自考“計(jì)算機(jī)網(wǎng)絡(luò)管理”知識(shí)重點(diǎn)（5） -自考串講筆記

　　第五章簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 SNMPv2

　　考試要求

　　1.SNMP的演變，要求達(dá)到識(shí)記層次

　　SNMP的演變過(guò)程

　　2.網(wǎng)絡(luò)安全問(wèn)題，要求達(dá)到領(lǐng)會(huì)層次

　　計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅

　　網(wǎng)絡(luò)管理中的安全問(wèn)題

　　網(wǎng)絡(luò)中的安全機(jī)制：數(shù)據(jù)加密技術(shù)、數(shù)據(jù)完整性和數(shù)據(jù)源認(rèn)證技術(shù)

　　3.管理信息結(jié)構(gòu)，要求達(dá)到領(lǐng)會(huì)層次

　　對(duì)象的定義

　　表的定義、索引和操作

　　通告的定義和作用

　　4.管理信息庫(kù)，要求達(dá)到簡(jiǎn)單應(yīng)用層次

　　System組增加的新對(duì)象

　　SNMP組對(duì)象與SNMPv2操作的關(guān)系

　　MIB對(duì)象組的作用

　　一致性聲明的主要內(nèi)容

　　接口組增加的對(duì)象及應(yīng)用

　　5.SNMPv2的操作，要求達(dá)到簡(jiǎn)單應(yīng)用層次

　　SNMPv2的報(bào)文結(jié)構(gòu)和交換序列

　　SNMPv2協(xié)議數(shù)據(jù)單元的功能和操作

　　SNMPv2管理站之間的通信機(jī)制

　　6.SNMPv2的實(shí)現(xiàn)，要求達(dá)到領(lǐng)會(huì)層次

　　可利用的種種傳輸服務(wù)

　　SNMPv2與OSI的兼容性

　　在 TCP/IP網(wǎng)絡(luò)中實(shí)現(xiàn)OSI系統(tǒng)管理功能的方法

　　SNMP的局限性

　　知識(shí)重點(diǎn)

　?。ㄒ唬?SNMP的演變

　　1.SNMP的發(fā)展

　　當(dāng)初提出 SNMP 的目的識(shí)作為彌補(bǔ)網(wǎng)絡(luò)管理協(xié)議發(fā)展階段之間空缺的一種臨時(shí)性措施。 SNMP 出現(xiàn)后顯示了許多優(yōu)點(diǎn)。最主要的優(yōu)點(diǎn)是：簡(jiǎn)單、容易實(shí)現(xiàn)，而且是基于人們熟悉的 SGMP （ Simple Gateway Monitoring Protocol ）協(xié)議，已有相當(dāng)多的操作經(jīng)驗(yàn)。在 1998 年，為了適應(yīng)當(dāng)時(shí)緊迫的網(wǎng)絡(luò)管理需要，確定了網(wǎng)絡(luò)管理標(biāo)準(zhǔn)開(kāi)發(fā)的雙軌制策略。

　?。縎NMP可以滿(mǎn)足當(dāng)前的網(wǎng)絡(luò)管理需要，用語(yǔ)管理配置簡(jiǎn)單的網(wǎng)絡(luò)，并且在將來(lái)以平穩(wěn)地過(guò)度到新地網(wǎng)絡(luò)管理標(biāo)準(zhǔn)。

　??？OSI網(wǎng)絡(luò)管理（即CMOT）作為長(zhǎng)期地解決辦法，可以應(yīng)付未來(lái)更復(fù)雜地網(wǎng)絡(luò)的配置，提供更全面的管理功能。但是需要較長(zhǎng)的開(kāi)發(fā)過(guò)程，以及開(kāi)發(fā)商和用戶(hù)接受的過(guò)程。

　　為了修補(bǔ)SNMP的安全缺陷，1992年7月出現(xiàn)了一個(gè)新標(biāo)準(zhǔn)——安全SNMP（S-SNMP），這個(gè)協(xié)議增強(qiáng)了安全方面的功能：

