計(jì)算機(jī)網(wǎng)絡(luò)管理

1、網(wǎng)絡(luò)管理需求：應(yīng)用組成復(fù)雜，互聯(lián)規(guī)模大、設(shè)備多樣，異構(gòu)型、多協(xié)議?；ヂ?lián)、性能要求不同的網(wǎng)絡(luò)業(yè)務(wù)增加了管理難度和費(fèi)用。目的：減少停機(jī)時(shí)間，改進(jìn)響應(yīng)時(shí)間，提高設(shè)備利用率、減少運(yùn)行費(fèi)用，提高效率、減少/消滅網(wǎng)絡(luò)瓶頸、適應(yīng)新技術(shù)、方便修改優(yōu)化配置、容易使用、網(wǎng)絡(luò)業(yè)務(wù)多、保密、控制網(wǎng)絡(luò)訪問資源、安全。體系結(jié)構(gòu)：操作系統(tǒng)、協(xié)議支持、管理框架、管理應(yīng)用。網(wǎng)絡(luò)管理框架特點(diǎn)：管理功能分管理站和代理、為存管理信息提供數(shù)據(jù)庫(kù)支持、提供用戶接口和視圖、提供基本的管理操作。NME：網(wǎng)絡(luò)節(jié)點(diǎn)包含一組與管理有關(guān)軟件。NMA：管理站中一組軟件叫做網(wǎng)絡(luò)管理應(yīng)用，提供用戶接口、按用戶命令顯示管理信息、通過網(wǎng)絡(luò)向NME發(fā)請(qǐng)求和指令

2、。管理實(shí)體任務(wù)：收集網(wǎng)絡(luò)通信統(tǒng)計(jì)信息、對(duì)本地設(shè)備測(cè)試記錄設(shè)備狀態(tài)信息、本地存有關(guān)信息、響應(yīng)網(wǎng)控中心的請(qǐng)求發(fā)送管理信息、根據(jù)網(wǎng)控中心指令設(shè)置改變?cè)O(shè)備參數(shù)。集中式：所有代理在管理站監(jiān)視控制下協(xié)同，實(shí)現(xiàn)集成網(wǎng)管，可以有效控制整個(gè)網(wǎng)絡(luò)資源、平衡負(fù)載，優(yōu)化網(wǎng)絡(luò)。分布式：分布式管理系統(tǒng)代替單獨(dú)的網(wǎng)控主機(jī)地理分部的網(wǎng)管客戶機(jī)和一組網(wǎng)管服務(wù)器交付作用，共同完成網(wǎng)管功能。分部門管理：限制客戶機(jī)只能訪問管理本部門網(wǎng)絡(luò)資源，有一個(gè)中心管理站全局管理，還能對(duì)管理功能弱的客戶機(jī)發(fā)指令實(shí)現(xiàn)高級(jí)管理，靈活性和可伸縮性。委托代理和非標(biāo)準(zhǔn)設(shè)備：（不支持網(wǎng)管標(biāo)準(zhǔn)、不能完整實(shí)現(xiàn)NME、或無法運(yùn)行附加軟件）間運(yùn)行制造商專用協(xié)議，協(xié)議

3、轉(zhuǎn)換。管理軟件結(jié)構(gòu)：用戶接口軟件（交互和處理簡(jiǎn)單信息）、管理專用軟件（檢索、配置）、管理支持軟件（MIB訪問模塊、通信協(xié)議棧）網(wǎng)絡(luò)監(jiān)控系統(tǒng)網(wǎng)管功能（網(wǎng)絡(luò)監(jiān)控）網(wǎng)絡(luò)監(jiān)視（收集系統(tǒng)和子網(wǎng)狀態(tài)信息、分析被管設(shè)備行為，以便發(fā)現(xiàn)問題）和網(wǎng)絡(luò)控制（修改參數(shù)或配置網(wǎng)絡(luò)資源，改善運(yùn)行狀態(tài)）。解決的問題：對(duì)管理信息定義：說明監(jiān)視哪些管理信息、從哪些被管獲得信息監(jiān)控機(jī)制的設(shè)計(jì)：如何從被管資源得到需要的信息管理信息的應(yīng)用：根據(jù)收集的信息實(shí)現(xiàn)什么功能。管理信息：靜態(tài)信息：包括系統(tǒng)和網(wǎng)絡(luò)配置信息、動(dòng)態(tài)信息：網(wǎng)絡(luò)中出現(xiàn)的事件和設(shè)備的工作狀態(tài)有關(guān)、統(tǒng)計(jì)信息：從動(dòng)態(tài)信息推導(dǎo)的信息。網(wǎng)監(jiān)功能：確定從哪里收集管理信息，確定存在什

4、么地方。網(wǎng)監(jiān)配置：監(jiān)控應(yīng)用程序是監(jiān)控系統(tǒng)的用戶接口，完成性能、故障、寄費(fèi)監(jiān)視，管理功能完成與其它網(wǎng)絡(luò)元素代理進(jìn)城通信，監(jiān)控代理功能專門對(duì)管理信息計(jì)算和統(tǒng)計(jì)，把結(jié)果傳管理站。代理和管理站通信輪詢：一種請(qǐng)求響應(yīng)式的交付作用，有監(jiān)視器向代理請(qǐng)求，詢問所需信息，代理響應(yīng)，從其信息庫(kù)取請(qǐng)求的信息，返監(jiān)視器。事件報(bào)告：由代理主動(dòng)發(fā)信息，根據(jù)管理站要求定時(shí)發(fā)送狀態(tài)報(bào)告，或則監(jiān)測(cè)到某些特定事件或非正常事件生成事件報(bào)告，發(fā)送給管理站。選擇通信方式因素：傳送監(jiān)控信息的量、危機(jī)情況處理能力、網(wǎng)絡(luò)管理站通信時(shí)延、被管設(shè)備的處理工作量、消息傳輸?shù)目煽啃?、網(wǎng)管應(yīng)用特殊性、發(fā)消息前通訊設(shè)備失效的可能性。故障管理（前三是網(wǎng)絡(luò)

5、監(jiān)視）故障檢測(cè)報(bào)警：故障監(jiān)視代理隨時(shí)記錄系統(tǒng)出錯(cuò)情況和引起故障的事件，存在運(yùn)行日志數(shù)據(jù)庫(kù)中，對(duì)報(bào)告數(shù)量頻率要控制；故障預(yù)測(cè)：對(duì)各種可引起故障的參數(shù)建立門限值，隨時(shí)監(jiān)視參數(shù)值變化，超過門限報(bào)警；故障診斷定位：對(duì)設(shè)備通信線路測(cè)試，找出原因和地點(diǎn)；還要有效用戶接口軟件，使故障發(fā)現(xiàn)診斷定位排除可交互進(jìn)行。性能管理（最重）（性能監(jiān)視，兩類性能指標(biāo)：面向服務(wù)、面向效率）可用性：網(wǎng)絡(luò)系統(tǒng)、元素、或應(yīng)用對(duì)用戶可利用的時(shí)間百分比，是網(wǎng)絡(luò)元素可靠性（元素在具體條件下完成特定功能的概率，與各元素可靠性和組織新式有關(guān)）的表現(xiàn)。平均無故障時(shí)間MTBF度量元素故障率，則A（可用性）=MTBF/MTBF+MTTR（失效后平

6、均維修時(shí)間），串聯(lián)可用性A2,并聯(lián)2A-A2。響應(yīng)時(shí)間：用戶輸入請(qǐng)求到系統(tǒng)在終端返回結(jié)果的時(shí)間間隔，由系統(tǒng)各部分處理延遲時(shí)間組成，入口終端延遲（2400b/s=300字符/s,即一字符時(shí)延3.33us）、入口排隊(duì)時(shí)間、入口服務(wù)時(shí)間、CPU處理延遲、出口排隊(duì)時(shí)間、出口服務(wù)時(shí)間、出口終端延遲。正確性：網(wǎng)絡(luò)傳輸?shù)恼_。吞吐率：面向效率的指標(biāo)，一段時(shí)間完成的數(shù)據(jù)處理的數(shù)量或接受用戶會(huì)話的數(shù)量或處理呼叫的數(shù)量。利用率：網(wǎng)絡(luò)資源利用的百分率，面向效率，與負(fù)載有關(guān)。（性能測(cè)試報(bào)告包含） 主機(jī)對(duì)通信矩陣：源、目間傳的總分組數(shù)、數(shù)據(jù)分組數(shù)、數(shù)據(jù)字節(jié)、及所占百分?jǐn)?shù)；主機(jī)組通信矩陣：一主機(jī)間通信量統(tǒng)計(jì)，與上類時(shí)；分

