计算机网络管理1

计算机网络管理

理论与实践教程雷震甲数据表示注册层次

MIB-2的分组结构

ASN.1的通用类型类型名P/C标签值集合INTEGERPUNIVERSAL2整数OCTETSTRINGP/CUNIVERSAL4位组串NULLPUNIVERSAL5NULLOBJECTIDENTIFIERPUNIVERSAL6对象标识符SEQUENCE（OF）CUNIVERSAL16序列

RFC1155定义的应用类型NetworkAddress::=CHOICE{internet

IpAddress}：这种类型用ASN.1的CHOICE构造定义，可以从各种网络地址中选择一种。目前只有Internet地址一种。internetOBJECTIDENTIFIER::={iso(1)org(3)dod(6)1}：SNMP采用对象标识符作为对象的唯一标识。IpAddress::=[APPLICATION0]IMPLICITOCTETSTRING(SIZE(4))：

32位的IP地址，定义为OCTETSTRING类型。Counter::=[APPLICATION1]IMPLICITINTRGER(0..4294967295)：一个非负整数，其值可增加，但不能减少，达到最大值232-1后回零，再从头开始增加。计数器可用于计算收到的分组数或字节数等。Gauge::=[APPLICATION2]INTEGER(0..4294967295)：计量器类型是一个非负整数，其值可增加，也可减少。计量器的最大值也是232-1。计量器达到最大值后不回零，而是锁定在232-1。计数器和计量器应用类型（Cont.）TimeTicks::=[APPLICATION3]INTEGER(0..4294967295)：时钟类型是非负整数。时钟的单位是百万分之一秒，可表示从某个事件（例如设备启动）开始到目前经过的时间。Opaque::=[APPLICATION4]OCTETSTRING--arbitraryASN.1value：不透明类型即未知数据类型，或者说可以表示任意类型。这种数据编码时按OCTETSTRING处理，管理站和代理能解释这种类型。

MIB-2功能组RFC1213定义了管理信息库第2版，即MIB-2。这个文件包含11个功能组，共171个对象。RFC1213说明了选择管理对象的标准：包括了故障管理和配置管理需要的对象。只包含“弱”控制对象。所谓“弱”控制对象就是一旦出错对系统不会造成严重危害的对象。这反映了当前的管理协议不很安全，不能对网络实施太强的控制。选择经常使用的对象，并且要证明当前的网络管理中正在使用。为了容易实现，开发MIB-1时限制对象数为100个左右，在MIB-2中，这个限制稍有突破（117个）。不包含具体实现（例如BSDUNIX）专用的对象。为了避免冗余，不包括那些可以从已有对象导出的对象。每个协议层的每个关键部分分配一个计数器，这样可以避免复杂的编码。系统组系统组对象对象语法访问方式功能描述sysDescr（1）DisplayString(SIZE(0..255))RO有关硬件和操作系统的描述sysObjectID(2)OBJECTIDENTIFIERRO系统制造商标识sysUpTime(3)TimeticksRO系统运行时间sysContact(4)DisplayString(SIZE(0..255))RW系统管理人员描述sysName(5)DisplayString(SIZE(0..255))RW系统名sysLocation(6)DisplayString(SIZE(0..255))RW系统的物理位置sysServices(7)INTEGER(0..127)RO系统服务接口组接口组对象对象语法访问方式ifNumberINTEGERROifTableSEQUENCEOFifEntryNAifEntrySEQUENCENAifIndexINTEGERROifDescrDisplayString(SIZE(0..255))ROifTypeINTEGERROifMtuINTEGERROifSpeedGaugeROifPhysAddressPhysAddressROifAdminStatusINTEGERRWifOperStatusINTEGERROifLastChangeTimeTicksROifInOctetsCounterROifInUcastPkts

CounterROifInNUcastPktsCounterROifInDiscardsCounterROifInErrorsCounterROifInUnknownPorotosCounterROifOutOctetsCounterROifOutUcastPktsCounterROifOutNUcastPktsCounterROifOutDiscardsCounterROifOutErrorsCounterROifOutQLenGaugeROifSpecficOBJECTIDENTIFIERRO接口状态ifOperStatusifAdminStatus含义

up(1)

up(1)正常

down(2)

up(1)故障

down(2)

down(2)停机

testing(3)

testing(3)测试地址转换组

at(mib-23)atTable(1)atEntry(1)atIfIndex(1)atPhysAddress(2)atNetAddress(3)

