新編-第3章簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議-精品課件

1、第三章 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議3.1 SNMP的演變TCP/IP網(wǎng)絡(luò)管理最初使用的是1987年11月提出的簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議（Simple Gateway Monitoring Protocol，SGMP），在此基礎(chǔ)上改進(jìn)成簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議第一版（Simple Network Management Protocol，SNMPv1）3.1.1 SNMPv1SNMP出現(xiàn)后顯示了許多優(yōu)點(diǎn)。最主要的的優(yōu)點(diǎn)是：簡(jiǎn)單，容易實(shí)現(xiàn)，而且是基于人們熟悉的SGMP（Simple Gateway Monitoring Protocol）協(xié)議，已有相當(dāng)多的操作經(jīng)驗(yàn)SNMP雖然被廣泛應(yīng)用，但是SNMP的缺點(diǎn)也是顯然的：沒(méi)有實(shí)質(zhì)

2、性的安全設(shè)施，無(wú)數(shù)據(jù)源認(rèn)證功能，不能防止偷聽。面對(duì)這樣不可靠的管理環(huán)境，許多制造商不得不廢除了set命令，以避免網(wǎng)絡(luò)配置被入侵者惡意竄改。3.1.2 SNMPv2為了修補(bǔ)SNMP的安全缺陷，1992年7月出現(xiàn)了一個(gè)新標(biāo)準(zhǔn)安全SNMP（S-SNMP），這個(gè)協(xié)議增強(qiáng)了安全方面的功能：用報(bào)文摘要算法MD5保證數(shù)據(jù)完整性和進(jìn)行數(shù)據(jù)源認(rèn)證；用時(shí)間戳對(duì)報(bào)文排序；用DES算法提供數(shù)據(jù)加密功能但是S-SNMP沒(méi)有改進(jìn)SNMP在功能和效率方面的其他缺點(diǎn)。幾乎與此同時(shí)有人又提出了另外一個(gè)協(xié)議SMP（Simple Management Protocol），這個(gè)協(xié)議由8個(gè)文件組成，它對(duì)SNMP的擴(kuò)充表現(xiàn)在下列方面：適

3、用范圍：SMP可以管理任意資源，不僅是網(wǎng)絡(luò)資源，還可用于應(yīng)用管理，系統(tǒng)管理?？蓪?shí)現(xiàn)管理站之間的通信，也提供了更明確更靈活的描述框架，可以描述一致性要求和實(shí)現(xiàn)能力。在SMP中管理信息的擴(kuò)展性得到了增強(qiáng)。復(fù)雜程度、速度和效率：保持了SNMP的簡(jiǎn)單性，更容易實(shí)現(xiàn)，并提供了數(shù)據(jù)塊傳送能力，因而速度和效率更高。安全設(shè)施：結(jié)合了S-SNMP提供的安全功能。兼容性：可以運(yùn)行在TCP/IP網(wǎng)絡(luò)上，也適合OSI系統(tǒng)和運(yùn)行其他通信協(xié)議的網(wǎng)絡(luò)。IETF組織了兩個(gè)工作組：一個(gè)組負(fù)責(zé)協(xié)議功能和管理信息庫(kù)的擴(kuò)展，另一組負(fù)責(zé)SNMP的安全方面又經(jīng)過(guò)幾年的實(shí)驗(yàn)和論證，后來(lái)決定丟掉安全功能，把增加的其他功能做為新標(biāo)準(zhǔn)頒布，并保

4、留了SNMPv1的報(bào)文封裝格式,因而叫做基于團(tuán)體的SNMP（Community-based SNMP），簡(jiǎn)稱SNMPv2C有關(guān)SNMPv2和SNMPv2C的RFC文件SNMPv2（1993.5）名稱SNMPv（2019.1）1441SNMPv2簡(jiǎn)介19011442SNMPv2管理信息結(jié)構(gòu)19021443SNMPv2文本結(jié)構(gòu)約定19031444SNMPv2一致性聲明19041445SNMPv2高層安全模型1446SNMPv2安全協(xié)議1447SNMPv2參加者M(jìn)IB1448SNMPv2協(xié)議操作19051449SNMPv2傳輸層映射19061450SNMPv2管理信息庫(kù)19071451管理進(jìn)程間的管

