（通信与信息系统专业论文）基于snmpv3的网络安全管理技术的研究.pdf

东北大学硕士学位论文 基于s n m p v 3 的网络安全管理技术的研究 摘要 近年来，随着通信技术和计算机技术的进一步融合，计算机网络的规 模正日益庞大，不同厂商的网络设备越来越多的应用于同一个网络中，要 保持如此复杂庞大的网络正常高效的运行，在出现故障时能快速找出并排 除故障变得日渐困难。为了解决这个问题，就要求助于网络管理系统。网 络管理系统就是合理配置整个网络的资源，使整个网络高效正常运行，并 能对故障作出迅速反应的系统。它是现代网络研究的重大课题。 自上个世纪9 0 年代以来，网络界普遍采用s n m p 协议来管理网络，如 今s n m p 协议已经成为网络管理业内事实上的标准。经过多年的发展和升 级，目前它的最新版本为s n m p v 3 。s n m p v 3 包含了s n m p v l 和s n m p v 2 的所有功能，同时还增加了包括认证服务和加密服务在内的新的安全体系， 规定了一套专门的网络安全与访问控制规则。 本文首先介绍了基于s n m p 协议的网络管理基础，分析了现今流行的 网络安全技术，比如防火墙技术、i p s e c 技术、s s l 技术等。接下来本文结 合现代网管的需求特征，重点研究和分析了s n m p v 3 的各个模块的功能和 结构。针对s n m p v 3 协议中提到的安全机制，本文在基于开源代码库 a g e n t + + 的基础之上，用c + + 语言实现了基于用户的安全模型( u s m ) 和基 于视图的访问控制模型( v a c m ) 。其中u s m 模块中采用d e s 算法实现对 s n m p 消息进行加密，有效地防止了传输中消息被窃取和利用的后果，同 时采用m d 5 消息摘要算法来实现对消息源进行鉴定，有效的抵制了消息被 黑客改动而对网络管理产生的威胁。通过加密、认证和访问控制模型的实 现，提高了网络管理信息传输的安全性，保证了网络设备数据的安全，改 善了现今网络管理安全性能低下的缺陷。另外，本文给出来部分u s m 和 v a c m 实现的c + + 语言源代码。 关键词：网络管理；s n m p ；s n l f i p v 3 ；加密 认证；u s l l ；v a c m 东北大学硕士学位论文 a b s t r a c t r e s e a r c ho fn e t w o r ks e c u r i t ym a n a g e m e n tt e c h n o l o g y b a s e d0 ns n m p v 3 a bs t r a c t r e c e n t y e a r s ， w i t ht h e c o m b i n i n g o f c o m p u t e rt e c h n o l o g y a n d c o m m u n i c a t i o nt e c h n o l o g y ，t h es i z eo fn e t w o r kb e c o m e sl a r g e ra n dl a r g e r ， m o r ea n dm o r en e t w o r ke q u i p m e n t sc o m ef r o md i f f e r e n tp r o d u c e r sa r eu s e di n o n en e t w o r k i tm a k e sn e t w o r kb em o r e c o m p l i c a t e d a n dh a r d e rt ob e m a n a g e d i no r d e rt ok e e pt h ew h o l en e t w o r kr u ni nh i g hq u a l i t ya n dd e t e c t t h ef a u l t sp r o m p t l y ，w en e e dt or e s o r tt ot h en e t w o r km a n a g e m e n ts y s t e m i t s f i r s ta n dm o s ti m p o r t a n tt a s ki st oc o n f i g u r ea l ln e t w o r kr e s o u r c ea n dk e e pt h e w h o l en e t w o r kr u n si nh i g hq u a l i t y r e s e a r c ho nn e t w o r km a n a g e m e n ts y s t e m i sam o m e n t o u ss u b j e c to fm o d e r nn e t w o r k s i n c e19 9 0 s ，p e o p l em a n a g en e t w o r kw i t ht h es n m pp r o t o c 0 1 n o w s n m ph a sb e c o m et h es t