實(shí)訓(xùn)指導(dǎo)66基于SNMP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)管理課件

1、計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與實(shí)施學(xué)習(xí)情境6：實(shí)訓(xùn)任務(wù)6.6國家高等職業(yè)教育網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫基于SNMP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)管理內(nèi)容介紹任務(wù)場景1任務(wù)相關(guān)工具軟件介紹2任務(wù)設(shè)計(jì)、規(guī)劃3任務(wù)實(shí)施及方法技巧4任務(wù)檢查與評(píng)價(jià)5任務(wù)總結(jié)6任務(wù)場景任務(wù)相關(guān)工具軟件介紹可以用PT實(shí)現(xiàn)，也可以基于真實(shí)網(wǎng)絡(luò)環(huán)境配置實(shí)現(xiàn)，軟件為SolarWinds任務(wù)設(shè)計(jì)、規(guī)劃基于SNMP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)管理接入或匯聚交換機(jī)核心交換機(jī)DMZ服務(wù)器區(qū)內(nèi)網(wǎng)用戶網(wǎng)絡(luò)管理工作站防火墻路由器任務(wù)實(shí)施及方法技巧基于SNMP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)管理相關(guān)知識(shí)與原理介紹任務(wù)實(shí)施及方法技巧1、網(wǎng)絡(luò)管理協(xié)議簡介 伴隨著網(wǎng)絡(luò)著基于TCP/IP協(xié)議的互聯(lián)網(wǎng)絡(luò)應(yīng)用的普及，出現(xiàn)了

2、各種管理上的需求，如對(duì)網(wǎng)絡(luò)性能管理、配置管理、計(jì)費(fèi)管理、故障管理、安全管理等多方面的需求。有效的管理手段可以簡化大量的網(wǎng)絡(luò)管理與維護(hù)的工作量。從1969年世界上第一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)-ARPANET的產(chǎn)生之初，并沒有考慮網(wǎng)絡(luò)管理這項(xiàng)任務(wù)，更沒有開發(fā)出專門的網(wǎng)絡(luò)管理協(xié)議，只是利用了ICMP協(xié)議的echoecho-reply消息對(duì)來對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試的功能。網(wǎng)絡(luò)應(yīng)用的快速增長，使得這方面的需求逐漸增加。1988年，Internet體系結(jié)構(gòu)委員會(huì)提出了簡單網(wǎng)絡(luò)管理協(xié)議的第一個(gè)版本，即SNMPvl（Simple Network Management Protocol），并由RFC1157對(duì)其進(jìn)行了定義。1993

3、年正式發(fā)表的SNMP第二版-SNMPv2。但是這兩個(gè)協(xié)議在應(yīng)用中都明顯存在著安全問題、以及功能上的不足。2002年3月SNMPv3經(jīng)IESG互聯(lián)網(wǎng)工程指導(dǎo)小組核準(zhǔn)，在互聯(lián)網(wǎng)上應(yīng)用，在SNMPv3中主要對(duì)前面的版本添加了安全與遠(yuǎn)程配置的功能。這就是目前基于TCP/IP協(xié)議的管理協(xié)議。任務(wù)實(shí)施及方法技巧 同時(shí)，國際標(biāo)準(zhǔn)化組織也積極組織網(wǎng)絡(luò)管理模型的開發(fā)，推出了基于OSI七層體系的網(wǎng)絡(luò)管理協(xié)議，管理信息協(xié)議CMIP（Common Management Information Protocol）通用管理信息協(xié)議，是與通用管理信息服務(wù)CMIS（Common Management Information

4、Service）同時(shí)使用的一種用于監(jiān)控不同網(wǎng)絡(luò)的ISO協(xié)議。CMIS定義了一個(gè)網(wǎng)絡(luò)管理信息服務(wù)系統(tǒng)。CMIP的提出目標(biāo)是代替簡單網(wǎng)絡(luò)管理協(xié)議SNMP，但由于其復(fù)雜性目前只在大型網(wǎng)絡(luò)中有所應(yīng)用。因此提出了在TCP/IP上的CMIP，即CMOT（CMISCMIP over TCP/IP），CMOT是一種使用CMIP來管理IP網(wǎng)絡(luò)的網(wǎng)絡(luò)管理協(xié)議。CMOT 定義了一種網(wǎng)絡(luò)管理架構(gòu)，用以支持CMIS/CMIP。 網(wǎng)絡(luò)管理是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)和信息處理所必需的各種活動(dòng)的總稱，也指利用多種應(yīng)用程序、工具和設(shè)備來監(jiān)控和維護(hù)網(wǎng)絡(luò)運(yùn)行的一種技術(shù)。 下面將主要對(duì)網(wǎng)絡(luò)管理功能定義、網(wǎng)絡(luò)管理系統(tǒng)的各個(gè)組成部

