第02章-SNMP网络管理.ppt

单击鼠标编辑标题文的格式,单击鼠标编辑大纲正文格式,第二个大纲级,第三个大纲级,第四个大纲级,第五个大纲级,第六个大纲级,第七个大纲级,第八个大纲级,第九个大纲级,*,专注、专业、创新、共赢,第 二 章,SNMP,网络管理,本章目标,认识网络协议的概念,了解网络管理的过程,掌握简单网络管理协议,English,保罗,小张,通过说英语，保罗和小张成功的完成了手术任务,2.1,网络协议,网络协议保证了不同的网络设备之间可以相互通信,2.1,网络协议（续）,网络协议是一组规则和标准，保证了网络中的计算机能够相互通信,2.1,网络协议（续）,2.2,网络管理分类,网络管理分类,对应用程序、用户账号和存取权限的管理,对网络硬件的管理,被管理节点,(,或设备,),即需要监视的设备,代理,用来跟踪被管理设备状态的特殊软件或,硬件（芯片）,管理信息库,被管理设备中的数据库,（,MIB,）,网络管理服务器,与在不同的被管理节点中的代理 通信，并且显示这些代理状态的中心设备。,网络管理协议,被网络管理工作站和代理用来交换 信息的协议,。（,SNMP,）,2.2,网络管理分类（续）,提供报告,设备矫正,网络监视,2.2,网络管理服务,SNMP,简单网络,管理协议,MIB,管理信息库,RMON,远程网络管理,SNMP V2,SNMP V3,RMON II,2.3,SNMP,体系结构,Internet,2.3.1,SNMP,网络管理概念,Floor 2,Floor 1,Server Farm,Telecommuter,ISDN,2.3.1,SNMP,网络管理概念（续）,网络管理服务器,代理,SNMP,SNMP,为网络管理工作站和代理之间的通信提供服务,2.3.1,SNMP,网络管理概念（续）,路由器,网桥,交换机,服务器,集线器,网络管理工作站,2.3.1,SNMP,网络管理概念（续）,2.3.2,SNMP,的实现体系,管理工作站,SNMP,代理,MIB,管理信息库,SNMP,实现机制,RMON,远程网络管理,2.3.2.1,管理服务器,一系列用于数据分析、故障修复等的管理应用程序,一个网络管理员用来监视和控制网络的接口,把网络管理员的要求翻译成网络中实际监视或控制元素的能力,从网络中所有被管理的设备中提取出来的信息库,网络管理服务器,2.3.2.2,代理,SNMP,从代理中收集网络管理信息,SNMP,使代理可以向网络管理工作站报告问题和错误,网络管理服务器,被代理设备,代理服务器代理,代理服务器配置,2.3.2.2,代理（续）,网络,网络,被管理设备,代理,网络管理工作站,代理,网桥,交换机,路由器,服务器,集线器,SNMP,管理工作站通过,SNMP,把网络管理员的要求翻译成网络中实际监视或控制元素的能力，同时从被管理设备的管理信息库中提取信息,。,2.3.2.2,代理（续）,我们通常很少把在一个被管理设备中的数据库称为一个数据库。在,SNMP,术语中它通常被称为管理信息库（,MIB,）。,MIB,(,管理信息库,),2.3.2.3,MIB,一个,MIB,描述了包含在数据库中的对象或表项。每一个对象或表项都有以下四个属性：,对象类型（,Object Type,）,语法（,Syntax,）,存取（,Access,）,状态（,Status,）,被管理设备,代理,MIB,2.3.2.3,MIB,（,续）,2.3.2.3,MIB,（,续）,管理工作站,被管理设备,代理,MIB,被管理设备,代理,MIB,SNMP,报文交换,通过,SNMP,访问的管理信息保存在每个管理站和代理节点的,MIB,中。管理信息包含有简单层次的对象结构，每一个对象都代表一个被管理资源的一些属性。,2.3.2.3,MIB,（,续）,MIB I,114,标准对象,对象被认为是进行故障和配置管理,MIB II,对,MIB I,进行了扩展,定义了,185,个对象,其它标准,MIB,RMON,Host,Router,.,2.3.2.3,MIB,（,续）,MIB,管理的信息类别,类别,标号,所,包含的信息,system,1,主机或路由器的操作系统,interface,2,各种网络接口及它们的测定通信量,Address translation,3,地址转换,ip,4,Ip,分组的统计,icmp,5,Icmp,分组的统计,tcp,6,Tcp,各,参数的统计,udp,7,Udp,通信量的统计,egp,8,Egp,协议通信量的统计,2.3.2.4,SNMP,实现机制,来自管理工作站的询问消息,来自代理的应答消息,来自代理给管理工作站的自陷消息,基于轮询和中断的信息收集,Network,被管理设备,代理,MIB,Get Request,Get Next Request,Set Request,Get Response,Trap,指定对象的读操作,提供了一个树遍历操作符，便于确定一个代理进程支持哪些对象,修改代理进程中的变量值,回答网络管理工作展的请求,异步地发送告警给网络管理工作站，告诉它发生了某个满足预设条件的事件。