📄 rfc1445.txt
字号:
4.2 安全小代理配置
这段给出了一个例子来配置SNMPv2安全小代理,该代理仅仅和单一的SNMPv2
的管理站相互作用.表4 说明了关于对小代理和管理者都知道的SNMPv2参与者的信
息.而表5 类似地说明了本地访问策略的公共信息.
管理者和代理之间的相互影响在这个配置中是和上面的非安全小代理非常相似
的,除了所有的协议消息要对原始性和完整性认证及对信息的隐蔽的保护.这个例子
要求加密技术,是为了支持通过SNMPv2本身来分发密码密钥.一个更精确的包含附
加的一对参与者例子支持在没有加密技术认证消息中交换非加密信息来不花加密的
代价。
一个实际的安全代理的配置可能要求SNMPv2参与者的认证和私有协议均为不
认证noAuth()和无私有(noPriv),其目的是为了支持时钟同步(参考[6]).更
详细的说,这些额外的参与者是不在这个例子中说明的.
身份 ollie stan
(代理) (管理者)
域 snmpUDPDomain snmpUDPDomain
地址 1.2.3.4, 161 1.2.3.5, 2001
认证端口 v2md5AuthProtocol v2md5AuthProtocol
认证私有密钥 "0123456789ABCDEF" "GHIJKL0123456789"
认证公开密钥 "" ""
认证时钟 0 0
认证的生命周期 300 300
私有端口 desPrivProtocol desPrivProtocol
私人私有密钥 "MNOPQR0123456789" "STUVWX0123456789"
私人公开密钥 "" ""
表4: 安全小代理的参与者信息
目标 目标 上下文 权限
ollie stan local 35 (Get, GetNext & GetBulk)
stan ollie local 132 (Response & SNMPv2-Trap)
表 5: 安全小代理的访问信息
在表4 中,这个例子的代理参与者在IP地址为1.2.3.4、UDP端口为161上使
用ollie的身份来操作;管理者在IP地址为1.2.3.5、UDP的端口为2001上使用身
份stan来操作.SNMPv2的安全小代理的执行必须提供关于SNMPv2的参与者的相关
信息管理配置(和稳定存储):包括它自身和远端.Ollie和stan认证他们通过使用
SNMPv2认证协议v2md5AuthProtocol和他们的彼此不同的私有认证密钥来产生的所
有的信息.尽管在这里他们的私有认证密钥的值("0123456789ABCDEF" 和
"GHIJKL0123456789")的出现是属于解释目的,关于私有认证密钥的信息一般是不
会提供给人们的,并且是限制请求它的协议的部分操作.
当使用v2md5AuthProtocol时,对每个SNMPv2参与者的公开认证密钥从不会在
SNMPv2的认证和校验中使用的.(v2md5AuthProtocol在字符上是对称的的),同时
每个参与者的私有认证密钥必须对彼此要认证通讯的参与者是已经知道的.相反,不
对称认证协议(公开密钥)不能依靠他们操作的私有密钥的共享.
传输给参与者stan的所有协议消息是使用desPrivProtocol私有协议和私有密
钥“STUVWX0123456789”来加密的;它们加密是通过相同的协议和密钥.类似地,传
输给参与者ollie的所有信息是用desPrivProtocol协议和私人私有密钥
“MNOPQR0123456789”来加密的,他们相互加密.作为认证密钥,私人私有密钥是不
能提供给人们的,同时请求它的协议的执行也要限制部分功能.
4.3 MIB视图的配置
这段描述了一个关于MIB视图定义的惯例和惯例的使用,并给出一个关于参考
本地目标资源的SNMPv2的上下文的MIB视图的配置.
一个MIB视图通过收集视图子树来定义(参考2.6段),并且任何一个MIB视
图可以用这种方法来描述.因为MIB视图的定义可以包含很多视图子树,关于一个简
化的MIB视图的定义也是合理的.
惯例中采纳了关于支持用视图子树族(包括或者排除有关的MIB)来实现简化
的MIB视图的定义.该视图子树族包括或排除相关MIB视图的定义。通过这个惯例,
每个SNMPv2实体根据相关的SNMPv2上下文(可参考本地的目标资源)来定义MIB
视图,通过该MIB视图来维持本地表.在表中的每个条目表示一个视图子树族,该视
图子树包括或者排除一些SNMPv2上下文的MIB视图.每个表中实体描述了一个子树
族用一对序偶:目标验证人(OBJECT IDENTIFIER)值(又叫族名)和位串(bitstring)
值(又叫族标志).族标志是指出了在一个相关族名的子验证名在一个相关子树族定
义中是非常重要的.对每个可能的MIB对象实例,如果下列条件成立,那么它是属于
通过一个详细表条目来描述的的视图子树族的:
? 由MIB对象实例组成的目标标识符名至少和上述的表条目的族名一样数目
的标识符.
