第2章 设备管理协议.ppt

《第2章 设备管理协议.ppt》由会员分享，可在线阅读，更多相关《第2章 设备管理协议.ppt（69页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ISSUE 1.1第第2 2章章 设备管理协议设备管理协议日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播引入引入n随着网络技术的飞速发展，网络的数量也越来越多。而网络中随着网络技术的飞速发展，网络的数量也越来越多。而网络中的设备来自各个不同的厂家，如何管理这些设备变得十分重要。的设备来自各个不同的厂家，如何管理这些设备变得十分重要。n在进行网络设备管理的同时也需要提高传送管理报文的有效性，在进行网络设备管理的同时也需要提高传送管理报文的有效性，减少网络管理工作站的负载，满足网络管理员监控网络性能的减少网络管理工作站的负载，满足网络管理员监控网络性能的需求。需求。n除了网络及设备

2、的管理外，在非安全网络上提供安全的远程登除了网络及设备的管理外，在非安全网络上提供安全的远程登录和其他安全网络服务也成为人们关注的焦点。录和其他安全网络服务也成为人们关注的焦点。n了解了解SNMP基本组成及其原理基本组成及其原理n了解管理信息库了解管理信息库(MIB)的原理的原理n掌握掌握SNMP不同版本的配置不同版本的配置n了解了解RMON的原理与作用的原理与作用n了解了解SSH工作原理工作原理n掌握掌握SSH服务器和客户端的配置服务器和客户端的配置课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n第一节：第一节：SNMP协议协议n第二节：第二节：RMON介绍介绍n第三节

3、：第三节：SSH协议协议目录目录5网络管理模型网络管理模型n网络管理模型包含：NMS、SNMP、DEV、Agent和MIB。NMSDEVMIBSNMPA6网络管理功能规则网络管理功能规则n拓扑管理n故障管理n性能管理n配置管理n安全管理7拓扑管理拓扑管理n发现设备发现设备自动发现手工添加n构建拓扑构建拓扑自动拓扑自定义拓扑8故障管理故障管理n告警接收告警接收设备上报trap信息网管主动轮询n告警通知告警通知告警板、声光提醒和设备图标颜色变化转发至Email、短信或其他网管n故障处理故障处理获取告警信息分析告警排除故障确认告警n告警统计与查询（实时、当前和历史告警统计与查询（实时、当前和历史)n

4、告警删除与转储告警删除与转储9性能管理性能管理n性能管理至少能监视的指标性能管理至少能监视的指标CPU和内存的利用率设备/接口流量设备/接口异常n监视任务监视任务应设定任务具体的开始时间、结束时间和采集周期n阈值告警阈值告警 n报表统计与导出报表统计与导出定期（日、周、月、年）和实时报表报表可保存为文本、Excel或HTML文件等10配置管理配置管理n业务配置业务配置图形化方式取代CLI完成设备业务配置n设备配置文件管理设备配置文件管理对设备配置文件进行备份和恢复等集中管理配置文件的基线化管理n设备软件管理设备软件管理备份和批量升级设备软件n配置管理通过厂商私有配置管理通过厂商私有MIB实现，

5、一般实现，一般互不兼容互不兼容11安全管理安全管理n完成网管本身的安全控制完成网管本身的安全控制用户操作权限设置用户登录控制用户操作日志12管理信息库（管理信息库（MIB）nMIB（ManagementInformationBase，管理信息库），是指被管理对象信息的集合，也就是所有代理进程包含的、并且能够被管理进程进行查询和设置的信息的集合。n管理代理通过MIB把被管对象组织起来，支持SNMP的网管软件只要取得设备的MIB就能通过SNMP协议来管理该设备。nMIB是以树状结构进行存储的，树的叶子节点用来表示管理对象，它可以从根节点开始的一条无二义的路来进行识别。13MIB的结构的结构mib-

6、II(1)ccitt(0)iso(1)Joint-iso-ccitt(1)org(3)dod(6)internet(1)directory(1)mgmt(2)experimental(3)private(4)rootenterprises(1)system(1)interface(2)at(3)ip(4)icmp(5)tcp(6)udp(7)14MIB库的组成库的组成n任何一个被管理的资源都表示成一个对象，称为被管理的对象。nMIB就是一个被管理的对象的集合。nAgent都会维护一个MIB库。n可以对MIB库中的对象进行读取或设置。AgentMIBSNMPUDPIP15MIB的类型与实例标识的

