最关心的SNMP协议的安全4篇

【序言】由阿拉题库最美丽的网友为您整理分享的“最关心的SNMP协议的安全4篇”范例文档，以供您学习参考之用，希望这篇文档资料对您有所帮助，喜欢就复制下载吧！

网管员必读―跟我学SNMP网络管理【第一篇】

随着网络的不断发展，规模增大，复杂性增加，简单的网络管理技术已不能适应网络迅速发展的要求。以往的网络管理系统往往是厂商在自己的网络系统中开发的专用系统，很难对其他厂商的网络系统、通信设备软件等进行管理，这种状况很不适应网络异构互联的发展趋势。20世纪80年代初期Internet的出现和发展使人们进一步意识到了这一点。研究开发者们迅速展开了对网络管理的研究，并提出了多种网络管理方案，包括HEMS、SGMP、CMIS／CMIP等。

IAB最初制订的关于Internet管理的发展策略，其初衷是采用跳MP作为暂时的Internet管理解决方案，并在适当的时候转向CMIS／CMIP。SGMP是在NYSERNET和SURANET上开发应用的网络管理工具，而CMIS/CMIP是20世纪80年代中期国际标准化组织(ISO)和CCITT联合制订的网络管理标准。同时，IAB还分别成立了相应的工作组，对这些方案进行适当的修改，使它们更适于Internet的管理。这些工作组随后相应推出了SNMP(Simple NetWork Management Protoc011988)和CMOT(CMIP／CMIS Over TCP／IPl989)等网络管理协议，下面进行简单介绍。

1．SNMP

简单网络管理协议(SNMP)的前身是1987年发布的简单网关监控协议(SGMP)。 SGMP给出了监控网关(OSI第三层路由器)的直接手段，SNMP则是在其基础上发展而来。最初，SNMP是作为一种可提供最小网络管理功能的临时方法开发的，它具有以下两个优点：

(1)与SNMP相关的管理信息结构(SMI)以及管理信息库(MIB)非常简单，从而能够迅速、简便地实现；

(2)SNMP是建立在SGMP基础上的，而对于SGMP，人们积累了大量的操作经验。

SNMP经历了两次版本升级，现在的最新版本是SNMPv3。在前两个版本中SNMP功能都得到了极大的增强，而在最新的版本中，SNMP在安全性方面有了很大的改善，SNMP缺乏安全性的弱点正逐渐得到克服。

2．CMIS／CMIP

公共管理信息服务／公共管理信息协议(CMIS／CMIP)是哦OSI提供的网络管理协议簇。CMIS定义了每个网络组成部分提供的网络管理服务，这些服务在本质上是很普通的，CMIP则是实现CMIS服务的协议。

OSI网络协议旨在为所有设备在ISO参考模型的每一层提供一个公共网络结构，而CMIS／CMIP正是这样一个用于所有网络设备的完整网络管理协议簇。

出于通用性的考虑，CMlS/CMIP的功能与结构跟别MP很不相同，SNMP是按照简单和易于实现的原则设计的，而CMIS／CMIP则能够提供支持一个完整网络管理方案所需的功能。

CMIS/CMIP的整体结构是建立在使用ISO网络参考模型的基础上的，网络管理应用进程使用ISO参考模型中的应用层。也在这层上，公共管理信息服务单元(CMISE)提供了应用程序使用CMIP协议的接口。同时该层还包括了两个ISO应用协议：联系控制服务元素(ACSE)和远程操作服务元素(RpSE)，其中ACSE在应用程序之间建立和关闭联系，而ROSE则处理应用之间的请求／响应交互。另外，值得注意的是OSI没有在应用层之下特别为网络管理定义协议。

