s02-流量分析技术-snmp

1、SNMP技术原理 第二章 2-1 讲解：XX 目录目录 SNMP技术原理及设置方法 实验 使用SNMP对网络流量进行分析 2 讲解：XX 什么是什么是SNMP 由IETF的研究小组提出的 为了解决Internet上的路由器管理问题 被设计成与协议无关 可以使用在IP，IPX，AppleTalk，OSI以及其 他用到的传输协议上 提供了一种从网络上的设备中收集网络 管理信息的方法 为设备向网络管理工作站报告问题和错 误提供了一种方法 3 讲解：XX SNMP收集数据的方法 收集数据的方法 从被管理设备中收集数据有两种方法 polling-only 只轮询方法 interrupt-based 基于

2、中断方法 trap-directed polling 面向自陷的轮询方法 以上两种方法的结合 4 讲解：XX SNMP的管理架构 的管理架构 SNMP代理 是一种管理协议 用于在SNMP实体间传输管理信息的 是被管理设备中的一个软件模块 用来维护被管理设备的管理信息数据 并可在需要时把管理数据汇报给一个SNMP 管理系统 SNMP代理和相关的MIB库存在于网络设备中 如Cisco路由器，交换机，接入服务器等等 5 讲解：XX MIB库，管理信息库 库，管理信息库 MIB库 Management Information Base 是一个保存网络管理信息的虚拟数据存储空间 由多组被管理对象组成 在

3、设备MIB库中 有由多个MIB模块定义的多组各自相关联的对象 每个MIB模块都是利用标准的SNMP MIB模块语言撰 写的 具体遵循的标准定义 在IETF STD58，RFC2579和RFC2580文档中 每一个单独的MIB模块有时也会被称为一个MIB 如设备接口组MIB（IF-MIB）就是设备MIB库中的一个MIB 模块 6 讲解：XX SNMP的管理者 的管理者 SNMP管理者 是一个利用SNMP协议对网络节点进行控制和监视的系统 其中网络环境中最常见的SNMP管理者被称为网络管理系统 NMS，Network Management System 网络管理系统既可以指一台专门用来进行网络管理

4、的服务器，也可以 指某个网络设备中执行管理功能的一个应用程序 现在市场上有众多软硬件厂商提供有支持SNMP协议的网络管理系统， 如Cisco公司的CiscoWorks系列网络管理软件产品 SNMP代理中保存有MIB对象变量 变量的数值可以被SNMP管理者通过Get或Set操作进行读取和修改 一个SNMP管理者可以从SNMP代理中读取一个变量的数值或把一 个数值存储到SNMP代理的一个变量中 SNMP代理从代表设备参数和网络运行数据的MIB库中采集数据， 且可以对SNMP管理者的Get和Set操作进行应答 7 讲解：XX SNMP通知 通知 是SNMP协议的一个重要特性 SNMP代理具有产生通知

5、的能力 通知不需要SNMP管理者请求就会主动发送 发送采用异步方式 形式可分为两种： Trap Inform Request，简称Inform 用于指示网络中出现的不正确用户授权，重启， 连接关闭，设备通信中断或其它异常事件 8 讲解：XX Trap传送方式 传送方式 是发送给SNMP管理者的通知网络状况的 警告消息 Trap通知方式为不可靠传输 一条Trap通知只会被发送一次 接收者在收到一条Trap通知后无需回复任 何确认信息 发送者无法知道Trap通知是否已经被正确 接收 9 讲解：XX Inform传送方式 传送方式 是需要SNMP管理者确认接收的Trap Inform通知可能会被重复

6、发送多次 SNMP管理者收到一条Inform通知后它需要向发送者回 复一条确认信息，使用的是SNMP应答数据包（PDU） 如果SNMP管理者没有接收到Inform通知，它将不会发 送任何应答，所以当发送者无法接受到期望的应答时， 它将再次发送一条Inform通知给SNMP管理者 管理设备不能在发送后立即把一条Inform通知丢弃，它 需要把通知信息保存在系统内存中直到收到相应的确 认应答或设备规定的计时器超时 Inform方式将会耗用更多的网络和设备资源 10 讲解：XX 通知形式的选择通知形式的选择 在多数情况下，Trap通知方式被较多采用，因 为Inform方式将会耗用更多的网络和设备资源

7、 与Trap通知方式不同的是，被管理员在选择 Trap或Inform通知形式时需要根据可靠性要求 和系统资源状况统筹考虑 如果SNMP管理者需要确保收到每条通知，应该采用 Inform通知方式 如果更关心减少网络流量和网络设备的资源消耗且 并不需要每条通知都需要接收，则应该采用Trap通 知方式 11 讲解：XX MIB和 和RFC MIB模块通常在提交给IETF的RFC文档中定义 由RFC文档推荐为互联网标准（Internet Standard） 在确定每个RFC文档地位前，文档会以互联网草案 （Internet Draft，I-D）形式先行发表 如果RFC文档最终被批准为推荐标准，则此文档

