SNMP管理框架及其在Cisco路由器上的實現

2019-11-05 00:54:15

字體：大中小

來源：轉載

供稿：網友

摘要

本文描述了SNMP協議，MIB庫和它們在Cisco路由器上的實現以及Cisco路由器對SNMPv3和SNMP over ipv6的支持狀況。

了解SNMP治理框架

SNMP（Simple Network Management PRotocol，簡單網絡治理協議）是一個應用層協議，提供了SNMP治理者和SNMP代理間報文格式的消息通信。它規定了在網絡環境中對設備進行監視和治理的標準化治理框架，通信的公共語言和相對應的安全控制機制。

SNMP治理框架包含有四個組成部分：

SNMP治理者

SNMP代理

一個用于在SNMP實體間傳輸治理信息的治理協議

MIB庫（Management Information Base，治理信息庫）

SNMP治理者是一個利用SNMP協議對網絡節點進行控制和監視的系統。其中網絡環境中最常見的SNMP治理者被稱為網絡治理系統（NMS， Network Management System）。網絡治理系統既可以指一臺專門用來進行網絡治理的服務器，也可以指某個網絡設備中執行治理功能的一個應用程序。現在市場上有眾多軟硬件廠商提供有支持SNMP協議的網絡治理系統，如Cisco公司的CiscoWorks系列網絡治理軟件產品。

SNMP代理是被治理設備中的一個軟件模塊，用來維護被治理設備的治理信息數據并可在需要時把治理數據匯報給一個SNMP治理系統。SNMP代理和相關的MIB庫存在于網絡設備中（如Cisco路由器，交換機，接入服務器等等）。

MIB庫是一個保存網絡治理信息的虛擬數據存儲空間，由多組被治理對象組成。在設備MIB庫中有由多個MIB模塊定義的多組各自相關聯的對象。每個MIB 模塊都是利用標準的SNMP MIB模塊語言撰寫的，具體遵循的標準定義在IETF（Internet Engineering Task Force，一個國際標準化組織） STD58，RFC2579和RFC2580文檔中（請參見本文“MIB和RFC”一節了解STD文檔和RFC文檔的解釋）。需要注重的是，每一個單獨的 MIB模塊有時也會被稱為一個MIB，如設備接口組MIB（IF-MIB）就是設備MIB庫中的一個MIB模塊。

SNMP代理中保存有MIB對象變量，變量的數值可以被SNMP治理者通過Get或Set操作進行讀取和修改。一個SNMP治理者可以從SNMP代理中讀取一個變量的數值或把一個數值存儲到SNMP代理的一個變量中。SNMP代理從代表設備參數和網絡運行數據的MIB庫中采集數據，且可以對SNMP治理者的Get和Set操作進行應答。下圖勾畫出了SNMP治理者和SNMP代理間的通信關系。一個SNMP治理者可以向SNMP代理發送請求，讀取（Get）或設置（Set）一個或多個MIB變量數值。SNMP代理可以應答這些請求。除了這種交互式通信方式，SNMP代理還可以主動向SNMP治理者發送通知（Trap或Inform Request）以提示治理者一個設備或網絡狀態。

圖一：SNMP治理者與SNMP代理間的通信

SNMP治理框架及其在Cisco路由器上的實現

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border=0>

SNMP通知

SNMP協議的一個重要特性是SNMP代理具有產生通知的能力。通知不需要SNMP治理者請求就會主動發送，發送采用異步方式，形式可分為Trap和 Inform Request（簡稱Inform）兩種。Trap是發送給SNMP治理者的通知網絡狀況的警告消息，而Inform是需要SNMP治理者確認接收的 Trap。SNMP通知可以用于指示網絡中出現的不正確用戶授權，重啟，連接關閉，設備通信中斷或其它異常事件。

與Inform相比較，Trap通知方式為不可靠傳輸，因為接收者在收到一條Trap通知后無需回復任何確認信息，發送者無法知道Trap通知是否已經被正確接收。與此相對應，當SNMP治理者收到一條Inform通知后它需要向發送者回復一條確認信息，使用的是SNMP應答數據包（PDU）。假如 SNMP治理者沒有接收到Inform通知，它將不會發送任何應答，所以當發送者無法接受到期望的應答時，它將再次發送一條Inform通知給SNMP治理者。這種方式保證了Inform通知方式可以較有保證地把通知發送到期望的目的地。

