协议原理ISSUE1020061229A.ppt

2019/7/11,DP500028 SNMP协议原理,ISSUE 1.0,Page 2,学习此课程，您将会： 了解网络管理的基本架构 了解MIB的基础知识 掌握SNMP的基本原理 掌握SNMP的基本配置,目 标,Page 3,第1章 网络管理体系架构 第2章 MIB简介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 总结与回顾,内容介绍,Page 4,网络管理所面临的挑战,网络和分布式处理系统的快速发展与大规模的应用 网络及其相关资源和分布式应用程序变得越来越重要 例如：Clearcase, Notes, Mail 健壮的，能提供7X24小时的服务 网络变得越来越复杂，支持更多的应用程序和用户 更容易出现问题，发生故障 网络管理已成为网络解决方案中重要的一部分 花费最少：人力，设备，资金 提供更智能的网络管理服务,Page 5,网络管理的现状,在一个大型的网络里，我们无法仅依赖人手工来完成整个的网络管理的工作 迫切的需要一种自动化的工具协助我们管理好网络 需要管理的设备和资源很可能来自于不同的厂商 如果每个厂商都提供一套独立的管理接口 比如，命令行（Command Line Interface） 学习各种厂商工具的培训费用开销激增 受限于厂商专有的配置管理工具 一套覆盖服务，协议和管理信息库的标准孕育而生，并且迅速得到了广泛的应用 Simple Network Management Protocol,Page 6,基于SNMP网络管理模型,Page 7,网络管理站 (Network Management Station）,通常是一个独立的设备，运行着网络管理的应用程序 提供一个非常友好的人机交互界面，网络管理员能通过它完成绝大数的网络管理工作 提供失效管理，安全管理，计费管理，配置管理，性能管理等功能,Page 8,代理器（Agent）,Agent是驻留在被管理设备一端 负责接受、处理来自网管站的请求报文，并形成响应报文，返回给NMS 请求包括：信息的查询和动作的执行 在一些紧急情况下，主动通知NMS（发送陷阱TRAP报文） 如接口状态发生改变，呼叫成功等 NMS和Agent之间通过SNMP协议来交互管理信息,Page 9,网络管理协议-SNMP,是一个基于TCP/IP网络的应用层协议，用于在网络管理站和被管理的设备之间交换网络管理信息 SNMPv2可以在多种传输协议IPX，DDP等上使用 Huawei-3com VRP平台支持以下三个协议版本： SNMPv1 SNMPv2c SNMPv3 后面部分会对协议进行具体讲解,Page 10,管理信息库 （Management Information Base）,任何一个被管理的资源都表示成一个对象，称为被管理的对象 MIB就是一个被管理的对象的集合 Agent都会维护一个MIB库 可以对MIB库中的对象进行读取或设置,Page 11,第1章 网络管理体系架构 第2章 MIB简介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 总结与回顾,内容介绍,Page 12,管理信息库 （Management Information Base）,MIB是一个被管理对象的集合，它将定义被管理对象的一系列的属性： 对象的名字（Object IDentifier） 对象的访问权限 对象的数据类型 管理信息结构（Structure of Management Information ）中规定了被管理对象应该如何的组织和定义 SMIv2 (RFC2578) SMIv1 (RFC 1155),Page 13,MIB结构,MIB是以树状结构进行存储的 树的节点表示管理对象，它可以用从根开始的一条路径来无二义的识别：OID,Page 14,OID,唯一的标识一个MIB库中的对象 OID分配机制，保证OID不会冲突 OID是由一些系列的整数组成，标明节点在MIB树中的位置 MIB一旦发布，OID就要和被定义的对象进行绑定 MIB节点不能被删除，只能将它的状态置为“obsolete” 不赞成对MIB节点的反复变更,Page 15,MIB 举例,Page 16,MIB 举例,Address: Object ID = 1.1 Object Instance = 1.1.0 Value of Instance = 130.89.16.2 Name: Object ID = 1.2.1 Object Instance = 1.2.1.0 Value of Instance = printer-1,Page 17,SMIv1 & v2支持的数据类型,Page 18,第1章 网络管理体系架构 第2章 MIB简介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 总结与回顾,内容介绍,Page 19,SNMPv1,Version = SNMPv1 Community Name = “Public” SNMP Operation = Get，Getnext，Set