網(wǎng)管與安全二

計(jì)算機(jī)網(wǎng)絡(luò)管理與安全技術(shù)李艇02W1.2.3第3章：SNMP通信模型與RMON規(guī)范3.1SNMP通信模型有4個方面的內(nèi)容：SNMP結(jié)構(gòu)管理模型SNMP協(xié)議SNMPMIB3.1.1SNMP結(jié)構(gòu)（SNMPArchitecture）

SNMP結(jié)構(gòu)是管理系統(tǒng)和管理代理之間的管理報(bào)文的規(guī)范。由定義團(tuán)體來進(jìn)行安全機(jī)制的管理，只有相同團(tuán)體成員之間才能進(jìn)行通信。一個管理站能夠?qū)儆诙鄠€團(tuán)體且可管理多個域。

3.1.1SNMP結(jié)構(gòu)（SNMPArchitecture）SNMP結(jié)構(gòu)具有三個方面的功能：通過管理代理實(shí)現(xiàn)的網(wǎng)絡(luò)功能應(yīng)該是最簡單的；允許有足夠的可擴(kuò)展性（增加新的操作和管理）；SNMP結(jié)構(gòu)應(yīng)獨(dú)立于具體主機(jī)和網(wǎng)關(guān)的結(jié)構(gòu)及機(jī)制。3.1.1SNMP結(jié)構(gòu)（SNMPArchitecture）SNMP只用于簡單對象的通信并用ASN.1和BER（基本編碼規(guī)則）進(jìn)行數(shù)據(jù)傳輸。

基本報(bào)文有set,get和trap。其中trap有三種類型：一般trap特殊trap時間戳

一般trap類別：（操作配置—自陷響應(yīng)）coldStartwarmStartlinkDownlinkUpauthenticationFailureegpNeighborLossenterpriseSpecific（屬特殊陷入由設(shè)備制造商定義）3.1.1SNMP結(jié)構(gòu)（SNMPArchitecture）特殊trap是與設(shè)備有關(guān)時間戳是在網(wǎng)絡(luò)實(shí)體初始化和陷入產(chǎn)生之間的時間。sysUpTime的值。3.1.1SNMP結(jié)構(gòu)（SNMPArchitecture）3.1.2管理模型(TheAdministrativeModel)

支持SNMP應(yīng)用實(shí)體的程序稱為協(xié)議實(shí)體SNMP管理者屬于管理站的應(yīng)用實(shí)體SNMP代理屬于網(wǎng)絡(luò)元素的應(yīng)用實(shí)體這一對實(shí)體被稱為SNMP團(tuán)體。SNMP團(tuán)體名為community，是一個字符串的形式。3.1.2管理模型

SNMPManager認(rèn)證服務(wù)SNMPManager認(rèn)證服務(wù)SNMPManager認(rèn)證服務(wù)認(rèn)證認(rèn)證服務(wù)SNMPAgentSNMP團(tuán)體報(bào)文3.1.2管理模型圖中是多個SNMP管理者與一個SNMP代理進(jìn)行通信，還可以進(jìn)行多對一和多對多的通信。圖中發(fā)送和接收過程都要進(jìn)行認(rèn)證檢驗(yàn)，這可以視為是一種安全機(jī)制。SNMPv1的安全機(jī)制很簡單，只是驗(yàn)證團(tuán)體名。屬于同一團(tuán)體的管理站和被管理站才能互相作用。3.1.2管理模模型1、團(tuán)體的的概念SNMP網(wǎng)網(wǎng)絡(luò)管理是是一種分布布式應(yīng)用。。代理控制制自己的MIB，也也控制多個個管理站對對MIB的的訪問。只有授權(quán)的的管理站才才允許訪問問管理信息息庫。其基本思想想是：l代理系統(tǒng)可可以對不同同的團(tuán)體定定義不同的的訪問控控制策策略，每個個團(tuán)體被賦賦予唯一的的名字。l管理站只能能以認(rèn)可的的團(tuán)體名行行使訪問權(quán)權(quán)。祥細(xì)信息l管理站實(shí)體體可以用不不同的名字字對不同的的代理實(shí)實(shí)施不不同的訪問問權(quán)限。操作－新團(tuán)團(tuán)體名lt1-權(quán)限限3.1.2管理模模型2、認(rèn)證服服務(wù)認(rèn)證服務(wù)的的目的是要要保證通信信是被授權(quán)權(quán)的。對于一個SNMP報(bào)報(bào)文，認(rèn)證證服務(wù)的功功能是保證證接收報(bào)文文來自于這這個消息所所聲稱的源源。從管理站到到代理的每每個報(bào)文都都包括一個個團(tuán)體名字字。這個名名字起到密密碼的作用用，如果發(fā)發(fā)送者知道道這個密碼碼，報(bào)文就就被認(rèn)為是是可靠的。。3.1.2管理模模型團(tuán)體名以明明文的形式式傳輸，容容易被竊取取。所以SNMP的的安全機(jī)制制是不安全全的。為此很多SNMP的的實(shí)現(xiàn)只允允許Get和Trap操作，，而Set的操作被被嚴(yán)格的限限制。即只只具有網(wǎng)絡(luò)絡(luò)監(jiān)視功能能而限制為了加強(qiáng)SNMP的安全性，在后來的SNMP版本中改進(jìn)了認(rèn)證服務(wù)。復(fù)習(xí)3.1.23、訪問問策略通過定義義團(tuán)體，，代理系系統(tǒng)限制制只有一一些選定定的管理理站才能能訪問它它的MIB。通過使用用多個團(tuán)團(tuán)體，代代理可為為不同的的管理站站提供不不同的MIB訪訪問類別別。訪問控制有有兩方面：：lSNMPMIB視視域（view））:MIB中對象象的一個子子 集，，對不同的的團(tuán)體可以以定義不同同的視域。。屬于于同一視域域的對象不不必屬于同同一子樹。。l訪問模式：：集合{read-only,read-write}的一個個元元素。對于