IP组

IP地址表IP路由表IP地址与物理地址转换表IP组对象对象语法访问方式功能描述ipForwarding(1)INTEGERRWIPgateway(1),IPhost(2)ipDefaultTTL(2)INTEGERRWIP头中的TimeToLive字段的值ipInReceives(3)CounterROIP层从下层接收的数据报总数ipInHdrErrors(4)CounterRO由于IP头出错而丢弃的数据报ipInAddrErrors(5)CounterRO地址出错（无效地址、不支持的地址和非本地主机地址）的数据报ipForwDatagrams(6)CounterRO已转发的数据报ipInUnknownProtos(7)CounterRO不支持数据报的协议，因而被丢弃ipInDiscards(8)CounterRO因缺乏缓冲资源而丢弃的数据报ipInDelivers(9)CounterRO由IP层提交给上层的数据报ipOutRequests(10)CounterRO由IP层交给下层需要发送的数据报，不包括ipForwDatagramsipOutDiscards(11)CounterRO在输出端因缺乏缓冲资源而丢弃的数据报ipOutNoRoutes(12)CounterRO没有到达目标的路由而丢弃的数据报ipReasmTimeout(13)INTEGERRO数据段等待重装配的最长时间（秒）ipReasmReqds(14)CounterRO需要重装配的数据段ipReasmOKs(15)CounterRO成功重装配的数据段ipReasmFails(16)CounterRO不能重装配的数据段ipFragOKs(17)CounterRO分段成功的数据段ipFragFails(18)

CounterRO不能分段的数据段ipFragCreates(19)CounterRO产生的数据报分段数ipAddrTable(20)SEQUENCEOFNAIP地址表ipRouteTable(21)SEQUENCEOFNAIP路由表ipNetToMediaTable(22)SEQUENCEOFNAIP地址转换表ipRoutingDiscards(23)CounterRO无效的路由项，包括为释放缓冲空间而丢弃路由项ICMP组I

CMP组对象对象语法访问方式功能描述icmpInMsgs(1)CounterRO接收的icmp报文总数（以下为输入报文）icmpInErrors(2)CounterRO出错的icmp报文数icmpInDestUnreachs(3)CounterRO目标不可送达型icmp报文icmpInTimeExcds(4)CounterRO超时型icmp报文icmpInPramProbe(5)CounterRO有参数问题型icmp报文icmpInSrcQuenchs(6)CounterRO源抑制型icmp报文icmpInRedirects(7)CounterRO重定向型icmp报文icmpInEchos(8)CounterRO回声请求型icmp报文icmpInEchoReps(9)CounterRO回声响应型icmp报文icmpInTimestamps(10)CounterRO时间戳请求型icmp报文icmpInTimestampReps(11)CounterRO时间戳响应型icmp报文icmpInAddrMasks(12)CounterRO地址掩码请求型icmp报文icmpInAddrMaskReps(13)CounterRO地址掩码响应型icmp报文icmpOutMsgs(14)CounterRO输出的icmp报文总数（以下为输出报文）icmpOutErrors(15)CounterRO出错的icmp报文数icmpOutDestUnreachs(16)CounterRO目标不可送达型icmp报文icmpOutTimeExcds(17)CounterRO超时型icmp报文icmpOutPramProbe(18)CounterRO有参数问题型icmp报文icmpOutSrcQuenchs(19)CounterRO源抑制型icmp报文icmpOutRedirects(20)CounterRO重定向型icmp报文icmpOutEchos(21)CounterRO回声请求型icmp报文icmpOutEchoReps(22)CounterRO回声响应型icmp报文icmpOutTimestamps(23)CounterRO时间戳请求型icmp报文icmpOutTimestampReps(24)CounterRO时间戳响应型icmp报文icmpOutAddrMasks(25)CounterRO地址掩码请求型icmp报文icmpOutAddrMaskReps(26)CounterRO地址掩码响应型icmp报文TCP组TCP组