在上述的MIB对象实例名中每个子标识符匹配相应族名相关的子标识符.而不
管其族标志是否为零
对一个特殊的SNMPv2上下文来讲,在MIB视图中出现的MIB对象实例是和子树
族的实例的成员有关的,在SNMPv2的上下文中的本地表的条目:
● 如果一个MIB对象实例不属于任何一个子树族,则对相关的SNMPv2的上下文
而言,它就不在的MIB视图中.
● 如果一个MIB对象实例属于子树族,该子树族是通过一个相关的表条目详细
的描述的,则根据条目的类型来决定是包括还是排除相关的MIB视图.
● 如果一个MIB对象实例属于通过多个相关表条目描述的子树族,则实例根据
单一的表条目来决定是包括还是排除相关的MIB视图.这里表项目,首先,关
联最大的子标识名数,其次,还关联最大的族名.
子树通过这样的表条目来描述,其关联的族标志是符合通过族名的条目来标识
的单一视图子树.因为惯例提供了内在族标志值和多个的扩展,带有一个零长度的族
标志的表项代表一个子树族,该子树与一个单一的视图子树相对应。
上下文 类型 族名 族标志
lucy included internet ''H
表6:小代理的视图定义
用这个惯例来简化MIB视图的定义,一些最通用的MIB定义可以方便的表示.
例如,表6就说明了小的SNMPv2实体需要的MIB视图的定义,这个小的MIB具有单
一的SNMPv2的上下文,该上下文和MIB视图相关,这样MIB视图包括了在SNMPv2
网络管理结构中定义的所有MIB目标.这个说明表有单一的入口.在MIB视图中定义
条目的SNMPv2上下文(lucy)的在第一列表明.条目的类型表明任何MIB对象实例
属于子树族,该子树族是通过对在MIB视图中SNMPv2上下文“lucy”的条目的出现
来描述的.这个条目的族名是internert,并且零长度的族标志表明了相关子树族和
根和该节点的单一子视图相适应.
另一个关于MIB视图定义的例子(见表7)是一个有多个SNMPv2上下文的SNMPv2
实体,并且有截然不同的MIB视图.关联了SNMPv2上下文lucy的MIB视图,组成了
所有在SNMPv2网络环境结构中定义的MIB目标的实例,除了适合于SNMPv2参与者
管理的部分.相反地,属于SNMPv2上下文ricky 的MIB视图仅仅包含在Internet-
标准 MIB的系统组中的MIB对象实例,和SNMPv2参与者管理的这些对象实例.
上下文 类型 族名 族标志
lucy included internet ''H
lucy excluded snmpParties ''H
ricky included system ''H
ricky included snmpParties ''H
表7: 多上下文的视图定义
一个更复杂的关于MIB视图配置的例子说明了通过视图子树族(见表8)的视图
子树的简化集合.在这个例子中,和SNMPv2上下文lucy相关的MIB视图包括所有的对
象实例(这些实例在Internet标准MIB系统组中),和一些次要的网络交互的设备相
关的信息.无论如何,相关信息交互是不包括交互的速度的.次要表条目族标志值
“FFAO”H 表明一个MIB对象实例属于相关的子树族,假如它的名字的初始前缀包含
有在注册层次上的ifEntry 部分,它的名字的11层子树的名字为2.
描述次要网络交互的速度的MIB对象实例,是属于通过次要的和第三个表的条目的来
描述的子树族,但特殊的实例是排除SNMPv2上下文为lucy的MIB视图的,因为更多的
相关族名在表条目上是排除类型.
对SNMOv2上下文为ricky的MIB视图在这个例子中也被定义.这个SNMPv2上下文
为ricky的MIB视图包括了在Internet标准MIBicmp组中所有的对象实例,和与管理设
备相关的15层的网络交互所有相关的信息.另外,SNMPv2上下文为rickyMIB视图包括
在14层上收到的和网络交互的8位组的数目.
