網(wǎng)絡(luò )管理需求：應用組成復雜，互聯(lián)規模大、設備多樣，異構型、多協(xié)議?；ヂ?lián)、性能要求不同的網(wǎng)絡(luò )業(yè)務(wù)增加了管理難度和費用。

目的：減少停機時(shí)間，改進(jìn)響應時(shí)間，提高設備利用率、減少運行費用，提高效率、減少/消滅網(wǎng)絡(luò )瓶頸、適應新技術(shù)、方便修改優(yōu)化配置、容易使用、網(wǎng)絡(luò )業(yè)務(wù)多、保密、控制網(wǎng)絡(luò )訪(fǎng)問(wèn)資源、安全。

體系結構：操作系統、協(xié)議支持、管理框架、管理應用。

網(wǎng)絡(luò )管理框架特點(diǎn)：管理功能分管理站和代理、為存管理信息提供數據庫支持、提供用戶(hù)接口和視圖、提供基本的管理操作。

NME：網(wǎng)絡(luò )節點(diǎn)包含一組與管理有關(guān)軟件。

NMA：管理站中一組軟件叫做網(wǎng)絡(luò )管理應用，提供用戶(hù)接口、按用戶(hù)命令顯示管理信息、通過(guò)網(wǎng)絡(luò )向NME發(fā)請求和指令。

管理實(shí)體任務(wù)：收集網(wǎng)絡(luò )通信統計信息、對本地設備測試記錄設備狀態(tài)信息、本地存有關(guān)信息、響應網(wǎng)控中心的請求發(fā)送管理信息、根據網(wǎng)控中心指令設置改變設備參數。集中式：所有代理在管理站監視控制下協(xié)同，實(shí)現集成網(wǎng)管，可以有效控制整個(gè)網(wǎng)絡(luò )資源、平衡負載，優(yōu)化網(wǎng)絡(luò )。分布式：分布式管理系統代替單獨的網(wǎng)控主機地理分部的網(wǎng)管客戶(hù)機和一組網(wǎng)管服務(wù)器交付作用，共同完成網(wǎng)管功能。

分部門(mén)管理：限制客戶(hù)機只能訪(fǎng)問(wèn)管理本部門(mén)網(wǎng)絡(luò )資源，有一個(gè)中心管理站全局管理，還能對管理功能弱的客戶(hù)機發(fā)指令實(shí)現高級管理，靈活性和可伸縮性。

委托代理和非標準設備：（不支持網(wǎng)管標準、不能完整實(shí)現NME、或無(wú)法運行附加軟件）間運行制造商專(zhuān)用協(xié)議，協(xié)議轉換。

管理軟件結構：用戶(hù)接口軟件（交互和處理簡(jiǎn)單信息）、管理專(zhuān)用軟件（檢索、配置）、管理支持軟件（MIB訪(fǎng)問(wèn)模塊、通信協(xié)議棧）網(wǎng)絡(luò )監控系統網(wǎng)管功能（網(wǎng)絡(luò )監控）網(wǎng)絡(luò )監視（收集系統和子網(wǎng)狀態(tài)信息、分析被管設備行為，以便發(fā)現問(wèn)題）和網(wǎng)絡(luò )控制（修改參數或配置網(wǎng)絡(luò )資源，改善運行狀態(tài)）。解決的問(wèn)題：

１對管理信息定義：說(shuō)明監視哪些管理信息、從哪些被管獲得信息

２監控機制的設計：如何從被管資源得到需要的信息

３管理信息的應用：根據收集的信息實(shí)現什么功能。

管理信息：靜態(tài)信息：包括系統和網(wǎng)絡(luò )配置信息、動(dòng)態(tài)信息：網(wǎng)絡(luò )中出現的事件和設備的工作狀態(tài)有關(guān)、統計信息：從動(dòng)態(tài)信息推導的信息。網(wǎng)監功能：確定從哪里收集管理信息，確定存在什么地方。網(wǎng)監配置：監控應用程序是監控系統的用戶(hù)接口，完成性能、故障、寄費監視，管理功能完成與其它網(wǎng)絡(luò )元素代理進(jìn)城通信，監控代理功能專(zhuān)門(mén)對管理信息計算和統計，把結果傳管理站。代理和管理站通信輪詢(xún)：一種請求響應式的交付作用，有監視器向代理請求，詢(xún)問(wèn)所需信息，代理響應，從其信息庫取請求的信息，返監視器。事件報告：由代理主動(dòng)發(fā)信息，根據管理站要求定時(shí)發(fā)送狀態(tài)報告，或則監測到某些特定事件或非正常事件生成事件報告，發(fā)送給管理站。選擇通信方式因素：傳送監控信息的量、危機情況處理能力、網(wǎng)絡(luò )管理站通信時(shí)延、被管設備的處理工作量、消息傳輸的可靠性、網(wǎng)管應用特殊性、發(fā)消息前通訊設備失效的可能性。故障管理（前三是網(wǎng)絡(luò )監視）故障檢測報警：故障監視代理隨時(shí)記錄系統出錯情況和引起故障的事件，存在運行日志數據庫中，對報告數量頻率要控制；故障預測：對各種可引起故障的參數建立門(mén)限值，隨時(shí)監視參數值變化，超過(guò)門(mén)限報警；故障診斷定位：對設備通信線(xiàn)路測試，找出原因和地點(diǎn)；還要有效用戶(hù)接口軟件，使故障發(fā)現診斷定位排除可交互進(jìn)行。性能管理（最重）（性能監視，兩類(lèi)性能指標：面向服務(wù)、面向效率）可用性：網(wǎng)絡(luò )系統、元素、或應用對用戶(hù)可利用的時(shí)間百分比，是網(wǎng)絡(luò )元素可靠性（元素在具體條件下完成特定功能的概率，與各元素可靠性和組織新式有關(guān)）的表現。平均無(wú)故障時(shí)間MTBF度量元素故障率，則A（可用性）=MTBF/MTBF+MTTR（失效后平均維修時(shí)間），串聯(lián)可用性A2,并聯(lián)2A-A2。響應時(shí)間：用戶(hù)輸入請求到系統在終端返回結果的時(shí)間間隔，由系統各部分處理延遲時(shí)間組成，入口終端延遲（2400b/s=300字符/s,即一字符時(shí)延3.33us）、入口排隊時(shí)間、入口服務(wù)時(shí)間、CPU處理延遲、出口排隊時(shí)間、出口服務(wù)時(shí)間、出口終端延遲。正確性：網(wǎng)絡(luò )傳輸的正確。吞吐率：面向效率的指標，一段時(shí)間完成的數據處理的數量或接受用戶(hù)會(huì )話(huà)的數量或處理呼叫的數量。利用率：網(wǎng)絡(luò )資源利用的百分率，面向效率，與負載有關(guān)。（性能測試報告包含） 主機對通信矩陣：源、目間傳的總分組數、數據分組數、數據字節、及所占百分數；主機組通信矩陣：一主機間通信量統計，與上類(lèi)時(shí)；分組類(lèi)型直方圖：各原始分組的統計信息，圖形表示；吞吐率－利用率分布：各節點(diǎn)發(fā)送接收總字節數和數據字節數統計；分組到達時(shí)間直方圖：不同時(shí)間到達分組統計；信道獲取時(shí)間直方圖：網(wǎng)絡(luò )接口單元排隊等待發(fā)送、經(jīng)過(guò)不同延遲時(shí)間的分組統計；通信延遲直方圖：從發(fā)出原始分組到分組到達目標的延遲時(shí)間；沖突計數直方圖：經(jīng)受不同沖突次數分組統計；傳輸計數直方圖：經(jīng)過(guò)不同試發(fā)送次數的分組數統計；功能全面的性能評價(jià)程序；人工負載生成程序。計帳管理跟蹤控制用戶(hù)對資源使用，把有關(guān)信息存在運行日志數據庫，為收費提供依據；需計費資源 通信設施：LANWAN租用線(xiàn)路、PBX使用事件；計算機硬件：S/C機時(shí)數；軟件系統：下載應用軟件和使用程序費用；服務(wù)：商業(yè)通信服務(wù)、信息提供服務(wù)。格式 用戶(hù)標志符；連接目標標識符；傳送的分組數、字節數；安全級別；時(shí)間戳；指示網(wǎng)絡(luò )出錯情況的狀態(tài)碼；使用的網(wǎng)絡(luò )資源。網(wǎng)絡(luò )控制（設置修改網(wǎng)絡(luò )設備參數，時(shí)設備系統或子網(wǎng)改變運行狀態(tài)、按照需要配置網(wǎng)絡(luò )資源或重新初始化）－配置管理初始化、維護、關(guān)閉網(wǎng)絡(luò )設備或子系統，被管設備包括物理設備和底層邏輯對象（傳輸層定時(shí)器、計數器、虛點(diǎn)路），功能模塊包括：定義配置信息、設置修改設備屬性（允許管理站遠程修改代理中管理信息值。限制是授權的管理站、有些屬性反映硬件配置，不可改。修改信息的三種：只改數據庫，管理站向代理發(fā)命令，代理修改配置數據庫中數據值；修改數據庫和設備狀態(tài)；修改數據庫，同時(shí)引起設備動(dòng)作）、定義修改網(wǎng)絡(luò )元素間互聯(lián)關(guān)系（繼承層次：管理對象之間繼承關(guān)系）、啟動(dòng)終止網(wǎng)絡(luò )運行、發(fā)行軟件、檢查參數值和互聯(lián)關(guān)系、報告配置現狀。安全管理保護管理站和代理間信息交換安全。保密性：信息只能由授權用戶(hù)讀??；數據完整性：信息資源只能被授權用戶(hù)修改；可用性：權限用戶(hù)在需要時(shí)可利用網(wǎng)絡(luò )資源。對計算機網(wǎng)絡(luò )的安全威脅：破壞了這三方面的安全性要求。中斷：信息無(wú)用，可用性；竊?。何词跈嘤脩?hù)訪(fǎng)問(wèn)，保密性；串改：完整性；假冒：完整性。對硬件：破壞系統硬件可用性；軟件：操作系統、實(shí)用程序、應用軟件被改、損壞、刪除，失去可用性，非法拷貝；數據非法訪(fǎng)問(wèn)，破壞保密性，被修改假冒，破壞完整性，被刪除，破壞可用性，甚至在無(wú)法直接讀取時(shí)通過(guò)分析文件信息推測數據特點(diǎn)；對網(wǎng)絡(luò )：被動(dòng)威脅，不改數據流，而是竊取線(xiàn)路信息，破壞保密，主動(dòng)威脅改變偽造信息流， 破壞完整性可用性，不必知道內容，可改變信息方向，延遲、重放、重排序，還影響網(wǎng)絡(luò )正常使用。對網(wǎng)絡(luò )管理的安全威脅：偽裝的用戶(hù)：未授權的一般用戶(hù)企圖訪(fǎng)問(wèn)網(wǎng)管應用和管理信息；假冒的管理程序：無(wú)關(guān)的計算機系統偽裝成網(wǎng)絡(luò )管理站實(shí)施管理；侵入管理站和代理間的信息交換過(guò)程：入侵者觀(guān)察網(wǎng)絡(luò )活動(dòng)竊取敏感管理信息，串改管理信息，中斷管代通信。（以下是安全設施的管理）安全信息維護：安全信息維護功能包括：記錄系統出現的各類(lèi)事件，追蹤安全審計試驗，自動(dòng)記錄有關(guān)安全的重要事件，報告和接收侵犯安全的警示信號，在懷疑出現威脅時(shí)防范，維護檢查安全記錄，分析風(fēng)險，編址安全評價(jià)報告，備份保護敏感文件，研究各用戶(hù)活動(dòng)形象預先設定敏感資源使用形象，以便檢測授權用戶(hù)異?；顒?dòng)和對敏感資源的濫用。資源訪(fǎng)問(wèn)控制：目的是保護網(wǎng)絡(luò )資源，與網(wǎng)絡(luò )有關(guān)的是，安全編碼、源路由和路由記錄信息、路由表、目錄表、報警門(mén)限、計費信息。安全管理記錄用戶(hù)活動(dòng)形象各特殊文件使用形象檢查可能出現的異常訪(fǎng)問(wèn)活動(dòng)。加密過(guò)程控制：對管理站和代理間交換的報文加密，可改變加密算法，秘鑰分配。Iso,1987.11sgmp簡(jiǎn)單網(wǎng)管監控協(xié)議1989頒布iso dis7498-4(x.700)定義網(wǎng)絡(luò )管理基本概念和總體框架，1991發(fā)布so9595公共管理信息服務(wù)定義cmis和iso9596公共管理信息協(xié)議規范cmip,1992公布iso10165定義管理信息結構smi，以上組成iso管理標準1987.11sgmp演snmpv11990.1991,rfc1155(smi),rfc1157(snmp),rfc1212(mib定義),rfc1213(mib-2規范)，snmpv2(rfc1902-1908,1996),snmpv3(rfc2570-2575 apr,1999)；Netview適用分布式管理；SunNetManagerOpenView；Cisco work2000