圖二：一條Trap通知發送給SNMP治理者

SNMP治理框架及其在Cisco路由器上的實現

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border=0>

圖三：一條Inform通知發送給SNMP治理者

SNMP治理框架及其在Cisco路由器上的實現

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window/nCTRL+Mouse wheel to zoom in/out';}" border=0>

然而在多數情況下，Trap通知方式被較多采用，因為Inform方式將會耗用更多的網絡和設備資源。與Trap通知方式不同的是，被治理設備不能在發送后立即把一條Inform通知丟棄，它需要把通知信息保存在系統內存中直到收到相應的確認應答或設備規定的計時器超時。由此可見一條Trap通知只會被發送一次，而Inform通知可能會被重復發送多次。這種重復發送將會增加網絡流量，造成網絡額外開銷的上升。

治理員在選擇Trap或Inform通知形式時需要根據可靠性要求和系統資源狀況統籌考慮：假如SNMP治理者需要確保收到每條通知，應該采用Inform通知方式；假如更關心減少網絡流量和網絡設備的資源消耗且并不需要每條通知都需要接收，則應該采用Trap通知方式。

MIB和RFC

MIB模塊通常在提交給IETF的RFC（Requests for Comments，征求意見）文檔中定義。由互聯網團體中個人或組織撰寫的RFC文檔主要目的是起草一個推薦的互聯網標準（Internet Standard）。在確定每個RFC文檔地位前，文檔會以互聯網草案（Internet Draft，I-D）形式先行發表。假如RFC文檔最終被批準為推薦標準，則此文檔將被標注為標準（STD）文檔。個人可以通過訪問IETF

組織的官方網站

http://www.ietf.org

來了解其標準制定流程和當前的工作進度，也可以在網站中查尋所有RFC文檔，I-D文檔和STD文檔的全文。

Cisco公司在其路由器SNMP協議實現中支持定義在STD17/RFC1213文檔中的MIB-II變量組和定義在RFC1215文檔中的SNMP Trap功能。

除了支持標準MIB模塊外，Cisco公司還在其路由器中提供了私有MIB擴展。Cisco企業私有MIB（Enterprise MIB）模塊符合相關RFC文檔中定義的規范。用戶可以在下列網址中查找到所有Cisco設備支持的私有MIB模塊的定義和每種Cisco設備平臺支持的 MIB清單。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.sHtml

SNMP版本

Cisco IOS支持SNMP協議的下列版本：

SNMPv1 ?C 簡單網絡治理協議：一個完全的互聯網標準，定義在STD15/RFC1157（RFC1157文檔替代了早期的RFC1098和RFC1067文檔）和 STD16/RFC1155，RFC1212文檔中。安全機制采用基于團體字符串（Community String）認證方式。

SNMPv2c ?C 基于團體字符串認證治理框架的簡單網絡治理協議版本2。SNMPv2c(c代表Community)是一個互聯網實驗標準，具體技術規范定義在 RFC1901，RFC1905和RFC1906文檔。SNMPv2c在SNMPv2p(SNMPv2 Classic)基礎上定義了協議操作和數據類型的更新，安全機制延續了SNMPv1的基于團體字符串認證方式。

SNMPv3 ?C 簡單網絡治理協議版本3，2002年3月被IESG（Internet Engineering Steering Group）批準為完全的互聯網標準。SNMPv3是一個具有互操作性的標準協議，核心規范定義在STD62/RFC3411到RFC3418文檔中。 SNMPv3提供了設備安全訪問機制，是由認證和網絡傳輸中數據包加密的組合方式實現的。

SNMPv3提供的安全特性包括：

報文完整性 ?C 確保數據包在傳輸過程中沒有被篡改

認證 ?C 確定報文是由正確信息源發送來的

加密 ?C 對報文內容進行加密，防止其被未經授權的讀取

SNMPv1和SNMPv2c都利用了基于“團體（Community）”形式的安全認證機制。能夠訪問SNMP代理MIB數據的治理者“團體”通過一個IP地址訪問控制列表和口令進行定義。

SNMPv2c還增加了對大批量數據讀取機制的支持和向治理工作站更加具體的錯誤消息匯報機制。支持對大批量數據的讀取機制能夠用來對整個MIB數據表格和大量的信息進行快速讀取，減少請求/應答的往復數量。SNMPv2c增強的錯誤處理機制包括擴展的錯誤代碼，用于區別不同的錯誤狀況。錯誤返回代碼現在將包括錯誤類型。

