网络管理协议培训资料

第三章

网络管理协议3.1简单网络管理协议SNMP的发展概述

SNMP网络管理体系结构SNMPv3及其安全机制RMON远程网络监控3.2公共管理信息服务和公共管理信息协议CMIP/CMIS概述公共管理信息通信环境3.3基于Web的网络管理技术WEM管理方式的实现WEM的安全性考虑3.4TMN管理第一页，共三十七页。3.1简单网络管理协议3.1.1

SNMP简介SNMP是基于TCP/IP的Internet网络管理标准是最广泛的一种网络管理协议，它被设计

成一个应用层协议而称为

TCP/IP

协议簇的一

部分。SNMP自身是采用无连接的信息传输方

式，它是通过用户数据报协议（UDP）来操作，

因而带给网络系统的负载很低。SNMP特点为面向功能、集中控制、协议简单，因而支持广泛，但其安全性较差。第二页，共三十七页。SNMP的发展概述

SNMP的前身是SGMP（SimpleGatewayMonitoringProtocol）SNMP发布于1988年（SimpleNetworkManagementProtocol）可伸缩性、扩展性、健壮性（Robust）管理操作：Get、Get-next、Set、Trap1993年发布了SNMP的第二版SNMPv21998年SNMPv2升级为第三版SNMPv3第三页，共三十七页。SNMP的设计原则简单性：通过信息类型限制、请求响应或协议而取得。扩展性：通过将管理信息模型与协议、被管理对象的详细规定分离而实现的。SNMP的设计目标保持管理代理的软件成本尽可能的低。最大程度的保持远程管理的能力，以充分利用Internet

的网络资源。必须为将来的扩充留有余地。保持SNMP的独立性，不依赖于具体的计算机、网关和网络传输协议。第四页，共三十七页。3.1.2

SNMP网络管理体系结构Internet的网络管理模型网络管理进程（网控中心）管理代理管理对象外部代理管理代理外部代理管理对象管理对象管理对象第五页，共三十七页。管理进程：对网络实施集中管理，一个网络有数个网络元素（网元）：表示任何一种接受管理的网络资源，即具体的通信设备或逻辑实体管理代理：在网络元素上负责执行管理任务外部代理：附加在网络元素外，当网络资源不能与网络管理进程直接交换信息时使用。专为不符合管理协议标准的网络元素而设，完成管理协议转换和管理信息过滤操作。相当于“管理桥”，一边用管理协议与管理机构通信一边与被管理的设备通信。第六页，共三十七页。管理代理管理信息库管理代理管理代理网络管理通信协议管理进程管理信息库管理信息库（主机）（网关）（服务器）第七页，共三十七页。SNMP网络管理模型的四个关键元素管理站（ManagementStation）即管理进程，作为网络管理员与网络管理系统的接口管理代理（Agent）负责执行管理进程的管理操作管理信息库（MIB）管理对象（被管资源某一方面的数据变量）的集合网络管理协议

第八页，共三十七页。SNMP框架的三个重要组成部分管理信息库（MIB）管理信息结构（SMI）SNMP协议第九页，共三十七页。管理站（ManagementStation）

可以是一个分立设备，也可以利用共享系统实现作为网络管理员与网络管理系统的接口

基本构成：

一组具有分析数据、发现故障等功能的管理程序。一个用于网络管理员监控网络的接口。一个从所有被管网络实体的MIB中抽取信息的数据库。将网络管理员的要求转变为对远程网络元素的实际监控能力。

第十页，共三十七页。管理代理（Agent）一种特殊的软件，在被管理的网络设备中运行。包含了一个关于特定设备和该设备所在环境的信息。

直接操作MIB，如果管理进程需要，它可以根据要求改变本地信息库或提取数据传回到管理进程。每个管理代理都有自己的本地信息库（MIB）。具有两个基本功能：从MIB中读取各种变量（管理对象）值在MIB中修改各种变量（管理对象）值

第十一页，共三十七页。管理信息库（MIB）一个概念上的数据库定义了可以通过网络管理协议进行访问的管理

对象的集合。SNMP中的对象是被管资源某一方面的数据变量MIB作为设在管理代理处的管理进程访问点的集合，管理进程通过读取MIB中对象的值来进行网络监控。

第十二页，共三十七页。管理信息结构（SMI）定义和说明了MIB的总体框架、数据类型的表示方法和命名方法SMI的宗旨是保持MIB的简单性和可扩展性。

第十三页，共三十七页。SNMP协议是为网络管理服务而定义的应用层协议。利用SNMP协议可以查询管理代理实现的MIB中相应对象的值，以监视网络设备的状态。管理进程和管理代理之间是通过SNMP网络管理协议连接通信的，通过SNMP报文的形式来交换信息Get：管理站读取代理者处对象的值Set：管理站设置代理者处对象的值Trap：代理者向管理站通报重要事件功能第十四页，共三十七页。GetRequest：manager从agent取回某些变量的值