7、类型与实例标识nMIB中变量的分类：节点：MIB树中的每个对象都称为一个节点；叶子节点：MIB树中没有子节点的节点，称为叶子节点；实例：叶子节点对应的对象实体。16MIB举例举例1address(1)130.89.16.2info(2)name(1)printer-1uptime(2)123456Address:ObjectID=1.1ObjectInstance=1.1.0ValueofInstance=130.89.16.2Name:ObjectID=1.2.1ObjectInstance=1.2.1.0ValueofInstance=printer-17MIB的取值方式的取值方式nMIB

8、中按照对象标识进行排序时有一个隐含的排序规则：“先列后行”，也称为“字典序”方式。0.0.0.0670.0.0.01610.0.0.0520udpLocalAddressudpLocalP18nSNMP是简单网络管理协议（SimpleNetworkManagementProtocol）的简称，管理进程和代理进程之间的通信协议。n管理进程和代理进程之间的通信有两种方式一种是管理进程向代理进程发出请求，询问一个具体的参数值另外一种方式是代理进程主动向管理进程报告有某些重要的事件发生 管理进程除了可以向代理进程询问某些参数值以外，管理进程除了可以向代理进程询问某些参数值以外，它还可以按要求改变代理进

9、程的参数值。它还可以按要求改变代理进程的参数值。SNMPSNMP简介简介简介简介19SNMP的基本组成的基本组成n在SNMP中，有两种实体：NMS（网管站）和Agent（代理）。向网管站发送向网管站发送trap报文报文向代理发送请求报文向代理发送请求报文向网管站回送请求报文向网管站回送请求报文NMS网管站网管站Agent代理代理20SNMP基本原理基本原理version=SNMPv1Community Name=PublicSNMP operation=Get、Getnext、Setversion=SNMPv1Community Name=PublicSNMP operation=GetRes

10、ponce、TrapIP网络网络21SNMP的基本操作的基本操作 nSNMP协议中定义了协议中定义了5种基本报文：种基本报文：get-request：从代理进程处提取一个或多个参数值。get-next-reguest：从代理进程处提取一个或多个参数的下一个参数值。set-request：设置代理进程的一个或多个参数值。get-response：返回的一个或多个参数值。这个操作是由代理进程发出的。它是前面三种操作的响应操作。trap：代理进程主动发出的报文，通知管理进程有某些事情发生。22SNMP报文的交互过程报文的交互过程UDP端口端口162get-requestget-responseget

11、-responseget-responseget-next-requestset-requesttrapUDP端口端口161UDP端口端口161UDP端口端口161SNMP管理进程管理进程SNMP代理进程代理进程23SNMP中中Get操作操作n获取1个或多个变量的值n可能出现的错误码：noSuchName:被请求的变量不存在或者它不是一个叶子节点tooBig：请求的GetResponsePDU的大小超出本地的限制GenErr：所有其他的错误MIBget-responseNMSAgentget-24SNMP中的中的Set操作操作n给一个已经存在的变量赋值或者在表中创建一个新的实例nNMS可以一次

12、创建或更改多个变量 MIBresponseNMSAgentset-25SNMP中的中的GetNext操作操作n获取下一个MIB节点的实例名和取值n可能出现的错误码：noSuchNametooBiggenErrMIBget-responseNMSAgentget-next-26GetNext操作举例操作举例1address(1)130.89.16.2info(2)name(1)printer-1uptime(2)123456route tabledet(1)next(2)27SNMP中的中的Trap操作操作n向指定的管理站报告某个事件的发生。nTrap接收是无需确认的，不是完全可靠的。MIBtr

13、apNMSA28SNMP的报文格式的报文格式name 1name 2 value1name nPDU TypeERRORINDEXERRORSTATUS REQUEST IDVersionVariable bindingsSNMP PDUSNMP messagevalue 2value nVARIABLE BINDINGSCommunitySNMP PDU29SMI 与与ASN.1nSNMP是应用层协议，它要求两端的协议实体交换各种报文。在SNMP协议中采用的是ASN.1（AbstractSyntaxNotaion1）语法。MIB和SNMP报文中的所有字段都是采用ASN.1描述的。nSMI（S

