第2章SNMP網絡管理架構主要內容：

1）SNMP的功能；

2）SNMP的結構；

3）SNMP系統；

4）SNMP協議。2.1網絡管理協議和功能

1.網絡管理協議的發展

1）基本概念網絡管理進程：對具體的網絡設備進行管理的軟件。每個廠家的設備都有自己的設備管理軟件（像驅動程序一樣）。網絡管理代理：連接管理者與被管理設備之間的系統，把管理者下達的命令轉換成被管理設備的管理命令，同時將設備的信息上傳給管理者。網絡管理協議：管理進程與管理代理之間的通信標準。

2）ICMPICMP的全稱是InternetControlMessageProtocol。從技術角度來說，ICMP就是一個“錯誤偵測與回報機制”，其目的就是能夠檢測網路的連線狀況﹐也能確保連線的準確性﹐其功能主要有：

·偵測遠端主機是否存在。

·建立及維護路由資料。

·重導資料傳送路徑（ICMP重定向）。

·資料流量控制。

ICMP是TCP/IP協議族的一個子協議，屬于網絡層協議，用于在IP主機、路由器之間傳遞控制消息?？刂葡⑹侵妇W絡通不通、主機是否可達、路由是否可用等網絡本身的消息。這些控制消息雖然并不傳輸用戶數據，但是對于用戶數據的傳遞起著重要的作用。。當遇到IP數據無法訪問目標、IP路由器無法按當前的傳輸速率轉發數據包等情況時，會自動發送ICMP消息。

ICMP提供一致易懂的出錯報告信息。發送的出錯報文返回到發送原數據的設備，因為只有發送設備才是出錯報文的邏輯接受者。發送設備隨后可根據ICMP報文確定發生錯誤的類型，并確定如何才能更好地重發失敗的數據包。但是ICMP唯一的功能是報告問題而不是糾正錯誤，糾正錯誤的任務由發送方完成。在網絡中經常會使用到ICMP協議，如經常使用的用于檢查網絡通不通的Ping命令（Linux和Windows中均有），這個“Ping”的過程實際上就是ICMP協議工作的過程。還有其他的網絡命令如跟蹤路由的Tracert命令也是基于ICMP協議的。

ICMP報文格式有3種格式：ICMP地址掩碼請求與應答

ICMP時間戳請求與應答

ICMP端口不可達差錯

ICMP報文在IP包中的位置：以太包首部IP首部ICMP首部ICMP報文數據（可變）14字節20字節8字節類型代碼檢驗和長度可變部分取決于ICMP的類型位081631ICMP報文首部數據類型值ICMP報文的類型0回送（echo）回答3目的站不可達4源站抑制5改變路由8回送（echo）請求11數據報的時間超過12數據報的參數有問題13時間戳請求14時間戳回答17地址掩碼請求18地址掩碼回答IP數據報

ICMP格式及報文類型

ICMP報文格式:ICMP地址掩碼請求與應答:031715類型校驗代碼標識符序列號掩碼ICMP時間戳請求與應答：031715類型校驗代碼標識符序列號發起時間戳接收時間戳傳送時間戳ICMP端口不可達差錯：ICMP首部8字節出現差錯的數據包IP首部20字節UDP首部8字節

3)SNMP

SNMP(SimpleNetworkManagementProtocol)簡單網絡管理協議，由一組網絡管理的標準組成，包含一個應用層協議（applicationlayerprotocol）、數據庫模型（databaseschema）和一組資源對象。該協議能夠支持網絡管理系統，用以監測連接到網絡上的設備是否有任何引起管理上關注的情況。該協議是互聯網工程工作小組（IETF，InternetEngineeringTaskForce）定義的internet協議簇的一部分。

SNMP開發于九十年代早期，其目的是簡化大型網絡中設備的管理和數據的獲取。許多與網絡有關的軟件包，如HP的OpenView和NortelNetworks的OptivityNetworkManagementSystem，還有MultiRouterTrafficGrapher（mrtg）之類的免費軟件，都用SNMP服務來簡化網絡的管理和維護。由于SNMP的效果好，所以網絡硬件廠商開始把SNMP加入到它們制造的每一臺設備。今天，各種網絡設備上都可以看到默認啟用的SNMP服務，從交換機到路由器，從防火墻到網絡打印機，無一例外。

