自考《計(jì)算機(jī)網(wǎng)絡(luò)管理》聽課筆記（五）

第五章簡單網(wǎng)絡(luò)管理協(xié)議SNMPv2
    5.1SNMP的演變（識記）：
    SNMP基與SGMP，由簡單容易實(shí)現(xiàn)的優(yōu)點(diǎn)。SNMP的缺點(diǎn)也是明顯的：沒有實(shí)質(zhì)性的安全措施，無數(shù)據(jù)源認(rèn)證功能，不能防止偷聽。為此SNMP又增加了報(bào)文摘要算法MD5保證數(shù)據(jù)的完整性和進(jìn)行數(shù)據(jù)源認(rèn)證，以及用時(shí)間戳對報(bào)文排序，采用DES算法提供數(shù)據(jù)加密功能等實(shí)現(xiàn)安全的S-SNMP.在S-SNMP的基礎(chǔ)上開發(fā)出了SNMP的第二版，即SNMPv2.SNMPv2丟掉安全功能，把增加的其他功能作為新標(biāo)準(zhǔn)頒布，并采用SNMPv1的報(bào)文格式，叫做基于團(tuán)體名的SNMP.SNMPv2既可以支持完全集中的網(wǎng)絡(luò)管理，又可以支持分布式網(wǎng)絡(luò)管理。即采用代理方式的管理。
    總體SNMPv2對SNMP增加了以下3個(gè)方面的內(nèi)容：
    管理信息結(jié)構(gòu)的擴(kuò)充
    管理站和管理展示間的通信能力
    新的協(xié)議操作。
    SNMPv2對定義對象類型的紅進(jìn)行了擴(kuò)充，引入了新的數(shù)據(jù)類型，增強(qiáng)了對象的表達(dá)能力；吸收了RMON中有關(guān)表行增加和刪除的約定，提供了更完善的表操作功能；SNMPv2還定義新的MIB組，包含協(xié)議操作的通信消息，以及有關(guān)管理站和代理系統(tǒng)配置的信息；在協(xié)議操作方面引入了兩種PDU，分別用于大數(shù)據(jù)塊的傳送和管理站之間的通訊。
    5.2網(wǎng)絡(luò)安全問題
    1、計(jì)算機(jī)網(wǎng)絡(luò)安全的威脅
    計(jì)算機(jī)網(wǎng)絡(luò)需要以下3個(gè)方面的安全
    保密性：計(jì)算機(jī)中的信息只能由授權(quán)了訪問權(quán)限的用戶讀取
    數(shù)據(jù)完整性：計(jì)算機(jī)中的信息資源只能被授權(quán)用戶修改
    可利用性：具有訪問權(quán)限的用戶在需要時(shí)可以利用計(jì)算機(jī)系統(tǒng)中的信息資源
    中斷：通信被中斷，對可用性威脅
    竊取：未經(jīng)授權(quán)訪問，對保密性威脅
    篡改：未經(jīng)授權(quán)訪問并篡改了信息，對數(shù)據(jù)完整性威脅
    假冒：未經(jīng)授權(quán)加入偽造內(nèi)容，對數(shù)據(jù)完整性威脅
    2、網(wǎng)絡(luò)管理的安全威脅
    3個(gè)方面威脅：
    偽裝的用戶：沒有得到授權(quán)的一般用戶企圖訪問網(wǎng)絡(luò)管理應(yīng)用和管理信息
    假冒管理程序：無關(guān)的計(jì)算機(jī)偽裝成網(wǎng)絡(luò)管理站實(shí)施管理功能
    侵入管理站和代理站之間的信息交換過程：網(wǎng)絡(luò)入侵者通過觀察網(wǎng)絡(luò)活動(dòng)竊取了敏感的管理信息，更嚴(yán)重的危害是可能穿該管理信息或中斷管理站和代理站的通信。
    系統(tǒng)或網(wǎng)絡(luò)的安全設(shè)施由一系列安全服務(wù)和安全機(jī)制的集合組成：
    安全信息的服務(wù)：網(wǎng)絡(luò)管理中的安全管理之保護(hù)管理站和代理之間信息交換的安全。有關(guān)安全的管理對象包括密鑰、認(rèn)證信息、訪問權(quán)限信息以及有關(guān)安全服務(wù)和安全機(jī)制的操作參數(shù)信息。安全管理要跟蹤網(wǎng)絡(luò)活動(dòng)和試圖發(fā)起的網(wǎng)絡(luò)哦活動(dòng)，以便檢測未遂或成功的安全攻擊，并從這一攻擊中恢復(fù)網(wǎng)絡(luò)的正常運(yùn)行。
    安全維護(hù)信息包括：
    n記錄系統(tǒng)中出現(xiàn)的各類事件
    n跟蹤安全審計(jì)試驗(yàn)，自動(dòng)記錄有關(guān)安全的重要事件。