3.1.2管理模模型一個團(tuán)體的的MIB視視域和訪問問模式的組組合稱為SNMP團(tuán)團(tuán)體形象（（profile））。它包含代理理中對象的的一個子集集和有關(guān)這這些對象的的訪問模式式。SNMP訪訪問模式適適用于MIB視域中中的所有對對象。例如如如果訪問問模式是read-only，則具有有同一團(tuán)體體形象的管管理站對視視域中的所所有對象只只能以只讀讀方式訪問問。每個MIB對象的定定義都有ACCESS子句，，其規(guī)定了了對象量量的訪問問屬性。團(tuán)體形象中中又規(guī)定了了團(tuán)體成員員對對象的的訪問模式式。 這兩兩種訪問限限制應(yīng)該相相協(xié)調(diào)。即使一個對對象的訪問問屬性是write-only，也允允許SNMP實(shí)實(shí)體讀取取該對象，， 這取決決于具體實(shí)實(shí)現(xiàn)時的考考慮。3.1.2管理模模型表MIB訪問類別與SNMP訪問模式的關(guān)系MIB訪問類別SNMP訪問模式READ-ONLYREAD-WRITEread-only可用于get和trap操作read-write可用于get和trap操作可用于get，set和trap操作write-only可用于get和trap操作，值與具體實(shí)現(xiàn)有關(guān)可用于get，set和trap操作，對于get和trap操作，值與具體實(shí)現(xiàn)有關(guān)not-accessible不能使用3.1.2管理模模型團(tuán)體形象是是由代理為為各個團(tuán)體體定義的。。SNMP團(tuán)團(tuán)體和SNMP團(tuán)體體形象的組組合稱為SNMP訪訪問策略。。SNMP代理SNMP管理站集合SNMPMIB視域SNMP訪問模式SNMP團(tuán)體SNMP團(tuán)體形象SNMP訪問策略SNMP管理概念SNMP的的訪問策略略Manager1(Community1)Manager2(Community2)Manager3(Community1,Community2)Agent1Agent2CommunityProfile1CommunityProfile2Agent3Agent4CommunityProfile3CommunityProfile4圖SNMPAccessPolicyCommunity1Community23.1.2管理模模型三個網(wǎng)絡(luò)管管理系統(tǒng)，，各自有不不同的團(tuán)體體域。代理1和代代理2屬于于團(tuán)體1，，而它們卻卻有不同的的團(tuán)體形象象。作為團(tuán)體1的一部分分的管理站站1可以與與代理1和和代理2通通信但管理站1不可以與與屬于團(tuán)體體2的代理理3和代理理4通信。。管理站2則可以訪訪問它們，，因?yàn)楣芾砝碚?屬于于團(tuán)體2。。管理站站3可可以訪訪問團(tuán)團(tuán)體1和團(tuán)團(tuán)體2，因因此可可以與與所有有代理理通信信3.1.2管管理模模型4、委委托代代理服服務(wù)通常委委托代代理是是為不不支持持SNMP的設(shè)設(shè)備工工作的的，團(tuán)團(tuán)體形形象的的概念念同樣樣適用用于委委托代代理服服務(wù)。。有些情情況下下，被被代理理的設(shè)設(shè)備也也可能能支持持TCP/IP和SNMP，，這時時委托托代理理的作作用是是為了了減少少代理理的設(shè)設(shè)備與與管理理站之之間的的交互互過程程。對于被被代理理的設(shè)設(shè)備，，委托托代理理定義義并且且維護(hù)護(hù)一種種SNMP訪問問策略略。3.1.2管管理模模型圖為SNMP對對象與與非SNMP對對象通通過SNMP管管理站站進(jìn)行行通信信的例例子。。比如如SNMP代理理可以以是一一個具具有TCP/IP協(xié)協(xié)議的的LAN。。而一一個WAN如X.25網(wǎng)網(wǎng)絡(luò)，，其不不具有有Internet模型型，但但可以以通過過委托托代理理進(jìn)行行管理理并集集成到到綜合合管理理系統(tǒng)統(tǒng)。SNMP管理站SNMP代理委托代理SNMP團(tuán)體非SNMP團(tuán)體圖SNMP代理訪問策略3.1.3SNMP協(xié)協(xié)議規(guī)規(guī)范（（SNMPProtocolSpecifications）1、SNMPPDU格格式DataSNMPPDUCommunityVersionAHSNMPPDUUDPHTransportPDUIPHNetworkPDUDLCHSNMP報(bào)文封裝3.1.3SNMP協(xié)協(xié)議規(guī)規(guī)范SNMP報(bào)報(bào)文是在PDU加上上團(tuán)體體名、、版本本號和和應(yīng)用用層的的頭構(gòu)構(gòu)成了了應(yīng)用用層的的PDU。。在其前前加上上UDP的的頭成成為了了傳輸輸層的的PDU。。以此此類推推，構(gòu)構(gòu)成每每一層層的PDU。SNMP協(xié)協(xié)議實(shí)實(shí)體在在主機(jī)機(jī)的161端口口被接接收。。tray是是在162端口口被接接收。。SNMPv1協(xié)協(xié)議的的最大大長度度為484個字字節(jié)。。SNMP有有5種種管理理操作作，但但只有有3種種PDU格格式：：GetRequestPDU、GetNextRequestPDU與SetRequestPDU格格式相同。GetResponsePDUTrapPDU圖SNMP報(bào)文格式CommunityVersionSNMPPDU變量綁定表00Request-idPDUtypeSNMP報(bào)文GetRequestPDU,GetNextRequestPDU和SetRequestPDUGetResponsePDU錯誤狀態(tài)請求標(biāo)識PDUtype錯誤索引Variable-bindingsTrapPDU制造商ID代理地址一般陷阱特殊陷阱時間戳變量綁定表PDUtypename1value1name2value2……namenvaluen變量綁定表表2SNMP報(bào)文域域描述versionSNMP版本：RFC1157為版本1community團(tuán)體名可以用作認(rèn)證SNMP報(bào)文的口令request-id通過給每個請求提供一個唯一的id，區(qū)分不同的請求error-status代理在處理管理站的請求時可能出現(xiàn)的各種錯誤：noError(0),tooBig(1),noSuchName(2),badValue(3),readOnly(4),genErr(5)error-index當(dāng)error-status非0時error-index指出是列表中的哪個變量引起了錯誤。變量即管理對象實(shí)例variable-bindings一列變量名和相應(yīng)值enterprise產(chǎn)生陷阱的對象的類型；基于sysObjectIDagent-addr產(chǎn)生陷阱的對象的地址generic-trap一般陷阱，其值為：coldStart(0),warmStart(1),linkDown(2),linkup(3),authen-ticationFailure(4),egpNeighborLoss(5)enterpriseSpecific(6)specific-trap更具體地指出陷阱性質(zhì)的一個代碼time-stamp在網(wǎng)絡(luò)實(shí)體初始化和陷阱產(chǎn)生之間的時間，即sysUpTime的值3.1.3SNMP協(xié)協(xié)議規(guī)規(guī)范2、報(bào)報(bào)文的的發(fā)送送和接接收構(gòu)造PDU（ASN.1對象）加入團(tuán)體名及源和目的傳輸?shù)刂窐?gòu)造SNMP報(bào)文檢驗(yàn)并通過認(rèn)證把ASN.1報(bào)文按BER編碼發(fā)送給對等實(shí)體圖7生成和發(fā)送SNMP報(bào)文3.1.3SNMP協(xié)協(xié)議規(guī)規(guī)范按BER解碼，恢復(fù)ASN.1報(bào)文語法分析ASN.1報(bào)文驗(yàn)證版本號認(rèn)證檢查語法分析PDU處理PDU，必要時產(chǎn)生應(yīng)答丟棄報(bào)文必要時產(chǎn)生陷入出錯正確圖8接收和處理SNMP報(bào)文3.1.4SNMP操操作（（SNMPOperations））1.變變量量綁定定所有的的SNMP操作作都是是訪問問對象象實(shí)例例。（（葉節(jié)節(jié)點(diǎn)））可以將將一些些相同同類型型的操操作（（get,set,trap）組組合到到一條條報(bào)文文中去去。管管理站站可得得到代代理的的某個個組中中的所所有標(biāo)標(biāo)量對對象的的值。。Getone……sysName.0sysLocation.0(mib操操作)它可以以只發(fā)發(fā)送一一條報(bào)報(bào)文來來要求求所有有的取取值，，然后后得到到一個個列出出了所所有值值的響響應(yīng)。。Getmany….ip為了實(shí)實(shí)現(xiàn)多多個對對象的的交換換，所所有的的SNMPPDU都包包括一一個variable-binding域域，即即綁定定域。。該域由一一系列對對象實(shí)例例的索引引組成，，并且?guī)в心切┬ο蟮牡闹怠?.1.4SNMP操作2.檢檢索簡單單對象檢索簡單單的標(biāo)量量對象值值可以用用get操作;如果變量量綁定表表中包含含多個變變量，一一次還可可以檢索索多個標(biāo)標(biāo)量對象象的值;接收GetRequest的的SNMP實(shí)體體請求標(biāo)標(biāo)識相同同的GetResponse響應(yīng)。。如果所有有請求的的對象值值均可以以得到，，則給于于應(yīng)答；；只要有有一個對對象的值值得不到到，則可可返回下下列錯誤誤之一：：3.1.4SNMP操作?noSuchName:變量量綁定表表中的一一個對象象無法與與MIB中的任任何對象象標(biāo)識符符匹配，，或者要要檢索的的對象是是一個子子樹或表表，沒有有對象實(shí)實(shí)例生成成。操作getone表表對象?tooBig：：響應(yīng)實(shí)實(shí)體可提提供所有有要檢索索的值，，若變量量太多以以至一個個響應(yīng)PDU裝裝不下。?

