网络管理课件第5章
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第5章 简单网络管理协议
5.1 SNMP的基本概念
5.2 SNMP v2 5.3 SNMP v3 5.4 应用实例
简单网络管理协议SNMP(Simple Network Management Protocol) 是1990 年5月问世的,主要是为当时的ARPANET变成了全球范围的Internet,拥有了众 多的主干和众多的用户的网络管理而研制的。RFC1157定义了SNMP的第一个版 本,简称为SNMP v1,SNMP提供了一种监控和管理计算机网络的系统方法。 SNMP是由IAB(Internet Advertising Bureau: Internet广告局)制订,基于 TCP协议的各种互联网络的管理标准。由于它满足了人们长期以来对通用网络 管理标准的需求,而且它本身简单明了,实现起来比较容易,占用的系统资源 较少,所以得到了众多网络产品厂家的支持,目前已成为事实上的网络管理工 业标准,基于它的网络管理产品在市场上占有统治地位。 随着实践的检验,SNMP第1个版本的缺点逐渐暴露出来,于是,人们又提 出了一个SNMP的加强版本SNMP v2,并逐渐成为Internet标准。但是SNMP v2在 安全协议操作方面没有提供有效的解决方案,针对这一问题,又开发出了SNMP 的第3个版本SNMP v3。这个框架和协议被广泛地应用,并成为21世纪网络管理 的标准。 本章将在介绍SNMP协议的基础上,分别对SNMPv1,SNMPv2和SNMPv3进行介 绍。
MIB变量(续)
(2)语法(Syntax),对象的数据类型,例如整数、 8位字符串、对象标 识符(预先定义的数据类型别名)或NULL。NULL是 留待的后使用的空位。 (3)访问(Access),对象的访问级别。合法的值有 :只读、读写、只写和不可存取。 (4)状态(Status),对象的实现需要:必备的(被 管理节点必须实现该对象);可选的(被管理对象可 能实现该对象):或者已废弃的(被管理设备不需 要再实现该对象)
图5-1 SNMP报文格式
SNMP v1报文格式 SNMP v1是SNMP最初的版本,在SNMP v1管理中,管理者和代理 之间信息的交换都是通过SNMP报文实现的。管理者和代理之间交换 的管理信息构成了SNMP报文,所有SNMPv1操作都嵌入在一个SNMP报 文中。SNMP v1报文由三部分构成,格式如下所示。
MIB变量
每一个对象或变量都有以下四个属性:
对象标识符(Object Identifier) 语法(Syntax) 访问(Access) 状态(Status) (1)对象标识符(Object Identifier)定义了一个特定对象 的名字,例如sysUpTime。MIB对象既可以用对象名字, 也可以用相应的MIB号码来表示。例如: internet OBJECT IDENTIFIER : : = { iso org(3) dod(6) 1 } 可以用internet,也可以用字串 .1.3.6.1来表示这个对象 。
(1)团体名:SNMP网络管理是一种分布式应用。这种应用的特点是管理站和被
管理站之间的关系可以是一对多关系,即一个管理站可以管理多个代理,从而 管理多个被管理设备。另一方面,管理站和代理之间还可能存在多对一的关系。 代理控制自己的管理信息库,也控制多个管理站对管理信息库的访问,例如, 只有授权的管理站才允许访问管理信息库,或者限制不同的管理站可以访问管 理信息库的不同部分。另外,委托代理也可能按照预定的访问策略控制对其代 理的设备的访问。RFC1157为此提供的认证和控制机制就是这种最初等最基本的 团体名验证功能。
第一种PDU格式中共同结构包含的4个字段,如下所示:
PDU类型 请求标识符 差错状态 差错索引 变量绑定表
