简单网络管理协议与远程网络监视

1、简单网络管理协议与远程网络监视简单网络管理协议与远程网络监视 简单网络管理协议（简单网络管理协议（SNMP）是）是Internet中基于中基于TCP/IP的网络管理协的网络管理协议。议。SNMP的推出，由于其简单性、实施容易和应用成本低廉等特点，的推出，由于其简单性、实施容易和应用成本低廉等特点，而受到业界许多厂家的广泛支持，现已成为事实上的标准。而受到业界许多厂家的广泛支持，现已成为事实上的标准。 本章主要从本章主要从SNMP的体系结构、管理模型、工作机制、协议操作等的体系结构、管理模型、工作机制、协议操作等方面介绍方面介绍SNMP的有关理论知识，同时简单介绍远程网络监视的有关理论知识，同时

2、简单介绍远程网络监视RNOM方方面基本概念。面基本概念。 SNMP概述概述 1 SNMP的发展历史的发展历史 2 基本体系结构基本体系结构 3 SNMP操作操作 4 SNMP的工作机制的工作机制SNMP的发展历史的发展历史 简单网络管理协议（简单网络管理协议（SNMP，Simple Network Management Protocol）诞生于）诞生于1988，那时由于，那时由于CMIP迟迟不能成熟并应用于网络管理，迟迟不能成熟并应用于网络管理，Internet体系结构委员会（体系结构委员会（IAB）在原有简单网关监控协议（）在原有简单网关监控协议（SGMP）的）的基础上进一步修改后提出了基础

3、上进一步修改后提出了SNMP。 SNMP的最初版本是的最初版本是SNMPv1，SNMPv1存在两方面的问题：存在两方面的问题： 一是安全，一是安全，SNMP只定义了安全性极为有限的基于共同体名授权使用只定义了安全性极为有限的基于共同体名授权使用的安全模型；的安全模型； 二是管理信息的可靠传输问题，由于二是管理信息的可靠传输问题，由于SNMPvl是在是在UDP上实现的，上实现的，而而UDP并不保证所有报文都能够正确传送。并不保证所有报文都能够正确传送。 增强的增强的SNMPv2使该协议更加高效，同时还保持了它容易实现和成使该协议更加高效，同时还保持了它容易实现和成本低廉的特点，本低廉的特点，SN

4、MPv2可以与可以与SNMPv1透明地共存，它在性能、管理透明地共存，它在性能、管理进程与管理进程通信方面对进程与管理进程通信方面对SNMP进行了改进，如减少了进行了改进，如减少了SNMP业务流、业务流、允许大块数据的传送、添加了一个用于高速网络环境下的允许大块数据的传送、添加了一个用于高速网络环境下的64位计数器；位计数器；对基于对基于Novell IPX，Apple Talk DDP和和OSI的的SNMP作了映射；但在安作了映射；但在安全性方面仍未能达到令人满意的结果。全性方面仍未能达到令人满意的结果。 1998年年1月产生了月产生了SNMPv3管理控制框架，它由管理控制框架，它由RFC2

5、2712275等等几个文档共同说明，形成了几个文档共同说明，形成了SNMPv3的建议。的建议。 SNMPv3在保持在保持SNMPv2基本管理功能的基础上，增加了安全性和基本管理功能的基础上，增加了安全性和管理性描述。管理性描述。 另外，另外，SNMP最重要的进展是远程监控（最重要的进展是远程监控（RMON）能力的开发。）能力的开发。RMON为网络管理者提供了监控整个子网而不是各个单独设备的能力。为网络管理者提供了监控整个子网而不是各个单独设备的能力。RMON还对基本还对基本SNMP MIB进行了扩充。进行了扩充。 基本体系结构基本体系结构 1SNMP管理模型管理模型 2. SNMP中的元素中的

