【大学课件】计算机网络管理技术-

docin/sundae_meng1计算机网络管理技术第1章网络管理技术概述第2章SNMP网络管理架构第3章网络流量监控技术与方法第4章磁盘管理第5章用户管理第6章组策略管理第7章补丁管理第8章IP地址管理第9章VLAN管理第10章网络存储管理docin/sundae_meng1计算机网络管理技术第11docin/sundae_meng2计算机网络管理技术第2章SNMP网络管理架构

目前计算机网络中几乎所有的通用设备和网络操作系统都支持SNMP，掌握SNMP的基础知识是从事网络管理工作的必备条件。SNMP中涉及的知识点比较多，每个知识点都有大量的细节描述。本章将从网络管理员的角度介绍SNMP，着重介绍SNMP的基本架构和功能，以适应现代计算机网络管理的要求。docin/sundae_meng2计算机网络管理技术第22docin/sundae_meng3计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng3计算机网络管理技术第23docin/sundae_meng4计算机网络管理技术2.1网络管理协议及功能 2.1.1网络管理协议的发展 2.1.2从管理设备获取数据的方式docin/sundae_meng4计算机网络管理技术2.4docin/sundae_meng5计算机网络管理技术2.1.1网络管理协议的发展在通用的网络管理协议制定之前，在一个网络中虽然有多个不同厂商的相同功能的设备，提供数据收集的方式各不相同。不同厂商提供的通信方式各不相同，无法实现在同一管理平台下对不同厂商设备的统一管理。网络管理协议的功能就是制定一个管理进程与管理代理之间的通信标准，即通用的网络管理协议。docin/sundae_meng5计算机网络管理技术2.5docin/sundae_meng6计算机网络管理技术标准网络管理协议提供了一种可访问任何网络设备并获得一系列标准值的一致性方式(设备名称、软件版本、接口参数、CPU利用率、内存利用率等)

.目前，已制定的几种标准的网络管理协议有：·

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol），该协议也是应用最为广泛的网络管理协议（IETF

）。·CMIP/CMIS：公共管理信息协议/公共管理信息服务（CommonManagementInformationProtocol/CommonManagementInformationServices），主要针对OSI结构制定的网络管理协议（ISO）。docin/sundae_meng6计算机网络管理技术标准6docin/sundae_meng7计算机网络管理技术CMOT（CMIPOverTCP）：在TCP/IP网络中实现CMIS服务的公共管理信息协议（IETF

）。LMMP：局域网个人管理协议（LANManManagementProtoco1）该协议最早由3COM和IBM公司开发，试图为LAN环境提供一个网络管理方案。IEEE802逻辑链路控制层上的公共管理信息协议（CMIPOverLLC，CMOL）。不依赖于任何特定的网络层协议进行网络传输。易于实现。但是，不能跨越路由器。docin/sundae_meng7计算机网络管理技术CM7docin/sundae_meng8计算机网络管理技术2.1网络管理协议及功能 2.1.1网络管理协议的发展 2.1.2从管理设备获取数据的方式docin/sundae_meng8计算机网络管理技术2.8docin/sundae_meng9计算机网络管理技术2.1.2从管理设备获取数据的3种方式 本地终端方式、远程telnet命令方式、基于网络管理协议的方式。1．本地终端方式RS-232端口或Console端口。一般适用于管理单台重要的网络设备（如企业网出口处的路由器或防火墙等）。网络发生阻塞以及被管理设备无法通过远程方法进行登录。docin/sundae_meng9计算机网络管理技术2.9docin/sundae_meng10计算机网络管理技术2．远程telnet命令方式必须具备两个条件：一是管理机与被管理设备之间通过网络进行连接；二是在被管理设备上设置了管理地址和登录帐号。该方式的好处是可以对设备进行远程管理，每次只能对一台设备进行管理。docin/sundae_meng10计算机网络管理技术210docin/sundae_meng11计算机网络管理技术3．基于网络管理协议的方式 目前各类网络管理系统普遍采用如后图所示的标准模型。docin/sundae_meng11计算机网络管理技术311docin/sundae_meng12计算机网络管理技术一个网络管理系统从逻辑上可以认为是由以下四个部分组成：·

管理进程（Manager）·

管理协议（ManagementProtocol）·

管理代理（Agent）·

管理信息库（ManagementInformationBase，MIB）docin/sundae_meng12计算机网络管理技术12docin/sundae_meng13计算机网络管理技术网络管理的实际操作模式docin/sundae_meng13计算机网络管理技术网13docin/sundae_meng14计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng14计算机网络管理技术第14docin/sundae_meng15计算机网络管理技术2.2SNMP的功能及典型应用

是目前应用最为广泛的网络管理协议，主要用于对路由器、交换机、防火墙、服务器等主要设备（网元）的管理。docin/sundae_meng15计算机网络管理技术215docin/sundae_meng16计算机网络管理技术2.2SNMP的功能及典型应用 2.2.1SNMP的功能 2.2.2SNMP的典型应用docin/sundae_meng16计算机网络管理技术216docin/sundae_meng17计算机网络管理技术

SNMP的功能docin/sundae_meng17计算机网络管理技术 17docin/sundae_meng18计算机网络管理技术SNMP的工作方式读操作：从设备中获取数据，一是管理员向设备发出读数据的指令；二是被管理设备定期向管理员（其实是管理机）发回需要的数据。写操作：管理员在对设备进行配置时，需要由SNMP提供写操作，这样才能够完成对设备的远程管理。Trap操作：设备在某一时刻发生状态的改变时，需要由SNMP提供trap操作。docin/sundae_meng18计算机网络管理技术S18docin/sundae_meng19计算机网络管理技术2.2SNMP的功能及典型应用 2.2.1SNMP的功能 2.2.2SNMP的典型应用docin/sundae_meng19计算机网络管理技术219docin/sundae_meng20计算机网络管理技术2.2.2SNMP的典型应用