GetNext-Request：manager从agent取回变量的下一个变量的值SetRequest：manager设置agent上一个变量的取值GetResponse：agent向manager发送的应答Trap：agent向manager报告某一异常事件的发生原子（Atomic）特性：如果一个SNMP报文中包括了对多个变量的操作，agent不是执行所有操作，就是都不执行。

操作第十五页，共三十七页。被管理站对MIB的控制：认证服务：将对MIB的访问限定在授权的管理站的范围内。访问策略：对不同的管理站给予不同的访问权限代管服务：指的是一个被管理站可以作为其他一些被管理站（托管站）的代管。共同体：用来定义一个代理者和一组管理者之间的认证、访问控制和代管的关系。代理者可以与多个管理站建立多个共同体，同一个管理站可以出现在不同的共同体中。共同体（Community）和安全控制第十六页，共三十七页。

SNMP的安全控制管理信息报文的篡改和身份伪装信息泄漏和报文流篡改第十七页，共三十七页。3.1.3

SNMPv3及其安全机制SNMPv3协议的组成协议实体（SNMPentity）：实现SNMP协议功能的整个软件实体由一个SNMP引擎（SNMP

engine）和一个或多个有关的SNMP应用（SNMP

Application）组成。报文分拣器报文处理子系统访问控制子系统安全处理子系统SNMP引擎（由SNMP引擎ID标识）SNMPv3协议实体通告产生器其它委托代理转发器SNMP应用模块命令生成器通告接收器命令应答器第十八页，共三十七页。

SNMP应用模块命令生成器（CommandGenerator）

监控和操作管理数据，在管理进程一方实现命令应答器（CommandResponder）实现对管理数据的访问，在管理代理一方实现通告产生器（NotificationOriginator）发送异步的通知报文，在管理代理一方实现通告接收器（NotificationReceiver）接收并处理异步的通知报文，在管理进程一方实现委托代理转发器（ProxyForwarder）向不支持SNMP的设备转发报文，在管理代理一方实现第十九页，共三十七页。

SNMP引擎用于发送和接收消息、鉴别消息、对消息进行解密和加密以及对管理对象的访问控制等服务。报文分拣器发送和接收报文，确定报文版本号，将相应报文发送给相应的报文处理模块，为接收和发送PDU的SNMP应用提供一个抽象接口。报文处理子系统由若干个报文处理模块组成，按照预定格式准备要发送的报文，或者从接收的报文中提取数据。安全处理子系统由安全模型和安全协议组成，提供各种安全服务。访问控制处理子系统通过访问控制模块（AccessControlModel）提供授权服务。第二十页，共三十七页。

SNMPv3安全机制安全目标（1）验证验收到的SNMP报文的完整性，确认在传输过程中没有被篡改。（2）验证源发送者的身份，确认其不是伪装的。（3）根据报文中的生成时间，确认报文从发送到接收之间的延迟在限定的时间窗口内。（即报文流没有被篡改）第二十一页，共三十七页。

SNMPv3安全机制鉴别模块实现数据完整性鉴别和数据源身份鉴别。时标模块用于检验报文的传输时延，确认报文时延在规定的时间窗口内（报文流没有被篡改）。加密模块实现对报文内容的加密。第二十二页，共三十七页。

SNMP小节

SNMP是应用最广泛的一种网络管理协议应用层协议，TCP/IP协议簇的一部分管理站与管理代理采用了客户/服务器方式，通过UDP进行通信，管理站和管理代理都支持SNMP、

UDP和IP协议SNMP通过共同体来定义一个代理者和一组管理者之间的认证、访问控制和代管的关系，是网络管理具有安全性第二十三页，共三十七页。例题1SNMP被设计于哪种协议体系之上，可以在别的协议体系之上实现吗？A.TCP/IP，不可以B.UDP/IP，可以C.OSI7层协议，不可以D.OSI7层协议，可以

[分析]SNMP的设计是基于IP之上的无连接的用户数据报协议UDP，但它仍然可以在其他的传输层协议之上实现。第二十四页，共三十七页。3.1.4

RMON（RemoteNetworkMonitoring）为什么需要RMON使用RMON扩充了SNMP的管理信息库MIB-2，一种高效、低成本的网络监测方案，特别适用于监测和管理交换或局域网。轮询（Polling）

