《網(wǎng)絡(luò)安全管理協(xié)議》

網(wǎng)絡(luò)安全管理協(xié)議主講教師：曹秀蓮

計(jì)算機(jī)信息系網(wǎng)絡(luò)教研室精選ppt主要內(nèi)容網(wǎng)絡(luò)管理的定義和基本內(nèi)容網(wǎng)絡(luò)管理模式ISO網(wǎng)絡(luò)管理體系結(jié)構(gòu)通用管理信息協(xié)議CMIPSNMP網(wǎng)絡(luò)管理協(xié)議SNMP的安全性精選ppt網(wǎng)絡(luò)管理是什么？

網(wǎng)絡(luò)管理的定義：對網(wǎng)絡(luò)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測和控制，使其能夠有效、可靠、安全、經(jīng)濟(jì)地提供服務(wù)。具體來說，網(wǎng)絡(luò)管理就是對網(wǎng)絡(luò)進(jìn)行監(jiān)測和控制。精選ppt網(wǎng)絡(luò)管理的目標(biāo)：維護(hù)網(wǎng)絡(luò)的有效性（可用性）維護(hù)網(wǎng)絡(luò)的可靠性維護(hù)網(wǎng)絡(luò)的開放性維護(hù)網(wǎng)絡(luò)的綜合性維護(hù)網(wǎng)絡(luò)的安全性維護(hù)網(wǎng)絡(luò)的經(jīng)濟(jì)性精選ppt為什么要進(jìn)行網(wǎng)絡(luò)管理？

網(wǎng)絡(luò)管理的重要性：用戶對網(wǎng)絡(luò)的依賴程度越來越高用戶對網(wǎng)絡(luò)應(yīng)用的需求不斷提高用戶對網(wǎng)絡(luò)性能、運(yùn)行狀況及安全性越來越重視精選ppt為什么要進(jìn)行網(wǎng)絡(luò)管理？

網(wǎng)絡(luò)管理的必要性網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大網(wǎng)絡(luò)越來越復(fù)雜（設(shè)備、結(jié)構(gòu)等）簡單的管理工具和方法已不適應(yīng)管理大型和異構(gòu)網(wǎng)絡(luò)精選ppt網(wǎng)絡(luò)管理的基本內(nèi)容

網(wǎng)絡(luò)管理的基本內(nèi)容如下：

(1)網(wǎng)絡(luò)設(shè)施本身的管理。包括單元設(shè)備、物理線路、拓?fù)浣Y(jié)構(gòu)、路由策略、安全機(jī)制、地址分配、域名注冊等。

(2)網(wǎng)絡(luò)運(yùn)行的管理。包括故障監(jiān)控、性能監(jiān)控、安全監(jiān)控、計(jì)費(fèi)、路由、配置變化等。

(3)統(tǒng)計(jì)分析和規(guī)劃。包括歷史信息的記錄和分析，網(wǎng)絡(luò)建設(shè)、升級的規(guī)劃。精選ppt怎樣進(jìn)行網(wǎng)絡(luò)管理？

－網(wǎng)絡(luò)管理技術(shù)的發(fā)展及現(xiàn)狀典型的網(wǎng)絡(luò)管理技術(shù)：國際標(biāo)準(zhǔn)化組織ISO提出的OSI/CMIP管理技術(shù)國際電信聯(lián)盟ITU-T提出的TMN管理模型IETF提出的Internet/SNMP管理技術(shù)精選ppt國際標(biāo)準(zhǔn)化組織（ISO:TheInternationalOrganizationforStandardization）成立于1947年，它是一個由147個成員國參加的國際組織。ISO的使命是在全世界范圍內(nèi)為促進(jìn)人們在文化、科學(xué)、技術(shù)和經(jīng)濟(jì)領(lǐng)域內(nèi)的交流而制定各種標(biāo)準(zhǔn)。ISO在其推出的開放系統(tǒng)互聯(lián)(OSI:OpenSystemsInter-connection）計(jì)劃中，將網(wǎng)絡(luò)管理體系結(jié)構(gòu)的研究納入整體計(jì)劃的一部分。ISO與OSI/CMIP的網(wǎng)絡(luò)管理技術(shù)精選ppt1980年，ISO組織內(nèi)部成立了一個特殊工作組（ISO/TC97/SC21/WG4,WG:WorkingGroup）研究OSI管理。WG4提出的第一個研究成果是“OSI管理框架（OSIManagementFramework）”，其后又提出了“系統(tǒng)管理綜述（SystemManagementOverview)”，以上幾個標(biāo)準(zhǔn)構(gòu)成了OSI管理的基石。精選ppt第一，提出了故障管理、配置管理、計(jì)費(fèi)管理、性能管理和安全管理的五個管理功能域的概念，并明確了各管理功能域的管理功能；第二，提出了三種交換管理信息的方式，分別是系統(tǒng)管理（systemsmanagement）、應(yīng)用管理（applicationmanagement）和層管理（layermanagement）；第三，提出了被管對象(managedobject)、管理信息（managementinformation)和管理信息庫（MIB：ManagementInformationBase）。

