協(xié)議原理ISSUE1020061229A.ppt

2019/7/11,DP500028 SNMP協(xié)議原理,ISSUE 1.0,Page 2,學習此課程，您將會： 了解網(wǎng)絡管理的基本架構 了解MIB的基礎知識 掌握SNMP的基本原理 掌握SNMP的基本配置,目 標,Page 3,第1章 網(wǎng)絡管理體系架構 第2章 MIB簡介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結與回顧,內容介紹,Page 4,網(wǎng)絡管理所面臨的挑戰(zhàn),網(wǎng)絡和分布式處理系統(tǒng)的快速發(fā)展與大規(guī)模的應用 網(wǎng)絡及其相關資源和分布式應用程序變得越來越重要 例如：Clearcase, Notes, Mail 健壯的，能提供7X24小時的服務 網(wǎng)絡變得越來越復雜，支持更多的應用程序和用戶 更容易出現(xiàn)問題，發(fā)生故障 網(wǎng)絡管理已成為網(wǎng)絡解決方案中重要的一部分 花費最少：人力，設備，資金 提供更智能的網(wǎng)絡管理服務,Page 5,網(wǎng)絡管理的現(xiàn)狀,在一個大型的網(wǎng)絡里，我們無法僅依賴人手工來完成整個的網(wǎng)絡管理的工作 迫切的需要一種自動化的工具協(xié)助我們管理好網(wǎng)絡 需要管理的設備和資源很可能來自于不同的廠商 如果每個廠商都提供一套獨立的管理接口 比如，命令行（Command Line Interface） 學習各種廠商工具的培訓費用開銷激增 受限于廠商專有的配置管理工具 一套覆蓋服務，協(xié)議和管理信息庫的標準孕育而生，并且迅速得到了廣泛的應用 Simple Network Management Protocol,Page 6,基于SNMP網(wǎng)絡管理模型,Page 7,網(wǎng)絡管理站 (Network Management Station）,通常是一個獨立的設備，運行著網(wǎng)絡管理的應用程序 提供一個非常友好的人機交互界面，網(wǎng)絡管理員能通過它完成絕大數(shù)的網(wǎng)絡管理工作 提供失效管理，安全管理，計費管理，配置管理，性能管理等功能,Page 8,代理器（Agent）,Agent是駐留在被管理設備一端 負責接受、處理來自網(wǎng)管站的請求報文，并形成響應報文，返回給NMS 請求包括：信息的查詢和動作的執(zhí)行 在一些緊急情況下，主動通知NMS（發(fā)送陷阱TRAP報文） 如接口狀態(tài)發(fā)生改變，呼叫成功等 NMS和Agent之間通過SNMP協(xié)議來交互管理信息,Page 9,網(wǎng)絡管理協(xié)議-SNMP,是一個基于TCP/IP網(wǎng)絡的應用層協(xié)議，用于在網(wǎng)絡管理站和被管理的設備之間交換網(wǎng)絡管理信息 SNMPv2可以在多種傳輸協(xié)議IPX，DDP等上使用 Huawei-3com VRP平臺支持以下三個協(xié)議版本： SNMPv1 SNMPv2c SNMPv3 后面部分會對協(xié)議進行具體講解,Page 10,管理信息庫 （Management Information Base）,任何一個被管理的資源都表示成一個對象，稱為被管理的對象 MIB就是一個被管理的對象的集合 Agent都會維護一個MIB庫 可以對MIB庫中的對象進行讀取或設置,Page 11,第1章 網(wǎng)絡管理體系架構 第2章 MIB簡介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結與回顧,內容介紹,Page 12,管理信息庫 （Management Information Base）,MIB是一個被管理對象的集合，它將定義被管理對象的一系列的屬性： 對象的名字（Object IDentifier） 對象的訪問權限 對象的數(shù)據(jù)類型 管理信息結構（Structure of Management Information ）中規(guī)定了被管理對象應該如何的組織和定義 SMIv2 (RFC2578) SMIv1 (RFC 1155),Page 13,MIB結構,MIB是以樹狀結構進行存儲的 樹的節(jié)點表示管理對象，它可以用從根開始的一條路徑來無二義的識別：OID,Page 14,OID,唯一的標識一個MIB庫中的對象 OID分配機制，保證OID不會沖突 OID是由一些系列的整數(shù)組成，標明節(jié)點在MIB樹中的位置 MIB一旦發(fā)布，OID就要和被定義的對象進行綁定 MIB節(jié)點不能被刪除，只能將它的狀態(tài)置為“obsolete” 不贊成對MIB節(jié)點的反復變更,Page 15,MIB 舉例,Page 16,MIB 舉例,Address: Object ID = 1.1 Object Instance = 1.1.0 Value of Instance = 130.89.16.2 Name: Object ID = 1.2.1 Object Instance = 1.2.1.0 Value of Instance = printer-1,Page 17,SMIv1 & v2支持的數(shù)據(jù)類型,Page 18,第1章 網(wǎng)絡管理體系架構 第2章 MIB簡介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結與回顧,內容介紹,Page 