網(wǎng)絡(luò)管理第二章

計(jì)算機(jī)網(wǎng)絡(luò)管理理論與實(shí)踐教程第二章簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP目錄緒論簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP網(wǎng)絡(luò)系統(tǒng)規(guī)劃與工程管理IP地址管理網(wǎng)絡(luò)配置管理網(wǎng)絡(luò)故障管理網(wǎng)絡(luò)性能管理網(wǎng)絡(luò)安全管理理論與技術(shù)網(wǎng)絡(luò)計(jì)費(fèi)管理網(wǎng)絡(luò)管理平臺(tái)與工具網(wǎng)絡(luò)管理機(jī)構(gòu)組織與運(yùn)行IT服務(wù)管理簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMPSNMP概述SNMP管理模型SNMP管理信息結(jié)構(gòu)SNMP管理信息庫(kù)遠(yuǎn)程監(jiān)視RMONSNMPV1分析SNMP安全分析2.1SNMP概述SNMP的發(fā)展歷程隨著TCP/IP協(xié)議廣泛應(yīng)用，網(wǎng)絡(luò)數(shù)目與網(wǎng)絡(luò)內(nèi)主機(jī)的數(shù)量不斷增多，網(wǎng)絡(luò)管理問(wèn)題日益凸顯。國(guó)際標(biāo)準(zhǔn)化組織（ISO）針對(duì)其自己提出的開(kāi)放系統(tǒng)互連參考模型（OSI）的七層協(xié)議框架設(shè)計(jì)了公共管理信息服務(wù)（CMIS）和公共管理信息協(xié)議（CMIP）。因特網(wǎng)工程任務(wù)組（IETF）為了管理快速增長(zhǎng)的Internet，決定修改并采用OSI的CMIP作為Internet的網(wǎng)絡(luò)管理協(xié)議，修改后的協(xié)議被稱(chēng)為：建立在TCP/IP之上的公共管理信息服務(wù)與協(xié)議(CMOT)。2.1SNMP概述SNMP的發(fā)展歷程CMIS/CMIP的實(shí)現(xiàn)由于復(fù)雜性和實(shí)現(xiàn)代價(jià)太高而遇到了許多困難，CMOT遲遲不能正式出臺(tái)。1990年IETF決定把在NYSERNET和SURANET上開(kāi)發(fā)的簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP）進(jìn)行修改后，作為暫時(shí)的網(wǎng)絡(luò)管理解決方案。這個(gè)臨時(shí)解決方案后來(lái)發(fā)展成為簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）的第一個(gè)版本SNMPv1。2.1SNMP概述SNMP的發(fā)展歷程為了彌補(bǔ)在安全方面的不足，IETF開(kāi)始進(jìn)行SNMP新版本的開(kāi)發(fā)工作。1992年7月，SNMP的設(shè)計(jì)者提出了稱(chēng)為SNMPsec的安全SNMP版本。2.1SNMP概述SNMP的發(fā)展歷程1993年，IETF發(fā)布了SNMP的第二版SNMPv2。SNMPv2吸取了SNMPsec以及RMON在安全性能和功能上的經(jīng)驗(yàn)，同時(shí)針對(duì)SNMPv1在管理大型網(wǎng)絡(luò)上的不足，對(duì)SNMP進(jìn)行了一系列的擴(kuò)充。2.1SNMP概述SNMP的發(fā)展歷程經(jīng)過(guò)幾年的試用發(fā)現(xiàn)SNMPv2的安全機(jī)制存在嚴(yán)重缺陷。許多設(shè)備提供商在SNMPv2的基礎(chǔ)上加入自定義的安全特性，逐漸形成了SNMPv2u及SNMPv23兩個(gè)版本。2.1SNMP概述SNMP的發(fā)展歷程為統(tǒng)一標(biāo)準(zhǔn)，IETF不得不在1996年對(duì)SNMPv2進(jìn)行修訂，發(fā)布了SNMPv2c。2.1SNMP概述SNMP的發(fā)展歷程1999年IETF正式發(fā)布了SNMPv3。SNMPv3是在SNMPv2基礎(chǔ)之上增加了安全和管理機(jī)制的協(xié)議，得到了設(shè)備生產(chǎn)廠商的支持。2.1SNMP概述SNMP的特點(diǎn)簡(jiǎn)單可擴(kuò)展應(yīng)用廣泛2.1SNMP概述SNMP存在的問(wèn)題不適合大型網(wǎng)絡(luò)管理。SNMP的trap是無(wú)確認(rèn)的，有可能導(dǎo)致不能確保非常嚴(yán)重的告警發(fā)送到管理者。安全性方面考慮不足。不支持如創(chuàng)建、刪除、動(dòng)作等類(lèi)型的操作。MIB模型不適合復(fù)雜的查詢(xún)。

2、SNMP體系結(jié)構(gòu)（1）SNMP為應(yīng)用層協(xié)議，是TCP/IP協(xié)議族的一部分。它通過(guò)用戶(hù)數(shù)據(jù)報(bào)協(xié)議(UDP)來(lái)操作。（2）SNMP在UDP、IP及有關(guān)的特殊網(wǎng)絡(luò)協(xié)議(如Ethernet、FDDI、X.25)之上實(shí)現(xiàn)。由于SNMP依賴(lài)UDP，而UDP是無(wú)連接型協(xié)議，所以SNMP也是無(wú)連接型協(xié)議。在管理站和代理者之間沒(méi)有在線的連接需要維護(hù)，每次交換都是管理站和代理者之間的一個(gè)獨(dú)立的傳送。2.1SNMP概述

之所以選擇UDP而不是TCP，是因?yàn)閁DP效率較高，這樣實(shí)現(xiàn)網(wǎng)絡(luò)管理不會(huì)太多地增加網(wǎng)絡(luò)負(fù)載。但由于UDP不是很可靠，所以SNMP報(bào)文容易丟失。為此，對(duì)SNMP實(shí)現(xiàn)的建議是管理信息要裝配成單獨(dú)的數(shù)據(jù)報(bào)獨(dú)立發(fā)送，而且報(bào)文應(yīng)短些，不超過(guò)484B。

2.1SNMP概述（3）在管理站中，

SNMP的管理者進(jìn)程（SNMP

Manager)對(duì)位于管理站中心的MIB的訪問(wèn)進(jìn)行控制，并提供網(wǎng)絡(luò)管理員接口。管理者進(jìn)程通過(guò)SNMP完成網(wǎng)絡(luò)管理。

SNMP的管理者進(jìn)程向管理應(yīng)用程序提供服務(wù)，它的作用是把管理應(yīng)用程序的服務(wù)調(diào)用變成對(duì)應(yīng)的SNMP協(xié)議數(shù)據(jù)單元，并利用UDP數(shù)據(jù)報(bào)發(fā)送出去。

2.1SNMP概述（4）每個(gè)網(wǎng)元或被管設(shè)備也必須實(shí)現(xiàn)SNMP、UDP和IP。有一個(gè)解釋SNMP的消息和控制代理者M(jìn)IB的代理者進(jìn)程。從管理站發(fā)出3類(lèi)與管理應(yīng)用有關(guān)的SNMP的消息GetRequest、GetNextRequest、SetRequest。3類(lèi)消息都由代理者用GetResponse消息應(yīng)答，該消息被上交給管理應(yīng)用。另外，代理者可以發(fā)出Trap消息，向管理者報(bào)告有關(guān)MIB及管理資源的事件。2.1SNMP概述圖1SNMP的協(xié)議環(huán)境2.1SNMP概述2.2SNMP管理模型SNMP管理模型的四個(gè)基本組成部分管理者管理代理管理協(xié)議管理信息庫(kù)2.2SNMP管理模型SNMP管理組織結(jié)構(gòu)兩層組織模式2.2SNMP管理模型SNMP管理組織結(jié)構(gòu)三層組織模式2.2SNMP管理模型SNMP管理組織結(jié)構(gòu)代理服務(wù)器組織模式1、管理站的輪詢(xún)技術(shù)

