第3章节 网络管理协议.ppt

SNMP应用 代理转发器：用于SNMP代理或代理服务器，转发接收的SNMP命令与响应。 第3章 网络管理协议 本章学习目标 理解网络管理协议的作用 掌握SNMP协议的基本概念 了解WBM管理技术 了解公共管理协议 3.1简单网络管理协议 1．SNMP的发展 在TCP/IP的早期开发中，网络管理问题并未得到足够的重视，直到上世纪80后期，人们才意识到需要开发功能更强，并易于普通网络管理人员学习和使用的标准协议。 1987年11月发布的SGMP，成为提供专用网络管理工具的起点。 1988年，IAB确定了将SNMP作为近期解决方案进一步开发. 1992年7月发表了个增强SNMP安全性3的文件作为建议标准。 1993年安全版SNMPv2发布。 1999年4月IETF SNMPv3工作组提出了RFC2571～RFC2576，形成了SNMPv3的建议。 2． SNMP的体系结构 1) SNMP是应用层协议。 2) SNMP采用UDP协议、IP协议，是TCP/IP协议族的一部分。 3) SNMP的网络管理模型包括以下关键元素：管理者、代理、管理信息库、网络管理协议。 管理者：一般是一个分立的设备，也可以利用共享系统实现。管理者被作为网络管理员与网络管理系统的接口，它的基本构成如下： 一组具有分析数据、发现故障等功能的管理程序； 一个用于网络管理员监控网络的接口； 将网络管理员的要求转变为对远程网络元素的实际监控能力； 一个从所有被管网络实体的MIB中抽取信息的数据库。 代理：是装备了SNMP的平台，如主机、网桥、路由器及集线器均可作为代理工作。 管理信息库：被管对象的集合，是表示被管资源某一方面的数据变量。 网络管理协议：管理者和代理间进行通信的规则。 4） SNMP通信协议主要包括一下能力： get——管理者读取代理处对象的值； set——管理者设置代理处对象的值； trap——代理向管理者通报重要事件。 5） SNMP的协议环境：图3-1 6） 陷阱引导轮询： 问题一：靠管理者轮询来掌握被管对象的信息是很低效的。 解决：初始化时，进行较高频度的轮询，而在建立了基准之后，则降低轮询的频度。 问题二：降低了轮询的频度怎么及时掌握被管对象的信息呢？ 解决：采用事件报告/通知方式（发送trap报文） 7） 代理：某些设备委托其他设备作为其代理。 一个SNMP的代理可以作为一个或多个其他设备的代理人。 管理者向代理发出对某个设备的查询操作时，代理要能够将查询转变为该设备使用的管理协议。 当代理收到对一个查询的应答时，要将这个应答转发给管理者。 如果一个来自托管设备的事件通报到代理时，代理则以陷阱报文的形式将它发给管理者。 3.1.2 SNMPv1 1. SNMPv1支持的操作 SNMP只支持对管理对象值的检索和修改等简单操作，即只能对对象进行Get、Set和Trap三种操作。MIB的结构不能通过增加或减少对象实例被改变，并且，访问只能对对象标识树中的叶子对象进行。这些限制大大简化了SNMP的实现，但同时也限制了网络管理系统的能力。 2.共同体和安全控制 SNMP协议包含两种一对多关系： 一个管理者对应多个被管对象 一个被管对象可以被多个管理者管理 每个被管对象有一个本地MIB，这个MIB能够被哪些管理者访问，又以怎样的方式访问呢，这就需要进行一定的控制： 认证服务：将对MIB的访问限定在授权的管理站的范围内。 访问策略：对不同的管理站给予不同的访问权限。 代理服务：一个被管理站可以作为其他一些被管理站(托管站)的代理，这就要求在这个代理系统中实现为托管站服务的认证服务和访问权限。 注：以上这些控制都是为了保证网络管理信息的安全，即被管系统需要保护它们的MIB不被非法的访问。 2.共同体和安全控制（续1） SNMP通过共同体的概念提供了初步和有限的安全能力。 被管系统为每组可选的认证、访问控制和代理特性建立一个共同体。 每个共同体被赋予一个在被管系统内部唯一的共同体名，该共同体名要提供给共同体内的所有的管理站，以便它们在get和set操作中应用。 代理者可以与多个管理站建立多个共同体，同一个管理站可以出现在不同的共同体中。 由于共同体是在代理处本地定义的，因此不同的代理处可能会定义相同的共同体名。管理者必须将共同体名与代理联系起来加以应用。 2.共同体和安全控制（续2） 认证服务 目的：只允许授权的管理者访问本地的MIB 方法：设置口令，然后将这个口令告知授权的管理者，管理者要求访求的时候核对这个口令。 口令??共同体名：如果管理者向代理发送的报文中包含的共同体名就是代理设置的共同体名，则允许访问。 2.共同体和安全控制（续3） 访问策略 目的：为不