s02-流量分析技术-snmp.ppt

SNMP技术原理技术原理第二章2-1IP网络流量分析目录目录•SNMP技术原理及设置方法•实验–使用SNMP对网络流量进行分析2IP网络流量分析什么是什么是SNMP•由IETF的研究小组提出的•为了解决Internet上的路由器管理问题•被设计成与协议无关–可以使用在IP，IPX，AppleTalk，OSI以及其他用到的传输协议上•提供了一种从网络上的设备中收集网络管理信息的方法•为设备向网络管理工作站报告问题和错误提供了一种方法 3IP网络流量分析SNMP收集数据的方法收集数据的方法•从被管理设备中收集数据有两种方法–polling-only•只轮询方法–interrupt-based•基于中断方法–trap-directed polling•面向自陷的轮询方法•以上两种方法的结合4IP网络流量分析SNMP的管理架构的管理架构•SNMP代理–是一种管理协议–用于在SNMP实体间传输管理信息的–是被管理设备中的一个软件模块–用来维护被管理设备的管理信息数据–并可在需要时把管理数据汇报给一个SNMP管理系统–SNMP代理和相关的MIB库存在于网络设备中•如Cisco路由器，交换机，接入服务器等等5IP网络流量分析MIB库，管理信息库库，管理信息库•MIB库–Management Information Base–是一个保存网络管理信息的虚拟数据存储空间–由多组被管理对象组成•在设备MIB库中–有由多个MIB模块定义的多组各自相关联的对象–每个MIB模块都是利用标准的SNMP MIB模块语言撰写的–具体遵循的标准定义•在IETF STD58，RFC2579和RFC2580文档中–每一个单独的MIB模块有时也会被称为一个MIB•如设备接口组MIB（IF-MIB）就是设备MIB库中的一个MIB模块6IP网络流量分析SNMP的管理者的管理者•SNMP管理者–是一个利用SNMP协议对网络节点进行控制和监视的系统–其中网络环境中最常见的SNMP管理者被称为网络管理系统•NMS，Network Management System–网络管理系统既可以指一台专门用来进行网络管理的服务器，也可以指某个网络设备中执行管理功能的一个应用程序–现在市场上有众多软硬件厂商提供有支持SNMP协议的网络管理系统，如Cisco公司的CiscoWorks系列网络管理软件产品 •SNMP代理中保存有MIB对象变量•变量的数值可以被SNMP管理者通过Get或Set操作进行读取和修改•一个SNMP管理者可以从SNMP代理中读取一个变量的数值或把一个数值存储到SNMP代理的一个变量中•SNMP代理从代表设备参数和网络运行数据的MIB库中采集数据，且可以对SNMP管理者的Get和Set操作进行应答 7IP网络流量分析SNMP通知通知•是SNMP协议的一个重要特性•SNMP代理具有产生通知的能力•通知不需要SNMP管理者请求就会主动发送•发送采用异步方式•形式可分为两种：–Trap–Inform Request，简称Inform•用于指示网络中出现的不正确用户授权，重启，连接关闭，设备通信中断或其它异常事件 8IP网络流量分析Trap传送方式传送方式•是发送给SNMP管理者的通知网络状况的警告消息•Trap通知方式为不可靠传输•一条Trap通知只会被发送一次•接收者在收到一条Trap通知后无需回复任何确认信息•发送者无法知道Trap通知是否已经被正确接收9IP网络流量分析Inform传送方式传送方式•是需要SNMP管理者确认接收的Trap•Inform通知可能会被重复发送多次•SNMP管理者收到一条Inform通知后它需要向发送者回复一条确认信息，使用的是SNMP应答数据包（PDU）•如果SNMP管理者没有接收到Inform通知，它将不会发送任何应答，所以当发送者无法接受到期望的应答时，它将再次发送一条Inform通知给SNMP管理者•管理设备不能在发送后立即把一条Inform通知丢弃，它需要把通知信息保存在系统内存中直到收到相应的确认应答或设备规定的计时器超时•Inform方式将会耗用更多的网络和设备资源10IP网络流量分析通知形式的选择通知形式的选择•在多数情况下，Trap通知方式被较多采用，因为Inform方式将会耗用更多的网络和设备资源•与Trap通知方式不同的是，被管理员在选择Trap或Inform通知形式时需要根据可靠性要求和系统资源状况统筹考虑–如果SNMP管理者需要确保收到每条通知，应该采用Inform通知方式–如果更关心减少网络流量和网络设备的资源消耗且并不需要每条通知都需要接收，则应该采用Trap通知方式 11IP网络流量分析MIB和和RFC•MIB模块通常在提交给IETF的RFC文档中定义•由RFC文档推荐为互联网标准（Internet Standard）•在确定每个RFC文档地位前，文档会以互联网草案（Internet Draft，I-D）形式先行发表•如果RFC文档最终被批准为推荐标准，则此文档将被标注为标准（STD）文档•IETF组织的官方网站http://www.ietf.org –了解其标准制定流程和当前的工作进度–查寻所有RFC文档，I-D文档和STD文档的全文 12IP网络流量分析思科是最早定义思科是最早定义SNMP的的•支持标准MIB模块•在路由器中提供了私有MIB 扩展•私有MIB模块符合相关RFC文档定义的规范•在思科网站上，可查找–所有Cisco设备支持的私有MIB模块的定义–每种Cisco设备平台支持的MIB清单– 13IP网络流量分析SNMP协议的版本协议的版本•Cisco IOS支持SNMP协议的下列版本–SNMPv1 • 简单网络管理协议–SNMPv2c •基于团体字符串认证管理框架的简单网络管理协议版本2–SNMPv3•简单网络管理协议版本3•提供了设备安全访问机制14IP网络流量分析SNMPv3•提供的安全特性包括–报文完整性 •确保数据包在传输过程中没有被篡改–认证 ： 确定报文是由正确信息源发送来的–加密 ： 对报文内容进行加密•重点强调增强协议的安全认证/加密，授权/访问控制以及远程配置管理等功能•提供了一个安全模型，为用户/用户组定义不同的安全认证策略；15IP网络流量分析SNMP的安全模型和级别的安全模型和级别模型模型级别级别认证认证加密加密注释注释版本1noAuthNoPriv团体字符串无利用团体字符串匹配进行认证版本2cnoAuthNoPriv团体字符串无利用团体字符串匹配进行认证版本3noAuthNoPriv用户名无利用用户名匹配进行认证版本3authNoPrivMD5或SHA无提供基于HMAC-MD5或HMAC-SHA算法的认证版本3authPrivMD5或SHADES提供基于HMAC-MD5或HMAC-SHA算法的认证除基于CBC-DES(DES-56)标准进行认证还提供DES-56bit的报文加密16IP网络流量分析如何管理网络如何管理网络•网络管理的两种方法–积极主动（pro-active）–被动反应（re-active）17IP网络流量分析如何管理网络如何管理网络•当管理网络时，你需要明确的第一件事情就是要知道什么时候网络出问题•请你使用网络管理工作站来跟踪这些统计数据一段时间–这将成为你的基准线（baseline）•一个基准线就是一系列数字–这些数字反映出了一个“健康”的网络•你需要一个基准线来决定你的网络是否出了问题•通过监视被管理设备中的网络阈值设置，并且寻找故障的征兆，你就可以拥有一个提前报警的系统了18IP网络流量分析Cisco的的SNMP配置配置•config terminal 进入全局配置状态•Cdp run 启用CDP•snmp-server community cisco ro 配置本路由器的只读字串为cisco•snmp-server community ciscocisco rw 配置本路由器的读写字串为ciscocisco•snmp-server enable traps 允许路由器将所有类型SNMP Trap发送出去•snmp-server host IP-address-server traps trapcomm 指定路由器SNMP Trap的接收者为10.238.18.17，发送Trap时采用trapcomm作为字串•snmp-server trap-source loopback0 将loopback接口的IP地址作为SNMP Trap的发送源地址•show running•copy running start或write terminal 显示并检查配置保存配置19IP网络流量分析Cisco的的SNMP配置配置•配置Cisco设备的SNMP代理•配置Cisco设备上的SNMP代理的步骤如下：•启用SNMP:•configure terminal•snmp-server community rw/ro (example: snmp-server community public ro)•end•copy running-configstartup-config启用trap:•configure terminal•snmp-server enable traps snmp authentication•end•copy running-configstartup-config•配置snmp#conf t#snmp-server community cisco ro（只读） ；配置只读通信字符串#snmp-server community secret rw（读写） ；配置读写通信字符串#snmp-server enable traps ；配置网关SNMP TRAP#snmp-server host 10.254.190.1 rw ；配置网关工作站地址20IP网络流量分析snmp-server community cisco RO 99snmp-server community ciscocisco RW 99snmp-server trap-source Vlan131snmp-server enable traps snmp authentication warmstart linkdown linkup coldstartsnmp-server enable traps hsrpsnmp-server enable traps configsnmp-server host 10.1.3.3 ciscociscomonitor session 1 source interface Gi3/2 rxmonitor session 1 source interface Gi3/1monitor session 1 destination interface Fa6/42Snmp config:Span config:rmon event 1 log trap cisco description "CPU HIGH" owner configrmon event 2 log trap cisco description "CPU LOW" owner configrmon alarm 1 lsystem.57.0 60 absolute rising-threshold　80 1 falling-threshold 30 2 owner configRmon:Snmp ,Span,armom config:21IP网络流量分析。