SNMP管理框架及其在Cisco路由器的实现
外开销的上升。
管理员在选择Trap或Inform通知形式时需要根据可靠性要求和系统资源状况统筹考虑:如果SNMP管理者需要确保收到每条通知,应该采用Inform通知方式;如果更关心减少网络流量和网络设备的资源消耗且并不需要每条通知都需要接收,则应该采用Trap通知方式。
MIB和RFC
MIB模块通常在提交给IETF的RFC(Requests for Comments,征求意见)文档中定义。由互联网团体中个人或组织撰写的RFC文档主要目的是起草一个推荐的互联网标准(Internet Standard)。在确定每个RFC文档地位前,文档会以互联网草案(Internet Draft,I-D)形式先行发表。如果RFC文档最终被批准为推荐标准,则此文档将被标注为标准(STD)文档。个人可以通过访问IETF组织的官方网站http://www.ietf.org 来了解其标准制定流程和当前的工作进度,也可以在网站中查寻所有RFC文档,I-D文档和STD文档的全文。
Cisco公司在其路由器SNMP协议实现中支持定义在STD17/RFC1213文档中的MIB-II变量组和定义在RFC1215文档中的SNMP Trap功能。
除了支持标准MIB模块外,Cisco公司还在其路由器中提供了私有MIB扩展。Cisco企业私有MIB(Enterprise MIB)模块符合相关RFC文档中定义的规范。用户可以在下列网址中查找到所有Cisco设备支持的私有MIB模块的定义和每种Cisco设备平台支持的MIB清单。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
SNMP版本
Cisco IOS支持SNMP协议的下列版本:
SNMPv1 ?C 简单网络管理协议:一个完全的互联网标准,定义在STD15/RFC1157(RFC1157文档替代了早期的RFC1098和RFC1067文档)和STD16/RFC1155,RFC1212文档中。安全机制采用基于团体字符串(Community String)认证方式。
SNMPv2c ?C 基于团体字符串认证管理框架的简单网络管理协议版本2。SNMPv2c(c代表Community)是一个互联网实验标准,具体技术规范定义在RFC1901,RFC1905和RFC1906文档。SNMPv2c在SNMPv2p(SNMPv2 Classic)基础上定义了协议操作和数据类型的更新,安全机制延续了SNMPv1的基于团体字符串认证方式。
SNMPv3 ?C 简单网络管理协议版本3,2002年3月被IESG(Internet Engineering Steering Group)批准为完全的互联网标准。SNMPv3是一个具有互操作性的标准协议,核心规范定义在STD62/RFC3411到RFC3418文档中。SNMPv3提供了设备安全访问机制,是由认证和网络传输中数据包加密的组合方式实现的。
SNMPv3提供的安全特性包括:
报文完整性 ?C 确保数据包在传输过程中没有被篡改
认证 ?C 确定报文是由正确信息源发送来的
加密 ?C 对报文内容进行加密,防止其被未经授权的读取
SNMPv1和SNMPv2c都利用了基于“团体(Community)”形式的安全认证机制。能够访问SNMP代理MIB数据的管理者“团体”通过一个IP地址访问控制列表和口令进行定义。
SNMPv2c还增加了对大批量数据读取机制的支持和向管理工作站更加详细的错误消息汇报机制。支持对大批量数据的读取机制能够用来对整个MIB数据表格和大量的信息进行快速读取,减少请求/应答的往复数量。SNMPv2c增强的错误处理机制包括扩展的错误代码,用于区别不同的错误状况。错误返回代码现在将包括错误类型。
SNMPv3重点强调增强协议的安全认证/加密,授权/访问控制以及远程配置管理等功能,而在其它方面沿用了部分SNMPv2原有的技术规范。
SNMPv3提供了一个安全模型。这个安全模型中可以为用户/用户组定义不同的安全认证策略;而安全级别是指SNMPv3安全模型中被允许的安全等级。安全模型和安全等级的组合将会决定在处理一个SNMP数据包时采用的安全机制。下表列出了在SNMPv3中可以定义的安全级别。
SNMP安全模型和级别
