簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP

1、ztewi簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議snmp7tm黑深圳市中興通訊股份有限公司* i litr% zte corporation目錄1. 網(wǎng)絡(luò)管理基本概念32. 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議snmp概述42. 1 snmp的發(fā)展42.2 snmp的配置53. 管理信息庫(kù)mib64. snmp的5種協(xié)議數(shù)據(jù)單元85. 管理信息結(jié)構(gòu)smi116. snmpv2 協(xié)議126. 1 snmpv2標(biāo)準(zhǔn)中的安全機(jī)制146. 2 snmpv2 party14snmpv2協(xié)議操作157. snmpv3的體系結(jié)構(gòu)158. 公共管理信息cm ip179. snmp 與 cmip 的比較1810. 網(wǎng)絡(luò)管理協(xié)議的前景181.網(wǎng)絡(luò)管理基本

2、概念隨著計(jì)算機(jī)和通信技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)管理技術(shù)已成為重要的前言技術(shù)。11前還沒(méi) 冇對(duì)網(wǎng)絡(luò)管理的精確定義。例如，對(duì)公用交換網(wǎng)，網(wǎng)絡(luò)管理通常指實(shí)時(shí)網(wǎng)絡(luò)監(jiān)控，以便在不 利的條件下(如過(guò)載、故障)使網(wǎng)絡(luò)的性能仍能達(dá)到最佳。又如，狹義的網(wǎng)絡(luò)管理僅僅指網(wǎng) 絡(luò)的通信量管理，而廣義的網(wǎng)絡(luò)管理指網(wǎng)絡(luò)的系統(tǒng)管理。網(wǎng)絡(luò)管理功能可概括為oam&p, 即網(wǎng)絡(luò)的運(yùn)行(operation)> 處理(administration)> 維護(hù)(maintenance)> 服務(wù)提供 (provisioning)等所需要的各種活動(dòng)。有時(shí)也考慮前三種，即把網(wǎng)絡(luò)管理功能歸結(jié)為0amo網(wǎng)絡(luò)管理通常用到以下術(shù)語(yǔ)：

3、 網(wǎng)絡(luò)元素(network element)網(wǎng)絡(luò)中具體的通信設(shè)備或邏輯實(shí)體，又稱網(wǎng)元。對(duì)象(object)通信和信息處理范疇里可標(biāo)識(shí)的切擁有一定信息特性的資源。但應(yīng)注意，這里所用的“對(duì) 象”與面向?qū)ο笙到y(tǒng)中所定義的對(duì)象并不完全一樣。 被管理對(duì)象(managed object)被管理對(duì)象指可使用管理協(xié)議進(jìn)行管理和控制的網(wǎng)絡(luò)資源的抽象表示。例如，一個(gè)層的 實(shí)體或一個(gè)連接。 管理信息庫(kù)mibmib是網(wǎng)絡(luò)管理系統(tǒng)中的重要構(gòu)件，它冇一個(gè)系統(tǒng)內(nèi)的許多被管對(duì)象及其屬性組成。mib 這個(gè)概念實(shí)際上就是一個(gè)虛擬數(shù)據(jù)庫(kù)。這個(gè)數(shù)據(jù)丿牟提供冇關(guān)被管理網(wǎng)絡(luò)元素的信息，而這些 信息由管理進(jìn)程和各個(gè)代理進(jìn)程共享。mib由管

4、理進(jìn)程和各個(gè)代理進(jìn)程共同使用。 綜合網(wǎng)絡(luò)管理inm用統(tǒng)一的方法在一個(gè)異構(gòu)網(wǎng)絡(luò)小管理多廠商生產(chǎn)的計(jì)算機(jī)破件和軟件資源。這也稱為一 體化網(wǎng)絡(luò)管理。0si很早就在0si的總體標(biāo)準(zhǔn)中提出了網(wǎng)絡(luò)管理標(biāo)準(zhǔn)的框架,即iso 7498-4。itu-t在 網(wǎng)絡(luò)管理方面緊密地和iso合作,制訂了與iso 7498-4相對(duì)應(yīng)的x. 700系列建議書。iso和itu-t制訂的兩個(gè)重要標(biāo)準(zhǔn)是：(1) iso 9595itu-t x. 710公共管理信息服務(wù)定義cmis(2) iso 9596itu-t x. 711公共管理信息協(xié)議規(guī)格說(shuō)明cmip2.簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議snmp概述2. 1 snmp的發(fā)展簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(

5、snmp)是|前tcp/ip網(wǎng)絡(luò)屮應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。1990 年 5 月,rfc 1157 定義了 snmp( simple network management protocol)的第一個(gè)版本 snmpv 1 o rfc 1157和另一個(gè)關(guān)于管理信息的文件rfc 1155 起，提供了一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò) 的系統(tǒng)方法。因此，snmp得到了廣泛應(yīng)用，并成為網(wǎng)絡(luò)管理的事實(shí)上的標(biāo)準(zhǔn)。snmp在90年代初得到了迅猛發(fā)展，同時(shí)也暴露出了明顯的不足，女u,難以實(shí)現(xiàn)大量的 數(shù)據(jù)傳輸，缺少身份驗(yàn)證(authentication)和加密(privacy)機(jī)制。因此,1993年發(fā)布 了 snmpv2