genError:響應(yīng)實(shí)體一個對象的值也不能提供時，變量綁定表中不返回任何值。3.1.4SNMP操操作例1：若網(wǎng)絡(luò)絡(luò)管理站想要要從代理中檢檢索udp組組中所有簡單單對象的取值值，管理站可可以發(fā)送一個個GetRequestPDU,并在檢索命命令中直接指指明對象實(shí)體體的標(biāo)識符：：GetRequest(udpInDatagrams.0,udpNoPorts.0,udpInError.0,udpOutDatagrams.0)如果代理中中該公共體體的MIB視域支持持所有的這這些對象，，則返回4個對象的的一個GetRequestPDU：復(fù)習(xí)3.1.4SNMP操操作例2：如如果代理不支支持管理站對對udpNoPorts的訪問，則則響應(yīng)應(yīng)會不同同。如發(fā)出同同樣的命令：：GetNextRequest(udpInDatagrams,udpNoPorts,udpInError,udpOutDatagram)而得到的響應(yīng)應(yīng)是：GetResponse(udpInDatagrams.0=17346,udpInError.0=0,udpInError.0=0,udpOutDatagrams.0=17090)因?yàn)樽兞棵鹵dpNoPorts和和udpInError的下一個對對象實(shí)例都都是udpInError.0=0可見當(dāng)代理收收到一個Get請求時，，如果能檢索索到所有的對對象實(shí)例例，則返回請請求的每一個個值；如果有一個值值不能提供，，則返回該實(shí)實(shí)例的下一個個值。復(fù)習(xí)3.1.4SNMP操操作3.檢索未未知對象GetNext命令檢索索變量名指示示的下一個對對象實(shí)例，但但是并不要求求變量名是對對象標(biāo)識符或或者是實(shí)例標(biāo)標(biāo)識符。如udpInDatagrams的實(shí)例標(biāo)識符是是udpInDatagrams.0，而udpInDatagrams.2并并不表示任何何對象。若發(fā)發(fā)出GetNextRequest(udpInDatagrams.2)得到到的響應(yīng)是GetNextRequest(udpNoPorts.0=2552)getnext操作說明代理沒有有檢查標(biāo)識符符udpInData3.1.4SNMP操操作4.檢檢索索表對對象GetNext可用用于有有效地地搜索索表對對象。。圖9表對象檢索IfTable(2)Interfaces(mib-22)mib-2=.2.1IfNumber(1)IfEntry(1)IfIndex(1)IfDescr(2)IfType(3)IfMtu(4)IfSpeed(5)復(fù)習(xí)3.1.4SNMP操操作例3：上上圖圖中，，若發(fā)發(fā)出下下面的的命令令，檢檢索ifNumber的的值。。GetRequeGetResponse(2)我們知道有兩個接口。如果我們進(jìn)一步想要知道每個接口的數(shù)據(jù)速率，則可以用下面的命令檢索if表中的第五個元素：GetRequest(..1.5.1)最后的1是索引項(xiàng)ifIndex的值。得到的響應(yīng)是：GetResponse(10000000)說明第一個接口的數(shù)據(jù)速率是10Mb/s。若要得到第二個接口的速率可用命令：GetNextRequest(..1.5.1)得到的可能是GetResponse(56000)說明第二個接口的數(shù)據(jù)速率為56kb/s。操作：getone–v1IP地址public..03.1.4SNMP操操作例4若若管理理站希希望能能夠檢檢索整整個表表，但但又不不知其其中的的內(nèi)容容和表表中的的行數(shù)數(shù)，則則可連連續(xù)使使用GetNext命令令。表3檢索表對象ipRouteDestIpRouteMetric1ipRouteNextHop3159523.1.4SNMP操操作管理站站可發(fā)發(fā)送包包含所所有列列對象象名稱稱的GetNextRequest:GetNextRequest(ipRouteDest,ipRouteMetric1,ipRouteNextHop)代理將將表中中的第第一行行取值值返回回：GetResponse(ipRouteDest.=,ipRouteMetric.3=3,ipRouteNextHop.=)根據(jù)第第一行行的值值可檢檢索下下一行行：GetNextRequest(ipRouteDest.,ipRouteMetric.3,ipRouteNextHop.)GetResponse(ipRouteDest.1=1,ipRouteMetric.51=5,ipRouteNextHop.1=2)據(jù)此可繼續(xù)檢檢索第三行。。3.1.4SNMP操操作GetNextRequest(ipRouteDest.1,ipRouteMetric.51,ipRouteNextHop.1)GetResponse(ipRouteDest.9=9,ipRouteMetric.99=5,ipRouteNextHop.10.0.0管理站不知道這是表的未尾，因此繼續(xù)：GetNextRequest(ipRouteDest.9,ipRouteMetric.99,ipRouteNextHop.9)然而表中只有3行，因此代理返回MIB中按字典順序的下個對象：GetResponse(ipRouteMetric.3=3,ipRouteNextHop.=,ipNetToMediaIfIndex.1.3=1)

