第3章SNMP通信模型解析
SNMP的体系结构及工作原理
SNMP的体系结构及⼯作原理SNMP的体系结构及⼯作原理(转载转载)什么是 SNMP?SNMP是⼀系列协议组和规范,其提供了⼀种从⽹络中的设备中收集⽹络管理信息的⽅法。
SNMP也为设备向⽹络管理⼯作站报告问题和错误提供了⼀种⽅法。
其⽹络管理主要分为四部分被管理节点(设备)、代理、⽹络管理⼯作站、⽹络管理协议。
SNMP主要部分被管理节点(设备)⽹络管理协议被监控设备代理⽤来跟踪被管理设备状态的特殊软件或固件⽹络管理⼯作站与在不同的被管理节点中的代理通信,并且显⽰这些代理状态的中⼼设备⽹络管理协议被⽹络管理⼯作站和代理⽤来交换信息的协议从被管理设备中收集数据所遵循的原则及采⽤的⽅式设计和构造⽹络管理的基础结构时,需要遵守下列两条⽹络管理的原则:由于管理信息⽽带来的通信量不应明显的增加⽹络的通信量。
被管理设备上的协议代理不应明显得增加系统处理的额外开销,以致于该设备的主要功能都被削弱了。
因此从被管理设备中收集数据重要有两种⽅法:⼀种是只轮询(polling-only)的⽅法,另⼀种是基于中断(interrupt-based)的⽅法。
⾯向⾃陷的轮询⽅法(trap-directed polling)是⽹络管理采⽤较有效的⽅式。
⽹络管理⼯作站轮询在被管理设备中的代理来收集所需的数据,并且在控制平台上使⽤数字或图形的⽅式来显⽰所收集的数据,同时被管理设备中的代理可以在任何时候向⽹络管理⼯作站报告错误情况,如预制定阈值越界程度等,即所谓的SNMP⾃陷(trap)。
代理的概念及所提供的服务管理代理(agent)是⼀种特殊的软件(或固件),它包含了关于⼀个特殊设备及该设备所处环境的信息。
其提供的服务:⽹络管理⼯作站可以从代理中获得相关设备的信息。
⽹络管理⼯作站可以修改、增加或者删除代理中的相关表项。
⽹络管理⼯作站可以为⼀个特定的⾃陷设置阈值。
代理可以向⽹络管理⼯作站发送⾃陷。
MIB概念MIB被称为管理信息库,⼀个MIB描述了包含在数据库中的对象或表项。
SNMP的工作原理
SNMP的工作原理SNMP(Simple Network Management Protocol)是一种用于网络管理的协议。
它允许网络管理员监控和管理网络中的设备和系统。
SNMP的工作原理涉及到管理站点和被管理设备之间的通信,以及数据的采集、传输和处理。
1. SNMP的基本架构SNMP的基本架构由三个主要组件组成:管理站点(Manager)、代理(Agent)和被管理设备(Managed Device)。
- 管理站点:负责监控和管理网络中的设备和系统。
它通过SNMP协议与代理进行通信,并获取和处理来自代理的数据。
- 代理:安装在被管理设备上的软件或者硬件模块。
代理负责采集和存储设备的信息,并根据管理站点的请求响应相应的数据。
- 被管理设备:网络中需要被监控和管理的设备,如路由器、交换机、服务器等。
2. SNMP的工作流程SNMP的工作流程包括管理站点与代理之间的通信和数据的采集、传输和处理过程。
- 管理站点向代理发送请求:管理站点通过SNMP协议向代理发送请求,请求获取代理所管理设备的信息。
请求通常包括设备标识符(OID)和操作类型(如获取、设置等)。
- 代理采集设备信息:代理接收到管理站点的请求后,根据请求的OID和操作类型,从被管理设备中采集相应的信息。
代理可以通过设备本身的接口或者其他协议(如ICMP、TCP等)与设备进行通信,获取设备的状态、性能、配置等信息。
- 代理响应管理站点的请求:代理将采集到的设备信息封装成SNMP协议的响应消息,并通过网络将其发送给管理站点。
响应消息中包含请求的OID、操作类型和相应的数据。
- 管理站点处理响应数据:管理站点接收到代理发送的响应消息后,解析其中的数据,并根据需要进行处理。
处理可能包括显示设备状态、生成报告、进行故障诊断等。
- 定期轮询和事件触发:管理站点可以定期轮询代理,以获取设备的最新信息。
此外,代理也可以根据设备的状态变化或者特定事件的发生,主动向管理站点发送通知。
SNMP管理信息模型
SNMP管理信息模型一、SNMP管理框架TCP/IP网络管理•Internet的网络管理主要基于TCP/IP协议簇中的SNMP协议。
•在基于SNMP的网络管理中,包含有关被管理资源以及元素信息的数据库这个数据库就是管理信息库(MIB)。
