rfc1445.txt

很多RFC的中文文档

组织：中国互动出版网（http://www.china-pub.com/）
RFC文档中文翻译计划（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
译者：NETBUS（NETBUS   lfong@263.net）
译文发布时间：2001-8-7
版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须保
留本文档的翻译及版权信息。






          Network Working Group                                J. Galvin  
 Request for Comments: 1445                   Trusted Information Systems 
                                                            K. McCloghrie  
                                                       Hughes LAN Systems                                    
                                                             April 1993

SNMPv2的管理模型
(RFC1445—Administrative Model for version 2
 of the  Simple Network Management Protocol (SNMPv2)）

本备忘录的状态

  本RFC叙述了Internet社区的一个Internet 体系结构委员会的跟踪草案，
并且征求有利于改进的讨论和建议。请引用当前版本的<<IAB 官方协议标准>>
以利于本草案的标准化地位和状态。本备忘录的传播是不受限制的。


目录

1.  介绍	2
1.1.  术语的注解	3
2.模型的元素	3
2.1.  SNMPv2 参与者	3
2.2.  SNMPv2 实体	5
2.3.  SNMPv2 管理站点	6
2.4.  SNMPv2 代理	6
2.5.  视图子树	6
2.6.  MIB 视图	7
2.7.  代理关系	7
2.8.  SNMPv2 上下文	8
2.9.  SNMPv2 管理通讯	8
2.10.  SNMPv2鉴定过的管理通讯	9
2.11.  SNMPv2 私有管理通讯	10
2.12.  SNMPv2  管理通讯类	11
2.13.  SNMPv2 访问控制策略	11
3.  过程的元素	12
3.1. 产生一个请求	13
3.2.  处理一个收到的通讯	14
3.3.  生成一个响应	16
4. 模型应用	16
4.1 无安全的小代理配置	16
4.2 安全小代理配置	18
4.3 MIB视图的配置	20
4.4 代理配置	22
4.4.1 外部代理配置	22
4.4.2 本地代理配置	25
4.5 公共密钥配置	28
5. 安全考虑	29
6. 感谢	29
7. 参考	29
8.  作者地址	30


1.  介绍
 
一个网络管理系统包含：几个（可能是许多的）节点，每个都有一个名为代理
的处理实体。代理有到管理工具的通路；至少一个管理站点和一个管理协议，该协
议用于在代理和管理站点间传递管理信息。协议的实施是在一个定义了鉴定和认证
策略的管理体系下进行的。
    
网络管理站点上运行监视和控制网络元素的管理应用程序。网络元素是诸如主
机，路由器，终端服务器等的设备，通过对它们的管理信息的访问来监视和控制网
络元素。

本文档--<< SNMPv2的管理模型>>--的目的就是定义：在不同的配置和环境下，
管理体系是怎样被用来实现实际的网络管理的。
          
这里描述的模型使后面的要求成为必要：交换SNMPv2消息的对等实体使用唯一
的表示。所以，这里表现出与先前的SNMP [1]的基于社区的管理模型的不同。通过
对每个SNMPv2消息来源和预期的接收者的明白无误的标识，这个新的策略改善了过
去的社区方案，它不仅支持一个更加方便的访问控制模型，而且允许在将来对非对
称公匙安全协议的有效运用。

1.1.  术语的注解

为了便于说明，原先的Internet标准网络管理体系（在RFC 1155,1157和1212中
有描述）被叫做SNMP版本1体系(SNMPv1)。当前的体系叫做SNMP版本2体系(SNMPv2)。

2.模型的元素
2.1.  SNMPv2 参与者
SNMPv2 参与者是一个概念性的，虚拟的执行环境，它的操作被限制在（出于
对安全性的考虑）一个特定 SNMPv2实体的所有可能的操作的子集中（参考2.2），
该子集被管理性地定义  。不论一个SNMPv2实体什么时候处理一个SNMPv2 消息，它
都是以一个SNMPv2 参与者的身份进行操作，因而它的操作就被限制在为这个参与者
定义的操作集合中。对这个参与者，其特定的可能的操作可能与其他参与者的操作
集合重叠或者不相关，它也可能是那个SNMPv2 实体的所有可能操作的一个合适或者
不合适的子集。从协议体系上讲，每个SNMPv2参与者包含：

?	一个唯一的，与众不同的参与者标识。

?	一个逻辑网络位置，参与者执行时所在的逻辑网络位置称为一个传送协议的域，
并且传送寻址信息。     
?	一个专门的鉴定协议和相关的参数，所有那个参与者产生的协议消息通过他们
被鉴定为初始的和完整的。

?	一个专门的私有协议和相关参数，用来保护所有参与者接收的协议消息，防止
泄漏。

从概念上讲，每个SNMPv2参与者可以用一个ASN.1值表示，符合下面的语法：
               SnmpParty ::= SEQUENCE {
                 partyIdentity
                    OBJECT IDENTIFIER,
                 partyTDomain
                    OBJECT IDENTIFIER,
                 partyTAddress
                    OCTET STRING,
                 partyMaxMessageSize
                    INTEGER,
                 partyAuthProtocol
                    OBJECT IDENTIFIER,
                 partyAuthClock
                    INTEGER,
                 partyAuthPrivate
                    OCTET STRING,
                 partyAuthPublic
                    OCTET STRING,
                 partyAuthLifetime
                    INTEGER,
                 partyPrivProtocol
                    OBJECT IDENTIFIER,
                 partyPrivPrivate
                    OCTET STRING,
                 partyPrivPublic
                    OCTET STRING
               }

