《安全网管技术》PPT课件.ppt

1,安全网管技术,张焕杰中国科学技术大学网络信息中心http:/202.38.64.40/james/nmsTel:3601897(O),2,第3章 网络管理系统及SNMP协议(2),本章主要内容网络管理概述TCP/IP网络管理体系结构SNMP网络管理协议管理信息库(MIB),3,网络管理概述,SNMP已经成为网络管理事实上的工业标准网络管理系统的功能特点网络拓扑结构管理智能监控灵活性多厂商集成存取控制用户友好编程接口报告生成,4,网络管理的意义,网络管理系统能给网络管理员提供良好的信息来源，减少网络故障，缩短网络失效时间，最大程度发挥网络的作用。,5,网络管理功能模型,网络管理的五大功能：故障管理计费管理配置管理性能管理安全管理实际一个网络管理系统仅仅实现部分功能,6,信息模型,实现被管虚拟资源、软件及物理设备的逻辑表示。多采用面向对象的方法定义网络管理信息。SNMP中，网络管理信息是面向属性的，更注重简单性和可扩展性。采用ISO的抽象语法表示语言(ASN.1)表示。,7,组织模型,包括管理者、代理者的概念，管理实体间的通信方法。,8,网络管理系统,管理者,典型网络管理体系结构组织模型,被管设备,9,10,11,SNMP支持的操作,SNMP定义了5种PDUGetRequest-PDU（NMS发送）GetNextRequest-PDU（NMS发送）GetResponse-PDU（被管代理发送）SetRequest-PDU（NMS发送）Trap-PDU（被管代理发送）,12,对象语法,定义对象的结构ASN.1定义了四种基本对象语法类型：INTEGER 整数（ASN.1不限制，但是MIB定义为0-4G)OCTET STRING 字符串OBJECT IDENTIFIER 对象标示符NULL,13,对象语法（2）,支持应用语法类型（Application-wide syntax type）定义IPADDRESS 长度为4的OCTET STRINGCOUNTER 计数器，非负INTEGERGAUGE 累加器，非负INTEGERTIMETICKS 厘秒计时器，非负INTEGER,14,对象语法（3）,构造语法类型 SEQUENCE(序列)SEQUENCE,为4种基本类型类似于高级语言中的结构SEQUENCE OF（同类序列）SEQUENCE OF 类似于高级语言中的数组,15,atTable OBJECT-TYPE SYNTAX SEQUENCE OF AtEntry ACCESS not-accessible:=at 1 atEntry OBJECT-TYPE SYNTAX AtEntry ACCESS not-accessible INDEX atIfIndex,atNetAddress:=atTable 1 AtEntry:=SEQUENCE atIfIndex INTEGER,atPhysAddress PhysAddress,atNetAddress NetworkAddress,16,atIfIndex OBJECT-TYPE SYNTAX INTEGER ACCESS read-write:=atEntry 1 atPhysAddress OBJECT-TYPE SYNTAX PhysAddress ACCESS read-write:=atEntry 2 atNetAddress OBJECT-TYPE SYNTAX NetworkAddress ACCESS read-write:=atEntry 3,17,表格访问,18,表格访问的例子,At.attableInterfaces.iftableip.ipAddrTableip.ipRouteTable,19,SNMP MIB对象实例标识,对象实例标识符是对象所属对象类的对象标识符加上实例标识符构成。如SysDescr,20,基本编码规则(BER),Basic Encoding Rules传送过程中的内容表示方法ITU-T X.690,21,基本编码规则,每个BER编码有3个字段：Tag，Length，ValueTag：标签字段，定义了编码格式信息Length定义数值的长度（按照8bit位组计）Value定义实际的数值每个字段8bit对齐，自我定界,22,基本编码规则,基本类型和结构型基本型结构型,23,基本编码规则:Tag,24,基本编码规则:Length,短格式长度为(0-127)长格式长度128不确定格式用开始符和结束符表示,25,短格式,占用一个8bit最高bit为0表示长度0-127,26,长格式,占用若干个8bit第一个8bit组的最高bit为1第一个8bit组的后7bit为长度K紧接的K个8bit组表示长度如201被编码成10000001 11001001,27,不确定格式,用开始和结束符来表明 TLV 序列的开始和结束开始符为 10000000结束符为 00000000开始结束符之间为若干个TLV 三元组,28,整数的表示,找出整数的非零bit的字节变长的，跟整数的大小有关如131，只要表示为00000001 00000011(128+3)，前面的0可以忽略,29,对象标示符的表示,前面2个数字a.b.