SNMP發(fā)展及概要分析摘要：為了進(jìn)一步理解簡單網(wǎng)絡(luò)管理僑議，通過對網(wǎng)絡(luò)管理與簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)的分析，指出了SNMP所面臨的安全威脅、網(wǎng)絡(luò)管理與SNMP的發(fā)展方向。描述SNMP的通信模式，組成部分、通信協(xié)議與管理信息庫(MIB),指出了SNMP面臨偽裝、信息更改、信息泄漏、拒絕服務(wù)等安全威脅。提出了由于SNMP的SMI使用ASN」信令描述，SNMP的核心安全具有安全隱患。最后描述并分析了基于web的方式、桌面管理任務(wù)組織，分布式對象管理和下一代SNMP等網(wǎng)絡(luò)管理發(fā)展方向。SNMP概述1.1什么是SNMPSNMP的全稱為簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)，顧名思義，SNMP是用于網(wǎng)絡(luò)管理的協(xié)議。1.2SNMP產(chǎn)生背景網(wǎng)絡(luò)的迅速發(fā)展和普及使得以下幾個問題日益突出：?網(wǎng)絡(luò)規(guī)模逐漸增大，網(wǎng)絡(luò)設(shè)備數(shù)量成級數(shù)增加，網(wǎng)絡(luò)管理員很難及時監(jiān)控所有設(shè)備、發(fā)現(xiàn)并修復(fù)故障；?網(wǎng)絡(luò)設(shè)備很可能種類不同、生產(chǎn)廠家不同、型號不同，如果為每種網(wǎng)絡(luò)設(shè)備都提供一套獨立的管理接口和協(xié)議，將使網(wǎng)絡(luò)管理越來越困難。為解決以上兩個問題，一套覆蓋服務(wù)、協(xié)議和管理信息庫的標(biāo)準(zhǔn)一NMP孕育而生。1.3SNMP發(fā)展歷程年 SNMPv1年RMON(RemoteNetworkMonitoring遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視)，它擴(kuò)充了SNMP的功能，包括對LAN的管理及對依附于這些網(wǎng)絡(luò)的設(shè)備的管理。RMON沒有修改和增加SNMPV1,只是增加了SNMP監(jiān)視【子網(wǎng)】的能力。1993年——SNMPv2(SNMPv1的升級版)1995年——SNMPV2正式版，其中規(guī)定了如何在基于OSI的網(wǎng)絡(luò)中使用SNMP1995年 RMON擴(kuò)展為RMON21998年——SNMPV3,一系列文檔定義了SNMP的【安全性】，并定義了將來改進(jìn)的總體結(jié)構(gòu)，SNMPV3可以和SNMPv2、SNMPv1一起使用。PerformanceSecuritySNMPv3SNMPvl1990SNMPv21993SNMPv2cjYear1996PerformanceSecuritySNMPv3SNMPvl1990SNMPv21993SNMPv2cjYear19961998圖1SNMP發(fā)展歷程□逐步完善的堅MPV3版本安全性強(qiáng)：具有雪種安全處理模塊適應(yīng)性奶：適出L蚩種撫柞環(huán)境-擴(kuò)充性好：可以根搖需巫地丿川模塊JSNMPvlc的改進(jìn)-提供了衛(wèi)名（內(nèi)操作婁型GelbulkReqiitist和InfbmRequEst操件-立持電寥的敵據(jù)類世（刃迦謚）提供更豐富的錯課優(yōu)碼-支持更廣泛f內(nèi)協(xié)說立合-RMON的出現(xiàn)□SNMPvl的局限性?