《SNMP的安全性配置》word版
SNMPv网络管理协议的安全性
SNMPv网络管理协议的安全性SNMPv3网络管理协议的安全性概述SNMP(Simple Network Management Protocol)是一种用于网络管理的协议,它允许管理员监控和管理网络设备。
SNMPv3是SNMP协议的第三个版本,相比之前的版本,SNMPv3具有更高的安全性。
本文将探讨SNMPv3协议的安全性以及相关的保护机制。
SNMPv3协议的安全特性SNMPv3协议引入了多项安全机制来加强网络管理的安全性,主要包括身份验证、访问控制和数据加密等方面的改进。
1. 身份验证SNMPv3支持多种身份验证方法,包括密码身份验证和基于公钥基础设施(PKI)的身份验证。
密码身份验证基于加密密码,确保只有经过身份验证的用户才能访问网络设备。
PKI身份验证使用数字证书来验证用户身份,提供更高的安全性。
2. 访问控制SNMPv3引入了访问控制列表(ACL)来限制对网络设备的访问。
管理员可以根据需要定义ACL规则,只允许特定的用户或主机进行访问。
这样可以有效地控制对网络设备的管理权限,减少潜在的安全威胁。
3. 数据加密SNMPv3通过使用加密算法对传输的数据进行加密,保护数据的机密性。
管理员可以选择使用DES、3DES、AES等加密算法对SNMPv3报文进行加密,防止未经授权的用户获取敏感信息。
SNMPv3安全协议SNMPv3引入了三个安全协议来实现上述的安全特性,分别是身份验证协议(Authentication Protocol)、访问控制协议(Access Control Protocol)和加密协议(Encryption Protocol)。
1. 身份验证协议SNMPv3的身份验证协议用于验证消息的发送者身份,并保护消息的完整性。
常见的身份验证协议有MD5和SHA。
其中,MD5基于消息摘要算法,提供较低的安全性,而SHA提供更高的安全性,但也导致了更大的计算开销。
2. 访问控制协议访问控制协议用于定义ACL规则,并决定哪些用户拥有访问网络设备的权限。
SNMP配置说明
SNMP配置说明一.配置说明修改配置文件的目的是为了添加代理用户1.MIB version说明:net-snmp代理支持v1, v2c, v3版本,可根据管理侧的版本信息自适应回复相同版本格式的回复。
无需配置。
Mib节点项:无2.Trap community说明:trap共同体,适用于v1/v2c版本。
管理侧侧只有在配置了相同的参数后才能接收到trap.配置方法:trapsink localhost public 162trap2sink 172.18.100.148 public 162以上两条配置项中,共同体名均为public。
其中第一条配置项适用于发送v1版本trap,第二条配置项适用于发送v2c版本trapMib节点项:无3.RO/RW community说明:只读/读写共同体,适用于v1/v2c版本。
管理侧和代理侧在配置了相同的共同体参数后,管理侧才可以对代理侧进行读取或者设置操作。
配置方法:com2sec get default publiccom2sec set default netman只读共同体设置为public, 读写共同体设置为netman。
此配置需要与group和access配置共同使用实现只读/读写功能。
Mib节点项:无4.SNMP Engine ID说明:SNMP引擎标识,适用于v3版本。
SnmpEngineID值可指定也通过某种算法计算得到,目的是为了标识唯一一个SNMP实体。
在net-snmp中是通过计算生成的,使用如下的方法:SnmpEnglineID长度为12个字节,最高bit设置为1,表示使用框架定义的方法(如果为0表示企业定义)。
前4个字节设为生产代理的企业标识(prvate.enterprise下的企业标识,同IANA分配),如ECI的企业标识为1286。