SNMPv3重點強調增強協議的安全認證/加密，授權/訪問控制以及遠程配置治理等功能，而在其它方面沿用了部分SNMPv2原有的技術規范。

SNMPv3提供了一個安全模型。這個安全模型中可以為用戶/用戶組定義不同的安全認證策略；而安全級別是指SNMPv3安全模型中被答應的安全等級。安全模型和安全等級的組合將會決定在處理一個SNMP數據包時采用的安全機制。下表列出了在SNMPv3中可以定義的安全級別。

SNMP安全模型和級別

模型

級別

認證

加密

注釋

版本1

oAuthNoPriv

團體字符串

無

利用團體字符串匹配進行認證

版本2c

oAuthNoPriv

團體字符串

無

利用團體字符串匹配進行認證

版本3

oAuthNoPriv

用戶名

無

利用用戶名匹配進行認證

版本3

authNoPriv

md5或SHA

無

提供基于HMAC-MD5或HMAC-SHA算法的認證

版本3

authPriv

MD5或SHA

DES

提供基于HMAC-MD5或HMAC-SHA算法的認證。除基于CBC-DES(DES-56)標準進行認證外還提供DES-56bit的報文加密假如想了解SNMPv3的額外信息，可以參閱RFC3410文檔《IntrodUCtion and Applicability Statements for Internet Standard Management Framework》

治理員需要配置SNMP代理使用治理工作站支持的SNMP版本。一個SNMP代理可以和多個SNMP治理者同時通信；因此你可以配置Cisco IOS軟件與一個治理工作站通過SNMPv1通信，與第二個治理工作站通過SNMPv2c通信，同時與第三個治理工作站通過SNMPv3通信。

注：Cisco公司從IOS 11.2版本后已經停止支持SNMPv2p（即SNMPv2 Classic）協議，而代之以支持采用團體字符串認證方式的SNMPv2c協議。

Cisco設備的SNMP配置流程

在Cisco設備中沒有單獨的命令啟動設備的SNMP代理，治理員配置的第一條snmp-server配置命令將自動啟動設備中的SNMP代理。

下面列出了在Cisco設備上配置SNMP參數的任務描述，每條任務都被標注了是必選項還是可選項。

創建或修改對SNMP Community的訪問控制（必選）

創建或修改一個SNMP View的紀錄（可選）

指定一個SNMP-Server的引擎名稱（ID）（可選）

指定一個SNMP-Server的組名（可選）

配置SNMP-Server Host（必選）

配置SNMP-Server User （可選）

激活SNMP代理Shutdown機制（可選）

設置Contact，Location和SNMP代理的Serial Name(可選)

定義SNMP代理數據包大小的最大值（可選）

限制利用SNMP使用的TFTP服務器數量（可選）

監視SNMP的工作狀態（可選）

禁止SNMP代理（可選）

配置SNMP通知（必選）

配置路由器為SNMP治理者（可選）

Cisco IOS與SNMP v3

從IOS 12.0.(3)T版本起Cisco公司的路由器設備開始全面支持完整的SNMPv3協議，現在所有能運行任何基于IOS 12.0(3)T的后續IOS版本的Cisco設備也都支持SNMPv3協議。

Cisco IOS與SNMP over IPv6和IPv6 MIB

除支持利用IPv4傳輸協議進行SNMP治理信息的傳送外，Cisco設備從12.0(27)S開始也支持利用IPv6傳輸協議進行SNMP治理信息的傳送，即SNMP over IPv6。主要特性包括：

支持通過IPv6協議接收和處理SNMP Get/Set請求以及通過IPv6協議發送應答。

具有發送SNMP通知給IPv6主機的能力。

支持利用IPv6協議的SNMP Proxy轉發功能，以及更新相關MIB，使其支持IPv6地址。

通過對SNMP over IPv6的支持，實現了Cisco路由器可以在一個Native IPv6網絡中由治理服務器通過SNMP協議對其進行監視和治理。同時為了進一步增強對設備IPv6傳輸協議相關的運行狀態進行治理，Cisco IOS操作系統還分別從12.0(22)S、12.2(15)T和12.2(14)S版本開始支持標準的IPv6 MIB，包括CISCO-IETF-IP-FORWARD-MIB和CISCO-IETF-IP-MIB。這些IPv6 MIB可以供SNMP治理服務器查詢Cisco路由器設備IPv6協議相關的治理信息。

上一篇：在思科路由器上保存超大的配置文件

下一篇：軟件路由器coyote linux安裝使用指南(圖解)