课件-SNMP协议介绍.ppt

1、SNMP协议介绍,深圳国人通信有限公司 无线接入项目组 薛绍文,第一部分,学习前提,2,学习目标,讲师介绍,无线接入项目组 薛绍文 从2000年开始，一直从事网络管理、数据通信、WLAN方面的研究开发，方案设计、技术支持方面的工作。,学习前提,了解TCP/IP协议族,2,了解网络的基础知识,学习目标,掌握SNMP协议的构架和原理,2,掌握SNMP应用的方式,掌握国人GRNMS网管系统,内容,SNMP协议,2,国人GRNMS网管系统介绍,3,网络管理目标,用户通过网络管理，用户可以看到并管理网络中的一切：清楚的了解网络运行的状态、网络性能好坏、网络故障的发生和定位；让设备智能起来；及时部署网络策

2、略，抵御黑客等等。通过网管平台这扇触摸屏，让客户的网络变得亲近，透明，可触摸，可感知，可管理。这就是网络管理的目标,网管系统层次,网管系统按照层次分，可分为网元层、网元管理层、网络管理层和服务管理层，其核心是处于网络管理层的各网络管理模块和处于网元管理层的业务管理模块。如图所示： 。,网管系统层次,SNMP协议概述,简单网络管理协议（SNMP）是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月，RFC 1157定义了SNMP（simple network management protocol）的第一个版本SNMPv1。RFC 1157和另一个关于管理信息的文件RFC 1155

3、一起，提供了一种监控和管理计算机网络的系统方法。因此，SNMP得到了广泛应用，并成为网络管理的事实上的标准 。这个时期的SNMP被称为SNMPV1.,SNMP协议概述,SNMPV1在90年代初得到了迅猛发展，同时也暴露出了明显的不足，如：难以实现大量的数据传输，缺少身份验证（Authentication）和加密（Privacy）机制。因此，1993年发布了SNMPv2，具有以下特点： 支持分布式网络管理 扩展了数据类型 可以实现大量数据的同时传输，提高了效率和性能 丰富了故障处理能力 增加了集合处理功能 加强了数据定义语言；,SNMP协议概述,SNMPv2并没有完全实现预期的目标，尤其是安全性

4、能没有得到提高，如：身份验证、加密、授权和访问控制、适当的远程安全配置和管理能力等都没有实现。1996年发布的SNMPv2c是 SNMPv2的修改版本，功能增强了，但是安全性能仍没有得到改善，继续使用SNMPv1的基于明文密钥的身份验证方式。 目前使用最广泛的的就是SNMPV2C版本。,SNMP协议概述,为了弥补SNMPV2C版本的缺陷，IETF SNMPv3工作组于1998年元月提出了互联网建议RFC 2271-2275，正式形成SNMPv3。这一系列文件定义了包含SNMPv1、SNMPv2所有功能在内的体系框架和包含验证服务和加密服务在内的全新的安全机制，同时还规定了一套专门的网络安全和访

5、问控制规则。可以说，SNMPv3是在SNMPv2基础之上增加了安全和管理机制。 但是SNMPV3实现起来比较复杂，对设备性能要求比较高，所以目前很多设备不支持。,SNMP协议介绍,SNMP最重要的思想就是要尽可能简单，以便缩短研制周期。SNMP的基本功能包括监视网络性能、检测分析网络差错和配置网络设备等。在网络正常工作时，SNMP可实现统计、配置和测试等功能。当网络出故障时，可实现各种差错检测和恢复功能。虽然SNMP是在TCP/IP基础上的网络管理协议，但也可扩展到其他类型的网络设备上 。,SNMP系统结构,使用SNMP系统的典型配置。整个系统必须有一个管理站（management stati

6、on），它实际上是网控中心。在管理站内运行管理进程。在每个被管对象中一定要有代理进程。管理进程和代理继承利用SNMP报文进行通信，而SNMP报文使用UDP来传送的，通常采用161和162端口。结构如下图：,SNMP系统结构,SNMP委托代理,有时网络管理协议无法控制某些网络元素，例如该网络元素使用的是另一种网络管理协议。这是可使用委托代理（proxy Agent）。委托代理能提供如协议转换和过滤操作的汇集功能。然后委托代理来对管理对象进行管理。,SNMP委托代理,SNMP协议结构,SNMP协议的网络管理由三部分组成： SNMP协议栈本身 管理信息结构SMI 管理信息库MIB,SNMP协议,SN

