第4章_简单网络管理协议与远程网络监视

nullnull第4章 简单网络管理协议与远程网络监视 简单网络管理协议（SNMP）是Internet中基于TCP/IP的网络管理协议。SNMP的推出，由于其简单性、实施容易和应用成本低廉等特点，而受到业界许多厂家的广泛支持，现已成为事实上的标准。 本章主要从SNMP的体系结构、管理模型、工作机制、协议操作等方面介绍SNMP的有关理论知识，同时简单介绍远程网络监视RNOM方面基本概念。 null4.1 SNMP概述 4.1.1 SNMP的发展历史 4.1.2 基本体系结构 4.1.3 SNMP操作 4.1.4 SNMP的工作机制null4.1.1 SNMP的发展历史 简单网络管理协议（SNMP，Simple Network Management Protocol）诞生于1988，那时由于CMIP迟迟不能成熟并应用于网络管理，Internet体系结构委员会（IAB）在原有简单网关监控协议（SGMP）的基础上进一步修改后提出了SNMP。 SNMP的最初版本是SNMPv1，SNMPv1存在两方面的问题： 一是安全，SNMP只定义了安全性极为有限的基于共同体名授权使用的安全模型； 二是管理信息的可靠传输问题，由于SNMPvl是在UDP上实现的，而UDP并不保证所有报文都能够正确传送。null 增强的SNMPv2使该协议更加高效，同时还保持了它容易实现和成本低廉的特点，SNMPv2可以与SNMPv1透明地共存，它在性能、管理进程与管理进程通信方面对SNMP进行了改进，如减少了SNMP业务流、允许大块数据的传送、添加了一个用于高速网络环境下的64位计数器；对基于Novell IPX，Apple Talk DDP和OSI的SNMP作了映射；但在安全性方面仍未能达到令人满意的结果。 1998年1月产生了SNMPv3管理控制框架，它由RFC2271－2275等几个文档共同，形成了SNMPv3的建议。 SNMPv3在保持SNMPv2基本管理功能的基础上，增加了安全性和管理性描述。 另外，SNMP最重要的进展是远程监控（RMON）能力的开发。RMON为网络管理者提供了监控整个子网而不是各个单独设备的能力。RMON还对基本SNMP MIB进行了扩充。 null4.1.2 基本体系结构 1．SNMP管理模型 2. SNMP中的元素 SNMP体系结构由管理站、代理、管理信息库（MIB）和通信协议SNMP构成。 3．委托代理 null4.1.3 SNMP操作 管理信息的交换通过GetRequest、GetNextRequest、SetRequest、GetResponse、Trap共5个SNMP协议操作进行。 其中前三个消息由管理站发给代理用于请求读取或修改管理信息，后两个消息由代理发给管理站。 GetResponse用于对各种读取和修改管理信息的请求进行应答； Trap用来主动向管理站报告代理系统中发生的事件，如节点机分组队列长度超过阈值，接口链路up或down等。nullnull4.1.4 SNMP的工作机制 在通信网管理过程中，用来使管理信息库与实际设备或设施的状态和参数保持一致的方法主要有两个。一个是基于中断的事件驱动方法，另一个是轮询驱动方法。null4.2基于SNMP的通信 4.2.1 对象访问策略 4.2.2 实例符 4.2.3 报文的发送与接收 4.2.4 SNMP报文格式 4.2.5 SNMP MIB组 4.2.6 SNMP的改进 null4.2.1 对象访问策略 在基于SNMP的网络管理中，SNMP通过共同体（Community，也有地方称为团体）的概念来解决访问策略问题。 共同体是SNMP体系中的一中安全机制，它是一个在代理中定义的本地的概念。通过定义共同体，代理系统就可以限制只有一些选定的管理站才能访问它的MIB对象。同时，通过使用多个共同体，代理可以为不同的管理站提供不同的MIB访问类别。 每个共同体被赋予一个在代理内部唯一的共同体名（也叫团体名），该共同体名要提供给共同体内的所有的管理站，以便它们在get和set操作中应用。 一个代理可以与多个管理站建立多个共同体，同一个管理站也可以出现在不同的共同体中。 null在SNMP中实行共同体机制可以达到一下目的： 1．认证服务 2．委托代理服务 3．访问策略 （1）SNMP MIB视图 （2）SNMP访问模式（方式） MIB视图和访问模式的结合被称为SNMP共同体轮廓（profile）。 事实上，在一个共同体轮廓之内，存在两个独立的访问限制，其一是MIB对象定义中的访问限制（参见第3章中有关MIB功能组及对象部分的内容）和SNMP访问模式。这两个访问限制在实际应用中必须相互协调。 nullMIB访问方式与SNMP访问模式的关系null4.2.2 实例标识符 在MIB中的每个被管对象都有一个唯一的对象标识符，以区分不同的被管对象，其命名规则都是按照其所在MIB树上的层次和位置来决定。 