网络管理协议培训教程课件.ppt

第第3章章 网络管理协议网络管理协议 本本章章重重点点介绍SNMP协议，并简单介绍CMIS/CMIP协议、基于Web网络管理模式和电信管理网TMN网络管理软件正朝着集成化、分布化、智能化、基于Web管理等方向发展 第第3章章 网络管理协议网络管理协议3.1 简单网络管理协议简单网络管理协议*3*322公共管理信息服务和公共管理信息协议公共管理信息服务和公共管理信息协议公共管理信息服务和公共管理信息协议公共管理信息服务和公共管理信息协议（CMIS/CMIPCMIS/CMIP） 3.3基于基于Web的网络管理技术的网络管理技术WBM*3.4*3.4TMNTMN管理管理管理管理 小结小结小结小结 3.1 简单网络管理协议简单网络管理协议 3.1.1 SNMP的发展概述的发展概述 3.1.2 SNMP网络管理体系结网络管理体系结构构 3.1.3 SNMPv3及其安全机制及其安全机制 3.1.4 RMON3.1.4 RMON3.1.1 SNMP的发展概述的发展概述l1986年IAB领导IETF分短期和长期任务开发管理的Internet框架结构IETF分成三个组: 第一组第一组重点开发了管理信息库MIB。

第二组第二组负责开发了一个称为SNMP的前身即SGMP （Simple Gateway Monitoring Protocol） 第三组在第三组在TCP/IPTCP/IP上开发了上开发了CMOTCMOT（Common Common Management Information Services and Management Information Services and Protocol Over TCP/IPProtocol Over TCP/IP） 1988年发布了年发布了SNMP1990年，年，IETF正式公布了正式公布了Internet网络管理标网络管理标准准SNMPRFC 1155，1157 1991年，公布了年，公布了RFC1212和和RFC1213标准 19901990年年5 5月月，对对SNMPSNMP的的三三个个核核心心部部分分被被IABIAB提提升升为正式标准为正式标准1993年正式发表的年正式发表的SNMP第二版第二版SNMPv2SNMPv2 1996年年1月又发布了月又发布了SNMPv2的修改的修改RFC1902-1908， 1997年年4月，月，IETF成立了成立了SNMPv3工作组工作组 3.1.2 SNMP网络管理体系结构网络管理体系结构1. Internet的网络管理模型的网络管理模型 用“网络元素网络元素”表示任何一种接受管理的网络资源，即具体的通信设备或逻辑实体，又称为网元。

网元Internet的网络管理模型如图3-1所示 管管管管理理理理代代代代理理理理仅仅仅仅是是网网络络管管理理系系统统中中管管理理动动作作的的执执行行机构，是网络元素的一部分；机构，是网络元素的一部分； 外外外外部部部部代代代代理理理理则则是是在在网网络络元元素素外外附附加加的的，专专为为那那些些不不符符合合管管理理协协议议标标准准的的网网络络元元素素而而设设，完完成成管管理理协协议议转转换换和和管管理理信信息息过过滤滤操操作作当当一一个个网网络络资资源源不不能能与与网网络络管管理理进进程程（机机构构）直直接接交交换换管管理理信信息息时时，就就要要用用到到外外部部代代理理外外部部代代理理相相当当于于一一个个“ “管管理理桥桥” ”，一一边边用用管管理理协协议议与与管管理理机构通信，另一边则与被管理的设备通信机构通信，另一边则与被管理的设备通信 这这种种管管理理模模型型的的优优点点是是为为管管理理进进程程（机机构构）创创造造了了透透明明的的管管理理环环境境惟惟一一需需要要增增加加的的信信息息是是当当对对网网络络资资源源进进行行管管理理时时要要选选择择相相应应的的外外部部代代理理，但但一一个个外外部部代代理理能够管理多个网络设备能够管理多个网络设备 2. NMP框架的组成框架的组成 SNMP SNMP的网络管理模型包括四个关键元的网络管理模型包括四个关键元素：素：管理进程，又称管理站管理进程，又称管理站(Management (Management Station)Station)管理代理（管理代理（agentagent）管理信息库（管理信息库（MIBMIB）网络管理协议。

