網(wǎng)管與安全學習課件

計算機網(wǎng)絡管理與安全技術李艇02W1.2.3第一頁，共九十六頁。第3章：SNMP通信模型與RMON規(guī)范3.1SNMP通信模型有4個方面的內容：SNMP結構管理模型SNMP協(xié)議SNMPMIB第二頁，共九十六頁。3.1.1SNMP結構（SNMPArchitecture）

SNMP結構是管理系統(tǒng)和管理代理之間的管理報文的規(guī)范。由定義團體來進行安全機制的管理，只有相同團體成員之間才能進行通信。一個管理站能夠屬于多個團體且可管理多個域。

第三頁，共九十六頁。3.1.1SNMP結構（SNMPArchitecture）SNMP結構具有三個方面的功能：通過管理代理實現(xiàn)的網(wǎng)絡功能應該是最簡單的；允許有足夠的可擴展性（增加新的操作和管理）；SNMP結構應獨立于具體主機和網(wǎng)關的結構及機制。第四頁，共九十六頁。3.1.1SNMP結構（SNMPArchitecture）SNMP只用于簡單對象的通信并用ASN.1和BER（基本編碼規(guī)則）進行數(shù)據(jù)傳輸。

基本報文有set,get和trap。其中trap有三種類型：一般trap特殊trap時間戳

第五頁，共九十六頁。一般trap類別：（操作配置—自陷響應）coldStartwarmStartlinkDownlinkUpauthenticationFailureegpNeighborLossenterpriseSpecific（屬特殊陷入由設備制造商定義）3.1.1SNMP結構（SNMPArchitecture）第六頁，共九十六頁。特殊trap是與設備有關時間戳是在網(wǎng)絡實體初始化和陷入產(chǎn)生之間的時間。sysUpTime的值。3.1.1SNMP結構（SNMPArchitecture）第七頁，共九十六頁。3.1.2管理模型(TheAdministrativeModel)

支持SNMP應用實體的程序稱為協(xié)議實體SNMP管理者屬于管理站的應用實體SNMP代理屬于網(wǎng)絡元素的應用實體這一對實體被稱為SNMP團體。SNMP團體名為community，是一個字符串的形式。第八頁，共九十六頁。3.1.2管理模型

SNMPManager認證服務SNMPManager認證服務SNMPManager認證服務認證認證服務SNMPAgentSNMP團體報文第九頁，共九十六頁。3.1.2管理模型圖中是多個SNMP管理者與一個SNMP代理進行通信，還可以進行多對一和多對多的通信。圖中發(fā)送和接收過程都要進行認證檢驗，這可以視為是一種安全機制。SNMPv1的安全機制很簡單，只是驗證團體名。屬于同一團體的管理站和被管理站才能互相作用。第十頁，共九十六頁。3.1.2管理模型1、團體的概念

SNMP網(wǎng)絡管理是一種分布式應用。代理控制自己的MIB，也控制多個管理站對MIB的訪問。只有授權的管理站才允許訪問管理信息庫。其基本思想是：l

代理系統(tǒng)可以對不同的團體定義不同的訪問 控制策略，每個團體被賦予唯一的名字。l

管理站只能以認可的團體名行使訪問權。祥細信息l

管理站實體可以用不同的名字對不同的代理 實施不同的訪問權限。操作－新團體名lt1-權限第十一頁，共九十六頁。3.1.2管理模型2、認證服務

認證服務的目的是要保證通信是被授權的。對于一個SNMP報文，認證服務的功能是保證接收報文來自于這個消息所聲稱的源。從管理站到代理的每個報文都包括一個團體名字。這個名字起到密碼的作用，如果發(fā)送者知道這個密碼，報文就被認為是可靠的。第十二頁，共九十六頁。3.1.2管理模型團體名以明文的形式傳輸，容易被竊取。所以SNMP的安全機制是不安全的。為此很多SNMP的實現(xiàn)只允許Get和Trap操作，而Set的操作被嚴格的限制。即只具有網(wǎng)絡監(jiān)視功能而限制控制網(wǎng)絡設備。為了加強SNMP的安全性，在后來的SNMP版本中改進了認證服務。復習第十三頁，共九十六頁。3.1.2管理模型3、訪問策略通過定義團體，代理系統(tǒng)限制只有一些選定的管理站才能訪問它的MIB。通過使用多個團體，代理可為不同的管理站提供不同的MIB訪問類別。訪問控制有兩方面：l

