简单网络管理协议与远程网络监视

简单网络管理协议与远程网络监视简单网络管理协议（SNMP）是Internet中基于TCP/IP的网络管理协议。SNMP的推出，由于其简单性、实施容易和应用成本低廉等特点，而受到业界许多厂家的广泛支持，现已成为事实上的标准。本章主要从SNMP的体系结构、管理模型、工作机制、协议操作等方面介绍SNMP的有关理论知识，同时简单介绍远程网络监视RNOM方面基本概念。SNMP概述1SNMP的发展历史2基本体系结构3SNMP操作4SNMP的工作机制SNMP的发展历史简单网络管理协议（SNMP，SimpleNetworkManagementProtocol）诞生于1988，那时由于CMIP迟迟不能成熟并应用于网络管理，Internet体系结构委员会（IAB）在原有简单网关监控协议（SGMP）的基础上进一步修改后提出了SNMP。SNMP的最初版本是SNMPv1，SNMPv1存在两方面的问题：一是安全，SNMP只定义了安全性极为有限的基于共同体名授权使用的安全模型；二是管理信息的可靠传输问题，由于SNMPvl是在UDP上实现的，而UDP并不保证所有报文都能够正确传送。增强的SNMPv2使该协议更加高效，同时还保持了它容易实现和成本低廉的特点，SNMPv2可以与SNMPv1透明地共存，它在性能、管理进程与管理进程通信方面对SNMP进行了改进，如减少了SNMP业务流、允许大块数据的传送、添加了一个用于高速网络环境下的64位计数器；对基于NovellIPX，AppleTalkDDP和OSI的SNMP作了映射；但在安全性方面仍未能达到令人满意的结果。1998年1月产生了SNMPv3管理控制框架，它由RFC2271－2275等几个文档共同说明，形成了SNMPv3的建议。SNMPv3在保持SNMPv2基本管理功能的基础上，增加了安全性和管理性描述。另外，SNMP最重要的进展是远程监控（RMON）能力的开发。RMON为网络管理者提供了监控整个子网而不是各个单独设备的能力。RMON还对基本SNMPMIB进行了扩充。基本体系结构1．SNMP管理模型2.SNMP中的元素SNMP体系结构由管理站、代理、管理信息库（MIB）和通信协议SNMP构成。3．委托代理SNMP操作管理信息的交换通过GetRequest、GetNextRequest、SetRequest、GetResponse、Trap共5个SNMP协议操作进行。其中前三个消息由管理站发给代理用于请求读取或修改管理信息，后两个消息由代理发给管理站。GetResponse用于对各种读取和修改管理信息的请求进行应答；Trap用来主动向管理站报告代理系统中发生的事件，如节点机分组队列长度超过阈值，接口链路up或down等。GetNextRequestTrape网络访问协议IPUDPSNMPManager管理应用管理站GetRequestSetRequestTrapGetResponse网络访问协议IPUDPSNMPManager管理对象代理站GetRequestSetRequestGetResponseMIB库GetNextRequestGetNextRequestSNMP消息管理应用对象通信网络TrapSNMP的工作机制在通信网管理过程中，用来使管理信息库与实际设备或设施的状态和参数保持一致的方法主要有两个。一个是基于中断的事件驱动方法，另一个是轮询驱动方法。基于SNMP的通信1对象访问策略2实例标识符3报文的发送与接收4SNMP报文格式5SNMPMIB组6SNMP的改进对象访问策略在基于SNMP的网络管理中，SNMP通过共同体（Community，也有地方称为团体）的概念来解决访问策略问题。共同体是SNMP体系中的一中安全机制，它是一个在代理中定义的本地的概念。通过定义共同体，代理系统就可以限制只有一些选定的管理站才能访问它的MIB对象。同时，通过使用多个共同体，代理可以为不同的管理站提供不同的MIB访问类别。