6、,具冇以下特點(diǎn)： 支持分布式網(wǎng)絡(luò)管理 擴(kuò)展了數(shù)據(jù)類型 可以實(shí)現(xiàn)大量數(shù)據(jù)的同時(shí)傳輸，提高了效率和性能 豐富了故障處理能力 增加了集合處理功能 加強(qiáng)了數(shù)據(jù)定義語(yǔ)言但是，snmpv2并沒(méi)冇完全實(shí)現(xiàn)預(yù)期的h標(biāo)，尤其是女全性能沒(méi)冇得到提高，如：身份 驗(yàn)證(如用戶初始接入時(shí)的身份驗(yàn)證、信息完整性的分析、重復(fù)操作的預(yù)防)、加密、授權(quán) 和訪問(wèn)控制、適當(dāng)?shù)倪h(yuǎn)程安全配直和管理能力等都沒(méi)有實(shí)現(xiàn)。1996年發(fā)布的snmpv2c是 sxmpv2的修改版本，功能增強(qiáng)了，但是安全性能仍沒(méi)有得到改善，繼續(xù)使用snmpv 1的基于 明文密鑰的身份驗(yàn)證方式。ietf snmpv3工作組于1998年元刀提出了互聯(lián)網(wǎng)建議rfc 22

7、71-2275,正式形成snmpv30這一系列文件定義了包含snmpvk snmpv2所冇功能在內(nèi)的 體系框架和包含驗(yàn)證服務(wù)和加密服務(wù)在內(nèi)的全新的女全機(jī)制，同時(shí)還規(guī)定了一套專門的網(wǎng)絡(luò) 女全和訪問(wèn)控制規(guī)則。可以說(shuō)，snmpv3是在snmpv2基礎(chǔ)z上增加了女全和管理機(jī)制。internet 還冇一個(gè)遠(yuǎn)期的網(wǎng)絡(luò)管理標(biāo)準(zhǔn) cm0t(common management information service and protocol over tcp/ip)，意思是"在tcp/ip上的公共管理信息服務(wù)與協(xié)議"。雖然 cmot使用了 0si的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)cmis/cmip,但現(xiàn)在還未達(dá)

8、到實(shí)用階段。snmp最重要的餓知道思想就是要盡可能簡(jiǎn)單，以便縮短研制周期。snmp的基本功能 紐括監(jiān)視網(wǎng)絡(luò)性能、檢測(cè)分析網(wǎng)絡(luò)差錯(cuò)和配置網(wǎng)絡(luò)設(shè)備等。在網(wǎng)絡(luò)止常丄作時(shí)，snmp nj實(shí) 現(xiàn)統(tǒng)計(jì)、配置和測(cè)試等功能。當(dāng)網(wǎng)絡(luò)出故障時(shí)，可實(shí)現(xiàn)各種差錯(cuò)檢測(cè)和恢復(fù)功能。雖然snmp 是在tcp/ip基礎(chǔ)上的網(wǎng)絡(luò)管理協(xié)議，但也町?dāng)U展到其他類型的網(wǎng)絡(luò)設(shè)備上。2. 2 snmp的配置管理站圖1是使用snmp的典型配置。整個(gè)系統(tǒng)必須有一個(gè)管理站(management sion),它 實(shí)際上是網(wǎng)控中心。在管理站沙鍋內(nèi)運(yùn)行管理進(jìn)程。在每個(gè)被管對(duì)象中一定要有代理進(jìn)程。 管理進(jìn)程和代理繼承利用snmp報(bào)文進(jìn)行通信，而snmp

9、報(bào)文乂使用udp來(lái)傳送。圖中有 兩個(gè)主機(jī)和一個(gè)路由器。這些協(xié)議棧中帶有陰影的部分是原倆這些主機(jī)和路由器所具有的， 而沒(méi)有陰影的部分是為實(shí)現(xiàn)網(wǎng)絡(luò)管理而増加的。主機(jī)代理進(jìn)程用戶進(jìn)程snmpftp等udptcpip網(wǎng)絡(luò)接口圭進(jìn)程用戶進(jìn)程nmpftp等jdptcpip網(wǎng)絡(luò)接口主機(jī)路由器internet圖1 snmp的配置冇時(shí)網(wǎng)絡(luò)管理協(xié)議無(wú)法控制某些網(wǎng)絡(luò)元素，例如該網(wǎng)絡(luò)元素使用的是另一種網(wǎng)絡(luò)管理協(xié) 議。這是可使用委托代理(proxy agent)0委托代理能提供如協(xié)議轉(zhuǎn)換和過(guò)濾操作的匯集功 能。然后委托代理來(lái)對(duì)管理對(duì)彖進(jìn)行管理。圖2表示委托管理的配置情況。管理站管理進(jìn)程snmpudpip網(wǎng)絡(luò)接口映射函數(shù)

10、代理進(jìn)程被委托的snmp設(shè)備使用udp的協(xié)議ip網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口委托代理proxy a<nt委托代理proxy agent管理進(jìn)程snmpudpip網(wǎng)絡(luò)網(wǎng)絡(luò)接口網(wǎng)絡(luò)圖2委托管理的配置snmp的網(wǎng)絡(luò)管理山三部分組成，即管理信息庫(kù)mib.管理信息結(jié)構(gòu)smi以及snmp本身。下面簡(jiǎn)要介紹。3.管理信息庫(kù)mib管理信息床mib指明了網(wǎng)絡(luò)元素所維持的變量(即能夠被管理進(jìn)程查詢和設(shè)置的信 息)。mib給出了一個(gè)網(wǎng)絡(luò)中所有可能的被管理對(duì)彖的集合的數(shù)據(jù)結(jié)構(gòu)。snmp的管理信息 庫(kù)采用和域名系統(tǒng)dns相似的樹型結(jié)構(gòu)，它的根在最上面，根沒(méi)有名字。圖3畫的是管理 信息庫(kù)的一部分，它乂稱為對(duì)象命名(object

11、 naming tree)。iso(l)ccitt(standard(o) registration authoritymember body (2)identified organization(3)internet(lmgmt(2)sccurity(5) sninpv2(6)cxpcrimcntal(3) privatc(4)dircctory(l)mib2(1 enterprise 1)l.1system( 1) interface(2)at(3)ip(4) icmp(5) tcp(6) udp(7) egp(8)/l /l/l/l /l /l /l /l圖3

