基于SNMP协议的管理

基于SNMP协议的管理
22
计算机网络管理与安全
7.4 远程网络监视（Ⅲ）
RMON2信息管理库
RMON2监视OSI模型中第3层到第7层的通信数据，其增加了9个功能组：
• 协议目录组 • 协议分布组 • 地址映象组 • 网络层主机组 • 网络层矩阵组 • 应用层主机组 • 应用层矩阵组 • 用户历史组 • 监视器配置组
基于SNMP协议的管理
8
计算机网络管理与安全
7.2 管理信息库（Ⅰ）
管理信息结构
ASN.1：是抽象语法符号1（Abstract Syntax Notation One）的简称，是一种标准的对象
定义语言和编码规则。
基本数据类型
INTEGER
任意长度的整型数
BIT STRING
一个0或多位比特的串
OCTET STRIN
SNMP的报文组成
• SNMP版本 • 共同体 • 协议数据单元（PDU） get/set报文组成
• PDU类型 • 请求标识 • 差错状态 • 差错索引 • 变量绑定
基于SNMP协议的管理
trap报文组成
• PDU类型（固定是4） • 企业 • 代理的IP地址 • trap类型 • 特定代码 • 时间戳 • 变量绑定
远程网络监视的目标
• 离线操作 • 主动监视 • 问题检测和报告 • 提供增值数据 • 多管理站操作
基于SNMP协议的管理
21
计算机网络管理与安全
7.4 远程网络监视（Ⅱ）
RMON的信息管理库
统计量组（Statistics） 历史组（History） 报警组（Alarm） 主机组（Hosts） 主机最大值组（Host Top N） 矩阵组（Matrix） 过滤器组（Filter） 捕获组（Capture） 事件组（Event）
基于SNMP协议的管理
23
计算机网络管理与安全
Thank you!
c
24
基于SNMP协议的管理
13
计算机网络管理与安全
7.3 SNMP通信模型（Ⅰ）
SNMP协议数据单元
SNMP管理者
UDP端口162
基于SNMP协议的管理
get-request get-response
SNMP代理 UDP端口161
get-next-request
UDP端口161 get-next-response
基于SNMP协议的管理
5
计算机网络管理与安全
7.1 网络管理的概念（Ⅲ）
网络管理的体系结构
网络管理体系结构的基本概念就是用于定义网络管理系统的 结构及系统成员间相互关系的一套规则。
基于SNMP协议的管理
6
计算机网络管理与安全
7.1 网络管理的概念（Ⅳ）
网络管理的内容
TCP/IP网络管理体系结构（SNMP）：
使用get-request操作 使用get-next-request操作 使用set-request操作 使用陷入操作（trap）
基于SNMP协议的管理
18
计算机网络管理与安全
7.3 SNMP通信模型（Ⅵ）
SNMP通信示例--Microsoft网络监视器
基于SNMP协议的管理
19
计算机网络管理与安全
基于SNMP协议的管理
4
计算机网络管理与安全
7.1 网络管理的概念（Ⅱ）
网络管理的内容
网络管理标准：
• 具有统一的协议和服务，以便管理信息可以保持一致性 • 对网络性能、安全、配置、计费和故障等方面有标准的定义 • 允许增加新的应用与服务 • 减少不同系统之间交换信息的费用
• ISO的CMIP • TCP/IP的SNMP • IEEE的IEEE802.1b • ITU-T的TMN
7.2 管理信息库（Ⅲ）
管理信息结构
SMI
在实际的设备中所有的管理信息和对 象都存放在库中（MIB），为了方便人们 的记忆和管理，设计者使用了一个有层次 的树形结构来表示这些管理对象。
RFC1155（SMI）定义的MIB树的顶部图
基于SNMP协议的管理
11
计算机网络管理与安全
7.2 管理信息库（Ⅳ）
3
计算机网络管理与安全
7.1 网络管理的概念（Ⅰ）
网络管理的内容
网络管理的功能：
• 配置管理：配置管理就是定义、收集、监控和管理系统的配置参数，以使网络性能能 够达到最优。 • 故障管理：故障管理通过采集、分析网络对象的性能数据和监测网络对象的性能，并 对网络线路的质量进行分析，最终找出故障的位置并进行恢复的管理操作。 • 性能管理：性能管理主要考察网络运行的好坏，通过收集、监视和统计网络运行的参 数数据，评价网络资源的运行状况和通信效率等系统性能，分析各系统之间的通信操作 的趋势，平衡系统之间的负载。 • 计费管理：计费管理负责记录网络资源的使用情况和使用这些资源的代价。 • 安全管理：结合使用用户认证、访问控制、数据加密和完整性机制等技术，来控制对 网络资源的访问，以保证网络不被有意识的或无意识的侵害，并保证重要信息不被未授 权的用户访问。
• 安全性好：具有多种安全处理模块。 • 适应性强：适用于多种操作环境，既可以 管理最简单的网络，实现基本的管理功能， 又能够提供强大的网络管理功能，满足复杂 网络的管理需求。 • 扩充性好：可以根据需要增加模块。
17
计算机网络管理与安全
7.3 SNMP通信模型（Ⅴ）
SNMP的操作
查询或设置简单对象 查询未知对象或遍历整个MIB树 设置对象 代理向管理者发出的异步事件警告
一个0或多位无符号字节串
NULL
OBJECT IDENTIFIER
位置符，表示为空 对象标识符类型
