簡單網(wǎng)絡(luò)管理協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視課件

簡單網(wǎng)絡(luò)管理協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）是Internet中基于TCP/IP的網(wǎng)絡(luò)管理協(xié)議。SNMP的推出，由于其簡單性、實施容易和應(yīng)用成本低廉等特點，而受到業(yè)界許多廠家的廣泛支持，現(xiàn)已成為事實上的標(biāo)準(zhǔn)。本章主要從SNMP的體系結(jié)構(gòu)、管理模型、工作機制、協(xié)議操作等方面介紹SNMP的有關(guān)理論知識，同時簡單介紹遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視RNOM方面基本概念。簡單網(wǎng)絡(luò)管理協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視1SNMP概述1SNMP的發(fā)展歷史2基本體系結(jié)構(gòu)3SNMP操作4SNMP的工作機制SNMP概述2SNMP的發(fā)展歷史簡單網(wǎng)絡(luò)管理協(xié)議（SNMP，SimpleNetworkManagementProtocol）誕生于1988，那時由于CMIP遲遲不能成熟并應(yīng)用于網(wǎng)絡(luò)管理，Internet體系結(jié)構(gòu)委員會（IAB）在原有簡單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP）的基礎(chǔ)上進(jìn)一步修改后提出了SNMP。SNMP的最初版本是SNMPv1，SNMPv1存在兩方面的問題：一是安全，SNMP只定義了安全性極為有限的基于共同體名授權(quán)使用的安全模型；二是管理信息的可靠傳輸問題，由于SNMPvl是在UDP上實現(xiàn)的，而UDP并不保證所有報文都能夠正確傳送。SNMP的發(fā)展歷史3增強的SNMPv2使該協(xié)議更加高效，同時還保持了它容易實現(xiàn)和成本低廉的特點，SNMPv2可以與SNMPv1透明地共存，它在性能、管理進(jìn)程與管理進(jìn)程通信方面對SNMP進(jìn)行了改進(jìn)，如減少了SNMP業(yè)務(wù)流、允許大塊數(shù)據(jù)的傳送、添加了一個用于高速網(wǎng)絡(luò)環(huán)境下的64位計數(shù)器；對基于NovellIPX，AppleTalkDDP和OSI的SNMP作了映射；但在安全性方面仍未能達(dá)到令人滿意的結(jié)果。1998年1月產(chǎn)生了SNMPv3管理控制框架，它由RFC2271－2275等幾個文檔共同說明，形成了SNMPv3的建議。SNMPv3在保持SNMPv2基本管理功能的基礎(chǔ)上，增加了安全性和管理性描述。另外，SNMP最重要的進(jìn)展是遠(yuǎn)程監(jiān)控（RMON）能力的開發(fā)。RMON為網(wǎng)絡(luò)管理者提供了監(jiān)控整個子網(wǎng)而不是各個單獨設(shè)備的能力。RMON還對基本SNMPMIB進(jìn)行了擴(kuò)充。增強的SNMPv2使該協(xié)議更加高效，同時還保持4基本體系結(jié)構(gòu)1．SNMP管理模型2.SNMP中的元素SNMP體系結(jié)構(gòu)由管理站、代理、管理信息庫（MIB）和通信協(xié)議SNMP構(gòu)成。3．委托代理基本體系結(jié)構(gòu)5SNMP操作管理信息的交換通過GetRequest、GetNextRequest、SetRequest、GetResponse、Trap共5個SNMP協(xié)議操作進(jìn)行。其中前三個消息由管理站發(fā)給代理用于請求讀取或修改管理信息，后兩個消息由代理發(fā)給管理站。GetResponse用于對各種讀取和修改管理信息的請求進(jìn)行應(yīng)答；Trap用來主動向管理站報告代理系統(tǒng)中發(fā)生的事件，如節(jié)點機分組隊列長度超過閾值，接口鏈路up或down等。SNMP操作6GetNextRequestTrape網(wǎng)絡(luò)訪問協(xié)議IPUDPSNMPManager管理應(yīng)用管理站GetRequestSetRequestTrapGetResponse網(wǎng)絡(luò)訪問協(xié)議IPUDPSNMPManager管理對象代理站GetRequestSetRequestGetResponseMIB庫GetNextRequestGetNextRequestSNMP消息管理應(yīng)用對象通信網(wǎng)絡(luò)TrapGetNextRequestTrap網(wǎng)絡(luò)訪問協(xié)議IPUD7SNMP的工作機制在通信網(wǎng)管理過程中，用來使管理信息庫與實際設(shè)備或設(shè)施的狀態(tài)和參數(shù)保持一致的方法主要有兩個。一個是基于中斷的事件驅(qū)動方法，另一個是輪詢驅(qū)動方法。