4)CMIP/CMISCMIP(CommonManagementInformationProtocol)通用管理信息協議國際標準化組織（ISO）為了解決不同廠商、不同機種的網絡之間互通而創建的開放系統互聯網絡管理協議。被認為是網絡管理模型的電信管理網（TMN），就是在這個CMIP的基礎上建立起來的。通用管理信息協議（CMIP）是構建于開放系統互連（OSI）通信模型上的網絡管理協議。與之相關的通用管理信息服務（CMIS）定義了獲取、控制和接收有關網絡對象和設備信息和狀態的服務。

CMIP是在OSI制定的網絡管理框架基礎上提出的網絡管理協議。在網絡管理過程中，CMIP是通過事件報告進行工作的。

4)CMOT(CMIPOVERTCP/IP)CMOT公共管理信息服務與協議（CMOT）是在TCP/IP協議簇上實現CMIS服務，這是一種過渡性的解決方案，直到OSI網絡管理協議被廣泛采用。CMIS使用的應用協議并沒有根據CMOT而修改，CMOT仍然依賴于CMISE、ACSE和ROSE協議，這和CMIS/CMIP是一樣的。但是，CMOT并沒有直接使用參考模型中表示層實現，而是要求在表示層中使用另外一個協議--輕量表示協議（LPP），該協提供了目前最普通的兩種傳輸層協議--TCP和UDP的接口。CMOT的一個致命弱點在于它是一個過渡性的方案，而沒有人會把注意力集中在一個短期方案上。相反，許多重要廠商都加入了SNMP潮流并在其中投入了大量資源。事實上，雖然存在CMOT的定義，但該協議已經很長時間沒有得到任何發展了。

5)LMMP

局域網個人管理協議（LANManManagementProtocol）,為LAN環境提供一個網絡管理方案。LMMP以前被稱為IEEE802邏輯鏈路控制上的公共管理信息服務與協議（CMOL）。由于該協議直接位于IEEE802邏輯鏈路層（LLC）上，它可以不依賴于任何特定的網絡層協議進行網絡傳輸。由于不要求任何網絡層協議，LMMP比CMIS/CMIP或CMOT都易于實現，然而沒有網絡層提供路由信息，LMMP信息不能跨越路由器，從而限制了它只能在局域網中發展。

2.從管理設備上獲取數據的方式

1）本地終端方式通過RS232端口或者Console端口將網絡設備與計算機連接，再通過計算機上的超級終端功能，登錄到被管理設備，然后進行監控和配置。

2）遠程telnet命令被管理設備與計算機通過網絡連接，利用管理設備的IP地址，在主機上用telnet命令登錄到該網絡設備（終端），然后對設備進行監控管理。以上這2個命令都只能一次對單臺設備進行網絡管理，一般還需要知道被管理設備的管理賬號和密碼。

3)基于網絡管理協議的方式前面2種方式都只能管理單臺設備，當網絡很復雜時，采用這些管理辦法顯然不行。為了高效地管理網絡系統，人們提出了一個標準的基于網絡管理協議的模型：管理代理MIB網絡資源管理協議管理進程MIB管理系統被管理對象操作響應通知一個管理系統，邏輯由以下4個方面構成：（1）管理進程（3）管理代理（2）管理協議（4）管理信息庫（1）管理信息庫MIB：管理信息庫由網絡系統內所有被管理對象及其屬性構成，它是一個虛擬的數據庫，里面包含有被管理網元（管理對象，管理變量）的信息，由管理進程和管理代理共同使用，且其中管理進程掌握著全局的MIB，而管理代理只針對一個具體的操作實例。（2）管理代理負責一個具體的管理對象的實例，它負責翻譯管理進程傳達的命令，同時將管理對象的信息傳送給管理進程。（3）管理進程是負責對網絡中的設備和設施進行全面有效的管理和控制的相關軟件。（4）管理協議對管理進程與管理代理之間的通信進行規范和約定。2.2SNMP的功能及典型應用

