简单网络管理协议透视.pdfVIP

简单网络管理协议透视 刷钻代码 / 简单网络管理协议透视—从SNMPv1到 SNMPv3 ： 简单网络管理协议（SNMP）是目前TCP/IP网络中应用最广 泛的网络管理协议，是网络管理事实上的标准。它不仅指简单 的网络管理协议本身，而且代表采用SNMP协议的网络管理框 架，经历了从SNMPv1到SNMPv3的发展历程，本文将从下面几个 方面探讨其演变过程。 SNMPv1管理模型 SNMPv1管理模型包括四个关键元素：管理站、管理代理、 管理信息库、管理协议。下图显示了上述四个元素的关系。 1、管理站 管理站是网络管理员与网络管理系统的接口，它实际上是 一台运行特殊管理软件的计算机。管理站运行一个或多个管理 进程，它通过SNMP协议在网络上与代理通信，发送命令并接收 代理的应答。管理站通过获取 MIB 对象的值来实现网络资源监 视，也可以通过修改特殊变量的值来使代理执行一个动作或修 改资源的配置。许多管理站的应用进程都具有图形用户界面， 提供数据分析、故障发现的功能，网络管理者能方便地检查网 络状态并在需要时采取行动。 2、管理代理 网络中的主机、路由器、网桥和交换机等都可配置SNMP, 成为管理代理，以便管理站对它进行管理。每个代理负责维护 本地 MIB 来存放被管资源的状态、运行情况等，对来自管理站 的信息查询和动作执行的请求作出响应，同时还可以异步地向 管理站提供一些重要的非请求信息。 管理站可以访问多个管理代理的MIB对象，接收来自多个 代理的Trap，因此从操作和控制的角度看，管理站“管理”着 许多代理。同时，管理代理也能对多个管理站的请求作出响应， 是一种一对多的关系，管理代理为了控制管理站对它的 MIB 的 使用，保护它自己和它的MIB，避免不希望的或未授权的访问， 使用了共同体的概念。管理代理为每一个必要的认证、访问控 制和代理特性的联合建立一个共同体。从管理站发往代理的报 文都包含共同体名，它起着口令的作用，只要报文发送方知道 口令，该报文就被认为是可信的。由此可见，这并不是很安全 的方式，所以，很多管理者仅仅提供网络监视的功能（get和 trap操作），屏蔽掉了网络控制功能（set操作）。 3、管理信息库 MIB是一个信息存储库，它包含了管理代理中的有关配置 和性能的数据，是网络管理的基础。每一个被管资源由一个对 象来表示，MIB就是由这样一些对象组成的结构化的集合。 在 RFC1155中定义的管理信息结构给出了MIB结构的总体框架。 4、管理协议 管理站和管理代理之间是通过SNMP网络管理协议连接的， 通过SNMP报文的形式来交换信息。协议主要支持Get、Set和 Trap三种功能共五种操作，Get用于管理站获取代理的MIB对 象值，Set用于管理站去设置代理的MIB对象值，Trap用于代 理向管理站通告重要事件。 SNMPv1存在的问题及SNMPv2的改进 SNMPv1协议以其简单和灵活性，获得了许多厂商的支持， 得到广泛应用，但其缺点也很多，功能简单、安全性差。SNMPv1 是基于一种主动轮询的监视机制，轮询间隔短时对网络性能影 响很大，不适合大规模的网络管理;SNMPv1不支持管理站-管理 站之间的通信，这样，它不允许一个管理系统去了解由另一个 管理系统管理的设备和网络的状况。 与SNMPv1单纯的集中式管理模式不同，SNMPv2支持分布式 /分层式的网络管理结构，在SNMPv2管理模型中有些系统可以 同时具有管理器和代理的功能，作为代理，它可以接收上一级 管理系统的命令，访问其存储的本地信息，也可以提供它所负 责的管理域中其它代理的信息摘要，向上级管理器发送Trap 信息。 SNMPv2定义了两个MIB库，一个相当于SNMPv1的MIB-II, 另一个是Manager-to-Manager(M2M)MIB,提供对分布式管理结 构的支持。 网络管理的安全威胁和SNMPv3体系结构 使用SNMPv1、SNMPv2 进行网络管理时，由于安全功能有 限，面临着假冒、信息篡改、报文序列和定时机制的修改、信 息暴露等几种安全威胁。 SNMPv3通过简明的方式实现了加密和验证功能。SNMPv3结 构是由分布的、相互连接的SNMP实体组成。每一个实体