1、介紹
本文是網(wǎng)絡(luò)標(biāo)準(zhǔn)治理框架第三版本的介紹,條款取自SNMPv3,具有多種用途。
首先,它描述了SNMP第三版本(SNMPv3)規(guī)范與SNMP第一版本(SNMPv2)及
SNMP第二版本(SNMPv1)之間的關(guān)系。
第二,它提供了包含相關(guān)規(guī)范的多種文檔的路徑。
第三,本文提供了相關(guān)具體說明文檔的簡(jiǎn)單易讀的內(nèi)容摘要。
本文有意從本質(zhì)上指導(dǎo),也許有時(shí)過于簡(jiǎn)化。假如本文檔與本文標(biāo)記的細(xì)節(jié)文檔之間發(fā)
生矛盾,以細(xì)節(jié)文檔為主。
進(jìn)一步來(lái)講,細(xì)節(jié)文檔為了具體說明與各種構(gòu)成模塊之間精確定義的接口,而與這些構(gòu)
成模塊保持分離。這個(gè)路徑文檔為了可讀性而采取不同的途徑提供一個(gè)包括多種構(gòu)成模塊的
完整的看法。
2、網(wǎng)絡(luò)標(biāo)準(zhǔn)治理框架
第三版網(wǎng)絡(luò)標(biāo)準(zhǔn)治理框架起源并構(gòu)建于原來(lái)的第一版網(wǎng)絡(luò)治理框架(SNMPv1)和第
二版網(wǎng)絡(luò)治理框架(SNMPv2)的基礎(chǔ)上。
所有的版本(SNMPv1,SNMPv2,SNMPv3)的網(wǎng)絡(luò)治理框架具有相同的基本的框架和成
分。而且,所有版本的網(wǎng)絡(luò)標(biāo)準(zhǔn)框架規(guī)范具有相同的體系結(jié)構(gòu)。
2.1基本框架和成分
企業(yè)配置的網(wǎng)絡(luò)標(biāo)準(zhǔn)治理框架包括四項(xiàng)基本的成分:
? 一些(通常是許多)被治理結(jié)點(diǎn),每個(gè)都包括SNMP實(shí)體可提供治理設(shè)備的遠(yuǎn)程訪問
(一般叫做代理);
? 至少一個(gè)SNMP實(shí)體和相關(guān)的治理應(yīng)用(一般叫做治理器)
? 治理協(xié)議被用來(lái)在SNMP實(shí)體間傳送治理信息
? 治理信息
治理協(xié)議用來(lái)在SNMP實(shí)體,如治理器、代理,之間傳送治理信息。
網(wǎng)絡(luò)標(biāo)準(zhǔn)框架的基本結(jié)構(gòu)在SNMP的各種版本,如SNMPv1,SNMPv2,SNMPv3,是一
致的。
2.2網(wǎng)絡(luò)標(biāo)準(zhǔn)治理框架的體系結(jié)構(gòu)
網(wǎng)絡(luò)標(biāo)準(zhǔn)框架的具體說明是基于模塊的體系結(jié)構(gòu)。這種框架不僅僅是為動(dòng)態(tài)數(shù)據(jù)提供的
一種協(xié)議。它包括:
? 數(shù)據(jù)定義語(yǔ)言,
? 治理信息定義(治理信息庫(kù),MIB),
? 協(xié)議定義,
? 安全性和治理
框架逐漸由SNMPv1,發(fā)展成SNMPv2,直到SNMPv3,每一個(gè)體系結(jié)構(gòu)的成分的定義演
變得日益豐富、清楚,但是基礎(chǔ)的體系結(jié)構(gòu)保持一致。
這種模塊性設(shè)計(jì)的最初動(dòng)機(jī)是為了適應(yīng)在RFC1052[14]中定義的框架結(jié)構(gòu)的發(fā)展。最初
的設(shè)想是用這種性能來(lái)減輕基于SNMP治理的網(wǎng)絡(luò)到基于OSI協(xié)議的網(wǎng)絡(luò)的傳輸?shù)呢?fù)擔(dān)。
結(jié)果,這種框架結(jié)構(gòu)卻在獨(dú)立于協(xié)議的數(shù)據(jù)定義語(yǔ)言和獨(dú)立于MIB協(xié)議的治理信息庫(kù)方面
取得成功,這種分開設(shè)計(jì)答應(yīng)替換基于SNMP的協(xié)議而不需要重新定義或重新建立治理信
息。歷史證實(shí)這種體系結(jié)構(gòu)是出于錯(cuò)誤動(dòng)機(jī)的正確選擇,事實(shí)證實(shí),這種結(jié)構(gòu)體系更加靈活
地完成了從SNMPv1到SNMPv2以及從SNMPv2到SNMPv3版本的轉(zhuǎn)換,遠(yuǎn)勝于基于簡(jiǎn)單
網(wǎng)絡(luò)治理協(xié)議的治理網(wǎng)絡(luò)的轉(zhuǎn)換。
SNMPv3的框架的構(gòu)造和拓展的構(gòu)建原則:
? 參考SNMPv2版本,構(gòu)建四項(xiàng)基本結(jié)構(gòu)成分
? 運(yùn)用相同的分層原則定義安全性和治理部分的新性能
熟悉SNMPv1和SNMPv2治理框架結(jié)構(gòu)的讀者會(huì)發(fā)現(xiàn)SNMPv3治理框架中有相似的
概念。但請(qǐng)注重,在一些情況下,術(shù)語(yǔ)的含義略有不同。
3、SNMPv1治理框架
最初的網(wǎng)絡(luò)標(biāo)準(zhǔn)治理框架(SNMPv1)定義下列文檔:
? STD16,RFC1155[1]定義了治理信息結(jié)構(gòu)(SMI),是為方便治理而制定的描述和命
名對(duì)象的機(jī)制。
? STD16,RFC1212[2]定義了更加簡(jiǎn)潔的描述機(jī)制來(lái)描述和命名治理信息的對(duì)象,但完
