（计算机应用技术专业论文）高性能安全网管的研究与实现.pdf

摘要 摘要 计算机网络的高速发展给计算机网络管理提出了更高的要 求。在早期互联网并未充分地考虑其安全问题，但今天安全问题 愈加突出，成为研究热点和业界瞩目的焦点。为了解决计算机网 络的安全问题，一个网络管理系统应该提供一定的安全服务以保 证数据通信的安全和网络自身的可靠运行。为满足现代社会对网 络管理的安全需求，仍需要对网络管理协议做进一步的研究工作。 s n m p v 3 ( s i m p l e n e o r km a i l a g e m e n tp r o t o c o lv e 晖i o n3 ) 是 简单网络管理协议的第三版，它在安全性和管理能力这两个方面 对s n m p 进行了扩展，克服了s n m p 的缺陷和问题，提供了认证、 加密和访问控制功能，使其更具有实际应用价值。 本文首先简要介绍了计算机网络管理系统的体系结构及管理 模型，介绍了s n m p 协议的发展过程和相关理论。 接下来介绍了s n m p v 3 的体系结构，重点是安全子系统中基 于用户的安全模型和访问控制子系统中基于视图的访问控制。通 过分析s n m p v 3 中定义的基于用户的安全模型和基于视图的访问 控制模型，在原有企业网管软件的基础上增加s n m p 、r 3 的安全特 性，并能够与原有支持s n m p v l v 2 的网管系统兼容，使得企业网 管系统的安全性得到极大的增强。 但是，我们在实际使用s n m p v 3 轮询被管设备时，发现获 取信息的时间间隔变长了，这不利于网络管理者有效实时的监控 被管设备。尤其是在获取大的m i b 表( 如路由表) 时，会产生大 量的数据传输，等待的时问让人无法忍受，同时占用大量的带宽 和c p u 资源。因为功能的增强势必以增加系统开销为代价，尽管 摘要 s n m p 、r 3 填补了安全漏洞，但是还需考虑到其效率。s n m p v 3 为 完成一个相同的功能，需要比其他版本的s n m p 需要更长的报文， 而且在使用s n m p 、，3 时，一部分处理时间耗费在为鉴别以及加， 解密信息上，大大增加了响应延时。为此，结合参加北京友泰公 司“c n c i l 讧鲫网络管理者软件”的项目实践，提出了一种新的解 决方案一g e t m o d j f y 机制，通过扩展s n m p v 3 协议栈，使得管理 者在轮询代理时，要求代理只传输在该轮询间隔内m m 表中变化 的数据，从而大大减少了由于大m m 表的大量数据传输及加解 密产生的响应延时，有效地提高了带宽利用率，同时减轻了管理 者由于处理加密，解密大量数据带来的负荷。 最后，针对上面所研究的理论和解决方案提出g e i m o d i f v 技 术实现，并对采用g 吧t m o d i f y 方法获取表的s n m p v 3 协议栈进行 性能测试，与采用现有的方法( g e t b u l k ，g e t s u b l 慨) 获取表的 s n m p v 3 协议栈比较分析得出结论。 【关键词】网络管理，s n m p v 3 ，刚络安全 【论文类型】应用研究 a b s 灯a c t a b s t r a c t t h en e 觚o f k m a l l a g e m e n tn e e dt op m v i d em o r ef i l n c t i o n sf o rt h e h i g h l yd e v e i o p m e n to ft h en e t w o r k i nt h ee a r l yt i m e ，h l t e m e td i d n t c o n s i d e rt h es e c u r i t yi s s u ef h l l y b u t t o d a yt h es e i c u r i t yi s s u ei s i n c r e 舔i n g萨e a t l y ，a i l d b e c o m e st h ef b c u so ft h es c i e n t i f i c c o m m u n i t y i i l o r d e ft or e s o l v et h e s e c u r i t yi s s u e ，t h e n e t w o r k m a n a g c m e n ts y s t c l ns h o u l dp r o v i d es e c u t i t yf i i n c t i o nt oc o u n t e r d i f 诧r 锄tl 【i n d so fa n a c k s i i lo r d e rt os a t i s f ys e c u r i t yr e q u i r c m e n t so f t h em o d e ms o c j e t y ，w es t mm u s td oal o to fr e s e a r c ho nt h en e t w o r k m a n a g e m c n tp r o t o c 0 1 s n m p v 3i