計(jì)算機(jī)網(wǎng)絡(luò)管理理論與實(shí)踐教程第二章簡單網(wǎng)絡(luò)管理協(xié)議SNMP目錄緒論簡單網(wǎng)絡(luò)管理協(xié)議SNMP網(wǎng)絡(luò)系統(tǒng)規(guī)劃與工程管理IP地址管理網(wǎng)絡(luò)配置管理網(wǎng)絡(luò)故障管理網(wǎng)絡(luò)性能管理網(wǎng)絡(luò)安全管理理論與技術(shù)網(wǎng)絡(luò)計(jì)費(fèi)管理網(wǎng)絡(luò)管理平臺與工具網(wǎng)絡(luò)管理機(jī)構(gòu)組織與運(yùn)行IT服務(wù)管理簡單網(wǎng)絡(luò)管理協(xié)議SNMPSNMP概述SNMP管理模型SNMP管理信息結(jié)構(gòu)SNMP管理信息庫遠(yuǎn)程監(jiān)視RMONSNMPV1分析SNMP安全分析2.1SNMP概述SNMP的發(fā)展歷程隨著TCP/IP協(xié)議廣泛應(yīng)用，網(wǎng)絡(luò)數(shù)目與網(wǎng)絡(luò)內(nèi)主機(jī)的數(shù)量不斷增多，網(wǎng)絡(luò)管理問題日益凸顯。國際標(biāo)準(zhǔn)化組織（ISO）針對其自己提出的開放系統(tǒng)互連參考模型（OSI）的七層協(xié)議框架設(shè)計(jì)了公共管理信息服務(wù)（CMIS）和公共管理信息協(xié)議（CMIP）。因特網(wǎng)工程任務(wù)組（IETF）為了管理快速增長的Internet，決定修改并采用OSI的CMIP作為Internet的網(wǎng)絡(luò)管理協(xié)議，修改后的協(xié)議被稱為：建立在TCP/IP之上的公共管理信息服務(wù)與協(xié)議(CMOT)。2.1SNMP概述SNMP的發(fā)展歷程CMIS/CMIP的實(shí)現(xiàn)由于復(fù)雜性和實(shí)現(xiàn)代價(jià)太高而遇到了許多困難，CMOT遲遲不能正式出臺。1990年IETF決定把在NYSERNET和SURANET上開發(fā)的簡單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP）進(jìn)行修改后，作為暫時(shí)的網(wǎng)絡(luò)管理解決方案。這個(gè)臨時(shí)解決方案后來發(fā)展成為簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的第一個(gè)版本SNMPv1。2.1SNMP概述SNMP的發(fā)展歷程為了彌補(bǔ)在安全方面的不足，IETF開始進(jìn)行SNMP新版本的開發(fā)工作。1992年7月，SNMP的設(shè)計(jì)者提出了稱為SNMPsec的安全SNMP版本。2.1SNMP概述SNMP的發(fā)展歷程1993年，IETF發(fā)布了SNMP的第二版SNMPv2。SNMPv2吸取了SNMPsec以及RMON在安全性能和功能上的經(jīng)驗(yàn)，同時(shí)針對SNMPv1在管理大型網(wǎng)絡(luò)上的不足，對SNMP進(jìn)行了一系列的擴(kuò)充。2.1SNMP概述SNMP的發(fā)展歷程經(jīng)過幾年的試用發(fā)現(xiàn)SNMPv2的安全機(jī)制存在嚴(yán)重缺陷。許多設(shè)備提供商在SNMPv2的基礎(chǔ)上加入自定義的安全特性，逐漸形成了SNMPv2u及SNMPv23兩個(gè)版本。2.1SNMP概述SNMP的發(fā)展歷程為統(tǒng)一標(biāo)準(zhǔn)，IETF不得不在1996年對SNMPv2進(jìn)行修訂，發(fā)布了SNMPv2c。2.1SNMP概述SNMP的發(fā)展歷程1999年IETF正式發(fā)布了SNMPv3。SNMPv3是在SNMPv2基礎(chǔ)之上增加了安全和管理機(jī)制的協(xié)議，得到了設(shè)備生產(chǎn)廠商的支持。2.1SNMP概述SNMP的特點(diǎn)簡單可擴(kuò)展應(yīng)用廣泛2.1SNMP概述SNMP存在的問題不適合大型網(wǎng)絡(luò)管理。SNMP的trap是無確認(rèn)的，有可能導(dǎo)致不能確保非常嚴(yán)重的告警發(fā)送到管理者。安全性方面考慮不足。不支持如創(chuàng)建、刪除、動作等類型的操作。MIB模型不適合復(fù)雜的查詢。

2、SNMP體系結(jié)構(gòu)（1）SNMP為應(yīng)用層協(xié)議，是TCP/IP協(xié)議族的一部分。它通過用戶數(shù)據(jù)報(bào)協(xié)議(UDP)來操作。（2）SNMP在UDP、IP及有關(guān)的特殊網(wǎng)絡(luò)協(xié)議(如Ethernet、FDDI、X.25)之上實(shí)現(xiàn)。由于SNMP依賴UDP，而UDP是無連接型協(xié)議，所以SNMP也是無連接型協(xié)議。在管理站和代理者之間沒有在線的連接需要維護(hù)，每次交換都是管理站和代理者之間的一個(gè)獨(dú)立的傳送。2.1SNMP概述

之所以選擇UDP而不是TCP，是因?yàn)閁DP效率較高，這樣實(shí)現(xiàn)網(wǎng)絡(luò)管理不會太多地增加網(wǎng)絡(luò)負(fù)載。但由于UDP不是很可靠，所以SNMP報(bào)文容易丟失。為此，對SNMP實(shí)現(xiàn)的建議是管理信息要裝配成單獨(dú)的數(shù)據(jù)報(bào)獨(dú)立發(fā)送，而且報(bào)文應(yīng)短些，不超過484B。

2.1SNMP概述（3）在管理站中，

SNMP的管理者進(jìn)程（SNMP

Manager)對位于管理站中心的MIB的訪問進(jìn)行控制，并提供網(wǎng)絡(luò)管理員接口。管理者進(jìn)程通過SNMP完成網(wǎng)絡(luò)管理。

SNMP的管理者進(jìn)程向管理應(yīng)用程序提供服務(wù)，它的作用是把管理應(yīng)用程序的服務(wù)調(diào)用變成對應(yīng)的SNMP協(xié)議數(shù)據(jù)單元，并利用UDP數(shù)據(jù)報(bào)發(fā)送出去。

2.1SNMP概述（4）每個(gè)網(wǎng)元或被管設(shè)備也必須實(shí)現(xiàn)SNMP、UDP和IP。有一個(gè)解釋SNMP的消息和控制代理者M(jìn)IB的代理者進(jìn)程。從管理站發(fā)出3類與管理應(yīng)用有關(guān)的SNMP的消息GetRequest、GetNextRequest、SetRequest。3類消息都由代理者用GetResponse消息應(yīng)答，該消息被上交給管理應(yīng)用。另外，代理者可以發(fā)出Trap消息，向管理者報(bào)告有關(guān)MIB及管理資源的事件。2.1SNMP概述圖1SNMP的協(xié)議環(huán)境2.1SNMP概述2.2SNMP管理模型SNMP管理模型的四個(gè)基本組成部分管理者管理代理管理協(xié)議管理信息庫2.2SNMP管理模型SNMP管理組織結(jié)構(gòu)兩層組織模式2.2SNMP管理模型SNMP管理組織結(jié)構(gòu)三層組織模式2.2SNMP管理模型SNMP管理組織結(jié)構(gòu)代理服務(wù)器組織模式1、管理站的輪詢技術(shù)

