網(wǎng)絡(luò)專業(yè)畢業(yè)論文.doc

上傳人:good****022 文檔編號:116681823 上傳時間:2022-07-06 格式:DOC 頁數(shù):23 大?。?.12MB
收藏 版權(quán)申訴 舉報(bào) 下載
網(wǎng)絡(luò)專業(yè)畢業(yè)論文.doc_第1頁
第1頁 / 共23頁
網(wǎng)絡(luò)專業(yè)畢業(yè)論文.doc_第2頁
第2頁 / 共23頁
網(wǎng)絡(luò)專業(yè)畢業(yè)論文.doc_第3頁
第3頁 / 共23頁

下載文檔到電腦,查找使用更方便

20 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《網(wǎng)絡(luò)專業(yè)畢業(yè)論文.doc》由會員分享,可在線閱讀,更多相關(guān)《網(wǎng)絡(luò)專業(yè)畢業(yè)論文.doc(23頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。

1、姓 名 專 業(yè) 班 級 09網(wǎng)絡(luò)3班 論 文 名 稱 研究snmp在網(wǎng)絡(luò)管理中的應(yīng)用 指 導(dǎo) 教 師 目錄一 選題背景21.1 課題概述21.2 技術(shù)背景2二 網(wǎng)絡(luò)管理與SNMP協(xié)議 32.1 網(wǎng)絡(luò)管理 32.2網(wǎng)絡(luò)管理分類及功能 32.3 SNMP協(xié)議3三 SNMP網(wǎng)絡(luò)管理的安全性探討83.1 引言83.2 SNMP存在的隱患83.3 SNMPv2配合IPSec安全模型83.4 SNMPv3安全模型9四 富滿電子有限公司網(wǎng)絡(luò)管理項(xiàng)目分析114.1 模擬SNMP獲取網(wǎng)絡(luò)設(shè)備信息 114.2 富滿電子有限公司網(wǎng)絡(luò)結(jié)構(gòu)與功能說明14五 總結(jié)與展望21六 參考文獻(xiàn)21一 選題背景1.1 課題概述隨著

2、網(wǎng)絡(luò)技術(shù)的發(fā)展,人們步入了一個全新的信息時代。面對日益復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)與逐漸增加的網(wǎng)絡(luò)流量,網(wǎng)絡(luò)管理者需要實(shí)時了解各個網(wǎng)段的流量情況、網(wǎng)絡(luò)帶寬的使用率、硬件故障與軟件失誤的預(yù)警等網(wǎng)絡(luò)運(yùn)行信息,要做到這點(diǎn),最有效的辦法就是在原有的網(wǎng)絡(luò)硬件基礎(chǔ)上構(gòu)建一個網(wǎng)絡(luò)管理系統(tǒng)以實(shí)現(xiàn)對全網(wǎng)的監(jiān)控。而廣為人知的SNMP協(xié)議就符合這樣的要求,基于snmp協(xié)議的管理系統(tǒng) 適用中等規(guī)模的校園網(wǎng)和企業(yè)網(wǎng),網(wǎng)絡(luò)成本低,管理效率明顯,為目前一些企業(yè)在網(wǎng)絡(luò)建設(shè)過程中“重硬件、輕管理、輕軟件”所帶來的一系列網(wǎng)絡(luò)管理問題提供了一個很好的解決途徑。越來越多的網(wǎng)絡(luò)設(shè)備都提供了對SNMP的支持,利用SNMP協(xié)議,可以了解網(wǎng)絡(luò)的運(yùn)行情況,

3、設(shè)置設(shè)備參數(shù),收集相關(guān)數(shù)據(jù),了解網(wǎng)絡(luò)的使用效率 。 雖然snmp用處大優(yōu)點(diǎn)多,但是根據(jù)SANS協(xié)會的報(bào)告,對于接入Internet的主機(jī),SNMP是威脅安全的十大首要因素之一;同時,SNMP還是Internet主機(jī)上最常見的服務(wù)之一。特別地,SNMP服務(wù)通常在位于網(wǎng)絡(luò)邊緣的設(shè)備(防火墻保護(hù)圈之外的設(shè)備)上運(yùn)行,進(jìn)一步加劇了SNMP帶來的風(fēng)險,這一切聽起來出人意料,但似乎又是情理之中,所以需要我們加強(qiáng)對snmp在網(wǎng)絡(luò)管理上應(yīng)用的研究。1.2技術(shù)背景 Snmp是管理進(jìn)程(nms)和代理進(jìn)程(agent)之間的通信協(xié)議,它規(guī)定了在網(wǎng)絡(luò)環(huán)境中對設(shè)備進(jìn)行監(jiān)視和標(biāo)準(zhǔn)化管理框架、通信的公共語言、相應(yīng)的安全和

