SNMP网络管理体系结构分析

《SNMP网络管理体系结构分析》由会员分享，可在线阅读，更多相关《SNMP网络管理体系结构分析（27页珍藏版）》请在装配图网上搜索。

1、第4章 SNMP网络管理体系结构CMIP网络管理体系结构对系统模型、信息模型和通信协议几个方面都提出了比较完备和理想的解决方案，为其他网络管理体系结构建立了理想参考标准。SNMP网络管理体系结构是为了管理基于TCP/IP协议的网络而提出的，与TCP/IP协议与OSI协议的关系类似，SNMP与CMIP相比，突出的特点是简单。这一特点使SNMP得到了广泛的支持和应用，特别是在Internet上的成功应用，使得它的重要性越来越突出，目前已经成为CMIP之外的最重要的网络管理体系结构。4.1 SNMP体系结构4.1.1 TCP/IP网络管理的发展在TCP/IP的早期开发中，网络管理问题并未得到太大的重

2、视。直到70年代，还一直没有网络管理协议，只有互联网络控制信息协议(ICMP)可以作为网络管理的工具。ICMP提供了从路由器或其它主机向主机传送控制信息的方法，可用于所有支持IP的设备。从网络管理的观点来看，ICMP最有用的特性是回声(echo)和回声应答(echo reply)消息对。这个消息对为测试实体间能否通信提供了一个机制。echo消息要求其接收者在echo reply消息中返回接收到的内容。另一个有用的消息对是时间戳(timestamp)和时间戳应答(timestamp reply)，这个消息对为测试网络延迟特性提供了机制。与各种IP头选项结合，这些ICMP消息可用来开发一些简单有效

3、的管理工具。典型的例子是广泛应用的分组互联网络探索(PING)程序。利用ICMP加上另外的选项如请求间隔和一个请求的发送次数，PING能够完成多种功能。包括确定一个物理网络设备能否寻址，验证一个网络能够寻址，和验证一个主机上的服务器操作。PING在一些工具的配合下满足了TCP/IP网络初期的管理要求。但是到了80年代后期，当互联网络的发展呈指数增加时，人们感到需要开发比PING功能更强并易于普通网络管理人员学习和使用的标准协议。因为当网络中的主机数量上百万，独立网络数量上千的时候，已不能只依靠少数网络专家解决管理问题了。1987年11月发布了简单网关监控协议(SGMP)，成为提供专用网络管理工

4、具的起点。SGMP提供了一个直接监控网关的方法。随着对通用网络管理工具需求的增长，出现了3个有影响的方法。1.高层实体管理系统(HEMS)：主机监控协议(HMP)的一般化。2.简单网络管理协议(SNMP)：SGMP的升级版。3.TCP/IP上的CMIP(CMOT)：最大限度地与OSI标准的CMIP、服务以及数据库结构保持一致。1988年，互联网络活动会议(IAB)确定了将SNMP作为近期解决方案进一步开发，而把CMOT作为远期解决方案的策略。当时普遍认为：TCP/IP不久将会过渡到OSI，因而不应在TCP/IP的应用层协议和服务上花费太多的精力。SNMP开发速度快，并能为网络管理经验库的开发提

5、供一些基本的工具，可用来满足眼前的需要。为了强化这一策略，IAB要求SNMP和CMOT使用相同的被管对象数据库。即在任何主机、路由器、网桥以及其它管理设备中，两个协议都以相同的格式使用相同的监控变量。因此，两个协议有一个公共的管理信息结构(SMI)，和一个管理信息库MIB。但是，人们很快发现这两个协议在对象级的兼容是不现实的。在OSI的网络管理中，被管对象是很成熟的，它具有属性、相关的过程、通报以及其它一些与面向对象有关的复杂的特性。而SNMP为了保持简单性，没有这样复杂的概念。实际上，SNMP的对象在面向对象的概念下根本就不能称为对象，它们只是带有一些如数据类型、读写特性等基本特性的变量。因

6、此IAB最终放松了公共SMI/MIB的条件，并允许SNMP独立于CMOT发展。从对OSI的兼容性的束缚中解脱后，SNMP取得了迅速的发展，很快被众多的厂商设备所支持，并在互联网络中活跃起来。而且，普通用户也选择了SNMP作为标准的管理协议。SNMP最重要的进展是远程监控(RMON)能力的开发。RMON为网络管理者提供了监控整个子网而不是各个单独设备的能力。除了RMON，还对基本SNMP MIB进行了扩充。有些扩充采用标准的网络接口，例如令牌环(token ring)和光纤分布数据接口(FDDI)，这种扩充是独立于厂商的。但是，单靠定义新的或更细致的MIB扩充SNMP是有限的。当SNMP被用于大

7、型或复杂网络时，它在安全和功能方面的不足就变得明显了。为了弥补这些不足，1992年7月发表了3个增强SNMP安全性的文件作为建议标准。增强版与原来的SNMP是不兼容的，它需要改变外部消息句柄及一些消息处理过程。但实际定义协议操作并包含SNMP消息的协议数据单元(PDU)保持不变，并且没有增加新的PDU。目的是尽量实现向SNMP的安全版本的平滑过渡。但是这个增强版受到了另一个方案的冲击。同样是在1992年7月，四名SNMP的关键人物提出一个称为SMP的SNMP新版本。并实现了四个可互操作的方案。两个是商业产品，两个是公开软件。SMP在功能和安全性两方面提高了SNMP，特别是SMP增加了一些PDU

