关于简单网络管理协议的讲解

　　本篇文章给大家带来的就是关于简单网络管理协议SNMPV2的详细解析，本篇文章会教给大家网络管理协议SNMPV2的知识点详细解析，希望本篇文章能帮助到你，对你有所收获，网络管理协议就是专门设计用于在 IP 网络管理网络节点，希望大家仔细阅读文章。

　　1. SNMPv2的新功能：SNMPv2既可以支持完全集中的网络管理，又可以支持分布式网络管理。在后一种情况下，有些系统既是管理站又是代理。作为代理系统，它可以接受上级管理系统的查询命令，提供 本地存储的管理信息;作为管理站，它也可以要求下级代理系统提供有关被管理设备的汇总信息，此外，中间管理系统可以向它的上级系统发出陷入报告。具体的增强了以下3 个方面，①管理信息结构的扩充，②管理站和管理站之间的通信能力，③新的协议操作。

　　简单网络管理协议(SNMP)是最早提出的网络管理协议之一，它一推出就得到了广泛的应用和支持，特别是很快得到了数百家厂商的支持，其中包括IBM，HP，SUN等大公司和厂商。目前SNMP已成为网络管理领域中事实上的工业标准，并被广泛支持和应用，大多数网络管理系统和平台都是基于SNMP的。

　　2.计算机和网络的安全需要：保密性;数据完整性;可利用性。

　　3.网络管理中的安全威胁：伪装的用户;假冒的管理程序;侵入管理站和代理之间的信息交换过程。

　　4.网络管理中的安全管理：是指保护管理站和代理之间的信息交换安全。安全管理使用的操作与其他管理合作的操作相同，差别在于使用的管理信息的特点。

　　5.安全管的理对象：包括密钥、认证信息、访问权限信息和有关安全服务和安全机制的操作参数信息。

　　6.对安全信息的维护的功能：①记录系统中出现的各类事件。②追踪安全审计试验，自动记录有关的重要事件。③报告和接收侵犯安全的警示信号，在怀疑出现威胁安全的活动时采取防范措施。④经常维护和检查安全记录，进行安全风险分析，编制安全评价报告。⑤备份和保护敏感的文件。⑥研究每个正常用户的活动形象，预选设定敏感资源的使用形象，以便检测授权用户的异常活动和对敏感资源的滥用行为。

　　7.资源的访问控制：一种重要的安全服务是访问控制服务，包括认证服务和授权服务，以及对敏感资源访问授权的决策过程。其目的是保护各种网络资源，这些资源与网络管理有关的是①安全编码，②源路由记录信息，③路由表，④目录表，⑤报警门限，⑥记帐信息。

　　8.报文的加密：安全管理能够在必要时对管理站和代理之间交换的报文进行加密。安全管理也能够使用其他网络实体的加密方法。此外，这个功能也可以改变加密算法，具有密钥分配能力。

　　9.安全机制：①数据加密，是保密通信的基本手段。是防止未经授权的用户访问敏感信息的手段，是其他安全方法的基础。②认证，防止主动攻击的方法。分为实体认证和消息认证两种。实体认证是识别通信对方的身份，防止假冒，可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中没有被篡改，通常使用消息摘要的方法。③数字签名，防止否认的方法。有两种数字签名方法，一种是基于密钥的数字签名;另一种是基于公钥的数字签名。④消息摘要，验证消息完整性。用于差错控制的报文检查和根据冗余位检查消息是否受到干扰的影响。消息摘要可以加速数字签名算法。

　　10. SNMPv2 SMI的关键概念：①对象的定义，②概念表,③通知的定义，④信息模块。

　　11. SNMPv2表的分类: SNMPv2的操作只能作用于标量对象。表是行的序列，而行是列对象的序列。其表分为两类：①禁止删除和生成的表。其最高访问级别是read-write。在很多情况下这种表由代理控制，表中只包含read-only型对象。②允许删除和生成的表。表开始时可能没有行，由管理站生成和删除行。行数由管理站可代理改变。

　　12.辅助对象：作为索引的列对象叫做辅助对象。是不可访问的。这个限制意味着：①读，SNMPv2规定，读任何列对象的实例，都必须知道该对象实例所丰的行的索引对象的值，然而在已经知道辅助对象变量值的情况读辅助变量的值就是多余的。②写，如果管理程序改变了辅助对象实例的值，则行的标识符也改变了，然而这是不容许的。③生成，行实例生成时必须同时给一个列对象实例赋值，在SNMPv2中这个操作是由代理而不是由管理站完成的。

