2.3 SNMP服务端口
图5 SNMP服务端口
如上图,SNMP使用UDP传输协议来操作,并使用了两个服务端口:
在UDP 161 端口监听NMS 的访问请求;
在UDP 162 端口监听Agent 发送的Trap 报文。
由于Agent和NMS采用不同的服务端口,所以一台设备可以同时作为Agent和NMS使用。
2.4 SNMP支持的网管操作
对于网络管理,我们面对的数据是设备的配置、参数、状态等信息,面对的操作是读取和设置;同时,因为网络设备众多,为了能及时得到设备的重要状态,还要求设备能主动地汇报重要状态,这就是报警功能。
图6 SNMP支持的网管操作
Get:读取网络设备的状态信息。 Set:远程配置设备参数。
Trap:管理站及时获取设备的重要信息。 2.4 SNMP的实现结构
在具体实现上,SNMP为管理员提供了一个网管平台(NMS),又称为【管理站】,负责网管命令的发出、数据存储、及数据分析。【被】监管的设备上运行一
个SNMP代理(Agent)),代理实现设备与管理站的SNMP通信。
图8 SNMP协议的逻辑结构
管理站与代理端通过MIB进行接口统一,MIB定义了设备中的被管理对象。管理站和代理都实现了相应的MIB对象,使得双方可以识别对方的数据,实现通信。管理站向代理申请MIB中定义的数据,代理识别后,将管理设备提供的相关状态或参数等数据转换为MIB定义的格式,应答给管理站,完成一次管理操作。已有的设备,只要新加一个SNMP模块就可以实现网络支持。旧的带扩展槽的设备,只要插入SNMP模块插卡即可支持网络管理。网络上的许多设备,入路由器、交换机等,都可以通过添加一个SNMP网管模块而增加网管功能。服务器可以通过运行一个【网管进程】实现。其他服务级的产品也可以通过网管模块实现网络管理,如Oracle、WebLogic都有SNMP进程,运行后就可以通过管理站对这些系统级服务进行管理。
根据管理者和被管理的设备在网络管理操作中的不同职责,SNMP定义了3种角色。
图9代理服务器的典型应用
网络管理系统:又称管理站、NMS。是系统的控制台,向管理员提供界面以获取与改变设备的配置、信息、状态、操作等信息。管理站与Agent进行通信,执行相应的Set和Get操作,并接收代理发过来的警报(Trap)。
代理:Agent是网络管理的代理人,负责管理站和设备SNMP操作的传递。介于管理站和设备之间,与管理站通信并相应管理站的请求,从设备获取相应的数据,或对设备进行相应的设置,来响应管理站的请求。代理也需要具有根据设备的相应状态使用MIB中定义的Trap向管理站发送报告的能力。
代理服务器:Proxy是一种特殊的代理,在【不能】直接使用SNMP协议的地方,如:异种网络、不同版本的SNMP代理等情况,Proxy代替相关设备向管理站提供一种外观,为设备代理SNMP协议的实现。Proxy做了【异种网络】或【不同版本代理】和 相应SNMP数据请求的转换工作。
(附:管理信息库MIB:定义了设备上可以使用的管理信息。代理和管理站使用MIB作为统一的【数据接口通信】。
3. SNMP与安全
在网络管理中使用SNMP时,可能产生的网络安全威胁包括:
1)伪装。一些未被授权的实体可以通过假装具有授权实体的身份,去执行只有授权实体才可以执行的某些管理操作。
2)信息更改。一个实体可以更改由另一授权实体产生的正在传送的消息,以至于导致越权的管理操作,包括对象值的设定。这种威胁的实质在于未经授权的实体可以更改任一管理参数,包括那些与配置,操作和计费有关的参数。
3)消息序列的更改。SNMP被设计成在无连接传输协议上运行。有一种威胁可以使SNMP消息被重排、延迟或重放(复制),从而导致越权的管理操作。例如,