概念：ASN.1的書(shū)寫(xiě)規則叫文本約定：書(shū)寫(xiě)的布局無(wú)效的。多空格空行等效一個(gè)、表示值和字段的標識符類(lèi)型指針模塊名由大小寫(xiě)字母數字短線(xiàn)組成、標識符以小寫(xiě)字母開(kāi)頭、ASN.1定義的內部類(lèi)型全部用大寫(xiě)、關(guān)鍵字用大寫(xiě)、注釋以短線(xiàn)――開(kāi)始以短線(xiàn)或行尾結束。表示層實(shí)體（ASN.1）符合標準ccitt x.208和iso8824，提供統一網(wǎng)絡(luò )數據表示，用于定義應用數據抽象語(yǔ)法和應用層協(xié)議數據單元結構，對應用實(shí)體編碼，變成二進(jìn)制比特。應用實(shí)體（ftp）構造協(xié)議數據單元。抽象語(yǔ)法獨立于編碼技術(shù)，僅與應用有關(guān)，可選多種傳輸語(yǔ)法。傳輸語(yǔ)法把抽象數據變成比特串的規則。抽象數據類(lèi)型標簽類(lèi)型通用標簽：由標準定義，適用任何應用，分四類(lèi)：簡(jiǎn)單類(lèi)型（由單一成分構成的原子類(lèi)，除universal16、17外都是簡(jiǎn)單，特點(diǎn)是可直接定義值的集合，可將其作為原子類(lèi)構造其它類(lèi)，分四組：基本類(lèi)：boolean、integer、bitstring、octetstring、real、enumerated；各種字符串類(lèi)：18－22，25－27；object identifier和object descriptor；null空類(lèi)、external外部類(lèi)、utctime和generalizedtime）；構造類(lèi)新（序列sequence、sequence of；集合set、set of）；標簽類(lèi)型（應用或用戶(hù)加在某類(lèi)型上的標簽，使用原因：一類(lèi)型可有多類(lèi)型名、結構類(lèi)型中可用上下文專(zhuān)用標簽區分類(lèi)型相同的元素；implicit、explicit分別表示隱含和明示的標簽類(lèi)新，隱含標簽語(yǔ)意是新?lián)Q老，編碼僅編新標簽，明示標簽語(yǔ)意是基本類(lèi)新作為位移元素構造類(lèi)型，新老都編）；其它類(lèi)型（choice和any）應用標簽：某個(gè)具體應用定義的類(lèi)型；上下文專(zhuān)用標簽：在文本一定范圍適用；私有標簽：用戶(hù)定義的。子類(lèi)型由限制父類(lèi)型的值集合而導出的類(lèi)型，產(chǎn)生子類(lèi)的方法單個(gè)值、包含子類(lèi)型、值區間（用于整數實(shí)數，指出取值區間）、可用字符串（限制可用字符集）、限制大小、內部子類(lèi)型。基本編碼：將asn表示的抽象類(lèi)型值編為字符串。字段擴充：標簽值大于30的類(lèi)型字節要擴、值部分大于一個(gè)字節的表示范圍時(shí)長(cháng)度字節要擴。宏表示：ASN.1提供的表示機制，用于定義宏。宏定義：用宏表示定義的一個(gè)宏，是宏實(shí)列的集合，組成：類(lèi)型表示、值表示、支持產(chǎn)生式；可看成式類(lèi)型模版，可用此模版制造形式相似語(yǔ)意相關(guān)的數據類(lèi)型，簡(jiǎn)化類(lèi)型定義，用具體的值代替宏定義中的參數或變量就產(chǎn)生。宏實(shí)例：具體的值代替的宏定義中的變量產(chǎn)生的實(shí)例，代表一類(lèi)型

