課程構(gòu)建高性能園區(qū)網(wǎng)絡(luò)膠片b snmp管理

SNMP及日志管理構(gòu)建H3C高性能園區(qū)網(wǎng)絡(luò)1.0杭州華三通信技術(shù)有限公司，隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，自動化網(wǎng)絡(luò)管理的要求越來越高。SNMP協(xié)議提供了一種從網(wǎng)絡(luò)設(shè)備中收集網(wǎng)絡(luò)管理信息的方法，也為設(shè)備向網(wǎng)絡(luò)管理工作站報告問題和錯誤提供了一種方法。引入了解SNMP協(xié)議工作的C/S架構(gòu)熟悉SNMP的協(xié)議基礎(chǔ)MIB的實現(xiàn)和分類了解SNMP協(xié)議的歷史以及歷史版本的區(qū)別掌握SNMP協(xié)議在園區(qū)網(wǎng)設(shè)備上的配置課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：SNMP的基本架構(gòu)SNMP標(biāo)準(zhǔn)介紹SNMP在交換機(jī)上的配置目錄網(wǎng)絡(luò)管理關(guān)鍵功能OSI定義的網(wǎng)絡(luò)管理關(guān)鍵功能：故障管理計費(fèi)管理配置管理性能管理安全管理網(wǎng)絡(luò)管理面臨的挑戰(zhàn)與SNMP網(wǎng)絡(luò)管理面臨的挑戰(zhàn)網(wǎng)絡(luò)規(guī)模越來越大網(wǎng)絡(luò)設(shè)備越來越多樣性自動化管理成為網(wǎng)絡(luò)管理的基本需求SNMP提供了一種對多供應(yīng)商、可協(xié)同操作的網(wǎng)絡(luò)管理工具，成為應(yīng)用廣泛的IP網(wǎng)絡(luò)管理協(xié)議。SNMP協(xié)議實現(xiàn)簡單，適合IP網(wǎng)絡(luò)管理要求SNMP能夠花費(fèi)最少的人力、設(shè)備、資金提供更智能的網(wǎng)絡(luò)管理服務(wù)SNMP基本架構(gòu)網(wǎng)絡(luò)管理站（NMS）代理器（Agent）SNMP協(xié)議管理信息庫（MIB

