书签 分享 收藏 举报 版权申诉 / 383

类型《网络安全与管理实验教程》课件第5章.ppt

  • 文档编号:2336510
  • 上传时间:2024-09-02
  • 格式:PPT
  • 页数:383
  • 大小:11.05MB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    网络安全与管理实验教程 网络安全 管理 实验 教程 课件
    资源描述:

    1、第 5 章 网络管理应用5.1 SNMP概述5.2 SNMP服务的配置与Snmputil工具的使用5.3 基于SNMP的网络管理软件的使用5.4 在路由器上启用SNMP协议5.5 SNMP报文解析第 5 章 网络管理应用早在ARPANet时代就已有了相应的计算机网络管理技术,后来出现的一些网络体系,如IBM的SNA、DEC的DNA等,也都有专用的网络管理系统。由于早期的计算机网络规模小,复杂度低,一个简单的网络管理系统就可以满足网络正常维护的需要。但是随着计算机网络技术的飞速发展,网络规模的日益扩大,尤其是20世纪80年代TCP/IP协议的应用,早期各种专用于某种网络体系的网络管理系统已无法满

    2、足网络异构互连的发展趋势。如何实现适用于Internet的网络管理成为人们关注的问题。5.1 SNMP概述概述第 5 章 网络管理应用为了解决这个问题,Internet体系结构管理委员会(Internet Architecture Board)分别在1988年和1989年先后推出了SNMP和CMOT(CMIS/CMIP Over TCP/IP),意为将SNMP作为短期的Internet管理解决方案,最终过渡到ISO的CMIS/CMIP(Common Management Information Service/Protocol)。但在ISO不断修改CMIS/CMIP使之趋于成熟时,SNMP在实

    3、际应用中得到了发展,逐渐获得了数百家厂商的支持,其中包括IBM、HP、Sun等著名公司与厂商。最终SNMP成为了网络管理领域中事实上的工业标准。第 5 章 网络管理应用1990年,Internet工程任务组(Internet Engineering Task Force,IETF)正式发布了SNMP,即SNMPv1。1993年,IETF发布了SNMP的第二个版本SNMPv2。SNMPv2在管理信息结构和功能上对SNMPv1进行了扩充,并增加了安全性。但经过几年的试用与论证,IETF决定对SNMPv2进行修订,放弃了SNMPv2的安全特性,消息格式也重新采用SNMPv1的格式,并于1996年发布

    4、了SNMPv2c(community-based SNMP)。由于SNMPv2没有达到“商业级别”的安全要求,因而IETF SNMPv3工作组一直致力于新标准的研究,并于1998年发布了SNMPv3,定义了SNMP的安全性以及将来改进的总体结构。SNMPv3可以和SNMPv2和SNMPv1一起使用。第 5 章 网络管理应用5.1.1 SNMP网络管理系统组成网络管理系统组成基于SNMP的网络管理系统包括以下4个组成部分。1.管理站管理站在网络管理框架中,将实施控制管理的处理实体称为管理器,运行管理器程序的计算机称为网络管理工作站(Network Management Station,NMS),

    5、简称管理站。在描述网络管理活动时,管理站可以指一台专职负责管理事务的工作站,也可以笼统地指运行在网络设备上执行管理功能的应用程序。通常将管理站负责管理的网络设备称为被管设备。管理站通过向被管设备发送请求来查询或设置被管设备的管理信息,并对信息进行分析处理。同时管理站也接收被管设备发来的通告信息,这些信息往往表示被管设备出现了某种异常。第 5 章 网络管理应用2.代理代理代理(Agent)是运行在被管设备上的进程。运行代理的可以是主机、网桥、路由器、交换机、网络打印机等各种网络设备。管理站通过代理实现对被管设备的管理控制。代理负责接收来自管理站的请求信息,根据要求提取该被管设备的设备数据及状态信

    6、息或执行某种操作,然后以响应的形式发送给管理站。在管理站没有请求的情况下,若被管设备发生异常等重要事件,则代理将主动向管理站发送通告信息,该通告信息被称为陷阱(Trap)。在讨论网络管理活动时,有时会将运行代理程序的被管设备直接称为代理。第 5 章 网络管理应用3.管理信息库管理信息库在网络管理框架中,被管设备处的网络资源被抽象为“对象”来进行管理,被管对象的集合被组织为管理信息库(Management Information Base,MIB)。它如同一个可以动态更新的数据库,其中存放着被管设备的各种管理信息,如配置信息、通信统计信息、安全信息、该设备生产厂商的特有信息等。所有被管对象在MI

