計算機網絡管理理論與實踐教程第二章簡單網絡管理協議SNMP目錄緒論簡單網絡管理協議SNMP網絡系統規劃與工程管理IP地址管理網絡配置管理網絡故障管理網絡性能管理網絡安全管理理論與技術網絡計費管理網絡管理平臺與工具網絡管理機構組織與運行IT服務管理簡單網絡管理協議SNMPSNMP概述SNMP管理模型SNMP管理信息結構SNMP管理信息庫遠程監視RMONSNMPV1分析SNMP安全分析2.1SNMP概述SNMP的發展歷程隨著TCP/IP協議廣泛應用，網絡數目與網絡內主機的數量不斷增多，網絡管理問題日益凸顯。國際標準化組織（ISO）針對其自己提出的開放系統互連參考模型（OSI）的七層協議框架設計了公共管理信息服務（CMIS）和公共管理信息協議（CMIP）。因特網工程任務組（IETF）為了管理快速增長的Internet，決定修改并采用OSI的CMIP作為Internet的網絡管理協議，修改后的協議被稱為：建立在TCP/IP之上的公共管理信息服務與協議(CMOT)。2.1SNMP概述SNMP的發展歷程CMIS/CMIP的實現由于復雜性和實現代價太高而遇到了許多困難，CMOT遲遲不能正式出臺。1990年IETF決定把在NYSERNET和SURANET上開發的簡單網關監控協議（SGMP）進行修改后，作為暫時的網絡管理解決方案。這個臨時解決方案后來發展成為簡單網絡管理協議（SNMP）的第一個版本SNMPv1。2.1SNMP概述SNMP的發展歷程為了彌補在安全方面的不足，IETF開始進行SNMP新版本的開發工作。1992年7月，SNMP的設計者提出了稱為SNMPsec的安全SNMP版本。2.1SNMP概述SNMP的發展歷程1993年，IETF發布了SNMP的第二版SNMPv2。SNMPv2吸取了SNMPsec以及RMON在安全性能和功能上的經驗，同時針對SNMPv1在管理大型網絡上的不足，對SNMP進行了一系列的擴充。2.1SNMP概述SNMP的發展歷程經過幾年的試用發現SNMPv2的安全機制存在嚴重缺陷。許多設備提供商在SNMPv2的基礎上加入自定義的安全特性，逐漸形成了SNMPv2u及SNMPv23兩個版本。2.1SNMP概述SNMP的發展歷程為統一標準，IETF不得不在1996年對SNMPv2進行修訂，發布了SNMPv2c。2.1SNMP概述SNMP的發展歷程1999年IETF正式發布了SNMPv3。SNMPv3是在SNMPv2基礎之上增加了安全和管理機制的協議，得到了設備生產廠商的支持。2.1SNMP概述SNMP的特點簡單可擴展應用廣泛2.1SNMP概述SNMP存在的問題不適合大型網絡管理。SNMP的trap是無確認的，有可能導致不能確保非常嚴重的告警發送到管理者。安全性方面考慮不足。不支持如創建、刪除、動作等類型的操作。MIB模型不適合復雜的查詢。

2、SNMP體系結構（1）SNMP為應用層協議，是TCP/IP協議族的一部分。它通過用戶數據報協議(UDP)來操作。（2）SNMP在UDP、IP及有關的特殊網絡協議(如Ethernet、FDDI、X.25)之上實現。由于SNMP依賴UDP，而UDP是無連接型協議，所以SNMP也是無連接型協議。在管理站和代理者之間沒有在線的連接需要維護，每次交換都是管理站和代理者之間的一個獨立的傳送。2.1SNMP概述

之所以選擇UDP而不是TCP，是因為UDP效率較高，這樣實現網絡管理不會太多地增加網絡負載。但由于UDP不是很可靠，所以SNMP報文容易丟失。為此，對SNMP實現的建議是管理信息要裝配成單獨的數據報獨立發送，而且報文應短些，不超過484B。

2.1SNMP概述（3）在管理站中，

SNMP的管理者進程（SNMP

Manager)對位于管理站中心的MIB的訪問進行控制，并提供網絡管理員接口。管理者進程通過SNMP完成網絡管理。

SNMP的管理者進程向管理應用程序提供服務，它的作用是把管理應用程序的服務調用變成對應的SNMP協議數據單元，并利用UDP數據報發送出去。

2.1SNMP概述（4）每個網元或被管設備也必須實現SNMP、UDP和IP。有一個解釋SNMP的消息和控制代理者MIB的代理者進程。從管理站發出3類與管理應用有關的SNMP的消息GetRequest、GetNextRequest、SetRequest。3類消息都由代理者用GetResponse消息應答，該消息被上交給管理應用。另外，代理者可以發出Trap消息，向管理者報告有關MIB及管理資源的事件。2.1SNMP概述圖1SNMP的協議環境2.1SNMP概述2.2SNMP管理模型SNMP管理模型的四個基本組成部分管理者管理代理管理協議管理信息庫2.2SNMP管理模型SNMP管理組織結構兩層組織模式2.2SNMP管理模型SNMP管理組織結構三層組織模式2.2SNMP管理模型SNMP管理組織結構代理服務器組織模式1、管理站的輪詢技術

