網(wǎng)絡(luò)專業(yè)畢業(yè)論文.doc

姓 名 專 業(yè) 班 級 09網(wǎng)絡(luò)3班 論 文 名 稱 研究snmp在網(wǎng)絡(luò)管理中的應(yīng)用 指 導 教 師 目錄一 選題背景21.1 課題概述21.2 技術(shù)背景2二 網(wǎng)絡(luò)管理與SNMP協(xié)議 32.1 網(wǎng)絡(luò)管理 32.2網(wǎng)絡(luò)管理分類及功能 32.3 SNMP協(xié)議3三 SNMP網(wǎng)絡(luò)管理的安全性探討83.1 引言83.2 SNMP存在的隱患83.3 SNMPv2配合IPSec安全模型83.4 SNMPv3安全模型9四 富滿電子有限公司網(wǎng)絡(luò)管理項目分析114.1 模擬SNMP獲取網(wǎng)絡(luò)設(shè)備信息 114.2 富滿電子有限公司網(wǎng)絡(luò)結(jié)構(gòu)與功能說明14五 總結(jié)與展望21六 參考文獻21一 選題背景1.1 課題概述隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，人們步入了一個全新的信息時代。面對日益復雜的網(wǎng)絡(luò)結(jié)構(gòu)與逐漸增加的網(wǎng)絡(luò)流量，網(wǎng)絡(luò)管理者需要實時了解各個網(wǎng)段的流量情況、網(wǎng)絡(luò)帶寬的使用率、硬件故障與軟件失誤的預警等網(wǎng)絡(luò)運行信息，要做到這點，最有效的辦法就是在原有的網(wǎng)絡(luò)硬件基礎(chǔ)上構(gòu)建一個網(wǎng)絡(luò)管理系統(tǒng)以實現(xiàn)對全網(wǎng)的監(jiān)控。而廣為人知的SNMP協(xié)議就符合這樣的要求，基于snmp協(xié)議的管理系統(tǒng) 適用中等規(guī)模的校園網(wǎng)和企業(yè)網(wǎng)，網(wǎng)絡(luò)成本低，管理效率明顯，為目前一些企業(yè)在網(wǎng)絡(luò)建設(shè)過程中“重硬件、輕管理、輕軟件”所帶來的一系列網(wǎng)絡(luò)管理問題提供了一個很好的解決途徑。越來越多的網(wǎng)絡(luò)設(shè)備都提供了對SNMP的支持，利用SNMP協(xié)議，可以了解網(wǎng)絡(luò)的運行情況，設(shè)置設(shè)備參數(shù)，收集相關(guān)數(shù)據(jù)，了解網(wǎng)絡(luò)的使用效率 。 雖然snmp用處大優(yōu)點多，但是根據(jù)SANS協(xié)會的報告，對于接入Internet的主機，SNMP是威脅安全的十大首要因素之一；同時，SNMP還是Internet主機上最常見的服務(wù)之一。特別地，SNMP服務(wù)通常在位于網(wǎng)絡(luò)邊緣的設(shè)備（防火墻保護圈之外的設(shè)備）上運行，進一步加劇了SNMP帶來的風險，這一切聽起來出人意料，但似乎又是情理之中，所以需要我們加強對snmp在網(wǎng)絡(luò)管理上應(yīng)用的研究。1.2技術(shù)背景 Snmp是管理進程（nms）和代理進程（agent）之間的通信協(xié)議，它規(guī)定了在網(wǎng)絡(luò)環(huán)境中對設(shè)備進行監(jiān)視和標準化管理框架、通信的公共語言、相應(yīng)的安全和訪問機制。網(wǎng)絡(luò)管理員使用snmp功能可以查詢設(shè)備信息、修改設(shè)備的參數(shù)值、監(jiān)控設(shè)備狀態(tài)、自動發(fā)現(xiàn)網(wǎng)絡(luò)故障、生成報告等。Snmp具有一下技術(shù)優(yōu)點：1 基于tcp/ip 互聯(lián)網(wǎng)的標準協(xié)議，傳輸層協(xié)議一般采用udp2 自動化網(wǎng)絡(luò)管理。網(wǎng)絡(luò)管理員可以利用snmp平臺在網(wǎng)絡(luò)上的節(jié)點檢索信息、修改信息、發(fā)現(xiàn)故障、完成故障診斷、進行容量規(guī)劃和生成報告。3 屏蔽不同設(shè)備的物理差異，實現(xiàn)不同廠商產(chǎn)品的自動化管理，snmp只提供最基本的功能集，使得管理任務(wù)被管設(shè)備的物理特性和實際網(wǎng)絡(luò)類型相對獨立，從而實現(xiàn)對不同廠商設(shè)備的管理。