st h et h i r dv e r s i o no fn e t 、v o f km a n a g e m e n t ，a n da d d s t h es e c u r i t y 柚dm 觚a g e m e n tt ot h ep r e v i o u sv e r s i o no fs n m p n p r o v i d e sa u t h e n t i c a t i o n ，p f i v a c y a i i da c c c s sc o n t r o l s e r v i c e s o v e r 0 0 m e st l l ed e f e c t so fs n m pa l l db e c o m e sv a l u a b l ei nt h e a c t u a ia p p l i c a t i o n f i r s t l y ，t h i sp a p e ri n t m d u c et l l ea r c h i t e c t u r ea n dm o d e lo ft h e n e 咖f km a i l a g e m e n ts y s t e m ，a sw e ua st h ed e v e l o p m e n tp r o c e s s 卸dr e l a t i v em e o r yo fp m t o c 0 1 s e c o n d l y ，p a p e r w i ui n t r o d u c et h ea r c h i t e c t u r eo f s n m p v 3 ，c s p e c i a l l yt h e u s e 卜b a s c d s e c u r i t ym o d e l ( u s m ) a n d v i e w - b a s e da c c e 踮c o n 仃o lm o d c l ( v a c m ) t 1 l i sp 印e ra i i a l y z e st h e s e c u m ym e c h a n j s mo fu s ma n dv a c mi n d e t a i l ，a n da d d st h e s e c u r i t y f c a t u r e so fs n m p v 3j n t oc u r r c n te n t e r p r i s en e t w o r k a b s 岫c t m a n a g e m e n ts y s t e ms u p p o n i n gs n m p v l v 2 ，a i l d 掣e a t l ye n h a n c et l l e s e c t yo ft t l ee n t e r p f i s e e t 、) l 帕r km a n a g e m e ms y s t c m h o w e v e r ，w ed i s o o v e r e dv e r yl a r g el a t e c yw h e u s i n gs n m p v 3 t op o l lt h ea g e n t s ，w l i i c hm a k e st h es t a t eo fn e h o r kd i f f i c u l tt o u n d e r s t a n di i lr e a l - t i n i e e s p e c i a i l y ，w h e nn e t w o r km a a g 哪e n ts y s t c m r c q u 洫dt h cl a r g cm i bt a b k ( c 晷l p m u t i n g r a b l c ) ，i tr a i s e sb u l kd a t a t f a 璐五e r ，a l l dt h e nl e a d st ow 嬲t eb a n d w i d ma n da d d i 6 0 m lc p uu s a g c n ef i l l l c t i o ni se n b a n c e da tt h ec o s to f h i g l lp e 面衄卸c c u t h o u g h s n m p v 3r e s o l v e ss e c u r i t yi s s u e ，t h ep e r f o 瑚a n c cd c g r a d a t i o na tt h c s a m et i m em u s tb e c o n s i d c r e d 胁i m p l 嘲e n tt h es 锄ef l i c t i 叫， s n m p v 3n e c d s l o n g e rm e s s a g c t h a n s n m p v l ，v 2 c h l a d d i t i o n ，s n m p v 3i n 蛐o d u c c sap m 乒e s s i v eo o m p u t a t i o n a ll o a da