SNMP网络管理体系结构分析
- 格式:doc
- 大小:525.00 KB
- 文档页数:74
下载文档原格式
合集下载
SNMP网络管理体系结构
SNMP网络管理体系结构CMIP网络管理体系结构对系统模型、信息模型和通信协议几个方面都提出了比较完备和理想的解决方案,为其他网络管理体系结构建立了理想参考标准。
SNMP网络管理体系结构是为了管理基于TCP/IP协议的网络而提出的,与TCP/IP协议与OSI协议的关系类似,SNMP与CMIP相比,突出的特点是简单。
这一特点使SNMP得到了广泛的支持和应用,特别是在Internet上的成功应用,使得它的重要性越来越突出,目前已经成为CMIP之外的最重要的网络管理体系结构。
1 SNMP体系结构1.1 TCP/IP网络管理的发展在TCP/IP的早期开发中,网络管理问题并未得到太大的重视。
直到70年代,还一直没有网络管理协议,只有互联网络控制信息协议(ICMP)可以作为网络管理的工具。
ICMP提供了从路由器或其它主机向主机传送控制信息的方法,可用于所有支持IP的设备。
从网络管理的观点来看,ICMP最有用的特性是回声(echo)和回声应答(echo reply)消息对。
这个消息对为测试实体间能否通信提供了一个机制。
echo消息要求其接收者在echo reply消息中返回接收到的内容。
另一个有用的消息对是时间戳(timestamp)和时间戳应答(timestamp reply),这个消息对为测试网络延迟特性提供了机制。
与各种IP头选项结合,这些ICMP消息可用来开发一些简单有效的管理工具。
典型的例子是广泛应用的分组互联网络探索(PING)程序。
利用ICMP加上另外的选项如请求间隔和一个请求的发送次数,PING能够完成多种功能。
包括确定一个物理网络设备能否寻址,验证一个网络能够寻址,和验证一个主机上的服务器操作。
PING在一些工具的配合下满足了TCP/IP网络初期的管理要求。
但是到了80年代后期,当互联网络的发展呈指数增加时,人们感到需要开发比PING功能更强并易于普通网络管理人员学习和使用的标准协议。
因为当网络中的主机数量上百万,独立网络数量上千的时候,已不能只依靠少数网络专家解决管理问题了。
SNMPv3协议
通告操作:SNMP管理器向其它管理器发送,需要 SNMP管理器返回响应的网管操作
告警操作:由SNMP代理主动向管理器发送,不需 要SNMP管理器返回响应的网管操作
6
SNMPv3的安全机制
数据认证 ✓ 防止SNMP消息在传输过程中被篡改,或SNMP消 息来自伪造的SNMP实体
数据加密 ✓ 防止SNMP消息在传输过程中被窃听
29
USM安全模型的基本结构
分配器 模块
消息处 理模块
SNMP引擎
安全模块
USM模型
其它模型
认证模块
其它模型
加密模块
……
时序模块
其它模型
30
SNMPv3消息的基本结构
SNMPv3消息分为4个部分:版本、全局头部、安全 参数与PDU部分
消息标识符 消息最大长度 标志 安全模型
上下文引擎标识符 上下文名 数据部分
安全模型
其它 安全模型
MIB库
访问控制模块 基于视图的
访问控制模型
其它访问 控制模型
网络接口 16
2.2 SNMPv3的服务接口
应用程序与SNMP引擎的分配器模块之间,以及 SNMP引擎中的不同模块之间,通过服务接口 (Service Interfere)进行通信
服务接口由多个事先定义好的原语组成。每个原 语包括固定的语法格式与数据元素,用于应用程 序与不同模块之间实现某种功能
SNMP引擎
安全模块 基于用户的
安全模型
其它 安全模型
网络接口 15
SNMPv3代理的基本结构
命令接收器
通告生成器
代理转发器 应用程序
SNMP代理
分配器模块 PDU分配器
消息分配器
告警操作:由SNMP代理主动向管理器发送,不需 要SNMP管理器返回响应的网管操作
6
SNMPv3的安全机制
数据认证 ✓ 防止SNMP消息在传输过程中被篡改,或SNMP消 息来自伪造的SNMP实体
数据加密 ✓ 防止SNMP消息在传输过程中被窃听
29
USM安全模型的基本结构
分配器 模块
消息处 理模块
SNMP引擎
安全模块
USM模型
其它模型
认证模块
其它模型
加密模块
……
时序模块
其它模型
30
SNMPv3消息的基本结构
SNMPv3消息分为4个部分:版本、全局头部、安全 参数与PDU部分
消息标识符 消息最大长度 标志 安全模型
上下文引擎标识符 上下文名 数据部分
安全模型
其它 安全模型
MIB库
访问控制模块 基于视图的
访问控制模型
其它访问 控制模型
网络接口 16
2.2 SNMPv3的服务接口
