一種支持SNMP V3的代理平臺設(shè)計方案
摘要:SNMP是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議,SNMP V3是其最新版本,需要被各類網(wǎng)絡(luò)設(shè)備的代理平臺所支持。本文提出了一種支持SNMP V3的網(wǎng)絡(luò)設(shè)備代理平臺的設(shè)計方案,重點討論了代理平臺的結(jié)構(gòu)、SNMP V3消息的處理機制以及關(guān)鍵技術(shù)的實現(xiàn)方法。
本文引用地址:http://m.butianyuan.cn/article/115732.htm關(guān)鍵詞:SNMP V3;代理平臺;USM;VACM引言
簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。目前SNMP協(xié)議主要包括三個版本:SNMP V1、SNMP V2以及最新的SNMP V3。SNMP V3采用了新的SNMP擴展框架,解決了SNMP協(xié)議以前版本在安全性和管理方面表現(xiàn)不理想的問題,支持SNMP V3是網(wǎng)絡(luò)設(shè)備的趨勢。網(wǎng)絡(luò)設(shè)備通過代理平臺處理SNMP協(xié)議,設(shè)計一種支持SNMPV3的代理平臺,對于路由器、交換機等網(wǎng)絡(luò)設(shè)備具有重要意義。
代理平臺的結(jié)構(gòu)和SNMP V3處理機制
代理平臺的結(jié)構(gòu)
基于SNMP的管理體系架構(gòu)中,存在著SNMP管理實體(系統(tǒng)網(wǎng)管)和SNMP代理實體(被管網(wǎng)元)兩種基本元素。管理實體和代理實體按系統(tǒng)功能可進一步細分為SNMP引擎和SNMP應(yīng)用,見圖1的SNMP管理體系架構(gòu)。
SNMP引擎主要實現(xiàn)SNMP的協(xié)議相關(guān)的處理,包括SNMP消息的收發(fā),SNMP消息的解析,SNMP的PDU處理等工作。在一個管理域的范圍內(nèi),一個SNMP引擎snmpEngineID作為唯一標識。SNMP引擎中,針對V1、V2、V3版SNMP消息,提供三種消息處理模型,當SNMP消息進入SNMP引擎后,根據(jù)SNMP消息的版本號,將SNMP消息分派給不同的消息處理模型處理。
SNMP應(yīng)用主要實現(xiàn)不同的管理功能(如配置,性能,告警管理)。在代理實體,主要存在著命令應(yīng)答器(用于對SNMP引擎接受到的SNMP請求,產(chǎn)生SNMP應(yīng)答),通知生成器(用于代理實體主動產(chǎn)生的TRAP,通知的生成)兩種應(yīng)用。
SNMP V3消息處理機制
SNMP V3消息中加入了安全級別、安全模型、安全參數(shù)、訪問OID的上下文名和訪問OID的contextEngineID等參數(shù)。在SNMP引擎的V3消息處理模型的消息處理過程中,需要引入安全子系統(tǒng),用于清除SNMP消息被篡改,消息源偽裝,SNMP消息隱私暴露,SNMP消息過時等問題;需要加入訪問控制子系統(tǒng),防止對未授權(quán)的OID進行非法操作。
SNMP引擎在接收到傳入的SNMP V3消息后,先通過安全子系統(tǒng)USM模塊的處理,將SNMP消息被解析成SNMP PDU;然后SNMP PDU經(jīng)過訪問控制子系統(tǒng)的VACM模塊和命令應(yīng)答器,經(jīng)過處理生成應(yīng)答PDU,然后交給安全子系統(tǒng)USM模塊產(chǎn)生SNMP V3應(yīng)答消息。對于通知生成器,在原始通知提交到SNMP引擎后,先經(jīng)過訪問控制子系統(tǒng)VACM模塊的處理,通過后再交給安全子系統(tǒng)USM模塊,加工成SNMP V3消息,最后由SNMP引擎發(fā)送出去。
在SNMP引擎中,USMS模塊和VACM模塊運行之前,需要在本地配置數(shù)據(jù)庫(LCD)中配置相關(guān)參數(shù)。管理實體與代理實體的USM配置需要保持一致,為了實現(xiàn)數(shù)據(jù)的同步,代理實體提供訪問USM,VACM的LCD的SNMP訪問接口,以實現(xiàn)對USM、VACM的遠程配置。
關(guān)鍵技術(shù)實現(xiàn)方法
USM認證與私密化流程:
USM是SNMP V3代理框架中安全子系統(tǒng)中的一種基于用戶的安全模型,來解決SNMP消息在網(wǎng)絡(luò)傳輸過程中可能遭受的安全威脅。USM對應(yīng)三種安全級別,分別是:無認證無私密化,認證無私密化和認證且私密化。USM認證與私密化過程如下:
?、惫芾韺嶓w選擇的安全級別為 “認證且私密”,安全模型為“USM”,管理實體需要在LCD中選擇一個與本安全級別匹配的用戶名。
評論