《计算机网络管理 教学课件 PPT 作者 雷震甲 第三章 简单网络管理协议》由会员分享,可在线阅读,更多相关《计算机网络管理 教学课件 PPT 作者 雷震甲 第三章 简单网络管理协议(81页珍藏版)》请在金锄头文库上搜索。
1、第三章 简单网络管理协议,3.1 SNMP的演变,TCP/IP网络管理最初使用的是1987年11月提出的简单网关监控协议(Simple Gateway Monitoring Protocol,SGMP),在此基础上改进成简单网络管理协议第一版(Simple Network Management Protocol,SNMPv1),3.1.1 SNMPv1,SNMP出现后显示了许多优点。最主要的的优点是:简单,容易实现,而且是基于人们熟悉的SGMP(Simple Gateway Monitoring Protocol)协议,已有相当多的操作经验,SNMP虽然被广泛应用,但是SNMP的缺点也是显然的
2、:没有实质性的安全设施,无数据源认证功能,不能防止偷听。面对这样不可靠的管理环境,许多制造商不得不废除了set命令,以避免网络配置被入侵者恶意窜改。,3.1.2 SNMPv2,为了修补SNMP的安全缺陷,1992年7月出现了一个新标准安全SNMP(S-SNMP),这个协议增强了安全方面的功能: 用报文摘要算法MD5保证数据完整性和进行数据源认证; 用时间戳对报文排序; 用DES算法提供数据加密功能,但是S-SNMP没有改进SNMP在功能和效率方面的其他缺点。几乎与此同时有人又提出了另外一个协议SMP(Simple Management Protocol),这个协议由8个文件组成,它对SNMP的
3、扩充表现在下列方面: 适用范围:SMP可以管理任意资源,不仅是网络资源,还可用于应用管理,系统管理。可实现管理站之间的通信,也提供了更明确更灵活的描述框架,可以描述一致性要求和实现能力。在SMP中管理信息的扩展性得到了增强。 复杂程度、速度和效率:保持了SNMP的简单性,更容易实现,并提供了数据块传送能力,因而速度和效率更高。 安全设施:结合了S-SNMP提供的安全功能。 兼容性:可以运行在TCP/IP网络上,也适合OSI系统和运行其他通信协议的网络。,IETF组织了两个工作组:一个组负责协议功能和管理信息库的扩展,另一组负责SNMP的安全方面 又经过几年的实验和论证,后来决定丢掉安全功能,把
4、增加的其他功能做为新标准颁布,并保留了SNMPv1的报文封装格式,因而叫做基于团体的SNMP(Community-based SNMP),简称SNMPv2C,有关SNMPv2和SNMPv2C的RFC文件,SNMPv3工作组的目标是:产生一组必要的文档,作为下一代SNMP核心功能的单一标准。要求尽量使用已有的文档,使新标准 1. 能够适应不同管理需求的各种操作环境; 2. 便于已有的系统向SNMPv3过渡; 3. 可以方便地建立和维护管理系统。,3.1.3 SNMPv3,3.2 SNMPv1协议数据单元,SNMP实体可以对MIB-2中的对象执行下列操作: Get:管理站用于检索管理信息库中标量对
5、象的值。 Set:管理站用于设置管理信息库中标量对象的值。 Trap:代理用于向管理站报告管理对象的状态变化。,3.2.1 SNMPv1支持的操作,3.2.2 SNMP PDU格式,除过Trap 之外的4种PDU格式是相同的,共有5个字段 PDU类型 请求标识(request-id) 错误状态(error-status) 错误索引(error-index) 变量绑定表(variable-binding),Trap报文的格式与其他报文不同,它有下列字段 制造商ID(enterprise) 代理地址(agent-addr) 一般陷入(generic-trap) 特殊陷入(specific-trap