对网络中支持SNMP的设备进行管理（可以运行在TCP/IP协议栈上）。docin/sundae_meng20计算机网络管理技术220docin/sundae_meng21计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng21计算机网络管理技术第21docin/sundae_meng22计算机网络管理技术2.3SNMP的实现方法、结构和组成 2.3.1SNMP的实现方法和结构 2.3.2SNMP的组成docin/sundae_meng22计算机网络管理技术222docin/sundae_meng23计算机网络管理技术2.3.1SNMP的实现方法和结构docin/sundae_meng23计算机网络管理技术223docin/sundae_meng24计算机网络管理技术3种角色：·

管理网络系统（NMS）·

代理（Agent）·

代理服务器（Proxy）docin/sundae_meng24计算机网络管理技术324docin/sundae_meng25计算机网络管理技术2.3SNMP的实现方法、结构和组成

2.3.1SNMP的实现方法和结构

2.3.2SNMP的组成docin/sundae_meng25计算机网络管理技术225docin/sundae_meng26计算机网络管理技术2.3.2SNMP的组成

SNMPv1（1989）、SNMPv2（1992）到SNMPv3（2019），功能在不断加强和完善，但是SNMP的组成一直没有变化。使用UDP进行数据的传输由SMI、MIB和协议（SNMP）组成SNMP和MIB由ASN.1(AbstractSyntaxNotation)描述docin/sundae_meng26计算机网络管理技术226docin/sundae_meng27计算机网络管理技术·

SMI（StructureofManagermentInformation，管理信息结构）：规定SNMP使用哪些ASN.1符号与元素，以及如何使用这些ASN.1子集的符号和元素来描述SNMP。SMI由ASN.1的一个子集和一部分自定义的类型、宏等组成。·MIB（ManagementInformationBase，管理信息库）：MIB使用SMI来定义设备和网络协议的数据。管理站和代理都使用相同格式的MIB以实现有效通信。其中代理将设备的数据转换为MIB对象，使设备支持SNMP。·

协议（SNMP）：SNMP协议定义了SNMP数据包的格式、封装方式以及数据的传输细节。docin/sundae_meng27计算机网络管理技术·27docin/sundae_meng28计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng28计算机网络管理技术第28docin/sundae_meng29计算机网络管理技术2.4SNMP系统 2.4.1管理信息库(MIB) 2.4.2管理信息结构（SMI） 2.4.3简单网络管理协议（SNMP）docin/sundae_meng29计算机网络管理技术229docin/sundae_meng30计算机网络管理技术2.4.1管理信息库(MIB)MIB是网络管理协议访问的管理对象数据库，它包括SNMP可以通过网络设备上的代理进行设置的变量。给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域名系统（DNS）相似的树型结构，它的根在最上面，根没有名字。docin/sundae_meng30计算机网络管理技术230docin/sundae_meng31计算机网络管理技术docin/sundae_meng31计算机网络管理技术31docin/sundae_meng32计算机网络管理技术SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。MIB树的每个节点被指定为一个数字（非负数），同一层的节点用不同的数字区分。这些节点数字由标准组织指定。MIB树中的任何一个节点由其所处的位置来命名，同一层的节点数字都不相同。这个数字串称为对应于MIB对象的对象标识符（OID，ObjectIdentifier）。例如，ODI，1.3.6.1.2.1.1代表的对象是从命名为“1”的顶级节点开始，后续的下级节点“3”，再下一级是“6”，依此类推。docin/sundae_meng32计算机网络管理技术S32docin/sundae_meng33计算机网络管理技术在Internet节点下面的第二个节点是mgmt（管理），标号是2。再下面是管理信息库，原先的节点名是mib。1991年定义了新的版本MIB-II。其标识为{1.3.6.1.2.1}或{Internet(1).2.1}最初的节点mib将其所管理的信息分为8个类别，如表2-1所示。现在的mib-2所包含的信息类别已超过40个。MIB的定义与具体的网络管理协议无关，这对于设备制造商和用户来说都是有利的。docin/sundae_meng33计算机网络管理技术在33docin/sundae_meng34计算机网络管理技术表2-1最初的节点mib管理的信息类别docin/sundae_meng34计算机网络管理技术表34docin/sundae_meng35计算机网络管理技术2.4SNMP系统

2.4.1管理信息库(MIB)

2.4.2管理信息结构（SMI） 2.4.3简单网络管理协议（SNMP）docin/sundae_meng35计算机网络管理技术235docin/sundae_meng36计算机网络管理技术2.4.2管理信息结构（SMI）管理信息结构（StructureofManagementInformation，SMI）用于定义存储在MIB中的管理信息的语法和语义，对MIB进行定义和构造。SMI确定了可用于MIB中的数据类型并说明对象在MIB内部的表示和命名。SMI的宗旨是保持MIB的简单性和可扩展性，从而简化管理，加强互操作性，满足协同操作的要求。docin/sundae_meng36计算机网络管理技术236docin/sundae_meng37计算机网络管理技术SNMP网络管理的基础是含有被管理信息的数据库，如交换机、路由器、防火墙、服务器等，他们各自维护着一个含有自身运行状态的树型结构（如图2-9所示）其中每一个叶子节点代表一个信息、变量或配置，设备对这棵树中的标量（叶子节点）进行赋值，以反映自己的状态。管理站读取相应的变量以获取网络节点设备的状态信息，管理站也可以通过修改某些值从而实现简单的控制功能。

docin/sundae_meng37计算机网络管理技术S37docin/sundae_meng38计算机网络管理技术docin/sundae_meng38计算机网络管理技术38docin/sundae_meng39计算机网络管理技术2.4SNMP系统