•定义和构建MIB的通用性框架结构,就是管理信息结构(SMI)。
SNMP中的元素:•管理站•管理站一般由专用设备构成,配置Manager实体和一组管理应用程序,提供网络的配置、性能、故障、安全、计费等管理功能,从而形成网络管理系统(NMS)。
•代理•代理是配备了Agent实体的各类设备,如主机、网桥、路由器、网关等。
•代理在Agent实体的支持下响应管理站的操作请求,对系统中各类资源的被管对象进行访问。
•管理信息库MIB•管理站和代理之间共享的管理信息由代理系统中的MIB给出。
•各代理系统中被管对象的集合构成该系统的MIB,该MIB是标准MIB的具体实现,是MIB的实例。
•对于管理站,代理通常只提供本系统MIB的一个子集允许其访问,这个子集被称为MIB View。
管理站中要配置一个管理数据库(MDB),用来存放从各个代理获得的管理信息的值。
MDB和MIB不同MIB是被管对象名的集合,是虚拟的数据库MDB是被管对象值的集合,是实际数据库•通信协议SNMP•5个SNMP协议消息:GetRequest、GetNextRequest、SetRequest、GetResponse、Trap•前3个消息由管理站发给代理:•GetRequest检索数据•SetRequest改变数据•GetNextRequest提供扫描MIB树和连续检索数据的方法•后2个消息由代理发给管理站:•GetResponse应答各种读取和修改管理信息的请求•Trap主动向管理站报告代理系统中发生的事件陷入制导轮询•第一次轮询•SNMP管理站采用轮询的方式访问各个代理中的管理信息。
•为了使管理站能够及时而有效地对被管理设备进行监控,同时又不过分增加网络的通信负载,必须使用陷入制导的轮询过程。
SNMP协议详解
SNMP协议详解一、介绍SNMP(Simple Network Management Protocol)是一种用于网络管理的协议,它提供了一种标准的方式来监控和管理网络设备。
SNMP协议允许网络管理员远程监视和控制网络设备,以确保网络的正常运行和性能优化。
本协议详解将介绍SNMP协议的基本原理、架构、消息格式以及常见的SNMP操作。
二、SNMP协议架构SNMP协议基于客户端-服务器模型,其中网络设备(如路由器、交换机、服务器等)充当服务器,而网络管理系统(NMS)充当客户端。
SNMP协议定义了四个主要组件:管理站点(Manager)、代理(Agent)、管理信息库(MIB)和网络设备。
1. 管理站点(Manager):管理站点是网络管理系统的一部分,负责监控和控制网络设备。
管理站点可以通过SNMP协议向代理发送请求,并接收代理返回的响应。
2. 代理(Agent):代理是网络设备上运行的软件模块,负责收集和存储网络设备的管理信息,并响应管理站点的请求。
3. 管理信息库(MIB):MIB是一种层次化的数据库,用于存储和描述网络设备的管理信息。
MIB定义了一系列的对象标识符(OID),每个OID对应一个特定的管理信息。
4. 网络设备:网络设备指的是需要被监控和管理的设备,如路由器、交换机、服务器等。
网络设备通过代理与管理站点进行通信。
三、SNMP消息格式SNMP协议使用简单的消息格式进行通信,包括两种类型的消息:管理请求消息和代理响应消息。
1. 管理请求消息:管理请求消息由管理站点发送给代理,用于请求特定的管理操作。
管理请求消息包括以下字段:- 版本号:指定SNMP协议的版本。
- 社区名:用于身份验证和访问控制。
- PDU类型:指定请求的操作类型,如获取、设置、通知等。
- 对象标识符(OID):指定要操作的管理信息。
- 值:指定要设置的值(仅在设置操作时使用)。
2. 代理响应消息:代理响应消息由代理发送给管理站点,用于响应管理请求。
SNMP详解
名词解释SNMP的来由SNMP二十世纪70年代末、80年代初的时候,计算机网络由最初的只是小范围内的几台计算机相互连接逐步发展成大规模的网络。
随着网络跳跃式的发展,对网络进行的监控和维护等管理操作也变得更加困难,从而对开发出能够满足网络管理需要的协议提出了迫切要求。
第一个开始使用的网络管理协议就是SNMP。
当时,人们只是把SNMP当作一种应急措施,等到日后有更加成功,更加成熟的新协议出现时将会被自然淘汰。
