动驰完成5000万元A+轮融资
06-18
简单网络管理协议(SNMP:Simple Network Management Protocol)是由互联网工程任务组(IETF:Internet Engineering Task Force)定义的一组网络管理协议。
该协议基于简单网关监控协议(SGMP:简单网关监控协议)。
使用SNMP,管理工作站可以远程管理所有支持该协议的网络设备,包括监视网络状态、修改网络设备配置以及接收网络事件警告。
在IP网络管理中,主要针对网络设备(路由器、交换机、防火墙)的性能故障监控和管理。
为了理解SNMP协议,首先必须了解OID和MIB的定义,这样才能更好地理解SNMP协议。
%20%20%20%20%20%20%20%20 %20%20%20%20 OID OID是代表特定含义的变量,其format 是一个以“.”分隔的数字,例如1.3.6.1.2.1.1.1是一个OID,代表设备系统描述。
通过向设备发送变量1.3.6.1.2.1.1.0的SNMP请求,可以获得设备的描述信息。
管理信息库MIB IETF规定的管理信息库MIB定义了可访问的网络设备及其属性,这些设备及其属性由对象标识符(OID:Object%20Identifier)唯一指定。
MIB是树形结构,SNMP协议消息通过遍历MIB树目录中的节点来访问网络中的设备。
下图是MIB库的简单示例: MIB库实际上是OID的树形集合,定义了每个OID的具体含义。
OID 分为两种类型的变量:简单变量和表变量。
simple变量与上面提到的1.3.6.1.2.1.1.1类似。
该变量是一个简单变量。
发送特定SNMP请求时,末尾添加“.0”。
表变量意味着该变量将有多个实例。
例如交换机接口带宽,该变量的OID为1.3.6.1.2.1.2.2.1.5。
一台交换机通常有多个接口,每个具体请求都会添加该接口的索引,如 1.3.6.1.2.1.2.2 .1.5.1 表示 1 号接口的带宽。
下图是 1 号接口的接口列表一个开关。
MIB分为公共MIB和私有MIB。
公共MIB-2于2016年定义。
所有设备制造商都支持此MIB库中定义的OID变量。
每个制造商还可以补充自己的MIB库。
这是私有 MIB。
例如,CISCO的私有MIB从1.3.6.4.1.9开始,该节点下的所有子变量都是CISCO自己定义的。
9是CISCO申请的唯一制造商编号。
SNMP 原理 SNMP 采用客户端/服务器模型的一种特殊形式:代理/管理站模型。
通过管理工作站与SNMP代理的交互来完成网络的管理和维护。
每个SNMP从代理负责回答来自SNMP管理工作站(主代理)的各种有关MIB定义信息的查询。
SNMP发送的请求是UDP请求。
UDP请求是无连接的、轻量级的、非安全的请求,因此一般会重试3次以确保代理收到。
SNMP 消息类型 Get%20 这是一条请求消息。
SNMP%20 管理系统使用 %20Get%20 消息请求有关 %20SNMP%20 代理上的 %20MIB%20 条目的信息。
一种 Getnext 请求消息,可用于浏览代理对象的整个 MIB 树。
Getbulk%20 一种请求类型,指定代理在消息大小限制内传输尽可能多的数据。
Set%20用于将更新后的%20MIB%20值发送并分发给代理。
Notify%20(或 %20Trap) 这是代理在检测到托管主机上本地发生的特定事件类型时将发送到 %20SNMP%20 管理系统的未经请求的消息。
SNMP%20 事件(或陷阱)主动发送到管理站,管理站会过滤这些事件,从而影响网络流量。
SNMP版本 目前,SNMP经过十多年的发展,有V1、V2、V3三个版本。
三个版本之间的主要区别在于安全机制。
1。
SNMPv1安全机制 SNMPv1仅提供有限的安全性,即团体的概念。
社区是代理上定义的本地概念。
代理可以定义多个社区,每个社区都有一个唯一的社区名称。
每个SNMP团体是一个SNMP代理和多个SNMP管理器之间定义的认证、访问控制和转换代理关系。
%20 每条 SNMPv1 消息都包含一个团体字段。
在此字段中填写社区名称。
团体名用作密码。
%20SNMPv1 假设如果发送者知道密码,则认为该信息已通过身份验证并且是可靠的。
%20 一条认证信息对MIB的访问权限主要是通过访问控制来实现的。
代理为每个团体定义一个 SNMPv1 团体框架文件。
框架文件包括两部分: ·MIB 范围:%20MIB 的对象子集。
每个团体可以定义不同的MIB作用域,一个作用域中的对象集合不一定属于MIB的单个子树;%20 ·SNMP访问模式:集合中的一个元素(只读、读写) ),每个团体仅定义一种访问模式。
