由于历史和现实的原因,国际标准化组织ISO 很早就制定了网络管理标准,如公共管理信息服务协议CMIS 和公共管理信息协议CMIP,但它们与ISO 的OSI 参考模型标准一样,通常在电信网(如SDH)中得到应用,而在局域网中始终未得到用户(厂商)的广泛支持。相反,广泛应用于TCP/IP 网络的简单网络管理协议(Simple Network Management Protocol,SNMP)却得到绝大部分网络厂商的一致支持。
1.SNMP 模型
SNMP 是TCP/IP 协议集中的一个应用层协议,该协议设计的主要目的是为网络设备之间提供管理信息交换的设施。采用SNMP 协议访问网络管理信息,网络管理人员可以更加容易地管理网络,发现和解决网络问题。
SNMP 模型如图9.1所示。该模型组成的4 个要素:网络管理站(管理进程)、被管理者(管理代理)、管理信息库(MIB)和网络管理协议(SNMP)。
图9.1 SNMP 模型
(1)网络管理站(管理进程,Manager)。网络管理站是指运行网络管理协议SNMP、网络管理支持工具及网络管理应用软件的主机。网络中至少有一台这样的主机,它运行特殊的网络管理软件(管理进程)。管理进程完成各种网络管理功能,通过各设备中的管理代理对网络中的各种设备、设施和资源实施检测和控制。另外,操作人员通过管理进程对全网进行管理。有时管理进程也会对各管理代理中的数据集中存档,以备事后分析。
(2)被管理站(管理代理,Agent)。被管理站包括主机、网关、服务器、路由器、交换机等网络设备。管理代理是驻留在被管理站上的一套软件,它负责执行管理进程的管理操作。管理代理直接操作本地信息库MIB,如果管理进程需要,它可根据要求改变本地MIB 或提取数据,传回到管理进程。每个管理代理都有自己的本地MIB。一个代理管理的本地MIB 不一定具有Internet 定义的MIB 的全部内容,而只需要包括与本地设备或设施有关的管理对象。管理代理可从MIB 中读取各种变量值,也可以在MIB 中修改各种变量值,并与管理进程进行通信,以响应其管理请求。
(3)管理信息库MIB。MIB 是一个概念上的数据库,由管理对象组成。每个管理代理管理MIB 中属于本地的管理对象,各管理代理控制的管理对象共同构成全网的管理信息库。MIB 的管理对象包括报文分组计数、出错计数、用户访问计数、路由器中的IP 路由选择表等。MIB 分为MIBⅠ(通用管理信息库)和MIBⅡ(专用管理信息库)两类,后者由各厂商自行定义。
2.SNMP 协议及其发展过程
SNMP 的发展主要包括SNMPv1,SNMPv2 和SNMPv3 三个版本。
(1)SNMPv1。SNMPv1 协议最重要的特性就是简捷易用,从而使系统的负载可以减至最低限度。SNMPv1 中没有一大堆命令,而只有存(存储数据到变量集)和取(从变量集中取数据)两种操作。在SNMPv1 中,所有操作都可以看成是由这两种操作派生而来的。正是由于这些特性,使得SNMPv1 的开发非常方便,成为网络管理事实上的标准。
在SNMPv1 中,只定义了4 种操作:
取(get):从管理代理那里取得指定的MIB 变量值。(www.xing528.com)
取下一个(get next):从管理代理表中取得下一个指定的MIB 值。
设置(set):设置管理代理指定的MIB 变量值。
报警(trap):当管理代理发生错误时,立即向网络管理站报警,不需等待接收方响应。相应地,SNMPv1 协议有如下4 种基本协议交互过程:
① 管理进程从管理代理那里获取管理信息,即管理进程向管理代理发送get-request 后,管理代理向管理进程返回相应的管理信息get-response。
② 管理进程向管理代理发送get-next-request,管理代理返回get-response,将遍历的部分管理对象结果返回给管理进程。
③ 管理进程向管理代理发送set-request,对管理代理的MIB 进行写操作,由管理代理完成set 操作,管理代理用set-response 返回操作结果。
④ 管理代理使用trap 向管理进程报告事件,无须响应。
(2)SNMPv2。SNMPv1 的优点是简单、便捷,因此得到了广泛应用。但它还存在着诸如不能有效地传输大块数据,不能将网络管理功能分散化,安全性能不够理想等缺点。1996年推出的SNMPv2 能够克服上述缺点,但在安全性方面也过于复杂。SNMPv2 增加了一个叫作get-bulk-request 的命令,可一次从路由器的路由表中读取许多行信息,而不像SNMPv1 那样一次只读一行信息。SNMPv2 的另一个特点是改进了原来的get 命令。SNMPv1 在使用get命令读取多个变量的信息时,只要有一个变量值不能返回,整个的get 命令就被拒绝,因此管理进程就减少了变量数目,要重新发送get 命令。SNMPv2 的get 命令允许返回部分变量值,这就可提高效率,减少网上通信量。
当网络规模扩大时,使用一个网络管理站对全网集中管理是不合适的。SNMPv2 采用了较好的分散化管理方法。在一个网络中可以有多个顶级管理站(管理服务器),每个这样的管理服务器管理网络的一部分代理进程,并指派若干个代理进程使之具有管理其他代理进程的功能。这种结构分散了处理功能,使得网络总的通信量明显降低。为了支持这种配置,SNMPv2增加了inform 命令和一个管理进程到管理进程的MIB。使用这种inform 命令可以使管理进程之间互相传输有关的信息而无须经过请求。这样的信息则定义在管理进程到管理进程的MIB 中。
(3)SNMPv3。SNMPv1 和SNMPv2 版本对用户权力的唯一限制是访问口令,而没有用户和权限分级的概念,只要提供相应的口令,就可以对设备进行read 或read/write 操作,安全性相对较薄弱。虽然SNMPv2 使用了复杂的加密技术,但并没有实现提高安全性能的预期目标,尤其是在身份验证(如用户初始接入时的身份验证、信息完整性分析等)、加密、授权和访问控制、适当的远程安全配置和管理能力等方面。
SNMPv3 是在SNMPv2 基础上增加、完善了安全和管理机制,采用了新的SNMP 扩展框架,安全性和管理(安全性、认证和隐私、授权和访问控制、管理框架、用户名及密钥管理、SNMP 中的远程配置等)上有很大的提高。RFC 2271 定义的SNMPv3 体系结构体现了模块化的设计思想,使管理者可以简单地实现功能的增加和修改,其主要特点在于适应性强,可适用于多种操作环境,不仅可以管理最简单的网络,实现基本的管理功能,还能够提供强大的网络管理功能,满足复杂网络的管理需求。
SNMPv3 除了提供全新的模块化体系结构和安全管理特性之外,还支持对管理流量进行加密,使用户在网络中配置设备时也可以使用SNMP。该版本也可以向下兼容早期的协议版本,即可以使用它来管理基于SNMPv1/v2 的设备。从市场应用来看,大多数厂商普遍支持的版本是SNMPv1/v2,市场上的网络设备尚停留在SNMPv1/v2 阶段,但SNMPv3 的应用推广势在必行。在当前的网络设备市场中,D-Link 已经率先推出了支持SNMPv3 的网络产品,如DES-3226S、DES-3250TG 交换机等,在安全功能和管理功能上都有良好的表现。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
