s02-流量分析技术-snmp.ppt

2-1,IP网络流量分析,SNMP技术原理,第二章,2-2,IP网络流量分析,目录,SNMP技术原理及设置方法实验使用SNMP对网络流量进行分析,2-3,IP网络流量分析,什么是SNMP,由IETF的研究小组提出的为了解决Internet上的路由器管理问题被设计成与协议无关可以使用在IP，IPX，AppleTalk，OSI以及其他用到的传输协议上提供了一种从网络上的设备中收集网络管理信息的方法为设备向网络管理工作站报告问题和错误提供了一种方法,2-4,IP网络流量分析,SNMP收集数据的方法,从被管理设备中收集数据有两种方法polling-only只轮询方法interrupt-based基于中断方法trap-directedpolling面向自陷的轮询方法以上两种方法的结合,2-5,IP网络流量分析,SNMP的管理架构,SNMP代理是一种管理协议用于在SNMP实体间传输管理信息的是被管理设备中的一个软件模块用来维护被管理设备的管理信息数据并可在需要时把管理数据汇报给一个SNMP管理系统SNMP代理和相关的MIB库存在于网络设备中如Cisco路由器，交换机，接入服务器等等,2-6,IP网络流量分析,MIB库，管理信息库,MIB库ManagementInformationBase是一个保存网络管理信息的虚拟数据存储空间由多组被管理对象组成在设备MIB库中有由多个MIB模块定义的多组各自相关联的对象每个MIB模块都是利用标准的SNMPMIB模块语言撰写的具体遵循的标准定义在IETFSTD58，RFC2579和RFC2580文档中每一个单独的MIB模块有时也会被称为一个MIB如设备接口组MIB（IF-MIB）就是设备MIB库中的一个MIB模块,2-7,IP网络流量分析,SNMP的管理者,SNMP管理者是一个利用SNMP协议对网络节点进行控制和监视的系统其中网络环境中最常见的SNMP管理者被称为网络管理系统NMS，NetworkManagementSystem网络管理系统既可以指一台专门用来进行网络管理的服务器，也可以指某个网络设备中执行管理功能的一个应用程序现在市场上有众多软硬件厂商提供有支持SNMP协议的网络管理系统，如Cisco公司的CiscoWorks系列网络管理软件产品SNMP代理中保存有MIB对象变量变量的数值可以被SNMP管理者通过Get或Set操作进行读取和修改一个SNMP管理者可以从SNMP代理中读取一个变量的数值或把一个数值存储到SNMP代理的一个变量中SNMP代理从代表设备参数和网络运行数据的MIB库中采集数据，且可以对SNMP管理者的Get和Set操作进行应答,2-8,IP网络流量分析,SNMP通知,是SNMP协议的一个重要特性SNMP代理具有产生通知的能力通知不需要SNMP管理者请求就会主动发送发送采用异步方式形式可分为两种：TrapInformRequest，简称Inform用于指示网络中出现的不正确用户授权，重启，连接关闭，设备通信中断或其它异常事件,2-9,IP网络流量分析,Trap传送方式,是发送给SNMP管理者的通知网络状况的警告消息Trap通知方式为不可靠传输一条Trap通知只会被发送一次接收者在收到一条Trap通知后无需回复任何确认信息发送者无法知道Trap通知是否已经被正确接收,2-10,IP网络流量分析,Inform传送方式,是需要SNMP管理者确认接收的TrapInform通知可能会被重复发送多次SNMP管理者收到一条Inform通知后它需要向发送者回复一条确认信息，使用的是SNMP应答数据包（PDU）如果SNMP管理者没有接收到Inform通知，它将不会发送任何应答，所以当发送者无法接受到期望的应答时，它将再次发送一条Inform通知给SNMP管理者管理设备不能在发送后立即把一条Inform通知丢弃，它需要把通知信息保存在系统内存中直到收到相应的确认应答或设备规定的计时器超时Inform方式将会耗用更多的网络和设备资源,2-11,IP网络流量分析,通知形式的选择,在多数情况下，Trap通知方式被较多采用，因为Inform方式将会耗用更多的网络和设备资源与Trap通知方式不同的是，被管理员在选择Trap或Inform通知形式时需要根据可靠性要求和系统资源状况统筹考虑如果SNMP管理者需要确保收到每条通知，应该采用Inform通知方式如果更关心减少网络流量和网络设备的资源消耗且并不需要每条通知都需要接收，则应该采用Trap通知方式,2-12,IP网络流量分析,MIB和RFC,MIB模块通常在提交给IETF的RFC文档中定义由RFC文档推荐为互联网标准（InternetStandard）在确定每个RFC文档地位前，文档会以互联网草案（InternetDraft，I-D）形式先