“OSI管理框架”主要有如下幾個貢獻(xiàn)：精選ppt“OSI系統(tǒng)管理綜述”主要是在OSI管理框架的基礎(chǔ)之上，針對系統(tǒng)管理的概念進(jìn)行進(jìn)一步深入的研究。OSI系統(tǒng)管理綜述的主要貢獻(xiàn)可以從四個方面進(jìn)行描述，它們分別是：系統(tǒng)管理信息模型、組織結(jié)構(gòu)、功能通信。OSI系統(tǒng)管理綜述精選ppt

OSI/CMlP管理體系結(jié)構(gòu)是以更通用、更全面的觀點(diǎn)來組織一個網(wǎng)絡(luò)的管理系統(tǒng)，它的開放性著眼于網(wǎng)絡(luò)未來發(fā)展的設(shè)計(jì)思想，使得它有很強(qiáng)的適應(yīng)性，能夠處理任何復(fù)雜系統(tǒng)的綜合管理。然而正是OSI系統(tǒng)管理這種大而全的思想，導(dǎo)致其有如下缺點(diǎn)：OSI參考模型規(guī)定N層的實(shí)體只能引用N－1層實(shí)體提供的服務(wù)，而不需知道N－1以下各層的情況，但由于OSI系統(tǒng)管理需要管理OSI七層的實(shí)體，使得位于應(yīng)用層的管理實(shí)體有時(shí)必須知道OSI各層實(shí)體的內(nèi)部結(jié)構(gòu)，從而使OSI系統(tǒng)管理反而違反了OSI參考模型的基本思想；評價(jià)：精選pptOSI系統(tǒng)管理使用OSI各層的服務(wù)傳送管理信息，使得OSI系統(tǒng)管理不能管理通信系統(tǒng)自己內(nèi)部的故障；OSI系統(tǒng)管理標(biāo)準(zhǔn)僅僅定義了一個個獨(dú)立管理操作，如M-GET和M-SET，但并沒有定義這些操作的序列，以完成管理者要解決的特定問題，因而缺乏管理者特定的功能描述；OSI系統(tǒng)管理太復(fù)雜，相關(guān)標(biāo)準(zhǔn)的數(shù)量和內(nèi)容太多；OSI管理體系結(jié)構(gòu)太復(fù)雜，代價(jià)太大；CMIP的功能極其靈活強(qiáng)大，使得OSI系統(tǒng)管理方法太復(fù)雜，從而OSI系統(tǒng)管理與實(shí)際的應(yīng)用有距離，OSI在實(shí)際應(yīng)用中不成功等。精選pptITU-T（InternationalTelecommunicationUnion-TelecommunicationStandardizationSector）成立于1993年3月1日，其前身是1865年成立的國際電報(bào)電話咨詢委員會（CCITT：InternationalTelegraphandTelephoneConsultativeCommittee），它是國際電聯(lián)ITU三大研究機(jī)構(gòu)之一，其主要使命是研究制定涵蓋電信各領(lǐng)域的標(biāo)準(zhǔn)建議，相關(guān)的標(biāo)準(zhǔn)化工作是由ITU-T不同的研究組完成。2.ITU-T與TMN網(wǎng)絡(luò)管理技術(shù)精選ppt從網(wǎng)絡(luò)管理系統(tǒng)可持續(xù)建設(shè)的角度，TMN提出了方法論一體系結(jié)構(gòu)一重用技術(shù)一管理業(yè)務(wù)一管理應(yīng)用等多個層次的解決方法，可以供人們根據(jù)實(shí)際情況，選擇一個或幾個方法來支撐網(wǎng)絡(luò)管理系統(tǒng)的可持續(xù)建設(shè)，同時(shí)方法本身是可以平滑過渡的。從網(wǎng)絡(luò)管理系統(tǒng)互操作性的角度，TMN提供了一系列支持網(wǎng)絡(luò)管理系統(tǒng)互操作的標(biāo)準(zhǔn)接口，這一系列接口可以支持網(wǎng)絡(luò)管理系統(tǒng)的多種類型的操作。從網(wǎng)絡(luò)管理技術(shù)綜合的角度，TMN提出了一個開放的、支持綜合各種技術(shù)的體系結(jié)構(gòu)。精選ppt從提高網(wǎng)絡(luò)管理系統(tǒng)質(zhì)量的角度，TMN采用面向?qū)ο蟮姆椒ê图夹g(shù)，使用了一系列用于提高網(wǎng)絡(luò)管理系統(tǒng)質(zhì)量的管理對象，可以支持各種動態(tài)的管理操作。從標(biāo)準(zhǔn)和體制的角度，TMN可以是一系列的標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)覆蓋了基本概念、管理功能、管理模式、管理接口、體系結(jié)構(gòu)、管理業(yè)務(wù)、使用方式、方法論、支撐工具等規(guī)劃、開發(fā)、使用、維護(hù)各個角度所需要的各種標(biāo)準(zhǔn)。精選ppt從管理業(yè)務(wù)的角度，TMN是一種研究和開發(fā)網(wǎng)絡(luò)管理系統(tǒng)的技術(shù)，該技術(shù)提供了多層次、多粒度的軟件重用方法，提供了解決非標(biāo)準(zhǔn)系統(tǒng)過渡到標(biāo)準(zhǔn)的TMN系統(tǒng)的平滑過渡方法。