如果管理站負(fù)責(zé)大量的代理者，而每個(gè)代理者又維護(hù)大量的對象，則靠管理站及時(shí)地輪詢所有代理者維護(hù)的所有可讀數(shù)據(jù)是不現(xiàn)實(shí)的。因此管理站采取陷阱引導(dǎo)輪詢技術(shù)對MIB進(jìn)行控制和管理。2、陷阱引導(dǎo)輪詢技術(shù)(Trap-directedPolling)在初始化時(shí)，管理站輪詢某些關(guān)鍵信息(如接口特性、作為基準(zhǔn)的一些性能統(tǒng)計(jì)值，如發(fā)送和接收的分組的平均數(shù))的代理者。一旦建立了基準(zhǔn)，管理站將降低輪詢頻度。相反地，由每個(gè)代理者負(fù)責(zé)向管理站報(bào)告異常事件。2.2SNMP管理模型

例如，代理者崩潰和重啟動、連接失敗、過載等。這些事件用SNMP的Trap消息報(bào)告。管理站一旦發(fā)現(xiàn)異常情況，可以直接輪詢報(bào)告事件的代理者或它的相鄰代理者，對事件進(jìn)行診斷或獲取關(guān)于異常情況的更多的信息。陷阱引導(dǎo)輪詢可以有效地節(jié)約網(wǎng)絡(luò)容量和代理者的處理時(shí)間。網(wǎng)絡(luò)基本上不傳送管理站不需要的管理信息，代理者也不會無意義地頻繁應(yīng)答信息請求。

2.2SNMP管理模型

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型

1．MicrosoftSNMP服務(wù)

SNMP是TCP／IP協(xié)議族的一部分，提供了在系統(tǒng)之間監(jiān)視并交流狀態(tài)信息的能力?；赪indows的SNMP使用由管理系統(tǒng)和代理組成的分布式體系結(jié)構(gòu)。

Windows下的SNMP2.2SNMP管理模型

Windows的SNMP服務(wù)包括兩個(gè)應(yīng)用程序：一個(gè)是SNMP代理服務(wù)程序SNMP.EXE，另一個(gè)是SNMP陷入服務(wù)程序SNMPTRAP.EXE。Windows的SNMP代理服務(wù)是可擴(kuò)展的，即允許動態(tài)地加入或減少M(fèi)IB信息，叫做擴(kuò)展代理。擴(kuò)展代理處理私有的MIB對象和特定的陷入條件。當(dāng)SNMP代理服務(wù)接收到一個(gè)請求報(bào)文時(shí)，它就把變量綁定表的有關(guān)內(nèi)容送給對應(yīng)的擴(kuò)展代理。擴(kuò)展代理根據(jù)SNMP的規(guī)則對其私有的變量進(jìn)行處理，形成響應(yīng)信息。Windows下的SNMP2.2SNMP管理模型

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型

2.SNMP服務(wù)的執(zhí)行

1)運(yùn)行SNMP的準(zhǔn)備工作

運(yùn)行SNMP要做好如下準(zhǔn)備：主機(jī)名和IP地址、主機(jī)名解析、管理系統(tǒng)、代理、定義SNMP共同體。

2)SNMP共同體的定義

SNMP共同體是運(yùn)行SNMP服務(wù)的主機(jī)所屬的小組，共同體由共同體名識別。

Windows下的SNMP2.2SNMP管理模型

3)SNMP服務(wù)的工作過程

SNMP服務(wù)對管理系統(tǒng)的請求做出響應(yīng)的步驟如下：

(1)SNMP管理系統(tǒng)使用一個(gè)代理的主機(jī)名或IP地址，將請求發(fā)送給該代理。該應(yīng)用程序?qū)⒄埱髠鬟f給套接字(UDP端口)161。

(2)建立包含如下信息的SNMP數(shù)據(jù)包：針對一個(gè)或多個(gè)對象的Get、GetNext或Set請求；共同體名和其他驗(yàn)證信息；數(shù)據(jù)包被路由到代理上的套接字(UDP端口)16l。

(3)SNMP代理在其緩沖區(qū)中接收該數(shù)據(jù)包。對共同體名進(jìn)行驗(yàn)證，如果共同體名無效或數(shù)據(jù)包格式不正確，則將它丟棄。如果共同體名有效，則代理將驗(yàn)證源主機(jī)名或IP地址。

(4)SNMP數(shù)據(jù)包與所請求的信息一起被返回給SNMP管理器。2.2SNMP管理模型

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型3.Windows環(huán)境下SNMP服務(wù)的安裝

在Windows環(huán)境下面學(xué)習(xí)SNMP網(wǎng)絡(luò)管理需要兩個(gè)先決條件。（1）安裝并配置好Windows2000的SNMP服務(wù)器，它是我們前面介紹的代理進(jìn)程；（2）獲取一個(gè)命令行下面的網(wǎng)管工具：snmptuil.exe，這是微軟Windows2000資源工具中的一個(gè)軟件，它也是網(wǎng)絡(luò)管理系統(tǒng)中的管理進(jìn)程。Windows下的SNMP2.2SNMP管理模型

對于被管設(shè)備，如路由器、網(wǎng)橋、主機(jī)等，出廠時(shí)若是可網(wǎng)管的，則廠商已在設(shè)備操作系統(tǒng)中加入了網(wǎng)管功能，只需啟用SNMP，更改共同體名從默認(rèn)的public到一個(gè)不易被外人猜到的字符串，設(shè)置陷阱目標(biāo)地址(設(shè)置為網(wǎng)絡(luò)管理工作站或所在域的域管理代理的IP地址)，即可接受網(wǎng)絡(luò)管理站的管理。Windows下的SNMP2.2SNMP管理模型

網(wǎng)絡(luò)管理站一般部署在服務(wù)器上。根據(jù)實(shí)現(xiàn)功能的強(qiáng)弱，可以有選擇性地運(yùn)行在UNIX及其變體或Windows上，由于目前企業(yè)網(wǎng)的服務(wù)器通常采用UNIX和Windows系列的服務(wù)器，但是網(wǎng)絡(luò)管理員對Windows環(huán)境較為熟悉，故僅面向Windows操作系統(tǒng)加以介紹。Windows下的SNMP2.2SNMP管理模型

SNMP的安裝步驟如下。

(1)打開“控制面板”，雙擊“添加或刪除程序”圖標(biāo)，然后在打開的窗口中單擊“添加/刪除Windows組件”按鈕，彈出“Windows組件向?qū)А睂υ捒?，Windows下的SNMP2.2SNMP管理模型圖3.3

選擇安裝項(xiàng)目2.2SNMP管理模型（2）選中“管理和監(jiān)視工具”復(fù)選框，然后雙擊該選項(xiàng)，彈出如圖所示的對話框。選中“簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)”復(fù)選框，單擊“確定”按鈕。Windows下的SNMP2.2SNMP管理模型

選擇SNMP組件

(3)系統(tǒng)開始復(fù)制文件，如圖所示。在復(fù)制文件過程中，會提示插入系統(tǒng)安裝光盤。將光盤插入后，等待文件復(fù)制完成即可。Windows下的SNMP2.2SNMP管理模型

