当前位置:文档之家› 98605-网络安全通信协议-第八章 SNMP协议

98605-网络安全通信协议-第八章 SNMP协议

¾ 负责发送和接收消息。调度程序试图确定该消息的版 本号,然后把该消息传递给适当的消息处理模型 。
消息处理子系统
¾ 负责准备要发送的消息或从接收到的消息中提取数据。
2.1 SNMPv3体系结构
2.1.1 SNMP引擎
SNMP引擎包括以下几个部分: 安全子系统
¾ 提供安全服务,实现认证和加密。安全子系统的实现 主要是支持基于用户的安全模式。
SNMP(Simple Network Management Protocol) 简单网络管理协议 由IETF 设计,主要基于TCP/IP的互联网。 以它的简单性、可伸缩性、扩展性、健壮性而得到广泛的认可。
一、SNMP概述
1.2 SNMP的发展
●SNMPv1(RFC1157) :1990年 1989 SNMP成为推荐级标准 1990 SNMP成为正式标准—SNMPv1 特点: 设计简单 可扩展 安全性较差
1.3.1 SNMP的网络管理模型
GetRequest GetNextRequest
SetRequest GetResponse
Trap GetRequest GetNextRequest
SetRequest GetResponse
Trap
SNMP管理站 管理应用程序
SNMP管理器 UDP IP
底层网络接口
SetRequest GetResponse
Trap GetRequest GetNextRequest
SetRequest GetResponse
Trap
SNMP管理站 管理应用程序
应用管理 对象
SNMP代理
管理的资源 SNMP管理的对象
(MIB)
SNMP管理器 UDP IP
底层网络接口
SNMP消息
IP数据报 UDP数据报
SNMP报文
IP首部 UDP首部 版本号 共同体名
PDU
1.3 SNMP的基本原理
1.3.2 SNMP的消息
SNMPv1中的PDU包括:Get-Request、Get-Next-Request、 Set-Request、Get-Response、Trap五种。 ¾ Get-Request:管理站从拥有SNMP管理代理的网络设备中获 取指定对象的信息; ¾ Get-Response:响应Get-Request报文; ¾ Get-Next-Request:获取一个表中指定对象的下一个对 象; ¾ Set-Request:对一个网络设备进行远程参数配置; ¾ Trap:是管理代理发给管理站的非请求消息。
第八章 SNMP协议
本章内容
一.SNMP概述 二.SNMPv3
1.1 网络管理协议的产生 1.2 SNMP的发展 1.3 SNMP的基本原理 1.4 SNMPv1的安全机制-共同体
本章内容
一.SNMP概述 二.SNMPv3
2.1 SNMPv3体系结构 2.2 SNMPv3的消息 2.3 基于用户的安全模型USM 2.4 基于视图的安全机制VACM 2.5 SNMPv3的探讨
理,包括插入身份认证码和加密,然后把PDU封装成能 够传输的消息格式。 ¾ 接收从传输层传来的 SNMP 消息,进行身份认证和解 密 , 然 后 把 PDU 从 消 息 中 取 出 并 把 它 们 传 送 到 相 应 的 SNMP应用中去。
2.1 SNMPv3体系结构
2.1.1 SNMP引擎
SNMP引擎包括以下几个部分: 调度程序
SNMP代理 SNMP管理器的集合
SNMP MIB视图 SNMP访问模式
SNMP共同体 (共同体名称)
SNMP共同体 配置文件
SNMP访问策略
1.4 SNMPv1的安全机制-共同体
(3)代理服务
¾ 一个代理可以作为其他被管理者(代理)的转换代理
站,包括为其它被管理系统提供认证服务和访问控
制策略。
VPN普通 网关
访问
消息处理子系统: 得到 PDU
调度程序
应用程序
2.2 SNMPv3的消息
访问控制子系统
¾ 访问控制子系统负责确定是否允许访问一个管理对 象。它主要包括基于视图的控制模型。
2.1 SNMPv3体系结构
2.1.2 SNMP应用程序
