SNMP网络管理架构.ppt

计算机网络管理技术 第2章SNMP网络管理架构目前计算机网络中几乎所有的通用设备和网络操作系统都支持SNMP 掌握SNMP的基础知识是从事网络管理工作的必备条件 本章将从网络管理员的角度介绍SNMP 避开一些技术开发的细节 着重介绍SNMP的基本架构和功能 以适应现代计算机网络管理的要求 计算机网络管理技术 第2章SNMP网络管理架构2 1网络管理协议及功能2 2SNMP的功能及典型应用2 3SNMP的实现方法 结构和组成2 4SNMP系统2 5SNMP协议2 6SNMP的发展和现状 计算机网络管理技术 2 1网络管理协议及功能在网络管理过程中都要从被管理对象中定期收集相关数据 然后对收集到的数据进行分析 作为网络管理的依据 为此 网络管理要解决数据收集 数据分析 统计显示等一系列的问题 计算机网络管理技术 2 1 1网络管理协议的发展在网络管理中一般采用管理进程 管理代理的基本模型 如果不同厂商提供的网络设备的管理进程与管理代理之间的通信方式各不相同 就无法实现在同一管理平台下对不同厂商设备的统一管理 网络管理协议的功能就是制定一个管理进程与管理代理之间的通信标准 即通用的网络管理协议 在通用的网络管理协议制定之前 管理进程要想实现对某一设备的管理 首先需要学习从该设备获取数据的方法 这是因为不同厂商开发的网络产品具有各自专用的获取数据的方法 因此 在一个网络中虽然有多个不同厂商的相同功能的设备 但提供数据收集的方式可能各不相同 计算机网络管理技术 标准网络管理协议提供了一种可访问任何网络设备并获得一系列标准值的一致性方式 可以对网络设备进行名称 运行的软件版本 接口参数 CPU利用率 内存利用率等参数的查询 还可以对网络设备进行名称 接口地址等信息的设置 目前 已制定的几种标准的网络管理协议有 SNMP 简单网络管理协议 SimpleNetworkManagementProtocol 该协议也是应用最为广泛的网络管理协议 CMIP CMIS 公共管理信息协议 公共管理信息服务 CommonManagementInformationProtocol CommonManagementInformationServices 主要针对OSI结构制定的网络管理协议 计算机网络管理技术 CMOT CMIPOverTCP 在TCP IP网络中实现CMIS服务的公共管理信息协议 LMMP 局域网个人管理协议 LANManManagementProtoco1 该协议最早由3COM和IBM公司开发 试图为LAN环境提供一个网络管理方案 LMMP以前被称为IEEE802逻辑链路控制层上的公共管理信息协议 CMIPOverLLC CMOL 由于该协议直接位于IEEE802逻辑链路层 LLC 上 所以它可以不依赖于任何特定的网络层协议进行网络传输 另外 由于不需要任何网络层协议 所以LMMP比CMIP CMIS和CMOT都易于实现 但是 没有网络层提供路由信息 LMMP信息不能跨越路由器 从而限制了了该协议只能在局域网中应用 计算机网络管理技术 2 1 2从管理设备获取数据的方式在网络管理中如何从被管理设备上获取数据是技术的关键 一般有3种可供选择的方式 本地终端方式 远程telnet命令方式和基于网络管理协议的方式 1 本地终端方式本地终端方式是通过被管理设备的RS 232端口或Console端口与管理机相连 通过管理机上的终端程序 如Windows操作系统的 超级终端 登录到被管理设备 对其进行监控 配置等操作 这种方式一般适用于管理单台重要的网络设备 如企业网出口处的路由器或防火墙等 或当网络发生阻塞以及被管理设备无法通过远程方法进行登录时 计算机网络管理技术 2 远程telnet命令方式远程telnet命令方式是在管理机上通过telnet程序远程登录到被管理设备 再对设备进行相关操作的一种方式 