其他8个字节通过使用IP地址并在地址后面增补随机数来确定。
配置方法:修改net-snmp源代码,将NETSNMP_ENTERPRISE_OID更改为1286.Mib节点项:snmpEngineID(1.3.6.1.6.3.10.2.1.1)5.View name, oid name, include说明:VACM配置相关,适用于v1/v2c/v3版本。
SNMP安全配置建议与最佳实践
SNMP安全配置建议与最佳实践SNMP(Simple Network Management Protocol)是一种常用于网络管理的协议,它可以用于监控和管理网络上的设备。
然而,由于SNMP的安全性问题,恶意攻击者可能利用其漏洞来获取网络的敏感信息甚至控制网络设备。
因此,为了保障网络的安全,下面是一些建议与最佳实践,旨在配置SNMP的安全性。
1. 使用版本3SNMP有三个主要版本,分别是SNMPv1、SNMPv2c和SNMPv3。
然而,SNMPv1和SNMPv2c使用了较弱的社区字符串(community string)来进行身份验证,容易受到攻击。
相比之下,SNMPv3引入了更强大的安全机制,如消息完整性验证、消息机密性和用户身份验证等,因此在配置SNMP时应尽量使用SNMPv3来提高安全性。
2. 强化用户身份验证在配置SNMPv3时,需要创建用户并为其配置相应的安全参数。
为了实现强化的用户身份验证,应该遵循以下几点:- 选择强密码:确保选择足够复杂和难以猜测的密码,建议包含大小写字母、数字和特殊字符。
- 定期更换密码:定期更换用户的密码,以减少密码泄露的风险。
- 启用安全通信:使用安全协议(如SHA(Secure Hash Algorithm)或MD5(Message Digest Algorithm 5))对传输的消息进行完整性验证和加密,以防止信息窃听和篡改。
3. 限制访问权限为了确保只有授权用户可以访问SNMP设备,应该限制SNMP的访问权限。
以下是一些限制访问权限的建议:- IP地址过滤:通过配置访问控制列表(ACL)或网络访问控制(NAC)设备,只允许特定IP地址或IP地址范围的设备访问SNMP。
- SNMP组配置:将用户分组,为每个组配置特定的读写权限,只允许特定组的用户访问和管理设备。
- 授权访问:根据用户的职责和需要,分配相应的权限,控制用户能够访问和配置的设备和数据。
4. 监控和审计SNMP活动监控和审计SNMP活动可以帮助及时发现异常行为并采取相应的措施。
SNMP配置
网络管理软件使用网络管理软件思科官方: Cisco Works for Windows惠普官方:Open View NNM AE pk 7.01IBM 官方:IBM Tivoli NetView第三方软件如:Falconet网络管理软件的作用对于企业网络管理来说,网管软件必须为用户带来实实在在的好处,奇作用主要体现在一下几个方面:1.准确地反应网络故障网管软件必须能迅速反映问题,还要有一定推理故障根源的能力。
另外,还要具备将专家系统、人工智能系统、神经元技术和网络故障和性能管理相结合,使网管系统逐步具备分析决策的能力。
2.整合系统管理科技发展至今,计算机系统管理与网络管理之间的关系已经越来越密切了。
站在最终用户的角度,科学地从网络和应用层衡量、监测系统的总体性能和故障,是网络管理员迫切需要的。
这就要求网络管理软件整合系统管理功能。
3.支持Web网管基于Web的网管模式WBM (Web-Based Management)可以让网管人员随时了解企业网络状况。
其实现包括两种方式,即代理方式和嵌入方式。
第一种可以在任意网内计算机上运行Web服务器,并轮流与端点设备通信、浏览器用户与代理通信以及代理端点设备之间通信;第二种是嵌入式,它将Web功能嵌入到网络设备中,每个设备有自己的Web地址,管理员可通过浏览器访问并管理该设备。
