㈠ SNMP協議是什麼意思
簡單網路管理協議(Simple Network Management Protocol SNMP)首先是由Internet工程任務組織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的。許多人認為 SNMP在IP上運行的原因是Internet運行的是TCP/IP協議,然而事實並不是這樣。
SNMP被設計成與協議無關,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的傳輸協議上被使用。
SNMP是一系列協議組和規范(見下表),它們提供了一種從網路上的設備中收集網路管理信息的方法。SNMP也為設備向網路管理工作站報告問題和錯誤提供了一種方法。
名字 說明
MIB 管理信息庫
SMI 管理信息的結構和標識
SNMP 簡單網路管理協議
從被管理設備中收集數據有兩種方法:一種是只輪詢(polling-only)的方法,另一種是基於中斷(interrupt-based)的方法。
如果你只使用只輪詢的方法,那麼網路管理工作站總是在控制之下。而這種方法的缺陷在於信息的實時性,尤其是錯誤的實時性。你多久輪詢一次,並且在輪詢時按照什麼樣的設備順序呢?如果輪詢間隔太小,那麼將產生太多不必要的通信量。如果輪詢間隔太大,並且在輪詢時順序不對,那麼關於一些大的災難性的事件的通知又會太饅。這就違背了積極主動的網路管理目的。
當有異常事件發生時,基於中斷的方法可以立即通知網路管理工作站(在這里假設該設備還沒有崩潰,並且在被管理設備和管理工作站之間仍有一條可用的通信途徑)。然而,這種方法也不是沒有他的缺陷的,首先,產生錯誤或自陷需要系統資源。如果自陷必須轉發大量的信息,那麼被管理設備可能不得不消耗更多的時間和系統資源來產生自陷,從而影響了它執行主要的功能(違背了網路管理的原則2)。
而且,如果幾個同類型的自陷事件接連發生,那麼大量網路帶寬可能將被相同的信息所佔用(違背了網路管理的原則1)。尤其是如果自陷是關於網路擁擠問題的時候,事情就會變得特別糟糕。克服這一缺陷的一種方法就是對於被管理設備來說,應當設置關於什麼時候報告問題的閾值(threshold)。但不幸的是這種方法可能再一次違背了網路管理的原則2,因為設備必須消耗更多的時間和系統資源,來決定一個自陷是否應該被產生。
結果,以上兩種方法的結合:面向自陷的輪詢方法(trap-directed polling)可能是執行網路管理最為有效的方法了。一般來說,網路管理工作站輪詢在被管理設備中的代理來收集數據,並且在控制台上用數字或圖形的表示方式來顯示這些數據。這就允許網路管理員分析和管理設備以及網路通信量了。
被管理設備中的代理可以在任何時候向網路管理工作站報告錯誤情況,例如預制定閾值越界程度等等。代理並不需要等到管理工作站為獲得這些錯誤情況而輪詢他的時候才會報告。這些錯誤情況就是眾所周知的SNMP自陷(trap)。
在這種結合的方法中,當一個設備產生了一個自陷時,你可以使用網路管理工作站來查詢該設備(假設它仍然是可到達的),以獲得更多的信息。
簡單網路管理協議(SNMP)是基於TCP/IP的網路管理,實際上就是一群標準的集合。80年代末期由IETF開發後,開始被廣泛應用在各類網路設備中,成為一種網管的工業標准。SNMP又稱之為管理者和代理之間的通信協議,包括理解SNMP的操作、SNMP信息的格式及如何在應用程序和設備之間交換信息。
就概念而言,SNMP為網管界定了管理者(Manager)和代理者(Agent,被管理設備)之間的關系。兩者之間的共同點是都運行TCP/IP協議。管理者可對管理設備提出效能、配置、和狀態等信息的詢問,透過要求與回復(request/replay)的簡單機制來擷取代理者身上的信息,而兩者之間的信息主要是通過PDU協議數據單元來載送。SNMP使用UDP作為IP的傳輸層協議。
在實現過程中,管理者會發送一個PDU給一個代理者(可以是路由器、交換機、防火牆……等可支持網管的設備),代理者收到管理者所發出內含詢問信息的PDU報文後,再透過PDU回傳給相關的管理者。在該過程中,代理者基本上只能處於被動的狀態,反復進行一問一答的模式,而唯一可由代理者自動發出的只有Trap的不定期回報特殊狀況信息。
SNMP協議有兩個基本命令模式:read和read/write。read是可以通過SNMP協議觀察設備配置細節,而使用read/write模式可以讓管理者有許可權修改設備配置。以當前市場流行的大多數被網管的設備為例,如果設備的默認口令沒有改變,那麼攻擊者就可以利用默認的口令得到其配置文件,文件一旦被破解,攻擊者就能夠對設備進行遠程非法的配置,實行攻擊。
