的方式

1）本地终端方式通过RS232端口或者Console端口将网络设备与计算机连接，再通过计算机上的超级终端功能，登录到被管理设备，然后进行监控和配置。

2）远程telnet命令被管理设备与计算机通过网络连接，利用管理设备的IP地址，在主机上用telnet命令登录到该网络设备（终端），然后对设备进行监控管理。以上这2个命令都只能一次对单台设备进行网络管理，一般还需要知道被管理设备的管理账号和密码。

3)基于网络管理协议的方式前面2种方式都只能管理单台设备，当网络很复杂时，采用这些管理办法显然不行。为了高效地管理网络系统，人们提出了一个标准的基于网络管理协议的模型：管理代理MIB网络资源管理协议管理进程MIB管理系统被管理对象操作响应通知一个管理系统，逻辑由以下4个方面构成：（1）管理进程（3）管理代理（2）管理协议（4）管理信息库（1）管理信息库MIB：管理信息库由网络系统内所有被管理对象及其属性构成，它是一个虚拟的数据库，里面包含有被管理网元（管理对象，管理变量）的信息，由管理进程和管理代理共同使用，且其中管理进程掌握着全局的MIB，而管理代理只针对一个具体的操作实例。（2）管理代理负责一个具体的管理对象的实例，它负责翻译管理进程传达的命令，同时将管理对象的信息传送给管理进程。（3）管理进程是负责对网络中的设备和设施进行全面有效的管理和控制的相关软件。（4）管理协议对管理进程与管理代理之间的通信进行规范和约定。2.2SNMP的功能及典型应用

1.SNMP的功能

SNMP是网络管理中，实现各种操作的一种通用协议，其功能是保证管理员对网络设备的维护管理工作正常进行。SNMP定义了统一的接口标准和通信协议，以保证管理员可以用统一的方式管理不同厂家的不同设备。

SNMP的3个主要操作：

1）读操作GET：管理员向被管理设备发送读操作，读取设备的状态信息和参数。另外被管理设备也会定义自动被读，以便将自身的状态信息和参数传送给管理员。

2）写操作SET：管理员需要调整网络参数时，通过写操作向被管理设备发送相关的命令。

3）回传操作trap：当被管理设备状态发生变化时，Trap操作会自动将变化了的信息实时传送给管理员，以便管理员随时掌握网络的运行状况。

2.SNMP的典型应用网络管理网络打印机服务器路由器交换机防火墙网络存储2.3SNMP系统构成

1.SNMP系统结构MIB管理站UDPIP底层协议代理MIBUDPIP底层协议网络

2.SNMP中的角色及关系有3个角色：网络管理系统NMS；代理Agent；代理服务器ProxyIP网络NMSAgentAgentProxy非IP网络Proxy非SNMP标准设备

3.SNMP组成

SNMP有v1.0发展到v3.0，其构成一直没有变化SMIMIBSNMP协议SNMP组成UDP底层协议

1）SMI管理信息结构：SMI定义了一个ASN.1的子集，规定使用哪些符号和元素来描述SNMP。

2）MIB管理信息库：使用SMI来定义设备及网络协议的数据。

3）SNMP协议：定义了SNMP数据包格式、封装方式及数据传输方式。2.4SNMP系统

SNMP系统由MIB、SMI和SNMP协议组成。

1.管理信息库MIB

管理信息库MIB中包含了所有可以供管理进程查询与设置的网络设备的信息。SNMP的管理信息库采用和DNS相似的树形结构。在这个树形结构里，SNMP协议消息通过遍历MIB树中的节点OID来访问网络中的设备。

MIB树的每个节点被指定为一个数字（非负），同一层的节点用不同的数字区分。这些节点的数字由标准组织指定。

2.管理信息结构SMISMI（StructureofManagementInformation）用于定义存储在MIB中信息的语法和语义，对MIB进行定义和构造。

SMI是ASN.1的一个子集，它约定了使用到的语法、类型、宏、数据格式等。所有网络设备厂家在为其网络设备写MIB时都遵循SMI的定义规范。

SMI定义的数据类型：◆简单类型（simple）

Integer：整型是-2147483648--+2147483647的有符号整数;

octerstring:字符串是0--65535个字节的有序序列;

OBJECTIDENTIFIER:来自按照ASN.1规则分配的对象标识符集;◆简单结构类型（simple-constructed）

SEQUENCE用于列表。这一数据类型与大多数程序设计语言中的“structure”类似。一个SEQUENCE包括0个或更多元素，每一个元素又是另一个ASN.1数据类型;

