實訓指導66基于SNMP協(xié)議實現(xiàn)網(wǎng)絡(luò)管理課件

1、計算機網(wǎng)絡(luò)安全技術(shù)與實施學習情境6：實訓任務6.6國家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫基于SNMP協(xié)議實現(xiàn)網(wǎng)絡(luò)管理內(nèi)容介紹任務場景1任務相關(guān)工具軟件介紹2任務設(shè)計、規(guī)劃3任務實施及方法技巧4任務檢查與評價5任務總結(jié)6任務場景任務相關(guān)工具軟件介紹可以用PT實現(xiàn)，也可以基于真實網(wǎng)絡(luò)環(huán)境配置實現(xiàn)，軟件為SolarWinds任務設(shè)計、規(guī)劃基于SNMP協(xié)議實現(xiàn)網(wǎng)絡(luò)管理接入或匯聚交換機核心交換機DMZ服務器區(qū)內(nèi)網(wǎng)用戶網(wǎng)絡(luò)管理工作站防火墻路由器任務實施及方法技巧基于SNMP協(xié)議實現(xiàn)網(wǎng)絡(luò)管理相關(guān)知識與原理介紹任務實施及方法技巧1、網(wǎng)絡(luò)管理協(xié)議簡介 伴隨著網(wǎng)絡(luò)著基于TCP/IP協(xié)議的互聯(lián)網(wǎng)絡(luò)應用的普及，出現(xiàn)了

2、各種管理上的需求，如對網(wǎng)絡(luò)性能管理、配置管理、計費管理、故障管理、安全管理等多方面的需求。有效的管理手段可以簡化大量的網(wǎng)絡(luò)管理與維護的工作量。從1969年世界上第一個計算機網(wǎng)絡(luò)-ARPANET的產(chǎn)生之初，并沒有考慮網(wǎng)絡(luò)管理這項任務，更沒有開發(fā)出專門的網(wǎng)絡(luò)管理協(xié)議，只是利用了ICMP協(xié)議的echoecho-reply消息對來對網(wǎng)絡(luò)進行測試的功能。網(wǎng)絡(luò)應用的快速增長，使得這方面的需求逐漸增加。1988年，Internet體系結(jié)構(gòu)委員會提出了簡單網(wǎng)絡(luò)管理協(xié)議的第一個版本，即SNMPvl（Simple Network Management Protocol），并由RFC1157對其進行了定義。1993

3、年正式發(fā)表的SNMP第二版-SNMPv2。但是這兩個協(xié)議在應用中都明顯存在著安全問題、以及功能上的不足。2002年3月SNMPv3經(jīng)IESG互聯(lián)網(wǎng)工程指導小組核準，在互聯(lián)網(wǎng)上應用，在SNMPv3中主要對前面的版本添加了安全與遠程配置的功能。這就是目前基于TCP/IP協(xié)議的管理協(xié)議。任務實施及方法技巧 同時，國際標準化組織也積極組織網(wǎng)絡(luò)管理模型的開發(fā)，推出了基于OSI七層體系的網(wǎng)絡(luò)管理協(xié)議，管理信息協(xié)議CMIP（Common Management Information Protocol）通用管理信息協(xié)議，是與通用管理信息服務CMIS（Common Management Information

4、Service）同時使用的一種用于監(jiān)控不同網(wǎng)絡(luò)的ISO協(xié)議。CMIS定義了一個網(wǎng)絡(luò)管理信息服務系統(tǒng)。CMIP的提出目標是代替簡單網(wǎng)絡(luò)管理協(xié)議SNMP，但由于其復雜性目前只在大型網(wǎng)絡(luò)中有所應用。因此提出了在TCP/IP上的CMIP，即CMOT（CMISCMIP over TCP/IP），CMOT是一種使用CMIP來管理IP網(wǎng)絡(luò)的網(wǎng)絡(luò)管理協(xié)議。CMOT 定義了一種網(wǎng)絡(luò)管理架構(gòu)，用以支持CMIS/CMIP。 網(wǎng)絡(luò)管理是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務和信息處理所必需的各種活動的總稱，也指利用多種應用程序、工具和設(shè)備來監(jiān)控和維護網(wǎng)絡(luò)運行的一種技術(shù)。 下面將主要對網(wǎng)絡(luò)管理功能定義、網(wǎng)絡(luò)管理系統(tǒng)的各個組成部