全與SMI保持一直。
? STD15,RFC1157[3]定義了簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議,該協(xié)議用來(lái)網(wǎng)絡(luò)訪問被治理設(shè)備和產(chǎn)
生事件通知。注重,此文檔首次定義了一系列事件通知。
另外,下面兩個(gè)文檔一般和這三個(gè)文檔聯(lián)系在一起:
? STD17,RFC1213[13]定義了基本的治理信息。
? RFC1215[25]定義了簡(jiǎn)潔描述機(jī)制來(lái)定義事件通知,也就是在SNMPv1版本中定義
的陷阱。該文檔在簡(jiǎn)單通知也具體說明了RFC1157中的一般陷阱。
這些文檔描述了第一版SNMP框架的四個(gè)部分。
3.1SNMPv1數(shù)據(jù)定義語(yǔ)言
前兩個(gè)和最后一個(gè)文檔描述了SNMPv1的數(shù)據(jù)定義語(yǔ)言。注重,這是因?yàn)樽畛跻骃MI
必須獨(dú)立于協(xié)議,前兩個(gè)SMI文檔沒有提供定義事件通知(陷阱)的定義方式。而SNMP
協(xié)議文檔定義了一些事件通知(一般陷阱)和定義其他的事件告警的方法。最后一個(gè)文檔詳
細(xì)說明運(yùn)用SNMPv1協(xié)議直接定義事件通知的方法。與此同時(shí),陷阱在標(biāo)準(zhǔn)網(wǎng)絡(luò)治理結(jié)構(gòu)
的應(yīng)用引起爭(zhēng)議。例如,RFC1215以建議的身份提出而一直沒有進(jìn)一步修改,因?yàn)榇蠹覉?jiān)
信第二版SNMP的框架將代替第一版。注重SNMPv1的數(shù)據(jù)定義語(yǔ)言部分參照SMIv1.
3.2、治理信息
前兩個(gè)文檔描述的數(shù)據(jù)定義語(yǔ)言第一次被用來(lái)定義現(xiàn)在不再使用的MIB-1(在RFC
1066[12]中具體闡述),隨后用來(lái)定義MIB-II(在RFC1213[13]中具體闡述)。
而后的,當(dāng)MIB-II公布后,一種由多個(gè)工作組制定定義網(wǎng)絡(luò)標(biāo)準(zhǔn)治理信息庫(kù)的一個(gè)文
件不同的定義方式,代替了最初由單獨(dú)一個(gè)委員會(huì)制定的方式。然而,許多并行和分布式的
小型MIB文檔隨授權(quán)組應(yīng)運(yùn)而生,具體說明網(wǎng)絡(luò)標(biāo)準(zhǔn)MIB的焦點(diǎn)部分,由那些從事非凡領(lǐng)
域包括網(wǎng)絡(luò)治理,系統(tǒng)治理,應(yīng)用治理的諸多方面問題的專家們制定。
3.3協(xié)議操作
第三個(gè)文檔,STD15,描述SNMPv1協(xié)議操作由協(xié)議數(shù)據(jù)單元(PDUs)的綁定變量完
成,描述了SNMPv1的信息格式。SNMPv1定義的操作有:get,get-next,get-response,
set-request,和trap。也定義了面向無(wú)連接傳輸SNMP的典型分層。
3.4SNMPv1的安全性與治理
STD15也描述了安全性與治理的方法。許多概念,非凡是關(guān)于安全性的,在SNMPv3
框架中繼續(xù)應(yīng)用并得以擴(kuò)展延伸。
SNMPv1框架描述了SNMPv1PDUs在SNMP實(shí)體和不同的應(yīng)用實(shí)體和協(xié)議實(shí)體的
SNMP的消息封裝。在SNMPv3中各自重新命名了應(yīng)用與實(shí)體。
SNMPv1框架也引入了支持一個(gè)或多個(gè)授權(quán)配置的授權(quán)服務(wù)。另外SNMPv3還定義了
其他的安全參數(shù):私有。(注重:一些關(guān)于安全性共同體的文獻(xiàn)將SNMPv3的安全性能描述
為具有數(shù)據(jù)完整性鑒別,數(shù)據(jù)源鑒別,和機(jī)密性鑒別)。這種模型的性能改變和增加了
SNMPv3框架的安全性。
最后,SNMPv1引入了基于SNMPMIB視圖概念的訪問控制。SNMPv3框架中闡述了
基本一致的基于視圖的訪問控制的概念。由此,SNMPv3提供了控制被治理設(shè)備上的信息
的方法。
然而,當(dāng)SNMPv1框架期望定義多種授權(quán)方案時(shí),它僅僅在共同體字符串的基礎(chǔ)上定
義了一些瑣碎的授權(quán)。這是SNMPv1框架廣為人知的基本缺陷,但那時(shí)商用級(jí)的安全性設(shè)
計(jì)很有爭(zhēng)議,無(wú)法統(tǒng)一,因?yàn)閷?duì)于不同的用戶來(lái)說“安全性”意味著許多不同的含義。歸根
結(jié)底,因?yàn)樵S多用戶并不需要強(qiáng)大的安全機(jī)制。SNMPv1設(shè)計(jì)了一個(gè)將在今后實(shí)現(xiàn)的獨(dú)立
的提供授權(quán)服務(wù)的模塊。SNMPv3框架應(yīng)用了該模塊,并定義為其的子系統(tǒng)。
4SNMPv2治理框架
SNMPv2治理框架在[4-9]中全面描述了共存和SNMPv1與SNMPv2轉(zhuǎn)換的問題[10]。
SNMPv2較SNMPv1有如下優(yōu)點(diǎn):
? 擴(kuò)展數(shù)據(jù)類型(例如,64位計(jì)數(shù)器)