    7、B中被组织成一个树形结构,处于叶子位置上的对象是实际的被管对象,每个实际的被管对象表示某些被管资源的信息,或者说代表设备某一方面的参数。管理站通过代理来读取或设置这个树形结构中对象的值,从而实现相应的管理功能。但是管理信息并不实际存储在MIB中,因为MIB实际上是一个标准文档,它精确描述了代理能够为管理站提供哪些管理信息以及管理站对这些信息的操作权限。第 5 章 网络管理应用MIB分为标准MIB和私有MIB两种。标准MIB都以RFC文档的形式发布,RFC1156定义了MIB-,RFC1213中定义了MIB-,任何支持SNMP的设备必须支持MIB-。私有MIB由网络设备生产厂商制定,定义该设备支

    8、持的特有管理信息描述。例如,Cisco公司除了支持标准MIB模块外,还在其设备中提供了私有MIB扩展,在Cisco官方网站的相关栏目中可以查找到所有Cisco设备支持的私有MIB模块的定义和每种Cisco设备平台支持的MIB清单。第 5 章 网络管理应用4.网络管理协议网络管理协议管理站和代理之间通过信息交互来执行某种管理行为,这种信息交互在网络管理协议的控制下进行,网络管理协议用于封装和交换管理站与代理之间的请求和响应信息。网络管理协议的定义决定了网络管理系统的主要功能。简单网络管理协议(Simple Network Management Protocol,SNMP)是TCP/IP网络上广泛

    9、使用的网络管理标准,规定了进行网络管理活动时允许的操作,通信双方的报文格式、顺序以及SNMP的大致体系结构。目前SNMP共有v1、v2、v3三个版本,不同版本之间的差异主要是支持的操作和PDU(Protocol Data Unit,协议数据单元)格式不同。第 5 章 网络管理应用总体而言,SNMP支持的基本操作有三个:Get:管理站读取代理处的MIB中的对象值。Set:管理站设置代理处的MIB中的对象值。该设置较少执行,因为大多数对象值具有只读访问权,无法进行设置。Trap:代理在管理站未请求的状态下向管理站报告发生的重要事件。SNMPv1的实现中,管理站通过发出GetRequest、GetN

    10、extRequest、SetRequest三种PDU请求读或写MIB中对象的值,接收到请求的代理执行相应的操作,并用GetResponse PDU响应。发生了特别事件(如被管设备的数据超过设置阈值)时,代理利用Trap PDU向管理站发出警告。第 5 章 网络管理应用SNMPv2除支持v1提供的操作外,其管理站还可以通过发送GetBulkRequest PDU请求批量获取数据,并且多个管理站之间可以通过InformRequest PDU进行通信,此外,v2不再沿用v1中的Trap PDU格式。SNMPv3定义了一种框架,用来把安全特性整合到SNMPv1或SNMPv2的整体功能中去。即SNMPv

    11、3只是一个安全规范,没有定义新的SNMP功能,只为SNMPv1或SNMPv2提供安全方面的功能。第 5 章 网络管理应用5.1.2 SNMP团体团体 在基于SNMP的网络管理中,管理站和代理之间的关系可以是一对多的关系,也可以是多对一的关系。站在管理站的角度看,一个管理站可以管理网络中的多个代理。如果网络中存在多个管理站,则每个管理站都有自己所管理的代理集合,这些集合可能重叠。因此,一个代理可能要与多个管理站进行通信。站在代理的角度看,每个代理除了维护自己的本地MIB外,还必须控制多个管理站对这个MIB的访问,这包括是否允许某个管理站的访问,以及已授权的管理站应该具有怎样的访问权限。比如,对管