　　13.概念行的生成：生成概念行可以使用两种不同方法分成4 个步骤。①选择实例标识符。②a 管理站通过事务处理产生和激活行。②b 管理站和代理协商生成概念行。③初始化非默认值对象。④激活概念行。

　　15.概念行的挂起：当概念行处于active状态时，如果管理站希望概念行脱离服务，以便修改，则发出set命令，把状态列由active置为notInService。这时有两种可能，若代理不执行该操作，则返回wrongvalue;若代理可执行该操作，则返回noError。

　　16.概念的删除：管理站发出set命令，把状态列置为destroy，如果这个操作成功，概念行立即被删除。

　　17.通知类型的宏定义：NOTFICATION-TYPR用于定义异常条件出现时SNMPv2实体发送的信息。任选OBJECT子句定义了包含在通知实例中的MIB对象序列。当SNMPv2实体发送通知时这些对象的值被传送给管理站。DESCRIPTION子句说明了通知的语义。任选的REFERENC子句包含对其它MIB模块的引用。

　　18. SNMPv2信息模块：用于说明一组有关的定义。共有3种信息模块。①MIB模块，包含一给有关管理对象的定义。②MIB的依从性声明模块，使用MODULE-COMPLIANCE和OBJECT-GROUP宏说明有关管理对象实现方面的最小要求。③代理能力说明模块，用AGENT-CAPABLITIES宏说明代理实体应该实现的能力。

　　19. SNMPv2系统组新增功能：新增了与对象资源有关的标量对象sysORLastChange和一个表对象sysORTable，它仍然属于MIB—2的层次结构。所谓对象资源是由代理实体使用和控制的，可以由管理站动态配置的系统资源。标量对象sysORLastChang记录着对象资源表中描述的对象实例改变状态(或值)的时间。对象资源表是一个只读的表，每一个动态配置的对象资源占用一个表项。

　　20.MIB对象组：包含的对象与管理对象的控制有关，分为两个子组。第一个子组snmpTrap由两个对象组成，①snmpTrapOID，是正在发送的陷入或通知的对象标识符，这个变量出现地陷入PDU或通知请求PDU的变量绑定表中的第二项。②snmpTrapEnterprise，是与正在发送的陷入有关的制造商的对象标误用符，当SNMPv2的委托代理把一个RFC1157陷入PDU映象到SNMPv2陷入PDU时，这个变量出现在变量绑定表的最后。第二个子组snmpSet仅有一个对象snmpSerialNo，这个对象用于解决set操作中可能出现的两个问题，①一个管理站可能向同一MIB对象发送多个set操作，保证这些操作按照发送的顺序在MIB中执行是必要的，即使在传送过程中次序发生了错乱。②多个管理站对MIB的并发操作可能破坏了数据库的一致性和精确性。解决方法如下。SnmpSerialNo的语法是TestAndIncr(文字约定为0—2147483647之间的一个整数)，假定它的当前值是K，①如果代理收到的set操作SnmpSerialNo的值为K，则这个操作成功，响应PDU中返回K值，这个对象的新值增加为K+1(mod 2^31);②如果代理收到一个set操作，置这个对象的值不等于K，则这个操作失败，返回错误值inconsistenvalue。

　　21.适合性声明：适合性是对具体实现的限制，是具体实现必须达到的最小级别。说明适合性要用到4个宏定义，①OBJECT—GROUP(对象组宏)，说明一组有关的对象，如果制造商实现了某些对象，可以用对象组宏说明之。②NOTIFICATION—GROUP (通知宏组)，说明书一组已经实现的通知。③MODULE—COMPLIANCE(模块依从性宏)，说明对MIB模块实现的最小要求。④AGENTCAPABILITIES (代理能力宏)，定义了一个代理实现能力。

　　22.对象宏组：一组管理对象是适合性的基本单元。对象宏组提供了一种说明已经实现的管理对象的系统化方法。

　　23. 通知宏组：与对象组类似，这个宏的NOTIFICATION子句列出必须实现的所有通知对象，每一个通知对象由给出的NOTIFICATION—TYPE宏来定义。