3．CMOT

公共管理信息服务与协议(CMOT)是在TCP／IP协议簇上实现CMIS服务，这是一种过渡性的解决方案，直到OSI网络管理协议被广泛采用。

CMIS使用的应用协议并没有根据CMOT而修改，CMOT仍然依赖于CMISE、ACSE和ROSE协议，这和CMIS／CMIP是一样的。但是，CMOT并没有直接使用参考模型中表示层实现，而是要求在表示层中使用另外一个协议--轻量表示协议(LPP)，该协提供了目前最普通的两种传输层协议--TCP和UDP的接口。

CMOT的一个致命弱点在于它是一个过渡性的方案，而没有人会把注意力集中在一个短期方案上。相反，许多重要厂商都加入了SNMP潮流并在其中投入了大量资源。事实上，虽然存在CMOT的定义，但该协议已经很长时间没有得到任何发展了。

4．LMMP

局域网个人管理协议(LMMP)试图为LAN环境提供一个网络管理方案。LMMP以前被称为IEEE802逻辑链路控制上的公共管理信息服务与协议(CMOL)。由于该协议直接位于IEEE802逻辑链路层(LLC)上，它可以不依赖于任何特定的网络层协议进行网络传输。

由于不要求任何网络层协议，LMMP比CMIS/CMIP或CMOT都易于实现，然而没有网络层提供路由信息，LMMP信息不能跨越路由器，从而限制了它只能在局域网中发展。但是，跨越局域网传输局限的LMMP信息转换代理可能会克服这一问题。

网络产品代理协议【第二篇】

摘要：计算机 网络 的硬件设备，它们是承载计算机通信的实体，然而它们是怎样有序地完成计算机之间的通信任务的呢？ 计算机网络的硬件设备，它们是承载计算机通信的实体。然而它们是怎样有序地完成计算机之间的通信任务的呢？ 具体地说，共享计算机网络的资源

摘要：计算机网络的硬件设备，它们是承载计算机通信的实体。然而它们是怎样有序地完成计算机之间的通信任务的呢？

计算机网络的硬件设备，它们是承载计算机通信的实体。然而它们是怎样有序地完成计算机之间的通信任务的呢？

具体地说，共享计算机网络的资源，以及在网中交换信息，就需要实现不同系统中的实体的通信。实体包括用户应用程序、文件传送包、数据库管理系统、电子设备以及终端等，系统包括计算机、终端和各种设备等。一般说来，实体是能发送和接收信息的任何东西，而系统是物理上明显的物体，它包含一个或多个实体。两个实体要想成功地通信，它们必须具有相同的语言。交流什么，怎样交流及何时交流，都必须遵从有关实体间某种互相都能接受以一些规则，这些规则的集合称为协议，它可以定义为两实体间控制数据交换的规则的集合。

上面洋洋洒洒地一大通话，可能早已让读者晕头转向了。简单地说，所谓的协议，就象人与人交流的语言一样，它是计算机网络通信实体之间语言。不同的网络结构可能使用不同的网络协议；而同样的，不同的网络协议设计也就造就了不同的网络结构。下面将从计算机网络协议参考模型开始，逐一介绍局域网、广域网、Internet的计算机网络通信协议。

开放系统互连参考模型OSI

自从计算机网络面世以来，它不断地促进着社会的发展，而且人类对计算机网络的依赖与需求都愈演愈烈，所以许许多多的计算机厂商都建立了自己一套与众不同的网络协议体系，然后配套一系列相对应的计算机网络硬件设备来完成计算机的连网需求，而且它们之间并不能通用。这样造成了如果你选择了一个厂商的网络产品，就被捆绑在这个厂商上，不得不“从一而终”，这显然降低了整个网络系统的可扩展性，甚至妨碍了计算机网络的更一步发展。

为此，国际标准化组织（ISO、International Standard Organization）在1979年建立了一个专门的分委员会来研究和制定一种开放的、公开的、标准化了的网络结构模型，以期用它来实现计算机网络之间相互联接与沟通。