SNMPMIB視域（view）:MIB中對象的一個子 集，對不同的團體可以定義不同的視域。屬 于同一視域的對象不必屬于同一子樹。l

訪問模式：集合{read-only,read-write}的一 個元素。對于一個團體可以定義一種訪問模 式。

第十四頁，共九十六頁。3.1.2管理模型一個團體的MIB視域和訪問模式的組合稱為SNMP團體形象（profile）。它包含代理中對象的一個子集和有關這些對象的訪問模式。SNMP訪問模式適用于MIB視域中的所有對象。例如如果訪問模式是read-only，則具有同一團體形象的管理站對視域中的所有對象只能以只讀方式訪問。第十五頁，共九十六頁。每個MIB對象的定義都有ACCESS子句，其規(guī)定了對象 量的訪問屬性。團體形象中又規(guī)定了團體成員對對象的訪問模式。 這兩種訪問限制應該相協(xié)調。即使一個對象的訪問屬性是write-only，也允許 SNMP實體讀 取該對象， 這取決于具體實現(xiàn)時的考慮。3.1.2管理模型第十六頁，共九十六頁。表MIB訪問類別與SNMP訪問模式的關系MIB訪問類別SNMP訪問模式READ-ONLYREAD-WRITEread-only可用于get和trap操作read-write可用于get和trap操作可用于get，set和trap操作write-only可用于get和trap操作，值與具體實現(xiàn)有關可用于get，set和trap操作，對于get和trap操作，值與具體實現(xiàn)有關not-accessible不能使用第十七頁，共九十六頁。3.1.2管理模型團體形象是由代理為各個團體定義的。SNMP團體和SNMP團體形象的組合稱為SNMP訪問策略。SNMP代理SNMP管理站集合SNMPMIB視域SNMP訪問模式SNMP團體SNMP團體形象SNMP訪問策略SNMP管理概念第十八頁，共九十六頁。SNMP的訪問策略Manager1(Community1)Manager2(Community2)Manager3(Community1,Community2)Agent1Agent2CommunityProfile1CommunityProfile2Agent3Agent4CommunityProfile3CommunityProfile4圖SNMPAccessPolicyCommunity1Community2第十九頁，共九十六頁。3.1.2管理模型三個網(wǎng)絡管理系統(tǒng)，各自有不同的團體域。代理1和代理2屬于團體1，而它們卻有不同的團體形象。作為團體1的一部分的管理站1可以與代理1和代理2通信但管理站1不可以與屬于團體2的代理3和代理4通信。管理站2則可以訪問它們，因為管理站2屬于團體2。管理站3可以訪問團體1和團體2，因此可以與所有代理通信

第二十頁，共九十六頁。3.1.2管理模型4、委托代理服務

通常委托代理是為不支持SNMP的設備工作的，團體形象的概念同樣適用于委托代理服務。有些情況下，被代理的設備也可能支持TCP/IP和SNMP，這時委托代理的作用是為了減少代理的設備與管理站之間的交互過程。對于被代理的設備，委托代理定義并且維護一種SNMP訪問策略。第二十一頁，共九十六頁。3.1.2管理模型圖為SNMP對象與非SNMP對象通過SNMP管理站進行通信的例子。比如SNMP代理可以是一個具有TCP/IP協(xié)議的LAN。而一個WAN如X.25網(wǎng)絡，其不具有Internet模型，但可以通過委托代理進行管理并集成到綜合管理系統(tǒng)。SNMP管理站SNMP代理委托代理SNMP團體非SNMP團體圖SNMP代理訪問策略第二十二頁，共九十六頁。3.1.3SNMP協(xié)議規(guī)范（SNMPProtocolSpecifications）

1、SNMPPDU格式

DataSNMPPDUCommunityVersionAHSNMPPDUUDPHTransportPDUIPHNetworkPDUDLCHSNMP報文封裝第二十三頁，共九十六頁。3.1.3SNMP協(xié)議規(guī)范SNMP報文是在PDU加上團體名、版本號和應用層的頭構成了應用層的PDU。在其前加上UDP的頭成為了傳輸層的PDU。以此類推，構成每一層的PDU。

SNMP協(xié)議實體在主機的161端口被接收。tray是在162端口被接收。SNMPv1協(xié)議的最大長度為484個字節(jié)。SNMP有5種管理操作，但只有3種PDU格式：GetRequestPDU、GetNextRequestPDU與SetRequestPDU格式相同。 GetResponsePDU

TrapPDU

第二十四頁，共九十六頁。圖SNMP報文格式CommunityVersionSNMPPDU變量綁定表00Request-idPDUtypeSNMP報文GetRequestPDU,GetNextRequestPDU和SetRequestPDUGetResponsePDU錯誤狀態(tài)請求標識PDUtype錯誤索引Variable-bindingsTrapPDU制造商ID代理地址一般陷阱特殊陷阱時間戳變量綁定表PDUtypename1value1name2value2……namenvaluen變量綁定表第二十五頁，共九十六頁。表2SNMP報文域域描述versionSNMP版本：RFC1157為版本1community團體名可以用作認證SNMP報文的口令request-id通過給每個請求提供一個唯一的id，區(qū)分不同的請求error-status代理在處理管理站的請求時可能出現(xiàn)的各種錯誤：noError(0),tooBig(1),noSuchName(2),badValue(3),readOnly(4),genErr(5)error-index當error-status非0時error-index指出是列表中的哪個變量引起了錯誤。變量即管理對象實例variable-bindings一列變量名和相應值enterprise產(chǎn)生陷阱的對象的類型；基于sysObjectIDagent-addr產(chǎn)生陷阱的對象的地址generic-trap一般陷阱，其值為：coldStart(0),warmStart(1),linkDown(2),linkup(3),authen-ticationFailure(4),egpNeighborLoss(5)enterpriseSpecific(6)specific-trap更具體地指出陷阱性質的一個代碼time-stamp在網(wǎng)絡實體初始化和陷阱產(chǎn)生之間的時間，即sysUpTime的值第二十六頁，共九十六頁。3.1.3SNMP協(xié)議規(guī)范2、報文的發(fā)送和接收