s s o o n 觞i tu s e s s e c u r i t yf i l n c t i o n s ( a u t h e n t i c a t i o n 姐dp r i v a c y ) t h e r c f o r e ，c o m b i n i n gw i t ht h e “c n e t m a nn e t w o r km a n a g e m e n t s o f l w a r c ”p r a c t i c e ，w ep m p o s et h eg e t m o d i f ym e t h o d ，w h i c hw i i l e x t e n dt h es n m p v 3p 1 0 t o c o ls t a c k i t r e 嫡e v e sc h a n g e dd a t a ( a d d e do r u p d a t c dd a t a i nm mt a b l e ) o i l l yd u 血gp o l l i i l gi n t e r v a i s 1 1 i i s o p c r a t i o n m i n i l i l i z e s l a t e n c y 卸dt h ea m o u n to fm 锄a g e m e n t i i i f o 瑚a t i o nd l l r i l i gt 啪s f c rc o m p a r c dw i t hp r e v i o 璐m e 血o d s f i n a l l y ，w ep r c s e mt l l ea l g o r j t h mu s i n gg e t m o d i f yb ye x t e n d i n g m em a n a g c ra l l da g e n t w ee v a l u a t ct h cp e 1 0 珊a o ft h ep r o p o s e d a p p m a c ha sc o m p a r e dt ot h ee x i s 血gm e t h o d s ( g e t b u l k g e t s u b n e e ) a d dd r a wac o n c l l l t i o n k e yw o r d s ：n e t w 吖km 肌a g e 咖t ，s n m p v 3 ，n e t w o r ks e 明n t y y8 7 9 8 5 独创性声明 本人声明，所呈交的学位论文是我个人在导师指导 下进行的研究工作及取得的研究成果。尽本人所知，除 了文中特别加以标注和致谓十的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得北 京交通大学或其他教学机构的学位或证书而使用过的 材料。与我一起工作的同志对本研究所做的任何贡献已 在论文中作了明确的说明并表示了谢意。 日期： 关于论文使用授权的说明 本人完全了解北京交通大学有关保留、使用学位论 文的规定，即：学校有权保留送交论文的复印件，允许 论文被查阅和借阅；学校可以公布论文的全部或部分内 容，可以采用影印、缩印或其他复制手段保存论文。论 文中所有创新和成果归北京交逶大学计算机与信息技 术学院所有。未经许可，任何单位和个人不得拷贝。版 权所有，违者必究。 斟秘幽 蟹辩；望出遂月盟日 第一章绪论 1 1 论文的研究背景 网络管理系统是一个网络的中枢，它可以调节网络的功能，监视 网络的运行状态，因此有着极为重要的地位。而网管数据作为网络设 备的配置、性能以及故障等的反映，关系着网络是否能正常、有效的 运行。所以，确保网管系统的安全和网管数据的私密性有着重要的意 义。 简单网络管理协议，即s n m p ( s i l l l p l en e 咐o r km a i l a g e m e n t p m t o c 0 1 ) 由于其易于实现和广泛的t c p ，i p 应用基础成为事实上的网 络管理的标准，然而s n m p 存在着许多缺陷，最重要的一点就是缺少 安全性。由于s n m p 的广泛应用，其协议自身的安全也称为业界关注 的问题。 s n m p 协议在其前两个版本中，表现得过于简单，甚至连作为认 证用的共用体名在网上都以明文进行传输，安全性没有任何保障，限 制了其应用的范围。一些协议内容潜在地为那些顽强的黑客提供了方 便。在技术飞速发展的今天，协议分析仪的普遍使用，使黑客能容易 地依靠s n m p 得到网络拓扑结构和配置的详细信息。更另人不安的是， 在执行s e t 操作时，若在传输的过程中截取共用体名，就能控制对远程 s n m p 设备的管理权。 简单网络管理协议的最新版本s n m p v 3 针对这一点进行了有 效地扩展。以增加安全性为主题的s n m p v 3 草案在1 9 9 8 年就被m t f 提 上了讨论的日程，其正式标准也已于2 0 0 2 年年底颁布。s n m p v 3 中定 北京交通人学硕士学位论文 义了基于用户的安全模型和基于视图的访问控制模型。