第9章 简单网络管理协议.ppt

1、网 络 协 议 分 析（TCP/IP）第9章 简单网络管理协议,要求： 1.了解网络管理的需求 2.掌握SNMP标准的框架及组成部分 3.理解ASN.1在SNMP中的使用 4.掌握MIB对象的命名方式 5.掌握SNMP协议报文格式及SNMP协议中的五种交互报文 6.了解用WinSNMP等进行程序设计的方法,一、引言,1. 网络管理需求FCAPS （有效管理） F故障管理：检测、定位和排除网络硬件和软件中的故障。 C配置管理：掌握和控制互连网络的状态，包括互连网络内各设备的状态及其连接关系。 A帐务管理：度量各个端用户和应用程序对网络资源的使用情况。 P性能管理：监测网络运行的关键参数，并指出网

2、络中哪里的性能可以改善以及如何改善。 S安全管理：对网络资源及其重要信息访问的约束和控制。,2. SNMP说明,（1）SNMPCMIPTMN SNMP：TCP/IP下的网络管理框架。它遵循对管理的系统带来的影响最小原则，简单、轻便、容易部署，称为网络管理的实际标准 CMIP：（公共管理信息协议）OSI下的网络管理框架（http:/www.iso.ch)，该标准功能完备，但体系庞大，没有成为标准。 TMN：（电信管理网） 电信网络管理标准（http:/www.itu.ch），不做讨论。 说明：网络管理论坛（）,（2） SNMP包含的组件,MIB：管理信息库 SN

3、MP通信协议 SMI:管理信息结构,3、 SNMP参考模型,1、网络管理者,网络管理者包括四个组件 （1）NMS :网络管理站（与被管网络实体通信的进程） （2）NMS的MIB （3）网路管理应用（将获取的管理数据转换为用户可用信息） （4）用户界面（将管理参数以直观的方式展现给用户）,2、被管网络实体,是具有MIB库的网络设备，有两个关键部件： （1）代理进程 （2）代理进程的MIB 3、SNMP通信协议,二、SNMP发展历史,SNMPv1：获得了广泛应用。1988年8月发布，其中的SMIMIBSNMP通过三个核心规约发布RFC106510661067，采用非常简单的口令认证，口令明文传输。

4、 SNMPv2：1992年7月，相继发布，针对v1的安全差的缺点，引入了密码技术提高通信安全。基本没有应用。 SNMPv3：1998年1月发布，相应规约RFC2271-2275，采用了安全技术，同时引入了基于用户管理框架和基于视图的访问控制机制。新兴的标准，期待成为新一代安全的网络管理标准。 三个版本的变化主要体现在SNMP协议的变化，SMI和mib只是做了内容的扩充。,三、管理信息库MIB,管理信息库包含所有可以被SNMP管理的对象集合，包括设备的名字、类型、物理接口信息、路由表、ARP缓存等。这些对象反映了设备的属性。将一个网络中所有设备包含的对象属性进行汇总，就可以得出整个网络的属性及运

5、行状态。 被管网络实体两个关键组件：代理进程及管理信息库示意图。,1、管理对象注册树,管理对象注册树：定义了可以由SNMP管理的对象的集合。管理对象包括： 由IETF工作组定义的标准对象 各大学和研究机构为实验建立的对象 各厂商和其他团体所定义的专用对象 为确保对象的唯一性，用树形结构的组织，ISO/CCITT命名注册树给出SNMP MIB的三个主要分支。CCITT0ISO1joint-iso-ccitt2.具体如下图。 MIB-II是由RFC1213定义，其名称为“基于TCP/IP的Internet网络管理信息库：MIB-II” MIB-II前缀：.2.1,管理对象注册树,3、