構造PDU（ASN.1對象）加入團體名及源和目的傳輸?shù)刂窐嬙霺NMP報文檢驗并通過認證把ASN.1報文按BER編碼發(fā)送給對等實體圖7生成和發(fā)送SNMP報文第二十七頁，共九十六頁。3.1.3SNMP協(xié)議規(guī)范按BER解碼，恢復ASN.1報文語法分析ASN.1報文驗證版本號認證檢查語法分析PDU處理PDU，必要時產(chǎn)生應答丟棄報文必要時產(chǎn)生陷入出錯正確圖8接收和處理SNMP報文第二十八頁，共九十六頁。3.1.4SNMP操作（SNMPOperations）1.變量綁定

所有的SNMP操作都是訪問對象實例。（葉節(jié)點）可以將一些相同類型的操作（get,set,trap）組合到一條報文中去。管理站可得到代理的某個組中的所有標量對象的值。Getone…sysName.0sysLocation.0(mib操作)它可以只發(fā)送一條報文來要求所有的取值，然后得到一個列出了所有值的響應。Getmany….ip為了實現(xiàn)多個對象的交換，所有的SNMPPDU都包括一個variable-binding域，即綁定域。該域由一系列對象實例的索引組成，并且?guī)в心切ο蟮闹?。第二十九頁，共九十六頁?.1.4SNMP操作2.檢索簡單對象檢索簡單的標量對象值可以用get操作;如果變量綁定表中包含多個變量，一次還可以檢索多個標量對象的值;接收GetRequest的SNMP實體請求標識相同的GetResponse響應。如果所有請求的對象值均可以得到，則給于應答；只要有一個對象的值得不到，則可返回下列錯誤之一：第三十頁，共九十六頁。3.1.4SNMP操作?

noSuchName:變量綁定表中的一個對象無法與MIB中的任何對象標識符匹配，或者要檢索的對象是一個子樹或表，沒有對象實例生成。操作getone表對象?

tooBig：響應實體可提供所有要檢索的值，若變量太多以至一個響應PDU裝不下。?

genError:響應實體一個對象的值也不能提供時，變量綁定表中不返回任何值。第三十一頁，共九十六頁。3.1.4SNMP操作例1：若網(wǎng)絡管理站想要從代理中檢索udp組中所有簡單對象的取值，管理站可以發(fā)送一個GetRequestPDU,并在檢索命令中直接指明對象實體的標識符：GetRequest(udpInDatagrams.0,udpNoPorts.0,udpInError.0,udpOutDatagrams.0)如果代理中該公共體的MIB視域支持所有的這些對象，則返回4個對象的一個GetRequestPDU：

復習第三十二頁，共九十六頁。第三十三頁，共九十六頁。3.1.4SNMP操作例2：如果代理不支持管理站對udpNoPorts的訪問，則響 應會不同。如發(fā)出同樣的命令：GetNextRequest(udpInDatagrams,udpNoPorts,udpInError,udpOutDatagram)而得到的響應是：GetResponse(udpInDatagrams.0=17346,udpInError.0=0, udpInError.0=0,udpOutDatagrams.0=17090)因為變量名udpNoPorts和udpInError的下一個對象實例 都是udpInError.0=0可見當代理收到一個Get請求時，如果能檢索到所有的 對象實例，則返回請求的每一個值；如果有一個值不能提供，則返回該實例的下一個值。復習第三十四頁，共九十六頁。3.1.4SNMP操作3.檢索未知對象GetNext命令檢索變量名指示的下一個對象實例，但是并不要求變量名是對象標識符或者是實例標識符。如udpInDatagrams的實例標識符是udpInDatagrams.0，而udpInDatagrams.2并不表示任何對象。若發(fā)出GetNextRequest(udpInDatagrams.2)得到的響應是GetNextRequest(udpNoPorts.0=2552)getnext操作說明代理沒有檢查標識符udpInDatagrams.2的有效性，而是直接查找下一個有效的標識符，得到udpInDatagrams.0后返回了它的下一個對象實例。