如果管理站負(fù)責(zé)大量的代理者，而每個(gè)代理者又維護(hù)大量的對(duì)象，則靠管理站及時(shí)地輪詢(xún)所有代理者維護(hù)的所有可讀數(shù)據(jù)是不現(xiàn)實(shí)的。因此管理站采取陷阱引導(dǎo)輪詢(xún)技術(shù)對(duì)MIB進(jìn)行控制和管理。2、陷阱引導(dǎo)輪詢(xún)技術(shù)(Trap-directedPolling)在初始化時(shí)，管理站輪詢(xún)某些關(guān)鍵信息(如接口特性、作為基準(zhǔn)的一些性能統(tǒng)計(jì)值，如發(fā)送和接收的分組的平均數(shù))的代理者。一旦建立了基準(zhǔn)，管理站將降低輪詢(xún)頻度。相反地，由每個(gè)代理者負(fù)責(zé)向管理站報(bào)告異常事件。2.2SNMP管理模型

例如，代理者崩潰和重啟動(dòng)、連接失敗、過(guò)載等。這些事件用SNMP的Trap消息報(bào)告。管理站一旦發(fā)現(xiàn)異常情況，可以直接輪詢(xún)報(bào)告事件的代理者或它的相鄰代理者，對(duì)事件進(jìn)行診斷或獲取關(guān)于異常情況的更多的信息。陷阱引導(dǎo)輪詢(xún)可以有效地節(jié)約網(wǎng)絡(luò)容量和代理者的處理時(shí)間。網(wǎng)絡(luò)基本上不傳送管理站不需要的管理信息，代理者也不會(huì)無(wú)意義地頻繁應(yīng)答信息請(qǐng)求。

2.2SNMP管理模型

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型

1．MicrosoftSNMP服務(wù)

SNMP是TCP／IP協(xié)議族的一部分，提供了在系統(tǒng)之間監(jiān)視并交流狀態(tài)信息的能力。基于Windows的SNMP使用由管理系統(tǒng)和代理組成的分布式體系結(jié)構(gòu)。

Windows下的SNMP2.2SNMP管理模型

Windows的SNMP服務(wù)包括兩個(gè)應(yīng)用程序：一個(gè)是SNMP代理服務(wù)程序SNMP.EXE，另一個(gè)是SNMP陷入服務(wù)程序SNMPTRAP.EXE。Windows的SNMP代理服務(wù)是可擴(kuò)展的，即允許動(dòng)態(tài)地加入或減少M(fèi)IB信息，叫做擴(kuò)展代理。擴(kuò)展代理處理私有的MIB對(duì)象和特定的陷入條件。當(dāng)SNMP代理服務(wù)接收到一個(gè)請(qǐng)求報(bào)文時(shí)，它就把變量綁定表的有關(guān)內(nèi)容送給對(duì)應(yīng)的擴(kuò)展代理。擴(kuò)展代理根據(jù)SNMP的規(guī)則對(duì)其私有的變量進(jìn)行處理，形成響應(yīng)信息。Windows下的SNMP2.2SNMP管理模型

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型

2.SNMP服務(wù)的執(zhí)行

1)運(yùn)行SNMP的準(zhǔn)備工作

運(yùn)行SNMP要做好如下準(zhǔn)備：主機(jī)名和IP地址、主機(jī)名解析、管理系統(tǒng)、代理、定義SNMP共同體。

2)SNMP共同體的定義

SNMP共同體是運(yùn)行SNMP服務(wù)的主機(jī)所屬的小組，共同體由共同體名識(shí)別。

Windows下的SNMP2.2SNMP管理模型

3)SNMP服務(wù)的工作過(guò)程

SNMP服務(wù)對(duì)管理系統(tǒng)的請(qǐng)求做出響應(yīng)的步驟如下：

(1)SNMP管理系統(tǒng)使用一個(gè)代理的主機(jī)名或IP地址，將請(qǐng)求發(fā)送給該代理。該應(yīng)用程序?qū)⒄?qǐng)求傳遞給套接字(UDP端口)161。

(2)建立包含如下信息的SNMP數(shù)據(jù)包：針對(duì)一個(gè)或多個(gè)對(duì)象的Get、GetNext或Set請(qǐng)求；共同體名和其他驗(yàn)證信息；數(shù)據(jù)包被路由到代理上的套接字(UDP端口)16l。

(3)SNMP代理在其緩沖區(qū)中接收該數(shù)據(jù)包。對(duì)共同體名進(jìn)行驗(yàn)證，如果共同體名無(wú)效或數(shù)據(jù)包格式不正確，則將它丟棄。如果共同體名有效，則代理將驗(yàn)證源主機(jī)名或IP地址。

(4)SNMP數(shù)據(jù)包與所請(qǐng)求的信息一起被返回給SNMP管理器。2.2SNMP管理模型

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型3.Windows環(huán)境下SNMP服務(wù)的安裝

在Windows環(huán)境下面學(xué)習(xí)SNMP網(wǎng)絡(luò)管理需要兩個(gè)先決條件。（1）安裝并配置好Windows2000的SNMP服務(wù)器，它是我們前面介紹的代理進(jìn)程；（2）獲取一個(gè)命令行下面的網(wǎng)管工具：snmptuil.exe，這是微軟Windows2000資源工具中的一個(gè)軟件，它也是網(wǎng)絡(luò)管理系統(tǒng)中的管理進(jìn)程。Windows下的SNMP2.2SNMP管理模型

對(duì)于被管設(shè)備，如路由器、網(wǎng)橋、主機(jī)等，出廠時(shí)若是可網(wǎng)管的，則廠商已在設(shè)備操作系統(tǒng)中加入了網(wǎng)管功能，只需啟用SNMP，更改共同體名從默認(rèn)的public到一個(gè)不易被外人猜到的字符串，設(shè)置陷阱目標(biāo)地址(設(shè)置為網(wǎng)絡(luò)管理工作站或所在域的域管理代理的IP地址)，即可接受網(wǎng)絡(luò)管理站的管理。Windows下的SNMP2.2SNMP管理模型

網(wǎng)絡(luò)管理站一般部署在服務(wù)器上。根據(jù)實(shí)現(xiàn)功能的強(qiáng)弱，可以有選擇性地運(yùn)行在UNIX及其變體或Windows上，由于目前企業(yè)網(wǎng)的服務(wù)器通常采用UNIX和Windows系列的服務(wù)器，但是網(wǎng)絡(luò)管理員對(duì)Windows環(huán)境較為熟悉，故僅面向Windows操作系統(tǒng)加以介紹。Windows下的SNMP2.2SNMP管理模型

SNMP的安裝步驟如下。

(1)打開(kāi)“控制面板”，雙擊“添加或刪除程序”圖標(biāo)，然后在打開(kāi)的窗口中單擊“添加/刪除Windows組件”按鈕，彈出“Windows組件向?qū)А睂?duì)話框，Windows下的SNMP2.2SNMP管理模型圖3.3

選擇安裝項(xiàng)目2.2SNMP管理模型（2）選中“管理和監(jiān)視工具”復(fù)選框，然后雙擊該選項(xiàng)，彈出如圖所示的對(duì)話框。選中“簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)”復(fù)選框，單擊“確定”按鈕。Windows下的SNMP2.2SNMP管理模型

選擇SNMP組件

(3)系統(tǒng)開(kāi)始復(fù)制文件，如圖所示。在復(fù)制文件過(guò)程中，會(huì)提示插入系統(tǒng)安裝光盤(pán)。將光盤(pán)插入后，等待文件復(fù)制完成即可。Windows下的SNMP2.2SNMP管理模型

配置組件

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型

4．SNMP網(wǎng)管代理設(shè)置

(1)在“控制面板”中打開(kāi)“管理工具”窗口，雙擊“服務(wù)”圖標(biāo)，可以看到本機(jī)已啟動(dòng)的各種服務(wù)程序。找到SNMPService項(xiàng)，如圖所示，它就是網(wǎng)管代理服務(wù)程序，查看此服務(wù)是否已啟動(dòng)。

Windows下的SNMP2.2SNMP管理模型

SNMPService服務(wù)