缺少衣雖誦取數(shù)抑;的陡力泄有圧礙的空全機(jī)制-不主持TCP/IP2H的其■｛也協(xié)址平臺無奈的樂中丈營理-沒&對網(wǎng)絡(luò)監(jiān)控的F段圖2SNMP版本改進(jìn)1.4SNMP的原理SNMP采用了C/S模型，對網(wǎng)絡(luò)的管理與維護(hù)是通過管理基站與SNMP代理間的交互完成的。該交互工作可采用2種方式：一是由管理基站對每個代理進(jìn)行查詢，每個SNMP從代理負(fù)責(zé)回答SNMP管理工作站關(guān)于管理信息庫（MIB）定義信息的各種查詢；二是由代理產(chǎn)生自陷信息，向管理基站通報SNMP代理和管理站通過標(biāo)準(zhǔn)消息通信，這些消息中的每一個都是一個單個的包。SNMP使用用戶數(shù)據(jù)報協(xié)議(UDP)作為第4層即傳輸層協(xié)議，無需連接。1.5SNMP的技術(shù)優(yōu)點基于TCP/IP互聯(lián)網(wǎng)的標(biāo)準(zhǔn)協(xié)議，傳輸層協(xié)議一般采用UDP；自動化網(wǎng)絡(luò)管理。通過SNMP功能，網(wǎng)絡(luò)管理員可以查詢/修改設(shè)備信息、監(jiān)控設(shè)備狀態(tài)、自動發(fā)現(xiàn)網(wǎng)絡(luò)故障、生成報告等。屏蔽不同設(shè)備的物理差異，實現(xiàn)對不同廠商、不同種類、不同型號設(shè)備的統(tǒng)一管理。SNMP只提供最基本的功能集，使得管理任務(wù)與被管設(shè)備的物理特性和實際網(wǎng)絡(luò)類型相對獨立。簡單的協(xié)議，實現(xiàn)了簡單的網(wǎng)絡(luò)管理操作：?請求-應(yīng)答方式和主動通告方式相結(jié)合，并有超時和重傳機(jī)制。?報文種類少、格式簡單，方便解析、易于實現(xiàn)。SNMPv3版本還提供了認(rèn)證和加密安全機(jī)制，以及基于用戶和視圖的訪問控制功能，大大增強(qiáng)了安全性。2SNMP主要組成部分SNMP主要由3部分組成：管理信息結(jié)構(gòu)、管理信息庫與協(xié)議。SNMP：SimpleNetworkManagementProtocol(簡單網(wǎng)絡(luò)管理協(xié)議)。是一個標(biāo)準(zhǔn)的用于管理基于【IP】網(wǎng)絡(luò)上設(shè)備的協(xié)議。MIB：ManagementInformationBase(管理信息庫)。定義代理進(jìn)程中所有可被查詢和修改的參數(shù)。SMI：StructureofManagementInformation(管理信息結(jié)構(gòu))。SMI定義了SNMP中使用到的ASN.1類型、語法，并定義了SNMP中使用到的類型、宏、符號等。SMI用于后續(xù)協(xié)議的描述和MIB的定義。每個版本的SNMP都可能定義自己的SMI。2.1SNMP_典型應(yīng)用戈權(quán)機(jī)時承門’：?MI戈權(quán)機(jī)時承門’：?MIkgutl]WIF管理站打口:機(jī)圖3典型的SNMP典型應(yīng)用圖SNMP基于TCP/IP協(xié)議工作，對網(wǎng)絡(luò)中支持SNMP協(xié)議的設(shè)備進(jìn)行管理，所有支持SNMP協(xié)議的設(shè)備都提供SNMP這個統(tǒng)一界面，使得管理員可以使用統(tǒng)一的操作進(jìn)行管理，而不必理會設(shè)備是什么類型、是哪個廠家生產(chǎn)的。如上圖是一個典型的SNMP典型應(yīng)用圖。2.2SNMP管理模型骨理（讀f寫）揀作SNMP管理系統(tǒng)被管理系統(tǒng)響應(yīng)骨理（讀f寫）揀作SNMP管理系統(tǒng)被管理系統(tǒng)響應(yīng)f通告raSNMPAgent<——?