2011自考“计算机网络管理”知识重点

　　第一章 网络管理概论 $lesson$

　　考试要求

　　1.网络管理的基本概念 ， 要求达到识记层次

　　网络管理的需求和网络管理的目标

　　网络管理系统体系结构

　　被管理的软硬资源的种类和相关信息转自环 球 网 校edu24ol.com

　　主要的网络管理标准的含义和适用范围

　　2. OSI 系统管理的基本概念 ， 要求达到领会层次

　　OSI 的管理框架

　　请求、响应、轮询、通告和心跳等通信机制，它们之间的区别和联系

　　管理域和管理策略的概念，及其在分布式网络管理中的作用

　　管理信息的层次结构

　　应用层提供的系统管理支持功能

　　配置管理、故障管理、性能管理、记账管理和安全管理的含义、功能和作用

　　3.网络管理系统 ， 要求达到识记层次

　　知识重点

　　(一)网络管理的基本概念

　　1.网络管理的需求和目标

　　(1) 网络管理的需求

　　计算机网络日益成为个人和企业 / 事业单位日常活动必不可少的工具。许多公司、国家机关和大学每天都要利用网络上的数据业务(例如电子邮件和传真)、视频业务(例如电视会议)和话音业务(例如 IP 电话)来保证他们的生存和发展。另一方面计算机网络和组成越来越复杂，这主要表现在网络互联的规模越来越大，而且联网设备多是异构型设备、多制造环境、多协议栈。这样的网络靠手工管理已是无能为力，所以研究和开发符合自己情况的、经济适用的网络管理系统就是一项迫切的任务了。

　　(2)网络管理目标

　　。减少停机时间，改进响应时间，提高设备利用率;

　　。减少运行费用，提高效率;

　　。减少 /消灭网络瓶颈;

　　。适应新技术(多媒体、多种平台);

　　。使网络更容易使用;

　　。安全

　　2. 网络管理系统体系结构

　　(1) 网络管理系统的层次结构

　　各种网络管理框架的共同特点如下：

　　。管理功能分为管理站( Manager)和代理(Agent)两部分

　　。为存储管理信息提供数据库支持，例如关系数据库或面向对象的数据库

　　。提供有户接口和用户视频( View)功能，例如GUI和管理信息浏览器

　　。提供基本的管理操作，例如获取管理信息，配置设备参数等操作过程目标管理应用使用户根据需要开发的软件，这种软件运行在具体的网络上实现特定的管理目标，例如鼓掌诊断和性能优化，或者业务管理和安全控制等。网络管理应用的开发是目前最有活力最具增长性的市场。

　　(2)网络管理系统的配置

　　每一个网络结点都包含一组与管理有关的软件，叫网络管理实体( NME )。网络管理实体完成下面的任务

　　。收集有关通信和网络活动方面的统计信息

　　。对本地设备进行测试，记录其状态信息转自环 球 网 校edu24ol.com

　　。在本地存储有关信息

　　。响应网络控制中心的请求，传送统计升年升毫或设备状态信息

　　。根据网络控制中心的指令，设置或改变设备参数

　　网络中至少有一个结点(主机或路由器)担当管理站的角色( Manager)，除过NME之外，管理站中还有一组软件，叫做网络管理年个月度年个(NME)。NME提供用户接口，根据用户的命令显示管理信息，通过网络向NME发出请求或指令，以便获取有关设备的管理信息，或者改变设备配置。

　　网络中的其他结点在 NME的控制下与管理站通信，交换管理信息。这些结点中的NME模块叫做代理模块，网络中任何被管理的设备(主机、网桥、路由器或集线器等)都必需实现代理模块。所有代理在管理站监视和控制下协同工作实现集成的网络管理。这种集中式网络管理策略的好处式管理人员可以有效地控制整个网络资源，根据需要平衡网络负载，优化网络性能。 然而，对于大型网络，集中式地管理往往显得力不从心，正在让位于分布式地管理策略。这种向分布式管理演化地趋势与集中式计算模型由向分布式计算演化的总趋势式一致的。 在这种配置中，分布式管理系统代替了单独的网络控制主机。地理上分布的网络管理客户机于一组网络管理服务器交互作用，共同完成网络管理功能。这种管理策略可以实现分部门管理：即限制每个客户机只能访问和管理笨部门的部分网络资源，而由一个中心管理站实施全局管理。同时中心管理站还对管理功能较弱的客户机发出指令，实现更高级的管理。分布式网络管理的灵活性(Flexibility)和可伸缩性(Scalability)带来的好处日益为网络管理工作者所青睐，这方面的研究和开发式目前网络管理中最活跃的领域。

　　(3)网络管理软件的结构

　　这里说的软件包括用户接口软件、管理专用软件和管理支持软件，用户通过网络管理接口与管理专用软件交互作用，监视和控制网络资源。接口软件不但存在于管理主机上，而且也可能出现在代理系统中，以便对网络资源实施本地配置、测试和排错。有效的网络挂零你系统需要同意的用户接口，而不论主机和设备出自何方厂家，运行什么操作系统，这样才可以方便地对异构型网络进行监控。接口软件还要有一定的信息处理能力，对大量的管理信息要进行过滤、统计、甚至求和和化简，以免传递的信息量太大而阻塞网络通道。最后，理想的用户接口应该是图形用户接口，而非命令或表格。

　　3.管理的网络资源

　　计算机网络管理设计到监控和控制网络中的各种硬件，固件和软件元素。

　　(1)被管理的网络硬件资源可以列举如下：

　　。物理介质和连网设备

　　。计算机设备

　　。网络互联设备

　　(2)被管理的网络软件元素可以列举如下：

　　。操作系统软件

　　。通信软件

　　。应用软件

　　4. 网络管理标准

　　TCP/IP 网络管理最初使用的是 1987 年 11 月提出的简单网关监控协议 SGMP ( Simple Gateway Monitoring Protocol )，在此基础上改进成简单网络管理协议第一版 SNMPv1 ( Simple Network Management Protocol )，陆续公布在 1990 和 1991 年的几个 RFC ( Request For Comments )文件中，即 RFC 1157 ( SMI )， 1157 ( SNMP )， RFC1212 ( MIB 定义)和 RFC1213 ( MIB-2 规范)。由于其简单性和易于实现， SNMPv1 得到了许多制造商的支持和广泛应用。几年以后在第一版的基础上改进功能和安全性，又产生了第二版 SNMPv2 ( RFC1902-1908 ， 1996 )。最新的标准 SNMPv3 ( RFC2570-2575 Apr .1999 )已经完成了。

　　在同一时期用于监视局域网通信的标准 - 远程网络监视 RMON ( Remiote Monitoring )也出现了，这就是 RMON-1 ( 1991 )和 RMON-2 ( 1995 )。这一阻标准定义了监视网络通信的管理信息库，是 SNMP 管理信息库的扩充，与 SNMP 协议配合可以提供更有效的管理性能，也得到了广泛应用。

　　另外， IEEE 定义了局域网的管理标准，即 IEEE802.1b LAN/MAN 管理。这个标准用于管理物理层和数据链路层的 OSI 设备，因而叫做 CMOL ( CMIP over LLC )。为了适应电信网络管理的需要， ITU-T 在 1989 年定义了电信网络管理标准 TMN ( Telecommunications Management Network )，即 M.30 建议(蓝皮书)。可见网络管理是一个广阔的研究领域，而却很多东西是相通的。

　　(二)OSI 系统管理的基本概念

　　1.OSI 管理框架

　　OSI 系统管理操作在对等的开放系统之间进行，一个系统为管理站，另一个系统起代理的作用，即管理站实施管理功能，而代理接受管理站的查询，并且根据管理站的命令设置管理对象的参数。