应用程序与SNMP引擎的分配器模块之间,以及 SNMP引擎中的不同模块之间,通过服务接口 (Service Interfere)进行通信
服务接口由多个事先定义好的原语组成。每个原 语包括固定的语法格式与数据元素,用于应用程 序与不同模块之间实现某种功能
SNMP引擎
安全模块 基于用户的
安全模型
其它 安全模型
网络接口 15
SNMPv3代理的基本结构
命令接收器
通告生成器
代理转发器 应用程序
SNMP代理
分配器模块 PDU分配器
消息分配器
第2章管理信息库MIB-2
2. IpAddress::=[APPLICATION 0] IMPLICIT OCTET STRING(SIZE(4))
32位的IP地址,定义为OCTET STRING类型。
第2章管理信息库MIB-2
3.Counter::= [APPLICATION 1] IMPLICIT INTRGER(0..4 294 967 295)
在Internet中,对网络、设备和主机的管理叫做网 络管理,网络管理信息存储在管理信息库MIB中
第2章管理信息库MIB-2
SNMP的配置框架
第2章管理信息库MIB-2
SNMP由两部分组成:一部分是管理信息库结构的 定义,另一部分是访问管理信息库的协议规范。
第2章管理信息库MIB-2
Internet最初的网络管理框架由四个文件定义
计数器类型是一个非负整数,其值可增加,但不能减少, 达到最大值232-1后回零,再从头开始增加,如图2.12 (a)所示。计数器可用于计算接收到的分组数或字节 数等。
4.Gauge::= [APPLICATION 2] INTEGER(0..4 294 967 295)
计量器类型是一个非负整数,其值可增加,也可减少。 计量器的最大值也是232-1。与计数器不同的地方是计 量器达到最大值后不回零,而是锁定在232-1。如图 2.12(b)所示。计量器可用于表示存储在缓冲队列中 的分组数。
1)表示管理和控制关系 2)提供了结构化的信息组织技术 3)提供了对象命名机制
第2章管理信息库MIB-2
2.2.1 MIB中的数据类型
抽象语法表示ASN.1(Abstract Syntax Notation Number One)是一种形式语言,它提供了统一的 网络数据表示,用于定义应用数据的抽象语法和应 用层协议数据单元的结构
32位的IP地址,定义为OCTET STRING类型。
第2章管理信息库MIB-2
3.Counter::= [APPLICATION 1] IMPLICIT INTRGER(0..4 294 967 295)
在Internet中,对网络、设备和主机的管理叫做网 络管理,网络管理信息存储在管理信息库MIB中
第2章管理信息库MIB-2
SNMP的配置框架
第2章管理信息库MIB-2
SNMP由两部分组成:一部分是管理信息库结构的 定义,另一部分是访问管理信息库的协议规范。
第2章管理信息库MIB-2
Internet最初的网络管理框架由四个文件定义
计数器类型是一个非负整数,其值可增加,但不能减少, 达到最大值232-1后回零,再从头开始增加,如图2.12 (a)所示。计数器可用于计算接收到的分组数或字节 数等。
4.Gauge::= [APPLICATION 2] INTEGER(0..4 294 967 295)
计量器类型是一个非负整数,其值可增加,也可减少。 计量器的最大值也是232-1。与计数器不同的地方是计 量器达到最大值后不回零,而是锁定在232-1。如图 2.12(b)所示。计量器可用于表示存储在缓冲队列中 的分组数。
1)表示管理和控制关系 2)提供了结构化的信息组织技术 3)提供了对象命名机制
第2章管理信息库MIB-2
2.2.1 MIB中的数据类型
抽象语法表示ASN.1(Abstract Syntax Notation Number One)是一种形式语言,它提供了统一的 网络数据表示,用于定义应用数据的抽象语法和应 用层协议数据单元的结构
网络管理系统及SNMP协议PPT课件
敏感信息泄露
攻击者可利用SNMP协议漏洞,获取网络设 备的敏感信息,如设备型号、软件版本等。
SNMP的安全防护措施
启用SNMPv3
使用SNMPv3协议代替SNMPv1/v2c, 提供更强大的安全性保障。
使用加密和认证
启用SNMPv3的加密和认证功能,确 保消息的机密性和完整性。
配置访问控制列表
通过配置访问控制列表,限制可访问 网络设备的IP地址和端口号,防止未 经授权的访问。
流量控制
SNMP协议可以监控网络流量, 帮助管理员合理分配网络带宽, 保证关键业务的正常运行。
SNMP在物联网中的应用
设备远程管理
物联网设备数量庞大且分布广泛,通过SNMP协议可以实 现对设备的远程管理和监控,降低维护成本。
01
