协议原理ISSUE101229A.ppt

2023/7/11,DP500028 SNMP协议原理,ISSUE 1.0,Page 2,学习此课程，您将会：了解网络管理的基本架构了解MIB的基础知识掌握SNMP的基本原理掌握SNMP的基本配置,目 标,Page 3,第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾,内容介绍,Page 4,网络管理所面临的挑战,网络和分布式处理系统的快速发展与大规模的应用网络及其相关资源和分布式应用程序变得越来越重要例如：Clearcase,Notes,Mail 健壮的，能提供7X24小时的服务网络变得越来越复杂，支持更多的应用程序和用户更容易出现问题，发生故障网络管理已成为网络解决方案中重要的一部分花费最少：人力，设备，资金提供更智能的网络管理服务,Page 5,网络管理的现状,在一个大型的网络里，我们无法仅依赖人手工来完成整个的网络管理的工作迫切的需要一种自动化的工具协助我们管理好网络需要管理的设备和资源很可能来自于不同的厂商如果每个厂商都提供一套独立的管理接口比如，命令行（Command Line Interface）学习各种厂商工具的培训费用开销激增受限于厂商专有的配置管理工具一套覆盖服务，协议和管理信息库的标准孕育而生，并且迅速得到了广泛的应用Simple Network Management Protocol,Page 6,基于SNMP网络管理模型,Page 7,网络管理站(Network Management Station）,通常是一个独立的设备，运行着网络管理的应用程序提供一个非常友好的人机交互界面，网络管理员能通过它完成绝大数的网络管理工作提供失效管理，安全管理，计费管理，配置管理，性能管理等功能,Page 8,代理器（Agent）,Agent是驻留在被管理设备一端负责接受、处理来自网管站的请求报文，并形成响应报文，返回给NMS请求包括：信息的查询和动作的执行在一些紧急情况下，主动通知NMS（发送陷阱TRAP报文）如接口状态发生改变，呼叫成功等NMS和Agent之间通过SNMP协议来交互管理信息,Page 9,网络管理协议-SNMP,是一个基于TCP/IP网络的应用层协议，用于在网络管理站和被管理的设备之间交换网络管理信息SNMPv2可以在多种传输协议IPX，DDP等上使用Huawei-3com VRP平台支持以下三个协议版本：SNMPv1SNMPv2cSNMPv3后面部分会对协议进行具体讲解,Page 10,管理信息库（Management Information Base）,任何一个被管理的资源都表示成一个对象，称为被管理的对象MIB就是一个被管理的对象的集合Agent都会维护一个MIB库可以对MIB库中的对象进行读取或设置,Page 11,第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾,内容介绍,Page 12,管理信息库（Management Information Base）,MIB是一个被管理对象的集合，它将定义被管理对象的一系列的属性：对象的名字（Object IDentifier）对象的访问权限对象的数据类型管理信息结构（Structure of Management Information）中规定了被管理对象应该如何的组织和定义SMIv2(RFC2578)SMIv1(RFC 1155),Page 13,MIB结构,MIB是以树状结构进行存储的树的节点表示管理对象，它可以用从根开始的一条路径来无二义的识别：OID,Page 14,OID,唯一的标识一个MIB库中的对象OID分配机制，保证OID不会冲突OID是由一些系列的整数组成，标明节点在MIB树中的位置MIB一旦发布，OID就要和被定义的对象进行绑定MIB节点不能被删除，只能将它的状态置为“obsolete”不赞成对MIB节点的反复变更,Page 15,MIB 举例,Page 16,MIB 举例,Address:Object ID=1.1Object Instance=1.1.0Value of Instance=130.89.16.2Name:Object ID=1.2.1Object Instance=1.2.1.0Value of Instance=printer-1,Page 17,SMIv1&v2支持的数据类型,Page 18,第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾,内容介绍,Page 19,SNMPv1,Version=SNMPv1Community Name=“Public”SNMP Operation=Get，Getnext，Setversion=SNMPv1Community Name=“Public”SNMP Operation=GetResponse,Trap,Page 20,团体名(Community Name),团体是由Agent和若干个网络管理站应用程序组成每个团体通过团体名即一个字符串来区别团体名实际上是一个相关权限的密码可以访问哪些节点访问的类型（读/设置）SNMPv1使用团体名来进行安全机制管理,Page 21,SNMP协议综述,manager agent manager agent manager agent manager