简单网络管理协议与远程网络监视PPT课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,简单网络管理协议与远程网络监视,简单网络管理协议（,SNMP,）是,Internet,中基于,TCP/IP,的网络管理协议。,SNMP,的推出，由于其简单性、实施容易和应用成本低廉等特点，而受到业界许多厂家的广泛支持，现已成为事实上的标准。,本章主要从,SNMP,的体系结构、管理模型、工作机制、协议操作等方面介绍,SNMP,的有关理论知识，同时简单介绍远程网络监视,RNOM,方面基本概念。,SNMP,概述,1 SNMP,的发展历史,2,基本体系结构,3 SNMP,操作,4,SNMP,的工作机制,SNMP,的发展历史,简单网络管理协议（,SNMP,，,Simple Network Management Protocol,）诞生于,1988,，那时由于,CMIP,迟迟不能成熟并应用于网络管理，,Internet,体系结构委员会（,IAB,）在原有简单网关监控协议（,SGMP,）的基础上进一步修改后提出了,SNMP,。,SNMP,的最初版本是,SNMPv1,，,SNMPv1,存在两方面的问题：,一是安全，,SNMP,只定义了安全性极为有限的基于共同体名授权使用的安全模型；,二是管理信息的可靠传输问题，由于,SNMPvl,是在,UDP,上实现的，而,UDP,并不保证所有报文都能够正确传送。,增强的,SNMPv2,使该协议更加高效，同时还保持了它容易实现和成本低廉的特点，,SNMPv2,可以与,SNMPv1,透明地共存，它在性能、管理进程与管理进程通信方面对,SNMP,进行了改进，如减少了,SNMP,业务流、允许大块数据的传送、添加了一个用于高速网络环境下的,64,位计数器；对基于,Novell IPX,，,Apple Talk DDP,和,OSI,的,SNMP,作了映射；但在安全性方面仍未能达到令人满意的结果。,1998,年,1,月产生了,SNMPv3,管理控制框架，它由,RFC2271,2275,等几个文档共同说明，形成了,SNMPv3,的建议。,SNMPv3,在保持,SNMPv2,基本管理功能的基础上，增加了安全性和管理性描述。,另外，,SNMP,最重要的进展是远程监控（,RMON,）能力的开发。,RMON,为网络管理者提供了监控整个子网而不是各个单独设备的能力。,RMON,还对基本,SNMP MIB,进行了扩充。,基本体系结构,1,SNMP,管理模型,2.SNMP,中的元素,SNMP,体系结构由管理站、代理、管理信息库（,MIB,）和通信协议,SNMP,构成。,3,委托代理,SNMP,操作,管理信息的交换通过,GetRequest,、,GetNextRequest,、,SetRequest,、,GetResponse,、,Trap,共,5,个,SNMP,协议操作进行。,其中前三个消息由管理站发给代理用于请求读取或修改管理信息，后两个消息由代理发给管理站。,GetResponse,用于对各种读取和修改管理信息的请求进行应答；,Trap,用来主动向管理站报告代理系统中发生的事件，如节点机分组队列长度超过阈值，接口链路,up,或,down,等。,Get Next Request,Trap,e,网络访问协议,IP,UDP,SNMP Manager,管理应用,管理站,Get Request,Set Request,Trap,Get Response,网络访问协议,IP,UDP,SNMP Manager,管理对象,代理站,Get Request,Set Request,Get Response,MIB,库,Get Next Request,Get Next Request,SNMP,消息,管理应用对象,通信网络,Trap,SNMP,的工作机制,在通信网管理过程中，用来使管理信息库与实际设备或设施的状态和参数保持一致的方法主要有两个。一个是基于中断的事件驱动方法，另一个是轮询驱动方法。