【大学课件】计算机网络管理技术

《【大学课件】计算机网络管理技术》由会员分享，可在线阅读，更多相关《【大学课件】计算机网络管理技术（79页珍藏版）》请在装配图网上搜索。

1、http:/ http:/ n 目前计算机网络中几乎所有的通用设备和网络操作目前计算机网络中几乎所有的通用设备和网络操作系统都支持系统都支持SNMPSNMP，掌握，掌握SNMPSNMP的基础知识是从事网络的基础知识是从事网络管理工作的必备条件。管理工作的必备条件。n SNMPSNMP中涉及的知识点比较多，每个知识点都有大量中涉及的知识点比较多，每个知识点都有大量的细节描述。的细节描述。n 本章将从网络管理员的角度介绍本章将从网络管理员的角度介绍SNMPSNMP，着重介绍，着重介绍SNMPSNMP的基本架构和功能，以适应现代计算机网络管的基本架构和功能，以适应现代计算机网络管理的要求。理的要求。

2、http:/ 2.1 2.1 网络管理协议及功能网络管理协议及功能2.2 SNMP2.2 SNMP的功能及典型应用的功能及典型应用2.3 SNMP2.3 SNMP的实现方法、结构和组成的实现方法、结构和组成2.4 SNMP2.4 SNMP系统系统2.5 SNMP2.5 SNMP协议协议2.6 SNMP2.6 SNMP的发展和现状的发展和现状http:/ 2.1 2.1 网络管理协议及功能网络管理协议及功能2.1.1 2.1.1 网络管理协议的发展网络管理协议的发展2.1.2 2.1.2 从管理设备获取数据的方式从管理设备获取数据的方式http:/ 2.1.1 2.1.1 网络管理协议的发展网络

3、管理协议的发展n 在通用的网络管理协议制定之前，在一个网络中在通用的网络管理协议制定之前，在一个网络中虽然有多个不同厂商的相同功能的设备，提供数虽然有多个不同厂商的相同功能的设备，提供数据收集的方式各不相同。据收集的方式各不相同。n 不同厂商提供的通信方式各不相同，无法实现在不同厂商提供的通信方式各不相同，无法实现在同一管理平台下对不同厂商设备的统一管理。同一管理平台下对不同厂商设备的统一管理。n 网络管理协议的功能就是制定一个管理进程与管网络管理协议的功能就是制定一个管理进程与管理代理之间的通信标准，即通用的网络管理协议。理代理之间的通信标准，即通用的网络管理协议。http:/ n 标准网络

4、管理协议提供了一种可访问任何网络设备并标准网络管理协议提供了一种可访问任何网络设备并获得一系列标准值的一致性方式获得一系列标准值的一致性方式( (设备名称、软件版本、接口设备名称、软件版本、接口参数、参数、CPUCPU利用率、内存利用率等利用率、内存利用率等) .) .n 目前，已制定的几种标准的网络管理协议有：目前，已制定的几种标准的网络管理协议有： SNMPSNMP：简单网络管理协议（：简单网络管理协议（Simple Network Management Simple Network Management ProtocolProtocol），该协议也是应用最为广泛的网络管理协议），该协议也

5、是应用最为广泛的网络管理协议（IETFIETF ） 。 CMIP/CMIS CMIP/CMIS：公共管理信息协议：公共管理信息协议/ /公共管理信息服务（公共管理信息服务（Common Common Management Information Protocol /Common Management Management Information Protocol /Common Management Information ServicesInformation Services），主要针对），主要针对OSIOSI结构制定的网络管结构制定的网络管理协议（理协议（ISOISO） 。http:/

6、n CMOTCMOT（CMIP Over TCPCMIP Over TCP）：在）：在TCP/IPTCP/IP网络中实现网络中实现CMISCMIS服服务的公共管理信息协议（务的公共管理信息协议（IETFIETF ） 。n LMMPLMMP：局域网个人管理协议（：局域网个人管理协议（LAN Man Management LAN Man Management Protoco1Protoco1） 该协议最早由该协议最早由3COM3COM和和IBMIBM公司开发，试图为公司开发，试图为LANLAN环境提供一个环境提供一个网络管理方案。网络管理方案。 IEEE802IEEE802逻辑链路控制层上的公共管

7、理信息协议（逻辑链路控制层上的公共管理信息协议（CMIP Over CMIP Over LLCLLC，CMOLCMOL）。）。 不依赖于任何特定的网络层协议进行网络传输。不依赖于任何特定的网络层协议进行网络传输。 易于实现。但是，不能跨越路由器。易于实现。但是，不能跨越路由器。http:/ 2.1 2.1 网络管理协议及功能网络管理协议及功能2.1.1 2.1.1 网络管理协议的发展网络管理协议的发展2.1.2 2.1.2 从管理设备获取数据的方式从管理设备获取数据的方式http:/ 2.1.2 2.1.2 从管理设备获取数据的从管理设备获取数据的3 3种方式种方式本地终端方式、远程本地终端方

8、式、远程telnettelnet命令方式、基于网络管理协议的命令方式、基于网络管理协议的方式。方式。1 1 本地终端方式本地终端方式 RS-232RS-232端口或端口或ConsoleConsole端口。端口。 一般适用于管理单台重要的网络设备（如企业网出口处的路一般适用于管理单台重要的网络设备（如企业网出口处的路由器或防火墙等）。由器或防火墙等）。 网络发生阻塞以及被管理设备无法通过远程方法进行登录。网络发生阻塞以及被管理设备无法通过远程方法进行登录。http:/ 2 2 远程远程telnettelnet命令方式命令方式n 必须具备两个条件：必须具备两个条件： 一是管理机与被管理设备之间通过