管理站可以通過響應(yīng)列表中對象的名稱與請求不匹配而得出路由表已以到達(dá)了末端。Getnextip路由表最后一行-級聯(lián)—不匹配變量—表尾復(fù)習(xí)3.1.4SNMP操操作5.表表的的更新新和刪刪除Set命令令用于于設(shè)置置或更更新變變量的的值。。對于于Set命命令的的應(yīng)答答與是是GetResponse,并且且要么么更新新列表表中的的所有有變量量，要要么一一個也也不更更新。。其錯錯誤狀狀態(tài)為為tooBig,noSuchname和和genError。若有一一個變變量的的名字字和要要設(shè)置置的值值在類類型、、長度度或?qū)崒?shí)際值值方面面不匹匹配，，則返返回錯錯誤條條件badValue。。3.1.4SNMP操操作例5:在表表3中中，若若想改改變列列對象象ipRouteMetric1的第第一個個值，，則可可發(fā)出出命令令：SetRequest(ipRouteMetric.3=7)得到的的應(yīng)答答是：：GetResponse(ipRouteMetric.3=7)其效果是是該對象象的值由由3變成成了7。。setany––v1IP地址publicipRouteMetric1.子網(wǎng)網(wǎng)地址()––i23.1.4SNMP操作例6對對于表表3若要要增加一一行，則則可用命命令：SetRequest(ipRouteDest.2=2,ipRouteMetric.12=7,ipRouteNextHop.2=)Setany…….ipRouteNextHop.––a7(publicrw)例7如如果要要刪除表表中的一一行，則則可以把把一個對對象的值值置為invalid:SetRequest(ipRouteType.=invalid)得到的響響應(yīng)說明明表行確確已刪除除：GetResponse(ipRouteType.=invalid)3.1.4SNMP操作6.陷陷入操作作?coldStart發(fā)送實(shí)實(shí)體重新新初始化化，代理理的配置置已改變變，通常常是由系系統(tǒng)失效效引起的的。?warmStart發(fā)送實(shí)實(shí)體重新新初始化化，但代代理的配配置沒有有改變，，這是正正常的重重啟動過過程。?linkDown鏈鏈路失效效通知，，變量綁綁定表的的第一項(xiàng)項(xiàng)指明對對應(yīng)接口口表的索索引變量量及其值值。?linkUP鏈路啟啟動通知知，變量量綁定表表的第一一項(xiàng)指明明對應(yīng)接接口表的的索引變變量及其其值。?authenticationFailure發(fā)送實(shí)實(shí)體收到到一個沒沒有通過過認(rèn)證的的報(bào)文。。?egpNeighborLoss相鄰鄰的外部部路由器器失效或或關(guān)機(jī)。。?enterpriseSpecific由設(shè)設(shè)備制造造商定義義的陷入入條件，，在特殊殊陷入字字段指明明具體的的陷入類類型。操作：配配置—響響應(yīng)策略略---trap響應(yīng)應(yīng)3.1.5SNMP功能組組（MIB-ⅡⅡSNMPGroup））snmp組包含含SNMP操作作和實(shí)現(xiàn)現(xiàn)的信息息。除了組中中的最后后一個對對象，所所有的對對象都是是只讀的的計(jì)數(shù)器器。對象snmpEnableAuthenTrap可可以由由管理理站設(shè)設(shè)置，，它指指示是是否允允許代代理產(chǎn)產(chǎn)生““認(rèn)證證失效效”陷陷入。。操作mib3.1.6SNMPv2SNMP具具有一一定的的局限限性:?由由于輪輪詢的的性能能限制制，SNMP不不適合合管理理很大大的網(wǎng)網(wǎng)絡(luò)?SNMP不適適合檢檢索大大量數(shù)數(shù)據(jù)。。?SNMP的的陷入入報(bào)文文是沒沒有應(yīng)應(yīng)答的的，可可能會會丟掉掉重要要的管管理信信息。。?SNMP只提提供簡簡單的的團(tuán)體體名認(rèn)認(rèn)證，，安全全措施施很弱弱。?SNMP并不不直接接支持持向被被管理理設(shè)備備發(fā)送送命令令。?MIB-ⅡⅡ支持持的管管理對對象是是很有有限的的，不不足以以完成成復(fù)雜雜的的管管理功功能。。?SNMP不支支持管管理站站之間間的通通信，，而這這一點(diǎn)點(diǎn)在分分布式式網(wǎng)絡(luò)絡(luò)管管理中中是很很需要要的。。針對以以上SNMPv1的的缺陷陷，SNMPv2對對SNMP進(jìn)行行了一一定的的改進(jìn)進(jìn)。其其增強(qiáng)強(qiáng)的主主要功功能有有：?管管理信息結(jié)構(gòu)構(gòu)的擴(kuò)充；?管管理站和管理理站之間的通通信能力；?新新的協(xié)議操作作。1SNMPv2系統(tǒng)結(jié)結(jié)構(gòu)SNMP管理站SNMP代理SNMP管理站SNMPv2與SNMP系統(tǒng)結(jié)構(gòu)的的主要區(qū)別SNMPv2有7種報(bào)文文管理者與管理理者之間可以以通信。SNMPv2提供3種訪訪問管理信息息的方法：?管理站和代理理之間的請求求/響應(yīng)通信信。?代理系統(tǒng)到管管理站的非確確認(rèn)通信。?管理站和管理理站之間的請請求/響應(yīng)通通信，以支持持分布式網(wǎng)絡(luò)絡(luò)管理。2SNMPv2協(xié)議議操作SNMPv2報(bào)文版本號取值為為0----SNMPv1取值為1----SNMPv2。SNMPv2PDUSNMPv2協(xié)議數(shù)據(jù)單單元有3種PDU格式GetRequest、、GetNextRequest、、SetRequest、GetBulkRequest、SNMPv2-Trap、Response、InformRequest復(fù)習(xí)Variable-bindings00Request-idPDUtype圖SNMPv2報(bào)文PDU格式GetRequest，，GetNextRequest，，SetReques，，InfornRequest和TrapPDUGetResponsePDU錯誤狀態(tài)請求標(biāo)識PDUtype錯誤索引Variable-bindingsGetBuleRequestPDU非重復(fù)數(shù)N請求標(biāo)識PDUtype最大后繼數(shù)MVariable-bindings變量綁定表name1value1name2value2------namenvaluen2SNMPv2協(xié)議議操作(1)GetRequestPDU：SNMPv2對這種操作作的響應(yīng)方式式與SNMPv1不同之之處是允許部部分響應(yīng)，對對變量綁定表表中的各個變變量進(jìn)行處理理：?