SEQUENCEOFtype用于表格。这一数据类型与大多数程序设计语言中的“array”类似。一个表格包括0个或更多元素，每一个元素又是另一个ASN.1数据类型;◆应用类型（application-wide）

IpAddress:以网络序表示的IP地址。因为它是一个32位的值，所以定义为4个字节；

counter：计数器是一个非负的整数，它递增至最大值，而后回零。在SNMPv1中定义的计数器是32位的，即最大值为4294967295；

Gauge：也是一个非负整数，它可以递增或递减，但达到最大值时保持在最大值；

timeticks：是一个时间单位，表示以0.01秒为单位计算的时间；

3.SNMP协议

SNMP为应用层协议，它通过用户数据报协议UDP来操作，管理系统中的应用程序对MIB进行访问控制，并提供用户操作界面，同时它通过SNMP完成对网络设备的相关管理。SNMP应用程序SNMP管理进程UDPIP链路层物理层GetRequestGet-nextReqSetRequestGet-responsetrap管理系统MIBSNMP代理进程UDPIP链路层物理层GetRequestGet-nextReqSetRequestGet-responsetrap网络设备被管理设备MIB2.5SNMP协议体系结构及报文格式

1.SNMP体系结构

SNMP采用的是集中式管理方案，其体系结构如下：managerAgentMIBObjectAgentMIBObjectAgentMIBObject

2.SNMP的工作机制管理进程与管理代理之间，管理代理与网络设备本地MIB之间，都是通过SNMP协议进行通信的，SNMP供有5类操作：Get-Request、Get-Response、Get-Next-Request、Set-Request、Trap(1)Get-Request、Get-Next-Request与Get-Response：SNMP管理站用Get-Request消息从拥有SNMP代理的网络设备中检索信息，而SNMP代理则用Get-Response消息响应。Get-Next-Request用于和Get-Request组合起来查询特定的表对象中的列元素。

(2)Set-Request：SNMP管理站用Set-Request可以对网络设备进行远程配置（包括设备名、设备属性、删除设备或使某一个设备属性有效/无效等）。

(3)TrapSNMP代理使用Trap向SNMP管理站发送非请求消息，一般用于描述某一事件的发生。

3.SNMP的报文格式

SNMP有5种报文格式,即PDU（协议数据单元）类型0--4。

1）公共SNMP首部

共三个字段：

（1）版本：SNMP版本号；（2）共同体（community）：共同体就是一个字符串，作为管理进程和代理进程之间的明文口令，常用的是6个字符“public”。

（3）PDU类型：根据PDU的类型，填入0～4中的一个数字，其对应关系如表2所示意图。PDU类型名称0get-request1get-next-request2get-response3set-request4trap

2）get/set首部（1）请求标识符(requestID)：这是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对于哪一个请求报文（2）差错状态（errorstatus）：由代理进程回答时填入0～5中的一个数字。差错状态名字说明0noError一切正常1tooBig代理无法将回答装入到一个SNMP报文之中2noSuchName操作指明了一个不存在的变量3badValue一个set操作指明了一个无效值或无效语法4readOnly管理进程试图修改一个只读变量5genErr某些其他的差错（3）差错索引(errorindex)

当出现noSuchName、badValue或readOnly的差错时，由代理进程在回答时设置的一个整数，它指明有差错的变量在变量列表中的偏移。

3）trap首部共有5个字段。（1）企业（enterprise）填入trap报文的网络设备的对象标识符。此对象标识符肯定是对象命名树上的enterprise结点{1.3.6.1.4.1}下面的一棵子树上。（2）trap类型此字段正式的名称是generic-trap，共分为7种。trap类型名字说明0coldStart代理进行了初始化1warmStart代理进行了重新初始化2linkDown一个接口从工作状态变为故障状态3linkUp一个接口从故障状态变为工作状态4authenticationFailure从SNMP管理进程接收到具有一个无效共同体的报文5egpNeighborLoss一个EGP相邻路由器变为故障状态6enterpriseSpecific代理自定义的事件，需要用后面的“特定代码”来指明（3）特定代码(specific-code)

指明代理自定义的时间（若trap类型为6），否则为0。（4）时间戳(timestamp)