配置組件

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型

4．SNMP網(wǎng)管代理設(shè)置

(1)在“控制面板”中打開“管理工具”窗口，雙擊“服務(wù)”圖標(biāo)，可以看到本機(jī)已啟動的各種服務(wù)程序。找到SNMPService項(xiàng)，如圖所示，它就是網(wǎng)管代理服務(wù)程序，查看此服務(wù)是否已啟動。

Windows下的SNMP2.2SNMP管理模型

SNMPService服務(wù)

(2)如果SNMPService未啟動，則雙擊此項(xiàng)，在打開的“SNMPService的屬性（本地計(jì)算機(jī)）”對話框中進(jìn)行配置，在該對話框中可以設(shè)置啟動類型(如圖3.7所示)、登錄用戶名與密碼、共同體Community名稱。

Windows下的SNMP2.2SNMP管理模型

啟動類型設(shè)置

另外，在“SNMPService的屬性（本地計(jì)算機(jī)）”對話框中配置可以控制訪問本機(jī)的SNMP代理的主機(jī)IP地址，加入一些允許訪問本機(jī)代理的網(wǎng)絡(luò)服務(wù)站，如圖所示。

Windows下的SNMP2.2SNMP管理模型

SNMPService允許訪問設(shè)置

1．MicrosoftSNMP服務(wù)

2.SNMP服務(wù)的執(zhí)行

3.Windows環(huán)境下SNMP服務(wù)的安裝

4．SNMP網(wǎng)管代理設(shè)置

5．SNMPTrapService服務(wù)設(shè)置

Windows下的SNMP2.2SNMP管理模型

5．SNMPTrapService服務(wù)設(shè)置

SNMPTrapService有時(shí)稱為SNMP事件陷阱，通過設(shè)置Trap，進(jìn)行陷阱時(shí)間捕捉。當(dāng)網(wǎng)管代理發(fā)現(xiàn)設(shè)置的值超出設(shè)定范圍后，就立即啟動自動Trap命令，向網(wǎng)絡(luò)管理員報(bào)告。Trap不必等到網(wǎng)絡(luò)管理員發(fā)出查詢命令，它往往用于一些緊急事件。

Windows下的SNMP2.2SNMP管理模型

SNMPTrapService的配置過程是：首先打開“控制面板”中“管理工具”的“服務(wù)”窗口，查看有無SNMPTrapService項(xiàng)目，如果沒有，則需要安裝相關(guān)的協(xié)議與服務(wù)軟件。如果安裝了相關(guān)的服務(wù)和協(xié)議，則可以對SNMPTrap進(jìn)行設(shè)置。設(shè)置的參數(shù)主要有啟動類型(如圖3.9所示)，登錄用戶名與密碼、故障恢復(fù)參數(shù)、Trap的依存關(guān)系等。

Windows下的SNMPWindows下的SNMP2.2SNMP管理模型圖3.9

SNMPTrap啟動類型設(shè)置

一旦安裝并啟動了簡單網(wǎng)絡(luò)管理協(xié)議SNMP，系統(tǒng)將打開UDP161snmp和UDP162snmptrap兩個(gè)端口。需要注意的是，這里使用的是UDP端口，而不是TCP端口。Windows下的SNMP2.2SNMP管理模型1、被管理的資源的表示－－被管對象在SNMP中，采用面向?qū)ο蟮募夹g(shù)，用被管對象的概念來描述被管理的資源。2、管理信息結(jié)構(gòu)管理信息結(jié)構(gòu)（StructerofManagementInformation，SMI）定義了描述被管對象的規(guī)則，以及管理協(xié)議如何訪問這些對象。

1）定義和構(gòu)造MIB的基本框架。

2）確定了能夠用于MIB中的數(shù)據(jù)類型。

3）說明對象在MIB內(nèi)部怎樣表示和命名。管理信息結(jié)構(gòu)的定義和功能2.3SNMP管理信息結(jié)構(gòu)3、SMI的基本指導(dǎo)思想

SMI的基本指導(dǎo)思想是追求MIB的簡單性和可擴(kuò)充性。因此，MIB只能存儲簡單的數(shù)據(jù)類型：標(biāo)量和標(biāo)量的二維矩陣。我們將看到SNMP只能提取標(biāo)量，包括表中的單獨(dú)的記錄。為什么SMI不使用復(fù)雜的數(shù)據(jù)類型

SMI避開復(fù)雜的數(shù)據(jù)類型是為了降低實(shí)現(xiàn)的難度和提高互操作性。管理信息結(jié)構(gòu)的定義和功能2.3SNMP管理信息結(jié)構(gòu)4、抽象語法表示被管對象的描述必須按照抽象語法表示（AbstractSyntaxNotationOne，ASN.1）進(jìn)行編碼。

ASN.1是一種用于描述結(jié)構(gòu)化客體的結(jié)構(gòu)和內(nèi)容的語言.5、被管對象具有的三個(gè)屬性對象名字、對象語法、對象編碼。

管理信息結(jié)構(gòu)的定義和功能2.3SNMP管理信息結(jié)構(gòu)

對象類型的命名（對象名字）

SNMP的管理信息庫采用和域名系統(tǒng)DNS相似的樹狀結(jié)構(gòu)，它的根在最上面，根沒有名字。它又稱為對象命名樹（objectnamingtree）。

MIB是包含管理設(shè)備及其管理對象的樹狀結(jié)構(gòu)的信息庫。樹狀結(jié)構(gòu)中葉節(jié)點(diǎn)對象就是實(shí)際被管理對象。也就是說，每個(gè)被管對象對應(yīng)樹狀結(jié)構(gòu)的一個(gè)葉子節(jié)點(diǎn)，稱為一個(gè)對象（Object）。

2.3SNMP管理信息結(jié)構(gòu)2.3SNMP管理信息結(jié)構(gòu)樹根是引用ASN.1標(biāo)準(zhǔn)的對象。從樹根開始，第一級有3個(gè)節(jié)點(diǎn):iso、ccitt、joint-iso-ccitt。在iso節(jié)點(diǎn)下面有一個(gè)為“其他組織”使用的子樹。其中有一個(gè)美國國防部的子樹(dod)。SNMP在dod之下設(shè)置一個(gè)子樹用于Internet的管理。國際標(biāo)準(zhǔn)化組織(ISO)1組織(ORG)3美國國防部(DOD)6Internet1目錄1管理2實(shí)驗(yàn)3專用4企業(yè)1MicrosoftCorp

311MIBII1MicrosoftCorp.4.1.311ernet.private.enterprise.microsoft微軟有權(quán)在其下分配名字2.3SNMP管理信息結(jié)構(gòu)

internet子樹由因特網(wǎng)架構(gòu)委員會（IAB）管理，之下定義了4個(gè)節(jié)點(diǎn)：directory為與OSI的directory相關(guān)的將來的應(yīng)用保留的節(jié)點(diǎn)。mgmt用于標(biāo)識所有被IAB批準(zhǔn)的子節(jié)點(diǎn)和對象。experimental用于標(biāo)識在IETF試驗(yàn)下的對象。private用于標(biāo)識單方面定義的對象。

注：第二個(gè)節(jié)點(diǎn)是mgmt（管理）。其下面是管理信息庫，mgmt子樹包含IAB已經(jīng)批準(zhǔn)的管理信息庫的定義。2.3SNMP管理信息結(jié)構(gòu)2．對象類型的命名（對象名字）

MIB中的每個(gè)對象類型都被賦予一個(gè)對象標(biāo)識符(objectidentifier)，以此來命名對象。每一個(gè)對象都代表一些資源、活動或其它要管理的相關(guān)信息。

