SNMP网络管理架构

2022/12/20第二章SNMP网络管理架构2022/12/20第二章SNMP网络管理架构2.1网络管理协议的发展历史2.2SNMP体系结构2.3SNMP协议2.4SNMP的发展和现状2022/12/202.1网络管理协议的发展历史TCP/IP的起源1969年，美国国防部资助建立了APARNET网1970s，开发了一套协议簇，解决大量主机的互操作问题。最终发展成为TCP/IP协议簇TCP/IP协议簇被采纳为Internet上的标准2022/12/20TCP/IP网络管理TCP/IP的早期，网络管理并没有得到重视ICMP（InternetControlMessageProtocol）提供了路由器与主机、主机与主机直接传送控制信息的方法Echo/EchoReply(Ping):测试网络时延、网络设备可达性1987年:SGMP(SimpleGatewayMonitoringProtocol)发布标志着TCP/IP有了专门的管理工具后续又出现了CMIP、SNMP以及CMOTCMIP：公共管理信息协议，主要针对OSI结构制定的网络管理协议CMOT：CMIPoverTCP/IPEchoReplyEchoEchoEchoReplyEchoEchoReplyEchoEchoReplyEcho2022/12/201988年，IAB（InternetArchitectureBoard，互联网体系结构委员会）决定：将SNMP作为近期(临时)解决方案，CMOT作为远期解决方案，理由是：TCP/IP不久将会过渡到OSISNMP开发速度快，可满足眼前的需要为了强化这一策略，IAB要求SNMP和CMOT使用相同的被管对象库最终IAB允许SNMP独立于CMOT发展SNMP开始取得迅速发展厂商的支持用户的支持2022/12/20RMON（远程监控）RMON为网络管理者提供了监控整个子网的能力对基本的SNMPMIB进行了扩充1993：SNMPv2在管理信息结构和功能上对SNMP进行了扩充增加了安全性1998：SNMPv3全面引入安全机制2022/12/20SNMP：SimpleNetworkManagementProtocol，简单网络管理协议应用层协议SNMPUDPIP底层协议SNMP协议所处位置2022/12/202.2SNMP的体系结构2.2.1SNMP的功能SNMP即简单网络管理协议，是目前应用最为广泛的网络管理协议，主要用于对路由器、交换机、防火墙、服务器等主要设备的管理其基本思想是为不同厂商的不同类型及不同型号的设备定义一个统一的接口和协议，使得管理员可以使用统一的方式对这些设备进行集中管理，在迅速提高网络管理效率的同时简化网络管理员的工作2022/12/202.2SNMP体系结构2.2.2SNMP的体系结构非对称的二级结构SNMP是非对称的，Manager实体和Agent实体被分别配置Internet管理站被管设备2022/12/20SNMP的工作方式2022/12/202.2.2SNMP的体系结构三级体系结构基本的SNMP体系结构是Manager/Agent两级结构为了获得更高的性能和灵活性，可以将SNMP配置为三级结构两种实现方式代管（Proxy）体系结构为了将不支持SNMP的被管设备纳入到SNMP管理系统中RMON体系结构2022/12/20代管（Proxy）体系结构SNMPUDPIP底层协议ManagerSNMPUDPIP底层协议Agent映射功能托管设备使用的协议体系底层协议托管设备使用的协议体系底层协议管理进程SNMP管理站Proxy托管设备2022/12/20管理站与被管理设备之间的通信关系2022/12/202.2SNMP体系结构2.2.3SNMP中的5个关键元素网络管理系统（NMS）代理代理服务器管理信息库（MIB,ManagedInformationBase）被管理设备2022/12/202.2.3SNMP中的5个关键元素

网络管理系统（NMS）◆向管理员提供操作界面，以获取或改变被管理设备的配置参数、状态信息等◆NMS与Agent进行通信，执行相应的操作（Set,Get)，读取或设置设备的配置参数，并接受Agent发送回来的Trap消息2022/12/202.2.3SNMP中的5个关键元素

代理（Agent）◆代理是网络管理中的“中间人”，负责NMS与设备之间SNMP操作的传递◆介于NMS与设备之间，代理与NMS通信并响应NMS的请求，从设备获取相应的数据，或对设备进行相关的配置◆代理同时可以根据设备的相应状态，在状态发生重要变化时使用MIB中定义的Trap向NMS发送报告2022/12/202.2.3SNMP中的5个关键元素代理服务器（Proxy）