　　。用報(bào)文摘要算法 MD5保證數(shù)據(jù)完整性和進(jìn)行數(shù)據(jù)源認(rèn)證。

　　。用時(shí)間戳對(duì)報(bào)文排序。

　　。用 DES算法提供數(shù)據(jù)加密功能。

　　但是，S-SNMP沒(méi)有改進(jìn)SNMP在功能和效率方面的其他缺點(diǎn)。幾乎與此同時(shí)，有任又提出了另外一個(gè)協(xié)議SMP（Simple Management Protocol），這個(gè)協(xié)議由8個(gè)文件組成（非RFC），它對(duì)SNMP的擴(kuò)充表現(xiàn)在下列方面：

　　。適用范圍： SMP可以管理任意資源，不僅是網(wǎng)絡(luò)資源，還可用于應(yīng)用管理，系統(tǒng)管理?？蓪?shí)現(xiàn)管理站之間的通信，也提供了更明確更靈活的描述框架，可以描述一致性要求和實(shí)現(xiàn)能力。在SMP中管理信息的擴(kuò)展性得到了增強(qiáng)。

　　。復(fù)雜程度、速度和效率：保持了 SNMP的簡(jiǎn)單性，更容易實(shí)現(xiàn)，并提供了數(shù)據(jù)塊傳送能力，因而速度和效率更高。

　　。安全設(shè)施：結(jié)合了 S-SNMP提供的安全功能。

　　。兼容性：可以運(yùn)行在 TCP/IP網(wǎng)絡(luò)上，也適合OSI系統(tǒng)和運(yùn)行其他通信協(xié)議的網(wǎng)絡(luò)。

　　在對(duì) S-SNMP和SMP討論的過(guò)程中，Internet研究人員達(dá)成了如下的共識(shí)：必須擴(kuò)展SNMP的功能，并增強(qiáng)其安全設(shè)施，使用戶(hù)和制造商盡快地從原來(lái)的SNMP過(guò)渡到第二代SNMP，于是S-SNMP被放棄，決定以SMP為基礎(chǔ)開(kāi)發(fā)SNMP第二版，即SNMPv2.IETF組織了兩個(gè)工作組。一個(gè)負(fù)責(zé)協(xié)議功能和管理信息庫(kù)的擴(kuò)展，另一個(gè)負(fù)責(zé)SNMP的安全方面，1992年10月正式開(kāi)始工作。這兩個(gè)組的工作進(jìn)展非常之快，功能組的工作在1992年12月完成，安全組在1993年完成。后來(lái)又經(jīng)過(guò)幾年的實(shí)驗(yàn)和論證，新的RFC文件集合在1996年完成。然而就在新的RFC文件發(fā)布時(shí)有人發(fā)現(xiàn)安全方面存在重要缺陷，而改進(jìn)安全設(shè)施的工作又遲遲沒(méi)有進(jìn)展。后來(lái)決定丟掉安全功能，把增加的其他功能作為新標(biāo)準(zhǔn)頒布，并保留了SNMPv1的報(bào)文封裝格式，因而叫做基于團(tuán)體名的SNMP（Community-base SNMP），簡(jiǎn)稱(chēng)SNMPv2C.

　?。ǘ┚W(wǎng)絡(luò)安全問(wèn)題

　　1.計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅

　　為了理解對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的安全威脅，我們首先定義安全需求。計(jì)算機(jī)和網(wǎng)絡(luò)需要以下 3 方面的安全性：

　　。保密性（ secrecy）：計(jì)算機(jī)中的信息只能由授予訪(fǎng)問(wèn)權(quán)限的用戶(hù)讀?。ò@示、打印等，也包含暴露信息存在的事實(shí)）。

　　。數(shù)據(jù)完整性（ integrity）：計(jì)算機(jī)系統(tǒng)中的信息資源只能被授予權(quán)限的用戶(hù)修改。

　　。可利用性（ availability）：具有訪(fǎng)問(wèn)權(quán)限的用戶(hù)在需要時(shí)可以利用計(jì)算機(jī)系統(tǒng)中的信息資源。

　　2.網(wǎng)絡(luò)管理中的安全問(wèn)題

　　由于網(wǎng)絡(luò)管理時(shí)分布在網(wǎng)絡(luò)商的應(yīng)用程序和數(shù)據(jù)庫(kù)的集合，各種安全威脅都可能影響網(wǎng)絡(luò)管理系統(tǒng)，造成管理系統(tǒng)失效或發(fā)出了錯(cuò)誤的管理指令，破壞了計(jì)算機(jī)網(wǎng)絡(luò)的正常運(yùn)行。對(duì)于網(wǎng)絡(luò)管理特別有 3 個(gè)安全方面的威脅值得提出：

