第4章 简单网络管理协议与远程网络监视
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Байду номын сангаас
Agent常常会因为网络过载等原因而联系不上,如果没有RMON设备,此时
Agent到底发生了什么情况事后是难以调查的,因此,往往Agent越是联系 不上,网络管理系统越要与它联系。
(4)RMON设备对本地子网的监测几乎可以做到连续不断,这会显著提
(4)用基本编码规则(BER)对这个新的ASN.1的对象编码,然后传
给传输服务。
2.SNMP报文的接收 (1)进行消息的基本句法检查,丢弃非法消息。 (2)检查版本号,丢弃版本号不匹配的消息。 (3)认证检查。如果认证失败,认证服务通知SNMP实体,由它产 生一个trap并丢弃这个报文;如果认证成功,认证服务返回SNMP格式 的PDU。 (4)进行PDU的基本句法检查,如果非法,丢弃该PDU,否则根据 共同体名选择SNMP访问策咯,对PDU进行相应处理。
RMON有许多先进之处:
(1)每个RMON设备都对本地网段进行监测和分析,既可被动也可主动
地向网络管理系统传递信息。例如,当它发现严重的分组丢失和过高的冲突 率时,可以主动地报警。由于监测是在本地进行的,所以得出的分析结果是
非常可靠的。
(2)这种工作方式大大降低了SNMP的流量。 (3)RMON降低了网络管理系统时时能“见”到所有Agent的必要性。
Trap用来主动向管理站报告代理系统中发生的事件,如节点机分组
队列长度超过阈值,接口链路up或down等。
SNMP Manager IP 网络访问协议 IP 网络访问协议 通信网络 SNMP Manager UDP SNMP消息 UDP
管理对象
Trap Trap e Get Response Set Request Get Next Request Get Request
4.3.1 远程网络监视的需求
虽然MIB将数据的总和记录下来,但它无法对日常通信量进行历 史分析。为了查看每天的通信流量和变化率,管理人员必须不断的轮 询SNMP代理,可能每分钟就轮询一次。
网络管理员可以使用SNMP来评价网络运行状况,并预测通信的趋势, 决定采取某种措施。 理论上讲,管理站可以通过不断地轮询各个节点的MIB来计算网络流 量,但在实际上这是不太可行的。 一方面会导致网络中传递大量的管理信息,使网络不堪负荷;
就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一
标识方法,也就是实例标识符的命名方法。 实例标识符就是把列对象的对象标识符与索引对象的值组合起来而
构成的。
4.2.3 报文的发送与接收
1.SNMP报文的发送 (1)构成PDU; (2)将构成的PDU、源和目的传送地址(IP地址及端口号)以及共同 体名作为一个ASN.1的对象移交给认证服务。认证服务完成所要求的变换, 例如进行加密或加入认证码,然后返回一个经过加密或认证的ASN.1对象; (3)将版本字段、共同体名以及上一步的结果组合成为一个报文;
二方面,将收集数据的负担加在网络管理控制台上(管理进程端)。
管理站所在计算机的处理能力总是有限的,当监控十多个网段时,可能 CPU就无法应付。另外,也会由于承载管理操作命令和操作结果的分组的 丢失而使得统计结果不准确。
基于上述原因,人们提出了一种高效、低成本的网络监视方案,即 RMON。 RMON就是将一些专用设备配置在各个节点,并将这些设备称为网络 监测器(network monitor或probe),由此便产生了RMON的概念。 一般,监测器对网络中各种类型的分组进行观察,从而得到网络的总 体信息,监测器还可将一些分组存储下来,以备事后分析。在互联网环境 下,为了达到监测网络流量的目的,一般每个子网需要一个监测器。监测 器通常是一个独立的设备,专用于捕获和分析流量。
SNMP报文格式 Version Community SNMP PDU