　　管理站和代理要能够互相通信，它们之间就要互相了解，这可以通过交换应用上下文( Application Context，AC )实现。 AC 是指管理站和代理之间共同使用的应用服务元素及其调用规则。至于具有哪些功能和功能单元，支持哪些管理对象类，管理功能和管理对象之间有什么关系等，也是彼此需要了解的，这些叫做共享的管理知识。系统管理应用实体的管理知识存储在本地的文件中，在应用联系建立阶段，通过交换应用上下文，形成共享的管理知识。

　　2.通信机制

　　管理站和代理指的信息交换通过协议数据单元( PDU )进行。通常是管理站向代理发送请求 PDU ，代理以响应 PDU 回答，而管理信息包含在 PDU 参数中。在有些情况下，代理也可能向管理站发送消息，特别把这种消息叫做时间报告(或通知)，管理站可根据报告的内容决定是否作出回答。

　　为了及时了解管理对象的最新情况，代理必需经常地查询对象地各种参数。这种定期查询叫轮询( Polling )。轮询地间隔或频度对于网络管理地性能有很大的影响。轮询过于频繁，会加重网络通信负载;轮询稀少，又不能及时掌握管理对象的最新状态。所以轮询的间隔应根据网络配置和管理标准仔细设计。另外如果管理对象中出现了特殊情况，例如打印机缺纸，管理对象不必等待代理查询，可直接向代理发出通知。如果必要，代理可以把对象的通知以事件报告的形式发往管理站。

　　有时管理站要想知道代理是否存在，是否可随时与之通信。这时可以利用一种叫做心跳的机制( Heartbeats )，即代理每隔一定事件想管理站发出信号，报告自己的状态。同样，心跳的间隔也时需要慎重决策的。

　　3.管理域和管理策略

　　对于分布式管理，管理域式一个重要的概念。管理对象的集合叫做管理域。管理域的划分可能是基于地理范围的，也可能是基于管理功能的，或者是由于技术的原因。无论怎样划分，其目的都是对于不同管理域中的对象实行不同的管理策略。

　　每个管理域有一个唯一的名字，包含一组被管理对象，代理和管理对象之间有一套通信规则。属于一个管理域的对象也可能属于另一个管理域，当网络被划分为不同的管理域后，还应该有一个更高级的控制中心，以免引起混乱。因而在以上概念模型的基础上又引入行政域( Administrative Domian )的概念。行政域的作用是划分和改变管理域，协调管理域之间的关系。此外，行政域也对本域中的管理对象和代理实施管理和控制。

　　4.管理信息结构

　　管理信息描述管理对象的状态和行为。 OSI 标准采用面向对象的模型定义管理对象。按照对象类的继承关系，表示管理信息的所有对象类型组成一个继承层次树。继承性反映了软加重用性。设计一个新的对象类时不必全部从头开始，可以根据新数据类型的属性和已有对类的相似关系把新类插入到继承层次树中。相同的属性可以从父类中继承，再在父类的基础上设计新对象类的特性，从而减少了设计工作量。这种设计方法已经是现代程序设计和系统设计的常规方法了。

　　OSI 管理的面向对象模型是一个非常复杂的模型，几乎囊括了已知的所有面向对象的概念，例如多继承性，多态性( Polymorphism )和同质异晶性( Allomorphism )等。多继承性是指一个子类有多个超类，多念性源于继承性，子类继承超类的操作，同时又对继承的操作做了特别的修改，这样不同的对象类对同一操作会做出不同的响应，这种特性就叫多态性。我们说一个对象具有同质异晶性是指它可以是多个对象类的实例，例如一个协议又两个兼容的版本，一个协议实体既是老版本的实例，又是新版本的实例。

　　一个管理对象可以是另一个管理对象的一部分，这就形成了管理对象之间的包含关系。包含关系可以表示成有向树。

　　包含树与对象名的命名有关，因而包含树对应于对象命名树。对象的名字分为全局名和本地名。全局名从包含树的树根开始，向下级联各个被包含对象的名字，直到指称的对象。而本地名则可以从任意上级包含对象的名字开始向下级联。

　　在 OSI 标准中管理对象类由 ASN.1 的对象标识符表示。对象标示符是由圆点个开的整数序列。这一列整数反映了对象注册的顺序，即在注册层次树中的位置。我们直到网上的任何信息都可以用 ASN.1 定义，并根据与其他信息的关系为其指定一个对象标识符。这样所有网络信息就组成了注册层次树。这个树的根指向 ASN.1 标准，没有编号。

　　5.系统管理支持功能

　　简单地说，应用层由应用进程( Application Process ， AP )及其使用的应用实体( Application Entity ， AE )组成，应用进程把信息处理功能和通信功能组合在一起，通过一个全局的名字可以调用这个功能。例如远程数据库访问可组成一个应用进程，这个应用进程与远处的数据库服务进程交互作用(发出检索命令，接收响应，处理结果)，完成数据库检索。应用进程的通信功能是由应用实体实现的。为了实现不同性质的通信，一个应用进程可能使用一个或多个应用实体。应用实体还可以再划分为应用服务元素( Application Service Eleent ， ASE )。 ASE 是具有简单通信能力的功能模块，对等的 ASE 之间有专用的服务定义和协议规范。应用实体首先要与对等的应用实体建立应用联系( Application Association ， AA )，然后才能通信。建立应用联系的过程主要是交换应用上下文( Application Context ， AC )。 AC 是可以用名字(对象标识符)引用一组 ASE 及其调用规则。在建立联系期间通过协商确定共同认可的应用上下文，并在应用活动期间遵守商定的通信规则。

　　应用服务元素分为公用服务元素和专用服务元素。在网络管理中使用的公用服务元素有联系控制服务元素 ACSE 和远程操作服务元素 ROSE . ACSE 专门用于建立年个月度年个 联系，这个元素对任何应用都是必要的。 ROSE 用于实现对等应用实体之间远程过程调用，当管理站启动管理对象中的特殊操作时要利用这个元素。

　　网络挂历中使用的专用服务元素叫公共管理信息服务元素 CMISE ，这一组服务元素共同组成 CMISE . CMISE 共有 7 种，其中 4 种时确认的(类型为 c )， 3 种可以有可以没有确认(类型为 c/n )。在 OSI 管理标准中，公共管理服务元素和公共管理协议操作一一对应。

　　6.系统管理功能域

　　ISO7498-4 文件定义了 5 个系统管理功能域( SMFA )，即配置管理、故障管理、性能管理、记帐管理和安全管理。

　　(三)网络管理系统

　　1.NetView

　　IBM 公司早在 70 年代末就推出了一系列网络管理工具，经过不断的修改和扩充，在 1986 年正式宣布了 NetView .起初这个网管工具主要用在 SNA 网络中，经过 10 多年的改进，终于演变成能够支持多种协议的、能满足局域网和广域网管理需要的功能强大的网络管理工具。

　　2.SunNet Manager

　　SUN 公司的网络管理系统 SunNet Manager 运行在 X Windows 上，用于管理 TCP/IP 网络，完整地支持 SNMP 协议。它的功能元素主要有管理应用程序、代理和委托代理程序等，管理应用程序收集和挂历网络中各个结点的信息;而代理和委托代理则接受挂历应用程序的检索请求，报告所管理结点的有关数据。委托代理还有两种特别的功能与代理不同，一是它使用远程过程调用( RPC )技术响应管理应用程序的请求，因而可以处理多种协议;二是它可以管理多个站，形成局部的集中式管理，很适合站点密集型局域网应用。