（1）對象標(biāo)識符

每個(gè)MIB對象都使用對象標(biāo)識符（OID）來唯一標(biāo)識，

2.3SNMP管理信息結(jié)構(gòu)（2）數(shù)字標(biāo)識和名字標(biāo)識

SMI為MIB樹上的每個(gè)節(jié)點(diǎn)分配了一個(gè)數(shù)字標(biāo)識，同時(shí)為了便于記憶和理解，又為每個(gè)節(jié)點(diǎn)提供了一個(gè)文本方式的對象描述符。每個(gè)節(jié)點(diǎn)都可以使用數(shù)字或字符兩種方式顯示。（3）完整的對象標(biāo)識符一個(gè)完整的對象標(biāo)識符是從MIB庫的根開始到此被管對象所對應(yīng)的節(jié)點(diǎn)沿途上所有節(jié)點(diǎn)的數(shù)字標(biāo)識或名字標(biāo)識，中間以“.”間隔而成。2.3SNMP管理信息結(jié)構(gòu)這種訪問方式和文件系統(tǒng)的組織方式一致。主要區(qū)別：

1）文件系統(tǒng)中的路徑名可以以絕對方式也可以以相對方式表示2）MIB數(shù)據(jù)對象只能以絕對方式表示，不能使用相對方式。2.3SNMP管理信息結(jié)構(gòu)

案例：一個(gè)被管對象的對象標(biāo)識符表示。

要訪問數(shù)據(jù)對象sysDescr（1），該對象在system(1)下，而sysDescr（1）處在葉子節(jié)點(diǎn)的位置?，F(xiàn)在看不到樹根root（.），其余所有的分支都是從這里擴(kuò)展而來的。通常用帶點(diǎn)的符號來表示數(shù)據(jù)對象的標(biāo)識符。假定，其完整的標(biāo)識符應(yīng)該是這樣的：

ernet.mgmt.mib.system.sysDescr

（這個(gè)標(biāo)識符應(yīng)該從左向右讀）。2.3SNMP管理信息結(jié)構(gòu)

案例：一個(gè)被管對象的對象標(biāo)識符表示。

被管對象也可以以另一種更短的格式表示，即用數(shù)字形式標(biāo)識符代替分支名形式的表示形式。上面的那種形式的標(biāo)識符

ernet.mgmt.mib.system.sysDescr

還可以用

.來表示。2.3SNMP管理信息結(jié)構(gòu)

這兩種表達(dá)格式的作用是一致的，都表示同一個(gè)MIB數(shù)據(jù)對象，可以根據(jù)個(gè)人偏好選擇表達(dá)格式。許多MIB瀏覽器可以以兩者中任何一種格式來表示數(shù)據(jù)對象，這使得兩種格式間的相互轉(zhuǎn)化非常容易。

2.3SNMP管理信息結(jié)構(gòu)由上可見，對象標(biāo)識符滿足:

1)每個(gè)被管對象都必須有一個(gè)全局對象標(biāo)識符;

2)所有對象標(biāo)識符在全局上構(gòu)成一棵對象標(biāo)識符樹;

3)所有SNMP被管對象的標(biāo)識符以ernet.mgmt.mib開始,

即.2.1。2.3SNMP管理信息結(jié)構(gòu)

在只討論internet中的對象時(shí)，可只畫出internet以下的子樹，并在internet節(jié)點(diǎn)旁邊標(biāo)注上{}即可。對于SNMP來說，樹狀結(jié)構(gòu)的命名方式最大的好處是便于加入新的網(wǎng)絡(luò)管理對象，具有良好的可擴(kuò)展性，新加入的被管對象只是其父節(jié)點(diǎn)子樹的延伸，對其他節(jié)點(diǎn)不會產(chǎn)生影響。

2.3SNMP管理信息結(jié)構(gòu)

1．抽象語法表示法ASN.1

2．SMI對象語法對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

1．抽象語法表示法ASN.1

ASN.1抽象語法標(biāo)記提供了一種表示數(shù)據(jù)的標(biāo)準(zhǔn)方法，是一種高級的對象類型定義語言，它描述了網(wǎng)絡(luò)管理進(jìn)程和代理進(jìn)程之間傳輸?shù)腟NMP報(bào)文的格式。ASN.1定義了一組用來描述OSI網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)結(jié)構(gòu)規(guī)則，SNMP使用它作為管理對象的定義語言和編碼規(guī)則。對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

SNMPMIB中的每個(gè)對象都由一個(gè)形式化的方法定義，說明對象的數(shù)據(jù)類型、取值范圍以及與MIB中的其他對象的關(guān)系。

SMI規(guī)定SNMP中的被管對象必須使用抽象語法表示法ASN.1。各個(gè)對象以及MIB的整體結(jié)構(gòu)都由ASN.1描述法定義。為了保持簡單，只利用了ASN.1的元素和特征的一個(gè)有限的子集。對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

2．SMI對象類型的語法

SMI對象類型的語法規(guī)定了每一個(gè)MIB對象的數(shù)據(jù)類型、允許的形式、取值范圍以及與其它MIB對象之間的關(guān)系。各個(gè)對象以及MIB的整體結(jié)構(gòu)都由ASN.1描述法定義。

對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

MIB庫由一系列對象組成，每一個(gè)對象都有它的類型和取值。

對象類型定義了被管對象的特定種類，對象類型的定義是語法描述。

對象實(shí)例是對象一定要有具體取值的特定實(shí)例。這些對象的定義由5個(gè)字段組成。對象類型的語法2.3SNMP管理信息結(jié)構(gòu)2.3SNMP管理信息結(jié)構(gòu)對象類型的語法每個(gè)MIB變量格式是SMI規(guī)定的，用ASN.1描述如下：(objectname)OBJECT-TYPEDESCRIPTION:(description)SYNTAX:(syntax)ACCESS:(access)STATUS:(status)::={(Parent)number}

1）定義對象

(1)對象OBJECT:

一個(gè)文本名稱，叫做對象描述。

Objectname是被管對象的名字，ASN.1要求對所有對象的名字在MIB中必須是唯一的；OBJECT-TYPE是每一個(gè)節(jié)點(diǎn)對象所必需的關(guān)鍵字；對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

(2)對象說明DESCRIPTION：對象的說明是對此對象的意義的一般性文字描述。DESCRIPTION是對被管對象的功能、特征等進(jìn)行描述的關(guān)鍵字。description是被管對象的文本描述。對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

(2)語法SYNTAX:

對象類型的抽象句法。它必須解析成一種基本數(shù)據(jù)類型(如INTEGER、OCTETSTRING、OBJECTIDENTIFIER或NULL)。SYNTAX是被管對象類型的關(guān)鍵字syntax是被管對象的類型。對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

(4)存取方式ACCESS：

ACCESS是被管對象的訪問方式關(guān)鍵字。access是被管對象的訪問方式。

其值可以是read-only(只讀)、read-write(讀寫)、write-only(只寫)或not-accessible(不可訪問)。

對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

(5)狀態(tài)STATUS：

STATUS是被管對象的關(guān)鍵字。status是被管對象的狀態(tài)。

對象的狀態(tài)有3種即必備的mandatory、可選的optional或廢棄的obsoleteo。對象類型的語法2.3SNMP管理信息結(jié)構(gòu)

對象類型的語法2.3SNMP管理信息結(jié)構(gòu)::={(Parent)number}Parent表示位于MIB樹中的父節(jié)點(diǎn)，number表示本節(jié)點(diǎn)是父節(jié)點(diǎn)下的第幾個(gè)子節(jié)點(diǎn)