8、将被标 注为标准（STD）文档 IETF组织的官方网站 了解其标准制定流程和当前的工作进度 查寻所有RFC文档，I-D文档和STD文档的全文 12 讲解：XX 思科是最早定义思科是最早定义SNMP的的 支持标准MIB模块 在路由器中提供了私有MIB 扩展 私有MIB模块符合相关RFC文档定义的规范 在思科网站上，可查找 所有Cisco设备支持的私有MIB模块的定义 每种Cisco设备平台支持的MIB清单 http:/ center/netmgmt/cmtk/mibs.shtml 13 讲解：XX SNMP协议的版本 协议的版本 Cisco IOS支持SNMP

9、协议的下列版本 SNMPv1 简单网络管理协议 SNMPv2c 基于团体字符串认证管理框架的简单网络管理协 议版本2 SNMPv3 简单网络管理协议版本3 提供了设备安全访问机制 14 讲解：XX SNMPv3 提供的安全特性包括 报文完整性 确保数据包在传输过程中没有被篡改 认证 ： 确定报文是由正确信息源发送来的 加密 ： 对报文内容进行加密 重点强调增强协议的安全认证/加密，授 权/访问控制以及远程配置管理等功能 提供了一个安全模型，为用户/用户组定 义不同的安全认证策略； 15 讲解：XX SNMP的安全模型和级别 的安全模型和级别 模型模型级别级别认证认证加密加密注释注释 版本1no

10、AuthNoPriv团体字符串无利用团体字符串匹配进行认证 版本2cnoAuthNoPriv团体字符串无利用团体字符串匹配进行认证 版本3noAuthNoPriv用户名无利用用户名匹配进行认证 版本3authNoPrivMD5或SHA无提供基于HMAC-MD5或HMAC- SHA算法的认证 版本3authPrivMD5或SHADES提供基于HMAC-MD5或HMAC- SHA算法的认证 除基于CBC-DES(DES-56)标准 进行认证还提供DES-56bit的报 文加密 16 讲解：XX 如何管理网络如何管理网络 网络管理的两种方法 积极主动（pro-active） 被动反应（re-acti

11、ve） 17 讲解：XX 如何管理网络如何管理网络 当管理网络时，你需要明确的第一件事情就是要知道什 么时候网络出问题 请你使用网络管理工作站来跟踪这些统计数据一段时间 这将成为你的基准线（baseline） 一个基准线就是一系列数字 这些数字反映出了一个“健康”的网络 你需要一个基准线来决定你的网络是否出了问题 通过监视被管理设备中的网络阈值设置，并且寻找故障 的征兆，你就可以拥有一个提前报警的系统了 18 讲解：XX Cisco的 的SNMP配置配置 config terminal 进入全局配置状态 Cdp run 启用CDP snmp-server community cisco ro

12、配置本路由器的只读字 串为cisco snmp-server community ciscocisco rw 配置本路由器的读 写字串为ciscocisco snmp-server enable traps 允许路由器将所有类型SNMP Trap发送出去 snmp-server host IP-address-server traps trapcomm 指 定路由器SNMP Trap的接收者为7，发送Trap 时采用trapcomm作为字串 snmp-server trap-source loopback0 将loopback接口的IP 地址作为SNMP Trap的发送源

13、地址 show running copy running start或write terminal 显示并检查配置保存 配置 19 讲解：XX Cisco的 的SNMP配置配置 配置Cisco设备的SNMP代理 配置Cisco设备上的SNMP代理的步骤如下： 启用SNMP: configure terminal snmp-server community rw/ro (example: snmp-server community public ro) end copy running-configstartup-config 启用trap: configure terminal snmp-se

14、rver enable traps snmp authentication end copy running-configstartup-config 配置snmp #conf t #snmp-server community cisco ro（只读） ；配置只读通信字符串 #snmp-server community secret rw（读写） ；配置读写通信字符串 #snmp-server enable traps ；配置网关SNMP TRAP #snmp-server host rw ；配置网关工作站地址 20 讲解：XX snmp-server communi

15、ty cisco RO 99 snmp-server community ciscocisco RW 99 snmp-server trap-source Vlan131 snmp-server enable traps snmp authentication warmstart linkdown linkup coldstart snmp-server enable traps hsrp snmp-server enable traps config snmp-server host ciscocisco monitor session 1 source interface Gi3/2 rx monitor session 1 source interface Gi3/1 monitor session 1 destination interface Fa6/42 Snmp config: Span config: rmon event 1 log trap cisco descriptio