网络管理员通过向代理的MIB发出查询信号，得到网络通信信息和有关网络设备的统计数据的过程。SNMP轮询的两个弱点：（1）它没有伸缩性。（2）它将收集数据的负担加在网络管理控制台上。第二十五页，共三十七页。RMONMIB由一组统计数据、分析数据和诊断数据构成。网络监视器用于监视整个网络通信情况的设备。是一个独立的设备或运行监视器软件的工作站、服务器。每个子网配置一个监视器，并且于中央管理站通信。第一版RMON主要用于以太网（9个函数组）和令牌环网（1个函数组）的管理。一般的交换机至少支持4组RMON。第二十六页，共三十七页。RMON的目标离线操作必要时由网络管理站来限制或停止对监视器的查询。主动监视监视器可以连续不断地运行诊断程序，对网络进行诊断并记录网络性能状况。问题检测和报告

监视器根据观测到的流量被动的识别并记录某些错误及其他情况，在出现错误时通知管理站。提供增值数据监视器可以分析收集到的子网中的数据。多管理站操作监视器可以同时和多个管理站并发工作，提供不同信息。第二十七页，共三十七页。RMONIIRMON的补充技术，提供更高层次的诊断和检测功能。网络管理问题相关OSI层管理标准物理故障与应用介质访问控制层（MAC）RMON局域网网段数据链路层RMON网络互连网络层RMONII应用程序的使用应用层RMONIIRMON与RMONII的网络管理着眼点第二十八页，共三十七页。3.2CMIP/CMIS3.2.1

CMIP/CMIS概述

CMIP/CMIS是基于ISO/OSI七层模型的网络管理标准。OSI网络体系结构由四个主要部分组成：信息模型、组织模型、通信模型、功能模型。CMIS支持管理进程和管理代理之间的通信要求。CMIP提供管理信息传输服务的应用层协议。面向对象、分布控制、安全性高。协议复杂，实施费用较高，支持较少。第二十九页，共三十七页。三个OSI应用层协议实体（服务元素）公共管理信息服务元素（CMISE）（CommonManagementInformationServiceElement）使用户能够访问CMIS服务。关联控制服务元素（ACSE）（AssociationControlServiceElement）

实现打开和关闭管理进程与代理之间的通信联系。远程操作服务元素（ROSE）（RemoteOperationServiceElement）用于在联系建立起来后传送和响应。3.2.2

公共管理信息通信环境第三十页，共三十七页。CMIP/CMIS管理体系结构的缺点OSI系统管理违反了OSI参考模型的基本思想。OSI系统管理不能管理通信系统自己内部的故障。缺乏管理者特定的功能描述。OSI系统管理太复杂，使得OSI的实际应用产品较少。缺乏相应的开发工具，代理系统成本太高。协议复杂，实施费用较高，支持较少。OSI系统管理不是纯面向对象的。第三十一页，共三十七页。3.3基于Web的网络管理技术3.3.1

WBM管理方式的实现

代理方式

将一个基于Web的服务器加载到中间工作站（代理服务器），而终端设备轮流和终端网络设备通讯。网络管理软件负责将收到的网络信息传送到浏览器，并将传统管理协议转换成Web协议。可以和只支持SNMP协议的设备协同工作。嵌入方式

将Web功能嵌入到网络设备中，每个设备有自己的Web地址，管理员可通过直接访问并管理该设备。网络管理软件无须完成协议转换，所有管理信息都是通过超文本传输协议HTTP传送。第三十二页，共三十七页。实现WBM的常见技术

超文本标记语言（HTML）用于创建表达信息以及提供到达另外一个页面的超级链接。通用网关接口（CGI）基于Web的存取数据库中信息的技术。JAVA语言

WBM的两个标准基于Web的企业管理标准（WBEM）

是一个面向对象的工具，将兼容和扩展当前标准。JAVA管理应用程序接口（JMAPI）

SUN公司作为JAVA标准的API结构而提出的。第三十三页，共三十七页。3.3.2

WBM中的安全性考虑

可以对网络数据采取加密措施

授权机制、访问机制、加密机制、防火墙机制维护和检查安全日志等机制对服务器的访问可以通过口令和地址过滤来控制使用WBM，只需在服务器上启用安全加密，用户就可以加密从浏览器到服务器的所有通信数据，这样，服务器和浏览器可以协同工作以加密和解密所有传输的数据。第三十四页，共三十七页。3.4TMN管理电信管理网（TMN）是国际电信联盟为公众交换电话网的管理而制定的系列建议书TMN的体系结构销售、订单处理、客户问题处理、客户QOS管理、发票与收费业务规划与发展、业务配置、业务问题处理、业务质量管理、