12、管理信息庫(kù)的對(duì)彖命名舉例對(duì)象命名樹的頂級(jí)對(duì)象冇三個(gè)，即iso、itu-t和這兩個(gè)組織的聯(lián)合體。在iso的下面 冇4個(gè)結(jié)點(diǎn)，其中的餓一個(gè)（標(biāo)號(hào)3）是被標(biāo)識(shí)的組織。在其下面有一個(gè)美國(guó)國(guó)防部 （department of defense）的子樹（標(biāo)號(hào)是6）,再下面就是internet （標(biāo)號(hào)是1）。在只 討論internet中的對(duì)象時(shí),可只畫出internet以下的子樹（圖中帶陰影的虛線方框）,并 在internet結(jié)點(diǎn)旁邊標(biāo)注上1. 3. 6. 1即可。在internet結(jié)點(diǎn)下面的第二個(gè)結(jié)點(diǎn)是mgmt （管理），標(biāo)號(hào)是2。再下面是管理信息床， 原先的結(jié)點(diǎn)名是mib。1991年定義了新的版本mib-

13、ii,故結(jié)點(diǎn)名現(xiàn)改為mib-2，其標(biāo)識(shí)為 1.3.6. 1.2. 1,或internet（1） .2.1。這種標(biāo)識(shí)為對(duì)象標(biāo)識(shí)符。最初的結(jié)點(diǎn)mib將其所管理的信息分為8個(gè)類別，見表1?，F(xiàn)在de mib-2所包含的信 息類別已超過(guò)40個(gè)。表1授初的結(jié)點(diǎn)mib管理的佶息類別類別標(biāo)號(hào)所包含的信息system(1)主機(jī)或路由器的操作系統(tǒng)interfaces各種網(wǎng)絡(luò)接口及它們的測(cè)定通信量address translatiori(3)地址轉(zhuǎn)換（例如arp映射）ip(4)internet軟件（tp分組統(tǒng)計(jì)）iemp(5)icmp軟件（已收到icmp消息的統(tǒng)計(jì)）tep(6)tcp軟件（算法、參數(shù)和統(tǒng)計(jì)）udp(

14、7)udp軟件（udp通倍量統(tǒng)計(jì)）egp(8)egp軟件（外部網(wǎng)關(guān)協(xié)議通信量統(tǒng)計(jì)）應(yīng)當(dāng)指出，mib的定義與具體的網(wǎng)絡(luò)管理協(xié)議無(wú)關(guān)，這對(duì)于廠商和用八都有利。廠商可 以在產(chǎn)品（如路由器）中包含snmp代理軟件，并保證在定義新的mib項(xiàng)目后該軟件仍遵守 標(biāo)準(zhǔn)。用八可以使用同一網(wǎng)絡(luò)管理客八軟件來(lái)管理具有不同版本的mib的多個(gè)路山器。當(dāng)然, 個(gè)沒(méi)有新的mib項(xiàng)冃的路山器不能提供這些項(xiàng)冃的信息。這里要提一下mib中的對(duì)象1. 3. 6. 1. 4. 1,即enterprises （企業(yè)）,其所屬結(jié)點(diǎn)數(shù)已 超過(guò) 3000 o 例 如 ibm 為 1.3.6. 1.4. 1.2 , cisco 為1.3.6.

15、 1.4. 1.9 , novell 為 1. 3. 6. 1. 4. 1. 23等。世界上任何_個(gè)公司、學(xué)校只耍用電子郵件發(fā)往iana-mibisi. edu 進(jìn)行中請(qǐng)即對(duì)獲得一個(gè)結(jié)點(diǎn)名。這樣各廠家就可以定義口c的產(chǎn)品的被管理對(duì)象名，使它能 用snmp進(jìn)行管理。4. snmp的5種協(xié)議數(shù)據(jù)單元snmp規(guī)定了 5種協(xié)議數(shù)據(jù)單元pdu （也就是snmp報(bào)文），用來(lái)在管理進(jìn)程和代理z 間的交換。 get-request操作：從代理進(jìn)程處提収一個(gè)或多個(gè)參數(shù)值 get-next-request操作：從代理進(jìn)程處提取緊跟當(dāng)詢參數(shù)值的下一個(gè)參數(shù)值 set-request操作：設(shè)置代理進(jìn)程的一個(gè)或多個(gè)參數(shù)值

16、 get-response操作：返回的一個(gè)或多個(gè)參數(shù)值。這個(gè)操作是由代理進(jìn)程發(fā)出的，它 是前面三種操作的響應(yīng)操作。 trap操作：代理進(jìn)程主動(dòng)發(fā)出的報(bào)文，通知管理進(jìn)程有某些事情發(fā)生。詢而的3種操作是由管理進(jìn)程向代理進(jìn)程發(fā)出的，厲而的2個(gè)操作是代理進(jìn)程發(fā)給管理 進(jìn)程的，為了簡(jiǎn)化起見，前而3個(gè)操作今后叫做get、get-next和set操作。圖4描述了 snmp 的這5種報(bào)文操作。請(qǐng)注意，在代理進(jìn)程端是用熟知端口 161倆接收get或set報(bào)文，而在 管理進(jìn)程端是用熟知端口 162來(lái)接收trap報(bào)文。snmp管理程序snm p代理程序圖4 snmp的5種報(bào)文操作圖5是封裝成udp數(shù)據(jù)報(bào)的5種操作的

17、snmp報(bào)文格式。可見一個(gè)snmp報(bào)文共有三個(gè)部 分組成，即公共snmp首部、gct/set首部trap首部、變量綁定。版本(0)共同 體pdu類型(0 3)請(qǐng)求標(biāo)識(shí)符差錯(cuò)狀態(tài)(0 5)差錯(cuò)索引名值名fl'l-t77>2字節(jié)ip數(shù)據(jù)報(bào)8字節(jié)<ptp首部udp首部公共snmp首部t/set首部變量綁定pdu類型(4)企業(yè)代理的ip地址trap類型(06)代碼時(shí)間戳名值名值 trap首部變量綁定5 snmp報(bào)文格式(1) 公共snmp首部共三個(gè)字段： 版本寫入版本字段的是版本號(hào)減1,對(duì)于snmp (即snmpv1)則應(yīng)寫入0。共同體(community)共同體就是一個(gè)字符串，作