7、組類型直方圖：各原始分組的統(tǒng)計(jì)信息，圖形表示；吞吐率利用率分布：各節(jié)點(diǎn)發(fā)送接收總字節(jié)數(shù)和數(shù)據(jù)字節(jié)數(shù)統(tǒng)計(jì)；分組到達(dá)時(shí)間直方圖：不同時(shí)間到達(dá)分組統(tǒng)計(jì)；信道獲取時(shí)間直方圖：網(wǎng)絡(luò)接口單元排隊(duì)等待發(fā)送、經(jīng)過不同延遲時(shí)間的分組統(tǒng)計(jì)；通信延遲直方圖：從發(fā)出原始分組到分組到達(dá)目標(biāo)的延遲時(shí)間；沖突計(jì)數(shù)直方圖：經(jīng)受不同沖突次數(shù)分組統(tǒng)計(jì)；傳輸計(jì)數(shù)直方圖：經(jīng)過不同試發(fā)送次數(shù)的分組數(shù)統(tǒng)計(jì)；功能全面的性能評(píng)價(jià)程序；人工負(fù)載生成程序。計(jì)帳管理跟蹤控制用戶對(duì)資源使用，把有關(guān)信息存在運(yùn)行日志數(shù)據(jù)庫(kù)，為收費(fèi)提供依據(jù)；需計(jì)費(fèi)資源 通信設(shè)施：LANWAN租用線路、PBX使用事件；計(jì)算機(jī)硬件：S/C機(jī)時(shí)數(shù)；軟件系統(tǒng)：下載應(yīng)用軟件和使用

8、程序費(fèi)用；服務(wù)：商業(yè)通信服務(wù)、信息提供服務(wù)。格式 用戶標(biāo)志符；連接目標(biāo)標(biāo)識(shí)符；傳送的分組數(shù)、字節(jié)數(shù)；安全級(jí)別；時(shí)間戳；指示網(wǎng)絡(luò)出錯(cuò)情況的狀態(tài)碼；使用的網(wǎng)絡(luò)資源。網(wǎng)絡(luò)控制（設(shè)置修改網(wǎng)絡(luò)設(shè)備參數(shù)，時(shí)設(shè)備系統(tǒng)或子網(wǎng)改變運(yùn)行狀態(tài)、按照需要配置網(wǎng)絡(luò)資源或重新初始化）配置管理初始化、維護(hù)、關(guān)閉網(wǎng)絡(luò)設(shè)備或子系統(tǒng)，被管設(shè)備包括物理設(shè)備和底層邏輯對(duì)象（傳輸層定時(shí)器、計(jì)數(shù)器、虛點(diǎn)路），功能模塊包括：定義配置信息、設(shè)置修改設(shè)備屬性（允許管理站遠(yuǎn)程修改代理中管理信息值。限制是授權(quán)的管理站、有些屬性反映硬件配置，不可改。修改信息的三種：只改數(shù)據(jù)庫(kù)，管理站向代理發(fā)命令，代理修改配置數(shù)據(jù)庫(kù)中數(shù)據(jù)值；修改數(shù)據(jù)庫(kù)和設(shè)備狀態(tài)；修

9、改數(shù)據(jù)庫(kù)，同時(shí)引起設(shè)備動(dòng)作）、定義修改網(wǎng)絡(luò)元素間互聯(lián)關(guān)系（繼承層次：管理對(duì)象之間繼承關(guān)系）、啟動(dòng)終止網(wǎng)絡(luò)運(yùn)行、發(fā)行軟件、檢查參數(shù)值和互聯(lián)關(guān)系、報(bào)告配置現(xiàn)狀。安全管理保護(hù)管理站和代理間信息交換安全。保密性：信息只能由授權(quán)用戶讀??；數(shù)據(jù)完整性：信息資源只能被授權(quán)用戶修改；可用性：權(quán)限用戶在需要時(shí)可利用網(wǎng)絡(luò)資源。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅：破壞了這三方面的安全性要求。中斷：信息無用，可用性；竊?。何词跈?quán)用戶訪問，保密性；串改：完整性；假冒：完整性。對(duì)硬件：破壞系統(tǒng)硬件可用性；軟件：操作系統(tǒng)、實(shí)用程序、應(yīng)用軟件被改、損壞、刪除，失去可用性，非法拷貝；數(shù)據(jù)非法訪問，破壞保密性，被修改假冒，破壞完整性，被刪除

10、，破壞可用性，甚至在無法直接讀取時(shí)通過分析文件信息推測(cè)數(shù)據(jù)特點(diǎn)；對(duì)網(wǎng)絡(luò)：被動(dòng)威脅，不改數(shù)據(jù)流，而是竊取線路信息，破壞保密，主動(dòng)威脅改變偽造信息流， 破壞完整性可用性，不必知道內(nèi)容，可改變信息方向，延遲、重放、重排序，還影響網(wǎng)絡(luò)正常使用。對(duì)網(wǎng)絡(luò)管理的安全威脅：偽裝的用戶：未授權(quán)的一般用戶企圖訪問網(wǎng)管應(yīng)用和管理信息；假冒的管理程序：無關(guān)的計(jì)算機(jī)系統(tǒng)偽裝成網(wǎng)絡(luò)管理站實(shí)施管理；侵入管理站和代理間的信息交換過程：入侵者觀察網(wǎng)絡(luò)活動(dòng)竊取敏感管理信息，串改管理信息，中斷管代通信。（以下是安全設(shè)施的管理）安全信息維護(hù)：安全信息維護(hù)功能包括：記錄系統(tǒng)出現(xiàn)的各類事件，追蹤安全審計(jì)試驗(yàn)，自動(dòng)記錄有關(guān)安全的重要事件，

11、報(bào)告和接收侵犯安全的警示信號(hào)，在懷疑出現(xiàn)威脅時(shí)防范，維護(hù)檢查安全記錄，分析風(fēng)險(xiǎn)，編址安全評(píng)價(jià)報(bào)告，備份保護(hù)敏感文件，研究各用戶活動(dòng)形象預(yù)先設(shè)定敏感資源使用形象，以便檢測(cè)授權(quán)用戶異?；顒?dòng)和對(duì)敏感資源的濫用。資源訪問控制：目的是保護(hù)網(wǎng)絡(luò)資源，與網(wǎng)絡(luò)有關(guān)的是，安全編碼、源路由和路由記錄信息、路由表、目錄表、報(bào)警門限、計(jì)費(fèi)信息。安全管理記錄用戶活動(dòng)形象各特殊文件使用形象檢查可能出現(xiàn)的異常訪問活動(dòng)。加密過程控制：對(duì)管理站和代理間交換的報(bào)文加密，可改變加密算法，秘鑰分配。Iso,1987.11sgmp簡(jiǎn)單網(wǎng)管監(jiān)控協(xié)議1989頒布iso dis7498-4(x.700)定義網(wǎng)絡(luò)管理基本概念和總體框架，199

12、1發(fā)布so9595公共管理信息服務(wù)定義cmis和iso9596公共管理信息協(xié)議規(guī)范cmip,1992公布iso10165定義管理信息結(jié)構(gòu)smi，以上組成iso管理標(biāo)準(zhǔn)1987.11sgmp演snmpv11990.1991,rfc1155(smi),rfc1157(snmp),rfc1212(mib定義),rfc1213(mib-2規(guī)范)，snmpv2(rfc1902-1908,1996),snmpv3(rfc2570-2575 apr,1999)；Netview適用分布式管理；SunNetManagerOpenView；Cisco work2000概念：ASN.1的書寫規(guī)則叫文本約定：書寫的布

