《(精品)第14章 SNMP网络管理体系结构.ppt》由会员分享,可在线阅读,更多相关《(精品)第14章 SNMP网络管理体系结构.ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第14章 SNMP网络管理体系结构第14章 SNMP网络管理体系结构 14.1 SNMP体系结构 14.1.1 TCMP网络管理的发展 14.1.2 SNMP基本框架14.2 SNMP管理信息 14.2.1 管理信息结构 14.2.2 MIB-II14.3简单网络管理协议 14.3.1 SNMP支持的操作 14.3.2 共同体和安全控制 14.3.3 实例标识 14.3.4 辞典编纂式排序 14.3.5 SNMP消息格式 14.3.6 GetRequest PDU 14.3.7 GetNextRequest PDU 14.3.8 SetRequest PDU 14.3.9 Trap PDU 1
2、4.3.10 传输层的支持14.4 SNMPv2 14.4.1 SNMPv2对SNMPv1改进 14.4.2 SNMPv2网络管理框架 14.4.3 协议操作小结:14.1 SNMP体系结构问题:网络中的大量设备要管理,了解设备状态。在早期:只有ICMP可以作为网络管理的工具。如PING就是利用ICMP加上另外的选项和请求次数,来确定设备,但这是基于网络管理人员的管理。因特网设备由管理员维护是不可能的,需要有协议来自动管理。14.1 SNMP体系结构解决:在设备中提供网管功能,使用简单网络管理协议SNMP(应用层、UDP)。提供网络接口,如令牌环(token ring)和光纤分布数据接口(FD
3、DI)等。SNMP的网络管理模型包含:管理者、代理者、管理信息库(MIB)、网络管理协议(SNMP)。14.1 SNMP体系结构代理者是被管理的设备,是网络中的一个节点,如路由器、网管服务器、交换机、网桥、集线器等均可以为代理者工作。对管理站的信息请求和动作进行应答,并随机报告以外事件。每一个支持SNMP的网络设备中都运行着一个SNMP代理,它负责随时收集和存储管理信息,记录网络设备的各种情况。14.1 SNMP体系结构 管理者与代理者之间通过网络管理协议通信,SNMP通信协议主要包含以下几个能力:Get:管理站读取代理者处对象的值。Set:管理站设置代理者处对象的值。Trap:代理者向管理站
4、通报重要事件。14.1 SNMP体系结构 技术特点:1、代管:网桥、调制解调器不支持UDP和IP就可以托管,转换成该设备使用的管理协议。2、陷阱引导轮询:如果管理站负责大量的代理者,而每个代理者有维护大量的对象,则靠管理站及时地轮询所有代理者维护的可读数据是不现实的,所以在初使化建立基准后管理站降低轮询频度,相反地,由代理者自动负责报告异常情况。14.1 SNMP体系结构SNMP的自陷的轮询模式:管理工作站通过轮询被管理设备进行信息收集。当被管理设备出现异常状态时,管理代理通过SNMP自陷向网络管理者发送出错通知。好处:有效地节约网络容量和代理者的处理时间,网络基本上不传送管理站不需要的管理信
5、息,代理者也不会无意义地频繁应答信息请求。就是?激活主动!14.1 SNMP体系结构管理信息数据库(MIB)是由SNMP代理维护的一个信息存储库,是一个具有分层特性的信息的集合。MIB定义了各种数据对象,网络管理员可以通过直接控制这些数据对象去控制、配置或监控网络设备。SNMP通过SNMP代理来控制 MIB数据对象。无论MIB数据对象有多少个,SNMP代理都需要维持它们的一致性,这也是代理的任务之一。14.2 SNMP管理信息 管理信息库MIB指明了网络元素所维持的变量(即能够被管理进程查询和设置的信息)。MIB给出了一个网络中所有可能的被管理对象的集合的数据结构。SNMP的管理信息库采用和域
6、名系统DNS相似的树型结构,根在最上面。叶子是实际被管对象,每个对象类型有唯一标识符。14.2 SNMP管理信息图14-1管理信息库的对象命名举例14.2 SNMP管理信息 对象命名树的顶级对象有三个,即CCITT、ISO 和这两个组织的联合体。在ISO的下面有4个结点,其中的一个(标号3)是被标识的组织。在其下面有一个美国国防部的子树(标号是6),再下面就是Internet(标号是1)。在只讨论Internet中的对象时,可只画出Internet以下的子树,并在Internet结点旁边标注上1.3.6.1即可。在Internet结点下面的第二个结点是mgmt(管理,标号是2)。再下面是管理信
7、息库,原先的结点名是mib。14.2 SNMP管理信息 MIB的定义与具体的网络管理协议无关,厂商可以在产品(如路由器)中包含SNMP代理软件,并保证在定义新的MIB项目后该软件仍遵守标准。用户可以使用同一网络管理客户软件来管理具有不同版本的MIB的多个路由器。MIB中的对象1.3.6.1.4.1,即enterprises(企业),其所属结点数已超过3000。例如IBM为 1.3.6.1.4.1.2,Cisco为1.3.6.1.4.1.9,Novell为1.3.6.1.4.1.23等。世界上任何一个公司、学校只要用电子邮件发往iana-mibisi.edu进行申请即可获得一个结点名。这样各厂家