6、元素 SNMP体系结构由管理站、代理、管理信息库（体系结构由管理站、代理、管理信息库（MIB）和通信）和通信协议协议SNMP构成。构成。 3委托代理委托代理SNMP操作操作 管理信息的交换通过管理信息的交换通过GetRequest、GetNextRequest、SetRequest、GetResponse、Trap共共5个个SNMP协议操作进行。协议操作进行。 其中前三个消息由管理站发给代理用于请求读取或修改管理信息，后其中前三个消息由管理站发给代理用于请求读取或修改管理信息，后两个消息由代理发给管理站。两个消息由代理发给管理站。 GetResponse用于对各种读取和修改管理信息的请求进行应

7、答；用于对各种读取和修改管理信息的请求进行应答； Trap用来主动向管理站报告代理系统中发生的事件，如节点机分组用来主动向管理站报告代理系统中发生的事件，如节点机分组队列长度超过阈值，接口链路队列长度超过阈值，接口链路up或或down等。等。Get Next RequestTrape网络访问协议IPUDPSNMP Manager管理应用管理站Get RequestSet RequestTrapGet Response网络访问协议IPUDPSNMP Manager管理对象代理站Get RequestSet RequestGet ResponseMIB库Get Next RequestGet Ne

8、xt RequestSNMP消息管理应用对象通信网络TrapSNMP的工作机制的工作机制 在通信网管理过程中，用来使管理信息库与实际设备或设施的在通信网管理过程中，用来使管理信息库与实际设备或设施的状态和参数保持一致的方法主要有两个。一个是基于中断的事件驱状态和参数保持一致的方法主要有两个。一个是基于中断的事件驱动方法，另一个是轮询驱动方法。动方法，另一个是轮询驱动方法。基于基于SNMP的通信的通信 1 对象访问策略对象访问策略 2 实例标识符实例标识符 3 报文的发送与接收报文的发送与接收 4 SNMP报文格式报文格式 5 SNMP MIB组组 6 SNMP的改进的改进 对象访问策略对象访问

9、策略 在基于在基于SNMP的网络管理中，的网络管理中，SNMP通过共同体（通过共同体（Community，也有地方称为团体）的概念来解决访问策略问题。也有地方称为团体）的概念来解决访问策略问题。 共同体是共同体是SNMP体系中的一中安全机制，它是一个在代理中定义的体系中的一中安全机制，它是一个在代理中定义的本地的概念。通过定义共同体，代理系统就可以限制只有一些选定的本地的概念。通过定义共同体，代理系统就可以限制只有一些选定的管理站才能访问它的管理站才能访问它的MIB对象。同时，通过使用多个共同体，代理可以对象。同时，通过使用多个共同体，代理可以为不同的管理站提供不同的为不同的管理站提供不同的M

10、IB访问类别。访问类别。 每个共同体被赋予一个在代理内部唯一的共同体名（也叫团体每个共同体被赋予一个在代理内部唯一的共同体名（也叫团体名），该共同体名要提供给共同体内的所有的管理站，以便它们在名），该共同体名要提供给共同体内的所有的管理站，以便它们在get和和set操作中应用。操作中应用。 一个代理可以与多个管理站建立多个共同体，同一个管理站也可一个代理可以与多个管理站建立多个共同体，同一个管理站也可以出现在不同的共同体中。以出现在不同的共同体中。 在在SNMP中实行共同体机制可以达到一下目的：中实行共同体机制可以达到一下目的： 1认证服务认证服务 2委托代理服务委托代理服务 3访问策略访问策

11、略 （1）SNMP MIB视图视图 （2）SNMP访问模式（方式）访问模式（方式） MIB视图和访问模式的结合被称为视图和访问模式的结合被称为SNMP共同体轮廓（共同体轮廓（profile）。）。 事实上，在一个共同体轮廓之内，存在两个独立的访问限制，其一事实上，在一个共同体轮廓之内，存在两个独立的访问限制，其一是是MIB对象定义中的访问限制（参见第对象定义中的访问限制（参见第3章中有关章中有关MIB功能组及对象部分功能组及对象部分的内容）和的内容）和SNMP访问模式。这两个访问限制在实际应用中必须相互协访问模式。这两个访问限制在实际应用中必须相互协调。调。 MIB访问方式与访问方式与SNMP

