《精通SNMP》——第1章 SNMP基礎1.1 網絡管理和SNMP

本節書摘來自異步社群《精通snmp》一書中的第1章，第1.1節,作者： 武孟軍 更多章節内容可以通路雲栖社群“異步社群”公衆号檢視。

snmp是英文simple network management protocol（簡單網絡管理協定）的縮寫。從狹義上講，它是一種專門用于網絡管理軟體和網絡裝置之間通信的協定；從廣義上講，它是一組為實作網絡的自動化管理任務而制訂的一系列通行标準，包括了管理資訊的表示與命名、通信協定等内容。

snmp最早是internet工程任務組（internet engineering task force，ietf）為解決internet上的網絡裝置管理問題而提出的一個臨時方案，第一個正式版本在1989年釋出，經過二十多年的發展，snmp日臻完善，目前已經是應用最廣泛的一個成熟網絡管理标準協定。

早期的計算機網絡規模小，結構簡單，是以網絡管理活動也相對簡單。随着計算機網絡技術的迅速發展，網絡規模日益龐大，結構也越來越複雜，簡單、粗陋的管理方式已經不再适應現代的計算機網絡，網絡管理必須向高度集中和高度智能化的方向發展。

在此期間，先後出現了多種網絡管理标準。最早緻力于網絡管理标準化工作的是國際标準化組織（international standards organization，iso），它是網絡互連協定osi（open system interconnection reference model，開放系統互聯參考模型）的制訂者。iso制訂的第一個網絡管理标準為cmis/cmip（the common management information service/protocol），也是基于osi模型的，并在當時的網絡管理中得到了初步應用。同期出現的其他網絡管理協定還有高層實體管理系統hems（high level entity management systems）、簡單網關監控協定sgmp（simple gateway monitoring protocol）等。

随着tcp/ip和internet的迅速普及，1987年internet的管理機構iab（internet activities board）認為有必要為基于tcp/ip技術的網絡制訂新的網絡管理标準。其長期目标是在cmis/cmip基礎上，制訂一套功能完善、适用于tcp/ip協定棧的網絡管理協定cmot（common management information services and protocol over tcp/ip）。然而，業界對基于tcp/ip的網絡管理标準的需求是如此迫不及待，已經等不及cmot的推出了。為了應急，iab決定将已有的sgmp修訂、完善，作為一種臨時的網絡管了解決方案，這就是後來一統天下的snmp。

**

1.1.1　什麼是網絡管理**

簡單地說，網絡管理就是維護一個網絡系統的正常運作。“正常運作”的意思是網絡系統能夠按照設計的目标，發揮應有功能。網絡管理，最直接的原因是組成網絡的硬體裝置會損壞，通信線路會出現中斷故障，過多的網絡使用者會争用有限的網絡資源（線路帶寬、裝置cpu處理能力等）。現代的網絡管理，已不僅僅是維護網絡的正常運作，還需要收集、分析網絡運作資料，展示網絡運作狀況的性能名額，進而判斷、預測網絡故障，為網絡優化及改造提供基礎運作資料支援。

關于網絡管理的組成，iso在iso/iec 7498文檔第4部分，根據功能的不同，将基于osi參考互聯模型的網絡管理劃分為如下五部分：

故障管理（fault management）

計費管理（accounting management）

配置管理（configuration management）

性能管理（performance management）

安全管理（security management）

故障管理和性能管理是最基本的網絡管理，是其他管理活動的基礎，也是最常見的網絡管理。一個網絡系統，無論發生什麼故障，都是對網絡服務功能的破壞，是以，網絡故障是最嚴重的網絡事件，直接導緻網絡某部分功能的喪失。性能管理則是在網絡無故障的基礎上，對網絡資源進行監視和排程，合理配置設定網絡資源，保障網絡功能正常發揮。不适當的性能管理會使得網絡堵塞、某一部位産生處理瓶頸甚至導緻整個網絡癱瘓。性能管理的目的不僅僅是保證網絡系統有充裕的資源可用，還要求網絡資源達到一定的使用率以避免資源浪費。性能管理的理想目标是網絡各個環節資源使用率協調一緻，避免存在“短闆現象”。

早期的網絡管理相對簡單，基本上是指令行方式的手工管理。不同的網絡裝置，指令格式不同，管理方式也不同。例如，網絡管理者可能從裝置面闆訓示燈的狀态發現異常，也可能是接到使用者的報障，才知道網絡出現了問題。下一步，可能是登入到網絡裝置，輸入各種指令，檢查裝置的運作狀态，判斷哪個部分出現了問題，然後再根據不同情況，進一步采取措施，修複故障。可見，這種管理方式屬于“事件驅動”型：網絡管理者不能主動發現問題，往往是異常問題發生并産生了影響之後，才察覺網絡問題，然後再去檢查、解決，具有一定的滞後性。

