協(xié)議原理ISSUE1020061229A.ppt

2019/7/11,DP500028 SNMP協(xié)議原理,ISSUE 1.0,Page 2,學(xué)習(xí)此課程，您將會(huì)： 了解網(wǎng)絡(luò)管理的基本架構(gòu) 了解MIB的基礎(chǔ)知識(shí) 掌握SNMP的基本原理 掌握SNMP的基本配置,目 標(biāo),Page 3,第1章 網(wǎng)絡(luò)管理體系架構(gòu) 第2章 MIB簡(jiǎn)介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結(jié)與回顧,內(nèi)容介紹,Page 4,網(wǎng)絡(luò)管理所面臨的挑戰(zhàn),網(wǎng)絡(luò)和分布式處理系統(tǒng)的快速發(fā)展與大規(guī)模的應(yīng)用 網(wǎng)絡(luò)及其相關(guān)資源和分布式應(yīng)用程序變得越來越重要 例如：Clearcase, Notes, Mail 健壯的，能提供7X24小時(shí)的服務(wù) 網(wǎng)絡(luò)變得越來越復(fù)雜，支持更多的應(yīng)用程序和用戶 更容易出現(xiàn)問題，發(fā)生故障 網(wǎng)絡(luò)管理已成為網(wǎng)絡(luò)解決方案中重要的一部分 花費(fèi)最少：人力，設(shè)備，資金 提供更智能的網(wǎng)絡(luò)管理服務(wù),Page 5,網(wǎng)絡(luò)管理的現(xiàn)狀,在一個(gè)大型的網(wǎng)絡(luò)里，我們無(wú)法僅依賴人手工來完成整個(gè)的網(wǎng)絡(luò)管理的工作 迫切的需要一種自動(dòng)化的工具協(xié)助我們管理好網(wǎng)絡(luò) 需要管理的設(shè)備和資源很可能來自于不同的廠商 如果每個(gè)廠商都提供一套獨(dú)立的管理接口 比如，命令行（Command Line Interface） 學(xué)習(xí)各種廠商工具的培訓(xùn)費(fèi)用開銷激增 受限于廠商專有的配置管理工具 一套覆蓋服務(wù)，協(xié)議和管理信息庫(kù)的標(biāo)準(zhǔn)孕育而生，并且迅速得到了廣泛的應(yīng)用 Simple Network Management Protocol,Page 6,基于SNMP網(wǎng)絡(luò)管理模型,Page 7,網(wǎng)絡(luò)管理站 (Network Management Station）,通常是一個(gè)獨(dú)立的設(shè)備，運(yùn)行著網(wǎng)絡(luò)管理的應(yīng)用程序 提供一個(gè)非常友好的人機(jī)交互界面，網(wǎng)絡(luò)管理員能通過它完成絕大數(shù)的網(wǎng)絡(luò)管理工作 提供失效管理，安全管理，計(jì)費(fèi)管理，配置管理，性能管理等功能,Page 8,代理器（Agent）,Agent是駐留在被管理設(shè)備一端 負(fù)責(zé)接受、處理來自網(wǎng)管站的請(qǐng)求報(bào)文，并形成響應(yīng)報(bào)文，返回給NMS 請(qǐng)求包括：信息的查詢和動(dòng)作的執(zhí)行 在一些緊急情況下，主動(dòng)通知NMS（發(fā)送陷阱TRAP報(bào)文） 如接口狀態(tài)發(fā)生改變，呼叫成功等 NMS和Agent之間通過SNMP協(xié)議來交互管理信息,Page 9,網(wǎng)絡(luò)管理協(xié)議-SNMP,是一個(gè)基于TCP/IP網(wǎng)絡(luò)的應(yīng)用層協(xié)議，用于在網(wǎng)絡(luò)管理站和被管理的設(shè)備之間交換網(wǎng)絡(luò)管理信息 SNMPv2可以在多種傳輸協(xié)議IPX，DDP等上使用 Huawei-3com VRP平臺(tái)支持以下三個(gè)協(xié)議版本： SNMPv1 SNMPv2c SNMPv3 后面部分會(huì)對(duì)協(xié)議進(jìn)行具體講解,Page 10,管理信息庫(kù) （Management Information Base）,任何一個(gè)被管理的資源都表示成一個(gè)對(duì)象，稱為被管理的對(duì)象 MIB就是一個(gè)被管理的對(duì)象的集合 Agent都會(huì)維護(hù)一個(gè)MIB庫(kù) 可以對(duì)MIB庫(kù)中的對(duì)象進(jìn)行讀取或設(shè)置,Page 11,第1章 網(wǎng)絡(luò)管理體系架構(gòu) 第2章 MIB簡(jiǎn)介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結(jié)與回顧,內(nèi)容介紹,Page 12,管理信息庫(kù) （Management Information Base）,MIB是一個(gè)被管理對(duì)象的集合，它將定義被管理對(duì)象的一系列的屬性： 