12、访问模式的关系访问模式的关系MIB对象中对象中定义的访问定义的访问方式（模式方式（模式）限制）限制SNMP访问模式访问模式Read-OnlyRead-WriteRead-Only可用于可用于get和和trap操作操作Read-Write可用于可用于get和和trap操作操作可用于可用于get，set和和trap操作操作Write-Only可用于可用于get和和trap操作，操作，但操作值与具体实现但操作值与具体实现有关有关可用于可用于get,set和和trap操作，但操作操作，但操作值与具体实现有值与具体实现有关关Not-Accessible不能使用不能使用实例标识符实例标识符 在在MIB中的

13、每个被管对象都有一个唯一的对象标识符，以区分不同中的每个被管对象都有一个唯一的对象标识符，以区分不同的被管对象，其命名规则都是按照其所在的被管对象，其命名规则都是按照其所在MIB树上的层次和位置来决定。树上的层次和位置来决定。 在对在对SNMP MIB的访问中，实际上是对被管对象（叶子节点对象）的访问中，实际上是对被管对象（叶子节点对象）实例的访问，而当在一个对象有多个实例时，例如表格，对象的标识符实例的访问，而当在一个对象有多个实例时，例如表格，对象的标识符就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一标识方法，也

14、就是实例标识符的命名方法。标识方法，也就是实例标识符的命名方法。 实例标识符就是把列对象的对象标识符与索引对象的值组合起来而实例标识符就是把列对象的对象标识符与索引对象的值组合起来而构成的。构成的。报文的发送与接收报文的发送与接收1SNMP报文的发送报文的发送（1）构成）构成PDU；（2）将构成的）将构成的PDU、源和目的传送地址（、源和目的传送地址（IP地址及端口号）以及共同地址及端口号）以及共同体名作为一个体名作为一个ASN.1的对象移交给认证服务。认证服务完成所要求的变换，的对象移交给认证服务。认证服务完成所要求的变换，例如进行加密或加入认证码，然后返回一个经过加密或认证的例如进行加密或

15、加入认证码，然后返回一个经过加密或认证的ASN.1对象；对象；（3）将版本字段、共同体名以及上一步的结果组合成为一个报文；）将版本字段、共同体名以及上一步的结果组合成为一个报文；（4）用基本编码规则（）用基本编码规则（BER）对这个新的）对这个新的ASN.1的对象编码，然后传的对象编码，然后传给传输服务。给传输服务。2SNMP报文的接收报文的接收（1）进行消息的基本句法检查，丢弃非法消息。）进行消息的基本句法检查，丢弃非法消息。（2）检查版本号，丢弃版本号不匹配的消息。）检查版本号，丢弃版本号不匹配的消息。（3）认证检查。如果认证失败，认证服务通知）认证检查。如果认证失败，认证服务通知SNMP

16、实体，由它产实体，由它产生一个生一个trap并丢弃这个报文；如果认证成功，认证服务返回并丢弃这个报文；如果认证成功，认证服务返回SNMP格式格式的的PDU。（4）进行）进行PDU的基本句法检查，如果非法，丢弃该的基本句法检查，如果非法，丢弃该PDU，否则根据，否则根据共同体名选择共同体名选择SNMP访问策咯，对访问策咯，对PDU进行相应处理。进行相应处理。3变量绑定变量绑定 在在SNMP中，可以将多个同类操作（中，可以将多个同类操作（get、set、trap）放在一个）放在一个报文中。如果管理站希望得到一个代理的一组简单对象的值，它可以报文中。如果管理站希望得到一个代理的一组简单对象的值，它可