version = SNMPv1 Community Name = “Public” SNMP Operation = GetResponse, Trap,Page 20,团体名(Community Name),团体是由Agent和若干个网络管理站应用程序组成 每个团体通过团体名即一个字符串来区别 团体名实际上是一个相关权限的密码 可以访问哪些节点 访问的类型（读/设置） SNMPv1使用团体名来进行安全机制管理,Page 21,SNMP协议综述,manager agent manager agent manager agent manager agent,get,MIB,response,getnext,MIB,response,set,MIB,response,MIB,trap,Page 22,SNMPv1消息格式,Page 23,SNMPv1-Get操作,获取1个或多个变量的值 可能出现的错误码： noSuchName: 被请求的变量不存在或者它不是一个叶子节点 tooBig：请求的GetResponse PDU的大小超出本地的限制 GenErr： 所有其他的错误,Page 24,SNMPv1-Set操作,给一个已经存在的变量赋值或者在表中创建一个新的实例 可能出现的错误码： noSuchName tooBig genErr badValue,Page 25,SNMPv1-GetNext操作,获取下一个MIB节点的实例名和取值 可能出现的错误码： noSuchName tooBig genErr,Page 26,SNMPv1-GetNext操作,注意：getNext要按字典序进行排列,Page 27,SNMPv1-Trap,向指定的管理站报告某个事件的发生 Trap接受是无需确认的 不是完全可靠的,Page 28,SNMPv1演示,基本的SNMP配置 snmp-agent community read public snmp-agent community write private snmp-agent sys-info version v1 System，ifTable表进行get,getNext,set操作 linkUp和linkDown报文 snmp-agent trap enable standard snmp-agent target-host trap address udp- domain 1.1.1.1 params security public,Page 29,第1章 网络管理体系架构 第2章 MIB简介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 总结与回顾,内容介绍,Page 30,SNMPv2c,在继承了SNMPv1的基础上，增加了： SNMPv2c支持更多的操作 getBulk informRequest (确认的Trap) SNMPv2c支持更多的数据类型 Counter64, Counter32等 V1 不能获取Counter64类型的节点值 SNMPv2c提供了更丰富的错误处理 多种协议的传输支持 SNMPv2c也是基于团体名的安全机制,Page 31,getBulk 操作,是getNext的延伸，一个getBulk操作等价于多次执行getNext操作 能一次获取大量的值，有效地减少网络管理站和被管理设备的通信次数，提高网络性能 getBulk请求报文中增加了2个参数 non-repeaters max-repetitions,Page 32,getBulk 操作,对于变量绑定对中前non-repeaters个变量当作普通的getNext报文来处理 而对于其余的变量当作重复max-repetitions次的gextNext报文处理 例如，getBulk请求报文中： non-repeators = N max-repeatitions = M 响应报文中最大的变量绑定个数 = N + (M * R) 其中R等于getBulk请求报文变更绑定个数减去N,Page 33,getBulk 举例,getBulk( non-repeator = 1; max-repetitions = 2; 1.1; 1.3.1.2; 1.3.1.3) response( 1.1.0 = 130.89.16.2; 1.3.1.3 = 3; 1.3.1.5 = 2； 1.3.1.5 =2; 1.3.1.7 =2 ),Page 34,SNMPv2c提供更丰富的错误码,用于说明 报文错误 原因,指名变量 绑定对中 第几个参 数出错,Page 35,SNMPv2c提供更丰富的错误码,Page 36,第1章 网络管理体系架构 第2章 MIB简介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 总结与回顾,内容介绍,Page 37,为什么会提出SNMPv3？