每个共同体被赋予一个在代理内部唯一的共同体名（也叫团体名），该共同体名要提供给共同体内的所有的管理站，以便它们在get和set操作中应用。一个代理可以与多个管理站建立多个共同体，同一个管理站也可以出现在不同的共同体中。在SNMP中实行共同体机制可以达到一下目的：1．认证服务2．委托代理服务3．访问策略（1）SNMPMIB视图（2）SNMP访问模式（方式）MIB视图和访问模式的结合被称为SNMP共同体轮廓（profile）。事实上，在一个共同体轮廓之内，存在两个独立的访问限制，其一是MIB对象定义中的访问限制（参见第3章中有关MIB功能组及对象部分的内容）和SNMP访问模式。这两个访问限制在实际应用中必须相互协调。MIB访问方式与SNMP访问模式的关系MIB对象中定义的访问方式（模式）限制SNMP访问模式Read-OnlyRead-WriteRead-Only可用于get和trap操作Read-Write可用于get和trap操作可用于get，set和trap操作Write-Only可用于get和trap操作，但操作值与具体实现有关可用于get,set和trap操作，但操作值与具体实现有关Not-Accessible不能使用实例标识符在MIB中的每个被管对象都有一个唯一的对象标识符，以区分不同的被管对象，其命名规则都是按照其所在MIB树上的层次和位置来决定。在对SNMPMIB的访问中，实际上是对被管对象（叶子节点对象）实例的访问，而当在一个对象有多个实例时，例如表格，对象的标识符就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一标识方法，也就是实例标识符的命名方法。实例标识符就是把列对象的对象标识符与索引对象的值组合起来而构成的。报文的发送与接收1．SNMP报文的发送（1）构成PDU；（2）将构成的PDU、源和目的传送地址（IP地址及端口号）以及共同体名作为一个ASN.1的对象移交给认证服务。认证服务完成所要求的变换，例如进行加密或加入认证码，然后返回一个经过加密或认证的ASN.1对象；（3）将版本字段、共同体名以及上一步的结果组合成为一个报文；（4）用基本编码规则（BER）对这个新的ASN.1的对象编码，然后传给传输服务。2．SNMP报文的接收（1）进行消息的基本句法检查，丢弃非法消息。（2）检查版本号，丢弃版本号不匹配的消息。（3）认证检查。如果认证失败，认证服务通知SNMP实体，由它产生一个trap并丢弃这个报文；如果认证成功，认证服务返回SNMP格式的PDU。（4）进行PDU的基本句法检查，如果非法，丢弃该PDU，否则根据共同体名选择SNMP访问策咯，对PDU进行相应处理。3．变量绑定在SNMP中，可以将多个同类操作（get、set、trap）放在一个报文中。如果管理站希望得到一个代理的一组简单对象的值，它可以发送一个报文请求所有的值，并通过获取一个应答得到所有的值。这样可以大大减少网络管理的通信负担。SNMP报文格式在SNMP管理中，管理站和代理之间交换的管理信息构成了报文。报文由3部分组成，即版本号、团体名和协议数据单元（PDU）。SNMP共有5种管理操作，但只有3种PDU格式。SNMP报文格式VersionCommunitySNMPPDUGetRequestPDU、GetNextRequestPDU、SetRequestPDUPDU类型请求标识00变量绑定表GetResponsePDUPDU类型请求标识错误状态错误索引变量绑定表TrapPDUPDU类型制造商ID代理地址一般自陷特殊自陷时间戳变量绑定表变量绑定表Name1Value1Name2Value2……NamenValuen4.2.5SNMPMIB组MIB-II中的snmp组，其对象标识符为{mib-211}4.2.6SNMP的改进SNMPv2增加了Manager-to-Manager通信，对SMI进行了更新和扩充，提出了行的概念，支持表的行建立和删除操作。