经过一段时间后，ISO组织提出了一套称为“开放系统互联参考模型”（OSI、Open System Interconnection）。它定义了一套用于连接异种计算机的标准框架。由于ISO组织的权威性，加上人们需要一个相互兼容、共同发展的，新的网络体系，所以OSI参考模型成为了各大厂商努力遵循的标准。到了今天，虽然网络协议并不是完全与它一致的，但却都是根据它来制定的，所以确保了它们的开放性和兼容性。从某种意义上说，OSI参考模型已成为了计算机网络协议的“金科玉律”。

OSI参考模型采用了分层的结构化技术，将功能逻辑上划分开来，以使整个结构具有较高的灵活性。OSI参考模型共七层：应用层（Application Layer）、表示层(Presentation Layer)、会话层(Session Layer)、传输层(Transport Layer)、网络层(Network Layer)、数据链路层(Data Link Layer)、物理层(Physical Layer)。

7. 应用层（Application）

6. 表示层（Presentation）

5. 会话层（Session）

4. 传输层（Transport）

3．网络层（Network）

2．数据链路层（Data Link）

1. 物理层（Physical）

表6-1 OSI七层结构

有一句英文短句可以帮助你来记住它们的顺序：All people seem need to data process.每个单词的最前一个字母与每一个层相对应。下面我们就逐层作一相对简单的介绍：

物理层

物理层，它通过一系列协议定义了通信设备的机械的、电气的、功能的、规程的特征。

机械特征：规定线缆与网络接口卡的连接头的形状、几何尺寸、引脚线数、引线排列方式、锁定装置等一系列外形特征；

电气特征：规定了在传输过程中多少伏特的电压代表“1”，多少伏特代表“0”；

功能特征：规定了连接双方每个连接线的作用：用于传输数据的数据线、用于传输控制信息的控制线、用于协调通信的定时线、用于接地的地线；

过程特征：具体规定了通信双方的通信步骤，

一句话，物理层的所有协议就是人为规定了不同种类传输设备、传输媒介如何将数字信号从一端传送到另一端，而不管传送的是什么数据。从这里我们可以判断出中继器和非交换技术的集线器是一种工作在物理层上的设备，因为它们都不关心它们传送的是什么设备，也不负责数据的正确到达目的地。

数据链路层

数据链路层，在物理层已能将信号发送到通信链路中的基础上，完成保证相邻结点之间有效地传送数据的任务。正在通信的两个站在某一特定时刻，一个发送数据，一个接收数据。数据链路层通过一系列协议将实现以下功能：

1） 封装成帧：把数据组成一定大小的数据块，我们称之为帧。然后以帧为单位发送、接收、校验数据；

2） 流量控制：对发送数据的一方，根据接收站的接收情况，实时地进行传输速率控制，以免出现发送数据过快，接收方来不及处理而丢失数据；

3） 差错控制：对接收数据的一方，当接收到数据帧后对其进行检验，如果发现错误，则通知发送方重传；

4） 传输管理√一米范文★√：在发送端与接收端通过某种特定形式的对话来建立、维护和终止一批数据的传输过程，以此对数据链路进行管理。

就发送端而言，数据链路层将来自上层的数据按一定规则就成比特流送到物理层处理；就接收端而言，它通过数据链路层将来自物理层的比特流合并成完整的数据帧供上层使用。

根据数据链路层的需要，必须唯一的标识出每个站点。现在最常用的方法是将网络接口卡（网卡）编上一个唯一的编号。习惯上，这个编号称为MAC地址。

实际上很大一部分的数据链路层的功能是由网卡来完成的，网卡工作在数据链路层，网桥需要将物理层的比特流合并成完整的数据帧，以得知其接收站点的地址，所以也是工作在数据链路层的一种网络设备。

网络层

网络层，用于从发送端向接收端传送分组。

也许读者会觉得不可思议，不是数据链路层已经保证了相邻节点之间无差错传送数据帧了吗？那么网络层到底有什么用呢？它存在的主要目的就是解决以下问题：

1） 通信双方并不相邻：在计算机网络中，通信双方可能是相互邻接的，但也可能并不是邻接的，这样当一个数据分组从发送端发送到接收端的过程中，就可能在这个中间要经过多个其它网络结点，这些结点暂时存储“路过”的数据分组，再根据网络的“交通状况”选择下一个结点将数据分组发出去，直到发送到接收方为止。