SNMP的工作機制8基于SNMP的通信1對象訪問策略2實例標(biāo)識符3報文的發(fā)送與接收4SNMP報文格式5SNMPMIB組6SNMP的改進(jìn)基于SNMP的通信9對象訪問策略在基于SNMP的網(wǎng)絡(luò)管理中，SNMP通過共同體（Community，也有地方稱為團(tuán)體）的概念來解決訪問策略問題。共同體是SNMP體系中的一中安全機制，它是一個在代理中定義的本地的概念。通過定義共同體，代理系統(tǒng)就可以限制只有一些選定的管理站才能訪問它的MIB對象。同時，通過使用多個共同體，代理可以為不同的管理站提供不同的MIB訪問類別。每個共同體被賦予一個在代理內(nèi)部唯一的共同體名（也叫團(tuán)體名），該共同體名要提供給共同體內(nèi)的所有的管理站，以便它們在get和set操作中應(yīng)用。一個代理可以與多個管理站建立多個共同體，同一個管理站也可以出現(xiàn)在不同的共同體中。對象訪問策略10在SNMP中實行共同體機制可以達(dá)到一下目的：1．認(rèn)證服務(wù)2．委托代理服務(wù)3．訪問策略（1）SNMPMIB視圖（2）SNMP訪問模式（方式）MIB視圖和訪問模式的結(jié)合被稱為SNMP共同體輪廓（profile）。事實上，在一個共同體輪廓之內(nèi)，存在兩個獨立的訪問限制，其一是MIB對象定義中的訪問限制（參見第3章中有關(guān)MIB功能組及對象部分的內(nèi)容）和SNMP訪問模式。這兩個訪問限制在實際應(yīng)用中必須相互協(xié)調(diào)。在SNMP中實行共同體機制可以達(dá)到一下目的：11MIB訪問方式與SNMP訪問模式的關(guān)系MIB對象中定義的訪問方式（模式）限制SNMP訪問模式Read-OnlyRead-WriteRead-Only可用于get和trap操作Read-Write可用于get和trap操作可用于get，set和trap操作Write-Only可用于get和trap操作，但操作值與具體實現(xiàn)有關(guān)可用于get,set和trap操作，但操作值與具體實現(xiàn)有關(guān)Not-Accessible不能使用MIB訪問方式與SNMP訪問模式的關(guān)系SNMP訪問模式Rea12實例標(biāo)識符在MIB中的每個被管對象都有一個唯一的對象標(biāo)識符，以區(qū)分不同的被管對象，其命名規(guī)則都是按照其所在MIB樹上的層次和位置來決定。在對SNMPMIB的訪問中，實際上是對被管對象（葉子節(jié)點對象）實例的訪問，而當(dāng)在一個對象有多個實例時，例如表格，對象的標(biāo)識符就不能唯一地標(biāo)識被管對象的實例。因此必須確定被管對象實例的唯一標(biāo)識方法，也就是實例標(biāo)識符的命名方法。實例標(biāo)識符就是把列對象的對象標(biāo)識符與索引對象的值組合起來而構(gòu)成的。實例標(biāo)識符13報文的發(fā)送與接收1．SNMP報文的發(fā)送（1）構(gòu)成PDU；（2）將構(gòu)成的PDU、源和目的傳送地址（IP地址及端口號）以及共同體名作為一個ASN.1的對象移交給認(rèn)證服務(wù)。認(rèn)證服務(wù)完成所要求的變換，例如進(jìn)行加密或加入認(rèn)證碼，然后返回一個經(jīng)過加密或認(rèn)證的ASN.1對象；（3）將版本字段、共同體名以及上一步的結(jié)果組合成為一個報文；（4）用基本編碼規(guī)則（BER）對這個新的ASN.1的對象編碼，然后傳給傳輸服務(wù)。報文的發(fā)送與接收142．SNMP報文的接收（1）進(jìn)行消息的基本句法檢查，丟棄非法消息。（2）檢查版本號，丟棄版本號不匹配的消息。（3）認(rèn)證檢查。如果認(rèn)證失敗，認(rèn)證服務(wù)通知SNMP實體，由它產(chǎn)生一個trap并丟棄這個報文；如果認(rèn)證成功，認(rèn)證服務(wù)返回SNMP格式的PDU。（4）進(jìn)行PDU的基本句法檢查，如果非法，丟棄該PDU，否則根據(jù)共同體名選擇SNMP訪問策咯，對PDU進(jìn)行相應(yīng)處理。2．SNMP報文的接收153．變量綁定在SNMP中，可以將多個同類操作（get、set、trap）放在一個報文中。如果管理站希望得到一個代理的一組簡單對象的值，它可以發(fā)送一個報文請求所有的值，并通過獲取一個應(yīng)答得到所有的值。這樣可以大大減少網(wǎng)絡(luò)管理的通信負(fù)擔(dān)。3．變量綁定16SNMP報文格式在SNMP管理中，管理站和代理之間交換的管理信息構(gòu)成了報文。報文由3部分組成，即版本號、團(tuán)體名和協(xié)議數(shù)據(jù)單元（PDU）。SNMP共有5種管理操作，但只有3種PDU格式。