实现远程telnet管理必须具备两个条件 一是管理机与被管理设备之间通过网络进行连接 二是在被管理设备上设置了管理地址和登录帐号 在没有专门网管软件的网络管理中一般利用远程telnet方式对网络设备进行管理 该方式的好处是可以对设备进行远程管理 避免了本地终端方式的不足 但与本地终端方式一样 远程telnet方式每次只能对一台设备进行管理 计算机网络管理技术 3 基于网络管理协议的方式前面两种管理方式都无法实现对多台设备的同时管理 为了实现网络管理的目标 目前各类网络管理系统普遍采用如图2 1所示的标准模型 其中 管理进程 manager 负责发出所有的控制和管理命令 管理进程发出各种命令的依据则依赖于各管理对象 ManagedObject MO 所处的状态 而管理对象则是指网络中的各种物理资源 通信设备和设施 的抽象 管理代理 agent 负责解释管理操作命令 完成管理操作 并向管理系统发送反馈信息 进行响应 管理协议负责传送管理操作命令和响应 并对其格式和编码进行约定 计算机网络管理技术 所以 一个网络管理系统从逻辑上可以认为是由以下四个部分组成 管理进程 Manager 管理协议 ManagementProtocol 管理代理 Agent 管理信息库 ManagementInformationBase MIB 1 管理对象 管理对象是网络中具体可以操作的数据 例如 记录设备或设施工作状态的状态变量 设备内部的工作参数 设备内部用来表示性能的统计参数等 需要进行控制的外部工作状态和工作参数 为网络管理系统设计 为管理系统本身服务的工作参数等 2 管理进程 管理进程是一个或一组软件程序 一般运行在网络管理站 网络管理中心 的主机上 它可以在SNMP的支持下命令管理代理执行各种管理操作 3 管理信息库 管理信息库用于记录网络中管理对象的信息 例如 状态类对象的状态代码 参数类管理对象的参数值等 4 管理协议 管理协议用于在管理系统与管理对象之间传递操作命令 负责解释管理操作命令 通过管理协议来保证管理信息库中的数据与具体设备中的实际状态 工作参数保持一致 计算机网络管理技术 网络管理的实际操作模式一般类似于如图2 2所示的管理方式 在被管理系统 被管系统 中直接管理被管理对象的是代理 agent 如图2 1所示 在网络管理中起核心作用的是管理进程 manager 管理进程利用一定的通信手段 通过代理来管理各被管理对象 管理进程与代理进程之间的通信一般采用客户机 服务器方式 客户机 管理进程 发出请求 服务器 代理进程 作出应答 计算机网络管理技术 2 2SNMP的功能及典型应用SNMP即 简单网络管理协议 是目前应用最为广泛的网络管理协议 主要用于对路由器 交换机 防火墙 服务器等主要设备 网元 的管理 计算机网络管理技术 2 2 1SNMP的功能网络设备是组成网络的基本元素 网络运行的状况取决于组成网络的设备的运行状况 当一个网络中的设备数量较少时人们很少关心管理的重要性 但是随着计算机网络技术和应用的快速发展 同一网络中的设备类型及提供的服务较来越多 地址位置的分布也越来越分散 使得网络管理越来越复杂 SNMP就是为了解决网络管理中的这些问题而设计的 其目的是简化复杂的网络管理工作 使得网络管理实现标准化 计算机网络管理技术 SNMP的工作方式如图2 3所示 网络管理员需要从设备中获取数据 此过程一般有两种方式 一是管理员向设备发出读数据的指令 二是被管理设备定期向管理员 其实是管理机 发回需要的数据 SNMP需要提供读操作的功能 管理员在对设备进行配置时 需要由SNMP提供写操作 这样才能够完成对设备的远程管理 当设备在某一时刻发生状态的改变时 需要由SNMP提供trap操作 计算机网络管理技术 由此可以看出 SNMP是网络管理中实现各类操作的一种通用协议 其功能是保证各类操作的正常进行 