a n d a r d o fn e t w o r km a n a g e m e n t a f t e r y e a r s d e v e l o p i n ga n du p d a t i n g ，i t sl a t e s t v e r s i o ni ss n m p v 3 i ta u g m e n t sn e w s e c u r i t y a r c h i t e c t u r e i n c l u d i n ge n e r y p t i o n a n da u t h e n t i c a t i o nb a s e do n s n m p v1a n ds n m p v 2a n df o r m u l a t e sp r i v a t er u l e so nn e t w o r ks e c u r i t ya n d a c e e s sc o n t r 0 1 t h i sp a p e ri n t r o d u c e sn e t w o r km a n a g e m e n tb a s e do ns n m pf i r s t ，t h e n a n a l y z e ss e v e r a lp o p u l a rt e c h n o l o g y so fn e t w o r ks e c u r i t ys u c ha sf i r e w a l l ， i p s e ca n ds s le t c a c c o r d i n gt ot h ed e m a n dc h a r a c t e r i s t i co fm o d e r nn e t w o r k m a n a g e m e n t ，t h i sp a p e rr e s e a r c h e s f u n c t i o na n ds t r u c t u r eo fe v e r ys n m p v 3 m o d e ld e e p l y a tt h ee n do ft h i sp a p e r ，i ti m p l e m e n t st w om o d e l su s ma n d v a c mo fs n m p v 3b a s e do no p e n s o u r c ec o d eb a s ea g e n t + + w i t hc + + l a n g u a g e i n t h eu s ms u b s y s t e md e sa l g o r i t h mi su s e df o r m e s s a g e e n c r y p t i o n ，t h i sa l g o r i t h mp r o t e c t st h et r a n s m i t t i n gm e s s a g e m e a n w h i l e ， m d 5a l g o r i t h mi su s e df o rs o u r c ea u t h e n t i c a t i o ni nt h i ss y s t e m ，i tr e s i s t s h a c k e r s i n v a s i o ne f f e c t i v e l y w i t ht h ei m p l e m e n t i n go ft h e s et w om o d e l si t i m p r o v e st h es e c u r i t yo fn e t w o r km a n a g e m e n ti n f o r m a t i o na n dk e e p st h ed a t a o fn e t w o r ke q u i p m e n t si ns a f e a l s o ，t h i sp a p e rg i v e sp a r to ft h ek e yc + + i i i 东北大学硕士学位论文a b s 仃a c t l a n g u a g ec o d eo fu s mm o d e la n dv a c mm o d e l k e yw o r d s ：n e t w o r km a n a g e m e n t ；s n m p ；s n m p v 3 ；e c r y p t i o n a u t h e n t i c a t i o n ：u s m ；v a c m 独创性声明 本人声明，所呈交的学位论文是在导师的指导下完成的。论 文中取得的研究成果除加以标注和致谢的地方外，不包含其他人 己经发表或撰写过的研究成果，也不包括本人为获得其他学位而 使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 己在论文中作了明确的说明并表示谢意。 学位论文作者签名： 日期： 学位论文版权使用授权书 鹈 陟2 口 本学位论文作者和指导教师完全了解东北大学有关保留、使 用学位论文的规定；即学校有权保留并向国家有关部门或机构送 交论文的复印件和磁盘，允许论文被查阅和借阅。