MIB：Tcp是端系統間的協(xié)議，保證可靠發(fā)送接收數據并給應用層提供訪(fǎng)問(wèn)端口。ip根據全網(wǎng)位移地址把數據從源搬到目的。網(wǎng)絡(luò )管理：網(wǎng)絡(luò )、設備和主機的管理。SNMP組成：管理信息庫的定義和管理信息庫的協(xié)議規范，內容是mib樹(shù)和服務(wù)原語(yǔ)（Get檢索數據，Set改變數據，GetNext提供掃描MIB和連續檢索數據的方法。Trap提供從代理進(jìn)程到管理站的異步報告機制。管代間通信以便查詢(xún)修改數據庫）。陷入制導輪詢(xún)：有效監控被管設備，又不增加負載。站啟動(dòng)時(shí)或每隔定時(shí)用get輪詢(xún)代理，得到關(guān)鍵信息或基本性能統計參數，得到后停止輪詢(xún)，代理負責在必要時(shí)向站報告異常。網(wǎng)絡(luò )管理框架RFC1155管理信息結構SMI（管理對象的語(yǔ)義和語(yǔ)法，mib1，僅存標量和二維數組－表對象）；RFC1212定MIB模塊的方法；RFC1213定MIB-2管理對象的核心集合；RFC1157定SNMPv1協(xié)議的規范文件。體系結構：（應用層、tcpudpipicmp、網(wǎng)絡(luò )訪(fǎng)問(wèn)層）。Snmp：依托于UDP數據報，向管理應用提供服務(wù)，作用是把管理應用程序的服務(wù)調用變成對應的SNMP協(xié)議數據單元，并利用UDP數據報發(fā)送出去。委托代理：SNMP要求所有代理和站實(shí)現TCP/IP，不支持TCP/IP的，只能通過(guò)委托代理管理若干非TCP/IP設備，代表這些接受管理站查詢(xún)。實(shí)際上委托代理起到了協(xié)議轉換做用。委托代理和被管理設備間為非TCP/IP的專(zhuān)用協(xié)議。snmp環(huán)境管理對象組織方式Mib結構層次樹(shù)作用：表示管理和控制關(guān)系（org3由iso管、internet1由iab）、提供結構劃信息組織技術(shù)、提供對象命名機制。internet節點(diǎn)的四個(gè)節點(diǎn)directoty為iso的目錄服務(wù)（x.500）使用的mgmt包括iab批準的所有管理對象experimenttal標識在互聯(lián)網(wǎng)上試驗的所有管理對象private時(shí)為私人企業(yè)管理信息準備只有enterprisestcp。連接表定義特點(diǎn)：整表時(shí)tcp連接項組成的同類(lèi)序列、連接項由5個(gè)不同類(lèi)型標量元素組成的序列（integer、ipaddress、integer0..65535、ipaddress和integer0..65535）、連接表索引由4元素（本地地址、本地端口、遠程地址、遠程端口）的組合惟一區分表中一行。概念表行：表和行對象沒(méi)有實(shí)例標識符，snmp不能訪(fǎng)問(wèn)，訪(fǎng)問(wèn)特性是not－accessible。詞典順序：站不知道代理提供的mib的組成，所以站要搜索mib樹(shù)，在不知道對象標識符的情況下訪(fǎng)問(wèn)對象值。mib2功能組：11個(gè)功能組171個(gè)對象，選擇管理對象的標準：包括故障管理和配置管理的對象；只包含弱控制對象（錯誤對系統不會(huì )造成嚴重危害）；選擇經(jīng)常使用的對象，并且證明當前網(wǎng)絡(luò )管理中正在使用；為了易實(shí)現，開(kāi)發(fā)mib1限制對象100左右，mib2有117；不包含具體專(zhuān)用對象；為免冗余，不包括可從已有對象導出的對象；每協(xié)議層的每關(guān)鍵部分分配一計數器，避免復雜編碼。系統組：提供系統一般信息。接口組：包含主機接口配置信息和統計信息。地址轉換組：僅為和min1兼容，其它對象已收到其它網(wǎng)絡(luò )協(xié)議組，理由：為支持多協(xié)議節點(diǎn)；為表示雙向映射關(guān)系（地址轉換表只許網(wǎng)絡(luò )地址到物理地址的映射）。ip組：提供與ip協(xié)議有關(guān)的信息。ip地址表：包含與本地ip有關(guān)的信息，表中對象屬性只讀，snmp不能改變主機地址；ip路由表：包含轉發(fā)路由的一般信息，可讀寫(xiě)，snmp可以設置；ip地址轉換表提供物理地址和ip地址對應關(guān)系；rfc1354（1992.7）提出ip轉發(fā)表代替ip路由表增加了ipforwardpolicy（路由選擇策略）ipforwardnexthopas（下一自治系統地址）。icmp組：是ip的伴隨協(xié)議，包含有關(guān)ivmp實(shí)現和操作的有關(guān)信息。tcp組：包含與tcp協(xié)議的實(shí)現和操作有關(guān)的信息。udp組：提供關(guān)于udp數據報和本地接收端點(diǎn)的詳細信息。egp組：提供關(guān)于egp路由器發(fā)送接收egp報文的信息以及egp鄰居的詳細信息。傳輸組：針對各種傳輸介質(zhì)提供詳細的管理信息，是聯(lián)系各接口的特殊節點(diǎn)，cmot組snmp組輸入錯誤率=ifInErrors/（ifInUcastPkts+ifInNUcastPkts）輸出錯誤率=ifOutErrors/（ifOutUcastPkts+ifOutNUcastPkts）