提供基于用户 的身份验证，s n m p 消息的完整性保护以及对网管数据进行加密等安 全机制，为s n m p 本身提供了安全保护，有效地抵御了信息更改、伪装、 消息序列的更改和泄漏等安全威胁。为此，建立一种基于s n m p v 3 的 安全有效网络管理系统实际可行并且是至关重要的。 s n m p v 3 尽管在安全性方面有了很大的改进，但是并没有有效的 对m m 数据的大量传输进行改进。s n m p v 3 为完成一个相同的功能， 需要比其他版本的s n m p 需要更长的报文，而且在使用s n m p 、，3 时，一 部分处理时间耗费在为鉴别计算h m a c 以及加解密信息上，大大增加 了响应延时。所以，业界担心实现s n m p v 3 安全特性所带来的附加开 销会影响网管系统的性能。如何提高基于s n m p v 3 的安全网管系统的 性能是业界目前普遍关心与研究的课题。 1 2 国内外研究现状 目前，国外的许多公司和研究机构都推出了支持s n m p v 3 的产品 或底层a p i ，如付费的a d v e n t n e t 公司的网管软件以及免费开放的加 利福尼亚大学d a v i s 小组的n e t - s n m p 软件包、m g s o f t 的m i b b m w s e r 、a d v e n t n e t 的s n m p v 3a p i 、a g e n t + + 的s n m p + + v 3 与 a g e n t + + v 3 等。 主要路由器和交换机厂商都支持该协议。例如，c i s c 0 在其i o s 1 2 o 之后的所有产品中都支持s n m p v 3 。在管理平台方面，c a 的 u n j c e n t e r 、h po p e n e w 、i b mt i v o l i 等都支持s n m p v 3 。这些管理 工具包将用户名和口令存储在自己的数据库中，这样它们便可以安全 地与s n m p v 3 兼容设备进行通信，并对其实施管理。同时，s n m p v 3 2 绪论 也在慢慢赢得宽带供应商的青睐。例如，有的厂商开始使用s n m p v 3 对其c a b l em o d e m 网络实施安全管理，它们还利用更为强大的加密手 段对该规范进行了扩展。 在国内，华为在了解客户对于安全网管的需求的基础上，在新一 代的以太网交换机中全面支持安全的s n m p v 3 协议，通过其提供的加 密等手段，解决s n m p 传统的安全性问题。随着主要路由器和交换机 厂商不断的在新一代的网络设备中支持s n m p v 3 协议，致使未来的网 络环境中支持s n m p v 3 的设备越来越多。 国内也有一些厂商推出了基于s n m p 的网管软件产品，但其应用 的灵活性和扩展性远远比不上国外的先进产品。国内的一些网管软件 正在研究与开发中，还不是很成熟，大部分不支持s n m p 、，3 ，不能满 足安全网络管理的需要。 由于网络安全管理的重要性，在吸收国外产品优点的基础之上开 发出自有的、适合实际市场需要的、可扩展性强的网管产品已经成为 一个非常重要的课题。 1 3 论文的主要研究内容 本文是在研究和分析有关基于s n m p v 3 的安全网管的国际发展现 状和趋势下，讨论了s n m p v 3 的安全机制，明确提出了将s n m p 、r 3 融 入到现有网管软件中的实现方法，并结合友泰公司“c n e t m a n 网络管 理者软件”的项目实践，提出了一种提高s n m p v 3 安全网管性能的解 决方案。 第一章是绪论，首先介绍该课题的研究背景，然后介绍目前国内 外的研究现状，最后简述本文的主要内容和结构安排。 北京交通大学硕士学位论文 第二章是网络管理系统的基本理论，主要介绍了网络管理的整体 情况。本章首先给出了网络管理的概念，然后分析了网络管理的功能 需求和体系结构，最后介绍网络管理的国际标准。 第三章对s n m p 的基础理论作了必要介绍，包括管理信息结构， 管理信息库以及协议操作过程等。 第四章详细介绍s n m p v 3 的框架结构，说明了其中各个模块的功 能和新的消息格式。在此基础上，讨论了s n m p v 3 的安全性，包括加 密、认证机制，重点介绍了基于用户的安全模型和基于视图的访问控 制模型。 第五章主要实现在原有企业网管软件的基础上增加s n m p 、r 3 的安 全特性，并能够与原有支持s n m p v l v 2 的网管系统兼容，使得原有网 管系统的安全性得到极大的增强。本章详细描述了该系统的设计思想、 接口功能的定义、线程池的实现，并且给出了部分关键模块功能实现 的c + + 语言代码，从通信的响应延时方面，对s n m p v 3 协议栈的性能 进行分析，并提出提高s n m p v 3 协议栈性能的改进方案。 第六章主要是描述提高s n m p 、r 3 协议栈性能的改进方案。首先分 析已有的g e t b u l k 、g e t s u b t r e e 方法的优缺点，然后提出一个新的方 法g e t m 0 d 蚵。它通过扩展s n m p v 3 协议栈来实现，即管理端和代理 端的扩展，使得在使用s n m p v 3 轮询代理时，要求代理只传输在该轮 询问隔内m i b 表中变化的数据，有效的解决了由于s n m p v 3 的新增 安全性而带来的效率低下。