◆代理服务器是为解决对不直接支持SNMP的设备的管理而提供的◆代理服务器为非IP网络和不支持SNMP的设备代理完成SNMP的协议实现◆代理服务器还可以为不同版本的SNMP实现数据转换工作2022/12/20代理服务器的应用实例2022/12/202.2.3SNMP中的5个关键元素

管理信息库（MIB）◆MIB的功能是定义设备上可以使用的管理信息，代理和NMS使用MIS作为统一的数据接口进行通信◆NMS向代理请求MIB中的一个信息，代理在收到该请求后从设备获取所需的信息，然后按MIB定义的格式对NMS进行应答，完成一次操作

2022/12/202.2.3SNMP中的5个关键元素

被管理设备◆指的是SNMP系统中被管理的对象（网元）◆设备通过某种形式（具体由设备制作商确定）将各种数据按MIB要求的格式提供给代理，供SNMP实体使用2022/12/202.2SNMP体系结构

2.2.4SNMP系统的组成●SMI(StructureofManagermentInformation)●MIB(ManagementInformationBase）●协议（SNMP）SNMP的组成2022/12/202.2.4SNMP系统的组成

管理信息库（MIB）◆ManagementInformationBase◆保存被管对象信息的（虚拟）数据库◆被管对象用SMI定义◆被管对象为树型结构2022/12/20管理信息库（MIB）

InternetMIBrootitu(0)iso(1)iso-itu(2)org(3)dod(6)internet(1)directory(1)mgmt(2)experimental(3)private(4)mib-2(1)system(1)interface(2)●●●snmp(11)enterprises(1)ibm(2)microsoft(311)●●●InternetMIBrootInternetMIBroot2022/12/202.2.4SNMP系统的组成

管理信息库（MIB）管理信息库的对象命名举例2022/12/20管理信息库（MIB）

SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备MIB树的每个节点被指定为一个数字，同一层的节点用不同的数字区分。这些结点数字由标准组织指定MIB树中的任何一个节点由其所处的位置来命名，同一层的节点数字都不相同，这样到达某个节点的路由可以由从树根到此节点所经过的节点的数字串来表示这个数字串称为对应于MIB对象的对象标识符（OID）,例如2022/12/20管理信息库（MIB）

MIB的顶级对象

◆iso◆itu◆iso-itu2022/12/20管理信息库（MIB）

Internet下的对象directory：为与OSI

directory相关的、将来的应用而保留mgmt：包含IAB已经批准的MIB定义experimental：用于标识在Internet实验中应用的对象Private：目前只定义了一个子节点enterprise，各厂商的mib在enterprise中分别注册2022/12/20管理信息库（MIB）

Mib（老版本）节点管理的信息类别2022/12/20ObjectOIDDescriptionsystemmib21系统的总体信息interfacemib22系统各个接口的信息atmib23地址映射信息ipmib24IP的实现和运行信息icmpmib25ICMP实现和运行信息tcpmib26TCP实现和运行信息udpmib27UDP实现和运行信息egpmib28EGP实现和运行信息cmotmib29（预留）为CMOT协议保留dot3mib210（预留）为传输信息保留snmpmib211SNMP实现和运行信息Mib-II节点管理的信息类别2022/12/20管理信息库（MIB）Private目前只定义了一个子节点enterpriseEnterprise所属的节点数已超过3000，世界上任何一个公司只要用电子邮件发往进行申请即可获得一个节点名这样个设备制造商就可以定义自己的产品的被管理对象名，使它能用SNMP进行管理例如：IBM公司为CISCO公司为2022/12/202.2.4SNMP系统的组成管理信息结构（SMI）◆为了规范不同厂商在其设备上的MIB，使不同厂商在写MIB的时候遵循统一的标准，避免不同厂商的设备在SNMP管理中可能出现的麻烦，就需要有一种机制来规范MIB的定义，这就是SMI◆SMI约定了使用到得语法、类型、宏、数据格式等◆有关SMI的定义可参看RFC1155、RFC1212文档2022/12/202.2.4SNMP系统的组成

管理信息结构（SMI）◆管理信息结构（SMI）用于定义存储在MIB中的管理信息的语法和语义，对MIB进行定义和构造◆SMI确定了可用于MIB中的数据类型并说明对象在MIB内部的表示和命名◆SMI的宗旨是保持MIB的简单性和可扩展性，从而简化管理，加强互操作性2022/12/202.2.4SNMP系统的组成

SNMP协议SNMP的协议环境2022/12/202.3SNMP协议SNMP是一种面向非连接的网络管理协议（UDP）SNMP协议的功能是完成管理站与设备（代理）之间数据的有效传输2022/12/202.3SNMP协议