5、分、主要的網(wǎng)絡(luò)管理協(xié)議為主，SNMP管理模型的組成和功能、SNMP的實現(xiàn)機制和過程、SNMP安全性的實現(xiàn)、通過RMON進行網(wǎng)絡(luò)遠程監(jiān)視等進行介紹，以實現(xiàn)對網(wǎng)絡(luò)管理協(xié)議及實施加以理解。任務實施及方法技巧2、網(wǎng)絡(luò)管理的目的 網(wǎng)絡(luò)應用的普及使得網(wǎng)絡(luò)管理復雜性增加，手工進行網(wǎng)絡(luò)管理有其局限性和不足。因此有必要開發(fā)基于協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)。網(wǎng)絡(luò)管理系統(tǒng)可以使管理人員避免大量的重復性勞動；可以在網(wǎng)絡(luò)發(fā)生故障時及時提醒，以提高設(shè)備的響應速度；還可以通過一些設(shè)置對網(wǎng)絡(luò)進行遠程控制。利用網(wǎng)絡(luò)管理系統(tǒng)，可以實現(xiàn)對網(wǎng)絡(luò)的實時監(jiān)控，提高網(wǎng)絡(luò)安全性?？梢酝ㄟ^定義的閾值來及時發(fā)現(xiàn)超出指定閾值的網(wǎng)絡(luò)活動，如設(shè)置對WEB服務器

6、的80端口設(shè)置一個時間閾值，在此時間內(nèi)如果80端口沒有響應則認為服務已經(jīng)不可用，從而及時發(fā)現(xiàn)故障，并進行報警通知網(wǎng)絡(luò)管理人員進行故障排除，以提高網(wǎng)絡(luò)的可用性。 網(wǎng)絡(luò)管理范圍包括了硬件管理、軟件管理、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)維護、網(wǎng)絡(luò)服務等。因此也要求網(wǎng)絡(luò)管理人員具備軟件方面與硬件方面的知識與技能。同時要求網(wǎng)絡(luò)管理員應當具備自學能力、英文閱讀能力、專業(yè)技能、創(chuàng)造和應變能力、觀察能力、分析判斷能力、毅力、精力和體力、溝通能力等。任務實施及方法技巧3、國際標準化組織對網(wǎng)絡(luò)管理功能域的定義 國際標準化組織ISO對網(wǎng)絡(luò)管理功能域定義了五方面功能：性能管理、配置管理、計費管理、故障管理、安全管理。下面分別介紹。（1

7、）配置管理 配置管理（configuration management）是最基本的網(wǎng)絡(luò)管理功能，主要負責監(jiān)測和控制網(wǎng)絡(luò)的配置狀態(tài)，就是在網(wǎng)絡(luò)建立、擴充、改造和運行的過程中，對網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、資源配備、使用狀態(tài)等配置信息進行定義、監(jiān)測和修改。配置管理應包括以下幾部分功能：定義配置信息、設(shè)置并修改屬性值、定義和修改關(guān)系、初始化和關(guān)閉網(wǎng)絡(luò)、軟件分發(fā)、網(wǎng)絡(luò)規(guī)劃和資源管理等功能。（2）性能管理 性能管理（Performance management）涉及到網(wǎng)絡(luò)通信信息（流量、用戶、訪問的資源等）的收集、加工和處理等一系列活動。其目的是保證有效運營網(wǎng)絡(luò)和提供連續(xù)可靠通信能力，在保證各種業(yè)務的服務質(zhì)量的同時

8、，盡量提高網(wǎng)絡(luò)資源的利用率，并使網(wǎng)絡(luò)資源的使用達到最優(yōu)化的程度。性能管理包括以下三個主要內(nèi)容：性能測量、性能分析、性能管理控制。性能指標：面向服務的指標：可用性、響應時間、精確度。面向效率的指標：吞吐量、利用率。任務實施及方法技巧（3）安全管理 安全管理（Security management）的作用是提供信息的保密、認證和完整性保護機制，使網(wǎng)絡(luò)中的服務數(shù)據(jù)和系統(tǒng)免受侵擾和破壞。計算機和網(wǎng)絡(luò)安全的要求：保密性(secrecy）、整體性（integrity）、可用性（availability）。計算機和網(wǎng)絡(luò)安全威脅的類型：中斷(interruption)、偵聽(interception)、修改(

9、modification)、偽造（fabrication）。對計算機系統(tǒng)資源的威脅：對硬件的威脅、對軟件的威脅、對數(shù)據(jù)的威脅、對通信線路和網(wǎng)絡(luò)的威脅（被動威脅：泄露消息內(nèi)容、流量分析；主動威脅：消息流修改、拒絕服務、欺騙）、對網(wǎng)絡(luò)管理系統(tǒng)的威脅（用戶欺騙、網(wǎng)絡(luò)管理站欺騙、管理站代理交換干擾）。安全管理功能包括：信息安全維護、服務與資源訪問控制、加密過程控制。 信息安全維護包括：事件日志、監(jiān)視安全審核記錄、監(jiān)視安全相關(guān)資源的用戶和使用情況、報告安全破壞、接收安全破壞報告、維護并檢查安全日志、維護安全相關(guān)文件的所有或部分備份、維護一般網(wǎng)絡(luò)用戶配置文件和特定資源的使用配置文件，作為指定安全配置文件限