,网络管理工作站,2.3.2.4,SNMP,实现机制（续）,SNMP,实现机制（续）,SNMP,轮询收集数据,如果你只使用只轮询的方法，那么网络管理工作站总是在控制之下。而这种方法的缺陷在于信息的实时性，尤其是错误的实时性。,路由器,网桥,交换机,服务器,集线器,网络管理工作站,SNMP,轮询收集数据,SNMP,中断收集数据,基于中断的方法可以在出现异常事件时，立即通知网络管理工作站。但产生错误或自陷需要系统资源,路由器,网桥,交换机,服务器,集线器,网络管理工作站,SNMP,中断收集数据,面向自陷的轮询方法,网络管理工作站轮询在被管理设备中的代理来收集数据，并且在控制台上用数字或图形的表示方式来显示这些数据。,路由器,网桥,交换机,服务器,集线器,网络管理工作站,面向自陷的轮询方法,SNMP,安全性,管理数据,+,共同体,获取共同体,验证,否,NO！,限定访问级别，允许访问,SNMP,的安全性有共同体来体现。,网络设备上的,SNMP,代理要求,SNMP,管理站在发送每个消息时都附带一特殊的口令。这样,SNMP,代理就可以验证管理站是否有权限访问,MIB,信息。这个口令即为共同体,SNMP,安全性（续）,SNMP,共同体作用,认证服务：管理代理能够限制只有被授权的管理站才可以访问它的,MIB,访问策略：管理代理可以对不同的管理站给予不同的访问优先级,代理服务：管理代理可以作为其他被管设备的代理。这将涉及在代理系统上实现对其他被管系统的认证服务和访问策略,基于,windows,的,SNMP,配置,1.,安装,SNMP,（默认,Windows 2003,的,Snmp,服务没有安装，需要先通过“添加,/,删除,window,组件”安装）,2.,方法：,控制面板”,-“,添加或删除程序”,-“,添加,/,删除,window,组件”，在弹出的“,windows,组件向导”窗口中，选择“管理和监视工具”，然后单击“详细信息”，在弹出的窗口中选择“简单网络管理协议（,SNMP,）”，点击“确定”按钮。,基于,windows,的,SNMP,配置（续,1,）,基于,windows,的,SNMP,配置（续,2,）,3.SNMP,应用,正确安装,Snmp,以后，在,Windows,的服务里的可以看到多了一项“,Snmp,Service”,。,双击“,Snmp,Service”,，打开其属性窗口，可以看到安全选项。,选择“发送身份验证陷阱”标签，添加 团体为“,public”,，权限为“只读”。,。在下方选择“接受来自这些主机的,snmp,数据包”，添加上,snmp,browser,的,IP,地址。,SNMP,常用工具,1.,对应端口：,UDP 161,snmp,UDP 162,snmptrap,2.,工具：,snmputil,SNMP,常用工具（续）,3.,说明：,snmputil,：应用程序,get,：,获取一个信息,getnext,：获取下一个信息,walk,：,获取所有数据库子树,/,子目录的信息,agent,：,某台机器,community,：,【community strings】“,查询密码”,oid,：,对象标识符（,Object Identifier,）,（注：可以把,oid,理解成,MIB,管理信息库中各种信息分类存放树资源的一个数字标识）,S,nmputil,的应用,-1,1.,尝试获得对方机器当前进程列表,命令：,snmputil.exe,walk,ip,public,.1.3.6.1.2.1.25.4.2.1.2,S,nmputil,的应用,-2,2.,尝试获得对方机器系统用户列表,命令：,snmputil,walk,ip,public,.1.3.6.1.4.1.77.1.2.25.1.1,S,nmputil,的应用,-3,3.,其他应用：,列出域名：,snmputil,get,ip,public,.1.3.6.1.4.1.77.1.4.1.0,列出所安装的软件,snmputil,walk,ip,public,.1.3.6.1.2.1.25.6.3.1.2,列出系统信息,snmputil,walk,ip,public,.1.3.6.1.2.1.1,SNMP