2.3.1SNMP协议的结构

●管理站●管理代理●管理对象●管理信息库

SNMP的体系结构2022/12/202.3SNMP协议2.3.2SNMP的工作机制SNMP的操作很简单，仅仅是对变量的修改和检查，SNMP共定义了以下5类管理操作、消息方向描述get-requestMA获取被管对象属性get-next-requestMA获取下一个被管对象属性set-requestMA设置被管对象属性get-responseAM对get/set的响应trapAM代理向管理进程发送事件值2022/12/202.3SNMP协议2.3.2SNMP的工作机制SNMP的5种报文操作方式2022/12/20SNMP基本体系结构图SNMPManagerUDPIP底层协议InternetGetRequestGetNextRequestSetRequestGetResponseTrapManagementApplicationsMDBSNMPAgentUDPIP底层协议GetRequestGetNextRequestSetRequestGetResponseTrapManagedObjectsResourcesMIBViewSNMPMessageSNMP管理站SNMP代理2022/12/202.3SNMP协议2.3.3SNMP的报文格式

SNMP定义了5种协议数据单元PDU（也就是SNMP报文），用于管理进程和代理进程之间的信息交换。下图是封装成UDP数据报的5种操作的SNMP报文格式。可见一个SNMP报文共有三个部分组成：公共SNMP首部、get/set首部和变量绑定。2022/12/202.3SNMP协议2.3.3SNMP的报文格式公共SNMP首部共占用3个字段：

·

版本：标识SNMP的版本号，具体写入时为SNMP版本号减1，例如SNMPv1则应写入0。

·

共同体（community）：共同体就是一个字符串，作为管理进程和代理进程之间的明文口令，目前许多系统缺省的共同体名为“public”。

·PDU类型：根据PDU的类型，填入0~4中的一个数字，其对应关系见下表。2022/12/202.3SNMP协议

2.3.3SNMP的报文格式PDU类型名称0get-request1get-next-request2get-response3set-request4trapPDU类型2022/12/202.3SNMP协议2.3.3SNMP的报文格式

get/set首部请求标识符：这是由管理进程设置的一个整数值。代理进程在发送get-response报文时也要返回此请求标识符。管理进程可同时向许多代理发出get报文，这些报文都使用UDP传送，先发送的有可能后到达。设置了请求标识符可使管理进程能够识别返回的响应报文对应于哪一个请求报文。差错状态：由代理进程应答时填入0~5中的一个数字，具体描述如下表所示。差错索引：当出现noSuchName、badValue或readOnly的差错时，由代理进程在应答时设置的一个整数，它指明有差错的变量在变量列表中的偏移。2022/12/202.3SNMP协议

2.3.3SNMP的报文格式差错状态描述2022/12/202.3SNMP协议2.3.3SNMP的报文格式

Trap首部占用了5个字段：企业（enterprise）：填入trap报文的网络设备的对象标识符。此对象标识符一定是在MIB树上的enterprise节点{1.3.6.1.4.1}下面的一棵子树上。该字段也称为“制造商ID”。代理地址（agent-addr）：产生trap的SNMP代理或代理服务器（proxy）的地址。trap类型：该字段正式的名称是generic-trap，共分为下表中的7种。特定代码（specific-code）：指明代理自定义的事件（如果trap类型为6），否则为0。时间戳（timestamp）：指明自代理进程初始化到trap报告的事件发生所经历的时间，单位为ms。例如时间戳为100表明在代理初始化后100ms发生了该事件。2022/12/202.3SNMP协议

2.3.3SNMP的报文格式Trap类型名字说明0coldStart代理进行了初始化1warmStart代理进行了重新初始化2linkDown一个接口从工作状态变为故障状态3linkUp一个接口从故障状态变为工作状态4authenticationFailure从SNMP管理进程接收到具有一个无效共同体的报文5egpNeighborLoss一个EGP相邻路由器变为故障状态6enterpriseSpecific代理自定义的事件，需要用后面的“特定代码”来指明Trap类型描述2022/12/202.3SNMP协议2.3.3SNMP的报文格式

