2016计算机网络基础教程：SNMP管理协议.docVIP

第十一章 网络管理与网络安全 网络管理需要完成的主要任务是监视网络设备的运转、判断网络运行的质量、进行故障诊断与排除和重新配置网络设备。一个高效率工作的网络离不开有效的网络管理，网络管理是重要的网络技术之一。 在进行网络管理的同时，还需要使用专门的技术来保护网络安全，以防止对网络的恶意攻击，保障数据信息泄露。 本章将针对上述任务介绍较常用的网络管理技术和网络安全技术。 11.1 SNMP管理协议 最早的简单网络管理协议SNMP（Simple Network Management Protocol）发布于1988年。SNMP协议提出了对网络实施监控管理的技术方案。几乎所有大型网络厂商（如CISCO、3COM、HP、IBM、Sun、Prime、联想、实达等公司）都在自己的网络设备中安装SNMP部件，支持SNMP协议。 SNMP协议在功能上规定要从一个或多个网管工作站上远程监控网络的运行参数和设备，这包括：网络拓扑结构、设备端口流量、错包和错包数量情况、丢包和丢包数量情况、设备和端口的连接状态、VLAN划分情况、帧中继和ATM网络情况、服务器CPU、内存、磁盘、IPC、进程、网络使用情况，服务器日志情况、应用响应情况、SAN网络情况等。 SNMP协议还规定实现设备和端口的关闭、划分VLAN等远程设置功能。 图 11.1 SNMP的体系结构 图11.1是SNMP的体系结构。SNMP的管理模型包括四个关键元素：网管工作站、SNMP代理、管理信息库MIB、和SNMP通讯协议。 SNMP协议规定整个系统必须有一个网管工作站，通过网络设备中的SNMP代理程序，网络设备中的设备类型、端口配置、通讯状况等信息定时传送给网管工作站，再由网管工作站以图形和报表的方式描绘出来。 SNMP网管工作站 SNMP网管工作站是网络管理员与网络管理系统的接口，它实际上是一台运行特殊管理软件（如HP NetView、 CiscoWorks等）的计算机。SNMP网管工作站运行一个或多个管理进程，它通过SNMP协议在网络上与网络设备中的SNMP代理程序通信，发送命令并接收代理的应答。网管工作站通过获取网络设备中需要监控的参数值来实现网络资源监视，也可以通过修改设备配置的值来使SNMP代理修改网络设备上的配置。许多SNMP网管工作站的应用进程都具有图形用户界面，提供数据分析、故障发现的功能，网络管理者能方便地检查网络状态并在需要时采取行动。 SNMP代理 网络中的主机、路由器、网桥和交换机等都可配置SNMP代理程序，以便SNMP网管工作站对它进行监控或管理。每个设备中的代理程序负责搜集本地的参数（如：设备端口流量、错包和错包数量情况、丢包和丢包数量情况等）。SNMP网管工作站通过轮询广播，向各个设备中的SNMP代理程序索取这些被监控的参数。SNMP代理程序对来自SNMP网管工作站的信息查询和修改设备配置的请求作出响应。 SNMP代理程序同时还可以异步地向SNMP网管工作站主动提供一些重要的非请求信息，而不等轮询的到来。这种被称为Trap的方式，能够及时地将诸如网络端口失效、丢包数量超过警戒阀值等紧急信息报告给SNMP网管工作站。 SNMP网管工作站可以访问多个设备的SNMP代理，接收来自多个代理的Trap。因此，从操作和控制的角度看，网管工作站“管理”着许多代理。同时，SNMP代理程序也能对多个网管工作站的轮询请求作出响应，形成一种一对多的关系。 管理信息库MIB MIB是一个信息存储库，安装在网管工作站上。它存储了从各个网络设备的代理程序那里搜集的有关配置、性能和运行参数等数据，是网络监控与管理的基础。MIB数据库中存储哪些参数以及数据库结构的定义在[RFC1212]、[RFC1213]这样的文件中都有详细的说明。其中[RFC1213]是1991年制订的新的版本，增添了许多TCP/IP方面的参数。 SNMP通讯协议 SNMP通讯协议规定了网管工作站与设备中的SNMP代理程序之间的通讯格式，网管工作站与设备中的SNMP代理程序之间通过SNMP报文的形式来交换信息。 SNMP协议的通讯分为：读操作Get、写操作Set、和报告操作Trap三种功能共五种报文。 SNMP报文类型编号 SNMP报文名称 用途 0 Get-request 网管工作站发出的论询请求 1 Get-next- request 网管工作站发出的论询请求 2 Get-response SNMP代理程序向网管工作站传送的配置参数和运行参数 3 Set-request 网管工作站向设备发出的设置命令 4 Trap 设备中的SNMP代理程序向网管工作站报告紧急事件 网管工作站在轮询时，使用Get-request和Get-next- request报文请求SNMP代理程序报告设备的配置参数和运