SNMPv3协议中的新特性和技术改进简介

原创 2005年03月03日 23:28:00

SNMPv3最引人注目的新特性是:GetBulk操作、64位计数器、增强了的Set命令,以及为每个SNMP引擎分配的独特的ID号。这些新特性适应了网络技术的进步,并扩展了老协议的某些局限性。例如,64位的计数器适应了千兆位网络的需求。而且,SNMPv3完善了一些协议的操作,当查询代理中的大量数据时,GetBulk操作可以把多个Get和GetNext操作连接到一个包内,这样可以减少传输过程中的碰撞效应。SNMPv3在执行Set操作后,通过一个查询来测试Set操作是否成功,从而保证其有效性。

这个最新的SNMP版本同时也改进了SNMP管理框架本身的一些结构。例如,增加改变SNMP代理配置参数的能力,使之能完全远程管理SNMP设备。最后, SNMPv3增加了一个snmpEngineID,能从一个管理设备上定位其他设备上的多种上下文。

这些新特性使管理者能在网络拓扑结构中跟踪各种关系,帮助在一个管理设备中鉴别和定位更复杂的网络基础部件。例如,在SNMPv3中,交换机的每个端口都可以被定义为交换对象中的一个逻辑桥。

老版本的缺陷

以前的SNMP版本有许多缺点:首先,SNMP缺乏有效的安全模块,而这一点恰好是各种重要网络服务中最基本的功能要求。第二,虽然SNMP允许管理者远程使用Get和Set操作MIB变量,但并没有标准的途径通过SNMP管理SNMP代理本身,使SNMP代理陷入了一种自相矛盾的尴尬境地。

SNMP还存在另外一个问题:网管平台必须逐个管理上百个厂家的MIB(管理信息库)扩展版本。许多MIB标准,如MIB、MIB2、RMON、RMON2,都企图标准化普通数据种类,但网管平台面临着巨大压力--正确地解释和设定与设备相关的大量信息。

深入SNMPv3

SNMPv3的目标有两个:首先,尽可能地统一SNMPv2工作组提出的SNMPv2* 和SNMPv2u;其次,提出了一个有效解决安全问题的方案。

SNMPv3改进了许多协议级别的标准。例如,改进了MIB、引入了GetBulk操作。SNMPv3尽力去实现SNMP的模块性和可管理性。

1.SNMP的安全性

尽管SNMP是一种强有力的网管协议,但老协议最薄弱的环节就是其安全性。一些协议内容潜在地为那些顽强的黑客提供了方便。在技术飞速发展的今天,协议分析仪的普遍使用,使黑客能依靠SNMP得到网络拓扑结构和配置的详细信息。更另人不安的是,在执行Set操作时,若在传输的过程中截取通信字串,就能控制对远程SNMP设备的管理权。

SNMPv3不仅将传送的信息加密了,而且能让接收方验证用户的申请,对每个申请进行复杂而详细的访问控制检查,以及用数字签名来保证信息的完整性。它还能让管理者自定义一些保护方式的不同结合,例如,完全不作安全检查、进行身份验证或进行加密身份验证。还可以在SNMP代理或管理站上加任意多的访问控制规则。

所有这些级别的安全检查措施在10年前根本不符合当时的硬件条件,而现在的网管基础设备有了足够多的内存和足够快的CPU,不仅满足SNMP的各种安全性的要求,而且支持全功能的网管服务。

由于SNMPv3规范要求提供身份验证和访问控制的标准组件,所以RFC2274(Internet草案标准)、RFC2275建议使用USM(基于用户的安全模式)和VACM(基于查看的访问控制模式)作为参考。这样既允许制造商支持当今的安全SNMP,同时也为将来新的安全标准留下后门(如公用密钥系统等),从而保护投资,不危及到当前的协议规范。

2.USM(基于用户的安全模式)

SNMPv3规范中提出了USM,它为网管系统提供了全方位的安全认证和保密框架,取代了以往依赖单一文本串来验证身份的做法,以及仅仅从一个SNMP查询中选择访问权限的方式。USM添加了熟悉的基于用户名、口令的验证方式,正如大多数的网络操作系统那样。

但是,不像许多基于网络操作系统的安全服务,USM并没有指定中心安全服务器,它需要一个用户名列表(带有正确的密钥),然后把它发布到整个网络中的每个SNMP代理和管理站。这意味着网管员需使用他的用户名和密码登录到管理工作站上。然后,所有经过验证的SNMP包中带有了刚才的用户名和信任证书(通过密码运算得到的钥匙),这样,使单个的SNMP代理能够验证出用户的身份;同时,支持基于用户名申请访问控制的规则,可以访问单个的MIB对象。