    n報(bào)告和接受侵犯安全的警示信號
    n維護(hù)和檢查那全記錄
    n備份和保護(hù)敏感文件
    n研究每個(gè)正常用戶的活動(dòng)形象，預(yù)先設(shè)定敏感資源的使用形象，以便檢測異常活動(dòng)
    資源的訪問控制：包括認(rèn)證服務(wù)和授權(quán)服務(wù)
    n安全編碼
    n源路由和路由記錄信息
    n路由表
    n目錄表
    n報(bào)警門限
    n記帳信息
    報(bào)文的加密：對管理站和代理之間交換的報(bào)文進(jìn)行加密
    3、安全機(jī)制：
    一般從保密、認(rèn)證、非認(rèn)證和數(shù)據(jù)完整性4方面
    數(shù)據(jù)加密：是防止未經(jīng)授權(quán)的用戶訪問敏感信息的手段。研究數(shù)據(jù)加密的科學(xué)叫密碼學(xué)，它分為設(shè)計(jì)密碼體制的密碼編碼學(xué)和破譯密碼的密碼分析學(xué)。
    認(rèn)證——防止主動(dòng)攻擊的方法
    認(rèn)證分為實(shí)體認(rèn)證和消息認(rèn)證。實(shí)體認(rèn)證是識別通信對方的身份，防止假冒，可以采用數(shù)字簽
    名的方法。消息認(rèn)證是驗(yàn)證消息在傳送或存儲過程中沒有被篡改通常采用消息摘要法。
    n數(shù)字簽名——防止否認(rèn)的方法，基于密鑰的數(shù)字簽名
    n消息摘要——驗(yàn)證消息的完整性，用差錯(cuò)控制，冗余位
    5.3管理信息結(jié)構(gòu)（領(lǐng)會）
    1、對象的定義P131
    2、表的定義、索引和操作P136
    行的生成4步驟P136
    行的掛起：用set命令把狀態(tài)列由active改為notInService
    行的刪除：set命令把狀態(tài)列改為destroy
    4、通告的定義和作用：用于異常條件出現(xiàn)時(shí)SNMPv2實(shí)體發(fā)送的信息。
    5.4管理信息庫（簡單應(yīng)用）
    1、系統(tǒng)組SNMPv2的系統(tǒng)組是MIB-2系統(tǒng)組的擴(kuò)展。之增加了與對象資源（ObjectResource）有關(guān)的一個(gè)標(biāo)量對象sysORLastChange和一個(gè)表對象sysORTable.
    所謂對象資源：是由代理實(shí)體使用和控制的，可以由管理站動(dòng)態(tài)配置的系統(tǒng)資源。
    標(biāo)量對象sysORLastChange記錄著對象資源表中描述對象實(shí)例改變狀態(tài)的時(shí)間。
    2、SNMP組與SNMPv2操作的關(guān)系：這個(gè)組是由MIB-2的對應(yīng)組改造而成，增加了一些新的對象，但新的SNMP組對象少了，他刪除了對排錯(cuò)作用不大的許多變量。
    3、MIB對象組的作用：這個(gè)組的對象與管理對象的控制有關(guān)，分為兩個(gè)子組。的一個(gè)子組snmpTrap由snmpTrapOID和snmpTrapEnterprise組成。前者是正在發(fā)送的陷入或統(tǒng)治的對象標(biāo)識符。后者是正在發(fā)送的陷入有關(guān)的制造商標(biāo)識符。第二個(gè)子組snmpSet只有snmpSerialNo一個(gè)對象，用于解決Set操作中可能出現(xiàn)的問題：一個(gè)管理站向同一MIB對象發(fā)送多個(gè)，需保證順序執(zhí)行；多個(gè)管理站對MIB的并發(fā)操作可能破壞數(shù)據(jù)庫的一致性和精確性。
    5、適應(yīng)性聲明主要內(nèi)容的：適應(yīng)性是對具體實(shí)現(xiàn)的限制，是具體實(shí)現(xiàn)必須達(dá)到的最小級別。說明適應(yīng)性要用到四個(gè)文件：
    OBJECT-GROUP（對象組宏）：一組有關(guān)的對象
    NOTIFICATION-GROUP（通知組宏）一組已經(jīng)實(shí)現(xiàn)的通知
    MODULE-COMPLIANCE（模塊依從性宏）：說明對MIB實(shí)現(xiàn)的最小要求