　　管理控制台是用户和管理应用交互作用的工具。这个软件运行在管理站上，可以用图形、图表或记录格式显示来自代理的数据报告，还可以把数据存储在磁盘文件中，供以后分析用。当代理发来用户定义的事件报告(例如设备启动)时，管理应用程序接收后以 E-mail 报文和声音警告的形式显示在管理控制台上。

　　管理数据库包含各种信息，例如关于结点的定义信息(名字可响应的请求)，关于代理的定义信息(属性和配置)等。所有信息存储在缓冲池中。任何时候缓冲池中保存的都是有关网络元素最新的信息集合，就像网络元素的“快照”一样。

　　SunNet Manager 的管理应用程序接口( API )提供了各种实用程序和库函数，可供有用户定做自己的管理应用程序。

　　3. Open View

　　Open View 是 HP 公司的网络管理系统。由于 HP 公司一贯支持 UNIX 和 TCP/IP 的传统，因而 Open View 原本是用来管理 TCP/IP 网络的，但是今天的 Open View 已经演变成为能管理多种网络(无论是局域网或广域网)多种协议的功能强大的软件包。

　　4.基于 Web 的网络管理―― JMAPI

　　基于 Web 的网络管理系统是目前网络管理发展的一种趋势。 SUN 公司提供了一组 JAVA 编程接口，供用户开发基于 Web 浏览器的网络管理应用。这一组编程借口统称 JMAPI 。

　　第二章 管理信息库 MIB-2

　　考试要求

　　1.SNMP的基本概念，要求达到识记层次

　　TCP/IP协议簇中的主要协议

　　Internet的网络管理框架

　　简单网络管理协议体系结构

　　委托代理的概念和作用

　　2.管理信息结构，要求达到领会层次

　　ASN.1中有关的通用类型，以及SNMPv1中的应用类型对象

　　定义管理对象的 ASN.1宏定义，管理信息结构的定义方法

　　表的概念和语法，以及对象标识符的词典顺序

　　3.MIB-2中的管理对象，要求达到简单应用层次

　　系统组中的管理对象及其在网络管理中的应用

　　接口组中的管理对象及其在网络管理中的应用

　　组中的管理对象及其在网络管理中的应用

　　IP组中的管理对象及其在网络管理中的应用

　　ICMP组中的管理对象及其在网络管理中的应用

　　TCP组中的管理对象及其在网络管理中的应用

　　UDP组中的管理对象及其在网络管理中的应用

　　EGP组中的管理对象及其在网络管理中的应用

　　MIB组中的管理对象及其在网络管理中的应用

　　知识重点

　　(一)SNMP的基本概念

　　1.TCP/IP协议簇

　　在 Internet中，用主机(Host)一词泛指各种工作站、服务器、PC机、甚至大型计算机。用于连接网络的设备叫网关，或IP路由器。组成互联网的各个网络可能是IEEE802.3，802.5或其他任何局域网，甚至广域网。

　　TCP是端系统之间的协议，其功能是保证系统之间可靠地发送和接收数据，并给应用进程提供访问端口。互联网中所有端系统和路由器都必需实现IP协议。IP地主要功能是根据全网唯一的地址把数据从源主机搬运到目标主机。当一个主机中的应用进程选择传输服务(例如TCP)为其传送数据时，以下各层实体分别加上该层协议的控制信息，形成协议数据单元。当IP分组到达目标网络目标主机后由下层协议实体逐层向上提交，沿着相反的方向一层一层剥掉协议控制信息，最后把数据交给应用层接收进程。

　　2.Internet的网络管理框架

　　在 Internet中，网络、设备和主机的管理叫做网络管理，这里的术语与OSI是不同的。早期的Internet中没有专门的网络管理协议，唯一可用于网络管理协议是ICMP.在网络管理中，ICMP有用的部分是回声(请求/响应)和时间戳(请求/响应)报文，再加上IP头的某些选项(例如源路由和路由记录等)，就可以开发简单的管理工具。其中最著名的就是PING(Packet InterNet Groper)程序。

　　3.简单网络管理协议的体系结构

　　由于 SNMP定义为应用层协议，所以它依赖于UDP数据报服务。同时SNMP实体向管理应用程序提供服务，它的作用是把管理应用程序的服务调用变成对应的SNMP协议数据单元，并利用UDP数据报发送出去。

　　其所以选择 UDP协议而不是TCP协议，这是因为UDP效率较高，这样实现网络管理不会太多地增加网络负载。但由于UDP不是很可靠，所以SNMP报文容易丢失。为此，对SNMP实现的建议是对每个管理信息要装配成单独的数据报独立发送，而且报文应短些，不超过484个字节。

　　每个代理进程管理若干管理对象，并且与某些管理站建立团体( community)关系，团体名作为团体的全局标识符，是一种简单的身份认证手段。一般来说代理进程不接受没有通过团体名验证的报文，这样可以防止假冒的管理命令。同时在团体每部也可以实行专用的管理策略。

　　(二)管理信息结构

　　管理信息结构( SMI)说明了定义和构造MIB的总体框架，以及数据类型的表示和命名方法。SMI的宗旨是保持MIB的简单型和可扩展性，只允许存储标量和二维数组，不支持复杂的数据结构。从而简化了实现，加强了互操作性。

　　SMI 提供了以下标准技术表示管理信息：

　　。定义了 MIB的层次结构

　　。提供了定义管理对象的语法结构

　　。规定了对象值的编码方法

　　(三)MIB-2功能组(RFC1213)

　　RFC1213 定义了管理信息库第 2 版，即 MIB-2 .这个文件包含 11 个功能组，共 171 个对象。 RFC1213 说明了选择这些对象的标准。

　　(1)包括了故障管理和配置管理需要的对象。

　　(2)只包含“弱”控制对象。所谓“弱”控制对象就是一旦出错对系统不会造成严重危害的对象。这反映了当前的管理协议不很安全，不能对网络实施太强的控制。

　　(3)选择经常使用的对象，并且友好证明当前的网络管理中正在使用。

　　(4)为了容易实现，开发 MIB-1 时限制对象数为 100 个左右，在 MIB-2 中，这个限制稍由突破( 117 个)。

　　(5)不包含具体实现(例如 BSD UNIX )专用的对象。

　　(6)为了避免冗余，不包括那些可以从已有对象导出的对象。

　　(7)每个协议层的每个关键部分分配一个计数器，这样可以避免复杂的编码。

　　MIB-2 只包括那些被认为是必要的对象，不包括任选的对象。对象的分组方便了管理实体的实现。一般来说，制造商如果认为某个功能组是有用的，则必须实现该组的所有对象。例如一个设备实现 TCP 协议，则它必须实现 tcp 组所有对象，当然网桥或路由器就不必实现 tcp 组。