9、网络进行连接；一是管理机与被管理设备之间通过网络进行连接； 二是在被管理设备上设置了管理地址和登录帐号。二是在被管理设备上设置了管理地址和登录帐号。n 该方式的好处是可以对设备进行远程管理，该方式的好处是可以对设备进行远程管理，n 每次只能对一台设备进行管理。每次只能对一台设备进行管理。http:/ 3 3 基于网络管理协议的方式基于网络管理协议的方式目前各类网络管理系统普遍采用如后图所示的标准模型。目前各类网络管理系统普遍采用如后图所示的标准模型。http:/ 一个网络管理系统从逻辑上可以认为是由以下四个一个网络管理系统从逻辑上可以认为是由以下四个部分组成：部分组成： 管理进程（管理进程（M

10、anagerManager） 管理协议（管理协议（Management ProtocolManagement Protocol） 管理代理（管理代理（AgentAgent） 管理信息库（管理信息库（Management Information BaseManagement Information Base，MIBMIB）http:/ 网络管理的实际操作模式网络管理的实际操作模式http:/ 2.1 2.1 网络管理协议及功能网络管理协议及功能2.2 SNMP2.2 SNMP的功能及典型应用的功能及典型应用2.3 SNMP2.3 SNMP的实现方法、结构和组成的实现方法、结构和组成2.4 SNM

11、P2.4 SNMP系统系统2.5 SNMP2.5 SNMP协议协议2.6 SNMP2.6 SNMP的发展和现状的发展和现状http:/ 2.2 SNMP2.2 SNMP的功能及典型应用的功能及典型应用 是目前应用最为广泛的网络管理协议，是目前应用最为广泛的网络管理协议，主要用于对路由器、交换机、防火墙、服务主要用于对路由器、交换机、防火墙、服务器等主要设备（网元）的管理。器等主要设备（网元）的管理。http:/ 2.2 SNMP2.2 SNMP的功能及典型应用的功能及典型应用2.2.1 SNMP2.2.1 SNMP的功能的功能2.2.2 SNMP2.2.2 SNMP的典型应用的典型应用http

12、:/ SNMPSNMP的功能的功能http:/ SNMPSNMP的工作方式的工作方式n 读操作：从设备中获取数据，一是管理员向设备发出读读操作：从设备中获取数据，一是管理员向设备发出读数据的指令；二是被管理设备定期向管理员（其实是管数据的指令；二是被管理设备定期向管理员（其实是管理机）发回需要的数据。理机）发回需要的数据。n 写操作：管理员在对设备进行配置时，需要由写操作：管理员在对设备进行配置时，需要由SNMPSNMP提供提供写操作，这样才能够完成对设备的远程管理。写操作，这样才能够完成对设备的远程管理。n TrapTrap操作：设备在某一时刻发生状态的改变时，需要由操作：设备在某一时刻发生

13、状态的改变时，需要由SNMPSNMP提供提供traptrap操作。操作。http:/ 2.2 SNMP2.2 SNMP的功能及典型应用的功能及典型应用2.2.1 SNMP2.2.1 SNMP的功能的功能2.2.2 SNMP2.2.2 SNMP的典型应用的典型应用http:/ 2.2.2 SNMP2.2.2 SNMP的典型应用的典型应用对网络中支持对网络中支持SNMPSNMP的设备进行管理（可以运行在的设备进行管理（可以运行在TCP/IPTCP/IP协议协议栈上）。栈上）。http:/ 2.1 2.1 网络管理协议及功能网络管理协议及功能2.2 SNMP2.2 SNMP的功能及典型应用的功能及典

14、型应用2.3 SNMP2.3 SNMP的实现方法、结构和组成的实现方法、结构和组成2.4 SNMP2.4 SNMP系统系统2.5 SNMP2.5 SNMP协议协议2.6 SNMP2.6 SNMP的发展和现状的发展和现状http:/ 2.3 SNMP2.3 SNMP的实现方法、结构和组成的实现方法、结构和组成2.3.1 SNMP2.3.1 SNMP的实现方法和结构的实现方法和结构2.3.2 SNMP2.3.2 SNMP的组成的组成http:/ 2.3.1 SNMP2.3.1 SNMP的实现方法和结构的实现方法和结构http:/ 3 3种角色：种角色： 管理网络系统（管理网络系统（NMSNMS）

15、代理（代理（AgentAgent） 代理服务器（代理服务器（ProxyProxy） http:/ 2.3 SNMP2.3 SNMP的实现方法、结构和组成的实现方法、结构和组成2.3.1 SNMP2.3.1 SNMP的实现方法和结构的实现方法和结构2.3.2 SNMP2.3.2 SNMP的组成的组成http:/ 2.3.2 SNMP2.3.2 SNMP的组成的组成 SNMP v1 SNMP v1 （19891989）、）、SNMP v2SNMP v2（19921992）到）到SNMP v3SNMP v3（19991999），），功能在不断加强和完善，但是功能在不断加强和完善，但是SNMPSNMP

16、的组成一直没有变化。的组成一直没有变化。使用使用UDPUDP进行数据的传输进行数据的传输由由SMISMI、MIBMIB和协议（和协议（SNMPSNMP）组成）组成SNMPSNMP和和MIB MIB 由由 ASN.1(Abstract ASN.1(Abstract Syntax Notation )Syntax Notation )描述描述http:/ SMISMI（Structure of Managerment InformationStructure of Managerment Information，管，管理信息结构）：规定理信息结构）：规定SNMPSNMP使用哪些使用哪些ASN.1A

17、SN.1符号与元符号与元素，以及如何使用这些素，以及如何使用这些ASN.1ASN.1子集的符号和元素来子集的符号和元素来描述描述SNMPSNMP。SMISMI由由ASN.1ASN.1的一个子集和一部分自定义的一个子集和一部分自定义的类型、宏等组成。的类型、宏等组成。 MIB MIB（Management Information BaseManagement Information Base，管理信息，管理信息库）：库）：MIBMIB使用使用SMISMI来定义设备和网络协议的数据。来定义设备和网络协议的数据。管理站和代理都使用相同格式的管理站和代理都使用相同格式的MIBMIB以实现有效通以实现有