如果管理站負責大量的代理者，而每個代理者又維護大量的對象，則靠管理站及時地輪詢所有代理者維護的所有可讀數據是不現實的。因此管理站采取陷阱引導輪詢技術對MIB進行控制和管理。2、陷阱引導輪詢技術(Trap-directedPolling)在初始化時，管理站輪詢某些關鍵信息(如接口特性、作為基準的一些性能統計值，如發送和接收的分組的平均數)的代理者。一旦建立了基準，管理站將降低輪詢頻度。相反地，由每個代理者負責向管理站報告異常事件。2.2SNMP管理模型

例如，代理者崩潰和重啟動、連接失敗、過載等。這些事件用SNMP的Trap消息報告。管理站一旦發現異常情況，可以直接輪詢報告事件的代理者或它的相鄰代理者，對事件進行診斷或獲取關于異常情況的更多的信息。陷阱引導輪詢可以有效地節約網絡容量和代理者的處理時間。網絡基本上不傳送管理站不需要的管理信息，代理者也不會無意義地頻繁應答信息請求。

2.2SNMP管理模型

1．MicrosoftSNMP服務

2.SNMP服務的執行

3.Windows環境下SNMP服務的安裝

4．SNMP網管代理設置

5．SNMPTrapService服務設置

Windows下的SNMP2.2SNMP管理模型

1．MicrosoftSNMP服務

SNMP是TCP／IP協議族的一部分，提供了在系統之間監視并交流狀態信息的能力。基于Windows的SNMP使用由管理系統和代理組成的分布式體系結構。

Windows下的SNMP2.2SNMP管理模型

Windows的SNMP服務包括兩個應用程序：一個是SNMP代理服務程序SNMP.EXE，另一個是SNMP陷入服務程序SNMPTRAP.EXE。Windows的SNMP代理服務是可擴展的，即允許動態地加入或減少MIB信息，叫做擴展代理。擴展代理處理私有的MIB對象和特定的陷入條件。當SNMP代理服務接收到一個請求報文時，它就把變量綁定表的有關內容送給對應的擴展代理。擴展代理根據SNMP的規則對其私有的變量進行處理，形成響應信息。Windows下的SNMP2.2SNMP管理模型

1．MicrosoftSNMP服務

2.SNMP服務的執行

3.Windows環境下SNMP服務的安裝

4．SNMP網管代理設置

5．SNMPTrapService服務設置

Windows下的SNMP2.2SNMP管理模型

2.SNMP服務的執行

1)運行SNMP的準備工作

運行SNMP要做好如下準備：主機名和IP地址、主機名解析、管理系統、代理、定義SNMP共同體。

2)SNMP共同體的定義

SNMP共同體是運行SNMP服務的主機所屬的小組，共同體由共同體名識別。

Windows下的SNMP2.2SNMP管理模型

3)SNMP服務的工作過程

SNMP服務對管理系統的請求做出響應的步驟如下：

(1)SNMP管理系統使用一個代理的主機名或IP地址，將請求發送給該代理。該應用程序將請求傳遞給套接字(UDP端口)161。

(2)建立包含如下信息的SNMP數據包：針對一個或多個對象的Get、GetNext或Set請求；共同體名和其他驗證信息；數據包被路由到代理上的套接字(UDP端口)16l。

(3)SNMP代理在其緩沖區中接收該數據包。對共同體名進行驗證，如果共同體名無效或數據包格式不正確，則將它丟棄。如果共同體名有效，則代理將驗證源主機名或IP地址。

(4)SNMP數據包與所請求的信息一起被返回給SNMP管理器。2.2SNMP管理模型

1．MicrosoftSNMP服務

2.SNMP服務的執行

3.Windows環境下SNMP服務的安裝

4．SNMP網管代理設置

5．SNMPTrapService服務設置

Windows下的SNMP2.2SNMP管理模型3.Windows環境下SNMP服務的安裝

在Windows環境下面學習SNMP網絡管理需要兩個先決條件。（1）安裝并配置好Windows2000的SNMP服務器，它是我們前面介紹的代理進程；（2）獲取一個命令行下面的網管工具：snmptuil.exe，這是微軟Windows2000資源工具中的一個軟件，它也是網絡管理系統中的管理進程。Windows下的SNMP2.2SNMP管理模型

對于被管設備，如路由器、網橋、主機等，出廠時若是可網管的，則廠商已在設備操作系統中加入了網管功能，只需啟用SNMP，更改共同體名從默認的public到一個不易被外人猜到的字符串，設置陷阱目標地址(設置為網絡管理工作站或所在域的域管理代理的IP地址)，即可接受網絡管理站的管理。Windows下的SNMP2.2SNMP管理模型

網絡管理站一般部署在服務器上。根據實現功能的強弱，可以有選擇性地運行在UNIX及其變體或Windows上，由于目前企業網的服務器通常采用UNIX和Windows系列的服務器，但是網絡管理員對Windows環境較為熟悉，故僅面向Windows操作系統加以介紹。Windows下的SNMP2.2SNMP管理模型

SNMP的安裝步驟如下。

(1)打開“控制面板”，雙擊“添加或刪除程序”圖標，然后在打開的窗口中單擊“添加/刪除Windows組件”按鈕，彈出“Windows組件向導”對話框，Windows下的SNMP2.2SNMP管理模型圖3.3

選擇安裝項目2.2SNMP管理模型（2）選中“管理和監視工具”復選框，然后雙擊該選項，彈出如圖所示的對話框。選中“簡單網絡管理協議(SNMP)”復選框，單擊“確定”按鈕。Windows下的SNMP2.2SNMP管理模型