2） 正如前面所阐述的一样，由于OSI参考模型是出现在许多网络协议之后的，它就必须为使用这些已经存在的网络协议的计算机网络之间的相互通信作出贡献。事实上，网络层的一些协议解决了这样的异构网络的互联问题。

另外，上一章所提到的路由器、第三层交换机都是用于实现根据网络的“交通状况”

选择下一个站点将数据分组发出去的功能，所以它们都是网络层的设备。

传输层

传输层，实现发送端和接收端的端口到端口的数据分组传送。

传输层的出现是为了更加有效地利用网络层所提供的服务。它主要体现在以下两方面：

1) 将一个较长的数据分成几个小数据报发送：由于实际在网络上传递的每个数据帧都是有一定大小限制的。假设如果我们要传送一个字串“123456789”，它太长了，网络服务程序一次只能传送一个数字（当然在实际中不可能这么小，这里仅是为了方便讲解作的假设），因此，网络就需要将其分成9次来传递。就发送端而言当然是从1传到9的，但是由于每个数据分组传输的路径不会完全相同（因为它是要根据当时的网络“交通状况”而选择路径的嘛），先传送出去的包，不一定会先被收到，因此接收端所收到的数据的排列顺序是与发送的顺序不同的。而传输层的协议就给每一个数据组加入排列组合的记号，以便接收端能根据这些记号将它们“重组”成原来的顺序。

2) 解决通信双方不只有一个数据连接的问题：这个问题从字面上可能不容易理解，实际上就是指，比如我用电脑与另一台电脑连接拷贝数据是同时，又通过一些交谈程序进行对话。这个时候，拷贝的数据与对话的内容是同时到达的，传输的协议还负责将它们分开，分别传给相应的程序端口。这也就是端到端的通信。

会话层

相对于其它层来说，会话层比较简单，它主要的服务是管理对话控制。比如说，在传输的数据中加入检查点来使通信双方同步。

表示层

表示层以下的各层只关心从这里到那里可靠地传输数据，而表示层则关心的是所传送的信息的语义与语法。它负责将收到的数据转换为计算机内的表示方法或特定的程序的表示方法。也就说，它负责通信协议的转换、数据的翻译、数据的加密、字符的转换等工作。

应用层

应用层，就是直接提供服务给使用者的应用软件。比如电子邮件、在线交谈程序都属于应用层的范畴。

OSI参考模型工作模式

上面一大段的文字也许让大家都感到晕头转向了，让我们一起来整理一个思路。

图6-1 OSI参考模型工作模式

原文转自

网络协议与标准(上)网络知识【第三篇】

从历史上看，代理 服务器 有两种类型：一种是在线代理服务器，拦截通过这些代理服务器的通信；另一种需要经过设置的客户机运行这些代理服务器，如SOCKS代理，当然，每一种代理服务器都有自己的好处。设置客户机是很烦人和昂贵的，如果可能的话应该避免使用这种

从历史上看，代理服务器有两种类型：一种是在线代理服务器，拦截通过这些代理服务器的通信；另一种需要经过设置的客户机运行这些代理服务器，如SOCKS代理。当然，每一种代理服务器都有自己的好处。设置客户机是很烦人和昂贵的，如果可能的话应该避免使用这种代理服务器。设法直接在通信通道上得到代理服务器是很困难的，特别是在有多余的电路或者替代的路径的时候。但是，许多厂商现在开始支持一种相对比较新的协议。这种协议也许能够在这两种代理服务器领域提供最佳的性能。这个协议就是WCCP协议。有人把这个协议称作“Web缓存控制协议”，还有人把这个协议称作“Web缓存协调协议”。不管它代表什么意思，WCCP协议不是传统意义上的路由协议，它将在未来引导你的网络的通信，

