簡單網(wǎng)絡管理協(xié)議-SNMP

簡單網(wǎng)絡管理協(xié)議SNMP

網(wǎng)絡管理的基本概念

管理信息結構SMI

管理信息庫MIBSNMP的協(xié)議數(shù)據(jù)單元和報文1網(wǎng)絡管理的基本概念網(wǎng)絡管理包括對硬件、軟件和人力的使用、綜合與協(xié)調(diào)，以便對網(wǎng)絡資源進行監(jiān)視、測試、配置、分析、評價和控制，這樣就能以合理的價格滿足網(wǎng)絡的一些需求，如實時運行性能，服務質(zhì)量等。網(wǎng)絡管理常簡稱為網(wǎng)管。網(wǎng)絡管理并不是指對網(wǎng)絡進行行政上的管理。網(wǎng)絡管理的一般模型管理站互聯(lián)網(wǎng)網(wǎng)絡管理員

被管設備——管理程序（運行SNMP客戶程序）——代理程序（運行SNMP服務器程序）AAAAM

被管設備

被管設備

被管設備MAA

被管設備網(wǎng)管協(xié)議網(wǎng)絡管理模型中的主要構件管理站也常稱為網(wǎng)絡運行中心

NOC(NetworkOperationsCenter)，是網(wǎng)絡管理系統(tǒng)的核心。管理程序在運行時就成為管理進程。管理站（硬件）或管理程序（軟件）都可稱為管理者(manager)。Manager

不是指人而是指機器或軟件。網(wǎng)絡管理員(administrator)指的是人。大型網(wǎng)絡往往實行多級管理，因而有多個管理者，而一個管理者一般只管理本地網(wǎng)絡的設備。被管對象(ManagedObject)。網(wǎng)絡的每一個被管設備中可能有多個被管對象。被管設備有時可稱為網(wǎng)絡元素或網(wǎng)元。在被管設備中也會有一些不能被管的對象。代理(agent)在每一個被管設備中都要運行一個程序以便和管理站中的管理程序進行通信。這些運行著的程序叫做網(wǎng)絡管理代理程序，或簡稱為代理。代理程序在管理程序的命令和控制下在被管設備上采取本地的行動。網(wǎng)絡管理協(xié)議網(wǎng)絡管理協(xié)議簡稱為網(wǎng)管協(xié)議。需要注意的是，并不是網(wǎng)管協(xié)議本身來管理網(wǎng)絡。網(wǎng)管協(xié)議是管理程序和代理程序之間進行通信的規(guī)則。網(wǎng)絡管理員利用網(wǎng)管協(xié)議通過管理站對網(wǎng)絡中的被管設備進行管理?？蛻舴掌鞣绞焦芾沓绦蚝痛沓绦虬纯蛻舴掌鞣绞焦ぷ?。管理程序運行SNMP客戶程序，向某個代理程序發(fā)出請求（或命令），代理程序運行SNMP服務器程序，返回響應（或執(zhí)行某個動作）。在網(wǎng)管系統(tǒng)中往往是一個（或少數(shù)幾個）客戶程序與很多的服務器程序進行交互。網(wǎng)絡管理的基本原理若要管理某個對象，就必然會給該對象添加一些軟件或硬件，但這種“添加”必須對原有對象的影響盡量小些。SNMP的指導思想SNMP最重要的指導思想就是要盡可能簡單。SNMP的基本功能包括監(jiān)視網(wǎng)絡性能、檢測分析網(wǎng)絡差錯和配置網(wǎng)絡設備等。在網(wǎng)絡正常工作時，SNMP可實現(xiàn)統(tǒng)計、配置、和測試等功能。當網(wǎng)絡出故障時，可實現(xiàn)各種差錯檢測和恢復功能。雖然SNMP是在TCP/IP基礎上的網(wǎng)絡管理協(xié)議，但也可擴展到其他類型的網(wǎng)絡設備上。SNMP的管理站和委托代理整個系統(tǒng)必須有一個管理站。管理進程和代理進程利用SNMP報文進行通信，而SNMP報文又使用UDP來傳送。若網(wǎng)絡元素使用的不是SNMP而是另一種網(wǎng)絡管理協(xié)議，SNMP協(xié)議就無法控制該網(wǎng)絡元素。這時可使用委托代理(proxyagent)。委托代理能提供如協(xié)議轉(zhuǎn)換和過濾操作等功能對被管對象進行管理。SNMP網(wǎng)絡管理組成SNMP的網(wǎng)絡管理由三個部分組成：SNMP本身管理信息結構SMI(StructureofManagementInformation)管理信息庫MIB(ManagementInformationBase)。SNMPSNMP定義了管理站和代理之間所交換的分組格式。所交換的分組包含各代理中的對象（變量）名及其狀態(tài)（值）。SNMP負責讀取和改變這些數(shù)值。SMISMI定義了命名對象和定義對象類型（包括范圍和長度）的通用規(guī)則，以及把對象和對象的值進行編碼的規(guī)則。這樣做是為了確保網(wǎng)絡管理數(shù)據(jù)的語法和語義的無二義性。但從SMI的名稱并不能看出它的功能。SMI并不定義一個實體應管理的對象數(shù)目，也不定義被管對象名以及對象名及其值之間的關聯(lián)。MIBMIB在被管理的實體中創(chuàng)建了命名對象，并規(guī)定了其類型。2管理信息結構SMISMI的功能：

