的管理功能。
(7)SNMP不支持管理站之间的通信,而这一点在分布式网络管理中是很需要的。
4.6SNMPv2管理信息结构
[本节要点]对象、表的定义,表的相关操作,SNMPv2 MIB。
[选择]SNMPv2把表分为两类:禁止删除和生成行的表以及允许删除和生成行的表。
[选择]SNMPv2 SMI引入的关键概念有对象的定义、概念表、通知的定义、信息模块。
[填空]SNMPv2增加的两种数据类型是Unsigned32、Counter64。
[选择]在SNMPv2中,包含的对象与管理对象的控制有关的组是MIB对象组。 [填空]SNMPv2中的接收地址表,包含广播地址、组播地址、单地址。 [选择]SNMPv2
的
5
种访问级别由大到小排列是
read-create,read-write,read-only,accessible-for-notify,not-accessible。
[填空]在对表的操作中,管理站生成一个概念行实例,但不会自动变成active,状态列应取createAndWait。 4.7SNMPv2协议数据单元
[本节要点]SNMPv2协议数据单元,SNMPv2报文,管理站之间的通信。 [简述]SNMPv2的3种检索操作过程:
(1)GetRequestPDU:检索时,按照以下规则对变量绑定表中的各个变量进行处理:若该变量的对象标识符前缀不能与这一请求可访问的任何变量的对象标识符前缀匹配,则返回一个错误值noSuchObject;若变量名不能与这一请求可访问的任何变量名完全匹配,则返回一个错误值noSuchInstance。这种情况可能出现在表访问中:访问了不存在的行,或正在生成中的表行等;如果不属于以上情况,则在变量绑定表中返回被访问的值;如果由于任何其他原因而处理失败,
21 / 34
则返回一个错误状态genErr,对应的错误索引指向有问题的变量;如果生成的响应PDU太大,超过了本地的或请求方的最大报文限制,则放弃这个PDU,构造一个新的响应PDU;其错误状态为tooBig,错误索引为0,变量绑定表为空。 (2)GetNextRequestPDU:SNMPv2按照下面规则处理getNext PDU变量绑定表中的每一个变量:对变量绑定表中指定变量在MIB中查找按照词典顺序的后继变量,如果找到,返回该变量的名字和值;如果找不到按照词典顺序的后继变量,则返回请求PDU中的变量名和错误值endOfMibView;如果出现其他情况使得构造响应PDU失败,以与GetRequest类似的方式返回错误值。 (3)GetBulkRequestPDU:检索过程:假设GetBulkRequestPDU变量绑定表中有L个变量,该PDU的“非重复数”字段的值为N,则对前N个变量应各返回一个词典后继,再设请求PDU的“最大后继数”字段的值为M,则对其余的R=L-N个变量应该各返回最多M个词典后继。如果可能,总共返回N+R×M个值,如果在任何一步查找过程中遇到不存在后继的情况,则返回错误值endOfMibView。
[简述]SNMPv2访问管理信息的方法: (1)管理站和代理之间的请求/响应通信。 (2)管理站和管理站之间的请求/响应通信。
(3)代理系统到管理站的非确认通信,即由代理向管理站发送陷入报文,报告出现的异常情况。
[选择]SNMPv2增加的管理站之间的通信机制是分布式网络管理所需要的功能特征。 4.8SNMPv3
[本节要点]SNMPv3管理框架,SNMP引擎,SNMP管理站和代理,USM、VACM模型。
[选择]SNMPv3中SNMP引擎和SNMP实体之间的关系是一对一。
22 / 34
[选择]SNMPv3把对网络协议的安全分为两类:主要威胁和次要威胁两类。主要威胁包括:修改信息和假冒;次要威胁包括:修改报文流和消息泄露;不必要防护的威胁:拒绝服务和通信分析。
[填空]SNMP引擎提供的服务有:发送和接收报文,认证和加密报文,控制对管理对象的访问。
[填空]RFC2574把安全协议分为3个模块: (1)时间序列模块:提供对报文延迟和重放的防护。 (2)认证模块:提供完整性和数据源认证。 (3)加密模块:防止报文内容的泄露。