另外,以Web Server为中心,降低了维护费用,对系统的修改只需在Web Server上进行,无须在客户端做任何修改。
4.面向业务的网管新一代的网络管理系统,已开始从面向网络设备的管理向面向网络业务的管理过度。
这种网管思想把网络服务、业务作为网管对象,通过实时监测与网络业务相关的设备、应用,通过模拟客户实时测量网络业务的服务质量,通过收集网络业务的业务资料,实现全方位、多视角监测网络业务运行情况的目的,从而实现网络业务的故障管理、性能管理和配置管理。
网络管理软件产品根据调查数据指出,80%以上的企业用户使用了网管软件。
SNMP的配置
SNMP配置1.1概述SNMP是Simple Network Manger Protocol(简单网络管理协议)的缩写,在1988年8月就成为一个网络管理标准RFC1157。
到目前,因众多厂家对该协议的支持,SNMP已成为事实上的网管标准,适合于在多厂家系统的互连环境中使用。
利用SNMP协议,网络管理员可以对网络上的节点进行信息查询、网络配置、故障定位、容量规划,网络监控和管理是SNMP的基本功能。
SNMP是一个应用层协议,为客户机/服务器模式,包括三个部分:z SNMP网络管理器z SNMP代理z MIB管理信息库SNMP网络管理器,是采用SNMP来对网络进行控制和监控的系统,也称为NMS(Network Management System)。
常用的运行在NMS上的网管平台有HPOpenView 、CiscoView、CiscoWorks 2000,锐捷网络针对自己的网络设备,开发了一套网管软件--Star View。
这些常用的网管软件可以方便的对网络设备进行监控和管理。
SNMP代理(SNMP Agent)是运行在被管理设备上的软件,负责接受、处理并且响应来自NMS的监控和控制报文,也可以主动发送一些消息报文给NMS。
NMS和Agent的关系可以用如下的图来表示:图1 网络管理站(NMS)与网管代理(Agent)的关系图MIB(Management Information Base)是一个虚拟的网络管理信息库。
被管理的网络设备中包含了大量的信息,为了能够在SNMP报文中唯一的标识某个特定的管理单元,MIB采用树形层次结构来描述网络设备中的管理单元。
树的节点表示某个特定的管理单元。
如下图MIB对象命名树,为了唯一标识网络设备中的某个管理单元System,可以采用一串的数字来表示,如{1.3.6.1.2.1.1}这一串数字即为管理单元的Object Identifier(单元标识符),MIB则是网络设备的单元标识符的集合。
snmp配置协议书
snmp配置协议书甲方(配置方):_______________________乙方(接受方):_______________________签订日期:____年____月____日鉴于甲方拥有网络管理系统和相应的SNMP(简单网络管理协议)配置能力,乙方需要对网络设备进行有效管理,双方本着平等互利的原则,就SNMP配置事宜达成如下协议:## 第一条定义1. SNMP:简单网络管理协议,是一种网络管理的标准,用于网络设备的监控和管理。
2. MIB:管理信息库,是SNMP中用于存储网络设备信息的数据结构。
## 第二条配置目的甲方将根据乙方的需求,对乙方的网络设备进行SNMP配置,以实现网络监控、故障诊断、性能分析等网络管理功能。
## 第三条配置范围1. 配置乙方网络中的路由器、交换机等网络设备,使其支持SNMP协议。
2. 设置SNMP版本,包括但不限于SNMPv1、SNMPv2c、SNMPv3。
3. 配置SNMP访问权限,包括读/写权限、访问控制列表(ACL)等。
## 第四条配置要求1. 甲方应根据乙方提供的网络设备型号、版本等信息,选择合适的SNMP配置方案。
2. 甲方应确保配置过程中不会影响到乙方网络的正常运行。
3. 乙方应提供必要的网络设备访问权限和技术支持。
