H3CSE园区-SNMP及日志管理

PS：本篇仅挑选作者认为重要的模块，并不全面仅供复习参考，具体请自行查阅相关书籍。设有H3CNE-H3CTE学习博客专栏，敬请关注。

随着网络规模的不断扩大，自动化网络管理的要求越来越高。

SNMP协议提供了一种从网络设备中收集网络管理信息的方法，也为设备向网络管理工作站报告问题和错误提供了一种方法。

网络管理关键功能：

OSI定义的网络管理关键功能：
故障管理  
计费管理 
配置管理
性能管理

安全管理

网络管理面临的挑战与SNMP：

网络管理面临的挑战：
     网络规模越来越大
     网络设备越来越多样性
     自动化管理成为网络管理的基本需求
SNMP提供了一种对多供应商、可协同操作的网络管理工具，成为应用广泛的IP网络管理协议。
     SNMP协议实现简单，适合IP网络管理要求

     SNMP能够花费最少的人力、设备、资金提供更智能的网络管理服务 

SNMP 简单网络管理协议

SNMP基本架构：

1.网络管理站（NMS）
2.代理器（Agent）
3.SNMP协议
4.管理信息库（ MIB ） 

        网络管理站-------------------IP网络---------------------网管代理（其上有MIB）

 安装了网管软件的服务器                                                              被管理的网络设备上的进程

            <--------------------SNMP协议消息------------------------->

华三的网管软件就叫IMC（智能管理中心）

MIB：管理信息库

   1. MIB是一个被管理对象的集合
   2. 定义被管理对象的一系列的属性

   3. MIB通过SMI进行组织和定义

每个节点都是一个对象

SNMP版本：

常用的SNMP有三个版本
     SNMPv1： RFC 1157定义
     SNMPv2c： RFC 1901～RFC1908定义
     SNMPv3：RFC3411～RFC3418定义

目前正式SNMP标准版本为SNMPv3

SNMP团体：

SNMPv1使用团体来进行安全机制管理
团体是由Agent和若干个网络管理站应用程序组成
每个团体通过团体名即一个字符串来区别
团体名实际上是一个相关权限的密码
     可以访问哪些节点
     访问的类型（读/设置）

VBList：变量列表

SNMPv1的不足：

1.SNMPv1的所有操作都是原子性的，效率低（比如在一个Get消息获取10个值，有任意一个失败，则管理站认为所有都获取失败）
2.SNMPv1的错误状态有限
3.不支持NMS到NMS之间的通信
4.SNMPv1的Trap报文格式存在缺陷

5.SNMPv1安全性较弱

SNMPv2c vs SNMPv1：

SNMPv2c也是基于团体名的安全机制
SNMPv2c请求报文和响应报文格式与SNMPv1一致
SNMPv2c相对SNMPv1改进
     1.除了Set操作是原子性的，其他操作都是非原子性的；
     2.增加了GetBulk操作（等价于连续发了N个Get-Next-Request消息），操作效率更高；
     3.具有更丰富的错误状态和错误码；
     4.支持更丰富的数据类型

     5.Trap报文格式与其他操作类型的报文格式进行了统一。

SNMPv1和SNMPv2c的安全性挑战：
SNMPv1和SNMPv2c安全性
基于团体名(community name)的有限的安全机制
团体名是明文传输，入侵者很容易通过抓包工具来获取
报文不支持加密
限制了SNMP在非完全信任的网络中的使用
SNMPv3在继承了SNMPv2c的基础上，提供

认证、加密、访问控制

SNMP所有节点都叫实体，实体运行不同的SNMP程序区分出管理站点和代理

安全子系统提供USM模型

访问控制子系统提供VACM模型

配置：

示例：