說了不少SNMP協(xié)議的一些基礎(chǔ)概念以及一些操作配置。在本文中我們就不再贅述了。所以，本文主要講述一下有關(guān)于SNMP協(xié)議應(yīng)用的相關(guān)知識(shí)。大型網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)管理員比較頭痛的問題就是如何實(shí)時(shí)了解不在身邊的網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況。若要一臺(tái)一臺(tái)的去查看網(wǎng)絡(luò)設(shè)備的運(yùn)行現(xiàn)狀，那明顯不是很現(xiàn)實(shí)。筆者在這里為大家介紹一種利用SNMP協(xié)議自動(dòng)幫助管理員收集網(wǎng)絡(luò)運(yùn)行狀況的方法。通過這種方法，網(wǎng)絡(luò)管理員只需要坐在自己的位置上，就可以了解全公司的網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。

SNMP，其中文名字叫做簡單網(wǎng)絡(luò)管理協(xié)議，這是一個(gè)應(yīng)用層協(xié)議。有了這個(gè)簡單網(wǎng)絡(luò)管理協(xié)議，則網(wǎng)絡(luò)管理員可以很方便的在SNMP代理和管理器之間交換管理信息。它的主要作用就是幫助企業(yè)網(wǎng)絡(luò)管理人員更方便的了解網(wǎng)絡(luò)性能、發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題、規(guī)劃網(wǎng)絡(luò)的未來發(fā)展。

若網(wǎng)絡(luò)管理員要部署SNMP協(xié)議應(yīng)用也比較簡單。下面筆者通過一個(gè)簡單的例子，來談?wù)勗谄髽I(yè)網(wǎng)絡(luò)中如何通過SNMP協(xié)議來幫助網(wǎng)絡(luò)管理員實(shí)時(shí)了解網(wǎng)絡(luò)運(yùn)行狀況。

如上圖中，現(xiàn)在網(wǎng)絡(luò)管理員希望能夠在自己的電腦上，實(shí)時(shí)了解這臺(tái)路由器的運(yùn)行狀況，前提是不離開自己的位置。此時(shí)，該如何處理呢?

一、 SNMP協(xié)議應(yīng)用的基本組成部分。

在講解這個(gè)解決方案之前，筆者先要談?wù)凷NMP協(xié)議應(yīng)用的基本組成部分，這有利于大家了解后續(xù)的配置。通常情況下，SNMP協(xié)議應(yīng)用主要有三部分組成，分別為網(wǎng)絡(luò)管理系統(tǒng)、SNMP代理以及被管設(shè)備。

SNMP代理是一個(gè)駐留在網(wǎng)絡(luò)設(shè)備上的網(wǎng)絡(luò)管理軟件。他的作用就是將網(wǎng)絡(luò)設(shè)備中的本地管理信息，如日志信息等，轉(zhuǎn)換為SNMP兼容的格式。并且隔一段時(shí)間，把這個(gè)信息發(fā)送給SNMP管理系統(tǒng)。其主要作用就是一個(gè)，把路由器等網(wǎng)絡(luò)設(shè)備中的日志文件進(jìn)行轉(zhuǎn)換。以便SNMP管理系統(tǒng)進(jìn)行讀取。

被管設(shè)備就是指我們需要管理的網(wǎng)絡(luò)設(shè)備。在這些設(shè)備中，往往就含有SNMP代理。這些SNMP代理會(huì)主動(dòng)收集和存儲(chǔ)管理信息，并通過SNMP把這些信息提供給網(wǎng)絡(luò)管理系統(tǒng)?，F(xiàn)在大部分廠家的網(wǎng)絡(luò)設(shè)備，如思科的路由器、交換機(jī)等產(chǎn)品，就都帶有SNMP代理功能。為此，從SNMP協(xié)議應(yīng)用解決方案來講，這些帶有SNMP代理的網(wǎng)絡(luò)設(shè)備或者服務(wù)器，就被稱為被管設(shè)備。

網(wǎng)絡(luò)管理系統(tǒng)主要與被管理設(shè)備上的SNMP代理進(jìn)行通信，從而完成信息收集、信息統(tǒng)計(jì)、異常警報(bào)等作用。在實(shí)際工作中，網(wǎng)絡(luò)管理系統(tǒng)往往安裝在網(wǎng)絡(luò)管理員的主機(jī)上。從而他可以在不離開自己位置的前提下，收集各個(gè)網(wǎng)絡(luò)設(shè)備的運(yùn)行信息。#p#