6、) 时间戳(time-stamp),3.2.3 报文应答序列,生成和发送SNMP报文,3.2.4 报文的发送和接收,接收和处理SNMP报文,3.3 SNMPv1的操作,检索简单的标量对象值可以用Get操作,如果变量绑定表中包含多个变量,一次还可以检索多个标量对象的值。接收GetRequest的SNMP实体以请求标识相同的GetResponse响应。,3.3.1检索简单对象,特别要注意的是GetResponse操作的原子性:如果所有请求的对象值可以得到,则给于应答;反之,只要有一个对象的值得不到,则可能返回下列错误条件之一: 变量绑定表中的一个对象无法与MIB中的任何对象标识符匹配,或者要检索的
7、对象是一个数据块(子树或表),没有对象实例生成。在这些情况下,响应实体返回的GetResponse PDU中错误状字段置为noSuchName,错误索引设置为一个数,指明有问题的变量。变量绑定表中不返回任何值。 响应实体可以提供所有要检索的值,但是变量太多,一个响应PDU装不下,这往往是由下层协议数据单元大小限制的。这时响应实体返回一个应答PDU,错误状态字段置为tooBig。 由于其他原因(例如代理不支持)响应实体至少不能提供一个对象的值,则返回的PDU中错误状态字段置为genError,错误索引置一个数,指明有问题的变量。变量绑定表中不返回任何值。,GetNext命令检索变量名指示的下一个
8、对象实例,但是并不要求变量名是对象标识符,或者是实例标识符。,3.3.2 检索未知对象,GetNext可用于有效地搜索表对象,3.3.3检索表对象,Set命令用于设置或更新变量的值。它的PDU格式与Get是相同的,但是在变量绑定表中必须包含要设置的变量名和变量值。对于Set 命令的应答也是GetResponse,同样是原子性的。如果所有的变量都可以设置,则更新所有变量的值,并在应答的GetResponse中确认变量的新值;如果至少有一个变量的值不能设置,则所有变量的值都保持不变,并在错误状态中指明出错的原因。Set出错的原因与Get是类似的(tooBig、noSuchName和genError
9、),然而若有一个变量的名字和要设置的值在类型、长度或实际值不匹配,则返回错误条件badValue。,3.3.4表的更新和删除,陷入是由代理向管理站发出的异步事件报告,不需要应答报文。SNMPv1规定了6种陷入条件,另外还有设备制造商定义的陷入: coldStart 发送实体重新初始化,代理的配置已改变,通常是由系统失效引起的。 warmStart 发送实体重新初始化,但代理的配置没有改变,这是正常的重启动过程。 linkDown 链路失效通知,变量绑定表的第一项指明对应接口表的索引变量及其值。 linkUp 链路启动通知,变量绑定表的第一项指明对应接口表的索引变量及其值。 authentica
10、tionFailure 发送实体收到一个没有通过认证的报文。 egpNeighborLoss 相邻的外部路由器失效或关机。 enterpriseSpecific 由设备制造商定义的陷入条件,在特殊陷入(specific-trap)字段指明具体的陷入类型。,3.3.5陷入操作,3.4 SNMP功能组,3.5 实现问题,支持扩展的MIB 图形用户接口 自动发现机制 可编程的事件 高级网络控制功能 面向对象的管理模型 用户定义的图标,3.5.1 网络管理站的功能,通常轮询频率与网络的规模和代理的多少有关。而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥塞程度等众多的因素,所以很难给出准确
11、的判断规则。 轮询只是采用get请求/响应这种简单形式,而且管理站全部时间都用来轮询,于是我们有下面的不等式: NT/, 其中 N=轮询的代理数 T=轮询间隔 =单个轮询需要的时间。,3.5.2 轮询频率,与下列因素有关: 管理站生成一个请求报文的时间 从管理站到代理的网络延迟 代理处理一个请求报文的时间 代理产生一个响应报文的时间 从代理到管理站的网络延迟 管理站处理一个响应报文的时间 为了得到需要的管理信息,交换请求/响应报文的数量,由于轮询的性能限制,SNMP不适合管理很大的网络。轮询产生的大量管理信息传送可能引起网络响应时间的增加。 SNMP不适合检索大量数据,例如检索整个表中的数据。