    AGENT-CAPABILITIES（代理能力宏）：定義了一個(gè)代理系統(tǒng)的能力，及代理對MIB的支持程度。
    6、接口組增加的對象及應(yīng)用
    原來的接口組的功能和不足之處：
    接口編號
    接口子層
    虛電路問題
    不同傳輸特性的接口
    計(jì)數(shù)長度
    接口速度
    組播/廣播分組的計(jì)數(shù)
    ifSpecific問題
    增加了4個(gè)新表：
    接口擴(kuò)展表：各種接口對象
    接口堆棧表：說明接口表中屬于同一物理接口的各個(gè)行之間的關(guān)系，指明哪些子層運(yùn)行于那些子層之上。
    接口測試表：作用是由管理站知識代理系統(tǒng)測試接口故障
    接收地址表：包含每個(gè)接口對應(yīng)的各種地址。
    5.5SNMPv2協(xié)議和操作（簡單應(yīng)用）
    1、SNMPv2提供了3種訪問管理信息的方法
    管理站和代理之間的請求/響應(yīng)通信
    管理站和管理站之間的請求/響應(yīng)通信
    代理系統(tǒng)到管理站的非確認(rèn)通信
    2、SNMPv2報(bào)文結(jié)構(gòu)和交換序列
    SNMPv2報(bào)文的結(jié)構(gòu)分為3部分：版本號、團(tuán)體名和作為數(shù)據(jù)傳送的PDU.SNMPv2版本號為1SNMPv1版本號為0
    SNMPv2發(fā)送序列：
    n根據(jù)協(xié)議需要構(gòu)造PDU
    n把PDU、源和目標(biāo)端口地址以及團(tuán)體名傳送給認(rèn)證服務(wù)，認(rèn)證服務(wù)產(chǎn)生認(rèn)證碼或?qū)ο髷?shù)據(jù)進(jìn)行加密。
    n加入版本號、團(tuán)體名構(gòu)造報(bào)文。
    n進(jìn)行BER編碼，產(chǎn)生0/1比特流，發(fā)送出去
    接收序列
    n對報(bào)文進(jìn)行語法檢查，丟棄出錯(cuò)報(bào)文
    n把PDU部分、源和目標(biāo)端口教給認(rèn)證服務(wù)。如果失效，發(fā)送一個(gè)陷入，丟棄報(bào)文。
    n認(rèn)證通過，把PDU轉(zhuǎn)換成asn.1的形式
    n協(xié)議實(shí)體對PDU作句法檢查，如果通過，根據(jù)團(tuán)體名和適當(dāng)?shù)脑L問策略作相應(yīng)的處理。
    3、SNMPv2PDU格式功能和操作P152：
    6種協(xié)議數(shù)據(jù)單元，3種格式。
    GetRequest，GetNextRequest，SetRequest，InformRequest和TrapPDU
    PDU類型請求標(biāo)識00變量綁定表
    ResponsePDU
    PDU類型請求標(biāo)識錯(cuò)誤狀態(tài)錯(cuò)誤索引變量綁定表
    GetBulkRequestPDU
    PDU類型請求標(biāo)識非重復(fù)數(shù)N后繼數(shù)變量綁定表
    變量綁定表
    變量名1值1變量名2值2
    GetRequest：SNMPv2對這種操作的響應(yīng)方式與SNMPv1不同。SNMPv1響應(yīng)是原子性的，即只要有一個(gè)變量檢索不到，就不返回任何值。SNMPv2不是原子性，允許部分響應(yīng)。規(guī)則如下：
    如果改變量的對象標(biāo)識符前綴不能與這一請求可訪問的任何變量的對象標(biāo)識符匹配，返回錯(cuò)誤值noSuchObject.
    如果變量名不能與這一請求可訪問的任何變量名完全匹配，則返回一個(gè)錯(cuò)誤值noSuchInstance.
    不屬于以上情況，在變量綁定表中返回被訪問的值。
    其他原因?qū)е绿幚硎。祷劐e(cuò)誤狀態(tài)genErr.
    如果生成的響應(yīng)PDU過大，則放棄這個(gè)PDU，構(gòu)造新的相應(yīng)PDU，錯(cuò)誤狀態(tài)tooBig
    GetNextRequestPDU的響應(yīng)：
    對變量綁定表中指定的變量在MIB中查找按字典順序的后繼變量，如果找到，返回改變量的名字和值。
    如果找不到字典順序的后繼變量，返回endOfMibView.
