第三章SNMPv1
3.1SNMPv1协议数据单元
1、SNMPv1支持的操作
仅支持对象值的检索和修改
a)Get:检索管理信息库中标量对象的值
b)Set:管理站用于设置管理信息库中标量对象的值
c)Trap:代理用于向管理站报告管理对象的状态变化
SNMP不支持管理站改变管理信息库中的叶子节点,不能增加和删除MIB中的管理对象实例。管理站也不能向管理对象发出执行一个动作的命令。管理站只能逐个访问管理信息库中的叶子节点,不能一次性访问一个子数。
2、SNMPv1PDU格式
管理站和代理站之间交换的管理信息构成SNMP报文,由三部分组成:版本号、团体名、协议数据单元(PDU)。
SNMP有5种管理操作,只有4种PDU,管理站发出三种请求报文GetRequest,GetNextRequest和SetRequest采用的格式是一样的。代理的应答报文只有一种:GetResponse.除Trap外,4种pdu格式相同,共有5个字段:
a)PDU类型:共5种类型
b)请求标识:赋予每个请求报文唯一的整数,用于区别不同请求
c)错误状态:共有5种错误状态:noerror(1),tooBig(1),noSuchName(2),badOnly(4),genError(5)
d)错误索引当错误状态非0时指出出错的变量
e)变量绑定表:变量名和对应值的表
Trap包含:
制造商ID
代理地址
一般陷入:SNMP定义6类:
特殊陷入:与设备有关的特殊陷入代码
时间戳:代理发出陷入的时间
3、报文应答序列
a)GetRequest
b)GetNextRequest
c)SetRequest
d)GetResponse
e)Trap,不需要应答
4、报文的发送和接收过程
当一个SNMP协议实体(PE)发送一个报文时执行以下过程P71
a)按照ASN1的格式构造PDU,交给认证进程
b)认证进程检查源和目标之间是否可以通信
c)通过检查,相关的版本号、团体名、PDU组装成报文
d)经过BER编码,绞传输实体发送出去
当一个SNMP协议实体(PE)接收一个报文时执行以下过程:
按照BER编码恢复ASN1报文
1、对报文验证版本号和认证信息
2、通过分析和验证,分离出协议数据单元,进行语法分析
3、必要时经过适当处理返回应答报文
4、如果认证检验失败,生成一个陷入报文,向发送站报告通信异常情况。
如希望检索多个管理对象,则要把多个管理对象装入一个PDU,这就用到变量绑定表
3.2SNMPv1的安全机制
SNMP的安全机制很简单,只验证团体名。
1、团体的概念:SNMP网络管理是一种分布式应用,这种应用的特点是管理站和被管理站之间的关系可以是一对多的关系,即一个管理站可以管理多个代理,从而管理多个被管理设备。只有属于同一团体的管理站和被管理站才能互相作用,发送给不同团体的报文被忽略。
SNMP的团体是一个代理和多个管理站之间的认证和访问控制关系
2、SNMPv1的简单认证过程:RFC1157提供的只是简单的认证方案:从管理站发送到代理的报文(Get,Set)都有一个团体名,就像口令字一样。
3、SNMPv1可采用的访问策略:访问控制有两方面含义:
a)MIB视阈:MIB中对象的一个子集,对不同的团体可以定义不视阈(View)。
b)访问模式:集合{read-only,read-write}的一个元素。
团体的形象(Profile):有关一个团体的MIB视阈和访问模式的组合叫做该团体的~,团体的形象由代理中MIB对象的一个子集和这些对象的访问模式组成。
SNMP团体和SNMP团体形象的组合叫做访问策略。
4、转换代理在SNMP中的作用:委托代理是代表不支持SNMP的设备工作的。其作用是减少被代理的设备与管理站之间的交互过程。
3.3SNMPv1的操作(综合应用)
1、检索简单标量对象值的方法:使用Get操作,如果变量绑定表中包含多个变量,一次可以检索多个标量对象的值。
GetResponse操作的原子性:如果请求对象的值可以得到,则给与应答;反之,返回下列错误之一:
1)变量绑定表中的一个对象无法与MIB中的任何对象标示符匹配,或要检索的对象是一个数据块(子树和表),没有对象实例生成。返回的GetResponsePDU中错误状态字段为noSuchName
2)由于上下层协议限制,响应实体可以提供所要检索的值,但变量太多,一个相应PDU装不下,tooBig
3)由于其它原因响应实体至少不能提供一个对象的值,返回genError
例:3.1P74、75
2、检索未知对象的方法P76:使用GetNext命令检索变量名指示的下一个对象实例。如果交叉标示符没有有效性,直接查找下一个有效的标示符,并返回对象实例。如果不知道UDP组内有哪些变量可以直接发送GetNextRequest(udp),将得到响应是UDP组内的第一个对象。
3、检索表对象的方法P76:使用GetNext命令可以有效的检索表
4、表的更新和删除操作P78:
1)Set命令用于设置或更新变量的值,其PDU格式与Get相同。
2)变量绑定表(variablebindings)中必须包含要设置的变量名和变量值。
3)Set命令的应答也是GetResponse,同样是原子性的。
4)如果所有的变量都可以设置,则更新所有变量的值,返回GetResponse中确认新值;
5)如果至少有一个变量的值不能设置,所有变量值都保持不变,并在错误状态中指出出错原因。SET出错原因和GET类似(tooBigno,SuchName,GenError),若有一个变量的名字和要设置的值在类型、长度或实际值方面不匹配,返回badValid.