4 簡單的請求一應(yīng)答方式和主動通告方式相結(jié)合，并有超時和重傳機制。5 報文種類少，報文格式簡單，方便解析，易于實現(xiàn)。6 Snmpv3版本提供于認證和加密安全機制，以及基于用戶和視圖的訪問控制功能，曾強了安全性。 二 網(wǎng)絡(luò)管理與SNMP協(xié)議2.1網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理，是指網(wǎng)絡(luò)管理員通過網(wǎng)絡(luò)管理程序?qū)W(wǎng)絡(luò)上的資源進行集中化管理的操作，包括配置管理、性能和記賬管理、問題管理、操作管理和變化管理等，一臺設(shè)備所支持的管理程序反映了該設(shè)備的可管理性及可操作性。而交換機的管理功能是指交換機如何控制用戶訪問交換機，以及用戶對交換機的可視程度如何。通常，交換機廠商都提供管理軟件或滿足第三方管理軟件遠程管理交換機。一般的交換機滿足SNMP MIB I/MIB II統(tǒng)計管理功能，而復雜的一些交換機會增加通過增加內(nèi)置RMON組（mini-RMON）來支持RMON主動監(jiān)視功能。有的交換機還允許外接RMON 探監(jiān)視可選端口的 網(wǎng)絡(luò)狀況，常見的網(wǎng)絡(luò)管理方式有一下幾種： （1） snmp管理技術(shù)（2） RMON管理技術(shù)（3） 基于web管理技術(shù)2.2 網(wǎng)絡(luò)管理分類及功能 （1）網(wǎng)絡(luò)管理分類 網(wǎng)絡(luò)管理技術(shù)是伴隨著計算機、網(wǎng)絡(luò)和通信技術(shù)的發(fā)展而發(fā)展的，二者相輔相成，從網(wǎng)絡(luò)管理范疇來分類，可分為一下三種：a 對網(wǎng)絡(luò)的管理。即針對交換機、路由器等主干網(wǎng)絡(luò)進行管理。b 對接入設(shè)備的管理，即對內(nèi)部pc、服務(wù)器、交換機等進行管理。c 對行為的管理，即對用戶的使用進行管理；對資產(chǎn)的管理，即統(tǒng)計IT軟硬件的信息等。（2）網(wǎng)絡(luò)管理的功能 根據(jù)國際化標準組織定義網(wǎng)絡(luò)管理有五大功能：故障管理、配置管理、性能管理、安全管理、計費管理。對網(wǎng)絡(luò)管理軟件產(chǎn)品功能的不同，又可細分為五類，即網(wǎng)絡(luò)故障管理軟件、網(wǎng)絡(luò)配置管理軟件、網(wǎng)絡(luò)性能管理軟件、網(wǎng)絡(luò)服務(wù)/安全管理軟件、網(wǎng)絡(luò)計費管理軟件。2.3 SNMP協(xié)議 （1）概念 網(wǎng)絡(luò)管理協(xié)議（SNMP），由一組網(wǎng)絡(luò)管理協(xié)議的標準組成，包含一個應(yīng)用層協(xié)議、數(shù)據(jù)庫模型、和一組資料物件。該協(xié)議能夠支持網(wǎng)絡(luò)管理系統(tǒng)，用以監(jiān)測連接到網(wǎng)絡(luò)上的設(shè)備是否有任何引起管理上關(guān)注的情況。該協(xié)議是互聯(lián)網(wǎng)工程工作小組定義的Internet協(xié)議簇的一部分。 （2）SNMP工作過程 在典型的snmp用法中，有許多系統(tǒng)被管理，而且是有一或多個系統(tǒng)在管理他們。每一個被管理的系統(tǒng)叫做代理者（agent）的軟件元件，且透過snmp對管理系統(tǒng)報告資訊。 基本上，snmp代理者以變量呈現(xiàn)管理資料。管理系統(tǒng)透過GET,GETNEXT和GETBULK協(xié)定指令取回資訊，或是代理者在沒有被詢問 下，使用TRAP或INFORM傳送資料。管理系統(tǒng)也可以傳送配置更新或控制的請求，透過SET協(xié)定指令達到主動管理系統(tǒng)的目的。配置和控制 指令只有當網(wǎng)絡(luò)基本結(jié)構(gòu)需要改變的時候使用，而監(jiān)控指令則通常是常態(tài) 的工作?？赏高^snmp存取的變量以階層的方式結(jié)合。