SNMP(Simple Network Management Protocol,简单网络管理协议)的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP进行了很大的修改,特别是加入了符合Internet定义的SMI和MIB:体系结构,改进后的协议就是著名的SNMP。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,因此SNMP受Internet标准网络管理框架的影响也很大。现在SNMP 已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。
目录
SNMP信息
SNMP风险
SNMP数据
管理信息库
Windows SNMP查询
SNMPv2协议操作
OSI上的SNMP
在网络设备中的作用
SNMP信息
MIB,Management Information Base:管理信息库,由网络管理协议访问的管理对象数据库,它包括SNMP可以通过网络设备的SNMP管理代理进行设置的变量。SMI,Structure of Management Information:管理信息结构,用于定义通过网络管理协议可访问的对象的规则。SMI定义在MIB 中使用的数据类型及网络资源在MIB中的名称或表示。
使用SNMP进行网络管理需要下面几个重要部分:管理基站,管理代理,管理信息库和网络管理工具。管理基站通常是一个独立的设备,它用作网络管理者进行网络管理的用户接口。基站上必须装备有管理软件,管理员可以使用的用户接口和从MIB取得信息的数据库,同时为了进行网络管理它应该具备将管理命令发出基站的能力。
管理代理是一种网络设备,如主机,网桥,路由器和集线器等,这些设备都必须能够接收管理基站发来的信息,它们的状态也必须可以由管理基站监视。管理代理响应基站的请求进行相应的操作,也可以在没有请求的情况下向基站发送信息。
MIB是对象的集合,它代表网络中可以管理的资源和设备。每个对象基本上是一个数据变量,它代表被管理的对象的一方面的信息。
最后一个方面是管理协议,也就是SNMP,SNMP的基本功能是:取得,设置和接收代理发送的意外信息。取得指的是基站发送请求,代理根据这个请求回送相应的数据,设置是基站设置管理对象(也就是代理)的值,接收代理发送的意外信息是指代理可以在基站未请求的状态下向基站报告发生的意外情况。
SNMP为应用层协议,是TCP/IP协议族的一部分。它通过用户数据报协议(UDP)来操作。在分立的管理站中,管理者进程对位于管理站中心的MIB 的访问进行控制,并提供网络管理员接口。管理者进程通过SNMP完成网络管理。SNMP在UDP、IP及有关的特殊网络协议(如,Ethernet, FDDI, X.25)之上实现。
SNMP风险
接入Internet的网络面临许多风险,Web服务器可能面临攻击,邮件服务器的安全也令人担忧。但除此之外,网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务,许多时候这些SNMP服务是不必要的,但却没有引起网络管理员的重视。
根据SANS协会的报告,对于接入Internet的主机,SNMP是威胁安全的十大首要因素之一;同时,SNMP还是Internet主机上最常见的服务之一。特别地,SNMP服务通常在位于网络边缘的设备(防火墙保护圈之外的设备)上运行,进一步加剧了SNMP带来的风险。这一切听起来出人意料,但其实事情不应该是这样的。
背景知识
SNMP开发于九十年代早期,其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包,如HP的Open View和Nortel Networks 的Optivity Network Management System,还有Multi Router Traffic Grapher(MRTG)之类的免费软件,都用SNMP服务来简化网络的管理和维护。
由于SNMP的效果实在太好了,所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天,各种网络设备上都可以看到默认启用的SNMP 服务,从交换机到路由器,从防火墙到网络打印机,无一例外。
仅仅是分布广泛还不足以造成威胁,问题是许多厂商安装的SNMP都采用了默认的通信字符串(例如密码),这些通信字符串是程序获取设备信息和修改配置必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备,无需经过复杂的配置。
通信字符串主要包含两类命令:GET命令,SET命令。GET命令从设备读取数据,这些数据通常是操作参数,例如连接状态、接口名称等。SET命令允许设置设备的某些参数,这类功能一般有限制,例如关闭某个网络接
口、修改路由器参数等功能。但很显然,GET、SET命令都可能被用于拒绝服务攻击(DoS)和恶意修改网络参数。
最常见的默认通信字符串是public(读/写)和private(只读),除此之外还有许多厂商私有的默认通信字符串。几乎所有运行SNMP的网络设备上,都可以找到某种形式的默认通信字符串。
SNMP2.0和SNMP1.0的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信,就可以利用各种嗅探工具直接获取通信字符串,即使用户改变了通信字符串的默认值也无济于事。
近几年才出现的SNMP3.0解决了一部分问题。为保护通信字符串,SNMP3.0使用DES(DataEncryptionStandard)算法加密数据通信;另外,SNMP3.0还能够用MD5和SHA(SecureHashAlgorithm)技术验证节点的标识符,从而防止攻击者冒充管理节点的身份操作网络。
虽然SNMP3.0出现已经有一段时间了,但目前还没有广泛应用。如果设备是2、3年前的产品,很可能根本不支持SNMP3.0;甚至有些较新的设备也只有SNMP2.0或SNMP1.0。
即使设备已经支持SNMP3.0,许多厂商使用的还是标准的通信字符串,这些字符串对黑客组织来说根本不是秘密。因此,虽然SNMP3.0比以前的版本提供了更多的安全特性,如果配置不当,其实际效果仍旧有限。
禁用SNMP
要避免SNMP服务带来的安全风险,最彻底的办法是禁用SNMP。如果你没有用SNMP来管理网络,那就没有必要运行它;如果你不清楚是否有必要运行SNMP,很可能实际上不需要。即使你打算以后使用SNMP,只要现在没有用,也应该先禁用SNMP,直到确实需要使用SNMP时才启用它。
下面列出了如何在常见的平台上禁用SNMP服务。
■Windows XP和Windows 2000
在XP和Win2K中,右击“我的电脑”,选择“管理”。展开“服务和应用程序”、“服务”,从服务的清单中选择SNMP服务,停止该服务。然后打开服务的“属性”对话框,将启动类型改为“禁用”(按照微软的默认设置,Win2K/XP默认不安装SNMP服务,但许多软件会自动安装该服务)。
■WindowsNT4.0
选择“开始”→“设置”,打开服务设置程序,在服务清单中选择SNMP 服务,停止该服务,然后将它的启动类型改为禁用。
■Windows9x
打开控制面板的网络设置程序,在“配置”页中,从已安装的组件清单中选择“MicrosoftSNMP代理”,点击“删除”。检查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Services和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 注册键,确认不存在snmp.exe。
■Cisco Systems硬件
对于Cisco的网络硬件,执行“noSNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭,可执行“showSNMP”命令。这些命令只适用于运行CiscoIOS的平台;对于非IOS的Cisco设备,请参考随机文档。
■HP硬件
对于所有使用Jet Direct卡(绝大部分HP网络打印机都使用它)的HP网络设备,用telnet连接到Jet Direct卡的IP地址,然后执行下面的命令:
SNMP-config:0
quit
这些命令将关闭设备的SNMP服务。但必须注意的是,禁用SNMP服务会影响服务的发现操作以及利用SNMP获取设备状态的端口监视机制。
■RedHatLinux
对于RedHatLinux,可以用Linuxconf工具从自动启动的服务清单中删除SNMP,或者直接从/etc/services文件删除启动SNMP的行。对于其他Linux系统,操作方法应该也相似。
保障SNMP的安全
如果某些设备确实有必要运行SNMP,则必须保障这些设备的安全。首先要做的是确定哪些设备正在运行SNMP服务。除非定期对整个网络进行端口扫描,全面掌握各台机器、设备上运行的服务,否则的话,很有可能遗漏一、二个SNMP服务。特别需要注意的是,网络交换机、打印机之类的设备同样也会运行SNMP服务。确定SNMP服务的运行情况后,再采取下面的措施保障服务安全。