13、局無效的。多空格空行等效一個(gè)、表示值和字段的標(biāo)識(shí)符類型指針模塊名由大小寫字母數(shù)字短線組成、標(biāo)識(shí)符以小寫字母開頭、ASN.1定義的內(nèi)部類型全部用大寫、關(guān)鍵字用大寫、注釋以短線開始以短線或行尾結(jié)束。表示層實(shí)體（ASN.1）符合標(biāo)準(zhǔn)ccitt x.208和iso8824，提供統(tǒng)一網(wǎng)絡(luò)數(shù)據(jù)表示，用于定義應(yīng)用數(shù)據(jù)抽象語法和應(yīng)用層協(xié)議數(shù)據(jù)單元結(jié)構(gòu)，對(duì)應(yīng)用實(shí)體編碼，變成二進(jìn)制比特。應(yīng)用實(shí)體（ftp）構(gòu)造協(xié)議數(shù)據(jù)單元。抽象語法獨(dú)立于編碼技術(shù)，僅與應(yīng)用有關(guān)，可選多種傳輸語法。傳輸語法把抽象數(shù)據(jù)變成比特串的規(guī)則。抽象數(shù)據(jù)類型 標(biāo)簽類型通用標(biāo)簽：由標(biāo)準(zhǔn)定義，適用任何應(yīng)用，分四類：簡(jiǎn)單類型（由單一成分構(gòu)成的原子類，除

14、universal16、17外都是簡(jiǎn)單，特點(diǎn)是可直接定義值的集合，可將其作為原子類構(gòu)造其它類，分四組：基本類：boolean、integer、bitstring、octetstring、real、enumerated；各種字符串類：1822，2527；object identifier和object descriptor；null空類、external外部類、utctime和generalizedtime）；構(gòu)造類新（序列sequence、sequence of；集合set、set of）；標(biāo)簽類型（應(yīng)用或用戶加在某類型上的標(biāo)簽，使用原因：一類型可有多類型名、結(jié)構(gòu)類型中可用上下文專用標(biāo)簽區(qū)分類

15、型相同的元素；implicit、explicit分別表示隱含和明示的標(biāo)簽類新，隱含標(biāo)簽語意是新?lián)Q老，編碼僅編新標(biāo)簽，明示標(biāo)簽語意是基本類新作為位移元素構(gòu)造類型，新老都編）；其它類型（choice和any）應(yīng)用標(biāo)簽：某個(gè)具體應(yīng)用定義的類型；上下文專用標(biāo)簽：在文本一定范圍適用；私有標(biāo)簽：用戶定義的。子類型由限制父類型的值集合而導(dǎo)出的類型，產(chǎn)生子類的方法單個(gè)值、包含子類型、值區(qū)間（用于整數(shù)實(shí)數(shù)，指出取值區(qū)間）、可用字符串（限制可用字符集）、限制大小、內(nèi)部子類型?；揪幋a：將asn表示的抽象類型值編為字符串。字段擴(kuò)充：標(biāo)簽值大于30的類型字節(jié)要擴(kuò)、值部分大于一個(gè)字節(jié)的表示范圍時(shí)長(zhǎng)度字節(jié)要擴(kuò)。宏表示：A

16、SN.1提供的表示機(jī)制，用于定義宏。宏定義：用宏表示定義的一個(gè)宏，是宏實(shí)列的集合，組成：類型表示、值表示、支持產(chǎn)生式；可看成式類型模版，可用此模版制造形式相似語意相關(guān)的數(shù)據(jù)類型，簡(jiǎn)化類型定義，用具體的值代替宏定義中的參數(shù)或變量就產(chǎn)生。宏實(shí)例：具體的值代替的宏定義中的變量產(chǎn)生的實(shí)例，代表一類型MIB：Tcp是端系統(tǒng)間的協(xié)議，保證可靠發(fā)送接收數(shù)據(jù)并給應(yīng)用層提供訪問端口。ip根據(jù)全網(wǎng)位移地址把數(shù)據(jù)從源搬到目的。網(wǎng)絡(luò)管理：網(wǎng)絡(luò)、設(shè)備和主機(jī)的管理。SNMP組成：管理信息庫(kù)的定義和管理信息庫(kù)的協(xié)議規(guī)范，內(nèi)容是mib樹和服務(wù)原語（Get檢索數(shù)據(jù)，Set改變數(shù)據(jù)，GetNext提供掃描MIB和連續(xù)檢索數(shù)據(jù)的方

17、法。Trap提供從代理進(jìn)程到管理站的異步報(bào)告機(jī)制。管代間通信以便查詢修改數(shù)據(jù)庫(kù)）。陷入制導(dǎo)輪詢：有效監(jiān)控被管設(shè)備，又不增加負(fù)載。站啟動(dòng)時(shí)或每隔定時(shí)用get輪詢代理，得到關(guān)鍵信息或基本性能統(tǒng)計(jì)參數(shù)，得到后停止輪詢，代理負(fù)責(zé)在必要時(shí)向站報(bào)告異常。網(wǎng)絡(luò)管理框架RFC1155管理信息結(jié)構(gòu)SMI（管理對(duì)象的語義和語法，mib1，僅存標(biāo)量和二維數(shù)組表對(duì)象）；RFC1212定MIB模塊的方法；RFC1213定MIB-2管理對(duì)象的核心集合；RFC1157定SNMPv1協(xié)議的規(guī)范文件。體系結(jié)構(gòu)：（應(yīng)用層、tcpudpipicmp、網(wǎng)絡(luò)訪問層）。Snmp：依托于UDP數(shù)據(jù)報(bào)，向管理應(yīng)用提供服務(wù)，作用是把管理應(yīng)用程

18、序的服務(wù)調(diào)用變成對(duì)應(yīng)的SNMP協(xié)議數(shù)據(jù)單元，并利用UDP數(shù)據(jù)報(bào)發(fā)送出去。委托代理：SNMP要求所有代理和站實(shí)現(xiàn)TCP/IP，不支持TCP/IP的，只能通過委托代理管理若干非TCP/IP設(shè)備，代表這些接受管理站查詢。實(shí)際上委托代理起到了協(xié)議轉(zhuǎn)換做用。委托代理和被管理設(shè)備間為非TCP/IP的專用協(xié)議。snmp環(huán)境管理對(duì)象組織方式 Mib結(jié)構(gòu) 層次樹作用：表示管理和控制關(guān)系（org3由iso管、internet1由iab）、提供結(jié)構(gòu)劃信息組織技術(shù)、提供對(duì)象命名機(jī)制。internet節(jié)點(diǎn)的四個(gè)節(jié)點(diǎn)directoty為iso的目錄服務(wù)（x.500）使用的mgmt包括iab批準(zhǔn)的所有管理對(duì)象experim

19、enttal標(biāo)識(shí)在互聯(lián)網(wǎng)上試驗(yàn)的所有管理對(duì)象private時(shí)為私人企業(yè)管理信息準(zhǔn)備只有enterprises tcp。連接表定義特點(diǎn)：整表時(shí)tcp連接項(xiàng)組成的同類序列、連接項(xiàng)由5個(gè)不同類型標(biāo)量元素組成的序列（integer、ipaddress、integer0.65535、ipaddress和integer0.65535）、連接表索引由4元素（本地地址、本地端口、遠(yuǎn)程地址、遠(yuǎn)程端口）的組合惟一區(qū)分表中一行。概念表行：表和行對(duì)象沒有實(shí)例標(biāo)識(shí)符，snmp不能訪問，訪問特性是notaccessible。詞典順序：站不知道代理提供的mib的組成，所以站要搜索mib樹，在不知道對(duì)象標(biāo)識(shí)符的情況下訪問對(duì)象

20、值。mib2功能組：11個(gè)功能組171個(gè)對(duì)象，選擇管理對(duì)象的標(biāo)準(zhǔn)：包括故障管理和配置管理的對(duì)象；只包含弱控制對(duì)象（錯(cuò)誤對(duì)系統(tǒng)不會(huì)造成嚴(yán)重危害）；選擇經(jīng)常使用的對(duì)象，并且證明當(dāng)前網(wǎng)絡(luò)管理中正在使用；為了易實(shí)現(xiàn)，開發(fā)mib1限制對(duì)象100左右，mib2有117；不包含具體專用對(duì)象；為免冗余，不包括可從已有對(duì)象導(dǎo)出的對(duì)象；每協(xié)議層的每關(guān)鍵部分分配一計(jì)數(shù)器，避免復(fù)雜編碼。系統(tǒng)組：提供系統(tǒng)一般信息。接口組：包含主機(jī)接口配置信息和統(tǒng)計(jì)信息。地址轉(zhuǎn)換組：僅為和min1兼容，其它對(duì)象已收到其它網(wǎng)絡(luò)協(xié)議組，理由：為支持多協(xié)議節(jié)點(diǎn)；為表示雙向映射關(guān)系（地址轉(zhuǎn)換表只許網(wǎng)絡(luò)地址到物理地址的映射）。ip組：提供與ip協(xié)