,基于,SNMP,的通信,1,对象访问策略,2,实例标识符,3,报文的发送与接收,4 SNMP,报文格式,5 SNMP MIB,组,6,SNMP,的改进,对象访问策略,在基于,SNMP,的网络管理中，,SNMP,通过共同体（,Community,，也有地方称为团体）的概念来解决访问策略问题。,共同体是,SNMP,体系中的一中安全机制，它是一个在代理中定义的本地的概念。通过定义共同体，代理系统就可以限制只有一些选定的管理站才能访问它的,MIB,对象。同时，通过使用多个共同体，代理可以为不同的管理站提供不同的,MIB,访问类别。,每个共同体被赋予一个在代理内部唯一的共同体名（也叫团体名），该共同体名要提供给共同体内的所有的管理站，以便它们在,get,和,set,操作中应用。,一个代理可以与多个管理站建立多个共同体，同一个管理站也可以出现在不同的共同体中。,在,SNMP,中实行共同体机制可以达到一下目的：,1,认证服务,2,委托代理服务,3,访问策略,（,1,）,SNMP MIB,视图,（,2,）,SNMP,访问模式（方式）,MIB,视图和访问模式的结合被称为,SNMP,共同体轮廓（,profile,）。,事实上，在一个共同体轮廓之内，存在两个独立的访问限制，其一是,MIB,对象定义中的访问限制（参见第,3,章中有关,MIB,功能组及对象部分的内容）和,SNMP,访问模式。这两个访问限制在实际应用中必须相互协调。,MIB,访问方式与,SNMP,访问模式的关系,MIB,对象中定义的访问方式（模式）限制,SNMP,访问模式,Read-Only,Read-Write,Read-Only,可用于,get,和,trap,操作,Read-Write,可用于,get,和,trap,操作,可用于,get,，,set,和,trap,操作,Write-Only,可用于,get,和,trap,操作，但操作值与具体实现有关,可用于,get,set,和,trap,操作，但操作值与具体实现有关,Not-Accessible,不能使用,实例标识符,在,MIB,中的每个被管对象都有一个唯一的对象标识符，以区分不同的被管对象，其命名规则都是按照其所在,MIB,树上的层次和位置来决定。,在对,SNMP MIB,的访问中，实际上是对被管对象（叶子节点对象）实例的访问，而当在一个对象有多个实例时，例如表格，对象的标识符就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一标识方法，也就是实例标识符的命名方法。,实例标识符就是把列对象的对象标识符与索引对象的值组合起来而构成的。,报文的发送与接收,1,SNMP,报文的发送,（,1,）构成,PDU,；,（,2,）将构成的,PDU,、源和目的传送地址（,IP,地址及端口号）以及共同体名作为一个,ASN.1,的对象移交给认证服务。认证服务完成所要求的变换，例如进行加密或加入认证码，然后返回一个经过加密或认证的,ASN.1,对象；,（,3,）将版本字段、共同体名以及上一步的结果组合成为一个报文；,（,4,）用基本编码规则（,BER,）对这个新的,ASN.1,的对象编码，然后传给传输服务。,2,SNMP,报文的接收,（,1,）进行消息的基本句法检查，丢弃非法消息。,（,2,）检查版本号，丢弃版本号不匹配的消息。,（,3,）认证检查。如果认证失败，认证服务通知,SNMP,实体，由它产生一个,trap,并丢弃这个报文；如果认证成功，认证服务返回,SNMP,格式的,PDU,。,（,4,）进行,PDU,的基本句法检查，如果非法，丢弃该,PDU,，否则根据共同体名选择,SNMP,访问策咯，对,PDU,进行相应处理。,3,变量绑定,在,SNMP,中，可以将多个同类操作（,get,、,set,、,trap,）放在一个报文中。如果管理站希望得到一个代理的一组简单对象的值，它可以发送一个报文请求所有的值，并通过获取一个应答得到所有的值。这样可以大大减少网络管理的通信负担。