這些分層和其它數(shù)據(jù)（例如變量的類型和描述）以管理信息庫（MIBs）的方式描述。（4） SNMP協(xié)議的發(fā)展第一版：SNMPv1是SNMP協(xié)議的最初版本，提供最小限度的網(wǎng)絡(luò)管理功能。SNMPv1的SMI和MIB都比較簡單，且存在較多安全缺陷。SNMPv1采用團體名認證。團體名的作用類似于密碼，用來限制NMS對Agent的訪問。如果SNMP報文攜帶的團體名沒有得到NMS/Agent的認可，該報文將被丟棄。第二版：SNMPv2也采用團體名認證。在兼容SNMPv1的同時又擴充了SNMPv1的功能：它提供了更多的操作類型（GETBULK操作等），支持更多的數(shù)據(jù)類型（Counter32等），提供了更豐富的錯誤代碼，能夠更細致地區(qū)分錯誤。第三版：SNMPv3主要在安全方面進行了增強，它采用了USM和VCAM技術(shù)。USM提供了認證和加密功能，VACM確定用戶是否訪問特定的MIB對象以及訪問方式。（5） SNMP報文a. SNMPv1報文SNMP消息主要由version、community、snmp pdu幾部分構(gòu)成 bSNMPv2報文 比較SNMPv1而言，SNMPv2新增了Getbulk操作報文，Getbulk操作所對應(yīng)的基本操作類型是Getnext操作，通過對non repeaters 和Max repetitions 參數(shù)的設(shè)定，高效率地從Agent獲取大量管理對象數(shù)據(jù)，SNMPv2修改了trap報文格式，SNMPv2 Trap pud采用SNMPv1Get/Getnext/Set PDU的格式，并將sysuptime和snmptrapOID作為variable bindings中的變量來構(gòu)造報文。 cSNMPv3報文 其中，整個SNMPv3消息可以使用認證機制，并對EnineID、ContextName、PDU消息體部分進行加密，Requestid、maxsize、flags、securityModel、securityParameters構(gòu)成SNMPv3消息頭。 （6） Snmpv1和snmpv2實現(xiàn)機制Snmpv1/snmpv2實現(xiàn)機制基本一致，snmpv2豐富了錯誤碼，新增了Getbulk操作，下面在以SNMPv1版本環(huán)境執(zhí)行Get、Getnext和set操作為例來描述SNMPv1/SNMPv2的實現(xiàn)機制。a get操作NMS想要獲取被管理設(shè)備MIB節(jié)點sysname的值（sysname對象在允許訪問視圖內(nèi)），使用public為可讀團體名，過程如下：NMS給Agent發(fā)送get請求，請求報文主要字段被設(shè)置為：version字段的值為1，community字段的值為public，pdu里variable bingdings中name1字段的值為sysname 0.Agent給NMS發(fā)送get響應(yīng)，說明是否獲取成功，如果成功，則response pdu里variable bingdings中value1字段的值為設(shè)備的名字（比如Agent010-H3C），如果獲取失敗，則在Error status字段填上出錯的原因，在error index填上出錯的位置信息。 b getnext操作NMS想要獲取被管理設(shè)備MIB節(jié)點sysname的下一個節(jié)點syslocation的值（sysname和syslocation對象都在允許訪問視圖內(nèi)），使用public為可讀團體名，過程如下：NMS給Agent發(fā)送GetNext請求，請求報文主要字段將被設(shè)置為：version字段的值為1，community字段的值為public，pdu里variable bindings中name1字段的值為sysname 0。Agent給NMS發(fā)送Getnext響應(yīng)，如果成功，則response PDU里varible bingdings中name1字段值為sysname.0的下一個節(jié)點syslocation.0，Value字段的值為（比如Beijing China）；如果獲取失敗，則在error status字段填上出錯的原因，在error index填上出錯的位置信息。