(2)如果SNMPService未啟動(dòng)，則雙擊此項(xiàng)，在打開(kāi)的“SNMPService的屬性（本地計(jì)算機(jī)）”對(duì)話框中進(jìn)行配置，在該對(duì)話框中可以設(shè)置啟動(dòng)類(lèi)型(如圖3.7所示)、登錄用戶(hù)名與密碼、共同體Community名稱(chēng)。

Windows下的SNMP2.2SNMP管理模型

啟動(dòng)類(lèi)型設(shè)置

另外，在“SNMPService的屬性（本地計(jì)算機(jī)）”對(duì)話框中配置可以控制訪問(wèn)本機(jī)的SNMP代理的主機(jī)IP地址，加入一些允許訪問(wèn)本機(jī)代理的網(wǎng)絡(luò)服務(wù)站，如圖所示。

Windows下的SNMP2.2SNMP管理模型

SNMPService允許訪問(wèn)設(shè)置

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型

5．SNMPTrapService服務(wù)設(shè)置

SNMPTrapService有時(shí)稱(chēng)為SNMP事件陷阱，通過(guò)設(shè)置Trap，進(jìn)行陷阱時(shí)間捕捉。當(dāng)網(wǎng)管代理發(fā)現(xiàn)設(shè)置的值超出設(shè)定范圍后，就立即啟動(dòng)自動(dòng)Trap命令，向網(wǎng)絡(luò)管理員報(bào)告。Trap不必等到網(wǎng)絡(luò)管理員發(fā)出查詢(xún)命令，它往往用于一些緊急事件。

Windows下的SNMP2.2SNMP管理模型

SNMPTrapService的配置過(guò)程是：首先打開(kāi)“控制面板”中“管理工具”的“服務(wù)”窗口，查看有無(wú)SNMPTrapService項(xiàng)目，如果沒(méi)有，則需要安裝相關(guān)的協(xié)議與服務(wù)軟件。如果安裝了相關(guān)的服務(wù)和協(xié)議，則可以對(duì)SNMPTrap進(jìn)行設(shè)置。設(shè)置的參數(shù)主要有啟動(dòng)類(lèi)型(如圖3.9所示)，登錄用戶(hù)名與密碼、故障恢復(fù)參數(shù)、Trap的依存關(guān)系等。

Windows下的SNMPWindows下的SNMP2.2SNMP管理模型圖3.9

SNMPTrap啟動(dòng)類(lèi)型設(shè)置

一旦安裝并啟動(dòng)了簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP，系統(tǒng)將打開(kāi)UDP161snmp和UDP162snmptrap兩個(gè)端口。需要注意的是，這里使用的是UDP端口，而不是TCP端口。Windows下的SNMP2.2SNMP管理模型1、被管理的資源的表示－－被管對(duì)象在SNMP中，采用面向?qū)ο蟮募夹g(shù)，用被管對(duì)象的概念來(lái)描述被管理的資源。2、管理信息結(jié)構(gòu)管理信息結(jié)構(gòu)（StructerofManagementInformation，SMI）定義了描述被管對(duì)象的規(guī)則，以及管理協(xié)議如何訪問(wèn)這些對(duì)象。

1）定義和構(gòu)造MIB的基本框架。

2）確定了能夠用于MIB中的數(shù)據(jù)類(lèi)型。

3）說(shuō)明對(duì)象在MIB內(nèi)部怎樣表示和命名。管理信息結(jié)構(gòu)的定義和功能2.3SNMP管理信息結(jié)構(gòu)3、SMI的基本指導(dǎo)思想

SMI的基本指導(dǎo)思想是追求MIB的簡(jiǎn)單性和可擴(kuò)充性。因此，MIB只能存儲(chǔ)簡(jiǎn)單的數(shù)據(jù)類(lèi)型：標(biāo)量和標(biāo)量的二維矩陣。我們將看到SNMP只能提取標(biāo)量，包括表中的單獨(dú)的記錄。為什么SMI不使用復(fù)雜的數(shù)據(jù)類(lèi)型

SMI避開(kāi)復(fù)雜的數(shù)據(jù)類(lèi)型是為了降低實(shí)現(xiàn)的難度和提高互操作性。管理信息結(jié)構(gòu)的定義和功能2.3SNMP管理信息結(jié)構(gòu)4、抽象語(yǔ)法表示被管對(duì)象的描述必須按照抽象語(yǔ)法表示（AbstractSyntaxNotationOne，ASN.1）進(jìn)行編碼。

ASN.1是一種用于描述結(jié)構(gòu)化客體的結(jié)構(gòu)和內(nèi)容的語(yǔ)言.5、被管對(duì)象具有的三個(gè)屬性對(duì)象名字、對(duì)象語(yǔ)法、對(duì)象編碼。

管理信息結(jié)構(gòu)的定義和功能2.3SNMP管理信息結(jié)構(gòu)

對(duì)象類(lèi)型的命名（對(duì)象名字）

SNMP的管理信息庫(kù)采用和域名系統(tǒng)DNS相似的樹(shù)狀結(jié)構(gòu)，它的根在最上面，根沒(méi)有名字。它又稱(chēng)為對(duì)象命名樹(shù)（objectnamingtree）。

MIB是包含管理設(shè)備及其管理對(duì)象的樹(shù)狀結(jié)構(gòu)的信息庫(kù)。樹(shù)狀結(jié)構(gòu)中葉節(jié)點(diǎn)對(duì)象就是實(shí)際被管理對(duì)象。也就是說(shuō)，每個(gè)被管對(duì)象對(duì)應(yīng)樹(shù)狀結(jié)構(gòu)的一個(gè)葉子節(jié)點(diǎn)，稱(chēng)為一個(gè)對(duì)象（Object）。

2.3SNMP管理信息結(jié)構(gòu)2.3SNMP管理信息結(jié)構(gòu)樹(shù)根是引用ASN.1標(biāo)準(zhǔn)的對(duì)象。從樹(shù)根開(kāi)始，第一級(jí)有3個(gè)節(jié)點(diǎn):iso、ccitt、joint-iso-ccitt。在iso節(jié)點(diǎn)下面有一個(gè)為“其他組織”使用的子樹(shù)。其中有一個(gè)美國(guó)國(guó)防部的子樹(shù)(dod)。SNMP在dod之下設(shè)置一個(gè)子樹(shù)用于Internet的管理。國(guó)際標(biāo)準(zhǔn)化組織(ISO)1組織(ORG)3美國(guó)國(guó)防部(DOD)6Internet1目錄1管理2實(shí)驗(yàn)3專(zhuān)用4企業(yè)1MicrosoftCorp

311MIBII1MicrosoftCorp.4.1.311ernet.private.enterprise.microsoft微軟有權(quán)在其下分配名字2.3SNMP管理信息結(jié)構(gòu)

internet子樹(shù)由因特網(wǎng)架構(gòu)委員會(huì)（IAB）管理，之下定義了4個(gè)節(jié)點(diǎn)：directory為與OSI的directory相關(guān)的將來(lái)的應(yīng)用保留的節(jié)點(diǎn)。mgmt用于標(biāo)識(shí)所有被IAB批準(zhǔn)的子節(jié)點(diǎn)和對(duì)象。experimental用于標(biāo)識(shí)在IETF試驗(yàn)下的對(duì)象。private用于標(biāo)識(shí)單方面定義的對(duì)象。

注：第二個(gè)節(jié)點(diǎn)是mgmt（管理）。其下面是管理信息庫(kù)，mgmt子樹(shù)包含IAB已經(jīng)批準(zhǔn)的管理信息庫(kù)的定義。2.3SNMP管理信息結(jié)構(gòu)2．對(duì)象類(lèi)型的命名（對(duì)象名字）

MIB中的每個(gè)對(duì)象類(lèi)型都被賦予一個(gè)對(duì)象標(biāo)識(shí)符(objectidentifier)，以此來(lái)命名對(duì)象。每一個(gè)對(duì)象都代表一些資源、活動(dòng)或其它要管理的相關(guān)信息。

（1）對(duì)象標(biāo)識(shí)符

每個(gè)MIB對(duì)象都使用對(duì)象標(biāo)識(shí)符（OID）來(lái)唯一標(biāo)識(shí)，

2.3SNMP管理信息結(jié)構(gòu)（2）數(shù)字標(biāo)識(shí)和名字標(biāo)識(shí)