5、理信息庫(kù)1452SNMP第1版和第2版網(wǎng)絡(luò)管理框架共存1908SNMPv3工作組的目標(biāo)是：產(chǎn)生一組必要的文檔，作為下一代SNMP核心功能的單一標(biāo)準(zhǔn)。要求盡量使用已有的文檔，使新標(biāo)準(zhǔn)1. 能夠適應(yīng)不同管理需求的各種操作環(huán)境；2. 便于已有的系統(tǒng)向SNMPv3過(guò)渡；3. 可以方便地建立和維護(hù)管理系統(tǒng)。3.1.3 SNMPv33.2 SNMPv1協(xié)議數(shù)據(jù)單元SNMP實(shí)體可以對(duì)MIB-2中的對(duì)象執(zhí)行下列操作：Get：管理站用于檢索管理信息庫(kù)中標(biāo)量對(duì)象的值。Set：管理站用于設(shè)置管理信息庫(kù)中標(biāo)量對(duì)象的值。Trap：代理用于向管理站報(bào)告管理對(duì)象的狀態(tài)變化。3.2.1 SNMPv1支持的操作3.2.2 SN

6、MP PDU格式除過(guò)Trap 之外的4種PDU格式是相同的，共有5個(gè)字段PDU類型請(qǐng)求標(biāo)識(shí)(request-id)錯(cuò)誤狀態(tài)(error-status)錯(cuò)誤索引(error-index)變量綁定表（variable-binding）Trap報(bào)文的格式與其他報(bào)文不同，它有下列字段制造商ID（enterprise）代理地址（agent-addr）一般陷入（generic-trap）特殊陷入（specific-trap）時(shí)間戳（time-stamp）3.2.3 報(bào)文應(yīng)答序列生成和發(fā)送SNMP報(bào)文3.2.4 報(bào)文的發(fā)送和接收接收和處理SNMP報(bào)文3.3 SNMPv1的操作檢索簡(jiǎn)單的標(biāo)量對(duì)象值可以用Get

7、操作，如果變量綁定表中包含多個(gè)變量，一次還可以檢索多個(gè)標(biāo)量對(duì)象的值。接收GetRequest的SNMP實(shí)體以請(qǐng)求標(biāo)識(shí)相同的GetResponse響應(yīng)。3.3.1檢索簡(jiǎn)單對(duì)象特別要注意的是GetResponse操作的原子性：如果所有請(qǐng)求的對(duì)象值可以得到，則給于應(yīng)答；反之，只要有一個(gè)對(duì)象的值得不到，則可能返回下列錯(cuò)誤條件之一：變量綁定表中的一個(gè)對(duì)象無(wú)法與MIB中的任何對(duì)象標(biāo)識(shí)符匹配，或者要檢索的對(duì)象是一個(gè)數(shù)據(jù)塊（子樹或表），沒(méi)有對(duì)象實(shí)例生成。在這些情況下，響應(yīng)實(shí)體返回的GetResponse PDU中錯(cuò)誤狀字段置為noSuchName，錯(cuò)誤索引設(shè)置為一個(gè)數(shù)，指明有問(wèn)題的變量。變量綁定表中不返回任何

8、值。響應(yīng)實(shí)體可以提供所有要檢索的值，但是變量太多，一個(gè)響應(yīng)PDU裝不下，這往往是由下層協(xié)議數(shù)據(jù)單元大小限制的。這時(shí)響應(yīng)實(shí)體返回一個(gè)應(yīng)答PDU，錯(cuò)誤狀態(tài)字段置為tooBig。由于其他原因（例如代理不支持）響應(yīng)實(shí)體至少不能提供一個(gè)對(duì)象的值，則返回的PDU中錯(cuò)誤狀態(tài)字段置為genError，錯(cuò)誤索引置一個(gè)數(shù)，指明有問(wèn)題的變量。變量綁定表中不返回任何值。GetNext命令檢索變量名指示的下一個(gè)對(duì)象實(shí)例，但是并不要求變量名是對(duì)象標(biāo)識(shí)符，或者是實(shí)例標(biāo)識(shí)符。3.3.2 檢索未知對(duì)象GetNext可用于有效地搜索表對(duì)象3.3.3檢索表對(duì)象Set命令用于設(shè)置或更新變量的值。它的PDU格式與Get是相同的，但是在