14、tructureofManagementInformation，管理信息结构）是SNMP的另一个重要组成部分，SMI标准指明了所有的MIB变量必须使用抽象语法记法ASN.1来定义。这种记法使得数据的含义不存在任何可能的二义性。30ASN.1的要点的要点nASN.1的要点包括的要点包括标识符（即值的名或字段名）、数据类型名和模块名由大写或小写字母、数字、以及连字符组成。标识符的第一个字母用小写，后面可用数字、连字符以及一些大写字母，以增加可读性。ASN.1固有的数据类型全部由大写字母组成。用户自定义的数据类型名和模块名的第一个字母用大写，后面至少要有一个非大写字母。多个空格或空行都被认为是一个空

15、格。注释由两个连字符（-）表示开始，由另外两个连字符或行结束符表示结束。31ASN.1的基本编码规则的基本编码规则 nASN.1规定了对各种数据值都采用所谓的TLV方法进行编码，这种方法把各种数据元素表示为以下三个字段组成的八位位组序列：T字段，即标识符八位位组(identifieroctet)，用于标识标记。L字段，即长度用八位位组(lengthoctet)，用于标识后面V字段的长度。V字段，即内容八位位组(contentoctet)，用于标识数据元素的值。32ASN.1的基本编码规则示意图的基本编码规则示意图T（标记）（标记）标识符标识符8位位组位位组L（长度）（长度）长度长度8位位组位位

16、组V（值）（值）内容内容8位位组位位组类别类别P/C标记编码标记编码156784320 00简单类型简单类型通用类通用类0 01构造类型构造类型应用类应用类1 0上下文类上下文类1 1专用类专用类比特比特33SNMP的发展的发展 nSNMP的发展经历了三个版本SNMPv1SNMPv2SNMPv3nSNMPv1是最早的版本，实现简单。nSNMPv2是在SNMPv1基础上的改进版本。nSNMPv3是在SNMPv1/v2基础上的改进版本。34SNMPv1的不足的不足 nSNMPv1的不足的不足 严重的安全问题带宽的浪费管理者与管理者之间不具备通信能力只提供有限的操作只有有限的错误代码定义没有统一的表

17、格访问机制35SNMPv2对对SNMPv1的扩展的扩展 nSNMPv2中定义了中定义了GetBulk操作，操作，GetBulk操作使得网管程序能够一次获取表格中的大量数据。GetBulk操作是GetNext的延伸，一个GetBulk操作等价于多次执行GetNext操作，能够一次获取大量的值，有效地减少网络管理站和被管理设备的通信次数，提高网络性能。注：在实际应用中，我们提到的SNMPv2通常是指SNMPv2c（Community-basedSNMPv2，RFC1901-RFC1908中定义）。本文后续讲解SNMPv2时，以SNMPv2c为代表进行阐述。36GetBulk PDU格式格式 PDU

18、 TypeNON-REPEATERSREQUESTIDVARIABLE BINDINGSMAX-REPETITIONSnnon-repeaters指明变量绑定字段中被索引不超过一次的变量数量，该字段用于当某些表式对象只有一个变量的情况。nmax-repetitions定义除了non-repeaters字段之外的其它变量被索引的最大次数。37SNMPv2c提供更丰富的错误码提供更丰富的错误码PDU Type00REQUEST IDVARIABLE BINDINGSPDU TypeERRORINDEXERRORSTATUSREQUEST IDVARIABLE BINDINGS用于说明报用于说明报文

19、错误原因文错误原因指明变量绑指明变量绑定对中第几个定对中第几个参数出错参数出错SNMP请求报文请求报文SNMP响应报文响应报文38SNMPv2与与SNMPv1的兼容性的兼容性n要实现两者的互联，至少要考虑两个方面的问题：要实现两者的互联，至少要考虑两个方面的问题：管理信息库：SNMPv2的管理信息库和SNMPv1相比有很多不同。要把现有的SNMPv1的MIB模块变成SNMPv2的MIB模块，必须考虑以下方面：对象的定义、trap的定义、一致性语句、代理能力语句。协议操作：SNMPv2的协议操作增加了新的类型，报文格式也和SNMPv1不同，同时具有SNMPv1所不具有的安全特性。有两种方式可实现

