第04章-SNMPv1协议教材

第4章SNMPv1协议介绍4.1SNMPv1的基本概念本章目录

4.1SNMPv1的基本概念4.2SNMPv1的管理信息4.3SNMPv1的基本操作

SNMP背景SNMP的基本思想：为不同种类的设备、不同厂家生产的设备、不同型号的设备，定义为一个统一的接口和协议，使得管理员可以是使用统一的外观面对这些需要管理的网络设备进行管理。通过网络，管理员可以管理位于不同物理空间的设备，从而大大提高网络管理的效率，简化网络管理员的工作。SNMPv1协议的主要特点

SNMP协议的第一个版本是SNMPv1，其设计目标是协议简单、易于实现SNMP服务在传输层采用UDP协议，在传输管理消息之前不需要预先建立连接SNMP系统采用轮询监控方式，管理器定时向代理发送请求，根据返回信息判断是否异常RFC1157文档定义SNMPv1协议标准

管理站与代理端通过MIB进行接口统一，MIB定义了设备中的被管理对象。管理站和代理都实现了相应的MIB对象，使得双方可以识别对方的数据，实现通信。管理站向代理申请MIB中定义的数据，代理识别后，将管理设备提供的相关状态或参数等数据转换为MIB定义的格式，应答给管理站，完成一次管理操作。已有的设备，只要新加一个SNMP模块就可以实现网络支持。旧的带扩展槽的设备，只要插入SNMP模块插卡即可支持网络管理。网络上的许多设备，入路由器、交换机等，都可以通过添加一个SNMP网管模块而增加网管功能。服务器可以通过运行一个【网管进程】实现。其他服务级的产品也可以通过网管模块实现网络管理，如Oracle、WebLogic都有SNMP进程，运行后就可以通过管理站对这些系统级服务进行管理。根据管理者和被管理的设备在网络管理操作中的不同职责，SNMP定义了3种角色。网络管理系统：又称管理站、NMS。是系统的控制台，向管理员提供界面以获取与改变设备的配置、信息、状态、操作等信息。管理站与Agent进行通信，执行相应的Set和Get操作，并接收代理发过来的警报(Trap)。代理：Agent是网络管理的代理人，负责管理站和设备SNMP操作的传递。介于管理站和设备之间，与管理站通信并相应管理站的请求，从设备获取相应的数据，或对设备进行相应的设置，来响应管理站的请求。代理也需要具有根据设备的相应状态使用MIB中定义的Trap向管理站发送报告的能力。代理服务器：Proxy是一种特殊的代理，在【不能】直接使用SNMP协议的地方，如：异种网络、不同版本的SNMP代理等情况，Proxy代替相关设备向管理站提供一种外观，为设备代理SNMP协议的实现。Proxy做了【异种网络】或【不同版本代理】和相应SNMP数据请求的转换工作。SNMP的简单术语SNMP：SimpleNetworkManagementProtocol(简单网络管理协议)。是一个标准的用于管理基于【IP】网络上设备的协议。MIB：ManagementInformationBase(管理信息库)。定义代理进程中所有可被查询和修改的参数。SMI：StructureofManagementInformation(管理信息结构)。SMI定义了SNMP中使用到的ASN.1类型、语法，并定义了SNMP中使用到的类型、宏、符号等。

SMI用于后续协议的描述和MIB的定义。每个版本的SNMP都可能定义自己的SMI。ASN.1：AbstractSyntaxNotationOne(抽象语法定义)。用于【定义语法】的正式语言，在SNMP中定义SNMP的协议数据单元PDU和管理对象MIB的格式。

SNMP只使用了ASN.1中的一部分，而且使用ASN.1的语言特性定义了一些自定义类型和类型宏，这些组成了SMI。PDU：ProtocolDataUnit(协议数据单元)。【它是网络中传送的数据包】。每一种SNMP操作，物理上都对应一个PDU。SNMP的相关术语NMS：NetworkManagementSystem，网络管理系统，又名网络管理站，简称“管理站”。它是SNMP的总控机，提供统一的用户界面【访问】支持SNMP的设备，一般提供UI界面，并有统计、分析等功能，是网管系统的总控制台。NMS是网络管理操作的发起者。Agent：是SNMP的访问代理，简称“代理”，为设备提供SNMP能力，负责设备与NMS的通信。Proxy：代理服务器。对实现【不同协议】的设备进行【协议转换】，使【非】IP协议的设备也能被管理。Trap：是由设备【主动】发出的报警数据，用于提示重要的状态的改变。BER：BasicEncodingRule,基本编码规格。描述如何将ASN.1类型的值编码为字符串的方法。它是ASN.1标准的一部分。BER编码将数据分成TLV三部分，T为Tag的缩写，是类型标识；L为Length的缩写，标识类型的长度；V为Value的缩写，标识数据内容。按照TLV的顺序对数据进行编码，生成【字节流】。SNMP使用BER将SNMP的操作【请求】和【应答】编码后进行传输，并用于接收端进行解码。SNMP协议的组成部分SNMP：定义网管体系结构与基本操作SMI：描述定义管理信息的数据类型MIB：定义管理信息的组织结构SNMP系统的基本结构

