snmp协议入门教程

1、简单网络管理协议目录章节廿标简单网络管理协议背景snmp基本组成snmp基本命令snmp管理信息基础snmp和数据表示snmp vlsnmpv 1和管理信息结构snmpv 1和asn. 1数据类型snmp mib 表snmpv 1协议实施snmp v2snmpv2和数据信息结构系统管理中断信息模块snmpv2协议实施snmp管理snmp安全snmp协作代理服务器代理能说两种语言的网络管理系统snmp参考：snmpvl消息格式snmpvl消息头snmp v 1协议数据单元陷阱协议数据单元格式snmp参考：snmpv2消息格式snmpv2消息头snmpv2协议数据单元取得散装协议数据单元格式复习问

2、题章节目标论述snmp管理信息基础描述 snmpvl描述 snmp v2简单网络管理协议背景简单网络管理协议(snmp)是一种应用层协议，便于在网络设备间交换管理信息.它是tcp/1p 协议簇的一部分.网络管理员使用snmp管理网络性能，发现和解决网络故障，并计划网络增 长.育两种snmp版本：snmpvl iisnmpv2.它们有一些共同的特征，但snmpv2提供增强功 能，例如附加的协议操作.另一种版木snmpv3的标准化还没有完成.这-章提供対snmpvl 和snmpv2协议操作的描述.图56-1描述snmp管理的基本网络.图56-1: snmp便丁设备间的网络信息的交换.snmp基本组

3、成一个snmp管理的网络包含三个主要部分：被管理设备、代理和网络管理系统（nmss） 一个被管理设备是一个包含一个snmp代理并处于被管理的网络屮的一个网络结点。被管理设 备收集和存储管理信息，并使用snmp使这些信息対网络管理系统有用。被管理设备有时被称 为网络元索，可能是路由器和访问服务器，交换机和网桥，集线器，计算机主机或打印机。代理是处于被管理设备中的一个网络管理软件模块。代理冇管理信息的木地知识，并能转化为 snmp-致的格式。网络管理系统执行应用程序监控被管理设备。网络管理系统为网络管理提供大量的处理和内存资 源。在任何被管理的网络中至少存在一个网络管理系统。图56-2描述了这三个

4、组成的关系。managed devices图56-2： snmp被管理网络包含被管理设备、代理和网络管理系统snmp基本命令被管理设备被监控，使用如下四个基木snmp命令：读，写，陷阱和traversal操作。网络管理系统使用读命令來监控被管理设备。网络管理系统检杳被被管理设备维持的不同的变 最。网络管理系统使用写命令控制被管理设备。网络管理系统改变存储在被管理设备中的变呈值。被管理设备使用陷阱命令向网络管理系统asynchronously报告事件。当一定类型的事件发生, 被管理设备向网络管理系统发送一个陷阱。网络管理系统使用traversal操作决定被管理设备支持那些变量，从而收集信息到变量

5、表中， 例如路由表。snmp管理信息库管理信息库是被hierarchically组织的信息的收集。管理信息库使用网络管理协议如snmp访 问。它们包含被管理对象和被对象标识符识别。一个被管理对象（有时被称为一个管理信息库对象，一个对象或一个管理系统库）是被管理设备 屮所冇特殊的特征屮的一个。被管理对象包含一个或多个对象实例（实质上是变量）。有两种类型的被管理对象：标量和列表。标题对象定义一个单独的对象实例。列农对象定义多个 关联的对象实例，并分组在同一个管理信息库表屮。一个被管理対象的例子是输入，一个标量对象包含一个单独的対象实例，整型值显示在路由器接 口上输入appletalk数据包的总数目

6、。一个对彖标识符（对彖id）在管理信息库层次中独特地识别一个被管理对彖。管理信息库层次 能被描述为一棵没有名字的根的树，水平被不同的组织指派。图56-3描述管理信息库树。顶层ml b対象id属于不同的标准纽织，同时低层对象id被联合的纽织分配。卖主可以定义私冇的分支，为他们白c的产品包含被管理対彖。管理信息库在实验的分支屮还没 有代表性地标准化。被管理对象输入能被独特地标识，对彖名称（国际标准化组织）.被识别（组织）模块.互联网. 私有的.企业思科.临时变量.appletalk。输入或等价的对象描述符，1.3.6.1.4.1.9.3.3.1.memberbody (2)fegislration

