詳解SNMP協(xié)議

　　IETF規定的管理信息庫MIB中定義了可訪(fǎng)問(wèn)的網(wǎng)絡(luò )設備及其屬性，由對象識別符（OID：Object%20Identifier）唯一指定。MIB是一個(gè)樹(shù)形結構，SNMP協(xié)議消息通過(guò)遍歷MIB樹(shù)形目錄中的節點(diǎn)來(lái)訪(fǎng)問(wèn)網(wǎng)絡(luò )中的設備。下圖是MIB庫的一個(gè)簡(jiǎn)單例子：

　　MIB庫實(shí)際上就OID的樹(shù)形集合，定義了每個(gè)OID代表的具體含義，OID分為2種變量：簡(jiǎn)單變量和表變量。簡(jiǎn)單變量類(lèi)似上面講過(guò)的1.3.6.1.2.1.1.1，這個(gè)變量就是個(gè)簡(jiǎn)單變量，在具體發(fā)送SNMP請求的時(shí)候后面就補上一個(gè).0。
　　表變量的意思是該變量會(huì )有多個(gè)實(shí)例。例如交換機接口帶寬，這個(gè)變量的OID是1.3.6.1.2.1.2.2.1.5，一個(gè)交換機通常會(huì )有多個(gè)接口，每個(gè)具體請求就會(huì )補上這個(gè)接口的索引，例如1.3.6.1.2.1.2.2.1.5.1代表1號接口的帶寬。下圖是一個(gè)交換機的接口列表。

　　MIB分為公有MIB和私有MIB，公有MIB-2是1990年定義的，所有設備廠(chǎng)商都支持該MIB庫定義的OID變量，每個(gè)廠(chǎng)商還可以補充自己的MIB庫，這就是私有MIB，例如CISCO的私有MIB是1.3.6.4.1.9開(kāi)始，該節點(diǎn)下的所有子變量都是CISCO自己定義的。9是CISCO申請唯一廠(chǎng)商編號。