9、變量綁定表中必須包含要設(shè)置的變量名和變量值。對(duì)于Set 命令的應(yīng)答也是GetResponse，同樣是原子性的。如果所有的變量都可以設(shè)置，則更新所有變量的值，并在應(yīng)答的GetResponse中確認(rèn)變量的新值；如果至少有一個(gè)變量的值不能設(shè)置，則所有變量的值都保持不變，并在錯(cuò)誤狀態(tài)中指明出錯(cuò)的原因。Set出錯(cuò)的原因與Get是類似的（tooBig、noSuchName和genError)，然而若有一個(gè)變量的名字和要設(shè)置的值在類型、長(zhǎng)度或?qū)嶋H值不匹配，則返回錯(cuò)誤條件badValue。3.3.4表的更新和刪除陷入是由代理向管理站發(fā)出的異步事件報(bào)告，不需要應(yīng)答報(bào)文。SNMPv1規(guī)定了6種陷入條件,另外還有設(shè)

10、備制造商定義的陷入：coldStart 發(fā)送實(shí)體重新初始化，代理的配置已改變，通常是由系統(tǒng)失效引起的。warmStart 發(fā)送實(shí)體重新初始化，但代理的配置沒(méi)有改變，這是正常的重啟動(dòng)過(guò)程。linkDown 鏈路失效通知，變量綁定表的第一項(xiàng)指明對(duì)應(yīng)接口表的索引變量及其值。linkUp 鏈路啟動(dòng)通知，變量綁定表的第一項(xiàng)指明對(duì)應(yīng)接口表的索引變量及其值。authenticationFailure 發(fā)送實(shí)體收到一個(gè)沒(méi)有通過(guò)認(rèn)證的報(bào)文。egpNeighborLoss 相鄰的外部路由器失效或關(guān)機(jī)。enterpriseSpecific 由設(shè)備制造商定義的陷入條件，在特殊陷入（specific-trap）字段指明

11、具體的陷入類型。3.3.5陷入操作3.4 SNMP功能組3.5 實(shí)現(xiàn)問(wèn)題支持?jǐn)U展的MIB圖形用戶接口自動(dòng)發(fā)現(xiàn)機(jī)制可編程的事件高級(jí)網(wǎng)絡(luò)控制功能面向?qū)ο蟮墓芾砟Ｐ陀脩舳x的圖標(biāo)3.5.1 網(wǎng)絡(luò)管理站的功能通常輪詢頻率與網(wǎng)絡(luò)的規(guī)模和代理的多少有關(guān)。而網(wǎng)絡(luò)管理性能還取決于管理站的處理速度、子網(wǎng)數(shù)據(jù)速率、網(wǎng)絡(luò)擁塞程度等眾多的因素，所以很難給出準(zhǔn)確的判斷規(guī)則。輪詢只是采用get請(qǐng)求/響應(yīng)這種簡(jiǎn)單形式，而且管理站全部時(shí)間都用來(lái)輪詢，于是我們有下面的不等式： NT/， 其中 N=被輪詢的代理數(shù) T=輪詢間隔 =單個(gè)輪詢需要的時(shí)間。3.5.2 輪詢頻率與下列因素有關(guān)：管理站生成一個(gè)請(qǐng)求報(bào)文的時(shí)間從管理站到代理的

12、網(wǎng)絡(luò)延遲代理處理一個(gè)請(qǐng)求報(bào)文的時(shí)間代理產(chǎn)生一個(gè)響應(yīng)報(bào)文的時(shí)間從代理到管理站的網(wǎng)絡(luò)延遲管理站處理一個(gè)響應(yīng)報(bào)文的時(shí)間為了得到需要的管理信息，交換請(qǐng)求/響應(yīng)報(bào)文的數(shù)量由于輪詢的性能限制，SNMP不適合管理很大的網(wǎng)絡(luò)。輪詢產(chǎn)生的大量管理信息傳送可能引起網(wǎng)絡(luò)響應(yīng)時(shí)間的增加。SNMP不適合檢索大量數(shù)據(jù)，例如檢索整個(gè)表中的數(shù)據(jù)。SNMP的陷入報(bào)文是沒(méi)有應(yīng)答的，管理站是否收到陷入報(bào)文，代理不得而知。這樣可能丟掉重要的管理信息。SNMP只提供簡(jiǎn)單的團(tuán)體名認(rèn)證，這樣的安全措施是很不夠的。SNMP并不直接支持向被管理設(shè)備發(fā)送命令。SNMP的管理信息庫(kù)MIB-2支持的管理對(duì)象是很有限的，不足以完成復(fù)雜的管理功能。SN