第三十五頁，共九十六頁。3.1.4SNMP操作4.檢索表對象

GetNext可用于有效地搜索表對象。圖9表對象檢索IfTable(2)Interfaces(mib-22)mib-2=1.3.6.1.2.1IfNumber(1)IfEntry(1)IfIndex(1)IfDescr(2)IfType(3)IfMtu(4)IfSpeed(5)復習第三十六頁，共九十六頁。3.1.4SNMP操作例3：上圖中，若發(fā)出下面的命令，檢索ifNumber的值。GetRequest(1.3.6.1.2.1.2.1.0)GetResponse(2)我們知道有兩個接口。如果我們進一步想要知道每個接口的數(shù)據(jù)速率，則可以用下面的命令檢索if表中的第五個元素：GetRequest(1.3.6.1.2.1.2.2.1.5.1)最后的1是索引項ifIndex的值。得到的響應是：GetResponse(10000000)說明第一個接口的數(shù)據(jù)速率是10Mb/s。若要得到第二個接口的速率可用命令：GetNextRequest(1.3.6.1.2.1.2.2.1.5.1)得到的可能是GetResponse(56000)說明第二個接口的數(shù)據(jù)速率為56kb/s。操作：getone–v1IP地址public1.3.6.1.2.1.2.1.0第三十七頁，共九十六頁。3.1.4SNMP操作例4若管理站希望能夠檢索整個表，但又不知其中的內容和表中的行數(shù)，則可連續(xù)使用GetNext命令。表3檢索表對象ipRouteDestIpRouteMetric1ipRouteNextHop9.1.2.3399.0.0.310.0.0.51589.1.1.4210.0.0.99589.1.1.42第三十八頁，共九十六頁。3.1.4SNMP操作管理站可發(fā)送包含所有列對象名稱的GetNextRequest:GetNextRequest(ipRouteDest,ipRouteMetric1,ipRouteNextHop)代理將表中的第一行取值返回：GetResponse(ipRouteDest.9.1.2.3=9.1.2.3,ipRouteMetric1.9.1.2.3=3,ipRouteNextHop.9.1.2.3=99.0.0.3)根據(jù)第一行的值可檢索下一行：GetNextRequest(ipRouteDest.9.1.2.3,ipRouteMetric1.9.1.2.3,ipRouteNextHop.9.1.2.3)GetResponse(ipRouteDest.10.0.0.51=10.0.0.51,ipRouteMetric1.10.0.0.51=5,ipRouteNextHop.10.0.0.51=89.1.1.42)據(jù)此可繼續(xù)檢索第三行。第三十九頁，共九十六頁。3.1.4SNMP操作GetNextRequest(ipRouteDest.10.0.0.51,ipRouteMetric1.10.0.0.51,ipRouteNextHop.10.0.0.51)GetResponse(ipRouteDest.10.0.0.99=10.0.0.99,ipRouteMetric1.10.0.0.99=5,ipRouteNextHop.10.0.0.99=89.1.1.42)管理站不知道這是表的未尾，因此繼續(xù)：GetNextRequest(ipRouteDest.10.0.0.99,ipRouteMetric1.10.0.0.99,ipRouteNextHop.10.0.0.99)然而表中只有3行，因此代理返回MIB中按字典順序的下個對象：GetResponse(ipRouteMetric1.9.1.2.3=3,ipRouteNextHop.9.1.2.3=99.0.0.3,ipNetToMediaIfIndex.1.3=1)

管理站可以通過響應列表中對象的名稱與請求不匹配而得出路由表已以到達了末端。Getnextip路由表最后一行-級聯(lián)—不匹配變量—表尾復習第四十頁，共九十六頁。3.1.4SNMP操作5.表的更新和刪除Set命令用于設置或更新變量的值。對于Set命令的應答與是GetResponse,并且要么更新列表中的所有變量，要么一個也不更新。其錯誤狀態(tài)為tooBig,noSuchname和genError。若有一個變量的名字和要設置的值在類型、長度或實際值方面不匹配，則返回錯誤條件badValue。第四十一頁，共九十六頁。3.1.4SNMP操作例5:在表3中，若想改變列對象ipRouteMetric1的第一個值，則可發(fā)出命令：SetRequest(ipRouteMetric1.9.1.2.3=7)得到的應答是：GetResponse(ipRouteMetric1.9.1.2.3=7)其效果是該對象的值由3變成了7。setany–v1IP地址publicipRouteMetric1.子網(wǎng)地址(100.100.202.0)–i2第四十二頁，共九十六頁。3.1.4SNMP操作例6對于表3若要增加一行，則可用命令：SetRequest(ipRouteDest.11.3.3.12=11.3.3.12,ipRouteMetric1.11.3.3.12=7,ipRouteNextHop.11.3.3.12=91.0.0.5)Setany….ipRouteNextHop.100.100.202.0–a100.100.202.27(publicrw)例7如果要刪除表中的一行，則可以把一個對象的值置為invalid:SetRequest(ipRouteType.7.3.5.3=invalid)得到的響應說明表行確已刪除：GetResponse(ipRouteType.7.3.5.3=invalid)第四十三頁，共九十六頁。3.1.4SNMP操作6.陷入操作?

coldStart發(fā)送實體重新初始化，代理的配置已改變，通常是由系統(tǒng)失效引起的。?

warmStart發(fā)送實體重新初始化，但代理的配置沒有改變，這是正常的重啟動過程。?

linkDown鏈路失效通知，變量綁定表的第一項指明對應接口表的索引變量及其值。?

linkUP鏈路啟動通知，變量綁定表的第一項指明對應接口表的索引變量及其值。?

authenticationFailure發(fā)送實體收到一個沒有通過認證的報文。?

egpNeighborLoss相鄰的外部路由器失效或關機。?

enterpriseSpecific由設備制造商定義的陷入條件，在特殊陷入字段指明具體的陷入類型。操作：配置—響應策略---trap響應第四十四頁，共九十六頁。3.1.5SNMP功能組（MIB-ⅡSNMPGroup）

snmp組包含SNMP操作和實現(xiàn)的信息。除了組中的最后一個對象，所有的對象都是只讀的計數(shù)器。對象snmpEnableAuthenTrap可以由管理站設置，它指示是否允許代理產(chǎn)生“認證失效”陷入。操作mib第四十五頁，共九十六頁。3.1.6SNMPv2

SNMP具有一定的局限性:?