最后，对扩展的s n m p 、，3 协议栈性能进行 分析。 最后总结本文的研究工作，提出了有待于继续研究的工作。 4 网络管理系统 第二章网络管理系统 2 1 网络管理系统的概念 网络管理的基本目的是保证网络可靠性、提高网络运行效率。网 络管理的概念随着现代网络技术的发展而演变。对于网络管理，目前 还没有严格统一的定义，但可以从系统管理者与终端用户等不同角度 理解。因此，综合各种用户对网络管理的理解和当前网络管理的内在 含义，可以将网络管理定义为：以提高整个网络系统的工作效率、管 理层次与维护水平为目标，主要涉及对网络系统的运行及资源进行监 测、分析、控制和规划的行为与系统 1 。 通常所讨论的网络管理主要是指计算机网络管理，但从广义而 言，还应包括电信网络管理( t m m 等。 2 2 网络管理的功能需求 网络管理功能描述网络管理系统所要完成的管理任务。网络管理 涉及网络资源和活动的规划、组织、监视、计费和控制。国际标准化 组织( i s o ) 在网络管理的相关标准和建议中定义了故障、配置、性能、 计费和安全五大o s i ( o p e ns y s t e mh l t e l 仰e c 。管理功能 1 。 2 2 1 故障管理脚 包括故障的检测、定位与排除，以及0 s i 环境的异常操作的校正 等工作。实现对来自网络设备与节点的报警信息进行监控、报告和存 储，以及进行故障检测、诊断、修复，确保网络连续可靠地运行 1 。 5 北京交通大学硕士学位论文 2 2 2 配置管理嘲 是对网络的各种配置参数进行确定、设置修改、存储和统计等操 作所组成的集合。涉及定义、收集、监视、控制和使用配置数据，配 置数据包括管理域内所有资源的任何静态和动态信息。配置管理通过 修改被管对象的存在性、属性、状态和管理来控制被管对象，以使网 络最大限度地提供其资源和业务。具有事件报告、设备配置、状态监 测、管理配置信息等功能。 2 2 3 计费管理脚 规定数据业务资费标准，管理用户业务使用的费用，提供用户使 用网络资源的记录。根据用户使用网络资源的统计，获取计费信息。 针对不同用户与业务模式采用时间、流量、服务计费的不同策略。 2 2 4 性能管理嘲 包括性能监视和性能控制，提供监视与分析网络资源与服务的性 能机制，目的是为把服务质量( o o s ) 维持在一定的经济有效状态。主要 通过周期性地从被管设备中采集并向系统报告与网络性能相关的测 量数据，提供网络性能趋势分柝，并根据预测结果对网络配景参数进 行调整。 2 2 5 安全管理【2 l 保护网络用户资源与设备以及网络管理系统本身不被未经授权 的用户访问。安全管理通过网络安全策略，降低运行网络及其网络管 理系统的风险。包括物理安全、访问控制和传输安全等方面的内容。 6 网络管理系统 2 3 网络管理的体系结构 一个网络管理系统一般要包含以下几个元素：若干个( 可能很多 个) 需要被管理的网络设备节点，如路由器、服务器等设备，每个节点 上都运行着一个称为设备代理( a g c n t ) 的应用进程，其实是对被管理设 备的各种被管理对象的信息如流量等的搜集和对这些被管对象的访 问的支持；至少一个管理工作站，该管理站运行着管理平台应用系 统，实现为管理员提供对被管设备的可视化的图形界面，从而使管理 员可以方便的进行管理；一个管理协议，用来定义设备代理和管理 工作站之间管理信息传送的规程。其中管理协议的操作是在管理框架 下进行的，管理框架定义了和安全相关的认证、授权、访问控制和加 密策略等各种安全防护框架。 2 4 网络管理的国际标准阁 一个网络管理系统涉及到系统结构、信息处理以及信息交换等多 方面的内容，而这些内容的研究开发都必须遵循一定的标准和规范， 对网络管理标准研究的核心内容就是网络管理功能的精确定义和实 现技术的选择。 致力于网络管理标准化工作的组织主要有：i s 0 ，c c r r f i t u n 和i e r r f 等。1 s 0 对网络管理的标准化工作始于1 9 7 9 年，主要针对开放 互连o s i 七层模型而设计，其主要成果是c m i p ( 通用管理信息协议) 。 c c r r 定义了具有标准协议、接口和结构的电信管理网t m n ，它包含 了0 s i 的基本思想，与o s i 管理方案互为补充。t f 为了管理日益 增长的i i l t e m e t ，决定采用基于0 s i 的c m i p 协议作为i i l t e m e t 网络管 理协议，对该协议进行了修改，称c m o t ( c 响m o nm a n a g e m e n to v e r 北京交通大学硕士学位论文 t c p ，i p ) 。i 勘1 f 将原有的s g m p ( 简单网关监控协议) 进一步修改，作为 向c m o t 临时过渡的解决方案，形成了著名的s n m p v l 6 。 以0 s l 模型为基础的c m 口和以t c p 佃模型为核心的s n m p 是当前 网络管理中得到应用的主要协议标准。c m i p 具有通行与完善性的优 点，但设计复杂，没有得到普遍的应用；s n m p 具有简单性、灵活性 和可扩展性的优点，实现简单，易于标准化。