4、訪問機(jī)制。網(wǎng)絡(luò)管理員使用snmp功能可以查詢設(shè)備信息、修改設(shè)備的參數(shù)值、監(jiān)控設(shè)備狀態(tài)、自動發(fā)現(xiàn)網(wǎng)絡(luò)故障、生成報(bào)告等。Snmp具有一下技術(shù)優(yōu)點(diǎn):1 基于tcp/ip 互聯(lián)網(wǎng)的標(biāo)準(zhǔn)協(xié)議,傳輸層協(xié)議一般采用udp2 自動化網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理員可以利用snmp平臺在網(wǎng)絡(luò)上的節(jié)點(diǎn)檢索信息、修改信息、發(fā)現(xiàn)故障、完成故障診斷、進(jìn)行容量規(guī)劃和生成報(bào)告。3 屏蔽不同設(shè)備的物理差異,實(shí)現(xiàn)不同廠商產(chǎn)品的自動化管理,snmp只提供最基本的功能集,使得管理任務(wù)被管設(shè)備的物理特性和實(shí)際網(wǎng)絡(luò)類型相對獨(dú)立,從而實(shí)現(xiàn)對不同廠商設(shè)備的管理。4 簡單的請求一應(yīng)答方式和主動通告方式相結(jié)合,并有超時和重傳機(jī)制。5 報(bào)文種類少,報(bào)文格式

5、簡單,方便解析,易于實(shí)現(xiàn)。6 Snmpv3版本提供于認(rèn)證和加密安全機(jī)制,以及基于用戶和視圖的訪問控制功能,曾強(qiáng)了安全性。 二 網(wǎng)絡(luò)管理與SNMP協(xié)議2.1網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理,是指網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進(jìn)行集中化管理的操作,包括配置管理、性能和記賬管理、問題管理、操作管理和變化管理等,一臺設(shè)備所支持的管理程序反映了該設(shè)備的可管理性及可操作性。而交換機(jī)的管理功能是指交換機(jī)如何控制用戶訪問交換機(jī),以及用戶對交換機(jī)的可視程度如何。通常,交換機(jī)廠商都提供管理軟件或滿足第三方管理軟件遠(yuǎn)程管理交換機(jī)。一般的交換機(jī)滿足SNMP MIB I/MIB II統(tǒng)計(jì)管理功能,而復(fù)雜的一些交換機(jī)會增加通

6、過增加內(nèi)置RMON組(mini-RMON)來支持RMON主動監(jiān)視功能。有的交換機(jī)還允許外接RMON 探監(jiān)視可選端口的 網(wǎng)絡(luò)狀況,常見的網(wǎng)絡(luò)管理方式有一下幾種: (1) snmp管理技術(shù)(2) RMON管理技術(shù)(3) 基于web管理技術(shù)2.2 網(wǎng)絡(luò)管理分類及功能 (1)網(wǎng)絡(luò)管理分類 網(wǎng)絡(luò)管理技術(shù)是伴隨著計(jì)算機(jī)、網(wǎng)絡(luò)和通信技術(shù)的發(fā)展而發(fā)展的,二者相輔相成,從網(wǎng)絡(luò)管理范疇來分類,可分為一下三種:a 對網(wǎng)絡(luò)的管理。即針對交換機(jī)、路由器等主干網(wǎng)絡(luò)進(jìn)行管理。b 對接入設(shè)備的管理,即對內(nèi)部pc、服務(wù)器、交換機(jī)等進(jìn)行管理。c 對行為的管理,即對用戶的使用進(jìn)行管理;對資產(chǎn)的管理,即統(tǒng)計(jì)IT軟硬件的信息等。(2)

7、網(wǎng)絡(luò)管理的功能 根據(jù)國際化標(biāo)準(zhǔn)組織定義網(wǎng)絡(luò)管理有五大功能:故障管理、配置管理、性能管理、安全管理、計(jì)費(fèi)管理。對網(wǎng)絡(luò)管理軟件產(chǎn)品功能的不同,又可細(xì)分為五類,即網(wǎng)絡(luò)故障管理軟件、網(wǎng)絡(luò)配置管理軟件、網(wǎng)絡(luò)性能管理軟件、網(wǎng)絡(luò)服務(wù)/安全管理軟件、網(wǎng)絡(luò)計(jì)費(fèi)管理軟件。2.3 SNMP協(xié)議 (1)概念 網(wǎng)絡(luò)管理協(xié)議(SNMP),由一組網(wǎng)絡(luò)管理協(xié)議的標(biāo)準(zhǔn)組成,包含一個應(yīng)用層協(xié)議、數(shù)據(jù)庫模型、和一組資料物件。該協(xié)議能夠支持網(wǎng)絡(luò)管理系統(tǒng),用以監(jiān)測連接到網(wǎng)絡(luò)上的設(shè)備是否有任何引起管理上關(guān)注的情況。該協(xié)議是互聯(lián)網(wǎng)工程工作小組定義的Internet協(xié)議簇的一部分。 (2)SNMP工作過程 在典型的snmp用法中,有許多系統(tǒng)