8、。所有的消息头和安全功能都与提议的安全性增强标准相似。最终SMP被接受为定义第二代SNMP即SNMPv2的基础。1993年安全版SNMPv2发布。经过几年试用以后，IETF(Internet Engineering Task Force) 决定对SNMPv2进行修订。1996年发布了一组新的RFC (Request For Comments)，在这组新的文档中，SNMPv2的安全特性被取消了，消息格式也重新采用SNMPv1的基于“共同体(community)”概念的格式。删除SNMPv2中的安全特性是SNMPv2发展过程中最大的失败。主要原因是厂商和用户对1993版的SNMPv2的安全机制不感

9、兴趣，同时IETF要求的修订时间也非常紧迫，设计者们来不及对安全机制进行改善，甚至来不及对存在的严重缺陷进行修改。因此不得不在1996年版的SNMPv2中放弃了安全特性。1999年4月IETF SNMPv3工作组提出了RFC2571RFC2576，形成了SNMPv3的建议。目前，这些建议正在进行标准化。SNMPv3提出了SNMP管理框架的一个统一的体系结构。在这个体系结构中，采用User-based安全模型和View-based访问控制模型提供SNMP网络管理的安全性。安全机制是SNMPv3的最具特色的内容。4.1.2 SNMP基本框架1) 网络管理体系结构SNMP的网络管理模型包括以下关键元

10、素：管理站、代理者、管理信息库、网络管理协议。管理站一般是一个分立的设备，也可以利用共享系统实现。管理站被作为网络管理员与网络管理系统的接口。它的基本构成为：一组具有分析数据、发现故障等功能的管理程序；一个用于网络管理员监控网络的接口；将网络管理员的要求转变为对远程网络元素的实际监控的能力；一个从所有被管网络实体的MIB中抽取信息的数据库。网络管理系统中另一个重要元素是代理者。装备了SNMP的平台，如主机、网桥、路由器及集线器均可作为代理者工作。代理者对来自管理站的信息请求和动作请求进行应答，并随机地为管理站报告一些重要的意外事件。与CMIP体系相同，网络资源也被抽象为对象进行管理。但SNMP

11、中的对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类，对象的集合被组织为管理信息库（MIB）。MIB作为设在代理者处的管理站访问点的集合，管理站通过读取MIB中对象的值来进行网络监控。管理站可以在代理者处产生动作，也可以通过修改变量值改变代理者处的配置。管理站和代理者之间通过网络管理协议通信，SNMP通信协议主要包括以下能力：Get：管理站读取代理者处对象的值；Set：管理站设置代理者处对象的值；Trap：代理者向管理站通报重要事件。在标准中，没有特别指出管理站的数量及管理站与代理者的比例。一般地，应至少要有两个系统能够完成管理站功能，以提供冗余度，防止故障。另一个实际问题是一个

12、管理站能带动多少代理者。只要SNMP保持它的简单性，这个数量可以高达几百。2) 网络管理协议体系结构SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。在分立的管理站中，管理者进程对位于管理站中心的MIB的访问进行控制，并提供网络管理员接口。管理者进程通过SNMP完成网络管理。SNMP在UDP、IP及有关的特殊网络协议(如，Ethernet, FDDI, X.25)之上实现。每个代理者也必须实现SNMP、UDP和IP。另外，有一个解释SNMP的消息和控制代理者MIB的代理者进程。图4.1 SNMP的协议环境图4.1描述了SNMP的协议环境。从管理站发出3类

13、与管理应用有关的SNMP的消息GetRequest、GetNextRequest、SetRequest。3类消息都由代理者用GetResponse消息应答，该消息被上交给管理应用。另外，代理者可以发出Trap消息，向管理者报告有关MIB及管理资源的事件。由于SNMP依赖UDP，而UDP是无连接型协议，所以SNMP也是无连接型协议。在管理站和代理者之间没有在线的连接需要维护。每次交换都是管理站和代理者之间的一个独立的传送。3) 陷阱引导轮询(Trap-directed polling)如果管理站负责大量的代理者，而每个代理者又维护大量的对象，则靠管理站及时地轮询所有代理者维护的所有可读数据是不现

14、实的。因此管理站采取陷阱引导轮询技术对MIB进行控制和管理。所谓陷阱引导轮询技术是：在初始化时，管理站轮询所有知道关键信息(如接口特性、作为基准的一些性能统计值，如发送和接收的分组的平均数)的代理者。一旦建立了基准，管理站将降低轮询频度。相反地，由每个代理者负责向管理站报告异常事件。例如，代理者崩溃和重启动、连接失败、过载等。这些事件用SNMP的trap消息报告。管理站一旦发现异常情况，可以直接轮询报告事件的代理者或它的相邻代理者，对事件进行诊断或获取关于异常情况的更多的信息。陷阱引导轮询可以有效地节约网络容量和代理者的处理时间。网络基本上不传送管理站不需要的管理信息，代理者也不会无意义地频繁