s n m p 最初主要是为基 于t c p 的互连网设计，现已在口鄹p x 、d e c n e t 以及a p p ie t a i ，k 等协议中实现，现代数据通信产品和主流网络管理系统一般都提供对 s n m p 的支持。随着s n m p 的应用普及和版本升级，s n m p 已经成为事 实上的网络管理工业标准。 8 s n m p 协议的理论基础 第三章s n m p 协议的理论基础 s n m p ( 简单网络管理协议) 实际上被习惯地称作是网络管理规 范的集合，包括管理协议本身、管理信息数据库的定义以及其他相关 概念。s n m p 提供了个标准的网络管理框架，定义了传送管理信息 的协议消息格式及管理站和设备代理相互之间进行消息传送的规范。 3 1s n m p 的发展f 2 l i c m p 是基本t c p ，即协议簇中提供的可用于网络管理的协泌，提 供了从路由器或其它主机向主机传送控制信息的方法。i c m p 消息可 被用来开发简单有效的管理工具。最明显的例子是广泛应用的分组互 联网络探索( p i n g ) 程序。 1 9 8 7 年1 1 月发布了简单网关监控协议( s g m p h 成为提供专用网 络管理工具的起点。随后s n m p 以s g m p 的升级版的形式提出。 出于业界对网络管理协议标准化的迫切要求的驱动，l e t f 于1 9 9 0 发布了s n m p v l 的正式r f c 文档，其设计思想重点放在保证协议的 简单性、灵活性和可扩展性上，并希望把s n m p 作为一个过渡性的嘲 管协议来作为实现对瓦连的网络设备进行管理时遵循的标准，待o s i 的网络管理协议c m i p 的开发、实现和标准化成熟和竞善到可阻在 业界推广之后，再用c m 口来替换s n m p 。但是由于各种的原因，c m i p 并没有替代s n m p ，而s n m p 逐渐的成为业界的标准。 s n m p 有3 个丰版本，分别为s n m p v l 、s n m p v 2 和s n m p v 3 。 其中s n m p v 2 又分为若干个子版本，其中s n m p v 2 c 应用最为广泛。 s n m p v l ：是第一个正式协议版本，在r f c l l 5 5 r f c l l 5 8 中定 s n m p v l ：是第一个正式协议版本，在r f c l l 5 5 r f c l l 5 8 中定 9 北京交通大学硕士学位论文 义，该版本采用了基于共同体名的安全机制； s n m p 、r 2 c ：这个版本被称为基于共同体名的s n m p v 2 ，使用基于 共同体名的安全机制和s n m p v 2 p 做出的协议操作方面的扩充，由 r f c l 9 0 1 r f c l 9 0 6 定义： s n m p v 3 ：该协议版本采用基于用户的安全机制，其安全机制是 在s n m p v 2 u 和s n m p v 2 4 基础上进行大量的评议以后进行了更新，并 且对协议的逻辑功能模块进行了划分而保证了良好的可扩充性，由 r f c 2 ”1 r f c 2 2 7 5 所定义。 3 2s n m p 的一些基本概念【2 】 我们在下面给出了一些s n m p 的概念，在这些概念中，有些虽然 名称与o s i 管理的某些概念相同，但匠r f 对其进行了修改或重新定 义。 代理( a g e m ) ：代理是网络部件上的一个软件模块。它收集并维 护这个网络部件的管理信息。 被管对象m o ( m 肌a g c d o b j e c t ) ：一个m o 描述了网络部件的某 个可被管理的特性。 管理信息库m i b ( m a n a g e m e n tl n f o 皿a t i o nb a s e ) ：概念上的一个 存放被管对象的库。 管理信息结构s m i ( s t 九l c t u r eo fm 她a g e m e n ti n f 0 皿a t i o n ) ：定义 了描述管理信息的规则。m t f 定义了一个a s n 1 的子集，并用这个 子集描述了s m i 。 管理站n m s ( n e 咐o r km 姐a g e m e ms t a t i o n ) ：负责执行网络管理 任务的设备，通常是一台工作站。 s n m p 协议的理论基础 组( p a n y ) ：在s n m p v 2 中为了增强安全性而新定义的一个概念。 一个组是一个逻辑上的s n m p v 2 实体，可以启动或接收s n m p v 2 通信。 每个s n m p v 2 组包括一个唯一的组标识，一个逻辑网络位置，一个单 独的授权协议和一个单独的私有协议。 管理协议：管理协议是n m s 和代理之间通信所使用的网络协议。 3 3s n m p 的管理参考模型【2 l s n m p 的管理参考模型中包含四个关键元素： s n m p 管理站 s n m p 代理者 管理信息库( m i b ) 网管协议 图3 1 显示s n m p 的管理参考模型，以及它们四者之间的关系和 s n m p 所提供的五种服务： 其中管理者是整个网络管理系统的核心，负责完成网络管理的各 项功能，如排除网络故障和配置网络等。