“计算机网络管理”知识重点（5）

“计算机网络管理”知识重点（5）

　　第五章简单网络管理协议 SNMPv2

　　考试要求

　　1.SNMP的演变，要求达到识记层次

　　SNMP的演变过程

　　2.网络安全问题，要求达到领会层次

　　计算机网络的安全威胁

　　网络管理中的安全问题

　　网络中的安全机制：数据加密技术、数据完整性和数据源认证技术

　　3.管理信息结构，要求达到领会层次

　　对象的定义

　　表的定义、索引和操作

　　通告的定义和作用

　　4.管理信息库，要求达到简单应用层次

　　System组增加的新对象

　　SNMP组对象与SNMPv2操作的关系

　　MIB对象组的作用

　　一致性声明的主要内容

　　接口组增加的对象及应用

　　5.SNMPv2的操作，要求达到简单应用层次

　　SNMPv2的报文结构和交换序列

　　SNMPv2协议数据单元的功能和操作

　　SNMPv2管理站之间的通信机制

　　6.SNMPv2的实现，要求达到领会层次

　　可利用的种种传输服务

　　SNMPv2与OSI的兼容性

　　在 TCP/IP网络中实现OSI系统管理功能的方法

　　SNMP的局限性

　　知识重点

　　（一） SNMP的演变

　　1.SNMP的发展

　　当初提出 SNMP 的目的识作为弥补网络管理协议发展阶段之间空缺的一种临时性措施。 SNMP 出现后显示了许多优点。最主要的优点是：简单、容易实现，而且是基于人们熟悉的 SGMP （ Simple Gateway Monitoring Protocol ）协议，已有相当多的操作经验。在 1998 年，为了适应当时紧迫的网络管理需要，确定了网络管理标准开发的双轨制策略。

　　？SNMP可以满足当前的网络管理需要，用语管理配置简单的网络，并且在将来以平稳地过度到新地网络管理标准。

　　？OSI网络管理（即CMOT）作为长期地解决办法，可以应付未来更复杂地网络的配置，提供更全面的管理功能。但是需要较长的开发过程，以及开发商和用户接受的过程。

　　为了修补SNMP的安全缺陷，1992年7月出现了一个新标准——安全SNMP（S-SNMP），这个协议增强了安全方面的功能：

　　。用报文摘要算法 MD5保证数据完整性和进行数据源认证。

　　。用时间戳对报文排序。

　　。用 DES算法提供数据加密功能。

　　但是，S-SNMP没有改进SNMP在功能和效率方面的其他缺点。几乎与此同时，有任又提出了另外一个协议SMP（Simple Management Protocol），这个协议由8个文件组成（非RFC），它对SNMP的扩充表现在下列方面：

　　。适用范围： SMP可以管理任意资源，不仅是网络资源，还可用于应用管理，系统管理。可实现管理站之间的通信，也提供了更明确更灵活的描述框架，可以描述一致性要求和实现能力。在SMP中管理信息的扩展性得到了增强。

　　。复杂程度、速度和效率：保持了 SNMP的简单性，更容易实现，并提供了数据块传送能力，因而速度和效率更高。

　　。安全设施：结合了 S-SNMP提供的安全功能。

　　。兼容性：可以运行在 TCP/IP网络上，也适合OSI系统和运行其他通信协议的网络。

　　在对 S-SNMP和SMP讨论的过程中，Internet研究人员达成了如下的共识：必须扩展SNMP的功能，并增强其安全设施，使用户和制造商尽快地从原来的SNMP过渡到第二代SNMP，于是S-SNMP被放弃，决定以SMP为基础开发SNMP第二版，即SNMPv2.IETF组织了两个工作组。一个负责协议功能和管理信息库的扩展，另一个负责SNMP的安全方面，1992年10月正式开始工作。这两个组的工作进展非常之快，功能组的工作在1992年12月完成，安全组在1993年完成。后来又经过几年的实验和论证，新的RFC文件集合在1996年完成。然而就在新的RFC文件发布时有人发现安全方面存在重要缺陷，而改进安全设施的工作又迟迟没有进展。后来决定丢掉安全功能，把增加的其他功能作为新标准颁布，并保留了SNMPv1的报文封装格式，因而叫做基于团体名的SNMP（Community-base SNMP），简称SNMPv2C.

