TCP/IP 協定與 Internet 網路:第十六章 SNMP 網路管理協定  上一頁   下一頁

 

翻轉工作室:粘添壽

 

16-9 SNMP 版本問題

SNMP 是屬於『分散式管理協定』(Distributed Management Protocol。管理系統可以由 NMS(安裝有 SNMP Manager)單獨管理,或 SNMP Agent 各自獨立管理,也可以讓 NMS SNMP Agent 共同管理網路。當系統是由 NMS SNMP Agent 共同處理情況下,NMS 也可以透過請求(Inform-Request),和其它 NMS 之間互相取得被管理物件的資料。基本上,SNMP 通訊協定缺乏認證處理的能力,傳遞中的訊息容易被偽裝、竄改、偷竊等等。一般被管理設備都只能以密碼方式來確認使用者身分,對於傳送中的訊息就比較難達到保密的功能。因此,一般廠商都不提供 Set-Request 的命令,當然,也會減低 SNMP 監督控制的能力。

其實目前流行的 SNMPv2 並不相容於 SNMPv1,其中有兩個主要原因:訊息格式(Message Format)和協定操作(Protocol Operation)。SNMPv2 使用不同於 SNMPv1 的封包標頭(Header)和協定資料單元(PDU),又 SNMPv2 增加了兩組命令(GetBulk Inform)。雖然 RFC 1908 上定義兩種方法:代理仲介(Proxy Agent)和雙語網路管理系統(Bilingqual Network Management System),可以整合 SNMPv1 SNMPv2 協定,使其能互相支援管理,但一般系統還是捨棄 SNMPv1,而更新為 SNMPv2 較多,但是 SNMPv2 在安全性考量上爭議還是非常的多,許多廠商還是保持觀望的態度,而不敢大量投資發展。

最後,許多研究人員嘗試在不同的遠端管理和安全提案中找出解決方案,共同撰寫另一系列的 RFCs,就是所稱謂的 SNMPv3。這些 RFCs2271 - 2275)也經 IETF 認定為標準,也就是說,一般大眾都可以取得該標準,來從事安裝並檢討該標準的優異點。SNMPv3 增進了下列功能:

(1) 奠定 DESMD5、或其它認證協定上的安全模組。

(2) 定義及制定查閱瀏覽的存取控制模組。

(3) 重新定義某些 SNMP 的觀念和術語。

雖然 SNMPv3 在市場上享有某種程度的優越性,但該協定還是非常新穎,而想要該網路被各廠商採用,可能還需花費一段長的時間,其主要原因是成本效益比是否值得,至於那些較嚴格的網路設備,它們會升級到新的協定,然而並不是每個人都會決定要升級現有設備來支援 SNMPv3,因此,整合的動作緩慢是可以預期的。

當網路設備愈來愈多時,網路管理人一直試圖找出比較完整的管理工具,但又牽涉網路設備製造商繁多,各有各自管理方法,如採用標準協定製作,又涉及到安全性的問題,的確是十分棘手的問題。記得十幾年前,各家廠商致力將 SNMPv1  協定植入網路設備,當時作者教導網路管理人員有關 SNMP 通訊協技術,首先,我就請學員以 SNMP Manager 擷取實驗室裡路由器的路由表,並重置路由器,所有學員都能如願達成目的,再請學員將 IP 位址設定到自己單位的路由器,也做同樣的動作,所有學員的臉都綠了(嚇死了),大家異口同聲決定要將 SNMP 功能關掉。SNMP 一直是被認為安全性最大的漏洞,但是大家一直追求網路傳輸速率要快、可靠性要堅固、安全性要提昇的同時,網路管理員更應注意網路是否易於管理,才能將網路隨時保持最佳狀態,這必須管理人員隨時觀察、統計分析網路的各種係數(狀況),如此必須仰賴 SNMP 的功能,因此,研習 SNMP 通訊協定是所有 Internet 網路管理員不可或缺的基本技能。

 

<GOTOP>