二、 SNMP協(xié)議應(yīng)用的主要命令。

SNMP的命令比較少，但是個(gè)個(gè)都比較實(shí)用。

第一個(gè)命令是讀(READ)命令。即網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)管理系統(tǒng)上，通過Read命令，去見識(shí)被管設(shè)備的運(yùn)行狀況。如當(dāng)管理員發(fā)現(xiàn)某臺(tái)路由器設(shè)備運(yùn)行異常，以前設(shè)置的訪問控制列表不起作用。此時(shí)，就可以在自己電腦的網(wǎng)絡(luò)管理系統(tǒng)中，通過Read命令去了解路由器的當(dāng)前運(yùn)行狀況，以了解到底是哪里出現(xiàn)了問題。

第二個(gè)命令是寫(WRITE)命令。如網(wǎng)絡(luò)管理員通過讀命令了解到路由器的訪問控制列表失效了。此時(shí)，網(wǎng)絡(luò)管理員就可以在自己主機(jī)上，通過網(wǎng)絡(luò)管理系統(tǒng)向路由器發(fā)布命令，讓其重新啟用訪問控制列表。也就是說，寫命令主要就是向路由器等被管設(shè)備發(fā)送操作指令。

以上這兩個(gè)命令主要是在網(wǎng)絡(luò)管理員這端發(fā)送的。即其主動(dòng)權(quán)在管理員這邊。

第三個(gè)命令為陷阱(Trap)命令。也就是說，網(wǎng)絡(luò)管理員先在路由器等被管設(shè)備中設(shè)立一些指標(biāo)，如CPU利用率等等。當(dāng)超過這個(gè)指標(biāo)后，在路由器等被管設(shè)備上的SNMP代理就會(huì)把這個(gè)信息發(fā)送給網(wǎng)絡(luò)管理系統(tǒng)。管理員就可以通過網(wǎng)絡(luò)管理系統(tǒng)了解到這個(gè)信息，從而可以讓他們盡快的采取應(yīng)對的對策。若用專業(yè)的語言描述，就是Trap命令用來向SNMP管理器伊布發(fā)送事件報(bào)告。

第四個(gè)命令為通知(Inform)命令。這個(gè)命令跟陷阱命令類似，主要就是用來做SNMP事件通知。不過其跟陷阱命來有一個(gè)很大的不同，即陷阱命令是不可靠的，而Inform命令是可靠的。也就是說，陷阱命令發(fā)出信息后，就算完工了，其不會(huì)關(guān)心網(wǎng)絡(luò)管理系統(tǒng)是否真正的受到了這條信息。而Inform命令在發(fā)出信息后，會(huì)等待網(wǎng)絡(luò)管理員的響應(yīng)。如果SNMP代理沒有收到確認(rèn)消息的話，則就會(huì)在一段時(shí)間后沖發(fā)Inform報(bào)文信息。所以，從這個(gè)角度講，Inform命令更加可靠。

第三、第四個(gè)命令主要是路由器等被管設(shè)備發(fā)生異常情況時(shí)，自動(dòng)向網(wǎng)絡(luò)管理員報(bào)警。如此的話，網(wǎng)絡(luò)管理員就不用天天盯著網(wǎng)絡(luò)管理系統(tǒng)看。因?yàn)樵谟挟惓Ｇ闆r時(shí)，路由器等被管設(shè)備會(huì)自動(dòng)向網(wǎng)絡(luò)管理員報(bào)警。從而網(wǎng)絡(luò)管理員不會(huì)漏過任何一個(gè)警報(bào)，為他們處理問題引得了時(shí)間。#p#

三、 SNMP協(xié)議應(yīng)用的注意點(diǎn)。

在使用SNMP解決方案來收集被管設(shè)備的運(yùn)行信息時(shí)，最主要的問題就是要注意其安全方面的漏洞。因?yàn)榉欠ü粽呖梢允褂肧NMP協(xié)議了解被管設(shè)備配置以及內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。甚至還可以對網(wǎng)絡(luò)設(shè)備的配置進(jìn)行更改，以滿足他們進(jìn)一步入侵的需要。另外，非法攻擊者還可以通過SNMP的一些輔助工具，如SNMP發(fā)現(xiàn)工具或者通過捕獲SNMP報(bào)文，來訪問管理信息庫，從而掌握一些下一步攻擊所需要的基本信息。