本人同意东北 大学可以将学位论文的全部或部分内容编入有关数据库进行检 索、交流。 ( 如作者和导师不同意网上交流，请在下方签名；否则视为同意。) 学位论文作者签名： 签字日期： 导师签名： 签字日期： 东北大学硕士学位论文 第一章绪论 第一章绪论 引言 随着计算机技术的发展，计算机技术和通信技术的进一步融合，使得 计算机网络技术有了长足的进步。网络技术的运用已经从最初的军事领域 扩展到现在几乎所有的民用领域当中。当前计算机网络发展呈现出规模不 断扩大，复杂性不断增加，异构性越来越高的特点1 1 】。一个网络往往由若 干个大大小小的子网所组成，其中集成了多种网络系统( n o s ) 平台，并 且包括了不同厂家、公司的网路设备和通信设备。同时，网络中还运行着 许多网络软件以提供各种服务。随着用户对网络性能要求的提高，如果没 有一个高效的管理系统对网络进行管理，那么就很难保证网络系统为用户 提供令人满意的服务。作为一项重要的技术，网络管理对网络的发展有着 重大的影响，并已成为现代信息网络中最重要的课题之一。 1 1 网络管理的发展 网络管理并不是一个什么新概念，从广义上讲，任何一个系统都需要 管理，只是由于系统大小、复杂性高低的不同，管理在整个系统中的重要 性也就有重有轻。对于最初的网络管理，我们可以追溯到1 9 世纪的电信网 络开始形成之时，那时电信网络就已经有了自己相应的管理“系统”了， 那就是整个电信网络系统的管理员们，尽管他们能管理的内容非常有限， 但就广义而言他们已经构成了“网管系统”了。而计算机网络的管理则是 伴随着1 9 6 9 年世界上第一个计算机网路一a r p a n e t ( 美国国防部高级研究 计划局网络) 的产生而产生的。当时的a r p a n e t 就有一个相应的管理系统。 在随后的一些网络中，如i b m 的s n a 、d e c 的d n a 、s u n 的a p p l e t a l k 等，也都有自己相应的管理系统。虽然网络管理很早就有，却一直没有受 到应有的重视。这主要是因为早期的网络一个原因是网络规模小，第二是 因为网络复杂性不高。一个简单的网络管理系统就足以满足整个网络正常 管理的需要，因而对网络管理系统的研究较少。但随着近年来网络的迅猛 发展，规模日益庞大，复杂性高度增加，以前的简单的网络管理技术已经 远远不能适应实际网络管理的需要了。 】， 东北大学硕士学位论支第一章绪论 网络规模的日益扩大和网络应用水平的不断提高，一方面使得对网络 进行维护成为网络管理的重要问题之一，例如找出和排除网络故障更加困 难，维护成本也变得越来越高等；另一方面，如何提高如此庞大规模网络 的性能已成为网络应用的主要研究课题。怎么来提高网络的性能昵? 主要有 两种途径：通过增强或改善网络的静态措施可以提高网络的性能，例如增 强网络+ 服务器的处理能力，采用网络交换新技术来拓宽网络的带宽等；或 者通过网络运行过程中负载均衡等动态措施来提高整个网络的性能。通过 静态或动态措施提高网络性能分别被称为网络静态性能和动态性能。而网 络的动态性能的提高是通过网络管理系统即“网管系统”来加以解决的。 1 2 网络管理的功能要求 一般说来，网络管理的目的就是通过某种方式对网络状态进行调整， 使网络的各种资源得到更高效的利用，当网络出现故障时能及时作出报告 和处理，并协调、保持网络的高效运行。为了满足上述的要求，网络管理 系统就要求完成一定的功能。网络管理的功能描述了网络管理系统所要完 成的管理任务。网络管理涉及整个网络资源和活动的规划、组织、监视、 计费和控制。国际标准化组织( i s o ) 在网络管理的相关标准和建议中对网络 管理定义了故障、配置、性能、计费和安全五大管理功能区域。下面对 这五项功能作以简要说明： 故障管理( f a u l tm a n a g e m e n t ) 包括故障的检测、定位与排除，以及 o s i ( o p e ns y s t e mi n t e r c o n n e c t ) 环境异常操作的校正工作等。实现对来自网 络设备与节点报警信息的监控、报告和存储，以及进行故障检测、诊断、 修复，确保网络连续可靠地运行。 性能管理( p e r f o r m a n c e m a n a g e m e n t ) 包括性能监视和性能控制，提供 监视与分析网络资源及服务的性能机制，目的是为了把服务质量( q o s ) 维持 在一定的经济有效状态。性能管理主要通过周期性地从被管设备中采集并 向系统报告与网络性能相关的测量数据，提供对网络性能趋势的分析，并 根据预测性结果对网络配置参数进行必要的调整。 配置管理( c o n f i g u r a t i o nm a n a g e m e n t ) 对网络的各种配置参数进行确 定、设置、修改、存储和统计等操作的集合。涉及定义、收集、监视、控 制和使用配置数据。配置数据包括管理域内所有资源的任何静态和动态信 息。配置管理通过修改被管对象的存在性、属性、状态和管理来控制被管 2 东北大学硕士学位论文 第一章绪论 对象，以使网络最大限度地提供其资源和业务。