SNMP報文格式17SNMP報文格式VersionCommunitySNMPPDUGetRequestPDU、GetNextRequestPDU、SetRequestPDUPDU類型請求標(biāo)識00變量綁定表GetResponsePDUPDU類型請求標(biāo)識錯誤狀態(tài)錯誤索引變量綁定表TrapPDUPDU類型制造商ID代理地址一般自陷特殊自陷時間戳變量綁定表變量綁定表Name1Value1Name2Value2……NamenValuenSNMP報文格式VersionCommunitySNMPP184.2.5SNMPMIB組MIB-II中的snmp組，其對象標(biāo)識符為{mib-211}4.2.5SNMPMIB組194.2.6SNMP的改進(jìn)SNMPv2增加了Manager-to-Manager通信，對SMI進(jìn)行了更新和擴(kuò)充，提出了行的概念，支持表的行建立和刪除操作。還增加了get-bulk-request和inform-request兩個非常有用的PDU，對trap進(jìn)行格式改造，使其具有與其他PDU相同的格式。SNMPv2還對MIB進(jìn)行很大擴(kuò)充，特別是在Internet節(jié)點下增加了snmpv2模塊。4.2.6SNMP的改進(jìn)20SNMPv3提出了一個面向各個版本的SNMP通用的體系結(jié)構(gòu)。每個實體包含一個引擎和若干應(yīng)用，并由所包含的引擎的ID命名。引擎由分發(fā)器、消息處理子系統(tǒng)、安全子系統(tǒng)和訪問控制子系統(tǒng)構(gòu)成。實體內(nèi)部子系統(tǒng)之間采用抽象服務(wù)接口來定義相互之間的服務(wù)關(guān)系。SNMP服務(wù)的請求者被稱為Principle，即用戶，它由具有安全性的名稱標(biāo)識。SNMPv3建議采用基于用戶的安全模型（USM）來實現(xiàn)安全服務(wù)，采用基于視圖的訪問控制模型（VACM）進(jìn)行訪問控制。

SNMPv3的一大進(jìn)步是大大提高了管理信息訪問的安全性。SNMPv3提出了一個面向各個版本的SNMP通214.3遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視RMON

4.3.1遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求4.3.2遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的目標(biāo)4.3.3RMONMIB4.3.4RMON2網(wǎng)絡(luò)管理技術(shù)的一個新趨勢是采用遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視（RMON,RemoteNetworkMonitoring），它是對SNMP功能的擴(kuò)充，對監(jiān)測和管理交換或局域網(wǎng)特別適用，是簡單網(wǎng)絡(luò)管理向互聯(lián)網(wǎng)管理過渡的重要步驟。4.3遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視RMON224.3.1遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求雖然MIB將數(shù)據(jù)的總和記錄下來，但它無法對日常通信量進(jìn)行歷史分析。為了查看每天的通信流量和變化率，管理人員必須不斷的輪詢SNMP代理，可能每分鐘就輪詢一次。4.3.1遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求23網(wǎng)絡(luò)管理員可以使用SNMP來評價網(wǎng)絡(luò)運行狀況，并預(yù)測通信的趨勢，決定采取某種措施。理論上講，管理站可以通過不斷地輪詢各個節(jié)點的MIB來計算網(wǎng)絡(luò)流量，但在實際上這是不太可行的。一方面會導(dǎo)致網(wǎng)絡(luò)中傳遞大量的管理信息，使網(wǎng)絡(luò)不堪負(fù)荷；二方面，將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺上（管理進(jìn)程端）。管理站所在計算機的處理能力總是有限的，當(dāng)監(jiān)控十多個網(wǎng)段時，可能CPU就無法應(yīng)付。另外，也會由于承載管理操作命令和操作結(jié)果的分組的丟失而使得統(tǒng)計結(jié)果不準(zhǔn)確。網(wǎng)絡(luò)管理員可以使用SNMP來評價網(wǎng)絡(luò)運行狀況，24基于上述原因，人們提出了一種高效、低成本的網(wǎng)絡(luò)監(jiān)視方案，即RMON。