SNMP的基本思想是 为不同厂商的不同类型及不同型号的设备定义一个统一的接口和协议 使得管理员可以使用统一的方式对这些设备进行集中管理 在大大提高网络管理效率的同时 简化网络管理员的工作 SNMP的目的是 使网络管理变得简单 同时SNMP本身也要简单 计算机网络管理技术 2 2 2SNMP的典型应用SNMP是为了实现对网络的管理而使用的一种通信协议 可以运行在TCP IP协议栈上 对网络中支持SNMP的设备进行管理 如图2 4是一个典型的应用 计算机网络管理技术 通过SNMP 管理员可以与各种支持SNMP的设备进行通信 从而实现对设备的统一管理 不管这些设备是由哪些厂商生产 也不管具体的型号 只要支持SNMP就可以通过统一的操作界面进行统一的管理 这样 清除了设备种类 提供商 型号等因素的差异 管理员不必分别学习每一种设备的具体操作方法 可以集中精力进行网络的管理 计算机网络管理技术 2 3SNMP的实现方法 结构和组成2 3 1SNMP的实现方法和结构如图2 5所示的是一个管理站与代理之间的通信关系 其中 SNMP为管理员提供了一个网络管理系统 NetworkManagementSystem NMS NMS又称为管理站 负责网络管理命令的发出 数据存储及分析等操作 被管理的设备上运行着一个SNMP代理 Agent 代理的作用是实现被管理设备与管理站之间的SNMP通信 即通过代理将被管理设备的状态信息发送给管理站 另一方面管理站发出的操作命令也需要由代理交付给被管理设备 计算机网络管理技术 在图2 5所示的网络管理示意图中 管理站和代理端通过MIB进行接口的统一 MIB定义了设备中的被管理对象 使得双方可以相互识别对方的数据 实现通信 下面是一次具体的管理操作 首先管理站向代理申请MIB中定义的数据 当代理识别该申请后将被管理设备上的相关状态或参数等数据转换为MIB定义的数据格式 然后向管理站进行应答 计算机网络管理技术 根据管理站和被管理设备在网络管理中的特点 SNMP定义了如图2 6所示的3种角色 网络管理系统 NMS 代理 Agent 和代理服务器 Proxy 每一种角色分别定义了不同的功能 各角色的功能描述如下所示 管理网络系统 NMS 代理 Agent 代理服务器 Proxy 管理信息库 MIB 被管理设备 计算机网络管理技术 2 3 2SNMP的组成虽然SNMP已经从1989年第1个版本SNMPv1发展到现在的SNMPv3 功能在不断加强和完善 但是SNMP的组成一直没有变化 SNMP的组成如图2 8所示 由图可以看出 SNMP运行在TCP IP网络上 使用面向非连接的UDP数据报进行数据的传输 SNMP系统由SMI MIB和协议 SNMP 组成 其中SNMP协议和MIB使用ASN 1进行描述 计算机网络管理技术 SMI StructureofManagermentInformation 管理信息结构 SMI定义了一个ASN 1的子集 规定SNMP使用哪些ASN 1符号与元素 以及如何使用这些ASN 1子集的符号和元素来描述SNMP 这种设计出于以下两个方面的考虑 一是ASN 1很庞大 很复杂 但SNMP只用到其中较小的一部分 二是SNMP在设计之初就充分考虑到了它的可扩展性 用户可以自定义数据类型 所以更具体地讲 SMI由ASN 1的一个子集和一部分自定义的类型 宏等组成 MIB ManagementInformationBase 管理信息库 MIB使用SMI来定义设备和网络协议的数据 管理站和代理都使用相同格式的MIB以实现有效通信 其中代理将设备的数据转换为MIB对象 使设备支持SNMP 协议 SNMP SNMP协议定义了SNMP数据包的格式 封装方式以及数据的传输细节 计算机网络管理技术 2 4SNMP系统2 4 1管理信息库 MIB 管理信息库 MIB 是网络管理协议访问的管理对象数据库 