对象对象语法访问方式功能描述tcpRtoAlgorithm(1)INTEGERRO重传时间算法tcpRtoMin(2)

INTEGERRO重传时间最小值tcpRtoMax(3)INTEGERRO重传时间最大值tcpMaxConn(4)INTEGERRO可建立的最大连接数tcpActiveOpens(5)CounterRO主动打开的连接数tcpPassiveOpens(6)CounterRO被动打开的连接数tcpAttemptFails(7)CounterRO连接建立失败数tcpEstabResets(8)CounterRO连接复位数tcpCurrEstab(9)GaugeRO状态为established或closeWait的连接数tcpInSegs(10)CounterRO接收的TCP段总数tcpOutSegs(11)CounterRO发送的TCP段总数tcpRetransSegs(12)CounterRO重传的TCP段总数tcpConnTable(13)SEQUENCEOFNA连接表tcpInErrors(14)CounterRO接收的出错TCP段数tcpOutRests(15)CounterRO发出的含RST标志的段数

TCP连接状态closed(1)listen(2)synSent(3)synReceived(4)established(5)finWait1(6)finWait2(7)closeWait(8)lastAck(9)closing(10)timeWait(11)deleteTCB(12)TCP连接状态

UDP组udp(mib-27)udpInDatagrams(1)接收的数据报总数

udpNoPorts(2)没有发现端口而无法提交的数据报数

udpInErrors(3)出错的数据报数

udpOutDatagrams(4)上层协议要求输出的数据报数

udpTable(5)UDP表

udpEntry(1)udpLocalAddress(1)udpLocalPort(2)EGP组以太网M

I

BRFC1643

以太网MIB对象对象语法访问方式功能描述dot3StatsTableSEQUENCEOFNAIEEE802.3统计表dot3StatsEntrySEQUENCENA该表项对应一个以太网接口dot3StatsStatsIndex(1)INTEGERRO索引项，与接口组索引相同dot3StatsAlignmentErrors(2)CounterRO接收的非整数个字节的帧数dot3StatsFCSErrors(3)CounterRO接收的FCS校验出错的帧数dot3StatsSingleCollisionFrames(4)CounterRO仅一次冲突而发送成功的帧数dot3StatsMultipleCollisionFramesCounterRO经过多次冲突而发送成功的帧数dot3StatsSQETestErrors(6)CounterROSQE测试错误报文产生的次数dot3StatsDeferredTransmissions(7)CounterRO被延迟发送的帧数dot3StatsLateCollisions(8)CounterRO发送512比特后检测到的冲突次数dot3StatsExcessiveCollision(9)CounterRO由于过多冲突而发送失败的帧数dot3StatsInternalMacTransmitErrorsCounterRO由于内部MAC错误而发送失败的帧数dot3StatsCarrierSenseErrors(11)CounterRO载波坚听条件丢失的次数dot3StatsFrameTooLongs(13)CounterRO接收的超长帧数dot3StatsInternalMacReceiveErrorsCounterRO由于内部MAC错误而接收失败的帧数dot3StatsEtherChipSet(17)OBJECTIDENTIFIERRO接口使用的芯片dot3CollTable(5)SEQUENCEOFNA有关接口冲突直方图的表dot3CollEntry(1)SEQUENCENA冲突表项dot3CollCount(1)INTEGER(1..16)NA共16种不同的冲突次数dot3CollFrequencies(2)CounterRO对应每种冲突次数而成功传送的帧数dot3Tests(6)OBJECTIDENTIFIERRO对接口的一组测试dot3TestTDR(1)OBJECTIDENTIFIERROTDR(TimeDomainReflectometry)测试dot3TestLoopBack(2)OBJECTIDENTIFIERRO环路测试dot3Errors(7)OBJECTIDENTIFIERRO测试期间出现的错误dot3ErrorInitError(1)OBJECTIDENTIFIERRO测试期间芯片不能初始化dot3ErrorLoopBackError(2)OBJECTIDENTIFIERRO在环路测试中接收的数据不正确dot3冲突统计的直方图

