簡單網(wǎng)絡(luò)管理協(xié)議

一個SNMP管理的網(wǎng)絡(luò)由下列三個關(guān)鍵組件組成：

• 網(wǎng)絡(luò)管理系統(tǒng)（NMS，Network-management systems）

• 被管理的設(shè)備（managed device）

• 代理者（agent）

網(wǎng)絡(luò)管理系統(tǒng)運行應(yīng)用程序，以該應(yīng)用程序監(jiān)視并控制被管理的設(shè)備。也稱為管理實體（managingentity），網(wǎng)絡(luò)管理員在這兒與網(wǎng)絡(luò)設(shè)備進行交互。網(wǎng)絡(luò)管理系統(tǒng)提供網(wǎng)絡(luò)管理需要的大量運算和記憶資源。一個被管理的網(wǎng)絡(luò)可能存在一個以上的網(wǎng)絡(luò)管理系統(tǒng)。

被管理的設(shè)備是一個網(wǎng)絡(luò)節(jié)點，它包含一個存在于被管理的網(wǎng)絡(luò)中的SNMP代理者。被管理的設(shè)備通過管理信息庫（MIB）收集并存儲管理信息，并且讓網(wǎng)絡(luò)管理系統(tǒng)能夠通過SNMP代理者取得這項信息。

代理者是一種存在于被管理的設(shè)備中的網(wǎng)絡(luò)管理軟件模塊。代理者控制本地機器的管理信息，以和SNMP兼容的格式傳送這項信息。

簡單網(wǎng)絡(luò)管理協(xié)議主代理

主代理是一個在可運行SNMP的網(wǎng)絡(luò)組件上運作的軟件，可回應(yīng)從管理站發(fā)出的SNMP要求。它的角色類似客戶端/服務(wù)器結(jié)構(gòu)（Client/Server）術(shù)語中的服務(wù)器。主代理依賴子代理提供有關(guān)特定功能的管理信息。

如果系統(tǒng)當(dāng)前擁有多個可管理的子系統(tǒng)，主代理就會傳遞它從一個或多個子代理處收到的請求。這些子代理在一個子系統(tǒng)以及對那個子系統(tǒng)進行監(jiān)測和管理操作的接口內(nèi)為關(guān)心的對象建模。主代理和子代理的角色可以合并，在這種情況下我們可以簡單的稱之為代理（agent）。

簡單網(wǎng)絡(luò)管理協(xié)議子代理

子代理是一個在可運行SNMP的網(wǎng)絡(luò)組件上運作的軟件，運行在特定子系統(tǒng)的特定管理信息庫（MIB，Management Information Base）中定義的信息和管理功能。子代理的一些能力有：

搜集主代理的信息

配置主代理的參數(shù)

回應(yīng)管理者的要求

產(chǎn)生警告或陷阱

對協(xié)議和管理信息結(jié)構(gòu)的良好分離使得使用SNMP來監(jiān)測和管理同一網(wǎng)絡(luò)內(nèi)上百的不同子系統(tǒng)非常簡單。MIB模型運行管理OSI參考模型的所有層，并可以擴展至諸如數(shù)據(jù)庫，電子郵件以及J2EE參考模型之類的應(yīng)用。

簡單網(wǎng)絡(luò)管理協(xié)議管理站

管理者或者管理站提供第三個組件。它和一個客戶端/服務(wù)器結(jié)構(gòu)下的客戶端一樣工作。它根據(jù)一個管理員或應(yīng)用程序的行為發(fā)出管理操作的請求，也接收從代理處獲得的TRAP。

SNMP是管理進程（NMS）和代理進程（Agent）之間的通信協(xié)議。它規(guī)定了在網(wǎng)絡(luò)環(huán)境中對設(shè)備進行監(jiān)視和管理的標(biāo)準(zhǔn)化管理框架、通信的公共語言、相應(yīng)的安全和訪問控制機制。網(wǎng)絡(luò)管理員使用SNMP功能可以查詢設(shè)備信息、修改設(shè)備的參數(shù)值、監(jiān)控設(shè)備狀態(tài)、自動發(fā)現(xiàn)網(wǎng)絡(luò)故障、生成報告等。

