SNMPV1V2V3版本的联系和区别.doc

SNMP是一个协议用来管理网络上的节点，（包括工作站，路由器，交换机，集线器和其他的外围设备）。SNMP是一个应用协议，使用UDP封装进行传输。UDP是一个无连接的传输层协议，在OSI模型中为第四层协议，提供简单的可靠的传输服务。SNMP使网络管理者能够管理网络性能，发现和解决网络问题，规划网络的增长。 当前，定义了三个版本的网络管理协议，SNMPv1，SNMPv2，SNMPv3。SNMPv1，v2有很多共同的特征，SNMPv3在先前的版本地基础上增加了安全和远程配置能力。为了解决不同版本的兼容性问题，RFC3584定义了共存策略。SNMPv1是最初实施SNMP协议。SNMPv1运行在像UDP，IP，OSI无连接网络服务（CLNS），DDP（AppTalkDatagram-Delivery）,IPX(NovellInternetPacketExchange)之上.SNMPv1广泛使用成为因特网上实际的网络管理协议。SNMP是一种简单的request/response协议。网络管理系统发出一个请求，被管理设备返回相应。这些行为由四种协议操作组成：Get，GetNext，Set和Trap。Get操作使用NMS来获取agent的一个或多个对象实例。如果agent返回get操作不能提供列表所有对象实例的值，就不能提供任何值。GetNext操作是NMS用来从agent表中获取表中下一个对象实例。Set操作NMS用来设置agent对象实例的值。trap操作用于agent向NMS通告有意义的事件。SNMPv2是1993年设计的，是v1版的演进版。Get，GetNext和Set操作相同于SNMPv1。然而，SNMPv2增加和加强了一些协议操作。在SNMPv2中，如果再get-request中需要多个请求值，如果有一个不存在，请求照样会被正常执行。而在SNMPv1种将响应一个错误消息。在 v1，Trap消息和其他几个操作消息的PDU不同。v2版本简化了trap消息，使trap和其他的get和set消息格式相同。SNMPv2还定义了两个新的协议操作：GetBulk和Inform。GetBulk操作被用于NMS高效的获取大量的块数据，如表中一行中的多行(一个UDP数据包应答)。GetBulk将请求返回的响应消息尽量多的返回。Inform操作允许一个NMS来发送trap消息给其他的NMS，再接收响应。在SNMPv2，如果agent响应GetBulk操作不能提供list中全部的变量的值，则提供部分的结果。SNMPv2在安全策略演变时存在多个变种,实际存在多个SNMPv2的消息格式。SNMPv2各个变种之间的不同在于安全的实施。因而各个SNMPv2变种之间的PDU都有相同的格式，而总的消息格式又都不同。现在，SNMPv3在前面的版本上增加了安全能力和远程配置能力，SNMPv3结构为消息安全和VACM（View-basedAccessControlModel）引入了USM（User-basedSecurityModel）。这个结构支持同时使用不同的安全机制，接入控制，消息处理模型。SNMPv3也引入使用SNMPSET命令动态配置SNMPagent而不失MIB对象代表agent配置。 这些动态配置支持能够增加，删除，修改和配置远程或本地实体。有三个可能的安全级别:noAuthNoPriv, authNoPriv, 和 authPriv.noAuthNoPriv 级别指明了没有认证或私密性被执行.authNoPriv 级别指明了认证被执行但没有私密性被执行.authPriv 级别指明了认证和私密性都被执行.auth-认证 支持MD5 or SHA;priv-加密 支持DES or RSA;通用的SNMPv3消息格式遵循相同的消息封装格式包含一个头和一个被封装PDU。头部区域，被分成两个部分，一部分处理安全，和另外一部份与安全无关的部分。与安全无关部分所有的SNMPv3部分是相同的，而使用安全相关部分被设计成各种的SNMPv3安全模型，被SNMP内的安全模型处理。SNMPv1只使用一种安全策略，团体名。团体名和密码相似。Agent能够被设置回答那些团体名能够被接受的Manager的查询。