第3章SNMP通信模型解析課件

第3章：SNMP通信模型3.1SNMP結(jié)構(gòu)（

SNMPArchitecture）

SNMP結(jié)構(gòu)是管理系統(tǒng)和管理代理之間的管理報(bào)文的規(guī)范。由定義團(tuán)體來(lái)進(jìn)行安全機(jī)制的管理，只有相同團(tuán)體成員之間才能進(jìn)行通信。一個(gè)管理站能夠?qū)儆诙鄠€(gè)團(tuán)體且可管理多個(gè)域。

SNMP結(jié)構(gòu)具有三個(gè)方面的功能：通過(guò)管理代理實(shí)現(xiàn)的網(wǎng)絡(luò)功能應(yīng)該是最簡(jiǎn)單的；允許有足夠的可擴(kuò)展性（增加新的操作和管理）；SNMP結(jié)構(gòu)應(yīng)獨(dú)立于具體主機(jī)和網(wǎng)關(guān)的結(jié)構(gòu)及機(jī)制。3.2管理模型(TheAdministrativeModel)

支持SNMP應(yīng)用實(shí)體的程序稱(chēng)為協(xié)議實(shí)體SNMP管理者屬于管理站的應(yīng)用實(shí)體SNMP代理屬于網(wǎng)絡(luò)元素的應(yīng)用實(shí)體這一對(duì)實(shí)體被稱(chēng)為SNMP團(tuán)體。SNMP團(tuán)體名為community，是一個(gè)字符串的形式。SNMPManager認(rèn)證服務(wù)SNMPManager認(rèn)證服務(wù)SNMPManager認(rèn)證服務(wù)認(rèn)證認(rèn)證服務(wù)SNMPAgentSNMP團(tuán)體報(bào)文圖中是多個(gè)SNMP管理者與一個(gè)SNMP代理進(jìn)行通信，還可以進(jìn)行多對(duì)一和多對(duì)多的通信。圖中發(fā)送和接收過(guò)程都要進(jìn)行認(rèn)證檢驗(yàn)，這可以視為是一種安全機(jī)制。SNMPv1的安全機(jī)制很簡(jiǎn)單，只是驗(yàn)證團(tuán)體名。屬于同一團(tuán)體的管理站和被管理站才能互相作用。其基本思想是：代理系統(tǒng)可以對(duì)不同的團(tuán)體定義不同的訪(fǎng)問(wèn)控制策略，每個(gè)團(tuán)體被賦予唯一的名字。管理站只能以認(rèn)可的團(tuán)體名行使訪(fǎng)問(wèn)權(quán)。管理站實(shí)體可以用不同的名字對(duì)不同的代理實(shí)施不同的訪(fǎng)問(wèn)權(quán)限。認(rèn)證服務(wù)

認(rèn)證服務(wù)的目的是要保證通信是被授權(quán)的。對(duì)于一個(gè)SNMP報(bào)文，認(rèn)證服務(wù)的功能是保證接收?qǐng)?bào)文來(lái)自于這個(gè)消息所聲稱(chēng)的源。從管理站到代理的每個(gè)報(bào)文都包括一個(gè)團(tuán)體名字。這個(gè)名字起到密碼的作用，如果發(fā)送者知道這個(gè)密碼，報(bào)文就被認(rèn)為是可靠的。團(tuán)體名以明文的形式傳輸，容易被竊取。所以SNMP的安全機(jī)制是不安全的。為此很多SNMP的實(shí)現(xiàn)只允許Get和Trap操作，而Set的操作被嚴(yán)格的限制。即只具有網(wǎng)絡(luò)監(jiān)視功能而限制控制網(wǎng)絡(luò)設(shè)備。為了加強(qiáng)SNMP的安全性，在后來(lái)的SNMP版本中改進(jìn)了認(rèn)證服務(wù)。SNMP的訪(fǎng)問(wèn)策略Manager1(Community1)Manager2(Community2)Manager3(Community1,Community2)Agent1Agent2CommunityProfile1CommunityProfile2Agent3Agent4CommunityProfile3CommunityProfile4SNMPAccessPolicyCommunity1Community23.3SNMP協(xié)議規(guī)范

SNMPPDU格式

DataSNMPPDUCommunityVersionAHSNMPPDUUDPHTransportPDUIPHNetworkPDUDLCH

SNMP報(bào)文封裝SNMP報(bào)文是在PDU加上團(tuán)體名、版本號(hào)和應(yīng)用層的頭構(gòu)成了應(yīng)用層的PDU。在其前加上UDP的頭成為了傳輸層的PDU。以此類(lèi)推，構(gòu)成每一層的PDU。

SNMP協(xié)議實(shí)體在主機(jī)的161端口被接收。trap是在162端口被接收。SNMPv1協(xié)議的最大長(zhǎng)度為484個(gè)字節(jié)。SNMP有5種管理操作，但只有3種PDU格式：GetRequestPDU、GetNextRequestPDU與SetRequestPDU格式相同。