■加载SNMP服务的补丁
安装SNMP服务的补丁,将SNMP服务升级到2.0或更高的版本。联系设备的制造商,了解有关安全漏洞和升级补丁的情况。
■保护SNMP通信字符串
一个很重要的保护措施是修改所有默认的通信字符串。根据设备文档的说明,逐一检查、修改各个标准的、非标准的通信字符串,不要遗漏任何一项,必要时可以联系制造商获取详细的说明。
■过滤SNMP
另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求,即在防火墙或边界路由器上,阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口,厂商私有的实现一般使用199、391、705和1993端口。禁用这些端口通信后,外部网络访问内部网络的能力就受到了限制;另外,在内部网络的路由器上,应该编写一个ACL,只允许某个特定的可信
任的SNMP管理系统操作SNMP。例如,下面的ACL只允许来自(或者走向)SNMP管理系统的SNMP通信,限制网络上的所有其他SNMP通信:access-list 100 permit iphost w.x.y any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmp trap
access-list 100 permit ip any any
这个ACL的第一行定义了可信任管理系统(w.x.y)。利用下面的命令可以将上述ACL应用到所有网络接口:
interface serial0
ip access-group 100 in
总之,SNMP的发明代表着网络管理的一大进步,现在它仍是高效管理大型网络的有力工具。然而,SNMP的早期版本天生缺乏安全性,即使最新的版本同样也存在问题。就象网络上运行的其他服务一样,SNMP服务的安全性也是不可忽视的。不要盲目地肯定网络上没有运行SNMP服务,也许它就躲藏在某个设备上。那些必不可少的网络服务已经有太多让人担忧的安全问题,所以最好关闭SNMP之类并非必需的服务——至少尽量设法保障其安全。
SNMP数据
简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月,RFC1157定义了SNMP (simplenetworkmanagementprotocol)的第一个版本SNMPv1。RFC1157和另一个关于管理信息的文件RFC1155一起,提供了一种监控和管理计算机网络的系统方法。因此,SNMP得到了广泛应用,并成为网络管理的事实上的标准。
SNMP在90年代初得到了迅猛发展,同时也暴露出了明显的不足,如,难以实现大量的数据传输,缺少身份验证(Authentication)和加密(Privacy)机制。因此,1993年发布了SNMPv2,具有以下特点:
支持λ分布式网络管理
扩展了λ数据类型
可以实现大量数据的同时传输,提高了效率和性能λ
丰富了故障处理能力λ
增加了集合处理功能λ
加强了λ数据定义语言
管理信息库
管理信息库MIB指明了网络元素所维持的变量(即能够被管理进程查询和设置的信息)。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域名系统DNS相似的树型结构,它的根在最上面,根没有名字。图3画的是管理信息库的一部分,它又称为对象命名(objectnamingtree)。
对象命名树的顶级对象有三个,即ISO、ITU-T和这两个组织的联合体。在ISO的下面有4个结点,其中的一个(标号3)是被标识的组织。在其下面有一个美国国防部(DepartmentofDefense)的子树(标号是6),再下面就是Internet(标号是1)。在只讨论Internet中的对象时,可只画出Internet以下的子树(图中带阴影的虚线方框),并在Internet结点旁边标注上{1.3.6.1}即可。
在Internet结点下面的第二个结点是mgmt(管理),标号是2。再下面是管理信息库,原先的结点名是mib。1991年定义了新的版本MIB-II,故结点名现改为mib-2,其标识为{1.3.6.1.2.1},或{Internet(1).2.1}。这种标识为对象标识符。
最初的结点mib将其所管理的信息分为8个类别,见表4。现在demib-2所包含的信息类别已超过40个。
应当指出,MIB的定义与具体的网络管理协议无关,这对于厂商和用户都有利。厂商可以在产品(如路由器)中包含SNMP代理软件,并保证在定义新的MIB项目后该软件仍遵守标准。用户可以使用同一网络管理客户软件来管理具有不同版本的MIB的多个路由器。当然,一个没有新的MIB项目的路由器不能提供这些项目的信息。
这里要提一下MIB中的对象{1.3.6.1.4.1},即enterprises(企业),其所属结点数已超过3000。例如IBM为11.3.6.1.4.1.2},Cisco为
{1.3.6.1.4.1.9},Novell为{1.3.6.1.4.1.23}等。
Windows SNMP查询
作用简述
SNMP是"SimpleNetworkManagementProtocol"的缩写,中文含义是"简单网络管理协议",这个协议的作用和详细情况,各位可以参考有关资料.这里只介绍针对这个协议进行状态查询的工具软件Snmputilg.exe.也是支持工具目录中所提供的.至于用途,不外乎是给系统管理员提供关于SNMP方面的信息,便于在排除故障的时候当做参考.打开工具显示界面之后,你就可以用来执行诸如GET,GET-NEXT等等操作或进行有关的设置.另外,这个工具也能将数据保存到剪贴板,或将数据保存为以逗号为结束符号的文本文件.在使用中应当注意:即使多数对象的都使用了默认的ID标识(数
值),你也要谨慎地使用SNMPSET命令,因为不正确地使用这个命令之后,可能导致网络名称资源方面的问题或是在引起连通方面的问题.
使用方法
1.启动程序:在windows2000的环境中,点击"开始->运行",在编辑框中键入snmputilg然后回车或点击"确定".
2.和以前遇到的不同,Snmputilg.exe是一个图形界面的工具,尽管执行程序的时候可以使用命令行控制窗口打开它,但实际启动成功之后出现的界面仍然是图形的
3.工具启动后,Node编辑框中显示的是默认的回送地址,地址值是127.0.0.1;CurrentOID指的是"当前对象标识符",标识是windows系统中用来代表一个对象的数字,每个标识都是整个系统中唯一的,也就是说,标识不会、也不允许重复.图中显示的值是.1.3.6.1.2.1.public是community一项的默认选择.上面所介绍的这些项目也可选定别的值.
4.如果选择了别的系统的IP地址,则必须运行SNMP服务,而目标系统必须配置好网络访问的地址,所谓配置,包括地址设置和权限打开.同时,所需要的辅助工具也应当具备或运行.缺省情况下,windows2000对所有另外系统的IP地址都是允许访问的.
5.另一个问题是community,当选定community的值时,一要注意它所代表的对象必须存在,二要注意其"可读"属性只有获准许可之后才能进行读操作.三要注意这个项目在windows系列的不同版本中,对访问地址的限制可能不一样.
6.凡是SNMP可以执行的功能(SNMPFunctiontoExecute),在图中下拉组合框中都已经列出,可供选择.选择好之后,请鼠标点击ExecuteCommand按钮来执行对应的操作.
以下是这些操作的功能简介:
GETthevalueofthecurrentobjectidentifier:得到当前对象的ID标识数值
GETtheNEXTvalueafterthecurrentobjectidentifier(thisisthedefault):得到紧接当前对象之后的下一个对象的ID标识数值(这是默认的)GETtheNEXT20valuesafterthecurrentobjectidentifier:得到当前对象之后的20个对象的ID标识数值
GETallvaluesfromobjectidentifierdown(WALKthetree):得到从当前对象往下的所有对象的ID标识数值
WALKthetreefromWINSvaluesdown:从WINS值往下漫游目录
WALKthetreefromDHCPvaluesdown:从DHCP值往下漫游目录
WALKthetreefromLANMANvaluesdown:从LANMAN值往下漫游目录
WALKthetreefromMIB-IIdown(InternetMIB):从MIB-II往下漫游目录
7.显示结果含义解释:
这些结果可以清除,也可以保存或更新,要实现上述功能,可以使用菜单中对应的操作,具体地说,这些操作包括:
将一个或多个结果拷贝入剪贴板.