Snmpv1：優(yōu)點(diǎn)簡(jiǎn)單、容易實(shí)現、基于人們有操作經(jīng)驗的sgmp；缺點(diǎn)：沒(méi)有實(shí)質(zhì)性安全措施，無(wú)數據源認證、不能防偷聽(tīng)。商家因此廢除了set命令。雙軌策略：snmp可滿(mǎn)足當前網(wǎng)管需要、配置簡(jiǎn)單網(wǎng)絡(luò )、將來(lái)可過(guò)渡到新網(wǎng)管標準；osi（即cmot）網(wǎng)管作為長(cháng)期解決辦法，可應付未來(lái)復雜網(wǎng)絡(luò )配置，提供更全面管理功能。停止原因：snmpmib應是osimib子集，以便順利過(guò)渡到cmot，但osi定義的管理信息庫是復雜的面向對象模型，此上實(shí)現snmp幾乎不可能；osi系統管理標準和符合osi標準的網(wǎng)管產(chǎn)品開(kāi)發(fā)進(jìn)展慢，期間snmp得到廠(chǎng)家支持，出現很多snmp產(chǎn)品，得到用戶(hù)接收。SNMPv2：為修補snmp安全，1992.7出現安全snmp（s－snmp，增強的功能：用報文算法md5保證數據完整和數據源認證；用時(shí)間戳對報文排序；用des算法提供數據加密功能） 但沒(méi)有改變功能和效率方面的其它缺點(diǎn)，于是出現smp（8文件組成，擴充表現在：適用范圍：smp可管任意資源，即網(wǎng)絡(luò )資源、應用管理、系統管理，可實(shí)現站間通信，提供靈活描述框架可描述一致性要求和實(shí)現能力；復雜程度、速度、效率：保持snmp簡(jiǎn)單性，易實(shí)現、提供數據傳送能力，速度效率高；安全設施：結合s－snmp提供的安全功能；兼容性：可運行在tcpip網(wǎng)上，也適合osi系統和運行其它通信協(xié)議的網(wǎng)絡(luò )），最后放棄s－snmp，以smp為基礎開(kāi)發(fā)snmpv2snmpv3由于snmpv2沒(méi)有達到商業(yè)級別安全要求（提供數據源標識、報文完整性認證、防止重放、報文機密性、授權和訪(fǎng)問(wèn)控制、遠程配置、高層管理能力），1999.4發(fā)布snmpv3，其工作組目標：產(chǎn)生一組必要文檔作為下一代snmp核心功能的單一標準，要求盡量使用已有文檔，使得新標準能適應不同管理需求的各種操作環(huán)境、便于已有的系統項v3過(guò)渡、可方便建立和維護管理系統。單一標準：在v2研制中有幾個(gè)不同建議（snmp security，91－92 ，rfc1351－rfc1353；smp，92－92；基于party的v2，93－95，rfc1441－1452），以上對v2的發(fā)展有貢獻，但各所描述的管理框架不一致，從而形成幾個(gè)不同的v2標準（基于團體的v2（snmpv2c｛rfx1901｝）；snmp2u｛rfc1909－rfc1910｝；snmp2*），v2c得到ietf認可，但缺安全和高層管理，所以，1998.1發(fā)表文件（rfc2271描述管理框架體系結構、2272簡(jiǎn)單網(wǎng)管協(xié)議報文處理和調度、2273v3應用程序、2274v3基于用戶(hù)的安全模型、2275基于視圖的訪(fǎng)問(wèn)控制模型）作為安全和高層管理建議，1999.4公布v3的新標準草案（rfc2570internet標準網(wǎng)絡(luò )管理框架第三版引論、2571snmp管理框架體系結構描述（代rfc2271）、2572簡(jiǎn)單網(wǎng)管協(xié)議報文處理調度（代2272）、2573v3應用程序（代2273）、2574v3基于用戶(hù)安全模型usm（代2274）、2575v3基于視圖訪(fǎng)問(wèn)控制模型vacm（2275）、2576snmp第1、2、3版共存問(wèn)題（代2089，march2000）），另外對v2的smiv2也修改（rfc2578管理信息結構2版（代1902）、2579對smiv2的文本約定（1903）、2580對v2的一致性說(shuō)明（1904）），v3不僅在v2上增加了安全和高管，還和以前v1v2兼容v1支持的操作僅支持對象值的檢索和修改，Get：檢索管理信息庫中標量對象的值，Set：站設置管理信息庫中標量對象值，Trap：代理向管理站報告管理對象狀態(tài)變化SNMP不支持管理站改變管理信息庫中結構，不能增加刪除MIB中的管理對象實(shí)例。站不能向管理對象發(fā)出執行一個(gè)動(dòng)作的命令。管理站只逐個(gè)訪(fǎng)信息庫中的葉子節點(diǎn)，不能一次性訪(fǎng)問(wèn)一個(gè)子樹(shù)。PDU格式站和代理間交換的管理信息構成SNMP報文，組成：版本號、團體名、協(xié)議數據單元（PDU）。SNMP有5種管理操作，只4種PDU，管理站發(fā)出三種請求報文GetRequest，GetNextRequest和SetRequest采用的格式是一樣的。代理的應答報文只有一種：GetResponse.除Trap外，4種pdu格式相同，共有5個(gè)字段：a）PDU類(lèi)型：共5種類(lèi)型b）請求標識：賦予每個(gè)請求報文唯一的整數，用于區別不同請求c）錯誤狀態(tài)：有5種錯誤狀態(tài)：（1）noerror，（2）tooBig，（3）noSuchName，（4）badOnly，（5）genError　d）錯誤索引當錯誤狀態(tài)非0時(shí)指出出錯的變量e）變量綁定表：變量名和對應值的表；Trap包含：制造商ID、代理地址（產(chǎn)生陷入的代理ip地址）、一般陷入：SNMP定義7類(lèi)、特殊陷入：與設備有關(guān)的特殊陷入代碼、時(shí)間戳：代理發(fā)出陷入的時(shí)間。報文應答序列管理站發(fā)出GetRequest、GetNextRequest、SetRequest代理返回GetResponse；Trap是代理給站的，不需要應答，如果規定時(shí)間收到應答，則按請求標識符配對，即應答與請求的標識相同。發(fā)送和接收過(guò)程SNMP協(xié)議實(shí)體（PE）發(fā)送報文執行：a）按ASN1格式構造PDU，交給認證進(jìn)程b）認證進(jìn)程檢查源和目標間是否可通信c）通過(guò)檢查，相關(guān)的版本號、團體名、PDU組裝成報文d）經(jīng)過(guò)BER編碼，絞傳輸實(shí)體發(fā)送出去；接收報文執行：按BER編碼恢復ASN1報文、對報文驗證版本和認證信息，通過(guò)分析和驗證，分離出協(xié)議數據單元，進(jìn)行語(yǔ)法分析，必要時(shí)經(jīng)過(guò)適當處理返回應答報文、如果認證檢驗失敗，生成一個(gè)陷入報文，向發(fā)送站報告通信異常情況。如希望檢索多個(gè)管理對象，則要把多個(gè)管理對象裝入一個(gè)PDU，這就用到變量綁定表。v1的操作：檢索簡(jiǎn)單標量對象值的方法：使用Get，如變量綁定表包含多變量，一次可檢多個(gè)標量對象值。GetResponse操作的原子性：如果請求對象的值都可得，則應答；反之，返回下列錯誤（綁定表中一對象無(wú)法與MIB中任何對象標示符匹配，或要檢索的對象是一個(gè)數據塊（子樹(shù)和表），沒(méi)有對象實(shí)例生成。