例3.8P78:设置一个完整行,返回可以是noSuchName、badvalue、或者生成新行
例3.9P78:设置一行,不完整,返回可能是增加新行或拒绝这个操作;
1.删除一行只需把一个对象的值设为invalid,返回响应确认之
MIB-2中只有2中标可以删除ipRouteTable包含ipRouteType可取值为invalid;ipNetMediaTable包含ipNetToMediaType可取值为invalid
2.SNMP没有提供向管理对象发出动作的命令,但可以利用SET命令对以专用对象设置值。错误状态readonly没有在任何回应报文中出现。
5、陷入操作的原理和陷入的种类:陷入是由代理向管理站发出的异步事件报告,不需要应答报文。SNMPv1规定了7种陷入条件:
1)coldStart:发送实体重新初始化,代理配置已改变,通常由于系统失效引起;
2)warmStart:发送实体重新初始化,代理配置没有改变,正常重新启动引起;
3)linkDown:链路失效通知,变量绑定表的第一项指明对应接口表的索引变量及其值;
4)linkUp:链路启动通知变量绑定表的第一项指明对应接口表的索引变量及其值;
5)authenticationFailure:发送实体收到一个没有通过认证的报文;
6)egpNeighborLoss:相邻的外部路由器失效或关机;
7)enterpriseSpecific:设备制造商定义的陷入条件,在特殊陷入字段指明具体的陷入类型。
3.4SNMP功能组对象含义和作用(领会):
SNMP组包含的信息关系到SNMP协议的实现操作。这一组共30个对象,在只支持SNMP站管理或只支持SNMP代理功能的实现中有些对象是没有值的。除了snmpEnableAuthenTrap可由管理站设置,只是它是否允许代理产生“认证失效”陷入外,其它对象都是只读的计数器。(P80)
3.5实现问题(领会)
1、网络管理站的功能要求:选择站管理产品时首先要关心它与标准的一致程度,与代理的互操作性。以及用户界面、功能齐全、方便使用,具体有以下选择标准:
a)支持扩展的MIB
b)图形用户接口:
c)自动发现机制:
d)可编程事件:
e)高级网络控制功能:
f)面向对象的管理模型
g)用户定义的图标
2、轮询频率对网络管理性能的影响:网络轮询频率域网络的规模和代理的多少有关。网络管理的性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等因素。P81
最多可支持设备数(轮询代理数N)小于等于<=轮询间隔T/单个轮询所需时间△
△与以下因素有关(交换一次请求/响应报文需要4个处理时间,2个网络延时):
管理站生成一个报文时间
管理站到代理的网络延迟
代理处理一个请求报文时间
代理生成一个响应报文时间
代理到管理站的网络延时
管理站处理一个响应报文的时间
未得到足够的管理信息,交换请求/响应报文的数量
3、SNMPv1的局限性
a)由于轮询的性能限制,SNMP不适合管理很大的网络
b)SNMP不适合检索大量数据
c)SNMP的陷入报文时没有应答的,管理站是否收到陷入报文,代理不能确认
d)SNMP只提供简单的团体名认证,安全措施不够
e)SNMP并不直接支持向被管理设备发送命令
f)SNMP的管理信息库MIB-2支持的管理对象有限,不能完成复杂的管理功能
g)SNMP不支持管理站之间的通信,这一点在分布式网络中是很需要的。
第四章远程网络监视RMON
RMON扩充了MIB-2,提供互联网络管理的主要信息
1.1RMON的基本概念(领会)
MIB-2只提供单个设备的管理信息
网络监视器:通常用于监视整个网络通信请宽的设备较网络监视器或网络分析器、探测器;
远程监视器:每个子网中配置一个监视器,监视子网中的通信情况,并且与中央管理站通信。
1.远程网络监视的目标:
RMON定义了远程监视的管理信息库,以及SNMP管理站和远程监视器之间的接口,一般RMON的目标只是监视子网范围内的通信,从而减少管理站和被管理站系统间的通信负担。具体RMON具有下列目标:
1.离线操作:必要时管理站可以停止对监视器的轮询,从而减少通信提高带宽利用率。即使不受管理站查询,监视器也能不断收集子网故障、性能和配置方面信息,统计和积累数据,以便管理站查询时及时提供管理信息。另外,在网络出现异常时间使其能及时向管理站报告。