1.SNMP的功能

SNMP是網絡管理中，實現各種操作的一種通用協議，其功能是保證管理員對網絡設備的維護管理工作正常進行。SNMP定義了統一的接口標準和通信協議，以保證管理員可以用統一的方式管理不同廠家的不同設備。

SNMP的3個主要操作：

1）讀操作GET：管理員向被管理設備發送讀操作，讀取設備的狀態信息和參數。另外被管理設備也會定義自動被讀，以便將自身的狀態信息和參數傳送給管理員。

2）寫操作SET：管理員需要調整網絡參數時，通過寫操作向被管理設備發送相關的命令。

3）回傳操作trap：當被管理設備狀態發生變化時，Trap操作會自動將變化了的信息實時傳送給管理員，以便管理員隨時掌握網絡的運行狀況。

2.SNMP的典型應用網絡管理網絡打印機服務器路由器交換機防火墻網絡存儲2.3SNMP系統構成

1.SNMP系統結構MIB管理站UDPIP底層協議代理MIBUDPIP底層協議網絡

2.SNMP中的角色及關系有3個角色：網絡管理系統NMS；代理Agent；代理服務器ProxyIP網絡NMSAgentAgentProxy非IP網絡Proxy非SNMP標準設備

3.SNMP組成

SNMP有v1.0發展到v3.0，其構成一直沒有變化SMIMIBSNMP協議SNMP組成UDP底層協議

1）SMI管理信息結構：SMI定義了一個ASN.1的子集，規定使用哪些符號和元素來描述SNMP。

2）MIB管理信息庫：使用SMI來定義設備及網絡協議的數據。

3）SNMP協議：定義了SNMP數據包格式、封裝方式及數據傳輸方式。2.4SNMP系統

SNMP系統由MIB、SMI和SNMP協議組成。

1.管理信息庫MIB

管理信息庫MIB中包含了所有可以供管理進程查詢與設置的網絡設備的信息。SNMP的管理信息庫采用和DNS相似的樹形結構。在這個樹形結構里，SNMP協議消息通過遍歷MIB樹中的節點OID來訪問網絡中的設備。

MIB樹的每個節點被指定為一個數字（非負），同一層的節點用不同的數字區分。這些節點的數字由標準組織指定。

2.管理信息結構SMISMI（StructureofManagementInformation）用于定義存儲在MIB中信息的語法和語義，對MIB進行定義和構造。

SMI是ASN.1的一個子集，它約定了使用到的語法、類型、宏、數據格式等。所有網絡設備廠家在為其網絡設備寫MIB時都遵循SMI的定義規范。

SMI定義的數據類型：◆簡單類型（simple）

Integer：整型是-2147483648--+2147483647的有符號整數;

octerstring:字符串是0--65535個字節的有序序列;

OBJECTIDENTIFIER:來自按照ASN.1規則分配的對象標識符集;◆簡單結構類型（simple-constructed）

SEQUENCE用于列表。這一數據類型與大多數程序設計語言中的“structure”類似。一個SEQUENCE包括0個或更多元素，每一個元素又是另一個ASN.1數據類型;

SEQUENCEOFtype用于表格。這一數據類型與大多數程序設計語言中的“array”類似。一個表格包括0個或更多元素，每一個元素又是另一個ASN.1數據類型;◆應用類型（application-wide）

IpAddress:以網絡序表示的IP地址。因為它是一個32位的值，所以定義為4個字節；

counter：計數器是一個非負的整數，它遞增至最大值，而后回零。在SNMPv1中定義的計數器是32位的，即最大值為4294967295；

Gauge：也是一個非負整數，它可以遞增或遞減，但達到最大值時保持在最大值；

timeticks：是一個時間單位，表示以0.01秒為單位計算的時間；

3.SNMP協議

SNMP為應用層協議，它通過用戶數據報協議UDP來操作，管理系統中的應用程序對MIB進行訪問控制，并提供用戶操作界面，同時它通過SNMP完成對網絡設備的相關管理。SNMP應用程序SNMP管理進程UDPIP鏈路層物理層GetRequestGet-nextReqSetRequestGet-responsetrap管理系統MIBSNMP代理進程UDPIP鏈路層物理層GetRequestGet-nextReqSetRequestGet-responsetrap網絡設備被管理設備MIB2.5SNMP協議體系結構及報文格式