5、分、主要的網(wǎng)絡(luò)管理協(xié)議為主，SNMP管理模型的組成和功能、SNMP的實(shí)現(xiàn)機(jī)制和過程、SNMP安全性的實(shí)現(xiàn)、通過RMON進(jìn)行網(wǎng)絡(luò)遠(yuǎn)程監(jiān)視等進(jìn)行介紹，以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)管理協(xié)議及實(shí)施加以理解。任務(wù)實(shí)施及方法技巧2、網(wǎng)絡(luò)管理的目的 網(wǎng)絡(luò)應(yīng)用的普及使得網(wǎng)絡(luò)管理復(fù)雜性增加，手工進(jìn)行網(wǎng)絡(luò)管理有其局限性和不足。因此有必要開發(fā)基于協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)。網(wǎng)絡(luò)管理系統(tǒng)可以使管理人員避免大量的重復(fù)性勞動(dòng)；可以在網(wǎng)絡(luò)發(fā)生故障時(shí)及時(shí)提醒，以提高設(shè)備的響應(yīng)速度；還可以通過一些設(shè)置對(duì)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程控制。利用網(wǎng)絡(luò)管理系統(tǒng)，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)監(jiān)控，提高網(wǎng)絡(luò)安全性?？梢酝ㄟ^定義的閾值來及時(shí)發(fā)現(xiàn)超出指定閾值的網(wǎng)絡(luò)活動(dòng)，如設(shè)置對(duì)WEB服務(wù)器

6、的80端口設(shè)置一個(gè)時(shí)間閾值，在此時(shí)間內(nèi)如果80端口沒有響應(yīng)則認(rèn)為服務(wù)已經(jīng)不可用，從而及時(shí)發(fā)現(xiàn)故障，并進(jìn)行報(bào)警通知網(wǎng)絡(luò)管理人員進(jìn)行故障排除，以提高網(wǎng)絡(luò)的可用性。 網(wǎng)絡(luò)管理范圍包括了硬件管理、軟件管理、網(wǎng)絡(luò)配置、網(wǎng)絡(luò)維護(hù)、網(wǎng)絡(luò)服務(wù)等。因此也要求網(wǎng)絡(luò)管理人員具備軟件方面與硬件方面的知識(shí)與技能。同時(shí)要求網(wǎng)絡(luò)管理員應(yīng)當(dāng)具備自學(xué)能力、英文閱讀能力、專業(yè)技能、創(chuàng)造和應(yīng)變能力、觀察能力、分析判斷能力、毅力、精力和體力、溝通能力等。任務(wù)實(shí)施及方法技巧3、國際標(biāo)準(zhǔn)化組織對(duì)網(wǎng)絡(luò)管理功能域的定義 國際標(biāo)準(zhǔn)化組織ISO對(duì)網(wǎng)絡(luò)管理功能域定義了五方面功能：性能管理、配置管理、計(jì)費(fèi)管理、故障管理、安全管理。下面分別介紹。（1

7、）配置管理 配置管理（configuration management）是最基本的網(wǎng)絡(luò)管理功能，主要負(fù)責(zé)監(jiān)測(cè)和控制網(wǎng)絡(luò)的配置狀態(tài)，就是在網(wǎng)絡(luò)建立、擴(kuò)充、改造和運(yùn)行的過程中，對(duì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、資源配備、使用狀態(tài)等配置信息進(jìn)行定義、監(jiān)測(cè)和修改。配置管理應(yīng)包括以下幾部分功能：定義配置信息、設(shè)置并修改屬性值、定義和修改關(guān)系、初始化和關(guān)閉網(wǎng)絡(luò)、軟件分發(fā)、網(wǎng)絡(luò)規(guī)劃和資源管理等功能。（2）性能管理 性能管理（Performance management）涉及到網(wǎng)絡(luò)通信信息（流量、用戶、訪問的資源等）的收集、加工和處理等一系列活動(dòng)。其目的是保證有效運(yùn)營網(wǎng)絡(luò)和提供連續(xù)可靠通信能力，在保證各種業(yè)務(wù)的服務(wù)質(zhì)量的同時(shí)

8、，盡量提高網(wǎng)絡(luò)資源的利用率，并使網(wǎng)絡(luò)資源的使用達(dá)到最優(yōu)化的程度。性能管理包括以下三個(gè)主要內(nèi)容：性能測(cè)量、性能分析、性能管理控制。性能指標(biāo)：面向服務(wù)的指標(biāo)：可用性、響應(yīng)時(shí)間、精確度。面向效率的指標(biāo)：吞吐量、利用率。任務(wù)實(shí)施及方法技巧（3）安全管理 安全管理（Security management）的作用是提供信息的保密、認(rèn)證和完整性保護(hù)機(jī)制，使網(wǎng)絡(luò)中的服務(wù)數(shù)據(jù)和系統(tǒng)免受侵?jǐn)_和破壞。計(jì)算機(jī)和網(wǎng)絡(luò)安全的要求：保密性(secrecy）、整體性（integrity）、可用性（availability）。計(jì)算機(jī)和網(wǎng)絡(luò)安全威脅的類型：中斷(interruption)、偵聽(interception)、修改(

9、modification)、偽造（fabrication）。對(duì)計(jì)算機(jī)系統(tǒng)資源的威脅：對(duì)硬件的威脅、對(duì)軟件的威脅、對(duì)數(shù)據(jù)的威脅、對(duì)通信線路和網(wǎng)絡(luò)的威脅（被動(dòng)威脅：泄露消息內(nèi)容、流量分析；主動(dòng)威脅：消息流修改、拒絕服務(wù)、欺騙）、對(duì)網(wǎng)絡(luò)管理系統(tǒng)的威脅（用戶欺騙、網(wǎng)絡(luò)管理站欺騙、管理站代理交換干擾）。安全管理功能包括：信息安全維護(hù)、服務(wù)與資源訪問控制、加密過程控制。 信息安全維護(hù)包括：事件日志、監(jiān)視安全審核記錄、監(jiān)視安全相關(guān)資源的用戶和使用情況、報(bào)告安全破壞、接收安全破壞報(bào)告、維護(hù)并檢查安全日志、維護(hù)安全相關(guān)文件的所有或部分備份、維護(hù)一般網(wǎng)絡(luò)用戶配置文件和特定資源的使用配置文件，作為指定安全配置文件限

