SNMP協議

簡單網絡管理協議SNMP（ Simple Network Management Protocol ）可以實現對不同種類和不同廠商的網絡設備進行統一管理，大大提升了網絡管理的效率。

SNMP代理與管理站模型

Snmp分2種角色：SNMP管理站（manager，我們的本機127.0.0.1）和SNMP代理（agent， 我們要操作的機器，比如 192.168.1.144）。管理站指的是運行了可以執行網絡管理任務軟件的服務器，通常被稱作為網絡管理工作站（NMS）,NMS負責采樣網絡中agent的信息，并接受agent的trap。代理是實際網絡設備中用來實現SNMP功能的部分。代理在UDP的161端口接收NMS的讀寫請求消息，管理站在UDP的162端口接收代理的事件通告消息。所以，一旦獲取設備的訪問權限（community，默認為public），就可以訪問設備信息、改寫和配置設備參數。由于采用UDP協議，不需要在代理和管理站之間保持連接。

SNMP組成

SNMP主要由三個組成部分：被管理的設備（Managed Device），代理（agent）和網絡管理系統（network management system，NMS）

被管理的設備是一個網絡節點，包含SNMP代理并處在管理網絡中，用于收集并存儲網絡信息，通過SNMP，NMS能夠得到這些信息。被管理的設備可能是路由器、訪問服務器、交換機和網橋等。

SNMP代理是被管理設備上的一個服務進程。SNMP代理擁有本地的相關管理信息，并將他們轉換成與SNMP兼容的格式。

NMS就是監控中心。

SNMP架構

SNMP包括NMS，Agent和MIB等。

NMS

NMS是運行在網管主機上的網絡管理軟件。網絡管理員通過操作NMS，向被管理設備發出請求，從而可以監控和配置網絡設備。

Agent

Agent是被管理設備中的一個代理進程。

Agent是運行在被管理設備上的代理進程。被管理設備在接收到NMS發出的請求后，由Agent作出響應操作。Agent的主要功能包括：收集設備狀態信息、實現NMS對設備的遠程操作、向NMS發送告警消息。

MIB（Management Information Base）

MIB是一個數據庫，它包含了被管理設備所維護的變量。

管理信息庫MIB（Management Information Base）是一個虛擬的數據庫，是在被管理設備端維護的設備狀態信息集。Agent通過查找MIB來收集設備狀態信息。

SNMP版本

SNMPv1（未使用）

網管端工作站上的NMS與被管理設備上的Agent之間，通過交互SNMPv1報文，可以實現網管端對被管理設備的管理。SNMPv1基本上沒有什么安全性可言。

SNMPv1定義了5種協議操作：

Get-Request：NMS從代理進程的MIB中提取一個或多個參數值。

Get-Next-Request：NMS從代理進程的MIB中按照字典式排序提取下一個參數值。

Set-Request：NMS設置代理進程MIB中的一個或多個參數值。

Response：代理進程返回一個或多個參數值。它是前三種操作的響應操作。

Trap：代理進程主動向NMS發送報文，告知設備上發生的緊急或重要事件。

SNMPv2c（使用最廣泛）

lSNMPv2c在繼承SNMPv1的基礎上，其性能、安全性、機密性等方面都有了大的改進。

現實中使用，目前仍處于此階段，提供密碼管理機制。

SNMPv2c新增了2種協議操作：

• GetBulk：相當于連續執行多次GetNext操作。在NMS上可以設置被管理設備在一次GetBulk報文交互時，執行GetNext操作的次數。

• Inform：被管理設備向NMS主動發送告警。與trap告警不同的是，被管理設備發送Inform告警后，需要NMS進行接收確認。如果被管設備沒有收到確認信息則會將告警暫時保存在Inform緩存中，并且會重復發送該告警，直到NMS確認收到了該告警或者發送次數已經達到了最大重傳次數。

SNMPv3（安全性最高，但配置最麻煩）

lSNMPv3是在SNMPv2基礎之上增加、完善了安全和管理機制。SNMPv3體系結構體現了模塊化的設計思想，使管理者可以方便靈活地實現功能的增加和修改。SNMPv3的主要特點在于適應性強，可適用于多種操作環境，它不僅可以管理最簡單的網絡，實現基本的管理功能，也可以提供強大的網絡管理功能，滿足復雜網絡的管理需求。