CMOT组和SNMP组第9组是cmot组，因为CMOT的开发陷于停顿状态，所以使用cmot组对象还很遥远，我们就不讨论了。第11组snmp组将在以后讨论。SNMPv1简单网络管理协议第一版（SimpleNetworkManagementProtocol，SNMPv1），陆续公布在1990和1991年的几个RFC（RequestForComments）文档中:RFC1155（SMI）RFC1157（SNMP）RFC1212（MIB定义）RFC1213（MIB-2规范）。由于其简单性和易于实现，SNMPv1得到了许多制造商的支持和广泛的应用。SNMPv1管理框架的定义SNMPv2在第一版的基础上扩展SNMP的功能，并增强其安全设施，使用户和制造商尽快地从原来的SNMP过渡到第二代SNMP。

SNMPv2（1993.5）名称SNMPv2C（1996.1）1441SNMPv2简介19011442SNMPv2管理信息结构19021443SNMPv2文本结构约定19031444SNMPv2一致性声明19041445SNMPv2高层安全模型1446SNMPv2安全协议1447SNMPv2参加者MIB1448SNMPv2协议操作19051449SNMPv2传输层映射19061450SNMPv2管理信息库19071451管理进程间的管理信息库1452SNMP第1版和第2版网络管理框架共存1908SNMPv3

1998年1月发表了5个文件，作为安全和高层管理的建议标准（PROPOSEDSTANDARD），这5个文件是：RFC2271描述SNMP管理框架的体系结构；RFC2272简单网络管理协议的报文处理和调度；RFC2273SNMPv3应用程序；RFC2274SNMPv3基于用户的安全模型；RFC2275SNMPv3基于视图的访问控制模型；SNMPv3在1999年4月公布了一组文件，作为SNMPv3的新标准草案（DRAFTSTANDARD）：RFC2570Internet标准网络管理框架第3版引论RFC2571SNMP管理框架的体系结构描述(标准草案，代替RFC2271)RFC2572简单网络管理协议的报文处理和调度系统(标准草案，代替RFC2272)RFC2573SNMPv3应用程序(标准草案，代替RFC2273)RFC2574SNMPv3基于用户的安全模型(USM)(标准草案，代替RFC2274)RFC2575SNMPv3基于视图的访问控制模型（VACM）(标准草案，代替RFC2275)RFC2576SNMP第1、2、3版的共存问题(标准建议，代替RFC2089，March2000)对SNMPv2的管理信息结构（SMIv2）的有关文件也进行了修订，作为正式标准公布：RFC2578管理信息结构第2版(SMIv2)(正式标准STD0058，代替RFC1902)RFC2579对于SMIv2的文本约定(正式标准STD0058，代替RFC1903)RFC2580对于SMIv2的一致性说明(正式标准STD0058，代替RFC1904)简单网络管理协议的体系结构团体(SNMPv1)

SNMP的团体是一个代理和多个管理站之间的认证和访问控制关系。允许访问的团体名是在被管理系统一侧定义的。委托代理

SNMPv1支持的操作SNMP仅支持对管理对象值的检索和修改等简单操作。具体地说,SNMP实体可以对MIB-2中的对象执行下列操作：Get：管理站用于检索管理信息库中标量对象的值。Set：管理站用于设置管理信息库中标量对象的值。Trap：代理用于向管理站报告管理对象的状态变化。SNMP不支持管理站改变管理信息库的结构，即不能增加和删除管理信息库中的管理对象实例，例如不能增加或删除表中的一行。管理站也不能向管理对象发出执行一个动作的命令。管理站只能逐个访问管理信息库中的叶子结点，不能一次性访问一个子树，例如不能访问整个表的内容。

这些限制确实简化了SNMP的实现，但是也限制了网络管理的功能。SNMP报文格式PDU类型请求标识00变量绑定表版本号团体名SNMPPDUPDU类型请求标识错误状态错误索引变量绑定表PDU类型制造商ID代理地址一般陷入特殊陷入时间戳变量绑定表名字1值1名字2值2………名字n值n变量绑定表TrapGetResponseGetRequest，GetNextRequest，SetRequest

5种错误状态noError(0)tooBig(1)noSuchName(2)badValue(3)readOnly(4)genError(5)