行发表如果RFC文档最终被批准为推荐标准，则此文档将被标注为标准（STD）文档IETF组织的官方网站了解其标准制定流程和当前的工作进度查寻所有RFC文档，I-D文档和STD文档的全文,2-13,IP网络流量分析,思科是最早定义SNMP的,支持标准MIB模块在路由器中提供了私有MIB扩展私有MIB模块符合相关RFC文档定义的规范在思科网站上，可查找所有Cisco设备支持的私有MIB模块的定义每种Cisco设备平台支持的MIB清单,2-14,IP网络流量分析,SNMP协议的版本,CiscoIOS支持SNMP协议的下列版本SNMPv1简单网络管理协议SNMPv2c基于团体字符串认证管理框架的简单网络管理协议版本2SNMPv3简单网络管理协议版本3提供了设备安全访问机制,2-15,IP网络流量分析,SNMPv3,提供的安全特性包括报文完整性确保数据包在传输过程中没有被篡改认证：确定报文是由正确信息源发送来的加密：对报文内容进行加密重点强调增强协议的安全认证/加密，授权/访问控制以及远程配置管理等功能提供了一个安全模型，为用户/用户组定义不同的安全认证策略；,2-16,IP网络流量分析,SNMP的安全模型和级别,2-17,IP网络流量分析,如何管理网络,网络管理的两种方法积极主动（pro-active）被动反应（re-active）,2-18,IP网络流量分析,如何管理网络,当管理网络时，你需要明确的第一件事情就是要知道什么时候网络出问题请你使用网络管理工作站来跟踪这些统计数据一段时间这将成为你的基准线（baseline）一个基准线就是一系列数字这些数字反映出了一个“健康”的网络你需要一个基准线来决定你的网络是否出了问题通过监视被管理设备中的网络阈值设置，并且寻找故障的征兆，你就可以拥有一个提前报警的系统了,2-19,IP网络流量分析,Cisco的SNMP配置,configterminal进入全局配置状态Cdprun启用CDPsnmp-servercommunityciscoro配置本路由器的只读字串为ciscosnmp-servercommunityciscociscorw配置本路由器的读写字串为ciscociscosnmp-serverenabletraps允许路由器将所有类型SNMPTrap发送出去snmp-serverhostIP-address-servertrapstrapcomm指定路由器SNMPTrap的接收者为7，发送Trap时采用trapcomm作为字串snmp-servertrap-sourceloopback0将loopback接口的IP地址作为SNMPTrap的发送源地址showrunningcopyrunningstart或writeterminal显示并检查配置保存配置,2-20,IP网络流量分析,Cisco的SNMP配置,配置Cisco设备的SNMP代理配置Cisco设备上的SNMP代理的步骤如下：启用SNMP:configureterminalsnmp-servercommunityrw/ro(example:snmp-servercommunitypublicro)endcopyrunning-configstartup-config启用trap:configureterminalsnmp-serverenabletrapssnmpauthenticationendcopyrunning-configstartup-config配置snmp#conft#snmp-servercommunityciscoro（只读）；配置只读通信字符串#snmp-servercommunitysecretrw（读写）；配置读写通信字符串#snmp-serverenabletraps；配置网关SNMPTRAP#snmp-serverhostrw；配置网关工作站地址,2-21,IP网络流量分析,snmp-servercommunityciscoRO99snmp-servercommunityciscociscoRW99snmp-servertrap-sourceVlan131snmp-serverenabletrapssnmpauthenticationwarmstartlinkdownlinkupcoldstartsnmp-serverenabletrapshsrpsnmp-serverenabletrapsconfigsnmp-serverhostciscocisco,monitorsession1sourceinterfaceGi3/2rxmonitorsession1sourceinterfaceGi3/1monitorsession1destinationinterfaceFa6/42,Snmpconfig:,Spanconfig:,