SNMP原理　　SNMP采用了Client/Server模型的特殊形式：代理/管理站模型。對網(wǎng)絡(luò )的管理與維護是通過(guò)管理工作站與SNMP代理間的交互工作完成的。每個(gè)SNMP從代理負責回答SNMP管理工作站（主代理）關(guān)于MIB定義信息的各種查詢(xún)。SNMP發(fā)送的請求是UDP請求，UDP請求是無(wú)連接、輕量級、非安全的請求，所以一般會(huì )重試3次保證代理端收到。SNMP 消息類(lèi)型　　Get%20這是一個(gè)請求消息。SNMP%20管理系統使用%20Get%20消息在%20SNMP%20代理上請求有關(guān)%20MIB%20條目的信息。　　Getnext請求消息的一個(gè)類(lèi)型，可用于瀏覽代理對象的整個(gè)MIB樹(shù)。　　Getbulk%20請求的一個(gè)類(lèi)型，它指定代理在消息大小限制的范圍內盡可能多地傳輸數據。　　Set%20它用于將更新的%20MIB%20值發(fā)送和分配到代理。　　Notify%20（或%20Trap）這是一個(gè)未經(jīng)請求的消息，當代理檢測到在受管理主機本地出現特定的事件類(lèi)型時(shí)，代理將向%20SNMP%20管理系統發(fā)送此消息。　　SNMP%20事件（或陷阱）是在未經(jīng)請求的情況下發(fā)送到篩選事件的管理站的，因此，會(huì )影響網(wǎng)絡(luò )流量。SNMP版本 　　目前SNMP經(jīng)過(guò)10幾年的發(fā)展，已經(jīng)有三個(gè)版本，V1、V2、V3。三個(gè)版本的區別主要在安全機制上。　　1.SNMPv1的安全機制　　SNMPv1僅僅提供了有限的安全性，即團體的概念。　　團體是一個(gè)在代理上定義的局部概念。一個(gè)代理可以定義若干個(gè)團體，每個(gè)團體使用唯一的團體名。而每個(gè)SNMP團體是一個(gè)在SNMP代理和多個(gè)SNMP管理者之間定義的認證、訪(fǎng)問(wèn)控制和轉換代理的關(guān)系。%20　　在每條SNMPv1信息中都包括community字段，在該域中填入團體名，團體名起密碼的作用。%20SNMPv1假設，如果發(fā)送者知道這個(gè)密碼，就認為該信息通過(guò)了認證，是可靠的。%20　　一條已通過(guò)認證的信息對MIB有何訪(fǎng)問(wèn)權限主要通過(guò)訪(fǎng)問(wèn)控制來(lái)實(shí)現。代理為每一個(gè)團體定義了一個(gè)SNMPv1團體框架文件，該框架文件包括兩部分：　　?MIB視域：%20MIB的一個(gè)對象子集，每個(gè)團體可以定義不同的MIB視域，一個(gè)視域中的對象集不必屬于MIB的單個(gè)子樹(shù)；%20　　?SNMP訪(fǎng)問(wèn)模式：集合（只讀、讀寫(xiě)）的一個(gè)元素，每個(gè)團體只定義一個(gè)訪(fǎng)問(wèn)模式。%20　　SNMP團體和SNMP團體框架文件的結合就成為SNMPv1%20訪(fǎng)問(wèn)策略。一個(gè)通過(guò)了認證的信息必然指定了一個(gè)團體，那么它就有自己相應的團體框架文件，且只能對該框架文件中MIB視域的指定對象進(jìn)行規定的操作（只讀或讀寫(xiě)）。　　2.%20SNMPv2的安全機制　　SNMPv2具有支持分布式網(wǎng)絡(luò )管理，擴展數據類(lèi)型，可以實(shí)現大量數據的同時(shí)傳輸，豐富故障處理能力，增加集合處理功能，加強數據定義語(yǔ)言等特點(diǎn)。　　此外，%20SNMPv2還引入了上下文（context）的概念。上下文是一個(gè)可被SNMPv2實(shí)體訪(fǎng)問(wèn)的被管理對象資源的集合，分為本地上下文和遠程上下文：本地上下文被標識為一個(gè)MIB視域，遠程上下文被標識為一個(gè)轉換代理關(guān)系。%20　　使用了上下文的訪(fǎng)問(wèn)控制策略由以下4個(gè)元素組成：%20　　?目標：SNMP參加者，它按主體方的請求執行管理操作；%20　　?主體：SNMP參加者，它請求目標方執行管理操作；%20　　?資源：管理操作在其上執行的管理信息，它可表示為一個(gè)本地MIB視域或一個(gè)代理關(guān)系，這一項被稱(chēng)為一個(gè)上下文；　　?權限：對于一個(gè)特定的上下文可允許的操作，這些操作用可允許的協(xié)議數據單元定義，由目標代表主體執行。%20　　但是，SNMPv2并沒(méi)有完全實(shí)現預期的目標，尤其是安全性能沒(méi)有得到提高，如：身份驗證（如用戶(hù)初始接入時(shí)的身份驗證、信息完整性的分析、重復操作的預防）、加密、授權和訪(fǎng)問(wèn)控制、適當的遠程安全配置和管理能力等都沒(méi)有實(shí)現。1996年發(fā)布的SNMPv2c是%20SNMPv2的修改版本，雖然功能增強了，但是安全性能仍沒(méi)有得到改善，而是繼續使用SNMPv1的基于明文密鑰的身份驗證方式。　　3.SNMPv3的安全機制　　IETF%20SNMPv3工作組于1998年1月提出了互聯(lián)網(wǎng)建議RFC%202271～2275，正式形成SNMPv3。這一系列文件定義了包含SNMPv1，SNMPv2所有功能在內的體系框架及包含驗證服務(wù)和加密服務(wù)在內的全新的安全機制，同時(shí)還規定了一套專(zhuān)門(mén)的網(wǎng)絡(luò )安全和訪(fǎng)問(wèn)控制規則?？梢哉f(shuō)，SNMPv3是在SNMPv2基礎之上增加了安全和管理機制。RFC%202271定義的SNMPv3體系結構體現了模塊化的設計思想，可以簡(jiǎn)單地實(shí)現功能的增加和修改。其特點(diǎn)主要有：%20　　?適應性強：適用于多種操作環(huán)境，既可以管理最簡(jiǎn)單的網(wǎng)絡(luò )，實(shí)現基本的管理功能，又能夠提供強大的網(wǎng)絡(luò )管理功能，滿(mǎn)足復雜網(wǎng)絡(luò )的管理需求；　　?擴充性好：可以根據需要增加模塊；　　?安全性好：具有多種安全處理模塊。%20　　SNMPv3主要有3個(gè)模塊：信息處理和控制模塊、本地處理模塊和用戶(hù)安全模塊。　　1　信息處理和控制模塊　　信息處理和控制模塊在RFC%202272中定義，負責信息的產(chǎn)生和分析，并判斷信息在傳輸過(guò)程中是否要經(jīng)過(guò)代理服務(wù)器等。　　2　本地處理模塊%20　　本地處理模塊的主要功能是進(jìn)行訪(fǎng)問(wèn)控制，處理打包的數據和中斷。訪(fǎng)問(wèn)控制是指通過(guò)設置代理的有關(guān)信息使不同管理站的管理進(jìn)程在訪(fǎng)問(wèn)代理時(shí)具有不同的權限，在協(xié)議數據單元一級完成。常用的控制策略有兩種：限定管理站可以向代理發(fā)出的命令或確定管理站可以訪(fǎng)問(wèn)代理MIB的具體部分。訪(fǎng)問(wèn)控制的策略必須預先設定。SNMPv3通過(guò)使用帶有不同參數的原語(yǔ)來(lái)靈活確定訪(fǎng)問(wèn)控制方式。%20　　3　用戶(hù)安全模塊%20　　與SNMPv1和SNMPv2相比，SNMPv3增加了3個(gè)新的安全機制：身份驗證，加密和訪(fǎng)問(wèn)控制。其中，訪(fǎng)問(wèn)控制功能由本地處理模塊完成，而身份驗證和數據保密服務(wù)則由用戶(hù)安全模塊提供。身份驗證是指代理（管理站）接到信息時(shí)必須首先確認信息是否來(lái)自授權的管理站（代理），以及信息在傳輸過(guò)程中是否改變。這個(gè)功能的實(shí)現要求管理站和代理必須共享同一密鑰。管理站使用密鑰計算驗證碼（它是信息的函數），然后將其加入信息中，而代理則使用同一密鑰從接收的信息中提取出驗證碼，從而得到信息。加密的過(guò)程與身份驗證類(lèi)似，也需要管理站和代理共享同一密鑰來(lái)實(shí)現信息的加密和解密。%20　　SNMPv3使用私鑰（private%20key）和驗證密鑰（authentication%20key）來(lái)實(shí)現身份驗證和加密功能。如下圖：