删除现在列出的所有内容.
清除已经执行过的所有的命令.
请求记录当前已经选定的项目.
产生一个文本文件,用该文件保存所有的记录的映像
编辑或设置某个对象的标识.在使用这个操作时要谨慎,因为一旦进行了不正确地设置,将可能导致网络名称资
SNMPv2协议操作
SNMPv2标准的核心就是通信协议———它是一个请求/应答式的协议。
这个协议提供了在manager与agent、manager与manager之间交换管理信息的直观、基本的方法。
每条SNMPv2的报文都由一些域构成:
如果发送方、接收方的两个Party都采用了验证(authentication)机制,它就包含与验证有关的信息;否则它为空(取NULL)。验证的过程如下:发送方和接收方的Party都分别有一个验证用的密钥(secretkey)和一个验证用的算法。报文发送前,发送方先将密钥值填入图中digest域,作为报文的前缀。然后根据验证算法,对报文中digest域以后(包括digest域)的报文数据进行计算,计算出一个摘要值(digest),再用摘要值取代密钥,填入
报文中的digest域。接收方收到报文后,先将报文中的摘要值取出来,暂存在一个位置,然后用发送方的密钥放入报文中的digest。将这两个摘要值进行比较,如果一样,就证明发送方确实是srcParty域中所指明的那个Party,报文是合法的;如果不一样,接收方断定发送方非法。验证机制可以防止非法用户"冒充"某个合法Party来进行破坏。
authInfo域中还包含两个时间戳(timestamp),用于发送方与接收方之间的同步,以防止报文被截获和重发。
SNMPv2的另一大改进是可以对通信报文进行加密,以防止监听者窃取报文内容。除了privDst域外,报文的其余部分可以被加密。发送方与接收方采用同样的加密算法(如DES)。
通信报文可以不加任何安全保护,或只进行验证,也可以二者都进行。
OSI上的SNMP
在CLTS上的映射
在CLTS[7,8]上的SNMP映射是直通方式的。步骤原理和UDP采用的相同。注意CLTS和服务都是通过包含了全部地址信息的UDP信息传输包来提供的。因此,[1]中的“传输地址”,映射在CLTS上的SNMP仅仅是一个传输选项和网络地址。
应该注意到,正如[1,5]中描述的那样,映射在面向非连接的传输服务上的SNMP和 SNMP的结构原理是完全一致的。然而,CLTS本身既可以采用一个面向无连接方式,又可以采用面向连接的网络服务方式实现。在这种映射中描述的映射支持任意实现方式。(当提供所有网络服务时,应该以CLNS为实现基础。)
周知地址
不象Internet协议组,OSI没有使用周知口。当然,多路分解技术基于“选择器”发生,“选择器”是具有局部重要意义的不透明八位字串。为了照顾基于CLTS的可互操作的SNMP实现,定义四个选择器是必要的。当CLTS采用无连接模式的网络服务来提供反向SNMP传输时,应该采用由6个ASCII字符组成的“snmp-l”传输选择器;按照约定,会发送一个SNMP 中断给一个正在监听由7个ASCII字符组成的“snmp-l”传输选择器的SNMP管理器。当CLTS采用面向连接的网络服务来提供反向SNMP传输时,应该采用由6个ASCII字符组成“snmp-o”传输选择器;按照约定,会发送一个SNMP中断给一个正在监听由7个ASCII字符组成的“snmp-o”传输选择器的SNMP管理器。
中断
当SNMP中断在CLTS上发送时,Trap-PDU中的代理地址字段包含了IP 地址“0.0.0.0”。SNMP管理器可以基于由传输服务提供的信息(也就是源自T-UNIT-DATA.INDICATION基本数据单元的)探知陷阱的来源。
最大消息尺寸
一个在OSI上运行SNMP的实体应该准备好接收大小至少484个字节的消息。鼓励应用随时可能发生的更大的数值。
在网络设备中的作用
SNMP是目前最常用的环境管理协议。SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。SNMP是一系列协议组和规范(见下表),它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。
目前,几乎所有的网络设备生产厂家都实现了对SNMP的支持。领导潮流的SNMP是一个从网络上的设备收集管理信息的公用通信协议。设备的管
理者收集这些信息并记录在管理信息库(MIB)中。这些信息报告设备的特性、数据吞吐量、通信超载和错误等。MIB有公共的格式,所以来自多个厂商的SNMP管理工具可以收集MIB信息,在管理控制台上呈现给系统管理员。
通过将SNMP嵌入数据通信设备,如路由器、交换机或集线器中,就可以从一个中心站管理这些设备,并以图形方式查看信息。目前可获取的很多管理应用程序通常可在大多数当前使用的操作系统下运行,如
Windows95、Windows98、WindowsNT和不同版本UNIX的等。
一个被管理的设备有一个管理代理,它负责向管理站请求信息和动作,代理还可以借助于陷阱为管理站主动提供信息,因此,一些关键的网络设备(如集线器、路由器、交换机等)提供这一管理代理,又称SNMP代理,以便通过SNMP管理站进行管理。
华北电力大学 实验报告 实验名称基于SNMP的网络管理软件的配置与使用课程名称网络管理 专业班级:学生姓名: 学号:成绩: 指导教师:实验日期:
(一)基于SNMP的网络管理软件的配置与使用 一、实验目的 1.熟悉路由器和交换机并掌握路由器和交换机的基本配置方法和配置命令。 2.练习构建一个由四个路由器和四台主机构成的网络。 3.操作SiteView NNM管理系统,掌握如何添加网元,构建管理系统,并每 一个可被管理的设备进行操作。 4.掌握网络管理软件的使用方法,实现对网络的拓扑发现实时监控,告警设置: 1).应用Siteview软件进行拓扑发现。通过自动和手动两种方式实现。 2).基于SNMP的实时监控。对设备,链路,端口等进行相应的监控。 3).进行告警设置(告警方式)。通过对不同设备,条件等进行告警设置。 二、实验环境 计算机4台、路由器4台、交换机4台、SiteView NNM网络管理软件系统。 三、实验原理 网络设备只有配置了SNMP协议以后,才能够通过SNMP进行监控和管理,因 此,使用网络管理软件之前,需要对所有设备进行配置。主要包括: 1)主机SNMP配置; 2)路由器SNMP配置; 3)交换机SNMP配置。 四、实验步骤: 1、局域网的实现与配置: 网络拓扑图:
路由配置: 1)IP分配: 四台PC的本地连接2的IP分别为: PC1:222.1.3.5 PC2:222.1.2.5 PC3:222.1.1.5 PC4:222.1.4.5 本地连接1 IP: PC51:192.168.1.21 PC52:192.168.1.22 PC53:192.168.1.23 PC54:192.168.1.24 2)地址分配: 路由器R1 S2端地址:222.1.6.1 路由器R1 S3端地址:222.1.7.1 路由器R1与路由器R2间的地址:222.1.6.0 路由器R1与两层交换机1间接口G1 地址:222.1.3.1 路由器R2 S2端地址:222.1.6.2 路由器R2 S3端地址:222.1.5.1 路由器R2与路由器R3间的地址:222.1.5.0 路由器R2与两层交换机2间的地址:222.1.2.1 路由器R3 S2端地址:222.1.5.2 路由器R3 S3端地址:222.1.8.1 路由器R3与路由器R4间的地址:222.1.8.0 路由器R3与两层交换机2间的地址:222.1.1.1 路由器R4 S2端地址:222.1.8.2 路由器R4 S3端地址:222.1.7.2 路由器R4与路由器R1间的地址:222.1.7.0 路由器R4与交换机间的地址:222.1.4.1 PC1地址:222.1.3.5 网关:222.1.3.2 PC2地址:222.1.2.5 网关:222.1.2.2 PC3地址:222.1.1.5 网关:222.1.1.2 PC4地址:222.1.4.5 网关:222.1.4.2