然而,虽然不断有新的协议推出,但是SNMP凭借其结构简单,使用方便的特点一直到今天仍然被广泛使用。
SNMP协议的工作机制非常简单,主要通过各种不同类型的消息,即PDU(协议数据单位)实现网络信息的交换。
PDU实际上就是一种变量对象,其中每一个变量都是由标题和变量值两部分组成。
SNMP主要使用5种类型的PDU对网络实施监控,两种用于读取终端信息,两种可以设置终端数据,最后一种被用来监视各种终端事件,如终端的启动和关闭等。
这样,如果用户希望了解是否某一台终端已经被接入到网络,可以使用SNMP向该终端发送一个具有信息读取功能的PDU。
如果终端已经被连接到网络,用户将会得到返回的确认信息。
当有终端被关闭时,可以通过事件变量(trap)发出数据包,通知用户终端系统已经被关闭。
SNMP协议的优势SNMP协议的最大优势就是设计简单,既不需要复杂的实现过程,也不会占用太多的网络资源,非常便于使用。
一般来说,SNMP协议所使用的各种变量主要包含以下信息:1.变量标题;2.变量数据类型,如整数,字串等;3.变量是否具有信息读取或读写功能;4.变量值SNMP协议的另外一个优势就是使用非常广泛,几乎所有的网络管理人员都喜欢使用简单的SNMP来完成工作操作。
这就促使各大网络硬件产品商在设计和生产网桥、路由器等网络设备时都加入了对SNMP 协议的支持。
良好的可扩展性是SNMP协议的另外一个可取之处。
因为协议本身非常简单,所以对协议的任何升级或扩展也非常方便,从而能够满足今后网络的发展需求。
SNMP协议详解
SNMP协议详解SNMP(Simple Network Management Protocol)是一种用于网络管理的应用层协议。
它提供了一种标准方式,使得网络设备(如路由器、交换机、服务器等)能够被远程管理和监控。
本文将详细介绍SNMP协议的基本原理、架构、消息格式以及常见的SNMP版本。
一、SNMP协议的基本原理SNMP协议基于客户-服务器模型,其中管理站点(Manager)作为客户端,网络设备(Agent)作为服务器。
管理站点通过SNMP协议发送请求消息给网络设备,而网络设备则通过SNMP协议回复响应消息给管理站点。
SNMP协议使用对象标识符(OID)来标识和管理网络设备上的各种资源。
OID是一种唯一的标识符,它由一系列数字组成,用于表示网络设备上的特定资源(如接口、路由表、温度传感器等)。
管理站点可以通过OID来获取、设置和监控网络设备上的资源。
二、SNMP协议的架构SNMP协议的架构由三个主要组件组成:管理站点(Manager)、代理(Agent)和MIB(Management Information Base)。
1. 管理站点(Manager):管理站点是SNMP网络管理系统的核心组件,它负责监控和管理网络设备。
管理站点可以发送SNMP请求消息给代理,并接收代理发送的响应消息。
管理站点通常由网络管理软件实现。
2. 代理(Agent):代理是网络设备上的SNMP实现,它负责响应管理站点的请求和发送各种通知消息。
代理会维护一个MIB数据库,用于存储和管理网络设备上的资源信息。
代理可以通过SNMP协议与管理站点进行通信。
3. MIB(Management Information Base):MIB是一种层次化的数据库,用于存储和管理网络设备上的资源信息。
MIB由一系列的对象标识符(OID)组成,每个OID对应一个特定的资源。
MIB定义了资源的属性、操作和关系,管理站点可以通过SNMP协议来访问和操作MIB中的资源。
简述snmp管理结构模型的工作原理及特点。
简述snmp管理结构模型的工作原理及特点。
SNMP(Simple Network Management Protocol,简单网络管理
协议)是一种用于管理网络设备的应用层协议。
其管理结构模型包括管理站点、网络设备和被管理对象三个组成部分。
工作原理:
1. 管理站点:作为SNMP的管理者,可以通过SNMP管理系
统发送指令和获取网络设备的信息。
2. 网络设备:包括路由器、交换机等网络设备,它们作为管理代理,接收来自管理站点的指令并执行相应的操作,并将设备的状态和性能信息反馈给管理站点。
3. 被管理对象:网络设备中需要被管理的实体,如接口、端口、进程等。
SNMP通过定义一系列的管理信息库(MIB)来描述
被管理对象的数据结构,并通过管理代理获取和设置被管理对象的状态和性能信息。