GetRequest PDU、GetNextRequest PDU、SetRequest PDU PDU类型 请求标识 0 0 变量绑定表
GetResponse PDU PDU类型 Trap PDU PDU类型 制造商ID 代理地址 一般自陷 特殊自陷 时间戳 变量绑定表 请求标识 错误状态 错误索引 变量绑定表
4.3 远程网络监视RMON
4.3.1 远程网络监视的需求 4.3.2 远程网络监视的目标 4.3.3 RMON MIB 4.3.4 RMON 2
网络管理技术的一个新趋势是采用远程网络监视(RMON, Remote Network Monitoring),它是对SNMP功能的扩充,对监测和管理交换 或局域网特别适用,是简单网络管理向互联网管理过渡的重要步骤。
在SNMP中实行共同体机制可以达到一下目的:
1.认证服务 2.委托代理服务 3.访问策略 (1)SNMP MIB视图
(2)SNMP访问模式(方式)
MIB视图和访问模式的结合被称为SNMP共同体轮廓(profile)。 事实上,在一个共同体轮廓之内,存在两个独立的访问限制,其一 是MIB对象定义中的访问限制(参见第3章中有关MIB功能组及对象部分 的内容)和SNMP访问模式。这两个访问限制在实际应用中必须相互协 调。
可用于get和trap操作,但操作值与 具体实现有关
Not-Accessible
不能使用
4.2.2 实例标识符
在MIB中的每个被管对象都有一个唯一的对象标识符,以区分不同 的被管对象,其命名规则都是按照其所在MIB树上的层次和位置来决定。 在对SNMP MIB的访问中,实际上是对被管对象(叶子节点对象) 实例的访问,而当在一个对象有多个实例时,例如表格,对象的标识符
MIB访问方式与SNMP访问模式的关系
SNMP访问模式 MIB对象中定义的访 问方式(模式)限制 Read-Only Read-Write
Read-Only
Read-Write Write-Only 可用于get和trap操作
可用于get和trap操作
可用于get,set和trap操作 可用于get,set和trap操作,但 操作值与具体实现有关
基础上进一步修改后提出了SNMP。
SNMP的最初版本是SNMPv1,SNMPv1存在两方面的问题: 一是安全,SNMP只定义了安全性极为有限的基于共同体名授权使用 的安全模型; 二是管理信息的可靠传输问题,由于SNMPvl是在UDP上实现的, 而UDP并不保证所有报文都能够正确传送。
增强的SNMPv2使该协议更加高效,同时还保持了它容易实现和成 本低廉的特点,SNMPv2可以与SNMPv1透明地共存,它在性能、管理 进程与管理进程通信方面对SNMP进行了改进,如减少了SNMP业务流、 允许大块数据的传送、添加了一个用于高速网络环境下的64位计数器; 对基于Novell IPX,Apple Talk DDP和OSI的SNMP作了映射;但在安 全性方面仍未能达到令人满意的结果。 1998年1月产生了SNMPv3管理控制框架,它由RFC2271-2275等 几个文档共同说明,形成了SNMPv3的建议。
4.1.3 SNMP操作
管理信息的交换通过GetRequest、GetNextRequest、SetRequest、
GetResponse、Trap共5个SNMP协议操作进行。 其中前三个消息由管理站发给代理用于请求读取或修改管理信息,后 两个消息由代理发给管理站。 GetResponse用于对各种读取和修改管理信息的请求进行应答;
3.变量绑定
在SNMP中,可以将多个同类操作(get、set、trap)放在一个
报文中。如果管理站希望得到一个代理的一组简单对象的值,它可以 发送一个报文请求所有的值,并通过获取一个应答得到所有的值。这 样可以大大减少网络管理的通信负担。
4.2.4 SNMP报文格式
在SNMP管理中,管理站和代理之间交换的管理信息构成了报文。 报文由3部分组成,即版本号、团体名和协议数据单元(PDU)。 SNMP共有5种管理操作,但只有3种PDU格式。
