《安全网管技术PPT课件》由会员分享,可在线阅读,更多相关《安全网管技术PPT课件(46页珍藏版)》请在金锄头文库上搜索。
1、安全网管技术安全网管技术张焕杰中国科学技术大学网络信息中心http:/202.38.64.40/james/nmsTel: 3601897(O)1第第3章章 网络管理系统及网络管理系统及SNMP协议协议(2)l本章主要内容网络管理概述TCP/IP网络管理体系结构SNMP网络管理协议管理信息库(MIB)2网络管理概述网络管理概述lSNMP已经成为网络管理事实上的工业标准l网络管理系统的功能特点网络拓扑结构管理智能监控灵活性多厂商集成存取控制用户友好编程接口报告生成3网络管理的意义网络管理的意义网络管理系统能给网络管理员提供良好的信息来源,减少网络故障,缩短网络失效时间,最大程度发挥网络的作用。4
2、网络管理功能模型网络管理功能模型l网络管理的五大功能:故障管理计费管理配置管理性能管理安全管理l实际一个网络管理系统仅仅实现部分功能5信息模型信息模型l实现被管虚拟资源、软件及物理设备的逻辑表示。l多采用面向对象的方法定义网络管理信息。lSNMP中,网络管理信息是面向属性的,更注重简单性和可扩展性。采用ISO的抽象语法表示语言(ASN.1)表示。6组织模型组织模型l包括管理者、代理者的概念,管理实体间的通信方法。7管理信息库代理管理信息库代理网络管理系统管理者典型网络管理体系结构组织模型管理信息库代理被管设备8910SNMP支持的操作支持的操作lSNMP定义了5种PDUGetRequest-P
3、DU(NMS发送)GetNextRequest-PDU (NMS发送)GetResponse-PDU(被管代理发送)SetRequest-PDU (NMS发送)Trap-PDU(被管代理发送)11对象语法对象语法l定义对象的结构lASN.1定义了四种基本对象语法类型:INTEGER 整数(ASN.1不限制,但是MIB定义为0-4G)OCTET STRING 字符串OBJECT IDENTIFIER 对象标示符NULL12对象语法(对象语法(2)l支持应用语法类型(Application-wide syntax type)定义IPADDRESS 长度为4的OCTET STRINGCOUNTER
4、计数器,非负INTEGERGAUGE 累加器,非负INTEGERTIMETICKS 厘秒计时器,非负INTEGER13对象语法(对象语法(3)l构造语法类型 SEQUENCE (序列)lSEQUENCE , , l为4种基本类型l类似于高级语言中的结构SEQUENCE OF (同类序列)lSEQUENCE OF l类似于高级语言中的数组14latTable OBJECT-TYPEl SYNTAX SEQUENCE OF AtEntryl ACCESS not-accessiblel := at 1 latEntry OBJECT-TYPEl SYNTAX AtEntryl ACCESS not
5、-accessiblel INDEX atIfIndex, atNetAddress l := atTable 1 lAtEntry := SEQUENCE l atIfIndex INTEGER,l atPhysAddress PhysAddress,l atNetAddress NetworkAddressl 15latIfIndex OBJECT-TYPEl SYNTAX INTEGERl ACCESS read-writel := atEntry 1 latPhysAddress OBJECT-TYPEl SYNTAX PhysAddressl ACCESS read-writel :
6、= atEntry 2 latNetAddress OBJECT-TYPEl SYNTAX NetworkAddressl ACCESS read-writel := atEntry 3 16表格访问表格访问atIfIndexatNetAddressPhysAddress14202.38.96.12900 0B 5F E7 8B 8014202.38.96.13200 80 3E 85 13 F014202.38.96.13300 80 3E 9B 7C F017表格访问的例子表格访问的例子lAt.attablelInterfaces.iftablelip.ipAddrTablelip.ipR
7、outeTable18SNMP MIB对象实例标识对象实例标识l对象实例标识符是对象所属对象类的对象标识符加上实例标识符构成。l如SysDescr19基本编码规则基本编码规则(BER)lBasic Encoding Rulesl传送过程中的内容表示方法lITU-T X.69020基本编码规则基本编码规则l每个BER编码有3个字段:Tag,Length,ValueTag:标签字段,定义了编码格式信息Length定义数值的长度(按照8bit位组计)Value定义实际的数值l每个字段8bit对齐,自我定界21基本编码规则基本编码规则l基本类型和结构型基本型结构型TLVTLT LVTLV22基本编码规
8、则基本编码规则: Tag类型Tag类型TagSEQUENCE0x30IPADDR0x40INT0x02COUNTER0x41OCTSTR0x04GAUGE0x42NULL0x05TIMETICKS0x43OBUID0x0623基本编码规则基本编码规则: Lengthl短格式长度为(0-127)l长格式长度128l不确定格式用开始符和结束符表示24短格式短格式l占用一个8bitl最高bit为0l表示长度0-1270 长度(7bit)25长格式长格式l占用若干个8bitl第一个8bit组的最高bit为1l第一个8bit组的后7bit为长度Kl紧接的K个8bit组表示长度l如201被编码成10000