? 改善效率和性能(取塊操作)
? 事件通知確認(rèn)(消息操作)
? 豐富的錯(cuò)誤控制(差錯(cuò)與例外)
? 改進(jìn)設(shè)置,尤其是行的創(chuàng)建與刪除
? 精密調(diào)整的數(shù)據(jù)定義語(yǔ)言
然而,如上描述的SNMPv2框架因?yàn)闆]有達(dá)到原來(lái)的設(shè)計(jì)目標(biāo)而一直沒有完成。這些
沒有完成的目標(biāo)包括預(yù)期的所謂的商業(yè)級(jí)的安全性與治理傳輸,包括:
? 授權(quán):數(shù)據(jù)源鑒別,消息完整性和一些方面的重發(fā)保護(hù);
? 私有:機(jī)密性;
? 授權(quán)與訪問控制;
? 匹配的遠(yuǎn)程配置和這些方面的治理性能。
SNMPv3治理框架,如本文還有一些相關(guān)的文檔,闡述了這些重要的不足。
5. SNMPv3工作組
本文和相關(guān)文檔由Internet工程任務(wù)組(IETF)的SNMPv3工作組提出。SNMPv3工
作組授權(quán)預(yù)備下一代SNMP建議。工作組的目標(biāo)是為下一代SNMP核心功能的標(biāo)準(zhǔn)提出一
系列必要的文檔。這個(gè)在下一代SNMP中最要害的需求是:安全性與治理,使得在基于SNMP
治理事物的安全性能可用于希望使用SNMPv3治理網(wǎng)絡(luò)的用戶。這些組成網(wǎng)絡(luò)的系統(tǒng)和這
些系統(tǒng)中的應(yīng)用包括治理器對(duì)代理,代理對(duì)治理器,治理器對(duì)治理器之間的傳輸。
在工作組得到授權(quán)許多年以前,有許多旨在安全性一體化和改進(jìn)SNMP的活動(dòng)。它們
包括:
? “SNMP安全性”約1991-1992[RFC1351-RFC1353]
? “SMP”約1992-1993
? “基于用戶的SNMPv2”約1993-1995[RFC1441-RFC1452]
每一項(xiàng)改進(jìn)集合了商業(yè)等級(jí),產(chǎn)業(yè)力度的安全性能包括授權(quán),私有,授權(quán),基于視圖
的訪問控制和治理,包括遠(yuǎn)程配置。
這些改進(jìn)最終促進(jìn)了SNMPv2治理框架的發(fā)展,在RFC1902-1908中具體記錄。然而,
RFC文檔中記述的框架結(jié)構(gòu)沒有基于其本身的安全性和治理的參考標(biāo)準(zhǔn);然而,它與多種
安全性與治理框架相聯(lián)系,它們包括:
? “基于共同體的SNMPv2”(SNMPv2)[RFC1901],
? “SNMPv2”[RFC1909-1910]
? “SNMPv2*”
IETF認(rèn)可SNMPv2c,但并不認(rèn)可SNMPv2u和SNMPv2的安全性與治理。
顧問組提出專用SNMP的發(fā)展建議,集中SNMPv2u和SNMPv2*的概念與技巧的基
礎(chǔ)上,SNMPv3工作組具有提出下一代SNMP專有系列規(guī)范的授權(quán)。
為此,工作組憲章包括如下目標(biāo):
? 適應(yīng)廣泛的需要不同治理需要的操作環(huán)境;
? 實(shí)現(xiàn)SNMPv3以前多種版本間方便的轉(zhuǎn)換;
? 實(shí)現(xiàn)方便的設(shè)置與維護(hù);
SNMPv3工作組的最初工作集中在安全性和治理,包括:
? 授權(quán)和私有,
? 授權(quán)和基于視圖的訪問控制,
? 上述基于標(biāo)準(zhǔn)的遠(yuǎn)程配置。
SNMPv3工作組不想重蹈覆轍,但卻重新使用SNMPv2起草的標(biāo)準(zhǔn)文檔,例如,使
用RFCs1902到1908的部分設(shè)計(jì)除上述關(guān)注的問題。
然而,SNMPv3工作組的主要貢獻(xiàn)在于傾盡全力闡述了在整個(gè)過程中安全性的缺少與
治理不足,并在此過程中創(chuàng)造了藝術(shù)級(jí)的治理。他們提供了基于模塊體系結(jié)構(gòu)的設(shè)計(jì),強(qiáng)
調(diào)分層結(jié)構(gòu)的進(jìn)化性能。最終使SNMPv3比SNMPv2具有額外的安全性與治理性能。因此,
工作組成功的完成了其特定的目標(biāo),不但得到IETF的承認(rèn),而且完善了其安全性和原理
功能。
6 SNMPv3框架結(jié)構(gòu)的具體描述
SNMPv3的治理結(jié)構(gòu)的規(guī)范在不同的文檔里以標(biāo)準(zhǔn)組建的形式各自獨(dú)立。這正是IETF
的目的所在,適當(dāng)?shù)谋Wo(hù),任何一個(gè)或所有的文檔個(gè)體在需求改變是可以被修改、升級(jí)或
替換,借此容納新的認(rèn)知,和新的技術(shù)。
SNMPv3治理體系結(jié)構(gòu)的定義與實(shí)現(xiàn)切實(shí)可行參考并結(jié)合SNMPv2治理體系結(jié)構(gòu),并
且在商業(yè)性方面優(yōu)于SNMPv2。
SNMPv3體系結(jié)構(gòu)增加了在安全性和治理方面的規(guī)范。
本文在繼續(xù)以前各版本的基礎(chǔ)上具體說明了SNMPv3的治理體系結(jié)構(gòu),按照以下四項(xiàng)
主要原因組織說明:
? 數(shù)據(jù)定義語(yǔ)言,