20、两者的兼容：一种是Proxyagent转换器，另一种是“双协议管理器”方法。39为什么会提出为什么会提出SNMPv3n为了改进为了改进SNMPv1/v2c在安全性方面的缺陷在安全性方面的缺陷基于团体名(CommunityName)的有限的安全机制。如果CommunityName是明文传输，入侵者很容易通过抓包工具来获取SNMPv1/v2c的报文不支持加密SNMPv1/v2c限制了SNMP在非完全信任的网络中的使用nSNMPv3在继承了在继承了SNMPv2c的基础上，提供认的基础上，提供认证、加密证、加密和和访问控制。访问控制。40SNMPv3的认证机制的认证机制n基本原理基本原理双方共享一个私

21、有密钥，发送方使用此密钥来创建一个MessageAuthenticationCode（MAC）接收方使用认证密钥来计算出此MAC，如果与发送方的MAC互相匹配，该消息就通过了认证。KEYDATAHASHFUNCTIONDATAHASHFUNCTIONMACMACKEYDATAMACUSERDATAMACUSER？41SNMPv3的加密模式的加密模式n加密范围：消息报文中PDU部分n加密协议：CBC-DESDES-KEYDATADATADESALGORITHMENCRYPTEDDATAUSERUSERENCRYPTEDDATADES-KEYDESALGORITHMENCRYPTEDDATAENC

22、RYPTEDDATA42SNMPv3的安全访问控制的安全访问控制nSNMPv3最大的改进就在安全上，提供了认证和加密来保障安全。SNMPv3提供了基于USM（User-basedSecurityMode）的认证和加密模式。USM认证USM加密VACM访问控制43SNMP三个版本的比较三个版本的比较SNMPv1 SNMPv2c SNMPv3 支持的支持的PDU get-requestget-next-requestget-responseset-requesttrapget-requestget-next-requestget-responseset-requestget-bulk-reques

23、tinform-requesttrapreportget-requestget-next-requestget-responseset-requestget-bulk-requestinform-requesttrapreport安全性安全性 使用明文传输的CommunityName进行安全管理，安全性低使用明文传输的CommunityName进行安全管理，安全性低采用基于用户的安全模型(认证和加密)，基于视图的访问控制模型，安全性很高复杂性复杂性 简单，使用广泛简单，使用广泛开销大，比较繁琐44配置配置SNMP n设置团体名；n设置系统信息；n允许或禁止发送Trap；n设置Trap目标主机的

24、地址；n配置本地或远端设备的名字；n配置一个SNMP的组；n指定发送Trap的源地址；n为一个SNMP的组添加一个新用户；n创建或者更新视图的信息；n设置Agent能接收/发送的SNMP消息包的大小。n第一节：第一节：SNMP协议协议n第二节：第二节：RMON介绍介绍n第三节：第三节：SSH协议协议目录目录46RMON管理管理 nRMON管理的主要功能是根据RFC1757的RMON-MIB中定义的统计、历史、告警和事件组的监视和配置功能以及H3C公司自定义告警扩展MIB对主机设备进行远程监视管理。nRMON的原理是把一部分原来在网管侧实现的功能放到设备上去进行，例如由网管侧配置设备Agent统

25、计和计算某一个或几个监视对象的值，然后将这些值与设定的门限进行比较，只有当统计值超过门限时，设备侧才会向网管侧发出告警。47NMS与与RMON代理通信示意图代理通信示意图AgentAgentRMONMIBRMONMIBRMON管理工作站管理工作站被管设备n通过运行在网络监视器上支持的RMONAgent，网管工作站可以获得与被管网络设备接口相连的网段上的整体流量、错误统计和性能统计等信息，从而实现对网络(往往是远程的)的管理。48常用常用RMON组组nRMON组分别是：组分别是：统计数字组历史组主机组前N个主机组通信矩阵组告警组过滤器组包捕获组n每个组都是可选项，所以不必在每个组都是可选项，所以