12、 SNMP的陷入报文是没有应答的,管理站是否收到陷入报文,代理不得而知。这样可能丢掉重要的管理信息。 SNMP只提供简单的团体名认证,这样的安全措施是很不够的。 SNMP并不直接支持向被管理设备发送命令。 SNMP的管理信息库MIB-2支持的管理对象是很有限的,不足以完成复杂的管理功能。 SNMP不支持管理站之间的通信,而这一点在分布式网络管理中是很需要的。,3.5.3 SNMPv1的局限性,SNMPv2 SMI引入了4个关键的概念: 对象的定义 概念表 通知的定义 信息模块,3.6 SNMPv2管理信息结构,SNMPv2对象宏定义,3.6.1 对象的定义,OBJECT-TYPE MACRO:
13、= BEGIN TYPE NOTATION:=“SYNTAX” Syntax UnitsPart “MAX-ACCESS” Access “STATUS” Status “DESCRIPTION” Text ReferPart IndexPart DefValPart VALUE NOTATION:=value (VALUE ObjectName) END,SNMPv2把表分为两类 禁止删除和生成行的表:这种表的最高的访问级别是read-write。在很多情况下这种表由代理控制,表中只包含read-only型的对象 允许删除和生成行的表:这种表开始时可能没有行,由管理站生成和删除行。行数可由管
14、理站或代理改变,3.6.2 表的定义,允许生成和删除行的表必须有一个列对象,其SYNTAX子句的值为RowStatus, MAX-ACCESS子句的值为read-write,这种列叫做概念行的状态列。状态列可取6种值 active(可读写) notInService(可读写) notReady(只读) createAndGo(只写不读) createAndWait(只写不读) destroy(只写不读),3.6.3 表的操作,1. 行的生成 生成概念行的过程可以分成以下4个步骤 (1)选择索引对象的实例标识符 (2)管理站通过事务处理产生和激活概念行 (3)初始化非默认值对象 (4)激活概念行
15、,2. 概念行的挂起 当概念行处于active状态时,如果管理站希望概念行脱离服务,以便进行修改,则可以发出set命令,把状态列由active置为notInService。这时有两种可能: 若代理不执行该操作,则返回wrongValue 若代理可执行该操作,则返回noError 表定义中的DESCRIPTION子句需指明,在何种情况下可以把状态列置为notInService,3. 概念行的删除 管理站发出set命令,把状态列置为destroy,如果这个操作成功,概念行立即被删除,SNMPv2提供了通知类型的宏定义NOTIFICATION-TYPE,用于定义异常条件出现时SNMPv2实体发送的信
16、息 SNMPv2还引入了信息模块的概念,用于说明一组有关的定义。共有3 种信息模块: MIB模块:包含一组有关的管理对象的定义。 MIB的依从性声明模块:使用MODULE-COMPLIANCE和OBJECT-GROUP宏说明有关管理对象实现方面的最小要求。 代理能力说明模块:用AGENT-CAPABILITIES宏说明代理实体应该实现的能力,3.6.4 通知和信息模块,1. 系统组 SNMPv2的系统组是MIB-2系统组的扩展,3.6.5 SNMPv2管理信息库,2. SNMP组 这个组是由MIB-2的对应组改造而成的,有些对象被删除了,同时又增加了一些新对象,3. MIB对象组 这个新组包含的对象与管理对象的控制有关,分为两个子组 第一个子组snmpTrap由两个对象组成: snmpTrapOID snmpTrapEnterprise,第二个子组snmpSet仅有一个对象snmpSerialNo,这个对象用于解决set操作中可能出现的两个问题: 一个管理站可能向同一MIB对象发送多个set操作,保证这些操作按照发
