SNMPV.ppt

简单网络管理协议 —— SNMP V3 作为网络管理协议，SNMP在制定最初并没有过多的考虑其安全性，而且V1和V2版本采用明文传输团体名，这使得早期版本存在着很大的安全隐患。 但是随着网络安全的日趋重要，在SNMP发展的过程中也出现了一些安全方面的增强方案，这些方案虽然没有形成统一的标准，也没有得到广泛地应用，但是，这些对后来的SNMP V3的形成具有很大的借鉴意义。 SNMP协议概述——发展历程 1、SNMPv1发展过程 SNMPv1是SNMP协议的最初版本，提供最小限度的网络管理功能，并在90年代得到了迅猛的发展。同时也暴露出明显的不足。例如：难以实现大量数据的传输、缺少身份验证和加密机制，也不支持除TCP/IP之外的协议平台,过于集中式的管理、无法实现对网络的监控功能。 同时，在SNMP V1中只提出了基于Community的安全机制。一个SNMP团体就是一个SNMP代理和任意一组SNMP管理站之间的关系，它定义了认证和访问机制的特性。 Community是定义在代理上的一个本地概念。代理为每个必要的认证和访问特性的联合定义一个团体，每个community拥有唯一的名字。community中的管理站必须使用该团体名进行get和set操作。 Community的名字起到了一个密码的作用，用来实现管理站对代理的访问。如果SNMP报文携带的团体名没有得到设备的认可，则丢弃该报文。同时可以通过定义多个Community，代理就能够为多个不同的管理站来提供不同的MIB访问权限。 2、SNMPv2发展过程 基于以上SNMPv1的种种缺陷与不足，于是在1993年发布了SNMPv2，并进一定的完善工作， 具有以下特点： -支持分布式网络管理（M2M-MIB提供了对分布式管理的支持） -扩展了数据类型（Usigned32、Counter64） -可以实现大量数据同时传输，提高了效率性能（GetBulkRequest） -丰富了故障处理功能（丰富的错误提示信息，更细致的区分错误） -增加了集合处理功能 -加强了数据定义的语言（扩充了对象类型的宏） SNMPV2新增具体内容 扩充了对象类型的宏定义（UnitsPart、MAX-ACCESS、STATUS），引入新的数据类型（Unsigned32和Counter64）。 提供了更完善的表操作功能。 在协议方面引入两种新的PDU（GetBulkRequest和InformRequest）。 定义了两个新的MIB信息库，SNMPv2 MIB和M2M MIB（Manager to Manager MIB），前者是对基本的MIB的支持，后者提供了对分布式管理结构的支持。 SNMPv2也采用了Community来认证，它在兼容SNMPv1的同时，也扩充了其功能。 相对于SNMPv1而言，SNMPv2新增加了GetBulk操作报文，GetBulk所对应的基本操作类型就是GetNext操作，通过设置参数Non Repeaters(非重复数)和Max Repetitions（最大后继数），从而高效地从Agent处获取大量管理数据。也增加了一个InformRequest报文，与其他报文格式相同。 同时，SNMPv2修改了Trap报文格式，SNMPv2的Trap PDU采用了SNMPv1的Get/GetNext/Set PDU的格式，并将sysUpTime（发出陷入时间）和snmpTrapOID（陷入对象标识符）作为Variable bindings中的变量来构造报文。 SNMPv2 报文格式 SNMPv2 共有7种协议数据单元，分为3种PDU结构： 3、SNMPv3发展过程 但是，SNMPv2并没有实现预期的目标，尤其是在安全性方面并没有得到提高，例如身份验证、加密、授权和访问控制、适当的远程安全配置和管理能力都没有实现。之后经过进一步的修改和完善，在1998年1月，正式形成了SNMPv3。这一系列文件定义了包括SNMPv1、SNMPv2所有功能在内的体系框架和包含验证服务、加密服务在内的全新的安全机制，同时还规定了一套专门的网络安全和访问控制规则，可以这样说，SNMPv3是在SNMPv2基础上增加了安全和管理机制。 SNMP V3 介绍 一、 SNMP V3 协议框架 1、SNMP v3 体系结构 2、SNMP v3 协议操作 3、SNMP v3 安全机制分析 一 SNMP V3 协议框架 SNMP v3相对于SNMP v2最大的改进就是主要是在安全性和管理方面的改进。SNMP v3采用基于User-Based安全模型（USM）和View-Based访问控制模型（VACM）为其提供网络管理的安全性，并采用加密的机制来避免信息的泄漏，保证信息的安