网络管理技术与应用课件.ppt

网络管理技术与应用 李 艇 第5章：SNMP通信模型 本章主要从SNMP的通信模型来讨论其网络协议，其有4个方面的内容： SNMP结构 管理模型 SNMP协议 SNMP MIB 第5章：SNMP通信模型 5.1 SNMP结构 5.2 管理模型 5.3 SNMP协议规范 5.4 SNMP操作 5.5 SNMP功能组 5.6 SNMPv2 5.1 SNMP结构（The SNMP Architecture） SNMP结构是管理系统和管理代理之间的管理报文的规范。 由定义团体来进行安全机制的管理，只有相同团体成员之间才能进行通信。 一个管理站能够属于多个团体且可管理多个域。 5.1 SNMP结构（The SNMP Architecture） SNMP结构具有三个方面的功能： 通过管理代理实现的网络功能应该是最简单的； 允许有足够的可扩展性（增加新的操作和管理）； SNMP结构应独立于具体主机和网关的结构及机制。 5.1 SNMP结构 SNMP只用于简单对象的通信并用ASN.1和BER（基本编码规则）进行数据传输。 基本报文有set, get和trap 。其中trap有三种类型 ： 一般trap 特殊trap 时间戳 特殊trap是与设备有关 时间戳是在网络实体初始化和陷入产生之间的时间。sysUpTime的值。 5.2 管理模型 (The Administrative Model) 支持SNMP应用实体的程序称为协议实体 SNMP管理者属于管理站的应用实体 SNMP代理属于网络元素的应用实体 这一对实体被称为SNMP团体。 SNMP团体名为community，是一个字符串的形式。 5.2 管理模型  5.2 管理模型  5.2 管理模型  1、团体的概念 SNMP网络管理是一种分布式应用。代理控制自己的MIB，也控制多个管理站对MIB的访问。 只有授权的管理站才允许访问管理信息库。 其基本思想是： l???代理系统可以对不同的团体定义不同的访问 控制策略，每个团体被赋予唯一的名字。 l????管理站只能以认可的团体名行使访问权。 l????管理站实体可以用不同的名字对不同的代理 实施不同的访问权限。 5.2 管理模型 2、认证服务 认证服务的目的是要保证通信是被授权的。 对于一个SNMP报文，认证服务的功能是保证接收报文来自于这个消息所声称的源。 从管理站到代理的每个报文都包括一个团体名字。这个名字起到密码的作用，如果发送者知道这个密码，报文就被认为是可靠的。 5.2 管理模型 团体名以明文的形式传输，容易被窃取。所以SNMP的安全机制是不安全的。 为此很多SNMP的实现只允许Get和Trap操作，而Set的操作被严格的限制。即只具有网络监视功能而限制控制网络设备。 为了加强SNMP的安全性，在后来的SNMP版本中改进了认证服务。 5.2 管理模型 3、访问策略 通过定义团体，代理系统限制只有一些选定的管理站才能访问它的MIB。 通过使用多个团体，代理可为不同的管理站提供不同的MIB访问类别。 访问控制有两方面： l?? SNMP MIB 视域（view）: MIB中对象的一个子 集，对不同的团体可以定义不同的视域。属 于同一视域的对象不必属于同一子树。 l???访问模式：集合{read-only, read-write}的一 个元素。对于一个团体可以定义一种访问模 式。 5.2 管理模型 一个团体的MIB视域和访问模式的组合称为SNMP团体形象（profile）。 它包含代理中对象的一个子集和有关这些对象的访问模式。 SNMP访问模式适用于MIB视域中的所有对象。例如如果访问模式是read-only，则具有同一团体形象的管理站对视域中的所有对象只能以只读方式访问。 5.2 管理模型 5.2 管理模型 团体形象是由代理为各个团体定义的。 SNMP团体和SNMP团体形象的组合称为SNMP访问策略。 SNMP的访问策略 5.2 管理模型 三个网络管理系统，各自有不同的团体域。 代理1和代理2属于团体1，而它们却有不同的团体形象。 作为团体1的一部分的管理站1可以与代理1和代理2通信 但管理站1不可以与属于团体2的代理3和代理4通信。管理站2则可以访问它们，因为管理站2属于团体2。 管理站3可以访问团体1和团体2，因此可以与所有代理通信 5.2 管理模型 4、委托代理服务 通常委托代理是为不支持SNMP的设备工作的，团体形象的概念同样适用于委托代理服务。 有些情况下，被代理的设备也可能支持TCP/IP和SNMP，这时委托代理的作用是为了减少代理的设备与管理站之间的交互过程。 对于被代理的设备，委托代理定义并且维护一种SNMP访问策略。 5.2 管