目前網絡中用得最廣泛的網絡管理協議是SNMP(Simple Network Management Protocol,簡單網絡管理協議)。SNMP是被廣泛接受並投入使用的工業標准,用於保證管理信息在網絡中任意兩點間傳送,便於網絡管理員在網絡上的任何節點檢索信息、修改信息、定位故障、完成故障診斷、進行容量規划和生成報告。
SNMP采用輪詢機制,只提供最基本的功能集,特別適合在小型、快速和低價格的環境中使用。SNMP的實現基於無連接的傳輸層協議UDP,因此可以實現和眾多產品的無障礙連接
SNMP的工作機制
SNMP分為NMS和Agent兩部分:
NMS(Network Management Station,網絡管理站)是運行客戶端程序的工作站,目前常用的網管平台有QuidView、Sun NetManager和IBM NetView。
Agent是運行在網絡設備上的服務器端軟件。
NMS可以向Agent發出GetRequest、GetNextRequest和SetRequest報文,Agent接收到NMS的這些請求報文后,根據報文類型進行Read或Write操作,生成Response報文,並將報文返回給NMS。
Agent在設備發生異常情況或狀態改變時(如設備重新啟動),也會主動向NMS發送Trap報文,向NMS匯報所發生的事件。
SNMP的版本
目前,設備中的SNMP Agent支持SNMP v3版本,兼容SNMP v1版本、SNMP v2C版本。
SNMP v3采用用戶名和密碼認證方式。
SNMP v1、SNMP v2C采用團體名(Community Name)認證,非設備認可團體名的SNMP報文將被丟棄。SNMP團體名用來定義SNMP NMS和SNMP Agent的關系。團體名起到了類似於密碼的作用,可以限制SNMP NMS訪問設備上的SNMP Agent。用戶可以選擇指定以下一個或者多個與團體名相關的特性:
1.定義團體名可以訪問的MIB視圖。
2.設置團體名對MIB對象的訪問權限為讀寫權限(write)或者只讀權限(read)。具有只讀權限的團體名只能對設備信息進行查詢,而具有讀寫權限的團體名還可以對設備進行配置。
3.設置團體名指定的基本訪問控制列表。
設備支持的MIB
在SNMP報文中用管理變量來描述設備中的管理對象。為了唯一標識設備中的管理對象,SNMP用層次結構命名方案來識別管理對象。整個層次結構就像一棵樹,樹的節點表示管理對象,如下圖1-1所示。每一個節點,都可以用從根開始的一條路徑唯一地標識。
MIB(Management Information Base,管理信息庫)的作用就是用來描述樹的層次結構,它是所監控網絡設備的標准變量定義的集合。在圖1-1中,管理對象B可以用一串數字{1.2.1.1}唯一確定,這串數字是管理對象的對象標識符(Object Identifier)。
系統支持的常見MIB如下表1-1所示。
配置Trap:Trap是被管理設備不經請求,主動向NMS發送的信息,用於報告一些緊急的重要事件(如被管理設備重新啟動等)。
配置准備:完成SNMP基本配置。
SNMP顯示和維護:在完成上述配置后,在任意視圖下執行display命令,均可以顯示配置后SNMP的運行情況,通過查看顯示信息,來驗證配置的效果。
MIB(Management Information Base,管理信息庫)的作用就是用來描述樹的層次結構,它是所監控網絡設備的標准變量定義的集合。在圖1-1中,管理對象B可以用一串數字{1.2.1.1}唯一確定,這串數字是管理對象的對象標識符(Object Identifier)。
設置團體名對MIB對象的訪問權限為讀寫權限(write)或者只讀權限(read)。具有只讀權限的團體名只能對設備信息進行查詢,而具有讀寫權限的團體名還可以對設備進行配置。
目前網絡中用得最廣泛的網絡管理協議是SNMP(Simple Network Management Protocol,簡單網絡管理協議)。SNMP是被廣泛接受並投入使用的工業標准,用於保證管理信息在網絡中任意兩點間傳送,便於網絡管理員在網絡上的任何節點檢索信息、修改信息、定位故障、完成故障診斷、進行容量規划和生成報告。
SNMP的前身是簡單網關監控協議(SGMP),用來對通信線路進行管理。隨后,人們對SGMP進行了很大的修改,特別是加入了符合Internet定義的SMI和MIB:體系結構,改進后的協議就是著名的SNMP。SNMP的目標是管理互聯網Internet上眾多廠家生產的軟硬件平台,因此SNMP受Internet標准網絡管理框架的影響也很大。現在SNMP已經出到第三個版本的協議,其功能較以前已經大大地加強和改進了。
SNMP由一組網絡管理的標准組成,包含一個應用層協議(application layer protocol)、數據庫模型(database schema),和一組資料物件。該協議能夠支持網絡管理系統,用以監測連接到網絡上的設備是否有任何引起管理上關注的情況。該協議是互聯網工程工作小組(IETF,Internet Engineering Task Force)定義的internet協議簇的一部分。
SNMP風險
接入Internet的網絡面臨許多風險,Web服務器可能面臨***,郵件服務器的安全也令人擔憂。但除此之外,網絡上可能還存在一些隱性的漏洞。大多數網絡總有一些設備運行着SNMP服務,許多時候這些SNMP服務是不必要的,但卻沒有引起網絡管理員的重視。
根據SANS協會的報告,對於接入Internet的主機,SNMP是威脅安全的十大首要因素之一;同時,SNMP還是Internet主機上最常見的服務之一。特別地,SNMP服務通常在位於網絡邊緣的設備(防火牆保護圈之外的設備)上運行,進一步加劇了SNMP帶來的風險。
SNMP采用輪詢機制,只提供最基本的功能集,特別適合在小型、快速和低價格的環境中使用。SNMP的實現基於無連接的傳輸層協議UDP,因此可以實現和眾多產品的無障礙連接。
SNMP的工作機制
SNMP分為NMS和Agent兩部分:
NMS(Network Management Station,網絡管理站)是運行客戶端程序的工作站,目前常用的網管平台有QuidView、Sun NetManager和IBM NetView。
Agent是運行在網絡設備上的服務器端軟件。
NMS可以向Agent發出GetRequest、GetNextRequest和SetRequest報文,Agent接收到NMS的這些請求報文后,根據報文類型進行Read或Write操作,生成Response報文,並將報文返回給NMS。
Agent在設備發生異常情況或狀態改變時(如設備重新啟動),也會主動向NMS發送Trap報文,向NMS匯報所發生的事件。