SNMP具有以下技術(shù)優(yōu)點：

• 基于TCP/IP互聯(lián)網(wǎng)的標(biāo)準(zhǔn)協(xié)議，傳輸層協(xié)議一般采用UDP。

• 自動化網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理員可以利用SNMP平臺在網(wǎng)絡(luò)上的節(jié)點檢索信息、修改信息、發(fā)現(xiàn)故障、完成故障診斷、進行容量規(guī)劃和生成報告。

• 屏蔽不同設(shè)備的物理差異，實現(xiàn)對不同廠商產(chǎn)品的自動化管理。SNMP只提供最基本的功能集，使得管理任務(wù)與被管設(shè)備的物理特性和實際網(wǎng)絡(luò)類型相對獨立，從而實現(xiàn)對不同廠商設(shè)備的管理。

• 簡單的請求—應(yīng)答方式和主動通告方式相結(jié)合，并有超時和重傳機制。

• 報文種類少，報文格式簡單，方便解析，易于實現(xiàn)。

• SNMPv3版本提供了認(rèn)證和加密安全機制，以及基于用戶和視圖的訪問控制功能，增強了安全性。

SNMP 是專門設(shè)計用于在 IP 網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點（服務(wù)器、工作站、路由器、交換機及HUBS等）的一種標(biāo)準(zhǔn)協(xié)議，它是一種應(yīng)用層協(xié)議。 SNMP 使網(wǎng)絡(luò)管理員能夠管理網(wǎng)絡(luò)效能，發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題以及規(guī)劃網(wǎng)絡(luò)增長。通過 SNMP 接收隨機消息（及事件報告）網(wǎng)絡(luò)管理系統(tǒng)獲知網(wǎng)絡(luò)出現(xiàn)問題。

SNMP的前身是簡單網(wǎng)關(guān)監(jiān)控協(xié)議（SGMP），用來對通信線路進行管理。隨后，人們對SGMP進行了很大的修改，特別是加入了符合Internet定義的SMI和MIB，改進后的協(xié)議就是著名的SNMP?；赥CP/IP的SNMP網(wǎng)絡(luò)管理框架是工業(yè)上的現(xiàn)行標(biāo)準(zhǔn)，由3個主要部分組成，分別是管理信息結(jié)構(gòu)SMI（Structure ofManagement Information）、管理信息庫MIB和管理協(xié)議SNMP。

• SMI定義了SNMP框架所用信息的組織和標(biāo)識，為MIB定義管理對象及使用管理對象提供模板。

• MIB定義了可以通過SNMP進行訪問的管理對象的集合。

• SNMP協(xié)議是應(yīng)用層協(xié)議，定義了網(wǎng)絡(luò)管理者如何對代理進程的MIB對象進行讀寫操作。

SNMP中的MIB是一種樹狀數(shù)據(jù)庫，MIB管理的對象，就是樹的端節(jié)點，每個節(jié)點都有唯一位置和唯一名字.IETF規(guī)定管理信息庫對象識別符（OID，Object Identifier）唯一指定，其命名規(guī)則就是父節(jié)點的名字作為子節(jié)點名字的前綴。

目前， SNMP 有 3 種： SNMPV1 、 SNMPV2 、 SNMPV3。第 1 版和第 2 版沒有太大差距，但 SNMPV2 是增強版本，包含了其它協(xié)議操作。與前兩種相比， SNMPV3 則包含更多安全和遠(yuǎn)程配置。為了解決不同 SNMP 版本間的不兼容問題， RFC3584 中定義了三者共存策略。