由于輪詢的性能限制，SNMP不適合管理很大的網(wǎng)絡?

SNMP不適合檢索大量數(shù)據(jù)。?

SNMP的陷入報文是沒有應答的，可能會丟掉重要的管理信息。?

SNMP只提供簡單的團體名認證，安全措施很弱。?

SNMP并不直接支持向被管理設備發(fā)送命令。?

MIB-Ⅱ支持的管理對象是很有限的，不足以完成復雜 的管理功能。?

SNMP不支持管理站之間的通信，而這一點在分布式網(wǎng) 絡管理中是很需要的。第四十六頁，共九十六頁。

針對以上SNMPv1的缺陷，SNMPv2對SNMP進行了一定的改進。其增強的主要功能有：?

管理信息結構的擴充；?

管理站和管理站之間的通信能力；?

新的協(xié)議操作。第四十七頁，共九十六頁。1SNMPv2系統(tǒng)結構

SNMP管理站SNMP代理SNMP管理站第四十八頁，共九十六頁。SNMPv2與SNMP系統(tǒng)結構的主要區(qū)別SNMPv2有7種報文管理者與管理者之間可以通信。

SNMPv2提供3種訪問管理信息的方法：?

管理站和代理之間的請求/響應通信。?

代理系統(tǒng)到管理站的非確認通信。?

管理站和管理站之間的請求/響應通信，以支持分布式網(wǎng)絡管理。第四十九頁，共九十六頁。2SNMPv2協(xié)議操作

SNMPv2報文版本號取值為0----SNMPv1取值為1----SNMPv2。SNMPv2PDUSNMPv2協(xié)議數(shù)據(jù)單元有3種PDU格式GetRequest、GetNextRequest、SetRequest、GetBulkRequest、SNMPv2-Trap、Response、InformRequest復習第五十頁，共九十六頁。Variable-bindings00Request-idPDUtype圖SNMPv2報文PDU格式GetRequest，GetNextRequest，SetReques，InfornRequest和TrapPDUGetResponsePDU錯誤狀態(tài)請求標識PDUtype錯誤索引Variable-bindingsGetBuleRequestPDU非重復數(shù)N請求標識PDUtype最大后繼數(shù)MVariable-bindings變量綁定表name1value1name2value2------namenvaluen第五十一頁，共九十六頁。2SNMPv2協(xié)議操作

(1)GetRequestPDU：SNMPv2對這種操作的響應方式與SNMPv1不同之處是允許部分響應，對變量綁定表中的各個變量進行處理：?

如果該變量的對象標識符前綴不能與這一請求可訪問 的任何變量的對象標識符前綴匹配，則返回一個錯誤 值noSuchObject。?

如果變量名不能與這一請求可訪問的任何變量名完全 匹配，則返回一個錯誤值noSuchInstance。?

如果由于任何其他原因而處理失敗，則返回一個錯誤 狀態(tài)genErr。?

如果生成的響應PDU太大，則構造一個新的響應PDU， 其錯誤狀態(tài)為tooBig，錯誤索引為0，變量綁定表為 空。第五十二頁，共九十六頁。2SNMPv2協(xié)議操作

(2)GetNextRequestPDU：其區(qū)別于SNMPv1是改變了響應的原子性。對變量綁定表中指定的變量在MIB中查找按照字典順序的后繼變量，如果找到，返回該變量的名字和值。

如果找不到按照字典順序的后繼變量，則返回請求PDU中的變量名和錯誤值endOfMibView.

如果出現(xiàn)其他情況使得構造響應PDU失敗，以與GetRequest類似的方式返回錯誤值。第五十三頁，共九十六頁。2SNMPv2協(xié)議操作(3)

GetBulkRequestPDU：是SNMPv2對原標準的主要增強，用于從代理到管理站傳送大量的數(shù)據(jù)而使所需要的協(xié)議交換數(shù)目最小，尤其是檢索表數(shù)據(jù)的管理信息。塊檢索操作，原理與GetNextRequest操作相同可以說明多個后繼對象實例。如果請求太大，代理則返回盡可能多的數(shù)據(jù)，而不是簡單地發(fā)送一個tooBig錯誤消息。getmanysystemtcp

第五十四頁，共九十六頁。2SNMPv2協(xié)議操作(4)

SetRequestPDU：SNMPv2SetRequestPDU在格式和語義上都和SNMPv1完全相同，其操作的基本特性是要么更新所有的變量，要么一個都不更新。唯一的區(qū)別在于處理響應的方式不同。使用較多的錯誤代碼是SNMPv2對SNMP的一大提高，使得管理站能了解詳細的錯誤信息，以便采取糾正措施。

第五十五頁，共九十六頁。2SNMPv2協(xié)議操作(5)

SNMPv2-TrapPDU:SNMPv2的陷入采用與Get等操作相同的PDU格式，這與原標準不同。但其也是代理發(fā)給管理站的非確認性消息。第五十六頁，共九十六頁。2SNMPv2協(xié)議操作

(6)InformRepuestPDU：由管理站功能實體代表一個應用程序發(fā)往另一個執(zhí)行管理站功能的SNMPv2實體，為得到后一個應用程序提供的管理信息。變量綁定表的內容與SNMPv2-TrapPDU具有相同的元素。但該消息需要應答。第五十七頁，共九十六頁。3SNMPv2管理信息庫

SNMPv2的管理信息庫增加了兩個新的MIB模塊，即安全模塊和SNMPv2模塊。

SNMPv2又有三個子模塊:SNMPDomains,SNMPProxys和SNMPModules。SNMPDomains擴展了在傳輸協(xié)議之上傳送管理報文的SNMP標準。SNMPProxys的功能是將執(zhí)行其它協(xié)議的系統(tǒng)通過代理服務映射到UDP.

第五十八頁，共九十六頁。internet{1.3.6.1}system(1)snmpMIBObjects(1)snmpMIBConformance(2)snmp(11)……security(5)snmpv2(6)directory(1)mgmt(2)experimental(3)private(4)snmpdomains(1)snmpProxys(2)snmpModules(3)mib-2(1)snmpMIB(1)圖5-12SNMPV2Internet組第五十九頁，共九十六頁。3SNMPv2管理信息庫

1)SNMP組在SNMPv2中SNMP組對MIB-2進行了簡化，刪除了大量的認為不必要的實體。同時又增加了一些新對象。1，3，6，30，31，32snmpGroup4,5SnmpCommunityGroup7,23Notused2,8-23,24-29snmpObsoleteGroup第六十頁，共九十六頁。表4改進的SNMP組實體OID描述snmpInPktssnmp(1)來自傳輸層服務提交給SNMP實體報文的總數(shù)snmpInBadVersionssnmp(3)接收的含有版本錯誤的報文總數(shù)snmpInBadCommunityNamessnmp(4)接收的含有團體名錯誤的報文總數(shù)snmpInBadCommunityUsessnmp(5)含有不支持的團體操作的報文總數(shù)snmpInASNParseErrssnmp(6)ASN.1和BER錯誤的總數(shù)snmpEnableAuthenTrapssnmp(30)認證失效陷入工作（1），認證失效陷入不工作（2）snmpSilentDropssnmp(31)由于響報所文太長無法應答面丟棄的請求報文總數(shù)snmpProxyDropssnmp(32)由于委托代理傳送報文失敗無法應答而丟棄的報文數(shù)第六十一頁，共九十六頁。3SNMPv2管理信息庫2)MIB對象組這個新組包含的對象與管理對象的控制有關在snmpMIBObjects節(jié)點下有三個模塊： snmpTrap(4)、snmpTraps(5)和snmpSet(6)。子節(jié)點1、2、和3已經(jīng)被取消第六十二頁，共九十六頁。圖MIB對象組snmpMIBObjects(snmpMIB1)snmpTrap(4)snmpSet(6)snmpTraps(5)snmpTrapOID(1)snmpTrapEnterprise(3)snmpSetSerialNo(1)coldStart(1)warmStart(2)authenticationFailure(5)linkUp(4)linkDown(3)第六十三頁，共九十六頁。3SNMPv2管理信息庫SnmpTrap組包含了陷入通知和有關制造商對象標識符的信息。在SnmpTraps下的實體是Snmpv1Traps的擴展。SnmpSerialNo是SnmpSet僅有的一個對象，用于解決set操作中可能出現(xiàn)的問題。一是要保證set操作按照發(fā)送的順序對MIB進行執(zhí)行二是防止多個管理站對MIB進行并發(fā)操作，從而保證數(shù)據(jù)庫的一致性和精確性。第六十四頁，共九十六頁。3SNMPv2管理信息庫3)Snmpv2一致性聲明（ConformanceStatements）一致性是對具體實現(xiàn)的限制，是具體實現(xiàn)必須達到的最小級別。在一致性聲明中規(guī)定了四個宏：OBJECT-GROUP（對象組宏）

NOTIFICATION-GROUP（通知組宏）

MODULE-COMPLIANCE（模塊依從性宏）

AGENT-CAPABILITIES（代理能力宏）

第六十五頁，共九十六頁。3SNMPv2管理信息庫4)接口組MIB-Ⅱ定義的接口組經(jīng)過一段時間的使用，發(fā)現(xiàn)有很多缺陷。RFC1573分析了原來的接口組沒有提供的功能和其他不足之處并對MIB-Ⅱ接口組做了一些小的修改:重新規(guī)定ifIndex用于區(qū)分接口子層而不再代表一個接口。不再限制ifIndex的取值必須在1到ifNumber之間。允許動態(tài)地增加/刪除網(wǎng)絡接口。廢除了ifInNUcastPkts、ifOutNUPkts和ifOutQLen這些用處不大的變量。

ifSpecific也被廢除了，其作用由ifType代替。第六十六頁，共九十六頁。3SNMPv2管理信息庫RFC1573還對接口組增加了4個新表ifRcvAddressTable(4)ifMIBObjects(snmpMIB1)ifXTable(1)ifTestTable(3)ifStackTable(2)圖接口組新表第六十七頁，共九十六頁。3SNMPv2管理信息庫(1)接口擴展表ifXTable 變量ifName表示接口名，表中可能有代表不同子層的多個行屬于同一接口，它們具有同一接口名。(2)

接口堆棧表接口堆棧表說明接口表中屬于同一物理接口的各個行之間的 關系.(3)

接口測試表接口測試表的作用是由管理站指示代理系統(tǒng)測試接口的故障。 該表的一行代表一個接口測試。

(4)接收地址表接收地址表包含每個接口對應的各種地址（廣播地址、組播 地址和單地址）。

第六十八頁，共九十六頁。3.2RMON

遠程網(wǎng)絡監(jiān)視

3.2.1RMON的基本概念

網(wǎng)絡管理人員利用MIB-Ⅱ只能獲取單個設備的本地管理信息，如進出某個設備的分組數(shù)等，而不能獲知整個網(wǎng)絡的通信情況。

RMON規(guī)范是對SNMP標準基本體系(SMI、MIB、SNMP)最重要的擴充。是簡單網(wǎng)絡管理向互聯(lián)網(wǎng)管理過渡的重要一步。定義的遠程監(jiān)視MIB是對MIB-Ⅱ的補充。在不改變SNMP協(xié)議的條件下增強了網(wǎng)絡管理的功能。復習第六十九頁，共九十六頁。第七十頁，共九十六頁。1網(wǎng)絡監(jiān)視器

網(wǎng)絡監(jiān)視器（Monitor）：通常用于監(jiān)視整個網(wǎng)絡通信情況的設備。也稱網(wǎng)絡分析器（Analyzer）、探測器（Probe）等。工作方式：是監(jiān)視器通過監(jiān)聽方式在LAN上運行，觀察LAN上出現(xiàn)的每個分組，并進行統(tǒng)計和總結，給管理人員提供重要的信息。第七十一頁，共九十六頁。1網(wǎng)絡監(jiān)視器監(jiān)視器可以存儲全部或部分的分組以供以后分析使用，并根據(jù)分組類型進行過濾以及捕獲特殊的分組。一般每個子網(wǎng)都需要一個監(jiān)視器，這個監(jiān)視器可以是一個單獨的設備，也可以是運行監(jiān)視器軟件的工作站和服務器等。為了有效地進行網(wǎng)絡管理，每個子網(wǎng)的監(jiān)視器需要與中央網(wǎng)絡管理站通信，也稱遠程監(jiān)視器。第七十二頁，共九十六頁。2RMON的設計目標L

離線操作：在不受管理站查詢的情況下，監(jiān)視器也要持續(xù)地收集子網(wǎng)故障、性能和配置方面的信息，統(tǒng)計和積累數(shù)據(jù)。

l

主動監(jiān)視：監(jiān)視器可以周期地運行診斷程序，給管理站提供診斷故障信息。l

問題檢測和報告：觀察網(wǎng)絡資源的消耗情況，記錄隨時出現(xiàn)的異常條件，并在出現(xiàn)錯誤條件時通知管理站。l

提供增值數(shù)據(jù)：監(jiān)視器可以分析收集到的子網(wǎng)數(shù)據(jù),從而減輕了管理站的計算任務。l

多管理站操作：一個互聯(lián)網(wǎng)可能有多個管理站，監(jiān)視器可以配置成并發(fā)工作，為不同的管理站提供不同的信息。第七十三頁，共九十六頁。在網(wǎng)絡管理信息的通信中，需要建立公共的語法和語義 的標準才能使用RMON設備。其使用的語法是ASN.1對象類型是由RMON的管理信息結構SMIv2定義。RMONMIB定義RMON的功能組已經(jīng)開發(fā)了三個階段。RMON1是為Ethernet而開發(fā)的。RMON1的Tokenring是作為RMON1的擴展在1993年開 發(fā)的。但只是針對數(shù)據(jù)鏈路層上提供參數(shù)。RMON2被開發(fā)并發(fā)布于1997年1月，可提供網(wǎng)絡層以上的 參數(shù)信息。RMON規(guī)范定義了RMONMIB，是MIB-Ⅱ下的第16個子樹。3.2.2RMON的SMI和MIB第七十四頁，共九十六頁。rmon(mib-216)rmonConformance(20)probeConfig(19)usrHistory(18)a1Matrix(17)a1Host(16)n1Matrix(15)n1Host(14)addressMap(13)protocoIDist(12)protocoIDir(11)statistics(1)history(2)alarm(3)host(4)hostTopN(5)matrix(6)ifilter(7)capture(8)event(9)tokenRing(10)圖RMON功能組RMON1RMON2RMON1Extension第七十五頁，共九十六頁。3.2.3RMON的表管理在SNMPv1的管理框架中,對增加或刪除表中行的操作過程是不明確的。RMON規(guī)范包含一組文本約定和過程化規(guī)則以提供明晰而規(guī)律的行增加和行刪除操作。第七十六頁，共九十六頁。

3.2.3RMON的表管理

表結構

在RMON規(guī)范中增加了兩種新的數(shù)據(jù)類型:OwnerString:是為了增強規(guī)范的可讀性。在每一個可讀/寫的RMON表中都有一個對象，其類型為OwnerString，其值為表行所有人或創(chuàng)建者的名字，對象以Owner結尾。EntryStatus：其值表示行的狀態(tài)，對象名以Status結尾，用于行的生成、修改和刪除。RMONMIB表操作第七十七頁，共九十六頁。表結構由控制表和數(shù)據(jù)表兩部分組成：控制表定義數(shù)據(jù)表的結構。數(shù)據(jù)表用于存儲數(shù)據(jù)。3.2.3RMON的表管理第七十八頁，共九十六頁。rmlControlTablermlControlIndexrmlControlParameterrmlControlOwnerrmlControlStatus15monitorvalid226manageralphavalid319managerbetavalidrmlDataTablermlDataControlIndexrmlDataIndexrmlDataValue11462196223523772493258631923226第七十九頁，共九十六頁。3.2.3RMON的表管理rmlControlIndex：唯一地標識rmlControlTable中的一個控制行，該控制行定義了rmlDataTable中一個數(shù)據(jù)行集合。集合中的數(shù)據(jù)行由rmlControlTable的相應行控制。lrmlControlParameter：其控制參數(shù)用于控制行控制的所有數(shù)據(jù)行。

rmlControlOwner：該控制行的所有者。

rmlControlStatus：該控制行的狀態(tài)。第八十頁，共九十六頁。3.2.3RMON的表管理數(shù)據(jù)表由rmlControlIndex和rmlDataIndex共同索引。rmlDataControlIndex的值與控制行的索引值rmlControlIndex相同。rmlDataIndex的值唯一地指定數(shù)據(jù)行集合中的某一行。控制表的第一行的所有者是monitor,按照約定這是指代理本身。

第八十一頁，共九十六頁。3.2.3RMON的表管理2.增加行管理站利用set命令在RMON表中增加新行，并遵循下列規(guī)則。l

如果新行的索引值與表中其他行的索引值不沖突，則代理產(chǎn)生一個新行，其狀態(tài)對象的值為createRequest(2)。l

新行產(chǎn)生后，由代理把狀態(tài)對象的值置為underCreation(3)。l

在管理站創(chuàng)建完其配置所需的所有行之前，這些行應一直處于underCreation(3)狀態(tài)，直到管理站把每一新創(chuàng)建行的狀態(tài)對象值設置為valid(1)。l

如果其它管理站試圖以createRequest(2)狀態(tài)創(chuàng)建一個新行，而該行已經(jīng)存在，就會返回一個錯誤信息。管理站也可以將一個已存在的行的狀態(tài)對象的值由invalid改寫為valid，恢復舊行的作用也等于產(chǎn)生了一個新行。如果有多個請求要創(chuàng)建同樣的概念行，只有最早接收到的請求會成功，其余的管理站將會收到錯誤信息。

第八十二頁，共九十六頁。3.2.3RMON的表管理3.行更改與刪除只有行的所有者才能發(fā)出SetRequestPDU，通過將其狀態(tài)對象值設置為invalid，該行就可被刪除。在設置為無效之后，用SetRequestPDU賦予行中其他對象新的參數(shù)值來進行修改。第八十三頁，共九十六頁。3.2.4RMON1組及其功能RMON1在數(shù)據(jù)鏈路層可完成許多功能。圖2

遠程被監(jiān)視的網(wǎng)絡為Ethernet和TokenRing。采集的數(shù)據(jù)可作為5種功能設置的輸入，有3種監(jiān)視器是對通信量的統(tǒng)計。主機與會話統(tǒng)計組處理與主機有關的通信數(shù)據(jù)和某種參數(shù)最大的N臺主機的通信數(shù)據(jù)以及主機之間的會話。歷史控制表控制從不同網(wǎng)絡采集的數(shù)據(jù)。各個模塊的輸出以圖表的形式呈現(xiàn)給網(wǎng)絡管理者以供其用網(wǎng)絡管理系統(tǒng)對網(wǎng)絡進行分析。第八十四頁，共九十六頁。TokenRingStatisticsTokenRingStatisticsTokenRingHistoryHistoryControlEthernetStatisticsEthernetStatisticsEthernetHistoryHistoryControlHostandConversationStatisticsHostStatisticshostTopNStatisticsMatrixStatisticsDataGatheringNetworkManager遠程監(jiān)視網(wǎng)絡EventGenerationAlarmGenerationTokenRingStatisticsPacketFilteringChannelFilteringPacketCapture圖2RMON1組及其功能第八十五頁，共九十六頁。3.2.4RMON1組及其功能分組和信道過濾后的輸出可能產(chǎn)生報警和事件的消息。數(shù)據(jù)采集的輸出也可直接產(chǎn)生報警。過濾組的輸出可以存儲在分組捕獲中為管理者提供進一步的分析。第八十六頁，共九十六頁。表3RMON1MIB組和表組名OID功能描述表StatisticsRmon1提供鏈路層的統(tǒng)計信息etherStatsTable,etherStats2TableHistoryRmon2收集周期性的統(tǒng)計信息historyControlTable,etherHistoryTablehistoryControl2Table,etherHistory2TableAlarmRmon3用于定義取樣間隔和報警門限alarmTableHostRmon4關于一臺主機的通信統(tǒng)計數(shù)據(jù)hostControl2Table,hostControl2TablehostTable,hostTimeTable,hostControlTableHostTopNRmon5某種參數(shù)最大的N臺主機的統(tǒng)計數(shù)據(jù)hostTopNContr