SNMP定义的陷入类型coldStart(0)warmStart(1)linkDown(2)linkUp(3)authenticationFailure(4)egpNeighborLoss(5)enterpriseSpecific(6)SNMP组管理站的功能支持扩展的MIB：强有力的SNMP对管理信息库的支持必须是开放的。特别对于管理站来说，应该能够装入其他制造商定义的扩展MIB。图形用户接口：能够显示网络拓扑结构、显示设备的地理位置和状态信息，可以计算并显示通信统计数据图表，具有各种辅助计算工具等。自动发现机制：要求管理站能够自动发现代理系统，能够自动建立图标并绘制出连接图形。可编程的事件：支持用户定义事件，以及出现这些事件时执行的动作。例如路由器失效时应闪动图标或改变图标的颜色，显示错误状态信息，向管理员发送电子邮件，并启动故障检测程序等。高级网络控制功能：例如配置管理站使其可以自动地关闭有问题的集线器、自动地分离出活动过度频繁的网段等。面向对象的管理模型：SNMP其实不是面向对象的系统。但很多产品是面向对象的系统，也能支持SNMP。用户定义的图标：方便用户为自己的网络设备定义有表现力的图标。轮询频率SNMP定义的陷入类型是很少的，所以管理站主要靠轮询收集信息。轮询的频率对管理的性能影响很大。如果管理站在启动时轮询所有代理，以后只是等待代理发来的陷入，这样就很难掌握网络的最新动态。通常轮询频率与网络的规模和代理的多少有关。而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其他因素，所以很难给出准确的判断规则。为了使问题简化，我们假定管理站一次只能与一个代理作用，轮询只是采用get请求/响应这种简单形式，而且管理站全部时间都用来轮询轮询频率我们有下面的不等式：

N≦T/Δ，其中N=被轮询的代理数

T=轮询间隔

Δ=单个轮询需要的时间。

Δ与下列因素有关：管理站生成一个请求报文的时间从管理站到代理的网络延迟代理处理一个请求报文的时间代理产生一个响应报文的时间从代理到管理站的网络延迟管理站处理一个响应报文的时间为了得到需要的管理信息，交换请求/响应报文的数量轮询的例例1假设有一个LAN，每15分钟轮询所有被管理设备一次（这在当前的TCP/IP网络中是典型的），管理报文的处理时间是50ms，网络延迟为1ms(每个分组1000字节)，没有产生明显的网络拥挤，Δ大约是0.202s，则

N≦T/Δ=15×60/0.202=4500即管理站最多可支持4500个设备。轮询的例例2在由多个子网组成的广域网中，网络延迟更大，数据速率更小，通信距离更远，而且还有路由器和网桥引入的延迟，总的网络延迟可能达到半秒钟，Δ大约是1.2s，于是有

N≦T/Δ=15×60/1.2=750

管理站可支持的设备最多为750个。SNMPv2SNMPv2数据类型数据类型SNMPv1SNMPv2INTEGER(-231--231-1)√√Unsigned32(0--232-1)√Counter32(最大值232-1)√√Counter64(最大值264-1)√Gauge32(最大值232-1)√√TimeTicks（模232)√√OCTETSTRING(SIZE(0..65535))√√IpAddress√√OBJECTIDENTIFIER√√Opaque√√SNMPv2对象的访问级别not-accessibleaccessible-for-notifyread-onlyread-writeread-create表操作允许生成和删除行的表必须有一个状态列。状态列，可取6种值：activenotInServicenotReadycreateAndGocreateAndWaitdestroy当概念行处于active状态时，如果管理站希望概念行脱离服务，以便进行修改，则可以发出set命令，把状态列由active置为notInService。管理站发出set命令，把状态列置为destroy,如果这个操作成功，概念行立即被删除。系统组新增的对象对象语法描述sysORLastChangeTimeStampsysORID实例的状态或值最近改变时sysUpTime的值sysORTableSEQUENCEOF作为代理的SNMPv2实体中的可动态配置的对象资源表sysORIndexINTRGER索引，唯一确定一个具体的可动态配置的对象资源sysORIDOBJECTIDENTIFIER类似于MIB-2中的sysObjectID