2011年自考《計算機網絡管理》知識重點(5)

更新時間：2011-09-08 09:30:49 來源：|0

瀏覽

自學考試報名、考試、查分時間免費短信提醒

地區

獲取驗證立即預約

請填寫圖片驗證碼后獲取短信驗證碼

看不清楚，換張圖片

免費獲取短信驗證碼

　　第五章簡單網絡管理協議 SNMPv2$lesson$

　　考試要求轉自環球網校edu24ol.com

　　1.SNMP的演變，要求達到識記層次

　　SNMP的演變過程

　　2.網絡安全問題，要求達到領會層次

　　計算機網絡的安全威脅

　　網絡管理中的安全問題

　　網絡中的安全機制：數據加密技術、數據完整性和數據源認證技術

　　3.管理信息結構，要求達到領會層次

　　對象的定義

　　表的定義、索引和操作

　　通告的定義和作用

　　4.管理信息庫，要求達到簡單應用層次

　　System組增加的新對象

　　SNMP組對象與SNMPv2操作的關系

　　MIB對象組的作用

　　一致性聲明的主要內容

　　接口組增加的對象及應用

　　5.SNMPv2的操作，要求達到簡單應用層次

　　SNMPv2的報文結構和交換序列

　　SNMPv2協議數據單元的功能和操作

　　SNMPv2管理站之間的通信機制

　　6.SNMPv2的實現，要求達到領會層次

　　可利用的種種傳輸服務

　　SNMPv2與OSI的兼容性

　　在 TCP/IP網絡中實現OSI系統管理功能的方法

　　SNMP的局限性

　　知識重點

　　(一) SNMP的演變

　　1.SNMP的發展

　　當初提出 SNMP 的目的識作為彌補網絡管理協議發展階段之間空缺的一種臨時性措施。 SNMP 出現后顯示了許多優點。最主要的優點是：簡單、容易實現，而且是基于人們熟悉的 SGMP ( Simple Gateway Monitoring Protocol )協議，已有相當多的操作經驗。在 1998 年，為了適應當時緊迫的網絡管理需要，確定了網絡管理標準開發的雙軌制策略。

　　?SNMP可以滿足當前的網絡管理需要，用語管理配置簡單的網絡，并且在將來以平穩地過度到新地網絡管理標準。

　　?OSI網絡管理(即CMOT)作為長期地解決辦法，可以應付未來更復雜地網絡的配置，提供更全面的管理功能。但是需要較長的開發過程，以及開發商和用戶接受的過程。

　　為了修補SNMP的安全缺陷，1992年7月出現了一個新標準――安全SNMP(S-SNMP)，這個協議增強了安全方面的功能：

　　。用報文摘要算法 MD5保證數據完整性和進行數據源認證。

　　。用時間戳對報文排序。

　　。用 DES算法提供數據加密功能。

　　但是，S-SNMP沒有改進SNMP在功能和效率方面的其他缺點。幾乎與此同時，有任又提出了另外一個協議SMP(Simple Management Protocol)，這個協議由8個文件組成(非RFC)，它對SNMP的擴充表現在下列方面：

　　。適用范圍： SMP可以管理任意資源，不僅是網絡資源，還可用于應用管理，系統管理。可實現管理站之間的通信，也提供了更明確更靈活的描述框架，可以描述一致性要求和實現能力。在SMP中管理信息的擴展性得到了增強。

　　。復雜程度、速度和效率：保持了 SNMP的簡單性，更容易實現，并提供了數據塊傳送能力，因而速度和效率更高。

　　。安全設施：結合了 S-SNMP提供的安全功能。

　　。兼容性：可以運行在 TCP/IP網絡上，也適合OSI系統和運行其他通信協議的網絡。

　　在對 S-SNMP和SMP討論的過程中，Internet研究人員達成了如下的共識：必須擴展SNMP的功能，并增強其安全設施，使用戶和制造商盡快地從原來的SNMP過渡到第二代SNMP，于是S-SNMP被放棄，決定以SMP為基礎開發SNMP第二版，即SNMPv2.IETF組織了兩個工作組。一個負責協議功能和管理信息庫的擴展，另一個負責SNMP的安全方面，1992年10月正式開始工作。這兩個組的工作進展非常之快，功能組的工作在1992年12月完成，安全組在1993年完成。后來又經過幾年的實驗和論證，新的RFC文件集合在1996年完成。然而就在新的RFC文件發布時有人發現安全方面存在重要缺陷，而改進安全設施的工作又遲遲沒有進展。后來決定丟掉安全功能，把增加的其他功能作為新標準頒布，并保留了SNMPv1的報文封裝格式，因而叫做基于團體名的SNMP(Community-base SNMP)，簡稱SNMPv2C.