如果該該變量的對象象標(biāo)識符前綴綴不能與這一一請求可訪問問 的任任何變量的對對象標(biāo)識符前前綴匹配，則則返回一個錯錯誤值值noSuchObject。?

如果變變量名不能與與這一請求可可訪問的任何何變量名完全全 匹配，則則返回一個錯錯誤值noSuchInstance。?

如果由由于任何其他他原因而處理理失敗，則返返回一個錯誤誤 狀態(tài)genErr。。?如如果生成的的響應(yīng)PDU太大，則構(gòu)構(gòu)造一個新的的響應(yīng)PDU，其其錯誤狀態(tài)為為tooBig，錯誤索索引為0，變變量綁定表為為空空。2SNMPv2協(xié)議議操作(2)GetNextRequestPDU：其區(qū)別于SNMPv1是是改變了響應(yīng)應(yīng)的原子性。。對變量綁定表表中指定的變變量在MIB中查找按照照字典順序的的后繼變量，，如果找到，，返回該變量量的名字和值值。如果找不到按按照字典順序序的后繼變量量，則返回請請求PDU中中的變量名和和錯誤值endOfMibView.如果出現(xiàn)其他他情況使得構(gòu)構(gòu)造響應(yīng)PDU失敗，以以與GetRequest類似的方方式返回錯誤誤值。2SNMPv2協(xié)議議操作(3)GetBulkRequestPDU：是SNMPv2對原標(biāo)準(zhǔn)準(zhǔn)的主要增強(qiáng)強(qiáng)，用于從代代理到管理站站傳送大量的的數(shù)據(jù)而使所所需要的協(xié)議議交換數(shù)目最最小，尤其是是檢索表數(shù)據(jù)據(jù)的管理信息息。塊檢索操作，，原理與GetNextRequest操作相相同可以說明多個個后繼對象實(shí)實(shí)例。如果請求太大大，代理則返返回盡可能多多的數(shù)據(jù)，而而不是簡單地地發(fā)送一個tooBig錯誤消息。。getmanysystemtcp2SNMPv2協(xié)議議操作(4)SetRequestPDU：SNMPv2SetRequestPDU在在格式和語義義上都和SNMPv1完完全相同，其其操作的基本本特性是要么么更新所有的的變量，要么么一個都不更更新。唯一的的區(qū)別在于處處理響應(yīng)的方方式不同。使用較多的錯誤代碼碼是SNMPv2對SNMP的一大大提高，使得得管理站能了了解詳細(xì)的錯錯誤信息，以以便采取糾正正措施。2SNMPv2協(xié)議議操作(5)SNMPv2-TrapPDU:SNMPv2的陷入采用用與Get等等操作相同的的PDU格式式，這與原標(biāo)標(biāo)準(zhǔn)不同。但但其也是代理理發(fā)給管理站站的非確認(rèn)性性消息。2SNMPv2協(xié)議議操作(6)InformRepuestPDU：由管理站功能能實(shí)體代表一一個應(yīng)用程序序發(fā)往另一個個執(zhí)行管理站站功能的SNMPv2實(shí)實(shí)體，為得到到后一個應(yīng)用用程序提供的的管理信息。。變量綁定表的的內(nèi)容與SNMPv2-TrapPDU具有有相同的元素素。但該消息息需要應(yīng)答。。3SNMPv2管理理信息庫SNMPv2的管理信息息庫增加了兩兩個新的MIB模塊，即即安全模塊和和SNMPv2模塊。SNMPv2又有三個子模塊:SNMPDomains,SNMPProxys和SNMPModules。SNMPDomains擴(kuò)展了在在傳輸協(xié)議之之上傳送管理理報(bào)文的SNMP標(biāo)準(zhǔn)。。SNMPProxys的的功能是將執(zhí)執(zhí)行其它協(xié)議議的系統(tǒng)通過過代理服務(wù)映映射到UDP.internet{}system(1)snmpMIBObjects(1)snmpMIBConformance(2)snmp(11)……security(5)snmpv2(6)directory(1)mgmt(2)experimental(3)private(4)snmpdomains(1)snmpProxys(2)snmpModules(3)mib-2(1)snmpMIB(1)圖5-12SNMPV2Internet組3SNMPv2管理理信息庫1)SNMP組在SNMPv2中SNMP組對MIB-2進(jìn)行行了簡化，刪刪除了大量的的認(rèn)為不必要要的實(shí)體。同同時又增加了了一些新對象象。1，3，6，30，31，32snmpGroup4,5SnmpCommunityGroup7,23Notused2,8-23,24-29snmpObsoleteGroup表4改進(jìn)的SNMP組實(shí)體OID描述snmpInPktssnmp(1)來自傳輸層服務(wù)提交給SNMP實(shí)體報(bào)文的總數(shù)snmpInBadVersionssnmp(3)接收的含有版本錯誤的報(bào)文總數(shù)snmpInBadCommunityNamessnmp(4)接收的含有團(tuán)體名錯誤的報(bào)文總數(shù)snmpInBadCommunityUsessnmp(5)含有不支持的團(tuán)體操作的報(bào)文總數(shù)snmpInASNParseErrssnmp(6)ASN.1和BER錯誤的總數(shù)snmpEnableAuthenTrapssnmp(30)認(rèn)證失效陷入工作（1），認(rèn)證失效陷入不工作（2）snmpSilentDropssnmp(31)由于響報(bào)所文太長無法應(yīng)答面丟棄的請求報(bào)文總數(shù)snmpProxyDropssnmp(32)由于委托代理傳送報(bào)文失敗無法應(yīng)答而丟棄的報(bào)文數(shù)3SNMPv2管理理信息庫2)MIB對象組這個新組包含含的對象與管管理對象的控控制有關(guān)在snmpMIBObjects節(jié)節(jié)點(diǎn)下有三個個模塊：snmpTrap(4)、snmpTraps(5)和snmpSet(6)。