? 治理信息庫(kù)模型,
? 協(xié)議操作,和
? 安全性和治理
前三種文檔系列結(jié)合SNMPv2定義,第四種文檔系列是SNMPv3中全新的部分,但是
也是建立于以前相關(guān)著作的基礎(chǔ)上的。
6.1數(shù)據(jù)定義語(yǔ)言
數(shù)據(jù)定義語(yǔ)言在STD58,RFC2578的“治理信息結(jié)構(gòu)第二版(SMIv2)”及相關(guān)規(guī)范
中具體說明。這些文檔由其他結(jié)構(gòu)各自獨(dú)立發(fā)展來(lái)的RFC1902-1904[4-6]修正而來(lái),并由草
案標(biāo)準(zhǔn)晉升為STD58,RFC2578-2580[26-28]發(fā)表。
治理信息結(jié)構(gòu)(SMIv2)定義了基本數(shù)據(jù)類型,對(duì)象模型,和編寫、修改MIB模塊的
規(guī)則。相關(guān)的說明文檔包括:STD58,RFC2579,2580。修正的數(shù)據(jù)定義語(yǔ)言部分參考
SMIv2.
STD58,RFC2579,"SMIv2的正文約定"[27],定義了最初的有利于人們讀寫的MIB模
塊的縮寫速記詞。
STD58,RFC2580,“SMIv2的一致性聲明”[28],定義了用于描述代理執(zhí)行和某些特
別執(zhí)行的容量一致性聲明的格式。
6.2MIB模型
MIB模型一般包括對(duì)象定義,可能包括事件通知定義,有時(shí)也包括根據(jù)適當(dāng)?shù)膶?duì)象和
事件通知組進(jìn)行一致性闡述。同樣的,MIB模塊定義了被治理結(jié)點(diǎn)設(shè)備的治理信息,使其
可供治理代理進(jìn)行遠(yuǎn)程訪問,傳送由治理應(yīng)用產(chǎn)生的治理協(xié)議。
MIB模塊根據(jù)定義數(shù)據(jù)定義語(yǔ)言文檔的規(guī)則定義,主要是附帶相關(guān)規(guī)范的SMI。
基于標(biāo)準(zhǔn)的龐大的,逐步完善的MIB模塊,根據(jù)標(biāo)準(zhǔn)協(xié)議[STD1,RFC2400]定時(shí)進(jìn)行
更新。根據(jù)該著述,共有近100中基于標(biāo)準(zhǔn)的MIB模塊,共定義了總數(shù)近10,000種的對(duì)
象。另外,MIB模塊還包括一個(gè)更加巨大,而且日益壯大的由各種制造商、科研團(tuán)體、銀
行、以及未知的和不計(jì)其數(shù)的被定義對(duì)象的企業(yè)私有MIB。一般而言,無(wú)論用那一版數(shù)據(jù)
定義語(yǔ)言定義的MIB模塊定義的治理信息,都可以被任何版本的協(xié)議使用。例如,按照
SNMPv1SMI定義的MIB模塊和SNMPv3治理體系結(jié)構(gòu)是兼容的,可被傳送到指定的地點(diǎn)。
而且,根據(jù)SNMPv2定義的SNMPv2SMI(SMIv2)的MIB模塊與SNMPv1協(xié)議操作也是兼
容的,可被傳送的。然而,也存在顯著的例外:按照SMIv2格式定義的64位計(jì)數(shù)器不能由
SNMPv1的引擎?zhèn)魉汀?br />
6.3協(xié)議操作和傳輸映射
SNMPv3框架的協(xié)議操作和傳輸影射的規(guī)范參考SNMPv2框架的兩個(gè)文件。
RFC1905,“簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議第二版的協(xié)議操作”[7]具體闡述了協(xié)議操作的規(guī)范。
SNMPv3框架的設(shè)計(jì)答應(yīng)各部分的體系結(jié)構(gòu)獨(dú)立的進(jìn)化。例如,可以在框架中定義新的協(xié)議
操作規(guī)范用以增加新的協(xié)議操作。
RFC1906“簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議第二版的傳輸映射”[8]具體闡述了傳輸映射的規(guī)范。
6.4 SNMPv3的安全性和治理
SNMPv3工作組定義了SNMPv3系列文檔,包括現(xiàn)在的七個(gè)文檔:
RFC2570“國(guó)際標(biāo)準(zhǔn)網(wǎng)絡(luò)治理框架第三版的介紹”,即本文。
RFC2571“描述SNMP治理框架的體系結(jié)構(gòu)”[15],全面描述其體系結(jié)構(gòu),重點(diǎn)強(qiáng)調(diào)
安全性和治理的體系結(jié)構(gòu)。
RFC2572“簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議的消息處理和分配”[16],描述了SNMP協(xié)議引擎中的
多信息處理模型和消息分配部分。
RFC2573“SNMP的應(yīng)用”[17],描述了與SNMPv3引擎相關(guān)的五種應(yīng)用和應(yīng)用進(jìn)程
的原理。
RFC2574“簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議的基于用戶的安全模塊”[18],描述了提供SNMP消息
級(jí)的安全性的安全威脅、安全機(jī)制、草案和支持?jǐn)?shù)據(jù)。