案例:下面是MIB-2中TCP功能組的對象tcpMaxConn的完整描述:tcpMaxConnOBJECT-TYPESYSTAXINTEGERACCESSread-onlySTATUSmandatoryDESCRIPTION“ThelimitonthetotalnumberofTCPconnectionstheentitycansupport.Inentitieswherethemaximumnumberofconnectionsisdynamic,thisobjectshouldcontainthevalue一1.”::{tcp5}

SNMP使用BER作為編碼方案，

BER用0、1字符來表示這樣的對象的規(guī)則集合叫做基本編碼規(guī)則(BasicEncodingRules，BER)。

BER描述了如何將ASN.1類型表示和編碼成八位字節(jié)串。它描述了具體的ASN.1對象如何編碼成比特流在網(wǎng)絡(luò)上進(jìn)行傳輸。數(shù)據(jù)首先經(jīng)過BER編碼，再經(jīng)由傳輸層協(xié)議（一般是UDP）發(fā)送往接收方。接收方在SNMP端口收到PDU，經(jīng)過BER解碼后，得到具體的SNMP操作數(shù)據(jù)。

對象信息編碼BER2.3SNMP管理信息結(jié)構(gòu)

管理信息庫是整個(gè)SNMP協(xié)議體系框架的基礎(chǔ)，在這個(gè)數(shù)據(jù)庫包中含著被管理實(shí)體的管理信息。MIB使用SMI中定義的類型和ASN.1中的基本類型進(jìn)行對象描述，是一個(gè)使用SMI描述的管理信息庫。MIB分為標(biāo)準(zhǔn)MIB和企業(yè)自定義MIB。2.4SNMP管理信息庫存儲在管理信息庫中的管理信息以樹形結(jié)構(gòu)進(jìn)行組織，樹形結(jié)構(gòu)中的每一個(gè)葉子節(jié)點(diǎn)都代表一個(gè)信息、變量、配置，管理。

管理信息庫由被管理實(shí)體自已維護(hù)，被管理實(shí)體通過對這樹中相應(yīng)的葉子結(jié)點(diǎn)賦值，反映自已的狀態(tài)。

管理者通過管理代理讀取相應(yīng)的變量以獲得被管理實(shí)體的狀態(tài)信息，也可以通過管理代理修改某些值來實(shí)現(xiàn)控制被管理實(shí)體的功能。2.4SNMP管理信息庫2.4SNMP管理信息庫MIB-II的組對象對象標(biāo)識符說明system.2.1.1提供設(shè)備或系統(tǒng)的信息。interfaces.2.1.2包含網(wǎng)絡(luò)接口的信息。at.2.1.3用于InternetIP地址到數(shù)據(jù)鏈路地址的地址轉(zhuǎn)換表。ip.2.1.4包含關(guān)于該設(shè)備的網(wǎng)際協(xié)議（IP）的統(tǒng)計(jì)信息。icmp.2.1.5包含Internet控制消息協(xié)議（ICMP）的統(tǒng)計(jì)信息。tcp.2.1.6包含傳輸控制協(xié)議（TCP）的統(tǒng)計(jì)信息。udp.2.1.7包含用戶數(shù)據(jù)報(bào)協(xié)議（UDP）的統(tǒng)計(jì)信息。egp.2.1.8包含外部網(wǎng)關(guān)協(xié)議（EGP）的統(tǒng)計(jì)信息。cmot.2.1.9CMOT協(xié)議的信息。transmission.2.1.10提供系統(tǒng)接口之下的特定媒體的信息。snmp.2.1.11包含簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的統(tǒng)計(jì)信息。2.5遠(yuǎn)程監(jiān)視RMONRMON簡介RMON是用于遠(yuǎn)程監(jiān)控的標(biāo)準(zhǔn)規(guī)范，它是由SNMPMIB擴(kuò)展而來。RMON由探測器和管理者兩部分構(gòu)成。

1．RMON背景與提出

SNMPv1有一些明顯的不足，主要有以下幾點(diǎn)。

（1)由于SNMP使用輪詢采集數(shù)據(jù)，在大型網(wǎng)絡(luò)中輪詢會產(chǎn)生巨大的網(wǎng)絡(luò)管理通訊報(bào)文導(dǎo)致網(wǎng)絡(luò)交通擁擠甚至阻塞，故不適合管理大型網(wǎng)絡(luò)；

不適合回收大信息量的數(shù)據(jù)，如一個(gè)完整的路由表；基于SNMP的標(biāo)準(zhǔn)僅提供一般的驗(yàn)證，不能提供可靠的安全保證；

2.5遠(yuǎn)程監(jiān)視RMON

（2）標(biāo)準(zhǔn)管理信息庫MIB-II和各廠家的專有MIB庫主要提供有關(guān)設(shè)備的數(shù)據(jù)，如設(shè)備端口狀態(tài)、流量、錯(cuò)誤包數(shù)等。網(wǎng)絡(luò)管理員只能從這些管理信息庫中獲得單個(gè)設(shè)備的局部信息。要想獲得一個(gè)子網(wǎng)網(wǎng)段的信息是非常困難的，而在規(guī)模越來越大的互聯(lián)網(wǎng)環(huán)境中，人們更需要監(jiān)控的是一個(gè)網(wǎng)段的性能，因此僅僅使用標(biāo)準(zhǔn)MIB獲取設(shè)備的管理信息已經(jīng)不能滿足管理大型互聯(lián)網(wǎng)的需要。

2.5遠(yuǎn)程監(jiān)視RMON（3）為了提高傳送管理信息的有效性、減少管理站的負(fù)擔(dān)、滿足網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)段性能的需求，IETF開發(fā)了RMON（RemoteMonitoring，遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視），以解決SNMP在日益擴(kuò)大的分布式互聯(lián)中所面臨的局限性。2.5遠(yuǎn)程監(jiān)視RMON

2．RMON的基本思想

RMON的基本思想是：把一部分原來在網(wǎng)管方面實(shí)現(xiàn)的功能放到設(shè)備上去實(shí)現(xiàn)。

2.5遠(yuǎn)程監(jiān)視RMON

3．RMON介紹

遠(yuǎn)程網(wǎng)絡(luò)監(jiān)視（RMON）首先實(shí)現(xiàn)了對異構(gòu)環(huán)境進(jìn)行一致的遠(yuǎn)程管理，它為通過端口遠(yuǎn)程監(jiān)視網(wǎng)段提供了解決方案。

RMON是IETF定義的MIB（RFC1757），是對SNMP標(biāo)準(zhǔn)的擴(kuò)展，它定義了標(biāo)準(zhǔn)功能以及在基于SNMP管理站和遠(yuǎn)程監(jiān)控者之間的接口，主要實(shí)現(xiàn)對一個(gè)網(wǎng)段乃至整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的監(jiān)視功能，目前已成為成功的網(wǎng)絡(luò)管理標(biāo)準(zhǔn)之一。2.5遠(yuǎn)程監(jiān)視RMON