9、001 110010011 K(7bit)K个8元组表示的长度26不确定格式不确定格式l用开始和结束符来表明 TLV 序列的开始和结束l开始符为 10000000l结束符为 00000000l开始结束符之间为若干个TLV 三元组27整数的表示整数的表示l找出整数的非零bit的字节l变长的,跟整数的大小有关l如131,只要表示为00000001 00000011(128+3),前面的0可以忽略28对象标示符的表示对象标示符的表示l前面2个数字a.b.*.*第一个字节为a*40+b如1.3 表示为1*40+3=43 = 0x2bl后面的数字如果127的表示的表示l扩展表示l每个字节中使用其中的7个
10、比特l最高bit为1表示是扩展表示l最高bit为0表示是扩展表示结束l如 909904 l 110111 1000100 1010000l10110111 11000100 0101000030对象标示符的表示对象标示符的表示l01010. 0110111 1000100 1010000. 011l00001010 10110111 11000100 01010000 0000001131SNMP消息消息版本(0)Commnu stringPDU类型请求ID号错误状态错误索引名称值OBIDAgent AddressGeneric Trap typeSpecific trap codeTimeS
11、tamp名称值32SNMP消息消息lSEQUENCE version INTERGER (0); community OCTET STRING; data ANY ; -PDU 数据PDU类型GetRequest A0 GetNextRequest A1GetResponse A2 SetRequest A3Trap A433SNMP消息消息Get 1.3.6.1.2.1.1.1.0 sys.sysDescr.0发送如下字节到udp 161端口30 26 02 01 00 04 06 70 75 62 6C 69 63 A0 19 02 01 9D 02 01 00 02 01 00 30 0
12、E 30 0C 06 08 2B 06 01 02 01 01 01 00 05 00 34含义含义30 26 02 01 00 sequence len (38字节) integer len vers(1)04 06 70 75 62 6C 69 63 string len p u b l i c A0 19 GetRequest len(25bytes)35含义含义02 01 00 02 01 00 integer len status integer len error-index30 0E 30 0C sequence len(14bytes) sequence len(12bytes
13、)36含义含义06 08 objectid len(8bytes)2B 06 01 02 01 01 01 00 05 00 1.3.6 .1 .2 .1 .1 .1 .0 NULL 0 37MIB对象对象lSystemGroupSysDescr:系统描述SysObject ID: 标识一个设备SysUptime:系统已经运行的时间SysContact:管理者联系人SysName:SysLocation:物理安装地点SysServices:说明设备服务的ISO层次 00000110表示设备服务在第2和3层38MIB对象对象lInterfaceGroupifDescr:接口描述ifType:接口
14、类型ifMTU:ifSpee:接口速率 单位bpsifPhysAddress:接口物理地址ifAdminStatus:接口管理状态 1up, 2down, 3testifOperStatus:接口实际状态 1up, 2down, 3testifLastChange:接口进入运行状态时的sysuptime39MIB对象对象lInterfaceGroupifInOctes:接收字节数ifInUcastPkts:接收单播数据包数ifInNUcastPkts:接收非单播数据包数ifInDiscards:接收时丢弃的数据包数ifInErrors:接收时错误的数据包数ifInUnknownProtos:接
15、收的未知协议数据包数40MIB对象对象lTotal Input Packts = ifInUcastPkts + ifInNNucastPktslPercent Input Errors= ifInErrors/TotalInputPacktslPercent Input Discards= ifInDiscards/TotalInputPackts41MIB对象对象lIP GroupipForwarding:设备是否转发数据包1是, 2否ipInreceives:接收的IP包数量ipInHdrErrors:接收头出错的包数量ipInAddrErrors:接收地址出错的包数量ipForwDat
16、agrams:转发的IP包数量ipInUnknownProtos:未知协议ipInDiscards:丢弃的包数量Percent IP Input Errors=(Disards+HdrErrors+AddrErros)/Inreceives42MIB对象对象ipInDelivers:交给设备高层处理的包数量ipOutRequests:设备高层发出的包数量ipOutNoRoutes:无法找到路由丢弃的包ipAddressTable设备接口IP地址表ipRoutingTable路由表43MIB对象对象lICMP组icmpInMsgs/icmpOutMsgsicmpInErros/icmpOutErrorslSNMP组44总结总结网络管理系统网络管理概述TCP/IP网络管理体系结构SNMP网络管理协议管理信息库(MIB)45实验实验lLinux下的ucd-snmphttp:/net-