2.4.1管理信息库(MIB) 2.4.2管理信息结构（SMI） 2.4.3简单网络管理协议（SNMP）docin/sundae_meng39计算机网络管理技术239docin/sundae_meng40计算机网络管理技术2.4.3简单网络管理协议（SNMP）SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。管理站进程通过SNMP完成网络管理。SNMP在UDP、IP及有关的特殊网络协议（如Ethernet、FDDI、X.25）之上实现。docin/sundae_meng40计算机网络管理技术240docin/sundae_meng41计算机网络管理技术SNMP的协议环境如图所示：管理站发出3类SNMP的消息GetRequest、GetNextRequest、SetRequest。3类消息都由代理用GetResponse消息应答，该消息被上交给管理应用进程。另外，代理可以发出Trap消息，向管理站报告有关MIB及管理资源的事件。docin/sundae_meng41计算机网络管理技术S41docin/sundae_meng42计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng42计算机网络管理技术第42docin/sundae_meng43计算机网络管理技术2.5SNMP协议 2.5.1SNMP的体系结构 2.5.2SNMP的工作机制 2.5.3SNMP的报文格式 2.5.4SNMP共同体和安全控制 2.5.5轮询和中断docin/sundae_meng43计算机网络管理技术243docin/sundae_meng44计算机网络管理技术2.5.1SNMP的体系结构SNMP采用集中式的管理方案主要由管理站(Manager)、管理代理（Agent）、管理对象（ManagedObject）以及描述管理对象状态的MIB组成。docin/sundae_meng44计算机网络管理技术244docin/sundae_meng45计算机网络管理技术管理进程是整个网络管理系统的控制中心，在在网管工作站上。管理代理维护一个本地的MIB。管理代理负责收集有关本地的管理对象的信息并具有以下几项基本功能：设置和修改MIB中的各种变量值；读取MIB中的信息并传回管理进程；执行管理进程的管理操作。管理对象是经过抽象的网络元素，它对应于网络中具体可以操作的数据，如记录设备工作状态的变量、设备内的工作参数等，也可指某些具体的设备。docin/sundae_meng45计算机网络管理技术管45docin/sundae_meng46计算机网络管理技术2.5SNMP协议

2.5.1SNMP的体系结构 2.5.2SNMP的工作机制 2.5.3SNMP的报文格式 2.5.4SNMP共同体和安全控制 2.5.5轮询和中断docin/sundae_meng46计算机网络管理技术246docin/sundae_meng47计算机网络管理技术2.5.2SNMP的工作机制SNMP的操作很简单，主要是对变量的修改和检查，共定义了以下5类管理操作：· GetRequest：读对象操作，使管理进程向代理发起读的操作读取管理对象的值，以获取设备或网络的运行数据以及配置信息等。· GetNextRequest：读取当前对象的下一个可读取的对象实例值。（因为SNMP不支持一次读取一张表或表中的一行数据，为了解决这一问题便提供了GetNextRequest操作：首先对对象标识（OID）进行GetNextRequest操作，将收到下一个可读取对象的实例标识，接着对这个实例标识执行GetNextRequest，会得到再下一个实例标识，这样不断执行下去就可以读取完整的一张表。）docin/sundae_meng47计算机网络管理技术247docin/sundae_meng48计算机网络管理技术· SetRequest：管理进程更新代理中对象的值。在网络管理中，当需要对设备的一些参数、配置、状态等进行重新配置时，就需要用到SetRequest操作。SetRequest可以对MIB中权限为只写（wtite-only）和可读写（read-write）的对象进行操作。· GetResponse：代理对GetRequest/GetNextRequest/SetRequest这3种操作的应答。docin/sundae_meng48计算机网络管理技术·48docin/sundae_meng49计算机网络管理技术· Trap：代理向管理进程发送事件值。SNMP中的GetRequest/GetNextRequest/SetRequest都由管理进程主动发起，采取轮询的方式。由于轮询时间时隔是固定的，所以导致管理进程无法及时掌握到这一事件信息，使事件失去了实效性。另一方面，考虑到网络带宽的占用，又不可能将轮询的时间间隔设置得太小。所以，就需要一种当设备的数据或状态发生变化时能够主动向管理进程发送这一事件信息的机制Trap是由代理主动发起，向管理进程通报设备信息的重要改变的操作。docin/sundae_meng49计算机网络管理技术·49docin/sundae_meng50计算机网络管理技术前面的3种操作是由管理站中的管理进程向代理中代理进程发出的，后面的2个操作是代理进程发给管理进程的。为了简化起见，前面3个操作称为get、get-next和set操作。端口：161，162docin/sundae_meng50计算机网络管理技术前50docin/sundae_meng51计算机网络管理技术2.5SNMP协议

2.5.1SNMP的体系结构 2.5.2SNMP的工作机制

2.5.3SNMP的报文格式 2.5.4SNMP共同体和安全控制 2.5.5轮询和中断docin/sundae_meng51计算机网络管理技术251docin/sundae_meng52计算机网络管理技术2.5.3SNMP的报文格式SNMP定义了5种协议数据单元PDU（也就是SNMP报文。下图是封装成UDP数据报的5种操作的SNMP报文格式。一个SNMP报文共有三个部分组成：公共SNMP首部、get/set首部和变量绑定。docin/sundae_meng52计算机网络管理技术252docin/sundae_meng53计算机网络管理技术1．公共SNMP首部公共SNMP首部共占用3个字段：·

版本：标识SNMP的版本号，具体写入时为SNMP版本号减1，例如SNMPv1则应写入0。·

共同体（community）：共同体就是一个字符串，作为管理进程和代理进程之间的明文口令，目前许多系统缺省的共同体名为“public”。有关共同体在本章后面将进行专门介绍。·PDU类型：根据PDU的类型，填入0~4中的一个数字，其对应关系如表2-2所示。PDU类型名称0get-request1get-next-request2get-response3set-request4trapdocin/sundae_meng53计算机网络管理技术153docin/sundae_meng54计算机网络管理技术2．get/set首部get/set首部共占用3个字段：·