圖4SNMP管理模型如上圖，SNMP管理模型包含四個組成部分：）SNMPNMS（NetworkManagementStation,網(wǎng)絡(luò)管理站））SNMPAgent（代理））SNMP協(xié)議）MIB（ManagementInformationBase，SNMPNMS，即SNMP管理站（又稱為SNMP管理者），是一個利用SNMP協(xié)議對網(wǎng)絡(luò)設(shè)備進(jìn)行管理和監(jiān)控的系統(tǒng)。NMS既可以指某個網(wǎng)絡(luò)設(shè)備中執(zhí)行管理功能的一個應(yīng)用程序，也可以指一臺專門用來進(jìn)行網(wǎng)絡(luò)管理的服務(wù)器。SNMPAgent,即SNMP代理，是一個運行在被管設(shè)備上的軟件模塊，用于維護(hù)被管理設(shè)備的信息數(shù)據(jù)（即MIB）,還負(fù)責(zé)接收、處理、響應(yīng)來自NMS的請求報文，也可以主動發(fā)送一些通知報文給NMS。MIB，即管理信息庫，每個Agent都擁有自己的MIB。MIB是一種對象數(shù)據(jù)庫，由設(shè)備所維護(hù)的被管理對象組成，并定義了管理對象的一系列屬性：名稱、訪問權(quán)限和數(shù)據(jù)類型等。在MIB中，被管理對象按照層次式樹形結(jié)構(gòu)組織。SNMP協(xié)議是用來規(guī)定NMS和Agent之間是如何交換管理信息的應(yīng)用層協(xié)議,它定義了SNMP數(shù)據(jù)包的格式、封裝及傳輸細(xì)節(jié)。SNMP協(xié)議以Get-Set方式替代了復(fù)雜的命令集，利用基本操作演繹出全部網(wǎng)管操作，實現(xiàn)網(wǎng)絡(luò)管理員的網(wǎng)管需求。Get（讀）操作：由NMS向Agent發(fā)出請求，讀取被管設(shè)備的配置和狀態(tài)信息。Set（寫）操作：由NMS向Agent發(fā)出請求，遠(yuǎn)程修改被管設(shè)備的配置參數(shù)。Trap操作：由Agent主動向NMS發(fā)送Trap報文。當(dāng)被管設(shè)備發(fā)生比較重要的事件時（如接口狀態(tài)改變、呼叫成功等），Agent就會主動通知NMS。

2.3SNMP服務(wù)端口管理站SNMPAy^niiiip2.3SNMP服務(wù)端口管理站SNMPAy^niiiipLINK被管設(shè)備II圖5SNMP服務(wù)端口如上圖，SNMP使用UDP傳輸協(xié)議來操作，并使用了兩個服務(wù)端口：在UDP161端口監(jiān)聽NMS的訪問請求；在UDP162端口監(jiān)聽Agent發(fā)送的Trap報文。由于Agent和NMS采用不同的服務(wù)端口，所以一臺設(shè)備可以同時作為Agent和NMS使用。2．4SNMP支持的網(wǎng)管操作對于網(wǎng)絡(luò)管理，我們面對的數(shù)據(jù)是設(shè)備的配置、參數(shù)、狀態(tài)等信息，面對的操作是讀取和設(shè)置；同時，因為網(wǎng)絡(luò)設(shè)備眾多，為了能及時得到設(shè)備的重要狀態(tài)，還要求設(shè)備能主動地匯報重要狀態(tài)，這就是報警功能。圖6圖6SNMP支持的網(wǎng)管操作Get：讀取網(wǎng)絡(luò)設(shè)備的狀態(tài)信息。Set：遠(yuǎn)程配置設(shè)備參數(shù)。Trap：管理站及時獲取設(shè)備的重要信息。2.4SNMP的實現(xiàn)結(jié)構(gòu)在具體實現(xiàn)上，SNMP為管理員提供了一個網(wǎng)管平臺(NMS)，又稱為【管理站】，負(fù)責(zé)網(wǎng)管命令的發(fā)出、數(shù)據(jù)存儲、及數(shù)據(jù)分析。【被】監(jiān)管的設(shè)備上運行一個SNMP代理(Agent)),代理實現(xiàn)設(shè)備與管理站的SNMP通信。