充,提出了行的概念,支持表的行建立和删除操作。 还增加了get-bulk-request和inform-request两个非常有用的PDU,
对trap进行格式改造,使其具有与其他PDU相同的格式。
SNMPv2还对MIB进行很大扩充,特别是在Internet节点下增加了 snmpv2模块。
SNMPv3提出了一个面向各个版本的SNMP通用的体系结构。 每个实体包含一个引擎和若干应用,并由所包含的引擎的ID命名。 引擎由分发器、消息处理子系统、安全子系统和访问控制子系统构成。 实体内部子系统之间采用抽象服务接口来定义相互之间的服务关系。 SNMP服务的请求者被称为Principle,即用户,它由具有安全性的名 称标识。SNMPv3建议采用基于用户的安全模型(USM)来实现安全服务, 采用基于视图的访问控制模型(VACM)进行访问控制。 SNMPv3的一大进步是大大提高了管理信息访问的安全性。
代理站 MIB库 管理应用对象
Trap 管理应用 Get Response Set Request Get Next Request Get Next Request Get Request 管理站
4.1.4 SNMP的工作机制
在通信网管理过程中,用来使管理信息库与实际设备或设施的
状态和参数保持一致的方法主要有两个。一个是基于中断的事件驱
第4章 简单网络管理协议与远程网络监视
简单网络管理协议(SNMP)是Internet中基于TCP/IP的网络管理协 议。SNMP的推出,由于其简单性、实施容易和应用成本低廉等特点, 而受到业界许多厂家的广泛支持,现已成为事实上的标准。 本章主要从SNMP的体系结构、管理模型、工作机制、协议操作等 方面介绍SNMP的有关理论知识,同时简单介绍远程网络监视RNOM方 面基本概念。
SNMPv3在保持SNMPv2基本管理功能的基础上,增加了安全性和
管理性描述。 另外,SNMP最重要的进展是远程监控(RMON)能力的开发。
RMON为网络管理者提供了监控整个子网而不是各个单独设备的能力。
RMON还对基本SNMP MIB进行了扩充。
4.1.2 基本体系结构
1.SNMP管理模型
2. SNMP中的元素 SNMP体系结构由管理站、代理、管理信息库(MIB)和通信 协议SNMP构成。 3.委托代理
4.1 SNMP概述
4.1.1 SNMP的发展历史 4.1.2 基本体系结构 4.1.3 SNMP操作 4.1.4 SNMP的工作机制
4.1.1 SNMP的发展历史
简单网络管理协议(SNMP,Simple Network Management
Protocol)诞生于1988,那时由于CMIP迟迟不能成熟并应用于网络管理, Internet体系结构委员会(IAB)在原有简单网关监控协议(SGMP)的
变量绑定表 Name 1 Value 1 Name 2 Value 2 …… Name n Value n
4.2.5 SNMP MIB组
MIB-II中的snmp组,其对象标识符为{mib-2 11}
4.2.6 SNMP的改进
SNMPv2增加了Manager-to-Manager通信,对SMI进行了更新和扩
动方法,另一个是轮询驱动方法。
4.2基于SNMP的通信
4.2.1 对象访问策略 4.2.2 实例标识符 4.2.3 报文的发送与接收 4.2.4 SNMP报文格式 4.2.5 SNMP MIB组 4.2.6 SNMP的改进
4.2.1 对象访问策略
在基于SNMP的网络管理中,SNMP通过共同体(Community, 也有地方称为团体)的概念来解决访问策略问题。 共同体是SNMP体系中的一中安全机制,它是一个在代理中定义的 本地的概念。通过定义共同体,代理系统就可以限制只有一些选定的 管理站才能访问它的MIB对象。同时,通过使用多个共同体,代理可以 为不同的管理站提供不同的MIB访问类别。 每个共同体被赋予一个在代理内部唯一的共同体名(也叫团体 名),该共同体名要提供给共同体内的所有的管理站,以便它们在get 和set操作中应用。 一个代理可以与多个管理站建立多个共同体,同一个管理站也可 以出现在不同的共同体中。