26、不必在MIB中支持所有的组。中支持所有的组。n目前大部分目前大部分RMON Agent 只支持统计、历史、告警、事只支持统计、历史、告警、事件四个组。件四个组。49RMON的统计组的统计组 n统计组信息反映设备上每个监控接口的统计值。统计组信息反映设备上每个监控接口的统计值。n统计组统计的是从该统计组创建的时间开始的累计信息。统计组统计的是从该统计组创建的时间开始的累计信息。统计信息包括网络冲突数、统计信息包括网络冲突数、CRC校验错误报文数、过小校验错误报文数、过小（或超大）的数据报文数、广播、多播的报文数以及接（或超大）的数据报文数、广播、多播的报文数以及接收字节数、接收报文数等。收字节数

27、、接收报文数等。n利用利用RMON统计管理功能，可以监视端口的使用情况、统计管理功能，可以监视端口的使用情况、统计端口使用中发生的错误统计端口使用中发生的错误。50RMON的历史组的历史组 n配置了配置了RMON历史组以后，被管理设备会周期性地收集历史组以后，被管理设备会周期性地收集网络统计信息，为了便于处理，这些统计信息被暂时存网络统计信息，为了便于处理，这些统计信息被暂时存储起来，提供有关网段流量、错误包、广播包储起来，提供有关网段流量、错误包、广播包和和带宽利带宽利用率等统计信息的历史数据。用率等统计信息的历史数据。n利用历史数据管理功能，可以对设备进行设置。设置的利用历史数据管理功能，

28、可以对设备进行设置。设置的任务包括：采集历史数据、定期采集并保存指定端口的任务包括：采集历史数据、定期采集并保存指定端口的数据。数据。51RMON的告警组的告警组nRMON告警管理可对指定的告警变量（如端口的统计数告警管理可对指定的告警变量（如端口的统计数据）进行监视据）进行监视当被监视数据的值在相应的方向上越过定义的阈值时会产生告警事件，然后按照事件的定义进行相应的处理。事件的定义在事件组中实现。n另外对于另外对于H3C设备而言，还有扩展告警组设备而言，还有扩展告警组扩展告警表项可以对告警变量的采样值进行运算，然后将运算结果和设置的阈值比较，实现更为丰富的告警功能。52RMON的事件组的事件

29、组 n事件组用来定义事件号及事件的处理方式。事件组定义的事件组用来定义事件号及事件的处理方式。事件组定义的事件主要用在告警组配置项和扩展告警组配置项中告警事件主要用在告警组配置项和扩展告警组配置项中告警触发产生的事件。触发产生的事件。n事件有如下几种处理方式事件有如下几种处理方式：将事件记录在日志表中向NMS发trap消息将事件记录在日志表中并向NMS发trap消息不作任何处理53配置配置RMON nRMON配置包括：配置包括：添加/删除事件表的一个表项undormon eventevent-entrydescriptionstring log|traptrap-community|log-t

30、rap log-trapcommunity|noneownertext添加/删除告警表的一个表项undormon alarmentry-number alarm-variable intervaldelta|absoluterising-thresholdthreshold-value1event-entry1falling-thresholdthreshold-value2 event-entry2 ownertext添加/删除扩展RMON告警表的一个表项undormon prialarmentry-number variable-formula description intervalde

31、lta|absolute|changeratiorising_thresholdthreshold-value1 event-entry1falling_thresholdthreshold-value2 event-entry2entrytypeforever|cyclecycle-periodowner text 添加/删除历史控制表的一个表项undormon historyentry-number buckets numberinterval interval ownertext添加/删除统计表的一个表项undormon statisticsentry-54RMON显示和调试显示和调试操

32、作操作命令命令显示RMON统计消息displayrmonstatistics port-num 显示RMON历史信息displayrmonhistory port-num 显示RMON告警信息displayrmonalarm alarm-table-entry 显示扩展RMON告警信息displayrmonprialarm prialarm-table-entry 显示RMON事件displayrmonevent event-table-entry 显示RMON事件日志displayrmoneventlog event-number n第一节：第一节：SNMP协议协议n第二节：第二节：RMON