一.SNMP工作过程 ①被管设备上的AGENT从UDP端口161接收来自网管站的串行报文; ②经过解码、团体名验证、分析得到管理变量在mib树中对应的节点,从相应 的模块中得到变量的值,再形成响应报文,编码发送回网管站; ③网管站得到响应报文后,再经同样的处理,最终显示结果。 二、网络管理 网络管理,是指网络管理员通过网络管理程序对网络的运行状态进行监测和控制,从而是网络有效、可靠、安全、经济运行的技术体系。 网络管理的目标是尽量满足网络管理者和网络用户对计算机网络的有效性、可靠性、开放性、综合性、安全性和经济性的要求。 常规的网络管理的五大功能: 故障管理、配置管理、性能管理、安全管理、计费管理 网络管理发展趋势 1.网管系统(NMS) 2. 应用性能管理(APM) 3.桌面管理系统(DMI) 4.员工行为管理 (EAM) 5.安全管理(SM) 计算机网络的主要性能指标 (1)业务量——业务量强度 (2)时延:一个报文从网络的一个端到另一个段所需要的时间。网络的时延主要包括传输时间、服务时间和等待时间。传输时间是很小的,在性能分析中所说的时延主要指服务时间和等待时间。 (3)呼损(6)信道有效传输率 (4)吞吐量(7)系统效率 (5)信息传输速率(8)平均报文延迟时间 时延主要由两部份构成,一是信息在信道上传输产生的延迟,二是存储转发延迟; 排队论研究的是一种排队现象。 对计算机网络系统性能的分析和研究与对其他系统一样,常常采用模拟方法。 一是数学模拟; 二是物理模拟。 常用的程序设计方法有两种:面向过程的设计方法和面向对象的设计方法。 在现代网络管理模型中,数据库是管理系统的心脏。在OSI标准中这个数据库被称为管理信息库(MIB)。 网络MIB中的数据可大体分为三类: 感测数据:测量到的网络状态 结构数据:网络的物理和逻辑构成 控制数据:网络的操作设置 数据库按其采用的数据模型分为层次数据库、网状数据库和关系数据库三种。 1.集中式数据库 特点:系统中的各用户在其终端上共用中心计算机的集中数据库。 优点:数据共享的高效性、数据的一致性和完整性能够得到保证,但数据的安全性比分布式数据库差。 分布式数据库有三种结构:层次型、联邦型和全程型。 第三章 一个网络管理系统从逻辑上包括管理对象、管理进程、管理信息库和管理协议四部分。 有图
SNMP(Simple Network Management Protocol,简单网络管理协议) 通信线路进行管理。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台,现在SNMP已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。说白了就是一网管系统。网络管理功能一般分为性能管理,配置管理,安全管理,计费管理和故障管理等五大管理功能。 Windows NT是纯32位操作系统,采用先进的NT核心技术。Windows NT Workstation的设计目标是工作站操作系统,适用于交互式桌面环境;Windows NT Server的设计目标是企业级的网络操作系统,提供容易管理、反应迅速的网络环境。两者在系统结构上完全一样,只是为适应不同应用环境在运行效率上做相应调整。 另一个可以采用的保护措施是在网络边界上过滤SNMP通信和请求,即在防火墙或边界路由器上,阻塞SNMP请求使用的端口。标准的SNMP服务使用161和162端口,厂商私有的实现一般使用199、391、705和1993端口。禁用这些端口通信后,外部网络访问内部网络的能力就受到了限制;另外,在内部网络的路由器上,应该编写一个ACL,只允许某个特定的可信任的SNMP管理系统操作SNMP 1.按应用层次划分为入门级服务器、工作组级服务器、部门级服务器和企业级服务器四类。 (1)入门级服务器 (2)工作组级服务器 (3)部门级服务器 (4)企业级服务器 2.按服务器的处理器架构(也就是服务器CPU所采用的指令系统)划分把服务器分为CISC(复杂指令集)架构服务器、RISC架(精简指令集)构服务器和VLIW架构服务器三种。 (1)CISC架构服务器 (2)RISC架构服务器 (3)VLIW架构服务器 3.按服务器按用途划分为通用型服务器和专用型服务器两类。 (1)通用型服务器 (2)专用型服务器 4.按服务器的机箱结构来划分,可以把服务器划分为“台式服务器”、“机架式服务器”、“机柜式服务器”和“刀片式服务器”四类。 (1)台式服务器 (2)机架式服务器 (3)机柜式服务器 (4)刀片式服务器 入门级服务器通常只使用一到两颗CPU,主要是针对基于Windows NT,NetWare等网络操作系统的用户,可以满足办公室型的中小型网络用户的文件共享、打印服务、数据处理、Internet接入及简单数据库应用的需求,也可以在小范围内完成诸如E-mail、Proxy 、DNS等服务。
什么是SNMP协议 简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。许多人认为SNMP在IP上运行的原因是Internet运行的是TCP/IP协议,然而事实并不是这样。 SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。 SNMP是一系列协议组和规范(见下表),它们提供了一种从网络上的设备中收集网络管理信息的方法。S NMP也为设备向网络管理工作站报告问题和错误提供了一种方法。 名字说明 MIB 管理信息库 SMI 管理信息的结构和标识 SNMP 简单网络管理协议 从被管理设备中收集数据有两种方法:一种是只轮询(polling-only)的方法,另一种是基于中断(interrupt -based)的方法。 如果你只使用只轮询的方法,那么网络管理工作站总是在控制之下。而这种方法的缺陷在于信息的实时性,尤其是错误的实时性。你多久轮询一次,并且在轮询时按照什么样的设备顺序呢?如果轮询间隔太小,那么将产生太多不必要的通信量。如果轮询间隔太大,并且在轮询时顺序不对,那么关于一些大的灾难性的事件的通知又会太馒。这就违背了积极主动的网络管理目的。 当有异常事件发生时,基于中断的方法可以立即通知网络管理工作站(在这里假设该设备还没有崩溃,并且在被管理设备和管理工作站之间仍有一条可用的通信途径)。然而,这种方法也不是没有他的缺陷的,首先,产生错误或自陷需要系统资源。如果自陷必须转发大量的信息,那么被管理设备可能不得不消耗更多的时间和系统资源来产生自陷,从而影响了它执行主要的功能(违背了网络管理的原则2)。 而且,如果几个同类型的自陷事件接连发生,那么大量网络带宽可能将被相同的信息所占用(违背了网络管理的原则1)。尤其是如果自陷是关于网络拥挤问题的时候,事情就会变得特别糟糕。克服这一缺陷的一种方法就是对于被管理设备来说,应当设置关于什么时候报告问题的阈值(threshold)。但不幸的是这种方法可能再一次违背了网络管理的原则2,因为设备必须消耗更多的时间和系统资源,来决定一个自陷是否应该被产生。 结果,以上两种方法的结合:面向自陷的轮询方法(trap-directed polling)可能是执行网络管理最为有效的方法了。一般来说,网络管理工作站轮询在被管理设备中的代理来收集数据,并且在控制台上用数字或图形的表示方式来显示这些数据。这就允许网络管理员分析和管理设备以及网络通信量了。 被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况,例如预制定阈值越界程度等等。代理并不需要等到管理工作站为获得这些错误情况而轮询他的时候才会报告。这些错误情况就是众所周知的SNMP自陷(trap)。
竭诚为您提供优质文档/双击可除 snmp协议的分析 篇一:实验三snmp协议分析 实验三snmp协议分析 一、实验目的 (1)掌握嗅探工具ethereal协议分析软件的使用方法(2)利用ethereal软件工具截snmp数据包并完成报文分析 二、实验环境 局域网,windowsserver20xx,snmputil,ethereal,superscan 三、实验步骤(0、snmp的安装配置) 1、理解应用层snmp协议工作原理; 2、使用windows平台上的snmputil.exe程序实现snmp 交互; 3、利用协议分析和抓包工具ethereal抓取分析snmp 协议报文。 四、实验内容 内容一:
