imc课程03 snmp协议基础

SNMP协议基础日期：杭州华三通信技术有限公司，为了依托网络本身，实现自动化的分布式网络管理，需要在网络管理者和管理代理之间使用一种通信协议。同时为了能够管理不同厂家不同类型的网络产品，需要在所有需要网管的产品中定义一种通用的管理对象。引入描述MIB的基本概念描述MIB-2中包含的对象掌握SNMP协议原理描述SNMP协议各版本之间的差别初步掌握H3CiMC网络管理解决方案课程目标学习完本课程，您应该能够：SNMP框架SNMP协议基础H3CiMC网管解决方案目录SNMP网络管理框架SNMP网络管理框架包含三个重要概念：管理信息库（MIB）管理信息结构（SMI）简单网络管理协议（SNMP）MIB概述网络管理协议和管理信息库是IETF的网络管理模型中包含的两个要素目前使用范围最广泛的网络管理协议是简单网络管理（SNMP，SimpleNetworkManagementProtocol）协议管理信息库（MIB，ManagementInformationBase）是一个逻辑的数据库，是基于TCP/IP网络的设备被管理对象的集合MIB概述（续） MIB是一个树型结构，其中的每个MIB对象都有其名字和唯一的标记，这个标记称之为对象标识符（ObjectIdentifier）root(unnamed)ccitt(0)iso(1)joint-iso-ccitt(2)std(0)reg-auth(1)member-body(2)org(3)dod(6)internet(1)directory(1)mngt(2)exp(3)private(4)mib-2(1)enterprises(1)system(1)interface(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)cmot(9)transmission(10)snmp(11)标量对象和表对象MIB对象分为标量对象和表对象，在表示一个完整的对象实例的OID时，需要在该对象标识符后面加上实例索引值访问标量对象时，在对象标识符后补一个0访问表对象时，在对象标识符末尾补上具体的实例索引值MIB-2分类MIB-2共有171个对象，从功能上分为11个组不同类型的网络设备选择实现自己能够实现的分组，而对于不支持的功能分组则不必实现如果网络设备实现了某个分组则意味着必须实现该组中的所有对象system组system组提供了被管设备的一般信息system(1.3.6.1.2.1.1)sysDescr(1)sysObjectID(2)sysUpTime(3)sysContact(4)sysName(5)sysLocation(6)sysServices(7)interfaces组interfaces组提供了网络设备接口的描述信息和统计信息interfaces(1.3.6.1.2.1.2)ifIndex(1)ifDescr(2)ifType(3)ifMtu(4)ifSpeed(5)ifPhysAddress(6)ifAdminStatus(7)ifOperStatus(8)……ip组ip组提供了与IP协议相关的信息，包括与一组标量对象和三个表对象ip(1.3.6.1.2.1.4)ipForwarding(1)ipDefaultTTL(2)ipInReceives(3)ipInHdrErrors(4)ipInAddrErrors(5)ifForwDatagrams(6)ipAddrTable(20)ipRouteTable(21)……ipNetToMediaTable(22)……将网络设备纳入管理对设备实施长期维护和管理的首要工作是将设备纳入网管系统之中，并在网管系统中记录设备的基本信息获取设备基本信息网管系统通过system组读取到的设备信息拓扑管理网络拓扑图是指网络中各种网络元素的布局和分布网管系统所展示的网络拓扑一般分为逻辑拓扑和物理拓扑逻辑拓扑主要用于提供网络中的三层信息，通常也叫三层拓扑物理拓扑主要用于反映设备之间的物理连接，通常也叫做二层拓扑逻辑拓扑逻辑拓扑能够提供丰富的网络层信息，它主要反映了网络中的设备与设备之间，以及设备与子网之间的连接关系逻辑拓扑能够很好地展示IP地址和子网的分布物理拓扑物理拓扑反映了设备在网络中的物理分布以及它们之间的连接关系链路状态拓扑上链路状态由链路两端的接口状态共同决定接口状态由接口的管理状态和操作状态共同决定性能管理性能管理主要用于监视设备的负载情况，及时消除负载过高可能引发的隐患，为网络的优化和扩容提供依据自定义性能指标对于基于设备私有MIB实现的性能监视，网管系统可以在了解该MIB的基础上自定义监视方法告警管理告警管理帮助管理员及时了解设备的运行状况，快速排除隐患及定位问题自定义Trap对于基于设备私有MIB实现的Trap，网管系统可以自定义其描述信息MIB编译MIB文件是用于描述被管对象的MIB信息的文本文件MIB文件的编译是指网管系统读取、识别并将MIB信息储存在本地的过程管理信息结构（SMI）管理信息结构（SMI）是用来定义置于被管理网络实体中的管理信息的语言其主要作用是定义SNMP所使用的管理对象的名字、语法和编码管理信息定义SMIv2采用ASN.1语法中的高级结构来定义管理信息管理信息的定义包括模块定义、对象定义和通报定义SNMP框架SNMP协议基础H3CiMC网管解决方案目录SNMP协议概述SNMP协议定义了IETF的网络管理模型中，网络管理者和网管代理之间的通信协议，目前已成为TCP/IP网络中使用范围最广泛的网络管理协议SNMPv1的五种报文SNMP的协议数据单元通常封装在IP数据包内，承载在UDP协议之上SNMPv1共定义了五种报文GetRequestGetNextRequestSetRequestGetResponseTrapSNMPUDPIP链路层协议物理层硬件SNMP操作模型GetRequestGetNextRequestSetRequestGetResponseTrap网络管理者网管代理UDP端口161UDP端口161UDP端口161UDP端口162GetResponseGetResponseSNMP团体字SNMP团体字用于在网络管理者访问管理代理时提供一种基本的验证机制SNMP团体字可以看做是网络管理者和管理代理共同约定的口令管理者Manager团体字123网管代理Agent团体字123团体字123网管代理Agent团体字456口令正确允许访问团体字123口令错误拒绝访问公共SNMP首部SNMPv1和v2的报文首部包含版本、团体字和PDU类型三个部分版本共同体PDU类型IP首部UDP首部公共SNMP首部SNMPPDUPDU名称GetRequestGetNextRequestSetRequestGetResponseTrapPDU类型01234SNMPv1协议数据单元GetRequest、GetNextRequest和SetRequest报文的协议数据单元格式请求标识00变量绑定列表GetResponse报文的协议数据单元格式请求标识差错状态变量绑定列表差错索引SNMPv1协议数据单元（续）Trap报文的协议数据单元格式企业代理地址变量绑定列表Trap类型特定代码时间戳SNMPv2c概述SNMPv2在v1的基础上进行了优化，主要体现在增加了两种协议报文提高了报文交互的效率支持更多的数据类型提供更丰富错误处理机制支持以多种协议传输支持分布式管理改进了管理信息结构SNMPv2c协议数据单元GetRequest、GetNextRequest、SetRequest、GetResponse、Trap和InformRequest报文的协议数据单元相同GetBulkRequest报文的协议数据单元如下图所示请求标识不重复个数变量绑定列表最大重复次数SNMPv3概述SNMPv3使用模块化的结构设计具备良好的可扩展性适用于不同的运行环境提供可选的安全模型传统的网络管理者和网管代理在SNMPv3的体系架构被称之为SNMP实体SNMP实体SNMP应用SNMP引擎命令产生器通告产生器通告接收器命令响应器代理转发器其他消息调度器消息处理子系统安全子系统访问控制子系统SNMP引擎SNMP引擎由消息调度器、消息处理子系统、安全子系统和访问控制子系统组成消息处理子系统安全子系统SNMPv3消息处理模型SNMPv2c消息处理模型SNMPv1消息处理模型其他消息处理模型基于用户的安全模型基于团体字的安全模型其他安全模型