## 第五条配置流程1. 乙方提供网络设备信息及管理需求。
2. 甲方制定SNMP配置方案,并与乙方确认。
3. 甲方实施配置,乙方提供必要的协助。
4. 配置完成后,双方共同进行测试,确保配置正确无误。
## 第六条保密条款1. 双方应对在本协议履行过程中知悉的对方商业秘密和技术秘密予以保密。
2. 未经对方书面同意,任何一方不得向第三方披露、泄露或使用上述保密信息。
## 第七条违约责任1. 如甲方未能按照约定完成配置任务,应承担相应的违约责任。
2. 如乙方未能提供必要的信息或协助,导致配置无法进行或失败,乙方应承担相应的责任。
## 第八条协议的变更和解除1. 本协议的任何变更或补充,需经双方协商一致,并以书面形式确认。
SNMP网络管理安全性研究与应用
SNMP网络管理安全性研究与应用一、引言随着互联网的快速发展,网络管理变得愈发重要。
SNMP(Simple Network Management Protocol,简单网络管理协议)是一种用于监控和管理网络设备的协议,被广泛应用于各类网络环境中。
然而,由于其设计之初并未考虑安全性问题,使得SNMP协议本身存在一些安全隐患。
因此,研究和应用SNMP网络管理安全性显得尤为重要。
二、SNMP简介SNMP是一种基于消息的协议,用于网络管理系统和网络设备之间的通信。
它使用客户端/服务器模式,将网络设备视为服务端,网络管理系统视为客户端。
通过SNMP,网络管理员可以获取设备状态信息、配置设备参数、监控设备性能等。
SNMP协议定义了管理信息库(MIB)和相应的数据结构。
MIB是一组管理信息的集合,描述了在特定设备上管理的对象和相关属性。
每一个MIB对象都有一个唯一的标识符(OID),用于在网络中唯一标识该对象。
三、SNMP网络管理安全性问题1.明文传输:SNMP协议在传输过程中使用明文传输,导致信息容易被窃取和篡改。
2.认证机制不足:SNMPv1和SNMPv2c版本的安全机制较为简单,只提供了基本的身份认证,容易受到中间人攻击。
3.安全配置困难:SNMP协议本身并没有提供明确的安全配置指南,使得管理员往往难以正确配置安全参数。
4.数据完整性及机密性问题:由于SNMP协议的数据未加密保护,因此容易遭遇数据篡改和泄露隐私信息的风险。
四、SNMP网络管理安全性的研究与解决方案1.加密传输:对SNMP协议进行加密处理,使用HTTPS、SSH等安全传输层协议保护数据的机密性。
2.身份认证增强:使用较为安全的SNMPv3版本,并配备强大的身份认证机制,如SHA算法和AES加密算法等。
3.访问控制:合理配置访问控制列表(ACL),只允许受信任的管理系统访问受管设备,限制未授权的访问。
4.安全配置指南:提供详尽的安全配置指南,指导管理员正确配置SNMP协议的安全参数。
SNMP配置手册
1交换机部分Cisco交换机使用以下配置命令前,均需要执行以下步骤:1.登陆交换机。
(可以使用串口线直接连接,如果交换机配置有管理IP并且允许telnet登陆,则也可以通过telnet进行登陆。
)2.输入enable命令进入特权模式。
3.输入config terminal进行配置模式。
使用完配置命令后,均需要执行以下步骤进行保存:1.输入end命令退出配置模式。
2. copy running start保存配置文件。
SNMP配置1.配置snmp 只读communitysnmp-server community public ro配置交换机的只读community为public2.配置snmp 读写communitysnmp-server community public rw配置交换机的读写community为publicTRAP配置1.配置交换机允许发送trapsnmp-server enable traps2.配置交换机接收trap的主机snmp-server host traps public指定交换机SNMP Trap的接收者为,发送Trap时采用public作为字串Syslog配置1.打开交换机的syslog功能logging on2. 直接配置相应的syslog发送到的接收主机,为该主机的ip地址。