*.*第一个字节为a*40+b如1.3 表示为1*40+3=43=0 x2b后面的数字如果=127，直接表示1.3.6.1 表示为 0 x2b 0 x06 0 x01,30,对象标示符127的表示,扩展表示每个字节中使用其中的7个比特最高bit为1表示是扩展表示最高bit为0表示是扩展表示结束如 909904 110111 1000100 101000010110111 11000100 01010000,31,对象标示符的表示,01010.0110111 1000100 1010000.01100001010 10110111 11000100 01010000 00000011,32,SNMP消息,33,SNMP消息,SEQUENCE version INTERGER(0);community OCTET STRING;data ANY;-PDU 数据PDU类型GetRequest A0 GetNextRequest A1GetResponse A2 SetRequest A3Trap A4,34,SNMP消息,发送如下字节到udp 161端口30 26 02 01 00 04 06 70 75 62 6C 69 63 A0 19 02 01 9D 02 01 00 02 01 00 30 0E 30 0C 06 08 2B 06 01 02 01 01 01 00 05 00,35,含义,30 26 02 01 00 sequence len(38字节)integer len vers(1)04 06 70 75 62 6C 69 63 string len p u b l i c A0 19 GetRequest len(25bytes),36,含义,02 01 00 02 01 00 integer len status integer len error-index30 0E 30 0C sequence len(14bytes)sequence len(12bytes),37,含义,06 08 objectid len(8bytes)2B 06 01 02 01 01 01 00 05 00 1.3.6.1.2.1.1.1.0 NULL 0,38,MIB对象,SystemGroupSysDescr：系统描述SysObject ID:标识一个设备SysUptime：系统已经运行的时间SysContact:管理者联系人SysName:SysLocation:物理安装地点SysServices：说明设备服务的ISO层次 00000110表示设备服务在第2和3层,39,MIB对象,InterfaceGroupifDescr：接口描述ifType:接口类型ifMTU:ifSpee:接口速率 单位bpsifPhysAddress：接口物理地址ifAdminStatus:接口管理状态 1up,2down,3testifOperStatus：接口实际状态 1up,2down,3testifLastChange：接口进入运行状态时的sysuptime,40,MIB对象,InterfaceGroupifInOctes：接收字节数ifInUcastPkts:接收单播数据包数ifInNUcastPkts：接收非单播数据包数ifInDiscards：接收时丢弃的数据包数ifInErrors:接收时错误的数据包数ifInUnknownProtos:接收的未知协议数据包数,41,MIB对象,Total Input Packts=ifInUcastPkts+ifInNNucastPktsPercent Input Errors=ifInErrors/TotalInputPacktsPercent Input Discards=ifInDiscards/TotalInputPackts,42,MIB对象,IP GroupipForwarding：设备是否转发数据包1是，2否ipInreceives:接收的IP包数量ipInHdrErrors：接收头出错的包数量ipInAddrErrors：接收地址出错的包数量ipForwDatagrams：转发的IP包数量ipInUnknownProtos：未知协议ipInDiscards：丢弃的包数量Percent IP Input Errors=(Disards+HdrErrors+AddrErros)/Inreceives,43,MIB对象,ipInDelivers：交给设备高层处理的包数量ipOutRequests：设备高层发出的包数量ipOutNoRoutes：无法找到路由丢弃的包ipAddressTable设备接口IP地址表ipRoutingTable路由表,44,MIB对象,ICMP组icmpInMsgs/icmpOutMsgsicmpInErros/icmpOutErrorsSNMP组,45,总结,网络管理系统网络管理概述TCP/IP网络管理体系结构SNMP网络管理协议管理信息库(MIB),46,实验,Linux下的ucd-snmppublic,