SNMP 還包括一組由RMON、RMON2、MTB、MTB2、OCDS及OCDS定義的擴展協(xié)議。

簡單網(wǎng)絡(luò)管理協(xié)議第一版

SNMP的第一個RFC系列出現(xiàn)在1988年：

RFC 1065：基于TCP/IP網(wǎng)絡(luò)的管理信息的結(jié)構(gòu)和認(rèn)定

RFC 1066：以基于TCP/IP網(wǎng)絡(luò)的網(wǎng)絡(luò)管理為基礎(chǔ)的管理信息

RFC 1067：一個簡單網(wǎng)絡(luò)管理協(xié)議

這些協(xié)議被廢除經(jīng)由：

RFC 1155：基于TCP/IP網(wǎng)絡(luò)的管理信息的結(jié)構(gòu)和認(rèn)定

RFC 1156：以基于TCP/IP網(wǎng)絡(luò)的網(wǎng)絡(luò)管理為基礎(chǔ)的管理信息

RFC 1157：一個簡單網(wǎng)絡(luò)管理協(xié)議

SNMP協(xié)議工作在OSI模型的應(yīng)用層（第七層）。它（在第一版中）指定了四種核心協(xié)議數(shù)據(jù)單元（PDU）：

GET，用來得到一條管理信息

GETNEXT，用來反復(fù)得到管理信息的串行

SET，用來給一個被管理的子系統(tǒng)制造一個變化

TRAP，用來報告一個關(guān)于被管理子系統(tǒng)的警告或其他異步事件

典型的，SNMP為代理使用UDP端口161，為管理站使用UDP端口162。

第一版因為其脆弱的安全性而備受爭議?？蛻舳说恼J(rèn)證使用明碼傳送。在80年代，SNMP第一版被設(shè)計出來的時期，互聯(lián)網(wǎng)標(biāo)準(zhǔn)的認(rèn)證/安全并不被主要的協(xié)議設(shè)計團體所重視。

簡單網(wǎng)絡(luò)管理協(xié)議第二版

SNMP第二版（RFC 1441–RFC 1452）修訂了第一版并且包含了在性能、安全、機密性和管理者之間通信這些領(lǐng)域的改進。它引入了GETBULK以取代反復(fù)的GETNEXT，藉以在單個請求中獲取大量的管理數(shù)據(jù)。然而，SNMP第二版的新安全系統(tǒng)被認(rèn)為過于復(fù)雜，而不被廣泛接受。

SNMP v2c（基于社區(qū)的SNMP第二版）定義于RFC 1901–RFC 1908，一開始也非正式的被稱為SNMP第1.5版。SNMPv2c包含SNMP第二版除了受爭議的新SNMP第二版安全模型以外的部份，并以SNMP第一版的簡單的基于社區(qū)的安全性方案取而代之。

SNMP v2u（基于用戶的SNMP第二版）定義于RFC 1909–RFC 1910。這是一個SNMP第一版和SNMP第二版的折衷方案，試圖提供比SNMP第一版更好的安全性，又不遭遇SNMP第二版的高復(fù)雜度。這產(chǎn)生一個被商業(yè)化的變種，稱為SNMP v2*，而且它的機制最后被SNMP第三版的兩個安全性框架之一采用。

簡單網(wǎng)絡(luò)管理協(xié)議第三版

Internet工程工作小組（IETF）把在RFC3411-RFC3418（STD0062）中定義的SNMP第三版作為2004年的標(biāo)準(zhǔn)版本。IETF將先前的版本定為“Obsolete”或“Historical”。

實際上，SNMP實現(xiàn)通常支持多個版本：典型的SNMPv1、SNMPv2c以及SNMPv3。參見RFC3584“Internet標(biāo)準(zhǔn)網(wǎng)絡(luò)管理框架第一、二、三版間的共存”。

SNMP第三版提供三項重要的服務(wù)：認(rèn)證、隱私和訪問控制。

SNMP 是一種應(yīng)用程序協(xié)議，封裝在UDP中。各種版本的 SNMP 信息通用格式如下所示：

Version Community PDU

Version：SNMP 版本號。管理器和代理器必須使用相同版本的 SNMP。需要刪除具有不同版本號的信息，并不對它們作進一步的處理。

Community：團體名稱，用于在訪問代理器之前認(rèn)證管理器。

PDU（協(xié)議數(shù)據(jù)單元）：SNMPv1、v2 和 v3 中的 PDU 類型和格式將在對應(yīng)文件中作具體介紹。

在大型網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)管理員比較頭痛的問題就是如何實時了解不在身邊的網(wǎng)絡(luò)設(shè)備的運行狀況。若要一臺一臺的去查看網(wǎng)絡(luò)設(shè)備的運行現(xiàn)狀，那明顯不是很現(xiàn)實。實際網(wǎng)絡(luò)中，利用SNMP協(xié)議自動幫助管理員收集網(wǎng)絡(luò)運行狀況的方法應(yīng)用最為廣泛。通過這種方法，網(wǎng)絡(luò)管理員只需要坐在自己的位置上，就可以了解全公司的網(wǎng)絡(luò)設(shè)備的運行情況。有了這個簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），網(wǎng)絡(luò)管理員可以很方便的在SNMP Agent和NMS之間交換管理信息。SNMP的主要作用就是幫助企業(yè)網(wǎng)絡(luò)管理人員更方便的了解網(wǎng)絡(luò)性能、發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題、規(guī)劃網(wǎng)絡(luò)的未來發(fā)展。