7、MPV1 规定了5种协议数据单元PDU（也就是SNMP报文），用来在管理进程和代理之间的交换。 get-request操作：从代理进程处提取一个或多个参数值 get-next-request操作：从代理进程处提取紧跟当前参数值的下一个参数值 set-request操作：设置代理进程的一个或多个参数值 get-response操作：返回的一个或多个参数值。这个操作是由代理进程发出的，它是前面三种操作的响应操作。 trap操作：代理进程主动发出的报文，通知管理进程有某些事情发生。,在代理进程端是用熟知端口161接收get或set报文，而在管理进程端是用熟知端口162来接收trap报文,SNMP协议

8、,RFC 2271定义的SNMP体系结构，体现了模块化的设计思想，可以简单地实现功能的增加和修改。其特点： 适应性强：适用于多种操作环境，既可以管理最简单的网络，实现基本的管理功能，又能够提供强大的网络管理功能，满足复杂网络的管理需求。 扩充性好：可以根据需要增加模块。 SNMPV3 安全性好：具有多种安全处理模块。 SNMPV3 比较复杂，小型设备不容易实现。,SNMP 协议,SNMP主要有三个模块：信息处理和控制模块、本地处理模块和用户安全模块。 （1）信息处理和控制模块. 在RFC 2272中定义，它负责信息的产生和分析，并判断信息在传输过程中是否要经过代理服务器等。在信息产生过程中，该

9、模块接收来自调度器（Dispatcher）的PDU，然后由用户安全模块在信息头中加入安全参数。在分析接收的信息时，先由用户安全模块处理信息头中的安全参数，然后将解包后的PDU送给调度器处理。,SNMP 协议,2）本地处理模块 本地处理模块（Local Processing Model）的功能主要是进行访问控制、处理打包的数据和中断。访问控制是指通过设置代理的有关信息使不同的管理站的管理进程在访问代理时具有不同的权限，它在PDU这一级完成。常用的控制策略有两种：限定管理站可以向代理发出的命令或确定管理站可以访问代理的MIB的具体部分。访问控制的策略必须预先设定。SNMPv3通过使用带有不同参数的

10、原语使用来灵活地确定访问控制方式。,SNMP 协议,3）用户安全模块 与SNMPv1和SNMPv2相比，SNMPv3增加了三个新的安全机制：身份验证，加密和访问控制。其中，本地处理模块完成访问控制功能，而用户安全模块则提供身份验证和数据保密服务。身份验证是指代理（管理站）接到信息时首先必须确认信息是否来自有权的管理站（代理）并且信息在传输过程中未被改变的过程。实现这个功能要求管理站和代理必须共享同一密钥。管理站使用密钥计算验证码（它是信息的函数），然后将其加入信息中，而代理则使用同一密钥从接收的信息中提取出验证码，从而得到信息。加密的过程与身份验证类似，也需要管理站和代理共享同一密钥来实现信息

11、的加密和解密。,SNMP 协议,MIB库介绍,管理信息库MIB指明了网络元素所维持的变量（即能够被管理进程查询和设置的信息）。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域名系统DNS相似的树型结构，它的根在最上面，根没有名字。下图画的是管理信息库的一部分，它又称为对象命名（object naming tree），结构图如下：,MIB库结构图,顶级对象有三个，即ISO、ITU-T和这两个组织的联合体。在ISO的下面有4个结点，其中的一个（标号3）是被标识的组织。在其下面有一个美国国防部（Department of Defense）的子树（标号是6），再

12、下面就是Internet（标号是1）。在Internet结点下面的第二个结点是mgmt（管理），标号是2。再下面是管理信息库，原先的结点名是mib。1991年定义了新的版本MIB-II，故结点名现改为mib-2，其标识为.2.1，或Internet(1) .2.1。这种标识为对象标识符。,MIB库介绍,MIB的定义与具体的网络管理协议无关。厂商可以在产品（如路由器）中包含SNMP代理软件，并保证在定义新的MIB项目后该软件仍遵守标准。用户可以使用同一网络管理客户软件来管理具有不同版本的MIB的多个设备。 MIB中的对象.4.1，即enterprises（企业），其所