变量绑定指明一个或多个变量的名称和对应的值。在get或get-next报文中，变量的值被忽略。2022/12/202.3SNMP协议2.3.4SNMP共同体和安全控制SNMP使用共同体（community）的概念Community保护被管理设备的MIB不被非法的访问SNMP用community来定义一个代理和一组管理进程之间的认证、访问控制和代管的关系共同体是一个在被管理设备中定义的本地概念一个代理可以与多个管理站建立多个community同一个管理站也可以出现在不同的community中Community每个共同体有唯一的共同体名，一个共同体内的所有管理进程必须在所有的Get和Set操作中使用该共同体名字一个Agent中可以建立多个共同体，这些共同体可以包括重叠的管理进程共同体名只具有局部意义，不同的Agent可以使用相同的名字，管理进程必须知道它所访问的Agent的团体名共同体名为字符串，明文传输，安全性差2022/12/202.3SNMP协议

2.3.5轮询和中断代理从被管设备中收集数据有3种方法：●轮询●中断●面向自陷的轮询2022/12/202.3SNMP协议2.3.5轮询和中断管理站采用轮询的方式访问各个代理中的管理信息简单轮询方式的缺点被管设备太多，则监测周期过长有些数据不需要，浪费通信资源中断面向自陷的轮询管理站以不太频繁的周期进行一次初始化。在初始化期间，轮询所有代理，将需要监测的所有关键信息读取出来有了基准以后，管理站便降低轮询频度此后，便由各个代理通过发送Trap消息的方式向管理站报告重要事件2022/12/202.4SNMP的发展和现状

2.4.1SNMP的发展历史

SNMP发展到现在，共推出了三个版本和两个扩展：

·1989年，SNMPv1发布

·1991年，针对SNMPv1的扩展RMON（RemoteMonitoring，远程监视）发布。RMON扩展了SNMPv1的功能，主要加强了对局域网及设备的管理

·1995年，SNMPv2正式发布（SNMPv1的升级版在1993年提出），SNMPv2在SNMPv1的基础上增加了部分功能，并制定了在OSI网络中使用SNMP的具体方法。同年，RMON升级为RMON2

·1998年，SNMPv3发布，重点加强了SNMP的安全性，并为将来的发展设计了总体的架构2022/12/202.4SNMP的发展和现状

2.4.2SNMPv1的主要缺点没有提供读取大块数据的有效机制，对大块数据进行存取的效率很低；没有提供足够的安全机制，安全性很差，对管理消息不能进行鉴别，也不能防止监听；没有提供管理进程（manager）与管理进程之间的通信机制，只适合集中式管理，而不利于进行分布式管理；只适用于监测网络设备，不适用于监测网络本身；由于trap数据报采用面向非连接的UDP协议传输，而且没有应答，因此这种传输并不可靠。2022/12/202.4SNMP的发展和现状

2.4.2SNMPv2的主要功能改进提供了一次读取大块数据的能力（主要由新增加的GetBulkRequest操作来实现），效率大大提高；增加了管理进程（manager）与管理进程之间的信息交换机制（主要由新增加的InformRequest操作来实现），从而支持分布式管理结构。可在多种网络协议上运行，如OSI、Appletalk和IPX等，适用多协议网络环境（但它的缺省网络协议仍是UDP）；SMI为被管理对象和MIB提供了更详尽的规范和文档；SNMPv2的MIB定义在MIB-Ⅱ基础上，并对MIB-Ⅱ进行了修改和扩充；提供了安全管理规范。2022/12/202.4SNMP的发展和现状2.4.3SNMPv3的特点SNMPv3的最突出特点是其安全性加密：加密的目的是保证数据不被窃取。鉴别：鉴别的目的是保证数据的完整性和发送者的正确性，防止别人伪造或篡改数据。SNMPv3使用基于用户的安全模型（USM）实现安全性SNMPv3只是一个安全规范，没有定义其他的新的SNMP功能，只是为SNMP提供了安全方面的功能。所以，可以将SNMPv3简单地理解为在SNMPv2的基础增加了安全和管理技术，实现了SNMPv2未曾实现的安全功能。2022/12/202.4SNMP的发展和现状

2.4.3SNMPv3的特点SNMPv3使用基于用户的安全模型（USM）实现安全性。在SNMPv3中，消息与用户联系起来，一条消息对应一个用户，消息使用用户的密码生成密钥，从而进行加密，实现各种安全特性。具体来讲，USM定义了下面的目标：

·

通过数据完整性检查，保护数据在传输过程中没有被篡改或毁坏，传输顺序也没有被有意改变；

·

通过数据来源鉴别能够验证数据和发送源的一致性；

·

数据加密能够使数据在传输过程中不被窃听，也未发生泄露；

·

通过消息时序性限制，如果消息在一个指定的时间范围外产生，则拒绝接收。2022/12/202.4SNMP的发展和现状

2.4.3使用SNMP时的注意事项加载SNMP服务补丁：安装SNMP