agent,get,MIB,response,getnext,MIB,response,set,MIB,response,MIB,trap,Page 22,SNMPv1消息格式,Page 23,SNMPv1-Get操作,获取1个或多个变量的值可能出现的错误码：noSuchName:被请求的变量不存在或者它不是一个叶子节点tooBig：请求的GetResponse PDU的大小超出本地的限制GenErr：所有其他的错误,Page 24,SNMPv1-Set操作,给一个已经存在的变量赋值或者在表中创建一个新的实例可能出现的错误码：noSuchName tooBiggenErrbadValue,Page 25,SNMPv1-GetNext操作,获取下一个MIB节点的实例名和取值可能出现的错误码：noSuchName tooBiggenErr,Page 26,SNMPv1-GetNext操作,注意：getNext要按字典序进行排列,Page 27,SNMPv1-Trap,向指定的管理站报告某个事件的发生Trap接受是无需确认的不是完全可靠的,Page 28,SNMPv1演示,基本的SNMP配置 snmp-agent community read public snmp-agent community write private snmp-agent sys-info version v1System，ifTable表进行get,getNext,set操作linkUp和linkDown报文 snmp-agent trap enable standard snmp-agent target-host trap address udp-domain 1.1.1.1 params security public,Page 29,第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾,内容介绍,Page 30,SNMPv2c,在继承了SNMPv1的基础上，增加了：SNMPv2c支持更多的操作getBulkinformRequest(确认的Trap)SNMPv2c支持更多的数据类型Counter64,Counter32等V1 不能获取Counter64类型的节点值SNMPv2c提供了更丰富的错误处理多种协议的传输支持SNMPv2c也是基于团体名的安全机制,Page 31,getBulk 操作,是getNext的延伸，一个getBulk操作等价于多次执行getNext操作能一次获取大量的值，有效地减少网络管理站和被管理设备的通信次数，提高网络性能getBulk请求报文中增加了2个参数non-repeatersmax-repetitions,Page 32,getBulk 操作,对于变量绑定对中前non-repeaters个变量当作普通的getNext报文来处理而对于其余的变量当作重复max-repetitions次的gextNext报文处理例如，getBulk请求报文中：non-repeators=N max-repeatitions=M 响应报文中最大的变量绑定个数=N+(M*R)其中R等于getBulk请求报文变更绑定个数减去N,Page 33,getBulk 举例,getBulk(non-repeator=1;max-repetitions=2;1.1;1.3.1.2;1.3.1.3)response(1.1.0=130.89.16.2;1.3.1.3=3;1.3.1.5=2；1.3.1.5=2;1.3.1.7=2),Page 34,SNMPv2c提供更丰富的错误码,用于说明报文错误原因,指名变量绑定对中第几个参数出错,Page 35,SNMPv2c提供更丰富的错误码,Page 36,第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾,内容介绍,Page 37,为什么会提出SNMPv3？,1998年提出,2002年形成了一套正式的标准是为了改进SNMPv1/v2c在安全性方面的缺陷基于团体名(community name)的有限的安全机制团体名是明文传输，入侵者很容易通过抓包工具来获取报文不支持加密限制了SNMP在非完全信任的网络中的使用SNMPv3在继承了SNMPv2c的基础上，提供认证加密访问控制,Page 38,SNMPv3 基于用户的安全模型(User-Based Security Model),基于用户的安全模型(User-Based Security Model)提供了认证(Authentication)和加密(Privacy)的功能定义了3个安全级别：无认证无加密(noAuthNoPriv）有认证无加密(authNoPriv)有认证有加密(authPriv)注意：不存在无认证有加密(noauthPriv),因为加密所使用的密码必须与用户相关联,Page 39,SNMPv3 基于用户的安全模型 认证,认证机制确保管理站和Agent之间的通信是可信的Agent收到的请求报文是报文中所声明的管理站发送的管理站接收到响应报文是它所希望的目标Agent所响应的保证消息的完整性，在传输过程中没有被篡改通过时间窗的机制，防止重放认证协议：HMAC-MD5或者HMAC-SHA,Page 40,SNMPv3 基于用户的安全模型 认证,基本原理双方共享一个私有密钥，发送方使用此密钥来创建一个Message