SMI為MIB樹(shù)上的每個(gè)節(jié)點(diǎn)分配了一個(gè)數(shù)字標(biāo)識(shí)，同時(shí)為了便于記憶和理解，又為每個(gè)節(jié)點(diǎn)提供了一個(gè)文本方式的對(duì)象描述符。每個(gè)節(jié)點(diǎn)都可以使用數(shù)字或字符兩種方式顯示。（3）完整的對(duì)象標(biāo)識(shí)符一個(gè)完整的對(duì)象標(biāo)識(shí)符是從MIB庫(kù)的根開(kāi)始到此被管對(duì)象所對(duì)應(yīng)的節(jié)點(diǎn)沿途上所有節(jié)點(diǎn)的數(shù)字標(biāo)識(shí)或名字標(biāo)識(shí)，中間以“.”間隔而成。2.3SNMP管理信息結(jié)構(gòu)這種訪問(wèn)方式和文件系統(tǒng)的組織方式一致。主要區(qū)別：

1）文件系統(tǒng)中的路徑名可以以絕對(duì)方式也可以以相對(duì)方式表示2）MIB數(shù)據(jù)對(duì)象只能以絕對(duì)方式表示，不能使用相對(duì)方式。2.3SNMP管理信息結(jié)構(gòu)

案例：一個(gè)被管對(duì)象的對(duì)象標(biāo)識(shí)符表示。

要訪問(wèn)數(shù)據(jù)對(duì)象sysDescr（1），該對(duì)象在system(1)下，而sysDescr（1）處在葉子節(jié)點(diǎn)的位置?，F(xiàn)在看不到樹(shù)根root（.），其余所有的分支都是從這里擴(kuò)展而來(lái)的。通常用帶點(diǎn)的符號(hào)來(lái)表示數(shù)據(jù)對(duì)象的標(biāo)識(shí)符。假定，其完整的標(biāo)識(shí)符應(yīng)該是這樣的：

ernet.mgmt.mib.system.sysDescr

（這個(gè)標(biāo)識(shí)符應(yīng)該從左向右讀）。2.3SNMP管理信息結(jié)構(gòu)

案例：一個(gè)被管對(duì)象的對(duì)象標(biāo)識(shí)符表示。

被管對(duì)象也可以以另一種更短的格式表示，即用數(shù)字形式標(biāo)識(shí)符代替分支名形式的表示形式。上面的那種形式的標(biāo)識(shí)符

ernet.mgmt.mib.system.sysDescr

還可以用

.來(lái)表示。2.3SNMP管理信息結(jié)構(gòu)

這兩種表達(dá)格式的作用是一致的，都表示同一個(gè)MIB數(shù)據(jù)對(duì)象，可以根據(jù)個(gè)人偏好選擇表達(dá)格式。許多MIB瀏覽器可以以?xún)烧咧腥魏我环N格式來(lái)表示數(shù)據(jù)對(duì)象，這使得兩種格式間的相互轉(zhuǎn)化非常容易。

2.3SNMP管理信息結(jié)構(gòu)由上可見(jiàn)，對(duì)象標(biāo)識(shí)符滿足:

1)每個(gè)被管對(duì)象都必須有一個(gè)全局對(duì)象標(biāo)識(shí)符;

2)所有對(duì)象標(biāo)識(shí)符在全局上構(gòu)成一棵對(duì)象標(biāo)識(shí)符樹(shù);

3)所有SNMP被管對(duì)象的標(biāo)識(shí)符以ernet.mgmt.mib開(kāi)始,

即.2.1。2.3SNMP管理信息結(jié)構(gòu)

在只討論internet中的對(duì)象時(shí)，可只畫(huà)出internet以下的子樹(shù)，并在internet節(jié)點(diǎn)旁邊標(biāo)注上{}即可。對(duì)于SNMP來(lái)說(shuō)，樹(shù)狀結(jié)構(gòu)的命名方式最大的好處是便于加入新的網(wǎng)絡(luò)管理對(duì)象，具有良好的可擴(kuò)展性，新加入的被管對(duì)象只是其父節(jié)點(diǎn)子樹(shù)的延伸，對(duì)其他節(jié)點(diǎn)不會(huì)產(chǎn)生影響。

2.3SNMP管理信息結(jié)構(gòu)

1．抽象語(yǔ)法表示法ASN.1

2．SMI對(duì)象語(yǔ)法對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

1．抽象語(yǔ)法表示法ASN.1

ASN.1抽象語(yǔ)法標(biāo)記提供了一種表示數(shù)據(jù)的標(biāo)準(zhǔn)方法，是一種高級(jí)的對(duì)象類(lèi)型定義語(yǔ)言，它描述了網(wǎng)絡(luò)管理進(jìn)程和代理進(jìn)程之間傳輸?shù)腟NMP報(bào)文的格式。ASN.1定義了一組用來(lái)描述OSI網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)結(jié)構(gòu)規(guī)則，SNMP使用它作為管理對(duì)象的定義語(yǔ)言和編碼規(guī)則。對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

SNMPMIB中的每個(gè)對(duì)象都由一個(gè)形式化的方法定義，說(shuō)明對(duì)象的數(shù)據(jù)類(lèi)型、取值范圍以及與MIB中的其他對(duì)象的關(guān)系。

SMI規(guī)定SNMP中的被管對(duì)象必須使用抽象語(yǔ)法表示法ASN.1。各個(gè)對(duì)象以及MIB的整體結(jié)構(gòu)都由ASN.1描述法定義。為了保持簡(jiǎn)單，只利用了ASN.1的元素和特征的一個(gè)有限的子集。對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

2．SMI對(duì)象類(lèi)型的語(yǔ)法

SMI對(duì)象類(lèi)型的語(yǔ)法規(guī)定了每一個(gè)MIB對(duì)象的數(shù)據(jù)類(lèi)型、允許的形式、取值范圍以及與其它MIB對(duì)象之間的關(guān)系。各個(gè)對(duì)象以及MIB的整體結(jié)構(gòu)都由ASN.1描述法定義。

對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

MIB庫(kù)由一系列對(duì)象組成，每一個(gè)對(duì)象都有它的類(lèi)型和取值。

對(duì)象類(lèi)型定義了被管對(duì)象的特定種類(lèi)，對(duì)象類(lèi)型的定義是語(yǔ)法描述。

對(duì)象實(shí)例是對(duì)象一定要有具體取值的特定實(shí)例。這些對(duì)象的定義由5個(gè)字段組成。對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)2.3SNMP管理信息結(jié)構(gòu)對(duì)象類(lèi)型的語(yǔ)法每個(gè)MIB變量格式是SMI規(guī)定的，用ASN.1描述如下：(objectname)OBJECT-TYPEDESCRIPTION:(description)SYNTAX:(syntax)ACCESS:(access)STATUS:(status)::={(Parent)number}

1）定義對(duì)象

(1)對(duì)象OBJECT:

一個(gè)文本名稱(chēng)，叫做對(duì)象描述。

Objectname是被管對(duì)象的名字，ASN.1要求對(duì)所有對(duì)象的名字在MIB中必須是唯一的；OBJECT-TYPE是每一個(gè)節(jié)點(diǎn)對(duì)象所必需的關(guān)鍵字；對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

(2)對(duì)象說(shuō)明DESCRIPTION：對(duì)象的說(shuō)明是對(duì)此對(duì)象的意義的一般性文字描述。DESCRIPTION是對(duì)被管對(duì)象的功能、特征等進(jìn)行描述的關(guān)鍵字。description是被管對(duì)象的文本描述。對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

(2)語(yǔ)法SYNTAX:

對(duì)象類(lèi)型的抽象句法。它必須解析成一種基本數(shù)據(jù)類(lèi)型(如INTEGER、OCTETSTRING、OBJECTIDENTIFIER或NULL)。SYNTAX是被管對(duì)象類(lèi)型的關(guān)鍵字syntax是被管對(duì)象的類(lèi)型。對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