RFC2575“簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議的基于視圖的訪問控制模型”[19],描述了基于用戶的
訪問控制在命令應(yīng)答器與通知發(fā)生器中的應(yīng)用。
發(fā)展的著述“國(guó)際標(biāo)準(zhǔn)網(wǎng)絡(luò)治理框架的第一,第二與第三版本的共存”[20],描述了
SNMPv3治理框架,SNMPv2治理框架,和SNMPv1治理框架的共存。
7文檔摘要
下面的部分將對(duì)各文檔提供比前面更具體一點(diǎn)的概要介紹。
7.1治理信息結(jié)構(gòu)
由被治理設(shè)備收集的治理信息并不實(shí)際存儲(chǔ),條款取自治理信息庫(kù)(MIB)。MIB模塊
定義了收集相關(guān)信息的對(duì)象。這些模塊使用SNMPMIB模塊語(yǔ)言編寫,包括OSI的抽象
注釋語(yǔ)言第一版(ASN.1)[11]。STD58,RFC2578,2579,2580,共同定義了MIB模塊語(yǔ)
言,具體說明定義對(duì)象的基本數(shù)據(jù)類型,也具體說明了正文約定的簡(jiǎn)要說明數(shù)據(jù)類型的核
心系列,也具體說明了對(duì)象標(biāo)識(shí)符(OID)的治理分配。
SMI可以分為三部分:模型定義,對(duì)象定義,和通知定義。
(1)模型定義用來(lái)描述信息模型。ASN.1宏,模塊定義用來(lái)簡(jiǎn)明的傳達(dá)信息模型語(yǔ)義。
(2)對(duì)象定義用來(lái)描述被治理設(shè)備,ASN.1宏,對(duì)象類型用來(lái)簡(jiǎn)明的傳達(dá)被治理對(duì)象的語(yǔ)
法和語(yǔ)義。
(3)通知定義運(yùn)用在治理信息的主動(dòng)傳輸。ASN.1宏,通知類型用來(lái)簡(jiǎn)單的傳達(dá)通知的語(yǔ)
法和語(yǔ)義。
7.1.1SMI的基本規(guī)范
STD58,RFC2578具體說明了MIB模塊語(yǔ)言的基本數(shù)據(jù)類型,包括:Integer32,
enumeratedintegers,Unsigned32,Gauge32,Counter32,Counter64,TimeTicks,INTEGER,
OCTETSTRING,OBJECTIDENTIFIER,ipAddress,Opaque,andBITS.也包括一些對(duì)象標(biāo)識(shí)符
的賦值。STD58,RFC2578進(jìn)一步定義了MIB模塊語(yǔ)言的如下構(gòu)造:
? IMPORTS答應(yīng)具體解釋應(yīng)用于MIB模塊的各條款,但在其他的MIB模塊中定義。
? MODULE-IDENTITY指派MIB模塊的描述和治理信息,例如聯(lián)系和修正歷史。
? OBJECT-IDENTITY和OID的值分配給指定的OID。
? OBJECT-TYPE用來(lái)指派被治理設(shè)備的數(shù)據(jù)類型,狀態(tài)和語(yǔ)義。
? SEQUENCE類型分配給表格中的分縱覽列出的對(duì)象。
? NOTIFICATION-TYPE創(chuàng)立用來(lái)指定事件通知。
7.1.2正文約定
當(dāng)描述MIB摸塊時(shí),經(jīng)常利用縮寫的語(yǔ)義來(lái)表述一系列具有相似特性的對(duì)象。這樣利用
基本數(shù)據(jù)類型定義一種新的數(shù)據(jù)類型。每種數(shù)據(jù)類型另起一個(gè)新名,指定一個(gè)更加嚴(yán)格的基
本類別。這些新定義的類別就是正文約定,更有利于人們閱讀MIB模塊和更利于潛在的智能
治理。這就是STD58,RFC2579,SMIv2的正文約定[27],的目的所在,定義一種MIB模塊語(yǔ)
言的結(jié)構(gòu),TEXT-CONVENYION,用來(lái)定義新的類型,并且用來(lái)指定對(duì)所有MIB都適用的正文
約定。
7.1.3一致性聲明
也許,結(jié)合目前達(dá)到的水平的低端執(zhí)行,定義合適的低端執(zhí)行是很有用的。這正是
STD58,RFC2580,SMIv2的一致性闡述[28],定義了MIB模塊語(yǔ)言的目的所在。有兩種構(gòu)造:
(1) 當(dāng)描述向代理發(fā)出關(guān)于對(duì)象、事件通知定義的請(qǐng)求時(shí)使用一致性聲明。
MODULE-COMPLIANCE結(jié)構(gòu)就是用來(lái)簡(jiǎn)明的傳送這種請(qǐng)求。
(2) 當(dāng)描述向代理發(fā)出關(guān)于對(duì)象、事件通知定義的性能時(shí)使用性能聲明。
AGENT-CAPABILITIES結(jié)構(gòu)就是被用來(lái)簡(jiǎn)明傳送這種性能的。
最后,收集關(guān)于對(duì)象和相關(guān)的事件通知共同組成具有一致性的整體。OBJECT-GROUP結(jié)
構(gòu)就是用來(lái)簡(jiǎn)明傳送這些對(duì)象和對(duì)象組語(yǔ)義的。NOTIFICATON-GROUP結(jié)構(gòu)就是用來(lái)簡(jiǎn)明傳送
這些事件通知和事件通知組語(yǔ)義的。
7.2協(xié)議操作
治理協(xié)議提供了在代理站和治理站之間傳送治理信息的消息交換。這種消息格式是被封
裝為協(xié)議數(shù)據(jù)單元的消息包(PDU)。