7、- authority standard (0)0ecthied organizalion (3)dod (6>inl<jmc1 (1)directory (1) mgmt (2)pnvate (4)swunly (5)snmpv2 (6)experimental (3)mlb-2 enterprise (1)temporary vanabies novell vines (4|decn«i(1)xnstapple talk atlnput (1)atlocal |2>chassis atbcastin (3) atforward (4)图56-3：管理信息库树描述

8、了不同的组织分配了不同变量层次snmp和数据表示snmp在被管理设备z间必须说明和调幣到不相容。不同的计算机使用不同的数据农示技术， 能折衷snmp的性能在被管理设备间交换信息。snmp使用抽彖语法符号1 (asn.1 )的了集 在不同的系统z间提供通讯。snmpvlsnmpvl是snmp协议的最初实现。它在请求注释(rfo1157中冇描述,筲理信息结构(smi) 规范屮有功能描述。snmpvl运行在协议z上，如udp, ip,开放式系统互联参考模型无连接 网络服务(clns) , appletalk数据报投递协议(ddp),和novell网络数据报交换(ipx)。 snmpvl被广泛地使用，

9、成为因特网内事实上的网络管理协议。snmpvl和管理信息结构管理信息结构(smi)定义描述管理信息的规则，使川抽象语法符号1 (asn.1 ) o snmpvl管 理信息结构被定义在rfc1155屮。管理信息结构制定三种主要的规范：asn.1数据类型， smi-specific 数据类型和 snmp mib 表。snmpvl和asn.1数据类型snmpvl管理信息结构指定所冇被管理対彖冇一个抽彖语法符号1 （asn.1）数据类型的了集 与它们关联。三种asn.1数据类型是必需的：姓名、语法和编码。服务的名称被看作对象标识 符（对象id）。语法处义对象的数据类型（例如，整型或字符串）。管理信息结

10、构使用asn.1 语法定义的子集。编码数据描述信息怎么被关联到被管理对彖，被格式化为一系列数据项，用于 网络传输。snmpvl和管理信息结构-specific数据类型snmpvl管理信息结构指处一系列管理信息结构-specific数据类型的使川，被划分为两种：简 单数据类型和广泛应用数据类型。三种简单数据类型被定义在snmpvl管理倍息结构中，所有取唯一的值：整型、八位位组字符 串和对象id。整型数据类型是一个范围在147,483,648 to 2,147,483,647之间的单独的 整型。八位位组字符串是0到65535八位位组的规则序列。对彖id來自所有对彖标识符依照 asn.1屮的指定规则

11、分配的。七种广泛应用数据类型存在在snmpvl管理信息结构：网络地址、计数器、规格、时间记号、 不透明物和无符号整型。网络地址表示一个来白一个特殊协议族的一个地址。snmpvl只支持 32位ip地址。计数器是非负整型，增加直至达到最大值，然后返冋到零。在snmpvl中，一 个32位计数器大小被指定。规格是非负整型，能增加或减少，但它们保留达到的最大值。时间 记号表示白一些事件的一秒的每一右。不透明物表示一个任意的编码，被使用在任意的信息字符 串中，在管理信息系统中，不需要与严格的数据类型一致。整型表示有符号的整型值信息。这个 数据类型重新定义了整型数据类型，在asn.1屮冇任意的精确度，但是在

12、管理信息结构屮，是 有限制的。无符号整型表示无符号整型值信息，整型数据类型在asn.1中有任意的粘确度，但 是在管理信息结构中是有限制的。snmp管理信息库表snmpvl管理信息结构定义抽象的结构农，用于分组列表对象（一个对象包含多个变量）实例。 表格由零或多行组成，在某种程序上，索引允许snmp使用简单的get.getnext或set命令 去重新得到或改变一个完整的行。snmpvl协议操作snmp是-种简单的请求/应答协议。网络管理系统发出一个请求，被管理设备返回一个应答。 这种行为使用使用四种协议操作：get,getnext,set,和trap中的一种实现。get操作被网络 管理系统用于重

13、新取得代理中一个或多个对象实例的值。getnext操作被网络管理系统用于重 新取得代理屮表格或链表中下一个对象实例的值。set操作被网络管理系统用于在代理屮设置一 个对象实例的值otrap操作被代理用于asynchronously通知网络管理系统一个有意义的事件。snmpv2snmpv2是初始版本snmpvl的发展，最初，snmpv2在1 993年以被提议为因特网标准发 布；当前，它是一个标准草案。在管理信息结构规范中冇snmpvl,snmpv2功能功能详述。 在理论上，snmp2提供了 snmpvl的实现，包括附加的协议操作。snmpv2和管理信息结构管理信息结构（smi）处义了使川asn.