    其他情況導(dǎo)致相應(yīng)PDU構(gòu)造失敗，以與GetRequest類似的方式返回錯(cuò)誤值
    GetBulkRequestPDU：是SNMPv2對原標(biāo)準(zhǔn)的主要增強(qiáng)，目的是以最少的交換次數(shù)檢索大量的管理信息，或者要求管理站盡可能大的響應(yīng)報(bào)文。原理與GetNextRequestPDU的響應(yīng)
    例題：P155
    GetRequestPDU：的請求與SNMPv1相同，具有原子性。差別是處理相應(yīng)的方式不同。分兩個(gè)階段處理這個(gè)請求：檢驗(yàn)操作的合法性；更新變量。檢驗(yàn)合法性包括：
    如果有一個(gè)變量不可訪問，返回noAccess
    如果與綁定表中變臉共享對象標(biāo)識符的任MIB變量多不能生成、不能修改。也不解后制定的值，返回錯(cuò)誤狀態(tài)notWritable
    設(shè)置類型不是和，WrongType
    設(shè)置值的長度限制不同，WrongLength
    要設(shè)置的ASN.1編碼不是合變量的ASN.1標(biāo)簽，wrongEncoding
    指定值在任何情況下都不能賦予變量，wrongvalue
    變量不存在，也不能生成，noCreation
    變量存在，當(dāng)前情況不能生成，inconsistaneName
    變量存在，但不能修改，notWritable
    當(dāng)前情況下不能為變量賦與制定的值，inconsistanevalue
    缺乏資源，resourceUnavailable
    其他原因?qū)е绿幚碜兞拷壎▽κ。琯enErr
    TrapPDU：陷入是代理發(fā)給管理站的非確認(rèn)信息，包含sysUpTime.0（發(fā)出陷入時(shí)間），snmpTrapOID.0（陷入對象標(biāo)識符），有關(guān)通知宏定義中的各變量名及其值，代理系統(tǒng)選擇的其它變量的值。
    InformRequestPDU：管理站發(fā)給代理站的消息
    4、SNMPv2操作管理：
    SNMPv2的操作管理框架主要涉及4個(gè)基本概念：參加者、上下文、MIB視圖、訪問控制策略。
    5、SNMPv2實(shí)體：所謂實(shí)體就是執(zhí)行網(wǎng)絡(luò)管理操作的多線程進(jìn)程。
    6、SNMPv2上下文：SNMPv2實(shí)體可以訪問的管理對象的資源的集合，分為本地上下文和遠(yuǎn)程上下文。
    7、本地上下文是本地MIB對象的一個(gè)子集，也叫做MIB視閾
    8、訪問控制策略：SNMPv2實(shí)體發(fā)送一個(gè)PDU后首先檢查協(xié)議操作的合法性，及雙方參加者、操作的上下文是否有效，指定的操作是否允許等。
    9、SNMPv2的發(fā)送和接收P161、P162
    10、管理站之間的通信：SNMPv2增加管理站之間的通信機(jī)制是分布式網(wǎng)絡(luò)管理所需要的功能特征。為此引入了通知報(bào)文InformRequest和管理站數(shù)據(jù)庫（manger-to-mangerMIB）。
    管理站數(shù)據(jù)庫有3個(gè)表組成：
    snmpAlarmTable：報(bào)警表提供被監(jiān)視的變量的有關(guān)情況。
    snmpEventNotifyTable：事件表記錄SNMPv2實(shí)體產(chǎn)生的重要事件，或者是報(bào)警事件、或者是通知類型宏定義事件。
    snmpEventNotifyTable：事件通知表定義了發(fā)送通知的目標(biāo)和類型。
    5.6SNMPv2的實(shí)現(xiàn)
    1、可利用的各種傳輸服務(wù)：
    a）UDP：用戶數(shù)據(jù)報(bào)協(xié)議
    b）CLNS：OSI面線非連接的傳輸服務(wù)
    c）CONS：OSI面線連接的傳輸服務(wù)
    d）DDP：AppleTalk的DDP傳輸服務(wù)
    e）IPX：Novell公司的網(wǎng)間網(wǎng)分組交換協(xié)議
    2、與OSI的兼容性：使用RFC1006在TCP/IP網(wǎng)絡(luò)之上模擬ISO的TP0傳輸服務(wù)。通過RFC1006，OSI的電子郵件、系統(tǒng)管理等應(yīng)用程序都可以運(yùn)行在TCP/IP網(wǎng)絡(luò)上。TP0是最簡單的面向連接的傳輸協(xié)議，只提供連接的建立和釋放，不支持錯(cuò)誤檢測，也不支持QoS.RFC1006對TP0有所增強(qiáng)，主要是在連接建立階段交換少量數(shù)據(jù)，支持加急投送服務(wù)，特長協(xié)議數(shù)據(jù)單元。
    3、在TCP/IP網(wǎng)絡(luò)中實(shí)現(xiàn)OSI系統(tǒng)管理功能的方法：SNMP的管理信息庫MIB主要是根據(jù)協(xié)議分組的，并沒有按照OSI的系統(tǒng)管理功能域分類。
    4、SNMP的局限性：
    沒有按OSII系統(tǒng)管理功能域分類
    管理對象功能方面并沒有統(tǒng)一的分類標(biāo)準(zhǔn)。
    MIB對象駐在各種代理系統(tǒng)中，如何合理地分布各種管理對象。
    不是每個(gè)代理實(shí)現(xiàn)所有的MIB對象