選擇SNMP組件

(3)系統開始復制文件，如圖所示。在復制文件過程中，會提示插入系統安裝光盤。將光盤插入后，等待文件復制完成即可。Windows下的SNMP2.2SNMP管理模型

配置組件

1．MicrosoftSNMP服務

2.SNMP服務的執行

3.Windows環境下SNMP服務的安裝

4．SNMP網管代理設置

5．SNMPTrapService服務設置

Windows下的SNMP2.2SNMP管理模型

4．SNMP網管代理設置

(1)在“控制面板”中打開“管理工具”窗口，雙擊“服務”圖標，可以看到本機已啟動的各種服務程序。找到SNMPService項，如圖所示，它就是網管代理服務程序，查看此服務是否已啟動。

Windows下的SNMP2.2SNMP管理模型

SNMPService服務

(2)如果SNMPService未啟動，則雙擊此項，在打開的“SNMPService的屬性（本地計算機）”對話框中進行配置，在該對話框中可以設置啟動類型(如圖3.7所示)、登錄用戶名與密碼、共同體Community名稱。

Windows下的SNMP2.2SNMP管理模型

啟動類型設置

另外，在“SNMPService的屬性（本地計算機）”對話框中配置可以控制訪問本機的SNMP代理的主機IP地址，加入一些允許訪問本機代理的網絡服務站，如圖所示。

Windows下的SNMP2.2SNMP管理模型

SNMPService允許訪問設置

1．MicrosoftSNMP服務

2.SNMP服務的執行

3.Windows環境下SNMP服務的安裝

4．SNMP網管代理設置

5．SNMPTrapService服務設置

Windows下的SNMP2.2SNMP管理模型

5．SNMPTrapService服務設置

SNMPTrapService有時稱為SNMP事件陷阱，通過設置Trap，進行陷阱時間捕捉。當網管代理發現設置的值超出設定范圍后，就立即啟動自動Trap命令，向網絡管理員報告。Trap不必等到網絡管理員發出查詢命令，它往往用于一些緊急事件。

Windows下的SNMP2.2SNMP管理模型

SNMPTrapService的配置過程是：首先打開“控制面板”中“管理工具”的“服務”窗口，查看有無SNMPTrapService項目，如果沒有，則需要安裝相關的協議與服務軟件。如果安裝了相關的服務和協議，則可以對SNMPTrap進行設置。設置的參數主要有啟動類型(如圖3.9所示)，登錄用戶名與密碼、故障恢復參數、Trap的依存關系等。

Windows下的SNMPWindows下的SNMP2.2SNMP管理模型圖3.9

SNMPTrap啟動類型設置

一旦安裝并啟動了簡單網絡管理協議SNMP，系統將打開UDP161snmp和UDP162snmptrap兩個端口。需要注意的是，這里使用的是UDP端口，而不是TCP端口。Windows下的SNMP2.2SNMP管理模型1、被管理的資源的表示－－被管對象在SNMP中，采用面向對象的技術，用被管對象的概念來描述被管理的資源。2、管理信息結構管理信息結構（StructerofManagementInformation，SMI）定義了描述被管對象的規則，以及管理協議如何訪問這些對象。

1）定義和構造MIB的基本框架。

2）確定了能夠用于MIB中的數據類型。

3）說明對象在MIB內部怎樣表示和命名。管理信息結構的定義和功能2.3SNMP管理信息結構3、SMI的基本指導思想

SMI的基本指導思想是追求MIB的簡單性和可擴充性。因此，MIB只能存儲簡單的數據類型：標量和標量的二維矩陣。我們將看到SNMP只能提取標量，包括表中的單獨的記錄。為什么SMI不使用復雜的數據類型

SMI避開復雜的數據類型是為了降低實現的難度和提高互操作性。管理信息結構的定義和功能2.3SNMP管理信息結構4、抽象語法表示被管對象的描述必須按照抽象語法表示（AbstractSyntaxNotationOne，ASN.1）進行編碼。

ASN.1是一種用于描述結構化客體的結構和內容的語言.5、被管對象具有的三個屬性對象名字、對象語法、對象編碼。

管理信息結構的定義和功能2.3SNMP管理信息結構

對象類型的命名（對象名字）

SNMP的管理信息庫采用和域名系統DNS相似的樹狀結構，它的根在最上面，根沒有名字。它又稱為對象命名樹（objectnamingtree）。

MIB是包含管理設備及其管理對象的樹狀結構的信息庫。樹狀結構中葉節點對象就是實際被管理對象。也就是說，每個被管對象對應樹狀結構的一個葉子節點，稱為一個對象（Object）。

2.3SNMP管理信息結構2.3SNMP管理信息結構樹根是引用ASN.1標準的對象。從樹根開始，第一級有3個節點:iso、ccitt、joint-iso-ccitt。在iso節點下面有一個為“其他組織”使用的子樹。其中有一個美國國防部的子樹(dod)。SNMP在dod之下設置一個子樹用于Internet的管理。國際標準化組織(ISO)1組織(ORG)3美國國防部(DOD)6Internet1目錄1管理2實驗3專用4企業1MicrosoftCorp