管理员在选择Trap或Inform通知形式时需要根据可靠性要求和系统资源状况统筹考虑:如果SNMP管理者需要确保收到每条通知,应该采用Inform通知方式;如果更关心减少网络流量和网络设备的资源消耗且并不需要每条通知都需要接收,则应该采用Trap通知方式。
MIB和RFC
MIB模块通常在提交给IETF的RFC(Requests for Comments,征求意见)文档中定义。由互联网团体中个人或组织撰写的RFC文档主要目的是起草一个推荐的互联网标准(Internet Standard)。在确定每个RFC文档地位前,文档会以互联网草案(Internet Draft,I-D)形式先行发表。如果RFC文档最终被批准为推荐标准,则此文档将被标注为标准(STD)文档。个人可以通过访问IETF组织的官方网站http://www.ietf.org 来了解其标准制定流程和当前的工作进度,也可以在网站中查寻所有RFC文档,I-D文档和STD文档的全文。
Cisco公司在其路由器SNMP协议实现中支持定义在STD17/RFC1213文档中的MIB-II变量组和定义在RFC1215文档中的SNMP Trap功能。
除了支持标准MIB模块外,Cisco公司还在其路由器中提供了私有MIB扩展。Cisco企业私有MIB(Enterprise MIB)模块符合相关RFC文档中定义的规范。用户可以在下列网址中查找到所有Cisco设备支持的私有MIB模块的定义和每种Cisco设备平台支持的MIB清单。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml
SNMP版本
Cisco IOS支持SNMP协议的下列版本:
SNMPv1 ?C 简单网络管理协议:一个完全的互联网标准,定义在STD15/RFC1157(RFC1157文档替代了早期的RFC1098和RFC1067文档)和STD16/RFC1155,RFC1212文档中。安全机制采用基于团体字符串(Community String)认证方式。
SNMPv2c ?C 基于团体字符串认证管理框架的简单网络管理协议版本2。SNMPv2c(c代表Community)是一个互联网实验标准,具体技术规范定义在RFC1901,RFC1905和RFC1906文档。SNMPv2c在SNMPv2p(SNMPv2 Classic)基础上定义了协议操作和数据类型的更新,安全机制延续了SNMPv1的基于团体字符串认证方式。
SNMPv3 ?C 简单网络管理协议版本3,2002年3月被IESG(Internet Engineering Steering Group)批准为完全的互联网标准。SNMPv3是一个具有互操作性的标准协议,核心规范定义在STD62/RFC3411到RFC3418文档中。SNMPv3提供了设备安全访问机制,是由认证和网络传输中数据包加密的组合方式实现的。
SNMPv3提供的安全特性包括:
报文完整性 ?C 确保数据包在传输过程中没有被篡改
认证 ?C 确定报文是由正确信息源发送来的
加密 ?C 对报文内容进行加密,防止其被未经授权的读取
SNMPv1和SNMPv2c都利用了基于“团体(Community)”形式的安全认证机制。能够访问SNMP代理MIB数据的管理者“团体”通过一个IP地址访问控制列表和口令进行定义。
SNMPv2c还增加了对大批量数据读取机制的支持和向管理工作站更加详细的错误消息汇报机制。支持对大批量数据的读取机制能够用来对整个MIB数据表格和大量的信息进行快速读取,减少请求/应答的往复数量。SNMPv2c增强的错误处理机制包括扩展的错误代码,用于区别不同的错误状况。错误返回代码现在将包括错误类型。
SNMPv3重点强调增强协议的安全认证/加密,授权/访问控制以及远程配置管理等功能,而在其它方面沿用了部分SNMPv2原有的技术规范。
SNMPv3提供了一个安全模型。这个安全模型中可以为用户/用户组定义不同的安全认证策略;而安全级别是指SNMPv3安全模型中被允许的安全等级。安全模型和安全等级的组合将会决定在处理一个SNMP数据包时采用的安全机制。下表列出了在SNMPv3中可以定义的安全级别。
SNMP安全模型和级别
天下网吧·网吧天下
闽公网安备35010202000238号