第2章 设备管理协议.ppt

1、问题1.1，第2章，设备管理协议，日期：杭州华三通信技术有限公司保留所有权利。未经授权，不得使用、传播或引进。随着网络技术的飞速发展，网络的数量越来越多。然而，网络中的设备来自不同的制造商，因此如何管理这些设备变得非常重要。在管理网络设备的同时，还需要提高管理消息传输的有效性，降低网络管理工作站的负载，满足网络管理员监控网络性能的需求。除了网络和设备管理之外，在非安全网络上提供安全的远程登录和其他安全的网络服务已经成为人们关注的焦点。了解SNMP的基本组成和原理，了解管理信息库(MIB)的原理，了解不同版本SNMP的配置，了解RMON的原理和功能，了解SSH的工作原理，掌握SSH服务器和客户端

2、的配置，以及课程目标。学习完本课程后，您应该能够：第1节：SNMP协议第2节：RMON简介第3节：SSH协议、目录、网络管理模型、网络管理模型包括NMS、SNMP和DEV、NMS、DEV、MIB、SNMP、代理、网络管理功能规则、拓扑管理故障管理性能管理配置管理安全管理、拓扑管理、发现设备自动发现手动添加构建拓扑自动拓扑自定义拓扑、故障管理、 告警接收设备上报的陷阱信息被网管主动轮询，通知告警板，声光提醒和设备图标颜色变化被转发到Email、短信或其他网管故障处理，获取告警信息，分析告警故障排除，确认告警统计和查询(实时、当前和历史)告警删除和转储，性能管理，性能管理至少可以监控的指标：CPU

3、和内存利用率设备/接口流量设备/接口异常监控任务应设置特定任务的开始时间、结束时间和收集周期阈值。 报警报告统计和导出定期(每日、每周、每月和每年)和实时报告可以保存为文本、电子表格或超文本标记语言文件等。配置管理，图形化的业务配置模式取代了命令行界面，完成了设备业务配置、设备配置文件管理、设备配置文件备份和恢复等集中管理，配置文件基线管理、设备软件管理、设备软件配置管理的备份和批量升级都是通过厂商的私有MIB实现的，这些MIB一般互不兼容，管理安全，完成了网络管理本身的安全控制、用户操作权限设置、用户登录控制， 用户操作日志，管理信息库(MIB)是指被管理对象的信息集合，即管理进程可以查询和

4、设置的所有代理进程所包含的信息的集合。 管理代理通过管理信息库组织被管理对象，支持SNMP的网络管理软件只要获得设备的管理信息库，就可以通过SNMP协议管理设备。MIB存储在树结构中，树的叶节点用于表示管理对象，这些对象可以通过从根节点开始的无意义路径来识别。MIB结构，MIB-ii (1)，CCITT (0)，iso (1)，joint-iso-CCITT (1)，org (3)，DOD (6)，互联网(1)，目录(1)，管理(2)，实验(3)系统(1)，接口(2)，AT (3)，IP (4)，ICMP (5)，TCP (6)，UDP (7)，MIB库的组成，任何被管理的资源都表示为一个MI

5、B是被管理对象的集合。代理维护一个MIB库。您可以读取或设置MIB库中的对象。代理、MIB、SNMP、UDP、IP、MIB类型和实例标识、MIB变量分类：节点：MIB树中的每个对象都称为节点；叶节点：MIB树中没有子节点的节点称为叶节点。示例：对应于叶节点的对象实体。MIB示例，1，地址(1)130.89.16.2，信息(2)，名称(1)打印机-1，正常运行时间(2) 123456，地址：对象标识=1.1对象实例=1.1.0实例值=130.89.16.2名称3360对象标识=1.2.1对象实例=1.2.1.0实例值=打印机-1，MIB的值方法，根据对象进行排序时，MIB中有一个隐式排序规则、U

6、DP本地地址、UDP本地端口、SNMP是简单网络管理协议的缩写，简单网络管理协议是管理进程和代理进程之间的通信协议。管理进程和代理进程之间有两种通信方式。一种方法是，管理进程向代理进程发送请求，请求一个特定的参数值。另一种方式是代理进程主动向管理进程报告一些重要事件已经发生。简单网络管理协议简介，简单网络管理协议的基本组成部分，在简单网络管理协议中，有两种实体：NMS(网络管理站)和代理(代理)。向网络管理站发送陷阱消息，向代理发送请求消息，并向网络管理站发回请求消息、NMS网络管理站、代理代理、SNMP基本原理、版本=snmpv1社区名称=公共SNMP操作=获取、Getnext、Set、版本

7、=snmpv1社区名称=公共SNMP操作=获取响应、陷阱、IP网络、SNMP基本操作，SNMP协议中定义了五个基本消息：获取-请求：从代理进程中提取一个或多个参数值。get-next-request:从代理进程中提取一个或多个参数的下一个参数值。设置请求：设置代理进程的一个或多个参数值。Get-response:返回一个或多个参数值。此操作由代理进程发出。它是前三个操作的响应操作。陷阱：由代理进程发送的消息，通知管理进程发生了什么。SNMP消息的交互过程、UDP端口162、get-request、get-response、get-response、get-next-request、set-re