数据采集与分析
SNMP协议可以采集物联网设备的各种 数据,进行数据分析,为决策提供支持。
详细描述
网络管理系统(NMS)是一种用于监 控、配置和管理网络设备的软件系统, 它提供了对网络设备进行远程管理和 控制的能力,帮助管理员维护网络的 稳定性和性能。
网络管理系统的功能
总结词
网络管理系统具有设备管理、故障管理、性能管理、 配置管理和安全管理等功能。
详细描述
网络管理系统具有多种功能,包括设备管理、故障管 理、性能管理、配置管理和安全管理等。设备管理功 能用于发现、监视和控制网络设备;故障管理功能用 于检测、定位和恢复网络故障;性能管理功能用于监 控网络设备的性能指标,确保网络的正常运行;配置 管理功能用于远程配置和管理网络设备的参数;安全 管理功能则用于保护网络设备和网络管理系统免受攻 击和非法访问。
ห้องสมุดไป่ตู้
网络管理系统的应用场景
攻击者可利用SNMP协议漏洞,获取网络设 备的敏感信息,如设备型号、软件版本等。
SNMP的安全防护措施
启用SNMPv3
使用SNMPv3协议代替SNMPv1/v2c, 提供更强大的安全性保障。
使用加密和认证
启用SNMPv3的加密和认证功能,确 保消息的机密性和完整性。
配置访问控制列表
通过配置访问控制列表,限制可访问 网络设备的IP地址和端口号,防止未 经授权的访问。
流量控制
SNMP协议可以监控网络流量, 帮助管理员合理分配网络带宽, 保证关键业务的正常运行。
SNMP在物联网中的应用
设备远程管理
物联网设备数量庞大且分布广泛,通过SNMP协议可以实 现对设备的远程管理和监控,降低维护成本。
01
数据采集与分析
SNMP协议可以采集物联网设备的各种 数据,进行数据分析,为决策提供支持。
详细描述
网络管理系统(NMS)是一种用于监 控、配置和管理网络设备的软件系统, 它提供了对网络设备进行远程管理和 控制的能力,帮助管理员维护网络的 稳定性和性能。
网络管理系统的功能
总结词
网络管理系统具有设备管理、故障管理、性能管理、 配置管理和安全管理等功能。
详细描述
网络管理系统具有多种功能,包括设备管理、故障管 理、性能管理、配置管理和安全管理等。设备管理功 能用于发现、监视和控制网络设备;故障管理功能用 于检测、定位和恢复网络故障;性能管理功能用于监 控网络设备的性能指标,确保网络的正常运行;配置 管理功能用于远程配置和管理网络设备的参数;安全 管理功能则用于保护网络设备和网络管理系统免受攻 击和非法访问。
ห้องสมุดไป่ตู้
网络管理系统的应用场景
SNMP详解
名词解释SNMP的来由SNMP二十世纪70年代末、80年代初的时候,计算机网络由最初的只是小范围内的几台计算机相互连接逐步发展成大规模的网络。
随着网络跳跃式的发展,对网络进行的监控和维护等管理操作也变得更加困难,从而对开发出能够满足网络管理需要的协议提出了迫切要求。
第一个开始使用的网络管理协议就是SNMP。
当时,人们只是把SNMP当作一种应急措施,等到日后有更加成功,更加成熟的新协议出现时将会被自然淘汰。
然而,虽然不断有新的协议推出,但是SNMP凭借其结构简单,使用方便的特点一直到今天仍然被广泛使用。
SNMP协议的工作机制非常简单,主要通过各种不同类型的消息,即PDU(协议数据单位)实现网络信息的交换。
PDU实际上就是一种变量对象,其中每一个变量都是由标题和变量值两部分组成。
SNMP主要使用5种类型的PDU对网络实施监控,两种用于读取终端信息,两种可以设置终端数据,最后一种被用来监视各种终端事件,如终端的启动和关闭等。
这样,如果用户希望了解是否某一台终端已经被接入到网络,可以使用SNMP向该终端发送一个具有信息读取功能的PDU。
如果终端已经被连接到网络,用户将会得到返回的确认信息。
当有终端被关闭时,可以通过事件变量(trap)发出数据包,通知用户终端系统已经被关闭。
SNMP协议的优势SNMP协议的最大优势就是设计简单,既不需要复杂的实现过程,也不会占用太多的网络资源,非常便于使用。
一般来说,SNMP协议所使用的各种变量主要包含以下信息:1.变量标题;2.变量数据类型,如整数,字串等;3.变量是否具有信息读取或读写功能;4.变量值SNMP协议的另外一个优势就是使用非常广泛,几乎所有的网络管理人员都喜欢使用简单的SNMP来完成工作操作。
这就促使各大网络硬件产品商在设计和生产网桥、路由器等网络设备时都加入了对SNMP 协议的支持。
良好的可扩展性是SNMP协议的另外一个可取之处。
因为协议本身非常简单,所以对协议的任何升级或扩展也非常方便,从而能够满足今后网络的发展需求。
第4章SNMP网络管理模型