6、管理对象访问约束,管理者对于每个对象的访问都不是随意的，下图列出了每个对象的访问方式： RO RW WO NA,2、管理对象的命名,管理对象的命名称为OID(Object identifier)。有两种命名方式： （1）字符命名方式(name) MIB-2的对象名： Iso.identified-organization. ernet.management.mib-2 （2）数字命名方式(OID) Mib-2的对象名：.2.1,4. MIB-II子树(对象组),1. 系统组（system） 用来描述被管网络设备的特性和通用配置信息。 2. 接口组(interface

7、) 对网络接口层的管理控制。 3. 地址转换组 (address translation) 提供IP地址到物理地址之间的映射。 4. 网际协议组(ip) 提供IP层的相关信息。 5. Internet控制报文协议组(icmp) 包括ICMP报文的输入和输出统计量。,MIB-II子树(续),6. 传输控制协议组(tcp) 用于搜集TCP连接的统计量。 7. 用户数据报协议组(udp) 包括UDP的统计量和运行信息。 8. 外部网关协议组(egp) 包括外部网关协议所需的管理对象。 9. 传输组(transmission) 各种物理网络相关的管理信息。 10. SNMP组(snmp) 用于SNMP

8、协议自身的管理。,MIB-II子树(续),四、SNMP通讯协议,上一部分讨论的管理对象，管理对象是存放在MIB中，对管理对象的管理是通过snmp协议完成的，管理的过程就是利用SNMP读取和更改对象的取值并进行分析的过程。 功能：网络管理站与被管网络实体之间的通信协议,1、访问控制机制(认证和授权),通过SNMP可以读取和更改设备信息，所以要进行访问控制，包括认证和授权，认证是识别身份，授权是赋予访问权限。 SNMPV1的认证简单，就是通过团体名，实际就是明文口令。通常，将读对象的口令默认为“public”，更改对象的默认口令设为“private”。,SNMPv1认证步骤：,代理进程接收到命令，

9、检查共同体字段，并将这个字段与存储在自己配置中的共同体名字与接收到的报文中的共同体名字进行字符串比较； 若比较一致，则认为报文可信，进行下一步处理； 若比较结果不一致，则接收到的报文被丢弃。,视图：每个共同体成员保存的可供其它成员访问的对象组。 对视图的两种访问方式： 只读方式 读-写方式 MIB中给对象定义的访问方式： 只读 读写 只写 不可访问,基于视图的授权机制,说明,Get:读取单个变量的值 Get-next：读取表格变了的值 Set：snmp中的写操作 Trap：被管理者在发生故障时主动向管理者发送的通告信息。,2. SNMP报文格式, 版本号 为SNMP的兼容性设置，SNMPv1时

10、取0。若接收到的报文版本号不正确就丢弃报文。 共同体名 字符串，包含了鉴别所用的共同体名字。 2.报文分类(PDU类别) GetRequest-PDU GetNextRequest-PDU GetResponse-PDU SetRequest-PDU Trap-PDU,PDU格式, Request ID请求标识 整数。 作用：匹配查询数据和回应数据； 防止重复和乱序。 Error Status错误状态 只在GetResponse-PDU中使用，指出上个命令的执行情况。若不为0，则表示发生差错。 Error Index错误索引 指向在变量绑定表中第一个导致错误的变量。, VarBindList变

11、量绑定表 请求操作的管理对象实例列表。,对象标识字段： 请求操作时写入。 值字段： 若是SetRequest-PDU，则请求操作时写入；否则是在回应时写入。,3、请求相应报文说明, GetRequest-PDU 功能：对被管对象的某个实例值进行写操作。 回应：GetResponse-PDU。 GetNextRequest-PDU 作用：网络管理站从目标代理进程的MIB中提取已知表格管理对象实例的值。 响应：GetResponse-PDU, GetResponse-PDU 功能：被管网络实体对网络管理站的回应。 SetRequest-PDU 功能：对被管对象的某个实例值进行写操作。 回应：Get