8、被管理,而且是有一或多個系統(tǒng)在管理他們。每一個被管理的系統(tǒng)叫做代理者(agent)的軟件元件,且透過snmp對管理系統(tǒng)報(bào)告資訊。 基本上,snmp代理者以變量呈現(xiàn)管理資料。管理系統(tǒng)透過GET,GETNEXT和GETBULK協(xié)定指令取回資訊,或是代理者在沒有被詢問 下,使用TRAP或INFORM傳送資料。管理系統(tǒng)也可以傳送配置更新或控制的請求,透過SET協(xié)定指令達(dá)到主動管理系統(tǒng)的目的。配置和控制 指令只有當(dāng)網(wǎng)絡(luò)基本結(jié)構(gòu)需要改變的時候使用,而監(jiān)控指令則通常是常態(tài) 的工作??赏高^snmp存取的變量以階層的方式結(jié)合。這些分層和其它數(shù)據(jù)(例如變量的類型和描述)以管理信息庫(MIBs)的方式描述。(4)

9、SNMP協(xié)議的發(fā)展第一版:SNMPv1是SNMP協(xié)議的最初版本,提供最小限度的網(wǎng)絡(luò)管理功能。SNMPv1的SMI和MIB都比較簡單,且存在較多安全缺陷。SNMPv1采用團(tuán)體名認(rèn)證。團(tuán)體名的作用類似于密碼,用來限制NMS對Agent的訪問。如果SNMP報(bào)文攜帶的團(tuán)體名沒有得到NMS/Agent的認(rèn)可,該報(bào)文將被丟棄。第二版:SNMPv2也采用團(tuán)體名認(rèn)證。在兼容SNMPv1的同時又?jǐn)U充了SNMPv1的功能:它提供了更多的操作類型(GETBULK操作等),支持更多的數(shù)據(jù)類型(Counter32等),提供了更豐富的錯誤代碼,能夠更細(xì)致地區(qū)分錯誤。第三版:SNMPv3主要在安全方面進(jìn)行了增強(qiáng),它采用了U

10、SM和VCAM技術(shù)。USM提供了認(rèn)證和加密功能,VACM確定用戶是否訪問特定的MIB對象以及訪問方式。(5) SNMP報(bào)文a. SNMPv1報(bào)文SNMP消息主要由version、community、snmp pdu幾部分構(gòu)成 bSNMPv2報(bào)文 比較SNMPv1而言,SNMPv2新增了Getbulk操作報(bào)文,Getbulk操作所對應(yīng)的基本操作類型是Getnext操作,通過對non repeaters 和Max repetitions 參數(shù)的設(shè)定,高效率地從Agent獲取大量管理對象數(shù)據(jù),SNMPv2修改了trap報(bào)文格式,SNMPv2 Trap pud采用SNMPv1Get/Getnext/S

11、et PDU的格式,并將sysuptime和snmptrapOID作為variable bindings中的變量來構(gòu)造報(bào)文。 cSNMPv3報(bào)文 其中,整個SNMPv3消息可以使用認(rèn)證機(jī)制,并對EnineID、ContextName、PDU消息體部分進(jìn)行加密,Requestid、maxsize、flags、securityModel、securityParameters構(gòu)成SNMPv3消息頭。 (6) Snmpv1和snmpv2實(shí)現(xiàn)機(jī)制Snmpv1/snmpv2實(shí)現(xiàn)機(jī)制基本一致,snmpv2豐富了錯誤碼,新增了Getbulk操作,下面在以SNMPv1版本環(huán)境執(zhí)行Get、Getnext和set操

12、作為例來描述SNMPv1/SNMPv2的實(shí)現(xiàn)機(jī)制。a get操作NMS想要獲取被管理設(shè)備MIB節(jié)點(diǎn)sysname的值(sysname對象在允許訪問視圖內(nèi)),使用public為可讀團(tuán)體名,過程如下:NMS給Agent發(fā)送get請求,請求報(bào)文主要字段被設(shè)置為:version字段的值為1,community字段的值為public,pdu里variable bingdings中name1字段的值為sysname 0.Agent給NMS發(fā)送get響應(yīng),說明是否獲取成功,如果成功,則response pdu里variable bingdings中value1字段的值為設(shè)備的名字(比如Agent010-H3

