snmpv1网络管理模型PPT演示课件

SNMPv1,SNMPv1,SNMPv1网络管理组织模型SNMPv1网络管理体系结构SNMPv1管理信息结构SNMPv1协议数据单元SNMPv1安全机制管理信息库(MIBII)传输层支持SNMPv1局限性SNMPv1相关文档,1SNMPv1网络管理组织模型,2SNMPv1网络管理体系结构,2SNMPv1网络管理体系结构,SNMP中的元素管理站代理管理信息库(MIB)通信协议SNMP,3SNMPv1管理信息结构SMI,3SNMPv1管理信息结构SMI,SMI树为MIB变量提供了一致的定义、描述和命名方法。在SMI树中除根结点以外的所有结点都被分配了一个数值(NumID)，用以标识同一父结点下的多个子结点，例如，根结点下有三个子结点CCITT、ISO和JOINT-ISO-CCITT，分别配数值0、1和2，以区分三个不同国际标准组织。SMI用对象标识符(ObjectID)命名每个MIB变量，它可以唯一地标识SMI树中的每个对象。对象标识符是由从根结点对象结点经历的所有结点的NumID组成数值序列，数值之间用“.”隔开。例如，udpInDatagrams的对象标识符为1.3.6.1.2.1.7.1。注意：SMI树提供的名字空间可以对所有可能的对象命名对象标识符名字空间是绝对的，这意味着所构造的名字在全世界是唯一的对象标识符名字空间采用分级结构，名字空间的管理机构在每一级都被进一步细分，允许各组管理机构获得分配名字的管理授权,3SNMPv1管理信息结构SMI,管理对象定义样板（Macro）,3SNMPv1管理信息结构SMI,ObjectSyntax数据类型（1）,3SNMPv1管理信息结构SMI,ObjectSyntax数据类型（2）,3SNMPv1管理信息结构SMI,管理对象定义举例（1）,3SNMPv1管理信息结构SMI,管理对象定义举例（2）,3SNMPv1管理信息结构SMI,管理对象定义举例（3）,3SNMPv1管理信息结构SMI,管理对象定义举例（4）,对象实例的识别与排序（一）,SNMP对MIB进行访问时，所要访问的是对象的一个特定的实例，而不是对象类型。对于具有多个对象实例的对象，只用ObjectID不足以区分多个对象实例SMI文档（RFC1155）指明：在MIB中没有定义识别对象实例的方法，识别对象实例是通过协议特定机制来完成，因而对象实力如何识别需要由SNMP定义,对象实例的识别与排序（二）,列对象：SNMP定义了两种识别特定对象实例的方法，即顺序访问技术和随机访问技术顺序访问技术：基于MIB结构中的按字典顺序随机访问技术：ObjectID之后增加一个索引对象值,对象实例的识别与排序（三）,随机访问举例例1：在一台路由器中通常有多个接口，每个接口的信息都存储在一张表中，在SMI树中接口类型（ifType）的ObjectID为1.3.6.1.2.1.2.2.1.3，但是如果要标识路由器中的第四个接口类型，必须在ifType的ObjectID后面增加一个4（ifIndex），即表示成1.3.6.1.2.1.2.2.1.3.4,对象实例的识别与排序（四）,随机访问举例例2：IP组中的ipRouteTable如下，其中ipRouteDest为索引对象,对象实例的识别与排序（五）,字典顺序由于对象标识符是一个整数序列，如果把它们看作是书的章节编号，则对象标识符的前后顺序就有了确定的排列方法，MIB中的对象实例也就有了顺序标识和访问的方法。因为Manager对Agent提供的MIB视图的构成不一定完全清楚，因此，它需要一种不必提供对象名称而能访问对象的方法。在这种情况下，对象及其实例的排序就是非常重要的。利用这个排序，Manager可以有效地遍历一个MIB的结构。,对象实例的识别与排序（五）,字典顺序=深度优先遍历,对象实例的识别与排序（六）,标量对象对于标量对象，对象和对象实例之间不存在模糊性，在每一个标量对象只有一个对象实例。但是为了对象约定的一致性，并区别一个对象和对象实例，SNMP规定一个不成表的标量对象的实例标识由它的对象表示符加上0组成。例如：如sysDescr、sysObjectID和sysUpTime等，则后面的索引值为0例如：sysDescr的ObjectID为1.3.6.1.2.1.2.1.1.1，它的对象实例用1.3.6.1.2.1.2.1.1.1.0表示。,对象实例的识别与排序（七）,表格及行对象对于表格和行对象，没有定义他们的实例标识符。这是因为表格和行不是简单对象，因而不能由SNMP访问。