18、效通信。其中代理将设备的数据转换为信。其中代理将设备的数据转换为MIBMIB对象，使设对象，使设备支持备支持SNMPSNMP。 协议（协议（SNMPSNMP）：）：SNMPSNMP协议定义了协议定义了SNMPSNMP数据包的格式、数据包的格式、封装方式以及数据的传输细节。封装方式以及数据的传输细节。http:/ 2.1 2.1 网络管理协议及功能网络管理协议及功能2.2 SNMP2.2 SNMP的功能及典型应用的功能及典型应用2.3 SNMP2.3 SNMP的实现方法、结构和组成的实现方法、结构和组成2.4 SNMP2.4 SNMP系统系统2.5 SNMP2.5 SNMP协议协议2.6 SNM

19、P2.6 SNMP的发展和现状的发展和现状http:/ 2.4 SNMP2.4 SNMP系统系统2.4.1 2.4.1 管理信息库管理信息库(MIB)(MIB)2.4.2 2.4.2 管理信息结构（管理信息结构（SMISMI）2.4.3 2.4.3 简单网络管理协议（简单网络管理协议（SNMPSNMP）http:/ 2.4.1 2.4.1 管理信息库管理信息库(MIB)(MIB)n MIBMIB是网络管理协议访问的管理对象数据库，它包括是网络管理协议访问的管理对象数据库，它包括SNMPSNMP可可以通过网络设备上的代理进行设置的变量。以通过网络设备上的代理进行设置的变量。n 给出了一个网络中所

20、有可能的被管理对象的集合的数据结构。给出了一个网络中所有可能的被管理对象的集合的数据结构。n SNMPSNMP的管理信息库采用和域名系统（的管理信息库采用和域名系统（DNSDNS）相似的树型结构，）相似的树型结构，它的根在最上面，根没有名字。它的根在最上面，根没有名字。http:/ http:/ n SNMPSNMP协议消息通过遍历协议消息通过遍历MIBMIB树形目录中的节点来访问网络中的树形目录中的节点来访问网络中的设备。设备。n MIBMIB树的每个节点被指定为一个数字（非负数），同一层的节树的每个节点被指定为一个数字（非负数），同一层的节点用不同的数字区分。点用不同的数字区分。n 这些节

21、点数字由标准组织指定。这些节点数字由标准组织指定。MIBMIB树中的任何一个节点由其树中的任何一个节点由其所处的位置来命名，同一层的节点数字都不相同。所处的位置来命名，同一层的节点数字都不相同。n 这个数字串称为对应于这个数字串称为对应于MIBMIB对象的对象标识符（对象的对象标识符（OIDOID，Object Object IdentifierIdentifier）。）。n 例如，例如，ODIODI，1.3.6.1.2.1.11.3.6.1.2.1.1代表的对象是从命名为代表的对象是从命名为“1 1” ”的顶的顶级节点开始，后续的下级节点级节点开始，后续的下级节点“3 3” ”，再下一级是，

22、再下一级是“6 6” ”，依此，依此类推。类推。http:/ n 在在InternetInternet节点下面的第二个节点是节点下面的第二个节点是mgmtmgmt（管理），标（管理），标号是号是2 2。n 再下面是管理信息库，原先的节点名是再下面是管理信息库，原先的节点名是mibmib。19911991年定年定义了新的版本义了新的版本MIB-IIMIB-II。其标识为。其标识为1.3.6.1.2.11.3.6.1.2.1或或Internet(1) .2.1Internet(1) .2.1n 最初的节点最初的节点mibmib将其所管理的信息分为将其所管理的信息分为8 8个类别，如表个类别，如表2

23、-2-1 1所示。现在的所示。现在的mib-2mib-2所包含的信息类别已超过所包含的信息类别已超过4040个。个。n MIBMIB的定义与具体的网络管理协议无关，这对于设备制的定义与具体的网络管理协议无关，这对于设备制造商和用户来说都是有利的。造商和用户来说都是有利的。http:/ 表2-1 最初的节点mib管理的信息类别http:/ 2.4 SNMP2.4 SNMP系统系统2.4.1 2.4.1 管理信息库管理信息库(MIB)(MIB)2.4.2 2.4.2 管理信息结构（管理信息结构（SMISMI）2.4.3 2.4.3 简单网络管理协议（简单网络管理协议（SNMPSNMP）http:/

24、 2.4.2 2.4.2 管理信息结构（管理信息结构（SMISMI） 管理信息结构（管理信息结构（Structure of Management InformationStructure of Management Information，SMISMI）用于定义存储在用于定义存储在MIBMIB中的管理信息的语法和语义，对中的管理信息的语法和语义，对MIBMIB进行定义进行定义和构造。和构造。 SMISMI确定了可用于确定了可用于MIBMIB中的数据类型并说明对象在中的数据类型并说明对象在MIBMIB内部的表示内部的表示和命名。和命名。 SMISMI的宗旨是保持的宗旨是保持MIBMIB的简单性和

25、可扩展性，从而简化管理，加强的简单性和可扩展性，从而简化管理，加强互操作性，满足协同操作的要求。互操作性，满足协同操作的要求。http:/ SNMPSNMP网络管理的基础是含有被管理信息的数据库，如交换机、路网络管理的基础是含有被管理信息的数据库，如交换机、路由器、防火墙、服务器等，他们各自维护着一个含有自身运行状由器、防火墙、服务器等，他们各自维护着一个含有自身运行状态的树型结构（如图态的树型结构（如图2-92-9所示）所示） 其中每一个叶子节点代表一个信息、变量或配置，设备对这棵树其中每一个叶子节点代表一个信息、变量或配置，设备对这棵树中的标量（叶子节点）进行赋值，以反映自己的状态。中的标