命令生成器应用:生成收集或设置管理数据的SNMP命令 命令响应器应用:提供对管理数据的访问。 通知产生器应用:初始化Trap或Inform消息 通知接收器应用:接收并处理Trap或Inform消息。 代理转发器应用:转发SNMP实体之间的消息。
应用管理 对象
SNMP消息
SNMP代理 管理的资源 SNMP管理的对象 (MIB)
SNMP代理 UDP IP
底层网络接口
管理代理:除了管理 站,网络管理系统中 的其他活动元素都是 管理代理
¾ 管理代理对来自管理站的 信息查询和动作执行的请 求作出响应,同时还可能 异步地向管理站提供一些 重要的非请求信息。
1.3.1 SNMP的网络管理模型
GetRequest GetNextRequest
SetRequest GetResponse
Trap GetRequest GetNextRequest
SetRequest GetResponse
Trap
SNMP管理站 管理应用程序
应用管理 对象
SNMP代理
管理的资源 SNMP管理的对象
一、SNMP概述
1.2 SNMP的发展
●SNMPv3(1997-1998年) 1998:RFC2271-RFC2275 1999:RFC2571-RFC2575 2002:RFC3410-3418 包含SNMPv1、SNMPv2所有功能,增加了安全和管理机制。
一、SNMP概述
1.2 SNMP的发展
(MIB)
Fra Baidu bibliotek
SNMP管理器 UDP IP
底层网络接口
SNMP消息
SNMP代理 UDP IP
底层网络接口
网络或互联网
管理协议:管理站和 代理之间通过管理协 议连接 包括以下主要功能
¾ Get:由管理站去获取 代理的MIB对象
¾ Set:由管理站去设置 代理的MIB对象值
¾ Trap:使代理能够向 管理站通告重要的事 件
2.1 SNMPv3体系结构
2.1.3 SNMP管理站
2.1 SNMPv3体系结构
2.1.4 SNMP代理
2.1 SNMPv3体系结构
2.1.5 消息的处理流程 消息的传出和传入过程
传出过程:
应用程序
调度程序: 接 收 PDU , 确 定 消 息
处理的类型
访问控制子系统: 判定MIB对象是
底层网络接口
应用管理 对象
SNMP消息
SNMP代理 管理的资源 SNMP管理的对象 (MIB)
SNMP代理 UDP IP
底层网络接口
管理信息库 (Management Information Base, MIB):被管理的网 络资源的对象集合
¾ 由代理管理,由管理 站读写的对象集合。
网络或互联网
应用管理 对象
SNMP代理
管理的资源 SNMP管理的对象
(MIB)
SNMP管理器 UDP IP
底层网络接口
SNMP消息
SNMP代理 UDP IP
底层网络接口
网络或互联网
管理站 管理代理 管理信息库MIB 网络管理协议
1.3.1 SNMP的网络管理模型
GetRequest GetNextRequest
一、SNMP概述
1.2 SNMP的发展
●SNMPv2(1992-1996年) SNMPSec(RFC1351一1353):1992.7提出,提供了数据完整性 认证、数据源认证、数据机密性保护等安全机制,但是 SNMPSec与SNMPv1不兼容; SNMPv2(RFC14xx):1993年由IETF发布,功能上比SNMPv1 更加强大,弥补了SNMPv1在管理大型网络上的不足,增加了基 于SNMPSec安全机制的安全特性; SNMPv2c(RFC1902-1908):1996年由IETF发布,SNMPv2 的大 部分特性被保留,但在安全机制方面则完全倒退回到SNMPv1时 代。
SNMP代理 UDP IP
底层网络接口
网络或互联网
管理站:网络管理员与网 络管理系统的接口
¾ 拥有一套数据分析、故障 发现等的管理应用软件;
¾ 提供网络管理员监视和控 制网络的接口;
¾ 能够将网络管理员的命令 转换成对远程网络元素的 监视和控制;
¾ 能从网上所有被管实体的 MIB中提取出信息数据 库。
局域网
VPN隧道
MIB