目前,絕大多數的網路設備和操作系統都可以支持SNMP,如D-Link、Cisco、3Com等等。
SNMPv3實現更優管理
目前SNMP的發展主要包括三個版本:SNMPv1、SNMPv2以及最新的SNMPv3。從市場應用來看,目前大多數廠商普遍支持的版本是SNMPv1和v2,但從安全鑒別機制來看,二者表現較差。而SNMPv3採用了新的SNMP擴展框架,在此架構下,安全性和管理上有很大的提高。在當前的網路設備市場中,D-Link已經率先推出了支持SNMPv3的網路產品,如DES-3226S、DES-3250TG交換機等,在安全功能和管理功能上都有良好的表現。
總體來看,SNMPv1和v2版本對用戶權力的惟一限制是訪問口令,而沒有用戶和許可權分級的概念,只要提供相應的口令,就可以對設備進行read或read/write操作,安全性相對來的薄弱。雖然SNMPv2使用了復雜的加密技術,但並沒有實現提高安全性能的預期目標,尤其是在身份驗證(如用戶初始接入時的身份驗證、信息完整性的分析、重復操作的預防)、加密、授權和訪問控制、適當的遠程安全配置和管理能力等方面。
SNMPv3是在SNMPv2基礎之上增加、完善了安全和管理機制。RFC 2271定義的SNMPv3體系結構體現了模塊化的設計思想,使管理者可以簡單地實現功能的增加和修改。其主要特點在於適應性強,可適用於多種操作環境,不僅可以管理最簡單的網路,實現基本的管理功能,還能夠提供強大的網路管理功能,滿足復雜網路的管理需求。
目前,市場上的網路設備尚停留在SNMPv1/v2的范疇,並未廣泛支持SNMPv3,如何配置設備的SNMP服務以確保網路安全、完善管理機制呢?以下幾個方面建議或許值得網管人員一試:由於基於SNMPv1/v2協議本身具有不安全性,所以在管理過程中,如果沒有必要,可以不要開啟SNMP代理程序;可以限制未授權IP對SNMP的訪問,或者改變SNMP代理的默認口令,並使用復雜的口令;在後續采購設備中,盡可能選用支持SNMPv3的設備產品。
綜合SNMP的不同版本,顯然SNMPv3的應用推廣勢在必行,必然會以突出的優勢成為新的應用趨勢。一些市場反應敏捷的網路設備製造商已經推出了相關產品。據了解,D-Link在新一代產品推出時,已將此技術列入基本的協議支持,包括DES-3226S、DES-3250TG在內的多款交換機已經率先支持SNMPv3。
你問的比較籠統自己看看吧。
㈢ 計算機網路管理SNMP協議問題
㈣ 簡單網路管理協議snmp是有哪幾個部分組成
簡單網路管理協議(SNMP)是最早提出的網路管理協議之一,它一推出就得到了廣泛的應用和支持,特別是很快得到了數百家廠商的支持,其中包括IBM,HP,SUN等大公司和廠商。目前SNMP已成為網路管理領域中事實上的工業標准,並被廣泛支持和應用,大多數網路管理系統和平台都是基於SNMP的。 SNMP的體系結構是圍繞著以下四個概念和目標進行設計的:保持管理代理(agent)的軟體成本盡可能低;最大限度地保持遠程管理的功能,以便充分利用Internet的網路資源;體系結構必須有擴充的餘地;保持SNMP的獨立性,不依賴於具體的計算機、網關和網路傳輸協議。在最近的改進中,又加入了保證SNMP體系本身安全性的目標。SNMP實現方式為了提供遍歷管理信息庫的手段,SNMP在其MIB中採用了樹狀命名方法對每個管理對象實例命名。每個對象實例的名字都由對象類名字加上一個後綴構成。對象類的名字是不會相互重復的,因而不同對象類的對象實例之間也少有重名的危險。
㈤ 請問snmp到底是幹啥的。
這個事情分兩方面來說:
首先是路由器這部分。路由器開啟SNMP功能之後,它能夠對自己的每個介面上的流量有一個統計,當然統計的不單單只有流量。然後路由器把統計到的內容按一定的格式保存起來。這個格式是大家都商量好的。比如上學的時候出分數。大家約定,第一個成績是數學、第二個是語文、第三個是英語。老師錄入成績就按照這個約定來。
另外一方面就是剛才你說到的電腦上的軟體。這個軟體干什麼用的呢? 用來向路由器發送一個請求,獲取數據的。首先你得讓路由器知道你想要什麼數據吧? 這個就用到了前面說的那個規則,約定。接著上面的例子,老師就相當於路由器,你就是電腦上的軟體。你想問老師數學成績,按照約定,你就要跟老師說:老師,我需要第一個成績。 因為第一個成績是什麼,大家都是清楚的,這樣老師就把數學成績給你了。
總體來說,SNMP就是為了讓別人能夠獲得路由器上的統計數據而約定好的數據交流的規則。