请求标识符（requestID）：这是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对应于哪一个请求报文。·

差错状态（errorstatus）：由代理进程应答时填入0~5中的一个数字，具体描述如后表所示。·

差错索引（errorindex）：当出现noSuchName、badValue或readOnly的差错时，由代理进程在应答时设置的一个整数，它指明有差错的变量在变量列表中的偏移。docin/sundae_meng54计算机网络管理技术254docin/sundae_meng55计算机网络管理技术docin/sundae_meng55计算机网络管理技术55docin/sundae_meng56计算机网络管理技术3．trap首部Trap首部占用了5个字段：·

企业（enterprise）：填入trap报文的网络设备的对象标识符。此对象标识符一定是对象命名树上的enterprise节点{1.3.6.1.4.1}下面的一棵子树上。该字段也称为“制造商ID”。·

代理地址（agent-addr）：产生trap的SNMP代理或代理服务器（proxy）的地址。·trap类型：该字段正式的名称是generic-trap，共分为右表中的7种。Trap类型名字说明0coldStart代理进行了初始化1warmStart代理进行了重新初始化2linkDown一个接口从工作状态变为故障状态3linkUp一个接口从故障状态变为工作状态4authenticationFailure从SNMP管理进程接收到具有一个无效共同体的报文5egpNeighborLoss一个EGP相邻路由器变为故障状态6enterpriseSpecific代理自定义的事件，需要用后面的“特定代码”来指明docin/sundae_meng56计算机网络管理技术356docin/sundae_meng57计算机网络管理技术当使用上述类型2、3、5时，在报文后面变量部分的第一个变量应标识响应的接口。·

特定代码（specific-code）：指明代理自定义的事件（如果trap类型为6），否则为0。·

时间戳（timestamp）：指明自代理进程初始化到trap报告的事件发生所经历的时间，单位为10ms。docin/sundae_meng57计算机网络管理技术当57docin/sundae_meng58计算机网络管理技术4．变量绑定（variable-bindings） 指明一个或多个变量的名称和对应的值。在get或get-next报文中，变量的值被忽略。docin/sundae_meng58计算机网络管理技术458docin/sundae_meng59计算机网络管理技术2.5SNMP协议

2.5.1SNMP的体系结构 2.5.2SNMP的工作机制 2.5.3SNMP的报文格式

2.5.4SNMP共同体和安全控制 2.5.5轮询和中断docin/sundae_meng59计算机网络管理技术259docin/sundae_meng60计算机网络管理技术2.5.4SNMP共同体和安全控制目前的网络管理是一种分布式的应用。与其他分布式的应用相同，网络管理中包含有一个应用协议支持的多个应用实体的相互作用。在SNMP系统中，这些应用实体就是采用SNMP的管理站应用实体和被管理设备的应用实体。docin/sundae_meng60计算机网络管理技术260docin/sundae_meng61计算机网络管理技术SNMP系统具有一些不同于其他分布式应用的特性：它包含一个管理站和多个被管理设备之间一对多的关系。反过来，在SNMP系统中还包含另外一种一对多的关系，即一个被管理设备和多个管理站之间的关系。每个被管理设备控制着自己的本地MIB，同时必须能够控制多个管理站对这个本地MIB的访问。这里所说的控制具体包含两个方面的含义：一是认证服务将对MIB的访问限定在授权的管理站的范围内；二是访问策略对不同的管理站给予不同的访问权限。如果系统中存在代理服务器（Proxy），还要求在这个代理服务器中实现对托管设备的认证服务和访问权限。docin/sundae_meng61计算机网络管理技术S61docin/sundae_meng62计算机网络管理技术共同体和安全控制：通过共同体（community）提供了基本的和有限的安全保护。用共同体来定义一个代理（agent）和一组管理进程（manager）之间的认证、访问控制和代管的关系。共同体是一个在被管理设备中定义的本地概念。被管理设备为每组可选的认证、访问控制和代理（代管）特性建立一个共同体。每个共同体被赋予一个在被管理设备内部唯一的共同体名，该共同体名要提供给SNMP系统内的所有管理进程，以便它们在get和set操作中应用。由于共同体是在代理中本地定义的，因此不同的代理中可能会定义相同的共同体名。共同体名相同并不意味者共同体相同，因此管理进程必须将共同体名与代理联系起来加以应用。docin/sundae_meng62计算机网络管理技术共62docin/sundae_meng63计算机网络管理技术2.5SNMP协议

