第4章 Internet网络管理与SNMP.ppt

* * 第四章 Internet 网络管理与SNMP 4.1 SNMP 的管理模型 4.2 团体和团体名 4.3 管理信息库MIB 4.1 SNMP 的管理模型 包括四个要素：Manager, Agent, MIB, SNMP 1）管理站 管理站一般是一个单机设备，是网络管理员与网络管理系统的接口。 2）管理代理 除了管理站，网络管理系统中的其它元素都是管理代理。代理对于来自管理站的信息查询和动作执行的请求做出响应，同时还可以主动提供信息。 3）网络管理协议 SNMP 四种操作： Get:管理站检索代理的MIB对象值 GetNext:获取一个表中指定对象的下一个 Set:管理站去设置代理的MIB对象值 Trap:代理向管理站事件报告 管理进程 管理站 SNMP UDP IP 网络访问协议 SET TRAP GET 代理进程 代理 SNMP UDP IP 网络访问协议 SET TRAP GET SNMP报文 4.2 团体和团体名 SNMP网络管理包括： 一个管理站对应多个代理 多个管理站对应一个代理 因此每个代理就必须能够控制管理站对于代理的MIB的使用。 认证服务：代理能够限制只有被授权的管理站才可以访问它的MIB。 访问控制：管理代理可以对不同的管理站给予不同的访问优先集。 代理服务：作为委托代理管理其他非标准设备，并完成这些非标准设备的认证服务和访问策略。 SNMP的团体是一个SNMP代理和多个SNMP管理站之间的一种认证和访问控制关系。代理为每一个必要的认证、访问控制建立一个团体。每个团体拥有一个唯一的名字。团体中的管理站必须使用团体名进行GET、SET操作。 团体是代理本地定义的，每一个团体名的有效范围局限于定义它的代理系统中，因此不同的代理可以采用相同的名字，一个管理站能够以不同的或者相同的团体名对不同的代理中实施操作。 4.2.1 认证服务 认证服务的目的是保证通信是经过授权的，在SNMP环境中，认证服务主要是保证接收的报文是来自它所声称的源。 SNMP的认证方式是，从管理站发往代理的每个报文都包含一个团体名，团体名被认证，则报文有效。 管理站1 代理 Community:good SNMP Get (community:good) 认证通过，返回 Get-Response 认证失败，产生SNMP Trap SNMP Get (community:public) 管理站2 4.2.2访问策略 代理可以通过设置团体名选择访问MIB的管理站，或者通过定义管理对象的访问模式限制管理站对MIB的访问权限。 MIB视阈：MIB的子集。对于不同的团体名可以定义不同的MIB视阈。 访问模式：只读，读写。对于一个团体名定义一种访问模式。 MIB视阈和访问模式的组合叫做团体的形象(框架）Profile。团体形象是由代理为各个团体定义的。团体和团体形象的组合叫做SNMP访问策略。 SNMP代理 SNMP管理站集合 SNMP团体 SNMP MIB视阈 SNMP访问模式 SNMP团体形象 SNMP访问策略 4.2.3委托代理服务 团体的概念同样适合委托代理服务。一般来说，委托代理是代表不支持SNMP的非标准设备工作的。 SNMP管理站 SNMP代理 专用协议 SNMP UDP/IP 非标准设备 4.3管理信息库MIB 4.3.1MIB结构 SNMP中的MIB，只允许存储标量和二维数组。所有的管理对象分成树结构。 root ccitt 0 1 2 0 1 2 3 6 1 1 2 3 4 1 6 iso Joint-iso-ccitt org dod internet directory mgmt experimental private mib-2 tcp 1 enterprise 1）表示管理和控制关系。 上层的结点是某些机构的名字（或者是委托某些机构代管），这些结点负责它下面子节点的管理和审批。 2）提供了结构化的信息组织技术。 下层的中间结点代表的子树是与每个网络资源或网络协议相关的信息集合。 3）提供了对象命名的机制 树中的每个结点都有一个分层的编号，比如internet 的标识符就是1.3.6.1，或者{iso(1)org(3)dod(6)1} Internet下面有四个节点： directory(1): osi 的目录服务使用 Mgmt(2): IAB 批准的所有管理对象 experimental:internet(3)上实验的所有管理对象 Private(4):为企业的管理信息准备的。现在这个子树下只有一个结点 enterprise。比如Cisco,获得的子树号是9，那么它的标识符是 1.3.6.1.4.9 IBM获得的子树号2，则标识符是 1.3.6.1.4.2 SNMP定义的管理对象全部在internet下，因此这