10、制的參考。 服務與資源訪問控制包括：代碼安全、源路由和路由記錄信息、警告極限級別、計費表。加密過程控制包括：管理站和代理之間的信息交換進行加密、通過其他網(wǎng)絡(luò)實體來實現(xiàn)加密、指定加密算法并提供密鑰分發(fā)等。 任務實施及方法技巧（4）故障管理 故障管理（fault management）的作用是迅速發(fā)現(xiàn)、定位和排除網(wǎng)絡(luò)故障，動態(tài)維護網(wǎng)絡(luò)的有效性 故障管理的主要功能：檢測和報告故障、故障的診斷和定位、故障的隔離、故障的修復。通常進行的故障診斷測試：連接性測試、數(shù)據(jù)完整性測試、協(xié)議完整性測試、數(shù)據(jù)飽和性測試、連接飽和性測試、響應時間測試、功能測試。（5）計費管理 計費管理（accounting mana

11、gement）的作用是正確地計算和收取用戶使用網(wǎng)絡(luò)服務的費用，進行網(wǎng)絡(luò)資源利用率的統(tǒng)計：計費管理是商業(yè)化計算機網(wǎng)絡(luò)的重要管理功能、在非商業(yè)化的網(wǎng)絡(luò)上，計費管理可以通過測量不同網(wǎng)絡(luò)資源的利用率，適當調(diào)整網(wǎng)絡(luò)資源的利用。計費管理可以分為以下三個子過程：計費數(shù)據(jù)收集過程、計費處理過程、帳單管理過程。任務實施及方法技巧4、網(wǎng)絡(luò)管理系統(tǒng)組成 網(wǎng)絡(luò)管理系統(tǒng)主要由以下幾部分要素組成：被管設(shè)備（Managed Devices）網(wǎng)絡(luò)管理器（Network Manager）或網(wǎng)絡(luò)管理工作站（Network Management Station）管理代理（Managed Agents）網(wǎng)絡(luò)管理協(xié)議（Network

12、Management Protocol）管理信息庫（MIB,Management Information Base）任務實施及方法技巧其中各部分網(wǎng)絡(luò)管理組成要素的功能如下： 被管理設(shè)備：是指所管理的網(wǎng)絡(luò)中所要被管理的設(shè)備，可能是主機服務器、路由器、交換機等運行網(wǎng)絡(luò)管理代理程序和網(wǎng)絡(luò)管理協(xié)議的全部網(wǎng)絡(luò)設(shè)備，管理端設(shè)備本身也可以是被管理設(shè)備。因此下面的被管理設(shè)備是指全部管理端與被管理設(shè)備。 網(wǎng)絡(luò)管理工作站：一般是指安裝有網(wǎng)絡(luò)管理軟件，管理軟件通過管理協(xié)議與網(wǎng)絡(luò)中管理代理進行通信，負責對管理信息的收集，根據(jù)管理指令讀取被管理設(shè)備上由管理代理提供的信息，或設(shè)定相關(guān)的設(shè)備參數(shù)等。 管理代理：管理代理是運

13、行于被管理設(shè)備上的一個進程或稱之為程序。一般由設(shè)備或系統(tǒng)的生產(chǎn)商將提供，用來跟蹤被管理設(shè)備狀態(tài)的特殊軟件或固件，可能是軟件程序也可以是在芯片中的代碼。在被管理設(shè)備上開啟此代理后，由此代理通過管理協(xié)議向網(wǎng)絡(luò)管理工作站進行信息交換。如向管理工作站報告設(shè)備的當前狀態(tài)等。 網(wǎng)絡(luò)管理協(xié)議：用于在網(wǎng)絡(luò)管理工作站上的管理程序和管理代理之間進行信息交換的協(xié)議。通過在被管理設(shè)備上開啟管理協(xié)議，實現(xiàn)管理端與被管理端的通信。如SNMP就是網(wǎng)絡(luò)管理協(xié)議的一種。 MIB管理信息庫：MIB是被管網(wǎng)絡(luò)設(shè)備的信息和變量集合的數(shù)據(jù)庫，MIB位于管理和被管理設(shè)備中。代理程序就是通過讀取這些信息并發(fā)送給管理工作站，使管理端可以實現(xiàn)