还增加了get-bulk-request和inform-request两个非常有用的PDU，对trap进行格式改造，使其具有与其他PDU相同的格式。SNMPv2还对MIB进行很大扩充，特别是在Internet节点下增加了snmpv2模块。SNMPv3提出了一个面向各个版本的SNMP通用的体系结构。每个实体包含一个引擎和若干应用，并由所包含的引擎的ID命名。引擎由分发器、消息处理子系统、安全子系统和访问控制子系统构成。实体内部子系统之间采用抽象服务接口来定义相互之间的服务关系。SNMP服务的请求者被称为Principle，即用户，它由具有安全性的名称标识。SNMPv3建议采用基于用户的安全模型（USM）来实现安全服务，采用基于视图的访问控制模型（VACM）进行访问控制。SNMPv3的一大进步是大大提高了管理信息访问的安全性。4.3远程网络监视RMON4.3.1远程网络监视的需求4.3.2远程网络监视的目标4.3.3RMONMIB4.3.4RMON2网络管理技术的一个新趋势是采用远程网络监视（RMON,RemoteNetworkMonitoring），它是对SNMP功能的扩充，对监测和管理交换或局域网特别适用，是简单网络管理向互联网管理过渡的重要步骤。4.3.1远程网络监视的需求虽然MIB将数据的总和记录下来，但它无法对日常通信量进行历史分析。为了查看每天的通信流量和变化率，管理人员必须不断的轮询SNMP代理，可能每分钟就轮询一次。网络管理员可以使用SNMP来评价网络运行状况，并预测通信的趋势，决定采取某种措施。理论上讲，管理站可以通过不断地轮询各个节点的MIB来计算网络流量，但在实际上这是不太可行的。一方面会导致网络中传递大量的管理信息，使网络不堪负荷；二方面，将收集数据的负担加在网络管理控制台上（管理进程端）。管理站所在计算机的处理能力总是有限的，当监控十多个网段时，可能CPU就无法应付。另外，也会由于承载管理操作命令和操作结果的分组的丢失而使得统计结果不准确。基于上述原因，人们提出了一种高效、低成本的网络监视方案，即RMON。RMON就是将一些专用设备配置在各个节点，并将这些设备称为网络监测器（networkmonitor或probe），由此便产生了RMON的概念。一般，监测器对网络中各种类型的分组进行观察，从而得到网络的总体信息，监测器还可将一些分组存储下来，以备事后分析。在互联网环境下，为了达到监测网络流量的目的，一般每个子网需要一个监测器。监测器通常是一个独立的设备，专用于捕获和分析流量。RMON有许多先进之处：（1）每个RMON设备都对本地网段进行监测和分析，既可被动也可主动地向网络管理系统传递信息。例如，当它发现严重的分组丢失和过高的冲突率时，可以主动地报警。由于监测是在本地进行的，所以得出的分析结果是非常可靠的。（2）这种工作方式大大降低了SNMP的流量。（3）RMON降低了网络管理系统时时能“见”到所有Agent的必要性。Agent常常会因为网络过载等原因而联系不上，如果没有RMON设备，此时Agent到底发生了什么情况事后是难以调查的，因此，往往Agent越是联系不上，网络管理系统越要与它联系。（4）RMON设备对本地子网的监测几乎可以做到连续不断，这会显著提高统计和控制的精度，使得故障能够及时被发现、报告和诊断。4.3.2远程网络监视的目标为了对RMON技术提供标准，IETF发布了RFC1757和RFC1513，分别对EthernetLAN和tokenringLAN的RMON进行了规范，形成了第一个版本的RMON。RMON的设计目标：（1）离线操作在必要时由网络管理站来限制或停止对监视器的轮询，有限查询可以节约通信开支。如查询通信失败或管理站发生错误，查询会终止。一般情况下，即使监视器没有被网管站查询，也会继续不停的收集使性能和配置信息。监视器不断积累统计信息，以便管理站将来查询时提供管理信息。（2）主动监视若监视器有足够的资源，通信负载也允许，监视器可以连续不断地运行诊断程序，对网络进行诊断并记录网络性能状况。在子网出现故障时通知管理站