它一般位于网络中的一个主 机节点上。代理一般有多个，分别位于网络中的网络设备上，如路由 器，交换机等等。代理监测所在网络部件的工作状况以及此部件周围 的局域网状况，收集有关网络信息。管理者应定期轮询各个代理以获 得网络信息，进行分析并采取相应的措施。m i b 通常位于相应的代理 e 。 1 1 北京交通大学硕士学位论文 图3 1s n m p 管理参考模型 管理站：一般是一个独立的设备，也可以是共享系统的一个能力。 管理站被作为网络管理员与网络管理系统的接口。它的基本构成为； 一组具有分析数据、发现故障等功能的应用程序。 一个用于网络管理员监控网络的接口。 将网络管理员要求转变为对远程网络元素实际监控能力。 一个从所有被管网络实体的m m 中抽取信息的数据库。 代理者：主机、网桥、路由器及集线器等可以装备s n m p 的代理 者，从而使这些设备能够获得管理站的管理。代理者对来自管理站的 信息请求和动作请求进行应答，并异步地为管理站报告一些重要的意 外事件。实际上是一个“守候”进程，一方面随时记录网络设备的运 行情况，收集网络信息保存在管理信息库中；另一方面处理来自于网 络管理程序的查询，读取或修改m i b 中的变量值。 管理信息库：管理网络资源的方法是将它们表示为对象。所谓对 s n m p 协议的理论基础 象是一个表示被管资源某一方面的数据变量。对象的集合被称为管理 信息库m i b 。m i b 作为设在代理者处的管理站访问点的集合。对象被 标准化为跨越系统的类。管理站通过读取m i b 中对象的值来进行网络 监控。 网络管理协议：管理站和代理者之间通过网络管理协议通信， s n m p 通信协议主要包括以下能力： g c t _ 由管理站去获取代理的m m 对象值； s c t ：由管理站去设置代理的m m 对象值； t m p ：使得代理能够向管理站通告重要事件。 s n m p 定义在t c p i p 协议簇的应用层，它通过用户数据报协议 ( u d p ) 来操作。在管理站中，管理者进程通过s n m p 完成网络管理。 s n m p 在u d p 、i p 及有关的特定f 目络协议( 如e t h c m c t 、f d d i 、x 2 5 ) 之上实现。 每个代理者也必须实现s n m p 、u d p 和i p 。由代理者进程解释 s n m p 的消息和实现对m m 的访问。 3 4s n m p 的工作原理 上一节描述了s n m p 中所用的管理者什e 理的模型。代理与管理 者之间通过标准信息通信，这些信息中的每一个都是一个单个的包。 s n m p 使用u d p 作为第4 层( 传输层) 的协议，由于u d p 提供的是 面向无连接的服务，因此，s n m p 不需要依靠在代理和管理者之间保 持连接来传输消息。 s n m p 主要由三个部分组成：管理信息结构s m i 、管理信息库m i b 和管理协议。 北京交通大学硕士学位论文 管理信息结构包含定义s n m p 的基本规则。它描述了管理对象以 及在n m s 和代理之间传送的管理信息的定义。 管理信息库是管理对象的集合。 管理协议是网络管理信息互换的规则。 3 5s n m p 协议【2 l a s n 肿报文组成 s n m p 报文没有固定的段，使用标准的a s n 1 编码。s n m p 报文 主要由三个部分组成：协议版本号，共同体标识( c o 蚴u 媳y ) 和个数 据区域。 数据区域划分成若干个数据单元p d u ，每个p d u 由一个“请 求”或一个“响应”报文组成。 b s n 肿p d u s n m p 是一个简单的请求应答协议。n m s 可以发出多个请求而不 用收到应答。在s n m p v l 定义了五个p d u ，下面是对这些p d u 的简 介。 g e t r e q u c s t ：请求获取代理上一个m m 变量的值。 g e t - n e x “e q u e s t ：请求获取代理上一张表中的下一个m m 变量的 值。当管理者想要访问代理的一张表格时，它首先发出一个对这张表 格的g e t - r e q u e s t ，然后再发出一系列g e t m e x t - r e q u e s t 来遍历这张表格。 r e s p o n s e ：响应g e t - f c q u e s l 、g e t _ c x t - r c q u e s t 、g e t _ b u l k r e q u e s t 、 s e t - r e q u e s t 和i n f o m r e q u e s tp d u 所用的p d u 。 s e t m q u e s t ：设置代理上一个m m 变量的值。 t m p ：当代理监测刮某些突发事件时，用t r a p 向管理者报告。 s n m p v l 和s n m p v 2 在t r a p 的格式上有比较大的不同。 