4 SNMP二级体系结构三级体系结构多Manager体系结构多Manager体系结构代理配备了Agent 实体的各类设备,如主机、网桥、路通过Get, Set and Trap 等在管理系统和对象间传递View 是允许管理站访问的一个MIB 子集。
MDB 是被管对象值的集合,是实际数据库管理站作为与管理员的接口,由专用设备构成,配置M 实体和一组管理应用程序。
网 络 管 理 — — 第 4 章 SNMP 网 络 管 理 模 型SNMP的协议基本原语GetRequest: 用于请求提取网管信息; GetNextRequest : 请求读取所有管理信息; SetRequest: 请求修改或设置管理信息; GetResponse: 对各种读取和修改管理信息的请求进行应答; Trap: 主动向管理站报告代理系统中发生的事件。
12网 络 管 理 — — 第 4 章 SNMP 网 络 管 理 模 型(3)陷阱引导的轮询初始化时,Manager轮询所有的Agent,读取关键 信息(如接口特性、作为基准的一些性能统计值即发 送和接收的分组的平均数) 。
一旦建立了基准,Manager将降低轮询频度。
而由 每个Agent通过Trap消息报告异常事件。
Manager一旦发现异常情况,可直接轮询报告事件 的Agent,对事件进行诊断或获取关于异常情况的 更多的信息。
13网 络 管 理 — — 第 4 章 SNMP 网 络 管 理 模 型4.2.2 三级组织模型代管体系结构14网 络 管 理 — — 第 4 章 SNMP 网 络 管 理 模 型RMON体系结构 管理者通过 RMON Probe 访问MO RMON Probe 对原始收据进 行预处理15网 络 管 理 — — 第 4 章 SNMP 网 络 管 理 模 型4.2.3 多Manager体系结构 当一个SNMP Agent 面向多个管理站 服务时,便构成了多Mannager体系 结构。
SNMP介绍及命令
乎所有运行 SNMP 的网络设备上,都可以找到某种形式的默认通信字符串。 SNMP 2.0 和 SNMP 1.0 的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦 捕获了网络通信,就可以利用各种嗅探工具直接获取通信字符串,即使用户改变了通信字符串的默认值也无济于事。 近几年才出现的 SNMP 3.0 解决了一部分问题。为保护通信字符串,SNMP 3.0 使用 DES ( Data Encryption Standard)算法加密数据通信;另外,SNMP 3.0 还能够用 MD5 和 SHA(Secure Hash Algorithm)技术验证节 点的标识符,从而防止攻击者冒充管理节点的身份操作网络。 虽然 SNMP 3.0 出现已经有一段时间了,但目前还没有广泛应用。如果设备是 2 、3 年前的产品,很可能根本不支持 SNMP 3.0;甚至有些较新的设备也只有 SNMP 2.0 或 SNMP 1.0 。 即使设备已经支持 SNMP 3.0,许多厂商使用的还是标准的通信字符串,这些字符串对黑客组织来说根本不是秘密。因 此,虽然 SNMP 3.0 比以前的版本提供了更多的安全特性,如果配置不当,其实际效果仍旧有限。 四、禁用 SNMP 要避免 SNMP 服务带来的安全风险,最彻底的办法是禁用 SNMP 。如果你没有用 SNMP 来管理网络,那就没有必要运 行它;如果你不清楚是否有必要运行 SNMP,很可能实际上不需要。即使你打算以后使用 SNMP,只要现在没有用, 也应该先禁用 SNMP,直到确实需要使用 SNMP 时才启用它。 下面列出了如何在常见的平台上禁用 SNMP 服务。 ■ Windows XP 和 Windows 2000 在 XP 和 Win 2K 中,右击 “我的电脑”,选择“管理”。展开“服务和应用程序 ”、“服务”,从服务的清单中选择 SNMP 服 务,停止该服务。然后打开服务的“ 属性”对话框,将启动类型该为“禁用”(按照微软的默认设置, Win 2K/XP 默认不 安装 SNMP 服务,但许多软件会自动安装该服务)。 ■ Windows NT 4.0 选择“开始 ”→“设置”,打开服务设置程序,在服务清单中选择 SNMP 服务,停止该服务,然后将它的启动类型该为禁 用。 ■ Windows 9x 打开控制面板的网络设置程序,在“ 配置”页中,从已安装的组件清单中选择“Microsoft SNMP 代理”,点击“ 删除”。检 查 HKEY_LOCAL_MACHINE"SOFTWARE"Microsoft"Windows" CurrentVersion"RunServices 和 HKEY_LOCAL_MACHINE" SOFTWARE"Microsoft"Windows"CurrentVersion"Run 注册键,确认不存在 snmp.exe 。 ■ Cisco Systems 硬件