26、量（叶子节点）进行赋值，以反映自己的状态。 管理站读取相应的变量以获取网络节点设备的状态信息，管理站读取相应的变量以获取网络节点设备的状态信息， 管理站也可以通过修改某些值从而实现简单的控制功能。管理站也可以通过修改某些值从而实现简单的控制功能。http:/ http:/ 2.4 SNMP2.4 SNMP系统系统2.4.1 2.4.1 管理信息库管理信息库(MIB)(MIB)2.4.2 2.4.2 管理信息结构（管理信息结构（SMISMI）2.4.3 2.4.3 简单网络管理协议（简单网络管理协议（SNMPSNMP）http:/ 2.4.3 2.4.3 简单网络管理协议（简单网络管理协议（SN

27、MPSNMP） SNMPSNMP为应用层协议，是为应用层协议，是TCP/IPTCP/IP协议族的一部分。协议族的一部分。 它通过用户数据报协议它通过用户数据报协议(UDP)(UDP)来操作。来操作。 管理站进程通过管理站进程通过SNMPSNMP完成网络管理。完成网络管理。 SNMPSNMP在在UDPUDP、IPIP及有关的特殊网络协议（如及有关的特殊网络协议（如EthernetEthernet、FDDIFDDI、X.25X.25）之上实现。）之上实现。http:/ SNMP的协议环境如图所示：管理站发出管理站发出3 3类类SNMPSNMP的消息的消息GetRequestGetRequest、G

28、etNextRequestGetNextRequest、SetRequestSetRequest。3 3类消息都由代理用类消息都由代理用GetResponseGetResponse消息应答，该消息被上交给管理应用进程。消息应答，该消息被上交给管理应用进程。另外，代理可以发出另外，代理可以发出TrapTrap消息，向管理站报告有关消息，向管理站报告有关MIBMIB及管理资源的事件。及管理资源的事件。http:/ 2.1 2.1 网络管理协议及功能网络管理协议及功能2.2 SNMP2.2 SNMP的功能及典型应用的功能及典型应用2.3 SNMP2.3 SNMP的实现方法、结构和组成的实现方法、结构

29、和组成2.4 SNMP2.4 SNMP系统系统2.5 SNMP2.5 SNMP协议协议2.6 SNMP2.6 SNMP的发展和现状的发展和现状http:/ 2.5 SNMP2.5 SNMP协议协议2.5.1 SNMP2.5.1 SNMP的体系结构的体系结构2.5.2 SNMP2.5.2 SNMP的工作机制的工作机制2.5.3 SNMP2.5.3 SNMP的报文格式的报文格式2.5.4 SNMP2.5.4 SNMP共同体和安全控制共同体和安全控制2.5.5 2.5.5 轮询和中断轮询和中断http:/ 2.5.1 SNMP2.5.1 SNMP的体系结构的体系结构SNMPSNMP采用集中式的管理方

30、案采用集中式的管理方案主要由管理站主要由管理站(Manager)(Manager)、管理代理（、管理代理（AgentAgent）、管理对象（）、管理对象（Managed ObjectManaged Object）以及描述管理对象状态的以及描述管理对象状态的MIBMIB组成。组成。http:/ 管理进程管理进程是整个网络管理系统的控制中心，在在网管工作站是整个网络管理系统的控制中心，在在网管工作站上。上。 管理代理管理代理维护一个本地的维护一个本地的MIBMIB。管理代理负责收集有关本地的。管理代理负责收集有关本地的管理对象的信息并具有以下几项基本功能：管理对象的信息并具有以下几项基本功能： 设

31、置和修改设置和修改MIBMIB中的各种变量值；中的各种变量值； 读取读取MIBMIB中的信息并传回管理进程；中的信息并传回管理进程； 执行管理进程的管理操作。执行管理进程的管理操作。 管理对象管理对象是经过抽象的网络元素，它对应于网络中具体可以是经过抽象的网络元素，它对应于网络中具体可以操作的数据，如记录设备工作状态的变量、设备内的工作参操作的数据，如记录设备工作状态的变量、设备内的工作参数等，也可指某些具体的设备。数等，也可指某些具体的设备。http:/ 2.5 SNMP2.5 SNMP协议协议2.5.1 SNMP2.5.1 SNMP的体系结构的体系结构2.5.2 SNMP2.5.2 SNM

32、P的工作机制的工作机制2.5.3 SNMP2.5.3 SNMP的报文格式的报文格式2.5.4 SNMP2.5.4 SNMP共同体和安全控制共同体和安全控制2.5.5 2.5.5 轮询和中断轮询和中断http:/ 2.5.2 SNMP2.5.2 SNMP的工作机制的工作机制 SNMPSNMP的操作很简单，主要是对变量的修改和检查，共定义了的操作很简单，主要是对变量的修改和检查，共定义了以下以下5 5类管理操作：类管理操作： GetRequestGetRequest：读对象操作，使管理进程向代理发起读的操作：读对象操作，使管理进程向代理发起读的操作读取管理对象的值，以获取设备或网络的运行数据以及配

33、置信息读取管理对象的值，以获取设备或网络的运行数据以及配置信息等。等。 GetNextRequestGetNextRequest：读取当前对象的下一个可读取的对象实例：读取当前对象的下一个可读取的对象实例值。值。（因为SNMP不支持一次读取一张表或表中的一行数据，为了解决这一问题便提供了GetNextRequest操作：首先对对象标识（OID）进行GetNextRequest操作，将收到下一个可读取对象的实例标识，接着对这个实例标识执行GetNextRequest，会得到再下一个实例标识，这样不断执行下去就可以读取完整的一张表。）http:/ SetRequestSetRequest：管理进程