所以，網(wǎng)絡(luò)管理員在享受SNMP所帶來便利的時(shí)候，也需要關(guān)注其可能會(huì)導(dǎo)致的安全漏洞。針對這個(gè)安全問題，筆者有如下建議。

一是利用SNMPv2版本代替SNMPv1版本。現(xiàn)在簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)有兩個(gè)版本。其第一個(gè)版本安全性比較差，如通過明文形式傳遞數(shù)據(jù)等等。而以明文形式在網(wǎng)絡(luò)上傳遞數(shù)據(jù)的話，則非法攻擊者可以利用一些黑客工具，輕易捕獲SNMP報(bào)文，從而收集一些可用的信息。而第二個(gè)版本的網(wǎng)絡(luò)管理協(xié)議，則在這方面有了改進(jìn)。最重要的變化，就是把明文傳輸改為了密文傳輸。如此，非法攻擊這若想通過網(wǎng)絡(luò)偵聽等手段非法獲取SNMP報(bào)文，就變得沒有意義。因?yàn)樗麄兗皶r(shí)取得這個(gè)報(bào)文，報(bào)文的內(nèi)容也是加密過的，他們無法讀取。所有到手的SNMP報(bào)文也就一文不值。另外，第二個(gè)版本的網(wǎng)絡(luò)管理簡單協(xié)議也增強(qiáng)了一些操作上的內(nèi)容，如改善了Inform命令的操作方式等等。所以，無論從安全上還是從管理上，第二個(gè)版本的簡單網(wǎng)絡(luò)管理協(xié)議都比第一個(gè)版本的要好的多。為此，在有條件的情況下，網(wǎng)絡(luò)管理員最好采用第二個(gè)版本。

二是利用獨(dú)立的身份驗(yàn)證機(jī)制，來進(jìn)行身份驗(yàn)證。因?yàn)镾NMP協(xié)議本身并沒有身份鑒別能力，這就在安全威脅面前暴露了嚴(yán)重的脆弱性。所以，一個(gè)未經(jīng)授權(quán)的實(shí)體可以假借授權(quán)管理實(shí)體的身份來進(jìn)行操作。如未經(jīng)授權(quán)的用戶可能試圖改變由授權(quán)的管理員用戶所產(chǎn)生的SNMP報(bào)文等等。如果未經(jīng)授權(quán)的用戶錄制、延時(shí)或者復(fù)制并重放了由授權(quán)用戶所產(chǎn)生的保溫，則報(bào)文的序列和時(shí)間就會(huì)被修改。所以，若沒有給SNMP協(xié)議配備身份驗(yàn)證機(jī)制的話，對于企業(yè)網(wǎng)絡(luò)的安全是一個(gè)很大的挑戰(zhàn)。筆者認(rèn)為，無論在何時(shí)，管理的便利性與安全性都是同等重要的。

三是合理選擇訪問模式。眾所周知，思科的路由器提供了兩種訪問模式，分別為用戶級模式與特權(quán)級模式。其中用戶模式之能夠查看路由器的一些基本信息，而不能夠更改其配置。而在利用簡單網(wǎng)絡(luò)管理協(xié)議收集管理路由器的時(shí)候，其也可以選擇訪問模式。路由器上的SNMP代理能夠使得用戶未用戶訪問模式與特權(quán)訪問模式配置不同的字符串，從而進(jìn)行訪問模式的控制。例如，要SNMP代理以特權(quán)模式的方式訪問路由器的華，則可以在命令后面加入RW選項(xiàng);而如果以用戶模式進(jìn)行訪問的話，則可以加入RO參數(shù)。在一般情況下，建議用戶采用用戶模式進(jìn)行訪問。而只有在用戶模式下不能夠完成任務(wù)的時(shí)候，才使用特權(quán)模式。這個(gè)訪問模式的控制，可以在很大程度上提高SNMP解決方案的安全系數(shù)。