V2,在,RFC 1441,中作了介绍,在,RFC 14421452,中进行了定义,;19011907,给网络管理工作站增加一个成块读操作,get-bulk-request,报文,新增,64,位数据类型,SNMP V3,提供多语言工具,提高了安全性,2.3.2.4,SNMP,实现机制（续）,SNMP,安全的实现,保护,SNMP,代理与,SNMP,管理站之间的通信的方法是：,1.,给这些代理和管理站指定一个共享的共同体名称。,2.,当,SNMP,管理站向,SNMP,服务发送查询时，请求方的共同体名称就会与代理的共同体名称进行比较。,3.,如果匹配，则表明,SNMP,管理站已通过身份验证。如果不匹配，则表明,SNMP,代理认为该请求是“失败访问”尝试，并且可能会发送一条,SNMP,陷阱消息。,SNMP,的缺陷,SNMP,消息是,以明文形式发送的,。这些明文消息很容易被“,Microsoft,网络监视器”这样的网络分析程序截取并解码。,未经授权的人员可以捕获共同体名称，以获取有关网络资源的重要信息。,使用,IP,安全协议”,(IP Sec),保护,SNMP,通信,步骤,1,：创建筛选器列表,1.,单击开始，指向管理工具，然后单击本地安全策略。,2.,展开安全设置，右键单击“本地计算机上的,IP,安全策略”，然后单击“管理,IP,筛选器列表和筛选器操作”。,3.,单击“管理,IP,筛选器列表”选项卡，然后单击添加。,4.,在,IP,筛选器列表对话框中，键入,SNMP,消息,(161/162),（在名称框中），然后键入,TCP,和,UDP,端口,161,筛选器（在说明框中）。,5.,单击使用“添加向导”复选框，将其清除，然后单击添加,6.,在“源地址”框（位于显示的,IP,筛选器属性对话框的地址选项卡上）中，单击“任意,IP,地址”。在“目标地址”框中，单击我的,IP,地址。单击“镜像。匹配具有正好相反的源和目标地址的数据包”复选框，将其选中。,7.,单击协议选项卡。在“选择协议类型”框中，选择,UDP,。在“设置,IP,协议端口”框中，选择“从此端口”，然后在框中键入,161,。单击“到此端口”，然后在框中键入,161,。单击确定,8.,在,IP,筛选器列表对话框中，选择添加。,9.,在“源地址”框（位于显示的,IP,筛选器属性对话框的地址选项卡上）中，单击“任意,IP,地址”。在“目标地址”框中，单击我的,IP,地址。选中“镜像、匹配具有正好相反的源和目标地址的数据包”复选框。,10.,击协议选项卡。在“选择协议类型框中，单击,TCP,。在“设置,IP,协议”框中，单击“从此端口”，然后在框中键入,161,。单击“到此端口”，然后在框中键入,161,。,11.,单击确定。（重复上述步骤输入,UDP,、,TCP 162,）,使用,IP,安全协议”,(IP Sec),保护,SNMP,通信（续）,步骤,2,：创建,IP,策略,1.,右键单击左窗格中“本地计算机上的,IP,安全策略”，然后单击创建,IP,安全策略,2.,在“,IP,安全策略名称”页上的名称框中键入先前的策略名称如“,Secure SNMP”,。在说明框中，键入名称如“,Force,IPSec,for SNMP Communications”,，然后单击下一步。,3.,单击“激活默认响应规则”复选框，将其清除，然后单击下一步。,4.,在“正在完成,IP,安全策略向导”页上，确认“编辑属性”复选框已被选中，然后单击完成,5.,在安全“,NMP,属性”对话框中，单击使用“添加向导”复选框，将其清除，然后单击添加,6.,单击,IP“,筛选器列表”选项卡，然后单击,SNMP,消息,7.,单击筛选器操作选项卡，然后单击需要安全。,8.,在“本地安全设置”控制台的右窗格中，右键单击安全,SNMP,规则，然后单击指定。,说明：在所有运行,SNMP,服务的基于,Windows,的计算机上完成此过程。,SNMP,管理站上也必须配置此,IPSec,策略。