子節(jié)點(diǎn)1、2、和3已經(jīng)經(jīng)被取消圖MIB對象組snmpMIBObjects(snmpMIB1)snmpTrap(4)snmpSet(6)snmpTraps(5)snmpTrapOID(1)snmpTrapEnterprise(3)snmpSetSerialNo(1)coldStart(1)warmStart(2)authenticationFailure(5)linkUp(4)linkDown(3)3SNMPv2管理理信息庫SnmpTrap組包含含了陷入通知知和有關(guān)制造造商對象標(biāo)識識符的信息。。在SnmpTraps下下的實(shí)體是Snmpv1Traps的擴(kuò)展。SnmpSerialNo是SnmpSet僅僅有的一個對對象，用于解解決set操操作中可能出出現(xiàn)的問題。。一是要保證set操作按按照發(fā)送的順順序?qū)IB進(jìn)行執(zhí)行二是防止多個個管理站對MIB進(jìn)行并并發(fā)操作，從從而保證數(shù)據(jù)據(jù)庫的一致性性和精確性。。3SNMPv2管理理信息庫3)Snmpv2一致致性聲明（ConformanceStatements）一致性是對具具體實(shí)現(xiàn)的限限制，是具體體實(shí)現(xiàn)必須達(dá)達(dá)到的最小級級別。在一致致性聲明中規(guī)規(guī)定了四個宏宏：OBJECT-GROUP（對象組組宏）NOTIFICATION-GROUP（通知知組宏）MODULE-COMPLIANCE（模塊依依從性宏）AGENT-CAPABILITIES（代理理能力宏）3SNMPv2管理理信息庫4)接口組MIB-Ⅱ定定義的接口組組經(jīng)過一段時時間的使用，，發(fā)現(xiàn)有很多多缺陷。RFC1573分析了原來來的接口組沒沒有提供的功功能和其他不不足之處并對MIB-ⅡⅡ接口組做了了一些小的修修改:重新規(guī)定ifIndex用于區(qū)分接接口子層而不不再代表一個個接口。不再限制ifIndex的取值必須須在1到ifNumber之間。允允許動態(tài)地增增加/刪除網(wǎng)網(wǎng)絡(luò)接口。廢除了ifInNUcastPkts、ifOutNUPkts和ifOutQLen這些些用處不大的的變量。ifSpecific也也被廢除了，，其作用由ifType代替。3SNMPv2管理理信息庫RFC1573還對接口口組增加了4個新表ifRcvAddressTable(4)ifMIBObjects(snmpMIB1)ifXTable(1)ifTestTable(3)ifStackTable(2)圖接口組新表3SNMPv2管理理信息庫(1)接口口擴(kuò)展表ifXTable變量ifName表示接接口名，表中中可能有代表表不同子層的的多個行屬于于同一接口，，它們具有同同一接口名。。(2)接口堆棧表接口堆棧表說說明接口表中中屬于同一物物理接口的各各個行之間的的 關(guān)系.(3)接口測試表接口測試表的的作用是由管管理站指示代代理系統(tǒng)測試試接口的故障障。 該表的的一行代表一一個接口測試試。(4)接收地址表接收地址表包包含每個接口口對應(yīng)的各種種地址（廣播播地址、組播播 地址和和單地址）。。3.2RMON遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視視3.2.1RMON的基本概念念網(wǎng)絡(luò)管理人員員利用MIB-Ⅱ只能獲獲取單個設(shè)備備的本地管理理信息，如進(jìn)進(jìn)出某個設(shè)備備的分組數(shù)等等，而不能獲獲知整個網(wǎng)絡(luò)絡(luò)的通信情況況。RMON規(guī)范范是對SNMP標(biāo)準(zhǔn)基本本體系(SMI、MIB、SNMP)最重要的的擴(kuò)充。是簡單網(wǎng)絡(luò)管管理向互聯(lián)網(wǎng)網(wǎng)管理過渡的的重要一步。。定義的遠(yuǎn)程監(jiān)監(jiān)視MIB是是對MIB-Ⅱ的補(bǔ)充。。在不改變SNMP協(xié)議的的條件下增強(qiáng)強(qiáng)了網(wǎng)絡(luò)管理理的功能。復(fù)習(xí)1網(wǎng)絡(luò)監(jiān)視視器網(wǎng)絡(luò)監(jiān)視器（（Monitor）：通通常用于監(jiān)視視整個網(wǎng)絡(luò)通通信情況的設(shè)設(shè)備。也稱網(wǎng)絡(luò)分析器（（Analyzer）、、探測器（Probe））等。工作方式：是監(jiān)視器通過過監(jiān)聽方式在在LAN上運(yùn)運(yùn)行，觀察LAN上出現(xiàn)現(xiàn)的每個分組組，并進(jìn)行統(tǒng)統(tǒng)計(jì)和總結(jié)，，給管理人員員提供重要的的信息。