(4)存取方式ACCESS：

ACCESS是被管對(duì)象的訪問(wèn)方式關(guān)鍵字。access是被管對(duì)象的訪問(wèn)方式。

其值可以是read-only(只讀)、read-write(讀寫(xiě))、write-only(只寫(xiě))或not-accessible(不可訪問(wèn))。

對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

(5)狀態(tài)STATUS：

STATUS是被管對(duì)象的關(guān)鍵字。status是被管對(duì)象的狀態(tài)。

對(duì)象的狀態(tài)有3種即必備的mandatory、可選的optional或廢棄的obsoleteo。對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)

對(duì)象類(lèi)型的語(yǔ)法2.3SNMP管理信息結(jié)構(gòu)::={(Parent)number}Parent表示位于MIB樹(shù)中的父節(jié)點(diǎn)，number表示本節(jié)點(diǎn)是父節(jié)點(diǎn)下的第幾個(gè)子節(jié)點(diǎn)

案例:下面是MIB-2中TCP功能組的對(duì)象tcpMaxConn的完整描述:tcpMaxConnOBJECT-TYPESYSTAXINTEGERACCESSread-onlySTATUSmandatoryDESCRIPTION“ThelimitonthetotalnumberofTCPconnectionstheentitycansupport.Inentitieswherethemaximumnumberofconnectionsisdynamic,thisobjectshouldcontainthevalue一1.”::{tcp5}

SNMP使用BER作為編碼方案，

BER用0、1字符來(lái)表示這樣的對(duì)象的規(guī)則集合叫做基本編碼規(guī)則(BasicEncodingRules，BER)。

BER描述了如何將ASN.1類(lèi)型表示和編碼成八位字節(jié)串。它描述了具體的ASN.1對(duì)象如何編碼成比特流在網(wǎng)絡(luò)上進(jìn)行傳輸。數(shù)據(jù)首先經(jīng)過(guò)BER編碼，再經(jīng)由傳輸層協(xié)議（一般是UDP）發(fā)送往接收方。接收方在SNMP端口收到PDU，經(jīng)過(guò)BER解碼后，得到具體的SNMP操作數(shù)據(jù)。

對(duì)象信息編碼BER2.3SNMP管理信息結(jié)構(gòu)

管理信息庫(kù)是整個(gè)SNMP協(xié)議體系框架的基礎(chǔ)，在這個(gè)數(shù)據(jù)庫(kù)包中含著被管理實(shí)體的管理信息。MIB使用SMI中定義的類(lèi)型和ASN.1中的基本類(lèi)型進(jìn)行對(duì)象描述，是一個(gè)使用SMI描述的管理信息庫(kù)。MIB分為標(biāo)準(zhǔn)MIB和企業(yè)自定義MIB。2.4SNMP管理信息庫(kù)存儲(chǔ)在管理信息庫(kù)中的管理信息以樹(shù)形結(jié)構(gòu)進(jìn)行組織，樹(shù)形結(jié)構(gòu)中的每一個(gè)葉子節(jié)點(diǎn)都代表一個(gè)信息、變量、配置，管理。

管理信息庫(kù)由被管理實(shí)體自已維護(hù)，被管理實(shí)體通過(guò)對(duì)這樹(shù)中相應(yīng)的葉子結(jié)點(diǎn)賦值，反映自已的狀態(tài)。

管理者通過(guò)管理代理讀取相應(yīng)的變量以獲得被管理實(shí)體的狀態(tài)信息，也可以通過(guò)管理代理修改某些值來(lái)實(shí)現(xiàn)控制被管理實(shí)體的功能。2.4SNMP管理信息庫(kù)2.4SNMP管理信息庫(kù)MIB-II的組對(duì)象對(duì)象標(biāo)識(shí)符說(shuō)明system.2.1.1提供設(shè)備或系統(tǒng)的信息。interfaces.2.1.2包含網(wǎng)絡(luò)接口的信息。at.2.1.3用于InternetIP地址到數(shù)據(jù)鏈路地址的地址轉(zhuǎn)換表。ip.2.1.4包含關(guān)于該設(shè)備的網(wǎng)際協(xié)議（IP）的統(tǒng)計(jì)信息。icmp.2.1.5包含Internet控制消息協(xié)議（ICMP）的統(tǒng)計(jì)信息。tcp.2.1.6包含傳輸控制協(xié)議（TCP）的統(tǒng)計(jì)信息。udp.2.1.7包含用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）的統(tǒng)計(jì)信息。egp.2.1.8包含外部網(wǎng)關(guān)協(xié)議（EGP）的統(tǒng)計(jì)信息。cmot.2.1.9CMOT協(xié)議的信息。transmission.2.1.10提供系統(tǒng)接口之下的特定媒體的信息。snmp.2.1.11包含簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）的統(tǒng)計(jì)信息。2.5遠(yuǎn)程監(jiān)視RMONRMON簡(jiǎn)介RMON是用于遠(yuǎn)程監(jiān)控的標(biāo)準(zhǔn)規(guī)范，它是由SNMPMIB擴(kuò)展而來(lái)。RMON由探測(cè)器和管理者兩部分構(gòu)成。

1．RMON背景與提出

SNMPv1有一些明顯的不足，主要有以下幾點(diǎn)。

（1)由于SNMP使用輪詢(xún)采集數(shù)據(jù)，在大型網(wǎng)絡(luò)中輪詢(xún)會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)管理通訊報(bào)文導(dǎo)致網(wǎng)絡(luò)交通擁擠甚至阻塞，故不適合管理大型網(wǎng)絡(luò)；

不適合回收大信息量的數(shù)據(jù)，如一個(gè)完整的路由表；基于SNMP的標(biāo)準(zhǔn)僅提供一般的驗(yàn)證，不能提供可靠的安全保證；

2.5遠(yuǎn)程監(jiān)視RMON

（2）標(biāo)準(zhǔn)管理信息庫(kù)MIB-II和各廠家的專(zhuān)有MIB庫(kù)主要提供有關(guān)設(shè)備的數(shù)據(jù)，如設(shè)備端口狀態(tài)、流量、錯(cuò)誤包數(shù)等。網(wǎng)絡(luò)管理員只能從這些管理信息庫(kù)中獲得單個(gè)設(shè)備的局部信息。要想獲得一個(gè)子網(wǎng)網(wǎng)段的信息是非常困難的，而在規(guī)模越來(lái)越大的互聯(lián)網(wǎng)環(huán)境中，人們更需要監(jiān)控的是一個(gè)網(wǎng)段的性能，因此僅僅使用標(biāo)準(zhǔn)MIB獲取設(shè)備的管理信息已經(jīng)不能滿足管理大型互聯(lián)網(wǎng)的需要。

2.5遠(yuǎn)程監(jiān)視RMON（3）為了提高傳送管理信息的有效性、減少管理站的負(fù)擔(dān)、滿足網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)段性能的需求，IETF開(kāi)發(fā)了RMON（RemoteMonitoring，遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視），以解決SNMP在日益擴(kuò)大的分布式互聯(lián)中所面臨的局限性。2.5遠(yuǎn)程監(jiān)視RMON

2．RMON的基本思想

RMON的基本思想是：把一部分原來(lái)在網(wǎng)管方面實(shí)現(xiàn)的功能放到設(shè)備上去實(shí)現(xiàn)。

2.5遠(yuǎn)程監(jiān)視RMON

3．RMON介紹

遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視（RMON）首先實(shí)現(xiàn)了對(duì)異構(gòu)環(huán)境進(jìn)行一致的遠(yuǎn)程管理，它為通過(guò)端口遠(yuǎn)程監(jiān)視網(wǎng)段提供了解決方案。

RMON是IETF定義的MIB（RFC1757），是對(duì)SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及在基于SNMP管理站和遠(yuǎn)程監(jiān)控者之間的接口，主要實(shí)現(xiàn)對(duì)一個(gè)網(wǎng)段乃至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能，目前已成為成功的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)之一。2.5遠(yuǎn)程監(jiān)視RMON