特点:
1. 简单:SNMP协议采用基于代理的工作模式,使得管理站点能够通过简单的操作来管理和监控网络设备。
2. 可扩展:SNMP协议基于MIB,管理者可以根据需要定义
和扩展自己的MIB,从而灵活地管理各种网络设备和被管理
对象。
3. 基于UDP:SNMP协议使用UDP协议进行通信,UDP具有
基于连接、无连接的特点,使得数据传输效率较高。
4. 不安全:SNMP协议的安全性较差,管理信息以明文形式传输,容易受到网络攻击。
为了增强安全性,可以通过添加安全扩展(如SNMPv3)来实现加密和认证等安全机制。
总的来说,SNMP管理结构模型的工作原理是通过管理站点向网络设备发送指令,并通过管理代理获取和设置被管理对象的状态和性能信息。
其特点包括简单、可扩展、基于UDP和不安全等。
03 SNMP协议基础
VACM用于控制用户访问MIB对象的权限
SNMPv3安全机制
基于用户的安全模型 认证 加密
基于视图的访问控制模型
38
基于用户的安全模型(认证)
�
SNMPv3基于共享密钥使用单向散列算法为报文添 加签名
SNMPv3报文 认证共享密钥
MD5/SHA HASH
Message Authentication Code
安全子系统
基于用户的 安全模型 基于团体字的 安全模型
访问控制子系统
基于视图的访问 控制模型
其他安全模型
其他访问 控制模型
36
SNMPv3报文格式
�
SNMPv3定义了全新的报文格式,但仍然沿用 SNMPv2c的PDU
msgVersion msgID msgMaxSize msgFlags msgSecurityModel msgAuthoritativeEnginelD msgAuthoritativeEngineBoots msgAuthoritativeEngineTime msgUserName msgAuthenticationParameters msgPrivacyParameters contextEngineID contextName PDU
29
公共SNMP首部
�
SNMPv1和v2的报文首部包含版本、团 体字和PDU类型三个部分
版本 共同体 PDU类型
IP首部 UDP首部 公共SNMP首部
SNMP PDU
PDU名称
Get Request
Get Next Request 1
Set Request
Get Response
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
检索表对象 GetNext可用于有效地搜索表对象。
Interfaces(mib-2 2)
mib-2=1.3.6.1.2.1
IfNumber(1)
IfTable(2) IfEntry(1)
IfIndex(1) IfDescr(2) IfType(3) IfMtu(4) IfSpeed(5)
表对象检索
为此很多SNMP的实现只允许Get和Trap操作,而Set的 操作被严格的限制。即只具有网络监视功能而限制控 制网络设备。
为了加强SNMP的安全性,在后来的SNMP版本中改进了 认证服务。
SNMP的访问策略
Community 1
Manager 1 (Community 1)
Agent 1
Community 2 Agent 3
例:上图中,若发出下面的命令,检索ifNumber的值。 GetRequest(1.3.6.1.2.1.2.1.0) GetResponse(2) 我们知道有两个接口。如果我们进一步想要知道每个接口的数据 速率,则可以用下面的命令检索if表中的第五个元素:
GetRequest(1.3.6.1.2.1.2.2.1.5.1) 最后的1是索引项ifIndex的值。得到的响应是: GetResponse(10000000) 说明第一个接口的数据速率是10Mb/s。若要得到第二个接口的速 率可用命令:
在其前加上UDP的头成为了传输层的PDU。以此类推, 构成每一层的PDU。
SNMP协议实体在主机的161端口被接收。 trap是在162端口被接收。 SNMPv1协议的最大长度为484个字节。 SNMP有5种管理操作,但只有3种PDU格式:
GetRequest PDU、GetNextRequest PDU与SetRequest PDU格式相同。
0