网络管理协议如图示如图示3-23-2所示SMISMI、MIBMIB和和SNMPSNMP协议协议是组成是组成SNMPSNMP框架的三个主要组成部分框架的三个主要组成部分 SNMP的网络管理模型的网络管理模型 包括四个关键元素：包括四个关键元素：（1）管理进程）管理进程,又称管理站又称管理站(ManagementStation)（2）管理代理（）管理代理（agent）（3）管理信息库（）管理信息库（MIB）（4）网络管理协议网络管理协议 如图示如图示3-2所示所示 图图3-2（1）管理站：一般是一个分立的设备，管理站：一般是一个分立的设备，也可以利用共享系统实现管理站作为网也可以利用共享系统实现管理站作为网络管理员与网络管理系统的接口络管理员与网络管理系统的接口基本构成为：基本构成为：一组具有分析数据、发现故障等功能一组具有分析数据、发现故障等功能的管理程序的管理程序;一个用于网络管理员监控网络一个用于网络管理员监控网络的接口的接口;将网络管理员的要求转变为对远程网将网络管理员的要求转变为对远程网络元素的实际监控的能力络元素的实际监控的能力;一个从所有被管网络实体的一个从所有被管网络实体的MIB中抽中抽取信息的数据库。

取信息的数据库 （2 2）管理代理（）管理代理（）管理代理（）管理代理（agentagent）：是一种特殊的软件（或固）：是一种特殊的软件（或固）：是一种特殊的软件（或固）：是一种特殊的软件（或固件），在被管理的网络设备中运行，它包含了关于一个特件），在被管理的网络设备中运行，它包含了关于一个特件），在被管理的网络设备中运行，它包含了关于一个特件），在被管理的网络设备中运行，它包含了关于一个特殊设备和殊设备和殊设备和殊设备和/ /或该设备所处环境的信息管理代理负责执行或该设备所处环境的信息管理代理负责执行或该设备所处环境的信息管理代理负责执行或该设备所处环境的信息管理代理负责执行管理进程的管理操作管理进程的管理操作管理进程的管理操作管理进程的管理操作每个管理代理都拥有自己的本地信息库每个管理代理都拥有自己的本地信息库每个管理代理都拥有自己的本地信息库每个管理代理都拥有自己的本地信息库(MIB)(MIB)管理代理直接操作理直接操作理直接操作理直接操作MIBMIB，如果管理进程需要，它可以根据要求改，如果管理进程需要，它可以根据要求改，如果管理进程需要，它可以根据要求改，如果管理进程需要，它可以根据要求改变本地信息库或提取数据传回到管理进程。

当一个代理被变本地信息库或提取数据传回到管理进程当一个代理被变本地信息库或提取数据传回到管理进程当一个代理被变本地信息库或提取数据传回到管理进程当一个代理被安装到一个设备上时，上述的设备就被列为安装到一个设备上时，上述的设备就被列为安装到一个设备上时，上述的设备就被列为安装到一个设备上时，上述的设备就被列为“ “被管理的被管理的被管理的被管理的” ”3）管理信息库）管理信息库MIB：是一个概念上的数据：是一个概念上的数据库MIB中定义了可以通过网络管理协议进行访中定义了可以通过网络管理协议进行访问的管理对象的集合，给出了管理对象的具体定问的管理对象的集合，给出了管理对象的具体定义，但义，但SNMP中的对象是表示被管资源某一方面中的对象是表示被管资源某一方面的数据变量对象被标准化为跨系统的类，对象的数据变量对象被标准化为跨系统的类，对象的集合被组织为管理信息库（的集合被组织为管理信息库（MIB）每个管理）每个管理代理管理代理管理MIB中属于本地的管理对象，各管理代中属于本地的管理对象，各管理代理控制的管理对象共同构成全网的管理信息库理控制的管理对象共同构成全网的管理信息库MIB作为设在代理者处的管理站访问点的集作为设在代理者处的管理站访问点的集合，管理站通过读取合，管理站通过读取MIB中对象的值来进行网络中对象的值来进行网络监控。