19,SNMPv1,Version = SNMPv1 Community Name = “Public” SNMP Operation = Get，Getnext，Set version = SNMPv1 Community Name = “Public” SNMP Operation = GetResponse, Trap,Page 20,團體名(Community Name),團體是由Agent和若干個網(wǎng)絡管理站應用程序組成 每個團體通過團體名即一個字符串來區(qū)別 團體名實際上是一個相關權限的密碼 可以訪問哪些節(jié)點 訪問的類型（讀/設置） SNMPv1使用團體名來進行安全機制管理,Page 21,SNMP協(xié)議綜述,manager agent manager agent manager agent manager agent,get,MIB,response,getnext,MIB,response,set,MIB,response,MIB,trap,Page 22,SNMPv1消息格式,Page 23,SNMPv1-Get操作,獲取1個或多個變量的值 可能出現(xiàn)的錯誤碼： noSuchName: 被請求的變量不存在或者它不是一個葉子節(jié)點 tooBig：請求的GetResponse PDU的大小超出本地的限制 GenErr： 所有其他的錯誤,Page 24,SNMPv1-Set操作,給一個已經(jīng)存在的變量賦值或者在表中創(chuàng)建一個新的實例 可能出現(xiàn)的錯誤碼： noSuchName tooBig genErr badValue,Page 25,SNMPv1-GetNext操作,獲取下一個MIB節(jié)點的實例名和取值 可能出現(xiàn)的錯誤碼： noSuchName tooBig genErr,Page 26,SNMPv1-GetNext操作,注意：getNext要按字典序進行排列,Page 27,SNMPv1-Trap,向指定的管理站報告某個事件的發(fā)生 Trap接受是無需確認的 不是完全可靠的,Page 28,SNMPv1演示,基本的SNMP配置 snmp-agent community read public snmp-agent community write private snmp-agent sys-info version v1 System，ifTable表進行get,getNext,set操作 linkUp和linkDown報文 snmp-agent trap enable standard snmp-agent target-host trap address udp- domain 1.1.1.1 params security public,Page 29,第1章 網(wǎng)絡管理體系架構 第2章 MIB簡介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結與回顧,內容介紹,Page 30,SNMPv2c,在繼承了SNMPv1的基礎上，增加了： SNMPv2c支持更多的操作 getBulk informRequest (確認的Trap) SNMPv2c支持更多的數(shù)據(jù)類型 Counter64, Counter32等 V1 不能獲取Counter64類型的節(jié)點值 SNMPv2c提供了更豐富的錯誤處理 多種協(xié)議的傳輸支持 SNMPv2c也是基于團體名的安全機制,Page 31,getBulk 操作,是getNext的延伸，一個getBulk操作等價于多次執(zhí)行getNext操作 能一次獲取大量的值，有效地減少網(wǎng)絡管理站和被管理設備的通信次數(shù)，提高網(wǎng)絡性能 getBulk請求報文中增加了2個參數(shù) non-repeaters max-repetitions,Page 32,getBulk 操作,對于變量綁定對中前non-repeaters個變量當作普通的getNext報文來處理 而對于其余的變量當作重復max-repetitions次的gextNext報文處理 例如，getBulk請求報文中： non-repeators = N max-repeatitions = M 響應報文中最大的變量綁定個數(shù) = N + (M * R) 其中R等于getBulk請求報文變更綁定個數(shù)減去N,Page 33,getBulk 舉例,getBulk( non-repeator = 1; max-repetitions = 2; 1.1; 1.3.1.2; 1.3.1.3) response( 1.1.0 = 130.89.16.2; 1.3.1.3 = 3; 1.3.1.5 = 2； 1.3.1.5 =2; 1.3.1.7 =2 ),Page 34,SNMPv2c提供更豐富的錯誤碼,用于說明 報文錯誤 原因,指名變量 綁定對中 第幾個參 數(shù)出錯,Page 35,SNMPv2c提供更豐富的錯誤碼,Page 36,第1章 網(wǎng)絡管理體系架構 第2章 MIB簡介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結與回顧,內容介紹,Page 37,為什么會提出SNMPv3？