返回的錯誤狀態(tài)字noSuchName；因上下層協(xié)議限制，響應實(shí)體可以提供所要檢索的值，但變量太多，一個(gè)相應PDU裝不下，tooBig；由于其它原因響應實(shí)體至少不能提供一個(gè)對象的值，返回genError）2、檢索未知對象的方法：使用GetNext命令檢索變量名指示的下一個(gè)對象實(shí)例。如果交叉標示符沒(méi)有有效性，直接查找下一個(gè)有效的標示符，并返回對象實(shí)例。如果不知道UDP組內有哪些變量可以直接發(fā)送GetNextRequest（udp），將得到響應是UDP組內的第一個(gè)對象表的更新和刪除Set用于設置更新變量值，PDU格式與Get相同；變量綁定表（variablebindings）中須包含要設置的變量名和值；Set的應答也是GetResponse，是原子性；如所有的變量都可設，則更新所有變量值，返回GetResponse中確認新值；如有一變量值不能設，所有變量值都保持不變，并在錯誤狀態(tài)中指出原因。SET出錯原因和GET類(lèi)似（tooBigno，SuchName，GenError），若有一個(gè)變量的名字和要設置的值在類(lèi)型、長(cháng)度或實(shí)際值方面不匹配，返回badValid.；增加行（發(fā)出命令與表的行數一樣）代理可拒絕，因為iproute.11.3.3.1不存在，返回noSuchName；可接收并企圖生成，但發(fā)現賦值不當，返回badvalue；可接收，生成新行，得到響應。（發(fā)出命令比表的行數少）代理增加一行，其余賦默認值；代理拒絕，必須提供所有變量值.刪除行把一個(gè)對象的值設為invalid，返回響應確認；MIB-2中只有2種表可刪除ipRouteTable包含ipRouteType可取值為invalid；ipNetMediaTable包含ipNetToMediaType可取值為invalid陷入由代理向站發(fā)出的異步事件報告，不需應答。7種陷入條件：coldStart：發(fā)送實(shí)體重初始化，代理配置已改，系統失效引起；warmStart：發(fā)送實(shí)體重新初始化，代理配置沒(méi)有改變，正常重啟引起；linkDown：鏈路失效，變量綁定表的第一項指明對應接口表的索引變量及其值；linkUp：鏈路啟動(dòng)通知變量綁定表的第一項指明對應接口表的索引變量及其值；uthenticationFailure：發(fā)送實(shí)體收到一個(gè)沒(méi)有通過(guò)認證的報文；egpNeighborLoss：相鄰的外部路由器失效或關(guān)機；enterpriseSpecific：制造商定義的陷入，在特殊陷入字段指明具體的陷入類(lèi)型snmp功能組共30個(gè)對象，除了snmpEnableAuthenTrap可由管理站設置，它指示是否允許代理產(chǎn)生認證失效陷入，其它對象都是只讀的計數器實(shí)現問(wèn)題網(wǎng)管站功能要求：選擇站管理產(chǎn)品先要關(guān)心它與標準的一致程度，與代理的互操作性、以及用戶(hù)界面、功能齊全、方便使用，選擇標準：支持擴展的MIB、圖形用戶(hù)接口、自動(dòng)發(fā)現機制、可編程事件、高級網(wǎng)絡(luò )控制功能、面向對象的管理模型、用戶(hù)定義的圖標。輪詢(xún)頻率對網(wǎng)管性能的影響：網(wǎng)絡(luò )輪詢(xún)頻率域網(wǎng)絡(luò )規模和代理有關(guān)。網(wǎng)絡(luò )管理的性能還取決于管理站的處理速度、子網(wǎng)數據速率、網(wǎng)絡(luò )擁擠程度等因素；最多可支持設備數（輪詢(xún)代理數N）小于等于<=輪詢(xún)間隔T/單個(gè)輪詢(xún)所需時(shí)間△（以下因素有關(guān)：管理站生成一個(gè)報文時(shí)間、管理站到代理的網(wǎng)絡(luò )延遲、代理處理一個(gè)請求報文時(shí)間、代理生成一個(gè)響應報文時(shí)間、代理到管理站的網(wǎng)絡(luò )延時(shí)、管理站處理一個(gè)響應報文的時(shí)間、為得到足夠的管理信息，交換請求/響應報文的數量）。v1的局限性：由于輪詢(xún)的性能限制，SNMP不適合管理很大的網(wǎng)絡(luò )、不適合檢索大量數據、陷入報文時(shí)沒(méi)有應答的，管理站是否收到陷入報文，代理不能確認、只提供簡(jiǎn)單的團體名認證，安全措施不夠、不直接支持向被管設備發(fā)令、MIB-2支持的管理對象有限，不能完成復雜的管理功能、不支持管理站之間的通信，這一點(diǎn)在分布式網(wǎng)絡(luò )中是很需要的。v2管理信息結構4個(gè)關(guān)鍵定義：對象的定義：與v1在宏定義的差別（數據類(lèi)型：v2增加了unsigned32、unsigned64；gauge32可設為小于232的任意數；計量器達到最大可自動(dòng)減小。Unitspart：增加units子句。Max－access子句：說(shuō)明最大訪(fǎng)問(wèn)級別與授權策略無(wú)關(guān)，去掉write－only，增加read－create、accessible－for－notify。Status子句：指明對象狀態(tài)）；概念表定義（分兩類(lèi)：靜止刪除和生成的表，最高訪(fǎng)問(wèn)級別read－write；允許刪除和生成的表：開(kāi)始可能沒(méi)行，由站生成和刪除，行數可變。必須有index(定義了基本概念行，增加implide)或augments（代替index，表示概念行擴展，其子句中變量叫基本概念行，包含子句的對象叫概念行擴展，作為索引的列對象叫輔助對象，不可訪(fǎng)問(wèn)，此限制意味（讀：v2規定讀任何對象實(shí)例，都要知道該對象實(shí)例所在行索引對象值；寫(xiě)：如果管理程序改變了輔助對象值，則行標識也變了此是不容許的；生成：行實(shí)例生成時(shí)必須同時(shí)給列對象賦值，此由代理完成）之一。V2允許使用不屬于概念行的外部對象作為概念行索引，此情況不能限制索引對象為不可訪(fǎng)問(wèn)），表操作：允許生成刪除行的表必須有列對象，其syntax子句值為rowsoft，maxaccess子集值為read－write，此列叫概念行的狀態(tài)列（active：可讀寫(xiě)，被管設備可用概念行；notinservice可讀寫(xiě)：概念行存在，不能使用；notready只讀：概念行存在，因沒(méi)有信息而不能用；createandgo只寫(xiě)不讀：站生成以概念行實(shí)例時(shí)先設置此狀態(tài)，生成結束時(shí)自動(dòng)變?yōu)閍ctive，被管設備就可使用了；createandwait只寫(xiě)不讀：站生成以概念行實(shí)例時(shí)先設置此狀態(tài)，不自動(dòng)變?yōu)閍ctive；destroy只寫(xiě)不讀：刪除時(shí)設置此狀態(tài)，以上除notready外站可用set，前三種可是響應站的查詢(xún)而返回的狀態(tài)）。