21、議有關(guān)的信息。ip地址表：包含與本地ip有關(guān)的信息，表中對(duì)象屬性只讀，snmp不能改變主機(jī)地址；ip路由表：包含轉(zhuǎn)發(fā)路由的一般信息，可讀寫，snmp可以設(shè)置；ip地址轉(zhuǎn)換表提供物理地址和ip地址對(duì)應(yīng)關(guān)系；rfc1354（1992.7）提出ip轉(zhuǎn)發(fā)表代替ip路由表增加了ipforwardpolicy（路由選擇策略）ipforwardnexthopas（下一自治系統(tǒng)地址）。icmp組：是ip的伴隨協(xié)議，包含有關(guān)ivmp實(shí)現(xiàn)和操作的有關(guān)信息。tcp組：包含與tcp協(xié)議的實(shí)現(xiàn)和操作有關(guān)的信息。udp組：提供關(guān)于udp數(shù)據(jù)報(bào)和本地接收端點(diǎn)的詳細(xì)信息。egp組：提供關(guān)于egp路由器發(fā)送接收egp報(bào)文的信息

22、以及egp鄰居的詳細(xì)信息。傳輸組：針對(duì)各種傳輸介質(zhì)提供詳細(xì)的管理信息，是聯(lián)系各接口的特殊節(jié)點(diǎn)，cmot組snmp組輸入錯(cuò)誤率=ifInErrors/（ifInUcastPkts+ifInNUcastPkts）輸出錯(cuò)誤率=ifOutErrors/（ifOutUcastPkts+ifOutNUcastPkts）Snmpv1：優(yōu)點(diǎn)簡(jiǎn)單、容易實(shí)現(xiàn)、基于人們有操作經(jīng)驗(yàn)的sgmp；缺點(diǎn)：沒有實(shí)質(zhì)性安全措施，無數(shù)據(jù)源認(rèn)證、不能防偷聽。商家因此廢除了set命令。雙軌策略：snmp可滿足當(dāng)前網(wǎng)管需要、配置簡(jiǎn)單網(wǎng)絡(luò)、將來可過渡到新網(wǎng)管標(biāo)準(zhǔn)；osi（即cmot）網(wǎng)管作為長(zhǎng)期解決辦法，可應(yīng)付未來復(fù)雜網(wǎng)絡(luò)配置，提供更全

23、面管理功能。停止原因：snmpmib應(yīng)是osimib子集，以便順利過渡到cmot，但osi定義的管理信息庫(kù)是復(fù)雜的面向?qū)ο竽Ｐ停松蠈?shí)現(xiàn)snmp幾乎不可能；osi系統(tǒng)管理標(biāo)準(zhǔn)和符合osi標(biāo)準(zhǔn)的網(wǎng)管產(chǎn)品開發(fā)進(jìn)展慢，期間snmp得到廠家支持，出現(xiàn)很多snmp產(chǎn)品，得到用戶接收。SNMPv2 ：為修補(bǔ)snmp安全，1992.7出現(xiàn)安全snmp（ssnmp，增強(qiáng)的功能：用報(bào)文算法md5保證數(shù)據(jù)完整和數(shù)據(jù)源認(rèn)證；用時(shí)間戳對(duì)報(bào)文排序；用des算法提供數(shù)據(jù)加密功能） 但沒有改變功能和效率方面的其它缺點(diǎn)，于是出現(xiàn)smp（8文件組成，擴(kuò)充表現(xiàn)在：適用范圍：smp可管任意資源，即網(wǎng)絡(luò)資源、應(yīng)用管理、系統(tǒng)管理，可實(shí)

24、現(xiàn)站間通信，提供靈活描述框架可描述一致性要求和實(shí)現(xiàn)能力；復(fù)雜程度、速度、效率：保持snmp簡(jiǎn)單性，易實(shí)現(xiàn)、提供數(shù)據(jù)傳送能力，速度效率高；安全設(shè)施：結(jié)合ssnmp提供的安全功能；兼容性：可運(yùn)行在tcpip網(wǎng)上，也適合osi系統(tǒng)和運(yùn)行其它通信協(xié)議的網(wǎng)絡(luò)），最后放棄ssnmp，以smp為基礎(chǔ)開發(fā)snmpv2snmpv3由于snmpv2沒有達(dá)到商業(yè)級(jí)別安全要求（提供數(shù)據(jù)源標(biāo)識(shí)、報(bào)文完整性認(rèn)證、防止重放、報(bào)文機(jī)密性、授權(quán)和訪問控制、遠(yuǎn)程配置、高層管理能力），1999.4發(fā)布snmpv3，其工作組目標(biāo)：產(chǎn)生一組必要文檔作為下一代snmp核心功能的單一標(biāo)準(zhǔn)，要求盡量使用已有文檔，使得新標(biāo)準(zhǔn)能適應(yīng)不同管理需求

25、的各種操作環(huán)境、便于已有的系統(tǒng)項(xiàng)v3過渡、可方便建立和維護(hù)管理系統(tǒng)。單一標(biāo)準(zhǔn)：在v2研制中有幾個(gè)不同建議（snmp security，9192 ，rfc1351rfc1353；smp，9292；基于party的v2，9395，rfc14411452），以上對(duì)v2的發(fā)展有貢獻(xiàn)，但各所描述的管理框架不一致，從而形成幾個(gè)不同的v2標(biāo)準(zhǔn)（基于團(tuán)體的v2（snmpv2crfx1901）；snmp2urfc1909rfc1910；snmp2*），v2c得到ietf認(rèn)可，但缺安全和高層管理，所以，1998.1發(fā)表文件（rfc2271描述管理框架體系結(jié)構(gòu)、2272簡(jiǎn)單網(wǎng)管協(xié)議報(bào)文處理和調(diào)度、2273v3應(yīng)用程

26、序、2274v3基于用戶的安全模型、2275基于視圖的訪問控制模型）作為安全和高層管理建議，1999.4公布v3的新標(biāo)準(zhǔn)草案（rfc2570internet標(biāo)準(zhǔn)網(wǎng)絡(luò)管理框架第三版引論、2571snmp管理框架體系結(jié)構(gòu)描述（代rfc2271）、2572簡(jiǎn)單網(wǎng)管協(xié)議報(bào)文處理調(diào)度（代2272）、2573v3應(yīng)用程序（代2273）、2574v3基于用戶安全模型usm（代2274）、2575v3基于視圖訪問控制模型vacm（2275）、2576snmp第1、2、3版共存問題（代2089，march2000），另外對(duì)v2的smiv2也修改（rfc2578管理信息結(jié)構(gòu)2版（代1902）、2579對(duì)smiv2

27、的文本約定（1903）、2580對(duì)v2的一致性說明（1904），v3不僅在v2上增加了安全和高管，還和以前v1v2兼容v1支持的操作僅支持對(duì)象值的檢索和修改，Get：檢索管理信息庫(kù)中標(biāo)量對(duì)象的值，Set：站設(shè)置管理信息庫(kù)中標(biāo)量對(duì)象值，Trap：代理向管理站報(bào)告管理對(duì)象狀態(tài)變化SNMP不支持管理站改變管理信息庫(kù)中結(jié)構(gòu)，不能增加刪除MIB中的管理對(duì)象實(shí)例。站不能向管理對(duì)象發(fā)出執(zhí)行一個(gè)動(dòng)作的命令。管理站只逐個(gè)訪信息庫(kù)中的葉子節(jié)點(diǎn)，不能一次性訪問一個(gè)子樹。PDU格式站和代理間交換的管理信息構(gòu)成SNMP報(bào)文，組成：版本號(hào)、團(tuán)體名、協(xié)議數(shù)據(jù)單元（PDU）。SNMP有5種管理操作，只4種PDU，管理站發(fā)出三

28、種請(qǐng)求報(bào)文GetRequest，GetNextRequest和SetRequest采用的格式是一樣的。代理的應(yīng)答報(bào)文只有一種：GetResponse.除Trap外，4種pdu格式相同，共有5個(gè)字段：a）PDU類型：共5種類型b）請(qǐng)求標(biāo)識(shí)：賦予每個(gè)請(qǐng)求報(bào)文唯一的整數(shù)，用于區(qū)別不同請(qǐng)求c）錯(cuò)誤狀態(tài)：有5種錯(cuò)誤狀態(tài)：（1）noerror，（2）tooBig，（3）noSuchName，（4）badOnly，（5）genErrord）錯(cuò)誤索引當(dāng)錯(cuò)誤狀態(tài)非0時(shí)指出出錯(cuò)的變量e）變量綁定表：變量名和對(duì)應(yīng)值的表；Trap包含：制造商ID、代理地址（產(chǎn)生陷入的代理ip地址）、一般陷入：SNMP定義7類、特殊陷