SNMPv3的實現原理SNMPv1/SNMPv2c基本一致，主要的區別是SNMPv3增加了身份驗證和加密處理。

NMS向Agent發送不帶安全參數的Get請求報文，向Agent獲取安全參數等信息。

Agent響應NMS的請求，向NMS反饋所請求的參數。

NMS向Agent發送帶安全參數的Get請求報文。

Agent對NMS發送的請求消息進行認證，認證通過后對消息進行解密，解密成功后，向NMS發送加密的響應。

Trap的使用

SNMP協議，可以通過量化被管理設備的各種動態參數，例如原本有5臺服務器在運行，1臺服務器出現問題，SNMP協議就可以通過NMS監控到只有4臺服務器在運行。

此時，NMS就可以通知管理員，有一臺服務器掛掉了。以此來監控被管理設備，提高處理突發情況的能力。

SNMP配置

[RTA]snmp-agent [RTA]snmp-agent sys-info version v2c [RTA]snmp-agent community read public [RTA]snmp-agent trap enable [RTA]snmp-agent trap source GigabitEthernet0/0/1 ? 執行display snmp-agent sys-info命令，可以查看系統維護的相關信息，包括設備的物理位置和SNMP版本。 ?

STP協議

為了提高網絡可靠性，交換網絡中通常會使用冗余鏈路。然而，冗余鏈路會給交換網絡帶來環路風險，并導致廣播風暴以及MAC地址表不穩定等問題，進而會影響到用戶的通信質量。生成樹協議STP（Spanning Tree Protocol）可以在提高可靠性的同時又能避免環路帶來的各種問題。

二層交換網絡

交換機之間通過多條鏈路互連時，雖然能夠提升網絡可靠性，但同時也會帶來環路問題。

隨著局域網規模的不斷擴大，越來越多的交換機被用來實現主機之間的互連。如果交換機之間僅使用一條鏈路互連，則可能會出現單點故障，導致業務中斷。為了解決此類問題，交換機在互連時一般都會使用冗余鏈路來實現備份。

冗余鏈路雖然增強了網絡的可靠性，但是也會產生環路，而環路會帶來一系列的問題，繼而導致通信質量下降和通信業務中斷等問題。

交換網絡環路帶來的問題

廣播風暴的形成

根據交換機的轉發原則，如果交換機從一個端口上接收到的是一個廣播幀，或者是一個目的MAC地址未知的單播幀，則會將這個幀向除源端口之外的所有其他端口轉發。如果交換網絡中有環路，則這個幀會被無限轉發，此時便會形成廣播風暴，網絡中也會充斥著重復的數據幀。

MAC地址表紊亂

交換機是根據所接收到的數據幀的源地址和接收端口生成MAC地址表項的。

主機A向外發送一個單播幀，假設此單播幀的目的MAC地址在網絡中所有交換機的MAC地址表中都暫時不存在。SWB收到此數據幀之后，在MAC地址表中生成一個MAC地址表項，00-01-02-03-04-AA，對應端口為G0/0/3，并將其從G0/0/1和G0/0/2端口轉發。此例僅以SWB從G0/0/1端口轉發此幀為例進行說明。

SWA接收到此幀后，由于MAC地址表中沒有對應此幀目的MAC地址的表項，所以SWA會將此幀從G0/0/2轉發出去。

SWC接收到此幀后，由于MAC地址表中也沒有對應此幀目的MAC地址的表項，所以SWC會將此幀從G0/0/2端口發送回SWB，也會發給主機B。

SWB從G0/0/2接口接收到此數據幀之后，會在MAC地址表中刪除原有的相關表項，生成一個新的表項，00-01-02-03-04-AA，對應端口為G0/0/2。此過程會不斷重復，從而導致MAC地址表震蕩。