1.SNMP體系結構

SNMP采用的是集中式管理方案，其體系結構如下：managerAgentMIBObjectAgentMIBObjectAgentMIBObject

2.SNMP的工作機制管理進程與管理代理之間，管理代理與網絡設備本地MIB之間，都是通過SNMP協議進行通信的，SNMP供有5類操作：Get-Request、Get-Response、Get-Next-Request、Set-Request、Trap(1)Get-Request、Get-Next-Request與Get-Response：SNMP管理站用Get-Request消息從擁有SNMP代理的網絡設備中檢索信息，而SNMP代理則用Get-Response消息響應。Get-Next-Request用于和Get-Request組合起來查詢特定的表對象中的列元素。

(2)Set-Request：SNMP管理站用Set-Request可以對網絡設備進行遠程配置（包括設備名、設備屬性、刪除設備或使某一個設備屬性有效/無效等）。

(3)TrapSNMP代理使用Trap向SNMP管理站發送非請求消息，一般用于描述某一事件的發生。

3.SNMP的報文格式

SNMP有5種報文格式,即PDU（協議數據單元）類型0--4。

1）公共SNMP首部

共三個字段：

（1）版本：SNMP版本號；（2）共同體（community）：共同體就是一個字符串，作為管理進程和代理進程之間的明文口令，常用的是6個字符“public”。

（3）PDU類型：根據PDU的類型，填入0～4中的一個數字，其對應關系如表2所示意圖。PDU類型名稱0get-request1get-next-request2get-response3set-request4trap

2）get/set首部（1）請求標識符(requestID)：這是由管理進程設置的一個整數值。代理進程在發送get-response報文時也要返回此請求標識符。管理進程可同時向許多代理發出get報文，這些報文都使用UDP傳送，先發送的有可能后到達。設置了請求標識符可使管理進程能夠識別返回的響應報文對于哪一個請求報文（2）差錯狀態（errorstatus）：由代理進程回答時填入0～5中的一個數字。差錯狀態名字說明0noError一切正常1tooBig代理無法將回答裝入到一個SNMP報文之中2noSuchName操作指明了一個不存在的變量3badValue一個set操作指明了一個無效值或無效語法4readOnly管理進程試圖修改一個只讀變量5genErr某些其他的差錯（3）差錯索引(errorindex)

當出現noSuchName、badValue或readOnly的差錯時，由代理進程在回答時設置的一個整數，它指明有差錯的變量在變量列表中的偏移。

3）trap首部共有5個字段。（1）企業（enterprise）填入trap報文的網絡設備的對象標識符。此對象標識符肯定是對象命名樹上的enterprise結點{1.3.6.1.4.1}下面的一棵子樹上。（2）trap類型此字段正式的名稱是generic-trap，共分為7種。trap類型名字說明0coldStart代理進行了初始化1warmStart代理進行了重新初始化2linkDown一個接口從工作狀態變為故障狀態3linkUp一個接口從故障狀態變為工作狀態4authenticationFailure從SNMP管理進程接收到具有一個無效共同體的報文5egpNeighborLoss一個EGP相鄰路由器變為故障狀態6enterpriseSpecific代理自定義的事件，需要用后面的“特定代碼”來指明（3）特定代碼(specific-code)

指明代理自定義的時間（若trap類型為6），否則為0。（4）時間戳(timestamp)

指明自代理進程初始化到trap報告的事件發生所經歷的時間，單位為10ms。例如時間戳為1908表明在代理初始化后1908ms發生了該時間。（5）代理地址（Agent-addr）產生Trap的SNMP代理或代理服務器的地址。

4）變量綁定(variable-bindings)

指明一個或多個變量的名和對應的值。在get或get-next報文中，變量的值應忽略。

4.SNMP共同體和安全控制在SNMP系統中一般是分布式管理策略，即一個管理站與多個代理相連接，每個代理控制著自己的網絡設備的資源。但實際操作中，往往一個代理會和多個管理連接，這就相當于一臺設備有多個操作員操作，需要進行權限的核定。manager1Agent1MIBObjectAgent2MIBObjectAgent3MIBObjectmanager2共同體（Community）：共同體由被管理設備本地進行定義，它約束著自己的代理與一組管理進程之間的認證和訪問控制關系。不同的廠家可以會定義相同的共同體名，但一個共同體的解釋是由與之相配套的代理決定的，所以相同的共同體名不會引起管理進程的混淆。

