第4章 简单网络管理协议与远程网络监视

第4章 简单网络管理协议与远程网络监视简单网络管理协议(SNMP)是Internet中基于TCP/IP的网络管理协 议。SNMP的推出，由于其简单性、实施容易和应用成本低廉等特点， 而受到业界许多厂家的广泛支持，现已成为事实上的标准。 本章主要从SNMP的体系结构、管理模型、工作机制、协议操作等 方面介绍SNMP的有关理论知识，同时简单介绍远程网络监视RNOM方 面基本概念。

4.1 SNMP概述4.1.1 SNMP的发展历史 4.1.2 基本体系结构 4.1.3 SNMP操作 4.1.4 SNMP的工作机制

4.1.1 SNMP的发展历史简单网络管理协议(SNMP,Simple Network ManagementProtocol)诞生于1988,那时由于CMIP迟迟不能成熟并应用于网络管理， Internet体系结构委员会(IAB)在原有简单网关监控协议(SGMP)的

基础上进一步修改后提出了SNMP。SNMP的最初版本是SNMPv1,SNMPv1存在两方面的问题： 一是安全，SNMP只定义了安全性极为有限的基于共同体名授权使用 的安全模型； 二是管理信息的可靠传输问题，由于SNMPvl是在UDP上实现的， 而UDP并不保证所有报文都能够正确传送。

增强的SNMPv2使该协议更加高效，同时还保持了它容易实现和成 本低廉的特点，SNMPv2可以与SNMPv1透明地共存，它在性能、管理 进程与管理进程通信方面对SNMP进行了改进，如减少了SNMP业务流、 允许大块数据的传送、添加了一个用于高速网络环境下的64位计数器； 对基于Novell IPX,Apple Talk DDP和OSI的SNMP作了映射；但在安 全性方面仍未能达到令人满意的结果。 1998年1月产生了SNMPv3管理控制框架，它由RFC2271-2275等 几个文档共同说明，形成了SNMPv3的建议。

SNMPv3在保持SNMPv2基本管理功能的基础上，增加了安全性和管理性描述。 另外，SNMP最重要的进展是远程监控(RMON)能力的开发。

RMON为网络管理者提供了监控整个子网而不是各个单独设备的能力。RMON还对基本SNMP MIB进行了扩充。

4.1.2 基本体系结构1.SNMP管理模型2. SNMP中的元素 SNMP体系结构由管理站、代理、管理信息库(MIB)和通信 协议SNMP构成。 3.委托代理

4.1.3 SNMP操作管理信息的交换通过GetRequest、GetNextRequest、SetRequest、GetResponse、Trap共5个SNMP协议操作进行。 其中前三个消息由管理站发给代理用于请求读取或修改管理信息，后 两个消息由代理发给管理站。 GetResponse用于对各种读取和修改管理信息的请求进行应答；

Trap用来主动向管理站报告代理系统中发生的事件，如节点机分组队列长度超过阈值，接口链路up或down等。

SNMP Manager IP 网络访问协议 IP 网络访问协议 通信网络 SNMP Manager UDP SNMP消息 UDP

管理对象

Trap Trap e Get Response Set Request Get Next Request Get Request

代理站 MIB库 管理应用对

象

Trap 管理应用 Get Response Set Request Get Next Request Get Next Request Get Request 管理站

4.1.4 SNMP的工作机制在通信网管理过程中，用来使管理信息库与实际设备或设施的

状态和参数保持一致的方法主要有两个。一个是基于中断的事件驱动方法，另一个是轮询驱动方法。

4.2基于SNMP的通信4.2.1 对象访问策略 4.2.2 实例标识符 4.2.3 报文的发送与接收 4.2.4 SNMP报文格式 4.2.5 SNMP MIB组 4.2.6 SNMP的改进