311MIBII1MicrosoftCorp.4.1.311ernet.private.enterprise.microsoft微軟有權在其下分配名字2.3SNMP管理信息結構

internet子樹由因特網架構委員會（IAB）管理，之下定義了4個節點：directory為與OSI的directory相關的將來的應用保留的節點。mgmt用于標識所有被IAB批準的子節點和對象。experimental用于標識在IETF試驗下的對象。private用于標識單方面定義的對象。

注：第二個節點是mgmt（管理）。其下面是管理信息庫，mgmt子樹包含IAB已經批準的管理信息庫的定義。2.3SNMP管理信息結構2．對象類型的命名（對象名字）

MIB中的每個對象類型都被賦予一個對象標識符(objectidentifier)，以此來命名對象。每一個對象都代表一些資源、活動或其它要管理的相關信息。

（1）對象標識符

每個MIB對象都使用對象標識符（OID）來唯一標識，

2.3SNMP管理信息結構（2）數字標識和名字標識

SMI為MIB樹上的每個節點分配了一個數字標識，同時為了便于記憶和理解，又為每個節點提供了一個文本方式的對象描述符。每個節點都可以使用數字或字符兩種方式顯示。（3）完整的對象標識符一個完整的對象標識符是從MIB庫的根開始到此被管對象所對應的節點沿途上所有節點的數字標識或名字標識，中間以“.”間隔而成。2.3SNMP管理信息結構這種訪問方式和文件系統的組織方式一致。主要區別：

1）文件系統中的路徑名可以以絕對方式也可以以相對方式表示2）MIB數據對象只能以絕對方式表示，不能使用相對方式。2.3SNMP管理信息結構

案例：一個被管對象的對象標識符表示。

要訪問數據對象sysDescr（1），該對象在system(1)下，而sysDescr（1）處在葉子節點的位置。現在看不到樹根root（.），其余所有的分支都是從這里擴展而來的。通常用帶點的符號來表示數據對象的標識符。假定，其完整的標識符應該是這樣的：

ernet.mgmt.mib.system.sysDescr

（這個標識符應該從左向右讀）。2.3SNMP管理信息結構

案例：一個被管對象的對象標識符表示。

被管對象也可以以另一種更短的格式表示，即用數字形式標識符代替分支名形式的表示形式。上面的那種形式的標識符

ernet.mgmt.mib.system.sysDescr

還可以用

.來表示。2.3SNMP管理信息結構

這兩種表達格式的作用是一致的，都表示同一個MIB數據對象，可以根據個人偏好選擇表達格式。許多MIB瀏覽器可以以兩者中任何一種格式來表示數據對象，這使得兩種格式間的相互轉化非常容易。

2.3SNMP管理信息結構由上可見，對象標識符滿足:

1)每個被管對象都必須有一個全局對象標識符;

2)所有對象標識符在全局上構成一棵對象標識符樹;

3)所有SNMP被管對象的標識符以ernet.mgmt.mib開始,

即.2.1。2.3SNMP管理信息結構

在只討論internet中的對象時，可只畫出internet以下的子樹，并在internet節點旁邊標注上{}即可。對于SNMP來說，樹狀結構的命名方式最大的好處是便于加入新的網絡管理對象，具有良好的可擴展性，新加入的被管對象只是其父節點子樹的延伸，對其他節點不會產生影響。

2.3SNMP管理信息結構

1．抽象語法表示法ASN.1

2．SMI對象語法對象類型的語法2.3SNMP管理信息結構

1．抽象語法表示法ASN.1

ASN.1抽象語法標記提供了一種表示數據的標準方法，是一種高級的對象類型定義語言，它描述了網絡管理進程和代理進程之間傳輸的SNMP報文的格式。ASN.1定義了一組用來描述OSI網絡傳輸的數據結構規則，SNMP使用它作為管理對象的定義語言和編碼規則。對象類型的語法2.3SNMP管理信息結構

SNMPMIB中的每個對象都由一個形式化的方法定義，說明對象的數據類型、取值范圍以及與MIB中的其他對象的關系。

SMI規定SNMP中的被管對象必須使用抽象語法表示法ASN.1。各個對象以及MIB的整體結構都由ASN.1描述法定義。為了保持簡單，只利用了ASN.1的元素和特征的一個有限的子集。對象類型的語法2.3SNMP管理信息結構

2．SMI對象類型的語法

SMI對象類型的語法規定了每一個MIB對象的數據類型、允許的形式、取值范圍以及與其它MIB對象之間的關系。各個對象以及MIB的整體結構都由ASN.1描述法定義。

對象類型的語法2.3SNMP管理信息結構

MIB庫由一系列對象組成，每一個對象都有它的類型和取值。

對象類型定義了被管對象的特定種類，對象類型的定義是語法描述。

對象實例是對象一定要有具體取值的特定實例。這些對象的定義由5個字段組成。對象類型的語法2.3SNMP管理信息結構2.3SNMP管理信息結構對象類型的語法每個MIB變量格式是SMI規定的，用ASN.1描述如下：(objectname)OBJECT-TYPEDESCRIPTION:(description)SYNTAX:(syntax)ACCESS:(access)STATUS:(status)::={(Parent)number}

1）定義對象

(1)對象OBJECT:

一個文本名稱，叫做對象描述。

Objectname是被管對象的名字，ASN.1要求對所有對象的名字在MIB中必須是唯一的；OBJECT-TYPE是每一個節點對象所必需的關鍵字；對象類型的語法2.3SNMP管理信息結構