指明自代理进程初始化到trap报告的事件发生所经历的时间，单位为10ms。例如时间戳为1908表明在代理初始化后1908ms发生了该时间。（5）代理地址（Agent-addr）产生Trap的SNMP代理或代理服务器的地址。

4）变量绑定(variable-bindings)

指明一个或多个变量的名和对应的值。在get或get-next报文中，变量的值应忽略。

4.SNMP共同体和安全控制在SNMP系统中一般是分布式管理策略，即一个管理站与多个代理相连接，每个代理控制着自己的网络设备的资源。但实际操作中，往往一个代理会和多个管理连接，这就相当于一台设备有多个操作员操作，需要进行权限的核定。manager1Agent1MIBObjectAgent2MIBObjectAgent3MIBObjectmanager2共同体（Community）：共同体由被管理设备本地进行定义，它约束着自己的代理与一组管理进程之间的认证和访问控制关系。不同的厂家可以会定义相同的共同体名，但一个共同体的解释是由与之相配套的代理决定的，所以相同的共同体名不会引起管理进程的混淆。

5.轮询和中断

SNMP代理从被管理设备获得数据有3种方法：轮询、中断和自陷轮询

1）轮询（Polling-Only）嵌入到网络设备中的代理软件收集、统计网络和设备本身的信息，并将它们存放在本地MIB中，管理进程采用轮询的方法通过代理不断地获得最新数据。由于一个管理进程管理者多个代理，所以轮询的时间间隔和顺序都对统计分析的结果产生影响。

2）中断（Interrupt-Based）当网络或设备产生异常时，会采用中断机制实时向管理进程传送相关数据，以便管理者及时掌握出现的故障。

3）自陷轮询（Trap-DirectedPolling）自陷轮询实际和中断类似，不同的是设备并没有产生异常，通过自陷轮询，设备可以实时向管理进程传送当前的相关数据。

值得注意的是，自陷轮询有时会产生大量的网络流量并消耗设备处理器资源。2.6SNMP的发展和现状

1.SNMP的发展历史

1）SNMPv11989年发布v1,可以通过代理完成对设备的MIB的读写操作。1991年对v1进行扩展，增加了RMONv1，增加了子网流量统计分析，并提供对OSI模型中的网络层和数据链路层的监视。

2）SNMPv21995年发布v2版，增加了事件报警、批量数据获取以及管理站和管理站之间的通信接口。同时RMONv1升级到RMONv2，RMONv2提供对OSI的各层的监视功能。

3）SNMPv31998年发布，增加了基于用户安全模式的功能，使用加密技术和用户验证技术提高安全性。

2.SNMPv2的主要特点

1）提供了读取大块数据的能力，即增加了GetBulkRequest操作。

2）增加了管理进程之间的通信，通过InformRequest操作实现。

3）可以在多种协议上运行包括：OSI、Applettalk、IPX等。

4）SMI提供更详细的规范和文档。

5）对MIBII进行了修改和扩充。

6）提出了安全管理规范（但没有具体实现）。

3.SNMPv3的特点

1）对传输的数据加密，采用DES（DataEncryptionStandard）算法对SNMP消息加密。

2）增加了数据完整性检查，利用MD5（MessageDigestAlgorithm5,信息摘要）和SHA（SecureHashAlgorithm,安全散列）技术验证管理对象的标示符，保证数据不被篡改，传输顺序不发生错误。

3）验证数据发送源的一致性。

4）通过时效机制，保证只有一定时间范围内的数据有效。

补充1：DES算法

DES算法为密码体制中的对称密码体制，又被称为美国数据加密标准，是1972年美国IBM公司研制的对称密码体制加密算法。明文按64位进行分组，密钥长64位，密钥事实上是56位参与DES运算（第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1）分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。

补充1：DES算法64位码64位码初始变换逆初始变换乘积变换16次迭代明文密文输入输出IPIP-1输入（64位）58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157输出（64位）初始变换IPL0（32位）R0（32位）

补充1：DES算法LiLi-1Ri-1Ri

Li-1

f(Ri-1,Ki)

补充1：DES算法乘积变换16次迭代：补充2MD5散列算法散列是信息的提炼，通常其长度要比信息小得多，且为一个固定长度。加密性强的散列一定是不可逆的，这就意味着通过散列结果，无法推出任何部分的原始信息。任何输入信息的变化，哪怕仅一位，都将导致散列结果的明显变化，这称之为雪崩效应。散列还应该是防冲突的，即找不出具有相同散列结果的两条信息。具有这些