RFC1905,SNMPv2的協(xié)議操作,的目的在于定義發(fā)送和接收協(xié)議數(shù)據(jù)單元的協(xié)議的操
作。
7.3傳輸映射
SNMP消息廣泛適用于各種協(xié)議族,RFC1906,SNMPv2的傳輸映射,的目的在于定義
SNMP消息在初始化設(shè)置的傳輸區(qū)域是如何映射的。其他的映射將在今后定義。
雖然,已經(jīng)定義了多種映射,UDP的映射方式是首選的映射方式。同樣的,為了提供
最大限度的互操作性,配置其他影射的系統(tǒng)也提供UDP映射的代理服務(wù)。
7.4協(xié)議使用設(shè)備
RFC1907,SNMPv2的治理信息庫(kù)[9],的目的在于定義可用于SNMPv2實(shí)體的被治理
設(shè)備。
7.5體系結(jié)構(gòu)/安全性和治理
RFC2571,描述SNMP治理框架的體系結(jié)構(gòu)[15],的目的在于定義具體說明SNMP管
理框架的體系結(jié)構(gòu)。在闡述一般的體系結(jié)構(gòu)的同時(shí)強(qiáng)調(diào)與安全性和治理相關(guān)的方面。它定義
了貫穿SNMPv3治理框架始終的一些術(shù)語(yǔ),因此,在這里闡明并展開其命名:
? 引擎和應(yīng)用
? 實(shí)體(服務(wù)供給商例如包含引擎的代理和治理器)
? 認(rèn)證(服務(wù)用戶),和
? 治理信息,包括對(duì)多種邏輯上下文的支持。
本文包括一個(gè)小型的MIB模塊,該模塊可以被所有的授權(quán)SNMPv3協(xié)議引擎執(zhí)行。
7.6消息處理和分配(MPD)
RFC2572,“簡(jiǎn)單網(wǎng)絡(luò)治理的消息處理和分配”[16],描述了在SNMP結(jié)構(gòu)體系中消息
的處理和分配。它定義了存在多種版本的SNMP消息的分配到真確的SNMP消息處理模塊
的進(jìn)程,然后分配協(xié)議數(shù)據(jù)單元到SNMP的應(yīng)用程序。本文件也描述了一個(gè)消息處理模型,
即SNMPv3的消息處理模塊。
SNMPV3協(xié)議引擎必須支持至少一個(gè)消息處理模塊。一個(gè)SNMPv3引擎可以支持一個(gè)
以上的消息處理模塊,例如在一個(gè)多協(xié)議混雜系統(tǒng)可以同時(shí)支持SNMPv3,SNMPv1和/或
SNMPv2c。
7.7SNMP的應(yīng)用
RFC2573,“SNMP的應(yīng)用”,的目的在于描述五種類型的與SNMP引擎相關(guān)的應(yīng)用。
它們是:命令發(fā)生器、命令響應(yīng)器、通知產(chǎn)生器、通知接收器、和代理轉(zhuǎn)發(fā)器。
本文也定義了為具體描述治理操作(包括通知),通知過濾,和代理轉(zhuǎn)發(fā)對(duì)象的
MIB模塊。
7.8基于用戶的安全模塊(USM)
RFC2574,“簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議第三版(SNMPv3)的基于用戶的安全模塊(USM)”,
描述了SNMPv3的基于用戶的安全模塊。它定義了提供SNMP消息級(jí)安全性的程序原理。
本文描述了兩種主要的和兩種次要的基于用戶的安全模塊所要防范的威脅。它們是:信
息的修改、偽裝、信息流的修改和泄露。
USM使用md5[21]與安全擾碼運(yùn)算法則[22]作為主要的散列算法[23]來(lái)確保數(shù)據(jù)的完整
性。
? 直接確保數(shù)據(jù)不遭到修改的攻擊
? 間接確保數(shù)據(jù)源授權(quán)
? 防止偽裝攻擊
USM使用松散的同步時(shí)鐘計(jì)時(shí)器來(lái)防止信息流被修改。自動(dòng)同步時(shí)鐘機(jī)制遵循協(xié)議
中不依靠第三方時(shí)間源和相關(guān)的安全考慮制定。
USM在密碼塊序列模式(CBC)中使用數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)[24]來(lái)防止泄露。USM
中的DES功能為可選項(xiàng),主要是因?yàn)樵S多國(guó)家的出口和使用限制使其包括加密技術(shù)再內(nèi)難
以出口和使用。
本文也包括適合遠(yuǎn)程控制與治理USM的配置參數(shù)的MIB,包括密鑰分配方式和密鑰
治理方式。
如同可以提供多種授權(quán)與私有協(xié)議,實(shí)體可以同時(shí)提供多種安全模式。USM使用的所
有協(xié)議都建立在預(yù)先設(shè)置密鑰的基礎(chǔ)上,例如,私有密鑰機(jī)制。SNMPv3體系結(jié)構(gòu)答應(yīng)不
對(duì)稱機(jī)制和協(xié)議(通常被叫做“公用密鑰加密算法”)然而盡管如此,還沒有公布的可供
SNMPv3安全模型使用的公用密鑰加密算法。
7.9基于視圖的訪問控制(VACM)
RFC2575,“簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議(SNMP)的基于視圖的訪問控制”,的目的在于描述應(yīng)
用于SNMP體系結(jié)構(gòu)的訪問控制模型。VACM可以同時(shí)應(yīng)用于含帶多消息處理模塊和多安
全模塊的單一引擎的執(zhí)行。
