SNMP及日志管理概述

1、SNMP及日志管理概述技術(shù)創(chuàng)新，變革未來隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，自動化網(wǎng)絡(luò)管理的要求越來越高。SNMP協(xié)議提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法，也為設(shè)備向網(wǎng)絡(luò)管理工作站報告問題和錯誤提供了一種方法。引入了解SNMP協(xié)議工作的C/S架構(gòu)熟悉SNMP的協(xié)議基礎(chǔ)MIB的實現(xiàn)和分類了解SNMP協(xié)議的歷史以及歷史版本的區(qū)別掌握SNMP協(xié)議在園區(qū)網(wǎng)設(shè)備上的配置課程目標學(xué)習(xí)完本課程，您應(yīng)該能夠：SNMP的基本架構(gòu)SNMP標準介紹SNMP在交換機上的配置目錄網(wǎng)絡(luò)管理關(guān)鍵功能OSI定義的網(wǎng)絡(luò)管理關(guān)鍵功能：故障管理 計費管理 配置管理性能管理安全管理網(wǎng)絡(luò)管理面臨的挑戰(zhàn)與SNMP網(wǎng)絡(luò)管理面臨的挑戰(zhàn)網(wǎng)絡(luò)規(guī)

2、模越來越大網(wǎng)絡(luò)設(shè)備越來越多樣性自動化管理成為網(wǎng)絡(luò)管理的基本需求SNMP提供了一種對多供應(yīng)商、可協(xié)同操作的網(wǎng)絡(luò)管理工具，成為應(yīng)用廣泛的IP網(wǎng)絡(luò)管理協(xié)議。SNMP協(xié)議實現(xiàn)簡單，適合IP網(wǎng)絡(luò)管理要求SNMP能夠花費最少的人力、設(shè)備、資金提供更智能的網(wǎng)絡(luò)管理服務(wù) SNMP基本架構(gòu)網(wǎng)絡(luò)管理站（NMS）代理器（Agent）SNMP協(xié)議管理信息庫（ MIB ） 網(wǎng)絡(luò)管理站NMS進程UDP 161UDP 162Agent進程SNMP RequestSNMP ResponseSNMP TrapIP網(wǎng)絡(luò)被管理設(shè)備MIB管理信息庫（MIB）IdentifierSyntaxAccess levelSMIMIBMIB是

3、一個被管理對象的集合定義被管理對象的一系列的屬性MIB通過SMI進行組織和定義MIB結(jié)構(gòu)MIB是一種樹形結(jié)構(gòu)每個節(jié)點有一個名字和一個編號名字不能重復(fù)同一層節(jié)點的編號不能相同節(jié)點可以通過名字或者OID來標識例如F節(jié)點可以表示為“1.2.2.1”節(jié)點類型分為葉子節(jié)點和非葉子節(jié)點rootAEBDFC1123121MIB實例root-nodeccitt(0)iso(1)joint(2)org(3)dod(6)Internet(1)directory(1)mgmt(2)experimental(3)private(4)mib-2system(1)interfaces(2)at(3)ip(4)icmp(5

4、)tcp(6)SNMP的基本架構(gòu)SNMP標準介紹SNMP在交換機上的配置目錄SNMP版本常用的SNMP有三個版本SNMPv1： RFC 1157定義SNMPv2c： RFC 1901RFC1908定義SNMPv3：RFC3411RFC3418定義目前正式SNMP標準版本為SNMPv3SNMPv1協(xié)議原理網(wǎng)絡(luò)管理站NMS進程UDP 161UDP 162Agent進程Get-RequestGetNext-RequestSet-RequestGet-ResponseSNMP TrapIP網(wǎng)絡(luò)被管理設(shè)備MIB基于團體名進行認證SNMP團體SNMPv1使用團體來進行安全機制管理團體是由Agent和若干個

5、網(wǎng)絡(luò)管理站應(yīng)用程序組成每個團體通過團體名即一個字符串來區(qū)別團體名實際上是一個相關(guān)權(quán)限的密碼可以訪問哪些節(jié)點訪問的類型（讀/設(shè)置）SNMPv1報文格式VersionCommunityPDUPDU TypeRequest-IDESEIVBListname1value1name2value2nameNvalueNPDU TypeenterpriseAgent-addrGeneric-trapSpecific-trapTime-stampVBListRequest/response PDUVBListTrap PDUSNMPv1 Get RequestifDescr.1Ethernet1ifDescr

6、.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetRequest:1.3.6.1.2.1.2.2.2.2,NULLGetResponse:1.3.6.1.2.1.2.2.2.2,ethernet2NMSAgentUDP：161ifDescrifIndexSNMPv1 GetNext RequestifDescr.1Ethernet1ifDescr.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetNextRequest:1.3.6.1.2.1.2.2.2

7、.2,NULLGetResponse:1.3.6.1.2.1.2.2.2.3, Serial1NMSAgentUDP：161ifDescrifIndexSNMPv1 SetRequestifAdminStatus .11ifAdminStatus .22（1）ifAdminStatus.31ifAdminStatus.41ifAdminStatus.51SetRequest:1.3.6.1.2.1.2.2.7.2,2GetResponse:1.3.6.1.2.1.2.2.7.2, 2NMSAgentUDP：161ifAdminStatusifIndexSNMPv1 TrapifAdminSta

8、tus .11ifAdminStatus .22（1）ifAdminStatus.31ifAdminStatus.41ifAdminStatus.51Trap:1.3.6.1.2.1.2.2.1.2, 2NMSAgentUDP：162ifIndexifIndexSNMPv1的不足SNMPv1的所有操作都是原子性的，效率低SNMPv1的錯誤狀態(tài)有限不支持NMS到NMS之間的通信SNMPv1的Trap報文格式存在缺陷SNMPv1安全性較弱SNMPv2c vs SNMPv1SNMPv2c也是基于團體名的安全機制SNMPv2c請求報文和響應(yīng)報文格式與SNMPv1一致SNMPv2c相對SNMPv1改進除