14、對信息的收集。任務實施及方法技巧5、SNMP網(wǎng)絡(luò)管理組成 基于SNMP協(xié)議的網(wǎng)絡(luò)管理同樣是由五部分組成的，即由被管理設(shè)備、網(wǎng)絡(luò)管理工作站、管理代理、網(wǎng)絡(luò)管理協(xié)議、管理信息庫組成。其實可以進行分類，一類是網(wǎng)絡(luò)中物理設(shè)備如網(wǎng)絡(luò)管理工作站和被管理設(shè)備，另一類是進行管理信息存儲、維護和交換的實體，即管理信息庫、管理代理和網(wǎng)絡(luò)管理協(xié)議。 網(wǎng)絡(luò)管理工作站一般安裝有網(wǎng)絡(luò)管理軟件，管理員可以利用管理軟件進行信息的獲取與控制，如管理員可以發(fā)出讀取設(shè)備狀態(tài)的信息，管理軟件進行協(xié)議封裝，封裝成SNMP協(xié)議數(shù)據(jù)單元，發(fā)送給被管理設(shè)備，由被管理設(shè)備中運行的代理進程讀取MIB中的相應信息后進行響應。也可能是被管理設(shè)備中的

15、管理代理根據(jù)設(shè)定的閾值主動發(fā)送Trap（也稱自陷）消息給管理工作站，例如當設(shè)備斷電重啟后，管理代理要主動向管理工作站發(fā)一個Trap消息，這也是管理代理主動向管理工作站發(fā)送信息的唯一的方式。網(wǎng)絡(luò)管理工作站網(wǎng)絡(luò)管理協(xié)議管理代理Agent管理信息庫MIB被管理設(shè)備任務實施及方法技巧6、SNMP網(wǎng)絡(luò)管理要素的作用 管理工作站具有網(wǎng)絡(luò)管理應用軟件，它的作用是能夠進行數(shù)據(jù)分析、故障發(fā)現(xiàn)功能，并能提供網(wǎng)絡(luò)管理員監(jiān)視和控制網(wǎng)絡(luò)界面，還能夠?qū)⒕W(wǎng)絡(luò)管理員的命令轉(zhuǎn)換成對本地網(wǎng)絡(luò)或遠程網(wǎng)絡(luò)元素的監(jiān)視和控制、能通過網(wǎng)絡(luò)管理協(xié)議和管理代理進程從所有被管實體的MIB中提取出信息數(shù)據(jù)庫。 網(wǎng)絡(luò)管理代理作用是對來自管理站對被管

16、理設(shè)備的信息查詢請求(Get Request)和設(shè)置請求(Set Request)動作作出響應。網(wǎng)絡(luò)管理代理也可以異步地向管理工作站提供一些重要的非請求信息，即Trap自陷消息，用于主動報告被管理設(shè)備的運行狀態(tài)等信息。 網(wǎng)絡(luò)管理協(xié)議的作用是，在管理工作站和管理代理之間交換信息、提供了管理工作站收集網(wǎng)絡(luò)管理信息的方法、也為設(shè)備向網(wǎng)絡(luò)管理工作站報告問題和錯誤提供了一種方法，它規(guī)定了進行信息交換的協(xié)議格式或說語法。 網(wǎng)絡(luò)管理信息庫的作用是用于存儲被管理設(shè)備內(nèi)部對象、性屬和對應值。通過SNMP訪問的管理信息保存在每個管理站和代理節(jié)點的MIB中。管理信息包含有簡單層次的對象結(jié)構(gòu)，每一個對象都代表一個被管

17、理資源的一些屬性。任務實施及方法技巧7、SNMP協(xié)議工作原理與協(xié)議結(jié)構(gòu) 在網(wǎng)絡(luò)管理過程中，網(wǎng)絡(luò)管理工作站與被管理設(shè)備之間通過SNMP協(xié)議進行信息的交互。下圖是SNMP協(xié)議數(shù)據(jù)的幾種操作類型，也是管理工作站與被管理設(shè)備相互間的協(xié)議數(shù)據(jù)操作方式。 網(wǎng)絡(luò)管理工作站管理代理Agent管理信息庫MIB被管理設(shè)備Get RequestGet Next RequestSet RequestGet ResponseTrap任務實施及方法技巧（1）Get Request操作：網(wǎng)絡(luò)管理工作站向被管理設(shè)備發(fā)出讀取請求。如可以是讀取被管理設(shè)備的接口狀態(tài)，UP或DOWN等。（2）Get Next Request操作：網(wǎng)