(2)對象說明DESCRIPTION：對象的說明是對此對象的意義的一般性文字描述。DESCRIPTION是對被管對象的功能、特征等進行描述的關鍵字。description是被管對象的文本描述。對象類型的語法2.3SNMP管理信息結構

(2)語法SYNTAX:

對象類型的抽象句法。它必須解析成一種基本數據類型(如INTEGER、OCTETSTRING、OBJECTIDENTIFIER或NULL)。SYNTAX是被管對象類型的關鍵字syntax是被管對象的類型。對象類型的語法2.3SNMP管理信息結構

(4)存取方式ACCESS：

ACCESS是被管對象的訪問方式關鍵字。access是被管對象的訪問方式。

其值可以是read-only(只讀)、read-write(讀寫)、write-only(只寫)或not-accessible(不可訪問)。

對象類型的語法2.3SNMP管理信息結構

(5)狀態STATUS：

STATUS是被管對象的關鍵字。status是被管對象的狀態。

對象的狀態有3種即必備的mandatory、可選的optional或廢棄的obsoleteo。對象類型的語法2.3SNMP管理信息結構

對象類型的語法2.3SNMP管理信息結構::={(Parent)number}Parent表示位于MIB樹中的父節點，number表示本節點是父節點下的第幾個子節點

案例:下面是MIB-2中TCP功能組的對象tcpMaxConn的完整描述:tcpMaxConnOBJECT-TYPESYSTAXINTEGERACCESSread-onlySTATUSmandatoryDESCRIPTION“ThelimitonthetotalnumberofTCPconnectionstheentitycansupport.Inentitieswherethemaximumnumberofconnectionsisdynamic,thisobjectshouldcontainthevalue一1.”::{tcp5}

SNMP使用BER作為編碼方案，

BER用0、1字符來表示這樣的對象的規則集合叫做基本編碼規則(BasicEncodingRules，BER)。

BER描述了如何將ASN.1類型表示和編碼成八位字節串。它描述了具體的ASN.1對象如何編碼成比特流在網絡上進行傳輸。數據首先經過BER編碼，再經由傳輸層協議（一般是UDP）發送往接收方。接收方在SNMP端口收到PDU，經過BER解碼后，得到具體的SNMP操作數據。

對象信息編碼BER2.3SNMP管理信息結構

管理信息庫是整個SNMP協議體系框架的基礎，在這個數據庫包中含著被管理實體的管理信息。MIB使用SMI中定義的類型和ASN.1中的基本類型進行對象描述，是一個使用SMI描述的管理信息庫。MIB分為標準MIB和企業自定義MIB。2.4SNMP管理信息庫存儲在管理信息庫中的管理信息以樹形結構進行組織，樹形結構中的每一個葉子節點都代表一個信息、變量、配置，管理。

管理信息庫由被管理實體自已維護，被管理實體通過對這樹中相應的葉子結點賦值，反映自已的狀態。

管理者通過管理代理讀取相應的變量以獲得被管理實體的狀態信息，也可以通過管理代理修改某些值來實現控制被管理實體的功能。2.4SNMP管理信息庫2.4SNMP管理信息庫MIB-II的組對象對象標識符說明system.2.1.1提供設備或系統的信息。interfaces.2.1.2包含網絡接口的信息。at.2.1.3用于InternetIP地址到數據鏈路地址的地址轉換表。ip.2.1.4包含關于該設備的網際協議（IP）的統計信息。icmp.2.1.5包含Internet控制消息協議（ICMP）的統計信息。tcp.2.1.6包含傳輸控制協議（TCP）的統計信息。udp.2.1.7包含用戶數據報協議（UDP）的統計信息。egp.2.1.8包含外部網關協議（EGP）的統計信息。cmot.2.1.9CMOT協議的信息。transmission.2.1.10提供系統接口之下的特定媒體的信息。snmp.2.1.11包含簡單網絡管理協議（SNMP）的統計信息。2.5遠程監視RMONRMON簡介RMON是用于遠程監控的標準規范，它是由SNMPMIB擴展而來。RMON由探測器和管理者兩部分構成。

1．RMON背景與提出

SNMPv1有一些明顯的不足，主要有以下幾點。

（1)由于SNMP使用輪詢采集數據，在大型網絡中輪詢會產生巨大的網絡管理通訊報文導致網絡交通擁擠甚至阻塞，故不適合管理大型網絡；

不適合回收大信息量的數據，如一個完整的路由表；基于SNMP的標準僅提供一般的驗證，不能提供可靠的安全保證；

2.5遠程監視RMON

（2）標準管理信息庫MIB-II和各廠家的專有MIB庫主要提供有關設備的數據，如設備端口狀態、流量、錯誤包數等。網絡管理員只能從這些管理信息庫中獲得單個設備的局部信息。要想獲得一個子網網段的信息是非常困難的，而在規模越來越大的互聯網環境中，人們更需要監控的是一個網段的性能，因此僅僅使用標準MIB獲取設備的管理信息已經不能滿足管理大型互聯網的需要。

2.5遠程監視RMON（3）為了提高傳送管理信息的有效性、減少管理站的負擔、滿足網絡管理員監控網段性能的需求，IETF開發了RMON（RemoteMonitoring，遠程網絡監視），以解決SNMP在日益擴大的分布式互聯中所面臨的局限性。2.5遠程監視RMON