13、C),如果獲取失敗,則在Error status字段填上出錯的原因,在error index填上出錯的位置信息。 b getnext操作NMS想要獲取被管理設(shè)備MIB節(jié)點(diǎn)sysname的下一個節(jié)點(diǎn)syslocation的值(sysname和syslocation對象都在允許訪問視圖內(nèi)),使用public為可讀團(tuán)體名,過程如下:NMS給Agent發(fā)送GetNext請求,請求報(bào)文主要字段將被設(shè)置為:version字段的值為1,community字段的值為public,pdu里variable bindings中name1字段的值為sysname 0。Agent給NMS發(fā)送Getnext響應(yīng),如果成

14、功,則response PDU里varible bingdings中name1字段值為sysname.0的下一個節(jié)點(diǎn)syslocation.0,Value字段的值為(比如Beijing China);如果獲取失敗,則在error status字段填上出錯的原因,在error index填上出錯的位置信息。c set操作NMS想要被管理設(shè)備MIB節(jié)點(diǎn)sysname的值為device01,使用private為可寫團(tuán)體名,過程如下:NMS給Agent發(fā)送Set請求,請求報(bào)文主要字段將被設(shè)置為:version的字段為1,community字段的值為private,PDU里variable bingdi

15、ngs中name1字段的值為sysname.0,value1字段的填為device01。Agent給NMS發(fā)送get響應(yīng),說明是否設(shè)置成功,如果成功,則response PDU里variable bingdings中value1字段的值填為設(shè)備的新名字(比如device01),如果設(shè)置失敗則在error status字段填上出錯的原因,在error index填上出錯的位置信息。d trap操作當(dāng)設(shè)備發(fā)生某些異常需要通知NMS時,Agent會主動發(fā)出trap報(bào)文,例如:設(shè)備某端口網(wǎng)線被拔出,Agent發(fā)送linkdown的trap消息給nms,version字段的值為1,community字段

16、的值為public,pdu中enterprise字段為sysobjectID.0的取值,(比如為enterprise.25506),generic trap字段值為linkdown,varible bingdings字段攜帶接口相關(guān)信息。(7) SNMPv3實(shí)現(xiàn)機(jī)制Snmpv3各操作的實(shí)現(xiàn)機(jī)制同snmpv1和snmpv2基本一樣,其主要區(qū)別在于snmpv3新增了認(rèn)證和加密、解密的處理。下面以snmpv3使用認(rèn)證和加密方式執(zhí)行g(shù)et操作作為實(shí)例來描述其實(shí)現(xiàn)機(jī)制,過程如下:NMS首先發(fā)送不帶任何認(rèn)證和加密參數(shù)的get請求,flags字段設(shè)置為0 x4,以獲取contextengineID、cont

17、extname、authoritativeEngineID、authoritativeEngineBoots、authoritativeEngineTime等相關(guān)參數(shù)的值。Agent解析信息,發(fā)送report報(bào)文并攜帶上訴相關(guān)參數(shù)的值。NMS再給Agent發(fā)送Get請求,請求報(bào)文主要字段將被設(shè)置成為:version字段的值為3,將(2)獲取的參數(shù)填入相應(yīng)字段,PDU里variable bingdings中name1字段的值為sysname.0,并且根據(jù)配置認(rèn)證算法計(jì)算出AuthenticationParameters,使用配置的加密算法計(jì)算出privacyparameters,并使用配置的加密

18、算法對PDU數(shù)據(jù)進(jìn)行加密。Agent首先對消息進(jìn)行認(rèn)證,認(rèn)證后通過PDU報(bào)文進(jìn)行解密,解密成功后,則獲取sysname.0對象的值,并將response PDU里variable bingdings中value1字段的值填為設(shè)備的名字(比如Agent010),如果認(rèn)證、解析失敗或者獲取參數(shù)值失敗,則在error status字段填上出錯的原因,在error index填上出錯的位置信息,最后對PDU進(jìn)行加密,設(shè)置contextEngineID、 authoritativeEngineID、authoritativeEngineBoots、contextname、authoritativeEng

19、ineTime、authenticationparameters、PrivacyParameters等參數(shù),發(fā)送響應(yīng)報(bào)文。三 SNMP網(wǎng)絡(luò)管理的安全性探討3.1引言簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議,1990年5月,RFC1157定義了SNMP的一個版本SNMPv1,RFC1157和另一個關(guān)于管理信息的文件RFC1155一起,提供了一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)方法,SNMP也有明顯的不足,如難以實(shí)現(xiàn)大量的數(shù)據(jù)傳輸,缺少身份驗(yàn)證和和機(jī)密機(jī)制,因此提出了SNMPv3,其安全部分給網(wǎng)絡(luò)管理提供安全保障,ip安全工具ipsec也提供了網(wǎng)絡(luò)通信加密技術(shù)。3.