用戶」管理站與代理的通信MIB 苣理站丿用戶」管理站與代理的通信MIB 苣理站丿UDPIIPJ貝體的協(xié)議心代理*MIBrHOP!IF>'具體的協(xié)議存圖8SNMP協(xié)議的邏輯結(jié)構(gòu)管理站與代理端通過MIB進(jìn)行接口統(tǒng)一，MIB定義了設(shè)備中的被管理對象。管理站和代理都實現(xiàn)了相應(yīng)的MIB對象，使得雙方可以識別對方的數(shù)據(jù)，實現(xiàn)通信。管理站向代理申請MIB中定義的數(shù)據(jù)，代理識別后，將管理設(shè)備提供的相關(guān)狀態(tài)或參數(shù)等數(shù)據(jù)轉(zhuǎn)換為MIB定義的格式，應(yīng)答給管理站，完成一次管理操作。已有的設(shè)備，只要新加一個SNMP模塊就可以實現(xiàn)網(wǎng)絡(luò)支持。舊的帶擴(kuò)展槽的設(shè)備，只要插入SNMP模塊插卡即可支持網(wǎng)絡(luò)管理。網(wǎng)絡(luò)上的許多設(shè)備，入路由器、交換機(jī)等，都可以通過添加一個SNMP網(wǎng)管模塊而增加網(wǎng)管功能。服務(wù)器可以通過運行一個【網(wǎng)管進(jìn)程】實現(xiàn)。其他服務(wù)級的產(chǎn)品也可以通過網(wǎng)管模塊實現(xiàn)網(wǎng)絡(luò)管理，如Oracle、WebLogic都有SNMP進(jìn)程，運行后就可以通過管理站對這些系統(tǒng)級服務(wù)進(jìn)行管理。根據(jù)管理者和被管理的設(shè)備在網(wǎng)絡(luò)管理操作中的不同職責(zé)，SNMP定義了3種角色。ft理Agent苛理站UMS也厘服務(wù)器1ft理Agent苛理站UMS也厘服務(wù)器1Prw代理服務(wù)器的典塑應(yīng)用不雯捋刑MP的進(jìn)洛非IP網(wǎng)第設(shè)備管理站P\\、SNMP/IPM4&圖9代理服務(wù)器的典型應(yīng)用網(wǎng)絡(luò)管理系統(tǒng)：又稱管理站、NMS。是系統(tǒng)的控制臺，向管理員提供界面以獲取與改變設(shè)備的配置、信息、狀態(tài)、操作等信息。管理站與Agent進(jìn)行通信，執(zhí)行相應(yīng)的Set和Get操作，并接收代理發(fā)過來的警報（Trap）。代理：Agent是網(wǎng)絡(luò)管理的代理人，負(fù)責(zé)管理站和設(shè)備SNMP操作的傳遞。介于管理站和設(shè)備之間，與管理站通信并相應(yīng)管理站的請求，從設(shè)備獲取相應(yīng)的數(shù)據(jù)，或?qū)υO(shè)備進(jìn)行相應(yīng)的設(shè)置，來響應(yīng)管理站的請求。代理也需要具有根據(jù)設(shè)備的相應(yīng)狀態(tài)使用MIB中定義的Trap向管理站發(fā)送報告的能力。代理服務(wù)器：Proxy是一種特殊的代理，在【不能】直接使用SNMP協(xié)議的地方，如：異種網(wǎng)絡(luò)、不同版本的SNMP代理等情況，Proxy代替相關(guān)設(shè)備向管理站提供一種外觀，為設(shè)備代理SNMP協(xié)議的實現(xiàn)。Proxy做了【異種網(wǎng)絡(luò)】或【不同版本代理】和相應(yīng)SNMP數(shù)據(jù)請求的轉(zhuǎn)換工作。（附：管理信息庫MIB:定義了設(shè)備上可以使用的管理信息。代理和管理站使用MIB作為統(tǒng)一的【數(shù)據(jù)接口通信】。