自考“計算機網(wǎng)絡管理”知識重點(5)

  • 發(fā)布時間:2024-09-15 16:21:23
  • 來源:本站整理
  • 閱讀:
導讀:
  第五章簡單網(wǎng)絡管理協(xié)議 SNMPv2
  考試要求
  1.SNMP的演變,要求達到識記層次
  SNMP的演變過程
  2.網(wǎng)絡安全問題,要求達到領會層次
  計算機網(wǎng)絡的安全威脅
  網(wǎng)絡管理中的安全問題
  網(wǎng)絡中的安全機制:數(shù)據(jù)加密技術、數(shù)據(jù)完整性和數(shù)據(jù)源認證技術
  3.管理信息結(jié)構(gòu),要求達到領會層次
  對象的定

網(wǎng)絡管理中的安全問題

網(wǎng)絡中的安全機制:數(shù)據(jù)加密技術、數(shù)據(jù)完整性和數(shù)據(jù)源認證技術

3.管理信息結(jié)構(gòu),要求達到領會層次

對象的定義

表的定義、索引和操作

通告的定義和作用

4.管理信息庫,要求達到簡單應用層次

System組增加的新對象

SNMP組對象與SNMPv2操作的關系

MIB對象組的作用

一致性聲明的主要內(nèi)容

接口組增加的對象及應用

5.SNMPv2的操作,要求達到簡單應用層次

SNMPv2的報文結(jié)構(gòu)和交換序列

SNMPv2協(xié)議數(shù)據(jù)單元的功能和操作

SNMPv2管理站之間的通信機制

6.SNMPv2的實現(xiàn),要求達到領會層次

可利用的種種傳輸服務

SNMPv2與OSI的兼容性

在 TCP/IP網(wǎng)絡中實現(xiàn)OSI系統(tǒng)管理功能的方法

SNMP的局限性

知識重點

(一) SNMP的演變

1.SNMP的發(fā)展

當初提出 SNMP 的目的識作為彌補網(wǎng)絡管理協(xié)議發(fā)展階段之間空缺的一種臨時性措施。 SNMP 出現(xiàn)后顯示了許多優(yōu)點。最主要的優(yōu)點是:簡單、容易實現(xiàn),而且是基于人們熟悉的 SGMP ( Simple Gateway Monitoring Protocol )協(xié)議,已有相當多的操作經(jīng)驗。在 1998 年,為了適應當時緊迫的網(wǎng)絡管理需要,確定了網(wǎng)絡管理標準開發(fā)的雙軌制策略。

?SNMP可以滿足當前的網(wǎng)絡管理需要,用語管理配置簡單的網(wǎng)絡,并且在將來以平穩(wěn)地過度到新地網(wǎng)絡管理標準。

?OSI網(wǎng)絡管理(即CMOT)作為長期地解決辦法,可以應付未來更復雜地網(wǎng)絡的配置,提供更全面的管理功能。但是需要較長的開發(fā)過程,以及開發(fā)商和用戶接受的過程。

為了修補SNMP的安全缺陷,1992年7月出現(xiàn)了一個新標準——安全SNMP(S-SNMP),這個協(xié)議增強了安全方面的功能:

。用報文摘要算法 MD5保證數(shù)據(jù)完整性和進行數(shù)據(jù)源認證。

。用時間戳對報文排序。

。用 DES算法提供數(shù)據(jù)加密功能。

但是,S-SNMP沒有改進SNMP在功能和效率方面的其他缺點。幾乎與此同時,有任又提出了另外一個協(xié)議SMP(Simple Management Protocol),這個協(xié)議由8個文件組成(非RFC),它對SNMP的擴充表現(xiàn)在下列方面:

。適用范圍: SMP可以管理任意資源,不僅是網(wǎng)絡資源,還可用于應用管理,系統(tǒng)管理??蓪崿F(xiàn)管理站之間的通信,也提供了更明確更靈活的描述框架,可以描述一致性要求和實現(xiàn)能力。在SMP中管理信息的擴展性得到了增強。

