RFC雙語計劃:rfc1445中文版(中英文對照)............SNMPv2的管理模型
http://kummerwu.web.officelive.com/Documents/rfc1445-0.html
更多RFC中文版,中英文對照版,請查閱http://kummerwu.web.officelive.com/Documents/index.html
這兒目前收錄來OSPF,BGP,RIP,MPLS(VPN)、HTTP,Telnet,RSVP,PPP,POP3,RTP,NAT,FTP等最新RFC中文版和中英文對照版。而且內容還在不斷更新中......
------------------------------------------------------------------------
SNMPv2的管理模型
本備忘錄的狀態
本RFC敘述了Internet社區的一個Internet 體系結構委員會的跟蹤草案,並且徵求有利於改進的討論和建議。請引用當前版本的<<IAB 官方協議標準>>以利於本草案的標準化地位和狀態。本備忘錄的傳播是不受限制的。
目錄
1. 介紹 2
1.1. 術語的註解 3
2.模型的元素 3
2.1. SNMPv2 參與者 3
2.2. SNMPv2 實體 5
2.3. SNMPv2 管理站點 6
2.4. SNMPv2 代理 6
2.5. 視圖子樹 6
2.6. MIB 視圖 7
2.7. 代理關係 7
2.8. SNMPv2 上下文 8
2.9. SNMPv2 管理通訊 8
2.10. SNMPv2鑑定過的管理通訊 9
2.11. SNMPv2 私有管理通訊 10
2.12. SNMPv2 管理通訊類 11
2.13. SNMPv2 訪問控制策略 11
3. 過程的元素 12
3.1. 產生一個請求 13
3.2. 處理一個收到的通訊 14
3.3. 生成一個響應 16
4. 模型應用 16
4.1 無安全的小代理配置 16
4.2 安全小代理配置 18
4.3 MIB視圖的配置 20
4.4 代理配置 22
4.4.1 外部代理配置 22
4.4.2 本地代理配置 25
4.5 公共密鑰配置 28
5. 安全考慮 29
6. 感謝 29
7. 參考 29
8. 作者地址 30
1. 介紹
一個網絡管理系統包含:幾個(可能是許多的)節點,每個都有一個名爲代理的處理實體。代理有到管理工具的通路;至少一個管理站點和一個管理協議,該協議用於在代理和管理站點間傳遞管理信息。協議的實施是在一個定義了鑑定和認證策略的管理體系下進行的。
網絡管理站點上運行監視和控制網絡元素的管理應用程序。網絡元素是諸如主機,路由器,終端服務器等的設備,通過對它們的管理信息的訪問來監視和控制網絡元素。
本文檔--<< SNMPv2的管理模型>>--的目的就是定義:在不同的配置和環境下,管理體系是怎樣被用來實現實際的網絡管理的。
這裏描述的模型使後面的要求成爲必要:交換SNMPv2消息的對等實體使用唯一的表示。所以,這裏表現出與先前的SNMP [1]的基於社區的管理模型的不同。通過對每個SNMPv2消息來源和預期的接收者的明白無誤的標識,這個新的策略改善了過去的社區方案,它不僅支持一個更加方便的訪問控制模型,而且允許在將來對非對稱公匙安全協議的有效運用。
1.1. 術語的註解
爲了便於說明,原先的Internet標準網絡管理體系(在RFC 1155,1157和1212中有描述)被叫做SNMP版本1體系(SNMPv1)。當前的體系叫做SNMP版本2體系(SNMPv2)。
2.模型的元素
2.1. SNMPv2 參與者
SNMPv2 參與者是一個概念性的,虛擬的執行環境,它的操作被限制在(出於對安全性的考慮)一個特定 SNMPv2實體的所有可能的操作的子集中(參考2.2),該子集被管理性地定義 。不論一個SNMPv2實體什麼時候處理一個SNMPv2 消息,它都是以一個SNMPv2 參與者的身份進行操作,因而它的操作就被限制在爲這個參與者定義的操作集合中。對這個參與者,其特定的可能的操作可能與其他參與者的操作集合重疊或者不相關,它也可能是那個SNMPv2 實體的所有可能操作的一個合適或者不合適的子集。從協議體系上講,每個SNMPv2參與者包含:
? 一個唯一的,與衆不同的參與者標識。