行的生成：兩種辦法：1、選擇實(shí)例標識符，針對不同索引可用不同方法選擇實(shí)例標識符（如果標識符語(yǔ)意明確，則站根據語(yǔ)意選擇標識符；如果標識符僅用于區分概念行，則站掃描整個(gè)表，選擇沒(méi)用的標識符；由mib模塊提供一個(gè)對象輔助站確定一個(gè)未用標識符；站選一隨機數作為標識符），選好后，2、站可用兩種方法產(chǎn)生概念行（站通過(guò)事務(wù)處理一次性產(chǎn)生激活概念行（站需只表中哪些列要提供值，如果不知道，則用get檢查要生成的行的所有列。如果：返回一個(gè)值，說(shuō)明其它站產(chǎn)生了此行，返回第一步；返回nosuchinstance，說(shuō)明代理已實(shí)現該列對象類(lèi)型，而且該列在站的mib視圖中可訪(fǎng)問(wèn)，當是read－write時(shí)，站必須用set提供這列值；返回nosuchobject，代理沒(méi)有實(shí)現，或該列在站的mib視圖不可訪(fǎng)問(wèn)，則站不能用set操作。確定列后，站發(fā)出set。置狀態(tài)列createandgo，代理根據set提供的信息，以及實(shí)現專(zhuān)用的信息，設置列對象值，正常返回noerror，并且置狀態(tài)列active，如果代理不能完成，返回inconsistentcalue，站根據此信息決定重發(fā)）；站通過(guò)代理協(xié)商，合作生成（首先站用set置列狀態(tài)createandwait，如果：代理不接受，返回wrongvalue，站需已單個(gè)set操作為所有列對象提供值；如果執行，生成概念行，返回noerror，狀態(tài)列置notready（代理沒(méi)足夠信息使概念行可用）或notinservice（代理有足夠信息使概念行可用））），3、初始化非默認對象，站用get操作查詢(xún)所有列，以確定是否能設置列對象值，如果：代理返回一個(gè)值，表示代理實(shí)現了該列對象，而且能提供默認值，且訪(fǎng)問(wèn)特性是read－write則站可用set改變值，如果返回nosuchinstance，說(shuō)明代理實(shí)現該列的對象類(lèi)形，可訪(fǎng)問(wèn)卻不提供默認值，弱是read－write，則站必須set此值，如果返回nosuchobjice，說(shuō)明代理沒(méi)實(shí)現該列，或者該列是站不可訪(fǎng)問(wèn)，站不能設置；如果狀態(tài)列是notready，則站應首先處理其值為nosuchinstance的列，狀態(tài)列完成notinservce，4、激活概念行，站對所有列對象實(shí)列滿(mǎn)意后，用set操作置狀態(tài)列為active，如果：代理有足夠信息使得概念行可用，返回noerror，如果代理沒(méi)足夠信息使得概念行可用，返回noeinstance；具體實(shí)現時(shí)解決的問(wèn)題：表可能大、一個(gè)setpdu不能容納行中所有變量、代理可能不支持表定義中某些對象、站不能訪(fǎng)問(wèn)表中某對象、可能有多個(gè)站同時(shí)訪(fǎng)問(wèn)一個(gè)表、代理在行生成前要檢查是否出現toobig、概念行中可能同時(shí)出現read－only、read－creat；實(shí)現系統希望的特點(diǎn)：應容許在簡(jiǎn)單代理系統上實(shí)現、代理在生成行的過(guò)程中不必考慮行之間語(yǔ)意關(guān)系、不應為了生成行而增加新pdu、生成操作應在一個(gè)事務(wù)處理中、站可以盲目接收列對象默認值、應允許站查詢(xún)列對象默認值并自主決定是否重寫(xiě)列對象值、某些表索引可取惟一任意值，對于這種表應容許代理自主選擇索引值、在行生成過(guò)程中應容許代理自主選擇索引值，可減少站負擔、由站尋找一未用索引值可能更費時(shí)。概念行掛起：當概念行處于active，如果站希望概念行脫離服務(wù)，以便修改，則可發(fā)出set命令，置狀態(tài)列notinservice，此時(shí)兩種可能：若代理不執行，返回wrongvalue；代理可執行，返回noerror。概念行刪除：站發(fā)出set，置狀態(tài)列destroy。通知的定義：通知類(lèi)形宏定義notification－type，定義異常條件出現時(shí)v2實(shí)體發(fā)送的信息。信息模塊定義：mib模塊，包含一組有關(guān)的管理對象的定義；mib依從性聲明模塊，說(shuō)明有關(guān)管理對象實(shí)現方面的最小要求；代理能力說(shuō)明模塊：說(shuō)明代理實(shí)體應該實(shí)現的能力。管理信息庫mib擴展了mib2功能組1、系統組v2的系統組是MIB-2系統組的擴展，增了與對象資源（ObjectResource）有關(guān)一標量對象sysORLastChange和一表對象sysORTable.。對象資源：由代理使用和控制，可以由站動(dòng)態(tài)配的系統資源。標量對象sysORLastChange記錄對象資源表中描述的對象實(shí)例改變狀態(tài)的時(shí)間。2、SNMP組：由MIB-2的對應組改造成，增了些新對象，但新SNMP組對象少了，刪了對排錯不大的變量。3、MIB對象組：這組對象與管理對象的控制有關(guān)，分兩子組。第一子組snmpTrap由snmpTrapOID和snmpTrapEnterprise組成。前是正發(fā)送的陷入或通知的對象標識符。后是正發(fā)送的陷入有關(guān)的制造商標識符。第二子組snmpSet只有snmpSerialNo一個(gè)對象，用于解決Set操作中可能出現的問(wèn)題：一個(gè)站向同一MIB對象發(fā)送多個(gè)，需順序執行；多個(gè)站對MIB的并發(fā)操作可能破壞數據庫的一致性和精確性。解決辦法：snmpserialno語(yǔ)法是testandincr，假設當前值k（如代理收到的set操作置snmpserialno為k，則操作成功，響應pdu返回k，此對象新值增加為k＋1；如代理收到一set操作，置此對象值不是k，則操作失敗，返回錯值inconsistentvalue。），set有原子性，當站要置一或多個(gè)mib對象值，首先檢索snmpset，后發(fā)出set請求pdu，變量綁定表中包含要設置的mib值，也含檢索到的snmpserialno的值，按上規則1，成功，如多個(gè)站發(fā)出的set有同樣的snmpserialno，則先到set成功，snmpserialno增加后，其它失敗4、接口組：原組的不足：接口編號（ifnumber是常數，不適合允許動(dòng)態(tài)改變網(wǎng)絡(luò )接口協(xié)議）、接口子層（有時(shí)需區分網(wǎng)絡(luò )層下各子層，原來(lái)的沒(méi)有）、虛電路問(wèn)題（一個(gè)接口可能有多各虛電路）、不同傳輸特性的接口（mib2接口表記錄內容只適合基于分組傳輸的協(xié)議，不適合面向字符、比特和固定信息長(cháng)度的協(xié)議）、計數長(cháng)度（速度增加時(shí)，32位的計數器經(jīng)常溢出）、接口速度（ifspeed最大為232－1bps，現網(wǎng)速遠超此限制）、組播/廣播分組的計數（原不區分組播各廣播分組）、接口類(lèi)新（iftype，原不能動(dòng)態(tài)改變）、ifSpecific問(wèn)題（定義含糊）。4個(gè)新表：5、接口擴展表：各種接口對象；6、接口堆棧表：說(shuō)明接口表中屬同一物理接口各行間關(guān)系，指明哪子層運行于那些子層上。7、接口測試表：由站指示代理測試接口故障（iftestid表示每隔測試的惟一標識符，ifteststatus取值notinuse和inuse說(shuō)明是否正在進(jìn)行。代理返回的iftestrusult取值：none沒(méi)有請求測試；success成功；inprogress測試正進(jìn)行；notsupported不支持請求的測試；unablerun由于系統狀態(tài)不能測試；aborted測試夭折；failed測試失?。?、接收地址表：包含每個(gè)接口對應的各種地址。v2的3種訪(fǎng)問(wèn)管理信息的方法：站和代理間的請求/響應通信；站和站間的請求/響應通信；代理系統到站的非確認通信。報文結構分為：版本號、團體名和作為數據傳送的PDU。發(fā)送1、根據協(xié)議需要構造PDU，2、把PDU、源和目標端口地址及團體名傳送給認證服務(wù)，認證服務(wù)產(chǎn)生認證碼或對象數據進(jìn)行加密，返回結果。3、加入版本號、團體名構造報文。4、進(jìn)行BER編碼，產(chǎn)生0/1比特流，發(fā)送出去。接收1、對報文進(jìn)行語(yǔ)法檢查，丟棄錯報，2、把PDU部分、源和目標端口教給認證服務(wù)。如果失效，發(fā)送陷入，丟棄。3、認證通過(guò)，把PDU轉換成asn.1形式，4、協(xié)議實(shí)體對PDU作句法檢查，如通過(guò)，按團體名和適當的訪(fǎng)問(wèn)策略作相應的處理。6種協(xié)議數據單元，3種格式，GetRequest： v1響應是原子性，有一個(gè)變量檢不到，就不返回值。v2不是，允許部分響應。規則如下：如該變量的對象標識符前綴不能與這一請求可訪(fǎng)問(wèn)的任何變量的對象標識符匹配，返回錯誤值noSuchObject；　　如變量名不能與這一請求可訪(fǎng)問(wèn)的任何變量名完全匹配，則返回一個(gè)錯誤值noSuchInstance；不屬于以上情況，在變量綁定表中返回被訪(fǎng)問(wèn)的值；其他原因導致處理失敗，返回錯誤狀態(tài)genErr；如生成的響應PDU過(guò)大，則放棄這個(gè)PDU，構造新的相應PDU，錯誤狀態(tài)tooBigGetNextRequestPDU的響應：對變量綁定表中指定的變量在MIB中查找按字典順序的后繼變量，如果找到，返回改變量的名字和值；如果找不到字典順序的后繼變量，返回endOfMibView.；其他情況導致相應PDU構造失敗，以與GetRequest類(lèi)似的方式返回錯誤值。GetBulkRequestPDU：是v2對原標準的主要增強，目的是以最少交換次數檢索大量管理信息，或要求站盡可能大的響應報文。工作過(guò)程：設其綁定表中有L個(gè)變量、最大后繼數為m，該pdu非重復數字段值為n，則對前n個(gè)變量各返回一詞典后繼，其余的r＝l－n個(gè)變量應各返回最多m個(gè)詞典后繼，如可能，共返回n＋r*m個(gè)值，如查找過(guò)程中遇到不存在后繼的情況，返回endofmibviewsetrequestpdu：請求格式及語(yǔ)意與v1同，差別是處理響應方式不同。