1.打开ethereal软件开始抓包, 输入命令: snmputilget[目标主机ip地址]团体 名.1.3.6.1.2.1.1.2.0停止抓包。对snmp包进行过滤。(给出抓包结果截图) 2.找出一对snmp协议请求包和相对应的应答包。给出抓包结果截图。 3.对上面这对请求和应答包进行分析,根据snmp协议数据包格式填值。 请求包报文分析 应答包报文分析 内容二: 1.通过snmptuil.exe与snmp交互: 输入snmputilwalk[目标主机ip地址]团体 名.1.3.6.1.2.1.1命令列出目标主机的系统信息。 2.打开ethereal软件开始抓包,再次输入上面命令后,停止抓包。对snmp包进行过滤。给出抓包结果截图。 3.找出一对snmp协议请求包和相对应的应答包。给出抓包结果截图。 4.对上面这对请求和应答包进行分析,根据snmp协议数据包格式填值。 请求包报文分析
SNMP监测交换机的功能及作用 对于SNMP协议来说,它的应用很广泛。那么今天我们就为大家介绍一下SNMP监测交换机的相关知识。那么这个SNMP监测交换机具体是什么作用呢?用SNMP监测交换机:轻松解决交换机故障问题,在网络时代的今天,大家经常会遇到SNMP监测交换机的故障解决方法,下面将介绍关于SNMP监测交换机的知识,包括如何用SNMP查询交换机等等。 用SNMP查询交换机 对一个交换网络进行故障诊断的最有效办法,应该是通过直接询问交换机来查看网络的状况。这可以通过SNMP监测交换机或者连接到交换机的控制口实现。显然,直接连接到交换机的控制口不是理想的办法,因为这就需要对网络中的每台交换机都有物理上的连接。稍微理想一点的替代方法是搭建连接到交换机控制口的终端服务器。 安恒公司SNMP监测交换机是一个更好的选择,它可以在交换网络带内的任何地方进行查询,不需要附加的硬件。如果您部署了网管系统,还可以配置当利用率、错误、或者其他参数超过门限的时候,交换机主动发出SNMP陷阱。然后利用网管或者监测工具,研究是什么原因造成了门限超出。 事实上几乎所有的交换机都提供SNMP监测交换机功能,哪怕是最便宜的交换机。它们之间主要的区别就是提供的信息多少。一些价格便宜的交换机只提供简单的SNMP监测交换机信息,且是针对整个交换机的;而那些价格贵一些的交换机,还可以提供交换机每个端口的详细信息。 SNMP监测交换机可能是监测交换网络最常用和干扰最少的办法。SNMP监测交换机控制台不需要非常靠近被监测的设备,只要求有路由可达就可以了,同时交换机的安全配置允许控制台与交换机的代理进行通信。 虽然交换机可以识别到错误,但交换机本身并不定时地报告错误,所以使用SNMP监测交换机查询或许是最好的办法。支持SNMP监测交换机有不同的MIB库(管理信息库)。每一种MIB都不同。除了某些对自己的交换机提供支持的私有MIB库,标准的MIB库对交换网络的监测也非常有用。下面是对故障诊断非常有用的一些MIB库。 RFC 1213 ?C MIB II RFC 1643 ?C Ethernet-Like Interface MIB RFC 2819 ?C RMON Ethernet RFC 2021 ?C RMON 2 RFC 2613 ?C SMON 很多RFC生成之后就不断地在更新和增强。因此我们要检查最近更新的RFC。例如RFC1213,至少更新和增强了五次,生成了5个新的RFC(2011,2012,2013,2358和2665)。除了定义利用率和错误的RFC之外,有关桥接的MIB(RFC1493)也是非常有用的。
H3C配置SNMP协议 1.使用telnet登陆设备 System-view Snmp-agent Snmp-agent community read public Snmp-agent sys-infoversion all Dis cur Save 保存 配置完成。。 1.1 概述 SNMP是Simple Network Manger Protocol(简单网络管理协议)的缩写,在1988 年8月就成为一个网络管理标准RFC1157。到目前,因众多厂家对该协议的支持, SNMP已成为事实上的网管标准,适合于在多厂家系统的互连环境中使用。利用SNMP 协议,网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规 划,网络监控和管理是SNMP的基本功能。 SNMP是一个应用层协议,为客户机/服务器模式,包括三个部分: ●SNMP网络管理器 ●SNMP代理 ●MIB管理信息库 SNMP网络管理器,是采用SNMP来对网络进行控制和监控的系统,也称为NMS (Network Management System)。常用的运行在NMS上的网管平台有HP OpenView 、CiscoView、CiscoWorks 2000,锐捷网络针对自己的网络设备,开发了 一套网管软件--Star View。这些常用的网管软件可以方便的对网络设备进行监控和 管理。 SNMP代理(SNMP Agent)是运行在被管理设备上的软件,负责接受、处理并且响 应来自NMS的监控和控制报文,也可以主动发送一些消息报文给NMS。 NMS和Agent的关系可以用如下的图来表示: 图1 网络管理站(NMS)与网管代理(Agent)的关系图
基于SNMP网络管理的研究与应用 基于SNMP网络管理是保障网络运行稳定的重要条件,同时也是有效发挥网络利用率的重要前提。文章介绍了基于SNMP网络管理的基本机构,在此基础上设计了一个网络管理系统。在设计出来的网络管理系统中,对传统的SNMP 网络搜索设备的基础上进行了改进,并找出了唯一标识路由器的方法,最后分析了临界区的相关使用。 标签:SNMP网络管理;体系结构;临界区;接口类型;子网系统 SNMP是Simple Network Management Protocol的简称,即简单网络管理协议,它是由简单网关监控协议(即SGMP)转化而来的,它主要的功能就是管理通信线路。随着技术的不断发展与进步,人们开始逐渐修改SGMP,改进后的SGMP就成了现在的SNMP。SNMP具有结构简单、方便实用等优点。技术飞速发展促进了SNMP的发展,其版本也在不断改进和升级。文章主要根据我国中小型企业在管理网络方面的情况,设计了符合我国企业应用的网络管理软件。 1 SNMP网络管理体系结构 SNMP的设计模型是ISO的网络管理模型,一般由两个部分组成,即管理节点和代理节点。在代理节点上,一般都会有一个管理信息库,这个管理信息库是针对被管理对象而设置的,它主要负责数据的采集与传输,最后将所得的信息递交给网管系统。另外,SNMP的优点之一就是简单性,所以它可以监督网络管理的工作,降低系统资源对系统的占用。SNMP的管理模型可以以图表的形式展现出来,具体如图1: 图1 另外,SNMP对操作进行了限制和说明,主要有以下三种模式:(1)Get操作,SNMP主要通过GET语句获得管理对象的具体值;(2)Set操作,通过SET 语句设置管理对象的具体值;(3)Trap操作,通过TRAP语句设置阈值。 另外,SNMP有一个显著特点,它不能通过对象的实例操作改变管理信息库机构,它只能在对象的标志数中进行操作,这就在很大程度上促使SNMP由简单走向更简单。 2 关于网络管理软件的设计 2.1 相关的体系框架 网络管理软件的体系结构一般由四个层次组成。其一,被管网络设备,顾名思义,这个层次主要由一些被管理的相关设备组成。这些设备包括路由器、核心交换机等;其二,数据采集层,它采集的数据覆盖所有被管设备,完成数据采集