對(duì)象的名字（Object IDentifier） 對(duì)象的訪問權(quán)限 對(duì)象的數(shù)據(jù)類型 管理信息結(jié)構(gòu)（Structure of Management Information ）中規(guī)定了被管理對(duì)象應(yīng)該如何的組織和定義 SMIv2 (RFC2578) SMIv1 (RFC 1155),Page 13,MIB結(jié)構(gòu),MIB是以樹狀結(jié)構(gòu)進(jìn)行存儲(chǔ)的 樹的節(jié)點(diǎn)表示管理對(duì)象，它可以用從根開始的一條路徑來無(wú)二義的識(shí)別：OID,Page 14,OID,唯一的標(biāo)識(shí)一個(gè)MIB庫(kù)中的對(duì)象 OID分配機(jī)制，保證OID不會(huì)沖突 OID是由一些系列的整數(shù)組成，標(biāo)明節(jié)點(diǎn)在MIB樹中的位置 MIB一旦發(fā)布，OID就要和被定義的對(duì)象進(jìn)行綁定 MIB節(jié)點(diǎn)不能被刪除，只能將它的狀態(tài)置為“obsolete” 不贊成對(duì)MIB節(jié)點(diǎn)的反復(fù)變更,Page 15,MIB 舉例,Page 16,MIB 舉例,Address: Object ID = 1.1 Object Instance = 1.1.0 Value of Instance = 130.89.16.2 Name: Object ID = 1.2.1 Object Instance = 1.2.1.0 Value of Instance = printer-1,Page 17,SMIv1 & v2支持的數(shù)據(jù)類型,Page 18,第1章 網(wǎng)絡(luò)管理體系架構(gòu) 第2章 MIB簡(jiǎn)介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結(jié)與回顧,內(nèi)容介紹,Page 19,SNMPv1,Version = SNMPv1 Community Name = “Public” SNMP Operation = Get，Getnext，Set version = SNMPv1 Community Name = “Public” SNMP Operation = GetResponse, Trap,Page 20,團(tuán)體名(Community Name),團(tuán)體是由Agent和若干個(gè)網(wǎng)絡(luò)管理站應(yīng)用程序組成 每個(gè)團(tuán)體通過團(tuán)體名即一個(gè)字符串來區(qū)別 團(tuán)體名實(shí)際上是一個(gè)相關(guān)權(quán)限的密碼 可以訪問哪些節(jié)點(diǎn) 訪問的類型（讀/設(shè)置） SNMPv1使用團(tuán)體名來進(jìn)行安全機(jī)制管理,Page 21,SNMP協(xié)議綜述,manager agent manager agent manager agent manager agent,get,MIB,response,getnext,MIB,response,set,MIB,response,MIB,trap,Page 22,SNMPv1消息格式,Page 23,SNMPv1-Get操作,獲取1個(gè)或多個(gè)變量的值 可能出現(xiàn)的錯(cuò)誤碼： noSuchName: 被請(qǐng)求的變量不存在或者它不是一個(gè)葉子節(jié)點(diǎn) tooBig：請(qǐng)求的GetResponse PDU的大小超出本地的限制 GenErr： 所有其他的錯(cuò)誤,Page 24,SNMPv1-Set操作,給一個(gè)已經(jīng)存在的變量賦值或者在表中創(chuàng)建一個(gè)新的實(shí)例 可能出現(xiàn)的錯(cuò)誤碼： noSuchName tooBig genErr badValue,Page 25,SNMPv1-GetNext操作,獲取下一個(gè)MIB節(jié)點(diǎn)的實(shí)例名和取值 可能出現(xiàn)的錯(cuò)誤碼： noSuchName tooBig genErr,Page 26,SNMPv1-GetNext操作,注意：getNext要按字典序進(jìn)行排列,Page 27,SNMPv1-Trap,向指定的管理站報(bào)告某個(gè)事件的發(fā)生 Trap接受是無(wú)需確認(rèn)的 不是完全可靠的,Page 28,SNMPv1演示,基本的SNMP配置 snmp-agent community read public snmp-agent community write private snmp-agent sys-info version v1 System，ifTable表進(jìn)行g(shù)et,getNext,set操作 linkUp和linkDown報(bào)文 