18、為管理進(jìn)程和代理進(jìn)程z間的明文口令，常用的是6個(gè)字符 “public”。 pdu類型根據(jù)pdu的類型，填入04屮的一個(gè)數(shù)字，其對(duì)應(yīng)關(guān)系如表2所示意圖。表2 pdu類型pdu類型名稱0get-request1get-next-request2get-response3set-request4trap(2) get/set 首部請(qǐng)求標(biāo)識(shí)符(request id)這是山管理進(jìn)程設(shè)置的一個(gè)整數(shù)值。代理進(jìn)程在發(fā)送get-response報(bào)文吋也要返回此 請(qǐng)求標(biāo)識(shí)符。管理進(jìn)程可同時(shí)向許多代理發(fā)fll get報(bào)文，這些報(bào)文都使用udp傳送，先發(fā)送 的有可能后到達(dá)。設(shè)置了請(qǐng)求標(biāo)識(shí)符可使管理進(jìn)程能夠識(shí)別返冋的響

19、應(yīng)報(bào)文對(duì)于哪一個(gè)請(qǐng)求報(bào)文。 差錯(cuò)狀態(tài)(error status)由代理進(jìn)程冋答時(shí)填入05中的一個(gè)數(shù)字，見表3的描述。表3差錯(cuò)狀態(tài)描述差錯(cuò)狀態(tài)名字說(shuō)明0noerror一切正常1toobig代理無(wú)法將回答裝入到一個(gè)snmp報(bào)文z屮2nosuchname操作指明了一個(gè)不存在的變量3badvalue一個(gè)set操作指明了一個(gè)無(wú)效值或無(wú)效語(yǔ)法4readonlv管理進(jìn)程試圖修改一個(gè)只讀變量5gonerr某些其他的差錯(cuò)差錯(cuò)索引(error index)當(dāng)出現(xiàn)nosuchname> badvalue或readonly的差錯(cuò)時(shí)，11代理進(jìn)程在回答時(shí)設(shè)置的一個(gè) 整數(shù)，它指明有差錯(cuò)的變量在變量列表中的偏移。(3

20、) trap 首部 企業(yè)(enterprise)填入trap報(bào)文的網(wǎng)絡(luò)設(shè)備的對(duì)象標(biāo)識(shí)符。此對(duì)象標(biāo)識(shí)符肯定是在圖3的對(duì)象命名樹上 的enterprise結(jié)點(diǎn)13. 6. 1. 41下面的一棵子樹上。 trap類型此字段止式的名稱是generic-trap,共分為表4中的7種。表4 trap類型描述trap類型名字說(shuō)明0coldstart代理進(jìn)行了初始化1warmstart代理進(jìn)行了垂新初始化2linkdown一個(gè)接口從工作狀態(tài)變?yōu)楣收蠣顟B(tài)3linkup一個(gè)接口從故障狀態(tài)變?yōu)楣ぷ鳡顟B(tài)4authenticationeailure從snmp管理進(jìn)程接收到具有一個(gè)無(wú)效共同體的報(bào)文5egpneighbor

21、loss一個(gè)egp和鄰路由器變?yōu)楣收蠣顟B(tài)6enlerprisespecific代理自定義的事件，需要用后面的“特定代碼”來(lái)指明當(dāng)使川上述類型2、3、5時(shí)，在報(bào)文后面變量部分的第一個(gè)變量應(yīng)標(biāo)識(shí)響應(yīng)的接口。 特定代碼(specific-code)指明代理自定義的時(shí)間(若t“p類型為6),否則為0。zte中興中興通訊南京研究所用服部atm科時(shí)間戳(t i me stamp)指明自代理進(jìn)程初始化到trap報(bào)告的事件發(fā)生所經(jīng)歷的時(shí)間，單位為10mso例如時(shí)間 戳為1908表明在代理初始化后1908ms發(fā)生了該時(shí)間。（4）變量綁定（variable-bindings）指明一個(gè)或多個(gè)變量的名和對(duì)應(yīng)的值。在g

22、et或get-next報(bào)文中，變量的值應(yīng)忽略。5.管理信息結(jié)構(gòu)smisnmp屮,數(shù)據(jù)類型并不多。這里我們就討論這些數(shù)據(jù)類型,而不關(guān)心這些數(shù)據(jù)類型在 實(shí)際屮是如何編碼的。 integer-個(gè)變量雖然疋義為整型，但也有多種形式。有些整型變量沒(méi)有范圍限制，有些幣型變 量處義為特立的數(shù)值（例如，ip的轉(zhuǎn)發(fā)標(biāo)志就只有允許轉(zhuǎn)發(fā)吋的或者不允許轉(zhuǎn)發(fā)吋的這兩 種）,有些整型變量定義一個(gè)特定的范圍（例如，udp和tcp的端口號(hào)就從0至ij 65535）。 octer string0或多個(gè)8 bit字節(jié)，每個(gè)字節(jié)值在0255之間。對(duì)于這種數(shù)據(jù)類型和下一種數(shù)據(jù)類 型的ber編碼，字符串的字節(jié)個(gè)數(shù)要超過(guò)字符串本身的長(zhǎng)度