29、入：與設(shè)備有關(guān)的特殊陷入代碼、時(shí)間戳：代理發(fā)出陷入的時(shí)間。報(bào)文應(yīng)答序列管理站發(fā)出GetRequest、GetNextRequest、SetRequest代理返回GetResponse；Trap是代理給站的，不需要應(yīng)答，如果規(guī)定時(shí)間收到應(yīng)答，則按請(qǐng)求標(biāo)識(shí)符配對(duì)，即應(yīng)答與請(qǐng)求的標(biāo)識(shí)相同。發(fā)送和接收過程SNMP協(xié)議實(shí)體（PE）發(fā)送報(bào)文執(zhí)行：a）按ASN1格式構(gòu)造PDU，交給認(rèn)證進(jìn)程b）認(rèn)證進(jìn)程檢查源和目標(biāo)間是否可通信c）通過檢查，相關(guān)的版本號(hào)、團(tuán)體名、PDU組裝成報(bào)文d）經(jīng)過BER編碼，絞傳輸實(shí)體發(fā)送出去；接收?qǐng)?bào)文執(zhí)行：按BER編碼恢復(fù)ASN1報(bào)文、對(duì)報(bào)文驗(yàn)證版本和認(rèn)證信息，通過分析和驗(yàn)證，分離出協(xié)

30、議數(shù)據(jù)單元，進(jìn)行語法分析，必要時(shí)經(jīng)過適當(dāng)處理返回應(yīng)答報(bào)文、如果認(rèn)證檢驗(yàn)失敗，生成一個(gè)陷入報(bào)文，向發(fā)送站報(bào)告通信異常情況。如希望檢索多個(gè)管理對(duì)象，則要把多個(gè)管理對(duì)象裝入一個(gè)PDU，這就用到變量綁定表。v1的操作：檢索簡(jiǎn)單標(biāo)量對(duì)象值的方法：使用Get，如變量綁定表包含多變量，一次可檢多個(gè)標(biāo)量對(duì)象值。GetResponse操作的原子性：如果請(qǐng)求對(duì)象的值都可得，則應(yīng)答；反之，返回下列錯(cuò)誤（綁定表中一對(duì)象無法與MIB中任何對(duì)象標(biāo)示符匹配，或要檢索的對(duì)象是一個(gè)數(shù)據(jù)塊（子樹和表），沒有對(duì)象實(shí)例生成。返回的錯(cuò)誤狀態(tài)字noSuchName；因上下層協(xié)議限制，響應(yīng)實(shí)體可以提供所要檢索的值，但變量太多，一個(gè)相應(yīng)PD

31、U裝不下，tooBig；由于其它原因響應(yīng)實(shí)體至少不能提供一個(gè)對(duì)象的值，返回genError）2、檢索未知對(duì)象的方法：使用GetNext命令檢索變量名指示的下一個(gè)對(duì)象實(shí)例。如果交叉標(biāo)示符沒有有效性，直接查找下一個(gè)有效的標(biāo)示符，并返回對(duì)象實(shí)例。如果不知道UDP組內(nèi)有哪些變量可以直接發(fā)送GetNextRequest（udp），將得到響應(yīng)是UDP組內(nèi)的第一個(gè)對(duì)象表的更新和刪除Set用于設(shè)置更新變量值，PDU格式與Get相同；變量綁定表（variablebindings）中須包含要設(shè)置的變量名和值；Set的應(yīng)答也是GetResponse，是原子性；如所有的變量都可設(shè)，則更新所有變量值，返回GetResp

32、onse中確認(rèn)新值；如有一變量值不能設(shè)，所有變量值都保持不變，并在錯(cuò)誤狀態(tài)中指出原因。SET出錯(cuò)原因和GET類似（tooBigno，SuchName，GenError），若有一個(gè)變量的名字和要設(shè)置的值在類型、長(zhǎng)度或?qū)嶋H值方面不匹配，返回badValid.；增加行（發(fā)出命令與表的行數(shù)一樣）代理可拒絕，因?yàn)閕proute.不存在，返回noSuchName；可接收并企圖生成，但發(fā)現(xiàn)賦值不當(dāng)，返回badvalue；可接收，生成新行，得到響應(yīng)。（發(fā)出命令比表的行數(shù)少）代理增加一行，其余賦默認(rèn)值；代理拒絕，必須提供所有變量值.刪除行把一個(gè)對(duì)象的值設(shè)為invalid，返回響應(yīng)確認(rèn)；MIB-2

33、中只有2種表可刪除ipRouteTable包含ipRouteType可取值為invalid；ipNetMediaTable包含ipNetToMediaType可取值為invalid陷入由代理向站發(fā)出的異步事件報(bào)告，不需應(yīng)答。7種陷入條件：coldStart：發(fā)送實(shí)體重初始化，代理配置已改，系統(tǒng)失效引起；warmStart：發(fā)送實(shí)體重新初始化，代理配置沒有改變，正常重啟引起；linkDown：鏈路失效，變量綁定表的第一項(xiàng)指明對(duì)應(yīng)接口表的索引變量及其值；linkUp：鏈路啟動(dòng)通知變量綁定表的第一項(xiàng)指明對(duì)應(yīng)接口表的索引變量及其值；uthenticationFailure：發(fā)送實(shí)體收到一個(gè)沒有通過認(rèn)證

34、的報(bào)文；egpNeighborLoss：相鄰的外部路由器失效或關(guān)機(jī)；enterpriseSpecific：制造商定義的陷入，在特殊陷入字段指明具體的陷入類型snmp功能組共30個(gè)對(duì)象，除了snmpEnableAuthenTrap可由管理站設(shè)置，它指示是否允許代理產(chǎn)生“認(rèn)證失效”陷入，其它對(duì)象都是只讀的計(jì)數(shù)器實(shí)現(xiàn)問題網(wǎng)管站功能要求：選擇站管理產(chǎn)品先要關(guān)心它與標(biāo)準(zhǔn)的一致程度，與代理的互操作性、以及用戶界面、功能齊全、方便使用，選擇標(biāo)準(zhǔn)：支持?jǐn)U展的MIB、圖形用戶接口、自動(dòng)發(fā)現(xiàn)機(jī)制、可編程事件、高級(jí)網(wǎng)絡(luò)控制功能、面向?qū)ο蟮墓芾砟Ｐ?、用戶定義的圖標(biāo)。輪詢頻率對(duì)網(wǎng)管性能的影響：網(wǎng)絡(luò)輪詢頻率域網(wǎng)絡(luò)規(guī)模和代

35、理有關(guān)。網(wǎng)絡(luò)管理的性能還取決于管理站的處理速度、子網(wǎng)數(shù)據(jù)速率、網(wǎng)絡(luò)擁擠程度等因素；最多可支持設(shè)備數(shù)（輪詢代理數(shù)N）小于等于<=輪詢間隔T/單個(gè)輪詢所需時(shí)間（以下因素有關(guān)：管理站生成一個(gè)報(bào)文時(shí)間、管理站到代理的網(wǎng)絡(luò)延遲、代理處理一個(gè)請(qǐng)求報(bào)文時(shí)間、代理生成一個(gè)響應(yīng)報(bào)文時(shí)間、代理到管理站的網(wǎng)絡(luò)延時(shí)、管理站處理一個(gè)響應(yīng)報(bào)文的時(shí)間、為得到足夠的管理信息，交換請(qǐng)求/響應(yīng)報(bào)文的數(shù)量）。v1的局限性：由于輪詢的性能限制，SNMP不適合管理很大的網(wǎng)絡(luò)、不適合檢索大量數(shù)據(jù)、陷入報(bào)文時(shí)沒有應(yīng)答的，管理站是否收到陷入報(bào)文，代理不能確認(rèn)、只提供簡(jiǎn)單的團(tuán)體名認(rèn)證，安全措施不夠、不直接支持向被管設(shè)備發(fā)令、MIB-2支