在一個(gè)引擎的執(zhí)行中,體系結(jié)構(gòu)可能存在多種,不同的,同時(shí)出現(xiàn)并處于激活狀態(tài)的訪
問控制模塊,然而在實(shí)踐中卻很少有“真正的”和“幾乎”難以實(shí)現(xiàn)的同時(shí)支持多消息處
理模塊和多安全模塊。
7.10SNMPv3的共存與轉(zhuǎn)換
“國(guó)際網(wǎng)絡(luò)治理框架的第一,第二和第三版本的共存”的目的在于描述SNMPv3治理框
架,SNMPv2的框架和最初的SNMPv1的治理框架的共存。本文非凡描述了如下四方面的
共存:
? 從SMIv1到SMIv2格式的MIB文檔的共存
? 通知參數(shù)的映射
? 支持多種版本的SNMP的多協(xié)議網(wǎng)絡(luò)的共存方式,非凡是多協(xié)議執(zhí)行協(xié)議操作的處理,
例如代理的執(zhí)行
? SNMPv1消息處理模型和基于共同體的安全模型,提供使SNMPv1、SNMPv2適應(yīng)基
于視圖的訪問控制模型的轉(zhuǎn)化機(jī)制。
8安全性考慮
本文作為路標(biāo)文檔,沒有提供新的安全考慮。讀者可以參考相關(guān)的參考文獻(xiàn)汲取安全考
慮的信息。
9作者地址
JeffreyCase
SNMPResearch,Inc.
3001KimberlinHeightsRoad
Knoxville,TN37920-9716
USA
Phone:+14235731434
EMail:case@snmp.com
RussMundy
TISLabsatNetworkAssociates
3060WashingtonRd
Glenwood,MD21738
USA
Phone:+13018546889
EMail:mundy@tislabs.com
DavidPartain
EriCSSonRadioSystems
ResearchandInnovation
P.O.Box1248
SE-58112Linkoping
Sweden
Phone:+4613284144
EMail:David.Partain@ericsson.com
BobStewart
CiscoSystems,Inc.
170WestTasmanDrive
SanJose,CA95134-1706
U.S.A.
Phone:+16036546923
EMail:bstewart@cisco.com
10參考書目
[1]Rose,M.andK.McCloghrie,"StrUCtureandIdentificationof
ManagementInformationforTCP/IP-basedinternets",STD16,RFC
1155,May1990.
[2]Rose,M.andK.McCloghrie,"ConciseMIBDefinitions",STD16,
RFC1212,March1991.
[3]Case,J.,Fedor,M.,Schoffstall,M.andJ.Davin,"Simple
NetworkManagementProtocol",STD15,RFC1157,May1990.
[4]SNMPv2WorkingGroup,Case,J.,McCloghrie,K.,Rose,M.,andS.
Waldbusser,"StructureofManagementInformationforVersion2
oftheSimpleNetworkManagementProtocol(SNMPv2)",RFC1902,
January1996.
[5]SNMPv2WorkingGroup,Case,J.,McCloghrie,K.,Rose,M.,andS.
Waldbusser,"TextualConventionsforVersion2oftheSimple
NetworkManagementProtocol(SNMPv2)",RFC1903,January1996.
[6]SNMPv2WorkingGroup,Case,J.,McCloghrie,K.,Rose,M.,andS.
Waldbusser,"ConformanceStatementsforVersion2oftheSimple
NetworkManagementProtocol(SNMPv2)",RFC1904,January1996.
[7]SNMPv2WorkingGroup,Case,J.,McCloghrie,K.,Rose,M.andS.
Waldbusser,"ProtocolOperationsforVersion2oftheSimple
NetworkManagementProtocol(SNMPv2)",RFC1905,January1996.
[8]SNMPv2WorkingGroup,Case,J.,McCloghrie,K.,Rose,M.andS.
Waldbusser,"TransportMappingsforVersion2oftheSimple
NetworkManagementProtocol(SNMPv2)",RFC1906,January1996.
[9]SNMPv2WorkingGroup,Case,J.,McCloghrie,K.,Rose,M.andS.
Waldbusser,"ManagementInformationBaseforVersion2ofthe
SimpleNetworkManagementProtocol(SNMPv2)",RFC1907,January
1996.
