簡單網(wǎng)絡(luò)管理協(xié)議透視

2019-11-04 12:05:52

字體：大中小

供稿：網(wǎng)友

　　簡單網(wǎng)絡(luò)治理協(xié)議透視—從SNMPv1到 SNMPv3 ：
　　

　　簡單網(wǎng)絡(luò)治理協(xié)議（SNMP）是目前TCP/ip網(wǎng)絡(luò)中應(yīng)用最廣泛的網(wǎng)絡(luò)治理協(xié)議，是網(wǎng)絡(luò)治理事實(shí)上的標(biāo)準(zhǔn)。它不僅指簡單的網(wǎng)絡(luò)治理協(xié)議本身，而且代表采用SNMP協(xié)議的網(wǎng)絡(luò)治理框架，經(jīng)歷了從SNMPv1到SNMPv3的發(fā)展歷程，本文將從下面幾個(gè)方面探討其演變過程。
　　SNMPv1治理模型
　　SNMPv1治理模型包括四個(gè)要害元素：治理站、治理代理、治理信息庫、治理協(xié)議。下圖顯示了上述四個(gè)元素的關(guān)系。
　　1、治理站
　　治理站是網(wǎng)絡(luò)治理員與網(wǎng)絡(luò)治理系統(tǒng)的接口，它實(shí)際上是一臺(tái)運(yùn)行非凡治理軟件的計(jì)算機(jī)。治理站運(yùn)行一個(gè)或多個(gè)治理進(jìn)程，它通過SNMP協(xié)議在網(wǎng)絡(luò)上與代理通信，發(fā)送命令并接收代理的應(yīng)答。治理站通過獲取 MIB 對(duì)象的值來實(shí)現(xiàn)網(wǎng)絡(luò)資源監(jiān)視，也可以通過修改非凡變量的值來使代理執(zhí)行一個(gè)動(dòng)作或修改資源的配置。許多治理站的應(yīng)用進(jìn)程都具有圖形用戶界面，提供數(shù)據(jù)分析、故障發(fā)現(xiàn)的功能，網(wǎng)絡(luò)治理者能方便地檢查網(wǎng)絡(luò)狀態(tài)并在需要時(shí)采取行動(dòng)。
　　2、治理代理
　　網(wǎng)絡(luò)中的主機(jī)、路由器、網(wǎng)橋和交換機(jī)等都可配置SNMP,成為治理代理，以便治理站對(duì)它進(jìn)行治理。每個(gè)代理負(fù)責(zé)維護(hù)本地 MIB 來存放被管資源的狀態(tài)、運(yùn)行情況等，對(duì)來自治理站的信息查詢和動(dòng)作執(zhí)行的請(qǐng)求作出響應(yīng)，同時(shí)還可以異步地向治理站提供一些重要的非請(qǐng)求信息。
　　治理站可以訪問多個(gè)治理代理的MIB對(duì)象，接收來自多個(gè)代理的Trap，因此從操作和控制的角度看，治理站“治理”著許多代理。同時(shí)，治理代理也能對(duì)多個(gè)治理站的請(qǐng)求作出響應(yīng)，是一種一對(duì)多的關(guān)系，治理代理為了控制治理站對(duì)它的 MIB 的使用，保護(hù)它自己和它的MIB，避免不希望的或未授權(quán)的訪問，使用了共同體的概念。治理代理為每一個(gè)必要的認(rèn)證、訪問控制和代理特性的聯(lián)合建立一個(gè)共同體。從治理站發(fā)往代理的報(bào)文都包含共同體名，它起著口令的作用，只要報(bào)文發(fā)送方知道口令，該報(bào)文就被認(rèn)為是可信的。由此可見，這并不是很安全的方式，所以，很多治理者僅僅提供網(wǎng)絡(luò)監(jiān)視的功能（get和trap操作），屏蔽掉了網(wǎng)絡(luò)控制功能（set操作）。
　　3、治理信息庫
　　MIB是一個(gè)信息存儲(chǔ)庫，它包含了治理代理中的有關(guān)配置和性能的數(shù)據(jù)，是網(wǎng)絡(luò)治理的基礎(chǔ)。每一個(gè)被管資源由一個(gè)對(duì)象來表示，MIB就是由這樣一些對(duì)象組成的結(jié)構(gòu)化的集合。在RFC1155中定義的治理信息結(jié)構(gòu)給出了MIB結(jié)構(gòu)的總體框架。
　　4、治理協(xié)議
　　治理站和治理代理之間是通過SNMP網(wǎng)絡(luò)治理協(xié)議連接的，通過SNMP報(bào)文的形式來交換信息。協(xié)議主要支持Get、Set和Trap三種功能共五種操作，Get用于治理站獲取代理的MIB對(duì)象值，Set用于治理站去設(shè)置代理的MIB對(duì)象值，Trap用于代理向治理站通告重要事件。