GetResponsePDU

TrapPDU

變量綁定表：variable-bindings

SNMP報(bào)文格式CommunityVersionSNMPPDU變量綁定表00Request-idPDUtypeSNMP報(bào)文GetRequestPDU,GetNextRequestPDU和SetRequestPDUGetResponsePDU錯(cuò)誤狀態(tài)請(qǐng)求標(biāo)識(shí)PDUtype錯(cuò)誤索引Variable-bindingsTrapPDU制造商ID代理地址一般陷阱特殊陷阱時(shí)間戳變量綁定表PDUtypename1value1name2value2……namenvaluen變量綁定表

報(bào)文的發(fā)送和接收

構(gòu)造PDU（ASN.1對(duì)象）加入團(tuán)體名及源和目的傳輸?shù)刂窐?gòu)造SNMP報(bào)文檢驗(yàn)并通過(guò)認(rèn)證把ASN.1報(bào)文按BER編碼發(fā)送給對(duì)等實(shí)體生成和發(fā)送SNMP報(bào)文按BER解碼，恢復(fù)ASN.1報(bào)文語(yǔ)法分析ASN.1報(bào)文驗(yàn)證版本號(hào)認(rèn)證檢查語(yǔ)法分析PDU處理PDU，必要時(shí)產(chǎn)生應(yīng)答丟棄報(bào)文必要時(shí)產(chǎn)生陷入出錯(cuò)正確

接收和處理SNMP報(bào)文3.4SNMP操作（SNMPOperations）檢索簡(jiǎn)單對(duì)象檢索簡(jiǎn)單的標(biāo)量對(duì)象值可以用get操作;如果變量綁定表中包含多個(gè)變量，一次還可以檢索多個(gè)標(biāo)量對(duì)象的值;接收GetRequest的SNMP實(shí)體請(qǐng)求標(biāo)識(shí)相同的響應(yīng)。如果所有請(qǐng)求的對(duì)象值均可以得到，則給于應(yīng)答；只要有一個(gè)對(duì)象的值得不到，則可返回錯(cuò)誤。檢索表對(duì)象

GetNext可用于有效地搜索表對(duì)象。

表對(duì)象檢索IfTable(2)Interfaces(mib-22)mib-2=1.3.6.1.2.1IfNumber(1)IfEntry(1)IfIndex(1)IfDescr(2)IfType(3)IfMtu(4)IfSpeed(5)例：上圖中，若發(fā)出下面的命令，檢索ifNumber的值。GetRequest(1.3.6.1.2.1.2.1.0)GetResponse(2)我們知道有兩個(gè)接口。如果我們進(jìn)一步想要知道每個(gè)接口的數(shù)據(jù)速率，則可以用下面的命令檢索if表中的第五個(gè)元素：

GetRequest(1.3.6.1.2.1.2.2.1.5.1)最后的1是索引項(xiàng)ifIndex的值。得到的響應(yīng)是：GetResponse(10000000)說(shuō)明第一個(gè)接口的數(shù)據(jù)速率是10Mb/s。若要得到第二個(gè)接口的速率可用命令：

GetNextRequest(1.3.6.1.2.1.2.2.1.5.1)得到的可能是GetResponse(56000)說(shuō)明第二個(gè)接口的數(shù)據(jù)速率為56kb/s。例4若管理站希望能夠檢索整個(gè)表，但又不知其中的內(nèi)容和表中的行數(shù)，則可連續(xù)使用GetNext命令。檢索表對(duì)象ipRouteDestIpRouteMetric1ipRouteNextHop9.1.2.3399.0.0.310.0.0.51589.1.1.4210.0.0.99589.1.1.42管理站可發(fā)送包含所有列對(duì)象名稱(chēng)的GetNextRequest:GetNextRequest(ipRouteDest,ipRouteMetric1,ipRouteNextHop)代理將表中的第一行取值返回：GetResponse(ipRouteDest.9.1.2.3=9.1.2.3,ipRouteMetric1.9.1.2.3=3,ipRouteNextHop.9.1.2.3=99.0.0.3)根據(jù)第一行的值可檢索下一行：GetNextRequest(ipRouteDest.9.1.2.3,ipRouteMetric1.9.1.2.3,ipRouteNextHop.9.1.2.3)GetResponse(ipRouteDest.10.0.0.51=10.0.0.51,ipRouteMetric1.10.0.0.51=5,ipRouteNextHop.10.0.0.51=89.1.1.42)據(jù)此可繼續(xù)檢索第三行。表的更新和刪除