13、MP不支持管理站之間的通信，而這一點(diǎn)在分布式網(wǎng)絡(luò)管理中是很需要的。3.5.3 SNMPv1的局限性SNMPv2 SMI引入了4個(gè)關(guān)鍵的概念：對(duì)象的定義概念表通知的定義信息模塊3.6 SNMPv2管理信息結(jié)構(gòu)SNMPv2對(duì)象宏定義3.6.1 對(duì)象的定義OBJECT-TYPE MACRO:= BEGIN TYPE NOTATION:=“SYNTAX” Syntax UnitsPart “MAX-ACCESS” Access “STATUS” Status “DESCRIPTION” Text ReferPart IndexPart DefValPart VALUE NOTATION:=value

14、(VALUE ObjectName) ENDSNMPv2把表分為兩類禁止刪除和生成行的表：這種表的最高的訪問(wèn)級(jí)別是read-write。在很多情況下這種表由代理控制，表中只包含read-only型的對(duì)象允許刪除和生成行的表：這種表開始時(shí)可能沒(méi)有行，由管理站生成和刪除行。行數(shù)可由管理站或代理改變3.6.2 表的定義允許生成和刪除行的表必須有一個(gè)列對(duì)象，其SYNTAX子句的值為RowStatus, MAX-ACCESS子句的值為read-write，這種列叫做概念行的狀態(tài)列。狀態(tài)列可取6種值active（可讀寫）notInService（可讀寫）notReady（只讀）createAndGo（只寫

15、不讀）createAndWait（只寫不讀）destroy（只寫不讀）3.6.3 表的操作1. 行的生成生成概念行的過(guò)程可以分成以下4個(gè)步驟(1)選擇索引對(duì)象的實(shí)例標(biāo)識(shí)符(2)管理站通過(guò)事務(wù)處理產(chǎn)生和激活概念行(3)初始化非默認(rèn)值對(duì)象(4)激活概念行2. 概念行的掛起當(dāng)概念行處于active狀態(tài)時(shí)，如果管理站希望概念行脫離服務(wù)，以便進(jìn)行修改，則可以發(fā)出set命令，把狀態(tài)列由active置為notInService。這時(shí)有兩種可能：若代理不執(zhí)行該操作，則返回wrongValue若代理可執(zhí)行該操作，則返回noError表定義中的DESCRIPTION子句需指明，在何種情況下可以把狀態(tài)列置為notI

16、nService3. 概念行的刪除管理站發(fā)出set命令，把狀態(tài)列置為destroy,如果這個(gè)操作成功，概念行立即被刪除SNMPv2提供了通知類型的宏定義NOTIFICATION-TYPE，用于定義異常條件出現(xiàn)時(shí)SNMPv2實(shí)體發(fā)送的信息SNMPv2還引入了信息模塊的概念，用于說(shuō)明一組有關(guān)的定義。共有3 種信息模塊：MIB模塊：包含一組有關(guān)的管理對(duì)象的定義。MIB的依從性聲明模塊：使用MODULE-COMPLIANCE和OBJECT-GROUP宏說(shuō)明有關(guān)管理對(duì)象實(shí)現(xiàn)方面的最小要求。代理能力說(shuō)明模塊：用AGENT-CAPABILITIES宏說(shuō)明代理實(shí)體應(yīng)該實(shí)現(xiàn)的能力3.6.4 通知和信息模塊1.