SNMP功能详解 一、什么是SNMP SNMP:“简单网络管理协议”,用于网络管理的协议。SNMP用于网络设备的管理。SNMP的工作方式:管理员需要向设备获取数据,所以SNMP提供了“读”操作;管理员需要向设备执行设置操作,所以SNMP提供了“写”操作;设备需要在重要状况改变的时候,向管理员通报事件的发生,所以SNMP提供了“Trap”操作。 二、SNMP背景 SNMP 的基本思想:为不同种类的设备、不同厂家生产的设备、不同型号的设备,定义为一个统一的接口和协议,使得管理员可以是使用统一的外观面对这些需要管理的网络设备进行管理。通过网络,管理员可以管理位于不同物理空间的设备,从而大大提高网络管理的效率,简化网络管理员的工作。 三、SNMP结构概述 SNMP 被设计为工作在TCP/IP协议族上。SNMP基于TCP/IP协议工作,对网络中支持SNMP协议的设备进行管理。所有支持SNMP协议的设备都提供SNMP 这个统一界面,使得管理员可以使用统一的操作进行管理,而不必理会设备是什么类型、是哪个厂家生产的。如下图,
四、SNMP支持的网管操作 对于网络管理,我们面对的数据是设备的配置、参数、状态等信息,面对的操作是读取和设置;同时,因为网络设备众多,为了能及时得到设备的重要状态,还要求设备能主动地汇报重要状态,这就是报警功能。如下图,
?Get:读取网络设备的状态信息。 ?Set:远程配置设备参数。 ?Trap:管理站及时获取设备的重要信息。 五、SNMP的实现结构 在具体实现上,SNMP为管理员提供了一个网管平台(NMS),又称为管理站,负责网管命令的发出、数据存储、及数据分析。被监管的设备上运行一个SNMP 代理(Agent)),代理实现设备与管理站的SNMP通信。如下图,
SNMP的前身是简单网管监控协议用来对通信线路进行管理对后人们对SGMP进行了很大的修改特别是加入了符合INTERNET定义的SMI和MIB;体系结构改进后的协议就是著名的SNMP。SNMP的目标是管理互联网INTERNET上众多厂商生产的软硬件平台,因此SNMP收到INTERNET标准网络管理框架的应先也很大。现在SNMP已经出到第三个版本的协议,其功能教以前已经大大地加强了和改进了。SNMP的体系结构是围绕一下四个概念和目标进行设计的保持管理代理(AGENT)的软件成本尽可能低;最大限度地保持远程管理功能,以便充分利用INTERNET的网络资源;体系结构必须有扩充的余地;保持SNMP的独立性,不依赖于具体计算、网管和网络传输协议。在最近的改进中,又加入了保证SNMP体系本身系统安全性的目标。 SNMP风险 接入INTERNET的网络面临许多风险,WEB服务器可能面临攻击,邮件服务器的安全也令人担忧。但除此之外,网络上可能还存在一些隐性的漏洞。大多数网络总有一些设备运行着SNMP服务,许多时候这些SNMP服务是不必要的,但却没有引起网络管理员的重视。 根据SANS协会的报告,对于接入INTERNET的主机,SNMP是威胁安全的十大首要因素之一;同时,SNMP还是INTERNET主机上最常见的服务之一。特别的,SNMP 服务通常在位于网络边缘的设备(防火墙保护权之前爱的设备)上运行,进一步加剧了SNMP带来的风险。这一切听起来出人意料但其实事情不应该是这样的。 一、背景知识 SNMP开发与九十年代早期,其目的是简化大型网络中设备的管理和数据的获取。许多与网络有关的软件包,如HP的OPENVIEW和NORTEL NETWORKS的OPTIVITY NETWORK MANAGEMENT SYSTEM,还有MULTI ROUTER TRAFFIC GRAPHER (MRTG)之类的免费软件,都用SNMP服务来简化网络管理和维护。 由于SNMP效果实在太好了,所以网络硬件厂商开始把SNMP加入到它们制造的每一台设备。今天,各种网络设备上都可以看到默认用的SNMP服务,从交换机到路由器,从防火墙到网络打印机,无一例外。 仅仅是分布广泛还不足以造成威胁,问题是许多厂商安装的SNMP都采用了默认的通信字符串(例如密码),这些通信字符串是程序获取设备信息和修改必不可少的。采用默认通信字符串的好处是网络上的软件可以直接访问设备,无需通过复杂的配置。 通信字符串主要包含两类命令:GET命令、SET命令。GET命令从设备读取数据,这些数据通常是操作参数,例如连接状态、接口名称等。SET命令允许设置设备某些参数。这类功能一般有限制,例如关闭某个网络接口、修改路由器参数等功能。但很显然,GET\SET命令都可能被利用与拒绝服务攻击和恶意修改网络参数。 SNMP2.0和SNMP1.0的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦不活了网络通信,就可以利用各种嗅探工具直接获取通信字符串,即是哟过户改变了通信字符串默认值也无济于事。 近几年才出现的SNMP3.0解决了一部分问题,为保护通信字符串,SNMP3.0使用DES算法加密数据通信;另外,SNMP3.0还能够用MD5和SHA技术技术验证节点的标识符,从而防止攻击者冒充管理节点的身份操作网络 虽然SNMP3.0出现已经有一段时间了,但目前还没有广泛应用。如果设备是2、3年前的产品,很可能根本不支持SNMP3.0,甚至有些交心的设备也只有SNMP2.0或SNMP1.0。
简单网络管理协议学习理解 1.SNMP网络管理协议综述 SNMP(Simple Network Management Protocol)是被广泛接受并投入使用的工业标准,它是由SGMP即简单网关监控协议发展以来的。它的目标是保证管理信息在任意两点中传送,便于网络管理员在网络上的任何节点检索信息,进行修改,寻找故障;完成故障诊断,容量规划和报告生成。它采用轮询机制,提供最基本的功能集。最适合小型、快速、低价格的环境使用。它只要求无证实的传输层协议UDP,受到许多产品的广泛支持。 2.1 管理信息 经由SNMP协议传输的所有管理倍息都表现为非聚集的对象类型。这些对象类型被收集到一个或多个管理信息库[MIB]中并且对象类型按照管理信息结构和标识(SMI)定义。简单网络管理协议策l版的sM[于1990年5月定义在一篇题为《基于因特网的了TCP/IP管理信息结构和标识》的RFC中。这一RFC要求所有的管理信息库数据和信息必须根据ISO 8824标准《抽象句法表示法1规范》(ASN.1)编码。按照ASN.1表示所有信息和对象的目的在于方便向OSI的网络管理协议迁移而无需重新定义现已存在的所有对象和MIB。 SMI为每一对象类型定义以下成分: ①名字; ②句法; ②编码说明。 注意:一个对象类型的名字明确地代表一个对象,称为对象标识符。不得分配标识符0给对象类型作为其名字的一部分。为便于阅读,在标准文档中对象标识符旁边包含对这一对象的描述。对象标识符是按照在OSI MIB树中建立的严格分层空间构造的,对象标识符总是一个唯一的从树根开始描述MIB树的整数序列。对象标识符和它的文字描述的组合称为标号。 2.1.1 管理树 SMI明确要求所有被管理的信息和数据都要由管理树来标识。这棵管理树来源于
snmp简单网络管理协议漏洞分析 字体: | 发表于: 2008-4-10 01:23 作者: menyuchun 来源: IXPUB技术博客 简单网络管理协议(SNMP)是一个 可以远程管理计算机和网络设备的协议. 有两种典型的远程监控模式. 他们可以粗略地分为"读"和"写"(或者是PUBLIC和PRIVATE). 如果攻击者能猜出一个PUBLIC团体串值, 那么他就可以从远程设备读取SNMP数据. 这个信息可能包括 系统时间,IP地址,接口,运行着的进程,etc等. 如果攻击者猜出一个PRIVATE团体串值 (写入或"完全控制", 他就有更改远程机器上信息的能力. 这会是一个极大的安全漏洞, 能让攻击者成功地破坏网络,运行的进程,ect. 其实,"完全控制"会给远程攻击者提供在主机上的完全管理权限. 更多信息请参见: ___________________________________________________________________ SNMP Agent responded as expected with community name: public CVE_ID : CAN-1999-0517, CAN-1999-0186, CAN-1999-0254, CAN-1999-0516