RMONMIB的實(shí)現(xiàn)可以記錄某些網(wǎng)絡(luò)事件，即使在網(wǎng)絡(luò)管理站沒有與監(jiān)控設(shè)備主動進(jìn)行連接（脫機(jī)）的情況下，也是一樣的。因此網(wǎng)絡(luò)管理員可以按以下要求配置監(jiān)控：能夠?qū)W(wǎng)絡(luò)進(jìn)行診斷，連續(xù)地收集統(tǒng)計(jì)數(shù)據(jù)，以備日后網(wǎng)絡(luò)管理員進(jìn)行分析。如果某個(gè)閾值超出或某個(gè)事件發(fā)生，監(jiān)視器就會試圖通知負(fù)責(zé)這些事件的網(wǎng)絡(luò)管理站，從而使網(wǎng)絡(luò)管理員避免了面對不可控制的泛濫信息。2.5遠(yuǎn)程監(jiān)視RMONRMONMIB也用于記錄網(wǎng)絡(luò)性能數(shù)據(jù)和故障歷史，可以在任何時(shí)候訪問故障歷史數(shù)據(jù)，以有利于進(jìn)行有效地故障診斷。使用這種方法減少了管理者同代理間的通信流量，使簡單而有力地管理大型互聯(lián)網(wǎng)絡(luò)成為可能。

2.5遠(yuǎn)程監(jiān)視RMON

RMON監(jiān)視器可用兩種方法收集數(shù)據(jù)。一種是通過專用的RMON探測儀（probe），網(wǎng)管站直接從探測儀獲取管理信息并控制網(wǎng)絡(luò)資源，這種方式可以獲取RMONMIB的全部信息。另一種方法是將RMON代理直接植入網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)、Hub等），使它們成為帶RMONProbe功能的網(wǎng)絡(luò)設(shè)施，網(wǎng)管站用SNMP的基本命令與其交換數(shù)據(jù)信息，收集網(wǎng)絡(luò)管理信息，但這種方式受設(shè)備資源限制，一般不能獲取RMONMIB的所有數(shù)據(jù)，大多數(shù)只收集4個(gè)組的信息。

2.5遠(yuǎn)程監(jiān)視RMON

RMONMIB對網(wǎng)段數(shù)據(jù)的采集和控制通過控制表（controltable）和數(shù)據(jù)表（datatabel）完成。

RMONMIB按功能分成9個(gè)組。每個(gè)組有自己的控制表和數(shù)據(jù)表（有些組二者合一，如統(tǒng)計(jì)組）。其中，控制表可讀寫，數(shù)據(jù)表只讀，控制表用于描述數(shù)據(jù)表所存放數(shù)據(jù)的格式。配置的時(shí)候，由管理站設(shè)置數(shù)據(jù)收集的要求，存入控制表。

開始工作后，RMONMonitor根據(jù)控制表的配置，把收集到的數(shù)據(jù)存放到數(shù)據(jù)表。2.5遠(yuǎn)程監(jiān)視RMON

4．RMONMIB組

1）統(tǒng)計(jì)組統(tǒng)計(jì)組（statistics）統(tǒng)計(jì)被監(jiān)控的每個(gè)子網(wǎng)的基本統(tǒng)計(jì)信息。網(wǎng)絡(luò)管理員可以從RMON探針監(jiān)測的設(shè)備端口獲取一個(gè)網(wǎng)段的各種統(tǒng)計(jì)信息。目前只能對網(wǎng)絡(luò)設(shè)備的以太網(wǎng)接口進(jìn)行監(jiān)控、統(tǒng)計(jì)。它能統(tǒng)計(jì)一個(gè)網(wǎng)段的流量（如：交通流量的總包數(shù)和總字節(jié)數(shù)），統(tǒng)計(jì)各種類型包的分布（如廣播包、多點(diǎn)廣播包、不同大小包的數(shù)量），還能統(tǒng)計(jì)各種類型錯(cuò)誤包數(shù)、碰撞次數(shù)等。

2.5遠(yuǎn)程監(jiān)視RMON

2）歷史組

歷史組（history）定期地收集統(tǒng)計(jì)網(wǎng)絡(luò)值的記錄并為日后的處理把統(tǒng)計(jì)存儲起來。它包含兩個(gè)小組：

HistoryControl組主要用來設(shè)置采樣間隔時(shí)間等控制信息；

EthernetHistory組為網(wǎng)絡(luò)管理員提供有關(guān)網(wǎng)段流量、錯(cuò)誤包、廣播包、利用率以及碰撞次數(shù)等其他統(tǒng)計(jì)信息的歷史數(shù)據(jù)。

2.5遠(yuǎn)程監(jiān)視RMON

3）告警組告警組（alarm）允許網(wǎng)管站為網(wǎng)絡(luò)性能（可以是監(jiān)視器本地MIB的任意整數(shù)類型的對象）定義一組報(bào)警閾值。如果閾值在相應(yīng)的方向上被越過，監(jiān)視器就會產(chǎn)生警報(bào)并把警報(bào)發(fā)往網(wǎng)管站。告警組需要事件組的實(shí)現(xiàn)。

2.5遠(yuǎn)程監(jiān)視RMON

4）主機(jī)組主機(jī)組（host）包含對連接在一個(gè)子網(wǎng)上所有主機(jī)的各種類型交通流量的記數(shù)值。它能夠發(fā)現(xiàn)網(wǎng)上的新主機(jī)，對每個(gè)主機(jī)的MAC地址保持一組統(tǒng)計(jì)數(shù)據(jù)，如主機(jī)發(fā)送或接收的數(shù)據(jù)包總數(shù)、廣播包數(shù)、流量字節(jié)數(shù)、錯(cuò)誤包數(shù)等。它有一個(gè)控制表和兩個(gè)數(shù)據(jù)表，這兩個(gè)數(shù)據(jù)表的內(nèi)容相同，只是組織排列順序不同。

2.5遠(yuǎn)程監(jiān)視RMON

5）事件組事件組（event）提供關(guān)于RMON代理所產(chǎn)生的所有事件的表。當(dāng)某事件發(fā)生時(shí)可以記錄日志和（或）發(fā)送TRAP到網(wǎng)管站。

2.5遠(yuǎn)程監(jiān)視RMON

5.RMON應(yīng)用

RMONMIB的使用意味著首次把網(wǎng)絡(luò)管理擴(kuò)展到物理層，使獨(dú)立地收集設(shè)備數(shù)據(jù)成為可能，內(nèi)置的監(jiān)控工具提供了不占用寶貴網(wǎng)絡(luò)資源（帶寬）而對整個(gè)流量進(jìn)行有限度的分析能力，RMON產(chǎn)品已經(jīng)可以使用，而且其數(shù)量在今后會平穩(wěn)增長。

2.5遠(yuǎn)程監(jiān)視RMON

管理者和管理代理之間以傳送SNMP消息的形式交換信息。在SNMP管理中，管理者和管理代理之間交換的管理信息構(gòu)成了SNMP報(bào)文。簡單網(wǎng)絡(luò)管理協(xié)議為管理者和代理定義了3類操作：

1）Set操作用于管理者對被管理實(shí)體的管理信息進(jìn)行設(shè)置，被管理實(shí)體的管理信息由對象標(biāo)識符指定，Set操作通過設(shè)置對象標(biāo)識符的值來實(shí)現(xiàn)對被管理實(shí)體的控制，它可以用來改變被管理實(shí)體的配置或控制被管理實(shí)體的運(yùn)轉(zhuǎn)狀態(tài)。2.6SNMPv1分析2）Get操作用于管理者從被管理實(shí)體的管理信息庫中讀取管理信息。

Get操作具有Get和GetNext兩種形式。

Get操作指示直接讀取指定的OID所表示的被管理實(shí)體的管理信息值。GetNext操作指示讀取指定的OID所表示的被管理實(shí)體在MIB樹中，按照字典順序的下一個(gè)被管理實(shí)體的管理信息值。3）Trap操作用于管理代理向管理者報(bào)告被管理實(shí)體的狀態(tài)變化。