2.5.1SNMP的体系结构 2.5.2SNMP的工作机制 2.5.3SNMP的报文格式 2.5.4SNMP共同体和安全控制 2.5.5轮询和中断docin/sundae_meng63计算机网络管理技术263docin/sundae_meng64计算机网络管理技术2.5.5轮询和中断 SNMP代理从被管设备中收集数据有三种方法：轮询、中断和面向自陷的轮询。1．轮询（polling-only）代理软件不断地收集统计数据，并把这些数据记录到一个管理信息库（MIB）中。管理进程通过向代理的MIB发出查询信号可以得到这些信息，这个过程就叫轮询（polling）。为了能够全面地查看一段时间的通信流量和变化率，管理进程必须不断地轮询设备中的代理。管理站可以使用SNMP来评价网络的运行状况，并发现通信的趋势，如哪一个网段接近通信负载的最大能力或正使通信出错等。先进的SNMP网管系统甚至可以通过编程来自动关闭端口或采取其它矫正措施来处理历史的网络数据。docin/sundae_meng64计算机网络管理技术264docin/sundae_meng65计算机网络管理技术2．中断（interrupt-based）当有异常事件发生时，使用中断的方法可以立即通知网管系统，实时性很强。但这种方法也有缺陷：产生错误或自陷需要系统资源。如果自陷必须转发大量的信息，那么被管理设备可能不得不消耗更多的事件和系统资源来产生自陷，这将会影响到网络管理的主要功能。在中断方式中，如果几个同类型的自陷事件接连发生，那么大量网络带宽可能将被相同的信息所占用。尤其是自陷如果是由于网络阻塞引起时，事情就会变得特别糟糕。docin/sundae_meng65计算机网络管理技术265docin/sundae_meng66计算机网络管理技术3．面向自陷的轮询（trap-directedpolling）面向自陷的轮询是轮询和中断两种方式的结合，是目前执行网络管理最有效的方法。一般来说，网络管理工作站轮询被管理设备中的代理收集的数据，并且在控制台上用数字或图形方法来显示这些数据，以便于网络管理员分析和管理网络中的设备及网络的通信量。被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况，避免了轮询中存在的不足。在这种方法中，当一个设备产生了一个自陷时，可以在网络管理工作站上查询该设备（前提是该设备仍然能够连接上），以获得更多的信息。docin/sundae_meng66计算机网络管理技术366docin/sundae_meng67计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng67计算机网络管理技术第67docin/sundae_meng68计算机网络管理技术2.6SNMP的发展和现状 2.6.1SNMP的发展历史 2.6.2SNMPv2的特点 2.6.3SNMPv3的特点 2.6.4使用SNMP时的注意事项docin/sundae_meng68计算机网络管理技术268docin/sundae_meng69计算机网络管理技术2.6.1SNMP的发展历史SNMP发展到现在，共推出了三个版本和两个扩展，具体如下：·1989年，SNMPv1发布（CMOT推出失败，基于SGMP(简单网管管理协议)设计SNMP）。·1991年，针对SNMPv1的扩展RMON（RemoteMonitoring，远程监视）发布。RMON扩展了SNMPv1的功能，主要加强了对局域网及设备的管理。·2019年，SNMPv2正式发布（SNMPv1的升级版在1993年提出），SNMPv2在SNMPv1的基础上增加了部分功能，并制定了在OSI网络中使用SNMP的具体方法。同年，RMON升级为RMON2。·2019年，SNMPv3发布草案。·2019年，SNMPv3的标准正式出台，重点加强了SNMP的安全性，并为将来的发展设计了总体的架构。docin/sundae_meng69计算机网络管理技术269docin/sundae_meng70计算机网络管理技术2.6SNMP的发展和现状

2.6.1SNMP的发展历史

2.6.2SNMPv2的特点 2.6.3SNMPv3的特点 2.6.4使用SNMP时的注意事项docin/sundae_meng70计算机网络管理技术270docin/sundae_meng71计算机网络管理技术2.6.2SNMPv2的特点

简单化是SNMP标准取得成功的主要原因。正是因为SNMP的实现较为简单，所以在SNMPv1发布后得到了大量应用，也正是因为SNMPv1的广泛使用，SNMPv1存在的缺陷很快暴露了出来。1．SNMPv1的主要缺陷是安全问题·

没有提供读取大块数据的有效机制，对大块数据进行存取的效率很低；·

没有提供足够的安全机制，安全性很差，对管理消息不能进行鉴别，也不能防止监听；·

没有提供管理进程与管理进程之间的通信机制，只适合集中式管理，而不利于进行分布式管理；·

只适用于监测网络设备，不适用于监测网络本身；·

由于trap数据报采用面向非连接的UDP协议传输，没有应答。docin/sundae_meng71计算机网络管理技术271docin/sundae_meng72计算机网络管理技术2．SNMPv2的主要功能改进·

提供了一次读取大块数据的能力（GetBulkRequest）；·

增加了管理进程（manager）与管理进程之间的信息交换机制（InformRequest），从而支持分布式管理结构。（由中间manager来分担主manager的任务，增加了远程站点的局部自主性）；·

可在多种网络协议上运行，如OSI、Appletalk和IPX等，适用多协议网络环境（但它的缺省网络协议仍是UDP）；·SMI为被管理对象和MIB提供了更详尽的规范和文档；·SNMPv2的MIB定义在MIB-Ⅱ基础上，并对MIB-Ⅱ进行了修改和扩充（节点MIB8->40）；·

提供了安全管理规范（时间问题导致其放弃安全管理部分）。docin/sundae_meng72计算机网络管理技术272docin/sundae_meng73计算机网络管理技术2.6SNMP的发展和现状

2.6.1SNMP的发展历史 2.6.2SNMPv2的特点 2.6.3SNMPv3的特点 2.6.4使用SNMP时的注意事项docin/sundae_meng73计算机网络管理技术273docin/sundae_meng74计算机网络管理技术2.6.3SNMPv3的特点SNMPv3的最突出特点是其安全性。具体来说，SNMPv3使用了SNMPv1和SNMPv2的消息、操作及传输层映射，并在前面两个版本的基础上增加了用于安全的模型和访问控制。SNMPv1和SNMPv2的所有通信字符串和数据都以明文形式发送。为了解决安全问题，SNMPv3通过对数据进行加密和鉴别加强了数据的安全性。加密：加密的目的是保证数据不被窃取。DES算法。鉴别：鉴别的目的是保证数据的完整性和发送者的正确性，防止别人伪造或篡改数据。MD5，SHA。docin/sundae_meng74计算机网络管理技术274docin/sundae_meng75计算机网络管理技术SNMPv3使用基于用户的安全模型（USM）实现安全性。在SNMPv3中，消息与用户联系起来，一条消息对应一个用户，消息使用用户的密码生成密钥，从而进行加密，实现各种安全特性。具体来讲，USM定义了下面的目标：·

通过数据完整性检查，保护数据在传输过程中没有被篡改或毁坏，传输顺序也没有被有意改变；·

通过数据来源鉴别能够验证数据和发送源的一致性；·

数据保密能够使数据在传输过程中不被窃听，也未发生泄露；·

通过消息时序性限制，如果消息在一个指定的时间范围外产生，则拒绝接收。SNMPv3没有定义其他的新的SNMP功能，只是为SNMP提供了安全方面的功能。docin/sundae_meng75计算机网络管理技术S75docin/sundae_meng76计算机网络管理技术2.6SNMP的发展和现状