%20 SNMP 团体和 SNMP 团体框架文件的组合成为 SNMPv1%20 访问策略。
一条认证信息必须指定一个组,那么它就有自己对应的组框架文件,并且只能对框架文件中MIB范围内的指定对象进行指定的操作(只读或读写)。
2.%20 SNMPv2安全机制 SNMPv2具有支持分布式网络管理、扩展数据类型、可实现大量数据同时传输、丰富故障处理能力、增加采集处理功能、加强数据定义等特点语言。
此外,%20SNMPv2还引入了“上下文”的概念。
上下文是SNMPv2实体可以访问的被管理对象资源的集合,分为本地上下文和远程上下文:本地上下文被标识为MIB视口,远程上下文被标识为翻译代理关系。
%20 使用上下文的访问控制策略由以下4个元素组成:%20 ·目标:SNMP参与者,根据主体的请求执行管理操作;%20 ·主体:SNMP参与者,请求目标执行管理操作;%20 ·资源:执行管理操作的管理信息。
它可以表示为本地MIB视图或代理关系。
这个项目称为Context; ·权限:特定上下文允许的操作。
这些操作是用允许的协议数据单元定义的,并由目标代表主体执行。
%20 但是SNMPv2并没有完全达到预期的目标,尤其是安全性能没有得到提升,比如:身份认证(比如初次访问时的用户认证、信息完整性分析、防止重复操作)、没有实现加密、授权和访问控制、适当的远程安全配置和管理功能。
SNMPv2c于2017年发布,是SNMPv2的修改版本。
虽然其功能有所增强,但安全性能并没有提高。
相反,继续使用 SNMPv1 的基于明文密钥的身份验证方法。
3。
SNMPv3安全机制 IETF%20 SNMPv3工作组于今年1月提出互联网推荐标准RFC%71~,正式形成SNMPv3。
该系列文件定义了包括SNMPv1和SNMPv2所有功能的系统框架以及包括认证服务和加密服务在内的新的安全机制。
它还规定了一套专门的网络安全和访问控制规则。
可以说,SNMPv3在SNMPv2的基础上增加了安全和管理机制。
RFC%71定义的SNMPv3架构体现了模块化设计思想,可以方便地添加和修改功能。
其主要特点有:%20 ·适应性强:适用于多种运行环境。
它不仅可以管理最简单的网络,实现基本的管理功能,还可以提供强大的网络管理功能,满足复杂网络的管理。
要求; ·扩展性好:可根据需要添加模块; ·安全性好:具有多种安全处理模块。
%20 SNMPv3主要有3个模块:信息处理与控制模块、本地处理模块和用户安全模块。
1 信息处理和控制模块 信息处理和控制模块定义在RFC%72中,负责信息的生成和分析,并确定信息在传输过程中是否必须经过代理服务器。
2 本地处理模块%20 本地处理模块的主要功能是进行访问控制、处理打包数据和中断。
访问控制是指设置代理的相关信息,使不同管理站的管理进程在访问代理时具有不同的权限,并在协议数据单元层面完成。
有两种常用的控制策略:限制管理站可以向代理发出的命令或确定管理站可以访问代理MIB的特定部分。
必须提前设置访问控制策略。
SNMPv3通过使用不同参数的原语灵活地确定访问控制方法。
%20 3 用户安全模块%20 与SNMPv1和SNMPv2相比,SNMPv3增加了3个新的安全机制:身份验证、加密和访问控制。
其中,访问控制功能由本地处理模块完成,而身份认证和数据保密服务则由用户安全模块提供。
身份认证是指代理(管理站)接收信息时,首先要确认该信息是否来自授权的管理站(代理)以及信息在传输过程中是否发生变化。
该功能的实现要求管理站和代理必须共享相同的密钥。
管理站使用密钥计算验证码(它是消息的函数),然后将其添加到消息中,而代理使用相同的密钥从接收到的消息中提取验证码,从而获得消息。
加密过程与认证类似,也要求管理站和代理共享相同的密钥来加密和解密信息。
%20 SNMPv3使用私钥(private%20key)和验证密钥(authentication%20key)来实现认证和加密功能。
版权声明:本文内容由互联网用户自发贡献,本站不拥有所有权,不承担相关法律责任。如果发现本站有涉嫌抄袭的内容,欢迎发送邮件 举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。
标签:
相关文章
06-18
06-18
06-17
06-06
06-17
06-17
06-18
06-18
最新文章
使用电子管有哪些注意事项?如何检查电子管之间是否短路?
博通支付1200万美元和解SEC财务欺诈指控
八名运营商高管确认加入虚拟运营商
内蒙古农牧区雷电灾害成因分析及防雷对策
北京联通将5G应用于世园会远程医疗急救
TD-SCDMA最后一轮冲刺测试启动,产业前景更加光明
专访阿里云总裁王健:云计算服务平台梦想成真
USB2.0控制器CY7C68013的接口设计与实现