对SNMP网络管理体系结构的研究及改进
v lpig ,ih sd cd dtesrieq ai a df c o ihC l b rvd d b e ok drcl.T i o yo ep p rh sb e ay e eo n t a e ie h evc u  ̄ n l un t nwhc al ep o ie yn t r i t i w e y heman b d ft a e a e na l sd h n
Jn 20 u .0 7
对 SM N P网络管理体 系结构的研究及 改进
胡 庆 龙
( 湖南工业职业技 术学院 ,湖南 长沙 40 0 ) 1 8 2
[ 摘
要 ] 现代网络管理技术已成为网络技术应用和发展的关 键技术,它直接决定了网络所能提供的服务质量及功能。本文剖析
了当今应 用最广泛的 S M N P网络管理模型 ,分析 了S M N P的 固有缺点 ,提 出了改进的 S M N P管理体 系结构。
、
SM N P网络管理体 系结构剖析
根据 O P 开放 分布 式处理 , p nDs b t r es g D( O e ir u dPo si ) t e i c n 关于 网络管理 体系结 构的描述 , 网络管理体系结构指用于定义
网络管理系统 的结构及 系统成 员 间相互 关系 的一套规则 。随
维普资讯
第 7卷第 2期
20 0 7年 6月
湖 南 工 业 职 业 技 术 学 院 学 报
J NA OF II A 玎 U T O Y E IN C OI I I N S RY P L T C I I
V0. o 】 7 NO 2
网络管 理是指规划 、 督 、 监 控制 网络资源 的使用和 网络 的 各种活动 , 以使 网络 的性 能达到最 优 , 即对计算 机及 网络 设备 的软硬件 配置 、 运行状态和计费等所从事的全部操作和维护性 活动。由于现在网络拓扑结构越来越复 杂 , 网络 中设备不断更 新换代 , 联网技术不断提高 , 使得 网络管理 体系 结构显得很 重 要 。但是无论 网络 的设备 、 技术 和拓 扑结构如何 变化 , 最基本 的管理模 型应该是处 于基本稳定状态 的, 不应 当在网络 资源或 结构发生改 时, 就重新 设计网络 管理 结构 , 这种方法不可取 , 也 是不现实的 。因此研究网络管理体系结构具有重要的意义。
Jn 20 u .0 7
对 SM N P网络管理体 系结构的研究及 改进
胡 庆 龙
( 湖南工业职业技 术学院 ,湖南 长沙 40 0 ) 1 8 2
[ 摘
要 ] 现代网络管理技术已成为网络技术应用和发展的关 键技术,它直接决定了网络所能提供的服务质量及功能。本文剖析
了当今应 用最广泛的 S M N P网络管理模型 ,分析 了S M N P的 固有缺点 ,提 出了改进的 S M N P管理体 系结构。
、
SM N P网络管理体 系结构剖析
根据 O P 开放 分布 式处理 , p nDs b t r es g D( O e ir u dPo si ) t e i c n 关于 网络管理 体系结 构的描述 , 网络管理体系结构指用于定义
网络管理系统 的结构及 系统成 员 间相互 关系 的一套规则 。随
维普资讯
第 7卷第 2期
20 0 7年 6月
湖 南 工 业 职 业 技 术 学 院 学 报
J NA OF II A 玎 U T O Y E IN C OI I I N S RY P L T C I I
V0. o 】 7 NO 2
网络管 理是指规划 、 督 、 监 控制 网络资源 的使用和 网络 的 各种活动 , 以使 网络 的性 能达到最 优 , 即对计算 机及 网络 设备 的软硬件 配置 、 运行状态和计费等所从事的全部操作和维护性 活动。由于现在网络拓扑结构越来越复 杂 , 网络 中设备不断更 新换代 , 联网技术不断提高 , 使得 网络管理 体系 结构显得很 重 要 。但是无论 网络 的设备 、 技术 和拓 扑结构如何 变化 , 最基本 的管理模 型应该是处 于基本稳定状态 的, 不应 当在网络 资源或 结构发生改 时, 就重新 设计网络 管理 结构 , 这种方法不可取 , 也 是不现实的 。因此研究网络管理体系结构具有重要的意义。
网络管理与监控:SNMP、NMS与自动化运维
NMS在网络管理中的应用与价值
NMS在网络管理中的应用
• 网络设备的集中管理:NMS系统可以集中管理网络中的各种设备,提高网络管理的效率 • 网络性能的实时监控:NMS系统可以实时监控网络性能,帮助管理员了解网络运行状况 • 网络故障的自动处理:NMS系统可以实现网络故障的自动处理,提高网络可用性