RMON就是將一些專用設(shè)備配置在各個節(jié)點，并將這些設(shè)備稱為網(wǎng)絡(luò)監(jiān)測器（networkmonitor或probe），由此便產(chǎn)生了RMON的概念。一般，監(jiān)測器對網(wǎng)絡(luò)中各種類型的分組進(jìn)行觀察，從而得到網(wǎng)絡(luò)的總體信息，監(jiān)測器還可將一些分組存儲下來，以備事后分析。在互聯(lián)網(wǎng)環(huán)境下，為了達(dá)到監(jiān)測網(wǎng)絡(luò)流量的目的，一般每個子網(wǎng)需要一個監(jiān)測器。監(jiān)測器通常是一個獨立的設(shè)備，專用于捕獲和分析流量。基于上述原因，人們提出了一種高效、低成本的網(wǎng)絡(luò)監(jiān)25RMON有許多先進(jìn)之處：（1）每個RMON設(shè)備都對本地網(wǎng)段進(jìn)行監(jiān)測和分析，既可被動也可主動地向網(wǎng)絡(luò)管理系統(tǒng)傳遞信息。例如，當(dāng)它發(fā)現(xiàn)嚴(yán)重的分組丟失和過高的沖突率時，可以主動地報警。由于監(jiān)測是在本地進(jìn)行的，所以得出的分析結(jié)果是非常可靠的。（2）這種工作方式大大降低了SNMP的流量。（3）RMON降低了網(wǎng)絡(luò)管理系統(tǒng)時時能“見”到所有Agent的必要性。Agent常常會因為網(wǎng)絡(luò)過載等原因而聯(lián)系不上，如果沒有RMON設(shè)備，此時Agent到底發(fā)生了什么情況事后是難以調(diào)查的，因此，往往Agent越是聯(lián)系不上，網(wǎng)絡(luò)管理系統(tǒng)越要與它聯(lián)系。（4）RMON設(shè)備對本地子網(wǎng)的監(jiān)測幾乎可以做到連續(xù)不斷，這會顯著提高統(tǒng)計和控制的精度，使得故障能夠及時被發(fā)現(xiàn)、報告和診斷。RMON有許多先進(jìn)之處：264.3.2遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的目標(biāo)為了對RMON技術(shù)提供標(biāo)準(zhǔn)，IETF發(fā)布了RFC1757和RFC1513，分別對EthernetLAN和tokenringLAN的RMON進(jìn)行了規(guī)范，形成了第一個版本的RMON。4.3.2遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的目標(biāo)27RMON的設(shè)計目標(biāo)：（1） 離線操作在必要時由網(wǎng)絡(luò)管理站來限制或停止對監(jiān)視器的輪詢，有限查詢可以節(jié)約通信開支。如查詢通信失敗或管理站發(fā)生錯誤，查詢會終止。一般情況下，即使監(jiān)視器沒有被網(wǎng)管站查詢，也會繼續(xù)不停的收集使性能和配置信息。監(jiān)視器不斷積累統(tǒng)計信息，以便管理站將來查詢時提供管理信息。（2） 主動監(jiān)視若監(jiān)視器有足夠的資源，通信負(fù)載也允許，監(jiān)視器可以連續(xù)不斷地運行診斷程序，對網(wǎng)絡(luò)進(jìn)行診斷并記錄網(wǎng)絡(luò)性能狀況。在子網(wǎng)出現(xiàn)故障時通知管理站，向管理站提供診斷故障的有用信息。RMON的設(shè)計目標(biāo)：28（3） 問題監(jiān)測和報告主動監(jiān)視探測網(wǎng)絡(luò)將消耗較多的網(wǎng)絡(luò)資源去檢測錯誤和異常情況。監(jiān)視器也可以根據(jù)它所觀測到的流量被動地識別并記錄某些錯誤及其他情況，例如網(wǎng)絡(luò)擁塞，并在出現(xiàn)錯誤時通知管理站。（4） 提供增值數(shù)據(jù)監(jiān)視器可以分析采集到的子網(wǎng)中的數(shù)據(jù)，從而減輕管理站的計算任務(wù)的負(fù)擔(dān)。例如，監(jiān)視器可以分析子網(wǎng)流量來確定哪臺主機在子網(wǎng)上產(chǎn)生的流量或錯誤最多等等。（5） 多管理站操作一個網(wǎng)可以配置多個管理站，以提高可靠性，也可分步實施不同的管理功能。監(jiān)視器可以配置為同時和多個管理站并發(fā)工作，為不同的管理站提供不同的信息。

并不是每個遠(yuǎn)程監(jiān)視器都能夠?qū)崿F(xiàn)所有這些目標(biāo)，但是RMON的規(guī)范提供了實現(xiàn)所有目標(biāo)的支持。（3） 問題監(jiān)測和報告294.3.3RMONMIB在一個管理域中，各個節(jié)點上配備的RMON設(shè)備可能來自不同的廠商，因此需要為與RMON通信建立公共的句法和語義標(biāo)準(zhǔn)。RMON的句法也利用ASN.1描述，其管理信息結(jié)構(gòu)與SMI定義被管對象類所采用的結(jié)構(gòu)類似。RMONMIB中包含若干RMON組，這些組的開發(fā)經(jīng)歷了3個階段。（1）RMONMIB（RFC1271）是在1991年為EthernetLAN開發(fā)的；（2）1995年，發(fā)布了（RFC1757），同時廢止了（RFC1271）；（3）1993年面向tokenringLAN管理的（RFC1513）對RMON1進(jìn)行了擴(kuò)充。4.3.3RMONMIB30RMON1的應(yīng)用對遠(yuǎn)程監(jiān)控產(chǎn)主了非常好的效果，但是由于它僅面向OSI網(wǎng)絡(luò)模型的第2層，因此又在1997年開發(fā)了RMON2，它的管理對象是第3層到第7層。