從網(wǎng)絡(luò)管理系統(tǒng)結(jié)構(gòu)的角度廠TMN是一種開放的網(wǎng)絡(luò)結(jié)構(gòu)，該種網(wǎng)絡(luò)結(jié)構(gòu)可以支持網(wǎng)絡(luò)管理系統(tǒng)的各種使用方式。精選ppt從ITU-T的研究與ISO組織的研究關(guān)系看，ITU-T在制定TMN建議時(shí)采納了很多OSI管理的思想和方法，包括：①采納了OSI管理的“管理者-代理”模式，該思想在ITU-T制定的X.701建議中給予了詳細(xì)描述；②采用了OSI管理的“面向?qū)ο蟆狈椒ǎ虎鄄杉{了OSI管理的管理功能域的相關(guān)成果。與OSI管理不同的是，TMN管理信息的傳送采用的是帶外傳送方式，TMN采用獨(dú)立的數(shù)據(jù)通信網(wǎng)交換管理信息精選ppt盡管TMN網(wǎng)絡(luò)管理體系結(jié)構(gòu)采納了OSI系統(tǒng)管理的一些方法和思想，但二者仍有如下區(qū)別：①OSI系統(tǒng)管理體系結(jié)構(gòu)僅定義了單個網(wǎng)絡(luò)管理體系結(jié)構(gòu)，而TMN體系結(jié)構(gòu)則定義了功能體系結(jié)構(gòu)、物理體系結(jié)構(gòu)、信息體系結(jié)構(gòu)等多個體系結(jié)構(gòu)；②TMN提出了邏輯分層管理的思想，OSI系統(tǒng)管理則沒有；③TMN采用了獨(dú)立的數(shù)據(jù)通信網(wǎng)DCN傳遞管理信息，DCN與被管網(wǎng)絡(luò)獨(dú)立，避免了OSI系統(tǒng)管理中故障管理不能管理通信系統(tǒng)內(nèi)部故障的缺點(diǎn)。精選ppt20世紀(jì)80年代隨著互聯(lián)網(wǎng)的高速發(fā)展，對互聯(lián)網(wǎng)絡(luò)進(jìn)行有效管理的需求越來越高。為了有效地實(shí)施對互聯(lián)網(wǎng)的管理，互聯(lián)網(wǎng)活動委員會（IAB：InternetActivitiesBoard）負(fù)責(zé)選擇標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議的工作。IAB由兩個小組組成，一個是互聯(lián)網(wǎng)工程任務(wù)組（IETF：InternetEngineeringTaskForce）；另一個是互聯(lián)網(wǎng)科研任務(wù)組（IRTF:InternetResearchTaskForce）。IETF負(fù)責(zé)Internet管理、建造和操作中的問題并協(xié)調(diào)問題的解決，IRTF負(fù)責(zé)研究和TCP/IP網(wǎng)絡(luò)及與Internet相關(guān)的問題。3.IETF與Internet/SNMP網(wǎng)絡(luò)管理技術(shù)精選ppt最初IAB希望使用OSI系統(tǒng)管理方法管理互聯(lián)網(wǎng)，但由于OSI網(wǎng)絡(luò)管理研究組忙于討論OSI系統(tǒng)管理體系結(jié)構(gòu)，為了滿足管理的需要，IAB推薦了簡單網(wǎng)絡(luò)管理協(xié)議（SNMP：SimpleNetworkManagementProtocol)作為權(quán)宜之計(jì)，并責(zé)成IETF負(fù)責(zé)SNMP相關(guān)方面的實(shí)現(xiàn)工作。與此同時(shí)，IAB考慮采納OSI的CMIS/CMIP方案并準(zhǔn)備在傳輸控制協(xié)議TCP上實(shí)現(xiàn)對互聯(lián)網(wǎng)的管理，這種實(shí)現(xiàn)方式被稱為CMOT（CMIS/CMIPOverTCP/IP）。采用CMOT是IAB的長遠(yuǎn)打算，但在實(shí)際工作中，CMOT規(guī)范無法按期完成，這導(dǎo)致了對CMOT的支持日益減少，這種情況持續(xù)到1992年CMOT方面的研究工作完全停止。而SNMP盡管存在很多不足，但作為一個在恰當(dāng)時(shí)間出現(xiàn)的、恰當(dāng)?shù)慕鉀Q方案、SNMP取得了很大的商業(yè)成功，絕大多數(shù)廠商支持SNMP，SNMP由此成為了一個事實(shí)上的數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。精選ppt一般來說，理解SNMP網(wǎng)絡(luò)管理體系結(jié)構(gòu)可以從以下幾個方面進(jìn)行：①組織模型—管理者一代理者模型；②SNMP管理協(xié)議；③管理信息結(jié)構(gòu)(SMI)；④管理信息庫（MIB)。SNMP網(wǎng)絡(luò)管理體系結(jié)構(gòu)精選ppt網(wǎng)絡(luò)管理模式