20、2 SNMP存在的隱患安全問題是SNMP是否能夠廣泛應(yīng)用的重要因素,也是應(yīng)用者越來越關(guān)心的問題,下面從分析者的角度來分析SNMP協(xié)議中存在的安全隱患,以便尋找相應(yīng)的對策,并且推動協(xié)議的不斷完善和發(fā)展,安全方面可以從一下六個方面來分析:1)偽裝威脅:一些未被授權(quán)的實(shí)體冒充一個授權(quán)的實(shí)體去執(zhí)行一些管理操作。2)消息更改威脅:SNMP協(xié)議提供了管理站查詢和控制管理代理中對象值的方法。消息更改威脅就在于一些非授權(quán)的實(shí)體更改傳輸?shù)膬?nèi)容,以至于產(chǎn)生非法網(wǎng)管操作。3)消息泄漏威脅:攻擊者可以竊聽網(wǎng)管代理和管理站之間的信息交換。4)消息流更改威脅:SNMP是一種基于無連接(UDP)的傳輸服務(wù),這種不可靠傳輸可

21、能使消息被他人俘獲,重新排序、延退或故意重發(fā)。5)服務(wù)拒絕威脅:攻擊者可以截取管理站和代理之間正常的信息交換信息。6)流量分析威脅:攻擊者可以分析管理代理者很管理站之間的業(yè)務(wù)流量。3.3 SNMPv2配合IPSec安全模型 1. SNMP配合IPSec的安全特性,加密和認(rèn)證服務(wù)都是為了保障SNMP信息安全,下面的分析都是假定IPSec的ESP特性被用于來在兩個安全網(wǎng)關(guān)的通路之間提供認(rèn)證和加密鼓舞服務(wù),典型情況如下,一個被隱藏起來的SNMP管理程序主機(jī)和另一個子網(wǎng)中的SNMP設(shè)備通過IPSec通道通信盡管IPSec可以提供安全網(wǎng)關(guān)之后的主機(jī)和主機(jī)之間的安全認(rèn)證,通常情況下,并不會在SNMP設(shè)備上

22、安裝IPSec協(xié)議包,這樣就使得很多重要的SNMP信息以明文的方式傳遞。如果不采取強(qiáng)有力的安全措施,將很有可能使得網(wǎng)絡(luò)存在嚴(yán)重的隱患。SNMP配合IPSec解決方案的主要優(yōu)點(diǎn)是能清楚地將安全過程和SNMP過程分開。2. SNMP配合IPSec的功能特性,使用IPSec安全特性并不直接面向用 戶,在IPSec協(xié)議中,密匙的管理和更新是自動的通過IKE協(xié)議來處理的,這種自動更換密匙的機(jī)制很大地提高了整個系統(tǒng)的安全性,由此得知,SNMP配合IPSec這種解決方案為大型網(wǎng)絡(luò)提供了一種安全的訪問模式。3.4 SNMPv3安全模型1.SNMPv3基于用戶的安全模型(USM),USM主要提供認(rèn)證服務(wù)和加密服

23、務(wù),認(rèn)證技術(shù)主要是針對SNMP消息報(bào)文頭的控制,它允許一個實(shí)體鑒別一個消息的來源以及這個消息是否被修改,它還允許合適性檢驗(yàn),通過確認(rèn)消息按照合適的方式接受,減少消息被延遲和惡意重復(fù)的威脅。如下圖2,USM的安全機(jī)制圖2身份鑒別:在雙方進(jìn)行數(shù)據(jù)通信前,首先要確認(rèn)對方的身份,要求交易雙方的身份不能或偽裝,通過數(shù)字簽名技術(shù)使得SNMP實(shí)體在接受消息后確認(rèn)消息是否來自授權(quán)的實(shí)體,并且消息在傳輸過程中從未被改變的過程。USM使用默認(rèn)的HMAC-MDG-96或者HMAC-SHA-96算法進(jìn)行消息的認(rèn)證,如果在安全強(qiáng)度較高的條件下,可以采用其他算法替代,如AES算法。合時性檢查:主要實(shí)現(xiàn)對報(bào)文延遲或重發(fā)的保

24、護(hù),在SNMPv3安全通信中,USM采用一種寬松的同步時鐘技術(shù)來判定消息是否被故意延遲,時鐘值由EngineBoots和EngineTime兩部分組成,兩個SNMP實(shí)體通信時,將本實(shí)體“始終”值的這兩個參數(shù)填入消息對應(yīng)的msgAuthoritativeEngineBoots和msgAuthoritativeEngineBoots域,發(fā)送給對方,對方取出消息中的時鐘值,與自己的時鐘值進(jìn)行比較作合適檢查。重復(fù)性檢查:每個發(fā)送的報(bào)文都有一個報(bào)文標(biāo)識符msgID,發(fā)送SNMP請求的實(shí)體將負(fù)責(zé)使用這個消息標(biāo)識符,將它接收到的一個響應(yīng)與一個未解決的請求匹配,并且在150s間隔中不能有兩個相同的msgID字