SNMP與安全在網(wǎng)絡(luò)管理中使用SNMP時，可能產(chǎn)生的網(wǎng)絡(luò)安全威脅包括：1） 偽裝。一些未被授權(quán)的實體可以通過假裝具有授權(quán)實體的身份，去執(zhí)行只有授權(quán)實體才可以執(zhí)行的某些管理操作。2） 信息更改。一個實體可以更改由另一授權(quán)實體產(chǎn)生的正在傳送的消息，以至于導(dǎo)致越權(quán)的管理操作，包括對象值的設(shè)定。這種威脅的實質(zhì)在于未經(jīng)授權(quán)的實體可以更改任一管理參數(shù)，包括那些與配置，操作和計費有關(guān)的參數(shù)。3） 消息序列的更改。SNMP被設(shè)計成在無連接傳輸協(xié)議上運行。有一種威脅可以使SNMP消息被重排、延遲或重放（復(fù)制），從而導(dǎo)致越權(quán)的管理操作。例如，一個重新啟動設(shè)備的消息可被拷貝，并于將來某一時刻重放。4）泄漏。實體可以觀測管理者與代理之間的信息交換，從而獲取管理對象的值，并獲知所報告的事件。例如，觀測更改口令的set命令，可以使得攻擊者獲知新口令的內(nèi)容。5） 服務(wù)拒絕，攻擊者可阻止管理者與代理之間的信息交換。6） 流量分析。攻擊者可以分析管理者與代理之間信息交換的一般模式。SNMP的SMI是基于ASN.1信令描述的，ASN.1信令是抽象數(shù)據(jù)類型形式的標(biāo)準(zhǔn)，是電信業(yè)、電力業(yè)和核電業(yè)計算機(jī)網(wǎng)絡(luò)基礎(chǔ)信令，也是互聯(lián)網(wǎng)賴以運行的基礎(chǔ)通信規(guī)則之一。但目前全球級計算機(jī)安全專家正在調(diào)查ASN.1信令的安全脆弱性。由于多個Intcmet通信協(xié)議都是基于ASN.l計算機(jī)網(wǎng)絡(luò)語言，ASN.1的脆弱性將廣泛威脅通信行業(yè)。最為顯著的例子就是造成SNMP多個安全漏洞，這些缺陷可能允許非法越權(quán)訪問，拒絕服務(wù)攻擊、導(dǎo)致不穩(wěn)定的運行狀況。4網(wǎng)絡(luò)管理與SNMP的發(fā)展4.1基于web的網(wǎng)絡(luò)管理基于web的網(wǎng)絡(luò)管理通常有2個含義：一種是指網(wǎng)絡(luò)管理平臺的web化；另一種是指通過內(nèi)置于設(shè)備中的web服務(wù)器直接管理該設(shè)備。在第1種情況下，網(wǎng)管客戶端與網(wǎng)管平臺之間將不使用SNMP，網(wǎng)管平臺與被管對象之間采用SNMP。在第2種情況下，網(wǎng)管客戶端與被管對象之間都不使用SNMP，但被管對象內(nèi)部可以使用SNMP通信。使用web進(jìn)行網(wǎng)絡(luò)管理的最大問題是其標(biāo)準(zhǔn)化的進(jìn)行。基于web的企業(yè)管理WBEM聯(lián)盟是由5個公司組成的一個組織，在1996年7月提出了利用web實現(xiàn)網(wǎng)絡(luò)管理的一個工業(yè)標(biāo)準(zhǔn)。發(fā)起WBEM聯(lián)盟最初的5家公司他們的工作包括3種接口的定義，這些接口提供了一種標(biāo)準(zhǔn)化的網(wǎng)絡(luò)管理方法。WBEM的設(shè)計目標(biāo)是使其與SNMP以及其他網(wǎng)絡(luò)管理方案協(xié)同工作。這3個WBEM接口是：超媒體管理模式用來定義數(shù)據(jù)模型；超媒體管理協(xié)議用來定義在HTTP上運行HMMS的通信協(xié)議；超媒體對象管理器是一個開發(fā)工具，使WBEM應(yīng)用程序能夠把網(wǎng)絡(luò)元素當(dāng)作對象進(jìn)行操縱。4.2桌面管理任務(wù)組織（DMT