23、。這些字符串不是以nui丄結(jié)尾 的字符串。 displaystring0或多個(gè)8bit字節(jié)，但是每個(gè)字節(jié)必須是ascii碼。在mib-ilp，所有該類型的變量不能 超過(guò)255個(gè)字符（0個(gè)字符是町以的）。 object identifier null代表相關(guān)的變量沒(méi)有值。例如，在get或get-next操作屮，變量的值就是null,因?yàn)檫@ 些值還有待到代理進(jìn)程處去取。 ipaddress4字節(jié)長(zhǎng)度的octer string,以網(wǎng)絡(luò)序表示的ip地址。每個(gè)字節(jié)代表ip地址的一個(gè)字段。 physaddressocter string類型，代衣物理地址（例如以太網(wǎng)物理地址為6個(gè)字節(jié)長(zhǎng)度）。 counte

24、r非負(fù)的整數(shù)，對(duì)從0遞增到2321 （4294976295）。達(dá)到最大值后歸0。 gauge非負(fù)的整數(shù)，取值范圍為從0到4294976295（或增或減）。達(dá)到最大值后鎖定百到復(fù)位。 例如，mib中的tcpcurrestab就是這種類型的變量的一個(gè)例子，它代表目前在established 或closejvait狀態(tài)的tcp連接數(shù)。 timeticks時(shí)間計(jì)數(shù)器，以0.01秒為單位遞增，但是不同的變量可以冇不同的遞增幅度。所以在定 義這種類型的變量的時(shí)候，必須指定遞增郵度。例如，mib中的sysuptime變量就是這種類型 的變量，代衣代理進(jìn)程從啟動(dòng)開始的時(shí)間長(zhǎng)度，以多少個(gè)tt分之一秒的數(shù)冃來(lái)衣示

25、。 sequence這一數(shù)據(jù)類型與c程序設(shè)計(jì)語(yǔ)言中的"structure”類似。一個(gè)sequence包括0個(gè)或多個(gè) 元素，每一個(gè)元素又是另一個(gè)asn. 1數(shù)據(jù)類型。例如，mib中的udpentry就是這種類型的變量。 它代農(nóng)在代理進(jìn)程側(cè)目前“激活”的udp數(shù)量（“激活”衣示目前被應(yīng)用程序所用）。在這 個(gè)變量中包含兩個(gè)元素：> ipaddress類型中的udplocaladdress,表示ip地址。> integer類型中的udplocalport,從0到65535,表示端口號(hào)。 sequendeof這是一個(gè)向量的定義，其所冇元素具冇相同的類型。如果每一個(gè)元素都具冇簡(jiǎn)單的數(shù)

26、 據(jù)類型，例如是整數(shù)類型，那么我們就得到一個(gè)簡(jiǎn)單的向量（一個(gè)一維向量）。但是我們將 看到，snmp在使用這個(gè)數(shù)據(jù)類型時(shí)，其向量中的每一個(gè)元素是一個(gè)sequence （結(jié)構(gòu)）。因而 可以將它看成為一個(gè)二維數(shù)組或農(nóng)。6. snmpv2 協(xié)議簡(jiǎn)單性是snmp標(biāo)準(zhǔn)取得成功的主要原因。因?yàn)樵诖笮偷?、多廠商產(chǎn)品構(gòu)成的復(fù)雜網(wǎng)絡(luò)屮, 管理協(xié)議的明晰是至關(guān)重要的，但同時(shí)這又是snmp的缺陷所在一一為了使協(xié)議簡(jiǎn)單易 行，snmp簡(jiǎn)化了不少功能,如： 沒(méi)有提供成批存収機(jī)制，對(duì)大塊數(shù)據(jù)進(jìn)行存収效率很低: 沒(méi)冇提供足夠的女全機(jī)制，安全性很差; 只在tcp/ip協(xié)議上運(yùn)行，不支持別的網(wǎng)絡(luò)協(xié)議; 沒(méi)冇提供manager與m

27、anager z間通信的機(jī)制，只適合集中式管理，而不利于進(jìn)行 分布式管理； 只適于監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備，不適于監(jiān)測(cè)網(wǎng)絡(luò)本身。針對(duì)這些問(wèn)題，對(duì)它的改進(jìn)工作一直在進(jìn)行。如1991年11月，推岀了 rmon(remote netw ork monitoring) mib,加強(qiáng)snmp對(duì)網(wǎng)絡(luò)本身的管理能力。它使得snmp不僅可管理網(wǎng)絡(luò)設(shè)備, 還能收集局域網(wǎng)和互聯(lián)網(wǎng)上的數(shù)據(jù)流量等信息。1992年7月，針對(duì)snmp缺乏安全性的弱點(diǎn), 又 公布 了 s-snmp (secure snmp)草案。到1993年初，又推出了 snmp version 2即snmpv2(推岀了 snmpv2以后,snmp就被稱為snm p

28、vl) o snm-pv2包容了以前對(duì)snmp所做的各項(xiàng)改進(jìn)工作，并在保持了 snmp淸晰性和易 于實(shí)現(xiàn)的特點(diǎn)以外，功能更強(qiáng)，安全性更好，具體表現(xiàn)為： 提供了驗(yàn)證機(jī)制、加密機(jī)制、時(shí)間同步機(jī)制等，安全性大大提高, 提供了一次取回大量數(shù)據(jù)的能力，效率大大提高; 增加了 manager和manager之間的信息交換機(jī)制，從而支持分布式管理結(jié)構(gòu)。山中 間(intermediate)manager 分擔(dān)主manager的任務(wù)，增加了遠(yuǎn)地站點(diǎn)的局部口主 性。町在多種網(wǎng)絡(luò)協(xié)議上運(yùn)行,/ill osk appletalk和ipx等,適用多協(xié)議網(wǎng)絡(luò)壞境(但它的缺省網(wǎng)絡(luò)協(xié)議仍是udp)。根據(jù)carnegie-me