隧道技術(shù)的實質(zhì)是如何利用一種網(wǎng)絡(luò)層的協(xié)議來傳輸另一種網(wǎng)絡(luò)層的協(xié)議，其基本功能是封裝和加密，主要利用隧道協(xié)議來實現(xiàn)。封裝是構(gòu)建隧道的基本手段。從隧道的兩端來看，封裝就是用來創(chuàng)建、維持和撤銷一個隧道，來實現(xiàn)信息的隱蔽和抽象。而如果流經(jīng)隧道的數(shù)據(jù)不加密，那么整個隧道就暴露在公共網(wǎng)絡(luò)中，VPN的安全性和私有性就得不到體現(xiàn)。

網(wǎng)路隧道技術(shù)涉及了3種網(wǎng)絡(luò)協(xié)議：網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。如圖所示

隧道協(xié)議作為VPN IP層的底層，將VPN IP分組進行安裝封裝；隧道協(xié)議同時作為公用IP網(wǎng)的一種特殊形式，將封裝的VPN分組利用公網(wǎng)內(nèi)的IP協(xié)議棧進行傳輸，以實現(xiàn)隧道內(nèi)的功能。隧道協(xié)議在這個協(xié)議體系中起著承上啟下的作用。

隧道協(xié)議存在多種可能的實現(xiàn)方式，按照工作的層次，可分為兩類：一類是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建撥號VPN（Access VPN）；另一類是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建內(nèi)部網(wǎng)VPN（Intranet VPN）和外聯(lián)網(wǎng)（VPN Extranet VPN）。

隧道協(xié)議二層隧道協(xié)議

二層隧道協(xié)議指用公用網(wǎng)絡(luò)來封裝和傳輸二層（數(shù)據(jù)鏈路層）協(xié)議，此時在隧道內(nèi)傳輸?shù)氖菙?shù)據(jù)鏈路層的幀。工作原理如圖所示

在點到點的二層鏈路上，最常用的二層協(xié)議是PPP協(xié)議，隧道協(xié)議實現(xiàn)中，首先將IP分組封裝在二層的PPP協(xié)議幀中，也就是會所，先把各種網(wǎng)絡(luò)協(xié)議封裝在PPP中，再把整個數(shù)據(jù)包裝入二層隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包在公用網(wǎng)絡(luò)中傳輸。

第二層隧道協(xié)議具有簡單易行的優(yōu)點，但是他沒的可擴展性不太好，而且提供內(nèi)在的安全機制安全強度低，因此它們不支持企業(yè)和企業(yè)的外部客戶以及供應(yīng)商之間通信的保密性需求，不適合用來構(gòu)建連接企業(yè)內(nèi)部網(wǎng)和企業(yè)的外部客戶和供應(yīng)商的企業(yè)外部網(wǎng)VPN。

隧道協(xié)議三層隧道協(xié)議

三層隧道協(xié)議是用公用網(wǎng)來封裝和傳輸三層（網(wǎng)路層）協(xié)議（如IP、IPX、AppleTalk等），此時在隧道內(nèi)傳輸?shù)氖蔷W(wǎng)路層的分組。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的RFC 1701 通路路由封裝協(xié)議就是一個三層隧道協(xié)議。IETF制定的IP層加密標(biāo)準(zhǔn)協(xié)議IPSec 也是一個三層速到協(xié)議，利用IPSec（ESP/AN）的隧道模式構(gòu)成的VPN隧道。三層隧道協(xié)議的協(xié)議棧如圖所示，

ANCP由GSMPv3（General Switch Management Protocol Version 3）協(xié)議承載，并對GSMPv3協(xié)議進行了擴充，增加了鄰接關(guān)系的建立與維護體制。