15、应答信息请求。4) 代管(Proxies)利用SNMP需要管理站及其所有代理者支持UDP和IP。这限制了在不支持TCP/IP协议的设备(如网桥、调制解调器)上的应用。并且，大量的小系统(PC、工作站、可编程控制器)虽然支持TCP/IP协议，但不希望承担维护SNMP、代理者软件和MIB的负担。为了容纳没有装载SNMP的设备，SNMP提出了代管的概念。在这个模式下，一个SNMP的代理者作为一个或多个其他设备的代管人。即，SNMP代理者为托管设备(proxied devices)服务。图4.2显示了常见的一类协议体系结构。管理站向代管代理者发出对某个设备的查询。代管代理者将查询转变为该设备使用的管理

16、协议。当代理者收到对一个查询的应答时，将这个应答转发给管理站。类似地，如果一个来自托管设备的事件通报传到代理者，代理者以陷阱消息的形式将它发给管理站。图4.2 SNMP协议体系结构4.2 SNMP 管理信息与CMIP体系相同，SNMP的基础是包含被管元素信息的被称为MIB的数据库。每个被管资源由对象来表示，MIB是这些对象的有结构的集合。在SNMP中，MIB本质上是一个树型的数据库结构。网络中每个的系统都（工作站、服务器、路由器、网桥等）拥有一个反映系统中被管资源状态的MIB。网络管理实体可以通过提取MIB中的对象值监测系统中的资源，也可以通过修改这些对象值来控制资源。4.2.1 管理信息结构

17、SNMP的规范SMI（structure of management information）为定义和构造MIB提供了一个通用的框架。同时也规定了可以在MIB中使用的数据类型，说明了资源在MIB中怎样表示和命名。SMI的基本指导思想是追求MIB的简单性和可扩充性。因此，MIB只能存储简单的数据类型：标量和标量的二维矩阵。我们将看到SNMP只能提取标量，包括表中的单独的条目。SMI避开复杂的数据类型是为了降低实现的难度和提高互操作性。但在MIB中不可避免地包含厂家建立的数据类型，如果对这样的数据类型的定义没有严格的限制，互操作性也会受到影响。为了提供一个标准的方法来表示管理信息，SMI必须：l

18、提供一个标准的技术定义MIB的具体结构;l 提供一个标准的技术定义各个对象，包括句法和对象值;l 提供一个标准的技术对对象值进行编码。1) MIB结构SNMP中的所有的被管对象都被排列在一个树型结构之中。处于叶子位置上的对象是实际的被管对象，每个实际的被管对象表示某些被管资源、活动或相关信息。树型结构本身定义一个将对象组织到逻辑上相关的集合之中的方法。MIB中的每个对象类型都被赋予一个对象标识符(OBJECT IDENTIFIER)，以此来命名对象。另外，由于对象标识符的值是层次结构的，因此命名方法本身也能用于确认对象类型的结构。对象标识符是能够唯一标识某个对象类的符号。它的值由一个整数序列构

19、成。被定义的对象的集合具有树型结构，树根是引用ASN.1标准的对象。从对象标识符树的树根开始，每个对象标识符成分的值指定树中的一个弧。从树根开始，第一级有3个节点:iso、ccitt、joint-iso-ccitt。在iso节点下面有一个为“其他组织”使用的子树，其中有一个美国国防部的子树(dod)。SNMP在dod之下设置一个子树用于Internet的管理。如下所示:internet OBJECT IDENTIFIER : = iso (1) org (3) dod (6) 1因此，internet节点的对象标识符的值是1.3.6.1。这个值作为internet子树的下级节点标识符的前缀。S

20、MI在internet节点之下定义了4个节点:l directory 为与OSI的directory相关的将来的应用保留的节点l mgmt 用于在IAB批准的文档中定义的对象l experimental 用于标识在Internet实验中应用的对象l private 用于标识单方面定义的对象mgmt子树包含IAB已经批准的管理信息库的定义。现在已经开发了两个版本的MIB，mib-1和和它的扩充版mib-2。二者子树中的对象标识符是相同的，因为在任何配置中，只有一个MIB。MIB中的mib-1或mib-2以外的对象可以用以下方法定义:l 由一个全新的修订版(如mib-3)来扩充或取代mib-2。l

21、 可以为特定的应用构造一个实验MIB。这样的对象随后会被移到mgmt子树之下。例如定义包含各种传输媒体的MIB(例如为令牌环局域网定义的MIB)。l 专用的扩充可以加在private子树之下。private子树目前只定义了一个子节点enterprises，用于厂商加强对自己设备的管理，与用户及其他厂商共享信息。在enterprises子树下面，每个注册了enterprise对象标识符的厂商有一个分支。internet节点之下分为4个子树的做法为MIB的进化提供了很好的基础。通过对新对象的实验，厂商能够在其被接受为mgmt的标准之前有效地获得大量的实际知识。因此这样的MIB既是对管理符合标准的对