8、就可以定义自己的产品的被管理对象名,使它能用SNMP进行管理。14.2 SNMP管理信息最初的结点mib管理的信息类别14.3.1 SNMP支持的操作SNMP管理站通过使用Get和Getnext命令,以“轮询”的方式来收集网络设备的信息,以检查设备的状态。当需要更改某些网络设备的运行参数时,SNMP使用命令set来控制。如果网络设备中有些重要的信息,如路由器发生断电事故,SNMP允许网络设备立即主动向管理站报告发生的关键事件,这种模式称为自陷(trap)。14.3.2 共同体和安全控制 管理信息报文中包括以下两部分内容:共同体名:加上发送方的一些标识信息,用以验证发送方确实是共同体中的成员。数
9、据:这是两个管理应用实体之间真正需要交换的信息。14.3.3 实例标识 当对MIB变量进行操作,如查询和设置变量的值时,必须对MIB的每个变量进行标识。首先,每个对象有唯一的标识,如后面表格中的各个条目。14.3.3 实例标识 对于UDP监听表来说,MIB定义了包含两个变量:UdpUdpLocalLocalAddresAddress:它是一个IP地址;UdpUdpLocalLocalPortPort:它是一个端口;假设在UDP监听表中有3行具体成员:第1行的IP地址是0.0.0.0,端口号是67;第2行IP层地址是0.0.0.0,端口号是161;第3行的IP地址是0.0.0.0,端口号是520
10、。如图25-12所示。这意味着系统将从端口67(BOOTP服务器)、端口161(SNMP)和端口520(RIP)接受来自任何接口的UDP数据报。14.3.3 实例标识14.3.4 辞典编纂式排序 MIB中按照对象标识进行排序时的排序规则。是根据其对象标识按照字典的顺序进行排序的。这就意味着图25-12中的6个变量排序后的情况如图25-13所示。14.3.4 辞典编纂式排序14.4 SNMPv2 在1993年,发表了定义新版本SNMP的11个RFC。RFC 1441 是其中的第一个,它系统地介绍了SNMP v2。在SNMP v2中定义了一个新的分组类型get-bulk-request,它高效率地
11、从代理进程读取大块数据。另的一个新的分组类型是inform-request,它使一个管理进程可以向另一个管理进程发送信息。SNMPv2的安全性比SNMP v1大有提高。在SNMP v1中,共同体名称是以明文方式传送的。而SNMP v2可以提供鉴别和加密。厂家提供的设备支持SNMP v2的会越来越多,管理站将对两个版本的SNMP代理进程进行管理。小结:什么是SNMP?SNMP(Simple Network Management Protocol,简单网络管理协议)的目标是:管理Internet上众多厂家生产的软硬件平台,现在出到第三个版本,特别是加入了符合Internet定义的SMI和MIB,其
12、功能已经大大地加强和改进了。小结:SNMP信息信息 MIB(Management Information Base,管理信息库),SMI(Structure of Management Information,管理信息结构),SMI定义在MIB中使用的数据类型及名称或表示。进行SNMP网络管理有几个重要部分:管理基站(接口),管理代理(设备,如主机,网桥,路由器和集线器等),管理信息库(MIB)和网络管理工具(SNMP,取得、设置和接收代理发送的意外信息)。小结:SNMP版本版本 简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年第一个版本SNMPv1,
13、也暴露出了明显的不足,如,难以实现大量的数据传输,缺少身份验证和加密机制。因此,1993年发布了SNMPv2,具有以下特点:支持分布式网络管理 扩展了数据类型 可以实现大量数据的同时传输,提高了效率和性能 丰富了故障处理能力 增加了集合处理功能 加强了数据定义语言 小结:管理信息库管理信息库 管理信息库MIB指明了网络元素所维持的变量(即能够被管理进程查询和设置的信息),SNMP的管理信息库采用和域名系统DNS相似的树型结构。对象命名树的顶级对象有三个,即ISO、ITU-T和这两个组织的联合体。在ISO的下面有4个结点,其中标号3是被标识的组织。在其下面有一个美国国防部的子树(标号是6),再下
14、面就是Internet(标号是1),可记1.3.6.1。在Internet结点下面的第二个结点是mgmt(管理),标号是2。再下面是管理信息库,原先的结点名是mib。1991年定义了新的版本MIB-II,故结点名现改为mib-2,其标识为1.3.6.1.2.1,或Internet(1).2.1。小结:管理信息库管理信息库 最初的结点mib将其所管理的信息分为8个类别,现在demib-2所包含的信息类别已超过40个。应当指出,MIB的定义与具体的网络管理协议无关,这对于厂商和用户都有利。厂商可以在产品(如路由器)中包含SNMP代理软件,并保证在定义新的MIB项目后该软件仍遵守标准。用户可以使用同
