自考《計算機(jī)網(wǎng)絡(luò)管理》聽課筆記(五)

第五章簡單網(wǎng)絡(luò)管理協(xié)議 SNMPv25.1SNMP的演變（識記）：SNMP基與SGMP，由簡單容易實現(xiàn)的優(yōu)點。 SNMP的缺點也是明顯的： 沒有實質(zhì)性的安全措施，無數(shù)據(jù)源認(rèn)證功能，不能防止偷聽。為此 SNMP又增加了報文摘要算法 MD5保證數(shù)據(jù)的完整性和進(jìn)行數(shù)據(jù)源認(rèn)證，以及用時間戳對報文排序，采用 DES算法提供數(shù)據(jù)加密功能等實現(xiàn)安全的 S-SNMP.在S-SNMP的基礎(chǔ)上開發(fā)出了 SNMP的第二版，即SNMPv2.SNMPv2丟掉安全功能，把增加的其他功能作為新標(biāo)準(zhǔn)頒布，并采用 SNMPv1的報文格式，叫做基于團(tuán)體名的 SNMP.SNMPv2既可以支持完全集中的網(wǎng)絡(luò)管理，又可以支持分布式網(wǎng)絡(luò)管理。即采用代理方式的管理?？傮wSNMPv2對SNMP增加了以下 3個方面的內(nèi)容：管理信息結(jié)構(gòu)的擴(kuò)充管理站和管理展示間的通信能力新的協(xié)議操作。SNMPv2對定義對象類型的紅進(jìn)行了擴(kuò)充， 引入了新的數(shù)據(jù)類型， 增強(qiáng)了對象的表達(dá)能力；吸收了 RMON中有關(guān)表行增加和刪除的約定，提供了更完善的表操作功能； SNMPv2還定義新的 MIB組，包含協(xié)議操作的通信消息，以及有關(guān)管理站和代理系統(tǒng)配置的信息；在協(xié)議操作方面引入了兩種 PDU，分別用于大數(shù)據(jù)塊的傳送和管理站之間的通訊。5.2網(wǎng)絡(luò)安全問題1、計算機(jī)網(wǎng)絡(luò)安全的威脅計算機(jī)網(wǎng)絡(luò)需要以下 3個方面的安全保密性：計算機(jī)中的信息只能由授權(quán)了訪問權(quán)限的用戶讀取數(shù)據(jù)完整性：計算機(jī)中的信息資源只能被授權(quán)用戶修改可利用性：具有訪問權(quán)限的用戶在需要時可以利用計算機(jī)系統(tǒng)中的信息資源中斷：通信被中斷，對可用性威脅竊?。何唇?jīng)授權(quán)訪問，對保密性威脅篡改：未經(jīng)授權(quán)訪問并篡改了信息，對數(shù)據(jù)完整性威脅假冒：未經(jīng)授權(quán)加入偽造內(nèi)容，對數(shù)據(jù)完整性威脅2、網(wǎng)絡(luò)管理的安全威脅個方面威脅：偽裝的用戶：沒有得到授權(quán)的一般用戶企圖訪問網(wǎng)絡(luò)管理應(yīng)用和管理信息假冒管理程序：無關(guān)的計算機(jī)偽裝成網(wǎng)絡(luò)管理站實施管理功能侵入管理站和代理站之間的信息交換過程：網(wǎng)絡(luò)入侵者通過觀察網(wǎng)絡(luò)活動竊取了敏感的管理信息，更嚴(yán)重的危害是可能穿該管理信息或中斷管理站和代理站的通信。系統(tǒng)或網(wǎng)絡(luò)的安全設(shè)施由一系列安全服務(wù)和安全機(jī)制的集合組成：安全信息的服務(wù)： 網(wǎng)絡(luò)管理中的安全管理之保護(hù)管理站和代理之間信息交換的安全。 