RMONMIB的實(shí)現(xiàn)可以記錄某些網(wǎng)絡(luò)事件，即使在網(wǎng)絡(luò)管理站沒(méi)有與監(jiān)控設(shè)備主動(dòng)進(jìn)行連接（脫機(jī)）的情況下，也是一樣的。因此網(wǎng)絡(luò)管理員可以按以下要求配置監(jiān)控：能夠?qū)W(wǎng)絡(luò)進(jìn)行診斷，連續(xù)地收集統(tǒng)計(jì)數(shù)據(jù)，以備日后網(wǎng)絡(luò)管理員進(jìn)行分析。如果某個(gè)閾值超出或某個(gè)事件發(fā)生，監(jiān)視器就會(huì)試圖通知負(fù)責(zé)這些事件的網(wǎng)絡(luò)管理站，從而使網(wǎng)絡(luò)管理員避免了面對(duì)不可控制的泛濫信息。2.5遠(yuǎn)程監(jiān)視RMONRMONMIB也用于記錄網(wǎng)絡(luò)性能數(shù)據(jù)和故障歷史，可以在任何時(shí)候訪問(wèn)故障歷史數(shù)據(jù)，以有利于進(jìn)行有效地故障診斷。使用這種方法減少了管理者同代理間的通信流量，使簡(jiǎn)單而有力地管理大型互聯(lián)網(wǎng)絡(luò)成為可能。

2.5遠(yuǎn)程監(jiān)視RMON

RMON監(jiān)視器可用兩種方法收集數(shù)據(jù)。一種是通過(guò)專(zhuān)用的RMON探測(cè)儀（probe），網(wǎng)管站直接從探測(cè)儀獲取管理信息并控制網(wǎng)絡(luò)資源，這種方式可以獲取RMONMIB的全部信息。另一種方法是將RMON代理直接植入網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、Hub等），使它們成為帶RMONProbe功能的網(wǎng)絡(luò)設(shè)施，網(wǎng)管站用SNMP的基本命令與其交換數(shù)據(jù)信息，收集網(wǎng)絡(luò)管理信息，但這種方式受設(shè)備資源限制，一般不能獲取RMONMIB的所有數(shù)據(jù)，大多數(shù)只收集4個(gè)組的信息。

2.5遠(yuǎn)程監(jiān)視RMON

RMONMIB對(duì)網(wǎng)段數(shù)據(jù)的采集和控制通過(guò)控制表（controltable）和數(shù)據(jù)表（datatabel）完成。

RMONMIB按功能分成9個(gè)組。每個(gè)組有自己的控制表和數(shù)據(jù)表（有些組二者合一，如統(tǒng)計(jì)組）。其中，控制表可讀寫(xiě)，數(shù)據(jù)表只讀，控制表用于描述數(shù)據(jù)表所存放數(shù)據(jù)的格式。配置的時(shí)候，由管理站設(shè)置數(shù)據(jù)收集的要求，存入控制表。

開(kāi)始工作后，RMONMonitor根據(jù)控制表的配置，把收集到的數(shù)據(jù)存放到數(shù)據(jù)表。2.5遠(yuǎn)程監(jiān)視RMON

4．RMONMIB組

1）統(tǒng)計(jì)組統(tǒng)計(jì)組（statistics）統(tǒng)計(jì)被監(jiān)控的每個(gè)子網(wǎng)的基本統(tǒng)計(jì)信息。網(wǎng)絡(luò)管理員可以從RMON探針監(jiān)測(cè)的設(shè)備端口獲取一個(gè)網(wǎng)段的各種統(tǒng)計(jì)信息。目前只能對(duì)網(wǎng)絡(luò)設(shè)備的以太網(wǎng)接口進(jìn)行監(jiān)控、統(tǒng)計(jì)。它能統(tǒng)計(jì)一個(gè)網(wǎng)段的流量（如：交通流量的總包數(shù)和總字節(jié)數(shù)），統(tǒng)計(jì)各種類(lèi)型包的分布（如廣播包、多點(diǎn)廣播包、不同大小包的數(shù)量），還能統(tǒng)計(jì)各種類(lèi)型錯(cuò)誤包數(shù)、碰撞次數(shù)等。

2.5遠(yuǎn)程監(jiān)視RMON

2）歷史組

歷史組（history）定期地收集統(tǒng)計(jì)網(wǎng)絡(luò)值的記錄并為日后的處理把統(tǒng)計(jì)存儲(chǔ)起來(lái)。它包含兩個(gè)小組：

HistoryControl組主要用來(lái)設(shè)置采樣間隔時(shí)間等控制信息；

EthernetHistory組為網(wǎng)絡(luò)管理員提供有關(guān)網(wǎng)段流量、錯(cuò)誤包、廣播包、利用率以及碰撞次數(shù)等其他統(tǒng)計(jì)信息的歷史數(shù)據(jù)。

2.5遠(yuǎn)程監(jiān)視RMON

3）告警組告警組（alarm）允許網(wǎng)管站為網(wǎng)絡(luò)性能（可以是監(jiān)視器本地MIB的任意整數(shù)類(lèi)型的對(duì)象）定義一組報(bào)警閾值。如果閾值在相應(yīng)的方向上被越過(guò)，監(jiān)視器就會(huì)產(chǎn)生警報(bào)并把警報(bào)發(fā)往網(wǎng)管站。告警組需要事件組的實(shí)現(xiàn)。

2.5遠(yuǎn)程監(jiān)視RMON

4）主機(jī)組主機(jī)組（host）包含對(duì)連接在一個(gè)子網(wǎng)上所有主機(jī)的各種類(lèi)型交通流量的記數(shù)值。它能夠發(fā)現(xiàn)網(wǎng)上的新主機(jī)，對(duì)每個(gè)主機(jī)的MAC地址保持一組統(tǒng)計(jì)數(shù)據(jù)，如主機(jī)發(fā)送或接收的數(shù)據(jù)包總數(shù)、廣播包數(shù)、流量字節(jié)數(shù)、錯(cuò)誤包數(shù)等。它有一個(gè)控制表和兩個(gè)數(shù)據(jù)表，這兩個(gè)數(shù)據(jù)表的內(nèi)容相同，只是組織排列順序不同。

2.5遠(yuǎn)程監(jiān)視RMON

5）事件組事件組（event）提供關(guān)于RMON代理所產(chǎn)生的所有事件的表。當(dāng)某事件發(fā)生時(shí)可以記錄日志和（或）發(fā)送TRAP到網(wǎng)管站。

2.5遠(yuǎn)程監(jiān)視RMON

5.RMON應(yīng)用

RMONMIB的使用意味著首次把網(wǎng)絡(luò)管理擴(kuò)展到物理層，使獨(dú)立地收集設(shè)備數(shù)據(jù)成為可能，內(nèi)置的監(jiān)控工具提供了不占用寶貴網(wǎng)絡(luò)資源（帶寬）而對(duì)整個(gè)流量進(jìn)行有限度的分析能力，RMON產(chǎn)品已經(jīng)可以使用，而且其數(shù)量在今后會(huì)平穩(wěn)增長(zhǎng)。

2.5遠(yuǎn)程監(jiān)視RMON

管理者和管理代理之間以傳送SNMP消息的形式交換信息。在SNMP管理中，管理者和管理代理之間交換的管理信息構(gòu)成了SNMP報(bào)文。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議為管理者和代理定義了3類(lèi)操作：

1）Set操作用于管理者對(duì)被管理實(shí)體的管理信息進(jìn)行設(shè)置，被管理實(shí)體的管理信息由對(duì)象標(biāo)識(shí)符指定，Set操作通過(guò)設(shè)置對(duì)象標(biāo)識(shí)符的值來(lái)實(shí)現(xiàn)對(duì)被管理實(shí)體的控制，它可以用來(lái)改變被管理實(shí)體的配置或控制被管理實(shí)體的運(yùn)轉(zhuǎn)狀態(tài)。2.6SNMPv1分析2）Get操作用于管理者從被管理實(shí)體的管理信息庫(kù)中讀取管理信息。

Get操作具有Get和GetNext兩種形式。

Get操作指示直接讀取指定的OID所表示的被管理實(shí)體的管理信息值。GetNext操作指示讀取指定的OID所表示的被管理實(shí)體在MIB樹(shù)中，按照字典順序的下一個(gè)被管理實(shí)體的管理信息值。3）Trap操作用于管理代理向管理者報(bào)告被管理實(shí)體的狀態(tài)變化。