在管理者沒有明確要求的前提下，由管理代理通知管理者，被管理實(shí)體發(fā)生了一些特殊的情況或問題。通常該操作用于向管理者報(bào)告被管理實(shí)體上出現(xiàn)的異常事件。2.6SNMPv1分析2.6SNMPv1分析SNMPv1報(bào)文格式SNMP報(bào)文被封裝在用戶數(shù)據(jù)報(bào)協(xié)議（UDP）報(bào)文的數(shù)據(jù)項(xiàng)中，并通過UDP協(xié)議進(jìn)行傳輸。2.6SNMPv1分析SNMPv1報(bào)文格式SNMP報(bào)文由首部和協(xié)議數(shù)據(jù)單元2部分組成。每個(gè)公共SNMP首部包含一個(gè)指示SNMP版本號的版本標(biāo)識符、一個(gè)用于本次交換的共同體名和一個(gè)指出5種協(xié)議數(shù)據(jù)單元之一的消息類型。共3個(gè)字段。1.SNMP首部

（1）版本：

報(bào)文頭中的版本標(biāo)識符是指SNMP的版本，0代表SNMPvl,1代表SNMPv2;

寫入版本字段的是版本號減1，對于SNMP（即SNMPv1）則應(yīng)寫入0。

2.6SNMPv1分析（2）共同體名（community）：

SNMP用共同體來定義一個(gè)代理者和一組管理者之間的認(rèn)證、訪問控制和代管的關(guān)系。共同體名用于身份認(rèn)證;

這里的共同體名就是一個(gè)字符串，作為管理進(jìn)程和代理進(jìn)程之間的明文口令，常用的是6個(gè)字符public。利用SNMP共同體可以將管理和代理分組，同一共同體的管理和代理才能互相通信；代理不接受共同體之外的管理系統(tǒng)的請求；一個(gè)SNMP可以是多個(gè)共同體的成員。2.6SNMPv1分析（3）PDU類型：根據(jù)PDU的類型，填入0～4中的一個(gè)數(shù)字，其對應(yīng)關(guān)系如表3.19所示。SNMPv1中有5種PDU類型，但只有3種PDU格式。PDU類型名稱0GetRequest1GetNextRequest2GetResponse3SetRequest4Trap2.6SNMPv1分析GetReques操作：從代理進(jìn)程處提取一個(gè)或多個(gè)參數(shù)值。GetNextRequest操作：從代理進(jìn)程處提取緊跟當(dāng)前參數(shù)值的下一個(gè)參數(shù)值。GetResponse操作：返回的一個(gè)或多個(gè)參數(shù)值。這個(gè)操作是由代理進(jìn)程發(fā)出的，它是前面三種操作的響應(yīng)操作。SetRequest操作：設(shè)置代理進(jìn)程的一個(gè)或多個(gè)參數(shù)值。Trap操作：代理進(jìn)程主動發(fā)出的報(bào)文，通知管理進(jìn)程有某些事情發(fā)生。SNMP的5種報(bào)文操作注意：在代理進(jìn)程端是用熟知端口161接收Get或Set報(bào)文。而在管理進(jìn)程端是用熟知端口162來接收GetResponse報(bào)文和Trap報(bào)文。2.6SNMPv1分析SNMPv1報(bào)文格式SNMPv1報(bào)文傳輸，經(jīng)過傳輸層、互聯(lián)層、網(wǎng)絡(luò)存取層以及物理層的網(wǎng)絡(luò)。2.6SNMPv1分析SNMPv1報(bào)文格式SNMPv1報(bào)文協(xié)議數(shù)據(jù)單元分為協(xié)議數(shù)據(jù)單元首部和變量綁定兩個(gè)部分。Get/Set類型報(bào)文與Trap類型報(bào)文的協(xié)議數(shù)據(jù)單元首部格式不同。

2．Get/Set首部

（1）請求標(biāo)識符(RequestID)：這是由管理進(jìn)程設(shè)置的一個(gè)整數(shù)值。代理進(jìn)程在發(fā)送GetResponse報(bào)文時(shí)也要返回此請求標(biāo)識符。管理進(jìn)程可同時(shí)向許多代理發(fā)出Get報(bào)文，這些報(bào)文都使用UDP傳送，先發(fā)送的有可能后到達(dá)。設(shè)置了請求標(biāo)識符可使管理進(jìn)程識別返回的響應(yīng)報(bào)文是對應(yīng)于哪一個(gè)請求的報(bào)文。

2.6SNMPv1分析（2）差錯(cuò)狀態(tài)（ErrorStatus）：由管理代理進(jìn)程在使用GetResponse報(bào)文將查詢結(jié)果返回管理進(jìn)程時(shí)填寫?；卮饡r(shí)填入0～5中的一個(gè)數(shù)字。差錯(cuò)狀態(tài)名字說明0noError一切正常1tooBig代理無法將查詢結(jié)果裝入到一個(gè)SNMP報(bào)文之中2noSuchName操作指明了一個(gè)不存在的變量3badValue一個(gè)Set操作指明了一個(gè)無效值或無效語法4readOnly管理進(jìn)程試圖修改一個(gè)只讀變量5genErr某些其他的差錯(cuò)2.6SNMPv1分析差錯(cuò)索引如果發(fā)生了noSuchName，badValue或readOnly等錯(cuò)誤，則管理代理進(jìn)程在使用GetResponse報(bào)文將查詢的結(jié)果返回管理進(jìn)程時(shí)，需要將一個(gè)整數(shù)值填入差錯(cuò)索引字段，用以指明發(fā)生差錯(cuò)的變量在變量綁定列表中的偏移位置。2.6SNMPv1分析2.6SNMPv1分析SNMPv1報(bào)文格式SNMPv1報(bào)文協(xié)議數(shù)據(jù)單元分為協(xié)議數(shù)據(jù)單元首部和變量綁定兩個(gè)部分。Get/Set類型報(bào)文與Trap類型報(bào)文的協(xié)議數(shù)據(jù)單元首部格式不同。SNMP報(bào)文格式3.Trap首部

（1）企業(yè)（Enterprise）：填入Trap報(bào)文的網(wǎng)絡(luò)設(shè)備的對象標(biāo)識符。此對象標(biāo)識符肯定是在對象命名樹上的enterprise節(jié)點(diǎn){.4.1}下面的一棵子樹上。用以說明是哪家企業(yè)生產(chǎn)的產(chǎn)品。

（2）常規(guī)陷阱（GenericTrap）分為coldStart、warmStart、linkDown、linkUpauthenticationFailure、egpNeighborLoss和enterpriseSpecific等七種情況。每種情況都有對應(yīng)的代碼。Trap類型名字說明0coldStart代理進(jìn)行了初始化1warmStart代理進(jìn)行了重新初始化2linkDown一個(gè)接口從工作狀態(tài)變?yōu)楣收蠣顟B(tài)3linkUp一個(gè)接口從故障狀態(tài)變?yōu)楣ぷ鳡顟B(tài)4authenticationFailure從SNMP管理進(jìn)程接收到具有一個(gè)無效共同體的報(bào)文5egpNeighborLoss一個(gè)EGP相鄰路由器變?yōu)楣收蠣顟B(tài)6enterpriseSpecific代理自定義的事件，需要用后面的“特定代碼”來指明SNMP報(bào)文格式（3）特殊陷阱（SpecificTrap）