29、llin大學(xué)(smpv2標(biāo)準(zhǔn)的制定者之一)的steven waldbusser測(cè)試結(jié) 果，swv2的處理能力明顯強(qiáng)于snmpvl,大約是snmpvl的15倍。swv2 一共由12份協(xié)議文本組成(rfc1441-rfc1452),已被作為internet的推薦標(biāo)準(zhǔn) 予以公布。nj看出它支持分布式管理。一些站點(diǎn)"j以既充當(dāng)manager又充當(dāng)agent,同時(shí)扮演兩個(gè) 角色。作為agent,它們接受更高一級(jí)管理站的請(qǐng)求命令，這些請(qǐng)求命令中一部分與agent 本地的數(shù)據(jù)有關(guān),這時(shí)直接應(yīng)答即可;另一部分則與遠(yuǎn)地ag ent上的數(shù)據(jù)有關(guān)。這時(shí)agent 就以manager的身份向遠(yuǎn)地agent請(qǐng)

30、求數(shù)據(jù),再將應(yīng)答傳給更高一級(jí)的管理站。在后一種情 況下，它們起的是proxy (代理)的作用。下面將snmpv2標(biāo)準(zhǔn)加以詳細(xì)介紹，包括snmpv2標(biāo)準(zhǔn)的中的安全機(jī)制,snmpv2標(biāo)準(zhǔn)中的 pa rty實(shí)休，以及如何從通信協(xié)議操作、smi. mib三方面來(lái)看snmpv2標(biāo)準(zhǔn)。6. 1 snmpv2標(biāo)準(zhǔn)中的安全機(jī)制snmpv2對(duì)s'mpvl的一個(gè)人的改進(jìn)，就是增強(qiáng)了安全機(jī)制。對(duì)管理系統(tǒng)安全的威脅主要 有下而兒種：(1) 信息篡改(mod ificati on)snmpv2標(biāo)準(zhǔn)中，允許管理站(manager)修改agent上的一些被管理對(duì)象的值。破壞者可 能會(huì)將傳輸中的報(bào)文加以改變，改成非法

31、值，進(jìn)行破壞。因此，協(xié)議應(yīng)該能夠驗(yàn)證收到的報(bào)文 是否在傳輸過(guò)程中被修改過(guò)。(2) 冒充(masquerade)snmpv2標(biāo)準(zhǔn)中雖然有訪問(wèn)控制能力，但這主要是從報(bào)文的發(fā)送者來(lái)判斷的。那些沒(méi)有訪 問(wèn)權(quán)的用八可能會(huì)冒充別的合法用八進(jìn)行破壞活動(dòng)。因此，協(xié)議應(yīng)該能夠驗(yàn)證報(bào)文發(fā)送者的 真實(shí)性，判斷是否有人冒充。(3) 報(bào)文流的改變(message stream modification)由于snmpv2標(biāo)準(zhǔn)是基于無(wú)連接傳輸服務(wù)的，報(bào)文的延遲、重發(fā)以及報(bào)文流順序的改變都 是可能發(fā)生的。某些破壞者可能會(huì)故意將報(bào)文延遲、重發(fā)，或改變報(bào)文流的順序，以達(dá)到破壞 的口的。因此,協(xié)議應(yīng)該能夠防止報(bào)文的傳輸時(shí)間過(guò)長(zhǎng)，以

32、給破壞者留下機(jī)會(huì)。(4) 報(bào)文內(nèi)容的竊取(di sc losure)破壞者可能會(huì)截獲傳輸中的報(bào)文，竊取它的內(nèi)容。特別在創(chuàng)建新的snmpv2 party時(shí),必 須保證它的內(nèi)容不被竊取，因?yàn)橐院箨P(guān)于這個(gè)party的所有操作都依賴于它。因此，協(xié)議應(yīng)該 能夠?qū)?bào)文的內(nèi)容進(jìn)行加密，保證它不被竊聽者獲取。針對(duì)上述安全性問(wèn)題,snmpv2中增加了驗(yàn)證(authentication)機(jī)制、加密(privacy)機(jī) 制，以及時(shí)間同步機(jī)制來(lái)保證通信的安全。6.2 snmpv2 partysnmpv2標(biāo)準(zhǔn)中增加了一種叫做party的實(shí)體。party是具有網(wǎng)絡(luò)管理功能的最小實(shí)體, 它的功能是一個(gè)snmpv2 enti

33、ty(管理實(shí)體)所能完成的全部功能的一個(gè)子集。每個(gè)manager 和agent上都分別有多個(gè)par-ty,每個(gè)站點(diǎn)上的各個(gè)party彼此是平等的關(guān)系，各口完成口 c的功能。實(shí)際的信息交換都發(fā)半在party與party zl'可(在每個(gè)發(fā)送的報(bào)文里，都要指定 發(fā)送方和接收方的par-ty) ®每個(gè)party都有一個(gè)唯一的標(biāo)識(shí)符(party identity) > 個(gè) 驗(yàn)證算法和參數(shù)以及一個(gè)加密算法和參數(shù).party的引入增加了系統(tǒng)的靈活性和安全性，可 以賦了不同的人員以不同的管理權(quán)限°snmpv2中有三種安全性機(jī)制:驗(yàn)證(authentication) 機(jī)制、加

34、 密(privacy)機(jī)制和訪問(wèn)控制(access contro 1)機(jī)制。這些機(jī)制都工作在party 級(jí)，而不是 manager/agent 一級(jí)。6. 3 snmpv2協(xié)議操作snmpv2標(biāo)準(zhǔn)的核心就是通信協(xié)議它是一個(gè)請(qǐng)求/應(yīng)答式的協(xié)議。這個(gè)協(xié)議提供了在manager與agents manager與manager z間交換管理信息的直觀、 基本的方法。每條snmpv2的報(bào)文都由一些域構(gòu)成：如果發(fā)送方、接收方的兩個(gè)party都采用了驗(yàn)證(authentication)機(jī)制，它就包禽與驗(yàn) 證有關(guān)的信息;否則它為空(取null)。驗(yàn)證的過(guò)程如下:發(fā)送方和接收方的party都分別有 一個(gè)驗(yàn)證用的密