Agent常常会因为网络过载等原因而联系不上,如果没有RMON设备,此时
Agent到底发生了什么情况事后是难以调查的,因此,往往Agent越是联系 不上,网络管理系统越要与它联系。
(4)RMON设备对本地子网的监测几乎可以做到连续不断,这会显著提
(4)用基本编码规则(BER)对这个新的ASN.1的对象编码,然后传
给传输服务。
2.SNMP报文的接收 (1)进行消息的基本句法检查,丢弃非法消息。 (2)检查版本号,丢弃版本号不匹配的消息。 (3)认证检查。如果认证失败,认证服务通知SNMP实体,由它产 生一个trap并丢弃这个报文;如果认证成功,认证服务返回SNMP格式 的PDU。 (4)进行PDU的基本句法检查,如果非法,丢弃该PDU,否则根据 共同体名选择SNMP访问策咯,对PDU进行相应处理。
RMON有许多先进之处:
(1)每个RMON设备都对本地网段进行监测和分析,既可被动也可主动
地向网络管理系统传递信息。例如,当它发现严重的分组丢失和过高的冲突 率时,可以主动地报警。由于监测是在本地进行的,所以得出的分析结果是
非常可靠的。
(2)这种工作方式大大降低了SNMP的流量。 (3)RMON降低了网络管理系统时时能“见”到所有Agent的必要性。
Trap用来主动向管理站报告代理系统中发生的事件,如节点机分组
队列长度超过阈值,接口链路up或down等。
SNMP Manager IP 网络访问协议 IP 网络访问协议 通信网络 SNMP Manager UDP SNMP消息 UDP
管理对象
Trap Trap e Get Response Set Request Get Next Request Get Request
4.3.1 远程网络监视的需求
虽然MIB将数据的总和记录下来,但它无法对日常通信量进行历 史分析。为了查看每天的通信流量和变化率,管理人员必须不断的轮 询SNMP代理,可能每分钟就轮询一次。
网络管理员可以使用SNMP来评价网络运行状况,并预测通信的趋势, 决定采取某种措施。 理论上讲,管理站可以通过不断地轮询各个节点的MIB来计算网络流 量,但在实际上这是不太可行的。 一方面会导致网络中传递大量的管理信息,使网络不堪负荷;
就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一
标识方法,也就是实例标识符的命名方法。 实例标识符就是把列对象的对象标识符与索引对象的值组合起来而
构成的。
4.2.3 报文的发送与接收
1.SNMP报文的发送 (1)构成PDU; (2)将构成的PDU、源和目的传送地址(IP地址及端口号)以及共同 体名作为一个ASN.1的对象移交给认证服务。认证服务完成所要求的变换, 例如进行加密或加入认证码,然后返回一个经过加密或认证的ASN.1对象; (3)将版本字段、共同体名以及上一步的结果组合成为一个报文;
二方面,将收集数据的负担加在网络管理控制台上(管理进程端)。
管理站所在计算机的处理能力总是有限的,当监控十多个网段时,可能 CPU就无法应付。另外,也会由于承载管理操作命令和操作结果的分组的 丢失而使得统计结果不准确。
基于上述原因,人们提出了一种高效、低成本的网络监视方案,即 RMON。 RMON就是将一些专用设备配置在各个节点,并将这些设备称为网络 监测器(network monitor或probe),由此便产生了RMON的概念。 一般,监测器对网络中各种类型的分组进行观察,从而得到网络的总 体信息,监测器还可将一些分组存储下来,以备事后分析。在互联网环境 下,为了达到监测网络流量的目的,一般每个子网需要一个监测器。监测 器通常是一个独立的设备,专用于捕获和分析流量。
SNMP报文格式 Version Community SNMP PDU
GetRequest PDU、GetNextRequest PDU、SetRequest PDU PDU类型 请求标识 0 0 变量绑定表