2．RMON的基本思想

RMON的基本思想是：把一部分原來在網管方面實現的功能放到設備上去實現。

2.5遠程監視RMON

3．RMON介紹

遠程網絡監視（RMON）首先實現了對異構環境進行一致的遠程管理，它為通過端口遠程監視網段提供了解決方案。

RMON是IETF定義的MIB（RFC1757），是對SNMP標準的擴展，它定義了標準功能以及在基于SNMP管理站和遠程監控者之間的接口，主要實現對一個網段乃至整個網絡的數據流量的監視功能，目前已成為成功的網絡管理標準之一。2.5遠程監視RMON

RMONMIB的實現可以記錄某些網絡事件，即使在網絡管理站沒有與監控設備主動進行連接（脫機）的情況下，也是一樣的。因此網絡管理員可以按以下要求配置監控：能夠對網絡進行診斷，連續地收集統計數據，以備日后網絡管理員進行分析。如果某個閾值超出或某個事件發生，監視器就會試圖通知負責這些事件的網絡管理站，從而使網絡管理員避免了面對不可控制的泛濫信息。2.5遠程監視RMONRMONMIB也用于記錄網絡性能數據和故障歷史，可以在任何時候訪問故障歷史數據，以有利于進行有效地故障診斷。使用這種方法減少了管理者同代理間的通信流量，使簡單而有力地管理大型互聯網絡成為可能。

2.5遠程監視RMON

RMON監視器可用兩種方法收集數據。一種是通過專用的RMON探測儀（probe），網管站直接從探測儀獲取管理信息并控制網絡資源，這種方式可以獲取RMONMIB的全部信息。另一種方法是將RMON代理直接植入網絡設備（路由器、交換機、Hub等），使它們成為帶RMONProbe功能的網絡設施，網管站用SNMP的基本命令與其交換數據信息，收集網絡管理信息，但這種方式受設備資源限制，一般不能獲取RMONMIB的所有數據，大多數只收集4個組的信息。

2.5遠程監視RMON

RMONMIB對網段數據的采集和控制通過控制表（controltable）和數據表（datatabel）完成。

RMONMIB按功能分成9個組。每個組有自己的控制表和數據表（有些組二者合一，如統計組）。其中，控制表可讀寫，數據表只讀，控制表用于描述數據表所存放數據的格式。配置的時候，由管理站設置數據收集的要求，存入控制表。

開始工作后，RMONMonitor根據控制表的配置，把收集到的數據存放到數據表。2.5遠程監視RMON

4．RMONMIB組

1）統計組統計組（statistics）統計被監控的每個子網的基本統計信息。網絡管理員可以從RMON探針監測的設備端口獲取一個網段的各種統計信息。目前只能對網絡設備的以太網接口進行監控、統計。它能統計一個網段的流量（如：交通流量的總包數和總字節數），統計各種類型包的分布（如廣播包、多點廣播包、不同大小包的數量），還能統計各種類型錯誤包數、碰撞次數等。

2.5遠程監視RMON

2）歷史組

歷史組（history）定期地收集統計網絡值的記錄并為日后的處理把統計存儲起來。它包含兩個小組：

HistoryControl組主要用來設置采樣間隔時間等控制信息；

EthernetHistory組為網絡管理員提供有關網段流量、錯誤包、廣播包、利用率以及碰撞次數等其他統計信息的歷史數據。

2.5遠程監視RMON

3）告警組告警組（alarm）允許網管站為網絡性能（可以是監視器本地MIB的任意整數類型的對象）定義一組報警閾值。如果閾值在相應的方向上被越過，監視器就會產生警報并把警報發往網管站。告警組需要事件組的實現。

2.5遠程監視RMON

4）主機組主機組（host）包含對連接在一個子網上所有主機的各種類型交通流量的記數值。它能夠發現網上的新主機，對每個主機的MAC地址保持一組統計數據，如主機發送或接收的數據包總數、廣播包數、流量字節數、錯誤包數等。它有一個控制表和兩個數據表，這兩個數據表的內容相同，只是組織排列順序不同。

2.5遠程監視RMON

5）事件組事件組（event）提供關于RMON代理所產生的所有事件的表。當某事件發生時可以記錄日志和（或）發送TRAP到網管站。

2.5遠程監視RMON

5.RMON應用

RMONMIB的使用意味著首次把網絡管理擴展到物理層，使獨立地收集設備數據成為可能，內置的監控工具提供了不占用寶貴網絡資源（帶寬）而對整個流量進行有限度的分析能力，RMON產品已經可以使用，而且其數量在今后會平穩增長。

2.5遠程監視RMON

管理者和管理代理之間以傳送SNMP消息的形式交換信息。在SNMP管理中，管理者和管理代理之間交換的管理信息構成了SNMP報文。簡單網絡管理協議為管理者和代理定義了3類操作：

1）Set操作用于管理者對被管理實體的管理信息進行設置，被管理實體的管理信息由對象標識符指定，Set操作通過設置對象標識符的值來實現對被管理實體的控制，它可以用來改變被管理實體的配置或控制被管理實體的運轉狀態。2.6SNMPv1分析2）Get操作用于管理者從被管理實體的管理信息庫中讀取管理信息。

Get操作具有Get和GetNext兩種形式。

Get操作指示直接讀取指定的OID所表示的被管理實體的管理信息值。GetNext操作指示讀取指定的OID所表示的被管理實體在MIB樹中，按照字典順序的下一個被管理實體的管理信息值。3）Trap操作用于管理代理向管理者報告被管理實體的狀態變化。