1網(wǎng)絡(luò)監(jiān)視視器監(jiān)視器可以存存儲全部或部部分的分組以以供以后分析析使用，并根根據(jù)分組類型型進(jìn)行過濾以以及捕獲特殊殊的分組。一般每個子網(wǎng)網(wǎng)都需要一個個監(jiān)視器，這這個監(jiān)視器可可以是一個單單獨(dú)的設(shè)備，，也可以是運(yùn)運(yùn)行監(jiān)視器軟軟件的工作站站和服務(wù)器等等。為了有效地進(jìn)進(jìn)行網(wǎng)絡(luò)管理理，每個子網(wǎng)網(wǎng)的監(jiān)視器需需要與中央網(wǎng)網(wǎng)絡(luò)管理站通通信，也稱遠(yuǎn)遠(yuǎn)程監(jiān)視器。。2RMON的設(shè)計(jì)目標(biāo)標(biāo)L離線操作作：在不不受管理理站查詢詢的情況況下，監(jiān)監(jiān)視器也也要持續(xù)續(xù)地收集集子網(wǎng)故故障、性性能和配配置方面面的信息息，統(tǒng)計(jì)計(jì)和積累累數(shù)據(jù)。。l主動監(jiān)視視：監(jiān)視視器可以以周期地地運(yùn)行診診斷程序序，給管管理站提提供診斷斷故障信信息。l問題檢測測和報(bào)告告：觀察察網(wǎng)絡(luò)資資源的消消耗情況況，記錄錄隨時出出現(xiàn)的異異常條件件，并在在出現(xiàn)錯錯誤條件件時通知知管理站站。l提供增值值數(shù)據(jù)：：監(jiān)視器器可以分分析收收集到的的子網(wǎng)數(shù)數(shù)據(jù),從從而減輕輕了管理理站的計(jì)計(jì)算任務(wù)務(wù)。l多管理站站操作：：一個互互聯(lián)網(wǎng)可可能有多多個管理理站，監(jiān)監(jiān)視器可可以配置置成并發(fā)發(fā)工作，，為不同同的管理理站提供供不同的的信息。。在網(wǎng)絡(luò)管管理信息息的通信信中，需需要建立立公共的的語法和和語義的的標(biāo)準(zhǔn)準(zhǔn)才能使使用RMON設(shè)設(shè)備。其使用的的語法是是ASN.1對象類型型是由RMON的管理理信息結(jié)結(jié)構(gòu)SMIv2定義。。RMONMIB定義義RMON的功功能組已已經(jīng)開發(fā)發(fā)了三個個階段。。RMON1是為為Ethernet而而開發(fā)發(fā)的。RMON1的Tokenring是作為為RMON1的的擴(kuò)展在在1993年開開 發(fā)的的。但只只是針對對數(shù)據(jù)鏈鏈路層上上提供參參數(shù)。RMON2被開開發(fā)并發(fā)發(fā)布于1997年1月月，可提提供網(wǎng)絡(luò)絡(luò)層以上上的參參數(shù)數(shù)信息。。RMON規(guī)范定定義了RMONMIB，是是MIB-Ⅱ下下的第16個子子樹。3.2.2RMON的SMI和MIBrmon(mib-216)rmonConformance(20)probeConfig(19)usrHistory(18)a1Matrix(17)a1Host(16)n1Matrix(15)n1Host(14)addressMap(13)protocoIDist(12)protocoIDir(11)statistics(1)history(2)alarm(3)host(4)hostTopN(5)matrix(6)ifilter(7)capture(8)event(9)tokenRing(10)圖RMON功能組RMON1RMON2RMON1Extension3.2.3RMON的表管管理在SNMPv1的管理理框架中中,對增增加或刪刪除表中中行的操操作過程程是不明明確的。。RMON規(guī)范包包含一組組文本約約定和過過程化規(guī)規(guī)則以提提供明晰晰而規(guī)律律的行增增加和行行刪除操操作。3.2.3RMON的的表管理表結(jié)構(gòu)在RMON規(guī)范中增增加了兩種種新的數(shù)據(jù)據(jù)類型:OwnerString:是是為了增強(qiáng)強(qiáng)規(guī)范的可可讀性。在在每一個可可讀/寫的的RMON表中都有有一個對象象，其類型型為OwnerString，其值為為表行所有有人或創(chuàng)建建者的名字字，對象以以O(shè)wner結(jié)尾。。EntryStatus：其其值表示行行的狀態(tài)，，對象名以以Status結(jié)尾尾，用于行行的生成、、修改和刪刪除。RMONMIB表表操作表結(jié)構(gòu)由控控制表和數(shù)數(shù)據(jù)表兩部部分組成：：控制表定義義數(shù)據(jù)表的的結(jié)構(gòu)。數(shù)據(jù)表用于于存儲數(shù)據(jù)據(jù)。3.2.3RMON的表管管理rmlControlTablermlControlIndexrmlControlParameterrmlControlOwnerrmlControlStatus15monitorvalid226manageralphavalid319managerbetavalidrmlDataTablermlDataControlIndexrmlDataIndexrmlDataValue114621962235237724932586319232263.2.3RMON的表管管理lrmlControlParameter：其控制參數(shù)用于控制行控制的所有數(shù)據(jù)行。

rmlControlOwner：該控制行的所有者。

rmlControlStatus：該控制行的狀態(tài)。3.2.3RMON的表管管理數(shù)據(jù)表由rmlControlIndex和rmlDataIndex共共同索引。。rmlDataControlIndex的值值與控制行行的索引值值rmlControlIndex相相同。rmlDataIndex的的值唯一地地指定數(shù)據(jù)據(jù)行集合中中的某一行行。控制表的第第一行的所所有者是monitor,按按照約定這這是指代理理本身。3.2.3RMON的表管管理2.增加加行管理站利用用set命命令在RMON表中中增加新行行，并遵循循下列規(guī)則則。l如果新行的的索引值與與表中其他他行的索引引值不沖突突，則代理理產(chǎn)生一個個新行，其其狀態(tài)對象象的值為createRequest(2)。。l新行產(chǎn)生后后，由代理理把狀態(tài)對對象的值置置為underCreation(3)。l在管理站創(chuàng)創(chuàng)建完其配配置所需的的所有行之之前，這些些行應(yīng)一直直處于underCreation(3)狀態(tài)態(tài)，直到管管理站把每每一新創(chuàng)建建行的狀態(tài)態(tài)對象值設(shè)設(shè)置為valid(1)。l如果其它管管理站試圖圖以createRequest(2)狀態(tài)創(chuàng)創(chuàng)建一個新新行，而該該行已經(jīng)存存在，就會會返回一管理站也可以將一個已存在的行的狀態(tài)對象的值由invalid改寫為valid，恢復(fù)舊行的作用也等于產(chǎn)生了一個新行。如果有多個請求要創(chuàng)建同樣的概念行，只有最早接收到的請求會成功，其余的管理站將會收到錯誤信息。

3.2.3RMON的表管管理3.行更更改與刪除除只有行的所所有者才能能發(fā)出SetRequestPDU，在設(shè)置為無效之后，用SetRequestPDU賦予行中其他對象新的參數(shù)值來進(jìn)行修改。3.2.4RMON1組及及其功能RMON1在數(shù)據(jù)鏈鏈路層可完完成許多功功能。圖2遠(yuǎn)程被監(jiān)視視的網(wǎng)絡(luò)為為Ethernet和TokenRing。。采集的數(shù)據(jù)據(jù)可作為5種功能設(shè)設(shè)置的輸入入，有3種種監(jiān)視器是是對通信量量的統(tǒng)計(jì)。。主機(jī)與會話話統(tǒng)計(jì)組處處理與主機(jī)機(jī)有關(guān)的通通信數(shù)據(jù)和和某種參數(shù)數(shù)最大的N臺主機(jī)的的通信數(shù)據(jù)據(jù)以及主機(jī)機(jī)之間的會會話。歷史控制表表控制從不不同網(wǎng)絡(luò)采采集的數(shù)據(jù)據(jù)。各個模模塊的輸出出以圖表的的形式呈現(xiàn)現(xiàn)給網(wǎng)絡(luò)管管理者以供供其用網(wǎng)絡(luò)絡(luò)管理系統(tǒng)統(tǒng)對網(wǎng)絡(luò)進(jìn)進(jìn)行分析。。TokenRingStatisticsTokenRingStatisticsTokenRingHistoryHistoryControlEthernetStatisticsEthernetStatisticsEthernetHistoryHistoryControlHostandConversationStatisticsHostStatisticshostTopNStatisticsMatrixStatisticsDataGatheringNetworkManager遠(yuǎn)程監(jiān)視網(wǎng)絡(luò)EventGenerationAlarmGenerationTokenRingStatisticsPacketFilteringChannelFilteringPacketCapture圖2RMON1組及其功能3.2.4RMON1組及其功功能分組和信道道過濾后的的輸出可能能產(chǎn)生報(bào)警警和事件的的消息。數(shù)據(jù)采集的的輸出也可可直接產(chǎn)生生報(bào)警。過濾組的輸輸出可以存存儲在分組組捕獲中為為管理者提提供進(jìn)一步步的分析。。表3RMON1MIB組和表組名OID功能描述表StatisticsRmon1提供鏈路層的統(tǒng)計(jì)信息etherStatsTable,etherStats2TableHistoryRmon2收集周期性的統(tǒng)計(jì)信息historyControlTable,etherHistoryTablehistoryControl2Table,etherHistory2TableAlarmRmon3用于定義取樣間隔和報(bào)警門限alarmTableHostRmon4關(guān)于一臺主機(jī)的通信統(tǒng)計(jì)數(shù)據(jù)hostControl2Table,hostControl2TablehostTable,hostTimeTable,hostControlTableHostTopNRmon5某種參數(shù)最大的N臺主機(jī)的統(tǒng)計(jì)數(shù)據(jù)hostTopNControlTableMatrixRmon6一對主機(jī)之間的通信統(tǒng)計(jì)數(shù)據(jù)matrixControlTable,matrixSDTablematrixDSTable,matrixControl2TableFilterRmon7對分組進(jìn)行過濾的信息filterTable,filter2Table,channelTablec