第3章SNMP通信模型解析

Community Profile 1 Community Profile
2
Agent 2
Manager3 (Community 1,Community2)
Community Profile 3 Community Profile
4
Agent 4
Manager 2 (Community 2)
SNMP Access Policy
3. 2 管理模型 (The Administrative Model)
支持SNMP应用实体的程序称为协议实体 SNMP管理者属于管理站的应用实体 SNMP代理属于网络元素的应用实体 这一对实体被称为SNMP团体。 SNMP团体名为community，是一个字符串的形式。
SNMP Manager 认证服务
第3章：SNMP通信模型
3.1 SNMP结构（ SNMP Architecture）
SNMP结构是管理系统和管理代理之间的管理报文的规范。 由定义团体来进行安全机制的管理，只有相同团体成员
之间才能进行通信。 一个管理站能够属于多个团体且可管理多个域。
SNMP结构具有三个方面的功能： 通过管理代理实现的网络功能应该是最简单的； 允许有足够的可扩展性（增加新的操作和管理）； SNMP结构应独立于具体主机和网关的结构及机制。
正确
处理PDU，必要时产生应答
接收和处理SNMP报文
3.4 SNMP操作（SNMP Operations）
检索简单对象 检索简单的标量对象值可以用get操作; 如果变量绑定表中包含多个变量，一次还可以检索
多个标量对象的值; 接收GetRequest的SNMP实体请求标识相同的响
应。
如果所有请求的对象值均可以得到，则给于应答； 只要有一个对象的值得不到，则可返回错误。
认证服务
认证服务的目的是要保证通信是被授权的。
对于一个SNMP报文，认证服务的功能是保证接收报文 来自于这个消息所声称的源。
从管理站到代理的每个报文都包括一个团体名字。这 个名字起到密码的作用，如果发送者知道这个密码， 报文就被认为是可靠的。
团体名以明文的形式传输，容易被窃取。所以SNMP的 安全机制是不安全的。
0
变量绑定表
GetResponse PDU PDU type 请求标识
错误状态 错误索引
Variable-bindings
Trap PDU
PDU type 制造商ID 代理地址 一般陷阱 特殊陷阱
时间戳 变量绑定表
变量绑定表
name1
value1
name2 value2
……
SNMP 报文格式
namen
在其前加上UDP的头成为了传输层的PDU。以此类推， 构成每一层的PDU。
SNMP协议实体在主机的161端口被接收。 trap是在162端口被接收。 SNMPv1协议的最大长度为484个字节。 SNMP有5种管理操作，但只有3种PDU格式：
GetRequest PDU、GetNextRequest PDU与SetRequest PDU格式相同。
SNMP Manager 认证服务
SNMP Manager 认证服务
认证 报文 认证服务
SNMP Agent
SNMP 团体
➢图中是多个SNMP管理者与一个SNMP代理进行通信，还 可以进行多对一和多对多的通信。
➢图中发送和接收过程都要进行认证检验，这可以视为 是一种安全机制。
➢SNMPv1的安全机制很简单，只是验证团体名。属于同 一团体的管理站和被管理站才能互相作用。 其基本思想是： 代理系统可以对不同的团体定义不同的访问控制策略， 每个团体被赋予唯一的名字。 管理站只能以认可的团体名行使访问权。 管理站实体可以用不同的名字对不同的代理实施不同的 访问权限。
为此很多SNMP的实现只允许Get和Trap操作，而Set的 操作被严格的限制。即只具有网络监视功能而限制控 制网络设备。
为了加强SNMP的安全性，在后来的SNMP版本中改进了 认证服务。
SNMP的访问策略
Community 1
Manager 1 (Community 1)
Agent 1
Community 2 Agent 3
例：上图中，若发出下面的命令，检索ifNumber的值。 GetRequest(1.3.6.1.2.1.2.1.0) GetResponse(2) 我们知道有两个接口。如果我们进一步想要知道每个接口的数据 速率，则可以用下面的命令检索if表中的第五个元素：
GetRequest(1.3.6.1.2.1.2.2.1.5.1) 最后的1是索引项ifIndex的值。得到的响应是： GetResponse(10000000) 说明第一个接口的数据速率是10Mb/s。若要得到第二个接口的速 率可用命令：
valuen
报文的发送和接收
构造PDU（ASN.1对象）
加入团体名及源和目的传输地址
构造SNMP报文
检验并通过认证
把ASN.1报文按BER编码
发送给对等实体
生成和发送SNMP报文
按BER解码，恢复ASN.1报文 语法分析ASN.1报文 验证版本号 认证检查
出错 丢弃报文
必要时产生陷入
语法分析PDU
GetResponse PDU
Trap PDU
变量绑定表：variable-bindings
SNMP报文
Version Community
SNMP PDU
GetRequest PDU, GetNextRequest PDU 和 SetRequest PDU
PDU type Request-id 0
3.3 SNMP协议规范
SNMP PDU格式
Data
A H Version Community SNMP PDU
UDP H
SNMP PDU
IP H
Transport PDU
DLC H
Network PDU
SNMP 报文封装
SNMP报文是在PDU加上团体名、版本号和应用层的头 构成了应用层的PDU。
检索表对象 GetNext可用于有效地搜索表对象。
Interfaces(mib-2 2)
mib-2=1.3.6.1.2.1
IfNumber(1)
IfTable(2) IfEntry(1)
wk.baidu.com
IfIndex(1) IfDescr(2) IfType(3) IfMtu(4) IfSpeed(5)
表对象检索