谢谢观看
THANK YOU FOR WATCHING
Docs
人工智能在网络管理与监控中的应用
• 设备故障预测:通过机器学习技术,实现设备故障的预测,提前发现问题 • 网络性能优化:通过人工智能技术,实现网络性能的自动优化,提高网络性能 • 安全威胁检测:通过人工智能技术,实现网络安全威胁的自动检测,提高网络安全防护能力
云计算与边缘计算对网络管理与监控的影响
NMS的核心功能与特点
NMS的核心功能
• 设备管理:包括设备的发现、配置、监控和故障管理等功能 • 性能管理:包括网络性能的监测、分析和优化等功能 • 安全管理:包括网络安全的策略制定、监控和报警等功能
NMS的特点
• 标准化:NMS系统遵循SNMP协议,实现了设备管理的标准化 • 自动化:NMS系统可以实现网络管理的自动化,减少人工干预 • 综合性:NMS系统可以管理多种网络设备,实现了网络管理的综合性
SNMP的体系结构与工作原理
SNMP的工作原理
• 管理站向代理发送管理请求(GET、SET、GETNEXT等命令) • 代理接收管理站的请求,执行相应操作,并向管理站返回结果 • 管理站根据返回的结果,进行相应的处理,如显示设备参数、告警等
SNMP的体系结构包括管理站、代理和管理信息库三个部分
• 管理站:用于发送管理命令、接收代理返回的信息,实现网络管理的功能 • 代理:用于接收管理站的命令,执行相应操作,并向管理站返回结果 • 管理信息库:用于存储网络设备的管理信息,包括设备参数、性能数据等
SNMPv1 , SNMPv2 ,SNMPv3 ,RMON网络管理
MIB保存被管理设备 的相关管理信息,是 虚拟的数据库。MIB View是允许管理站访 问的一个MIB子集。
4章 SNMP 网 络 管 MDB是被 理 管对象值的 模 集合,是实 型 际数据库 通过Get, Set and Trap等在管理系 统和对象间传递 及解释管理信息 代理配备了Agent 实体的各类设备, 如主机、网桥、路 由器、集线器等
基本体系结构小结
关键元素(4个):
管理站、代理、MIB和通信协议SNMP
基本体系结构: SNMP
SNMP采用一个管理站、多个代理 的集中式体系机构。SNMP采取陷阱 引导轮询技术对管理信息进行访问
17
网 络 管 理 — 第 4章 SNMP 网 络 管 理 模 型
4.3 SNMP 管理信息模型 管理信息结构
与各种IP 头选项 结合可开发有效 的管理工具。
SNMP确定物理设备
能否寻址,验 证一个网络能 够寻址,验证 主机上的服务 器操作。
标 志 着 TCP/IP 有了专门的管 理工具
3
网 络 管 理 — 第 4章
SNMP的发展历史(续)
SNMPv2: 1992年7月,提出一个SNMP新版本SMP, 被接受为定义SNMPv2的基础。 1993年安全版SNMPv2发布。 几年试用后,IETF决定对SNMPv2进行修
12
网 络 管 理 — 第 4章
(3)陷阱引导的轮询
初始化时,Manager轮询所有的Agent,读取关键 信息(如接口特性、作为基准的一些性能统计值即发
送和接收的分组的平均数) 。
SNMP一旦建立了基准,Manager将降低轮询频度。而由 每个Agent通过Trap消息报告异常事件。 网 络 Manager一旦发现异常情况,可直接轮询报告事件 管 理 的Agent,对事件进行诊断或获取关于异常情况的 模 型 更多的信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第4章 SNMP网络治理体系结构CMIP网络治理体系结构对系统模型、信息模型和通信协议几个方面都提出了比较完备和理想的解决方案,为其他网络治理体系结构建立了理想参考标准。
SNMP网络治理体系结构是为了治理基于TCP/IP协议的网络而提出的,与TCP/IP协议与OSI协议的关系类似,SNMP与CMIP相比,突出的特点是简单。
这一特点使SNMP得到了广泛的支持和应用,特不是在Internet 上的成功应用,使得它的重要性越来越突出,目前差不多成为CMIP之外的最重要的网络治理体系结构。
4.1 SNMP体系结构4.1.1 TCP/IP网络治理的进展在TCP/IP的早期开发中,网络治理问题并未得到太大的重视。
直到70年代,还一直没有网络治理协议,只有互联网络操纵信息协议(ICMP)能够作为网络治理的工具。
ICMP提供了从路由器或其它主机向主机传送操纵信息的方法,可用于所有支持IP的设备。
从网络治理的观点来看,ICMP最有用的特性是回声(echo)和回声应答(echo reply)消息对。
那个消息对为测试实体间能否通信提供了一个机制。