logging3.配置发送syslog的主机格式类型。
logging facility local44.选择发送warning以上级别的log信息。
logging trap warnings华为交换机使用以下配置命令前,均需要执行以下步骤:1.登陆交换机。
(可以使用串口线直接连接,如果交换机配置有管理IP并且允许telnet登陆,则也可以通过telnet进行登陆。
)2.输入system命令进入配置模式。
使用完配置命令后,均需要执行以下步骤进行保存:1.输入return命令退出配置模式。
2. Save保存配置文件。
SNMP协议中的安全性考虑
SNMP协议中的安全性考虑在计算机网络管理中,Simple Network Management Protocol(简单网络管理协议,简称SNMP)是一种常用的管理协议,用于监控和控制网络设备。
然而,由于其通信方式的特性,SNMP协议存在一些安全性方面的考虑。
1. 认证机制SNMP协议的安全性考虑之一是认证机制。
由于SNMP使用了明文传输,使得数据容易受到篡改或者伪装攻击。
为了解决这个问题,SNMP引入了认证机制,通过使用密钥(或密码)来验证通信的两端。
认证机制的一种常见方式是使用基于口令的共同体字符串(community string)进行验证。
这个共同体字符串可以是只读(read-only)或读写(read-write)权限。
然而,这种方式并不具备强大的安全性,容易受到猜测或拦截攻击。
因此,在更高级别的认证机制中,可以使用基于用户的SNMPv3协议,通过用户名和加密的密码进行认证。
这样可以确保通信的安全性和真实性。
2. 访问控制列表为了进一步增强SNMP协议的安全性,可以使用访问控制列表(Access Control Lists,ACLs)。
ACLs允许管理员对SNMP的操作进行精确的控制,包括限制哪些主机可以访问SNMP代理,以及对不同主机的访问权限进行配置。
通过ACLs,管理员可以设置允许或拒绝特定主机的SNMP请求,以及指定允许或拒绝特定主机的特定操作。
这种精确的控制可以有效地减少未授权访问和恶意操作对SNMP网络的威胁。
3. 安全协议SNMP协议的数据传输是通过UDP协议实现的,而UDP本身是不可靠和不安全的。
为了解决这个问题,可以使用安全协议来加密SNMP传输的数据。
其中一种常见的安全协议是基于传输层安全性(Transport Layer Security,TLS)的安全传输。
TLS使用公钥/私钥加密技术来确保传输的数据在互联网上是安全的。
对于SNMP,TLS可以用于保护SNMP 通信的机密性和完整性。
SNMPv3的安全性分析
SNMPv3的安全性分析在网络管理协议的世界中,简单网络管理协议(SNMP)是不可或缺的一员。
随着技术的不断进步,我们迎来了其最新版本——SNMPv3。
然而,在这片充满创新与机遇的土地上,安全性问题却如影随形,成为了我们必须直面的挑战。
首先,让我们将SNMPv3比作一艘航行在信息海洋中的巨轮。
这艘巨轮拥有先进的导航系统,能够高效地收集和传输网络设备的信息。
然而,正如海上航行需要面对风浪和暗礁,SNMPv3在传递这些珍贵数据时也必须警惕潜在的安全威胁。
那么,SNMPv3的安全性究竟如何呢?它是否像一座坚固的堡垒,能够抵御外界的攻击?或者,它更像是一扇未上锁的门,让不法之徒有机可乘?首先,我们必须承认SNMPv3在安全性方面取得了显著的进步。
它引入了加密和认证机制,就像为数据传输加上了一把锁和一把钥匙。
这些机制确保了数据的完整性和机密性,使得未经授权的访问变得更加困难。
然而,尽管有了这些安全措施,SNMPv3仍然面临着一些挑战。