10、制的參考。 服務(wù)與資源訪問控制包括：代碼安全、源路由和路由記錄信息、警告極限級(jí)別、計(jì)費(fèi)表。加密過程控制包括：管理站和代理之間的信息交換進(jìn)行加密、通過其他網(wǎng)絡(luò)實(shí)體來實(shí)現(xiàn)加密、指定加密算法并提供密鑰分發(fā)等。 任務(wù)實(shí)施及方法技巧（4）故障管理 故障管理（fault management）的作用是迅速發(fā)現(xiàn)、定位和排除網(wǎng)絡(luò)故障，動(dòng)態(tài)維護(hù)網(wǎng)絡(luò)的有效性 故障管理的主要功能：檢測(cè)和報(bào)告故障、故障的診斷和定位、故障的隔離、故障的修復(fù)。通常進(jìn)行的故障診斷測(cè)試：連接性測(cè)試、數(shù)據(jù)完整性測(cè)試、協(xié)議完整性測(cè)試、數(shù)據(jù)飽和性測(cè)試、連接飽和性測(cè)試、響應(yīng)時(shí)間測(cè)試、功能測(cè)試。（5）計(jì)費(fèi)管理 計(jì)費(fèi)管理（accounting mana

11、gement）的作用是正確地計(jì)算和收取用戶使用網(wǎng)絡(luò)服務(wù)的費(fèi)用，進(jìn)行網(wǎng)絡(luò)資源利用率的統(tǒng)計(jì)：計(jì)費(fèi)管理是商業(yè)化計(jì)算機(jī)網(wǎng)絡(luò)的重要管理功能、在非商業(yè)化的網(wǎng)絡(luò)上，計(jì)費(fèi)管理可以通過測(cè)量不同網(wǎng)絡(luò)資源的利用率，適當(dāng)調(diào)整網(wǎng)絡(luò)資源的利用。計(jì)費(fèi)管理可以分為以下三個(gè)子過程：計(jì)費(fèi)數(shù)據(jù)收集過程、計(jì)費(fèi)處理過程、帳單管理過程。任務(wù)實(shí)施及方法技巧4、網(wǎng)絡(luò)管理系統(tǒng)組成 網(wǎng)絡(luò)管理系統(tǒng)主要由以下幾部分要素組成：被管設(shè)備（Managed Devices）網(wǎng)絡(luò)管理器（Network Manager）或網(wǎng)絡(luò)管理工作站（Network Management Station）管理代理（Managed Agents）網(wǎng)絡(luò)管理協(xié)議（Network

12、Management Protocol）管理信息庫（MIB,Management Information Base）任務(wù)實(shí)施及方法技巧其中各部分網(wǎng)絡(luò)管理組成要素的功能如下： 被管理設(shè)備：是指所管理的網(wǎng)絡(luò)中所要被管理的設(shè)備，可能是主機(jī)服務(wù)器、路由器、交換機(jī)等運(yùn)行網(wǎng)絡(luò)管理代理程序和網(wǎng)絡(luò)管理協(xié)議的全部網(wǎng)絡(luò)設(shè)備，管理端設(shè)備本身也可以是被管理設(shè)備。因此下面的被管理設(shè)備是指全部管理端與被管理設(shè)備。 網(wǎng)絡(luò)管理工作站：一般是指安裝有網(wǎng)絡(luò)管理軟件，管理軟件通過管理協(xié)議與網(wǎng)絡(luò)中管理代理進(jìn)行通信，負(fù)責(zé)對(duì)管理信息的收集，根據(jù)管理指令讀取被管理設(shè)備上由管理代理提供的信息，或設(shè)定相關(guān)的設(shè)備參數(shù)等。 管理代理：管理代理是運(yùn)

13、行于被管理設(shè)備上的一個(gè)進(jìn)程或稱之為程序。一般由設(shè)備或系統(tǒng)的生產(chǎn)商將提供，用來跟蹤被管理設(shè)備狀態(tài)的特殊軟件或固件，可能是軟件程序也可以是在芯片中的代碼。在被管理設(shè)備上開啟此代理后，由此代理通過管理協(xié)議向網(wǎng)絡(luò)管理工作站進(jìn)行信息交換。如向管理工作站報(bào)告設(shè)備的當(dāng)前狀態(tài)等。 網(wǎng)絡(luò)管理協(xié)議：用于在網(wǎng)絡(luò)管理工作站上的管理程序和管理代理之間進(jìn)行信息交換的協(xié)議。通過在被管理設(shè)備上開啟管理協(xié)議，實(shí)現(xiàn)管理端與被管理端的通信。如SNMP就是網(wǎng)絡(luò)管理協(xié)議的一種。 MIB管理信息庫：MIB是被管網(wǎng)絡(luò)設(shè)備的信息和變量集合的數(shù)據(jù)庫，MIB位于管理和被管理設(shè)備中。代理程序就是通過讀取這些信息并發(fā)送給管理工作站，使管理端可以實(shí)現(xiàn)