　　。偽裝的用戶(hù)：沒(méi)有得到授權(quán)的一般用戶(hù)企圖訪(fǎng)問(wèn)網(wǎng)絡(luò)管理應(yīng)用和管理信息。

　　。假冒的管理程序：無(wú)關(guān)的計(jì)算機(jī)系統(tǒng)可能偽裝成網(wǎng)絡(luò)管理站實(shí)施管理功能。

　　。侵入管理站和代理之間的信息交換過(guò)程：網(wǎng)絡(luò)入侵者通過(guò)觀(guān)察網(wǎng)絡(luò)活動(dòng)竊取了敏感的管理信息，更嚴(yán)重的危害時(shí)可能篡改管理信息，或中斷管理站和代理之間的通信。

　　系統(tǒng)或網(wǎng)絡(luò)的安全設(shè)施由一系列安全服務(wù)和安全機(jī)制的集合組成。

　　3. 安全機(jī)制

　　數(shù)據(jù)加密時(shí)防止未經(jīng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)敏感信息的手段，這就是人們通常理解的安全措施，也是其他安全方法的基礎(chǔ)。研究數(shù)據(jù)加密的科學(xué)叫做密碼學(xué)（ Cryptography ），它又分為設(shè)計(jì)密碼體制的密碼編碼學(xué)和破譯密碼的密碼分析學(xué)。密碼學(xué)有著悠久而光輝的歷史，古代的軍事家已經(jīng)用密碼傳遞軍事情報(bào)了，而現(xiàn)代計(jì)算機(jī)的應(yīng)用和計(jì)算機(jī)科學(xué)的發(fā)展又為這一古老的科學(xué)注入了新的活力?，F(xiàn)代密碼學(xué)是經(jīng)典密碼學(xué)的進(jìn)一步發(fā)展和完善。由于加密和解密此消彼長(zhǎng)的斗爭(zhēng)永遠(yuǎn)不會(huì)停止，這門(mén)科學(xué)還在迅速發(fā)展之中。

　　認(rèn)證——防止主動(dòng)攻擊的方法

　　認(rèn)證又分為實(shí)體認(rèn)證和消息認(rèn)證兩種。實(shí)體認(rèn)證是識(shí)別通信雙方的身份，防止假冒，可以使用數(shù)字簽名的方法。消息認(rèn)證是驗(yàn)證消息在傳遞或存儲(chǔ)過(guò)程中沒(méi)有被篡改，通常使用消息摘要的方法。

　　數(shù)字簽名——防止否認(rèn)的方法

　　與人們手寫(xiě)簽名作用一樣，數(shù)字簽名系統(tǒng)向通信雙方提供服務(wù)，使得 A 向 B 發(fā)送簽名的消息 P ，以便

　　I. B 可以驗(yàn)證消息 P 確實(shí)來(lái)源于 A

　　II. A 以后步能否認(rèn)發(fā)送過(guò)

　　III. B 不能編造或改變消息 P

　　（三）管理信息結(jié)構(gòu)

　　SNMPv2 的管理信息結(jié)構(gòu)是在總結(jié) SNMP 應(yīng)用經(jīng)驗(yàn)的基礎(chǔ)上對(duì) SNMPv1 SMI 進(jìn)行了擴(kuò)充，提供了更精致更嚴(yán)格的規(guī)范，規(guī)定了新的管理對(duì)象和 MIB 的文檔，可以說(shuō)是 SNMPv1 SMI 的超集。 SNMPv2 SMI 引入了 4 個(gè)關(guān)鍵的概念。

　　。對(duì)象的定義

　　。概念表

　　。通知的定義

　　。信息模塊

　?。ㄋ模┕芾硇畔?kù)

　　SNMPv2 MIB 擴(kuò)展和細(xì)化了 MIB-2 中定義的管理對(duì)象，又增加了新的管理對(duì)象。

　　I.系統(tǒng)組

　　II.SNMP 組

　　III.MIB 組

　　IV.適合性聲明

　　V.接口組

　?。ㄎ澹㏒NMPv2協(xié)議和操作

　　SNMPv2提供了3種訪(fǎng)問(wèn)管理信息的方法：

　　。管理站和代理之間的請(qǐng)求 /響應(yīng)通信，這種方法與SNMPv1是一樣的。

　　。管理站和管理站之間的請(qǐng)求 /響應(yīng)通信，這種方法是SNMPv2特有的，可以由一個(gè)管理站把有關(guān)管理信息告訴另外一個(gè)管理站。