有關(guān)安全的管理對象包括密鑰、 認(rèn)證信息、訪問權(quán)限信息以及有關(guān)安全服務(wù)和安全機(jī)制的操作參數(shù)信息。安全管理要跟蹤網(wǎng)絡(luò)活動和試圖發(fā)起的網(wǎng)絡(luò)哦活動， 以便檢測未遂或成功的安全攻擊，并從這一攻擊中恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。安全維護(hù)信息包括：記錄系統(tǒng)中出現(xiàn)的各類事件跟蹤安全審計試驗，自動記錄有關(guān)安全的重要事件。報告和接受侵犯安全的警示信號維護(hù)和檢查那全記錄備份和保護(hù)敏感文件研究每個正常用戶的活動形象，預(yù)先設(shè)定敏感資源的使用形象，以便檢測異?；顒淤Y源的訪問控制：包括認(rèn)證服務(wù)和授權(quán)服務(wù)安全編碼源路由和路由記錄信息路由表目錄表報警門限記帳信息報文的加密：對管理站和代理之間交換的報文進(jìn)行加密3、安全機(jī)制：一般從保密、認(rèn)證、非認(rèn)證和數(shù)據(jù)完整性 4方面數(shù)據(jù)加密：是防止未經(jīng)授權(quán)的用戶訪問敏感信息的手段。研究數(shù)據(jù)加密的科學(xué)叫密碼學(xué)，它分為設(shè)計密碼體制的密碼編碼學(xué)和破譯密碼的密碼分析學(xué)。認(rèn)證——防止主動攻擊的方法認(rèn)證分為實體認(rèn)證和消息認(rèn)證。實體認(rèn)證是識別通信對方的身份，防止假冒，可以采用數(shù)字簽名的方法。消息認(rèn)證是驗證消息在傳送或存儲過程中沒有被篡改通常采用消息摘要法。n數(shù)字簽名——防止否認(rèn)的方法，基于密鑰的數(shù)字簽名n消息摘要——驗證消息的完整性，用差錯控制，冗余位5.3管理信息結(jié)構(gòu)（領(lǐng)會）1、對象的定義 P1312、表的定義、索引和操作 P136行的生成4步驟P136行的掛起：用 set命令把狀態(tài)列由 active改為notInService行的刪除：set命令把狀態(tài)列改為 destroy4、通告的定義和作用：用于異常條件出現(xiàn)時 SNMPv2實體發(fā)送的信息。5.4管理信息庫（簡單應(yīng)用）1、系統(tǒng)組SNMPv2的系統(tǒng)組是 MIB-2系統(tǒng)組的擴(kuò)展。之增加了與對象資源（ ObjectResource）有關(guān)的一個標(biāo)量對象 sysORLastChange和一個表對象 sysORTable.所謂對象資源：是由代理實體使用和控制的，可以由管理站動態(tài)配置的系統(tǒng)資源。標(biāo)量對象sysORLastChange記錄著對象資源表中描述對象實例改變狀態(tài)的時間。2、SNMP組與SNMPv2操作的關(guān)系：這個組是由 MIB-2的對應(yīng)組改造而成， 增加了一些新的對象，但新的 SNMP組對象少了，他刪除了對排錯作用不大的許多變量。3、MIB對象組的作用：這個組的對象與管理對象的控制有關(guān)，分為兩個子組。的一個子組snmpTrap由snmpTrapOID和snmpTrapEnterprise組成。前者是正在發(fā)送的陷入或統(tǒng)治的對象標(biāo)識符。后者是正在發(fā)送的陷入有關(guān)的制造商標(biāo)識符。