8.2.1

集中式網(wǎng)絡(luò)管理

集中式網(wǎng)絡(luò)管理系統(tǒng)可以統(tǒng)管全網(wǎng)，全網(wǎng)所有需要管理的數(shù)據(jù)均存儲在一個集中的數(shù)據(jù)庫中。優(yōu)點(diǎn)：網(wǎng)絡(luò)管理系統(tǒng)處于高度集中、易于全面做出決斷的最佳位置，網(wǎng)絡(luò)升級時(shí)僅需要處理集中點(diǎn)。缺點(diǎn)：中央數(shù)據(jù)庫一旦出現(xiàn)故障，將導(dǎo)致全網(wǎng)癱瘓；此外，建設(shè)網(wǎng)絡(luò)管理系統(tǒng)鏈路承載的業(yè)務(wù)量很大，有時(shí)將超出負(fù)荷能力。

精選ppt

8.2.2

分級式網(wǎng)絡(luò)管理

分級式網(wǎng)絡(luò)管理模式是由一個網(wǎng)絡(luò)管理系統(tǒng)(NMs)作為另外幾個網(wǎng)絡(luò)管理系統(tǒng)經(jīng)理人(managers)的總經(jīng)理人，由各經(jīng)理人管理各自所管轄(managedentity)的網(wǎng)絡(luò)領(lǐng)域的管理方式。

優(yōu)點(diǎn)：分散了網(wǎng)絡(luò)／資源(network／resource)的負(fù)荷，使得各個網(wǎng)絡(luò)管理可更接近被管單元，降低了總網(wǎng)絡(luò)管理系統(tǒng)需收集傳送的業(yè)務(wù)量，該系統(tǒng)比集中式網(wǎng)管系統(tǒng)可靠。缺點(diǎn)：比集中式系統(tǒng)復(fù)雜，系統(tǒng)設(shè)備價(jià)格也相應(yīng)有所提高。.精選ppt