　　。代理系統(tǒng)到管理站的非確認(rèn)通訊，即由代理向管理站發(fā)送陷入報(bào)文，報(bào)告出現(xiàn)的異常情況。 SNMPv2中也有對(duì)應(yīng)的通信方式。

　?。㏒NMPv2的實(shí)現(xiàn)

　　1.傳輸層映像

　　SNMP是應(yīng)用層協(xié)議，通過(guò)傳輸層服務(wù)訪(fǎng)問(wèn)通信網(wǎng)絡(luò)。SNMPv2規(guī)范定義了可以使用5種傳輸層服務(wù)，這5種傳輸層映射是：

　　。 UDP：用戶(hù)數(shù)據(jù)報(bào)協(xié)議；

　　。 CLNS：OSI無(wú)連接的傳輸服務(wù)；

　　。 CONS：OSI面向連接的傳輸服務(wù)；

　　。 DDP：AppleTalk的DDP傳輸服務(wù)；

　　。 IPX：Novell公司的網(wǎng)間分組交換協(xié)議。

　　2.與 OSI的兼容性

　　為發(fā)使 SNMPv2能與OSI系統(tǒng)互操作，可以使用RFC1006在TCP/IP網(wǎng)絡(luò)之上的模擬ISO的TPO傳輸服務(wù)，通過(guò)RFC1006，OSI的電子郵件、系統(tǒng)管理等應(yīng)用程序都可以通過(guò)運(yùn)行在TCP/IP失望落上。RFC1006提供的TPO使最簡(jiǎn)單的面向連接的傳輸協(xié)議，只提供連接的佳麗和釋放等基本操作，不支持錯(cuò)誤檢測(cè)，也不支持傳輸服務(wù)Qos.RFC1006對(duì)TPO也有所增強(qiáng)，主要是在連接建立階段可以交換少量數(shù)據(jù)，支持加急投送服務(wù)，支持特長(zhǎng)協(xié)議數(shù)據(jù)單元（默認(rèn)為65531）等。

　　3.TCP/IP網(wǎng)絡(luò)的系統(tǒng)管理

　　SNMP 的管理信息庫(kù) MIB 主要是根據(jù)協(xié)議分組的，并沒(méi)有按照 OSI 的系統(tǒng)掛零你功能域分類(lèi)。雖然實(shí)現(xiàn) SNMP 協(xié)議的網(wǎng)絡(luò)管理產(chǎn)品都有自己的使用方法，但是在應(yīng)用管理對(duì)象功能方面并沒(méi)有統(tǒng)一的分類(lèi)標(biāo)準(zhǔn)。

　　MIB 對(duì)象駐在各種代理系統(tǒng)中，這些對(duì)象中的數(shù)據(jù)應(yīng)報(bào)告給有關(guān)信息的系統(tǒng)管理功能實(shí)體，同時(shí)協(xié)議或設(shè)備專(zhuān)用的管理信息也應(yīng)該歸屬于相應(yīng)的系統(tǒng)管理功能域。如何合理地分布各種管理對(duì)象，以有利于系統(tǒng)管理功能的實(shí)現(xiàn)，是設(shè)計(jì)網(wǎng)絡(luò)管理應(yīng)用時(shí)值得認(rèn)真決策的重要問(wèn)題。

　　一般來(lái)說(shuō)，不是每個(gè)代理都要實(shí)現(xiàn)所有的 MIB 對(duì)象，但是各種聯(lián)網(wǎng)設(shè)備中的代理程序應(yīng)該提出這種設(shè)備需要的管理對(duì)象，例如路由器專(zhuān)用的管理信息庫(kù)。委托代理是一種十分靈活的管理機(jī)制，如果可能，以委托代理實(shí)現(xiàn)專(zhuān)用網(wǎng)絡(luò)設(shè)備的管理信息收集和系統(tǒng)管理功能應(yīng)該是最好的選擇。