RMON是MIB-II下的第16個節(jié)點（mib-216），它所包含的組如圖所示。其中，有9個EthernetRMON1組（rmon1-rmon9），1個tokenringRMON1擴(kuò)充組（rmon10）和10個面向高層的RMON2組（rmon11--rmon20）。RMON1的應(yīng)用對遠(yuǎn)程監(jiān)控產(chǎn)主了非常好的效果，311．statistics組（統(tǒng)計）statistics組包含每個被監(jiān)測子網(wǎng)的基本統(tǒng)計量。2.history組（歷史）history組存儲的是以固定間隔取樣所獲得的子網(wǎng)數(shù)據(jù)。3．a(chǎn)larm組（報警）alarm組為網(wǎng)絡(luò)性能定義一組閾值（門限值），如果發(fā)生超過閾值的事件，就要產(chǎn)生告警并將其報告給控制中心。4．host組（主機統(tǒng)計數(shù)）host組用于收集有關(guān)特定主機的統(tǒng)計量。對于監(jiān)測器所知道的每個主機都有一組統(tǒng)計量需要維護(hù)。為每個新出現(xiàn)（啟動）的主機建立并維護(hù)一組統(tǒng)計數(shù)據(jù)。

1．statistics組（統(tǒng)計）325．hostTopN組（主機統(tǒng)計最大值）hostTopN組用于維護(hù)在一個子網(wǎng)中關(guān)于某些參數(shù)排名前N位的主機的統(tǒng)計信息。6．matrix組（矩陣）matrix組用于記錄子網(wǎng)中一對主機之間的流量信息，并以矩陣的形式存儲。7．filter組（過濾存儲）filter組為管理站提供指示監(jiān)測器在指定的接口上有選擇地監(jiān)測數(shù)據(jù)分組的功能。8．capture組（包捕獲）capture組可被用于從filter組定義的channel中捕獲分組。9．event組（事件）event組支持event定義。被定義的event可由某種條件觸發(fā)，event的觸發(fā)可引起記錄本組的日志信息和發(fā)送SNMPtrap消息。5．hostTopN組（主機統(tǒng)計最大值）33簡單網(wǎng)絡(luò)管理協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）是Internet中基于TCP/IP的網(wǎng)絡(luò)管理協(xié)議。SNMP的推出，由于其簡單性、實施容易和應(yīng)用成本低廉等特點，而受到業(yè)界許多廠家的廣泛支持，現(xiàn)已成為事實上的標(biāo)準(zhǔn)。本章主要從SNMP的體系結(jié)構(gòu)、管理模型、工作機制、協(xié)議操作等方面介紹SNMP的有關(guān)理論知識，同時簡單介紹遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視RNOM方面基本概念。簡單網(wǎng)絡(luò)管理協(xié)議與遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視34SNMP概述1SNMP的發(fā)展歷史2基本體系結(jié)構(gòu)3SNMP操作4SNMP的工作機制SNMP概述35SNMP的發(fā)展歷史簡單網(wǎng)絡(luò)管理協(xié)議（SNMP，SimpleNetworkManagementProtocol）誕生于1988，那時由于CMIP遲遲不能成熟并應(yīng)用于網(wǎng)絡(luò)管理，Internet體系結(jié)構(gòu)委員會（IAB）在原有簡單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP）的基礎(chǔ)上進(jìn)一步修改后提出了SNMP。SNMP的最初版本是SNMPv1，SNMPv1存在兩方面的問題：一是安全，SNMP只定義了安全性極為有限的基于共同體名授權(quán)使用的安全模型；二是管理信息的可靠傳輸問題，由于SNMPvl是在UDP上實現(xiàn)的，而UDP并不保證所有報文都能夠正確傳送。SNMP的發(fā)展歷史36增強的SNMPv2使該協(xié)議更加高效，同時還保持了它容易實現(xiàn)和成本低廉的特點，SNMPv2可以與SNMPv1透明地共存，它在性能、管理進(jìn)程與管理進(jìn)程通信方面對SNMP進(jìn)行了改進(jìn)，如減少了SNMP業(yè)務(wù)流、允許大塊數(shù)據(jù)的傳送、添加了一個用于高速網(wǎng)絡(luò)環(huán)境下的64位計數(shù)器；對基于NovellIPX，AppleTalkDDP和OSI的SNMP作了映射；但在安全性方面仍未能達(dá)到令人滿意的結(jié)果。1998年1月產(chǎn)生了SNMPv3管理控制框架，它由RFC2271－2275等幾個文檔共同說明，形成了SNMPv3的建議。SNMPv3在保持SNMPv2基本管理功能的基礎(chǔ)上，增加了安全性和管理性描述。另外，SNMP最重要的進(jìn)展是遠(yuǎn)程監(jiān)控（RMON）能力的開發(fā)。