14、對(duì)信息的收集。任務(wù)實(shí)施及方法技巧5、SNMP網(wǎng)絡(luò)管理組成 基于SNMP協(xié)議的網(wǎng)絡(luò)管理同樣是由五部分組成的，即由被管理設(shè)備、網(wǎng)絡(luò)管理工作站、管理代理、網(wǎng)絡(luò)管理協(xié)議、管理信息庫組成。其實(shí)可以進(jìn)行分類，一類是網(wǎng)絡(luò)中物理設(shè)備如網(wǎng)絡(luò)管理工作站和被管理設(shè)備，另一類是進(jìn)行管理信息存儲(chǔ)、維護(hù)和交換的實(shí)體，即管理信息庫、管理代理和網(wǎng)絡(luò)管理協(xié)議。 網(wǎng)絡(luò)管理工作站一般安裝有網(wǎng)絡(luò)管理軟件，管理員可以利用管理軟件進(jìn)行信息的獲取與控制，如管理員可以發(fā)出讀取設(shè)備狀態(tài)的信息，管理軟件進(jìn)行協(xié)議封裝，封裝成SNMP協(xié)議數(shù)據(jù)單元，發(fā)送給被管理設(shè)備，由被管理設(shè)備中運(yùn)行的代理進(jìn)程讀取MIB中的相應(yīng)信息后進(jìn)行響應(yīng)。也可能是被管理設(shè)備中的

15、管理代理根據(jù)設(shè)定的閾值主動(dòng)發(fā)送Trap（也稱自陷）消息給管理工作站，例如當(dāng)設(shè)備斷電重啟后，管理代理要主動(dòng)向管理工作站發(fā)一個(gè)Trap消息，這也是管理代理主動(dòng)向管理工作站發(fā)送信息的唯一的方式。網(wǎng)絡(luò)管理工作站網(wǎng)絡(luò)管理協(xié)議管理代理Agent管理信息庫MIB被管理設(shè)備任務(wù)實(shí)施及方法技巧6、SNMP網(wǎng)絡(luò)管理要素的作用 管理工作站具有網(wǎng)絡(luò)管理應(yīng)用軟件，它的作用是能夠進(jìn)行數(shù)據(jù)分析、故障發(fā)現(xiàn)功能，并能提供網(wǎng)絡(luò)管理員監(jiān)視和控制網(wǎng)絡(luò)界面，還能夠?qū)⒕W(wǎng)絡(luò)管理員的命令轉(zhuǎn)換成對(duì)本地網(wǎng)絡(luò)或遠(yuǎn)程網(wǎng)絡(luò)元素的監(jiān)視和控制、能通過網(wǎng)絡(luò)管理協(xié)議和管理代理進(jìn)程從所有被管實(shí)體的MIB中提取出信息數(shù)據(jù)庫。 網(wǎng)絡(luò)管理代理作用是對(duì)來自管理站對(duì)被管

16、理設(shè)備的信息查詢請(qǐng)求(Get Request)和設(shè)置請(qǐng)求(Set Request)動(dòng)作作出響應(yīng)。網(wǎng)絡(luò)管理代理也可以異步地向管理工作站提供一些重要的非請(qǐng)求信息，即Trap自陷消息，用于主動(dòng)報(bào)告被管理設(shè)備的運(yùn)行狀態(tài)等信息。 網(wǎng)絡(luò)管理協(xié)議的作用是，在管理工作站和管理代理之間交換信息、提供了管理工作站收集網(wǎng)絡(luò)管理信息的方法、也為設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問題和錯(cuò)誤提供了一種方法，它規(guī)定了進(jìn)行信息交換的協(xié)議格式或說語法。 網(wǎng)絡(luò)管理信息庫的作用是用于存儲(chǔ)被管理設(shè)備內(nèi)部對(duì)象、性屬和對(duì)應(yīng)值。通過SNMP訪問的管理信息保存在每個(gè)管理站和代理節(jié)點(diǎn)的MIB中。管理信息包含有簡單層次的對(duì)象結(jié)構(gòu)，每一個(gè)對(duì)象都代表一個(gè)被管

17、理資源的一些屬性。任務(wù)實(shí)施及方法技巧7、SNMP協(xié)議工作原理與協(xié)議結(jié)構(gòu) 在網(wǎng)絡(luò)管理過程中，網(wǎng)絡(luò)管理工作站與被管理設(shè)備之間通過SNMP協(xié)議進(jìn)行信息的交互。下圖是SNMP協(xié)議數(shù)據(jù)的幾種操作類型，也是管理工作站與被管理設(shè)備相互間的協(xié)議數(shù)據(jù)操作方式。 網(wǎng)絡(luò)管理工作站管理代理Agent管理信息庫MIB被管理設(shè)備Get RequestGet Next RequestSet RequestGet ResponseTrap任務(wù)實(shí)施及方法技巧（1）Get Request操作：網(wǎng)絡(luò)管理工作站向被管理設(shè)備發(fā)出讀取請(qǐng)求。如可以是讀取被管理設(shè)備的接口狀態(tài)，UP或DOWN等。（2）Get Next Request操作：網(wǎng)

