简单网络管理协议(Simple Network Management Protocol,SNMP)
目录 |
网络管理协议是由Internet活动委员会(IAB)制定的,已被采纳为基于TCP/IP协议的各种互联网络的管理标准。如果在防火墙端为防火墙的各种状态变量定义对应的MIB变量对象,其中包括防火墙的包过滤规则,而且在防火墙端有SNMP Agent并且能够直接把对SNMP命令中对MIB变量对象的操作解读出来,再由加载模块转换成为对实际的防火墙状态的操作,那么这样的防火墙就具备了利用SNMP协议进行联动的条件。实际上如果防火墙本身没有提供上述SNMP接口,也可以在原有防火墙的基础上开发这样的接口。目前网络上有很多开发SNMP的工具包,最著名的是公开源码的NET—SNMP开发包,这些开发包提供Windows和Linux等不同操作系统下的SNMPAgent,大多数只支持SNMPvl,SNMPv2c(communitystring-based),SNMPv2u (user-based)和SNMPv3协议所采用的报文格式。利用工具包建立好SNMP Agent后,找到防火墙自身的各种状态信息相对应的存放文件,利用程序将MIB的信息及时转换成防火墙自身状态信息存放文件中的数据格式,写入文件中,这样就可以使防火墙具有SNMP接口。任何利用SNMP命令对MIB中变量的改动都可以从防火墙的性能中反映出来。
1. SNMP是为网络管理服务而定义的应用协议,在1988年8月首次定义,由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的,很快就在RFC1157中达到了正式标准。
2. SNMP是NMS和代理之间的异步请求和相应协议。
3. SNMP是由一系列协议组和规范组成的,它们提供了一种从网络上的设备中收集网络管理信息的方法。
4. SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。
5. 从被管理设备中收集数据有两种方法:一种是轮询(polling-only)方法,另一种是基于中断(interrupt-based)的方法。
6. SNMP消息全部通过UDP端口161接收,只有Trap信息采用UDP端口162。
一个SNMP管理的网络由下列三个关键组件组成:
一个网络管理系统运行应用程序,以该应用程序监视并控制被管理的设备。也称为管理实体(managingentity),网络管理员在这儿与网络设备进行交互。网络管理系统提供网络管理需要的大量运算和记忆资源。一个被管理的网络可能存在一个以上的网络管理系统。
一个被管理的设备是一个网络节点,它包含一个存在于被管理的网络中的SNMP代理者。被管理的设备通过管理信息库(MIB)收集并存储管理信息,并且让网络管理系统能够通过SNMP代理者取得这项信息。
代理者是一种存在于被管理的设备中的网络管理软件模块。代理者控制本地机器的管理信息,以和SNMP兼容的格式传送这项信息。
SNMP参考模型由以下4个主要部分构成:互联网络,网络协议,网络管理进程和被管网络实体,如图所示:
其中的核心内容是SNMP管理模型,如图所示: