协议原理ISSUE101229A

HUAWEI TECHNOLOGIES CO., LTD.All rights reservedInternal DP500028 SNMP协议原理ISSUE 1.0HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 2学习此课程，您将会：了解网络管理的基本架构了解MIB的基础知识掌握SNMP的基本原理掌握SNMP的基本配置HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 3第第2章章MIB简介简介第第3章章SNMPv1第第4章章SNMPv2c第第5章章SNMPv3第第6章章SNMP基本操作基本操作第第7章总结与回顾章总结与回顾HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 4 网络管理所面临的挑战l网络和分布式处理系统的快速发展与大规模的应用网络及其相关资源和分布式应用程序变得越来越重要 例如：Clearcase, Notes, Mail 健壮的，能提供7X24小时的服务网络变得越来越复杂，支持更多的应用程序和用户 更容易出现问题，发生故障l网络管理已成为网络解决方案中重要的一部分花费最少：人力，设备，资金提供更智能的网络管理服务HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 5 网络管理的现状l在一个大型的网络里，我们无法仅依赖人手工来完成整个的网络管理的工作迫切的需要一种自动化的工具协助我们管理好网络需要管理的设备和资源很可能来自于不同的厂商 如果每个厂商都提供一套独立的管理接口 比如，命令行（Command Line Interface） 学习各种厂商工具的培训费用开销激增 受限于厂商专有的配置管理工具l一套覆盖服务，协议和管理信息库的标准孕育而生，并且迅速得到了广泛的应用Simple Network Management ProtocolHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 6 基于SNMP网络管理模型HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 7 网络管理站 (Network Management Station）l通常是一个独立的设备，运行着网络管理的应用程序提供一个非常友好的人机交互界面，网络管理员能通过它完成绝大数的网络管理工作提供失效管理，安全管理，计费管理，配置管理，性能管理等功能HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 8代理器（Agent）lAgent是驻留在被管理设备一端负责接受、处理来自网管站的请求报文，并形成响应报文，返回给NMS 请求包括：信息的查询和动作的执行在一些紧急情况下，主动通知NMS（发送陷阱TRAP报文） 如接口状态发生改变，呼叫成功等NMS和Agent之间通过SNMP协议来交互管理信息HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 9网络管理协议-SNMPl是一个基于TCP/IP网络的应用层协议，用于在网络管理站和被管理的设备之间交换网络管理信息SNMPv2可以在多种传输协议IPX，DDP等上使用lHuawei-3com VRP平台支持以下三个协议版本：SNMPv1SNMPv2cSNMPv3l后面部分会对协议进行具体讲解HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 10管理信息库（Management Information Base）l任何一个被管理的资源都表示成一个对象，称为被管理的对象lMIB就是一个被管理的对象的集合lAgent都会维护一个MIB库l可以对MIB库中的对象进行读取或设置HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 11第第1章网络管理体系架构章网络管理体系架构第第3章章SNMPv1第第4章章SNMPv2c第第5章章SNMPv3第第6章章SNMP基本操作基本操作第第7章总结与回顾章总结与回顾HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 12管理信息库（Management Information Base）lMIB是一个被管理对象的集合，它将定义被管理对象的一系列的属性：对象的名字（Object IDentifier）对象的访问权限对象的数据类型l管理信息结构（Structure of Management Information ）中规定了被管理对象应该如何的组织和定义SMIv2 (RFC2578)SMIv1 (RFC 1155)HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 13MIB结构lMIB是以树状结构进行存储的树的节点表示管理对象，它可以用从根开始的一条路径来无二义的识别：OIDHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 14OIDl唯一的标识一个MIB库中的对象OID分配机制，保证OID不会冲突lOID是由一些系列的整数组成，标明节点在MIB树中的位置lMIB一旦发布，OID就要和被定义的对象进行绑定MIB节点不能被删除，只能将它的状态置为“obsolete”不赞成对MIB节点的反复变更HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 15MIB 举例HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 16MIB 举例Address:Object ID = 1.1Object Instance = 1.1.0Value of Instance = 130.89.16.2Name:Object ID = 1.2.1Object Instance = 1.2.1.0Value of Instance = printer-1HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 17SMIv1 & v2支持的数据类型 HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 18第第1章网络管理体系架构章网络管理体系架构第第2章章MIB简介简介第第4章章SNMPv2c第第5章章SNMPv3第第6章章SNMP基本操作基本操作第第7章总结与回顾章总结与回顾HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 19SNMPv1Version = SNMPv1Community Name = “Public”SNMP Operation = Get，Getnext，Setversion = SNMPv1Community Name = “Public”SNMP Operation = GetResponse, TrapHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 20团体名(Community Name)l团体是由Agent和若干个网络管理站应用程序组成l每个团体通过团体名即一个字符串来区别l团体名实际上是一个相关权限的密码可以访问哪些节点访问的类型（读/设置）lSNMPv1使用团体名来进行安全机制管理HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 