SNMP概述–運維必知的協議基礎

時間 2019-11-24

標籤 snmp 概述協議基礎简体版

原文原文鏈接

1、什麼是SNMP？

SNMP是「Simple Network Management Protocol」的縮寫，中文意思是簡單網絡管理協議，它是由互聯網工做小組在RFC1157中定義的應用層協議，用於在網絡實體或節點之間交換管理或監控信息。

2、爲何須要SNMP？

做爲運維人員，咱們很大一部分的工做就是爲了保證咱們的網絡可以正常、穩定的運行。所以監控，控制，管理各類網絡設備成了咱們平常的工做。在網絡興起的早期，維護方式就是運維人員蹲在近端對設備進行各類操做，當網絡設備愈來愈多，網絡規模愈來愈大時，管理工做會變得愈來愈單調乏味，這樣的近端維護方式也近乎不可能。所以，遠程管理網絡的需求日益迫切，SNMP應運而生。使用SNMP，一個運行網管軟件的工做站就能對成千上萬的網絡設備進行監控和信息採集，這些信息能夠用來構建網絡或者定位網絡中的問題。

3、SNMP的優勢

如其名字所述，這個協議簡單易懂，部署的開銷成本也小。正由於它足夠簡單，因此被普遍的接受，事實上它已經成爲了主要的網絡管理標準。在一個網絡設備上實現SNMP的管理比絕大部分其餘管理方式都簡單直接。

使用SNMP將帶來以下好處：

標準化的協議：SNMP是TCP/IP網絡的標準網絡管理協議。互聯網標準協議是由互聯網組織志願貢獻的開放、非專利性的，SNMP的維護及未來全部的加強都將基於現有的協議標準。

普遍承認：全部主流供應商都支持SNMP。全部SNMP管理的設備使用相同的管理接口以支持通用的管理消息集合。

可移植性：SNMP獨立於操做系統和編程語言。SNMP的功能設計一樣是可移植的。同時它定義了一套核心操做集，全部支持SNMP的設備都須要支持這套操做。

輕量級：SNMP加強對設備的管理能力的同時不會對設備的操做方式或性能產生衝擊。網絡設備能夠以極小的資源消耗和些微的負載做爲代價增長SNMP的管理支持。

可擴展性：在全部SNMP管理的設備上都會支持相同的一套核心操做集。SNMP也支持計算機網絡設備中各類類型的設備信息的交互，設備加入網絡也變得簡單。

普遍部署：SNMP是最流行的管理協議，最爲受設備供應商關注，被普遍部署在各類各樣的設備上。

4、SNMP的關鍵特徵

SNMP通常主要由三個組件構成，這三個組件分別是：

網絡設備：通常是指網絡中須要監控和管理的設備或管理對象。

Agent：agent是網絡設備和管理組件的中間件，是駐留在網絡設備中的程序進程，它收集設備的管理信息並與管理組件交互。

一個典型的agent應有以下特徵：

●支持完整的SNMP協議

●保存與檢索定義在MIB中的管理信息

●收集與維護本地設備的信息

●發送事件給管理組件

●做爲某些非SNMP可管理的節點上的代理

管理組件：一個管理組件或者說管理系統是一個遠程部署的獨立實體(區別於agent部署於被管理設備上)。通常典型可視爲一臺部署了管理組件的計算機，而且可能從地理位置上都與網絡設備相隔甚遠，管理者只須要經過這臺計算機就可以對設備進行各類監控與管理操做。

一個典型的管理組件應有以下特徵：

●實現網絡管理系統

●支持完整的SNMP協議

●查詢agent，獲取agent 的響應消息，設置agent的變量，告知agent異步事件已收到等

通信：管理組件與agent之間以協議數據單元進行通信( Protocol Data Units，PDUs)，數據在進行網絡傳輸前必須進行分塊和封裝，SNMP傳輸的過程當中，數據首先會被封裝成PDU，PDU再被UDP協議封裝進行傳輸。