echo消息要求其接收者在echo reply消息中返回接收到的内容。
另一个有用的消息对是时刻戳(timestamp)和时刻戳应答(timestamp reply),那个消息对为测试网络延迟特性提供了机制。
与各种IP头选项结合,这些ICMP消息可用来开发一些简单有效的治理工具。
典型的例子是广泛应用的分组互联网络探究(PING)程序。
利用ICMP 加上另外的选项如请求间隔和一个请求的发送次数,PING能够完成多种功能。
包括确定一个物理网络设备能否寻址,验证一个网络能够寻址,和验证一个主机上的服务器操作。
PING在一些工具的配合下满足了TCP/IP网络初期的治理要求。
然而到了80年代后期,当互联网络的进展呈指数增加时,人们感到需要开发比PING 功能更强并易于一般网络治理人员学习和使用的标准协议。
因为当网络中的主机数量上百万,独立网络数量上千的时候,已不能只依靠少数网络专家解决治理问题了。
1987年11月公布了简单网关监控协议(SGMP),成为提供专用网络治理工具的起点。
SGMP提供了一个直接监控网关的方法。
随着对通用网络治理工具需求的增长,出现了3个有阻碍的方法。
1.高层实体治理系统(HEMS):主机监控协议(HMP)的一般化。
2.简单网络治理协议(SNMP):SGMP的升级版。
3.TCP/IP上的CMIP(CMOT):最大限度地与OSI标准的CMIP、服务以及数据库结构保持一致。
1988年,互联网络活动会议(IAB)确定了将SNMP作为近期解决方案进一步开发,而把CMOT作为远期解决方案的策略。
当时普遍认为:TCP/IP不久将会过渡到OSI,因而不应在TCP/IP的应用层协议和服务上花费太多的精力。
SNMP开发速度快,并能为网络治理经验库的开发提供一些差不多的工具,可用来满足眼前的需要。
为了强化这一策略,IAB要求SNMP和CMOT使用相同的被管对象数据库。
即在任何主机、路由器、网桥以及其它治理设备中,两个协议都以相同的格式使用相同的监控变量。
因此,两个协议有一个公共的治理信息结构(SMI),和一个治理信息库MIB。
然而,人们专门快发觉这两个协议在对象级的兼容是不现实的。
在OSI 的网络治理中,被管对象是专门成熟的,它具有属性、相关的过程、通报以及其它一些与面向对象有关的复杂的特性。
而SNMP为了保持简单性,没有如此复杂的概念。
实际上,SNMP的对象在面向对象的概念下全然就不能称为对象,它们只是带有一些如数据类型、读写特性等差不多特性的变量。
因此IAB最终放松了公共SMI/MIB的条件,并同意SNMP独立于CMOT进展。
从对OSI的兼容性的束缚中解脱后,SNMP取得了迅速的进展,专门快被众多的厂商设备所支持,并在互联网络中活跃起来。
而且,一般用户也选择了SNMP作为标准的治理协议。
SNMP最重要的进展是远程监控(RMON)能力的开发。
RMON为网络治理者提供了监控整个子网而不是各个单独设备的能力。
除了RMON,还对差不多SNMP MIB进行了扩充。
有些扩充采纳标准的网络接口,例如令牌环(token ring)和光纤分布数据接口(FDDI),这种扩充是独立于厂商的。
然而,单靠定义新的或更细致的MIB扩充SNMP是有限的。
当SNMP被用于大型或复杂网络时,它在安全和功能方面的不足就变得明显了。
为了弥补这些不足,1992年7月发表了3个增强SNMP安全性的文件作为建议标准。
增强版与原来的SNMP是不兼容的,它需要改变外部消息句柄及一些消息处理过程。
但实际定义协议操作并包含SNMP消息的协议数据单元(PDU)保持不变,同时没有增加新的PDU。
目的是尽量实现向SNMP的安全版本的平滑过渡。
然而那个增强版受到了另一个方案的冲击。
同样是在1992年7月,四名SNMP的关键人物提出一个称为SMP的SNMP新版本。
并实现了四个可互操作的方案。
两个是商业产品,两个是公开软件。
SMP在功能和安全性两方面提高了SNMP,特不是SMP增加了一些PDU。
所有的消息头和安全功能都与提议的安全性增强标准相似。
最终SMP被同意为定义第二代SNMP即SNMPv2的基础。
1993年安全版SNMPv2公布。
通过几年试用以后,IETF(Internet Engineering Task Force) 决定对SNMPv2进行修订。
1996年公布了一组新的RFC (Request For Comments),在这组新的文档中,SNMPv2的安全特性被取消了,消息格式也重新采纳SNMPv1的基于“共同体(community)”概念的格式。
删除SNMPv2中的安全特性是SNMPv2进展过程中最大的失败。
要紧缘故是厂商和用户对1993版的SNMPv2的安全机制不感兴趣,同时IETF要求的修订时刻也特不紧迫,设计者们来不及对安全机制进行改善,甚至来不及对存在的严峻缺陷进行修改。