18、絡(luò)管理工作站向被管理設(shè)備發(fā)出讀取多個(gè)（遍歷操作）請(qǐng)求，例如可以用于連續(xù)讀取被管理設(shè)備內(nèi)的全部可管理信息等。（3）Set Request操作：網(wǎng)絡(luò)管理工作站向被管理設(shè)備發(fā)出修改請(qǐng)求。如可以設(shè)置一個(gè)或多個(gè)閾值，用于對(duì)緊急狀態(tài)的報(bào)告等。（4）Get Response操作：被管理設(shè)備對(duì)網(wǎng)絡(luò)管理工作站的請(qǐng)求的回應(yīng)。用于返回給管理工作站想要讀取的信息。（5）Trap操作：被管理設(shè)備向網(wǎng)絡(luò)管理工作站主動(dòng)發(fā)出的通知，表明已經(jīng)達(dá)到某個(gè)閾值。只有Trap是由被管理設(shè)備主動(dòng)發(fā)給管理工作站的，用于當(dāng)被管理設(shè)備發(fā)生問題或達(dá)當(dāng)某個(gè)設(shè)置的值時(shí)（閾值）時(shí)主動(dòng)向管理工作站報(bào)告。例如：可以設(shè)置當(dāng)被管理設(shè)備的網(wǎng)絡(luò)利用率達(dá)到60%時(shí)

19、可以讓被管理設(shè)備主動(dòng)發(fā)一個(gè)Trap給管理設(shè)備等。 任務(wù)實(shí)施及方法技巧 SNMP協(xié)議地設(shè)計(jì)之初考慮到這種管理上的附加不能給正常的通信帶來負(fù)載，因此采用基于UDP傳輸層協(xié)議進(jìn)行設(shè)計(jì)，在進(jìn)行管理通信中所用到的端口號(hào)是161和162。管理代理端（類似提供數(shù)據(jù)的服務(wù)器端）開啟UDP的161端口號(hào)響應(yīng)查詢，管理端（類似于管理端）開啟162用于接收來自被管理設(shè)備中代理主動(dòng)發(fā)來的自陷消息。 SNMP協(xié)議報(bào)文基于UDP協(xié)議通過IP數(shù)據(jù)報(bào)在網(wǎng)絡(luò)中傳的封裝。其中SNMP協(xié)議報(bào)文主要包括公共SNMP首部包括：SNMP協(xié)議的版本、共同體名、PDU（協(xié)議數(shù)據(jù)單元）類型（0-3），對(duì)于PDU類型4主要是用于Trap信息。G

20、et/Set標(biāo)識(shí)與PDU0-3中，包括：請(qǐng)求標(biāo)識(shí)符、差錯(cuò)狀態(tài)、差錯(cuò)索引。變量及其值域包含屬性和值等。IP頭部UDP頭部SNMP版本共同體名PDU類型（0-3）請(qǐng)求標(biāo)識(shí)符差錯(cuò)索引屬性值屬性值屬性值差錯(cuò)狀態(tài)（0-5）IP頭部UDP頭部SNMP版本共同體名PDU類型（4）實(shí)體差錯(cuò)索引屬性值屬性值屬性值被管代理IP地址Trap類型（0-6）特定代碼公共SNMP協(xié)議頭部Get或Set標(biāo)識(shí)Trap標(biāo)識(shí)變量及其值任務(wù)實(shí)施及方法技巧8、利用協(xié)議分析軟件捕獲SNMP協(xié)議數(shù)據(jù) 為了更好地對(duì)協(xié)議的工作原理進(jìn)行深入的理解，可以利用協(xié)議分析軟件，如Sniffer Pro等捕獲SNMP協(xié)議，可以在高級(jí)設(shè)置里設(shè)置，僅捕獲S

21、NMP協(xié)議數(shù)據(jù)。然后分析管理工站站發(fā)出的查詢、被管理設(shè)備的回應(yīng)以及自陷消息等協(xié)議數(shù)據(jù)。結(jié)合前面的SNMP協(xié)議工作原理與協(xié)議結(jié)構(gòu)部分內(nèi)容對(duì)捕獲的協(xié)議數(shù)據(jù)進(jìn)行分析。設(shè)置Sniffer Pro的高級(jí)過濾，定義捕獲SNMP協(xié)議數(shù)據(jù)，開始捕獲。然后，開啟SolarWinds軟件中的IP Network Browser掃描本地網(wǎng)關(guān)54的設(shè)備，下圖是利用Sniffer Pro捕獲到的一個(gè)SNMP協(xié)議數(shù)據(jù)。這其中包含了前面介紹的SNMP協(xié)議結(jié)構(gòu)中的各要素。任務(wù)實(shí)施及方法技巧9、網(wǎng)絡(luò)管理信息庫MIB 網(wǎng)絡(luò)管理信息庫MIB提供了對(duì)被管理設(shè)備內(nèi)部不同對(duì)象的描述，定義了通信中的標(biāo)準(zhǔn)表述結(jié)構(gòu)。管理信息包含有簡單層次的對(duì)