Set命令用于設(shè)置或更新變量的值。對(duì)于Set命令的應(yīng)答也是GetResponse,并且要么更新列表中的所有變量，要么一個(gè)也不更新。其錯(cuò)誤狀態(tài)為tooBig,noSuchname和genError。若有一個(gè)變量的名字和要設(shè)置的值在類(lèi)型、長(zhǎng)度或?qū)嶋H值方面不匹配，則返回錯(cuò)誤條件badValue。例:在表5-3中，若想改變列對(duì)象ipRouteMetric1的第一個(gè)值，則可發(fā)出命令：SetRequest(ipRouteMetric1.9.1.2.3=7)得到的應(yīng)答是：GetResponse(ipRouteMetric1.9.1.2.3=7)其效果是該對(duì)象的值由3變成了7。例對(duì)于表5-3若要增加一行，則可用命令：SetRequest(ipRouteDest.11.3.3.12=11.3.3.12,ipRouteMetric1.11.3.3.12=7,ipRouteNextHop.11.3.3.12=91.0.0.5)例7如果要?jiǎng)h除表中的一行，則可以把一個(gè)對(duì)象的值置為invalid:SetRequest(ipRouteType.9.1.2.3=invalid)得到的響應(yīng)說(shuō)明表行確已刪除：GetResponse(ipRouteType.9.1.2.3=invalid)3.5SNMPv2

SNMP具有一定的局限性:?

由于輪詢(xún)的性能限制，SNMP不適合管理很大的網(wǎng)絡(luò)。?

SNMP不適合檢索大量數(shù)據(jù)。?

SNMP的陷入報(bào)文是沒(méi)有應(yīng)答的，可能會(huì)丟掉重要的管理信息。?

SNMP只提供簡(jiǎn)單的團(tuán)體名認(rèn)證，安全措施很弱。?

SNMP并不直接支持向被管理設(shè)備發(fā)送命令。?

MIB-Ⅱ支持的管理對(duì)象是很有限的，不足以完成復(fù)雜的管理功能。?

SNMP不支持管理站之間的通信，而這一點(diǎn)在分布式網(wǎng)絡(luò)管理中是很需要的。

針對(duì)以上SNMPv1的缺陷，SNMPv2對(duì)SNMP進(jìn)行了一定的改進(jìn)。其增強(qiáng)的主要功能有：?

管理信息結(jié)構(gòu)的擴(kuò)充；?

管理站和管理站之間的通信能力；?

新的協(xié)議操作。SNMPv2與SNMP系統(tǒng)結(jié)構(gòu)的主要區(qū)別SNMPv2有7種報(bào)文管理者與管理者之間可以通信。SNMPv2提供3種訪(fǎng)問(wèn)管理信息的方法：管理站和代理之間的請(qǐng)求/響應(yīng)通信。代理系統(tǒng)到管理站的非確認(rèn)通信。管理站和管理站之間的請(qǐng)求/響應(yīng)通信，以支持分布式網(wǎng)絡(luò)管理。SNMPv2系統(tǒng)結(jié)構(gòu)

SNMP管理站SNMP代理SNMP管理站

管理應(yīng)用程序

依賴(lài)于網(wǎng)絡(luò)的協(xié)議

IP

UDP

SNMP

依賴(lài)于網(wǎng)絡(luò)的協(xié)議

IP

UDP

SNMP

管理應(yīng)用程序

依賴(lài)于網(wǎng)絡(luò)的協(xié)議

IP

UDP

SNMP

管理應(yīng)用程序

SNMPv2報(bào)文版本號(hào)取值為0----SNMPv1

取值為1----SNMPv2。SNMPv2PDUSNMPv2協(xié)議數(shù)據(jù)單元有3種PDU格式SNMPv2七種報(bào)文類(lèi)型：

GetRequest、GetNextRequest、SetRequest、GetBulkRequest、SNMPv2-Trap、GetResponse、InformRequestVariable-bindings00Request-idPDUtype

SNMPv2報(bào)文PDU格式GetRequest，GetNextRequest，SetReques，InfornRequest和TrapPDUGetResponsePDU錯(cuò)誤狀態(tài)請(qǐng)求標(biāo)識(shí)PDUtype錯(cuò)誤索引Variable-bindingsGetBuleRequestPDU非重復(fù)數(shù)N請(qǐng)求標(biāo)識(shí)PDUtype最大后繼數(shù)MVariable-bindings變量綁定表name1value1name2value2------namenvaluen(1)GetRequestPDU：SNMPv2對(duì)這種操作的響應(yīng)方式與SNMPv1不同之處是允許部分響應(yīng)，對(duì)變量綁定表中的各個(gè)變量進(jìn)行處理。(2)GetNextRequestPDU：其區(qū)別于SNMPv1是改變了響應(yīng)的原子性。對(duì)變量綁定表中指定的變量在MIB中查找按照字典順序的后繼變量，如果找到，返回該變量的名字和值。

如果找不到按照字典順序的后繼變量，則返回請(qǐng)求PDU中的變量名和錯(cuò)誤值endOfMi