它包括SNMP可以通过网络设备上的代理进行设置的变量 管理信息库指明了网络元素所维持的变量 即能够被管理进程查询和设置的信息 它还给出了一个网络中所有可能的被管理对象的集合的数据结构 如图2 9所示 SNMP的管理信息库采用和域名系统 DNS 相似的树型结构 它的根在最上面 根没有名字 计算机网络管理技术 计算机网络管理技术 在这个树形结构里 SNMP协议消息通过遍历MIB树形目录中的节点 OID 来访问网络中的设备 MIB树的每个节点被指定为一个数字 非负数 同一层的节点用不同的数字区分 这些节点数字由标准组织指定 MIB树中的任何一个节点由其所处的位置来命名 同一层的节点数字都不相同 这样到达某个节点的路由可以由从树根到此节点所经过的节点的数字串来表示 这个数字串称为对应于MIB对象的对象标识符 OID ObjectIdentifier 例如 ODI 1 3 6 1 2 1 1代表的对象是从命名为 1 的顶级节点开始 后续的下级节点 3 再下一级是 6 依此类推 计算机网络管理技术 在Internet节点下面的第二个节点是mgmt 管理 标号是2 再下面是管理信息库 原先的节点名是mib 1991年定义了新的版本MIB II 故节点名现改为mib 2 其标识为 1 3 6 1 2 1 或 Internet 1 2 1 这种标识称为对象标识符 最初的节点mib将其所管理的信息分为8个类别 如表2 1所示 现在的mib 2所包含的信息类别已超过40个 应当指出 MIB的定义与具体的网络管理协议无关 这对于设备制造商和用户来说都是有利的 设备制造商可以在产品 如路由器 交换机等 中包含SNMP代理软件 并保证在定义新的MIB项目后该软件仍遵守标准 用户可以使用同一网络管理软件来管理具有不同版本的MIB的多个设备 计算机网络管理技术 表2 1最初的节点mib管理的信息类别 计算机网络管理技术 2 4 2管理信息结构 SMI 管理信息结构 StructureofManagementInformation SMI 用于定义存储在MIB中的管理信息的语法和语义 对MIB进行定义和构造 SMI确定了可用于MIB中的数据类型并说明对象在MIB内部的表示和命名 SMI的宗旨是保持MIB的简单性和可扩展性 从而简化管理 加强互操作性 满足协同操作的要求 计算机网络管理技术 SNMP网络管理的基础是含有被管理信息的数据库 如交换机 路由器 防火墙 服务器等 他们各自维护着一个含有自身运行状态的树型结构 如图2 9所示 其中每一个叶子节点代表一个信息 变量或配置 设备对这棵树中的标量 叶子节点 进行赋值 以反映自己的状态 管理站读取相应的变量以获取网络节点设备的状态信息 管理站也可以通过修改某些值从而实现简单的控制功能 如图2 10给出了MIB的信息组结构 从mib 2 1 节点往下展开 下层的中间节点代表的子树是与每个网络资源或网络协议相关的信息集合 例如有关IP协议的管理信息都放置在ip 4 子树中 这样沿着树层次访问相关信息就很方便 计算机网络管理技术 计算机网络管理技术 为了规范不同厂商在其设备上的MIB 使不同厂商在写MIB时遵循统一的标准 避免不同厂商的设备在SNMP管理中可能出现的麻烦 就需要一种机制来规范MIB的定义 这就是SMI SMI是ASN 1的一个子集 约定了使用到的语法 类型 宏 数据格式等 有关SMI的定义可参看RFC1155 RFC1212文档 由于SNMP系统的设计目标之一是简化网络管理 所以SMI也对ASN 1进行了限制和简化 只用到其中很小的部分 因此 MIB只能存储标量和标量的二维数据等简单的数据类型 SMI不支持复杂数据结构的创建和检索 计算机网络管理技术 2 4 3简单网络管理协议 SNMP SNMP为应用层协议 是TCP IP协议族的一部分 它通过用户数据报协议 UDP 