25、段的報(bào)文回送。假設(shè)有兩個具有相同消息標(biāo)識符的響應(yīng)在一個150s時間窗口中接收,第一個響應(yīng)將被匹配,然后刪去具有該標(biāo)志符的請求,因而后到的重復(fù)響應(yīng)將無相應(yīng)請求與之匹配而被丟棄,通過這種機(jī)制,發(fā)送者可以在一定程度上判別報(bào)文是否是重發(fā)以防止報(bào)文復(fù)制。報(bào)文加密:報(bào)文加密是保護(hù)信息在傳輸過程中不被泄密和篡改。保密過程與身份認(rèn)證類似,也需要管理站和代理共享同一密鑰來實(shí)現(xiàn)消息的加密和解密,privkey由口令經(jīng)MD5算法獲得。USM規(guī)定了加密使用的是DES的CBC(密文塊鏈接)模式。2.SNMPv3基于視圖的訪問控制模型(VACM)。VA CM解決的主要問題是合法實(shí)體是否有權(quán)限去操作它在PDU中所要求的MI

26、B對象,并將用戶和特定的MIB視圖關(guān)聯(lián)起來,此外,它還可以為特定的安全模型和安全級別定義不同的MIB視圖,在具體實(shí)現(xiàn)權(quán)限管理時,引入了組的概念,通過設(shè)置它的屬性來設(shè)置它所規(guī)定的權(quán)限,一個用戶若屬于一個組,那么它就擁有了這個組所規(guī)定的權(quán)限。組中應(yīng)包括以下屬性:安全模型、安全級別、上下文名以及讀/寫/通知視圖名。利用安全模型和安全名作為索引找到一個記錄形成一個組名。VACM MIB由以下幾個表組成:(1)vacmContextTable:定義了本地可用的上下文。(2) hracmSamrityToGroupTable:將一個securityMoclel和seoarityName映射為一個group

27、Name(3)vacmAccessTable:將一個groupName上下文以及安全信息映射為一個MIB視圖。(4)vacmviewFamilyTable:定義是否可以為一個給定的MIB視圖訪問一個對象標(biāo)識符。下圖是VACM作出決策需要的六個步驟:VACM訪問控制方式你是誰(包含安全模型和安全名稱的組)你想去哪兒(要訪問你的上下文) 在訪問這些消息時,你有多安全(安全模型和安全級別)你為什么要訪問這些信息(讀、寫或者發(fā)送通知)你要訪問什么對象(對象類型)你想要訪問哪個對象(對象實(shí)例) 四 富滿電子有限公司網(wǎng)絡(luò)管理系統(tǒng)項(xiàng)目分析4.1 通過實(shí)驗(yàn)?zāi)MSNMP獲取網(wǎng)絡(luò)設(shè)備信息1.實(shí)驗(yàn)環(huán)境 2.實(shí)驗(yàn)工具

28、Packet tracer 模擬器3. 實(shí)驗(yàn)內(nèi)容1) 按圖所示連接網(wǎng)絡(luò)配置交換機(jī)管理地址為:vlan 1 192.168.1.2 255.255.255.0Switch#config tSwitch(config)#interface vlan 1Switch(config-if)#no shut Switch(config-if)#ip address 192.168.1.2 255.255.255.02) 配置路由器RouterenableRouterconfig tRouter(config)#hostname R1R1(config)#interface f0/0R1(config-i

29、f)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exitR1(config)#snmp-server community 0802 roR1(config)#snmp-server community 0802 rw3) 配置交換機(jī)SwitchenableSwitch#config tSwitch#interface vlan 1Switch(config-if)#ip address 192.168.1.2 255.255.255.0Switch(config-if)#exitSwitch(c

30、onfig)#snmp-server community 0802 roSwitch(config)#snmp-server community 0802 rw4) 獲取網(wǎng)絡(luò)設(shè)備的系統(tǒng)消息首先,點(diǎn)進(jìn)pc,選擇destop的MIB選擇advanced,填入需要管理網(wǎng)絡(luò)設(shè)備的ip地址,填入設(shè)備上community值(0802)5) 測試結(jié)果通過查找MIB數(shù)據(jù)庫中精確查找我們需要的信息節(jié)點(diǎn)路徑,得到我們所需要的信息節(jié)點(diǎn)路徑OID(136121110)通過get操作以snmp數(shù)據(jù)到網(wǎng)絡(luò)設(shè)備獲取網(wǎng)絡(luò)設(shè)備的信息。.4.2 富滿電子有限公司網(wǎng)絡(luò)結(jié)構(gòu)與功能說明 觀瀾分公司網(wǎng)絡(luò)拓?fù)鋱D1.公司網(wǎng)絡(luò)拓?fù)鋱D如上由外網(wǎng)