GetResponse PDU PDU类型 Trap PDU PDU类型 制造商ID 代理地址 一般自陷 特殊自陷 时间戳 变量绑定表 请求标识 错误状态 错误索引 变量绑定表
4.3 远程网络监视RMON
4.3.1 远程网络监视的需求 4.3.2 远程网络监视的目标 4.3.3 RMON MIB 4.3.4 RMON 2
网络管理技术的一个新趋势是采用远程网络监视(RMON, Remote Network Monitoring),它是对SNMP功能的扩充,对监测和管理交换 或局域网特别适用,是简单网络管理向互联网管理过渡的重要步骤。
在SNMP中实行共同体机制可以达到一下目的:
1.认证服务 2.委托代理服务 3.访问策略 (1)SNMP MIB视图
(2)SNMP访问模式(方式)
MIB视图和访问模式的结合被称为SNMP共同体轮廓(profile)。 事实上,在一个共同体轮廓之内,存在两个独立的访问限制,其一 是MIB对象定义中的访问限制(参见第3章中有关MIB功能组及对象部分 的内容)和SNMP访问模式。这两个访问限制在实际应用中必须相互协 调。
可用于get和trap操作,但操作值与 具体实现有关
Not-Accessible
不能使用
4.2.2 实例标识符
在MIB中的每个被管对象都有一个唯一的对象标识符,以区分不同 的被管对象,其命名规则都是按照其所在MIB树上的层次和位置来决定。 在对SNMP MIB的访问中,实际上是对被管对象(叶子节点对象) 实例的访问,而当在一个对象有多个实例时,例如表格,对象的标识符
MIB访问方式与SNMP访问模式的关系
SNMP访问模式 MIB对象中定义的访 问方式(模式)限制 Read-Only Read-Write
Read-Only
Read-Write Write-Only 可用于get和trap操作
可用于get和trap操作
可用于get,set和trap操作 可用于get,set和trap操作,但 操作值与具体实现有关
基础上进一步修改后提出了SNMP。
SNMP的最初版本是SNMPv1,SNMPv1存在两方面的问题: 一是安全,SNMP只定义了安全性极为有限的基于共同体名授权使用 的安全模型; 二是管理信息的可靠传输问题,由于SNMPvl是在UDP上实现的, 而UDP并不保证所有报文都能够正确传送。
增强的SNMPv2使该协议更加高效,同时还保持了它容易实现和成 本低廉的特点,SNMPv2可以与SNMPv1透明地共存,它在性能、管理 进程与管理进程通信方面对SNMP进行了改进,如减少了SNMP业务流、 允许大块数据的传送、添加了一个用于高速网络环境下的64位计数器; 对基于Novell IPX,Apple Talk DDP和OSI的SNMP作了映射;但在安 全性方面仍未能达到令人满意的结果。 1998年1月产生了SNMPv3管理控制框架,它由RFC2271-2275等 几个文档共同说明,形成了SNMPv3的建议。
4.1.3 SNMP操作
管理信息的交换通过GetRequest、GetNextRequest、SetRequest、
GetResponse、Trap共5个SNMP协议操作进行。 其中前三个消息由管理站发给代理用于请求读取或修改管理信息,后 两个消息由代理发给管理站。 GetResponse用于对各种读取和修改管理信息的请求进行应答;
3.变量绑定
在SNMP中,可以将多个同类操作(get、set、trap)放在一个
报文中。如果管理站希望得到一个代理的一组简单对象的值,它可以 发送一个报文请求所有的值,并通过获取一个应答得到所有的值。这 样可以大大减少网络管理的通信负担。
4.2.4 SNMP报文格式
在SNMP管理中,管理站和代理之间交换的管理信息构成了报文。 报文由3部分组成,即版本号、团体名和协议数据单元(PDU)。 SNMP共有5种管理操作,但只有3种PDU格式。
充,提出了行的概念,支持表的行建立和删除操作。 还增加了get-bulk-request和inform-request两个非常有用的PDU,