36、持的管理對(duì)象有限，不能完成復(fù)雜的管理功能、不支持管理站之間的通信，這一點(diǎn)在分布式網(wǎng)絡(luò)中是很需要的。v2管理信息結(jié)構(gòu)4個(gè)關(guān)鍵定義：對(duì)象的定義：與v1在宏定義的差別（數(shù)據(jù)類型：v2增加了unsigned32、unsigned64；gauge32可設(shè)為小于232的任意數(shù)；計(jì)量器達(dá)到最大可自動(dòng)減小。Unitspart：增加units子句。Maxaccess子句：說明最大訪問級(jí)別與授權(quán)策略無關(guān)，去掉writeonly，增加readcreate、accessiblefornotify。Status子句：指明對(duì)象狀態(tài)）；概念表定義（分兩類：靜止刪除和生成的表，最高訪問級(jí)別readwrite；允許刪除和生成的

37、表：開始可能沒行，由站生成和刪除，行數(shù)可變。必須有index(定義了基本概念行，增加implide)或augments（代替index，表示概念行擴(kuò)展，其子句中變量叫基本概念行，包含子句的對(duì)象叫概念行擴(kuò)展，作為索引的列對(duì)象叫輔助對(duì)象，不可訪問，此限制意味（讀：v2規(guī)定讀任何對(duì)象實(shí)例，都要知道該對(duì)象實(shí)例所在行索引對(duì)象值；寫：如果管理程序改變了輔助對(duì)象值，則行標(biāo)識(shí)也變了此是不容許的；生成：行實(shí)例生成時(shí)必須同時(shí)給列對(duì)象賦值，此由代理完成）之一。V2允許使用不屬于概念行的外部對(duì)象作為概念行索引，此情況不能限制索引對(duì)象為不可訪問），表操作：允許生成刪除行的表必須有列對(duì)象，其syntax子句值為rowso

38、ft，maxaccess子集值為readwrite，此列叫概念行的狀態(tài)列（active：可讀寫，被管設(shè)備可用概念行；notinservice可讀寫：概念行存在，不能使用；notready只讀：概念行存在，因沒有信息而不能用；createandgo只寫不讀：站生成以概念行實(shí)例時(shí)先設(shè)置此狀態(tài)，生成結(jié)束時(shí)自動(dòng)變?yōu)閍ctive，被管設(shè)備就可使用了；createandwait只寫不讀：站生成以概念行實(shí)例時(shí)先設(shè)置此狀態(tài)，不自動(dòng)變?yōu)閍ctive；destroy只寫不讀：刪除時(shí)設(shè)置此狀態(tài)，以上除notready外站可用set，前三種可是響應(yīng)站的查詢而返回的狀態(tài)）。行的生成：兩種辦法：1、選擇實(shí)例標(biāo)識(shí)符，針對(duì)不

39、同索引可用不同方法選擇實(shí)例標(biāo)識(shí)符（如果標(biāo)識(shí)符語意明確，則站根據(jù)語意選擇標(biāo)識(shí)符；如果標(biāo)識(shí)符僅用于區(qū)分概念行，則站掃描整個(gè)表，選擇沒用的標(biāo)識(shí)符；由mib模塊提供一個(gè)對(duì)象輔助站確定一個(gè)未用標(biāo)識(shí)符；站選一隨機(jī)數(shù)作為標(biāo)識(shí)符），選好后，2、站可用兩種方法產(chǎn)生概念行（站通過事務(wù)處理一次性產(chǎn)生激活概念行（站需只表中哪些列要提供值，如果不知道，則用get檢查要生成的行的所有列。如果：返回一個(gè)值，說明其它站產(chǎn)生了此行，返回第一步；返回nosuchinstance，說明代理已實(shí)現(xiàn)該列對(duì)象類型，而且該列在站的mib視圖中可訪問，當(dāng)是readwrite時(shí)，站必須用set提供這列值；返回nosuchobject，代理沒有

40、實(shí)現(xiàn)，或該列在站的mib視圖不可訪問，則站不能用set操作。確定列后，站發(fā)出set。置狀態(tài)列createandgo，代理根據(jù)set提供的信息，以及實(shí)現(xiàn)專用的信息，設(shè)置列對(duì)象值，正常返回noerror，并且置狀態(tài)列active，如果代理不能完成，返回inconsistentcalue，站根據(jù)此信息決定重發(fā)）；站通過代理協(xié)商，合作生成（首先站用set置列狀態(tài)createandwait，如果：代理不接受，返回wrongvalue，站需已單個(gè)set操作為所有列對(duì)象提供值；如果執(zhí)行，生成概念行，返回noerror，狀態(tài)列置notready（代理沒足夠信息使概念行可用）或notinservice（代理有足

41、夠信息使概念行可用），3、初始化非默認(rèn)對(duì)象，站用get操作查詢所有列，以確定是否能設(shè)置列對(duì)象值，如果：代理返回一個(gè)值，表示代理實(shí)現(xiàn)了該列對(duì)象，而且能提供默認(rèn)值，且訪問特性是readwrite則站可用set改變值，如果返回nosuchinstance，說明代理實(shí)現(xiàn)該列的對(duì)象類形，可訪問卻不提供默認(rèn)值，弱是readwrite，則站必須set此值，如果返回nosuchobjice，說明代理沒實(shí)現(xiàn)該列，或者該列是站不可訪問，站不能設(shè)置；如果狀態(tài)列是notready，則站應(yīng)首先處理其值為nosuchinstance的列，狀態(tài)列完成notinservce，4、激活概念行，站對(duì)所有列對(duì)象實(shí)列滿意后，用set

42、操作置狀態(tài)列為active，如果：代理有足夠信息使得概念行可用，返回noerror，如果代理沒足夠信息使得概念行可用，返回noeinstance；具體實(shí)現(xiàn)時(shí)解決的問題：表可能大、一個(gè)setpdu不能容納行中所有變量、代理可能不支持表定義中某些對(duì)象、站不能訪問表中某對(duì)象、可能有多個(gè)站同時(shí)訪問一個(gè)表、代理在行生成前要檢查是否出現(xiàn)toobig、概念行中可能同時(shí)出現(xiàn)readonly、readcreat；實(shí)現(xiàn)系統(tǒng)希望的特點(diǎn)：應(yīng)容許在簡(jiǎn)單代理系統(tǒng)上實(shí)現(xiàn)、代理在生成行的過程中不必考慮行之間語意關(guān)系、不應(yīng)為了生成行而增加新pdu、生成操作應(yīng)在一個(gè)事務(wù)處理中、站可以盲目接收列對(duì)象默認(rèn)值、應(yīng)允許站查詢列對(duì)象默認(rèn)值

43、并自主決定是否重寫列對(duì)象值、某些表索引可取惟一任意值，對(duì)于這種表應(yīng)容許代理自主選擇索引值、在行生成過程中應(yīng)容許代理自主選擇索引值，可減少站負(fù)擔(dān)、由站尋找一未用索引值可能更費(fèi)時(shí)。概念行掛起：當(dāng)概念行處于active，如果站希望概念行脫離服務(wù)，以便修改，則可發(fā)出set命令，置狀態(tài)列notinservice，此時(shí)兩種可能：若代理不執(zhí)行，返回wrongvalue；代理可執(zhí)行，返回noerror。概念行刪除：站發(fā)出set，置狀態(tài)列destroy。通知的定義：通知類形宏定義notificationtype，定義異常條件出現(xiàn)時(shí)v2實(shí)體發(fā)送的信息。信息模塊定義：mib模塊，包含一組有關(guān)的管理對(duì)象的定義；mib

44、依從性聲明模塊，說明有關(guān)管理對(duì)象實(shí)現(xiàn)方面的最小要求；代理能力說明模塊：說明代理實(shí)體應(yīng)該實(shí)現(xiàn)的能力。管理信息庫(kù)mib 擴(kuò)展了mib2 功能組1、系統(tǒng)組v2的系統(tǒng)組是MIB-2系統(tǒng)組的擴(kuò)展，增了與對(duì)象資源（ObjectResource）有關(guān)一標(biāo)量對(duì)象sysORLastChange和一表對(duì)象sysORTable.。對(duì)象資源：由代理使用和控制，可以由站動(dòng)態(tài)配的系統(tǒng)資源。標(biāo)量對(duì)象sysORLastChange記錄對(duì)象資源表中描述的對(duì)象實(shí)例改變狀態(tài)的時(shí)間。2、SNMP組：由MIB-2的對(duì)應(yīng)組改造成，增了些新對(duì)象，但新SNMP組對(duì)象少了，刪了對(duì)排錯(cuò)不大的變量。3、MIB對(duì)象組：這組對(duì)象與管理對(duì)象的控制有關(guān)，