RMON為網(wǎng)絡(luò)管理者提供了監(jiān)控整個子網(wǎng)而不是各個單獨設(shè)備的能力。RMON還對基本SNMPMIB進(jìn)行了擴(kuò)充。增強的SNMPv2使該協(xié)議更加高效，同時還保持37基本體系結(jié)構(gòu)1．SNMP管理模型2.SNMP中的元素SNMP體系結(jié)構(gòu)由管理站、代理、管理信息庫（MIB）和通信協(xié)議SNMP構(gòu)成。3．委托代理基本體系結(jié)構(gòu)38SNMP操作管理信息的交換通過GetRequest、GetNextRequest、SetRequest、GetResponse、Trap共5個SNMP協(xié)議操作進(jìn)行。其中前三個消息由管理站發(fā)給代理用于請求讀取或修改管理信息，后兩個消息由代理發(fā)給管理站。GetResponse用于對各種讀取和修改管理信息的請求進(jìn)行應(yīng)答；Trap用來主動向管理站報告代理系統(tǒng)中發(fā)生的事件，如節(jié)點機分組隊列長度超過閾值，接口鏈路up或down等。SNMP操作39GetNextRequestTrape網(wǎng)絡(luò)訪問協(xié)議IPUDPSNMPManager管理應(yīng)用管理站GetRequestSetRequestTrapGetResponse網(wǎng)絡(luò)訪問協(xié)議IPUDPSNMPManager管理對象代理站GetRequestSetRequestGetResponseMIB庫GetNextRequestGetNextRequestSNMP消息管理應(yīng)用對象通信網(wǎng)絡(luò)TrapGetNextRequestTrap網(wǎng)絡(luò)訪問協(xié)議IPUD40SNMP的工作機制在通信網(wǎng)管理過程中，用來使管理信息庫與實際設(shè)備或設(shè)施的狀態(tài)和參數(shù)保持一致的方法主要有兩個。一個是基于中斷的事件驅(qū)動方法，另一個是輪詢驅(qū)動方法。SNMP的工作機制41基于SNMP的通信1對象訪問策略2實例標(biāo)識符3報文的發(fā)送與接收4SNMP報文格式5SNMPMIB組6SNMP的改進(jìn)基于SNMP的通信42對象訪問策略在基于SNMP的網(wǎng)絡(luò)管理中，SNMP通過共同體（Community，也有地方稱為團(tuán)體）的概念來解決訪問策略問題。共同體是SNMP體系中的一中安全機制，它是一個在代理中定義的本地的概念。通過定義共同體，代理系統(tǒng)就可以限制只有一些選定的管理站才能訪問它的MIB對象。同時，通過使用多個共同體，代理可以為不同的管理站提供不同的MIB訪問類別。每個共同體被賦予一個在代理內(nèi)部唯一的共同體名（也叫團(tuán)體名），該共同體名要提供給共同體內(nèi)的所有的管理站，以便它們在get和set操作中應(yīng)用。一個代理可以與多個管理站建立多個共同體，同一個管理站也可以出現(xiàn)在不同的共同體中。對象訪問策略43在SNMP中實行共同體機制可以達(dá)到一下目的：1．認(rèn)證服務(wù)2．委托代理服務(wù)3．訪問策略（1）SNMPMIB視圖（2）SNMP訪問模式（方式）MIB視圖和訪問模式的結(jié)合被稱為SNMP共同體輪廓（profile）。事實上，在一個共同體輪廓之內(nèi)，存在兩個獨立的訪問限制，其一是MIB對象定義中的訪問限制（參見第3章中有關(guān)MIB功能組及對象部分的內(nèi)容）和SNMP訪問模式。這兩個訪問限制在實際應(yīng)用中必須相互協(xié)調(diào)。在SNMP中實行共同體機制可以達(dá)到一下目的：44MIB訪問方式與SNMP訪問模式的關(guān)系MIB對象中定義的訪問方式（模式）限制SNMP訪問模式Read-OnlyRead-WriteRead-Only可用于get和trap操作Read-Write可用于get和trap操作可用于get，set和trap操作Write-Only可用于get和trap操作，但操作值與具體實現(xiàn)有關(guān)可用于get,set和trap操作，但操作值與具體實現(xiàn)有關(guān)Not-Accessible不能使用MIB訪問方式與SNMP訪問模式的關(guān)系SNMP訪問模式Rea45實例標(biāo)識符在MIB中的每個被管對象都有一個唯一的對象標(biāo)識符，以區(qū)分不同的被管對象，其命名規(guī)則都是按照其所在MIB樹上的層次和位置來決定。在對SNMPMIB的訪問中，實際上是對被管對象（葉子節(jié)點對象）實例的訪問，而當(dāng)在一個對象有多個實例時，例如表格，對象的標(biāo)識符就不能唯一地標(biāo)識被管對象的實例。因此必須確定被管對象實例的唯一標(biāo)識方法，也就是實例標(biāo)識符的命名方法。實例標(biāo)識符就是把列對象的對象標(biāo)識符與索引對象的值組合起來而構(gòu)成的。實例標(biāo)識符46報文的發(fā)送與接收1．