22、象直接有效的，对适应技术和产品的变化也是灵活的。这一点也反映了TCP/IP协议的如下特性：协议在成为标准之前进行大量的实验性的使用和调测。图4.3 对象标识符树型结构2) 对象句法SNMP MIB中的每个对象都由一个形式化的方法定义，说明对象的数据类型、取值范围以及与MIB中的其他对象的关系。各个对象以及MIB的整体结构都由ASN.1描述法定义。为了保持简单，只利用了ASN.1的元素和特征的一个有限的子集。UNIVERSAL类型:ASN.1的UNIVERSAL类由独立于应用的通用数据类型组成。其中只有以下数据类型被允许用于定义MIB对象:l integer (UNIVERSAL 2)l oct

23、etstring (UNIVERSAL 4)l null (UNIVERSAL 5)l object identifier (UNIVERSAL 6)l sequence, sequence-of (UNIVERSAL 16)前3个是构成其他对象类型的基本类型。object identifier唯一标识对象的符号，由一个integer序列组成，序列中的integer被称为子标识符。对象标识符的integer序列从左到右，定义了对象在MIB树型结构中的位置。sequence 和sequence-of 用于构成表。APPLICATION-WIDE 类型:ASN.1的APPLICATION类由与特定

24、的应用相关的数据类型组成。每个应用，包括SNMP,负责定义自己的APPLICATION数据类型。在SNMP中已经定义了以下数据类型:l networkaddress: 该类型用CHOICE结构定义，允许从多个协议族的地址格式中进行选择。目前，只定义了IpAddress一种地址格式。l ipaddress: IP格式的32位地址。l counter: 只能做增值不能做减值运算的非负整数。最大值被设为232 1，当达到最大值时，再次从0开始增加。l gauge: 可做增值也可做减值运算的非负整数。最大值被设为232 1，当达到最大值时被锁定，直至被复位(reset)。l timeticks: 从某

25、一参照时间开始以百分之一秒为单位计算经历的时间的非负整数。当MIB中定义的某个对象类用到这个数据类型时，参照时间在该对象类的定义中指出。l opaque: 该数据类型提供一个传递任意数据的能力。数据在传输时被作为OCTET STRING编码。被传递的数据本身可以是由ASN.1或其他句法定义的任意的格式。3) 定义对象管理信息库由一个对象的集合构成，每个对象都有一个型和一个值。型是对被管对象种类的定义，因此型的定义是一个句法描述。对象的实例是某类对象的一个具体实现，具有一个确定的值。怎样定义MIB中的对象呢？ASN.1是将被使用的描述法。ASN.1中包含一些预定义的通用类型，也规定了通过现有类型

26、定义新类型的语法。定义被管对象的一个可选方法是定义一个被称为Object的新类型。这样，MIB中所有的对象都将是这种类型的。这个方法在技术上是可行的，但会产生定义不便于应用的问题。我们需要多种值的类型，包括counter、gauge等等。另外，MIB支持二维表格或矩阵的定义。因此，一个通用的对象类型必须包含参数来对应所有这些可能性和选择性。另一个更有吸引力的方法，并且也是被SNMP所实际采用的方法是利用宏（macro）对在被管对象定义中相互关联的类型进行集合定义。一个宏的定义给出相关类型集合的句法，而宏的实例定义一个特定的类型。因此定义被分为以下等级：l 宏：定义合法的宏实例，即说明相关集合类

27、型的句法l 宏实例：通过为宏定义提供实际参数生成实例，即说明一个特定的类型l 宏实例值：用一个特定的值来表示一个特定的实体图4.4是OBJECT-TYPE宏的定义(引自RFC 1212)。图4.4 被管对象宏其中的主要项目是:l SYNTAX: 对象类的抽象句法，该句法必须从SMI的对象句法类型中确定一种类型。l ACCESS: 定义通过SNMP或其他协议访问对象实例的方法。Access子句定义该对象类型支持的最低等级。可选的等级有:read-only、read-write、write-only和not-accessible。l STATUS: 指出该对象在实现上的要求。要求可以是:manda

28、tory(必须)、optional(可选)、deprecated(恳求必须实现的对象，但很可能在新版MIB中被删除)和obsolete(废除不再需要被管系统实现的对象)。l DescrPart: 对象类型语义的文本描述。该子句是可选的。l ReferPart: 对定义在在其他MIB模块中的某个对象的文本型交叉引用。该子句是可选的。l IndexPart: 用于定义表。该子句只是在对象类型对应表中的”行”时才出现。l DefValPart: 定义一个默认值，用于建立对象实例。该子句是可选的。l VALUE NOTATION: 指出通过SNMP访问该对象时使用的名字。由于应用OBJECT-TYPE

29、宏的MIB的完整的定义包含在MIB的冗长的文档中，因此，人们并不常使用它们。比较常用的是更简捷的方法基于树型结构和对象特性的表格表示的方法。4) 定义表格SMI只支持一种数据结构化方法:标量值条目的二维表格。表格的定义用到ASN.1的sequence和sequence of两个类型和OBJECT-TYPE宏中的IndexPart。表格定义方法可以通过实例进行说明。考虑对象类型tcpConnTable，这个对象包含由相应的被管实体维护的TCP connections的信息。对于每个这样的connection，以下信息在表中存储:l state: TCP connection的状态l local

