Download
1 / 46
460 likes | 579 Views
安全网管技术. 张焕杰 中国科学技术大学网络信息中心 james@ustc.edu.cn http://202.38.64.40/~james/nms Tel: 3601897(O). 第3章 网络管理系统及 SNMP 协议(2). 本章主要内容 网络管理概述 TCP/IP 网络管理体系结构 SNMP 网络管理协议 管理信息库( MIB). 网络管理概述. SNMP 已经成为网络管理事实上的工业标准 网络管理系统的功能特点 网络拓扑结构管理 智能监控 灵活性 多厂商集成 存取控制 用户友好 编程接口 报告生成. 网络管理的意义.
E N D
安全网管技术 张焕杰 中国科学技术大学网络信息中心 james@ustc.edu.cn http://202.38.64.40/~james/nms Tel: 3601897(O)
第3章 网络管理系统及SNMP协议(2) • 本章主要内容 • 网络管理概述 • TCP/IP网络管理体系结构 • SNMP网络管理协议 • 管理信息库(MIB)
网络管理概述 • SNMP已经成为网络管理事实上的工业标准 • 网络管理系统的功能特点 • 网络拓扑结构管理 • 智能监控 • 灵活性 • 多厂商集成 • 存取控制 • 用户友好 • 编程接口 • 报告生成
网络管理的意义 • 网络管理系统能给网络管理员提供良好的信息来源,减少网络故障,缩短网络失效时间,最大程度发挥网络的作用。
网络管理功能模型 • 网络管理的五大功能: • 故障管理 • 计费管理 • 配置管理 • 性能管理 • 安全管理 • 实际一个网络管理系统仅仅实现部分功能
信息模型 • 实现被管虚拟资源、软件及物理设备的逻辑表示。 • 多采用面向对象的方法定义网络管理信息。 • SNMP中,网络管理信息是面向属性的,更注重简单性和可扩展性。采用ISO的抽象语法表示语言(ASN.1)表示。
组织模型 • 包括管理者、代理者的概念,管理实体间的通信方法。
代理 代理 代理 管理信息库 管理信息库 管理信息库 网络管理系统 管理者 被管设备 典型网络管理体系结构组织模型
SNMP支持的操作 • SNMP定义了5种PDU • GetRequest-PDU(NMS发送) • GetNextRequest-PDU (NMS发送) • GetResponse-PDU(被管代理发送) • SetRequest-PDU (NMS发送) • Trap-PDU(被管代理发送)
对象语法 • 定义对象的结构 • ASN.1定义了四种基本对象语法类型: • INTEGER 整数(ASN.1不限制,但是MIB定义为0-4G) • OCTET STRING 字符串 • OBJECT IDENTIFIER 对象标示符 • NULL
对象语法(2) • 支持应用语法类型(Application-wide syntax type)定义 • IPADDRESS 长度为4的OCTET STRING • COUNTER 计数器,非负INTEGER • GAUGE 累加器,非负INTEGER • TIMETICKS 厘秒计时器,非负INTEGER
对象语法(3) • 构造语法类型 • SEQUENCE (序列) • SEQUENCE { <type1>, <type2>, … <typeN>} • <type?>为4种基本类型 • 类似于高级语言中的结构 • SEQUENCE OF (同类序列) • SEQUENCE OF <entry> • 类似于高级语言中的数组
atTable OBJECT-TYPE • SYNTAX SEQUENCE OF AtEntry • ACCESS not-accessible • ::= { at 1 } • atEntry OBJECT-TYPE • SYNTAX AtEntry • ACCESS not-accessible • INDEX { atIfIndex, atNetAddress } • ::= { atTable 1 } • AtEntry ::= SEQUENCE { • atIfIndex INTEGER, • atPhysAddress PhysAddress, • atNetAddress NetworkAddress • }
atIfIndex OBJECT-TYPE • SYNTAX INTEGER • ACCESS read-write • ::= { atEntry 1 } • atPhysAddress OBJECT-TYPE • SYNTAX PhysAddress • ACCESS read-write • ::= { atEntry 2 } • atNetAddress OBJECT-TYPE • SYNTAX NetworkAddress • ACCESS read-write • ::= { atEntry 3 }
表格访问的例子 • At.attable • Interfaces.iftable • ip.ipAddrTable • ip.ipRouteTable
SNMP MIB对象实例标识 • 对象实例标识符是对象所属对象类的对象标识符加上实例标识符构成。 • 如SysDescr对象标识符为1.3.6.1.2.1.1.1,设备的系统描述只有一个,实例标识符为0,因此设备的系统描述对象实例标识符为1.3.6.1.2.1.1.1.0
基本编码规则(BER) • Basic Encoding Rules • 传送过程中的内容表示方法 • ITU-T X.690
基本编码规则 • 每个BER编码有3个字段:Tag,Length,Value • Tag:标签字段,定义了编码格式信息 • Length定义数值的长度(按照8bit位组计) • Value定义实际的数值 • 每个字段8bit对齐,自我定界
基本编码规则 • 基本类型和结构型 • 基本型 • 结构型
基本编码规则: Length • 短格式 • 长度为(0-127) • 长格式 • 长度>128 • 不确定格式 • 用开始符和结束符表示
短格式 • 占用一个8bit • 最高bit为0 • 表示长度0-127