    12、理站A开放MIB-的所有对象,对管理站B仅开放MIB-的一个子集UDP组的对象;或者对管理站A开放get访问权限,对管理站B开放set访问权限。第 5 章 网络管理应用为解决上述问题,SNMP提供了一种简单而有限的安全保护能力:验证团体名。团体(Community)是一个在代理者系统中定义的本地概念。一个团体是一个代理和任意管理站之间的一种关系,它定义了认证、访问控制和代理的特性。每个团体都有一个以字符串形式标识的名字,被称为团体名(Community String)。团体是在代理一侧本地定义的,如果一个代理要与多个管理站进行通信,那么该代理可能需要定义多个团体。用于识别每个团体的团体名在代理

    13、者系统中是本地唯一的,且只在本地有效,而不同的代理可能会定义相同的团体名。因此管理站在作任何应用(如发送查询请求)时应将团体名和代理联系起来。第 5 章 网络管理应用任意的管理站只要知道团体名,使用正确的团体名访问代理的管理信息,就被认为是合法的。因此,在SNMP中团体名相当于口令。验证团体名是判断是否有第三方试图以无效管理员身份访问一个设备的主要途径,SNMPv1、SNMPv2都使用它作为安全认证机制。有三种级别的团体名:只读、读/写、Trap。只读团体名只在管理站向代理查询MIB对象值时使用;读/写团体名在管理站向代理查询或设置MIB对象值时都可使用;Trap团体名在管理站接收代理发送的T

    14、rap时使用。第 5 章 网络管理应用大部分设备将只读团体名默认设置为public,将读/写团体名默认设置为private。出于安全的考虑,代理应修改默认团体名,当然修改后必须向授权的管理站通知新的团体名。管理站在发送给代理的SNMP请求报文中提供团体名,代理收到请求后,检查请求报文中的团体名是否为本地设置的某个团体名。如果存在匹配,则该管理站就是经过授权的,是可信任的,代理将按照该团体设置的视图和访问策略处理该请求;如果不存在匹配,则视该管理站是未经授权的,代理会拒绝本次请求。例如:代理定义了两个团体名(大小写敏感):zjr789和cghzcl,则团体名为public的请求消息会被代理拒绝,

    15、并主动向管理站发出表明“身份验证失败”的警告信息,如图5-1所示。第 5 章 网络管理应用图5-1 团体名的使用第 5 章 网络管理应用5.2.1 在在Windows系统上启用系统上启用SNMP服务服务在SNMP管理环境中,要想使安装有Windows 2000、Windows XP、Windows Server 2003或Windows Vista操作系统的计算机支持SNMP管理,必须启用SNMP服务,包括“SNMP Service”和“SNMP Trap Service”两项服务。启用“SNMP Service”服务即执行“snmp.exe”代理服务程序,它允许本地计算机处理接收到的SNMP

    16、请求,并向网络上的SNMP管理站报告其状态。如果该服务停止,本地计算机将无法处理SNMP请求。5.2 SNMP服务的配置与服务的配置与Snmputil工具的使用工具的使用第 5 章 网络管理应用启用“SNMP Trap Service”服务即执行“snmptrap.exe”陷入服务程序,它用于接收由本地或远程SNMP代理生成的陷阱消息,然后将这些消息转发给本地计算机上运行的SNMP管理程序。如果该服务停止,这台计算机上基于SNMP的应用程序将会无法接收SNMP陷阱消息。为代理配置了SNMP陷阱服务后,如果发生任何特定的事件,都将生成陷阱消息,这些消息被发送到陷阱目标,陷阱目标应是网络中运行SNMP网络管理应用软件的主机。例如,如果将代理配置为“接收到非授权管理站发送的请求时启动身份验证陷阱”,则当发生团体名验证失败事件时,代理会向陷阱目标发送Trap消息。第 5 章 网络管理应用5.2.2 实验实验Windows 2000下下SNMP服务的安装与服务的安装与配置配置【实验目的实验目的】掌握Windows 2000下SNMP服务的安装以及SNMP服务属性配置。【实验环境实验环境】运行Wi

    展开阅读全文
    提示  兔兜文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:《网络安全与管理实验教程》课件第5章.ppt
    链接地址:https://www.tudouwenku.com/doc/2336510.html

    若发现您的权益受到侵害,请立即联系客服,我们会尽快为您处理!

    copyright@2008-2024 兔兜文库 版权所有

    鲁公网安备37072502000182号  ICP备案号:鲁ICP备2021021588号-1  百度保障

    兔兜文库
    收起
    展开