PS：SWA、SWB、SWC通過物理線纜相連接，形成環路。

STP工作原理

STP通過阻塞端口來消除環路，并能夠實現鏈路備份的目的。在邏輯上Shutdown鏈路。

STP的主要作用：

消除環路：通過阻斷冗余鏈路來消除網絡中可能存在的環路。

鏈路備份：當活動路徑發生故障時，激活備份鏈路，及時恢復網絡連通性。

STP實現阻塞端口

選舉一個根網橋

每個非根交換機選舉一個根端口

每個網段選舉一個指定端口

阻塞非根端口、非指定端口

根橋選舉

網橋ID（BID）：網橋ID是唯一的。網橋ID=網橋優先級（2B）+ 網橋MAC地址（6B）。

網橋優先級：取值范圍0~61440，缺省值：32768。步長為4096。

選擇交換網絡中網橋ID最小的交換機成為根網橋。

根端口選舉

選擇根端口的依據：

1>根網橋路徑到該非根網橋端口成本最低，從根網橋到達非根網橋的每個端口的開銷，開銷最小的端口為該非根網橋的根端口。

每個非根網橋上存在一個根端口，因此需要在每個非根網橋上選擇一個根端口。選擇根端口的依據有三個：

到根路徑成本最低的端口：路徑成本是兩個網橋間的路徑上所有鏈路的成本之和，根路徑成本也就是一個網橋到達根網橋的中間所有鏈路的路徑成本之和，路徑成本用來代表一條鏈路帶寬的大小，一條鏈路的帶寬越大，它的傳輸數據的成本也就越低。（10Mb/s=100,100Mb/s=19,1000Mb/s=4，10000Mb/s=2成本）

2>比該網橋對端網橋的網橋ID；

3>比該網橋對端網橋的端口ID；

端口ID=端口優先級（8位）+ 端口編號（8位）

取值范圍：0~240，缺省值128。為16的步長。

指定端口選舉

為了消除環路形成的可能，STP進行最后的計算，在每一個網段上選擇一個指定端口

根網橋上的端口全都是指定端口

非根橋上的指定端口，選擇順序：

1>某網段到根網橋的路徑成本最小

2>端口所在交換機的網橋ID最小

3>該網橋對端網橋端口ID最小（即端口優先級和端口編號，先比優先級，默認為128）

MSTP/STP/RSTP

一、遷移的區別

1、STP：STP不能快速遷移，即使是在點對點鏈路或邊緣端口，也必須等待時間延遲，網絡才能收斂。

2、RSTP：RSTP可以快速遷移，卻不能按vlan阻塞冗余鏈路。RSTP 收斂效率更高，讓它更快判斷哪個端口需要被阻塞。

3、MSTP：MRSTP允許不同vlan的流量沿各自的路徑分發，實現快速遷移不阻塞。

二、負載分擔不同

1、STP：STP都采用了一棵STP tree，負載分擔不可實現。

2、RSTP：RSTP都采用了一棵STP tree，負載分擔不可實現。

3、MSTP：MSTP采用了每個VLAN一棵生成樹，可以將多個VLAN的生成樹映射為一個實例，從而來實現負載分擔。

三、對BPDU中type字段利用不同

1、STP：STP對BPDU中type字段的利用，只使用了其中的兩個位。

2、RSTP：RSTP對BPDU中type字段的利用，使用了所有的八個位。

3、MSTP：MSTP對BPDU中type字段的利用，使用了所有的八個位。

鏈路聚合

Eth-Trunk（ 鏈路聚合技術 ）作為一種捆綁技術，可以把多個獨立的物理接口綁定在一起作為一個大帶寬的邏輯接口使用，這樣既不用替換接口板也不會浪費IP地址資源

增加鏈路帶寬、防止單點故障、節省IP地址資源，負載分擔。

根據不同的鏈路聚合模式，Eth-Trunk接口可以實現增加帶寬、負載分擔等，幫助提高網絡的可靠性。

Eth-Trunk可以用于二層的鏈路聚合，也可以用于三層的鏈路聚合。缺省情況下，以太網接口工作在二層模式。如果需要配置二層Eth-Trunk接口，可以通過portswitch命令將該接口切換成二層接口；如果需要配置三層Eth-Trunk接口，可以通過undo portswitch命令將該接口切換成三層接口。

Eth-Trunk鏈路聚合模式：

• 手工負載分擔模式；

• LACP模式。

LACP（鏈路匯聚控制協議）模式

LACP模式也稱為M:N模式，其中M條鏈路處于活動狀態轉發數據，N條鏈路處于非活動狀態作為備份鏈路。

案例：

路由器RTA與路由器RTB之間有3條連接線纜。

兩臺設備間有M+N（2+1）條鏈路，在聚合鏈路上轉發流量時在M（2）條鏈路上負載分擔，不在另外的N（1）條鏈路轉發流量。此時鏈路的實際帶寬為M（2）條鏈路的總和，但是能提供的最大帶寬為M+N（2+1）條鏈路的總和；