第二個子組 snmpSet只有snmpSerialNo一個對象，用于解決 Set操作中可能出現(xiàn)的問題：一個管理站向同一 MIB對象發(fā)送多個，需保證順序執(zhí)行；多個管理站對 MIB的并發(fā)操作可能破壞數(shù)據(jù)庫的一致性和精確性。5、適應(yīng)性聲明主要內(nèi)容的：適應(yīng)性是對具體實現(xiàn)的限制，是具體實現(xiàn)必須達(dá)到的最小級別。說明適應(yīng)性要用到四個文件：OBJECT-GROUP（對象組宏）：一組有關(guān)的對象NOTIFICATION-GROUP （通知組宏）一組已經(jīng)實現(xiàn)的通知MODULE-COMPLIANCE （模塊依從性宏）：說明對 MIB實現(xiàn)的最小要求AGENT-CAPABILITIES （代理能力宏）：定義了一個代理系統(tǒng)的能力，及代理對 MIB的支持程度。6、接口組增加的對象及應(yīng)用原來的接口組的功能和不足之處：接口編號接口子層虛電路問題不同傳輸特性的接口計數(shù)長度接口速度組播/廣播分組的計數(shù)ifSpecific問題增加了4個新表：接口擴(kuò)展表：各種接口對象接口堆棧表：說明接口表中屬于同一物理接口的各個行之間的關(guān)系， 指明哪些子層運(yùn)行于那些子層之上。接口測試表：作用是由管理站知識代理系統(tǒng)測試接口故障接收地址表：包含每個接口對應(yīng)的各種地址。5.5SNMPv2協(xié)議和操作（簡單應(yīng)用）1、SNMPv2提供了3種訪問管理信息的方法管理站和代理之間的請求 /響應(yīng)通信管理站和管理站之間的請求 /響應(yīng)通信代理系統(tǒng)到管理站的非確認(rèn)通信2、SNMPv2報文結(jié)構(gòu)和交換序列SNMPv2報文的結(jié)構(gòu)分為 3部分：版本號、團(tuán)體名和作為數(shù)據(jù)傳送的 PDU.SNMPv2版本號為1SNMPv1版本號為 0SNMPv2發(fā)送序列：n根據(jù)協(xié)議需要構(gòu)造 PDUn把PDU、源和目標(biāo)端口地址以及團(tuán)體名傳送給認(rèn)證服務(wù)， 認(rèn)證服務(wù)產(chǎn)生認(rèn)證碼或?qū)ο髷?shù)據(jù)進(jìn)行加密。加入版本號、團(tuán)體名構(gòu)造報文。n進(jìn)行BER編碼，產(chǎn)生 0/1比特流，發(fā)送出去接收序列對報文進(jìn)行語法檢查，丟棄出錯報文n把PDU部分、源和目標(biāo)端口教給認(rèn)證服務(wù)。如果失效，發(fā)送一個陷入，丟棄報文。n認(rèn)證通過，把 PDU轉(zhuǎn)換成asn.1的形式n協(xié)議實體對 PDU作句法檢查，如果通過，根據(jù)團(tuán)體名和適當(dāng)?shù)脑L問策略作相應(yīng)的處理。3、SNMPv2PDU格式功能和操作 P152：6種協(xié)議數(shù)據(jù)單元， 3種格式。GetRequest，GetNextRequest，SetRequest，InformRequest和TrapPDUPDU類型請求標(biāo)識 00變量綁定表ResponsePDUPDU類型請求標(biāo)識錯誤狀態(tài)錯誤索引變量綁定表GetBulkRequestPDUPDU類型請求標(biāo)識非重復(fù)數(shù) N最大后繼數(shù)變量綁定表變量綁定表變量名1值1變量名2值2GetRequest：SNMPv2