c set操作NMS想要被管理設(shè)備MIB節(jié)點sysname的值為device01，使用private為可寫團體名，過程如下：NMS給Agent發(fā)送Set請求，請求報文主要字段將被設(shè)置為：version的字段為1，community字段的值為private，PDU里variable bingdings中name1字段的值為sysname.0，value1字段的填為device01。Agent給NMS發(fā)送get響應(yīng)，說明是否設(shè)置成功，如果成功，則response PDU里variable bingdings中value1字段的值填為設(shè)備的新名字（比如device01），如果設(shè)置失敗則在error status字段填上出錯的原因，在error index填上出錯的位置信息。d trap操作當設(shè)備發(fā)生某些異常需要通知NMS時，Agent會主動發(fā)出trap報文，例如：設(shè)備某端口網(wǎng)線被拔出，Agent發(fā)送linkdown的trap消息給nms，version字段的值為1，community字段的值為public，pdu中enterprise字段為sysobjectID.0的取值，（比如為enterprise.25506），generic trap字段值為linkdown，varible bingdings字段攜帶接口相關(guān)信息。（7） SNMPv3實現(xiàn)機制Snmpv3各操作的實現(xiàn)機制同snmpv1和snmpv2基本一樣，其主要區(qū)別在于snmpv3新增了認證和加密、解密的處理。下面以snmpv3使用認證和加密方式執(zhí)行g(shù)et操作作為實例來描述其實現(xiàn)機制，過程如下：NMS首先發(fā)送不帶任何認證和加密參數(shù)的get請求，flags字段設(shè)置為0 x4，以獲取contextengineID、contextname、authoritativeEngineID、authoritativeEngineBoots、authoritativeEngineTime等相關(guān)參數(shù)的值。Agent解析信息，發(fā)送report報文并攜帶上訴相關(guān)參數(shù)的值。NMS再給Agent發(fā)送Get請求，請求報文主要字段將被設(shè)置成為：version字段的值為3，將（2）獲取的參數(shù)填入相應(yīng)字段，PDU里variable bingdings中name1字段的值為sysname.0，并且根據(jù)配置認證算法計算出AuthenticationParameters，使用配置的加密算法計算出privacyparameters，并使用配置的加密算法對PDU數(shù)據(jù)進行加密。Agent首先對消息進行認證，認證后通過PDU報文進行解密，解密成功后，則獲取sysname.0對象的值，并將response PDU里variable bingdings中value1字段的值填為設(shè)備的名字（比如Agent010），如果認證、解析失敗或者獲取參數(shù)值失敗，則在error status字段填上出錯的原因，在error index填上出錯的位置信息，最后對PDU進行加密，設(shè)置contextEngineID、 authoritativeEngineID、authoritativeEngineBoots、contextname、authoritativeEngineTime、authenticationparameters、PrivacyParameters等參數(shù)，發(fā)送響應(yīng)報文。三 SNMP網(wǎng)絡(luò)管理的安全性探討3.1引言簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議，1990年5月，RFC1157定義了SNMP的一個版本SNMPv1，RFC1157和另一個關(guān)于管理信息的文件RFC1155一起，提供了一種監(jiān)控和管理計算機網(wǎng)絡(luò)的系統(tǒng)方法，SNMP也有明顯的不足，如難以實現(xiàn)大量的數(shù)據(jù)傳輸，缺少身份驗證和和機密機制，因此提出了SNMPv3，其安全部分給網(wǎng)絡(luò)管理提供安全保障，ip安全工具ipsec也提供了網(wǎng)絡(luò)通信加密技術(shù)。