8.2.3

分布式網(wǎng)絡(luò)管理

分布式網(wǎng)絡(luò)管理系統(tǒng)是一種與管理系統(tǒng)設(shè)備位置無關(guān)的網(wǎng)管系統(tǒng)。雖然它與位置無關(guān)，但是從收集網(wǎng)管的數(shù)據(jù)等功能來看，還是可以集中的。優(yōu)點(diǎn)：完全分散了網(wǎng)絡(luò)／資源(network／resource)的負(fù)荷，網(wǎng)絡(luò)管理系統(tǒng)的規(guī)模大小可按需要任意調(diào)整，這種網(wǎng)絡(luò)管理模式具有很高的可靠性(無單點(diǎn)障礙)。缺點(diǎn)：系統(tǒng)設(shè)備更復(fù)雜一些(需要有分布應(yīng)用的架構(gòu))。精選pptSNMP基本概念SNMP（SimpleNetworkManagementProtocol）即簡單網(wǎng)絡(luò)管理協(xié)議。目標(biāo)是保證管理信息在任意兩點(diǎn)中傳送，便于網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)上的任何節(jié)點(diǎn)檢索信息，進(jìn)行修改，尋找故障；完成故障診斷，容量規(guī)劃和報(bào)告生成。獨(dú)立于被管設(shè)備，采用輪詢機(jī)制，提供最基本的功能集。目前使用最多的是SNMPV1。精選ppt管理者代理被管對象被管系統(tǒng)SNMP執(zhí)行操作通知MIB網(wǎng)管系統(tǒng)模型精選ppt

NMS

UDPport162UDPport161

AGENT

RequestResponseTrapSNMP協(xié)議模型SNMP就是用來規(guī)定NMS和Agent之間是如何傳遞管理信息的應(yīng)用層協(xié)議。網(wǎng)管站（NMS）對網(wǎng)絡(luò)設(shè)備發(fā)送各種查詢報(bào)文，并接收來自被管設(shè)備的響應(yīng)及陷阱（trap）報(bào)文，將結(jié)果顯示出來。代理（agent）是駐留在被管設(shè)備上的一個進(jìn)程，負(fù)責(zé)接受、處理來自網(wǎng)管站的請求報(bào)文，然后從設(shè)備上其他協(xié)議模塊中取得管理變量的數(shù)值，形成響應(yīng)報(bào)文，反送給NMS。在一些緊急情況下，如接口狀態(tài)發(fā)生改變等時(shí)候，主動通知NMS（發(fā)送陷阱TRAP報(bào)文）。精選ppt

SNMP代理和管理站通過SNMP中的標(biāo)準(zhǔn)消息進(jìn)行通信，每個消息都是一個單獨(dú)的數(shù)報(bào).SNMP消息報(bào)文包含兩個部分：SNMP報(bào)頭和協(xié)議數(shù)據(jù)單元PDU。SNMP數(shù)據(jù)報(bào)結(jié)構(gòu)如圖所示。SNMP協(xié)議數(shù)據(jù)報(bào)格式

精選ppt

2．SNMP協(xié)議的3個部分（1）SMI（管理信息結(jié)構(gòu)）定義每一個被管對象的信息，并確定如何用ASN．1(抽象語法記法1)在管理信息庫中描述這些信息。(2)MIB（管理信息數(shù)據(jù)庫）是一個樹形結(jié)構(gòu)，SNMP協(xié)議消息通過遍歷MIB樹形目錄中的節(jié)點(diǎn)來訪問網(wǎng)絡(luò)中的設(shè)備。(3)SNMP協(xié)議（管理信息協(xié)議）使用戶能夠通過輪詢、設(shè)置一些關(guān)鍵字和監(jiān)視一些網(wǎng)絡(luò)事件來達(dá)到網(wǎng)絡(luò)管理的目的。精選ppt描述被管理設(shè)備的細(xì)節(jié)；定義被管理的設(shè)備必須保存的數(shù)據(jù)項(xiàng)、允許對每個數(shù)據(jù)項(xiàng)進(jìn)行的操作及其含義；8.4.2

管理信息數(shù)據(jù)庫MIB（managementinformationbase)精選pptMIB將管理信息劃分為許多類

MIB類別systeminterfaceatipicmptcpudpospfbgprmonrip-2dns包含的相關(guān)信息主機(jī)或路由器的操作系統(tǒng)各個網(wǎng)絡(luò)接口地址轉(zhuǎn)換Internet協(xié)議軟件Internet控制報(bào)文協(xié)議軟件傳輸控制協(xié)議軟件用戶數(shù)據(jù)報(bào)協(xié)議軟件開放最短路徑優(yōu)先軟件邊界網(wǎng)關(guān)協(xié)議軟件遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視路由信息協(xié)議軟件域名系統(tǒng)軟件精選ppt8.4.3