30、address: 该connection的本端的IP地址l local port: 该connection的本端的TCP端口l remote address: 该connection的另一端的IP地址l remote port: 该connection的另一端的TCP端口需要注意的是，tcpConnTable是存放在某个被管系统维护的MIB中。因此，tcpConnTable中的一个条目对应被管系统中的一个connection的状态信息。TCP connection的状态信息有22个项目，按照tcpConnTable的定义，只有上述5个项目对网络管理者来说是可见的。这也体现了SNMP强调保持网络

31、管理简单性的特点。即，在被管对象中，只包含相对应的被管实体的有限的和有用的信息。图4.5给出了tcpConnTable的定义(引自RFC1213)。图4.5 TCP connection Table在图4.5中，可以看到sequence 和sequence of 在定义表格时的应用:l 整个表由一个SEQUENCE OF TcpConnEntry构成。ASN.1的结构SEQUENCE OF由一个或多个相同的元素构成，在本例中(在所有的SNMP SMI的情况下)每个元素是表中的一行。l 每一行由一个指定了5个标量元素的SEQUENCE构成。ASN.1的结构SEQUCECE由固定数目的元素组成，元

32、素的类型可以是多种。尽管ASN.1允许这些元素是可选的，但SMI限制这个结构只能使用“mandatory”元素。在本例中，每一行所包含的元素的类型是INTEGER, IpAddress, INTEGER, IpAddress, INTERGE。tcpConnEntry定义中的INDEX成分确定哪个对象值将被用于区分表中的各行。在TCP中，一个socket (IP地址，TCP端口)可以支持多个connection，而任意一对sockets之间同时只能有一个connection。因此为了明确地区分各行，每行中的后4个元素是必要的，也是充分的。4.2.2 MIB-II在TCP/IP网络管理的建议标准

33、中，提出了多个相互独立的MIB，其中包含为Internet的网络管理而开发的MIB-II。鉴于它在说明标准MIB的结构、作用和定义方法等方面的重要性和代表性，有必要对其进行比较深入的讨论。MIB-II是在MIB-I的基础之上开发的，是MIB-I的一个超集。mib-2组被分为以下分组:l system:关于系统的总体信息;l interface:系统到子网接口的信息;l at (address translation):描述internet到subnet的地址映射;l ip:关于系统中IP的实现和运行信息;l icmp:关于系统中ICMP的实现和运行信息;l tcp:关于系统中TCP的实现和运行

34、信息;l udp:关于系统中UDP的实现和运行信息;l egp:关于系统中EGP的实现和运行信息;l dot3(transmission):有关每个系统接口的传输模式和访问协议的信息。l snmp:关于系统中SNMP的实现和运行信息。1) system 组system组提供有关被管系统的总体信息。表4.1列出了该组中各个对象的名称、句法、访问权限和对象描述。表4.1 system组中的对象ObjectSyntaxAccessDescriptionsysDescrDisplayString (SIZE(0 255)RO对实体的描述，如硬件、操作系统等sysObjectIDOBJECT IDENT

35、IFIERRO实体中包含的网络管理子系统的厂商标识sysUpTimeTimeTicksRO系统的网络管理部分本次启动以来的时间sysContectDisplayString (SIZE(0 255)RW该被管节点负责人的标识和联系信息sysNameDisplayString (SIZE(0 255)RW该被管节点被赋予的名称sysLocationDisplayString (SIZE(0 255)RW该节点的物理地点sysServiceINERGER(0 127)RO指出该节点所提供的服务的集合，7个bit对应7层服务2) interfaces 组interfaces组包含实体物理接口的一般信

36、息，包括配置信息和各接口中所发生的事件的统计信息。表4.2列出了该组中各个对象的名称、句法、访问权限和对象描述。表4.2 interfaces组中的对象ObjectSyntaxAccessDescriptionifNumberINTEGERRO网络接口的数目ifTableSEQUENCE OF ifEntryNA接口条目清单ifEntrySEQUENCENA包含子网及其以下层对象的接口条目ifIndexINTEGERRO对应各个接口的唯一值ifDescrDisplayString (SIZE(0 255)RO有关接口的信息，包括厂商、产品名称、硬件接口版本ifTypeINTEGERRO接口类型

37、，根据物理或链路层协议区分ifMtuINERGERRO接口可接收或发送的最大协议数据单元的尺寸ifSpeedGaugeRO接口当前数据速率的估计值ifPhysAddressPhysAddressRO网络层之下协议层的接口地址ifAdminStatusINTEGERRW期望的接口状态 (up(1), down(2), testing(3)ifOperStatusINTEGERRO当前的操作接口状态 (up(1), down(2), testing(3)ifLastChangeTimeTicksRO接口进入当前操作状态的时间ifInOctetsCounterRO接口收到的8元组的总数ifInUca

