在大型網(wǎng)絡(luò)管理中，網(wǎng)絡(luò)管理員比較頭痛的問題就是如何實時了解不在身邊的網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況。若要一臺一臺的去查看網(wǎng)絡(luò)設(shè)備的運(yùn)行現(xiàn)狀，那明顯不是很現(xiàn)實。筆者在這里為大家介紹一種利用SNMP協(xié)議自動幫助管理員收集網(wǎng)絡(luò)運(yùn)行狀況的方法。通過這種方法，網(wǎng)絡(luò)管理員只需要坐在自己的位置上，就可以了解全公司的網(wǎng)絡(luò)設(shè)備的運(yùn)行情況。

SNMP，其中文名字叫做簡單網(wǎng)絡(luò)管理協(xié)議，這是一個應(yīng)用層協(xié)議。有了這個簡單網(wǎng)絡(luò)管理協(xié)議，則網(wǎng)絡(luò)管理員可以很方便的在SNMP代理和管理器之間交換管理信息。它的主要作用就是幫助企業(yè)網(wǎng)絡(luò)管理人員更方便的了解網(wǎng)絡(luò)性能、發(fā)現(xiàn)并解決網(wǎng)絡(luò)問題、規(guī)劃網(wǎng)絡(luò)的未來發(fā)展。

若網(wǎng)絡(luò)管理員要部署SNMP應(yīng)用也比較簡單。下面筆者通過一個簡單的例子，來談?wù)勗谄髽I(yè)網(wǎng)絡(luò)中如何通過SNMP協(xié)議來幫助網(wǎng)絡(luò)管理員實時了解網(wǎng)絡(luò)運(yùn)行狀況。

如上圖中，現(xiàn)在網(wǎng)絡(luò)管理員希望能夠在自己的電腦上，實時了解這臺路由器的運(yùn)行狀況，前提是不離開自己的位置。此時，該如何處理呢?

一、 SNMP應(yīng)用的基本組成部分。

在講解這個解決方案之前，筆者先要談?wù)凷NMP應(yīng)用的基本組成部分，這有利于大家了解后續(xù)的配置。通常情況下，SNMP應(yīng)用主要有三部分組成，分別為網(wǎng)絡(luò)管理系統(tǒng)、SNMP代理以及被管設(shè)備。

SNMP代理是一個駐留在網(wǎng)絡(luò)設(shè)備上的網(wǎng)絡(luò)管理軟件。他的作用就是將網(wǎng)絡(luò)設(shè)備中的本地管理信息，如日志信息等，轉(zhuǎn)換為SNMP兼容的格式。并且隔一段時間，把這個信息發(fā)送給SNMP管理系統(tǒng)。其主要作用就是一個，把路由器等網(wǎng)絡(luò)設(shè)備中的日志文件進(jìn)行轉(zhuǎn)換。以便SNMP管理系統(tǒng)進(jìn)行讀取。

被管設(shè)備就是指我們需要管理的網(wǎng)絡(luò)設(shè)備。在這些設(shè)備中，往往就含有SNMP代理。這些SNMP代理會主動收集和存儲管理信息，并通過SNMP把這些信息提供給網(wǎng)絡(luò)管理系統(tǒng)。現(xiàn)在大部分廠家的網(wǎng)絡(luò)設(shè)備，如思科的路由器、交換機(jī)等產(chǎn)品，就都帶有SNMP代理功能。為此，從SNMP應(yīng)用解決方案來講，這些帶有SNMP代理的網(wǎng)絡(luò)設(shè)備或者服務(wù)器，就被稱為被管設(shè)備。

網(wǎng)絡(luò)管理系統(tǒng)主要與被管理設(shè)備上的SNMP代理進(jìn)行通信，從而完成信息收集、信息統(tǒng)計、異常警報等作用。在實際工作中，網(wǎng)絡(luò)管理系統(tǒng)往往安裝在網(wǎng)絡(luò)管理員的主機(jī)上。從而他可以在不離開自己位置的前提下，收集各個網(wǎng)絡(luò)設(shè)備的運(yùn)行信息。

二、 SNMP應(yīng)用的主要命令。

SNMP的命令比較少，但是個個都比較實用。

第一個命令是讀(READ)命令。即網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)管理系統(tǒng)上，通過Read命令，去見識被管設(shè)備的運(yùn)行狀況。如當(dāng)管理員發(fā)現(xiàn)某臺路由器設(shè)備運(yùn)行異常，以前設(shè)置的訪問控制列表不起作用。此時，就可以在自己電腦的網(wǎng)絡(luò)管理系統(tǒng)中，通過Read命令去了解路由器的當(dāng)前運(yùn)行狀況，以了解到底是哪里出現(xiàn)了問題。

第二個命令是寫(WRITE)命令。如網(wǎng)絡(luò)管理員通過讀命令了解到路由器的訪問控制列表失效了。此時，網(wǎng)絡(luò)管理員就可以在自己主機(jī)上，通過網(wǎng)絡(luò)管理系統(tǒng)向路由器發(fā)布命令，讓其重新啟用訪問控制列表。也就是說，寫命令主要就是向路由器等被管設(shè)備發(fā)送操作指令。

以上這兩個命令主要是在網(wǎng)絡(luò)管理員這端發(fā)送的。即其主動權(quán)在管理員這邊。

第三個命令為陷阱(Trap)命令。也就是說，網(wǎng)絡(luò)管理員先在路由器等被管設(shè)備中設(shè)立一些指標(biāo)，如CPU利用率等等。當(dāng)超過這個指標(biāo)后，在路由器等被管設(shè)備上的SNMP代理就會把這個信息發(fā)送給網(wǎng)絡(luò)管理系統(tǒng)。管理員就可以通過網(wǎng)絡(luò)管理系統(tǒng)了解到這個信息，從而可以讓他們盡快的采取應(yīng)對的對策。若用專業(yè)的語言描述，就是Trap命令用來向SNMP管理器伊布發(fā)送事件報告。