31、接路由器,路由器接一個D-link公司的三層交換機(jī),下面級聯(lián)不同的設(shè)備,分別做不同的用處,行政辦公(192.168.10.1)、無線路由器(192.168.11.1)、視頻監(jiān)控(192.168.12.1)、待用(192.168.13.1)。2.需求分析 這樣的一個典型網(wǎng)絡(luò)對網(wǎng)絡(luò)管理的需求是存在的,在網(wǎng)絡(luò)運(yùn)行中,有如下的情況a 經(jīng)常有同事反映某網(wǎng)段特別慢,某網(wǎng)段傳輸不穩(wěn)定等情況b 由于各方面的原因,維護(hù)網(wǎng)絡(luò)運(yùn)行的人并不擁有對網(wǎng)絡(luò)設(shè)備真正意義上的管理權(quán)限,對網(wǎng)絡(luò)的監(jiān)管處于無序的狀態(tài)c 公司自身?xiàng)l件不能夠采用商品化的網(wǎng)絡(luò)管理產(chǎn)品為了解決上面的問題,利用snmp工具和組件來構(gòu)建一個網(wǎng)絡(luò)管理系統(tǒng), 并在

32、項(xiàng)目中實(shí)施下來。3網(wǎng)路管理系統(tǒng)體系結(jié)構(gòu) a 系統(tǒng)基本框架:采用snmpv2協(xié)議,采用管理器+管理代理的模式,在服務(wù)器上需要配置代理。b 監(jiān)測: 在公司目前網(wǎng)絡(luò)情況下,采用集中監(jiān)測方式足以完成其應(yīng)承擔(dān)的工作c 運(yùn)行平臺:windows server 2003d 被管理對象:DGS-3700-28N(三層交換機(jī)) DI-7300(路由器) DES-3100-26(二層交換機(jī)) 以及郵件服務(wù)器和DNS服務(wù)器等4需要一個MRTG(Multi Router Traffic Grapher)軟件 MRTG是一個監(jiān)控網(wǎng)路鏈路流量負(fù)載的工具軟件,在我們網(wǎng)絡(luò)管理系統(tǒng)MRTG承擔(dān)著重要的角色,提供GUI的圖形界面

33、以及web方式訪問。5. 配置SNMP 打開“windows組件向?qū)А痹凇敖M件”中單機(jī)“管理和監(jiān)視工具”,然后單機(jī)“詳細(xì)信息”。選中“簡單網(wǎng)絡(luò)管理協(xié)議”復(fù)選框,然后單機(jī)“確定”。再選擇“下一步”。(下圖).執(zhí)行該過程,必須是計(jì)算機(jī)administrators組的成員,或者您必須被委派了適當(dāng)?shù)臋?quán)限,某些windows組件在使用之前需要進(jìn)行配置。如果已經(jīng)安裝一個或多個這樣的組件,但沒有對她們進(jìn)行配置,則單機(jī)“添加/刪除程序”時,將顯示需要配置的組件列表。安裝完成后SNMP啟動 安裝完成后,在“常規(guī)”選項(xiàng)卡下,用戶可以查看SNMP服務(wù)對應(yīng)的可執(zhí)行程序文件、服務(wù)狀態(tài),并可修改服務(wù)的啟動類型。(下圖)單

34、機(jī)“代理”可進(jìn)行代理配置,其中的聯(lián)系人位置、服務(wù)分別對應(yīng)系統(tǒng)組中的3個對象sysContact,sysLocation,sysService(下圖) 單機(jī)“陷阱”選項(xiàng)卡可進(jìn)行陷阱設(shè)置。設(shè)置方法是先輸入社區(qū)名稱,如“public”,然后單機(jī)“添加到列表”按鈕,最后輸入陷阱的目標(biāo)地址。陷阱的目標(biāo)地址一般是SNMP管理站,可輸入管理站的IP地址、IPX地址或主機(jī)名。(下圖) . 安全配置:windows snmp服務(wù)不僅允許指定被接受請求的社區(qū)名和主機(jī),還可指定當(dāng)收到一個非經(jīng)授權(quán)的社區(qū)名時是否發(fā)送身份驗(yàn)證陷阱。在“SNMP服務(wù)的屬性”對話框中單機(jī)“安全”,如果希望出現(xiàn)失敗認(rèn)證時發(fā)送陷阱,則選中“發(fā)送