SNMP的5種消息類型

SNMP中定義了5種消息類型：Get-Request，Get-Response，Get-Next-Request，Set-Re-quest和Trap。SNMP代理使用Trap向SNMP管理站發(fā)送非請求消息，一般用于描述某一事件的發(fā)生。SNMP的編號和用途見表8—2。精選ppt8.4.3

SNMP的5種消息類型

SNMP的操作只有兩種基本的管理功能：一種是“讀”操作，用get：報(bào)文來檢測各被管對象的狀況；另一種是“寫”操作，用set報(bào)文來控制各被管對象的狀況。SNMP的5種報(bào)文操作如圖所示。精選ppt8.4.4

SNMP的版本

目前SNMP有SNMPvl、SNMPv2、SNMPv3三種版本。SNMP還包括一組由RMoN、RMON2、MTB、MTB2、OCDS及OCDS定義的擴(kuò)展協(xié)議。

1．SNMPvl協(xié)議

SNMPvl采用集中式管理模式，不支持網(wǎng)管系統(tǒng)和網(wǎng)管系統(tǒng)之間的通信，所以一個網(wǎng)絡(luò)環(huán)境中只能部署一個管理系統(tǒng)，在大型網(wǎng)絡(luò)中不太適合部署。SNMPvl協(xié)議簡單、靈活，得到了廣泛應(yīng)用。精選ppt8.4.4

SNMP的版本

2．SNMPv2協(xié)議

SNMPv2由SNMPvl演化而來。SNMPvl中的GET、GETNEXT及SET操作同樣適用于SNMPv2，只是SNMPv2添加和增強(qiáng)了有關(guān)協(xié)議操作。SNMPv2的格式如圖所示。

精選ppt8.4.4

SNMP的版本

3．SNMPv3協(xié)議

SNMPv3中增加了安全管理方式及遠(yuǎn)程控制。SNMPv3結(jié)構(gòu)引入了基于用戶的安全模型，用于保證消息安全及基于視圖的訪問控制模型，用于訪問控制(USM)。SNMPv3使用SNMPSET命令配置MIB對象，使之能動態(tài)配置SNMP代理。這種動態(tài)配置方式支持本地或遠(yuǎn)程配置實(shí)體的添加、刪除及修SNMPv3的信息格式如圖所示。精選ppt8.5SNMP的安全性8.5.1

安全性概述

簡單網(wǎng)絡(luò)管理協(xié)議分兩種角色：SNMP管理站和SNMP代理。代理是實(shí)際網(wǎng)絡(luò)設(shè)備用來實(shí)施SNMP功能的部分。

SNMP代理是一個軟件，它能夠回答SNMP管理站關(guān)于MIB中定義信息的各種查詢。每一個為管理站提供MIB信息的網(wǎng)絡(luò)設(shè)備都有一個SNMP代理，每個代理不但要控制自己本地的MIB，而且必須控制多個管理站對該MIB的使用。這種控制包含以下3個方面：

(1)認(rèn)證服務(wù)。(2)訪問策略。

(3)轉(zhuǎn)換代理。以上這3個方面都和安全有關(guān)，代理須要保護(hù)自身及其MIB，使MIB能夠拒絕非法訪問。精選ppt8.5.1

安全性概述

1．SNMPvl的安全機(jī)制

SNMPvl僅僅提供了有限的安全性，即團(tuán)體的概念。團(tuán)體是一個在代理上定義的局部概念。一條已通過認(rèn)證的信息對MIB有何訪問權(quán)限主要通過訪問控制來實(shí)現(xiàn)。代理為每一個團(tuán)體定義了一個SNMPvl團(tuán)體框架文件，該框架文件包括以下兩個部分：(1)MIB視域。MIB的一個對象子集，每個團(tuán)體可以定義不同的MIB視域，一個視域中的對象集不必屬于MIB的單個子樹。