Authentication Code（MAC）接收方使用认证密钥来计算出此MAC，如果与发送方的MAC互相匹配，该消息就通过了认证,Page 41,SNMPv3 基于用户的安全模型 加密,加密范围：消息报文中PDU部分加密协议：CBC-DES,Page 42,SNMPv3 安全访问控制(View-Based Access Control Model),安全访问控制可以使Agent对不同的管理者提供不同的管理信息库访问权限限制访问MIB库信息的访问视图限制访问MIB库信息的操作类型,Page 43,SNMPv3 安全访问控制(View-Based Access Control Model),Page 44,SNMPv3 配置举例,scarlet 是v3的一个用户，她的安全级别为authPriv，她属于huawei-3com组，她有权限对MIB-2中的非atTable内的节点进行读或写,Page 45,第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾,内容介绍,Page 46,MIBBrowser（编译MIB）,菜单：,1.选择mib文件(可一次选择多个mib文件)2.编译mib文件(可一次编译多个mib文件)3.查看编译信息,确保编译ok4.弹出编译后的模块保存框5.Mib文件所在目录无汉字无空格6.模块间依赖关系,编译信息：,Page 47,MIBBrowser（MIB装载）,菜单,装载操作,Page 48,MIBBrowser（参数配置）,菜单,配置窗口（不能修改Agent Address）：,修改Agent Address:,Page 49,MIBBrowser（参数配置V1/V2）,1、协议：SNMPV12、Port Number：SNMP的端口号，默认1613、Read Community：只读团体字默认public4、Write Community：读写团体字默认private5、Timeout：超时时间，默认5s6、Retries：重试次数，默认47.GetBulk参数：a.Non Repeaters：不重复的索引，默认0b.Max Repetitions：最大重复次数，默认10,Page 50,MIBBrowser（参数配置V3）,1、配置用户：,用户属性：User Name：用户名称Auth Protocol：验证协议（md5，sha）Priv Protocol：加密协议（des，idea）Auth Pass：验证密码Priv Pass：加密密码,Page 51,MIBBrowser（MIB操作）,MIB Browse操作：1、Contact：检测一下是否可以和代理联系上，取代理sysoid的值。2、Walk：对选中节点下的子树进行遍历操作3、Get：使用选中MIB节点的OID向代理发送Get操作。对父节点无效4、GetNext：使用选中MIB节点的OID向代理发送GetNext操作5、Get Bulk：使用选中MIB节点的OID向代理发送GetNext操作6、Set：发送Set操作。对父节点无效7、Table View：查看表信息，针对表节点和表的父节点有效8、Find：在MIB树中查找一节点9、Properties：查看MIB节点属性,Page 52,Quidview DM(参数配置),SNMPv1/v2配置,SNMPv3配置,Page 53,Quidview DM(打开设备),菜单,1.输入设备IP2.选择SNMP配置3.双击设备树中的所选设备4.颜色变绿为ok，否则Fail,Page 54,Quidview DM(操作),选择要操作的对象,对对象进行snmp操作,1.注意Quidview与mib browse的区别2.在Quidview中浏览、刷新等查看操作将涉及到get/getnext操作;配置和修改涉及到set操作;trap操作在DM中体现不出来3.DM中不能接收Trap报文，只有在NMF中才能接收到。,Page 55,Quidview DM(操作验证),请求报文,应答报文,1.使用抓包工具验证snmp基本操作：get/getnext/set/trap2.get/getnext/set请求报文中,源端口任意,目的端口161,应答报文中,源端口161,目的端口任意3.Trap报文,源端口任意,目的端口162.,抓包工具NetWizard,Page 56,第1章网络管理体系架构第2章MIB简介第3章SNMPv1第4章SNMPv2c第5章SNMPv3第6章SNMP基本操作第7章总结与回顾,内容介绍,Page 57,SNMPv1，v2&v3 总结,Page 58,简单网络管理协议(Simple Network Management Protocol),简单（simple）开销很小，设备厂商可以很容易地将SNMP Agent植入他们的产品中，路由器，交换机，打印机，PC机等大部分的工作放到网络管理应用程序来处理灵活的可扩充性厂商可以很轻松地添加一些网络管理功能广泛地应用SNMP已成为一项成熟的技术得到了广泛的实施和应用,Page 59,SNMP与命令行比较,SNMP提供了一个统一的编程接口，可以容易地进行二次开发，而命令行只是人机交互界面SNMP的开发测试维护成本要远高于命令行复杂的SNMP SET的状态机（state machine）字典序的额外开销,