来操作 在独立的管理站 即网络管理系统 NMS 中 管理站进程对位于管理工作站中的MIB访问进行控制 并提供网络管理接口 管理站进程通过SNMP完成网络管理 SNMP在UDP IP及有关的特殊网络协议 如Ethernet FDDI X 25 之上实现 每个代理也必须实现SNMP UDP和IP 另外应有一个解释SNMP的消息和控制代理MIB的代理进程 计算机网络管理技术 SNMP的协议环境如图2 11所示 首先从管理站发出3类与管理应用有关的SNMP的消息GetRequest GetNextRequest SetRequest 3类消息都由代理用GetResponse消息应答 该消息被上交给管理应用进程 另外 代理可以发出Trap消息 向管理站报告有关MIB及管理资源的事件 计算机网络管理技术 从图2 8可以看出 在SNMP系统中SNMP协议属于MIB和SMI的下层 管理站从设备MIB中读取的数据要被SNMP协议封装 然后再封装为UDP数据报 最后再封装在IP分组中进行传输 由此可以看出两点 一是SNMP协议的功能是完成管理站与设备 其实是代理 之间数据的有效传输 二是在OSI参考模型的传输层中SNMP数据被封装成为面向非连接的UDP数据报 而UDP协议是不可靠的 那么 在SNMP系统中为什么要使用UDP而没有使用TCP 这主要是考虑到TCP对系统的开销较大 不利于网络管理环境的要求 虽然UDP数据报的传输不可靠 但UDP非常高效 在网络繁忙时照样能够正常工作 当然 UDP数据报也存在一些不足 如事件报警 trap 有可能无法按时发送到管理进程等 这些不足在此不再详述 有兴趣的读者可参看相关的技术文档 计算机网络管理技术 2 5SNMP协议2 5 1SNMP的体系结构如图2 12所示 SNMP采用集中式的管理方案 它的体系结构主要由管理站 Manager 管理代理 Agent 管理对象 ManagedObject 以及描述管理对象状态的管理信息库 MIB 组成 管理进程是整个网络管理系统的控制中心 它通过各管理代理对网络内的各种设备 设施和资源进行监测和控制 并完成各种管理功能 在网管工作站上 计算机网络管理技术 管理代理是网络管理系统中的一个重要元素 每个代理者都维护一个本地的MIB 管理代理负责收集有关本地的管理对象的信息并具有以下几项基本功能 设置和修改MIB中的各种变量值 读取MIB中的信息并传回管理进程 执行管理进程的管理操作 管理代理运行在被管理对象上 每一个使用了SNMP的设备都可作为管理代理 管理代理对来自管理进程的信息请求和动作请求进行应答 并随机地为管理进程报告一些重要的意外事件 管理对象是经过抽象的网络元素 它对应于网络中具体可以操作的数据 如记录设备工作状态的变量 设备内的工作参数等 也可指某些具体的设备 计算机网络管理技术 2 5 2SNMP的工作机制管理进程和管理代理之间以及管理代理与本地MIB之间 都是通过SNMP协议进行通信的 SNMP的操作很简单 仅仅是对变量的修改和检查 共定义了以下5类管理操作 GetRequest 读对象操作 使管理进程向代理发起读的操作读取管理对象的值 以获取设备或网络的运行数据以及配置信息等 GetNextRequest 读取当前对象的下一个可读取的对象实例值 因为SNMP不支持一次读取一张表或表中的一行数据 为了解决这一问题便提供了GetNextRequest操作 首先对对象标识 OID 进行GetNextRequest操作 将收到下一个可读取对象的实例标识 接着对这个实例标识执行GetNextRequest 会得到再下一个实例标识 这样不断执行下去就可以读取完整的一张表 计算机网络管理技术 SetRequest 管理进程更新代理中对象的值 在网络管理中 当需要对设备的一些参数 配置 状态等进行重新配置时 就需要用到SetRequest操作 