34、更新代理中对象的值。：管理进程更新代理中对象的值。 在网络管理中，当需要对设备的一些参数、配置、状态等进行重新配置时，在网络管理中，当需要对设备的一些参数、配置、状态等进行重新配置时，就需要用到就需要用到SetRequestSetRequest操作。操作。 SetRequestSetRequest可以对可以对MIBMIB中权限为只写（中权限为只写（wtite-onlywtite-only）和可读写（）和可读写（read-read-writewrite）的对象进行操作。）的对象进行操作。 GetResponseGetResponse：代理对：代理对GetRequest/GetNextReques

35、t/SetRequestGetRequest/GetNextRequest/SetRequest这这3 3种操作的应答。种操作的应答。http:/ TrapTrap：代理向管理进程发送事件值。：代理向管理进程发送事件值。 SNMPSNMP中的中的GetRequest/GetNextRequest/SetRequestGetRequest/GetNextRequest/SetRequest都由管理进程主动发起，都由管理进程主动发起，采取轮询的方式。采取轮询的方式。 由于轮询时间时隔是固定的，所以导致管理进程无法及时掌握到这一事件由于轮询时间时隔是固定的，所以导致管理进程无法及时掌握到这一事件信息

36、，使事件失去了实效性。信息，使事件失去了实效性。 另一方面，考虑到网络带宽的占用，又不可能将轮询的时间间隔设置得太另一方面，考虑到网络带宽的占用，又不可能将轮询的时间间隔设置得太小。小。 所以，就需要一种当设备的数据或状态发生变化时能够主动向管理进程发所以，就需要一种当设备的数据或状态发生变化时能够主动向管理进程发送这一事件信息的机制送这一事件信息的机制 TrapTrap是由代理主动发起，向管理进程通报设备信息的重要改变的操作。是由代理主动发起，向管理进程通报设备信息的重要改变的操作。http:/ 前面的前面的3 3种操作是种操作是由管理站中的管理由管理站中的管理进程向代理中代理进程向代理中代

37、理进程发出的，后面进程发出的，后面的的2 2个操作是代理个操作是代理进程发给管理进程进程发给管理进程的。的。 为了简化起见，前为了简化起见，前面面3 3个操作称为个操作称为getget、get-nextget-next和和setset操操作。作。 端口：端口：161161，162162http:/ 2.5 SNMP2.5 SNMP协议协议2.5.1 SNMP2.5.1 SNMP的体系结构的体系结构2.5.2 SNMP2.5.2 SNMP的工作机制的工作机制2.5.3 SNMP2.5.3 SNMP的报文格式的报文格式2.5.4 SNMP2.5.4 SNMP共同体和安全控制共同体和安全控制2.5.

38、5 2.5.5 轮询和中断轮询和中断http:/ 2.5.3 SNMP2.5.3 SNMP的报文格式的报文格式 SNMPSNMP定义了定义了5 5种协议数据单元种协议数据单元PDUPDU（也就是（也就是SNMPSNMP报文。报文。 下图是封装成下图是封装成UDPUDP数据报的数据报的5 5种操作的种操作的SNMPSNMP报文格式。报文格式。 一个一个SNMPSNMP报文共有三个部分组成：公共报文共有三个部分组成：公共SNMPSNMP首部、首部、get/setget/set首部首部和变量绑定。和变量绑定。http:/ 1 1 公共公共SNMPSNMP首部首部公共公共SNMPSNMP首部共占用首部

39、共占用3 3个字段：个字段： 版本：标识版本：标识SNMPSNMP的版本号，具体写的版本号，具体写入时为入时为SNMPSNMP版本号减版本号减1 1，例如，例如SNMPv1SNMPv1则则应写入应写入0 0。 共同体（共同体（communitycommunity）：共同体就是）：共同体就是一个字符串，作为管理进程和代理进一个字符串，作为管理进程和代理进程之间的明文口令，目前许多系统缺程之间的明文口令，目前许多系统缺省的共同体名为省的共同体名为“publicpublic” ”。有关共同。有关共同体在本章后面将进行专门介绍。体在本章后面将进行专门介绍。 PDU PDU类型：根据类型：根据PDUPD

40、U的类型，填入的类型，填入0404中的一个数字，其对应关系如表中的一个数字，其对应关系如表2-22-2所所示。示。PDU类型名称0get-request1get-next-request2get-response3set-request4traphttp:/ 2 2 get/setget/set首部首部get/setget/set首部共占用首部共占用3 3个字段：个字段： 请求标识符（请求标识符（request IDrequest ID）：这是由管理进程设置的一个整数值。代）：这是由管理进程设置的一个整数值。代理进程在发送理进程在发送get-responseget-response报文时也要返

41、回此请求标识符。管理进程报文时也要返回此请求标识符。管理进程可同时向许多代理发出可同时向许多代理发出getget报文，这些报文都使用报文，这些报文都使用UDPUDP传送，先发送的传送，先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对应于哪一个请求报文。报文对应于哪一个请求报文。 差错状态（差错状态（error statuserror status）：由代理进程应答时填入）：由代理进程应答时填入0505中的一个数字，中的一个数字，具体描述如后表所示。具体描述如后表所示。 差错索引（差错索引（error inde

42、xerror index）：当出现）：当出现noSuchNamenoSuchName、badValuebadValue或或readOnlyreadOnly的差错时，由代理进程在应答时设置的一个整数，它指明有差错的变的差错时，由代理进程在应答时设置的一个整数，它指明有差错的变量在变量列表中的偏移。量在变量列表中的偏移。http:/ http:/ 3 3 traptrap首部首部TrapTrap首部占用了首部占用了5 5个字段：个字段： 企业（企业（enterpriseenterprise）：填入）：填入traptrap报文的网络设备的对象标识报文的网络设备的对象标识符。此对象标识符一定是对象命符