? 一個邏輯網絡位置,參與者執行時所在的邏輯網絡位置稱爲一個傳送協議的域,並且傳送尋址信息。
? 一個專門的鑑定協議和相關的參數,所有那個參與者產生的協議消息通過他們被鑑定爲初始的和完整的。
? 一個專門的私有協議和相關參數,用來保護所有參與者接收的協議消息,防止泄漏。
從概念上講,每個SNMPv2參與者可以用一個ASN.1值表示,符合下面的語法:
SnmpParty ::= SEQUENCE {
partyIdentity
OBJECT IDENTIFIER,
partyTDomain
OBJECT IDENTIFIER,
partyTAddress
OCTET STRING,
partyMaxMessageSize
INTEGER,
partyAuthProtocol
OBJECT IDENTIFIER,
partyAuthClock
INTEGER,
partyAuthPrivate
OCTET STRING,
partyAuthPublic
OCTET STRING,
partyAuthLifetime
INTEGER,
partyPrivProtocol
OBJECT IDENTIFIER,
partyPrivPrivate
OCTET STRING,
partyPrivPublic
OCTET STRING
}
對於每個代表一個SnmpParty 參與者的SnmpParty值,下列敘述是成立的:
o 它的 partyIdentity 組件是參與者的標識
o 它的 partyTDomain 組件稱作傳送域,並指明參與者用來接收網絡管理通信量的那種傳送設備。一個傳送域的例子是 snmpUDPDomain (在UDP上的SNMPv2 ,使用 SNMPv2 參與者).
o 它的 partyTAddress 組件稱作傳送尋址信息,代表一個參與者用來接收網絡管理通信量的傳送設備的地址。
o 它的 partyMaxMessageSize 組件稱作最大消息的尺碼,代表這個參與者將要接收的最大SNMPv2 消息的八位組的長度。
o 它的 partyAuthProtocol 組件稱作鑑定協議,指明瞭一個協議和鑑定所有該參與者生成的消息是初始和完整的機制。在這種上下文下,值 noAuth 表明該參與者產生的消息未被鑑定爲初始和完整。
o 它的 partyAuthClock 組件稱作鑑定時鐘,代表與該參與者關聯的當前時間。本組件的重要性是在鑑定協議中體現的。
o 它的 partyAuthPrivate 組件稱作私有鑑定密匙,代表支持鑑定協議所需的任何保密的值。本組件的重要性是在鑑定協議中體現的。
o 它的 partyAuthPublic 組件稱作公有鑑定密匙,代表任何支持鑑定協議所需的公共值。本組件的重要性是在鑑定協議中體現的。
o 它的 partyAuthLifetime 組件稱作生命週期,代表該參與者生成的協議消息的可以接受的傳送延時的管理性的上界。本組件的重要性是在鑑定協議中體現的。
o 它的 partyPrivProtocol 組件稱作私有協議,指明瞭一個協議和一個防止該參與者接收到的所有協議消息泄漏的機制。在這種情況下,值 noPriv表明該參與者接收到的消息未被保護以防止泄漏。
o 它的 partyPrivPrivate 組件稱作私有密匙,代表支持私有協議所需的保密值。本組件的重要性是在私有協議中體現的。
o 它的 partyPrivPublic 組件稱作公有密匙,代表支持私有協議所需的任何公共值。本組件的重要性是在私有協議中體現的。
對於所有的被某個SNMPv2實體實現的SNMPv2參與者,如果它的鑑定協議是noAuth而且它的私有協議是n
------------------------------------------------------------------------
。。。。。。。。
完整內容參見 http://kummerwu.web.officelive.com/Documents/rfc1445-0.html
更多RFC中文版,中英文對照版,請查閱http://kummerwu.web.officelive.com/Documents/index.html
這兒目前收錄來OSPF,BGP,RIP,MPLS(VPN)、HTTP,Telnet,RSVP,PPP,POP3,RTP,NAT,FTP等最新RFC中文版和中英文對照版。而且內容還在不斷更新中......