,1998年提出,2002年形成了一套正式的标准 是为了改进SNMPv1/v2c在安全性方面的缺陷 基于团体名(community name)的有限的安全机制 团体名是明文传输，入侵者很容易通过抓包工具来获取 报文不支持加密 限制了SNMP在非完全信任的网络中的使用 SNMPv3在继承了SNMPv2c的基础上，提供 认证 加密 访问控制,Page 38,SNMPv3 基于用户的安全模型 (User-Based Security Model),基于用户的安全模型(User-Based Security Model) 提供了认证(Authentication)和加密(Privacy)的功能 定义了3个安全级别： 无认证无加密 (noAuthNoPriv） 有认证无加密 (authNoPriv) 有认证有加密 (authPriv) 注意：不存在无认证有加密(noauthPriv),因为加密所使用的密码必须与用户相关联,Page 39,SNMPv3 基于用户的安全模型 认证,认证机制确保管理站和Agent之间的通信是可信的 Agent收到的请求报文是报文中所声明的管理站发送的 管理站接收到响应报文是它所希望的目标Agent所响应的 保证消息的完整性，在传输过程中没有被篡改 通过时间窗的机制，防止重放 认证协议：HMAC-MD5或者HMAC-SHA,Page 40,SNMPv3 基于用户的安全模型 认证,基本原理 双方共享一个私有密钥，发送方使用此密钥来创建一个Message Authentication Code（MAC） 接收方使用认证密钥来计算出此MAC，如果与发送方的MAC互相匹配，该消息就通过了认证,Page 41,SNMPv3 基于用户的安全模型 加密,加密范围：消息报文中PDU部分 加密协议：CBC-DES,Page 42,SNMPv3 安全访问控制 (View-Based Access Control Model),安全访问控制可以使Agent对不同的管理者提供不同的管理信息库访问权限 限制访问MIB库信息的访问视图 限制访问MIB库信息的操作类型,Page 43,SNMPv3 安全访问控制 (View-Based Access Control Model),Page 44,SNMPv3 配置举例,scarlet 是v3的一个用户，她的安全级别为authPriv，她属于huawei-3com组，她有权限对MIB-2中的非atTable内的节点进行读或写,Page 45,第1章 网络管理体系架构 第2章 MIB简介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 总结与回顾,内容介绍,Page 46,MIBBrowser（编译MIB）,菜单：,1.选择mib文件(可一次选择多个mib文件) 2.编译mib文件(可一次编译多个mib文件) 3.查看编译信息,确保编译ok 4.弹出编译后的模块保存框 5.Mib文件所在目录无汉字无空格 6.模块间依赖关系,编译信息：,Page 47,MIBBrowser（MIB装载）,菜单,装载操作,Page 48,MIBBrowser（参数配置）,菜单,配置窗口（不能修改Agent Address）：,修改Agent Address:,Page 49,MIBBrowser（参数配置V1/V2）,1、协议：SNMPV1 2、Port Number：SNMP的端口号，默认161 3、Read Community：只读团体字默认public 4、Write Community：读写团体字默认private 5、Timeout：超时时间，默认5s 6、Retries：重试次数，默认4 7. GetBulk参数： a. Non Repeaters：不重复的索引，默认0 b. Max Repetitions：最大重复次数，默认10,Page 50,MIBBrowser（参数配置V3）,1、配置用户：,用户属性： User Name：用户名称 Auth Protocol：验证协议（md5，sha） Priv Protocol：加密协议（des，idea） Auth Pass：验证密码 Priv Pass：加密密码,Page 51,MIBBrowser（MIB操作）,MIB Browse操作： 1、Contact：检测一下是否可以和代理联系上，取代理sysoid的值。 2、 Walk：对选中节点下的子树进行遍历操作 3、 Get：使用选中MIB节点的OID向代理发送Get操作。对父节点无效 4、 GetNext：使用选中MIB节点的OID向代理发送GetNext操作 5、 Get Bulk：使用选中MIB节点的OID向代理发送GetNext操作 6、 Set：发送Set操作。对父节点无效 7、 Table View：查看表信息，针对表节点和表的父节点有效 8、 Find：在MIB树中查找一节点 9、 Properties：查看MIB节点属性,Page 52,Quidview DM (参数配置),SNMPv1/v2配置,SNMPv3配置,Page 53,Quidview DM (打开设备),菜单,1.输入设备IP 2.选择SNMP配置 3.双击设备树中的所选设备 4.颜色变绿为ok，否则Fail,Page 54,Quidview DM (操作),选择要操作的对象,对对象进行snmp操作,1.注意Quidview与