9、了Set操作是原子性的，其他操作都是非原子性的；增加了GetBulk操作，操作效率更高；具有更豐富的錯誤狀態(tài)和錯誤碼；支持更豐富的數(shù)據(jù)類型Trap報文格式與其他操作類型的報文格式進行了統(tǒng)一。GetBulk操作getNext的延伸，一個getBulk操作等價于多次執(zhí)行g(shù)etNext操作盡可能返回更多的值，提高網(wǎng)絡(luò)性能getBulk請求報文對ES和EI兩個參數(shù)進行了重用PDU typeRequest IDNM VBListN:non-repeaters:從VBList字段中的第一個變量算起，只要求返回一個字典后繼的變量，相當(dāng)于對前N個變量進行一次GetNext操作M：max-repeaters:V

10、BList中除了N個變量外剩余變量要求返回M個字典后繼變量，相當(dāng)于對剩余的每一個變量執(zhí)行M次GetNext操作GetBulk舉例ifDescr.1Ethernet1ifDescr.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetBulkRequest(N=1,M=2,VBList=ifDescr, ifInOctets)GetResponse(ifDescr.1: Ethernet1ifInOctets.1: 193301, ifInOctets.2: 592330,)NMSAgentifInOctets.1193301i

11、fInOctets.2592330ifInOctets.336235ifInOctets.40ifInOctets.50SNMPv2c提供更豐富的錯誤碼SNMPv1SNMPv2cbadvaluewrongValuebadvaluewrongEncodingbadvaluewrongTypebadvaluewrongLengthbadvalueinconsistentValuenoSuchNamenoAccessnoSuchNamenotWritablenoSuchNamenoCreationnoSuchNameinconsistentNamegenErrresourceUnavailableg

12、enErrgenErrgenErrcommitFailedgenErrundoFailedSNMPv1和SNMPv2c的安全性挑戰(zhàn)SNMPv1和SNMPv2c安全性基于團體名(community name)的有限的安全機制團體名是明文傳輸，入侵者很容易通過抓包工具來獲取報文不支持加密限制了SNMP在非完全信任的網(wǎng)絡(luò)中的使用SNMPv3在繼承了SNMPv2c的基礎(chǔ)上，提供認證加密訪問控制SNMPv3框架SNMP分發(fā)器SNMP消息處理器安全子系統(tǒng)消息處理子系統(tǒng)命令產(chǎn)生器命令相應(yīng)器告警接收器告警產(chǎn)生器代理轉(zhuǎn)發(fā)器其他應(yīng)用SNMP實體SNMP引擎SNMP應(yīng)用SNMPv3報文格式msgVersionmsg

13、IDmsgMaxSizemsgFlagsmsgSecurityModelmsgAuthoritativeEngineIDmsgAuthoritativeEngineTimemsgPrivacyParametersmsgAuthenticationParametersmsgUserNamemsgAuthoritativeEngineBootscontexEngineIDcontexnNamePDU加密域鑒別域數(shù)據(jù)部分消息頭安全參數(shù)SNMPv3安全性USM消息的完整性消息的合法性消息是否被延遲消息是否被重放消息是否防竊聽用戶訪問權(quán)限是否合法VACM消息鑒別合時性檢查消息加密USMSNMPv3 VA

14、CMsecurityModelsecurityNamegroupNamecontextNamesecurityModelsecurityLevelView-typeobject-typeobject-instancevariableNameviewNameDecision(Y/N)SNMP v1/v2C/v3對比PDU支持情況安全級別認證加密SNMPv1Get、GetNext、Set、Trap、GetResponsenoAuthNoPrivcommunityNOSNMPv2cGet、GetNext、Set、Trap、Inform、GetResponse、GetBulknoAuthNoPrivc

15、ommunityNOSNMPv3Get、GetNext、Set、Trap、Inform、GetResponse、GetBulknoAuthNoPrivAuthNoPrivAuthPrivMD5SHADES3DESAESSNMP的基本架構(gòu)SNMP標準介紹SNMP在交換機上的配置目錄SNMP配置任務(wù)啟動SNMP Agent服務(wù)配置SNMP運行版本創(chuàng)建MIB視圖內(nèi)容sysname snmp-agentsysname snmp-agent sys-info contact sys-contact | location sys-location | version v1 | v2c | v3 * | a

16、ll sysname snmp-agent mib-view excluded | included view-name oid-tree mask mask-value SNMP配置任務(wù)（續(xù)）創(chuàng)建SNMPv1 & SNMPv2c團體創(chuàng)建SNMPv3組創(chuàng)建SNMPv3用戶sysname snmp-agent community read | write community-name acl acl-number | mib-view view-name *sysname snmp-agent group v3 group-name authentication | privacy read-v

17、iew read-view write-view write-view notify-view notify-view acl acl-number sysname snmp-agent usm-user v3 user-name group-name cipher authentication-mode md5 | sha auth-password privacy-mode 3des | aes128 | des56 priv-password acl acl-number SNMP配置示例要求網(wǎng)管使用SNMPv3管理設(shè)備，用戶名為bob，該用戶的訪問要求認證加密，并且該用戶對MIB-2中的非atTable內(nèi)的節(jié)點有讀或?qū)憴?quán)限sysname snmp-agent mib-view included bobview mib-2sysname snmp-agent mib-view excluded bobview atTablesysname snmp-agent group v3 bobgroup privacy