12、Response-PDU（发生错误时）。 Trap-PDU 功能：代理进程向网络管理站报告异常事件。,请求相应报文说明（续）,4、SNMP的端口使用,SNMP是应用层协议，使用UDP传输 端口号： 161：被管网络实体开放的端口，接收管理站的读写信息； 162：管理站开放的端口，接收被管实体的Trap信息。,五、SMI：管理信息结构,SMI定义了SNMP标准所需的信息组织和表示方法，提供了MIB对象的标准描述方法。简而言之，SMI就是标准的语法规则。 使用SMI定义SNMP管理对象 对象的三个属性 名字 每一个对象都有一个唯一的标识符作为其名字。 语法 每一个管理对象的抽象数据结构用ASN.1

13、来定义。 编码 管理对象的实例也用ASN.1编码，发送和接收的包含管理对象值的协议报文用BER表示。,1、 抽象标记语法（ASN.1）,说明： 不是SNMP特有的东西，是SNMP采用的现有的标准。 1. 缩写 Abstract Syntax Notation One。 （ISO 8824） 2. 功能 表示数据的标准方法。 描述SNMP报文 描述对象本身,ASN.1的数据类型,既然是语法规则，就必须定义数据类型，三种数据类型。 简单类型（interger、octet string、object Identifier） 简单结构类型（sequence、sequenceof） 应用类型 Ip Ad

14、dress、network address、counter Gauge、TimeTicks、opaque,ASN.1数据类型,（2） 简单结构类型： 列表（list）+ 表格（table）,（1） 简单数据类型：所有实现中都共有和必须具有的基本数据类型。,(3) 应用数据类型 （专门为SNMP定义）,2、基本编规则（BER）ISO 8825,功能：说明了数据如何编码成字节并在互连网上传输。（最高比特是网络传输的第一个字节） SNMP用BER规定了SNMP报文的编码方式，报文的每个字段都被编码为TLV3元组：标签-长度-内容 （1）.标签（8比特、1字节）（P221),（2）长度标识符（字节数不

15、定）,F比特：短/长指示位。 F = 0，短限定格式。低7位是长度。用一个字节表示长度， F = 1，长限定格式，低7位是后面紧接的长度字节的数目。用多个字节表示长度。,（3）内容,是真正的数据部分，具体内容随不同的应用而不同。,3. MIB对象定义格式,（1）. 顶级管理对象模板,OBJECT： 对象描述符 对象标识符 SYNTAX： 对象抽象数据结构的ASN.1语法 ACCESS： 对象的访问方式 STATUS： 该对象是必备的、可选的或者废弃的 DEFINITION： 对象的描述,4. 使用ASN.1编码的SNMP报文格式,整个报文以及报文中 的每个字段都被编码 为TLV三元组形式,六、

16、 SNMP 程序开发,在Windows下实现SNMP程序的方法 （1）使用Winsock2编程接口，使用161和162端口，在161和162端口使用UDP实现； （2）利用WinSNMP API （3）利用SnmpSharpNet（C#） （4）利用Net-snmp（unix平台）,WinSNMP以函数的形式封装了SNMP协议的各部分，提供了一套可供在Windows下开发基于SNMP的网络管理程序的接口，简化了SNMP程序开发过程。 目前支持SNMPv1和SNMPv2。,WinSNMP简介,附：SNMP配置,ASA防火墙配置举例： snmp-server host inside 192.168

17、.40.47 community testsnmp snmp-server location cisco snmp-server contact cisco snmp-server community testsnmp snmp-server enable traps,路由器配置举例,Snmp-server start(开启 没有此命令) snmp-server contact cisco snmp-server location cisco snmp-server community public ro snmp-server community private rw snmp-server

18、 enable traps Snmp-server enable informs snmp-server host private snmp-server host public Snmp-server host informs private version 2c snmp-server trap-source ip-address No snmp-server,附：安全问题,在内部网络的路由器上，应该编写一个ACL，只允许某个特定的可信任的SNMP管理系统操作SNMP。例如，下面的ACL只允许来自（或者走向）SNMP管理系统的SNMP通信，限制网络上的所有其他SNMP通信： access-list 100 permit ip host w.x.y.z any access-list 100 deny udp any any eq snmp