3.2 SNMP存在的隱患安全問題是SNMP是否能夠廣泛應(yīng)用的重要因素，也是應(yīng)用者越來越關(guān)心的問題，下面從分析者的角度來分析SNMP協(xié)議中存在的安全隱患，以便尋找相應(yīng)的對策，并且推動協(xié)議的不斷完善和發(fā)展，安全方面可以從一下六個方面來分析：1）偽裝威脅：一些未被授權(quán)的實體冒充一個授權(quán)的實體去執(zhí)行一些管理操作。2）消息更改威脅：SNMP協(xié)議提供了管理站查詢和控制管理代理中對象值的方法。消息更改威脅就在于一些非授權(quán)的實體更改傳輸?shù)膬?nèi)容，以至于產(chǎn)生非法網(wǎng)管操作。3）消息泄漏威脅：攻擊者可以竊聽網(wǎng)管代理和管理站之間的信息交換。4）消息流更改威脅：SNMP是一種基于無連接（UDP）的傳輸服務(wù)，這種不可靠傳輸可能使消息被他人俘獲，重新排序、延退或故意重發(fā)。5）服務(wù)拒絕威脅：攻擊者可以截取管理站和代理之間正常的信息交換信息。6）流量分析威脅：攻擊者可以分析管理代理者很管理站之間的業(yè)務(wù)流量。3.3 SNMPv2配合IPSec安全模型 1. SNMP配合IPSec的安全特性，加密和認證服務(wù)都是為了保障SNMP信息安全，下面的分析都是假定IPSec的ESP特性被用于來在兩個安全網(wǎng)關(guān)的通路之間提供認證和加密鼓舞服務(wù)，典型情況如下，一個被隱藏起來的SNMP管理程序主機和另一個子網(wǎng)中的SNMP設(shè)備通過IPSec通道通信盡管IPSec可以提供安全網(wǎng)關(guān)之后的主機和主機之間的安全認證，通常情況下，并不會在SNMP設(shè)備上安裝IPSec協(xié)議包，這樣就使得很多重要的SNMP信息以明文的方式傳遞。如果不采取強有力的安全措施，將很有可能使得網(wǎng)絡(luò)存在嚴重的隱患。SNMP配合IPSec解決方案的主要優(yōu)點是能清楚地將安全過程和SNMP過程分開。2. SNMP配合IPSec的功能特性，使用IPSec安全特性并不直接面向用 戶，在IPSec協(xié)議中，密匙的管理和更新是自動的通過IKE協(xié)議來處理的，這種自動更換密匙的機制很大地提高了整個系統(tǒng)的安全性，由此得知，SNMP配合IPSec這種解決方案為大型網(wǎng)絡(luò)提供了一種安全的訪問模式。3.4 SNMPv3安全模型1.SNMPv3基于用戶的安全模型（USM），USM主要提供認證服務(wù)和加密服務(wù)，認證技術(shù)主要是針對SNMP消息報文頭的控制，它允許一個實體鑒別一個消息的來源以及這個消息是否被修改，它還允許合適性檢驗，通過確認消息按照合適的方式接受，減少消息被延遲和惡意重復的威脅。如下圖2，USM的安全機制圖2身份鑒別：在雙方進行數(shù)據(jù)通信前，首先要確認對方的身份，要求交易雙方的身份不能或偽裝，通過數(shù)字簽名技術(shù)使得SNMP實體在接受消息后確認消息是否來自授權(quán)的實體，并且消息在傳輸過程中從未被改變的過程。USM使用默認的HMAC-MDG-96或者HMAC-SHA-96算法進行消息的認證，如果在安全強度較高的條件下，可以采用其他算法替代，如AES算法。合時性檢查：主要實現(xiàn)對報文延遲或重發(fā)的保護，在SNMPv3安全通信中，USM采用一種寬松的同步時鐘技術(shù)來判定消息是否被故意延遲，時鐘值由EngineBoots和EngineTime兩部分組成，兩個SNMP實體通信時，將本實體“始終”值的這兩個參數(shù)填入消息對應(yīng)的msgAuthoritativeEngineBoots和msgAuthoritativeEngineBoots域，發(fā)送給對方，對方取出消息中的時鐘值，與自己的時鐘值進行比較作合適檢查。重復性檢查：每個發(fā)送的報文都有一個報文標識符msgID，發(fā)送SNMP請求的實體將負責使用這個消息標識符，將它接收到的一個響應(yīng)與一個未解決的請求匹配，并且在150s間隔中不能有兩個相同的msgID字段的報文回送。