具有事件报告、设备配置、 状态监测、管理配置信息等功能。 计费管理( a c c o u n t i n gm a n a g e m e n t )规定数据业务资费标准，管理用 户业务使用和费用，提供用户使用网络资源的记录。根据用户使用网络资 源的统计获取计费信息。针对不同用户与业务模式采用时间、流量、服务 等不同的计费策略。 安全管理( s e c u r i t ym a n a g e m e n t )保护网络用户资源与设备以及网络 管理系统本身不被未经授权的用户访问。安全管理通过网络安全策略，降 低运行网络及其网络管理系统的风险。包括物理安全、访问控制和传输安 全等方面的内容，它是本文研究的重点。 在这里要说明的是：i s o 所定义的网络管理的各项功能不是一成不变 的，随着网络的复杂化和网络提供业务的多样化，各项管理功能也在发生 着变化，典型的就是网络的计费管理，单一的计费方式早已不在适应，现 代的计费方式根据服务的不同而成效出多样化。 1 3 国内外研究现状 目前s n m p 的最新标准为v 3 ，它是一个针对以前版本的扩展框架，主 要扩展的是安全性能管理，但同时它也增加了复杂性。因此目前在各种网 络设备中并未得到广泛的实现和应用。当前的研究主要集中于如何裁减和 修改s n m p v 3 ，使之适合各种各样的网络结构。 此外，对于目前的网管系统，安全问题一直没有得到很好解决，例如 送往被管设备的数据包如何防止被侦听、篡改，以及如何确定不同用户的 不同网管权限。这些都是s n m p v 3 的所要解决的主要问题。 在网络管理的实现方面也出现了许多新的技术，如分布式网管、智能 化网管，它们都是针对当前网络管理的具体问题而提出的。分布式网管是 为了弥补集中式网管的不足，节约网管所需的带宽。智能化网管是在网管 中引入智能化管理，减少了人工的干预。在网络故障处理方面，智能技术 应用得比较成功。 1 4 本文的组成结构 第一章绪论部分论述了当前网络发展的现状和网络管理的功能要求， 以及国内外对网络管理的研究现状。 3 东北大学硕士学位论文 第一章绪论 第二章概述了s n m p 网络管理，对s n m p 协议作了细致的叙述。 第三章主要讲述在现代网络所面临的各种安全威胁从而得出网络管理 中安全管理的重要性，介绍了目前采用的几种安全技术，例如防火墙技术、 i p s e c 技术等等。 第四章是本文的重点研究内容，详细地讲述了s n m p v 3 协议体系结构， 突出的讲述了它安全方面的独特性能。 第五章实现了s n m p v 3 中的u s m 和v a c m 两大安全模型，增强了网 络管理的安全性能。 第六章对本文做了简单的总结，对未来的网络管理系统作了简单的展 颦。 4 东北大学硕士学位论文第二章基于s n m p 的网络管理概速 第二章基于s n m p 的网络管理概述 2 1s n m p 协议发展历史 最早的s n m p 由简单网关管理协议s g m p ( s i m p l eg a t e w a y m a n a g e m e n tp r o t o c 0 1 ) 修改而来。r f c l 0 6 7 第一次用s n m p 定义了信息 如何在网络管理系统和代理之间传递，稍后r f c l 0 9 8 废除了r f c l 0 6 7 ， 然后在r f c l l5 7 中i a b 接受并通过r f c l 0 9 的提议，确认s n m p 为一个 标准协议。此后，由于s n m p 受到广泛地欢迎和应用，网络界又对s n m p 协议进行了多次修订和增强，它的大致的发展历史如图2 1 所示： s g m p 上 s n m p v 2 + s n m p v 3 图2 1s n m p 协议的发展演化图 f i 9 2 1 e v o l u t i o no fs n m p 2 1 1s n m p 第一版本 s n m p 第一版本( 以后简称s n m p ) 确立了s n m p 的基本结构和管理模 型，并定义了一些基本的协议操作。在s n m p 的第一个版本中仅提供基本 的和有限的安全能力。在m i b 的s n m p 组中还有两个适用于安全管理的 对象 4 1 ： s n m p i n b a d c o m m u n i t y n a m e s ：带有错误共同体字符串的所有包数。 s n m p i n b a d c o m m u n i t y u s e s ：带有共同体字符串不允许的请求操作的所 有包数。 通过对这两个对象的监视访问有助于网络的安全管理，但这只能用于 记录错误登录使用的包数。如果发生共同体名字被窃取的情况它是无能为 ，5 东北大学硕士学位论文第二章基于s n m p 的网络管理概述 力的。因此，该版本的s n m p 存在着较大的安全性隐患。 2 1 。2 安全s n m p 安全s n m p ( s - s n m pr f c l 3 5 1 13 5 3r f c l 3 2 1 ) 是针对s n m p 安全性能 薄弱的问题而提出的，它对s n m p 的安全性能进行了一些改进，但与s n m p 并不兼容。