VPN管理 SNMPv3 平台
VPN中心 网关
MIB
INTERNET ···
VPN隧道
VPN普通 网关
MIB
SNMP的安全
安全问题
¾ 共同体以明文传输 ¾ 传输数据没有任何安全防护
安全威胁
¾ 身份伪装 ¾ 信息泄露 ¾ 信息更改 ¾ 拒绝服务攻击
2.1 SNMPv3体系结构
SNMP实体
SNMP引擎
调度程序
消息处 理子系统
安全子系 统
访问控 制子系统
应用程序
命令生成器
命令响应器
通知接收器 通知产生器
代理转发器 其他
SNMP实体的体系结构
2.1 SNMPv3体系结构
2.1.1 SNMP引擎 SNMP引擎:实现发送和接收消息,认证和加解密消
息,控制对管理对象的访问。
功能: ¾ 接收从SNMP应用程序传出的PDU,进行一些必要的处
SNMPv3结构是由分布的、相互连接的SNMP实体组
成。每一个实体可以作为一个代理节点(Agent Node)、管理器节点(Manager Node),或代理和 管理器的混合节点。
每个SNMP实体由一个SNMP引擎(Engine)和一个或
多个相关联的应用程序(Application)组成。
2.1 SNMPv3体系结构
教学重点
SNMPv3的体系结构 SNMPv3的安全机制
一、SNMP概述
1.1 网络管理协议的产生
CMIP(Common Management Information Protocol) 公共管理信息协议 由ISO 设计,主要针对OSI七层协议模型。 采用报告机制,具有许多特殊的设施和能力,需要能力强的处 理机和大容量的存储器,因此目前支持它的产品较少。
1.3.1 SNMP的网络管理模型
局域网
VPN管理 SNMPv3 平台
VPN中心 网关
MIB
VPN隧道
VPN普通 网关
MIB
INTERNET ···
VPN隧道
VPN普通 网关
MIB
基于SNMP的VPN管理体系结构
1.3 SNMP的基本原理
1.3.2 SNMP的消息
SNMP协议的工作机制非常简单,主要通过各种不同类型的 消息,即PDU(协议数据单元)实现网络信息的交换。
否允许访问
安全子系统: 加密或认证处理
消息处理子系统: 添加报头
消息处理子系统
调度程序
传输层
2.1 SNMPv3体系结构
2.1.5 消息的处理流程 消息的传出和传入过程
传入过程:
传输层传来消息
调度程序: 确定消息的版本号
消息处理子系统: 处理消息报头
安全子系统: 解密或验证
访问控制子系统: MIB 对 象 是 否 允 许
1.4 SNMPv1的安全机制-共同体
共同体
¾ SNMP共同体(community)是在SNMP代理和 多个SNMP管理站之间定义了认证、访问控制 和代理服务的关系。
(1)身份认证服务
¾ 通过共同体,代理实现对管理站的身份认证。
1.4 SNMPv1的安全机制-共同体
(2)访问控制策略
¾ 通过共同体,代定理义管M理实I对B现象中子的对集一管个理器的访问控可只制读读。可和写
网络或互联网
1.3.1 SNMP的网络管理模型
GetRequest GetNextRequest
SetRequest GetResponse
Trap GetRequest GetNextRequest
SetRequest GetResponse
Trap
SNMP管理站 管理应用程序
SNMP管理器 UDP IP
●SNMPv3(1997-1998年) ¾适应性强:适用于多种操作环境,既可以管理最简单的网 络,实现基本的管理功能,又能够提供强大的网络管理功能, 满足复杂网络的管理需求。 ¾扩充性好:可以根据需要增加模块。 ¾安全性好:具有多种安全处理模块。
一、SNMP概述
1.3 SNMP的基本原理
1.3.1 SNMP的网络管理模型
管理站 管理代理 管理信息库MIB 网络管理协议
1.3.1 SNMP的网络管理模型
GetRequest GetNextRequest
SetRequest GetResponse
Trap GetRequest GetNextRequest
SetRequest GetResponse
Trap
SNMP管理站 管理应用程序
相关主题