14、1描述管理信息的规则。snmpv2管理信息结构在rfc1902 >|>描述。它制定了一些对snmpvl管理信息结构 -specific数据类型额外的増强，例如包含位字符串，网络地址和计数器。位字符串中只在 snmpv2中有定义，由零或更多的指定值的位组成。网络地址表示一个來口特殊协议族的地址。 snmpvl只支持32位ip地址，但snmpv2能支持其他类型的地址。计数器是非负整型，增 加玄到它们达到最大值,然后返回到零。在snmpvl屮，32位计数器大小是指定的。在snmpv2 屮，32位和64位计数器被定义。管理信息结构信息模块snmpv2管理信息结构也指定倍息模块，指定一组关联

15、的定义。有三种类型的管理信息结构信 息模块：mib模块，顺从声明和性能声明。mib模块包含相关的被管理对彖的定义。顺从声明 提供描述一组被管理对象的一种系统方法，必须实现与标准一致。性能声明显示支持的粘确层次, 代理耍求考虑mib组。为了代理依照性能声明关联到每个代理，网络管理系统可以调整它的行 为。snmpv2协议操作get,getnext和set操作用于snmpvl屮，在snmpv2屮可以正确地同样使用。snmpv2 增加和增强一些协议操作。snmpv2 trap操作，例如，提供同样的功能在snmpv2中，但是 它使用一种不同的消息格式，被设计用于替代snmpvl陷阱。snmpv2也定义两

16、种新的协议操作：getbulkfil inform o getbulk操作被网络管理系统有效 地重新収得大块的数据，例如表中的多行。getbulk填充一个合适的并足够多的被请求的应答 消息。inform操作允许一个网络管理系统发送陷阱信息到另一个网络管理系统，然后重新行到 一个应答。在snmpv2中，如果代理应答getbulk操作不能捉供链表中所有变量的值，它将 提供部分结果。snmp管理snmp是-种分布式的管理拚议。系统能操作专用地nms或代理，或它都能执行功能。当一个 系统操作如nms和代理，另一个nms可能需要系统询问管理设备，提供有学问的信息的摘要, 或报告局部的存储管理信息。snm

17、p安全snmp缺乏任何的证明能力，导致多种安全攻击威胁。包括伪装爭件，修改信息，消息序列， 定时修改和揭发。伪装事件包括一个耒授权的实体企图通过伪装成一个经授权的管理实体來执行 宵理操作。修改信息包括未授权的实体企图更改一个经授权的实体产生的消息，从而消息导致未 授权管理或配置管理操作。当一个未授权的实体重新排序，延迟或拷贝和更新重放一个经授权实 体产生的消息，消息序列和定吋修改发生。当一个未经授权的实体析取存储在被管理对彖屮的值 或学习须申报的监视管理器与代理间的交换事件时，揭发结果。因为snmp没彳j实现鉴定，许 多卖主没有实现set操作，因此削减了 snmp的监控能力。snmp协作在目前

18、的说明屮，snmpv2与snmpvl在两个主要领域是矛盾的：消息格式和协议操作。snmpv2消息使用不同于snmpvl的头和协议数据单元（pdu）格式。snmpv2也使用两种 在snmpvl屮没冇指定的协议操作。此外，rfc1908定义在snmpv1/v2屮可能共存的策略: 代理服务器代理和能说两种语言的网络管理系统。代理服务器代理snmpv2代理能作为一个代理服务器代理在snmpvl被管理设备上，如下： snmpv2网络管理系统为snmpvl代理发布一个有意义 的命令网络笛理系统发送snmp消息到snmpv2代理服务器代 理代理服务器代理无变化地执行get,getnext和set消息 至ij