参数含义: • PDU类型字段:上述拥有共同结构的PDU类型的一种。 • 请求标识符(request ID)字段:赋予每个请求报文惟一的整数,用于区分 不同的请求。 • 差错状态(error status)字段:表示代理处理管理者的请求时可能出现的 各种错误。该字段只在GetResponse-PDU中使用,在其他类型的PDU中,这个值必 须是0。 • 差错索引(error index)字段:当差错状态非0时,指向变量绑定表中第一 个导致差错的变量。该字段只在代理进程发送GetResponse-PDU时使用,在其他 类型的PDU中,这个值必须是0。 • 变量绑定列表(variable binding list)字段:变量名和对应值的表,说 明要检索或设置的所有变量及其值。
版本号
参数含义:
团体名
SNMP PDU
l 版本号:指定SNMP的版本号(对于SNMPv1,版本号为0)。 l 团体名:用于身份认证的一个字符串。 l PDU:是协议数据单元(Protocol Data Unit)的缩写。
在SNMP v1中,只有命令(get,get-next,set)和响应 (get-response) 两 种 PDU 格 式 拥 有 共 同 的 结 构 。 由 于 Trap-PDU包含的信息不同,这两种PDU结构上有细微的差 别。
团体的概念:SNMP网络管理是一种分布式应用,这种应用的特点是管理站和被管理站 之间的关系可以是一对多的关系,即一个管理站可以管理多个代理,从而管理多个被管 理设备。只有属于同一团体的管理站和被管理站才能互相作用,发送给不同团体的报文 被忽略。
团体是一个在代理上定义的局部概念。一个代理可以定义若干个团体,每个团体 使用唯一的团体名。而每个SNMP团体是一个在SNMP代理和多个SNMP管理者之间定义的认 证、访问控制和转换代理的关系。 在每条SNMPv1信息中都包括community字段,在该域中填入团体名,团体名起 密码的作用。 SNMPv1假设,如果发送者知道这个密码,就认为该信息通过了认证, 是可靠的。 SNMP支持普通的鉴别,它使用了一种类似于密码的东西,叫做团体名 (community name)。最简单的解释就是使用get(提取信息)或get-next(通过遍历提 取信息)操作来读团体名,从而获取对象;使用set(写信息并控制)操作来写团体名, 从而修改对象。大多数设备都将支持两个团体名:一个读团体名和一个写团体名。 更精确地说,是使用一个团体名来访问该团体内的对象。通常一个网管代理定义两 个团体:一个用于可以读取的管理对象(具有只读或读写权限的对象),另一个用于 可改的管理对象(具有读写权限的对象)。团体可以是一个设备的MIB内的任何对象 的集合。一个代理支持的最多团体数目取决于它的实现。
MIB树
在ISO(1)目录中比较重要的对象或对象类: (1)iso.org.dod.internet(1.3.6.1),包含 TCP/IP协议相关的MIB部分。 (2) iso.org.dod.internet.mgmt.mib2(1.3.6.1.2.1), MIB-II是SNMP协议中的基础 MIB,几乎被所有支持SNMP的设备所支持, MIB-II 实现了设备的基础和通用管理。 (3) iso.org.dod.internet.mgmt (1.3.6.1.2) 段中包含了系统/网络界面/各种应用程序/网络协 议/路由协议的基本监控功能。 (4) iso.org.dod.internet.private(1.3.6.1.4), 企业私有的MIB库,描述了企业私有的设备特性。
5.1 SNMP的基本概念
5.1.1 SNMP的基本概念
1.基本概念
l 被管设备:又被称为网络元素,是指计算机、路由器、转换 器等硬件设备。 l 代理(Agent):驻留在网络元素中的软件模块,它们收集并 存储管理信息,如网络收到的错误包的数量等。 l 管理对象:管理对象是能被管理的所有实体(网络、设备、 线路、软件)。例如,在特定的主机之间的一系列现有活动的TCP线 路是一个管理对象。管理对象不同于变量,变量只是管理对象的实 例。
sysDescr(1)
sysObject(2)
SNMP 的MIB OID树
sysDescr的对象类是:1.3.6.1.2.1.1.1 Iso(1).org(3).dod(6).i源自文库ternet(1).mgmt(2).mib(1).system(1).sy sDescr(1)