SNMP報文的發(fā)送（1）構(gòu)成PDU；（2）將構(gòu)成的PDU、源和目的傳送地址（IP地址及端口號）以及共同體名作為一個ASN.1的對象移交給認(rèn)證服務(wù)。認(rèn)證服務(wù)完成所要求的變換，例如進(jìn)行加密或加入認(rèn)證碼，然后返回一個經(jīng)過加密或認(rèn)證的ASN.1對象；（3）將版本字段、共同體名以及上一步的結(jié)果組合成為一個報文；（4）用基本編碼規(guī)則（BER）對這個新的ASN.1的對象編碼，然后傳給傳輸服務(wù)。報文的發(fā)送與接收472．SNMP報文的接收（1）進(jìn)行消息的基本句法檢查，丟棄非法消息。（2）檢查版本號，丟棄版本號不匹配的消息。（3）認(rèn)證檢查。如果認(rèn)證失敗，認(rèn)證服務(wù)通知SNMP實體，由它產(chǎn)生一個trap并丟棄這個報文；如果認(rèn)證成功，認(rèn)證服務(wù)返回SNMP格式的PDU。（4）進(jìn)行PDU的基本句法檢查，如果非法，丟棄該PDU，否則根據(jù)共同體名選擇SNMP訪問策咯，對PDU進(jìn)行相應(yīng)處理。2．SNMP報文的接收483．變量綁定在SNMP中，可以將多個同類操作（get、set、trap）放在一個報文中。如果管理站希望得到一個代理的一組簡單對象的值，它可以發(fā)送一個報文請求所有的值，并通過獲取一個應(yīng)答得到所有的值。這樣可以大大減少網(wǎng)絡(luò)管理的通信負(fù)擔(dān)。3．變量綁定49SNMP報文格式在SNMP管理中，管理站和代理之間交換的管理信息構(gòu)成了報文。報文由3部分組成，即版本號、團(tuán)體名和協(xié)議數(shù)據(jù)單元（PDU）。SNMP共有5種管理操作，但只有3種PDU格式。SNMP報文格式50SNMP報文格式VersionCommunitySNMPPDUGetRequestPDU、GetNextRequestPDU、SetRequestPDUPDU類型請求標(biāo)識00變量綁定表GetResponsePDUPDU類型請求標(biāo)識錯誤狀態(tài)錯誤索引變量綁定表TrapPDUPDU類型制造商ID代理地址一般自陷特殊自陷時間戳變量綁定表變量綁定表Name1Value1Name2Value2……NamenValuenSNMP報文格式VersionCommunitySNMPP514.2.5SNMPMIB組MIB-II中的snmp組，其對象標(biāo)識符為{mib-211}4.2.5SNMPMIB組524.2.6SNMP的改進(jìn)SNMPv2增加了Manager-to-Manager通信，對SMI進(jìn)行了更新和擴(kuò)充，提出了行的概念，支持表的行建立和刪除操作。還增加了get-bulk-request和inform-request兩個非常有用的PDU，對trap進(jìn)行格式改造，使其具有與其他PDU相同的格式。SNMPv2還對MIB進(jìn)行很大擴(kuò)充，特別是在Internet節(jié)點下增加了snmpv2模塊。4.2.6SNMP的改進(jìn)53SNMPv3提出了一個面向各個版本的SNMP通用的體系結(jié)構(gòu)。每個實體包含一個引擎和若干應(yīng)用，并由所包含的引擎的ID命名。引擎由分發(fā)器、消息處理子系統(tǒng)、安全子系統(tǒng)和訪問控制子系統(tǒng)構(gòu)成。實體內(nèi)部子系統(tǒng)之間采用抽象服務(wù)接口來定義相互之間的服務(wù)關(guān)系。SNMP服務(wù)的請求者被稱為Principle，即用戶，它由具有安全性的名稱標(biāo)識。SNMPv3建議采用基于用戶的安全模型（USM）來實現(xiàn)安全服務(wù)，采用基于視圖的訪問控制模型（VACM）進(jìn)行訪問控制。

SNMPv3的一大進(jìn)步是大大提高了管理信息訪問的安全性。SNMPv3提出了一個面向各個版本的SNMP通544.3遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視RMON

4.3.1遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求4.3.2遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的目標(biāo)4.3.3RMONMIB4.3.4RMON2網(wǎng)絡(luò)管理技術(shù)的一個新趨勢是采用遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視（RMON,RemoteNetworkMonitoring），它是對SNMP功能的擴(kuò)充，對監(jiān)測和管理交換或局域網(wǎng)特別適用，是簡單網(wǎng)絡(luò)管理向互聯(lián)網(wǎng)管理過渡的重要步驟。4.3遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視RMON554.3.1遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求雖然MIB將數(shù)據(jù)的總和記錄下來，但它無法對日常通信量進(jìn)行歷史分析。