13、属结点数已超过3000。例如IBM为.4.1.2，Cisco为.4.1.9，Novell为.4.1.23等。深圳国人通信公司的MIB节点是.4.1.18603，2003年申请。这样各厂家就可以定义自己的产品的被管理对象名，使它能用SNMP进行管理。,MIB库介绍,MIB库中的节点，一类标量节点，一类表节点。 标量节点：一个MIB节点对应一个标量对象，通过表的节点的OID可取其对应的唯一值 表节点：一个MIB节点对应多个对象，也就是说一个表的节点下多个对象，需要通过表的索引取值。,MIB库例子,管理信息结构SMI,SMI提供了被管理对象和M

14、IB库更详细的规范和文档。简单说，就是撰写MIB库的语法。SMI规范了以下四个关键概念： 对象定义 (Object) 概念表 (Table) 通告定义（Trap) 信息模块 (Information),管理信息结构SMI,SMI中的对象定义用来描述被管理对象,采用ASN.1(抽象语法描述）描述。 SMI中定义了多个数据类型，例如：INTEGER、OCTER STRING（ 0或多个8 bit字节，BER编码，字符串不是以NULL结尾 ）、DisplayString、IpAddress、Counter （非负的整数，可从0递增到2324294976295）。达到最大值后归0 、Gauge 非负的

15、整数，取值范围为从0到4294976295(或增或减)。达到最大值后锁定直到复位。,TimeTicks（时间计数器，以0.01秒为单位递增）、SEQUENCE（这一数据类型与C程序设计语言中的“structure”类似。一个SEQUENCE包括0个或多个元素，每一个元素又是另一个ASN.1数据类型）、 SEQUENDE OF （这是一个向量的定义，其所有元素具有相同的类型。如果每一个元素都具有简单 的数据类型，例如是整数类型，那么我们就得到一个简单的向量，一个一维向量。SNMP在使用这个数据类型时，其向量中的每一个元素是一个SEQUENCE（结构）。因而可以将它看成为一个二维数组或表。）,GR

16、NMS系统介绍,GRNMS网络管理软件是一个适合于网络管理员和安全管理员的轻量级网络管理工具，操作方便，功能实用，能够帮助管理员快速了解当前的网络状况，诊断网络故障和减轻网络配置的工作量，发现网络安全隐患。同时软件采用开放的框架，具有较好的系统扩展能力，能够扩展多种设备类型和其他管理工具。,系统特点,跨平台支持，采用Java开发，能够支持Java所支持的所有操作系统平台，例如Windows,Linux， Solarous 等。 基于组件的管理平台，可以方便扩展对新设备的支持和新功能的开发，只需要简单的修改配置文件即可。升级只需要将扩展插件拷贝到相关目录下，系统就可以自动加载这些管理模块。 灵活

17、的部署能力，可以根据需要采用本地模式和C/S模式，适应不同的用户需求。,系统特点,可以方便管理、控制国人的WLAN设备，直观监测到WLAN设备的运行状态。 多种方式的告警支持，第一时间掌握网络状态。 多种设备的支持，不仅仅支持国人的AP、AC、网桥，同时支持各行中交换机、路由器、服务器等数据设备。,系统特点,本软件主要以下功能： 拓扑管理 资产管理 设备管理 网络监控 日志分析 告警管理,拓扑管理,用户可以通过统一的拓扑视图了解整个网络的结构、网络中的设备及其运行状况。 提供了自动拓扑发现、手工发现和手工编辑的三种管理设备的方法。 视图分为网络视图，监控视图。网络视图表示整个网络的物理拓扑视图

18、，可以采用自动拓扑发现自动生成网络拓扑。监控视图表示用户的业务应用拓扑，可以根据用户的具体情况建立对应的网络视图。可以自动从网络视图中取得，也可手动添加设备。,拓扑管理,生成网络视图的方法： 1）自动拓扑发现。自动发现网络设备节点和对网络结构的分析，可以自动识别路由交换机、交换机、路由器、服务器、SNMP的设备以及自定义的设备。网络拓扑图采用分层结构，包括：网络层：显示企业网络的路由结构，包括路由器，路由交换机及相关连接。网段层：显示一个网段内的二层设备，包括交换机、连接关系和连接端口。设备层：显示交换机所连接的设备，连接关系和连接端口。 2）手工发现。用户可以指定一个网段进行搜索，将会自动识