SNMP管理信息库
表5-1 10个对象种类 组别 对象 描述
l 管理信息库(MIB):把网络资源看成对象,每一个对象实际 上就是一个代表被管理的一个特征的变量,这些变量构成的集合就 是MIB。MIB存放报告对象的管理参数;MIB函数提供了从管理工作 站到代理的访问点,管理工作站通过查询MIB中多值对来实现监测 功能,通过改变MIB对象的值来实现控制功能。每个MIB应包括系统 与设备的状态信息,运行的数据统计和配置参数等。 l 语法:一个语法可使用一种独立于机器的格式来描述MIB管 理对象的语言。Internet管理系统利用ISO的OSI ASN.1(抽象语 言表示记法)来定义管理协议间相互交换的包和被管理的对象。 l 管理信息结构(SMI):SMI定义了描述管理信息的规则, SMI由ASN.1定义报告对象及在MIB中的表示,这样就使得这些信息 与所存放设备的数据存储表示形式无关。
l 网络管理工作站(NMS):又称为控制台,这些设施运行管理应 用来监视和控制网络元素,在物理上NMS通常是具有高速CPU、大 内存、大硬盘等工作站,作为网络管理工作站管理网络的界面,在 管理环境中至少需要一台NMS。 l 网络管理系统:真正的网络管理功能的实现,它驻留在网络管 理工作站中,通过对被管对象中的MIB信息变量的操作实现各种网 络管理功能。 l 管理协议:管理协议是用来在代理和NMS之间转换管理信息, 提供在网络管理站和被管设备间交互信息的方法。
管理信息库(MIB)
管理信息库是被管理对象或变量的集合。
1.MIB描述了可以通过网络管理协议获得和修改 的信息。MIB中的每个条目都称为一个MIB变量 。 2.MIB采用层次化结构,与DNS相似的树形结构。 3.MIB中的每个节点都有一个对象标识符(OIDObject Identifier),每个对象标识符采用 数字编码形式,而不采用文本名称。 4.MIB中的根不被命名,有3个直接子节点(ISO 、CCITT、JOINT)
管理信息结构(SMI)
SMI规范定义了一组规则,规则内容包括:
管理对象(或者MIB变量)如何被描述和编码, 以供网络协议使用。 网络管理协议如何访问这些对象或变量,以及对 象如何添加到MIB中。
在SNMP中,采用ASN.1(抽象语法表示法NO.1)来 定义管理对象或MIB变量。
• 注:ASN.1是一种数据类型描述语言,具有类似于面向 对象程序设计语言所提供的类型机制它可以定义任意结 构的数据类型,而不同数据类型之间还可以有继承关系 。
(2)变量绑定 变量绑定用于指定要收集或修改的管理对象。更精确地说, 变量绑定是一个OBJECT IDENTIFIER值对应的列表。对于get或 get-next请求,将忽略该值部分。RFC1157建议在get和getnext协议数据单元中发送实体把变量置为ASN.1的NULL值,接 收实体处理时忽略它,在返回的应答协议数据单元中设置为变 量的实际值。 由于get-next操作用变量绑定中提供的管理对象执行一次 MIB树遍历,所以可以指定MIB 树中的任何对象。
System系统
Interface接口 AT
7
23 3
名字、位置和设备描述
网络接口及其标称通信量 地址转换
IP
IP分组统计ICMP TCP
42
26 19
IP分组统计
已收到ICMP消息的统计 TCP算法、参数和统计
UDP
EGP Transmission(传输)
6
20 0
通信量统计
外部网关协议通信量统计 保留为与介质有关的MIB
SNMP
29
通信量统计
5.1.1 SNMPv1 SNMPv1的相关概念
RFC1157给出了SNMPv1协议的定义,这个定义是用ASN.1表示的,在SNMP 管理中,管理站和代理之间交换的管理信息构成了SNMP报文。报文由3部分组 成,即版本号、团体名和协议数据单元(PDU)。报文头中的版本号是指SNMP 的版本,RFC1157为第一版。团体名用于身份认证。SNMP共有5种管理操作: 但只有4种PDU格式。管理站发出的3种请求报文GetRequest、 GetNextRequest和 SetRequest采用的格式是一样的,代理的应答报文格式只有一种:tResponsePDU, 从而减少了PDU的种类。