其中之一就是密钥管理问题。
在SNMPv3中,密钥的管理和分发至关重要。
如果密钥被泄露或不当管理,那么整个安全体系就会受到威胁。
这就好比一个金库的密码被多人知晓,金库的安全性自然大打折扣。
此外,我们还应该关注到SNMPv3可能遭受的中间人攻击。
在这种攻击模式下,攻击者会截获并篡改传输中的数据,就像一位狡猾的海盗在海上拦截并替换货物一样。
虽然SNMPv3提供了消息完整性码来防止这种攻击,但如果攻击者能够获取到密钥,那么这种防御措施也将变得无效。
那么,我们该如何应对这些挑战呢?首先,加强密钥管理是关键。
我们应该采用强密码策略,并定期更换密钥,以防止密钥被破解或泄露。
同时,我们还应该使用安全的通道来传输密钥,以确保其不会被截获。
其次,我们可以借助其他安全技术来增强SNMPv3的安全性。
例如,使用IPSec等VPN技术可以为SNMPv3通信提供额外的保护层,使其更加安全可靠。
此外,我们还应该定期对网络进行安全审计和风险评估,以便及时发现并修复潜在的安全漏洞。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验8 SNMP的安全性配置一、实验目的1、掌握Windows操作系统的SNMP服务的安装;2、理解SNMP协议的工作原理;3、理解SNMP协议的作用二、实验环境装有windows 2003操作系统的计算机三、实验原理1.什么是网络管理?网络管理分为两类。
第一类是网络应用程序、用户帐号(例如文件的使用)和存取权限(许可)的管理。
它们都是与软件有关的网络管理问题。
网络管理的第二类是由构成网络的硬件所组成。
这一类包括工作站、服务器、网卡、路由器、网桥和集线器等等。
通常情况下这些设备都离你所在的地方很远。
正是由于这个原因,如果当设备有问题发生时网络管理员可以自动地被通知的话,那么一切事情都好办。
但是你的路由器不会象你的用户那样,当有一个应用程序问题发生时就可以打电话通知你,而当路由器拥挤时它并不能够通知你。
为了解决这个问题,厂商们已经在一些设备中设立了网络管理的功能,这样你就可以远程地询问它们的状态,同样能够让它们在有一种特定类型的事件发生时能够向你发出警告。
这些设备通常被称为"智能"设备。
网络管理通常被分为四类:当设计和构造网络管理的基础结构时,你需要记住下列两条网络管理的原则:1.由于管理信息而带来的通信量不应明显的增加网络的通信量。
2.被管理设备上的协议代理不应明显得增加系统处理的额外开销,以致于该设备的主要功能都被削弱了。
2.什么是SNMP?简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。
许多人认为 SNMP在IP上运行的原因是Internet运行的是TCP/IP协议,然而事实并不是这样。
SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。
SNMP是一系列协议组和规范(见下表),它们提供了一种从网络上的设备中收集网络管理信息的方法。
SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。
名字说明MIB 管理信息库SMI 管理信息的结构和标识SNMP 简单网络管理协议从被管理设备中收集数据有两种方法:一种是只轮询(polling-only)的方法,另一种是基于中断(interrupt-based)的方法。
如果你只使用只轮询的方法,那么网络管理工作站总是在控制之下。
而这种方法的缺陷在于信息的实时性,尤其是错误的实时性。
你多久轮询一次,并且在轮询时按照什么样的设备顺序呢?如果轮询间隔太小,那么将产生太多不必要的通信量。
如果轮询间隔太大,并且在轮询时顺序不对,那么关于一些大的灾难性的事件的通知又会太馒。
这就违背了积极主动的网络管理目的。