45、分兩子組。第一子組snmpTrap由snmpTrapOID和snmpTrapEnterprise組成。前是正發(fā)送的陷入或通知的對(duì)象標(biāo)識(shí)符。后是正發(fā)送的陷入有關(guān)的制造商標(biāo)識(shí)符。第二子組snmpSet只有snmpSerialNo一個(gè)對(duì)象，用于解決Set操作中可能出現(xiàn)的問題：一個(gè)站向同一MIB對(duì)象發(fā)送多個(gè)，需順序執(zhí)行；多個(gè)站對(duì)MIB的并發(fā)操作可能破壞數(shù)據(jù)庫(kù)的一致性和精確性。解決辦法：snmpserialno語法是testandincr，假設(shè)當(dāng)前值k（如代理收到的set操作置snmpserialno為k，則操作成功，響應(yīng)pdu返回k，此對(duì)象新值增加為k1；如代理收到一set操作，置此對(duì)象值不是k，則操

46、作失敗，返回錯(cuò)值inconsistentvalue。），set有原子性，當(dāng)站要置一或多個(gè)mib對(duì)象值，首先檢索snmpset，后發(fā)出set請(qǐng)求pdu，變量綁定表中包含要設(shè)置的mib值，也含檢索到的snmpserialno的值，按上規(guī)則1，成功，如多個(gè)站發(fā)出的set有同樣的snmpserialno，則先到set成功，snmpserialno增加后，其它失敗4、接口組：原組的不足：接口編號(hào)（ifnumber是常數(shù)，不適合允許動(dòng)態(tài)改變網(wǎng)絡(luò)接口協(xié)議）、接口子層（有時(shí)需區(qū)分網(wǎng)絡(luò)層下各子層，原來的沒有）、虛電路問題（一個(gè)接口可能有多各虛電路）、不同傳輸特性的接口（mib2接口表記錄內(nèi)容只適合基于分組傳輸?shù)?/p>

47、協(xié)議，不適合面向字符、比特和固定信息長(zhǎng)度的協(xié)議）、計(jì)數(shù)長(zhǎng)度（速度增加時(shí)，32位的計(jì)數(shù)器經(jīng)常溢出）、接口速度（ifspeed最大為2321bps，現(xiàn)網(wǎng)速遠(yuǎn)超此限制）、組播/廣播分組的計(jì)數(shù)（原不區(qū)分組播各廣播分組）、接口類新（iftype，原不能動(dòng)態(tài)改變）、ifSpecific問題（定義含糊）。4個(gè)新表：5、接口擴(kuò)展表：各種接口對(duì)象；6、接口堆棧表：說明接口表中屬同一物理接口各行間關(guān)系，指明哪子層運(yùn)行于那些子層上。7、接口測(cè)試表：由站指示代理測(cè)試接口故障（iftestid表示每隔測(cè)試的惟一標(biāo)識(shí)符，ifteststatus取值notinuse和inuse說明是否正在進(jìn)行。代理返回的iftestrus

48、ult取值：none沒有請(qǐng)求測(cè)試；success成功；inprogress測(cè)試正進(jìn)行；notsupported不支持請(qǐng)求的測(cè)試；unablerun由于系統(tǒng)狀態(tài)不能測(cè)試；aborted測(cè)試夭折；failed測(cè)試失?。?、接收地址表：包含每個(gè)接口對(duì)應(yīng)的各種地址。v2的3種訪問管理信息的方法：站和代理間的請(qǐng)求/響應(yīng)通信；站和站間的請(qǐng)求/響應(yīng)通信；代理系統(tǒng)到站的非確認(rèn)通信。報(bào)文結(jié)構(gòu)分為：版本號(hào)、團(tuán)體名和作為數(shù)據(jù)傳送的PDU。發(fā)送1、根據(jù)協(xié)議需要構(gòu)造PDU，2、把PDU、源和目標(biāo)端口地址及團(tuán)體名傳送給認(rèn)證服務(wù)，認(rèn)證服務(wù)產(chǎn)生認(rèn)證碼或?qū)ο髷?shù)據(jù)進(jìn)行加密，返回結(jié)果。3、加入版本號(hào)、團(tuán)體名構(gòu)造報(bào)文。4、進(jìn)行BER

49、編碼，產(chǎn)生0/1比特流，發(fā)送出去。接收1、對(duì)報(bào)文進(jìn)行語法檢查，丟棄錯(cuò)報(bào)，2、把PDU部分、源和目標(biāo)端口教給認(rèn)證服務(wù)。如果失效，發(fā)送陷入，丟棄。3、認(rèn)證通過，把PDU轉(zhuǎn)換成asn.1形式，4、協(xié)議實(shí)體對(duì)PDU作句法檢查，如通過，按團(tuán)體名和適當(dāng)?shù)脑L問策略作相應(yīng)的處理。6種協(xié)議數(shù)據(jù)單元，3種格式，GetRequest： v1響應(yīng)是原子性，有一個(gè)變量檢不到，就不返回值。v2不是，允許部分響應(yīng)。規(guī)則如下：如該變量的對(duì)象標(biāo)識(shí)符前綴不能與這一請(qǐng)求可訪問的任何變量的對(duì)象標(biāo)識(shí)符匹配，返回錯(cuò)誤值noSuchObject；如變量名不能與這一請(qǐng)求可訪問的任何變量名完全匹配，則返回一個(gè)錯(cuò)誤值noSuchInstance

50、；不屬于以上情況，在變量綁定表中返回被訪問的值；其他原因?qū)е绿幚硎?，返回錯(cuò)誤狀態(tài)genErr；如生成的響應(yīng)PDU過大，則放棄這個(gè)PDU，構(gòu)造新的相應(yīng)PDU，錯(cuò)誤狀態(tài)tooBigGetNextRequestPDU的響應(yīng)：對(duì)變量綁定表中指定的變量在MIB中查找按字典順序的后繼變量，如果找到，返回改變量的名字和值；如果找不到字典順序的后繼變量，返回endOfMibView.；其他情況導(dǎo)致相應(yīng)PDU構(gòu)造失敗，以與GetRequest類似的方式返回錯(cuò)誤值。GetBulkRequestPDU：是v2對(duì)原標(biāo)準(zhǔn)的主要增強(qiáng)，目的是以最少交換次數(shù)檢索大量管理信息，或要求站盡可能大的響應(yīng)報(bào)文。工作過程：設(shè)其綁定表

51、中有L個(gè)變量、最大后繼數(shù)為m，該pdu非重復(fù)數(shù)字段值為n，則對(duì)前n個(gè)變量各返回一詞典后繼，其余的rln個(gè)變量應(yīng)各返回最多m個(gè)詞典后繼，如可能，共返回nr*m個(gè)值，如查找過程中遇到不存在后繼的情況，返回endofmibviewsetrequestpdu：請(qǐng)求格式及語意與v1同，差別是處理響應(yīng)方式不同。分兩階段處理這個(gè)請(qǐng)求的變量綁定表：檢驗(yàn)操作的。合法性，然后更新變量；合法性包括：如果有一個(gè)變量不可訪問，返回noAccess、如與綁定表中變量共享對(duì)象標(biāo)識(shí)符的任MIB變量都不能生成、不能修改。也不接收指定的值，返回錯(cuò)誤狀態(tài)notWritable、設(shè)置類型不適合，WrongType、設(shè)置值的長(zhǎng)度和變量

52、長(zhǎng)度限制不同，WrongLength、要設(shè)置的ASN.1編碼不適合變量的ASN.1標(biāo)簽，wrongEncoding、指定值在任何情況下都不能賦予變量，wrongvalue、變量不存在，也不能生成，noCreation、變量存在，當(dāng)前情況不能生成，inconsistaneName、變量存在，但不能修改，notWritable、當(dāng)前情況不能為變量賦與制定的值，inconsistanevalue、缺乏資源，resourceUnavailable、其他原因?qū)е绿幚碜兞拷壎▽?duì)失敗，genErr；如檢查出錯(cuò)誤，則錯(cuò)誤索引時(shí)問題序號(hào)，否則賦值，當(dāng)至少一個(gè)賦值錯(cuò)誤，所有賦值撤銷，返回錯(cuò)誤狀態(tài)commitfai