22、象結(jié)構(gòu)，每一個(gè)對(duì)象都代表一個(gè)被管理資源的一些屬性。通過SNMP訪問的管理信息保存在每個(gè)管理站和代理節(jié)點(diǎn)的MIB中。MIB的兩個(gè)版本：MIB-I，提供114標(biāo)準(zhǔn)對(duì)象、對(duì)象被認(rèn)為是進(jìn)行故障和配置管理；MIB-II，對(duì)MIB-I進(jìn)行了擴(kuò)展、定義了185個(gè)對(duì)象，同時(shí)與RMON共同實(shí)現(xiàn)遠(yuǎn)程監(jiān)控功能。SNMP的管理信息庫采用樹型結(jié)構(gòu)對(duì)不同的對(duì)象進(jìn)行定義。如下圖所示如果要讀取基于ISO網(wǎng)絡(luò)管理體系下的被管理設(shè)備的廠商信息，則可以表示為：.4.1.以此來表示具體對(duì)象。下面的右圖中是利用SolarWinds讀取Cisco設(shè)備的MIB標(biāo)識(shí)為.4.1.9等。MIB1-ISO0-CCITT2-ISO&CCITT0-S

23、tandand3-Identif1-Regist2-Member6-Dod1-Internet4-PrivateMicroSoftCisco1-Enterprises任務(wù)實(shí)施及方法技巧10、SNMP網(wǎng)絡(luò)管理工作站收集數(shù)據(jù)的方法 SNMP網(wǎng)絡(luò)管理工作站收集數(shù)據(jù)的方法：輪詢的方法、中斷的方法、面向自陷的輪詢方法。（1）輪詢（polling）的方法收集數(shù)據(jù) 單純的輪詢方法是通過管理工作站依次對(duì)網(wǎng)絡(luò)中的被管理設(shè)備進(jìn)行查詢來收集管理數(shù)據(jù)。這種方式下是由管理工作站進(jìn)行控制對(duì)數(shù)據(jù)的收集，如果網(wǎng)絡(luò)規(guī)模很大，管理工作站輪詢一遍所有的設(shè)備可能要花費(fèi)較長時(shí)間，如果在此期間內(nèi)有設(shè)備發(fā)生故障，如重新啟動(dòng)，并且重新啟動(dòng)時(shí)

24、間很短的話，管理工作站可能收集不到這種事件。即這種方式的缺點(diǎn)是無法提供實(shí)時(shí)的數(shù)據(jù)收集。網(wǎng)絡(luò)管理工作站輪詢的方法任務(wù)實(shí)施及方法技巧（2）中斷（Interrupt）的方法收集數(shù)據(jù) 基于中斷方式的數(shù)據(jù)收集適合用于對(duì)短時(shí)間內(nèi)的異常事件。當(dāng)出現(xiàn)異常事件時(shí)，由被管理代理主動(dòng)通知網(wǎng)絡(luò)管理工作站，多是通過錯(cuò)誤報(bào)告或自陷方式向網(wǎng)絡(luò)管理工作站發(fā)出trap消息，這種方式實(shí)時(shí)性很高。但所有的管理信息通過此方式收集，會(huì)由于產(chǎn)生錯(cuò)誤或自陷需要占用被管理設(shè)備的系統(tǒng)資源，如下圖所示。（3）面向自陷的輪詢方法（trap-directed polling）的方法收集數(shù)據(jù) 面向自陷的輪詢方法結(jié)合了輪詢與中斷兩種方式，在輪詢的同時(shí)由

25、被管理設(shè)備主動(dòng)發(fā)出事件的自陷。 網(wǎng)絡(luò)管理工作站輪詢?cè)诒还芾碓O(shè)備中的代理來收集數(shù)據(jù)，并且在控制臺(tái)上用數(shù)字或圖形的表示方式來顯示這些數(shù)據(jù)。網(wǎng)絡(luò)管理工作站網(wǎng)絡(luò)管理工作站中斷的方法面向自陷的輪詢方法任務(wù)實(shí)施及方法技巧11、SNMP網(wǎng)絡(luò)管理的安全性 在利用SNMP協(xié)議對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理和信息收集時(shí)，由于管理工作站與被管理工作站之間是通過共同體名來進(jìn)行權(quán)限驗(yàn)證的。但SNMPv1和SNMPv2的共同體名在設(shè)備生產(chǎn)時(shí)默認(rèn)是Public和Private，其中Public是只讀權(quán)限，Private是讀寫權(quán)限，由于很多設(shè)備都已經(jīng)默認(rèn)開啟SNMP并采用這Public作為權(quán)限和身份認(rèn)證，如果是攻擊者也利用管理軟件對(duì)網(wǎng)絡(luò)

26、中的被管理設(shè)備進(jìn)行信息獲取則網(wǎng)絡(luò)設(shè)備的配置信息可能會(huì)被攻擊者獲取，如思科的路由器就可以利用管理軟件通過Public這個(gè)共同體名來讀取或下載路由器的配置文件，從而獲取路由器的訪問口令等。 任務(wù)實(shí)施及方法技巧 當(dāng)然這可以通過修改路由器中SNMP默認(rèn)共同體名或關(guān)閉SNMP網(wǎng)絡(luò)管理功能來避免。但是這也說明了SNMP前兩個(gè)版本協(xié)議的安全性較差，也是SNMPv3出現(xiàn)的主要原因。SNMPv3提供了設(shè)備安全訪問機(jī)制，是由認(rèn)證和網(wǎng)絡(luò)傳輸中數(shù)據(jù)包加密的組合方式實(shí)現(xiàn)的。在加密上采用了DES來提供機(jī)密性保護(hù)，特別是SNMPv3協(xié)議報(bào)頭的安全防護(hù)。在完整性保護(hù)上采用了散列算法與安全散列功能，即MD5或SHA-1，通過這