　　第三章 简单网络管理协议 SNMPv1

　　考试要求

　　1.SNMPv1支持的操作，要求达到识记层次

　　SNMPv1 PDU的格式

　　SNMPv1报文的应答序列

　　报文的发送和接收过程

　　2.SNMPv1的安全机制，要求达到识记层次

　　团体的概念

　　SNMPv1的简单认证过程

　　SNMPv1可采用的访问策略

　　3.SNMPv1的操作，要求达到综合应用层次

　　检索简单对象的方法

　　检索未知对象的方法

　　检索表对象的方法

　　表的更新和删除操作

　　陷入操作的原理和陷入的种类

　　4.SNMP功能组，要求达到领会层次

　　SNMPv1功能组对象的含义和作用

　　5.实现问题，要求达到领会层次

　　对网络管理站的功能要求

　　轮询频率对网络管理性能的影响

　　SNMPv1的局限性

　　知识重点

　　(一)SNMPv1 协议数据单元

　　1.SNMPv1支持的操作

　　SNMP仅支持对管理对象值的检索和修改等简单操作。具体地说， SNMP实体可以对MIB-2中的对象支持执行下列操作：

　　。 Get：管理站用于检索管理信息库中标量对象的值。

　　。 Set：管理站用于设置管理信息库中标量对象的值。

　　。 Trap：代理用于向管理站报告管理对象的状态变化。

　　2.SNMP PDU格式

　　RFC1157给出了SNMPv1协议的定义，这个定义是用ASN.1表示的，在SNMP管理中，管理站和代理之间交换的管理信息构成了SNMP报文。报文由3部分组成，即版本号、团体名和协议数据单元(PDU)。报文头中的版本号是指SNMP的版本，RFC1157为第一版。团体名用于身份认证，我们将在下一节介绍SNMP的安全机制时谈到团体名的作用。SNMP共有5种管理操作，但只有4种PDU格式。管理站发出的3种请求报文GetRequest、 GetNextRequest和SetRequest采用的格式是一样的，代理的应答报文格式只有一种：GetResponsePDU，从而减少了PDU的种类。

　　3.报文应答序列

　　SNMP报文在管理站和代理之间传送，包含GetRequest、GetNextRequest和SetRequest的报文由管理站发出，代理以GetRequest响应。Trap报文由代理发给管理站，不需要应答。一般来说，管理站可连续发出多个请求报文，然后等待代理返回的应答报文。如果在规定的时间内收到应答，则按照请求标识进行配对，亦即应答报文必须与请求报文有相同的请求标识。

　　4.报文发送和接收

　　当一个 SNMP协议实体(PE)发送报文执行下面的过程：首先是按照ASN.1的格式构造PDU，交给认证进程。认证进程检查源和目标之间是否可以通信，如果通过这个检查则把有关信息(版本号、团体名、PDU)组装成报文。最后经过BER编码，交传输实体发送出去。

　　当一个 SNMP协议实体(PE)接收到报文时执行的过程：首先是按照BER编码恢复ASN.1报文，然后对报文进行语法分析、验证版本号和认证信息等。如果通过分析和验证，则分离出协议数据单元，并进行语法分析，必要、时经过适当处理后返回应答报文。在认证检验失败时可以生成一个陷入报文，向发送站报告通信异常情况。无论何种检验失败，都丢弃报文。

　　SNMP操作访问对象实例，而且只能访问对象标识符树的叶子结点。然而为了减少通信负载，我们希望一次检索多个管理对象，把多个变量的值装入一个PDU.这时要用到变量绑定表。RFC1157建议在Get和GetNext协议数据单元中发送实体把变量置为ASN.1的NULL值，接收实体处理时忽略它，在返回的应答协议数据单元中设置为变量的实际值。

　　(二)SNMPv1的安全机制

　　1.团体的概念

　　SNMP网络管理是一种分布式应用。这种应用的特点是管理站和被管理站之间的关系可以是一对多关系，即一个管理站可以管理多个代理，从而管理多个被管理设备。另一方面，管理站和代理之间还可能存在多对一的关系。代理控制自己的管理信息库，也控制多哥管理站对管理信息库的访问，例如，只有授权的管理站才允许访问管理信息库，或者限制不同的管理站可以访问管理信息库的不同部分。另外，委托代理也可能按照预定的访问策略控制对其代理的设备的访问。RFC1157为此提供的认证和控制机制就是这种最初等最基本的团体名验证功能。

　　2.简单的认证服务

　　一般来说，认证服务的目的是保证通信是经过授权的。具体到 SNMP环境中，认证服务主要是保证接收的报文来自它所声称的源。RFC1157提供的只是最简单的认证方案：从管理站发送到代理的报文(Get，Set等)都有一个团体名，就像是口令字一样。通过团体名验证的报文才是最有效的。

　　3.访问策略

　　前面说过，代理系统可以通过设置团体选择访问 MIB的管理站，或者通过定义管理对象的访问模式限制管理站对MIB的访问。这样，所谓的访问控制就有两方面的含义：

　　。 MIB视阈：MIB中对象一个子集，对不同的团体可以定义不同的视阈(View)。属于同一视阈的对象不必属于同一子树。

　　。访问模式：集合 {read-only，read-write}的一个元素。对于一个团体可以定义一种访问模式。

　　4.委托代理服务

　　团体形象的概念同样适用于委托代理服务。通常，委托代理是代表不支持 SNMP的设备工作的。但是在有些情况下，被代理的设备也可能支持TCP/IP和SNMP，而委托代理的作用是减少被代理的设备与管理站之间的交互过程。对于被代理的设备，委托代理定义并且维护一种SNMP访问策略。委托代理知道那些MIB对象代表被管理的设备，也知道这些设备的访问模式。

　　(三)SNMPv1操作

　　1.检索简单对象

　　检索简单的标量对象值可以用 Get操作，如果变量绑定表中包含多个标量，一次还可以检索多个标量对象的值。接收GetRequest的SNMP实体以请求标识相同的GetRequest响应。特别要注意的识GetRequest操作的原子性：如果所有请求的对象值可以得到，则给予应答;反之，只要有一个对象的值得不到，则可能返回下列错误条件之一：

　　。变量绑定表中得一个对象无法与 MIB中的任何对象标识符匹配，或者要检索得对象是一个数据块(子树或表)，没有对象实例生成。在这些情况下，响应实体返回得GetRequestPDU中错误状态字段置为noSuch Name，错误索引设置为一个数，指明有问题变量。变量绑定表中不返回任何值。

　　。响应实体可以提供所有要检索的值，但是变量太多，一个响应 PDU装不下，这往往是由下曾协议数据单元大小限制的。这时响应实体返回一个应答PDU，错误状态字段置为tooBig。

　　。由于其他原因(例如代理不支持)响应实体至少不能提供一个对象的值，则返回的 PDU中错误字段置为genError，错误索引置一个数，指明有问题的变量。变量绑定表中不返回任何值。

　　2.检索未知对象

　　Get Next命令检索变量名指示下一个对象实例，但是并不要求变量名是对象标识符，或者是实例标识符。

　　3.检索表对象

　　GetNext可用于有效地搜索表对象。

　　4.表的更新和删除

　　Set 命令用于设置或更新变量的值。它的 PDU 格式与 Get 是相同的，但是在变量绑定表中必须包含要设置的变量名和变量值。对于 Set 命令的应答也是 GetResponse ，同样是原子性的。如果所有的变量都可以设置，则更新所有变量的值，并在应答 GetResponse 中确认变量的新值;如果至少有一个变量的值不能设置，则所有变量的值都保持不变，并在错误状态中指明出错的原因。 Set 出错的原因与 Get 是类似的( tooBig，noSuchName 和 genError )，然后若有一个变量的名字和要设置的值在类型、长度或实际方面不匹配，则返回错误条件 badValue .

　　5. 陷入操作

　　陷入是由代理向管理站发出的异步事件报告，不需要应答报文。 SNMP规定了6种陷入条件：

　　。 coldStart 发送实体重新初始化，代理的配置已改变，能常是由系统失效引起的。

　　。 warmStart 发送实体重新初始化，但代理的配置没有改变，这是正常的重启动过程。

　　。 linkDown 链路失效通知，变量绑定表的第一项指明对应接口表的索引变量及其变值。

　　。 linkUp 链路启动通知，变量绑定表的第一项指明对应接口表的索引变量及其值。

　　。 authenticationFailure 发送实体收到一个没有通过认证的报文。

　　。 egpNeighborLoss 相邻的外部路由器失效或关机。

　　。 enterpriseSpecific 由设备制造商定义的陷入条件，在特殊陷入(specifc-trap)字段指明具体的陷入类型。

　　(四)SNMP功能组

　　SNMP组包含的西关系到SNMP协议的实现和操作。这一组共有30个对象，在只支持SNMP站管理功能或只支持SNMP代理功能的实现中，有些对象是没有值的。除了最后一个对象，这一组的其他对象都是只读的计数器。对象snmpEnableAutheuTrap可以由管理站设置，它指示是否允许代理产生“认证失效”陷入，这种设置优先于代理自己的配置。这样就提供了一种可以排除所有认证失效陷入的手段。

　　(五)实现问题

　　1.网络管理站的功能

　　。支持扩展的 MIB：强有力的SNMP对管理信息库的支持必须是开放的。特别对于管理站来说，应该能够装入其他制造商定义的扩展MIB.