18、絡(luò)管理工作站向被管理設(shè)備發(fā)出讀取多個（遍歷操作）請求，例如可以用于連續(xù)讀取被管理設(shè)備內(nèi)的全部可管理信息等。（3）Set Request操作：網(wǎng)絡(luò)管理工作站向被管理設(shè)備發(fā)出修改請求。如可以設(shè)置一個或多個閾值，用于對緊急狀態(tài)的報告等。（4）Get Response操作：被管理設(shè)備對網(wǎng)絡(luò)管理工作站的請求的回應。用于返回給管理工作站想要讀取的信息。（5）Trap操作：被管理設(shè)備向網(wǎng)絡(luò)管理工作站主動發(fā)出的通知，表明已經(jīng)達到某個閾值。只有Trap是由被管理設(shè)備主動發(fā)給管理工作站的，用于當被管理設(shè)備發(fā)生問題或達當某個設(shè)置的值時（閾值）時主動向管理工作站報告。例如：可以設(shè)置當被管理設(shè)備的網(wǎng)絡(luò)利用率達到60%時

19、可以讓被管理設(shè)備主動發(fā)一個Trap給管理設(shè)備等。 任務實施及方法技巧 SNMP協(xié)議地設(shè)計之初考慮到這種管理上的附加不能給正常的通信帶來負載，因此采用基于UDP傳輸層協(xié)議進行設(shè)計，在進行管理通信中所用到的端口號是161和162。管理代理端（類似提供數(shù)據(jù)的服務器端）開啟UDP的161端口號響應查詢，管理端（類似于管理端）開啟162用于接收來自被管理設(shè)備中代理主動發(fā)來的自陷消息。 SNMP協(xié)議報文基于UDP協(xié)議通過IP數(shù)據(jù)報在網(wǎng)絡(luò)中傳的封裝。其中SNMP協(xié)議報文主要包括公共SNMP首部包括：SNMP協(xié)議的版本、共同體名、PDU（協(xié)議數(shù)據(jù)單元）類型（0-3），對于PDU類型4主要是用于Trap信息。G

20、et/Set標識與PDU0-3中，包括：請求標識符、差錯狀態(tài)、差錯索引。變量及其值域包含屬性和值等。IP頭部UDP頭部SNMP版本共同體名PDU類型（0-3）請求標識符差錯索引屬性值屬性值屬性值差錯狀態(tài)（0-5）IP頭部UDP頭部SNMP版本共同體名PDU類型（4）實體差錯索引屬性值屬性值屬性值被管代理IP地址Trap類型（0-6）特定代碼公共SNMP協(xié)議頭部Get或Set標識Trap標識變量及其值任務實施及方法技巧8、利用協(xié)議分析軟件捕獲SNMP協(xié)議數(shù)據(jù) 為了更好地對協(xié)議的工作原理進行深入的理解，可以利用協(xié)議分析軟件，如Sniffer Pro等捕獲SNMP協(xié)議，可以在高級設(shè)置里設(shè)置，僅捕獲S

21、NMP協(xié)議數(shù)據(jù)。然后分析管理工站站發(fā)出的查詢、被管理設(shè)備的回應以及自陷消息等協(xié)議數(shù)據(jù)。結(jié)合前面的SNMP協(xié)議工作原理與協(xié)議結(jié)構(gòu)部分內(nèi)容對捕獲的協(xié)議數(shù)據(jù)進行分析。設(shè)置Sniffer Pro的高級過濾，定義捕獲SNMP協(xié)議數(shù)據(jù)，開始捕獲。然后，開啟SolarWinds軟件中的IP Network Browser掃描本地網(wǎng)關(guān)54的設(shè)備，下圖是利用Sniffer Pro捕獲到的一個SNMP協(xié)議數(shù)據(jù)。這其中包含了前面介紹的SNMP協(xié)議結(jié)構(gòu)中的各要素。任務實施及方法技巧9、網(wǎng)絡(luò)管理信息庫MIB 網(wǎng)絡(luò)管理信息庫MIB提供了對被管理設(shè)備內(nèi)部不同對象的描述，定義了通信中的標準表述結(jié)構(gòu)。管理信息包含有簡單層次的對

22、象結(jié)構(gòu)，每一個對象都代表一個被管理資源的一些屬性。通過SNMP訪問的管理信息保存在每個管理站和代理節(jié)點的MIB中。MIB的兩個版本：MIB-I，提供114標準對象、對象被認為是進行故障和配置管理；MIB-II，對MIB-I進行了擴展、定義了185個對象，同時與RMON共同實現(xiàn)遠程監(jiān)控功能。SNMP的管理信息庫采用樹型結(jié)構(gòu)對不同的對象進行定義。如下圖所示如果要讀取基于ISO網(wǎng)絡(luò)管理體系下的被管理設(shè)備的廠商信息，則可以表示為：.4.1.以此來表示具體對象。下面的右圖中是利用SolarWinds讀取Cisco設(shè)備的MIB標識為.4.1.9等。MIB1-ISO0-CCITT2-ISO&CCITT0-S