因此，你应该迅速熟悉这个协议的工作情况和好处。

简单的说明是，这个协议能让一台路由器与你的缓存服务器对话。它们谈论的是这台路由器应该拦截什么类型的通信并且通过一个GRE隧道重新引导到缓存。WCCP第二版支持身份识别等安全措施，支持多台路由器、缓存路由器和许多协议。因此，除了WWW HTTP之外，你还可以做文件服务器和其它类型的缓存。

因此，如果你在想你需要一个缓存或者代理服务器，WCCP模式肯定是你应该考虑的东西。但是，因为它有些不同，你需要考虑下面这些事情：

・从客户机到PC之间的通信不能直接在缓存和客户机之间传输，但是，可以通过路由器多次传输。这就意味着你需要更多的功能。不要减少具有WCCP功能的路由器的处理和内存功能。关注通信流量，这样你才能不产生瓶颈。

・你需要准备让你的服务台或者网络运行技术支持人员排除更复杂的环境中的故障。

・就像VoIP正在引起语音和数据IT部门产生结构性的变化一样，WCCP等许多新技术将使服务器、应用程序和网络技术支持团队之间的界限变得模糊不清。在你的网络出现第一次故障之前，你要把这些区别搞清楚。

原文转自

简单网络管理协议（SNMP）网络知识【第四篇】

在启用了snmp协议服务情况下，我们如何来确保这个协议的安全呢？首先我们要及时更新这个协议的补丁，之后还要对这个协议的流程进行过滤，那么具体的实施情况请从下文我们来了解一下吧。

保障snmp的安全

如果某些设备确实有必要运行snmp,则必须保障这些设备的安全？首先要做的是确定哪些设备正在运行snmp服务？除非定期对整个网络进行端口扫描，全面掌握各台机器？设备上运行的服务，否则的话，很有可能遗漏一？二个snmp协议服务？特别需要注意的是，网络交换机？打印机之类的设备同样也会运行snmp服务？确定snmp服务的运行情况后，再采取下面的措施保障服务安全？

◆加载snmp服务的补丁

安装snmp协议服务的补丁，将snmp服务升级到或更高的版本？联系设备的制造商，了解有关安全漏洞和升级补丁的情况？

◆保护snmp通信字符串

一个很重要的保护措施是修改所有默认的通信字符串？根据设备文档的说明，逐一检查？修改各个标准的？非标准的通信字符串，不要遗漏任何一项，必要时可以联系制造商获取详细的说明？

◆过滤snmp

另一个可以采用的保护措施是在网络边界上过滤snmp通信和请求，即在防火墙或边界路由器上，阻塞snmp请求使用的端口？标准的snmp服务使用161和162端口，厂商私有的实现一般使用199?391?705和1993端口？禁用这些端口通信后，外部网络访问内部网络的能力就受到了限制；另外，在内部网络的路由器上，应该编写一个ACL,只允许某个特定的可信任的snmp管理系统操作snmp?例如，下面的ACL只允许来自(或者走向)snmp管理系统的snmp通信，限制网络上的所有其他snmp通信：

100 permit ip host any

100 deny udp any any eq snmp

100 deny udp any any eq snmptrap

100 permit ip any any

这个ACL的第一行定义了可信任管理系统()?利用下面的命令可以将上述ACL应用到所有网络接口：

serial 0

access-group 100 in

总之，snmp的发明代表着网络管理的一大进步，现在它仍是高效管理大型网络的有力工具？然而，snmp的早期版本天生缺乏安全性，即使最新的版本同样也存在问题？就象网络上运行的其他服务一样，snmp协议服务的安全性也是不可忽视的？不要盲目地肯定网络上没有运行snmp服务，也许它就躲藏在某个设备上？那些必不可少的网络服务已经有太多让人担忧的安全问题，所以最好关闭snmp之类并非必需的服务--至少尽量设法保障其安全？