　　。图形用户接口：好的用户接口可以使网络管理工作更容易更有效。通常要求具有图形用户接口，而且对网络管理的不同部分有不同的窗口。例如能够显示网络拓扑接口、显示设备的地理位置和状态信息，可以计算并显示通信统计数据图表，具有各种辅助计算工具等。

　　。自动发现机制：要求管理站能够自动发现代理系统，能够自动建立图标并绘制出连接图形。

　　。可编程的事件：支持用户定义事件，以及出现这些事件时执行的动作。例如路由器失效时应闪动图标或改变图标的颜色，显示错误状态信息，向管理员发送电子邮件，并启动故障检测程序等。

　　。高级网络控制功能：例如配置管理站使其可以自动地关闭有问题的集线器、自动地分离出活动过度频繁地网段等。这样地功能要使用 set操作。由于SNMP欠缺安全性，很多产品不支持set操作，所以这种要求很难满足。

　　。面向对象地管理模型： SNMP其实不是面向对象的系统。但很多产品是面向对象的系统，也能支持SNMP.

　　。用户定义的图标：方便用户为自己的网络设备定义有表现力的图标。

　　2.轮询频率

　　我们需要一种能提高网络管理性能的轮询策略，以决定合适的轮询频率。通常轮询频率与网络的规模和代理的多少有关。而网络管理性能还取决于管理站的处理速度、子网数据速率、网络拥挤程度等众多的其他因素，所以很难给出准确的判断规则。为了使问题简化，我们假定管理站以次只能与一个代理作用，轮询只是采用 get请求/响应这种简单形式，而且管理站全部时间都用来轮询，于是我们有下面的不等式：

　　3.SNMPv1的局限性

　　用户利用 SNMP进行网络管理时一定要清楚SNMPv1本身的局限性：

　　。由于轮询的性能限制， SNMP不适合管理很大的网络。轮询产生的大量管理信息传送可能引起网络响应时间的增加。

　　。 SNMP不适合检索大量的数据，例如检索整个表中的数据。

　　。 SNMP的陷入报文时没有应答的，管理站是否收到陷入报文，代理不得而知。这样可能丢掉很重要得管理信息。

　　。 SNMP只提供简单的团体名认证，这样的安全措施时很不够的。

　　。 SNMP并不直接支持向被管理设备发送命令。

　　。 SNMP的管理信息库MIB-2支持的管理对象是有限的，不足以完成复杂的管理功能。

　　。 SNMP不支持管理站之间的通信，而这一点在分布式网络管理中是很需要的。

　　以上局限性有很多在 SNMP的第2版都有所改进。

　　第四章 远程网络监视RMON

　　考试要求

　　1.RMON的基本概念，要求达到领会层次

　　远程网络监视的目标

　　表管理操作(行增加、行删除和行修改)

　　多管理站访问中出现的问题及其解决办法

　　2.RMON管理信息库，要求达到简单应用层次

　　与以太网统计信息收集有关的功能组

　　与令牌环网配置和统计信息收集有关的功能组

　　警报对象的作用，警报方式的工作原理，以及有关的功能组

　　过滤测试的逻辑规则和通道的定义与操作

　　包扑获方式和事件记录的工作原理

　　3.RMON2管理信息库，要求达到简单应用层次RMON2 MIB的组成

　　RMON2增加的新功能

　　RMON2 MIB在网络上层(网络层和应用层)管理中的作用

　　知识重点

　　(一)RMON的基本概念

　　1.远程网络监视的目标

　　离线操作：必要时管理站可以停止对监控器轮询，有限的轮询可以节省网络带宽和通信费用。即使不受管理站查询，监视器也要持续不断地收集子网故障、性能和配置方面地信息。统计和积累数据，以便管理站查询时即使提供管理信息。另外，在网络出现异常情况监视器要及时报告管理站。

　　主动监视：如果监视器有足够地资源，通信负载也容许，监视器可以连续地或周期地运行诊断程序，获得并记录网络性能参数。在子网出现失效时通知管理站，给管理站提供有用地诊断故障信息。

　　问题检测和报告：如果主动监视消耗网络资源大多，监视器也可以被动地获取网络数据。可以配置监视器，使其连续观察网络资源的消耗情况，记录随时出现的异常条件(例如网络拥挤)，并在出现错误条件时通知管理站。

　　提供增值数据：监视器可以分析收集到的子网数据，从而减轻了管理站的计算任务。例如监视器可以分析子网的通信情况，计算出哪些主机通信最多，哪些主机出错最多等等。这些数据的收集和计算由监视器来做，比由远处的管理站来做更有效。

　　多管理站操作：一个互联网可能有多个管理站，这样可以提高可靠性，或者分布地实现各种不同的管理功能。监视器可以配置得能够并发地工作，为不同的管理站提供不同的信息。不是每一个监视器都能实现所有这些目标，但是 RMON规范提供了实现这些目标的基础结构。

　　2.表管理原理

　　在 SNMPv1管理框架中，对表操作的规定是很不完善的，至少增加和删除表行的操作是不明确的。这种模糊性常常是读者提问的焦点和用户抱怨的根源。RMON规范包含一组文字约定和过程话规则，在不修改、不违反SNMP管理框架下的前提下提供了明晰而规律的行增加和行删除操作。

　　3.多管理站访问

　　RMON监视器应允话多个管理站并发地访问，当多个管理站访问时可以出现问题：

　　。多个管理站对资源的并发访问可能超过监视器的能力。

　　。一个管理站可能长时间站用监视器资源，使得其他站得不到访问。

　　。占用监视器资源得管理站可能崩溃，然而没有释放资源。

　　RMON控制表中的列对象Owner规定了表行的所属关系，所属关系有以下用法，可以解决多个管理占并发地访问的问题：

　　。管理站能认得自己所属的资源，也知道自己不再需要的资源。

　　。网络操作员可以知道管理站占有的资源，并决定是否释放这些资源。

　　。一个被授权的网络操作员可以单方面地决定是否其他操作员保有地资源。

　　。如果管理站经过了重启动过程，它应该首先释放不再使用的资源。

　　RMON规范建议，所属标志应包括IP地址，管理站名，网络管理员的名字、地点和电话号码等。所属标志不能作为口令或访问控制机制使用。在SNMP管理框架中唯一的访问控制机制是SNMP视阈和团体名。如果一个可读/写的RMON控制表出现在某些管理站的视阈中，则这些管理站都可以进行读/写访问。但是控制表行只能由其所有者改变或删除，其他管理站只能进行读访问。这些限制的实施已超出了SNMP和RMON的范围。

　　为了提供共享的功能，监视器通常配置一定的默认功能。定义这些功能的控制行的所有者是监视器，所属标志的字符串以监视器名打头，管理站只能以读方式利用这些功能。

　　(二)RMON的管理信息库

　　RMON 规范定义了管理站信息库 RMON MIB ，它是 MIB-2 下面的 16 个子树。 RMON MIB 分为 10 组，存储在每一组中的信息都是监视器从一个或几个子网中统计和收集数据。这 10 个功能组都是任选的，但实现时有下列联带关系：