(1)被管對象應怎樣命名；

(2)用來存儲被管對象的數(shù)據(jù)類型有哪些種；

(3)在網(wǎng)絡上傳送的管理數(shù)據(jù)應如何編碼。SMI規(guī)定所有被管對象必須在命名樹上根iso(1)itu-t(0)iso/itu-t(2)dod(6)internet(1)(ernet)mgmt(2)mib-2(1).2.1(ernet.mgmt.mib-2)org(3)system(1)interface(2)at(3)ip(4)icmp(5)tcp(6)udp(7)egp(8)………………………ipInReceives(3).(ernet.mgmt.mib-2.ip.ipinreceives)SMI使用ASN.1SMI標準指明了所有的MIB變量必須使用抽象語法記法1（ASN.1）來定義。SMI既是ASN.1的子集，又是ASN.1的超集。ASN.1的記法很嚴格，它使得數(shù)據(jù)的含義不存在任何可能的二義性。SMI把數(shù)據(jù)類型分為兩大類：簡單類型和結構化類型?；揪幋a規(guī)則BERISO在制訂ASN.1語言的同時也為它定義了一種標準的編碼方案，即基本編碼規(guī)則

BER

(BasicEncodingRule)。BER指明了每種數(shù)據(jù)類型中每個數(shù)據(jù)的值的表示。發(fā)送端用BER編碼，可將用ASN.1所表述的報文轉(zhuǎn)換成唯一的比特序列。接收端用BER進行解碼，得到該比特序列所表示的ASN.1報文。用TLV方法進行編碼把各種數(shù)據(jù)元素表示為以下三個字段組成的八位位組序列：(1)T字段，即標識符八位位組(identifieroctet)，用于標識標記。(2)L字段，即長度用八位位組(lengthoctet)，用于標識后面V字段的長度。(3)V字段，即內(nèi)容八位位組(contentoctet)，用于標識數(shù)據(jù)元素的值。TLV中的T字段定義數(shù)據(jù)的類型字節(jié)1可變可變標記T長度L值V類別格式編號位215數(shù)據(jù)元素TLV中的L字段定義V字段的長度指出V字段長度=2字節(jié)00000010100000100000000100000110單字節(jié)的L字段指出V字段長度=262字節(jié)多字節(jié)的L字段指出后續(xù)字節(jié)數(shù)=2后續(xù)字節(jié)數(shù)=2TLV中的V字段定義數(shù)據(jù)的值例如，INTEGER15，其T字段是02，INTEGER類型要用4字節(jié)編碼。最后得出TLV編碼為02040000000F。又如IPAddress，其T字段是40，V字段需要4字節(jié)表示，因此得出IPAddress的TLV編碼是4004C0010203。3管理信息庫MIB被管對象必須維持可供管理程序讀寫的若干控制和狀態(tài)信息。這些信息總稱為管理信息庫