35、鑰(secret key)和一個(gè)驗(yàn)證用的算法。報(bào)文發(fā)送前，發(fā)送方先將密鑰值填入 圖中digest域，作為報(bào)文的前綴。然后根據(jù)驗(yàn)證算法，對(duì)報(bào)文中digest域以厲(包括digest 域)的報(bào)文數(shù)據(jù)進(jìn)行計(jì)算，計(jì)算岀一個(gè)摘要值(digest),再用摘要值取代密鑰，填入報(bào)文中的 dig ost域。接收方收到報(bào)文后,先將報(bào)文中的摘要值取出來(lái)，暫存在一個(gè)位置，然后用發(fā)送 方的密鑰放入報(bào)文中的digesto將這兩個(gè)摘要值進(jìn)行比較，如果一樣,就證明發(fā)送方確實(shí)是 srcp arty域中所指明的那個(gè)party,報(bào)文是合法的;如果不一樣，接收方斷定發(fā)送方非法。驗(yàn) 證機(jī) 制可以防止非法用八"冒充某個(gè)合法pa

36、rty來(lái)進(jìn)行破壞。authlnfo域中還包含兩個(gè)時(shí)間戳(time stamp),用于發(fā)送方與接收方z間的同步，以防 止報(bào)文被截獲和重發(fā)。snmpv2的另一大改進(jìn)是可以對(duì)通信報(bào)文進(jìn)行加密，以防止監(jiān)聽者竊取報(bào)文內(nèi)容。除了 privdst域外，報(bào)文的其余部分可以被加密。發(fā)送方與接收方采用同樣的加密算法(如des)。通信報(bào)文可以不加任何安全保護(hù)，或只進(jìn)行驗(yàn)證,也可以二者都進(jìn)行。7. snmpv3的體系結(jié)構(gòu)rfc 2271定義的snmpv3體系結(jié)構(gòu)，體現(xiàn)了模塊化的設(shè)計(jì)思想，可以簡(jiǎn)單地實(shí)現(xiàn)功能的 增加和修改。其特點(diǎn)： 適應(yīng)性強(qiáng)：適用于多種操作環(huán)境，既可以管理最簡(jiǎn)單的網(wǎng)絡(luò)，實(shí)現(xiàn)基本的管理功能, 又能夠提供強(qiáng)

37、大的網(wǎng)絡(luò)管理功能，滿足復(fù)雜網(wǎng)絡(luò)的管理需求。 擴(kuò)充性好：可以根據(jù)需要增加模塊。 女全性好：具有多種女全處理模塊。swv3主要有三個(gè)模塊：信息處理和控制模塊、本地處理模塊和用戶安全模塊。(1) 信息處理和控制模塊信息處理和控制模塊(message processing and control model)在 rfc 2272 中定義, 它負(fù)責(zé)信息的產(chǎn)生和分析，并判斷信息在傳輸過(guò)程中是否要經(jīng)過(guò)代理服務(wù)器等。在信息產(chǎn)生 過(guò)程中，該模塊接收來(lái)口調(diào)度器(dispatcher)的pdu,然后山用戶安全模塊在信息頭中加 入安全參數(shù)。在分析接收的信息時(shí)，先由用戶安全模塊處理信息頭中的安全參數(shù)，然后將解 包后的p

38、du送給調(diào)度器處理。(2) 本地處理模塊本地處理模塊(local processing model)的功能主要是進(jìn)行訪問(wèn)控制，處理打ill的數(shù) 據(jù)和中斷。訪問(wèn)控制是指通過(guò)設(shè)置代理的有關(guān)信息使不同的管理站的管理進(jìn)程在訪問(wèn)代理時(shí) 具有不同的權(quán)限，它在pdu這一級(jí)完成。常用的控制策略有兩種：限足管理站可以向代理發(fā) 出的命令或確定管理站可以訪問(wèn)代理的mib的具體部分。訪問(wèn)控制的策略必須預(yù)先設(shè)定。 smpv3通過(guò)使用帶有不同參數(shù)的原語(yǔ)使用來(lái)靈活地確定訪問(wèn)控制方式。(3) 用八安全模塊與snmpv 1和snmpv2相比，snmpv3增加了三個(gè)新的安全機(jī)制：身份驗(yàn)證，加密和訪問(wèn) 控制。其中,本地處理模塊完成

39、訪問(wèn)控制功能,而用戶安全模塊(user security model) 則提供身份驗(yàn)證和數(shù)據(jù)保密服務(wù)。身份驗(yàn)證是指代理(管理站)接到信息時(shí)首先必須確認(rèn)信 息是否來(lái)口有權(quán)的管理站(代理)并且信息在傳輸過(guò)程中未被改變的過(guò)程。實(shí)現(xiàn)這個(gè)功能耍 求管理站和代理必須共享同一密鑰。管理站使用密鑰計(jì)算驗(yàn)證碼(它是信息的兩數(shù))，然后 將其加入信息中，而代理則使用同一密鑰從接收的信息中提取出驗(yàn)證碼，從而得到信息。加 密的過(guò)程與身份驗(yàn)證類似，也需要管理站和代理共享同一密鑰來(lái)實(shí)現(xiàn)信息的加密和解密。下面簡(jiǎn)耍介紹身份驗(yàn)證和加密的數(shù)學(xué)丄具。sxmpv3使用私鑰(privkey)和驗(yàn)證密鑰 (authkey)來(lái)實(shí)現(xiàn)這兩種功能