　　（二）网络安全问题

　　1.计算机网络的安全威胁

　　为了理解对计算机网络的安全威胁，我们首先定义安全需求。计算机和网络需要以下 3 方面的安全性：

　　。保密性（ secrecy）：计算机中的信息只能由授予访问权限的用户读取（包括显示、打印等，也包含暴露信息存在的事实）。

　　。数据完整性（ integrity）：计算机系统中的信息资源只能被授予权限的用户修改。

　　。可利用性（ availability）：具有访问权限的用户在需要时可以利用计算机系统中的信息资源。

　　2.网络管理中的安全问题

　　由于网络管理时分布在网络商的应用程序和数据库的集合，各种安全威胁都可能影响网络管理系统，造成管理系统失效或发出了错误的管理指令，破坏了计算机网络的正常运行。对于网络管理特别有 3 个安全方面的威胁值得提出：

　　。伪装的用户：没有得到授权的一般用户企图访问网络管理应用和管理信息。

　　。假冒的管理程序：无关的计算机系统可能伪装成网络管理站实施管理功能。

　　。侵入管理站和代理之间的信息交换过程：网络入侵者通过观察网络活动窃取了敏感的管理信息，更严重的危害时可能篡改管理信息，或中断管理站和代理之间的通信。

　　系统或网络的安全设施由一系列安全服务和安全机制的集合组成。

　　3. 安全机制

　　数据加密时防止未经授权的用户访问敏感信息的手段，这就是人们通常理解的安全措施，也是其他安全方法的基础。研究数据加密的科学叫做密码学（ Cryptography ），它又分为设计密码体制的密码编码学和破译密码的密码分析学。密码学有着悠久而光辉的历史，古代的军事家已经用密码传递军事情报了，而现代计算机的应用和计算机科学的发展又为这一古老的科学注入了新的活力。现代密码学是经典密码学的进一步发展和完善。由于加密和解密此消彼长的斗争永远不会停止，这门科学还在迅速发展之中。

　　认证——防止主动攻击的方法

　　认证又分为实体认证和消息认证两种。实体认证是识别通信双方的身份，防止假冒，可以使用数字签名的方法。消息认证是验证消息在传递或存储过程中没有被篡改，通常使用消息摘要的方法。

　　数字签名——防止否认的方法

　　与人们手写签名作用一样，数字签名系统向通信双方提供服务，使得 A 向 B 发送签名的消息 P ，以便

　　I. B 可以验证消息 P 确实来源于 A

　　II. A 以后步能否认发送过

　　III. B 不能编造或改变消息 P

　　（三）管理信息结构

　　SNMPv2 的管理信息结构是在总结 SNMP 应用经验的基础上对 SNMPv1 SMI 进行了扩充，提供(湖北自考网)了更精致更严格的规范，规定了新的管理对象和 MIB 的文档，可以说是 SNMPv1 SMI 的超集。 SNMPv2 SMI 引入了 4 个关键的概念。

　　。对象的定义

　　。概念表

　　。通知的定义

　　。信息模块

　　（四）管理信息库

　　SNMPv2 MIB 扩展和细化了 MIB-2 中定义的管理对象，又增加了新的管理对象。

　　I.系统组

　　II.SNMP 组

　　III.MIB 组

　　IV.适合性声明

　　V.接口组

　　（五）SNMPv2协议和操作

　　SNMPv2提供了3种访问管理信息的方法：

　　。管理站和代理之间的请求 /响应通信，这种方法与SNMPv1是一样的。

　　。管理站和管理站之间的请求 /响应通信，这种方法是SNMPv2特有的，可以由一个管理站把有关管理信息告诉另外一个管理站。

　　。代理系统到管理站的非确认通讯，即由代理向管理站发送陷入报文，报告出现的异常情况。 SNMPv2中也有对应的通信方式。

　　（六）SNMPv2的实现

　　1.传输层映像

　　SNMP是应用层协议，通过传输层服务访问通信网络。SNMPv2规范定义了可以使用5种传输层服务，这5种传输层映射是：

　　。 UDP：用户数据报协议；

　　。 CLNS：OSI无连接的传输服务；

　　。 CONS：OSI面向连接的传输服务；

　　。 DDP：AppleTalk的DDP传输服务；

　　。 IPX：Novell公司的网间分组交换协议。

　　2.与 OSI的兼容性

　　为发使 SNMPv2能与OSI系统互操作，可以使用RFC1006在TCP/IP网络之上的模拟ISO的TPO传输服务，通过RFC1006，OSI的电子邮件、系统管理等应用程序都可以通过运行在TCP/IP失望落上。RFC1006提供的TPO使最简单的面向连接的传输协议，只提供连接的佳丽和释放等基本操作，不支持错误检测，也不支持传输服务Qos.RFC1006对TPO也有所增强，主要是在连接建立阶段可以交换少量数据，支持加急投送服务，支持特长协议数据单元（默认为65531）等。

　　3.TCP/IP网络的系统管理

　　SNMP 的管理信息库 MIB 主要是根据协议分组的，并没有按照 OSI 的系统挂零你功能域分类。虽然实现 SNMP 协议的网络管理产品都有自己的使用方法，但是在应用管理对象功能方面并没有统一的分类标准。

　　MIB 对象驻在各种代理系统中，这些对象中的数据应报告给有关信息的系统管理功能实体，同时协议或设备专用的管理信息也应该归属于相应的系统管理功能域。如何合理地分布各种管理对象，以有利于系统管理功能的实现，是设计网络管理应用时值得认真决策的重要问题。

　　一般来说，不是每个代理都要实现所有的 MIB 对象，但是各种联网设备中的代理程序应该提出这种设备需要的管理对象，例如路由器专用的管理信息库。委托代理是一种十分灵