s s n m p 安全性服务与机制主要有以下三种i 5 1 ： 一数据完整性 ( d a t ai n t e g r i t y ) s - s n m p 使用m d 5 消息摘要算法，它在s n m p 消息合适的部分计算 出1 2 8 位的摘要，与消息合并在一起进行发送以确保接受到的数据和发送 的数据一致，没有被复制、插入或修改。 - 数据起源认证( d a t a o r i g i na u t h e n t i c a t i o n ) 在消息摘要计算出来之后，会在消息的前面附加一个秘密值以提供对 数据源的认证。 _ 数据保密性( d a t ap r i v a c y ) s - s n m p 使用对称加密算法d e s ( 数据标准加密) 来提供保密性，它要 求源和目的共用同一密钥。 2 1 3s n m p 第二版本( s n m p v 2 ) s n m p v 2 ( r f c l 9 0 2 一1 9 0 8 ) 吸取了r m o ns n m p 和安全s n m p 在功能和 安全性能上对s n m p 的发展经验，同时顺应网络管理的发展需求，对s n m p 进行了一系列的扩充 6 1 。s n m p v 2 同时可以支持高度集中或分布式的网络， 有些系统可以同时执行管理站和代理的功能。s n m p v 2 在基本s n m p 的五 个p d u 的基础上又增加了g e t b u l k r e q u e s tp d u ( 用于表操作) 和 i n f o r m r e q u e s tp d u ( 用于管理站与管理站之间交换管理信息) 。这样，可以 减少检索大批管理信息时协议的交换次数，同时解决了管理站与管理站不 能通信的局限。 在安全性能上的扩充主要是在s - s n m p 基础上进行了一些优化，基本 框架与s - s n m p 相同。s n m p v 2 的安全机制与s - s n m p 不同的是去掉了 有序传送机制。并简化了时钟同步算法。在s n m p v 2 中新增了上下文这个 概念。上下文是一个可被s n m p v 2 实体访问的被管理对象资源集合。它与 访问控制和m i b 视图有关，代理根据上下文所标识的范围和m i b 视图执 行适当的操作。它为访问控制提供了较为有效的存储方式。 6 东北大学硕士学位论文第二章基于s n m p 的网络管理概述 s n m p v 2 与s n m p v l 相比。有以下几点优点：扩展了数据类型，提 高了性能和效率，确认了事件通知，丰富了错误处理，发展了行生成和删除 操作，更好地调整了数据定义语言。 2 1 4s n m p 第三版本( s n m p v 3 ) s n m p v 3 是建立在s n m p v l 和s n m p v 2 的基础上的s n m p 的成果。 s n m p v 3 于19 9 8 年1 月被r f c 2 2 7 0 2 2 7 5 作为建议稿提出。1 9 9 9 年5 月作为标准草案发表在r f c 2 5 7 0 2 5 7 5 。它与s n m p v l 和s n m p v 2 的基 本结构和组件保持一致，同时，它又实现了s n m p v 2 未能实现的几个目 标，最主要是在安全性方面获得了极大地提高。在后文中将具体介绍 s n m p v 3 。 2 2 s n m p 协议结构 作为t c p i p 协议族的一部分，s n m p 协议在u d p ( u s e rd a t a g r a m p r o t o c a l ，用户数据报协议) 之上进行操作。s n m p 被设计成应用程序级的协 议。 对于管理工作站，管理进程为网络管理员提供接口，并通过s n m p 来 进行网络管理。s n m p 在u d p ，i f 和相关网络协议之上实现。每个代理 也必须实现s n m p ，u d p 和i p 。代理进程解释s n m p 消息，并控制代理 的m i b l 8 。 下图2 2 更详细的表述了s n m p 的内容。从管理工作站开始，发送三 种类型的s n m p 消息：g e t r e q u e s t ，g e t n e x t r e q u e s t 和s e t r e q u e s t 代表管 理应用程序。其中前两种功能是g e t 功能的变种。这三种消息、都由代理 以g e t r e s p o n s e 消息的形式来应答，并将该消息上传到管理应用程序。除 此之外，代理可能发送t r a p 来响应影响m i b 和底层被管资源的事件。 7 东北大学硕士学位论文 第二章基于s n m p 的网络管理概述 图2 2s n m p 结构 f i 9 2 2 s t r u c t u r eo fs n m p 2 3s n m p 管理信息 同其它任何网络管理系统一样，基于t c p i p 的网络管理系统的基础是 含有被管理元素信息的数据库。在t c p i p 环境下，该数据库被称为m i b ( 管 理信息库) 1 9 1 。每个被管理资源由一个对象来表示，m i b 就是这些对象的结 构化集合。对s n m p 而言，m i b 在本质上是一个树型结构的数据库。