2.6.1SNMP的发展历史 2.6.2SNMPv2的特点 2.6.3SNMPv3的特点

2.6.4使用SNMP时的注意事项docin/sundae_meng76计算机网络管理技术276docin/sundae_meng77计算机网络管理技术2.6.4使用SNMP时的注意事项·

尽量将SNMP服务升级到v3版本。（其中，硬件设备的服务补丁需要向制造商联系获得，而操作系统（如Linux、Windows2000/2019等）可从网上直接下载安装。）·

保护SNMP共同体名称：许多设备缺省的SNMP共同体名称为“public”，这是很不安全的。建议管理人员修改该缺省值，并增加字符串的复杂性。·

在网络出口设备上过滤SNMP：目前，SNMP主要用于企业内部网络的管理，对于外部用户来说一般没有必要使用SNMP。为此，可以在企业网络的出口设备（主要为路由器或防火墙）上过滤掉SNMP通信和请求，从而保护内部网络。标准的SNMP服务使用UDP161和UDP162两个端口，某些设备厂商也使用其他的一些端口，如UDP199、391、705、1993等。禁用这些端口通信后，外部网络访问企业内部网络的能力就受到了限制。在路由器和防火墙上可以使用ACL（访问控制列表）来过滤SNMP。docin/sundae_meng77计算机网络管理技术277docin/sundae_meng78计算机网络管理技术总结：

SNMP是对网络进行高效管理的重要技术。然而，SNMP的早期版本SNMPv1和SNMPv2天生缺乏安全性，即使最新版本SNMPv3通过加密和鉴别加强了安全性，但也有可能由于用户使用不当导致应用上的安全隐患。为此，用户应从协议选择（在条件允许时尽可能地选择SNMPv3）、系统配置等方面加强对SNMP的应用和管理。docin/sundae_meng78计算机网络管理技术总78docin/sundae_meng79计算机网络管理技术Theenddocin/sundae_meng79计算机网络管理技术T79docin/sundae_meng80计算机网络管理技术第1章网络管理技术概述第2章SNMP网络管理架构第3章网络流量监控技术与方法第4章磁盘管理第5章用户管理第6章组策略管理第7章补丁管理第8章IP地址管理第9章VLAN管理第10章网络存储管理docin/sundae_meng1计算机网络管理技术第180docin/sundae_meng81计算机网络管理技术第2章SNMP网络管理架构

目前计算机网络中几乎所有的通用设备和网络操作系统都支持SNMP，掌握SNMP的基础知识是从事网络管理工作的必备条件。SNMP中涉及的知识点比较多，每个知识点都有大量的细节描述。本章将从网络管理员的角度介绍SNMP，着重介绍SNMP的基本架构和功能，以适应现代计算机网络管理的要求。docin/sundae_meng2计算机网络管理技术第281docin/sundae_meng82计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng3计算机网络管理技术第282docin/sundae_meng83计算机网络管理技术2.1网络管理协议及功能 2.1.1网络管理协议的发展 2.1.2从管理设备获取数据的方式docin/sundae_meng4计算机网络管理技术2.83docin/sundae_meng84计算机网络管理技术2.1.1网络管理协议的发展在通用的网络管理协议制定之前，在一个网络中虽然有多个不同厂商的相同功能的设备，提供数据收集的方式各不相同。不同厂商提供的通信方式各不相同，无法实现在同一管理平台下对不同厂商设备的统一管理。网络管理协议的功能就是制定一个管理进程与管理代理之间的通信标准，即通用的网络管理协议。docin/sundae_meng5计算机网络管理技术2.84docin/sundae_meng85计算机网络管理技术标准网络管理协议提供了一种可访问任何网络设备并获得一系列标准值的一致性方式(设备名称、软件版本、接口参数、CPU利用率、内存利用率等)

.目前，已制定的几种标准的网络管理协议有：·

SNMP：简单网络管理协议（SimpleNetworkManagementProtocol），该协议也是应用最为广泛的网络管理协议（IETF

）。·CMIP/CMIS：公共管理信息协议/公共管理信息服务（CommonManagementInformationProtocol/CommonManagementInformationServices），主要针对OSI结构制定的网络管理协议（ISO）。docin/sundae_meng6计算机网络管理技术标准85docin/sundae_meng86计算机网络管理技术CMOT（CMIPOverTCP）：在TCP/IP网络中实现CMIS服务的公共管理信息协议（IETF

）。LMMP：局域网个人管理协议（LANManManagementProtoco1）该协议最早由3COM和IBM公司开发，试图为LAN环境提供一个网络管理方案。IEEE802逻辑链路控制层上的公共管理信息协议（CMIPOverLLC，CMOL）。不依赖于任何特定的网络层协议进行网络传输。易于实现。但是，不能跨越路由器。docin/sundae_meng7计算机网络管理技术CM86docin/sundae_meng87计算机网络管理技术2.1网络管理协议及功能 2.1.1网络管理协议的发展 2.1.2从管理设备获取数据的方式docin/sundae_meng8计算机网络管理技术2.87docin/sundae_meng88计算机网络管理技术2.1.2从管理设备获取数据的3种方式 本地终端方式、远程telnet命令方式、基于网络管理协议的方式。1．本地终端方式RS-232端口或Console端口。一般适用于管理单台重要的网络设备（如企业网出口处的路由器或防火墙等）。网络发生阻塞以及被管理设备无法通过远程方法进行登录。docin/sundae_meng9计算机网络管理技术2.88docin/sundae_meng89计算机网络管理技术2．远程telnet命令方式必须具备两个条件：一是管理机与被管理设备之间通过网络进行连接；二是在被管理设备上设置了管理地址和登录帐号。该方式的好处是可以对设备进行远程管理，每次只能对一台设备进行管理。docin/sundae_meng10计算机网络管理技术289docin/sundae_meng90计算机网络管理技术3．基于网络管理协议的方式 目前各类网络管理系统普遍采用如后图所示的标准模型。docin/sundae_meng11计算机网络管理技术390docin/sundae_meng91计算机网络管理技术一个网络管理系统从逻辑上可以认为是由以下四个部分组成：·