23、tandand3-Identif1-Regist2-Member6-Dod1-Internet4-PrivateMicroSoftCisco1-Enterprises任務實施及方法技巧10、SNMP網(wǎng)絡(luò)管理工作站收集數(shù)據(jù)的方法 SNMP網(wǎng)絡(luò)管理工作站收集數(shù)據(jù)的方法：輪詢的方法、中斷的方法、面向自陷的輪詢方法。（1）輪詢（polling）的方法收集數(shù)據(jù) 單純的輪詢方法是通過管理工作站依次對網(wǎng)絡(luò)中的被管理設(shè)備進行查詢來收集管理數(shù)據(jù)。這種方式下是由管理工作站進行控制對數(shù)據(jù)的收集，如果網(wǎng)絡(luò)規(guī)模很大，管理工作站輪詢一遍所有的設(shè)備可能要花費較長時間，如果在此期間內(nèi)有設(shè)備發(fā)生故障，如重新啟動，并且重新啟動時

24、間很短的話，管理工作站可能收集不到這種事件。即這種方式的缺點是無法提供實時的數(shù)據(jù)收集。網(wǎng)絡(luò)管理工作站輪詢的方法任務實施及方法技巧（2）中斷（Interrupt）的方法收集數(shù)據(jù) 基于中斷方式的數(shù)據(jù)收集適合用于對短時間內(nèi)的異常事件。當出現(xiàn)異常事件時，由被管理代理主動通知網(wǎng)絡(luò)管理工作站，多是通過錯誤報告或自陷方式向網(wǎng)絡(luò)管理工作站發(fā)出trap消息，這種方式實時性很高。但所有的管理信息通過此方式收集，會由于產(chǎn)生錯誤或自陷需要占用被管理設(shè)備的系統(tǒng)資源，如下圖所示。（3）面向自陷的輪詢方法（trap-directed polling）的方法收集數(shù)據(jù) 面向自陷的輪詢方法結(jié)合了輪詢與中斷兩種方式，在輪詢的同時由

25、被管理設(shè)備主動發(fā)出事件的自陷。 網(wǎng)絡(luò)管理工作站輪詢在被管理設(shè)備中的代理來收集數(shù)據(jù)，并且在控制臺上用數(shù)字或圖形的表示方式來顯示這些數(shù)據(jù)。網(wǎng)絡(luò)管理工作站網(wǎng)絡(luò)管理工作站中斷的方法面向自陷的輪詢方法任務實施及方法技巧11、SNMP網(wǎng)絡(luò)管理的安全性 在利用SNMP協(xié)議對網(wǎng)絡(luò)設(shè)備進行管理和信息收集時，由于管理工作站與被管理工作站之間是通過共同體名來進行權(quán)限驗證的。但SNMPv1和SNMPv2的共同體名在設(shè)備生產(chǎn)時默認是Public和Private，其中Public是只讀權(quán)限，Private是讀寫權(quán)限，由于很多設(shè)備都已經(jīng)默認開啟SNMP并采用這Public作為權(quán)限和身份認證，如果是攻擊者也利用管理軟件對網(wǎng)絡(luò)

26、中的被管理設(shè)備進行信息獲取則網(wǎng)絡(luò)設(shè)備的配置信息可能會被攻擊者獲取，如思科的路由器就可以利用管理軟件通過Public這個共同體名來讀取或下載路由器的配置文件，從而獲取路由器的訪問口令等。 任務實施及方法技巧 當然這可以通過修改路由器中SNMP默認共同體名或關(guān)閉SNMP網(wǎng)絡(luò)管理功能來避免。但是這也說明了SNMP前兩個版本協(xié)議的安全性較差，也是SNMPv3出現(xiàn)的主要原因。SNMPv3提供了設(shè)備安全訪問機制，是由認證和網(wǎng)絡(luò)傳輸中數(shù)據(jù)包加密的組合方式實現(xiàn)的。在加密上采用了DES來提供機密性保護，特別是SNMPv3協(xié)議報頭的安全防護。在完整性保護上采用了散列算法與安全散列功能，即MD5或SHA-1，通過這