假設(shè)有兩個具有相同消息標識符的響應(yīng)在一個150s時間窗口中接收，第一個響應(yīng)將被匹配，然后刪去具有該標志符的請求，因而后到的重復響應(yīng)將無相應(yīng)請求與之匹配而被丟棄，通過這種機制，發(fā)送者可以在一定程度上判別報文是否是重發(fā)以防止報文復制。報文加密：報文加密是保護信息在傳輸過程中不被泄密和篡改。保密過程與身份認證類似，也需要管理站和代理共享同一密鑰來實現(xiàn)消息的加密和解密，privkey由口令經(jīng)MD5算法獲得。USM規(guī)定了加密使用的是DES的CBC（密文塊鏈接）模式。2.SNMPv3基于視圖的訪問控制模型（VACM）。VA CM解決的主要問題是合法實體是否有權(quán)限去操作它在PDU中所要求的MIB對象，并將用戶和特定的MIB視圖關(guān)聯(lián)起來，此外，它還可以為特定的安全模型和安全級別定義不同的MIB視圖，在具體實現(xiàn)權(quán)限管理時，引入了組的概念，通過設(shè)置它的屬性來設(shè)置它所規(guī)定的權(quán)限，一個用戶若屬于一個組，那么它就擁有了這個組所規(guī)定的權(quán)限。組中應(yīng)包括以下屬性：安全模型、安全級別、上下文名以及讀/寫/通知視圖名。利用安全模型和安全名作為索引找到一個記錄形成一個組名。VACM MIB由以下幾個表組成：（1）vacmContextTable：定義了本地可用的上下文。（2） hracmSamrityToGroupTable：將一個securityMoclel和seoarityName映射為一個groupName（3）vacmAccessTable：將一個groupName上下文以及安全信息映射為一個MIB視圖。（4）vacmviewFamilyTable：定義是否可以為一個給定的MIB視圖訪問一個對象標識符。下圖是VACM作出決策需要的六個步驟：VACM訪問控制方式你是誰（包含安全模型和安全名稱的組）你想去哪兒（要訪問你的上下文） 在訪問這些消息時，你有多安全（安全模型和安全級別）你為什么要訪問這些信息（讀、寫或者發(fā)送通知）你要訪問什么對象（對象類型）你想要訪問哪個對象（對象實例） 四 富滿電子有限公司網(wǎng)絡(luò)管理系統(tǒng)項目分析4.1 通過實驗?zāi)MSNMP獲取網(wǎng)絡(luò)設(shè)備信息1.實驗環(huán)境 2.實驗工具Packet tracer 模擬器3. 實驗內(nèi)容1) 按圖所示連接網(wǎng)絡(luò)配置交換機管理地址為：vlan 1 192.168.1.2 255.255.255.0Switch#config tSwitch（config）#interface vlan 1Switch（config-if）#no shut Switch（config-if）#ip address 192.168.1.2 255.255.255.02) 配置路由器RouterenableRouterconfig tRouter(config)#hostname R1R1(config)#interface f0/0R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#exitR1(config)#snmp-server community 0802 roR1(config)#snmp-server community 0802 rw3) 配置交換機SwitchenableSwitch#config tSwitch#interface vlan 1Switch(config-if)#ip address 192.168.1.2 255.255.255.0Switch(config-if)#exitSwitch(config)#snmp-server community 0802 roSwitch(config)#snmp-server community 0802 rw4) 獲取網(wǎng)絡(luò)設(shè)備的系統(tǒng)消息首先，點進pc，選擇destop的MIB選擇advanced，填入需要管理網(wǎng)絡(luò)設(shè)備的ip地址，填入設(shè)備上community值（0802）5) 測試結(jié)果通過查找MIB數(shù)據(jù)庫中精確查找我們需要的信息節(jié)點路徑，得到我們所需要的信息節(jié)點路徑OID（136121110）通過get操作以snmp數(shù)據(jù)到網(wǎng)絡(luò)設(shè)備獲取網(wǎng)絡(luò)設(shè)備的信息。.4.2 富滿電子有限公司網(wǎng)絡(luò)結(jié)構(gòu)與功能說明 觀瀾分公司網(wǎng)絡(luò)拓撲圖1.