1、2020/8/2,DP500028 SNMP協(xié)議原理,ISSUE 1.0,Page 2,學(xué)習(xí)此課程，您將會： 了解網(wǎng)絡(luò)管理的基本架構(gòu) 了解MIB的基礎(chǔ)知識 掌握SNMP的基本原理 掌握SNMP的基本配置,目 標,Page 3,第1章網(wǎng)絡(luò)管理體系架構(gòu) 第2章MIB簡介 第3章SNMPv1 第4章SNMPv2c 第5章SNMPv3 第6章SNMP基本操作 第7章總結(jié)與回顧,內(nèi)容介紹,Page 4,網(wǎng)絡(luò)管理所面臨的挑戰(zhàn),網(wǎng)絡(luò)和分布式處理系統(tǒng)的快速發(fā)展與大規(guī)模的應(yīng)用 網(wǎng)絡(luò)及其相關(guān)資源和分布式應(yīng)用程序變得越來越重要 例如：Clearcase, Notes, Mail 健壯的，能提供7X24小時的服務(wù) 網(wǎng)

2、絡(luò)變得越來越復(fù)雜，支持更多的應(yīng)用程序和用戶 更容易出現(xiàn)問題，發(fā)生故障 網(wǎng)絡(luò)管理已成為網(wǎng)絡(luò)解決方案中重要的一部分 花費最少：人力，設(shè)備，資金 提供更智能的網(wǎng)絡(luò)管理服務(wù),Page 5,網(wǎng)絡(luò)管理的現(xiàn)狀,在一個大型的網(wǎng)絡(luò)里，我們無法僅依賴人手工來完成整個的網(wǎng)絡(luò)管理的工作 迫切的需要一種自動化的工具協(xié)助我們管理好網(wǎng)絡(luò) 需要管理的設(shè)備和資源很可能來自于不同的廠商 如果每個廠商都提供一套獨立的管理接口 比如，命令行（Command Line Interface） 學(xué)習(xí)各種廠商工具的培訓(xùn)費用開銷激增 受限于廠商專有的配置管理工具 一套覆蓋服務(wù)，協(xié)議和管理信息庫的標準孕育而生，并且迅速得到了廣泛的應(yīng)用 Simp

3、le Network Management Protocol,Page 6,基于SNMP網(wǎng)絡(luò)管理模型,Page 7,網(wǎng)絡(luò)管理站 (Network Management Station）,通常是一個獨立的設(shè)備，運行著網(wǎng)絡(luò)管理的應(yīng)用程序 提供一個非常友好的人機交互界面，網(wǎng)絡(luò)管理員能通過它完成絕大數(shù)的網(wǎng)絡(luò)管理工作 提供失效管理，安全管理，計費管理，配置管理，性能管理等功能,Page 8,代理器（Agent）,Agent是駐留在被管理設(shè)備一端 負責(zé)接受、處理來自網(wǎng)管站的請求報文，并形成響應(yīng)報文，返回給NMS 請求包括：信息的查詢和動作的執(zhí)行 在一些緊急情況下，主動通知NMS（發(fā)送陷阱TRAP報文） 如

4、接口狀態(tài)發(fā)生改變，呼叫成功等 NMS和Agent之間通過SNMP協(xié)議來交互管理信息,Page 9,網(wǎng)絡(luò)管理協(xié)議-SNMP,是一個基于TCP/IP網(wǎng)絡(luò)的應(yīng)用層協(xié)議，用于在網(wǎng)絡(luò)管理站和被管理的設(shè)備之間交換網(wǎng)絡(luò)管理信息 SNMPv2可以在多種傳輸協(xié)議IPX，DDP等上使用 Huawei-3com VRP平臺支持以下三個協(xié)議版本： SNMPv1 SNMPv2c SNMPv3 后面部分會對協(xié)議進行具體講解,Page 10,管理信息庫（Management Information Base）,任何一個被管理的資源都表示成一個對象，稱為被管理的對象 MIB就是一個被管理的對象的集合 Agent都會維護一個M

5、IB庫 可以對MIB庫中的對象進行讀取或設(shè)置,Page 11,第1章網(wǎng)絡(luò)管理體系架構(gòu) 第2章MIB簡介 第3章SNMPv1 第4章SNMPv2c 第5章SNMPv3 第6章SNMP基本操作 第7章總結(jié)與回顧,內(nèi)容介紹,Page 12,管理信息庫（Management Information Base）,MIB是一個被管理對象的集合，它將定義被管理對象的一系列的屬性： 對象的名字（Object IDentifier） 對象的訪問權(quán)限 對象的數(shù)據(jù)類型 管理信息結(jié)構(gòu)（Structure of Management Information ）中規(guī)定了被管理對象應(yīng)該如何的組織和定義 SMIv2 (RFC