15、一网络管理客户软件来管理具有不同版本的MIB的多个路由器。当然,一个没有新的MIB项目的路由器不能提供这些项目的信息。这里要提一下MIB中的对象1.3.6.1.4.1,即enterprises(企业),其所属结点数已超过3000。例如IBM为11.3.6.1.4.1.2,Cisco为1.3.6.1.4.1.9,Novell为1.3.6.1.4.1.23等。小结:作用简述作用简述 如SNMP这个协议进行状态查询的工具软件Snmputilg.exe。打开工具显示界面之后,就可以用来执行诸如GET,GET-NEXT等等操作或进行有关的设置。小结:使用方法使用方法 1.启动程序:在WINDOS2000
16、的环境中,点击开始运行,在编辑框中键入snmputilg然后回车或点击确定。2.Snmputilg.exe是一个图形界面的工具。3.工具启动后,Node(接点)编辑框中显示地址值是127.0.0.1(回环);图中显示的值是.1.3.6.1.2.1,(MIB)。4.如果选择了别的系统的IP地址,则必须运行SNMP服务,且目标系统必须配置好地址设置和权限打开。5.当选定community(团体)的值时,一要注意对象必须存在,二要注意其可读属性,三要注意这个项目在windows系列的不同版本中对访问地址的限制不一样。小结:使用方法使用方法 6.凡是SNMP可以执行的功能,在图中下拉组合框中都已经列出
17、,可供选择。选择好之后,请鼠标点击ExecuteCommand(执行命令)按钮来执行对应的操作。GETthevalueofthecurrentobjectidentifier:得到当前对象的ID标识数值 GETtheNEXTvalueafterthecurrentobjectidentifier(thisisthedefault):得到紧接当前对象之后的下一个对象的ID标识数值(这是默认的)GETtheNEXT20valuesafterthecurrentobjectidentifier:得到当前对象之后的20个对象的ID标识数值 GETallvaluesfromobjectidentifie
18、rdown(WALKthetree):得到从当前对象往下的所有对象的ID标识数值 WALKthetreefromWINSvaluesdown:从WINS值往下漫游目录 WALKthetreefromDHCPvaluesdown:从DHCP值往下漫游目录 WALKthetreefromLANMANvaluesdown:从LANMAN值往下漫游目录 WALKthetreefromMIB-IIdown(InternetMIB):从MIB-II往下漫游目录 小结:在网络设备中的作用在网络设备中的作用 SNMP是目前最常用的环境管理协议。SNMP被设计成与协议无关,所以它可以在其他传输协议上被使用。SN
19、MP是一系列协议组和规范,它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。目前,几乎所有的网络设备生产厂家都实现了对SNMP的支持。领导潮流的SNMP是一个从网络上的设备收集管理信息的公用通信协议。设备的管理者收集这些信息并记录在管理信息库(MIB)中。这些信息报告设备的特性、数据吞吐量、通信超载和错误等。MIB有公共的格式,所以来自多个厂商的SNMP管理工具可以收集MIB信息,在管理控制台上呈现给系统管理员。小结:在网络设备中的作用在网络设备中的作用 通过将SNMP嵌入数据通信设备,如路由器、交换机或集线器中,就可以从一个中
20、心站管理这些设备,并以图形方式查看信息。目前可获取的很多管理应用程序通常可在大多数当前使用的操作系统下运行,如Windows95、Windows98、WindowsNT和不同版本UNIX的等。一个被管理的设备有一个管理代理,它负责向管理站请求信息和动作,代理还可以借助于陷阱为管理站提供站动提供的信息,因此,一些关键的网络设备(如集线器、路由器、交换机等)提供这一管理代理,又称SNMP代理,以便通过SNMP管理站进行管理。小结:SNMP风险风险 SNMP开发于九十年代,目的是简化大型网络中设备的管理和数据的获取,几乎每台网络硬件设备都加入SNMP功能,且都采用了默认的通信字符串,后来出现的SNM
21、P3.0会好些。接入Internet的Web服务器可能面临攻击,邮件服务器的安全也令人担忧。同时,SNMP还是Internet主机上最常见的服务之一,但不是每台设备都需要此功能!小结:SNMP风险风险1、如果你没有用SNMP来管理设备,就禁用SNMP服务。Windows XP和Windows 2000 在XP和Win2K中,右击“我的电脑”,选择“管理”。展开“服务和应用程序”、“服务”,从服务的清单中选择SNMP服务,停止该服务。然后打开服务的“属性”对话框,将启动类型该为“禁用”(按照微软的默认设置,Win2K/XP默认不安装SNMP服务,但许多软件会自动安装该服务)。Cisco Systems硬件 对于Cisco的网络硬件,执行“noSNMP-server”命令禁用SNMP服务。如果要检查SNMP是否关闭,可执行“showSNMP”命令。2、如果某些设备确实有必要运行SNMP,就采取措施保障服务安全。加载SNMP服务的补丁 保护SNMP通信字符串 过滤SNMP