33、介绍介绍n第三节：第三节：SSH协议协议目录目录56SSH概述概述nTelnet 缺乏安全的认证方式缺乏安全的认证方式nSSH（Secure Shell）安全的远程登录协议安全的远程登录协议协议号22支持PASSWORD认证和RSA认证57SSH协议的基本框架协议的基本框架各种各种SSH高层网络安全应用协议高层网络安全应用协议连接协议连接协议用户认证协议用户认证协议服务器认证服务器认证数据机密性数据机密性信息完整性信息完整性传输层协议传输层协议58SSH的密钥机制的密钥机制nSSH 协议三个主要的密钥协议三个主要的密钥主机密钥服务器密钥用户密钥59SSH协议的版本协议的版本nSSH的发展经历了

34、两个版本的发展经历了两个版本SSH1SSH2nSSH1和和SSH2是不同的两个协议，它们是不兼容是不同的两个协议，它们是不兼容的。的。60SSH工作过程（一）工作过程（一）n阶段一阶段一 版本号协商阶段版本号协商阶段版本标志字符串，格式为“SSH.n”明文方式传输61SSH工作过程（二）工作过程（二）n阶段二阶段二 公钥和密钥交换公钥和密钥交换62SSH工作过程（三）工作过程（三）n阶段三阶段三 认证方式认证方式RSA认证PASSWORD认证公钥模数公钥模数(public key modulus)认证或失败挑战认证或失败挑战（包含加密的（包含加密的MP型整数）型整数）加密的加密的MD5值值失败

35、或认证成功失败或认证成功63SSH工作过程（四）工作过程（四）n阶段四阶段四 会话请求过程会话请求过程n阶段五阶段五 交互会话模式交互会话模式64SSH服务器端的配置命令服务器端的配置命令nSSH服务器端的配置命令服务器端的配置命令 设置所在用户界面支持的协议protocol inbound生成本地RSA密钥对rsa local-key-pair create销毁本地RSA密钥对rsa local-key-pair destroy为SSH用户配置认证方式ssh userusernameauthentication-type设置SSH认证超时时间ssh server timeout设置SSH认证

36、重试次数ssh server authentication-retries为SSH用户分配公钥ssh userusernameassign rsa-65SSH公钥的配置公钥的配置n公钥的配置公钥的配置进入公共密钥编辑视图，输入经过标准编码后的公钥public-key-code begin保存用户配置的公共密钥并退回到公共密钥视图public-key-code end退回到系统视图peer-public-key end为SSH用户分配公共密钥ssh userusernameassign rsa-keykeyname设置所在用户界面支持的协议protocol 66SSH客户端的配置客户端的配置nS

37、SH 客户端的配置客户端的配置 启动ssh客户端和服务器端建立连接ssh2host-ipaddrport prefer_kex dh_group1|dh_exchange_group prefer_ctos_cipher des|aes128 prefer_stoc_cipher des|aes128 prefer_ctos_hmac sha1|sha1_96|md5|md5_96 prefer_stoc_hmac sha1|sha1_96|md5|md5_96 67SSH显示和维护显示和维护n显示服务器端主机密钥对和服务器密钥对的公钥显示服务器端主机密钥对和服务器密钥对的公钥部分部分：dis

38、playrsalocal-key-pairpublicn显示客户端的指定显示客户端的指定RSA密钥对的公钥部分：密钥对的公钥部分：displayrsapeer-public-key brief|namekeyname 显示SSH状态信息和会话信息display ssh server status|session 显示SSH用户信息display ssh user-information username本章总结本章总结nSNMP协议是管理进程和代理进程之间的通信协议。最适合小型、协议是管理进程和代理进程之间的通信协议。最适合小型、快速快速和和低价格的网络环境使用。低价格的网络环境使用。SNMP协议目前有三个版本协议目前有三个版本：SNMPv1、SNMPv2c和和SNMPv3。nRMON是对是对SNMP最重要的增强，利用最重要的增强，利用RMON，可以更有效，可以更有效地地降降低对网络带宽的要求、实现网络数据的增值分析、减轻网管站和低对网络带宽的要求、实现网络数据的增值分析、减轻网管站和网络的负担。网络的负担。nSSH是在是在Telnet基础上发展起来的一种安全的远程登录协议，其基础上发展起来的一种安全的远程登录协议，其目的是要在非安全网络上提供安全的远程登录和其他安全网络服目的是要在非安全网络上提供安全的远程登录和其他安全网络服务。务。杭州华三通信技术有限公司