　　。实现警报组时必须实现事件组。

　　。实现最高N台主机组时必须实现主机组。

　　。实现扑获组时必须实现过滤组。

　　(三)RMON2管理信息库

　　1.RMON2 MIB的组成

　　RMON2监视OSI/RM第3到第7曾的通信，恩能够对数据链路层以上的分组进行译码。这使得监视器可以管理网络层协议，包括IP协议。因而能了解分组的源和目标地址，能知道路由器负载的来源，使得监视的范围扩大到局域网之外。监视器也能监视应用层协议，例如电子邮件协议、文件传输协议、HTTP协议等，这样监视器就可以记录主机应用活动的数据，可以显示各种应用活动的图表。这些对网络管理人员都是很重要的信息。另外，在网络管理标准中，通常把网络层之上的协议都叫做应用层协议，以后提到的应用层包含OSI的5，6，7层。

　　2.RMON2增加的功能

　　RMON2引入了两种与对象索引有关的新功能，增加了RMON2的能力和灵活性。

　　3.检索表对象

　　RMON2新功能的应用，主要是网络协议的表示方法，用户历史的定义方法和监视器的标准配置方法等。

　　第五章简单网络管理协议 SNMPv2

　　考试要求

　　1.SNMP的演变，要求达到识记层次

　　SNMP的演变过程

　　2.网络安全问题，要求达到领会层次

　　计算机网络的安全威胁

　　网络管理中的安全问题

　　网络中的安全机制：数据加密技术、数据完整性和数据源认证技术

　　3.管理信息结构，要求达到领会层次

　　对象的定义

　　表的定义、索引和操作

　　通告的定义和作用

　　4.管理信息库，要求达到简单应用层次

　　System组增加的新对象

　　SNMP组对象与SNMPv2操作的关系

　　MIB对象组的作用

　　一致性声明的主要内容

　　接口组增加的对象及应用

　　5.SNMPv2的操作，要求达到简单应用层次

　　SNMPv2的报文结构和交换序列

　　SNMPv2协议数据单元的功能和操作

　　SNMPv2管理站之间的通信机制

　　6.SNMPv2的实现，要求达到领会层次

　　可利用的种种传输服务

　　SNMPv2与OSI的兼容性

　　在 TCP/IP网络中实现OSI系统管理功能的方法

　　SNMP的局限性

　　知识重点

　　(一) SNMP的演变

　　1.SNMP的发展

　　当初提出 SNMP 的目的识作为弥补网络管理协议发展阶段之间空缺的一种临时性措施。 SNMP 出现后显示了许多优点。最主要的优点是：简单、容易实现，而且是基于人们熟悉的 SGMP ( Simple Gateway Monitoring Protocol )协议，已有相当多的操作经验。在 1998 年，为了适应当时紧迫的网络管理需要，确定了网络管理标准开发的双轨制策略。

　　?SNMP可以满足当前的网络管理需要，用语管理配置简单的网络，并且在将来以平稳地过度到新地网络管理标准。

　　?OSI网络管理(即CMOT)作为长期地解决办法，可以应付未来更复杂地网络的配置，提供更全面的管理功能。但是需要较长的开发过程，以及开发商和用户接受的过程。

　　为了修补SNMP的安全缺陷，1992年7月出现了一个新标准――安全SNMP(S-SNMP)，这个协议增强了安全方面的功能：

　　。用报文摘要算法 MD5保证数据完整性和进行数据源认证。

　　。用时间戳对报文排序。

　　。用 DES算法提供数据加密功能。

　　但是，S-SNMP没有改进SNMP在功能和效率方面的其他缺点。几乎与此同时，有任又提出了另外一个协议SMP(Simple Management Protocol)，这个协议由8个文件组成(非RFC)，它对SNMP的扩充表现在下列方面：

　　。适用范围： SMP可以管理任意资源，不仅是网络资源，还可用于应用管理，系统管理。可实现管理站之间的通信，也提供了更明确更灵活的描述框架，可以描述一致性要求和实现能力。在SMP中管理信息的扩展性得到了增强。

　　。复杂程度、速度和效率：保持了 SNMP的简单性，更容易实现，并提供了数据块传送能力，因而速度和效率更高。

　　。安全设施：结合了 S-SNMP提供的安全功能。

　　。兼容性：可以运行在 TCP/IP网络上，也适合OSI系统和运行其他通信协议的网络。

　　在对 S-SNMP和SMP讨论的过程中，Internet研究人员达成了如下的共识：必须扩展SNMP的功能，并增强其安全设施，使用户和制造商尽快地从原来的SNMP过渡到第二代SNMP，于是S-SNMP被放弃，决定以SMP为基础开发SNMP第二版，即SNMPv2.IETF组织了两个工作组。一个负责协议功能和管理信息库的扩展，另一个负责SNMP的安全方面，1992年10月正式开始工作。这两个组的工作进展非常之快，功能组的工作在1992年12月完成，安全组在1993年完成。后来又经过几年的实验和论证，新的RFC文件集合在1996年完成。然而就在新的RFC文件发布时有人发现安全方面存在重要缺陷，而改进安全设施的工作又迟迟没有进展。后来决定丢掉安全功能，把增加的其他功能作为新标准颁布，并保留了SNMPv1的报文封装格式，因而叫做基于团体名的SNMP(Community-base SNMP)，简称SNMPv2C.

　　(二)网络安全问题

　　1.计算机网络的安全威胁

　　为了理解对计算机网络的安全威胁，我们首先定义安全需求。计算机和网络需要以下 3 方面的安全性：

　　。保密性( secrecy)：计算机中的信息只能由授予访问权限的用户读取(包括显示、打印等，也包含暴露信息存在的事实)。

　　。数据完整性( integrity)：计算机系统中的信息资源只能被授予权限的用户修改。

　　。可利用性( availability)：具有访问权限的用户在需要时可以利用计算机系统中的信息资源。

　　2.网络管理中的安全问题

　　由于网络管理时分布在网络商的应用程序和数据库的集合，各种安全威胁都可能影响网络管理系统，造成管理系统失效或发出了错误的管理指令，破坏了计算机网络的正常运行。对于网络管理特别有 3 个安全方面的威胁值得提出：

　　。伪装的用户：没有得到授权的一般用户企图访问网络管理应用和管理信息。

　　。假冒的管理程序：无关的计算机系统可能伪装成网络管理站实施管理功能。

　　。侵入管理站和代理之间的信息交换过程：网络入侵者通过观察网络活动窃取了敏感的管理信息，更严重的危害时可能篡改管理信息，或中断管理站和代理之间的通信。

　　系统或网络的安全设施由一系列安全服务和安全机制的集合组成。

　　3. 安全机制

　　数据加密时防止未经授权的用户访问敏感信息的手段，这就是人们通常理解的安全措施，也是其他安全方法的基础。研究数据加密的科学叫做密码学( Cryptography )，它又分为设计密码体制的密码编码学和破译密码的密码分析学。密码学有着悠久而光辉的历史，古代的军事家已经用密码传递军事情报了，而现代计算机的应用和计算机科学的发展又为这一古老的科学注入了新的活力。现代密码学是经典密码学的进一步发展和完善。由于加密和解密此消彼长的斗争永远不会停止，这门科学还在迅速发展之中。

　　认证――防止主动攻击的方法

　　认证又分为实体认证和消息认证两种。实体认证是识别通信双方的身份，防止假冒，可以使用数字签名的方法。消息认证是验证消息在传递或存储过程中没有被篡改，通常使用消息摘要的方法。