变量绑定表
GetResponse PDU PDU type 请求标识
错误状态 错误ห้องสมุดไป่ตู้引
Variable-bindings
Trap PDU
PDU type 制造商ID 代理地址 一般陷阱 特殊陷阱
时间戳 变量绑定表
变量绑定表
name1
value1
name2 value2
……
SNMP 报文格式
namen
认证服务
认证服务的目的是要保证通信是被授权的。
对于一个SNMP报文,认证服务的功能是保证接收报文 来自于这个消息所声称的源。
从管理站到代理的每个报文都包括一个团体名字。这 个名字起到密码的作用,如果发送者知道这个密码, 报文就被认为是可靠的。
团体名以明文的形式传输,容易被窃取。所以SNMP的 安全机制是不安全的。
GetResponse PDU
Trap PDU
变量绑定表:variable-bindings
SNMP报文
Version Community
SNMP PDU
GetRequest PDU, GetNextRequest PDU 和 SetRequest PDU
PDU type Request-id 0
3. 2 管理模型 (The Administrative Model)
支持SNMP应用实体的程序称为协议实体 SNMP管理者属于管理站的应用实体 SNMP代理属于网络元素的应用实体 这一对实体被称为SNMP团体。 SNMP团体名为community,是一个字符串的形式。
SNMP Manager 认证服务
第3章:SNMP通信模型
3.1 SNMP结构( SNMP Architecture)
SNMP结构是管理系统和管理代理之间的管理报文的规范。 由定义团体来进行安全机制的管理,只有相同团体成员
之间才能进行通信。 一个管理站能够属于多个团体且可管理多个域。
SNMP结构具有三个方面的功能: 通过管理代理实现的网络功能应该是最简单的; 允许有足够的可扩展性(增加新的操作和管理); SNMP结构应独立于具体主机和网关的结构及机制。
3.3 SNMP协议规范
SNMP PDU格式
Data
A H Version Community SNMP PDU
UDP H
SNMP PDU
IP H
Transport PDU
DLC H
Network PDU
SNMP 报文封装
SNMP报文是在PDU加上团体名、版本号和应用层的头 构成了应用层的PDU。
正确
处理PDU,必要时产生应答
接收和处理SNMP报文
3.4 SNMP操作(SNMP Operations)
检索简单对象 检索简单的标量对象值可以用get操作; 如果变量绑定表中包含多个变量,一次还可以检索
多个标量对象的值; 接收GetRequest的SNMP实体请求标识相同的响
应。
如果所有请求的对象值均可以得到,则给于应答; 只要有一个对象的值得不到,则可返回错误。
Community Profile 1 Community Profile
2
Agent 2
Manager3 (Community 1,Community2)
Community Profile 3 Community Profile
4
Agent 4
Manager 2 (Community 2)
SNMP Access Policy
valuen
报文的发送和接收
构造PDU(ASN.1对象)
加入团体名及源和目的传输地址
构造SNMP报文
检验并通过认证
把ASN.1报文按BER编码
发送给对等实体
生成和发送SNMP报文
按BER解码,恢复ASN.1报文 语法分析ASN.1报文 验证版本号 认证检查
出错 丢弃报文
必要时产生陷入
语法分析PDU
SNMP Manager 认证服务
SNMP Manager 认证服务
认证 报文 认证服务
SNMP Agent
SNMP 团体
➢图中是多个SNMP管理者与一个SNMP代理进行通信,还 可以进行多对一和多对多的通信。
➢图中发送和接收过程都要进行认证检验,这可以视为 是一种安全机制。
➢SNMPv1的安全机制很简单,只是验证团体名。属于同 一团体的管理站和被管理站才能互相作用。 其基本思想是: 代理系统可以对不同的团体定义不同的访问控制策略, 每个团体被赋予唯一的名字。 管理站只能以认可的团体名行使访问权。 管理站实体可以用不同的名字对不同的代理实施不同的 访问权限。