17、以发送一个报文请求所有的值，并通过获取一个应答得到所有的值。这发送一个报文请求所有的值，并通过获取一个应答得到所有的值。这样可以大大减少网络管理的通信负担。样可以大大减少网络管理的通信负担。SNMP报文格式报文格式 在在SNMP管理中，管理站和代理之间交换的管理信息构成了报文。管理中，管理站和代理之间交换的管理信息构成了报文。 报文由报文由3部分组成，即版本号、团体名和协议数据单元（部分组成，即版本号、团体名和协议数据单元（PDU）。）。 SNMP共有共有5种管理操作，但只有种管理操作，但只有3种种PDU格式。格式。SNMP报文格式报文格式VersionCommunitySNMP PDUGet

18、Request PDU、GetNextRequest PDU、SetRequest PDUPDU类型类型请求标识请求标识00变量绑定表变量绑定表GetResponse PDUPDU类型类型请求标识请求标识错误状态错误状态错误索引错误索引变量绑定表变量绑定表Trap PDUPDU类型类型制造商制造商ID代理地址代理地址一般自陷一般自陷特殊自陷特殊自陷时间戳时间戳变量绑定表变量绑定表变量绑定表变量绑定表Name 1Value 1Name 2Value 2Name nValue n4.2.5 SNMP MIB组组MIB-II中的中的snmp组，其对象标识符为组，其对象标识符为mib-2 11 4.2

19、.6 SNMP的改进的改进 SNMPv2增加了增加了Manager-to-Manager通信，对通信，对SMI进行了更新和扩进行了更新和扩充，提出了行的概念，支持表的行建立和删除操作。充，提出了行的概念，支持表的行建立和删除操作。 还增加了还增加了get-bulk-request和和inform-request两个非常有用的两个非常有用的PDU，对对trap进行格式改造，使其具有与其他进行格式改造，使其具有与其他PDU相同的格式。相同的格式。 SNMPv2还对还对MIB进行很大扩充，特别是在进行很大扩充，特别是在Internet节点下增加了节点下增加了snmpv2模块。模块。 SNMPv3提出

20、了一个面向各个版本的提出了一个面向各个版本的SNMP通用的体系结构。通用的体系结构。 每个实体包含一个引擎和若干应用，并由所包含的引擎的每个实体包含一个引擎和若干应用，并由所包含的引擎的ID命名。命名。 引擎由分发器、消息处理子系统、安全子系统和访问控制子系统构成。引擎由分发器、消息处理子系统、安全子系统和访问控制子系统构成。 实体内部子系统之间采用抽象服务接口来定义相互之间的服务关系。实体内部子系统之间采用抽象服务接口来定义相互之间的服务关系。 SNMP服务的请求者被称为服务的请求者被称为Principle，即用户，它由具有安全性的名，即用户，它由具有安全性的名称标识。称标识。SNMPv3建

21、议采用基于用户的安全模型（建议采用基于用户的安全模型（USM）来实现安全服务，）来实现安全服务，采用基于视图的访问控制模型（采用基于视图的访问控制模型（VACM）进行访问控制。）进行访问控制。 SNMPv3的一大进步是大大提高了管理信息访问的安全性。的一大进步是大大提高了管理信息访问的安全性。4.3 远程网络监视远程网络监视RMON 4.3.1 远程网络监视的需求远程网络监视的需求 4.3.2 远程网络监视的目标远程网络监视的目标 4.3.3 RMON MIB 4.3.4 RMON 2 网络管理技术的一个新趋势是采用远程网络监视（网络管理技术的一个新趋势是采用远程网络监视（RMON, Remo

22、te Network Monitoring），它是对），它是对SNMP功能的扩充，对监测和管理交换功能的扩充，对监测和管理交换或局域网特别适用，是简单网络管理向互联网管理过渡的重要步骤。或局域网特别适用，是简单网络管理向互联网管理过渡的重要步骤。 4.3.1 远程网络监视的需求远程网络监视的需求 虽然虽然MIB将数据的总和记录下来，但它无法对日常通信量进行历将数据的总和记录下来，但它无法对日常通信量进行历史分析。为了查看每天的通信流量和变化率，管理人员必须不断的轮史分析。为了查看每天的通信流量和变化率，管理人员必须不断的轮询询SNMP代理，可能每分钟就轮询一次。代理，可能每分钟就轮询一次。 网