当有异常事件发生时,基于中断的方法可以立即通知网络管理工作站(在这里假设该设备还没有崩溃,并且在被管理设备和管理工作站之间仍有一条可用的通信途径)。
然而,这种方法也不是没有他的缺陷的,首先,产生错误或自陷需要系统资源。
如果自陷必须转发大量的信息,那么被管理设备可能不得不消耗更多的时间和系统资源来产生自陷,从而影响了它执行主要的功能(违背了网络管理的原则2)。
而且,如果几个同类型的自陷事件接连发生,那么大量网络带宽可能将被相同的信息所占用(违背了网络管理的原则1)。
尤其是如果自陷是关于网络拥挤问题的时候,事情就会变得特别糟糕。
克服这一缺陷的一种方法就是对于被管理设备来说,应当设置关于什么时候报告问题的阈值(threshold)。
但不幸的是这种方法可能再一次违背了网络管理的原则2,因为设备必须消耗更多的时间和系统资源,来决定一个自陷是否应该被产生。
结果,以上两种方法的结合:面向自陷的轮询方法(trap-directed polling)可能是执行网络管理最为有效的方法了。
一般来说,网络管理工作站轮询在被管理设备中的代理来收集数据,并且在控制台上用数字或图形的表示方式来显示这些数据。
这就允许网络管理员分析和管理设备以及网络通信量了。
被管理设备中的代理可以在任何时候向网络管理工作站报告错误情况,例如预制定阈值越界程度等等。
代理并不需要等到管理工作站为获得这些错误情况而轮询他的时候才会报告。
这些错误情况就是众所周知的SNMP自陷(trap)。
在这种结合的方法中,当一个设备产生了一个自陷时,你可以使用网络管理工作站来查询该设备(假设它仍然是可到达的),以获得更多的信息。
3.什么是被管理设备?你可能听说过许多关于“SNMP可管理设备”、“与SNMP兼容的设备”或者“被SNMP 管理的设备”的说法。
但是它们到底什么?它们与“智能设备”又是怎么区别的呢?简单地说,以上所有说法的意思都是“一个包含网络管理代理实现的网络设备”。
这些话也意味着这种代理支持SNMP协议来进行信息交换。
正如前面所提到的,一个智能设备可能并不需要使用或支持SNMP协议。
那么什么是一个代理呢?代理管理代理(agent)是一种特殊的软件(或固件),它包含了关于一个特殊设备和/或该设备所处环境的信息。
当一个代理被安装到一个设备上时,上述的设备就被列为“被管理的”。
换句话说,代理就是一个数据库。
数据库中所包含的数据随被安装设备的不同而不同。
举例来说,在一个路由器上,代理将包含关于路由选择表、接收和发送包的总数等信息。
而对于一个网桥来说,数据库可能包含关于转发包数目和过滤表等信息。
代理是与网络管理控制台通信的软件或固件。
在这个控制台的“链路”上可以执行以下任务:● 网络管理工作站可以从代理中获得关于设备的信息。
● 网络管理工作站可以修改、增加或者删除代理中的表项,例如在由代理所维护的数据库中的路由选择表表项。
● 网络管理工作站可以为一个特定的自陷设置阈值。
● 可以向网络管理工作站发送自陷。
请记住,在被管理设备中的代理并不是自愿提供信息的,除非当有一个阈值被超过的事件发生时。
在一些偶然的情况下,在一个特定的设备上可能因为系统资源的缺乏,或者因为该设备不支持SNMP代理所需要的传输协议,而不能实现一个SNMP代理。
这是否就意味着你不能监视这个设备呢?答案并不是这样的,在这种情况下并不是完全没有办法的。
你可以使用受托代理(proxy agent),它相当于外部设备(foreign device)。
受托代理并非在被管理的外部设备上运行,而是在另一个设备上运行。
网络管理工作站首先与受托代理联系,并且指出(通过某种方法)受托代理与外部设备的一致性。
然后受托代理把它接收到的协议命令翻译成任何一种外部设备所支持的管理协议。
在这种情况下,受托代理就被称为应用程序网关(application gateway)。
如果外部设备不支持任何管理协议,那么受托代理必须使用一些被动的方法来监视这个设备。