分兩階段處理這個(gè)請求的變量綁定表：檢驗操作的。合法性，然后更新變量；合法性包括：如果有一個(gè)變量不可訪(fǎng)問(wèn)，返回noAccess、如與綁定表中變量共享對象標識符的任MIB變量都不能生成、不能修改。也不接收指定的值，返回錯誤狀態(tài)notWritable、設置類(lèi)型不適合，WrongType、設置值的長(cháng)度和變量長(cháng)度限制不同，WrongLength、要設置的ASN.1編碼不適合變量的ASN.1標簽，wrongEncoding、指定值在任何情況下都不能賦予變量，wrongvalue、變量不存在，也不能生成，noCreation、變量存在，當前情況不能生成，inconsistaneName、變量存在，但不能修改，notWritable、當前情況不能為變量賦與制定的值，inconsistanevalue、缺乏資源，resourceUnavailable、其他原因導致處理變量綁定對失敗，genErr；如檢查出錯誤，則錯誤索引時(shí)問(wèn)題序號，否則賦值，當至少一個(gè)賦值錯誤，所有賦值撤銷(xiāo)，返回錯誤狀態(tài)commitfailedpdu，不能全部撤銷(xiāo)，則返回undofailed，錯誤狀態(tài)。TrapPDU：代理發(fā)給站的非確認信息，包含sysUpTime.0（發(fā)出陷入時(shí)間），snmpTrapOID.0（陷入對象標識符），有關(guān)通知宏定義中的各變量名及其值，代理系統選擇的其它變量的值。InformRequestPDU：管理站發(fā)給代理站的消息，需應答，應答報文超過(guò)本地或對方限制，則返回錯誤狀態(tài)toobig’，如接收的請求報文不大。則把有關(guān)信息傳給應用實(shí)體，返回noerr。站站通信：引入informrequest、管理站數據庫mib（組成：報警表snmpalarmtable，提供被監視變量情況，記錄站站間報警信息；事件表snmpeventtable，記錄v2實(shí)體重要事件；事件通知表snmpeventnotifytable，發(fā)送通知的目標和類(lèi)型；此三表共同組成snmpm2m模塊，表示站間交換的主要信息）。snmpv3管理框架站和代理統一叫snmp實(shí)體，由snmp引擎（標識符：snmpengineid，與實(shí)體一一對應，所以也是實(shí)體的惟一標識）和snmp應用組成。引擎。提供服務(wù)：發(fā)送接收報文、認證和加密報文、控制對管理對象的訪(fǎng)問(wèn)。結構：1、調度器：僅一個(gè)，可并發(fā)處理多版本報文，功能是：向/從網(wǎng)中發(fā)/收報文；確定報文版本交給相應報文處理模塊；為接收/發(fā)送pdu的snmp應用程序提供抽象接口。2、報文處理子系統：由報文處理模塊組成，每模塊定義一種特殊報文格式，按照預定格式準備報文，或從接收的報文提取數據，允許擴充其它報文處理模塊，可以是企業(yè)專(zhuān)用。3、安全子系統：提供安全服務(wù)，多種安全模塊提供不同安全服務(wù)，由安全模型和安全協(xié)議組成，每個(gè)模塊定義一種具體的安全模型，說(shuō)明可以防護的安全威脅，提供安全服務(wù)的目標和使用的安全協(xié)議，安全協(xié)議說(shuō)明用于提供安全服務(wù)的機制、過(guò)程、mib對象，目前標準基于用戶(hù)安全模型。4、訪(fǎng)問(wèn)子系統：通過(guò)訪(fǎng)問(wèn)控制模塊提供授權服務(wù)，確定是允許訪(fǎng)問(wèn)一管理對象，或是否可對某管理對象實(shí)施特殊的管理操作，每模塊定義一訪(fǎng)問(wèn)決策功能，以支持對訪(fǎng)問(wèn)權限的決策，，還可通過(guò)已定義的mib進(jìn)行遠程訪(fǎng)問(wèn)控制策略。應用程序5種命令生成器：建立和處理snmp read/write請求及響應；命令響應器：接收snmp read/write請求，對管理數據訪(fǎng)問(wèn)，按協(xié)議規定的操作產(chǎn)生相應報文，返回給read/write的發(fā)送者；通知發(fā)送器：監控系統出現的特殊事件，產(chǎn)生通知類(lèi)型報文，并要一種機制決定向何處發(fā)送，使用什么安全參數和版本；通知接收器：監聽(tīng)報文，并對確認形通知相應；代理轉發(fā)器：在snmp實(shí)體間轉發(fā)報文。站和代理定義站：包含命令生成器、通知接收器的snmp實(shí)體；代理：包含命令響應器、通知發(fā)送器的snmp實(shí)體。基于用戶(hù)的安全模型usmv3把對網(wǎng)絡(luò )協(xié)議的安全威脅分為主要、次要，主要威脅：修改信息，即某些未經(jīng)授權的實(shí)體改變了近來(lái)的報文，企圖實(shí)施未授權的管理操作，或提供虛假的管理對象；假冒：未授權用戶(hù)冒充授權用戶(hù)標識，企圖實(shí)施管理操作；次要威脅：修改報文流，snmp基于無(wú)連接傳輸服務(wù)，重新排序報文、延遲或重放報文的威脅都可能出現，危害性在于通過(guò)報文流修改可能實(shí)施的非法管理操作；消息泄露：被偷聽(tīng)。一般威脅：拒絕服務(wù)、通信分析，即第三者分析管理實(shí)體間通信規律，獲取信息。安全協(xié)議模塊包括：時(shí)間序列模塊：提供對報文延遲和重放防護（每次通信有一引擎被定為權威的，而通信對方無(wú)權威，當報文要求響應，該報文接收者有權威，反之，不要求響應時(shí)，發(fā)送者有權威，有權威的引擎維持一個(gè)時(shí)鐘值，無(wú)權威者跟蹤此值，并保持與之松散同步，時(shí)鐘由兩變量組成：引擎重啟動(dòng)次數snmpengineboots、最后一次重啟動(dòng)經(jīng)過(guò)的秒數snmpenginetime，首次安裝時(shí)置此值為0。引擎重啟一次，snmpengineboots增加1，snmpenginetime置0，并重計時(shí)，如snmpenginetime增到最大，則boots加1，time回0，另外還要時(shí)間窗口限定報文提交的最大延遲時(shí)間150秒，這界限通常由上層管理模塊決定，延遲時(shí)間在界限內的報文有效，一引擎要把報文發(fā)給有權威的引擎，或要驗證一從有權威引擎接收的報文，則首先須發(fā)現有權威的引擎的snmpengineboots，snmpenginetime值，發(fā)現過(guò)程由無(wú)權威的引擎向有權威的引擎發(fā)request報文，有權威的返回report，于是無(wú)權威把發(fā)現中得到的那兩值存在本地配置數據庫，分別記為bootsa、timea，如條件（bootsl為最大值；boota與bootl值不同；timea與timel相差大于＋－150）成立，則報文在時(shí)間窗口外。當無(wú)權引擎收到一認證報文，提取新值，記為boota、timea，如條件（boota大于bootl；boota等于bootl而timea大于timel）成立，則引起同步（置bootsl＝bootsa；置timel＝timea。）；如條件（bootsl為最大值；boota小于等于bootl；timea小于timel 150）成立，則報文在時(shí)間窗口外）。認證模塊：提供完整性和數據源認證（mac指報文認證碼，用于共享秘鑰的兩實(shí)體間，使用散列hash函數作密碼，，可結合任何重復機密的散列函數。Hmac－md5－96認證協(xié)議時(shí)使用散列函數md5的認證協(xié)議，輸出摘要96位，此協(xié)議可驗證完整性、數據源有效性；hmac－sha－96使用sha散列函數作密碼，計算160位摘要，竊取96作mac，此算法用的authkey為20個(gè)字節的認證碼；加密模塊：cbc－des是加密協(xié)議，用des算法，56秘鑰，按cbc模式對64為長(cháng)的明文塊進(jìn)行替代換位，產(chǎn)生的密文也是64位塊，加密前先對用戶(hù)私密進(jìn)行變換，產(chǎn)生數據加密用的des和初始化矢量。（加密過(guò)程：被加密數據是字符串，長(cháng)度8整數倍，如不是，應附需要的數據，實(shí)際附加什么值無(wú)關(guān)緊要；明文被分成64位塊；初始化矢量是第一個(gè)密文塊；把下一明文塊與前面產(chǎn)生的密文塊異或；把結果進(jìn)行des加密，產(chǎn)生對應密文塊；返回第四步，知道全部明文處理完。解密：驗證密文長(cháng)度，如果不是8整數倍，停止，返回錯誤；解密第一個(gè)密文塊；結果與初始化矢量異或。得到第一個(gè)明文塊；解密下一個(gè)；結果與前面密文塊異或，產(chǎn)生明文；返回第四步）。秘鑰局部化：把用戶(hù)口令字變換成它與一個(gè)有權威的引擎共享的秘鑰，局部化后，用戶(hù)在整個(gè)網(wǎng)中僅僅一個(gè)秘鑰，與每個(gè)引擎共享的秘鑰不同，可以防止一個(gè)秘鑰值泄露對其它有權威引擎造成危害。主要思想：把口令字和相應引擎標識作為輸入，運行一散列函數，得到一固定長(cháng)度偽隨機序列，作為加密秘鑰，操作步驟：先把口令字重復級聯(lián)若干，形成一兆字節位組串，目的是防字典攻擊；對結果隱匿性散列函數，得到ku；把相應引擎的snmpengineid附加在ku后，再附加一個(gè)ku，對整個(gè)字串再運行散列函數，得到64位kul，即是秘鑰。基于視圖的訪(fǎng)問(wèn)控制模型：vacm snmp上下文：snmp實(shí)體可訪(fǎng)問(wèn)的管理信息的集合。在管理域中，惟一名字是contextname；組：由二元組集合構成，同組所有安全名在指定安全模型下訪(fǎng)問(wèn)權限相同；安全模型：訪(fǎng)問(wèn)控制中使用的安全模型；安全級別：同組成員可有不同級別（無(wú)認證不保密、有認證不保密、有認證要保密），任意訪(fǎng)問(wèn)要求相應安全級別；操作：對管理信息的操作。視圖和視圖系列mib視圖：把某些組的訪(fǎng)問(wèn)控制權限制在一管理信息子集中，是限定了上下文中管理對象類(lèi)型的特殊集合。組的訪(fǎng)問(wèn)權不但限制在一個(gè)上下文，而且限定在指定視圖。也可把視圖定義成子樹(shù)集合，屬于對象命名樹(shù)，叫視圖子樹(shù)。有時(shí)可能要大量子樹(shù)視圖表示管理對象集合，大量列對象可能出現在不同子樹(shù)中，可以把他們聚合成一結構，叫做視圖樹(shù)序列（由對象標識符－系列名和比特串－掩碼組成。掩碼每位對應一子標識符，指明視圖樹(shù)系列名中那些標識符屬于給定系列，如果條件（管理對象標識符至少包含了系列名包含的子標識符；對應于掩碼為1的位，管理對象標識符的子標識符必須于系列名中的對應子標識符匹配）成立，則屬于視圖樹(shù)系列）