公司網(wǎng)絡(luò)拓撲圖如上由外網(wǎng)接路由器，路由器接一個D-link公司的三層交換機，下面級聯(lián)不同的設(shè)備，分別做不同的用處，行政辦公（192.168.10.1）、無線路由器（192.168.11.1）、視頻監(jiān)控（192.168.12.1）、待用（192.168.13.1）。2.需求分析 這樣的一個典型網(wǎng)絡(luò)對網(wǎng)絡(luò)管理的需求是存在的，在網(wǎng)絡(luò)運行中，有如下的情況a 經(jīng)常有同事反映某網(wǎng)段特別慢，某網(wǎng)段傳輸不穩(wěn)定等情況b 由于各方面的原因，維護網(wǎng)絡(luò)運行的人并不擁有對網(wǎng)絡(luò)設(shè)備真正意義上的管理權(quán)限，對網(wǎng)絡(luò)的監(jiān)管處于無序的狀態(tài)c 公司自身條件不能夠采用商品化的網(wǎng)絡(luò)管理產(chǎn)品為了解決上面的問題，利用snmp工具和組件來構(gòu)建一個網(wǎng)絡(luò)管理系統(tǒng)， 并在項目中實施下來。3網(wǎng)路管理系統(tǒng)體系結(jié)構(gòu) a 系統(tǒng)基本框架：采用snmpv2協(xié)議，采用管理器+管理代理的模式，在服務(wù)器上需要配置代理。b 監(jiān)測： 在公司目前網(wǎng)絡(luò)情況下，采用集中監(jiān)測方式足以完成其應(yīng)承擔的工作c 運行平臺：windows server 2003d 被管理對象:DGS-3700-28N(三層交換機) DI-7300（路由器） DES-3100-26（二層交換機） 以及郵件服務(wù)器和DNS服務(wù)器等4需要一個MRTG（Multi Router Traffic Grapher）軟件 MRTG是一個監(jiān)控網(wǎng)路鏈路流量負載的工具軟件，在我們網(wǎng)絡(luò)管理系統(tǒng)MRTG承擔著重要的角色，提供GUI的圖形界面以及web方式訪問。5. 配置SNMP 打開“windows組件向?qū)А痹凇敖M件”中單機“管理和監(jiān)視工具”，然后單機“詳細信息”。選中“簡單網(wǎng)絡(luò)管理協(xié)議”復選框，然后單機“確定”。再選擇“下一步”。（下圖）.執(zhí)行該過程，必須是計算機administrators組的成員，或者您必須被委派了適當?shù)臋?quán)限，某些windows組件在使用之前需要進行配置。如果已經(jīng)安裝一個或多個這樣的組件，但沒有對她們進行配置，則單機“添加/刪除程序”時，將顯示需要配置的組件列表。安裝完成后SNMP啟動 安裝完成后，在“常規(guī)”選項卡下，用戶可以查看SNMP服務(wù)對應(yīng)的可執(zhí)行程序文件、服務(wù)狀態(tài)，并可修改服務(wù)的啟動類型。（下圖）單機“代理”可進行代理配置，其中的聯(lián)系人位置、服務(wù)分別對應(yīng)系統(tǒng)組中的3個對象sysContact，sysLocation，sysService（下圖） 單機“陷阱”選項卡可進行陷阱設(shè)置。設(shè)置方法是先輸入社區(qū)名稱，如“public”，然后單機“添加到列表”按鈕，最后輸入陷阱的目標地址。陷阱的目標地址一般是SNMP管理站，可輸入管理站的IP地址、IPX地址或主機名。（下圖） . 安全配置：windows snmp服務(wù)不僅允許指定被接受請求的社區(qū)名和主機，還可指定當收到一個非經(jīng)授權(quán)的社區(qū)名時是否發(fā)送身份驗證陷阱。在“SNMP服務(wù)的屬性”對話框中單機“安全”，如果希望出現(xiàn)失敗認證時發(fā)送陷阱，則選中“發(fā)送身份認證陷阱”反之，清除復選框。另外還可設(shè)置代理只接受特定主機的SNMP包。. Trap（陷阱）服務(wù)：該服務(wù)接受由本地或遠程SNMP代理程序產(chǎn)生死亡陷阱消息。然后將消息傳遞到運行在本地計算機上的SNMP管理程序。