在对SNMP MIB的访问中，实际上是对被管对象（叶子节点对象）实例的访问，而当在一个对象有多个实例时，例如表格，对象的标识符就不能唯一地标识被管对象的实例。因此必须确定被管对象实例的唯一标识方法，也就是实例标识符的命名方法。 实例标识符就是把列对象的对象标识符与索引对象的值组合起来而构成的。null4.2.3 报文的发送与接收 1．SNMP报文的发送 （1）构成PDU； （2）将构成的PDU、源和目的传送地址（IP地址及端口号）以及共同体名作为一个ASN.1的对象移交给认证服务。认证服务完成所要求的变换，例如进行加密或加入认证码，然后返回一个经过加密或认证的ASN.1对象； （3）将版本字段、共同体名以及上一步的结果组合成为一个报文； （4）用基本编码规则（BER）对这个新的ASN.1的对象编码，然后传给传输服务。null2．SNMP报文的接收 （1）进行消息的基本句法检查，丢弃非法消息。 （2）检查版本号，丢弃版本号不匹配的消息。 （3）认证检查。如果认证失败，认证服务SNMP实体，由它产生一个trap并丢弃这个报文；如果认证成功，认证服务返回SNMP格式的PDU。 （4）进行PDU的基本句法检查，如果非法，丢弃该PDU，否则根据共同体名选择SNMP访问策咯，对PDU进行相应处理。 null3．变量绑定 在SNMP中，可以将多个同类操作（get、set、trap）放在一个报文中。如果管理站希望得到一个代理的一组简单对象的值，它可以发送一个报文请求所有的值，并通过获取一个应答得到所有的值。这样可以大大减少网络管理的通信负担。null4.2.4 SNMP报文格式 在SNMP管理中，管理站和代理之间交换的管理信息构成了报文。 报文由3部分组成，即版本号、团体名和协议数据单元（PDU）。 SNMP共有5种管理操作，但只有3种PDU格式。nullSNMP报文格式GetRequest PDU、GetNextRequest PDU、SetRequest PDUGetResponse PDUTrap PDU变量绑定表null4.2.5 SNMP MIB组 MIB-II中的snmp组，其对象标识符为{mib-2 11} null4.2.6 SNMP的改进 SNMPv2增加了Manager-to-Manager通信，对SMI进行了更新和扩充，提出了行的概念，支持表的行建立和删除操作。 还增加了get-bulk-request和inform-request两个非常有用的PDU，对trap进行格式改造，使其具有与其他PDU相同的格式。 SNMPv2还对MIB进行很大扩充，特别是在Internet节点下增加了snmpv2模块。null SNMPv3提出了一个面向各个版本的SNMP通用的体系结构。 每个实体包含一个引擎和若干应用，并由所包含的引擎的ID命名。 引擎由分发器、消息处理子系统、安全子系统和访问控制子系统构成。 实体内部子系统之间采用抽象服务接口来定义相互之间的服务关系。 SNMP服务的请求者被称为Principle，即用户，它由具有安全性的名称标识。SNMPv3建议采用基于用户的安全模型（USM）来实现安全服务，采用基于视图的访问控制模型（VACM）进行访问控制。 SNMPv3的一大进步是大大提高了管理信息访问的安全性。null4.3 远程网络监视RMON 4.3.1 远程网络监视的需求 4.3.2 远程网络监视的目标 4.3.3 RMON MIB 4.3.4 RMON 2 网络管理技术的一个新趋势是采用远程网络监视（RMON, Remote Network Monitoring），它是对SNMP功能的扩充，对监测和管理交换或局域网特别适用，是简单网络管理向互联网管理过渡的重要步骤。 null4.3.1 远程网络监视的需求 虽然MIB将数据的总和记录下来，但它无法对日常通信量进行历史分析。为了查看每天的通信流量和变化率，管理人员必须不断的轮询SNMP代理，可能每分钟就轮询一次。null 网络管理员可以使用SNMP来评价网络运行状况，并预测通信的趋势，决定采取某种措施。 理论上讲，管理站可以通过不断地轮询各个节点的MIB来计算网络流量，但在实际上这是不太可行的。 一方面会导致网络中传递大量的管理信息，使网络不堪负荷； 二方面，将收集数据的负担加在网络管理控制台上（管理进程端）。管理站所在计算机的处理能力总是有限的，当监控十多个网段时，可能CPU就无法应付。另外，也会由于承载管理操作命令和操作结果的分组的丢失而使得统计结果不准确。null 基于上述原因，人们提出了一种高效、低成本的网络监视，即RMON。 RMON就是将一些专用设备配置在各个节点，并将这些设备称为网络监测器（network monitor或probe），由此便产生了RMON的概念。 一般，监测器对网络中各种类型的分组进行观察，从而得到网络的总体信息，监测器还可将一些分组存储下来，以备事后分析。在互联网环境下，为了达到监测网络流量的目的，一般每个子网需要一个监测器。