35、身份認(rèn)證陷阱”反之,清除復(fù)選框。另外還可設(shè)置代理只接受特定主機(jī)的SNMP包。. Trap(陷阱)服務(wù):該服務(wù)接受由本地或遠(yuǎn)程SNMP代理程序產(chǎn)生死亡陷阱消息。然后將消息傳遞到運(yùn)行在本地計(jì)算機(jī)上的SNMP管理程序。SNMP Trap服務(wù)默認(rèn)啟動類型為手動,可在其啟動窗口中改為“自動”運(yùn)行。. 在SNMP服務(wù)安裝、配置完成并重新啟動SNMP服務(wù)后。管理站就可以向SNMP代理發(fā)出請求報(bào)文查詢信息,并接收代理的響應(yīng)報(bào)文了。測試程序:snmputilg.exe.或AdventNet SNMP Utilties等??梢詥庸獗P中/support/tools/setup.exe安裝此測試程序?!伴_始”“程序

36、”“windows 2000 support tools”“tools”中的“SNMP Query Utility”啟動snmputilg。 6.配置MRTG 收集信息:監(jiān)控設(shè)備的IP地址,snmp端口號,如果對監(jiān)控設(shè)備的輸入輸出字節(jié)之外的管理信息感興趣,需要知道對應(yīng)的OID監(jiān)控設(shè)備的社區(qū)字符串 生成配置文件(切換到c:mrtg-2.17.2bin目錄下,執(zhí)行per cfgmaker public 10.10.10.1-global“workDir:cwwwmrtg” -output mrtg.cfg 查看并編輯mrtg.cfg文件 ,創(chuàng)建c:wwwmrtg目錄 設(shè)置mrtg自動運(yùn)行,配置中文

37、件加入RunAsDaemon:yes 運(yùn)行start/Dc:mrtg-2.17.1bin wperl mrtg loggoing=event -log mrtg.cfg7 . 配置iis服務(wù),將默認(rèn)路徑指向c:inetpubwwwrootmrtg,在該路徑下建一個index.htm網(wǎng)頁,在該網(wǎng)頁中加入服務(wù)器和交換機(jī)的超鏈接,使用IE游覽器,輸入相應(yīng)的地址就可以查看網(wǎng)絡(luò)流量信息了。8. 設(shè)置MRTG自動運(yùn)行 默認(rèn)情況下,mrtg是不會自動啟動的,如果系統(tǒng)重啟,監(jiān)控就停止了,為了避免發(fā)生這種情況,我們還需要對系統(tǒng)進(jìn)行一些設(shè)置,以便在系統(tǒng)重啟時,mrtg能夠正常工作。將下面內(nèi)容使用記事本存為mrtg

38、.bat echo off cd c:mrtgbin start /D c:mrtgbin wperl mrtg logging=server01log c;inetpubwwwrootmrtgserver01server01.cfg start/D c:mrtgbin wperl mrtg logging=server01log c;inetpubwwwrootmrtgserver01switch01.cfg然后將.bat文件添加到啟動組里面,系統(tǒng)開機(jī)后就能自動啟動了 五總結(jié)與展望 一系列的查閱和實(shí)驗(yàn)之后,對SNMP協(xié)議有了一定的了解,但都是皮毛而已,里面涉及到的知識面太多太廣。十余年來,i

39、nternet上的網(wǎng)絡(luò)管理SNMP經(jīng)歷了曲折的發(fā)展過程,SNMPv1在面世之時把自己定位為一個過渡期的產(chǎn)物,從SNMPv2,SNMP脫離了OSI模型的束縛,在功能與管理上都有了長足的進(jìn)步,隨著網(wǎng)絡(luò)發(fā)展壯大,沒有安全的網(wǎng)絡(luò)管理是不能忍受的,需求的推動使IETF在總結(jié)數(shù)年來的網(wǎng)絡(luò)管理經(jīng)驗(yàn)的基礎(chǔ)上發(fā)布了SNMPv3,SNMPv3不僅在安全與管理上提出了實(shí)際可行的方案,而且提出了模塊化的體系結(jié)構(gòu),這些都標(biāo)識著從SNMPv3起,SNMP走向成熟,但是SNMP并非完美,其中仍有問題尚待解決,因此,提供既能保持SNMPv1的簡單性又能提供強(qiáng)有力的安全與管理特性的SNMPv3實(shí)現(xiàn)方案成為當(dāng)前以及將來一段時間的主要研究課題。六參考文獻(xiàn)部分參考文獻(xiàn)1 William Stallings著,胡成松、汪凱譯. SNMP網(wǎng)絡(luò)管理. 中國電力出版社 2001.9:62652 晏明峰譯. 用SNMP管理互聯(lián)網(wǎng)絡(luò)(第三版). 中國水利電利出版社 2001.3:5143 何艷輝、王達(dá)編著. 網(wǎng)管員必讀網(wǎng)絡(luò)管理. 電子工業(yè)出版社 2005.1:8297

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!