访问控制子系统基于视图的访问控制模型其他访问控制模型SNMPv3报文格式SNMPv3定义了全新的报文格式，但仍然沿用SNMPv2c的PDUmsgVersionmsgIDmsgMaxSizemsgFlagsmsgSecurityModelmsgAuthoritativeEnginelDmsgAuthoritativeEngineBootsmsgAuthoritativeEngineTimemsgUserNamemsgAuthenticationParametersmsgPrivacyParameterscontextEngineIDcontextNamePDU消息头安全参数数据加密域鉴别域SNMPv3的安全机制SNMPv3依靠两个模型保障其安全性，分别是基于用户的安全模型（USM）和基于视图的访问控制模型（VACM）USM用于提供认证和加密的服务，提供以下三个安全级别无认证无加密有认证无加密有认证有加密VACM用于控制用户访问MIB对象的权限SNMPv3安全机制基于用户的安全模型基于视图的访问控制模型认证加密基于用户的安全模型（认证）SNMPv3基于共享密钥使用单向散列算法为报文添加签名SNMPv3报文认证共享密钥安全参数MD5/SHAHASHMessageAuthenticationCode消息头msgAuthenticationParameters数据…………基于用户的安全模型（加密）SNMPv3基于共享密钥使用DES算法将报文的数据部分加密DES-KEY消息头msgPrivacyParameters加密后的数据…………安全参数saltEngineBoots随机数pre-IVDES-IV加密共享密钥明文数据取前8个字节取后8个字节加密共享密钥基于视图的访问控制模型基于视图的访问控制模型（VACM）用于检查网络管理者是否具有操做具体MIB对象的权限VACM引入了用户组的概念，MIB视图与用户组关联，而用户组又与用户关联，实现网管代理向不同的管理者提供不同的MIB访问权限用户组成员属性用户用户用户MIB视图安全级别VACM处理流程securityModelsecurityNameSecurityToGroupTablegroupNameContextTablesecurityModelsecurityLevelviewTypeAccessTableviewNamevariableName(OID)ViewTreeFamilyTablecontextNameVACM基于MIB实现细致灵活的访问权限控制，其处理逻辑如下图所示RMON概述远程网络监视（RMON）用于弥补SNMP协议在日益扩大的分布式网络中存在的局限性频繁的轮询带来额外的网络开销，可能引起网络拥塞原始信息的采集和处理集中在网管站完成，网管站的负担较重管理代理只负责收集网络设备本身的信息，缺乏监控设备间的活动或子网性能的手段RMONMIBRMONv1定义了9个MIB组，用于监控OSI模型中物理层和链路层的信息RMONv2在v1的基础上扩展了其中的几个组，并增加了一些新的MIB组，用于链路层以上的其他层次的监控RMON工作机制RMON可以使用两种方法收集数据第一种方法是将专用的RMONprobe（探测仪）放置在监控网段内收集数据，管理站直接从RMONprobe获取信息第二种方法是将RMONAgent直接植入网络设备，使它们具备RMONprobe的功能SNMP框架SNMP协议基础H3CiMC网管解决方案目录资源管理全面的基础资源管理更多的设备类型多厂家设备统一管理灵活快捷的自动发现算法直观的设备面板管理清晰的网络设备资产管理拓扑管理支持多种网络拓扑视图，可根据逻辑、物理、组织结构、地域情况，甚至楼层和机架的位置清晰灵活地绘制出客户化的网络拓扑IP拓扑二层拓扑全网拓扑数据中心拓扑自定义拓扑告警管理清晰直观的故障显示智能的告警关联和告警过滤智能的告警根源及影响度分析灵活的告警定义丰富的告警转发机制自动告警转储性能管理支持性能视图和性能报表等多种数据查看方式支持在拓扑图中自定义展示性能数据支持自定义监视实例和性能阈值配置和软件管理资源化的配置和软件管理设备配置变更审计批量设备配置备份和恢复可靠的设备软件升级智能的配置合规性检查终端准入管理