有的網絡裝置生産商針對自己的産品，開發了一些專用的、可以實作自動管理網絡裝置的應用軟體，這些軟體是最早的網絡管理軟體。這些管理軟體的應用，将網絡管理者從手工管理方式上升到自動化智能管理方式。然而，随着網絡的發展，特别是出現網絡互聯的需求後，被管理的網絡規模增大、結構複雜程度增加，網絡中的裝置往往不止來自一家生産商，這樣，要想實作自動化智能網絡管理，就需要同時運作幾套網絡管理軟體，不僅不能統一管理，而且效率也不高。

1.1.2　網絡管理的演變**

網絡管理的實質，是網絡管理人員從網絡裝置擷取一些網絡運作狀态資訊，再對這些資訊進行綜合分析、判斷，進而确定網絡運作狀态的一個過程。一次典型的網絡管理活動可以分為如圖1-1所示的3部分。

網絡管理活動中首要的一個步驟就是“擷取運作狀态資訊”，例如某個網絡接口運作狀态，某台裝置的cpu使用率等。這些資訊，網絡管理術語中稱其為“管理資訊”。廣義上說，它可以是任何一種網絡管理者感興趣的、與網絡運作狀态有關的資訊。自動化智能網絡管理，其實就是将“擷取運作狀态資訊”這一步驟程式化。先進一點的網絡管理軟體，可以實作管理資訊的分析判斷，進而在一定程度上隔離出故障範圍。一般地，故障恢複措施仍需要管理人員手工完成。

是以，網絡管理協定的主要工作，就是為網絡管理軟體如何從網絡裝置擷取網絡運作狀态資訊，制訂一套通用标準。

網絡管理協定首先要解決兩個問題，一是管理資訊的表示與辨別，二是網絡裝置與網絡管理軟體之間在傳遞管理資訊時使用的通信協定。所有的網絡管理協定，基本上都是以這兩個主題為中心的。

1.1.3　snmp的發展

由于snmp具有簡單、易實施和容易擴充等優點，一經推出就得到了廣泛的應用和支援，顯示了強大的生命力。當cmot趨于成熟時，snmp在實際應用中早已是今非昔比，已經得到了包括ibm、hp等大公司的數百家廠商的支援，早已成為網絡管理領域事實上的工業标準。至今，snmp前後一共推出了8個版本，但實踐中真正得到廣泛應用的隻有3個，分别是snmpv1、snmpv2c和snmpv3。

1．snmpv1

主要由以下rfc文檔組成：

rfc 1155　　基于tcp/ip的網絡管理資訊結構結構與辨別。

rfc 1157　　簡單網絡管理協定。

rfc 1212　　簡明mib定義。

rfc 1213　　基于tcp/ip的網絡管理資訊庫（mib-ii）。

rfc 1215　　定義snmp陷阱消息宏。

snmpv1簡單易于實施，被業界廣泛接受并得以實施。但它最緻命的一個缺點是安全性差，唯一的安全機制是基于共同體字元串（community strings），類似一個普通的字元串密碼。

2．snmpsec

rfc 1351　　snmp管理模型。

rfc 1352　　snmp安全協定。

rfc 1353　　用于snmp管理團體的管理對象定義。

這個版本在snmpv1基礎上增加了較強的安全措施，其安全機制基于一種“團體（parties）”的結構。隻有少數廠商實施過該版本，目前市場上已難覓蹤影。

3．snmpv2p

rfc 1441　　網絡管理架構版本2介紹。

rfc 1445　　snmpv2管理模型。

rfc 1446　　snmpv2安全協定。

rfc 1448　　snmpv2協定操作。

rfc 1449　　snmpv2傳輸層映射。

這個版本也稱為snmpv2，即第二版snmp。它不僅僅改進了snmpv1安全性（和snmpsec一緻），同時在資料定義、協定操作類型等方面也做了較大變動。

4．snmpv2c

rfc 1901　　介紹基于共同體的snmpv2。

rfc 1905　　snmpv2協定操作。

rfc 1906　　snmpv2傳輸層映射。

這個版本實際上是将snmpv2p的資料定義和協定操作，與snmpv1安全機制結合起來，形成一種新的簡化版本，稱為基于共同體的snmpv2，簡稱snmpv2c。它在資料定義、協定操作類型等方面也做了較大變動。大部分标稱支援snmpv2的裝置，實際上實施的就是這個版本。

5．snmpv2u

rfc 1909　　snmpv2管理架構。

rfc 1910　　snmpv2基于使用者的安全模型。

該版本是将snmpv2c安全機制加以改進，新的安全特性是基于使用者（users）的安全結構。

6．snmpv2*

該版本将snmpv2p和snmpv2u的優點集合起來，但它還沒有形成rfc文檔便夭折了。

7．snmpv3

1998年ietf釋出了snmpv3，snmpv3相關rfc文檔如下：

rfc 3410　　 internet标準管理架構及适用說明。

rfc 3411　　 snmp網絡管理架構結構。

rfc 3412　　 snmp消息處理與分發。

rfc 3413　　 snmp應用。

rfc 3414　　 snmpv3基于使用者的安全模式。

rfc 3415　　 snmpv3基于視圖的通路控制模式。

snmpv3有一個顯著特點，就是增加了安全性。在提供三對snmp消息的加密和認證措施的同時，也加強了mib的通路控制。