43、。此对象标识符一定是对象命名树上的名树上的enterpriseenterprise节点节点1.3.6.1.4.11.3.6.1.4.1下面的一棵子树下面的一棵子树上。该字段也称为上。该字段也称为“制造商制造商IDID” ”。 代理地址（代理地址（agent-addragent-addr）：产）：产生生traptrap的的SNMPSNMP代理或代理服务器代理或代理服务器（proxyproxy）的地址。）的地址。 trap trap类型：该字段正式的名称类型：该字段正式的名称是是generic-trapgeneric-trap，共分为右表中，共分为右表中的的7 7种。种。Trap类型名字说明0co

44、ldStart代理进行了初始化代理进行了初始化1warmStart代理进行了重新初始化代理进行了重新初始化2linkDown一个接口从工作状态变为故障一个接口从工作状态变为故障状态状态3linkUp一个接口从故障状态变为工作一个接口从故障状态变为工作状态状态4authenticationFailure从从SNMP管理进程接收到具有管理进程接收到具有一个无效共同体的报文一个无效共同体的报文5egpNeighborLoss一个一个EGP相邻路由器变为故障相邻路由器变为故障状态状态6enterpriseSpecific代理自定义的事件，需要用后代理自定义的事件，需要用后面的面的“特定代码特定代码”来

45、指明来指明http:/ 当使用上述类型当使用上述类型2 2、3 3、5 5时，在报文后面变量部分的第一个变量应时，在报文后面变量部分的第一个变量应标识响应的接口。标识响应的接口。 特定代码（特定代码（specific-codespecific-code）：指明代理自定义的事件（如果）：指明代理自定义的事件（如果traptrap类型为类型为6 6），否则为），否则为0 0。 时间戳（时间戳（timestamptimestamp）：指明自代理进程初始化到）：指明自代理进程初始化到traptrap报告的事报告的事件发生所经历的时间，单位为件发生所经历的时间，单位为10ms10ms。http:/ 4

46、4 变量绑定（变量绑定（variable-bindingsvariable-bindings）指明一个或多个变量的名称和对应的值。在指明一个或多个变量的名称和对应的值。在getget或或get-nextget-next报文中，变量的值被忽略。报文中，变量的值被忽略。http:/ 2.5 SNMP2.5 SNMP协议协议2.5.1 SNMP2.5.1 SNMP的体系结构的体系结构2.5.2 SNMP2.5.2 SNMP的工作机制的工作机制2.5.3 SNMP2.5.3 SNMP的报文格式的报文格式2.5.4 SNMP2.5.4 SNMP共同体和安全控制共同体和安全控制2.5.5 2.5.5 轮询

47、和中断轮询和中断http:/ 2.5.4 SNMP2.5.4 SNMP共同体和安全控制共同体和安全控制目前的网络管理是一种分布式的应用。目前的网络管理是一种分布式的应用。 与其他分布式的应用相同，网络管理中包含有一个应用协议支持与其他分布式的应用相同，网络管理中包含有一个应用协议支持的的多个应用实体的相互作用多个应用实体的相互作用。 在在SNMPSNMP系统中，这些应用实体就是采用系统中，这些应用实体就是采用SNMPSNMP的的管理站应用实体管理站应用实体和和被管理设备的应用实体被管理设备的应用实体。http:/ SNMPSNMP系统具有一些系统具有一些不同于其他分布式应用的特性不同于其他分布

48、式应用的特性： 它包含一个管理站和多个被管理设备之间它包含一个管理站和多个被管理设备之间一对多的关系一对多的关系。反过来，。反过来，在在SNMPSNMP系统中还包含系统中还包含另外一种一对多的关系另外一种一对多的关系，即一个被管理设备，即一个被管理设备和多个管理站之间的关系。和多个管理站之间的关系。 每个被管理设备控制着自己的本地每个被管理设备控制着自己的本地MIBMIB，同时必须能够控制多个，同时必须能够控制多个管理站对这个本地管理站对这个本地MIBMIB的访问。的访问。 这里所说的控制具体包含两个方面的含义：这里所说的控制具体包含两个方面的含义： 一是认证服务将对一是认证服务将对MIBMI

49、B的访问限定在授权的管理站的范围内；的访问限定在授权的管理站的范围内； 二是访问策略对不同的管理站给予不同的访问权限。二是访问策略对不同的管理站给予不同的访问权限。 如果系统中存在代理服务器（如果系统中存在代理服务器（ProxyProxy），还要求在这个代理服务器中实现），还要求在这个代理服务器中实现对托管设备的认证服务和访问权限。对托管设备的认证服务和访问权限。http:/ 共同体和安全控制：共同体和安全控制： 通过共同体（通过共同体（communitycommunity）提供了基本的和有限的安全保护。）提供了基本的和有限的安全保护。 用共同体来定义一个代理（用共同体来定义一个代理（agen

50、tagent）和一组管理进程（）和一组管理进程（managermanager）之间的认证、访问控制和代管的关系。之间的认证、访问控制和代管的关系。 共同体是一个在被管理设备中定义的本地概念。被管理设备为每共同体是一个在被管理设备中定义的本地概念。被管理设备为每组可选的认证、访问控制和代理（代管）特性建立一个共同体。组可选的认证、访问控制和代理（代管）特性建立一个共同体。 每个共同体被赋予一个在被管理设备内部唯一的共同体名，该共每个共同体被赋予一个在被管理设备内部唯一的共同体名，该共同体名要提供给同体名要提供给SNMPSNMP系统内的所有管理进程，以便它们在系统内的所有管理进程，以便它们在get

51、get和和setset操作中应用。操作中应用。 由于共同体是在代理中本地定义的，因此不同的代理中可能会定由于共同体是在代理中本地定义的，因此不同的代理中可能会定义相同的共同体名。共同体名相同并不意味者共同体相同，因此义相同的共同体名。共同体名相同并不意味者共同体相同，因此管理进程必须将共同体名与代理联系起来加以应用。管理进程必须将共同体名与代理联系起来加以应用。 http:/ 2.5 SNMP2.5 SNMP协议协议2.5.1 SNMP2.5.1 SNMP的体系结构的体系结构2.5.2 SNMP2.5.2 SNMP的工作机制的工作机制2.5.3 SNMP2.5.3 SNMP的报文格式的报文格式