19、 snmpvl代理 getbulk消息被代理服务器代理修改为getnext消息， 然后转寄到snmpvl代理代理服务器代理绘制snmpvl陷阱消息到snmpv2陷阱消息，然后把它们传送到网络管理系 统。能说两种语言的网络管理系统能说两种语言的snmpv2网络管理系统支持snmpvl和snmpv2。为支持双重的管理环境， 一个在能说两种语言的网络管理系统中的管理应用程序必须连接到个代理。网络管理系统然后 解稗存储在本地数据库中的信息，决定支持snmpvl或snmpv2代理。依赖于数据库中的倍 息，网络管理系统使用snmp适当的版本与代理通信。snmp参考：snmpvl消息格式snmpvl消息消息

20、包含两部分:消息头和协议数据单元(pdu)。图56-4描述snmpvl消 息的基本格式。messageheaderpdu图56-4： snmpvl消息包含头和pdusnmpv消息头snmpvl消息头包含两部分：版本号和团体名称。下面描述了这些域的概述：版本号指定使用的snmp的版木团体名为一组网络管理系统定义一个访问环境。在网络管理系统中，团体存在于相同的管理 领域。因为设备能排除未知的止当的团体名的snmp操作，所以团体名服务可作为一种弱的形 式的鉴定。snmpvl协议数据单元snmpvl协议数据单元包含一系列明确的命令（get,set等）和操作数，显示与处理岀务冇关 的对象实例。snmpv

21、l协议数据单元域长度是可变的，山asn.1规定。图56-5描述了 snmpvl get, get next .response和set协议数据单元处理的域。pdu typerequesi10error statuserror indexooiect 1 value 1omc12 vatue 2i1；obiect x :vaiu« x11variably binjmgw图56-5： snmpvl get,getnext,response和set数据协议单元包含相同的部分下面描述了图56-5中被描述的域的概述：pdu类型指定传输的pdu的类型请求id 使snmp请求和应答相联系错误情形显

22、示错误和错误类型。只有应答操作规定这个域。其它操作设置这个域为零。错误索引一使一个错误与一个特殊的对象实例相联系。只有应答操作有这个域。其它操作这个域为零。变量捆绑服务当作snmpvl协议数据单元的数据域。每个变量捆绑与一个特姝的对彖实例 及其当前值（使用get和getnext请求的界常，这个值被忽略）相关联。陷阱pdu格式enlerpriwaont adtfrossgonoric u&p typospocilla trap codotimo sumpvalue 1ob|qct 22object x valmxivaiabw规垃押图56-6描述了 snmpvl陷阱协议数据单元的域。图5

23、6-6： snmpvl陷阱协议数据单元包含八部分：下面描述了在图56-6中描述的各个域的概述：企业识别产生陷阱的被管理对象的类型代理地址提供产生陷阱的被管理对象的地址一般的陷阱类型显示一般的陷阱类型明确的陷阱编码显示明确的陷阱代码时间邮票提供在戢后的网络reinitialization和产牛陷阱之间流逝的时间变量捆绑snmpvl陷阱协议数据单元的数据域。每个变量绑定关联到一个特殊的对象实例及其当前值。snmp参考：snmpv2消息格式snmpv2消息包含头和pdu。图56-7描述了一个snmpv2消息的基本格式。messageheaderpdu图56-7： snmpv2消息也包含头和pdusn

24、mpv2消息头snmpvl消息头包含两部分：版本号和团体名称。下面描述了这些域的概述：版本号指定使用的snmp的版本凶体名为一纽网络管理系统定义一个访问环境。在网络管理系统屮，凶体存在于相同的管理 领域。因为设备能排除未知的止当的团体名的snmp操作，所以团体名服务可作为一种弱的形 式的鉴定。snmpv2协议数据单元snmpv2指定了两种pdu格式，依赖于snmp协议操作。snmpv2协议数据单元的长度是可 变的，由asn.1规定。图56-5描述了 snmpv2 get,getnext,response和set协议数据单元处理的域。pdurequea? iderror statuserror irxlexotjec? 1value 1t1 obiea 21 value 2r1 objeei xi vatue x1vanbin bindings;图56-5： snmpvl get,getnext,response和set数据协议单元包含相同的部分