5.1 SNMP的基本概念
5.2 SNMP v2 5.3 SNMP v3 5.4 应用实例
简单网络管理协议SNMP(Simple Network Management Protocol) 是1990 年5月问世的,主要是为当时的ARPANET变成了全球范围的Internet,拥有了众 多的主干和众多的用户的网络管理而研制的。RFC1157定义了SNMP的第一个版 本,简称为SNMP v1,SNMP提供了一种监控和管理计算机网络的系统方法。 SNMP是由IAB(Internet Advertising Bureau: Internet广告局)制订,基于 TCP协议的各种互联网络的管理标准。由于它满足了人们长期以来对通用网络 管理标准的需求,而且它本身简单明了,实现起来比较容易,占用的系统资源 较少,所以得到了众多网络产品厂家的支持,目前已成为事实上的网络管理工 业标准,基于它的网络管理产品在市场上占有统治地位。 随着实践的检验,SNMP第1个版本的缺点逐渐暴露出来,于是,人们又提 出了一个SNMP的加强版本SNMP v2,并逐渐成为Internet标准。但是SNMP v2在 安全协议操作方面没有提供有效的解决方案,针对这一问题,又开发出了SNMP 的第3个版本SNMP v3。这个框架和协议被广泛地应用,并成为21世纪网络管理 的标准。 本章将在介绍SNMP协议的基础上,分别对SNMPv1,SNMPv2和SNMPv3进行介 绍。
MIB变量(续)
(2)语法(Syntax),对象的数据类型,例如整数、 8位字符串、对象标 识符(预先定义的数据类型别名)或NULL。NULL是 留待的后使用的空位。 (3)访问(Access),对象的访问级别。合法的值有 :只读、读写、只写和不可存取。 (4)状态(Status),对象的实现需要:必备的(被 管理节点必须实现该对象);可选的(被管理对象可 能实现该对象):或者已废弃的(被管理设备不需 要再实现该对象)
图5-1 SNMP报文格式
SNMP v1报文格式 SNMP v1是SNMP最初的版本,在SNMP v1管理中,管理者和代理 之间信息的交换都是通过SNMP报文实现的。管理者和代理之间交换 的管理信息构成了SNMP报文,所有SNMPv1操作都嵌入在一个SNMP报 文中。SNMP v1报文由三部分构成,格式如下所示。
MIB变量
每一个对象或变量都有以下四个属性:
对象标识符(Object Identifier) 语法(Syntax) 访问(Access) 状态(Status) (1)对象标识符(Object Identifier)定义了一个特定对象 的名字,例如sysUpTime。MIB对象既可以用对象名字, 也可以用相应的MIB号码来表示。例如: internet OBJECT IDENTIFIER : : = { iso org(3) dod(6) 1 } 可以用internet,也可以用字串 .1.3.6.1来表示这个对象 。
(1)团体名:SNMP网络管理是一种分布式应用。这种应用的特点是管理站和被
管理站之间的关系可以是一对多关系,即一个管理站可以管理多个代理,从而 管理多个被管理设备。另一方面,管理站和代理之间还可能存在多对一的关系。 代理控制自己的管理信息库,也控制多个管理站对管理信息库的访问,例如, 只有授权的管理站才允许访问管理信息库,或者限制不同的管理站可以访问管 理信息库的不同部分。另外,委托代理也可能按照预定的访问策略控制对其代 理的设备的访问。RFC1157为此提供的认证和控制机制就是这种最初等最基本的 团体名验证功能。
第一种PDU格式中共同结构包含的4个字段,如下所示:
PDU类型 请求标识符 差错状态 差错索引 变量绑定表
