计算机网络管理-简单网络管理协议SNMPV2讲课.ppt

[3]SNMPV2上下文(Context):SNMPV2的上下文是指SNMPV2实体可以访问的管理对象的资源集合,又分为本地上下文和远程上下文. 本地上下文:指本地MIB对象的一个子集,也叫MIB视阈. 远程上下文:指SNMPV2通过委托代理检索到到管理信息 SNMPV2 实体 被管理对象的资源 SNMPV2 实体 被管理对象的资源 SNMPV2实体 (Proxy Agent) [4]MIB视阈（View）数据库 SNMPV2的参加者可以访问MIB的一部分。MIB视阈是SNMPV2实体可访问的MIB对象组成的子集，子集可以可以是属于一个子树，也可以是属于不同的几个子树；MIB视阈数据库定义了包含在MIB视阈中的对象，主要包括变量是： viewIndex:索引，与上下文表中的contextViewIndex一样。 viewSubtree：表示MIB子树的对象标识符 viewMask：屏蔽码，表示一个子树是否包含在MIB的视阈中。 例子：见书P159（0表示要求不匹配，1表示要求匹配） viewType：视阈类型，表示MIB视阈是否包含由viewSubtree和viewMask确定的子树，该变量include(1)表示包含，exclude(2)表示不包含。 snmpView(partyMIBObject 4) ViewTable ViewEntry ViewIndex(1) 索引 ViewStatus(6) ViewSubtree(2)MIB子树对象标识符 ViewMask(3) 屏蔽码 ViewType(4)视阈类型 ViewStorageType(5) [5]访问控制策略 当SNMPV2实体要发送一个协议数据单元或接收到一个协议数据单元后，首先要检查协议操作的合法性，即通信双方是否位协议操作的合法参加者、操作的上下文是否有效、指定的操作是否允许等。SNMPV2特权数据库aclTable提供了有关信息 Get=1;GetNext=2,Response=4,Set=8,GetBulk=32,Inform=64,SNMPV2-Trap=128,aclPrivileges记录了有关参加者可以完成的各种协议操作的值和。 snmpAccess(partyMIBObject 3) aclTable aclEntry aclTarget(1) 目标SNMPV2实体 同partyIndex aclStatus(6) aclSubject(2) 源SNMPV2实体，同partyIndex aclResource(3) SNMPV2上下文，同contextIndex aclPrivileges(4)各个管理站操作和的值（0－255） aclStorageType(5) [6]SNMPV2的安全协议 1）SNMP加密报文组成 privDst privData(SnmpAuthMsg) authInfo authData(SnmpMgmtCom) authDigest authDstTimestamp authSrcTimestamp dstParty srcParty context pdu PrivDst:指向目标参加者的对象标识符（报文的接受者），是明文 privData（SnmpAuthMsg）:经过加密的报文，接收者需要解密后才可以阅读，被加密的报文为SnmpAuthMsg。（snmp authentic message） authInfo:认证消息，由摘要authDigest，以及目标方和源方的时间戳authDstTimestamp和authSrcTimestamp组成 authData(SnmpMgmtCom):即经过认证的管理消息，包括：目标参加者dstParty,源参加者srcParty,上下文context,以及协议数据单元PDU等组成 2）需要加密和认证的SNMP报文发送过程： 生成SNMPV2报文 访问本地数据库 置authInfo=0 产生认证信息（authDigest）authDstTimestamp)(authsrcTimestamp) 用加密协议加密数据 置privDst=dstParty,建立SnmpAuthMsg BER编码+发送SNMPV2报文 partyprivhProtocol=noPriv partyAuthProtocol=noAuth noAuth noPriv 3）SNMP安全报文接收过程： 完成SNMPV2操作 必要产生响应报文 接收SnmpPrivMsg 解密privData PrivDst正确 SnmpPrivMsg序号正确 pri