SEQUENCE SEQUENCE OF SET SET OF
构造类型
一个或多个基本类型的有序集合 0个或多个基本类型有序集合的数组 一个或多个基本类型的无序集合 0个或多个基本类型无序集合的数组
基于SNMP协议的管理
• 管理者（Manager） • 代理（Agent） • 管理信息库（MIB）
管理者
代理
管理信息库
基于SNMP协议的管理
7
计算机网络管理与安全
7.1 网络管理的概念（Ⅴ）
网络管理的内容
SNMP的5种基本操作：
• get-request：用来查询指定的网络管理对象的信息。 • get-next-request：用来查询指定的网络管理对象的下一个对象的信息，其还可以遍 历MIB树并判断哪些对象存在。 • set-request：用来修改或创建管理对象及其信息。 • get-response：由代理方发出，所以它不是管理操作，它的作用是返回由get、getnext或set操作发出的查询或设置操作的结果。 • trap：由代理发出的，它可以查找特定的事件并检测，并向管理者通报重要事件的发 生。
基于SNMP协议的管理
12
计算机网络管理与安全
7.2 管理信息库（Ⅴ）
MIB-2功能组
MIB-2功能组常用的对象
• sysDescr对象，用于设备或实体的描述。 • sysObjectID对象，用于描述设备厂商的授权标识符。 • sysName对象。用于描述设备的名字，可能是官方的主机名或者是分配的管理名字。 • ifNumber对象，用于描述本地系统中包含的网络接口总数。 • ifDescr对象，用于描述接口的一个字符串描述，包括从操作系统获得的接口名，可 能包括eth0、ppp0和lo0等值。 • ifType对象，用于描述接口的类型。 • ifMtu对象，用于描述接口的最大传输单元，即接口上可以发送或接受的最大帧。 • ifSpeed对象，用于描述接口速率（容量）。 ……
（0~3）
（0~5）
get百度文库set首部
变量绑定
PDU类 型（4 ）
企业
基于SNMP协议的管理
代 理 的 trap类型 特定 时间 对象 对象 …… IP地址 （0~6） 代码 戳 名 值
trap首部 SNMP报文格式
变量绑定
15
计算机网络管理与安全
7.3 SNMP通信模型（Ⅲ）
SNMP协议数据单元
9
计算机网络管理与安全
7.2 管理信息库（Ⅱ）
管理信息结构
ASN.1转换语法
为了能够在实际的应用中使用ASN.1，定义了ASN.1类型的值如何转换为适合于传输的字节 序列，其由三个字段组成：
• 标识符：包括类型和标记。 • 数据字段的长度，以字节为单位。 • 数据字段。
基于SNMP协议的管理
10
计算机网络管理与安全
7.3 SNMP通信模型（Ⅶ）
SNMP通信示例--Getif
基于SNMP协议的管理
20
计算机网络管理与安全
7.4 远程网络监视（Ⅰ）
RMON的基本概念
远程网络监控（RMON）是一个标准监控规范，其本质上是IETF 定义的一 组对管理信息库（MIB-2）的功能的扩展，MIB-2只提供单个设备的管理信息 ，而RMON可以使各种网络监控器和控制台系统之间交换网络监控数据，并能 够提供信息流量的统计结果和对网络参数进行分析，以便能够做出对网络的 故障诊断、规划调整和性能控制。
16
计算机网络管理与安全
7.3 SNMP通信模型（Ⅳ）
SNMP的安全机制
SNMPv1的安全机制
仅使用共同体。
SNMPv2的安全机制
• 支持分布式网络 • 管理扩展数据类型 • 实现大量数据的同时传输 • 丰富故障处理能力 • 增加集合处理功能 • 加强数据定义语言等特点
基于SNMP协议的管理
SNMPv3的安全机制
set-request set-response
UDP端口161
trap SNMP4种操作示意图
14
计算机网络管理与安全
7.3 SNMP通信模型（Ⅱ）
SNMP协议数据单元
IP首部
IP数据报 UDP 数 据 报 SNMP报文
UDP首部 SNMP版本 共同体 协 议 数 据 报 单 元 PDU
PDU 类 型 请求标识 差错状态 差错索引 对象名 对象值 ……
MIB-2功能组
MIB-2功能组的组成
• system组：提供运行代理的设备或系统的全部信息。 • nterfaces组：包含关于系统中网络接口的信息。 • at组：用于IP地址到数据链路地址的地址转换表，但是这个组随着RFC1213的引退而 逐渐被放弃了，其内容也被移到了其他的文档（组）中。 • ip组：包含关于设备的I P地址的信息。 • icmp组：包含关于设备的Internet控制消息协议的信息。 • tcp组：包含关于设备的传输控制协议的信息。 • udp组：包含关于设备的用户数据报协议的信息。 • egp组：包含关于设备的外部网关协议的信息，随着SNMP的发展，这个组现在也已经 不再使用了。 • snmp组：包含关于设备的简单网络管理协议的信息。
c
第七章
基于SNMP协议的管理
1
学习要点
掌握网络管理的基本概念 理解管理信息库的基本知识 理解SNMP的协议单元格式及操作 了解远程网络监控的知识
基于SNMP协议的管理
2
计算机网络管理与安全
主要内容
1 网络管理的概念 2 管理信息库 3 SNMP通信模型 4 远程网络监视
基于SNMP协议的管理