。復雜程度、速度和效率:保持了 SNMP的簡單性,更容易實現(xiàn),并提供了數(shù)據(jù)塊傳送能力,因而速度和效率更高。

。安全設施:結(jié)合了 S-SNMP提供的安全功能。

。兼容性:可以運行在 TCP/IP網(wǎng)絡上,也適合OSI系統(tǒng)和運行其他通信協(xié)議的網(wǎng)絡。

在對 S-SNMP和SMP討論的過程中,Internet研究人員達成了如下的共識:必須擴展SNMP的功能,并增強其安全設施,使用戶和制造商盡快地從原來的SNMP過渡到第二代SNMP,于是S-SNMP被放棄,決定以SMP為基礎開發(fā)SNMP第二版,即SNMPv2.IETF組織了兩個工作組。一個負責協(xié)議功能和管理信息庫的擴展,另一個負責SNMP的安全方面,1992年10月正式開始工作。這兩個組的工作進展非常之快,功能組的工作在1992年12月完成,安全組在1993年完成。后來又經(jīng)過幾年的實驗和論證,新的RFC文件集合在1996年完成。然而就在新的RFC文件發(fā)布時有人發(fā)現(xiàn)安全方面存在重要缺陷,而改進安全設施的工作又遲遲沒有進展。后來決定丟掉安全功能,把增加的其他功能作為新標準頒布,并保留了SNMPv1的報文封裝格式,因而叫做基于團體名的SNMP(Community-base SNMP),簡稱SNMPv2C.

(二)網(wǎng)絡安全問題

1.計算機網(wǎng)絡的安全威脅

為了理解對計算機網(wǎng)絡的安全威脅,我們首先定義安全需求。計算機和網(wǎng)絡需要以下 3 方面的安全性:

。保密性( secrecy):計算機中的信息只能由授予訪問權限的用戶讀取(包括顯示、打印等,也包含暴露信息存在的事實)。

。數(shù)據(jù)完整性( integrity):計算機系統(tǒng)中的信息資源只能被授予權限的用戶修改。

??衫眯裕?availability):具有訪問權限的用戶在需要時可以利用計算機系統(tǒng)中的信息資源。

2.網(wǎng)絡管理中的安全問題

由于網(wǎng)絡管理時分布在網(wǎng)絡商的應用程序和數(shù)據(jù)庫的集合,各種安全威脅都可能影響網(wǎng)絡管理系統(tǒng),造成管理系統(tǒng)失效或發(fā)出了錯誤的管理指令,破壞了計算機網(wǎng)絡的正常運行。對于網(wǎng)絡管理特別有 3 個安全方面的威脅值得提出:

。偽裝的用戶:沒有得到授權的一般用戶企圖訪問網(wǎng)絡管理應用和管理信息。

。假冒的管理程序:無關的計算機系統(tǒng)可能偽裝成網(wǎng)絡管理站實施管理功能。

。侵入管理站和代理之間的信息交換過程:網(wǎng)絡入侵者通過觀察網(wǎng)絡活動竊取了敏感的管理信息,更嚴重的危害時可能篡改管理信息,或中斷管理站和代理之間的通信。

系統(tǒng)或網(wǎng)絡的安全設施由一系列安全服務和安全機制的集合組成。

3. 安全機制

數(shù)據(jù)加密時防止未經(jīng)授權的用戶訪問敏感信息的手段,這就是人們通常理解的安全措施,也是其他安全方法的基礎。研究數(shù)據(jù)加密的科學叫做密碼學( Cryptography ),它又分為設計密碼體制的密碼編碼學和破譯密碼的密碼分析學。密碼學有著悠久而光輝的歷史,古代的軍事家已經(jīng)用密碼傳遞軍事情報了,而現(xiàn)代計算機的應用和計算機科學的發(fā)展又為這一古老的科學注入了新的活力?,F(xiàn)代密碼學是經(jīng)典密碼學的進一步發(fā)展和完善。由于加密和解密此消彼長的斗爭永遠不會停止,這門科學還在迅速發(fā)展之中。

認證——防止主動攻擊的方法

認證又分為實體認證和消息認證兩種。實體認證是識別通信雙方的身份,防止假冒,可以使用數(shù)字簽名的方法。消息認證是驗證消息在傳遞或存儲過程中沒有被篡改,通常使用消息摘要的方法。

