第五章简单网络管理协议 SNMPv2

　　考试要求

　　1.SNMP的演变，要求达到识记层次

　　SNMP的演变过程

　　2.网络安全问题，要求达到领会层次

　　计算机网络的安全威胁

　　网络管理中的安全问题

　　网络中的安全机制：数据加密技术、数据完整性和数据源认证技术

　　3.管理信息结构，要求达到领会层次

　　对象的定义

　　表的定义、索引和操作

　　通告的定义和作用

　　4.管理信息库，要求达到简单应用层次

　　System组增加的新对象

　　SNMP组对象与SNMPv2操作的关系

　　MIB对象组的作用

　　一致性声明的主要内容

　　接口组增加的对象及应用

　　5.SNMPv2的操作，要求达到简单应用层次

　　SNMPv2的报文结构和交换序列

　　SNMPv2协议数据单元的功能和操作

　　SNMPv2管理站之间的通信机制

　　6.SNMPv2的实现，要求达到领会层次

　　可利用的种种传输服务

　　SNMPv2与OSI的兼容性

　　在 TCP/IP网络中实现OSI系统管理功能的方法

　　SNMP的局限性

　　知识重点

　　（一） SNMP的演变

　　1.SNMP的发展

　　当初提出 SNMP 的目的识作为弥补网络管理协议发展阶段之间空缺的一种临时性措施。 SNMP 出现后显示了许多优点。最主要的优点是：简单、容易实现，而且是基于人们熟悉的 SGMP （ Simple Gateway Monitoring Protocol ）协议，已有相当多的操作经验。在 1998 年，为了适应当时紧迫的网络管理需要，确定了网络管理标准开发的双轨制策略。

　　？SNMP可以满足当前的网络管理需要，用语管理配置简单的网络，并且在将来以平稳地过度到新地网络管理标准。

　　？OSI网络管理（即CMOT）作为长期地解决办法，可以应付未来更复杂地网络的配置，提供更全面的管理功能。但是需要较长的开发过程，以及开发商和用户接受的过程。

　　为了修补SNMP的安全缺陷，1992年7月出现了一个新标准——安全SNMP（S-SNMP），这个协议增强了安全方面的功能：

　　。用报文摘要算法 MD5保证数据完整性和进行数据源认证。

　　。用时间戳对报文排序。

　　。用 DES算法提供数据加密功能。

　　但是，S-SNMP没有改进SNMP在功能和效率方面的其他缺点。几乎与此同时，有任又提出了另外一个协议SMP（Simple Management Protocol），这个协议由8个文件组成（非RFC），它对SNMP的扩充表现在下列方面：

　　。适用范围： SMP可以管理任意资源，不仅是网络资源，还可用于应用管理，系统管理。可实现管理站之间的通信，也提供了更明确更灵活的描述框架，可以描述一致性要求和实现能力。在SMP中管理信息的扩展性得到了增强。

　　。复杂程度、速度和效率：保持了 SNMP的简单性，更容易实现，并提供了数据块传送能力，因而速度和效率更高。

　　。安全设施：结合了 S-SNMP提供的安全功能。

　　。兼容性：可以运行在 TCP/IP网络上，也适合OSI系统和运行其他通信协议的网络。

　　在对 S-SNMP和SMP讨论的过程中，Internet研究人员达成了如下的共识：必须扩展SNMP的功能，并增强其安全设施，使用户和制造商尽快地从原来的SNMP过渡到第二代SNMP，于是S-SNMP被放弃，决定以SMP为基础开发SNMP第二版，即SNMPv2.IETF组织了两个工作组。一个负责协议功能和管理信息库的扩展，另一个负责SNMP的安全方面，1992年10月正式开始工作。这两个组的工作进展非常之快，功能组的工作在1992年12月完成，安全组在1993年完成。后来又经过几年的实验和论证，新的RFC文件集合在1996年完成。然而就在新的RFC文件发布时有人发现安全方面存在重要缺陷，而改进安全设施的工作又迟迟没有进展。后来决定丢掉安全功能，把增加的其他功能作为新标准颁布，并保留了SNMPv1的报文封装格式，因而叫做基于团体名的SNMP（Community-base SNMP），简称SNMPv2C.

　　（二）网络安全问题

　　1.计算机网络的安全威胁

　　为了理解对计算机网络的安全威胁，我们首先定义安全需求。计算机和网络需要以下 3 方面的安全性：

　　。保密性（ secrecy）：计算机中的信息只能由授予访问权限的用户读取（包括显示、打印等，也包含暴露信息存在的事实）。

　　。数据完整性（ integrity）：计算机系统中的信息资源只能被授予权限的用户修改。

　　。可利用性（ availability）：具有访问权限的用户在需要时可以利用计算机系统中的信息资源。

　　2.网络管理中的安全问题

　　由于网络管理时分布在网络商的应用程序和数据库的集合，各种安全威胁都可能影响网络管理系统，造成管理系统失效或发出了错误的管理指令，破坏了计算机网络的正常运行。对于网络管理特别有 3 个安全方面的威胁值得提出：

　　。伪装的用户：没有得到授权的一般用户企图访问网络管理应用和管理信息。

　　。假冒的管理程序：无关的计算机系统可能伪装成网络管理站实施管理功能。

　　。侵入管理站和代理之间的信息交换过程：网络入侵者通过观察网络活动窃取了敏感的管理信息，更严重的危害时可能篡改管理信息，或中断管理站和代理之间的通信。