RMON擴充了MIB-2，提供互聯(lián)網(wǎng)絡(luò )管理的主要信息，在不改snmp協(xié)議的條件下增強了網(wǎng)管功能。基本概念：只提供單個(gè)設備的管理信息。網(wǎng)絡(luò )監視器或網(wǎng)絡(luò )分析器、探測器（rmon代理）：監視整個(gè)網(wǎng)絡(luò )通信情況的設備，監視分組，統計、總結、給管理人員提供重要信息，存儲分組。供分析，根據分組類(lèi)型過(guò)濾捕獲，；遠程監視器：每個(gè)子網(wǎng)中配置一個(gè)監視器，監視子網(wǎng)中的通信情況，并且與中央管理站通信。.遠程網(wǎng)絡(luò )監視的目標：定義了遠程監視的管理信息庫，以及SNMP管理站和遠程監視器之間的接口，目標是監視子網(wǎng)范圍內的通信，從而減少站和被管系統間的通信負擔。具體目標：1.離線(xiàn)操作：必要時(shí)站可停止對監視器輪詢(xún)，減少通信提高帶寬利用率。即使不受站查詢(xún)，監視器也不斷收集子網(wǎng)故障、性能和配置信息，統計和積累數據，以便站查詢(xún)時(shí)及時(shí)提供管理信息。另在網(wǎng)絡(luò )異常時(shí)使其能及時(shí)向站報告。2.主動(dòng)監視：如監視器有足夠資源，通信負載允許，監視器可連續地或周期運行診斷，獲得并記錄網(wǎng)絡(luò )性能參數。3.問(wèn)題檢測和報告：可被動(dòng)獲得網(wǎng)絡(luò )數據，在出現異常時(shí)向站報告。4.提供增值數據：可分析收集到的子網(wǎng)數據。5.多站操作：一個(gè)網(wǎng)絡(luò )可由多站，或分布的實(shí)現不同的網(wǎng)管功能。.表管理操作原理：在RMON中增了兩新數據類(lèi)型：1.OwnerString：：=DisplayString 2.EntryStatus：：=INTRGER{valid（1），createRequest（2），underCreation（3），invalid（4）}在每一可讀寫(xiě)的RMON表中都有一個(gè)對象，其類(lèi)型為OwnerString，其值為表行所有人或創(chuàng )建者；　　RMON表中還一對象，類(lèi)型為EntryStatue，其值表示行的狀態(tài)，對象名義Statue結尾。用于行的生成、修改、刪除；RMON規范中的表結構由表控制和數據表兩部分組成，控制表定義數據表的結構，數據表用于存儲數據?？刂票戆簉mlControlIndex、rmlControlParameter、rmlControlOwner，rmlControlStatue.數據表由rmlDataControlIndex和rmlDataIndex共同索引。增加行：管理站用Set命令在RMON表中增加行，并遵循下列規則：1、站用SetRequest生成一新行，如新行的索引值不沖突，代理產(chǎn)生一新行，其狀態(tài)值為creatRequest（2）；2、新行產(chǎn)生后，代理把狀態(tài)對象值置為underCreation（3）。對與站沒(méi)有設置新值得列對象，代理可以置為默認值，或者讓新行維持這種不完整、不一致的狀態(tài)。3、新行的狀態(tài)值保持為underCreation（3），直到站產(chǎn)生了所要生成的新行。這時(shí)由站置每一信行狀態(tài)的值為valid（1）4、如站要生成的新行已經(jīng)存在，則返回一個(gè)錯誤值。此是多站請求產(chǎn)生同一概念行時(shí)，先到則成功；也可把已存在的行狀態(tài)值invalid改成valid，恢復舊行，等于產(chǎn)生新行。刪除行：只有行的所有者才能發(fā)出SetRequestPDU，把行狀態(tài)值置為invalid（4）修改行先置行狀態(tài)對象值為invalid（4），然后用SetRequestPDU改變行中其它對象的值。多管理站訪(fǎng)問(wèn)中出現的問(wèn)題及解決辦法監視器允許多站并發(fā)訪(fǎng)問(wèn)，當多站訪(fǎng)問(wèn)時(shí)可能出現下列問(wèn)題：多站對資源的并發(fā)訪(fǎng)問(wèn)可能超過(guò)監視器的能力；一個(gè)站可能長(cháng)時(shí)間占用監視器資源，其它站得不到訪(fǎng)問(wèn)；占用監視器資源的站可能崩潰，沒(méi)有釋放資源。RMON控制表中列對象Owner規定了表的所屬關(guān)系；管理站能認得自己所屬的資源，也知道自己不再需要的資源；網(wǎng)絡(luò )操作員可以直到管理站占有的資源，并決定是否釋放這些資源；一個(gè)被授權的網(wǎng)絡(luò )操作員可以單方面決定是否釋放其它操作員的資源；如果管理站重新啟動(dòng)它應該是方不再使用的資源。RMON的管理信息庫RMONMIB是MIB-2下的第16個(gè)子樹(shù)，分10組，實(shí)現警報組、最高n臺主機組、捕獲組必實(shí)現事件組、主機組、過(guò)濾組；以太網(wǎng)的統計信息：有關(guān)分組的捕獲、網(wǎng)絡(luò )事件報警；1、統計組：提供一個(gè)表，每行表示一個(gè)子網(wǎng)的統計信息，大部分是計數器。記錄監視器從子網(wǎng)上收集的各種不同狀態(tài)分組數2、歷史組：存儲的是以固定間隔取樣所得子網(wǎng)數據，由歷史控制表（被取樣子網(wǎng)接口編號、取樣間隔、取樣數據多少）和歷史數據表（存儲取樣期間各種數據）組成。利用率（Utilization）={分組數packets*（96+64）+字節數Octets*8}/間隔Interval*107，3、主機組：收集新出現的主機信息，內容與接口組同。時(shí)間表用途：如站知道表和行大小就可最有效方式把有關(guān)管理信息裝入get和getnext，檢索更快捷；方便站找出某個(gè)接口上最新出現的主機，不必查閱整個(gè)表4、最高N臺主機組：記錄某組參數最大的N臺主機的有關(guān)信息，信息來(lái)源于主機組，在一個(gè)取樣間隔為一子網(wǎng)的主機組變量收集到的數據集合叫報告5、矩陣組：記錄子網(wǎng)中已對主機之間的通信量，信息以矩陣形式存儲。警報：警報組定義一組網(wǎng)絡(luò )性能門(mén)限值，超過(guò)門(mén)限值向控制臺產(chǎn)生報警事件，表行定義了監視的變量、采樣區間、門(mén)限值；采樣類(lèi)型分兩類(lèi)：absolutevalue直接與門(mén)限值比較，deltavalue相減后比較，又叫增量報警，報警機制：1、如行生效第一采樣值<＝上升門(mén)限，后來(lái)的一采樣值變得>=上升門(mén)限，則產(chǎn)生上升警報。2、如行生效第一采樣值>＝上升門(mén)限，且alarmstartupalarm＝1or3，則產(chǎn)生上升警報。3、如行生效第一采樣值>＝上升門(mén)限，且alarmstartupalarm＝2，則產(chǎn)生上升警報。產(chǎn)生上升警報后，除非采樣值落暉上升門(mén)限到達下降門(mén)限并有一次達到上升門(mén)限，否則不再報警。Hysteresis機制：上面規則避免信號在門(mén)限附近波動(dòng)，產(chǎn)生很多警報，加重負擔；增量機制：每周期采樣兩次，把最近兩次值比較。過(guò)濾測試：過(guò)濾祖使監視器觀(guān)察接口上的分組，通過(guò)過(guò)濾選出某指定的特殊分組。兩個(gè)過(guò)濾器：數據過(guò)濾器是按位模式匹配；狀態(tài)過(guò)濾器按狀態(tài)匹配（0分組大于1518字節；1分組小于64字節；2分組存在crc錯誤或對準錯誤）。一組過(guò)濾器的組合叫做通道，可以通過(guò)通道測試的分組技術(shù)，也可以配置通道使得通過(guò)的分組產(chǎn)生事件，或者使得通過(guò)的分組被撲獲。過(guò)濾邏輯：input：被過(guò)濾的輸入分組；filterPktData：用于測試的位模式；filterPktDataMask：要測試的有關(guān)位的掩碼； filterPktDataNotMAsk：指示匹配或不匹配測試。通道操作：由一組過(guò)濾器定義，被測試的分組要通過(guò)通道中的有關(guān)過(guò)濾器的檢查。分組是否被通道接受，取決于通道配置中的一個(gè)變量：channelAcceptType：：=INTEGER{acceptMatched（1），acceptFailed（2）}如值為1，分組數據和分組狀態(tài)至少與一個(gè)過(guò)濾器匹配，則分組被接受；如果值為2，則分組數據和分組狀態(tài)與每一個(gè)過(guò)濾器都不匹配，則分組被接受。包撲獲組：建立一組緩沖區，用于存儲從通道中撲獲的分組。由控制表和數據表組成。事件組：其作用是管理事件。事件是由MIB中其他地方的條件觸發(fā)的，事件也能觸發(fā)其他地方的作用。產(chǎn)生事件的條件在RMON中其他組定義，如報警組和過(guò)濾組都可以指向事件組的索引項。時(shí)間還能使得這個(gè)功能組存儲有關(guān)信息，甚至引起代理進(jìn)程發(fā)送陷入消息。事件組由事件表和log表組成，前者定義事件的作用，后者記錄時(shí)間出現的順序和時(shí)間。RMON2管理信息庫RMONMIB只能存儲MAC層管理信息，RMON2可以監視MAC層之上的通信。1、RMON2MIB的組成：RMON2監視3到7層的通信，能對數據鏈路層以上的分組進(jìn)行譯碼。能管網(wǎng)絡(luò )層協(xié)議，了解分組的源和目標地址，知道路由器負載來(lái)源，使得監視范圍擴大到局域網(wǎng)外。也能監視應用層協(xié)議，如電子郵件協(xié)議、文件傳輸協(xié)議、HTTP協(xié)議等。增加了9個(gè)功能組：協(xié)議目錄組：提供各網(wǎng)絡(luò )協(xié)議的標準化方法，使得管理站可了解監視器所在子網(wǎng)上運行什么協(xié)議；協(xié)議分布組：提供每個(gè)協(xié)議產(chǎn)生的通信統計數據；地址映象組：IP與MAC的映射；網(wǎng)絡(luò )層主機組：收集網(wǎng)上主機信息；網(wǎng)絡(luò )層矩陣組：源和目標的通信情況；應用層主機組：收集每個(gè)應用的通信情況；應用層矩陣組：統計一對應用協(xié)議之間的通信情況；用戶(hù)歷史組：周期的收集統計數據；監視器配置組：定義了監視器的標準參數的集合。增加的新功能1、外部對象索引：在SNMPv1管理信息結構的宏定義中沒(méi)有說(shuō)明外部索引對象是否必須是被索引表的列對象。在v2中明確指出可使用不是概念表成員的對象作為索引項。這情況必須在概念行DESCRIPTION子句中給出文字說(shuō)明，說(shuō)明如何使用這樣的外部對象唯一地表示概念行實(shí)例。RMON2采用了這種新的表結構，經(jīng)常使用外部對象索引數據表，以便把數據表與對應的控制表結合起來(lái)。2、時(shí)間過(guò)濾器索引：網(wǎng)絡(luò )管理應用需要周期的輪詢(xún)監視器，以便得到管理對象的最新?tīng)顟B(tài)信息。而我們希望只返回上次檢查以來(lái)改變的那部分信息。這個(gè)索引使得管理站可以從監視器取得自從某個(gè)時(shí)間來(lái)改變過(guò)的變量。RMON2MIB應用協(xié)議的標識：由字符串組成的分層的樹(shù)結構，協(xié)議標識和協(xié)議參數組成協(xié)議及與其它協(xié)議間的關(guān)系。協(xié)議。目錄表：用戶(hù)定義的數據收集機制：第一級為控制表，說(shuō)明一種采樣功能的細節。第二級為用戶(hù)歷史對象表，定義采樣的變量和類(lèi)型。第三級為歷史數據表，記錄個(gè)采樣變量的值和狀態(tài)以及采樣間隔的豈止時(shí)間。監視器標準配置法：增強管理站和監視器之間的互操作；串行配置表（定義監視器串行接口）、網(wǎng)絡(luò )配置表（監視器網(wǎng)絡(luò )接口）、陷入定義表（陷入的目標地址等）、串行連接表（存儲與管理站建立slip連接所需的參數）。