38、stPktsCounterRO递交到高层协议的子网单播的分组数ifInNUcastPktsCounterRO递交到高层协议的非单播的分组数ifInDiscardsCounterRO被丢弃的进站分组数ifInErrorsCounterRO有错的进站分组数ifInUnkownProtosCounterRO由于协议未知而被丢弃的分组数ifOutOctetsCounterRO接口发送的8元组的总数ifOutUcastPktsCounterRO发送到子网单播地址的分组总数ifOutNUcastPktsCounterRO发送到非子网单播地址的分组总数ifOutDiscardsCounterRO被丢弃的出站

39、分组数ifOutErrorsCounterRO不能被发送的有错的分组数ifOutQLenGaugeRO输出分组队列长度ifSpecificOBJECT IDENTIFIERRO参考MIB对实现接口的媒体的定义3) address translation 组address translation组由一个表构成，表中的每一行对应系统中的一个物理接口，提供网络地址向物理地址的映射。一般情况下，网络地址是指系统在该接口上的IP地址，而物理地址决定于实际采用的子网情况。例如，如果接口对应的是LAN，则物理地址是接口的MAC地址，如果对应X.25分组交换网，则物理地址可能是一个X.121地址。表4.3列出

40、了该组中各个对象的名称、句法、访问权限和对象描述。表4.3 address translation组中的对象ObjectSyntaxAccessDescriptionatTableSEQUENCE OF AtEntryNA包含网络地址对物理地址的映射atEntrySEQUENCENA包含一个网络地址、物理地址对atIfIndexINTEGERRW表格条目的索引atPhysAddressPhysAddressRW依赖媒体的物理地址atNetAddressNetworkAddressRW对应物理地址的网络地址实际上，address translation组包含在MIB-II中只是为了与MIB-I兼

41、容，MIB-II的地址转换信息在各个网络协议组中提供。4) ip 组ip组包含有关节点上IP实现和操作的信息，如有关IP层流量的一些计数器。ip组中包含3个表，ipAddrTable、ipRouteTalbe和ipNetToMediaTable。ipAddrTable包含分配给该实体的IP地址的信息，每个地址被唯一地分配给一个物理地址。ipRouteTable包含用于互联网路由选择的信息。该路由表中信息是比较原本地从一些协议的路由表中抽取而来的。实体当前所知的每条路由都有一个条目，表格由ipRouteDest索引。ipRouteTable中的信息可用于配置的监测，并且由于表中的对象是read-

42、write的，因此也可被用于路由控制。ipNetToMediaTable是一个提供IP地址和物理地址之间对应关系的地址转换表。除了增加一个指示映射类型的对象ipNetToMediaType之外，表中所包含的信息与address translation组相同。此外，ip组中还包含一些用于性能和故障监测的标量对象。表4.4列出了该组中各个对象的名称、句法、访问权限和对象描述。表4.4 ip组中的对象ObjectSyntaxAccessDescriptionipForwardingINTEGERRW是否作为IP网关（1/0）ipDefaultTTLINTEGERRW插入到该实体生成的数据报的IP头中

43、Time-To-Live字段中的默认值ipInReceivesCounterRO接口收到的输入数据报的总数ipInHdrErrorsCounterRO由于IP头错被丢弃的输入数据报总数ipInAddrErrorsCounterRO由于IP地址错被丢弃的输入数据报总数ipForwDatagramsCounterRO转发的输入数据报数ipInUnknownProtosCounterRO由于协议未知被丢弃的输入数据报数ipInDiscardsCounterRO无适当理由而被丢弃的输入数据报数ipInDeliversCounterRO成功地递交给IP用户协议的输入数据报数ipOutRequestsCo

44、unterRO本地IP用户协议要求传输的IP数据报总数ipOutNoRoutesCounterRO由于未找到路由而被丢弃的IP数据报数ipReasmTimeOutINTEGERRO重组接收到的碎片可等待的最大秒数ipReasmReqdsCounterRO接收到的需要重组的IP碎片数ipReasmOKsCounterRO成功重组的IP数据报数ipRaesmFailsCounterRO由IP重组算法检测到的重组失败的数目ipFragsOkCounterRO成功拆分的IP数据报数ipFragsFailsCounterRO不能成功拆分而被丢弃的IP数据报数ipFragsCreatesCounterRO

45、本实体产生的IP数据报碎片数ipAddrTableSEQUENCE OF IpAddrEntryNA本实体的IP地址信息(表内对象略)ipRouteTableSEQUENCE OF IpRouteEntryNAIP 路由表(表内对象略)ipNetToMediaTableSEQUENCE OF IpNetToMedis EntryNA用于将IP 映射到物理地址的地址转换表(表内对象略)IpRouting DiscardsCounterRO被丢弃的路由选择条目5) icmp 组ICMP (Internet Control Message Protocol)是TCP/IP协议族中的一部分，所有实现I

46、P协议的系统都提供ICMP。ICMP提供从路由器或其他主机向主机传递消息的手段，它的基本作用是反馈通信环境中存在的问题，例如:数据报不能到达目的地，路由器没有缓冲区容量来转发数据报。icmp组包含有关一个节点的ICMP的实现和操作的信息，具体地讲，icmp组由节点接收和发送的各种ICMP消息的计数器所构成由一个表构成。表4.5列出了该组中各个对象的名称、句法、访问权限和对象描述。表4.5 icmp组中的对象ObjectSyntaxAccessDescriptionicmpInMsgsCounterRO收到的ICMP消息的总数icmpInErrorsCounterRO收到的有错的ICMP的消息数