SNMP Trap服務(wù)默認啟動類型為手動，可在其啟動窗口中改為“自動”運行。. 在SNMP服務(wù)安裝、配置完成并重新啟動SNMP服務(wù)后。管理站就可以向SNMP代理發(fā)出請求報文查詢信息，并接收代理的響應(yīng)報文了。測試程序：snmputilg.exe.或AdventNet SNMP Utilties等。可以啟動光盤中/support/tools/setup.exe安裝此測試程序。“開始”“程序”“windows 2000 support tools”“tools”中的“SNMP Query Utility”啟動snmputilg。 6.配置MRTG 收集信息:監(jiān)控設(shè)備的IP地址，snmp端口號，如果對監(jiān)控設(shè)備的輸入輸出字節(jié)之外的管理信息感興趣，需要知道對應(yīng)的OID監(jiān)控設(shè)備的社區(qū)字符串 生成配置文件(切換到c：mrtg-2.17.2bin目錄下,執(zhí)行per cfgmaker public 10.10.10.1-global“workDir：cwwwmrtg” -output mrtg.cfg 查看并編輯mrtg.cfg文件 ，創(chuàng)建c：wwwmrtg目錄 設(shè)置mrtg自動運行，配置中文件加入RunAsDaemon：yes 運行start/Dc：mrtg-2.17.1bin wperl mrtg loggoing=event -log mrtg.cfg7 . 配置iis服務(wù)，將默認路徑指向c：inetpubwwwrootmrtg,在該路徑下建一個index.htm網(wǎng)頁，在該網(wǎng)頁中加入服務(wù)器和交換機的超鏈接，使用IE游覽器，輸入相應(yīng)的地址就可以查看網(wǎng)絡(luò)流量信息了。8. 設(shè)置MRTG自動運行 默認情況下，mrtg是不會自動啟動的，如果系統(tǒng)重啟，監(jiān)控就停止了，為了避免發(fā)生這種情況，我們還需要對系統(tǒng)進行一些設(shè)置，以便在系統(tǒng)重啟時，mrtg能夠正常工作。將下面內(nèi)容使用記事本存為mrtg.bat echo off cd c:mrtgbin start /D c:mrtgbin wperl mrtg logging=server01log c;inetpubwwwrootmrtgserver01server01.cfg start/D c:mrtgbin wperl mrtg logging=server01log c;inetpubwwwrootmrtgserver01switch01.cfg然后將.bat文件添加到啟動組里面，系統(tǒng)開機后就能自動啟動了 五總結(jié)與展望 一系列的查閱和實驗之后，對SNMP協(xié)議有了一定的了解，但都是皮毛而已，里面涉及到的知識面太多太廣。十余年來，internet上的網(wǎng)絡(luò)管理SNMP經(jīng)歷了曲折的發(fā)展過程，SNMPv1在面世之時把自己定位為一個過渡期的產(chǎn)物，從SNMPv2,SNMP脫離了OSI模型的束縛，在功能與管理上都有了長足的進步，隨著網(wǎng)絡(luò)發(fā)展壯大，沒有安全的網(wǎng)絡(luò)管理是不能忍受的，需求的推動使IETF在總結(jié)數(shù)年來的網(wǎng)絡(luò)管理經(jīng)驗的基礎(chǔ)上發(fā)布了SNMPv3，SNMPv3不僅在安全與管理上提出了實際可行的方案，而且提出了模塊化的體系結(jié)構(gòu)，這些都標識著從SNMPv3起，SNMP走向成熟，但是SNMP并非完美，其中仍有問題尚待解決，因此，提供既能保持SNMPv1的簡單性又能提供強有力的安全與管理特性的SNMPv3實現(xiàn)方案成為當前以及將來一段時間的主要研究課題。六參考文獻部分參考文獻1 William Stallings著，胡成松、汪凱譯. SNMP網(wǎng)絡(luò)管理. 中國電力出版社 2001.9：62652 晏明峰譯. 用SNMP管理互聯(lián)網(wǎng)絡(luò)（第三版）. 中國水利電利出版社 2001.3：5143 何艷輝、王達編著. 網(wǎng)管員必讀網(wǎng)絡(luò)管理. 電子工業(yè)出版社 2005.1：8297