SetRequest可以对MIB中权限为只写 wtite only 和可读写 read write 的对象进行操作 这样管理进程就可以使用SetRequest操作改变设备的配置 GetResponse 代理对GetRequest GetNextRequest SetRequest这3种操作的应答 计算机网络管理技术 Trap 代理向管理进程发送事件值 SNMP中的GetRequest GetNextRequest SetRequest都由管理进程主动发起 由于网络中设备的数量较多 当管理进程轮询一次时需要一段时间 如果某一设备的数据或状态在一次轮询到来前已经发生了变化 但由于轮询时间时隔是固定的 所以导致管理进程无法及时掌握到这一事件信息 使事件失去了实效性 另一方面 考虑到网络带宽的占用 又不可能将轮询的时间间隔设置得太小 所以 就需要一种当设备的数据或状态发生变化时能够主动向管理进程发送这一事件信息的机制 trap实现了这一功能 Trap是由代理主动发起 向管理进程通报设备信息的重要改变的操作 计算机网络管理技术 在这5种操作中 前面的3种操作是由管理站中的管理进程向代理中代理进程发出的 后面的2个操作是代理进程发给管理进程的 为了简化起见 前面3个操作称为get get next和set操作 图2 13描述了SNMP的这5种报文操作 计算机网络管理技术 2 5 3SNMP的报文格式SNMP定义了5种协议数据单元PDU 也就是SNMP报文 用于管理进程和代理进程之间的信息交换 图2 14是封装成UDP数据报的5种操作的SNMP报文格式 可见一个SNMP报文共有三个部分组成 公共SNMP首部 get set首部和变量绑定 计算机网络管理技术 1 公共SNMP首部公共SNMP首部共占用3个字段 版本 标识SNMP的版本号 具体写入时为SNMP版本号减1 例如SNMPv1则应写入0 共同体 community 共同体就是一个字符串 作为管理进程和代理进程之间的明文口令 目前许多系统缺省的共同体名为 public 有关共同体在本章后面将进行专门介绍 PDU类型 根据PDU的类型 填入0 4中的一个数字 其对应关系如表2 2所示 计算机网络管理技术 2 get set首部get set首部共占用3个字段 请求标识符 requestID 这是由管理进程设置的一个整数值 代理进程在发送get response报文时也要返回此请求标识符 管理进程可同时向许多代理发出get报文 这些报文都使用UDP传送 先发送的有可能后到达 设置了请求标识符可使管理进程能够识别返回的响应报文对应于哪一个请求报文 差错状态 errorstatus 由代理进程应答时填入0 5中的一个数字 具体描述如表2 3所示 差错索引 errorindex 当出现noSuchName badValue或readOnly的差错时 由代理进程在应答时设置的一个整数 它指明有差错的变量在变量列表中的偏移 计算机网络管理技术 计算机网络管理技术 3 trap首部Trap首部占用了5个字段 企业 enterprise 填入trap报文的网络设备的对象标识符 此对象标识符一定是在图2 9的对象命名树上的enterprise节点 1 3 6 1 4 1 下面的一棵子树上 该字段也称为 制造商ID 代理地址 agent addr 产生trap的SNMP代理或代理服务器 proxy 的地址 trap类型 该字段正式的名称是generic trap 共分为表2 4中的7种 计算机网络管理技术 当使用上述类型2 3 5时 在报文后面变量部分的第一个变量应标识响应的接口 特定代码 specific code 指明代理自定义的时间 如果trap类型为6 否则为0 时间戳 timestamp 指明自代理进程初始化到trap报告的事件发生所经历的时间 单位为10ms 