5.輪詢和中斷

SNMP代理從被管理設備獲得數據有3種方法：輪詢、中斷和自陷輪詢

1）輪詢（Polling-Only）嵌入到網絡設備中的代理軟件收集、統計網絡和設備本身的信息，并將它們存放在本地MIB中，管理進程采用輪詢的方法通過代理不斷地獲得最新數據。由于一個管理進程管理者多個代理，所以輪詢的時間間隔和順序都對統計分析的結果產生影響。

2）中斷（Interrupt-Based）當網絡或設備產生異常時，會采用中斷機制實時向管理進程傳送相關數據，以便管理者及時掌握出現的故障。

3）自陷輪詢（Trap-DirectedPolling）自陷輪詢實際和中斷類似，不同的是設備并沒有產生異常，通過自陷輪詢，設備可以實時向管理進程傳送當前的相關數據。

值得注意的是，自陷輪詢有時會產生大量的網絡流量并消耗設備處理器資源。2.6SNMP的發展和現狀

1.SNMP的發展歷史

1）SNMPv11989年發布v1,可以通過代理完成對設備的MIB的讀寫操作。1991年對v1進行擴展，增加了RMONv1，增加了子網流量統計分析，并提供對OSI模型中的網絡層和數據鏈路層的監視。

2）SNMPv21995年發布v2版，增加了事件報警、批量數據獲取以及管理站和管理站之間的通信接口。同時RMONv1升級到RMONv2，RMONv2提供對OSI的各層的監視功能。

3）SNMPv31998年發布，增加了基于用戶安全模式的功能，使用加密技術和用戶驗證技術提高安全性。

2.SNMPv2的主要特點

1）提供了讀取大塊數據的能力，即增加了GetBulkRequest操作。

2）增加了管理進程之間的通信，通過InformRequest操作實現。

3）可以在多種協議上運行包括：OSI、Applettalk、IPX等。

4）SMI提供更詳細的規范和文檔。

5）對MIBII進行了修改和擴充。

6）提出了安全管理規范（但沒有具體實現）。

3.SNMPv3的特點

1）對傳輸的數據加密，采用DES（DataEncryptionStandard）算法對SNMP消息加密。

2）增加了數據完整性檢查，利用MD5（MessageDigestAlgorithm5,信息摘要）和SHA（SecureHashAlgorithm,安全散列）技術驗證管理對象的標示符，保證數據不被篡改，傳輸順序不發生錯誤。

3）驗證數據發送源的一致性。

4）通過時效機制，保證只有一定時間范圍內的數據有效。

補充1：DES算法

DES算法為密碼體制中的對稱密碼體制，又被稱為美國數據加密標準，是1972年美國IBM公司研制的對稱密碼體制加密算法。明文按64位進行分組，密鑰長64位，密鑰事實上是56位參與DES運算（第8、16、24、32、40、48、56、64位是校驗位，使得每個密鑰都有奇數個1）分組后的明文組和56位的密鑰按位替代或交換的方法形成密文組的加密方法。

補充1：DES算法64位碼64位碼初始變換逆初始變換乘積變換16次迭代明文密文輸入輸出IPIP-1輸入（64位）58504234261810260524436282012462544638302214664564840322416857494133251791595143352719113615345372921135635547393123157輸出（64位）初始變換IPL0（32位）R0（32位）

補充1：DES算法LiLi-1Ri-1Ri

Li-1

f(Ri-1,Ki)

補充1：DES算法乘積變換16次迭代：補充2MD5散列算法散列是信息的提煉，通常其長度要比信息小得多，且為一個固定長度。加密性強的散列一定是不可逆的，這就意味著通過散列結果，無法推出任何部分的原始信息。任何輸入信息的變化，哪怕僅一位，都將導致散列結果的明顯變化，這稱之為雪崩效應。散列還應該是防沖突的，即找不出具有相同散列結果的兩條信息。具有這些