2.主动监视:如监视器有足够资源,通信负载允许,监视器可以连续地或周期的运行诊断程序,获得并记录网络性能参数。
3.问题检测和报告:监视器也可被动地获得网络数据,并在出现异常时向管理站报告。
4.提供增值数据:监视器可以分析收集到的子网数据。
5.多管理站操作:一个网络可以由多个管理站,或者分布的实现不同的网络管理功能。
2.表管理操作原理:
在RMON规范中增加了两种新的数据类型:
1.OwnerString::=DisplayString
2.EntryStatus::=INTRGER{valid(1),createRequest(2),underCreation(3),invalid(4)}
在每一个可读写的RMON表中都有一个对象,其类型为OwnerString,气滞为标行所有人或创建者;
RMON表中还一对象,类型为EntryStatue,其值表示行的状态,对象名义Statue结尾。
RMON规范中的表结构由表控制和数据表两部分组成,控制表定义数据表的结构,数据表
用于存储数据。控制表包含:rmlControlIndex、rmlControlParameter、rmlControlOwner,rmlControlStatue.数据表由rmlDataControlIndex和rmlDataIndex共同索引。
增加行:管理占用Set命令在RMON表中增加行,并遵循下列规则:
3.管理站用SetRequest生成一个新行,如果新行的索引值不冲突,则代理产生一个新行,其状态值为creatRequest(2);
4.新行产生后,由代理把状态对象值置为underCreation(3)。对与管理站没有设置新值得列对象,代理可以置为默认值,或者让新行维持这种不完整、不一致的状态。
5.新行的状态值保持为underCreation(3),直到管理站产生了所要生成的新行。这时由管理站置每一信行状态的值为valid(1)
6.如果管理站要生成的新行已经存在,则返回一个错误值。
删除行:只有行的所有者才能发出SetRequestPDU,把行状态值置为invalid(4)。
修改行:首先置行状态对象的值为invalid(4),然后用SetRequestPDU改变行中其它对象的值。
3.多管理站访问中出现的问题及解决办法:
RMON监视器允许多个管理站并发的访问,当多个管理站访问时可能出现下列问题:
多个管理站对资源的并发访问可能超过监视器的能力;
一个管理站可能长时间占用监视器资源,使得其它站得不到访问;
占用监视器资源的管理站可能出现崩溃,而没有释放资源。RMON控制表中列对象Owner规定了表的所属关系;
管理站能认得自己所属的资源,也知道自己不再需要的资源;
网络操作员可以直到管理站占有的资源,并决定是否释放这些资源;
一个被授权的网络操作员可以单方面决定是否释放其它操作员的资源;
如果管理站重新启动它应该是方不再使用的资源。
4.2RMON的管理信息库
RMONMIB是MIB-2下的第16个子树
1、以太网的统计信息:
有关分组的捕获、网络事件报警
统计组:提供一个表,遗憾标志一个子网的统计信息,大部分是计数器。
历史组:存储的是一固定间隔取样所获得的子网数据姆有历史控指标和历史数据表组成。利用率(Utilization)={packets*(96+64)+Octets*8}/Interval*107
主机组:收集新出现的主机信息,内容与接口组同。
最高N台主机组:记录某组参数最大的N台主机的有关信息,信息来源于主机组。
矩阵组:记录子网中已对主机之间的通信量,信息以矩阵形式存储。
2、令牌网的统计信息:
增加了两个表tokenRingMLStatsTable和tokenRingPStatsTable,前者统计令牌环中各种MAC控制分组,后者统计各种数据分组。
环站组:包含各站的统计数据和状态信息,由控制表和数据表组成。P99
环站顺序组:提供环上的顺序,只有一个表ringStationOrderTable
环站配置组:提供控制环的手段。RMON监视器可以把站从环上移去,或者向下站下载配置信息。由控制表和数据表组成。