數(shù)字簽名——防止否認的方法

與人們手寫簽名作用一樣,數(shù)字簽名系統(tǒng)向通信雙方提供服務,使得 A 向 B 發(fā)送簽名的消息 P ,以便

I. B 可以驗證消息 P 確實來源于 A

II. A 以后步能否認發(fā)送過

III. B 不能編造或改變消息 P

(三)管理信息結(jié)構(gòu)

SNMPv2 的管理信息結(jié)構(gòu)是在總結(jié) SNMP 應用經(jīng)驗的基礎上對 SNMPv1 SMI 進行了擴充,提供了更精致更嚴格的規(guī)范,規(guī)定了新的管理對象和 MIB 的文檔,可以說是 SNMPv1 SMI 的超集。 SNMPv2 SMI 引入了 4 個關鍵的概念。

。對象的定義

。概念表

。通知的定義

。信息模塊

(四)管理信息庫

SNMPv2 MIB 擴展和細化了 MIB-2 中定義的管理對象,又增加了新的管理對象。

I.系統(tǒng)組

II.SNMP 組

III.MIB 組

IV.適合性聲明

V.接口組

(五)SNMPv2協(xié)議和操作

SNMPv2提供了3種訪問管理信息的方法:

。管理站和代理之間的請求 /響應通信,這種方法與SNMPv1是一樣的。

。管理站和管理站之間的請求 /響應通信,這種方法是SNMPv2特有的,可以由一個管理站把有關管理信息告訴另外一個管理站。

。代理系統(tǒng)到管理站的非確認通訊,即由代理向管理站發(fā)送陷入報文,報告出現(xiàn)的異常情況。 SNMPv2中也有對應的通信方式。

(六)SNMPv2的實現(xiàn)

1.傳輸層映像

SNMP是應用層協(xié)議,通過傳輸層服務訪問通信網(wǎng)絡。SNMPv2規(guī)范定義了可以使用5種傳輸層服務,這5種傳輸層映射是:

。 UDP:用戶數(shù)據(jù)報協(xié)議;

。 CLNS:OSI無連接的傳輸服務;

。 CONS:OSI面向連接的傳輸服務;

。 DDP:AppleTalk的DDP傳輸服務;

。 IPX:Novell公司的網(wǎng)間分組交換協(xié)議。

2.與 OSI的兼容性

為發(fā)使 SNMPv2能與OSI系統(tǒng)互操作,可以使用RFC1006在TCP/IP網(wǎng)絡之上的模擬ISO的TPO傳輸服務,通過RFC1006,OSI的電子郵件、系統(tǒng)管理等應用程序都可以通過運行在TCP/IP失望落上。RFC1006提供的TPO使最簡單的面向連接的傳輸協(xié)議,只提供連接的佳麗和釋放等基本操作,不支持錯誤檢測,也不支持傳輸服務Qos.RFC1006對TPO也有所增強,主要是在連接建立階段可以交換少量數(shù)據(jù),支持加急投送服務,支持特長協(xié)議數(shù)據(jù)單元(默認為65531)等。

3.TCP/IP網(wǎng)絡的系統(tǒng)管理

SNMP 的管理信息庫 MIB 主要是根據(jù)協(xié)議分組的,并沒有按照 OSI 的系統(tǒng)掛零你功能域分類。雖然實現(xiàn) SNMP 協(xié)議的網(wǎng)絡管理產(chǎn)品都有自己的使用方法,但是在應用管理對象功能方面并沒有統(tǒng)一的分類標準。

MIB 對象駐在各種代理系統(tǒng)中,這些對象中的數(shù)據(jù)應報告給有關信息的系統(tǒng)管理功能實體,同時協(xié)議或設備專用的管理信息也應該歸屬于相應的系統(tǒng)管理功能域。如何合理地分布各種管理對象,以有利于系統(tǒng)管理功能的實現(xiàn),是設計網(wǎng)絡管理應用時值得認真決策的重要問題。

一般來說,不是每個代理都要實現(xiàn)所有的 MIB 對象,但是各種聯(lián)網(wǎng)設備中的代理程序應該提出這種設備需要的管理對象,例如路由器專用的管理信息庫。委托代理是一種十分靈活的管理機制,如果可能,以委托代理實現(xiàn)專用網(wǎng)絡設備的管理信息收集和系統(tǒng)管理功能應該是最好的選擇。

相關閱讀