47、icmpInDestUnreachsCounterRO收到的目的地不可到达的消息数icmpInTimeExcdsCounterRO收到的超时的消息数icmpInParmProbsCounterRO收到的有参数问题的消息数icmpInSrcQuenchsCounterRO收到的源有问题的消息数icmpInRedirectsCounterRO收到的重定向的消息数icmpInEchosCounterRO收到的要求echo的消息数icmpInEchoRepsCounterRO收到的应答echo的消息数icmpInTimestampsCounterRO收到的要求Timestamp的消息数icmpInTi

48、mestampRepsCounterRO收到的应答Timestamp的消息数icmpInAddrMasksCounterRO收到的要求Address Mask的消息数icmpInAddrMaskRepsCounterRO收到的应答Address Mask的消息数icmpOutMsgsCounterRO发出的ICMP消息的总数icmpOutErrorsCounterRO发出的有错的ICMP的消息数icmpOutDestUnreachsCounterRO发出的目的地不可到达的消息数icmpOutTimeExcdsCounterRO发出的超时的消息数icmpOutParmProbsCounterRO

49、发出的有参数问题的消息数icmpOutSrcQuenchsCounterRO发出的源有问题的消息数icmpOutRedirectsCounterRO发出的重定向的消息数icmpOutEchosCounterRO发出的要求echo的消息数icmpOutEchoRepsCounterRO发出的应答echo的消息数icmpOutTimestampsCounterRO发出的要求Timestamp的消息数icmpOutTimestampRepsCounterRO发出的应答Timestamp的消息数icmpOutAddrMasksCounterRO发出的要求Address Mask的消息数icmpOutA

50、ddrMaskRepsCounterRO发出的应答Address Mask的消息数6) tcp 组tcp组包含有关一个节点的TCP的实现和操作的信息，图4.5定义的tcpConnTable包含在这个组中。表4.6列出了该组中各个对象的名称、句法、访问权限和对象描述。表4.6 tcp组中的对象ObjectSyntaxAccessDescriptiontcpRtoAlgorithmINTEGERRO重传时间tcpRtoMinINTEGERRO重传时间的最小值tcpRtoMaxINTEGERRO重传时间的最大值tcpMaxConnINTEGERRO实体支持的TCP连接数的上限tcpActiveOpe

51、nsCounterRO实体已经支持的主动打开的数量tcpPassiveOpensCounterRO实体已经支持的被动打开的数量tcpAttemptFailsCounterRO已经发生的试连失败的次数tcpEstabResetsCounterRO已经发生的复位的次数tcpCurrEstabGaugeRO当前状态为established的TCP连接数tcpInSegsCounterRO收到的segments总数tcpOutSegsCounterRO发出的segments总数tcpRetranSegsCounterRO重传的segments总数tcpConnTableSEQUENCE OF TcpC

52、onnTntryNA包含TCP各个连接的信息(表内对象略，参考图4.5)tcpInErrorsCounterRO收到的有错的segments的总数tcpOutRstsCounterRO发出的含有RST标志的segments数7) udp 组udp组包含有关一个节点的UDP的实现和操作的信息。除了有关发送和接收的数据报的信息之外，这个组中还包含一个udpTable表，该表中包含UDP端点的管理信息。所谓UDP端点是指正在支持本地应用接收数据报的UDP进程。udpTable表中包含每个UDP端点用户的IP地址和UDP端口。表4.7列出了该组中各个对象的名称、句法、访问权限和对象描述。表4.7 ud

53、p组中的对象ObjectSyntaxAccessDescriptionudpInDatagramsCounterRO递交该UDP用户的数据报的总数udpNoPortsCounterRO收到的目的端口上没有应用的数据报总数udpInErrorsCounterRO收到的无法递交的数据报数udpOutDatagramsCounterRO该实体发出的UDP数据报总数udpTableSEQUENCE OF UdpEntryNA包含UDP的用户信息udpTableSEQUENCENA某个当前UDP用户的信息udpLocalAddressIpAddressROUDP用户的本地IP地址udpLocalPort

54、INTEGERROUDP用户的本地端口号8) egp 组egp组包含有关一个节点的EGP(External Gateway Protocol)的实现和操作的信息。除了有关发送和接收的EGP消息的信息之外，这个组中还包含一个egpNeighTable表，该表中包含有关相邻网关的信息。表4.8列出了该组中各个对象的名称、句法、访问权限和对象描述。表4.8 egp组中的对象ObjectSyntaxAccessDescriptionegpInMsgsCounterRO收到的无错的EGP消息数egpInErrorsCounterRO收到的有错的EGP消息数egpOutMsgsCounterRO本地产生的