BUGTRAQ_ID : 11237, 10576, 177, 2112, 6825, 7081, 7212, 7317, 9681, 986 NESSUS_ID : 10264 Other references : IAVA:2001-B-0001 SNMP服务在UDP 161/162端口监听 用法:snmputil walk IP public [OID] [----------OID-----------------------含义-------] .1.3.6.1.2.1.25.4.2.1.2 获取系统进程 .1.3.6.1.4.1.77.1.2.25.1.1 获取用户列表 .1.3.6.1.4.1.77.1.4.1.0 获取域名 .1.3.6.1.2.1.25.6.3.1.2 获取安装的软件 .1.3.6.1.2.1.1 获取系统信息 -------------------------------------------------------------------- 扫描到的一个报告: . 端口"snmp (161/udp)"发现安全漏洞: Snmp口令: "public" . 端口"snmp (161/udp)"发现安全提示: sysDescr.0 = Draytek V3300 Advanced Router sysUpTime.0 = 3 Days, 1 Hours, 53 Minutes, 10 Seconds
TCP/IP课程设计 课题:SNMP的功能及应用 小组成员:原志祺、张冰雪、栗国齐、 许杰 姓名:原志祺 院系:计算机与通信工程学院 班级:通信工程09-1班 学号:540907040146
题目:SNMP的功能及使用网络管理功能一般分为性能管理、配置管理、安全管理、计费管理、故障管理等五大管理功能。现分工如下: 1、性能管理,配置管理原志祺 2、安全管理张冰雪 3、计费管理栗国齐 4、故障管理许杰 配置管理是网络管理的基本功能。计算机网络由各种物理结构和逻辑结构组成,这些结构中有许多参数、状态等信息需要设置并协调。另外,网络运行在多变的环境中,系统本身也经常要随着用户的增、减或设备的维修而调整配置。网络管理系统必须具有足够的手段支持这些调整的变化,使网络更有效的工作。 性能管理的目的是在使用最少的网络资源和具有最小延迟的前提下,确保网络能提供可靠、连续的通信能力,并使网络资源的使用达到最优化的程度。网络的性能管理有监测和控制两大功能,监测功能实现对网络中的活动进行跟踪,控制功能实施相应调整来提高网络性能。性能管理的具体内容包括:从被管对象中收集与网络性能有关的数据,分析和统计历史数据,建立性能分析的模型,预测网络性能的长期趋势,并根据分析和预测的结果,对网络拓扑结构、某些对象
的配置和参数做出调整,逐步达到最佳运行状态。如果需要做出的调整较大时,还要考虑扩充或重建网络 什么是SNMP?SMNP 是Simple Network Management Protocol 缩写,解释为简单网络管理协议。SNMP 是最早提出的网络管理协议之一,它一推出就得到了广泛的应用和支持,特别是很快得到了数百家厂商的支持,其中包括IBM、HP、SUN 等大公司和厂商。目前SNMP 已成为网络管理领域中事实上的工业标准,并被广泛支持和应用,大多数网络管理系统和平台都是基于SNMP 的。 一、SNMP 概述 SNMP 的前身是简单网关监控协议(SGMP),用来对通信线路进行管理。随后,人们对SGMP 进行了很大的修改,特别是加入了符合Internet 定义的SMI 和MIB 体系结构,改进后的协议就是著名的SNMP。SNMP 的目标是管理互联网Internet 上众多厂家生产的软硬件平台,因此SNMP 受Internet 标准网络管理框架的影响也很大。现在SNMP 已经出到第三个版本的协议,其功能较以前已经大大地加强和改进了。SNMP 的体系结构是围绕着以下四个概念和目标进行设计的: (1)保持管理代理(Agent)的软件成本尽可能低; (2)最大限度地保持远程管理的功能,以便充分利用Internet 的网络资源; (3)体系结构必须有扩充的余地;
SNMP服务器搭建 1服务器端配置 本111服务器搭建基于Windows Server 2008 R2操作系统。 1.1角色添加 打开服务器的“服务器管理器”,在“功能”选项里面点击“添加功能”,如图1 所示。在弹出的“添加功能向导”对话框里面选择SNMP服务,单击下一步。后续操作按照默认选项即可安装成功,为服务器添加了SNMP服务功能。 图1 1.2服务器端SNMP服务设置 添加好SNMP服务功能后需要对服务器的SNMP服务进行一些配置才能正常使用,配置SNMP服务参数是通过对“服务器管理器” →“配置” →“服务”选项里面的SNMP Service服务进行设置来完成的。如图2。
图2 服务器的SNMP Service属性设置见图2所示。需要添加接受的社区名称与权限,并勾选“接受来自任何主机的SNMP数据包”,如果只想让某一个客户端登录也可以手动指定接收到主机列表。编辑完此项后服务器端配置完成。 2客户机配置 客户端需要安装相应的SNMP软件才能连接SNMP服务器,下面演示在Windows 7中使用Mib Browser软件来完成SNMP配置。 在SNMP协议属性设置中必须指定读写团体字(Read/Set community)设置,如图3。其中,public与private为Mib Browser软件的默认设置,要求服务器端必须有这两个用户,如果服务器端是其他用户名,则需要手动修改此参数。
图3 Windows Server 2008 R2使用10.205.60.150 IP地址,客户端连接后对其进行Walk操作即可验证SNMP环境是否搭建成功,图4演示了Walk的结果,从获取的服务器主机名可以看出,客户端已经成功获取了服务器的名称。 图4
SNMP 1概述 (1) 2SNMP的工作原理 (1) 2.1网络管理模型 (1) 2.2网络管理协议结构 (2) 2.3网络管理服务 (3) 2.4委托代理 (4) 3管理信息结构SMI (4) 3.1ASN.1 (4) 3.2文本约定 (5) 3.3对象定义 (6) 3.4T RAP定义 (6) 3.5对象标志符 (7) 3.6表对象的定义 (8) 3.7对象和对象实例的区别 (10) 3.8OID的字典序 (10) 4协议数据单元(PDU--PROTOCOL DATA UNIT) (10) 4.1SNMP报文格式 (10) 4.2SNMP报文类型 (11) 4.3SNMP V2基本的PDU格式 (12) 4.4SNMP消息的生成 (13) 4.5SNMP消息的接受和处理 (13) 5SNMP协议操作 (15) 5.1G ET R EQUES T (15) 5.1.1GetRequest—PDU报文格式 (15) 5.1.2SNMPv2对GetRequest-PDU的处理(参考RFC1905) (15) 5.1.3SNMPv1对GetRequest-PDU的处理(参考RFC1157) (16) 5.2G ET N EXT R EQUEST—PDU (16) 5.2.1GetNextRequest报文格式 (17) 5.2.2SNMPv2对GeNextRequest-PDU的处理(参考RFC1905) (17)
5.2.3SNMPv1对GeNextRequest-PDU的处理(参考RFC1157) (18) 5.3R ESPONSE-PDU (18) 5.3.1Response报文格式 (18) 5.3.2SNMPv2对Response-PDU的处理(参考RFC1905) (20) 5.3.3SNMPv1对响应报文GetResponse的处理(参考RFC1157) (20) 5.4S ET R EQUES T-PDU (20) 5.4.1SetRequest报文格式 (20) 5.4.2SNMPv2实体对SetRequest报文的处理(参考RFC1905) (21) 5.4.3SNMPv1对SetRequest报文的处理(参考RFC1157) (22) 5.5G ET B ULK R EQUES T-PDU (23) 5.5.1GetBulkRequest-PDU报文格式 (23) 5.5.2SNMPv2对GetBulkRequest-PDU报文的处理(参考RFC1905) (24) 5.6I NFORM R EQUES T-PDU (25) 5.6.1InformRequest-PDU的格式 (25) 5.6.2SNMPv2对InformRequest-PDU的处理(参考RFC1905) (26) 5.7T RAP-PDU (26) 5.7.1SNMPv1的Trap (26) 5.7.2SNMPv2的SNMPv2-Trap-PDU (28) 6SNMP的安全控制 (29) 6.1SNMP V2-基于共同体的管理框架 (29) 6.2SNMP V3的安全策略 (30)