為了查看每天的通信流量和變化率，管理人員必須不斷的輪詢SNMP代理，可能每分鐘就輪詢一次。4.3.1遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的需求56網(wǎng)絡(luò)管理員可以使用SNMP來評價網(wǎng)絡(luò)運行狀況，并預(yù)測通信的趨勢，決定采取某種措施。理論上講，管理站可以通過不斷地輪詢各個節(jié)點的MIB來計算網(wǎng)絡(luò)流量，但在實際上這是不太可行的。一方面會導(dǎo)致網(wǎng)絡(luò)中傳遞大量的管理信息，使網(wǎng)絡(luò)不堪負(fù)荷；二方面，將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺上（管理進(jìn)程端）。管理站所在計算機的處理能力總是有限的，當(dāng)監(jiān)控十多個網(wǎng)段時，可能CPU就無法應(yīng)付。另外，也會由于承載管理操作命令和操作結(jié)果的分組的丟失而使得統(tǒng)計結(jié)果不準(zhǔn)確。網(wǎng)絡(luò)管理員可以使用SNMP來評價網(wǎng)絡(luò)運行狀況，57基于上述原因，人們提出了一種高效、低成本的網(wǎng)絡(luò)監(jiān)視方案，即RMON。

RMON就是將一些專用設(shè)備配置在各個節(jié)點，并將這些設(shè)備稱為網(wǎng)絡(luò)監(jiān)測器（networkmonitor或probe），由此便產(chǎn)生了RMON的概念。一般，監(jiān)測器對網(wǎng)絡(luò)中各種類型的分組進(jìn)行觀察，從而得到網(wǎng)絡(luò)的總體信息，監(jiān)測器還可將一些分組存儲下來，以備事后分析。在互聯(lián)網(wǎng)環(huán)境下，為了達(dá)到監(jiān)測網(wǎng)絡(luò)流量的目的，一般每個子網(wǎng)需要一個監(jiān)測器。監(jiān)測器通常是一個獨立的設(shè)備，專用于捕獲和分析流量?；谏鲜鲈颍藗兲岢隽艘环N高效、低成本的網(wǎng)絡(luò)監(jiān)58RMON有許多先進(jìn)之處：（1）每個RMON設(shè)備都對本地網(wǎng)段進(jìn)行監(jiān)測和分析，既可被動也可主動地向網(wǎng)絡(luò)管理系統(tǒng)傳遞信息。例如，當(dāng)它發(fā)現(xiàn)嚴(yán)重的分組丟失和過高的沖突率時，可以主動地報警。由于監(jiān)測是在本地進(jìn)行的，所以得出的分析結(jié)果是非?？煽康?。（2）這種工作方式大大降低了SNMP的流量。（3）RMON降低了網(wǎng)絡(luò)管理系統(tǒng)時時能“見”到所有Agent的必要性。Agent常常會因為網(wǎng)絡(luò)過載等原因而聯(lián)系不上，如果沒有RMON設(shè)備，此時Agent到底發(fā)生了什么情況事后是難以調(diào)查的，因此，往往Agent越是聯(lián)系不上，網(wǎng)絡(luò)管理系統(tǒng)越要與它聯(lián)系。（4）RMON設(shè)備對本地子網(wǎng)的監(jiān)測幾乎可以做到連續(xù)不斷，這會顯著提高統(tǒng)計和控制的精度，使得故障能夠及時被發(fā)現(xiàn)、報告和診斷。RMON有許多先進(jìn)之處：594.3.2遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的目標(biāo)為了對RMON技術(shù)提供標(biāo)準(zhǔn)，IETF發(fā)布了RFC1757和RFC1513，分別對EthernetLAN和tokenringLAN的RMON進(jìn)行了規(guī)范，形成了第一個版本的RMON。4.3.2遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視的目標(biāo)60RMON的設(shè)計目標(biāo)：（1） 離線操作在必要時由網(wǎng)絡(luò)管理站來限制或停止對監(jiān)視器的輪詢，有限查詢可以節(jié)約通信開支。如查詢通信失敗或管理站發(fā)生錯誤，查詢會終止。一般情況下，即使監(jiān)視器沒有被網(wǎng)管站查詢，也會繼續(xù)不停的收集使性能和配置信息。監(jiān)視器不斷積累統(tǒng)計信息，以便管理站將來查詢時提供管理信息。（2） 主動監(jiān)視若監(jiān)視器有足夠的資源，通信負(fù)載也允許，監(jiān)視器可以連續(xù)不斷地運行診斷程序，對網(wǎng)絡(luò)進(jìn)行診斷并記錄網(wǎng)絡(luò)性能狀況。在子網(wǎng)出現(xiàn)故障時通知管理站，向管理站提供診斷故障的有用信息。RMON的設(shè)計目標(biāo)：61（3） 問題監(jiān)測和報告主動監(jiān)視探測網(wǎng)絡(luò)將消耗較