管理进程（Manager）·

管理协议（ManagementProtocol）·

管理代理（Agent）·

管理信息库（ManagementInformationBase，MIB）docin/sundae_meng12计算机网络管理技术91docin/sundae_meng92计算机网络管理技术网络管理的实际操作模式docin/sundae_meng13计算机网络管理技术网92docin/sundae_meng93计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng14计算机网络管理技术第93docin/sundae_meng94计算机网络管理技术2.2SNMP的功能及典型应用

是目前应用最为广泛的网络管理协议，主要用于对路由器、交换机、防火墙、服务器等主要设备（网元）的管理。docin/sundae_meng15计算机网络管理技术294docin/sundae_meng95计算机网络管理技术2.2SNMP的功能及典型应用 2.2.1SNMP的功能 2.2.2SNMP的典型应用docin/sundae_meng16计算机网络管理技术295docin/sundae_meng96计算机网络管理技术

SNMP的功能docin/sundae_meng17计算机网络管理技术 96docin/sundae_meng97计算机网络管理技术SNMP的工作方式读操作：从设备中获取数据，一是管理员向设备发出读数据的指令；二是被管理设备定期向管理员（其实是管理机）发回需要的数据。写操作：管理员在对设备进行配置时，需要由SNMP提供写操作，这样才能够完成对设备的远程管理。Trap操作：设备在某一时刻发生状态的改变时，需要由SNMP提供trap操作。docin/sundae_meng18计算机网络管理技术S97docin/sundae_meng98计算机网络管理技术2.2SNMP的功能及典型应用 2.2.1SNMP的功能 2.2.2SNMP的典型应用docin/sundae_meng19计算机网络管理技术298docin/sundae_meng99计算机网络管理技术2.2.2SNMP的典型应用

对网络中支持SNMP的设备进行管理（可以运行在TCP/IP协议栈上）。docin/sundae_meng20计算机网络管理技术299docin/sundae_meng100计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng21计算机网络管理技术第100docin/sundae_meng101计算机网络管理技术2.3SNMP的实现方法、结构和组成 2.3.1SNMP的实现方法和结构 2.3.2SNMP的组成docin/sundae_meng22计算机网络管理技术2101docin/sundae_meng102计算机网络管理技术2.3.1SNMP的实现方法和结构docin/sundae_meng23计算机网络管理技术2102docin/sundae_meng103计算机网络管理技术3种角色：·

管理网络系统（NMS）·

代理（Agent）·

代理服务器（Proxy）docin/sundae_meng24计算机网络管理技术3103docin/sundae_meng104计算机网络管理技术2.3SNMP的实现方法、结构和组成

2.3.1SNMP的实现方法和结构

2.3.2SNMP的组成docin/sundae_meng25计算机网络管理技术2104docin/sundae_meng105计算机网络管理技术2.3.2SNMP的组成

SNMPv1（1989）、SNMPv2（1992）到SNMPv3（2019），功能在不断加强和完善，但是SNMP的组成一直没有变化。使用UDP进行数据的传输由SMI、MIB和协议（SNMP）组成SNMP和MIB由ASN.1(AbstractSyntaxNotation)描述docin/sundae_meng26计算机网络管理技术2105docin/sundae_meng106计算机网络管理技术·

SMI（StructureofManagermentInformation，管理信息结构）：规定SNMP使用哪些ASN.1符号与元素，以及如何使用这些ASN.1子集的符号和元素来描述SNMP。SMI由ASN.1的一个子集和一部分自定义的类型、宏等组成。·MIB（ManagementInformationBase，管理信息库）：MIB使用SMI来定义设备和网络协议的数据。管理站和代理都使用相同格式的MIB以实现有效通信。其中代理将设备的数据转换为MIB对象，使设备支持SNMP。·

协议（SNMP）：SNMP协议定义了SNMP数据包的格式、封装方式以及数据的传输细节。docin/sundae_meng27计算机网络管理技术·106docin/sundae_meng107计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng28计算机网络管理技术第107docin/sundae_meng108计算机网络管理技术2.4SNMP系统 2.4.1管理信息库(MIB) 2.4.2管理信息结构（SMI） 2.4.3简单网络管理协议（SNMP）docin/sundae_meng29计算机网络管理技术2108docin/sundae_meng109计算机网络管理技术2.4.1管理信息库(MIB)MIB是网络管理协议访问的管理对象数据库，它包括SNMP可以通过网络设备上的代理进行设置的变量。给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域名系统（DNS）相似的树型结构，它的根在最上面，根没有名字。docin/sundae_meng30计算机网络管理技术2109docin/sundae_meng110计算机网络管理技术docin/sundae_meng31计算机网络管理技术110docin/sundae_meng111计算机网络管理技术SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。MIB树的每个节点被指定为一个数字（非负数），同一层的节点用不同的数字区分。这些节点数字由标准组织指定。MIB树中的任何一个节点由其所处的位置来命名，同一层的节点数字都不相同。这个数字串称为对应于MIB对象的对象标识符（OID，ObjectIdentifier）。例如，ODI，1.3.6.1.2.1.1代表的对象是从命名为“1”的顶级节点开始，后续的下级节点“3”，再下一级是“6”，依此类推。docin/sundae_meng32计算机网络管理技术S111docin/sundae_meng112计算机网络管理技术在Internet节点下面的第二个节点是mgmt（管理），标号是2。再下面是管理信息库，原先的节点名是mib。1991年定义了新的版本MIB-II。其标识为{1.3.6.1.2.1}或{Internet(1).2.1}最初的节点mib将其所管理的信息分为8个类别，如表2-1所示。现在的mib-2所包含的信息类别已超过40个。MIB的定义与具体的网络管理协议无关，这对于设备制造商和用户来说都是有利的。docin/sundae_meng33计算机网络管理技术在112docin/sundae_meng113计算机网络管理技术表2-1最初的节点mib管理的信息类别docin/sundae_meng34计算机网络管理技术表113docin/sundae_meng114计算机网络管理技术2.4SNMP系统