上下文 类型 族名 族标志
lucy included system ''H
lucy included { ifEntry 0 2 } 'FFA0'H
lucy excluded { ifSpeed 2 } ''H
ricky included icmp ''H
ricky included { ifEntry 0 5 } 'FFA0'H
ricky included { ifInOctets 4 } ''H
表 8: 更多的视图定义的详细阐述
根据上面的例子的假设,一个MIB视图配置的 广阔范围可以通过[4]中的简化描
述得到高效的支持,严格的MIB设计可能有时要更加简化大多数MIB视图定义的大小
和复杂度.一方面,MIB视图配置的机构没有强加一个绝对的约束在当地管理的访问
策略上和MIB的名字空间的结构上;在另一方面,大多数的访问策略是已知的,这些
策略的配置代价可以通过分配一些不同的部分在注册层来降低,这里注册层的MIB
目标是本地策略要求经常频繁地处理的.
4.4 代理配置
这节主要是用一个例子来解释SNMPv2的代理配置.一方面,外部代理配置提供了
管理非SNMP设备的能力,另一方面,本地代理配置允许一个管理者减轻一个主要任
务不是管理的网络设备的管理方面的负担.从这个程度上来讲,SNMPv2代理机构的功
能主要就是个管理信息的集合,代理配置也可减轻大规模管理活动的带宽要求.
这个例子配置的一个说明:实际的配置可能要求附加的的部分,主要大为了支
持时钟同步和保密的分发.
4.4.1 外部代理配置
这段主要是介绍一个关于通过SNMPv2管理站管理网络元素(这些网络元素并不
支持SNMPv2)的配置的例子.这个在SNMPv2代理机构的配置中心通过使用一个叫所有
者协议(proprietary protocol)来和非SNMPv2设备进行交互来实现SNMPv2的管理
操作.
表9 介绍了关于SNMPv2参与者的信息,这些信息记录在SNMPv2代理机构的本地
数据库中的参与者信息中.表10介绍了关于代理关系的信息,该信息记录在SNMPv2
代理机构的本地数据库的的上下文信息中.表11 介绍了关于SNMPv2参与者的信息,
该信息记录SNMPv2管理站的本地数据库的参与者信息中.表12 介绍了关于访问策略
的数据库信息,该信息是在本地的管理中指明.
身份 groucho chico harpo
(管理者) (代理人) (代理目的)
域 snmpUDPDomain snmpUDPDomain acmeMgmtPrtcl
地址 1.2.3.4, 2002 1.2.3.5, 161 0x98765432
认证端口 v2md5AuthProtocol v2md5AuthProtocol noAuth
认证私有密钥 "0123456789ABCDEF" "GHIJKL0123456789" ""
认证公开密钥 "" "" ""
认证时钟 0 0 0
认证生命周期 300 300 0
私有端口 noPriv noPriv noPriv
私人私有密钥 "" "" ""
私人公开密钥 "" "" ""
表9: 代理机构的参与者信息
上下文 代理目的 代理源 代理上下文
ducksoup harpo n/a n/a
表10: 代理机构的代理关系
身份 groucho chico
(管理者) (代理人)
域 snmpUDPDomain snmpUDPDomain
地址 1.2.3.4, 2002 1.2.3.5, 161
认证端口 v2md5AuthProtocol v2md5AuthProtocol
认证私有密钥 "0123456789ABCDEF" "GHIJKL0123456789"
认证公开密钥 "" ""
认证时钟 0 0
认证生命周期 300 300
私有端口 noPriv noPriv
私人私有密钥 "" ""
私人公开密钥 "" ""
表 11: 管理站的参与者信息
目标 主题 上下文 权限
chico groucho ducksoup 35 (Get, GetNext & GetBulk)
groucho chico ducksoup 132 (Response & SNMPv2-Trap)
表12: 外部代理的访问访问信息
向在表9中的介绍,代理机构的参与者在IP地址为1.2.3.5、UDP端口为161上用
身份chico操作;同时,这个例子中的管理者在IP地址为1.2.3.5、UDP端口为2002
上用身份groucho操作.Groucho和chico认证所有的关于他们使用
v2md5AuthProtocol协议生成的信息和他们截然不同的、私有的认证密钥.虽然他们
的私有认证密钥值("0123456789ABCDEF" 和"GHIJKL0123456789")在这里因为解释
的目的而出现了.但私有密钥的信息一般是不会告诉人们的,并且对请求它的协议的
执行也是有限制的.
参与者harpo不会发送或接收SNMPv2协议信息;进一步说,所有与参与者的通讯
信息是通过一个假设的私有协议来确认的,该私有协议是由acmeMgmtPrtcl的值来确
认的.由于参与者harpo不参与到SNMPv2中,许多为该参与者记录在本地数据库中的
诸属性均被忽略.
表10 表明了相互了解的代理的代理关系.更详细的说,SNMPv2上下文ducksoup
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -