SNMP協议发展及安全机制介绍.docx

SNMP协议发展及v3版本安全机制介绍 一 SNMP协议 1 什么是SNMP协议 SNMP（Simple Network Management Protocol）简单网络管理协议是用来管理网络上的节点，（包括工作站，路由器，交换机，集线器和其他的外围设备）。SNMP在OSI模型中是一个应用层协议，使用UDP封装进行传输。网络管理者可以使用SNMP进行检索、修改信息，寻找、诊断故障，管理网络性能，发现和解决网络问题，规划网络的增长。它采用轮询和中断机制，提供最基本的功能集。 SNMP在TCP/IP协议族中的地位如下图： SNMP UDP IP 链路层协议 硬件 2 SNMP网络架构 SNMP网络架构由三部分组成：NMS、Agent和MIB。 NMS、Agent和MIB之间的关系如下图所示。 2.1 NMS（Network Management Station） NMS的角色是网络中的管理者，是一个利用SNMP协议对网络设备进行管理和监视的系统。NMS可以向Agent发出请求，查询或修改一个或多个具体的参数值。同时，NMS可以接收Agent主动发送的Trap信息，以获知被管理设备当前的状态。 2.2 Agent Agent是网络设备中的一个应用模块。Agent接收到NMS的请求信息后，完成查询或修改操作，并把操作结果发送给NMS，完成响应。同时，当设备发生故障或者其他事件的时候，Agent会主动发送Trap信息给NMS，通知设备当前的状态变化。 2.3 MIB（Management Information Basess） 任何一个被管理的资源都可以表示成一个对象，MIB是被管理对象的集合。它定义了被管理对象的一系列属性：对象的名称、对象的访问权限和对象的数据类型等。每个Agent都有自己的MIB。MIB也可以看作是NMS和Agent之间的一个接口，通过这个接口，NMS可以对Agent中的每一个被管理对象进行读/写操作，从而达到管理和监控设备的目的。 MIB是以树状结构进行存储的。树的节点表示被管理对象，它可以用从根开始的一条路径唯一地识别，这条路径就称为OID（Object Identifier）。如下图所示。管理对象system可以用一串数字{1.3.6.1.2.1.1}唯一标识，这串数字就是system的OID。 子树可以用该子树根节点的OID来标识。如以private为根节点的子树的OID为private的OID——{1.3.6.1.4}。 3 SNMP版本 SNMP主要有SNMPv1、SNMPV2c、SNMPv3几种常用的版本。 3.1 SNMPv1 SNMPv1是SNMP协议的最初版本，它的MIB比较简单，且存在较多安全缺陷。所以网络管理功能比较受限。SNMPv1采用团体名认证。团体名的作用类似于密码，用来限制NMS对Agent的访问。如果SNMP报文携带的团体名没有得到NMS/Agent的认可，该报文将被丢弃。 3.2 SNMPv2c SNMPv2c也采用团体名认证。在兼容SNMPv1的同时又扩充了SNMPv1的功能。它提供了更多的操作类型（GetBulk操作等），支持更多的数据类型（Counter32等），提供了更丰富的错误代码，能够更细致地区分错误。 3.3 SNMPv3 SNMPv3主要在安全性方面进行了增强，它采用了USM和VACM技术。USM提供了认证和加密功能，VACM确定用户是否允许访问特定的MIB对象以及访问方式。 本文第二节主要介绍USM安全模型。 3.3.1 USM（基于用户的安全模型） USM引入了用户名和组的概念，可以设置认证和加密功能。认证用于验证报文发送方的合法性，避免非法用户的访问。加密则是对NMS和Agent之间传输的报文进行加密，以免被窃听。通过有无认证和有无加密等功能组合，可以为NMS和Agent之间的通信提供更高的安全性。 3.3.2 VACM（基于视图的访问控制模型） VACM技术定义了组、安全等级、上下文、MIB视图、访问策略五个元素，这些元素同时决定用户是否具有访问的权限，只有具有了访问权限的用户才能管理操作对象。在同一个SNMP实体上可以定义不同的组，组与MIB视图绑定，组内又可以定义多个用户。当使用某个用户名进行访问的时候，只能访问对应的MIB视图定义的对象。 4 SNMP操作 SNMP支持多种操作，主要为以下几种基本操作： Get操作：NMS使用该操作从 Agent获取一个或多个参数值。 GetNext操作：NMS 使用该操作从 Agent 获取一个或多个参数的下一个 参数值。 Set操作：NMS使用该操作设置 Agent一个或多个参数值。 Response操作：Agent 返回一个或多个参数值。该操作是前面三种操 作