52、2.5.4 SNMP2.5.4 SNMP共同体和安全控制共同体和安全控制2.5.5 2.5.5 轮询和中断轮询和中断http:/ 2.5.5 2.5.5 轮询和中断轮询和中断SNMPSNMP代理从被管设备中代理从被管设备中收集数据收集数据有三种方法：轮询、中断和有三种方法：轮询、中断和面向自陷的轮询。面向自陷的轮询。1 1 轮询（轮询（polling-onlypolling-only）代理软件不断地收集统计数据，并把这些数据记录到一个管理信息库代理软件不断地收集统计数据，并把这些数据记录到一个管理信息库（MIBMIB）中。）中。管理进程通过向代理的管理进程通过向代理的MIBMIB发出查询信号可

53、以得到这些信息，这个过程发出查询信号可以得到这些信息，这个过程就叫轮询（就叫轮询（pollingpolling）。）。为了能够全面地查看一段时间的通信流量和变化率，管理进程必须不为了能够全面地查看一段时间的通信流量和变化率，管理进程必须不断地轮询设备中的代理。断地轮询设备中的代理。管理站可以使用管理站可以使用SNMPSNMP来评价网络的运行状况，并发现通信的趋势，如来评价网络的运行状况，并发现通信的趋势，如哪一个网段接近通信负载的最大能力或正使通信出错等。先进的哪一个网段接近通信负载的最大能力或正使通信出错等。先进的SNMPSNMP网管系统甚至可以通过编程来自动关闭端口或采取其它矫正措施来处网

54、管系统甚至可以通过编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。理历史的网络数据。http:/ 2 2 中断（interrupt-based） 当有异常事件发生时，使用中断的方法可以立即通知网管系统，实时性很强。 但这种方法也有缺陷缺陷： 产生错误或自陷需要系统资源。 如果自陷必须转发大量的信息，那么被管理设备可能不得不消耗更多的事件和系统资源来产生自陷，这将会影响到网络管理的主要功能。 在中断方式中，如果几个同类型的自陷事件接连发生，那么大量网络带宽可能将被相同的信息所占用。尤其是自陷如果是由于网尤其是自陷如果是由于网络阻塞引起时络阻塞引起时，事情就会变得特别糟糕。 http:/

55、 3 3 面向自陷的轮询（面向自陷的轮询（trap-directed pollingtrap-directed polling）面向自陷的轮询是轮询和中断两种方式的结合，是目前执行网络管面向自陷的轮询是轮询和中断两种方式的结合，是目前执行网络管理最有效的方法。理最有效的方法。 一般来说，网络管理工作站轮询被管理设备中的代理收集的数据，一般来说，网络管理工作站轮询被管理设备中的代理收集的数据，并且在控制台上用数字或图形方法来显示这些数据，以便于网络并且在控制台上用数字或图形方法来显示这些数据，以便于网络管理员分析和管理网络中的设备及网络的通信量。管理员分析和管理网络中的设备及网络的通信量。 被管

56、理设备中的代理可以在任何时候向网络管理工作站报告错误被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况，避免了轮询中存在的不足。情况，避免了轮询中存在的不足。 在这种方法中，当一个设备产生了一个自陷时，可以在网络管理在这种方法中，当一个设备产生了一个自陷时，可以在网络管理工作站上查询该设备（前提是该设备仍然能够连接上），以获得工作站上查询该设备（前提是该设备仍然能够连接上），以获得更多的信息。更多的信息。http:/ 2.1 2.1 网络管理协议及功能网络管理协议及功能2.2 SNMP2.2 SNMP的功能及典型应用的功能及典型应用2.3 SNMP2.3 SNMP的实现方法、结构和组

57、成的实现方法、结构和组成2.4 SNMP2.4 SNMP系统系统2.5 SNMP2.5 SNMP协议协议2.6 SNMP2.6 SNMP的发展和现状的发展和现状http:/ 2.6 SNMP2.6 SNMP的发展和现状的发展和现状2.6.1 SNMP2.6.1 SNMP的发展历史的发展历史2.6.2 SNMPv22.6.2 SNMPv2的特点的特点2.6.3 SNMPv32.6.3 SNMPv3的特点的特点2.6.4 2.6.4 使用使用SNMPSNMP时的注意事项时的注意事项http:/ 2.6.1 SNMP2.6.1 SNMP的发展历史的发展历史 SNMPSNMP发展到现在，共推出了三个版

58、本和两个扩展，具体如下：发展到现在，共推出了三个版本和两个扩展，具体如下： 1989 1989年，年，SNMPv1SNMPv1发布（发布（CMOT推出失败，基于SGMP(简单网管管理协议)设计SNMP）。）。 1991 1991年，针对年，针对SNMPv1SNMPv1的扩展的扩展RMONRMON（Remote MonitoringRemote Monitoring，远程监，远程监视）发布。视）发布。RMONRMON扩展了扩展了SNMPv1SNMPv1的功能，主要加强了对的功能，主要加强了对局域网局域网及设及设备的管理。备的管理。 1995 1995年，年，SNMPv2SNMPv2正式发布（正式

59、发布（SNMPv1SNMPv1的升级版在的升级版在19931993年提出），年提出），SNMPv2SNMPv2在在SNMPv1SNMPv1的基础上增加了部分功能，并制定了在的基础上增加了部分功能，并制定了在OSIOSI网络网络中使用中使用SNMPSNMP的具体方法。同年，的具体方法。同年，RMONRMON升级为升级为RMON2RMON2。 1998 1998年，年，SNMPv3SNMPv3发布草案。发布草案。 2002 2002年，年，SNMPv3SNMPv3的标准正式出台，重点加强了的标准正式出台，重点加强了SNMPSNMP的安全性，并的安全性，并为将来的发展设计了总体的架构。为将来的发展设