8、quest、trap、UDP端口161、UDP端口161、SNMP管理过程、SNMP代理过程、SNMP中的get操作、获取一个或多个变量的值。可能的错误代码：noSuchName:请求的变量不存在或不是叶节点。太大：请求的GetResponse PDU的大小超过了本地限制。泛型：所有其他错误、MIB、get-response、NMS、代理、在SNMP中执行get-request、Set操作，在表中分配现有变量或创建新实例。NMS可以一次创建或更改多个变量、MIB、response、NMS、代理、set-request、GetNext在SNMP中执行操作，以获取下一个MIB节点的实例名以及在取值

9、时可能出现的错误代码：nosuchname太大genericr、MIB、Get-response、NMS、代理、get-next-request、获取下一个操作示例，1， 地址(1)130.89.16.2、信息(2)、名称(1)打印机-1、正常运行时间(2) 123456、可路由、det (1)、下一个(2)、2、2、3、3陷阱接收无需确认且不完全可靠。MIB、陷阱、NMS、代理、SNMP、名称1、名称2、值1、名称n、PDU类型、错误索引、错误状态、请求id、版本、变量绑定、SNMP PDU、SNMP消息、值2、值n、变量绑定、团体、SNMP PDU、SMI和ASN.1、SNMP是应用层协议

10、，要求两端的协议实体交换各种消息。在简单网络管理协议中，采用抽象语法注释1语法。管理信息结构是SNMP的另一个重要组成部分。SMI标准指出，所有的MIB变量必须由抽象语法符号ASN.1定义。这种符号使数据的含义没有任何可能的歧义。ASN.1的要点包括标识符(即值名或字段名)、数据类型名和模块名，它们由大写或小写字母、数字和连字符组成。标识符的第一个字母是小写的，后面是数字、连字符和一些大写字母，以提高可读性。ASN.1固有的数据类型都由大写字母组成。用户定义的数据类型名称和模块名称的第一个字母应该大写，并且至少应该有一个非大写字母。多个空格或空行被视为一个空格。注释以两个连字符(-)开始，以另

11、外两个连字符或行尾结束。ASN.1的基本编码规则ASN.1规定，所有类型的数据值都通过所谓的TLV方法进行编码，该方法将所有类型的数据元素表示为由以下三个字段组成的八位字节序列：t字段，即用于标识标记的标识符八位字节。l字段，即长度八位字节，用于标识后面的v字段的长度。v字段，即内容八位字节，用于标识数据元素的值。ASN.1基本编码规则示意图，t(标签)标识符八位字节，l(长度)长度八位字节，v(值)内容八位字节，类别，P/C，标签编码，1，5，6，7，8，4，3，2，比特，SNMP的发展，SNMP的发展经历了三个版本：SNMPv1 SNMPv2 SNMPv3 SNMPv1 v3，SNMPv1

12、是最早的版本，易于实现。SNMPv2是基于SNMPv1的改进版本。SNMPv3是基于SNMPv1/v2的改进版本。SNMPv1的缺点，SNMPv1的严重安全问题，带宽的浪费，管理人员没有相互通信的能力，只提供有限的操作，只定义有限的错误代码，没有统一的表访问机制，SNMPv2扩展了SNMPv1，在SNMPv2中定义了GetBulk操作，使得网络管理程序可以一次获得表中的大量数据。GetBulk操作是GetNext的扩展。一个GetBulk操作相当于多个GetNext操作，可以一次获得大量的值，有效减少网管站和被管理设备之间的通信次数，提高网络性能。注：在实际应用中，我们提到的SNMPv2通常是

13、指SNMPV2C(在RFC1901-RFC1908中定义)。本文以SNMPv2c为代表来解释snmpv2。GetBulk PDU格式、PDU类型、非重复项、请求id、变量绑定、最大重复次数、非重复项指示变量绑定字段中索引不超过一次的变量数量，当某些表格对象只有一个变量时使用该字段。最大重复次数定义了除非重复字段之外的变量被索引的最大次数。SNMPv2c提供了更丰富的错误代码，PDU类型，0，0，请求id，变量绑定，PDU类型，错误索引，错误状态，请求id，变量绑定，用来解释报纸的错误原因。指出变量绑定对中的哪个参数是错误的、SNMP请求消息、SNMP响应消息以及SNMPv2和SNMPv1之间的

14、兼容性。要实现它们之间的互联，至少要考虑两个方面：管理信息库：SNMPv2和SNMPv1的管理信息库有很多不同之处。为了将SNMPv1的MIB模块转换为SNMPv2的MIB模块，必须考虑以下几个方面：对象的定义、陷阱的定义、一致性声明和代理能力声明。协议操作：SNMPv2的协议操作增加了一个新的类型，消息格式与SNMPv1不同，它还具有SNMPv1所没有的安全特性。实现兼容性有两种方法：一种是代理转换器，另一种是“双协议管理器”方法。为什么提出SNMPv3，以及为了改善SNMPv1/v2c的安全缺陷，提出了基于社区名称的有限安全机制。如果社区名称以明文形式传输，入侵者很容易通过数据包抓取工具获取SNMPv1/v2c消息。SNMPv1/v2c不支持加密，这限制了SNMP在不完全信任的网络中的使用。SNMPv3在继承SNMPv2c的基础上提供身份验证、加密和访问控制。SNMPv3认证机制，基本原则双方共享一个私钥，发送方使用该密钥创建一个消息认证码(MAC)。接收方使用认证密钥