在管理者沒(méi)有明確要求的前提下，由管理代理通知管理者，被管理實(shí)體發(fā)生了一些特殊的情況或問(wèn)題。通常該操作用于向管理者報(bào)告被管理實(shí)體上出現(xiàn)的異常事件。2.6SNMPv1分析2.6SNMPv1分析SNMPv1報(bào)文格式SNMP報(bào)文被封裝在用戶(hù)數(shù)據(jù)報(bào)協(xié)議（UDP）報(bào)文的數(shù)據(jù)項(xiàng)中，并通過(guò)UDP協(xié)議進(jìn)行傳輸。2.6SNMPv1分析SNMPv1報(bào)文格式SNMP報(bào)文由首部和協(xié)議數(shù)據(jù)單元2部分組成。每個(gè)公共SNMP首部包含一個(gè)指示SNMP版本號(hào)的版本標(biāo)識(shí)符、一個(gè)用于本次交換的共同體名和一個(gè)指出5種協(xié)議數(shù)據(jù)單元之一的消息類(lèi)型。共3個(gè)字段。1.SNMP首部

（1）版本：

報(bào)文頭中的版本標(biāo)識(shí)符是指SNMP的版本，0代表SNMPvl,1代表SNMPv2;

寫(xiě)入版本字段的是版本號(hào)減1，對(duì)于SNMP（即SNMPv1）則應(yīng)寫(xiě)入0。

2.6SNMPv1分析（2）共同體名（community）：

SNMP用共同體來(lái)定義一個(gè)代理者和一組管理者之間的認(rèn)證、訪問(wèn)控制和代管的關(guān)系。共同體名用于身份認(rèn)證;

這里的共同體名就是一個(gè)字符串，作為管理進(jìn)程和代理進(jìn)程之間的明文口令，常用的是6個(gè)字符public。利用SNMP共同體可以將管理和代理分組，同一共同體的管理和代理才能互相通信；代理不接受共同體之外的管理系統(tǒng)的請(qǐng)求；一個(gè)SNMP可以是多個(gè)共同體的成員。2.6SNMPv1分析（3）PDU類(lèi)型：根據(jù)PDU的類(lèi)型，填入0～4中的一個(gè)數(shù)字，其對(duì)應(yīng)關(guān)系如表3.19所示。SNMPv1中有5種PDU類(lèi)型，但只有3種PDU格式。PDU類(lèi)型名稱(chēng)0GetRequest1GetNextRequest2GetResponse3SetRequest4Trap2.6SNMPv1分析GetReques操作：從代理進(jìn)程處提取一個(gè)或多個(gè)參數(shù)值。GetNextRequest操作：從代理進(jìn)程處提取緊跟當(dāng)前參數(shù)值的下一個(gè)參數(shù)值。GetResponse操作：返回的一個(gè)或多個(gè)參數(shù)值。這個(gè)操作是由代理進(jìn)程發(fā)出的，它是前面三種操作的響應(yīng)操作。SetRequest操作：設(shè)置代理進(jìn)程的一個(gè)或多個(gè)參數(shù)值。Trap操作：代理進(jìn)程主動(dòng)發(fā)出的報(bào)文，通知管理進(jìn)程有某些事情發(fā)生。SNMP的5種報(bào)文操作注意：在代理進(jìn)程端是用熟知端口161接收Get或Set報(bào)文。而在管理進(jìn)程端是用熟知端口162來(lái)接收GetResponse報(bào)文和Trap報(bào)文。2.6SNMPv1分析SNMPv1報(bào)文格式SNMPv1報(bào)文傳輸，經(jīng)過(guò)傳輸層、互聯(lián)層、網(wǎng)絡(luò)存取層以及物理層的網(wǎng)絡(luò)。2.6SNMPv1分析SNMPv1報(bào)文格式SNMPv1報(bào)文協(xié)議數(shù)據(jù)單元分為協(xié)議數(shù)據(jù)單元首部和變量綁定兩個(gè)部分。Get/Set類(lèi)型報(bào)文與Trap類(lèi)型報(bào)文的協(xié)議數(shù)據(jù)單元首部格式不同。

2．Get/Set首部

（1）請(qǐng)求標(biāo)識(shí)符(RequestID)：這是由管理進(jìn)程設(shè)置的一個(gè)整數(shù)值。代理進(jìn)程在發(fā)送GetResponse報(bào)文時(shí)也要返回此請(qǐng)求標(biāo)識(shí)符。管理進(jìn)程可同時(shí)向許多代理發(fā)出Get報(bào)文，這些報(bào)文都使用UDP傳送，先發(fā)送的有可能后到達(dá)。設(shè)置了請(qǐng)求標(biāo)識(shí)符可使管理進(jìn)程識(shí)別返回的響應(yīng)報(bào)文是對(duì)應(yīng)于哪一個(gè)請(qǐng)求的報(bào)文。

2.6SNMPv1分析（2）差錯(cuò)狀態(tài)（ErrorStatus）：由管理代理進(jìn)程在使用GetResponse報(bào)文將查詢(xún)結(jié)果返回管理進(jìn)程時(shí)填寫(xiě)。回答時(shí)填入0～5中的一個(gè)數(shù)字。差錯(cuò)狀態(tài)名字說(shuō)明0noError一切正常1tooBig代理無(wú)法將查詢(xún)結(jié)果裝入到一個(gè)SNMP報(bào)文之中2noSuchName操作指明了一個(gè)不存在的變量3badValue一個(gè)Set操作指明了一個(gè)無(wú)效值或無(wú)效語(yǔ)法4readOnly管理進(jìn)程試圖修改一個(gè)只讀變量5genErr某些其他的差錯(cuò)2.6SNMPv1分析差錯(cuò)索引如果發(fā)生了noSuchName，badValue或readOnly等錯(cuò)誤，則管理代理進(jìn)程在使用GetResponse報(bào)文將查詢(xún)的結(jié)果返回管理進(jìn)程時(shí)，需要將一個(gè)整數(shù)值填入差錯(cuò)索引字段，用以指明發(fā)生差錯(cuò)的變量在變量綁定列表中的偏移位置。2.6SNMPv1分析2.6SNMPv1分析SNMPv1報(bào)文格式SNMPv1報(bào)文協(xié)議數(shù)據(jù)單元分為協(xié)議數(shù)據(jù)單元首部和變量綁定兩個(gè)部分。Get/Set類(lèi)型報(bào)文與Trap類(lèi)型報(bào)文的協(xié)議數(shù)據(jù)單元首部格式不同。SNMP報(bào)文格式3.Trap首部

（1）企業(yè)（Enterprise）：填入Trap報(bào)文的網(wǎng)絡(luò)設(shè)備的對(duì)象標(biāo)識(shí)符。此對(duì)象標(biāo)識(shí)符肯定是在對(duì)象命名樹(shù)上的enterprise節(jié)點(diǎn){.4.1}下面的一棵子樹(shù)上。用以說(shuō)明是哪家企業(yè)生產(chǎn)的產(chǎn)品。

（2）常規(guī)陷阱（GenericTrap）分為coldStart、warmStart、linkDown、linkUpauthenticationFailure、egpNeighborLoss和enterpriseSpecific等七種情況。每種情況都有對(duì)應(yīng)的代碼。Trap類(lèi)型名字說(shuō)明0coldStart代理進(jìn)行了初始化1warmStart代理進(jìn)行了重新初始化2linkDown一個(gè)接口從工作狀態(tài)變?yōu)楣收蠣顟B(tài)3linkUp一個(gè)接口從故障狀態(tài)變?yōu)楣ぷ鳡顟B(tài)4authenticationFailure從SNMP管理進(jìn)程接收到具有一個(gè)無(wú)效共同體的報(bào)文5egpNeighborLoss一個(gè)EGP相鄰路由器變?yōu)楣收蠣顟B(tài)6enterpriseSpecific代理自定義的事件，需要用后面的“特定代碼”來(lái)指明SNMP報(bào)文格式（3）特殊陷阱（SpecificTrap）