MIB(ManagementInformationBase)。管理程序使用MIB中這些信息的值對網(wǎng)絡進行管理（如讀取或重新設置這些值）。節(jié)點mib-2所包含的信息類別舉例類

別標

號所包含的信息system(1)主機或路由器的操作系統(tǒng)interfaces(2)各種網(wǎng)絡接口addresstranslation(3)地址轉(zhuǎn)換（例如，ARP映射）ip(4)IP軟件icmp(5)ICMP軟件tcp(6)TCP軟件udp(7)UDP軟件egp(8)EGP軟件4SNMP的協(xié)議數(shù)據(jù)單元和報文SNMP的操作只有兩種基本的管理功能：“讀”操作，用get報文來檢測各被管對象的狀況；“寫”操作，用set報文來改變各被管對象的狀況。SNMP的這些功能通過探詢操作來實現(xiàn)。SNMP的探詢操作探詢操作——SNMP管理進程定時向被管理設備周期性地發(fā)送探詢信息。探詢的好處是：可使系統(tǒng)相對簡單。能限制通過網(wǎng)絡所產(chǎn)生的管理信息的通信量。但探詢管理協(xié)議不夠靈活，而且所能管理的設備數(shù)目不能太多。探詢系統(tǒng)的開銷也較大。如探詢頻繁而并未得到有用的報告，則通信線路和計算機的CPU周期就被浪費了。陷阱(trap)SNMP不是完全的探詢協(xié)議，它允許不經(jīng)過詢問就能發(fā)送某些信息。這種信息稱為陷阱，表示它能夠捕捉“事件”。這種陷阱信息的參數(shù)是受限制的。當被管對象的代理檢測到有事件發(fā)生時，就檢查其門限值。代理只向管理進程報告達到某些門限值的事件（即過濾）。過濾的好處是：僅在嚴重事件發(fā)生時才發(fā)送陷阱；陷阱信息很簡單且所需字節(jié)數(shù)很少。

SNMP是有效的網(wǎng)絡管理協(xié)議使用探詢（至少是周期性地）以維持對網(wǎng)絡資源的實時監(jiān)視，同時也采用陷阱機制報告特殊事件，使得SNMP成為一種有效的網(wǎng)絡管理協(xié)議。SNMP使用無連接的UDPSNMP使用無連接的UDP，因此在網(wǎng)絡上傳送SNMP報文的開銷較小。但UDP不保證可靠交付。在運行代理程序的服務器端用熟知端口161來接收get或set報文和發(fā)送響應報文（與熟知端口通信的客戶端使用臨時端口）。運行管理程序的客戶端則使用熟知端口162來接收來自各代理的trap報文。SNMPv1定義的

協(xié)議數(shù)據(jù)單元類型（無編號4）PDUPDU名稱用途編號

0GetRequest

用來查詢一個或一組變量的值

1GetNextRequest

允許在MIB樹上讀取下一個變量，

此操作可反復進行

2Reponse

代理向管理者或管理者向管理者發(fā)送

響應

3SetRequest

對一個或多個變量值進行設置

5GetBulkRequest

管理者從代理讀取大數(shù)據(jù)塊的值

6InformRequest管理者從另一管理者讀取代理的變量

7SNMPv2Trap

代理向管理者報告異常事件

8Report

管理者之間報告某些差錯變量綁定首部上下文引擎ID上下文名

PDU類型

請求ID

差錯狀態(tài)

差錯索引

名值名值SNMP的報文格式UDP數(shù)據(jù)報IP數(shù)據(jù)報SNMP報文IP首部UDP首部SNMP報文的數(shù)據(jù)部分

版本首部…20字節(jié)8字節(jié)SNMPPDU安全參數(shù)有關加密信息的字段namevalueGet-request報文