这些对象的MIB定义中，他们的ACCESS特性被设为not-accessible。,4SNMPv1协议数据单元,GetRequestGetNextRequestSetRequestGetResponseTrap,4.1PDU格式,4.1PDU的ASN.1表示,4.1PDU的ASN.1表示,4.1PDU的ASN.1表示,4.1PDU的ASN.1表示,4.1PDU的ASN.1表示,4.1PDU的ASN.1表示,4.1PDU的ASN.1表示,4.1PDU的ASN.1表示,4.2消息发送流程,4.2消息接收流程,4.3GetRequestPDU,SNMP实体应Manger的应用程序的请求发出GetRequestPDU。GetRequestPDU的SNMP接收实体用包含相同request-id的GetResponsePDU进行应答。GetRequest操作是原子操作要么所有的值都提取回来，要么一个都不提取。GetRequst操作不成功的原因有对象名不匹配(noSuchName)、返回结果太长(tooBig)以及其他原因(genErr)。SNMP只允许提取MIB树中的叶子对象的值。因此不能只提供一个表或一个条目的名字来获取整个表或整行的对象值。但是可以将表中每行的各个对象包含在变量绑定中，来一次获取一行的对象值,4.3GetRequest,Manager发出GetRequestRequest-id：标识同一代理的每一个未完成的请求，使到来的响应与未完成的请求相关联：处理由于不可靠传输服务产生的重复PDUVariable-bindings：被请求的对象实例列表Agent返回GetResponseRequest-id：与GetRequest相同Variable-bindings：Get-Request操作是原子的，如果Agent能够提供所有变量值，则返回每个变量值：如果其中有一个变量值不能提供，则不返回任何值Error-status：noSuchName，tooBig，genErrError-index：指向第一个有问题的对象,4.3GetRequest,例：GetRequest(x.1.9.1.2.3,x.3.9.1.2.3,x.7.9.1.2.3),4.4GetNextRequestPDU,GetNextRequestPDU与GetRequestPDU具有相同交换模式和相同的格式。不同的，GetNextRequest列出的是要取值的对象实例的“前一个”对象实例名。GetNextRequest有GetRequest无法替代的用途。它能够使网络管理站去动态地发现一个MIB视图的结构。它也为查找不知其条目的表提供了一个有效的机制。GetNextRequest要求代理者提取所提供的对象实例名的下一个对象实例的值，因此，发送这类PDU时，并不要求提供MIB视图中实际存在的对象或对象实例的标识符。利用这一特点，Manager可以使用GetNextRequestPDU去探查一个MIB视图，并搞清它的结构。,4.4GetNextRequest,Agent在GetResponse中返回按字典顺序的下一个对象实例值例1：检索简单对象值,4.4GetNextRequest,4.4GetNextRequest,4.5SetRequestPDU,SNMP实体应Manager的应用程序的请求发出SetRequestPDU。变量绑定清单中既包含对象实例标识符，也包含每个对象实例将被赋予的值。接收实体用包含相同request-id的GetResponsePDU进行应答。SetRequest操作是原子操作要么变量绑定中的所有变量都被更新，要么一个都不被更新。如果更新成功，则GetResponsePDU中包含提供给各个变量新值的变量绑定字段。只要有一个变量值不能成功地设置，则无变量值返回，也无变量值被更新。可能返回的错误：noSuchName、tooBig、genErr、badValue。利用SetRequest不仅可以对叶子对象实例进行值的更新，也可以利用变量绑定字段进行表格的行增加和行删除操作。,4.5SetRequest,SetRequest用于对象实例赋值Variable-bindings：包含对象实例标识和赋给对象实值Agent用GetResponse响应SetRequest，SetRequest操作是原子的，如果能够对variable-bindings中所有对象实例赋值，则在GetResponse中返回variable-bindings，并为每个变量提供一个值；如果有一个变量不能更新，则没有值返回。