一个重新启动设备的消息可被拷贝,并于将来某一时刻重放。
4)泄漏。实体可以观测管理者与代理之间的信息交换,从而获取管理对象的值,并获知所报告的事件。例如,观测更改口令的set命令,可以使得攻击者获知新口令的内容。
5)服务拒绝,攻击者可阻止管理者与代理之间的信息交换。 6)流量分析。攻击者可以分析管理者与代理之间信息交换的一般模式。SNMP的SMI是基于ASN.1信令描述的,ASN.1信令是抽象数据类型形式的标准,是电信业、电力业和核电业计算机网络基础信令,也是互联网赖以运行的基础通信规则之一。但目前全球级计算机安全专家正在调查ASN.1信令的安全脆弱性。由于多个Intcmet通信协议都是基于ASN .l计算机网络语言,ASN.1的脆弱性将广泛威胁通信行业。最为显著的例子就是造成SNMP多个安全漏洞,这些缺陷可能允许非法越权访问,拒绝服务攻击、导致不稳定的运行状况。
4. 4 网络管理与SNMP的发展
4.1 基于web的网络管理
基于web的网络管理通常有2个含义:一种是指网络管理平台的web化;另一种是指通过内置于设备中的web服务器直接管理该设备。在第1种情况下,网管客户端与网管平台之间将不使用SNMP,网管平台与被管对象之间采用SNMP。在第2种情况下,网管客户端与被管对象之间都不使用SNMP,但被管对象内部可以使用SNMP通信。使用web进行网络管理的最大问题是其标准化的进行。基于web的企业管理WBEM联盟是由5个公司组成的一个组织,在1996年7月提出了利用web实现网络管理的一个工业标准。发起WBEM联盟最初的5家公司他们的工作包括3种接口的定义,这些接口提供了一种标准化的网络管理方法。WBEM的设计目标是使其与SNMP以及其他网络管理方案协同工作。这3个WBEM接口是:超媒体管理模式用来定义数据模型;超媒体管理协议用来定义在HTTP上运行HMMS的通信协议;超媒体对象管理器是一个开发工具,使WBEM应用程序能够把网络元素当作对象进行操纵。 4.2桌面管理任务组织(DMTF)
桌面管理是整个企业管理集成中SNMP部署上的重要进展。桌面管理任务组织是一个工业厂商联盟。它已经定义了一个管理主机工作站(如基于DOs和windows的微机)的应用编程接口,该接口使这些工作站的管理能被集成到SNMP管理框架中去。虽然接口规约中说明该接口是独立于系统、网络操作系统和网络管理协议的,但访问微机上管理信息的优先选用方法之一还是通过网络上的SNMP。这个应用编程接口定义了网络管理协议(如SNMP)和其他应用程序如何访问工作站的信息。每个工作站的信息包括工作站硬件、插件板、应用软件和系统软件等数据。
4.3 分布式对象的网络管理
网络管理开发工作的前沿之一是利用分布式对象建立网络元素及其关系的模型。现在正在部署应用的对象模型之一是协作对象请求代理体系结构(09RBA)。 4. 4 下一代SNMP
SNMP的下一代是SNMP发展演进中的重要一步。SNMP第1版已在全世界成功地应用于许多设备,但SNMP的安全特性形成了其向前发展必须克服的一个巨大障碍。为了使这个框架沿着标准的道路发展,使其能够安全地配置SNMP所控制的设备,并具备一般意义上的所有安全特性,首先必须在所需安全特性和实
现安全SNMP所需的高层管理框架上达成共识。新成立的一个工作组已经开始着手SNMPng的工作。这个工作组的目标是产生一组文本,这些文本将规定包括安全在内的SNMP的发展方向。
参考文献:
【l】雷震甲 计算机网络管理【第2版.西安:电子科技大学出版社,2013.】 【2】王焕然,徐明伟 SNMP 网络管理综述【清华大学 计算机系网络研究所 北京】
【3】林恒,李华锋
SNMP纵论【北京工业大学计算机学院,北京】
相关推荐:
loading