）

網(wǎng)絡(luò)管理站NMS進(jìn)程UDP161UDP162Agent進(jìn)程SNMPRequestSNMPResponseSNMPTrapIP網(wǎng)絡(luò)被管理設(shè)備MIB管理信息庫（MIB）IdentifierSyntaxAccesslevelSMIMIBMIB是一個被管理對象的集合定義被管理對象的一系列的屬性MIB通過SMI進(jìn)行組織和定義MIB結(jié)構(gòu)MIB是一種樹形結(jié)構(gòu)每個節(jié)點有一個名字和一個編號名字不能重復(fù)同一層節(jié)點的編號不能相同節(jié)點可以通過名字或者OID來標(biāo)識例如F節(jié)點可以表示為“1.2.2.1”節(jié)點類型分為葉子節(jié)點和非葉子節(jié)點rootAEBDFC1123121MIB實例root-nodeccitt(0)iso(1)joint(2)org(3)dod(6)Internet(1)directory(1)mgmt(2)experimental(3)private(4)mib-2system(1)interfaces(2)at(3)ip(4)icmp(5)tcp(6)…SNMP的基本架構(gòu)SNMP標(biāo)準(zhǔn)介紹SNMP在交換機(jī)上的配置目錄SNMP版本常用的SNMP有三個版本SNMPv1：RFC1157定義SNMPv2c：RFC1901～RFC1908定義SNMPv3：RFC3411～RFC3418定義目前正式SNMP標(biāo)準(zhǔn)版本為SNMPv3SNMPv1協(xié)議原理網(wǎng)絡(luò)管理站NMS進(jìn)程UDP161UDP162Agent進(jìn)程Get-RequestGetNext-RequestSet-RequestGet-ResponseSNMPTrapIP網(wǎng)絡(luò)被管理設(shè)備基于團(tuán)體名進(jìn)行認(rèn)證MIBSNMP團(tuán)體SNMPv1使用團(tuán)體來進(jìn)行安全機(jī)制管理團(tuán)體是由Agent和若干個網(wǎng)絡(luò)管理站應(yīng)用程序組成每個團(tuán)體通過團(tuán)體名即一個字符串來區(qū)別團(tuán)體名實際上是一個相關(guān)權(quán)限的密碼可以訪問哪些節(jié)點訪問的類型（讀/設(shè)置）SNMPv1報文格式VersionCommunityPDUPDUTypeRequest-IDESEIVBListname1value1name2value2…nameNvalueNPDUTypeenterpriseAgent-addrGeneric-trapSpecific-trapTime-stampVBListRequest/responsePDUVBListTrapPDUSNMPv1GetRequestifDescr.1Ethernet1ifDescr.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetRequest:1.3.6.1.2.1.2.2.2.2,NULLGetResponse:1.3.6.1.2.1.2.2.2.2,ethernet2NMSAgentUDP：161ifDescrifIndexSNMPv1GetNextRequestifDescr.1Ethernet1ifDescr.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetNextRequest:1.3.6.1.2.1.2.2.2.2,NULLGetResponse:1.3.6.1.2.1.2.2.2.3,Serial1NMSAgentUDP：161ifDescrifIndexSNMPv1SetRequestifAdminStatus.11ifAdminStatus.22（1）ifAdminStatus.31ifAdminStatus.41ifAdminStatus.51SetRequest:1.3.6.1.2.1.2.2.7.2,2GetResponse:1.3.6.1.2.1.2.2.7.2,2NMSAgentUDP：161ifAdminStatusifIndexSNMPv1TrapifAdminStatus.11ifAdminStatus.22（1）ifAdminStatus.31ifAdminStatus.41ifAdminStatus.51Trap:1.3.6.1.2.1.2.2.1.2,2NMSAgentUDP：162ifIndexifIndexSNMPv1的不足SNMPv1的所有操作都是原子性的，效率低SNMPv1的錯誤狀態(tài)有限不支持NMS到NMS之間的通信SNMPv1的Trap報文格式存在缺陷SNMPv1安全性較弱SNMPv2cvsSNMPv1SNMPv2c也是基于團(tuán)體名的安全機(jī)制SNMPv2c請求報文和響應(yīng)報文格式與SNMPv1一致SNMPv2c相對SNMPv1改進(jìn)除了Set操作是原子性的，其他操作都是非原子性的；增加了GetBulk操作，操作效率更高；具有更豐富的錯誤狀態(tài)和錯誤碼；支持更豐富的數(shù)據(jù)類型Trap報文格式與其他操作類型的報文格式進(jìn)行了統(tǒng)一。