因此不得不在1996年版的SNMPv2中放弃了安全特性。
1999年4月IETF SNMPv3工作组提出了RFC2571~RFC2576,形成了SNMPv3的建议。
目前,这些建议正在进行标准化。
SNMPv3提出了SNMP治理框架的一个统一的体系结构。
在那个体系结构中,采纳User-based安全模型和View-based访问操纵模型提供SNMP网络治理的安全性。
安全机制是SNMPv3的最具特色的内容。
4.1.2 SNMP差不多框架1) 网络治理体系结构SNMP的网络治理模型包括以下关键元素:治理站、代理者、治理信息库、网络治理协议。
治理站一般是一个分立的设备,也能够利用共享系统实现。
治理站被作为网络治理员与网络治理系统的接口。
它的差不多构成为:·一组具有分析数据、发觉故障等功能的治理程序;·一个用于网络治理员监控网络的接口;·将网络治理员的要求转变为对远程网络元素的实际监控的能力;·一个从所有被管网络实体的MIB中抽取信息的数据库。
网络治理系统中另一个重要元素是代理者。
装备了SNMP的平台,如主机、网桥、路由器及集线器均可作为代理者工作。
代理者对来自治理站的信息请求和动作请求进行应答,并随机地为治理站报告一些重要的意外事件。
与CMIP体系相同,网络资源也被抽象为对象进行治理。
但SNMP中的对象是表示被管资源某一方面的数据变量。
对象被标准化为跨系统的类,对象的集合被组织为治理信息库(MIB)。
MIB作为设在代理者处的治理站访问点的集合,治理站通过读取MIB中对象的值来进行网络监控。
治理站能够在代理者处产生动作,也能够通过修改变量值改变代理者处的配置。
治理站和代理者之间通过网络治理协议通信,SNMP通信协议要紧包括以下能力:Get:治理站读取代理者处对象的值;Set:治理站设置代理者处对象的值;Trap:代理者向治理站通报重要事件。
在标准中,没有特不指出治理站的数量及治理站与代理者的比例。
一般地,应至少要有两个系统能够完成治理站功能,以提供冗余度,防止故障。
另一个实际问题是一个治理站能带动多少代理者。
只要SNMP保持它的简单性,那个数量能够高达几百。
2) 网络治理协议体系结构SNMP为应用层协议,是TCP/IP协议族的一部分。
它通过用户数据报协议(UDP)来操作。
在分立的治理站中,治理者进程对位于治理站中心的MIB 的访问进行操纵,并提供网络治理员接口。
治理者进程通过SNMP完成网络治理。
SNMP在UDP、IP及有关的专门网络协议(如,Ethernet, FDDI, X.25)之上实现。
每个代理者也必须实现SNMP、UDP和IP。
另外,有一个解释SNMP的消息和操纵代理者MIB的代理者进程。
SNMP管理站SNMP代理者图4.1 SNMP的协议环境图4.1描述了SNMP的协议环境。
从治理站发出3类与治理应用有关的SNMP的消息GetRequest、GetNextRequest、SetRequest。
3类消息都由代理者用GetResponse消息应答,该消息被上交给治理应用。
另外,代理者能够发出Trap消息,向治理者报告有关MIB及治理资源的事件。
由于SNMP依靠UDP,而UDP是无连接型协议,因此SNMP也是无连接型协议。
在治理站和代理者之间没有在线的连接需要维护。
每次交换差不多上治理站和代理者之间的一个独立的传送。
3) 陷阱引导轮询(Trap-directed polling)假如治理站负责大量的代理者,而每个代理者又维护大量的对象,则靠治理站及时地轮询所有代理者维护的所有可读数据是不现实的。
因此治理站采取陷阱引导轮询技术对MIB进行操纵和治理。
所谓陷阱引导轮询技术是:在初始化时,治理站轮询所有明白关键信息(如接口特性、作为基准的一些性能统计值,如发送和接收的分组的平均数)的代理者。
一旦建立了基准,治理站将降低轮询频度。
相反地,由每个代理者负责向治理站报告异常事件。
例如,代理者崩溃和重启动、连接失败、过载等。
这些事件用SNMP的trap消息报告。
治理站一旦发觉异常情况,能够直接轮询报告事件的代理者或它的相邻代理者,对事件进行诊断或猎取关于异常情况的更多的信息。
陷阱引导轮询能够有效地节约网络容量和代理者的处理时刻。
网络差不多上不传送治理站不需要的治理信息,代理者也可不能无意义地频繁应答信息请求。
4) 代管(Proxies)利用SNMP需要治理站及其所有代理者支持UDP和IP。
这限制了在不支持TCP/IP协议的设备(如网桥、调制解调器)上的应用。
同时,大量的小系统(PC、工作站、可编程操纵器)尽管支持TCP/IP协议,但不希望承担维护SNMP、代理者软件和MIB的负担。