对trap进行格式改造,使其具有与其他PDU相同的格式。
SNMPv2还对MIB进行很大扩充,特别是在Internet节点下增加了 snmpv2模块。
SNMPv3提出了一个面向各个版本的SNMP通用的体系结构。 每个实体包含一个引擎和若干应用,并由所包含的引擎的ID命名。 引擎由分发器、消息处理子系统、安全子系统和访问控制子系统构成。 实体内部子系统之间采用抽象服务接口来定义相互之间的服务关系。 SNMP服务的请求者被称为Principle,即用户,它由具有安全性的名 称标识。SNMPv3建议采用基于用户的安全模型(USM)来实现安全服务, 采用基于视图的访问控制模型(VACM)进行访问控制。 SNMPv3的一大进步是大大提高了管理信息访问的安全性。
代理站 MIB库 管理应用对象
Trap 管理应用 Get Response Set Request Get Next Request Get Next Request Get Request 管理站
4.1.4 SNMP的工作机制
在通信网管理过程中,用来使管理信息库与实际设备或设施的
状态和参数保持一致的方法主要有两个。一个是基于中断的事件驱
第4章 简单网络管理协议与远程网络监视
简单网络管理协议(SNMP)是Internet中基于TCP/IP的网络管理协 议。SNMP的推出,由于其简单性、实施容易和应用成本低廉等特点, 而受到业界许多厂家的广泛支持,现已成为事实上的标准。 本章主要从SNMP的体系结构、管理模型、工作机制、协议操作等 方面介绍SNMP的有关理论知识,同时简单介绍远程网络监视RNOM方 面基本概念。
SNMPv3在保持SNMPv2基本管理功能的基础上,增加了安全性和
管理性描述。 另外,SNMP最重要的进展是远程监控(RMON)能力的开发。
RMON为网络管理者提供了监控整个子网而不是各个单独设备的能力。
RMON还对基本SNMP MIB进行了扩充。
4.1.2 基本体系结构
1.SNMP管理模型
2. SNMP中的元素 SNMP体系结构由管理站、代理、管理信息库(MIB)和通信 协议SNMP构成。 3.委托代理
4.1 SNMP概述
4.1.1 SNMP的发展历史 4.1.2 基本体系结构 4.1.3 SNMP操作 4.1.4 SNMP的工作机制
4.1.1 SNMP的发展历史
简单网络管理协议(SNMP,Simple Network Management
Protocol)诞生于1988,那时由于CMIP迟迟不能成熟并应用于网络管理, Internet体系结构委员会(IAB)在原有简单网关监控协议(SGMP)的
变量绑定表 Name 1 Value 1 Name 2 Value 2 …… Name n Value n
4.2.5 SNMP MIB组
MIB-II中的snmp组,其对象标识符为{mib-2 11}
4.2.6 SNMP的改进
SNMPv2增加了Manager-to-Manager通信,对SMI进行了更新和扩
动方法,另一个是轮询驱动方法。
4.2基于SNMP的通信
4.2.1 对象访问策略 4.2.2 实例标识符 4.2.3 报文的发送与接收 4.2.4 SNMP报文格式 4.2.5 SNMP MIB组 4.2.6 SNMP的改进
4.2.1 对象访问策略
在基于SNMP的网络管理中,SNMP通过共同体(Community, 也有地方称为团体)的概念来解决访问策略问题。 共同体是SNMP体系中的一中安全机制,它是一个在代理中定义的 本地的概念。通过定义共同体,代理系统就可以限制只有一些选定的 管理站才能访问它的MIB对象。同时,通过使用多个共同体,代理可以 为不同的管理站提供不同的MIB访问类别。 每个共同体被赋予一个在代理内部唯一的共同体名(也叫团体 名),该共同体名要提供给共同体内的所有的管理站,以便它们在get 和set操作中应用。 一个代理可以与多个管理站建立多个共同体,同一个管理站也可 以出现在不同的共同体中。