监测器通常是一个独立的设备，专用于捕获和分析流量。nullRMON有许多先进之处： （1）每个RMON设备都对本地网段进行监测和分析，既可被动也可主动地向网络管理系统传递信息。例如，当它发现严重的分组丢失和过高的冲突率时，可以主动地报警。由于监测是在本地进行的，所以得出的分析结果是非常可靠的。 （2）这种工作方式大大降低了SNMP的流量。 （3）RMON降低了网络管理系统时时能“见”到所有Agent的必要性。Agent常常会因为网络过载等原因而联系不上，如果没有RMON设备，此时Agent到底发生了什么情况事后是难以调查的，因此，往往Agent越是联系不上，网络管理系统越要与它联系。 （4）RMON设备对本地子网的监测几乎可以做到连续不断，这会显著提高统计和控制的精度，使得故障能够及时被发现、报告和诊断。null4.3.2 远程网络监视的目标 为了对RMON技术提供标准，IETF发布了RFC1757和RFC1513，分别对Ethernet LAN和token ring LAN的RMON进行了规范，形成了第一个版本的RMON。 nullRMON的目标： （1） 离线操作 在必要时由网络管理站来限制或停止对监视器的轮询，有限查询可以节约通信开支。如查询通信失败或管理站发生错误，查询会终止。一般情况下，即使监视器没有被网管站查询，也会继续不停的收集使性能和配置信息。监视器不断积累统计信息，以便管理站将来查询时提供管理信息。 （2） 主动监视 若监视器有足够的资源，通信负载也允许，监视器可以连续不断地运行诊断程序，对网络进行诊断并记录网络性能状况。在子网出现故障时通知管理站，向管理站提供诊断故障的有用信息。null（3） 问题监测和报告 主动监视探测网络将消耗较多的网络资源去检测错误和异常情况。监视器也可以根据它所观测到的流量被动地识别并记录某些错误及其他情况，例如网络拥塞，并在出现错误时通知管理站。 （4） 提供增值数据 监视器可以分析采集到的子网中的数据，从而减轻管理站的计算任务的负担。例如，监视器可以分析子网流量来确定哪台主机在子网上产生的流量或错误最多等等。 （5） 多管理站操作 一个网可以配置多个管理站，以提高可靠性，也可分步实施不同的管理功能。监视器可以配置为同时和多个管理站并发工作，为不同的管理站提供不同的信息。 并不是每个远程监视器都能够实现所有这些目标，但是RMON的规范提供了实现所有目标的支持。null4.3.3 RMON MIB 在一个管理域中，各个节点上配备的RMON设备可能来自不同的厂商，因此需要为与RMON通信建立公共的句法和语义标准。 RMON的句法也利用ASN.1描述，其管理信息结构与SMI定义被管对象类所采用的结构类似。 RMON MIB中包含若干RMON组，这些组的开发经历了3个阶段。 （1）RMON MIB（RFC1271）是在1991年为Ethernet LAN开发的； （2）1995年，发布了（RFC1757），同时废止了（RFC1271）； （3）1993年面向tokenring LAN管理的（RFC1513）对RMON1进行了扩充。null RMON1的应用对远程监控产主了非常好的效果，但是由于它仅面向OSI网络模型的第2层，因此又在1997年开发了RMON2，它的管理对象是第3层到第7层。 RMON是MIB-II下的第16个节点（mib-2 16），它所包含的组如图所示。 其中，有9个Ethernet RMON1组（rmon 1-rmon 9），1个tokenring RMON1扩充组（rmon 10）和10个面向高层的RMON2组（rmon 11--rmon 20）。null1．statistics组（统计） statistics组包含每个被监测子网的基本统计量。 2.history组（历史） history组存储的是以固定间隔取样所获得的子网数据。 3．alarm组（报警） alarm组为网络性能定义一组阈值（门限值），如果发生超过阈值的事件，就要产生告警并将其报告给控制中心。 4．host组（主机统计数） host组用于收集有关特定主机的统计量。对于监测器所知道的每个主机都有一组统计量需要维护。为每个新出现（启动）的主机建立并维护一组统计数据。 null5．hostTopN组（主机统计最大值） hostTopN组用于维护在一个子网中关于某些参数排名前N位的主机的统计信息。 6．matrix组（矩阵） matrix组用于记录子网中一对主机之间的流量信息，并以矩阵的形式存储。 7．filter组（过滤存储） filter组为管理站提供指示监测器在指定的接口上有选择地监测数据分组的功能。 8．capture组（包捕获） capture组可被用于从filter组定义的channel中捕获分组。 9．event组（事件） event组支持event定义。被定义的event可由某种条件触发，event的触发可引起记录本组的日志信息和发送SNMP trap消息。