[填空]DES加密标准是在56位密钥的控制下,将每64位为一个单元的明文变成64位的密码文。
[选择]SNMP引擎提供的服务:发送和接收报文、认证和加密报文、控制对管理对象的访问。
[简述]SNMP引擎结构包括:
(1)一个调度器。功能:(a)向/从网络中发送/接收SNMP报文。(b)确定SNMP报文的版本,并交给相应的报文处理模块处理。(c)为接收PDU的SNMP应用提供一个抽象的接口。(d)为发送PDU的SNMP应用提供一个抽象的接口。 (2)一个报文处理子系统。功能:(a)按照预定的格式准备要发送的报文。(b)从接收的报文中提取数据。(c)安全子系统的功能。 (3)一个安全子系统。功能:提供安全服务。
(4)一个访问控制子系统。功能:提供授权服务,即确定是否允许访问一个管理对象,或者是否可以对某个管理对象实施特殊的管理操作。
[填空]某些未经授权的实体改变了进来的SNMP报文,企图实施未经授权的管理操作,或者提供虚假的管理信息,这称为修改信息。 [简述]基于用户的安全模型可以防护的安全威胁有如下几种:
23 / 34
(1)修改信息:就是某些未经授权的实体改变了进来的SNMP报文,企图实施未经授权的管理操作,或者提供虚假的管理对象。
(2)假冒:即未经授权的用户冒充授权用户的标识,企图实施管理操作。 (3)修改报文流:由于SNMP协议通常是基于无连接的传输服务,重新排序报文流、延迟或重放报文的威胁都可能出现。这种威胁的危害性在于通过报文流的修改可能实施非法的管理操作。
(4)消息泄露:SNMP引擎之间交换的信息可能被偷听。
(5)拒绝服务:在很多情况下拒绝服务和网络失效是无法区别的。
(6)通信分析:即由第三者分析管理实体之间的通信规律,从而获取必要的信息。
第5章远程网络监控
5.1RMON的基本概念
[本节要点]RMON的基本概念;远程网络监控的目标;多管理站访问中出现的问题及其解决办法。
[选择]在RMON规范中增加了两种新的数据类型,它们是OwnerString和EntryStatus。其主要的目的是增强规范的可读性。
[选择]RMON扩充了SNMP的管理信息库,可以提供有关互联网管理的主要信息,在不改变SNMP协议的条件下增强网络管理的功能。
[选择]远程网络监控是对SNMP标准的重要补充,是简单网络管理向互联网管理过渡的重要步骤。
[选择]RMON的目标是监视子网范围内的通信,从而减少管理站和被管理系统之间的通信负担。
[选择]RMON规范在不修改、不违反SNMP管理框架的前提下提供了明晰而规律的行增加和行删除操作。
24 / 34
[填空]RMON规范中的表结构由控制表和数据表两部分组成。 [选择]在RMON中网络监视器的作用是监控被管设备。
[填空]通常用于监视整个网络通信情况的设备叫做网络监视器或者网络分析器、探测器等。
[简述]RMON控制表中的列对象Owner规定的表行所属关系,可以解决下列问题:
(1)管理站能认得自己所属的资源,也知道自己不再需要的资源。
(2)网络操作员可以知道管理站占有的资源,并决定是否释放其他操作员保有资源。
(3)一个被授权的网络操作员可以单方面地决定是否释放其他操作员保有的资源。
(4)如果管理站经过了重启动过程,它应该首先释放不再使用的资源。 [简述]当多个管理站并发访问RMON监视器时,可能出现的问题: (1)多个管理站对资源的并发访问可能超过监视器的能力。
(2)一个管理站可能长时间占用监视器资源,使得其他站得不到访问。 (3)占用监视器资源的管理站可能崩溃,然而没有释放资源。 [简述]远程网络监控的目标:
RMON定义了远程网络监控的管理信息库,以及SNMP管理站与远程监视器之间的接口。有下列目标:
(1)离线操作:必要时管理站可以停止对监视器的轮询,有限的轮询可以节省网络带宽和通信费用。
(2)主动监视:如果监视器有足够的资源、通信负载也容许,监视器可以连续地或周期地运行诊断程序,收集并记录网络性能参数。
(3)问题检测和报告:如果主动检测消耗网络资源太多,监视器可以被动地获取网络数据。
25 / 34