[10]SNMPv2WorkingGroup,Case,J.,McCloghrie,K.,Rose,M.andS.
Waldbusser,"CoexistencebetweenVersion1andVersion2ofthe
Internet-standardNetworkManagementFramework",RFC1908,
January1996.
[11]Informationprocessingsystems-OpenSystemsInterconnection-
SpecificationofAbstractSyntaxNotationOne(ASN.1),
InternationalOrganizationforStandardization.International
Standard8824,(December,1987).
[12]McCloghrie,K.andM.Rose,"ManagementInformationBasefor
NetworkManagementofTCP/IP-basedInternets",RFC1066,August
1988.
[13]McCloghrie,K.andM.Rose,"ManagementInformationBasefor
NetworkManagementofTCP/IP-basedinternets:MIB-II,STD17,
RFC1213,March1991.
[14]Cerf,V.,"IABRecommendationsfortheDevelopmentofInternet
NetworkManagementStandards",RFC1052,April1988.
[15]Harrington,D.,Presuhn,R.andB.Wijnen,"AnArchitecturefor
DescribingSNMPManagementFrameworks",RFC2571,April1999.
[16]Case,J.,Harrington,D.,Presuhn,R.andB.Wijnen,"Message
ProcessingandDispatchingfortheSimpleNetworkManagement
Protocol(SNMP)",RFC2572,April1999.
[17]Levi,D.,Meyer,P.andB.Stewart,"SNMPapplications",RFC
2573,April1999.
[18]Blumenthal,U.andB.Wijnen,"TheUser-BasedSecurityModelfor
Version3oftheSimpleNetworkManagementProtocol(SNMPv3)",
RFC2574,April1999.
[19]Wijnen,B.,Presuhn,R.andK.McCloghrie,"View-basedaccess
ControlModelfortheSimpleNetworkManagementProtocol
(SNMP)",RFC2575,April1999.
[20]Frye,R.,Levi,D.,Routhier,S.,andB.Wijnen,"Coexistence
betweenVersion1,Version2,andVersion3oftheInternet-
standardNetworkManagementFramework",WorkinProgress.
[21]Rivest,R.,"MessageDigestAlgorithmMD5",RFC1321,April
1992.
[22]SecureHashAlgorithm.NISTFIPS180-1,(April,1995)
http://csrc.nist.gov/fips/fip180-1.txt(ASCII)
http://csrc.nist.gov/fips/fip180-1.ps(Postscript)
[23]Krawczyk,H.,Bellare,M.andR.Canetti,"HMAC:Keyed-Hashing
forMessageAuthentication",RFC2104,February1997.
[24]DataEncryptionStandard,NationalInstituteofStandardsand
Technology.FederalInformationProcessingStandard(FIPS)
Publication46-1.SupersedesFIPSPublication46,(January,
1977;reaffirmedJanuary,1988).
[25]Rose,M.,"AConventionforDefiningTrapsforusewiththe
SNMP",RFC1215,March1991.
[26]McCloghrie,K.,Perkins,D.,Schoenwaelder,J.,Case,J.,Rose,
M.andS.Waldbusser,"StructureofManagementInformation
Version2(SMIv2)",STD58,RFC2578,April1999.
[27]McCloghrie,K.,Perkins,D.,Schoenwaelder,J.,Case,J.,Rose,
M.andS.Waldbusser,"TextualConventionsforSMIv2",STD58,
RFC2579,April1999.
[28]McCloghrie,K.,Perkins,D.,Schoenwaelder,J.,Case,J.,Rose,
M.andS.Waldbusser,"ConformanceStatementsforSMIv2",STD
58,RFC2580,April1999.
11版權(quán)聲明
Copyright(C)TheInternetSociety(1998).AllRightsReserved.
Thisdocumentandtranslationsofitmaybecopiedandfurnishedto
others,andderivativeworksthatcommentonorotherwiseeXPlainit
orassistinitsimplementationmaybeprepared,copied,published
anddistributed,inwholeorinpart,withoutrestrictionofany
kind,providedthattheabovecopyrightnoticeandthisparagraphare
includedonallsuchcopiesandderivativeworks.However,this
documentitselfmaynotbemodifiedinanyway,suchasbyremoving
thecopyrightnoticeorreferencestotheInternetSocietyorother
Internetorganizations,exceptasneededforthepurpoSEOf
developingInternetstandardsinwhichcasetheproceduresfor
copyrightsdefinedintheInternetStandardsprocessmustbe
followed,orasrequiredtotranslateitintolanguagesotherthan
English.
Thelimitedpermissionsgrantedaboveareperpetualandwillnotbe
revokedbytheInternetSocietyoritssuccessorsorassigns.
Thisdocumentandtheinformationcontainedhereinisprovidedonan
"ASIS"basisandTHEINTERNETSOCIETYANDTHEINTERNETENGINEERING
TASKFORCEDISCLAIMSALLWARRANTIES,EXPRESSORIMPLIED,INCLUDING
BUTNOTLIMITEDTOANYWARRANTYTHATTHEUSEOFTHEINFORMATION
HEREINWILLNOTINFRINGEANYRIGHTSORANYIMPLIEDWARRANTIESOF
MERCHANTABILITYORFITNESSFORAPARTICULARPURPOSE."
12.鳴謝
感謝互聯(lián)網(wǎng)協(xié)會(huì)提供的RFC編者基金。
新聞熱點(diǎn)
疑難解答
圖片精選
網(wǎng)友關(guān)注