6、2578) SMIv1 (RFC 1155),Page 13,MIB結(jié)構(gòu),MIB是以樹狀結(jié)構(gòu)進行存儲的 樹的節(jié)點表示管理對象，它可以用從根開始的一條路徑來無二義的識別：OID,Page 14,OID,唯一的標識一個MIB庫中的對象 OID分配機制，保證OID不會沖突 OID是由一些系列的整數(shù)組成，標明節(jié)點在MIB樹中的位置 MIB一旦發(fā)布，OID就要和被定義的對象進行綁定 MIB節(jié)點不能被刪除，只能將它的狀態(tài)置為“obsolete” 不贊成對MIB節(jié)點的反復(fù)變更,Page 15,MIB 舉例,Page 16,MIB 舉例,Address: Object ID = 1.1 Object Inst

7、ance = 1.1.0 Value of Instance = 130.89.16.2 Name: Object ID = 1.2.1 Object Instance = 1.2.1.0 Value of Instance = printer-1,Page 17,SMIv1 max-repetitions = 2; 1.1; 1.3.1.2; 1.3.1.3) response( 1.1.0 = 130.89.16.2; 1.3.1.3 = 3; 1.3.1.5 = 2； 1.3.1.5 =2; 1.3.1.7 =2 ),Page 34,SNMPv2c提供更豐富的錯誤碼,用于說明 報文錯誤

8、原因,指名變量 綁定對中 第幾個參 數(shù)出錯,Page 35,SNMPv2c提供更豐富的錯誤碼,Page 36,第1章網(wǎng)絡(luò)管理體系架構(gòu) 第2章MIB簡介 第3章SNMPv1 第4章SNMPv2c 第5章SNMPv3 第6章SNMP基本操作 第7章總結(jié)與回顧,內(nèi)容介紹,Page 37,為什么會提出SNMPv3？,1998年提出,2002年形成了一套正式的標準 是為了改進SNMPv1/v2c在安全性方面的缺陷 基于團體名(community name)的有限的安全機制 團體名是明文傳輸，入侵者很容易通過抓包工具來獲取 報文不支持加密 限制了SNMP在非完全信任的網(wǎng)絡(luò)中的使用 SNMPv3在繼承了SN

9、MPv2c的基礎(chǔ)上，提供 認證 加密 訪問控制,Page 38,SNMPv3 基于用戶的安全模型(User-Based Security Model),基于用戶的安全模型(User-Based Security Model) 提供了認證(Authentication)和加密(Privacy)的功能 定義了3個安全級別： 無認證無加密 (noAuthNoPriv） 有認證無加密 (authNoPriv) 有認證有加密 (authPriv) 注意：不存在無認證有加密(noauthPriv),因為加密所使用的密碼必須與用戶相關(guān)聯(lián),Page 39,SNMPv3 基于用戶的安全模型 認證,認證機制確保管

10、理站和Agent之間的通信是可信的 Agent收到的請求報文是報文中所聲明的管理站發(fā)送的 管理站接收到響應(yīng)報文是它所希望的目標Agent所響應(yīng)的 保證消息的完整性，在傳輸過程中沒有被篡改 通過時間窗的機制，防止重放 認證協(xié)議：HMAC-MD5或者HMAC-SHA,Page 40,SNMPv3 基于用戶的安全模型 認證,基本原理 雙方共享一個私有密鑰，發(fā)送方使用此密鑰來創(chuàng)建一個Message Authentication Code（MAC） 接收方使用認證密鑰來計算出此MAC，如果與發(fā)送方的MAC互相匹配，該消息就通過了認證,Page 41,SNMPv3 基于用戶的安全模型 加密,加密范圍：消息

11、報文中PDU部分 加密協(xié)議：CBC-DES,Page 42,SNMPv3 安全訪問控制(View-Based Access Control Model),安全訪問控制可以使Agent對不同的管理者提供不同的管理信息庫訪問權(quán)限 限制訪問MIB庫信息的訪問視圖 限制訪問MIB庫信息的操作類型,Page 43,SNMPv3 安全訪問控制(View-Based Access Control Model),Page 44,SNMPv3 配置舉例,scarlet 是v3的一個用戶，她的安全級別為authPriv，她屬于huawei-3com組，她有權(quán)限對MIB-2中的非atTable內(nèi)的節(jié)點進行讀或?qū)?P