例如时间戳为100表明在代理初始化后100ms发生了该事件 计算机网络管理技术 4 变量绑定 variable bindings 指明一个或多个变量的名称和对应的值 在get或get next报文中 变量的值被忽略 计算机网络管理技术 2 5 4SNMP共同体和安全控制目前的网络管理是一种分布式的应用 与其他分布式的应用相同 网络管理中包含有一个应用协议支持的多个应用实体的相互作用 在SNMP系统中 这些应用实体就是采用SNMP的管理站应用实体和被管理设备的应用实体 计算机网络管理技术 SNMP系统具有一些不同于其他分布式应用的特性 它包含一个管理站和多个被管理设备之间一对多的关系 反过来 在SNMP系统中还包含另外一种一对多的关系 即一个被管理设备和多个管理站之间的关系 每个被管理设备控制着自己的本地MIB 同时必须能够控制多个管理站对这个本地MIB的访问 这里所说的控制具体包含两个方面的含义 一是认证服务将对MIB的访问限定在授权的管理站的范围内 二是访问策略对不同的管理站给予不同的访问权限 除此之外 如果系统中存在代理服务器 Proxy 还要求在这个代理服务器中实现对托管设备的认证服务和访问权限 计算机网络管理技术 设置以上这些控制的主要目的就是为了保护被管理设备的MIB不被非法地访问 SNMP通过共同体 community 提供了基本的和有限的安全保护 SNMP用共同体来定义一个代理 agent 和一组管理进程 manager 之间的认证 访问控制和代管的关系 共同体是一个在被管理设备中定义的本地概念 被管理设备为每组可选的认证 访问控制和代理 代管 特性建立一个共同体 每个共同体被赋予一个在被管理设备内部唯一的共同体名 该共同体名要提供给SNMP系统内的所有管理进程 以便它们在get和set操作中应用 由于共同体是在代理中本地定义的 因此不同的代理中可能会定义相同的共同体名 共同体名相同并不意味者共同体相同 因此管理进程必须将共同体名与代理联系起来加以应用 计算机网络管理技术 2 5 5轮询和中断SNMP代理从被管设备中收集数据有三种方法 轮询 中断和面向自陷的轮询 1 轮询 polling only SNMP使用嵌入到网络设施中的代理软件来收集网络的通信信息和有关网络设备的统计数据 代理软件不断地收集统计数据 并把这些数据记录到一个管理信息库 MIB 中 管理进程通过向代理的MIB发出查询信号可以得到这些信息 这个过程就叫轮询 polling 为了能够全面地查看一段时间的通信流量和变化率 管理进程必须不断地轮询设备中的代理 这样 管理站可以使用SNMP来评价网络的运行状况 并发现通信的趋势 如哪一个网段接近通信负载的最大能力或正使通信出错等 先进的SNMP网管系统甚至可以通过编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据 计算机网络管理技术 2 中断 interrupt based 与轮询方法相比 当有异常事件发生时 使用中断的方法可以立即通知网管系统 实时性很强 但这种方法也有缺陷 产生错误或自陷需要系统资源 如果自陷必须转发大量的信息 那么被管理设备可能不得不消耗更多的事件和系统资源来产生自陷 这将会影响到网络管理的主要功能 这里谈到的自陷其实就是从发现设备的重要事件到完成trap操作的过程 在中断方式中 如果几个同类型的自陷事件接连发生 那么大量网络带宽可能将被相同的信息所占用 尤其是自陷如果是由于网络阻塞引起时 事情就会变得特别糟糕 计算机网络管理技术 3 面向自陷的轮询 trap directedpolling 面向自陷的轮询是轮询和中断两种方式的结合 是目前执行网络管理最有效的方法 一般来说 网络管理工作站轮询在被管理设备中的代理来收集数据 并且在控制台上用数字或图形方法来显示这些数据 以便于网络管理员分析和管理网络中的设备及网络的通信量 