　　数字签名――防止否认的方法

　　与人们手写签名作用一样，数字签名系统向通信双方提供服务，使得 A 向 B 发送签名的消息 P ，以便

　　I. B 可以验证消息 P 确实来源于 A

　　II. A 以后步能否认发送过

　　III. B 不能编造或改变消息 P

　　(三)管理信息结构

　　SNMPv2 的管理信息结构是在总结 SNMP 应用经验的基础上对 SNMPv1 SMI 进行了扩充，提供了更精致更严格的规范，规定了新的管理对象和 MIB 的文档，可以说是 SNMPv1 SMI 的超集。 SNMPv2 SMI 引入了 4 个关键的概念。

　　。对象的定义

　　。概念表

　　。通知的定义

　　。信息模块

　　(四)管理信息库

　　SNMPv2 MIB 扩展和细化了 MIB-2 中定义的管理对象，又增加了新的管理对象。

　　I.系统组

　　II.SNMP 组

　　III.MIB 组

　　IV.适合性声明

　　V.接口组

　　(五)SNMPv2协议和操作

　　SNMPv2提供了3种访问管理信息的方法：

　　。管理站和代理之间的请求 /响应通信，这种方法与SNMPv1是一样的。

　　。管理站和管理站之间的请求 /响应通信，这种方法是SNMPv2特有的，可以由一个管理站把有关管理信息告诉另外一个管理站。

　　。代理系统到管理站的非确认通讯，即由代理向管理站发送陷入报文，报告出现的异常情况。 SNMPv2中也有对应的通信方式。

　　(六)SNMPv2的实现

　　1.传输层映像

　　SNMP是应用层协议，通过传输层服务访问通信网络。SNMPv2规范定义了可以使用5种传输层服务，这5种传输层映射是：

　　。 UDP：用户数据报协议;

　　。 CLNS：OSI无连接的传输服务;

　　。 CONS：OSI面向连接的传输服务;

　　。 DDP：AppleTalk的DDP传输服务;

　　。 IPX：Novell公司的网间分组交换协议。

　　2.与 OSI的兼容性

　　为发使 SNMPv2能与OSI系统互操作，可以使用RFC1006在TCP/IP网络之上的模拟ISO的TPO传输服务，通过RFC1006，OSI的电子邮件、系统管理等应用程序都可以通过运行在TCP/IP失望落上。RFC1006提供的TPO使最简单的面向连接的传输协议，只提供连接的佳丽和释放等基本操作，不支持错误检测，也不支持传输服务Qos.RFC1006对TPO也有所增强，主要是在连接建立阶段可以交换少量数据，支持加急投送服务，支持特长协议数据单元(默认为65531)等。

　　3.TCP/IP网络的系统管理

　　SNMP 的管理信息库 MIB 主要是根据协议分组的，并没有按照 OSI 的系统挂零你功能域分类。虽然实现 SNMP 协议的网络管理产品都有自己的使用方法，但是在应用管理对象功能方面并没有统一的分类标准。

　　MIB 对象驻在各种代理系统中，这些对象中的数据应报告给有关信息的系统管理功能实体，同时协议或设备专用的管理信息也应该归属于相应的系统管理功能域。如何合理地分布各种管理对象，以有利于系统管理功能的实现，是设计网络管理应用时值得认真决策的重要问题。

　　一般来说，不是每个代理都要实现所有的 MIB 对象，但是各种联网设备中的代理程序应该提出这种设备需要的管理对象，例如路由器专用的管理信息库。委托代理是一种十分灵活的管理机制，如果可能，以委托代理实现专用网络设备的管理信息收集和系统管理功能应该是最好的选择。

　　第六章 Windows 和 NMP

　　考试要求

　　1.Windows SNMP服务的基本概念，要求达到识记层次

　　SNMP代理服务和SNMP陷入服务的概念

　　SNMP服务的安装、配置和测试方法

　　2.SNMP应用程序接口，要求达到领会层次

　　扩展API的概念

　　管理API的概念题

　　实用程序API的概念

　　服务 API的概念

　　3.扩展代理的实现，要求达到综合应用层次

　　建立扩展代理动态链接库的方法

　　安装、启动、测试扩展代理的方法

　　MIB数据库的实现方法

　　4.陷入的实现，要求达到领会层次

　　陷入的设计方法

　　由扩展代理支持陷入的方法

　　陷入的触发条件

　　5.SNMP管理应用程序接口，要求达到综合应用层次

　　Microsoft MIB编译器的作用

　　管理API头文件的内容和作用

　　管理API的功能

　　6.网络管理应用程序设计，要求达到综合应用层次

　　管理应用程序的类型

　　Windows环境下管理应用程序的实现方法

　　知识重点

　　(一) Windows SNMP服务的基本概念

　　Windows NT支持SNMPv1管理站和代理功能，包括发送和接收陷入的能力。SNMP服务完全集成在Windows NT系统中，是发行的NT软件包的一部分。在安装Windows NT时，可以有选择地安装SNMP服务，尖劈成需要得新年搞活司。Windows95只支持SNMP代理功能，不支持管理站功能。显然Microsoft把Windows95看作时被管理的系统，它不能管理别的系统。

　　所谓服务实际上是一种特殊的 Win32应用软件，它通过Win32 API与Windows NT服务控制管理器(SCM)接口，一般在后台运行。它的作用是监视硬件设备和其他系统进程，提供访问外围设备和操作系统辅助功能的能力。系统服务在系统启动时或用户登录时自动开始运行，当用户退出或系统关机时停止运行。SNMP服务就是一种Win32应用软件。

　　Windows NT的SNMP的服务包括两各应用程序。一个是SNMP代哦服务程序snmp.exe，另一个是SNMP陷入服务程序SNMPTRAP.EXE.snmp.exe接收SNMP请求报文，根据要求发送响应报文，能对SNMP报文进行语法分析，ASN.1和BER编码/译码，也能发送陷入报文，并处理WinSock API的接口。Windows95也含有这个文件;SNMPTRAP.EXE监听发送给NT主机的陷入报文，然后把其中的数据传送给SNMP管理API.Windows95没有陷入服务文件。

　　Windows NT的SNMP代理服务是可扩展的，即允许动态地加入或减少MIB信息。这意味着程序员不必修改和重新编译代理程序，只需加入或删除一个能处理指定信息的子代理就可以了。Microsoft把着子代理叫做扩展代理，它处理私有的MIB对象和特定陷入条件。当SNMP代理服务接收到一个请求报文时，它就把变量绑定表的有关内容送给对应的扩展代理。扩展代理根据SNMP的规则对其私有的变量进行处理，形成响应信息。编写扩展代理程序是开发网络管理系统的程序员的责任，程序员可根据需要随时增加或删除系统中的扩展代理程序。

　　SNMP API是Microsoft为SNMP协议开发的应用程序接口，是一组用于构造SNMP服务、扩展代理和SNMP管理系统的库函数。SNMP报文通过UDP/IP服务经WinSock API传送到SNMP代理(SNMP.EXE)。SNMP代理对报文译码，并进行认证检查，这个过程是通过与SNMP API(SNMP.DLL)交互作用完成的。然后把变量绑定表的内容传送给有关的扩展代理，经扩展代理处理形成响应信息后又送回SNMP代理，再由SNMP代理装配成GetResponse报文，交给WinSock API送回发出请求的管理站。如果请求的MIB信息没有得到任何扩展代理的支持，则返回noSnchName错误。