19、别设备，管理员发现的设备添加到指定的拓扑图中。 3）手工编辑。用户可以添加，删除和编辑单个设备，子图和网络连接。,资产管理,能够管理用户的网络资产，包括各类网络设备，系统设备，为用户提供分类，查询等功能，按照用户的需求对资产进行分类管理，记录资产的详细信息，为用户提供查询功能，可以方便的查询资产。 1）资产分类。可以按照标准分类自动对资产进行分类，便于用户管理，记录用户资产的详细信息，例如名称，类型，型号，基本描述，IP地址等。 2）资产发现。可以通过网络拓扑发现自动发现资产，方便用户；用户也可以采用手动发现，指定发现的范围，便于快速发现；用户也可以手工输入资产信息。 3）资产查询。提供了资产

20、查询工具，用户可以快速查询相关资产,设备管理,1）设备配置管理。对于交换机和路由器设备，可以自动生成可视化设备面板，显示每一个端口的状态和网络流量，包括MIB-II中Interfaces组的所有参数，对于支持标准MIB的设备还可以进行端口配置（开通端口和关闭端口），可以即时显示设备的接口表，路由表，ARP表，转发表等。可以从拓扑图上直接调用其他管理工具，例如Web浏览器、Telnet、Ping、TraceRoute、SSH等。,设备管理,2）设备管理器。采用列表方式列出当前的所有设备，方便用户对设备进行查询和管理，用户可以根据设备名称和设备类型对设备进行查询；用户可以将选择的添加到任何需要的视

21、图中。 3）MIB浏览器。提供了功能强大的MIB浏览器，对于某些支持SNMP的设备，可以直接操作其SNMP定义的属性。,网络监控,状态监控。可以对整个网络进行状态监控，并且以图形的方式显示当前设备的状态，如果探测到某个设备出现故障，将会触发告警，并且拓扑图上的对应设备显示为红色。 设备状态轮询采用可自定义的时间间隔和所使用的协议，用户可以根据网络的具体情况采用合适的时间间隔和所需协议，减少网络流量和提高监控效率，为了减少网络流量和合理配置，状态轮询只轮询用户指定的监控视图中的设备。 SNMP Trap监控。可以接受SNMP Trap，对Trap进行解析处理，在告警控制台中实时显示；用户可以自定

22、义厂商Trap告警。,网络监控,3）系统性能监控。用户可以对支持SNMP的设备进行数据采集和监控，包括系统性能数据，系统性能数据主要有：AP设备的CPU利用率、AP内存利用率、AP用户数等、用户也可以自定义需要监控的SNMP数据。可以设置采样间隔对数据进行采集，同时提供对实时数据的图表曲线显示，可以对历史数据生成日报表，周报表，月报表和年报表。可以对设置监控的数据设置上升阈值和下降阈值，当超过阈值将触发告警报警。,网络监控,4）网络流量监控。用户可以对支持SNMP的设备进行数据采集和监控，包括接口流量数据，接口流量包括网络接口流量，接口利用率；用户也可以自定义需要监控的SNMP数据，例如特定厂

23、商设备的一些网络接口数据等。可以设置采样间隔对数据进行采集，同时提供对实时数据的图表曲线显示，可以对历史数据生成日报表，周报表，月报表和年报表。可以对设置监控的数据设置上升阈值和下降阈值，当超过阈值将触发告警报警。,网络监控,5）应用服务监控。用户可以主机的各种服务进行监控，包括HTTP, SMTP, POP3, FTP, DNS, MS-SQL-Server, Oracle, Weblogic, Mysql等；用户可以自定义需要监控的应用服务，对于HTTP服务可以指定监控的URL。 可以设置采样间隔对这些应用服务进行监控，可以提供服务的响应时间和故障情况，提供对实时响应时间数据的图表曲线显示，可以对历史数据生成日报表，周报表，月报表和年报表。 可以对监控服务的响应时间设置告警阈值，当超过阈值将触发告警报警。,日志分析,可以接收和分析Syslog