2.4.1管理信息库(MIB)

2.4.2管理信息结构（SMI） 2.4.3简单网络管理协议（SNMP）docin/sundae_meng35计算机网络管理技术2114docin/sundae_meng115计算机网络管理技术2.4.2管理信息结构（SMI）管理信息结构（StructureofManagementInformation，SMI）用于定义存储在MIB中的管理信息的语法和语义，对MIB进行定义和构造。SMI确定了可用于MIB中的数据类型并说明对象在MIB内部的表示和命名。SMI的宗旨是保持MIB的简单性和可扩展性，从而简化管理，加强互操作性，满足协同操作的要求。docin/sundae_meng36计算机网络管理技术2115docin/sundae_meng116计算机网络管理技术SNMP网络管理的基础是含有被管理信息的数据库，如交换机、路由器、防火墙、服务器等，他们各自维护着一个含有自身运行状态的树型结构（如图2-9所示）其中每一个叶子节点代表一个信息、变量或配置，设备对这棵树中的标量（叶子节点）进行赋值，以反映自己的状态。管理站读取相应的变量以获取网络节点设备的状态信息，管理站也可以通过修改某些值从而实现简单的控制功能。

docin/sundae_meng37计算机网络管理技术S116docin/sundae_meng117计算机网络管理技术docin/sundae_meng38计算机网络管理技术117docin/sundae_meng118计算机网络管理技术2.4SNMP系统

2.4.1管理信息库(MIB) 2.4.2管理信息结构（SMI） 2.4.3简单网络管理协议（SNMP）docin/sundae_meng39计算机网络管理技术2118docin/sundae_meng119计算机网络管理技术2.4.3简单网络管理协议（SNMP）SNMP为应用层协议，是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。管理站进程通过SNMP完成网络管理。SNMP在UDP、IP及有关的特殊网络协议（如Ethernet、FDDI、X.25）之上实现。docin/sundae_meng40计算机网络管理技术2119docin/sundae_meng120计算机网络管理技术SNMP的协议环境如图所示：管理站发出3类SNMP的消息GetRequest、GetNextRequest、SetRequest。3类消息都由代理用GetResponse消息应答，该消息被上交给管理应用进程。另外，代理可以发出Trap消息，向管理站报告有关MIB及管理资源的事件。docin/sundae_meng41计算机网络管理技术S120docin/sundae_meng121计算机网络管理技术第2章SNMP网络管理架构2.1网络管理协议及功能2.2SNMP的功能及典型应用2.3SNMP的实现方法、结构和组成2.4SNMP系统2.5SNMP协议2.6SNMP的发展和现状docin/sundae_meng42计算机网络管理技术第121docin/sundae_meng122计算机网络管理技术2.5SNMP协议 2.5.1SNMP的体系结构 2.5.2SNMP的工作机制 2.5.3SNMP的报文格式 2.5.4SNMP共同体和安全控制 2.5.5轮询和中断docin/sundae_meng43计算机网络管理技术2122docin/sundae_meng123计算机网络管理技术2.5.1SNMP的体系结构SNMP采用集中式的管理方案主要由管理站(Manager)、管理代理（Agent）、管理对象（ManagedObject）以及描述管理对象状态的MIB组成。docin/sundae_meng44计算机网络管理技术2123docin/sundae_meng124计算机网络管理技术管理进程是整个网络管理系统的控制中心，在在网管工作站上。管理代理维护一个本地的MIB。管理代理负责收集有关本地的管理对象的信息并具有以下几项基本功能：设置和修改MIB中的各种变量值；读取MIB中的信息并传回管理进程；执行管理进程的管理操作。管理对象是经过抽象的网络元素，它对应于网络中具体可以操作的数据，如记录设备工作状态的变量、设备内的工作参数等，也可指某些具体的设备。docin/sundae_meng45计算机网络管理技术管124docin/sundae_meng125计算机网络管理技术2.5SNMP协议

2.5.1SNMP的体系结构 2.5.2SNMP的工作机制 2.5.3SNMP的报文格式 2.5.4SNMP共同体和安全控制 2.5.5轮询和中断docin/sundae_meng46计算机网络管理技术2125docin/sundae_meng126计算机网络管理技术2.5.2SNMP的工作机制SNMP的操作很简单，主要是对变量的修改和检查，共定义了以下5类管理操作：· GetRequest：读对象操作，使管理进程向代理发起读的操作读取管理对象的值，以获取设备或网络的运行数据以及配置信息等。· GetNextRequest：读取当前对象的下一个可读取的对象实例值。（因为SNMP不支持一次读取一张表或表中的一行数据，为了解决这一问题便提供了GetNextRequest操作：首先对对象标识（OID）进行GetNextRequest操作，将收到下一个可读取对象的实例标识，接着对这个实例标识执行GetNextRequest，会得到再下一个实例标识，这样不断执行下去就可以读取完整的一张表。）docin/sundae_meng47计算机网络管理技术2126docin/sundae_meng127计算机网络管理技术· SetRequest：管理进程更新代理中对象的值。在网络管理中，当需要对设备的一些参数、配置、状态等进行重新配置时，就需要用到SetReque