第四個命令為通知(Inform)命令。這個命令跟陷阱命令類似，主要就是用來做SNMP事件通知。不過其跟陷阱命來有一個很大的不同，即陷阱命令是不可靠的，而Inform命令是可靠的。也就是說，陷阱命令發(fā)出信息后，就算完工了，其不會關(guān)心網(wǎng)絡(luò)管理系統(tǒng)是否真正的受到了這條信息。而Inform命令在發(fā)出信息后，會等待網(wǎng)絡(luò)管理員的響應(yīng)。如果SNMP代理沒有收到確認(rèn)消息的話，則就會在一段時間后沖發(fā)Inform報文信息。所以，從這個角度講，Inform命令更加可靠。

第三、第四個命令主要是路由器等被管設(shè)備發(fā)生異常情況時，自動向網(wǎng)絡(luò)管理員報警。如此的話，網(wǎng)絡(luò)管理員就不用天天盯著網(wǎng)絡(luò)管理系統(tǒng)看。因為在有異常情況時，路由器等被管設(shè)備會自動向網(wǎng)絡(luò)管理員報警。從而網(wǎng)絡(luò)管理員不會漏過任何一個警報，為他們處理問題引得了時間。

三、 SNMP引用的注意點(diǎn)。

在使用SNMP解決方案來收集被管設(shè)備的運(yùn)行信息時，最主要的問題就是要注意其安全方面的漏洞。因為非法攻擊者可以使用SNMP協(xié)議了解被管設(shè)備配置以及內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。甚至還可以對網(wǎng)絡(luò)設(shè)備的配置進(jìn)行更改，以滿足他們進(jìn)一步入侵的需要。另外，非法攻擊者還可以通過SNMP的一些輔助工具，如SNMP發(fā)現(xiàn)工具或者通過捕獲SNMP報文，來訪問管理信息庫，從而掌握一些下一步攻擊所需要的基本信息。

所以，網(wǎng)絡(luò)管理員在享受SNMP所帶來便利的時候，也需要關(guān)注其可能會導(dǎo)致的安全漏洞。針對這個安全問題，筆者有如下建議。

一是利用SNMPv2版本代替SNMPv1版本�，F(xiàn)在簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)有兩個版本。其第一個版本安全性比較差，如通過明文形式傳遞數(shù)據(jù)等等。而以明文形式在網(wǎng)絡(luò)上傳遞數(shù)據(jù)的話，則非法攻擊者可以利用一些黑客工具，輕易捕獲SNMP報文，從而收集一些可用的信息。而第二個版本的網(wǎng)絡(luò)管理協(xié)議，則在這方面有了改進(jìn)。最重要的變化，就是把明文傳輸改為了密文傳輸。如此，非法攻擊這若想通過網(wǎng)絡(luò)偵聽等手段非法獲取SNMP報文，就變得沒有意義。因為他們及時取得這個報文，報文的內(nèi)容也是加密過的，他們無法讀取。所有到手的SNMP報文也就一文不值。另外，第二個版本的網(wǎng)絡(luò)管理簡單協(xié)議也增強(qiáng)了一些操作上的內(nèi)容，如改善了Inform命令的操作方式等等。所以，無論從安全上還是從管理上，第二個版本的簡單網(wǎng)絡(luò)管理協(xié)議都比第一個版本的要好的多。為此，在有條件的情況下，網(wǎng)絡(luò)管理員最好采用第二個版本。

二是利用獨(dú)立的身份驗證機(jī)制，來進(jìn)行身份驗證。因為SNMP協(xié)議本身并沒有身份鑒別能力，這就在安全威脅面前暴露了嚴(yán)重的脆弱性。所以，一個未經(jīng)授權(quán)的實體可以假借授權(quán)管理實體的身份來進(jìn)行操作。如未經(jīng)授權(quán)的用戶可能試圖改變由授權(quán)的管理員用戶所產(chǎn)生的SNMP報文等等。如果未經(jīng)授權(quán)的用戶錄制、延時或者復(fù)制并重放了由授權(quán)用戶所產(chǎn)生的保溫，則報文的序列和時間就會被修改。所以，若沒有給SNMP協(xié)議配備身份驗證機(jī)制的話，對于企業(yè)網(wǎng)絡(luò)的安全是一個很大的挑戰(zhàn)。筆者認(rèn)為，無論在何時，管理的便利性與安全性都是同等重要的。

三是合理選擇訪問模式。眾所周知，思科的路由器提供了兩種訪問模式，分別為用戶級模式與特權(quán)級模式。其中用戶模式之能夠查看路由器的一些基本信息，而不能夠更改其配置。而在利用簡單網(wǎng)絡(luò)管理協(xié)議收集管理路由器的時候，其也可以選擇訪問模式。路由器上的SNMP代理能夠使得用戶未用戶訪問模式與特權(quán)訪問模式配置不同的字符串，從而進(jìn)行訪問模式的控制。例如，要SNMP代理以特權(quán)模式的方式訪問路由器的華，則可以在命令后面加入RW選項;而如果以用戶模式進(jìn)行訪問的話，則可以加入RO參數(shù)。在一般情況下，建議用戶采用用戶模式進(jìn)行訪問。而只有在用戶模式下不能夠完成任務(wù)的時候，才使用特權(quán)模式。這個訪問模式的控制，可以在很大程度上提高SNMP解決方案的安全系數(shù)。