1 4 s n m p 协议的理论基础 s n m p v lp d u 包括两个部分：第一个部分包含一个版本号和一个 共同体标识( c o m m u n i t y ) ；第二个部分是真正的s n m pp d u ，如表3 1 所示： 表3 1s n m p v lp d u 格式 版本号共同体标识请求标识符错误状态错误索引变量绑定列表 v b 俗i o nc o n 衄n i t v r e q u e s t l di j r m r 眺 e 册r l n d e x啪i n d l i s t c 洲_ p 报文交换 遵循尽量减少s n m pa 萨n t 的复杂性的原则，s n m p 报文交换选 择不可靠的数据报服务( u d p ) ，每个传输数据报包含了报文的全部 内容。 s n m p 协议是运行在u d p 协议之上，它利用的是u d p 协议的 1 6 1 1 6 2 端口。其中1 6 1 端口被设备代理监听，等待接收管理者进程 发送的管理信息查询请求消息；1 6 2 端口由管理者进程监听等待设备 代理进程发送的异常事件报告陷阱消息，如t r a p 。报文交换的过程如 图3 2 所示。 3 6 管理信息库( m 旧) 【2 1 s n m p 同样采用了被管对象( m a n a g e d0 b j e c t ) 来描述网络中的 被管资源，但与i s 0 所提出的被管对象有一些不同，s n m p 中的这个 概念被大大简化了，没有继承等面向对象的特性，可以说，s n m p 中 的被管对象仅相当于i s o 所定义被管对象的一个属性( a t t r i b u t e ) 。m i b 是网络管理系统中一个概念上的被管对象的数据库，一般位于一个代 1 s 北京交通大学硕士学位论文 理上。 图3 2s n m p 报文交换的过程 管理数据库是网络管理数据的标准，在这个标准里规定了网络代 理设备必须保存的数据项目、数据类型以及允许在每个数据项目中的 操作。通过对这些数据项目的存取访问，就可以得到该网管的所有统 计内容，再通过对多个网管统计内容的综合分析实现基本的网络管 理。 a 一i b 的划分 s n m p 的管理信息库是一个树形结构的数据库，在每个管理信息 类别中均包含了相应的管理信息，其结构如图3 3 所示。 b _ i b 变量表示 在s m i 结构中已经介绍每一个管理对象类型都有一个名字、语法 和编码。名字由o b j e c t l d d i m r 唯一表示；语法表示对应被管 1 6 s n m p 协议的理论基础 图3 3 管理信息库的分层结构 对象的抽象数据结构；编码表示对应抽象数据结构的a s n 1 编码。 o b j e c ti d e n t i f l e r 表达的是全局树的整数序列，在前面图中，i p 组中所有变量的0 b j e c tm e n r i f i e r 的前缀为1 3 6 1 2 1 4 ，其文字 表示是：i s o o r g d o d i m e m e t m g m t m i b i p 。m m 为其路由表变量 i p r o u t e t a b l e 在其名字空间下分配数字标识符为2 1 ，则其数字表示为： 1 3 6 1 2 1 4 2 1，对应的文字表示 为： i s o o 曙d o d i n t e m e t m g m t m i b i p i p r o u t e i b l b l e 。 1 7 北京交通大学硕士学位论文 3 7s n m p v 2 s n m p v l 是基于一种主动轮询的监视机制，轮询间隔短时间内对 网络性能影响很大，不适合大规模的网络管理；s n m p v l 不支持管理 站管理站之间的通信，这样，它不允许一个管理系统去了解由另一个 管理系统管理的设备和网络的状况。与s n m p v l 单纯的集中式管理模 式不同，s n m p 、r 2 支持分布式分层式的网络管理结构，在s n m p 、，2 管理模型中有些系统可以同时具有管理器和代理的功能，作为代理， 它可以接收上一级管理系统的命令，访闯其存储的本地信息，也可以 提供它所负责的管理域中其它代理的信息摘要，向上级管理器发送 t r a p 信息。s n m p v 2 增加了g e t b u l k 和h l f o 册两个协议操作。前者是 用来获取大批数据的，而后者提供了管理者与管理者之间传递随机通 报的途径。 s n m p v 2 定义了两个m i b 库，一个相当于s n m p v l 的m i b i i ， 另一个是m 柚a g e r - t o m a n a g e f ( m 2 m ) m m ，提供对分布式管理结构的 支持。 总体来看，s n m p v l 和v 2 版本对用户权力的惟一限制是访问口 令，而没有用户和权限分级的概念，只要提供相应的口令，就可以对 设备进行d e a d 或r e a d 、】l r r i t e 操作，安全性相对薄弱。 1 9 9 3 版的s n m p v 2 采用了基于p a n y ( 伙伴) 概念的安全机制，将 s n m p v 2 的p d u 的前面加上基于p a n y 的消息头，用来实现隐私保护、 认证和访问控制。 由于基于p a n y 概念的安全机制比较复杂，没有得到广泛的接受， 1 9 9 6 年提出了基于c o m m u n i t v 概念的s n m p v 2 的消息格式，即 s n m