(2)SNMP訪問模式。集合(只讀、讀寫)的一個元素，每個團(tuán)體只定義一個訪問模式。精選ppt8.5.1

安全性概述

2．SNMPv2的安全機(jī)制

SNMPv2支持分布式網(wǎng)絡(luò)管理及擴(kuò)展數(shù)據(jù)類型，可以實(shí)現(xiàn)大量數(shù)據(jù)的同時(shí)傳輸，具有豐富的故障處理能力，增加了集合處理功能，加強(qiáng)了數(shù)據(jù)定義語言。此外，SNMPv2還引入了“上下文(context)”的概念。本地上下文被標(biāo)識為一個M1B視域，遠(yuǎn)程上下文被標(biāo)識為一個轉(zhuǎn)換代理關(guān)系。

使用了上下文的訪問控制策略由以下4個元素組成。

(1)目標(biāo)。SNMP參加者，它按主體方的請求執(zhí)行管理操作。

(2)主體。SNMP參加者，它請求目標(biāo)方執(zhí)行管理操作。

(3)資源。(4)權(quán)限。精選ppt8.5.1

安全性概述

3．SNMPv3的安全機(jī)制

SNMPv3包含SNMPvl、SNMPv2所有功能在內(nèi)的體系框架，包含驗(yàn)證服務(wù)和加密服務(wù)在內(nèi)的全新的安全機(jī)制，同時(shí)還規(guī)定了一套專門的網(wǎng)絡(luò)安全和訪問控制規(guī)則。SNMPv3在SNMPv2基礎(chǔ)之上增加了安全和管理機(jī)制。RFC2271定義的SNMPv3體系結(jié)構(gòu)體現(xiàn)了模塊化的設(shè)計(jì)思想，可以簡單地實(shí)現(xiàn)功能的增加和修改，其特點(diǎn)如下：

(1)適應(yīng)性強(qiáng)。

(2)擴(kuò)充性好。(3)安全性好。

SNMPv3主要有3個模塊：信息處理和控制模塊、本地處理模塊和用戶安全模塊。精選ppt8.3ISO網(wǎng)絡(luò)管理體系結(jié)構(gòu)8.3.1

OSI

管理標(biāo)準(zhǔn)概述OSI管理標(biāo)準(zhǔn)應(yīng)用了面向?qū)ο蟮男畔⒛Ｐ蜆?gòu)造技術(shù)。在管理信息標(biāo)準(zhǔn)(ISO／IEC10165)中描述了模型的全部信息，主要由以下幾部分信息組成。

(1)管理信息模型。

(2)管理信息定義。

(3)受管對象定義指南。

(4)一般管理信息。精選ppt

8.3.2

通用管理信息協(xié)議

通用管理信息協(xié)議(CommonManagementInformlationProtoco1，CMIP)是建立在開放系統(tǒng)互連模式上的網(wǎng)絡(luò)管理協(xié)議。相關(guān)的通用管理信息服務(wù)(CMIs)定義了訪問和控制網(wǎng)絡(luò)對象設(shè)備和從對象設(shè)備接收狀態(tài)信息的方法。CMIP是一種基于ASN．1的協(xié)議，其PDU(協(xié)議數(shù)據(jù)單元)基于ROSE，每個服務(wù)元素都包含各自的PDU，它是ROSE用戶數(shù)據(jù)的一部分。精選ppt

8.3.2

通用管理信息協(xié)議

CMIP并沒有指定網(wǎng)絡(luò)管理應(yīng)用程序的功能，只定義了管理對象的信息交換機(jī)制，而沒有定義信息的使用和說明。

1．CMIP提供的兩種服務(wù)

CMIP提供的兩種服務(wù)分別是傳輸由管理系統(tǒng)發(fā)起并面向受管對象的操作和傳輸由受管對象產(chǎn)生的事件通知。精選ppt8.3.2

通用管理信息協(xié)議2．面向受管對象的操作

(1)獲得關(guān)于一個受管對象或其集合的屬性值。

(2)更改一個或多個受管對象的一個或多個屬性值。

(3)發(fā)起并產(chǎn)生一個受管對象。

(4)從環(huán)境中取消一個或多個受管對象。

(5)激發(fā)一個作為受管對象一部分的預(yù)定義行為過程。

(6)停止一個GET操作。精選ppt

3．CMIP的主要優(yōu)勢

(1)CMIP變量不僅用于轉(zhuǎn)發(fā)信息，還可以完成各種作業(yè)，而SNMP不具備這種功能。

(2)CMIP更加安全，它內(nèi)置安全機(jī)制，