SNMP MIB 功能开发详细步骤 一、定义MIB库文件: 可使用adventnet 工具包下的mibedit工具来定义私有MIB库文件。 二、在linux环境下安装net-snmp 。安装过程如下: 1、解压源码包: tar –zxvf net-snmp-5.6.1.1.tar.gz 2、进入解压后的文件目录: cd net-snmp-5.6.1.1 3、执行文件目录下的configure可执行文件,如果想指定程序包的安装路径,那 么您首先建立相应的文件夹来存放安装信息,您可以写成./configure – prefix=/您指定的路径名。参数—prefix用来告诉系统安装信息存放的路径, 如果您没有指定路径,直接执行./configure,那么程序包都会安装在系统默 认的目录下,通常为:/usr/local下。例如: ./configure --prefix=/usr/local/snmp //配置指定安装目录,安装过程会 询问您以下的信息: 注意:以下问题似乎不怎么重要,那好像仅仅是官方想了解使用本软件方的信 息,可以直接回车而不用回答,系统会采用默认信息,其中日志文件默认安装 在/var/log/snmpd.log.数据存贮目录默认存放在/var/net-snmp下。 default version of-snmp-version(3): 3(在这里版本通常有三种形式: 1,2c,3) Systemcontact information(配置该设备的联系信息): heaven(也可以是 邮箱地址) System location (该系统设备的地理位置):BEIJING P.R China Location to write logfile (日志文件位置): /var/log/snmpd.log Location to Write persistent(数据存储目录): /var/net-snmp 4、#make 编译源码包文件,通常只需要执行make命令,系统会根据Makefile层层进行 编译,第一次编译需要的时间比较长. 如果make 成功的话,那么紧接着安装 程序了,这一步一般不会出现错误. #make install 5、完成以上步骤后net-snmp的开发环境就搭建好了。如果不在PC上使用SNMP 服务的话是不需要再进一步配置的。 三、生成MIB 源文件(C格式): 1、首先需要介绍一下MIB库和C源文件的转换工具命令: Net-snmp安装包提供了mib2c工具,用户可使用该工具将MIB库文件转换 成C源码格式。命令:MIBS=”+param1” mib2c param2 其中param1 代表需要被转换的MIB库文件,param2代表希望转换该MIB库文件下的哪 一个节点相关数据。下面以AERODEV-MIB.txt中的portTrunk功能节点为 例来介绍整个转换过程。
SNMP协议全称为简单网络管理协议(Simple Network Management Protocol),该协议能够被广泛使用,不受协议的限制,如IP、IPX 、AppleTalk、OSI及其它传输协议均能使用。互联网络开始规模很小,网络结构简单,因此谈不上网络监控和管理问题。仅使用ICMP 的Ping 程序就能解决问题。但随着互联网络规模不断扩大,使用Ping 已无法掌握网络运行情况。此时,SNMP协议就产生了,它可通过提供有限的信息类型、简单的请求/响应机制来实现对被管理对象的操作。同时可将管理信息模型和被管理对象分成两个模块,两个模块间通过信令交互协同工作。目前SNMP协议已在TCP/IP 网络中广泛使用,并已成为网络管理领域事实标准。下面简单介绍下SNMP协议的基本概念、管理模型及版本号: 一SNMP协议基本概念 1 NMS NMS(Network Management System),是运行在网管端工作站上的网络管理软件。网络管理员通过操作NMS,向被管理设备发出请求,从而监控和配置网络设备。 2 Agent 运行在被管理设备上的代理进程。被管理设备在接收到网管设备侧NMS 发出的请求后,由Agent 作出响应操作。主要功能包括:收集设备状态信息、实现NMS 对设备的远程操作、向网管端发出告警消息。 3 MIB MIB 是一个虚拟的数据库,是在被管理设备端维护的设备状态信息集。Agent 通过查找MIB 来收集设备状态信息。MIB 按照层次式树形结构组织被管理对象,使用ASN.1格式进行描述。 4 ASN.1 抽象语法表示,使用独立于物理传输的方法定义协议标准中的数据类型。ASN.1 描述传输过程的中的语法,但不涉及具体数据含义的表示。 5 BER 基本编码规则,按照ASN.1 的语法结构,描述了在传送过程中数据内容是如何表示的。 6 SMI SMI(Structor of Management Information)为命名和定义管理对象指定了一套规则。所有管理对象都是按一种层次式树形结构排列。一个对象在这个树形结构中的位置,标识了如何访问这个对象。 7 Trap 告警信息。设备中的模块在达到告警的条件后触发告警,之后将告警消息通过SNMP发往网管端。 8 实体 可以被管理的软件或硬件。
SNMP协议详解 简单网络管理协议(SNMP:Simple Network Management Protocol)是由互联网工程任务组(IETF:Internet Engineering T ask Force )定义的一套网络管理协议。该协议基于简单网关监视协议(SGMP:Simple Gateway Monitor Protocol)。利用SNMP,一个管理工作站可以远程管理所有支持这种协议的网络设备,包括监视网络状态、修改网络设备配置、接收网络事件警告等。虽然SNMP开始是面向基于IP的网络管理,但作为一个工业标准也被成功用于电话网络管理。 1. SNMP基本原理 SNMP采用了Client/Server模型的特殊形式:代理/管理站模型。对网络的管理与维护是通过管理工作站与SNMP 代理间的交互工作完成的。每个SNMP从代理负责回答SNMP管理工作站(主代理)关于MIB定义信息的各种查询。下图10是NMS公司网络产品中SNMP协议的实现模型。 SNMP代理和管理站通过SNMP协议中的标准消息进行通信,每个消息都是一个单独的数据报。SNMP使用UDP (用户数据报协议)作为第四层协议(传输协议),进行无连接操作。SNMP消息报文包含两个部分:SNMP报头和协议数据单元PDU。数据报结构如下图 版本识别符(version identifier):确保SNMP代理使用相同的协议,每个SNMP代理都直接抛弃与自己协议版本不同的数据报。 团体名(Community Name):用于SNMP从代理对SNMP管理站进行认证;如果网络配置成要求验证时,SNMP 从代理将对团体名和管理站的IP地址进行认证,如果失败,SNMP从代理将向管理站发送一个认证失败的Trap消息协议数据单元(PDU):其中PDU指明了SNMP的消息类型及其相关参数。 2. 管理信息库MIB IETF规定的管理信息库MIB(由中定义了可访问的网络设备及其属性,由对象识别符(OID:Object Identifier)唯一指定。MIB是一个树形结构,SNMP协议消息通过遍历MIB树形目录中的节点来访问网络中的设备。 下图给出了NMS系统中SNMP可访问网络设备的对象识别树(OID:Object Identifier)结构。