在管理者沒有明確要求的前提下，由管理代理通知管理者，被管理實體發生了一些特殊的情況或問題。通常該操作用于向管理者報告被管理實體上出現的異常事件。2.6SNMPv1分析2.6SNMPv1分析SNMPv1報文格式SNMP報文被封裝在用戶數據報協議（UDP）報文的數據項中，并通過UDP協議進行傳輸。2.6SNMPv1分析SNMPv1報文格式SNMP報文由首部和協議數據單元2部分組成。每個公共SNMP首部包含一個指示SNMP版本號的版本標識符、一個用于本次交換的共同體名和一個指出5種協議數據單元之一的消息類型。共3個字段。1.SNMP首部

（1）版本：

報文頭中的版本標識符是指SNMP的版本，0代表SNMPvl,1代表SNMPv2;

寫入版本字段的是版本號減1，對于SNMP（即SNMPv1）則應寫入0。

2.6SNMPv1分析（2）共同體名（community）：

SNMP用共同體來定義一個代理者和一組管理者之間的認證、訪問控制和代管的關系。共同體名用于身份認證;

這里的共同體名就是一個字符串，作為管理進程和代理進程之間的明文口令，常用的是6個字符public。利用SNMP共同體可以將管理和代理分組，同一共同體的管理和代理才能互相通信；代理不接受共同體之外的管理系統的請求；一個SNMP可以是多個共同體的成員。2.6SNMPv1分析（3）PDU類型：根據PDU的類型，填入0～4中的一個數字，其對應關系如表3.19所示。SNMPv1中有5種PDU類型，但只有3種PDU格式。PDU類型名稱0GetRequest1GetNextRequest2GetResponse3SetRequest4Trap2.6SNMPv1分析GetReques操作：從代理進程處提取一個或多個參數值。GetNextRequest操作：從代理進程處提取緊跟當前參數值的下一個參數值。GetResponse操作：返回的一個或多個參數值。這個操作是由代理進程發出的，它是前面三種操作的響應操作。SetRequest操作：設置代理進程的一個或多個參數值。Trap操作：代理進程主動發出的報文，通知管理進程有某些事情發生。SNMP的5種報文操作注意：在代理進程端是用熟知端口161接收Get或Set報文。而在管理進程端是用熟知端口162來接收GetResponse報文和Trap報文。2.6SNMPv1分析SNMPv1報文格式SNMPv1報文傳輸，經過傳輸層、互聯層、網絡存取層以及物理層的網絡。2.6SNMPv1分析SNMPv1報文格式SNMPv1報文協議數據單元分為協議數據單元首部和變量綁定兩個部分。Get/Set類型報文與Trap類型報文的協議數據單元首部格式不同。

2．Get/Set首部

（1）請求標識符(RequestID)：這是由管理進程設置的一個整數值。代理進程在發送GetResponse報文時也要返回此請求標識符。管理進程可同時向許多代理發出Get報文，這些報文都使用UDP傳送，先發送的有可能后到達。設置了請求標識符可使管理進程識別返回的響應報文是對應于哪一個請求的報文。

2.6SNMPv1分析（2）差錯狀態（ErrorStatus）：由管理代理進程在使用GetResponse報文將查詢結果返回管理進程時填寫。回答時填入0～5中的一個數字。差錯狀態名字說明0noError一切正常1tooBig代理無法將查詢結果裝入到一個SNMP報文之中2noSuchName操作指明了一個不存在的變量3badValue一個Set操作指明了一個無效值或無效語法4readOnly管理進程試圖修改一個只讀變量5genErr某些其他的差錯2.6SNMPv1分析差錯索引如果發生了noSuchName，badValue或readOnly等錯誤，則管理代理進程在使用GetResponse報文將查詢的結果返回管理進程時，需要將一個整數值填入差錯索引字段，用以指明發生差錯的變量在變量綁定列表中的偏移位置。2.6SNMPv1分析2.6SNMPv1分析SNMPv1報文格式SNMPv1報文協議數據單元分為協議數據單元首部和變量綁定兩個部分。Get/Set類型報文與Trap類型報文的協議數據單元首部格式不同。SNMP報文格式3.Trap首部

（1）企業（Enterprise）：填入Trap報文的網絡設備的對象標識符。此對象標識符肯定是在對象命名樹上的enterprise節點{.4.1}下面的一棵子樹上。用以說明是哪家企業生產的產品。

（2）常規陷阱（GenericTrap）分為coldStart、warmStart、linkDown、linkUpauthenticationFailure、egpNeighborLoss和enterpriseSpecific等七種情況。每種情況都有對應的代碼。Trap類型名字說明0coldStart代理進行了初始化1warmStart代理進行了重新初始化2linkDown一個接口從工作狀態變為故障狀態3linkUp一個接口從故障狀態變為工作狀態4authenticationFailure從SNMP管理進程接收到具有一個無效共同體的報文5egpNeighborLoss一個EGP相鄰路由器變為故障狀態6enterpriseSpecific代理自定義的事件，需要用后面的“特定代碼”來指明SNMP報文格式（3）特殊陷阱（SpecificTrap）

