SNMPv3协议中的新特性和技术改进简介

原创 2005年03月03日 23:28:00

SNMPv3最引人注目的新特性是:GetBulk操作、64位计数器、增强了的Set命令,以及为每个SNMP引擎分配的独特的ID号。这些新特性适应了网络技术的进步,并扩展了老协议的某些局限性。例如,64位的计数器适应了千兆位网络的需求。而且,SNMPv3完善了一些协议的操作,当查询代理中的大量数据时,GetBulk操作可以把多个Get和GetNext操作连接到一个包内,这样可以减少传输过程中的碰撞效应。SNMPv3在执行Set操作后,通过一个查询来测试Set操作是否成功,从而保证其有效性。

这个最新的SNMP版本同时也改进了SNMP管理框架本身的一些结构。例如,增加改变SNMP代理配置参数的能力,使之能完全远程管理SNMP设备。最后, SNMPv3增加了一个snmpEngineID,能从一个管理设备上定位其他设备上的多种上下文。

这些新特性使管理者能在网络拓扑结构中跟踪各种关系,帮助在一个管理设备中鉴别和定位更复杂的网络基础部件。例如,在SNMPv3中,交换机的每个端口都可以被定义为交换对象中的一个逻辑桥。

老版本的缺陷

以前的SNMP版本有许多缺点:首先,SNMP缺乏有效的安全模块,而这一点恰好是各种重要网络服务中最基本的功能要求。第二,虽然SNMP允许管理者远程使用Get和Set操作MIB变量,但并没有标准的途径通过SNMP管理SNMP代理本身,使SNMP代理陷入了一种自相矛盾的尴尬境地。

SNMP还存在另外一个问题:网管平台必须逐个管理上百个厂家的MIB(管理信息库)扩展版本。许多MIB标准,如MIB、MIB2、RMON、RMON2,都企图标准化普通数据种类,但网管平台面临着巨大压力--正确地解释和设定与设备相关的大量信息。

深入SNMPv3

SNMPv3的目标有两个:首先,尽可能地统一SNMPv2工作组提出的SNMPv2* 和SNMPv2u;其次,提出了一个有效解决安全问题的方案。

SNMPv3改进了许多协议级别的标准。例如,改进了MIB、引入了GetBulk操作。SNMPv3尽力去实现SNMP的模块性和可管理性。

1.SNMP的安全性

尽管SNMP是一种强有力的网管协议,但老协议最薄弱的环节就是其安全性。一些协议内容潜在地为那些顽强的黑客提供了方便。在技术飞速发展的今天,协议分析仪的普遍使用,使黑客能依靠SNMP得到网络拓扑结构和配置的详细信息。更另人不安的是,在执行Set操作时,若在传输的过程中截取通信字串,就能控制对远程SNMP设备的管理权。

SNMPv3不仅将传送的信息加密了,而且能让接收方验证用户的申请,对每个申请进行复杂而详细的访问控制检查,以及用数字签名来保证信息的完整性。它还能让管理者自定义一些保护方式的不同结合,例如,完全不作安全检查、进行身份验证或进行加密身份验证。还可以在SNMP代理或管理站上加任意多的访问控制规则。

所有这些级别的安全检查措施在10年前根本不符合当时的硬件条件,而现在的网管基础设备有了足够多的内存和足够快的CPU,不仅满足SNMP的各种安全性的要求,而且支持全功能的网管服务。

由于SNMPv3规范要求提供身份验证和访问控制的标准组件,所以RFC2274(Internet草案标准)、RFC2275建议使用USM(基于用户的安全模式)和VACM(基于查看的访问控制模式)作为参考。这样既允许制造商支持当今的安全SNMP,同时也为将来新的安全标准留下后门(如公用密钥系统等),从而保护投资,不危及到当前的协议规范。

2.USM(基于用户的安全模式)

SNMPv3规范中提出了USM,它为网管系统提供了全方位的安全认证和保密框架,取代了以往依赖单一文本串来验证身份的做法,以及仅仅从一个SNMP查询中选择访问权限的方式。USM添加了熟悉的基于用户名、口令的验证方式,正如大多数的网络操作系统那样。

但是,不像许多基于网络操作系统的安全服务,USM并没有指定中心安全服务器,它需要一个用户名列表(带有正确的密钥),然后把它发布到整个网络中的每个SNMP代理和管理站。这意味着网管员需使用他的用户名和密码登录到管理工作站上。然后,所有经过验证的SNMP包中带有了刚才的用户名和信任证书(通过密码运算得到的钥匙),这样,使单个的SNMP代理能够验证出用户的身份;同时,支持基于用户名申请访问控制的规则,可以访问单个的MIB对象。

需要注意的是,USM仅仅定义了验证身份和加密的功能,而访问控制规则在另一个独立模块VACM中。在USM中,执行任意SNMP查询的使用者的个人身份,自初始化后就能被验证,敏感设备能记录下审核日志,将配置的改变与用户名联系在一起。虽然这在许多网络操作系统中是很普通的功能,但以前的SNMP协议没有办法建立有效的审核记录表。

登录成功后,USM就能使用DES标准加密将要传送的信息。这种加密包确保了使用者的身份。SNMPv3还定义了有私有权的时间同步安全协议。

新标准的未来

SNMPv3标准为新一代的网络管理描绘了一个迷人的蓝图,它在IETF中已成为提案标准,并已从网络设备制造商那边得到了强有力的支持。许多支持SNMPv3的代理和管理站软件原型已在去年的网络产品展上出现了,SNMP研究公司曾演示了SNMPv3引擎,它可以作为插件嵌入HP公司的Network Node Manager 5.0中。另外,在网络展上还出现了许多SNMPv3代理开发工具和基于安全策略的管理站原型。许多制造商,如BMC、Cisco、HP、Liebert、Tivoli也展示了其基于SNMPv3的最新产品原型。

相关文章推荐

SNMPv3在应用中的改进

  • 2010年01月07日 09:16
  • 399KB
  • 下载

Oracle.EBS.R12.1.3新特性之技术层

  • 2014年09月02日 14:02
  • 93KB
  • 下载

Windows Phone 8.1启动器新特性 - 应用商店启动协议

到Windows Phone 8.1的时代后,大家在使用应用商店启动协议相关的东西时,心里都有很多疑问,为什么 Windows Phone 8.0 时代的 MarketplaceDetailTask...

新特性 反射技术

  • 2014年06月08日 13:38
  • 7.09MB
  • 下载

iOS11 新特性-Core ML (一)简介

WWDC 2017开发者大会上,苹果发布了面向开发者的机器学习 API,包括面部识别的视觉 API、自然语言处理 API,这些 API 集成了苹果所谓的 Core ML 框架;Core ML 的核心是...

ECMAScript6新特性简介

原文:http://blog.gejiawen.com/2015/07/28/es6-new-feature/ ES6(ECMAScript 6)终于在2015年6月正式发布了。距离上一次正式公...
  • arjick
  • arjick
  • 2016年06月19日 16:38
  • 2532
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:SNMPv3协议中的新特性和技术改进简介
举报原因:
原因补充:

(最多只允许输入30个字)