参数含义: • PDU类型字段:上述拥有共同结构的PDU类型的一种。 • 请求标识符(request ID)字段:赋予每个请求报文惟一的整数,用于区分 不同的请求。 • 差错状态(error status)字段:表示代理处理管理者的请求时可能出现的 各种错误。该字段只在GetResponse-PDU中使用,在其他类型的PDU中,这个值必 须是0。 • 差错索引(error index)字段:当差错状态非0时,指向变量绑定表中第一 个导致差错的变量。该字段只在代理进程发送GetResponse-PDU时使用,在其他 类型的PDU中,这个值必须是0。 • 变量绑定列表(variable binding list)字段:变量名和对应值的表,说 明要检索或设置的所有变量及其值。
版本号
参数含义:
团体名
SNMP PDU
l 版本号:指定SNMP的版本号(对于SNMPv1,版本号为0)。 l 团体名:用于身份认证的一个字符串。 l PDU:是协议数据单元(Protocol Data Unit)的缩写。
在SNMP v1中,只有命令(get,get-next,set)和响应 (get-response) 两 种 PDU 格 式 拥 有 共 同 的 结 构 。 由 于 Trap-PDU包含的信息不同,这两种PDU结构上有细微的差 别。
团体的概念:SNMP网络管理是一种分布式应用,这种应用的特点是管理站和被管理站 之间的关系可以是一对多的关系,即一个管理站可以管理多个代理,从而管理多个被管 理设备。只有属于同一团体的管理站和被管理站才能互相作用,发送给不同团体的报文 被忽略。
团体是一个在代理上定义的局部概念。一个代理可以定义若干个团体,每个团体 使用唯一的团体名。而每个SNMP团体是一个在SNMP代理和多个SNMP管理者之间定义的认 证、访问控制和转换代理的关系。 在每条SNMPv1信息中都包括community字段,在该域中填入团体名,团体名起 密码的作用。 SNMPv1假设,如果发送者知道这个密码,就认为该信息通过了认证, 是可靠的。 SNMP支持普通的鉴别,它使用了一种类似于密码的东西,叫做团体名 (community name)。最简单的解释就是使用get(提取信息)或get-next(通过遍历提 取信息)操作来读团体名,从而获取对象;使用set(写信息并控制)操作来写团体名, 从而修改对象。大多数设备都将支持两个团体名:一个读团体名和一个写团体名。 更精确地说,是使用一个团体名来访问该团体内的对象。通常一个网管代理定义两 个团体:一个用于可以读取的管理对象(具有只读或读写权限的对象),另一个用于 可改的管理对象(具有读写权限的对象)。团体可以是一个设备的MIB内的任何对象 的集合。一个代理支持的最多团体数目取决于它的实现。
MIB树
在ISO(1)目录中比较重要的对象或对象类: (1)iso.org.dod.internet(1.3.6.1),包含 TCP/IP协议相关的MIB部分。 (2) iso.org.dod.internet.mgmt.mib2(1.3.6.1.2.1), MIB-II是SNMP协议中的基础 MIB,几乎被所有支持SNMP的设备所支持, MIB-II 实现了设备的基础和通用管理。 (3) iso.org.dod.internet.mgmt (1.3.6.1.2) 段中包含了系统/网络界面/各种应用程序/网络协 议/路由协议的基本监控功能。 (4) iso.org.dod.internet.private(1.3.6.1.4), 企业私有的MIB库,描述了企业私有的设备特性。
5.1 SNMP的基本概念
5.1.1 SNMP的基本概念
1.基本概念
l 被管设备:又被称为网络元素,是指计算机、路由器、转换 器等硬件设备。 l 代理(Agent):驻留在网络元素中的软件模块,它们收集并 存储管理信息,如网络收到的错误包的数量等。 l 管理对象:管理对象是能被管理的所有实体(网络、设备、 线路、软件)。例如,在特定的主机之间的一系列现有活动的TCP线 路是一个管理对象。管理对象不同于变量,变量只是管理对象的实 例。
sysDescr(1)
sysObject(2)
SNMP 的MIB OID树
sysDescr的对象类是:1.3.6.1.2.1.1.1 Iso(1).org(3).dod(6).i源自文库ternet(1).mgmt(2).mib(1).system(1).sy sDescr(1)
SNMP管理信息库
表5-1 10个对象种类 组别 对象 描述