　　SNMPv1存在的問題及SNMPv2的改進(jìn)
　　
　　SNMPv1協(xié)議以其簡單和靈活性，獲得了許多廠商的支持，得到廣泛應(yīng)用，但其缺點(diǎn)也很多，功能簡單、安全性差。SNMPv1是基于一種主動(dòng)輪詢的監(jiān)視機(jī)制，輪詢間隔短時(shí)對(duì)網(wǎng)絡(luò)性能影響很大，不適合大規(guī)模的網(wǎng)絡(luò)治理; SNMPv1不支持治理站-治理站之間的通信，這樣，它不答應(yīng)一個(gè)治理系統(tǒng)去了解由另一個(gè)治理系統(tǒng)治理的設(shè)備和網(wǎng)絡(luò)的狀況。
　　與SNMPv1單純的集中式治理模式不同，SNMPv2支持分布式/分層式的網(wǎng)絡(luò)治理結(jié)構(gòu)，在SNMPv2治理模型中有些系統(tǒng)可以同時(shí)具有治理器和代理的功能，作為代理，它可以接收上一級(jí)治理系統(tǒng)的命令，訪問其存儲(chǔ)的本地信息，也可以提供它所負(fù)責(zé)的治理域中其它代理的信息摘要，向上級(jí)治理器發(fā)送Trap信息。
　　SNMPv2定義了兩個(gè)MIB庫，一個(gè)相當(dāng)于SNMPv1的MIB-II,另一個(gè)是Manager-to-Manager(M2M) MIB,提供對(duì)分布式治理結(jié)構(gòu)的支持。
　　網(wǎng)絡(luò)治理的安全威脅和SNMPv3體系結(jié)構(gòu)
　　使用SNMPv1、SNMPv2 進(jìn)行網(wǎng)絡(luò)治理時(shí)，由于安全功能有限，面臨著假冒、信息篡改、報(bào)文序列和定時(shí)機(jī)制的修改、信息暴露等幾種安全威脅。
　　
　　SNMPv3通過簡明的方式實(shí)現(xiàn)了加密和驗(yàn)證功能。SNMPv3結(jié)構(gòu)是由分布的、相互連接的SNMP實(shí)體組成。每一個(gè)實(shí)體可以作為一個(gè)代理節(jié)點(diǎn)、治理器節(jié)點(diǎn)或代理和治理器的混合節(jié)點(diǎn)。
　　
　　SNMPv3實(shí)體通常由一SNMP引擎和一個(gè)或多個(gè)相關(guān)聯(lián)的應(yīng)用組成。應(yīng)用主要有：命令產(chǎn)生器（Command Generator）、通知接收器（Notification Receiver）、代理轉(zhuǎn)發(fā)器（PRoxy Forwarder）、命令響應(yīng)器（Command Responder）、通知始發(fā)器（Notification Originator）和一些其他的應(yīng)用。
　　
　　RFC 2271定義的SNMPv3體系結(jié)構(gòu)，體現(xiàn)了模塊化的設(shè)計(jì)思想， SNMP引擎和它支持的應(yīng)用被定義為一系列獨(dú)立的模塊。SNMP實(shí)體的功能由所在實(shí)體的多個(gè)模塊決定，每個(gè)實(shí)體僅僅是模塊的不同組合，每個(gè)模塊具有相對(duì)獨(dú)立性，當(dāng)改進(jìn)或替換某一模塊時(shí)，不會(huì)影響整個(gè)結(jié)構(gòu)，這樣可以簡單地實(shí)現(xiàn)功能的增加和修改。
　　
　　作為SNMP實(shí)體核心的SNMP引擎用于發(fā)送和接受消息、鑒別消息、對(duì)消息進(jìn)行解密和加密以及控制對(duì)被管對(duì)象的訪問等功能。
　　
　　SNMPv3可運(yùn)用于多種操作環(huán)境，可根據(jù)需要增加、替換模塊和算法，具有多種安全處理模塊，有極好的安全性和治理功能，既彌補(bǔ)了前兩個(gè)版本在安全方面的不足，同時(shí)又保持了SNMPv1和SNMPv2易于理解、易于實(shí)現(xiàn)的特點(diǎn)。
隨著SNMPv3的進(jìn)一步擴(kuò)充和完善，必將進(jìn)一步推動(dòng)網(wǎng)絡(luò)治理技術(shù)的發(fā)展。

上一篇：NetTool和LinkRunner支持CDP和EDP協(xié)議

下一篇：軟交換中的分組協(xié)議