snmp-agent trap enable standard snmp-agent target-host trap address udp- domain 1.1.1.1 params security public,Page 29,第1章 網(wǎng)絡(luò)管理體系架構(gòu) 第2章 MIB簡(jiǎn)介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結(jié)與回顧,內(nèi)容介紹,Page 30,SNMPv2c,在繼承了SNMPv1的基礎(chǔ)上，增加了： SNMPv2c支持更多的操作 getBulk informRequest (確認(rèn)的Trap) SNMPv2c支持更多的數(shù)據(jù)類型 Counter64, Counter32等 V1 不能獲取Counter64類型的節(jié)點(diǎn)值 SNMPv2c提供了更豐富的錯(cuò)誤處理 多種協(xié)議的傳輸支持 SNMPv2c也是基于團(tuán)體名的安全機(jī)制,Page 31,getBulk 操作,是getNext的延伸，一個(gè)getBulk操作等價(jià)于多次執(zhí)行g(shù)etNext操作 能一次獲取大量的值，有效地減少網(wǎng)絡(luò)管理站和被管理設(shè)備的通信次數(shù)，提高網(wǎng)絡(luò)性能 getBulk請(qǐng)求報(bào)文中增加了2個(gè)參數(shù) non-repeaters max-repetitions,Page 32,getBulk 操作,對(duì)于變量綁定對(duì)中前non-repeaters個(gè)變量當(dāng)作普通的getNext報(bào)文來處理 而對(duì)于其余的變量當(dāng)作重復(fù)max-repetitions次的gextNext報(bào)文處理 例如，getBulk請(qǐng)求報(bào)文中： non-repeators = N max-repeatitions = M 響應(yīng)報(bào)文中最大的變量綁定個(gè)數(shù) = N + (M * R) 其中R等于getBulk請(qǐng)求報(bào)文變更綁定個(gè)數(shù)減去N,Page 33,getBulk 舉例,getBulk( non-repeator = 1; max-repetitions = 2; 1.1; 1.3.1.2; 1.3.1.3) response( 1.1.0 = 130.89.16.2; 1.3.1.3 = 3; 1.3.1.5 = 2； 1.3.1.5 =2; 1.3.1.7 =2 ),Page 34,SNMPv2c提供更豐富的錯(cuò)誤碼,用于說明 報(bào)文錯(cuò)誤 原因,指名變量 綁定對(duì)中 第幾個(gè)參 數(shù)出錯(cuò),Page 35,SNMPv2c提供更豐富的錯(cuò)誤碼,Page 36,第1章 網(wǎng)絡(luò)管理體系架構(gòu) 第2章 MIB簡(jiǎn)介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結(jié)與回顧,內(nèi)容介紹,Page 37,為什么會(huì)提出SNMPv3？,1998年提出,2002年形成了一套正式的標(biāo)準(zhǔn) 是為了改進(jìn)SNMPv1/v2c在安全性方面的缺陷 基于團(tuán)體名(community name)的有限的安全機(jī)制 團(tuán)體名是明文傳輸，入侵者很容易通過抓包工具來獲取 報(bào)文不支持加密 限制了SNMP在非完全信任的網(wǎng)絡(luò)中的使用 SNMPv3在繼承了SNMPv2c的基礎(chǔ)上，提供 認(rèn)證 加密 訪問控制,Page 38,SNMPv3 基于用戶的安全模型 (User-Based Security Model),基于用戶的安全模型(User-Based Security Model) 提供了認(rèn)證(Authentication)和加密(Privacy)的功能 定義了3個(gè)安全級(jí)別： 無(wú)認(rèn)證無(wú)加密 (noAuthNoPriv） 有認(rèn)證無(wú)加密 (authNoPriv) 有認(rèn)證有加密 (authPriv) 注意：不存在無(wú)認(rèn)證有加密(noauthPriv),因?yàn)榧用芩褂玫拿艽a必須與用戶相關(guān)聯(lián),Page 39,SNMPv3 基于用戶的安全模型 認(rèn)證,認(rèn)證機(jī)制確保管理站和Agent之間的通信是可信的 Agent收到的請(qǐng)求報(bào)文是報(bào)文中所聲明的管理站發(fā)送的 管理站接收到響應(yīng)報(bào)文是它所希望的目標(biāo)Agent所響應(yīng)的 保證消息的完整性，在傳輸過程中沒有被篡改 通過時(shí)間窗的機(jī)制，防止重放 認(rèn)證協(xié)議：HMAC-MD5或者HMAC-SHA,Page 