27、種方式提供了對數(shù)據(jù)是否被修改的驗證方法。SNMPv3的USM（用戶安全模式）還允許基于用戶的認證和接入控制。前兩個版本的SNMP協(xié)議采用讀寫兩級權(quán)限的共同體名（community string）。但SNMPv3允許管理員為每一個SNMP用戶建立特別帳號，并根據(jù)這些用戶帳號授予權(quán)限。 當前應用中的很多網(wǎng)絡(luò)設(shè)備還不支持SNMPv3，可以對支持SNMPv3的軟件或固件進行升級。在版本之間SNMPv3通過對前兩個版本的封裝，可以提供保護措施。任務實施及方法技巧基于SNMP協(xié)議實現(xiàn)網(wǎng)絡(luò)管理SolarWinds的配置與實現(xiàn)任務實施及方法技巧1、特定網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)管理技術(shù) 在如下圖所示的企業(yè)園區(qū)網(wǎng)絡(luò)環(huán)境中

28、利用網(wǎng)絡(luò)管理技術(shù)，設(shè)計基于SNMP協(xié)議的網(wǎng)絡(luò)管理。在核心交換機處連接網(wǎng)絡(luò)管理工站，在關(guān)鍵網(wǎng)絡(luò)設(shè)備及服務器中開啟SNMP協(xié)議。通過網(wǎng)絡(luò)管理工站來監(jiān)視網(wǎng)絡(luò)運行狀態(tài)，并能對出現(xiàn)的網(wǎng)絡(luò)故障進行報告。接入或匯聚交換機核心交換機DMZ服務器區(qū)內(nèi)網(wǎng)用戶網(wǎng)絡(luò)管理工作站防火墻路由器任務實施及方法技巧2、網(wǎng)絡(luò)管理軟件的選擇 專業(yè)的網(wǎng)絡(luò)管理軟件有很多如：HP公司、SUN公司、IBM公司等大型的網(wǎng)絡(luò)管理系統(tǒng)或稱網(wǎng)絡(luò)管理平臺等。如IBM的Tivoli NetView為網(wǎng)絡(luò)管理人員提供一種功能強大的解決方案。它可在短時間內(nèi)對大量信息進行分類，捕獲解決網(wǎng)絡(luò)問題的數(shù)據(jù)，確保問題迅速解決，并保證關(guān)鍵業(yè)務系統(tǒng)的可用性。還有思科針

29、對其自有網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理軟件Cisco Works2000，它可以對思科的網(wǎng)絡(luò)設(shè)備進行管理與配置，特別是基于GUI的配置功能。 一般的網(wǎng)絡(luò)管理平臺具有如下特性：運行在一個開放的系統(tǒng)環(huán)境下、提供一個GUI圖形用戶界面 、能夠管理來自不同廠商的網(wǎng)絡(luò)資源和設(shè)備、不局限于某一個特定功能域的管理、具有一種模塊化的結(jié)構(gòu)、大多基于面向?qū)ο蟮臄?shù)據(jù)模型、提供基于國際標準定義良好的接口、應用程序可以通過這些接口訪問資源等特點。 從應用角度來說網(wǎng)絡(luò)管理具有如下功能：網(wǎng)絡(luò)資源狀態(tài)監(jiān)視、閾值監(jiān)測、事件管理、配置應用、拓撲管理、性能監(jiān)視。網(wǎng)絡(luò)管理平臺的體系結(jié)構(gòu)一般分為：集中式體系結(jié)構(gòu)、分層式體系結(jié)構(gòu)、分布式體系結(jié)構(gòu)。任

30、務實施及方法技巧3、HP OpenView 的特點 HP OpenView支持標準網(wǎng)絡(luò)傳輸和網(wǎng)管協(xié)議，如TCPIP，SNA，SNMP，RPC，CMIP等。采用開放的、模塊化體系結(jié)構(gòu)，擴充性能好，異種網(wǎng)絡(luò)管理能力強。提供豐富的圖形操作界面，能動態(tài)反映網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，包括網(wǎng)絡(luò)各種資源變化的自動監(jiān)測，方便操作人員的網(wǎng)絡(luò)運行狀況監(jiān)控。提供用戶靈活的設(shè)置功能，如閥值設(shè)定，以監(jiān)測網(wǎng)絡(luò)故障的發(fā)生。提供豐富的應用程序接口，方便用戶開發(fā)自己的網(wǎng)絡(luò)管理程序。具有分發(fā)軟件和數(shù)據(jù)的功能，數(shù)據(jù)能分發(fā)至各種機器上。 OpenView Network Node Manager(NNM)，NNM是網(wǎng)絡(luò)和系統(tǒng)管理的基礎(chǔ)和平臺，