管理站可以在代理者处产生动作，也可以监控管理站可以在代理者处产生动作，也可以通过修改变量值改变代理者处的配置通过修改变量值改变代理者处的配置 （5）SNMP协议 协议主要支持Get、Set和Trap三种功能共五种操作l l三种能力： Get：管理站读取代理者处对象的值 Set：管理站设置代理者处对象的值 Trap：代理者向管理站通报重要事件 l l五种管理操作： Get-Request; Get-Next-Request; Set-Request; Get-Response; Trap3SNMP协议环境协议环境 如图3-3所示 4共同体共同体和安全控制和安全控制 l认证服务将对认证服务将对MIB的访问限定在的访问限定在授权的管理站的范围内；授权的管理站的范围内；l访问策略对不同的管理站给予不访问策略对不同的管理站给予不同的访问权限；同的访问权限；l代管服务指的是一个被管理站可代管服务指的是一个被管理站可以作为其他一些被管理站以作为其他一些被管理站(托管站托管站)的代管，这就要求在这个代管系统的代管，这就要求在这个代管系统中实现为托管站服务的认证服务和中实现为托管站服务的认证服务和访问权限。

访问权限 5SNMP的安全机制的安全机制SNMP中需要保护的首要安中需要保护的首要安全威胁是管理信息报文的篡改和全威胁是管理信息报文的篡改和身份伪装；需要防护的次要威胁身份伪装；需要防护的次要威胁包括信息泄漏和报文流篡改包括信息泄漏和报文流篡改 3.1.3SNMPv3及其安全机制及其安全机制使用使用SNMPv1、SNMPv2进行网进行网络管理时，由于安全功能有限，面络管理时，由于安全功能有限，面临着假冒、信息篡改、报文序列和临着假冒、信息篡改、报文序列和定时机制的修改、信息暴露等几种定时机制的修改、信息暴露等几种安全威胁安全威胁所以所以SNMPv1、SNMPv2的安全性总是不能满足人的安全性总是不能满足人们的期望，们的期望，1998年年1月，月，Internet工工作组正式发布了作组正式发布了SNMPv3协议标准协议标准文档：文档：RFC2271RFC22751SNMPv3协议的组成协议的组成 lSNMPv3应用模块应用模块主要有：命令生成器（Command Generator）命令应答器（Command Responder）通告产生器（Notification Originator）通告接受器（Notification Receiver）委托代理转发器（Proxy Forwarder）其他的应用。

图图3-4 2SNMPv3安全机制安全机制 SNMP中需要保护的首要安全威胁是管理信息报文的篡改和身份伪装；需要防护的次要威胁包括信息泄漏和报文流篡改lSNMPv3需要实现以下安全目标需要实现以下安全目标：验证接受到的SNMP报文的完整性，确认在传输过程中没有被篡改验证源发送者的身份，确认其不是伪装的根据报文中的生成时间，确认报文从发送到接收之间的延迟在限定的窗口内（报文流没有被篡改）lSNMPv3的安全机制的安全机制由三个模块组织：由三个模块组织：鉴别模块：实现数据完整性鉴别和鉴别模块：实现数据完整性鉴别和数据源身份鉴别数据源身份鉴别；时标模块：用于检验报文的传输时时标模块：用于检验报文的传输时延，确认报文时延在规定的时间窗延，确认报文时延在规定的时间窗口内口内 ；加密模块：实现对报文内容的加密加密模块：实现对报文内容的加密 3.1.4RMON （Remote Network Monitoring）RMON扩充了SNMP的管理信息库。