對這種操作的響應(yīng)方式與

SNMPv1

不同。SNMPv1

響應(yīng)是原子性的，即只要有一個變量檢索不到，就不返回任何值。

SNMPv2

不是原子性，允許部分響應(yīng)。規(guī)則如下：如果改變量的對象標(biāo)識符前綴不能與這一請求可訪問的任何變量的對象標(biāo)識符匹配， 返回錯誤值 noSuchObject.如果變量名不能與這一請求可訪問的任何變量名完全匹配，則返回一個錯誤值 noSuchInstance.不屬于以上情況，在變量綁定表中返回被訪問的值。其他原因?qū)е绿幚硎?，返回錯誤狀態(tài) genErr.如果生成的響應(yīng) PDU過大，則放棄這個 PDU，構(gòu)造新的相應(yīng) PDU，錯誤狀態(tài) tooBigGetNextRequestPDU的響應(yīng)：對變量綁定表中指定的變量在 MIB中查找按字典順序的后繼變量，如果找到，返回改變量的名字和值。如果找不到字典順序的后繼變量，返回 endOfMibView.其他情況導(dǎo)致相應(yīng) PDU構(gòu)造失敗，以與 GetRequest類似的方式返回錯誤值GetBulkRequestPDU：是SNMPv2對原標(biāo)準(zhǔn)的主要增強(qiáng)， 目的是以最少的交換次數(shù)檢索大量的管理信息，或者要求管理站盡可能大的響應(yīng)報文。原理與 GetNextRequestPDU的響應(yīng)例題：P155GetRequestPDU：的請求與 SNMPv1相同，具有原子性。差別是處理相應(yīng)的方式不同。分兩個階段處理這個請求：檢驗操作的合法性；更新變量。檢驗合法性包括：如果有一個變量不可訪問，返回 noAccess如果與綁定表中變臉共享對象標(biāo)識符的任 MIB變量多不能生成、不能修改。也不解后制定的值，返回錯誤狀態(tài) notWritable設(shè)置類型不是和， WrongType設(shè)置值的長度限制不同， WrongLength要設(shè)置的ASN.1編碼不是合變量的 ASN.1標(biāo)簽，wrongEncoding指定值在任何情況下都不能賦予變量， wrongvalue變量不存在，也不能生成， noCreation變量存在，當(dāng)前情況不能生成， inconsistaneName變量存在，但不能修改， notWritable當(dāng)前情況下不能為變量賦與制定的值， inconsistanevalue缺乏資源，resourceUnavailable其他原因?qū)е绿幚碜兞拷壎▽κ。?genErrTrapPDU：陷入是代理發(fā)給管理站的非確認(rèn)信息，包含 sysUpTime.0（發(fā)出陷入時間），snmpTrapOID.0（陷入對象標(biāo)識符），有關(guān)通知宏定義中的各變量名及其值，代理系統(tǒng)選擇的其它變量的值。InformRequestPDU：管理站發(fā)給代理站的消息4、SNMPv2操作管理：SNMPv2的操作管理框架主要涉及 4個基本概念：參加者、上下文、 MIB視圖、訪問控制策略。5、SNMPv2實體：所謂實體就是執(zhí)行網(wǎng)絡(luò)管理操作的多線程進(jìn)程。6、SNMPv2上下文：SNMPv2實體可以訪問的管理對象的資源的集合，分為本地上下文和遠(yuǎn)程上下文。7、本地上下文是本地 MIB對象的一個子集，也叫做 MIB視閾8、訪問控制策略： SNMPv2實體發(fā)送一個 PDU后首先檢查協(xié)議操作的合法性， 及雙方參加者、操作的上下文是否有效，指定的操作是否允許等。9、SNMPv2的發(fā)送和接收P161、P16210、管理站之間的通信： SNMPv2增加管理站之間的通信機(jī)制是分布式網(wǎng)絡(luò)管理所需要的功能特征。為此引入了通知報文 InformRequest和管理站數(shù)據(jù)庫（manger-to-mangerMIB）。管理站數(shù)據(jù)庫有 3個表組成：snmpAlarmTable：報警表提供被監(jiān)視的變量的有關(guān)情況。snmpEventNotifyTable：事件表記錄 SNMPv2實體產(chǎn)生的重要事件，或者是報警事件、或者是通知類型宏定義事件。snmpEventNotifyTable：事件通知表定義了發(fā)送通知的目標(biāo)和類型。5.6SNMPv2的實現(xiàn)1、可利用的各種傳輸服務(wù)：a）UDP：用戶數(shù)據(jù)報協(xié)議b）CLNS：OSI面線非連接的傳輸服務(wù)c）CONS：OSI面線連接的傳輸服務(wù)d）DDP：AppleTalk的DDP傳輸服務(wù)e）IPX：Novell公司的網(wǎng)間網(wǎng)分組交換協(xié)議2、與OSI的兼容性：使用 RFC1006在TCP/IP網(wǎng)絡(luò)之上模擬 ISO的TP0傳輸服務(wù)。通過RFC1006，OSI的電子郵件、系統(tǒng)管理等應(yīng)用程序都可以運(yùn)行在 TCP/IP網(wǎng)絡(luò)上。TP0是最