（可以使用,netstat,an,查看）,Cisco,路由器上的,SNMP,实现,1.,开启,SNMP,方法,1,：进入全局配置模式,共同体,口令,模式,说明：具体信息请使用“？”进行查看,Cisco,路由器上的,SNMP,实现（续）,方法,2,：使用组与用户（全局配置模式）,组名,SNMP,版本号,用户名,隶属组,SNMP,版本号,Cisco,路由器上的,SNMP,实现（续）,说明：,1.,上述方式仅在路由器上开启简单的,SNMP,服务，,只响应,GET,和,SET,请求，不发送,TRAPS INFORMS,2.V1,与,V2C,均以,明文传输,community,值,3.,可以使用,show,snmp,group,进行检测,与,ACL,配合使用,1.,方法,1,：,community,2.,方法,2,：使用,group,、,user,与,ACL,配合使用（续）,3.,方法,3,：使用命名访问控制列表,实例分析,注意访问控制列表的位置,记录非法访问,方法：开启,ACL,日志记录,配置实例：,开启日志功能,记录非法访问（续）,其他应用,1.,保持接口名的永久性,实例,1,：,实例,2,：,坚持，继续,说明：,.,重启路由器依然能够保证,SNMP,使用相同的接口名称。,.,内部,SNMP,接口号可变,.,可以在启用,SNMP,之时指定，亦可应用于接口。,其他应用（续）,2.,设定,SNMP,包的大小,【,默认值,=1500,字节,】,3.,设定,SNMP,队列的大小,说明：,inform,之后的参数为,pending,：设置并保留为收到的通告,retries,：设置重试的通告价值,【,范围：,0,100】,timeout,：设置通告的超时时间,4.,设定,SNMP Traps,的源发送地址,5.,启用,traps,和,informs,启用,SNMPv3,方法：,1.,创建,snmp,mib,视图,2.,创建,snmp,组,视图名,信息库名,包含,使用版本,3,认证方式,访问模式,视图名,启用,SNMPv3,（续）,实例分析,实验分析,R1,R2,安装,Sniffer,软件查看数据包,#,snmp,-server community hw,ro,/,配置本路由器的只读字串为,hw,#,snmp,-server community hw,rw,/,配置本路由器的读写字串为,hw,#,snmp,-server enable traps,/,允许路由器将所有类型,SNMP Trap,发送出去,#,snmp,-server host IP-address-server traps,wb,/,指定路由器,SNMP Trap,的接收者，发送,Trap,时采用,wb,作为字串,#,snmp,-server trap-source loopback0,/,将,loopback,接口的,IP,地址作为,SNMP Trap,的发送源地址,#logging on,/,起动,log,机制,#logging IP-address-server,/,将,log,记录发送到,syslog,server,#logging facility local7,/,将记录事件类型定义为,local7,#logging trap warning,/,将记录事件严重级别定义为从,warningl,开始，一直到最紧急级别的事件全部记录到前边指定的,syslog,server,#logging source-interface loopback0,/,指定记录事件的发送源地址为,loopback0,的,IP,地址,#service timestamps log,datetime,/,发送记录事件的时候包含时间标记,#enable password 123456,#line,tty,0,#password 123456,#login local,/,设置本地,Enable,口令和,Telnet,口令,#show running,#copy running start,或,write terminal,/,显示并检查配置,2.3.2.5 RMON,定义了远程监视,MIB,来补充,MIB II,为网络管理员提供关于网络的信息,RMON,产生的原因,轮训产生过多的数据流量,不能回收大信息量数据,共同体，一般认证，不安全,只能获取单个设备的信息,IETF,Internet,工程特别小组,RMON,v1,1991,年,RMON,v2,1995,年,RMON