40、。身份驗(yàn)證：rfc2104中定義了 hmac,這是一種使用安全哈希函數(shù)和密鑰來(lái)產(chǎn)生信息驗(yàn)證 碼的有效丄具，在互聯(lián)網(wǎng)中得到了廣泛的應(yīng)用。snmp使用的hmac可以分為兩種:hmac-md5-96 和hmac-sha-96o前者的哈希函數(shù)是md5,使用128位authkey作為輸入。后者的哈希函數(shù) 是siia-1,使用160位authkey作為輸入。加密：采用數(shù)據(jù)加密標(biāo)準(zhǔn)(des)的密碼組鏈接(cbc)碼，使用128位的privkey作 為輸入。8.公共管理信息cm ipcm ip協(xié)議是在osi制訂的網(wǎng)絡(luò)管理框架屮提出的網(wǎng)絡(luò)管理協(xié)議。與其說(shuō)它是一個(gè)網(wǎng)絡(luò) 管理協(xié)議，不如說(shuō)它是一個(gè)網(wǎng)絡(luò)管理體系。這個(gè)體

41、系包含以下組成部分:一套用于描述協(xié)議 的模型，一組用于描述被管對(duì)象的注冊(cè)、標(biāo)識(shí)和定義的管理信息結(jié)構(gòu)，被管對(duì)象的詳細(xì)說(shuō)明 以及用于遠(yuǎn)程管理的原語(yǔ)和服務(wù)。cmip與snmp樣,也是由被管代理和管理者、管理協(xié)議 與管理信息庫(kù)組成。在cmip中，被管代理和管理者沒(méi)有明確的指處，任何一個(gè)網(wǎng)絡(luò)設(shè)備既可 以是被管代理，也可以是管理者。cmip管理模型可以用三種模型進(jìn)行描述:組織模型用于描述管理任務(wù)如何分配;功能模 型描述了各種網(wǎng)絡(luò)管理功能和它們z間的關(guān)系;信息模型提供了描述被管對(duì)象和相關(guān)管理信 息的準(zhǔn)則。從組織模型來(lái)說(shuō)，所有cmip的管理者和被管代理者存在于一個(gè)或多個(gè)域中，域是 網(wǎng)絡(luò)管理的基本單元。從功能模

42、型來(lái)說(shuō),cmip主要實(shí)現(xiàn)失效管理、配置管理、性能管理、記 帳管理和安全性管理。每種管理均由一個(gè)特殊管理功能領(lǐng)域(smfa, special management f unctional area)負(fù)責(zé)完成。從信息模型來(lái)說(shuō),cmip的mib庫(kù)是而向?qū)ο蟮臄?shù)據(jù)存儲(chǔ)結(jié)構(gòu)，每 一個(gè)功能領(lǐng)域以對(duì)象為mib庫(kù)的存儲(chǔ)單元。cmip是一個(gè)完全獨(dú)立于下層平臺(tái)的應(yīng)用層協(xié)議，它的五個(gè)特殊管理功能領(lǐng)域由多個(gè)系 統(tǒng)管理功能(smf)加以支持。相對(duì)來(lái)說(shuō),cmip是一個(gè)相當(dāng)復(fù)雜和詳細(xì)的網(wǎng)絡(luò)管理協(xié)議。它的 設(shè) 計(jì)宗旨與snmp相同,但用于監(jiān)視網(wǎng)絡(luò)的協(xié)議數(shù)據(jù)報(bào)文要相對(duì)多一些。cmip共定義了 11 類pdu。在cmip屮，變量

43、以非常復(fù)雜和高級(jí)的對(duì)象形式出現(xiàn)，每一個(gè)變量包含變量屬性、變 量行為 和通知。cmip屮的變量體現(xiàn)了 cmip mib庫(kù)的特征，并h這種特征表現(xiàn)了 cmip的管 理思想，即基于事件而不是基于輪詢。每個(gè)代理獨(dú)立完成一定的管理工作。cmip的優(yōu)點(diǎn)在于： 它的每個(gè)變暈不僅傳遞信息，而口還完成一立的網(wǎng)絡(luò)管理任務(wù)。這是cmip協(xié)議的最 大特點(diǎn)，在snmp中是不可能的。這樣可減少管理者的負(fù)擔(dān)并減少網(wǎng)絡(luò)負(fù)載。 完全安全性。它擁有驗(yàn)證、訪問(wèn)控制和安全日志等一整套安全管理方法。但是,cmip的缺點(diǎn)也同樣明顯： 它是一個(gè)人而全的協(xié)議，所以使用時(shí)，其資源占用量是snmp的數(shù)十倍。它對(duì)硬件設(shè) 備的要求比人們所能提供的要

44、高得多。 由于它在網(wǎng)絡(luò)代理上要運(yùn)行相當(dāng)數(shù)量的進(jìn)程,所以大大增加了網(wǎng)絡(luò)代理的負(fù)擔(dān)。 它的mib庫(kù)過(guò)分復(fù)朵，難于實(shí)現(xiàn)。迄今為止,還沒(méi)有任何一個(gè)符合cmip的網(wǎng)絡(luò)管理 系統(tǒng)。9. snmp與cmip的比較snmp與cm ip是網(wǎng)絡(luò)界最主要的兩種網(wǎng)絡(luò)管理協(xié)議。在未來(lái)的網(wǎng)絡(luò)管理屮，究竟哪一種 將占據(jù)優(yōu)勢(shì)，一直是業(yè)界爭(zhēng)論的話題?？偟膩?lái)說(shuō),snmp和cmip兩種協(xié)議是同大于界。兩者的管理目標(biāo)、基本組成部分都基本 相同。在mib庫(kù)的結(jié)構(gòu)方面，很多廠商將snmp的mib擴(kuò)展成與cmip的mib結(jié)構(gòu)相類似，而 且兩種協(xié)議的定義都采用相同的抽象語(yǔ)法符號(hào)(asn. l)o不同z處,首先,snmp而向單項(xiàng)信息檢索，而cmip則面向組合項(xiàng)信息檢索。英次,在信息 獲得方面,snmp主要基于輪詢方式，而cmip主要釆用報(bào)告方式。再次,在傳送層支持方面,sn mp基于無(wú)連接的udp,而cmip傾向于有連接的數(shù)據(jù)傳送。此外，兩者在