12、age 45,第1章網(wǎng)絡(luò)管理體系架構(gòu) 第2章MIB簡介 第3章SNMPv1 第4章SNMPv2c 第5章SNMPv3 第6章SNMP基本操作 第7章總結(jié)與回顧,內(nèi)容介紹,Page 46,MIBBrowser（編譯MIB）,菜單：,1.選擇mib文件(可一次選擇多個mib文件) 2.編譯mib文件(可一次編譯多個mib文件) 3.查看編譯信息,確保編譯ok 4.彈出編譯后的模塊保存框 5.Mib文件所在目錄無漢字無空格 6.模塊間依賴關(guān)系,編譯信息：,Page 47,MIBBrowser（MIB裝載）,菜單,裝載操作,Page 48,MIBBrowser（參數(shù)配置）,菜單,配置窗口（不能修改Ag

13、ent Address）：,修改Agent Address:,Page 49,MIBBrowser（參數(shù)配置V1/V2）,1、協(xié)議：SNMPV1 2、Port Number：SNMP的端口號，默認161 3、Read Community：只讀團體字默認public 4、Write Community：讀寫團體字默認private 5、Timeout：超時時間，默認5s 6、Retries：重試次數(shù)，默認4 7. GetBulk參數(shù)： a. Non Repeaters：不重復(fù)的索引，默認0 b. Max Repetitions：最大重復(fù)次數(shù)，默認10,Page 50,MIBBrowser（參數(shù)配

14、置V3）,1、配置用戶：,用戶屬性： User Name：用戶名稱 Auth Protocol：驗證協(xié)議（md5，sha） Priv Protocol：加密協(xié)議（des，idea） Auth Pass：驗證密碼 Priv Pass：加密密碼,Page 51,MIBBrowser（MIB操作）,MIB Browse操作： 1、Contact：檢測一下是否可以和代理聯(lián)系上，取代理sysoid的值。 2、 Walk：對選中節(jié)點下的子樹進行遍歷操作 3、 Get：使用選中MIB節(jié)點的OID向代理發(fā)送Get操作。對父節(jié)點無效 4、 GetNext：使用選中MIB節(jié)點的OID向代理發(fā)送GetNext操作

15、5、 Get Bulk：使用選中MIB節(jié)點的OID向代理發(fā)送GetNext操作 6、 Set：發(fā)送Set操作。對父節(jié)點無效 7、 Table View：查看表信息，針對表節(jié)點和表的父節(jié)點有效 8、 Find：在MIB樹中查找一節(jié)點 9、 Properties：查看MIB節(jié)點屬性,Page 52,Quidview DM (參數(shù)配置),SNMPv1/v2配置,SNMPv3配置,Page 53,Quidview DM (打開設(shè)備),菜單,1.輸入設(shè)備IP 2.選擇SNMP配置 3.雙擊設(shè)備樹中的所選設(shè)備 4.顏色變綠為ok，否則Fail,Page 54,Quidview DM (操作),選擇要操作的

16、對象,對對象進行snmp操作,1.注意Quidview與mib browse的區(qū)別 2.在Quidview中瀏覽、刷新等查看操作將涉及到get/getnext操作;配置和修改涉及到set操作;trap操作在DM中體現(xiàn)不出來 3.DM中不能接收Trap報文，只有在NMF中才能接收到。,Page 55,Quidview DM (操作驗證),請求報文,應(yīng)答報文,1.使用抓包工具驗證snmp基本操作：get/getnext/set/trap 2.get/getnext/set請求報文中,源端口任意,目的端口161,應(yīng)答報文中,源端口161,目的端口任意 3.Trap報文,源端口任意,目的端口162.,抓包工具NetWizard,Page 56,第1章網(wǎng)絡(luò)管理體系架構(gòu) 第2章MIB簡介 第3章SNMPv1 第4章SNMPv2c 第5章SNMPv3 第6章SNMP基本操作 第7章總結(jié)與回顧,內(nèi)容介紹,Page 57,SNMPv1，v2 & v3 總結(jié),Page 58,簡單網(wǎng)絡(luò)管理協(xié)議 (Simple Network Management Protocol),簡單