举例来说,一个令牌环网桥的受托代理可以监视它的性能,并且如果它检测到任何由网桥所报告的拥挤错误时,它就会产生自陷。
幸运的是,目前大多数网际互联设备类型都是支持SNMP可管理设备的,所以你可以很容易地使用一个SNMP可管理设备,例如集线器、网桥和路由器。
有一些厂商甚至还在他们的网卡上提供SNMP代理。
MIB我们通常很少把在一个被管理设备中的数据库称为一个数据库。
在SNMP术语中它通常被称为管理信息库(MIB)。
一个MIB描述了包含在数据库中的对象或表项。
每一个对象或表项都有以下四个属性:● 对象类型(Object Type)● 语法(Syntax)● 存取(Access)● 状态(Status)在SNMP规范之一的管理信息结构与标识(SMI;RFC 1155/1065)规范中定义了这些属性。
SMI对于MIB来说就相当于模式对于数据库。
SMI定义了每一个对象“看上去象什么”。
对象类型这个属性定义了一个特定对象的名字,例如sysUpTime。
它只不过是一个标记。
在表示数据时,SMI使用了ASN.1(Abstract Syntax Notation One)。
对象必须被“标识”。
对于互联网络管理MIB来说,用ASN.1记法来表示的标识符开头如下:internet OBJECT IDENTIFIER : : = { iso org(3) dod(6) 1 }或者用一种简单的格式:1.3.6.1这是从ASN.1文档中抽取的。
它为标识符定义了一个树形的格式。
该树是由一个根及与之相连接的许多被标记的节点组成。
每一个节点由一个非负整数值和尽可能简明的文字说明所标识。
每一个节点可能也拥有同样被标记的子节点。
当描述一个对象标识符(OBJECT INDENTIFIER)时,你可以使用几种格式,最简单的格式是列出由根开始到所讨论的对象遍历该树所找到的整数值。
从根一级开始,这里有三个节点(如图):● ccitt(0)● iso(1)● joint-iso-cci四、实验步骤:1、snmp的安装详细步骤参考课本P180。
2、snmp的网管代理设置详细步骤参考课本P182。
3、snmp的安全性配置Windows 2003 SNMP 充当着一个代理,它会将可以报告给 SNMP 管理站或控制台的信息收集起来。
可以使用 SNMP 服务在整个企业网络中收集数据和管理基于 Windows 2000 的计算机。
通过将共享的社区名称分配给代理和管理站,通常可以保护 SNMP 代理和 SNMP 管理站之间的通讯。
当 SNMP 管理站将查询发送到 SNMP 服务时,会将请求者的社区名称与代理的社区名称进行比较。
如果这两个名称是匹配的,则表明 SNMP 管理站通过了身份验证。
如果这两个名称不匹配,则 SNMP 代理会认为该请求是失败的访问尝试,并可能发送 SNMP 陷阱消息。
SNMP 消息是以明文发送的。
“Mic rosoft 网络监视器”这样的网络分析程序很容易截取这些明文消息并将它解码。
未经授权的人员可以捕获和使用社区名称,以获得有关网络资源的重要信息。
IPSec 可用于保护 SNMP 通讯。
您可以创建 IPSec 策略以保护 TCP 和 UDP 端口 161 和162 上的通讯,从而保护 SNMP 事务。
(1)创建筛选器列表要创建 IPSec 策略以保护 SNMP 消息,首先执行以下步骤来创建筛选器列表:1.单击开始,指向管理工具,然后单击本地安全策略。
2.展开安全设置,右键单击“IP 安全策略,在本地计算机上”,然后单击“管理 IP 筛选器表和筛选器操作”。
3.单击“管理 IP 筛选器列表”选项卡,然后单击添加。
4.在IP 筛选器列表对话框的名称框中键入SNMP 消息 (161/162),然后在描述框中键入TCP 和 UDP 端口 161 筛选器。
5.单击以清除使用“添加向导”复选框,然后单击添加。
6.在出现的IP 筛选器属性对话框的地址选项卡上,在“源地址”框中单击“任何 IP 地址”。