31、 NNM具有如下特征：自動發(fā)現(xiàn)和監(jiān)控網(wǎng)絡(luò)節(jié)點；分布式和可伸縮性結(jié)構(gòu)；NNM支持分層管理，并且沒有層次的限制；可以集成數(shù)百個HP OpenView解決方案合作伙伴開發(fā)的應用程序，以滿足用戶特定的網(wǎng)絡(luò)，系統(tǒng)，應用及數(shù)據(jù)庫管理之需求；靈活的數(shù)據(jù)庫選項可以使用NNM普通文件數(shù)據(jù)庫或相關(guān)的SQL數(shù)據(jù)庫；NNM的發(fā)現(xiàn)過濾，拓撲過濾，圖象過濾功能使用戶可以根據(jù)自己的需要，選擇要發(fā)現(xiàn)監(jiān)控的對象，定制MAP，按一定的共同特征將被管對象進行分組；易于使用的GUI圖形化用戶界面。 HP OpenView NNM是在國內(nèi)有很高市場份額的網(wǎng)絡(luò)管理軟件，它憑借強大的功能，良好的開放性，分級管理的概念和眾多基于此的第三方應

32、用軟件，在中國的金融、移動等行業(yè)得到廣泛應用。任務實施及方法技巧4、網(wǎng)絡(luò)管理軟件SolarWinds SolarWinds網(wǎng)管工具主要基于SNMP協(xié)議進行網(wǎng)絡(luò)管理，對于學習SNMP網(wǎng)絡(luò)管理協(xié)議是很有幫助的一款軟件，一個專業(yè)的網(wǎng)絡(luò)管理軟件工具集，可以監(jiān)控，發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備。它提供了如帶寬測量（Bandwidth Gauges）、路由CPU負荷（Router CPU Load）、帶寬監(jiān)控（Bandwidth Monitor）、CPU測量（CPU Gauge）、網(wǎng)絡(luò)性能監(jiān)控器（Network Performance Monitor）、SNMP圖象和高級CPU上傳（Advanced CPU Load ）等

33、網(wǎng)絡(luò)性能監(jiān)控功能。利用SolarWinds的網(wǎng)絡(luò)發(fā)現(xiàn)（Network Discovery）功能可以實現(xiàn)IP網(wǎng)絡(luò)瀏覽器（IP Network Browser）、Ping Sweep、子網(wǎng)列表（Subnet List）、SNMP Sweep、網(wǎng)絡(luò)定位（Network Sonar）、DNS核查（DNS Audit）和MAC地址發(fā)現(xiàn)（MAC Address Discovery）等。 同時也提供了MIB的瀏覽功能、地址管理、安全管理及相應的網(wǎng)絡(luò)管理工具集如TFTP、SYSLOG等。 下圖是SolarWinds 2002 CATV Engineers Edition軟件的安裝界面與安裝后的工具欄（Tool

34、bar）。任務實施及方法技巧1、在網(wǎng)絡(luò)設(shè)備上啟用SNMP 這里以思科路由器為例介紹SNMP的網(wǎng)絡(luò)管理。在啟用SNMP協(xié)議對網(wǎng)絡(luò)進行管理之前一定要清楚一個概念，那就是SNMP協(xié)議的前兩個版本是不安全的。思科的網(wǎng)絡(luò)設(shè)備早期的SNMP協(xié)議默認是開啟的，也正是這一功能為其帶來了安全隱患，所以后來的網(wǎng)絡(luò)設(shè)備在IOS系統(tǒng)中默認關(guān)閉了此項功能。所以這項功能要慎重使用，并建議不要使用默認的共同體名Public和Private。 （注：為了實驗方便，下面的路由器可以利用模擬軟件DynamipsGUI來實現(xiàn)） 在思科路由器中開啟SNMP協(xié)議并設(shè)置共同體名為cey，權(quán)限為只讀的命令如下： Router(config

35、)#snmp community cey ro /路由器內(nèi)網(wǎng)接口IP地址為任務實施及方法技巧2、在Windows2003服務器上啟用SNMP 在Windows2003服務器操作系統(tǒng)中，選擇控制面板-添加或刪除程序-添加或刪除Windows組件，在Windows組件向?qū)е羞x擇管理和監(jiān)視工具，并雙擊打開，選擇簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），確定后，在光驅(qū)內(nèi)放入Windows2003安裝光盤，即可以完成SNMP協(xié)議的添加任務。設(shè)置管理工具-服務-SNMP Service中的安全，添加共同體名cey，并添加管理工作站的IP地址，如下圖所示。（注：為了實驗方便，此處的Windows2003服務器操作系統(tǒng)安裝于虛擬機中）任務實施及方法技巧3