SNMP消息的格式能夠參考下圖

1.msgVersion 指定SNMP的版本

2.msgID 指定SNMP消息惟一辨識符

3.msgMaxSize 指定交互SNMP實體所能接收的最大消息大小

4.msgFlags 指定消息的安全級別

5.msgSecurityModel 指定消息所使用的安全模式.SNMPv3爲USM

6.msgAuthoritativeEngineID 此消息交互的SNMP實體的 SNMP EngineID

7.msgAuthoritativeEngineBoots 此消息交互的SNMP實體啓動的次數

8.msgAuthoritativeEngineTime 此消息交互的SNMP實體自上次啓動後所過去的時間

9.msgUserName 此消息交互的SNMP實體所使用的用戶名

10.msgAuthoritaticationParameters 認證協議的參數

11.msgPrivacyParameters 加密協議的參數

12.contextEngineID 做爲實現了某個具體管理功能上下文的惟一辨識符

13.contextName 用來標記一個上下文的名稱

14.pdu SNMP實體間通訊數據單元

管理模式：SNMP 對於管理組件和agent的實現通常可劃分爲以下三個層面：

●協議，定義SNMP的基本操做和管理組建與agent間消息交換的格式

●管理信息結構(Structure of Management Information (SMI))，定義SNMP該以何種形式訪問管理對象的規則集合

●管理信息庫(Management Information Base (MIB))，定義管理對象屬性的集合

MIB和SMI使用一種叫作 ASN.1(Abstract Syntax Notation One)的表示法來描述，這是一種以ASCII文本格式清晰描述數據的表示法。MIB的數據經過SNMP消息進行網絡傳輸，傳輸前會經過簡單編碼規則( Basic Encoding Rules (BER))進行編碼。

5、SNMP的基本操做

SNMP是一個請求-響應式的協議，它的基本操做能夠分類以下：

●檢索數據

●修改變量

●接收主動上報消息

檢索數據：管理組件向agent發送請求以獲取數據，有以下操做類型：

●GET：GET請求用以從agent上獲取指定OID對應的一條或多條值。

●GETNEXT：與GET請求相似，最明顯的區別是GETNEXT獲取指定OID在系統樹種所處位置的下一個OID。

●GETBULK：用於從agent上獲取大表中的大量數據。

修改變量：管理組件有時會但願可以修改設備上的一些變量：

●SET：管理組件使用這個命令來修改設備的一些配置值。

接收主動上報消息：

●TRAP：當agent遇到數據傳輸問題，或設備出現故障但願上層管理組件知曉時，使用TRAP操做上報此信息。

6、SNMP的版本

SNMP發展到目前，一共經歷了三個主要版本，SNMPv1，SNMPv2c，SNMPv3。對於當今互聯網迅猛發展的今天，信息安全已是一個關乎產品命運的重要問題，曾經的SNMP因爲缺少足夠的安全性而被人詬病甚至棄用，所以SNMPv3版本作了大量關於安全性的加強，這裏咱們也主要關注於SNMPv3版本的特性。

SNMPv3的主要目的以下：

1.校驗收到的SNMP消息在網絡傳輸過程當中是否被篡改。

2.校驗收到的SNMP消息其身份證實是否已經被建立。

3.檢測收到的SNMP消息是否包含管理消息，是不是即時建立的。

4.保護每一個收到的消息的內容不會被公開。

爲實現上述目標，SNMP爲系統提供了一個安全的管理環境，涉及如下內容：

●SNMP實體的身份證實以加強SNMP實體間的通訊——每個SNMP實體都會有一個叫SNMP EngineID的身份標識符，SNMP通訊只能發生在已知身份的SNMP實體間(TRAP和Notification不受此規則限制。)

●支持安全模式——一個安全模式定義了管理域或內部網絡中的安全策略，SNMP包含USM安全模式的實現。

●定義消息安全的校驗服務規範：

○反信息篡改：保護校驗經過的實體所生成的消息在傳輸過程當中不會被未經校驗的SNMP實體所修改。

○反假裝：防止SNMP實體經過假裝成其餘實體的身份來越權執行某些操做。

○反消息流篡改：防止SNMP消息流被惡意重排序，推遲或重複從而施加未經校驗的管理操做。