23、络管理员可以使用网络管理员可以使用SNMP来评价网络运行状况，并预测通信的趋势，来评价网络运行状况，并预测通信的趋势，决定采取某种措施。决定采取某种措施。 理论上讲，管理站可以通过不断地轮询各个节点的理论上讲，管理站可以通过不断地轮询各个节点的MIB来计算网络流来计算网络流量，但在实际上这是不太可行的。量，但在实际上这是不太可行的。 一方面会导致网络中传递大量的管理信息，使网络不堪负荷；一方面会导致网络中传递大量的管理信息，使网络不堪负荷； 二方面，将收集数据的负担加在网络管理控制台上（管理进程端）。二方面，将收集数据的负担加在网络管理控制台上（管理进程端）。管理站所在计算机的处理能力总是有限

24、的，当监控十多个网段时，可能管理站所在计算机的处理能力总是有限的，当监控十多个网段时，可能CPU就无法应付。另外，也会由于承载管理操作命令和操作结果的分组的就无法应付。另外，也会由于承载管理操作命令和操作结果的分组的丢失而使得统计结果不准确。丢失而使得统计结果不准确。 基于上述原因，人们提出了一种高效、低成本的网络监视方案，即基于上述原因，人们提出了一种高效、低成本的网络监视方案，即RMON。 RMON就是将一些专用设备配置在各个节点，并将这些设备称为网络就是将一些专用设备配置在各个节点，并将这些设备称为网络监测器（监测器（network monitor或或probe），由此便产生了），由此便

25、产生了RMON的概念。的概念。 一般，监测器对网络中各种类型的分组进行观察，从而得到网络的总一般，监测器对网络中各种类型的分组进行观察，从而得到网络的总体信息，监测器还可将一些分组存储下来，以备事后分析。在互联网环境体信息，监测器还可将一些分组存储下来，以备事后分析。在互联网环境下，为了达到监测网络流量的目的，一般每个子网需要一个监测器。监测下，为了达到监测网络流量的目的，一般每个子网需要一个监测器。监测器通常是一个独立的设备，专用于捕获和分析流量。器通常是一个独立的设备，专用于捕获和分析流量。RMON有许多先进之处：有许多先进之处： （1）每个）每个RMON设备都对本地网段进行监测和分析，既

26、可被动也可主动设备都对本地网段进行监测和分析，既可被动也可主动地向网络管理系统传递信息。例如，当它发现严重的分组丢失和过高的冲突地向网络管理系统传递信息。例如，当它发现严重的分组丢失和过高的冲突率时，可以主动地报警。由于监测是在本地进行的，所以得出的分析结果是率时，可以主动地报警。由于监测是在本地进行的，所以得出的分析结果是非常可靠的。非常可靠的。 （2）这种工作方式大大降低了）这种工作方式大大降低了SNMP的流量。的流量。 （3）RMON降低了网络管理系统时时能降低了网络管理系统时时能“见见”到所有到所有Agent的必要性。的必要性。Agent常常会因为网络过载等原因而联系不上，如果没有常常

27、会因为网络过载等原因而联系不上，如果没有RMON设备，此时设备，此时Agent到底发生了什么情况事后是难以调查的，因此，往往到底发生了什么情况事后是难以调查的，因此，往往Agent越是联系越是联系不上，网络管理系统越要与它联系。不上，网络管理系统越要与它联系。 （4）RMON设备对本地子网的监测几乎可以做到连续不断，这会显著提设备对本地子网的监测几乎可以做到连续不断，这会显著提高统计和控制的精度，使得故障能够及时被发现、报告和诊断。高统计和控制的精度，使得故障能够及时被发现、报告和诊断。 为了对为了对RMON技术提供标准，技术提供标准，IETF发布了发布了RFC1757和和RFC1513，分别

