计算机网络管理 教学课件 作者 雷震甲 第三章 简单网络管理协议.ppt

对变量绑定表中指定的变量在MIB中查找按照词典顺序的后继变量，如果找到，返回该变量（对象实例）的名字和值。 如果找不到按照词典顺序的后继变量，则返回请求PDU中的变量名和错误值endOfMibView。 如果出现其它情况使得构造响应PDU失败，以与GetRequest类似的方式返回错误值。 假设GetBulkRequestPDU变量绑定表中有L个变量，该PDU的“非重复数”字段的值为N，则对前N个变量应各返回一个词典后继。再设请求PDU的“最大后继数”字段的值为M，则对其余的R=L-N个变量应该各返回最多M个词典后继。如果可能，总共返回N+R*M个值。如果在任何一步查找过程中遇到不存在后继的情况，则返回错误值endOfMibView。 这个请求的格式和语义与SNMPv1的基本相同，差别是处理响应的方式不同。SNMPv2实体分两个阶段处理这个请求的变量绑定表，首先是检验操作的合法性，然后再更新变量。如果至少有一个变量绑定对的合法性检验没有通过，则不进行下一阶段的更新操作。所以这个操作与SNMPv1一样，是原子性的。 陷入是由代理发给管理站的非确认性消息 TrapPDU的变量绑定表中应报告下面的内容： sysUpTime.0的值，即发出陷入的时间。 snmpTrapOID.0的值，这是SBNPv2 MIB对象组定义的陷入对象的标识符。 有关通知宏定义中包含的各个变量及其值。 代理系统选择的其他变量的值。 这是管理站发送给管理站的消息，PDU格式与Get等操作相同，变量绑定表的内容与陷入报文的一样。 SNMPv2增加的管理站之间的通信机制是分布式网络管理所需要的功能特征，为此引入了通知报文InformRequest和管理站数据库（manager-to-manager MIB）。管理站数据库主要由3个表组成： snmpAlarmTable snmpEventTable snmpEventNotifyTable SNMP引擎提供下列服务： 发送和接收报文， 认证和加密报文， 控制对管理对象的访问。 1. 调度器 调度器的功能包括： 向/从网络中发送/接收SNMP报文， 确定SNMP报文的版本，并交给相应的报文处理模块处理， 为接收PDU的SNMP应用提供一个抽象的接口， 为发送PDU的SNMP应用提供一个抽象的接口。 2. 报文处理子系统 3. 安全子系统 4. 访问控制子系统 SNMPv3的应用程序分为5种 命令生成器（command generators） 命令响应器（command responders） 通知发送器（notification originators） 通知接收器（notification receivers） 代理转发器（proxy forwarders） 管理站 代理 标准规定安全模块必须提供防护的两种主要威胁是： 修改信息（Modification of Information） 假冒（Masquerade） 标准还规定安全模块必须对两种次要威胁提供防护： 修改报文流（Message Stream Modification） 消息泄露（Disclosure） 有两种威胁是安全体系结构不必防护的，因为它们不是很重要，或者这种防护没有多大作用： 拒绝服务（Denial of Service） 通信分析（Traffic Analysis） RFC2574把安全协议分为3个模块： 时间序列模块：提供对报文延迟和重放的防护。 认证模块：提供完整性和数据源认证， 加密模块：防止报文内容的泄露 在VACM模型中要用到以下概念： SNMP上下文(context) 组（group） 安全模型（securityModel） 安全级别（securityLevel） 操作（operation） 1. 视图和视图系列 为了安全，我们需要把某些组（group）的访问权限制在一个管理信息的子集中。提供这种能力的机制就是MIB视图 视图限定了SNMP上下文中管理对象类型(或管理对象实例)的一个特殊集合 由于列对象的格式是类似的，所以可以把它们聚合成一个结构，叫做视图树系列（ViewTreeFamily） 如果下列两个条件都成立，则该对象实例属于视图树系列： 管理对象标识符至少包含了系列名包含的那些子标识符； 对应于掩码为1的位，管理对象标识符中的子标识符必须与系列名中的对应子标识符相匹配。 2. VACM MIB的组成 VACM MIB由几个表组成 vacmContextTable vacmSecurityToGroupTable vacmAccessTable vacmViewTreeFamilyTable 3. 访问控制决策过程 陷入是由代理向管理站发出的异步事件报告，不需要应答报文。SNMPv1规定了6种陷入