17、系統(tǒng)組SNMPv2的系統(tǒng)組是MIB-2系統(tǒng)組的擴(kuò)展3.6.5 SNMPv2管理信息庫(kù)2. SNMP組這個(gè)組是由MIB-2的對(duì)應(yīng)組改造而成的，有些對(duì)象被刪除了，同時(shí)又增加了一些新對(duì)象3. MIB對(duì)象組這個(gè)新組包含的對(duì)象與管理對(duì)象的控制有關(guān)，分為兩個(gè)子組第一個(gè)子組snmpTrap由兩個(gè)對(duì)象組成：snmpTrapOIDsnmpTrapEnterprise第二個(gè)子組snmpSet僅有一個(gè)對(duì)象snmpSerialNo，這個(gè)對(duì)象用于解決set操作中可能出現(xiàn)的兩個(gè)問(wèn)題：一個(gè)管理站可能向同一MIB對(duì)象發(fā)送多個(gè)set操作，保證這些操作按照發(fā)送的順序在MIB中執(zhí)行是必要的，即使在傳送過(guò)程中次序發(fā)生了錯(cuò)亂。多個(gè)管理

18、站對(duì)MIB的并發(fā)操作可能破壞了數(shù)據(jù)庫(kù)的一致性和精確性。解決這些問(wèn)題的方法如下。snmpSerialNo的語(yǔ)法是TestAndIncr(文字約定為0.2147483647之間的一個(gè)整數(shù))，假設(shè)它的當(dāng)前值是K，1）如果代理收到的set操作置snmpSerialNo的值為K，則這個(gè)操作成功，響應(yīng)PDU中返回K值，這個(gè)對(duì)象的新值增加為K（mod 231）;2）如果代理收到一個(gè)set操作，置這個(gè)對(duì)象的值不等于K，則這個(gè)操作失敗，返回錯(cuò)誤值inconsistentValue.4. 接口組MIB-2定義的接口組經(jīng)過(guò)一段時(shí)間的使用，發(fā)現(xiàn)有很多缺陷RFC1573 對(duì)MIB-2接口組做了一些小的修改，主要是糾正了

19、上面提到的有些問(wèn)題。RFC1573還對(duì)接口組增加了4個(gè)新表5. 接口擴(kuò)展表6. 接口堆棧表接口堆棧表說(shuō)明接口表中屬于同一物理接口的各個(gè)行之間的關(guān)系，指明哪些子層運(yùn)行于哪些子層之上7. 接口測(cè)試表接口測(cè)試表的作用是由管理站指示代理系統(tǒng)測(cè)試接口的故障8. 接收地址表接收地址表包含每個(gè)接口對(duì)應(yīng)的各種地址（廣播地址、組播地址和單地址）SNMPv2提供了3種訪問(wèn)管理信息的方法：管理站和代理之間的請(qǐng)求/響應(yīng)通信，這種方法與SNMPv1是一樣的。管理站和管理站之間的請(qǐng)求/響應(yīng)通信，這種方法是SNMPv2特有的，可以由一個(gè)管理站把有關(guān)管理信息告訴另外一個(gè)管理站。代理系統(tǒng)到管理站的非確認(rèn)通訊，即由代理向管理站發(fā)

20、送陷入報(bào)文，報(bào)告出現(xiàn)的異常情況。SNMPv1中也有對(duì)應(yīng)的通信方式。3.7 SNMPv2協(xié)議數(shù)據(jù)單元SNMPv2報(bào)文的結(jié)構(gòu)分為3部分：版本號(hào)、團(tuán)體名和作為數(shù)據(jù)傳送的PDU。3.7.1 SNMPv2報(bào)文SNMPv2實(shí)體發(fā)送一個(gè)報(bào)文一般要經(jīng)過(guò)下面4個(gè)步驟：根據(jù)要實(shí)現(xiàn)的協(xié)議操作構(gòu)造PDU；把PDU、源和目標(biāo)端口地址以及團(tuán)體名傳送給認(rèn)證服務(wù)，認(rèn)證服務(wù)產(chǎn)生認(rèn)證碼或?qū)?shù)據(jù)進(jìn)行加密，返回結(jié)果；加入版本號(hào)和團(tuán)體名，構(gòu)造報(bào)文；進(jìn)行BER編碼，產(chǎn)生0/1比特串，發(fā)送出去SNMPv2實(shí)體接收到一個(gè)報(bào)文后要完成下列動(dòng)作：對(duì)報(bào)文進(jìn)行語(yǔ)法檢查，丟棄出錯(cuò)的報(bào)文；把PDU部分、源和目標(biāo)端口號(hào)交給認(rèn)證服務(wù)。如果認(rèn)證失敗，發(fā)送一個(gè)