27、種方式提供了對(duì)數(shù)據(jù)是否被修改的驗(yàn)證方法。SNMPv3的USM（用戶安全模式）還允許基于用戶的認(rèn)證和接入控制。前兩個(gè)版本的SNMP協(xié)議采用讀寫兩級(jí)權(quán)限的共同體名（community string）。但SNMPv3允許管理員為每一個(gè)SNMP用戶建立特別帳號(hào)，并根據(jù)這些用戶帳號(hào)授予權(quán)限。 當(dāng)前應(yīng)用中的很多網(wǎng)絡(luò)設(shè)備還不支持SNMPv3，可以對(duì)支持SNMPv3的軟件或固件進(jìn)行升級(jí)。在版本之間SNMPv3通過對(duì)前兩個(gè)版本的封裝，可以提供保護(hù)措施。任務(wù)實(shí)施及方法技巧基于SNMP協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)管理SolarWinds的配置與實(shí)現(xiàn)任務(wù)實(shí)施及方法技巧1、特定網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)管理技術(shù) 在如下圖所示的企業(yè)園區(qū)網(wǎng)絡(luò)環(huán)境中

28、利用網(wǎng)絡(luò)管理技術(shù)，設(shè)計(jì)基于SNMP協(xié)議的網(wǎng)絡(luò)管理。在核心交換機(jī)處連接網(wǎng)絡(luò)管理工站，在關(guān)鍵網(wǎng)絡(luò)設(shè)備及服務(wù)器中開啟SNMP協(xié)議。通過網(wǎng)絡(luò)管理工站來監(jiān)視網(wǎng)絡(luò)運(yùn)行狀態(tài)，并能對(duì)出現(xiàn)的網(wǎng)絡(luò)故障進(jìn)行報(bào)告。接入或匯聚交換機(jī)核心交換機(jī)DMZ服務(wù)器區(qū)內(nèi)網(wǎng)用戶網(wǎng)絡(luò)管理工作站防火墻路由器任務(wù)實(shí)施及方法技巧2、網(wǎng)絡(luò)管理軟件的選擇 專業(yè)的網(wǎng)絡(luò)管理軟件有很多如：HP公司、SUN公司、IBM公司等大型的網(wǎng)絡(luò)管理系統(tǒng)或稱網(wǎng)絡(luò)管理平臺(tái)等。如IBM的Tivoli NetView為網(wǎng)絡(luò)管理人員提供一種功能強(qiáng)大的解決方案。它可在短時(shí)間內(nèi)對(duì)大量信息進(jìn)行分類，捕獲解決網(wǎng)絡(luò)問題的數(shù)據(jù)，確保問題迅速解決，并保證關(guān)鍵業(yè)務(wù)系統(tǒng)的可用性。還有思科針

29、對(duì)其自有網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)管理軟件Cisco Works2000，它可以對(duì)思科的網(wǎng)絡(luò)設(shè)備進(jìn)行管理與配置，特別是基于GUI的配置功能。 一般的網(wǎng)絡(luò)管理平臺(tái)具有如下特性：運(yùn)行在一個(gè)開放的系統(tǒng)環(huán)境下、提供一個(gè)GUI圖形用戶界面 、能夠管理來自不同廠商的網(wǎng)絡(luò)資源和設(shè)備、不局限于某一個(gè)特定功能域的管理、具有一種模塊化的結(jié)構(gòu)、大多基于面向?qū)ο蟮臄?shù)據(jù)模型、提供基于國際標(biāo)準(zhǔn)定義良好的接口、應(yīng)用程序可以通過這些接口訪問資源等特點(diǎn)。 從應(yīng)用角度來說網(wǎng)絡(luò)管理具有如下功能：網(wǎng)絡(luò)資源狀態(tài)監(jiān)視、閾值監(jiān)測(cè)、事件管理、配置應(yīng)用、拓?fù)涔芾?、性能監(jiān)視。網(wǎng)絡(luò)管理平臺(tái)的體系結(jié)構(gòu)一般分為：集中式體系結(jié)構(gòu)、分層式體系結(jié)構(gòu)、分布式體系結(jié)構(gòu)。任

30、務(wù)實(shí)施及方法技巧3、HP OpenView 的特點(diǎn) HP OpenView支持標(biāo)準(zhǔn)網(wǎng)絡(luò)傳輸和網(wǎng)管協(xié)議，如TCPIP，SNA，SNMP，RPC，CMIP等。采用開放的、模塊化體系結(jié)構(gòu)，擴(kuò)充性能好，異種網(wǎng)絡(luò)管理能力強(qiáng)。提供豐富的圖形操作界面，能動(dòng)態(tài)反映網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，包括網(wǎng)絡(luò)各種資源變化的自動(dòng)監(jiān)測(cè)，方便操作人員的網(wǎng)絡(luò)運(yùn)行狀況監(jiān)控。提供用戶靈活的設(shè)置功能，如閥值設(shè)定，以監(jiān)測(cè)網(wǎng)絡(luò)故障的發(fā)生。提供豐富的應(yīng)用程序接口，方便用戶開發(fā)自己的網(wǎng)絡(luò)管理程序。具有分發(fā)軟件和數(shù)據(jù)的功能，數(shù)據(jù)能分發(fā)至各種機(jī)器上。 OpenView Network Node Manager(NNM)，NNM是網(wǎng)絡(luò)和系統(tǒng)管理的基礎(chǔ)和平臺(tái)，