28、对分别对Ethernet LAN和和token ring LAN的的RMON进行了规范，形成了进行了规范，形成了第一个版本的第一个版本的RMON。 （1）离线操作离线操作 在必要时由网络管理站来限制或停止对监视器的轮询，有限查询可以节在必要时由网络管理站来限制或停止对监视器的轮询，有限查询可以节约通信开支。如查询通信失败或管理站发生错误，查询会终止。一般情况下，约通信开支。如查询通信失败或管理站发生错误，查询会终止。一般情况下，即使监视器没有被网管站查询，也会继续不停的收集使性能和配置信息。监即使监视器没有被网管站查询，也会继续不停的收集使性能和配置信息。监视器不断积累统计信息，以便管理站将来

29、查询时提供管理信息。视器不断积累统计信息，以便管理站将来查询时提供管理信息。（2）主动监视主动监视 若监视器有足够的资源，通信负载也允许，监视器可以连续不断地运行若监视器有足够的资源，通信负载也允许，监视器可以连续不断地运行诊断程序，对网络进行诊断并记录网络性能状况。在子网出现故障时通知管诊断程序，对网络进行诊断并记录网络性能状况。在子网出现故障时通知管理站，向管理站提供诊断故障的有用信息。理站，向管理站提供诊断故障的有用信息。（3）问题监测和报告问题监测和报告 主动监视探测网络将消耗较多的网络资源去检测错误和异常情况。主动监视探测网络将消耗较多的网络资源去检测错误和异常情况。监视器也可以根据

30、它所观测到的流量被动地识别并记录某些错误及其他情监视器也可以根据它所观测到的流量被动地识别并记录某些错误及其他情况，例如网络拥塞，并在出现错误时通知管理站。况，例如网络拥塞，并在出现错误时通知管理站。 （4）提供增值数据提供增值数据 监视器可以分析采集到的子网中的数据，从而减轻管理站的计算任务监视器可以分析采集到的子网中的数据，从而减轻管理站的计算任务的负担。例如，监视器可以分析子网流量来确定哪台主机在子网上产生的的负担。例如，监视器可以分析子网流量来确定哪台主机在子网上产生的流量或错误最多等等。流量或错误最多等等。（5）多管理站操作多管理站操作 一个网可以配置多个管理站，以提高可靠性，也可分

31、步实施不同的管一个网可以配置多个管理站，以提高可靠性，也可分步实施不同的管理功能。监视器可以配置为同时和多个管理站并发工作，为不同的管理站理功能。监视器可以配置为同时和多个管理站并发工作，为不同的管理站提供不同的信息。提供不同的信息。 并不是每个远程监视器都能够实现所有这些目标，但是并不是每个远程监视器都能够实现所有这些目标，但是RMON的规范的规范提供了实现所有目标的支持。提供了实现所有目标的支持。4.3.3 RMON MIB 在一个管理域中，各个节点上配备的在一个管理域中，各个节点上配备的RMON设备可能来自不同的厂设备可能来自不同的厂商，因此需要为与商，因此需要为与RMON通信建立公共的

32、句法和语义标准。通信建立公共的句法和语义标准。 RMON的句法也利用的句法也利用ASN.1描述，其管理信息结构与描述，其管理信息结构与SMI定义被管对定义被管对象类所采用的结构类似。象类所采用的结构类似。 RMON MIB中包含若干中包含若干RMON组，这些组的开发经历了组，这些组的开发经历了3个阶段。个阶段。 （1）RMON MIB（RFC1271）是在）是在1991年为年为Ethernet LAN开发的；开发的； （2）1995年，发布了（年，发布了（RFC1757），同时废止了（），同时废止了（RFC1271）；）； （3）1993年面向年面向tokenring LAN管理的（管理的（RFC1513）对）对RMON1进进行了扩充。行了扩充。 RMON1的应用对远程监控产主了非常好的效果，但是由于它仅面的应用对远程监控产主了非常好的效果，但是由于它仅面向向OSI网络模型的第网络模型的第2层，因此又在层，因此又在1997年开发了年开发了RMON2，它的管理对，它的管理对象是第象是第3层到第