　　24.模块依从性宏：所谓MIB模块的依从性是对实现MIB模块的最低要求。其中包含一个或多个模块子句，每个模块 子钏指明一个包含在依从性要求中的模块。

　　25.代理能力宏：代理能力宏用于定义SNMPv2代理系统的能力，亦即代理对MIB功能支持的程度。形式化的代理能力定义可以促进和优化管理站与代理之间的互操作性。如果管理站有了对代理系统能力的要求，那么它就可以据此优化使用自己的资源，以及代理和网络的资源 。

　　26.接口组新增表：①接口扩展表ifXTable(1)，②接口堆栈表ifStackTable(2)，说明接口表中属于同一物理接口的各个行之间的关系，指明哪些子层运行于哪些子层上。③接口测试表ifTestTable(3)，作用是由管理站指示代理系统测试接口的故障。该表的一个行代表一个接口测试。④接收地址表ifRcvAddressTable(4)，包含每个接口对应的各种地址(广播地址、组地址和单地址)。

　　27. SNMPv2访问管理信息的方法：①管理站和代理之间的请求/赂应通信。与SNMPv1是一样的。②管理站和管理站之间的请求/响应通信。是SNMPv2特有的。③代理系统到管理站的非确认通讯，即由代理向管理站发送陷入报文，报知出现的异常情况。SNMPv1中也有对应的通信方式。

　　28. SNMPv2报文的结构：分为3 个部分：版本号、团体名和作为数据传送的PDU。

　　29. SNMPv2实体发送报文的步骤：①根据要实现的协议操作构造PDU;②把PDU、源和目标端口地址以及团体名传送给认证服务，认证服务产生认证码或对数据进行加密，返回结果;③加入版本号和团体号，构造报文;④进行BER编码，产生0/1比特串，发送出去。

　　30. SNMPv2实体接收报文的步骤：①对报文进行语法检查，丢弃出错的报文;②把PDU部分、源和目标端口号交给认证服务。如果认证失败，发送一个陷入，丢弃报文;③如果认证通过，则把PDU转换成ASN.1的形式;④协议实体对PDU做句法检查，如果通过，根据团体名和适当的访问策略做相应的处理。

　　31.SNMPv2 PDU格式：SNMPv2共有6种协议数据单元，分为3种PDU格式。这些协议数据单元在管理站和代理系统之间或者是两个管理站之间交换，以完成需要的协议操作。①GetRequestPDU：SNMPv2对这种操作的响应方式与SNMPv1不同，SNMPv1的响应是原子性的，即只要有一个变量的值检索不到，就不返回任何值。SNMPv2的响应不是原子性的，允许部分响应。②GetNextRequestPDU，在SNMPv2中，这种检索请求的格式和语义与SNMPv1基本相同，唯一的差别是改变了响应的原子性。③GetBlukRequestPDU这是SNMPv2对原标准的主要增强，目的是以最少的交换次数检索大量的管理信息，或者说管理站要求尽可能大的响应报文。对这个操作的响应，在选择MIB变量时采用与GetNextRequest同样的原理，即按照词典顺序选择后继对象实例，但是这个操作可以说明多种不同的后继。④SetRequestPDU这个请求的格式和语义与SNMPv1的相同，差别是处理响应的方式不同。SNMPv2实体分为两个阶段处理这个请求的就是绑定表，首先是检验操作的合法性，然后再更新变量。如果至少一个变量绑定对的合法性检验没有通过，则不进行下一阶段的更新操作。⑤TrapPDU，陷入是由代理发给管理站的非确认性消息。SNMPv2的陷入采用与Get等操作相同的PDU格式，这一点与原标准不同。⑥InformRequestPDU，这是管理站改善给管理站的消息，PDU格式与Get等操作相同，变量绑定表的内容与陷入报文的一样。但是与陷入不同，这个消息是需要应答的。所以管理站收到通知请求后首先要解决应答报文的大小，如果应答报文大小超过本地可对方的限制，则返回错误状态tooBig。如果接收的请求报文不是太大，则把有关信息传送给本地的应用实体，返回一个错误状态为noErr的响应报文，其变量绑定表与收到的请求PDU相同。