　　陷入服务监视从 WinSock API传来的陷入报文，然后把陷入数据通过命令的管理传送给SNMP的管理API(MGNTAPI.DLL)。管理API是Microsoft为开发SNMP管理应用提供的动态链接库，是SNMP API的一部分。管理应用程序从管理API接收数据，向管理API发送管理信息，并通过管理API与WinSock通信，实现网络管理功能。

　　2.SNMP服务的安装、配置和测试

　　安装 SNMP服务像安装其他的Windows NT网络服务一样，唯一的差别是必须先安装TCP/IP32协议栈。如果已经安装并开始运行了TCP/IP协议，那么就可以安装SNMP服务了。Microsoft的其他网络产品也支持SNMP，其中的MIB模块也可以安装再Windows NT中。

　　在 Windows NT4.0中安装SNMP服务的过程如下：

　　。登录到具有管理特权的帐户上;

　　。双击控制面板的网络图标;

　　。点击服务条;

　　。点击添加按纽;

　　。点击网络服务列表中的 SNMP服务选项;

　　。点击确定按纽。

　　SNMP服务安装后就会出现一个属性窗口，也可以从控制面板进入SNMP属性窗口。SNMP服务使用的主要信息都出现在这个窗口中，可以进行修改，配置成需要的形式。配置信息存储在Windows注册表中，改变属性窗口的内容就是改变了注册表中的注册键。属性窗口中有3各按键，其中的代理键包含变量sysContact(联系人)、sysLocation(位置)和sysServices(服务)的值，可以由用户设置和修改。陷入键可以设置最多5个网络地址(IP或IPA)或DNS主机名，这些是陷入报文的目标地址，陷入博爱文中的团体名也在这个键下置这个键下的团体名，则任何团体名都是有效的。如果要使代理只接受某些特殊的管理主机发来的陷入，则可以在这个键下输入这些主机的名字或网络地址。设置完成后点击确定按纽退出控制面板，新的配置就起作用了。

　　在 Windows95中安装SNMP服务比较复杂。在Windows95安装光盘的目录下、ADMIN\NETOOLS\SNMP下面有一个自解压文件SNMPZP.EXE.执行这个文件，可以产生以下解压后的文件：

　　。 INETMIB1.DLL：SNMP代理文件

　　。 SNMP.EXE：SNMP的安装信息文件

　　。 SNMP.TXT

　　。 README.TXT

　　。 LICENSE.TXT

　　安装过程如下：

　　⑴进入控制面板;

　　⑵选择网络图标;

　　⑶选择配置;

　　⑷选择添加;

　　⑸选择网络组件，服务;

　　⑹选择从磁盘安装，找到文件 snmp.inf，进行安装;

　　⑺安装结束后重新启动计算机。

　　安装完成后 SNMP.EXE出现在Windows根目录下;SNMP.INF在Windows\INF目录下;INETMIB1.DLL在Windows\SYSTEM，如果此目录下没有INETMIB1.DLL，可把该文件拷贝到这个目录下。当Windows95启动时SNMP服务自动开始工作，Windows95停止时SNMP也停止了。还可以用DOS命令“snmp”和“snmp close”启动和停止SNMP服务。

　　在 Windows95中，SNMP服务的配置要通过系统策略编辑器进行设置，或者直接修改注册表。

　　(二)SNMP应用程序接口

　　SNMP的应用程序接口SNMP API由4部分组成，即扩展API、管理API、实用程序API和服务API.编写扩展代理和SNMP管理应用程序都要使用这些库函数。

　　1.扩展API的概念

　　扩展 API是4个函数的集合，SNMP服务和扩展代理DLL使用这些函数交换数据。这些函数的原型出现在头文件SNMP.H中，函数的代码用在每一个扩展代理中。

　　2. 管理API

　　管理API(MGMTAPI.DLL)由7个函数组成，管理应用程序调出这些函数发送请求，接收响应和陷入。

　　3.实用程序 API

　　实用程序 API共包含14个函数，分为存储器分配和数据管理两组。函数原型在SNMP.H中，函数代码在SNMP.DLL和SNMP和SNMPAPI.LIB中。

　　4.服务 API

　　服务 API(ASNMPAPI.DLL)包含19个函数，这些函数用在SNMP.EXE中，但是Mircosoft在推出Windows NT5时才会正式公布这些函数的原型。

　　(三)扩展代理的实现

　　扩展 API的4个函数用在扩展代理中。其中3个函数SnmpExtensionInit，SnmpExtensionQuery和SnmpExtension Trap应该出现在每一个扩展代理中，另外一个函数SnmpExtensionInitEx是任选的，根据扩展代理的需要而定。每个扩展代理都是使用这些函数与SNMP服务通信，一般不需要其他可执行的线程。

　　(四)陷入的实现

　　1. 陷入的设计

　　陷入的设计关系到两个决策问题：一个是要决定哪些事件可以引起陷入;另一个是陷入报文中应该包含哪些数据。如果陷入是基于已有的 MIB，则可陷入的事件(或变量)就已经确定了，甚至已写在规范文件中了。但是对于企业专用的MIB，则要根据企业的标准或者设备的特点决定哪些事件可以引起陷入。陷入一般要分为不同的优先级别，这样可以使管理系统能够区分通知性的陷入和灾害性的陷入。例如，电源掉电引起的陷入应该比系统启动引起的陷入更优先。代理对不同优先级的陷入可能要发送给不同的管理瞻，或者统一由一个管理系统区别处理。一般来说，对于通知性和警告性的陷入，管理系统只是把有关信息写入事件记录;对于严重的或灾害性的陷入，管理站要立即发出报警信号，例如控制台闪亮警告灯、发出声响、打印出事故报告等。

　　2. 扩展代理支持的陷入

　　用扩展代理实现陷入关系到两个函数 SnmpExtensionInit 和 SnmpExtensionTrap 。

　　3.陷入的检测

　　陷入机制的设计还与两个问题有关：一个是用什么检测陷入;另一个是怎样检测陷入。

　　(五)SNMP管理应用程序接口

　　Microsoft的管理应用程序借口MGMTAPI.DLL包含7个函数。

　　1.Microsoft MIB编译器

　　Microsoft的MIB编译器MIBCC.EXE是一个支持挂零你应用的附属工具，它的作用是把人工可读MIB模块转换程程序刻度的数据格式，产生的二进制文件MIB.BIN由管理应用程序使用。

　　2.管理 API头文件

　　管理 API 使用的常数和数据类型包含在头文件 MGMTAPI .H中。

　　3.管理 API 的功能

　　管理 API 用来管理应用程序，它由 7 个函数组成。

　　(六)网络管理应用程序设计

　　通用的管理应用程序通常叫做管理平台，它提供一组通用的网络管理功能，也提供实现专用管理程序的工具。例如 HP的Open View for Windows是SNMP网管平台，支持基本的管理功能：网络自动发现、拓扑映像生成、MIB编译器、陷入记录、管理轮询等。还提供开发API(OVAPI)，可以用C，C++，Visual Basic编写用户专用的管理程序(叫做Open View集成应用)

　　无论有什么管理平台，设计自己的网络管理应用程序时都要做好下列准备工作：

　　。确定被管理结点的网络地址( IP地址，IPX啊地址，DNS主机名);

　　。确定远程目标的端口号( UDP161，专用端口号大于1024);

　　。确定接收陷入的端口号( UDP162，专用端口号大于1024);

　　。 确定团体名(通常为 public，如果用两个团体名，则read-only团体名为public，read-write团体名为private);

　　。确定响应定时器等待时间间隔;

　　。确定重复请求次数;

　　。确定轮询时间间隔。

?2011年4月自学考试成绩查询时间及方式汇总

?2011年下半年各地自学考试报名汇总

更多信息请访问：自学考试频道    自学考试论坛    自学考试博客