I,监视,LAN,的流量,在,MAC,层进行工作,RMON II,对,RMON,内容进行了扩充,对,RMON I,添加了新的组,从网络层到应用层对数据包进行解码,2.3.2.5 RMON,（,续）,statistics,history,alarm,host,hostTopN,matrix,filter,capture,event,tokenRing,1,2,3,4,5,6,7,8,9,10,为,每个代理监视的子网维护低级利用和错误统计,纪录从,statistics,组中取出来的周期性的统计信息采样,允许管理控制台用户设置取样时间间隔并警告由,RMON,代理记录,的任何计数器或整数超出阈值,包含依附于该子网的各种类型主机的进出流量,包含存储的主机统计信息,以矩阵的形式表示错误和利用信息,允许监视器对和过滤器匹配的数据包进行观测,管理数据怎样送往管理控制台,给出由,RMON,代理产生的所有事件的表,维护子网为令牌环网的统计和配置信息,2.3.2.5 RMON,（,续）,protocolDir,11,protocolDist,12,addressMap,13,nlHost,14,nlMatrix,15,alHost,16,alMatrix,17,usrHistory,18,probeConfig,19,所有代理能解释的协议的主目录,关于每个,LAN,网段每个协议产生的流量的统计信息,网络地址到,MAC,地址和端口以及物理地址到该子网的地址匹配,基于网络层地址的主机进出流量的统计信息,基于网络层地址的主机对之间的流量的统计信息,基于应用级别地址的主机进出流量的统计信息,基于应用级别地址的主机对之间的流量的统计信息,周期性地对用户设定的变量取样并基于用户定义的参数记录该数据,为,RMON,代理定义定义标准的配置参数,2.3.2.5 RMON,（,续）,S2,S3,E-Mail,47,层,RMON2,应用层,3,层,RMON2,网络层,2,层,RMON MAC,层,1,层,Hub,物理层,1,2,3,Other Nets,S1,C1,S1,C1,C2,Lotus Notes,WWW,SQL,2.3.2.5 RMON,（,续）,RMON,与网络远程监视,C,D,整体网络的流量信息,？,RMON,RMON,（网络远程监视）作用,离线操作,问题检测和报告,主动监视,监视器能对故障记录并试图通知管理站,提供增值服务,多管理器,对收集信息进行分析，减轻管理站的负担,可同时为不同管理站工作,监视器可以进行故障诊断和和记录网络性能工作,监视器可在管理器通信故障时，持续对网络检测,RMON,与网络远程监视,（续）,远程监视器的控制,MIB,控制表,MIB,数据表,设 备 参 数 信 息,管理工作站通过管理信息库配置,RMON,监视器,配置,操作控制：通过设置某,MIB,对象值来发布命令和控制设备。,多管理器,MIB,控制表,MIB,数据表,设 备 参 数 信 息,一个,RMON,代理可能会受到多个管理站的管理，任何并行的对同一资源的访问都可能导致潜在的冲突和不可预料的结果。属主标签解决了这个冲突。,多管理器（续）,RMON,控制表中的属主标签解决了多个管理站并发访问的问题：,一个管理站可以识别它所属的资源和不再需要的资源。,网络操作者能够识别拥有特定资源或功能的管理站，同时可以协调资源或功能的释放。,网络操作者有权力单方面释放其他网络操作者预约的资源。,如果一个管理站被重新初始化。它能够识别它曾经预约的资源并释放那些不再使用的部分。,本章总结,了解网络协议和网络管理的知识,掌握简单网络管理协议的工作机制,对简单网络管理协议的版本有所了解,掌握管理信息库的结构,对简单网络管理协议及其版本有初步了解,本章练习,什么是简单网络管理协议,简单网络管理协议给网络管理人员提供了什么功能？,使用简单网络管理协议进行网络的初步规划,SNMP/MIB,摘要,网络管理工作站,Router,Agent,MIB-2,Router,MIB,PROBE,Agent,RMON,MIB,Host B,Agent,MIB-2,Host,MIB,Switch,Agent,MIB-2,Switch,MIB,RMON,MIB,Host C,Agent,MIB-2,Host,MIB,Host A,Agent,MIB-2,Host,MIB,本章练习（附录）,