特殊陷阱用于廠商擴(kuò)展的陷阱代碼，當(dāng)常規(guī)陷阱的類(lèi)型為6時(shí)，特殊陷阱字段指明由代理自定義的事件。

（4）時(shí)間戳(timestamp)：指明自代理進(jìn)程初始化到trap報(bào)告的事件發(fā)生所經(jīng)歷的時(shí)間，單位為10ms。例如時(shí)間戳為1908，表明在代理初始化后1908ms發(fā)生了該事件。SNMP報(bào)文格式4．變量綁定變量綁定指明一個(gè)或多個(gè)變量的名和對(duì)應(yīng)的值。在Get或GetNext報(bào)文中，變量的值應(yīng)忽略。

在SNMP中，可以將多個(gè)同類(lèi)操作(Get、Set、Trap)放在一個(gè)消息中。如果管理站希望得到一個(gè)代理者處的一組標(biāo)量對(duì)象的值，它可以發(fā)送一個(gè)消息請(qǐng)求所有的值，并通過(guò)獲取一個(gè)應(yīng)答得到所有的值。這樣可以大大減少網(wǎng)絡(luò)管理的通信負(fù)擔(dān)。

SNMP報(bào)文格式為了實(shí)現(xiàn)多對(duì)象交換，所有的SNMP的PDU都包含了一個(gè)變量綁定字段。這個(gè)字段由對(duì)象實(shí)例的一個(gè)參考序列及這些對(duì)象的值構(gòu)成。某些PDU只需給出對(duì)象實(shí)例的名字，如Get操作。對(duì)于這樣的PDU，接收協(xié)議實(shí)體將忽略變量綁定字段中的值。SNMP報(bào)文發(fā)送與接收?qǐng)D3SNMP報(bào)文發(fā)送SNMP報(bào)文發(fā)送與接收?qǐng)D4SNMP報(bào)文接收SNMP安全分析SNMP安全威脅偽造攻擊者假冒授權(quán)用戶(hù)對(duì)被管設(shè)備進(jìn)行未授權(quán)管理操作，導(dǎo)致網(wǎng)絡(luò)管理混亂或失控。消息流修改攻擊者利用SNMP協(xié)議傳輸?shù)拇嗳跣?，以授?quán)用戶(hù)的身份修改SNMP消息，生成虛假的管理消息。SNMP安全分析SNMP安全威脅消息竊聽(tīng)攻擊者通過(guò)安裝特殊軟件或設(shè)備，竊聽(tīng)明文傳遞的SNMP消息，特別是管理設(shè)備的訪問(wèn)口令。拒絕服務(wù)攻擊攻擊者利用SNMP系統(tǒng)的脆弱性，發(fā)送大量的管理信息或者虛假管理配置信息，導(dǎo)致網(wǎng)絡(luò)中斷。流量分析

攻擊者通過(guò)分析SNMP消息傳遞，挖掘出一些敏感信息。SNMP安全分析SNMP安全需求提供消息的完整性驗(yàn)證機(jī)制提供消息的源驗(yàn)證機(jī)制提供消息的時(shí)間戳標(biāo)識(shí)提供防止消息內(nèi)容泄漏和非法讀寫(xiě)的保護(hù)機(jī)制管理者和管理代理之間相互認(rèn)證SNMP安全分析SNMP共同體認(rèn)證/共同體訪問(wèn)控制

RFC1157給出了SNMP中管理站和被管理的一種認(rèn)證訪問(wèn)控制機(jī)制，這種機(jī)制由兩部分組成：

（1）基于團(tuán)體名認(rèn)證機(jī)制（2）基于共同體名訪問(wèn)授權(quán)機(jī)制共同體名認(rèn)證機(jī)制：保證管理站和代理之間的通信是經(jīng)過(guò)授權(quán)的，從管理站發(fā)送到代理的消息都有一個(gè)共同體名，類(lèi)似口令一樣，通過(guò)共同體名驗(yàn)證的消息才是有效的。訪問(wèn)授權(quán)機(jī)制：解決代理如何控制自已的管理信息庫(kù)的問(wèn)題，以防止管理站非授權(quán)訪問(wèn)管理信息庫(kù)。SNMPV2的改進(jìn)支持分布式管理改進(jìn)了管理信息結(jié)構(gòu)增強(qiáng)了管理信息通信協(xié)議的能力與前兩種版本相比，SNMPV3中增加了安全管理方式及遠(yuǎn)程控制。SNMPV3結(jié)構(gòu)引入了基于用戶(hù)的安全模型用于保證消息安全及基于視圖的訪問(wèn)控制模型用于訪問(wèn)控制（USM）。這種安全管理方式支持不同安全性，訪問(wèn)控制及消息處理等模式的并發(fā)使用。SNMP中的遠(yuǎn)程配置

SNMPV3使用SNMPSET命令配置MIB對(duì)象，使之能動(dòng)態(tài)配置SNMP代理。這種動(dòng)態(tài)配置方式支持本地或遠(yuǎn)程地配置實(shí)體的添加、刪除及修改。SNMPV3的改進(jìn)

1．MIB瀏覽器簡(jiǎn)介

MIB變量瀏覽器是一種重要的網(wǎng)絡(luò)管理工具。

MIB瀏覽器也稱(chēng)為MIB編輯器，它使得用戶(hù)能夠以不同的方式遍歷特定的MIB樹(shù)，獲得不同的對(duì)象“視圖”。它的輸出通常是圖形化的，而且會(huì)給出所有MIB變量的簡(jiǎn)要信息，并標(biāo)出其在樹(shù)中的位置。

MIB瀏覽器使得對(duì)于MIB變量的瀏覽變得更加方便和容易。網(wǎng)絡(luò)管理人員可以利用MIB變量瀏覽器取出網(wǎng)元的前端配置信息、性能參數(shù)以及統(tǒng)計(jì)數(shù)據(jù)等，對(duì)網(wǎng)絡(luò)情況進(jìn)行監(jiān)視。2.7MIB瀏覽器

2．snmputilSNMP信息查詢(xún)實(shí)用工具--MIB瀏覽器。ResourceKit里面的工具snmputil，通過(guò)該工具可以方便地獲得非常多的信息。下載地址：/abu/tools/win/snmputil.exe。Snmputil.exe提供最基本的、低級(jí)的SNMP功能。通過(guò)使用不同的參數(shù)和變量，可以顯示設(shè)備情況以及和管理設(shè)備。

snmputil是一個(gè)命令行下的軟件，使用語(yǔ)法如下：snmputil[get|getnext|walk]agentcommunityoid[oid…]第一個(gè)參數(shù)為[get|getnext|walk]。

get操作獲得所請(qǐng)求的對(duì)象標(biāo)識(shí)符的值。

getnext操作獲得指定對(duì)象標(biāo)識(shí)符的下一個(gè)對(duì)象的值。因?yàn)橐粋€(gè)設(shè)備的所有SNMP變量都是規(guī)則排列的，所以使用getnext命令參數(shù)就可以獲取一個(gè)設(shè)備中的所有變量值及OID，而不需要事先知道它們的準(zhǔn)確OID值。

walk操作可以遍歷對(duì)象標(biāo)識(shí)符所指定的管理信息庫(kù)(MIB)分支信息（所有數(shù)據(jù)庫(kù)子樹(shù)/子目錄的信息）。

第二個(gè)參數(shù)agent表示指定將SNMP請(qǐng)求發(fā)送給哪個(gè)設(shè)備的代理進(jìn)程。在這里可以是代理進(jìn)程的IP地址或者localhost（本地主機(jī)）。

第三個(gè)參數(shù)community指定使用哪個(gè)共同體（即驗(yàn)證字符串或口令），共同體名加上發(fā)送方的一些標(biāo)識(shí)信息(附加信息)，用以驗(yàn)證發(fā)送方確實(shí)是共同體中的成員。共同體實(shí)際上就是用來(lái)管理應(yīng)用實(shí)體之間身份鑒別的，在這里是public。在每個(gè)發(fā)送到被管理設(shè)備的SNMPUDP信息包中，這個(gè)口令是以純文本形式傳輸?shù)?。?dāng)一個(gè)Win2K設(shè)備安裝上SNM