55、EGP消息总数egpOutErrorsCounterRO由于资源限制没有发出的本地产生的EGP消息数egpNeighTableSEQUENCE OF EgpNeighEntryNA相邻网关的EGP表(表内的对象略)egpAsINTEGERRO本EGP实体的自治系统数4.3 简单网络管理协议(SNMP)4.3.1 SNMP支持的操作SNMP只支持对变量的检查和修改的操作，具体地，可以对标量对象进行以下三种操作：l Get：管理站从被管理站提取标量对象值。l Set：管理站更新被管理站中的标量对象值。l Trap：被管理站向管理站主动地发送一个标量对象值。MIB的结构不能通过增加或减少对象实例被改

56、变，并且，访问只能对对象标识树中的叶子对象进行。这些限制大大简化了SNMP的实现，但同时也限制了网络管理系统的能力。4.3.2 共同体和安全控制网络管理是一种分布式的应用。与其他分布式的应用相同，网络管理中包含由一个应用协议支持的多个应用实体的相互作用。在SNMP网络管理中，这些应用实体就是采用SNMP的管理站应用实体和被管理站的应用实体。SNMP网络管理具有一些不同于其他分布式应用的特性，它包含一个管理站和多个被管理站之间一对多的关系。即，管理站能够获取和设置各管理站的对象，能够从各被管理站中接收陷阱信息。因此，从操作或控制的角度来看，管理站管理着多个被管理站。同时，系统中也可能有多个管理站

57、，每个管理站都管理所有的或一部分被管理站。反过来，我们也要看到SNMP网络管理中还包含另外一种一对多的关系一个被管理站和多个管理站之间的关系。每个被管理站控制着自己的本地MIB，同时必须能够控制多个管理站对这个本地MIB的访问。这里所说的控制有以下三个方面:l 认证服务:将对MIB的访问限定在授权的管理站的范围内;l 访问策略:对不同的管理站给予不同的访问权限;l 代管服务:一个被管理站可以作为其他一些被管理站(托管站)的代管，这就要求在这个代管系统中实现为托管站服务的认证服务和访问权限。以上这些控制都是为了保证网络管理信息的安全，即被管系统需要保护它们的MIB不被非法地访问。SNMP通过共同

58、体(community)的概念提供了初步的和有限的安全能力。SNMP用共同体来定义一个代理者和一组管理者之间的认证、访问控制和代管的关系。共同体是一个在被管系统中定义的本地的概念。被管系统为每组可选的认证、访问控制和代管特性建立一个共同体。每个共同体被赋予一个在被管系统内部唯一的共同体名，该共同体名要提供给共同体内的所有的管理站，以便它们在get和set操作中应用。代理者可以与多个管理站建立多个共同体，同一个管理站可以出现在不同的共同体中。由于共同体是在代理者处本地定义的，因此不同的代理者处可能会定义相同的共同体名。共同体名相同并不意味者共同体有什么相似之处，因此，管理站必须将共同体名与代理者

59、联系起来加以应用。认证服务认证服务是为了保证通信是可信的。在SNMP消息的情况下，认证服务的功能是保证收到的消息是来自它所声称的消息源。SNMP只提供一种简单的认证模式:所有由管理站发向代理者的消息都包含一个共同体名，这个名字发挥口令的作用。如果发送者知道这个口令，则认为消息是可信的。通过这种有限的认证形式，网络管理者可以对网络监控(set、trap)特别是网络控制(set)操作进行限制。共同体名被用于引发一个认证过程，而认证过程可以包含加密和解密以实现更安全的认证。访问策略通过定义共同体，代理者将对它的MIB的访问限定在了一组被选择的管理站中。通过使用多个共同体，代理者可以为不同的管理站提供

60、不同的MIB访问控制。访问控制包含两个方面:l SNMP MIB 视图:MIB中对象的一个子集。可以为每个共同体定义不同的MIB视图。视图中的对象子集可以不在MIB的一个子树之内。l SNMP 访问模式:READ-ONLY 或 READ-WRITE。为每个共同体定义一个访问模式。MIB视图和访问模式的结合被称为SNMP共同体轮廓(profile)。即，一个共同体轮廓由代理者处MIB的一个子集加上一个访问模式构成。SNMP访问模式统一地被用于MIB视图中的所有对象。因此，如果选择了READ-ONLY访问模式，则管理站对视图中的所有对象都只能进行read-only操作。事实上，在一个共同体轮廓之内

61、，存在两个独立的访问限制MIB对象定义中的访问限制和SNMP访问模式。这两个访问限制在实际应用中必须得到协调。表4.9给出了这两个访问限制的协调规则。注意，对象被定义为write-only，SNMP也可以对其进行read操作。表4.9 MIB对象定义中的ACCESS限制与SNMP访问模式的关系MIB对象定义中的ACCESS限制SNMP访问模式READ-ONLYREAD-WRITEread-onlyget和trap操作有效read-writeget和trap操作有效get，set和trap操作有效Write-onlyget和trap操作有效，但操作值与具体实现有关get，set和trap操作有效，但操作值与具体实现有关not-accessible无效在实际应用中，一个共同体轮廓要与代理者定义的某个共同体联系起来，便构成了SNMP的访问策略(access policy)。即SNMP的访问策略指出一个共同体中的MIB视图及其访问模式