特殊陷阱用于廠商擴(kuò)展的陷阱代碼，當(dāng)常規(guī)陷阱的類型為6時(shí)，特殊陷阱字段指明由代理自定義的事件。

（4）時(shí)間戳(timestamp)：指明自代理進(jìn)程初始化到trap報(bào)告的事件發(fā)生所經(jīng)歷的時(shí)間，單位為10ms。例如時(shí)間戳為1908，表明在代理初始化后1908ms發(fā)生了該事件。SNMP報(bào)文格式4．變量綁定變量綁定指明一個(gè)或多個(gè)變量的名和對應(yīng)的值。在Get或GetNext報(bào)文中，變量的值應(yīng)忽略。

在SNMP中，可以將多個(gè)同類操作(Get、Set、Trap)放在一個(gè)消息中。如果管理站希望得到一個(gè)代理者處的一組標(biāo)量對象的值，它可以發(fā)送一個(gè)消息請求所有的值，并通過獲取一個(gè)應(yīng)答得到所有的值。這樣可以大大減少網(wǎng)絡(luò)管理的通信負(fù)擔(dān)。

SNMP報(bào)文格式為了實(shí)現(xiàn)多對象交換，所有的SNMP的PDU都包含了一個(gè)變量綁定字段。這個(gè)字段由對象實(shí)例的一個(gè)參考序列及這些對象的值構(gòu)成。某些PDU只需給出對象實(shí)例的名字，如Get操作。對于這樣的PDU，接收協(xié)議實(shí)體將忽略變量綁定字段中的值。SNMP報(bào)文發(fā)送與接收圖3SNMP報(bào)文發(fā)送SNMP報(bào)文發(fā)送與接收圖4SNMP報(bào)文接收SNMP安全分析SNMP安全威脅偽造攻擊者假冒授權(quán)用戶對被管設(shè)備進(jìn)行未授權(quán)管理操作，導(dǎo)致網(wǎng)絡(luò)管理混亂或失控。消息流修改攻擊者利用SNMP協(xié)議傳輸?shù)拇嗳跣?，以授?quán)用戶的身份修改SNMP消息，生成虛假的管理消息。SNMP安全分析SNMP安全威脅消息竊聽攻擊者通過安裝特殊軟件或設(shè)備，竊聽明文傳遞的SNMP消息，特別是管理設(shè)備的訪問口令。拒絕服務(wù)攻擊攻擊者利用SNMP系統(tǒng)的脆弱性，發(fā)送大量的管理信息或者虛假管理配置信息，導(dǎo)致網(wǎng)絡(luò)中斷。流量分析

攻擊者通過分析SNMP消息傳遞，挖掘出一些敏感信息。SNMP安全分析SNMP安全需求提供消息的完整性驗(yàn)證機(jī)制提供消息的源驗(yàn)證機(jī)制提供消息的時(shí)間戳標(biāo)識提供防止消息內(nèi)容泄漏和非法讀寫的保護(hù)機(jī)制管理者和管理代理之間相互認(rèn)證SNMP安全分析SNMP共同體認(rèn)證/共同體訪問控制

RFC1157給出了SNMP中管理站和被管理的一種認(rèn)證訪問控制機(jī)制，這種機(jī)制由兩部分組成：

（1）基于團(tuán)體名認(rèn)證機(jī)制（2）基于共同體名訪問授權(quán)機(jī)制共同體名認(rèn)證機(jī)制：保證管理站和代理之間的通信是經(jīng)過授權(quán)的，從管理站發(fā)送到代理的消息都有一個(gè)共同體名，類似口令一樣，通過共同體名驗(yàn)證的消息才是有效的。訪問授權(quán)機(jī)制：解決代理如何控制自已的管理信息庫的問題，以防止管理站非授權(quán)訪問管理信息庫。SNMPV2的改進(jìn)支持分布式管理改進(jìn)了管理信息結(jié)構(gòu)增強(qiáng)了管理信息通信協(xié)議的能力與前兩種版本相比，SNMPV3中增加了安全管理方式及遠(yuǎn)程控制。SNMPV3結(jié)構(gòu)引入了基于用戶的安全模型用于保證消息安全及基于視圖的訪問控制模型用于訪問控制（USM）。這種安全管理方式支持不同安全性，訪問控制及消息處理等模式的并發(fā)使用。SNMP中的遠(yuǎn)程配置

SNMPV3使用SNMPSET命令配置MIB對象，使之能動態(tài)配置SNMP代理。這種動態(tài)配置方式支持本地或遠(yuǎn)程地配置實(shí)體的添加、刪除及修改。SNMPV3的改進(jìn)

1．MIB瀏覽器簡介

MIB變量瀏覽器是一種重要的網(wǎng)絡(luò)管理工具。

MIB瀏覽器也稱為MIB編輯器，它使得用戶能夠以不同的方式遍歷特定的MIB樹，獲得不同的對象“視圖”。它的輸出通常是圖形化的，而且會給出所有MIB變量的簡要信息，并標(biāo)出其在樹中的位置。

MIB瀏覽器使得對于MIB變量的瀏覽變得更加方便和容易。網(wǎng)絡(luò)管理人員可以利用MIB變量瀏覽器取出網(wǎng)元的前端配置信息、性能參數(shù)以及統(tǒng)計(jì)數(shù)據(jù)等，對網(wǎng)絡(luò)情況進(jìn)行監(jiān)視。2.7MIB瀏覽器

2．snmputilSNMP信息查詢實(shí)用工具--MIB瀏覽器。ResourceKit里面的工具snmputil，通過該工具可以方便地獲得非常多的信息。下載地址：/abu/tools/win/snmputil.exe。Snmputil.exe提供最基本的、低級的SNMP功能。通過使用不同的參數(shù)和變量，可以顯示設(shè)備情況以及和管理設(shè)備。

snmputil是一個(gè)命令行下的軟件，使用語法如下：snmputil[get|getnext|walk]agentcommunityoid[oid…]第一個(gè)參數(shù)為[get|getnext|walk]。

get操作獲得所請求的對象標(biāo)識符的值。

getnext操作獲得指定對象標(biāo)識符的下一個(gè)對象的值。因?yàn)橐粋€(gè)設(shè)備的所有SNMP變量都是規(guī)則排列的，所以使用getnext命令參數(shù)就可以獲取一個(gè)設(shè)備中的所有變量值及OID，而不需要事先知道它們的準(zhǔn)確OID值。

walk操作可以遍歷對象標(biāo)識符所指定的管理信息庫(MIB)分支信息（所有數(shù)據(jù)庫子樹/子目錄的信息）。

第二個(gè)參數(shù)agent表示指定將SNMP請求發(fā)送給哪個(gè)設(shè)備的代理進(jìn)程。在這里可以是代理進(jìn)程的IP地址或者localhost（本地主機(jī)）。

第三個(gè)參數(shù)community指定使用哪個(gè)共同體（即驗(yàn)證字符串或口令），共同體名加上發(fā)送方的一些標(biāo)識信息(附加信息)，用以驗(yàn)證發(fā)送方確實(shí)是共同體中的成員。共同體實(shí)際上就是用來管理應(yīng)用實(shí)體之間身份鑒別的，在這里是public。在每個(gè)發(fā)送到被管理設(shè)備的SNMPUDP信息包中，這個(gè)口令是以純文本形式傳輸?shù)?。?dāng)一個(gè)Win2K設(shè)備安裝上SNM