,SNMP,报文格式,在,SNMP,管理中，管理站和代理之间交换的管理信息构成了报文。,报文由,3,部分组成，即版本号、团体名和协议数据单元（,PDU,）。,SNMP,共有,5,种管理操作，但只有,3,种,PDU,格式。,SNMP,报文格式,Version,Community,SNMP PDU,GetRequest,PDU,、,GetNextRequest,PDU,、,SetRequest,PDU,PDU,类型,请求标识,0,0,变量绑定表,GetResponse,PDU,PDU,类型,请求标识,错误状态,错误索引,变量绑定表,Trap PDU,PDU,类型,制造商,ID,代理地址,一般自陷,特殊自陷,时间戳,变量绑定表,变量绑定表,Name 1,Value 1,Name 2,Value 2,Name n,Value n,4.2.5 SNMP MIB,组,MIB-II,中的,snmp,组，其对象标识符为,mib-2 11,4.2.6 SNMP,的改进,SNMPv2,增加了,Manager-to-Manager,通信，对,SMI,进行了更新和扩充，提出了行的概念，支持表的行建立和删除操作。,还增加了,get-bulk-request,和,inform-request,两个非常有用的,PDU,，对,trap,进行格式改造，使其具有与其他,PDU,相同的格式。,SNMPv2,还对,MIB,进行很大扩充，特别是在,Internet,节点下增加了,snmpv2,模块。,SNMPv3,提出了一个面向各个版本的,SNMP,通用的体系结构。,每个实体包含一个引擎和若干应用，并由所包含的引擎的,ID,命名。,引擎由分发器、消息处理子系统、安全子系统和访问控制子系统构成。,实体内部子系统之间采用抽象服务接口来定义相互之间的服务关系。,SNMP,服务的请求者被称为,Principle,，即用户，它由具有安全性的名称标识。,SNMPv3,建议采用基于用户的安全模型（,USM,）来实现安全服务，采用基于视图的访问控制模型（,VACM,）进行访问控制。,SNMPv3,的一大进步是大大提高了管理信息访问的安全性。,4.3,远程网络监视,RMON,4.3.1,远程网络监视的需求,4.3.2,远程网络监视的目标,4.3.3 RMON MIB,4.3.4 RMON 2,网络管理技术的一个新趋势是采用远程网络监视（,RMON,Remote Network Monitoring,），它是对,SNMP,功能的扩充，对监测和管理交换或局域网特别适用，是简单网络管理向互联网管理过渡的重要步骤。,4.3.1,远程网络监视的需求,虽然,MIB,将数据的总和记录下来，但它无法对日常通信量进行历史分析。为了查看每天的通信流量和变化率，管理人员必须不断的轮询,SNMP,代理，可能每分钟就轮询一次。,网络管理员可以使用,SNMP,来评价网络运行状况，并预测通信的趋势，决定采取某种措施。,理论上讲，管理站可以通过不断地轮询各个节点的,MIB,来计算网络流量，但在实际上这是不太可行的。,一方面会导致网络中传递大量的管理信息，使网络不堪负荷；,二方面，将收集数据的负担加在网络管理控制台上（管理进程端）。管理站所在计算机的处理能力总是有限的，当监控十多个网段时，可能,CPU,就无法应付。另外，也会由于承载管理操作命令和操作结果的分组的丢失而使得统计结果不准确。,基于上述原因，人们提出了一种高效、低成本的网络监视方案，即,RMON,。,RMON,就是将一些专用设备配置在各个节点，并将这些设备称为网络监测器（,network monitor,或,probe,），由此便产生了,RMON,的概念。,一般，监测器对网络中各种类型的分组进行观察，从而得到网络的总体信息，监测器还可将一些分组存储下来，以备事后分析。在互联网环境下，为了达到监测网络流量的目的，一般每个子网需要一个监测器。监测器通常是一个独立的设备，专用于捕获和分析流量。,RMON,有许多先进之处：,（,1,）每个,RMON