4.2.1 对象访问策略在基于SNMP的网络管理中，SNMP通过共同体(Community, 也有地方称为团体)的概念来解决访问策略问题。 共同体是SNMP体系中的一中安全机制，它是一个在代理中定义的 本地的概念。通过定义共同体，代理系统就可以限制只有一些选定的 管理站才能访问它的MIB对象。同时，通过使用多个共同体，代理可以 为不同的管理站提供不同的MIB访问类别。 每个共同体被赋予一个在代理内部唯一的共同体名(也叫团体 名),该共同体名要提供给共同体内的所有的管理站，以便它们在get 和set操作中应用。 一个代理可以与多个管理站建立多个共同体，同一个管理站也可 以出现在不同的共同体中。

在SNMP中实行共同体机制可以达到一下目的：1.认证服务 2.委托代理服务 3.访问策略 (1)SNMP MIB视图

(2)SNMP访问模式(方式)MIB视图和访问模式的结合被称为SNMP共同体轮廓(profile)。 事实上，在一个共同体轮廓之内，存在两个独立的访问限制，其一 是MIB对象定义中的访问限制(参见第3章中有关MIB功能组及对象部分 的内容)和SNMP访问模式。这两个访问限制在实际应用中必须相互协 调。

MIB访问方式与SNMP访问模式的关系SNMP访问模式 MIB对象中定义的访 问方式(模式)限制 Read-Only Read-Write

Read-OnlyRead-Write Write-Only 可用于get和trap操作

可用于get和trap操作可用于get,set和trap操作 可用于get,set和trap操作，但 操作值与具体实现有关

可用于get和trap操作，但操作值与 具体实现有关

Not-Accessible

不能使用

4.2.2 实例标识符在MIB中的每个被管对象都有一个唯一的对象标识符，以区分不同 的被管对象，其命名规则都是按照其所在MIB树上的层次和位置来决定。 在对SNMP MIB的访问中，实际上是对被管对象(叶子节点对象) 实例的访问，而当在一个对象有多个实例时，例如表格，对象的标识符

就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一标识方法，也就是实例标识符的命名方法。 实例标识符就是把列对象的对象标识符与索引对象的值组合起来而

构成的。

4.2.3 报文的发送与接收1.SNMP报文的发送 (1)构成PDU; (2)将构成的PDU

、源和目的传送地址(IP地址及端口号)以及共同 体名作为一个ASN.1的对象移交给认证服务。认证服务完成所要求的变换， 例如进行加密或加入认证码，然后返回一个经过加密或认证的ASN.1对象； (3)将版本字段、共同体名以及上一步的结果组合成为一个报文；

(4)用基本编码规则(BER)对这个新的ASN.1的对象编码，然后传给传输服务。

2.SNMP报文的接收 (1)进行消息的基本句法检查，丢弃非法消息。 (2)检查版本号，丢弃版本号不匹配的消息。 (3)认证检查。如果认证失败，认证服务通知SNMP实体，由它产 生一个trap并丢弃这个报文；如果认证成功，认证服务返回SNMP格式 的PDU。 (4)进行PDU的基本句法检查，如果非法，丢弃该PDU,否则根据 共同体名选择SNMP访问策咯，对PDU进行相应处理。

3.变量绑定

在SNMP中，可以将多个同类操作(get、set、trap)放在一个报文中。如果管理站希望得到一个代理的一组简单对象的值，它可以 发送一个报文请求所有的值，并通过获取一个应答得到所有的值。这 样可以大大减少网络管理的通信负担。

4.2.4 SNMP报文格式在SNMP管理中，管理站和代理之间交换的管理信息构成了报文。 报文由3部分组成，即版本号、团体名和协议数据单元(PDU)。 SNMP共有5种管理操作，但只有3种PDU格式。

SNMP报文格式 Version Community SNMP PDU

GetRequest PDU、GetNextRequest PDU、SetRequest PDU PDU类型 请求标识 0 0 变量绑定表

GetResponse PDU PDU类型 Trap PDU PDU类型 制造商ID 代理地址 一般自陷 特殊自陷 时间戳 变量绑定表 请求标识 错误状态 错误索引 变量绑定表

变量绑定表 Name 1 Value 1 Name 2 Value 2 …… Name n Value n

4.2.5 SNMP MIB组MIB-II中的snmp组，其对象标识符为{mib-2 11}