对于每个代表一个SnmpParty 参与者的SnmpParty值，下列叙述是成立的：
          o    它的 partyIdentity 组件是参与者的标识

          o    它的 partyTDomain 组件称作传送域，并指明参与者用来接收网络
管理通信量的那种传送设备。一个传送域的例子是 snmpUDPDomain (在UDP上的
SNMPv2 ，使用 SNMPv2 参与者).

          o    它的 partyTAddress 组件称作传送寻址信息，代表一个参与者用
来接收网络管理通信量的传送设备的地址。

          o    它的 partyMaxMessageSize 组件称作最大消息的尺码，代表这个
参与者将要接收的最大SNMPv2 消息的八位组的长度。

          o    它的 partyAuthProtocol 组件称作鉴定协议，指明了一个协议和
鉴定所有该参与者生成的消息是初始和完整的机制。在这种上下文下，值 noAuth 表
明该参与者产生的消息未被鉴定为初始和完整。

          o    它的 partyAuthClock 组件称作鉴定时钟，代表与该参与者关联的
当前时间。本组件的重要性是在鉴定协议中体现的。

          o    它的 partyAuthPrivate 组件称作私有鉴定密匙，代表支持鉴定协
议所需的任何保密的值。本组件的重要性是在鉴定协议中体现的。

          o    它的 partyAuthPublic 组件称作公有鉴定密匙，代表任何支持鉴
定协议所需的公共值。本组件的重要性是在鉴定协议中体现的。

          o    它的 partyAuthLifetime 组件称作生命周期，代表该参与者生成
的协议消息的可以接受的传送延时的管理性的上界。本组件的重要性是在鉴定协议
中体现的。

          o    它的 partyPrivProtocol 组件称作私有协议，指明了一个协议和
一个防止该参与者接收到的所有协议消息泄漏的机制。在这种情况下，值 noPriv           
表明该参与者接收到的消息未被保护以防止泄漏。

          o    它的 partyPrivPrivate 组件称作私有密匙，代表支持私有协议所
需的保密值。本组件的重要性是在私有协议中体现的。

          o    它的 partyPrivPublic 组件称作公有密匙，代表支持私有协议所
需的任何公共值。本组件的重要性是在私有协议中体现的。

对于所有的被某个SNMPv2实体实现的SNMPv2参与者，如果它的鉴定协议是
noAuth而且它的私有协议是noPriv，那么那个实体称作不安全的。

2.2.  SNMPv2 实体

     一个 SNMPv2 实体是一个实际的处理者，它通过用[2]中指明的方式产生消息
并且/或者对SNMPv2协议消息进行响应来完成网络管理操作。 当一个SNMPv2实体以
一个特定的SNMPv2参与者的身份进行操作时，这个实体的操作必须限制在管理性地
定义在那个参与者上的所有可能的操作的子集中。

     通过定义，一个SNMPv2实体的操作在一个特定SNMPv2参与者生成的任何单个协
议消息的处理和一个潜在的不同的SNMPv2参与者生成的任何其他协议消息的处理之
间不需要同时发生。相应地，一个支持超过一个参与者的SNMPv2实体的实现不需要
是多线程的。当然，也存在着实现时选用多线程的情况。

从协议体系上说，每个SNMPv2实体维护一个保存了它所知的所有SNMPv2参与者
的逻辑数据库，这些参与者的操作有的是逻辑地实现的，有的是通过代理与远地实
体地交互来实现的，有的是远地实体实现的。另外，每个SNMPv2实体维护一个存有
该实体所知的所有被管理对象资源（参照2.8）。最后，每个SNMPv2实体维护一个存
有定义了针对已知的SNMPv2参与者的访问权限的访问控制策略信息的逻辑数据库。

2.3.  SNMPv2 管理站点

    一个SNMPv2管理站点是一个SNMPv2参与者在通过生成相应的SNMPv2协议消息来
初始化SNMPv2管理操作时，或者在它接收和处理陷阱通告时假定的运作性的角色。
有时，术语SNMPv2管理站点也指专注于操作角色的SNMPv2的部分实现（例如图形工
作站）。这种SNMPv2的部分实现可能用来提供方便或管理设备的本地革新，但是它
们可能对代表远地协议用户的SNMPv2管理操作提供很少甚至没有支持。
 
2.4.  SNMPv2 代理

 	一个SNMPv2代理是一个SNMPv2参与者在为响应收到的诸如一个SNMPv2管理站点
（参照2.3）生成的SNMPv2协议消息而进行SNMPv2管理操作时假定的操作性角色。          
有时，术语SNMPv2代理也指专注于这种操作角色的SNMPv2（例如在嵌入式系统中）
的部分实现。这种部分实现对代表管理设备的远地用户的SNMPv2管理操作的实现提
供了支持，但是它可能对这些设备的本地革新提供很少甚至没有支持。

2.5.  视图子树

 	一个视图子树是所有名字有公共的ASN.1实体标识符前缀的管理信息库对象的
集合。一个视图子树由OBJECT IDENTIFIER的值来标识，该值是该子树中所有（潜在）
的类似的管理信息库对象实例中最大的OBJECT IDENTIFIER前缀。
      
当标识一个视图子树的OBJECT IDENTIFIER前缀比根据SMI[3]定义的OBJECT 
IDENTIFIER长时，用这个视图子树来控制访问就会在对象实例层有梯度。这种梯度
在超越作为代理角色的SNMPv2实体的范围之上来考虑。