21SNMP协议综述 manager agent manager agent manager agent manager agent getMIBresponsegetnextMIBresponse setMIBresponse MIBtrapHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 22SNMPv1消息格式HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 23SNMPv1-Get操作l获取1个或多个变量的值l可能出现的错误码：noSuchName: 被请求的变量不存在或者它不是一个叶子节点tooBig：请求的GetResponse PDU的大小超出本地的限制GenErr： 所有其他的错误HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 24SNMPv1-Set操作l给一个已经存在的变量赋值或者在表中创建一个新的实例l可能出现的错误码：noSuchName tooBiggenErrbadValueHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 25SNMPv1-GetNext操作l获取下一个MIB节点的实例名和取值l可能出现的错误码：noSuchName tooBiggenErrHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 26SNMPv1-GetNext操作l注意：getNext要按字典序进行排列HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 27SNMPv1-Trapl向指定的管理站报告某个事件的发生lTrap接受是无需确认的不是完全可靠的HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 28SNMPv1演示l基本的SNMP配置 snmp-agent community read public snmp-agent community write private snmp-agent sys-info version v1lSystem，ifTable表进行get,getNext,set操作llinkUp和linkDown报文 snmp-agent trap enable standard snmp-agent target-host trap address udp- domain 1.1.1.1 params security publicHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 29第第1章网络管理体系架构章网络管理体系架构第第2章章MIB简介简介第第3章章SNMPv1第第5章章SNMPv3第第6章章SNMP基本操作基本操作第第7章总结与回顾章总结与回顾HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 30SNMPv2cl在继承了SNMPv1的基础上，增加了：SNMPv2c支持更多的操作 getBulk informRequest (确认的Trap)SNMPv2c支持更多的数据类型 Counter64, Counter32等 V1 不能获取Counter64类型的节点值SNMPv2c提供了更丰富的错误处理多种协议的传输支持lSNMPv2c也是基于团体名的安全机制HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 31getBulk 操作l是getNext的延伸，一个getBulk操作等价于多次执行getNext操作l能一次获取大量的值，有效地减少网络管理站和被管理设备的通信次数，提高网络性能lgetBulk请求报文中增加了2个参数non-repeatersmax-repetitionsHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 32getBulk 操作l对于变量绑定对中前non-repeaters个变量当作普通的getNext报文来处理l而对于其余的变量当作重复max-repetitions次的gextNext报文处理l例如，getBulk请求报文中： non-repeators = N max-repeatitions = M 响应报文中最大的变量绑定个数 = N + (M * R) 其中R等于getBulk请求报文变更绑定个数减去NHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 33getBulk 举例getBulk( non-repeator = 1; max-repetitions = 2; 1.1; 1.3.1.2; 1.3.1.3)response( 1.1.0 = 130.89.16.2; 1.3.1.3 = 3; 1.3.1.5 = 2； 1.3.1.5 =2; 1.3.1.7 =2 )HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 34SNMPv2c提供更丰富的错误码用于说明报文错误原因指名变量绑定对中第几个参数出错HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 35SNMPv2c提供更丰富的错误码HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 36第第1章网络管理体系架构章网络管理体系架构第第2章章MIB简介简介第第3章章SNMPv1第第4章章SNMPv2c第第6章章SNMP基本操作基本操作第第7章总结与回顾章总结与回顾HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 37为什么会提出SNMPv3？l1998年提出,2002年形成了一套正式的标准l是为了改进SNMPv1/v2c在安全性方面的缺陷基于团体名(community name)的有限的安全机制 团体名是明文传输，入侵者很容易通过抓包工具来获取报文不支持加密限制了SNMP在非完全信任的网络中的使用lSNMPv3在继承了SNMPv2c的基础上，提供认证加密访问控制HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 38SNMPv3 基于用户的安全模型(User-Based Security Model)l基于用户的安全模型(User-Based Security Model)提供了认证(Authentication)和加密(Privacy)的功能定义了3个安全级别： 无认证无加密 (noAuthNoPriv） 有认证无加密 (authNoPriv) 有认证有加密 (authPriv) 注意：不存在无认证有加密(noauthPriv),因为加密所使用的密码必须与用户相关联HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 39SNMPv3 基于用户的安全模型 认证l认证机制确保管理站和Agent之间的通信是可信的Agent收到的请求报文是报文中所声明的管理站发送的管理站接收到响应报文是它所希望的目标Agent所响应的保证消息的完整性，在传输过程中没有被篡改l通过时间窗的机制，防止重放l认证协议：HMAC-MD5或者HMAC-SHAHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 40SNMPv3 基于用户的安全模型 认证l基本原理双方共享一个私有密钥，发送方使用此密钥来创建一个Message Authentication Code（MAC）接收方使用认证密钥来计算出此MAC，如果与发送方的MAC互相匹配，该消息就通过了认证HASH FUNCTIONKEYMACDATAUSERMACDATAHASH FUNCTIONKEYMACDATAUSERMACDATA=?HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 41SNMPv3 基于用户的安全模型 加密l加密范围：消息报文中PDU部分l加密协议：CBC-DESHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 42SNMPv3 安全访问控制(View-Based Access Control Model)l安全访问控制可以使Agent对不同的管理者提供不同的管理信息库访问权限限制访问MIB库信息的访问视图限制访问MIB库信息的操作类型HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 43SNMPv3 安全访问控制(View-Based Access Control Model)HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 44SNMPv3 配置举例lscarlet 是v3的一个用户，她的安全级别为authPriv，她属于huawei-3com组，她有权限对MIB-2中的非atTable内的节点进行读或写HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 45第第1章网络管理体系架构章网络管理体系架构第第2章章MIB简介简介第第3章章SNMPv1第第4章章SNMPv2c第第5章章SNMPv3第第7章总结与回顾章总结与回顾HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 46MIBBrowser（编译MIB）菜单：1.选择mib文件(可一次选择多个mib文件)2.编译mib文件(可一次编译多个mib文件)3.查看编译信息,确保编译ok4.弹出编译后的模块保存框5.Mib文件所在目录无汉字无空格6.模块间依赖关系编译信息：HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 47MIBBrowser（MIB装载）菜单装载操作HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 48MIBBrowser（参数配置）菜单配置窗口（不能修改Agent Address）：修改Agent Address:HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 49MIBBrowser（参数配置V1/V2）1、协议：SNMPV12、Port Number：SNMP的端口号，默认1613、Read Community：只读团体字默认public4、Write Community：读写团体字默认private5、Timeout：超时时间，默认5s6、Retries：重试次数，默认47. GetBulk参数：a. Non Repeaters：不重复的索引，默认0b. Max Repetitions：最大重复次数，默认10HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 50MIBBrowser（参数配置V3）1、配置用户：用户属性：User Name：用户名称Auth Protocol：验证协议（md5，sha）Priv Protocol：加密协议（des，idea）Auth Pass：验证密码Priv Pass：加密密码HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 51MIBBrowser（MIB操作）MIB Browse操作：1、Contact：检测一下是否可以和代理联系上，取代理sysoid的值。2、 Walk：对选中节点下的子树进行遍历操作3、 Get：使用选中MIB节点的OID向代理发送Get操作。对父节点无效4、 GetNext：使用选中MIB节点的OID向代理发送GetNext操作5、 Get Bulk：使用选中MIB节点的OID向代理发送GetNext操作6、 Set：发送Set操作。对父节点无效7、 Table View：查看表信息，针对表节点和表的父节点有效8、 Find：在MIB树中查找一节点9、 Properties：查看MIB节点属性HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 52Quidview DM (参数配置)SNMPv1/v2配置SNMPv3配置HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 53Quidview DM (打开设备)菜单1.输入设备IP2.选择SNMP配置3.双击设备树中的所选设备4.颜色变绿为ok，否则FailHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 54Quidview DM (操作)选择要操作的对象对对象进行snmp操作1.注意Quidview与mib browse的区别2.在Quidview中浏览、刷新等查看操作将涉及到get/getnext操作;配置和修改涉及到set操作;trap操作在DM中体现不出来3.DM中不能接收Trap报文，只有在NMF中才能接收到。HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 55Quidview DM (操作验证)请求报文应答报文1.使用抓包工具验证snmp基本操作：get/getnext/set/trap2.get/getnext/set请求报文中,源端口任意,目的端口161,应答报文中,源端口161,目的端口任意3.Trap报文,源端口任意,目的端口162.抓包工具NetWizardHUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 56第第1章网络管理体系架构章网络管理体系架构第第2章章MIB简介简介第第3章章SNMPv1第第4章章SNMPv2c第第5章章SNMPv3第第6章章SNMP基本操作基本操作HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 57SNMPv1，v2 & v3 总结HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 58 简单网络管理协议 (Simple Network Management Protocol)l简单（simple）开销很小，设备厂商可以很容易地将SNMP Agent植入他们的产品中，路由器，交换机，打印机，PC机等大部分的工作放到网络管理应用程序来处理l灵活的可扩充性厂商可以很轻松地添加一些网络管理功能l广泛地应用SNMP已成为一项成熟的技术得到了广泛的实施和应用HUAWEI TECHNOLOGIES CO., LTD. All rights reservedPage 59SNMP与命令行比较lSNMP提供了一个统一的编程接口，可以容易地进行二次开发，而命令行只是人机交互界面lSNMP的开发测试维护成本要远高于命令行复杂的SNMP SET的状态机（state machine）字典序的额外开销谢谢