Error-status：noSuchName，tooBig，genErr，badValue,4.5SetRequest,4.5SetRequest,例2：增加新的对象实例请求SetRequest(ipRoutDest.11.3.3.12=11.3.3.12),(ipRouteMetric1.11.3.3.12=9),(ipRouteNextHop.11.3.3.12=91.0.0.5)响应拒绝该操作并返回带有错误状态noSucheName的GetResponse试着接受该操作并返回带有错误状态badValue的GetResponse接受该操作并创建一新行GetResponse(ipRoutDest.11.3.3.12=11.3.3.12),(ipRouteMetric1.11.3.3.12=9),(ipRouteNextHop.11.3.3.12=91.0.0.5),4.5SetRequest,例4：行删除请求：SetRequest(ipRouteType.7.3.5.3=invalid)响应：GetResponse(ipRouteType.7.3.5.3=invalid)MIB-II的表中可以删除和废除的行,4.5SetRequest,执行动作SNMP唯一的功能是在MIB视域内读对象值和设置对象值，没有为向代理发出命令以执行动作提供特殊的机制SNMP可以使用一个对象代表一个命令，如果该对象被设置成某个特殊值，则相应的动作被执行例：一个Agent可以有一个特殊的对象reBoot，初始值为0，如果Manager将该对象设置成为1，则Agent会重新启动并将该对象重新设置为0,4.6TrapPDU,SNMP实体应Agent的应用程序的请求发出TrapPDU。它被用于向Manager异步地通报某个重要事件。它的格式与其他的SNMPPDU完全不同。,4.6Trap,Trap由Agent发出，向Manager提供某些重要的事情一般Trap类型coldStart(0)warmStart(1)linkDown(2)linkUp(3)authenticationFailure(4)egpNeighborLoss(5)enterpriseSpecific(6)专用Trap类型网络厂商自定义的陷阱类型代码,5SNMPv1的安全机制,网络管理被视为一种分布式应用一个Manager对多个Agent多个Manager对一个AgentAgent控制多个Manager对本地MIB的使用团体的概念每个团体有唯一的团体名字，一个团体内的管理进程必须在所有的Get和Set操作中使用该团体名字一个Agent中可以建立多个团体，这些团体可以包括重叠的管理进程团体名字只具有局部意义，不同的Agent中可以用相同的名字，管理进程必须保存它要访问的Agent的团体名字团体名字为一个字符串，以明文传输，安全性差,5SNMPv1的安全机制,认证服务保证接收的消息来自消息声称的源只要团体名字正确，便认为消息是可靠的,5SNMPv1的安全机制,访问策略通过使用多个团体，Agent可以为不同的管理进程提供不同的MIB访问类别SNMPMIB视域：MIB中的一个对象子集，不同的团体可以定义不同的MIB视域，一个视域中的对象不必属于MIB的单个子树SNMP访问模式：集合只读，读写的一个元素，每个团体只定义一种访问模式SNMP团体框架文件：MIB视域+访问模式，即由MIB子集及对子集中对象的访问模式组成，选定的访问模式用于视域中的所有对象SNMP访问策略：SNMP团体框架文件+团体名字,5SNMPv1的安全机制,6管理信息库,MIB-I：RFC1156MIB-II：RFC1213,6管理信息库,MIB-II,6管理信息库MIB-II,系统组（system1）接口组（interface2）IP组（ip4）ICMP组（icmp5）TCP组（tcp6）UDP组（udp7）EGP组（egp8）SNMP组（snmp11）,system组的对象,interfaces组的对象,interfaces组的对象（续）,addresstranslation组的对象,ip组的对象,ip组的对象（续）,icmp组的对象,icmp组的对象（续）,tcp组的对象,tcp组的对象（续）,udp组的对象,egp组的对象,7传输层支持,SNMP在TCP/IP结构上使用UDP服务，UDP服务负责传递SNMP消息Agent在161端口监听，接收来自Manager的GetNextRequest、GetRequest、SetRequest消息Manager在162端口监听，接收来自Agent的Trap消