简单网络管理协议(ppt 30页).ppt

简单网络管理协议 1SNMP概述 在早期的网络应用中 网络管理问题并未得到重视 也无网络管理协议 直到70年代 仍然是使用ICMP协议做为网络管理工具 ICMP协议 因特网控制报文协议 ICMP主要用于差错信息和控制信息的构造及某些网络信息的获取 ICMP与IP同属IP层 但ICMP报文是经IP封装后 作为IP数据报发送出去的 不把ICMP作为一个独立的协议层次 是因为ICMP不是上层协议的基础 在概念上构不成一个独立的层次 ICMP消息包括以下类型 目的不可达 超时 参数问题 源端抑制 重定向 回声请求 回声应答 时间标记请求 时间标记应答 1 1SNMP的发展历史 OSI的CMIP迟迟不出 Internet体系结构委员会提出了SNMP 本想作为一个短期的网管框架 作为临时解决方法 等到CMIP成熟再换掉SNMP但SNMP发展很快 并吸引了大量的用户 许多机构 厂家 用户将其应用 成为了事实标准 而SNMP向CMIP的迁移并未发生 从现在来看 已被业界广泛接受 1 2SNMPv1的优点 SGMP基础上开发而来SNMPv1最大的特点是简单性 容易实现且成本低 可伸缩性 SNMP可管理绝大部分符合Internet标准的设备 扩展性 通过定义新的 被管理对象 可以非常方便地扩展管理能力 健壮性 Robust 即使在被管理设备发生严重错误时 也不会影响管理者的正常工作 1 2SNMPv1的缺点 功能简单 安全性差 使用UDP 不能保证可靠传输网管信息 SNMPv1是基于一种主动轮询的监视机制 轮询间隔短时对网络性能影响很大 不适合大规模的网络管理 SNMPv1不支持管理站 管理站之间的通信 这样 它不允许一个管理系统去了解由另一个管理系统管理的设备和网络的状况 1 3SNMPv2 IETF在1992年雄心勃勃地开始SNMPv2的开发工作 它当时宣布计划中的第二版将在提高安全性和更有效地传递管理信息方面加以改进 具体包括提供验证 加密和时间同步机制以及GETBULK操作提供一次取回大量数据的能力等 然而不幸的是 涉及的方面依然无法取得一致 从而只形成了现在的SNMPv2草案标准 1 3SNMPv2的特点 SNMPv2支持分布式 分层式的网络管理结构 在SNMPv2管理模型中有些系统可以同时具有管理器和代理的功能SNMPv2定义了两个MIB库支持分布式网络管理扩展了数据类型可以实现大量数据的同时传输 提高了效率和性能丰富了故障处理能力增加了集合处理功能加强了数据定义语言 1 4SNMPv3 1997年4月 IETF成立了SNMPv3工作组 SNMPv3的重点是安全 可管理的体系结构和远程配置 98年协议RFC文档说明出台 1 4 1SNMPv3的内容 SNMPv3主要有三个模块 信息处理和控制模块 本地处理模块和用户安全模块 1 4 2信息处理和控制模块 信息处理和控制模块在RFC2272中定义 它负责信息的产生和分析 并判断信息在传输过程中是否要经过代理服务器等 在信息产生过程中 该模块接收来自调度器 Dispatcher 的PDU 然后由用户安全模块在信息头中加入安全参数 在分析接收的信息时 先由用户安全模块处理信息头中的安全参数 然后将解包后的PDU送给调度器处理 1 4 3本地处理模块 本地处理模块的功能主要是进行访问控制 处理打包的数据和中断 访问控制是指通过设置代理的有关信息使不同的管理站的管理进程在访问代理时具有不同的权限 它在PDU这一级完成 常用的控制策略有两种 限定管理站可以向代理发出的命令或确定管理站可以访问代理的MIB的具体部分 访问控制的策略必须预先设定 SNMPv3通过使用带有不同参数的原语使用来灵活地确定访问控制方式 1 4 4用户安全模块 与SNMPv1和SNMPv2相比 SNMPv3增加了三个新的安全机制 身份验证 加密和访问控制 其中 本地处理模块完成访问控制功能 而用户安全模块 UserSecurityModel 则提供身份验证和数据保密服务 身份验证是指代理 管理站 接到信息时首先必须确认信息是否来自有权的管理站 代理 并且信息在传输过程中未被改变的过程 2基本体系结构 1 SNMP管理模型在OSI管理体系结构中 开放系统存在对等的管理关系 在SNMP中则是非对称的 管理站和代理均为应用层实体 2 2SNMP中的元素 管理站 由专用设备构成 通过配置管理实体和一组应用程序 提供五大管理代理 配备了Agent实体的各类设备 如主机 Hub等 在Agent实体的支持下响应管理站的操作请求 对系统中各类资源的被管对象进行访问MIB 给出管理站和代理之间共享的管理信息 位于代理系统中 各个代理系统中被管对象的集合则构成了该系统的MIB 2 2 1管理应用程序的MIB 在运行了管理应用程序的管理站要配置一个管理数据库 用来存储从各个代理处获取的管理信息的值 以便于管理应用程序的使用这个管理数据库和MIB是有区别的 MIB是被管对象名的集合 是虚拟的数据库管理站的数据库则是被管对象值的集合 是实际存在的数据库 2 3SNMP的操作 共五个操作GetRequest 161端口用来提取一个或多个MIB对象的参数值GetNextRequest 161用来提取一个或多个MIB对象的参数的下一个参数值SetRequest 161设置代理进程的一个或多个MIB对象的参数值GetResponse 161端口通过代理进程返回一个或多个MIB对象的参数值 是前三个的响应操作Trap 162端口代理进程主动向管理进程发出报文 标记一个可能需要特殊注意的事件 2 4SNMP的工作机制 基于中断的事件驱动轮询驱动 2 4 1基于中断 由于网络中的各个设备监测设施在发现被监测设备或设施的状态和参数发生变化后 及时以中断的方式向管理进程报告 这种报告称为事件报告事件报告的原因有多样 如 流量到达阀值 设备重启等管理进程中一般都对事件分类 可分成致命事件 严重事件 轻微事件 一般告警等 存在一定不足 如断电 报告事件的渠道发生故障时管理进程无法得到此类事件的报告 2 4 2基于轮询 管理进程主动轮流查询各个网络设备或设施的工作状态和参数 如果返回的结果说明有错误 甚至没有任何结果返回 则说明设备存在严重故障 需要管理进程采取措施才能恢复 轮询检测到故障的时延是较长的 但掌握了网络状态和参数全面而事件反映的网络状态变化不完全 但比较及时 在网络线路是连通的情况下 2 5SNMP的对象访问策略 管理站和代理之间可以是一对多 多对一 多对多的关系 由于一个代理可以收到不同管理站对被管对象的操作命令 因此需要进行被管对象的访问控制 以实现对MIB的访问限定在授权的管理站范围 认证服务 对不同的管理站给予不同的访问权限 访问策略 及在委托代理系统中实现托管站的认证服务 委托代理服务 等访问控制要求 3RMON远程网络监视 RMON将一些专用设备配置在各个节点上 并将这些设备称为网络监测器监测器对网络中各种类型的分组进行观察 从而得到网络的总体信息 还可将一些分组存储下来 以备事后分析一般每个子网都需要配置一个监测器 且是独立的 3 1RMON的先进性 对本地网段进行监测和分析 即可被动也可主动向网络管理系统传递信息由于是在本地进行的 分析结