SNMP网络管理体系结构

#SNMPentity||||||||||||||||||||||||||SNMPengine(identifiedbysnmpEngineID)SNMPentity||||||||||||||||||||||||||SNMPengine(identifiedbysnmpEngineID)+1-++11+++111++11||Dispatcher||||Message|||||Security||||Access||||Processing||Subsystem||Control|||||Subsystem|||||||||Subsystem|||1+11-++111+++11++|||++|Application(s)+++++--+|Command||Notification||Proxy||Generator||Receiver||Forwarder|+++++--++++-+++SNMPv34.5.1SNMP管理框架的体系结构一个SNMP管理系统由若干包含SNMP实体的节点组成。在这些实体中，至少有一个实体包含命令产生者，和/或通报接收者的应用（对应以往的管理者），多个实体包含能够访问管理设备的命令和通报产生者应用（对应以往的代理者）。实体间用管理通信协议传递管理信息。执行命令生成者和通报接收者应用的SNMP实体监测和控制被管元素。被管元素是指主机、路由器、终端服务器等设备。这些被管元素的监测和控制通过对它们的管理信息的访问实现。在实现方面，对SNMP的体系结构会有以下不同的要求:1.具有命令应答者和/或通报生成者应用的实体（最小的SNMP）;2.具有代管转发者应用的SNMP实体;具有命令产生者和/或通报接收者应用的命令行驱动的SNMP实体;具有命令生成者和/或通报接收者应用，并具有命令应答和/或通报产生者应用的SNMP实体（以往称为SNMP中间层管理者或双重角色实体）;具有命令生成者和/或通报接收者，及为管理潜在的非常大量的被管节点可能的其它应用的SNMP实体（以往称为网络管理站）;为了能够统一满足以上要求，SNMPv3定义了一个可进化的体系结构。4.5.2SNMP实体SNMP实体是体系结构的一个实现。如图4.9所示，每个SNMP实体都包含一个SNMP引擎、一个或多个应用。TOC\o"1-5"\h\z++|||++||++|

|||||||Command|||||||||Command||Responder|++|Notification||Originator|++|Other|||++||||||||+||图4.9SNMP实体SNMP引擎为发送和接收消息、认证和加密消息、控制对被管对象的访问提供服务。SNMP引擎与包含它的SNMP实体之间存在一对一的联系。引擎包括中包括发报机(Dispatcher),消息处理子系统(MessageProcessingSubsystem),•安全子系统(SecuritySubsystem),访问控制子系统(AccessControlSubsystem)。在一个管理域中，每个引擎都有一个唯一的和明确的标识符snmpEngingID。由于引擎和实体之间一一对应，因此snmpEngingID也能在管理域中唯一地、明确地标识实体。但是，在不同的管理域中，SNMP的实体可能会有相同的snmpEnginelD。一个引擎中只有一个发报机，但能够同时支持多个版本的SNMP消息。它的功能包括：向网络发送或从网络接收SNMP消息，确定SNMP消息的版本，与相应的消息处理模型相互作用，为SNMP应用提供抽象接口，用以向应用传递PDU，为SNMP应用提供抽象接口，用以允许它们向远程SNMP实体发送PDU。4.5.3消息处理子系统消息处理子系统负责准备要发送的消息和从收到的消息中抽取数据。如图4.10所示，消息处理子系统潜在地包含多个消息处理模型。||MessageProcessingSubsystem++++++|*||*||SNMPv3||SNMPv1||Message||Message||Processing||Processing||Model||||Model|||||++||++|*||*||SNMPv2c||Other||Message||Message||Processing||Processing||Model||||Model|||||++||++4.10消息处理子系统每个消息处理模型定义一个特定版本的SNMP消息的格式，对应所定义的格式对准备和抽取处理进行相应的调整。

4.5.4安全子系统安全子系统提供诸如消息的认证和隐私的安全服务。如图4.11所示，SNMPv3采用User-Based安全模型,但潜在的安全模型可有多个。TOC\o"1-5"\h\z++|||SecuritySubsystem|||+|++*||++*||+*||User-Based||Other||Other||Security||Security||Security||Model|||Model||||Model|||||+||++||++|+||++4.11安全子系统安全模型要指出它所防范的威胁，服务的目标和为提供安全服务所采用的安全协议，如认证和隐私。安全协议指出为提供安全服务所采用的机制、过程和MIB对象。4.5.5访问控制子系统访问控制子系统通过一个或多个访问控制模型提供认证服务。如图4.12所示，View-Based访问控制模型是SNMPv3所建议的。++||AccessControlSubsystem+--+++++|*||*||*||View-Based||Other||Other||Access||Access||Access||Control||Control||Control||Model|||Model||||Model|||||+||--++||++|+图4.12访问控制子系统访问控制模型定义一个特定的访问决策函数，用以支持访问权的认定决策。SNMP应用SNMP应用分为以下几种类型：监测和操纵管理数据的命令产生者；对管理数据提供访问的命令接收者；发出异步消息的通报产生者；处理异步消息的通报接收者；在实体之间转发消息的代管转发者。SNMP应用与SNMP引擎之间形成应用与服务的关系，即SNMP应用是SNMP引擎的应用，SNMP引擎向SNMP应用提供服务。SNMPManager包含一个或多个命令产生者和/或通报接收者应用的SNMP实体以往被称为SNMP管理者。如图4.13所示|||||||||||||||||||||||||||||+++++--+SNMPentity|NOTIFICATION||NOTIFICATION||COMMAND||ORIGINATOR||RECEIVER||GENERATOR||applications||applications||applications|+++++--+|v|v|v++++|++++||MessageProcessing||Security|Dispatcherv|Subsystem||Subsystem|+--+|++||||PDUDispatcher||+->|v1MP*|<>|++|||||++|||Other||||||++|||Security|||||+->|v2cMP*|<>||Model|||Message|||++||++|(traditionalSNMPmanager)||||++||++||||+->|v3MP*|<>||User-based|||Transport|||++|||Security|||Mapping|||++|||Model|||(e.gRFC1906)||+->|otherMP*|<>|++|++|++|||++++|Dispatcher<>+++++++|UDP||IPX|...|other|+++++++|Network+|++SNMPAgent图4.13SNMPManager包含一个或多个命令接收者和/或通报产生者应用的SNMP实体，以往被称为SNMP代理者。如图4.14所示。++|Network|++vvvvvv++++++|UDP||IPX|...|other|++++++(traditionalSNMPagent)||||||||||||||||||||||||||+++--+||MessageProcessing||Security|Dispatcherv|Subsystem||Subsystem|+--+|+-+||||Transport||+->|v1MP*|<>|++||Mapping|||+-+|||Other|||(e.g.RFC1906)|||+-+|||Security|||||+->|v2cMP*|<>||Model|||Message|||+-+||++||Dispatcher<>|+-+||++||||+->|v3MP*|<>||User-based||||||+-+|||Security|||PDUDispatcher|||+-+|||Model||+--+|+->|otherMP*|<>|++||+-+|||++++v++++++++|COMMAND||ACCESS||NOTIFICATION||RESPONDER|<->|CONTROL|<->|ORIGINATOR||PROXY*||FORWARDER||||||||||||||||||||||||||||application||||applications||application|||++|.+++-+++|.||||v||v||