需要注意的是,USM仅仅定义了验证身份和加密的功能,而访问控制规则在另一个独立模块VACM中。在USM中,执行任意SNMP查询的使用者的个人身份,自初始化后就能被验证,敏感设备能记录下审核日志,将配置的改变与用户名联系在一起。虽然这在许多网络操作系统中是很普通的功能,但以前的SNMP协议没有办法建立有效的审核记录表。

登录成功后,USM就能使用DES标准加密将要传送的信息。这种加密包确保了使用者的身份。SNMPv3还定义了有私有权的时间同步安全协议。

新标准的未来

SNMPv3标准为新一代的网络管理描绘了一个迷人的蓝图,它在IETF中已成为提案标准,并已从网络设备制造商那边得到了强有力的支持。许多支持SNMPv3的代理和管理站软件原型已在去年的网络产品展上出现了,SNMP研究公司曾演示了SNMPv3引擎,它可以作为插件嵌入HP公司的Network Node Manager 5.0中。另外,在网络展上还出现了许多SNMPv3代理开发工具和基于安全策略的管理站原型。许多制造商,如BMC、Cisco、HP、Liebert、Tivoli也展示了其基于SNMPv3的最新产品原型。

SNMPv3原理-SNMPv3协议框架

1、SNMPv3的体系结构 SNMPv3定义了新的体系结构,并在其中包含了对SNMPv1和SNMPv2c的兼容,即这个新的体系结构也适用于SNMPv1及SNMPv2c,弥补了SNMP没有完整体系结构...
  • jijian_jinan
  • jijian_jinan
  • 2015年01月25日 13:19
  • 4423

MySQL 5.7 新特性大全和未来展望

摘要:美图公司数据库高级 DBA,负责美图后端数据存储平台建设和架构设计。前新浪高级数据库工程师,负责新浪微博核心数据库架构改造优化,以及数据库相关的服务器存储选型设计。之前在「高可用架构」发表的《单...
  • YABIGNSHI
  • YABIGNSHI
  • 2016年04月28日 16:54
  • 1283

SNMPv3 - 用户安全模型

SNMPv3 - 用户安全模型 这是描述SNMP协议第三版安全特征的两篇文章中的第一篇. SNMPv3 RFCs描述了一个新的框架用于定义SNMP第一, 第二和第三版规范之间的关系....
  • mrwangwang
  • mrwangwang
  • 2015年08月03日 19:13
  • 820

aodv协议功能

在NS2.27中,AODV路由协议主要包括以下几个组件:1、协议实体2、路由表3、定时器(1)广播定时器(2)周期Hello报文广播定时器(3)用于邻居管理的定时器(4)用于路由缓存的定时器(5)用于...
  • zhuhui1123
  • zhuhui1123
  • 2008年04月01日 15:39
  • 2047

微软CONNECT(); 2016C#7.0新特性

CONNECT(); 2016 第 31 卷,第 12 期 .NET Framework - C# 7.0 中的新增功能 作者 Mark Michaelis | Co...
  • adc_god
  • adc_god
  • 2017年02月07日 18:34
  • 376

网络协议篇之SNMP协议(三)—— 不同版本(SNMPv1、v2c、v3)报文区别

转自:http://blog.csdn.net/shmily_cml0603/article/details/13287899  http://blog.csdn.net/shmily_cml0603...
  • zqixiao_09
  • zqixiao_09
  • 2017年08月12日 20:27
  • 3101

Net-SNMP(V3协议)安装配置笔记

1.前期安装必备套件 yum install net-snmp net-snmp-utils 我以为这样就可以了,然后开始满世界的找SNMP配置文件的Sample样例,可是,找来找去无非就...
  • wangcg123
  • wangcg123
  • 2017年02月09日 11:45
  • 2065

Leach协议改进

References: http://www-mtl.mit.edu/~anantha/docs/journals/2002_heinzelman_twn.pdf http://mtlweb.mi...
  • norbert_jxl
  • norbert_jxl
  • 2014年05月14日 01:06
  • 1066

Atitit nodejs5 nodejs6  nodejs 7.2.1  新特性attialx总结

Atitit nodejs5 nodejs6  nodejs 7.2.1  新特性attialx总结   1.1. Node.js 4.0.0 已经发布了 。这是和 io.js 合并之后的首...
  • attilax
  • attilax
  • 2017年01月20日 21:06
  • 500

Web Service概述 --SOAP协议与 WSDL简介

一 RPC, SOAP, WSDL三者的关系 1.RPC 如果要调用远端的一个方法,可以使用RMI和RPC,这是2种截然不同的风格。 RMI: (Remote Method Invo...
  • wenzhibinbin_pt
  • wenzhibinbin_pt
  • 2012年12月26日 22:04
  • 1124
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:SNMPv3协议中的新特性和技术改进简介
举报原因:
原因补充:

(最多只允许输入30个字)