SNMP系统采用客户机/服务器模式

SNMP基于TCP/IP协议工作，对网络中支持SNMP协议的设备进行管理。所有支持SNMP协议的设备都提供SNMP这个统一界面，使得管理员可以使用统一的操作进行管理，而不必理会设备是什么类型、是哪个厂家生产的。SNMPv1的安全机制

SNMPv1提供一种简单的安全机制，通过团体（Community）来标识管理器与对应的代理每个团体都有一个唯一的团体名，它是未经过加密的明文信息（例如Public）团体中的管理器与代理之间通信时，所有SNMP请求与响应都使用该团体名SNMPv1的局限性需要专用的网管工作站，要求特定操作系统平台被管对象的值为标量，没采用面向对象表示方法采用轮询监控方式获得管理信息，只定义较少的由代理发送的告警消息只提供很简单的安全机制，适合于对网络进行监视而非控制告警操作没有提供确认机制，无法保证告警信息被管理器接收4.2SNMPv1的管理信息4.2.1SNMPv1的SMI定义

SMI定义表示管理信息的语法规则，包括数据类型、宏定义与模块定义等，需使用ASN.1语言描述为保证SNMP协议与管理信息的简单性，SMI只使用ASN.1数据类型的一个子集RFC1155定义SMIv1（第一版），RFC1212定义SMIv1的补充内容SMIv1的自定义类型

NetworkAddress：表示网络地址的数据类型IpAddress：表示IP地址的数据类型PhysAddress：表示物理地址的数据类型DisplayString：表示可打印字符串的数据类型Counter：表示循环计数器的数据类型Gauge：表示双向计数器的数据类型TimeTicks：表示计时器的数据类型管理信息的表示方式MIB定义了可以通过网络管理协议进行访问的管理对象的集合。第一组RFC定义的MIB成为MIB-I。接下来的RFC1213中又添加了新的对象，成为了正式的标准，称为MIB-II。MIB经常被当作管理对象的虚拟的数据库。MIB可以描述为一棵树，各个数据项构成了树的叶结点。每个MIB对象都有一个唯一的对象标识符（OID）来标识和命名，这个标识符取决于MIB对象在树中的位置，而对象的实例也有标识符，由对象类的对象标识符加上实例标识符构成的。SNMPMIB的对象标识符结构定义了三个主要分支：国际电报电话咨询委员会CCITT（现在的国际电信联盟的电信部门ITU-T）负责管理分支0国际标准化组织ISO负责管理分支1，CCITT和ISO联合机构管理分支2。Internet的MIB都在分支1，属于ISO.ORG.DOD.INTERNET子树1.directory

directory(1)子树保留用于OSI目录(X.500)。2.mgmt

mgmt(2)子树用于标记IAB文件中定义的管理信息库。目前有MIB-I和MIB-II两个版本。3.experimental

Experimental(3)子树定义用于存放Internet试验现象。4.private

Private(4)子树用于定义其他对象。4.2.2SNMPv1的MIB结构

MIB用于保存网络设备的管理信息，这些信息称为管理对象MIB可以分为2个版本：MIB-1（第一版）与MIB-2（第二版）RFC1156文档定义MIB-1，RFC1213文档定义MIB-2SNMP协议的几个版本都支持MIB-2MIB-2的基本结构

UDP组的基本结构UDP组提供网络设备的UDP协议相关信息System组的基本结构

System组提供网络设备的基本信息Interfaces组的基本结构

Interfaces组提供网络设备的接口信息IP组的基本结构IP组提供网络设备的IP协议相关信息

ipRouteTable表的基本结构ipRouteTable表提供网络设备的路由表信息

ICMP组的基本结构ICMP组提供网络设备的ICMP协议相关信息TCP组的基本结构TCP组提供网络设备的TCP协议相关信息

SNMP组的基本结构SNMP组提供网络设备的SNMP协议相关信息

4.3SNMPv1的基本操作4.3.1SNMPv1的PDU格式

SNMP消息分为2种类型：SNMP请求与SNMP响应IP、UDP、SNMP报文、SNMPPDU的关系，SNMP报文的结构PDU的可靠性

PDU和TSAP都是不可靠的协议，非面向连接。所以，SNMP的消息也是不可靠的，有可能丢失。SNMP本身不提供传送的保证，UDP数据丢失的处理机器需要由SNMP应用程序本身实现。RFC中没有提到如何判读SNMP是否丢失，但按照原来的TCP/IP协议特征可以做常识性的判断，比如GetRequest、GetNextRequest，如果没有在设定的时间内收到Agent的GetResponse应答包，就可以认为GetRequest、GetNextRequest丢失，可以尝试下一次请求，直至有结果或无应答放弃。对SetRequest而言，指行SetRequest以后，可以发送以个GetRequest查询是否set成功。由于单向的数据报，Trap没有应答，没有办法判断Trap是否成功第发送到目的地，要有NMS的主动轮询来检测。SNMPv1消息的基本结构

SNMPv1消息分为2部分：SNMP头部与PDU部分对普通SNMP消息与Trap消息，SNMP头部相同，PDU部分的结构不同

主要的PDU类型

PDU类型值用途GetRequest0管理站请求获得代理中当前对象值GetNextRequest1管理站请求获得代理中当前对象的下一个对象值SetRequest2管理站请求修改代理中当前对象值GetResponse3代理对上述三种请求的响应Trap4代理主动发送给管理站的告警信息GetRequest

管理站向Agent发起【读】的操作，读取管理对象的值，以获得设备或网络的运行数据以及配置信息等，从而进行规划网络管理。SNMP【不支持】一次读取一张表或表中的一行。但是，当需要读取多个数据的时候，GetRequest支持一次提交多个对象标识(OID),以便一次获取他们的值，提高带宽利用率。GetNextRequest

对一个OID进行GetNextRequest操作，将收到下一个可读取对象的实例标识。执行GetNextRequest遍历表时，是【先列后行】。也就是：先把第一列中所有行的数据读取完以后，再读取下一列所有行。显然，这种方法浪费了带宽。更GetRequest一样，GetNextRequest也可以同时绑定多个OID或实例标识在PDU里，以提高效率。在绑定多个OID的情况下，相应的GetNextResponsePDU同样会返回每一个OID下一个可用实例标识符或相应错误。SetRequestSet操作来对网络中的设备的一些参数、配置、状态进行重新配置。Set操作可以对MIB中权限为【write-only】、【read-write】、的对象进行set操作。SNMP并没有【直接】提供操作远程设备的功能。但是，通过SetRequest操作【间接】第实现这一功能。设备通过MIB定义一个操作的对象，类型为write-only或read-write，约定操作取值，NMS可以对这个对象进行设置，设备以自己的方式得知对象值改变后，可以按照对象值的含义执行操作，从而实现远程控制。Set操作也允许一次提供几个set的对象和值，以在一个PDU中操作多个对象。Set操作的成功应答包中包含设置的对象的最新取值，也就是请求中的值。GetResponseGetResponse对get、set和getNext进行应答，由Agent【被动】地产生并发出。到操作成功执行后，GetResponsePDU里包含操作中请求操作的对象OID和相应的值。对应失败的操作，GetResponse需要在PDU里标注相应的错误代码。GetResponse对请求数据包中的request-id域不进行操作，原值返回，使请求端能将应答包和请求包准确匹配，同时也可以作为请求和接收方校验重复数据包的依据。操作成功时，error-status值为noErrors，error-index为0.variablebindings中变量的value域填上相应值。操作失败时，error-index为相应的错误代码，如果错误由variablebingdings组中某个对象引起，则error-index为该对象在variablebingdings中的索引。Trap

SNMP的前三种操作在工作时都是由NMS主动发起。Trap是由代理主动发出的警报，向管理站通报设备的重要改变。RFC1157中定义了6中常见类型的Trap，用于常见网络状态的告警。另外，提供了一种自定义的报警类型，用于SNMP的实现者定义和发送自己的Trap。由于SNMP是使用UDP，当有数据包存在丢失的情况下，发送方的Agent不知道Trap是否发送到NMS，管理站也不知道Agent是否发出过Trap。另外，Trap一般是由重要的状态引起的，某些情况下，系统发生了灾