被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况 避免了轮询中存在的不足 在这种方法中 当一个设备产生了一个自陷时 可以在网络管理工作站上查询该设备 前提是该设备仍然能够连接上 以获得更多的信息 计算机网络管理技术 2 6 1SNMP的发展历史SNMP发展到现在 共推出了三个版本和两个扩展 具体如下 1989年 SNMPv1发布 1991年 针对SNMPv1的扩展RMON RemoteMonitoring 远程监视 发布 RMON扩展了SNMPv1的功能 主要加强了对局域网及设备的管理 1995年 SNMPv2正式发布 SNMPv1的升级版在1993年提出 SNMPv2在SNMPv1的基础上增加了部分功能 并制定了在OSI网络中使用SNMP的具体方法 同年 RMON升级为RMON2 1998年 SNMPv3发布 重点加强了SNMP的安全性 并为将来的发展设计了总体的架构 计算机网络管理技术 2 6SNMP的发展和现状2 6 1SNMP的发展历史SNMP发展到现在 共推出了三个版本和两个扩展 具体如下 1989年 SNMPv1发布 1991年 针对SNMPv1的扩展RMON RemoteMonitoring 远程监视 发布 RMON扩展了SNMPv1的功能 主要加强了对局域网及设备的管理 1995年 SNMPv2正式发布 SNMPv1的升级版在1993年提出 SNMPv2在SNMPv1的基础上增加了部分功能 并制定了在OSI网络中使用SNMP的具体方法 同年 RMON升级为RMON2 1998年 SNMPv3发布 重点加强了SNMP的安全性 并为将来的发展设计了总体的架构 计算机网络管理技术 2 6 2SNMPv2的特点简单化是SNMP标准取得成功的主要原因 正是因为SNMP的实现较为简单 所以在SNMPv1发布后得到了大量应用 也正是因为SNMPv1的广泛使用 SNMPv1存在的缺陷很快暴露了出来 1 SNMPv1的主要缺陷SNMPv1存在的主要缺陷是安全问题 具体如下 没有提供读取大块数据的有效机制 对大块数据进行存取的效率很低 没有提供足够的安全机制 安全性很差 对管理消息不能进行鉴别 也不能防止监听 没有提供管理进程 manager 与管理进程之间的通信机制 只适合集中式管理 而不利于进行分布式管理 只适用于监测网络设备 不适用于监测网络本身 由于trap数据报采用面向非连接的UDP协议传输 而且没有应答 计算机网络管理技术 2 SNMPv2的主要功能改进 提供了一次读取大块数据的能力 主要由新增加的GetBulkRequest操作来实现 效率大大提高 增加了管理进程 manager 与管理进程之间的信息交换机制 主要由新增加的InformRequest操作来实现 从而支持分布式管理结构 由中间 intermediate manager来分担主manager的任务 增加了远程站点的局部自主性 可在多种网络协议上运行 如OSI Appletalk和IPX等 适用多协议网络环境 但它的缺省网络协议仍是UDP SMI为被管理对象和MIB提供了更详尽的规范和文档 SNMPv2的MIB定义在MIB 基础上 并对MIB 进行了修改和扩充 提供了安全管理规范 计算机网络管理技术 2 6 3SNMPv3的特点SNMPv3的最突出特点是其安全性 具体来说 SNMPv3使用了SNMPv1和SNMPv2的消息 操作及传输层映射 并在前面两个版本的基础上增加了用于安全的模型和访问控制 SNMPv1和SNMPv2的安全机制比较脆弱 通信不加密 所有通信字符串和数据都以明文形式发送 攻击者一旦捕获了网络通信 就可以利用各种嗅探工具直接获取通信字符串 为了解决安全问题 SNMPv3通过对数据进行加密和鉴别加强了数据的安全性 加密 加密的目的是保证数据不