40,SNMPv3 基于用戶的安全模型 認(rèn)證,基本原理 雙方共享一個(gè)私有密鑰，發(fā)送方使用此密鑰來創(chuàng)建一個(gè)Message Authentication Code（MAC） 接收方使用認(rèn)證密鑰來計(jì)算出此MAC，如果與發(fā)送方的MAC互相匹配，該消息就通過了認(rèn)證,Page 41,SNMPv3 基于用戶的安全模型 加密,加密范圍：消息報(bào)文中PDU部分 加密協(xié)議：CBC-DES,Page 42,SNMPv3 安全訪問控制 (View-Based Access Control Model),安全訪問控制可以使Agent對(duì)不同的管理者提供不同的管理信息庫(kù)訪問權(quán)限 限制訪問MIB庫(kù)信息的訪問視圖 限制訪問MIB庫(kù)信息的操作類型,Page 43,SNMPv3 安全訪問控制 (View-Based Access Control Model),Page 44,SNMPv3 配置舉例,scarlet 是v3的一個(gè)用戶，她的安全級(jí)別為authPriv，她屬于huawei-3com組，她有權(quán)限對(duì)MIB-2中的非atTable內(nèi)的節(jié)點(diǎn)進(jìn)行讀或?qū)?Page 45,第1章 網(wǎng)絡(luò)管理體系架構(gòu) 第2章 MIB簡(jiǎn)介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結(jié)與回顧,內(nèi)容介紹,Page 46,MIBBrowser（編譯MIB）,菜單：,1.選擇mib文件(可一次選擇多個(gè)mib文件) 2.編譯mib文件(可一次編譯多個(gè)mib文件) 3.查看編譯信息,確保編譯ok 4.彈出編譯后的模塊保存框 5.Mib文件所在目錄無(wú)漢字無(wú)空格 6.模塊間依賴關(guān)系,編譯信息：,Page 47,MIBBrowser（MIB裝載）,菜單,裝載操作,Page 48,MIBBrowser（參數(shù)配置）,菜單,配置窗口（不能修改Agent Address）：,修改Agent Address:,Page 49,MIBBrowser（參數(shù)配置V1/V2）,1、協(xié)議：SNMPV1 2、Port Number：SNMP的端口號(hào)，默認(rèn)161 3、Read Community：只讀團(tuán)體字默認(rèn)public 4、Write Community：讀寫團(tuán)體字默認(rèn)private 5、Timeout：超時(shí)時(shí)間，默認(rèn)5s 6、Retries：重試次數(shù)，默認(rèn)4 7. GetBulk參數(shù)： a. Non Repeaters：不重復(fù)的索引，默認(rèn)0 b. Max Repetitions：最大重復(fù)次數(shù)，默認(rèn)10,Page 50,MIBBrowser（參數(shù)配置V3）,1、配置用戶：,用戶屬性： User Name：用戶名稱 Auth Protocol：驗(yàn)證協(xié)議（md5，sha） Priv Protocol：加密協(xié)議（des，idea） Auth Pass：驗(yàn)證密碼 Priv Pass：加密密碼,Page 51,MIBBrowser（MIB操作）,MIB Browse操作： 1、Contact：檢測(cè)一下是否可以和代理聯(lián)系上，取代理sysoid的值。 2、 Walk：對(duì)選中節(jié)點(diǎn)下的子樹進(jìn)行遍歷操作 3、 Get：使用選中MIB節(jié)點(diǎn)的OID向代理發(fā)送Get操作。對(duì)父節(jié)點(diǎn)無(wú)效 4、 GetNext：使用選中MIB節(jié)點(diǎn)的OID向代理發(fā)送GetNext操作 5、 Get Bulk：使用選中MIB節(jié)點(diǎn)的OID向代理發(fā)送GetNext操作 6、 Set：發(fā)送Set操作。對(duì)父節(jié)點(diǎn)無(wú)效 7、 Table View：查看表信息，針對(duì)表節(jié)點(diǎn)和表的父節(jié)點(diǎn)有效 8、 Find：在MIB樹中查找一節(jié)點(diǎn) 9、 Properties：查看MIB節(jié)點(diǎn)屬性,Page 52,Quidview DM (參數(shù)配置),SNMPv1/v2配置,SNMPv3配置,Page 53,Quidview DM (打開設(shè)備),菜單,1.輸入設(shè)備IP 2.選擇SNMP配置 3.雙擊設(shè)備樹中的所選設(shè)備 4.顏色變綠為ok，否則Fail,Page 54,Quidview DM (操作),選擇要操作的對(duì)象,對(duì)對(duì)象進(jìn)行snmp操作,1.注意Quidview與