　　32. SNMPv2的操作管理框架：主要涉及4 个基本概念：参加者、上下文、MIB视图和访问控制策略。而这些概念与认证和保密等安全功能有关。①参加者。在任何协议操作过程中，都有一些SNMPv2实体参加，为此引入参加者的概念。把参加者看作是一个概念上的执行环境，一个SNMPv2实体能够完成的协议操作子集可以在这个环境中执行。是否可以成为某次协议操作的参加者是需要进行认证的。②SNMPv2的上下文。是指SNMPv2实体可以访问的管理对象的资源集合，又分为本地上下文和远程上下文。本地上下文是指本地MIB对象的一个子集，也叫做MIB视阈。远程上下文是指SNMPv2实体通过委托代理可检索到的管理信息。③MIB视阈数据库。SNMPv2的参加者可以访问MIB的一部分。MIB视阈是SNMPv2实体可访问的MIB对象组成的子集，子集中的变量可以属于一个子树，也可能属于几个不同的子树。MIB视阈数据库定义了包含在MIB视阈中的对象。④访问控制策略。当SNMPv2实体要发送一个协议数据单元或接收到一个协议数据单元后首先要检查协议操作的合法性，即通信双方是否为协议操作的合法参加者、操作的上下文是否有效，指定的操作是否允许。SNMPv2访问特权数据库aclTable提供了有关信息。

　　33.时钟同步算法：管理消息的及时性涉及到参加者数据库中的两变量和认证报文中的两个字段。在参加者数据库中有一个整数变量partyAuthClock，表示参加者的当前时间，还有一个整数变量partyAuthLifetime，表示通信的最大时延。在认证报文头中有两个字段authDstTimestamp和authSrcTimestamp分别表示通信双方的时间戳(发送报文的时间)。

　　34.管理站之间的通信机制：是分布式网络管理所需要的功能特征，为此引入了通知报文InformRequest和管理站数据库manager-to-manager MIB。管理站数据库主要由3 个表组成。①snmpAlarmTable，报警表提供被监视的变量的有关情况，类似于RMON警报组的功能，但这个表记录的是管理站之间的报警信息。②snmpEventTable，事件表记录SNMPv2实体产生的重要事件，或者是报警事件，或者是通知类型宏定义的事件。③snmpEventNotifyTable，事件通知表定义了发送通知的目标和通知的类型。由以上3个表及其它有关标量对象共同组成了snmpM2M模块，该模块表示了管理站之间交换的主要信息。

　　35.SNMPv2传输层映像的规定：SNMP是应用层协议，通过传输层服务访问通信网络。SNMPv2规范定义了可以使用的种传输层服务。这5种传输层映射是，①UDP，用户数据报协议;②CLNS：OSI无连接的传输服务;③CONS：OSI面向连接的传输服务;④DDP：AppleTalk的DDP传输服务;⑤IPX：Novell公司的网间分组交换协议。

　　36.与OSI的兼容性：为了使SNMPv2能与OSI系统互操作，可以使用RFC1006在TCP/IP网络之上模拟ISO 有TPO传输服务。通过RFC1006，OSI的电子邮件、系统管理等应用程序都可以运行在TCP/IP网络上。RFC1006提供的TPO是最简单的面向连接的传输协议，只提供连的建立和释放等基本操作，不支持错误检测，也不支持传输服务QoS。RFC1006对TPO也有所增强，主要是在连接建立阶段可以交换少量数据，支持加急投送服务，支持特长协议数据单元(默认为65531)等。

　　37.TCP/IP网络的系统管理：SNMP的管理信息库MIB主要是根据协议分组的，并没有按照OSI的系统管理功能域分类。MIB对象驻在各种代理系统中，这些对象中的数据应报告给需要有关信息的系统管理功能实体，同时协议或设备专用的管理信息也应该归属于相应的系统管理功能域。一般来说，不是每个代理都要实现所有的MIB对象，但是各种联网设备中的代理程序应该提供这种设备需要的管理对象，例如，路由器专用的管理信息库。委托代理是一种十分灵活的管理机制，如果可能，以委托代理实现专用网络设备的管理信息收集和系统管理功能应该是最好的选择。

　　大家学会了吗？相信大家对简单网络管理协议SNMPV2也有些了解了，也一定知道了简单网络管理协议SNMPV2的知识点详解，要是有不懂得，就请来咨询课课家，随时为您服务，关于更多的知识，后面还有很多关于类似的文章，期待大家的到来。