21、陷入，丟棄報(bào)文；如果認(rèn)證通過(guò)，則把PDU轉(zhuǎn)換成ASN.1的形式；協(xié)議實(shí)體對(duì)PDU做句法檢查，如果通過(guò)，根據(jù)團(tuán)體名和適當(dāng)?shù)脑L問(wèn)策略作相應(yīng)的處理。SNMPv2 共有6種協(xié)議數(shù)據(jù)單元，分為3種PDU格式3.7.2 SNMPv2 PDU這些協(xié)議數(shù)據(jù)單元在管理站和代理系統(tǒng)之間或者是兩個(gè)管理站之間交換，以完成需要的協(xié)議操作如果該變量的對(duì)象標(biāo)識(shí)符前綴不能與這一請(qǐng)求可訪問(wèn)的任何變量的對(duì)象標(biāo)識(shí)符前綴匹配，則返回一個(gè)錯(cuò)誤值noSuchObject；如果變量名不能與這一請(qǐng)求可訪問(wèn)的任何變量名完全匹配，則返回一個(gè)錯(cuò)誤值noSuchInstance。這種情況可能出現(xiàn)在表訪問(wèn)中：訪問(wèn)了不存在的行，或正在生成中的表行等；如

22、果不屬于以上情況，則在變量綁定表中返回被訪問(wèn)的值。如果由于任何其它原因而處理失敗，則返回一個(gè)錯(cuò)誤狀態(tài)genErr,對(duì)應(yīng)的錯(cuò)誤索引指向有問(wèn)題的變量。如果生成的響應(yīng)PDU太大，超過(guò)了本地的或請(qǐng)求方的最大報(bào)文限制，則放棄這個(gè)PDU，構(gòu)造一個(gè)新的響應(yīng)PDU，其錯(cuò)誤狀態(tài)為tooBig，錯(cuò)誤索引為0，變量綁定表為空。1. GetRequestPDU對(duì)變量綁定表中指定的變量在MIB中查找按照詞典順序的后繼變量，如果找到，返回該變量（對(duì)象實(shí)例）的名字和值。如果找不到按照詞典順序的后繼變量，則返回請(qǐng)求PDU中的變量名和錯(cuò)誤值endOfMibView。如果出現(xiàn)其它情況使得構(gòu)造響應(yīng)PDU失敗，以與GetReques

23、t類似的方式返回錯(cuò)誤值。2. GetNextRequestPDU假設(shè)GetBulkRequestPDU變量綁定表中有L個(gè)變量，該P(yáng)DU的“非重復(fù)數(shù)”字段的值為N，則對(duì)前N個(gè)變量應(yīng)各返回一個(gè)詞典后繼。再設(shè)請(qǐng)求PDU的“最大后繼數(shù)”字段的值為M，則對(duì)其余的R=L-N個(gè)變量應(yīng)該各返回最多M個(gè)詞典后繼。如果可能，總共返回N+R*M個(gè)值。如果在任何一步查找過(guò)程中遇到不存在后繼的情況，則返回錯(cuò)誤值endOfMibView。3. GetBulkRequestPDU這個(gè)請(qǐng)求的格式和語(yǔ)義與SNMPv1的基本相同，差別是處理響應(yīng)的方式不同。SNMPv2實(shí)體分兩個(gè)階段處理這個(gè)請(qǐng)求的變量綁定表，首先是檢驗(yàn)操作的合法性

24、，然后再更新變量。如果至少有一個(gè)變量綁定對(duì)的合法性檢驗(yàn)沒(méi)有通過(guò)，則不進(jìn)行下一階段的更新操作。所以這個(gè)操作與SNMPv1一樣，是原子性的。4. SetRequestPDU陷入是由代理發(fā)給管理站的非確認(rèn)性消息TrapPDU的變量綁定表中應(yīng)報(bào)告下面的內(nèi)容：sysUpTime.0的值，即發(fā)出陷入的時(shí)間。snmpTrapOID.0的值，這是SBNPv2 MIB對(duì)象組定義的陷入對(duì)象的標(biāo)識(shí)符。有關(guān)通知宏定義中包含的各個(gè)變量及其值。代理系統(tǒng)選擇的其他變量的值。5. TrapPDU這是管理站發(fā)送給管理站的消息，PDU格式與Get等操作相同，變量綁定表的內(nèi)容與陷入報(bào)文的一樣。6. InformRequestPDU