在很容易让人截取得到团体名或密码。SNMPv2增加了不少额外的安全。首先所有的包信息除了目的地址，其他都被加密。在加密的数据中包括团体名和源IP地址。Agent能够解开加密包并使用收到的团体名和源IP地址使请求有效。SNMPv3提供三重的安全机制。最高层是认证和私密。中间层提供认证而没有私密和底层没有任何的认证机制和私密SNMPV1,V2均采用明文传送，SNMPV3采用加密传送，也就是说对应SNMPV1,V2用抓包工具能在数据包中直接看到团体名。如下团体名为：snmpv2, 显然抓包可以抓到SNMP协议工作原理以及版本的区别简单网络管理协议（SNMP）是基于TCP/IP的网络管理，实际上就是一群标准的集合。80年代末期由IETF开发后，开始被广泛应用在各类网络设备中，成为一种网管的工业标准。SNMP又称之为管理者和代理之间的通信协议，包括理解SNMP的操作、SNMP信息的格式及如何在应用程序和设备之间交换信息。 更多有关SNMP协议的内容可参见/sunada2005/SNMP.pdf。就概念而言，SNMP为网管界定了管理者（Manager）和代理者(Agent，被管理设备)之间的关系。两者之间的共同点是都运行TCP/IP协议。管理者可对管理设备提出效能、配置、和状态等信息的询问，透过要求与回复(request/replay)的简单机制来撷取代理者身上的信息，而两者之间的信息主要是通过PDU协议数据单元来载送。SNMP使用UDP作为IP的传输层协议。在实现过程中，管理者会发送一个PDU给一个代理者(可以是路由器、交换机、防火墙等可支持网管的设备)，代理者收到管理者所发出内含询问信息的PDU报文后，再透过PDU回传给相关的管理者。在该过程中，代理者基本上只能处于被动的状态，反复进行一问一答的模式，而唯一可由代理者自动发出的只有Trap的不定期回报特殊状况信息。SNMP协议有两个基本命令模式：read和read/write。read是可以通过SNMP协议观察设备配置细节，而使用read/write模式可以让管理者有权限修改设备配置。以当前市场流行的大多数被网管的设备为例，如果设备的默认口令没有改变，那么攻击者就可以利用默认的口令得到其配置文件，文件一旦被破解，攻击者就能够对设备进行远程非法的配置，实行攻击。目前，绝大多数的网络设备和操作系统都可以支持SNMP，如D-Link、Cisco、3Com等等。SNMPv3实现更优管理目前SNMP的发展主要包括三个版本：SNMPv1、SNMPv2以及最新的SNMPv3。从市场应用来看，目前大多数厂商普遍支持的版本是SNMPv1和v2，但从安全鉴别机制来看，二者表现较差。而SNMPv3采用了新的SNMP扩展框架，在此架构下，安全性和管理上有很大的提高。在当前的网络设备市场中，D-Link已经率先推出了支持SNMPv3的网络产品，如DES-3226S、DES-3250TG交换机等，在安全功能和管理功能上都有良好的表现。总体来看，SNMPv1和v2版本对用户权力的惟一限制是访问口令，而没有用户和权限分级的概念，只要提供相应的口令，就可以对设备进行read或read/write操作，安全性相对来的薄弱。虽然SNMPv2使用了复杂的加密技术，但并没有实现提高安全性能的预期目标，尤其是在身份验证（如用户初始接入时的身份验证、信息完整性的分析、重复操作的预防）、加密、授权和访问控制、适当的远程安全配置和管理能力等方面。SNMPv3是在SNMPv2基础之上增加、完善了安全和管理机制。RFC 2271定义的SNMPv3体系结构体现了模块化的设计思想，使管理者可以简单地实现功能的增加和修改。其主要特点在于适应性强，可适用于多种操作环境，不仅可以管理最简单的网络，实现基本的管理功能，还能够提供强大的网络管理功能，满足复杂网络的管理需求。目前，市场上的网络设备尚停留在SNMPv1/v2的范畴，并未广泛支持SNMPv3，如何配置设备的SNMP服务以确保网络安全、完善管理机制呢？以下几个方面建议或许值得网管人员一试：由于基于SNMPv1/v2协议本身具有不安全性，所以在管理过程中，如果没有必要，可以不要开启SNMP代理程序；可以限制未授权IP对SNMP的访问，或者改变SNMP代理的默认口令，并使