SNMP网络管理体系结构

第4章 SNMP网络管理体系结构

CMIP网络管理体系结构对系统模型、信息模型和通信协议几个方面都提出了比较完备和理想的解决方案，为其他网络管理体系结构建立了理想参考标准。SNMP网络管理体系结构是为了管理基于TCP/IP协议的网络而提出的，与TCP/IP协议与OSI协议的关系类似，SNMP与CMIP相比，突出的特点是简单。这一特点使SNMP得到了广泛的支持和应用，特别是在Internet上的成功应用，使得它的重要性越来越突出，目前已经成为CMIP之外的最重要的网络管理体系结构。

4.1 SNMP体系结构

4.1.1 TCP/IP网络管理的发展

在TCP/IP的早期开发中，网络管理问题并未得到太大的重视。直到70年代，还一直没有网络管理协议，只有互联网络控制信息协议(ICMP)可以作为网络管理的工具。ICMP提供了从路由器或其它主机向主机传送控制信息的方法，可用于所有支持IP的设备。从网络管理的观点来看，ICMP最有用的特性是回声(echo)和回声应答(echo reply)消息对。这个消息对为测试实体间能否通信提供了一个机制。echo消息要求其接收者在echo reply消息中返回接收到的内容。另一个有用的消息对是时间戳(timestamp)和时间戳应答(timestamp reply)，这个消息对为测试网络延迟特性提供了机制。

与各种IP头选项结合，这些ICMP消息可用来开发一些简单有效的管理工具。典型的例子是广泛应用的分组互联网络探索(PING)程序。利用ICMP加上另外的选项如请求间隔和一个请求的发送次数，PING能够完成多种功能。包括确定一个物理网络设备能否寻址，验证一个网络能够寻址，和验证一个主机上的服务器操作。

PING在一些工具的配合下满足了TCP/IP网络初期的管理要求。但是到了80年代后期，当互联网络的发展呈指数增加时，人们感到需要开发比PING功能更强并易于普通网络管理人员学习和使用的标准协议。因为当网络中的主机数量上百万，独立网络数量上千的时候，已不能只依靠少数网络专家解决管理问题了。

1987年11月发布了简单网关监控协议(SGMP)，成为提供专用网络管理工具的起点。SGMP提供了一个直接监控网关的方法。随着对通用网络管理工具需求的增长，出现了3个有影响的方法。

1.高层实体管理系统(HEMS)：主机监控协议(HMP)的一般化。

2.简单网络管理协议(SNMP)：SGMP的升级版。

3.TCP/IP上的CMIP(CMOT)：最大限度地与OSI标准的CMIP、服务以及数据库结构保持一致。

1988年，互联网络活动会议(IAB)确定了将SNMP作为近期解决方案进一步开发，而把CMOT作为远期解决方案的策略。当时普遍认为：TCP/IP不久将会过渡到OSI，因而不应在TCP/IP的应用层协议和服务上花费太多的精力。SNMP开发速度快，并能为网络管理经验库的开发提供一些基本的工具，可用来满足眼前的需要。

为了强化这一策略，IAB要求SNMP和CMOT使用相同的被管对象数据库。即在任何主机、路由器、网桥以及其它管理设备中，两个协议都以相同的格式使用相同的监控变量。因此，两个协议有一个公共的管理信息结构(SMI)，和一个管理信息库MIB。

但是，人们很快发现这两个协议在对象级的兼容是不现实的。在OSI的网络管理中，被管对象是很成熟的，它具有属性、相关的过程、通报以及其它一些与面向对象有关的复杂的特性。而SNMP为了保持简单性，没有这样复杂的概念。实际上，SNMP的对象在面向对象的概念下根本就不能称为对象，它们只是带有一些如数据类型、读写特性等基本特性的变量。因此IAB最终放松了公共SMI/MIB的条件，并允许SNMP 独立于CMOT发展。

从对OSI的兼容性的束缚中解脱后，SNMP取得了迅速的发展，很快被众多的厂商设备所支持，并在互联网络中活跃起来。而且，普通用户也选择了SNMP作为标准的管理协议。