,1998年提出,2002年形成了一套正式的標準 是為了改進SNMPv1/v2c在安全性方面的缺陷 基于團體名(community name)的有限的安全機制 團體名是明文傳輸，入侵者很容易通過抓包工具來獲取 報文不支持加密 限制了SNMP在非完全信任的網(wǎng)絡中的使用 SNMPv3在繼承了SNMPv2c的基礎上，提供 認證 加密 訪問控制,Page 38,SNMPv3 基于用戶的安全模型 (User-Based Security Model),基于用戶的安全模型(User-Based Security Model) 提供了認證(Authentication)和加密(Privacy)的功能 定義了3個安全級別： 無認證無加密 (noAuthNoPriv） 有認證無加密 (authNoPriv) 有認證有加密 (authPriv) 注意：不存在無認證有加密(noauthPriv),因為加密所使用的密碼必須與用戶相關聯(lián),Page 39,SNMPv3 基于用戶的安全模型 認證,認證機制確保管理站和Agent之間的通信是可信的 Agent收到的請求報文是報文中所聲明的管理站發(fā)送的 管理站接收到響應報文是它所希望的目標Agent所響應的 保證消息的完整性，在傳輸過程中沒有被篡改 通過時間窗的機制，防止重放 認證協(xié)議：HMAC-MD5或者HMAC-SHA,Page 40,SNMPv3 基于用戶的安全模型 認證,基本原理 雙方共享一個私有密鑰，發(fā)送方使用此密鑰來創(chuàng)建一個Message Authentication Code（MAC） 接收方使用認證密鑰來計算出此MAC，如果與發(fā)送方的MAC互相匹配，該消息就通過了認證,Page 41,SNMPv3 基于用戶的安全模型 加密,加密范圍：消息報文中PDU部分 加密協(xié)議：CBC-DES,Page 42,SNMPv3 安全訪問控制 (View-Based Access Control Model),安全訪問控制可以使Agent對不同的管理者提供不同的管理信息庫訪問權限 限制訪問MIB庫信息的訪問視圖 限制訪問MIB庫信息的操作類型,Page 43,SNMPv3 安全訪問控制 (View-Based Access Control Model),Page 44,SNMPv3 配置舉例,scarlet 是v3的一個用戶，她的安全級別為authPriv，她屬于huawei-3com組，她有權限對MIB-2中的非atTable內的節(jié)點進行讀或寫,Page 45,第1章 網(wǎng)絡管理體系架構 第2章 MIB簡介 第3章 SNMPv1 第4章 SNMPv2c 第5章 SNMPv3 第6章 SNMP基本操作 第7章 總結與回顧,內容介紹,Page 46,MIBBrowser（編譯MIB）,菜單：,1.選擇mib文件(可一次選擇多個mib文件) 2.編譯mib文件(可一次編譯多個mib文件) 3.查看編譯信息,確保編譯ok 4.彈出編譯后的模塊保存框 5.Mib文件所在目錄無漢字無空格 6.模塊間依賴關系,編譯信息：,Page 47,MIBBrowser（MIB裝載）,菜單,裝載操作,Page 48,MIBBrowser（參數(shù)配置）,菜單,配置窗口（不能修改Agent Address）：,修改Agent Address:,Page 49,MIBBrowser（參數(shù)配置V1/V2）,1、協(xié)議：SNMPV1 2、Port Number：SNMP的端口號，默認161 3、Read Community：只讀團體字默認public 4、Write Community：讀寫團體字默認private 5、Timeout：超時時間，默認5s 6、Retries：重試次數(shù)，默認4 7. GetBulk參數(shù)： a. Non Repeaters：不重復的索引，默認0 b. Max Repetitions：最大重復次數(shù)，默認10,Page 50,MIBBrowser（參數(shù)配置V3）,1、配置用戶：,用戶屬性： User Name：用戶名稱 Auth Protocol：驗證協(xié)議（md5，sha） Priv Protocol：加密協(xié)議（des，idea） Auth Pass：驗證密碼 Priv Pass：加密密碼,Page 51,MIBBrowser（MIB操作）,MIB Browse操作： 1、Contact：檢測一下是否可以和代理聯(lián)系上，取代理sysoid的值。 2、 Walk：對選中節(jié)點下的子樹進行遍歷操作 3、 Get：使用選中MIB節(jié)點的OID向代理發(fā)送Get操作。對父節(jié)點無效 4、 GetNext：使用選中MIB節(jié)點的OID向代理發(fā)送GetNext操作 5、 Get Bulk：使用選中MIB節(jié)點的OID向代理發(fā)送GetNext操作 6、 Set：發(fā)送Set操作。對父節(jié)點無效 7、 Table View：查看表信息，針對表節(jié)點和表的父節(jié)點有效 8、 Find：在MIB樹中查找一節(jié)點 9、 Properties：查看MIB節(jié)點屬性,Page 52,Quidview DM (參數(shù)配置),SNMPv1/v2配置,SNMPv3配置,Page 53,Quidview DM (打開設備),菜單,1.輸入設備IP 2.選擇SNMP配置 3.雙擊設備樹中的所選設備 4.顏色變綠為ok，否則Fail,Page 54,Quidview DM (操作),選擇要操作的對象,對對象進行snmp操作,1.注意Quidview與