长格式 • 占用若干个8bit • 第一个8bit组的最高bit为1 • 第一个8bit组的后7bit为长度K • 紧接的K个8bit组表示长度 • 如201被编码成 • 10000001 11001001
不确定格式 • 用开始和结束符来表明 TLV 序列的开始和结束 • 开始符为 10000000 • 结束符为 00000000 • 开始结束符之间为若干个TLV 三元组
整数的表示 • 找出整数的非零bit的字节 • 变长的,跟整数的大小有关 • 如131,只要表示为00000001 00000011(128+3),前面的0可以忽略
对象标示符的表示 • 前面2个数字 • a.b.*.* • 第一个字节为a*40+b • 如1.3 表示为1*40+3=43 = 0x2b • 后面的数字 • 如果<=127,直接表示 • 1.3.6.1 表示为 0x2b 0x06 0x01
对象标示符>127的表示 • 扩展表示 • 每个字节中使用其中的7个比特 • 最高bit为1表示是扩展表示 • 最高bit为0表示是扩展表示结束 • 如 909904 • 110111 1000100 1010000 • 10110111 11000100 01010000
对象标示符的表示 • 10.909904.3 • 01010. 0110111 1000100 1010000. 011 • 00001010 10110111 11000100 01010000 00000011
SNMP消息 • SEQUENCE { version INTERGER (0); community OCTET STRING; data ANY ; --PDU 数据 } PDU类型 GetRequest A0 GetNextRequest A1 GetResponse A2 SetRequest A3 Trap A4
SNMP消息 Get 1.3.6.1.2.1.1.1.0 sys.sysDescr.0 发送如下字节到udp 161端口 30 26 02 01 00 04 06 70 75 62 6C 69 63 A0 19 02 01 9D 02 01 00 02 01 00 30 0E 30 0C 06 08 2B 06 01 02 01 01 01 00 05 00
含义 30 26 02 01 00 sequence len (38字节) integer len vers(1) 04 06 70 75 62 6C 69 63 string len p u b l i c A0 19 GetRequest len(25bytes)
含义 02 01 00 02 01 00 integer len status integer len error-index 30 0E 30 0C sequence len(14bytes) sequence len(12bytes)
含义 06 08 objectid len(8bytes) 2B 06 01 02 01 01 01 00 05 00 1.3.6 .1 .2 .1 .1 .1 .0 NULL 0
MIB对象 • SystemGroup • SysDescr:系统描述 • SysObject ID: 标识一个设备 • SysUptime:系统已经运行的时间 • SysContact:管理者联系人 • SysName: • SysLocation:物理安装地点 • SysServices:说明设备服务的ISO层次 00000110表示设备服务在第2和3层
MIB对象 • InterfaceGroup • ifDescr:接口描述 • ifType:接口类型 • ifMTU: • ifSpee:接口速率 单位bps • ifPhysAddress:接口物理地址 • ifAdminStatus:接口管理状态 1up, 2down, 3test • ifOperStatus:接口实际状态 1up, 2down, 3test • ifLastChange:接口进入运行状态时的sysuptime
MIB对象 • InterfaceGroup • ifInOctes:接收字节数 • ifInUcastPkts:接收单播数据包数 • ifInNUcastPkts:接收非单播数据包数 • ifInDiscards:接收时丢弃的数据包数 • ifInErrors:接收时错误的数据包数 • ifInUnknownProtos:接收的未知协议数据包数
MIB对象 • Total Input Packts = ifInUcastPkts + ifInNNucastPkts • Percent Input Errors= ifInErrors/TotalInputPackts • Percent Input Discards= ifInDiscards/TotalInputPackts
MIB对象 • IP Group • ipForwarding:设备是否转发数据包1是, 2否 • ipInreceives:接收的IP包数量 • ipInHdrErrors:接收头出错的包数量 • ipInAddrErrors:接收地址出错的包数量 • ipForwDatagrams:转发的IP包数量 • ipInUnknownProtos:未知协议 • ipInDiscards:丢弃的包数量 • Percent IP Input Errors=(Disards+HdrErrors+AddrErros)/Inreceives
MIB对象 • ipInDelivers:交给设备高层处理的包数量 • ipOutRequests:设备高层发出的包数量 • ipOutNoRoutes:无法找到路由丢弃的包 • ipAddressTable设备接口IP地址表 • ipRoutingTable路由表
MIB对象 • ICMP组 • icmpInMsgs/icmpOutMsgs • icmpInErros/icmpOutErrors • SNMP组
总结 网络管理系统 • 网络管理概述 • TCP/IP网络管理体系结构 • SNMP网络管理协议 • 管理信息库(MIB)
实验 • Linux下的ucd-snmp • http://net-snmp.sourceforge.net/ 202.38.96.184 public