31、 NNM具有如下特征：自動(dòng)發(fā)現(xiàn)和監(jiān)控網(wǎng)絡(luò)節(jié)點(diǎn)；分布式和可伸縮性結(jié)構(gòu)；NNM支持分層管理，并且沒有層次的限制；可以集成數(shù)百個(gè)HP OpenView解決方案合作伙伴開發(fā)的應(yīng)用程序，以滿足用戶特定的網(wǎng)絡(luò)，系統(tǒng)，應(yīng)用及數(shù)據(jù)庫管理之需求；靈活的數(shù)據(jù)庫選項(xiàng)可以使用NNM普通文件數(shù)據(jù)庫或相關(guān)的SQL數(shù)據(jù)庫；NNM的發(fā)現(xiàn)過濾，拓?fù)溥^濾，圖象過濾功能使用戶可以根據(jù)自己的需要，選擇要發(fā)現(xiàn)監(jiān)控的對(duì)象，定制MAP，按一定的共同特征將被管對(duì)象進(jìn)行分組；易于使用的GUI圖形化用戶界面。 HP OpenView NNM是在國內(nèi)有很高市場份額的網(wǎng)絡(luò)管理軟件，它憑借強(qiáng)大的功能，良好的開放性，分級(jí)管理的概念和眾多基于此的第三方應(yīng)

32、用軟件，在中國的金融、移動(dòng)等行業(yè)得到廣泛應(yīng)用。任務(wù)實(shí)施及方法技巧4、網(wǎng)絡(luò)管理軟件SolarWinds SolarWinds網(wǎng)管工具主要基于SNMP協(xié)議進(jìn)行網(wǎng)絡(luò)管理，對(duì)于學(xué)習(xí)SNMP網(wǎng)絡(luò)管理協(xié)議是很有幫助的一款軟件，一個(gè)專業(yè)的網(wǎng)絡(luò)管理軟件工具集，可以監(jiān)控，發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備。它提供了如帶寬測(cè)量（Bandwidth Gauges）、路由CPU負(fù)荷（Router CPU Load）、帶寬監(jiān)控（Bandwidth Monitor）、CPU測(cè)量（CPU Gauge）、網(wǎng)絡(luò)性能監(jiān)控器（Network Performance Monitor）、SNMP圖象和高級(jí)CPU上傳（Advanced CPU Load ）等

33、網(wǎng)絡(luò)性能監(jiān)控功能。利用SolarWinds的網(wǎng)絡(luò)發(fā)現(xiàn)（Network Discovery）功能可以實(shí)現(xiàn)IP網(wǎng)絡(luò)瀏覽器（IP Network Browser）、Ping Sweep、子網(wǎng)列表（Subnet List）、SNMP Sweep、網(wǎng)絡(luò)定位（Network Sonar）、DNS核查（DNS Audit）和MAC地址發(fā)現(xiàn)（MAC Address Discovery）等。 同時(shí)也提供了MIB的瀏覽功能、地址管理、安全管理及相應(yīng)的網(wǎng)絡(luò)管理工具集如TFTP、SYSLOG等。 下圖是SolarWinds 2002 CATV Engineers Edition軟件的安裝界面與安裝后的工具欄（Tool

34、bar）。任務(wù)實(shí)施及方法技巧1、在網(wǎng)絡(luò)設(shè)備上啟用SNMP 這里以思科路由器為例介紹SNMP的網(wǎng)絡(luò)管理。在啟用SNMP協(xié)議對(duì)網(wǎng)絡(luò)進(jìn)行管理之前一定要清楚一個(gè)概念，那就是SNMP協(xié)議的前兩個(gè)版本是不安全的。思科的網(wǎng)絡(luò)設(shè)備早期的SNMP協(xié)議默認(rèn)是開啟的，也正是這一功能為其帶來了安全隱患，所以后來的網(wǎng)絡(luò)設(shè)備在IOS系統(tǒng)中默認(rèn)關(guān)閉了此項(xiàng)功能。所以這項(xiàng)功能要慎重使用，并建議不要使用默認(rèn)的共同體名Public和Private。 （注：為了實(shí)驗(yàn)方便，下面的路由器可以利用模擬軟件DynamipsGUI來實(shí)現(xiàn)） 在思科路由器中開啟SNMP協(xié)議并設(shè)置共同體名為cey，權(quán)限為只讀的命令如下： Router(config

35、)#snmp community cey ro /路由器內(nèi)網(wǎng)接口IP地址為任務(wù)實(shí)施及方法技巧2、在Windows2003服務(wù)器上啟用SNMP 在Windows2003服務(wù)器操作系統(tǒng)中，選擇控制面板-添加或刪除程序-添加或刪除Windows組件，在Windows組件向?qū)е羞x擇管理和監(jiān)視工具，并雙擊打開，選擇簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），確定后，在光驅(qū)內(nèi)放入Windows2003安裝光盤，即可以完成SNMP協(xié)議的添加任務(wù)。設(shè)置管理工具-服務(wù)-SNMP Service中的安全，添加共同體名cey，并添加管理工作站的IP地址，如下圖所示。（注：為了實(shí)驗(yàn)方便，此處的Windows2003服務(wù)器操作系統(tǒng)安裝于虛擬機(jī)中）任務(wù)實(shí)施及方法技巧3