SNMP最重要的进展是远程监控(RMON)能力的开发。RMON为网络管理者提供了监控整个子网而不是

各个单独设备的能力。除了RMON，还对基本SNMP MIB进行了扩充。有些扩充采用标准的网络接口，例如令牌环(token ring)和光纤分布数据接口(FDDI)，这种扩充是独立于厂商的。

但是，单靠定义新的或更细致的MIB扩充SNMP是有限的。当SNMP被用于大型或复杂网络时，它在安全和功能方面的不足就变得明显了。为了弥补这些不足，1992年7月发表了3个增强SNMP安全性的文件作为建议标准。增强版与原来的SNMP是不兼容的，它需要改变外部消息句柄及一些消息处理过程。但实际定义协议操作并包含SNMP消息的协议数据单元(PDU)保持不变，并且没有增加新的PDU。目的是尽量实现向SNMP的安全版本的平滑过渡。

但是这个增强版受到了另一个方案的冲击。同样是在1992年7月，四名SNMP的关键人物提出一个称为SMP的SNMP新版本。并实现了四个可互操作的方案。两个是商业产品，两个是公开软件。SMP在功能和安全性两方面提高了SNMP，特别是SMP增加了一些PDU。所有的消息头和安全功能都与提议的安全性增强标准相似。最终SMP被接受为定义第二代SNMP即SNMPv2的基础。1993年安全版SNMPv2发布。

经过几年试用以后，IETF(Internet Engineering Task Force) 决定对SNMPv2进行修订。1996年发布了一组新的RFC (Request For Comments)，在这组新的文档中，SNMPv2的安全特性被取消了，消息格式也重新采用SNMPv1的基于“共同体(community)”概念的格式。

删除SNMPv2中的安全特性是SNMPv2发展过程中最大的失败。主要原因是厂商和用户对1993版的SNMPv2的安全机制不感兴趣，同时IETF要求的修订时间也非常紧迫，设计者们来不及对安全机制进行改善，甚至来不及对存在的严重缺陷进行修改。因此不得不在1996年版的SNMPv2中放弃了安全特性。

1999年4月IETF SNMPv3工作组提出了RFC2571～RFC2576，形成了SNMPv3的建议。目前，这些建议正在进行标准化。SNMPv3提出了SNMP管理框架的一个统一的体系结构。在这个体系结构中，采用User-based安全模型和View-based访问控制模型提供SNMP网络管理的安全性。安全机制是SNMPv3的最具特色的内容。

4.1.2 SNMP基本框架

1) 网络管理体系结构

SNMP的网络管理模型包括以下关键元素：管理站、代理者、管理信息库、网络管理协议。管理站一般是一个分立的设备，也可以利用共享系统实现。管理站被作为网络管理员与网络管理系统的接口。它的基本构成为：

·一组具有分析数据、发现故障等功能的管理程序；

·一个用于网络管理员监控网络的接口；

·将网络管理员的要求转变为对远程网络元素的实际监控的能力；

·一个从所有被管网络实体的MIB中抽取信息的数据库。

网络管理系统中另一个重要元素是代理者。装备了SNMP的平台，如主机、网桥、路由器及集线器均可作为代理者工作。代理者对来自管理站的信息请求和动作请求进行应答，并随机地为管理站报告一些重要的意外事件。

与CMIP体系相同，网络资源也被抽象为对象进行管理。但SNMP中的对象是表示被管资源某一方面的数据变量。对象被标准化为跨系统的类，对象的集合被组织为管理信息库（MIB）。MIB作为设在代理者处的管理站访问点的集合，管理站通过读取MIB中对象的值来进行网络监控。管理站可以在代理者处产生动作，也可以通过修改变量值改变代理者处的配置。

管理站和代理者之间通过网络管理协议通信，SNMP通信协议主要包括以下能力：

Get：管理站读取代理者处对象的值；

Set：管理站设置代理者处对象的值；

Trap：代理者向管理站通报重要事件。

在标准中，没有特别指出管理站的数量及管理站与代理者的比例。一般地，应至少要有两个系统能够完成管理站功能，以提供冗余度，防止故障。另一个实际问题是一个管理站能带动多少代理者。只要SNMP 保持它的简单性，这个数量可以高达几百。