GetBulk操作getNext的延伸，一個getBulk操作等價于多次執(zhí)行g(shù)etNext操作盡可能返回更多的值，提高網(wǎng)絡(luò)性能getBulk請求報文對ES和EI兩個參數(shù)進(jìn)行了重用PDUtypeRequestIDNMVBListN:non-repeaters:從VBList字段中的第一個變量算起，只要求返回一個字典后繼的變量，相當(dāng)于對前N個變量進(jìn)行一次GetNext操作M：max-repeaters:VBList中除了N個變量外剩余變量要求返回M個字典后繼變量，相當(dāng)于對剩余的每一個變量執(zhí)行M次GetNext操作GetBulk舉例ifDescr.1Ethernet1ifDescr.2Ethernet2ifDescr.3Serial1ifDescr.4Aux0ifDescr.5Loopback0GetBulkRequest(N=1,M=2,VBList={ifDescr,ifInOctets})GetResponse(ifDescr.1:Ethernet1ifInOctets.1:193301,ifInOctets.2:592330,)NMSAgentifInOctets.1193301ifInOctets.2592330ifInOctets.336235ifInOctets.40ifInOctets.50SNMPv2c提供更豐富的錯誤碼SNMPv1SNMPv2cbadvaluewrongValuebadvaluewrongEncodingbadvaluewrongTypebadvaluewrongLengthbadvalueinconsistentValuenoSuchNamenoAccessnoSuchNamenotWritablenoSuchNamenoCreationnoSuchNameinconsistentNamegenErrresourceUnavailablegenErrgenErrgenErrcommitFailedgenErrundoFailedSNMPv1和SNMPv2c的安全性挑戰(zhàn)SNMPv1和SNMPv2c安全性基于團(tuán)體名(communityname)的有限的安全機(jī)制團(tuán)體名是明文傳輸，入侵者很容易通過抓包工具來獲取報文不支持加密限制了SNMP在非完全信任的網(wǎng)絡(luò)中的使用SNMPv3在繼承了SNMPv2c的基礎(chǔ)上，提供認(rèn)證加密訪問控制SNMPv3框架SNMP分發(fā)器消息處理子系統(tǒng)安全子系統(tǒng)訪問控制子系統(tǒng)命令生成器命令響應(yīng)器指示接收器指示生成器代理轉(zhuǎn)發(fā)器其他應(yīng)用SNMP實體SNMP引擎SNMP應(yīng)用SNMPv3報文格式msgVersionmsgIDmsgMaxSizemsgFlagsmsgSecurityModelmsgAuthoritativeEngineIDmsgAuthoritativeEngineTimemsgPrivacyParametersmsgAuthenticationParametersmsgUserNamemsgAuthoritativeEngineBootscontexEngineIDcontexnNamePDU加密域鑒別域數(shù)據(jù)部分消息頭安全參數(shù)SNMPv3安全性USM消息的完整性消息的合法性消息是否被延遲消息是否被重放消息是否防竊聽用戶訪問權(quán)限是否合法VACM消息鑒別合時性檢查消息加密USMSNMPv3VACMsecurityModelsecurityNamegroupNamecontextNamesecurityModelsecurityLevelView-typeobject-typeobject-instancevariableNameviewNameDecision(Y/N)SNMPv1/v2C/v3對比PDU支持情況安全級別認(rèn)證加密SNMPv1Get、GetNext、Set、Trap、GetResponsenoAuthNoPrivcommunityNOSNMPv2cGet、GetNext、Set、Trap、Inform、GetResponse、GetBulknoAuthNoPrivcommunityNOSNMPv3Get、GetNext、Set、Trap、Inform、GetResponse、GetBulknoAuthNoPrivAuthNoPrivAuthPrivMD5SHADESAESSNMP的基本架構(gòu)SNMP標(biāo)準(zhǔn)介紹SNMP在交換機(jī)上的配置目錄SNMP配置任務(wù)啟動SNMPAgent服務(wù)配置SNMP運(yùn)行版本創(chuàng)建MIB視圖內(nèi)容[H3C]snmp-agent[H3C]snmp-agentsys-info{contactsys-contact|locationsys-location|version

{all|{

v1|v2c|v3}*}}[H3C]snmp-agentmib-view{excluded|included}

view-nameoid-tree[maskmask-value]SNMP配置任務(wù)（續(xù)）創(chuàng)建SNMPv1&SNMPv2c團(tuán)體創(chuàng)建SNMPv3組創(chuàng)建SNMPv3用戶[H3C]snmp-agent

community{read|write}[simple|cipher]community-name[mib-view

view-name][acl

acl-number|acl

ipv6ipv6-acl-number]*[H3C]snmp-agent

group

v3

group-name[authentication|privacy][read-view

read-view][write-view

write-view][notify-view

notify-view][acl

acl-number|acl

ipv6ipv6-acl-number]*[H3C]snmp-agent

usm-user

v3

user-name

group-name[remote{ip-address|ipv6

ipv6-address}[vpn-instance

vpn-instance-name]][{cipher|simple}authentication-mode{md