53、ledpdu，不能全部撤銷，則返回undofailed，錯(cuò)誤狀態(tài)。TrapPDU：代理發(fā)給站的非確認(rèn)信息，包含sysUpTime.0（發(fā)出陷入時(shí)間），snmpTrapOID.0（陷入對(duì)象標(biāo)識(shí)符），有關(guān)通知宏定義中的各變量名及其值，代理系統(tǒng)選擇的其它變量的值。InformRequestPDU：管理站發(fā)給代理站的消息，需應(yīng)答，應(yīng)答報(bào)文超過本地或?qū)Ψ较拗疲瑒t返回錯(cuò)誤狀態(tài)toobig，如接收的請(qǐng)求報(bào)文不大。則把有關(guān)信息傳給應(yīng)用實(shí)體，返回noerr。站站通信：引入informrequest、管理站數(shù)據(jù)庫(kù)mib（組成：報(bào)警表snmpalarmtable，提供被監(jiān)視變量情況，記錄站站間報(bào)警信息；事件表snm

54、peventtable，記錄v2實(shí)體重要事件；事件通知表snmpeventnotifytable，發(fā)送通知的目標(biāo)和類型；此三表共同組成snmpm2m模塊，表示站間交換的主要信息）。snmpv3 管理框架站和代理統(tǒng)一叫snmp實(shí)體，由snmp引擎（標(biāo)識(shí)符：snmpengineid，與實(shí)體一一對(duì)應(yīng)，所以也是實(shí)體的惟一標(biāo)識(shí)）和snmp應(yīng)用組成。引擎。提供服務(wù)：發(fā)送接收?qǐng)?bào)文、認(rèn)證和加密報(bào)文、控制對(duì)管理對(duì)象的訪問。結(jié)構(gòu)：1、調(diào)度器：僅一個(gè)，可并發(fā)處理多版本報(bào)文，功能是：向/從網(wǎng)中發(fā)/收?qǐng)?bào)文；確定報(bào)文版本交給相應(yīng)報(bào)文處理模塊；為接收/發(fā)送pdu的snmp應(yīng)用程序提供抽象接口。2、報(bào)文處理子系統(tǒng)：由報(bào)文處理

55、模塊組成，每模塊定義一種特殊報(bào)文格式，按照預(yù)定格式準(zhǔn)備報(bào)文，或從接收的報(bào)文提取數(shù)據(jù)，允許擴(kuò)充其它報(bào)文處理模塊，可以是企業(yè)專用。3、安全子系統(tǒng)：提供安全服務(wù)，多種安全模塊提供不同安全服務(wù)，由安全模型和安全協(xié)議組成，每個(gè)模塊定義一種具體的安全模型，說明可以防護(hù)的安全威脅，提供安全服務(wù)的目標(biāo)和使用的安全協(xié)議，安全協(xié)議說明用于提供安全服務(wù)的機(jī)制、過程、mib對(duì)象，目前標(biāo)準(zhǔn)基于用戶安全模型。4、訪問子系統(tǒng)：通過訪問控制模塊提供授權(quán)服務(wù)，確定是允許訪問一管理對(duì)象，或是否可對(duì)某管理對(duì)象實(shí)施特殊的管理操作，每模塊定義一訪問決策功能，以支持對(duì)訪問權(quán)限的決策，還可通過已定義的mib進(jìn)行遠(yuǎn)程訪問控制策略。應(yīng)用程序5

56、種命令生成器：建立和處理snmp read/write請(qǐng)求及響應(yīng)；命令響應(yīng)器：接收snmp read/write請(qǐng)求，對(duì)管理數(shù)據(jù)訪問，按協(xié)議規(guī)定的操作產(chǎn)生相應(yīng)報(bào)文，返回給read/write的發(fā)送者；通知發(fā)送器：監(jiān)控系統(tǒng)出現(xiàn)的特殊事件，產(chǎn)生通知類型報(bào)文，并要一種機(jī)制決定向何處發(fā)送，使用什么安全參數(shù)和版本；通知接收器：監(jiān)聽報(bào)文，并對(duì)確認(rèn)形通知相應(yīng)；代理轉(zhuǎn)發(fā)器：在snmp實(shí)體間轉(zhuǎn)發(fā)報(bào)文。站和代理定義站：包含命令生成器、通知接收器的snmp實(shí)體；代理：包含命令響應(yīng)器、通知發(fā)送器的snmp實(shí)體?；谟脩舻陌踩Ｐ蛈sm v3把對(duì)網(wǎng)絡(luò)協(xié)議的安全威脅分為主要、次要，主要威脅：修改信息，即某些未經(jīng)授權(quán)的實(shí)體

57、改變了近來的報(bào)文，企圖實(shí)施未授權(quán)的管理操作，或提供虛假的管理對(duì)象；假冒：未授權(quán)用戶冒充授權(quán)用戶標(biāo)識(shí)，企圖實(shí)施管理操作；次要威脅：修改報(bào)文流，snmp基于無連接傳輸服務(wù)，重新排序報(bào)文、延遲或重放報(bào)文的威脅都可能出現(xiàn)，危害性在于通過報(bào)文流修改可能實(shí)施的非法管理操作；消息泄露：被偷聽。一般威脅：拒絕服務(wù)、通信分析，即第三者分析管理實(shí)體間通信規(guī)律，獲取信息。安全協(xié)議模塊 包括：時(shí)間序列模塊：提供對(duì)報(bào)文延遲和重放防護(hù)（每次通信有一引擎被定為權(quán)威的，而通信對(duì)方無權(quán)威，當(dāng)報(bào)文要求響應(yīng)，該報(bào)文接收者有權(quán)威，反之，不要求響應(yīng)時(shí)，發(fā)送者有權(quán)威，有權(quán)威的引擎維持一個(gè)時(shí)鐘值，無權(quán)威者跟蹤此值，并保持與之松散同步，時(shí)鐘

58、由兩變量組成：引擎重啟動(dòng)次數(shù)snmpengineboots、最后一次重啟動(dòng)經(jīng)過的秒數(shù)snmpenginetime，首次安裝時(shí)置此值為0。引擎重啟一次，snmpengineboots增加1，snmpenginetime置0，并重計(jì)時(shí)，如snmpenginetime增到最大，則boots加1，time回0，另外還要時(shí)間窗口限定報(bào)文提交的最大延遲時(shí)間150秒，這界限通常由上層管理模塊決定，延遲時(shí)間在界限內(nèi)的報(bào)文有效，一引擎要把報(bào)文發(fā)給有權(quán)威的引擎，或要驗(yàn)證一從有權(quán)威引擎接收的報(bào)文，則首先須發(fā)現(xiàn)有權(quán)威的引擎的snmpengineboots，snmpenginetime值，發(fā)現(xiàn)過程由無權(quán)威的引擎向有權(quán)威

59、的引擎發(fā)request報(bào)文，有權(quán)威的返回report，于是無權(quán)威把發(fā)現(xiàn)中得到的那兩值存在本地配置數(shù)據(jù)庫(kù)，分別記為bootsa、timea，如條件（bootsl為最大值；boota與bootl值不同；timea與timel相差大于150）成立，則報(bào)文在時(shí)間窗口外。當(dāng)無權(quán)引擎收到一認(rèn)證報(bào)文，提取新值，記為boota、timea，如條件（boota大于bootl；boota等于bootl而timea大于timel）成立，則引起同步（置bootslbootsa；置timeltimea。）；如條件（bootsl為最大值；boota小于等于bootl；timea小于timel 150）成立，則報(bào)文在時(shí)間窗口外）。認(rèn)證模塊：提供完整性和數(shù)據(jù)源認(rèn)證（mac指報(bào)文認(rèn)證碼，用于共享秘鑰的兩實(shí)體間，使用散列hash函數(shù)作密碼，可結(jié)合任何重復(fù)機(jī)密的散列函數(shù)。Hmacmd596認(rèn)證協(xié)議時(shí)使用散列函數(shù)md5的認(rèn)證協(xié)議，輸出摘要96位，此協(xié)議可驗(yàn)證完整性、數(shù)據(jù)源有效性；hmacsha96使用sha散列函數(shù)作密碼，計(jì)算160位摘要，竊取96作mac，此算法用的authkey為20個(gè)字節(jié)的認(rèn)證碼；加密模塊：cbcdes是加密協(xié)議，用des算法，56秘鑰，按cbc模式對(duì)6