环源路由组:只有一个表sourceRoutingStatsTable,提供源路由信息使用情况。
3、报警对象的作用、工作原理功能组:
RMON定义了一组性能的门限值,超过门限值相控制台产生报警事件。这一组和事件组同时出现。报警组有一个表组成,该表定义一种报警:监视的变量、采样区间和门限值。报警类型有两种:absolutevalue(1),表示直接与门限比较;datavalue(2)表式相减后比较,校正量报警。Hysteresis机制:P102增量机制
4、过滤测试的逻辑规则和通道的定义与操作
过滤祖师的监视器观察接口上的分组,通过过滤选择出某种指定的特殊分组。这个组定义了两个过滤器:数据过滤器是按位模式匹配;状态过滤器按状态匹配。
一组过滤器的组合叫做通道,可以通过通道测试的分组技术,也可以配置通道使得通过的分组产生事件,或者使得通过的分组被扑获。
过滤逻辑P103:
input:被过滤的输入分组;
filterPktData:用于测试的位模式;0x00000000A500000000BB
filterPktDataMask:要测试的有关位的掩码;0xFFFFFFFFFFFFFFFF
filterPktDataNotMAsk:指示匹配或不匹配测试;0x00000000FFFFFFFF
通道操作:通道由一组过滤器定义,被测试的分组要通过通道中的有关过滤器的检查。分组是否被通道接受,取决于通道配置中的一个变量:
channelAcceptType::=INTEGER{acceptMatched(1),acceptFailed(2)}
如果该变量值为1,则分组数据和分组状态至少要与一个过滤器匹配,则分组被接受;如果该变量值为2,则分组数据和分组状态与每一个过滤器都不匹配,则分组被接受。
5、包扑获方式和事件记录的工作原理
包扑获组:建立一组缓冲区,用于存储从通道中扑获的分组。由控制表和数据表组成。
事件组:其作用是管理事件。事件是由MIB中其他地方的条件触发的,事件也能触发其他地方的作用。产生事件的条件在RMON中其他组定义,如报警组和过滤组都可以指向事件组的索引项。时间还能使得这个功能组存储有关信息,甚至引起代理进程发送陷入消息。事件组由事件表和log表组成,前者定义事件的作用,后者记录时间出现的顺序和时间。
4.3RMON2管理信息库
RMONMIB只能存储MAC层管理信息,RMON2可以监视MAC层之上的通信。
1、RMON2MIB的组成:RMON2监视3到7层的通信,能对数据链路层以上的分组进行译码。能管理网络层协议,了解分组的源和目标地址。也能监视应用层协议,如电子邮件协议、文件传输协议、HTTP协议等。在RMONMIB基础上增加了9个功能组:
协议目录组:提供各种网络协议的标准化方法,时的管理站可以了解监视器所在子网上运行什么协议。
协议分布组:提供每个协议产生的通信统计数据;
地址映象组:IP与MAC的映射;
网络层主机组:收集网上主机信息;
网络层矩阵组:源和目标的通信情况;
应用层主机组:收集每个应用的通信情况
应用层矩阵组:统计一对应用协议之间的通信情况;
用户历史组:周期的收集统计数据;
监视器配置组:定义了监视器的标准参数的集合。
2、RMON2增加的新功能:RMON2引入了两种与对象索引有关的新功能。
外部对象索引:在SNMPv1管理信息结构的宏定义中没有说明外部对象是否索引对象必须是被索引表的列对象。在SNMPv2中明确指出可以使用不是概念表成员的对象作为索引项。这种情况必须在概念行DESCRIPTION子句中给出文字说明,说明如何使用这样的外部对象唯一地表示概念夯实例。RMON2采用了这种新的表结构,经常使用外部对象索引数据表,以便把数据表与对应的控制表结合起来。
时间过滤器索引:网络管理应用需要周期的轮询监视器,以便得到管理对象的最新状态信息。而我们希望只返回上次检查以来改变的那部分信息。这个索引使得管理站可以从监视器取得自从某个时间来改变过的变量。P113
3、RMON2MIB在网络上层(网络层和应用层)管理的作用
协议的标识:协议标识协议参数串组成。P115
协议目录表:
用户定义的数据收集机制:第一级为控制表,第二级为用户历史对象表,第三级为数据表。
用户定义的标准配置法:增强管理站和监视器之间的互操作