特殊陷阱用于廠商擴展的陷阱代碼，當常規陷阱的類型為6時，特殊陷阱字段指明由代理自定義的事件。

（4）時間戳(timestamp)：指明自代理進程初始化到trap報告的事件發生所經歷的時間，單位為10ms。例如時間戳為1908，表明在代理初始化后1908ms發生了該事件。SNMP報文格式4．變量綁定變量綁定指明一個或多個變量的名和對應的值。在Get或GetNext報文中，變量的值應忽略。

在SNMP中，可以將多個同類操作(Get、Set、Trap)放在一個消息中。如果管理站希望得到一個代理者處的一組標量對象的值，它可以發送一個消息請求所有的值，并通過獲取一個應答得到所有的值。這樣可以大大減少網絡管理的通信負擔。

SNMP報文格式為了實現多對象交換，所有的SNMP的PDU都包含了一個變量綁定字段。這個字段由對象實例的一個參考序列及這些對象的值構成。某些PDU只需給出對象實例的名字，如Get操作。對于這樣的PDU，接收協議實體將忽略變量綁定字段中的值。SNMP報文發送與接收圖3SNMP報文發送SNMP報文發送與接收圖4SNMP報文接收SNMP安全分析SNMP安全威脅偽造攻擊者假冒授權用戶對被管設備進行未授權管理操作，導致網絡管理混亂或失控。消息流修改攻擊者利用SNMP協議傳輸的脆弱性，以授權用戶的身份修改SNMP消息，生成虛假的管理消息。SNMP安全分析SNMP安全威脅消息竊聽攻擊者通過安裝特殊軟件或設備，竊聽明文傳遞的SNMP消息，特別是管理設備的訪問口令。拒絕服務攻擊攻擊者利用SNMP系統的脆弱性，發送大量的管理信息或者虛假管理配置信息，導致網絡中斷。流量分析

攻擊者通過分析SNMP消息傳遞，挖掘出一些敏感信息。SNMP安全分析SNMP安全需求提供消息的完整性驗證機制提供消息的源驗證機制提供消息的時間戳標識提供防止消息內容泄漏和非法讀寫的保護機制管理者和管理代理之間相互認證SNMP安全分析SNMP共同體認證/共同體訪問控制

RFC1157給出了SNMP中管理站和被管理的一種認證訪問控制機制，這種機制由兩部分組成：

（1）基于團體名認證機制（2）基于共同體名訪問授權機制共同體名認證機制：保證管理站和代理之間的通信是經過授權的，從管理站發送到代理的消息都有一個共同體名，類似口令一樣，通過共同體名驗證的消息才是有效的。訪問授權機制：解決代理如何控制自已的管理信息庫的問題，以防止管理站非授權訪問管理信息庫。SNMPV2的改進支持分布式管理改進了管理信息結構增強了管理信息通信協議的能力與前兩種版本相比，SNMPV3中增加了安全管理方式及遠程控制。SNMPV3結構引入了基于用戶的安全模型用于保證消息安全及基于視圖的訪問控制模型用于訪問控制（USM）。這種安全管理方式支持不同安全性，訪問控制及消息處理等模式的并發使用。SNMP中的遠程配置

SNMPV3使用SNMPSET命令配置MIB對象，使之能動態配置SNMP代理。這種動態配置方式支持本地或遠程地配置實體的添加、刪除及修改。SNMPV3的改進

1．MIB瀏覽器簡介

MIB變量瀏覽器是一種重要的網絡管理工具。

MIB瀏覽器也稱為MIB編輯器，它使得用戶能夠以不同的方式遍歷特定的MIB樹，獲得不同的對象“視圖”。它的輸出通常是圖形化的，而且會給出所有MIB變量的簡要信息，并標出其在樹中的位置。

MIB瀏覽器使得對于MIB變量的瀏覽變得更加方便和容易。網絡管理人員可以利用MIB變量瀏覽器取出網元的前端配置信息、性能參數以及統計數據等，對網絡情況進行監視。2.7MIB瀏覽器

2．snmputilSNMP信息查詢實用工具--MIB瀏覽器。ResourceKit里面的工具snmputil，通過該工具可以方便地獲得非常多的信息。下載地址：/abu/tools/win/snmputil.exe。Snmputil.exe提供最基本的、低級的SNMP功能。通過使用不同的參數和變量，可以顯示設備情況以及和管理設備。

snmputil是一個命令行下的軟件，使用語法如下：snmputil[get|getnext|walk]agentcommunityoid[oid…]第一個參數為[get|getnext|walk]。

get操作獲得所請求的對象標識符的值。

getnext操作獲得指定對象標識符的下一個對象的值。因為一個設備的所有SNMP變量都是規則排列的，所以使用getnext命令參數就可以獲取一個設備中的所有變量值及OID，而不需要事先知道它們的準確OID值。

walk操作可以遍歷對象標識符所指定的管理信息庫(MIB)分支信息（所有數據庫子樹/子目錄的信息）。

第二個參數agent表示指定將SNMP請求發送給哪個設備的代理進程。在這里可以是代理進程的IP地址或者localhost（本地主機）。

第三個參數community指定使用哪個共同體（即驗證字符串或口令），共同體名加上發送方的一些標識信息(附加信息)，用以驗證發送方確實是共同體中的成員。共同體實際上就是用來管理應用實體之間身份鑒別的，在這里是public。在每個發送到被管理設備的SNMPUDP信息包中，這個口令是以純文本形式傳輸的。當一個Win2K設備安裝上SNM