l 管理信息库(MIB):把网络资源看成对象,每一个对象实际 上就是一个代表被管理的一个特征的变量,这些变量构成的集合就 是MIB。MIB存放报告对象的管理参数;MIB函数提供了从管理工作 站到代理的访问点,管理工作站通过查询MIB中多值对来实现监测 功能,通过改变MIB对象的值来实现控制功能。每个MIB应包括系统 与设备的状态信息,运行的数据统计和配置参数等。 l 语法:一个语法可使用一种独立于机器的格式来描述MIB管 理对象的语言。Internet管理系统利用ISO的OSI ASN.1(抽象语 言表示记法)来定义管理协议间相互交换的包和被管理的对象。 l 管理信息结构(SMI):SMI定义了描述管理信息的规则, SMI由ASN.1定义报告对象及在MIB中的表示,这样就使得这些信息 与所存放设备的数据存储表示形式无关。
l 网络管理工作站(NMS):又称为控制台,这些设施运行管理应 用来监视和控制网络元素,在物理上NMS通常是具有高速CPU、大 内存、大硬盘等工作站,作为网络管理工作站管理网络的界面,在 管理环境中至少需要一台NMS。 l 网络管理系统:真正的网络管理功能的实现,它驻留在网络管 理工作站中,通过对被管对象中的MIB信息变量的操作实现各种网 络管理功能。 l 管理协议:管理协议是用来在代理和NMS之间转换管理信息, 提供在网络管理站和被管设备间交互信息的方法。
管理信息库(MIB)
管理信息库是被管理对象或变量的集合。
1.MIB描述了可以通过网络管理协议获得和修改 的信息。MIB中的每个条目都称为一个MIB变量 。 2.MIB采用层次化结构,与DNS相似的树形结构。 3.MIB中的每个节点都有一个对象标识符(OIDObject Identifier),每个对象标识符采用 数字编码形式,而不采用文本名称。 4.MIB中的根不被命名,有3个直接子节点(ISO 、CCITT、JOINT)
管理信息结构(SMI)
SMI规范定义了一组规则,规则内容包括:
管理对象(或者MIB变量)如何被描述和编码, 以供网络协议使用。 网络管理协议如何访问这些对象或变量,以及对 象如何添加到MIB中。
在SNMP中,采用ASN.1(抽象语法表示法NO.1)来 定义管理对象或MIB变量。
• 注:ASN.1是一种数据类型描述语言,具有类似于面向 对象程序设计语言所提供的类型机制它可以定义任意结 构的数据类型,而不同数据类型之间还可以有继承关系 。
(2)变量绑定 变量绑定用于指定要收集或修改的管理对象。更精确地说, 变量绑定是一个OBJECT IDENTIFIER值对应的列表。对于get或 get-next请求,将忽略该值部分。RFC1157建议在get和getnext协议数据单元中发送实体把变量置为ASN.1的NULL值,接 收实体处理时忽略它,在返回的应答协议数据单元中设置为变 量的实际值。 由于get-next操作用变量绑定中提供的管理对象执行一次 MIB树遍历,所以可以指定MIB 树中的任何对象。
System系统
Interface接口 AT
7
23 3
名字、位置和设备描述
网络接口及其标称通信量 地址转换
IP
IP分组统计ICMP TCP
42
26 19
IP分组统计
已收到ICMP消息的统计 TCP算法、参数和统计
UDP
EGP Transmission(传输)
6
20 0
通信量统计
外部网关协议通信量统计 保留为与介质有关的MIB
SNMP
29
通信量统计
5.1.1 SNMPv1 SNMPv1的相关概念
RFC1157给出了SNMPv1协议的定义,这个定义是用ASN.1表示的,在SNMP 管理中,管理站和代理之间交换的管理信息构成了SNMP报文。报文由3部分组 成,即版本号、团体名和协议数据单元(PDU)。报文头中的版本号是指SNMP 的版本,RFC1157为第一版。团体名用于身份认证。SNMP共有5种管理操作: 但只有4种PDU格式。管理站发出的3种请求报文GetRequest、 GetNextRequest和 SetRequest采用的格式是一样的,代理的应答报文格式只有一种:tResponsePDU, 从而减少了PDU的种类。