25、SNMPv2增加的管理站之間的通信機(jī)制是分布式網(wǎng)絡(luò)管理所需要的功能特征，為此引入了通知報(bào)文InformRequest和管理站數(shù)據(jù)庫(kù)（manager-to-manager MIB）。管理站數(shù)據(jù)庫(kù)主要由3個(gè)表組成：snmpAlarmTablesnmpEventTablesnmpEventNotifyTable3.7.3 管理站之間的通訊3.8 SNMPv33.8.1 SNMPv3管理框架SNMP引擎提供下列服務(wù)：發(fā)送和接收?qǐng)?bào)文，認(rèn)證和加密報(bào)文，控制對(duì)管理對(duì)象的訪問(wèn)。3.8.2 SNMP引擎1. 調(diào)度器調(diào)度器的功能包括：向/從網(wǎng)絡(luò)中發(fā)送/接收SNMP報(bào)文，確定SNMP報(bào)文的版本，并交給相應(yīng)的報(bào)文處理

26、模塊處理，為接收PDU的SNMP應(yīng)用提供一個(gè)抽象的接口， 為發(fā)送PDU的SNMP應(yīng)用提供一個(gè)抽象的接口。2. 報(bào)文處理子系統(tǒng)3. 安全子系統(tǒng)4. 訪問(wèn)控制子系統(tǒng)SNMPv3的應(yīng)用程序分為5種命令生成器（command generators）命令響應(yīng)器（command responders）通知發(fā)送器（notification originators）通知接收器（notification receivers）代理轉(zhuǎn)發(fā)器（proxy forwarders）3.8.3 應(yīng)用程序管理站3.8.4 SNMP 管理站和代理代理標(biāo)準(zhǔn)規(guī)定安全模塊必須提供防護(hù)的兩種主要威脅是：修改信息（Modification

27、 of Information）假冒（Masquerade）3.8.5 基于用戶的安全模型(USM)標(biāo)準(zhǔn)還規(guī)定安全模塊必須對(duì)兩種次要威脅提供防護(hù)：修改報(bào)文流（Message Stream Modification）消息泄露（Disclosure）有兩種威脅是安全體系結(jié)構(gòu)不必防護(hù)的，因?yàn)樗鼈儾皇呛苤匾?，或者這種防護(hù)沒(méi)有多大作用：拒絕服務(wù)（Denial of Service）通信分析（Traffic Analysis）RFC2574把安全協(xié)議分為3個(gè)模塊：時(shí)間序列模塊：提供對(duì)報(bào)文延遲和重放的防護(hù)。 認(rèn)證模塊：提供完整性和數(shù)據(jù)源認(rèn)證，加密模塊：防止報(bào)文內(nèi)容的泄露在VACM模型中要用到以下概念：SNM

28、P上下文(context)組（group）安全模型（securityModel）安全級(jí)別（securityLevel）操作（operation）3.8.6 基于視圖的訪問(wèn)控制（VACM）模型1. 視圖和視圖系列為了安全，我們需要把某些組（group）的訪問(wèn)權(quán)限制在一個(gè)管理信息的子集中。提供這種能力的機(jī)制就是MIB視圖視圖限定了SNMP上下文中管理對(duì)象類型(或管理對(duì)象實(shí)例)的一個(gè)特殊集合由于列對(duì)象的格式是類似的，所以可以把它們聚合成一個(gè)結(jié)構(gòu)，叫做視圖樹系列（ViewTreeFamily）如果下列兩個(gè)條件都成立，則該對(duì)象實(shí)例屬于視圖樹系列：管理對(duì)象標(biāo)識(shí)符至少包含了系列名包含的那些子標(biāo)識(shí)符；對(duì)應(yīng)于掩碼為1的位，管理對(duì)象標(biāo)識(shí)符中的子標(biāo)識(shí)符必須與系列名中的對(duì)應(yīng)子標(biāo)識(shí)符相匹配。2. VACM MIB的組成VACM MIB由幾個(gè)表組成vacmC