60、计了总体的架构。http:/ 2.6 SNMP2.6 SNMP的发展和现状的发展和现状2.6.1 SNMP2.6.1 SNMP的发展历史的发展历史2.6.2 SNMPv22.6.2 SNMPv2的特点的特点2.6.3 SNMPv32.6.3 SNMPv3的特点的特点2.6.4 2.6.4 使用使用SNMPSNMP时的注意事项时的注意事项http:/ 2.6.2 SNMPv22.6.2 SNMPv2的特点的特点简单化是简单化是SNMPSNMP标准取得成功的主要原因标准取得成功的主要原因。正是因为。正是因为SNMPSNMP的实的实现较为简单，所以在现较为简单，所以在SNMPv1SNMPv1发布后得

61、到了大量应用，也正是因为发布后得到了大量应用，也正是因为SNMPv1SNMPv1的广泛使用，的广泛使用，SNMPv1SNMPv1存在的缺陷很快暴露了出来。存在的缺陷很快暴露了出来。1 1 SNMPv1SNMPv1的主要缺陷是安全问题的主要缺陷是安全问题 没有提供读取没有提供读取大块数据大块数据的有效机制，对大块数据进行存取的效率的有效机制，对大块数据进行存取的效率很低；很低； 没有提供没有提供足够的安全机制足够的安全机制，安全性很差，对管理消息不能进行鉴，安全性很差，对管理消息不能进行鉴别，也不能防止监听；别，也不能防止监听； 没有提供没有提供管理进程与管理进程之间管理进程与管理进程之间的通信

62、机制，只适合集中式管的通信机制，只适合集中式管理，而不利于进行分布式管理；理，而不利于进行分布式管理； 只适用于监测网络设备，只适用于监测网络设备，不适用于监测网络本身不适用于监测网络本身； 由于由于traptrap数据报采用面向非连接的数据报采用面向非连接的UDPUDP协议传输，协议传输，没有应答没有应答。http:/ 2 2 SNMPv2SNMPv2的主要功能改进的主要功能改进 提供了一次读取大块数据的能力（提供了一次读取大块数据的能力（GetBulkRequestGetBulkRequest）；）； 增加了管理进程（增加了管理进程（managermanager）与管理进程之间的信息交换机

63、制）与管理进程之间的信息交换机制（InformRequestInformRequest），从而支持分布式管理结构。），从而支持分布式管理结构。（由中间（由中间managermanager来分担主来分担主managermanager的任务，增加了远程站点的局部自主性）的任务，增加了远程站点的局部自主性）； 可在多种网络协议上运行，如可在多种网络协议上运行，如OSIOSI、AppletalkAppletalk和和IPXIPX等，适用多等，适用多协议网络环境（但它的缺省网络协议仍是协议网络环境（但它的缺省网络协议仍是UDPUDP）；）； SMI SMI为被管理对象和为被管理对象和MIBMIB提供了更

64、详尽的规范和文档；提供了更详尽的规范和文档； SNMPv2 SNMPv2的的MIBMIB定义在定义在MIB-MIB-基础上，并对基础上，并对MIB-MIB-进行了修改和扩进行了修改和扩充（节点充（节点MIB 8-40MIB 8-40）；）； 提供了安全管理规范（时间问题导致其放弃安全管理部分）。提供了安全管理规范（时间问题导致其放弃安全管理部分）。http:/ 2.6 SNMP2.6 SNMP的发展和现状的发展和现状2.6.1 SNMP2.6.1 SNMP的发展历史的发展历史2.6.2 SNMPv22.6.2 SNMPv2的特点的特点2.6.3 SNMPv32.6.3 SNMPv3的特点的特点

65、2.6.4 2.6.4 使用使用SNMPSNMP时的注意事项时的注意事项http:/ 2.6.3 SNMPv32.6.3 SNMPv3的特点的特点 SNMPv3SNMPv3的的最突出特点是其安全性最突出特点是其安全性。具体来说，。具体来说，SNMPv3SNMPv3使用了使用了SNMPv1SNMPv1和和SNMPv2SNMPv2的消息、操作及传输层映射，并在前面两个版本的消息、操作及传输层映射，并在前面两个版本的基础上增加了用于安全的模型和访问控制。的基础上增加了用于安全的模型和访问控制。 SNMPv1SNMPv1和和SNMPv2SNMPv2的所有通信字符串和数据都以明文形式发送。为的所有通信字

66、符串和数据都以明文形式发送。为了解决安全问题，了解决安全问题，SNMPv3SNMPv3通过对数据进行加密和鉴别加强了数据通过对数据进行加密和鉴别加强了数据的安全性。的安全性。 加密：加密的目的是保证数据不被窃取。加密：加密的目的是保证数据不被窃取。DESDES算法。算法。 鉴别：鉴别的目的是保证数据的完整性和发送者的正确性，防止别人伪造鉴别：鉴别的目的是保证数据的完整性和发送者的正确性，防止别人伪造或篡改数据。或篡改数据。MD5MD5，SHASHA。 http:/ SNMPv3SNMPv3使用基于用户的安全模型（使用基于用户的安全模型（USMUSM）实现安全性。在）实现安全性。在SNMPv3SNMPv3中，消息与用户联系起来，一条消息对应一个用户，消息使用用中，消息与用户联系起来，一条消息对应一个用户，消息使用用户的密码生成密钥，从而进行加密，实现各种安全特性。户的密码生成密钥，从而进行加密，实现各种安全特性。 具体来讲，具体来讲，USMUSM定义了下面的目标：定义了下面的目标： 通过数据完整性检查，保护数据在传输过程中没有被篡改或毁坏，传输顺通过数据完整性检查，保护数据在传输过程中没