當M（2）條鏈路中有一條鏈路故障時，LACP會從N（1）條備份鏈路中找出一條優先級高的可用鏈路替換故障鏈路。此時鏈路的實際帶寬還是M（2）條鏈路的總和，但是能提供的最大帶寬就變為M+N-1（2+1-1）條鏈路的總和。

LACP活動鏈路選取

設備之間相連的鏈路數為3條，設置的最大活躍鏈路數為2，即2條鏈路處于轉發狀態，1條鏈路處于備份狀態。

在LACP模式的Eth-Trunk中加入成員接口后，這些接口將向對端通告自己的系統優先級、MAC地址、接口優先級、接口號等信息。對端接收到這些信息后，將這些信息與自身接口所保存的信息比較以選擇能夠聚合的接口，雙方對哪些接口能夠成為活動接口達成一致，確定活動鏈路。

在兩端設備中選擇系統LACP優先級較高的一端作為主動端，如果系統LACP優先級相同則選擇MAC地址較小的一端作為主動端。

• 系統LACP優先級的值越小，則優先級越高，缺省情況下，系統LACP優先級的值為32768。

接口LACP優先級的值越小，則優先級越高。如果接口LACP優先級相同，接口ID（接口號）小的接口被優先選為活動接口。

• 接口LACP優先級是為了區別同一個Eth-Trunk中的不同接口被選為活動接口的優先程度，優先級高的接口將優先被選為活動接口。

LACP搶占延時設置

LACP搶占發生時，處于備用狀態的鏈路將會等待一段時間后再切換到轉發狀態，這就是搶占延時。配置搶占延時是為了避免由于某些鏈路狀態頻繁變化而導致Eth-Trunk數據傳輸不穩定的情況。

開啟搶占功能的場景

Port1接口出現故障而后又恢復正常。當接口Port1出現故障時被Port3所取代，如果在Eth-Trunk接口下未使能搶占，則故障恢復時Port1將處于備份狀態；如果使能了LACP搶占，當Port1故障恢復時，由于接口優先級比Port3高，將重新成為活動接口，Port3再次成為備份接口。

如果希望Port3接口替換Port1、Port2中的一個接口成為活動接口，可以將Port3的接口LACP優先級調高，但前提條件是已經使用了LACP搶占功能。如果沒有使用LACP搶占功能，即使將備份接口的優先級調整為高于當前活動接口的優先級，系統也不會進行重新選擇活動接口的過程，也不切換活動接口。

Eth-Trunk接口負載分擔

Eth-Trunk接口進行負載分擔時，可以選擇IP地址或者包作為負載分擔的散列依據；同時還可以設置成員接口的負載分擔權重。

• 逐流負載分擔

  報文的源IP地址、目的IP地址都相同或者報文的源MAC地址、目的MAC地址都相同時，這些報文從同一條成員鏈路上通過。

  當

• 逐包負載分擔

  以報文為單位分別從不同的成員鏈路上發送。

Eth-Trunk接口中，某成員接口的權重值占所有成員接口負載分擔權重之和的比例越大，該成員接口承擔的負載就越大。

Eth-Trunk接口配置注意問題

• 成員接口不能有IP地址等三層配置項，也不可以配置任何業務；

• 成員接口不能配置靜態MAC地址；

• Eth-Trunk接口不能嵌套，即成員接口不能是Eth-Trunk；

• 一個以太網接口只能加入到一個Eth-Trunk接口，如果需要加入其他Eth-Trunk接口，必須先退出原來的Eth-Trunk接口；

• 如果本地設備使用了Eth-Trunk，與成員接口直連的對端接口也必須捆綁為Eth-Trunk接口，兩端才能正常通信；

• Eth-Trunk有兩種工作模式：二層工作模式和三層工作模式。Eth-Trunk的工作模式不影響成員鏈路的加入，例如，以太網接口既可以加入二層模式的Eth-Trunk，也可以加入三層模式的Eth-Trunk。

總結

以上是生活随笔為你收集整理的信安Note_day15的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。