SNMP协议原理_华为20100919.ppt

2020 2 3 DP500028SNMP协议原理 ISSUE1 0 Page2 学习此课程 您将会 了解网络管理的基本架构了解MIB的基础知识掌握SNMP的基本原理掌握SNMP的基本配置 目标 Page3 第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾 内容介绍 Page4 网络管理所面临的挑战 网络和分布式处理系统的快速发展与大规模的应用网络及其相关资源和分布式应用程序变得越来越重要例如 Clearcase Notes Mail健壮的 能提供7X24小时的服务网络变得越来越复杂 支持更多的应用程序和用户更容易出现问题 发生故障网络管理已成为网络解决方案中重要的一部分花费最少 人力 设备 资金提供更智能的网络管理服务 Page5 网络管理的现状 在一个大型的网络里 我们无法仅依赖人手工来完成整个的网络管理的工作迫切的需要一种自动化的工具协助我们管理好网络需要管理的设备和资源很可能来自于不同的厂商如果每个厂商都提供一套独立的管理接口比如 命令行 CommandLineInterface 学习各种厂商工具的培训费用开销激增受限于厂商专有的配置管理工具一套覆盖服务 协议和管理信息库的标准孕育而生 并且迅速得到了广泛的应用SimpleNetworkManagementProtocol Page6 基于SNMP网络管理模型 Page7 网络管理站 NetworkManagementStation 通常是一个独立的设备 运行着网络管理的应用程序提供一个非常友好的人机交互界面 网络管理员能通过它完成绝大数的网络管理工作提供失效管理 安全管理 计费管理 配置管理 性能管理等功能 Page8 代理器 Agent Agent是驻留在被管理设备一端负责接受 处理来自网管站的请求报文 并形成响应报文 返回给NMS请求包括 信息的查询和动作的执行在一些紧急情况下 主动通知NMS 发送陷阱TRAP报文 如接口状态发生改变 呼叫成功等NMS和Agent之间通过SNMP协议来交互管理信息 Page9 网络管理协议 SNMP 是一个基于TCP IP网络的应用层协议 用于在网络管理站和被管理的设备之间交换网络管理信息SNMPv2可以在多种传输协议IPX DDP等上使用Huawei 3comVRP平台支持以下三个协议版本 SNMPv1SNMPv2cSNMPv3后面部分会对协议进行具体讲解 Page10 管理信息库 ManagementInformationBase 任何一个被管理的资源都表示成一个对象 称为被管理的对象MIB就是一个被管理的对象的集合Agent都会维护一个MIB库可以对MIB库中的对象进行读取或设置 Page11 第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾 内容介绍 Page12 管理信息库 ManagementInformationBase MIB是一个被管理对象的集合 它将定义被管理对象的一系列的属性 对象的名字 ObjectIDentifier 对象的访问权限对象的数据类型管理信息结构 StructureofManagementInformation 中规定了被管理对象应该如何的组织和定义SMIv2 RFC2578 SMIv1 RFC1155 Page13 MIB结构 MIB是以树状结构进行存储的树的节点表示管理对象 它可以用从根开始的一条路径来无二义的识别 OID Page14 OID 唯一的标识一个MIB库中的对象OID分配机制 保证OID不会冲突OID是由一些系列的整数组成 标明节点在MIB树中的位置MIB一旦发布 OID就要和被定义的对象进行绑定MIB节点不能被删除 只能将它的状态置为 obsolete 不赞成对MIB节点的反复变更 Page15 MIB举例 Page16 MIB举例 Address ObjectID 1 1ObjectInstance 1 1 0ValueofInstance 130 89 16 2Name ObjectID 1 2 1ObjectInstance 1 2 1 0ValueofInstance printer 1 Page17 SMIv1 v2支持的数据类型 Page18 第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾 内容介绍 Page19 SNMPv1 Version SNMPv1CommunityName Public SNMPOperation Get Getnext Setversion SNMPv1CommunityName Public SNMPOperation GetResponse Trap Page20 团体名 CommunityName 团体是由Agent和若干个网络管理站应用程序组成每个团体通过团体名即一个字符串来区别团体名实际上是一个相关权限的密码可以访问哪些节点访问的类型 读 设置 SNMPv1使用团体名来进行安全机制管理 Page21 SNMP协议综述 manageragentmanageragentmanageragentmanageragent get MIB response getnext MIB response set MIB response MIB trap Page22 SNMPv1消息格式 Page23 SNMPv1 Get操作 获取1个或多个变量的值可能出现的错误码 noSuchName 被请求的变量不存在或者它不是一个叶子节点tooBig 请求的GetResponsePDU的大小超出本地的限制GenErr 所有其他的错误 Page24 SNMPv1 Set操作 给一个已经存在的变量赋值或者在表中创建一个新的实例可能出现的错误码 noSuchNametooBiggenErrbadValue Page25 SNMPv1 GetNext操作 获取下一个MIB节点的实例名和取值可能出现的错误码 noSuchNametooBiggenErr Page26 SNMPv1 GetNext操作 注意 getNext要按字典序进行排列 Page27 SNMPv1 Trap 向指定的管理站报告某个事件的发生Trap接受是无需确认的不是完全可靠的 Page28 SNMPv1演示 基本的SNMP配置snmp agentcommunityreadpublicsnmp agentcommunitywriteprivatesnmp agentsys infoversionv1System ifTable表进行get getNext set操作linkUp和linkDown报文snmp agenttrapenablestandardsnmp agenttarget hosttrapaddressudp domain1 1 1 1paramssecuritypublic Page29 第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾 内容介绍 Page30 SNMPv2c 在继承了SNMPv1的基础上 增加了 SNMPv2c支持更多的操作getBulkinformRequest 确认的Trap SNMPv2c支持更多的数据类型Counter64 Counter32等V1不能获取Counter64类型的节点值SNMPv2c提供了更丰富的错误处理多种协议的传输支持SNMPv2c也是基于团体名的安全机制 Page31 getBulk操作 是getNext的延伸 一个getBulk操作等价于多次执行getNext操作能一次获取大量的值 有效地减少网络管理站和被管理设备的通信次数 提高网络性能getBulk请求报文中增加了2个参数non repeatersmax repetitions Page32 getBulk操作 对于变量绑定对中前non repeaters个变量当作普通的getNext报文来处理而对于其余的变量当作重复max repetitions次的gextNext报文处理例如 getBulk请求报文中 non repeators Nmax repeatitions M响应报文中最大的变量绑定个数 N M R 其中R等于getBulk请求报文变更绑定个数减去N Page33 getBulk举例 getBulk non repeator 1 max repetitions 2 1 1 1 3 1 2 1 3 1 3 response 1 1 0 130 89 16 2 1 3 1 3 3 1 3 1 5 2 1 3 1 5 2 1 3 1 7 2 Page34 SNMPv2c提供更丰富的错误码 用于说明报文错误原因 指名变量绑定对中第几个参数出错 Page35 SNMPv2c提供更丰富的错误码 Page36 第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾 内容介绍 Page37 为什么会提出SNMPv3 1998年提出 2002年形成了一套正式的标准是为了改进SNMPv1 v2c在安全性方面的缺陷基于团体名 communityname 的有限的安全机制团体名是明文传输 入侵者很容易通过抓包工具来获取报文不支持加密限制了SNMP在非完全信任的网络中的使用SNMPv3在继承了SNMPv2c的基础上 提供认证加密访问控制 Page38 SNMPv3基于用户的安全模型 User BasedSecurityModel 基于用户的安全模型 User BasedSecurityModel 提供了认证 Authentication 和加密 Privacy 的功能定义了3个安全级别 无认证无加密 noAuthNoPriv 有认证无加密 authNoPriv 有认证有加密 authPriv 注意 不存在无认证有加密 noauthPriv 因为加密所使用的密码必须与用户相关联 Page39 SNMPv3基于用户的安全模型 认证 认证机制确保管理站和Agent之间的通信是可信的Agent收到的请求报文是报文中所声明的管理站发送的管理站接收到响应报文是它所希望的目标Agent所响应的保证消息的完整性 在传输过程中没有被篡改通过时间窗的机制 防止重放认证协议 HMAC MD5或者HMAC SHA Page40 SNMPv3基于用户的安全模型 认证 基本原理双方共享一个私有密钥 发送方使用此密钥来创建一个MessageAuthenticationCode MAC 接收方使用认证密钥来计算出此MAC 如果与发送方的MAC互相匹配 该消息就通过了认证 Page41 SNMPv3基于用户的安全模型 加密 加密范围 消息报文中PDU部分加密协议 CBC DES Page42 SNMPv3安全访问控制 View BasedAccessControlModel 安全访问控制可以使Agent对不同的管理者提供不同的管理信息库访问权限限制访问MIB库信息的访问视图限制访问MIB库信息的操作类型 Page43 SNMPv3安全访问控制 View BasedAccessControlModel Page44 SNMPv3配置举例 scarlet是v3的一个用户 她的安全级别为authPriv 她属于huawei 3com组 她有权限对MIB 2中的非atTable内的节点进行读或写 Page45 第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾 内容介绍 Page46 MIBBrowser 编译MIB 菜单 1 选择mib文件 可一次选择多个mib文件 2 编译mib文件 可一次编译多个mib文件 3 查看编译信息 确保编译ok4 弹出编译后的模块保存框5 Mib文件所在目录无汉字无空格6 模块间依赖关系 编译信息 Page47 MIBBrowser MIB装载 菜单 装载操作 Page48 MIBBrowser 参数配置 菜单 配置窗口 不能修改AgentAddress 修改AgentAddress Page49 MIBBrowser 参数配置V1 V2 1 协议 SNMPV12 PortNumber SNMP的端口号 默认1613 ReadCommunity 只读团体字默认public4 WriteCommunity 读写团体字默认private5 Timeout 超时时间 默认5s6 Retries 重试次数 默认47 GetBulk参数 a NonRepeaters 不重复的索引 默认0b MaxRepetitions 最大重复次数 默认10 Page50 MIBBrowser 参数配置V3 1 配置用户 用户属性 UserName 用户名称AuthProtocol 验证协议 md5 sha PrivProtocol 加密协议 des idea AuthPass 验证密码PrivPass 加密密码 Page51 MIBBrowser MIB操作 MIBBrowse操作 1 Contact 检测一下是否可以和代理联系上 取代理sysoid的值 2 Walk 对选中节点下的子树进行遍历操作3 Get 使用选中MIB节点的OID向代理发送Get操作 对父节点无效4 GetNext 使用选中MIB节点的OID向代理发送GetNext操作5 GetBulk 使用选中MIB节点的OID向代理发送GetNext操作6 Set 发送Set操作 对父节点无效7 TableView 查看表信息 针对表节点和表的父节点有效8 Find 在MIB树中查找一节点9 Properties 查看MIB节点属性 Page52 QuidviewDM 参数配置 SNMPv1 v2配置 SNMPv3配置 Page53 QuidviewDM 打开设备 菜单 1 输入设备IP2 选择SNMP配置3 双击设备树中的所选设备4 颜色变绿为ok 否则Fail Page54 QuidviewDM 操作 选择要操作的对象 对对象进行snmp操作 1 注意Quidview与mibbrowse