　　(二)網絡安全問題

　　1.計算機網絡的安全威脅

　　為了理解對計算機網絡的安全威脅，我們首先定義安全需求。計算機和網絡需要以下 3 方面的安全性：

　　。保密性( secrecy)：計算機中的信息只能由授予訪問權限的用戶讀取(包括顯示、打印等，也包含暴露信息存在的事實)。

　　。數據完整性( integrity)：計算機系統中的信息資源只能被授予權限的用戶修改。

　　。可利用性( availability)：具有訪問權限的用戶在需要時可以利用計算機系統中的信息資源。

　　2.網絡管理中的安全問題

　　由于網絡管理時分布在網絡商的應用程序和數據庫的集合，各種安全威脅都可能影響網絡管理系統，造成管理系統失效或發出了錯誤的管理指令，破壞了計算機網絡的正常運行。對于網絡管理特別有 3 個安全方面的威脅值得提出：

　　。偽裝的用戶：沒有得到授權的一般用戶企圖訪問網絡管理應用和管理信息。

　　。假冒的管理程序：無關的計算機系統可能偽裝成網絡管理站實施管理功能。

　　。侵入管理站和代理之間的信息交換過程：網絡入侵者通過觀察網絡活動竊取了敏感的管理信息，更嚴重的危害時可能篡改管理信息，或中斷管理站和代理之間的通信。

　　系統或網絡的安全設施由一系列安全服務和安全機制的集合組成。

　　3. 安全機制

　　數據加密時防止未經授權的用戶訪問敏感信息的手段，這就是人們通常理解的安全措施，也是其他安全方法的基礎。研究數據加密的科學叫做密碼學( Cryptography )，它又分為設計密碼體制的密碼編碼學和破譯密碼的密碼分析學。密碼學有著悠久而光輝的歷史，古代的軍事家已經用密碼傳遞軍事情報了，而現代計算機的應用和計算機科學的發展又為這一古老的科學注入了新的活力。現代密碼學是經典密碼學的進一步發展和完善。由于加密和解密此消彼長的斗爭永遠不會停止，這門科學還在迅速發展之中。

　　認證――防止主動攻擊的方法

　　認證又分為實體認證和消息認證兩種。實體認證是識別通信雙方的身份，防止假冒，可以使用數字簽名的方法。消息認證是驗證消息在傳遞或存儲過程中沒有被篡改，通常使用消息摘要的方法。

　　數字簽名――防止否認的方法

　　與人們手寫簽名作用一樣，數字簽名系統向通信雙方提供服務，使得 A 向 B 發送簽名的消息 P ，以便

　　I. B 可以驗證消息 P 確實來源于 A

　　II. A 以后步能否認發送過

　　III. B 不能編造或改變消息 P

　　(三)管理信息結構

　　SNMPv2 的管理信息結構是在總結 SNMP 應用經驗的基礎上對 SNMPv1 SMI 進行了擴充，提供了更精致更嚴格的規范，規定了新的管理對象和 MIB 的文檔，可以說是 SNMPv1 SMI 的超集。 SNMPv2 SMI 引入了 4 個關鍵的概念。

　　。對象的定義

　　。概念表

　　。通知的定義

　　。信息模塊

　　(四)管理信息庫

　　SNMPv2 MIB 擴展和細化了 MIB-2 中定義的管理對象，又增加了新的管理對象。

　　I.系統組

　　II.SNMP 組

　　III.MIB 組

　　IV.適合性聲明

　　V.接口組

　　(五)SNMPv2協議和操作

　　SNMPv2提供了3種訪問管理信息的方法：

　　。管理站和代理之間的請求 /響應通信，這種方法與SNMPv1是一樣的。

　　。管理站和管理站之間的請求 /響應通信，這種方法是SNMPv2特有的，可以由一個管理站把有關管理信息告訴另外一個管理站。

　　。代理系統到管理站的非確認通訊，即由代理向管理站發送陷入報文，報告出現的異常情況。 SNMPv2中也有對應的通信方式。

　　(六)SNMPv2的實現

　　1.傳輸層映像

　　SNMP是應用層協議，通過傳輸層服務訪問通信網絡。SNMPv2規范定義了可以使用5種傳輸層服務，這5種傳輸層映射是：

　　。 UDP：用戶數據報協議;

　　。 CLNS：OSI無連接的傳輸服務;

　　。 CONS：OSI面向連接的傳輸服務;

　　。 DDP：AppleTalk的DDP傳輸服務;

　　。 IPX：Novell公司的網間分組交換協議。

　　2.與 OSI的兼容性

　　為發使 SNMPv2能與OSI系統互操作，可以使用RFC1006在TCP/IP網絡之上的模擬ISO的TPO傳輸服務，通過RFC1006，OSI的電子郵件、系統管理等應用程序都可以通過運行在TCP/IP失望落上。RFC1006提供的TPO使最簡單的面向連接的傳輸協議，只提供連接的佳麗和釋放等基本操作，不支持錯誤檢測，也不支持傳輸服務Qos.RFC1006對TPO也有所增強，主要是在連接建立階段可以交換少量數據，支持加急投送服務，支持特長協議數據單元(默認為65531)等。

　　3.TCP/IP網絡的系統管理

　　SNMP 的管理信息庫 MIB 主要是根據協議分組的，并沒有按照 OSI 的系統掛零你功能域分類。雖然實現 SNMP 協議的網絡管理產品都有自己的使用方法，但是在應用管理對象功能方面并沒有統一的分類標準。

　　MIB 對象駐在各種代理系統中，這些對象中的數據應報告給有關信息的系統管理功能實體，同時協議或設備專用的管理信息也應該歸屬于相應的系統管理功能域。如何合理地分布各種管理對象，以有利于系統管理功能的實現，是設計網絡管理應用時值得認真決策的重要問題。

　　一般來說，不是每個代理都要實現所有的 MIB 對象，但是各種聯網設備中的代理程序應該提出這種設備需要的管理對象，例如路由器專用的管理信息庫。委托代理是一種十分靈活的管理機制，如果可能，以委托代理實現專用網絡設備的管理信息收集和系統管理功能應該是最好的選擇。

?2011年7月自學考試成績查詢時間及方式匯總