rfcrfc2570.txt

本程序为在linux下实现FTP传输文件的实现

组织：中国互动出版网（http://www.china-pub.com/）
RFC文档中文翻译计划（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
译者：刘颖（liuying  oddodd@263.net）
译文发布时间：2001-6-10
版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须
保留本文档的翻译及版权信息。

Network Working Group                                            J. Case
Request for Comments: 2570                           SNMP Research, Inc.
Category: Informational                                         R. Mundy
                                    TIS Labs at Network Associates, Inc.
                                                              D. Partain
                                                                Ericsson
                                                              B. Stewart
                                                           Cisco Systems
                                                              April 1999

标准互联网络管理框架第三版介绍
 （RFC2570 Introduction to Version 3 of the Internet-standard Network Management 
Framework）
备忘录状态：
      本备忘录提供Internet社区的信息，它没有详细说明所有类型的网络标准。本备忘录
的发布不受任何限制。

版权声明
Copyright(c)The Internet Society (1999) .保留所有权利。
 
概要：
      本文的旨在提供网络标准管理框架第三版本的概述，条款取自SNMPv3框架
（SNMPv3）。本框架起源和构建在最初的网络标准管理框架第一版（SNMPv1）和网络标准
管理框架第二版（SNMPv2）的基础上。
   
     模块化体系结构的设计适应网络框架的发展。

目录
1、	介绍
2、	网络标准管理框架
2.1、基本框架与成分
2.2、网络标准管理框架体系结构
3、	SNMPv1管理框架
3.1、SNMPv1数据定义语言
3.2、管理信息
3.3、协议操作
3.4、SNMPv1安全性与管理
4、	SNMPv2管理框架
5、	SNMPv3工作组
6、	SNMPv3框架模型的详细说明
6.1、数据定义语言
6.2、MIB模型
6.3、协议操作与传输映射
6.4、SNMPv3安全性与管理
7、	文档摘要
7.1、管理信息结构
7.1.1、SMI的基本规范
7.1.2、正文约定
7.1.3 、一致性声明
7.2、协议操作
7.3、传输映射
7.4、协议使用设备
7.5、体系结构/安全性与管理
7.6、消息处理与分配（MPD）
7.7、SNMP应用
7.8、基于用户的安全模型（USM）
7.9、基于视图的访问控制（VACM）
7.10、SNMPv3 的共存与转换
8、	安全性考虑
9、	作者地址
10、	参考书目
11、	版权声明
12、	鸣谢


1、介绍
本文是网络标准管理框架第三版本的介绍，条款取自SNMPv3, 具有多种用途。

首先，它描述了SNMP第三版本（SNMPv3）规范与SNMP第一版本（SNMPv2）及
SNMP第二版本（SNMPv1）之间的关系。

第二，它提供了包含相关规范的多种文档的路径。

第三，本文提供了相关详细说明文档的简单易读的内容摘要。

本文有意从本质上指导，也许有时过于简化。如果本文档与本文标记的细节文档之间发
生矛盾，以细节文档为主。

进一步来讲，细节文档为了详细说明与各种构成模块之间精确定义的接口，而与这些构
成模块保持分离。这个路径文档为了可读性而采取不同的途径提供一个包括多种构成模块的
完整的看法。


2、网络标准管理框架
    第三版网络标准管理框架起源并构建于原来的第一版网络管理框架（SNMPv1）和 第
二版网络管理框架(SNMPv2)的基础上。

    所有的版本（SNMPv1,SNMPv2,SNMPv3）的网络管理框架具有相同的基本的框架和成
分。而且，所有版本的网络标准框架规范具有相同的体系结构。
 
2.1基本框架和成分
      企业配置的网络标准管理框架包括四项基本的成分：

?	一些（通常是许多）被管理结点，每个都包括SNMP实体可提供管理设备的远程访问
（一般叫做代理）；

?	至少一个SNMP实体和相关的管理应用（一般叫做管理器） 

?	管理协议被用来在SNMP实体间传送管理信息 

?	管理信息

管理协议用来在SNMP实体，如管理器、代理，之间传送管理信息。

    网络标准框架的基本结构在SNMP的各种版本，如SNMPv1,SNMPv2,SNMPv3，是一
致的。

2．2 网络标准管理框架的体系结构
网络标准框架的详细说明是基于模块的体系结构。这种框架不仅仅是为动态数据提供的
一种协议。它包括：

?	数据定义语言， 

?	管理信息定义（管理信息库，MIB）， 

?	协议定义， 

?	安全性和管理

框架逐渐由SNMPv1,发展成SNMPv2,直到SNMPv3，每一个体系结构的成分的定义演
变得日益丰富、清晰，但是基础的体系结构保持一致。

这种模块性设计的最初动机是为了适应在RFC1052[14]中定义的框架结构的发展。最初
的设想是用这种性能来减轻基于SNMP管理的网络到基于OSI协议的网络的传输的负担。
结果，这种框架结构却在独立于协议的数据定义语言和独立于MIB协议的管理信息库方面
取得成功，这种分开设计允许替换基于SNMP的协议而不需要重新定义或重新建立管理信
息。历史证明这种体系结构是出于错误动机的正确选择,事实证明，这种结构体系更加灵活
地完成了从SNMPv1到SNMPv2以及从SNMPv2到SNMPv3版本的转换，远胜于基于简单
网络管理协议的管理网络的转换。

SNMPv3的框架的构造和拓展的构建原则：

?	参考SNMPv2版本，构建四项基本结构成分 

?	运用相同的分层原则定义安全性和管理部分的新性能
 
     熟悉SNMPv1和SNMPv2管理框架结构的读者会发现SNMPv3管理框架中有相似的
概念。但请注意，在一些情况下，术语的含义略有不同。

3、SNMPv1管理框架
  
    最初的网络标准管理框架（SNMPv1）定义下列文档：

?	STD 16， RFC1155[1]定义了管理信息结构（SMI），是为方便管理而制定的描述和命
名对象的机制。 

?	STD 16， RFC1212[2]定义了更加简洁的描述机制来描述和命名管理信息的对象，但完
全与SMI保持一直。 

?	STD 15， RFC1157[3]定义了简单网络管理协议，该协议用来网络访问被管理设备和产
生事件通知。注意，此文档首次定义了一系列事件通知。
 
   另外，下面两个文档一般和这三个文档联系在一起：

?	STD 17，RFC 1213[13]定义了基本的管理信息。 

?	RFC  1215[25] 定义了简洁描述机制来定义事件通知，也就是在SNMPv1版本中定义
的陷阱。该文档在简单通知也详细说明了RFC1157中的一般陷阱。

    这些文档描述了第一版SNMP框架的四个部分。

3.1 SNMPv1数据定义语言
前两个和最后一个文档描述了SNMPv1的数据定义语言。注意，这是因为最初要求SMI
必须独立于协议，前两个SMI文档没有提供定义事件通知（陷阱）的定义方式。而SNMP
协议文档定义了一些事件通知（一般陷阱）和定义其他的事件告警的方法。最后一个文档详
细说明运用SNMPv1协议直接定义事件通知的方法。与此同时，陷阱在标准网络管理结构
的应用引起争议。例如，RFC 1215以建议的身份提出而一直没有进一步修改，因为大家坚
信第二版SNMP的框架将代替第一版。注意SNMPv1的数据定义语言部分参照SMIv1.

3.2、 管理信息
前两个文档描述的数据定义语言第一次被用来定义现在不再使用的MIB-1（在RFC 
1066[12]中详细阐述），随后用来定义MIB-II （在RFC 1213 [13]中详细阐述）。
 
而后的，当MIB-II公布后，一种由多个工作组制定定义网络标准管理信息库的一个文
件不同的定义方式，代替了最初由单独一个委员会制定的方式。然而，许多并行和分布式的
小型MIB文档随授权组应运而生，详细说明网络标准MIB的焦点部分，由那些从事特殊领
域包括网络管理，系统管理，应用管理的诸多方面问题的专家们制定。
 
3.3 协议操作
   第三个文档，STD 15，描述SNMPv1协议操作由协议数据单元（PDUs）的绑定变量完
成，描述了SNMPv1的信息格式。SNMPv1定义的操作有：get, get-next, get-response, 
set-request, 和trap。也定义了面向无连接传输SNMP的典型分层。

3.4 SNMPv1的安全性与管理
STD 15 也描述了安全性与管理的方法。许多概念，特别是关于安全性的，在SNMPv3
框架中继续应用并得以扩展延伸。

SNMPv1 框架描述了SNMPv1 PDUs 在SNMP实体和不同的应用实体和协议实体的
SNMP的消息封装。在SNMPv3中各自重新命名了应用与实体。

SNMPv1 框架也引入了支持一个或多个授权配置的授权服务。另外SNMPv3还定义了
其他的安全参数：私有。（注意：一些关于安全性共同体的文献将SNMPv3的安全性能描述
为具有数据完整性鉴别，数据源鉴别，和机密性鉴别）。这种模型的性能改变和增加了
SNMPv3框架的安全性。

最后，SNMPv1引入了基于SNMP MIB视图概念的访问控制。SNMPv3框架中阐述了
基本一致的基于视图的访问控制的概念。由此，SNMPv3 提供了控制被管理设备上的信息
的方法。

然而，当SNMPv1框架期望定义多种授权方案时，它仅仅在共同体字符串的基础上定
义了一些琐碎的授权。这是SNMPv1框架广为人知的基本缺陷，但那时商用级的安全性设
计很有争议，无法统一，因为对于不同的用户来说“安全性”意味着许多不同的含义。归根
结底，因为许多用户并不需要强大的安全机制。SNMPv1 设计了一个将在今后实现的独立
的提供授权服务的模块。SNMPv3框架应用了该模块，并定义为其的子系统。

4 SNMPv2管理框架
SNMPv2 管理框架在[4-9]中全面描述了共存和SNMPv1与SNMPv2转换的问题[10]。

SNMPv2 较SNMPv1 有如下优点：

?	扩展数据类型（例如，64位计数器） 

?	改善效率和性能（取块操作） 

?	事件通知确认（消息操作） 

?	丰富的错误控制（差错与例外） 

?	改进设置，尤其是行的创建与删除 

?	精密调整的数据定义语言

然而，如上描述的SNMPv2框架因为没有达到原来的设计目标而一直没有完成。这些
没有完成的目标包括预期的所谓的商业级的安全性与管理传输，包括：

?	授权：数据源鉴别，消息完整性和一些方面的重发保护； 

?	私有：机密性； 

?	授权与访问控制； 

?	匹配的远程配置和这些方面的管理性能。

SNMPv3管理框架，如本文还有一些相关的文档，阐述了这些重要的不足。

5.	SNMPv3工作组
   本文和相关文档由Internet 工程任务组（IETF）的SNMPv3工作组提出。SNMPv3工
作组授权准备下一代SNMP建议。工作组的目标是为下一代SNMP核心功能的标准提出一
系列必要的文档。这个在下一代SNMP中最关键的需求是：安全性与管理，使得在基于SNMP
管理事物的安全性能可用于希望使用SNMPv3管理网络的用户。这些组成网络的系统和这
些系统中的应用包括管理器对代理，代理对管理器，管理器对管理器之间的传输。

在工作组得到授权许多年以前，有许多旨在安全性一体化和改进SNMP的活动。它们
包括：