网络 中的每个系统( 工作站，路由器等) 都维护一个可以反映被管理资源在系统 中状态的m i b 。网络管理实体通过读取m i b 对象的值来监视系统中的资源， 也能够通过修改这些值来改变系统的设置。 为满足协同操作的要求，对于m i b 必须使用统一的表示方案。这点通 是过定义一个管理信息结构( s m i ， s t r u c t u r eo fm a n a g e m e n ti n f o r m a t i o n ) 来实现的。s m i 确定了可用于m i b 中的数据类型并说明对象在m i b 内部怎 样表示和命名。 2 3 1m i b 结构 s n m p 环境中的所有被管对象都按层次性结构( 树型结构) 来排列。树型 结构中叶结点对象就是实际被管理对象。每一个对象都代表一些资源、活 动或其它管理的相关信息。树型结构本身定义了怎样把对象组合成逻辑相 关的集合。 8 东北大学硕士学位论文 第二章基于s n m p 的网络管理概速 l i i 7 穴_ 、 ii 图2 3m i b 结构树 f 。i g2 3 t r e es t r u c t u r eo fm i b 每一个被管对象由对应的对象标识符( o i d ，o b j e c ti d e n t i f i e r ) 睢一标 识，其值由整数序列组成。从对象标识符的根节点开始，每一个对象标识 符在树上形成了一条唯一的路径。也就是说，对象在树型结构中的位置清 楚的标识了如何访问这个对象。从根开始，在第一级有三个树节点：i s o ， c c i t t 和j o i n t i s o c c i t t 。整个树的结构如上图2 3 所示： 例如，i n t e r n e t 对象的o i d i s o ( 1 ) o r g ( 3 ) d o d ( 6 ) 1 ) 即可以表示如下： 1 3 6 1 。图中的m i b 2 节点下，包含了最常用、最基本的标准m i b 对象。 2 3 2 对象语法 每一个s n m p 的m i b 对象都要正式的定义，规定对象的数据类型、允 许的形式、取值范围以及与其它m i b 对象之间的关系。 2 3 2 1u n i v e r s a l 类型 u n i v e r s a l 类由用于一般用途的与应用程序相关的数据类型所组成，其 中下列数据类型可用于定义m i b 对象。 i n t e r o c t e t s t r i n g n u l l 9 东北大学硕士学位论文第二章基于s n m p 的网络管理概述 o b j e c ti d e n t i f i e r s e q u e n c e s e q u e n c e o f 其中前四种是基本类型，是组成其它对象类型的基本块。最后一项由 s e q u e n c e 和s e q u e n c e - o f 组成，这种类型用于构建一个表。 2 3 2 2 应用程序范围的类型 a p pl i c a t i o n 类由与特定应用程序相关的数据类型组成。下面是 s n m p v l 中己定义的应用程序范围的类型。 i p a d d r e s s ：由i p 协议规定的3 2 位地址。 c o u n t e r ：只能增加不能减少的非负整数。规定最大值为2 ”1 。 g a u g e ：可增可减的非负整数。最大值为2 ”- 1 。 t i m e t i c k s ：计算从某一时间点开始时间的非负整数，单位为百分之 一秒。 o p a q u e ：该类型能够传递任意类型数据。数据在传输时按o c t e t s t r i n g 编码，数据本身可以是任何格式。 2 3 2 3 定义对象 管理信息库由一系列对象组成，每一个对象都有类型和取值。对象类 型定义了被管对象的特定种类，对象类型的定义是语法描述。对象实例是 对象一定要有具体取值的特定实例。 为了定义m i b 对象，要使用抽象语法描述( a b s t r a c ts y n t a xn o t a t i o n ， a s n ) 符号 1o l 。a s n 包含了一些已预定义的通用类型以及定义从己有类型衍 生新类型所用的语法规则。s n m p 采用宏定义来定义被管对象的一系列相 关类型。 r f c l 2 1 2 中的o b j e c t t y p e 宏的定义如下： i m p o r t so b j e c t n a m ef r o mr f c l1 5 5 一s m i d i s p l a y s t r i n gf r o mr f c l15 8 - m i b o b j e c t t y p em a c r o ：= b e g i n t y p en o t a t i o n ：= “s y n t a x ”t y p e ( o b j e c t s y n t a x ) “a c c e s s ”a c c e s s “s t a t u s ”s t a t u s 】0 东北大学硕士学位论文 第二章基于s n m p 的网络管理概述 d e s e r p a r t r e f e r p a r t i n d e x p a r t d e f v a l p a r t v a l u en o t a t i o n ：= v a l u e ( v a l u e0 b je c t n a m e ) a c c e s s ：= “r e a d o n l y j r e a d w r i t e l w r i t e o n l y l “n o t a c c e s s i b l e ” s t a t u s ：= “m a n d a t o r y ”| “o p t i o n a l ”| “o b s o l e t e ”| “d e p r e c a t e d ” d e s c r p a r t ： = d e s c r i p t i o n ”v a l u e ( d e s c r i p t i o nd i s p l a y s t r i n g ) e m p t y r e f e r p a r t ：= “r e f e r e n c e ”v a l u e ( r e f e r e n c ed i s p l a y s t r i n g ) e m p t y i n d e x p a r t ：2 “i n d e x ” i n d e x t y p e s ” le m p t y i n d e x t y p e s ：= i n d e x t y p e i i n d e x t y p e s ，”i n d e x t y p e i n d e x t y p e ：2 v a l u e ( i n d e x o b j e c to b j e c t n a m e ) 一- i fi n d e x o b j e c t ，u s et h es y n t a x v a l u eo ft h ec o r r e s p o n d e n t o b j e c t - t y p ei n v o c a t i o n i t y p e ( i n d e x t y p e ) - - o t h e r w i s eu s en a m e ds m it y p e - - - m u s tc o n f o r mt oi n d e x s y n t a xb e l o w d e f v a l p a r t ：= “d e f v a l ”v a l u e ( d e f v a l u eo b j e c t s y n t a x ) “) ”l e m p t y e n d i n d e x s y n t a x ：= c h o i c e n u m b e ri n t e g e rf o m a x ) ， s t r i n go c t e ts t r i n g ， o b je c to b j e c ti d e n t i f i e r ， a d d r e s sn e t w o r k a d d r e s s ， i p a d d r e s si p a d d r e s s ) s y n t a x ：对象类型的抽象语法。 a c c e s s ：定义通过s n m p 访问对象实例的方法。访问子句规定该 对象类型所需要的最低级别的支持。 d e s c r p a r t ：对象类型语义的文本描述，可选。 r e f e r p a r t ：在其它m i b 模块中定义的文本交叉索引，可选。 i n d e x p a r t ：用于定义表。该子旬只在对象类型符合概念行时出现。 d e f v a l p a r t ：定义可接受的默认值，代理在创建实例时使用，可选。 v a l u en o t a t i o n ：通过s n m p 访问该对象时使用的名称。 】1 东北大学硕士学位论文第二章基于s n m p 的网络管理概述 如下所示是一个对象类型定义的实例： t c p m a x c o n no b j e c tt y p e sy n t a xi n t e g e r a c c e s sr e a d o n l y s t a t u sm a n d a t o r y d e s c r i p t i o n “t h e l i m i to nt h et o t a ln u m b e ro ft c pc o n n e c t i o n s t h ee n t i t yc a ns u p p o r t 。i ne n t i t i e sw h e r et h em a x i m u m n u m b e ro fc o n n e c t i o n si sd y n a m i c ，t h i so b j e c ts h o u l d c o n t a i nt h ev a l u e 1 ” ：2 t o p4 ， 2 3 2 4 定义表 s m l 只支持一种形式的表数据结构：简单的二维标量表。一个表可以 包含零行或更多的行，每一行都包含一个或更多的标量对象( 即列对象) 。 定义的规范如下： ( 1 ) 概念表拥有下面形式的s y n t a x 子句： s e q u e n c eo f 其中 表示其下属的概念行 ( 2 ) 概念行拥有下面形式的s y n t a x 子旬： s e q u e n c e ， ) 其中每个列对象都有一个 ，它们都有以下的形式： 其中 是列对象的名称， 是该对象的s y n t a x 取值 予句。 ( 3 ) 每一个列对象都用一个o b j c e t - t y p e 宏的普通方式来定义a ( 4 ) 每一个概念行定义中必须包含i n d e x 子句。i n d e x 成份确定哪些 对象取值无歧义的区分表中的行。也就是说，i n d e x 对象确定了概念行的 实例。 一个定义表的例子，如下所示： a t t a b l eo b j e c tt y p e s y n t a xs e q u e n c eo fa t e n t r y 1 2 东北大学硕士学位论文 第二章基于s n m p 的网络管理概迷 = a t1 ) a t e n t r yo b j e c t - t y p e s y n t a x a t e n t r y i n d e x a t i f i n d e x ， a t n e t a d d r e s s ) ：= ( a t t a b l e1 ) a t e n t r y ：2 s e q u e n c e a t i f i n d e x1 n t e g e r ， a t p h y s a d d r e s sp h y s a d d r e s s ， a t n e t a d d r e s sn e t w o r k a d d r e s s a t i f i n d e xo b j e c t t y p e s y n t a xi n t e g e r ：= a t e n t r y1 ， a t p h y s a d d r e s so b j e c t t y p e s y n t a xp h y s a d d r e s s ：= a t e n t r y2 ) a t n e t a d d r e s so b j e c t - t y p e s y n t a xn e t w o r k a d d r e s s ：= a t e n t r y3 ， 2 4 标准m i b 目前s n m p 所使用的m i b 都己完全标准化，m i b i i 是最重要的m i b 规范，也是管理信息库的第二版，可以被分为以下几个组： s y s t e m ：关于被管理系统的整体信息。 i n t e r f a c e ：关于该实体的物理接口的一般信息，包括发生在每个接口 的事件的统计信息。 a t ：对地址转化进行描述，由一个表组成。表中的每一行对应系统的 一个物理接口，该行提供从网络地址到物理地址的映射。 i p ：与系统中i p 实现和操作有关的信息，在终端系统( 主机) 和中间 系统( 路由器) 中都能实现。 i c m p ：与系统中i c m p 实现和操作有关的信息。该组由发送或接收的 1 3 东北大学硕士学位论文第二章基于s n m p 的网络管理概述 各种i c m p 信息的计数器组成。 t c p ：与系统中t c p 实现和操作有关的信息。该组中唯一的表是 t c p c o n n t a b l e 。 u d p ：与系统中u d p 实现和操作有关的信息。除了有关发送和接收 的数据报信息，还包含u d p t a b l e 表。 e g p ：与系统中e g p 实现和操作有关的信息，包含表e g p n e i g h t a b l e 。 t r a n s m i s s i o n ：关于每个系统接口的传输方案和访问协议的信息。 s n m p ：与系统中s n m p 实现和操作有关的信息。 2 5 公共体 在网络管理时，代理与管理站可能存在一对多的关系。每个代理控制 自己的本地的m i b ，并且必须能控制若干管理站对该m i b 的使用。 s n m p 共同体是一个本地概念1 ，在代理中定义。代理为每个被要求 的验证和访问控制的组合建立一个共同体。每个共同体被赋予一个( 在代理 内部) 共同体名称。该共同体内的管理站必须在所有的g e t 和s e t 操作中使 用该名称。该名称的功能和密码一样，如果与代理方的共同体名一致，则 认为该消息是可靠的。 通过定义共同体，代理限制只有一些选定的管理站才能访问它的m i b 。 通过使用多个共同体，代理可以为不同的管理站提供不同的m i b 访问类别。 但是，s n m p v1 使用的这种方式还不够完善，只提供了很弱的机制来 进行鉴别服务和访问策略，较低的安全性也远不能满足网络管理日益发展 的需要。 2 6 实例识别 每一个m i b 对象都有一个对象标识符，定义了自己在m i b 中的位置。 当通过s n m p 访问m i b 对象时，需要提供具体的对象实例而不是对象类型